בחברה שעיבוד מידע מצוי בליבת פעילותה או שפעילותה יוצרת סיכון מוגבר לפרטיות, מוטלת על הדירקטוריון חובה לפקח על ציות החברה להוראות חוק הגנת הפרטיות ולתקנות מכוחו. זו עמדת הרשות להגנת הפרטיות כפי שמשתקפת ממסמך ההנחיה הסופי שפרסמה בנושא, בעקבות הערות הציבור לטיוטה שפורסמה אשתקד.
לשיטת הרשות, אף שתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, אינן קובעות במפורש את זהות אורגן החברה האמון על ביצוע הוראותיהן בפועל, פרשנות תכליתית שלהן בשילוב עם דיני התאגידים מחייבת כי האחריות לביצוע חובות שהן פיקוחיות באופיין תוטל על הדירקטוריון. לפי ההנחיה, על הדירקטוריון לוודא שהחברה מגבשת, מאמצת ומיישמת מסמכי מדיניות הנוגעים להוראות החוק והתקנות, לרבות אופן השימוש במידע אישי בחברה ודיווח לרשות על אירועי אבטחת מידע, ומגדירה את בעלי התפקידים האחראים ליישומם. בנוסף, על הדירקטוריון לקבוע תהליכי פיקוח, בקרה וציות אפקטיביים ולבצע את הפיקוח השוטף בפועל.
בבחינת השאלה האם עיבוד מידע אישי מצוי בליבת הפעילות של חברה או שפעילותה יוצרת סיכון מוגבר לפרטיות, יש להתייחס לכמה גורמים. ראשית, מאפייני הארגון. כך למשל, חברה העוסקת בסחר מידע היא חברה שפעילותה יוצרת סיכון מוגבר לפרטיות. שנית, סוג המידע המועבד על ידי החברה ומידת רגישותו. ולבסוף, היקף המידע ומספר מורשי הגישה אליו. אם, בעקבות בחינה כאמור, החברה הגיעה למסקנה שעיבוד המידע האישי מצוי בליבת פעילותה או שפעילותה יוצרת סיכון מוגבר לפרטיות, אזי דירקטוריון החברה יהיה אחראי לפיקוח השוטף על הציות להוראות החוק והתקנות כאמור. זאת, מבלי לפגוע באחריות של מנכ"ל החברה, ההנהלה או כל גורם אחר שהוסמך בדין או בתקנון החברה לבצע את חובות האבטחה, לביצוען בפועל.
לגישת הרשות, הדירקטוריון יהיה אחראי למילוי חובות האבטחה הבאות, בין השאר:
- קיום דיון במסמך הגדרות המאגר של מאגרי המידע של החברה טרם קבלת נוסחו הסופי, בהתאם לתקנה 2(א).
- קיום דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני בטרם אישורו הסופי, בהתאם לתקנות 3(2) ו-4(א).
- קיום דיון בתוצאות סקרי הסיכונים ומבדקי חדירות שהחברה קיימה ובפעולות הנדרשות לתיקון הליקויים שהתגלו, בהתאם לתקנות 5(ג)-(ד).
- קיום דיון רבעוני או שנתי (בהתאם לרמת האבטחה הרלוונטית) באירועי אבטחת המידע שהתרחשו בארגון, בהתאם לתקנה 11(ג).
- קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בהוראות התקנות, בהתאם לתקנה 16(ג).
עם זאת, הרשות מבהירה כי במקרים המתאימים ובשים לב למידת הסיכון לפרטיות הכרוך בפעילות החברה, לגודלה ולהרכב הדירקטוריון, רשאי הדירקטוריון לבחור להאציל את תחומי האחריות שלעיל לגורם אחר בחברה. אם האציל סמכויותיו לגורם אחר, יהיה הדירקטוריון אחראי לפקח על ביצוען ולתעד את הנימוקים שהנחו אותו בהחלטתו.