טיוטת הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז – 2017
12 ספטמבר 2023
לקוחות ועמיתים יקרים,
ברצוננו להביא לידיעתכם כי ביום 10 בספטמבר, 2023, פרסמה הרשות להגנת הפרטיות ("הרשות") להערות הציבור טיוטת הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז – 2017 ("התקנות").
עמדת היסוד של הרשות, כפי שעולה מטיוטת ההנחיה, היא שכאשר ליבת הפעילות של החברה כוללת עיבוד של מידע אישי, או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפרטיות (למשל, חברות העוסקות בסחר במידע, חברות המעבדות מידע רגיש (מידע על צנעת חייו האישיים של אדם, מידע רפואי, מידע גנטי, מידע ביומטרי או מידע על אוכלוסיות מיוחדות וכיו"ב), וכן חברות אשר היקף המידע או מספר מורשי הגישה למידע שברשותן תואם לאלו המבססים רמת אבטחה גבוהה בהתאם לתקנות), הדירקטוריון הוא הגורם המתאים והיעיל להחליט מיהם האחראים בחברה לביצוע דרישות התקנות. תפקידיו של הדירקטוריון בהיבטים אלו כוללים יישום תהליכי פיקוח, בקרה, ציות ודיווח בכל הנוגע לביצוע דרישות התקנות בידי האחראים שמינה, לצד קבלת החלטות מדיניות לגבי אופן השימוש במידע אישי בחברה, וניהולו בנושאים מהותיים.
לפי טיוטת ההנחיה, על הדירקטוריון עצמו חלות חובות מכוח התקנות שהן פיקוחיות באופיין:
1. אישור מסמך הגדרות המאגר.
2. אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני.
3. קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים.
4. קיום דיון רבעוני או שנתי, על פי רמת אבטחת המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בחברה.
5. קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, שיש לקיים אחת לשנתיים.
הרשות מדגישה כי הדירקטוריון רשאי, במקרים המתאימים ובהתאם למידת הסיכון לפרטיות הכרוך בפעילות החברה, וכן תוך תיעוד סביר של הנימוקים להחלטה, להאציל סמכויותיו ולקבוע כי גורם אחר בחברה יהיה אחראי על ביצוע חובות אלה, תוך פיקוח על קיומן בפועל.
לנוסח המלא של טיוטת ההנחיה – לחצו כאן
ניתן להעביר הערות לטיוטת גילוי הדעת עד ליום 22 באוקטובר, 2023.
נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא