מרכז מדיה

עדכון לקוחות – העברת מידע לישראל מהאזור הכלכלי האירופי

8 דצמבר 2022

לקוחות ועמיתים יקרים,

ברצוננו להביא לידיעתכם כי ביום 29 בנובמבר, 2022, פרסם משרד המשפטים טיוטה להערות הציבור של תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2022 ("התקנות"), הקובעות הוראות מיוחדות לעניין מידע אישי שהועבר לישראל מהאזור הכלכלי האירופי הכולל את מדינות האיחוד האירופי, ואת איסלנד, נורבגיה וליכטנשטיין ("האזור האירופי"), למעט אם המדובר במידע שהעביר במישרין אדם אודות עצמו.

התקנות מוצעות על רקע בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל לצורך חידוש מעמד התאימות (Adequacy) שניתן לישראל על ידי האיחוד האירופי בשנת 2011, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנוהגת באזור האירופי, מעמד בעל משמעות כלכלית נרחבת למשק הישראלי, המאפשר לארגונים באזור האירופי להעביר מידע אישי לארגונים בישראל ללא צורך במחויבויות רגולטוריות נוספות מצד הגורם המעביר או מצד הגורם המקבל. ללא הכרה זו, ארגונים ישראליים היו נדרשים, בהתאם להוראות ה-GDPR, להתחייב באופן פרטני לקיים חובות מסוימות בקשר למידע האישי המועבר אליהם מהאזור האירופי.

על יסוד הרקע לעיל, התקנות המוצעות מבקשות להסדיר את העניינים הבאים:

  • חובת מחיקת מידע – נושא מידע אירופי יהיה רשאי לפנות לבעל מאגר מידע ישראלי בדרישה לממש את ה"זכות להישכח" (אשר טרם הוכרה בדין הישראלי) ולמחוק מידע אודותיו, ככל שהמידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות הדין או שהמידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף (אלא אם בעל המאגר יבצע פעולות במידע שיבטיחו שלא ניתן יהיה באמצעים סבירים לזהות את נושא המידע). בעל המאגר יהיה רשאי לסרב לבקשת המחיקה בהתקיים אחד מהחריגים הקבועים בתקנות הכוללים, בין היתר, שמירת מידע לצורך מימוש חופש הביטוי או זכות הציבור לדעת, מילוי חובה חוקית, הגנה על עניין ציבורי, ניהול הליך משפטי, וכיו"ב, וזאת בהיקף הנחוץ והמידתי לאותו צורך.
  • הגבלת החזקת מידע אינו נחוץ – בעל המאגר יידרש להפעיל מנגנון ארגוני, טכנולוגי או אחר על-מנת להבטיח שמאגר המידע לא יכלול מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (אלא אם בעל המאגר יבצע פעולות במידע שיבטיחו שלא ניתן יהיה באמצעים סבירים לזהות את נושא המידע). במקרה של מידע בלתי נחוץ – על בעל המאגר למוחקו במועד המוקדם האפשרי בנסיבות העניין (למעט אם מתקיים אחד מאותם חריגים שמאפשרים לבעל המאגר גם לסרב לבקשת המחיקה כאמור לעיל).
  • חובת דיוק מידע – בעל המאגר יידרש להפעיל מנגנון ארגוני, טכנולוגי או אחר על-מנת להבטיח שהמידע שבמאגר נכון, שלם, ברור ומעודכן. ככל שבעל המאגר ימצא שבמאגר ישנו מידע שאינו נכון, שלם, ברור או מעודכן (בין היתר, על סמך המנגנון האמור), יהיה עליו לנקוט באמצעים סבירים בנסיבות העניין לצורך תיקון או מחיקת המידע.
  • חובת יידוע – בעל המאגר יידרש להודיע לנושא המידע האירופי (במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע), ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש ממועד קבלתו על: (א) זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי התקשרות עמם; (ב) מטרת העברת המידע; (ג) סוג המידע שהועבר; ו-(ד) קיומה של זכות המחיקה לפי התקנות וכן זכויות העיון והתיקון לפי סעיפים 13 ו-14 לחוק הגנת הפרטיות. חובת היידוע לא תחול בהתקיים אחד החריגים הקבועים בתקנות הכוללים, בין היתר, אם לבעל המאגר יש יסוד סביר להניח שפרטי המידע האמורים ידועים לנושא המידע, פרטי ההתקשרות של נושא המידע אינם ידועים לבעל המאגר, יישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל המאגר (בשים לב לאפשרות להיעזר בגורם שממנו הועבר המידע), קיומה של חובת סודיות בדין או איסור בדין על גילוי המידע ומימוש חובת היידוע עלול לפגוע בשלומו או בחייו של אדם, וזאת בהיקף הנחוץ והמידתי בשים לב לנסיבות העניין. ככל שבעל המאגר מעוניין להעביר את המידע לצד שלישי אחר, עליו להודיע לנושא המידע (במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע) מוקדם ככל האפשר ולכל המאוחר עם העברת המידע, על אותם פרטים (שעליו להודיע לנושא המידע עם קבלת המידע).
  • הגדרת "מידע רגיש" – התקנות קובעות שמידע על מוצאו של אדם (לרבות השתייכותו הלאומית) ומידע על חברות בארגון עובדים שהועבר למאגר מידע בישראל יהווה "מידע רגיש" לפי סעיף 7 לחוק הגנת הפרטיות, כאשר להגדרה זו ישנה משמעות על פי הדין הקיים לעניין חובת הרישום של מאגר מידע בהתאם לסעיף 8(ג)(2) לחוק הגנת הפרטיות.
  • תחולה – החובות שבתקנות לא יחולו על (א) מידע שהועבר מהרשות האחראית על הביטחון או אכיפת החוק באזור האירופי לרשויות הביטחון בישראל הכוללות את משטרת ישראל, אגף המודיעין במטה הכללי והמשטרה הצבאית של צה"ל, שירות הביטחון הכללי, המוסד למודיעין ולתפקידים מיוחדים והרשות להגנה על עדים; ו-(ב) שימוש במידע הנדרש למטרת הגנה על ביטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלו.

 

נציין, כי חרף הצורך הברור במעבר חופשי של מידע ממדינות האזור האירופי אל ישראל ושמירת מעמד ה-Adequacy של ישראל, נראה כי יש במתווה המוצע משום יצירת, הלכה למעשה, מדרג בין נושאי מידע אירופיים לבין נושאי מידע ישראליים, כאשר לנושאי המידע האירופיים יוקנו זכויות והגנות רחבות ונרחבות יותר מאלו שקיימות כיום בדין לנושאי המידע הישראליים. לדעתנו, מעבר לשאלה האם נכון וסביר להתקין תקנות המקנות זכויות ביחס למידע אישי שאזרחי ישראל אינם יכולים ליהנות מהן, ראוי ששינוי מהותי מסוג זה היה מוסדר בחקיקה ראשית ולא על ידי התקנת תקנות.

הערות הציבור לטיוטת התקנות יתקבלו עד ליום 20 בדצמבר, 2022.

לקישור לטיוטת התקנות >> לחצו כאן

נשמח לעמוד לרשותכם בכל שאלה או הבהרה שתידרש.

הרצוג פוקס נאמן

 

חפשו לפי +