אתמול (7.5.23), פורסמו ברשומות תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023, אשר אושרו ב-23 באפריל על-ידי ועדת החוקה, חוק ומשפט של הכנסת (להלן: "התקנות").
התקנות הותקנו על רקע תהליך בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, לצורך בחינת חידוש מעמד התאימות (Adequacy) שניתן לישראל על-ידי האיחוד האירופי בשנת 2011, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנהוגה במדינות האזור הכלכלי האירופי. זאת, בין היתר, בעקבות כניסתן לתוקף בשנת 2018 של תקנות הגנת המידע של האיחוד האירופי (General Data Protection Regulation- GDPR). מעמד התאימות, אשר ניתן לקבוצה מצומצמת של מדינות מחוץ לאזור הכלכלי האירופי, מאפשר כיום העברת מידע אישי מהאזור הכלכלי האירופי לישראל, ללא צורך במחויבויות רגולטוריות נוספות מצד הגורם המעביר באזור הכלכלי האירופי או מצד הגורם המקבל את המידע בישראל, ונודעת לו משמעות כלכלית נרחבת למשק הישראלי, וכן חשיבות גדולה בהיבטי יחסי החוץ של מדינת ישראל.
התקנות החדשות מטילות ארבע חובות רגולטוריות על בעלים של "מאגר מידע" בישראל, כהגדרתו של מונח זה בחוק הגנת הפרטיות, תשמ"א-1981, אם המאגר כולל מידע שהועבר לישראל מהאזור הכלכלי האירופי. בעדכון זה נסקור את התקנות והחובות הכלולות בהן.
__
אתמול (7.5.23), פורסמו ברשומות תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023, אשר אושרו ב-23 באפריל על-ידי ועדת החוקה, חוק ומשפט של הכנסת (להלן: "התקנות").
כמפורט באתר האינטרנט של משרד המשפטים, התקנות הותקנו על רקע תהליך בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, לצורך בחינת חידוש מעמד התאימות (Adequacy) שניתן לישראל על-ידי האיחוד האירופי בשנת 2011, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנהוגה במדינות האזור הכלכלי האירופי. זאת, בין היתר, בעקבות כניסתן לתוקף בשנת 2018 של תקנות הגנת המידע של האיחוד האירופי (General Data Protection Regulation- GDPR) . מעמד התאימות, אשר ניתן לקבוצה מצומצמת של מדינות מחוץ לאזור הכלכלי האירופי, מאפשר כיום העברת מידע אישי מהאזור הכלכלי האירופי לישראל, ללא צורך במחויבויות רגולטוריות נוספות מצד הגורם המעביר באזור הכלכלי האירופי או מצד הגורם המקבל את המידע בישראל, ונודעת לו משמעות כלכלית נרחבת למשק הישראלי, וכן חשיבות גדולה בהיבטי יחסי החוץ של מדינת ישראל.
התקנות החדשות מטילות ארבע חובות רגולטוריות על בעלים של "מאגר מידע" בישראל, כהגדרתו של מונח זה בחוק הגנת הפרטיות, תשמ"א-1981[1] (להלן: "החוק"), אם מאגר המידע כולל מידע שהועבר לישראל מהאזור הכלכלי האירופי (מדינות החברות באיחוד האירופי וכן איסלנד, נורבגיה וליכטנשטיין (להלן: "אירופה")), למעט מידע שהעביר במישרין אדם על אודות עצמו. יובהר כי בעקבות הביקורת הציבורית שנשמעה עם פרסום טיוטת התקנות, התקנות הבהירו כי החובות הכלולות בהן יחולו ביחס לכלל המידע שמצוי במאגר המידע כאמור, ולא רק ביחס לחלק של המידע אשר הועבר מאירופה. קרי, החובות הכלולות בתקנות יחולו גם ביחס למידע על ישראלים או תושבי מדינות אחרות הכלול במאגר מידע כאמור. להלן, בתמצית, ארבעת החובות הרגולטוריות הכלולות בתקנות:
- חובת מחיקת מידע – לבקשתו הכתובה של נושא המידע, בעל מאגר מידע ימחק מידע על אודות נושא המידע, ובלבד שהמידע נוצר, התקבל, נצבר או נאסף בניגוד לדין או שהמשך השימוש בו מנוגד לדין, או שמידע זה אינו נחוץ עוד למטרות שלשמן נאסף. חובה זו כפופה למספר חריגים המתירים לבעל מאגר המידע לסרב לבקשת המחיקה אם בעל המאגר מצא כי השימוש במידע נדרש לצרכים מסוימים, למשל לצורך מימוש חופש הביטוי או מילוי חובה חוקית, ובמקרים כאמור בעל המאגר יהיה רשאי לעשות שימוש במידע לצרכים אלה בהיקף הנחוץ והמידתי לאותו צורך. עוד נקבע כי בעל מאגר מידע רשאי, חלף ביצוע המחיקה, לבצע פעולות המבטיחות שלא יתאפשר באמצעים סבירים לזהות את נושא המידע.
