בחודש מאי 2018, נכנסה לתוקף הרגולציה האירופאית הכללית להגנת מידע (General Data Protection Regulation), או בשמה המוכר רגולציית GDPR. מדובר אמנם ברגולציה אירופאית, אולם היא חלה גם על חברות הפועלות מחוץ לאירופה, אולם משווקות ומוכרות לאזרחי האיחוד האירופאי תוך שימוש במידע האישי שלהם (ושימו לב – גם כתובת מייל של עובד אירופאי בחברה שלו, נחשבת לפי האירופאים ל"מידע אישי").
ה- GDPR כוללת שורה של הוראות מחייבות שונות, המתייחסות הן לבעל המידע (קונטרולר – Controller) והן לגורמים וצדדים שלישיים המספקים לו שירותים ומעבדים עבורו מידע (מעבדים – Processor).
ההבדל בין Data Processor ו-Data Controller
אחת מהחובות הקבועות ב- GDPR, הינה החובה למנות Data Protection Officer – "קצין אבטחת מידע", או בשמו המקוצר DPO.
ה-DPO מזכיר את ממונה אבטחת המידע שהחוק הישראלי מחייב למנות בנסיבות מסוימות. עם זאת, הדרישות וההגדרות תחת ה-GDPR רחבות ושונות מאלו החלות בישראל, ויש לבחון כל מקרה ומקרה לפי נסיבותיו.
ה- GDPR חל הן בצורה ישירה – חובה חוקית של החברה המשתמשת במידע לציית להוראותיו – והן בצורה עקיפה – חובה של החברה לפעול בהתאם להתחייבויות חוזיות שדורשות ממנה חברות אירופאיות ושותפים עסקיים אחרים. מאחר ובישראל פועלות לא מעט חברות המספקות שירותים ומוצרים שונים לתושבי האיחוד האירופאי או לחברות המשווקות בעצמן לאירופה, בפועל, ה-GDPR חל גם על לחברות רבות במשק הישראלי.
כל מה שצריך לדעת על רגולציית GDPR
למאמר המפרט אודות הסמכת GDPR בארגון
לפרטים נוספים לגבי החובות שנקבעו במסגרת ה-GDPR
כל מה שצריך לדעת על פרויקט GDPR עם המומחים של Nextep
ה- GDPR חל כאמור על כל חברה המשווקת לאירופה ועושה לצורך כך שימוש במידע של אזרחים אירופאים. עם זאת, החובה למנות DPO חלה רק על ארגונים שהם רשויות ציבוריות, או ארגונים העומדים בתנאים מסוימים, למשל כשליבת העיסוק שלהם קשורה בעיבוד מידע אישי או כאשר הם מבצעים פעולות של עיבוד מידע בהיקפים גדולים ומשמעותיים.
כמו כן ה- GDPR קובע כי חברה שאינה חייבת במינוי קצין אבטחת מידע, אך החליט בכל זאת למנות, חייבת לוודא כי המינוי עומד בכל דרישות ה- GDPR לנושא.
מאחר והחובה למנות קצין אבטחת מידע תלויה במאפיינים הייחודיים של כל מקרה ומקרה, על מנת לקבוע האם החברה שלך חייבת במינוי קצין אבטחת מידע, מומלץ להתייעץ עם מומחה לנושא.
ה- GDPR קובע שורה של תנאים בהם חייב לעמוד ה-Data Protection Officer הממונה על ידי החברה:
תפקיד ה-DPO כולל כאמור חובה כללית להיות מעורב בכל ההליכים הנוגעים לאבטחת מידע אישי והגנת הפרטיות בארגון.
עם זאת, ה-GDPR מפרט שורה של תפקידים וחובות ספציפיות:
כאשר חלה חובה למנות DPO, תפקיד זה כרוך בשורה רחבה של חובות המחייבת ידע מקצועי הן בתחום אבטחת המידע והמחשוב, הן בתחום הרגולציה הפנים ארגונית והן בתחום המשפטי. שילוב זה, יחד עם החובה להימנע מניגוד עניינים, יוצרת בעיה מסוימת באיוש התפקיד. וכך למשל, הועדה האירופאית הבהירה שמנמ"ר אינו יכול בעיקרון לכהן כ-DPO, כיוון שהוא מצוי בניגוד עניינים אינהרנטי – ה-DPO אמור לפקח על פעילות המנמ"ר.
בדומה לכך, במרבית הארגונים גם CISO לא יוכל לכהן במקביל כממונה אבטחת מידע. ועל כן, ארגונים רבים בוחרים להיעזר בספק חיצוני, המחזיק גם במומחיות הנדרשת, וגם אינו מצוי בניגוד עניינים, על מנת לאייש את תפקיד ה-DPO.
מחלקת אבטחת מידע של חברת נקסטפ תקינה ישירה, מתמחה בהטמעת מערכות רגולציה פנים ארגוניות, מלווה בצורה שוטפת על ידי משפטנים, ומחזיקה ביועצי אבטחת מידע הבקיאים בהיבטים הטכניים של אבטחת מידע, ביצוע סקרי חשיפה והטמעת תקני אבטחת מידע (כמו ISO 27001 ודומיו). שילוב זה מאפשר לחברת נקסטפ לשווק ללקוחותיה שירותי Data Protection Officer בצורה מקיפה, מסודרת ומקצועית, תוך ייעול התפקיד ועמידה בהוראות הדין.
יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.
מרדכי רוז'נסקי 18 כניסה ב',
א.ת חדש ראשון לציון
א' - ה'
08:00-17:00