ממונה הגנת פרטיות (DPO-Data Protection Officer)
"ממונה הגנת הפרטיות" מהמלצה לחובה שבחוק – באוגוסט 2020 ובינואר 2022 הרשות להגנת הפרטיות פרסמה מסמך המלצה למינוי ממונה הגנת הפרטיות. בתיקון (14) לחוק הגנת הפרטיות המלצה זו הפכה לחובה שבחוק
מיקור החוץ של DATAWATCH – יתרון משמעותי לארגון
ה – DPO’s של DATAWATCH מעדכונים באופן שוטף על ידי מתאם מקצועי במידע וידע מקיפים ובכללם הנחיות הרשות להגנת פרטיות, הרגולטורים השונים, פסקי דין ומגמות בינלאומיות בתחום הגנת הפרטיות ואבטחת מידע, ובכך חוסכים לארגון משאבים רבים.
אנחנו ב- DATAWATCH מנתחים את צרכי הארגון ומודעים לכל רגישות מסחרית ומשפטית ומתוך כך נספק לכם שרות -DPO יעיל ומקצועי שיסייע לארגון לקיים את החובות המוטלות עליו כדין ובד בבד יתרום לרציפות תפקודית מיטבית בכל הקשור בשימוש בנכסי המידע האישי והרגיש שבבעלות או החזקת הארגון.
DATAWATCH מכשירה את הממונה בהתאם לאופי הארגון, חובותיו על פי הרגולציה וצרכיו העסקיים.
הממונים של DATAWATCH עוברים הכשרת עומק בקורס DPO בפיקוח הרשות להגנת הפרטיות ובשיתוף פעולה עם המוסדות להשכלה גבוהה.
בנוסף לקורס, הממונה מקבל טרם תחילת עבודתו בארגון מטעם DATAWTACH “סדנת כניסה לתפקיד” הכוללת אימון רגולציה משפטי, אימון טכנולוגי ומערכת תוכנה ייעודית לניהול תפקיד הממונה.
אנו דוגלים בהיזון חוזר ותיאום ציפיות ומאמינים שיחד עם לקוחותינו נוכל לסייע רבות לארגון.
מהם תפקידיו של ה- DPO?
תפקידו המרכזי של ה- DPO הינו לוודא כי הארגון עומד בדרישות הרגולציה בתחום הגנת הפרטיות, ומיישם את דרישות דיני הגנת הפרטיות באופן נאות ובנוסף במסגרת תפקידו התחומים שלהלן:
- מיפוי מאגרי המידע בארגון
- כתיבת תיק נהלי אבטחת מידע
- תסקיר השפעת פרטיות (DPIA)
- הכנת תכנית עבודה לשיפור מידת ההגנה על הפרטיות
- הכנת תכנית ליווי לחברי הדירקטוריון
- גיבוש מדיניות פרטיות בתחום ה-AI
- הדרכות וסדנאות למודעות עובדים
- הכנת תכנית עבודה לארגונים ציבוריים וועדות היגוי
- ביצוע ביקורות פנימיות למעקב אחר ביצוע ויישום הוראות החוק והרגולציה
הערה: חובת מינוי ה- DPO תקפה גם לארגונים הכפופים לרגולציית ה- GDPR.
אי מנוי DPO עלול להוביל לסנקציות כלכליות והליכים משפטיים כנגד הארגון והנהלתו.
אילו ארגונים מחויבים במינוי ממונה הגנת פרטיות DPO?
- כל ארגון אשר בבעלותו או בהחזקתו מידע אישי ורגיש ועיבוד מידע זה הינו חלק מליבת עיסוקו.
- כל ארגון ו/או גוף ציבורי ומחזיקים במאגרי המידע של גוף ציבורי – משרדי ממשלה, רשויות, גופים שהוקמו בחוק.
- כל גוף ביטחוני.
בישראל, פרסמה הרשות להגנה על הפרטיות המלצות בנוגע למינוי ממונה הגנה על הפרטיות.
החובות החלות על חברי הדירקטוריון
בתאריך 07.09.2023 פרסמה הרשות להגנת פרטיות טיוטת הנחיה בדבר תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע).
עיקרי חובות הדירקטוריון
- קביעת תחומי אחריות לאבטחת מידע.
- מינוי בעלי תפקיד לביצוע תחומי האחריות.
- מעקב אחר יישום בפועל של הנושאים הבאים:
- אישור מסמך הגדרות המאגר.
- אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני.
- קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים.
- קיום דיון רבעוני או שנתי, על פי רמת האבטחה של המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון.
- קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, שיש לקיים אחת לשנתיים.
מהם ההבדלים בין ממונה אבטחת מידע (CISO) לממונה הגנת פרטיות (DPO)?
ה- DPO וה- CISO הם חובות מינוי הקבועות בחוק הגנת הפרטיות אך צריך להדגיש את חלוקת התפקידים ביניהם (בעצמאות מוחלטת וללא תלות אחד בשני).
ה – DPO אחראי על תכנית העבודה הארגונית לשימוש חוקי במידע אישי ורגיש וה- CISO אחראי ברמה האסטרטגית והטכנולוגית על שמירת ואבטחת כלל נכסי המידע הארגוני ובכלל זה המידע האישי והרגיש, הסודות המסחריים והקנייו הרוחני.
