17 ביולי 2024

העברת מידע מחוץ לגבולות המדינה לפי הסכם – עמדת הרשות להגנת הפרטיות

ביום 8 ביולי 2024 פרסמה הרשות להגנת הפרטיות ("הרשות") טיוטת גילוי דעת להערות הציבור בנושא פרשנות תקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001 ("טיוטת גילוי הדעת" ו-"התקנות", בהתאמה). בטיוטת גילוי הדעת מביעה הרשות עמדה מרחיבה הן בדבר תוכנם של הסכמי העברת מידע לחו"ל והן בדבר התחולה האקס-טריטוריאלית של חוק הגנת הפרטיות.

רקע

התקנות קובעות איסור על העברת מידע אישי ממאגר מידע בישראל אל מחוץ לגבולותיה, למעט בהתקיים אחד או יותר מהתנאים (החלופיים) המפורטים בסעיף 2 לתקנות. אחד מאותם תנאים בהם מותרת ההעברה קבוע בתקנה 2(4) לתקנות, לפיה ניתן להעביר מידע אל מחוץ לגבולות ישראל אם "המידע מועבר למי שהתחייב בהסכם עם בעל מאגר המידע שממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים". טיוטת גילוי הדעת מתמקדת בחלופה זו, ובפרט בתיבה "בשינויים המחויבים".

תוכנו של הסכם העברת המידע (Data Transfer Agreement)

במסגרת טיוטת גילוי הדעת מבהירה הרשות כי "התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל" אינם מתמצים בחוק הגנת הפרטיות, התשמ"א-1981 ("חוק הגנת הפרטיות") ובתקנות שהותקנו מכוחו בלבד אלא כוללים את כלל הדינים שמטילים הוראות בתחומי הגנת הפרטיות ואבטחת המידע. כמו כן, מבהירה הרשות את עמדתה כי נסיבות אישיות או ארגוניות של מקבל המידע שאינן מאפשרות עמידה בדינים כאמור אינן מהוות "שינוי מחויב", אלא מדובר באמת מידה שצריכה להיבחן באופן אובייקטיבי. כך למשל, אי עמידה בדרישת רישום המאגר הקבועה בחוק הגנת הפרטיות אכן תיחשב לשינוי מחויב ככל שחובה כאמור לא קיימת במדינה אליה מועבר המידע.

לעניין רכיבי ההסכם, הרשות מבהירה כי ההסכם חייב לכלול התחייבות של מקבל המידע לקיים כלפי נושא המידע התחייבויות הזהות בתוכנן לאלו הקבועות בחוק הגנת הפרטית, ובכלל כך איסור שימוש במידע שלא למטרה שלשמה הוא נמסר, מתן זכות עיון, תיקון ומחיקה לנושאי המידע, וכן חובה לקיים את חובת הסודיות ביחס למידע שהגיע לאדם מתוקף תפקידו.

כמו כן, ההסכם יידרש להתייחס להיבטי אבטחת המידע כאשר בהקשר זה ניתן יהיה לכלול התחייבות של מקבל המידע לקיים את החובות הקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת המידע"), או הצהרה כי מקבל המידע קיבל הסמכה לתקן ISO/IEC 27001 ומקיים את הוראותיו, , וכן את החובות הקבועות בתקנות המפורטות בהנחיית הרשות להגנת הפרטיות מס' 3/2018 העוסקת בתחולת תקנות אבטחת מידע במקרה של הסמכה לתקן כאמור.

במקרה בו כלול במאגר המידע שמידע מתוכו מועבר אל מחוץ לגבולות המדינה גם מידע שהועבר מהאזור הכלכלי האירופי, מקבל המידע יידרש לעמוד גם בהוראות הקבועות בתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 (להרחבה בעניין התקנות הללו, ראו כאן).

תחולה אקס טריטוריאלית של חוק הגנת הפרטיות

טיוטת גילוי הדעת כוללת התייחסות תקדימית של הרשות לאופן שבו היא רואה את תחולת חוק הגנת הפרטיות ותקנותיו על גופים שאינם מאוגדים בישראל. בהקשר זה, הרשות מציינת כי עשויים להיות מאגרי מידע בחו"ל שיהיו כפופים לכלל הוראות הדין הישראלי אף שבעליהם אינם רשומים בישראל, לדוגמה עקב השפעתם הנרחבת על נושאי מידע ישראלים.

עוד מבהירה הרשות כי במקרה של העברת מידע בין בעל מאגר בישראל לבין מחזיק שמקום מושבו מחוץ ישראל, המחזיק נדרש לעמוד באופן מלא ומדויק בהוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו. מעמדת הרשות עולה לדוגמה, שחברה אמריקאית המציעה שירותי אחסון ענן לחברות ישראליות כפופה ישירות לחוק הגנת הפרטיות ותקנותיו, אף אם אין לה כל נוכחות פיזית בישראל.

סיכום

בעוד שמטרת טיוטת גילוי הדעת להבהיר את לשון תקנה 2(4) לתקנות ולחדד את ההוראות שיש לכלול בהסכם מכוח תקנה זו, בפועל ההבהרה הזו מלמדת גם על גישתה המרחיבה של הרשות ביחס לתחולה האקס-טריטוריאלית של דיני הגנת הפרטיות בישראל על בעלי מאגרים ומחזיקים זרים, אשר נדרשים לגישתה לעמידה קפדנית בלשון חוק הגנת הפרטיות ותקנות אבטחת המידע.

טיוטת ההנחיה פתוחה להערות הציבור עד ליום 8 באוגוסט 2024, באמצעות כתובת הדוא"ל: [email protected].

אנו מזמינים אתכם לפנות אלינו לכל שאלה ו/או התייעצות בנושא.

 


עדכון זה נועד לספק מידע כללי ותמציתי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנידונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו.

חדשות ופרסומים קשורים

הקש Enter כדי לחפש או ESC כדי לסגור