הרשות להגנת הפרטיות פרסמה השבוע גילוי דעת בנושא פרשנות תקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א – 2001 ("תקנות העברת מידע לחו"ל").
כידוע, לפי תקנות העברת מידע לחו"ל, יש כמה מסלולים דרכם ניתן לייצא מידע אל מחוץ לישראל. אחד מהמסלולים הללו קבוע בתקנה 2(4), לפיה ניתן לייצא מידע מישראל במקרה שבו מקבל המידע "התחייב בהסכם עם בעל מאגר המידע שממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים".
עד היום לא הבהירה הרשות מהם "התנאים לאחזקת מידע ולשימוש בו החלים בישראל", וגם לא מה גבולות המונח "בשינויים המחויבים". מאחר שחוק הגנת הפרטיות מיושן, חלק גדול מ"התנאים" שתקנה 2(4) מתייחסת אליהם נובע מהנחיות, הנחות, וקונבנציות, שיש להן רק עיגון דל (אם בכלל) בחוק החרוט.
במסמך שפורסם, הרשות דורשת קבלת התחייבות ממקבל המידע הזר ביחס לנושאים שמנויים בסעיף 7 לגילוי הדעת, כמו צמידות מטרה, מימוש זכויות נושאי מידע ושמירה על סודיות. דרישות אלה ניתנות ליישום ותואמת את הסטנדרט המקובל היום בשוק. לעומת זאת, עמדת הרשות לפיה יש לקבל התחייבות זהה ממקבל המידע הזר להתחייבויות שקיימות בדיני הגנת הפרטיות בישראל היא לא ברורה, כאמור לעיל.
מהמסמך עולה גם כי הרשות סבורה שלא ניתן לקבל מצב שבו מקבל המידע שנמצא מחוץ לישראל איננו מתחייב לקיים את "התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל" משום נסיבות אישיות או ארגוניות, שלא מאפשרות לו להתחייב לכך.
לדעתנו, אפשר היה לפרש את תקנה 2(4) באופן שגוף המתחייב לעמוד בהוראות ה -GDPR ייחשב כעונה על דרישת התקנה, ופרשנות זו אף תואמת את עמדת הרשות לפיה ניתן לייצא מידע לכל מדינה שמקיימת את ה – GDPR לפי תקנה 1 לתקנות העברת מידע לחו"ל (שמתירה ייצוא מידע למדינות בהן הדין דומה לדיני הגנת הפרטיות ב הישראל). במקום זאת, הרשות בחרה בהסדר שיהיה קשה לעמוד בו, משום שלאור החוק המיושן, קשה להגדיר מהם "התנאים החלים בישראל" על עיבוד מידע, והרשות ציינה רק מספר דוגמאות מסויימות, בלי לומר אם הסדרתן מספיקה כדי לעמוד בתקנה 2(4).
למרות שגילוי הדעת נועד להבהיר באילו מצבים ניתן לייצא מידע מחוץ לישראל על בסיס תקנה 2(4), הוא כולל אמירה בעייתית מאוד לגבי רוב ייצוא המידע, באופן שלמעשה מרוקן את עצמו מתוכן. לפי גילוי הדעת, הוא ותקנה 2(4) לא חלים על התקשרות בין בעל מאגר מידע בישראל לבין מחזיק מחוץ לישראל ובמצבים אלה, כך נכתב בו, נדרשת "עמידה מלאה ומדויקת של המחזיק בהוראות חוק הגנת הפרטיות הישראלי ותקנותיו".
אם לקרוא את הדברים כפשוטם (ויש לקוות שלא לשם כיוונה הרשות), הדרישה שבטיוטת גילוי הדעת סותרת תקנות אחרות בתקנות העברת מידע לחו"ל ואף את תקנה 2(4) עצמה, שבמפורש מאפשרת להעביר מידע לחו"ל בלי "עמידה מלאה ומדויקת" בחוק הגנת הפרטיות (או בכלל).
אמירה זו של הרשות בעניין "עמידה מלאה ומדוייקת של המחזיק בהוראות חוק הגנת הפרטיות הישראלי ותקנותיו" בעייתית גם משום שלא ניתן להחיל את חוק הגנת הפרטיות באופן אקסטרה טריטוריאלי בלי הסמכה חוקית מפורשת וצידוק ברור, אין לה בסיס בתקנות אבטחת מידע, והיא אף מסכנת באופן משמעותי את הכרזת התאימות של הדין הישראלי לדין האירופי, הכרזה שרשות הגנת הפרטיות עמלה כה קשה לשמרו (ר' https://www.gov.il/he/pages/adequacy).
גם מבחינה מעשית עמדת הרשות לא סבירה ובוודאי לא ישימה.
לא רק שקשה להגדיר, כאמור, מהם "התנאים" בישראל לעיבוד מידע, אלא שבתחום אבטחת המידע התקנות הישראליות חריגות ברמת הפירוט שלהן. ה -GDPR לא כולל פירוט מקביל לזה שקיים בתקנות אבטחת מידע, ולכן יש קושי לקבל מספקים זרים, שהתאימו את הפעילות שלהם לGDPR, התחייבות קונקרטית לעמוד בכל הוראות תקנות אבטחת מידע הישראליות, במיוחד במצב שבו חלק מהדרישות בדין ישראל אף סותרות דינים זרים.
לכאן מתקשרת ביקורת נוספת שלנו על גילוי הדעת, ביחס לעומס הרב שיישום גילוי הדעת עלול לגרום. לדעתנו, לא ניתן להעמיס על הסכמים עם ספקים זרים בהתקשרויות שלהם עם גופים ישראלים, סעיפים שמתייחסים לדרישות פרטניות כל כך של דיני הגנת הפרטיות הישראלים. השוק פועל כבר שבע שנים כמעט בסטנדרט מסויים, שגם גופים ישראלים התרגלו אליו ולמדו לעבוד איתו, ושינוי הסכמים באופן המוצג על ידי הרשות במסמך גילוי הדעת שפרסמה עלול להקשות מאוד על המשך השתלבותם של גופים ישראלים בשוק הגלובאלי.
לסיום נזכיר כי תקנות העברת מידע לחו"ל הותקנו ב 2001 ולא עודכנו מעולם (הן עדיין מתייחסות ל"קהיליה האירופית"). זמנן הגיע.
הטיוטה פתוחה להערות הציבור עד ליום 8.8.2024, ואנחנו ממליצים ללקוחותינו לבחון אותה ולשלוח את הערותיהם במידת הצורך.
אנו עומדים לרשותכם בכל שאלה,
אייל שגיא, שיר שושני-כץ, אור רוטר הפילוני ויובל אחיטוב.
מחלקת משפט וטכנולוגיה
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.