ראש הרשות להגנת הפרטיות עו"ד גלעד סממה דיבר השבוע בדיון פתוח שהובילה הרשות להגנת הפרטיות עם איגוד הדירקטורים, לגבי הנחיה חדשה של הרשות בעניין תפקיד הדירקטוריון בקיום חובות תאגיד בקשר לתקנות הגנת הפרטיות (אבטחת מידע), שמעוררת שיח ולצידו חששות בקרב דירקטורים במשק הישראלי: "מתחילת מלחמת חרבות ברזל אנחנו רואים גידול של פי שלושה בתקיפות סייבר חמורות נגד חברות ישראליות. גם טרם המלחמה מצב אבטחת המידע בחברות לא היה טוב, ולכן על החברות והארגונים לשים דגש ביתר שאת על הציות לפי חוק הגנת הפרטיות ותקנותיו (אבטחת מידע) בתקופה הנוכחית. חברה שלא מאבטחת ולא עומדת בהוראות הרגולציה של הגנת הפרטיות, מעמידה את עצמה בסכנה של ממש עד כדי איבוד נכסיה וקריסתה".
בטיוטת ההנחיה שפורסמה להערות הציבור בחודש ספטמבר, מציינת הרשות כי הדירקטוריון הוא האורגן המתאים להבטיח את קיומם של תהליכי פיקוח, בקרה, ציות ודיווח על ביצוע דרישות התקנות, ולקבוע החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה וניהולו בנושאים מהותיים; בין השאר באמצעות מעורבות ישירה של הדירקטוריון בביצוע מקצת הפעולות הנדרשות לפי התקנות, שהן בעלות אופי פיקוחי.
לדברי עו"ד סממה, "יש להעלות את תחום הפיקוח על אבטחת מידע גם לחבר הדירקטוריון שצריך לגלות ערנות ומודעות לעמידה ברגולציית תקנות אבטחת מידע בחברה. מדובר בהנחיה מחייבת ולא בהמלצה, והיא ממוקדת לחברות וארגונים שתחום עיבוד המידע מצוי בליבת פעילותם, או שקיים סיכון משמעותי להגנת הפרטיות באותן חברות. כרגע מדובר בטיוטה ואנחנו מאפשרים לציבור להתייחס להנחיה ולהיערך אליה בהתאם. המטרה שלנו היא לייצר הנחיה מדויקת למשק, ומצד שני חשוב להבין שהגיע הזמן להעלות את רף אבטחת המידע בחברות".
דירקטורים ודירקטוריות שלקחו חלק באירוע, העלו את החשש כי ההנחיה החדשה עלולה להשית על הדירקטוריון תפקידי ביצוע, ולכן עלולה שלא להיות ישימה, כשבה בעת קיימת חשיפה לסנקציות רגולטוריות.
עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו-AI במשרד ליפא מאיר ושות', בירכה על קיום הדיאלוג הפתוח של הרשות להגנת הפרטיות עם הציבור טרם פרסום ההנחיה, ופרשה בפני קהל המשתתפים ובכירי הרשות, קשיים שעולים בראייתה מנוסח טיוטת ההנחיה של הרשות, מזווית מבטו של הדירקטוריון. לדבריה, "צריך להבין, שבמציאות הנוכחית, ההנחיה צפויה כפי הנראה, לחול על ארגונים רבים במשק. אנחנו מבינים שדירקטורים מתווים אסטרטגיה וניהול סיכונים בחברות, וסייבר הוא אחד מהסיכונים שצריך להתייחס אליו. במובן זה, הנחיית הרשות מסייעת בהעלאת מודעות הדירקטוריון ובמתן כלים למימוש תפקידו. עם זאת, מנוסח הטיוטה שהובא בפני הציבור, עולה החשש כי קיימת דרישה מהדירקטורים להפוך מגורם מפקח לדרג ביצועי. הדרישה הזו עלולה לעורר קושי רב, לדוגמא: האם דירקטור שייעודו להתוות מדיניות ואסטרטגיה ולפקח על הדרג המבצע, הוא זה שיידרש לאשר את מסמך הגדרות מאגר המידע של החברה? עו"ד זליכה הדגישה, כי בראייתה, לא תהיה לדירקטורים הסתייגות לבצע את תפקידם כגורם שמפקח על מסמך הגדרות מאגרי המידע של החברה, כל עוד אכן מדובר בתפקיד פיקוחי".
עו"ד זליכה התייחסה גם לחשש מפני האחריות הרובצת על כתפי הדירקטורים לתיקון ליקויי אבטחת מידע. "העובדה שהדירקטוריון נדרש להיות מיודע ולפקח על נוהלי האבטחה בחברה, תוך גילוי פרו-אקטיביות בפיקוח על סקרי סיכונים בארגון, אין משמעה כי הדירקטוריון צריך לשאת באחריות "בעל מאגר" לפי התקנות בהקשר זה. לדעתי, הדירקטור צריך להיות מעורב ולהכיר ליקויים שאותרו בסקרי סיכונים, כמו גם לפקח על כך שנמצאו הדרכים לפתרון ליקויים באבטחת המידע, אבל האחריות לאיתור פתרונות לליקויים, מוטלת על הדרג הניהולי הבכיר. הקושי הוא בדרישת הרשות שאומרת לדירקטור שהוא נושא בחובה ישירה ליישום התקנות בהיבט זה, אם תאומץ ההנחיה החדשה כפי שפורסמה כטיוטה".
עו"ד זליכה ציינה עוד, כי "יש לקחת בחשבון כי במגזרים מסוימים (כגון בריאות, פיננסים וביטוח), קיימת רגולציית אבטחת מידע וסייבר הקובעת את תפקידי הדירקטוריון, ורצוי להימנע מכפילויות או חוסר התאמה למול רגולציה קיימת כזו".
מנכ"לית איגוד הדירקטורים, הדר צופיוף הכהן הביעה חששות מהפרשנות של דיני החברות העולה מהמסמך, וביחס לפגיעה האפשרית בממשל התאגידי ככל שטיוטת ההנחיה תאושר ללא השינויים הרלוונטיים. עוד ציינה כי "האיגוד ימשיך במשימתו לקיים מפגשים מסוג זה על מנת לאפשר לדירקטורים סביבה נוחה להשמעת קולם של דירקטורים ודירקטוריות הן בעת גיבוש חקיקה או הנחיות חדשות והן בהצעות ייעול מהשטח לקידום שוק שקוף, אמין ובטוח".
עו"ד ניר גרסון, סגן היועמ"ש של הרשות להגנת הפרטיות ציין כי "הרשות בוחנת בקפידה את ההתייחסויות שקיבלה במסגרת השימוע ובמהלך מפגשים עם השוק, וכי תטמיע בטיוטת ההנחיה שינויים ככל הנדרש". עו"ד גרסון הדגיש כי "אין לרשות כוונה ליצור מבנה חדש של ממשל תאגידי בחברות, אלא רק להבהיר שמידת הפיקוח של הדירקטוריון על ציות לחובות אבטחת המידע צריכה להיות משמעותית ביחס ישר לעוצמת הסיכון לפרטיות הנשקפת מפעילות החברה".