Board Meeting

אחריות הדירקטורים לחובות הגנת הפרטיות

יורם ליכטנשטיין עורך דין 12.09.2023

אתם דירקטורים בחברה? חשבתם שזה מינוי של כבוד ולא יותר מזה? – תחשבו שוב!

נפתח ב"ספוילר". ככל שתרצו להמנע מתקלות תוכלו להזמין ממשרדנו הרצאה לחברי מועצת המנהלים שלכם על מנת להבין את הסיכון וכיצד להתגבר עליו.

מבוא – חובתן של חברות לכשלי אבטחת מידע ופרטיות:

כמו כולנו גם אתם שמעתם על כשלי אבטחת מידע לא מעטים שקרו בשנים האחרונות. למשל בחברות כמו שירביט, כביש שש, בית החולים מעייני הישועה, ישרכארט, בנקים, דואר ישראל, האוניברסיטה הפתוחה ואחרים.

כשלי אבטחת מידע כאלו ואחרים חושפים את החברה לטענות ותביעות של נשואי מידע שונים (=לקוחות, למשל) בנושאי אבטחת מידע והגנת הפרטיות כמו גם פריצה למאגרי המידע שבשליטת החברה.

בעניין זה עוסקת טיוטת הנחייה שהוציאה רשות הגנת הפרטיות ממש לאחרונה (בתחילת ספטמבר 2023). בטיוטה מבהירה הרשות שדירקטורים בחברות חשופים לסכנת תביעות אישיות ככל שלא טיפלו והתארגנו כנדרש לנושאים אלו בטרם ארעה התקלה. המסקנה: אחריותם של חברי הדירקטוריון היא לטפל (מראש) בנושאי הגנת הפרטיות ואבטחת מידע, ובכך אעסוק כעת.

נקודת המוצא היא שדירקטורים חבים חובות נאמנות שונות כלפי החברות אותן הם מנהלים. הדבר נכון גם ביחס לשאלות של הגנת הפרטיות ואבטחת מידע.

בנושאים אלו חייבים הדירקטורים לפעול בצורה אקטיבית על מנת שהחברה (והם בעקבותיה) לא תישא באחריות להפרות חוק (ראו למשל את סעיף 17 לתקנות הגנת הפרטיות (אבטחת מידע)).

כיצד צריכים הדירקטורים להתמודד מראש עם ארועי אבטחת מידע ופרטיות?

גישת רשות הגנת הפרטיות היא שכאשר מידע אישי משמש בליבת עסקיה של חברה (לא מעט חברות, לא?) נוצר סיכון מוגבר לפרטיות, סיכון שמטיל על החברה ומנהליה חובות. האורגן שאחראי לכך במישרין הוא דירקטוריון החברה, כלומר מועצת המנהלים וחבריה (ראו למשל את סעיף 92 לחוק החברות).

רשות הגנת הפרטיות קובעת שעל הדירקטוריון מוטלות שלוש חובות עיקריות:

  • למנות אחראים בחברה לביצוע התקנות (ואני אוסיף – ובכלל לנושאי פרטיות שונים);
  • לקבל החלטות מדיניות המנחות את האורגן האחראי שמינו כיצד עליו לפעול בנושא;
  • וכמובן – לבקר את הביצוע בפועל ואת שמירת הארגון על דיני הגנת הפרטיות ואבטחת המידע האישי שמוחזק בידיה.

הרשות קבעה שמדובר בחובה אקטיבית לוודא את קיומם של מערכי ציות (compliance) ודיווח פנימיים סבירים שיספקו מידע מספיק, מדוייק ועדכני על מנת שניתן יהיה לקבל החלטות מיודעות לגבי ציות החברה לחוק.

זו חובה כללית, שחלה אפילו אם אין חשש שהחברה אינה עומדת בחוק. כלומר, כשלים בביצוע החובה הזו עלולים להטיל על הדירקטורים אחריות אישית לפעולות ומחדלי החברה.

הרשות מזכירה רצף של תביעות נגזרות שהוגשו בישראל במקרי כשל בפיקוח על חובותיהן של חברות, ומציינת שהדבר נכון גם בעניינו אנו. הרשות מפנה לדוגמה לפרשת Caremark International האמריקאית וקובעת שחובת ההתייחסות והפיקוח של הדירקטורים תחול גם על סיכוני אבטחת מידע ופרטיות.

