אמש התפרסמו תקנות המטילות חובות חדשניות ומכבידות על מי שמקבלים מידע אישי מאירופה: התקנות כוללות אוסף של זכויות חדשות ובהן זכות אדם לדרוש מחיקת מידע, חובת דיוק מידע, הגבלות על החזקת מידע, חובת מתן הודעה לנושאי מידע שבמאגר לרבות אם המידע לא התקבל מהם ועוד. הן יחולו במלואן גם על מידע שלא הגיע מאירופה ובלבד שהוא מוחזק במאגר ביחד עם מידע "ישראלי". הלכה למעשה מדובר בתיקון מהותי בחוק הגנת הפרטיות.
תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאיזור הכלכלי האירופי), התשפ"ג - 2023 הותקנו כדי לתמוך בחידוש ההכרה של האיחוד האירופאי בישראל, כמדינה שרמת ההגנה בה על מידע אישי הולמת את רמת ההגנה הנוהגת באיחוד, כך שאפשר יהיה להמשיך להעביר אליה מידע בלא הגבלה. אירופה היא שוק הסחר העיקרי של ישראל. ההכרה בנאותות חשובה אפוא מאוד למשק. שלילת ההכרה תגרור אחריה פגיעה קשה בחברות וארגונים, בגורמי מחקר ושלטון ותפגע גם במעמדה המדיני של ישראל. כך לדוגמה, אם מעמד הנאותות לא יחודש, ארגונים בישראל לא יוכלו להמשיך לקבל מידע אישי הכפוף ל-GDPR אלא לאחר שיישמו צעדים הגנה חוזיים, משפטיים, טכנולוגיים ואדמיניסטרטיביים מיוחדים הכרוכים בהקדשת זמן, כסף ותקורות ניהוליות שעד כה נחסכו מהם. כיוצא בזה, יידרשו הארגונים לערוך בדיקות היתכנות על אמצעים משלימים להגנה על המידע, ובפרט אמצעים טכנולוגיים להגנה מפני גישה למידע על ידי רשויות חקירה וביון בישראל. הם גם יידרשו לבחון מה הסיכונים הנשקפים למידע האישי מרשויות חקירה וביון בישראל העשויות לגשת למידע האישי שבידיהם.
עיקרי התקנות
תחולה – התקנות יחולו על כל מידע שהועבר מהאזור הכלכלי האירופאי ועל כל מידע נוסף המצוי עמו במאגר מידע ישראלי. התקנות אינן חלות אם המידע מהאזור הכלכלי האירופאי הועבר במישרין על-ידי נושא המידע, אם הועבר מרשות האחראית על הבטחון או אכיפת החוק באזור הכלכלי האירופאי לרשות ביטחון בישראל או אם השימוש במידע הנדרש למטרת הגנה על בטחון המדינה או אכיפת חוק.
רוב מכריע של החובות לפי התקנות החדשות אינו מוכר בחוק הגנת הפרטיות הקיים -
- חובת מחיקת מידע – בעל מאגר נדרש למחוק מידע (או לבצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע), לבקשת נושא המידע, בין השאר ככל שהמידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף. בעל מאגר רשאי לסרב לבקשה מטעמים מוגבלים כדוגמת מימוש חופש הביטוי, מילוי חובה חוקית או ביצוע סמכות על פי דין, ניהול הליך משפטי ומניעת הונאה. עליו להודיע בכתב לנושא המידע על החלטתו במועד המוקדם האפשרי בנסיבות העניין.
- הגבלת החזקת מידע שאינו נחוץ – בעל מאגר נדרש להפעיל מנגנונים שיבטיחו כי לא יוחזק במאגר מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק מלכתחילה, או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין. אם מצא מידע כזה במאגר, עליו למחקו במועד המוקדם האפשרי, אלא אם נקט פעולות המבטיחות שלא יתאפשר באמצעים סבירים לזהות את נושא המידע, או אם השימוש במידע הוא למספר מוגבל ומוגדר של צרכים הנקובים בתקנות.
