בימים אלו דנה ועדה חוקה חוק ומשפט של הכנסת בתיקון 14 לחוק הגנת הפרטיות, התשמ״א – 1981, לאחר שהתיקון המשמעותי האחרון שעבר היה לפני 30 שנה לערך. תיקון מס׳ 14 הגיע כדי לחולל שינוי וכדי לייצר משוואה חדשה בעולם הגנת מידע ופרטיות. התיקון אמור לשנות או להסדיר סוגיות כמו צמצום חובת הרישום של מאגרי מידע בישראל, התאמות בין החקיקה הישראלית לחקיקה בינלאומית בהגדרות, סמכויות אכיפה ועוד.
חשוב להבין שהשינויים הרצויים ברגולציית הגנת הפרטיות בישראל יכולים לשנות את האופן שבו חברות שונות הפעולות במשק הישראלי, יפעלו עם מידע אישי – נכס נחשק ביותר עבורן.
מינוי ממונה פרטיות בארגון
חוק הגנת הפרטיות הקיים, הינו חוק יחסית ישן, בטח כשמשווים אותו אל מול סערת הגנת המידע המתחוללת ברחבי הגלובוס (למשל, ה- GDPRהידוע, וכן חקיקות נוספות בארה״ב כמו ה-CCPA וכו׳).
אחת החובות היותר מעניינות שעלו בקרב החקיקות החדשות ברחבי העולם, היא החובה למינויו של קצין הגנת מידע (בלעז – DPO (Data Protection Officer)). תפקידו של קצין הגנת המידע לפי רגולציות בינלאומיות, למשל כמו ה-GDPR האירופאי, אמנם משתנה מארגון לארגון, אולם באופן כללי ניתן לומר שהתפקיד המרכזי הוא לפקח רגולטוריות ולדאוג ברמת הציות, כי ארגון עושה שימוש במידע אישי, בהתאם לדין ולשמש כגורם המקשר בין הארגון לרשות הגנת הפרטיות הרלבנטית.
הקצין עושה זאת במגוון דרכים, בין היתר, גיבוש נהלים ותוכניות עבודה (למשל – תכנית למשך שמירת מידע), ייעוץ וניהול סיכונים ביחס לשימוש במידע, מקום בו הדבר נדרש וכו׳.
כך, גם בישראל ב-2022, הרשות להגנת פרטיות פרסמה מסמך המלצות (לא מחייב בזמנו), בו היא ממליצה לחברות למנות ממונה הגנת פרטיות. במסגרת המלצות אלו, מנתה הרשות מספר תפקידים, כגון: הדרכות עובדים בנושא הגנת הפרטיות; ביצוע ופיקוח על תכנית עבודה שנתית בנושא הגנת הפרטיות; הסדרת תהליכי ניהול המידע האישי בארגון, מעורבות בתכנון מערכות שמנהלות מידע אישי לפרטיות וכו׳. על הממונה על פרטיות בארגון, לדעת הרשות, להיות חלק מהנהלה הבכירה בארגון ולהיות בעל הכשרה משפטית או מומחיות בעולמות הגנת המידע האישי.
חשוב להבין, שבמקומות כמו אירופה, אי מינוי של קצין הגנת מידע, עלול להוביל לקנסות משמעותיים. בישראל, עד לתיקון 14 זו הייתה רק המלצה, ולכן אי מינוי לא היה יכול לגרור כל סנקציה. אבל, מדיון שקיימה לאחרונה ועדת חוקה, במסגרת הדיונים על תיקון 14, החובה צפויה להתממש בתחילת 2025. בדיון בוועדה מסתמן כי כל אחד מהגופים הבאים יהיה מחויב למנות ממונה הגנה על הפרטיות:
1) רשות או גוף ציבורי;
2) גוף העושה שימוש משמעותי במידע האישי, ובשימוש הזה הוא מבצע ניטור קבוע ושיטתי של נושאי המידע.
3) גוף אשר מעבד מידע רגיש (כהגדרתו בתיקון) בהיקף גדול.
תפקידיו של הממונה על הגנת הפרטיות צפויים להיות מגוונים ודומים להמלצות שהוציאה ברשות ב-2022. בהקשר זה, ניתן לשים דגש על כך שתפקיד הממונה יהפוך לדומה לתפקיד המצוי ברגולציה האירופית (ה-GDPR) עם טוויסט ישראלי, באופן בו אותו ממונה ייתן ביטוי לציות של הארגונים המחויבים במינויו בהתאם להוראות החלות עליהם על-פי חוק הגנת הפרטיות ותקנות אבטחת המידע הישראליות.
בנוסף (וגם פה דומה לרגולציה האירופית) פרטי הקשר של הממונה יפורסמו בפומבי, באופן נגיש ופשוט (לרוב הכוונה היא לאתר החברה וכיוצא בזאת).
המשמעות לגופים בישראל
נתחיל במובן מאליו – גופים שונים בישראל יידרשו למינויו של גורם בכיר בחברה, על כל העלויות המשתמעות מכך, שיהיה מעורב בתהליכים פנים ארגוניים הקשורים במידע. כמו כן, מינוי של גורם בכיר בחברה שכל עולמו יהיה לדאוג שהחברה תהיה בציות להוראות החוק והתקנות, תגרור ממילא עלויות נוספות מצד אותם גופים.
יתרה מכך, ולא שחס וחלילה חברות בישראל היו מעגלות פינות מתחומי הגנת הפרטיות (נושא שכנראה יעבור שינוי לאור סמכויות האכיפה המוגברות שיהיו בחוק לאחר תיקון 14), ברגע שיש גורם מקצועי שזהו כל תפקידו, ברי כי כל ההתייחסות לנושא תשתנה לחלוטין, לרבות הקצאת המשאבים והקשב לנושאים אלו ואף יתכן חשיבה מחודשת בכל הנוגע לשימושים שונים במידע אישי שנאסף ומעובד על-ידי אותו גוף.
הכותב הוא עו״ד עדיאל קליין, מומחה משפט וטכנולוגיה