אנחנו חיים בעיצומה של מהפכת מידע עולמית שמשנה את חיינו בקצב הולך ומתגבר. כל אדם המשתמש באמצעים טכנולוגיים שגרתיים (סלולרי, מחשב נייד, שעות חכם, רכב וכיו"ב). מידע אישי הפך לאחד המשאבים החיוניים ביותר לפעילות עסקית, אך גם למקור לסיכונים משמעותיים עבור ארגונים ולקוחות כאחד. ההתקדמות הטכנולוגית המואצת, לצד התגברות המודעות הציבורית לחשיבותה של הפרטיות, יוצרות מציאות מורכבת שבה כל פגיעה במידע אישי עלולה להוביל לנזקים כלכליים ותדמיתיים חמורים.
אם לא די באכיפה המתהדקת ומתגברת מצד גורמי האכיפה, משקיעים וצרכנים כאחד בוחנים כיום בקפידה את התנהלות החברה לרבות סטנדרטים של פרטיות באלה. מציאות זו מחייבת ארגונים לאמץ גישה פרואקטיבית ובלתי מתפשרת בכל הנוגע להגנה על המידע האישי המצוי ברשותם.
בתוך כך, חובת הדירקטוריון אינה מסתכמת עוד בניהול כללי, אלא מטילה אחריות ישירה לפקח על עמידת החברה בהוראות החוק והרגולציה החלות עליה.
הפסיקות מהשנים האחרונות קובעות באופן חד וחלק כי דירקטורים עלולים לשאת באחריות אישית לנזקים שנגרמו עקב אי-ציות לכללי הרגולציה, גם אם הם לא היו מעורבים באופן פעיל, במקרה של כשל מערכתי בפיקוח.
הגנת הפרטיות נחשבת כיום "משימה חיונית" להצלחה העסקית של ארגונים רבים, ולכן מעורבות הדירקטוריון בהיבטים אלו היא הכרחית, ומטרתה להגן על החברה ועל עצמם מפני סנקציות חמורות ותביעות יקרות.
חובת הפיקוח מצד נושאי משרה ודיקטורים
אחריותם האישית של דירקטורים אינה מוגבלת רק לפעולות של החברה שנבעו מהחלטות אקטיביות של הדירקטוריון. בשנות ה-90' החלה מגמה בבתי המשפט במדינת דלאוור בארצות הברית, אשר חדרה גם בבתי המשפט בישראל, המטילה על הדירקטוריון חובות פיקוח על פעילות החברה כחלק מניהולה התקין.[1]
בשנת 2006, אושרה בבית המשפט העליון של מדינת דלאוור "הלכת Caremark", המטילה על הדירקטוריון את החובה להבטיח את קיומה של מערכת פיקוח על פעילות החברה, תוך ביצוע פעולות פרואקטיביות מקדימות לניטור סיכונים ולפיקוח עליהם. לאורך השנים, הלכת Caremark אומצה על-ידי בתי המשפט המחוזיים בישראל, בהם נידונים מרבית התיקים הנוגעים לחובותיהם של נושאי משרה בתאגיד, ונפסק כי הדירקטוריון יישא באחריות לנזקים שנגרמו לחברה עקב הפרות דין, אף אם ההפרות נעשו ללא ידיעתו. זאת, אם נמצא כישלון שיטתי ומערכתי מצד הדירקטוריון במניעת אותן הפרות.[2]
לאור פסיקות בתי המשפט בשנים האחרונות, כיום דירקטורים של חברות הכפופות לדין הישראלי נדרשים לנקוט באמצעים לניטור ופיקוח פעילותה של החברה, ולהבטיח כי החברה מצייתת לרגולציות השונות. חובת פיקוח זו חלה בייחוד לגבי אותם הנושאים המוגדרים בתור "משימות חיוניות ביותר" להצלחת החברה.
כך למשל, חברה המחזיקה בישראל במפעל לייצור סוללות לרכבים חשמליים, חייבת לעמוד בהוראות דיני הגנת הסביבה. אם הדירקטוריון נמנע מיצירת מנגנון פנימי המאפשר לו לפקח כי עובדי המפעל אכן מצייתים לחוק, ולרוע המזל החברה נקנסה בעקבות חריגת המפעל מרף פליטת גזי החממה המותר לה, הדירקטורים עשויים למצוא עצמם עומדים בפני הליכים משפטיים אישיים – במישור האזרחי, המינהלי, ואף הפלילי – וזאת גם במידה וכלל לא ידעו כי המפעל אינו פועל כהלכה.
הדין בישראל מחייב את הדירקטוריון להבטיח באופן שוטף שהחברה עומדת ברגולציה החלה עליה. לכן, לא ניתן להסתפק בהקמת מערך פיקוח בלבד, אלא הדירקטוריון חייב להשתמש בו בפועל, לוודא את תקינותו, ולעדכן אותו במידת הצורך.
