אחריות אישית של מנהלים ודירקטורים להפרות פרטיות ואבטחת מידע.

הנחייה מס' 1/2024 של רשות הגנת הפרטיות הפכה למחייבת ב-12.9.2024. עיקרה: הטלת אחריות אישית של דירקטורים ומנהלים בתאגידים לקיום חובות הארגון בהתאם לתקנות הגנת הפרטיות (אבטחת מידע) ("התקנות"). כפי שתראו מטה אני אוסיף – גם בהתאם לחוק (ותיקון 13 לו).

בעידן הדיגיטלי מידע אישי מהווה נכס מרכזי בידי ארגונים רבים ולכן קיים סיכון מוגבר לארועי אבטחה והפרת הפרטיות וסיכון זה הוחל כעת גם על אורגנים בחברות באופן אישי. אבל לפני שנצלול להנחייה עצמה רציתי לחדד נקודה חשובה.

ראשית, מעט משלי – לא רק התקנות. גם החוק

הרשות מפקחת על השימוש החוקי והמאובטח במאגרי מידע וזה המקור להנחייה שלה.

אולם, חוק הגנת הפרטיות קובע חובות רבות "בין אדם לחברו" שהרשות אינה עוסקת בהן. אותן חובות עלולות להטיל אחריות על החברה וחמור מכך – אחריות אישית על מנהליה (וכמובן לגרום נזק ללקוחות החברה, חס וחלילה). לכן, חשוב שמנהלי חברות לא יסתפקו בהכרת תקנות אבטחת המידע אלא יכירו גם את חובות החוק עצמו, הכל במטרה למנוע אחריות אישית (שעלולה להיות מוחלת על המנהלים עצמם, במישרין).

מנהל שלא וידא שהארגון בראשו הוא עומד מודע לחובות הקבועות בחוק ולא עמד בהן – עלול להחשב כרשלן וכאחראי באופן אישי, במקרים המתאימים כמובן, הכל ללא קשר להנחיית הרשות.

לכן, תחילה אציע לקוראים לא להסתפק בהנחייה ובקיום החובות מכח תקנות אבטחת המידע, אלא לוודא שגם חוק הגנת הפרטיות והחובות הקבועות בו יקויימו. מדובר למשל (וזו אינה רשימה מלאה) ב-

1. מינוי ממונה על הגנת פרטיות במקרים המתאימים. על הממונה להיות אדם בעל נסיון ויכולת, שיקבל מהארגון את מלוא המשאבים שיספיקו לו לביצוע העבודה, ידווח במישרין לדירקטוריון או למנכ"ל החברה ויקבל "יד חופשית" לפעול ככל שנדרשת הגנה על הפרטיות.
2. קביעת נהלי בקרה פנימית בנושאי הגנת הפרטיות (ולא רק אבטחת מידע). כמובן שגם נדרש לוודא את הטמעתם בארגון והפצתם בקרב כל העובדים.
3. וידוא יישום נהלי הגנת הפרטיות.  למשל אולי באמצעות עריכת בדיקות פתע והקפדה.
4. הכשרה והדרכה של העובדים,  ובמיוחד כאשר מדובר בעובדים שנחשפים למידע אישי.
5. הפיכת נושא פרטיות לחלק מהתרבות הארגונית באופן שוטף.

מתי ההנחייה נכנסת לתוקף?

הבה נתבונן כעת בהנחייה עצמה. ההנחייה מגדירה חובות אישיות בהיקף לא מבוטל שחלות על הדירקטוריון וההנהלה הבכירה של ארגונים שונים.

בשיחה שערך עם יועצים משפטיים מארגון ACC (ב-12.9.2024) הבהיר ראש הרשות, עו"ד גלעד סממה, שההנחייה והחובות המפורטות בו הן בתוקף באופן מיידי. אכן, פעולות האכיפה או הטלת העיצומים (קנסות) לא יהיו מיידיות (הטלת עיצומים על הפרות תחל רק בעוד כשנה, באוגוסט 2025 לערך) אלא שפעילות האכיפה שתנקוט הרשות תחל כבר בקרוב.

כלומר, סיום שנת 2024 ומחציתה הראשונה של שנת 2025 הוא מועד מצויין להתכונן ולהבין את משמעות החוק והתקנות על ארגונים שונים ואת החובות המוטלות על מנהליהם באופן אישי.

באילו חברות תוטל אחריות אישית על מנהלים מכח התקנות?

המדובר בחברות הישראליות שעונות על אחד או יותר מהמאפיינים הבאים (וכמובן יתכנו מקרים ספציפיים בהם מאפייני החברה יגרמו להחלת התקנות גם אם מי ממאפיינים אלו לא התקיים):

1. חברות שעיבוד מידע אישי הוא חלק מליבת פעילותן (להבדיל מנלווה לה).
2. חברות שפעילותן עלולה ליצור סיכונים מוגברים בנושאי הגנת הפרטיות. למשל:
   1. חברות שפעילותן כוללת סחר במידע אישי.
   2. חברות שהמידע המעובד על ידן כולל מידע אישי בעל רגישות מיוחדת (הגדרה שהורחבה בתיקון 13 שנכנס לתוקף לאחרונה ממש).
   3. חברות שהמידע שבידיהן עוסק באוכלוסיות בעלות רגישות מיוחדת (דוגמת קטינים, חסויים, חולים וכדומה).
   4. חברות שמעבדות מידע בהיקף נרחב במיוחד או שכמות הרשאות הגישה למידע שבידיהן גדולה במיוחד.

