1. בעל השליטה והמעבד ימנו קצין הגנת מידע במקרים הבאים:

• (א) שהעיבוד מבוצע על ידי רשות ציבורית או גוף ציבורי, למעט ערכאות הפועלות מתוקף תפקידן השיפוטי;
• (ב) שפעילויות הליבה של בעל השליטה או של המעבד כוללות פעולות המחייבות מכוח טבען, היקפם ו/או מטרתם, ניטור קבוע ושיטתי של נושאי מידע בקנה מידה נרחב; או
• (ג) שפעילויות הליבה של בעל השליטה או של המעבד כוללות עיבוד בקנה מידה נרחב של קטגוריות מידע מיוחדות בהתאם לסעיף 9 ומידע אישי הנוגע להרשעות ולעבירות פליליות כנזכר בסעיף 10.

2. אשכול חברות רשאי למנות קצין הגנת מידע יחיד, בתנאי שקצין הגנת המידע נגיש בקלות לכל אחד מחברות הקבוצה.

3. כאשר בעל השליטה או המעבד הוא רשות ציבורית או גוף ציבורי, ניתן למנות קצין הגנת מידע יחיד למספר רשויות או גופים, תוך התחשבות במבנה הארגוני שלהם ובגודלם.

4. במקרים שאינם נזכרים בפסקה 1, בעל השליטה, המעבד או התאחדויות וגופים אחרים המייצגים קטגוריות בעלי שליטה או מעבדים, רשאים למנות קצין  הגנת מידע, או יעשו כן כנדרש בחוק איחוד או מדינה חברה. קצין הגנת המידע רשאי לפעול עבור ההתאחדויות והגופים האחרים המייצגים בעלי שליטה או מעבדים.

5. קצין  הגנת המידע ימונה על בסיס איכויות מקצועיות ובמיוחד על בסיס מומחיות בדינים והכללים הנוהגים בדבר הגנת מידע ויכולת לעמוד במשימות הנזכרות בסעיף 39.

6. קצין  הגנת המידע יכול להיות איש צוות בבעל השליטה או המעבד, או לבצע משימות על בסיס חוזה שירותים.

7. בעל השליטה או המעבד יפרסמו את פרטי הקשר של קצין  הגנת המידע ויעבירו לרשות הפיקוח.

ניווט: