אפ על הרגליים! שבנו למסלול שלנו והנה הגענו לפסוק 36.
בפסוק 35 למדנו כי עבור תהליכים בהם מידע פרטי רגיש עלינו להעריך את הסיכונים הכרוכים בעיבוד המידע, לתכנן וליישם את התהליכים והטכנולוגית לצמצומם. נא להתנהג בהתאם! זהו תהליך חשוב ומחייב.
מה קורה אם הסיכון גבוה, ארוכה הדרך ואין כסף למסע ועל כן איננו יכולים ליישם הגנה נאותה?
חובה וגם זכות השולט ליצור קשר במקרה זה עם רשות הפרטיות הרלוונטית (לא שכחנו - בהמשך נדון בשאלה - מי היא רשות עלומה זו?).
רשות זו מחוייבת לייעץ לארגון ולהגדיר מה על השולט והמעבד לעשות ולספק המלצות בכתב תוך פרק זמן שלא יעלה על שמונה שבועות.
יש לספק לרשות מידע מפורט לגבי אופי העיבוד, מטרתו, הדרכים בהן המידע מוגן, ההסכמים החוזיים לגבי מידע זה וכן מסמך ניתוח הסיכון.
דברי ההסבר מזכירים לנו שלרשות הפיקוח זכות לאסור בכל עת על המשך העיבוד במידה והסיכון הנותר גבוה מידי.
הבנתם את זה? אם לא (וגם אם כן) אתם מוזמנים להגיב על הפוסטים וכן לדבר עם המדריך מתי ואיך שבא לכם.
פסוק 37 מציג לנו שחקן חדש במשחק - קצין הגנת המידע.
שני הפסוקים הבאים יספרו לנו מה מיצובו ותפקידיו של הקצין שלנו. פסוק זה עונה על השאלה מתי בכלל חובה למנות בעל תפקיד כזה.
ובכן, הן על השולט והן על המעבד למנות קצין הגנת המידע כאשר:
1. מדובר בגוף ציבורי.
2. פעילות הליבה של הארגון עוסקת בניטור מידע פרטי בכמויות גדולות.
3. פעילות הליבה של הארגון עוסקת בקטגוריות מידע רגיש (כמוגדר בפסוקים 9 ו-10).
ניתן למנות בעל תפקיד אחד לקבוצה של מספר חברות.
יש למנות לתפקיד אדם בעל כישורים מתאימים. בפרט הכרה של דרישות החוק ויכולת ביצוע המשימות (עליהן נלמד ביומיים הקרובים).
החוק מציין בפירוש כי חברות ייעוץ כמו זו בה עובד המדריך שלכם יכולות למלא פונקציה זו.
יש להודיע לרשות הפרטיות הרלוונטית מי נושא התפקיד.
אתמול פגשנו את קצין הגנת המידע והגדרנו מתי נדרש למנות בעל תפקיד כזה. (מכאן ואליך אפנה אל הקצין בלשון זכר אבל קצינות מתקבלות בשמחה ובברכה).
בפסוק שלנו היום מוגדר מעמדו של הקצין היקר בארגון.
על הארגון לוודא כי הוא מעורב בכל דבר הקשור בהגנה על מידע פרטי .
יש לספק לו את המשאבים הנדרשים למילוי תפקידו וכן לדאוג כי ישמור על רמתו המקצועית.
יש לשמור על עצמאות הקצין כך שלא יקבל הנחיות מאף גורם בארגון , לא יענש בעקבות מילוי תפקידו וידווח לרמה הגבוהה ביותר אצל המעבד או השולט במידע.
אנשים פרטיים (נושאי המידע) יכולים לפנות בכל עת אל הקצין שלנו בנוגע לזכויותיהם.
יש להחתים את הקצין על הסכם שמירת חשאיות.
הקצין יכול למלא משימות נוספות כל זמן שלא יהיה ניגוד עניינים בין משימות אלה לתפקידו כקצין הגנת המידע.
עד כאן להיום. שימרו על הפרטיות.
שלכם,
גלעד
הערה: האמור אינו מהווה חוות דעת רשמית של הכותב או מעסיקו ואינו מחליף ייעוץ משפטי.
אפ על הרגליים! שבנו למסלול שלנו והנה הגענו לפסוק 36.
