עדכוני לקוחות

דיני פרטיות והגנת מידע / אפריל 2023

הכנסת אישרה את תקנות הגנת הפרטיות לעניין קבלת מידע מאירופה

בהמשך לעדכונים שהפצנו בתאריכים 14 ביולי 2022, ו-1.12.2022 על אודות התקנות המוצעות בנוגע להעברת מידע אישי מאירופה לישראל, ועדת חוקה חוק ומשפט של הכנסת, אישרה את נוסח התקנות בהתאם להוראות סעיף 36 לחוק הגנת הפרטיות תשמ”א.

בניגוד לנוסח אשר הוגש לשולחן הוועדה, לפיו הוראות התקנות יחולו רק על מידע שהתקבל מאירופה, התקבל נוסח בהסכמת הוועדה ושר המשפטים, לפיו תחולת התקנות, הכוללות חובות של מחיקת מידע, הגבלת החזקת מידע שאינו נחוץ, דיוק מידע, ויידוע נושאי מידע, יחולו גם ביחס לכל מידע הנמצא במאגר הכפוף לתקנות, ולא רק ביחס למידע שהתקבל מהאזור הכלכלי האירופאי.

נוסח רשמי יפורסם ברשומות לאחר יום העצמאות.

הוועדה דחקה במשרד המשפטים לפעול ביתר שאת לקידום “תיקון 15” לחוק הגנת הפרטיות, אשר צפוי לכלול רפורמה שלמה בתחום הגנת הפרטיות בישראל, ולעדכנה עם חקיקה מתקדמת בעולם, ולהתאימה לעידן הדיגיטלי.

הוראות עיקריות

  • חובת מחיקת מידע – על בעל מאגר מידע למחוק מידע לבקשתו הכתובה של נושא המידע, בהתקיים אחד מאלה: (א) המידע נוצר, התקבל, נצבר או נאסף בניגוד להוראות כל דין או שהמשך השימוש או החזקת המידע מנוגד להוראות כל דין. (ב) המידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף. חובה זו לא תחול בחריגים מסוימים, כגון מילוי חובה חוקית, או קיומו של אינטרס לגיטימי בהמשך שמירת המידע. כמו כן, בעל מאגר המידע רשאי להמשיך לעשות שימוש במידע, אם המידע הפך מותמם (אנונימי), קרי כאשר לא ניתן לחזור לאדם מסוים באמצעים סבירים, ובכך יתאפשר לבעלי מאגר להמשיך לעשות שימושים סטטיסטיים במידע, גם לאחר שהתבקשה מחיקתו.
  • הגבלת החזקת מידע שאינו נחוץ – בעל המאגר יפעיל מנגנון שיבטיח כי במאגר המידע לא קיים מידע שאינו נדרש למטרה שלשמה נאסף או הוחזק, או למטרה אחרת שלשמה מותר להחזיק את המידע לפי כל דין (זאת, למשל, באמצעות עריכת בדיקות תקופתיות). גם כאן יהיה ניתן להמשיך לעשות שימוש במידע מותמם.
  • חובת דיוק מידע – בעל מאגר מידע נדרש לקבוע מנגנונים שיבטיחו שהמידע יישאר שלם, נכון, ברור ומעודכן, ולעדכן או למחוק את המידע הלא עדכני.
  • חובת יידוע – על בעל מאגר שקיבל מידע אודות אדם, להודיע לו, במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע, ככל האפשר בסמוך לאחר קבלת המידע, ולכל המאוחר תוך חודש ממועד קבלת המידע, על כל אלה: (א) זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עמם; (ב) המטרה אשר לשמה נאסף המידע; (ג) סוג המידע שהועבר; (ד) קיומה של זכות מחיקה כאמור לעיל, זכות עיון לפי סעיף 13 לחוק, זכות לתיקון מידע לפי סעיף 14 לחוק. חובה זו לא תחול כאשר ביצועה כרוך בנטל לא סביר על בעל המאגר, או כאשר לבעל המאגר אין את פרטי ההתקשרות עם נושא המידע, או כאשר לבעל המאגר יסוד סביר להניח שנושא המידע מודע לזכויותיו ממילא.
  • מידע רגיש – חברות בארגון עובדים ומידע על מוצאו של אדם ייחשבו ל”מידע רגיש”.

תחולה
החל מהחצי השני של שנת 2024, התקנות יחולו על מאגרי מידע הכוללים מידע אישי בישראל אשר יתקבל, לא באופן ישיר מנושא המידע, מהאזור הכלכלי האירופי מהתאריך ה1.8.2023 (תאריך משוער) ביחס לכל המידע המוחזק במאגרים אלו, בין אם המידע התקבל מהאזור הכלכלי האירופאי ובין אם לאו. החל מהתאריך 1.1.2025 התקנות יחולו גם על מידע אשר התקבל במאגרי המידע טרם התקנת התקנות.

השלכותיה של החקיקה
כפי שציינו בעדכונים הקודמים בנושא, התקנת התקנות מהווה נדבך הכרחי לצורך שימור מעמד התאימות של מדינת ישראל ביחס לחוקי הגנת הפרטיות באירופה, ובכך לאפשר הזרמת מידע מאירופה.
לאור האמור, בעוד שכניסתן לתוקף של התקנות כרוכה בהטלת נטל מסוים על עסקים ישראלים, מדובר בנטל “רך” ביחס לעמידה בהוראות ייבוא המידע לפי הרגולציה האירופאית.

המלצות
לצורך וידוא כי ארגונכם ערוך לכניסתן לתוקף של התקנות החדשות, אנו מציעים את הקווים המנחים הבאים:

  1. ערכו מיפוי מלא של המידע האישי המגיע אל מערכות המידע של החברה, ובחינה האם ישנה העברת מידע מתחומי האזור הכלכלי האירופאי למאגר המידע של החברה.
  2.  ככל שמתקבל מידע מאירופה, מומלץ לבחון האם ניתן לשייך אותו לסוג מסוים של נושאי מידע, כגון לקוחות, עובדים או ספקים, ובכך להימנע מתחולת התקנות ביחס לכלל המידע האישי המוחזק על ידי החברה.
  3. ביצוע בחינה מחודשת של רישום מאגרי המידע של החברה אצל הרשות להגנת הפרטיות, ובשים לב לנושאי וסוגי המידע אותם מאגרי המידע כוללים, ובמידת האפשר, הפרדה במאגרי מידע שונים בין מידע אשר התקנות חלות עליו לבין מידע אחר .
  4. אמצו מדיניות ומנגנונים מתאימים למחיקת מידע, להגבלתו, לדיוקו, וליידוע נושאי מידע.
  5. בחנו האם הנכם מחזיקים במידע על אודות חברות בארגון עובדים ומוצאו של אדם, ונחיצותם לצורך פעילותכם העסקית.

בהמשך לאמור, אנו ממליצים להתייעץ עם צוות הפרטיות במשרד, כדי שנוכל להביא לכם את הפתרון המתאים ביותר עבורכם