אחריות דירקטוריון להגנת הסייבר: הרשות להגנת הפרטיות מנחה

הרשות להגנת הפרטיות פרסמה לאחרונה (12.09.2024) הנחייה (מס' 1/2024) המגדירה את תפקיד הדירקטוריון בפיקוח ובאחריות על אירועי סייבר וכחלק מכך פיקוח על אופן השימוש במידע האישי וניהולו בנושאים המהותיים בחברה, תוך הגדרת תהליכי פיקוח, בקרה, וציות אפקטיביים.

ההנחיה חלה על חברות בהן עיבוד מידע אישי הוא בליבת פעילותן או שקיימת סבירות כי פעילותן תיצור סיכון מוגבר לפרטיות.

עמדת הרשות היא שעל דירקטוריון החברה מוטלת חובה לפקח על ציות החברה לחוק הגנת הפרטיות ולתקנות אבטחת המידע שהותקנו מכוחו בהתאם לעקרונות שלהלן:

  • על הדירקטוריון לוודא גיבוש, אימוץ ויישום של מדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה.
  • על הדירקטוריון חלה חובת דיווח מידי לרשות הגנת הפרטיות על קרות אירועי אבטחת מידע.
  • על הדירקטוריון לוודא כי המדיניות בנושא הגנת הסייבר מוטמעת בנהלי העבודה בארגון ולקבוע מי הם בעלי התפקידים האחראים על ביצועה, המדיניות תתייחס בין היתר לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים וכן תגדיר תהליכי פיקוח, בקרה, וציות אפקטיביים.
  • הדירקטוריון יהיה אמון על פיקוח שוטף וקבלת עדכונים ודיווחים על ביצוע החובות על פי התקנות בידי האחראים לכך בחברה.
  • קיום דיונים בנושאים מרכזיים – על הדירקטוריון לקיים דיונים במסמך הגדרות המאגר בטרם הגדרתו הסופית, דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני, בתוצאות סקר סיכונים ומבדקי חדירות ולבצע תיקונים נדרשים, לערוך דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות וכן לקיים דיונים רבעונים/שנתיים בנושא אירועי אבטחת מידע ואבטחת המאגר.
  • על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו ושל אופן ביצוע יתר הפעולות הנדרשות על פי התקנות.

ההנחיה מבוססת על פרשנות תכליתית של חוק הגנת הפרטיות והתקנות, תוך התייחסות לפסיקות אמריקאיות ולמגמות בפסיקה הישראלית שמרחיבות את אחריות הדירקטוריון ועשויות להשפיע על תביעות עתידיות בתחום.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

הרשות להגנת הפרטיות חושפת: ליקויים חמורים בקרב מגזר בתי החולים

הרשות להגנת הפרטיות פרסמה לאחרונה (15.9.24) דוח פיקוח רוחב שערכה ב-28 בתי חולים בישראל, הכוללים גם מרכזים לטיפול יום ובתי חולים פרטיים. בשנים האחרונות, חלה ...

אתגרי אבטחת מידע במעבר מאגרי מידע לענן: הרשות להגנת הפרטיות מנחה        

מעבר מאגרי המידע לענן. מסמך חדש שפרסמה לאחרונה (05.09.2024) הרשות להגנת הפרטיות סוקר את האתגרים המרכזיים בתהליך זה ומציע דרכים להתמודדות עימם. בעידן הדיגיטלי המתפתח, ...

הפרטיות בחרום. הרשות מתווה דרכי פעולה

על מה יש להקפיד בשעת חרום בתחום הפרטיות?  הרשות להגנת הפרטיות מפרסמת מדריך, במסגרתו מוצעים כללים מרכזיים להגנה על פרטיות בעת חירום באופן המבקש ליצור ...

אחריות דירקטוריון להגנת הסייבר: הרשות להגנת הפרטיות מנחה

הרשות להגנת הפרטיות פרסמה לאחרונה (12.09.2024) הנחייה (מס' 1/2024) המגדירה את תפקיד הדירקטוריון בפיקוח ובאחריות על אירועי סייבר וכחלק מכך פיקוח על אופן השימוש במידע ...
דילוג לתוכן