פרטיות: העברה של מידע אישי מותרת רק למדינה שמבטיחה הגנה על מידע
הרשות להגנת הפרטיות פרסמה לאחרונה טיוטת גילוי דעת הפתוחה להערות הציבור, בה התייחסה לאפשרות העברת מידע אישי מישראל אל מחוץ לגבולותיה. בגילוי דעת זה, הרשות מבקשת להבהיר מה הם "השינויים המחויבים" (כלשון תקנות אבטחת המידע) שיאפשרו העברת מידע מחוץ לגבולות המדינה לגורם זר.
מה קובעות התקנות כיום?
נכון להיום, תקנות הגנת הפרטיות קובעות כי לא ניתן להעביר מידע אישי מישראל אל מחוץ לגבולותיה אלא אם כן רמת ההגנה על מידע אישי במדינה אליה מועבר המידע עומדת בסטנדרט אבטחת מידע והגנת הפרטיות דומה או מחמיר יותר מזה הקיים בישראל. עם זאת, בתקנות נמנים כמה חריגים לכלל האמור, אשר מתירים את העברת המידע לחו"ל. לפי אחד החריגים, ההעברה מותרת אם הגורם אליו המידע מועבר התחייב לנהוג בו בהתאם לכללים הרלוונטיים בישראל, בשינויים המחויבים. בהתאם לכך, הרשות מעוניינת להבהיר מה הם אותם "שינויים מחויבים" שיאפשרו העברת מידע מחוץ לגבולות המדינה, בהסתמך על החריג המנוי בתקנה 2(4) לתקנות.
מה היא עמדת הרשות להגנת הפרטיות?
לפי עמדת הרשות, התחייבות כאמור של הגורם המקבל את המידע, לקיים את "התנאים החלים בישראל" אינה אפשרית במלואה בכל המדינות. ראשית, מובהר כי החריג לא יחול כאשר מקבל המידע במדינה הזרה לא מתחייב לקיים את כללי אבטחת המידע והשימוש במידע מסיבות אישיות או ארגוניות. כלומר, "שינוי מחויב" אינו אמת מידה סובייקטיבית של מקבל המידע ולא ניתן יהיה להעביר מידע אישי מישראל לגורם בחו"ל בהעדר התחייבות מפורשת לעמוד בחובותיו.
בנוסף, על ההתחייבויות להיות זהות בתוכנן לאלו הקבועות בחוק הגנת הפרטיות, תשמ"א-1981 ("חוק הגנת הפרטיות"). למשל, התחייבות בדבר איסור שימוש במידע שלא למטרה שלשמה נאסף, התחייבות למתן זכות עיון במידע לנושאי המידע וכן התחייבות למתן זכות בקשה לתיקון המידע או מחיקתו.
לצד זאת, ככל שבמדינה אליה מועבר המידע לא קיימת חובה לרישום מאגרי מידע כפי שקיימת בישראל ביחס למאגר מידע המכיל מידע אישי, אי-עמידה של מקבל המידע בחובת רישום מאגר המידע בהתאם לחוק הגנת הפרטיות אכן תעלה כדי "שינוי מחויב" כנדרש בתקנה 2(4) לתקנות.
לבסוף, מבהירה הרשות כי במקרים בהם מועבר מידע מישראל, בהתאם להסכם הכולל התחייבויות מצד מקבל המידע כאמור, יידרש מקבל המידע להתחייב גם כי כל העברת מידע שתבוצע על-ידו לגורם נוסף במדינה הזרה (ספק משנה), תבטיח גם כן עמידה בכללי אבטחת המידע כדוגמת אלו החלים בישראל.
השלכות פרשנות הרשות להגנת הפרטיות
הפרשנות החדשה שניתנה בגילוי הדעת עשויה להקל על עסקים ישראלים להעביר מידע אישי אל מחוץ לגבולות המדינה, תוך צמצום החשש מהפרת חוק הגנת הפרטיות. זאת, בכפוף לכך שמקבל המידע יעמוד בחובות מסוימות כגון:
- נקיטת אמצעי אבטחה הולמים.
- מתן אפשרות לנושאי המידע לממש את זכויותיהם.
- אי העברת המידע הלאה לגורמים שלישיים ללא הסכמת נושאי המידע לכך, בהתאם לסטנדרט הנוהג בישראל.
מדובר בטיוטת גילוי דעת בלבד, והפרשנות הסופית של הרשות עשויה להשתנות לאחר קבלת הערות הציבור. לפיכך, חשוב להישאר מעודכנים בנושא זה ולוודא עמידה בדרישות החוקיות. יש לבחון את נהלי העברת המידע האישי בארגון, לזהות פערים ולגבש תוכנית פעולה שתבטיח עמידה מלאה בחוק.
***
מחלקת פרטיות, סייבר ואבטחת מידע בברנע ג'פה לנדה עומדת לשירותכם בכל סוגיה הנוגעת לעמידה ברגולציות השונות ולחוקי הגנת הפרטיות ואבטחת המידע בישראל, באירופה, בארה"ב, ובמדינות נוספות.
ד"ר אבישי קליין הוא שותף בברנע ג'פה לנדה, ועומד בראש המחלקה. בן נורמן הוא עו"ד במחלקה.