ביום 10 בספטמבר 2023 פרסמה הרשות להגנת הפרטיות טיוטת הנחיה בעניין תפקיד הדירקטוריון בקיום חובות תאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז – 2017.
בהנחיה, הרשות מציינת כי לאור עקרונות ממשל תאגידי וחלוקת תפקידים מקובלת בין האורגנים של התאגיד, עמדתה היא כי ככלל, הדירקטוריון הוא הגורם המתאים והיעיל לקבוע ולהחליט מי בארגון יהיה אחראי לתחומי הפרטיות והגנת המידע, לפקח ולבקר על ביצוע הדרישות בידי אותם אחראים, ולקבל החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה.
עמדה זו של הרשות, אשר כאמור לבינתיים נמצאת במעמד טיוטה, מחדדת את תפקיד הדירקטור בכל הנוגע לתחומי הסייבר, אבטחת מידע ופרטיות. לאור עוצמת הסיכון שתחומים אלה מייצרים לגופים עסקיים, כפי שעולה בשנים האחרונות מאירועי סייבר שונים ופרסום נושאים אלו כסיכונים משמעותיים בדוחות שנתיים של חברות ציבוריות, עמדת הרגולטור היא שהאורגן שמתפקידיו להתוות את מדיניות החברה ולפקח אחר פעילותיה – אחראי ישירות לפקח גם על נושאי הפרטיות והמידע.
במידה וטיוטת ההנחיה תפורסם בגרסתה הנוכחית, חובת הזהירות של הדירקטוריון לתחומים הללו תגדל באופן משמעותי והיעדר פרו-אקטיביות מצד דירקטורים לתחומים הללו עשוי להגדיל את חשיפתם לסנקציות ישירות בגין הפרות הוראות הדין ואירועי אבטחת מידע.
דירקטוריון החברה נדרש לוודא שלצד הכנת המסמכים המפורטים מטה וקביעת מדיניות כללית, מוגדרים הגורמים בארגון שאחראים לביצוע המשימות השונות שנגזרות מאותן תוכניות עבודה וכן לפקח, בין היתר באמצעות קיום ישיבות עיתיות, כי תוכניות העבודה אכן מבוצעת בפועל ומתוקצבות בהתאם לצורך מימושן. עמדת הרשות עולה בקנה אחד עם עקרונות דיני החברות בישראל ובפרט מביאה לידי ביטוי את הרציונל שמגולם בסעיף 92 לחוק החברות תשנ"ט – 1999, לפיו "הדירקטוריון יתווה את מדיניות החברה ויפקח על ביצוע תפקידי המנהל הכללי ופעולותיו”. כמו כן, הרשות מבססת את עמדתה גם על פסיקה, מישראל ומחוצה לה, אשר עוסקת בנושאי אחריות הדירקטוריון לאירועי סייבר ואבטחת מידע.
חשוב לציין כי הרשות מסייגת בשלב זה את החובות האמורות לגופים אשר עיבוד מידע אישי מצוי "בליבת הפעילות שלהם" או שקיימת סבירות כי פעילות הארגון תיצור סיכון גבוה לפרטיות. זאת, כאשר לטובת הערכת פוטנציאל הסיכון לפרטיות, יבחנו מאפיינים שונים כגון סוג המידע ורגישותו, היקף האנשים שהמידע משויך אליהם, מספר מורשי הגישה למידע ועוד. על אף הסתייגות זו, לאור חשיבות המידע עבור גופים עסקיים רבים והשימוש ההולך וגובר במידע אישי בסביבה העסקית – נראה כי העמדה תחול על גופים רבים במשק הישראלי.
מבלי לגרוע מהחובות הכלליות אשר פורטו לעיל, הרשות מבהירה כי בחברות אשר מתקיימות לגביהן הנסיבות שתוארו לעיל, הדירקטוריון הוא הגורם המתאים ביותר לביצוע החובות הבאות:
[1] אישור מסמך הגדרות המאגר – בהתאם לאמור בתקנה 2(א) לתקנות אבטחת מידע;
[2] אישור עקרונות מרכזיים בנוהל אבטחת המידע הארגוני;
[3] קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים;
[4] קיום דיון עתי באירועי אבטחת מידע המתרחשים בארגון;
[5] קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, לפחות אחת לשנתיים.
נדגיש כי אין בהנחיה כדי לפטור או להפחית מאחריות המוטלת על מנכ"ל החברה, הנהלת החברה או על כל גורם אחר שהוסמך לביצוע החובות מכוח תקנון החברה או על פי כל דין. לכן בשלב זה, ובהתאם לאמור לעיל, נציע ללקוחותינו לבחון את עמידת הארגון בהוראות דיני הגנת הפרטיות, תוך שימת דגש לציות לתקנות אבטחת מידע.
נשמח לעמוד לרשותכם לכל שאלה ו/או הבהרה.
בברכה,
מחלקת סייבר, אבטחת מידע ופרטיות,
שבלת ושות'
האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.