1 דקות קריאה

כללי 

ביום 23/04/2023, אישרה ועדת חוקה חוק ומשפט את תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר מהאזור הכלכלי האירופי), תשפ"ג- 2023 (להלן: התקנות"), לאחר שפורסם נוסח טיוטה להערות הציבור ובוצעו שינויים מסוימים. התקנות פורסמו ברשומות ביום 07/05/2023. 

התקנות תוקנו במטרה לשמור על מעמד התאימות (Adequacy) שניתן למדינת ישראל על ידי האיחוד האירופי בשנת 2011, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי (מדינות החברות באיחוד האירופי וכן איסלנד, נורבגיה וליכטנשטיין; להלן: "האזור הכלכלי"). התקנות לא חלות על בריטניה ושוויץ שאינן חלק מהאזור הכלכלי. 

למעמד התאימות חשיבות רבה במישור הכלכלי ובמישור יחסי החוץ של ישראל, והוא מאפשר העברת מידע מהאזור הכלכלי לישראל, ללא צורך במתן ערובות נוספות מצד הגורם האירופי שמעביר את המידע או מצד הגורם שמקבל את המידע מישראל.

היקף ותחולה 

התקנות מטילות חובות חדשות על "בעל מאגר מידע". 

התקנות חלות רק על מידע שהועבר לישראל מהאזור הכלכלי האירופי, למעט מידע שנושא מידע (אדם) העביר אודותיו ישירות לבעל המאגר. 

התקנות לא יחולו על: 

  1. מידע שיתקבל ישירות מנושא מידע.  
  2. מידע שהועבר מרשות האחראית על הביטחון או על אכיפת החוק באזור הכלכלי, אל רשות ביטחון בישראל, כהגדרתה בסעיף 19(ג) לחוק. 
  3. התקנות לא יחולו ביחס לשימוש במידע שנדרש לתכלית על הגנה על ביטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלו.
  4. מאגרי מידע שאינם כוללים מידע מהאזור הכלכלי (עבר, הווה ועתיד).

התקנות ייכנסו לתוקף ביום 07/08/2023 ביחס לכל מידע חדש שהתקבל במאגר מידע בישראל מהאזור הכלכלי החל מיום 07/05/2023 (כאמור, יום הפרסום ברשומות), ואילך. 

ביחס למידע שהתקבל באותם מאגרים לפני מועד פרסום התקנות, התקנות ייכנסו לתוקף ביום 07/05/2023 (שנה ממועד פרסומן). 

ביחס למידע אחר המצוי באותם מאגרים בהם התקבל מידע מהאזור הכלכלי, התקנות ייכנסו לתוקף ביום 01/01/2025, כלומר אם קיים במאגר הן מידע אשר התקבל מהאזור הכלכלי והן מידע שהגיע ממקור אחר.

עיקרי התקנות

הרחבת המונח "מידע רגיש"

בנוסף להגדרת המונח בחוק הגנת הפרטיות, התשמ"א-1981 (להלן: "החוק"), לפי לתקנות אלה, וביחס למאגרי מידע המכילים או שיכילו מידע שמקורו באזור הכלכלי בלבד, מידע רגיש יכלול גם מידע על מוצאו של אדם ומידע על חברות בארגון עובדים, ייחשבו מידע רגיש.

חובת מחיקת מידע.  

בכפוף לבקשה כתובה של נושא המידע, על בעל המאגר להיענות לבקשה ולמחוק את המידע המבוקש או לבצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע (למשל, התממה / אנונימיזציה), ככל שמתקיים אחד מהתנאים הבאים (תנאים חלופיים): 

  • המידע נוצר, התקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין.
  • המידע אינו נחוץ עוד למטרות שלשמן נוצר, התקבל, נצבר או נאסף.

על אף האמור לעיל, לבעל מאגר המידע קיימת הזכות לסרב לבקשה אם מתקיימים אחד מהמקרים המפורטים בתקנה 3(ב), בהיקף מידתי ונחוץ לאותו המקרה (מילוי חובה חוקית, ניהול הליך משפטי, מניעת הונאה וכיו"ב).

חובת הגבלת החזקת מידע שאינו נחוץ.  

חובה זו מזכירה את החובה הקיימת בתקנה 2(ג) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "תקנות אבטחת מידע") לעניין "מידע עודף", אך מרחיבה וקובעת הוראות נוספות. לפי תקנות אלה מוטלת חובה על בעל מאגר המידע להפעיל מנגנון ארגוני (למשל, נהלים), טכנולוגי (למשל, מנגנון שמגדיר מחיקה אוטומטית לאחר התקופה שהוגדרה על ידי בעל המאגר) או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין. ככל שקיים מידע כאמור והוא אינו נשמר למטרות המנויות בתקנה 4(ג) (מימוש חופש הביטוי, הגנה על עניין ציבורי, וכיו"ב), על בעל המאגר למחוק אותו או לבצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע. על בעל מאגר המידע לבצע בדיקות יזומות באופן שוטף ולא רק אחת לשנה, כפי שנדרש בתקנות אבטחת המידע.

חובת דיוק מידע.  

על בעל מאגר המידע להפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן. 

ככל שקיים מידע כאמור, על בעל המאגר לנקוט אמצעים סבירים לתיקון המידע או למחיקתו. 

חובה זה מזכירה את חובת הגבלת החזקת מידע שאינו נחוץ, משם שאם המידע אינו נכון, שלם, ברור ומעודכן, יכול להיות שהוא אינו נחוץ ואז ממילא קיימת חובה להגביל החזקה של מידע זה.

חובת יידוע.  

