רשות הגנת הפרטיות מחדדת את אחריות הדירקטוריון בחברה לנושא הגנת הפרטיות
ההנחיה חלה על חברות אשר עיבוד מידע אישי מצוי בליבן הפעילות שלהן ועל חברות שפעילותן יוצרת סיכון מוגבר לפרטיות
Photo by Maarten van den Heuvel on Unsplash
תקנות הגנת הפרטיות (אבטחת מידע) קובעות שורה של חובות ופעולות אשר בעל מאגר מידע, מחזיק במאגר ומנהלו נדרשים לבצע בכדי לקיים את האחריות המוטלת עליהם לפי חוק הגנת הפרטיות בעניין אבטחת המידע שבמאגר.
התקנות אינן קובעות במפורש את זהות האורגן בתאגיד האמור לבצע בפועל את החובות המוטלות על החברה בתחום אבטחת המידע, אך בהנחיה שמפרסמת הרשות היא מונה את הדרישות הפיקוחיות הקבועות בתקנות אשר צריך וראוי שיתבצעו בפועל בידי הדירקטוריון.
במסגרת חובות אלה, ניתן לציין את אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני, אישור מסמך הגדרות המאגר, קיום דיון בדירקטוריון בתוצאות סקר הסיכונים ותוצאות מבדקי חדירות שהחברה מחויבת לערוך בהתאם לרמת האבטחה של מאגריה לפי התקנות, ואישור הפעולות הנדרשות לתיקון הליקויים שנמצאו, קיום דיון רבעוני או שנתי בדירקטוריון באירועי אבטחת המידע שהתרחשו בארגון, וקיום דיון בדירקטוריון בתוצאות הביקורת התקופתית בנוגע לעמידת הארגון בתקנות, שיש לקיימו אחת לשנתיים.
בהתאם להנחיה, במקרים המתאימים, בשים לב למידת הסיכון לפרטיות הכרוך בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון, רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל.
במקרים אלה, על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו זו, ושל אופן ביצוע שאר הפעולות הנדרשות על פי התקנות.
ההנחיה שמפרסמת הרשות, בשלב ראשון להערות הציבור, מבוססת על פרשנות תכליתית של חוק הגנת הפרטיות והתקנות, וגם עומדת בהלימה לדיני החברות ולפסיקה בינלאומית בנושא.
ההנחיה חלה על חברות אשר עיבוד מידע אישי מצוי בליבן הפעילות שלהן ועל חברות שפעילותן יוצרת סיכון מוגבר לפרטיות. אינדיקציות לכך יכולות להיות מאפייני הארגון (כגון חברות ציבוריות או חברות העוסקות בסחר במידע), סוג המידע האישי המשמש את הארגון ורגישותו, היקף המידע האישי או מספר מורשי הגישה אליו.
עוד קובעת ההנחיה כי על דירקטוריון החברה מוטלת האחריות להחליט מיהם האחראים בחברה על ביצוע דרישות התקנות, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע, ליישם בחברה תהליכי פיקוח, בקרה, ציות, חובת עדכון ודיווח על ביצוע התקנות בידי אותם אחראים, ולקבוע החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים.
הרשות מבהירה כי ההנחיה אינה פוטרת או מפחיתה מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך על ידה לביצוע החובות על פי התקנות.
ההנחיה חלה על חברות אשר עיבוד מידע אישי מצוי בליבן הפעילות שלהן ועל חברות שפעילותן יוצרת סיכון מוגבר לפרטיות
Photo by Maarten van den Heuvel on Unsplash
תקנות הגנת הפרטיות (אבטחת מידע) קובעות שורה של חובות ופעולות אשר בעל מאגר מידע, מחזיק במאגר ומנהלו נדרשים לבצע בכדי לקיים את האחריות המוטלת עליהם לפי חוק הגנת הפרטיות בעניין אבטחת המידע שבמאגר.
התקנות אינן קובעות במפורש את זהות האורגן בתאגיד האמור לבצע בפועל את החובות המוטלות על החברה בתחום אבטחת המידע, אך בהנחיה שמפרסמת הרשות היא מונה את הדרישות הפיקוחיות הקבועות בתקנות אשר צריך וראוי שיתבצעו בפועל בידי הדירקטוריון.
במסגרת חובות אלה, ניתן לציין את אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני, אישור מסמך הגדרות המאגר, קיום דיון בדירקטוריון בתוצאות סקר הסיכונים ותוצאות מבדקי חדירות שהחברה מחויבת לערוך בהתאם לרמת האבטחה של מאגריה לפי התקנות, ואישור הפעולות הנדרשות לתיקון הליקויים שנמצאו, קיום דיון רבעוני או שנתי בדירקטוריון באירועי אבטחת המידע שהתרחשו בארגון, וקיום דיון בדירקטוריון בתוצאות הביקורת התקופתית בנוגע לעמידת הארגון בתקנות, שיש לקיימו אחת לשנתיים.
בהתאם להנחיה, במקרים המתאימים, בשים לב למידת הסיכון לפרטיות הכרוך בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון, רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל.
במקרים אלה, על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו זו, ושל אופן ביצוע שאר הפעולות הנדרשות על פי התקנות.
ההנחיה שמפרסמת הרשות, בשלב ראשון להערות הציבור, מבוססת על פרשנות תכליתית של חוק הגנת הפרטיות והתקנות, וגם עומדת בהלימה לדיני החברות ולפסיקה בינלאומית בנושא.
ההנחיה חלה על חברות אשר עיבוד מידע אישי מצוי בליבן הפעילות שלהן ועל חברות שפעילותן יוצרת סיכון מוגבר לפרטיות. אינדיקציות לכך יכולות להיות מאפייני הארגון (כגון חברות ציבוריות או חברות העוסקות בסחר במידע), סוג המידע האישי המשמש את הארגון ורגישותו, היקף המידע האישי או מספר מורשי הגישה אליו.
עוד קובעת ההנחיה כי על דירקטוריון החברה מוטלת האחריות להחליט מיהם האחראים בחברה על ביצוע דרישות התקנות, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע, ליישם בחברה תהליכי פיקוח, בקרה, ציות, חובת עדכון ודיווח על ביצוע התקנות בידי אותם אחראים, ולקבוע החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים.
הרשות מבהירה כי ההנחיה אינה פוטרת או מפחיתה מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך על ידה לביצוע החובות על פי התקנות.
