משרד המשפטים פרסם אתמול טיוטה להערות הציבור של תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי).
עדכון זה מתמקד בדרישות התקנות המוצעות ובהשוואה כללית למצב המשפטי הקיים. עמדנו בעבר על הרקע לתקנות המוצעות, על חשיבותן ועל השגותינו העקרוניות מהן בעדכון לקוחות שפרסמנו בחודש יולי האחרון ובמאמר שכתבנו ופורסם באתר וואלה לפני כשלושה חודשים.
תחולת התקנות המוצעות היא על בעלי מאגרים בישראל, ביחס למידע שהועבר מהאיחוד האירופי (EEA) לישראל, למעט מקרים שבהם אדם העביר מידע על עצמו.
התקנות המוצעות מחילות ארבע חובות על בעלי מאגרים ישראלים ביחס למידע כאמור:
על פי טיוטת התקנות, בעל מאגר ימחק מידע אם נושא המידע ביקש זאת בכתב, ואם התקיים אחד משני התנאים הבאים: המידע נוצר, התקבל או נצבר בניגוד להוראות הדין או שהמשך השימוש בו מנוגד לדין; או שהמידע לא נחוץ יותר למטרות לשמן נאסף או נצבר.
התקנות המוצעות מאפשרות לבעל המאגר לסרב לבקשת מחיקה כזו אם השימוש במידע הוא מידתי ונחוץ לשם מימוש חופש הביטוי או זכות הציבור לדעת; מילוי חובה חוקית או סמכות על פי דין; התדיינות משפטית או גביית חובות; מימוש חובות שנובעות מהסכם בינלאומי שממשלת ישראל צד לו; מניעת הונאה או פעולה אחרת שעלולה להשפיע על מהימנות המידע; הגנה על עניין ציבורי, כולל ארכוב, מחקר מדעי או סטטיסטי.
שתי ההחרגות האחרונות הן טובות וחשובות, ומאפשרות את הגמישות הנדרשת במגוון רחב של עיבודי מידע. הן גם מבטאות לדעתנו איזון נכון בין צרכים נפוצים של ארגונים לבין הזכות לפרטיות של נושאי המידע הרלוונטיים.
עניין חשוב נוסף בקשר לחובת המחיקה על פי התקנות המוצעות, הוא שהן מאפשרות חלופה למחיקה – ביצוע פעולות המבטיחות שלא יתאפשר זיהוי של נושאי המידע, באמצעים סבירים, ובמילים אחרות, אנונימיזציה.
בנוסף, התקנות המוצעות מחייבות את בעל המאגר להודיע לנושא המידע על החלטתו "במועד המוקדם האפשרי בנסיבות העניין".
אנחנו מזכירים שחובת מחיקה לפי דרישה קיימת כבר עכשיו בדין הישראלי באופן ישיר ביחס למידע המשמש לדיוור ישיר ולמידע לא מדויק שבעל המאגר מסרב לתקנו. תקנות אבטחת מידע מחייבות בדיקה תקופתית לקיומו של מידע עודף במאגרים. אף שתקנות אבטחת מידע לא מציינות חובה למחוק מידע כזה, עמדת רשות הגנת הפרטיות היא ששמירת המידע העודף יוצרת סיכוני אבטחת מידע בניגוד לחוק הגנת הפרטיות. לגבי מידע שנוצר, התקבל או נצבר בניגוד להוראות הדין או שהמשך השימוש בו מנוגד לדין, אנו ממליצים למוחקו גם לפי הדין הקיים, כדי לא לסכן את חוקיות המאגר בו מידע כזה נמצא.
התקנות מציעות לחייב בעל מאגר להפעיל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח שאין במאגר מידע לא נחוץ, ואם אכן נמצא מידע כזה – למחוק אותו "במועד המוקדם האפשרי בנסיבות העניין".
