ארגונים רבים מבינים היום שפרויקט ציות חד-פעמי הוא רק ההתחלה: ממפים פערים, סוגרים את הפערים שזוהו באמצעות הסדרה של נהלים, טפסים, תבניות.

עדיין נשארת השאלה החשובה באמת: מי מנהל את תחום הגנת הפרטיות ביום-יום?
מי מוודא שהתהליכים נשמרים?
מי מלווה את ההנהלה?
מי בוחן שינויים במערכות, ספקים חדשים, שימושים חדשים במידע אישי, או סיכונים שמתפתחים עם הזמן?
ומי דואג שהארגון לא יחזור שוב לאותו מצב של פערים, חוסר שליטה וחשיפה רגולטורית?

שירות DPO כשירות של חברת OK יועצים לניהול נועד בדיוק עבור זה.

שירות חיצוני, מקצועי ושוטף, שמאפשר לארגון לקבל פונקציית פרטיות אמיתית, בלי להעסיק ממונה במשרה מלאה, ובלי להשאיר את הנושא כתפקיד משני של מישהי או מישהו אחר בארגון.

מדוע ארגונים צריכים ממונה אבטחת מידע (DPO) כשירות?

בתחום הגנת הפרטיות, האתגר הוא לא רק להגיע לציות. האתגר הוא להישאר בציות.

הארגון משתנה כל הזמן:

• מערכות חדשות נכנסות
• ספקים חדשים מתחברים
• עובדים מתחלפים
• תהליכים משתנים
• נאסף מידע חדש

עקב כך החשיפה הרגולטורית לא נשארת קבועה.

לכן, גם אחרי שפרויקט ציות מסתיים, ארגונים רבים מבינים שהם צריכים ליווי שוטף הכולל:

• פיקוח ובקרה
• ייעוץ להנהלה
• תחזוקת מסמכים ונהלים
• בחינת תהליכים ושינויים
• הדרכות ומודעות
• טיפול באירועים ובשאלות
• שמירה על מוכנות מתמשכת

למי מתאים השירות?

שירות ממונה אבטחת מידע (DPO) כשירות מתאים לארגונים מכל סוג ובכל גודל, במיוחד כאשר:

• הארגון מחזיק או מעבד מידע אישי בהיקף משמעותי
• לארגון מאגרי מידע של עובדים, לקוחות, מועמדים, מטופלים, משתמשים או ספקים
• לארגון מערכות דיגיטליות, פלטפורמות, טפסים או שירותים מקוונים שמעבדים מידע אישי
• לארגון ספקים או קבלני משנה שנוגעים במידע אישי
• ההנהלה רוצה גורם מקצועי שינהל את התחום באופן שוטף
• אין בארגון בעל תפקיד פנימי עם הידע, הזמינות או העצמאות הנדרשים
• בוצע כבר פרויקט ציות, וכעת נדרש ליווי מתמשך
• רוצים להפחית חשיפה רגולטורית בלי להחזיק תקן מלא של ממונה הגנת הפרטיות פנימי

מה ההבדל בין ממונה הגנת הפרטיות (DPO) כשירות לבין פרויקט ציות לדרישות הגנת הפרטיות?

פרויקט ציות נועד להסדיר את הבסיס:

• מיפוי פערים
• כתיבת מסמכים
• נהלים
• תכנית פעולה
• סגירת ליקויים

DPO כשירות נועד לנהל את התחום לאורך זמן:

• פיקוח ובקרה שוטפים
• ליווי הנהלה
• תחזוקת מסמכים ונהלים
• בחינת שינויים ותהליכים חדשים
• טיפול בשאלות ובאירועים
• שמירה על ציות מתמשך

במילים פשוטות:

פרויקט ציות בונה את התשתית.
DPO כשירות שומר שהתשתית תמשיך לעבוד.

מה כולל שירות ממונה הגנת הפרטיות (DPO) כשירות?

השירות מותאם לפעילות הארגון, סוגי המידע, היקף החשיפה ורמת המורכבות, ויכול לכלול בין היתר:

ייעוץ שוטף להנהלה ולבעלי תפקידים

ליווי מקצועי בהחלטות הנוגעות לשימוש במידע אישי, מבנה האחריות בארגון, פעילויות עיבוד, שיתופי מידע, ספקים וסיכונים רגולטוריים.

פיקוח ובקרה שוטפים

בחינה שוטפת של מצב הציות, שלמות הנהלים, יישום בפועל והצורך בעדכונים.

תחזוקת מסמכי פרטיות

עדכון נהלים, מדיניות, מסמכי מאגר, מסמכי עובדים, תבניות ספקים ותיעוד נדרש, בהתאם לשינויים בארגון.

