DPO – Data Protection Officer – קצין אבטחת מידע
השאירו פרטים כאן לקבלת מידע טלפוני אודות שירותי DPO בארגון או התקשרו ל- 03-9550222
אבטחת מידע בראש שקט
מחלקת אבטחת מידע של חברת נקסטפ תקינה ישירה, מתמחה בהטמעת מערכות רגולציה פנים ארגוניות, מלווה בצורה שוטפת על ידי משפטנים ומחזיקה ביועצי אבטחת מידע הבקיאים בהיבטים הטכניים של אבטחת מידע, ביצוע סקרי חשיפה והטמעת תקני אבטחת מידע (כמו ISO 27001 ודומיו).
שילוב זה מאפשר לחברת נקסטפ לשווק ללקוחותיה שירותי Data Protection Officer בצורה מקיפה, מסודרת ומקצועית, תוך ייעול התפקיד ועמידה בהוראות הדין.
רגולציית הגנת הפרטיות האירופאית – חובת מינוי DPO בארגון:
בחודש מאי 2018, נכנסה לתוקף הרגולציה האירופאית הכללית להגנת מידע (General Data Protection Regulation), או בשמה המוכר רגולציית GDPR. מדובר אמנם ברגולציה אירופאית, אולם היא חלה גם על חברות הפועלות מחוץ לאירופה, אשר משווקות ומוכרות לאזרחי האיחוד האירופאי תוך שימוש במידע האישי שלהם (ושימו לב – גם כתובת מייל של עובד אירופאי בחברה שלו, נחשבת לפי האירופאים ל"מידע אישי").
ה- GDPR כוללת שורה של הוראות מחייבות שונות, המתייחסות הן לבעל המידע (קונטרולר – Controller) והן לגורמים וצדדים שלישיים המספקים לו שירותים ומעבדים עבורו מידע (מעבדים – Processor).
אחת מהחובות הקבועות ב- GDPR, הינה החובה למנות Data Protection Officer – "קצין אבטחת מידע", או בשמו המקוצר DPO.
ה-DPO מזכיר את ממונה אבטחת המידע שהחוק הישראלי מחייב למנות בנסיבות מסוימות. עם זאת, הדרישות וההגדרות תחת ה-GDPR רחבות ושונות מאלו החלות בישראל, ויש לבחון כל מקרה ומקרה לפי נסיבותיו.
כל מה שצריך לדעת על רגולציית GDPR (מומלץ)
ההבדל בין Data Processor ו-Data Controller
למאמר המפרט אודות הסמכת GDPR בארגון
לפרטים נוספים לגבי החובות שנקבעו במסגרת ה-GDPR
כל מה שצריך לדעת על פרויקט GDPR עם המומחים של Nextep
מי חייב במינוי DPO?
ה- GDPR חל כאמור על כל חברה המשווקת לאירופה ועושה לצורך כך שימוש במידע של אזרחים אירופאים. עם זאת, החובה למנות DPO חלה רק על ארגונים שהם רשויות ציבוריות, או ארגונים העומדים בתנאים מסוימים, למשל כשליבת העיסוק שלהם קשורה בעיבוד מידע אישי או כאשר הם מבצעים פעולות של עיבוד מידע בהיקפים גדולים ומשמעותיים.
כמו כן ה- GDPR קובע כי חברה שאינה חייבת במינוי קצין אבטחת מידע, אך החליט בכל זאת למנות, חייבת לוודא כי המינוי עומד בכל דרישות הרגולציה לנושא.
מאחר והחובה למנות קצין אבטחת מידע תלויה במאפיינים הייחודיים של כל מקרה ומקרה, על מנת לקבוע האם החברה שלך חייבת במינוי קצין אבטחת מידע, מומלץ להתייעץ עם מומחה לנושא.
מהן החובות והתפקידים של ה-DPO?
תפקיד ה-DPO כולל כאמור חובה כללית להיות מעורב בכל ההליכים הנוגעים לאבטחת מידע אישי והגנת הפרטיות בארגון.
