משרד המשפטים פרסם לאחרונה (5.7.22) מצע לדיון בעניין תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל ממדינה החברה באיחוד האירופי), התשפ"ב- 2022.
הסדר התקנות נועד לקדם תקנות מכוח סעיף 36 לחוק הגנת הפרטיות ומכוח פסקה (2) להגדרת "מידע רגיש" שבסעיף 7 לחוק. התקנות מוצעות בעקבות תהליך בחינה שמקיימת כיום נציבות האיחוד האירופאי ביחס לישראל, לצורך בחינת חידוש מעמד התאימות (Adequacy) שניתן לישראל בשנת 2011 וזאת בין היתר בעקבות כניסה לתוקף של התקנות האירופאיות – GDPR בשנת 2018. מעמד התאימות ניתן לקבוצה מצומצמת מחוץ לאיחוד האירופאי, המאפשר העברת מידע אישי מהאיחוד האירופאי לישראל, ללא צורך במחויבות רגולטוריות נוספות מצד הגורם המעביר באיחוד האירופאי או מצד הגורם המקבל את המידע בישראל. יש לכך משמעות כלכלית רחבה למשק הישראלי וכן משמעות גדולה בהיבטי יחסי החוץ של מדינת ישראל.
במילים אחרות, המשמעות היא שהכרה במעמד התאימות שקיים למדינת ישראל, היא בכך שהעברות מידע ממדינה החברה באיחוד האירופאי אל ישראל, דינן כדין העברת מידע בתוך האיחוד האירופאי. אחרת, בעלי מאגרי מידע ישראליים שחפצים לקבל מידע ממדינה החברה באיחוד האירופאי, ידרשו להתחייב באופן פרטני בהסכם מול הגורם המעביר, בדבר התנאים וההגבלות שחלות על המידע המגיע לישראל ולעמוד לכל הפחות בחובות הקבועות בתקנות המוצעות. התקשרות פרטנית עלולה להטיל נטל משמעותי ולהכביד על גורמים עסקיים ומסחריים בישראל, לגרום לחוסר וודאות והוצאות התקשורת אותם בעלי המאגרים ידרשו לשאת.
ההסדר של משרד המשפטים מבקש לקבוע 4 חובות שיחולו על בעלי מאגרי מידע בישראל, אך ורק ביחס למידע שהועבר לישראל ממדינה החברה באיחוד האירופאי, ולמעט מידע שהועבר על ידי נושא המידע עצמו. בהסדר פירוט לגבי כל חובה, באילו תנאים תהיה תחולה לכל חובה וכן החריגים לה. החובות הן כדלקמן:
1. חובות מחיקת מידע
2. הגבלת החזקת מידע שאינו נדרש
3. חובת דיוק מידע
4. חובת יידוע
בנוסף, ההסדר מבקש לקבוע, כי מידע בישראל אשר הועבר ממדינה החברה באיחוד האירופאי ולמעט מידע שאדם העביר על עצמו, שעניינו מידע על מוצאו של אדם או מידע על חברות בארגון עובדים, ייחשב כ"מידע רגיש" לעניין סעיף 7 לחוק הגנת הפרטיות.
