עמוד הבית » מרכז תקשורת » עדכוני לקוחות » תפקיד הדירקטוריון בקיום חובות אבטחת מידע – עמדת הרשות להגנת הפרטיות
18 בספטמבר 2023

תפקיד הדירקטוריון בקיום חובות אבטחת מידע – עמדת הרשות להגנת הפרטיות

ביום 10 בספטמבר 2023 פרסמה הרשות להגנת הפרטיות ("הרשות") טיוטת הנחיה להערות הציבור בנושא תפקיד הדירקטוריון בקיום חובות החברה לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("ההנחיה" ו-"התקנות", בהתאמה). ההנחיה חלה על חברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן, או על חברות אשר פעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות. לעניין זה, הרשות מביאה כדוגמאות חברות ציבוריות, חברות העוסקות בסחר במידע, חברות שאוספות מידע על אוכלוסיות רגישות (כגון קטינים) וחברות שאוספות מידע על נושאי מידע רבים, או שישנם מורשי גישה רבים למאגרי המידע שלהן.

ההנחיה מבקשת להגדיר את אחריות הדירקטוריון בקשר עם עמידה בהוראות הדין בתחום הגנת הפרטיות ואבטחת מידע. לעמדת הרשות, הדירקטוריון הוא האורגן המתאים והיעיל להחליט מי הם האחראים בחברה לביצוע דרישות התקנות, ליישם הליכי פיקוח ובקרה על ביצוע הדרישות בידי אותם אחראים, ולקבל החלטות בדבר אופן השימוש במידע האישי בחברה וניהולו בנושאים מהותיים.

בהתאם להנחיה, מבלי לגרוע מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, וכל גורם אחר שהוסמך לביצוע החובות על פי התקנות, מכוח תקנון החברה או על פי כל דין, יוטלו על הדירקטוריון החובות שלהלן:

1. אישור מסמך הגדרות המאגר;

2. אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני;

3. קיום דיון בדירקטוריון בתוצאות סקר הסיכונים ותוצאות מבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים שנמצאו;

4. קיום דיון רבעוני או שנתי (בהתאם לרמת האבטחה של המאגר) באירועי אבטחת המידע שהתרחשו בארגון; ו-

5. קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידת הארגון בתקנות, אחת לשנתיים.

במקרים המתאימים ובהתחשב במידת הסיכון לפרטיות הכרוכה בפעילות הארגון, בגודלו של הארגון ובהרכב הדירקטוריון, רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל.

ככל שתאומץ, ההנחיה עשויה להטיל אחריות מוגברת על דירקטורים בקשר עם האופן שבו החברה מיישמת את דרישות חוק הגנת הפרטיות, התשמ"א-1981 והתקנות. על רקע זה, חשוב שדירקטורים יכירו את הדרישות שחלות על החברה בהיבטי הגנת הפרטיות, את הצעדים שהחברה נוקטת כדי לעמוד בדרישות אלו ואת האחריות, שמוטלת עליהם כדירקטורים, בתחום זה.

טיוטת ההנחיה פתוחה להערות הציבור עד ליום 22 באוקטובר 2023, באמצעות כתובת הדוא"ל: ppa@justice.gov.il.

נשמח לעמוד לרשותכם בכל שאלה בנושא.

עדכון זה הוכן ע"י השותף אסף הראל, מוביל תחום סייבר ופרטיות, עורכת הדין הבכירה, רבקה גניס, והמתמחה מליסה פירון.

עדכון זה נועד לספק מידע כללי ותמציתי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנידונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו.

אנשי קשר

תחומי עיסוק קשורים

חדשות ופרסומים קשורים

עדכוני לקוחות

הצעת הוראה לבעלי רישיון או אישור שירותי תשלום או ייזום בסיסי בעניין אמצעים טכנולוגיים ואבטחת מידע
עדכוני לקוחות

שנה אזרחית חדשה בסימן אבטחת מידע – אגרת לרגל יום הפרטיות הבין-לאומי
עדכוני לקוחות

תקנות סייבר חדשות בקשר עם מלחמת "חרבות ברזל"
עדכוני לקוחות

מדריך פעולה להתקשרות עם ספקי מיקור חוץ
עדכוני לקוחות

איסוף ושימוש במידע ביומטרי לבקרת נוכחות עובדים במקום העבודה
עדכוני לקוחות

דו"ח פיקוח רוחב בקרב מגזר הקמעונאות פורסם לציבור
עדכוני לקוחות

טיוטת גילוי דעת של הרשות להגנת הפרטיות בעניין איסוף תעודות זהות
אירועים

כנס בנושא סיכוני סייבר וביטוח סייבר בשיתוף MARSH
עדכוני לקוחות

עדכון לקוחות: חובות חדשות ביחס למידע אישי שהועבר לישראל מהאיחוד האירופי
אירועים

פרטיות עכשיו – כנס פרטיות בשיתוף ACC
עדכוני לקוחות

עדכון לקוחות – תזכיר חוק ניוד מידע רפואי
עדכוני לקוחות

עדכון לקוחות – אגרת לרגל יום הפרטיות הבין-לאומי
כל הפרסומים
הקש Enter כדי לחפש או ESC כדי לסגור