פרסומים

עדכון לקוחות | טיוטה להערות הציבור בנושא תפקיד הדירקטוריון בקיום חובות תקנות הגנת הפרטיות (אבטחת מידע)


11 ספטמבר, 2023

אתמול (10.09.2023) פרסמה הרשות להגנת הפרטיות (להלן: "הרשות") טיוטת הנחיה חדשה להערות הציבור בנושא תפקיד הדירקטוריון בקיום חובות החברה לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "התקנות").

התקנות מטילות שורה של חובות אשר תאגיד שהוא בעל מאגר מידע, או מחזיק במאגר מידע נדרש לבצע בכדי לקיים את האחריות המוטלת עליו לפי חוק הגנת הפרטיות התשמ"א-1981 (להלן: "החוק") בעניין אבטחת המידע שבמאגר, אולם התקנות אינן קובעות במפורש את זהות האורגן בתאגיד האחראי על כך בפועל.

לאור עקרונות הממשל התאגידי וחלוקת התפקידים המקובלת בין האורגנים של התאגיד – עמדת הרשות, כמפורט בהנחיה שפורסמה להערות הציבור, היא שככלל בחברה אשר עיבוד מידע אישי מצוי בליבת הפעילות שלה, או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפרטיות (אינדיקציות לכך יכולות להיות מאפייני הארגון, כגון חברות ציבוריות או חברות העוסקות בסחר במידע, סוג המידע האישי המשמש את הארגון ורגישותו, היקף המידע האישי או מספר מורשי הגישה אליו), הדירקטוריון הוא הגורם המתאים והיעיל להחליט מיהם האחראים בחברה לביצוע דרישות התקנות, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע, ליישם הליכי פיקוח, בקרה, ציות, חובת עדכון ודיווח על ביצוע הדרישות בידי אותם אחראים, ולקבל החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים. עמדה זו מבוססת על פרשנות תכליתית של חוק הגנת הפרטיות והתקנות, ועומדת בהלימה לדיני החברות ולפסיקה בינלאומית בנושא.

לאור האמור לעיל, הדירקטוריון הוא האורגן המתאים לביצוע החובות שלהלן, שהן פיקוחיות באופיין, ומוטלות לפי התקנות על החברה בהיותה בעלת מאגר מידע או מחזיקה במאגר, לפי העניין: (א) אישור מסמך הגדרות המאגר; (ב) אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני; (ג) קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים; (ד) קיום דיון רבעוני או שנתי, על פי רמת האבטחה של המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון; ו-(ה) קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, שיש לקיים אחת לשנתיים.

יובהר כי במקרים המתאימים, בשים לב למידת הסיכון לפרטיות הכרוך בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון, רשאי הדירקטוריון למנות גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל. במקרים אלה, על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו זו ושל אופן ביצוע שאר הפעולות הנדרשות על פי התקנות.

ההנחיה מבהירה כי היא אינה פוטרת או מפחיתה מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך על ידה לביצוע החובות על פי התקנות, מכוח תקנון החברה או על פי כל דין.

ניתן להעביר התייחסויות לטיוטת ההנחיה עד ליום 22.10.2023.

לעיון בטיוטת ההנחיה לחצ/י כאן

הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.