בעידן הדיגיטלי, נושאי אבטחת מידע והגנת הפרטיות הופכים להיות חלק בלתי נפרד מהאחריות הניהולית והמשפטית של הדירקטוריון בכל ארגון. בחודש ספטמבר 2023 הרשות להגנת הפרטיות בישראל פרסמה טיוטת הנחייה שכותרתה "תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע)" שמפרטת את החובות והאחריות של הדירקטוריון בנושאים אלו, על מנת לחדד את המעמד החוקי ואחריות הדירקטוריון בהגנה על מידע אישי ובאבטחת המידע שבידי הארגון.
הטיוטה משקפת את ההבנה כי אבטחת המידע אינה רק עניין טכני או עסקי, אלא גם עניין של ניהול ראוי ואחריות מוסרית וחוקית. בטיוטא מציעה הרשות כי הדירקטוריון, המהווה את הרמה האסטרטגית הגבוהה ביותר בארגון, נדרש לקחת חלק פעיל בקביעת מדיניות הארגון בנושאים אלו, להבטיח את יישומה ולפקח על הציות לה ובפועל קובעת כי באין סמכות אחרת הממונה לכך על ידי הארגון, הדירקטוריון הוא האחראי הבלעדי לחובות החלות על הארגון בנושאי הפרטיות ואבטחת המידע.
לפי ההנחייה, על הדירקטוריון לקבוע מי בארגון יהיו האחראים על ביצוע דרישות התקנות, ליישם תהליכי פיקוח ובקרה, ולקבל החלטות מדיניות בנוגע לשימוש וניהול המידע האישי. החלטות אלה כוללת, בין השאר, אישור מסמכי הגדרות מאגרים, אישור עקרונות אבטחת המידע, דיונים על תוצאות סקרי סיכונים, ובדיקות חדירות.
חשוב להדגיש שאחריות זו אינה מפחיתה מהאחריות המוטלת על מנכ"ל החברה, הנהלתה, או כל גורם אחר המוסמך לביצוע החובות לפי התקנות. הדירקטוריון נדרש להיות מעורב ומודע לסיכונים ולאסטרטגיות ההגנה, תוך שימוש במידע ובכלים הזמינים כדי להבטיח הגנה ראויה על פרטיות הלקוחות ואבטחת המידע שברשות הארגון.
המציאות הדיגיטלית והתפתחות טכנולוגיות חדשות מחייבות הכנה מצד ארגונים והכרה בחשיבות ההגנה על מידע אישי ואבטחת מידע. הדירקטוריון, בתפקידו המנהלי והאסטרטגי, מוצב כאן בחזית המאמץ לשמירה על פרטיות ואבטחת המידע.
מאחורי הקלעים, פועלים פורומים שונים כדי להפחית מעוצמת החובות הנובעות מטיוטא זו, שכן אם תפורסם כפי שהוצגה, היא תיצור הדים רבים בתעשייה ותחייב חברות רבות למנות מנהלי אבטחת מידע ופרטיות.
ימים יגידו האם הטיוטא החשובה הזו תצליח להגביר את רמת החשיבות שחברות וארגונים נותנים לנושאים האלה ולשמירה על המידע האישי של לקוחותיהם.
コメント