מי בכלל צריך DPO?
שטח פרטיהאכיפה של תיקון 13 תגיע לכולם בתחילת החודש הבא, וארגונים עדיין מתלבטים איך ואת מי למנות לתפקיד הממונה על פרטיות. מדור חדש ב-ITtime כאן כדי לעשות סדר
נוצר באמצעות AI
בקיץ 2024, במהלך הפגרה בכנסת ובעיצומה של מלחמת "חרבות ברזל", התכנסה כנסת ישראל וייבאה לשוק הישראלי את תפקיד הממונה על הגנת הפרטיות, ה-DPO – Data Protection Office.
מינוי ממונה על הגנת הפרטיות הוא חובה חדשה שמטיל המחוקק על ארגונים ציבוריים, סוחרים במידע וארגונים המעבדים מידע בעל רגישות מיוחדת בהיקפים גדולים. למשל, חברות העוקבות אחרי לקוחותיהן דרך קבע (סלולר, שירותי ניווט כמו וייז או משחקים הכוללים מיקום) או מעבדות מידע פיננסי בהיקפים גדולים (בנקים, חברות אשראי, חברות ביטוח).
מהלך מצומצם יותר לקידום הגנה על מידע קודם עוד ב-2017, כשהמדינה חייבה ארגונים למנות ממונה אבטחת מידע, אך הפעם תפקיד ה-DPO נכנס "בדלת הראשית" (בחוק) ונוחת ישר בכיסא סמנכ"ל, עם תקציב שמן ליישום הוראות החוק.
יו"ר ועדת החוקה, ח"כ שמחה רוטמן, גילה את כוונת המחוקק ואמר: "החוק יניח את מדינת ישראל על המסלול לחוק פרטיות מודרני ונכון ולרשות להגנת פרטיות עצמאית ויעילה". בהצבעה בכנסת לא היו מתנגדים או נמנעים, וזה לבדו מצדיק התייחסות נפרדת.
הרגולטור הפנימי
הממונה על הגנת הפרטיות הוא יציר כלאיים: רגולטור פנימי בארגון האחראי על ציות לחוק הגנת הפרטיות ואבטחת מידע, וגם נציג של "נושאי מידע" בארגון. כן – הבנק, בית החולים, חברת הסלולר והביטוח שלך משלמות כעת ל-DPO שיוודא שהזכות שלך לפרטיות נשמרת.
למעשה, ה-DPO עונה על כשל שוק שבו ארגונים לא יישמו את הוראות החוק הקיים בישראל מאז 1981, אך האינטרס של הארגון מנוגד לחוק – הוא רוצה לעבד כמה שיותר מידע ולהפיק כמה שיותר תובנות מהמשאב החינמי, המידע שלך. אבל הבעיה לא נגמרת בארגונים: החוק סבל גם מהיעדר הבקרה – הרשות להגנת הפרטיות הייתה נטולת סמכויות משמעותיות – והיעדר מודעות של הציבור לזכויותיו. בדקו את עצמכם: מתי בפעם האחרונה קראתם מדיניות פרטיות של אפליקציה שהורדתם? יודעים איפה השרתים של טיקטוק שלכם יושבים? ביקשתם פעם בקשת עיון?
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
העולם מפלרטט עם מינוי DPO כבר יותר מעשור. אירופה הפכה את התפקיד לחובה במסגרת כניסת ה-GDPR לתוקף בשלהי 2017. ישראל הצטרפה בשני שלבים: בשלב הראשון, ב-2020, הרשות להגנת הפרטיות פרסמה המלצה למינוי DPO וכעת התפקיד הפך חובה בארגונים הרלוונטיים.
עולה לא מעט – שווה יותר
אין ספק שמינוי רגולטור פנימי יוצר אנטגוניזם. עם זאת, מחקרים שביצעו חברות מחקר וחברות סייבר מצאו שמינוי DPO גם חוסך הרבה מאוד – בקביעת הפרות, בפיצויים לנפגעים ובפגיעה במוניטין החברה. בישראל החוק נותן "הנחה" בעיצום אם יש ממונה על הגנת פרטיות, וזה תמריץ משמעותי שהרגולטור מיישם. במה בדיוק? הנה רשימה חלקית:
– DPO לא מאשר לצאת לקמפיין איסוף מידע מבלי לבסס קבלת ההסכמה כדין. למה? כי מידע שנאסף שלא כדין אסור לעיבוד. הקמפיין עלול לרדת לטמיון.
– ממונה הגנת פרטיות מקצועי עשוי לבצע הוראות חוק שלא מבוצעות בארגון בדרך כלל, כמו צמצום מידע. צמצום מידע יעיל עשוי לחסוך לארגון שטחי אחסון עצומים ולהקטין את הפגיעה במידע שדלף ולא היה נחוץ להיות במאגרי הארגון, וכן לחסוך באמצעי אבטחת המידע הנדרשת לפחות מידע ארגוני.
