חומר רקע
"כ ז
באייר
התשפ"ד | 4
ב
יוני
2024
לכבוד
יו"ר ועדת החוקה, חוק ומשפט
חבר הכנסת שמחה רוטמן
כנסת ישראל
,.א.נ
הנדון:
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-
2022
–
:סקירה משווה
חובת מינוי ודרישות הסמכה ל
ממונה הגנת המידע ( DPO
) במדינות
אירופה
לקראת
הדיון
ביום 4.6.2024
בו
ועדת החוקה, חוק ומשפט של הכנסת
("
הוועדה
")
שבראשותך
בהצעה
לתיקון החוק
שבנדון ("
תיקון 14
"" ו
החוק
", בהתאמה)
, ובפרט במנגנון המוצע לעניין חובת מינוי ממונה
על הגנת הפרטיות ("
ה
ממונה
"), תפקידיו, כישוריו ועצמאותו, אנו סבורים שדיון זה ייצא נשכר ממבט
השוואתי על הסדרים מקבילים שחלים במדינות האיחוד האירופי ויתר מדינות האזור הכלכלי האירופי
(איסלנד, ליכטנשטיין ושווייץ).
בהתאם, ועל מנת להביא את המידע הרלוונטי המקיף ביותר אל שולחנה של
הוועדה,
מצורפת
סקירה השוואתית שמסכמת את ממצאי הבדיקה שערכנו בנדון.
להקלת הניווט, נקדים ונבאר כי
בראש
הסקירה
המצורפת
מובאת טבלה המסכמת את עיקרי ההוראות
הסטטוטוריות והרגולטוריות
שחלות בכל אחת ממדינות האזור הכלכלי האירופי בנוגע לתחולת החובה
למנות Data Protection Officer
"(
DPO
)"
., אסדרת תפקידיו, תנאי כשירותו ודרישות הסמכה
בהמשך
לטבלה זו מובאים ממצאי בדיקתנו ביתר פירוט, בצירוף הההוראות הרלוונטיות (בתרגום לאנגלית)
בחוק הגנת המידע המקומי בכל מדינה וקישורים למקורות הנזכרים
.
ברקע בדיקה זו מצויה הוראת
סעיף 37
(
4
) ל-
GDPR
, שלפיה המדינות הנ"ל, שבהן חל משטר הגנת המידע
של ה-
GDPR, רשאיות כל אחת לקבוע בחוק מצבים נוספים שבהם חלה חובה למנות
DPO
, מעבר לאלה
שמנויים ב-
GDPR
. בד בבד, בדיקתנו העלתה שמדינות רבות בחרו לקבוע
–
בחקיקה, בתקנות ו/או בהנחיות
רגולטוריות
–
מגוון הוראות נוספות בנדון.
אנו תקווה שסקירה זו תסייע לשפוך אור על ההיגיון שביסוד תפקיד ה-
DPO
האירופי שהשראתו שורה על
דיוני הוועדה בתיקון 14
,מראשיתם
וכי מבט השוואתי על המופעים הסטטוטוריים והרגולטוריים שלו
במדינות שבהן הוא קיים ומבוסס זה כמה שנים תתרום לדיון בייבוא
מושכל של
תפקיד זה לחוק הישראלי
.
,בברכה
איה מרקביץ', עו"ד
ענר
רבינוביץ'
מנהלת פרטיות בכירה
מנכ״ל
PrivacyTeam Ltd.
)(צוות פרטיות בע"מ
, תל אביב94 ), יגאל אלון21 . (ק1 מגדל אלון
M. +972.505.900828 E. [email protected] W. www.privacyteam.com
*ה מידע הכלול ב מסמך זה
נועד למטרות אינפורמטיביות בלבד ,
ואינו מהווה ייעוץ משפטי או
מיועד
.להחליף ייעוץ משפטי
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
אוסטריה אין
✓
חובת סודיות
חלה על ה-
DPO
ועוזריו בנוגע
למידע שאליו קיבלו גישה אך ורק לצורך מילוי
תפקידם; חלה אף לאחר תום פעילותם במסגרתו;
ניתנת להסרה רק בהיתר מפורש של נושא המידע
שאליו המידע מתייחס.
✓
זכות לסרב להעיד
נתונה ל-
DPO
ועוזריו
במקרה שלעובד הארגון שכפוף לפיקוח ה-
DPO
עומדת זכות סטטוטורית לסרב למסור עדות בנוגע
לאותו עניין, ואותו עובד מימש את זכותו זו. אם
זכות זו עומדת ל-
DPO
, יחול גם
איסור
על תפיסת
קבצים ומסמכים
של ה-
DPO
.באותו עניין
✓ DPOs
במגזר הציבורי יחליפו ביניהם
אינפורמציה באופן שוטף
ובפרט כנדרש להבטחת
סטנדרטים אחידים של הגנה על מידע אישי.
✓
גופי הממשלה הבכירים ביותר רשאים לקבל מ-
DPO
במגזר הציבורי מידע בנוגע לעניינים
שבטיפולו. ה-
DPO
ימסור להם מידע רק במידה
שבה הדבר לא יפגע בעצמאותו.
אין
✓
בנקים, חברות ביטוח, מוסדות למתן אשראי
וחוקרים פרטיים חייבים במינוי DPO
כיוון
שפעילות הליבה שלהם כרוכה בניטור שיטתי
ושוטף של נושאי מידע בהיקף רחב.
✓
בתי חולים חייבים במינוי DPO
כיוון שפעילות
הליבה שלהם כרוכה בעיבוד קטגוריות מיוחדות של
מידע אישי בהיקף רחב.
איטליה אין אין אין אין
אירלנד
החוק מסמיך את שר המשפטים והשוויון לקבוע
בתקנות מקרים נוספים שכפופים לחובת מינויDPO
.אך נכון להיום, לא הותקנו תקנות כאמור
מינויDPO
הוא אחת הדרכים ה
אפשריות
לנקיטת
"אמצעים מתאימים וספציפיים" שנדרשים במקרים
שהחוק קובע כחריגים (מותרים) לאיסורים הכלליים
על עיבוד קטגוריות מיוחדות של מידע אישי ומידע
אישי הנוגע לעבירות פליליות. למשל:
חברות
ביטוח
,
קרנות פנסיה, נבחרי ציבור, נותני שירותי
בריאות ורווחה ונותני
שירותי רפואה תעסוקתית
.
אין אין
איסלנד אין
חובת סודיות חלה על ה-
DPO
בנוגע למידע שאליו
נחשף במסגרת מילוי תפקידו ונועדה להיות סודית;
ניתנת להסרה בהיתר של נושא המידע שאליו
המידע מתייחס או במקרה שגילוי המידע חיוני
למילוי תפקידיו של ה-
DPO
.
אין אין
אסטוניה אין אין אין
מומלץ שלאדם המתמנה כ-
DPO
יהיו היכרות וידע
לגבי כל אלה:
▪
ערכי הארגון ומטרותיו, לרבות החזון, המשימה
והאסטרטגיה;
▪
התהליכים הפנימיים והעסקיים של הארגון;
▪
;כללי העבודה והמדיניות של הארגון
▪
דיני האיחוד האירופי והדינים המקומיים שחיוניים
לפעילות הארגון;
▪
חקיקה המסדירה באופן צר יותר את תחום
הפעילות
של הארגון;
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
▪
בתחומי
והתפתחויות
רלוונטיות
טכנולוגיות
טכנולוגיות מידע ותקשורת, אבטחת מידע,
והשפעותיהם האפשריות על התהליכים בארגון;
▪
עקרונות ושיטות של data analytics
,ופרופיילינג
כולל פסבדונימיזציה ואנונימיזציה;
▪
מסגרות ושיטות לניהול
סיכונים
ול
ניתוח סיכונים
;
▪
מקורות מידע רלוונטיים (חקיקה, פסיקה, גילויי
דעת והנחיות שניתנו על ידי רשויות להגנת מידע
אישי באיחוד האירופי ובאסטוניה)
.
בולגריה אין אין אין אין
בלגיה
✓
כל
גוף
במגזר הפרטי שמשמש כמעבד
(processor
) עבור רשות ציבורית פדרלית או
ה
מקבל מידע אישי מר
שות כאמור, וכן כל בעל
שליטה (controller
,)ימנ
ו DPO
אם
סביר שעיבוד
המידע האישי יגרום לסיכון גבוה לזכויות וחירויות
של אנשים טבעיים כמתואר ב
סעיף 35
ל-
GDPR
.
,[קרי
כשח
לה חובה לבצע תסקיר, DPIA
.]
✓
חובת מינויDPO
חלה במפורש על
גופים
ציבוריים שנזכרים בחוק הגנת המידע הבלגי, ובהם
המרכז לילדים נעדרים וילדים נפגעי ניצול מיני;
גופי אכיפה, תביעה וענישה
בגין עבירות
פליליות; שירותי מודיעין וביטחון; גופים למתן
סיווג ביטחוני, הסמכות והמלצות ביטחונית;
ויחידת התיאום להערכת איומי טרור.
אין אין אין
גרמניה
✓
בעל השליטה והמעבד ימנוDPO
אם הם
מעסיקים בקביעות, ככלל, לפחות 20
איש
העוסקים בעיבוד אוטומטי של מידע אישי
.
✓
בעל השליטה והמעבד ימנו DPO
אם הם
מבצעים עיבוד שכפוף לחובה לערוך DPIA
לפי
סעיף 35
ל-
GDPR
.
✓
בעל השליטה והמעבד ימנוDPO
אם הם
מעבדים מידע אישי באופן מסחרי למטרות
העברה [קרי, מסירה לצד שלישי], העברה
אנונימית, או לצורך מחקר שוק או דעת קהל
.
✓
איסור פיטורים
חל לגבי DPO
שמינויו מנדטורי
אם לתפקיד מונה עובד בארגון,
אלא כשישנה
עילה מוצדקת לפיטורים ללא שימוע
. הגבלה זו
תחול למשך שנה מסיום תפקיד העובד כ-
DPO
.
✓
חובת סודיות
חלה על ה-
DPO
לגבי זהותם של
נושאי מידע ולנסיבות שמאפשרות את זיהויים;
ניתנת להסרה רק בהיתר של נושא המידע.
✓
זכות לסרב להעיד
נתונה ל-
DPO
ועוזריו
במקרה שלעובד הארגון יש זכות לסרב למסור
עדות באותו עניין מסיבות הקשורות ביחסי עבודה.
עובד
שהזכות לסרב להעיד כאמור נתונה לו יחליט
אם לממש את הזכות האמורה, אלא אם הדבר לא
ישים בתוך פרק זמן סביר.
אם זכות זו עומדת ל-
DPO
, יחול גם
איסור
על תפיסת
קבצים ומסמכים
של ה-
DPO
.באותו עניין
אין אין
דנמרק אין
חובת סודיות
חלה עלDPO
שמינויו מנדטורי בגוף
שאינו ציבורי, בנוגע למידע שאליו נחשף בקשר עם
מילוי חובותיו כ-
DPO
, במובן שנאסר עליו לגלות
את המידע האמור או להשתמש בו לרעה ללא
הצדקה.
אין אין
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
הולנד אין
חובת
סודיות
חלה על ה-
DPO
לגבי כל מידע שאליו
ייחשף עקב תלונה או בקשה של נושא מידע;
ניתנת להסרה רק בהסכמת נושא המידע.
אין
ה עקרונות
למילוי תפקידיו של ה-
DPO
:הם אלה
▪
ה-
DPO
חייב להיות נגיש ובעל "נראות" בתוך
הארגון שבו הוא משמש בתפקיד זה.
▪ ה-
DPO
חייב להיות מעורב, למן השלב המוקדם
ביותר, על מנת לסייע לארגון לזהות, להעריך
ולהפחית סיכונים הכרוכים בפעילויות עיבוד של
מידע אישי;
▪ ה-
DPO
חייב להיות מצויד במשאבים מספקים על
מנת לבצע את תפקידיו;
▪ ה-
DPO
חייב להיות מודע לחילופי דברים
(communications
) בין הארגון ובין הרשות
המפקחת
;
▪ ה-
DPO
משמש כאיש הקשר/כתובת עבור נושאי
מידע לצורך טיפול בבקשות למימוש זכויותיהם
כנושאי מידע;
▪ ה-
DPO
יחסה בהגנה מצד הרשות
המפקחת
במקרה שתבצע חקירה בנוגע לארגון;
▪
הרשות
המפקחת
עשויה לבקש תיעוד של דוחות
וחוות דעת מה-
DPO
;
▪
ה-
DPO
.חייב להיות עצמאי
הונגריה אין
✓
חובת סודיות
חלה על ה-
DPO
בתקופת מילוי
תפקידו ואף לאחריה בנוגע למידע אישי, מידע
מסווג, מידע הכפוף לחיסיון מכוח הדין, מידע
הכפוף לחיסיון מקצועי, וכן מידע, עובדות ונסיבות
שהארגון (בעל השליטה או המעבד) אינו מחויב
למסור לציבור לפי חוק.
✓
ראש הרשות המפקחת יכנס לפי הצורך, אך
לפחות אחת לשנה, את כלל ה-
DPOs
שנרשמו
כחוק אצל הרשות, כדי לקיים קשר מקצועי תדיר
בין הרשות ל-
DPOs
, לגבש פרקטיקה משפטית
אחידה ביישוםהדינים הנוגעים להגנת מידע אישי
ולמסירת מידע שבאינטרס הציבורי.
אין אין
יוון אין
גופים ציבוריים יהיו פטורים מהחובה לפרסם את
פרטי הקשר של ה-
DPO
לציבור ולרשום אותם אצל
הרשות המפקחת אם יש לכך מניעה מסיבות
הנוגעות לביטחון לאומי.
אין אין
לוקסמבורג אין
✓
מינויDPO
הוא אחת הדרכים שהחוק מונה
לנקיטת "אמצעים מתאימים" שנדרשים מ
בעל
שליטה
[אך לא מעבד]
שאחראי לעיבוד מידע
אישי למטרות מחקר מדעי או היסטורי או
למטרות סטטיסטיות
, בשים לב לטיב העיבוד,
היקפו, הקשרו ומטרותיו, וכן הסיכוי להתממשותם
וחומרתם של סיכונים לזכויות וחירויות של אנשים
טבעיים.
לבעל השליטה נתון שיקול דעת
לקבוע
אילו מהאמצעים המנויים מתאימים במקרה
המסוים,
אך מחובתו לתעד ולהצדיק
מדוע לא
אין אין
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
נקט באחד או יותר מהאמצעים המנויי ,ם בחוק
לרבות מינוי DPO
,
עבור כל פרויקט למטרות הנ"ל
שתחת אחריותו.
✓
בעל שליטה
[אך לא מעבד]
ש
אחראי לעיבוד
קטגוריות מיוחדות של מידע אישי כאשר המידע
כפוף לחובת סודיות מקצועית ונדרש למטרות
רפואה תעסוקתית או מונעת, מתן טיפול רפואי
או שירותי רווחה
, חייב בנקיטת אותם "אמצעים
מתאימים" המנויים בחוק, לרבות מינוי DPO
, אלא
אם יש לו הצדקה מתועדת להימנעות
ו מנקיטת
אחד או יותר מאותם אמצעים
, לרבות מינוי DPO
.
לטביה אין אין
✓
החוק מסמיך את הממשלה לקבוע כללים
להפעלת מנגנון הסמכה ל-
DPOs
, להפעיל מנגנון
זה ולנהל מרשם של מי שהוסמכו באמצעותו.
עם
זאת, החוק קובע ש
ניתן למנות כ-
DPO
כל אדם
שמתקיימים בו תנאי הכשירות והדרישות לפי ה
-
GDPR, אף אם לא קיבל הסמכה כאמור
.
✓
תקנות שהותקנו בדבר הכללים להסמכת DPOs
קובעות
, בין היתר, את תוכן מבחן ההסמכה וכי
תהיה תקפה ל-
3
שנים; חידושה מותנה בכך שה-
DPO
המוסמך צבר במהלך התקופה לפחות36
שעות כמנחה/משתתף בהכשרות והשתלמויות
בתחום הגנת המידע האישי (לפחות 18
שעות) או
בתחום אחר הקשור בתפקידי ה-
DPO
.
✓
לפי התקנות
הנ"ל, מבחן ההסמכה יבחן
את
הידע והכישורים של המועמדים בתחומים הבאים:
▪
היסודות התיאורטיים והמשפטיים של ה-
GDPR
( ושל החוק המקומי להגנת מידע אישי
לרבות
מושגי יסוד בהגנת מידע אישי; התחולה
הטריטוריאלית והמהותית של ה-
GDPR
; עקרונות
היסוד לעיבוד מידע אישי; הבסיסים החוקיים
לעיבוד; זכויות נושאי מידע והחובה ליידע אותם;
בעל שליטה ומעבד; העברת מידע אישי מחוץ
לגבולות האיחוד האירופי; הרשות המפקחת
ומנגנון התיאום בין הרשויות המקבילות באיחוד;
סעדים משפטיים).
▪
אחריות בעל השליטה ואבטחת מידע (פתרונות
טכניים לעיבוד מידע אישי; מערכת לתחזוקת
אבטחת מידע וניהולה; ניתוח, ניהול ובקרת
(audit
;) סיכונים הכרוכים בעיבוד מידע אישי
השפעת טכנולוגיות חדשניות על היבטי הגנת
המידע וביצוע הערכה של השפעה זו; הפרות
בתחום ההגנה על מידע אישי; תכנון לפרטיות
והגנת מידע כברירת מחדל).
▪
המסגרת המשפטית והפסיקה בנוגע להגנת
מידע אישי (לרבות חקיקה מגזרית הנוגעת
להגנת מידע אישי וה
יחס
בינה ובין ה-
GDPR
;
מומלץ למנות כ-
DPO
אדם בעל
השכלה, ניסיון
מקצועי, כישורים ומיומנויות אלה:
▪
השכלה גבוהה במשפט חברתי (social law
)
וטכנולוגיות מידע (כתלות בהקשר המסוים שבו
פועל
הארגון הממנה אותו לתפקיד, לרבות
פעילותו העסקית של הארגון ופעילויות עיבוד
המידע הנלוות);
▪
הסמכה רשמית כ-
DPO
מטעם המנגנון
שמפעילה הרשות (המלצה שאינה בגדר חובה);
▪
;ניסיון בעבודה בתחום ההגנה על מידע אישי
▪
ידע בתחום ההגנה על מידע אישי וכן בנושאים
אחרים שבתחומי אחריות ה-
DPO
;
▪
ניסיון בפיתוח מסמכי מדיניות פנימיים ומסמכים
נוספים שמצויים בתחום אחריות ה
-
DPO
; יכולת
לפתח מסמכי מדיניות פנימיים ומסמכים אחרים
בתחום ההגנה על מידע אישי, לנתח אינפורמציה
וכן לספק אינפורמציה במהירות בנושאים
שבתחום אחריותו;
▪
חשיבה אנליטית, יכולת לתכנן ולארגן את
עבודתו באופן עצמאי, לקבל החלטות ולקבל
אחריות, וכן להבטיח שיתוף פעולה מוצלח עם
מחלקות וצוותים אחרים בארגון, ארגונים אחרים
ומוסדות מדינה;
▪
יכולת לייעץ לעובדים בארגון ולספק להם
אינפורמציה במהירות בנושאים שבתחום
אחריותו;
▪
מיומנויות עבודה בסביבה ממוחשבת ועם
טכנולוגיה זמינה ומקורות מידע פומביים.
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
חקיקה של האיחוד האירופי, אמנות וכלים
אחרים של המשפט הבין-
לאומי והשפעתם על
המסגרת המשפטית של לטביה; פסיקה בתחום).
ליטא
אין אין אין אין
ליכטנשטיין
✓
חייבים במינויDPO
אנשים, עמותות, חברות
וארגונים שהוקמו במסגרת המשפט הפרטי,
אינם עוסקים בפעילות מסחרית, ומבצעים
משימות שהוטלו עליהם לטובת האינטרס
הציבורי
.
✓
מינויDPO
הוא אחת הדרכים ה
אפשריות
לנקיטת "אמצעים מתאימים וספציפיים" שנדרשים
במקרים שהחוק קובע כחריגים (מותרים) לאיסור
הכללי על עיבוד קטגוריות מיוחדות של מידע אישי.
למשל: עיבוד מידע אישי שנדרש לצורך
מימוש
זכויות הנובעות מהזכות לביטחון סוציאלי
;
רפואה תעסוקתית ומונעת ומתן שירותי בריאות
ורווחה בכפוף לחובת סודיות מקצועית; הגשמת
אינטרס ציבורי בתחום בריאות הציבור
.
✓
חובת סודיות
חלה על ה-
DPO
לגבי זהותם של
נושאי מידע ונסיבות שמאפשרות את זיהויים;
ניתנת להסרה רק בהיתר של נושא המידע.
✓
זכות לסרב להעיד
נתונה ל-
DPO
במגזר
הציבורי
וכן לעוזריו, אם לראש הגוף או לעובד
אחר בו יש זכות לסרב למסור עדות באותו עניין
מסיבות הקשורות ביחסי עבודה.
עובד
שהזכות
לסרב להעיד כאמור נתונה לו יחליט אם לממש את
הזכות האמורה, אלא אם הדבר לא ישים בתוך
פרק זמן סביר.
אם זכות זו עומדת ל-
DPO
, יחול גם
איסור
על תפיסת
קבצים ומסמכים
של ה-
DPO
.באותו עניין
✓
זכות לסרב להעיד
נתונה ל-
DPO
במגזר
הפרטי
ולעוזריו אם לבעל השליטה או למעבד יש
זכות לסרב למסור עדות באותו עניין [לאו דווקא
עקב יחסי עבודה]. האדם בארגון שלו עומדת
הזכות לסרב להעיד יחליט אם לממש אותה, אלא
אם הדבר לא ישים בתוך פרק זמן סביר. אם זכות
זו עומדת ל-
DPO
, יחול גם
איסור על תפיסת
קבצים ומסמכים
של ה-
DPO
.באותו עניין
✓
איסור פיטורים
חל לגבי DPO
שמינויו מנדטורי
בגוף שאינו ציבורי,
אלא כשישנה עילה מוצדקת
לפיטורים ללא שימוע
.
✓
הרשות המפקחת תייעץ ל-
DPOs
ותתמוך
בהם בהתחשב בצרכים הטיפוסיים שלהם, והיא
מוסמכת ל
הורות על
פיטוריו של DPO
אם אינו
מחזיק בידע ובמומחיות הנדרשים למילוי תפקידיו,
או כשהוא נתון בניגוד עניינים חמור.
✓
נושאי מידע רשאים לפנות ל-
DPO
של גוף
ציבורי בכל שאלה הקשורה בעיבוד המידע האישי
הנוגע אליהם ובמימוש זכויותיהם לפי ה-
GDPR
,
חוק הגנת המידע המקומי וחוקים אחרים הנוגעים
להגנת מידע אישי.
אין אין
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
מלטה
,החוק מסמיך את שר המשפטים לקבוע בתקנות
בהתייעצות עם הרשות המפקחת, מקרים נוספים
שכפופים לחובת מינויDPO
. נכון לעת כתיבת
.שורות אלה, לא הותקנו תקנות כאמור
אין אין
✓
בנקים חייבים במינויDPO
כיוון שפעילות
הליבה שלהם כרוכה בניטור שיטתי ושוטף של
נושאי מידע בהיקף רחב.
✓
ארגונים שמפעילים שירות משחקי הימורים
במתכונת B2C
[
Business to Consumer
]חייבים
במינוי DPO
כיוון שפעילות הליבה שלהם כרוכה
בניטור שיטתי ושוטף של נושאי מידע בהיקף רחב.
✓ DPO
פנימי
(עובד הארגון)
לא י
שמש בארגון
בד בבד
כקצין דיווח על הלבנת הון (MLRO
,)
מנהל כוח אדם או אנליסט שיווק
.
סלובניה
✓
בעל
ה
שליטה ו
ה
מעבד ימנו DPO
אם הם
מעבדים מידע אישי
לפי
חוק
בתחומי מינהל
הפנים
(internal administrative affairs
,)
מינהל
פיננסי, אזרחות,
סוכנות המודיעין והביטחון,
ביטחון לאומי, שירותי בריאות, ביטוח בריאות
חובה, מימוש זכויות מקרנות ציבוריות, ומרשם
עבירות פליליות ומינהליות
.
✓
בעל השליטה והמעבד ימנו DPO
אם הם
מעבדים
לפי חוק
מידע אישי
של
יותר מ-
100,000
נושאי מידע
, למעט במסגרת מעקב
מצולם
.
✓
בעל השליטה והמעבד ימנו DPO
אם הם
מעבדים קטגוריות מיוחדות של מידע אישי
של
יותר מ-
10,000
נושאי מידע
.
✓
לתפקיד ה-
DPO
ימונה רק אדם שכשיר
משפטית
לשמש בתפקיד,
שלא נגזר
ו
עליו
שישה
חודשי מאסר או יותר
(בגין כל עבירה)
ושאין נגדו
הרשעה חלוטה בעבירה פלילית בגין
שימוש
לרעה במידע אישי
.
✓ DPO
ייחשב כנתון ב
ניגוד עניינים
אם ישמש בד
בבד כ
מנהל מערכות המידע
או
מנהל אבטחת
המידע בארגון
, יכהן ב
משרה ניהולית
בו, יהיה
חבר בהנהלה או בגופי פיקוח וביקורת פנימיים
אחרים, או
ייצג את הארגון בהליכים שיפוטיים
והליכי בוררות
בסוגיות של הגנת מידע אישי.
✓
לתפקיד DPO
ברשויות המדינה ימונה רק עובד
מדינה. בגופי המגזר הציבורי שאינם רשויות מדינה
ניתן למנות DPO
שאינו עובד המגזר הציבורי אם
מינוי כאמור אינו אפשרי.
✓
חובת סודיות
חלה על ה-
DPO
וסגנו לגבי מידע
שאליו נחשפו בעת מילוי תפקידם; חלה אף לאחר
תום פעילותם במסגרתו.
אין אין
סלובקיה
אין אין אין אין
ספרד
✓
בעל
ה
שליטה
והמעבד
חייבים במינוי DPO
אם
הם
נמנים עם הגופים הבאים:
▪
איגודים מקצועיים
והמועצות הכלליות שלהם;
▪
מוסדות חינוך והשכלה
בכל רמה שקבועה
בחקיקה המסדירה את הזכות לחינוך, כולל
אוניברסיטאות ציבוריות ופרטיות;
▪
ארגונים שמפעילים רשתות תקשורת
אלקטרונית
ומספקים שירותי תקשורת
אלקטרונית כהגדרתם בחקיקה,
אם הם מעבדים
מידע אישי בהיקף
רחב
במהלך
עיסוקם
הרגיל;
▪
ספקי שירותים המכונים בחקיקה האירופית
"Information Society Services
[ "
,ככלל
שירותים הניתנים באופן מקוון לבקשת מקבל
השירות, בתמורה או במימון מבוסס פרסום
.
למשל,
אפליקציות מובייל/ווב, רשתות
חברתיות,
מנועי חיפוש,
שירותי מסרים
מיידיים, אתרי סטרימיניג, חדשות, משחקים
✓
בעל
שליטה ומעבד
שאינם
חייבים במינוי
DPO
רשאים למנותו באופן וולונטרי, ובמקרה כזה
יחולו לגביו כל
הדרישות שחלות לגבי DPO
במינוי מנדטורי
.
✓
מינוי וולונטרי של DPO
בארגון שאינו כפוף
לחובה חוקית למנותו
מנוי ברשימת השיקולים
שהרשות המפקחת רשאית לשקול (לקולא)
בעת
הפעלת סמכותה
לעניין הטלת קנסות
מינהליים
.
✓ ה-
DPO
מוחרג במפורש ממשטר הסנקציות
הקבוע בחוק.
✓ ל-
DPO
תהיה גישה לכל המידע האישי
ופעילויות העיבוד
ש
באחריות
הארגון
;
בעל
השליטה
או
המעבד
אינם רשאים להתנגד
לכך
בטענה לחובת סודיות או חיסיון
.
את העמידה בדרישות הכשירות, המומחיות והידע
ש
קבועות
בGDPR
ל
גבע
מינוי DPO
,ניתן להוכיח
בין היתר
, באמצעות מנגנוני הסמכה
ו
ולונטריים
שמביאים בחשבון במיוחד קבלת תואר אקדמי
שמקנה ידע מומחיותי בדין ובפרטיקה בתחום
ההגנה על מידע אישי.
✓
הנחיה שפרסמה הרשות המפקחת בנוגע
לתוכנית הסמכה ל-
DPOs
קובעת
תנאים למתן
הסמכ
ת DPO
בידי גופים מורשים
שקיבלו את
אישור הסוכנות הלאומית להערכה והסמכה. עם
זאת, ההנחיה מבהירה ש
ניתן למנות כ-
DPO
כל
אדם שעומד בתנאי הכשירות שקובע החוק, אף
אם לא קיבל הסמכה פורמלית
כזו או אחרת
.
✓
גישה לבחינת ההסמכה מותנית בעמידה באחד
מארבעה תנאים מקדמיים חלופיים לעניין שנות
ניסיון בפרויקטים הקשורים לתפקידי ה-
DPO
(כפי
פירוטם בהנחיה, ר' להלן) ו/או שעות הכשרה
בנושאים הכלולים בתוכנית ההסמכה ל-
DPOs
.
✓
ההסמכה תהיה תקפה ל-
3
שנים; חידושה
מותנה בכך שה-
DPO
המוסמך צבר במהלך
התקופה
לפחות שנת ניסיון אחת בפרויקטים
הקשורים לתפקידי ה-
DPO
ו/או לאבטחת מידע; או
לפחות 60
שעות כמנחה/משתתף בתוכניות
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
'וכו]
,
אם הם יוצרים פרופילים על משתמשי
השירותים שלהם בהיקף
רחב
;
▪
ארגונים המנויים בסעיף 1
ל
חוק
המקומי
בדבר
אסדרה, פיקוח ויכולת פירעון של מוסדות אשראי
[
קרי,
בנקים, קרנות חיסכון, קואופרטיבים
למתן אשראי ומוסד האשראי הלאומי
];
▪
מוסדות למתן אשראי
;
▪
חברות ביטוח ומבטחי משנה
;
▪
חברות למתן שירותי השקעות
שכפופות לחוק
ניירות ערך ה
מקומי
;
▪
מפיצים ומשווקים של חשמל וגז טבעי
;
▪
ארגונים האחראים על
מאגרי מידע משותפים
(common files
)
הנוגעים להערכת אשראי או
לניהול או מניעת הונאות
, לרבות אלה
שאחראים
למאגרי מידע
הכפופים לחוקי איסור
הלבנת הון ומימון טרור
;
▪
ארגונים שמפתחים פעילויות פרסום וחקר שוק
מסחרי
, לרבות מחקר שוק וניתוח מסחרי,
אם
הם מעבדים מידע אישי
על בסיס העדפות של
נושאי מידע או יוצרים פרופילים שלהם
;
▪
מוסדות בריאות
המחויבים לפי חוק לשמור
רשומות רפואיות של מטופלים, להוציא אנשי
מקצועות הבריאות שמספקים שירותים באופן
עצמאי
(קרי, במסגרת קליניקה פרטית);
▪
ארגונים שעוסקים בהנפקת דוחות אשראי
לגבי
אנשים
פרטיים
;
▪
ארגונים המציעים שירותי משחקים והימורים
באמצעים אלקטרוניים, ממוחשבים, טלמטיים
ואינטראקטיביים,
הכפופים
לחוקים
ש
חלים על
מפעילי שירותי הימורים;
▪
חברות אבטחה פרטיות
;
▪
איגודי ספורט שמעבדים מידע אישי הנוגע
לקטינים
.
✓
כאשר ה-
DPO
מזהה הפרה חמורה בענייני
הגנת מידע אישי, עליו לתעד אותה ולדווח על כך
מיידית להנהלת הארגון.
✓
נושא מידע רשאי לפנות ל-
DPO
של ארגון שנגדו
הוא מעוניין להגיש תלונה
לרשות המפקחת
בטרם
הגשת תלונתו
. במקרה כזה, ה-
DPO
ימסור לנושא
המידע את ההחלטה שהתקבלה בנוגע לתלונתו
בתוך חודשיים מיום קבלת התלונה.
✓
במקרה שנושא מידע הגיש
תלונה לרשות
המפקחת נגד
ארגון ש
מינה
DPO
, הרשות רשאית
להפנות את התלונה לתגובת ה-
DPO
, שתימסר
בתוך חודשיים. אם ה-
DPO
לא מסר לרשות את
תגובתו לתלונה בתוך תקופה זו, הרשות תמשיך
לטפל בתלונה בהתאם להליך הקבוע בחוק.
✓
בעל שליטה
או
מעבד שממנים DPO
רשאי
לקבוע את היקף הזמן שיקדיש לתפקידו
זה,
וזאת, בין היתר, בהתאם להיקף עיבוד המידע
האישי בארגון, האם ואלו קטגוריות מיוחדות של
מידע אישי
נתונות לעיבוד
, והסיכונים הכרוכים בכך
לזכויות וחירויות של נושאי מידע.
✓
איסור פיטורים וענישה
חל לגבי DPO
פנימי
(עובד הארגון) בנוגע לאופן מילוי תפקידיו כ-
DPO
,
אלא במקרה של התנהגות בלתי הולמת מכוונת
(willful misconduct
)או רשלנות חמורה
.
הכשרה מוכרות, ובהן לפחות15
שעות שנתיות
בנושאים הכלולים בתוכנית ההסמכה ל-
DPOs
.
שעות הכשרה יהיו קבילות רק אם יעידו על עדכון
ביחס לידע שכלול בתוכנית ההסמכה.
✓
מועמד להסמכה נדרש להתחייב לעמוד בקוד
האתי ל-
DPOs
.שמצורף להנחיה
✓
לפי ההנחיה, מנגנון ההסמכה יבחן את יכולתו
של המועמד לקיים ניטור ופיקוח בתחומים הבאים:
▪
ציות לעקרונות העיבוד של מידע אישי
(כגון
עקרון הגבלת המטרה, איסוף המידע המינימלי
);
▪
זיהוי הבסיסים החוקיים לעיבוד;
▪
הערכת
תאימותן
של מטרות עיבוד מידע שונות
ממטרות האיסוף המקוריות;
▪
קביעה שישנם תקנות וחוקים מגזריים שחלים על
העיבוד וכוללים תנאים ספציפיים לעיבוד
שעשויים להיות שונים מאלה שקבועים בחוקים
הכלליים לגבי הגנת מידע אישי;
▪
תכנון והטמעה של אמצעים ליידוע נושאי מידע;
▪
קביעת נהלים לקבלה וניהול של בקשות נושאי
מידע למימוש זכויותיהם;
▪
בחינה והערכה של בקשות
כנ"ל
;
▪
התקשרות עם מעבדים (processors
), כולל
תוכנם של הסכמים או חוקים המסדירים את
מערכת היחסים בין בעל השליטה למעבד;
▪
זיהוי מנגנונים להעברת מידע אישי מחוץ לאיחוד
האירופי שמתאימים לצורכי הארגון ומאפייניו;
▪
עיצוב ויישום של נהלים להגנת מידע אישי;
▪
ביצוע ביקורות (auditing
;) בתחום הגנת המידע
▪
יצירה וניהול שוטף של records of processing
activities
[ר' סעיף30
ל-
GDPR
;]
▪
ניתוח הסיכונים הכרוכים בפעילויות העיבוד
שמבוצעות בארגון או מטעמו;
▪
הטמעת אמצעים ל
תכנון לפרטיות ופרטיות
כברירת מחדל
בהתאם לסיכונים ולטיב העיבוד;
▪
הטמעת אמצעי אבטחה בהתאם לסיכונים ולטיב
העיבוד;
▪
קביעת נהלים להתמודדות עם אירועי אבטחה,
לרבות הערכת הסיכונים לזכויות וחירויות של
נושאי מידע ונהלי דיווח לרשויות המפקחות
ולנושאי מידע שהושפעו מהאירוע;
▪
קביעה אם יש צורך בביצוע תסקיר
(DPIA
);
▪
;ביצוע תסקיר כנ"ל
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
▪
ניהול הקשרים עם רשויות מפקחות בתחום
ההגנה על מידע אישי;
▪
הטמעת תוכניות הכשרה ומודעות
לעובדי הארגון
בתחום
ההגנה על מידע אישי
.
צ'כיה
גופים שהוקמו מכוח חוק ומבצעים משימות
שנקבעו בחוק לטובת
ה
אינטרס הצי
בורי, חייבים
במינויDPO
.אף אם אינם גופים ציבוריים
אין אין אין
צרפת
גופים המופקדים על ביצוע סמכויות סטטוטוריות
חייבים במינויDPO
.אף אם אינם גופים ציבוריים
אין אין
✓
הנחיה שפרסמה הרשות המפקחת קובעת
תנאים למתן הסמכת DPO
בידי גופים מורשים
שקיבלו את אישור הרשות
לכך
. עם זאת, בהנחיה
אחרת שפרסמה הרשות בעניין תפקיד ה-
DPO
מובהר ש
קבלת הסמכה
פורמלית
אינה תנאי סף
למינוי
ו של
אדם כ-
DPO
.
✓
לפי ההנחיה בדבר המנגנון להסמכתDPOs
,
גישת מועמד לבחינת ההסמכה מותנית בהוכחת
שנות ניסיון לפחות בפרויקטים הקשורים לתפקידי
ה-
DPO
; או שתי שנות ניסיון לפחות בכל תחום
אחר וכן 35
שעות הכשרה לפחות בתחום ההגנה
על מידע אישי מאת ארגון העוסק בכך.
✓
הסמכת DPO
תינתן למועמדים שיעמדו בתנאי
הכשירות הבאים:
▪
המועמד יודע ומבין את העקרונות לעיבוד מידע
אישי (חוקיות העיבוד, הגבלת המטרה
וגו'
);
▪
המועמד יודע לזהות את הבסיס החוקי לעיבוד;
▪
המועמד יודע להגדיר את התוכן
והאמצעים
המתאימים ליידוע נושאי המידע;
▪
המועמד יודע כיצד לקבוע נהלים לטיפול
בבקשות נושאי מידע למימוש זכויותיהם;
▪
המועמד בקי במסגרת החוקית ביחס למיקור חוץ
של עיבוד מידע אישי;
▪
המועמד יודע לזהות העברות
של
מידע אישי אל
מחוץ לאיחוד האירופי, וכיצד לקבוע את מנגנוני
ההעברה החוקיים שסביר שישמשו במקרה
הרלוונטי;
▪
המועמד יודע כיצד לפתח ולהטמיע כללים ונהלים
פנימיים להגנת מידע אישי;
▪
המועמד יודע כיצד לארגן ולהשתתף בביקורות
(audits
;) בתחום הגנת המידע
▪
למועמד יש היכרות טובה עם התכנים של
records of processing activities
[ר' סעיף30
ל-
GDPR
]
ותיעוד של אירועי אבטחה, וכן עם
התיעוד הנדרש
להוכחת
ציות לחקיקה בתחום
הגנת המידע;
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
▪
המועמד יודע כיצד לזהות אמצעים של
תכנון
לפרטיות ופרטיות כברירת מחדל
שמותאמים
לסיכונים ולטיב פעילויות העיבוד;
▪
המועמד יודע כיצד להשתתף בזיהוי אמצעי
האבטחה הנדרשים בהתאם לסיכונים ולטיב
פעילויות העיבוד;
▪
המועמד יודע לזהות אירועי אבטחה שמחייבים
דיווח לרשות המפקחת וכן את אלה שמחייבים
דיווח לנושאי המידע המושפעים מכך;
▪
המועמד יודע כיצד לקבוע אם חלה חובה לבצע
תסקיר (DPIA
)
;וכיצד לקבוע אם בוצע כהלכה
▪
המועמד יודע כיצד לייעץ בדבר ניתוח ההשפעה
הצפויה (impact analysis) על הגנת מידע
,
ובפרט בנוגע למתודולוגיה, מיקור חוץ אפשרי,
האמצעים הטכניים והארגוניים שיש לאמץ;
▪
המועמד יודע כיצד לנהל את הקשר עם הרשות
המפקחת, להשיב לבקשותיה, וכן לאפשר
ולתמוך בפעולתה ובפרט, מבדקים וחקירת
תלונות;
▪
המועמד יודע כיצד להבטיח את עקיבות
(traceability
) פעילותו, ובפרט באמצעות כלי
ניטור ודוחות שנתיים.
קרואטיה
אין אין אין אין
פולין
מוסדות וגופים במימון ציבורי, מוסדות מחקר
והבנק הלאומי של פולין חייבים במינויDPO
אף
אם אינם גופים ציבוריים.
✓
אם ה-
DPO
נעדר לתקופה, הארגון רשאי
למנות לו מחליף לתקופה זו, ובלבד שממלא
מקום ה-
DPO
עומד בתנאי
ה
כשירות
ה
מקצועית
וה
יכולת למלא את תפקידי ה-
DPO
לפי ה-
GDPR
.
✓
בדומה לחובה החלה לגבי ה-
DPO
העיקרי, על
הארגון לדווח לרשות
המפקחת
על מינוי ממלא
מקום ה-
DPO
וכן לפרסם לציבור את
פרטיו
.
אין
✓
עובד
ה
ארגון
יכול לשמש גם כ-
DPO
בו
רק אם
תפקידו האחר לא כרוך בקביעת המטרות
לעיבוד המידע והאופן שבו המידע יעובד,
ואינו
פוגע בעצמאותו במילוי תפקידיו כ
-
DPO
ו
ביכולתו
להקדיש
לכך
זמן הולם
. ארגון שמעוניין למנות
DPO
פנימי שמשמש בתפקידים אחרים בארגון
נדרש לתעד את ההערכה שביצע בנושא, לרבות
התייחסות להיקף ולמורכבות המשימות של אותו
עובד כ-
DPO
בארגון המסוים לעומת היקפן
ומורכבותן של המשימות שימלא בתפקידו האחר
.
✓
מינויו כ-
DPO
של מנהל מערכות ה-
IT
בארגון
(IT system administrator
)
עלול להעמיד אותו
בניגוד עניינים
. זאת,
היות
שהשילוב בין
התפקידים יגרום לכך שמי שאחראי לעיבוד השוטף
של מידע אישי ולאבטחתו יהיה אחראי גם לפיקוח
על חוקיות הפעילויות שהוא עצמו מבצע, מחד
גיסא, ולקבלת החלטות בדבר האמצעים הנדרשים
לאבטחת המידע, מאידך גיסא. בנוסף, ה-
DPO
,נדרש לדווח לדרג הניהולי הבכיר ביותר בארגון
וכלל זה יופר אם
ב
תפקידו כמנהל מערכות ה-
IT
,
,אותו אדם ידווח למנהל בכיר פחות
וקל וחומר
לגבי DPO
שממלא במקביל בתפקיד זוטר יותר
שנוגע לאבטחת המידע בארגון.
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
✓
לא ניתן למנות כ-
DPO
אדם שמייצג את
הארגון בבית המשפט בהליך הנוגע להגנת מידע
אישי
.
✓
אדם שמעניק לארגון ייעוץ משפטי כעורך דין
,
יוכל להתמנות כ-
DPO
רק
בתנאי שהארגון ביצע
ניתוח מהימן ומתועד לשלילת חשש לניגוד
עניינים ואי
-
יכולת למלא בד בבד את
החובות
החוקיות החלות על
העיסוק במקצוע המשפטי,
מזה, ואת תפקידיו של ה-
DPO
ותנאי הכשירות
הנלווים
, מזה
.
✓
במקרה של מינוי DPO
חיצוני, על הארגון
להתקשר עמו בהסכם למתן שירותים
–
אך לא
מדובר בהסכם שנדרש
בין בעל שליטה במידע
למעבד שמבצע
,
במיקור חוץ
,
עיבוד של מידע
אישי עבורו.
יש הבדל עקרוני בין שני סוגי
ההסכמים: הסכם בין בעל שליטה למעבד לפי
סעיף 28
ל-
GDPR
נדרש לכלול התחייבות של
המעבד לבצע פעולות עיבוד אך ורק לפי הוראות
בעל השליטה
בכל הנוגע למטר
ו
ת העיבוד ולאופני
העיבוד החיוניים; לעומת זאת, הסכם בין ארגון ל-
DPO
חיצוני נדרש לעסוק בתפקידי ה-
DPO
לפי
סעיף 39
(
1
) ל-
GDPR
, כאשר על הארגון בעל
השליטה או המעבד להבטיח, בין היתר, שה-
DPO
( לא יקבל הוראות לגבי אופן מילוי תפקידיו
סעיף
38
(
3
) ל-
GDPR). בנוסף, הגישה שניתנת ל-
DPO
(פנימי או חיצוני) למידע אישי שהארגון מעבד
נדרשת
היכן שהדבר חיוני
למילוי תפקידיו לפי ה
-
GDPR; חובת ה-
DPO
להגן על סודיות המידע
ואבטחתו מעוגנת בחובת הסודיות שה-
GDPR
מטיל
עליו במישרין; ויכולתו של ה-
DPO
לבצע משימות
אחרות, לרבות כאלה שכרוכות בעיבוד מידע אישי,
מוגבלת בידי האיסור על ניגוד עניינים שמוטל עליו.
✓
את האיסור לפטר או להעניש את ה-
DPO
בגין
מילוי תפקידיו כ-
DPO
יש לפרש כך שיחול רק
לגבי ביצוע נכון ותקין אובייקטיבית של תפקידיו
.
✓
חובת הסודיות שה-
DPO
כפוף לה לפי סעיף
38
(
5) ל-
GDPR
חשובה הן כדי לעודד אמון כלפיו
מצד בעל השליטה או המעבד
,
והן לטובת אבטחת
המידע האישי שאליו הוא נחשף. אין ספק
שבמסגרת מילוי תפקידיו, ה-
DPO
נדרש ל
גישה
למידע אישי, לרבות קטגוריות מיוחדות של מידע
אישי ומידע
אישי
הנוגע לעבירות והרשעות
פליליות, וכן לנהלי אבטחת המידע בארגון
ולאמצעים הטכניים והארגוניים שהטמיע למטרה
זו. עם זאת, יש להדגיש ש
חובת הסודיות של ה-
DPO
לא מונעת ממנו ליצור קשר עם הרשות
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
המפקחת ולבקש את עצתה
בכל עניין הנוגע
לעיבוד מידע אישי
.
פורטוגל
הגופים הבאים חייבים במינויDPO
אף אם אינם
גופים ציבוריים:
גופים סטוטוריים, הבנק הלאומי,
מוסדות שהוקמו בידי גוף ציבורי ומספקים
שירותים ציבוריים, חברות בבעלות או בשליטה
ציבורית שמספקות שירותים מגזריים שונים,
מוסדות השכלה גבוהה במימון ציבורי ואיגודים
לתועלת הציבור
.
✓
בנוסף לקבוע ב-
GDPR
, תפקידי ה-
DPO
כוללים
את אלה:
▪
הבטחת ביצוען של ביקורות (audits
), הן
מתוזמנות והן ביקורות פתע;
▪
העלאת מודעות בקרב עובדי הארגון לחשיבות
של איתור תקריות אבטחה במועד וכן לצורך
ביידוע מיידי של קצין אבטחת המידע בארגון
[מונח שזהו המופע היחידי שלו בחוק
המקומי
];
▪
ניהול יחסי הארגון עם נושאי מידע בעניינים
שמוסדרים ב-
GDPR
ובחקיקה
מקומית
אחרת
בתחום ההגנה על מידע אישי.
✓
חובת סודיות
מקצועית חלה על ה-
DPO
בקשר
למילוי תפקידיו כ-
DPO
; חלה אף לאחר תום
פעילותו במסגרת התפקיד.
✓
כפל עונש ל-
DPO
המפר חובת סודיות
. המגלה
או מוסר מידע אישי בהיותו כפוף לחובת סודיות
מקצועית מכוח חוק, בהיעדר עילה מוצדקת או
הסכמה כדין, דינו מאסר של עד שנה או קנס יומי
של 120
יום [קרי, מכפלת השכר היומי של הנקנס
ב-
120
יחידות], והיכן שההפרה בוצעה ברשלנות
–
מחצית העונש הנ"ל. על המפר יוטל עונש כפול
בהתקיים נסיבות מחמירות המנויות בחוק, שאחת
מהן היא היות המפר DPO
.
מינוי ה-
DPO
ייעשה בהתאם לתנאי הכשירות
הקבועים ב -
GDPR
, ולעניין זה
הסמכה מקצועית
לא תהווה דרישת סף
.
אין
פינלנד
✓
בעל השליטה והמעבד ימנוDPO
אם הם
מעבדים קטגוריות מיוחדות של מידע אישי
במקרים המנויים בחוק
כחריגים (מותרים) לאיסור
הכללי על עיבוד מידע כאמור. למשל:
עיבוד שנובע
ישירות מחובה חוקית המוטלת על בעל השליטה;
חברות ביטוח
;
ארגוני עובדים
;
נותני
שירותי
בריאות
;
ארגונים המעבדים מידע רפואי או גנטי
כדי לאפשר פעילות למניעת סמים ב
ס
פורט או
גישה לעבודה לאנשים עם מוגבלות
;
עיבוד
למטרות מחקר מדעי, היסטורי או סטטיסטי
;
ארכוב לטובת האינטרס הציבורי
.
✓
חובת מינוי DPO
חלה במפורש על
גופים
הכפופים לחובה כאמור מכוח חקיקה מגזרית,
ובהם
בתי מרקחת וגופים שעוסקים במתן
שירותי בריאות או שירותי רווחה
.
אין אין אין
רומניה
מינויDPO
הוא אחד האמצעים המנדטוריים
שבהם חייב לנקוט בעל שליטה
[אך לא מעבד]
האחראי לעיבוד של מספר זיהוי לאומי
, כולל
איסוף ומסירה של מסמכים הכוללים אותו,
כ
אשר
הבסיס החוקי לעיבוד הוא אינטרסים לגיטימיים
אין אין אין
מדינה
גופים נוספים שחייבים במינויDPO
לפי חוק
מעבר לקבוע ב-
GDPR
הוראות
סטטוריות
נוספות שחלות לגבי DPOs
מעבר לקבוע ב-
GDPR
דרישות הסמכה ל-
DPOs
לפי חוק
הוראות
נוספות בהנחיות רגולטוריות מעבר
לאמור ב
הנחית ה-
DPOs
של ה-
WP29
של בעל השליטה או צד שלישי לפי סעיף6
(
1
()
f
)
ל-
GDPR
.
✓
חובתם של גופים ציבוריים למנותDPO
חלה גם
על
מוסדות דת וכן ארגונים שלא למטרות רווח
ה
פועלים לתועלת הציבור או הקהילה
.
שוודיה
אין
חובת סודיות חלה על ה-
DPO
בנוגע למידע שאליו
נחשף במסגרת מילוי תפקידיו כ-
DPO
.
אין
מומלץ
למנותDPO
בארגונים שמבצעים משימות
שבאינטרס הציבורי או משימות שכוללות הפעלת
סמכויות ציבוריות, אף אם אינם גופים ציבוריים.
יץ י שוו
חוק הגנת המידע המקומי לא נדרש לתאימות
מלאה ל-
GDPR
, ולעומת זאת נדרש לתאימות
ביחס
ל
אמנות אחרות ששווייץ היא צד להן. כפועל יוצא
מכך,
החקיקה השוויצרית אימצה את מנגנון מינוי
ה-
DPO
של ה-
GDPR
:באופן חלקי בלבד
✓
חובת מינוי DPO
חלה רק על גופים ציבוריים
פדרליים ועל
ארגונים במגזר הפרטי
שמעבדים
מידע אישי לצורך ביצוע משימות שהוטלו עליהם
לטובת האינטרס הציבורי
.
✓
בעלי שליטה [אך לא מעבדים] רשאים למנות
DPO
., אך אינם חייבים לעשות כן
✓
בעל שליטה במגזר הפרטי שמינה וולונטרית
DPO
"עצמאי" בהתאם לתנאי החוק, יוכל
להסתמך על עצת ה-
DPO
ויהיה פטור מהחובה
לפנות לקבלת ייעוץ מקדים מהרשות המפקחת.
[ייעוץ מקדים כאמור נדרש בטרם יוחל בעיבוד
שכרוך בסיכון גבוה לזכויות וחירויות של נושאי
מידע, ועל כן כפוף לחובה לערוך תסקיר, DPIA
–
אם התסקיר העלה שהסיכון הגבוה לא יוסר למרות
אמצעים שבעל השליטה מתעתד לנקוט לצמצום
הסיכון. ר' גם
סעיף 36
ל-
GDPR
.]
אין אין אין
1
.
אוסטריה
ה-
DPO
והאנשים
שפועלים מטעמו
יהיו כפופים לחובת סודיות בעת מילוי
תפקידיהם . בפרט, חובת סודיות זו
תחול בנוגע לזהותם של נושאי מידע שפנו ל -
DPO
, אלא אם נושא המידע
שחרר את ה -
DPO
במפורש מחובתו
זו
. ה -
DPO
והאנשים ה
פועלים מטעמו
יהיו רשאים להשתמש במידע שאליו קיבלו גישה אך ורק לצורך מילוי
.תפקידם, ויהיו כפופים לחובת סודיות אף לאחר תום פעילותם במסגרת התפקיד
אם, במהלך פעילותו, ה-
DPO
ייחשף למידע שלגביו יש
לאדם המועסק בארגון הכפוף לפיקוח של ה-
DPO
זכות סטטוטורית לסרב ל
מסור עדות
, גם ל -
DPO
ולאנשים
שפועלים מטעמו
תהיה זכות לסרב להעיד ככל
שהמועסק
.בעל הזכות לסרב להעיד מימש את זכותו זו במקרה
של -
DPO
,תינתן הזכות לסרב להעיד קבצים
ומסמכים אחרים של ה -
DPO
יהיו
כפופים לאיסור מפני תפיסה וחילוט (
seizure and confiscation
.)
במגזר הציבורי, ה -
DPO
לא יהיה כפוף לכל הוראה במסגרת מילוי תפקידו. הגופים הממשלתיים/ממשליים
הבכירים ביותר רשאים לקבל מה-
DPO
במגזר הציבורי מידע בנוגע לעניינים שבטיפולו. ה-
DPO
ימסור להם
אינפורמציה רק
במידה שבה הדבר לא יפגע בעצמאותו .
בהתחשב בסוג ובהיקף פעילויות העיבוד וכתלות ב( משאביםfacilities
)
של משרד ממשלתי פדרלי, ימונה
DPO
.אחד או יותר לפיקוח על תחום האחריות של כל משרד כאמורDPOs
אלה יהיו מועסקים על ידי המשרד
.הממשלתי הרלוונטי או יחידת הסמך הרלוונטית שלו
DPOs
במגזר הציבורי יחליפו ביניהם אינפורמציה באופן שוטף, ובפרט כנדרש כדי להבטיח סטנדרטים
אחידים של הגנה על מידע אישי .
הרשות האוסטרית להגנת מידע אישי פרסמה הנחיה
לגבי תפקיד חובת מינויDPO
,ותפקידיו ובה מובאים
בנקים, חברות ביטוח, מוסדות למתן אשראי וחוקרים פרטיים כדוגמאות לגופים שכפופים לחובת מינויDPO
לפי סעיף37
(
1
()
b
)
ל-
GDPR
/(בעלי שליטה מעבדים
ש פעילויות הליבה שלהם, לפי טיבן, היקפן ו/או
מטרותיהן, מצריכה ניטור שיטתי ושוטף של נושאי מידע
בהיקף גדול)
, ובתי חולים – כדוגמה לגו פים
שכפופים
לחובה זו לפי סעיף37
(
1
()
c ) ל-
GDPR
(בעלי שליטה/מעבדים שעיבוד קטגוריות מיוחדות של מידע אישי או
.)של מידע אישי על עבירות/הרשעות פליליות, בהיקף גדול, מצוי בליבת פעילותם
Austria’s Federal Act concerning the Protection of Personal Data (DSG), Article 5:
Data protection officer
§ 5. (1) Without prejudice to other obligations of confidentiality, the data protection officer and the persons working for the
data protection officer shall be bound by confidentiality when fulfilling their duties. This shall apply in particular in relation to the identity of
data subjects who applied to the data protection officer, and to circumstances that allow identification of these persons, unless the data
subject has expressly granted a release from confidentiality. The data protection officer and the persons working for the data protection
officer may exclusively use information made available to fulfil their duties and shall be bound by confidentiality even after the end of their
activities.
(2) If, during his or her activities, a data protection officer obtains knowledge of data in respect of which a person employed
with a body subject to the supervision of the data protection officer has a statutory right to refuse to give evidence, the data protection
officer and the persons working for the data protection officers shall also have such a right to the extent to which the person who has the
right to refuse to give evidence exercised that right. The files and other documents of the data protection officer are subject to a prohibition
of seizure and confiscation to the extent of the right of the data protection officer to refuse to give evidence.
(3) Public-sector data protection officers (established in a form provided by public law, in particular also as an officer of a
territorial authority) are not bound by any instructions when exercising their duties. The highest governing bodies or officers have the right
to obtain information on matters to be dealt with from a public-sector data protection officer. The data protection officer shall provide
information only insofar as the independence of the data protection officer as described in Article 38 para. 3 of the General Data Protection
Regulation is not impaired by doing so.
(4) Considering the type and scope of data processing activities and depending on the facilities of a federal ministry, one or
several data protection officers shall be appointed in the sphere of responsibilities of each federal ministry. These data protection officers
shall be employed by the relevant federal ministry or the relevant subordinate office or other entity.
(5) Public-sector data protection officers pursuant to para. 4 shall regularly exchange information, in particular with regard to
ensuring uniform data protection standards.
2
.
אירלנד
על אף שסעיף34
ל חוק הגנת המידע של אירלנד
מסמיך את שר המשפטים והשוויון להתקין תקנות
המרחיבות את החובה למנותDPO
למקרים נוספים על אלה שקבועים ב-
GDPR
, תקנות כאמור לא הותקנו
.נכון לעת כתיבת שורות אלה
בהתאם לסעיף36
(
e
()
ii
) לחוק האירי הנ"ל, מינויDPO
הוא אחת הדרכים ה אפשריות
לנקיטת
אמצעים
( מתאימים וספציפייםsuitable and specific measures
) במקרים שבהם החוק האמור מחייב זאת. באלה
נמנים מקרים שהחוק קובע כחריגים (מותרים) לאיסור הכללי על עיבוד קטגוריות מיוחדות של מידע אישי
לפי סעיף9
(
1) ל-
GDPR
ולאיסור הכללי על עיבוד מידע אישי הנוגע לעבירות או הרשעות פליליות לפי סעיף
10
ל-
GDPR
:(בקווים גסים
עיבוד
קטגוריות מיוחדות של מידע אישי בידי
נבחרי ציבור (סעיף41
); למטרות
ארכוב לטובת האינטרס הציבורי ולמחקר היסטורי, מדעי או סטטיסטי (סעיף42
); לצורך קיום חובות וזכויות
חוקיות בתחום יחסי העבודה והרווחה החברתית (סעיף46
;)
משאל עם (סעיף48
); בידי חברות ביטוח
וקרנות פנסיה (סעיף50
); רפואה תעסוקתית, מתן שירותי בריאות ורווחה (סעיף52); ע יבוד למטרות
שבאינטרס הציבורי בתחום בריאות הציבור (סעיף53
); עיבוד מידע הנוגע לעבירות או הרשעות פליליות
תחת בקרה של גוף ציבורי / בהסכמה מפורשת של נושא המידע אלא אם העיבוד אסור לפי חוק / כשהדבר
נדרש ומידתי לצורך קיום חוזה או כצעד מקדים לפי בקשת נושא המידע לצ ורך התקשרות בחוזה / לצורך
ייעוץ משפטי וליטיגציה / לשם הגנה על חייו או שלמות גופו של נושא המידע (סעיף55
); במסגרת קבלת
החלטות מבוססת עיבוד אוטומטי שמותרת או מחוייבת לפי חוק (סעיף57
)( .
3
.
איסלנד
חוק הגנת המידע של איסלנד לא קובע מצבים נוספים שבהם חלה חובה למנותDPO
מעבר לאלה המנויים
ב-
GDPR
.
ה-
DPO
כפוף לחובת סודיות בנוגע לאינפורמציה שאליה נחשף במסגרת מילוי תפקידו ושנועדה להיות
.חסויה/סודית
חובת הסודיות ואיסור הגילוי הנגזר ממנה לא יחולו
במקרה שנושא המידע הסכים לוותר על
סודיות המידע הנוגע אליו, או במקרה שגילוי המידע חיוני
למילוי תפקידיו של ה-
DPO
.
Iceland's Act No. 90/2018 on Privacy and Processing of Personal Data, Art. 36:
Article 36. - Confidentiality Obligation of Data Protection Officers.
The data protection officer is prohibited from disclosing any information obtained in the course of his or her duties that is intended to be
confidential. Furthermore, the confidentiality obligation extends to the data protection officer in accordance with Chapter X of the
Administrative Procedures Act, where applicable.
The confidentiality obligation does not apply if the data subject has given consent to waive confidentiality or when necessary for the
performance of the data protection officer's duties.
4
.
אסטוניה
חוק הגנת המידע האישי של אסטוניה לא חורג מהנוסח של ה-
GDPR
בנוגע למינוי ה -
DPO
,, מעמדו ותפקידיו
אולם הרשות המוסמכת מכוחו פרסמה
הנחיה
בנושא שכוללת
המלצות
בנוגע לכישורים ולידע הנדרשים
מאדם המתאים להתמנות כ -
DPO
, ובהם
היכרות וידע בנוגע לכל אלה :
▪
;ערכי הארגון ומטרותיו, לרבות החזון, המשימה והאסטרטגיה
▪
;התהליכים הפנימיים והעסקיים של הארגון
▪
;כללי העבודה והמדיניות של הארגון
▪
;דיני האיחוד האירופי והדינים המקומיים שחיוניים לפעילות הארגון
▪
חקיקה המסדירה באופן צר יותר את תחום
הפעילות
;של הארגון
▪
טכנולוגיות רלוונטיות והתפתחויות בתחומי טכנולוגיות מידע ותקשורת, אבטחת מידע, והשפעותיהם
;האפשריות על התהליכים בארגון
▪
עקרונות ושיטות שלdata analytics
;ופרופיילינג, כולל פסבדונימיזציה ואנונימיזציה
▪
מסגרות ושיטות לניהול סיכונים לו ;ניתוח סיכונים
▪
מקורות מידע רלוונטיים (חקיקה, פסיקה, גילויי דעת והנחיות שניתנו על ידי רשויות להגנת מידע אישי
)באיחוד האירופי ובאסטוניה ;
▪
פרטי קשר של הרשות האסטונית להגנת מידע ואם נדרש, גם אלה של רשויות מקבילות במדינות
אחרות באיחוד .
5
.
בלגיה
גוף או ארגון במגזר הפרטי
ש מעבד מידע אישי בעבור רשות ציבורית פדרלית
,[קרי, כמעבדprocessor
] ,
או
מקבל מידע אישי מרשות כאמור, ימנהDPO
אם סביר
שעיבוד המידע
האישי
י גרום לסיכון גבוה לזכויות
וחירויות של אנשים טבעיים כמתואר בסעיף35
ל -
GDPR
.
1
,[קרי, כשחלה חובה לבצע תסקירDPIA
.]
בעל השליטה במידע
][אך לא המעבד
ימנהDPO
אם סביר שעיבוד המידע האישי יגרום לסיכון גבוה לזכויות
וחירויות
אנשים טבעיים כמתואר בסעיף35
ל-
GDPR
.
חובת מינויDPO
חלה במפורש על גופים ציבוריים מסוימים שנזכרים בחוק הגנת המידע הבלגי, ובהם המרכז
לילדים נעדרים וילדים נפגעי( ניצול מיניArt. 8 para. 3
), גופים מוסמכים לענין מניעה, חקירה ו איתור
של
,עבירות פליליות, העמדה לדין וענישה בגינן
( כולל מניעת איומים לביטחון הלאומיArt. 63
), שירותי מודיעין
( וביטחוןArt. 91
( ), גופים למתן סיווג ביטחוני, הסמכות והמלצות ביטחוניותArt. 124
,)
וכן יחידת התיאום
( להערכת איומי טרורArt. 157
.)
Belgium’s Act on the protection of natural persons with regard to the processing of personal data, Articles 21 & 190:
Art. 21. In implementation of article 37.4 of the Regulation, any private body processing personal data for the account of a federal public
authority, or to which a federal public authority has transferred personal data, shall appoint a data protection officer if the processing of these
data is likely to result in a high risk as referred to in article 35 of the Regulation.
Art. 190. The controller shall designate a data protection officer if the processing of the personal data is likely to result in a high risk as referred
to in article 35 of the Regulation.
6
.
גרמניה
בעל השליטה במידע והמעבד ימנוDPO
אם הם מעסיקים בקביעות,, ככלל
לפחות20
איש העוסקים בעיבוד
.אוטומטי של מידע אישי
בעל השליטה במידע והמעבד ימנוDPO
אם הם מבצעים עיבוד שכפוף לחובה לערוךDPIA
לפי סעיף35
2
ל-
GDPR
., ללא תלות במספר האנשים שמועסקים מטעמם בעיבוד המידע
בעל השליטה במידע והמעבד ימנוDPO
אם הם מעבדים מידע אישי באופן מסחרי למטרות ,העברה [קרי
]מסירה לצד שלישי , העברה אנונימית, או לצורך מחקר שוק או דעת קהל, ללא תלות במספר האנשים
.שמועסקים מטעמם בעיבוד המידע
אם מינוי ה -
DPO
הוא מנדטורי ולתפקיד מונה עובד בארגון, פיטוריו מותרים רק בהתקיים עילה מוצדקת
לפטרו ללא שימוע. אם העובד סיים לשמש בתפקיד ה-
DPO
ועודנו עובד בארגון, הגבלה זו תחול למשך שנה
לאחר סיום תפקידו כ -
DPO
.
ה-
DPO
יהיה כפוף לחובת סודיות בנוגע לזהותם של נושאי מידע ולנסיבות שמאפשרות את זיהויים, אלא אם
.נושא המידע שחרר אותו מחובתו זו
אם, במהלך פעילותו, ה-
DPO
ייחשף למידע שלגביו יש לאדם המועסק בארגון זכות לסרב למסור עדות
מסיבות הקשורות ביחסי עבודה, זכות זו תעמוד גם ל -
DPO
ולעוזריו. המועסק שהזכות לסרב להעיד כאמור
נתונה לו יחליט אם ל ממש את הזכות האמורה , אלא אם הדבר
לא
ישים בתוך פרק זמן סביר. היכן שחלה
זכותו של ה-
DPO
לסרב ל
העיד
, קבצים ומסמכים אחרים של
ו
( יהיו כפופים לאיסור מפני תפיסהseizure
.)
Germany's Federal Data Protection Act (BDSG), Sections 6, 38:
Section 38 – Data protection officers of private bodies
(1) In addition to Article 37 (1) (b) and (c) of Regulation (EU) 2016/679, the controller and processor shall designate a data protection officer
if they constantly employ as a rule at least 20 persons dealing with the automated processing of personal data. If the controller or processor
undertake processing subject to a data protection impact assessment pursuant to Article 35 of Regulation (EU) 2016/679, or if they
1
סעיף35
ל-
GDPR
עוסק בחובה לבצעData Protection Impact Assessment
בטרם יוחל בפעילות עיבוד של מידע אישי שישנה סבירות
שתגרום לסיכון גבוה לזכויות וחירויות של אנשים טבעיים, וזאת בפרט( (ס"ק3
)
) (א) במקרה של הערכה שיטתית ונרחבת של היבטים
אישיים בהתייחס לאנשים טבעיים, המבוססת על עיבוד אוטומטי, כוללprofiling, שעל יסודו מתקבלות
החלטות שנושאות השלכות
משפטיות בנוגע לאותם אנשים או השלכות משמעותיות דומות בנוגע אליהם; (ב) במקרה של עיבוד בהיקף גדול של קטגוריות מיוחדות
של מידע אישי במובן סעיף9
(
1) ל -
GDPR
או של מידע אישי הנוגע לעבירות והרשעות פליליות במובן סעיף10
ל-
GDPR
;
(ג) במקרה של
ניטור שיטתי בהיקף גדול של אזור הנגיש לציבור. ב-
Recital 91
מובהר שסיכון גבוה כזה יחול בפרט כשהמידע האישי הוא רגיש ונעשה
שימוש בטכנולוגיה חדשה בהיקף גדול וכן סוגים אחרים של פעילויות עיבוד שמקשים על נושאי מידע לממש את זכויותיהם או מונעים
.מהם לממש זכות, להשתמש בשירות או להתקשר בחוזה
2
.שם
commercially process personal data for the purpose of transfer, of anonymized transfer or for purposes of market or opinion research, they
shall designate a data protection officer regardless of the number of persons employed in processing.
(2) Section 6 (4), (5), second sentence, and (6) shall apply, Section 6 (4) however shall apply only if designating a data protection officer is
mandatory.
Section 6 - Position [of data protection officers in public bodies]
(1) The public body shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the
protection of personal data.
(2) The public body shall support the data protection officer in performing the tasks referred to in Section 7 by providing resources necessary
to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.
(3) The public body shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. The
data protection officer shall directly report to the highest management level of the public body. The data protection officer shall not be
dismissed or penalized by the public body for performing his or her tasks.
(4) The dismissal of the data protection officer shall be permitted only by applying Section 626 of the Civil Code accordingly. The data
protection officer’s employment shall not be terminated unless there are facts which give the public body just cause to terminate without
notice. After the activity as data protection officer has ended, the data protection officer may not be terminated for a year following the end
of appointment, unless the public body has just cause to terminate without notice.
(5) Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the
exercise of their rights under Regulation (EU) 2016/679, this Act and other data protection legislation. The data protection officer shall be
bound by secrecy concerning the identity of data subjects and concerning circumstances enabling data subjects to be identified, unless they
are released from this obligation by the data subject.
(6) Where in the course of their activities data protection officers become aware of data for which the head of a public body or a person
employed by such a body has the right to refuse to give evidence for employment-related reasons, this right shall also apply to the data
protection officer and his or her assistants. The person to whom the right to refuse to give evidence applies for employment-related reasons
shall decide whether to exercise this right unless it is impossible to effect such a decision in the foreseeable future. Where the right of the
data protection officer to refuse to give evidence applies, his or her files and other documents shall not be subject to seizure.
7
.
דנמרק
:חובת סודיותDPOs
( שמונו בהתאם לפסקאות משנהb
) ו -(c
) לסעיף37
(
1
)
3 ל-
GDPR
אינם רשאים למסור
,או להשתמש לרעה, ללא הצדקה
ב
מידע שאליו נחשפו בקשר עם מילוי חובותיהם כ-
DPOs
.
Denmark's Act on supplementary provisions to the regulation on the protection of natural persons with regard to the processing of personal
data and on the free movement of such data (the Data Protection Act), Article 24:
Duty of confidentiality for data protection officers
24. Data protection officers designated under points b) and c) of Article 37(1) of the General Data Protection Regulation may not without
justification disclose or exploit data into which they have obtained insight in connection with the exercise of their duties as data protection
officers.
8
.
הולנד
חוק הגנת המידע האישי של הולנד לא קובע מצבים נוספים שמקימים חובה למנותDPO
מעבר לאלה שמנוים
ב-
GDPR
. עם זאת, קבועים בו פרטים נוספים באשר לחובת הסודיות שחלה על ה-
DPO
לפי סעיף38
(
5) ל -
GDPR, כלהלן: ה -
DPO
יהיה כפוף
ל חובת סודיות לגבי כל אינפורמציה שהוא ייחשף לה
עקב תלונה או בקשה
של נושא מידע, אלא
.אם נושא המידע הסכים לגילויה
הרשות ההולנדית להגנה על מידע אישי פרסמה
הנחיה בנוגע לתפקיד ה -
DPO
שבה
מנויים
:שמונה עקרונות
א .
ה-
DPO
.חייב להיות נגיש ובעל "נראות" בתוך הארגון שבו הוא משמש בתפקיד זה
ב .
ה-
DPO
חייב להיות מעורב, למן השלב המוקדם ביותר, על מנת לסייע לארגון לזהות, להעריך
;ולהפחית סיכונים הכרוכים בפעילויות עיבוד של מידע אישי
ג .
ה-
DPO
;חייב להיות מצויד במשאבים מספקים על מנת לבצע את תפקידיו
3
,קריDPOs
שמונו בידי
בעל השליטה במידע
או
המעבד
במקרים הבאים: (א) פעילויות הליבה של הארגון כוללת פעולות עיבוד שבשל
מהותן, היקפן ו/או מטרותיהן, כרוכות בניטור תדיר ושיטתי של נושאי מידע בהיקף גדול; (ב) פעילויות הליבה של הארגון כוללות עיבוד
בהיקף גדול של קטגוריות מיוחדות של מידע אישי במובן סעיף9
(
1) ל-
GDPR
או של מידע אישי הנוגע לעבירות והרשעות פליליות במובן
סעיף10
ל-
GDPR
.
ד .
ה-
DPO
( חייב להיות מודע לחילופי דבריםcommunications
) בין הארגון ובין הרשות להגנה על מידע
אישי ;
ה.
ה-
DPO
משמש כאיש הקשר/כתובת עבור נושאי מידע לצורך טיפול בבקשות למימוש זכויותיהם
;כנושאי מידע
ו .
ה-
DPO
;יחסה בהגנה מצד הרשות להגנה על מידע אישי במקרה שתבצע חקירה בנוגע לארגון
ז.
הרשות להגנה על מידע אישי עשויה לבקש תיעוד של דוחות וחוות דעת מה -
DPO
;
ח .
ה-
DPO
.חייב להיות עצמאי
The Netherland's General Data Protection Regulation Implementation Act 2018, Article 39:
Subsection 3.4. The Data Protection Officer
Article 39. Obligation to Observe Confidentiality
The data protection officer referred to in Articles 37 through 39 of the Regulation is required to observe confidentiality regarding anything
revealed to said data protection officer on the basis of a complaint or request by the data subject unless the data subject consents to
disclosure.
9
.
הונגריה
בתקופת מילוי תפקידו כ -
DPO
ואף לאחריה, ה-
DPO
יהיה כפוף לחובת סודיות בנוגע למידע אישי, מידע
מסווג, מידע הכפוף לחיסיון מכוח הדין ומידע הכפוף לחיסיון מקצועי, וכן בנוגע למידע, עובדות ונסיבות שבעל
השליטה במידע או המעבד שעבורו הוא משמש כ-
DPO
.אינו מחויב למסור לציבור לפי חוק
ראש הרשות להגנת מידע אישי יכנס לפי הצורך, אך לפחות אחת לשנה, את "כינוס ה-
DPOs
", שמטרתו
( לקיים קשר מקצועי שוטףregular) בין הרשות ל -
DPOs
, לגבש פרקטיקה משפטית אחידה ביישום הדינים
.הנוגעים להגנה על מידע אישי ולמסירת מידע שבאינטרס הציבורי
Hungary's Act CXII of 2011 on the Right to Informational Self-Determination and Freedom of Information, Section 16:
16. The Data Protection Officer
25/L. § (1) The data controller and the data processor shall employ a data protection officer to assist in the fulfillment of legal requirements
for the processing of personal data and the enforcement of the rights of the data subjects –
a) if the data controller or the data processor performs a state task or another public task defined by law - except for the courts – or
b) if it is prescribed by law or by a legal act of the European Union.
(2) A person can be appointed as a data protection officer if he or she has an adequate level of knowledge of the legal requirements and
practices for the protection of personal data and is capable of performing the tasks specified in § 25/M (1).
(3) The data protection officer may simultaneously perform the tasks specified in § 25/M (1) for several data controllers or data processors if
this does not endanger the proper and effective performance of his duties. The data protection officer informs the data controller or the data
processor about which other data controllers or data processors he performs data protection officer tasks for.
(4) The data controller or the data processor shall inform the Authority about the name, postal and electronic address of the data protection
officer, the changes of this data, and shall also make this data public.
(5) The data controller and the data processor shall involve the data protection officer in a timely manner in the preparation of all decisions
affecting the protection of personal data and shall ensure all conditions, rights, and resources for the data protection officer, as well as provide
access to all data and information necessary for the execution of the tasks to be performed by the data protection officer and for keeping the
professional knowledge of the data protection officer up to date.
25/M. § (1) The data protection officer shall facilitate the fulfillment of the obligations of the data controller or the data processor as defined
in the legal requirements for the processing of personal data, particularly –
a) providing up-to-date information on the legal requirements for the processing of personal data and advising on how to enforce them to
the data controller, the data processor, and the persons employed by them who perform data processing operations;
b) continuously monitoring and supervising the enforcement of the legal requirements for the processing of personal data, particularly the
laws and internal data protection and data security regulations, within this framework, the clear definition of tasks related to individual
data processing operations, expanding and raising awareness of the data protection knowledge of employees involved in data processing
operations, and the realization of regular inspections;
c) facilitating the exercise of the rights of the data subjects, particularly investigating the complaints of the data subjects and initiating the
necessary measures to remedy the complaints at the data controller or the data processor;
d) providing professional advice and monitoring the conduct of the data protection impact assessment;
e) cooperating with authorities and persons entitled to conduct procedures related to the legality of data processing, particularly
maintaining contact with the Authority to facilitate prior consultations and procedures conducted by the Authority;
f) participating in the creation of internal data protection and data security regulations.
(2) During the existence of his legal relationship and after its termination, the data protection officer shall keep confidential the personal data,
classified data, or data protected by law, or data classified as professional secrets that he or she becomes aware of in connection with his or
her activities, as well as all data, facts, or circumstances that the data controller or data processor employing him or her is not obliged to
make accessible to the public according to legal regulations.
25/N. § (1) The conference of data protection officers (hereinafter: conference) shall serve as the regular professional contact between the
Authority and the data protection officers, aiming to establish a unified legal practice in the application of laws related to the protection of
personal data and the disclosure of public interest data.
(2) The president of the Authority convenes the conference as needed, but at least once a year, and determines its agenda.
10
.
לוקסמבורג
בשים לב לטיב העיבוד, היקפו, הקשרו ומטרותיו, וכן הסיכוי להתממשותם וחומרתם של סיכונים לזכויות
וחירויות של אנשים טבעיים, בעל שליטה במידע [אך לא מעבד] שאחראי לעיבוד מידע אישי למטרות מחקר
מדעי או היסטורי או למטרות סטטיסטיות, חייב להטמיע אמצעים מתאימים נוספים מבין רשימת האמצעים
המנוי
ים
בסעיף65
לחוק הגנת המידע הלוקסמבורגי, ובהם מינויDPO
. לבעל השליטה במידע נתון שיקול
,דעת לקבוע אילו מבין האמצעים המנויים ברשימה מתאימים במקרה המסוים, אך מחובתו לתעד ולהצדיק
עבור כל פרויקט למטרות מחקר מדעי או היסטורי או למטרות סטטיסטיות שתחת אחריותו, מדוע לא נקט
.באחד או יותר מהאמצעים המנויים ברשימה
על אף האיסור הכללי בסעיף9
(
1) ל-
GDPR
,על עיבוד קטגוריות מיוחדות של מידע אישי עיבוד
מידע כזה
למטרות המנויות ב חריג סעיף9
(
2
()
j) ל -
GDPR
יהיה מותר(
עיבוד הכפוף לחובת סודיות מקצועית,
שנדרש
למטרות רפואה תעסוקתית או מונעת, מתן טיפול רפואי או שירותי רווחה או ניהול מערכות ושירותי בריאות
ורווחה, והכל לפי חוק), אם בעל השליטה במידע מקיים את דרישות סעיף65
הנ"ל (קרי, נוקט באמצעים
הנוספים המתאימים המנויים שם, לרבות מינויDPO, אלא אם יש
לו
.)הצדקה מתועדת להימנעות מכך
Luxembourg's Act of 1 August 2018 on the Organisation of the National Commission for Data Protection and Implementing the GDPR, Articles
64-65:
Chapter 2 – Processing for the purposes of scientific or historical research or statistical purposes
Art. 64. The processing of special categories of personal data as defined in Article 9, paragraph 1 of Regulation (EU) 2016/679, may be carried
out for the purposes referred to in Article 9 paragraph 2, point j) of this same regulation, if the controller meets the requirements set out in
Article 65.
Art. 65. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for
the rights and freedoms of natural persons, the controller of processing carried out for scientific or historical research purposes or statistical
purposes, must implement the following additional appropriate measures:
1. the appointment of a data protection officer;
2. the performance of an impact assessment of the planned processing activities on the protection of personal data;
3. the anonymisation and pseudonymisation as defined in Article 4, paragraph 5 of Regulation (EU) 2016/679, or other operational
separation measures guaranteeing that the data collected for scientific or historical research purposes or statistical purposes, cannot
be used to adopt decisions or take actions concerning data subjects;
4. the use of a trusted third party, operationally independent from the controller, for the anonymisation or pseudonymisation of the
data;
5. the encryption of personal data in transit and at rest, as well as state of the art key management;
6. the use of technology reinforcing the protection of the private lives of data subjects;
7. the use of access restrictions to personal data within the controller;
8. the use of a log file enabling the reason, date and time that data is consulted and the identity of the person collecting, modifying or
deleting personal data to be retraced;
9. promoting the awareness of the staff involved about the processing of personal data and professional secrecy;
10. the regular evaluation of the effectiveness of the technical and organisational measures implemented through an independent audit;
11. the prior drawing up of a data management plan;
12. the adoption of the sector specific codes of conduct as set out in Article 40 of Regulation (EU) 2016/679, approved by the European
Commission pursuant to Article 40, paragraph 9 of Regulation (EU) 2016/679.
For each project for scientific or historical research purposes or statistical purposes, the controller must document and justify any exclusion
of one or several of the measures listed in this article.
11
.
לטביה
חוק הגנת המידע האישי של לטביה לא קובע מצבים נוספים שמקימים חובה למנותDPO
מעבר לאלה שמנוים
ב-
GDPR
.
החוק הנ"ל מסמיך את הממשלה לקבוע כללים להפעלת מנגנון הסמכה ל-
DPOs
,, כולל תנאי סף, השכלה
כשירות
ומבחנים, ומסמיך את הרשות להגנת מידע להפעיל מנגנון זה וכן לנהל מרשם של מי שהוסמכו כ -
DPOs
באמצעות ו . עם זאת, בהתאם לסעיף17
לחוק זה, בעלי שליטה במידע ומעבדים רשאים למנות כ -
DPO
כל אדם שמתקיימות לגביו הדרישות ותנאי הכשירות לפי
ה-
GDPR
, אף אם לא קיבל הסמכה כאמור.
הרשות הלטבית להגנת מידע אישי פרסמה
הנחיה
בדבר
תפקידיו של ה -
DPO
,
הכוללת רשימה של דרישות
השכלה, ניסיון מקצועי, כישורים ו מיומנויות
:עבור הממונה לתפקיד
א .
( השכלה גבוהה במשפט חברתיsocial law) וטכנולוגיות מידע (
כתלות בהקשר המסוים שבו פועל
הארגון הממנה אותו לתפקיד , לרבות פעילותו העסקית של הארגון ופעילויות עיבוד המידע
הנלוות ;)
ב .
הסמכה רשמית כ -
DPO
;)מטעם המנגנון שמפעילה הרשות (המלצה שאינה בגדר חובה
ג .
;ניסיון בעבודה בתחום ההגנה על מידע אישי
ד .
ידע בתחום ההגנה על מידע אישי וכן בנושאים אחרים שבתחומי אחריות ה -
DPO
;
ה.
ניסיון בפיתוח מסמכי מדיניות פנימיים ומסמכים נוספים שמצויים בתחום אחריות ה -
DPO
; יכולת
לפתח מסמכי מדיניות פנימיים ומסמכים אחרי ם
בתחום ההגנה על מידע אישי, לנתח אינפורמציה
ו כן ;לספק אינפורמציה במהירות בנושאים שבתחום אחריותו
ו .
חשיבה אנליטית, יכולת לתכנן ולארגן את עבודתו באופן עצמאי, לקבל החלטות ולקבל אחריות, וכן
;להבטיח שיתוף פעולה מוצלח עם מחלקות וצוותים אחרים בארגון, ארגונים אחרים ומוסדות מדינה
ז.
יכולת לי י עץ לעובדים בארגון
;ולספק להם אינפורמציה במהירות בנושאים שבתחום אחריותו
ח .
.מיומנויות עבודה בסביבה ממוחשבת ועם טכנולוגיה זמינה ומקורות מידע פומביים
תקנות ש
התקינה
ממשלת לטביה בדבר הכללים להסמכתDPOs
(
Cabinet Regulation No 620
)
,קובעות
בין היתר, את תוכן
מבחן ההסמכה ל -
DPOs
, שיבחן את הידע :והכישורים של המועמדים בתחומים הבאים
א .
היסודות התיאורטיים והמשפטיים של ה-
GDPR
ו של :חוק הגנת המידע האישי של לטביה, ובפרט
▪
;מושגי יסוד בהגנת מידע אישי
▪
התחולה הטריטוריאלית והמהותית של ה-
GDPR
;
▪
;עקרונות היסוד לעיבוד מידע אישי
▪
ה בסיסים
ה ;חוקיים לעיבוד מידע אישי
▪
;זכויות נושאי מידע והחובה ליידע אותם
▪
( בעל שליטה במידע ומעבד, וכן הדרישות לציות בתחום ההגנה על מידע אישיpersonal data
protection compliance
;)
▪
העברת מידע אישי למדינות מחוץ לאיחוד האירופי וארגונים בין -
;לאומיים
▪
הרשות המפקחת להגנת מידע אישי ומנגנון התיאום/עקביות בין הרשויות המקבילות באיחוד
(סעיפים63-65
ל-
GDPR
;)
▪
.סעדים משפטיים
ב .
:אחריות בעל השליטה במידע ואבטחת מידע
▪
;פתרונות טכניים לעיבוד מידע אישי
▪
;מערכת לתחזוקת אבטחת מידע וניהולה
▪
( ניתוח, ניהול ובקרתaudit
)
;סיכונים הכרוכים בעיבוד מידע אישי
▪
;השפעת טכנולוגיות חדשניות על היבטים של הגנת מידע אישי וביצוע הערכה של השפעה זו
▪
;הפרות בתחום ההגנה על מידע אישי
▪
הנדסת פרטיות והגנת מידע כברירת מחדל (
data protection by design and by default
.)
ג .
המסגרת המשפטית והפסיקה :בנוגע להגנת מידע אישי
▪
חקיקה מגזרית הנוגעת להגנת מידע אישי והאינטארקציה בינה ובין הוראות ה-
GDPR
;
▪
חקיקה של האיחוד האירופי, אמנות וכלים אחרים של המשפט הבין -
לאומי והשפעתם על
;המסגרת המשפטית של לטביה
▪
.פסיקה בתחום ההגנה על מידע אישי
,לפי התקנות הנ"ל ההסמכה תקפה לשלוש שנים, וחידושה מותנה בכך שבמהלך שלוש השנים שחלפו צבר
ה-
DPO
המוסמך לפחות36
שעות אקדמיות כמנחה או כמשתתף בהכשרות והשתלמויות בתחום ההגנה על
מידע אישי (לפחות18
שעות) או בתחום אחר הקשור במילוי תפקידי ה -
DPO
.
Latvia’s Personal Data Processing Law of 21 June 2018, Sections 4, 17-20:
Chapter II - Tasks and Status of the Data State Inspectorate
Section 4. Tasks of the Inspectorate
(1) The Inspectorate shall carry out the tasks specified in Article 57 of the Data Regulation, as well as the following tasks:
(...)
4) ensure qualification check of data protection officers and maintain a list of the data protection officers who have passed the
qualification examination;
Chapter V - Data Protection Officer
Section 17. Requirements for the Data Protection Officer
Duties of the data protection officer may be performed by a person who complies with the criteria specified in Article 37(5) of the Data
Regulation. The controller or processor may appoint a person who, in accordance with the procedures laid down in this Law, has been included
in the list of data protection officers of the Inspectorate, or another person as the data protection officer.
Section 18. List of Data Protection Officers
(1) For the purpose of identifying data protection officers who have passed the qualification examination and ensuring that information
regarding data protection officers is accessible, the Inspectorate shall compile a list of data protection officers. The list of data protection
officers shall only include the persons who have passed the qualification examination.
(2) The list of data protection officers shall include the following data on the person:
1) the given name, surname, and personal identity number;
2) the date when the person was included in the list of data protection officers;
3) electronic mail address.
(3) A data protection officer shall immediately notify the Inspectorate in writing of any established errors and amendments to the data
included in the list of data protection officers with regard to him or her.
(4) The list of data protection officers (except for personal identity number) is publicly available on the website of the Inspectorate.
(5) The Cabinet shall lay down the procedures for maintaining the list of data protection officers.
Section 19. Qualification Examination of Data Protection Officer
(1) Qualification examination of data protection officer shall be organized by the Inspectorate.
(2) If a person passes the qualification examination of data protection officer, the Director of the Inspectorate shall take a decision to include
him or her in the list of data protection officers.
(3) The Cabinet shall determine the procedures for applying of applicants, the content and course of the qualification examination, the
procedures for evaluation thereof, the fee for taking of the qualification examination, and the procedures for collecting it, as well as the
requirements for maintenance of professional qualification.
Section 20. Exclusion from the List of Data Protection Officers
(1) A data protection officer shall be excluded from the list of data protection officers under a decision by the Director of the Inspectorate in
the following cases:
1) he or she has submitted a respective written request to the Inspectorate;
2) the court has established trusteeship over him or her;
3) he or she has been deprived of the right to work as a data protection officer by a court judgement or other restrictions have been
determined that prevent the performance of professional duties;
4) he or she is dead or declared missing;
5) he or she has failed to comply with the requirements for the maintenance of professional qualification specified in the Cabinet
regulations.
(2) A person who has been excluded from the list of data protection officers in accordance with Paragraph one, Clause 1, 2 or 3 of this Section
may request to renew him or her in the list, and the Inspectorate re-includes him or her in the list of data inspection officers if the reasons
for which the person was excluded from the list have been eliminated. Such person shall take the qualification examination of data protection
officer if at least two years have passed since the day he or she was excluded from the list of data protection officers.
12
.
ליכטנשטיין
בנוסף לגופים ציבוריים
כהגדרתם בחוק הגנת המידע של ליכטנשטיין , חייבים במינויDPO
גם ,אנשים
עמותות, חברות וארגונים שהוקמו במסגרת המשפט הפרטי,, אינם עוסקים בפעילות מסחרית
ומבצעים
משימות שהוטלו עליהם
לטובת האינטרס הציבורי .
בהתאם לסעיף21
(
2
()
d
) לחוק הנ"ל, מינויDPO
הוא אחת הדרכים ה אפשריות
לנקיטת אמצעים מתאימים
( וספציפייםappropriate and specific measures
) להגנת האינטרסים של נושאי המידע -
בשים לב לטיב
העיבוד, היקפו, הקשרו ומטרותיו, וכן הסיכוי להתממשותם וחומרתם של סיכונים לזכויות וחירויות של אנשים
טבעיים –
אשר נדרשים במקרים שהחוק קובע כחריגים (מותרים) לאיסור הכללי על עיבוד קטגוריות מיוחדות
של מידע אישי לפי סעיף9
(
1
) ל-
GDPR
:. (בקווים גסים
מידע אישי שנדרש לצורך )(א מימוש זכויות הנובעות
מהזכות לביטחון סוציאלי והגנה חברתית ועמידה בחובות הקשורות בכך ); (ב
רפואה תעסוקתית ומונעת
ומתן שירותי בריאות ורווחה בכפוף לחובת סודיות מקצועית ;
)(ג הגשמת אינטרס ציבורי בתחום בריאות
הציבור, כגון הגנה מפני התפשט ות מגפות והבטחת איכות ובטיחות של טיפולים, תרופות ומכשירים
רפואיים ).
סעיף38
(
1
) לחוק הנ"ל קובע שאם מינויו שלDPO
בגוף לא ציבורי הוא מנדטורי, הארגון רשאי לפטר אותו
.רק בהתקיים עילה מוצדקת לפיטורים ללא שימוע
החוק הנ"ל קובע במפורש שגם במגזר הציבורי, גוף ציבורי רשאי למנות כ -
DPO
אדם שאינו עובד של
הגוף ,
על בסיס הסכם למתן שירותים . כן נקבע שניתן למנותDPO
אחד למספר גופים ציבוריים, בהתחשב בגודלם
.ובמבנה הארגוני שלהם
ה-
DPO
.במגזר הציבורי ידווח ישירות לראש הגוף הציבורי הרלוונטי הגוף הציבורי יבטיח שה -
DPO
לא יקבל
הוראות בנוגע לאופן מילוי תפקידיו .
נושאי מידע רשאים לפנות ל -
DPO
במגזר הציבורי בכל שאלה הקשורה בעיבוד המידע האישי הנוגע אליהם
בו מימוש זכויותיהם לפי ה-
GDPR
., חוק הגנת המידע של ליכטנטשיין וחוקים אחרים הנוגעים להגנת מידע
ה-
DPO
)(בגופים ציבוריים ולא ציבוריים כאחד כפוף לחובת סודיות סטטטוטורית שחלה על זהותם של נושאי
מידע ו על .נסיבות שמאפשרות את זיהויים, אלא אם נושא המידע שחרר אותם מחובה זו
במקרה שה -
DPO
במגזר הציבורי ייחשף למידע שלגביו לראש הגוף הציבורי הרלוונטי או לכל מועסק אחר
בו יש זכות לסרב למסור עדות מסיבות הקשורות ביחסי עבודה, הזכות לסרב למסור עדות תעמוד גם ל -
DPO
ולאנשים שפועלים מטעמו. המועסק שהזכות לסרב להעיד כאמור נתונה לו יחליט אם לממש את הזכות
האמורה, אלא אם הדבר לא ישים בתוך פרק זמן סביר. היכן שחלה זכותו של ה -
DPO
לסרב להעיד, קבצים
( ומסמכים אחרים שלו יהיו כפופים לאיסור מפני תפיסהseizure
.)
במקרה ש-
DPO
בארגון לא ציבורי ייחשף למידע שלגביו לבעל השליטה במידע או למעבד יש זכות לסרב
למסור עדות, הזכות לסרב למסור עדות תעמוד גם ל -
DPO
ולאנשים הפועלים מטעמו. האדם בארגון ש לו
.נתונה הזכות לסרב להעיד יחליט אם לממש את הזכות, אלא אם הדבר לא ישים בתוך פרק זמן סביר היכן
שחלה זכותו של ה -
DPO
.לסרב להעיד, קבצים ומסמכים אחרים שלו יהיו כפופים לאיסור מפני תפיסה
סעיף17
לחוק הנ"ל קובע שהרשות להגנת מידע אישי של ליכטנשטיין תייעץ ל -
DPOs
ותתמוך בהם בהתחשב
בצרכים הטיפוסיים שלהם, ומסמיך אותה לדרוש את פיטוריו שלDPO
במקרה שאין הוא מחזיק בידע
ובמומחיות הנדרשים למילוי תפקידיו או כשישנו ניגוד עניינים חמור במובן סעיף38
(
6
) ל-
GDPR
.
Liechtenstein's Data Protection Act (DSG), Articles 6, 7, 17, 21, 38:
A. Purpose, Scope and Terminology
Article 3 - Definitions
1) For the purpose of this Act:
a) "public bodies" means:
1. organs of the state, municipalities, corporations, foundations and public-law institutions;
2. non-public bodies as far as they carry out tasks in the public interest conferred upon them;
b) "non-public bodies" means:
1. natural and legal persons, societies and other associations established under private law unless they are covered by lett. a (2).
2. Public bodies pursuant to lett. a (1) if they operate commercially.
2) The terms used in this Act to refer to persons and functions are understood as applying to both male and female.
C. Data Protection Officers of public bodies
Article 6 - Designation
1) Public bodies shall designate a data protection officer. This shall apply likewise to public bodies as defined in Article 3 paragraph 1 lett. b
no. 2.
2) A single data protection officer may be designated for several public bodies, taking into account their organizational structure and size.
3) The data protection officer shall be designated on the basis of his or her professional qualifications and, in particular, expert knowledge of
data protection law and practice and the ability to fulfill the tasks referred to in Article 8.
4) The data protection officer may be an employee of the public body or act on the basis of a service agreement.
5) The public body shall publish the contact details of the data protection officer and also notify these details to the Data Protection Authority.
Article 7 - Position
(...)
3) The public body shall ensure that the data protection officer does not receive instructions on how to fulfill his or her tasks. The data
protection officer reports directly to the head of the respective public body. The data protection officer shall not be dismissed or
disadvantaged by the public body for performing his or her tasks.
4) The dismissal of the data protection officer is subject to Article 24 of the Civil Servants Act.
5) Data subjects may seek advice from the data protection officer regarding any questions related to the processing of their personal data
and the exercise of their rights pursuant to Regulation (EU) 2016/679, this Act as well as other laws regarding data protection. The data
protection officer is bound by law to maintain confidentiality about the identity of the data subject as well as all circumstances enabling
data subjects to be identified, unless he or she is released from this obligation by the data subject.
6) If the data protection officer gains knowledge about data for which the head of a public body or any person employed by this body has the
right to refuse to give evidence for employment-related reasons, this right shall also apply to the data protection officer and his or her staff
members. The person to whom the right to refuse to give evidence applies for employment-related reasons shall decide whether to
exercise this right unless it is impossible to effect such a decision in the foreseeable future. Where the right of the data protection officer
to refuse to give evidence applies, his or her files and other documents shall not be subject to seizure.
D. Data Protection Authority
Article 17 - Powers
(...)
6) The Data Protection Authority advises and provides support to data protection officers and takes into consideration their typical needs.
The Data Protection Authority may demand the dismissal of a data protection officer if he or she does not have the expert knowledge
needed to perform his or her tasks or if there is a serious conflict of interests as referred to in Article 38 (6) of Regulation (EU) 2016/679.
II. Implementing provisions for purposes in accordance with Article 2 of Regulation (EU) 2016/679
A. Legal basis for processing personal data
1. Processing of special categories of personal data and processing for other purposes
Article 21 – Processing of special categories of personal data
1) By derogation from Article 9 (1) of Regulation (EU) 2016/679, the processing of special categories of personal data pursuant to Article 9 (1)
of Regulation (EU) 2016/679 shall be permitted:
a) by public and non-public bodies:
1. if processing is necessary to exercise the rights derived from the right of social security and social protection and to comply with the
related obligations;
2. if processing is necessary for the purposes of preventive medicine, for the assessment of the working capacity of the employee, medical
diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services or
pursuant to a data subject’s contract with a health professional or other persons subject to the obligation of professional secrecy or
under their supervision; or;
3. if processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border
threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices; in
addition to the measures set forth in paragraph 2, in particular occupational and criminal law provisions to ensure professional secrecy
shall be complied with;
b) by public bodies: (…)
2) In the cases of paragraph 1, appropriate and specific measures shall be taken to safeguard the interests of the data subject. Taking into
account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of
varying likelihood and severity for rights and freedoms of natural persons posed by the processing, these measures may include in
particular the following:
a) technical organizational measures to ensure that processing complies with Regulation (EU) 2016/679;
b) measures to ensure that it is subsequently possible to verify and establish whether and by whom personal data were input, altered or
removed;
c) measures to increase awareness of staff involved in processing operations;
d) designation of a data protection officer;
e) limiting access to personal data within the controller’s or processor’s competence;
f) pseudonymisation of personal data;
g) encryption of personal data;
h) measures to ensure the ability, confidentiality, integrity, availability and resilience of systems and services related to the processing of
personal data, including the ability to rapidly restore availability and access in the event of a physical or technical incident;
i) a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the
security of the processing; or
k) specific rules of procedures which ensure the compliance with this Act as well as Regulation (EU) 2016/679 in case of a transfer or
processing for other purposes.
C. Obligations of controllers and processors
Article 38 - Data protection officers of non-public bodies
1) If the designation of a data protection officer by private bodies is mandatory, the dismissal of the data protection officer is only permissible
if the conditions on the termination without notice for cause pursuant to § 1173a Article 53 ABGB are met.
2) The data protection officer shall be bound by professional secrecy regarding the identity of the data subject as well as any circumstances
that allow to draw conclusions to the data subject as long as the data subject does not consent to the disclosure of information.
3) Where in the course of their activities data protection officers become aware of data for which the controller or the processor has the right
to refuse to give evidence, this right shall also apply to the data protection officer and his or her assistants. The person to whom the right
to refuse to give evidence applies, shall decide whether to exercise this right unless it is impossible to effect such a decision in the
foreseeable future. Where the right of the data protection officer to refuse to give evidence applies, his or her files and other documents
shall not be subject to seizure.
13
.
מלטה
סעיף33
לחוק הגנת המידע של מלטה מסמיך את שר המשפטים להתקין, בהתייעצות עם הרשות להגנת
מידע, תקנות בנושאים שונים, ובהן מקרים נוספים שבהם תחול חובת מינויDPO
בנוסף למקרים המנויים ב -
GDPR. תקנות
.כאמור לא הותקנו נכון לעת כתיבת שורות אלה
עם זאת, ב הנחיה משותפת של הרשות להגנת מידע והתאחדות הבנקאים של מלטה נקבע ש בנקים
חייבים
למנותDPO
כיוון שמתקיימים לגביהם תנאי סעיף37
(
1
()
b) ל -
GDPR
(
קרי, כיוון שליבת פעילותם העסקית
,כרוכה בפעילויות עיבוד שלפי טיבן, היקפן ו/או מטרותיהן, מצריכות ניטור שיטתי ותדיר של נושאי מידע
בהיקף .)גדול
בדומה לכך
, ב הנחיה משותפת של הרשות להגנת מידע ורשות ההימורים והגיימינג של מלטה
נקבע
ש
ארגו נים המפעיל ים
שירות משחקי הימורים במתכונתB2C
(קרי, שירות המוצע למשתמשים שהם אנשים
)פרטיים, להבדיל מארגונים חייב
ים
למנותDPO
כיוון שניטור שיטתי של נושאי מידע בהיקף גדול מצוי בליבת
.פעילותם ההנחיה מדגישה שסביר מאוד
שחובת מינויDPO
( תחול גם על ארגונים קשוריםaffiliates
)
שמנתבים אל שירותי המפעיל
משתמשים ו/או מעבדים מידע אישי לגבי הם אלה
ו לצ רכי שיווק ופרסום, בין
כבעלי שליטה במידע ובין כ
מעבדים מטעם המפעיל ו
ב .עבורו כן נקבע שם שארגונים המפעילים שירות
משחקי הימורים במתכונתB2B
(קרי, שירות המוצע לארגונים) לא חייבים במינויDPO
אם ניטור שיטתי של
.נושאי מידע בהיקף גדול לא מצוי בליבת פעילותם, אך הם רשאים לעשות כן על בסיס וולונטרי במקרה
שמונהDPO
בארגונים כנ"ל , ההנחיה קובעת שאת האיסור על ניגוד עניינים יש לפרש כך שהמשמש בתפקיד
זה לא ישמש בד בבד כ ( קצין הדיווח על הלבנת הוןMLRO
.) בארגון, מנהל כוח אדם או אנליסט שיווק
Malta's Data Protection Act (Act XX 2018), Art. 33:
Art. 33 - Power to Make Regulations
The Minister may, after consultation with the Commissioner, prescribe regulations for the better carrying out of the provisions of this Act and
the Regulation, and without prejudice to the generality of the foregoing and the provisions of the Regulation, may in particular prescribe
regulations concerning:
(...)
(f) the cases, other than those referred to in Article 37(1) of the Regulation, where the controller or processor or associations and other
bodies representing categories of controllers or processors shall designate a data protection officer;
14
.
סלובניה
בעלי שליטה במידע ומעבדים ימנוDPO
בכל המקרים הבאים: (א) אם הם מעבדים מידע אישי לפי חוק
בתחומי
מינהל
ה( פניםinternal administrative affairs
), מינהל פיננסי, אזרחות, סוכנות המודיעין והביטחון
( הסלובנית, ביטחון לאומיdefense
,), שירותי בריאות, ביטוח בריאות חובה, מימוש זכויות מקרנות ציבוריות
)ומרשם עבירות פליליות ומינהליות; (ב אם הם מעבדים מידע אישי של יותר מ-
100,000
נושאי מידע לפי
חוק, למעט במסגרת מעקב מצולם ; (ג) אם הם מעבדים קטגוריות מיוחדות של מידע אישי בהיקף גדול
במסגרת פעילות הליבה שלהם; (ד) אם הם מעבדים קטגו
ריות מיוחדות של מידע אישי של יותר מ-
10,000
.נושאי מידע
בנוסף לתנאי הכשירות הקבועים ב-
GDPR, חוק הגנת המידע הסלובני קובע של -
DPO
ימונה רק
אדם
שכשיר
משפטית לשמש בתפקיד ,
שלא נגזר עליו עונש מאסר של6
חודשי מאסר לפחות (בגין כל עבירה) ו
ש אין
נגדו הרשעה חלוטה
בעבירה פלילית בגין שימוש לרעה(
misuse
)
.במידע אישי
לתפקידDPO
ברשות מרשויות המדינה ימונה רק עובד מדינה. בגופי המגזר הציבורי שאינם רשויות מדינה
ניתן למנותDPO
שאינו עובד המגזר הציבורי אם מינוי כאמור אינו אפשרי
. במקרה האחרון ו כן בארגוני המגזר
הפרטי, ניתן למנות
כ-
DPO
עובד של הארגון או אדם חיצוני לו על בסיס הסכם בכתב למתן שירותים .
במגזר הציבורי והפרטי כאחד, ה-
DPO
ייחשב למצוי בניגוד עניינים אם בנוסף לתפקיד ה-
DPO
, ישמש כמנהל
מערכות
ה מידע או מנהל אבטחת
ה מידע
בארגון , יכהן במשרה ניהולית בו, יהיה חבר
ב הנהלה או בגופי
פיקוח וביקורת אחרים, או ייצג את הארגון בהליכים .שיפוטיים והליכי בוררות בסוגיות של הגנת מידע אישי
ה-
DPO
וסגנו כפופים לחובת סודיות החלה על המידע האישי שייחשפו לו במהלך מילוי תפקידם, וחובה זו
תוסיף לחול אף לאחר סיום תפקידם. ה -
DPO
וסגנו יהיו רשאים להשתמש במידע כאמור אך ורק לצורך מילוי
תפקידי ה-
DPO
.
Slovenia's Personal Data Protection Act 2022 (ZVOP-2), Articles 23, 45-50:
Article 23 (security of personal data in the field of special processing)
(1) For information systems in which:
1. Personal data processing is performed as specified in the laws governing the fields of internal administrative affairs, financial
administration, citizenship, the Slovenian Intelligence and Security Agency, defense, health care, compulsory health insurance, the
exercise of rights from public funds, and criminal and misdemeanor offense records, or
2. The personal data of more than 100,000 individuals are processed on the basis of the law, with the exception of the processing of personal
data from Chapter 3 of Part 2 of this Act [video surveillance], or
3. The controller or processor carries out processing of special categories on a large scale as its core activity, or
4. Special categories of personal data of more than 10,000 individuals are processed,
the provisions on security requirements and incident notification from the law governing information security, which relate to providers of
essential services, shall apply mutatis mutandis, unless the controller is required to implement measures information security for these
processing activities.
(...)
(4) Personal data referred to in point 1 of the first paragraph of this article may not be stored outside the territory of the Republic of Slovenia.
Article 45 (Obligation to Appoint a Data Protection Officer)
(1) Controllers and processors shall appoint a data protection officer in accordance with the first paragraph of Article 37 of the General
Regulation and all controllers and processors in the public sector, as well as controllers and processors processing personal data referred
to in points 1 to 4 of the first paragraph of Article 23 of this Act.
(2) Notwithstanding the provisions of the previous paragraph, other controllers or processors may voluntarily appoint a data protection
officer.
(3) Each controller or processor may also appoint a deputy data protection officer. The data protection officer authorizes their deputy to
perform tasks assigned by the authorization of the data protection officer.
(4) The controller or processor shall, within eight days of appointing a data protection officer, enter their contact details in accordance with
Article 30 of the General Regulation in their record of processing activities and publicly announce their contact for the purpose of
cooperating with data subjects in an appropriate manner, especially on websites. Within the same period, the contact details of the data
protection officer and any deputy (personal name, job title of the data protection officer, name of the controller or processor, telephone
number, email address of the data protection officer) shall be communicated to the supervisory authority, which includes them on a list
of data protection officers for the purpose of cooperation between the supervisory authority and data protection officers. The list is not
accessible to the public.
Article 46 (Conditions for the Appointment of a Data Protection Officer)
(1) An individual who meets the following conditions may be appointed as a data protection officer for the controller or processor and their
deputy:
1. is legally competent,
2. has knowledge or practical experience in the field of personal data protection, and
3. has not been sentenced to a minimum term of six months imprisonment or has not been the subject of a final conviction for a criminal
offense relating to the misuse of personal data.
(2) In addition to the conditions from the previous paragraph, a data protection officer of a state authority must also meet the condition of
being employed in the public sector.
(3) Controllers or processors in the public sector, except for state authorities, may appoint another data protection officer if it is not possible
to appoint one within the public sector entity. In the case mentioned in the previous sentence, the data protection officer may be the
one appointed for other public sector controllers or processors, or a written contract can be made to appoint an individual or legal entity
from the private sector in accordance with the fourth paragraph of this Article.
(4) Controllers or processors in the private sector may appoint a DPO who is employed by them, or they may appoint another individual or
legal entity through a written contract. In the contract with a legal entity, the individual responsible for the work of the legal entity as
the data protection officer shall be specified, and their contact details shall be published in accordance with the fourth paragraph of the
previous Article. The individual from the previous sentence must meet the conditions from the first paragraph of this Article.
(5) A person who is in a conflict of interest with the controller and processor, or whose work as a data protection officer is in conflict with
their other tasks or position at the controller and processor, cannot be appointed as a DPO or their deputy.
(6) In the public sector, in accordance with the previous paragraph, a person is considered to be in a conflict of interest if they are designated
as an information systems manager, information systems administrator, head of information security, hold a managerial position in the
public sector entity, are a member of the management or supervisory bodies at the controller or processor, if their other tasks include
systematic decision-making on the processing of personal data at the controller or processor, or if they represent the controller or
processor in judicial or arbitration proceedings related to data protection issues. If the data protection officer becomes aware of
circumstances that constitute or could constitute a conflict of interest, they must immediately inform the controller or processor in
writing. In such a case, the controller or processor shall resolve the conflict or relieve the data protection officer from performing the
specified tasks as a data protection officer or from their position at the controller or processor. The provisions of this paragraph shall
apply mutatis mutandis to the private sector.
Article 47 (Joint Appointment of a Data Protection Officer and Appointment of a Trade Union Data Protection Officer)
(1) Multiple controllers or processors may independently appoint a joint data protection officer and their deputy, taking into account their
organizational structure, size, or diversity of personal data processing.
(2) Lawyers and law firms may, in agreement with the Slovenian Bar Association, appoint a joint data protection officer.
(3) Notaries may, in agreement with the Slovenian Chamber of Notaries, appoint a joint data protection officer.
(4) A representative union or confederation of trade unions may appoint a joint data protection officer and their deputy regarding the
processing of personal data for trade unions that are its members and that provide written consent to such an appointment.
(5) A trade union, which is representative in an industry, activity, or profession, may appoint a joint data protection officer and their deputy
for its organizational forms of operation at individual employers concerning the processing of personal data of union members.
(6) In the case of the joint appointment of a data protection officer from the previous paragraph, the trade union at the employer is obliged
to assist in ensuring the legality of personal data handling and to follow the instructions of the joint data protection officer from the
previous paragraph. For this purpose, the trade union at the employer may authorize a person, who must not be from the public sector
unless it is a trade union at an employer in the public sector.
(7) When a trade union cannot use the options for appointing a data protection officer due to organizational or technical reasons as per the
provisions of the fourth and fifth paragraphs of this Article, the president of the trade union may decide that the union trustee or the
president of the trade union themselves perform the tasks of the data protection officer.
Article 48 (Tasks of the Data Protection Officer)
(1) The data protection officer shall perform the tasks from Article 39 of the General Regulation independently and, in particular, advise on
risk assessments regarding the security of personal data in relation to all personal data processing in the collections conducted by the
controller or processor to which they are appointed.
(2) The data protection officer of a court or the Constitutional Court of the Republic of Slovenia must not perform the tasks from the previous
paragraph concerning the processing of personal data in specific cases of the courts or cases of the Constitutional Court when the
Constitutional Court is dealing with court matters.
Article 49 (Appointment of Data Protection Officers and Their Tasks in Certain State Authorities)
(1) The Supreme Court of the Republic of Slovenia shall appoint a data protection officer who performs tasks in accordance with the first
paragraph of the previous article for all general jurisdiction courts and specialized courts in the Republic of Slovenia.
(2) The Supreme State Prosecutor's Office of the Republic of Slovenia shall appoint a data protection officer who performs tasks in accordance
with the first paragraph of the previous article for all state prosecutor's offices in the Republic of Slovenia and the State Prosecutorial
Council.
(3) Each minister shall appoint a data protection officer who is employed at that ministry, and in the case of a ministry without a portfolio,
at the minister's body or office. If a body within a ministry is established, the head of that body appoints a civil servant employed in the
body or at the ministry as the data protection officer for that body.
(4) The head of the national security authority shall appoint a data protection officer and their deputy within the authority. The data
protection officer of this authority shall perform those tasks from Article 39 of the General Regulation as designated by the head, but
must perform tasks related to ensuring the security of personal data, providing personal data to the Government of the Republic of
Slovenia, the President of the Republic of Slovenia, the police, state prosecutors, courts, the competent working body of the National
Assembly of the Republic of Slovenia, and other entities, as well as tasks related to cross-border processing and transfers of personal
data.
(5) The Ministry responsible for public administration shall appoint the data protection officer or a joint data protection officer for multiple
administrative units. By agreement with the ministry, administrative units can also appoint data protection officers. The data protection
officer of an administrative unit must be employed at the ministry responsible for public administration or in the administrative unit.
Article 50 (Duty to Protect the Confidentiality of Personal Data)
The data protection officer and their deputy are bound to protect the confidentiality of the personal data processed during and after the
completion of their work. The information obtained may only be used for performing the tasks of the data protection officer.
15
.
ספרד
בעלי שליטה במידע ומעבדים ימנוDPO
ב
כל ה מקרים ה קבועים
בסעיף37
(
1) ל -
GDPR
, ובכל מקרה, כאשר
:הם נמנים עם הגופים הבאים
א .
;איגודים מקצועיים והמועצות הכלליות שלהם
ב .
מוסדות חינוך והשכלה בכל רמה שקבועה בחקיקה המסדירה את הזכות לחינוך, כולל אוניברסיטאות
;ציבוריות ופרטיות
ג .
ארגונים שמפעילים רשתות תקשורת אלקטרונית ומספקים שירותי תקשורת אלקטרונית כהגדרתם
;בחקיקה הרלוונטית, אם הם מעבדים מידע אישי בהיקף גדול במהלך העסקים הרגיל שלהם
ד .
" ספקי שירותים המכונים בחקיקה האירופיתInformation Society Services
" (ככלל, שירותים הניתנים
באופן מקוון לבקשת מקבל השירות, בתמורה או במימון מבוסס פרסום,. למשל
,אפליקציות מובייל/ווב
,רשתות חברתיות
,מנועי חיפוש
)'שירותי מסרים מיידיים, אתרי סטרימיניג, חדשות, משחקים וכו ,
אם
הם יוצרים פרופילים על משתמשי השירותים שלהם
בהיקף גדול ;
ה.
ארגונים המנויים בסעיף1
ל
חוק
הספרדי בדבר
,אסדרה, פיקוח ויכולת פירעון של מוסדות אשראי (קרי
)בנקים, קרנות חיסכון, קואופרטיבים למתן אשראי ומוסד האשראי הלאומי ;
ו .
;מוסדות למתן אשראי
ז.
;חברות ביטוח ומבטחי משנה
ח .
;חברות למתן שירותי השקעות שכפופות לחוק ניירות ערך הספרדי
ט.
;מפיצים ומשווקים של חשמל וגז טבעי
י .
ארגונים האחראים על( מאגרי מידע משותפיםcommon files
)
הנוגעים להערכת אשראי או לניהול או
מניעת הונאות, לרבות אלה שאחראים
למאגרי מידע הכפופים לחוקי איסור הלבנת הון ומימון טרור ;
יא .
,ארגונים שמפתחים פעילויות פרסום וחקר שוק מסחרי, לרבות מחקר שוק וניתוח מסחרי אם הם
מבצעים פעילויות עיבוד של מידע אישי על בסיס העדפות של נושאי מידע או יוצרים פרופילים שלהם ;
יב .
מוסדות בריאות המחויבים לפי חוק לשמור רשומות רפואיות של מטופלים, להוציא אנשי מקצועות
הבריאות שמספקים שירותים באופן עצמאי
;)(קרי, במסגרת קליניקה פרטית
יג .
;ארגונים שעוסקים בהנפקת דוחות אשראי לגבי אנשים טבעיים
יד .
ארגונים המציעים שירותי משחקים והימורים באמצעים אלקטרוניים, ממוחשבים, טלמטיים
,ואינטראקטיביים הכפופים
לחוקים
ש ;חלים על מפעילי שירותי הימורים
טו .
;חברות אבטחה פרטיות
טז.
.איגודי ספורט שמעבדים מידע אישי הנוגע לקטינים
בעלי שליטה במידע או מעבדים שאינם כפופים לחובה החוקית למנותDPO
,רשאים למנותו באופן וולונטרי
ובמקרה כזה יחולו לגביו כל הדרישות שחלות לגביDPOs
ב-
GDPR
(כולל החובה לדווח לרשות הספרדית
להגנת מידע על המינוי, שם ה-
DPO
.)ופרטי הקשר שלו
( הרשות הספרדית להגנת מידעAEPD
)) והרשויות המקבילות האזוריות (בחבל הבסקים, קטלוניה ואנדלוסיה
ינהלו רשימות מעודכנות שלDPOs
–
לרבותDPOs
שמונו וולונטרית –
.שיהיו נגישות לציבור באופן אלקטרוני
בעלי שליטה ומעבדים שממניםDPO
רשאים לקבוע את היקף הזמן שיקדיש ה-
DPO
,לתפקידו זה בין אם
במשרה חלקית
ובין אם במשרה
מלאה, וזאת, בין היתר, בהתאם להיקף עיבוד המידע האישי בארגון, האם
.ואלו קטגוריות מיוחדות של מידע אישי מעובדות, והסיכונים הכרוכים בכך לזכויות וחירויות של נושאי מידע
כאשר ה -
DPO
הוא אדם טבעי המשתלב בארגון של בעל השליטה במידע או המעבד, על הארגון נאסר
להרחיק אותו מתפקידו או להעניש אותו בגין מילוי תפקידיו כ -
DPO
, אלא אם עשה כן
תוך התנהגות בלתי
( הולמת מכוונתwillful misconduct
.) או ברשלנות חמורה
יש להבטיח את עצמאות ה -
DPO
בתוך הארגון
ו למנוע כל אפשרות שיימצא ב .ניגוד עניינים
משטר הסנקציות הקבוע בחוק הגנת המידע הספרדי לא יחול על ה -
DPO
.
( הטלת הסנקציות הקבועות בס"ק4
( ,)
5
) ו-(
6
) לסעיף83
ל-
GDPR
(קנסות מינהליים) תתבצע בכפוף
( לשיקולים הקבועים בס"ק2
,) לאותו סעיף ,ובנוסף
הרשויות הספרדיות להגנת מידע
רשאיות
להביא בחשבון
שורה נוספת של שיקולים המנויים בסעיף76
(
2
) לחוק הגנת המידע הספרדי, ובהם קיומו שלDPO
בארגון
.שאינו כפוף לחובה חוקית למנותו
ה-
DPO
יפעל כאיש קשר של בעל השליטה במידע או המעבד מול הרשות הספרדית להגנת מידע ומקבילותיה
האזוריות (בחבל הבסקים, קטלוניה ואנדלוסיה). ה-
DPO
יבחן את הפרוצדורות הנוגעות להגנה על מידע
.אישי בארגון וייתן לארגון המלצות בתחום אחריותו
ל -
DPO
תהיה גישה לכל המידע האישי ופעילויות העיבוד של הארגון, ובעל השליטה במידע או המידע אינם
רשאים להתנגד להנגשתם ל -
DPO
.בטענה שהפעילות או המידע כפופים לחובת סודיות או חיסיון
כאשר ה -
DPO
,מזהה הפרה חמורה בענייני הגנת מידע אישי עליו
לתעד אותה ולדווח ע
ל כך
מיידית להנהלת
.הארגון
היכן שבעל השליטה במידע או המעבד מינהDPO
, נושא מידע רשאי לפנות ל -
DPO
של הארגון שנגדו הוא
מעוניין להגיש תלונה בטרם יגיש את תלונתו לרשות הרלוונטית להגנת מידע בספרד. במקרה כזה, ה-
DPO
.ימסור לנושא המידע את ההחלטה שהתקבלה בנוגע לתלונתו בתוך חודשיים מיום קבלת התלונה
במקרה שנושא מידע הגיש לאחת מהרשויות הספרדיות להגנת מידע תלונה בנוגע לארגון שיש בוDPO
,
הרשות הרלוונטית
רשאית להפנות את התלונה לתגובת ה-
DPO, שתימסר בתוך חודש יים . אם
ה -
DPO
לא
מסר לרשות את תגובתו לתלונה בתוך תקופה זו , הרשות תמשיך לטפל בתלונה בהתאם להליך הקבוע
.בחוק
את ה עמידה בדרישות הקבועות בסעיף37
(
5
) ל-
GDPR
למינויDPO
[קרי, מינוי על בסיס כישורים מקצועיים
ובפרט ידע מומחיותי בדיני ם ובפרקטיקה בתחום
הגנת
ה מידע ויכולת למלא את המשימות המפורטות בסעיף
39
ל-
GDPR
]
ניתן להוכיח ,
בין היתר , באמצעות מנגנוני הסמכה ולונטריים שמביאים בחשבון במיוחד קבלת
.תואר אקדמי שמקנה ידע מומחיותי בדין ובפרטיקה בתחום ההגנה על מידע אישי
הרשות הספרדית להגנת מידע פרסמה הנחיה בנוגע לתוכנית הסמכה ל-
DPOs
(
DPO Certification Scheme
AEPD
–
) שבאמצעותה ניתן לקבל הסמכה שמבטיחה שה -
DPO
עומד בתנאי הכשירות המקצועיים ומחזיק
בידע הנדרש כדי לשמש בתפקיד. ההנחיה מבהירה שתוכנית ההסמכה ל-
DPOs
אינה מנדטורית :
ניתן למנות
לתפקיד כל אדם שעומד בדרישות החוק, אף אם לא קיבל הסמכה פורמלית
במסגרת תוכנית ההסמכה הנ"ל .
( על פי ההנחיה, רק גופים שקיבלו את אישור הסוכנות הלאומית להערכה והסמכהANECA
) רשאים להנפיק
הסמכות ל-
DPOs
. בפרט, ההנחיה קובעת תנאים למתן הסמכה ל -
DPOs
:בידי גופים מורשים, כלהלן
▪
כדי לקבל גישה לשלב ההערכה, מועמד לתפקידDPO
נדרש לעמוד
באחד מ ארבעה
תנאים
מקדמיים :
א .
חמש שנות ניסיון מקצועי לפחות בפרויקטים ו/או פעילויות ומשימות הקשורות לתפקידי ה-
DPO
[
כפי שאלה מפורטים בהנחיה ;], ר' להלן
ב .
שלוש שנות ניסיון מקצועי לפחות
בפרויקטים ו/או פעילויות ומשימות הקשורות לתפקידי ה-
DPO
,
וכן לפחות60
שעות הכשרה מוכרת בנושאים הכלולים בתוכנית ההסמכה ל -
DPOs
;
ג .
שנתיים לפחות של ניסיון מקצועי בפרויקטים ו/או פעילויות ומשימות הקשורות לתפקידי ה-
DPO
,
וכן לפחות100
שעות הכשרה מוכרת בנושאים הכלולים בתוכנית ההסמכה ל -
DPOs
;
ד .
180
שעות לפחות של הכשרה מוכרת בנושאים הכלולים בתוכנית ההסמכה ל -
DPOs
.
התנאים להוכחת עמידה בתנאים המקדמיים מפורטים בנספח להנחיה, והקריטריונים להכרה בתוכנית
הכשרה מפורטים בנספח אחר לה. גופים שמעניקים הכשרות בתחום נדרשים לפנות לגופים שאושרו
להעניק הסמכות ל -
DPOs
.כדי לקבל הכרה לתוכניות ההכשרה שלהם בהתאם לאותם קריטריונים
▪
מועמד להסמכה לתפקידDPO
נדרש להתחייב לעמוד בקוד האתי ל -
DPOs
.שמצורף כנספח להנחיה
▪
ההנחיה מפרטת
את התפקידים הכלליים
בתחום הניטור והפיקוח ש -
DPO
שיוסמך באמצעות תוכנית
:הההסמכה יידרש להוכיח שהוא מסוגל למלא, כלהלן
א .
ציות לעקרונות העיבוד של מידע אישי כגון עקרון הגבלת המטרה, איסוף המידע המינימלי הנדרש
( למטרהdata minimization
( ) והקפדה על דיוק המידעdata accuracy
;)
ב .
זיהוי הבסיס ים החוקי
ים
;לעיבוד
ג .
( הערכת התאימותcompatibility) של מטרות עיבוד מידע שונות ממטרות האיסוף המקוריות
'[ר
סעיף6
(
4
) ל -
GDPR
;]
ד .
קביעה שישנם תקנות וחוקים מגזריים שחלים על העיבוד וכוללים תנאים ספציפיים לעיבוד
;שעשויים להיות שונים מאלה שקבועים בחוקים הכלליים לגבי הגנת מידע אישי
ה.
תכנון
והטמעה של אמצעים ליידוע נושאי מידע לגבי עיבוד המידע ;
ו .
קביעת נהלים(
procedures
)
לקבלה וניהול של בקשות נושאי מידע למימוש זכויותיהם ;
ז.
בחינה והערכה של בקשות נושאי מידע למימוש זכויותיהם ;
ח .
( התקשרות עם מעבדיםprocessors
), כולל תוכנם של הסכמים או חוקים המסדירים את מערכת
היחסים בין
בעל השליטה במידע
ל מעבד ;
ט.
זיהוי מנגנונים להעברת מידע אישי מחוץ לגבולות האיחוד האירופי שמתאימים לצורכי הארגון
;ומאפייניו, וכן הסיבות שמצדיקות את ההעברה
י .
( עיצוב ויישום של נהליםpolicies) להגנת מידע אישי ;
יא .
( ביצוע ביקורותauditing
;) בתחום הגנת המידע
יב .
יצירה וניהול שוטף שלrecords of processing activities
'[ר סעיף30
ל-
GDPR
;]
יג .
ניתוח הסיכונים הכרוכים בפעילויות העיבוד שמבוצעות בארגון או מטעמו ;
יד .
הטמעת אמצעים ל-
data protection by design and by default
בהתאם לסיכונים ולטיב העיבוד ;
טו .
הטמעת אמצעי אבטחה
בהתאם
לסיכונים ולטיב העיבוד ;
טז.
קביעת נהלים להתמודדות עם אירועי אבטחה הנוגעים למידע אישי, לרבות הערכת הסיכונים
לזכויות וחירויות של נושאי מידע ונהלי דיווח לרשויות המפקחות ולנושאי מידע שהושפעו
מ
האירוע ;
יז .
קביעה אם יש צורך בביצוע
( תסקירdata protection impact assessment
) ;
יח .
;ביצוע תסקיר כנ"ל
יט .
;ניהול הקשרים עם רשויות מפקחות בתחום ההגנה על מידע אישי
כ.
הטמעת תוכניות הכשרה ומודעות
ב
תחום הגנת המידע
לעובדי הארגון .
▪
בחינת ההסמכה ל -
DPOs
:תבחן בקיאות בידע בתחומים הבאים
א .
( חקיקה בתחום ההגנה על מידע אישי50%
:)מציון הבחינה
ה-
GDPR
, חקיקה ספרדי
ת
,בתחום
ה-
ePrivacy Directive, הנחיות של ה -
EDPB
[פורום הרשויות המפקחות באיחוד
תחת
ה -
GDPR
;]
ב .
( אחריותיות אקטיבית30%
מציון הבחינה): הערכה וניהול של סיכונים הכרוכים בעיבוד מידע
,אישי( תסקיריםdata protection impact assessments
,)
data protection by design and by
default
.ועוד
ג .
( טכניקות להבטחת ציות לחקיקה בתחום הגנת המידע וידע נוסף20%
מציון הבחינה): ביקורות
(
audits
) בתחום אבטחת המידע, ביקורות בתחום ההגנה על מידע אישי
.ועוד
▪
לפי ההנחיה הנ"ל, ההסמכה תהיה תקפה לשלוש שנים וחידושה מותנה בכך שבמהלך התקופה צבר
ה-
DPO
המוסמך
)(א לפחות שנה אחת של ניסיון מקצועי בפרויקטים ו/או פעילויות ומשימות הקשורים
לתפקידי ה -
DPO
ו/או לאבטחת מידע ); (ב
לפחות60
,שעות כמנחה או כמשתתף בתוכניות הכשרה
ובהן לפחות15
שעות שנתיות בנושאים הכלולים בתוכנית ההסמכה ל -
DPOs
.
שעות הכשרה יהיו
.קבילות רק אם הן מעידות על עדכון ביחס לידע שכלול בתוכנית ההסמכה
הכשרה שנתן ה -
DPO
כמנחה ישוקללו ביחס כפול לשעות הכשרה שקיבל כמשתתף. לעניין זה, הוכחת השתתפות בכנסים
וסמינרים תוכר לצורך שעות ההכשרה הנדרשות בתנאים המתאימים. מועמד לחידוש הסמכה נדרש
להמציא גם .רשימת תלונות שהוגשו נגדו במהלך התקופה או הצהרה על היעדרן
Spain's Law 3/2018 on the Protection of Personal Data and Guarantee of Digital Rights, Articles 34-37, 70, 73:
Article 34 – Designation of a Data Protection Officer
1. Data controllers and processors shall designate a Data Protection Officer in the cases provided for in Article 37(1) of Regulation (EU)
2016/679 and, in any case, for the following entities:
a) Professional associations and their general councils.
b) Educational institutions offering education at any level established in the legislation governing the right to education, as well as public
and private universities.
c) Entities that operate networks and provide electronic communications services according to their specific legislation, when they regularly
and systematically process personal data on a large scale.
d) Information society service providers that create large-scale profiles of service users.
e) Entities included in Article 1 of Law 10/2014, of June 26, on the regulation, supervision, and solvency of credit institutions.
f) Financial credit establishments.
g) Insurance and reinsurance entities.
h) Investment service companies regulated by the Securities Market Law.
i) Distributors and marketers of electric energy and natural gas.
j) Entities responsible for common files for the assessment of financial solvency and credit, or common files for the management and
prevention of fraud, including those responsible for files regulated by the legislation on the prevention of money laundering and terrorist
financing.
k) Entities that engage in advertising and commercial prospecting activities, including market research and commercial research, when they
process data based on the preferences of the affected parties or carry out activities that involve profiling.
l) Healthcare centers legally required to maintain patients' medical records. Health professionals who, although legally required to maintain
patients' medical records, practice individually are exempt.
m) Entities whose purpose is to issue commercial reports that may refer to individuals.
n) Operators conducting gambling activities through electronic, computer, telematic, and interactive channels, according to the gambling
regulation.
ñ) Private security companies.
o) Sports federations when they process data of minors.
2. Data controllers or processors not included in the previous paragraph may voluntarily designate a Data Protection Officer, who will be
subject to the regime established in Regulation (EU) 2016/679 and this organic law.
3. Data controllers and processors shall communicate within ten days to the Spanish Data Protection Agency or, where appropriate, to the
regional data protection authorities, the designations, appointments, and dismissals of Data Protection Officers both in cases where their
designation is mandatory and in cases where it is voluntary.
4. The Spanish Data Protection Agency and the regional data protection authorities shall maintain, within their respective competences, an
updated list of Data Protection Officers that will be accessible electronically.
5. In fulfilling the obligations of this article, data controllers and processors may establish the full-time or part-time dedication of the Data
Protection Officer, among other criteria, depending on the volume of processing, the special category of data processed, or the risks to
the rights or freedoms of the data subjects.
Article 35 – Qualification of the Data Protection Officer
Compliance with the requirements established in Article 37(5) of Regulation (EU) 2016/679 for the designation of the Data Protection Officer,
whether a natural or legal person, may be demonstrated, among other means, through voluntary certification mechanisms that particularly
take into account obtaining a university degree that accredits specialized knowledge in law and practice in the field of data protection.
Article 36 – Position of the Data Protection Officer
1. The Data Protection Officer will act as the liaison for the controller or processor with the Spanish Data Protection Agency and the regional
data protection authorities. The Data Protection Officer may inspect procedures related to the object of this organic law and issue
recommendations within the scope of their competencies.
2. When the Data Protection Officer is a natural person integrated into the organization of the controller or processor, they may not be
removed or penalized by the controller or processor for performing their duties unless they have committed willful misconduct or gross
negligence in their exercise. The independence of the Data Protection Officer within the organization will be guaranteed, and any conflict
of interest must be avoided.
3. In the performance of their duties, the Data Protection Officer will have access to personal data and processing activities, and the controller
or processor may not object to this access by citing the existence of any duty of confidentiality or secrecy, including that provided for in
Article 5 of this organic law.
4. When the Data Protection Officer identifies a significant breach in data protection matters, they will document it and immediately
communicate it to the management and governing bodies of the controller or processor.
Article 37 – Involvement of the Data Protection Officer in Case of a Complaint to the Data Protection Authorities
1. When the controller or the processor has appointed a Data Protection Officer, the data subject may, prior to filing a complaint against them
with the Spanish Data Protection Agency or, if applicable, with the regional data protection authorities, contact the Data Protection Officer
of the entity against which the complaint is being made. In this case, the Data Protection Officer shall communicate the decision taken to
the data subject within a maximum period of two months from the receipt of the complaint.
2. When the data subject files a complaint with the Spanish Data Protection Agency or, if applicable, with the regional data protection
authorities, they may refer the complaint to the Data Protection Officer for a response within a one-month period. If, after this period, the
Data Protection Officer has not communicated the response to the competent data protection authority, that authority will continue the
procedure in accordance with the provisions of Title VIII of this organic law and its implementing regulations.
3. The procedure before the Spanish Data Protection Agency will be as established in Title VIII of this organic law and its implementing
regulations. Likewise, the autonomous communities will regulate the corresponding procedure before their regional data protection
authorities.
TITLE IX – Sanctioning Regime
Article 70 – Responsible Parties
1. The following are subject to the sanctioning regime established in Regulation (EU) 2016/679 and in this organic law:
a) The controllers of the processing.
b) The processors of the processing.
c) The representatives of the controllers or processors not established in the territory of the European Union.
d) Certification entities.
e) Accredited entities for the supervision of codes of conduct.
2. The sanctioning regime established in this Title will not apply to the Data Protection Officer.
Article 73 - Infringements Considered Serious
In accordance with what is established in Article 83.4 of Regulation (EU) 2016/679, the following are considered serious infringements and
will expire after two years, as they constitute a substantial violation of the mentioned articles, in particular:
(...)
v) Failure to appoint a Data Protection Officer when their appointment is required in accordance with Article 37 of Regulation (EU) 2016/679
and Article 34 of this organic law.
w) Not enabling the effective participation of the Data Protection Officer in all matters related to personal data protection, not supporting
them, or interfering with the performance of their duties.
Article 76 - Sanctions and Corrective Measures
1. The sanctions provided for in paragraphs 4, 5, and 6 of Article 83 of Regulation (EU) 2016/679 will be applied taking into account the criteria
for gradation established in paragraph 2 of the said article.
2. In accordance with the provisions of Article 83(2)(k) of Regulation (EU) 2016/679, the following may also be taken into account:
a) The continuous nature of the infringement.
b) The connection of the infringer's activity with the processing of personal data.
c) The benefits obtained as a result of committing the infringement.
d) The possibility that the conduct of the affected party could have induced the commission of the infringement.
e) The existence of a merger by absorption process after the commission of the infringement, which cannot be attributed to the absorbing
entity.
f) The impact on the rights of minors.
g) Having a Data Protection Officer when it is not mandatory.
h) The voluntary submission by the controller or processor to alternative dispute resolution mechanisms in cases where there are disputes
between them and any interested party.
16
.
צ'כיה
בנוסף לגופים ציבוריים, גופים שהוקמו מכוח חוק ומבצעים משימות שנקבעו בחוק לטובת אינטרס הציבור ,
חייבים אף הם במינויDPO
לפי סעיף37
(
1
()
a) ל-
GDPR
)(קרי, חובת המינוי שחלה על גופים ציבוריים.
The Czech Republic’s Act No. 110/2019 Coll. on Personal Data Processing, Section 14:
Designation of Data Protection Officer
In addition to public authorities, authorities established by law that perform tasks laid down by law in public interest also have the obligation
to designate the data protection officer pursuant to Art 37 (1)(a) of Regulation (EU) 2016/679 of the European Parliament and of the Council.
17
.
צרפת
חוק הגנת המידע האישי של צרפת לא חורג מהנוסח של ה-
GDPR
בנוגע למינויDPO
(אף שב סעיף103
לו
נקבע במפורש שחובת מינויו חלה על גופים ציבוריים וגופים אחרים המופקדים על ביצוע סמכויות
.)סטטוטוריות
( הרשות הצרפתית פרסמה הנחיה318
-
Deliberation No. 2018
)שקובעת תנאים למתן הסמכה כ -
DPO
מאת גופי הסמכתDPOs
שאושרו בידי הרשות (אף שקבלת הסמכה כזאת אינה תנאי סף למילוי תפקיד של
DPO, כמובהר ב הנחיה אחרת
של הרשות בדבר תפקיד ה -
DPO
', בעמ15
:), כלהלן
▪
כדי לקבל גישה לשלב ההערכה, מועמד להסמכתDPO
נדרש לעמוד לפחות באחד משני תנאים
:מקדמיים
א .
על המועמד להיות בעל2
שנות ניסיון לפחות בפרויקטים, פעילויות או משימות הקשורות
לתפקידי ה -
DPO
;ביחס להגנה על מידע אישי
ב .
לחלופין, על המועמד להיות בעל2
שנות ניסיון לפחות בכל תחום וכן לאחר שצבר35
שעות
( לפחות במסגרת הכשרהtraining
.) בתחום ההגנה על מידע אישי שמעניק ארגון העוסק בכך
▪
לאחר שלב ההערכה, הסמכתDPO
תינתן למועמדים שיעמדו ב-
17
:תנאי כשירות
א .
המועמד יודע ומבין את העקרונות לעיבוד מידע אישי (חוקיות העיבוד, הגבלת המטרה, מזעור
;)המידע, דיוק המידע, הגבלת האחסון, שלמות המידע, סודיות/אבטחת מידע ואחריותיות
ב .
;המועמד יודע לזהות את הבסיס החוקי לעיבוד
ג .
;המועמד יודע להגדיר את התוכן והאמצעים המתאימים ליידוע נושאי המידע
ד .
המועמד יודע כיצד לקבוע נהלים לקבלה וניהול של הטיפול בבקשות נושאי מידע למימוש
;זכויותיהם
ה.
;המועמד בקי במסגרת החוקית ביחס למיקור חוץ של עיבוד מידע אישי
ו .
המועמד יודע לזהות את קיומן של העברות מידע אישי אל מחוץ לאיחוד האירופי, וכיצד לקבוע
;את מנגנוני ההעברה החוקיים שסביר שישמשו במקרה הרלוונטי
ז.
;המועמד יודע כיצד לפתח ולהטמיע כללים ונהלים פנימיים להגנת מידע אישי
ח .
( המועמד יודע כיצד לארגן ולהשתתף בביקורותaudits
;) בתחום הגנת המידע
ט.
למועמד יש היכרות טובה עם התכנים שלProcessing Activities Register, Processing
Activity Category Register
ותיעוד של אירועי אבטחה, וכן עם התיעוד הנדרש כדי להוכיח ציות
;לחקיקה בתחום הגנת המידע
י .
המועמד יודע כיצד לזהות אמצעים שלdata protection by design and by default
שמותאמים
;לסיכונים ולטיב פעילויות העיבוד
יא .
המועמד יודע כיצד להשתתף בזיהוי אמצעי האבטחה הנדרשים בהתאם לסיכונים ולטיב
;פעילויות העיבוד
יב .
המועמד יודע לזהות אירועי אבטחה שמחייבים דיווח לרשות המפקחת וכן את אלה שמחייבים
;דיווח לנושאי המידע המושפעים מכך
יג .
המועמד יודע כיצד לקבוע אם חלה חובה לבצעData Protection Impact Assessment
, וכיצד
;לקבוע אם התסקיר בוצע כהלכה
יד .
( המועמד יודע כיצד לייעץ בדבר ניתוח ההשפעה הצפויהimpact analysis
) על הגנת מידע
;)(ובפרט בנוגע למתודולוגיה, מיקור חוץ אפשרי, האמצעים הטכניים והארגוניים שיש לאמץ
טו .
המועמד יודע כיצד לנהל את הקשר עם הרשות המפקחת, להשיב לבקשותיה, וכן לאפשר
;)ולתמוך בפעולתה (ובפרט, מבדקים וחקירת תלונות
טז.
( המועמד יודע כיצד להבטיח את עקיבותtraceability
) פעילותו, ובפרט באמצעות כלי ניטור
.ודוחות שנתיים
18
.
פולין
חובת מינויDPO
בגופים ציבוריים לפי סעיף37
(
1
()
a
) ל-
GDPR
תפורש כך שתחול
גם על מוסדות וגופים
במימון צי .בורי, מוסדות מחקר והבנק הלאומי של פולין
אם ה -
DPO
נעדר לתקופה, הארגון רשאי למנות לו מחליף לתקופה זו, ובלבד שממלא מקום ה-
DPO
עומד
( בתנאים הקבועים בס"ק5
) ו-(
6
) לסעיף37
ל-
GDPR
[קרי, כשירות מקצועית ויכולת למלא את תפקידי ה -
DPO
היתר למנות+
DPO
.]פנימי או חיצוני לארגון בדומה לחובה החלה לגבי ה -
DPO
,העיקרי על הארגון
לדווח לרשות הפולנית להגנת מידע על מינוי ממלא מקום ה-
DPO
וכן לפרסם לציבור את שמו המלא ופרטי
הקשר שלו –
טלפון
או
כתובת דוא"ל , וזאת באתר האינטרנט של הארגון
ובהיעדר אתר כזה–
במקום נגיש
.במשרדי הארגון
הרשות הפולנית להגנת מידע פרסמה הנחיה במתכונת של שאלות ותשובות בנוגע לתפקיד ה -
DPO
,ומעמדו
:)ולפיה (בין היתר
▪
על אף
שה-
GDPR
וחוק הגנת המידע של פולין לא קובעים כללים לבחינת עמידתו של ה-
DPO
בתנאי
ה כשירות הנדרשים לעניין ידע ולמומחיות מקצועית, הרשות מבהירה שברוב המקרים, תעודות
,הסמכה
דיפלומות ומסמכים אחרים שמעידים על הידע והניסיון של ה -
DPO
ייחשבו לקריטריון כשירות
חשוב ולטיעון
התומך ב.התאמתו לתפקיד
'[ר כאן,
כאן ו כאן ]
▪
תנאי הכשירות המקצועית
למינויDPO
דומים אך לא זהים לאלה שנדרשו בעבר לגבי ממונה אבטחת
( מידעInformation Security Officer
,), שמינויו היה בגדר חובה עבור גופים ציבוריים, מוסדות בריאות
מוסדות פיננסיים ומוסדות חינוך לפי החוק הפולני להגנת מידע עובר לתיקונו ערב הכניסה לתוקף של
ה-
GDPR
. ה -
DPO
נדרש לידע מתאים בדינים ובפרטיקות כלליות ומגזריות של הגנת מידע בפולין
ובאיחוד האירופי, אך גם להיכרות הולמת של הליכי עיבוד, מערכותIT
ואמצעי אבטחה שמשמשים
בארגון, סטנדרטים מקובלים במגזר הרלוונטי , נהלים מינהלתיים בארגון ופעילות הארגון. בשונה
,מממונה אבטחת מידעDPO
נדרש ל
היות מסוגל לזהות את החובות לפי ה-
GDPR
שלהן כפוף בעל
השליטה במידע או המעבד, ליידע את עובדי הארגון על חובות אלה ולייעץ לארגון בנושא; לתת המלצות
( לביצוע תסקירDPIA
) במקרים המתאימים ו אף לבצע אותו; לשמש כאיש קשר של הארגון מול הרשות
;המפקחת ונושאי מידע לפקח ולהנחות לגבי תכנון לפרטיות מראש וכברירת מחדל,
.ועוד
▪
מינויו כ -
DPO
של מנהל מערכות ה-
IT
( בארגוןIT system administrator
), שמינויו נדרש בגופים
הכפופים לחוקים מסוימים בפולין ,[למשל מוסדות בריאות וגופים ציבוריים ואחרים שמעורבים
בהתמודדות עם מצבי חירום]
,, עלול להעמיד אותו בניגוד עניינים. זאת היות
שהשילוב בין התפקידים
יגרום לכך שמי שאחראי לעיבוד השוטף של מידע אישי ולאבטחתו במערכות ה-
IT
של הארגון, יהיה
אחראי גם לניטור ופיקוח על חוקיות הפעילויות שהוא עצמו מבצע, מחד גיסא, ולקבלת החלטות בדבר
האמצעים הנדרשים לאבטחת המידע, מאידך גיסא. בנוסף, ה-
DPO
נדרש לדווח לדרג הניהולי הבכיר
ביותר בארגון, וכלל זה יופר אם
ב
תפקידו כמנהל מערכות ה-
IT
,
,אותו אדם ידווח למנהל בכיר פחות
וקל וחומר לגביDPO
שממלא במקב .יל בתפקיד זוטר יותר שנוגע לאבטחת המידע בארגון
'[ר כאן ]
▪
לא ניתן למנות כ -
DPO
אדם שמשמש כמנהל בארגון בעל השליטה במידע או המעבד, כגון חבר
בדירקטוריון של חברה או בוועד המנהל של עמותה, מנהל בית ספר, ראש עיר וכו'. פרשנות אחרת
תוביל למצבים שבהם ה -
DPO
ינטר ויפקח על עצמו בכל הנוגע לציות לחובות בתחום ההגנה על מידע
אישי. בהתאם ל סעיף38
(
3
) ל-
GDPR
, יש להבטיח שה-
DPO
ידווח ישירות לדרג הניהולי הבכיר ביותר
בארגון, ו הדבר עומד בסתירה להיותו
.חבר בגוף המנהל של אותו ארגון
'[ר
כאן .]
▪
לא ניתן למנות כ -
DPO
'אדם שמייצג את הארגון בבית המשפט בהליך הנוגע להגנת מידע [ר
כאן .]
▪
אדם שמעניק לארגון ייעוץ משפטי כעורך דין , יוכל להתמנות כ -
DPO
רק בתנאי שהארגון ביצע ניתוח
מהימן ומתועד לשלילת חשש לניגוד עניינים ואי -
יכולת למלא בד בבד את החובות
החוקיות החלות על
העיסוק במקצוע המשפטי, מזה, ואת תפקידיו של ה-
DPO
ותנאי הכשירות הנלווים ., מזה
'[ר
כאן ]
▪
לא ניתן למנות אישיות משפטית כ -
DPO, אלא אדם טבעי בלבד. הרשות מדגישה ש במסגרת חובת
בעל השליטה במידע או המעבד ליידע את הרשות והציבור הרחב על זהות ה -
DPO
,ופרטי הקשר עמו
הארגון נדרש ][לפי החוק בפולין
לציין את שמו המלא של ה-
DPO
.
אין מניעה לכך שארגון ימנהDPO
חיצוני מקרב עובדי חברה חיצונית על בסיס הסכם למתן שירותים, ובלבד שברור לכולם מיהו האדם
הטבעי הספציפי שמשמש כ -
DPO
.
'[ר כאן ]
▪
במקרה של מינויDPO
חיצוני, על הארגון להתקשר עמו בהסכם למתן שירותים –
אך לא מדובר בהסכם
שנדרש,
לפי סעיף28
ל-
GDPR
,
בין בעל שליטה במידע למעבד שמבצע,
במיקור חוץ,
עיבוד של מידע
אישי עבורו. הרשות מדגישה שיש הבדל עקרוני בין שני סוגי ההסכמים: הסכם בין בעל שליטה למעבד
לפי סעיף28
ל-
GDPR
נדרש לכלול התחייבות של המעבד לבצע פעולות עיבוד אך ורק לפי הוראות
הארגון בכל הנוגע למטרת העיבוד ולאופני העיבוד החיוניים; לעומת זאת, הסכם בין ארגון ל -
DPO
חיצוני נדרש לעסוק בתפקידי ה -
DPO
לפי סעיף39
(
1
) ל -
GDPR
, כאשר על הארגון בעל השליטה או
המעבד להבטיח, בין היתר, שה-
DPO
( לא יקבל הוראות לגבי אופן מילוי תפקידיו סעיף38
(
3
)
ל-
GDPR). בנוסף, הגישה שניתנת ל -
DPO
(פנימי או חיצוני) למידע אישי שהארגון מעבד נדרשת היכן
שהדבר חיוני
למילוי תפקידיו לפי ה-
GDPR; חובת ה -
DPO
להגן על סודיות המידע ואבטחתו מעוגנת
בחובת הסודיות שה-
GDPR
מטיל עליו במישרין; ויכולתו של ה -
DPO
לבצע משימות אחרות, לרבות
.כאלה שכרוכות בעיבוד מידע אישי, מוגבלת בידי האיסור על ניגוד עניינים שמוטל עליו
'[ר
כאן ]
▪
חובת בעל השליטה במידע או המעבד להעמיד לרשות ה -
DPO
את המשאבים הנדרשים לשימור, עדכון
ושיפור
הידע המקצועי שלו, לפי סעיף38
(
2
) ל-
GDPR
, חלה גם כשהארגון ממנהDPO
חיצוני. הרשות
מחדדת שלאור הוראות ה-
GDPR, הכישורים המקצועיים שה-
DPO
נדרש לשמר ולעדכן נוגעים לא רק
לידע המומחיותי שלו בדינים ובפרקטיקות בתחום ההגנה על מידע אישי, אלא גם ליכולתו לבצע את
כלל התפקידים המנויים ב סעיף39
(
1
)
ל-
GDPR
. את כל אלה נדרש הארגון להביא בחשבון בבואו
להעריך אילו משאבים עליו להקצות ל -
DPO
לצורך שימור כשירותו המקצועית. אחת הדרכים
האפשריות לעשות כן היא לממן ל -
DPO, באופן עקבי ושוטף, השתתפות ב ,קורסים, הכשרות, סדנאות
פורומים מקצועיים וסמינרים מתאימים, בין אם מדובר בעובד הארגון או באדם חיצוני לו, והכל בשים
לב לנדרש נוכח טיב פעילויות העיבוד בארגון, היקפן ומורכבותן. במקרה שלDPO
חיצוני, יש להסדיר
.סוגיות אלה בהסכם ההתקשרות שלו עם הארגון, כולל סוג והיקף המימון והאופן שבו יינתן
'[ר
כאן ]
▪
אין מניעה לכך ש
בתפקיד ה -
DPO
ישמש
אדם זר
, להבדיל מ אזרח או תושב
פולין. עם זאת, על בעל
השליטה או המעבד להבטיח שה-
DPO
מסוגל לקיים הידברות יעילה ואפקטיבית עם הרשות המפקחת
.ונושאי מידע בשפה הפולנית
'[ר כאן ]
▪
מנהל מחלקה בארגון או עובד בדרג זוטר יותר יכול לשמש גם כ-
DPO
רק אם תפקידו האחר לא כרוך
בקביעת המטרות לעיבוד המידע והאופן שבו המידע יעובד, ורק אם תפקידו האחר לא פוגע בעצמאותו
במילוי תפקידיו כ -
DPO
וכן ביכולתו לכך להקדיש זמן הולם. ארגון שמעוניין למנותDPO
פנימי שמשמש
בתפקידים אחרים בארגון נדרש לתעד את ההערכה שביצע בנושא, לרבות התייחסות להיקף
ולמורכבות המשימות של אותו עובד כ-
DPO
בארגון המסוים לעומת היקפן ומורכבותן של המשימות
.שימלא בתפקידו האחר
'[ר
כאן ]
▪
לא ניתן למנות יותר מ-
DPO
.אחד לארגון '[ר כאן ]
עם זאת, הרשות ממליצה למנות במינוי קבוע ממלא
מקום ל-
DPO, שישמש כמחליף ל -
DPO
במקרה שה-
DPO
נעדר לתקופה, וביתר הזמן יסייע ל -
DPO
במילוי תפקידיו באופן שוטף, ובאופן זה תובטח היכרותו הקרובה והעדכנית עם פעילויות העיבוד של
.הארגון ועם סוגיות המפתח בתחום הגנת המידע האישי בו
למהדרין, הרשות ממליצה למנות שני
ממלאי מקום ל-
DPO
,כך ש
האחד יחליף את ה-
DPO
בתקופת היעדרותו
, והשני יחליף את ה-
DPO
ואת
'ממלא המקום שלו בתקופה שבה שניהם נעדרים. [ר
כאן ]
▪
את האיסור לפטר את ה-
DPO
או להעניש אותו בגין מילוי תפקידיו לפי סעיף38
(
3
) ל-
GDPR
יש לפרש
.כך שהוא חל רק לגבי ביצוע נכון ותקין אובייקטיבית של תפקידיו
'[ר
כאן ]
▪
חובת הסודיות שה -
DPO
כפוף לה לפי סעיף38
(
5
) ל-
GDPR
חשובה הן כדי לעודד אמון כלפיו מצד בעל
השליטה או המעבד,
והן לטובת אבטחת המידע האישי שאליו הוא נחשף. אין ספק שבמסגרת מילוי
תפקידיו, ה-
DPO
מקבל גישה למידע אישי, לרבות קטגוריות מיוחדות של מידע אישי במובן סעיף9
(
1
)
ל-
GDPR
ומידע אישי הנוגע לעבירות והרשעות פליליות במובן סעיף10
ל-
GDPR
, וכן לנהלי אבטחת
המידע בארגון ולאמצעים הטכניים והארגוניים שהטמיע למטרה זו. עם זאת, יש להדגיש שחובת
הסודיות של ה-
DPO
לא מונעת ממנו ליצור קשר עם הרשות המפקחת ולבקש את עצתה בכל עניין
הנו גע 'לעיבוד מידע אישי [ר
כאן ] .
Poland's Act on the Protection of Personal Data, Articles 8-11a:
Chapter 2 - Appointment of the Data Protection Officer
Article 8
The controller and the processor are obliged to appoint a Data Protection Officer, hereinafter referred to as the "officer," in the cases and on
the terms specified in Article 37 of Regulation 2016/679.
Article 9
The public authorities and bodies required to appoint an officer, as mentioned in Article 37(1)(a) of Regulation 2016/679, shall be understood
to include:
1. Public finance sector units;
2. Research institutes;
3. The National Bank of Poland.
Article 10
1. The entity that has appointed an officer shall notify the President of the Office about the appointment within 14 days from the date of
appointment, providing the officer's name, surname, and email address or telephone number.
2. The notification may be made by a representative of the entity mentioned in paragraph 1. An electronic power of attorney shall be attached
to the notification.
3. In addition to the data mentioned in paragraph 1, the notification shall include:
1. The name and address of residence, if the controller or processor is a natural person;
2. The business name and address of the business location, if the controller or processor is a natural person conducting business activity;
3. The full name and address of the registered office, if the controller or processor is an entity other than those indicated in points 1 and
2;
4. The REGON [national official business register] identification number, if assigned to the controller or processor.
4. The entity that has appointed an officer shall notify the President of the Office of any changes to the data mentioned in paragraphs 1 and
3, as well as of the dismissal of the officer, within 14 days from the date of the change or dismissal.
5. In the case of appointing a single officer by public authorities or bodies or by a group of entrepreneurs, each of these entities shall make
the notification mentioned in paragraphs 1 and 4.
6. The notifications mentioned in paragraphs 1 and 4 shall be made electronically and signed with a qualified electronic signature or a
signature confirmed by a trusted profile on ePUAP.
Article 11
The entity that has appointed an officer shall make the officer's data mentioned in Article 10(1) available immediately after the appointment,
on its website, or, if it does not have its own website, in a generally accessible manner at the place of business.
Article 11a
1. The entity that has appointed an officer may appoint a person to substitute for the officer during their absence, taking into account the
criteria mentioned in Article 37(5) and (6) of Regulation 2016/679.
2. In connection with the performance of the officer's duties during their absence, the person substituting for the officer shall be subject to
the provisions applicable to the officer.
3. The entity that has appointed a person to substitute for the officer shall notify the President of the Office about the appointment in the
manner specified in Article 10 and make their data available in accordance with Article 11.
19
.
