דירקטורים בחברה? שימו לב!
הרשות להגנת הפרטיות העמידה בתחילת חודש ספטמבר, 2023, טיוטת הנחיה לדירקטורים בחברה בעניין שמירה על מידע פרטי, להערות הציבור עד ליום 22.10.2023. אמנם מדובר בטיוטה, אך הכיוון והגישה ברורים ולכן מאוד מומלץ מאוד להבין משמעויות ההנחיה לכל מי שמחזיק בחברה, לבד או עם בעלי מניות נוספים וכמובן לכל מי שמכהן כדירקטור בחברה, בין אם מדובר בחברה פרטית ובין אם בחברה ציבורית.
הרשות מבקשת להחיל אחריות אישית על דירקטורים בחברה בכדי לתמרץ אותם לגרום לחברה עליה הם אמונים לעמוד בתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז –2017. התקנות אושרו על ידי ועדת חוקה, חוק ומשפט של כנסת ישראל במרץ 2017 והן החליפו את התקנות הקודמות שנחקקו בשנת 1986 אשר אינן מתאימות עוד לעידן הדיגיטלי.
תקנות אבטחת המידע נועדו להסדרה לוגית ופיזית של אופן אבטחת המידע המצוי במסדי נתונים במגוון רחב של גופים פרטיים וציבוריים. בדומה לחקיקת ה-GDPR (General Data Protection Regulation) באירופה, רצון המאסדר הישראלי להגן ככל הניתן על המידע האישי והפרטי של אזרחי המדינה.
עמדת הרשות נכתבה באופן פשוט וברור:
“ככלל בחברה אשר עיבוד מידע אישי מצוי בליבת הפעילות שלה, או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפרטיות, הדירקטוריון הוא הגורם המתאים והיעיל להחליט מיהם האחראים בחברה לביצוע דרישות התקנות, ליישם הליכי פיקוח ובקרה על ביצוע הדרישות בידי אותם אחראים, ולקבל החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה, וניהולו בנושאים מהותיים“
למרות שתקנות אבטחת המידע אינן מצביעות על הגורם המסוים אשר אמור לבצע את ההנחיות המפורטות בתקנות. הרשות סבורה כי בחברות המעורבות בעיבוד מידע אישי, במיוחד אלו המהוות סיכון גבוה יותר לפרטיות, על דירקטוריון החברה לפקח על יישום הוראות התקנות ומטבע.
למען הבהירות, מנגנון האחריות המוצע בהנחיה יחול על דירקטורים ב-“חברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן, או על חברות אשר פעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות. זאת, בין בשל מאפייני הארגון (כגון חברות ציבוריות או חברות העוסקות בסחר במידע); בין בשל סוג המידע המעובד על ידן ורגישותו, כגון סוגי המידע המפורטים בפרט 1 לתוספת הראשונה לתקנות או מידע על אוכלוסיות מיוחדות כדוגמת קטינים; ובין בשל היקף המידע או מספר מורשי הגישה אליו“.
הרשות נסמכת על פרשנות תכליתית של חוק הגנת הפרטיות ותקנותיו, עקרונות ממשל תאגידי וחלוקת תפקידים בתאגיד. הרשות סבורה ולכן גם נוקטת בגישה כי בחברות בהן עיבוד מידע אישי הינו חלק מרכזי מפעילותן או שקיימים סיכונים מוגברים לפרטיות – האורגן המתאים ביותר לטפל בעניין, או לכל הפחות לפקח עליו הינו דירקטוריון החברה.
הרשות מציינת כי גישה זו מתיישבת גם עם דיני החברות ומפנה סעיף 92 לחוק החברות, התשנ”ט-1999 קובע כי “הדירקטוריון יתווה את מדיניות החברה ויפקח על ביצוע תפקידי המנהל הכללי ופעולותיו“. הרשות ממשיכה ומציינת כי גישה זו מוכרת ומקובלת בדיני התאגידים של ארצות הברית, אשר השפיעו לא פעם על החלטות בתי המשפט הישראליים.
במסמך שהועמד לעיון הציבור מציינת הרשות את אחת ההשלכות על ראשי הדירקטורים, במידה ויתעלמו מן ההנחיה – הליכים משפטים. הרשות מציינת כי אין מדובר רק בתביעה על-ידי גורמים מחוץ לחברה אלא גם על-ידי גורמים מתוך החברה. הרשות מציינת כי הוגשו בישראל תביעות נגזרות בשם החברה, נגד דירקטורים, בטענה שהתרשלו בפיקוח על עסקי החברה במקרים שבהם החברה ספגה קנס או סנקציה אחרת בשל הפרת דין. במילים אחרות, דירקטורים בחברה יישאו באחריות אישית לאי עמידה בהוראות תקנות אבטחת המידע.
סביר להניח כי טיוטת ההנחיה תהפוך להנחיה בפועל ולכן מוטב כי כל מי שחובש כובע של דירקטור (בחברות בעלות בעל מניות אחד, בדרך כלל הוא הדירקטור) יעשה בדק בית מיידי במה מתרחש בחברה עליה הוא אמון ויפעל בכדי שתקנות אבטחת המידע ימומשו בחברה. התראה זו נכונה לכל סוגי החברות, גדולות וקטנות, ואין משמעות למספר הדירקטורים.
