הרשות להגנת הפרטיות פרסמה לאחרונה (12.09.2024) הנחייה (מס' 1/2024) המגדירה את תפקיד הדירקטוריון בפיקוח ובאחריות על אירועי סייבר וכחלק מכך פיקוח על אופן השימוש במידע האישי וניהולו בנושאים המהותיים בחברה, תוך הגדרת תהליכי פיקוח, בקרה, וציות אפקטיביים.
ההנחיה חלה על חברות בהן עיבוד מידע אישי הוא בליבת פעילותן או שקיימת סבירות כי פעילותן תיצור סיכון מוגבר לפרטיות.
עמדת הרשות היא שעל דירקטוריון החברה מוטלת חובה לפקח על ציות החברה לחוק הגנת הפרטיות ולתקנות אבטחת המידע שהותקנו מכוחו בהתאם לעקרונות שלהלן:
- על הדירקטוריון לוודא גיבוש, אימוץ ויישום של מדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה.
- על הדירקטוריון חלה חובת דיווח מידי לרשות הגנת הפרטיות על קרות אירועי אבטחת מידע.
- על הדירקטוריון לוודא כי המדיניות בנושא הגנת הסייבר מוטמעת בנהלי העבודה בארגון ולקבוע מי הם בעלי התפקידים האחראים על ביצועה, המדיניות תתייחס בין היתר לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים וכן תגדיר תהליכי פיקוח, בקרה, וציות אפקטיביים.
- הדירקטוריון יהיה אמון על פיקוח שוטף וקבלת עדכונים ודיווחים על ביצוע החובות על פי התקנות בידי האחראים לכך בחברה.
- קיום דיונים בנושאים מרכזיים – על הדירקטוריון לקיים דיונים במסמך הגדרות המאגר בטרם הגדרתו הסופית, דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני, בתוצאות סקר סיכונים ומבדקי חדירות ולבצע תיקונים נדרשים, לערוך דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות וכן לקיים דיונים רבעונים/שנתיים בנושא אירועי אבטחת מידע ואבטחת המאגר.
- על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו ושל אופן ביצוע יתר הפעולות הנדרשות על פי התקנות.
ההנחיה מבוססת על פרשנות תכליתית של חוק הגנת הפרטיות והתקנות, תוך התייחסות לפסיקות אמריקאיות ולמגמות בפסיקה הישראלית שמרחיבות את אחריות הדירקטוריון ועשויות להשפיע על תביעות עתידיות בתחום.