על דירקטוריון חברה מוטלת האחריות להחליט מי האחראים בחברה לקיים את דרישות אבטחת המידע שבתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 - לרבות דיווח מיידי במקרה של אירוע אבטחת מידע; יישום הליכי פיקוח, בקרה וציות; וחובת עדכון ודיווח על ביצוע התקנות. כך מפרטת הרשות להגנת הפרטיות במשרד המשפטים, בטיוטת הנחיה שפרסמה אתמול (10.9.2023) בנושא "תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע)".
ההנחיה מפרטת כי התקנות מטילות שורה של חובות שעל תאגיד (שהוא בעל מאגרי מידע או מחזיק במאגר מידע) לבצע בכדי לקיים את האחריות המוטלת עליו לפי חוק הגנת הפרטיות והתקנות. ההנחיה תחול על חברות שעיבוד מידע אישי מצוי בליבת פעילותן, וכן על חברות שפעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות - וזאת בשל מאפייני הארגון, סוג המידע שהוא מעבד, היקף המידע, או מספר מורשי הגישה אליו. ההנחיה מתבססת בין היתר על עקרונות הממשל התאגידי וחלוקת התפקידים בין האורגנים בתאגיד ובהתאם לכך נקבע כי הדירקטוריון הוא הגורם המתאים והיעיל להחליט על האחראים לביצוע דרישות התקנות. דרישות התקנות מתייחסות בין היתר ליישום תהליכי פיקוח ובקרה בחברה, קבלת החלטות מדיניות בחברה בדבר אופן השימוש במידע אישי וניהולו בנושאים מהותיים. הציבור הרחב רשאי להעביר התייחסות לטיוטת ההנחיה עד ליום 22.10.2023.