הרשות להגנת הפרטיות פרסמה טיוטה להערות הציבור העוסקת במינוי ממונה על הגנת הפרטיות בארגון (DPO) בהתאם לדרישות תיקון 13 לחוק הגנת הפרטיות, אשר ייכנס לתוקף ביום 14.8.2025. טיוטת גילוי הדעת מפרשת את הוראות סעיפים 17ב1–17ב3 לחוק, ועוסקת במעמד הממונה, חובותיו, סמכויותיו, אופן מינויו, והקריטריונים שעליו לעמוד בהם. הרשות פירשה בהרחבה מונחי מפתח בחוק והבהירה מי יוכל להתמנות לממונה על הגנת הפרטיות, ומי ככל הנראה לא.
הטיוטה מפרטת את סוגי הגופים שעליהם חלה החובה למנות ממונה, ותוך פרשנות מרחיבה את התחולה מעבר ללשון החוק. בין הגופים שיחויבו במינוי נמנים גופים ציבוריים (כהגדרתם בסעיף 23 לחוק או בצו הגנת הפרטיות לקביעת גופים ציבוריים), גופים העוסקים בסחר במידע אישי וכאלו המעבירים מידע כדרך עיסוק או בתמורה, גופים המבצעים ניטור שוטף ושיטתי של בני אדם בהיקף ניכר (למשל מנהלי סיכונים בתחום האשראי והביטוח, מפעילי אתרי אינטרנט ואפליקציות, מפעילי התקנים לבישים, רכבים מחוברים ומכשירי IoT), וכן גופים המעבדים מידע רגיש בהיקף ניכר (כגון מוסדות רפואיים, בנקים וחברות ביטוח). הרשות מנחה כי המונח "היקף ניכר" יפורש באופן רחב מהרשימה שבסעיף החוק הייעודי, ללא סף כמותי מחייב, ודי בכך שאחד הקריטריונים מתקיים, כגון מספר נושאי מידע, סוג המידע, תדירות העיבוד או משך שמירתו, כדי לחייב מינוי.
בנוסף למקרים המחייבים, הרשות ממליצה על מינוי וולונטרי גם בארגונים שאינם חייבים בכך, ובפרט גופים "דו מהותיים". בין היתר, הוזכר כי לפי החוק, מינוי DPO עשוי לזכות בהפחתה של 10% בגובה העיצומים הכספיים שיוטלו על הארגון. כמו כן, הטיוטה קובעת דרישות ידע מפורטות מהממונה: ידע מעמיק בדיני הגנת הפרטיות (לרבות ניסיון מעשי מוכח והיכרות עם פסיקה, רגולציה ונהלי הרשות), יכולת עבודה עם דרגים בכירים, הבנה טכנולוגית מתאימה, והיכרות עם אופן פעילות הארגון. הרשות מחדשת ומדגישה כי השתתפות בקורסים לממוני הגנת הפרטיות אינה מספיקה כשלעצמה, אלא אם נלווית לניסיון או השכלה.
הרשות מפרשת את הקביעה בחוק לפיה הממונה "ישמש סמכות מקצועית" כחובת היוועצות דה-פקטו עם הממונה, מדגישה שיש לנהוג בעמדתו כבחוות דעת של גורם שיש חובת היוועצות עמו, ולנמק כל החלטה שלא לפעול לפיה. כל פנייה של הארגון לרשות תבוצע דרך הממונה, וההרשאה תכלול גם אפשרות שהרשות תפנה ישירות אל הממונה. הממונה יטפל בפניות נושאי מידע ויהיה שותף לתהליך הדיווח לרשות על אירועי אבטחה. עוד נקבע, כי הממונה לא ימלא תפקידים הכוללים קביעת מדיניות עיבוד או סמכות להחלטות מהותיות, וזאת כדי למנוע ניגוד עניינים. הרשות נוקבת בדוגמות לתפקידים בהם קיים ניגוד עניינים מובנה, ובכללם מנהלי שיווק, מנהלי לקוחות, CFO, מנהלי מערכות מידע או CTO.
הרשות מתנגדת לכך שאותו אדם ישמש גם כממונה אבטחת מידע (CISO) וממונה על הגנת הפרטיות, ומונה ארבעה נימוקים לכך – בהם ניגוד עניינים, הפרדה תפקודית נדרשת, הבדלים במומחיות ובמיקום בהיררכיה הארגונית, והיקף אחריות. עם זאת, הממונה יידרש להבנה מספקת באבטחת מידע ובטכנולוגיה, גם אם אינו איש מקצוע בתחום.
טיוטת גילוי הדעת מבוססת על עקרונות דומים לאלה שבבסיס סעיף 37 ל-GDPR, המחייב מינוי DPO במקרים של עיבוד שיטתי נרחב או עיבוד מידע רגיש, וכן בגופים ציבוריים. ההנחיות של EDPB משנת 2018 מגדירות אף הן את הממונה כגורם עצמאי, בלתי תלוי, בעל מומחיות משפטית וטכנולוגית, שלא יכול למלא תפקידים העלולים להוביל לניגוד עניינים. רשויות באירופה סיפקו החלטות חד משמעיות בדבר איסור ניגוד העניינים בתפקיד הDPO. באיטליה ובנורווגיה הוחלט שיועמ"ש פנימי לא יוכל לשמש כ-DPO עקב ניגוד העניינים המובנה, בבלגיה הרשות החליטה כי מינוי ראש מחלקת הציות וניהול הסיכונים לתפקיד ה- DPO יוצר ניגוד עניינים מהותי. ניתן לשער כי עקב הדמיון הרב בין דרישת המינוי בחוק הישראלי לבין הדרישה ב-GDPR, הרשות או בתי המשפט עשויים לקבל השראה מהחלטות אירופיות אלו "ולייבאן" לישראל בדרך של פרשנות.
טיוטת גילוי הדעת החדשה מבססת סטנדרט גבוה וברור למינוי ממונה על הגנת הפרטיות, תוך הדגשת האוטונומיה המקצועית הנדרשת ממנו והרחבת פרשנות החובה על כלל מגזרי המשק. לצד החובה הפורמלית, הרשות מעודדת מינוי גם בגופים שאינם מחויבים, מתוך תפיסה רחבה של אחריותיות, ניהול סיכונים והגנה אפקטיבית על מידע אישי. ארגונים שימנו ממונה על הגנת הפרטיות נדרשים לבחור בעל תפקיד ברמה מקצועית גבוהה, בעל ניסיון מעשי מוכח בתחום המשפטי של הגנת הפרטיות. השתתפות בקורס, לרבות כזה שנעשה בחסות הרשות, אינה מספיקה כשלעצמה כדי לעמוד בדרישות. הרשות מצפה למינוי מהותי, לא פורמלי, של גורם מקצועי שיוכל למלא את התפקיד באופן אפקטיבי – הן כלפי פנים הארגון והן מול הרגולטור.