– DPO יודע לדבר עם רגולטור בשפה שלו. הרגולטור מבין שיש איש מקצוע בסביבה ולרוב יאפשר לו לבצע את תפקידו, אלא אם יראה שהוא "שחקן ספסל" שהונחת לכיסא מבלי הניסיון המתאים וללא הידע המקצועי.
– ממונה הגנת פרטיות יידע לבדוק את ארכיטקטורת הסייבר של הארגון ולצמצם הוצאות על מנגנוני בקרה לא יעילים או לא מתאימים לסיכוני המידע הרלוונטיים לארגון. למעשה, חלק הארי של התפקיד הוא לספק פיקוח ובקרה לארגון, על יישום הוראות החוק באמצעות הממונה על אבטחת המידע.
– DPO יתרגם להנהלה את שפת הסייבר ויחבר את הצרכים האמיתיים לכלים טכנולוגיים מתאימים. זה לבדו חיסכון משמעותי.
מי עלול להיחשב בניגוד עניינים?
DPO שיהיה בניגוד עניינים עלול לספק יותר נזק מתועלת לארגון. תשאלו חברת טלקום בלגית שמינתה לתפקיד את מנהלת הציות שלה, וחטפה גם קנס וגם פגיעה במוניטין משום שלא ביצעה את המוטל עליה בחוק ורק ביקשה דיווחים בסוף שנה.
DPO שיהיה בניגוד עניינים עלול לספק יותר נזק מתועלת לארגון. תשאלו חברת טלקום בלגית שמינתה לתפקיד את מנהלת הציות שלה, וחטפה גם קנס וגם פגיעה במוניטין
למנות לתפקיד את הראשון שעבר במסדרון הוא הימור מסוכן. זה יוצר ניגודי עניינים, מחליש הגנת פרטיות ומגדיל חשיפה לעיצומים ולנזקי מוניטין. במציאות של אי ודאות רגולטורית, בעיקר בשנתיים הראשונות ליישום תיקון 13, זה רעיון לא מוצלח. מידע אישי הוא הנכס המרכזי של הארגון ומומלץ מאוד להתייחס אליו ככזה.
מנהל התשתיות, היועץ המשפטי, ממונה אבטחת המידע עלולים להיחשב בניגוד עניינים עם הממונה על הגנת הפרטיות. למה? כי האינטרס שלהם הוא שונה. בעוד הממונה על הגנת הפרטיות ישאף לצמצם ככל הניתן את איסוף המידע של הלקוחות, מנהל התשתיות ירצה כמה שיותר. בעוד היועץ המשפטי יגן בחירוף נפש על הארגון גם אם הוא ביצע פשע, הממונה על הגנת הפרטיות שוקל שיקולים הרחבים משיקולי הארגון בלבד. בעוד הממונה על אבטחת מידע מבצע, הממונה על הגנת הפרטיות מבקר על אותה עבודה. זהו ניגוד עניינים מובנה.
עד כה לא הייתה אכיפה משמעותית בנושא הזה וארגונים היו נוהגים במידע אישי בבריונות. דמיינו שנסעתם עד היום בכביש (עיבוד מידע) מהיר. בצידי הדרך שילוט המגביל מהירות ל-90 קמ"ש. אילו הייתי אומרת לכם שאין שום אכיפה בכביש, כמה הייתם נוהגים? כך שוק הגנת המידע בישראל.
רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן
אבל אי אפשר להאשים את הארגונים, זו החלטה רציונלית מאוד למנף את המשאב החינמי, בהיעדר אכיפה כמובן. המידע האישי של לקוחותיכם מופקד בידיכם בנאמנות ומינוי DPO "על הדרך" הוא כמו בנקאי שמשקיע כסף שלך במסלול ספקולטיבי כשביקשת סולידי.
האחריות של ה-DPO היא אמיתית, הכשירות של אנשי המקצוע ניתנת למדידה והפתרון פשוט: למנות DPO עצמאי, מיומן, בעל אמצעים לייצר ארכיטקטורת פרטיות יציבה ועדכנית המותאמת בדיוק לארגון שלכם. רצוי מאוד שיהיו גם עו"ד וגם טכנולוגים, ובעלי הבנה עסקית והיכרות עם מתודולוגיות לניהול סיכונים.
עו"ד רונית קריספין היא מומחית בהגנת מידע ופרטיות. בעברה מנהלת הסיכונים הראשית של חדרי המחשב של חברת אינטל בעולם, יועצת בכירה לסיכוני אבט"מ ב-EY ומתמחה ברשות להגנת הפרטיות. כיום הבעלים של חברת PriveIT המספקת שירותי הגנת מידע ופרטיות לחברות מובילות בישראל
