top of page
חיפוש

האם ה-CISO שלכם יכול להיות גם הממונה על הגנת הפרטיות? (ספוילר: זה מסובך)

  • 19 בפבר׳
  • זמן קריאה 2 דקות


מאת: Safe Copmly


תארו לכם טייס שמנסה תוך כדי טיסה גם להיות פקח הטיסה של עצמו במגדל הפיקוח. הוא בטח מכיר את המכשור, הוא יודע איפה המסלול, אבל כשיש סערה בחוץ – האם הוא באמת יכול לקבל החלטות אובייקטיביות לגבי הבטיחות של עצמו?


כשהרגולציה הישראלית מתהדקת (מישהו אמר תיקון 13? ), השאלה הזו הופכת להכרחית: האם ממונה אבטחת מידע (CISO) יכול לחבוש גם את הכובע של ממונה הגנת הפרטיות (DPO)?



התשובה של הרשות להגנת הפרטיות היא די ברורה: מדובר בשני תפקידים שונים במהותם. אז לפני שאתם "חוסכים" בתקן ומעמיסים על ה-CISO שלכם עוד אחריות, כדאי שתכירו את המוקשים.


1. סט כישורים שונה לחלוטין

ממונה אבטחת מידע הוא איש של טכנולוגיה, קוד וחומות אש. לעומתו, ממונה הגנת הפרטיות חייב להחזיק ב"ידע מעמיק בדיני הגנת הפרטיות".

  • התפקיד דורש הבנה משפטית ורגולטורית עמוקה.

  • הממונה על הפרטיות הוא איש הקשר הרשמי של הארגון מול הרשות להגנת הפרטיות.

  • ברוב המקרים, הרקע הטכנולוגי של ה-CISO פשוט לא כולל את המיומנויות המשפטיות הנדרשות כדי לנהל את זכויות נושאי המידע או לנסח מדיניות פרטיות שעומדת בחוק.


2. מלכודת "ניגוד העניינים"

החוק אוסר על הממונה על הפרטיות למלא תפקיד נוסף שעלול להעמידו בניגוד עניינים.

  • לממונה אבטחת מידע יש אחריות אישית לפי סעיף 17(ב) לחוק.

  • אחריות כזו לא מוטלת ישירות על ממונה הפרטיות, מה שיוצר מערך שיקולים שונה לגמרי במקרה של התנגשות בין צרכי האבטחה לזכויות הפרטיות.

  • קשה מאוד לאזן בין התפקידים מבלי שצד אחד ייפגע, במיוחד כשאבטחת המידע "מושכת" לפתרונות טכניים והגנה, בעוד הפרטיות דורשת שקיפות וזכויות למשתמש.


3. ההיררכיה הארגונית קובעת

לפי החוק, הממונה על הגנת הפרטיות חייב לדווח ישירות למנכ"ל או למי שמתחתיו במישרין.

  • בארגונים רבים, ה-CISO כפוף למנהל מערכות המידע (CIO) או למחלקות טכניות אחרות.

  • אי עמידה בדרישת הדיווח הישיר הזו היא הפרה של הוראות החוק.


4. אין מספיק שעות ביממה

בארגונים גדולים, אבטחת מידע היא משרה מלאה עם אחריות כבדה.

  • החוק דורש מהארגון לספק לממונה הפרטיות את התנאים והמשאבים הדרושים למילוי תפקידו.

  • אם ה-CISO שלכם עסוק בהגנות סייבר, הוא לא יוכל להיות מעורב כראוי בכל נושא שנוגע לדיני הפרטיות, כפי שהחוק מחייב.


השורה התחתונה

אמנם החוק לא אוסר על כפל התפקידים באופן מפורש וגורף, אבל הוא מציב דרישות שקשה מאוד (עד בלתי אפשרי) לאדם אחד למלא בו-זמנית מבלי להיכנס לשדה מוקשים משפטי. זכרו, מדיניות פרטיות לקויה או טיפול שגוי בבקשות עיון יכולים להוביל לקנסות של מאות אלפי שקלים ותביעות ללא הוכחת נזק




רוצים לוודא שהארגון שלכם מוגן גם משפטית וגם טכנולוגית? נשמח לעזור לכם לעשות סדר במינויים ולבנות מערך הגנה יעיל ומדויק

תגובות

דברו איתנו

  • LinkedIn

 054-3455898

 ‫sagiv@safecomply.tech‬

מתעניינים במיוחד ב:

© 2025 by SAFE COMPLY. Powered and secured by Wix

bottom of page