פורטוגל
חובת מינויDPO
בגופים ציבוריים לפי סעיף37
(
1
()
a
) ל-
GDPR
תפורש כך ש תחול גם על גופי הממשל בחבלי
פורטוגל האוטונומיים[
מדיירה והאיים האזוריים], גופי השלטון המקומי וגופים על -
מוניציפליים, גופים
,סטטוטוריים, הבנק הלאומי של פורטוגל, מוסדות שהוקמו בידי גוף ציבורי ומספקים שירותים ציבוריים
חברות בבעלות או בשליטה ציבורית שמספק
ות
שירותים מגזריים שונים [למשל, חברת תעופה בבעלות
המדינה, חברה לאספקת מים, חב רת הרכבת התחתית ], מוסדות השכלה גבוהה במימון ציבורי, איגודים
(
associations
.]) לתועלת הציבור [למשל, מרכז השלטון המקומי, הצלב האדום
בגופים ציבוריים, ימונה לפחותDPO
אחד עבור כל אחד מאלה: משרד ממשלתי או תחום ממשלתי; מזכירות
אזורית בממשל של חבלי פורטוגל האוטונומיים; עירייה; רשות מקומית היכן שיש לכך הצדקה, ובפרט כשיש
בה יותר
מ-
750
תושבים; כל ישות משפטית אחרת שנחשבת לגוף ציבורי. ניתן למנותDPO
אחד עבור כמה
,משרדים ממשלתיים או תחומים ממשלתיים, מזכירויות אזוריות, רשויות מקומיות וגופים ציבוריים אחרים
ובלבד ש אותוDPO
לא ישמש בתפקיד זה הן בגוף בעל סמכויות רגולטוריות או סמכויות אכיפה, בקרה ו/או
פיקוח, והן בגוף אחר שכפוף ל
אותן סמכויות .
בנוסף לאמור בהוראות סעיפים37-39
ל-
GDPR
, תפקידי ה-
DPO
:יכללו את אלה
א .
( הבטחת ביצוען של ביקורותaudits
), הן ביקורות ;מתוזמנות והן ביקורות פתע
ב .
העלאת מודעות בקרב עובדי הארגון ל חשיבות של
איתור תקריות אבטחה במועד ו כן לצורך ביידוע
מיידי של קצין אבטחת המידע בארגון [מונח שזהו המופע היחידי שלו בחוק ;]הפורטוגזי להגנת מידע
ג .
ניהול יחסי הארגון עם נושאי מידע בעניינים שמוסדרים ב -
GDPR
ובחקיקה פורטוגזית אחרת בתחום
ההגנה על מידע אישי .
מינוי ה -
DPO
ייעשה בהתאם לתנאי הכשירות הקבועים ב סעיף37
(
5
) ל -
GDPR
, ולעניין זה הסמכה מקצועית
לא
.תהווה דרישת סף
ה-
DPO
יהיה כפוף לחובת סודיות מקצועית בקשר למילוי תפקידיו. חובת סודיות זו תוסיף לחול אף לאחר
תום פעילותו כ -
DPO
.
סעיף51
לחוק הגנת המידע של פורטוגל קובע שהמגלה או מוסר מידע אישי, כולו או חלקו, בהיותו כפוף
לחובת סודיות מקצועית מכוח חוק ובהיעדר עילה מוצדקת או הסכמה כדין, דינו מאסר של עד שנה או קנס
יומי של עד120
יום [קרי, מכפלת השכר היומי של הנקנס ב-
120
יחידות], והיכן שההפרה בוצעה ברשלנות
–
עד
שישה חודשי מאסר
או קנס יומי של עד60
.יום על המפר יוטל עונש כפול בהתקיים נסיבות מחמירות
כמפורט בסעיף , שאחת מהן היא היות המפרDPO
.
סעיף38
לחוק הגנת המידע של פורטוגל מונה מקרים ש ייחשבו להפרה חמורה שדינה קנס מינהלי בסכום
התלוי במיהות הארגון (
ביחס לחברה גדולה –
2,500
עד10
מיליון
אירו או2%
מההכנסה השנתית
;הגלובלית, הגבוה ביניהם ביחס לארגון קטן עד בינוני(
SME
)
–
אלף עד מיליון
אירו או2%
מההכנסה
השנתית הגלובלית
, הגבוה ביניהם ; ביחס לאנשים טבעיים–
500
עד250
אלף
אירו)
, ובהם גם אלה :
א .
אי עמידה בחובות הקבועות בסעיף37
ל -
GDPR
[קרי, מינויDPO
;כשהארגון כפוף לחובה לעשות כן
מינויDPO
על בסיס יכולות מקצועיות ובפרט ידע מומחיותי בדינים ובפרקטיקות בתחום הגנת המידע
ויכולות למלא את התפקידים המפורטים בסעיף39
ל-
GDPR; פרסום פרטי הקשר של ה -
DPO
ומסירתם
;]לרשות המפקחת
ב .
הפרת הוראות סעיף38
ל-
GDPR
[
,קרי
הבטחת מעורבותו של ה -
DPO
במועד ובאופן הולם בכל סוגיה
הנוגעת להגנת מידע אישי; מתן משאבים הנדרשים למילוי התפקיד ולשימור כשירותו למלאו ומתן
גישה למידע אישי ולתהליכי עיבודו; הימנעות ממתן הוראות ל -
DPO
בנוגע לביצוע תפקידיו, ומפיטוריו
או ענישתו בגין ביצועם; דאגה לכך שידווח לדרג ההנהלה הבכיר ביותר והימנעות מהטלת תפקידים
נוספים שיעמידו אותו בניגוד עניינים], ובפרט ביחס לערובות להבטחת עצמאותו של ה -
DPO
;
ג .
אי עמידה בחובות הקבועות בסעיף39
ל-
GDPR
[
,קרי
דאגה לכך שתפקידי ה -
DPO
יכללו לפחות את
אלה ה
מפורט ים
]בסעיף .
Portugal's Law No. 58/2019 which ensures the implementation of the GDPR in Portugal, Articles 9-13, 38, 51:
CHAPTER III – Data Protection Officer
Article 9 – General Provisions
1. The Data Protection Officer shall be designated based on the requirements set out in Article 37(5) of the GDPR and shall not require
professional certification for this purpose.
2. Regardless of the nature of their legal relationship, the Data Protection Officer shall perform their function with technical autonomy
towards the controller or processor.
Article 10 – Duty of Secrecy and Confidentiality
1. According to the provisions of Article 38(5) of the GDPR, the Data Protection Officer shall be subject to a duty of professional secrecy
concerning the exercise of these functions, which shall continue after the end of the functions that gave rise to them.
2. The Data Protection Officer, as well as the controllers, including processors, and all persons involved in any data processing operation, shall
be subject to a duty of confidentiality in addition to the professional secrecy duties provided by law.
Article 11 – Functions of the Data Protection Officer
In addition to the provisions of Articles 37 to 39 of the GDPR, the functions of the Data Protection Officer shall include:
a) Ensuring the performance of audits, both periodic and unscheduled;
b) Raising awareness among users about the importance of timely detection of security incidents and the need to inform the security
officer immediately;
c) Managing relations with data subjects concerning matters covered by the GDPR and national data protection legislation.
Article 12 – Data Protection Officers in Public Entities
1. Under Article 37(1)(a) of the GDPR, it is mandatory to appoint Data Protection Officers in public entities as set out in the following
paragraphs.
2. For the purposes of the previous paragraph, public entities shall be understood to be:
a) The State;
b) Autonomous regions;
c) Local authorities and the supra-municipal entities provided by law;
d) Independent administrative entities and the Bank of Portugal;
e) Public institutes;
f) Public higher education institutions, regardless of their nature;
g) Companies in the state business sector and regional and local business sectors;
h) Public associations.
3. Regardless of who is responsible for the processing, there shall be at least one Data Protection Officer:
a) For each ministry or governmental area, in the case of the State, appointed by the respective minister, with the power to delegate to
any assisting secretary of state;
b) For each regional secretariat, in the case of autonomous regions, appointed by the respective regional secretary, with the power to
delegate to a senior leader of the first degree;
c) For each municipality, appointed by the municipal council, with the power to delegate to the president and sub-delegate to any
councilor;
d) In parishes where justified, particularly those with more than 750 inhabitants, appointed by the parish council, with the power to
delegate to the president;
e) For each entity, in the case of the other entities referred to in the previous paragraph, appointed by the respective executive,
administrative, or management body, with the power to delegate to the respective president.
4. Under Article 37(3) of the GDPR, the same Data Protection Officer may be appointed for several ministries or governmental areas, regional
secretariats, local authorities, or other public legal entities.
5. Each entity is responsible for appointing the Data Protection Officer, and it is not mandatory for the functions to be performed exclusively.
6. A Data Protection Officer of a public entity that has regulatory or control functions, cannot simultaneously perform these functions in an
entity subject to control or within the regulatory perimeter of that entity.
Article 13 – Data Protection Officers in Private Entities
The data controller and the processor shall appoint a Data Protection Officer whenever the private activity carried out primarily involves:
a) Processing operations that, due to their nature, scope, and/or purposes, require regular and systematic monitoring of data subjects
on a large scale; or
b) Large-scale processing operations of special categories of data under Article 9 of the GDPR, or personal data related to criminal
convictions and offenses under Article 10 of the GDPR.
Article 38 – Serious Offenses
1. The following constitute serious offenses:
(…)
n) Non-compliance with the duties provided for in Article 37 of the GDPR;
o) Violation of the provisions of Article 38 of the GDPR, particularly concerning the guarantees of independence of the Data Protection
Officer;
p) Non-compliance with the duties provided for in Article 39 of the GDPR;
(…)
2. The offenses referred to in the previous paragraph are punishable by a fine of:
a) From €2,500 to €10,000,000 or 2% of the annual global turnover, whichever is higher, in the case of a large company;
b) From €1,000 to €1,000,000 or 2% of the annual global turnover, whichever is higher, in the case of an SME;
c) From €500 to €250,000, in the case of natural persons.
Article 51 – Violation of the Duty of Confidentiality
1. Whoever, being subject to professional secrecy under the law, without just cause and without due consent, reveals or discloses in whole
or in part personal data, shall be punished with imprisonment of up to 1 year or a fine of up to 120 days.
2. The penalty is doubled in its limits if the agent:
a) Is a public worker or equivalent, under the penal law;
b) Is a Data Protection Officer;
c) Is determined by the intention to obtain any patrimonial advantage or other illegitimate benefit;
d) Endangers the reputation, honor, or privacy of third parties.
3. Negligence is punishable by imprisonment of up to 6 months or a fine of up to 60 days.
20
.
פינלנד
בעל השליטה במידע
ו המעבד חייבים במינויDPO
אם הם מעבדים קטגוריות מיוחדות של מידע אישי במקרים
המנויים בחוק הפיני כחריגים (מותרים) לאיסור הכללי על עיבוד מידע כזה
לפי
סעיף9
(
1
) ל-
GDPR
(
בקווים
:גסים
,חברת ביטוח, עיבוד שנובע ישירות מחובה חוקית המוטלת על בעל השליטה במידע, ארגון עובדים
ספק שירותי בריאות, עיבוד מידע רפואי או גנטי כדי לאפשר פעילות
ל מניעת סמים בספורט או גישה ל עבודה
ל ,אנשים עם מוגבלות, עיבוד למטרות מחקר מדעי, היסטורי או סטטיסטי ו .)ארכוב לטובת האינטרס הציבורי
דברי חקיקה מגזריים מטילים חובת מינויDPO
על בתי מרקחת ועל גופים שעוסקים במתן שירותי בריאות
או
( שירותי רווחהAct on Electronic Prescriptions 2007/61; Act on the Electronic Processing of Client
Data in Healthcare and Social Welfare
) .
Finland's Data Protection Act, Section 6:
Processing of special categories of personal data
Article 9(1) of the Data Protection Regulation does not apply:
1) when an insurance institution processes data it has received in the course of insurance activities on an insured person's or claimant's state
of health, illness or disability, or such data on the treatment or other comparable measures directed at the insured or the claimant that are
necessary for determining the liability of the insurance institution;
2) to any processing of data that is provided by law or that derives directly from a statutory duty set out for the controller by law;
3) to the processing of data concerning trade union membership, where this is necessary for carrying out the obligations and exercising the
specific rights of the controller in the area of employment law;
4) when a healthcare service provider in the course of arranging or producing services processes data it has received in the context of these
activities on the state of health or disability of a person or on the healthcare and rehabilitation services received by a person, or other data
necessary for the treatment of the data subject;
5) when a social welfare service provider in the course of arranging or producing services or granting benefits processes data it has received
or produced in the context of these activities on the state of health or disability of a person or on the healthcare and rehabilitation services
received by a person, or other data necessary for granting a benefit or providing service to the data subject;
6) to the processing of data concerning health and of genetic data in the context of anti-doping work and sports for persons with disabilities,
in so far as the processing of these data is necessary to enable anti-doping work or sports for persons with disabilities or long-term illness;
7) to the processing of data for scientific or historical research purposes or for statistical purposes;
8) to the processing of research and cultural heritage materials for archiving purposes in the public interest, with the exception of genetic
data.
Where personal data are processed in a context referred to in subsection 1, the controller and the processor shall take suitable and specific
measures to safeguard the rights of the data subject. Such measures include:
1) measures that enable subsequent checking and verification of the identity of the person who has recorded, altered or transferred personal
data;
2) measures to improve the competence of the personnel processing personal data;
3) designation of a data protection officer;
4) internal measures by the controller and the processor for preventing access to personal data;
5) pseudonymization of personal data;
6) encryption of personal data;
7) measures that ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services related to the
processing of personal data, including the ability to restore the availability of and access to personal data in a timely manner in the event of
a physical or technical incident;
8) a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security
of the processing;
9) specific rules of procedure for ensuring compliance with the Data Protection Regulation and this Act when personal data are transferred
or processed for another purpose;
10) a data protection impact assessment in accordance with Article 35 of the Data Protection Regulation;
11) other technical, procedural and organizational measures.
21
.
רומניה
כאשר הבסיס החוקי לעיבוד מספר זיהוי לאומי , כולל איסוף ומסירה של מסמכים שכוללים אותו, הוא
האינטרסים הלגיטימיים של בעל השליטה או צד שלישי לפי סעיף6
(
1
()
f
) ל-
GDPR
,
בעל השליטה [אך לא
]המעבד נדרש לנקוט בשורת אמצעים מנדטוריים, ובהם מינויDPO
.
["מספר זיהוי לאומי" מוגדר בחוק הגנת
המידע האישי של רומניה כ ,מספר המזהה אדם טבעי במערכות רישום מסוימות ואשר יש לו תחולה כללית
כגון קוד מספרי אישי, מספר תעודת זהות, מספר דרכון, רישיון נהיגה, מספר מזהה בביטוח לאומי ] .
" בהתאם להגדרת
רשויות ו ,גופים ציבוריים" בחוק הגנת המידע האישי של רומניה חובתם של גופים ציבוריים
למנותDPO
חלה גם על .מוסדות דת וכן ארגונים שלא למטרות רווח שפועלים לתועלת הציבור או הקהילה
Romania's Law No. 190/2018 Implementing the GDPR, Articles 2, 4, 10:
Article 2: Definitions
(1) For the application of the General Data Protection and the present law, the terms and expressions below are defined as follows:
a) public authorities and bodies - the Chamber of Deputies and the Senate, the Presidential Administration, the Government, the
ministries, other specialized bodies of the central public administration, autonomous public authorities and institutions, local public
administration authorities, and county-level authorities, other public authorities, as well as the institutions subordinated/coordinated
by them. For the purposes of this law, religious units and public utility associations and foundations are also considered equivalent to
public authorities/bodies;
b) national identification number – the number identifying a natural person in certain record systems that is of general applicability, such
as: personal numerical code, series and number of the identity card, passport number, of the driving license, social security number;
Article 4: Processing of a National Identification Number
(1) The processing of a national identification number, including the collection and disclosure of the documents that contain it, shall be
performed under the conditions provided by Article 6(1) of General Data Protection Regulation.
(2) The processing of a national identification number, including the collection and disclosure of the documents that contain it, for the
purposes provided by Article 6(1)(f) of General Data Protection Regulation, namely fulfilling the legitimate interests pursued by the
controller or by a third party, shall be carried out only with the establishment by the controller of the following safeguards:
a) the implementation of appropriate technical and organizational measures to respect, in particular, the principle of data minimization,
as well as to ensure the security and confidentiality of personal data processing, in accordance with the provisions of Article 32 of the
General Data Protection Regulation;
b) the designation of a data protection officer, in accordance with the provisions of Article 10 of this law;
c) the setting of retention periods according to the nature of the data and the purpose of the processing, as well as specific deadlines in
which personal data must be erased or revised for deletion;
d) the regular training concerning the obligations of persons who, under the direct authority of the controller or processor, process
personal data.
CHAPTER IV: Data protection officer
Article 10: Designation and Tasks of the Data Protection Officer
(1) The controllers and processors shall designate a data protection officer under the situations and conditions provided in Articles 37-39 of
the General Data Protection Regulation.
(2) Where the controller or the processor is a public authority or body, as defined by Article 2(1)(a), a single data protection officer may be
designated for several such authorities or bodies, taking account of their organizational structure and size.
(3) The activity and tasks of the data protection officer shall be carried out in compliance with the provisions of Articles 38 and 39 of General
Data Protection Regulation and the applicable national legal regulations.
22
.
שוודיה
אדם שפועל כ-
DPO
בהתאם לסעיף37
ל-
GDPR
לא יגלה מידע שאליו נחשף במ.סגרת מילוי תפקידיו
הרשות להגנת מידע אישי בשוודיה פרסמה
הנחיה
בנוגע למינויDPOs
, שלפיה מומלץ למנותDPO
גם
בארגונים [שאינם גופים ציבוריים] שמבצעים משימות שבאינטרס הציבורי או משימות שכוללות הפעלת
סמכות
ציבוריות .
Sweden's Act with Supplementary Provisions to the EU General Data Protection Regulation (SFS 2018:218), Section 8:
Section 8 - Confidentiality obligation of data protection officers
(1) A person acting as a data protection officer pursuant to Article 37 of the EU General Data Protection Regulation may not disclose data
that he or she has become privy to in the course of performing his or her duties.
(2) With regard to public sector operations, the Public Access to Information and Secrecy Act (2009:400) shall apply in place of the provisions
in paragraph 1.
23
.
שוויץ
חוק הגנת המידע בשוויץ לא נדרש לתאימות מלאה ל-
GDPR
, ולעומת זאת נדרש לתאימות עם אמנות אחרות
ששוויץ היא צד להן. כפועל יוצא
מכך, החקיקה השוויצרית אימצה את מנגנון מינוי ה -
DPO
של ה-
GDPR
באופן
חלקי בלבד: חובת מינויDPO
סטטוטורית חלה רק על גופים ציבוריים פדרליים ועל חברות וארגונים פרטיים
,שמעבדים מידע אישי לצורך ביצוע משימות שהוטלו עליהם לטובת האינטרס הציבורי (קרי
עיבוד ל שם
הפעלת
.)סמכות פדרלית
בעלי שליטה [אך לא מעבדים] במגזר הפרטי
רשאים למנותDPO
., אך אינם חייבים לעשות כן ,עם זאת בעל
שליטה שמינהDPO
"עצמאי" בהתאם לתנאי סעיף10
(
3
) לחוק הגנת המידע של שוויץ
(כפי פירושם ב
הנחיה
של הרשות להגנת מידע של ,)שוויץ יוכל להסתמך על עצתו הפנימית של ה-
DPO
ו
יהיה פטור מ החובה לפנות
לקבלת ייעוץ מקדים(
prior consultation
)
מהרשות להגנת מידע . (ייעוץ מקדים כאמור
נדרש בטרם יוחל
בעיבוד שכרוך בסיכון גבוה לזכויות וחירויות של נושאי מידע–
ועל כן כפוף לחובה לערוךData Protection
Impact Assessment
(
DPIA
)
–
אם ה-
DPIA
העלה שסיכון גבוה כאמור עדיין קיים למרות אמצעים שמתכנן
בעל השליטה לנקוט לצמצום הסיכון .)
Switzerland's Federal Act on Data Protection 2020 (FADP), Articles 10, 23:
Art. 10 - Data protection officer
1) Private controllers may appoint a data protection officer.
2) The data protection officer is the contact point for the data subjects and for the authorities responsible for data protection in Switzerland.
He or she has the following tasks in particular:
a) training and advising the private controller in matters of data protection;
b) providing support on applying the data protection regulations.
3) Private controllers may invoke the exception in Article 23 paragraph 4 if the following requirements are satisfied:
a) The data protection officer exercises his or her function towards the controller in a professionally independent manner and is not
bound by any instructions.
b) He or she does not carry out any activities that are incompatible with his or her tasks as a data protection officer.
c) He or she has the required expertise.
d) The controller publishes the contact details of the data protection officer and notifies the FDPIC thereof.
4) The Federal Council shall regulate the appointment of data protection officers by federal bodies.
Art. 23 - Consultation of the FDPIC
1) If the data protection impact assessment indicates that the planned processing despite the measures planned by the controller will still
pose a high risk to the personality or the data subject's fundamental rights, the controller shall seek the FDPIC's opinion beforehand.
2) The FDPIC shall inform the controller within two months of any objections to the planned processing. This deadline may be extended by
one month if the data processing is complex.
3) If the FDPIC objects to the planned processing, he or she shall propose suitable measures to the controller.
4) A private controller may dispense with consulting the FDPIC if it has consulted the data protection officer under Article 10.
Switzerland's Federal Ordinance on Data Protection 2022 (FODP), Art. 23, 25-28:
Chapter 4 - Special Provisions on Data Processing by Private Persons
Art. 23 - Data Protection Officer
The controller must grant the data protection officer:
a) access to the required resources;
b) access to all information, documents, records of processing activities and personal data that the officer requires to fulfil his or her tasks;
c) the right to notify the highest management or governing body in important cases.
Chapter 5 - Special Provisions on Data Processing by Federal Bodies
Section 1 - Data Protection Officer
Art. 25 - Appointment
Every federal body shall appoint a data protection officer. Two or more federal authorities may appoint a joint data protection officer.
Art. 26 - Requirements and Tasks
1) The data protection officer must meet the following requirements:
a) He or she has the required specialist knowledge.
b) He or she carries out his or her work in relation to the federal body in a professionally independent manner and is not bound by
instructions.
2) He or she must carry out the following tasks:
a) He or she participates in applying the data protection regulations, in particular in that he or she:
1. examines the processing of personal data and recommends corrective measures if a breach of the data protection regulations is
established;
2. advises the controller on preparing the data protection impact assessment and reviews its implementation.
b) He or she serves as a contact point for data subjects.
c) He or she trains and advises employees of the federal body on data protection matters.
Art. 27 - Obligations of the Federal Body
1) The federal body has the following obligations in relation to the data protection officer:
a) It shall grant him or her access to all information, documents, records of processing activities and personal data that he or she requires
to fulfil his or her tasks.
b) It shall ensure that he or she is notified of any breach of data security.
2) It shall publish contact details for the data protection officer online and notify the FDPIC of these details.
Art. 28 - Contact Point for the FDPIC
The data protection officer serves as the FDPIC's contact point for any questions in connection with the processing of personal data by the
federal body concerned.