ביום 23.4.2023 אישרה ועדת החוקה, חוק ומשפט ("הוועדה") את תחולתן של תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2022 ("התקנות"), שמטרתן קביעת הוראות לעניין העברת מידע אישי מהאזור הכלכלי האירופי ("EEA") לישראל, למעט מידע שהעביר במישרין אדם אודות עצמו.
נוסח הצעת התיקון הראשונית קבעה ארבע חובות שיחולו על בעלי מאגרי המידע בישראל, ביחס למידע אישי שהועבר לישראל מהאזור הכלכלי האירופי (למעט מידע שהועבר במישרין על ידי נושא המידע עצמו) כפי שפירטנו בהרחבה בעדכון הלקוחות הקודם שפרסמנו בנושא:
חובת מחיקת מידע לבקשת נושא מידע – בעל מאגר מידע ימחק מידע לבקשתו הכתובה של נושא המידע בהתקיים אחד מאלה: (1) המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין; (2) המידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף.
התקנה אף קובעת חריגים המאפשרים לבעל מאגר המידע לסרב לבקשת המחיקה, ולדוגמא, מקרים בהם השימוש במידע הינו בהיקף הנחוץ והמידתי לצורך מימוש חופש הביטוי או זכות הציבור לדעת ;מילוי חובה חוקית או ביצוע סמכות על פי דין; הגנה על עניין ציבורי, וכו'.
הגבלת החזקת מידע שאינו נחוץ – בעל מאגר מידע יפעיל מנגנון ארגוני (לדוגמה, מדיניות שמירת מידע), טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין, כאשר המחיקה תקוים במועד המוקדם האפשרי בנסיבות העניין.
חובת דיוק המידע – בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו חובת דיוק מידע להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן. במקרה שבעל מאגר מידע נודע כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, בעל המאגר מחויב לנקוט אמצעים סבירים לצורך תיקון או מחיקת המידע.
חובת היידוע – חלה על בעל המאגר חובה להודיע לנושאי המידע, במישרין או בעקיפין (באמצעות הגורם ממנו התקבל המידע) את הפרטים הבאים: (1) זהות בעל מאגר המידע ומנהל המאגר, מענה ודרכי ההתקשרות; (2) מטרת העברת המידע; (3) סוג המידע שהועבר; (4) קיומה של הזכות לבקש את מחיקת המידע. יתרה מזאת, העברת המידע על ידי בעל המאגר לצדדים שלישיים מחייבת עמידה בחובות יידוע נוספות, ולדוגמא, פרטים לעניין זהות ופרטי ההתקשרות של הצד שלישי או סוג הגורמים השלישיים אליהם יועבר המידע (בנוסף למידע אשר צוין לעיל).
לאחר פרסום טיוטת התקנות להערות הציבור, העבירה הוועדה ביום א' 23.4.2023 את נוסחן הסופי של התקנות. הנוסח הסופי של התקנות מוסיף וקובע כי:
ראשית, התקנות יחולו במלואן על כל המידע האישי במאגר מידע אשר מכיל מידע של יחידים מ-EEA – כלומר גם על מידע אישי של יחידים מטריטוריות שונות הכלול באותו מאגר מידע. תקנה זו נוגעת למחלוקת אשר נוצרה בנוסח התקנות המקורי, אשר קבעה כי חובות התקנות יחולו רק על מידע של יחידים מאזור EEA, ובכך נוצרה סתירה לעניין מאגרי מידע שמחילים מלבד מידע של יחידים אירופאים גם מידע של יחידים מטריטוריות שונות.
שנית, לעניין תחולתן הרטרואקטיבית של התקנות על מידע שהתקבל במאגר מידע בישראל לפני כניסת התקנות לתוקף, קבעה הוועדה כי התחולה הרטרואקטיבית על מידע שאינו ביחס ליחידים מה EEA, יחל רק ביום 1.1.2025, ולא בעוד שלושה חודשים ממועד פרסום התקנות הסופי. שינוי זה נעשה מתוך הצורך לאפשר לבעלי מאגרי המידע להיערך לכניסתן לתוקף של התקנות, ומתוך רצון למנוע משטר כפול באשר למידע אישי, רצון אשר צפוי לקבל מענה תחת התיקונים המהותיים המוצעים לחוק הגנת הפרטיות, תשמ"א 1981 (תיקון 14 ו-15), ואשר צפויים לקבוע הסדר דומה באשר לכל מידע אישי, ללא תלות במיקומו הגאוגרפי של היחיד נושא המידע.
בימים הקרובים תפרסם הוועדה את הנוסח הסופי של התקנות, אשר תחולתן תתחיל שלושה חודשים לאחר פרסום התקנות.
תכליתו של עדכון זה להציג חידושים בתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2022, ואין בו משום עצה משפטית לאופן פעולה קונקרטי. נשמח לעמוד לרשותכם בכל שאלה.
צוות APM לפרטיות ואבטחת מידע.