ביום 12 בספטמבר 2024 פרסמה הרשות להגנת הפרטיות הנחיה בעניין תפקיד הדירקטוריון בקיום חובות תאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז – 2017 המחליפה את טיוטת ההנחיה שפרסמה הרשות ביום 10 בספטמבר 2023.
בהנחיה, הרשות מציינת כי הגם שהתקנות אינן קובעות במפורש את זהות האורגן האמור לבצע בפועל את המשימה המוטלת על החברה, בחברה שמידע אישי מצוי בליבת הפעילות שלה, או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפרטיות, עמדת הרשות היא שעל דירקטוריון החברה מוטלת חובה לפקח על ציות החברה להוראות הדין החל בתחום הפרטיות וכן לוודא גיבוש, אימוץ ויישום של מדיניות בדבר אופן ביצוע דרישות הדין בחברה.
עמדה זו של הרשות מחדדת את תפקיד הדירקטור בכל הנוגע לתחומי הסייבר, אבטחת מידע ופרטיות. לאור עוצמת הסיכון שתחומים אלה מייצרים לגופים עסקיים, כפי שעולה בשנים האחרונות מאירועי סייבר שונים ופרסום נושאים אלו כסיכונים משמעותיים בדוחות שנתיים של חברות ציבוריות, עמדת הרגולטור היא שהאורגן שמתפקידיו להתוות את מדיניות החברה ולפקח אחר פעילותיה – אחראי ישירות לפקח גם על נושאי הפרטיות והמידע.
בעקבות פרסום ההנחיה, חובת הזהירות של הדירקטוריון לתחומים הללו גדלה באופן משמעותי והיעדר פרו-אקטיביות מצד דירקטורים לתחומים הללו עשוי להגדיל את חשיפתם לסנקציות ישירות בגין הפרות הוראות הדין ואירועי אבטחת מידע.
דירקטוריון החברה נדרש לוודא שלצד הכנת המסמכים המפורטים מטה וקביעת מדיניות כללית, מוגדרים הגורמים בארגון שאחראים לביצוע המשימות השונות שנגזרות מאותן תוכניות עבודה וכן לפקח, בין היתר באמצעות קבלת עדכונים ודיווחים שוטפים, כי תוכניות העבודה אכן מבוצעת בפועל. עמדת הרשות עולה בקנה אחד עם עקרונות דיני החברות בישראל ובפרט מביאה לידי ביטוי את הרציונל שמגולם בסעיף 92 לחוק החברות תשנ"ט – 1999, לפיו "הדירקטוריון יתווה את מדיניות החברה ויפקח על ביצוע תפקידי המנהל הכללי ופעולותיו". כמו כן, הרשות מבססת את עמדתה גם על פסיקה, מישראל ומחוצה לה, אשר עוסקת בנושאי אחריות הדירקטוריון לאירועי סייבר ואבטחת מידע.
חשוב לציין כי הרשות מסייגת את החובות האמורות לגופים אשר עיבוד מידע אישי מצוי "בליבת הפעילות שלהם" או שקיימת סבירות כי פעילות הארגון תיצור סיכון גבוה לפרטיות. זאת, כאשר לטובת הערכת פוטנציאל הסיכון לפרטיות, יבחנו מאפיינים שונים כגון סוג המידע ורגישותו (כגון סוגי המידע המפורטים בפרט 1 לתוספת הראשונה לתקנות או בהגדרת "מידע אישי" או "מידע בעל רגישות מיוחדת" בתיקון 13 לחוק הגנת הפרטיות שאושר לאחרונה בכנסת), היקף האנשים שהמידע משויך אליהם, מספר מורשי הגישה למידע ועוד. על אף הסתייגות זו, לאור חשיבות המידע עבור גופים עסקיים רבים והשימוש ההולך וגובר במידע אישי בסביבה העסקית – נראה כי ההנחיה תחול על גופים רבים במשק הישראלי.
מבלי לגרוע מהחובות הכלליות אשר פורטו לעיל, הרשות מבהירה כי בחברות אשר מתקיימות לגביהן הנסיבות שתוארו לעיל, הדירקטוריון הוא הגורם המתאים ביותר לביצוע החובות הבאות:
- דיון במסמך הגדרות המאגר בטרם הגדרתו הסופית (ולא אישור המסמך, כפי שפורסם בטיוטת ההנחיה);
- דיון בעקרונות מרכזיים בנוהל אבטחת המידע הארגוני בטרם אישורו וקביעתו הסופית (ולא אישור העקרונות המרכזיים בנוהל, כפי שפורסם בטיוטת ההנחיה);
- קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, לרבות בפעולות הנדרשות לתיקון הליקויים שהתגלו;
- קיום דיון עתי באירועי אבטחת מידע המתרחשים בארגון;
- קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, לפחות אחת לשנתיים.
נדגיש כי אין בהנחיה כדי לפטור או להפחית מאחריות המוטלת על מנכ"ל החברה, הנהלת החברה או על כל גורם אחר שהוסמך לביצוע החובות מכוח תקנון החברה או על פי כל דין. בהתאם לאמור לעיל, נציע ללקוחותינו לבחון את עמידת הארגון בהוראות דיני הגנת הפרטיות, תוך שימת דגש לציות לתקנות אבטחת מידע.
לצורך יישום ההנחיה, על חברות לבחון, בין היתר, האם פעילותן נכנסת תחת תכולת ההנחיה וככל שכן, להתאים את נהליהן לדרישות ההנחיה, על מנת לוודא את מעורבות הדירקטוריון הנדרשת.
נשמח לעמוד לרשותכם לכל שאלה ו/או הבהרה.
בברכה,
מחלקת סייבר, אבטחת מידע ופרטיות,
שבלת ושות'
האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.
