המאמר שלפניכם הוא השני בסדרה מקצועית על השלכות תיקון 13 לעולם העסקי. לאחר שעסקנו בקשר שבין החוק לבין ביטוח סייבר, הפעם נתמקד בדירקטורים ובנושאי משרה – ובאחריות האישית המוטלת עליהם.
אחריות ניהולית בעולם של פרטיות ואבטחת מידע
בעידן של תיקון 13, הרגולציה לא מבדילה בין מי "שבאמת נגע במידע" ובין מי ש"אישר את התקציב" או "ישב בישיבה". ההנחה היא שנושאי משרה צריכים לנהל את סיכוני הפרטיות והאבטחה באופן אקטיבי.
כמה דוגמאות לאחריות ניהולית בפועל:
- לא מונה ממונה על הגנת פרטיות (DPO), למרות שהחוק מחייב
- החברה מחזיקה מאגר מידע רגיש ולא עדכנה את הנהלים בהתאם
- לא בוצעה הדרכה לעובדים בנושא פרטיות למרות דרישת החוק
- נושאי המשרה לא הקצו משאבים לטיפול בפרצת מידע שהתגלתה
לפי החוק, גם עצימת עיניים או מחדל ניהולי יכולים להיחשב כהפרת חובה ולהוביל לחשיפה אישית.
אחריות נושאי משרה לפי סוג הארגון
אף שכולם כפופים לתיקון 13, ישנם גופים שבהם החשיפה של הדירקטורים ונושאי המשרה משמעותית יותר, מסיבות מבניות או רגולטוריות:
חברות ציבוריות
דירקטורים כפופים לכללי ממשל תאגידי, והם נדרשים לנהל גם את תחום סיכוני הפרטיות. כשל במעקב אחר עמידת החברה בהוראות החוק עלול להוביל לתביעה נגזרת מצד בעלי מניות או לחשיפה רגולטורית.
עמותות ומלכ"רים
מוסדות ללא כוונת רווח מחזיקים לא אחת מידע רגיש מאוד: תורמים, נתמכים, חולים, תלמידים. לעיתים קרובות אין להם מחלקת פרטיות ייעודית, אך הדרישות חלות עליהם במלואן. במוסדות כאלו, האחריות של המנכ"ל או חברי הוועד המנהל מוחשית מאוד.
מוסדות חינוך, בריאות ורשויות מקומיות
היקפי המידע הרגיש והעובדה שמדובר בגופים ציבוריים הופכים כל תקלה בתחום הזה לנפיצה במיוחד. לרוב, גם ציבור המשתמשים וגם רגולטורים מגלים עניין רב בהפרות פרטיות בגופים כאלה.
חברות טכנולוגיה ו-SaaS
חברות אלה מעבדות מידע של צדדים שלישיים (לקוחות קצה) ולעיתים שותפות לעיבוד יחד עם גופים אחרים. האחריות המשפטית על הדירקטורים כוללת גם אחריות למודל העסקי והטכנולוגי.
מתי דירקטור או נושא משרה עלול להיתבע?
הנה מספר מצבים בהם נושאי משרה עשויים להיחשף להליכים משפטיים:
- תביעה ייצוגית: לקוח מגלה כי המידע האישי שלו נחשף ומגיש בקשה לתביעה ייצוגית על עשרות או מאות אלפי משתמשים.
- תביעה נגזרת: בעלי מניות טוענים שהדירקטוריון לא נקט צעדים למנוע חשיפה מיותרת, למרות התרעות פנימיות.
- בירור רגולטורי: הרשות להגנת הפרטיות דורשת מהנהלת החברה להסביר מדוע לא עודכנו נהלים או לא מונה ממונה.
- אחריות משנית: במקרים בהם ההפרה נעשתה ע"י גוף אחר (ספק שירותים), אך ההנהלה לא פיקחה כראוי על ההתקשרות.
איפה נכנס ביטוח דירקטורים ונושאי משרה (D&O)?
ביטוח D&O נועד להגן על נושאי משרה מתביעות הקשורות לפעילותם בתפקיד. תיקון 13 מוסיף שכבת סיכון חדשה שיש לוודא שהיא אכן נכללת בכיסוי.
מה חשוב לבדוק בפוליסה?
- האם קיימת התייחסות מפורשת להפרות של חוקי פרטיות?
- האם הכיסוי כולל תביעות ייצוגיות, גם כשאין נזק מוכח?
- האם הפוליסה מכסה עלויות ייעוץ, חקירה ותגובה מול רגולטור?