ליווי בפרויקטים, מוצרים ושירותים חדשים

בחינת היבטי פרטיות בתהליכים חדשים, מערכות חדשות, פתרונות דיגיטליים, ממשקים עם ספקים ושימושים חדשים במידע.

סיוע בזיהוי והפחתת סיכונים

איתור נקודות תורפה והמלצה על צעדים לחיזוק הציות והפחתת חשיפה.

הדרכות ויצירת מודעות

הדרכות להנהלה, לעובדים ולבעלי תפקידים רלוונטיים, כדי להפוך את הפרטיות לחלק מהעבודה השוטפת.

טיפול בשאלות, פניות ואירועים

ליווי מקצועי באירועי פרטיות, פניות של נושאי מידע, שאלות פנים-ארגוניות, ובמקרים המתאימים גם היערכות מול רגולטור.

דיווח שוטף להנהלה

הצפת פערים, המלצות, תמונת מצב ועדכונים שוטפים להנהלה ולגורמים רלוונטיים.

מה הארגון מקבל בפועל במסגרת השירות?

במסגרת השירות, הארגון מקבל פונקציית פרטיות חיצונית, מקצועית וזמינה, שיכולה לכלול:

• גורם מקצועי ייעודי לניהול תחום הגנת הפרטיות
• פגישות עבודה תקופתיות עם הנהלה ובעלי תפקידים
• סקירות מצב תקופתיות והצפת פערים מתפתחים
• עדכון שוטף של מדיניות ונהלים לפי צורך
• בחינת שינויים במערכות, תהליכים, טפסים וספקים
• מענה שוטף לשאלות בתחום הגנת הפרטיות
• ליווי בקבלת החלטות לגבי עיבוד מידע אישי
• תמיכה בטיפול באירועי פרטיות או חשש לדלף מידע
• תיעוד המלצות, החלטות וצעדי המשך
• תכנית עבודה תקופתית לניהול התחום
• הדרכות תקופתיות לפי צורך
• חיזוק הממשק בין פרטיות, אבטחת מידע, סייבר וניהול סיכונים

האם הארגון שלכם חייב במינוי ממונה הגנת הפרטיות (DPO)?

במקרים מסוימים, מינוי ממונה הגנת הפרטיות אינו רק החלטה ניהולית נכונה אלא חובה על פי החוק.

לפי פרסומי הרשות להגנת הפרטיות בעקבות תיקון 13, החובה חלה, בין היתר, על:

• גופים ציבוריים
• גופים העוסקים בסחר במידע
• ארגונים שליבת עיסוקם כוללת עיבוד מידע אישי רגיש בהיקף נרחב
• ארגונים שליבת עיסוקם כוללת ניטור שוטף ושיטתי של בני אדם בהיקף נרחב

האם אפשר להטיל את התפקיד על גורם מתוך הארגון "בנוסף לתפקידו"?

אחת הטעויות הנפוצות ביותר, היא להטיל את הנושא על גורם פנימי שהגנת הפרטיות אינה המומחיות שלו.

כשאין גורם מקצועי ייעודי:

• הנושא נדחק הצידה
• נהלים לא מתוחזקים
• שינויים בארגון לא נבדקים בזמן
• אין בקרה רציפה
• עלול להיות ניגוד עניינים בין התפקיד הרשמי של האדם לבין חובותיו כ-DPO
• ההנהלה מקבלת תחושת ביטחון שלא תמיד תואמת את המציאות

הרשות להגנת הפרטיות הדגישה במסגרת גילוי הדעת את החשיבות של מומחיות מקצועית, עצמאות תפקודית והימנעות מניגודי עניינים בתפקיד הממונה.

מדוע לבחור בנו?

אתם תבחרו בנו ממגוון הסיבות הטובות שלהלן:

• תמיכה משפטית: הצוות שלנו כולל DPO מוסמך מטעם לשכת עורכי הדין שהוא גם עו"ד המתמחה בדיני הגנת הפרטיות, עם ידע מעמיק בשינויים ברגולציות ובחקיקה המתעדכנת.
• היכרות מעמיקה של רגולציות פרטיות: הבנה מעשית וניסיון נרחב בהטמעת תקנות פרטיות מרכזיות כגון GDPR, CCPA, ותקנות הגנת הפרטיות בישראל.
• רקורד מוכח: ניסיון רב בסיוע לארגונים לעמוד בדרישות הגנת הפרטיות בתעשיות מרובות.
• שירות מותאם: אנו מספקים פתרונות תפורים לכל ארגון לפי צרכיו והאתגרים הספציפיים שלו.
• שירותים משלימים בתחומים כגון אבטחת מידע וסייבר: אנו חברה מולטי-דיסציפלינארית ויש לנו יכולות לתת מענה לכל צרכי התהליך שלכם. למשל: ניהול אבטחת מידע, חקירת פריצות למאגרי מידע ועוד.

