אחריות הדירקטוריון על אבטחת המידע בחברה
הרשות להגנת הפרטיות פרסמה לאחרונה הנחיה מחייבת, בנוגע לתפקיד הדירקטוריון במילוי החובות המוגדרות בתקנות הגנת הפרטיות (אבטחת מידע). ההנחיה, שנכנסה לתוקף זה עתה לאחר שהתקבלו הערות הציבור, מרחיבה ומחדדת את האחריות המוטלת על הדירקטוריון בנושאי הגנת הפרטיות ואבטחת מידע.
בהנחיה נקבע לראשונה כי הדירקטוריון נושא באחריות מלאה על אבטחת המידע בחברה, ובמקרה של הפרת הכללים המחייבים, החברה תיחשף לקנס בגובה של 320 אלף ש"ח לכל הפרה.
תחולת ההנחיה
ההנחיה העדכנית של הרשות להגנת הפרטיות מתמקדת בתאגידים אשר עיקר פעילותם הוא עיבוד מידע אישי, או תאגידים שפעילותם העסקית עלולה ליצור סיכון מוגבר לפרטיות. דוגמאות לתאגידים אלה כוללות:
- חברות סלולר וחברות שאוספות נתוני מיקום.
- תאגידים בנקאיים וחברות ביטוח.
- חברות בתחום הרפואה.
- קמעונאים גדולים.
- חברות כח אדם ומכוני מיון העוסקים בהערכות אישיות.
על מנת לבחון האם ההוראות חלות על התאגיד, יש לשקול, בין היתר, את מאפייני התאגיד (חברה פרטית או ציבורית), סוג המידע המעובד ורגישותו, היקף המידע הנאסף ומספר מורשי הגישה למידע זה. לדוגמה, תאגידים שבמסגרת פעילותם נאסף מידע כלכלי או רפואי על נושאי מידע בהיקף משמעותי, ייכללו בהגדרה זו.
תפקיד הדירקטוריון ביישום התקנות
לפי הנחיית הרשות, מאחר שהדירקטוריון נמנה על האחראים על אבטחת המידע בחברה, מוטלת עליו האחריות לפקח ולוודא שהחברה פועלת בהתאם להוראות החוק והתקנות, ולגבש מדיניות ארגונית בנושא. בנוסף, הדירקטוריון נדרש להיות מעורב באופן ספציפי בביצוע הדרישות ואף להיות חלק ממקבלי ההחלטות.
בהתאם לכך, ההנחיה קובעת, כי על הדירקטוריון מוטלת האחריות ליישום חמש חובות מרכזיות הקבועות בתקנות:
- אישור מסמך הגדרות מאגר מידע, אשר עליו לכלול, בין היתר, תיאור של פעולות האיסוף והשימוש במידע; תיאור מטרות השימוש במידע; סוגי המידע השונים הכלולים במאגר המידע; ועוד.
- דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני. על הנוהל לכלול הוראות בעניין האבטחה הפיזית והסביבתית של מאגר המידע; הרשאות גישה למאגר המידע; תיאור של אמצעים שמטרתם הגנה על המאגר, אופן ההתמודדות עם אירועי אבטחת מידע; ועוד.
- קיום דיון רבעוני או שנתי, בהתאם לרמת האבטחה של המאגר, באירועי אבטחת מידע בארגון, לרבות בחינת הצורך בעדכונו של נוהל האבטחה הארגוני.
- פיקוח על קיום דיון בתוצאות סקר סיכונים ומבדקי חדירותואישור הפעולות הנדרשות לתיקון הליקויים שהתגלו (ביחס למאגרים שחלה עליהם רמת אבטחה גבוהה).
- קיום דיון בתוצאות הביקורת התקופתית (אחת לשנתיים במאגרים ברמת האבטחה הבינונית והגבוהה) בנוגע לעמידה בתקנות.
עוד דגשים
- ההנחיה מתייחסת גם לתיקון מס' 13 לחוק הגנת הפרטיות, שאושר לאחרונה בכנסת ועתיד להיכנס לתוקף באוגוסט 2025. התיקון מגדיר קטגוריה חדשה של "מידע בעל רגישות מיוחדת", אשר משפיעה על גובה העיצומים הכספיים שיוטלו במקרה של הפרה, החובה למינוי ממונה הגנת הפרטיות בחברה, וחובות רישום מאגרי מידע ודיווח לרשות על קיומם.
- ההנחיה מכירה בכך שבמקרים המתאימים, הדירקטוריון יהיה רשאי למנות גורם אחר בחברה שיהיה אחראי על ביצוע הפעולות, וזאת בשים לב למידת הסיכון לפרטיות הכרוכה בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון. אולם, גם במצב זה, הדירקטוריון עדיין יהיה מחויב לפקח בפועל על מילוי דרישות התקנות.
- ההנחיה מבהירה כי חובות הדירקטוריון באות להוסיף ואין בהן כדי לפטור או להפחית מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה או כל גורם אחר רלוונטי שאמון על יישום התקנות בחברה. יתרה מכך, ההנחיה עשויה להוות בסיס לתביעות נגזרות כלפי דירקטורים מצד בעלי המניות.
- ההנחיה מציינת כי אימוץ תכנית אכיפה פנימית אפקטיבית היא אחת הדרכים המרכזיות באמצעותן הדירקטוריון יכול למלא את חובת הפיקוח המוטלת עליו. תכנית כזו צריכה לכלול מנגנוני בקרה, דיווח ופיקוח על יישום הוראות החוק והתקנות בנושאי הגנת הפרטיות ואבטחת מידע.
מה הלאה?
על מנת להפחית את הסיכון בהטלת אחריות אישית על דירקטורים לקיום חובותיהם במסגרת התקנות, בין אם מכוח הליכי אכיפה של הרשות להגנת הפרטיות ובין אם מכוח תביעות אישיות או נגזרות, על החברה והדירקטוריון להבין את החובות החלות עליהן תחת חוקי הגנת הפרטיות. כמו כן, עליהם לנקוט צעדים על מנת לממש את חובותיהם כדירקטורים.
בכדי לקיים את חובות האבטחה החלות על חברות כאמור, נכון לשקול נקיטת מספר צעדים:
- קיום הדרכות לחברי הדירקטוריון בנושאי הגנת הפרטיות ואבטחת מידע.
- מיפוי מחדש של מאגרי המידע המצויים ברשותן וסיווגם בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).
- עדכון הערכת הסיכונים בתחום אבטחת המידע שהחברה עומדת בפניהם.
- עדכון ועריכת נהלי אבטחת מידע והתמודדות עם אירועי אבטחה.
- התאמת מערכות הבקרה הפנימיות להוראות המעודכנות.
- שקילת מינוי יועץ מקצועי לדירקטוריון בנושאי הגנת הפרטיות ואבטחת מידע.
***
מחלקות הפרטיות, הבינה המלאכותית והסייבר במשרד עומדת לרשותכם בכל שאלה הנוגעת בשמירה על פרטיות ואבטחת מידע, בניית תכניות ציות ועוד.
ד"ר אבישי קליין הוא שותף בברנע ג'פה לנדה, ועומד בראש המחלקה.
עו"ד מאשה יודשקין היא עורכת דין במחלקת פרטיות, בינה מלאכותית וסייבר.