אירופה בישראל. ועדת חוקה, חוק ומשפט של הכנסת אישרה לאחרונה (23.04.2023) פה אחד את תחולתן של תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 בהתאם להוראות סעיף 36 לחוק הגנת הפרטיות.
מדובר בתקנות העתידות להטיל חובות שונות כלפי בעלים של מאגרי מידע המקבלים למאגר מידע מאירופה, ביניהן, יידוע נושאי המידע, מחיקת מידע ("הזכות להישכח"), הגבלת החזקת מידע עודף ועוד. בנוסף, התקנות אף מרחיבות את ההגדרה של המושג "מידע רגיש", שכן מדובר בהגדרה די עמומה בדין הישראלי.
בעת הדיון באישור התקנות שינתה הוועדה את הנוסח שלהן באופן, התקנות יחולו גם על מידע ישראלי לחלוטין שנמצא במאגר מידע אליו מגיע גם מידע מאירופה. מטרת השינוי הייתה להימנע ממצב בו על מאגר אחד יחולו שתי מערכות דינים נפרדות. בפועל העולה מהשינוי הוא הרחבת תחולת התקנות גם על מידע שלא הגיע מאירופה, ככל והוא מצוי במאדר אשר יש בו מידע המידע מהאיחוד.
השינוי הוביל בסופו של דבר לכך שיהיו שלושה מועדי תחולה לתקנות:
- שלושה חודשים מיום פרסומן יחולו התקנות ביחס למידע שהתקבל אצל הגוף הישראלי ביום הפרסום או לאחריו;
- שנה מיום פרסומן יחולו ביחס למידע שהתקבל בישראל לפני פרסומן;
- שנה וחצי מיום פרסומן יחולו התקנות על מידע ישראלי שנמצא במערכות שקיים בהן גם מידע אירופאי.
התחולה ביחס למאגרים בהם מצוי מידע מעורב היא מתוך שאיפה, שעד תחילת התחולה יתקבל בכנסת תיקון מס' 15 לחוק הגנת הפרטיות, אשר יחיל את הזכויות המעוגנות בתקנות בדין הישראלי. טיוטת תיקון 15 כבר מוכנה לאישור שר המשפטים ולאחר אישורו תפורסם כתזכיר חוק. ההערכה היא שהתזכיר יפורסם במהלך חודש יוני 2023.
אישור תקנות הגנת הפרטיות החדשות מספק מענה לביקורות שספגה הכנסת מטעם מומחים שונים, בעיקר בשל הסכנה שהרשויות באירופה יקבעו כי הדין הישראלי אינו תואם לזה האירופי ומכאן בעייתי להעביר לכאן מידע אישי. הוועדה אף הבהירה למשרד המשפטים כי עליו להאיץ את קידום תיקון 15 לחוק הגנת הפרטיות, אשר כולל תוכנית יסודית ומקיפה בתחום בנושא הגנת הפרטיות, העשויה להתאים את הוראות הדין הישראלי לזה הקיים מחוץ לארץ.
להלן תמצית עיקרי השינויים שיובאו במסגרת התקנות, שכאמור טרם פורסמו ברשומות ואשר בשלב הראשון יחולו רק על מידע אישי המגיע מאירופה לישראל:
- בעל מאגר יחויב ליידע את מושא המידע, בין אם באופן ישיר ובין אם באופן עקיף באמצעות גורם המעביר את המידע, ביחס לזהות מנהל המאגר ובעל המאגר, למטרת איסוף המידע וסוג המידע. כמו כן, על בעל המאגר ליידע את נושא המידע על עצם זכויותיו לעיון ולתיקון מידע אודותיו, כפי שמנויות בסעיפים 13 ו-14 לחוק הגנת הפרטיות בהתאמה, כאשר חובה זו לא תחול על בעל המאגר במידה ויידרש לכך מאמץ בלתי סביר.
- בעל מאגר יחויב לקבוע כללים שיבטיחו את שלמות המידע ולדאוג כי מידע שאינו עדכני יימחק מהמאגר, וזאת במטרה שייעשה שימוש יעיל וממוקד יותר במידע.
- בעל מאגר יחויב למחוק מידע במידה והתבקש לכך מטעם נושא המידע. זאת במידה והמידע נאסף או נצבר בניגוד להוראות הדין, או במידה והמידע אינו נחוץ לבעל המאגר עבור המטרות שלשמן נאסף המידע. חובת מחיקת המידע לא תתקיים במצבים מסוימים, כמו למשל שמירת מידע מכוח חובה חוקית או כדי לקיים אינטרס לגיטימי מסוים. נוסף על כך, בעל מאגר יוכל להמשיך להשתמש במידע במידה וביצע הליך אנונימיזציה (התממה), תהליך המונע את האפשרות לזהות את נושא המידע על אף מתן אפשרות שימוש סטטיסטית שניתנת לבעל המאגר על ידי תהליך זה.
- בעל המאגר יחויב בקביעת כללים המגבילים את זמן החזקת המידע, זאת במטרה למנוע החזקת מידע שאינו נחוץ, כאשר ניתן יהיה לבצע שימוש במידה ונעשה תהליך התממה למידע.
- תורחב הגדרת המושג "מידע אישי", שכעת די עמום בדין הישראלי, כאשר חברות בארגון עובדים ומידע על מוצאו של אדם ייחשבו ל"מידע אישי".
- תוך שלושה חודשים לאחר שיפורסמו התקנות בפועל, התקנות האמורות יחולו על כל מידע שהתקבל מהאזור הכלכלי האירופי וכן על כל מידע אחר שמוחזק באותו מאגר. יחד עם זאת, תחולת התקנות על מידע שהתקבל באירופה לפני מועד פרסום התקנות תחל רק משנת 2025, בשאיפה שעד אז תאשר הכנסת את תיקון 15 לחוק הגנת הפרטיות, קרי תיקון שעתיד להסדיר הוראות הנוגעות למידע אישי.
על אף שהתקנות טרם נכנסו לתוקף, גופים רבים כבר נערכים לכך. ראשית, בניסיון להבין מהיכן מגיע אל מערכות החברה מידע אישי ככלל. במידה ומתקבל מידע אישי מהאזור הכלכלי האירופי, יש לבחון את אופן חלוקתו לתתי קבוצות, למשל, אפיון מידע אישי המשתייך לקבוצת "כוח אדם". כתוצאה מכך, ייתכן יחולו התקנות ביחס לאותו מידע אישי. שנית, נבחן האופן שבו רשומים מאגרי המידע בפועל, ונבחנת אפשרות לביצוע הפרדה בין מאגרי מידע שעליהם יחולו התקנות.
