תפקיד דירקטוריון תאגיד עירוני בתחום אבטחת מידע

תפקיד דירקטוריון תאגיד עירוני בתחום אבטחת מידע – תמצית

תפקיד הדירקטוריון בתאגיד עירוני (ובתאגידים בכלל) בתחום אבטחת המידע הוא התוויית מדיניות, פיקוח ובקרה על עמידת הארגון בדרישות החוק ותקנות הגנת הפרטיות. אחריות זו התעצמה משמעותית בעקבות הנחיות חדשות של הרשות להגנת הפרטיות (ספטמבר 2024), המטילות על הדירקטוריון חובה למעורבות פעילה בניהול סיכוני הסייבר והפרטיות. הנחיות הרשות להגנת הפרטיות מס’ 1/2024 קובעות שנושאי אבטחת מידע ופרטיות אינם נושא כללי או שולי, אלא סוגיה אסטרטגית הנמצאת תחת אחריותו של הדירקטוריון. המשמעות – שינוי תפיסתי בהתייחסות לנושאי אבטחת מידע והגנת פרטיות (וגם חשיפה אישית לנושאי משרה).

תקנות הגנת הפרטיות (אבטחת מידע) קובעות שורה של חובות ופעולות שבעל מאגר מידע ומחזיק במאגר נדרשים לבצע בכדי לקיים את האחריות המוטלת עליהם לפי חוק הגנת הפרטיות בנושא אבטחת המידע שבמאגר. התקנות קובעות את החובות המוטלות על החברה בתחום אבטחת המידע, אולם אינן קובעות באופן מפורש את זהות האורגן בתאגיד שאמור לבצע אותן בפועל. לפיכך, ביום 3/9/2024, פרסמה הרשות להגנת הפרטיות את הנחיה מס’ 1/2024: תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע).

על פי החוזר, לכל הפחות בהקשר אבטחת המידע וההגנה על הפרטיות, תפקידו של הדירקטוריון אינו מתמצה רק ב-“להתוות את מדיניות החברה ולפקח על ביצוע תפקידי המנהל הכללי ופעולותיו“. על הדירקטוריון להטמיע מערכת של בקרה, שליטה או קבלת מידע לגבי ציות לרגולציה, ולפקח על יישומה בפועל. ההנחיות החדשות מחייבות שינוי תפיסתי בהתייחסות לנושאי אבטחת מידע והגנת פרטיות. אין מדובר עוד בנושא טכני בלבד, אלא בסוגיה אסטרטגית המחייבת מעורבות של ההנהלה הבכירה והדירקטוריון.

על מי חלה ההנחיה?

לפי עמדת הרשות (לנוסח המלא של ההנחיה – לחצו כאן), ההנחיה חלה על דירקטוריון בחברות בהן עיבוד מידע אישי מצוי בליבת הפעילות שלהן, ולא רק נלווה לפעילות הליבה. ההנחיה חלה גם על חברות שפעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות, בין בשל סוג המידע המעובד על ידן ורגישותו ובין בשל היקף המידע או מספר מורשי הגישה אליו (כגון סוגי המידע המפורטים בפרט 1 לתוספת הראשונה לתקנות או בהגדרת “מידע בעל רגישות מיוחדת” בתיקון או מידע על אוכלוסיות מיוחדות כדוגמת קטינים). ההנחיה מחייבת את הדירקטוריון ליישם תהליכי פיקוח, בקרה, ציות ודיווח בכל הנוגע לביצוע דרישות התקנות בחברה.

רקע: תפקיד הדירקטוריון

הדירקטוריון, המורכב ממספר דירקטורים, מהווה את הגורם הניהולי הבכיר בחברה. תפקידו הוא לפקח על ההנהלה, לייצג את האינטרסים של בעלי המניות, ולקבוע את האסטרטגיה הכללית של החברה. דירקטוריון מאזן בין האינטרסים של בעלי מניות לבין אלו של יתר מחזיקי העניין בחברה, לרבות עובדים, ספקים, לקוחות וציבור רחב.

מה חובת הדירקטוריון?

דירקטוריון חברה שמתקיים לגביה האמור לעיל, נדרש לוודא את קיומה של מדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע. המדיניות תתייחס בין היתר לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים, וכן תגדיר תהליכי פיקוח, בקרה, וציות אפקטיביים.

בנוסף, על הדירקטוריון לוודא כי המדיניות מוטמעת בנהלי העבודה בארגון ולקבוע את בעלי התפקידים האחראים על ביצועה. הדירקטוריון יהיה אמון על פיקוח שוטף וקבלת עדכונים ודיווחים על ביצוע החובות על פי התקנות. אימוץ תכנית אכיפה פנימית אפקטיבית הינו אחת הדרכים באמצעותן מתמלאת חובת הפיקוח המוטלת על הדירקטוריון.

