חומר רקע
1
29.5.2024
( ישיבת שיתוף ציבור בנושא ממונה הגנת פרטיותDPO) מיום
15.5.24
עו"ד
דן
אורחוף– המועצה להגנת הפרטיות
-
תומכ
ים בהסדר .
-
ביחס ל סעיף17ב2
,תפקידי הממונה "הסדרה וניהול לפי דין של המידע במאגרי מידע
" מציע להגדיר את הכותרת
"
ממונה על הגנת
מידע"
ולא ממונה .על הגנת הפרטיות מעלה את השאלה 'האם הוא צריך לעסוק בעניינים של פרק א
?לחוק להבנת נו-
.לא
-
יש להיפרד מתפקיד מנהל המאגר
. זהו
.תפקיד שאין לו הגדרה אמיתית
-
,מצד שני ממונה אבטחת מידע וממונה הגנת הפרטיות אלה2 תפקידים שונים ויש לשמר אותם ככאלו
. זה
לא רעיון
נכון להחליף ביניהם. יש נקודות מממשק רבות, אבל התפקידים הם שונים, ההכשרות שונות, הי
דע הוא שונה . יש
צורך במינוי של שניהם .
-
האסדרות של ממונה אבטחת מידע–
.לפעמים אלה דרישות סגמנטליות ולא גורפות, לפעמים זה נקבע בדין המדינתי
אבל להבנתי נדרשת אסדרה גם של ממונה אבטחת מידע.כי הדין נותן דגש גדול על אבטחת מידע
ממונה הגנת פרטיות
.לא יכול להיות אחראי למבדקי חדירות
הוא לא יכול להיות אחראי לעדכון של חומת אש. הוא צריך לוודא שסיסו
.מנהל את התפקידים שלו כמו שצריך. אבל זה לא חלק מההכשרה שלו
עו"ד
דלית בן ישראל –
-
מסכימה עם
הנאמר עד כה ובפרט הצורך בהפרדת התפקידים. זה נוגע לכישורים שהגדרתם: רוב הDPO
/הם עו"ד
באים מעולמות הציות, ולאCISO
[
Chief Information Security Officer
].
בהגדרת התפקיד לפי ההצעה דורשים
שילוב של שניהם כחובה. גם כישורים משפטיים, שזה מובן מאליו, אבל גם הכישורים הטכניים של מה שמתקיים
בסיסו. ובד"
כ אלה
שני
.בעלי תפקידים נפרדים
-
בפרקטיקה: ב
ארגונים גדולים, שיהיה לה
ם גםCISO
, נכון שתהיה הפרדה ארגונית בין ממונה
הגנת פרטיות לצד הטכני
של אבטחת מידע . אבל
ב ,ארגונים קטנים שלא יהיה להם
ממונה אבטחת מידע (לא פנימי ו
לא חיצוני) ,כ שמתחילים
.ללוות אותם אומרים להם שהם חייבים מישהו כזה אפילו כיועץ חיצוני אבטחת מידע אינה חלק מהמיומנויות
.והכישורים שיש ליועץ המשפטי
יש חשש שההסדר המוצע יגרום ל ארגונים קטנים ובינוניים לא להחזיק פונקציה של
אבטחת מידע בכלל .
עו"ד
איה מרקביץ –
-
הסוגיה של החלפת התפקיד של ממונה אבטחת מידע ב ממונה הגנת .פרטיות היא בעייתית ,בפרט הנושא של עצמאות
והיעדר ניגוד עניינים: ה-
DPO
לא אמור, כחלק מהאיסור על ניגוד עניינים ו
החובה ל
הבטיח עצמאות
,במילוי תפקידיו
.להיות מעורב בקבלת החלטת בנוגע למטרות ולאמצעים של עיבוד המידע
-
מעבר לבעיה למצוא פונקציה שמחזיקה את שני הכישורים האלה, יש פה עניין עקרוני . אלה2
אינטרסים שיכולים
להיות בקונפליקט –
לדוגמא במקרה של שימוש ב
אמצעים שה-
CISO
מחליט שצריך להטמיע בארגון כדי להגן על
המידע
(גם מידע אישי אבל זה גם
מידע עסקי ומסחרי
. כלומר, ה-
CISO
אחראי לאבטחה של כלל המידע בארגון, כולל
מידע לא מזהה
, בשונה מה-
DPO, שתפקידיו נוגעים רק למידע אישי אבל לא רק לאבטחתו) .
ההחלטה אילו אמצעים
יופעלו כדי לנטר
את פעילות העובד יכולה לייצר התנגשות בין הר צון לאבטח את המידע באופן
מיטבי
(טובת בית
העסק) לבין הפגיעה בחי
רויות
.העובדים
במקרה כזה, ה-
DPO
,יכול וצריך לייעץ ולהמליץ לדרג ההנהלה הבכיר ביותר
.אבל מסירת ההכרעה הסופית בין האינטרסים המתנגשים לידיו תעמיד אותו בניגוד עניינים
עו"ד
ליאור
אתגר-
2
זו הכשרה שונה. ישCISO
שהם יותר
מ
רקע בתחום ה רגולציה, אבל רובם הם .אנשים טכנולוגיים
( עו"ד עדי הירשקורן קלייןDPO
אל על) -
יש לשמר את
עקרונות העצמאות והנפרדות ו
חלק מזה
הוא
ש לא נכון
ל
בטל
חלק מקביעת ההפרדות בכל מה שקשור לעיבוד
.המידע יש הבדל בין
גורם מבקר (ה-
DPO) ל
גורם הב
י צועי או העסקי בשאלה .איך להתנהל עם המידע
עו"ד
אייל שגיא -
-
תיקון14
.בעיקרו עוסק באבטחת מידע
התפיסה של
החוק הישראלי לגבי אבטחת מידע מאוד שונה מה-
GDPR
.
בGDPR
יש עקרונות כלליים, לעשות אבטחת מידע הולמת
לפי העיבודים והסיכון הנגזר . בארץ, יש לנו את התקנות
שהן מאוד מפורטות, עם התייחסות בתוך התקנות לממוני אבטחת מידע.
אבל הסעיף המוצע (ובכלל–
התפקיד של
ה-
DPO) ה
ולך ל כיוון של .פרטיות מהותית
-
סבור
שיש להחיל את חובת ה-
DPO
גם על חובות לפי'פרק א –
הפרטיות המהותית ,בישראל
גם במאגרי מידע,
.מבוססת על פרק א
-
ישראל הגיעה למצב שהדין אצלנו שם דגש על אבטחת מידע ובהחלט כל ה
דיון ב
הגדרות של מידע רגיש היה בו
ו עדה
בפרספקטיבה של אבטחת מידע -
.מה יקרה אם הוא ידלוף, ולא איך הוא יפגע בפרטיות אז עכשיו לעשות את
השינוי
ל-
DPO
הרעיון ראוי, אבל לא במקום
ממונה
אבטחת
ה
מידע . המחשבה שאלה פונקציות חליפיות
אינה נכונה .
צריך
לראות שאנחנו לא עושים בלאגן עם ההוספה שלDPO
כשמגדירים מנהל מאגר כבעל שליטה ,
,בגלל כיוון החקיקה
שמטפל קודם באבטחת מידע וסנקציות, ובעתיד בפרטיות מהותית
. כבר היום יש סטיות כמו דריש ות בתקנה3
לתקנות אבטחת מידע שמתייחסות
לדיווח למ ,נהל המאגר .כאשר אצל מחזיק אין מנהל מאגר
עו"ד
דן חי –
-
הריכוך של עצמאות ה-
DPO
לא הפריע.
המעמד בהצעה נראה לו
נכון . אבל
זו תהיה טעות גדולה לבטל את ה חובה
למינו
ממונה אבטחת מידע .. זה תפקיד שונה לגמריDPO
צריך להיות כמו קצין ציות. וזה תפקיד שונה מממונה
.אבטחת מידע
-
'פרק א - קשור לתפקיד. נניח הנחיות הרשות בנושא מצלמות, פרטיות
, מעקבים
'וכו – אלה דברים שהDPO-
יטפל
.בהם
-
יש לאחד בין הנסיבות לחובת מינוי ה-
DPO
ובין הנסיבות לחובת מינוי
ממונה אבטחת מידע (מעדיף מ-
100,000
נושאי
.)מידע בשניהם
עו"ד
ליאור
אתגר–
-
צריך לדבר על
הרף .
200
.אלף זה רף גבוה
ייתכן ש
ב מידע בעל
רגישות מיוחדת צריך להיות כבר ב-
100
.אלף
-
כמו שמדברים על מבקר פנים, יש יכולת של ממונה הגנת פרטיות לקבל משימות ישירות מהדירקטריון
ולדווח לו
.בחזרה
עו"ד
אייל שגיא -
-
אחת הבעיות הבולטות
היא שההסדר המוצע לא מתייחס לשונות של
מחזיקים (
זה חוזר על הבעיה שהיתה קודם לגבי
ממונה אבטחת מידע)
. מחזיק שהוא
מאחסן בלבד
מקבל חומר מוצפן ולא יודע כמה נושאי מידע יש בפנים והוא לא
.אמור לדעת אם רוצים להחיל את
חובת ה-
DPO
ע
ל מחזיק ים–
ההסדר
צריך להיות עם רזולוציה יותר דקה .
עו"ד
איה מרקביץ –
-
בהמשך להערה שעלתה
לגבי ההשמטה של ההגבלות על פיטוריDPO
ב-
GDPR
מהנוסח המוצע.
חשוב לשמור על
עצמאות
מעמד ה-
DPO, לאסור במפורש מתן הוראות מבעל השליטה או ה
מחזיק בכל הנוגע למילוי תפקידו,
אבל לא
חושבת
שצריך
כ בה רח'להיכנס לנושא של הפיטורים וכו... אולי א פשר להסתכל על הסדרים דומים בחקיקה כשיש
גופי ביקורת פנימיים בארגון .. איך מבצרים שם את מעמד העצמאות
3
-
יש להחיל גם על מחזיקים חובה למינויDPO
.הרתיעה ממושגי השסתום של ה-
GDPR
מובנת מנקודת המבט של יכולת
אכיפה נטו , אבל כשמעיינים בהם מבינים שמדובר במצבי סיכון מוגבר שבהם גם מחזיק צריך למנותDPO
.
פעילות
הליבה של הארגון
כוללת
עיבוד מידע ,רגיש או ניטור שיטתי של נושאי מידע
בקנה מידע רחב -
זה
בהחלט רלוונטי םג
ל .מחזיק כשעיבוד מידע רגיש בקנה מידה רחב .הוא בלב המודל העסקי של המחזיק, הוא בוודאי מודע לכך כנ"ל לגבי
,ניטור שיטתי
.גם אם הוא מתבצע בהוראת בעל השליטה תמיד עלולים להתעורר מצבים שמעוררים חשש לזליגה
לעיבוד
ש
חורג מההוראות של בעל השליטה, אבל כשמדובר בפעילות הליבה שממנה
הארגון מתפרנס, יש לו תמריץ
משמעותי ותמידי למצוא דרכים להגדיל את הערך שהוא מפיק מהמידע שהוא מעבד.
חשוב שלמחזיק כזה יהיהDPO
שמנחה אותו ומפקח עליו
, וגם מסייע לבעלי השליטה שמשתמשים בשירותים שלו לעמוד בדרישות החוק .ב-
GDPR
כש בעל השליטה ,צריך לעשות תסקיר הסכם
עיבוד המידע שלו עם המחזיק חייב לכלול את החובה של ה
מחזיק
לסייע
לבעל השליטה בהכנת התסקיר.
בעל השליטה הוא זה שאחראי להעריך בתסקיר את הסיכונים שכרוכים בעיבוד
שמוצע על ידי המחזיק, ובצד
ק
, אבל המצב הרווח הוא שהמחזיק הוא זה שאצלו הידע לגבי ה אמצעים לצמצום הסיכון
שכ ,בר מובנים לתוך השירות
והניסיון מוכיח ש
ל-
DPO
של המחזיק יש תפקיד קריטי
ב ,מתן הסיוע הזה לבעל השליטה
בזכות השילוב בין המומחיות שלו בדין וההיכרות המעמיקה שלו .עם השירות
-
לא נכון לספור כמה לקוחות יש למחזיק, אלא יש להתייחס
ל מצבים
שבהם מ
תעורר הסיכון . לא רק מונחי שסתום של
GDPR
אלא איך חקיקה במדינות אחרות
יצרו קונקרטיזציה של ההסדר .
סעיף37
(4) בGDPR
מאפשרות למדינות
באיחוד לקבוע מצבים נוספים: ב
גרמניה
יש חובה למנותDPO
ברגע שהארגון מעסיק בקביעות לפחות20
איש
.שעוסקים בעיבוד אוטומטי של מידע
בספרד חייבים למ נותDPO
במוסדות חינוך ומוסדות בריאות, בנקים, חברות
.ביטוח ושורה ארוכה של מוסדות פיננסיים, ארגוני עובדים, ספקי תקשורת בתנאים מסוימים, ועוד ועוד בברזיל כל
ארגון חייב למנות
. בחלק מהמדינות,, כמו בלגיה אם יש חובה לערוך תסקיר יש גם
חובה למנותDPO
–
והכוונה
ל
מצבי
ם שמעוררים סיכון מוגבר. יש הנחיות לקריטריונים מתי יש חובה לערוך תסקיר , לדוגמא בארגונים במגזר
הציבורי ,בקשר עם חובת הסודיות ,ב
ארגונים שמעבדים מידע בעל רגישות מיוחדת .
ד"ר עו"ד
עמרי רחום
)(גוגל–
-
הפוזיציה שלDPO
.וממונה אבטחת מידע היא שונה. זה לא אחד במקום השני אבל השאלה מה היא הפונקציה
הארגונית ומתי יש חובה חוקית לעשות זאת, הן
שתי שאלות שונות .
-
תנאי הסף צריכים להיות שונים. הם מתכתבים עם מידת הסיכונים או מהות הפונקציה:
DPO
הוא פונקציית ציות
שנועדה לסייע לארגון עם כשירות מתאימה לע
מוד
.בחובות הפרטיות המהותיותCISO
.הוא תפקיד ביצועי בהינתן
שתקנות אבטחת המידע מאוד מפורטות, לא בטוח שחייבים ל
השאיר
חובה סטטוטורית
למינוי ממונה אבטחת מידע .
אם
מחליטים למנות את שניהם, יהיה הכרח להגדיר את ההבדלים ביניהם –
כמו שמוצע להגדיר את תפקידיו וכישוריו
של הDPO
יהיה נכון להגדיר יותר מהודק מה תפקידו של ממונה אבטחת מידע. צריך לחשוב מה רף הכניסה וגם מה
.התפקידים המהותיים
-
לגבי מחזיק -
יהיו מחזיקים שבהם יש חשיבות שיהיה בהםDPO
אבל זו לא ברירת המחדל .יכולים להיות מצבים
,בהם זה נדרש
למשל שהמחזיק הוא גם בעל שליטה ביחס לאותו מידע –
שם זה יותר חמקמק. ברוב המכריע של
.המחזיקים בישראל אין שיקולי ציות מעבר לאבטחת מידע ,לייצר חובת מינוי סטטוטורי בתפקיד יש לזה משמעויות
.לא בטוח שנכון להטיל על כל ארגון
יש הרבה מח זיקים"יט
פשים "
-
אין להם השפעה על איך יעובד המידע, על שיקולי
הפרטיות. מה הערך המוסף בלמנותDPO
באותם מקרים ? בכל מקרה אלה2
.פונקציות שונות
-
ממונה הגנת פרטיות –
כדאי להבהיר
שהוא יכול היות עובד חיצוני, וגם אולי להבהיר מה קורה בקבוצת חברות . אין
סיבה למנות לכל
.אחד בנפרד
עו"ד
דן אור חוף –
4
-
ממונה
הגנת פרטיות אצל המחזיק -
לדוגמא במצב בו
יש אתר אינטר
נ
ט קטן, של עסק קטן,
שמשתמש בשירותי
אנליט
י
קות של חברה גדולה ובמאסה גדולה של אתרים אחרים. יכול להיות ש מהותית
בעל השליטה לא צריך למנות,
אבל דווקא הספק, שמחזיק מידע בהיקפים גדולים כן צריך .. יש לא מעט דוגמאות בנושא הזה
לא סתם ה-
GDPR
.מכוון למחזיקים ולא רק לבעלי שליטה
-
מונחי השסתום ב-
GDPR
.בעייתים
נכון להסתכל על הצורך במינויDPO
גם אצל מחזיקי מאגר. הם לא רק מטפלים
באבטחת מידע :
יש להם חובות
בעניין מימוש זכויות; וידוא של הסכמי מיקור חוץ;
חובות בהקשר של מימוש הנחיות
הרשות בענייני עיצוב לפרטיות;
חובות לוודא שהם לא חורגים מהפוזיציה שלהם כמחזיקי מאגר ולא עושים פעולות
שיכולות להיחשב כפעולות של בעלי שליטה או חריגה מהרשאה. בתיקון15
יכול להיות שיהיו.מחויבות נוספות
עו"ד
איה מרקביץ –
-
פעילויות הליבה של מחזיק זה המפתח הרלוונטי –
יש להחיל חובה למנותDPO
כאשר פעילויות הליבה של המחזיק
מעורר
ות סיכון מוגבר.
.כמו עיבוד מידע בעל רגישות מיוחדת בהיקף נרחב, או של ניטור סיסטמטי
-
בהנחיות האירופיות לגבי תפקיד ה-
DPO
, מודגש בצדק שה-
DPO
אחראי לפקח על כל פעולות
ה
עיבוד
בארגון שמינה
אותו, ולא רק על פעילות העיבוד שלגביה חלה החובה למנות אותו. לא רק אבטחת מידע
ולא רק עיבוד שהמחזיק
מבצע כמחזיק
, למשל .
כאמור, עיבודים מסוכנים אינהרנטית שהם בליבת הפעילות העסקית של מחזיק מעוררים
חש ,ש לנזק מוגבר במקרה של זליגת שימושים למטרות חורגות
ויהיה אבסורדי אם תפקידו של ה-
DPO
יסתיים ברגע
שהארגון מתחיל לעבד את המידע למטרות שהוא קבע לעצמו ובכך
החליף כובע ממחזיק לבעל שליטה .
ומה אם
המטרות החורגות של העיבוד שהוא מבצע עכשיו לא מתייחסות ל-
100
?אלף נושאי מידע צריך מבט הוליסטי על כל
.פעולות העיבוד שיש בארגון
עו"ד
אייל שגיא -
-
כל פעולות השימוש במידע
שתוארו ה
ן פעולות המתייחסות ל
בעלי שליטה לכל דבר ועניין, ולכן החלת חוב
ה למנות
DPO
על
בעל שליטה יפתור את הבעיה –כי מחזיקים שמשתמשים בעצמם במידע הופכים בזה לבעלי שליטה במאגר .
מחזיקים ש נאמנים לתפקידם והם רק מחזיקים- הם לא אמורים לעשות פעולות עיבוד במידע למטרותיהם , ולכן לא
אמורות לעלות אצלם שאלות רלוונטיות לDPO
.
-
לגבי ה
מחזיקים ה
גדולים מאו
ד חשוב
שיהיה להם ממונה אבטחת מידע. יש מחזיקים בארץ עם רמת אבטחת מידע
אפסית.
-
עיבוד של מידע רגיש -
.יש שאלות של פרטיות מהותית ויש שאלה של אבטחת מידע
DPO
אמור לבדוק פרטיות
מהותיות, אבל אין לנו כזו .'בפרק ב
ב
איזו פרטיות מהותית ידון ה-
DPO
?
