וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

"חברות ישראליות שלא עומדות ברגולציית הגנת הפרטיות הופכות ליעד למתקפות סייבר"

עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות: "לאחר כניסת תיקון 13 לחוק לתוקף, בתיקים דומים לאלה שאנו מנהלים כיום כנגד חברות שביצעו הפרות פרטיות ואבטחת מידע, העיצומים הכספיים יעמדו על מיליוני שקלים"

מימין הדר כהן צופיוף גלעד סממה ורד זליכה ניר גרסון. דפנה כהן,
מימין הדר כהן צופיוף גלעד סממה ורד זליכה ניר גרסון/דפנה כהן

מניסיוננו, במקרים רבים מתקפות סייבר היו יכולות להימנע אילו חברות היו עומדות בתקנות הגנת הפרטיות (אבטחת מידע). לצערי, יש לא מעט חברות בישראל שלא הקפידו על עמידה ברגולציה של אבטחת המידע, בעיקר מכיוון שהסנקציות בגין ההפרות לא היו משמעותיות, והפכו ליעד למתקפות סייבר" כך אמר השבוע עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות. "אנו מעריכים שעם כניסתן של הסנקציות המעוגנות בתיקון לחוק לתוקף, חברות רבות יגבירו את המאמצים שלהן ויעלו את רף ההגנה על המידע האישי כדי לעמוד בדרישות הרגולציה".

את הדברים אמר עו"ד סממה בכנס של משרד עו"ד ליפא מאיר ואיגוד הדירקטורים שהתקיים השבוע, בנושא תיקון 13 לחוק הגנת הפרטיות שאושר בכנסת בחודש אוגוסט האחרון וכולל שינויים ועדכונים בחוק הגנת הפרטיות שלא עבר מתיחת פנים מזה כ-30 שנה. התיקון לחוק כולל, בין היתר, הרחבת סמכויות האכיפה של הרשות שיכללו מנגנון עיצומים כספיים בסכומים ניכרים גם על הפרה של תקנות הגנת הפרטיות (אבטחת מידע), חובת מינוי ממונה הגנת פרטיות בגופים ציבוריים וכאלה הסוחרים במידע אישי, קבלת צו שיפוטי להפסקת עיבוד מידע אישי על ידי חברות ועיגון סמכויות החקירה הפליליות של הרשות, והוא אף מצמצם את חובת הרישום של מאגרי מידע דיגיטליים ובמקרים מסוימים קובע במקומה חובת יידוע של הרשות במועד הקמת המאגר.

עו"ד סממה הוסיף כי "גולת הכותרת של התיקון לחוק הגנת הפרטיות היא למעשה תמחור מחדש של הפגיעה בזכות לפרטיות. בתיקים שתנהל הרשות לאחר כניסת התיקון לחוק לתוקף כנגד חברות שביצעו הפרות של החוק והתקנות, עשויים סכומי העיצומים הכספיים להגיע למיליוני שקלים. לכן, המשק חייב להיערך בהתאם לכניסתו לתוקף של התיקון לחוק, שכן השלכותיו יהיו נרחבות ומשמעותיות".

אחריות דירקטורים למניעת מתקפות סייבר

הכנס עסק גם בהנחיה חדשה שפרסמה לאחרונה הרשות להגנת הפרטיות בעניין אחריות הדירקטוריון בקיום החובות המנויות בתקנות הגנת הפרטיות (אבטחת מידע) ובכלל זה החובה לפקח ולוודא שהחברה עומדת בהוראות החוק והתקנות, לגבש מדיניות ארגונית בנושאים מהותיים בתחום ניהול המידע האישי, ולהיות מעורב במידה משמעותית בקיום מספר דרישות קונקרטיות של תקנות אבטחת המידע, לרבות בהכנת מסמך הגדרות המאגר.

עו"ד סממה ציין כי "הנחיית הרשות בנוגע לקיום חובות תקנות הגנת הפרטיות על ידי דירקטוריון החברה היא בת תוקף מיידי ותיאכף בתקופה הקרובה בהתאם לנסיבות כל מקרה. אין קשר בין תוקפה של הנחיה זו לכניסתו של תיקון 13 לחוק לתוקף. אני סבור כי דירקטוריון חברה שליבת העיסוק שלה היא עיבוד מידע אישי ושקיים סיכון לפרטיות לקוחותיה, חייב להיות מעורב באופן משמעותי בפיקוח ובקרה על קיום הוראות החוק והתקנות על מנת להגביר את רמת העמידה באבטחת המידע המנוהל על ידן."

