ביום 12 בספטמבר, 2024, הרשות להגנת הפרטיות ("הרשות") פרסמה הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע) ("ההנחיה"). הנחיה זו פורסמה בהמשך לטיוטת הרשות מחודש ספטמבר אשתקד.
חוק הגנת הפרטיות, התשמ"א-1981 ("החוק") וכן תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ("התקנות") אינן קובעות במפורש את זהות האורגן האמור לבצע בפועל את חובות החוק והתקנות המוחלות על תאגידים. אולם, בהתאם להנחיה, עמדת הרשות היא כי בחברות אשר עיבוד מידע אישי מצוי בליבת פעילותן, או שפעילותן יוצרת סיכון מוגבר לפרטיות – האורגן האחראי על יישומן והטמעתן הינו דירקטוריון החברה.
עמדת זו של הרשות מבוססת על פרשנות תכליתית של החוק והתקנות, לאור חובות הדירקטוריון שבחוק החברות ובין היתר סעיף 92 לחוק החברות הקובע כי "הדירקטוריון יתווה את מדיניות החברה ויפקח על ביצוע תפקידי המנהל הכללי ופעולותיו". כפי שמפורט בהנחיה, הפרשנות המוצאת בה ביטוי מבוססת על "חובת ההשגחה" של הדירקטוריון כפי שהתבססה בפסיקה בארה"ב, המוצאת לאחרונה אף אחיזה בפסיקת ביהמ"ש בישראל. בהתאם לאמת מידה זו, אחריותו של הדירקטוריון: (א) לקבוע מנגנוני בקרה, שליטה או קבלת מידע לגבי ציות לרגולציה; ו(ב) לפקח בפועל על יישומם של מנגנונים אלו. דירקטוריון שכשל במילוי איזה מתפקידיו אלה, נחשב כמי שהפר את חובותיו ועלולה לקום לו אחריות.
על מי ההנחיה חלה?
כאמור לעיל, בהתאם להנחיה, תחולתה הינה על חברות אשר עיבוד מידע אישי מצוי בליבת פעילותן, או שפעילותן יוצרת סיכון מוגבר לפרטיות. הקריטריונים המרכזיים בסיווג חברות תחת הגדרות אלו כוללים בין היתר, את מאפייני הארגון ותחום פעילותו (לדוגמא, חברות העוסקות בסחר במידע); סוג המידע המעובד על ידי הארגון ומידת רגישותו (למשל, מידע רגיש או מידע על אוכלוסיות מיוחדות כדוגמת קטינים); היקף המידע; ומספר מורשי הגישה אליו.
חובות הדירקטוריון
בחברות בהן מתקיימים קריטריונים אלו, ההנחיה מטילה על דירקטוריון החברה את האחריות לוודא את קיומה של מדיניות בדבר אופן ביצוע דרישות התקנות, לרבות החובה לדווח על אירועי אבטחת מידע. המדיניות תתייחס בין היתר לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים, וכן תגדיר תהליכי פיקוח, בקרה, וציות אפקטיביים. עוד על הדירקטוריון לוודא כי המדיניות מוטמעת בנהלי העבודה בארגון ולקבוע מיהם בעלי התפקידים האחראים על ביצועה. הדירקטוריון יהיה אמון על פיקוח שוטף וקבלת עדכונים ודיווחים על ביצוע החובות על פי התקנות בידי האחראים לכך בחברה. ההנחיה מוסיפה ומונה את החובות הקונקרטיות המפורטות להלן:
- קיום דיון במסמך הגדרות המאגר בטרם אישורו הסופי;
- קיום דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני בטרם אישורו וקביעתו הסופית;
- קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, לרבות בפעולות הנדרשות לתיקון הליקויים שהתגלו;
- קיום דיון רבעוני או שנתי, על פי רמת האבטחה של המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון;
- קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות (אחת ל-24 או 18 חודשים בהתאם לרמת אבטחת המאגר).
חשוב לציין, כי על פי ההנחיה, במקרים מסוימים ניתן בהחלטת דירקטוריון למנות גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, אולם זאת, תוך פיקוח על פועלו.
