top image

ממונה הגנה על הפרטיות ברשויות המקומיות

ממונה הגנת הפרטיות ברשויות המקומיות - וולר ושות' משרד עורכי דין

מליאת הכנסת אישרה ביום 5/8/2024, תיקון מקיף בחוק הגנת הפרטיות (תיקון מס’ 13, התשפ”ד-2024). תיקון זה מעדכן ומבהיר את החקיקה בתחום הגנת הפרטיות, אבטחת המידע ותחום הסייבר, קובע הסדרים חדשים ומתקדמים, ומקנה כלי אכיפה יעילים, באופן שיתאים לאתגרי העידן הדיגיטלי, יגביר את ההגנה על זכות היסוד לפרטיות של הציבור בישראל ויחזק את ההתמודדות כנגד איומי הסייבר הגוברים.

תיקון זה משנה את כללי המשחק ברשויות המקומיות. מכאן ואילך, מוטלת אחריות ברורה, ארגונית ואישית, מנהלית ופלילית, על בעלי תפקידים בכירים ברשויות המקומיות, ובראשם מנכ”ל הרשות, בגין הפרת החוק. במרכזו של התיקון בהתייחס לרשויות המקומיות, עומדת החובה למינוי ממונה הגנת פרטיות (DPO), ביצוע סקר סיכונים, הטמעת תוכנית מקיפה לניהול ציות, קביעת נהלי אבטחת מידע, כתיבת נהלים ארגוניים, הטמעת הוראות חוזיות, ועדכון מדיניות הפרטיות. שינויים אלו מהווים אתגר משמעותי עבור רשויות מקומיות, המצריך השקעת משאבים ניכרת בהקמת תשתיות, הדרכה, ייעוץ משפטי ופיתוח מומחיות פנימית בתחום הגנת הפרטיות. נדרש גם שינוי תרבותי ארגוני להטמעת תפיסת הפרטיות כחלק אינטגרלי מהפעילות השוטפת. ללא מאמץ מתמשך בכיוון זה, שיסתיים בתוך שנה מיום פרסום החוק – הרשויות המקומיות, ומנהליהן הבכירים, חשופים ממשית לסיכונים משפטיים. נזכיר כי, כבר כיום, למעלה מ-50% מהרשויות המקומיות בישראל מוגדרות במצב “רע מאוד” בסייבר, לפי הגדרות מערך הסייבר הלאומי. רק 39 מהן מוגדרות במצב “בינוני” ו-87 רשויות בלבד מוגדר “טוב”. דו”חות מבקר המדינה, משרד הפנים והרשות להגנת הפרטיות, משרטטים תמונה עגומה יותר.

 

מינוי ממונה הגנה על הפרטיות – הוראות הדין

בעבר, עד תיקון מס’ 13, הדין בישראל לא כלל חובה כללית למינוי בעל תפקיד בארגון שיהא אמון על הגנה על הפרטיות. החובה קיימת בהקשרים ובחיקוקים ספציפיים. הגם שלא קיימת חובה כללית בדין, המליצה הרשות להגנת הפרטיות על מינוי ממונה הגנה על הפרטיות בארגון, שכן מינוי זה מהווה פרקטיקה ראויה ומומלצת (Best Practice) לארגונים האוספים ומעבדים מידע אישי, בעלי מאגרים ומחזיקים כאחד. פרקטיקה זו נושאת בחובה יתרונות רבים, הן לארגון הן לנושאי המידע. מינוי ממונה הגנה על הפרטיות מסייע לארגון לוודא כי הוא עומד בהוראות דיני ההגנה על מידע אישי בישראל, מהווה אינדיקציה כי הארגון נקט ונוקט צעדים לצמצום הסיכון לפגיעה במידע האישי הנשמר ברשותו, וכן מאפשר שיתוף פעולה מיטבי עם הרשות להגנת הפרטיות.

לאחר תיקון 13 לחוק הגנת הפרטיות, מינוי ממונה על הגנת הפרטיות ((DPO) Data Protection Officer) ברשות המקומית הפך להיות חובה חוקית.

 

תפקיד ממונה ההגנה על הפרטיות

  1. להבטיח קיום ההוראות לפי החוק על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע, ולקידום השמירה על הפרטיות ואבטחת המידע במאגרי המידע.
  2. ישמש סמכות מקצועית ומוקד ידע, ייעץ להנהלת הגוף שהוא ממלא בו את תפקידו ולעובדיו, יכין תוכנית הדרכה ויפקח על ביצועה.
  3. יכין תוכנית לבקרה שוטפת על העמידה בהוראות לפי חוק זה לגבי מאגרי מידע, יוודא את ביצועה על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע. בנוסף, עליו לדווח להנהלת הגוף שהוא ממלא בו את תפקידו על ממצאיו ויציע הצעות לתיקון הליקויים.
  4. יוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר, שעריכתם נדרשת בהתאם לתקנות, שיובאו לאישור הנהלת הגוף שבו הוא ממלא את תפקידו.
  5. יוודא טיפול בפניות של בני אדם שמידע אישי על אודותיהם נמצא במאגר המידע לגבי עיבוד מידע כאמור או מימוש זכויותיהם לפי חוק זה, ובכלל זה בקשות לעיון במידע אישי או לתיקונו. דרכי ההתקשרות עם הממונה על הגנת הפרטיות יפורסמו לציבור באופן נגיש ופשוט.
  6. ישמש איש קשר של הגוף שבו הוא ממלא את תפקידו עם הרשות.

