הרשות להגנת הפרטיות פרסמה לאחרונה (08.07.2024) טיוטת גילוי דעת בנושא העברת מידע אל מחוץ לישראל, בהתאם לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001.
הרשות מבקשת להבהיר בטיוטת גילוי הדעת מהן החובות החלות על העברת מידע אל מחוץ לגבולות המדינה מכוח הוראות חוק הגנת הפרטיות, התשמ"א-1981 והתקנות שהותקנו מכוחו, לרבות תקנות העברת המידע ותקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 , על מנת שניתן יהיה להעביר מידע אישי מישראל לגורם במדינה זרה. זאת תוך התמקדות בפרשנות המונח "שינויים מחויבים", המנוי בתקנה 2(4) לתקנות העברת מידע, שעם קיומם כאמור ניתן להעביר מידע מחוץ לגבולות המדינה.
כלל האצבע ביחס להעברת מידע אישי מישראל למדינה אחרת הינו, כי חל איסור על העברה, , אלא אם דין המדינה המקבלת מבטיח רמת אבטחת מידע זהה או גבוהה יותר מזו הקבועה בהוראות הדין הישראלי, וזאת תוך עמידה בתנאים ובשינויים המחויבים לפי התקנות.
תקנה 2 לתקנות העברת מידע מציינת חריגה מהכלל האצבע האמור לעיל, ומאפשרת העברת מידע אישי מישראל לחו"ל בהתאם לתנאים מסוימים. תקנה 2(4) קובעת שניתן להעביר את המידע לאדם שהתחייב בהסכם עם בעל מאגר המידע ממנו המידע מועבר, תוך עמידה בתנאים שהוגדרו לאחזקת ושימוש במידע החלים על מאגרי מידע בישראל, ובהתאם לשינויים המחויבים.
הטיוטה מלמדת כי הרשות מודעת לכך שהתנאים הנדרשים ביחס לאחזקת ולשימוש במידע, בהתאם להוראות הדין הישראלי, לא יכולים להתאפשר בכל מדינה, זאת בין היתר בהתחשב במסגרת החוקית במדינה אליה מועבר המידע. יחד עם זאת, הרשות מדגישה כי תקנה 2(4) לתקנות לא תחול כאשר מקבל המידע במדינה הזרה אינו מתחייב לקיים את התנאים האמורים, בטענה כי נסיבותיו האישיות או הארגוניות אינן מאפשרות לו לעשות כן.
בנוסף, הרשות מבהירה כי הטיוטה אינה חלה על מצבים בהם העברת המידע נעשית במסגרת התקשרות בין בעל מאגר מידע בישראל לבין מחזיק שמקום מושבו בחו"ל.
להלן עיקר החובות שיש לכלול בהסכם העברת מידע בין בעל מאגר מידע בישראל לבין גורם מחו"ל:
- איסור שימוש במידע שלא למטרה שלשמה הוא נמסר לבעל המאגר הישראלי.
- מתן זכות עיון וזכות לבקש את תיקון המידע או מחיקתו.
- קיום החובות המנויות בתקנות אבטחת מידע במסגרת ההסכם. לחילופין, יוכל מקבל המידע להצהיר ולהתחייב כי ארגונו קיבל הסמכה לתקן ISO/IEC 27001, לקיים את הוראותיו וכן לקיים את החובות הספציפיות אשר מנויות בתקנות אבטחת מידע.
- ככל שמדובר בהעברת מידע מאירופה לישראל, אזי יש לעמוד בתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023.
- ככל שמועבר מידע לצד ג' במדינה זרה, יש לחייבו בקיום החובות שיש לכלול בהסכם כאמור.
לבסוף, הרשות מבהירה כי ככל שחלות על המידע המועבר הוראות דין אחרות בתחומי הגנת הפרטיות, על מקבל המידע לעמוד גם בהן, ומדגישה כי יש לבחון אם קיימות הוראות ספציפיות בדינים אלו אשר עשויות להגביל את העברת המידע לחו"ל.
