תקנת הגנת המידע הכללית (GDPR) מדבר הרבה על אחריות וממשל, ומחייב ארגונים להיות שקופים יותר לגבי מה שהם עושים עם נתונים אישיים.
"מצפים ממך להפעיל צעדי ממשל מקיפים אך מידתיים. כלי תרגול טובים שה-ICO דגל בהם במשך זמן רב כגון הערכות השפעת הפרטיות ופרטיות לפי תכנון נדרשים כעת על פי חוק בנסיבות מסוימות.
"משרד נציב המידע"
אחריות וממשל אלה מחייבים ארגונים גדולים יותר להעסיק קצין הגנת מידע (DPO) כדי לפקח על שיטות אלה.
העסקת DPO כמובן לא תתאים לכל הארגונים. אז לשכת נציב המידע סידרה את הצורך ב-DPO לקטגוריות הבאות.
בעוד שהארגונים הנ"ל נדרשים על פי חוק למנות DPO, חלק מהעסקים עשויים לרצות למנות אחד מרצון.
DPO נחשב לתפקיד אבטחה ארגוני, המוביל את ציות ל-GDPR של ארגון.
המשימות המינימליות של ה-DPO מוגדרות בסעיף 39 של ה-GDPR:
'להודיע ולייעץ לארגון ולעובדיו לגבי חובותיהם לעמוד ב-GDPR ואחרים הגנה על נתונים חוקים'.
"כדי לפקח על הציות ל-GDPR וחוקי הגנת מידע אחרים, לרבות ניהול פעילויות פנימיות להגנת מידע, לייעץ בהערכות השפעה על הגנת מידע; להכשיר צוות ולבצע ביקורות פנימיות״.
'להיות נקודת הקשר הראשונה לרשויות הפיקוח ולאנשים שהנתונים שלהם מעובדים (עובדים, לקוחות וכו').'
בנוסף למשימות אלו, ה-DPO חייב להבטיח שהם מדווחים ברמת הדירקטוריון, או מה שלא יהיה הרמה הגבוהה ביותר של הארגון שלך. למעשה, הם פועלים ללא תלות בארגון בכללותו, וככאלה, חייבים להגן על העסקתם. משמעות הדבר היא שלא ניתן לפטר אותם או להעניש אותם רק בגלל שהם עושים את העבודה של DPO. בנוסף לכך, על הארגון לספק לקצין הגנת המידע את כל המשאבים הדרושים לו כדי לעמוד באחריות ובחובות לעיל.
אמנם אין כישורים פורמליים להפוך ל-DPO, אך למרות שתיעדנו כמה הכשרה רשמית ב-GDPR עצמו בדף משאבי ה-GDPR שלנו, המועמד המתאים יידרש להיות בעל תכונות וידע מסוימים.
ה-DPO צריך להיות בעל יושרה מוכחת ואתיקה מקצועית גבוהה כדי להיות מסוגל להבטיח שארגון מוכן ואז ממשיך לתרגל GDPR.
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה