הרשות להגנת הפרטיות במשרד המשפטים פרסמה בשנת 2024 מדריך מקיף לביצוע תסקירי השפעה על פרטיות (DPIA). המדריך – שאינו במעמד של הנחייה מחייבת, משמש כלי סיוע לארגונים ולגופים במגזר הציבורי והפרטי לזהות, להעריך ולנהל את הסיכונים לפרטיות הגלומים בפרויקטים ובפעילויות עיבוד מידע אישי. בנוסף, המדריך יאפשר תכנון וביצוע מעקב שוטף אחר השלמת תסקיר ההשפעה ועדכון, במקרה של שינוי מהותי בפרויקט או בסביבת העיבוד. סקירה.
שלבי מפתח בתהליך תסקיר השפעה על הפרטיות
ביסוד המדריך עומדת חלוקה לשבעה שלבים מרכזיים, הממלאים תפקיד מתוכנן לאורך כל מחזור חיי הפרויקט:
קבלת החלטה על ביצוע התסקיר
השלב הראשוני כולל הערכת הצורך בביצוע תסקיר השפעה על הפרטיות, בהתאם למאפייני הפרויקט ועיסוקו בעיבוד מידע אישי. יש לבחון אם עיבוד הנתונים עשוי לסכן זכויותיהם של נושאי המידע, כגון עיבוד קטגוריות מיוחדות של מידע או העמקת מעקב שיטתי באוכלוסייה רחבה.
תיאור פעילויות עיבוד המידע
בשלב זה יש לתאר את סוגי הנתונים, ההקשר העסקי והטכנולוגי של העיבוד, אמצעי האחסון, הנגישות למידע והקשר העיבוד למקורות חיצוניים. התיאור מאפשר הבנת תמונת המצב הכוללת לפני התחלת סקר הסיכונים.
התייעצות עם נושאי המידע ובעלי עניין
המדריך של הרשות להגנת הפרטיות, נועד לקדם הליך שיתוף ציבור וגורמים פנימיים בארגון, לרבות נציגי העובדים או הלקוחות, מנת להציף חששות אפשריים ולשפר את אמון הציבור בתהליכים. היקף השיתוף ותיעוד תגובות הצדדים מהווים חלק בלתי נפרד מהמסמך הסופי.
הערכת חוקיות ומידתיות פעולות העיבוד
יש לבחון את הצורך העקרוני של העיבוד, חלופות פחות פולשניות, והיקף החובת הציות לחוק הגנת הפרטיות והתקנות שהותקנו מכוחו. כמו כן, מגדירים את הבסיס החוקי לעיבוד – בין אם בהסכמה, בשל הוראה חוקית או מטעם אחר – ומשערים את מידת מידתיות הפעולות לאור עקרונות הפרטיות והשמירה על זכויות נושאי המידע .
זיהוי והערכת סיכונים לפגיעה בפרטיות
בהסתמך על מתודולוגיות כגון מטריצת סיכונים, מאפיינים את הסיכונים האפשריים לתוצאות שליליות לפגיעה בזכויות הנושאים – החל מפגיעה בסודיות ועמידה לרוח הציבור ועד לנזקים כלכליים, תפעוליים או לפגיעה בשמו הטוב של הארגון. מטריצה זו משקללת את חומרת הנזק ותדירות המימוש האפשרי כדי לתעד רמה סבירה של סיכון .
זיהוי אמצעים לצמצום הסיכונים
לאחר זיהוי הסיכונים, מציג המדריך מגוון אמצעים טכנולוגיים, ארגוניים ומשפטיים לצמצום הסיכונים – החל בהגבלות גישה, אנונימיזציה או פיסאודונימיזציה ועד לסקירה חוזרת של תהליכי מיקור חוץ ועדכון נהלים. כל אמצעי נבחן בכפוף לעלויותיו ובכפוף להשגת מטרות העיבוד .
תיקוף ואישור התסקיר
המסמך צריך לקבל את התייחסות ההנהלה הבכירה או הדירקטוריון, וכן לגורם הממונה על הגנת הפרטיות בארגון (DPO) וליועץ המשפטי, לכל הפחות. האישור קובע את רמת הסיכון השיורי שנותר לאחר יישום אמצעי המיגון וממתג את האחריות למעקב מתמשך ועדכון בהתאם לשינויים עתידיים.
אחריות ומעורבות הגורמים בארגון
המדריך מדגיש את החשיבות של תרומת הממונה על הגנת הפרטיות (DPO) לכל אורך התהליך. החל מהערכת הצורך והיקף התסקיר, דרך תיאום ושיתוף עם גורמים טכנולוגיים ומשפטיים, ועד לאישור הסופי והטמעת המסקנות בארגון. על אף שהאחריות הסופית מוטלת על מנהלי הפרויקט ובעלי מאגרי המידע, הממונה משמש כגוף מוביל בהנחייה, באישור ובמעקב אחר יישום דרישות המידתיות והבטיחות.
יישום מתמשך ועדכון שוטף
המדריך מדגיש כי תסקיר ההשפעה אינו מסמך חד־פעמי אלא פרוצדורה מתמשכת, שיש לעדכנה עם כל שינוי מהותי בפרויקט או בסביבת העיבוד. המדריך ממליץ להגדיר לוח זמנים מסודר לבחינה מחודשת ולוודא שהארגון שומר על התאמה מלאה להוראות דיני הגנת הפרטיות ולמיטב הפרקטיקה המקצועית.
לבסוף, מתוך רוח שקיפות ואחריותיות, מוצע לשקול לפרסם גרסה מצומצמת של התסקיר לעיני הציבור או לבעלי העניין המרכזיים, במטרה לשפר את אמון הארגון במנגנוני ההגנה והבקרה שלו. עם זאת, יש לאזן בין הצורך בשקיפות לבין שמירה על סודיות מידע מסחרי ועמידה בחובת הסיווג הפנימי.
סיכום
מדריך תסקיר השפעה על פרטיות (DPIA) של הרשות להגנת הפרטיות מהווה מסמך מקצועי, מקיף וטכני, המיועד לסייע לארגונים ולגופים ציבוריים ולפרטיים להתוות תהליך מובנה להערכת וניהול סיכוני פרטיות. באמצעות תיאור שלבי התהליך, חלוקת אחריות ברורה ושימת דגש על גמישות ועדכון מתמשך, המדריך מהווה כלי יישומי חיוני לכל מי העוסק בתכנון, בפיתוח ובהטמעת מערכות המופעלות על מידע אישי.
מדריך מקיף לביצוע תסקירי השפעה על פרטיות (DPIA).
משרד עו”ד וולר ושות’ מתמחה בדיני הגנת הפרטיות. עם ניסיון רב במתן ייעוץ מקיף לגופים ציבוריים ופרטיים כאחד, מלווה המשרד תהליכי תסקירי השפעה על הפרטיות (DPIA) החל מההגדרה והערכת הסיכונים, ועד להטמעה ובקרת ביצוע שוטפת. צרו קשר.
