מדריך ה-GDPR המלא
מדריך ה-GDPR המלא
מתי צריך למנות קצין הגנת מידע?
בעל שליטה ומעבד מידע נדרשים למנות קצין הגנת מידע מקצועי בכל אחד מהמקרים הבאים:
- כשעיבוד מידע כרוך בניטור רגיל, שיטתי ובהיקף נרחב של נשואי המידע, והוא חלק מליבת הפעילות של בעל השליטה במידע או של מעבד המידע.
השאלה האם העיבוד מהווה את ליבת הפעילות אם לאו, היא שאלת מהותית (ולא כמותית), הנבחנת לפי אופי, סוג ומטרת העיבוד. בהחלט יתכן מצב, בו עיבוד מידע הוא פן שולי מבחינת הפעילות העסקית, אך מבחינה מהותית מהווה חלק מליבת הפעילות. - כשעיבוד מידע מיוחד/רגיש בהיקף נרחב מהווה את ליבת הפעילות של בעל השליטה במידע או של מעבד המידע.
- כשעיבוד המידע מתבצע על ידי רשויות ציבוריות שונות.
אין הכרח שקצין הגנת מידע יהיה עובד בארגון שבו מונה, והוא רשאי להיות ספק שירותים חיצוני. כמו כן, אין מניעה שקצין הגנת מידע ימלא גם תפקידים אחרים, כל עוד אין ניגוד עניינים עם כהונתו כקצין הגנת מידע.
לפי GDPR על קצין הגנת מידע לפעול באופן עצמאי לחלוטין, ועליו להיות מונחה אך ורק לפי הוראות דיני הגנת הפרטיות. יש להבטיח שיינתן לו חופש פעולה מלא בכל הנוגע לביצוע תפקידו. כמו כן, יש להבטיח שיתקיים שיתוף פעולה מלא עמו, וחל איסור מוחלט להקשות עליו לבצע את משימותיו. על קצין הגנת מידע לדווח ישירות לגורמי ההנהלה הבכירים ביותר אצל בעל השליטה במידע או אצל מעבד המידע.
תפקידיו של קצין הגנת מידע הם, בין השאר:
- בקרה שוטפת שהארגון מקיים ועומד בתקנות GDPR, מבוצעות ההנחיות הרגולטוריות הרלבנטיות להגנת פרטיות, ומיושמת המדיניות הארגונית בנוגע להגנת מידע.
- קיום הדרכות לעובדים ולנושאי משרה.
- ייעוץ והכוונה של עובדים ונושאי משרה בכל הנוגע לחובותיהם לפי תקנות GDPR או הנחיות רגולטוריות אחרות.
- ייעוץ ובקרה על ביצוע סקרי סיכונים בנוגע להגנת מידע.
- שיתוף פעולה, התייעצות ואחריות לדיווח מול רשויות רגולטוריות בכל הנוגע להגנת הפרטיות ולהפרתה.
מתי צריך למנות קצין הגנת מידע?
בעל שליטה ומעבד מידע נדרשים למנות קצין הגנת מידע מקצועי בכל אחד מהמקרים הבאים:
- כשעיבוד מידע כרוך בניטור רגיל, שיטתי ובהיקף נרחב של נשואי המידע, והוא חלק מליבת הפעילות של בעל השליטה במידע או של מעבד המידע.
השאלה האם העיבוד מהווה את ליבת הפעילות אם לאו, היא שאלת מהותית (ולא כמותית), הנבחנת לפי אופי, סוג ומטרת העיבוד. בהחלט יתכן מצב, בו עיבוד מידע הוא פן שולי מבחינת הפעילות העסקית, אך מבחינה מהותית מהווה חלק מליבת הפעילות.
- כשעיבוד מידע מיוחד/רגיש בהיקף נרחב מהווה את ליבת הפעילות של בעל השליטה במידע או של מעבד המידע.
- כשעיבוד המידע מתבצע על ידי רשויות ציבוריות שונות.
אין הכרח שקצין הגנת מידע יהיה עובד בארגון שבו מונה, והוא רשאי להיות ספק שירותים חיצוני. כמו כן, אין מניעה שקצין הגנת מידע ימלא גם תפקידים אחרים, כל עוד אין ניגוד עניינים עם כהונתו כקצין הגנת מידע.
לפי GDPR על קצין הגנת מידע לפעול באופן עצמאי לחלוטין, ועליו להיות מונחה אך ורק לפי הוראות דיני הגנת הפרטיות. יש להבטיח שיינתן לו חופש פעולה מלא בכל הנוגע לביצוע תפקידו. כמו כן, יש להבטיח שיתקיים שיתוף פעולה מלא עמו, וחל איסור מוחלט להקשות עליו לבצע את משימותיו. על קצין הגנת מידע לדווח ישירות לגורמי ההנהלה הבכירים ביותר אצל בעל השליטה במידע או אצל מעבד המידע.
תפקידיו של קצין הגנת מידע הם, בין השאר:
- בקרה שוטפת שהארגון מקיים ועומד בתקנות GDPR, מבוצעות ההנחיות הרגולטוריות הרלבנטיות להגנת פרטיות, ומיושמת המדיניות הארגונית בנוגע להגנת מידע.
- קיום הדרכות לעובדים ולנושאי משרה.
- ייעוץ והכוונה של עובדים ונושאי משרה בכל הנוגע לחובותיהם לפי תקנות GDPR או הנחיות רגולטוריות אחרות.
- ייעוץ ובקרה על ביצוע סקרי סיכונים בנוגע להגנת מידע.
- שיתוף פעולה, התייעצות ואחריות לדיווח מול רשויות רגולטוריות בכל הנוגע להגנת הפרטיות ולהפרתה.