למה כל חברה צריכה לשקול למנות ממונה הגנת הפרטיות

פרטיות וסייבר
מאת‏ עו"ד גיא בקשי

ראש תחום שירותי ה-DPO בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן

זמן קריאה: 3 דקות
שמור ב"תכנים שלי"

חוק הגנת הפרטיות בישראל וה-GDPR באירופה מטילים חובה למנות ממונה על הגנת הפרטיות (DPO) בהתקיים התנאים הקבועים בהם. אבל הדין קובע רף מינימלי בלבד, זוהי נקודת מוצא. גם כשארגון אינו חייב מכוח הדין למנות DPO, מינוי וולונטרי כזה מוכר כסימן היכר של ניהול אחראי ומתקדם. הנה ארבע סיבות עיקריות מדוע כל חברה, ללא קשר לגודלה או לתחום פעילותה, צריכה לשקול ברצינות מינוי DPO אפילו אם החוק אינו מחייב אותה.

אם אתם רוצים שייקחו אתכם ברצינות – קחו את הפרטיות ברצינות

הגנת הפרטיות ומידע אישי הפכו לאחד מעמודי התווך של אחריות תאגידית. לקוחות, משתמשים, משקיעים ורגולטורים בוחנים בדקדקנות שלא הייתה כמותה כיצד ארגונים אוספים, משתמשים ומגנים על מידע אישי. פרטיות אינה עוד “צ'קבוקס” בטופס ציות – היא ביטוי גלוי לערכי הארגון.

חברות המשלבות שיקולי פרטיות במוצרים, בשירותים ובתרבות הארגונית שלהן נהנות מאמון משתמשים גבוה יותר, פחות התערבויות רגולטוריות וחוסן גדול יותר בעת אירוע אבטחת מידע. מינוי ממונה על הגנת הפרטיות משגר מסר ברור: הארגון מתייחס ברצינות למידע אישי המופקד בידיו. הוא גם מבטיח שהפרטיות תישקל ברמה האסטרטגית ולא תהיה תוצאה של החלטות אד-הוק. בנוף תחרותי שבו אמון הוא משאב נדיר, יש לזה ערך מדיד.

פרטיות מוכרת – הפכו ציות ליתרון עסקי

חברות טכנולוגיה מובילות בעולם גילו כבר מזמן שפרטיות אינה רק חובה משפטית, אלא גם מבדל עסקי. אפל בנתה אסטרטגיית שיווק שלמה סביב ארכיטקטורת privacy-first, ומציגה מיזעור מידע וביטול מעקב אחר משתמשים כתכונת מוצר "בילט-אין". סמסונג השיקה לאחרונה מסך בעל תצוגת פרטיות לסמארטפון הדגל שלה, ומשווקת הגנה על מידע אישי כיתרון מכירה מובהק. אלה אינן דוגמאות מבודדות; הן משקפות מגמה רחבה ומואצת בשוק.

מחקרים מראים שצרכנים ולקוחות עסקיים משקללים יותר ויותר את מדיניות הפרטיות של ספקיהם בהחלטות הרכש שלהם. חברה שמסוגלת להוכיח ממשל מידע חזק, ולהצביע על ממונה מוסמך כעדות לכך, נהנית מיתרון מוחשי במכרזים, במחזורי מכירה ובשימור לקוחות. ממונה הגנת הפרטיות יכול לסייע בפיתוח מאפייני מוצר המגבירים פרטיות, בניסוח מדיניות פרטיות אמינה ובמתן מענה יעיל לפניות של צדדים שלישיים (משתמשים, לקוחות פוטנציאליים, רגולטורים) – כל אלה מתורגמים ישירות להזדמנות עסקית.

השקיעו בפרטיות עכשיו — לפני שזה יעלה לכם ביוקר

תכנית פרטיות מובנית ומתועדת היטב הופכת לגורם מכריע בתהליכי בדיקת נאותות, ביקורות רגולטוריות וסבבי גיוס הון. משקיעי הון סיכון והון פרטי וגם רוכשים אסטרטגיים בוחנים בשבע עיניים מסגרות ממשל מידע כחלק מסקירותיהם המשפטיות והתפעוליות. חברות שאין להן תכנית פרטיות פעילה, או שאינן מסוגלות להוכיח אחריות באמצעות ממונה ייעודי, נתקלות לעיתים קרובות בעיכובים, נדרשות לצעדי תיקון יקרים או מתמודדות עם הערכות שווי נמוכות יותר. לעומתן, ארגונים המשקיעים בממשל פרטיות מוקדם מסוגלים להציג עמדת ציות נקייה, לקצר לוחות זמנים עסקיים ולהקנות ביטחון גדול יותר למשקיעים ולצדדים שכנגד.

השקעה מוקדמת בפרטיות גם מניבה תועלת מצטברת לאורך זמן. בניית פרקטיקות מידע תקינות מלכתחילה זולה משמעותית מהסבת תכנית פרטיות על גבי מערכות ותהליכים ישנים ומורכבים. ארגונים הממנים ממונה באופן יזום – לפני שהדין מחייב אותם, לפני שמתרחשת תקרית משמעותית, או לפני שמשקיע דורש זאת – רוכשים יתרון על פני מתחרים המתייחסים לפרטיות כאל מחשבה שנייה.

הפחיתו את החשיפה לעיצומים כספיים – הרגולטור לוקח זאת בחשבון

חוק הגנת הפרטיות המתוקן קובע מסגרת של עיצומים כספיים על הפרות. החוק קובע גם מנגנון מובנה להפחתת אותם עיצומים. מינוי ממונה הגנת הפרטיות מנוי במפורש כאחת מעילות ההפחתה.

החוק קובע כי מפר החייב במינוי ממונה לפי סעיפים 17ב1(א)(3) ו-(4), שמינה ממונה כאמור לפני שהוטלו עליו עיצומים, יהיה זכאי להפחתה של 10% בעיצום הכספי שיוטל עליו.

המשמעות המעשית היא ניכרת. ארגון הממנה ממונה באופן יזום  מציב את עצמו בעמדה נוחה לכל הליך אכיפה עתידי. מינוי שנעשה בתום לב, לפני כל אירוע או חקירה, משדר לרשות להגנת הפרטיות ציות פרואקטיבי ומהווה חלק מדפוס התנהגות אחראי שהרגולטורים נותנים עליו את דעתם. בצירוף יתר עילות ההפחתה הקבועות בחוק, כגון דיווח עצמי על ההפרה, הפסקתה מיוזמת המפר ונקיטת פעולות למניעת הישנותה – ניהול פרטיות מוצהר ומתועד יכול להפחית בצורה ממשית את החשיפה הכספית בתרחיש אכיפה. בקצרה: עלות מינוי ממונה היא שבריר מהעיצומים שניתן להימנע מהם.

שירותי ממונה הגנת הפרטיות בפרל כהן

קבוצת הסייבר, הפרטיות וזכויות היוצרים בפרל כהן צדק לצר ברץ מציעה פתרונות DPO-as-a-Service מקיפים לארגונים מכל הגדלים. צוות עורכי הדין ואנשי הציות המנוסים שלנו יכול לשמש כממונה חיצוני, לתמוך בפונקציית הפרטיות הפנימית שלכם, או לסייע בתכנון וביישום של מסגרת ממשל מידע המותאמת לצורכי הארגון. שירותינו כוללים:

  • מינוי ממונה חיצוני ושירותי ייעוץ שוטפים המכסים את חוק הגנת הפרטיות, ה-GDPR, ה-CCPA, HIPAA, וחוקי או רגולציות פרטיות והגנה על מידע נוספים ברחבי העולם
  • תכנון תכנית פרטיות, ניתוח פערים ותכנית עבודה מסודרת לתיקונם
  • תסקירי השפעה על הפרטיות (DPIA – Data Protection Impact Assessment) ומיפוי ותיעוד של פרקטיקות עיבוד מידע אישי (RoPA)
  • ייעוץ Privacy by Design לצוותי מוצר וטכנולוגיה
  • הדרכת פרטיות לעובדים והדרכות ספציפיות למחלקות
  • ליווי בעת אירועי אבטחת מידע
  • תמיכה בסוגיות פרטיות בעת בדיקות נאותות וביקורות מטעם רגולטורים או גופים אחרים.

לפרטים, צרו איתי קשר.