DPO | קצין אבטחת מידע וממונה הגנה על הפרטיות

השאירו פרטים כאן לקבלת מידע טלפוני אודות שירותי DPO או התקשרו ל- 03-7176281

ממונה להגנה על הפרטיות:

בבסיס אחריות הממונה להגנה על הפרטיות, עומדת הכוונה לוודא, כנציג ההנהלה, כי הארגון עומד בכלל דרישות הרגולציה בתחום הפרטיות, ומיישם בצורה מתאימה את דרישות דיני הגנת הפרטיות.

אילו ארגונים מחויבים במינוי ממונה הגנת פרטיות DPO?

כל ארגון אשר מעוניין להשקיע באמון הלקוחות. בתקופה בה מידע אישי נמצא במאגרי הארגון, ואירועי פריצה וגניבה של מידע הופכים להיות דבר שבשגרה, חלה אחריות על מחזיקי מידע אישי לעשות את כל המאמצים להגן על הפרטיות של הלקוחות או של העובדים וגם להודיע בצורה ברורה על הפעולות, כדי להסיר דאגות ולהגביר אמון.

תפקיד הממונה על הפרטיות הופך להיות קונצנזוס בעולם – אחת מחובות הרגולציה האירופאית (רגולציית GDPR) היא החובה למנות קצין אבטחת מידע – DPO.

רגולציית ה-GDPR אומנם חלה על כל חברה המשתמשת במידע של אזרחי האיחוד האירופאי, אך החובה במינוי של DPO חלה רק על ארגונים המהווים רשות ציבורית, או ארגונים אחרים בתנאים מסוימים, כמו כאלה שעיקר עיסוקם הוא עיבוד מידע אישי או המבצעיות עיבוד מידע בהיקף גדול.

חברה המחליטה למנות DPO למרות שהחובה אינה חלה עליה, מחויבת אף היא בכל דרישות ה-GDPR בנושא.

בישראל, פרסמה הרשות להגנה על הפרטיות המלצות בנוגע למינוי ממונה הגנה על הפרטיות. על אף שאין חובה לכך, מטרת המינוי הינה לוודא כי הארגון עומד בדרישות התקנות המחייבות, ולהיות חוליה מקשרת בנושא בין הארגון לבין בעלי עניין כמו רגולטור, דירקטוריון, לקוחות וספקים.

חובת מינוי DPO תלויה בתנאים ומאפיינים ספציפיים, בכדי לדעת האם חברתכם מחויבת אף היא, פנו אלנו והיועצים המומחים שלנו בהרמטיקון יסייעו לכם בכך.

החובות החלות על קצין אבטחת מידע:

לפי רגולציית GDPR אלו התנאים בהם מחויב לעמוד קצין אבטחת המידע שתמנו:

1. 1. החברה תעניק ל-DPO את החופש לפעול בדרך אשר תשרת את תפקידו.
   2. עליו להיות כפוף לדרג המנהלי הבכיר ביותר בחברה ולדווח לו בצורה ישירה.
   3. יש לספק ל-DPO את כל הסמכויות והמשאבים שיאפשרו לו ביצוע נאות של תפקידו.
   4. קצין אבטחת המידע מחויב להיות מעורב בכל הנושאים הקשורים להגנת הפרטיות ואבטחת המידע בחברה.
   5. יש לוודא כי אין ל-DPO אף ניגוד עניינים בין תפקידו זה לבין תפקידיו האחרים בחברה.
   6. חל איסור לפגוע בזכויותיו או להטיל עליו סנקציות בשל היותו מבצע של בקרה ותהליכי ביקורת.

ומהם תפקידיו?

רגולציית ה-GDPR מפרטת את תפקידיו וחובותיו של ה-DPO בחברה:

1. ה-DPO יהיה אחראי לוודא שהחברה מנהלת בצורה תקינה את חובותיה בנושא על פי פירוטם ב-GDPR וחוקי הגנת פרטיות אחרים. הוא נדרש לוודא, כי העובדים בחברה ערים לחשיבות ההגנה על מידע אישי ופועלים על פי הנהלים. בנוסף, הוא נדרש להיות בעל הבנה מקצועית בתחום ולנהל הליכי ביקורת ארגונית התחום.
2. ממונה הגנת הפרטיות נדרש לאפיין את רמת סיכון מאגר המידע, בהתאם לפרמטרים הקבועים בתקנות, בהמשך לבצע תסקיר השפעה על הפרטיות אשר ממפה את היבטי הפרטיות בכל תהליכי זרימת המידע בארגון. כפועל יוצא יבצע "הנדסת פרטיות", כלומר יתכנן את מערכת ההגנה על הפרטיות על כל רבדיה – הרובד המשפטי, הרובד הטכנולוגי ורובד ארגון ושיטות.
3. באחריותו של ה-DPO לבצע סקרי סיכון כשהדבר נדרש וכן בקרות שוטפות בכדי לוודא שהחברה פועלת בהתאם להוראות הדין, מה שיחייב אותו להכיר את מאגרי המידע של החברה טכנית ומקצועית וכן להכיר את ההוראות מבחינה משפטית.
4. חובה נוספת של ה-DPO היא ייעוץ להנהלת החברה כיצד לפעול בכדי לעמוד משפטית בדרישות בתחום. לצורך כך הוא צריך להכיר את התחום והחידושים בו.
5. ה-DPO בהגדרתו הוא איש הקשר בחברה אל מול רגולטורים מישראל ומהעולם בתחום הגנת המידע.
6. ה-DPO מתוקף תפקידו, צריך להבין לעומקם של ההקשרים בהם פעילותו מבוצעת במידע אישי והסיכונים האפשריים בכל הקשר. בהתאם לתכנן תהליכי עבודה ואפיוני מערכות מידע.

האם תפקיד הממונה להגנת הפרטיות זהה לממונה אבטחת מידע?

למרות ששני התפקידים עוסקים בניהול מידע ארגוני, קיים הבדל מהותי ביניהם. בעוד שממונה אבטחת המידע אחראי על כלל נכסי המידע בארגון, ויישום תהליכי הגנה אל מול איומים וסיכונים, הרי שממונה הגנה על הפרטיות אחראי לבחינה של כלל ההיבטים של שימוש במידע אישי בכלל תהליכי הארגון- התאמתו לדרישות החוק, נחיצותו, והאופן בו הוא מנוהל.

לסיכום:

ה-DPO מחויב לידע מקצועי בתחום אבטחת המידע והמחשוב, בתחום המשפטי וכן ברגולציה הפנים ארגונית.

יחד עם הבעייתיות של ניגוד עניינים בחברה, ישנו קושי ברבות מן החברות לאתר אדם מתאים לתפקיד זה.

לכן, צוות Hermeticon מספק שירות מינוי ממונה הגנת פרטיות חיצוני – אנו נספק לכם שירותי DPO שיחסכו לכם את הכאב ראש שבמינוי מורכב שכזה. התמחותנו ברגולציה פנים ארגונית, אבטחת מידע, תקני אבטחת מידע והעובדה שיש לנו ייעוץ משפטי צמוד ברמה הגבוהה ביותר, יבטיחו לחברה שלכם עמידה מלאה ותקינה בדרישות הרגולציה.

אז למה אתם מחכים? השאירו פרטים כאן לקבלת מידע טלפוני או התקשרו ל- 03-7176281