לאחר שפורסם כטיוטה להערות הציבור ביולי 2024, פרסמה הרשות להגנת הפרטיות גילוי דעת סופי לגבי פרשנות תקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 ("תקנות הייצוא").

לאור גילוי הדעת, מומלץ לבחון מחדש העברת מידע אישי מחוץ לישראל שהתבססה על תקנה 2(4) – דבר נפוץ בעיקר בהעברות מידע למדינות לא-אירופאיות.

תקנה 2(4) לתקנות הייצוא קובעת כי "ניתן להעביר מידע אל מאגר מידע מחוץ לגבולות המדינה אם בעל המאגר התחייב, בהסכם עם מעביר המידע, לקיים, לגבי המידע, את התנאים לאחזקת מידע והשימוש בו החלים על מאגר בישראל, בשינויים המחויבים לפי נסיבות העניין".

ודוק. התקנה לא דורשת שמקבל המידע יתחייב לקיים את חוק הגנת הפרטיות, אלא את "התנאים" לעיבוד המידע החלים בישראל, בשינויים מחויבים.

אחת הפרשנויות המקובלות ל"תנאים" החלים בישראל הייתה, שעמידה בחוק של מדינה שדיניה תואמים לאלו של ישראל, מספיקה כדי לקיים את דרישות התקנה. באופן זה, אפשר היה להעביר מידע לגוף לא-אירופאי שהתחייב לקיים את ה GDPR אף שהוא לא חל עליו באופן ישיר. אך מגילוי הדעת עולה שלדעת הרשות, הסתמכות על תקנה 2(4) דורשת שהחוזה עם הנעבר הזר יכלול "התחייבויות הזהות, או שתוכנן דומה באופן מהותי, לאלו הקבועות בחוק הגנת הפרטיות הישראלי". הרשות ממשיכה ומפרטת כמה חובות עיקריות כאלה, כגון התחייבות שלא לעבד מידע שלא למטרה לשמה נמסר, למתן זכות עיון ותיקון, ולשמור על סודיות.

לגבי אבטחת מידע, עמדת גילוי הדעת היא שבהעברת מידע מחוץ לישראל בהסתמך על תקנה 2(4) לתקנות הייצוא הנעבר צריך להתחייב גם לחובות המהותיות של תקנות אבטחת מידע. כאן עלול להתעורר קושי כי תקנות אבטחת המידע הישראליות יוצאות דופן ברמת הפירוט שלהן, ואין חפיפה מלאה בינן לבין תקנים מקובלים כמו ISO 27001 או בינן לבין דרישות אבטחת המידע המופיעות ב GDPR.

חשוב לציין שגילוי הדעת לא קובע שיש לחוק הגנת הפרטיות ותקנות אבטחת מידע תחולה אקסטרה-טריטוריאלית, אף שהוא מציין שייתכנו מצבים כאלה. הדיון בהחלת החוק הישראלי נובע כולו מכך שזו דרישת התקנה המסוימת.

נעיר, שבנוסח לעיון הציבור של גילוי הדעת נקבע שכאשר יש העברה למחזיק "נדרשת עמידה מלאה ומדויקת של המחזיק בהוראות חוק הגנת הפרטיות ותקנותיו…". הוראה זו, שאפשר היה לפרש כחלה על כל ייצוא מידע לעיבוד מחוץ לישראל (גם לא לפי תקנה 2(4)), לא מופיעה עוד.

לכך יש להוסיף שבגילוי דעת קודם, על תקנה 3 לתקנות הייצוא, שדורשת, בין השאר, שמקבל המידע יתחייב לנקוט אמצעים מספיקים להבטחת פרטיותם של מי שהמידע עליהם, הבהירה הרשות שתקנה זו לא מחייבת לדרוש ממקבל המידע הזר התחייבות לעמוד בחוק הישראלי.

מאחר שהעברה לאירופה אפשרית מכוח תקנה 2(8) לתקנות הייצוא, ובהן אין דרישה שהספק יתחייב לעמוד ב"תנאים לאחזקת מידע והשימוש בו החלים על מאגר בישראל", עיקר הקושי שיעורר גילוי הדעת הוא בהעברת מידע למדינות מחוץ לאירופה, שנסמכה פעמים רבות על תקנה 2(4).

ייתכן שהשד אינו נורא כל כך, ואפשר לנסח חוזה שכולל את ההוראות הרלוונטיות כך שיעמוד בתנאי גילוי הדעת. למעשה, האירופאים נקטו בגישה כזו כשקבעו "תנאים חוזיים אחידים" (Standard Contractual Contracts) שמשקפים את ההוראות המהותיות ב GDPR. במקרים בהם הספק משתמש במערכת הסכמית אחידה, לא יהיה מנוס מבדיקה שמסמכי ההתקשרות כוללים את ההתחייבויות הנדרשות.

אנו עומדים לרשותכם בכל שאלה,

אייל שגיא, שיר שושני-כץ וצוות מחלקת משפט וטכנולוגיה

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי, ואין לעשות בו כל שימוש אחר.