רקע
ביום 7.9.2023 פרסמה הרשות להגנת הפרטיות (להלן: "הרשות") טיוטת הנחיה בנושא "תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות אבטחת מידע" . ביום 12.9.2024 הפכה הטיוטה להנחיה מחייבת, עם שינויים קלים שבוצעו בה.
מתוקף היותן של חברות לתועלת הציבור כפופות להוראות חוק החברות, תשנ"ט-1999, בכל הנוגע לחובת הזהירות של נושאי המשרה בהן, הן תהנה כפופות גם להנחיות אלו. באשר לועד המנהל בעמותות, אמנם ההנחיה אינה מתייחסת באופן מפורש לחברי ועד מנהל, אך לעת הזו ואלא אם תתקבל הנחיה שונה (בעקבות שאילתא של משרדנו בנושא לרשות להגנת הפרטיות), אנו ממליצים לראות בהנחיה ככזו שתחולתה הנה גם על חברי הועד המנהל בעמותה.
במסגרת עדכון זה, נפרט את ההנחיה והשלכותיה.
על אילו סוגי תאגידים תחול ההנחיה
ההנחיה תחול על כלל התאגידים ובלבד שמתקיים לגביהם אחד או יותר מן התנאים הבאים:
- תאגידים שעיבוד מידע אישי מצוי בליבת פעילותם (להבדיל מעיבוד מידע הנלווה לפעילות הליבה);
- תאגידים שקיימת סבירות כי פעילותם תיצור סיכון מוגבר לפרטיות, לרבות: תאגידים העוסקים בסחר במידע; ותאגידים המעבדים מידע רגיש, כגון סוגי המידע המפורטים בפרט 1 לתוספת הראשונה לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "התקנות"), או בהגדרת "מידע בעל רגישות מיוחדת" בתיקון 13 לחוק הגנת הפרטיות, שעתיד להיכנס לתוקף באוגוסט 2025;
- תאגידים המעבדים מידע על אוכלוסיות מיוחדות (כדוגמת קטינים, אנשים עם מוגבלות);
- תאגידים המעבדים היקף גדול של מידע או שלהם מספר רב של מורשי גישה למידע.
אחריות חברי הדירקטוריון
חובותיו של הדירקטוריון הן פיקוחיות ודורשות מעורבות משמעותית בביצוע החובות לפי התקנות. הדירקטוריון/הועד המנהל נדרש לוודא גיבוש, אימוץ ויישום של מדיניות ארגונית ליישום התקנות. חובות הפיקוח שמוטלות על הדירקטוריון כוללות בין היתר גם:
- דיון במסמך הגדרות המאגר – בטרם הגדרתו הסופית בהתאם לאמור בתקנה 2(א) לתקנות;
- דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני – בטרם אישורו וקביעתו הסופית בהתאם לאמור בתקנות 3(2) ו- 4(א);
- קיום דיון בתוצאות של סקר סיכונים ומבדקי חדירות, לרבות ווידוא שהם בוצעו כהלכה ע"י הארגון תוך מעורבות אקטיבית ושאלת שאלות מתאימות, ושננקטות פעולות יישום הנדרשות לתיקון הליקויים שהתגלו – כאמור בתקנות5(ג) ו- 5(ד);
- קיום דיון רבעוני או שנתי, על פי רמת האבטחה של המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון – בהתאם לאמור בתקנה 11(ג);
- קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, שיש לקיימה אחת לשנתיים – בהתאם לאמור בתקנה 16(ג).
וביתר פירוט, מומלץ לפעול באופן הבא:
- הדירקטוריון/הועד המנהל יוודא גיבוש מדיניות בתאגיד לאופן ביצוע דרישות חוק הגנת הפרטיות והתקנות;
- הדירקטוריון/הועד המנהל יוודא שהמדיניות מתייחסת לאופן השימוש במידע אישי וניהולו בנושאים מהותיים;
- הדירקטוריון/הועד המנהל יוודא שהמדיניות מגדירה תהליכי פיקוח, בקרה וציות אפקטיביים;
- הדירקטוריון/הועד המנהל יוודא הטמעה של המדיניות בנהלי העבודה בארגון;
- הדירקטוריון/הועד המנהל ימנה בעלי תפקידים אשר יהיו אחראים על ביצוע המדיניות ויוכל להאציל מסמכויותיו במקרים מסוימים, כאשר על ההחלטה להאצלת הסמכות להיות מנומקת היטב ומתועדת. בהאצלת הסמכות לא יהיה כדי לפטור את הדירקטוריון/הועד המנהל מאחריותו לפיקוח כאמור;
- הדירקטוריון/הועד המנהל יקבל עדכונים ודיווחים שוטפים מהאחראים כאמור לעיל.
השלכות אי העמידה בהנחיות
- סנקציות על התאגיד – אי עמידה בהנחיה עלולה להיחשב כהפרה של הוראות חוק הגנת הפרטיות ושל התקנות. התאגיד עלול להיות חשוף לסנקציות, לרבות עיצומים כספיים משמעותיים (בעיקר לאחר כניסת תיקון 13 לתוקף באוגוסט 2025).
- חשיפה אישית של דירקטורים/חברי ועד מנהל – על אף שהרשות לא תטיל עיצומים ישירות על הדירקטורים, הם עלולים להיות חשופים לתביעות במקרים של פגיעה בפרטיות, בעילות של רשלנות ו/או הפרת חובת הזהירות.
בנימה אישית
ההנחיה החדשה מדגישה את חשיבות תפקידו הפיקוחי של הדירקטוריון/הועד המנהל בנושאי הגנת הפרטיות ואבטחת מידע בתאגידים עליהם חלה ההנחיה. יישום נכון של ההנחיה יסייע לארגונים לעמוד בדרישות החוק והתקנות, להפחית את הסיכונים הקשורים להפרות פרטיות ואבטחת מידע וכן להימנע מעיצומים כספיים נגד התאגיד ותביעות אישיות נגד חברות וחברי הדירקטוריון/הועד המנהל.
ההנחיה מנוסחת בצורה רחבה ולהערכתנו תחולת תהא אף היא רחבה באופן שתחייב מגוון רחב של ארגונים. מומלץ לקבל ייעוץ משפטי פרטני לגבי תחולת ההנחיה על העמותה או החל"צ שלכם.
עמדתנו, כפי שהעלינו בשאילתא שהגשנו לרשות להגנת הפרטיות, היא כי ביחס למלכ"רים, רמת האחריות של חברי הדירקטוריון בחל"צ / ועד מנהל בעמותה צריכה להיות פחותה, בעיקר בשל כך שהחברים בארגונים מלכ"רים ממלאים את תפקידם בהתנדבות ומתוך רצון טוב ולא נרצה להרתיע אותם מלעשות כן.
יחד עם זאת, מאחר והרשות החליטה שלא לסייג את תחולת ההנחיה ביחס לחברי דירקטוריון /ועד מנהל במלכ"רים, אנו ממליצים לפעול על פי הנחיות אלו כבר עתה.