Board Meeting

אחריות מנהלים ודירקטורים לפי ה-GDPR

יורם ליכטנשטיין עורך דין 07.03.2018 עודכן ב-16.08.2023

הרצאות להכרת ה-GDPR בפני דירקטוריונים והנהלות

אם אתם דירקטורים או מנהלים בחברות ישראליות (עם לקוחות, משתמשים, גולשים, ספקים, שרתים או שירותים מאירופה), קחו בחשבון שהחל ממאי 2018, כשה-General Data Protection Regulation (679/2016/EU) האירופית (GDPR) תכנס לתוקף, יתכן ותהיו כפופים לתביעות רשלנות לאחר שהחברה שלכם תאלץ לשלם מליוני אירו כקנסות.

לכן, אני שמח להציע לכם הרצאת היכרות עם ה-GDPR בפני הנהלות ודירקטוריונים ואתם מוזמנים ליצור עימי קשר במשרד
(03-6133333) או בתיבת ה"צור קשר" על מנת לתאם הרצאה אצלכם כאמור.

בהרצאה זו אני מסביר מה משמעות הרגולציה, מה החובות אותן היא מטילה על עסקים ואני מעניק בסיס לבדיקה – האם הארגון שאתם אחראים עליו צריך לעמוד ברגולציה ואם כן – האם הוא עומד בה?

במרבית המקרים כשפונים אלי לקוחות לבצע סקר מאגרי מידע ובדיקת פערים מול הרגולציה האירופית, הפונה היא מנהלת המחשוב בחברה או היועץ המשפטי. הם כמובן מבינים את החשיבות שיש בהתאמת מערכות המידע של החברה ואת נהליה ל-GDPR. ואחרי שיחה קצרה שנינו מבינים את החשיפה שמסכנת את העסק, אלא שאז מגיע משפט המחץ – "טוב, עכשיו אני רק צריכה לשכנע את ההנהלה".

בפועל אנו רואים שמנהלים ודירקטורים לא הפנימו את משמעותה הדרמטית של הרגולציה המתרחשת עלינו ממש בקרוב, במאי 2018. בבדיקות לא רשמיות שבוצעו בחו"ל התברר שכ-33% מהמנהלים שנשאלו בחברות חוץ-אירופאיות לא היו מודעים לסכנות הטמונות לעסק שלהם ברגולציה. מבדיקה לא רשמית שלי, בישראל, האחוזים גבוהים משמעותית.

באי ידיעה זו נעוצה סכנה רבה כשלעצמה, הן לעסק והן לדירקטורים שלא היו מודעים לדבר מה שחובתם היתה לדעת אותו. האחריות שתוטל על מנהלים ודירקטורים שהתעלמו מהסיכון והדרישות שמציבה ה-GDPR יכולה להקים חשיפה גדולה (שלמיטב הבנתי בהחלט יתכן שאינה מכוסה בביטוח המנהלים ונושאי המשרה הנוכחי).

צעדים לדוגמא שהרגולציה מחייבת הם:

  1. מינוי קצין הגנת מידע במקומות בהם הוא נדרש (וכשאינו נדרש, מינויו מומלץ).
  2. הגנת המידע בפועל. לדוגמא בהצפנה, באנונימיזציה, באמצעים פיזיים, סיסמאות, תוכנות הגנה וכדומה.
  3. הסדרת הליך ההודעה ללקוחות על איסוף המידע והיקפו וכן אופן קבלת ההסכמה החד-משמעית והמוגדר.
  4. הסדרת הליכי זכויות הפרט במידע שנאסף עליו (והרגולציה קובעת מספר זכויות משמעותיות, חלקן חדשות).
  5. הכוונת תהליך סקירת המידע וכן סקרי סיכוני פרצת אבטחת מידע ודיווח על פרצות אבטחת מידע (לרשות ולציבור).

אחד מהרכיבים הבולטים ברגולציה הוא מערך העונשים והקנסות שלה שנקבעו בה. אי עמידה ברגולציה מזכה את הלקוחות שלכם בזכות תביעה כנגדכם וחומור מכך – מאפשרת לרשויות האכיפה האירופיות להיטל (גם על חברות ופרטים מחוץ לאירופה) קנסות בהיקפי מליוני אירו.  אי הערכות לקראת הרגולציה עלול ליצור חשיפה כספית-משפטית מהותית לעסק, ואם לא תדאגו לטפל בנושא כמנהלי התאגיד, אתם עשויים להחשב רשלנים, או אף חמור מכך.

המדובר ברגולצה חדשה שבודדות החברות הישראליות המודעות לה ואשר התאימו את עצמן לקראתה. אלא שאי טיפול בבעיה עשוי לגרום לתביעות משמעותיות כנגד החברה וכנד הדירקטורים והמנהלים שלה. התעלמות לא תעזור. ככל שהדירקטוריון לא יקים מערך הגנת מידע, בדיקת מידע וסיכונים ראוי, יהיו הדירטורים והמנהלים בסיכון בפני תביעות חמורות ומשמעותיות.

נושא זה של אחריות דירקטורים לרגולציה עלה למשל בבריטניה עוד לפני כשנתיים, והרשות המפקחת שם (ה-ICO) הצהירה שתראה במנהלים אחראים אישית לפרצות אבטחת מידע שארעו תוך התעלמות מהוראות הרגולציה. לפרטים נוספים אודות ה-GDPR ראו את האמור בקישור המצורף.

על מנת להתמודד עם סכנה כזו, משרדנו מציע הרצאות בפני הנהלות חברות להיכרות עם הרגולציה וכיצד ניתן להתמודד איתה. נשמח אם תיצרו איתנו קשר לתיאום.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-17.08.2021.

 

חשוב: שימו לב!
טקסט זה נכתב במרץ 2018 ונבדק לאחרונה באוגוסט 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.