יצוין כי בהשוואה לטיוטת ההנחיה שפורסמה אשתקד, הרשות חידדה והצרה במעט את הקריטריונים לתחולה, ובין היתר הוסרה ההתייחסות המפורשת לחברות ציבוריות. עם זאת, חשוב להדגיש כי השמטה זו אינה מלמדת כי דירקטוריון של חברה ציבורית כלל אינו אחראי לנושאי פרטיות ואבטחת מידע. ראשית, אחריות הדירקטוריון עדיין נכללת במסגרת האחריות הכללית של הדירקטוריון לציות לחוק וניהול סיכונים. שנית, גם במסגרת דיני ניירות ערך הכלליים קיימות חובות הקשורות בהגנת הפרטיות ואבטחת מידע. שלישית, ההנחיה עדיין תחול על חברות ציבוריות הנכנסות בגדרי ההנחיה בשל מאפייני הפעילות שלהן – חברות שעיבוד מידע אישי נמצא בליבת פעילותן או שפעילותן יוצרת סיכון מוגבר לפרטיות.
שינוי נוסף בין טיוטת ההנחיה דאשתקד ובין ההנחיה הסופית הינו בריכוך חלק מהחובות, כך שאחריות הדירקטוריון נותרה פיקוחית בלבד. בעוד שבטיוטת ההנחיה הוטלה על הדירקטוריון החובה "לאשר" מהותית ניירת מסוימת העוסקת באופן הניהול הפרקטי של אבטחת המידע בחברה, הרי שמנגד, בהנחיה הסופית רוככה חובה זו כך שהדירקטוריון חייב רק "לדון" במסמכים אלו טרם אישורם בידי ההנהלה והדרג המקצועי בחברה, הנושאים באחריות הראשית לניהול המעשי והיומיומי של החברה.
עמדת הרשות המתוארת לעיל, מבטאת מחד גיסא הגברה של האחריות החלה בצורה ישירה על הדירקטורים בחברה, תוך חשיפה של הדירקטורים והחברה הן ברמה האישית והן ברמה התאגידית. ההנחיה אף כוללת התייחסות מפורשת לפסיקה התאגידית בשנים האחרונות, בדגש על תובענות ייצוגיות ונגזרות. מאידך גיסא, ריכוך לשון ההנחיה בין הטיוטה ובין הנוסח הסופי מלמד על יישור קו מסוים למול גילוי דעת אשר פורסם על ידי איגוד הדירקטורים בישראל בשנת 2022 בנושא "אחריות הדירקטוריון בנושא הסייבר". גילוי דעת זה, מתייחס בעיקרו לחובות הדירקטוריון לקיים דיונים בנושאים מסוימים, אולם נמנע מלהטיל על חברי הדירקטוריון את החובה הישירה לעסוק בפרטים הקטנים של עיבוד המידע בחברה והגנתו. כך או כך, כאשר לוקחים בחשבון את תיקון 13 לחוק ואת החמרת האכיפה העתידה להגיע עם כניסתו לתוקף, ברי כי ההנחיה מטילה על כתפי הדירקטוריון אחריות נוספת ומוגברת מעבר לזו שחלה עד היום.
בשנים האחרונות פיתחנו במחלקת פרטיות, רגולציה וטכנולוגיה של עמית, פולק, מטלון ושות' מתודה סדורה לביקורת של נושאים אלו, תוך מתן כלים פרקטיים ומעשיים לסגירת הפערים והטמעת בקרות שוטפות ותקופתיות המבטיחות את המשכיות הציות בחברה. בנוסף, ודווקא בחברות המקפידות על קיום רגולציית הגנת הפרטיות, חשוב להקפיד על עדכן שוטף של הדירקטוריון ועריכת דיונים תקופתיים, על מנת להבטיח את קיום חובותיהם הקונקרטיות, וגם כאן אנו מסייעים ללקוחותינו בהצגת הפעילות בדירקטוריון ושמירה על מעורבותו ופיקוחו. אנו מזמינים אתכם לפנות אלינו על מנת שנבנה יחד עימכם תוכנית פיקוח ובקרה שתסייע להנהלה ודירקטוריון כל חברה להגביר את הוודאות ולהקטין את החשיפה בתחום אבטחת המידע והגנת הפרטיות.
תכלית עדכון זה, להציג את החידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.
צוות APM לפרטיות, רגולציה ולטכנולוגיה.
