לפני כשנה פרסמה הרשות להגנת הפרטיות טיוטת הנחיה בעניין תפקיד הדירקטוריון בקיום חובות התאגיד לאבטחת מידע אישי. ביום חמישי האחרון – 12.9.2024, פורסם נוסח סופי ומחייב של ההנחיה.
לעמדת הרשות, תכלית ההנחיה היא להאיר בזרקור את הדין הקיים (שעולה מפרשנות תכליתית של דיני הגנת הפרטיות ועקרונות יסוד של ממשל תאגידי) – בדגש על כך, שבחברות שפעילותן כרוכה בסיכונים לפרטיות, נדרשים תשומת לב ופיקוח הדוקים יותר מצד הדירקטוריון.
בהתאם, ההנחיה חלה על חברות שעיבוד מידע אישי מצוי בליבת פעילותן, או שפעילותן יוצרת סיכון מוגבר לפרטיות. סיכון מוגבר לפרטיות יכול להיווצר כתוצאה מרגישות המידע האישי המעובד, מכמויות המידע האישי המעובד או מכמות בעלי הגישה אליו ולמערכות המידע שבאמצעותן הוא מעובד.
בהתחשב בכך שפעילויות מסחריות רבות כרוכות בעיבוד מידע אישי רגיש, או בעיבוד כמויות נרחבות של מידע אישי, או במתן גישה למורשים רבים, ופעמים – בתמהיל של כל אלה, ההנחיה צפויה לחול על חברות רבות.
בשנת 2017 תוקנו תקנות הגנת הפרטיות (אבטחת מידע) תשע”ז-2017, שנכנסו לתוקף בחודש מאי 2018 (“תקנות אבטחת מידע” או “התקנות“). תקנות אבטחת מידע מטילות שורה ארוכה של חובות על בעלי מאגרי מידע ועל גורמים נוספים.
כך למשל התקנות מחייבות שלכל מאגר יוכן מסמך הגדרות מאגר בו, בין היתר, יתוארו פעולות האיסוף והשימוש במידע אישי, סוגי המידע האישי, מטרות השימוש בו ועוד.
ההנחיה החדשה קובעת שקיום החובות צריך להיעשות בפיקוח ובבקרה של הדירקטוריון, תחת מדיניות מימוש, תהליכי ציות ובקרה אפקטיביים וכן ובמיוחד:
“דיון במסמך הגדרות המאגר בטרם הגדרתו הסופית (בהתאם לאמור בתקנה 2(א));”
“דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני – בטרם אישורו וקביעתו הסופית (בהתאם לאמור בתקנות 3(2) ו-4(א));”
“קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות ובפעולות הנדרשות לתיקון הליקויים שהתגלו (בהתאם לאמור בתקנות 5(ג) ו-5(ד));”
“קיום דיון רבעוני או שנתי (בהתאם לרמת האבטחה של המאגר) באירועי אבטחת המידע שהתרחשו בארגון (בהתאם לאמור תקנה 11(ג));”
“קיום דיון בתוצאות הביקורת התקופתית (שיש לקיימה אחת לשנתיים) בנוגע לעמידה בתקנות (בהתאם לאמור בתקנה 16(ג)).”
ההנחיה מתירה במקרים מסוימים לאפשר לדירקטוריון להאציל חובותיו לגורם אחר בחברה תוך פיקוח על קיומן.
ההנחיה כוללת הבהרה, לפיה אין בה להפחית מהאחריות שחלה על גורמים אחרים מכח תקנות אבטחת מידע או הדין (או מסמכי היסוד של החברה), כגון הנהלת החברה, מנהלי מאגרי מידע ועוד.
אי קיום ההנחיה עשוי להוות הפרה לכאורה של הוראות החוק והתקנות על ידי החברה. זאת בשילוב עם תיקון 13 לחוק, שיכנס לתוקף בעוד כשנה יגבירו משמעותית את מחיר אי העמידה בהוראות החוק והתקנות.
אי קיום ההנחיה עשוי גם לשמש, במקרים מסוימים, בסיס לתביעה נגזרת כנגד דירקטורים.
ההנחיה אינה כוללת טיפול בתאגידים שכפופים לרגולציה מקבילה כגון בנקים או חברות ביטוח. בהתאם להנחיות ספציפיות של הרשות להגנת הפרטיות, על גופים אלו לא חלות תקנות אבטחת מידע במלואן, אלא רק חלק מהן, בכפוף לכך שהם עומדים בהוראות הרגולציה המקבילה שחלות עליהם. ביחס לתאגידים שכאלה, סביר שההנחיה החדשה מתייחסת לחובות הדירקטוריון, ביחס לאותן חובות קונקרטיות שחלות על גופים אלו.
אנו לרשותכם לכל שאלה