מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו

מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו
מאת: מערכת Telecom News, 29.10.20, 12:10

הרשות להגנת הפרטיות פרסמה מסמך המכיל המלצות לארגונים וחברות מכלל מגזרי המשק בנוגע למינויים של ממוני הגנה על הפרטיות בארגונים וביחס לדרישות התפקיד. ניתן לשלוח התייחסויות למסמך.

הרשות להגנת הפרטיות פרסמה מסמך, ראשון מסוגו, שמספק לארגונים ולמשק סט כלים וקווים מנחים בכל הנוגע לתחומי האחריות של ממונה על הגנת הפרטיות בארגון, תחומי הידע וההכשרה הנדרשים ממי שמכהן בתפקיד זה וכן מתייחס למעמדו המיוחד בארגון.

הרשות להגנת הפרטיות מאמינה, שכדי להבטיח עמידה בהוראות דיני ההגנה על מידע אישי בישראל מומלץ למנות ממונה הגנה על הפרטיות, שיופקד על יישום דיני ההגנה על מידע אישי בארגון. תפקידו המרכזי של הממונה הוא להביא להפנמה של עקרונות ושיקולי פרטיות בתהליכי העבודה בארגון ולסייע לארגון במימוש אחריותו וחובותיו לפי דיני הגנת הפרטיות.

כיום, הדין בישראל אינו כולל חובה כללית למינוי בעל תפקיד בארגון, שיהיה אמון על מכלול היבטי ההגנה על הפרטיות. יחד עם זאת, סבורה הרשות, שמינויו של ממונה הגנת פרטיות באופן וולונטרי מהווה פרקטיקה ראויה ומומלצת (Best Practice) לארגונים האוספים ומעבדים מידע אישי.

פרקטיקה זו נושאת בחובה יתרונות רבים גם לארגונים וגם לציבור. הדבר עולה בקנה אחד עם האינטרסים הכלכליים של ארגונים במשק. שכן, היכולת להגן על המידע האישי של הלקוחות או אנשים עליהם מחזיק הארגון במידע, היא בעלת חשיבות כלכלית מובהקת.

מינוי ממונה הגנת פרטיות יאפשר גם לציבור הלקוחות לרכוש אמון באשר לטיפול במידע האישי שלהם, ביודעם, שהארגון נקט ונוקט צעדים לצמצום הסיכון לפגיעה בפרטיותם.

יש יתרון נוסף נוגע לארגונים רבים, שמכוונים לקהל לקוחות במדינות שונות בעולם. בידו של ממונה ההגנה על הפרטיות לסייע להנהלת הארגון להבין באילו מקרים ובאיזה אופן חוקים שונים, שנחקקו ברחבי העולם הנוגעים להגנה על מידע, עשויים להשפיע על מהלך העסקים של הארגון, ולהיערך בהתאם.

במסמך ההמלצות מתייחסת הרשות להגנת הפרטיות להיקף תפקידו של הממונה, שיקבעו על פי מורכבות פעולות עיבוד הנתונים המתבצעות בארגון ובהתאם לגודלו. כ"כ, התפקידים והמשימות, שמומלץ, שיהיו תחת טיפולו של ממונה הגנה על הפרטיות, הם, בין היתר, הסדרת תהליכי ניהול מידע, פיקוח ובקרה והדרכה והטמעה.

כדי שממונה ההגנה על הפרטיות יוכל לממש את אחריותו באופן מיטבי, מציינת הרשות, שיש לתת את הדעת לנושא סמכויותיו ועצמאותו של הממונה. כ"כ, נדרשים לו ידע והכשרה רלוונטיים.

מומחיותו של ממונה ההגנה על הפרטיות נדרשת להיות משולבת. כך, שתאפשר לו הבנה מיטבית של התהליכים בארגון ברמה הטכנולוגית והעסקית לצד יכולת לבחון את התאמתם לדרישות החוק ולמדיניות הארגון.

בנוגע למעמדו של ממונה הגנת הפרטיות בארגון ויחסיו עם בעלי תפקידים אחרים העוסקים בהגנה על מידע אישי - כדי שיוכל למלא באופן מיטבי את תפקידיו ואת המשימות המוטלות עליו, מציינת הרשות, שמומלץ, שהממונה יהיה חלק מההנהלה הבכירה של הארגון, כמינוי פנימי של עובד החברה או גורם חוץ.

ככל שמדובר במינוי פנימי, ראוי, שהעובד לא יהיה נתון לניגוד עניינים עקב תפקיד אחר, שהוא ממלא בארגון. ככל שמדובר בארגון גדול, או כאשר ליבת העיסוק של הארגון כרוכה בעיבוד מידע אישי, או במקרים בהם מעובד מידע אישי בקנה מידה רחב, רצוי, שממונה הגנת הפרטיות יהיה מינוי פנימי ובעל תפקיד בכיר בארגון. ככל שמדובר בארגון בינוני או קטן, שליבת עיסוקו אינה כרוכה בעיבוד מידע אישי, קיימת אפשרות למנות ממונה חיצוני, שאינו עובד הארגון.

המסמך מתפרסם לקבלת הערות/התייחסויות מאת הציבור. הרשות מזמינה להעביר אליה התייחסויות למסמך עד לתאריך ה- 12.11.20 בשעה 12:00.

ניתן לשלוח התייחסויות לכתובת הדוא"ל ppa@justice.gov.il ולציין בשורת הנושא "התייחסות למסמך המלצות בנושא מינוי ממונה הגנה על הפרטיות בארגונים ותפקידיו".

ד"ר שלומית ווגמן, מ"מ ראש הרשות להגנת הפרטיות: "גישת האחריותיות (accountability) , שמקדמת הרשות ביחס לניהול מידע אישי הנאסף על אזרחים ע"י ארגונים, היא חלק משינוי תפיסה מהותי וחשוב, שמקדמת הרשות להגברת רמת ההגנה על מידע אישי במשק הישראלי. המנגנון, שמציגה כעת הרשות, בדומה למנגנונים בעולם, יתרום להעלאת המודעות של ארגונים לסיכונים וההזדמנויות שבניהול מידע אישי, לניהול מידתי ואחראי יותר של פעילות בעלת פוטנציאל לפגיעה בפרטיות, וזאת מתוך גישה בונת אמון והכרה משותפת בחשיבות ניהולו והגנתו המיטביים של המידע הנאסף על כל אזרח ע"י גורמים ממשלתיים, ציבוריים ועסקיים.

הרשות סבורה, שאימוץ המנגנון הוולנטרי המוצע גם ישיא ערך חברתי וכלכלי לארגונים, הן בהתאמה לסטנדרטים המקובלים בעולם והגברת אמון הלקוחות, והן כהגנה מהליכים משפטיים בגין שימוש שלא כדין במידע אישי, צמצום החשיפה לתביעות אזרחיות ומזעור פגיעה אפשרית במוניטין".