ביום 10 בספטמבר, 2023, הרשות להגנת פרטיות ("הרשות") פרסמה טיוטת הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע) ("טיוטת ההנחיה").
חוק הגנת הפרטיות, התשמ"א-1981 ("החוק") וכן תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ("התקנות") אינן קובעות במפורש את זהות האורגן האמור לבצע בפועל את חובות החוק והתקנות המוחלות על תאגידים. אולם, בהתאם לטיוטת ההנחיה, עמדת הרשות היא כי בחברות אשר עיבוד מידע אישי מצוי בליבת פעילותן, או שפעילותן יוצרת סיכון מוגבר לפרטיות – האורגן האחראי על יישומן הינו דירקטוריון החברה.
עמדת זו של הרשות מבוססת על פרשנות תכליתית של החוק והתקנות, לאור חובות הדירקטוריון שבחוק החברות ובין היתר סעיף 92 לחוק החברות הקובע כי "הדירקטוריון יתווה את מדיניות החברה ויפקח על ביצוע תפקידי המנהל הכללי ופעולותיו". כפי שמפורט בטיוטת ההנחיה, פרשנות זו מהווה המשך טבעי לפסיקה בארה"ב, המוצאת בשנים האחרונות אף אחיזה בפסיקת ביהמ"ש בישראל, אשר קובעת את אחריותו של הדירקטוריון: (א) לקבוע מנגנוני בקרה, שליטה או קבלת מידע לגבי ציות לרגולציה; ו(ב) לפקח בפועל על יישומם של מנגנונים אלו. בהתאם, דירקטוריון שכשל במילוי איזה מתפקידיו אלה, נחשב כמי שהפר את חובותיו ועלולה לקום לו אחריות.
על מי טיוטת ההנחיה עתידה לחול?
כאמור לעיל, בהתאם לטיוטת ההנחיה, תחולתה הינה על חברות אשר עיבוד מידע אישי מצוי בליבת פעילותן, או שפעילותן יוצרת סיכון מוגברת לפרטיות. השיקולים המרכזיים לקטלוג חברות תחת הגדרות אלו כוללים בין היתר, את מאפייני הארגון ותחום פעילותו (לדוגמא, חברות ציבוריות או חברות העוסקות בסחר במידע); סוג המידע המעובד על ידי הארגון ומידת רגישותו (למשל, "מידע רגיש" כהגדרתו בחוק או מידע על אוכלוסיות מיוחדות כדוגמת קטינים), היקף המידע ומספר מורשי הגישה אליו.
חובות הדירקטוריון
בכפוף לקריטריונים אלו לתחולה, טיוטת ההנחיה מציעה להטיל על דירקטוריון החברה את האחריות להגדיר ולמנות את האחראים על ביצוע דרישות התקנות, לרבות החובה לדווח על אירועי אבטחת מידע, ליישם בחברה מדיניות מתאימה בדגש על תהליכי פיקוח, בקרה, ציות, חובת עדכון ודיווח על ביצוע התקנות בידי אותם ממונים ולהתוות מדיניות בנוגע לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים.
טיוטת ההנחיה מוסיפה ומונה את החובות הקונקרטיות המפורטות להלן כחלות על הדירקטוריון:
- אישור מסמך הגדרות המאגר;
- אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני;
- קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים;
- קיום דיון רבעוני או שנתי, על פי רמת האבטחה של המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון;
- קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות (אחת ל-24 או 18 חודשים בהתאם לרמת אבטחת המאגר).
חשוב לציין, כי על פי טיוטת ההנחיה, במקרים מסוימים רשאי הדירקטוריון למנות גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, אולם זאת, תוך פיקוח על פועלו.
עמדת הרשות המתוארת לעיל, מבטאת בפועל הגברה של האחריות החלה בצורה ישירה על הדירקטורים בחברה, תוך חשיפה של הדירקטורים והחברה הן ברמה האישית והן ברמה התאגידית. במבוא לטיוטת הנחיה, ישנה התייחסות ישירה של הרשות לפסיקה התאגידית בשנים האחרונות, בדגש על תובענות ייצוגיות ונגזרות. טיוטת ההנחיה אף מבטאת החמרה מסוימת של גילוי דעת אשר פורסם על ידי איגוד הדירקטורים בישראל בשנת 2022 בנושא "אחריות הדירקטוריון בנושא הסייבר". גילוי הדעת של איגוד הדירקטורים, התייחס בעיקרו לחובות הדירקטוריון לקיים דיונים בנושאים מסוימים, אולם נמנע מלהטיל על חברי הדירקטוריון את החובה הישירה לעסוק בפרטים הקטנים של עיבוד המידע בחברה והגנתו. טיוטת ההנחיה מציעה למעשה להטיל על הדירקטוריון את האחריות לעסוק בנושאים שבאופן מסורתי מאושרים ומנוהלים ברמת ההנהלה והדרג המקצועי בחברה. כך לדוגמא, חובה של הדירקטוריון לדון במסמך הגדרות המאגר ולאשרו מטיל עליו בעקיפין אחריות לדון פרטנית באמצעי האבטחה שהוטמעו בחברה כמו גם בחובת המינימליזציה לפי תקנה 2(ג) לתקנות אבטחת מידע (החובה למחוק מידע עודף וקביעת מדיניות ליישום חובה זו).
בשנים האחרונות פיתחנו במחלקת הרגולציה, הפרטיות והטכנולוגיה של עמית, פולק, מטלון ושות' מתודה סדורה לביקורת של נושאים אלו, תוך דיווח להנהלה ולדירקטוריון ומתן כלים פרקטיים ומעשיים לסגירת הפערים והטמעת בקרות שוטפות ותקופתיות המבטיחות את המשכיות הציות בחברה. אנו מזמינים אתכם לפנות אלינו על מנת שנבנה יחד עימכם תוכנית פיקוח ובקרה שתסייע להנהלה ודירקטוריון כל חברה להגביר את הוודאות ולהקטין את החשיפה בתחום אבטחת המידע והגנת הפרטיות.
תכלית עדכון זה, להציג את החידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.
צוות APM לרגולציה ולטכנולוגיה.
