גילוי הדעת של הרשות להגנת הפרטיות שפורסם לאחרונה, מבקש לעשות סדר באחד המונחים העמומים והמנוצלים ביותר בדיני הפרטיות הישראליים: המונח "בשינויים המחויבים" המופיע בתקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001. במשך שנים, חברות רבות, והיועצים שלהן, פירשו את המונח כמעין "שסתום ביטחון" המאפשר להן להעביר מידע אישי לגורמים מחוץ לישראל תוך ויתור על דרישות מהותיות של הדין הישראלי, בטענה שהן אינן בנות-יישום במדינת היעד או בארגון המקבל. הרשות מבהירה כעת כי פרשנות סובייקטיבית זו, הנשענת על נוחות תפעולית או ארגונית של מקבל המידע, אינה קבילה עוד.
המסר המרכזי העולה מגילוי הדעת הוא שחובת בעל המאגר להבטיח כי מקבל המידע יקיים את התנאים החלים על מאגר מידע בישראל היא אמת מידה אובייקטיבית וקשיחה. הרשות קובעת כי התיבה "בשינויים המחויבים" אינה יכולה לשמש כלי לעקיפת סמכות או לריקון ההוראה המהותית מתוכן. המשמעות האופרטיבית היא שכל הסכם העברת מידע חייב לכלול התחייבויות חוזיות הזהות, או דומות באופן מהותי, לחובות הליבה של חוק הגנת הפרטיות הישראלי. בין אלו, הרשות מונה במפורש את איסור השימוש במידע למטרה שונה מזו שלשמה נאסף, את הבטחת זכות העיון והתיקון של נושאי המידע ואת חובת הסודיות המוטלת על מקבל המידע.
בהקשר של אבטחת מידע, גילוי הדעת מציע גמישות מסוימת אך מותנית: ניתן להסתמך על תקנה 2(4) אם מקבל המידע מתחייב לעמוד בתקנות אבטחת המידע הישראליות, או לחלופין מצהיר על הסמכה לתקן הבינלאומי ISO 27001. עם זאת, הצהרה על התקן לבדה אינה מספיקה – על הארגון המקבל להתחייב ליישם גם את הבקרות הרלוונטיות בנספח A של התקן, וכן לעמוד בחובות ספציפיות מתוך הדין הישראלי כפי שפורטו בהנחיות קודמות של הרשות.
נקודה משמעותית נוספת נוגעת לממשק שבין הדין הישראלי לדין האירופי. הרשות מבהירה כי ככל שהמאגר הישראלי מכיל מידע שהועבר מהאזור הכלכלי האירופי (EEA), על מקבל המידע בחו"ל להתחייב לעמוד גם בחובות המהותיות של תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023. דרישה זו מהדקת את שרשרת הציות ומוודאת כי ישראל אינה משמשת "צינור" להעברת מידע אירופי למדינות שלישיות ללא הגנות מספקות.
לצד ההקשחה, הרשות מכירה במציאות שבה דרישות פרוצדורליות מסוימות אינן ניתנות ליישום מחוץ לישראל. כך למשל, אי-עמידה של מקבל המידע בחובות רישום המאגר בפנקס המאגרים הישראלי או הודעה עליו לרשות להגנת הפרטיות תתקבל כ"שינוי מחויב", כל עוד לא קיימת חובה דומה במדינת היעד. עם זאת, הקלה זו מצומצמת ואינה גורעת מהחובות המהותיות של בעל השליטה הישראלי, שנותר האחראי העליון על המידע גם לאחר שהועבר מעבר לים.
אם-כן, גילוי הדעת מבהיר כי הסתמכות על תקנה 2(4) דורשת מעתה עבודה משפטית מדוקדקת יותר בניסוח הסכמי העברת מידע, תוך מעבר מניסוחים כלליים להתחייבויות קונקרטיות ובנות-אכיפה.
לגילוי הדעת המלא: https://www.gov.il/BlobFolder/legalinfo/infoabroad/he/infoabroad.pdf
