חיפוש

יש לכם ממונה הגנת הפרטיות, DPO. אבל האם יש לכם באמת ניהול תהליך הגנת הפרטיות?

אורנה קמין, מנכ"לית OK יועצים לניהול

דד

ממונה הגנת הפרטיות, (Data Privacy Officer (DPO רק על הנייר: הטעות שתעלה לארגונים ביוקר

יש ארגונים שכבר מינו DPO. כל הכבוד!

יש אדם בארגון אדם הנושא בתואר המכובד DPO – "ממונה הגנת הפרטיות".

אבל בפועל?

ה-DPO לא באמת מעורב בהחלטות.
לא שואלים אותו לפני שמעלים מערכת חדשה.
לא מתייעצים איתו לפני קמפיין שיווקי.
לא מערבים אותו בבחירת ספקים.
לא מזמינים אותו לדיונים על תהליכים שבהם נאסף מידע אישי.
לא פונים אליו כשמשנים טופס, תהליך, הרשאה או מערכת.

כלומר, על הנייר יש DPO.
במציאות – אין באמת ניהול פרטיות.

וזאת בדיוק הבעיה.

מינוי DPO הוא לא סוף התהליך. הוא רק ההתחלה.

תיקון 13 לחוק הגנת הפרטיות גרם לארגונים רבים להתעורר. פתאום כולם שואלים:

האם אנחנו חייבים למנות DPO?
האם יש לנו מדיניות פרטיות?
האם אנחנו חשופים לקנסות?
האם אנחנו עומדים בדרישות החוק?

אלה שאלות חשובות.

אבל יש שאלה אחת חשובה יותר:

האם הגנת הפרטיות באמת מוטמעת בדרך שבה הארגון עובד?

כי אפשר למנות DPO ועדיין להמשיך להתנהל בדיוק כמו קודם.

אפשר למנות DPO ועדיין לא לדעת איפה נשמר מידע אישי.
אפשר למנות DPO ועדיין לשמור קורות חיים לנצח.
אפשר למנות DPO ועדיין להעביר קבצי לקוחות לספקים בלי בקרה.
אפשר למנות DPO ועדיין לא לדעת אילו עובדים חשופים לאיזה מידע.
אפשר למנות DPO ועדיין להעלות קמפיין שיווקי בלי לבדוק את מקור הדאטה.
אפשר למנות DPO ועדיין להיות רחוקים מאוד מציות אמיתי.

וזה מה שאני קוראת לו: DPO רק על הנייר.

פרטיות לא מנהלים תוך כדי כמשהו צדדי. פרטיות מנהלים מתוך תהליכי העבודה עצמם.

הטעות הנפוצה היא לחשוב שהגנת פרטיות היא עניין משפטי בלבד.

כותבים מדיניות פרטיות.
מעדכנים טפסים.
מנסחים נוהל.
ממנים ממונה.
ומסמנים וי.

אבל פרטיות לא נפגעת במסמכים.
היא נפגעת בתהליכי העבודה.

היא נפגעת כשאיש מכירות שומר מידע רגיש באקסל אישי.
היא נפגעת כשמנהל משאבי אנוש מעביר קורות חיים בוואטסאפ.
היא נפגעת כשספק חיצוני מקבל גישה רחבה מדי למערכת.
היא נפגעת כשמחלקת שיווק משתמשת ברשימת תפוצה בלי לבדוק הרשאות.
היא נפגעת כשמערכת חדשה עולה לאוויר לפני שמישהו שאל: איזה מידע נאסף כאן, למה הוא נדרש, מי רואה אותו, ולכמה זמן הוא נשמר?

לכן, הגנת פרטיות חייבת להיכנס לתהליכי העבודה.

DPO טוב הוא לא קישוט רגולטורי. הוא מוקד ידע.

DPO אמיתי צריך להיות מחובר לארגון.

הוא צריך להכיר את תהליכי העבודה.
להבין איפה נאסף מידע אישי.
לדעת אילו מערכות מחזיקות מידע.
להיות מעורב בפרויקטים חדשים.
להיות כתובת לשאלות של מנהלים ועובדים.
להבין את הקשר בין פרטיות, אבטחת מידע, איכות, שירות, רכש, משאבי אנוש, שיווק וטכנולוגיה.

כדי להגן עם הארגון, ה-DPO צריך להכיר את הארגון לעומק.

כי DPO שלא מכיר את הארגון – לא יכול להגן על הארגון.

לא רק לענות על שאלה משפטית.
לא רק לנסח מסמך.
לא רק להשתתף בדיון נקודתי.

אלא בעל יכולת לזהות סיכון בזמן אמת.
להשפיע על תהליך לפני שהוא יוצא לדרך.
להפוך את הפרטיות לחלק מהניהול השוטף.

וזה ההבדל בין ציות פורמלי לבין הטמעה אמיתית.

הבעיה: הרבה ארגונים רוצים פתרון נקודתי

כאן נמצא הפער הגדול בשוק.

הרבה ארגונים מחפשים “מישהו שיסגור להם את נושא הפרטיות”.

הם רוצים מדיניות פרטיות.
נוהל.
טבלת מאגרים.
חוות דעת.
מינוי  DPO.
סימון וי.

וזה מובן. מנהלים עסוקים. יש רגולציה. יש חשש מקנסות. רוצים לטפל בנושא.

אבל נושא הגנת פרטיות הוא לא ש“סוגרים”.
הגנת פרטיות מנהלים.

בדיוק כמו איכות.
בדיוק כמו אבטחת מידע.
בדיוק כמו בטיחות.
בדיוק כמו סיכונים.

מי שמתייחס לפרטיות כאל משימה חד־פעמית, יקבל פתרון חד־פעמי.
מי שמתייחס לפרטיות כאל שיטת ניהול, יבנה ארגון הרבה יותר בשל, בטוח ואמין.

נדרשים שני שלבים: יישור קו ואז ניהול שוטף

בדרך כלל, ארגון צריך להתחיל בפרויקט ציות. זהו שלב יישור הקו.

בודקים מה קיים.
ממפים פערים.
מזהים תהליכים שבהם מעובד מידע אישי.
בודקים מדיניות, טפסים, הסכמים, ספקים, מערכות והרשאות.
מכינים תשתית ארגונית ראשונית.
מתקנים פערים מהותיים.
מכניסים סדר.

אבל אחרי היישור הראשוני מגיע השלב החשוב באמת:

ניהול שוטף של פרטיות.

כאן נכנס DPO כשירות.

לא כאדם שיושב מרחוק ומוציא מסמך פעם בשנה.
אלא כפונקציה מקצועית שמלווה את הארגון, משתתפת בהחלטות, עונה לשאלות, בוחנת שינויים, מסייעת בניהול סיכונים, ומוודאת שהפרטיות לא נשארת במגירה.

איך תדעו שה-DPO  שלכם הוא לא רק על הנייר?

שאלו את עצמכם חמש שאלות פשוטות:

האם ה־ DPO מעורב בפרויקטים חדשים?
האם פונים אליו לפני התקשרות עם ספק שמעבד מידע אישי?
האם הוא מכיר את תהליכי השיווק, המכירות, משאבי האנוש והשירות?
האם הוא מדווח להנהלה על סיכונים ופערים?
האם עובדים יודעים מתי לפנות אליו?

אם עניתם "לא" על שאלות אלה  – יש לכם DPO על הנייר.

הגנת הפרטיות היא שיטת ניהול שחייבת להשתלב בכל תהליך שבו הארגון עובד עם מידע אישי.

כאן המקום שבו ארגונים צריכים לשנות חשיבה.

לא לשאול רק: “האם אנחנו חייבים DPO ”?

אלא לשאול:

“איך אנחנו מוודאים שכל החלטה שכוללת מידע אישי מתקבלת נכון?”
“איך אנחנו מכניסים פרטיות לתהליכי העבודה?”
“איך אנחנו מונעים טעויות לפני שהן הופכות לאירוע?”
“איך אנחנו הופכים את ה-DPO  למוקד ידע אמיתי בארגון?”

כי בסוף, פרטיות היא לא רק דרישה רגולטורית.
היא חלק מהאמון של לקוחות, עובדים וספקים בארגון.

ארגון שמנהל פרטיות נכון, משדר בגרות.
הוא משדר אחריות.
הוא משדר שליטה.
הוא משדר שאפשר לסמוך עליו.

לסיכום: DPO רק על הנייר לא מגן על הארגון.

הוא אולי עוזר להרגיש שהנושא טופל.
אבל הוא לא באמת מונע סיכונים.
לא באמת משנה תהליכים.
לא באמת מכניס פרטיות לקבלת החלטות.

הגנת פרטיות אמיתית מתחילה כאשר הארגון מבין דבר אחד פשוט:

פרטיות לא מטמיעים במסמכים. פרטיות מטמיעים בתהליכי העבודה.

וזאת בדיוק המומחיות הנדרשת היום:
לא רק להבין את החוק.
לא רק לכתוב נהלים.
לא רק למנות DPO.

אלא לחבר בין רגולציה, תהליכים, אבטחת מידע, ניהול סיכונים, פרויקטים ואנשים.

כי ארגון שלא מחבר את הפרטיות לתהליכים שלו – יישאר עם פרטיות על הנייר.

רוצים לוודא שהגנת הפרטיות אצלכם אינה נשארת על הנייר?

דברו איתי!

ב־OK יועצים לניהול אנו מסייעים לארגונים בשני מסלולים משלימים:

פרויקט ציות להגנת הפרטיות – ליישור קו, מיפוי פערים, בניית תשתית ניהולית ותיקון נקודות חשיפה מרכזיות.

 DPO כשירות – לליווי שוטף, מעורבות בהחלטות, מענה מקצועי, ניהול סיכונים והטמעת פרטיות בתוך תהליכי העבודה.

אורנה קמין, orna.kamin@gmail.com, 0537739018

מזמינה אותך להצטרף לקבוצת WhatsApp שנועדה לשיתוף ידע, רעיונות ושיתופי פעולה בנושאים הקשורים להגנת הפרטיות בארגונים.
קישור להצטרפות – כאן

 

להרשמה השאירו פרטים

    ארכיון ניוזלטרים >>
    מעוניינים בפרויקט ציות לחוק הגנת הפרטיות? לחצו כאןמעוניינים בממונה הגנת הפרטיות כשירות, DPO כשירות? לחצו כאןמעוניינים בממונה אבטחת מידע כשירות, CISO כשירות? לחצו כאן

    אנשים שקראו מאמר זה התעניינו גם ...

    שיתוף ידע בנושאים הקשורים להגנת הפרטיות