- חובת דיוק מידע –בעל מאגר נדרש להפעיל מנגנונים שיבטיחו כי המידע שהתקבל במאגר הוא נכון, שלם, ברור ומעודכן. ככל שמצא כי המידע אינו כזה, עליו לנקוט באמצעים סבירים בנסיבות העניין לצורך תיקון או מחיקת המידע.
- חובת יידוע –בעל מאגר שקיבל מידע אודות נושא מידע מהאזור הכלכלי-אירופאי נדרש להודיע לו, במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע, ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש, על זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עמם; מטרת העברת המידע; סוג המידע שהועבר; וקיומן של זכויות המחיקה, העיון ותיקון המידע של נושא המידע. החובה חלה גם כאשר בעל המאגר מעוניין להעביר את המידע לצדדים שלישיים, או אז על בעל המאגר לפרט את זהות או סוג הצדדים השלישיים אליהם יועבר המידע מוקדם ככל האפשר ולא יאוחר ממועד העברתו, בכפוף לחריגים (כמו הכבדה בלתי סבירה על בעל המאגר המידע).
- הרחבת חובת רישום מאגר המידע –מידע על מוצאו של אדם ועל חברות בארגון עובדים ייחשב מעתה גם ל"מידע רגיש", כך שאחזקתו במאגר המידע תדרוש את רישום המאגר בהתאם לסעיף 8(ג) לחוק הגנת הפרטיות.
תחילת התוקף
- לגבי מידע אישי שהגיע מהאזור הכלכלי האירופאי - התקנות יחולו מ- 7.8.2023 על מידע שיתקבל ממועד זה ואילך. מ-7.5.2024 הן יחולו לגבי מידע שהתקבל לפני 7.8.2023.
- לגבי מידע אישי אחר שמוחזק במאגר ביחד עם מידע מהאזור הכלכלי האירופאי – התקנות יחולו מ-1.1.2025.
משמעויות מיידיות לחברות, ארגונים ומוסדות בישראל
- בהתחשב בכך שהתקנות מחילות עצמן על מאגרים שיש בהם מידע שהגיע מאירופה, אפילו רוב המידע שבהם מקורו בישראל - יש להתייחס לתקנות כתיקון דה פקטו בחוק הגנת הפרטיות, המקנה זכויות חדשות שלא הוכרו בו.
- ארגונים ישראלים המחזיקים במידע שהועבר מאירופה או במאגרים ישראלים שכוללים מידע זה נדרשים כעת לציית להסדרים דמויי GDPR, גם אם לא נדרשו לכך מכוח ה-GDPR עצמו.
- חברות ישראליות יידרשו להשקיע משאבים רבים בזיהוי מקורות המידע שברשותן כדי לעמוד בתקנות וליישם את הוראותיהן – לכל המאוחר בתוך שנה.
הערות לסיום
- משרד המשפטים הודיע כי בדיון שהתקיים ב-23.4.2023 בוועדת החוקה, חוק ומשפט בכנסת, כי בכוונתו להציג בתוך חודשים ספורים את התיקונים המהותיים לחוק הגנת הפרטיות, הידועים כתיקון 15. נראה שהמשרד שואף לייתר את ההסדר בתקנות, בכך שהתיקונים המהותיים ייקבעו בחוק עוד לפני תחילת 2025, שאז התקנות ייכנסו בתוקף ביחס למידע שהתקבל טרם תיקונן. הסיכויים לכך נראים נמוכים.
- אין לדעת בשלב זה אם התקנות יאכפו בפועל או שהן נועדו רק להצדיק את חידוש מעמד הנאותות של ישראל.
- אין מניעה לסווג מידע שהתקבל מאירופה כמאגר מידע נפרד. אולם ככל שהוא נמצא באותן מערכות ממש שבו נמצא מידע "ישראלי", קשה יהיה להחיל אמצעים טכנולוגיים רק על מקצת המידע.
- לנוכח השינויים המשטריים שהממשלה מקדמת בימים אלו בישראל, אין כל ביטחון שמעמד הנאותות יחודש למרות אישור התקנות. נהפוך הוא. בדיקת התאימות מחייבת בראש ובראשונה לבחון את שלטון החוק במדינה המבקשת הכרה.