עם זאת, ה-GDPR מפרט שורה של תפקידים וחובות ספציפיות:
- אחראי לניטור הציות להוראות הדין הרלבנטי להגנת הפרטיות – ה-DPO אחראי לוודא כי הארגון מתנהל בצורה ההולמת את חובותיו לפי הוראות ה- GDPR וחוקי הגנת הפרטיות אחרים, לוודא כי העובדים מודעים וערים לחשיבות שיש להגנה על מידע אישי ולוודא כי החברה מתנהלת בהתאם לנהלי אבטחת המידע. ה-Data Protection Officer נדרש למעשה לבקרה ארגונית וניהול של הליכי ציות פנים ארגוניים, וכן להבנה מקצועית של תחומי הגנת הפרטיות ואבטחת מידע;
- ביצוע סקרי סיכון וביקורות אבטחת מידע והגנת הפרטיות – ה-DPO אחראי לביצוע סקרי סיכון (כשהדבר נדרש –DPIA) וכן בקרות וביקורות שוטפות שתכליתן לוודא שהחברה מתנהלת בהתאם להוראות הדין – תפקיד זה מחייב את ה-Data Protection Officer להכיר הן את מערכות החברה ומאגרי המידע שלה מהצד הטכני-מקצועי, והן להכיר את החובות החוקיות השונות מהפן המשפטי;
- לייעץ להנהלת החברה בכל הקשור להוראות החוק – ה-DPO צריך לייעץ להנהלת החברה, בכלת תחום ותחום, בנוגע לאופן הפעולה המבטיח ציות להוראות הדין. לצורך יש להכיר את החקיקה בתחום, ולעקוב אחר ההתפתחויות השונות, ההנחיות שמפרסמת הוועדה האירופאית להגנת מידע וההחלטות השונות של ביה"ד האירופאי בנושא;
- להיות איש הקשר של החברה מול הרשויות האירופאיות הרלבנטיות – ה-DPO מוגדר למעשה כאיש הקשר של החברה לרגולטורים האירופאים השונים, בתחום הגנת הפרטיות, ומחובתו לדווח להם בהתקיים תנאים מסוימים;
- לקחת בחשבון, לאורך כל פעילותו וביצוע תפקידיו, את הטיב, ההיקף, ההקשר והתכלית של עיבוד המידע בחברה – ה-DPO נדרש להבנה מסודרת של הארגון, של ההקשרים בהן מבוצעת פעילותו במידע אישי, ושל הסיכונים הייחודיים המתעוררים בכל הקשר.
בנוסף, ה-GDPR קובע שורה של תנאים בהם חייב לעמוד ה-Data Protection Officer הממונה על ידי החברה:
- על ה-DPO להיות כפוף ולדווח בצורה ישירה לדרג המנהל הבכיר ביותר של החברה;
- יש לתת ל-DPO את החופש לפעול בצורה המשרתת את תפקידו;
- ה-DPO חייב להיות מעורב בכל הנושאים הקשורים לאבטחת מידע והגנת הפרטיות בחברה;
- יש לספק ל-DPO משאבים וסמכויות הנדרשים לו לצורך ביצוע תפקידו בצורה נאותה;
- אין לפגוע באיזו מזכויותיו של ה-DPO או להטיל עליו סנקציות בשל העובדה שהוא מבצע תפקיד בקרה וביקורת;
- יש לוודא כי ל-DPO אין כל ניגוד עניינים בין תפקידו כ-DPO ובין תפקידיו האחרים בחברה.
לסיכום
כאשר חלה חובה למנות DPO, תפקיד זה כרוך בשורה רחבה של חובות המחייבת ידע מקצועי הן בתחום אבטחת המידע והמחשוב, הן בתחום הרגולציה הפנים ארגונית והן בתחום המשפטי. שילוב זה, יחד עם החובה להימנע מניגוד עניינים, יוצרת בעיה מסוימת באיוש התפקיד. וכך למשל, הועדה האירופאית הבהירה שמנמ"ר אינו יכול בעיקרון לכהן כ-DPO, כיוון שהוא מצוי בניגוד עניינים אינהרנטי – ה-DPO אמור לפקח על פעילות המנמ"ר.
בדומה לכך, במרבית הארגונים גם CISO לא יוכל לכהן במקביל כממונה אבטחת מידע. ועל כן, ארגונים רבים בוחרים להיעזר בספק חיצוני, המחזיק גם במומחיות הנדרשת, וגם אינו מצוי בניגוד עניינים, על מנת לאייש את תפקיד ה-DPO.
יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.