הרשות להגנת הפרטיות פרסמה אתמול (10.9.23) טיוטת הנחייה בנושא אחריות הדירקטוריון בקיום חובות התאגיד מכוח תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז- 2017 ("תקנות אבטחת מידע").

כידוע, תקנות אבטחת מידע קובעות חובות אבטחה מפורטות, בהתאם לרמת האבטחה שנקבעה למאגר מידע לפי התקנות.

בטיוטה, הרשות מציעה להטיל על הדירקטוריון בחברות שליבת העיסוק שלהן הוא עיבוד מידע אישי או שפעילותן עלולה ליצור סיכון מוגבר לפרטיות, את האחריות "להחליט מיהם האחראים בחברה לביצוע דרישות התקנות, ליישם הליכי פיקוח ובקרה על ביצוע הדרישות בידי אותם אחראים, ולקבל החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה, וניהולו בנושאים מהותיים".

בכלכלה מוטת המידע של ימינו אפשר לומר שעיבוד מידע אישי הוא בליבת העיסוק של כמעט כל חברה צרכנית. בהקשר זה נותנת הרשות רק הנחיה מועטה, אך היא מבהירה כי בקבלת ההחלטה אם ההנחיה תחול או לא יש להתחשב בפרמטרים רבים, כולל מאפייני הארגון (הרשות מציינת כדוגמא חברות ציבוריות וחברות העוסקות בסחר במידע); סוגי המידע שמעובדים (הרשות נותנת כדוגמא את הרשימה בתקנות אבטחת מידע שכוללת סוגי מידע רבים, חלקם נפוצים למדי, ולא בהכרח תואמים להגדרת "מידע רגיש" שבחוק) והאם הוא נוגע לאוכלוסיות מיוחדות, כולל קטינים; והיקף המידע ומספר מורשי הגישה אליו (או במילים אחרות, גודל הארגון).

בטיוטה, הרשות מפרטת את החובות הפיקוחיות הקבועות בתקנות שיחולו על דירקטוריון החברה: אישור עקרונות שנקבעו בנוהל האבטחה הארגוני, אישור מסמך הגדרות מאגר, דיון בתוצאות סקר סיכונים ומבדקי חדירות, אישור תיקון ליקויים שעלו בעקבותיהם, דיון תקופתי באירועי אבטחה ודיון בתוצאות הביקורת התקופתית. הדירקטוריון אחראי גם לקביעות מדיניות ארגונית לגבי אופן השימוש במידע אישי (נושא שחורג מאבטחת מידע גרידא), ולקביעת בעלי התפקידים בארגון ליישום שאר ההוראות הקבועות בתקנות.

כמו כן, הטיוטה מציינת כי לדירקטוריון יכולת להעביר את תפקידיו שלעיל לגורם אחר בארגון "במקרים המתאימים", אולם יש לתעד את הנימוקים להחלטה (ובכך מדגישה שוב את חובת התיעוד הכללית שמוטלת בתקנות), ולפקח בפועל על הביצוע.

הרשות לא מתייחסת לחפיפה הקיימת בין האחריות המוטלת על הדירקטוריון מכוח הוראות של רגולטורים אחרים. לעניין החפיפה האפשרית בין אחריות הדירקטוריון לאחריות גורמים אחרים בארגון, מציינת הרשות רק כי ההנחייה לא פוטרת את אותם גורמים אחרים מאחריותם.

לבסוף, מעניין לראות את ההפניות לפסיקה בארה"ב. בעוד שבדרך כלל נוטה הרשות להגנת הפרטיות להביט על פעילות מקבילותיה באירופה, כאן בחרה הרשות להתייחס לארה"ב. בהקשר זה הרשות מציינת את פסק הדין האמריקאי בעניין Marriot שקבע כי חובת ההשגחה של הדירקטוריון חלה גם ביחס לסיכוני סייבר ואבטחת מידע. לדעתנו, קביעה זו לא זרה לישראל, ועיקריה עולים בקנה אחד עם המסקנות המהותיות שעלו מהמסמכים שפרסמה לאחרונה רשות ניירות ערך. אנו מזכירים את הוובינר שערכנו בנושא בחודש פברואר האחרון ומזמינים אתכם לחזור ולקרוא את התכנים שהעברנו במסגרתו ואת עמדות רשות ניירות ערך בנושא.

ניתן להעיר על טיוטת ההנחייה של הרשות עד ליום 22.10.23.

אנו עומדים לרשותכם בכל שאלה,

אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.