תפקיד חדש נולד: קצין הגנת נתונים

אם גם אתם נמנים על החברות הנמצאות בעיצומו של תהליך התאימות לרגולציית האירופיות הפרטיות, ה-GDPR, סביר להניח שכבר נתקלתם בדרישה למנות קצין הגנת נתונים (DPO – ר"ת Data Privacy Officer).

קצין הגנת הנתונים הינו תפקיד מפתח בהבטחת התאימות, ההלימה לרגולציה. אולם, לא תמיד ברור מהו תפקידו המדויק ובאילו משימות הוא מעורב. ארגון נדרש למנות קצין הגנת נתונים במקרים הבאים: כאשר עיבוד הנתונים האישיים נעשה על ידי רשויות ציבוריות, או גוף ציבורי; כאשר פעילות הליבה של הרשות, או הגוף, מורכבת מפעולות ניטור קבוע ושיטתי של נושאי נתונים בקנה מידה גדול – מספר נושאי הנתונים, נפח הנתונים, משך העיבוד או ההיקף הגיאוגרפי של העיבוד; כאשר קיים עיבוד בקנה מידה גדול של נתונים רגישים במיוחד – כגון נתונים הקשורים לגזע, מוצא אתני, אמונות דתיות, בריאות, חיי מין או להרשעות פליליות.

תפקידו של קצין הגנת הנתונים

המשימות של קצין הגנת הנתונים מוגדרות במסגרת הרגולציה. הן כוללות את החובה ליידע ולייעץ לעובדי הארגון ולארגון שנתוני המשתמשים בבעלותו, או שהוא הגורם המעבד אותם, על מחויבויותיהם לעמוד ברגולציות הפרטיות ובחוקי הגנת המידע האחרים. עוד עליו לקבוע מהי רמת ההשפעה שתהיה לארגון כאשר יש לספק הגנה על נתונים אלה. בנוסף, על קצין הגנת הנתונים לבצע מעקב אחר ציות ל-GDPR וחוקי הגנת מידע אחרים, כולל ניהול פעולות הגנה על נתונים הנאגרים או המעובדים בארגון, הכשרת צוותי עיבוד נתונים וניהול ביקורות פנימיות. לבסוף, עליו לעבוד ולשתף פעולה עם הרשות המפקחת על תאימות הארגון לרגולציה. הוא צריך להיות איש הקשר בין רשות הפיקוח לבין הארגון בנושאים הקשורים לעיבוד נתונים אישיים: לדוגמה, הגנה על נתונים, משיכת הסכמה של המשתמש, הזכות להישכח וזכויות נלוות נוספות.

קצין הגנת הנתונים – עצמאי בארגון

על מנת לבצע את המשימות המוטלות על קצין הגנת הנתונים כנדרש ובהצלחה, עליו להישאר עצמאי בארגון. בעל התפקיד הזה חייב להיות בעל גישה לעובדי עיבוד הנתונים של החברה ולפעולותיה, ובעל יכולת לתקשר ישירות עם דרג הניהול הגבוה בחברה. על הארגון לספק לקצין הגנת הנתונים את המשאבים הנחוצים לשם ביצוע מטלותיו על הצד הטוב ביותר ולדאוג שלא יהיה נתון במצב של ניגוד עניינים.

אף על פי שאין מניעה שקציני הגנת הנתונים יחזיקו גם בתפקידים אחרים בארגון, יש כמה תפקידים שאינם ניתנים לביצוע במקביל לתפקיד זה – כגון מנכ"ל, סמנכ"ל כספים, מנהל שיווק, מנהל משאבי אנוש או מנמ"ר.

חברה שיש לה חברות בנות רשאית למנות קצין בודד להגנת נתונים שיהיה אחראי על כל החברות בקבוצה. זאת, כל עוד כל אחת מהחברות נגישה עבורו בקלות. קיימת אפשרות לפונקציית קצין הגנת המידע, שתבוצע על ידי עובד של הארגון עצמו או על ידי ספק שירות צד ג'. מצב שכזה יוצר הזדמנויות לחברות ייעוץ משפטי – הן יכולות להציע שירותי DPO חיצוני. כלומר, קצין הגנת הפרטיות לא חייב להיות מינוי מתוך הארגון, אלא יכול להתבצע על ידי קבלן חיצוני ולהיות משותף לכמה ארגונים.

עולה השאלה: מה דינו של ארגון שלא מינה קצין הגנת הנתונים על אף שהוא מחויב במינוי כזה לפי רגולציית ה-GDPR? לכאורה, הפרה שכזו עלולה לחייב את הארגון בקנס של עד 10 מיליון יורו, או 2% מהמחזור העולמי השנתי של הארגון. בפועל, לדעתנו, הרגולטור יבחן קודם כל כשלים אחרים, מהותיים יותר בארגון, לפני שישית קנסות בגין אי מינוי קצין הגנת נתונים.

יחד עם זאת, אי מינוי של DPO – בין אם הארגון מחויב לכך על פי הרגולציה ובין אם לאו – מחמיץ את ההזדמנות שיש לארגון. הוא יכול למנות בעל תפקיד שיפקח על ציות לדרישות הרגולטוריות וינהל את ביצוע השיפורים הארגוניים הנדרשים, על מנת למנוע אזורי סיכון רגולטוריים, שימשיכו להתפתח בשנים הקרובות.

אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי; עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.