עדכוני לקוחות ופרסומים

דיני פרטיות והגנת מידע / דצמבר 2022

הגנת הפרטיות – פורסמו להערות הציבור טיוטת תקנות להעברת מידע אישי מהאזור הכלכלי האירופי לישראל

בהמשך לעדכון שהפצנו בתאריך 14 ביולי 2022, על אודות התקנות המתגבשות בנוגע להעברת מידע אישי מאירופה לישראל, משרד המשפטים פרסם אתמול (29.11.2022) טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי) להערות הציבור, וכן את מסמך בחינת ההשפעות הרגולטוריות (RIA) של התקנות הצפויות.

רקע

במסגרת הרגולציה הכללית להגנה על מידע באירופה (ה–GDPR), ועל מנת להבטיח כי מידע אשר חל עליו הGDPR יישמר בהתאם לסטנדרטים הקבועים בה, נקבעו מנגנונים אשר מגבילים העברת מידע מהאיחוד האירופי למדינות בהן רמת ההגנה על מידע אינה מספקת, כך שהעברת מידע אל אותן מדינות אפשרית רק בכפוף לקיומן של "בקרות מפצות" כגון התחייבויות חוזיות או במסגרת אמנה בין מדינתית. מוחרגים ממנגנונים אלו הינם גופים הפועלים מתוך מדינות אשר לגביהן החליט האיחוד האירופי כי רמת ההגנה על מידע בהן נמצאה תואמת לרמת ההגנה על מידע באזור הכלכלי האירופי.

תהליך בחינת ההחלטה מחדש

כפי שציינו בעדכון הקודם, הצורך בהתקנת תקנות בעניין מידע המגיע לישראל מתחומי האזור הכלכלי האירופי נעוץ בבחינה המחודשת של החלטת התאימות (Adequacy) אשר הוענקה לישראל בשנת 2011. בשנת 2018, 7 שנים לאחר שהתקבלה ההחלטה על התאימות הישראלית, הוחלט באיחוד האירופאי לבחון מחדש את מעמדן של המדינות שקיבלו תאימות לרבות ישראל, בשים לב לכניסתו לתוקף של ה-GDPR. בחינה זו, נמשכה מספר שנים. הסיבה לכך נעוצה, בין היתר, בהצהרות משרד המשפטים לפיהן הוא מעוניין להגיש הצעות חוק לתיקון, חיזוק ועדכון רמת הגנת המידע האישי בישראל, ובאי היציבות השלטונית אשר מאפיינת את ישראל מאז 2019, שהקשתה משמעותית להשלים בכנסת חקיקה חדשה.

כך, מתוך רצון לתת לכנסת הזדמנות להתכנס ולדון בחקיקה חדשה, ואולי רצון להימנע משלילת החלטת תאימות ראשונה אי פעם, האירופאים נתנו למחוקק הישראלי הזדמנויות חוזרות ונשנות להתאים את דיני הפרטיות כך שיהיה ניתן להכיר בהם כתואמים לסטנדרט האירופאי. כעת, בתום כ-5 שנים מיום קבלת ההחלטה לבחינה מחודשת, באיחוד הבינו שככל הנראה כנסת ישראל לא תתפנה בשנה הקרובה לדון בתיקון חקיקה בתחום זה, והציבו למדינת ישראל אולטימטום – קביעת זכויות דומות לGDPR- בכל הנוגע למידע אודות אירופאים כעת או שלילת החלטת התאימות. כן נציין כי במקביל למהלך התקנת התקנות וקביעת זכויות, האירופאים דרשו לקבלת אישור מחודש ואסמכתאות לפיהן הרשות להגנת הפרטיות בישראל הינה רשות רגולטורית עצמאית, והחלטת ממשלה בנושא התקבלה בחודש אוקטובר השנה.

משמעות שלילת החלטת התאימות

ההכרה במעמד התאימות של מדינת ישראל, מקנה מעטפת נורמטיבית כוללת והינה בעלת חשיבות רבה למשק הישראלי, בהיותה מאפשרת זרימת מידע אישי לישראל באופן פשוט ונוח, ומקלה מטבע הדברים על הגופים בישראל. מעמד התאימות ניתן לקבוצה מצומצמת מאוד של מדינות (הכוללות בין היתר את שוויץ, קנדה, יפן, דרום קוריאה, ארגנטינה וניו זילנד) ובכך מקנה לעסקים ישראלים יתרון תחרותי על פני עסקים ממקומות אחרים. התאימות מאפשרת העברת מידע אישי מהאזור הכלכלי האירופי, ללא צורך במחויבויות רגולטוריות נוספות (כגון נספחים מסורבלים להבטחת רמת אבטחה נאותה). משמעות הכרת התאימות היא כי דינן של העברות מידע מאירופה לישראל כדין העברות מידע בתוך האזור הכלכלי האירופי.

בלעדי הכרה זו, בעלי המאגרים הישראליים המקבלים מידע מהאזור הכלכלי האירופי יידרשו להתחייב באופן פרטני לקיום מלוא התנאים וההגבלות שיחולו על המידע בהגיעו לישראל ולעמוד בGDPR- במלואו (המכיל חובות נוספות רבות על החובות בתקנות המוצעות) וזאת בנוסף לעמידה בהוראות חוק הגנת הפרטיות, תשמ"א-1981. קושי מיוחד יוטל על חברות שטרם התבססו והתייצבו, אשר להן אין את אורך הנשימה הנדרש והמשאבים הכלכליים המתחייבים לשם ביצוע של התקשרויות כאלה. אין צורך להרחיב על הפגיעה הקשה שתיגרם למעמדה של ישראל כ-"סטארט-אפ ניישן" המובילה בחדשנות טכנולוגית ופורצת דרך בתחום המידע ועיבודיו.

