הרשות להגנת הפרטיות פרסמה ביום 10.9.2023 טיוטת הנחיה חדשה להערות הציבור (להלן: "טיוטת ההנחייה") בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 (להלן – "תקנות אבטחת מידע" או "התקנות"). המועד האחרון להגשת הערות לטיוטה זו הינו 22.10.2023. להלן עיקרי טיוטת ההנחייה המוצעת, ביחס לתפקידו של הדירקטוריון בקיום חובות התאגיד לפי תקנות אבטחת מידע.
בהתאם לטיוטת ההנחייה, מוצע כי הוראותיה יחולו על חברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן, או על חברות שפעילותן יוצרת סיכון מוגבר לפרטיות. זאת, בין היתר, כתלות במאפייני הארגון כגון: חברות ציבוריות או חברות העוסקות בסחר במידע; סוג המידע המעובד על ידן ורגישותו; היקף המידע או מספר מורשי הגישה אליו.
הוראת תקנות תקנות אבטחת מידע קובעות שורה של דרישות אשר בעל מאגר מידע, מחזיק במאגר ומנהלו נדרשים לקיים. בהתאם לטיוטת ההנחייה, ביצוען של דרישות מסוימות, בעלות אופי פיקוחי, המוטלות בתקנות על בעל מאגר או מחזיק במאגר שהוא תאגיד, צריך להתבצע בידי דירקטוריון החברה, בשים לב למאפייני התאגיד.
בין היתר, לפי טיוטת ההנחייה, לעמדת הרשות להגנת הפרטיות, בחברות מהסוגים המפורטים לעיל, על דירקטוריון החברה לקבוע מיהם האחראים בחברה על יישום הדרישות בתקנות; ליישם בחברה תהליכי פיקוח, בקרה, ציות, חובת עדכון ודיווח על ביצוע התקנות בידי אותם אחראים; ולקבוע החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים.
כמו כן, בהתאם לטיוטת ההנחייה, ככלל, מוצע להטיל על דירקטוריון החברה את האחריות לבצע מספר חובות בעלות אופי פיקוחי הקבועות בתקנות אבטחת מידע:
1. אישור מסמך הגדרות המאגר;
2. אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני;
3. קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים;
4. קיום דיון רבעוני או שנתי (על פי רמת האבטחה של המאגר) באירועי אבטחת המידע שהתרחשו בארגון;
5. קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידת הארגון בתקנות.
עם זאת, לפי טיוטת ההנחייה, במקרים המתאימים, ובשים לב למידת הסיכון לפרטיות הכרוך בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון, רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיום חובות אלה בפועל. בהתאם לטיוטת ההנחייה, לפי תקנות אבטחת מידע, על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו זו, ושל אופן ביצוע שאר הפעולות הנדרשות על פי התקנות.
בטיוטת ההנחייה מובהר, כי אין בה כדי לגרוע מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה או כל גורם אחר שהוסמך לביצוע החובות על פי התקנות, מכוח תקנון החברה או על פי כל דין.
לסיכום נעיר, כי מבחינה ראשונית, חשוב ליתן את הדעת לכך שטיוטת ההנחייה מציעה במקרים מסוימים (ביחס לחברות שליבת עיסוקן כרוכה בעיבוד מידע אישי או כרוכה בסיכון מוגבר להגנת הפרטיות) להטיל חובות ביצועיות קונקרטיות על הדירקטוריון בקשר לתקנות אבטחת מידע.
כאמור, מדובר בטיוטת הנחייה הפתוחה להערות הציבור, עד ליום 22 באוקטובר 2023.
נשמח לעמוד לרשותכם.ן בכל הבהרה, ואף לסייע בגיבוש הערות לרשות להגנת הפרטיות לטיוטת ההנחייה, ככל שיידרש.
לעיון בהנחייה בנוסחה המלא באתר הרשות להגנת הפרטיות >> לחצו כאן
*הכותבים הינם עורכת הדין ורד זליכה, שותפה וראשת תחום סייבר ובינה מלאכותית ועורך הדין איתן שמואלי, שותף וראש תחום שוק ההון וניירות ערך, בעזרתם של המתמחים דניאל צימבלר ואריק צ'יקוטאי ממשרדנו.
*הבהרה: האמור בחוזר זה הינו מידע כללי בלבד ואין בו כדי להוות ייעוץ משפטי המחייב בחינה מעמיקה וספציפית של כל נושא לגופו.