בפסוק 35 למדנו כי עבור תהליכים בהם מידע פרטי רגיש עלינו להעריך את הסיכונים הכרוכים בעיבוד המידע, לתכנן וליישם את התהליכים והטכנולוגית לצמצומם. נא להתנהג בהתאם! זהו תהליך חשוב ומחייב.
מה קורה אם הסיכון גבוה, ארוכה הדרך ואין כסף למסע ועל כן איננו יכולים ליישם הגנה נאותה?
חובה וגם זכות השולט ליצור קשר במקרה זה עם רשות הפרטיות הרלוונטית (לא שכחנו - בהמשך נדון בשאלה - מי היא רשות עלומה זו?).
רשות זו מחוייבת לייעץ לארגון ולהגדיר מה על השולט והמעבד לעשות ולספק המלצות בכתב תוך פרק זמן שלא יעלה על שמונה שבועות.
יש לספק לרשות מידע מפורט לגבי אופי העיבוד, מטרתו, הדרכים בהן המידע מוגן, ההסכמים החוזיים לגבי מידע זה וכן מסמך ניתוח הסיכון.
דברי ההסבר מזכירים לנו שלרשות הפיקוח זכות לאסור בכל עת על המשך העיבוד במידה והסיכון הנותר גבוה מידי.
הבנתם את זה? אם לא (וגם אם כן) אתם מוזמנים להגיב על הפוסטים וכן לדבר עם המדריך מתי ואיך שבא לכם.
פסוק 37 מציג לנו שחקן חדש במשחק - קצין הגנת המידע.
שני הפסוקים הבאים יספרו לנו מה מיצובו ותפקידיו של הקצין שלנו. פסוק זה עונה על השאלה מתי בכלל חובה למנות בעל תפקיד כזה.
ובכן, הן על השולט והן על המעבד למנות קצין הגנת המידע כאשר:
1. מדובר בגוף ציבורי.
2. פעילות הליבה של הארגון עוסקת בניטור מידע פרטי בכמויות גדולות.
3. פעילות הליבה של הארגון עוסקת בקטגוריות מידע רגיש (כמוגדר בפסוקים 9 ו-10).
ניתן למנות בעל תפקיד אחד לקבוצה של מספר חברות.
יש למנות לתפקיד אדם בעל כישורים מתאימים. בפרט הכרה של דרישות החוק ויכולת ביצוע המשימות (עליהן נלמד ביומיים הקרובים).
החוק מציין בפירוש כי חברות ייעוץ כמו זו בה עובד המדריך שלכם יכולות למלא פונקציה זו.
יש להודיע לרשות הפרטיות הרלוונטית מי נושא התפקיד.
אתמול פגשנו את קצין הגנת המידע והגדרנו מתי נדרש למנות בעל תפקיד כזה. (מכאן ואליך אפנה אל הקצין בלשון זכר אבל קצינות מתקבלות בשמחה ובברכה).
בפסוק שלנו היום מוגדר מעמדו של הקצין היקר בארגון.
על הארגון לוודא כי הוא מעורב בכל דבר הקשור בהגנה על מידע פרטי .
יש לספק לו את המשאבים הנדרשים למילוי תפקידו וכן לדאוג כי ישמור על רמתו המקצועית.
יש לשמור על עצמאות הקצין כך שלא יקבל הנחיות מאף גורם בארגון , לא יענש בעקבות מילוי תפקידו וידווח לרמה הגבוהה ביותר אצל המעבד או השולט במידע.
אנשים פרטיים (נושאי המידע) יכולים לפנות בכל עת אל הקצין שלנו בנוגע לזכויותיהם.
יש להחתים את הקצין על הסכם שמירת חשאיות.
הקצין יכול למלא משימות נוספות כל זמן שלא יהיה ניגוד עניינים בין משימות אלה לתפקידו כקצין הגנת המידע.
עד כאן להיום. שימרו על הפרטיות.
שלכם,
גלעד
הערה: האמור אינו מהווה חוות דעת רשמית של הכותב או מעסיקו ואינו מחליף ייעוץ משפטי.
הודעתך לא התקבלה - נסה שוב מאוחר יותר
Oops! Something went wrong while submitting the form