תאגידי המים והביוב הוקמו מכוח חוק תאגידי המים והביוב, התשס”א-2001, במטרה להסדיר את משק המים והביוב בישראל ולנתקו מתלות תקציבית ברשויות המקומיות. החוק ביקש להבטיח כי שירותי המים והביוב יינתנו לציבור ברמה נאותה של אמינות, איכות ושוויון, במחירים סבירים וללא הפליה. ואולם, ההגשמה של מטרות אלו כרוכה בהכרח בניהול מאגרי מידע נרחבים, הכוללים מידע אישי רגיש של צרכנים ותושבים.
💡 סיכום מנהלים: חובת מינוי DPO
תיקון 13 לחוק הגנת הפרטיות מחייב תאגידים המנהלים מאגרי מידע רגישים, בדגש על מאגרי מצלמות ומאגרי עובדים, במינוי ממונה הגנת פרטיות (DPO) חיצוני ובלתי תלוי. משרד וולר ושות’ מספק ליווי מקצועי המבטיח עמידה ברגולציה וצמצום חשיפה משפטית של נושאי משרה.
הגנת הפרטיות בתאגידי מים וביוב – מהו “מידע אישי”?
חוק הגנת הפרטיות מגדיר “מידע אישי” כנתון הנוגע לאדם מזוהה. בהקשר של תאגידי מים מדובר בפרטי זיהוי מלאים, כתובות מגורים, חוזי שכירות, מספרי נכסים, נתוני צריכת מים, חיובים ותשלומים, וחובות כספיים. לכך מתווספים נתונים בדבר זכאות להנחות, הקלטות שיחות עם מוקד השירות, ותיעוד פניות בדיגיטל (WhatsApp). מכלול נתונים אלו מציב את התאגידים כבעלי מאגרי מידע מהותיים המחייבים ניהול מקצועי.
מה השלכות תיקון 13 על תאגידי מים וביוב?
תיקון 13, שנכנס לתוקף ב-2025, הגדיר את התאגידים כ”גוף ציבורי”, מה שמטיל עליהם חובות קשיחות:
מינוי ממונה הגנת פרטיות (DPO)
כל תאגיד מחויב למנות ממונה בלתי-תלוי המדווח ישירות למנכ”ל. חשוב להדגיש: אין למנות את מנהל אבטחת המידע (CISO) לתפקיד ה-DPO. ה-CISO עוסק באבטחה טכנולוגית, בעוד ה-DPO אחראי על ניהול סיכוני פרטיות ודיווח לרגולטור. שילוב התפקידים יוצר ניגוד עניינים מהותי.
ניהול ורישום מאגרי מידע
חובה למפות, לרשום ולדווח על מאגרי מידע ברשות להגנת הפרטיות. עיבוד המידע יתבצע אך ורק למטרות שהוגדרו, וגישה למידע תותר לעובדים מורשים בלבד תוך בקרת גישה תקופתית.
נהלים, בקרה והדרכה
על התאגיד לקיים מערך נהלים כתובים ולבצע סקרי סיכונים והערכות השפעה על פרטיות (DPIA), בפרט בפרויקטים של טכנולוגיות מדידה חכמה (IoT). קיימת חובה להטמיע תוכנית הדרכה לעובדים להבטחת ציות להוראות הדין.
השוואה אסטרטגית: DPO חיצוני מול פנימי
| קריטריון | ממונה פנימי (In-house) | DPO חיצוני (וולר ושות’) |
|---|---|---|
| ניגוד עניינים | סיכון גבוה (כפיפות להנהלה) | בלתי תלוי – אובייקטיביות מלאה |
| מאגרי מצלמות ועובדים | טיפול טכני בלבד | ניהול רגולטורי מלא וסקרי סיכונים |
| אחריות נושאי משרה | חשיפה משפטית גבוהה | צמצום חשיפה וליווי הגנתי |
דרישות אבטחת מידע: חוק ותקנות רשות המים
אספקת מים היא שירות חיוני. פגיעה במערכות אלו עלולה להוביל לנזק תפקודי וכלכלי כבד. על רקע איומי הסייבר (בפרט בחירום), תאגידי המים מחויבים לעמוד בתקנות הגנת הפרטיות (אבטחת מידע) תשע”ז-2017 ובנוהל הגנת סייבר של רשות המים.
תשלומים וסליקה
מועד התשלום הוא רגע רגיש שבו נמסר מידע פיננסי בעל ערך. גם כשהסליקה מבוצעת על ידי ספק חיצוני, התאגיד נותר בעל המאגר והאחראי עליו. חובה לוודא שימוש בפרוטוקולים מוצפנים ושקיפות מלאה מול הצרכן לגבי אופן הטיפול בנתוניו.
מאגרי מצלמות ועובדים
מאגר מצלמות: הפעלת מערכות מעקב (CCTV) מחייבת רישום מאגר, הצבת שילוט וקביעת נוהל עבודה מסודר למניעת פגיעה בפרטיות העובדים והציבור.
מאגר עובדים: מרכז נתונים רגישים (רפואיים ופיננסיים). חובת ה-DPO להבטיח שימוש למטרות העסקה בלבד ושמירה על זכות העיון.
לסיכום
תאגידי המים אינם רק גופים הנדסיים, אלא מנהלי מאגרי מידע רחבי היקף. חובת הציות היא תנאי חיוני לשמירה על אמון הציבור והגנה מפני סנקציות. משרד וולר ושות’ מלווה תאגידים בהיערכות מלאה לדרישות החוק ובניית מערך פרטיות יעיל.
זקוקים לממונה הגנת פרטיות (DPO) חיצוני?
צרו קשר עם משרד עו”ד וולר ושות’ לייעוץ וליווי רגולטורי מקיף.
