החל מאוגוסט 2025 חובה על ארגונים שמחזיקים מידע אישי או יש להם גישה למידע אישי למנות DPO / ממונה אבטחת הפרטיות. שאלת השאלות – האם אפשר שה-CISO (מנהל אבטחת המידע) יתפקד גם כ-DPO (ממונה אבטחת הפרטיות) נוסף על תפקידו?
בעוד ששני התפקידים מתמקדים בהגנה על מידע, הם שונים בהיקף, באחריות ובכישורים הנדרשים לתפקיד. הבנת התפקידים של ה- CISO וה-DPO תוביל אותנו למענה על השאלה.
לפני הדיון בשאלה אם אדם אחד יכול לעשות גם את תפקיד ה-CISO וגם את תפקיד ה-DPO, נדרש להבין את מהות כל אחד מהתפקידים:
בקצרה, ה-CISO הוא תפקיד טכנולוגי. ה-CISO אחראי על ניהול אבטחת המידע ואבטחת הסייבר של הארגון. התפקיד כולל ניהול ההגנה על הנכסים הדיגיטליים של הארגון, הטמעת פרוטוקולי אבטחה, הפחתת סיכונים הקשורים לאיומי סייבר ותגובה לאירועי אבטחה.
פירוט תפקיד CISO כשירות / ממונה אבטחת מידע – כאן
בארגונים שנאסף אצלם מידע אישי, או שיש להם גישה למידע אישי של הלקוחות שלהם, ה-DPO משמש כמעין רגולטור פנימי שבאחריותו להבטיח את זכויות הלקוחות של הארגון. כלומר: ה-DPO מתמקד בהבטחה שהארגון יציית לתקנות ולחוקים בנושא הגנת הפרטיות. תחומי האחריות של ה-DPO כוללים פיקוח על טיפול הנכון בנתונים אישיים, ביצוע הערכות השפעות על הפרטיות ופעולה כאיש קשר עם רשויות הגנת המידע.
פירוט תפקיד DPO כשירות / ממונה אבטחת הפרטיות – כאן
הגנת פרטיות הנתונים ואבטחת המידע בארגון הופכים חשובים יותר ויותר בעידן הדיגיטלי. ארגונים מתמודדים עם שאלה חשובה: האם התפקידים של ממונה אבטחת מידע וסייבר (CISO) וממונה הגנת הפרטיות Data privacy Officer – DPO יכולים להתבצע על ידי אותו אדם, או שנדרש להפריד בין הפונקציות הללו?
בעוד ששני התפקידים עוסקים בשמירה על מידע, ה-CISO מתמקד בדרך כלל באבטחת כל המידע (בין אם אישי ובין אם לא), בעוד שה-DPO עוסק ספציפית בהגנה על המידע האישי ובעמידה ברגולציה.
מבחינת הגדרת החוק היבש – ה-DPO צריך להיות פונקציה בכירה בארגון, כדי שהארגון יציית להנחיות שלו. יחד עם זאת, ה-DPO צריך להיות בלתי לחלוטין ולכן התפקיד לא יכול להיות באחריות כל מנהל אחר ברמה של C-level. במקרה שהמציאות הארגונית לא מאפשרת DPO ברמת C-level, המינימום הוא שההנהלה תקרא את הדו"חות שלו ותציית להנחיות שלו. לא מספיק לעשות V ולהגיד – יש לנו DPO.
למשל – Chief Marketing Officer (CMO) -סמנכ"ל שיווק, ירצה לאסוף כמה שיותר מידע על הלקוחות והלקוחות הפוטנציאלים כדי להגדיל הצעות שיובילו למכירות. ייתכן שה-DPO לא ירשה ל-CMO לגשת למידע מפורט שכזה. ניגוד אינטרסים שכזה מחייב הפרדת רשויות.
דוגמה שנייה – CFO שאוסף נתונים על מנת לנתח אותם ולקבל החלטות, יכול לקבל החלטות על סמך מידע פרטי של הלקוחות. ה-DPO צריך לבחון האם חוקי לאסוף את הנתונים שברשות ה-CFO.
דוגמה שלישית – DPO מול Chief of Information (CIO). ה-DPO כאחד שמכיר את הצד המשפטי נדרש להנחות את ה-CIO לאחר ניתוח המידע שברשות הארגון מבחינת ההתייחסות למאגרי המידע והגישה למאגרי המידע של הלקוחות. ה-DPO צריך להיות מעורב בכל פעילויות המידע של הארגון ובמערכות שאוספות מידע על הארגון.
מסקנה מהנאמר עד כה – לא ילכו שניים יחדיו ! ה-DPO וה-CISO לא יכולים להתבצע על ידי אותו אדם.
חברות טכנולוגיות קטנות עד בינוניות – לא תמיד יכולות להרשות לעצמן מינוי שני מנהלים בכירים לתפקידי CISO ו-DPO. המלצתינו היא השתמשו במיקור חוץ לפחות לאחד משני התפקידים, או לשניהם שיבוצעו על ידי יועצים שונים: CISO כשירות ו-DPO כשירות. יועצים עם מומחיות ספציפית בכל אחד מהתחומים תמיד יהיו מעודכנים יותר מאשר אנשים בארגון, במיוחד בנושאים הקשורים לאבטחת הפרטיות. בנושאי אבטחת הפרטיות נדרשת הכרת החוקים בארץ ובמדינות השונות, ולהיות ער גם לשינויים בחוקים שקורים חדשות לבקרים.
ארגונים שבכל זאת רוצים להגדיר פנימית את שני התפקידים – חייבים להגדיר את המנדט של כל תפקיד באופן ברור ולייצר מנגנוני אי תלות של דיווחים. נזכור שה-DPO מייצג את הציבור / הלקוחות, וה-CISO דואג לתשתיות הטכנולוגיות של הארגון.כל תפקיד צריך מנדט מבחינת אחריות, סמכות וכשירות. בהצלחה!
איפה מוצאים אנשי CISO כשירות, או DPO כשירות?
טוב ששאלתם. דברו איתי ישירות כדי לתפור לכם פיתרון שעונה על כל צרכיכם
אורנה קמין, 0537739018, orna@ok-consulting.co.il
