כשהדירקטור נכנס לאטרף מכיוון שפרצו לך למאגר המידע
מאמרים מקצועיים

כשהדירקטור נכנס לאטרף מכיוון שפרצו לך למאגר המידע

נכתב על ידי

אסנת נתאי
10 אוקטובר 2024
הדפסה
PDF

באוקטובר 2021 בוצעה פריצה למספר מאגרי מידע ישראלים, כאשר המוכר מבניהם היה מאגר המידע של תוכנת ההיכרויות לקהילה הגאה, אטרף (המקבילה הישראלית לגריינדר, שתפס את מקומה עם קריסתה). ברגע אחד נחשף מידע אישי רגיש ביותר (לרבות פרטים חסויים ביותר, תמונות עירום, ועוד), ומשתמשים רבים (לרבות כאלה שטרם יצאו מהארון) נכנסו לאטרף (תרתי משמע), מהפחד שזהותם או פרטיהם ייחשפו. הפרשה הסתיימה לבסוף בחקירה מטעם הרשות להגנת הפרטיות בחשד של התרשלות באבטחת המידע אשר לא ידוע כיצד הסתיימה.

שנתיים וחצי לאחר מכן, בתחילת 2024, אפליקציית אטרף חזרה לחיים, וכמעט במקביל אליה גם הועבר תיקון 13 לחוק הגנת הפרטיות שהוראותיו נכנסות לתוקף בחודש אוגוסט, 2025, והוא מעדכן ומבהיר את החקיקה בתחום, תוך קביעת הסדרים חדשים ומתקדמים, והקניית כלי אכיפה יעילים בהתאמה לאתגרי העידן הדיגיטלי, מתוך כוונה להגביר את ההגנה על זכות היסוד לפרטיות וחיזוק ההתמודדות מול איומי הסייבר. התיקון מטיל אחריות על חברות בתחום שמירת הפרטיות והגברת הפיקוח על החזקה וסחר במאגרי מידע תוך הטלת עיצומים כספיים גבוהים במצב של הפרה והחוק גם יוצר אחריות אישית של דירקטורים ונושאי משרה. משמעות הדבר היא, שבחברה שאינה מקפידה בנושא הגנת הפרטיות של לקוחותיה עשויים דירקטורים ונושאי משרה להיות אחראים באופן אישי גם במישור האזרחי וגם במישור הפלילי.

התיקון גם מתקן עיוות היסטורי בחוק, שדרש בפועל כמעט מכל עסק קטן להחזיק ברישיון מאגר מידע (דרישה שבפועל כלל לא ניתנת הייתה לאכיפה). לאחר התיקון אין עוד צורך לרשום את מאגרי המידע הקטנים שבניהול עסקים, למעט מאגרים המנוהלים מתוך כוונה של סחר במידע. התיקון מעדכן ומדייק גם את השאלה של מה נחשב ל"מידע בעל רגישות מיוחדת", אשר לגביו קיימת חובת הודעה מפורטת לרשות לכל גודל מאגר, והכל תוך התאמה לסטנדרטים הבינלאומיים, לרבות רגולציית הגנת המידע של האיחוד האירופי (GDPR).

למרות שהחוק כיום לא קובע במפורש את זהות האורגן האמור לפקח על יישום הדרישות, נייר עמדה של הרשות להגנת הפרטיות מחודש ינואר 2024, קובע חובות מפורטות שהן באחריות דירקטוריון החברה ודורש מחברי הדירקטוריון לא רק להיות מעורבים בפיקוח והבקרה בתחום הגנת המידע אלא גם להעביר נוהל אבטחת המידע, לבצע סקרי סיכונים ולוודא שהמידע מוגן. עמדה זו של הרשות יוצרת בפועל סטנדרט זהירות לדירקטורים וחושפת את הדירקטורים לאחריות אישית באופן דומה לזה שנפסק, למשל, כבר ב1996 בבית המשפט של דלאוור, ארה"ב , שם בעלי מניות של חברת Caremark הגישו תביעה נגזרת נגד דירקטורים בטענה שלא הציבו מערכות בקרה פנימיות נאותות. באותו מקרה, בית המשפט האמריקאי קבע שחובת דירקטוריון החברה לדאוג להטמעת מערכות בקרה ושליטה לגבי ציות לתקנות הרגולטוריות ולפקח והפרת החובה תקים אחריות.
לאור האמור, חשוב ביותר בכל חברה המחזיקה מאגר מידע, כי יועבר נוהל אבטחת מידע מסודר ותכנית אכיפה פנימית אשר לא רק יוודאו את ההגנה על המידע אלא גם יגנו על דירקטורים ונושאי משרה במקרה של סיכון למידע. חשוב מאוד שנוהל כזה ותכנית האכיפה הפנימית ייבנו בשיתוף עם יועצים משפטיים בעלי הכרות עמוקה של התחום, אשר יהיו מעורבים גם בהליכי יישום התכנית ואכיפתה.