אין לנו בחוק הגנת הפרטיות פרטיות מהותית
.במאגרי מידע
לירון מאוטנר
וראובן
אידלמן
)(בתגובה–
-
.יש הרבה עניינים מהותיים בתחום הפרטיות
יש
חקיקה פרטנית שעוסקת בעיבוד מידע גם בלי קשר לחוק הגנת
.הפרטיות
עו"ד
אייל שגיא -
-
לבנק יש מידע רגיש אם ידלוף, אבל אם הבנק רק מנהל לי את היתרה בחשבון, אין פה שאלות פרטיות. מתי כן? כשהוא
.רוצה לעקוב אחרי לקוחות, לעשות שיתופי פעולה. האיומים שונים
-
אין התנגדות לDPO-
.אבל מתנגד למחיקה של ממונה אבטחת מידע
עו"ד
ליאור
אתגר–
-
יש לבצע
הפרדה בין DPO
לממונה אבטחת מידע, אבל הוא רואהDPO
.אחרת, פונקציה משמעותית בארגון
-
,מתחבר למה שראובן אמר אבל .לא בטוח שזה צריך להיות חובה חוקית. החובות המהותיות עדיין קיימות
5
-
לגבי המחזיק –
מסכים עם בחינה של
סך כל בעלי השליטה; אבל לגבי מה
ו סוג
המידע-
אין הצדקה שאדע מה רגישות
המידע וכמה נושאי מידע יש
. ב
תקנות אבטחת מידע -
?מה קורה בפועל
או שהולכים לפי המחמיר או שהולכים לפי
המקל. אם רוצים להטיל עיצום על מחזיק שלא מינה ממונה, בלי שהוא יכול לדעת אם התקיימו נסיבות המינוי-
זה
בעייתי .
-
המפתח
צריך להי ות
יי
דוע מבעל השליטה –
גם היום מחזיקים אמורים לדווח לרשות את מספרי המאגרים שהם
מעבדים
אבל ,אף אחד לא עושה את זה. יש סוגים של מעבדים. מעבדים שהם רק מאחסנים, לא עושים פעולות אחרות
הם צריכיםCISO
ולאDPO. הדרך להכניס בהירות, היא על ידי הטלת החובה על בעל השליט
ה –
המחזיק שלו יכול
.לסייע לו לקיים את כל הוראות הדין
עו"ד
דלית
בן ישראל–
-
ביחס להעדר
חובה סטטוטורית למינוי אבטחת מידע –
אם אין, אז
צריך לדייק יותר את הסמכויות של ה-
DPO
. כי
הנוסח מבלבל
. זה מתייחס לתפקידים ששייכים ל-
CISO
( . למשל סעיף קטן2)
,בנוסח המוצע
DPO
לא עוסק בהיבטים
.של אבטחת מידע ולא קובע תוכנית עבודה של סקרי סיכונים ובדיקות חדירה
ה-
DPO
יושב בישיבות שבהם ממונה
אבטחת מידע יציג את התוכנית ואת הסטטוס שלה אבל הוא לא מכין אותה או מפקח עליה .
"כך גם ביחס ל יוודא
הכנתו של נוהל אבטחה "
–
בפרקטיקה
ה-
DPO
אומר
ללקוח מה חייב להיות בנוהל
אבל אין לו יכולת
לבדוק כעו"ד
אם זה התקיים (לדוגמא אם
נוהל הסיסמאות מספיק טוב) .צריך לעשות הפרדה בין דברים רלוונטיים ל-
CISO
לבין
DPO
.
עו"ד
ליאור
אתגר–
-
.עדיף שזה יהיה כללי ושהפרטים יהיו בתקנות
( עו"ד עדי הירשקורן קלייןDPO
אל על )
–
-
""יפעל להבטחת קיום-
.זה בעייתי כי הוא לא זה שפועל, שמחליט
עו"ד
אלה טבת –
-
לגבי הדרישה שמחזיק ימנהDPO
–
יש להוריד את החובה מסעיף קטן1
, כאשר לגבי סעיף קטן2 –
ניתן להציע שני
תנאים חלופיים–
[ או מי שמחזיק במאגרי מידע שונים של20
] בעלי שליטה שונים או יותר או שלמיטב ידיעתו הוא
מחזיק במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות200,000
.אנשים או יותר
-
לגבי
ההצעה לחייב את בעל השליטה במאגר לעדכן את המחזיק ביחס לכמות נושאי המידע במאגר וביחס לסוג המידע
)(האם הוא כולל מידע בעל רגישות מיוחדת-
ברוב המקרים המחזיקים לא מחזיקים של בעלי שליטה ישראליים, הם
מחזיקים עבור בעלי שליטה בחו"ל שלא כפופים לחוק אז לא בטוח שחובת
יידוע של בעל שליטה למחזיק תפתור את
.הבעיה
-
לגבי הדרישה המופיעה בסעיף קטן4 –
לא ברור מדוע ביחס למידע שלא נמסר על ידי נושא מידע או בקשר לשירותי
דיוור ישיר החובה למנותDPO
קמה כשיש במאגר מספר נושאי מידע נמוך מזה שמצוין בסעיף קטן1 –
יכול להיות
שמדובר במידע פ?חות רגיש ודווקא לגביו הדרישה קמה כשיש פחות נושאי מידע במאגר
-
לגבי סעיף17ב2 –
הנוסח "יפעל להבטחת" קיום הוראות החוק הוא בעייתי שכן הממונה על הגנת פרטיות הוא לא
הגורם שמקבל את ההחלטות הסופיות בארגון ביחס לאופן עיבוד המידע אלא הוא הגורם המייעץ והמנחה אבל
ההחל.טות מתקבלות בהנהלה
עו"ד
איה מרקביץ –
-
צריך להרחיב
את החובה של ה-
DPO
לא רק ל הוראות החוק, אלא גם .לפי דין
עו"ד
אייל שגיא -
-
"יפעל ל "...
- יש להחליף ב "יפקח
על קיום הוראות החוק על ידי בעל השליטה או המחזיק, לפי העניין ."
DPO
מפקח
על מה
ש ,החברה עושהCISO
עושה גם בעצמו
במובן של קבלת החלטות על
אמצעי האבטחה שיינקטו בארגון . לכן גם
6
.יש לו אחריות אישיתDPO
,לא פועל בעצמו ,להפך, אסור לו לקבל החלטות ביצועיות כדי לא להיכנס לניגוד עניינים
.הוא מפקח על פעילות שאר הגורמים בחברה אם הנוסח יהיה "יפעל ל...", בעלי שליטה
י בינו שזו אחריות של הDPO
ולא אחריותם של בעלי השליטה, והDPO
.יהפוך מגורם מפקח לגורם מבצע
עו"ד
איה מרקביץ –
-
,בהקשר של נוסח תנאי הכשירות כדרישות סף אולי כדאי לנסות לחשוב על
התאמה למגזר ולא לארגון .
-
ניגוד עניינים –
סביר שנראהDPO
חיצוניים , במיוחד בשנים
הראשונות
ובהינתן ההיצע המוגבל של מומחי פרטיות
שיוכלו לעמוד בתנאי הכשירות .
,לכן .צריך לחשוב על ניגודי עניינים מחוץ לארגון ולא רק בתוך הארגון
-
מבחינת הכישורים–
אולי לעסוק
ב
משהו יותר כללי ובנסיבות העניין –
בעל מקצוע/ מנוסה בתחום העיסוק שלו וזה
.לא יורד לרזולוציה הפרטנית. זה תלוי בסוג הארגון והמידע
-
.במדינות שונות לא רואים את הסדרת העיסוק כתנאי סף למשל, בצרפת, ספרד ולטביה פועלים מנגנוני הסמכה ל-
DPOs
שהרשות המקומית מפעילה מכוח חוק או אחראית לפיקוח עליהם באופנים שונים, אבל במקביל החוק מבהיר
שארגונים רשאים למנות כ-
DPO
כל אדם שלגביו מתקיימים הדרישות ותנאי הכשירות לפי ה-
GDPR
.