הביום 3 בספטמבר 2025 פרסמה נציבות שירות המדינה את הנחיה מס’ 1.23, להסדרת מעמד ותפקוד הממונים על הגנת הפרטיות (DPO) במשרדי הממשלה. ההנחיה נועדה ליישם את תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקפו ביום 14/8/2025, וליצור מנגנון ברור של אחריות, כשירות ופיקוח פנימי במשרדי הממשלה. הנחיה זו חלה ישירות על עובדי המדינה במשרדי הממשלה וביחידות הסמך בלבד, ואין לה תחולה פורמלית על רשויות מקומיות, תאגידים עירוניים או גופים ציבוריים־ציבוריים אחרים. עם זאת, לנוכח עמדת הרשות להגנת הפרטיות והסטנדרטים שהוצבו, ברור כי הנחיה זו תשמש גם כמדד לבחינת עמידת גופים אחרים בחובותיהם לפי תיקון 13 לחוק. במילים אחרות, ההנחיה אינה בגדר “המלצה בלבד” עבור רשויות מקומיות, אלא מהווה רף מעשי שהרשות להגנת הפרטיות עשויה להחיל הלכה למעשה בכל ביקורת או הליך אכיפה.
תפקידי הממונה על הגנת הפרטיות במשרדי הממשלה: רגולטור פנימי בארגון
ההנחיה מגדירה את הממונה על הגנת הפרטיות כרגולטור פנימי בארגון, שתפקידו לפקח באופן עצמאי ואפקטיבי על אופן יישום דיני הגנת הפרטיות. בין תפקידיו העיקריים נמנים מתן ייעוץ מקצועי להנהלת המשרד ולעובדיו בכל הנוגע לחוק ולתקנות, הכנת תוכניות הדרכה והטמעתן כדי לייצר תרבות ארגונית מודעת וחסינה לסיכוני פרטיות, בקרה שוטפת על יישום הוראות הדין ודיווח שיטתי על ליקויים בצירוף המלצות לתיקונם. בנוסף, הממונה אחראי לטיפול ישיר בפניות הציבור ובבקשות נושאי מידע לעיון, תיקון או מחיקה, ומשמש כתובת רשמית לשיח שוטף מול הרשות להגנת הפרטיות.
תנאי כשירות והכשרה
הנחיה 1.23 קובעת תנאי סף ברורים: השכלה אקדמית (יתרון למשפטים והסמכה לעריכת דין), ידע מעמיק בדיני פרטיות, הבנה בתחומי טכנולוגיה ואבטחת מידע וניסיון מקצועי רלוונטי. מעבר לכך, ממונים שייבחרו לתפקיד יחויבו להשלים הכשרה מקצועית בסיסית עד לתום שנת כהונתם הראשונה, במסגרת השתלמות תעודה לממוני הגנת הפרטיות או השתלמות תעודה בתחום הגנת המידע האישי, מטעם הרשות להגנת הפרטיות או בחסותה, בהיקף של לפחות 40 שעות.
עצמאות ומניעת ניגודי עניינים
תיקון 13 לחוק קבע כי –
“הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר, אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו לפי חוק זה”.
על הממונה על הגנת הפרטיות בארגון לדווח ישירות למנכ”ל המשרד/יחידת הסמך או לעובד הכפוף ישירות למנכ”ל. הכפפת הממונה יכולה להיות למנכ”ל או למנהל בכיר בדרגת סמנכ”ל ובלבד שתחום אחריותו אינו יוצר ניגוד עניינים עם תפקיד הממונה, ולכן, אינו יכול להיות כפוף למנהל מערכות המידע (מנמ”ר). ממילא, לא ניתן למנות לתפקיד ממונה הגנת הפרטיות את מנהל מערכות המידע (מנמ”ר) או מי מהכפופים לו.
אישור הלשכה המשפטית להיעדר ניגוד עניינים
כל מינוי של ממונה הגנת הפרטיות, במסגרת “הטלת תפקיד” או בכפיפות לגורם שאינו מנכ”ל המשרד, יהיה טעון אישור הלשכה המשפטית במשרד/יחידת הסמך.
אספקת תנאים ומשאבים למילוי התפקיד
על המשרד לספק לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי נאות של התפקיד. נעיר, גם כאן, כי ההנחיה קובעת כי המשרדים חייבים לספק לממונה משאבים מתאימים, אך אינה מפרטת מהם המשאבים הנדרשים, מה היקף התקציב המינימלי, או כיצד יתוקצב הדבר במשרדי הממשלה. בכך נוצרת חובה עמומה: היא אמנם קיימת, אך לא ניתן למדוד או לבקר אותה בצורה ברורה.
מינוי DPO ביחידת סמך
ככלל, יש למנות ממונה על הגנת הפרטיות בכל משרד ממשלתי ויחידת סמך באופן נפרד. עם זאת, במקרים חריגים, ולאחר קבלת אישור מנכ”ל משרד האם, אישור הנהלת יחידת הסמך, חוות דעת של הרשות להגנת הפרטיות ואישור אגף משרדי הממשלה ויחידות הסמך בנציבות שירות המדינה – ניתן למנות ממונה אחד למשרד וליחידת הסמך. יובהר, כי מדובר בשני תפקידים שונים ובכתבי מינוי נפרדים – מינוי בכתב מינוי כממונה על הגנת הפרטיות של משרד האם שיינתן על ידי הנהלת המשרד וכתב מינוי לממונה על הגנת הפרטיות ביחידת הסמך שיינתן על ידי הנהלת יחידת הסמך. כל זאת, בשים לב כי יש לוודא שתפקידו של הממונה ביחידת הסמך לא יביא לקיומו של ניגוד עניינים בביצוע תפקידו במשרד האם.
