ביום 7.5.23 פורסמו תקנות שמטילות חובות חדשות על חברות וארגונים המקבלים מידע אישי מאירופה – תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 (להלן: "התקנות"). החובות החדשות חלות על מגוון רחב של חברות במשק, ובכלל זה בנקים, גופים מוסדיים, חברות בתחום התיירות, חברות טכנולוגיה ועוד.
הרקע להתקנת התקנות הוא תהליך בחינה שמקיימת נציבות האיחוד האירופי בעניין חידוש מעמד התאימות(adequacy) שניתן לישראל בשנת 2011, בנוגע להעברת מידע אישי מאירופה לישראל. מעמד התאימות מותנה בקביעת האיחוד האירופי שרמת ההגנה על מידע אישי בישראל תואמת את רמת ההגנה על מידע אישי במדינות האזור הכלכלי האירופי, כפי שהיא מוסדרת בתקנות הגנת המידע של האיחוד האירופי (ה-GDPR).
אילו חובות חדשות קובעות התקנות?
התקנות קובעות חובות חדשות שיחולו ביחס למאגרי מידע הכוללים מידע שהועבר לישראל מהאזור הכלכלי האירופי, שלא נאסף ישירות מנושא המידע עצמו ("מאגרי מידע מושפעים"):
- חובת מחיקת מידע – בעל מאגר נדרש למחוק מידע לבקשתו של נושא המידע ככל שהמידע נאסף שלא כדין, המשך השימוש בו מנוגד לדין, או שהמידע אינו נחוץ עוד למטרות לשמן נאסף. חובה זו כפופה למספר חריגים, כגון: מימוש חופש הביטוי, הגנה על עניין ציבורי, ניהול הליך משפטי, חובה אחרת לפי דין וכו'.
- מחיקת מידע עודף – בעל מאגר נדרש להפעיל מנגנון שיבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו, ועליו למחוק מידע כאמור או להפוך אותו לאנונימי. אף חובה זו כפופה לחריגים דומים לאלה שמוזכרים לעיל בקשר לחובת מחיקת מידע.
- חובת דיוק מידע – בעל מאגר נדרש להפעיל מנגנון שיבטיח כי המידע שבמאגר נכון, שלם, ברור ומעודכן, ועליו לנקוט אמצעים סבירים לצורך תיקון או מחיקה של מידע שאינו מקיים זאת.
- חובת יידוע – בעל מאגר נדרש ליידע את נושא המידע, בסמוך לקבלת המידע ולכל המאוחר תוך חודש ממועד קבלת המידע, על כל אלה: זהות בעל מאגר המידע ומנהל המאגר, כולל פרטי מען ודרכי התקשרות; המטרה לשמה נאסף המידע; סוג המידע שהועבר; וזכויות נושא המידע (זכות עיון, תיקון ומחיקה).
במקרה של העברת המידע לצד שלישי, יש למסור לנושא המידע, מוקדם ככל האפשר, ולכל המאוחר עם העברת המידע, פרטים נוספים לעניין המידע המועבר, פרטי מקבל המידע ומטרות ההעברה.
חובה זו כפופה למספר חריגים, בין היתר, היכן שעמידה בה כרוכה בנטל בלתי-סביר, כאשר אין בידי בעל המאגר את פרטי ההתקשרות של נושא המידע, או כאשר לבעל המאגר יסוד סביר להניח שנושא המידע מודע לזכויותיו ממילא.
- מידע רגיש: בנוסף, לעניין מאגרי מידע מושפעים, התקנות מרחיבות את הגדרת "מידע רגיש" כך שתכלול חברות בארגון עובדים ומידע על מוצאו של אדם.
הדרישות החדשות חלות גם על מידע שלא התקבל מהאזור הכלכלי האירופי (למשל, מידע שנאסף מנושאי מידע בישראל), ככל שהוא נכלל במאגר מידע מושפע.
מתי התקנות ייכנסו לתוקף?
התקנות ייכנסו לתוקף באופן מדורג כדלקמן:
ביום 7.8.23 ("המועד הקובע") – ביחס למידע שהתקבל בישראל במועד הקובע או אחריו.
ביום 7.5.23 – ביחס למידע שהיה קיים במאגר לפני המועד הקובע.
ביום 1.1.25 – ביחס למידע שמצוי במאגר מושפע ולא התקבל מהאזור הכלכלי האירופאי (למשל, מידע שנאסף מנושאי מידע בישראל).
מה עליכם לעשות?
א- ערכו מיפוי של מאגרי המידע של החברה, ובתוך כך, של מידע אישי שהתקבל מהאזור הכלכלי האירופי.
ב- בחנו האם יש מקום להפריד ממאגרי מידע מושפעים מידע שלא התקבל מהאזור הכלכלי האירופי.
ג- הטמיעו מנגנון שיבטיח שבמאגרי המידע המושפעים לא נשמר מידע עודף ומנגנון לדיוק המידע. דומה שהתקנות מאפשרות מרווח תמרון מסוים לעניין אופי המנגנונים שיופעלו לעניין זה, כל עוד המנגנון משיג את המטרה.
ד- עדכנו את מדיניות הפרטיות, הודעות הפרטיות וההסכמים של החברה שבמסגרתם היא מקבלת מידע מהאזור הכלכלי האירופי, בהתאם לדרישות החדשות תחת התקנות.
ה- בדקו האם ישנם מאגרי מידע של החברה החייבים ברישום בעקבות הרחבת המונח "מידע רגיש".
לסיכום, התקנות מטילות חובות חדשות על מגוון רחב של חברות במשק וישנו חלון הזדמנויות יחסית קצר להטמעתן. יש להניח שתיקון 15 לחוק הגנת הפרטיות (שתזכיר שלו עתיד להתפרסם בחודשים הקרובים) יבקש להחיל על כלל המשק הוראות דומות לאלו הכלולות בתקנות.
צוות הסייבר והפרטיות בגורניצקי מלווה ארגונים רבים בהטמעת דרישות הדין בקשר עם הגנת סייבר ופרטיות. אנו עומדים לרשותכם בכל שאלה.
עדכון זה נכתב בסיועה של מליסה פוירון.
עדכון זה נועד לספק מידע כללי ותמציתי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנידונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו.