Contents

הנחיית הרשות להגנת הפרטיות מס 1/2024 שכל דירקטוריון נדרש להכיר 

תקנות הגנת הפרטיות הישראליות קובעות שורה של חובות ופעולות אשר בעלי מאגרי מידע, מחזיק במאגר ומנהלו נדרשים לבצע בכדי לקיים את האחריות המוטלת עליהם לפי סעיף 17 לחוק הגנת הפרטיות. עם זאת, ההנחיות החדשות קובעות גם דרישות חדשות מהדירקטוריון שעל כל דירקטור להכיר.

אילו חברות נדרשות לעמוד בהתאם להנחיה:

בחברה אשר עיבוד מידע אישי מצוי בליבת הפעילות שלה, או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפרטיות, עמדת הרשות היא שעל דירקטוריון החברה מוטלת חובה לפקח על ציות החברה לחוק ולתקנות בהתאם לעקרונות שלהלן. באחריות הדירקטוריון לוודא גיבוש, אימוץ ויישום של מדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה.

מה נדרש מהדירקטוריון:

  • הגדרת דיווח מידי לרשות הגנת הפרטיות על אירועי דלף מידע.
  • הגדרת ניטור אופן וצורת השימוש במידע שהחברה שומרת במאגריה.
  • הגדרת מדיניות החברה על ביצוע תפקידי המנהל הכללי ופעולתו בתחום הגנת הפרטיות. 
  • הגדרה והטמעה של קיום תהליכי פיקוח, בקרה וציות אפקטיביים. 
  • תיעוד הפעולות המתקיימות לפעולות בהם החברה נוקטת להגנת מאגרי המידע והפרטיות.

להלן שלבי העבודה המומלצים לעמידה באחריות זו:

  1. גיבוש נוהל דיווח אודות אירוע דלף מידע וקיום דיון תקופתי של אירועי אבטחת מידע.
  2. הגדרות מסמך מאגר מידע החברה ואישורו בדירקטוריון.
  3. קיום דיון בעקרונות המרכזיים בנוהל אבטחת המידע בטרם אישורו.
  4. ביצוע סקר סיכונים ומבדקי חדירות.
  5. תיקון ליקויים במידה והתגלו בעקבות ביצוע סקרי סיכונים ומבדקי החדירות.
  6. קיום דיונים בתוצאות סקרי סיכונים, מבדקי חדירות וביקורת תקופתית.
  7. קיום דיון רבעוני/שנתי בהתאם לרמת האבטחה של המאגר לפי התקנות.
  8. ביצוע ביקורת תקופתית אחת לשנתיים לפחות.

לקריאת הנחיית הרשות להגנת הפרטיות 1/2024 לחץ/י כאן