 

מה ההבדל בין ממונה על אבטחת מידע לבין ממונה הגנה על הפרטיות?

תפקידו של הממונה על אבטחת המידע בארגון הוא לוודא עמידה בכל התקנים ובכל הנהלים הרלוונטיים, הנוגעים לאבטחת מידע. בנוסף, להפעיל את מכלול האמצעים הקשורים במניעת שימוש לרעה במידע (מעבר לאיומים הקשורים לפרטיות בלבד). תפקידו של ממונה ההגנה על הפרטיות רחב יותר, ונוגע לעיצוב ולגיבוש תהליכי עבודה ונהלים בארגון הקשורים בניהול, עיבוד ושימוש במידע אישי. בין היתר, תפקידו הוא לשתף פעולה באופן הדוק עם הממונה על אבטחת המידע ולשמש עבורו מוקד ידע מקצועי באשר לאופן בו יש ליישם את דרישות האבטחה, כדי לשרת את תכליות דיני הגנת המידע האישי ולהבטיח שמירה מיטבית על הזכות לפרטיות בארגון.

 

ידע והכשרה רלוונטיים לממונה הגנה על פרטיות

ממונה ההגנה על הפרטיות צריך להבין בניהול ובטכנולוגיה. כך תתאפשר לו הבנה מיטבית של התהליכים בארגון ברמה הטכנולוגית, לצד יכולת לבחון את התאמתם לדרישות הדין. כדי שיוכל למלא את תפקידו באופן אפקטיבי, סבורה הרשות כי, תחומי הידע של ממונה הגנה על פרטיות צריכים לכלול, לכל הפחות –

  • ידיעה מעמיקה של דיני הפרטיות וההגנה על מידע אישי בישראל (לאו דווקא במסגרת השכלה משפטית פורמלית);
  • הבנה מספקת בתחום טכנולוגיות המידע והבנה בסיסית בתחום אבטחת המידע, בשים לב להיקף ולמידה בהם הארגון מבוסס מידע וטכנולוגיה.

 

ממונה הגנה על הפרטיות – פנימי או חיצוני?

על הרשות המקומית למנות ממונה על הגנת הפרטיות – עובד הרשות המקומית, או במיקור חוץ (אאוט-סורסינג) מכוח סעיף 17ב3(ב). ברשויות המקומיות, באוגדן תיאורי תפקידים של מינהל השלטון המקומי – האגף לכוח אדם ושכר ברשויות המקומיות במשרד הפנים (אוגדן המחייב את הרשויות המקומיות) – אין כיום הגדרת תפקיד ל-DPO. זאת, למרות מספר דו”חות של מבקר המדינה לאורך השנים (דו”ח ביקורת שנתי 62 (2012) “אבטחת מידע והגנת הפרטיות ברשויות מקומיות”, דו”ח מעקב מורחב בשנת 2017, ושוב בדו”ח שפורסם בשנת 2020), ממצאי פיקוח רוחב של הרשות להגנת הפרטיות. יתר על כן: גם הגדרות התפקידים הקרובים ביותר – מנהל אבטחת מידע או מנמ”ר מנהל מערכות מידע ראשי (מנמ”ר) – אינן כוללות כלל את נושא הפרטיות. לפיכך, נראה שהפתרון היחיד של הרשויות המקומיות הנו מינוי ממונה, במיקור חוץ.

בכל מקרה, ההחלטה על מתכונת ההעסקה צריכה להתקבל בכל מקרה לגופו, בשים לב למאפייני הארגון, פעולות עיבוד המידע שהוא מבצע והמשאבים העומדים לרשותו. גם זמינותם של בעלי הכשרה וידע מספקים היא שיקול רלבנטי לקביעת מתכונת ההעסקה. בארגון גדול, או כאשר ליבת העיסוק של הארגון כרוכה בעיבוד מידע אישי, או במקרים בהם מעובד מידע אישי בקנה מידה רחב, יהיה ככלל יתרון משמעותי למינוי עובד פנימי, בעל תפקיד בכיר בארגון. יש לוודא כי העובד אינו נתון לניגוד עניינים על רקע תפקיד אחר שהוא ממלא בתוך הארגון.

 

מעמדו של ממונה הגנת הפרטיות ברשות המקומית

הממונה על הגנת הפרטיות יהיה כפוף למנכ”ל הרשות, וידווח ישירות למנכ”ל הרשות (או לעובד שכפוף ישירות למנהל הכללי). עליו למלא את תפקידו בדרך אשר תשרת את הוראות החוק. חל איסור לפגוע בזכויותיו או להטיל עליו סנקציות בשל היותו מבצע של בקרה ותהליכי ביקורת.