הנחיית הרשות:

הרשות מסיימת ומגדירה מה לטעמה היא החובה המוטלת על חברי דירקטוריון בנושאי אבטחת מידע (ואני אוסיף – אבטחת ידע היא אספקט אחד מתוך כלל דיני הגנת הפרטיות).

נקודת המוצא היא שחובות אלו חלות על חברות שעיבוד מידע אישי מצוי בלב עסקיהן ופעילותן, אך לא רק. חובה שכזו חלה גם על חברות אשר דרך הפעילות שלהן יוצרת סיכון מוגבר לפרטיות נשואי המידע (למשל חברות ציבוריות, חברות שעוסקות בסחר במידע, חברות בהן מספר גדול של מורשי גישה למידע, חברות בהן יש מידע אישי על קטינים וכדומה).

במצבים כאלו מוטלות על הדירקטוריון ועל חבריו מספר חובות  –

  1. החובה לקבוע מי הוא האחראי בחברה לנושאי הגנת הפרטיות. כלומר: הדירקטוריון אינו הגוף שצריך לבצע את הפעולות, אולם עליו להגדיר אחראי ייעודי לנושאי אבטחת מידע (ולמעשה אמליץ למנות "אחראי פרטיות" בעל נקודת מבט כללית בנושא).

אותו נושא משרה יהיה אחראי לביצוע תקנות אבטחת המידע כמו גם עמידה בדרישות חוק הגנת הפרטיות.

חובתו היא ליצור וליישם בחברה תהליכי פיקוח, בקרה וציות. למשל חובה עליו לדווח לרשות במקרים בהם נוצרת חובת דיווח בעקבות ארוע אבטחה.

בנוסף חובה עליו לבצע דיווח ועדכון שוטפים לדירקטוריון על יישום התקנות והחוק.

  1. חובה נוספת היא חובה לקבוע החלטות מדיניות בדבר נושאים מהותיים הכרוכים בשימוש במידע אישי. האחראי שמונה בהתאם לסעיף הקודם יהיה האחראי על ביצוע אותה מדיניות, אך הגוף שעליו לקבוע אותה הוא הדירקטוריון.
  2. לבסוף, מוטלת על הדירקטוריון גם החובה לוודא שהחלטותיו בוצעו, ושהחברה אכן פועלת בהתאם.

החובות המטלות על הדירקטורים:

כעת, אחרי שקבעה הרשות את הקביעה העקרונית שמוטלות על הדירקטוריון חובות כאמור, היא מוסיפה ופורטת את הפעולות הספציפיות שתקנות אבטחת מידע מטילות. למשל:

  1. בחינת מסמך מאגר המידע ואישורו.
  2. אישור העקרונות המרכזיים שיוסדרו בנוהל אבטחת המידע הארגוני.
  3. וידוא שבוצעו סקר סיכונים ומבדקי חדירות ולאחר מכן דיון בתוצאות שלהם.
  4. חובה לבחון אילו צעדים בחר האחראי לפעול לשם תיקון תוצאות סקר הסיכונים ומבדקי החדירות ואישור או דחיה של אותם צעדי.
  5. קיום דיון רבעוני או שנתי (לפי רמת האבטחה של המאגר) בארועי האבטחה שהתרחשו בארגון.
  6. דיון בתוצאות הביקורת התקופתית בנוגע לעמידת החברה בתקנו. אחת לשנתיים.

מנסיוני בתחום אבקש להדגיש. החובות מכח תקנות אבטחת מידע הן חלקיות ואינן מספיקות שכן הן מהוות רק אספקט אחד של דיני הגנת הפרטיות.

בפועל, דיני הגנת הפרטיות מטילים על חברות חובות נוספות. בין היתר מדובר, למשל, בחובת צמידות המטרה (שמתייחס לאופן השימוש במידע האישי), חובת הודעה לנשוא המידע ועוד. תקלות שיפלו בביצוע ובפיקוח על החובות הללו, עלולות גם הן להטיל על חברי הדירקטוריון אחריות אישית נוספת.

הפתרון: הרצאות בפני הדירקטוריון

ככל שתבקשו, נשמח להציע לכם הרצאה לדירקטורים בה נסביר בצורה מסודרת את החובות המוטלות עליהם וכך נוכל לסייע בעמידה בדרישות החוק ולצמצם את הסיכון האישי המוטל עליהם.

דברו איתנו – yoram@y-law.co.il

 

חשוב: שימו לב!
טקסט זה נכתב בספטמבר 2023 ונבדק לאחרונה בספטמבר 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.