- הגבלת החזקת מידע שאינו נחוץ – בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק, או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין. יצוין כי אף חובה זו כפופה למספר חריגים המאפשרים המשך שימוש במידע לצרכים מסוימים המפורטים בתקנות, וכן נקבע כי היא אינה חלה לגבי מידע שבוצעו לגביו פעולות המבטיחות שלא יתאפשר באמצעים סבירים לזהות את נושא המידע.
- חובת דיוק מידע – בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן, כאשר במקרים בהם ימצא כי במאגר המידע מוחזק מידע שאינו עומדים בתנאים אלה, ינקוט אמצעים סבירים בנסיבות העניין לצורך תיקון או מחיקת המידע.
- חובות יידוע – בעל מאגר מידע שקיבל מידע על אודות אדם, יודיע לו, במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מאירופה, ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש ממועד קבלת המידע, על כל אלה: (1) זהות בעל מאגר המידע ומנהל המאגר, מענה ודרכי ההתקשרות עמם; (2) מטרת העברת המידע; (3) סוג המידע שהועבר; ו-(4) קיומן של זכויות נושאי המידע העומדות לו לפי החוק והתקנות. בנוסף, ככל שבעל המאגר מעונין להעביר את המידע לצדדים שלישיים, עליו לספק לנושא המידע מוקדם ככל האפשר ולכל המאוחר עם העברת המידע, את זהות ופרטי ההתקשרות של הצד שלישי או סוג הגורמים השלישיים אליהם יועבר המידע , וכן את שאר הפרטיים המנויים בסעיפים (2)-(4) לעיל. חובות היידוע כפופות למספר חריגים המתירים לבעל המאגר שלא למסור את הפרטים האמורים לנושא המידע, למשל כאשר לבעל מאגר המידע יש יסוד סביר להניח כי הפרטים האמורים כבר ידועים לנושא המידע, כאשר יישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל מאגר המידע (בשים לב לאפשרות להיעזר בגורם שממנו הועבר המידע), או אם חל איסור בדין על גילוי הפרטים.
תחולת התקנות הינה כדלקמן:
(א) ביחס למידע שיועבר מאירופה למאגר מידע בישראל החל מה- 7 במאי 2023 – התקנות יחולו החל מה-7 באוגוסט 2023;
(ב) ביחס למידע שהועבר מאירופה למאגר מידע בישראל לפני ה-7 במאי 2023 – התקנות יחולו החל מה- 7 במאי 2024;
(ג) ביחס למידע נוסף (קרי, מידע שלא הועבר לישראל מאירופה) שמצוי במאגר מידע הכולל מידע שהועבר לישראל מאירופה – התקנות יחולו החל מה- 1 בינואר 2025.
לעיון בנוסח התקנות המלא, ניתן להוריד את קובץ התקנות בלחיצה כאן.
לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות (בטלפון 03-6074588 או בדוא”ל ellat@gkh–law.com) או לעו"ד רועי לאור, שותף במחלקה (בטלפון 03-6074588 או בדוא”ל roeel@gkh–law.com).
[1] בשים לב שהתקנות מרחיבות את ההגדרה של מידע רגיש בהשוואה להגדרתו בחוק, כך שגם מידע על מוצאו של אדם ומידע על חברות בארגון עובדים ייחשב כמידע רגיש.
