עדכון לקוחות – הנחיית הרשות 1/2024 תפקיד הדירקטוריון בקיום חובות תקנות אבטחת מידע
בהמשך לעדכון לקוחות שפרסמנו ב – 11.09.2023 בדבר טיוטת הנחייה שהרשות להגנת הפרטיות פרסמה להערות הציבור בעניין אחריות ותפקיד הדירקטוריון בקיום חובות התאגיד מכוח תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז- 2017 ("תקנות אבטחת מידע"), התפרסם היום נוסח סופי ומחייב של ההנחייה. ההנחיה הסופית שגובשה ע"י הרשות כמעט זהה במהותה לטיוטה שפורסמה לפני שנה. אנחנו מזמינים אתכם לשוב ולעיין בעדכון הלקוחות שלנו שסקר את טיוטת ההנחיה באופן מקיף. מה בכל זאת השתנה ומהם הדגשים החשובים שעולים בהנחיה הסופית?
תחולה: מדובר על הנחייה רוחבית שחלה על כלל החברות במשק, אם מתקיים אחד או יותר מן התנאים הבאים: (1) עיבוד מידע אישי מצוי בליבת הפעילות של הארגון (להבדיל מעיבוד מידע שנלווה לפעילות הליבה); (2) ארגונים אשר פעילותם יוצרת סיכון מוגבר לפגיעה בפרטיות. הגורמים שעשויים להשפיע על התקיימות אחד מהתנאים הללו כוללים, בין היתר, את מאפייני וסוג הארגון (מובן למשל שעיבוד מידע אישי מצוי בליבת הפעילות של חברות העוסקות בסחר במידע), סוג המידע המעובד ורמת הרגישות שלו (בהקשר זה חשוב לשים לב שתיקון 13 הקרב ובא הרחיב את ההגדרה של "מידע בעל רגישות מיוחדת" כך שיותר סוגי מידע נכנסים תחת ההגדרה); מידע על אוכלוסיות מיוחדות או מוחלשות (כגון קטינים או חסרי ישע); והיקף המידע או מספר מורשי הגישה אליו. יודגש כי אין מדובר בתנאים מצטברים, ועל כן ההנחיה צפויה לחול על מספר רב של ארגונים בישראל. בשונה מטיוטת ההנחיה, חברות ציבוריות לא מופיעות עוד כדוגמה לחברות העונות על אחד התנאים, רק מעצם היותן ציבוריות.
אחריות הדירקטוריון: בשונה מטיוטת ההנחיה לפיה אחריות הדירקטוריון היא "להחליט מיהם האחראים בחברה לביצוע דרישות תקנות אבטחת מידע…", מדגישה ההנחיה כי חובותיו של הדירקטוריון הן פיקוחיות, אשר מתבטאות בכך שהוא נדרש לוודא גיבוש, אימוץ ויישום של מדיניות ארגונית בדבר אופן ביצוע דרישות החוק ותקנות אבטחת מידע בחברה. כמו כן, רמת הפיקוח שמוטלת על הדירקטוריון על פי הנחיית הרשות דורשת מעורבות משמעותית בביצוע החובות לפי תקנות אבטחת מידע, וכוללות באופן פרטני את החובות הבאות:
העברת הסמכות של הדירקטוריון לגורמים אחרים: על פי ההנחיה, עמדת הרשות היא שהדירקטוריון הוא האורגן המתאים לביצוע החובות הפיקוחיות הנזכרות לעיל. אולם, מציינת הרשות כי במקרים מתאימים בלבד ובהתאם לכל מקרה ונסיבותיו, רשאי הדירקטוריון להעביר את האחריות לביצוע הפעולות כאמור לגורמים אחרים. החלטה כאמור צריכה להיות מנומקת וסבירה, ועל פי ההנחיה נדרש לתעד אותה כראוי. הרשות מדגישה כי גם במקרה שבו הדירקטוריון מחליט להעביר את האחריות לגורם אחר, אין הדירקטוריון מתפרק מכל אחריות ומוטלת עליו החובה לוודא קיומן של החובות בפועל.
אכיפה: בוובינר בזק שהתקיים היום 12.9.2024, בנוכחות ראש הרשות, הוא ציין כי האכיפה של ההנחיה תהיה מיידית וכי ההנחיה מבטאת פרשנות של הדין הקיים ולכן אין צורך בתיקון חקיקה שיסדיר את הוראות ההנחיה. כמו כן, ציין ראש הרשות כי קביעת הפרות לאחר הליכי אכיפה ופיקוח ככל הנראה תחל תוך חודשים בודדים, ועם כניסת תיקון 13 לתוקף ב14.08.2025, הרשות תהא מוסמכת להטיל סנקציות משמעותיות בגין הפרה של הוראות החוק והתקנות.
אחריות אישית של דירקטורים: ההנחיה אמנם לא נוגעת באופן ספציפי בשאלת האחריות האישית של דירקטורים, אך ראש הרשות ביקש להבהיר בוובינר כי הרשות לא צפויה להטיל עיצומים אישיים על דירקטורים בשל הפרה של הוראות החוק או התקנות. יחד עם זאת, דירקטורים עשויים לחוב באופן אישי מכוח דיני התאגידים ודיני ניירות ערך, למשל באמצעות כלים כגון תביעות נגזרות ותביעות של בעלי מניות.
לסיום, נבקש גם לציין שהרשות לא הבהירה את היחס בין סעיף 10 להנחיה, אשר מפרט את החובות הפיקוחיות הפרטניות של הדירקטוריון, לבין חובות דומות של הדירקטוריון לפי הוראות רגולטוריות ענפיות, ובעיקר של רשות שוק ההון, ביטוח וחיסכון ושל המפקח על הבנקים.
אנו עומדים לרשותכם לכל שאלה,
אייל שגיא, יובל אחיטוב וצוות מחלקת משפט וטכנולוגיה
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.