אם יתברר כי הדירקטוריון התעלם מדגלים אדומים שעלו ממנגנון הפיקוח, או שהקים במכוון מערך לוקה בחסר שאינו מתאים לפעילות החברה, למשל בכדי לחסוך בהוצאות התפעול, אזי שהדירקטורים חשופים לתביעות וסנקציות אישיות בשל הפרת חובתם כלפי החברה וחובות חוקיות נוספות.[3]
מעורבות הדירקטוריון בנושא הפרטיות בארגון
וכיצד כל זה שייך לפרטיות? ובכן, חוק הגנת הפרטיות[4] חל על כל ארגון המעבד מידע אישי. במידה והחברה אוספת מידע, משתמשת בו, שומרת אותו, או מבצעת פעולות שונות ביחס אליו, עליה לעמוד בהוראות חוק הגנת הפרטיות, התקנות והצווים שהותקנו מכוחו.[5]
בשנת 2024 פרסמה הרשות את הנחיה 1/2024 העוסקת בתפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "התקנות"). בהנחיה זו קבעה הרשות כי בחברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן, או חברות אשר פעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות, על הדירקטוריון לוודא את קיומה של מדיניות בדבר אופן הביצוע בחברה של דרישות חוק הגנת הפרטיות והתקנות מכוחו.
בין חובותיו לפי ההנחיה, על הדירקטוריון לקבוע מדיניות שתתייחס, בין היתר, לאופן עיבוד המידע האישי בחברה; תהליכי פיקוח, בקרה, וציות אפקטיביים; התמודדות עם אירועי אבטחת מידע, ודיווח מיידי לרשות בעת אירוע אבטחת מידע חמור.
בנוסף, ההנחיה מחייבת את הדיקרטוריון להיות מעורב בהיבטי הפרטיות ואבטחת המידע בארגון, ובכללם לקיים דיון במסמך הגדרות המאגר בטרם הגדרתו הסופית; לדון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני בטרם אישורו; לדון בתוצאות סקרי סיכונים ומבדקי חדירות, ובפעולות הנדרשות לתיקון הליקויים שהתגלו; לקיים דיון רבעוני או שנתי, בהתאם לרמת האבטחה החייבת במאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון; וכן לדון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, שיש לקיימה אחת לתקופה (בהתאם לסיווג מאגר המידע לפי התקנות).
עוד ההנחיה קובעת כי אפשר להאציל את הסמכויות הנדרשות למילוי משימות אלו לגורמים מקצועיים בארגון, אך על הדירקטוריון בלבד מוטלת החובה להבטיח את קיומו של מנגנון פיקוח יעיל ואפקטיבי על אותם הגורמים, במטרה לוודא שהחברה אינה מפרה את החוק.
לאור הפסיקה, הימנעות הדירקטוריון מפיקוח על היבטי פרטיות ואבטחת מידע בחברה, מקום שעיבוד מידע אישי מצוי בליבת פעילותה העסקית, עלולה להוביל לסנקציות מינהליות ופליליות אישיות כלפי הדירקטורים, וכן לחשוף אותם לתביעות נושאי משרה בגין נזקים שההפרות הסבו לחברה בדמות עיצומים כספיים משמעותיים, ועונשים אחרים.
סיכום
בעידן שבו הסיכונים הטכנולוגים והמודעות הציבורית לפרטיות גדלים בקצב מדהים, ישנה חשיבות עליונה למעורבות הדירקטוריון באותם הנושאים. הפרת הוראות חוק הגנת הפרטיות והתקנות מכוחו עשויה להסב נזק רב לחברה בדמות עיצומים כספיים ועונשים פליליים, אך גם בתביעות אזרחיות ובפגיעה קשה במוניטין החברה.
הדירקטורים, בתור האמונים על הכוונת החברה, עשויים אף הם לשאת באחריות אישית להפרות החוק. על כן, על הדירקטוריון לנקוט באמצעים מתאימים, יעילים ואפקטיביים לפיקוח על הפעילות השוטפת של החברה ולהבטיח את הציות לרגולציה החלה עליה, לרבות בתחומי הפרטיות ואבטחת המידע.
[1] In re Caremark International Inc. Derivative Litigation, 698 A 2d 959 Del. Ch 1996; Stone v. Ritter, 911 A. 2d 362 (Del. 2006);
[2] תנ"ג (כלכלית ת"א) 17044-12-14 אהרוני נ' בנק מזרחי טפחות בע"מ [פורסם בנבו] (11/05/2021) תנ"ג (חי') 64048-07-24 עמית גנסין חברת עורכי דין נ' בתי זקוק לנפט בע"מ, בפסקה 43 [פורסם בנבו] (13/07/2025).
[3] תנ"ג (כלכלית ת"א) 43733-04-24 עמית גנסין חברת עורכי דין נ' נטו מלינדה סחר בע"מ [פורסם בנבו] (03/02/2025).
[4] חוק הגנת הפרטיות, תשמ"א-1981
[5] כך לדוגמא, החברה נדרשת לאבטח כראוי את המידע, לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.