התקנות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי – תחולה גם על מאגר מעורב

שנת 2025 תהיה שנה עתירת שינויים בדיני הפרטיות של ישראל. השינוי העיקרי שייכנס לתוקפו באוגוסט הוא העדכון המקיף לחוק הגנת הפרטיות, עליו ניתן לקרוא בהרחבה כאן. אך בטרם כניסת התיקון לתוקף, ביום 1 בינואר 2025, חל שינוי משמעותי לא פחות: תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי) יתחילו לחול גם על מידע ישראלי שנמצא במאגר מידע בישראל באותו מאגר לצד מידע שהועבר מאירופה.

התקנות נועדו להבטיח את המשך עמידתה של ישראל בדרישות האיחוד האירופי בתחום הגנת הפרטיות ולשמר את מעמד ה-Adequacy של המדינה, המאפשר את זרימת המידע החופשית בין הצדדים. הן כוללות הוראות מפורטות הנוגעות לאופן ניהול, שמירה ועיבוד מידע שהועבר ממדינות האזור הכלכלי האירופי (EEA). שינוי משמעותי בתחולת התקנות הוא החלתן גם על מידע נוסף הנמצא במאגר בישראל, בתנאי שמאגר זה כולל מידע שהגיע מאירופה. הרחבה זו מחייבת ארגונים להקפיד על עמידה בדרישות התקנות ביחס למלוא המידע במאגר, ללא הבחנה בין מקור המידע. 

כך למשל רשת בתי מלון ישראלית שבבעלותה מאגר לקוחות אחד, ובו היא שומרת גם מידע אישי אודות אורחים ישראלים וגם אודות אורחים שהם תיירים אירופאים שהועבר מאירופה, תחויב לוודא כי כל המידע במאגר – לרבות מידע אודות אורחים ישראלים – יטופל בהתאם לדרישות המחמירות של תקנות הגנת הפרטיות שהתקבלו במאי 2023 ועכשיו (1.1.2025) נכנסות לתוקף ביחס למידע מעורב, משום שהמאגר כולל מידע שהועבר ממדינות האזור הכלכלי האירופי.

דוגמה נוספת עשויה להיות חברת פינטק ישראלית המעבדת בישראל מידע פיננסי של לקוחות ישראלים לצד נתונים אודות לקוחות אירופאים שנמסרו לה כחלק משירותים שניתנים באירופה, תידרש לעמוד בדרישות התקנות החדשות ביחס לכלל הנתונים שהיא מחזיקה. המשמעות היא שעל החברה לוודא שהטכנולוגיות בהן היא משתמשת לאבטחת מידע עומדות בסטנדרטים האירופיים, להחיל מנגנוני שקיפות מוגברים ללקוחותיה ולהתאים את ההסכמים עם שותפים עסקיים המעבדים את המידע. דרישות אלו עשויות להוות אתגר משמעותי עבור חברות הפועלות במגזרים המאופיינים בתהליכי עיבוד מידע מהירים ובהיקפים גדולים, כמו מסחר אלקטרוני, שילוח ושירותים בינלאומיים. מיותר לציין שבדוגמאות הנ"ל מדובר בחברות שפועלות באירופה ועל כן נדרשות לציית לתקנות הגנת המידע האירופאיות בכל מקרה.

דרישות התקנות מחמירות יותר מהדרישות של חוק הגנת הפרטיות ותקנות אבטחת מידע אשר חלות מכוח הדין הישראלי. דרישות מרכזיות כוללות מיפוי מאגרי מידע, עדכון הסכמים עם צדדים שלישיים המעבדים מידע, יישום מנגנוני שקיפות כלפי נושאי המידע, והקפדה על אבטחת מידע מתקדמת. בנוסף, התקנות מחייבות בעלי מאגרים לדווח על פרצות מידע במהירות ובהתאם לנהלים מוגדרים, דבר המציב סטנדרט גבוה יותר למניעת סיכונים ופגיעה בזכויות נושאי המידע. 

בקרב הקהילה המשפטית והעסקית, התקנות מעוררות שאלות באשר למורכבות יישומן והשפעתן על ארגונים רב-לאומיים. מאגרי מידע רבים בישראל כוללים מידע שמקורו במגוון מדינות, והחלת התקנות על מאגרי מידע שלמים מעלה את הצורך באינטגרציה בין חוקים מקומיים לחוקים בינלאומיים. 

ארגונים בישראל נדרשו לנצל את תקופת ההיערכות הארוכה לבחינת ההשלכות המשפטיות והמעשיות של התקנות, ולבצע התאמות נדרשות כדי להבטיח תאימות מלאה. היערכות מוקדמת תסייע במזעור סיכונים משפטיים, מניעת פגיעה במוניטין, ושמירה על יחסי אמון מול גורמים אירופיים.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn
דילוג לתוכן