ביום 29.11.22 פרסם משרד המשפטים להערות הציבור את טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2022 ("התקנות"), שמטרתן להסדיר את ההוראות לגבי מידע אישי המועבר לישראל מהאזור הכלכלי האירופי ("EEA"), למעט מידע שהעביר במישרין אדם אודות עצמו.
התקנות האמורות מוצעות על רקע תהליך הבחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לחידוש מעמד התאימות (Adequacy) שניתן לישראל על ידי האיחוד האירופי בשנת 2011, מעמד המכיר בישראל כמדינה שרמת הגנת המידע האישי בה תואמת לרמת ההגנה הנדרשת במדינות ה-EEA, ולכן העברת מידע אישי ממדינות הEEA- לישראל דינה כדין העברת מידע בתוך מדינות הEEA- ואין צורך בהתחייבויות רגולטוריות נוספות מצד הגורם המעביר או הגורם המקבל את המידע בישראל. לאור זאת, למעמד התאימות ישנה חשיבות מהותית למשק הישראלי, כאשר חברות ישראליות אשר מועבר אליהן מידע אישי שמקורו בחברות המאוגדות בEEA- ו/או בהקשר לתושבי הEEA- אינן כפופות להתחייבויות פרטניות (רגולטוריות וחוזיות) לעניין עיבוד המידע האמור, מעבר לדרישות הסטנדרטיות תחת הדין האירופי ("GDPR") והדין בישראל.
התקנות המוצעות נועדו לחזק את ההכרה של נציבות האיחוד האירופי בכך שמידע אישי של תושבי האיחוד יקבל את רמת ההגנה הנדרשת, בין היתר, על ידי ביסוס הזכות למחיקת מידע אישי שתינתן לתושבי האיחוד, שכן זכות זו אינה מעוגנת כזכות עצמאית תחת חוק הגנת הפרטיות בישראל וכן הרחבת המונח "מידע רגיש", כך שההגדרה תכלול מידע על מוצאו של אדם וחברותו בארגון עובדים, על מנת שתהא תואמת להגדרה הקבועה תחת הGDPR.
התקנות המוצעות קובעות ארבע חובות שיחולו על בעלי מאגרי המידע בישראל, ביחס למידע אישי שהועבר לישראל מהאזור הכלכלי האירופי (למעט מידע שהועבר במישרין על ידי נושא המידע עצמו) כדלהלן:
חובת מחיקת מידע לבקשת נושא מידע – בעל מאגר מידע ימחק מידע לבקשתו הכתובה של נושא המידע בהתקיים אחד מאלה: (1) המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין; (2) המידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף.
התקנה אף קובעת חריגים המאפשרים לבעל מאגר המידע לסרב לבקשת המחיקה, ולדוגמא, מקרים בהם השימוש במידע הינו בהיקף הנחוץ והמידתי לצורך מימוש חופש הביטוי או זכות הציבור לדעת ;מילוי חובה חוקית או ביצוע סמכות על פי דין; הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי; ניהול הליך משפטי או גביית חובות; מניעת הונאה, גניבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו; מימוש חובות הנובעות מהסכם בין-לאומי שממשלת ישראל היא צד לו.
הגבלת החזקת מידע שאינו נחוץ – בעל מאגר מידע יפעיל מנגנון ארגוני (לדוגמה, מדיניות שמירת מידע), טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין, כאשר המחיקה תקוים במועד המוקדם האפשרי בנסיבות העניין. אולם, חובה זו אינה חלה על מידע שלא מאפשר זיהוי של נושאי המידע De-identifiable Data)) או אם השימוש במידע הוא לצורך אחד מהחריגים המפורטים בתקנה, לרבות מימוש חופש הביטוי או זכות הציבור לדעת; הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי; ניהול הליך משפטי או גביית חובות; מניעת הונאה, גניבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו; מימוש חובות הנובעות מהסכם בין-לאומי שממשלת ישראל היא צד לו.
יצוין כי, העקרון הנ"ל, הקובע כי יש למחוק מידע אישי אשר אינו נדרש כבר למטרה לשמה נאסף ו/או צורך לגיטימי אחר, אינו עקרון חדש תחת הדין הישראלי, והוא נדרש אף תחת תקנות הגנת הפרטיות (אבטחת מידע) במסגרת הדרישה לבחון אחת לשנה האם המידע השמור במאגר אינו רב מה הנדרש, וכן במסגרת הנחיות שונות של הרשות להגנת הפרטיות לעניין "מידע עודף".
חובת דיוק המידע – בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו חובת דיוק מידע להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן. במקרה שבעל מאגר מידע נודע כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, בעל המאגר מחויב לנקוט אמצעים סבירים לצורך תיקון או מחיקת המידע.
חובת היידוע – חלה על בעל המאגר חובה להודיע לנושאי המידע, במישרין או בעקיפין (באמצעות הגורם ממנו התקבל המידע) את הפרטים הבאים: (1) זהות בעל מאגר המידע ומנהל המאגר, מענה ודרכי ההתקשרות; (2) מטרת העברת המידע; (3) סוג המידע שהועבר; (4) קיומה של הזכות לבקש את מחיקת המידע. יתרה מזאת, העברת המידע על ידי בעל המאגר לצדדים שלישיים מחייבת עמידה בחובות יידוע נוספות, ולדוגמא, פרטים לעניין זהות ופרטי ההתקשרות של הצד שלישי או סוג הגורמים השלישיים אליהם יועבר המידע (בנוסף למידע אשר צוין לעיל).
על בעל המאגר לוודא את יישומה של חובת הידוע בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש מקבלתו. החריגים הקבועים תחת תקנה זו, הפוטרים את בעל המאגר מחובת היידוע האמורה, כוללים, לדוגמא, מקרים שבהם פרטי ההתקשרות של נושאי המידע אינם ידועים או יישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל המאגר, קיומה של חובת סודיות בדין או איסור הדין על גילוי המידע, מימוש חובת היידוע עלול לפגוע בזכויותיו או בחייו של אדם וכדומה.
על מנת לאפשר לבעלי מאגרי המידע להיערך לכניסתן לתוקף של התקנות, הוצע לקבוע כי תחילתן תהא שלושה חודשים מיום פרסומן לגבי מידע שהתקבל במאגר בישראל ביום הקובע או לאחריו או שנה מיום פרסומן ביחס למידע שהתקבל במאגר בישראל לפני תאריך הכניסה לתוקף. כלומר, חובות אלו יחולו רטרואקטיבית, גם על מידע אשר הועבר לבעל המאגר בטרם כניסתן לתוקף של התקנות.
יודגש כי לא מדובר בנוסח הסופי של התקנות והטיוטה פתוחה להערות הציבור עד לתאריך 20.12.2022 בשעה 23:59.
נמשיך לעדכנכם בכל ההתפתחויות המשמעותיות שתהיינה בנוגע לכניסתן לתוקף של התקנות ופרסומה של האסדרה הסופית בנושא.
נשמח לעמוד לרשותכם בכל שאלה.