תיקון מס' 13 לחוק הגנת הפרטיות ברשויות המקומיות: חשיפה אישית למנכ"לים
מאת: עו”ד רועי וולר & עו”ד יעקב עוז
ביום 5/8/2024 ערכה הכנסת מהפכה בדיני הפרטיות בישראל, בתיקון מס’ 13 לחוק הגנת הפרטיות. התיקון לחוק מעדכן ומבהיר את החקיקה בתחום הגנת הפרטיות, אבטחת המידע והסייבר, משווה את הוראות הדין בישראל לתקנות האירופאיות (GDPR), מחזק את ההתמודדות כנגד איומי הסייבר, ומעניק כלי אכיפה יעילים לרשות הגנת הפרטיות. בכל הקשור לרשויות המקומיות, נוכח תפקידן ומעמדן כגוף ציבורי, התיקון לחוק מחייב ביצוע שורה ארוכה של פעולות, לצד הטלת אחריות ארגונית ואישית, מנהלית ופלילית, על מנכ”ל הרשות, בכל הקשור לתחום הפרטיות. על הרשויות לבצע שורה ארוכה של פעולות תשתיתיות, ארגוניות ומשפטיות בזמן קצר ביותר – לא יאוחר מיום 14/08/2025.
המצב בתחום הסייבר, אבטחת המידע והגנת הפרטיות ברשויות המקומיות: “רע מאד”
הרשויות המקומיות מנהלות עשרות מאגרי מידע, הכוללים נתונים אישיים על תושבים, עובדים, ספקים וכיוצ”ב, במגוון תחומים. הרשויות צוברות מידע, מעבדות מידע (במישרין או בעקיפין) ומעבירות מידע, בהיקפים הולכים וגדלים. ואולם, דו”חות מבקר המדינה, משרד הפנים ומערך הסייבר הלאומי, משרטטים תמונה עגומה: למעלה מ-50% מהרשויות המקומיות מוגדרות במצב “רע מאוד” בסייבר. רק 39 מהן מוגדרות במצב “בינוני” ו-87 רשויות בלבד מוגדר “טוב”.
חובת מינוי ממונה הגנת הפרטיות ((DPO) Data Protection Officer)
התיקון לחוק החיל חובה סטטוטורית, למנות ממונה על הגנת הפרטיות – עובד הרשות, או במיקור חוץ. אולם, נכון להיום, אין באוגדן תיאורי תפקידים של מינהל השלטון המקומי הגדרת תפקיד ל-DPO. לפיכך, נראה שהפתרון היחיד הנו מינוי ממונה, במיקור חוץ. אי מינוי ממונה כאמור יוביל לעיצום כספי על הרשות.
תמצית תפקיד הממונה על הגנת הפרטיות
להבטיח קיום הוראות הדין ע”י בעל השליטה במאגר המידע; לקדם את השמירה על הפרטיות ואבטחת המידע; להוות סמכות מקצועית ומוקד ידע, ולייעץ להנהלת הרשות; להכין תוכניות הדרכה ותוכניות בקרה, ולפקח על ביצוען; לדווח על ממצאים; לסייע לוודא את קיומם של נוהל אבטחת מידע; סיוע בהשלמת רישום מאגרי מידע; לבדוק ולוודא קיום סקר סיכונים ומבדקי חדירות וחוסן; לוודא טיפול בפניות אזרחים; לעדכן את מדיניות הפרטיות והודעות הפרטיות של הרשות; ועוד.
הממונה על הגנת הפרטיות יהיה כפוף ישירות למנכ”ל. על הרשות לספק לממונה על הגנת הפרטיות את התנאים והמשאבים למילוי נאות של תפקידו, ולוודא שהוא מעורב כראוי בכל נושא הנוגע לפרטיות בארגון.
לסיכום, תיקון 13 לחוק הגנת הפרטיות, הטיל אחריות כבדה על מנכ”ל הרשות המקומית. אי עמידה בדרישות החוק תביא להטלת קנסות כבדים על הרשויות, וכן לסנקציות אזרחיות, מנהליות ופליליות, על המנכ”ל והגורמים האחראים. נוכח תפקידיה של הרשויות המקומיות, והפערים הקיימים בתחום, נדרשת הרשות לבצע שינויים מהותיים, אפקטיביים ומהירים בהתנהלות, תוך שהיא משלימה ומצמצמת את הליקויים שהועלו לעיל, בזמן קצר ביותר.
אנו מביאים ניסיון עשיר בתחום הגנת הפרטיות והציות, עם התמחות ספציפית ברשויות מקומיות. הצוות מורכב ממומחים בעלי הסמכות מקצועיות מובילות בתחום, המשלבים ידע משפטי והבנה טכנולוגית מקיפה. אלו מאפשרים התאמה מדויקת לצרכי הרשות, תוך שימת דגש על יעילות תפעולית וחיסכון במשאבים. אנו מספקים פתרון מלא, הכולל השמת DPO במיקור חוץ, ליווי שוטף, הדרכות, ביקורות תקופתיות, ייעוץ ועוד.
* עו״ד יעקב עוז הינו יו״ר (משותף) ועדת הגנת הפרטיות בלשכת עורכי הדין, מרצה ויועץ לארגונים, חברות וארגונים מכלל מגזרי המשק.
* עו”ד רועי וולר (LL.B, C.R.O, M.A) הנו מנכ”ל מועצה לשעבר, ומתמחה בדיני הרשויות המקומיות.