הגנה על פרטיות? מהיום זה תפקיד הדירקטוריון

השבוע (א') התקיים כנס ראשון מסוגו בנושא הגנת הפרטיות ואבטחת מידע של ​הרשות להגנת הפרטיות ואיגוד הדירקטורים​.

עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות התריע בכנס על קריסת עסקים שלא יעמדו ברגולציה ולא יאבטחו את עצמם נגד תקיפות סייבר. עוד הוסיף ואמר שיש להעלות את תחום הפיקוח על אבטחת מידע לרף של הדירקטוריון, שצריך לגלות ערנות ומודעות לתקנות אבטחת מידע בחברה. זאת בעקבות הנחיה חדשה צפויה של הרשות בעניין תפקיד הדירקטוריון בקיום חובות תאגיד בקשר לתקנות אבטחת מידע, הנחיה שמעוררת הדים וחששות בקרב דירקטורים רבים במשק הישראלי.

בטיוטת ההנחיה מציינת הרשות כי הדירקטוריון הוא האורגן המתאים להבטיח את קיומם של תהליכי פיקוח, בקרה, ציות, ודיווח על ביצוע דרישות התקנות, ולקבוע החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים; בין השאר באמצעות מעורבות ישירה של הדירקטוריון בביצוע מקצת הפעולות הנדרשות לפי התקנות, שהן בעלות אופי פיקוחי.

עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו- AI במשרד ליפא מאיר ושות', בירכה על קיום הדיאלוג הפתוח של הרשות להגנת הפרטיות עם הציבור טרם פרסום ההנחיה, ופרשה בפני קהל המשתתפים ובכירי הרשות, קשיים שעולים בראייתה מנוסח טיוטת ההנחיה של הרשות, מזווית מבטו של הדירקטוריון.

לדבריה, "צריך להבין, שבמציאות הנוכחית, ההנחיה צפויה כפי הנראה, לחול על ארגונים רבים במשק. אנחנו מבינים שדירקטורים מתווים אסטרטגיה וניהול סיכונים בחברות, וסייבר הוא אחד מהסיכונים שצריך להתייחס אליו. במובן זה, הנחיית הרשות מסייעת בהעלאת מודעות הדירקטוריון ובמתן כלים למימוש תפקידו. עם זאת, מנוסח הטיוטה שהובא בפני הציבור, עולה החשש כי קיימת דרישה מהדירקטורים להפוך מגורם מפקח לדרג ביצועי. הדרישה הזו עלולה לעורר קושי רב, לדוגמא: האם דירקטור שייעודו להתוות מדיניות ואסטרטגיה ולפקח על הדרג המבצע, הוא זה שיידרש לאשר את מסמך הגדרות מאגר המידע של החברה?"

עו"ד זליכה הדגישה כי בראייתה, לא תהיה לדירקטורים הסתייגות לבצע את תפקידם כגורם שמפקח על מסמך הגדרות מאגרי המידע של החברה, כל עוד אכן מדובר בתפקיד פיקוחי.

עו"ד זליכה התייחסה גם לחשש מפני האחריות הרובצת על כתפי הדירקטורים לתיקון ליקויי אבטחת מידע. "העובדה שהדירקטוריון נדרש להיות מיודע ולפקח על נוהלי האבטחה בחברה, תוך גילוי פרו-אקטיביות בפיקוח על סקרי סיכונים בארגון, אין משמעה כי הדירקטוריון צריך לשאת באחריות "בעל מאגר" לפי התקנות בהקשר זה. לדעתי, הדירקטור צריך להיות מעורב ולהכיר ליקויים שאותרו בסקרי סיכונים, כמו גם לפקח על כך שנמצאו הדרכים לפתרון ליקויים באבטחת המידע, אבל האחריות לאיתור פתרונות לליקויים, מוטלת על הדרג הניהולי הבכיר. הקושי הוא בדרישת הרשות שאומרת לדירקטור שהוא נושא בחובה ישירה ליישום התקנות בהיבט זה, אם תאומץ ההנחיה החדשה כפי שפורסמה כטיוטה".

עו"ד זליכה ציינה עוד, כי "יש לקחת בחשבון כי במגזרים מסוימים (כגון בריאות, פיננסים וביטוח), קיימת רגולציית אבטחת מידע וסייבר הקובעת את תפקידי הדירקטוריון, ורצוי להימנע מכפילויות או חוסר התאמה למול רגולציה קיימת כזו".

דירקטורים ודירקטוריות שלקחו חלק באירוע, העלו את החשש כי ההנחיה החדשה עלולה להשית על הדירקטוריון תפקידי ביצוע, ולכן עלולה שלא להיות ישימה, כשבה בעת קיימת חשיפה לסנקציות רגולטוריות.

דירקטורית מכהנת שביקשה להישאר בעילום שם מסבירה את הבעייתיות: "ההנחיה החדשה מטשטשת את האחריות המוגדרת גם בחוק החברות בין האורגנים של החברה. מחד, היא מטילה אחריות על הדירקטוריון, שאינה מוגדרת בתחומי האחריות שלו בחוק, ומאידך, היא מורידה אחריות מהנהלת החברה".

לדבריה, "בקשה לדירקטוריון לאשר מסמך שאין לו הבנה משמעותית בו, אינה יעילה, ומסוכנת הן לחברה והן למאשרים, בהשוואה לבקשה לאישור דוחות כספיים ע"י הדירקטוריון. הליך מובנה שמחייב דירקטורים בעלי מומחיות פיננסית, ועדת מאזן טרום אישור, ובעיקר אישור רואה חשבון מבקר כי הדוחות מוצגים בהתאם לכללים, וכמובן בוקרו /סוקרו על ידו. ללא מנגנון דומה, לא ברור כיצד דירקטוריון יכול לאשר מסמך שאין לו הבנה מקצועית בפרטיו."

יפעת גודינר, סמנכ"לית מערכות מידע ב OPC Energy, ודירקטורית בשירותי בריאות כללית מוסיפה: "הגבול העדין בין אחריות הדירקטוריון על הגנת הפרטיות בארגון ובין יכולתו לאשר ולפקח על מסמכים טכניים כמו נהלי אבטחת מידע, סקרי סיכונים, ובדיקות חדירה, יוצר מציאות בה לדירקטוריון אין כיום כלים מקצועיים לבצע זאת. זה לא רק עניין של הבנה אסטרטגית אלא גם של ידע ומומחיות טכנולוגיים. אני מודה לרשות להגנת הפרטיות בהקשבה לדירקטורים ביחס להסתגלות החוק לעידן הדיגיטלי, זהו צעד מכריע להצלחת התהליך. כדי להבטיח שדירקטוריון יפעל באופן יעיל ואחראי, מהותי בעיני לקדם מינוי חברי דירקטוריון מומחים בעולמות הטכנולוגיים, הדיגיטל וסייבר, שיביאו את נקודת המבט הטכנולוגית הנדרשת לקבלת החלטות מושכלות".

יו"ר פורום הסייבר באיגוד הדירקטורים, יובל שגב הדגיש את החשיבות של "לדעת לשאול את השאלות הקשות", ולא לקבל את דברי ההנחיה כחובת ציות גרידא. שני אירועי דלף המידע המשמעותיים שאירעו בפברואר האחרון בישראל הינם פיגוע פרטיות, שיכול היה להימנע בקלות לו היו נשאלות השאלות הנכונות. עוד ציין יובל, כי אם אכן תעבור התקנה, איגוד הדירקטורים יערך בהקדם ויעמיד לרשות החברים הכשרות מקצועיות אשר יספקו להם כלים מעשיים ליישם את הדרישות החדשות.

מנכ"לית איגוד הדירקטורים, הגב' הדר צופיוף הכהן הביעה חששות מהפרשנות של חוק החברות המוצעת במסמך ועל הפגיעה האפשרית הקיימת בממשל התאגידי ככל והטיוטה תאושר ללא השינויים הרלוונטיים, עוד ציינה כי האיגוד ימשיך במשימתו לקיים מפגשים מסוג זה על מנת לאפשר לדירקטורים סביבה נוחה להשמעת קולם של דירקטורים ודירקטוריות הן בעת גיבוש חקיקה או הנחיות חדשות והן בהצעות ייעול מהשטח לקידום שוק שקוף, אמין ובטוח.