ביום 23 ביולי 2025 פרסמה הרשות להגנת הפרטיות טיוטת גילוי דעת, לצורך קבלת עמדת הציבור, אשר מבהיר ומחדד את דרישות החוק והרגולציה באשר לאופן מינויו, מעמדו, תפקודו וסמכויותיו של ממונה הגנת הפרטיות בארגון (Data Protection Officer – DPO). זאת, על רקע תיקון 13 לחוק הגנת הפרטיות, התשמ”א–1981, אשר ייכנס לתוקף ביום 15/8/2025.
הרשות מבהירה באופן חד משמעי כי תפקיד הממונה איננו יכול להצטמצם בייעוץ אקראי או בהשתתפות שולית בתהליכי קבלת החלטות. מדובר בתפקיד סטטוטורי מהותי, בעל אחריות רגולטורית ישירה, אשר דורש עצמאות מקצועית מלאה, שיקול דעת בלתי תלוי וגישה חופשית אל כלל המידע הארגוני הנוגע לעיבוד מידע אישי. ה-DPO נתפס מעתה כ”רגולטור פנימי”, אשר עליו לוודא עמידה בהוראות החוק, קיום נהלי פרטיות, ביצוע הערכות סיכונים, בקרה על עיבוד מידע רגיש, תסקיר השפעה על הפרטיות (DPIA), והובלת מדיניות פרטיות ארגונית.
בגילוי הדעת נכתב בפירוש כי מינוי שלא ילווה בתוכן ממשי, דהיינו, תפקיד הממולא בפועל – לא יוכר. הארגון נדרש להוכיח כי מדובר בתפקיד פעיל, המבוצע הלכה למעשה, כתחום עיסוק עיקרי, בין אם הוא ממולא במשרה מלאה ובין אם כחלק ממארג תפקידים, ובלבד שאין כל חשש לניגוד עניינים.
בהתאם לכך, מונה גילוי הדעת רשימה של בעלי תפקידים אשר לא יוכלו לכהן גם כ-DPO בשל ניגוד עניינים אינהרנטי, כגון מנכ”ל, יועץ משפטי פנימי, סמנכ”ל משאבי אנוש, מנהל מערכות מידע או כספים. עמדת הרשות ברורה: אדם שתחת אחריותו מצויות מערכות או עובדים עליהם הוא אמור לפקח במסגרת תפקיד ה-DPO, לא יוכל לשמש בשני התפקידים גם יחד.
עיגון המינוי במבנה הפורמלי של הארגון מהווה דרישת סף: יש לכלול את המינוי בכתב מינוי מפורש, הסכם עבודה או הסכם שירות, תקנונים והוראות פנימיות. על ה-DPO להיות בעל סמכות עיון במידע, יכולת פיקוח רוחבית, וזכות להביע הסתייגויות, לרבות פנייה ישירה להנהלה הבכירה של הארגון.
במקרה בו הארגון בוחר למנות ממונה חיצוני (DPO במיקור חוץ), יש לנסח הסכם התקשרות המפרט במפורש את היקף שעות השירות, מחויבות לעצמאות, חובת סודיות וביטוח אחריות מקצועית. כמו כן, על הממונה החיצוני לזכות לשיתוף פעולה מלא מצד הארגון.
אי עמידה בדרישות אלה, ובפרט קיומו של מינוי סמלי בלבד או כזה שאינו ממולא בפועל, עלולה להיחשב כהפרה מהותית של הוראות חוק הגנת הפרטיות. מעבר לחשיפה לקנסות מנהליים ואזרחיים, הארגון עלול להיחשב ככזה שלא מינה כלל ממונה כנדרש בחוק, ולפיכך להיחשף להליכים אכיפתיים.
לנוסח המלא של גילוי הדעת (טיוטה להערות הציבור) – כאן.
עמדת משרד וולר ושות’
גילוי הדעת מהווה צעד מהותי ומשנה מציאות בתחום הגנת הפרטיות בישראל. מדובר בכלי רגולטורי מחייב, בעל השלכות רוחב, המחייב ארגונים מכל המגזרים להיערכות מחדש, להטמעת מבנה ארגוני מותאם ולעדכון כלל מסמכי הניהול, הפיקוח והרגולציה הארגוניים.
משרדנו מלווה כיום גופים ציבוריים ופרטיים לרבות מינוי כ-DPO חיצוני; ניסוח כתבי מינוי תקפים ומפורטים; גיבוש הסכמים לממונה חיצוני; הדרכות פנים-ארגוניות לפונקציות בכירות; עדכון מדיניות ארגונית, נהלים והוראות; ביצוע ביקורות פרטיות, וסקרי ציות.
