לאחרונה, פרסמה הרשות להגנת הפרטיות הנחיה חדשה בנושא תפקיד הדירקטוריון בקיום חובות החברה לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. פרסום זה נעשה בהמשך לטיוטה הנחייה שפורסמה לפני כשנה (ראו כאן את ההנחיה החדשה וכאן את עדכון הלקוחות שלנו בנושא טיוטת ההנחיה).
ההנחיה חלה על חברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן או שקיימת סבירות כי פעילותן תיצור סיכון מוגבר לפרטיות. לעניין זה, הרשות מביאה כדוגמאות חברות העוסקות בסחר במידע, חברות שאוספות מידע על אוכלוסיות רגישות (כגון קטינים) וחברות שאוספות מידע על נושאי מידע רבים, או שישנם מורשי גישה רבים למאגרי המידע שלהן.
בהתאם להנחיה, על דירקטוריון של חברה כאמור מוטלת חובה לפקח על ציות החברה לחוק הגנת הפרטיות, התשמ"א-1981 ולתקנות; ובכלל כך:
1. באחריות הדירקטוריון לוודא גיבוש, אימוץ ויישום של מדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה. מדיניות זו צריכה להתייחס, בין השאר, לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים, להגדיר הליכי פיקוח, בקרה וציות אפקטיביים, ולהתייחס לחובת הדיווח המיידי לרשות להגנת הפרטיות במקרה של אירוע אבטחה חמור.
2. בנוסף, הדירקטוריון נדרש לוודא את הטמעתה של המדיניות בנהלי העבודה בחברה ולקבוע את בעלי התפקידים האחראים לביצועה.
3. כמו כן, הדירקטוריון נדרש לפקח באופן שוטף על ביצוע החובות הקבועות בתקנות על-ידי הגורמים האחראים לכך בחברה ולקבל דיווחים ועדכונים על כך. בהתאם להנחיה, אימוץ תכנית אכיפה פנימית אפקטיבית הוא אחת הדרכים באמצעותן מתמלאת חובת הפיקוח המוטלת על הדירקטוריון.
בנוסף, ההנחיה מבהירה כי בחברות כאמור, שעיבוד מידע אישי מצוי בליבת הפעילות שלהן או שפעילותן יוצרת סיכון מוגבר לפרטיות, הדירקטוריון הוא האורגן המתאים לביצוע החובות שלהלן, שמוטלות לפי התקנות על חברה כאמור (ללא קביעה מפורשת של זהות האורגן שאמור לבצע בפועל את המשימה המוטלת על החברה):
1. דיון במסמך הגדרות המאגר, בטרם הגדרתו הסופית (זאת, להבדיל מהדרישה לאשרו, כפי שנקבע תחילה בטיוטה);
2. דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני, בטרם אישורו (גם כאן, להבדיל מהדרישה לאשר את נוהל האבטחה, שנקבעה תחילה בטיוטה);
3. דיון בתוצאות סקר הסיכונים ותוצאות מבדקי חדירות, לרבות בפעולות הנדרשות לתיקון הליקויים שנמצאו;
4. דיון רבעוני או שנתי (כנדרש בהתאם לרמת האבטחה של המאגר) באירועי אבטחת המידע שהתרחשו בחברה; ו-
5. דיון בתוצאות הביקורת התקופתית בנוגע לעמידת החברה בתקנות, אחת לשנתיים.
יחד עם זאת, במקרים המתאימים ובהתחשב במידת הסיכון לפרטיות הכרוכה בפעילות החברה, בגודלה ובהרכב הדירקטוריון, רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל.
כפי שהוסבר בהנחיה, היא עולה בקנה אחד עם פסיקות שניתנו בנושא זה במדינת דלאוור בארה"ב (ולאחרונה נראו להן ניצנים בישראל), ומבוססת על פרשנות תכליתית של חוק הגנת הפרטיות והתקנות, בשים לב לעקרונות הממשל התאגידי וחלוקת התפקידים המקובלת בין האורגנים של החברה לפי דיני תאגידים בישראל.
הנחיית הרשות מחייבת חברי דירקטוריון למלא תפקיד פעיל בפיקוח על ציות החברה לחוק הגנת הפרטיות ולתקנות. החשיבות במילוי תפקיד זה מתחדדת גם על רקע תיקון 13 לחוק הגנת הפרטיות, אשר יאפשר, החל מחודש אוגוסט 2025, הטלה של עיצומים כספיים משמעותיים על חברות שלא יעמדו בדרישות אלו.
אנו מזמינים אתכם לפנות אלינו לכל שאלה או התייעצות בנושא.