ניגוד עניינים מובנה: האם ניתן למנות נציג משפטי של החברה כממונה הגנת הפרטיות?

רשויות הגנת המידע באיטליה ובנורווגיה הדגישו בהחלטות משמעותיות שקיבלו לאחרונה את החשיבות הקריטית בשמירה על עצמאותו של תפקיד קצין הגנת המידע, ה-DPO. שתי הרשויות קיבלו החלטות דומות המדגישות את ניגוד העניינים המובנה הנוצר כאשר יועץ משפטי של חברה ממונה כ-.DPO החלטות אלו משמשות כתמרור אזהרה לארגונים ברחבי העולם, וכמובן גם בישראל, שבה ייכנס לתוקף בקרוב תיקון 13 לחוק הגנת הפרטיות שיחייב ארגונים רבים למנות ממונה הגנת פרטיות שבין היתר אינו מצוי בניגוד עניינים – בדיוק כמו שמחייבת הרגולציה האירופית.

העמדה האיטלקית: עמדת ה–Garante בנוגע לעצמאות ה–DPO

רשות הגנת המידע האיטלקית (Garante) התייחסה לסוגיה זו בהחלטה שפורסמה בפברואר 2025. המקרה עסק בחברת שיקום אשראי שמינתה את יועצה המשפטי כ-DPO. ה-Garante קבעה כי תפקיד כפול זה אינו תואם את הדרישות המפורטות בתקנה 38 לתקנות הגנת המידע של האיחוד האירופי (GDPR), המחייבות את ה-DPO לפעול באופן עצמאי וללא ניגוד עניינים.

החקירה של ה-Garante גילתה כי החברה לא הבטיחה את עצמאותו של ה-DPO, שכן היועץ המשפטי היה מעורב באופן מובנה בתהליכי קבלת החלטות הקשורים לעיבוד נתונים. סידור זה פגע ביכולתו של ה-DPO לפקח על הציות באופן אובייקטיבי. כתוצאה מכך, ה-Garante הטילה קנס בסך 70,000 אירו על החברה, בהתחשב בחומרת ובהיקף ההפרות, וכן בחוסר שיתוף הפעולה של החברה במהלך החקירה.

המקרה הנורווגי: אכיפת ה–Datatilsynet נגד חברת Telenor ASA

בנורווגיה, רשות הגנת המידע (Datatilsynet) ערכה חקירה בחברת Telenor ASA, חברת תקשורת גדולה, ופרסמה את החלטתה בנושא במרץ 2025. החקירה מצאה כי Telenor לא העריכה או תיעדה כראוי את עצמאותו של ה-DPO, ולא הקימה קו דיווח ישיר בין ה-DPO לרמת הניהול הגבוהה ביותר, כפי שנדרש בסעיפים 37 ו-38 ל-GDPR.

ה-Datatilsynet קבעה כי המבנה הארגוני של Telenor לא הבטיח את עצמאותו של ה-DPO, ובכך פגע ביעילות הפיקוח על הגנת המידע בתוך החברה. כתוצאה מכך, ה-Datatilsynet הטילה קנס מנהלי של 4 מיליון קרונות נורווגיות (כ-370,000 אירו) על Telenor והורתה לחברה לבצע בחינה מחודשת של חובתה למנות DPO DPO ובהתאם לנקוט בצעדים הנדרשים וליישם אמצעים ארגוניים מתאימים על מנת לעמוד בהוראות ה-GDPR.

הפרשנות המחמירה לניגוד העניינים בתפקיד ה-DPO אינה חדשה באירופה:

מעבר להחלטות מנורווגיה ואיטליה, סוגיית ניגוד העניינים בתפקיד ממונה הגנת המידע נדונה גם על ידי רשויות וערכאות במדינות אירופיות נוספות. כך, רשות הגנת המידע הבלגית קבעה בשנת 2020 כי מינוי ראש מחלקת הציות וניהול הסיכונים לתפקיד ה- DPO יוצר ניגוד עניינים מהותי, והטילה על הארגון קנס של 50,000 אירו. בגרמניה, בית הדין הפדרלי לעבודה פסק בשנת 2023 כי כהונה כפולה של DPO כחבר הנהלה או מועצת עובדים מהווה ניגוד עניינים שלא ניתן ליישוב. שתי ההחלטות מחזקות את הדרישה הפרשנית המחמירה בנוגע לעקרון העצמאות של ה- DPO ואת הצורך בהפרדה מהותית של תפקידים וסמכויות במסגרת  התשתית הארגונית הנדרשת לציות לדיני הגנת הפרטיות.

היערכות לתיקון 13 וההשלכות על ארגונים בישראל:

מקרים אלו באירופה נושאים השלכות משמעותיות עבור ארגונים בישראל, במיוחד לאור כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיותבחודש אוגוסט הקרוב. תיקון זה מטיל על ארגונים מסוימים את החובה למנות ממונה הגנת פרטיות (מקביל ל-DPO לפי ה-GDPR), ומדגיש בין היתר את הצורך בהבטחת עצמאותו של הממונה ובהיעדר ניגוד עניינים. הנוסח והתכלית העומדת מאחורי הוראת החוק המחייבת מינוי DPO בתיקון 13 מזכירה מאוד את הוראת החוק האירופית, ועל-כן סביר להניח שהחלטות כמו אלו שהתקבלו באיטליה ובנורבגיה ישפיעו על פרשנות הוראות אלה בחוק הגנת הפרטיות במסגרת הליכים שיפוטיים שיתקיימו בעתיד בישראל.

ארגונים בישראל צריכים להבין כי מינוי נושאי משרה המחזיקים בתפקידים הקשורים לקבלת החלטות בנוגע לעיבוד נתונים, כגון נציגים משפטיים, יועצים משפטיים, , מנכ"לים או מנהלי מערכות מידע, כממונים על הגנת פרטיות עשוי להוות ניגוד עניינים. כדי לעמוד בדרישות החוק החדשות, על הארגונים להקים מבנים ארגוניים ברורים המגדירים את אחריות ה-DPO ואת סמכויות וקווי הדיווח שלו, תוך הבטחת יכולתו לפעול באופן עצמאי ולפקח ביעילות על נהלי הגנת המידע.

שמירה על שלמות תפקיד ה–DPO

החלטות ה-Garante האיטלקית וה-Datatilsynet הנורווגית מדגישות את החשיבות הקריטית בשמירה על עצמאותו של תפקיד ה-DPO כדי להבטיח ציות אפקטיבי לרגולציית הגנת המידע באירופה ובמידה רבה גם בישראל. ארגונים חייבים להעריך בזהירות את מבניהם הפנימיים ולהימנע ממינוי נושאי משרה מסוימים לתפקיד ה-DPO אשר עשויים להיות בעלי אחריות או אינטרסים סותרים. ככל שהרגולציות בתחום הגנת המידע ממשיכות להתפתח ברחבי העולם, הקפדה על עקרונות אלו תהיה חיונית עבור ארגונים לשמירה על זכויות הפרטיות של יחידים ולהימנעות מסנקציות רגולטוריות.