טיוטת הנחיה חדשה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע)
הרשות להגנת הפרטיות פרסמה טיוטת הנחיה חדשה להערות הציבור בנושא תפקיד הדירקטוריון בקיום חובות החברה לפי תקנות הגנת הפרטיות (אבטחת מידע)
ביום 17.10.2023, פרסמה הרשות להגנת הפרטיות טיוטת הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע). בהתאם לטיוטת ההנחיה, על חברות אשר עיבוד מידע אישי מצוי בלב הפעילות שלהן ועל חברות שפעילותן יוצרת סיכון מוגבר לפרטיות, יחולו חובות שונות על הדירקטוריון. אינדיקציות לחברות מסוגים אלו יכולות להיות מאפייני הארגון (כגון חברות ציבוריות או חברות העוסקות בסחר במידע), סוג המידע האישי המשמש את הארגון ורגישותו, היקף המידע האישי או מספר מורשי הגישה אליו.
תקנות הגנת הפרטיות (אבטחת מידע) מטילות שורה של חובות ופעולות שתאגיד שהוא בעל מאגר מידע אישי, או מחזיק במאגר מידע נדרש לבצע כדי לקיים את האחריות המוטלת עליו לפי חוק הגנת הפרטיות בעניין אבטחת המידע שבמאגר.
בהתאם לטיוטת ההנחיה, חברות אשר עיבוד מידע אישי מצוי בליבת פעילותן, או חברות שפעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות, דירקטוריון החברה הוא הגורם המתאים לבצע את החובות שלהלן מהתקנות:
• אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני,
• אישור מסמך הגדרות המאגר,
• קיום דיון בדירקטוריון בתוצאות סקר הסיכונים ותוצאות מבדקי חדירות שהחברה מחויבת לערוך בהתאם לרמת האבטחה של מאגריה לפי התקנות,
• אישור הפעולות הנדרשות לתיקון הליקויים שנמצאו,
• קיום דיון רבעוני או שנתי בדירקטוריון באירועי אבטחת המידע שהתרחשו בארגון
• וקיום דיון בדירקטוריון בתוצאות הביקורת התקופתית בנוגע לעמידת הארגון בתקנות, שיש לקיימו אחת לשנתיים.
על פי ההנחיה, במקרים המתאימים, בשים לב למידת הסיכון לפרטיות הכרוך בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון, רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל. במקרים אלו, על הדירקטוריון להבטיח שמתקיים בחברה תיעוד סביר של הנימוקים להחלטתו זו, ושל אופן ביצוע שאר הפעולות הנדרשות על פי התקנות.
עוד קובעת ההנחיה כי על דירקטוריון החברה מוטלת האחריות להחליט מיהם האחראים בחברה על ביצוע שאר דרישות התקנות, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע, ליישם בחברה תהליכי פיקוח, בקרה, ציות, חובת עדכון ודיווח על ביצוע התקנות בידי אותם אחראים ולקבוע החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים.
ההנחיה אינה פוטרת או מפחיתה מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך על ידה לביצוע החובות על פי התקנות.
הנחיה זו אינה סופית עדיין, אבל בכל זאת מומלץ להביא נושא זה לתשומת ליבם של לקוחות המנהלים מידע אישי בהיקפים משמעותיים ולחברי הדירקטוריון שלהם.
נכתב על ידי: עו"ד נועם לב, סניור מנג'ר, מחלקת רגולציה, KPMG ישראל