על חובת המחיקה של מידע לא נחוץ יחולו ההוראות של חובת המחיקה הכללית – חלופת האנונימיות ועיבוד מידתי ונחוץ למטרות שנמנו בסעיף הקודם.
אנחנו רואים חפיפה גדולה בין חובה זו לבין החובה שנובעת כאמור מתקנה 2(ג) לתקנות אבטחת מידע כבר היום.
התקנות המוצעות מחייבות בעל מאגר להפעיל מנגנון ארגוני נוסף לזה שהוזכר קודם – מנגנון שנועד להבטיח שהמידע נכון, שלם, ברור ומעודכן. אם נמצא מידע שאיננו מדוייק, על בעל המאגר לנקוט אמצים סבירים לתיקון או מחיקת המידע.
אף כי בעלי מאגר לא מחויבים להפעיל מנגנונים להבטחת דיוק מידע, הצורך בעיבוד מידע מדויק נובע מסעיף 14 לחוק הגנת הפרטיות ומתקנה 1(3) לתקנות ייצוא מידע. עיבוד מידע לא מדויק עלול גם לחשוף בעלי מאגרים לאחריות נזיקית מכוח עוולת הרשלנות, כך שהפעלת שהבטחת דיוק המידע שמעובד מומלצת בכל מקרה.
התקנות המוצעות מחייבות את בעל המאגר ליידע את נושא המידע על זהות בעל המאגר ומנהל המאגר, פרטי קשר שלהם, מטרת העברת המידע אליו, סוג המידע וזכות מחיקה, עיון ותיקון.
יידוע כזה ייעשה ישירות לנושא המידע או בעקיפין דרך הגוף שהעביר את המידע לבעל המאגר הישראלי, בסמוך למועד קבלת המידע, ולא יותר מחודש ממועד קבלתו אצל בעל המאגר.
חובת יידוע דומה תחול גם במקרה שבו בעל המאגר הישראלי ירצה להעביר את המידע לצד שלישי.
חובות היידוע הללו לא יחולו אם לבעל המאגר הישראלי יש יסוד סביר להניח שפרטי המידע שהוזכרו כבר ידועים לנושא המידע; אם פרטי הקשר של נושאי המידע לא ידועים לו; אם יש חובת סודיות בדין או איסור בדין על גילוי הפרטים; אם יש הוראה בדין שמסדירה את גילוי הפרטים; אם היידוע עלול לפגוע בשלומו או בחייו של אדם או שהיידוע יפגע בזכויות של אדם במידה שגוברת על הזכות ליידוע.
בהקשר זה חשובה ההחרגה בתקנות המוצעות שעוסקת בהכבדה בלתי סבירה על בעל המאגר הישראלי.
סעיף 11 לחוק כבר קובע חובות יידוע מסויימות. אומנם כאשר מידע מגיע מצד שלישי, ולא ישירות מנושא המידע, סעיף 11 לא חל, אבל לאור החובה בסעיף 11 ליידע בעת איסוף המידע על העברתו לצדדים שלישיים (ומטרות ההעברה), לכאורה נמצאת חובת היידוע אצל הגורם שאסף את המידע לראשונה. תחת התקנות המוצעות חובה זו תחול על מקבל המידע.
טיוטת התקנות גם מוסיפה שמידע על מוצא ועל חברות בארגון עובדים יהוו "מידע רגיש" כהגדרתו בסעיף 7 לחוק הפרטיות.
לגבי מועד תחולה – ביחס למידע "חדש" שיתקבל ביום פרסום התקנות או לאחריו מוצע לתת תקופת היערכות של שלושה חודשים מיום פרסום התקנות. ביחס למידע קיים, שהתקבל לפני היום שבו יפורסמו התקנות, מוצע לתת תקופת היערכות של שנה מיום הפרסום.
המסמך פתוח להערות הציבור עד ה – 20.12.22.
אנו עומדים לרשותכם לכל שאלה,
אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.