 

חובת הקצאת משאבים למילוי התפקיד

בעל השליטה במאגר המידע או המחזיק במאגר המידע, לפי העניין, יספקו לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי נאות של תפקידו ויוודאו שהוא מעורב כראוי בכל נושא הנוגע לדיני הגנת הפרטיות. המשמעות הנה כי על הרשות המקומית להכין, במסגרת התקציב השנתי ותב”רים, אמצעים מספיקים למילוי תפקיד הממונה.

 

חובת רישום ועדכון מאגרי מידע

על אף הצמצום בחובת רישום מאגרי מידע, ברשויות המקומיות החובה נותרה כשהיתה. מבלי לגרוע מכך, מומלץ לבחון מחדש את זרימת המידע (Data Flow) כדי לבחון האם הפעילויות של הרשות או של ספקיה, מחייבת רישום מאגרי מידע או האם ניתן לגרוע מאגרים מהמרשם, לפי העניין. בנוסף, באופן שוטף, יש לבחון את עמידת מאגרי המידע הקיימים בדרישות תיקון מס’ 13.

בהתאם לסעיף 76א לחוק, רשויות מקומיות שרשמו מאגרי מידע בפנקס מאגרי מידע, המידע ימשיך להיות רשום במרשם (אם כן הודיע בעל השליטה במאגר המידע לראש הרשות להגנת הפרטיות על כך שלא מתקיימת לגבי המאגר חובת רישום).

 

עדכון מדיניות הפרטיות והודעות הפרטיות של הרשות על מנת לעמוד בדרישות השקיפות החדשות

התיקון מעגן את החובה לעשות שימוש במידע אישי אך ורק למטרת המאגר המוצהרת, ומוסיף סנקציות פליליות ומנהליות בגין הפרת עיקרון זה. לפיכך, מומלץ לבחון מחדש את זרימת המידע (Data Flow) ברשות, ואת כל היבטי ההסכמה ו/או ההתחייבויות החוזיות של ספקי מידע כלפיכם, על מנת לוודא כי העיקרון נשמר. בנוסף לכך, יש להביא לידי ביטוי את מגוון האמצעים והכלים בהן עושה הרשות המקומית שימוש, ולפרסם לידיעת הציבור את זכות העיון במידע (סעיף 13); את הזכות לניוד מידע; את הזכות להתנגד לעיבוד מידע, או לתקן את המידע. הפרה של אחת מהחובות המנויות בסעיף, בין היתר, מקנה פיצויים לדוגמה (סעיף 15 לחוק).

 

תיקון/ עדכון חוזים לאחר תיקון מס’ 13: התקשרויות עם יועצים, ספקים ונותני שירותים

חוק הגנת הפרטיות, התשמ”א -1981, ותקנות הגנת הפרטיות (אבטחת המידע), התשע”ז – 2017, קובעים כי טרם ההתקשרות עם ספק חיצוני, על הרשות למפות את סיכוני אבטחת המידע הכרוכים בהתקשרות עם אותו ספק על ידי ביצוע הערכת סיכונים ויישום הבקרות הנדרשות על עמידתו בהוראות הדין. בעניינה של הרשות המקומית, מדובר על יועצים, ספקים, נותני שירותים, תאגידים עירוניים,  עמותות עירוניות, מתנ”ס, הוועדה המקומית לתכנון ובניה, מועצה דתית.

בנוסף, על הרשות המתקשרת עם ספק חיצוני לצורך קבלת שירות שאפשר וכרוך במתן גישה למאגר מידע, להסדיר ולעגן בהסכם מול אותו גורם חיצוני את הנושאים הבאים, לכל הפחות:

המידע שספק החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי ההתקשרות; מערכות המאגר שהספק החיצוני רשאי לגשת אליהן; סוג העיבוד או הפעולה שהספק החיצוני רשאי לעשות; משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הספק החיצוני ודיווח על כך לבעל מאגר המידע; אופן יישום החובות בתחום אבטחת המידע שהמחזיק (במידה והגורם החיצוני הינו מחזיק כהגדרתו בחוק) חייב בהן לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, במידה וקבע; חובתו של הספק החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם;  חובתו של הספק החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע על אודות אופן ביצוע חובותיו לפי התקנות וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה; וכן חובתו של הספק החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה 15 לתקנות הגנת הפרטיות. בנוסף, ייתכנו מצבים (במקרה של שירותי ענן), בהם הספק החיצוני ייחשב ל”מחזיק” של המידע האישי. במקרים אלו, יש לוודא בהסכם כי הספק מקיים את חובותיו לפי הדין.

 

עורך דין רשויות מקומיות – אבטחת מידע והגנת הפרטיות

המשרד מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי שוטף, בהתמחות בתחומי אבטחת מידע והגנת הפרטיות. למשרד ניסיון ארוך שנים בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים