top of page

האם ה-CISO שלכם יכול להיות גם הממונה על הגנת הפרטיות? (ספוילר: זה מסובך)

  • 19 בפבר׳
  • זמן קריאה 2 דקות

עודכן: 12 באפר׳

האם ממונה אבטחת מידע יכול להיות גם ממונה הגנת פרטיות?



תארו לכם טייס שמנסה תוך כדי טיסה גם להיות פקח הטיסה של עצמו במגדל הפיקוח. הוא בטח מכיר את המכשור, יודע איפה המסלול, אבל כשיש סערה בחוץ – האם הוא באמת יכול לקבל החלטות אובייקטיביות לגבי הבטיחות של עצמו?


כשהרגולציה הישראלית מתהדקת (מישהו אמר תיקון 13?), השאלה הזו הופכת להכרחית: האם ממונה אבטחת מידע (CISO) יכול לחבוש גם את הכובע של ממונה הגנת הפרטיות (DPO)?



התשובה של הרשות להגנת הפרטיות היא די ברורה: מדובר בשני תפקידים שונים במהותם. לפני שאתם "חוסכים" בתקן ומעמיסים על ה-CISO שלכם עוד אחריות, כדאי שתכירו את המוקשים.


1. סט כישורים שונה לחלוטין


ממונה אבטחת מידע הוא איש של טכנולוגיה, קוד וחומות אש. לעומתו, ממונה הגנת הפרטיות חייב להחזיק בידע מעמיק בדיני הגנת הפרטיות.


  • התפקיד דורש הבנה משפטית ורגולטורית עמוקה.

  • הממונה על הפרטיות הוא איש הקשר הרשמי של הארגון מול הרשות להגנת הפרטיות.

  • ברוב המקרים, הרקע הטכנולוגי של ה-CISO פשוט לא כולל את המיומנויות המשפטיות הנדרשות כדי לנהל את זכויות נושאי המידע או לנסח מדיניות פרטיות שעומדת בחוק.


2. מלכודת "ניגוד העניינים"


החוק אוסר על הממונה על הפרטיות למלא תפקיד נוסף שעלול להעמידו בניגוד עניינים.


  • לממונה אבטחת מידע יש אחריות אישית לפי סעיף 17(ב) לחוק.

  • אחריות כזו לא מוטלת ישירות על ממונה הפרטיות, מה שיוצר מערך שיקולים שונה לגמרי במקרה של התנגשות בין צרכי האבטחה לזכויות הפרטיות.

  • קשה מאוד לאזן בין התפקידים מבלי שצד אחד ייפגע, במיוחד כשאבטחת המידע "מושכת" לפתרונות טכניים והגנה, בעוד הפרטיות דורשת שקיפות וזכויות למשתמש.


3. ההיררכיה הארגונית קובעת


לפי החוק, הממונה על הגנת הפרטיות חייב לדווח ישירות למנכ"ל או למי שמתחתיו במישרין.


  • בארגונים רבים, ה-CISO כפוף למנהל מערכות המידע (CIO) או למחלקות טכניות אחרות.

  • אי עמידה בדרישת הדיווח הישיר הזו היא הפרה של הוראות החוק.


4. אין מספיק שעות ביממה


בארגונים גדולים, אבטחת מידע היא משרה מלאה עם אחריות כבדה.


  • החוק דורש מהארגון לספק לממונה הפרטיות את התנאים והמשאבים הדרושים למילוי תפקידו.

  • אם ה-CISO שלכם עסוק בהגנות סייבר, הוא לא יוכל להיות מעורב כראוי בכל נושא שנוגע לדיני הפרטיות, כפי שהחוק מחייב.


השפעת הרגולציה על הארגון


כשהרגולציה משתנה, הארגון צריך להתאים את עצמו. זה כולל לא רק את הממונה על אבטחת המידע, אלא גם את כל הצוותים המעורבים.


  • יש צורך בהדרכות מתמשכות.

  • חשוב לעדכן את המדיניות בהתאם לשינויים בחוק.

  • על הארגון להיות מוכן להתמודד עם אתגרים חדשים.


השורה התחתונה


אמנם החוק לא אוסר על כפל התפקידים באופן מפורש וגורף, אבל הוא מציב דרישות שקשה מאוד (עד בלתי אפשרי) לאדם אחד למלא בו-זמנית מבלי להיכנס לשדה מוקשים משפטי. זכרו, מדיניות פרטיות לקויה או טיפול שגוי בבקשות עיון יכולים להוביל לקנסות של מאות אלפי שקלים ותביעות ללא הוכחת נזק.


פתרונות מותאמים לארגון שלכם


רוצים לוודא שהארגון שלכם מוגן גם משפטית וגם טכנולוגית? נשמח לעזור לכם לעשות סדר במינויים ולבנות מערך הגנה יעיל ומדויק.

תגובות


bottom of page