קציני הגנת מידע הם מרכיב בסיסי בכל פעילות אבטחת סייבר רחבה יותר של ארגון.
GDPR סעיף 37 מדגיש את חשיבות התפקיד, ומציע הדרכה כיצד יש למנות DPO, פעילויות הליבה של התפקיד וכיצד מתקשרים מינויים כאלה.
ייעודו של קצין הגנת המידע
- הבקר והמעבד יקבעו קצין הגנת מידע בכל מקרה בו:
- (א) העיבוד מתבצע על ידי רשות או גוף ציבורי, למעט בתי משפט הפועלים בתפקידם השיפוטי;
- (ב) פעילויות הליבה של הבקר או המעבד מורכבות מפעולות עיבוד המחייבות, מתוקף טבען, היקפן ו/או מטרותיהן, מעקב שוטף ושיטתי אחר נושאי המידע בקנה מידה גדול; אוֹ
- (ג) פעילויות הליבה של הבקר או המעבד מורכבות מעיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים לפי סעיף 9 ונתונים אישיים הנוגעים להרשעות ועבירות פליליות האמורות בסעיף 10.
- קבוצה של חברות רשאית למנות קצין הגנת מידע יחיד בתנאי שמכל מפעל יהיה גישה נוחה לקצין הגנת מידע.
- כאשר הבקר או המעבד הם רשות או גוף ציבוריים, ניתן לייעד קצין הגנת מידע יחיד עבור מספר רשויות או גופים כאלה, תוך התחשבות במבנה הארגוני ובגודלם.
- במקרים אחרים מאלה המוזכרים בסעיף 1, הבקר או המעבד או עמותות וגופים אחרים המייצגים קטגוריות של בקרים או מעבדים רשאים או, כאשר הדבר נדרש על פי חוק האיחוד או המדינה החברות, יקבע קצין הגנת מידע. קצין הגנת המידע עשוי לפעול עבור עמותות כאלה וגופים אחרים המייצגים בקרים או מעבדים.
- קצין הגנת המידע יוגדר על בסיס תכונות מקצועיות ובמיוחד ידע מומחה בדיני הגנת מידע ושיטות עבודה ויכולת למלא את המשימות האמורות בסעיף 39.
- קצין הגנת המידע יכול להיות איש צוות של הבקר או המעבד, או למלא את המשימות על בסיס חוזה שירות.
- הבקר או המעבד יפרסמו את פרטי ההתקשרות של קצין הגנת המידע ויעבירו אותם לרשות הפיקוח.
ייעודו של קצין הגנת המידע
- הבקר והמעבד יקבעו קצין הגנת מידע בכל מקרה בו:
- (א) העיבוד מתבצע על ידי רשות או גוף ציבורי, למעט בתי משפט הפועלים בתפקידם השיפוטי;
- (ב) פעילויות הליבה של הבקר או המעבד מורכבות מפעולות עיבוד המחייבות, מתוקף טבען, היקפן ו/או מטרותיהן, מעקב שוטף ושיטתי אחר נושאי המידע בקנה מידה גדול; אוֹ
- (ג) פעילויות הליבה של הבקר או המעבד מורכבות מעיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים לפי סעיף 9 ונתונים אישיים הנוגעים להרשעות ועבירות פליליות האמורות בסעיף 10.
- קבוצה של חברות רשאית למנות קצין הגנת מידע יחיד בתנאי שמכל מפעל יהיה גישה נוחה לקצין הגנת מידע.
- כאשר הבקר או המעבד הם רשות או גוף ציבוריים, ניתן לייעד קצין הגנת מידע יחיד עבור מספר רשויות או גופים כאלה, תוך התחשבות במבנה הארגוני ובגודלם.
- במקרים אחרים מאלה הנזכרים בסעיף 1, הבקר או המעבד או עמותות וגופים אחרים המייצגים קטגוריות של בקרים או מעבדים רשאים לקבוע קצין הגנת מידע. קצין הגנת המידע עשוי לפעול עבור עמותות כאלה וגופים אחרים המייצגים בקרים או מעבדים.
- קצין הגנת המידע יוגדר על בסיס תכונות מקצועיות ובמיוחד ידע מומחה בדיני הגנת מידע ושיטות עבודה ויכולת למלא את המשימות האמורות בסעיף 39.
- קצין הגנת המידע יכול להיות איש צוות של הבקר או המעבד, או למלא את המשימות על בסיס חוזה שירות.
- הבקר או המעבד יפרסמו את פרטי ההתקשרות של קצין הגנת המידע ויעבירו אותם לממונה.
סעיף 37 של GDPR מתאר 7 תחומים מרכזיים שארגונים צריכים לקחת בחשבון בעת מינוי וניהול הפעילויות של קצין הגנה על נתונים:
בסעיף זה אנו מדברים על סעיפים GDPR 37 (1)(א), 37 (1)(ב), 37 (1)(ג), 37 (2), 37 (3), 37 (4), 37 (5) ), 37 (6), 37 (7)
ארגונים צריכים להגדיר תפקידים ואחריות שהם ספציפיים לפונקציות בודדות הכלולים במדיניות הגנת הפרטיות שלהם - הן המדיניות הכללית והן המדיניות הספציפית לנושא.
אנשים בעלי אחריות ספציפית צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, ויש להציע להם תמיכה מתמשכת השומרת על רמת כשירות מקובלת.
תחומי אחריות צריכים לכלול:
ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.
יש לתעד בבירור את כל האחריות ואזורי האבטחה לעיל ולהיות זמינים לכל אנשי הצוות הרלוונטיים.
ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יוכלו להשתמש בו כנקודת קשר ייעודית לכל הנושאים הקשורים ל-PII (ראה ISO 27701 סעיף 7.3.2).
בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית תוכנית ניהול פרטיות ארגונית שתחזק את הציות לחוקים ולתקנות PII מקומיים ולאומיים.
מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
---|---|---|
סעיפים GDPR של האיחוד האירופי 37 (1)(א) עד 37 (7) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
פתרון ה-GDPR המלא שלך.
הסביבה הבנויה מראש שלנו משתלבת בצורה חלקה במערכת הניהול שלך ומאפשרת לך לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות שלך באירופה ובבריטניה.
עם ISMS.online, אתה יכול להדגים בקלות רמה של הגנה על פרטיות החורגת מ"הגיונית", והכל במיקום מאובטח אחד ותמיד פועל.
למידע נוסף על ידי הזמנת הדגמה.
בקש ציטוט