בכל אחד ואחד ממצבים אלו, מנהלי אותם חברות וארגונים עשויים למצוא את עצמם כפופים לחובות אישיות ביחס להגנת הפרטיות.

מה חובות הדירקטוריון והמנהלים ביחס לאבטחת מידע ופרטיות?

ההנחיה מבהירה כי החובה העיקרית המוטלת על חברי הדירקטוריון וההנהלה הבכירה הינה חובת פיקוח – גיבוש, אימוץ ויישום המשימות המוטלות על הארגון בתקנות (ואני אוסיף – ובחוק עצמו).

אחריות זו נובעת לאור הבנת המבנה הארגוני הכללי של תאגידים ותפקידה של מועצת המנהלים בהם – תפקיד הפיקוח על ההתנהלות השוטפת.

ההנחיה מוסיפה ומתייחסת למקרים בהם התקנות קובעות חובה המוטלת על בעל שליטה או מחזיק אבל אינן קובעות (ככל שמדובר בתאגיד), מי הוא האורגן האמור לבצע את אותה חובה. במקרה כזה קובעת ההנחיה שפעולות שהן "פיקוחיות באופיין" יהיו תחת אחריות הדירקטוריון, וזאת.

חוות הדעת מפנה לחובות ספציפיות המוטלות במישרין על מנהלי החברה, ואלו כוללות את החובה:

1. להבטיח עריכה של ודיון במסמך הגדרות המאגר,  טרם אישורו הסופי (מסמך הנדרש לפי תקנה 2(א)).
2. להבטיח עריכה ודיון בעקרונות המרכזיים של נוהל אבטחת המידע בארגון בטרם אישורו (נוהל הנדרש לפי תקנות 2(3), 4(א)).
3. להבטיח עריכה ודיון בתוצאות סקר הסיכונים ומבדקי החדירות,  וכן וידוא ביצוע נכון שלהם ותיקון הממצאים (הסקר והמבדקים נדרשים לפי תקנות 5(ג)-(ד)).
4. להבטיח דיון רבעוני או שנתי (בכפוף לרמת אבטחת המאגר) בארועי אבטחת המידע שהתקיימו בארגון (תיעוד ובקרה שלהם נדרשים לפי תקנה 11(ג)).
5. להבטיח דיון בתוצאות הביקורת התקופתית לעמידה בתקנות (compliance) ויישום תוצריה (ביקורת הנדרשת אחת לשנתיים, לפי תקנה 16(ג)).

כמובן שככל שקיימות חובות נוספות בתקנות (או בחוק) שהארגון לא עמד בהן, גם תוצאה שכזו עלולה להחשב כרשלנותו של מנהל שלא הבטיח את קיום דרישות התקנות (והחוק). כך למשל החובות

• לוודא נהלי בקרה ופיקוח יעילים על המשימות הנדרשות.
• ולהיות אחראים לדיווח מיידי ביחס לאירועי אבטחת מידע.
• מקום בו נדרש הדבר בחוק, יש למנות ממונה אבטחת מידע ו/או ממונה הגנת הפרטיות, ולספק להם את האפשרות ואת הסמכויות לבצע את תפקידם על הצד הטוב ביותר, בצורה עניינית וללא מגבלות מיותרות.

אז מה עושים עכשיו?

המסקנה החשובה ביותר מההנחיה ומהתיקון הינה שחשוב שמנהלים ודירקטורים בחברות יבינו שהגנת הפרטיות ואבטחת מידע הפכו להיות נושא שראוי שיהיה על סדר יומם באופן שוטף, יבדקו אותו באופן משמעותי ויוודאו שהארגון בראשו הם עומדים – מכבד אותו.

טיפול שאינו מספיק בנושאים אלו, עלול לגרור הטלת אחריות אישית גם על האורגנים המתאימים שלא דאגו לפקח על התנהלות הארגון שתחת פיקוחם.

חשוב שנבין שככל וארעה תקלה, הרי היחס לאדם או חברה המכיר את הצורך ופועל אך טועה, בהכרח יהיה שונה מהיחס שיקבל מי שכלל לא טרח הכין את התאגיד בראשו הוא עומד.

משרדנו מתמחה במתן ייעוץ והכוונה משפטית לארגונים ולמנהלים בתחום הגנת הפרטיות. אנו מזמינים אתכם ליצור איתנו קשר (לחצו על הלינק) ואנו נסייע לכם להבטיח שאתם והארגון שלכם מוגנים.

אנו מציעים גם ייעוץ למועצות מנהלים וגם ייעוץ אישי לדירקטורים.