העברת מידע אישי לחו"ל: הרשות להגנת הפרטיות מחדדת את הדרישות לארגונים

השבוע פרסמה הרשות להגנת הפרטיות גילוי דעת המבהיר את פרשנותה לתקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001. אף שמדובר בגילוי דעת פרשני ולא בתקנות מחייבות, יש להניח כי תהיה לו השפעה מעשית משמעותית על ארגונים המעבירים מידע אישי מישראל לחו"ל, ובפרט לארצות הברית.

חשיבותו מתחדדת גם על רקע הרחבת סמכויות האכיפה והגדלת העיצומים הכספיים במסגרת תיקון 13 לחוק הגנת הפרטיות.

המצב הקיים: מה החריג שקובעת תקנה 2(4)?

לפי הדין הישראלי, העברת מידע אישי אל מחוץ לישראל מוגבלת ככלל, אלא אם המדינה המקבלת מבטיחה רמת הגנה שאינה פחותה מזו הקבועה בדין הישראלי. תקנה 2(4) קובעת חריג שלפיו ניתן להעביר מידע לחו"ל אם מקבל המידע מתחייב בהסכם לקיים, בשינויים המחויבים, את דרישות הדין הישראלי לעניין החזקת המידע והשימוש בו.

מה החידוש העיקרי בגילוי הדעת של הרשות?

גילוי הדעת מבהיר כי הביטוי "בשינויים המחויבים" אינו מאפשר גמישות רחבה מבחינת פרשנות: מקבל המידע אינו יכול להסתמך על מגבלות ארגוניות או משפטיות החלות עליו כדי להצדיק אי-עמידה בדרישות.

בהתאם לעמדת הרשות, הסכמים המבוססים על מנגנון זה צריכים לכלול התחייבויות זהות או דומות באופן מהותי לחובות הקבועות בדין הישראלי, ובכלל זה:

• איסור על שימוש במידע אישי למטרה החורגת מהמטרה שלשמה הועבר.
• זכויות עיון, תיקון ומחיקה של נושא המידע.
• חובות סודיות.
• דרישות אבטחת מידע התואמות את הדין הישראלי, או לחלופין הסמכה לתקן ISO/IEC 27001 בצירוף עמידה בהוראות הספציפיות שנקבעו בהנחיית הרשות 3/2018.

לא ניתן "להקל" בדרישות רק משום שמדובר בגורם זר או בשל מגבלות מקומיות, אלא יש להבטיח רמת הגנה דומה במהותה לדין הישראלי. על כן, ההסכם עם מקבל המידע בחו"ל צריך לשקף באופן דומה את ההגנות הקיימות בישראל ולא להסתפק בעקרונות כלליים בלבד.

כמו כן, ככל שמדובר גם במידע שמקורו באזור הכלכלי האירופי, מתווספת דרישה נוספת לפיה על מקבל המידע להתחייב לעמוד גם בחובות הקבועות בתקנות 3-7 לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023.

חלופות להעברת מידע אישי לחו"ל

אף שגילוי הדעת משקף את עמדתה הרשמית של הרשות, ארגונים אינם חייבים להסתמך דווקא על תקנה 2(4) כדי להעביר מידע מישראל כדין. בפועל, קיימות כמה חלופות מבוססות שעשויות להיות פשוטות יותר ליישום, במיוחד בעבודה מול ספקי טכנולוגיה גלובליים:

• העברה למדינות בעלות רמת הגנה נאותה: ניתן להעביר מידע למדינות שדיניהן מבטיחים רמת הגנה דומה, ובכלל זה מדינות האיחוד האירופי.
• הסכמת נושא המידע: ניתן להעביר מידע לכל יעד, לרבות ארצות הברית, אם נושא המידע נתן הסכמה לכך. ההסכמה חייבת להיות אקטיבית, מודעת וחופשית. על החברה לוודא כי נושא המידע עודכן מראש על עצם העברת המידע לחו"ל.
• העברה בתוך הקבוצה: ניתן להעביר מידע לתאגיד קשור או לחברה בת המצויים תחת אותה שליטה של בעל המאגר בישראל.

מסקנות מעשיות לארגונים

עבור ארגונים המעבירים מידע לספקי ענן או לספקי שירותים מבוססי ארצות הברית, המסלול החוזי לפי תקנה 2(4) עלול להיות קשה ליישום מלא, שכן ספקים גדולים אינם נוטים להתאים את הסכמי עיבוד המידע שלהם לדרישות סטטוטוריות ישראליות.

עם זאת, אין להסיק מכך בהכרח כי ההסכמים הקיימים אינם מספקים. רבות מן החובות המהותיות המודגשות בגילוי הדעת – ובהן הגבלת מטרה, זכויות נושאי מידע, סודיות ואבטחת מידע – מעוגנות גם במסגרת דינים ומשטרי פרטיות אחרים, כגון ה-GDPR, ה-CCPA ומשטרים דומים.

מקום שבו הסכם קיים כבר כולל הוראות מסוג זה, הוא עשוי לשמש בסיס משמעותי, גם אם לא מלא, להתאמה לעמדת הרשות. לכן, מומלץ לארגונים לפעול בהתאם:

• למפות את מנגנון ההעברה שעליו הם מסתמכים;
• לבחון אם ההסכמים הקיימים נותנים מענה לחובות הליבה שעליהן הצביעה הרשות, ולשקול תיקונים נקודתיים במידת הצורך.
• גם כאשר לא ניתן להגיע להתאמה מלאה בכל מקרה, בחינה משפטית ותהליך תיקון מסודר יכולים לצמצם את סיכוני הציות.

***

ד"ר אבישי קליין – שותף במשרד ברנע ג'פה לנדה ועומד בראש מחלקת הפרטיות, הסייבר והבינה המלאכותית במשרד.

עו"ד אביתר ריטש – עורך דין במחלקת הפרטיות, הסייבר והבינה המלאכותית במשרד.

מחלקת הפרטיות, הסייבר והבינה המלאכותית במשרדנו תשמח לסייע בבחינת מנגנוני העברת המידע הקיימים, בזיהוי פערים מול דרישות הרשות ובהפחתת סיכוני ציות.