אנו לא מציעים רק “שירות DPO”.

אנו מציעים פונקציה מקצועית חיצונית לניהול הגנת הפרטיות, עם ראייה רחבה של רגולציה, תהליכים, אבטחת מידע, סייבר וניהול סיכונים.

הייחוד שלנו הוא בהיותנו חברה מולטי-דיסציפלינרית, המשלבת בין:

• הגנת פרטיות וציות רגולטורי
• אבטחת מידע וסייבר
• ניהול סיכונים
• כתיבת נהלים, מדיניות והטמעת תהליכים
• ליווי ארגונים בבקרה, הפחתת חשיפה והיערכות לרגולציה

בנוסף לליווי DPO, אנו יכולים לספק גם מעטפת שירותים משלימה, לרבות:

• ניהול אבטחת מידע וסייבר
• סקרי סיכונים
• מבדקי חדירה
• בחינת ספקים וממשקי עיבוד מידע
• חיזוק בקרות ותהליכי עבודה

המשמעות עבורכם ברורה: במקום לעבוד מול מספר ספקים נפרדים, אתם נהנים מליווי של חברת ייעוץ אחת, שמבינה לעומק את החיבור בין פרטיות, טכנולוגיה, אבטחת מידע, ניהול סיכונים וציות ומעמידה לרשותכם צוות מומחים בכל אחד מהתחומים הללו.

היתרונות העסקיים של DPO כשירות

היתרונות ברורים:

• אין צורך להעסיק ממונה במשרה מלאה
• מקבלים מומחיות מקצועית עדכנית
• שומרים על רציפות בניהול התחום
• מפחיתים חשיפה לעיצומים כספיים, לקנסות ולליקויי ציות
• משפרים את יכולת ההנהלה לקבל החלטות נכונות
• מחזקים את המוכנות לביקורת, אירוע או בדיקה רגולטורית

איך מתחילים?

השלב הראשון הוא פגישת היכרות.

בפגישה נבין:

• איזה מידע אישי הארגון מחזיק
• מה היקף הפעילות והמורכבות
• האם קיימת חובת מינוי DPO
• מה כבר קיים כיום
• מה רמת הבשלות הארגונית
• ומהו מודל הליווי הנכון עבורכם

לאחר מכן נוכל להציע מסלול ליווי מותאם, בהתאם לגודל הארגון, רמת החשיפה והצרכים בפועל.

שאלות נפוצות

מה זה DPO כשירות?

DPO כשירות הוא שירות חיצוני שבו הארגון מקבל פונקציית פרטיות מקצועית ומתמשכת, בלי להעסיק ממונה פנימי במשרה מלאה.

מי צריך DPO כשירות?

ארגונים שמחזיקים או מעבדים מידע אישי ורוצים ליווי שוטף, בקרה מקצועית, תמיכה להנהלה ויכולת לשמור על ציות מתמשך.

האם יש ארגונים שחייבים למנות DPO?

כן. לפי תיקון 13 והפרסומים הרשמיים של הרשות, יש גופים שבהם מינוי ממונה על הגנת הפרטיות הוא חובה, ובהם גופים ציבוריים, גופים העוסקים בסחר במידע, וארגונים שליבת עיסוקם כוללת עיבוד מידע אישי רגיש בהיקף נרחב או ניטור שוטף ושיטתי של בני אדם בהיקף נרחב.

איך יודעים אם גם הארגון שלנו חייב DPO?

יש לבחון את סוג הארגון, סוגי המידע שמעובדים בו, היקף הפעילות, ואופי השימוש במידע. אם קיימת אי-ודאות, מומלץ לבצע בדיקה מסודרת לפני שמחליטים. 

מה ההבדל בין DPO כשירות לבין פרויקט ציות?

פרויקט ציות מסדיר את הבסיס.
DPO כשירות מנהל, מפקח ומתחזק את התחום לאורך זמן.

האם השירות מתאים גם לארגון קטן או בינוני?

כן. גם ארגונים קטנים ובינוניים עלולים להחזיק מידע אישי בהיקף משמעותי או לפעול בסביבה שמחייבת ניהול פרטיות מקצועי.

האם השירות כולל גם ממשק עם אבטחת מידע וסייבר?

במידת הצורך ניתן להרחיב את השירות ולשלב מעטפת רחבה יותר הכוללת גם אבטחת מידע, סקרי סיכונים, מבדקי חדירה ובקרות משלימות.