18 בספטמבר 2023

תפקיד הדירקטוריון בקיום חובות אבטחת מידע – עמדת הרשות להגנת הפרטיות

ביום 10 בספטמבר 2023 פרסמה הרשות להגנת הפרטיות ("הרשות") טיוטת הנחיה להערות הציבור בנושא תפקיד הדירקטוריון בקיום חובות החברה לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("ההנחיה" ו-"התקנות", בהתאמה). ההנחיה חלה על חברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן, או על חברות אשר פעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות. לעניין זה, הרשות מביאה כדוגמאות חברות ציבוריות, חברות העוסקות בסחר במידע, חברות שאוספות מידע על אוכלוסיות רגישות (כגון קטינים) וחברות שאוספות מידע על נושאי מידע רבים, או שישנם מורשי גישה רבים למאגרי המידע שלהן.

ההנחיה מבקשת להגדיר את אחריות הדירקטוריון בקשר עם עמידה בהוראות הדין בתחום הגנת הפרטיות ואבטחת מידע. לעמדת הרשות, הדירקטוריון הוא האורגן המתאים והיעיל להחליט מי הם האחראים בחברה לביצוע דרישות התקנות, ליישם הליכי פיקוח ובקרה על ביצוע הדרישות בידי אותם אחראים, ולקבל החלטות בדבר אופן השימוש במידע האישי בחברה וניהולו בנושאים מהותיים.

בהתאם להנחיה, מבלי לגרוע מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, וכל גורם אחר שהוסמך לביצוע החובות על פי התקנות, מכוח תקנון החברה או על פי כל דין, יוטלו על הדירקטוריון החובות שלהלן:

1. אישור מסמך הגדרות המאגר;

2. אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני;

3. קיום דיון בדירקטוריון בתוצאות סקר הסיכונים ותוצאות מבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים שנמצאו;

4. קיום דיון רבעוני או שנתי (בהתאם לרמת האבטחה של המאגר) באירועי אבטחת המידע שהתרחשו בארגון; ו-

5. קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידת הארגון בתקנות, אחת לשנתיים.

במקרים המתאימים ובהתחשב במידת הסיכון לפרטיות הכרוכה בפעילות הארגון, בגודלו של הארגון ובהרכב הדירקטוריון, רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל.

ככל שתאומץ, ההנחיה עשויה להטיל אחריות מוגברת על דירקטורים בקשר עם האופן שבו החברה מיישמת את דרישות חוק הגנת הפרטיות, התשמ"א-1981 והתקנות. על רקע זה, חשוב שדירקטורים יכירו את הדרישות שחלות על החברה בהיבטי הגנת הפרטיות, את הצעדים שהחברה נוקטת כדי לעמוד בדרישות אלו ואת האחריות, שמוטלת עליהם כדירקטורים, בתחום זה.

טיוטת ההנחיה פתוחה להערות הציבור עד ליום 22 באוקטובר 2023, באמצעות כתובת הדוא"ל: [email protected].

נשמח לעמוד לרשותכם בכל שאלה בנושא.

עדכון זה הוכן ע"י השותף אסף הראל, מוביל תחום סייבר ופרטיות, עורכת הדין הבכירה, רבקה גניס, והמתמחה מליסה פירון.

עדכון זה נועד לספק מידע כללי ותמציתי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנידונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו.

חדשות ופרסומים קשורים

הקש Enter כדי לחפש או ESC כדי לסגור