ממונה הגנה על הפרטיות ברשויות המקומיות

ביום 24/1/2022, פרסמה הרשות להגנת הפרטיות במשרד המשפטים, מסמך המלצות עבור ארגונים וחברות, מכלל המגזרים, בנוגע למינוי ממונה הגנה על הפרטיות בארגון ותפקידיו (קישור ישיר – כאן). מוזמנים לקרוא את עיקרי הדברים, ואת המלצות משרדנו, עבור הרשויות המקומיות.

מינוי ממונה הגנה על הפרטיות – הוראות הדין

כיום, הדין בישראל אינו כולל חובה כללית למינוי בעל תפקיד בארגון שיהא אמון על הגנה על הפרטיות. החובה קיימת בהקשרים ובחיקוקים ספציפיים. הגם שלא קיימת חובה כללית בדין, סבורה הרשות להגנת הפרטיות כי מינויו של ממונה הגנת פרטיות באופן וולונטרי מהווה פרקטיקה ראויה ומומלצת (Best Practice) לארגונים האוספים ומעבדים מידע אישי, בעלי מאגרים ומחזיקים כאחד. פרקטיקה זו נושאת בחובה יתרונות רבים, הן לארגון הן לנושאי המידע. מינוי ממונה הגנה על הפרטיות מסייע לארגון לוודא כי הוא עומד בהוראות דיני ההגנה על מידע אישי בישראל, מהווה אינדיקציה כי הארגון נקט ונוקט צעדים לצמצום הסיכון לפגיעה במידע האישי הנשמר ברשותו, וכן מאפשר שיתוף פעולה מיטבי עם הרשות להגנת הפרטיות.

מתוך הבנה שיצירת התפקיד איננה נטולת עלויות, ממליצה הרשות על מינוי ממונה הגנת פרטיות לפחות בארגונים אשר עסקיהם או השירותים שהם מספקים הם מבוססי מידע, או בארגונים אשר קיימת סבירות שפעילותם תיצור סיכון מוגבר לפרטיות. זאת, בין בשל מאפייני הארגון, בין בשל סוג המידע ורגישותו, ובין בשל היקף המידע או מספר מורשי הגישה אליו.

תפקיד ממונה ההגנה על הפרטיות

התפקידים והמשימות שמומלץ לשקול להטיל על הממונה: הסדרת תהליכי ניהול מידע; פיקוח ובקרה; הדרכה והטמעה. ממונה הגנת הפרטיות יכול שיהיה מינוי פנימי, עובד או מינוי חיצוני. ההחלטה על מתכונת ההעסקה צריכה להתקבל בכל מקרה לגופו, בשים לב למאפייני הארגון, פעולות עיבוד המידע שהוא מבצע והמשאבים העומדים לרשותו. גם זמינותם של בעלי הכשרה וידע מספקים היא שיקול רלבנטי לקביעת מתכונת ההעסקה. הרשות סבורה כי בארגון גדול, או כאשר ליבת העיסוק של הארגון כרוכה בעיבוד מידע אישי, או במקרים בהם מעובד מידע אישי בקנה מידה רחב, יהיה ככלל יתרון משמעותי למינוי עובד פנימי, בעל תפקיד בכיר בארגון. היה ומדובר במינוי פנימי, יש לוודא כי העובד אינו נתון לניגוד עניינים על רקע תפקיד אחר שהוא ממלא בתוך הארגון.

מה ההבדל בין ממונה על אבטחת מידע לבין ממונה הגנה על הפרטיות?

תפקידו של הממונה על אבטחת המידע בארגון הוא לוודא עמידה בכל התקנים ובכל הנהלים הרלוונטיים, הנוגעים לאבטחת מידע. בנוסף, להפעיל את מכלול האמצעים הקשורים במניעת שימוש לרעה במידע (מעבר לאיומים הקשורים לפרטיות בלבד). תפקידו של ממונה ההגנה על הפרטיות רחב יותר, ונוגע לעיצוב ולגיבוש תהליכי עבודה ונהלים בארגון הקשורים בניהול, עיבוד ושימוש במידע אישי. בין היתר, תפקידו הוא לשתף פעולה באופן הדוק עם הממונה על אבטחת המידע ולשמש עבורו מוקד ידע מקצועי באשר לאופן בו יש ליישם את דרישות האבטחה, כדי לשרת את תכליות דיני הגנת המידע האישי ולהבטיח שמירה מיטבית על הזכות לפרטיות בארגון.

ידע והכשרה רלוונטיים לממונה הגנה על פרטיות

ממונה ההגנה על הפרטיות צריך להבין בניהול ובטכנולוגיה. כך תתאפשר לו הבנה מיטבית של התהליכים בארגון ברמה הטכנולוגית, לצד יכולת לבחון את התאמתם לדרישות הדין. כדי שיוכל למלא את תפקידו באופן אפקטיבי, סבורה הרשות כי, תחומי הידע של ממונה הגנה על פרטיות צריכים לכלול, לכל הפחות –

• ידיעה מעמיקה של דיני הפרטיות וההגנה על מידע אישי בישראל (לאו דווקא במסגרת השכלה משפטית פורמלית);
• הבנה מספקת בתחום טכנולוגיות המידע והבנה בסיסית בתחום אבטחת המידע, בשים לב להיקף ולמידה בהם הארגון מבוסס מידע וטכנולוגיה.

מעמדו של ממונה הגנת הפרטיות בארגון

כדי שיוכל למלא באופן מיטבי את תפקידיו ואת המשימות המוטלות עליו, ממליצה הרשות כי הממונה יהיה חלק מההנהלה הבכירה של הארגון, או לכל הפחות ידווח ישירות להנהלה הבכירה וישולב בהיררכיה של הארגון בעמדה בכירה דיה, שתאפשר לו להשפיע באופן יעיל על התהליכים המרכזיים בארגון.

ממונה הגנה על הפרטיות ברשויות המקומיות

למרות מספר דו”חות של מבקר המדינה לאורך השנים (דו”ח ביקורת שנתי 62 (2012) “אבטחת מידע והגנת הפרטיות ברשויות מקומיות”, דו”ח מעקב מורחב בשנת 2017, ושוב בדו”ח שפורסם בשנת 2020), ממצאי פיקוח רוחב של הרשות להגנת הפרטיות, וכן המלצות הרשות שצויינה לעיל, עיון באוגדן תיאורי תפקידים של משרד הפנים, לא מעלה כל תפקיד של הממונה על הפרטיות. יתר על כן: גם הגדרות התפקידים הקרובים ביותר – מנהל אבטחת מידע או מנמ”ר מנהל מערכות מידע ראשי (מנמ”ר) – אינן כוללות כלל את נושא הפרטיות !

לפיכך, מוצע לרשויות המקומיות, לפנות למשרד הפנים בבקשה להרחיב את הגדרות התפקיד, או ליצור הגדרה חדשה לתקן ממונה הגנה על הפרטיות. אין בכך כדי לסייג את חובותיה של הרשות המקומית, לפעול לפי הוראות כל דין. לצעדים הראשוניים בתחום, מוזמנים לעיין במאמר “פרטיות ואבטחת מידע ברשויות המקומיות ובתאגידים העירוניים“.

עורך דין רשויות מקומיות – אבטחת מידע והגנת הפרטיות

המשרד מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי שוטף, בהתמחות בתחומי אבטחת מידע והגנת הפרטיות. למשרד ניסיון ארוך שנים בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.