בעל מאגר מידע שקיבל מידע אודות אדם, יודיע לו, במישרין או בעקיפין, באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי, ככל האפשר, בסמוך לאחר קבלת המידע ולכל המאוחר בתוך חודש ממועד קבלת המידע, על: 

  • זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עימם.
  • מטרת העברת המידע.
  • סוג המידע שהועבר.
  • קיומן של הזכות למחיקת מידע תקנות אלה, זכות עיון וזכות לתיקון מידע, לפי סעיפים 13 ו-14 לחוק בהתאמה.

ככל שבעל מאגר המידע ביקש להעביר את המידע שקיבל לצד שלישי עליו להוסיף פרטי מידע, כמפורט בסעיף 6(ב) לתקנות.

התקנות קובעות חריגים גם לחובת היידוע, כמפורט בתקנה 6(ג), בהם בין היתר, כאשר לבעל מאגר המידע יש יסוד סביר להניח שפרטי המידע ידועים לנושא המידע, פרטי ההתקשרות של נושא המידע אינם ידועים לבעל מאגר המידע, מימוש חובת היידוע עלול לפגוע בשלומו או בחייו של אדם, וכיו"ב. 

חובה זו מהווה תוספת לחובת היידוע הקיימת בסעיף 11 לחוק, הן מבחינת תחולתה והן מבחינת תוכנה. לעומת חובת היידוע הקיימת כיום בחוק המחייבת יידוע בעת פניה ישירה לאדם, חובה זו  מחייבת יידוע כאשר המידע לא מתקבל מנושא המידע עצמו. בשל העובדה שהגורם שמעביר את המידע לבעל המאגר מחויב ליידע את נושאי המידע על העברת המידע מכוח ה-GDPR, ניתן להניח שזה יהיה אופן ההודעה ברוב המקרים. יחד עם זאת, על בעל המאגר לוודא כי אכן מעביר המידע מקיים חובה זו כדי שהוא יהיה פטור ממנה.

סיכום, תובנות והמלצות

הרחבת המונח "מידע רגיש" עשויה להשפיע על חובת רישום מאגר מידע בהתאם לקריטריונים הקבועים בסעיף 8 לחוק. לפי סעיף זה, כאשר המאגר אינו מכיל מידע רגיש קיימת חובת רישום רק אם יש במאגר מעל 10,000 נושאי מידע, ואילו כאשר קיים מידע רגיש חובת הרישום חלה מהרשומה הראשונה, כלומר גם אם יש מידע על נושא מידע אחד בלבד (בכפוף כמובן לחריגים הקבועים בחוק ביחס לגוף ציבורי, שירותי דיוור ישיר ומידע על אנשים שהמידע לא נמסר על ידיהם, מטעמם או בהסכמתם). כלומר, ככל שהארגון מחזיק במאגר במידע רגיש, כהגדרתו בתקנות אלה, יכול שיידרש ברישום מאגר גם אין המאגר מכיל מידע על פחות מ-10,000 נושאי מידע. ויודגש, הוראה זו מתייחסת אך ורק למאגרי מידע המכילים או שיכילו מידע שמתקבל מהאזור הכלכלי. 

כאשר המידע המתקבל מהאזור הכלכלי נשמר במאגר מידע המכיל מידע ממקורות נוספים, התקנות יחולו על כל נושאי המידע שבמאגר, ובעל המאגר יידרש למלא את חובותיו מכוח התקנות ביחס לכל נושאי המידע שבמאגר. על כן, על הארגון לשקול, לפי שיקולים של עלות מול תועלת, האם נכון להקים שני מאגרי מידע ולהפריד בין מידע שמתקבל מהאזור הכלכלי לבין מידע ממקור אחר, וזאת בהנחה שניתן להות את מקור המידע ולעשות הבחנה כאמור, או שמא להגדיר מאגר אחד משותף לכלל סוגי המידע ונושאי המידע. ככל שבעל המאגר יבחר להקים מאגר משותף, תחולת התקנות תחול על כלל המידע, ואולם ביחס למידע שלא התקבל מהאזור הכלכלי, תחל ביום 01/01/2025. 

מוצע להגדיר גורם בארגון הבקיא בהוראות הדין שיהא אחראי לרכז את הבקשות, לבחון אותן ולהגיב להן בהתאם. מוצע לתייק את הבקשות שמתקבלות ולתעד את תהליך הבחינה, ההחלטות שהתקבלו והצעדים שננקטו בפועל. 

לשון התקנות מטילה חובות על "בעל מאגר מידע" ולא נעשה שימוש כלל במונח "מחזיק, כהגדרתו בחוק. על כן, ניתן לומר בזהירות כי לפי לשון החוק הדווקנית, חובות אל אינן חלות על מחזיק מאגר - ארגון אשר משמש כמעבד מידע ו/או מחזיק עבור גוף אחר ומקבל ממנו מידע אישי על נושאי מידע. אין זה אומר שמחזיק מאגר מידע לא נדרש לעמוד בחובות רגולטוריות אחרות החלות עליו, למשל GDPR. 

אין בתקנות אלה כדי לגרוע מחובות אחרות המוטלות על בעל מאגר מידע לפי כל דין. המשמעות היא שעמידה בתקנות אלה בלבד לא פותרת את בעל המאגר לעמוד בדינים נוספים, ככל שחלים עליו, כגון תקנות הגנת פרטיות (אבטחת מידע), התשע"ז-2017 או תקנות המידע האירופי – GDPR. 

נראה כי התקנות יחולו במקרים מאד מצומצמים וספציפיים ואולם מי שכפוף אליהן נדרש כבר עתה למצוא וליישם פתרונות ארגוניים וטכנולוגיים נאותים כדי לעמוד בתקנות באופן מלא (למשל, אופן מימוש החובות המוטלות על בעל המאגר).