מהו תפקיד ה- DPO  ?

• ה- DPO הוא בעל תפקיד בארגון שבאחריותו להבטיח שהארגון עומד בהוראות חוק הגנת הפרטיות והתקנות הנלוות. הוא משמש כגורם מקצועי ובלתי תלוי, שתפקידו לפקח, להדריך ולייעץ להנהלה ולעובדים בכל הנוגע להגנה על מידע אישי.

• תחומי האחריות העיקריים של ה-DPO כוללים:

• פיקוח ובקרה: לוודא שהארגון מיישם נהלים ומדיניות התואמים את דרישות החוק.

• ייעוץ והדרכה: לייעץ להנהלה בנוגע לסיכונים הכרוכים בעיבוד מידע, ולספק הדרכות לעובדים בנושאי פרטיות.

• ניהול תהליכי הערכת סיכון: לבצע תסקיר השפעה על פרטיות (DPIA - Data Protection Impact Assessment) בפרויקטים חדשים.

• שיווק וייצוג: לשמש כנקודת הקשר המרכזית מול הרשות להגנת הפרטיות ומול נושאי המידע (האזרחים).

• חשוב לציין כי תפקיד ה-DPO הוא נפרד מתפקיד ממונה אבטחת המידע (CISO), משום שקיים לעיתים ניגוד אינטרסים ביניהם. בעוד שה-CISO אחראי על אבטחת המידע הטכנולוגית, ה-DPO אחראי על היבטי הפרטיות, שהם רחבים יותר.

חשיבות התפקיד

מינוי ה-DPO הוא ביטוי לרמת האחריות (Accountability) - לפיו על הארגון לקחת אחריות על המידע האישי שברשותו. אי-עמידה בדרישות החוק עלולה להוביל לסנקציות כספיות משמעותיות, פליליות, ותביעות ייצוגיות. מינוי ממונה פרטיות ופעולה על פי הנחיותיו יכולים לסייע לארגון להפחית סיכונים אלו ולבנות אמון מול לקוחותיו והרגולטורים.

​

מי חייב למנות DPO  בישראל?

על פי תיקון 13, חובת המינוי תחול על ארגונים שעונים על קריטריונים מסוימים, ובמיוחד:

גופים ציבוריים או גופים שמחזיקים במאגר מידע של גוף ציבורי.

גופים שעיבוד מידע אישי הוא ליבת הפעילות שלהם, או שקיימים בהם סיכונים מוגברים לפגיעה בפרטיות.

גופים המבצעים ניטור שיטתי בהיקף נרחב של מידע אישי על אנשים.

גופים המעבדים מידע בעל רגישות מיוחדת בהיקף נרחב (לדוגמה, מידע רפואי, ביומטרי).

הרשות להגנת הפרטיות פרסמה טיוטות והנחיות במטרה להבהיר את הקריטריונים הללו, אך נכון להיום, אין הגדרה כמותית חד-משמעית למושגים כמו "היקף נרחב", והבחינה נעשית לפי מכלול הנסיבות.