לקוחות ועמיתים יקרים,
תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023
השבוע פורסמו תקנות חדשות מיום 7 במאי 2023 לביצוע חוק הגנת הפרטיות, העוסקות במידע שמועבר לישראל מהאזור הכלכלי האירופי (מדיניות האיחוד האירופי, וכן איסלנד, נורווגיה וליכטנשטיין) למאגר מידע בישראל. התקנות אינן חלות על מידע שאדם מעביר במישרין (למאגר מידע בישראל) אודות עצמו.
רקע
הרקע להתקנת התקנות, הוא הרצון לשמר את ההכרה האירופית במדינת ישראל, כמדינה שמספקת הגנה נאותה למידע אישי.
משמעות ההכרה היא שאנשים וגופים מאירופה המעוניינים להעביר מידע אישי לישראל יכולים לעשות כן ללא צורך בהסדרים מיוחדים, שנדרשים בדרך כלל תחת דיני הגנת הפרטיות האירופים (בעיקר התקנות הכלליות להגנת הפרטיות במידע – ה־GDPR) במקרים של העברת מידע אישי אל מחוץ לאירופה.
החלטת ההכרה של מוסדות האיחוד האירופי בישראל, כמדינה שמספקת הגנתה נאותה למידע אישי, בעיבוד הממוחשב, פורסמה לפני למעלה מעשור ביום 31.1.2011. בהתאם להוראות ה־GDPR על מוסדות האיחוד לתקף את ההכרזה מדי מספר שנים, והתקנות החדשות נועדו לצורך כך, שכן ההכרזה האמורה נמצאת תחת בחינה.
תחולה מדורגת
התקנות החדשות תכנסנה לתוקף בשלושה שלבים:
שלב ראשון – בתום שלושה חודשים ממועד פרסום התקנות, החל מיום 7.8.2023 – התקנות יחולו על מידע שיועבר ושיתקבל החל ממועד זה ואילך.
שלב שני – בתוך שנה ממועד פרסום התקנות, החל מיום 7.5.2024 – התקנות יחולו גם על מידע שהתקבל מהאזור הכלכלי האירופי עוד לפני יום 7.8.2023.
שלב שלישי – החל מיום 1.1.2025 – התקנות יחולו על כל מידע נוסף שמצוי במאגר מידע, שיש בו מידע שהתקבל מהאזור הכלכלי האירופי. מעין אפקט 'ויראלי', או במילים אחרות – 'קדימה אחורה ולצדדים'.
עיקרי ההשלכות
התקנות מחילות נורמות חדשות, לצד חיזוק וקידוד של נורמות קיימות בקשר עם מאגרי מידע.
כך למשל התקנות קובעות חובה למחוק מידע שאינו נחוץ עוד למטרה לשמה נאסף או לצורך מטרה מותרת אחרת לפי דין. חובת המחיקה חלה הן במקרה של פנייה מאת נושא המידע, והן כתוצאה מאיתור עצמי של מידע כאמור על־ידי בעל המאגר.
לצד חובות המחיקה, קובעות התקנות שורה של סייגים ובהם: ביצוע אנונימיזציה למידע, מימוש חופש הביטוי וזכות הציבור לדעת, הגנה על עניין ציבורי, מחקר מדעי, ניהול הליך משפטי או גביית חובות ועוד.
התקנות מחייבות בעלי מאגרים להפעיל מנגנון ארגוני (טכנולוגי או אחר) לשלילת קיום מידע כאמור. התקנות מחייבות גם הפעלת מנגנון ארגוני שמטרתו להבטיח שהמידע נכון, שלם ברור ומעודכן.
בין החובות החדשות - על בעל המאגר להודיע, בתוך חודש מקבלת מידע מהאזור הכלכלי האירופי, במישרין או באמצעות הגורם המעביר, על זהותו, זהות מנהל המאגר ופרטי הקשר עימם, מטרות העברת המידע, סוג המידע שהועבר, קיומה של זכות מחיקה לפי התקנות, וזכות עיון ותיקון לפי החוק (חוק הגנת הפרטיות). חובת היידוע על בעל המאגר חלה גם במקרה שהוא מבקש להעביר את המידע שקיבל לצד שלישי. לחובת היידוע סייגים שונים.
הלכה למעשה, התקנות מחייבות בעלי מאגרים לנקוט שורה של צעדים על־מנת לעמוד בהוראות התקנות. חרף תחולתן המדורגת, לאור המשמעויות וההשלכות של תקנות אלו, רצוי להקדים ולהיערך ליישומן מראש, שכן היערכות זו מחייבת שורה של צעדים מהותיים.