גורם מחוץ לישראל שמקבל מידע מבעל מאגר מידע בישראל במסגרת הסכם בין הצדדים, רשאי שלא לעמוד בחלק מחובות הגנת הפרטיות הקבועות בחוק הגנת הפרטיות והתקנות מכוחו. זאת, בהינתן שקיימת הצדקה אובייקטיבית לאי העמידה בחובה, למשל בשל המסגרת החוקית החלה על הגורם הזר במדינתו. כך קובע גילוי דעת חדש של הרשות להגנת הפרטיות, העוסק בפרשנות התקנה המתירה להעביר מידע מישראל אל גורם מחוץ לארץ, שהתחייב לקיים את החובות הקבועות בדין הישראלי.
תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001, אוסרות על העברת מידע אישי ממאגר מידע בישראל אל מדינה אחרת שרמת ההגנה על מידע בה פחותה מזו שבישראל, אלא בנסיבות הקבועות בסעיף 2 לתקנות. אחת מהנסיבות הללו היא זו הקבועה בתקנה 2(4), שעניינה במקרה בו המידע מועבר למי שהתחייב "לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים". גילוי הדעת עוסק בפרשנות המונח "שינויים מחויבים".
הרשות מכירה בכך שקיום התנאים לאחזקת מידע ושימוש בו הקבועים בחוק בישראל לא יהיה אפשרי באופן מלא בכל המדינות, בין השאר בהתחשב במסגרת החוקית במדינה אליה מועבר המידע. עם זאת, הרשות הדגישה כי אמות מידה סובייקטיביות כמו נסיבות אישיות או ארגוניות של מקבל המידע, לא יוכלו להצדיק היעדר עמידה בתנאים האמורים. כמו כן, הרשות הבהירה כי גילוי הדעת אינו חל על מקרה של העברת המידע למחזיק במאגר – אשר מחויב בעמידה במלוא החובות לפי החוק והתקנות.
לפי גילוי הדעת, הסכם להעברת מידע בין בעל מאגר מידע בישראל לבין גורם מחוץ לישראל חייב לכלול, לכל הפחות, התחייבות של מקבל המידע:
- שלא להשתמש במידע למטרה אחרת מזו שלשמה הוא נמסר לבעל המאגר הישראלי.
- לתת לנושא המידע זכות לעיין במידע שעליו וכן זכות לבקש את תיקון המידע או מחיקתו.
- לקיים את חובת הסודיות ביחס למידע שהגיע אליו.
- לקיים את חובות אבטחת המידע הקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017; או לחלופין להצהיר על עמידתו בתקן האבטחה ISO/IEC 27001 ולהתחייב לקיים את ההוראות הנוספות שבתקנות אבטחת מידע, בהתאם להנחיית הרשות בנושא.
- לעמוד בהוראות תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023, אם מדובר במידע שהועבר במקור מהאזור הכלכלי האירופי.
- לוודא כי כל צד שלישי במדינה הזרה שיקבל את המידע ממנו (בכפוף לתנאי התקנות), יחויב גם הוא בקיום התנאים האמורים.
לעומת זאת, במקרה שבו מקבל המידע לא יעמוד בחובת רישום מאגר המידע, ובתנאי שבמדינה שבה הוא פועל אין חובת רישום למאגרים מהסוג המסוים, הדבר יוכל להיחשב כ"שינוי מחויב".