הוראות חדשות לגבי מידע שהועבר לישראל מהאזור הכלכלי האירופי
לאור בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, בנושא חידוש מעמד התאימות (Adequacy) שניתן לישראל על ידי האיחוד בשנת 2011, פרסם משרד המשפטים את תקנות הגנת הפרטיות החדשות, הקרויות "הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי".
כאמור, האיחוד האירופי בוחן בתקופה האחרונה האם תקנות הפרטיות בישראל מקנות לה מעמד של מדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנהוגה במדינות האזור הכלכלי האירופי (מדינות האיחוד האירופאי, איסלנד, נורבגיה וליכטנשטיין).
כדי להמשיך ולהחזיק במעמד התאימות, משרד המשפטים פרסם את התקנות החדשות, הקובעות חובות פרטניות שחלות על ארגונים אשר מעבירים מידע אישי מהאזור הכלכלי האירופי לישראל. החידוש העיקרי בנוסח הסופי של התקנות הוא שהתקנות הללו מעניקות זכויות גם לנשואי מידע ישראלים, באם מאגר המידע בו נשמר המידע מכיל גם מידע שהועבר מהאזור הכלכלי והקשור לאירופאים.
יישומי התקנות
בפועל, התקנות חלות על כל חברה ישראלית המחזיקה ב"מאגר מידע" כהגדרתו בחוק חוק הגנת הפרטיות, שמעבדת ומאחסנת מידע פרטי שנמסר לה על ידי חברה, שמקורו באיחוד האירופי, כחלק ממאגר המידע שלהן בישראל לעומת זאת, התקנות לא חלות במצבים בו המידע הפרטי נמסר ישירות מאזרח אירופי לחברה בישראל.
כמו כן, התקנות מעניקות מספר זכויות עודפות לנשואי המידע הרלוונטיים, כאשר במאגר המידע יש מידע שהועבר מהאזור הכלכלי האירופאי לישראל, לרבות:
- זכות מחיקת מידע וזכות עיון רחבה יותר של נושא המידע;
- חובות שקשורות לזמני שמירת המידע ומחיקת מידע לא נחוץ;
- חובות ביחס לדיוק המידע ועדכונו;
- חובות בייחס לידוע נושא המידע במישרין או בעקיפין תוך כחודש ימים בפרטים הרלוונטיים למידע (שתצריך ככל הנראה גם תיקון של מדיניות הפרטיות שחברות מפרסמות בכדי לעבד ולשמור מידע אישי כהלכה.)
תחולת התקנות
- בנוגע למידע שהועבר מהאזור הכלכלי למאגר מידע בישראל החל מה-7 במאי 2023 – החל מה-7 באוגוסט 2023.
- בנוגע למידע שהועבר מהאזור הכלכלי האירופאי למאגר מידע בישראל לפני ה-7 במאי 2023 – החל מה-7 במאי 2024.
- בנוגע למידע נוסף, שעליו לא חלות התקנות, שמצוי במאגר המידע הכולל מידע שהועבר לישראל מהאזור הכלכלי האירופאי – החל מה-1 בינואר 2025.
השלכות התקנות
חברות ישראליות אשר מחזיקות ומנהלות מאגרי מידע, שכוללים מידע של אזרחי האיחוד האירופאי, צריכות להיערך בהקדם לתקנות החדשות, לרבות מיפוי של מאגרי המידע הרלוונטיים, עדכון מדיניות הפרטיות (בכדי שזו תכלול את הזכויות החדשות אשר מעניקות התקנות נשואי המידע) ובניית מדיניות פנימית לטיפול בבקשות נשואי המידע.
כמו כן, יש לצפות כי התקנות יעוררו דיון פנימי אצל כלל החברות ביחס לבחינת הכדאיות באימוץ פרקטיקה אחודה בראי ה-GDPR לכלל מאגרי המידע ועיבודו.
***
מחלקת הפרטיות והסייבר במשרדנו זמינה לכל שאלה או הבהרה בנושא ובסוגיות אחרות של פרטיות ואבטחת מידע.
דר' אבישי קליין הוא ראש מחלקת הפרטיות והסייבר בברנע ג'פה לנדה.
בן נורמן הוא עו"ד במחלקה.