תפקידי הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע)
19.09.2024
ביום 12.9.2024 פרסמה הרשות להגנת הפרטיות ("הרשות") הנחיה מס' 1/2024 (להלן: "ההנחיה") בנושא אחריות ותפקיד הדירקטוריון בקיום חובות התאגיד לפי חוק הגנת הפרטיות, תשמ"א-1981 ותקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 (להלן בהתאמה: "החוק" ו-"התקנות").[1]
עמדת הרשות היא כי בחברה אשר עיבוד מידע אישי מצוי בליבת הפעילות שלה, או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפגיעה בפרטיות, על דירקטוריון החברה מוטלת חובה לפקח על ציות החברה להוראות הדין החל בתחום הגנת הפרטיות ואבטחת המידע.
הערכת סבירות הסיכון של פעילות החברה לפרטיות, תיבחן על פי מאפיינים שונים כגון: סוג המידע המעובד ורגישותו, היקף המידע, מספר האנשים שנאסף אודותיהם מידע או מספר מורשי הגישה למידע.
נציין, כי לאור השימוש ההולך וגובר במידע אישי לצרכים עסקיים שונים, נראה כי ההנחיה תחול על ארגונים רבים.
בהתאם לעמדת הרשות, בחברות כאמור לעיל, על דירקטוריון החברה לוודא גיבוש, אימוץ ויישום של מדיניות החברה בדבר אופן ביצוע דרישות החוק והתקנות, ובכלל זה:
- לוודא כי קיימת מדיניות לאופן הביצוע של דרישות החוק והתקנות בחברה, לרבות חובת הדיווח המיידי לרשות במקרה של אירוע אבטחת מידע;
- לוודא כי מדיניות החברה כוללת התייחסות, בין היתר, לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים;
- לוודא כי מדיניות החברה כוללת הגדרה של תהליכי פיקוח, בקרה, וציות אפקטיביים;
- לוודא את הטמעתה של המדיניות כחלק מנהלי העבודה בחברה;
- לקבוע את זהות בעלי התפקידים האחראים על ביצוע המדיניות;
מבלי לגרוע מכלליות האמור לעיל, הרשות קובעת כי הדירקטוריון אמון גם על קבלת עדכונים ודיווחים על ביצוע החובות כנדרש בהתאם לתקנות בידי האחראים לכך בחברה, וכי בין היתר, מוטלת עליו החובה לקיים דיונים בנושאים הבאים:
- דיון במסמך הגדרות המאגר בטרם הגדרתו הסופית, בהתאם לאמור בתקנה 2(א) לתקנות;
- דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני בטרם אישורו וקביעתו הסופית, בהתאם לאמור בתקנות 3(2)(ו) ו- 4(א) לתקנות;
- דיון בתוצאות סקר סיכונים ומבדקי חדירות, לרבות בפעולות הנדרשות לתיקון הליקויים שהתגלו, כאמור בתקנות 5(ג) ו- 5(ד) לתקנות;
- דיון רבעוני או שנתי, בהתאם לרמת האבטחה של המאגר כקבוע בתקנות, באירועי אבטחת המידע שהתרחשו בארגון, בהתאם לאמור בתקנה 11(ג) לתקנות;
דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, שיש לקיימה אחת לשנתיים, בהתאם לאמור בתקנה 16(ג) לתקנות.הרשות מציינת כי בסמכות הדירקטוריון לקבוע גורם אחר שיהיה אמון על ביצוע פעולות אלו, וכי במקרה כזה, על הדירקטוריון להבטיח שמתקיים בחברה תיעוד סביר של הנימוקים להחלטתו להעברת הסמכויות כאמור, ולפקח על אופן ביצוען בפועל של הפעולות והחובות הנדרשות על פי התקנות.
הרשות מבססת את עמדתה כאמור, על עקרונות דיני התאגידים בישראל, ביניהם סעיף 92 לחוק החברות[2] אשר קובע כי "הדירקטוריון יתווה את מדיניות החברה ויפקח על ביצוע תפקידי המנהל הכללי ופעולותיו", וכן על פסיקה, מישראל ומחוצה לה, בנושאי אחריות הדירקטוריון לאירועי סייבר ואבטחת מידע.
חשוב להדגיש – אין בהנחיה בכדי לפטור או להפחית מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך לביצוע החובות על פי התקנות, מכוח תקנון החברה או על פי כל דין.
לצורך יישום ההנחיה, אנו מציעים ללקוחותינו, לבדוק אם על פי המאפיינים שצוינו לעיל, ההנחיה חלה עליהם, וככל שההנחיה חלה עליהם, לוודא כי הדירקטוריון מעורב באופן פעיל בפיקוח על נושאי הגנת הפרטיות, ולעדכן את הנהלים והמדיניות הפנימית בהתאם להוראות החוק והתקנות ולהוראות ההנחיה. נוסף על כך, אנו ממליצים לבצע הדרכות מתאימות לדירקטוריון.
מאמרים נוספים שיעניינו אותך
שירות או ביטוח?
06.02.2025
בפסק דין בתובענה ייצוגית שניתן לאחרונה בבית המשפט המחוזי בתל אביב, נקבע כי שירות משפטי שהוצע על ידי הנתבעת (להלן: "החברה") מהווה חוזה ביטוח.[1] .......
להמשך קריאהנדחתה בקשה לאישור תובענה כייצוגית: יש לעודד עוסקים המעניקים פיצוי יזום ולהגן עליהם מפני תובענות ייצוגיות
06.02.2025
ביום 24.1.2025 דחה בית המשפט המחוזי מרכז בלוד בקשה לאישור תובענה ייצוגית אשר הוגשה בטענה לפיצוי בלתי מספק בעת איחור במסירת רכבים.[1] בפסק הדין הדגיש .......
להמשך קריאהתיקון מס' 277 לפקודת מס הכנסה – מיסוי חברות מעטים ובעלי מניותיהן
06.02.2025
ביום 31.12.2024 נחקק תיקון מס' 277 לפקודת מס הכנסה [נוסח חדש] ("הפקודה"), אשר מרחיב את המיסוי של רווחי חברות מעטים ובעלי מניותיהן. תיקון 277 .......
להמשך קריאה