הרשות להגנת הפרטיות פרסמה בעקבות דליפות המידע האחרונות, בין השאר בבית החולים מעייני הישועה, הנחיה חדשה בעניין תפקיד הדירקטוריון בקיום חובות החברה לפי תקנות הגנת הפרטיות (אבטחת מידע).
עמדת הרשות היא כי בחברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן או שפעילותן יוצרת סיכון מוגבר לפרטיות, דירקטוריון החברה הוא הגורם שעליו לבצע בפועל חלק מהדרישות, הפיקוחיות באופיין, הקבועות בתקנות אבטחת מידע.
בפרסום הבהירה ההנחיה כי הדירקטוריון הוא הגורם המתאים והיעיל להחליט מיהם האחראים בחברה לביצוע דרישות התקנות, ליישום הליכי פיקוח ובקרה על ביצוע הדרישות בידי אותם אחראים, ולקבל החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה, וניהולו בנושאים מהותיים.
תקנות הגנת הפרטיות (אבטחת מידע) קובעות שורה של חובות ופעולות אשר בעל מאגר מידע, מחזיק במאגר ומנהלו נדרשים לבצע בכדי לקיים את האחריות המוטלת עליהם לפי חוק הגנת הפרטיות בעניין אבטחת המידע שבמאגר.
התקנות אינן קובעות במפורש את זהות האורגן בתאגיד האמור לבצע בפועל את החובות המוטלות על החברה בתחום אבטחת המידע, אך בהנחיה שמפרסמת הרשות היא מונה את הדרישות הפיקוחיות הקבועות בתקנות אשר צריך וראוי שיתבצעו בפועל בידי הדירקטוריון.
במסגרת חובות אלה, ניתן לציין את אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני, אישור מסמך הגדרות המאגר, קיום דיון בדירקטוריון בתוצאות סקר הסיכונים ותוצאות מבדקי חדירות שהחברה מחויבת לערוך בהתאם לרמת האבטחה של מאגריה לפי התקנות, ואישור הפעולות הנדרשות לתיקון הליקויים שנמצאו, קיום דיון רבעוני או שנתי בדירקטוריון באירועי אבטחת המידע שהתרחשו בארגון, וקיום דיון בדירקטוריון בתוצאות הביקורת התקופתית בנוגע לעמידת הארגון בתקנות, שיש לקיימו אחת לשנתיים.
להערות הציבור
בהתאם להנחיה, במקרים המתאימים, בשים לב למידת הסיכון לפרטיות הכרוך בפעילותה של החברה, לגודלה ולהרכב הדירקטוריון, רשאי הדירקטוריון לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל. במקרים אלה, על הדירקטוריון להבטיח כי מתקיים בחברה תיעוד סביר של הנימוקים להחלטתו זו, ושל אופן ביצוע שאר הפעולות הנדרשות על פי התקנות.
ההנחיה שמפרסמת הרשות, בשלב ראשון להערות הציבור, מבוססת על פרשנות תכליתית של חוק הגנת הפרטיות והתקנות, וגם עומדת בהלימה לדיני החברות ולפסיקה בינלאומית בנושא. ההנחיה חלה על חברות אשר עיבוד מידע אישי מצוי בליבן הפעילות שלהן ועל חברות שפעילותן יוצרת סיכון מוגבר לפרטיות. אינדיקציות לכך יכולות להיות מאפייני הארגון (כגון חברות ציבוריות או חברות העוסקות בסחר במידע), סוג המידע האישי המשמש את הארגון ורגישותו, היקף המידע האישי או מספר מורשי הגישה אליו.
עוד קובעת ההנחיה כי על דירקטוריון החברה מוטלת האחריות להחליט מיהם האחראים בחברה על ביצוע דרישות התקנות, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע, ליישם בחברה תהליכי פיקוח, בקרה, ציות, חובת עדכון ודיווח על ביצוע התקנות בידי אותם אחראים, ולקבוע החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים.
הרשות מבהירה כי ההנחיה אינה פוטרת או מפחיתה מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך על ידה לביצוע החובות על פי התקנות.