מתכונת העסקה
העסקת ממוני הגנת הפרטיות תתבצע באמצעות תקן ייעודי או בדרך של הטלת תפקיד, בהתאם למידת הסיכון לפרטיות הכרוכה בפעילות המשרד. רמת הסיכון תיקבע, בין היתר, בהתבסס על מאפייני המשרד ותחומי פעילותו, היקף המידע המעובד או המוחזק במשרד, סוגי המידע המעובדים וכן, פוטנציאל הפגיעה בפרטיות הכרוך באופי פעילות העיבוד. במילים אחרות, ככלל, קובעת הנחיה 1.23 כי לא ניתן למנות DPO במיקור חוץ במשרדי הממשלה.
לדעתנו, רבים מהגופים הציבוריים, ובכללם גם משרדי הממשלה, אינם ערוכים להקים תקן ייעודי פנימי. ההגבלה על מיקור חוץ עלולה לגרום לקושי מעשי ביישום ההנחיה, לבזבוז תקציבים ולהשארת משרות ריקות במשך חודשים ארוכים.
משמעויות ההנחיה לרשויות מקומיות ולתאגידים עירוניים
אמנם, כאמור, ההנחיה חלה על עובדי המדינה בלבד, אך השלכותיה חורגות הרבה מעבר לכך. רשויות מקומיות ותאגידים עירוניים כפופים אף הם לחובת מינוי ממונה על הגנת הפרטיות לפי תיקון 13 לחוק, ולמרות שהחוק לא קבע עבורם הוראות אופרטיביות מפורטות, ברור כי עקרונות ההנחיה ישמשו בסיס לציפיות הרגולטור גם במישור המקומי. המשמעות המעשית היא שכל רשות מקומית או תאגיד עירוני חייבים לאמץ באופן יזום את הסטנדרטים שנקבעו: עצמאות, כשירות, בקרה, מניעת ניגודי עניינים והקצאת משאבים. בהקשר זה, יש לראות גם את טיוטת הנחיית הרשות להגנת הפרטיות באשר לסטנדרטים למילוי תפקידו של ה-DPO (כאן).
בפועל, מרבית הרשויות אינן מקצות תקן ייעודי פנימי ומסתייעות בממונה חיצוני (DPO as a Service). מצב זה מחייב התייחסות חוזית קפדנית: על ההסכם עם ה־DPO החיצוני לכלול היקף שעות מינימלי מותאם להיקף עיבוד המידע, חובת עדכון והכשרה מתמשכת, איסור מפורש על ניגודי עניינים, קביעת מנגנון דיווח ישיר להנהלת הרשות והתחייבות לסודיות מלאה ולביטוח אחריות מקצועית. מעבר לכך, נכון לעגן בהסכמים גם חובת הכנת תוכנית עבודה שנתית. תוכנית זו צריכה לכלול הדרכות לעובדים, ביצוע תסקירי השפעה (DPIA), פיקוח שוטף על מאגרי מידע והצגת דו”חות תקופתיים בפני הנהלת הרשות. הממונה, גם אם חיצוני, חייב להיות “הכתובת הרשמית” מול הרשות להגנת הפרטיות, בדומה למבנה שהוגדר במשרדי הממשלה.
הנחיה מס’ 1.23, להסדרת מעמד ותפקוד הממונים על הגנת הפרטיות (DPO) במשרדי הממשלה, להורדה.
סיכום
הנחיית נציבות שירות המדינה מס’ 1.23 מהווה ציון דרך בהטמעת תיקון 13 לחוק הגנת הפרטיות. אמנם תחולתה הישירה מוגבלת למשרדי ממשלה ולעובדי המדינה, אך משמעותה רחבה בהרבה. היא מציבה סטנדרט מקצועי ומבני שראוי לכל גוף ציבורי לאמץ – ובמיוחד לרשויות מקומיות ותאגידים עירוניים החייבים במינוי DPO. בפועל, המשמעות היא אחת: ניהול פרטיות ואבטחת מידע חייבים להפוך לחלק אינטגרלי מהניהול השוטף של כל גוף. הסכמים וחוזים, תסקירי הגנה על הפרטיות, הוראות מכרזיות, מנגנוני פיקוח ונהלי עבודה חייבים להיות מותאמים לרף זה, שאם לא כן – הסיכון המשפטי, הציבורי והתקשורתי עלול להיות משמעותי.
משרד וולר ושות’ נחשב כיום לאחד המשרדים המובילים בישראל בתחום דיני הגנת הפרטיות ודיני הרשויות המקומיות, ומשלב מומחיות ייחודית בשני תחומים אלה לצורך מתן מענה מלא ומדויק ללקוחותיו. המשרד מלווה באופן שוטף רשויות מקומיות, תאגידים עירוניים, חברות פרטיות ומלכ”רים ביישום דיני הגנת הפרטיות, תוך בניית מערכי ציות פנימיים והסדרת התקשרויות עם ממונים חיצוניים. השירות כולל עריכת חוות דעת משפטיות, ניסוח חוזי שירות מקיפים ל־DPO חיצוני, בניית תוכניות עבודה שנתיות, ביצוע הדרכות לעובדים, עריכת תסקירי השפעה (DPIA), בקרה על מאגרי מידע ודיווח שוטף לגורמי הניהול. בנוסף, המשרד מייצג ומייעץ לגופים ציבוריים בהתמודדות מול הרשות להגנת הפרטיות, לרבות בהליכי פיקוח ואכיפה, ומספק כלים פרקטיים להפחתת חשיפות משפטיות וציבוריות.
