ארגונים רבים בישראל עדיין מתייחסים למונח "הגנת מידע" כאל המלצה. אך תיקון 13 לחוק הגנת הפרטיות, בשילוב עם מגמות אכיפה חדשות מצד הרשות להגנת הפרטיות, מבהירים היטב: זהו נושא מחייב, קריטי – ויקר מאוד כשמתעלמים ממנו.
במרכז המאמר – מקרה אמיתי של ארגון שהוזנח מבחינת אחריות הגנת מידע, עד שההשלכות הכואבות הגיעו. זהו לא סיפור על תקיפת האקרים – אלא על חוסר ניהול פנימי שהפך לפרצה חוקית וכלכלית.
המקרה: מסד נתונים פתוח, רגולציה סגורה
מדובר בארגון בינוני מתחום השירותים הפיננסיים, המנהל בסיסי נתונים עם מידע אישי רגיש: תעודות זהות, מצב כלכלי, כתובות, פרטי בני משפחה ועוד. במשך שנים, הנתונים נצברו – אך לא עודכנו נהלים, לא מונה ממונה על הגנת המידע, ולא הוגדרה מדיניות שימור מידע.
כאשר לקוח התלונן כי המידע שלו הופץ לגורמים שאינם מורשים – הרשות פתחה בבדיקה, וחשפה מחדלים: הרשאות פתוחות, רישום חלקי, העדר תיעוד, ומעל הכול – העדר מינוי DPO כחוק.
המחיר: לא רק כספי
התוצאה: קנס של 150,000 ₪, בנוסף לדרישה למינוי DPO תוך 14 יום, הקמת מערך בקרות, קורסי הכשרה לעובדים, ודיווח שנתי קבוע לרשות. הפגיעה התדמיתית הייתה חמורה לא פחות: כתבה בתקשורת, עזיבת לקוחות מרכזיים, ואובדן אמון.
איך זה היה נמנע?
במינוי פשוט של ממונה הגנת מידע, יכל הארגון להיערך מראש:
- לבנות מדיניות פרטיות ותהליכי עבודה מותאמים.
- לבצע סקר סיכונים ולטפל בפערים.
- להנחות עובדים כיצד להתמודד עם בקשות מידע או תקלות.
- להבטיח ציות רגולטורי ולצמצם חשיפה משפטית.
ה־DPO הוא לא רק “עוד תפקיד” – הוא מנגנון הגנה ניהולי שמוכיח לעולם (ולרגולטור) שהארגון מבין את חשיבות ההגנה על מידע אישי.
מי צריך DPO?
על פי החוק הישראלי, כל גוף ציבורי, וכל גוף פרטי שמנהל מידע רגיש או מעל 100,000 רשומות, חייב במינוי ממונה הגנת מידע. אך גם ארגונים שאינם מחויבים – בוחרים היום למנות DPO כאקט מניעתי, עסקי, ואחראי.
לסיכום
דבר אחד בטוח: קל יותר להיערך מאשר להתנצל. מינוי DPO הוא לא הוצאה – אלא חיסכון פוטנציאלי אדיר. הוא מגן על הארגון משפטית, מונע טעויות יקרות, ומשדר אחריות ועמידה ברגולציה – בעיני לקוחות, שותפים, וגופים ציבוריים.
אבטחת סייבר ו-IT – שני עולמות, פתרון אחד.
אודות הכותב:
עידן צברי , יועץ אסטרטגי מוביל בתחומי IT ואבטחת מידע, מלווה עסקים וארגונים בהגנה על מידע, חדשנות טכנולוגית ועמידה ברגולציות.