לאחרונה אנו עדים לשורה של יוזמות מטעם משרד המשפטים בהובלה של הרשות להגנת הפרטיות, שמטרתן העיקרית היא לשמור על סטטוס התאימות (adequacy) שיש כיום למדינת ישראל עם האיחוד האירופאי.

שמירה על סטטוס התאימות מול האיחוד האירופאי חשובה ביותר על מנת להקל על העברת מידע ממדינות באיחוד האירופאי הכפופות לתקנות הכלליות להגנה המידע (“GDPR”). כאשר גוף אירופאי יבקש להעביר מידע לגוף זר מחוץ לאירופה בו אין סטטוס תאימות כאמור, יצטרך הצד האירופאי לוודא (בדרך כלל באמצעות התחייבויות חוזיות) כי הצד הזר יכול לעמוד בתקנים ובסטנדרטים מינימליים בהתאם ל- GDPR על מנת להעביר את המידע הרצוי. לעומת זאת, גוף אירופאי לא יצטרך לוודא עמידה בסטנדרטים מינימליים כאלה אם העברת המידע יבוצע לגוף הנמצא במדינה הזוכה לסטטוס תאימות כי רמת ההגנה על מידע בהן נמצאה תואמת לרמת ההגנה על מידע באזור הכלכלי האירופי.

1. החלטת ממשלה על עצמאותה של הרשות

בהחלטה מיום 02.10.2022, אישרה הממשלה את מעמדה של הרשות כרשות עצמאית בהפעלת הסמכויות המוקנות לה ולראש הרשות על פי דין.

החלטת הממשלה קבעה גם את מעמדו של ראש הרשות והקריטריונים למינויו, וכן את תפקידיה של הרשות, אשר כוללים (בין היתר): (א) לפקח על מילוי הוראות חוק הגנת הפרטיות, התשמ"א- 1981 והתקנות לפיו ביחס למאגרי מידע; (ב) לחקור חשדות לביצוע עבירות לפי החוק ביחס למאגרי מידע; (ג) להעלות את המודעות בציבור לזכות לפרטיות במאגרי מידע, לערך ההגנה על הפרטיות ולחשיבותו בעידן המידע, באמצעות חינוך, הדרכה והסברה; (ד) לטפל בפניות ציבור שיש בהן ממש בעניין פגיעה בנושאי מידע; (ה) לפתח וליישם תכניות מקצועיות והכשרות בתחומי פעילותה; (ו) לקדם ולקיים קשרים עם גופים מקבילים בעולם ובמסגרת פורומים בין-לאומיים בהם משתתפים גופים מקבילים; (ז) לבצע את סמכויות רשם הגורמים המאשרים לפי חוק חתימה אלקטרונית, התשס"א-2001 .

בנוסף לשמירה על מעמד התאימות, הכרזה כאמור גם מאפשר לרשות לפעול באופן חופשי יותר, מעלה את חשיבותה של הרשות ומאפשר לרשות להתמקד בנושאים שהם מעבר לאכיפה וגבייה ולקבל לשם כך תקציבים.

2. פרסום נוסח תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי)

בנוסף להחלטת הממשלה הנ"ל, פרסם לאחרונה משרד המשפטים טיוטה של תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2022 להערות הציבור.

בהתאם לנוסח טיוטת התקנות שהתפרסם, התקנות חלות על מידע המצוי במאגר מידע בישראל אשר הועבר מהאזור הכלכלי האירופי, ולמעט מידע שהעביר במישרין אדם על אודות עצמו.

הנושאים העיקריים שהתקנות מתייחס אליהם הם:

• חובת מחיקת מידע

אחד מההבדלים העיקריים היום בין הוראות ה-GDPR לבין הדין הישראלי הוא הזכות הימחק. על פי הוראות ה-GDPR  נושא מידע רשאי לפנות למעבד המידע ולדרוש שזה ימחק את אותו המידע שנאסף על נושא המידע. על פי הדין הישראלי קיימות הוראות ספציפיות לפיהם יידרש בעל מאגר למחוק את המידע (לדוגמא, במקרה של דיוור ישיר), וגם קיימות הנחיות של הרשות בעניין, אך ההוראות הקיימות בדין הישראלי מצומצמות בהרבה מה-GDPR.

על פי נוסח טיוטת התקנות, בעל מאגר יהיה חייב למחוק מידע לבקשתו של נושא המידע אם התקיימו אחד מאלה: (א) המידע נוצר או נאסף בניגוד להוראות כל דין או שהמשך השימוש בו מנוגד לדין; או (2) המידע אינו נחוץ למטרות אשר למענן נוצר.

בעל המאגר מנגד, רשאי לסרב לבקשה אם אותו שימוש במידע הוא לצורך אחד מאלה: (א) מימוש חופש הביטוי או זכות הציבור לדעת; (ב) מילוי חובה חוקית או ביצוע סמכות על פי דין; (ג) הגנה על עניין ציבורי; (ד) ניהול הליך משפטי או גביית חוב; (ה) מניעת הונאה או גניבה; (ו) מימוש חובות הנובעות מהסכם בינ"ל שממשלת ישראל היא צד לו.

חשוב לציין כי על פי הנוסח טיוטת התקנות, אם תתקבל בקשה למחיקה אצל בעל המאגר, ולא יתקיימו אחד החריגים שלעיל, בעל המאגר רשאי להחליט האם למחוק את המידע הרלוונטי או לבצע פעולות במידע שלא יאפשר, באמצעות סבירים, לזהות את נושא המידע.

• הגבלת החזקת מידע שאינו נחוץ

טיוטת התקנות מחייבת בעל מאגר להפעיל מנגנונים ארגוניים, טכנולוגיים או אחרים על מנת להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק.

אם זוהה מידע לא נחוץ כאמור, בעל מאגר מידע יהיה חייב למחוק אותו, אלא אם בוצע במידע פעולות המבטיחות שלא יתאפשר (באמצעים סבירים) לזהות את נושא המידע ובתנאי שלא יתקיימו אחד מהחריגים שלעיל.

• חובת דיוק המידע

בעל מאגר המידע חייב להפעיל את אותם מנגנונים ארגוניים, טכנולוגיים או אחרים על מנת לזהות שאין במאגר מידע שאינו נכון, שלם, ברור ומעודכן.

אם זוהה מידע שאינו נכון, שלם, ברור או מעודכן, יהיה בעל מאגר חייב לנקוט באמצעים סבירים (בנסיבות העניין) לצורך תיקון או מחיקת המידע.

• חובת יידוע

כאשר בעל מאגר מקבל מידע אודות אדם, יהיה חייב (על פי נוסח התקנות המוצע) להודיע על כך לאותו אדם באופן ישיר או באמצעות הגורם שממנו הועבר המידע מתוך האיזור הכלכלי האירופי, ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש. הודעה כאמור חייבת לכלול את פרטי בעל מאגר המידע ומנהל המאגר, מטרת העברת המידע, סוג המידע, קיומה של זכות מחיקת המידע וזכות עיון ותיקון המידע על פי החוק. בנוסף נדרש גם ליידע את נשוא המידע במידה ובעל מאגר המידע ירצה להעביר את המידע לצד ג'.

נציין כי חובת היידוע כפופה לכמה חריגים, ובהתקיים אחד מהם בעל מאגר המידע יהיה פטור מחובה זו.

יצוין כי הדין הישראלי הקיים, אמנם מתייחס לחובת יידוע, אך לא במובן הזה. כיום מי שאוסף את המידע יהיה חייב ליידע את נושא המידע ואם אותו גורם אוסף מתכוון להעביר לצד ג' את אותו מידע הוא חייב להודיע על כך לנושא המידע, כלומר חובת היידוע היא על הגורם שאוסף את המידע. לפי נוסח התקנות נכון לעכשיו, גם אותו צד ג' שמקבל את המידע (ולא בהכרח אוסף אותו) יהיה חייב להודיע על כך לנושא המידע.

***

הבהרה: כל סקירה ו/או מידע המובא במסגרת זו אינו מיועד להצגה או להעתקה, בשום אופן ובשום צורה, והשימוש בסקירה ו/או במידע דלעיל הינו באחריות המשתמש בלבד. מובהר כי אין המידע האמור מהווה תחליף לייעוץ משפטי.