תפקיד נולד: ה- DPO הוא אביר הגנת הפרטיות

עד לפני שבועיים, מרבית הארגונים בישראל בכלל לא ידעו שהם זקוקים לממונה הגנת פרטיות אך עם כניסתו לתוקף, החודש, של תיקון 13 לחוק הגנת הפרטיות המציאות השתנתה לגמרי.

על פי דרישות החוק, חובת מינויו של קצין הגנת פרטיות (או בקיצור DPO-Data Protection Officer) תחול על גופים ציבוריים, על מי שעיסוקם במסירת מידע אישי לצדדים שלישיים, על ארגונים המעבדים מידע הדורש ניטור שיטתי בהיקף רחב, וכן על גופים המטפלים במידע רגיש בהיקף משמעותי. התיקון לחוק הגנת הפרטיות העלה מדרגה את הנחיות הרשות והפכן לחובה מחייבת: לראשונה הוגדר בחוק תפקידו, סמכויותיו, הכשרתו ואופן מינויו של ממונה הגנת הפרטיות בארגונים. לצד זאת, הורחבו סמכויות האכיפה של הרשות, הכוללות עיצומים כספיים מנהליים כבדים בגין הפרת החוק, בהתאם לרגישות המידע שבמאגריו. יתרה מכך, החוק קובע מנגנון עיצום נוסף המחושב לפי מספר האנשים שעליהם מוחזק מידע במאגרים אשר בשליטת החברה.

תפקידו של ה DPO כולל מיפוי וסיווג מאגרי מידע רגישים, בניית נהלים לשמירה על פרטיות עובדים ולקוחות, ליווי פרויקטים טכנולוגיים ועסקיים כדי לוודא התאמה לחוק, טיפול באירועי אבטחת מידע ודיווח לרגולטור במקרה של דליפה, הדרכת עובדים והעלאת מודעות פנימית לנושא פרטיות ואבטחת מידע. כמי שאמון על עמידת הארגון בהוראות החוק ובהנחיות הרגולטור, DPO חייב לפעול באופן עצמאי ולא להיות נתון ללחץ מצד מנהלים. ברוב הארגונים הוא ידווח ישירות למנכ"ל או לדירקטוריון, בדומה למבקר פנים.

אמיר פורקוש, סמנכ"ל טכנולוגיות, בינת תקשורת ומחשבים, מסביר: "תפקידו של ה- DPO, הוא להיות שומר הסף של הפרטיות בארגון. מי שמחזיק בו, חייב להבין גם את השפה המשפטית וגם את השפה הטכנולוגית, ולדעת לגשר ביניהן. לא מדובר בתפקיד קוסמטי או סמלי, אלא בפונקציה שבאמת מייצרת ערך לארגון. מצד אחד, DPO צריך להיות אמיץ מספיק כדי לומר להנהלה ‘זה קו אדום שאין לחצות', מצד שני, הוא חייב להכיר ולהבין את צרכי העסק ולאפשר חדשנות, תוך שמירה על כללי המשחק. בסופו של דבר, ארגון שלא ישמור על פרטיות הלקוחות שלו יאבד את אמון הציבור, שהוא המטבע החשוב ביותר בעולם הדיגיטלי. במובן הזה, ה-DPO לא רק מגן על מידע בארגון, אלא גם מגן על המוניטין של הארגון, ועל הקשר שלו עם הלקוחות."

מי מתאים לתפקיד

ביולי האחרון פרסמה הרשות להגנת הפרטיות גילוי דעת מפורט, שמטרתו לחדד את ציפיותיה באשר למי שימונה לתפקיד ממונה הגנת הפרטיות. בגילוי הדעת הוצבו מספר "דגלים אדומים" שעל הארגונים להביא בחשבון בטרם מינוי: ראשית, נדרש ידע משפטי מהותי וניסיון ממשי בדיני פרטיות, ולא די בהיכרות כללית או בהכשרה בסיסית. שנית, בעלי תפקידים העלולים להימצא בניגוד עניינים, כגון מנהלי שיווק, כספים, מערכות מידע, או כל בעל תפקיד שיש לו השפעה על מדיניות עיבוד המידע, עשויים להימצא בחשש לניגוד עניינים ולא יוכלו לכהן במקביל כממונה הגנת הפרטיות בארגון. ולבסוף, הדגישה הרשות כי אין לשלב בין תפקידי אבטחת מידע (CISO) לבין ממונה הגנת הפרטיות: אף שהשדות משיקים, מדובר בשני תפקידים מובחנים, בעלי אחריות, כפיפות וסיכוני אכיפה שונים. ההבדל המהותי בין שני התפקידים הוא במיקוד: תפקיד הCISO אחראי על ההגנה הטכנולוגית, חומות אש, ניטור סייבר, מניעת פריצות, כלומר מתמקד בהגנה טכנולוגית, בעוד ה-DPO, אחראי על ההיבט המשפטי-תפעולי, מה מותר ומה אסור לעשות עם המידע, איך לאסוף, לשמור ולהשתמש בו בהתאם לחוק.

התפקיד דורש חשיבה מערכתית וראייה עסקית, וזאת משום שפרטיות כבר אינה נתפסת רק כדרישה חוקית, אלא כנכס עסקי שמחזק את אמון הלקוחות. ולבסוף, תפקידו של הDPO  דורש גם יכולות תקשורת גבוהות ועמידה איתנה מול הנהלה בכירה, שכן חלק מהתפקיד הוא לשכנע, להתריע ואף לבקר את מקבלי ההחלטות בארגון. למעשה, הנחיות הרשות להגנת הפרטיות קובעות כי ה-DPO  חייב להיות עצמאי מבחינה תפקודית,  לא להיות נתון ללחצים, ולדווח ישירות למנכ"ל או לדירקטוריון. לפיכך, נדרשים גם ניסיון ומיומנויות בעבודה לצד דרגי מפתח בארגון.

קריירה עם שליחות

עבור מי שמחפש את הצעד הבא, תפקיד ממונה הגנת פרטיות הוא הזדמנות נדירה להשתלב בעולם שנמצא בצמיחה מהירה, ולשבת בשולחן מקבלי ההחלטות. מדובר בתפקיד עם אחריות אישית ומשמעותית בעבודה שוטפת מול החברה, ובדיווח, במקרה הצורך, לרשות להגנת הפרטיות, ולא רק "תפקיד אסטרטגי", וזאת משום שבעולם של היום, פרטיות כבר אינה עניין שולי או "עוד דרישת רגולציה", אלא תחום ליבה שיכול להכריע את עתידו העסקי של כל ארגון.