DPO מול CISO — מה ההבדל?
שני התפקידים נשמעים דומה. שניהם "ממונים על מידע". אבל בפועל הם משני עולמות שונים: ה-DPO (ממונה הגנת פרטיות) מטפל בזכויות נושאי המידע ובדין הפרטיות; ה-CISO (ממונה אבטחת מידע) מטפל בהגנת נכסי המידע מפני איומי סייבר. מדריך מעשי עם השוואה, RACI, ופתרון לשאלה: האם אפשר ששני התפקידים יהיו אותו אדם?
תשעה מימדים של הבדל
| מימד | DPO | CISO |
|---|---|---|
| תפקיד עיקרי | הגנה על זכויות נושאי מידע ופרטיותם | הגנה על נכסי המידע הארגוניים |
| בסיס משפטי | תיקון 13 לחוק הגנת הפרטיות | תקנות אבטחת מידע 2017, ISO 27001, ניהול תקין |
| דיווח | דיווח ישיר להנהלה, עצמאי | דיווח להנהלה הטכנולוגית / מנכ"ל |
| התמחות | דין פרטיות + עיבוד מידע + רגולציה | סייבר + אבטחה + תשתיות |
| דוגמת משימה יומית | בודק DPA חדש, עונה לפניית עיון | מנתח התרעת חדירה, עורך penetration test |
| דוגמת משימה חודשית | מבצע DPIA לפרויקט חדש | סקר סיכוני סייבר, בקרה על patching |
| נקודת קשר חיצונית | הרשות להגנת הפרטיות | CERT-IL, בנק ישראל (לבנקים), ספקי security |
| דרישת עצמאות | מובנית — לא יכול להיות מי שמקבל החלטות עיבוד | דרושה אך פחות נוקשה |
| מודל בארגון בינוני | במיקור חוץ (DPO as a Service) | פנימי או חיצוני (CISOaaS) |
מטריצת אחריות (RACI)
מי אחראי על מה? בארגון בינוני עם DPO ו-CISO נפרדים, אלה 12 המשימות הטיפוסיות וחלוקת האחריות. R = Responsible (מבצע), A = Accountable (אחראי בסופו של דבר), C = Consulted (מתייעצים איתו), I = Informed (מקבל מידע).
| משימה | DPO | CISO |
|---|---|---|
| מינוי DPO ופרסומו לרשות | R | - |
| מיפוי מאגרי מידע | R/A | C |
| תוכנית אבטחת מידע | C | R/A |
| הסכמים עם ספקי SaaS (DPA) | R/A | C |
| אירוע אבטחת מידע — דיווח לרשות | R/A | C |
| אירוע אבטחת מידע — חקירה טכנית | C | R/A |
| הדרכת עובדים — פרטיות | R/A | C |
| הדרכת עובדים — אבטחת סייבר | C | R/A |
| DPIA לפרויקט חדש | R/A | C |
| Penetration testing | I | R/A |
| מענה לפניית נושא מידע (עיון/תיקון) | R/A | I |
| תוכנית עבודה ISO 27001 | C | R/A |
שאלת הניגוד — האם אפשר?
CISO שגם DPO ניגוד אסור?
יש דעות שונות. הרשות להגנת הפרטיות חיוותה דעה ב-2025 שבעקרון שילוב התפקידים מותר רק בארגון קטן או במצב שבו אין ניגוד עניינים. בארגון בינוני ומעלה, ה-CISO מקבל החלטות אבטחה שה-DPO אמור לפקח עליהן — וזה ניגוד עניינים מובנה.
מנכ"ל / יועמ"ש / מנמ"ר כ-DPO
גילוי הדעת של הרשות פוסל מפורשות שילוב כזה ברוב הארגונים. מנכ"ל מקבל את כל ההחלטות שה-DPO צריך לפקח. מנמ"ר אחראי על המערכות שה-DPO מבקר. יועמ"ש לעיתים מייצג עמדות שה-DPO צריך לערער עליהן.
בארגון קטן — מה כן עובד
ארגון קטן עם 5-20 עובדים בלי מידע רגיש בהיקף — לרוב לא חייב DPO בכלל. אם כן חייב — האפשרויות: (א) שילוב CISO+DPO רק אם בעל התפקיד הוא לא מקבל החלטות תפעוליות; (ב) DPO as a Service חיצוני; (ג) שותף עסקי שעצמאי מעיבודי המידע.
מודל "ה-DPO החיצוני, CISO הפנימי"
המודל הנפוץ ביותר בארגונים בינוניים. CISO פנימי שמטפל בסייבר ובאבטחת מידע. DPO חיצוני (במיקור חוץ) שמטפל בפרטיות ודין. חבילת GRC + פרטיות מציעה את שני התפקידים מאותו ספק.