בשני הפסוקים הקודמים למדנו מתי יש למנות קצין הגנת מידע ומה מעמדו בארגון.
עכשיו, כשיש לנו, בשעה טובה, קצין בסביבה, מה המשימות שלו? מה יעשה לו את זה?
אז ככה:
1. להנחות את הארגון ועובדיו בכל הכרוך ברגולציה זו והרגולציות המקומיות בנושא פרטיות.
2. לנטר את הביצוע של המשימות השונות המבוצעות בכדי לעמוד בדרישות, כולל מעקב אחר רמת הביצוע, המודעות וההבנה של כל אחת מן הדרישות.
3. לסייע ולייעץ בתהליך סקירת ההשפעה העסקית.
4. לשתף פעולה עם הגופים הרגולטוריים.
5. להיות איש הקשר לכל עניין עם רשויות האכיפה כולל התייעצות אתם במקרה הצורך.
על הקצין להיות נכון, נכון תמיד, לקבל החלטות על בסיס הסיכון הכרוך בכל פעולה הקשורה בטיפול במידע אישי.
עד כאן להיום. שימרו על הפרטיות.
פסוק 40 מציע הצעה שלא כדאי לסרב לה: חברים, כיתבו מסמך עקרונות ליישום הגנת הפרטיות בארגון שלכם. צסמך סה יהווה קוד אתי שהארגון מתחייבלעמוד בו (מה שמכונה בלעז קוד אוף קונדקט).
המסמך יצהיר על הדרך בה אתם מתמודדים עם הדרישות השונות של הרגולציה כגון זכויות נושאי המידע, רישום וניהול רשומות, מחזור החיים של המידע, אבטחת המידע ועוד.
הרגולציה מציעה לפתח נוסח מקובל של הצהרות מסוג זה על ידי קבוצות מסקטורים או תחומי עניין שונים אשר יאושרו על ידי גופי הפיקוח.
מסמכים אלה ישמשו בעתיד כבסיס להסכמה פורמאלית על ידי גופים שיוסמכו לכך.
בינתיים זו הצהרת כוונות בלבד, אבל אני מאמין שכדאי מאוד להערך בהתאם.
בכל מקרה, המסמך יעשה לכם סדר בארגון, יביא למחויבות ההנהלה וכן יהווה אסמכתה רשמית לפעילותכם הברוכה בתחום.
שימו לב שלאורך היצירה פרוסים לא מעט אזכורים של המסמך המדובר.
לפני מספר ימים, לפני סיפורי קמברידג', קראנו בנחת את פסוק 40 אשר המליץ לנו בחום לכתוב קוד התנהגות ליישום דרישות הגנת הפרטיות.
פסוק 41 מרחיב ומציין כי קוד התנהגות כזה, אשר אושר על ידי רשויות הפיקוח, יכול להוות בסיס לבחינת העמידה ברגולציה.
הבחינה יכולה להתבצע על ידי גופים שהם:
1. בלתי תלויים בגוף המבוקר ואין להם כל ניגוד עניינים.
2. בעלי מתודולוגיה ברורה לגבי האופן בו תתבצע הבדיקה.
3. יודעים היטב למי וכיצד להודיע על אי עמידה בדרישות.
היצירה מאפשרת לכל אחת מן הארצות להגדיר קריטריונים לאישור פעולתם של גופי הסמכה כאלה כמו גם להפסיק את האישור לגופים שלא יפעלו כראוי.
נכון להיום, הדברים עדיין בהתהוות, אך אני מצפה לראות גופים מסמיכים מוסמכים תוך פרק זמן קצר עד בינוני.
אז תעשו לעצמכם טובה, תכינו לכם מסמך כזה ותתחילו להתנהג בהתאם. יום אחד תגידו לי תודה.
ספוילר: בהמשך נלמד שאם אכן אמצתם קוד כזה, אתם מחוייבים לעמוד בו, שאם לא כן ... טוב, נשאיר קצת מתח בסיפור העלילה .... המשך יבוא.
עד כאן להיום, שימרו על הפרטיות.
שלכם,
גלעד
הערה: האמור אינו מהווה חוות דעת רשמית של הכותב או מעסיקו ואינו מחליף ייעוץ משפטי
בשני הפסוקים הקודמים למדנו מתי יש למנות קצין הגנת מידע ומה מעמדו בארגון.
עכשיו, כשיש לנו, בשעה טובה, קצין בסביבה, מה המשימות שלו? מה יעשה לו את זה?
אז ככה:
1. להנחות את הארגון ועובדיו בכל הכרוך ברגולציה זו והרגולציות המקומיות בנושא פרטיות.
2. לנטר את הביצוע של המשימות השונות המבוצעות בכדי לעמוד בדרישות, כולל מעקב אחר רמת הביצוע, המודעות וההבנה של כל אחת מן הדרישות.
3. לסייע ולייעץ בתהליך סקירת ההשפעה העסקית.
4. לשתף פעולה עם הגופים הרגולטוריים.
5. להיות איש הקשר לכל עניין עם רשויות האכיפה כולל התייעצות אתם במקרה הצורך.
על הקצין להיות נכון, נכון תמיד, לקבל החלטות על בסיס הסיכון הכרוך בכל פעולה הקשורה בטיפול במידע אישי.
עד כאן להיום. שימרו על הפרטיות.
פסוק 40 מציע הצעה שלא כדאי לסרב לה: חברים, כיתבו מסמך עקרונות ליישום הגנת הפרטיות בארגון שלכם. צסמך סה יהווה קוד אתי שהארגון מתחייבלעמוד בו (מה שמכונה בלעז קוד אוף קונדקט).
המסמך יצהיר על הדרך בה אתם מתמודדים עם הדרישות השונות של הרגולציה כגון זכויות נושאי המידע, רישום וניהול רשומות, מחזור החיים של המידע, אבטחת המידע ועוד.
הרגולציה מציעה לפתח נוסח מקובל של הצהרות מסוג זה על ידי קבוצות מסקטורים או תחומי עניין שונים אשר יאושרו על ידי גופי הפיקוח.
מסמכים אלה ישמשו בעתיד כבסיס להסכמה פורמאלית על ידי גופים שיוסמכו לכך.
בינתיים זו הצהרת כוונות בלבד, אבל אני מאמין שכדאי מאוד להערך בהתאם.
בכל מקרה, המסמך יעשה לכם סדר בארגון, יביא למחויבות ההנהלה וכן יהווה אסמכתה רשמית לפעילותכם הברוכה בתחום.
שימו לב שלאורך היצירה פרוסים לא מעט אזכורים של המסמך המדובר.
לפני מספר ימים, לפני סיפורי קמברידג', קראנו בנחת את פסוק 40 אשר המליץ לנו בחום לכתוב קוד התנהגות ליישום דרישות הגנת הפרטיות.
פסוק 41 מרחיב ומציין כי קוד התנהגות כזה, אשר אושר על ידי רשויות הפיקוח, יכול להוות בסיס לבחינת העמידה ברגולציה.
הבחינה יכולה להתבצע על ידי גופים שהם:
1. בלתי תלויים בגוף המבוקר ואין להם כל ניגוד עניינים.
2. בעלי מתודולוגיה ברורה לגבי האופן בו תתבצע הבדיקה.
3. יודעים היטב למי וכיצד להודיע על אי עמידה בדרישות.
היצירה מאפשרת לכל אחת מן הארצות להגדיר קריטריונים לאישור פעולתם של גופי הסמכה כאלה כמו גם להפסיק את האישור לגופים שלא יפעלו כראוי.
נכון להיום, הדברים עדיין בהתהוות, אך אני מצפה לראות גופים מסמיכים מוסמכים תוך פרק זמן קצר עד בינוני.
אז תעשו לעצמכם טובה, תכינו לכם מסמך כזה ותתחילו להתנהג בהתאם. יום אחד תגידו לי תודה.
ספוילר: בהמשך נלמד שאם אכן אמצתם קוד כזה, אתם מחוייבים לעמוד בו, שאם לא כן ... טוב, נשאיר קצת מתח בסיפור העלילה .... המשך יבוא.
עד כאן להיום, שימרו על הפרטיות.
שלכם,
גלעד
הערה: האמור אינו מהווה חוות דעת רשמית של הכותב או מעסיקו ואינו מחליף ייעוץ משפטי
הודעתך לא התקבלה - נסה שוב מאוחר יותר
Oops! Something went wrong while submitting the form