תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023

במשפט אחד - עדכון לקוחות

נבקש לעדכן כי בשבוע הקרוב, ב – 7 באוגוסט 2023 צפוי מועד התחולה הראשון של תקנות שעניינן העברת מידע מהאזור הכלכלי האירופאי לישראל – תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023 (להלן: "התקנות" או "התקנות החדשות"), שפורסמו ביום 7 במאי 2023.

כפי שעדכנו בעבר, התקנות החדשות נועדו לשפר את רמת ההגנה על מידע אישי תוך עמידה בסטנדרטים הבינלאומיים שהתפתחו במרוצת השנים, ובפרט בשים לב לחשיבות בשימור החלטת התאימות (Adequacy) של האיחוד האירופי, משנת 2011, לפיה ישראל זכתה להכרה כמדינה בעלת רמת אבטחת מידע נאותה בהתאם לקריטריונים של האיחוד האירופי. החלטה זו הינה משמעותית עבור גופים ישראלים הנדרשים להעברות מידע מהאזור הכלכלי האירופי.

יצוין, כי בוובינר שנערך לציבור בימים אלה, עדכן ראש הרשות להגנת הפרטיות, כי מדובר במהלך אחד מסדרת מהלכים לקידום חקיקת הגנת הפרטיות בישראל ולעדכונה.

התקנות יחולו על מידע המצוי במאגר מידע בישראל, הכולל מידע אשר הועבר מהאזור הכלכלי האירופי, למעט מידע שהעביר במישרין אדם על עצמו. בנוסף, יחולו התקנות גם על כל מידע נוסף (כלומר – מידע שלא הועבר מהאזור הכלכלי האירופי) המצוי במאגר מידע בישראל, הכולל מידע שהועבר מהאזור הכלכלי האירופי כאמור.

התקנות נועדו להוות נדבך נוסף על החובות הקיימות כיום לפי דיני הפרטיות.

בין המחוייבויות המוטלות על בעל מאגר מידע בישראל בהתאם לתקנות החדשות:

1. חובת מחיקת מידע – בעל מאגר יהיה מחוייב למחיקת מידע לבקשתו הכתובה של נושא המידע, בין היתר, במקרים בהם המידע התקבל, נאסף או נצבר בניגוד להוראות כל דין או שהמשך השימוש בו מנוגד להוראות הדין; או כאשר המידע אינו נחוץ עוד למטרות שלשמן נצבר או נאסף. לצד חובת מחיקת המידע, ישנם חריגים מסוימים, המנויים בתקנות, בהתקיימם בעל מאגר מידע רשאי לסרב לבקשת מחיקה כפי שיפורט מיד.

2. הגבלת החזקת מידע שאינו נחוץ – בעל המאגר נדרש להפעיל מנגנון ארגוני, טכנולוגי או אחר אשר מטרתו היא להבטיח כי לא יוחזק מידע במאגר, שאינו נחוץ עוד למטרה אשר לשמה נאסף או הוחזק. גם בעניין זה קובעות התקנות חריגים, כגון אם בוצעו לגבי המידע פעולות המבטיחות שלא יתאפשר באמצעים סבירים לזהות את נושא המידע, או כאשר השימוש במידע הוא לצרכים המפורטים בתקנה כמפורט להלן.                                                                          התקנות מפרטות מספר חריגים, בהתקיימם בעל מאגר מידע רשאי לסרב לבקשת מחיקה, או להימנע ממחיקת מידע כאשר השימוש בו הוא לצרכים כגון: מניעת הונאה או פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו; הגנה על עניין ציבורי; מימוש חופש הביטוי לרבות זכות הציבור לדעת; או ניהול הליך משפטי או גביית חובות.

3. חובת יידוע נושאי המידע – בעל מאגר מידע שקיבל מידע אודות אדם מן האזור הכלכלי האירופי יהיה מחוייב ליידע את נושא המידע, ישירות או בעקיפין באמצעות הגורם המעביר, אודות: (1) זהות בעל המאגר ומנהל המאגר ודרכי ההתקשרות עימם; (2) מטרת העברת המידע; (3) סוג המידע שהועבר; ו – (4) קיומה של זכות מחיקה בהתאם לתקנה, וכן בדבר זכות עיון במידע והזכות לתיקון מידע, בהתאם לחוק. בנוסף, קיימת חובת הודעה כאשר בעל מאגר המידע מבקש להעביר את המידע שקיבל לצד שלישי. גם ביחס לחובת היידוע, קיימים חריגים מסוימים בהתאם לנסיבות העניין, המפורטים בתקנות.

4. חובת דיוק מידע – בעל מאגר נדרש לקבוע מנגנון ארגוני, טכנולוגי או אחר, שנועד להבטיח כי  המידע שבמאגר המידע נכון, שלם, ברור ומעודכן, וככל שמצא כי דרישות אלה אינן מתקיימות,  עליו לנקוט אמצעים סבירים בנסיבות העניין לצורך תיקון המידע או מחיקתו.

יצוין, כי במסגרת התקנות, תורחב הגדרת המושג "מידע רגיש", כך שתכלול גם מידע על מוצאו של אדם ומידע על חברות בארגון עובדים.

מועד תחילתן של התקנות החדשות הינו כדלקמן:

לעניין מידע שהועבר מהאזור הכלכלי האירופי למאגר מידע בישראל:
לגבי מידע כאמור שהתקבל במאגר מידע בישראל החל ממועד פרסומן של התקנות (7.5.23) – יחולו התקנות החל מיום 7.8.2023.

לגבי מידע כאמור שהתקבל במאגר מידע בישראל לפני מועד פרסומן של התקנות – יחולו התקנות בחלוף שנה מיום פרסומן, כלומר  החל מיום 7.5.2024.

ביחס לכל מידע נוסף המצוי במאגר מידע בישראל, אשר מצוי בו גם מידע שהועבר מהאזור הכלכלי האירופי לישראל, מועד תחילתן של התקנות יהיה ביום 1.1.2025.

גופים אשר עשוי להיות מועבר להם מידע כאמור מהאזור הכלכלי האירופי במסגרת פעילותם או עסקיהם, ראוי שיבחנו את תחולת התקנות ביחס לפעילותם, אופן יישום התקנות, הנהלים ושיטות העבודה שיש לגבש בראי התקנות החדשות.

נשמח לעמוד לרשותכם בכל שאלה והכוונה בנושא, וללוות את אופן ותהליך היישום, בהתאם לצרכיו הספציפיים של כל ארגון וארגון.

 

*המידע המוגש לעיל הינו מידע כללי בלבד, אין בו כדי להוות ייעוץ או חוות-דעת בנושא, והוא אינו תחליף לקבלת יעוץ משפטי ו/או חוות דעת.