הנחייה חדשה מהרשות להגנת הפרטיות בנוגע לתפקיד הדירקטוריון

1 אוקטובר, 2024


הרשות להגנת הפרטיות: הנחיית הרשות להגנת הפרטיות מס' :1/2024 תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע).

בתחילת ספטמבר פרסמה הרשות להגנת הפרטיות הנחיה בנוגע לתפקיד הדירקטוריון בקיום חובות תאגיד בעל מאגרי מידע על פי תקנות הגנת הפרטיות (הנחיה מס' 1/2024). תקנות הגנת הפרטיות קובעות חובות ופעולות שבעל מאגר מידע, מחזיק במאגר מידע, ומנהל באחד מאלה נדרשים לבצע כדי לקיים את האחריות המוטלת עליהם על פי סעיף 17 לחוק הגנת הפרטיות בנוגע לאבטחת מידע במאגר. ההנחיה קובעת: 

"בחברה אשר עיבוד מידע אישי מצוי בליבת הפעילות שלה, או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפרטיות, עמדת הרשות היא שעל דירקטוריון החברה מוטלת חובה לפקח על ציות החברה לחוק ולתקנות בהתאם לעקרונות שלהלן. באחריות הדירקטוריון לוודא גיבוש, אימוץ ויישום של מדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה."

ההנחיה מציעה קריטריונים לבחינת השאלה אם חברה נכנסת להגדרה לעיל ("חברה עתירת מידע"): מאפייני החברה, סוגי המידע המעובד ורגישותו, היקף המידע המעובד על ידי הארגון ומספר מורשי הגישה למידע בארגון. ההנחיה מפנה לתוספת הראשונה של תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז- 2017 ("התקנות") וכן להגדרת "מידע בעל רגישות מיוחדת" כהגדרתו בתיקון מס' 13 לחוק הגנת הפרטיות, 1981, שאושר לאחרונה בכנסת, כמנחה בקביעה מהו מידע רגיש שעיבודו יהפוך חברה לחברה עתירת מידע. יש לציין שהתוספת הראשונה וכן הגדרת "מידע בעל רגישות מיוחדת" כוללות סוגים רבים של מידע, ואי לכך, הרבה מאוד חברות יכולות להיחשב לחברות עתירות מידע הכפופות לדרישות ההנחיה.

בניסוח ההנחיה הרשות אימצה את פסיקת בית המשפט של דלאוור בעניין *Caremark, בה נקבע שעל הדירקטוריון מוטלת חובה ליצור מנגנוני בקרה ופיקוח בארגון שמטרתם לוודא ולנטר את העמידה בדרישות הדין החל.

  • ההנחיה קובעת שעל הדירקטוריון של חברה עתירת מידע לוודא כי קיימת מדיניות מסודרת בנוגע לאופן ביצוע דרישות החוק והתקנות בחברה. המדיניות תתייחס בין היתר לאופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים, וכן תגדיר תהליכי בקרה, פיקוח וציות אפקטיביים.
  • על הדירקטוריון לוודא כי המדיניות מוטמעת בנהלי העבודה בארגון ולקבוע מיהם בעלי התפקידים האחראים לביצועה.
  • הדירקטוריון יהיה אמון על פיקוח שוטף וקבלת עדכונים ודיווחים על קיום החובות על פי התקנות בידי האחראים לכך בחברה.
  • לפי הוראות ההנחיה, אימוץ תכנית אכיפה פנימית אפקטיבית הינו אחת הדרכים באמצעותן מקוימת  חובת הפיקוח המוטלת על הדירקטוריון.
  • כמו כן, חובות הפיקוח של הדירקטוריון כוללות עניינים ספציפיים המנויים בתקנות, כגון דיון במסמך הגדרות המאגר (מסמך שיש לנסחו עבור כל מאגר מידע של החברה על פי התקנות) דיון בעקרונותיו של נוהל אבטחת המידע (מסמך אחר הנדרש על פי התקנות), כמו גם קיום דיונים בעקבות סקרי סיכונים, מבדקי חדירות, ביקורות תקופתיות ובקשר לאירועי אבטחת מידע בחברה. 

יש לציין שההנחיה מאפשרות לדירקטוריון למנות גורם בתוך הארגון שיהיה אחראי על ביצוע החובות המפורטות בהנחיה, כל עוד הדירקטוריון מפקח על ביצוען. בכל מקרה, הדירקטוריון חייב להבטיח שקיים תיעוד בקשר להחלטה על המינוי האמור.

ההנחיה גם קובעת שאין בהטלת החובות על הדירקטוריון כדי לפטור מאחריות את מנכ"ל החברה או את הנהלתה. אנו ממליצים לכלל הלקוחות שלנו לערוך ניתוח בשאלת תחולת ההנחיה עליהם. אם ההנחיה חלה, יש לפעול ליישום את דרישות ההנחיה החדשות תוך שימת דגש על הנהלים והאחריות המוגברת של הדירקטוריון בנושא.

יידרש זמן לצורך הטמעת השינויים האלו, ואנו מציעים ללקוחותינו להתחיל לפעול בהתאם בהקדם האפשרי. אתם מוזמנים ליצור קשר עם כל אחד מחברי הצוות העוסקים בדיני הפרטיות והגנת המידע במשרדנו.

* (In re Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996.


פרסום זה מוגש כשירות כללי ללקוחות וידידי המשרד ואינו תחליף לעצה משפטית פרטנית. איננו ממליצים לפעול על פי המידע המובא לעיל ללא קבלת עצה משפטית מגורמים מוסמכים, בהסתמך על העובדות והנסיבות הספציפיות של כל מקרה.

רוצים לדעת עוד?
צרו קשר

שירי מנשה

ראש מחלקת שיווק ופיתוח עסקי

מתן בר-ניר

יועץ תקשורת, OH! PR