תקנות הגנת הפרטיות (אבטחת מידע) קובעות שורה של חובות ופעולות שבעל מאגר מידע ומחזיק במאגר נדרשים לבצע בכדי לקיים את האחריות המוטלת עליהם לפי חוק הגנת הפרטיות בנושא אבטחת המידע שבמאגר. התקנות קובעות את החובות המוטלות על החברה בתחום אבטחת המידע, אולם אינן קובעות באופן מפורש את זהות האורגן בתאגיד שאמור לבצע אותן בפועל. לפיכך, ביום 3/9/2024, פרסמה הרשות להגנת הפרטיות את הנחיה מס’ 1/2024: תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע).
על פי החוזר, לכל הפחות בהקשר אבטחת המידע וההגנה על הפרטיות, תפקידו של הדירקטוריון אינו מתמצה רק ב-“להתוות את מדיניות החברה ולפקח על ביצוע תפקידי המנהל הכללי ופעולותיו“. על הדירקטוריון להטמיע מערכת של בקרה, שליטה או קבלת מידע לגבי ציות לרגולציה, ולפקח על יישומה בפועל. ההנחיות החדשות מחייבות שינוי תפיסתי בהתייחסות לנושאי אבטחת מידע והגנת פרטיות. אין מדובר עוד בנושא טכני בלבד, אלא בסוגיה אסטרטגית המחייבת מעורבות של ההנהלה הבכירה והדירקטוריון.
על מי חלה ההנחיה?
לפי עמדת הרשות (לנוסח המלא של ההנחיה – לחצו כאן), ההנחיה חלה על דירקטוריון בחברות בהן עיבוד מידע אישי מצוי בליבת הפעילות שלהן, ולא רק נלווה לפעילות הליבה. ההנחיה חלה גם על חברות שפעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות, בין בשל סוג המידע המעובד על ידן ורגישותו ובין בשל היקף המידע או מספר מורשי הגישה אליו (כגון סוגי המידע המפורטים בפרט 1 לתוספת הראשונה לתקנות או בהגדרת “מידע בעל רגישות מיוחדת” בתיקון או מידע על אוכלוסיות מיוחדות כדוגמת קטינים). ההנחיה מחייבת את הדירקטוריון ליישם תהליכי פיקוח, בקרה, ציות ודיווח בכל הנוגע לביצוע דרישות התקנות בחברה.
רקע: תפקיד הדירקטוריון
הדירקטוריון, המורכב ממספר דירקטורים, מהווה את הגורם הניהולי הבכיר בחברה. תפקידו הוא לפקח על ההנהלה, לייצג את האינטרסים של בעלי המניות, ולקבוע את האסטרטגיה הכללית של החברה. דירקטוריון מאזן בין האינטרסים של בעלי מניות לבין אלו של יתר מחזיקי העניין בחברה, לרבות עובדים, ספקים, לקוחות וציבור רחב.
חובת הדירקטוריון
דירקטוריון חברה שמתקיים לגביה האמור לעיל, נדרש לוודא את קיומה של מדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע. המדיניות תתייחס בין היתר לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים, וכן תגדיר תהליכי פיקוח, בקרה, וציות אפקטיביים.
בנוסף, על הדירקטוריון לוודא כי המדיניות מוטמעת בנהלי העבודה בארגון ולקבוע את בעלי התפקידים האחראים על ביצועה. הדירקטוריון יהיה אמון על פיקוח שוטף וקבלת עדכונים ודיווחים על ביצוע החובות על פי התקנות. אימוץ תכנית אכיפה פנימית אפקטיבית הינו אחת הדרכים באמצעותן מתמלאת חובת הפיקוח המוטלת על הדירקטוריון.
דרישה למעורבות משמעותית ופעילה של הדירקטוריון
ההנחיה קובעת כי על דירקטוריון החרה מוטלת האחריות ליישום חמש חובות מרכזיות הקבועות בתקנות:
- אישור מסמך הגדרות מאגר מידע. מסמך זה יכלול, בין היתר, תיאור של פעולות האיסוף והשימוש במידע; תיאור מטרות השימוש במידע; סוגי המידע השונים הכלולים במאגר המידע; ועוד.
- אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני. על הנוהל לכלול, בין היתר, הוראות בעניין האבטחה הפיזית והסביבתית של מאגר המידע; הרשאות גישה למאגר המידע; תיאור של אמצעים שמטרתם הגנה על המאגר, אופן ההתמודדות עם אירועי אבטחת מידע; ועוד.
