האם CISO יכול לשמש גם כ-DPO?

תמונה: dreamstime

בעקבות השינוי שחל ב"חוק להגנת הפרטיות", החל מאוגוסט 2025 יחויבו ארגונים המחזיקים מידע אישי, או בעלי גישה למידע שכזה, למנות DPO (ממונה על אבטחת הפרטיות (Data Privacy Officer). לקראת השינוי צפה ועלתה השאלה האם ה-CISO, האדם הממונה על אבטחת המידע בארגון, יוכל לתפקד גם כ-DPO אפקטיבי, בנוסף לתפקידו הקיים? התשובה, כך נדמה, כלל לא ברורה מאליה.

בעוד ששני התפקידים מתמקדים בהגנה על מידע, הם שונים בהיקף, באחריות ובכישורים הנדרשים לתפקיד. כדי לתת מענה מפורט ומקיף, נדרש קודם להבין את ההבדל המהותי בין שני התפקידים הקריטיים.

הבנת התפקידים של CISO ו-DPO

CISO הוא בראש ובראשונה תפקיד טכנולוגי. הוא אחראי על ניהול אבטחת המידע ואבטחת הסייבר של הארגון. התפקיד כולל ניהול מערך ההגנה על הנכסים הדיגיטליים של הארגון, הטמעת פרוטוקולי אבטחה, הפחתת סיכונים הקשורים לאיומי סייבר ותגובה לאירועי אבטחה. באופן יום-יומי, ה-CISO הוא קו ההגנה של הארגון ונדרש לתת מענה אפקטיבי לכל איום וסיכון על המידע שהצטבר אצל אותו ארגון.

לעומת זאת, בארגונים שנאסף אצלם מידע אישי או שיש להם גישה למידע אישי של הלקוחות שלהם, ה-DPO מתפקד על תקן רגולטור פנימי שבאחריותו להבטיח את זכויות הלקוחות של הארגון.  כלומר: DPO  מתמקד בהבטחה שהארגון יציית לתקנות ולחוקים בנושא הגנת הפרטיות ותחומי האחריות שלו כוללים פיקוח על טיפול הנכון בנתונים אישיים, ביצוע הערכות השפעות על הפרטיות ופעולה כאיש קשר עם רשויות הגנת המידע.

בעצם ניתן לומר כי בעוד ה-CISO אחראי על הפן הטכנולוגי של אבטחת המידע ושמירה עליו, ה-DPO מהווה תקן יותר "משפטי" ומטרתו לפקח כי הארגון לא ינצל לרעה את המידע הפרטי שהגיע לידיו.

אז צריך הפרדה מוחלטת או לא?

הגנת פרטיות הנתונים ואבטחת המידע בארגון הופכים חשובים יותר ויותר בעידן הדיגיטלי. ארגונים מתמודדים עם שאלה חשובה: האם התפקידים של ממונה אבטחת מידע וסייבר (CISO) וממונה הגנת הפרטיות (DPO) יכולים להתבצע על ידי אותו אדם או שנדרש להפריד בין התפקידים?

בעוד ששני התפקידים עוסקים בשמירה על מידע, ה-CISO מתמקד בדרך כלל באבטחת כל המידע (בין אם אישי ובין אם לא), בעוד ה-DPO עוסק ספציפית בהגנה על המידע האישי ובעמידה ברגולציה.

מבחינת הגדרת החוק היבש, DPO צריך להיות פונקציה בכירה ובעלת סמכויות, כדי שהארגון יציית להנחיות שלו. יחד עם זאת, הוא גם צריך להיות בלתי תלוי לחלוטין, ולכן התפקיד הזה לא יכול להיות באחריות של כל מנהל אחר ברמה של C-level. במקרה שהמציאות הארגונית לא מאפשרת DPO ברמת C-level, ההנהלה עדיין מחויבת לקרוא את הדו"חות ולציית להנחיות. במילים אחרות: לא מספיק רק להגיד "יש לנו DPO".

למה? בואו נבחן את המקרים הבאים: ניקח לדוגמה ארגון בו ה-– Chief Marketing Officer (CMO) -סמנכ"ל שיווק, יבקש לאסוף כמה שיותר מידע על לקוחות קיימים ופוטנציאלים על מנת להגדיל הצעות שיובילו למכירות. ייתכן שה-DPO לא ירשה ל-CMO לגשת למידע מפורט שכזה. ניגוד אינטרסים שכזה מחייב הפרדת רשויות.

דוגמה נוספת היא מקרה בו CFO אוסף נתונים על מנת לנתח אותם ומקבל החלטות על סמך מידע פרטי של לקוחות. ה-DPO יצטרך לבחון ולהכריע אם זה בכלל חוקי לאסוף את הנתונים הללו.

יכולה גם להיווצר התנגשות בין  – DPO מול Chief of Information (CIO). כאחד שמכיר את הצד המשפטי, ה-DPO נדרש להנחות את ה-CIO לאחר ניתוח המידע שברשות הארגון מבחינת ההתייחסות למאגרי המידע והגישה למאגרי המידע של הלקוחות. ה-DPO צריך להיות מעורב בכל פעילויות המידע של הארגון ובמערכות שאוספות מידע על הארגון.

המסקנה המתגבשת היא כי תפקידי ה-CISO וה-DPO חייבים בהגדרתם להיות מופרדים זה מזה ולהיות מופקדים בידיהם של דמויות נפרדות בארגון..

מה יעשו חברות טכנולוגיות קטנות ובינוניות?

חברות טכנולוגיות קטנות עד בינוניות – לא תמיד יכולות להרשות לעצמן מינוי שני מנהלים בכירים לתפקידי CISO ו-DPO. המלצתי היא השתמשו במיקור חוץ לפחות לאחד משני התפקידים, או לשניהם שיבוצעו על ידי יועצים שונים: CISO  כשירות ו-DPO כשירות. יועצים עם מומחיות ספציפית בכל אחד מהתחומים תמיד יהיו מעודכנים יותר מאשר אנשים בארגון, במיוחד בנושאים הקשורים לאבטחת הפרטיות. בנושאי אבטחת הפרטיות נדרשת הכרת החוקים בארץ ובמדינות השונות, ולהיות ער גם לשינויים בחוקים שקורים חדשות לבקרים.

ארגונים שבכל זאת רוצים להגדיר פנימית את שני התפקידים – חייבים להגדיר את המנדט של כל תפקיד באופן ברור ולייצר מנגנוני אי תלות של דיווחים. חשוב לזכור כי  ה-DPO מייצג את הציבור והלקוחות, וה-CISO דואג לתשתיות הטכנולוגיות של הארגון. כל תפקיד צריך מנדט מבחינת אחריות, סמכות וכשירות. בהצלחה!

הכותבת היא מנכ"לית OK יועצים לניהול