הוראות עיקריות בתקנות המוצעות

התקנות המוצעות חלות על בעלי מאגרי מידע המחזיקים במידע אישי בישראל אשר התקבל מהאזור הכלכלי האירופי, ולא באופן ישיר מנושא המידע. כלומר תחולת התקנות תחומה למקרים בהם מידע הועבר מהאזור הכלכלי האירופי ממחזיק של בעל המאגר, או מבעל מאגר אחר, והן כוללות את החובות הבאות:

  • חובת מחיקת מידע – מוצע לקבוע כי על בעל מאגר מידע למחוק מידע לבקשתו הכתובה של נושא המידע, בהתקיים אחד מאלה: (א) המידע נוצר, התקבל, נצבר או נאסף בניגוד להוראות כל דין או שהמשך השימוש או החזקת המידע מנוגד להוראות כל דין. (ב) המידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף. חובה זו לא תחול בחריגים מסוימים, כגון מילוי חובה חוקית, או קיומו של אינטרס לגיטימי בהמשך שמירת המידע. כמו כן, בעל מאגר המידע רשאי להמשיך לעשות שימוש במידע, אם המידע הפך מותמם (אנונימי), קרי כאשר לא ניתן לחזור לאדם מסוים באמצעים סבירים, ובכך יתאפשר לבעלי מאגר להמשיך לעשות שימושים סטטיסטיים במידע, גם לאחר שהתבקשה מחיקתו.
  • הגבלת החזקת מידע שאינו נחוץ - מוצע לקבוע כי בעל המאגר יידרש להפעיל מנגנון שיבטיח כי במאגר המידע לא קיים מידע שאינו נדרש למטרה שלשמה נאסף או הוחזק, או למטרה אחרת שלשמה מותר להחזיק את המידע לפי כל דין (זאת, למשל, באמצעות עריכת בדיקות תקופתיות). גם כאן יהיה ניתן להמשיך לעשות שימוש במידע מותמם.
  • חובת דיוק מידע - מוצע לחייב את מקבלי המידע לקבוע מנגנונים שיבטיחו שהמידע יישאר שלם, נכון, ברור ומעודכן, ואם לא יעמדו בכך, לעדכן או למחוק את המידע.
  • חובת יידוע - מוצע לקבוע כי על בעל מאגר שקיבל מידע אודות אדם, להודיע לו, במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע, ככל האפשר בסמוך לאחר קבלת המידע, ולכל המאוחר תוך חודש ממועד קבלת המידע, על כל אלה: (א) זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עמם; (ב) המטרה אשר לשמה נאסף המידע; (ג) סוג המידע שהועבר; (ד) קיומה של זכות מחיקה כאמור לעיל, זכות עיון לפי סעיף 13 לחוק, זכות לתיקון מידע לפי סעיף 14 לחוק. חובה זו לא תחול כאשר ביצועה כרוך בנטל לא סביר על בעל המאגר, או כאשר לבעל המאגר אין את פרטי ההתקשרות עם נושא המידע, או כאשר לבעל המאגר יסוד סביר להניח שנושא המידע מודע לזכויותיו ממילא.
  • מידע רגיש - התקנות המוצעות מבקשת לקבוע כי בכל הקשור למידע המגיע מהאזור הכלכלי של אירופה, חברות בארגון עובדים ומידע על מוצאו של אדם ייחשבו ל"מידע רגיש".

סיכום

לשימור החלטת התאימות בעניינה של ישראל ישנן השלכות כלכליות לא מבוטלות על המשק הישראלי. בהעדרה, תאגיד מסחרי או אף גוף מחקר ישראלי, שיבקש לקבל מידע אישי מאירופה, יהיה חייב להסתמך על מנגנונים משפטיים חליפיים כגון סעיפים חוזים סטנדרטיים (Standard Contractual Clauses) בנוסח שנקבע על ידי נציבות האיחוד האירופי. סעיפים אלו, אשר על מרביתם לא ניתן לנהל משא ומתן, יחייבו עסקים ישראלים לעמוד בכל הוראות הGDPR- והאפשרות להסתמך עליהם כבסיס לקבלת מידע מאירופה צפויה לייקר, להאריך ולהקשות על העברות מידע באופן ניכר. יחד עם זאת, גם התקנות צפויות להטיל נטל מסוים על המשק הישראלי, ולהכביד על גופים אשר אינם פועלים כיום בהתאם לרגולציה האירופית, ועליהם מוטל לבחון כיצד להיערך לכניסתן לתוקף של התקנות.

בימים אלו צוות הפרטיות של מיתר בוחן באופן מעמיק את נוסח התקנות לשם שליחת נייר עמדה לרשות להגנת הפרטיות ולמשרד המשפטים. אם תרצו להסב את תשומת לבנו לנקודה מסוימת עליה תבקשו להעיר, הנכם מוזמנים ליצור קשר עם הצוות. כמו כן, במידה והתקנות יתקבלו, הנכם מוזמנים לפנות אלינו לצורך קבלת הסבר מקיף כיצד יש לפעול כדי ליישמן.