חשיבותו של המידע עולה והוא מהווה עמוד תווך בפעילות העסקית של חברות וארגונים, קטנים כגדולים; התיקון לחוק הגנת הפרטית מדגיש את הצורך במינוי DPO, ולא רק בארגונים גדולים המשקיעים משאבים רבים באבטחת מידע
במרוצת השנים עם התרחבות איומי הסייבר, אבטחת מידע הפכה לאחת התעשיות המרכזיות וארגונים רבים בכל העולם משקיעים משאבים אדירים על מנת להבטיח מוגנות במרחב המקוון. במובן רחב יותר, לא רק ארגונים גדולים המספקים שירותים חיוניים זקוקים לפונקציות אבטחת מידע ארגוניות, אלא, בעצם, כל עסק וכל חברה.
הרגולציה המתפתחת בשנים האחרונות מחייבת עסקים לעמוד בתקנים שונים שמטרתם צמצום הסיכון לאירועי סייבר ולדליפות מידע, כמו גם הקטנת החשיפה המשפטית. התיקון המקיף בחוק הגנת הפרטיות שאושר החודש בכנסת, הוא ממחיש זאת היטב. אז כיצד עסקים יכולים להתמודד עם השינויים הרגולטוריים ולהבטיח פעילות עסקית מוגנת ומאובטחת? הצעד הראשון הוא הכרה בצורך ומינוי פונקציה מתאימה בנושא.
DPO – האם באמת צריך אותו?
קצין הגנת המידע, Data Protection Officer, או בתרגום מדויק יותר "ממונה הגנה על הפרטיות", הוא תפקיד מפתח בתחום אבטחת המידע בכל חברה ועסק. תהליכי הדיגיטציה המואצים ועליית חשיבותו של אחסון וניהול המידע (נתונים) בהיבטים רחבים כמו שירות לקוחות, שיווק ועוד, מדגישים את חשיבות ההגנה על המידע והסיכון הפוטנציאלי במקרה של דלף מידע.
ממונה הגנת הפרטיות איננו חייב להיות מינוי פנימי של החברה. הוא יכול להיות גם מינוי המבוסס על השאלת מומחה חיצוני. בישראל, עבור רוב העסקים, אין חובה רגולטורית למינוי DPO כי אם המלצה בלבד. עם זאת, עסק שעובד גם תחת רגולציה אירופית כדוגמת ה-GDPR, עשוי להיות מחויב במינוי ממונה הגנה על הפרטיות. בייחוד עבור חברות שהשירותים אותם הן מספקות הם מבוססי מידע, ממליצה הרשות להגנת הפרטית למנות DPO, כמו גם לעסקים בהם למידע המאוחסן ישנה רגישות גבוהה, גישה מרובת משתמשים או שהוא בהיקף גדול.
את תחומי האחריות של ה-DPO ניתן לחלק לחמישה היבטים עיקריים: בקרה ופיקוח, הדרכה, ייעוץ, ניהול סיכונים וקשר עם הרשויות. הוא אחראי על הכנת תכנית העבודה השנתית בהקשרי ההגנה על המידע, פיקוח על קיום ההוראות והתאמה לשינויים בהן, ייעוץ והנחיה לגורמי אבטחת המידע בארגון בהקשרי הגנה על הפרטיות והדרכה לעובדים, והוא משמש גם כאיש קשר מול הגורמים הרגולטוריים בתחום.
מתי עסקים צריך DPO? ומהי ההכשרה הנדרשת?
בתחילת החודש אישרה הכנסת תיקון מקיף בחוק הגנת הפרטיות, שמרחיב את הגדרות החוק ואת תחולתו ואף מחייב ארגונים מסוימים למנות DPO. כמו כן, התיקון לחוק מגדיר את סמכויות האכיפה של הרשות להגנת הפרטיות, בכלל זה הטלת עיצומים כספיים גבוהים, שליחת התראות מנהליות, פתיחה בחקירה במקרים רבים ועוד.
לפי התיקון לחוק, עבור הארגונים הבאים, מינוי DPO מחויב מעתה בחוק:
- גופים ציבוריים וארגונים המחזיקים במאגרי המידע שלהם
- חברות המחזיקות מאגרי מידע של יותר מ-10,000 אנשים למטרות מסחריות
- ארגונים העוסקים בניטור שיטתי של אנשים ובהיקף נרחב
- גופים המעבדים מידע רגיש בהיקף גדול כמו בנקים, מוסדות רפואיים, חברות ביטוח ועוד
לממונה הגנת הפרטיות נדרשת הכשרה משולבת שתאפשר לו לבצע אינטגרציה בין ההיבטים הטכנולוגיים והעסקיים של החברה. הוא צריך להיות, לכל הפחות, בעל ידע מעמיק בדיני הפרטיות בישראל, לצד הבנה טובה מאוד בתחום טכנולוגיות המידע ואבטחת המידע.
השורה התחתונה
באופן טבעי, ההתפתחות הטכנולוגית מקדימה את הרגולציה והתקנות, שבעצמן עוברות שינויים, מתעדכנות ומנסות להדביק את הקצב. התיקון לחוק הפרטיות ממחיש את הצורך והחשיבות במינוי DPO שיבטיח את צמצום הסיכונים לדליפת מידע רגיש ויקטין את החשיפה לפגיעה בפרטיות. במסגרת השירותים המנוהלים שאנו מספקים לארגונים, אנו מתמחים גם בשירותי הגנה על הפרטיות. אנשי ה-DPO שלנו בעלי ידע מעמיק בתחומים הרלוונטיים להגנה על הפרטיות, הם מנהלי CISO בעברם ועוברים הכשרות באופן תדיר של הרשות להגנת הפרטיות.
- בניית אתרים