הרשות להגנת הפרטיות מתווה את תפקידו של דירקטוריון החברה באבטחת המידע. במסגרת טיוטת הנחייה שפרסמה לאחרונה (10.09.2023) קובעת הרשות את תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע).
תקנות אבטחת המידע קובעות שורה של חובות ופעולות אשר בעל מאגר מידע, מחזיק במאגר ומנהלו נדרשים לבצע, בכדי לקיים את האחריות המוטלת עליהם לפי חוק הגנת הפרטיות בעניין אבטחת המידע שבמאגר. על אף שהתקנות אינן קובעות במפורש את זהות האורגן בתאגיד האמור לבצע בפועל את החובות המוטלות על החברה בתחום אבטחת המידע, בטיוטת ההנחיה שמפרסמת, מונה הרשות את הדרישות הפיקוחיות הקבועות בתקנות אשר צריך וראוי שיתבצעו בפועל בידי הדירקטוריון.
עמדת הרשות היא שככלל, בחברה אשר עיבוד מידע אישי מצוי בלב פעילותה או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפרטיות, הדירקטוריון הוא הגורם המתאים והיעיל להחליט מיהם האחראים בחברה לביצוע דרישות התקנות, ליישם הליכי פיקוח ובקרה על ביצוע הדרישות בידי אותם אחראים, ולקבל החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים.
הרשות מבססת את עמדתה על פרשנות תכליתית של חוק הגנת הפרטיות והתקנות, וגם עומדת בהלימה לדיני החברות ופסיקה בינלאומית בנושא, אשר החלה לקנות אחיזה גם בפסיקת בתי המשפט בישראל. כך למשל סעיף 92 לחוק החברות, המטיל על דירקטוריון החברה את התווית מדיניות החברה ופיקוח על ביצוע תפקידי המנהל הכללי ופעולותיו ומקים לו חובת אחריות.
על מי עתידה לחול טיוטת ההנחיה?
אם תתקבל ההנחיה היא תחול על חברות אשר עיבוד מידע אישי מצוי בלב פעילותן, או על חברות אשר פעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות. השיקולים המרכזיים לקביעה זו כוללים בין היתר את:
- מאפייני הארגון (כגון חברות ציבוריות או חברות העוסקות בסחר במידע).
- סוג המידע המעובד על ידן ורגישותו, (כגון "מידע רגיש" כהגדרתו בחוק או מידע על אוכלוסיות מיוחדות כדוגמת קטינים).
- היקף המידע או מספר מורשי הגישה אליו.
חובות הדירקטוריון
הצעת טיוטת ההנחיה היא להטיל על דירקטוריון החברה את האחריות להגדיר ולמנות את האחראים על ביצוע דרישות התקנות, לרבות החובה לדווח על אירועי אבטחת מידע, ליישם בחברה מדיניות מתאימה בדגש על תהליכי פיקוח, בקרה, ציות, חובת עדכון ודיווח על ביצוע התקנות בידי אותם ממונים ולהתוות מדיניות בנוגע לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים.
ההנחיה מוסיפה ומונה גם מספר חובות המוטלות לפי התקנות, כחלות על הדירקטוריון, כדלקמן:
- אישור מסמך הגדרות המאגר (תקנה א');
- אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני (תקנות 3(2) ו- 4(א));
- קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים (תקנות 5(ג) ו- 5(ד));
- קיום דיון רבעוני או שנתי, על פי רמת האבטחה של המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון (תקנה 11(ג));
- קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות (אחת ל24- או 18 חודשים בהתאם לרמת אבטחת המאגר) (תקנה 16(ג).
על פי טיוטת ההנחיה, רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל. זאת במקרים המתאימים ובשים לב למידת הסיכון לפרטיות הכרוך בפעילות החברה, גודלה והרכב הדירקטוריון. על הדירקטוריון לקיים תיעוד סביר של הנימוקים להחלטה זו ושל אופן ביצוע הפעולות הנדרשות על פי התקנות.
כמו כן, הנחיה זו אינה פוטרת או מפחיתה מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך לביצוע החובות על פי התקנות, מכוח תקנון החברה או על פי כל דין.
הרשות להגנת הפרטיות מתייחסת לפסיקה התאגידית בשנים האחרונות שהעלתה את המודעות לחשיבות אבטחת המידע, בדגש על תובענות ייצוגיות ונגזרות. ההנחיה מבקשת להעמיד את הדירקטורים בחברה בחזית האחריות בתחום ההגנה על הפרטיות ואבטחת המידע. עמדת הרשות בהנחיה, מציעה להרחיב את האחריות של הדירקטוריון על אבטחת המידע מעבר לחובות שהיו מקובלות בעבר ולהטיל למעשה על הדירקטוריון את האחריות לעסוק בנושאים שבאופן מסורתי מאושרים ומנוהלים בידי הדרג המקצועי וההנהלה בחברה.
