לקוחות וידידים נכבדים,
אנחנו שמחים לשתף אתכם במבזק עדכונים בתחום הגנת הפרטיות שהכנו עבורכם.
להלן העדכונים והתזכורות לגבי דרישות בחוקי/תקנות הגנת הפרטיות:
◀ תזכורת: ביום 1 בינואר 2025 נכנסו לתוקף תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 גם ביחס למידע נוסף המצוי במאגר מידע בישראל יחד עם מידע שהתקבל מהאזור הכלכלי האירופי
התקנות כוללות חובות נוספות החלות על בעל מאגר מידע, ביחס למידע אישי שהועבר לישראל מהאזור הכלכלי האירופי וכעת חובות אלו יחולו גם ביחס למידע אישי אחר המצוי באותו מאגר, זאת בנוסף לחובות הקבועות בחוק הגנת הפרטיות:
1. חובת מחיקת מידע - זכותו של נושא המידע לבקש כי מידע אישי אודותיו יימחק ממאגר המידע בהתקיים אחת העילות בתקנות, ובעל המאגר מחויב יהיה למחוק מידע זה, בכפוף לחריגים המנויים בתקנות.
2.הגבלת החזקת מידע שאינו נחוץ - בעל המאגר מחויב להפעיל מנגנון שיבטיח כי במאגר המידע לא יוחזק מידע שאינו נחוץ למטרה לשמה נאסף או הוחזק, או למטרה אחרת לשמה מותר להחזיקו. אם התברר כי במאגר מצוי מידע שאינו נחוץ עוד, יש למחוק אותו בהקדם האפשרי, בכפוף לחריגים המנויים בתקנות.
3. חובת דיוק מידע - בעל המאגר נדרש להפעיל מנגנון שיבטיח כי המידע המצוי במאגר נכון, שלם, ברור ומעודכן. אם יתברר שלא כך הדבר, יש לנקוט אמצעים סבירים לתיקון המידע או מחיקתו.
4. חובת יידוע - בעל מאגר שקיבל מידע על אדם, נדרש ליידע אותו, לכל המאוחר בתוך חודש, בדבר זהות בעל המאגר ומנהל המאגר, מענם ודרכי ההתקשרות עימם, מטרת העברת המידע, סוג המידע שהועבר, קיומה של זכות מחיקה, זכות עיון והזכות לתיקון המידע, בכפוף לחריגים המנויים בתקנות. כך גם לגבי מידע על אדם שבכוונתו להעביר לצד שלישי.
מה נדרש לעשות?
לבחון קיום מאגרים בהם קיים מידע שהועבר לישראל מהאזור הכלכלי האירופי – חובות לגבי מידע זה נכנסו לתוקף החל מ-7 במאי 2024.
ככל שקיימים מאגרים המחזיקים מידע מהאזור הכלכלי האירופי לצד מידע אישי אחר, חלה כעת חובה למפות סוגי מידע, לעדכן את נהלי ותהליכי העבודה לגבי אותם מאגרים והמידע הכלול בו על מנת לעמוד בהוראות התקנות – מועד התחילה מיום 1 בינואר 2025.
לשאלות ותשובות שפרסמה הרשות בנושא זה >>
◀ הנחיית הרשות להגנת הפרטיות בנושא העברת בעלות במאגר מידע
ביום 22 בדצמבר 2024 פרסמה הרשות להגנת הפרטיות הנחיה בנושא העברת בעלות במאגר מידע (מצבים שעשויים לקרות לדוגמא כתוצאה ממכירת מאגר המידע, מיזוג חברות, מכירת החברה או העסק או כינוס נכסים).
הרשות הדגישה במסגרת ההנחיה ששינוי זהות בעל השליטה במאגר מידע עשוי להשפיע על נושאי המידע ועל זכויותיהם וקבעה הבהרות הבאות:
1. העברת הבעלות במאגר אינה מתירה שינוי במטרת השימוש במאגר המידע;
2. שינוי או הרחבת מטרות השימוש במידע מצריכים קבלת הסכמת נושאי המידע עבור המטרה החדשה טרם העברת הבעלות במאגר המידע;
3. אם העברת הבעלות במאגר המידע אינה כרוכה בשינוי מטרות עיבוד המידע, בדרך כלל ניתן יהיה להסתפק בעדכון נושאי המידע בדבר העברת הבעלות, ללא צורך לקבל הסכמה פוזיטיבית שלהם. העדכון ייעשה באמצעות שליחת דוא"ל לנושאי המידע הכולל את זהות בעל המאגר החדש ופרטי ההתקשרות עימו.
כמו כן, הרשות הדגישה כי במקרים בהם מאפייני בעל המאגר המקבל שונים מאלה של בעל המאגר המקורי באופן מהותי, שעלול להשפיע במידה ניכרת על זכויות נושא המידע או החורג משמעותית מציפיותיו לגבי נסיבות איסוף המידע והשימוש בו, או במקרים בהם יש להניח כי נושא המידע לא היה מתקשר עם בעל המאגר המקבל, יש לקבל את הסכמת נושא המידע מראש, גם אם לא חל שינוי במטרות השימוש במידע.
מה נדרש לעשות?
ככל שהיו מצבים בהם שליטה במאגר השתנתה, יש לפעול לבחינה של שימוש והרשאות לגישה למידע והאם לא חלו שינויים במטרות עיבוד מידע כמו כן, יש לפעול לקבלת הסכמת נושאי המידע, ככל שנדרש.
מועד תחילתה של ההנחיה: מיום פרסומה.
◀ גילוי דעת בנושא פרשנות תקנה 3 לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001
ביום 13 באוקטובר 2024 פרסמה רשות הגנת הפרטיות גילוי דעת בנושא פרשנות תקנה 3 לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001.
תקנה 3 מחייבת בעלי מאגרי מידע המעבירים מידע אל מחוץ לישראל לוודא כי מקבל המידע נוקט באמצעים מספקים להבטחת פרטיות נושאי המידע, וכן כי המידע לא יועבר לצד שלישי.
הרשות הבהירה בגילוי הדעת שעל מנת לוודא קיומם של "אמצעים מספיקים להבטחת הפרטיות", ניתן להסתמך על ערובות מקובלות להגנה על פרטיותם של נושאי המידע, כגון עמידה ברגולציית הגנת המידע של האיחוד האירופי או בחקיקה של מדינות שהדין שלהן הוכר על ידי האיחוד האירופי כבעל תאימות לרגולציה זו.
בנוסף, הרשות הבהירה כי האיסור על העברת מידע לצד שלישי במדינה זרה לא יחול כאשר ניתנה לכך הסכמה בכתב מהגורם שמעביר את המידע מישראל, ובתנאי שאילו היה המידע מועבר ישירות מישראל לצד השלישי ההעברה הייתה עומדת בדרישות הדין.
מה נדרש לעשות?
מגילוי הדעת נובע שמעביר מידע מישראל לחו"ל יצטרך לבצע בדיקות הגנת הפרטיות לא רק על מקבל המידע, אלא גם על גורמים שלישיים אליהם יועבר המידע.
מועד תחילתה של ההנחיה: מיום פרסומה.
נכתב על ידי: עו"ד נועם לב, סניור מנג'ר, מחלקת רגולציה, KPMG ישראל
מחלקת רגולציה וניהול סיכונים ב KPMG ישראל, מתמחה במתן שירותים רגולטוריים, לרבות שרותי ניטור ועדכונים רגולטורים בארץ ובעולם.
לכל שאלה ולפרטים נוספים, ניתן לפנות ליבגניה קרמר