דרישה למעורבות משמעותית ופעילה של הדירקטוריון

ההנחיה קובעת כי על דירקטוריון החרה מוטלת האחריות ליישום חמש חובות מרכזיות הקבועות בתקנות:

אישור מסמך הגדרות מאגר מידע. מסמך זה יכלול, בין היתר, תיאור של פעולות האיסוף והשימוש במידע; תיאור מטרות השימוש במידע; סוגי המידע השונים הכלולים במאגר המידע; ועוד.
אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני. על הנוהל לכלול, בין היתר, הוראות בעניין האבטחה הפיזית והסביבתית של מאגר המידע; הרשאות גישה למאגר המידע; תיאור של אמצעים שמטרתם הגנה על המאגר, אופן ההתמודדות עם אירועי אבטחת מידע; ועוד.
קיום דיון רבעוני או שנתי, בהתאם לרמת האבטחה של המאגר, באירועי אבטחת מידע בארגון, לרבות בחינת הצורך בעדכונו של נוהל האבטחה הארגוני.
קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות ואישור הפעולות הנדרשות לתיקון הליקויים שהתגלו (ביחס למאגרים שחלה עליהם רמת אבטחה גבוהה).
קיום דיון בתוצאות הביקורת התקופתית (אחת לשנתיים במאגרים ברמת האבטחה הבינונית והגבוהה) בנוגע לעמידה בתקנות.

מעורבות בניהול משברי סייבר

מוכנות לאירועי סייבר: על פי ההנחיות החדשות, מצופה מהדירקטוריון להשתתף בסימולציות של אירועי סייבר כדי להבטיח את מוכנות ההנהלה והארגון למצבי קיצון.
בקרה לאחר אירוע: לאחר אירוע אבטחת מידע, על הדירקטוריון לבחון את תפקוד המערכות ולהפיק לקחים למניעת הישנות המקרה.

האם הדירקטוריון יכול להאציל את סמכויותיו?

במקרים המתאימים ובשים לב בין השאר למידת הסיכון לפרטיות הכרוך בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון, ניתן בהחלטת דירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע פעולות אלה, תוך פיקוח על קיומן בפועל. בהתאם לתקנה 19, על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו זו, ושל אופן ביצוע יתר הפעולות הנדרשות על פי התקנות.

דירקטוריונים של תאגידים עירוניים

הרחבת תחומי פעילותן של הרשויות המקומיות, והרחבת השירותים שהן מעניקות לתושבים, הביאו רשויות מקומיות רבות להקים, מתוקף סמכותן, תאגידים עירוניים. אלו פועלים כ”זרוע הארוכה” של הרשות המקומית. אולם, ניתן לומר כי, ככלל, עקרונות הממשל התאגידי בחברות העירוניות אינם חזקים דיים ואינם מעוגנים בנורמות ברורות באשר לתפקידיו ולדרכי פעולתו של הדירקטוריון.

מבקר המדינה קובע כי הדירקטורים בחברות העירוניות הם מורי הדרך ושומרי הסף בתאגיד. חוסר תפקוד או תפקוד חלקי של הדירקטוריון עלולים לפגוע במערך האיזונים והבלמים בחברה ובפעילותה, וכך לגרום למשבר כספי בחברה ולפגוע קשות באינטרס הציבורי שעבורו הוקמה החברה. המציאות היא שדירקטוריונים של תאגידים עירוניים רבים אינם מתפקדים כגורם פעיל ובולט המעורב בהתוויית מדיניות החברה ובפיקוח על הנהלתה.

מה תוצאות הפרת חובת הפיקוח?

חברה שהדירקטוריון בה אינו מקיים את חובת הפיקוח המתוארת, או שאינו מעורב במידה נאותה בביצוע הפעולות הקונקרטיות המפורטות בהנחיה – מפרה לכאורה את הוראות חוק הגנת הפרטיות ותקנות אבטחת המידע, ועלולה להיות חשופה לסנקציות הקבועות בחוק, לרבות הסנקציות שנקבעו בתיקון 13 לחוק הגנת הפרטיות, לאחר כניסתו לתוקף.

עוד מבהירה ההנחיה כי אין בהנחיה כדי לפטור או להפחית מאחריותו של מנכ”ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך לביצוע החובות על פי התקנות, מכוח תקנון החברה או על פי כל דין.

סיכום ומשמעויות

חוזר הרשות להגנת הפרטיות מציב דרישות חדשות ומשמעותיות לתפקיד הדירקטוריון בהקשר של אבטחת מידע ופרטיות. המסמך הרגולטורי מדגיש את האחריות המוגברת של הדירקטוריון כולו, וכל אחד מהדירקטורים, בניהול סיכוני פרטיות. מכאן ולהבא, נדרש הדירקטוריון לקחת תפקיד פעיל יותר בפיקוח על נושאי אבטחת המידע.

