הרחבת תחולת תקנות הגנת הפרטיות בדבר מידע שמועבר לישראל

החל מ-1 בינואר 2025, תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 יחולו גם על מידע שנשמר או מעובד בישראל או במדינות אחרות, כמו ארצות הברית ואנגליה, אם במאגרי המידע הללו יש גם מידע שהועבר מאירופה. משמעות החידוש היא שברגע שמאגר מידע בישראל או במדינה אחרת כולל גם מידע אישי שהועבר מאירופה, כל המידע במאגר, כולל המידע המקומי או המידע שמקורו במדינות אחרות, יהיה חייב לעמוד בדרישות התקנות – ולא רק המידע שהגיע מאירופה.

תקנות אלו, שנחקקו לפני כשנה וחצי, נכנסו לתוקף באוגוסט 2023 בעקבות בחינה שקיימה נציבות האיחוד האירופי ביחס לישראל, כחלק מהליך חידוש מעמד התאימות (Adequacy) שנתן האיחוד לישראל בשנת 2011. עם כניסת התקנות לתוקף, הוטלו חובות פרטניות על בעלי מאגרים בישראל שמועבר אליהם מידע אישי מהאזור הכלכלי האירופי (מדיניות האיחוד האירופי וכן איסלנד, נורבגיה וליכטנשטיין). למעשה, התקנות אימצו אלמנטים מהרגולציה האירופית (GDPR), והוחלו באופן ממוקד על מידע שמקורו באירופה.

עם זאת, עד ינואר 2025 חלה הבחנה ברורה בין מידע של אזרחים אירופאים שהועבר לישראל או נשמר במאגרים מקומיים, שהוגן על פי התקנות, לבין מידע של ישראלים או של אזרחי מדינות אחרות לא נכלל בתחולתן. החל מינואר הקרוב, רמת ההגנה שהייתה שמורה עד כה רק למידע שהגיע מהאזור הכלכלי האירופי תוחל גם על מידע שאינו אירופאי כל עוד הוא מעובד במאגר משולב המכיל מידע אירופאי, ללא תלות במקורו. שינוי זה מבטל את ההבדלה שהייתה נהוגה עד כה, ומחייב את בעלי השליטה במאגרים להיערך כך שכל המידע במאגר יעמוד באותם סטנדרטים מחמירים.

חריגים לתחולת התקנות

חשוב לציין כי קיימים מספר מקרים בהם התקנות הללו לא יחולו, בהתאם לנסיבות המקרה – למשל, אם המידע במאגר הגיע ישירות מנושא המידע באיזור הכלכלי האירופי (ולא מצד שלישי) או אם העברת המידע נדרשת לשם אכיפת חוק. כמו כן, התקנות מטילות חובות רק על בעלי מאגרי מידע (או בעלי שליטה במאגרים על-פי תיקון 13 לחוק) ולא על מחזיקים במאגרים. למשל, אם חברה ישראלית פועלת רק כמחזיקה עבור חברה ממדינות האזור הכלכלי האירופי, התקנות לא יחולו במצב כזה.

החובות החדשות

התקנות כוללות חובות שונות שמאמצות את הוראות ה- GDPR ביחס למידע שמעובד במאגרים בישראל:

1. חובת מחיקת מידע: ככל שנושא המידע ביקש זאת, על בעל השליטה במאגר למחוק מידע שהתקבל שלא כדין או שאינו נחוץ עוד למטרות שלשמן נאסף, אלא אם כן קיימים חריגים המאפשרים את המשך השמירה על המידע.
2. הגבלת החזקת מידע שאינו נחוץ: על בעל השליטה במאגר להפעיל מנגנונים כדי להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף, ולמחוק מידע כזה בהקדם האפשרי.
3. חובת דיוק המידע ועדכונו: על בעל השליטה במאגר להבטיח שהמידע במאגר יהיה נכון, שלם ומעודכן, ולפעול לתקן או למחוק מידע שאינו עומד בדרישות הללו. חובת יידוע: בעל השליטה במאגר המידע נדרש ליידע את נושאי המידע באמצעות הגורם שממנו הועבר המידע על זהות בהל השליטה במאגר ופרטי ההתקשרות עמו; מטרות העברת המידע והשימוש בו; סוג המידע שהועבר; זכויותיהם של נושאי המידע לדרוש את תיקון או מחיקת המידע. החידוש כאן הוא שמדובר בחובה מקיפה יותר מזו שבסעיף 11 לחוק הגנת הפרטיות, שכן התקנות מאמצות הלכה למעשה את סטנדרט ה-GDPR, ומרחיבות את היקף המידע שיש ליידע לגביו, את המסגרת למתן המידע, ואת הדרישות בעת העברת מידע לצדדים שלישיים, כולל התייחסות לסוג המידע והסיבה להעברתו. בכך, התקנות מטילות על בעלי שליטה בישראל רמת שקיפות וגילוי גבוהה יותר, והמשמעות היא שחברות עשויות להידרש לעדכן את מדיניות הפרטיות והנהלים הפנימיים שלהן.

המלצות לחברות עם פעילות בינלאומית

לחברות שמעבדות מידע אישי שמקורו במדינות האזור הכלכלי האירופי, מומלץ לבצע את הפעולות הבאות:

1. מיפוי המידע במאגר ומקורותיו, זאת על מנת להגדיר את מעמד החברה ביחס למידע (בעלת שליטה או מחזיקה בלבד), מקור המידע, בדיקה משפטית ביחס לתחולת התקנות על מאגרי המידע של החברה בישראל או חלקם.
2. עריכת סקר סיכונים קצר שמטרתו לפרט מהן החובות שחלות על החברות ביחס למאגרי המידע הרלוונטיים.
3. ככל שהתקנות חלות על מאגרי המידע של החברה (או חלקם) יש לבצע התאמה של הנהלים הפנימיים להבטחת עמידה בדרישות התקנות, לרבות עדכון מדיניות הפרטיות, עדכון נהלים המיועדים למימוש זכויות ובקשות נושאי מידע, התאמת חוזים עם ספקי מיקור חוץ להם גישה למידע המוגן והטמעת מנגנוני בקרה שיבטיחו עמידה בדרישות התקנות.

סיכום

חברות ישראליות שמנהלות מאגרי מידע הכוללים מידע שמקורו במדינות האזור הכלכלי האירופי צריכות לבצע בהקדם את ההתאמות הנדרשות, כמו מיפוי מאגרי המידע, עדכון מדיניות הפרטיות והנהלים ועדכון תהליכים ארגוניים וטכנולוגיים שיאפשרו עמידה בדרישות התקנות.

מחלקת הפרטיות, הסייבר והבינה מלאכותית במשרדנו ישמחו לסייע לכם בכל שאלה ובביצוע ההתאמות הנדרשות.

***:

ד"ר אבישי קליין הוא שותף במשרד ברנע ג'פה לנדה ועומד בראש מחלקת הפרטיות, הסייבר והבינה המלאכותית במשרד.

עו"ד ליאב שפירא הוא עורך דין במחלקה.