תפקידים ואחריות של קצין הגנת הפרטיות (DPO)

הרשות להגנת הפרטיות הכפופה למשרד המשפטים פרסמה מסמך הממליץ לארגונים במשק למנות קצין הגנת פרטיות – DPO. תפקיד זה מתאים לדרישת רגולציית הפרטיות האירופאית, GDPR, והגדרת התפקיד ברגולציה זו[1].

המלצה זו צפויה להפוך תוך פרק זמן קצר לדרישה חוקית מחייבת. בשל כך, נכון לארגונים בישראל להיערך לעמידה בדרישה זו כבר כעת.

המגזר הפיננסי הוא אחד המגזרים הראשונים הנדרשים לאמץ דרישות אלה שכן מעצם טבעם הם מחזיקים מידע אישי רב וכן כפופים לרגולציות כבדות. ואכן, יותר ויותר ארגונים פיננסיים מגבשים את מערך ההגנה וניהול המידע שלהם תוך עיצוב תפקידו של ה-DPO.

למינוי DPO יתרונות רבים הן לציבור והן לארגון עצמו:

מינוי זה מביא לביטחון בעמידה בהוראות דיני ההגנה על מידע אישי בארגון והוא מקובל כפרקטיקה ראויה ומומלצת (Best Practice) לארגונים האוספים ומעבדים מידע.

DPO בארגון הינו מקור לידע מקצועי וניסיון טכנולוגי ורגולטורי אשר חיוניים להבטחת הפעילות העסקית והמשפטית השוטפת של הארגון. ל-DPO יכולת להתעדכן בהתפתחויות התכופות בתחום כמו גם ברגולציות המשתנות כל העת.

מינוי DPO יכול להגדיל את עסקי החברות הישראליות ברחבי העולם שכן עמידה בדרישות התואמות את החוקים הבינלאומיים תסייע להם להציע את שירותיהם לתושבי האיחוד האירופי בפרט ולעוד ועוד מדינות בעולם המעדכנות את חוקי הפרטיות שלהן.

ל-DPO בארגון תפקיד חשוב וסמכויות נרחבות בעיצוב ויישום בקרות תהליכיות וטכנולוגיות להגנת המידע האישי.

הרשות ממליצה כי ה-DPO יהיה עצמאי ואף יקבל מינוי כחבר הנהלה בכיר – בין אם כמינוי פנימי או כמינוי חיצוני, שאינו עובד הארגון.

הגדרת תפקיד ה-DPO כפי שהיא באה לידי ביטוי ב-GDPR ובפרסום של הרשות מסייעת לארגונים הפיננסיים ולכלל הארגונים במשק להגדיר את האופן בה הם מטפלים בנושא סבוך זה, ובמסגרת זו גם את בעל/ת התפקיד המוביל/ה את הנושא – ה-DPO.

חשוב לציין כי ראוי שנושא התפקיד לא יהיה נתון לניגוד עניינים עקב תפקיד אחר שהוא ממלא בארגון. מינוי של מומחה חיצוני שאינו נושא תפקיד נוסף בארגון יש בו כדי למנוע ניגוד עניינים מסוג זה.

יתרה מכך, לארגונים רבים חסרים משאבים, ידע, ניסיון מעשי וכלים פרקטיים כדי להבטיח את ניהול ושמירת המידע האישי של הלקוחות באופן מיטבי בארגון ומחוצה לו. בנסיבות אלה, מומלץ לשקול מינוי חיצוני לפונקציית DPO.

חטיבת הגנת הפרטיות במרכז הגנת הסייבר של BDO מציעה שירות כזה. נשמח לסייע בידכם בכל הנוגע לכך:

לקיחת אחריות כוללת לניהול ותפעול תהליכי הגנת הפרטיות בארגון מקצה לקצה
הקמת התשתית - מיפוי תכנון, הטמעת תהליכים ובקרות
ריכוז ידע דינאמי - רגולציה, שוק ומצב הארגון
תחזוקה וניהול משימות שוטפות

לפרטים ניתן לפנות לגלעד ירון, דירקטור, ראש חטיבת הגנת הפרטיות, מרכז הגנת הסייבר. NoamH@bdo.co.il, Gilady@bdo.co.il

[1] https://www.gov.il/he/departments/news/dpo_opointe