הנחייה בעניין תפקיד הדירקטוריון בקיום חובות התאגיד מכוח תקנות הגנת הפרטיות (אבטחת מידע)

מוקדם יותר היום פרסמה הרשות להגנת הפרטיות (להלן: "הרשות") הנחיה חדשה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד מכוח תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "התקנות”) וחוק הגנת הפרטיות התשמ"א-1981 (להלן: "החוק"). 

הנחיה זו פורסמה בהמשך לטיוטה שפרסמה הרשות להערות הציבור לפני כשנה, עליה דיווחנו במזכר לקוחות קודם (לעיון במזכר לחצ/י כאן). באופן כללי, ההנחיה שפורסמה דומה במהותה לטיוטה שהופצה להערות הציבור, אך יודגש שבהנחיה הסופית הרשות חידדה הוראות שונות על מנת לשקף שאחריות הדירקטוריון היא פיקוחית וניהולית במהותה ולא ביצועית.

עוד יצוין כי על אף שהדבר אינו מצוין מפורשות בהנחיה, רשות הגנת הפרטיות ציינה באתר האינטרנט שלה כי חברה שהדירקטוריון בה אינו מקיים את חובת הפיקוח המתוארת, או שאינו מעורב במידה נאותה בביצוע הפעולות הקונקרטיות המפורטות בהנחיה  – מפרה לכאורה את הוראות חוק הגנת הפרטיות ותקנות אבטחת המידע, ועלולה להיות חשופה לסנקציות הקבועות בחוק, לרבות הסנקציות שנקבעו בתיקון 13 לחוק הגנת הפרטיות אשר ייכנס לתוקף באוגוסט 2025 (לעיון במזכר לקוחות שפרסמנו בנושא זה, לחצ/י כאן) ("התיקון"). יודגש כי התיקון יעניק לרשות להגנת הפרטיות, בין היתר, סמכויות להטיל עיצומים כספיים בסכומים משמעותיים, לרבות בגין הפרה של התקנות. משכך, אנו ממליצים ללקוחותינו לוודא עמידה לא רק בהוראות החוק והתקנות, אלא גם בהנחיה זו ובכלל הנחיות הרשות הרלוונטיות להם. נציין כי ראש הרשות הדגיש כי ההוראות הקבועות בהנחיה זו יכנסו לתוקף באופן מיידי וכי הרשות צפויה לבחון כבר ממועד זה עמידה בהוראות הקבועות בהנחיה כחלק מהליכי הפיקוח המבוצעים על ידה.

חשוב לציין כי רשות הגנת הפרטיות לא תטיל עיצומים כספיים ישירות על דירקטורים בגין אי עמידה בהוראות הקבועות בהנחיות. אולם, במקרים כאמור, דירקטורים עשויים להיות חשופים לתביעות בגין רשלנות והפרת חובת הזהירות המוטלת עליהם.

עמדת הרשות היא כי בחברה אשר עיבוד מידע אישי מצוי בליבת הפעילות שלה (להבדיל מעיבוד מידע שרק נלווה לפעילות הליבה), או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפרטיות, על דירקטוריון החברה מוטלת חובה לפקח על ציות החברה לחוק ולתקנות בהתאם לעקרונות המפורטים בהנחיה.

יובהר כי לפי לשון ההנחיה חברות שקיימת סבירות כי פעילותן תיצור סיכון מוגבר לפרטיות, יוגדרו ככאלה בהתאם לנסיבות הרלוונטיות, לרבות מאפייני הארגון (כגון חברות העוסקות בסחר במידע), סוג המידע המעובד על ידן ורגישותו (כגון סוגי המידע המפורטים בפרט 1 לתוספת הראשונה לתקנות, או בהגדרת "מידע בעל רגישות מיוחדת" בתיקון, או מידע על אוכלוסיות מיוחדות כדוגמת קטינים) ו/או היקף המידע או מספר מורשי הגישה אליו.

נציין כי עמדת הרשות השאירה מרווח רחב לפרשנות באשר לאופי החברות הכפופות להנחיה זו, דבר אשר לטעמנו עשוי לגרור תחולה רחבה של ההנחיה. על כן, מומלץ לקבל ייעוץ משפטי פרטני, בהתאם למאפייני החברה ופעילויות עיבוד המידע האישי על-ידה, באשר לתחולת ההנחיה. כמו-כן, אנו משערים שלאורך זמן יתקבלו פרשנויות נוספות ותתפתח פרקטיקה מקובלת בעניין זה.

על פי ההנחיה, ובשים לב למאפיינים הפרטניים של החברה, באחריות הדירקטוריון לוודא גיבוש, אימוץ ויישום של מדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע. המדיניות תתייחס בין היתר לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים, וכן תגדיר תהליכי פיקוח, בקרה, וציות אפקטיביים. עוד על הדירקטוריון לוודא כי המדיניות מוטמעת בנהלי העבודה בארגון ולקבוע מי הם בעלי התפקידים האחראים על ביצועה. הדירקטוריון יהיה אמון על פיקוח שוטף וקבלת עדכונים ודיווחים על ביצוע החובות על פי התקנות בידי האחראים לכך בחברה. הרשות מדגישה כי אימוץ תכנית אכיפה פנימית אפקטיבית הינו אחת הדרכים באמצעותן מתמלאת חובת הפיקוח המוטלת על הדירקטוריון, כמפורט לעיל.

כמו כן, לעמדת הרשות ביצוען של דרישות מסוימות, פיקוחיות באופיין, המוטלות בתקנות על בעל המאגר או על מחזיק במאגר שהוא תאגיד, המפורטות בהנחיה ולהלן, הוא באחריות דירקטוריון החברה. עמדה זו מבוססת על פרשנות תכליתית של החוק והתקנות, בשים לב לעקרונות הממשל התאגידי וחלוקת התפקידים המקובלת בין האורגנים של התאגיד לפי דיני התאגידים בישראל, וכן כפי שנקבע בפסיקת דיני התאגידים בארה"ב, אשר החלה לקנות אחיזה גם בפסיקת בתי המשפט בישראל.

מבלי לגרוע מכלליות חובות הדירקטוריון, כמפורט בהנחיה ולעיל, עמדת הרשות היא כי על הדירקטוריון של חברות הכפופות להנחיה זו לבצע, לפי העניין, את החובות שלהלן:

יובהר כי במקרים המתאימים ובשים לב בין השאר למידת הסיכון לפרטיות הכרוך בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון, ניתן בהחלטת דירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע פעולות אלה, תוך פיקוח על קיומן בפועל. במקרים אלה ובהתאם להוראות התקנות על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו זו, ושל אופן ביצוע יתר הפעולות הנדרשות על פי התקנות.

ההנחיה מבהירה כי היא אינה פוטרת או מפחיתה מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך לביצוע החובות על פי התקנות, מכוח תקנון החברה או על פי כל דין.

לעיון בהנחיה המלאה לחצ/י כאן.