מומלץ לקיים דיונים תקופתיים קבועים בנושאי אבטחת מידע, לאשר את מסמכי המדיניות המרכזיים, ולעקוב אחר יישום ההמלצות שעולות מסקרי סיכונים ומבדקי חדירות. חשוב שהדירקטוריון יקבע מנגנוני דיווח ברורים שיאפשרו לו לקבל תמונת מצב עדכנית ומדויקת על מצב אבטחת המידע בארגון. להפחתת הסיכונים המשפטיים והתפעוליים, מומלץ לחברות להשקיע בהכשרת הדירקטורים והעובדים בנושאי אבטחת מידע והגנת פרטיות. במקרים מסויימים, מומלץ לשקול הקמת ועדת משנה של הדירקטוריון שתתמקד בנושאי אבטחת מידע והגנת פרטיות.

משרד עורכי הדין וולר ושות’ מתמחה בייעוץ משפטי מקיף בתחום הפרטיות והגנת המידע לרשויות ולתאגידים עירוניים. המשרד צבר ניסיון עשיר בליווי תאגידים עירוניות בהתמודדות עם האתגרים הייחודיים של אבטחת מידע ופרטיות במגזר הציבורי-מוניציפלי. צוות המשרד מעניק שירותים מקיפים הכוללים התאמת נהלי עבודה לדרישות החוק, ייעוץ בנושא תקנות הגנת הפרטיות, ליווי בביקורות רגולטוריות, וייצוג בהליכים משפטיים.

תפקיד דירקטוריון תאגיד עירוני בתחום אבטחת מידע: שאלות ותשובות

מהם התפקידים המרכזיים של דירקטוריון בתאגיד עירוני?

הדירקטוריון אחראי על התווית מדיניות התאגיד, אישור תקציב שנתי, מינוי מנכ”ל ובכירי התאגיד, ופיקוח שוטף על פעולות ההנהלה בהתאם למטרות הציבוריות והעסקיות שנקבעו בתקנון ובחוזר מנכ”ל משרד הפנים.

האם קיימת אחריות אישית לדירקטור בתאגיד עירוני?

כן. דירקטורים בתאגידים עירוניים חבים חובת זהירות וחובת אמונים כלפי התאגיד והציבור. במקרים של רשלנות או הפרת אמונים, הם עלולים להיות חשופים לתביעות אישיות, ולכן ליווי משפטי צמוד של משרד מומחה, כמו וולר ושות’, הוא חיוני להגנה עליהם.

מה השתנה באחריות הדירקטוריון ב-2026?

הדירקטוריון כבר לא יכול להסתפק ב”דיווח שנתי”. עליו לקיים פיקוח פעיל, לאשר מדיניות ספציפית, לוודא קיום סקרי סיכונים ולהפגין מעורבות ממשית בניהול סיכוני הפרטיות והסייבר.

באילו נושאים הדירקטוריון חייב לדון באופן תקופתי?

על הדירקטוריון לדון בתוצאות סקר סיכונים ומבדקי חדירות, לאשר את מסמך הגדרות המאגר, ולבחון את אופן הטיפול באירועי אבטחה שקרו.

האם קיימת חובה למנות ממונה אבטחת מידע?

כן, בתאגיד עירוני המנהל מאגרי מידע רגישים או בהיקף משמעותי, קיימת חובה למנות ממונה אבטחת מידע בעל הכישורים המתאימים.

מהי חובת הדיווח במקרה של דליפת מידע?

ישנה חובה לדווח באופן מיידי לרשות להגנת הפרטיות על אירוע אבטחה חמור. הדירקטוריון חייב לוודא שקיים מנגנון כזה בארגון.

האם הדירקטוריון חייב לאשר תקציב ייעודי לסייבר ולהגנת הפרטיות?

כן. כחלק מחובת הזהירות, הדירקטוריון נדרש לוודא הקצאת משאבים הולמת (כח אדם וטכנולוגיה) ביחס לרמת הסיכון של התאגיד, ולא רק “סעיף כללי” בתוך תקציב המחשוב.

מהי אחריות הדירקטוריון לגבי ספקי חוץ (שרשרת האספקה)?

הדירקטוריון חייב לוודא שקיימת מדיניות לבחינת רמת אבטחת המידע של ספקים חיצוניים (כמו ענן, תוכנות שכר או מערכות גבייה) לפני התקשרות ובאופן תקופתי.

איך הדירקטוריון יכול להוכיח שמילא את חובתו?

באמצעות תיעוד (פרוטוקולים) של דיונים בנושא, אישור תוכניות עבודה תקציביות לאבטחת מידע, ומעקב אחר תיקון ליקויים שעלו בסקרי הסיכונים.

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים, תאגידי מים וביוב, חברות ממשלתיות ועמותות, ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. עו”ד רועי וולר, לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.

פורסם: 18/09/2024. עידכון אחרון: 24/03/2026.

תחום: הגנת הפרטיות ואבטחת מידע.