רבים מנושאי המשרה מופתעים לגלות שפוליסת D&O ישנה או בסיסית אינה כוללת את כל אלה. לכן חשוב לבצע התאמה עדכנית לעידן של רגולציית פרטיות מתקדמת.
גם אחריות אישית צריכה אסטרטגיית הגנה
תיקון 13 הוא לא רק עניין של יועץ משפטי או איש IT. זו רגולציה שמגדירה מחדש מהי אחריות ניהולית, ומחייבת כל דירקטור ומנהל בחשיבה מחודשת על תפקידו.
אם אתם יושבים בהנהלה, חברים בוועד מנהל, או לוקחים חלק בדירקטוריון – חשוב לוודא שהגנת הפרטיות נמצאת אצלכם על סדר היום. כי ברגע האמת, גם חוסר מעש עלול להיחשב להפרה.
תחום המידע, גם הנהלת הארגון נמצאת תחת אחריות ישירה. לא מדובר רק בהחלטות של אנשי טכנולוגיה או משפט, אלא בהחלטות ניהוליות שיכולות לקבוע האם הארגון יעמוד בדרישות החוק או ייחשף לקנסות ותביעות.
המאמר שלפניכם הוא השני בסדרה מקצועית על השלכות תיקון 13 לעולם העסקי. לאחר שעסקנו בקשר שבין החוק לבין ביטוח סייבר, הפעם נתמקד בדירקטורים ובנושאי משרה – ובאחריות האישית המוטלת עליהם.
אחריות ניהולית בעולם של פרטיות ואבטחת מידע
בעידן של תיקון 13, הרגולציה לא מבדילה בין מי "שבאמת נגע במידע" ובין מי ש"אישר את התקציב" או "ישב בישיבה". ההנחה היא שנושאי משרה צריכים לנהל את סיכוני הפרטיות והאבטחה באופן אקטיבי.
כמה דוגמאות לאחריות ניהולית בפועל:
- לא מונה ממונה על הגנת פרטיות (DPO), למרות שהחוק מחייב
- החברה מחזיקה מאגר מידע רגיש ולא עדכנה את הנהלים בהתאם
- לא בוצעה הדרכה לעובדים בנושא פרטיות למרות דרישת החוק
- נושאי המשרה לא הקצו משאבים לטיפול בפרצת מידע שהתגלתה
לפי החוק, גם עצימת עיניים או מחדל ניהולי יכולים להיחשב כהפרת חובה ולהוביל לחשיפה אישית.
מתי דירקטור או נושא משרה עלול להיתבע?
הנה מספר מצבים בהם נושאי משרה עשויים להיחשף להליכים משפטיים:
- תביעה ייצוגית: לקוח מגלה כי המידע האישי שלו נחשף ומגיש בקשה לתביעה ייצוגית על עשרות או מאות אלפי משתמשים.
- תביעה נגזרת: בעלי מניות טוענים שהדירקטוריון לא נקט צעדים למנוע חשיפה מיותרת, למרות התרעות פנימיות.
- בירור רגולטורי: הרשות להגנת הפרטיות דורשת מהנהלת החברה להסביר מדוע לא עודכנו נהלים או לא מונה ממונה.
- אחריות משנית: במקרים בהם ההפרה נעשתה ע"י גוף אחר (ספק שירותים), אך ההנהלה לא פיקחה כראוי על ההתקשרות.
איפה נכנס ביטוח דירקטורים ונושאי משרה (D&O)?
ביטוח D&O נועד להגן על נושאי משרה מתביעות הקשורות לפעילותם בתפקיד. תיקון 13 מוסיף שכבת סיכון חדשה שיש לוודא שהיא אכן נכללת בכיסוי.
מה חשוב לבדוק בפוליסה?
- האם קיימת התייחסות מפורשת להפרות של חוקי פרטיות?
- האם הכיסוי כולל תביעות ייצוגיות, גם כשאין נזק מוכח?
- האם הפוליסה מכסה עלויות ייעוץ, חקירה ותגובה מול רגולטור?
רבים מנושאי המשרה מופתעים לגלות שפוליסת D&O ישנה או בסיסית אינה כוללת את כל אלה. לכן חשוב לבצע התאמה עדכנית לעידן של רגולציית פרטיות מתקדמת.
במאמר הבא בסדרה: נצלול לעולם הרגיש ביותר של המידע – תחום הבריאות והפארמה. מה נדרש ממוסדות רפואיים, קופות חולים וחברות פארמה לפי תיקון 13?