הנחיה חדשה של רשות הגנת הפרטיות מעוררת חששות רבים בקרב הדירקטורים

השבוע (א') התקיים כנס ראשון מסוגו בנושא הגנת הפרטיות ואבטחת מידע של הרשות להגנת הפרטיות ואיגוד הדירקטורים.

עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות התריע בכנס על קריסת עסקים שלא יעמדו ברגולציה ולא יאבטחו את עצמם  נגד תקיפות סייבר,  עוד הוסיף ואמר שיש להעלות את תחום הפיקוח על אבטחת מידע לרף של הדירקטוריון שצריך לגלות ערנות ומודעות לתקנות אבטחת מידע בחברה.

זאת בעקבות הנחיה חדשה צפויה של הרשות בעניין תפקיד הדירקטוריון בקיום חובות תאגיד בקשר לתקנות אבטחת מידע, הנחיה זו מעוררת הדים וחששות בקרב דירקטורים רבים במשק הישראלי. 

בטיוטת ההנחיה מציינת הרשות כי הדירקטוריון הוא האורגן המתאים להבטיח את קיומם של תהליכי פיקוח, בקרה, ציות,  ודיווח על ביצוע דרישות התקנות, ולקבוע החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים; בין השאר באמצעות מעורבות ישירה של הדירקטוריון בביצוע מקצת הפעולות הנדרשות לפי התקנות, שהן בעלות אופי פיקוחי.

דירקטורים ודירקטוריות שלקחו חלק באירוע, העלו את החשש כי ההנחיה החדשה עלולה להשית על הדירקטוריון תפקידי ביצוע, ולכן עלולה שלא להיות ישימה, כשבה בעת קיימת חשיפה לסנקציות רגולטוריות.

ההנחיה החדשה מטשטשת את האחריות המוגדרת גם בחוק החברות בין האורגנים של החברה. מחד מטילה אחריות על הדירקטוריון , שאינה מוגדרת בתחומי האחריות שלו בחוק, ומאידך מורידה אחריות מהנהלת החברה.

בקשה לדירקטוריון לאשר מסמך שאין לו הבנה משמעותית בו, אינה יעילה, ומסוכנת הן לחברה והן למאשרים.

זאת בהשוואה לבקשה לאישור דוחות כספיים ע"י הדירקטוריון. הליך מובנה שמחייב דירקטורים בעלי מומחיות פיננסית, ועדת מאזן טרום אישור, ובעיקר אישור רואה חשבון מבקר כי הדוחות מוצגים בהתאם לכללים, וכמובן בוקרו /סוקרו על ידו.

ללא מנגנון דומה, לא ברור כיצד דירקטוריון יכול לאשר מסמך שאין לו הבנה מקצועית בפרטיו".

יפעת גודינר, סמנכ״לית מערכות מידע ב OPC Energy, ודירקטורית בשירותי בריאות כללית מוסיפה: "הגבול העדין בין אחריות הדירקטוריון על הגנת הפרטיות בארגון ובין יכולתו לאשר ולפקח על מסמכים טכניים כמו נהלי אבטחת מידע, סקרי סיכונים, ובדיקות חדירה, יוצר מציאות בה לדירקטוריון אין כיום כלים מקצועיים לבצע זאת. זה לא רק עניין של הבנה אסטרטגית אלא גם של ידע ומומחיות טכנולוגיים. אני מודה לרשות להגנת הפרטיות בהקשבה לדירקטורים ביחס להסתגלות החוק לעידן הדיגיטלי, זהו צעד מכריע להצלחת התהליך. כדי להבטיח שדירקטוריון יפעל באופן יעיל ואחראי, מהותי בעיני לקדם מינוי חברי דירקטוריון מומחים בעולמות הטכנולוגיים, הדיגיטל וסייבר, שיביאו את נקודת המבט הטכנולוגית הנדרשת לקבלת החלטות מושכלות".

יו"ר פורום הסייבר באיגוד הדירקטורים, יובל שגב הדגיש את החשיבות של "לדעת לשאול את השאלות הקשות", ולא לקבל את דברי ההנחיה כחובת ציות גרידא. שני אירועי דלף המידע המשמעותיים שאירעו אך בפברואר האחרון בישראל, הינם פיגוע פרטיות, שיכול היה להימנע בקלות לו היו נשאלות השאלות הנכונות. עוד ציין יובל, כי אם אכן תעבור התקנה איגוד הדירקטורים יערך בהקדם ויעמיד לרשות החברים הכשרות מקצועיות אשר יספקו להם כלים מעשיים ליישם את הדרישות החדשות.

מנכ"לית איגוד הדירקטורים, הגב' הדר צופיוף הכהן הביעה חששות מהפרשנות של חוק החברות המוצעת במסמך ועל הפגיעה האפשרית הקיימת בממשל התאגידי ככל והטיוטה תאושר ללא השינויים הרלוונטיים, עוד ציינה כי האיגוד ימשיך במשימתו לקיים מפגשים מסוג זה  על מנת לאפשר לדירקטורים סביבה נוחה להשמעת קולם של דירקטורים ודירקטוריות הן בעת גיבוש חקיקה או הנחיות חדשות והן בהצעות ייעול מהשטח לקידום שוק שקוף, אמין ובטוח.