האיסור הגורף והמוחלט על העברת מידע מגורם זר שקיבל מידע מישראל אל צד שלישי המסייע לו במיקור חוץ, הוא גזירה שאין הציבור יכול לעמוד בה – ולכן לא יחול כאשר בעל מאגר המידע הישראלי נתן הסכמתו בכתב להעברה. כך קובעת גרסתו הסופית והמחייבת, של גילוי הדעת של הרשות להגנת הפרטיות, שפרסמה הרשות היום (ב'). גילוי הדעת עוסק בפרשנות תקנה 3 לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001, ודומה ברובו לטיוטה שפורסמה ב-2022.
תקנה 3 קובעת כי בעל מאגר מידע אשר מעביר מידע מישראל אל גורם במדינה זרה, בכפוף להסכמה או להסמכה אחרת בדין, נדרש לקבל התחייבות בכתב ממקבל המידע לפיה מקבל המידע לא יעביר את המידע לכל גורם אחר, בין באותה המדינה ובין במדינה אחרת. הלכה למעשה, אוסרת התקנה על מקבל המידע להיעזר בצדדים שלישיים בעיבוד המידע. איסור זה - בכך מכירה הרשות לראשונה - אינו תואם את ההתפתחויות הטכנולוגיות ואת השינויים ביחסי המסחר הבינלאומיים שחלו מאז הותקנו התקנות, ואין לו מקבילה בחקיקת הפרטיות בעולם.
עתה, מבהירה הרשות כי העברת מידע ממקבל המידע במדינה זרה אל צד שלישי תהיה חוקית כל עוד בעל המאגר הישראלי, שהעביר מלכתחילה את המידע, הסכים לכך בכתב, ובכפוף לכך שהעברה הייתה עומדת בדרישות הדין גם אילו הייתה מבצעת מישראל (למשל, כאשר דין המדינה שאליה מועבר המידע מבטיח רמת הגנה על מידע שאינה פחותה מזו של הדין הישראלי).
באשר לחובת בעל המאגר הישראלי לקבל התחייבות בכתב לפיה מקבל המידע במדינה הזרה נוקט אמצעים מספיקים לשמירה על הפרטיות, כנדרש גם כן בבתקנה 3, הבהירה הרשות כי התחייבות כזו לא נדרשת לכלול תנאים זהים במדויק לאלה החלים על מאגרי מידע בישראל: ההתחייבות יכולה לכלול ערובות מקובלות אחרות, בשים לב להיקף המידע ולרגישותו (למשל, עמידה ברגולציית הגנת המידע של האיחוד האירופי, או בחקיקה של מדינות שהוכרו על ידי האיחוד האירופי כתואמות לרמת ההגנה הנדרשת בו על הגנת מידע). הרשות גם מפנה לטיוטת גילוי הדעת לעניין יישום תקנה 2, לפיה ניתן גם להעביר מידע אישי אל מדינה אחרת שרמת ההגנה על מידע בה פחותה מזו שבישראל, למי שהתחייב "לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים".
למען הסר ספק, מבהירה הרשות כי ככל שהעברת המידע לחו"ל כרוכה גם במיקור חוץ או במתן גישה לגורם חיצוני אל מאגר המידע המצוי בישראל, תחול תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז - 2017, המחייבת את בעל המאגר לכלול בהסכם עם הגורם החיצוני, ולחייב את הגורם החיצוני לכלול בהסכם עם הגורם הנוסף, את כל הנושאים המפורטים בתקנה 15, כמו סוג המידע שניתן לעיבוד, הגישה למערכות המאגר, סוג העיבוד המותר וכו'. הרשות מפנה את בעלי המאגר הישראלים למדריך להתקשרות עם ספקי מיקור חוץ והנחיית הרשות לשימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי, להרחבה בנושא.