לקוחות ועמיתים יקרים,

בהמשך לעדכון הלקוחות הקודם שלנו ביום 12 בספטמבר, 2023, נעדכנכם כי ביום 12 בספטמבר, 2024, פרסמה הרשות להגנת הפרטיות ("הרשות") נוסח סופי ורשמי של הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ("ההנחיה" ו"התקנות" בהתאמה).

ההנחיה מטילה חובה על דירקטוריון בחברות בהן עיבוד מידע אישי מצוי בליבת הפעילות שלהן ולא רק נלווה לפעילות הליבה או שפעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות, בין בשל סוג המידע המעובד על ידן ורגישותו ובין בשל היקף המידע או מספר מורשי הגישה אליו  – ליישם תהליכי פיקוח, בקרה, ציות ודיווח בכל הנוגע לביצוע דרישות התקנות בחברה.

הרשות מחדדת ומדגישה במסמך שפורסם את אחרית הדירקטוריון לאבטחת המידע בארגון, ומטילה עליו את החובות הבאות:

1. 1. הדירקטוריון אחראי באופן ישיר על חובת העמידה בתקנות ובחוק, לרבות חובת הדיווח המיידית בדבר אירוע אבטחה מידע כנדרש לפי התקנות.
   2. כמו כן, הדירקטוריון יהיה אחראי על הפיקוח השוטף וקבלת הדיווחים על ביצוע החובות כאמור. הרשות הבהירה בהקשר זה כי תכנית אכיפה פנימית אפקטיבית אשר מיישמת את חובת הפיקוח המוטלת לפי ההנחיה, הינו יישום ראוי של הפיקוח הנדרש.
   3. בנוסף, על הדירקטוריון חלה חובה לקיים דיונים בנושאים הבאים:

• • מסמך הגדרות המאגר בטרם הגדרתו הסופית.
  • עקרונות מרכזיים בנוהל אבטחת המידע הארגוני בטרם אישורו וקביעתו הסופית.
  • תוצאות סקר סיכונים ומבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים.
  • דיון רבעוני או שנתי, על פי רמת אבטחת המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בחברה.
  • תוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, שיש לקיים אחת לשנתיים.

הרשות מדגישה כי הדירקטוריון רשאי, במקרים המתאימים ובהתאם למידת הסיכון לפרטיות הכרוך בפעילות החברה, וכן תוך תיעוד סביר של הנימוקים להחלטה, להאציל סמכויותיו ולקבוע כי גורם אחר בחברה יהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל.

נציין כי החל מאוגוסט 2025, עם כניסת תיקון 13 לתוקף, יחולו עיצומים כספיים גבוהים על חברות אשר יפרו את הוראות החוק והתקנות. ההנחיה והחוק אינם מתייחסים באופן ספציפי לאחריות אישית של דירקטורים, אולם נציגי הרשות הבהירו, במסגרת מפגשי שיח, כי הדירקטורים לא יהיו חשופים באופן ישיר לעיצומים כספיים מצד הרשות, עם זאת, ישנו סיכון של חשיפה לתביעות אישיות מצד בעלי מניות בהתאם לדיני התאגידים ודיני ניירות ערך.

לנוסח המלא של ההנחיה – לחצו כאן

נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא​.

בברכה,

צוות רגולציה – המחלקה המסחרית

הרצוג פוקס נאמן