קיום חובות הגנת הפרטיות בחברה: מה תפקיד הדירקטוריון?
הרשות להגנת הפרטיות פרסמה בימים האחרונים טיוטת הנחיה לגבי תפקיד הדירקטוריון בקיום חובות לפי תקנות הגנת הפרטיות (אבטחת מידע). ההנחיה קובעת כי על הדירקטוריון לקבוע, בין היתר, הליכי פיקוח ובקרה על יישום התקנות. עליו גם לקחת חלק פעיל בקביעת מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו.
תקנות הגנת הפרטיות חלות על בעלי מאגרי מידע, מנהלי מאגרי מידע ומחזיקי מאגרי מידע בהתאם להוראות חוק הגנת הפרטיות. התקנות קובעות הוראות הנוגעות לפעולות שיש לנקוט ולאמצעים שיש להחיל על מאגרי מידע בכדי להבטיח את אבטחת המידע האגור בהם וליצור מנגנוני פיקוח ובקרה אצל בעלי המאגר, מנהליו ומחזיקיו.
תחולת ההנחיה
ההנחיה העדכנית של הרשות להגנת הפרטיות מתמקדת בתאגידים אשר עיקר פעילותם הוא עיבוד מידע, או תאגידים שפעילותם העסקית עלולה ליצור סיכון מוגבר לפרטיות. דוגמאות לאלה הן:
- איסוף מידע על צנעת חייו של האדם.
- מידע רפואי או נפשי, מידע גנטי.
- מידע אודות דעות פוליטיות, מידע ביומטרי.
- מידע אודות מצבו הכלכלי של אדם, ועוד.
על מנת לבחון האם ההוראות חלות על תאגיד מסויים, יש לשקול, בין היתר, את מאפייני התאגיד (חברה פרטית או ציבורית), סוג המידע המעובד ורגישותו, היקף המידע הנאסף ומספר מורשי הגישה למידע זה. לדוגמה, תאגידים שבמסגרת פעילותם נאסף מידע כלכלי או רפואי על נושאי מידע בהיקף משמעותי, ייכללו בהגדרה זו.
תפקיד הדירקטוריון ביישום התקנות
הרשות להגנת הפרטיות מכירה בכך שהתקנות עצמן לא קובעות מיהו האורגן האחראי לביצוע הדרישות. לשיטתה, על הדירקטוריון מוטלת חובה לפקח על ביצוע הדרישות ואף להיות חלק ממקבלי ההחלטות. זאת, תוך פרשנות תכליתית של תקנות הגנת הפרטיות וסעיף 92 לחוק החברות, אשר קובע, כי "הדירקטוריון יתווה את מדיניות החברה ויפקח על ביצוע תפקידי המנהל הכללי ופעולותיו".
בהתאם לכך, ההנחיה קובעת, כי על הדירקטוריון מוטלת האחריות ליישום חמש חובות מרכזיות הקבועות בתקנות:
- אישור מסמך הגדרות מאגר מידע, אשר עליו לכלול, בין היתר, תיאור של פעולות האיסוף והשימוש במידע; תיאור מטרות השימוש במידע; סוגי המידע השונים הכלולים במאגר המידע; ועוד.
- אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני. על הנוהל לכלול הוראות בעניין האבטחה הפיזית והסביבתית של מאגר המידע; הרשאות גישה למאגר המידע; תיאור של אמצעים שמטרתם הגנה על המאגר, אופן ההתמודדות עם אירועי אבטחת מידע; ועוד.
- קיום דיון רבעוני או שנתי, בהתאם לרמת האבטחה של המאגר, באירועי אבטחת מידע בארגון, לרבות בחינת הצורך בעדכונו של נוהל האבטחה הארגוני.
- קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות ואישור הפעולות הנדרשות לתיקון הליקויים שהתגלו (ביחס למאגרים שחלה עליהם רמת אבטחה גבוהה).
- קיום דיון בתוצאות הביקורת התקופתית (אחת לשנתיים במאגרים ברמת האבטחה הבינונית והגבוהה) בנוגע לעמידה בתקנות.
ההנחיה מכירה בכך שיתכנו מקרים בהם יהיה רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אמון על ביצוע הדרישות, אך מפרטת כי האצלת סמכויות זו תתרחש בשים לב למידת הסיכון לפרטיות הכרוכה בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון. גם במצב זה, הדירקטוריון יידרש לפקח על קיומן של דרישות התקנות, הלכה למעשה.
עוד מבהירה ההנחיה שחובות הדירקטוריון באות להוסיף ואין בהן כדי לפטור או להפחית מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה או כל גורם אחראי חבר שאמון על יישום התקנות בחברה.
מה הלאה?
על מנת להפחית את הסיכון בהטלת אחריות אישית על דירקטורים לקיום חובותיהם במסגרת התקנות, בין אם מכוח הליכי אכיפה של הרשות להגנת הפרטיות ובין אם מכוח תביעות אישיות או נגזרות, על החברה והדירקטוריון להבין את החובות החלות עליהן תחת חוקי הגנת הפרטיות. כמו כן, עליהם לנקוט צעדים על מנת לממש את חובותיהם כדירקטורים.
בכדי לקיים את חובות האבטחה החלות על חברות המחזיקות מאגרי מידע, נכון לנקוט במספר פעולות:
- מיפוי כלל מאגרי המידע המצויים ברשותן וסיווגם בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).
- מיפוי הסיכונים בתחום אבטחת המידע העומדים בפני החברה.
- עריכת נהלי אבטחת מידע.
- עריכת נהלי התמודדות עם אירוע אבטחת מידע.
- התאמת מערכות הבקרה הפנימיות להוראות התקנות.
טיוטת ההנחיה היא דוגמה למעמד המרכזי שתופסות סוגיות של אבטחה ופרטיות מידע בפעילות חברה. מרכזיות הסוגיה מחייבת מתאגידים לפעול באחריות וברצינות להסדרת השמירה על המידע, וליצור מנגנוני בקרה והכשרה ביחס לשמירתו. עמידה בתנאי התקנות יכולה להקטין באופן ממשי את הסיכונים והחשיפות בפניהם עומדת חברה המחזיקה מאגר מידע – ובעלי המשרה בה.
***
מחלקת הפרטיות והסייבר עומדת לרשותכם בכל שאלה הנוגעת בשמירה על פרטיות ואבטחת מידע, בניית תכניות ציות ועוד.