JOKOPOST | עיתון המאמרים והבלוגים המוביל בישראל

facebook twitter linkedin
  • ראשי » 
  • IT
  •  » מקצוע נדרש חדש

מקצוע נדרש חדש

כל מה שרציתם לדעת על מנהל אבטחת פרטיות המידע – DPO

מקצוע נדרש חדש צילום: stockfreeimages.com
מרץ 04
19:30 2018

DPO (DATA PROTECTION OFFICER) ובעברית קצין הגנה על נתונים, הוא תפקיד מוביל בתחום האבטחה בארגונים שונים, הנדרש (באירופה) על פי תקנה כללית להגנה על נתונים (GDPR). אומנם קיימים הבדלים מסוימים בין אירופה לישראל בהגדרות החקיקה החדשות, אבל עם הזמן יהיה יישור קו.

לקראת כניסת תקנות הפרטיות החדשות לתוקף, אקדיש מאמר זה לבחינת תפקידו של קצין הגנה על נתונים, מה הוא כולל, מהן מטרותיו ועל פי אילו תקנות הוא פועל.

הגדרת התפקיד – בישראל טרם נקבע חד-משמעית כי יש חובה לבעל תפקיד כזה, אך מאחר שאנשי אבטחת המידע מגיעים בעיקר מרקע טכנולוגי – הם אינם כשירים מקצועית ותודעתית לתחום אבטחת הפרטיות. זאת בדיוק כפי שהם אינם מתאימים לעסוק בביקורת מערכות ממוחשבות. כל אחד משלושת העיסוקים האלה הוא תחום ידע בפני עצמו הדורש גם ניסיון, ולכן חובה על רוב הארגונים להפריד ביניהם. מנהלי אבטחת פרטיות המידע נקראים באירופה "קציני הגנה על נתונים", ותפקידם לפקח על אסטרטגיית הגנת נתונים ויישומה על מנת להבטיח עמידה בדרישות ה-GDPR. בישראל הם אחראים במקביל הן על העמידה בתנאי תקנות הפרטיות שתיכנסנה לתוקף במאי 2018, והן על ההתאמה לתנאים הנדרשים לכל חברה שיש לה קשרי מסחר עם אירופה.

מדוע חברות וארגונים זקוקים להגנה על נתונים? כל חברה המעבדת נתונים בכמות גדולה – נתוני עובדים/ספקים/לקוחות ברמות עומק ומיקוד שונות – מחויבת לעמוד בתקנות. באירופה מינוי DPO הוא בגדר חובה, בישראל – מומלץ (בעקיפין). כל גוף, ציבורי או פרטי, ממסדי או בבעלות יחיד, מחויב לעמוד בתקנות. הכול בהתאם לתנאי הסף המוגדרים.

מטרות-העל של קצין הגנה על נתונים הן ניטור כלל פעילויות המידע בארגון ככל שהן עוסקות בפרטים אישיים וממוקדות בזהות מוגדרת מסוימת – מוצא, גזע, דת, מצב כלכלי ועוד פרטים אישיים המחייבים את הפעילות; כל תחום הביג-דאטה, הפעילות בענן, והצלבות מידע; כל פעילות העברות מידע בין גופים – הכול כפוף להתניות בתקנות הפרטיות החדשות.

קצין הגנה על נתונים אחראי על חינוך כל מערכות הארגון ועובדיו למילוי דרישות החוק והתקנות ומתן טיפול נאות לנתונים, נוסף על כך עליו לספק הנחיות מפורטות לצוות הדרכה המעורב בעיבוד נתונים; הוא אחראי על הממשק שבין החברה לבין רשויות הפיקוח החיצוניות (רו"ח, מבקר, רשויות חוק ואכיפה), ואחראי לאשר כל פעילות של העברות מידע, כמו גם על הממשק עם בעלי הנתונים וישויות הנתונים, עליו ליידע אותם על אופן השימוש בנתונים שלהם, על זכויותיהם השונות, כמו לדוגמה מחיקת הנתונים האישיים שלהם, ומהם האמצעים שהחברה נוקטת כדי להגן על המידע האישי שלהם; הוא אחראי כמובן גם לוודא שמתבצעות כל פעילויות האבטחה המומלצות על ידי אנשי אבטחת המידע, ולמנוע פעילויות סייבר לא חוקיות. הוא אחראי לשמירת תקינות ואמינות המאגרים בארגון, עם אנשי הביקורת ועם אנשי אבטחת המידע; עליו לבצע ביקורות על מנת להבטיח תאימות ולטפל בבעיות פוטנציאליות באופן יזום.

כמו כן נדרש קצין הגנה על נתונים לעקוב אחר הביצועים ועליו לייעץ ולהסביר מה חשיבותם של מאמצי הגנת הנתונים; הוא אחראי לשמור על רשומות LOG של כל פעולות עיבוד הנתונים שביצעה החברה, לרבות מטרתן של פעולות אלו, והאפשרות לפרסם אותן על פי בקשה.

קצין הגנה על נתונים יספק אישורים מסוגים שונים עבור דרישות רלוונטיות בתחום. אחריותו זהה לזו של האחראי על חופש המידע בארגון ובמקביל לו. חשוב לציין שלא נקבע בתקנות דעתו של מי גוברת – האחראי על חופש המידע או האחראי על פרטיות המידע, או אם יש צורך בחוות דעת משפטית פנימית לקביעת דעתו של מי מהם אכן נכונה/מתאימה למקרה.

קצין הגנה על נתונים חייב להיות בעל ידע פרקטי שמתאים לתפקיד, ורצוי גם ידע בחקיקה הרלוונטית. בישראל זה יכול להיות פתרון תעסוקתי נהדר לשפע עורכי הדין שלא מוצאים תעסוקה במקצועם (משפטים) אך יש להם די הכשרה בתחומי מִחשוב, כדי למלא את התפקיד.

אפשרי בהחלט שקצין הגנה על נתונים יהיה חבר בצוות של ביקורת/אבטחת מידע/סייבר/פרטיות שמטרתו לשמור על משאבי הארגון.

לאור הגידול במספר הארגונים בישראל שהוכפפו לתקנות החדשות, צפויה דרישה לכמה אלפי עוסקים בתחום. על פי הערכות, באירופה נדרשים קרוב ל-30,000 איש בתפקיד זה. ממאי 2018 יחולו התקנות החדשות של GDPR על יותר ויותר ארגונים.

כדי לקלוט את בעלי המקצוע הטובים אני ממליץ לארגונים בארץ לגייס מועמד עכשיו ומיד ולשלוח אותו לקורס בנושא. אפשר כמובן גם להקצות עובד פנים (שחייב הכשרה), העובד חייב להיות נאמן מאוד לארגון, אמין כלפי כל גורם אכיפה וגורם משפטי מחוץ לחברה, בעל יכולת ניסוח מצוינת, יחסי אנוש טובים והבנה כי הארגון עלול להינזק משמעותית אם תפקודו לא יהיה מיטבי. אפשר לחלופין לקבל את הדין ולשכור, באופן זמני או קבוע, שירותי מיקור חוץ ממומחים בתחום, כאלה שהם בעלי ניסיון רב וידע מעמיק באבטחת מידע ובביקורת מערכות ממוחשבות.

ולסיום, הארה והערה: לא כל גוף חייב משרה מלאה בתחום, לכן לעיתים ראוי לקבל גורם מקצועי במיקור חוץ, בהיקף מוסכם, שמשתנה בהתאם למשך הייעוץ המתבקש. ייתכן ובשלב המיפוי ראוי תקצוב רב, ולעת הגשת מסמכי הבסיס – להקטין היקף רק לצורך ביקורות. יועץ במיקור חוץ סביר שיכיר את הרגולציה בתחום לא פחות מאיש פנים שיש לו עיסוקים אחרים והכשרתו הבסיסית איננה מתחום אבטחת פרטיות המידע.

 

על המחבר / המחברת

Avatar

מאיר פלג

M.A בניהול וביקורת. מרצה, יזם, ויועץ בתחומים: ניהול, מחשוב ושיווק. 45 שנות ניסיון בניהול וביקורת.

9 תגובות

  1. אבי
    אבי מרץ 05 2018, 06:58
    המלצה

    מרשים.איזה עומק מקצוענות והבנה.בהצלחה רבה

    השב לתגובה
  2. מ פלג
    מ פלג מרץ 05 2018, 10:51
    תפקיד חובה

    https ://www.calcalist.co.il/local/articles/0,7340,L-3732293,00.html

    השב לתגובה
  3. מ פלג
    מ פלג מרץ 05 2018, 10:53
    הנה האתר המקצועי להכשרה ישירה

    https ://google.wixsite.com/gdpr-il

    השב לתגובה
  4. יצחק ת.
    יצחק ת. מרץ 06 2018, 13:47
    לא צריך להגזים

    כל איש ניהול מערכות מידע אם יקרא את החומר יוכל לעשות זאת. זה לא מקצוע. זה תפקיד.

    השב לתגובה
    • מ פלג
      מ פלג מרץ 08 2018, 10:02
      כל אחד מבין? כל איש מערכות מידע גם עורך דין?

      "…אם יקרא את החןמר" – אם ידע למצוא, אם יבין את הניסוח המשפטי, אם יבין איך לחבר מזרח ומערב, אם יבין פרשנויות מששפטיות, ובקיצור- לא כל אחד מבין את התקנות החדשות, ראה פרשנויות שונות…

      השב לתגובה
  5. חסוי
    חסוי מרץ 07 2018, 14:30
    צנעת הפרט עאלק

    מתי כבר תבינו שהכל על כולם ידוע לכל מי שרק רוצה ומוכן לשלם על כך

    השב לתגובה
  6. מ פלג
    מ פלג מרץ 08 2018, 07:10
    מי מארגן את הקורס?

    הרשמה לקורס? היכן?

    השב לתגובה
  7. אלון נשר
    אלון נשר מרץ 08 2018, 20:46
    כמה כבר צריכים כאלה

    אל תדאגו מכללה נידחת כבר תפתח חוג למקצוע נידח כזה

    השב לתגובה
  8. מ פלג
    מ פלג מרץ 09 2018, 08:10
    מל"ג- מי יעצור תהליך טבעי?

    הלימודים הרב תחומיים באוניברסיטאות מאפשרים בחירת חוג חדש שהמל"ג יתבקשו לאשר – לימודי פרטיות דיגיטאלית….בדיוק כמו חוג המאפשר לקבל תעודת מבקר פנימי מאושר על ידי נציבות שירות המדינה….(חוג לביקורת ציבורית).

    השב לתגובה

כתוב תגובה

הוסף תגובה:

<

* אני מתחייב לפעול על פי תנאי השימוש באתר


התגובות יפורסמו לפי שיקול דעת העורך

כתבות נוספות

פוסטים אחרונים בIT

יתר המאמרים במדור
Do NOT follow this link or you will be banned from the site!