חומר רקע

PDF 53,240 תווים המסמך המקורי ↗
עו"ד נועה דיאמונד- טל. 5786 640 - 03 דוא"ל[email protected] חובת מינוי ממונה על הגנת( פרטיות בארגוניםDPO) ואיפיון התפקיד : סקירה והמלצות מנחי הקליניקה לפרטיות: פרופ' מיכאל בירנהק, עו"ד נועה דיאמונד והסטודנטים אסף ניאזוב, אלה שרק", שנה"ל תשפ ד מאי2024 2 תקציר צמיחתו של תחום הגנת המידע בעקבות התפתחות הטכנולוגיה, איסוף ועיבוד הנתונים בכמות נרחבת, לווה בהכרה שיש לפעול בדרכים שונות להגן על האינטרסים של נושאי המידע. כחלק ממגמה זו, הוכרה החשיבות .של ייחוד תפקיד בארגונים לצרכי הגנה על פרטיות במידע מינוי וולונטרי של ממונה על הגנת הפרטיות ( במידעDPO ) נפוץ ברחבי העולם, ובפרט באיחוד האירופי. המינוי הומלץ באופן וולונטרי בדרך שלBest- Practice גם על-ידי הרשות להגנת הפרטיות ,בישראל בשנת2022 . עם תחילת היישום של רגולציית ההגנה ( על המידעGDPR ) באיחוד האירופי, מינוי זה הפך לחובה.במדינות אירופה לעמדת הקליניקה לפרטיות , נכון לקבוע חובת מינוי כזו גם בדין הישראלי, במקרים המתאימים, שיוגדרו בהתחשב בהיקף ורגישות המידע הנאסף בארגון. על קביעת החובה להתבצע תוך איזון בין שאיפה להגנה מירבית על פרטיות למניעת .הטלת עומס בלתי סביר על ארגונים מאחר ש עברו מספר שנים מתחילת חובת המינוי באיחוד האירופי , ניתן להבחין בהשפעות של חובה זו על השוק בפועל. סקר שערך האיחוד האירופי מצא פערים אכיפתיים משמעותיים – ארגונים שנדרשו בחוק למנותDPO לא עשו זאת, לא ניתנו ל- DPO משאבים מתאימים, מונוDPOs שמחזיקים במקביל בתפקידים שמציבים אותם בניגוד עניינים וכןDPOs לא היו מעורבים בצורה מספקת בקבלת ההחלטות .בארגון  ניתן ורצוי ללמוד מהניסיון האירופי ובהחלטות לגבי יישום חובת מינויDPO בישראל יש לתת את הדעת .על הפערים הללו, תוך התחשבות בייחודיות של השוק הישראלי כשוק קטן יחסית תפקידי ה- DPO מגוונים, וכוללים בעיקר פיקוח על ציות לחקיקה הקשורה לפרטיות ולרגולציה הקשורה להגנה על מידע אישי, התווית מדיניות הארגון בנושא עיבוד מידע אישי, גיבוש תסקיר השפעה על פרטיות בארגון, שיתוף פעולה עם הרשות המאסדרת ותפקוד כאיש קשר של הרשות המאסדרת ונ ו שאי המידע .בענייני עיבוד מידע  אנחנו סבורים שיש להגדיר תפקידים אלו בחוק .כתפקיד מובחן מממונה אבטחת מידע בארגון  בנוסף אנו סבורים ש כדי לאפשר מילוי תפקידי ו באופן מהותי, יש לעגן בחקיקה מנגנונים שונים שיבטיחו את רמת כישוריו ושימור כשירותו של ממונה הגנת הפרטיות, עצמאותו, היעדר ניגוד עניינים ומיקומו בתוך .המערך הארגוני  בנוסף, כדי להעניק לתפקיד את החשיבות הראויה לו , נמליץ להתייחס להיבטים של אחריות הממונה ולקבוע סנקציות במקרה של אי- .ציות 3 מבוא אחד ממניעי תיקון14 לחוק הגנת הפרטיות הוא "השינויים הטכנולוגיים והמשקיים מרחיקי הלכת באופן שבו מידע נאסף, מעובד ונעשים בו שימושים נוספים, וזאת במסגרת הפעילות השגרתית של ארגונים ויחידים." מטרת ההצעה היא להתאים את החוק לאותם אתגרים עכשוויים בהגנה על מידע אישי במאגרי .מידע1 כחלק מאותה מגמת עדכון, הקליניקה לפרטיות סבורה שיש לנקוט צעדים נוספים על מנת להתאים את החוק לעולם המודרני. נייר עמדה זה דן באמצעי שלטעמנו הוא בעל פוטנציאל משמעותי למנוע מראש גישה ושימוש לא נכון במידע אישי: הטמעת תפקיד ה - DPO ( Data Protection Officer) מ רגולציית ההגנה ( על המידעGDPR) באיחוד האירופי ., בחוק בישראל כממונה הגנה על הפרטיות מינוי וולונטרי של ממונה הגנת הפרטיות במידע נפוץ ברחבי העולם, ובפרט באיחוד האירופי. המינוי הומלץ באופן וולונטרי בדרך שלBest-Practice על- ידי הרשות להגנת הפרטיות בישראל בשנת2022 . עם כניסת ה- GDPR לתוקף מינוי זה הפך לחובה במדינות אירופה. מגמה זו מתבססת על תפיסה לפיה תפקיד ה- DPO נחוץ לצורך הגנה על פרטיות המידע, בעידן גלובלי שבו נתונים אישיים זורמים באופן חסר תקדים וחוצה ,גבולות. בנייר עמדה זה, אנו ממליצים לחייב מינוי זה בחקיקה ומציעים כיצד להגדירו ולאפיינו . בפרק הראשון נתאר כיצד בא לעולם תפקיד ה- DPO ומדוע הוא נחוץ. נציג כיצד התפקיד בא לידי ביטוי ב- DPR G ., ומה הוא כולל, כדי ליצור תשתית להבנת התפקיד והמשך הדיון בפרק השני נציג את התוצאות בשטח, כיצד התפקיד מיושם בפועל באיחוד האירופי ובפרט את הקשיים שעולים מהגדרת התפקיד בצורתו הנוכחית באירופה. זאת כדי שנוכל להבין אלו עקרונות ראוי לאמץ מהדין האירופי ומה נרצה להטמיע בצורה .משודרגת בפרק השלישי נציג את הדין הקיים בישראל כתשתית להבנה כיצד ניתן להטמיע את התפקיד .לדין הישראלי בפרק הרביעי נציע כיצד ניתן להטמיע בישראל את תפקיד ממונה על הגנת הפרטיות, ובעיקר מהם השיקולים שיש לתת עליהם את הדעת הן בראי האתגרים שתיארנו בפרק השני והן לאור ייחודיות הדין הישראלי. בסוף פרק זה מרוכזות המלצותינו . לבסוף נסכם . 1 . Data Protection Officer – רקע ונחיצות תחום הגנת המידע הלך וצמח בעקבות התפתחות הטכנולוגיה שאפשרה תהליכי איסוף ועיבוד נתונים בכמות .נרחבת, ובעקבות תהליכי גלובליזציה שהפנו את המבט לבחינת זרימת נתונים אישיים באופן חוצה גבולות מכאן .עלה צורך להגן על האינטרסים של נושאי המידע ועם זאת לאפשר את זרימת הנתונים2 הדבר נעשה תחילה דרך משפט רך: נוצרו נהלי מידע הוגן( FIPs ) על ידי ההמלצות של ה- OECD והאמנה של מועצת ( אירופהCoE ) ,, ובהמשך ה דירקטיבה המחייבת של האיחוד האירופי משנת1995 . 3 1 'מס (תיקון הפרטיות הגנת חוק להצעת ההסבר דברי 14התשפ"ב ), - 2022 הממשלה ה"ח , 1496 , https://fs.knesset.gov.il//24/law/24_ls1_615961.pdf . 2 , 24 COMP.L.& The EU Data Protection Directive: An Engine of a Global Regime Michael D. Birnhack, SECURITY REPORT 508, 513-514 (2008) . 3 Directive 95/46 EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and the free movement of such data (OJ L281, 23.11.1995, p.31) . 4 הדירקטיבה קבעה את כללי המשחק בעולם הגנת הפרטיות וחייבה את המדינות החברות באיחוד לקבוע חוקים לאומיים שיבטיחו את היישום המלא של ההוראה, 4 וכן כללה תחולה גם על מדינות מחוץ לאיחוד .האירופי אשר זורמים אליהן נתונים אישיים מאירופה5 בשנת2001 אימץ האיחוד האירופי רגולציה שפירטה והוסיפה להוראות הדירקטיבה בכל הנוגע להבטחת הגנה בעיבוד נתונים אישיים על ידי גופים ומוסדות, והרחיבה את סמכויות הרשויות המפקחות שאחראיות .להבטחת ציות לרגולציה6 כלומר, השמירה על כללי המשחק נהפכה למורכבת יותר. לחברות גלובליות גדולות נוסף האתגר להבין מהו הדין שחל עליהן, וכיצד עליהן ליישם את התקנות והרגולציה כדי לשמור על התאימות הנדרשת לאורך כל מחזור איסוף ועיבוד הנתונים שהן מבצעות. חברות קטנות יותר גם התמודדו עם אתג רי ציות ובעיקר .השקעה של משאבי טכנולוגיה ומשאבים משפטיים כדי להתמודד עם מורכבות הציות לתקנות והרגולציה7 כמענה לקשיים הללו, הרגולציה מ- 2001 הציגה את תפקיד ה- Data Protection Officer ( DPO ). לפי הרגולציה, על הגופים למנות גורם שישמש עבורם כ - DPO בארגון שיבטיח יישום התקנות והרגולציה ( הנדרשות, שיהיה בקשר עם הרשויות המפקחות, ויסייע לבעל השליטה במידעData Controller ) ולמעבד ( המידעData Processor ) ( בארגון לבצע את עבודתם תוך שמירה על זכויות נושאי המידעData Subjects ) . כדי שה- DPO יבצע את עבודתו כראוי, נקבע שיש לוודא שהוא ממונה על סמך הידע המקצועי שלו ושעבודתו .תעשה באופן עצמאי ונטול ניגוד עניינים8 התפתחויות טכנולוגיות נוספות, בפרט התפתחותו של האינטרנט והפיכתו לפלטפורמה מרכזית לאיסוף ,מידע, הובילו לאיסוף מידע בהיקף חסר תקדים. לעמדת האיחוד האירופי איסוף מידע שכזה, כאשר אינו .מוסדר, עלול לפגום באמון הצרכנים בשוק ולהרתיע פעילות כלכלית9 על רקע זה נכנס לתוקף ב- 2018 ה- GDPR של האיחוד האירופי, במסגרתו הורחב תפקיד ה- DPO והוגדרו בהרחבה סמכויותיו, עצמאותו .והעקרונות שעליו לעמוד בהם10 4 סעיף24 לדירקטיבה95/46 . 5 סעיף25 לדירקטיבה95/46 . 6 Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000, on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (OJ L 8, 12.01.2001, p. 1) . 7 , ARGET T ECH T , Privacy Compliance Stephen J. Bigelow & Ben Cole, compliance - https://www.techtarget.com/searchcio/definition/privacy . 8 סעיף24 לרגולציה45/2001 . 9 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data - lex.europa.eu/legal - https://eur (General Data Protection Regulation), ontent/EN/TXT/?uri=COM%3A2012%3A0011%3AFIN c . 10 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing - https://eur 88), - Directive 95/46/EC (General Data Protection Regulation), (OJ L 119, 4.5.2016, p. 1 ex.europa.eu/eli/reg/2016/679/oj l :(להלןGDPR ). 5 1.1 תפקיד ה- DPO תחת ה- GDPR החובה למנותDPO ה- GDPR מחייב גופים מסוימים שעליהם חלה הרגולציה למנותDPO . זאת, בין היתר, כאשר עיבוד המידע מתבצע ע ל יד;י גוף ציבורי, פרט לבתי משפט11 כאשר פעולות הליבה של הארגון כוללות עיבוד מידע אישי ;ואשר מתוקף טיבן, היקפן או מטרותיהן, מחייבות ניטור שיטתי ומערכתי של נושאי מידע בהיקף רחב12 .או כאשר ליבת העיסוק של הארגון כוללת עיבוד מידע אישי רגיש בהיקף רחב13 בגופים ציבוריים יכול להתמנותDPO .יחיד למספר גופים, בהתחשב בגודלם ובמבנה הארגוני שלהם14 מספר חברות קשורות ( group of undertakings ), אשר לאחת מהן שליטה על עיבוד המידע האישי באחרות, יכולות גם הן למנות DPO יחיד, בתנאי שה- DPO .נגיש בקלות לכולן 15 ה- DPO יכול להיות שכיר בארגון או מינוי חיצוני בהתאם לחוזה שיופקד אצל ה .רשות המאסדרת16 תפקיד ה- DPO משימות הממונה על הגנת הפרטיות כוללות ייעוץ בנוגע ליישום החובות המנויות ב - GDPR ובחוקים אחרים ;של האיחוד האירופי או של המדינה הרלוונטית, בנושא הגנה על מידע אישי17 פיקוח על ציות הארגון ;לרגולציה בנושא הגנה על מידע אישי ועל מדיניות הארגון בנושא18 הקצאת אחריות לבעלי התפקידים הרלוונטיים, העלאת מודעות והדרכת העובדים; ייעוץ ופיקוח על תהליך גיבוש תסקיר השפעה על פרטיות ;בארגון19 שיתוף פעולה עם הרשות המאסדרת ; 20 ותפקוד כאיש הקשר של הרשות המאסדרת בענייני עיבוד .מידע21 על ה - DPO להתחשב בעת מילוי תפקידו בסיכונים הכרוכים בפעילות עיבוד המידע, תוך התחשבות .באופי, בהיקף, בהקשרו ובמטרות העיבוד22 כשירות לתפקיד לפי ה - GDPR , ממונה ההגנה על הפרטיות נדרש להיות בעל מומחיות בדינים ובנהלים העוסקים בהגנה על .מידע אישי23 רמת המומחיות הנחוצה והידע צריכים להיקבע על בסיס הליכי העיבוד וההגנה הנדרשת על 11 סעיף37 (1 () a) ל- GDPR . 12 סעיף37 (1 () b) ל- GDPR . 13 סעיף37 (1 () c) ל- GDPR . 14 סעיף37 (3) ל- GDPR . 15 סעיף37 (2) ל- GDPR . 16 סעיף37 (6) ל- GDPR . 17 סעיף39 (1 () a) ל- GDPR . 18 סעיף39 (1 () b) ל- GDPR . 19 סעיף39 (1 () c) ל- GDPR . 20 סעיף39 (1 () d) ל- GDPR . 21 סעיף39 (1 () e) ל- GDPR . 22 סעיף39 (2) ל- GDPR . 23 סעיף37 (5) ל- GDPR . 6 .הנתונים המסוימים בחברה24 רמת המומחיות הנדרש ת לא מוגדרת בפירוט , אך היא צריכה להיות תואמת את הרגישות, .המורכבות וכמות הנתונים שהארגון מעבד25 עצמאות תחת ה- GDPR, ה - DPO צריך להיות עצמאי בפעילותו - אין להנחות אותו ביחס לפעילותו, ואין לפטר אותו .או לפגוע בתנאי העסקתו בשל ביצוע תפקידיו26 עם זאת, האוטונומיה שה - DPO מקבל לא מקנה לו סמכות לבצע משימות מעבר למוקנה לו מ כוח סעיף39 ,. יתרה מכך האחראים לעמידה בחוק הם בעל השליטה במידע ומעבד המידע אשר יכולים להתנגד להמלצת ה - DPO. במקרה כזה יש לאפשר ל- DPO להציג את .עמדתו מול הנהלה בכירה יותר27 ה- GDPR לא קובע פרוצדורה לפיטורי ם או החלפ ה של DPO, זאת בניגוד לרגולציה מ- 2001 . הגוף המייעץ )"לענייני הגנת מידע ופרטיות באיחוד האירופי (להלן: "הגוף המייעץ ה מליץ שבחוזה של ה- DPO יהיו ערבויות נגד פיטורים לא הוגנים, זאת גם כדי לקדם את עצמאות ה- DPO .בפעולותיו28 בגרמניה בחר המחוקק להרחיב את עצמאותו של ה - DPO , וקבע שלא ניתן להפסיק את העסקתו שלDPO .אלא במקרים שבהם לא ניתן לצפות באופן סביר מהמעסיק להמשיך את העסקתו29 הגבלה זו יוצרת העדפה למינוייDPO לזמן קצוב או מינויDPO חיצונ .י30 ( בית הדין לצדק של האיחוד האירופיECJ ) נדרש לבחון את התאמתו של החוק הגרמני ל- GDPR , וציין כי ייתכנו מקרים שבהם עצמאות רבה מדי תפגע בהגנה על המידע בארגון ובתכלית החקיקה. לדוגמה, כאשר ה- DPO כלל אינו מוסמך למלא את תפקידיו, או כאשר מתגלה כי הוא מצוי .בניגוד עניינים31 ניגוד עניינים על פעולותיו של ה- DPO .חל חיסיון או סודיות, בהתאם להקשר32 ה- DPO ,יכול למלא תפקיד אחר בארגון .אך על החברה חובה להימנע מניגוד עניינים במסגרת פעילותו33 התפקידים שביצועם במקביל מעיד על ניגוד עניינים אינם מוגדרים ב- GDPR, וניגוד העניינים ייקבע בהתאם להקשר . עם זאת נקבע כי DPO לא יכהן 24 Recital 97 ל- GDPR . 25 , p. 12, Guidelines on Data Protection Officers (‘DPOs’) , protection working party Article 29 data https://ec.europa.eu/newsroom/article29/items/612048 . 26 סעיף38 (3) ל- GDPR . 27 הנחיותworking party Article 29 , לעיל ה"ש25 ', בעמ15 . 28 .שם 29 'פס10 -7 לפסק הדין של בית הדין האירופי לצדק534/20 (22 June 2022), - EUECJ C Leistritz v. LH, bin/format.cgi?doc=/eu/cases/EUECJ/2022/C53420.html - https://www.bailii.org/cgi . 30 - Update: Scope of protection against dismissal and removal of the data protection officer Thomas Albermann, incompatibility with chairpersonship of the works council, BIRD & BIRD (Oct. 27, 2023), https://tinyurl.com/2p9u494c . 31 'פס35 לפסק הדין534/20 ‑ Leistritz Case C , לעיל ה"ש29 . 32 סעיף38 (5) ל- GDPR . 33 סעיף38 (6) ל- GDPR . 7 ,במקביל בתפקיד שקשור לעיבוד המידע בארגון או לקביעת מטרות של עיבוד המידע34 או בתפקיד ניהולי .בכיר35 אחריות ה- DPO אינו אחראי אישית במקרה של אי-ציות ל - GDPR . כאמור, האחראים הם בעל השליטה במידע ומעבד המידע . 36 לפי פרשנות הגוף המייעץ ניתן לפרש את הפטור מאחריות אישית ככזה שמתקשר רק לאחריות אישית מול הרשות המאסדרת, כך שאינו שולל חבות אישית שלDPO חיצוני בהתאם לחוזה שלו עם החברה ודיני הנזיקין הכלליים, או של ה- DPO .כעובד של החברה כלפי החברה שבה הוא מועסק37 תמיכה מהארגון בתפקיד ה - DPO ב- GDPR מוגדר כי בעל השליטה במידע ומעבד המידע אחראים לוודא שה- DPO יוכל למלא את תפקידו .בצורה הראויה ביותר ובזמן38 זאת על ידי הקצאת משאבים תשתיות וצוות במידת הצורך למילוי משימותיו, גישה למידע ולתהליכי העיבוד, ואף לאפשר ל- DPO לשמור על רמת מומחיותו למשל על ידי יציאה להכשרות כדי .שיהיה מעודכן בהתפתחויות בתחום39 2 .מסקנות לגבי יישום התפקיד באיחוד האירופי / תוצאות בשטח כניסת תפקיד ה- DPO לפרקטיקה לא התבצע ה בצורה חלקה. מאז שמינויDPO הפך לדרישה מחייבת ברגולציה מ - 2001 וביתר שאת לאחר התקנת ה- GDPR התעוררו בשטח קשיים בהטמעת התפקיד בארגונים, הבנת מיקומו בחברה וכיצד יש לעבוד איתו בשיתוף פעולה. להלן נתייחס לקשיים העיקריים .שהתעוררו בהטמעת התפקיד בשטח חוסר מודעות לחובת המינוי בבדיקה שערך ב- 2023 ( , הממונה האירופי על הגנת המידעEDPS " :) (להלן הממונה") זיהה כי גופים מסוימים, בכללם גופים ציבוריים, לא מינוO DP למרות שהיו מחויבים בכך ב- GDPR . 40 לרוב הדבר לא נעשה במכוון וביודעין, אלא מחוסר מודעות לכך שפעילות הארגון מחייבת מינויDPO לפי תקנה37 (1) ל- DPR G . 41 העלאת המודעות לחובת מינויDPO .בארגון היא הכרחית לצורך הבטחת ציות בפועל 34 'פס46 - 38 ,לפסק הדין של בית הדין האירופי לצדק453/21 (09 February - EUECJ C FAB Dresden GmbH & Co. KG, - X bin/format.cgi?doc=/eu/cases/EUECJ/2023/C45321.html - https://www.bailii.org/cgi 2023), . 35 הנחיותworking party Article 29 , לעיל ה"ש25 ', בעמ16 . 36 שם ', בעמ17 . 37 - and - liability - https://iapp.org/news/a/dpo , IAPP, DPO liability and potential insurance coverage Lee Matheson, coverage/ - insurance - potential . 38 סעיף38 ל- GDPR . 39 הנחיותworking party Article 29 , לעיל ה"ש25 ', בעמ14 . 40 15 - (16 January 2024), 14 Designation and Position of Data Protection Officers European Data Protection Board, :נמצא ב 01/edpb_report_20240116_cef_dpo_en.pdf - https://www.edpb.europa.eu/system/files/2024 ,. 41 סעיף37 (1) ל- GDPR . 8 היעדר משאבים מספקים בעמדת הממונה משנת2005, לאחר כניסת הרגולציה מ- 2001 לתוקף, עלה הקושי במינויDPO במשרה .מלאה, שכן לעסקים מסוימים אין יכולת כלכלית לכך42 גם לאחר כניסת ה- GDPR לתוקף מצא הממונה בבדיקתו האחרונה כי לדעת61% מה- DPOs במגזר הציבורי ו- 33% מה- DPOs בחברות הפרטיות שסקר ברחבי האיחוד, אין להם משאבים מספקים ליישום חובותיהם. במגזר הציבורי היה גם משמעותית פחות נפוץ של- DPO .יהיו חברי צוות או סגן, שיהיה לו תקציב עצמאי ושתהיה לו שליטה על התקציב שלו43 נראה כי גופים במגזר הציבורי נטו להיות מודעים פחות לחשיבות התפקיד, או שחסרו להם התמריצים .המתאימים למינוי וקידום התפקיד בארגון ניגוד עניינים והיעדר עצמאות הממונה מצא שבחברות רבות, כנראה לשם חיסכון בעלויות, ה- DPO משמש בנוסף כבעל תפקיד אחר בארגון, ועוסק בפועל בתפקידיו כ- DPO .חלק מועט מהזמן44 בסקר שערך בשנת2024 , הממונה מצא כי בממוצע, פחות ממחצית מה - DPOs שנסקרו עבדו במשרה מלאה. מתוך אלה שעבדו בחלקיּות משרה ועסקו בעבודות אחרות במקביל– ארגונים רבים ציינו שהם מועסקים כחברי הנהלה בארגון או עוסקים ישירות בעיבוד מידע בארגון, בניגוד להנחיות ה- GDPR .ובאופן שמעמיד אותם בניגוד עניינים מובהק45 סוגיות .אלה מצביעות על פערי אכיפה של הרשויות באירופה46 בנוסף לכך, בארגונים גדולים, הממונה זיהה נטייה של חברות למנות מספר עובדים לסיוע ל - DPO . במקרים מסוימים, מונו סגנים ל- DPO , שמילאו את תפקידו בעת היעדרותו. הממונה, עוד בשנת2005 , המליץ לקבוע שהמנגנונים בחקיקה שמבטיחים את עצמאותו של ה- DPO .יחולו גם על כל מי שממלא את תפקידו בפועל47 ב- GDPR אין התייחסות לכך, ויכולה להיות לכך משמעות גם בהיבט של דרישת היעדר ניגוד עניינים בעת ביצוע התפקיד. הדוח משנת2023 הכיר בכך שייתכן שבארגונים מסוימים יהיה צורך ממשי בצוות כזה על מנת למלא את תפקידי ה- DPO .ברמה מספקת48 ה- GDPR גם מאפשר מינוי שלDPO משותף לכמה חברות .קשורות, בתנאי שיהיה נגיש בקלות לכולן49 ניתן למנותDPO משותף גם על ידי מיקור חוץ, אולם הממונה זיהה כי לעיתים ארגונים שמספקים שירותיDPO לחברות משרתים מספר לקוחות גדול מאוד, באופן שמעלה חשש לכך שלא יבצעו את תפקיד ה - DPO .כראוי50 42 Position paper on the role of Data Protection Officers in ensuring effective European Data Protection Supervisor, compliance with Regulation (EC) 45/2001 (2005), p.7, 28_dpo_paper_en.pdf - 11 - https://www.edps.europa.eu/sites/default/files/publication/05 43 Designation and Position of Data Protection Officers , לעיל ה"ש40, בעמ' 16 . 44 Position paper on the role of Data Protection Officers in ensuring effective compliance with Regulation (EC) 45/2001 , לעיל ה"ש42, בעמ' 7 . 45 Designation and Position of Data Protection Officers , לעיל ה"ש40, בעמ' 24 - 25 . 46 ,שם בעמ' 25 . 47 Position paper on the role of Data Protection Officers in ensuring effective compliance with Regulation (EC) 45/2001 , לעיל ה"ש42, בעמ' 9 . 48 הנחיותworking party Article 29 , לעיל ה"ש25 , בעמ' 14 . 49 Position paper on the role of Data Protection Officers in ensuring effective compliance with Regulation (EC) 45/2001 , לעיל ה"ש42, בעמ' 8 ; סעיף37 (2) ל- GDPR . 50 Designation and Position of Data Protection Officers , לעיל ה"ש40, בעמ' 15 . 9 תפיסת תפקיד ה- DPO בארגון פער נוסף בין הוראות ה - GDPR ליישום בפועל שנמצא בסקר של הממונה האירופי נוגע למידת המעורבות של ה- DPO בהחלטות בארגון. כרבע מהמשיבים העידו שהם חשים כי לא מתייעצים איתם מספיק לגבי טיפול או פתרון בעיות הקשורות לעיבוד והגנה על נתונים אישיים, היוועצות הנדרשת כחלק מתפקידם וחובת מינוי ה- DPO בארגון. גם כאשר התייעצו עם המשיבים, כ- 55% העידו כי לא מתחשבים בעצתם .בפועל בקבלת ההחלטות בארגון26% .מהמשיבים סירבו לענות על שאלה זו51 במחקר שנערך בדנמרק, העידוDPOs ,כי ההנהלה מתייחסת לתפקידם כנגזרת של המחלקה המשפטית שעליה למצוא את ה"אזורים האפורים" כדי לאפשר את המשך פעילות והתחדשות הארגון, ולאו דווקא מתייחסת ל- DPO .כמומחה ומתייחסת ברצינות לסיכונים והחששות שהוא מעלה במסגרת תפקידו52 כאמור לעיל, ה - GDPR לאו דווקא מכווין שה- DPO יהיה שותף בקבלת ההחלטות בארגון, אולם בפועל לשם עמידת הארגון בתקנות, מקבלי ההחלטות צריכים להישמע לעצתו בכל הנוגע לפרטיות ועיבוד מידע אישי. הציפייה היא שבמידה וארגון מדיר את ה- DPO ומתייחס אליו כחותמת גומי, עליו לדווח על כך .לרשויות המפקחות היעדר כשירות מספקת הממונה האירופי מצא פערים ברמת הידע והמומחיות בין המשיבים לסקר, החל ברמת הכשרתם והידע שלהם בכניסתם לתפקיד ו כלה ברמת הכשרתם והידע הניתנים ל - DPO לשם מילוי תפקידו לאחר כניסתו .לתפקיד ה- GDPR קובע כי על ה- DPO ,להיות מומחה בתחום ולא רק בעל ניסיון53 רמת הידע והמומחיות הנדרשת מה- DPO .משתנה בהתאם לאופי פעולות העיבוד המתבצעות בארגון54 עם זאת, כרבע מהמשיבים העידו כי מומחיות בתחום הגנת המידע וידע ברגולציה הנדרשת בפרט לא הייתה דרישה בעת מיונם לתפקיד ה- DPO (הדבר מעלה פער גם בהיעדר הגדרת תפקיד מדויקת בעת איתור מועמד לתפקיד). בנוסף לכך, רוב המשיבים העידו כי הקצו להם24 שעות או פחות במהלך השנה להכשרות מיועדות לתפקיד. בתחום מתפתח .כמו זה, יש חשיבות לשמירה על ה"כושר" והתעדכנות ברגולציה והדינים הנדרשים55 עמימות ה- GDPR ביחס לרמת המומחיות והידע הנדרשים מקשה על הבנת הארגונים כיצד להטמיע את התפקיד כראוי .בחברה, ואף עלולה להקשות על אכיפה מתאימה היעדר הגדרת תפקיד ומשימות ברורות קושי נוסף בהטמעת תפקיד ה- DPO בארגונים נוגעת להגדרת תפקידו ומשימותיו. על אף התווית המשימות של ה- DPO בסעיף39 ב- GDPR , 56 בסקר שביצע הממונה נמצא כי ארגונים רבים לא מגדירים בבירור את משימות ה - DPO ולא מבינים מה עליו לעשות בפרקטיקה בארגון. ישנם למשלDPOs שהעידו שהטילו .עליהם משימות שמיועדות לביצוע הבקר57 51 Protection Officers Designation and Position of Data , לעיל ה"ש40, בעמ' 22 - 24 . 52 Nicholai Pfeiffer, The Difficult Role of the DPO, White Label Consultancy (10 March, 2020), dpo/ - the - of - role - difficult - https://whitelabelconsultancy.com/2020/03/the . 53 סעיף37 (5) ל- GDPR . 54 Recital 97 ל- GDPR . 55 Designation and Position of Data Protection Officers , לעיל ה"ש40, בעמ' 18 - 19 . 56 סעיף39 ל- GDPR . 57 Designation and Position of Data Protection Officers , לעיל ה"ש40, בעמ' 19 - 22 . 10 3 .ה דין ה מצוי בישראל אין בישראל חובה כללית למנות,DPO אך קיימות חובות פרטניות למינוי DPO בהקשרים ספציפיים , כולם ציבוריים ,. לדוגמה, חוק נתוני אשראי58 קובע כי נגיד בנק ישראל ימנה ממונה על הגנת הפרטיות, אשר יהיה ;עובד בנק ישראל59 ,חוק הכללת אמצעי זיהוי ביומטריים60 ,קובע כי שר הפנים, בהסכמת שר המשפטים ימנה ממונה על הגנת הפרטיות במאגר מבין עובדי רשות האוכלוסין, הגם שלא קיימת חובה כללית בדין. 61 על רקע היעדר ,חובה בדין הרשות להגנת הפרטיות ממליצה על מינויו שלDPO באופן וול ו .נטרי62 הרשות ממליצה שממלא התפקיד יהיה בעל הכשרה וידיעה מתאימים בתחום הפרטיות, יהיה עצמאי בתחום ,פעילותו, יהיה מעורב בכל הנושאים המהותיים הנוגעים למידע אישי בארגון יבקר ו יפקח על קיום הוראות ההגנה על הפרטיות מכוח החוק והתקנות, וכן יבצע תסקיר השפעה על הפרטיות להחלטות בארגון ויקבע את הנהלים והמדיניות בארגון בכל הנוגע לפרטיות. 63 בין ממונה הגנת פרטיות לממונה אבטחת מידע סעיף17 ,ב לחוק הגנת הפרטיות ה תשמ"א- 1981 מחיל חובת מינוי של ממונה על אבטחת מידע בגופים ציבוריים, בחברות עם מעל חמישה .מאגרי מידע, בבנקים, בחברות ביטוח ובחברות דירוג או הערכת אשראי הממונה על אבטחת המידע יהיה אחראי על תכנית לבקרה שוטפת של עמידה בתנאי אבטחת המידע בתקנות ,)הגנת הפרטיות (אבטחת מידע ה תשע"ז- 2017 וכן עמידה בדרישות התקנות, בהתאם לרמת האבטחה של המאגר . 64 הממונה נדרש להכין נוהל אבטחה למאגר המידע, וכן להכין ולבצע תוכנית לבקרה שוטפת על .ביצוע ההוראות מכוח תקנות אבטחת המידע65 הוראות אלה כוללות, בין היתר, ניהול הרשאות הגישה למאגר, תיעוד הגישה למאגר ו תיעוד אירועי אבטחה. לממונה על אבטחת המידע יש אחריות אישית .לאבטחת המידע במאגרים, בנוסף לאחריות שחלה על בעלי ומנהלי מאגר המידע66 יש קשר ברור בין אבטחת מידע במאגר לבין הבטחת פרטיות המידע בארגון– ,כאשר מידע אינו מאובטח עולה החשש לכך שאינו פרטי. מידע שאליו ניגשים עובדים שאינם רשאים לכך, או גורמים חיצוניים לארגון מבלי שקיבלו לאישור לכך, הוא מידע שעשוי להיעשות בו שימוש שלא למטרות שלשמן הוא נועד. יש אף חשש שמידע כזה יזלוג אל מחוץ לארגון, ומחוץ לטווח הבקרה שלו. אין ספק שזליגת מידע שכזו היא פגיעה בסודיות המידע השמור במאגר ובפרטיות האנשים ששמור מידע לגביהם במאגר, כשם שהיא פגיעה באבטחתו של המאגר. על כן, יש דמיון בין תחומי האחריות האפשריים של הממונה על אבטחת המידע ושל ה- DPO :. אולם ניתן להבחין במספר נקודות שוני עיקריות ביניהם 58 ,חוק נתוני אשראי ה תשע"ו- 2016 . 59 סעיף18 .לחוק נתוני אשראי 60 סעיף26 ,לחוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע ה תש"ע- 2009 . 61 )הרשות להגנת הפרטיות "מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו" (פרסום מקצועי משרד המשפטים ( 25.01.2022 ) https://www.gov.il/he/pages/dpo_doc_kit . 62 .שם 63 .שם 64 התקנות מגדירות ארבע רמות של אבטחת מידע- רמת אבטחה למאגר מידע המנוהל על- ,ידי יחיד, רמת אבטחה בסיסית רמת אבטחה בינונית ו רמת אבטחה גבוהה, שהסיווג לגביהן נעשה על פי קריטריונים של גודל מאגר המידע, מספר המורשים אליו, סוג המידע ורגישותו . ראו ,)התוספת הראשונה והשנייה לתקנות הגנת הפרטיות (אבטחת מידע ה תשע"ז- 2017 . 65 סעיף3 .)לתקנות הגנת הפרטיות (אבטחת מידע 66 סעיף17 ו- 17 ,ב(ב) לחוק הגנת הפרטיות ה תשמ"א- 1981 . 11 בעוד שאת ה - DPO יוכלו להנחות עקרונות של חוק הגנת הפרטיות כגון קבלת הסכמה לשיתוף מידע, ויהיה אחראי על מדיניות הפרטיות בארגון, שיתוף מידע עם צדדים שלישיים, ובגוף ציבורי גם קבלת אישור לשיתוף מידע בין גופים ציבוריים, הממונה על אבטחת המידע אחראי אך ורק לוודא ש ה מידע ב מאגר המידע עליו הוא אחראי שמור– הן מפני חדירות עוינות מבחוץ והן מפני דליפות מבפנים, בין בזדון ובין ברשלנות . אחריות זו תחומה וממוקדת בהרבה מאחריותו של ה- DPO , שאחראי על כלל עיבוד המידע בארגון, בהתאם .לסטנדרטים של חוק הגנת הפרטיות בטיוטת הנחיית רשות הגנת הפרטיות בנושא אבטחת מידע, הרשות מציעה כי בחברות שעיבוד מידע אישי מצוי בליבת הפעילות שלהן או שפעילותן יוצרת סיכון מוגבר לפרטיות, האחריות על ביצוען של דרישות פיקוחיות בעיקרן כדוגמת אישור עקרונות מרכזיים בנוהל אבטחת מידע ארגוני, קיום דיונים על סקרי .סיכונים ובחינת ביקורות תקופתיות בנוגע לעמידה בארגון צריכה להיות של הדירקטוריון67 הרשות מנמקת את עמדתה בכך שהדירקטוריון הוא הגורם המתאים והיעיל בקבלת החלטות שקשורות בנושאים מהותיים יותר . 68 הדירקטוריון רשאי גם להטיל אחריות על גורם אחר בחברה. מכך שהרשות ותקנות אבטחת המידע לא מטילות ישירות אחריות על הנושאים המהותיים על ממונה אבטחת המידע, ניכר כי תפקיד ממונה אבטחת .המידע הוא תפקיד טכני בעיקרו 4 .ישראל: המלצות חקיקה בפרק זה נאגד את כל ההיבטים שיש לתת עליהם את הדעת בעת חשיבה על מסגרת חקיקתית מתאימה בנושא תפקיד ה- DPO בישראל. בסוף הפרק מרוכזות .המלצותינו לפי נושאים מינויDPO ?: חיוב או המלצה אפשרות אחת היא לקבוע בחוק חובה למנות ממונה הגנה על הפרטיות. בתקנה37 (1) ב- GDPR מפורטים המקרים בהם קיימת חובת מינוי, נזכיר: כשעיבוד המידע מתבצע על ידי רשות או גוף ציבורי (בהחרגת בתי משפט); כשפעולות הליבה של הארגון כוללות עיבוד מידע אישי ומתוקף טיבן, היקפן או מטרותיהן מחייבות ניטור שיטתי ומערכתי של נושאי המידע בהיקף רחב; כשליבת עיסוק הארגון כוללת עיבוד מידע אישי רגיש .בהיקף רחב69 67 ")הרשות להגנת הפרטיות "הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע )מקצועי (פרסום המשפטים משרד 4 ( 25.01.2022 ) :ב נמצא , https://www.gov.il/he/pages/2023privacy_protection_regulations . 68 .שם 69 סעיף37 (1) ל- GDPR . ממונה על אבטחת מידעDPO היקף האחריות אבטחת מאגר המידע כלל היבטי הפרטיות ו עיבוד המידע בארגון תכלית מרכזית אבטחת המידע פרטיות המידע והיבטי פרטיות בעבודת הארגון עיקר הידע הנדרש טכני משפטי/ בקיאות בדיני הגנת הפרטיות 12 מדובר בהגדרה רחבה שבעקבותיה עולות שאלות פרשניות. הוועדה המקצועית של רשויות הפרטיות באיחוד האירופי פרסמה הנחיות ל - DPO ובהן התייחסה לשאלות הפרשניות הבאות: מה נחשב ל"רשות או גוף ציבורי"? מה נחשב ל"פעילויות ליבה" של ארגון? מהו "קנה מידה גדול" וכיצד ניתן לחשב אותו? ומהו ?""ניטור שיטתי ומערכתי70 אם כן, במידה שרוצים לקבוע עקרונות כלליים לחובת מינויDPO במקום כללים ברורים יש לבחון את ההשלכות. ייתכן שהקושי הפרשני ב- GDPR הוביל לחוסר המודעות שיש לארגונים באשר לחובה המוטלת עליהם למינויDPO ., כפי שנמצא בבדיקה שערך המפקח האירופי על הגנת המידע71 ייתכן גם קושי באכיפת .חובת המינוי או התדיינויות ארוכות אודות פרשנות חובת המינוי אפשרות אחרת מצויה בסעיף23 " :בהצעת החוק של המכון הישראלי לדמוקרטיה (להלן הצעת המכון לדמוקרטיה .)" 72 מוצע שם לקבוע חובת מינוי ממונה הגנה על הפרטיות כשמדובר בגוף ציבורי, בדומה לתקנה המקורית ב- GDPR . 73 בנוסף, מוצע שם לתחום מספרית את היקף החובה. ההצעה מפרידה בין ביצוע עיבוד מידע אישי (המחייב מינוי ממונה כשהמאגר כולל200,000 נושאי מידע לפחות) לבין ביצוע עיבוד מידע רגיש (המחייב מינוי ממונה כשהמאגר כולל100,000 .)נושאי מידע לפחות74 ההצעה מנמקת את תחימת ההיקף בכך שקביעת חובה כללית עלולה להטיל נטל לא סביר על גופים קטנים, ומנגד יש לשמור על .כך שעיבוד מידע אישי ורגיש יפוקח על ידי ממונה בעל הגדרת פיקוח רחבה יותר מממונה על אבטחת מידע תחימה מסוג זה יכולה לסייע בפתרון בעיות הפרשנות הקיימות מניסוח ה- GDPR . 75 עם זאת, ייתכנו מקרים בהם ארגונים יעבדו מידע רגיש מאוד אולם לא בהיקף רחב מספיק כפי שהוצע בהצעת המכון לדמוקרטיה , ואף בהיקף קטן מאוד. זאת כדוגמת עמותות וארגונים מהמגזר השלישי שעוסקים במידע רגיש מאוד, לרבות מידע סודי ומידע שבליבת צנעת הפרט, לעיתים קרובות של אוכלוסיות מוחלשות. למשל, סוכנויות אימוץ, עמותות שמתמקדות בסיוע במצבים רפואיים שונים, ועוד. יש לשקול האם נדרש לי יחד חובה או המלצה של מינוי על סמך קריטריונים שונים כשמדובר בארגונים מסוג זה, או שמא ליצור גוף המאפשר חובת היוועצות לאותם גורמים בהינתן המידע הרגיש שנמצא ברשותם. בהקשר זה יש להביא בחשבון מגבלות תקציביות של ארגונים מסוג זה, בפרט העובדה שהם לרוב מתקיימים .מתרומות וללא כוונת רווח זאת ועוד, בדברי ההסבר להצעת המכון לדמוקרטיה יש התייחסות לאפשרות המנויה ב- GDPR למנות ממונה אחד למספר חברות בנות או על קבוצת גופים ציבוריים. הוצע שם להתייחס לכך בתקנות ולא במסגרת החוק. נוסיף לכך שלטעמנו יש לשקול, במידה שמייעדים תקנות מסוג זה, גם את האפשרות למינוי ממונה הגנה על הפרטיות חיצוני לחברה ולא רק כהגדרת תפקיד פנימית, כמצוי ב- GDPR , וזאת בתנאי של .היעדר ניגוד עניינים76 70 הנחיותworking party Article 29 , לעיל ה"ש25 ', בעמ6-9. 71 Designation and Position of Data Protection Officers , לעיל ה"ש40, בעמ' 14 - 15 ; או ר בנוסף דיון בנושא בפרק2 למסמך ."זה תחת הכותרת " חוסר מודעות לחובת המינוי 72 רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר הצעת חוק הגנת הפרטיות התשע"ט- 2019 המכון הישראלי לדמוקרטיה ( 2019 .) 73 שם, בסעיף23 ()(א1 .) 74 שם , בסעיף23 ()(א2) ו- 23 ()(א3 .) 75 שם , בעמ' 107 . 76 סעיף37 (6) ל- GDPR . 13 לעומת זאת, ישנה אפשרות להותיר את מינוי ה - DPO כהחלטה וולונטרית, ולעודד ארגונים לעשות כן בדרכים שונות. לפי הרשות להגנת הפרטיות, גם בהיעדר חובה חוקית, ראוי ומומלץ שארגונים שאוספים ומעבדים מידע אישי ימנו באופן וולונטרי ממונה הגנת פרטיות. זאת כדי לסייע לארגון לעמוד בהוראות הדין, לאותת כלפי חוץ שהארגון עו שה את מירב המאמצים לצמצום סיכון לפגיעה במידע אישי, ולאפשר .שיתוף פעולה מיטבי עם הרשות77 ניתן אף לנקוט גישת ביניים, כפי שנוקטת שוויץ, אשר רמת ההגנה על המידע בתחומה, בדומה לישראל "נחשבת ל"נאותהadequate) ) ל- GDPR . 78 :בשוויץ מפרידים בין חברות פרטיות לגופים פדרליים המועצה הפדרלית מחויבת להסדיר מינוי שלDPO בגופים פדרליים , 79 ואילו חברות פרטיות יכולות למנות DPO באופן וולונטרי "( appoint a data protection officer may Private controllers .)" 80 לאחר המינוי (בין אם מכוח חובה או וולונטרי) יחולו על ה- DPO .אותן הדרישות עם זאת, בארגנטינה לא הייתה עד כה חובת מינויDPO ואילו בהצעה לתיקון החוק שהוגשה בספטמבר 2023 יש התייחסות להוספת חובת מינויDPO . 81 ארגנטינה גם עברה את בחינת ה"תאימות" ל- GDPR .האחרונה, ושם התייחסו במפורש להצעת חוק זו82 ייתכן, אם כן, שזהו סממן לכך שצריכה להיות התייחסות בחוק למינויDPO כדי להיוותר במעמד ה- adequacy . הגדרת תפקיד בהתאם למסקנות שעלו מיישום ה- GDPR באיחוד האירופי, נראה כי יש אי- בהירות רבה באשר לתפקיד ה- DPO בארגון, וייתכן שהדבר נובע מהכלליות של הגדרת התפקיד ב- GDPR . 83 כתוצאה מהיעדר הבהירות ,לגבי אופי התפקיד, החשיבות של התפקיד בארגון פוחתת וכך גם כוחו להשפיע על קבלת החלטות. עם זאת הגדרות ספציפיות מדי י עלולות להקשות על התאמה של תפקיד ה - DPO לתפקוד הארגונים, מאחר ומאפייניו של כל ארגון שונים . בהצעת המכון לדמוקרטיה הוצעה מסגרת כללית לתפקידי הממונה על הגנת הפרטיות. ישנה התייחסות .להבטחת קיום הוראות החוק ואחריות לטיפול בפניות הציבור ובפניות הרשות84 בשוויץ מוגדרות שתי משימות, כלליות גם כן: מתן הכשרה וייעוץ לבקר המידע בנושא הגנת המידע, ומתן תמיכה ביישום תקנות .הגנת המידע85 77 ( "הרשות להגנת הפרטיות "מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו2022 ), לעיל ה"ש61 . 78 סעיף45 ל- GDPR מאפשר למוסדות האיחוד האירופי להגדיר מדינות מחוץ לאיחוד האירופי שרמת הגנת המידע שלהן הולמת את דרישות ה- GDPR . הגדרת מדינות ככאלה מאפשרת את זרימת המידע למדינות אלה מהאיחוד האירופי ללא נקיטה של אמצעים נוספים להגנתו. ראוhttps://commission.europa.eu/law/law-topic/data-protection/international-dimension- data-protection/adequacy-decisions_en . 79 סעיף10 (4) ל- 235.1 Federal Act of 25 September 2020 on Data Protection (Data Protection Act, FADP) . 80 סעיף10 (1 ) לחוק השוויצרי, לעיל ה"ש79 . 81 , Data Guidance (June 2023), what you need to know - Argentina: New data protection bill Florencia Rosati, need - you - what - bill - protection - data - new - https://www.dataguidance.com/opinion/argentina . 82 Report From The Commission To The European Parliament And The Council on the European Commission, first review of the functioning of the adequacy decisions adopted pursuant to Article 25(6) of Directive 95/46/EC - 9d49 - 4372 - 39e3 - https://commission.europa.eu/document/download/f62d70a4 p.8 (15.01.2024), 59dc0fda3df_en?filename=JUST_template_comingsoon_Report%20on%20the%20first%20review%20of%20the e %20functioning.pdf . 83 Designation and Position of Data Protection Officers , לעיל ה"ש40, בעמ' 19 - 22 . 84 הצעת החוק של ( המכון הישראלי לדמוקרטיה2019 ), לעיל ה"ש72, בעמ' 106 . 85 סעיף10 (2 ) לחוק השוויצרי, לעיל ה"ש79 . 14 בהתחשב בבעיות שעלו ביישום ה- GDPR באיחוד האירופי בעקבות התוויה כללית של תפקידי ה- DPO , יש לדעתנו צורך בפירוט רב יותר על תפקידיו של ה- DPO בהיבטים יומיומיים של תפקודו. בשל האופי הכללי ,של חקיקה ראשית לעמדתנו .יש לתעדף פירוט של תפקידים אלה בתקנות הרשות להגנת הפרטיות בעמדתה לגבי מינוי ממונה הגנה על הפרטיות מפרטת את התפקידים והמשימות שמומלץ לשקול להטיל על הממונה בשלושה תחומים: הסדרת תהליכי ניהול מידע, פיקוח ובקרה והדרכה והטמעה. ניתן לשאוב השראה מתתי - .המשימות המוגדרות שם86 בהמשך לכך , אנו מציעים שעל הממונה להגנת הפרטיות תוטל בחקיקה החובה לוודא את קיום הוראות חוק הגנת הפרטיות על - ידי בעלים או מנהל של מאגר מידע, וכן שתפקידו יהיה להגביר את המודעות לחשיבות .הפרטיות והשלכותיה בארגון בנוסף, בהשראת ה- GDPR , 87 ,הצעת המכון לדמוקרטיה88 וההנחיות בקנדה89 יש לדעתנו לראות ב - DPO כאיש קשר בנושא הפרטיות בארגון– הן כאיש קשר עבור ה רשות להגנת הפרטיות והן כאיש קשר ל נושאי המידע . אין חובה לקבוע את אופן יצירת הקשר בחקיקה, וניתן לקבוע אמצעי יצירת קשר אפקטיביים .בתקנות ממונה על הגנת הפרטיות וממונה על אבטחת מידע– יחסי גומלין בדין הישראלי קיים כבר, כידוע, תפקיד ממונה אבטחת מידע, המעוגן בחוק ובתקנות הגנת הפרטיות (אבטחת מידע) מ - 2017 ,. אין ספק שקיים קשר בין אבטחת המידע בארגון להגנה על הזכות לפרטיות 90 אך עולה השאלה האם נכון שתפקיד ממונה על הגנת הפרטיות יכיל בתוכו גם את האחריות על אבטחת המידע בארגון, קרי, איחוד שני התפקידים לכדי תפקיד אחד. לאיחוד תפקידים יש יתרון מבחינת הקצאת המשאבים הנדרשת לאותו בעל תפקיד במקום להוסיף דרישה לארגונים לגייס משאבים נוספים, וכן מניעת מצבים של ביצוע פעולות חופפות על ידי שני בעלי תפקידים. יוזכר כי מהסקר של הממונה האירופי עלה כי מינויDPO במשרה מלאה מקשה על עסקים שאין להם יכולת כלכלית לספק את המשאבים הדרושים לבעל .התפקיד, כנדרש בחוק91 עם זאת, אנו סבורים שהחסרונות שבאיחוד התפקידים עולים באופן מובהק .על היתרונות המדובר בתפקידים שונים במהותם , שהדגשים שבהם שונים, ודורשים כישורים וצורת חשיבה שונים ,. כך בעוד שרצוי שממונה על אבטחת המידע יהיה אדם בעל ידע טכני, ממונה על הגנת הפרטיות לא נדרש לכך, לפחות לא במסגרת ביצוע ליבת תפקידיו. כמו כן, איחוד התפקידים עלול לגרור ירידה ברמתם של הממונים על אבטחת המידע בארגונים, שכן כעת אבטחת מידע לא תהיה ליבת התפקיד שלהם, אל .א חלק מתפקיד כולל 86 ( "הרשות להגנת הפרטיות "מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו2022 ), לעיל ה"ש61 , בעמ' 5-4 . 87 סעיפים39 (1 () d ,) 39 (1 () e) ו- 38 (4) ל- GDPR . 88 הצעת החוק של ( המכון הישראלי לדמוקרטיה2019 ), לעיל ה"ש72, בעמ' 107 . 89 ( על פי מסמך העקרונות של נציב הפרטיות הקנדי בנוגע ליישום החוק הקנדי להגנה על מידע אישי ומסמכים אלקטרונייםThe Personal Information Protection and Electronic Documents Act ), ראוOffice of the Privacy Commissioner of Canada, PIPEDA Self-Assessment Tool, Principle 8 (Openness) (August 13, 2001), https://www.priv.gc.ca/media/1196/pipeda_sa_tool_200807_e.pdf . 90 הצעת החוק של ( המכון הישראלי לדמוקרטיה2019 ), לעיל ה"ש72, בעמ' 106 - 109 . 91 ראו דיון בנושא בפרק2 למסמך זה תחת "היעדר משאבים מספקים", וגםPosition paper on the role of Data Protection Officers in ensuring effective compliance with Regulation (EC) 45/2001 , לעיל ה"ש42 ', בעמ7 ; Designation and Position of Data Protection Officers , לעיל ה"ש40 , בעמ' 16 . 15 לבסוף, יש להותיר גמישות ולאפשר מקרים בהם תהיה חובת מינוי ממונה אבטחת מידע אך לא ממונה על .הגנת פרטיות, ולהיפך הגדרת ידע ומומחיות ה- GDPR מציין כי יש למנותDPO על בסיס תכונות מקצועיות שלו, ובייחוד מומחיות בדיני הגנת המידע .ושיטות העבודה שיסייעו בעמידה במשימותיו92 אותה רמת מומחיות לפי ה- GDPR היא אינדיבידואלית .לכל ארגון, בהתבסס על הליכי העיבוד וההגנה הנדרשים על הנתונים המסוימים בחברה93 מדובר שוב בהגדרת סטנדרט עמום אולם ייתכן שזו האפשרות המיטבית לאור רמות רגישות מגוונות של מידע, והבדלים .במורכבות וכמות נתונים שונים ביחס לכל ארגון94 עם זאת, העמימות הזו מובילה לכך שישנם ממוני הגנת פרטיות שאינם בעלי ההכשרה והידע הנדרשים לשם מילוי תפקידם, והממונה באיחוד האירופי אף מצא שישנם ארגונים שכלל לא דורשים רמת מיומנות מסוימת. בנוסף לכך, הממונה מצא כי בעלי התפקיד לא מקבלים הכשרות גם לאחר כניסתם לתפ קיד, לשם .התעדכנות בתחום המתפתח95 על כן, יש לחשוב האם צריכים לייצר כללים יותר ברורים ביחס לדרישת .הכשרת הממונה על הגנת הפרטיות, למשל במסגרת תקנות, או שמא יש להשאיר את הסטנדרט העמום בקנדה שגם היא "תואמת" ל- GDPR ( , כחלק ממדריך שהוציא משרד נציב הפרטיות של קנדהOPC ), נאמר שכשירות למילוי תפקיד ה - privacy officer נחשבת ליכולת להפגין ידע על המדיניות והנהלים לטיפול במידע אישי של הארגון, וגם ידע על אחריות הארגון במסגרת ה- PIPEDA (חוק הגנת המידע הקנדי). כלומר הכשירות נסמכת על צרכי הארגון בנוסף לידיעת החוק. בנוסף בקנדה יש הנחיה שעל ה- DPO להיות מסוגל .לנהל או לפקח על חקירת תלונות96 בהצעת המכון לדמוקרטיה הוצע ששר המשפטים יקבע בתקנות את תנאי הכשירות הנדרשים, וזאת מתפיסה דומה לזו ב- GDPR .שהכשירות הנדרשת משתנה מארגון לארגון97 במידה שייקבעו תנאים בתקנות נמליץ לשלב גם עקרונות כלליים המאפשרים גמישות בהתאמת התפקיד לארגון וזאת משום שמחד גיסא, הגדרת כשירות מסוימת מדיי עלולה לצמצם את טווח המועמדים הפוטנציאלים למינוי לתפקיד, אך מאידך גיסא, הדיוק בדרישות הכשירות לתפקיד יכולות לייחד אותו .מתפקיד ממונה על אבטחת המידע, ולייצר תפקיד מהותי בנייר העמדה שלה, הרשות להגנת הפרטיות התייחסה לכך שלממונה צריכה להיות הבנה מיטבית של תהליכים בארגון ברמה טכנולוגית ועסקית ובנוסף לכך גם לבחון התאמת התהליכים לדרישות החוק ולמדיניות הארגון. הרשות מציעה תנאי סף מוגדר- הכשרה אקדמית בתחום מסוים (משפטים, חשבונאו ,ת טכנולוגיית מידע וכו'); וגם תנאי סף רחבים יותר- ידיעה מעמיקה של הדינים בישראל והיכרות עם הדינים באירופה ובארה"ב, הבנה נאותה בתחום טכנולוגיות המידע בכלל ובתחום אבטחת המידע בפרט וכן אתיקה 92 סעיף37 (5) ל- GDPR . 93 Recital 97 ל- GDPR . 94 הנחיותworking party Article 29 , לעיל ה"ש25 ', בעמ12 . 95 Designation and Position of Data Protection Officers , לעיל ה"ש40, בעמ' 18 - 19 . 96 Assessment Tool - PIPEDA Self , לעיל ה"ש90 , תחתChallenging Compliance – Principle 10 בעמ' 33 - 34 . 97 הצעת החוק של ( המכון הישראלי לדמוקרטיה2019 ), לעיל ה"ש72, בעמ' 106 - 107 . 16 מקצועית. בנוסף הרשות מתייחסת לכשירות הנדרשת ביחס לארגון עצמו, בדומה לקנדה, וטוענת שעל .הממונה להכיר את הפן העסקי של ניהול הארגון .כיום יש בישראל קורסים אחדים להכשרת ממוני הגנת הפרטיות98 ברובם מוצעים תכנים מקצועיים של ,סקירת הדינים וכלים פרקטיים לעבודת ממונה הגנת פרטיות בארגון כדוגמת בניית סקר סיכונים התמודדות עם ביקורות, מתן מענה למחלקות וכו'. ניתן לשקול אפשרות לחייב השתתפות בקורס כשירות שכזה וחיוב ביצוע קורסי כשירות תקופתיים, על מנת לשמ .ור על רמת כשירות ומומחיות אחידה בין ארגונים עם זאת, ייתכן שהדבר יטיל נטל כבד מדיי על גופים, למשל במגזר השלישי, שנעדרים המשאבים המספקים לממן יציאה להכשרות מסוג זה. ניתן להציע קורסי כשירות מטעם הרשות שיהיו זמינים בחינם או במחיר מסובסד/מפוקח, אולם גם כאן נכנ .סים שיקולי תקציב (הפעם מצד המדינה) שיש לתת עליהם את הדעת עצמאות וניגוד עניינים כפי שקבוע ב - GDPR, תפקידו של ה- DPO .מחייב עצמאות ופעולה בהיעדר ניגוד עניינים99 עצמאות והיעדר ניגוד עניינים יאפשרו ל - DPO למלא את תכלית תפקידו – הגנה על פרטיות נ ו שאי המידע שהארגון מאחסן או מעבד את המידע שלהם. פגיעה בעצמאותו או פעולה בניגוד עניינים תעלה חשש לכך שיעדיף את האינטרס .הכלכלי של הארגון על פני המחויבויות של הארגון מכוח החוק ועל פני הגנה על הפרטיות במסגרת ה- GDPR לא נקבעה מסגרת מחייבת של תפקידים בארגון שבהםDPO ,לא יוכל להחזיק100 וכאמור לעיל האיחוד האירופי מצא בסקריו ש- DPOs רבים כיהנו במקביל גם כחברי הנהלה בארגונים .שבהם הם עובדים101 כהונה במקביל כחבר הנהלה מעלה חשש כבד לכך שה- DPO יעדיף את טובתו הכלכלית של הארגון על פני מחויבויות הארגון להגנת הפרטיות של לקוחותיו, ושיתפוס את תפקידו כ- DPO .כתפקיד משני שמטרתו לאפשר את הפגיעה בפרטיות בצורה שמיטיבה עם הארגון מכך ניתן להסיק שהמסגרת החוקית שהוצבה ב- GDPR כללית מדי, ויש להגדיר במפורש בחקיקה או בתקנות א י לו בעלי תפקידים אינם יכולים לכהן במקביל כ- DPOs ,כרשימה פתוחה . דוגמאות ברורות לכך .הן מנכ"ל, סמנכ"לים וחברי דירקטוריון102 הותרת הרשימה פתוחה תאפשר שיקול דעת לקביעה מתי לא ,ראוי שממונה הגנה על הפרטיות במידע ישמש גם כבעל תפקיד אחר בארגון, על בסיס מאפייני הארגון .התפקיד, והקשר שלו לעיבוד המידע עצמאות ה - DPO יכולה לבוא לידי ביטוי הן במילוי תפקידו והן בהגנה מפני פיטורין . בהקשר זה, ייתכנו מקרים בהם עצמאות רבה מדי תפגע בהגנה על המידע בארגון, לדוגמה כאשר ה - DPO אינו כשיר למלא את .תפקידיו, פועל בניגוד עניינים או הואשם בעבירות שנוגעות לאבטחת מידע103 כמו כן, הגבלת פיטורין עשויה לגרום לארגונים להעדיף העסקתDPO ,חיצוני בחוזה קצוב104 כך שניתן יהיה להפסיק את ההתקשרות 98 כדוגמת: קורס שמציעה אוניברסיטת תל- ,אביבLegal_Art/1234 - https://law.tau.ac.il/HP ; קורס שמציעה המכללה העסקיתhttps://www.cbc.org.il/course.aspx?id=61823 ; הדין עורכי לשכת שמציעה קורס 338 - 2024 - pbrvar - dpo - hprtyvt - hgnt - mmvnh - qvrs - prtyvt - https://www.ibar.org.il/shop/60 . 99 סעיף38 (3) ל- GDPR מבטא3 היבטים של עצמאותו של ה- DPO ( : 1 ) הוא לא יקבל הנחיות ביחס לעבודתו; (2 ) הוא לא יפוטר או ייפגע בשל ביצוע תפקידיו; (3 .) הוא ידווח לדרג הניהולי הגבוה ביותר 100 סעיף38 (6) ל- GDPR מציין שה - DPO יוכל לבצע תפקידים אחרים, אך יש לוודא שביצוע תפקידים אלה לא יוביל לניגוד .עניינים 101 Designation and Position of Data Protection Officers , לעיל ה"ש40 ', בעמ24 - 26 . 102 הנחיותworking party Article 29 , לעיל ה"ש25 ', בעמ16 . 103 'פס32 - 34 לפסק הדין453/21 - FAB Dresden C - X , לעיל ה"ש34 . 104 Albermann , לעיל ה"ש30 . 17 בקלות. לעמדת נ ו, החסרונות עולים על היתרונות בהקשר זה, בוודאי במדינה קטנה כישראל, שבה סביר מאוד שארגונים שמספקים שירותי ממונה הגנה על הפרטיות ,חיצוניים ייעצו במקביל לחברות מתחרות באופן שיציב את הארגון עצמו בניגוד עניינים. על כן, יש להימנע מקביעת הגנות רחבות בחקיקה מפני פיטורי הממונה, וכך לעודד מינוי ממונה פנימי . ,בנוסף ניתן לאמץ את הכלל הקבוע ב- GDPR , לפיו אין להנחות א ת ה- DPO .ביחס לפעילותו, ואין לפטר אותו או לפגוע בתנאי העסקתו בשל ביצוע תפקידיו105 אחריות ה- GDPR לא מתייחס מפורשות לסוגית אחריות ה - DPO . בהנחיות הוועדה המקצועית של רשויות הפרטיות באיחוד האירופי נאמר כי ל - DPO אין אחריות אישית במקרה של אי- ציות, אלא האחריות חלה על בעל השליטה במידע ומעבד המידע . 106 אף הצעת המכון לדמוקרטיה שותקת בעניין, אך בדברי ההסבר הכותבות מציינות את דיני החברות הקובעים אחריות על נושאי משרה בחברה ביחס לחובת הציות להוראות .החוק והאחריות למילוין107 הרשות להגנה על הפרטיות פרסמה הנחיה בנושא "תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע)". שם הרשות מטילה אחריות על הדירקטוריון על ביצוען של דרישות פיקוחיות בעיקרן של ממונה על אבטחת המידע. הנימוק לכך הוא שהדירקטוריון הוא הגורם המת אים .והיעיל בקבלת החלטות שקשורות בנושאים מהותיים108 ניתן לשקול התייחסות שכזו אף כלפי חובות המוטלות על הממונה להגנה על הפרטיות בארגון. בנוסף, יש לשקול האם יש צורך בהפרדת האחריות בכל הנוגע לחובות מסוימות בין הממונה על הגנת הפרטיות, לבין בעל השליטה במידע ומעבד המידע , לבין .הדירקטוריון או נושאי משרה אחרים במידה שמאפשרים לבצע מיקור חוץ לתפקיד ממונה הגנה על הפרטיות במידע, יש לשים לב שבהתאם לחוזה .יהיה ניתן להטיל אחריות על הממונה החיצוני לפי דיני החוזים והנזיקין הכלליים שילוב תפקיד הממונה על הגנת הפרטיות בארגון במענה לאתגר בתפיסת תפקיד ה - DPO בארגון שהוצג בפרק הקודם, יש לשקול האם צריך להגדיר בפועל תמיכה של הארגון בתפקיד הממונה , וכיצד. ה- GDPR .והצעת המכון לדמוקרטיה שותקות בעניין זה בקנדה הנחיות ה- OPC מציינות במפורש שיש לתת לממונה תמיכה מההנהלה הבכירה וסמכות להתערב בנושאי פרטיות הנוגעים לפעולת הארגון. עמדה זו מתבטאת בהגדרת התפקיד, שם מתואר כי הממונה צריך להיות בעמדה של מקבל החלטות בכיר שנתמך בבירור בתפקידו על ידי ההנהלה הבכירה בקידום הפרטיות כערך תאגיד.י ובנוסף עליו להיות מסוגל להתערב בנושאי הפרטיות ברחבי הארגון בכל צורך 109 הנחיות אלה מקנדה חופפות לעמדת הרשות ביחס למעמדו של ממונה הגנה על הפרטיות בארגון שטוענת כי מומלץ .שהממונה יהיה חלק מההנהלה הבכירה של הארגון כדי שיוכל למלא באופן מיטבי את תפקידיו ומשימותיו אמרה זו מצטרפת להנחיה לשמירה על היעדר ניגוד עניינים של הממונה עם תפק .ידיו השונים בארגון110 ניתן 105 סעיף 38 (3) ל- GDPR . 106 הנחיותworking party Article 29 , לעיל ה"ש25 ', בעמ17 . 107 הצעת החוק של ( המכון הישראלי לדמוקרטיה2019 ), לעיל ה"ש72, בעמ' 107 . 108 ,)הנחית הרשות להגנת הפרטיות בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע לעיל ה"ש67 , בעמ' 1 . 109 Assessment Tool - PIPEDA Self , לעיל ה"ש1 9 , תחתAccountability – Principle 1 'בעמ6 – 10 . 110 ( "הרשות להגנת הפרטיות "מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו2022 ), לעיל ה"ש61 ', בעמ1. 18 לשקול האם יש להוסיף כחלק מהגדרת התפקיד של הממונה, או כחלק מתנאי כשירותו מרכיב זה של ייחוס .להנהלה הבכירה או לציין מפורשות כי על ההנהלה לשמוע לממונה אפשרות אחרת באמצעותה ניתן להבטיח כיבוד מעמד הממונה בארגון היא להתנות ביצוע פעולה או החלטה מסוימת בארגון שקשורה לעיבוד ושימוש מידע באישור של הממונה בארגון. בקנדה למשל, ה- OPC מנחה "שבטרם הגדרת מטרה נוספת לשימוש במידע בארגון (כחלק מחובת עמידה בעיקרון "זיהוי המטרות שנמצא בחוק בקנדה) הממונה צריך לקבוע אם היא ראויה, ולשקול כיצד ניתן להפחית סיכוני פרטיות .פוטנציאליים111 ניתן לחשוב על מקבילות בדין או בהנחיות הישראליות שיקבעו פעולות שיהיו תלויות באישור של הממונה. ניתן אף להוסיף חובת הנמקה לפעולות מסוימות המצריכות אישור הממונה. כך ניתן להפחית את הסיכון שתפקיד הממונה יהווה חותמת גומי ותו לא, ושמיומנותו וכשירותו יילקחו ברצינו ת .במסגרת עבודת הארגון עם זאת, אנו סבורים שיש להשאיר את הליך הטמעת התפקיד כהליך אורגני, כחלק מהתרבות הארגונית של .כל ארגון, ולא לכפות את החוק או הרגולציה לרמה מעשית לחיי היומיום של הארגונים השונים,לכן ניתן לקבוע הוראות פחות פולשניות לחיי הארגון, כדוגמת חובות דיווח של הממונה למנכ"ל על פעולות במסגרת .תפקידו, כך שהמנכ"ל יהיה חשוף לשיקולי פרטיות בעת קבלת החלטות בנוגע לפעולות מסוימות בחינת סנקציות כאמור לעיל, האיחוד האירופי מצא כי ארגונים רבים, בכלל זאת ארגונים ציבוריים, לא מינוDPO למרות שהיו מחויבים לכך לפי הדין . 112 עולה מכך צורך בהעלאת מודעות לחובת המינוי, וכן צורך באכיפה במקרים של הפרות. כפי שנעשה ב - GDPR , 113 רצוי לקבוע קנס על אי- ציות לחובת המינוי של ממונה הגנה על הפרטיות , או להוראות אחרות הנוגעות לפעילותו, כפי שיוטל קנס על אי- ציות לשאר המחויבויות מכוח החוק. כמו כן, רצוי שהקנס יוטל גם במקרים שבהם הממונה ,לא הוסמך לבצע את תפקידיו מכוח החוק כדי להימנע מניסיונות לעקיפת חובת המינוי על -ידי מינוי ממונה .ללא יכולת אפקטיבית לבצע את תפקידיו לגבי חובות אחרות שקשורות למינויו שלDPO , כמו חובה לפעול שלא בניגוד עניינים, ניתן לבחון סנקציות אחרות, כגון מתן סמכות לרשות להגנת הפרטיות לקבוע שהממונה פועל בניגוד עניינים, ולדרוש הזזה שלו מתפקידו ומינוי ממונה .חדש במקומו לגבי הפרה של חובות על ביצוע תפקידו של ה- DPO והגדרת תפקידו– רצוי לשאוף שלא לקבוע הפרות במקרים שבהם הממונה אינו מבצע את תפקידו, שכן הגדרת תפקידו בארגון היא עניין מורכב שמשתנה מארגון לארגון. הטלת הקנסות על עצם אי- העמידה של הארגון כולו בהוראות חוק הגנת הפרטיות (שמטרתו של ה ממונה היא להקל ולוודא את העמידה בו) היא עדיפה על פני בחינה פרטנית של פעילותו של .הממונה בהקשר זה, בהתאם ל- GDPR , 114 אנו מציעים שלא לקבוע אחריות אישית של הממונה על הגנת המידע .בארגון 111 Assessment Tool - PIPEDA Self , לעיל ה"ש89 , תחתIdentifying Purposes - Principle 2 'בעמ10 - 13 . 112 Designation and Position of Data Protection Officers , לעיל ה"ש40, בעמ' 14 - 15 . 113 סעיף83 (4 () a) ל- GDPR מאפשר הטלת קנס של עד10 מיליון יורו או2% מההכנסה השנתית של הארגון על הפרה של חובותיו מכוח סעיף39 ל- GDPR, אשר עוסק בתפקידי ה- DPO . 114 סעיפים37 - 39 ל- GDPR ( מטילים את החובות על מעבד המידע או הבעלים של מאגר המידעcontroller or processor ) ולא על ה- DPO .באופן אישי 19 4.1 סיכום שיקולים והמלצות מינויDPO ?: חיוב או המלצה ראוי לחייב מינוי ממונה הגנת פרטיות, במקרים המתאימים, באופן שישיג הגנה מירבית על פרטיות מבלי להעמיס עומס בלתי סביר על ארגונים. בתוך כך ניתן לשקול אפשרות שמחייבת מינוי בגופים מסוימים .ומותירה לגופים אחרים את שיקול הדעת במינוי וולונטרי בעת קביעת המקרים בהם תחול חובת מינוי, השיקול המרכזי הוא הסיכונים לפרטיות. לכן יש להתחשב בעיקר בפרמטרים של רגישות המידע, היקף המידע ומספר נושאי המידע . בנוסף, יש לתת את הדעת גם .)למאפייני הארגונים עליהם נרצה להטיל את החובה (ציבורי, פרטי, מגזר שלישי ניתן .לשקול אפשרות של מינוי ממונה אחד למספר חברות קשורות, ומינוי ממונה ממיקור חוץ לחברה הגדרת תפקיד ראוי לקבוע הגדרת תפקיד כללית יחסית בחוק לצד פירוט נוסף בתקנות או הנחיות של הרשות להגנת .הפרטיות. נמליץ שיהיה מדובר בתפקיד נפרד ומובחן ממונה אבטחת מידע בפרט לטעמנו יש לקבוע בחקיקה חובה שתוטל על הממונה לוודא את קיום הוראות חוק הגנת הפרטיות על ידי בעלים או מנהל של מאגר מידע, ולהגדיר כחלק מתפקידו הגברת המודעות לחשיבות הפרטיות .והשלכותיה בארגון .בנוסף, נמליץ להגדיר את הממונה להגנת הפרטיות כאיש קשר בנושא הפרטיות בארגון הגדרת ידע ומומחיות יש לשקול האם לקבוע סטנדרט עמום בהגדרת הידע והמומחיות הנדרשים מהממונה להגנה על הפרטיות שיאפשר התאמה למאפייני וצרכי הארגון, או ליצור כלל ברור לשם יצירת רמת סף אחודה בקבלה והכשרה .לתפקיד. נציע לשם שמירה על גמישות התאמת התפקיד לארגון לשלב ביניהם בנוסף, יש לבחון האם לחייב השתתפות בקורסי כשירות לשם קבלה לתפקיד ו/או ביצוע קורסי כשירות תקופתיים לשם עמידה ברמת כשירות ומומחיות אחידה. נמליץ להציע קורסי כשירות מטעם המדינה שיהיו זמינים חינם, מסובסדים או מפוקחים לשם הקלת הנטל על הארגונים השונים, ככל שהדבר מ תאפשר .מבחינה תקציבית עצמאות וניגוד עניינים כדי לשמור על תפקיד הממונה להגנה על הפרטיות תפקיד עצמאי שניעדר ניגוד עניינים, מומלץ להגדיר .מפורשות בחקיקה או בתקנות רשימה של תפקידים בארגון שהממונה לא יכול לכהן בהם במקביל לתפקידו אפשרות חלופית היא אימוץ כלל רחב השומר על עצמאות וניגוד עניינים כנעשה ב- GDPR . נמליץ לאמץ את הכלל הקבוע ב- GDPR לפיו אין להנחות את הממונה ביחס לפעילותו, ואין לפטר אותו או לפגוע בתנאי העסקתו בשל ביצוע תפקידיו. זאת על מנת להבטיח שהממונה ישקול שיקולים ענייניים בעת .ביצוע תפקידו, ולא יחשוש מפיטורים לא מוצדקים אחריות נמליץ לשקול הוספת התייחסות מפורשת לאחריות הממונה בארגון על ציות להוראות החוק ואחריות למילוין בדומה לאחריות נושאי משרה מדיני החברות. יש לבחון כיצד ואם בכלל לייחד אחריות זו משאר 20 ,בעל התפקידים בארגון: דירקטוריון, ממונה על אבטחת מידע בעל השליטה במידע ומעבד המידע . לחלופין .ניתן לפטור ממונה מאחריות אישית בכלל או במקרים מסוימים שילוב תפקיד הממונה על הגנת הפרטיות בארגון יש לשקול האם צריך להגדיר בפועל תמיכה של הארגון וההנהלה הבכירה בתפקיד הממונה, או להשאיר את .התחום מחוץ להתערבות חקיקתית ורגולטורית במידה והוחלט להגדיר תמיכה בתפקיד להלן מספר חלופות מוצעות: מתן סמכות להתערב בהחלטות בארגון שנוגעות בנושאי פרטיות; התניית ביצוע פעולה או החלטה מסוימת בארגון שקשורה לעיבוד ושימוש מידע באישור של הממונה בארגון; הוספת חובת הנמקה לפעולות מסוימות המצריכות אישור ממ ;ונה .הוספת חובת דיווח של הממונה למנכ"ל על פעולות במסגרת תפקידו בחינת סנקציות נמליץ על קביעת סנקציה כספית על אי- .ציות לחובת מינוי ממונה או להוראות אחרות הנוגעות לפעילותו .נמליץ שהסנקציה תחול על הארגון כולו ולא כאחריות אישית על הממונה בנוסף נמליץ לתת סמכות לרשות להגנת הפרטיות לדרוש החלפת ממונה בארגון במקרים בהם הממונה לא .פעל בהתאם לחוק 5. סיכום המגמה הגוברת של חיוב מינוי ממונה על הגנת פרטיות בארגונים היא מגמה מבורכת. אנו סבורים כי חיוב ארגונים למנות ממונה על הגנת פרטיות, במיוחד במקרים בהם הארגון מטפל במידע רב ורגיש, יתרום להגנה על פרטיות ולהגברת המודעות לחשיבותה. לאור חשיבות התפקיד, אנו ממליצים ל ייחד לו הגדרת תפקיד מפורשת ונפרדת מתפקיד ממונה על אבטחת מידע, וכן לנקוט במהלכים שיבטיחו את כשירותו של בעל .התפקיד, עצמאותו בארגון ויכולת השפעתו