תחולת תקנות הגישור ביחס למידע ישראלי המנוהל יחד עם מידע שמקורו באזור הכלכלי האירופאי

כזכור, במאי 2023 פורסמו תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 ("תקנות הגישור"). תקנות הגישור פורסמו בהמשך לטיוטה משנת 2022, אשר ניתן לקרוא אודותיה במזכר שפרסמנו. התקנות הותקנו בכדי לחדש את מעמד התאימות (Adequacy) שניתן לישראל על ידי האיחוד האירופי בשנת 2011, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי במדינות האזור הכלכלי האירופי. לצורך כך, תקנות הגישור מחילות על מידע "אירופאי" חובות מוגברות ומחמירות, תוך הגברת החשיפה של גופים המנהלים מאגרים שכאלה.

תקנות הגישור נכנסו לתוקף בצורה מדורגת החל מאוגוסט 2023. אלא שהחל מחודש ינואר 2025, תקנות הגישור יחולו לא רק על מידע שמקורו באזור הכלכלי האירופי, אלא גם על מידע  "אחר" המעובד באותו מאגר מידע – דהיינו מידע של אזרחים ישראלים או כזה שמקורו במדינות אחרות, המעובד באותם מאגרי מידע בהם מעובד מידע אירופאי.

על איזה מידע תקנות הגישור חלות?

לפי תקנה 2(א)(1) לתקנות הגישור, תחולתן היא ביחס למידע שהתקבל במאגר מידע בישראל מהאזור הכלכלי האירופי, גם כאשר מדובר במידע אודות תושבים או אזרחים זרים, למעט מידע שאדם העביר במישרין על עצמו.

במילים אחרות, תקנות הגישור חלות רק מקום שהמידע הגיע מצד שלישי ולא ישירות מנושא המידע. לדוגמה, במקרה של רשת מלונות ישראלית, ככל ומדובר באורח אירופי המבצע הזמנה ישירות באתר בית המלון, הרי שממילא תקנות הגישור אינן חלות, שכן המידע נמסר ישירות על ידי האורח במסגרת ההתקשרות עימו. אולם במקרה ופרטי האורח התקבלו מאתר הזמנות גלובאלי, כדוגמת Booking.com, על פניו המידע נמסר שלא במישרין על ידי נושא המידע וממילא תקנות הגישור יחולו על המידע שבמאגר. והחל מחודש ינואר 2025, תקנות הגישור יחולו לא רק על המידע האירופי שבמאגר, אלא אף על כל מידע אחר שמנוהל באותו מאגר – דהיינו מידע של אורחים ישראלים ושל אורחים ממדינות שאינן אירופאיות, המעובד באותה מערכת מידע.

דוגמא אחרת יכולה להיות של חברה המעסיקה עובדים ישראלים וזרים, חלקם באירופה. ככל והמידע שהיא מנהלת לגבי העובדים מגיע במישרין מהעובד האירופי ניתן לראות במידע ככזה שאינו כפוף לתקנות הגישור. אולם ככל והמידע מתקבל באמצעות סוכנות העסקה מקומית באירופה או גוף צד ג' בחו"ל, ממילא תקנות הגישור יחולו, והחל מינואר הקרוב יחולו החובות המוגברות שבהן ביחס לכלל המידע המנוהל באותו מאגר – גם ביחס לעובדים ישראלים.

לתחולת תקנות הגישור חריגים  מסוימים, כגון מידע שהועבר מרשות האחראית על הביטחון או על אכיפת החוק באזור הכלכלי האירופי, אל רשות ביטחון בישראל. אולם ככלל, אנו ממליצים לכל בעל מידע ישראלי המקבל מידע אירופאי מידי צדדים שלישיים לבחון את חשיפתו לתקנות הגישור.

אילו חובות מוגברות מטילות תקנות הגישור?

• חובת מחיקת מידע לבקשת נושא המידע– בעל השליטה במאגר מידע ימחק מידע לבקשתו הכתובה של נושא המידע בהתקיים אחד מאלה: (1) המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות כל דין; (2) המידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף. זאת בכפוף לחריגים לפיהם בעל השליטה יוכל לסרב לבקשת המחיקה. נזכיר בהקשר זה כי (בשונה מה- GDPR ורגולציות בינ"ל דומות) החוק הישראלי כיום אינו מקנה זכות מחיקה כללית לנושאי מידע (החובה קיימת רק ביחס למאגר המשמש לדיוור ישיר). בהתאם לתקנות הגישור, זכות זו מוקנית החל מינואר 2025 גם לנושאי מידע ישראלים ביחס למידע שלהם המעובד באותו מאגר מידע עם מידע אירופאי.
  ­
• מחיקת מידע עודף– בהתאם לתקנות הגישור, על בעל השליטה להפעיל מנגנון ארגוני שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע המאפשר זיהוי של נושא מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק, או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין. זאת למעשה בצורה פרואקטיבית ושוטפת, גם בהיעדר בקשת מחיקה של נושא המידע. בהתאם לתקנות הגישור, יש לבצע את המחיקה במועד המוקדם האפשרי בנסיבות העניין. חובה דומה וכללית באופייה קבועה כיום בתקנה 2(ג) לתקנות אבטחת מידע, הקובעות את חובתו של בעל המאגר להבטיח אחת לשנה כי אין במאגרי המידע שלו מידע "רב מן הדרוש לו למטרות המאגר". אלא שהחובה שבתקנות הגישור קונקרטית ורחבה יותר, וכפי שיוצג להלן, היא מלווה בצעדי אכיפה וסנקציות מוגברות.
  ­
• חובת דיוק המידע– בעל השליטה במאגר מידע יפעיל מנגנון שמטרתו דיוק המידע בכדי להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן. במקרה ונודע כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, בעל השליטה מחויב לנקוט באמצעים סבירים לצורך תיקון או מחיקת המידע. בשלב זה, לא ברור לחלוטין מהו האופן בו יש ליישם חובה זו מבחינה מעשית והאם הכוונה היא לחובת טיוב מידע תקופתית. אולם כך או כך ברי כי מדובר בהרחבה של החובות החלות ביחס למידע עליו לא חלות תקנות הגישור.
  ­
• חובת היידוע– חלה על בעל השליטה חובה להודיע לנושאי המידע, במישרין או בעקיפין (באמצעות הגורם ממנו התקבל המידע) את הפרטים הבאים: (1) זהות בעל השליטה, מענה ודרכי התקשרות; (2) מטרת העברת המידע; (3) סוג המידע שהועבר; ו- (4) קיומה של הזכות לבקש את מחיקת המידע. את המידע יש למסור לנושא המידע "ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר בתוך חודש ממועד קבלת המידע". בנוסף, העברת המידע על ידי בעל השליטה לצדדים שלישיים מחייבת עמידה בחובות יידוע נוספות. חובה זאת בשגרה מקוימת באמצעות מדיניות הפרטיות שמוסר בעל השליטה לנושא המידע. עם זאת, חשוב לשים לב שחובת הגילוי הקבועה בתקנות הגישור רחבה בהיקפה מחובת היידוע הכללית הקבועה בסעיף 11 לחוק הגנת הפרטיות. דהיינו ייתכן וכניסת תקנות הגישור לתוקף בינואר הקרוב מחייבת תיקון של מדיניות הפרטיות בעברית והתאמה שלה למקובל באירופה. נציין כי לחובת היידוע מספר חריגים, כאשר אחד מהם חל כאשר "לבעל השליטה במאגר יש יסוד סביר להניח שפרטי המידע הכלולים… ידועים לנושא המידע". כלומר, במקרים בהם למשל המידע נמסר כבר לנושא המידע, או שניתן להניח באופן מבוסס כי המידע ידוע לו, החובה אינה חלה.

עיצומים מיוחדים לעניין הפרת תקנות הגישור לפי תיקון 13

תיקון 13 מרחיב בצורה ניכרת את יכולות האכיפה של הרשות להגנת הפרטיות ("הרשות") ובין היתר נקבעו עיצומים כספיים ייחודיים לעניין הפרת תקנות הגישור:

• יוטל עיצום על סך 15,000 ₪ על בעל השליטה במאגר מידע שלא הודיע בכתב לנושא המידע על החלטתו בבקשה למחיקת מידע כאמור בתקנות הגישור.
• יוטל עיצום על סך 2 ₪ (עבור "מידע רגיל") ו-4 ₪ (עבור "מידע בעל רגישות מיוחדת") לכל אדם, בגין, בין היתר, אי הפעלת מנגנון לצמצום מידע עודף. יודגש כי ראש הרשות יכול להטיל על בעל השליטה או על המחזיק עיצום כספי בסכום על סך 20,000 ₪ או 40,000 ₪, לפי העניין, גם אם סכום העיצום עבור ההפרה בפועל נמוך מסכומים אלו.
• יוטל עיצום על סך 4 ₪ (עבור "מידע רגיל") ו-8 ₪ (עבור "מידע בעל רגישות מיוחדת") לכל אדם, בגין אי ציות להוראה להפסקת הפרה מידי ראש הרשות, בין היתר, בעניין בקשה למחיקה שלא בוצעה. יודגש כי ראש הרשות יכול להטיל על בעל השליטה או על המחזיק עיצום כספי בסכום על סך 200,000 ₪, לפי העניין, גם אם סכום העיצום עבור ההפרה בפועל נמוך מסכום זה.

חשוב לשים לב כי במאגרי מידע של חברות ישראליות רלבנטיות קיימים לפעמים פרטי מידע המתייחסים למיליוני נושאי מידע (חברות להשכרת רכב, מלונאות, חברות תעופה וכו') וממילא הסיכון שבקבלת עיצום השווה למכפלת נושאי המידע שבמאגר ב-8-2 ₪ לכל נושא מידע, עולה לכדי מיליונים רבים.

כך או כך, עם מועד התחולה של תקנות הגישור על מידע "אחר", וביחוד ככל שמתקרב המועד לכניסתו של תיקון 13 לתוקף, ברי כי מומלץ לנקוט בפעולות הנדרשות על פי הדין.

בשנים האחרונות פיתחנו במחלקת פרטיות, רגולציה וטכנולוגיה של עמית, פולק, מטלון ושות' מתודה סדורה לביקורת של עמידה בתקנות הגנת הפרטיות ובהוראות החוק, תוך מתן כלים פרקטיים ומעשיים לסגירת הפערים והטמעת בקרות שוטפות ותקופתיות המבטיחות את המשכיות הציות בחברה. אנו מזמינים אתכם לפנות אלינו בכדי שנסייע לכם להבין האם תקנות הגישור עלולות לחול בעניינכם, ובמציאת הדרך הטובה ביותר להתמודד עם החובות השונות שבחוק ובתקנות, תוך הקטנת הנטל הרגולטורי והחשיפה לקנסות, עיצומים והליכי אכיפה.

תכלית עדכון זה, להציג את החידושים בחקיקה ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.

צוות APM לפרטיות, רגולציה ולטכנולוגיה.