העברת מידע אישי אל מחוץ לישראל ומידע שהועבר לישראל מהאזור הכלכלי האירופי
תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001 שהותקנו מכוח חוק הגנת הפרטיות קובעות כי לא יעביר אדם מידע ולא יאפשר העברה של מידע ממאגר מידע בישראל אל מחוץ לגבולותיה, אלא אם כן התקיים אחד התנאים הבאים –
1. דין המדינה שאליה מועבר המידע, מבטיח רמת הגנה על מידע שאינה פחותה, בשינויים המחויבים, מרמת ההגנה על מידע הקבועה בדין הישראלי, ובכלל זה קובע עקרונות אלה:
(1) מידע ייאסף ויעובד באופן חוקי והוגן;
(2) מידע יוחזק, ישמש ויימסר רק למטרה שלשמה נתקבל;
(3) מידע שנאגר יהיה מדויק ומעודכן;
(4) נתונה זכות עיון ותיקון למי שהמידע עליו;
(5) קיימת חובה לנקוט אמצעי ביטחון נאותים להגנה על מידע במאגרי מידע.
על פני הדברים, המדינות נחשבות כמקיימות את הדרישות שלעיל הן למשל מדינות האיחוד האירופי הכפופות לדין האירופי על עיבוד מידע אישי.
2. האדם שעליו המידע הסכים להעברה.
3. לא ניתן לקבל את הסכמתו של האדם שעליו המידע וההעברה הכרחית לשם הגנה על בריאותו או שלמות גופו.
4. המידע מועבר לתאגיד שנתון לשליטתו של בעל מאגר המידע שממנו מועבר המידע, והוא הבטיח את ההגנה על הפרטיות לאחר ההעברה.
5. העברת המידע הכרחית לשם הגנה על שלום הציבור או ביטחונו.
6. העברת המידע מחויבת לפי הדין בישראל.
7. המידע פורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות שבדין.
8. המידע מועבר למי שהתחייב בהסכם עם בעל מאגר המידע שממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים.
9. המידע מועבר למאגר מידע במדינה שהיא לפחות אחת מאלה –
(1) היא צד לאמנה האירופית להגנת הפרט בקשר לעיבוד אוטומטי של מידע רגיש;
(2) היא מקבלת מידע ממדינות החברות בקהיליה האירופית, לפי אותם תנאי קבלה. אירופה הכירה במרוצת השנים במספר מדינות - לרבות בקנדה, שוויץ, ארגנטינה, אורוגוואי וניו-זילנד (לצד ישראל) – כמקיימות רמת הגנה משפטית על מידע העומדת בסטנדרטים האירופאים.
(3) רשם מאגרי מידע הודיע לגביה, בהודעה שפרסם ברשומות, שקיימת בה רשות שנועדה להגן על הפרטיות, לאחר שהגיע עם אותה רשות להסדר על שיתוף פעולה. נכון לעת הזו, רשם מאגרי המידע לא נתן הודעה שכזו ברשומות לגבי אף מדינה.
בכל אחד ממקרים אלה, בעל מאגר המידע בישראל נדרש בנוסף לקבל התחייבות בכתב מאת מקבל המידע הזר, שלפיה –
1. הוא נוקט אמצעים מספיקים להבטחת פרטיותם של מי שהמידע עליהם; וכן
2. הוא מבטיח שהמידע לא יועבר לכל אדם זולתו, בין באותה מדינה ובין במדינה אחרת.
באשר לדרישה זו, בטיוטת גילוי דעת שהרשות להגנת הפרטיות פרסמה בינואר 2022, הודגש כי האיסור על העברת מידע מגורם זר שקיבל מידע מישראל, אל גורם זר אחר במסגרת הסתייעות במיקור חוץ, לא יחול כאשר בעל המאגר הישראלי הסכים להעברה בכתב, ובכפוף לכך שנעשתה מכוח הסכמת מי שהמידע על אודותיו יועבר או מכוח אחת ההסמכות האחרות בדין.
תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 אומצו בחודש מאי 2023 על מנת לתמוך במאמציה של ישראל לחדש את הכרה ע"י נציבות האיחוד האירופי כמדימה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי (האיחוד האירופי, איסלנד, נורבגיה וליכטנשטיין).
ההוראות העיקריות של התקנות הן:
1. חובת מחיקת מידע. בכפוף לחריגים מסוימים, בעלי מאגרי מידע נדרשים למחוק או להפוך מידע לאנונימי אם המידע אינו נחוץ עוד למטרות שלשמן הוא נאסף, התקבל או נשמר.
2. הגבלת החזקת מידע שאינו נחוץ. בעלי מאגרי מידע נדרשים ליישם מנגנונים שיבטיחו שהם לא ישמרו מידע אישי שאינו נחוץ עוד למטרה שלשמה הוא נאסף או הוחזק במקור.
3. חובת דיוק מידע. בעלי מאגרי מידע נדרשים להטמיע מנגנונים כדי להבטיח שהמידע השמור במאגר המידע יהיה מדויק, מלא, ברור ועדכני.
4. חובת יידוע. כאשר בעל מאגר מידע מקבל נתונים אישיים על נושא מידע מהאזור הכלכלי האירופי, על בעל מאגר המידע למסור הודעות פרטיות לנושא המידע בהקדם האפשרי, ולא יאחור מחודש לאחר קבלת הנתונים. הודעת הפרטיות צריכה לכלול מידע מסוים כגון שם בעל מאגר המידע ופרטי הקשר, מטרת ההעברה, סוג המידע המועבר וזכויותיו של נושא המידע לגשת לתקן או למחוק את המידע.
5. הרחבת חובת רישום מאגר מידע. מידע על מוצאו האתני או הגזעי של אדם וחברות באיגוד עובדים, ייחשב כ"מידע רגיש". מאגר מידע המכיל מידע רגיש חייבת ברישום המאגר לפי חוק הגנת הפרטיות הישראלי.
התקנות אינן חלות על נתונים אישיים המועברים מהאזור הכלכלי האירופי (EEA) ישירות על ידי נושא המידע אלא על מידע שהתקבל מגורם שאינו נושא המידע. התקנות ייכנסו לתוקף בשלבים, כאשר בשלב הראשון בתאריך 7 באוגוסט 2023 נכנסו לתוקף התקנות ביחד לכל מידע שהתקבל במאגר מידע בישראל מהאזור הכלכלי האירופי החל מה-7 במאי 2023 ואילך. מה-7 במאי 2024, התקנות יחולו גם על מידע אישי שהתקבל מהEEA לפי ה-7 באוגוסט 2023. החל מה-1 בינואר 2025, התקנות יחולו גם על כל שאר המידע האישי המאוחסן באותו מאגר מידע עם מידע שהועבר מה-EEA.