עו"ד סממה הוסיף כי חשיבותה של הנחיית הרשות מתחדדת נוכח מצב אבטחת המידע בחברות, וביתר שאת לאור הגידול בתקיפות סייבר חמורות נגד חברות ישראליות מאז פרוץ המלחמה. לפיכך, קובעת ההנחיה כי בחברות בהן תחום עיבוד המידע מצוי בליבת פעילותן, או שקיים סיכון משמעותי להגנת הפרטיות, על דירקטוריון החברה להיות מעורב בהגנה על המידע האישי של לקוחות החברה ולשם כך צריך לקחת תפקיד משמעותי במילוי חלק מהוראות התקנות.

מימין עורכת הדין ורד זליכה ראש הרשות להגנת הפרטיות גלעד סממה. דפנה כהן,
מימין עורכת הדין ורד זליכה ראש הרשות להגנת הפרטיות גלעד סממה/דפנה כהן

עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו-AI במשרד ליפא מאיר ושות', התייחסה להשלכות הרוחביות של תיקון 13 לארגונים רבים במשק, וציינה כי "כחלק מההיערכות לכניסתו של התיקון לתוקף, ומהציות להוראות החוק, באפשרותם של ארגונים לנקוט כבר עתה, בשורה של צעדים להבטיח סגירת פערים למול דרישות החוק, ובין היתר: מיפוי סוגי המידע שבמאגריהם, בחינת הצורך במינוי בעלי תפקידים לפי החוק (ממונה הגנת פרטיות, ממונה אבטחת מידע); עדכון ההודעות ללקוחות בעת איסוף מידע; עדכון מדיניות פרטיות; קביעת תוכנית אכיפה פנימית ונהלים ארגוניים הולמים ועוד".

באשר להנחיה החדשה שפורסמה על ידי הרשות להגנת הפרטיות בנושא אחריות הדירקטוריון, ציינה עו"ד זליכה כי "בעקבות השיח שניהלנו בשיתוף איגוד הדירקטורים עם הרשות להגנת הפרטיות כחלק משמיעת הערות הציבור, הוטמעו שינויים מסוימים בהנחיה בנוסחה הסופי, בקשר להפרדה בין תפקידי הביצוע לבין התפקיד הפיקוחי השמור לדירקטוריון". לצד זאת ציינה עו"ד זליכה, כי "מדובר בהתפתחות משמעותית עבור דירקטוריונים שההנחיה תחול עליהם, כיוון שמעבר לתפקידי התוויית מדיניות ופיקוח, היא קובעת בין היתר דרישות ספציפיות מדירקטורים לפי התקנות, כגון דיון במסמך הגדרות המאגר". עוד ציינה עו"ד זליכה כי "מדובר באבן דרך משמעותית. הדבר עלול להוביל לחשיפה משפטית פוטנציאלית של הארגון, הן מזווית דיני הפרטיות והן מזווית דיני התאגידים, ככל שיימצא כי דירקטוריון לא עמד בהנחיה".

מנכ"לית איגוד הדירקטורים, הדר צופיוף-הכהן ציינה כי: "הפניית האחריות כלפי הדירקטוריונים בתחום זה היא משמעותית ואיגוד הדירקטורים בישראל יפעל בשיתוף פעולה עם הרשות ויסייע בהפצת ההנחיות ומתן כלים פרקטיים ליישומן. בנוגע לאכיפת המדיניות והסנקציות הצפויות, אמרה צופיוף כי "אנו סבורים כי הרשות להגנת הפרטיות צריכה להמשיך ולהשקיע בהסברה רחבה, על מנת שכלל הדירקטוריונים יהיו מודעים לדרישות ולעדכונים הרגולטוריים. אנו קוראים לכלל הדירקטוריונים לקחת את הנושא ברצינות הראויה, להעמיק בלימוד ההנחיות החדשות, ולפעול ליישומן בצורה מיטבית בארגונים אותם הם משרתים."

  • עוד באותו נושא:
  • סייבר

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    3
    walla_ssr_page_has_been_loaded_successfully