- קיום דיון רבעוני או שנתי, בהתאם לרמת האבטחה של המאגר, באירועי אבטחת מידע בארגון, לרבות בחינת הצורך בעדכונו של נוהל האבטחה הארגוני.
- קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות ואישור הפעולות הנדרשות לתיקון הליקויים שהתגלו (ביחס למאגרים שחלה עליהם רמת אבטחה גבוהה).
- קיום דיון בתוצאות הביקורת התקופתית (אחת לשנתיים במאגרים ברמת האבטחה הבינונית והגבוהה) בנוגע לעמידה בתקנות.
האצלת סמכויות
יחד עם זאת, במקרים המתאימים ובשים לב בין השאר למידת הסיכון לפרטיות הכרוך בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון, ניתן בהחלטת דירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע פעולות אלה, תוך פיקוח על קיומן בפועל. בהתאם לתקנה 19, על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו זו, ושל אופן ביצוע יתר הפעולות הנדרשות על פי התקנות.
דירקטוריונים של תאגידים עירוניים
הרחבת תחומי פעילותן של הרשויות המקומיות, והרחבת השירותים שהן מעניקות לתושבים, הביאו רשויות מקומיות רבות להקים, מתוקף סמכותן, תאגידים עירוניים. אלו פועלים כ”זרוע הארוכה” של הרשות המקומית. אולם, ניתן לומר כי, ככלל, עקרונות הממשל התאגידי בחברות העירוניות אינם חזקים דיים ואינם מעוגנים בנורמות ברורות באשר לתפקידיו ולדרכי פעולתו של הדירקטוריון.
הפרת חובת הפיקוח
חברה שהדירקטוריון בה אינו מקיים את חובת הפיקוח המתוארת, או שאינו מעורב במידה נאותה בביצוע הפעולות הקונקרטיות המפורטות בהנחיה – מפרה לכאורה את הוראות חוק הגנת הפרטיות ותקנות אבטחת המידע, ועלולה להיות חשופה לסנקציות הקבועות בחוק, לרבות הסנקציות שנקבעו בתיקון 13 לחוק הגנת הפרטיות, לאחר כניסתו לתוקף.
עוד מבהירה ההנחיה כי אין בהנחיה כדי לפטור או להפחית מאחריותו של מנכ”ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך לביצוע החובות על פי התקנות, מכוח תקנון החברה או על פי כל דין.
סיכום ומשמעויות
חוזר הרשות להגנת הפרטיות מציב דרישות חדשות ומשמעותיות לתפקיד הדירקטוריון בהקשר של אבטחת מידע ופרטיות. המסמך הרגולטורי מדגיש את האחריות המוגברת של הדירקטוריון כולו, וכל אחד מהדירקטורים, בניהול סיכוני פרטיות. מכאן ולהבא, נדרש הדירקטוריון לקחת תפקיד פעיל יותר בפיקוח על נושאי אבטחת המידע.
מומלץ לקיים דיונים תקופתיים קבועים בנושאי אבטחת מידע, לאשר את מסמכי המדיניות המרכזיים, ולעקוב אחר יישום ההמלצות שעולות מסקרי סיכונים ומבדקי חדירות. חשוב שהדירקטוריון יקבע מנגנוני דיווח ברורים שיאפשרו לו לקבל תמונת מצב עדכנית ומדויקת על מצב אבטחת המידע בארגון. להפחתת הסיכונים המשפטיים והתפעוליים, מומלץ לחברות להשקיע בהכשרת הדירקטורים והעובדים בנושאי אבטחת מידע והגנת פרטיות. במקרים מסויימים, מומלץ לשקול הקמת ועדת משנה של הדירקטוריון שתתמקד בנושאי אבטחת מידע והגנת פרטיות.
משרד עורכי הדין וולר ושות’ מתמחה בייעוץ משפטי מקיף בתחום הפרטיות והגנת המידע לרשויות ולתאגידים עירוניים. המשרד צבר ניסיון עשיר בליווי תאגידים עירוניות בהתמודדות עם האתגרים הייחודיים של אבטחת מידע ופרטיות במגזר הציבורי-מוניציפלי. צוות המשרד מעניק שירותים מקיפים הכוללים התאמת נהלי עבודה לדרישות החוק, ייעוץ בנושא תקנות הגנת הפרטיות, ליווי בביקורות רגולטוריות, וייצוג בהליכים משפטיים.