דלגו לתוכן הראשי
→ חזרה למאמריםתיקון 13

ממונה הגנת פרטיות (DPO): פנימי, חיצוני או גם וגם? המדריך להחלטה נכונה

ממונה הגנת פרטיות (DPO): פנימי, חיצוני או גם וגם? המדריך להחלטה נכונה

התכנים באתר זה מספקים מידע כללי בלבד, ואין לראות בהם ייעוץ משפטי, אשר צריך להיות מותאם לכל עסק ולנסיבותיו.

לאחר שהבנו את חובת המינוי של ממונה הגנת פרטיות (DPO) לפי תיקון 13 וה-GDPR, עולה שאלת היישום הפרקטית ביותר: את מי ממנים? האם נכון להכשיר עובד מתוך הבית, לגייס ממונה ייעודי או להוציא את השירות למיקור חוץ?

הבחירה הזו אינה רק כלכלית; היא נוגעת לליבת ניהול הסיכונים בארגון ולעמידה בדרישות הרגולטור לאובייקטיביות וחוסר פניות.

האפשרות הפנימית: עובד מתוך הארגון

מינוי עובד פנימי נראה במבט ראשון כפתרון הטבעי ביותר. העובד מכיר את המערכות, את התהליכים העסקיים ואת הנפשות הפועלות. עם זאת, מודל זה מציב שני אתגרים משמעותיים: עלות, ניגוד עניינים, ועצם העבודה שלעובד הפנימי כבר יש תפקיד במערכת, והוא לא באמת יהיה עסוק בענייני הפרטיות, אלא בתפקידו..

מבחינה כלכלית, גיוס DPO במשרה מלאה כרוך בעלויות שכר גבוהות ובהשקעה מתמדת בהכשרה מקצועית. מבחינה רגולטורית, האתגר גדול עוד יותר – ה-DPO חייב להיות עצמאי. קשה מאוד לעובד מן המניין לבקר את המחלקה שלו או את המנהלים שקובעים את שכרו.

האפשרות החיצונית: DPO במיקור חוץ (Outsourcing)

זהו המודל המועדף על חברות טכנולוגיה, סטארטאפים וארגונים בינוניים. במיקור חוץ, הארגון שוכר מומחה בעל ניסיון רב שנחשף למאות מקרים וביקורות של הרשות בחברות שונות.

היתרון המרכזי כאן הוא האובייקטיביות המוחלטת. DPO חיצוני אינו מושפע מהפוליטיקה הארגונית והוא יכול להציף ליקויים בצורה ישירה להנהלה. בנוסף, מדובר בחיסכון כלכלי משמעותי; הערכת העבודה הממוצעת ל-DPO בארגון רגיל היא כ-20 שעות חודשיות, מה שמאפשר לקבל מומחיות ברמה הגבוהה ביותר בעלות של ריטיינר חודשי נמוך משמעותית משכר עובד.

מודל הליווי ההיברידי

חברות רבות בוחרות ב"שביל הזהב": מינוי "נאמן פרטיות" מתוך החברה שמרכז את המידע, בלוויי DPO חיצוני שמשמש כסמכות המקצועית העליונה. ה-DPO החיצוני עורך את הבקרות השנתיות,מייעץ בהחלטות אסטרטגיות ומשמש ככתובת הרשמית מול הרשויות, ועובד בשיתוף פעולה עם "נאמן הפרטיות"

סוגיית ניגוד העניינים: מי לא יכול להיות ה-DPO שלכם?

אחת הטעויות הנפוצות היא מינוי בעלי תפקידים בכירים לתפקיד ה-DPO "על הדרך". חשוב להבין כי הרשות להגנת הפרטיות וה-GDPR אוסרים על מינוי שנמצא בניגוד עניינים מובנה:

המנכ"ל (CEO): אינו יכול להיות ה-DPO, שכן הוא אינו יכול לבקר את החלטות המדיניות של עצמו.

מנהל הטכנולוגיות (CTO) או מנהל אבטחת המידע (CISO): קיימת בעייתיות מובנית כאן. בעוד שה-CISO רוצה לעיתים להגביר ניטור כדי להגן על הנכסים, ה-DPO אמור להגן על פרטיות המשתמש ולצמצם ניטור למינימום ההכרחי.

היועץ המשפטי הפנימי: במקרים מסוימים הדבר מתאפשר, אך יש לשים לב שהיועץ לא מבקר נהלים שהוא עצמו כתב ואישר.

שורה תחתונה

מינוי ממונה הוא לא רק סימון "וי" על חובת חוקית, אלא כלי שחוסך קנסות (עד 10% הפחתה למי שמחזיק ממונה) ומייצר שקט נפשי. הבחירה במודל הנכון צריכה לאזן בין היכרות עם השטח לבין הצורך במומחיות אובייקטיבית ובלתי תלויה.