עדכון בנושא אחריות דירקטוריונים להגנת פרטיות

הרשות להגנת הפרטיות פרסמה לאחרונה הנחיה חדשה 1/2024 – המדגישה את האחריות המוגברת של הדירקטוריון לפקח על הציות לחוק הגנת הפרטיות ועל תקנות הגנת הפרטיות (אבטחת מידע), התשע"-2017 ("התקנות") שהוצאו מכוחו. הנחיה זו מהווה צעד משמעותי בהגברת האכיפה והציות בתחום הגנת הפרטיות בישראל והיא מהווה גרסה סופית לטיוטה שפורסמה לפני כשנה.

נקודות מפתח בהנחיה:

1. תחולה: ההנחייה חלה על חברות אשר מידע אישי מצוי בליבת הפעילות שלהן או על חברות שפעילותן יוצרות סיכון מוגבר לפגיעה בפרטיות (בשים לב למאפייני הארגון, סוג מידע מעובד ורגישותו, היקף המידע או סוג האוכלוסייה).
2. פיקוח מוגבר: דירקטוריון של חברה כאמור צריך לפקח באופן פעיל על ציות החברה לחוק הגנת הפרטיות ותקנות אבטחת מידע ולכל הפחות, על מנת לעמוד בחובות הדירקטוריון, חובה לקיים דיונים בנושאים ספציפיים כמפורט בהנחייה.
3. אמצעי ציות: כדי ליישם אמצעי ציות אפקטיביים, פַּתחו ואמצו תוכנית ציות/אכיפה אפקטיבית המותאמת לדרישות החוק ולהנחיות החדשות – זהו כלי מרכזי למילוי חובת הפיקוח ולכן אל תסתפקו במסמך גנרי אלא קבעו הוראות ביצועיות המותאמות לארגונכם.
4. חובות דיווח: יש להקפיד על מילוי חובות הדיווח של החברה לרשות הגנת הפרטיות, במיוחד בקרות אירועי אבטחה.

הרשות מדגישה את אחריות הדירקטוריון כדי להבטיח עמידה בדרישות הגנת המידע לפי החוק וכי התחולה תהיה מיידית. באקלים הרגולטורי שיוצר תיקון 13 לחוק הגנת הפרטיות הדבר מקבל משמעות בשל היכולת של הרשות להטיל סנקציות משמעותיות, כולל קנסות כבדים, על חברות שמפרות את החוק. אי-עמידה בדרישות החדשות עלולה להוביל לתוצאות חמורות

 מה עליכם לעשות?

1. יש לקיים דיון במסמך הגדרות המאגר לפני השלמתו הסופית לפי הנדרש בתקנה 2(א).
2. יש לקיים דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני בטרם אישורו הסופי – בהתאם לאמור בתקנות 2(3) ו-4(א).
3. בצעו דיון בתוצאות סקר סיכונים ומבדקי חדירות, ובפעולות הנדרשות לתיקון הליקויים שנמצאו כאמור בתקנות 5(ג)-5(ד).
4. יש לקיים דיון רבעוני או שנתי, לפי רמת האבטחה של המאגר, באירועי אבטחת המידע שהתרחשו בארגון בהתאם לאמור בתקנה 11(ג).
5. יש לקיים דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בדרישות, לפחות אחת לשנתיים לפי האמור בתקנה 16(ג).

מומלץ לקבוע בעלי תפקידים בארגון האחראים ליישום המדיניות הארגונית ולפקח על קיום החובות בפועל. ההנחייה מאפשרת לקבוע בהחלטת דירקטוריון גורם אחר בחברה שיהיה אחראי על ביצוע הפעולות הנדרשות תוך יישום של פיקוח יעיל על קיומן בפועל, ולקיים תיעוד סביר של הנימוקים להחלטה זו ושל אופן ביצוע הפעולות הנדרשות בהנחייה.

מאיפה מתחילים?

וודאו כי הדירקטוריון מעורב באופן פעיל בפיקוח על נושאי הגנת הפרטיות – מוצע להתחיל בהדרכה לדירקטורים. עדכנו את הנהלים והמדיניות הפנימית שלכם בהתאם להנחיות החדשות – הקצו משאבים ארגוניים לשם כך.

אנו עומדים לרשותכם לסיוע בהטמעת ההנחה החדשה, ביצוע הערכת סיכונים, פיתוח תוכניות ציות, הדרכת מנהלים ומתן ייעוץ משפטי מקיף בנושאי הגנת פרטיות .אנא אל תהססו לפנות אלינו בכל שאלה או בקשה לסיוע.

קישור לנוסח הנחייה 1/2014 – כאן

עדכון זה נכתב על ידי עורך דין ליאור אתגר, שותף וראש תחום הגנת הפרטיות במשרדנו.

אין באמור כדי להוות ייעוץ משפטי.