ביום 13 באפריל 2026 פרסמה הרשות להגנת הפרטיות ("הרשות") גילוי דעת בנושא פרשנות תקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001 ("גילוי הדעת" ו-"התקנות", בהתאמה). בגילוי הדעת מביעה הרשות עמדה מרחיבה הן בדבר תוכנם של הסכמי העברת מידע לחו"ל והן בדבר התחולה האקס-טריטוריאלית של חוק הגנת הפרטיות.
רקע
התקנות קובעות איסור על העברת מידע אישי ממאגר מידע בישראל אל מחוץ לגבולותיה, למעט בהתקיים אחד או יותר מהתנאים (החלופיים) המפורטים בסעיף 2 לתקנות. אחד מאותם תנאים בהם מותרת ההעברה קבוע בתקנה 2(4) לתקנות, לפיה ניתן להעביר מידע אל מחוץ לגבולות ישראל אם "המידע מועבר למי שהתחייב בהסכם עם בעל מאגר המידע שממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים". גילוי הדעת מתמקד בחלופה זו, ובפרט בתיבה "בשינויים המחויבים".
תוכנו של הסכם העברת המידע (Data Transfer Agreement)
במסגרת גילוי הדעת מבהירה הרשות כי "התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל" אינם מתמצים בחוק הגנת הפרטיות, התשמ"א-1981 ("חוק הגנת הפרטיות") ובתקנות שהותקנו מכוחו בלבד אלא כוללים את כלל הדינים שמטילים הוראות בתחומי הגנת הפרטיות ואבטחת המידע. כמו כן, מבהירה הרשות את עמדתה כי נסיבות אישיות או ארגוניות של מקבל המידע שאינן מאפשרות עמידה בדינים כאמור אינן מהוות "שינוי מחויב", אלא מדובר באמת מידה שצריכה להיבחן באופן אובייקטיבי. כך למשל, אי עמידה בדרישת רישום המאגר או בחובת ההודעה לרשות על מאגר מידע הקבועים בחוק הגנת הפרטיות אכן ייחשבו לשינוי מחויב ככל שחובות אלו כאמור לא קיימות במדינה אליה מועבר המידע.
לעניין רכיבי ההסכם, הרשות מבהירה כי ההסכם חייב לכלול התחייבות של מקבל המידע לקיים הוראות שתוכנן דומה באופן מהותי לאלו הקבועות בחוק הגנת הפרטיות, ובכלל כך איסור שימוש במידע שלא למטרה שלשמה הוא נמסר, מתן זכות עיון, תיקון ומחיקה לנושאי המידע, וכן חובה לקיים את חובת הסודיות ביחס למידע שהגיע לאדם מתוקף תפקידו.
כמו כן, ההסכם יידרש להתייחס להיבטי אבטחת המידע כאשר בהקשר זה ניתן יהיה לכלול התחייבות של מקבל המידע לקיים את החובות המהותיות הקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת המידע"). לחילופין, ניתן לכלול הצהרה כי מקבל המידע קיבל הסמכה לתקן ISO/IEC 27001 ומקיים את הוראותיו, וכן את החובות הקבועות בתקנות המפורטות בהנחיית הרשות להגנת הפרטיות מס' 3/2018 העוסקת בתחולת תקנות אבטחת מידע במקרה של הסמכה לתקן כאמור.
במקרה בו במאגר המידע בישראל שמור גם מידע שהועבר מהאזור הכלכלי האירופי, מקבל המידע יידרש לעמוד גם בהוראות המהותיות הקבועות בתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 (להרחבה בעניין התקנות הללו, ראו כאן).
תחולה אקס טריטוריאלית של חוק הגנת הפרטיות
גילוי הדעת כולל התייחסות תקדימית של הרשות לאופן שבו היא רואה את תחולת חוק הגנת הפרטיות ותקנותיו על גופים שאינם מאוגדים בישראל. בהקשר זה, הרשות מציינת כי עשויים להיות מאגרי מידע בחו"ל שיהיו כפופים לכלל הוראות הדין הישראלי אף שבעליהם אינם רשומים בישראל.
עוד מבהירה הרשות כי בין היתר, במקרים של העברת מידע בין בעל מאגר בישראל לבין מחזיק שמקום מושבו מחוץ ישראל, המחזיק נדרש לעמוד בחובות המהותיות הקבועות בהוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו. מעמדת הרשות עולה לדוגמה, שחברה אמריקאית המציעה שירותי אחסון ענן לחברות ישראליות כפופה ישירות לחוק הגנת הפרטיות ותקנותיו, אף אם אין לה כל נוכחות פיזית בישראל.
מה חברות נדרשות לעשות?
לאור גילוי הדעת, חברות נדרשות לבחון את ההסכמים שלהן המסדירים העברת מידע אישי לחו"ל (למשל, הסכמים לשירותי SaaS הכוללים עיבוד מידע אישי). גם אם ההסכמים לא כוללים התחייבות מפורשת לעמידה בדרישות חוק הגנת הפרטיות הישראלי, הם עשויים לעמוד בדרישות התקנות. זאת למשל, אם מדובר בהעברת מידע אישי לתחומי האיחוד האירופי או כאשר ההסכם מיישם במהות הוראות זהות לאלו שחלות תחת הדין הישראלי.
אנו מזמינים אתכם לפנות אלינו לכל שאלה ו/או התייעצות בנושא.
עדכון זה נועד לספק מידע כללי ותמציתי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנידונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו.
