top image

ממונה הגנה על הפרטיות ברשויות המקומיות

ממונה הגנת הפרטיות ברשויות המקומיות - וולר ושות' משרד עורכי דין

מליאת הכנסת אישרה ביום 5/8/2024, תיקון מקיף בחוק הגנת הפרטיות (תיקון מס’ 13, התשפ”ד-2024). תיקון זה מעדכן ומבהיר את החקיקה בתחום הגנת הפרטיות, אבטחת המידע ותחום הסייבר, קובע הסדרים חדשים ומתקדמים, ומקנה כלי אכיפה יעילים, באופן שיתאים לאתגרי העידן הדיגיטלי, יגביר את ההגנה על זכות היסוד לפרטיות של הציבור בישראל ויחזק את ההתמודדות כנגד איומי הסייבר הגוברים.

במרכזו של התיקון, בהתייחס לרשויות המקומיות, עומדת החובה למינוי ממונה הגנת פרטיות (DPO), ביצוע סקר סיכונים, הטמעת תוכנית מקיפה לניהול ציות, קביעת נהלי אבטחת מידע, כתיבת נהלים ארגוניים, הטמעת הוראות חוזיות, ועדכון מדיניות הפרטיות. שינויים אלו מהווים אתגר משמעותי עבור רשויות מקומיות, המצריך השקעת משאבים ניכרת בהקמת תשתיות, הדרכה, ייעוץ משפטי ופיתוח מומחיות פנימית בתחום הגנת הפרטיות. נדרש גם שינוי תרבותי ארגוני להטמעת תפיסת הפרטיות כחלק אינטגרלי מהפעילות השוטפת. ללא מאמץ מתמשך בכיוון זה, שיסתיים בתוך שנה מיום פרסום החוק – הרשויות המקומיות, ומנהליהן הבכירים, חשופים ממשית לסיכונים משפטיים.

נזכיר כי, כבר כיום, למעלה מ-50% מהרשויות המקומיות בישראל מוגדרות במצב “רע מאוד” בסייבר, לפי הגדרות מערך הסייבר הלאומי. רק 39 מהן מוגדרות במצב “בינוני” ו-87 רשויות בלבד מוגדר “טוב”. דו”חות מבקר המדינה, משרד הפנים והרשות להגנת הפרטיות, משרטטים תמונה דומה.

 

מינוי ממונה הגנה על הפרטיות – הוראות הדין

בעבר, עד תיקון מס’ 13, הדין בישראל לא כלל חובה כללית למינוי בעל תפקיד בארגון שיהא אמון על הגנה על הפרטיות. החובה קיימת בהקשרים ובחיקוקים ספציפיים. הגם שלא קיימת חובה כללית בדין, המליצה הרשות להגנת הפרטיות על מינוי ממונה הגנה על הפרטיות בארגון, שכן מינוי זה מהווה פרקטיקה ראויה ומומלצת (Best Practice) לארגונים האוספים ומעבדים מידע אישי, בעלי מאגרים ומחזיקים כאחד. פרקטיקה זו נושאת בחובה יתרונות רבים, הן לארגון הן לנושאי המידע. מינוי ממונה הגנה על הפרטיות מסייע לארגון לוודא כי הוא עומד בהוראות דיני ההגנה על מידע אישי בישראל, מהווה אינדיקציה כי הארגון נקט ונוקט צעדים לצמצום הסיכון לפגיעה במידע האישי הנשמר ברשותו, וכן מאפשר שיתוף פעולה מיטבי עם הרשות להגנת הפרטיות.

לאחר תיקון 13 לחוק הגנת הפרטיות, מינוי ממונה על הגנת הפרטיות ((DPO) Data Protection Officer) ברשות המקומית הפך להיות חובה חוקית.

 

תפקיד ממונה ההגנה על הפרטיות

  • להבטיח קיום ההוראות לפי החוק על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע, ולקידום השמירה על הפרטיות ואבטחת המידע במאגרי המידע.
  • ישמש סמכות מקצועית ומוקד ידע, ייעץ להנהלת הגוף שהוא ממלא בו את תפקידו ולעובדיו.
  • יכין תוכנית הדרכה ויפקח על ביצועה.
  • יכין תוכנית לבקרה שוטפת על העמידה בהוראות לפי חוק זה לגבי מאגרי מידע, יוודא את ביצועה על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע.
  • ידווח להנהלת הרשות על ממצאיו ויציע הצעות לתיקון הליקויים.
  • יוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר.
  • יסייע לבעלי התפקידים בטיפול בפניות של בני אדם שמידע אישי על אודותיהם נמצא במאגר המידע לגבי עיבוד מידע כאמור או מימוש זכויותיהם לפי החוק. בכלל זה, בקשות לעיון במידע אישי או לתיקונו.
  • ישמש איש קשר של הגוף שבו הוא ממלא את תפקידו עם הרשות.

 

מה ההבדל בין CISO (מנהל אבטחת מידע ראשי) לבין DPO  (ממונה הגנת הפרטיות)?

מנהל אבטחת מידע ראשי (CISO – chief information security officer) הנו בעל תפקיד בתחום אבטחת המידע ברשויות המקומיות, האחראי על בניית “מעטפת אבטחה” שתמנע גישה לא מורשית למערכות המידע והנתונים, על מנת להפחית סיכוני מידע וטכנולוגיית מידע. תפקידו, בתמצית, את קיום הפעילות במרחב איומי הסייבר, על ידי הנחייה ובקרה. הממונה על אבטחת המידע מוודא עמידה בכל התקנים ובכל הנהלים הרלוונטיים, הנוגעים לאבטחת מידע.

ה-DPO (ממונה הגנת פרטיות), כאמור, אחראי על הגנת הפרטיות של הנתונים האישיים של תושבי הרשות ושל מקבלי השירותים, אשר מאוחסנים במאגרי המידע של הרשות המקומית. חוק הגנת הפרטיות מחייב את הרשות, באמצעות ה-DPO, להתמקד בהגנה על פרטיות המידע של התושבים והאזרחים, ועמידה בהוראות הדין. עליו להיות עצמאי בתפקידו, וכן לקבל את מלוא האמצעים למילוי חובותיו.

ההבדל העיקרי בין שני התפקידים, והסיבה שאותו אדם אינו יכול לשמש בתפקידים אלו בתוך/ עבור הרשות, הוא שה-CISO מתמקד באבטחת כלל המידע בעל הערך ברשות, בעוד שה- DPO צריך לפקח על ציות לרגולציית הפרטיות, מכוח הוראות הדין. ה- CISO לא יוכל להיות אחראי בסופו של דבר לציות לפרטיות, שכן אחריות זו מוטלת על מנכ”ל הרשות המקומית, באמצעות ממונה הגנת הפרטיות של הרשות.

 

ידע והכשרה רלוונטיים לממונה הגנה על פרטיות

ממונה ההגנה על הפרטיות צריך להבין בניהול ובטכנולוגיה. כך תתאפשר לו הבנה מיטבית של התהליכים בארגון ברמה הטכנולוגית, לצד יכולת לבחון את התאמתם לדרישות הדין. כדי שיוכל למלא את תפקידו באופן אפקטיבי, סבורה הרשות כי, תחומי הידע של ממונה הגנה על פרטיות צריכים לכלול, לכל הפחות –

  • ידיעה מעמיקה של דיני הפרטיות וההגנה על מידע אישי בישראל (לאו דווקא במסגרת השכלה משפטית פורמלית);
  • הבנה מספקת בתחום טכנולוגיות המידע והבנה בסיסית בתחום אבטחת המידע, בשים לב להיקף ולמידה בהם הארגון מבוסס מידע וטכנולוגיה.

 

ממונה הגנה על הפרטיות – פנימי או חיצוני?

סעיף 17ב3(ב) קובע כי הרשות המקומית תמנה ממונה על הגנת הפרטיות – עובד הרשות המקומית, או במיקור חוץ (אאוט-סורסינג). אלא שברשויות המקומיות, באוגדן תיאורי תפקידים של מינהל השלטון המקומי, האגף לכוח אדם ושכר ברשויות המקומיות במשרד הפנים – אין כיום הגדרת תפקיד ל-DPO. זאת, למרות מספר דו”חות של מבקר המדינה לאורך השנים (דו”ח ביקורת שנתי 62 (2012) “אבטחת מידע והגנת הפרטיות ברשויות מקומיות”, דו”ח מעקב מורחב בשנת 2017, ושוב בדו”ח שפורסם בשנת 2020). ממצאי פיקוח רוחב של הרשות להגנת הפרטיות, העלו ממצאים דומים.

יתר על כן: גם הגדרות התפקידים הקרובים ביותר – מנהל אבטחת מידע או מנמ”ר מנהל מערכות מידע ראשי (מנמ”ר) – אינן כוללות כלל את נושא הפרטיות. לפיכך, נראה שהפתרון היחיד של הרשויות המקומיות הנו מינוי ממונה, במיקור חוץ.

בכל מקרה, ההחלטה על מתכונת ההעסקה צריכה להתקבל בכל מקרה לגופו, בשים לב למאפייני הארגון, פעולות עיבוד המידע שהוא מבצע והמשאבים העומדים לרשות הרשות המקומית. גם זמינותם של בעלי הכשרה וידע מספקים היא שיקול רלוונטי לקביעת מתכונת ההעסקה. יש לוודא כי העובד אינו נתון בניגוד עניינים.

 

מעמדו של ממונה הגנת הפרטיות ברשות המקומית

הממונה על הגנת הפרטיות יהיה כפוף למנכ”ל הרשות, וידווח ישירות למנכ”ל הרשות (או לעובד שכפוף ישירות למנהל הכללי). עליו למלא את תפקידו בדרך אשר תשרת את הוראות החוק. חל איסור לפגוע בזכויותיו או להטיל עליו סנקציות בשל היותו מבצע של בקרה ותהליכי ביקורת.

 

חובת הקצאת משאבים למילוי התפקיד

בעל השליטה במאגר המידע או המחזיק במאגר המידע, לפי העניין, יספקו לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי נאות של תפקידו. על בעל השליטה לוודא את מעורבות ה-DPO בכל נושא שעניינו דיני הגנת הפרטיות. המשמעות הנה כי על הרשות המקומית להכין, במסגרת התקציב השנתי ותב”רים, אמצעים מספיקים למילוי תפקיד הממונה.

 

חובת רישום ועדכון מאגרי מידע

על אף הצמצום בחובת רישום מאגרי מידע, ברשויות המקומיות החובה נותרה כשהיתה. מבלי לגרוע מכך, מומלץ לבחון מחדש את זרימת המידע (Data Flow) כדי לבחון האם הפעילויות של הרשות או של ספקיה, מחייבת רישום מאגרי מידע או האם ניתן לגרוע מאגרים מהמרשם, לפי העניין. בנוסף, באופן שוטף, יש לבחון את עמידת מאגרי המידע הקיימים בדרישות תיקון מס’ 13.

בהתאם לסעיף 76א לחוק, רשויות מקומיות שרשמו מאגרי מידע בפנקס מאגרי מידע, המידע ימשיך להיות רשום במרשם (אם כן הודיע בעל השליטה במאגר המידע לראש הרשות להגנת הפרטיות על כך שלא מתקיימת לגבי המאגר חובת רישום).

 

עדכון מדיניות הפרטיות והודעות הפרטיות של הרשות על מנת לעמוד בדרישות השקיפות החדשות

התיקון מעגן את החובה לעשות שימוש במידע אישי אך ורק למטרת המאגר המוצהרת, ומוסיף סנקציות פליליות ומנהליות בגין הפרת עיקרון זה. לפיכך, אנחנו ממליצים לבחון מחדש את זרימת המידע (Data Flow) ברשות, ואת כל היבטי ההסכמה ו/או ההתחייבויות החוזיות של ספקי מידע כלפיכם, על מנת לוודא כי העיקרון נשמר. בנוסף לכך, יש להביא לידי ביטוי את מגוון האמצעים והכלים בהן עושה הרשות המקומית שימוש, ולפרסם לידיעת הציבור את זכות העיון במידע (סעיף 13); את הזכות לניוד מידע; את הזכות להתנגד לעיבוד מידע, או לתקן את המידע. הפרה של אחת מהחובות המנויות בסעיף, בין היתר, מקנה פיצויים לדוגמה (סעיף 15 לחוק).

 

תיקון/ עדכון חוזים לאחר תיקון מס’ 13: התקשרויות עם יועצים, ספקים ונותני שירותים

חוק הגנת הפרטיות, התשמ”א -1981, ותקנות הגנת הפרטיות (אבטחת המידע), התשע”ז – 2017, קובעים כי טרם ההתקשרות עם ספק חיצוני, על הרשות למפות את סיכוני אבטחת המידע הכרוכים בהתקשרות עם אותו ספק על ידי ביצוע הערכת סיכונים ויישום הבקרות הנדרשות על עמידתו בהוראות הדין. בעניינה של הרשות המקומית, מדובר על יועצים, ספקים, נותני שירותים, תאגידים עירוניים,  עמותות עירוניות, מתנ”ס, הוועדה המקומית לתכנון ובניה, מועצה דתית.

בנוסף, על הרשות המתקשרת עם ספק חיצוני לצורך קבלת שירות שאפשר וכרוך במתן גישה למאגר מידע, להסדיר ולעגן בהסכם מול אותו גורם חיצוני את הנושאים הבאים, לכל הפחות:

המידע שספק החיצוני רשאי לעבד ומטרות השימוש המותרות בו; מערכות המאגר שהספק החיצוני רשאי לגשת אליהן; סוג העיבוד/הפעולה שהספק החיצוני רשאי לעשות; משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הספק החיצוני והדיווח על כך; אופן יישום החובות בתחום אבטחת המידע שהמחזיק חייב בהן, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע; חובת הספק החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם; חובת הספק לדווח לבעל מאגר המידע על אודות אופן ביצוע חובותיו לפי התקנות וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה. בנוסף, ייתכנו מצבים (במקרה של שירותי ענן), בהם הספק החיצוני ייחשב ל”מחזיק” של המידע האישי.

 

עורך דין רשויות מקומיות – אבטחת מידע והגנת הפרטיות

המשרד מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי שוטף, בהתמחות בתחומי אבטחת מידע והגנת הפרטיות. למשרד ניסיון ארוך שנים בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign