
"השקעה בפרטיות היא קריטית לחלק מן העסקים"
עו"ד גיא בקשי בעקבות המסמך המפורט שפרסמה הרשות להגנת הפרטיות: רשימת הכישורים של הממונה היא הגיונית; יקח זמן להכשיר אותם
הרשות להגנת הפרטיות פרסמה גילוי דעת נרחב בנוגע לחובת מינוי ממונה הגנת הפרטיות בארגונים, כחלק מהתיקון הדרמטי בחוק הגנת הפרטיות שנכנס לתוקפו לפני שנה. עו"ד גיא בקשי - ראש תחום שירותי ה-DPO (ממונה הגנת הפרטיות) במשרד פרל, כהן-צדק, לצר, ברץ - מסביר את משמעויותיו של המסמך.
משרד המשפטים: יש להגן על הפרטיות בארגונים מעבר למינימום הנדרש בחוק
מה המשמעות המעשית של גילוי הדעת והאם יש לו תוקף מחייב?
"מדובר בגילוי דעת שמציג פרשנות של הרשות להגנת הפרטיות בנוגע לחובת מינוי DPO, כישוריו, הגבלות, דרישות וכו'. כלומר, על פניו, לא מדובר במסמך מחייב או מסמך השווה ברמתו הנורמטיבית לחוק או אפילו להנחיה של הרשות. יחד עם זאת, הרשות לא פעם פועלת בהתאם לפרשנותה ולגילויי הדעת שלה בהליכי פיקוח על ארגונים. בפועל, מומלץ לפעול בהתאם לגילוי הדעת, ברמה המהותית".
מהן סמכויות האכיפה של הרשות בנושא מינוי הממונה ועבודתו?
"לפקח על מילוי הוראות החוק בנוגע למינוי ממונה על הגנת הפרטיות, לקבוע הפרות ולהטיל עיצומים. מינוי ממונה להגנת הפרטיות קבוע בחוק, והאכיפה היא כמו של כל סעיף אחר בחוק הגנת הפרטיות".
על פניו, רשימת הכישורים הנדרשת מן הממונה מצפה שהוא יהיה סוג של סופרמן: לדעת שורה של חוקים, להבין במערכות מידע, להכיר היטב את הארגון ולהיות בעל ניסיון משמעותי. האם זוהי רשימה ריאלית? האם יימצאו מספיק ממונים מתאימים?
"לא מדובר ברשימה מופרכת, אלא בדרישות ריאליות למדי. ה-DPO נדרש להרים דגלים אדומים או לשים קו אדום לארגון ולהבין מתי הפגיעה בפרטיות היא אינה מידתית. באופן טבעי, זה הולך יד ביד עם רצון ה-DPO בהצלחה העסקית של הארגון. כמו כן, בארגונים גדולים בהחלט ייתכן שהממונה יידרש לכישורי ניהול אם יהיה תחתיו צוות עובדים.
"מובן מאליו שהממונה צריך ידע מעמיק בדיני הגנת הפרטיות, לא רק החוק הישראלי, אלא חוקים נוספים שעשויים להיות רלוונטיים לארגון: GDPR באירופה, CCPA / HIPAA בארה"ב או כל דבר אחר. לגבי הדרישה לניסיון מעשי משמעותי - זה בהחלט מוסיף לרמת הידע וההבנה, וכמובן שרצוי מאוד שתהיה לממונה הבנה הולמת בטכנולוגיה ובאבטחת מידע".
- משרד המשפטים: יש להגן על הפרטיות בארגונים מעבר למינימום הנדרש בחוק
- בחירות 2026 הן מבחן לסמכויות החדשות של הרשות להגנת הפרטיות
בכמה ארגונים מדובר על פי ההערכה וכמה זמן יקח להכשיר ולהכניס לתפקיד את כל הממונים?
"קשה לי להעריך בכמה ארגונים מדובר, אבל בהחלט יקח זמן להכשיר היטב את כל הממונים על הגנת הפרטיות. זה תחום שהניסיון המעשי בו משמעותי מאוד מבחינת היקף הידע, וייתכן שיידרשו שנים עד שהממונים החדשים ירכשו את הניסיון והידע המעמיקים שנדרשים".
מה תהיה המשמעות הכספית של מינויים אלה?
"כמו כל סוג אחר של שירות. ארגונים יצטרכו להעמיד תקציב למטרות compliance. זה קורה כבר היום. מובן שיש ארגונים שלוקחים מאוד ברצינות את הנושא, וכאלה שמעדיפים לדחות את ההשקעה בזה עד לרגע שאי-אפשר יותר. יש לציין שמינוי DPO בטרם הטלת עיצומים על ידי הרשות להגנת הפרטיות - מזכה בהפחתה של 10% מגובה העיצום".
הרשות אומרת שהממונה והציות לחוקי הגנת הפרטיות טובים לעסקים. היא צודקת?
- תיק שי ליפמן: עשר שנים בין העבירה לענישה הן הרבה יותר מדי זמן
- מס גובים לפי חוק, לא לפי קיצור דרך פרשני
"השקעה מוקדמת ב-privacy compliance ומינוי DPO מניבים תוצאות ומקדמים עסקים, בעיקר בארגונים שכל השירות שלהם מבוסס על עיבוד מידע אישי בהיקפים גדולים או על עיבוד מידע רגיש. אחד הדברים הכי חשובים לארגונים כאלה הוא אמון הלקוחות/המשתמשים. השקעה בפרטיות היא קריטית לעסק במקרים כאלה".
עו"ד גיא בקשי (צילום: יח"צ)