הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע)
לקוחות וידידים נכבדים,
ביום 12 בספטמבר 2024 פרסמה הרשות להגנת הפרטיות הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017. על פי ההנחיה, בחברות בהן עיבוד מידע אישי מצוי בליבת פעילותן וכן בחברות שפעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות, לדירקטוריון צריכה להיות מעורבות משמעותית בביצוע הדרישות הבאות, כולל דרישת קיום דיונים בנושאים הבאים:
1. דיון במסמך הגדרות המאגר בטרם הגדרתו הסופית;
2. דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני;
3. דיון בתוצאות סקר סיכונים ומבדקי חדירות, לרבות בפעולות הנדרשות לתיקון;
4. קיום דיון רבעוני או שנתי, על פי רמת האבטחה של המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון;
5. קיום דיון בתוצאות הביקורת בנוגע לעמידה בתקנות שיש לקיימה אחת לשנתיים.
חברה שהדירקטוריון בה אינו מקיים את חובת הפיקוח המתוארת, או שאינו מעורב במידה נאותה בביצוע הפעולות המפורטות בהנחיה, מפרה לכאורה את הוראות חוק הגנת הפרטיות ותקנות אבטחת המידע, ועלולה להיות חשופה לסנקציות הקבועות בחוק, לרבות הסנקציות שנקבעו בתיקון 13 לחוק הגנת הפרטיות לאחר כניסתו לתוקף.
מועד תחילתה של ההנחיה: מיום פרסומה.
נכתב על ידי: עו"ד נועם לב, סניור מנג'ר, מחלקת רגולציה, KPMG ישראל
מחלקת רגולציה וניהול סיכונים ב KPMG ישראל, מתמחה במתן שירותים רגולטוריים, לרבות שרותי ניטור ועדכונים רגולטורים בארץ ובעולם.
לכל שאלה ולפרטים נוספים, ניתן לפנות ליבגניה קרמר
