גילוי דעת: פרשנות תקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001
ביום 8 ביולי 2024 פרסמה הרשות להגנת הפרטיות גילוי דעת לעניין פרשנות תקנה 2(4), הקובעת כי ניתן יהיה להעביר מידע למאגר מידע שבמדינה שדיניה אינם מבטיחים רמת הגנת מידע ברמת ההגנה הקבועה בדין הישראלי, אם מקבל המידע התחייב בהסכם עם בעל מאגר המידע שממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים.
גילוי הדעת מתמקד בשאלת פרשנות הרשות להגנת הפרטיות למונח "שינויים מחויבים", שבהתקיימם כאמור ניתן להעביר מידע מחוץ לגבולות המדינה בהסתמך על תקנה 2(4). להלן כמה נקודות מתוך גילוי הדעת:
- הרשות מכירה בכך שהמסגרת החוקית במדינה אליה מבקשים להעביר את המידע עשויה שלא לאפשר במקרים מסוימים עמידה מלאה בכללי אחזקת המידע והשימוש בו במדינת ישראל.
- נסיבות אישיות או ארגוניות אינן מצדיקות "שינויים מחויבים" בהתאם לתקנה.
- ככלל, על ההסכם להעברת מידע לכלול התחייבות של מקבל המידע לקיים כלפי נושאי המידע התחייבויות הזהות בתוכנן לאלו הקבועות בחוק הגנת הפרטיות הישראלי.
- במסגרת התקשרות בין בעל מאגר מידע בישראל לבין מחזיק שמקום מושבו מחוץ לישראל, נדרשת עמידה מלאה ומדויקת של המחזיק בהוראות חוק הגנת הפרטיות הישראלי ותקנותיו ביחס למאגר המידע בו הוא מחזיק.
- לעניין הוראות אבטחת מידע החלות על המאגר, הרשות מכירה כהתחייבות לעמידה בכללים "בשינויים המחויבים" כאשר מקבל המידע הוא בעל הסמכה לתקן 27001 IEC/ISO, כולל קיום הבקרות הרלבנטיות המפורטות בנספח A לתקן, וכן מתחייב לקיים את החובות הקבועות בתקנות הספציפיות מתוך תקנות אבטחת מידע המנויות בהנחיית הרשות להגנת הפרטיות מס' 3/2018 בנושא תחולת תקנות הגנת הפרטיות (אבטחת מידע) על ארגונים המוסמכים לתקן 27001 IEC/ISO.
- הרשות מבהירה שאי עמידה של מקבל המידע בחובת רישום מאגר מידע תתקבל כ"שינוי מחויב" לעניין תקנה (4) ככל שבמדינה אליה מועבר המידע לא קיימת חובת רישום מאגרי מידע ביחס למאגר מסוג זה שממנו הועבר המידע בישראל.
ככלל, גילוי הדעת מצמצם מאוד את האפשרות ל"שינויים מחויבים" ומחייב התחייבות של מקבל המידע לעמוד לא רק בחוק הגנת הפרטיות ולתקנות שהותקנו מכוחו, אלא באופן רחב יותר ב"תנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל".
ניתן להעביר הערות על גילוי הדעת לרשות להגנת הפרטיות עד ליום 8 באוגוסט 2024.
תחולה: ארגונים המעבירים מידע למאגרי מידע שמחוץ לגבולות ישראל.
תחילה: לאחר פרסום גילוי הדעת הסופי.
לעיון במסמך המדיניות - לחצו כאן
נכתב על ידי: עו"ד נועם לב, סניור מנג'ר, מחלקת רגולציה, KPMG ישראל
מחלקת רגולציה וניהול סיכונים מתמחה במתן שירותים רגולטוריים, לרבות שרותי ניטור ועדכונים רגולטורים בארץ ובעולם.
לכל שאלה ולפרטים נוספים, ניתן לפנות ליבגניה קרמר