בתאריך ה-7 למאי, 2023 פורסמו ברשומות תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 (להלן: "התקנות").מטרתן העיקרית של התקנות היא לשמר את החלטת מועצת האיחוד האירופי בדבר רמת ההגנה שדיני הגנת המידע והפרטיות בישראל מספקים למידע אישי (“Adequacy Decision” או "ההחלטה"). ההחלטה כאמור, אפשרה מנגנון העברת המידע פשוט בין ישראל לאיחוד האירופי כאשר לפיו, בסופו של יום, לא נדרש מערך הסכמים מורכב לצורך הסדרת נושא העברת המידע לישראל, דבר שהיה כרוך בעלויות נוספות לארגונים שמקבלים מידע כאמור, בניהול משא ומתן עם מוסר המידע וכמובן בזמן יקר.
תחולת התקנות – משמעות רוחבית
התקנות החדשות כוללות מספר זכויות חדשות שעד כה לא הוכרו בדין הישראלי. התקנות החדשות יחולו:
א. רק על מידע שהועבר מהאזור הכלכלי האירופי, למעט מידע שהעביר במישרין אדם על אודות עצמו, ובנוסף –
ב. על כל מידע נוסף המצוי במאגר מידע בישראל אשר מצוי בו מידע כאמור בסעיף (א).
חשוב לחדד כי מקום בו נושא מידע (אדם מסוים; אינדיבידואל) מוסר באופן ישיר, ללא מעורבות צד שלישי, את המידע שלו לגורם בישראל – התקנות לא יחולו על העברה כאמור. נקודה נוספת וחשובה לא פחות – במידה והמידע שהתקבל מהאזור הכלכלי האירופי נשמר באותו מאגר מידע בישראל ביחד עם מידע אחר (למשל, מידע שנאסף על תושבי מדינת ישראל במהלך מתן השירותים בישראל), יש להעניק את הזכויות מכוח התקנות לכל מי שהמידע שלו כלול במאגר כאמור.
ייבוא זכויות ועקרונות המנויים ב-GDPR
בין הזכויות החדשות שהתקנות מעניקות והחובות שמטילות במצבים שתוארו לעיל, ניתן למנות את הזכות לדרוש את מחיקת המידע (The Right to be Forgotten) שנאסף על אדם מסוים; חובת הפעלת מנגנון ארגוני או טכנולוגי לצורך וידוא שמאגר המידע לא כולל מידע שאינו נחוץ (Data Minimization) וכן מנגנון כאמור לווידוא דיוק המידע (Data Accuracy).
לצד הזכויות לעיל, במידה והתקנות חלות, חלה על בעל מאגר המידע חובת יידוע שהיא רחבה יותר מזו המנויה בדין הישראלי. בעל מאגר המידע מחויב ליידע את האדם שעליו התקבל מידע מהאיחוד האירופי – במישרין או בעקיפין – על עצם קבלת המידע, לספק פרטים על מקבל המידע ודרכי יצירת קשר עימו, לפרט על מטרת העברת המידע וסוג המידע שהועבר, ולציין את קיומן של הזכויות שהוזכרו לעיל.
לצד מבחני התחולה נקבעו מספר סייגים (מצומצמים) למצבים בהם התקנות לא יחולו, במלואן או באופן חלקי (למשל, מצב בו המידע הועבר לגורם ביטחוני). כמו כן, גם החובה לאפשר לנושאי המידע לממש את זכויותיהם כפופה לסייגים מסוימים, שעולים בקנה אחד עם הסייגים המנויים בתקנות הגנת המידע של האיחוד האירופי ("GDPR"), ובפרט אלו המתייחסים לחובת היידוע (למשל כאשר יישומה מטיל נטל בלתי סביר).
מידע רגיש – הרחבת הגדרה
בעוד סעיף 7 לחוק הגנת הפרטיות תשמ"א – 1981 כולל הגדרה עמומה ל"מידע רגיש", התקנות הרחיבו הגדרה זו כאשר כללו בהגדרה מידע על מוצאו של אדם, ומידע על חברות בארגון עובדים. ברמה האופרטיבית, יש בהרחבת הגדרת "מידע רגיש" כדי להשפיע על קיומה של חובת הרישום שחלה על ארגונים מסוימים (ככל שחובה זו עודנה בתוקף), וכן על רמת אבטחת המידע שנקבעה למאגר המידע.
איך מתקדמים מכאן?
התקנות החדשות מכניסות למעשה "בדלת האחורית" זכויות שקיימות ב-GDPR – לדין הישראלי. בהתאם, אנו ממליצים לארגונים לבצע את הפעולות הבאות:
- מיפוי וסיווג המידע אשר מגיע למערכות הארגון והתהליכים שבמסגרתם מידע זה נאסף, תוך בחינה האם מידע כאמור כולל מידע מתחומי האזור הכלכלי האירופי.
- ככל שמתקבל מידע מתחומי האזור הכלכלי האירופי שהתקנות חלות עליו – בחינת האפשרות להפרדה בין מידע זה למידע שמקורו בישראל, כדי שהתקנות לא יחולו באופן רחב מהרצוי.
- אימוץ מדיניות ומנגנונים למימוש זכויות נושאי מידע וכן מנגנונים ארגוניים וטכנולוגיים לווידוא דיוק המידע ונחיצותו.
- בהמשך לבחינת סוגי המידע שבבעלות הארגון, בדיקת בעלות ב"מידע רגיש" ובהתאם הערכת החובות הנוספות שיתכן וחלות.
כניסתן התקנות לתוקף
התקנות יכנסו לתוקף באופן מדורג:
- לגבי מידע שהתקבל במאגר מידע בישראל החל מתאריך ה-8.5.2023 – התקנות יכנסו לתוקף שלושה חודשים מתאריך זה.
- באשר למידע שהתקבל במאגר לפני ה-8.5.2023 – התקנות יחולו שנה מתאריך זה.
- באשר למאגרים שיש בהם מידע מעורב (מידע שמקורו בישראל וגם מידע שהגיע האזור הכלכלי האירופי – ככל שהמידע אינו מופרד ונמצא במאגר מידע אחד), התקנות יחולו על כל המידע החל מתאריך 1.1.2025.
נשמח לעמוד לרשותכם בכל שאלה ומתן סיוע בבחינת הנושא וככל שיידרש יישום ההמלצות המפורטות.
בברכה,
פרקטיקת סייבר, מידע ופרטיות
שבלת ושות'
האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.
