כשנתיים לאחר פרסום טיוטה להערות הציבור לגבי העברת בעלות במאגר, הרשות להגנת הפרטיות פרסמה את הנחייתה הסופית בנושא.

ההנחיה זהה ברובה לטיוטה שפורסמה לפני כשנתיים וקובעת כי ניתן להסתפק ביידוע נושאי המידע על שינוי הבעלות במאגר, אם תנאי שמירת המידע, השימוש בו, ותנאי העברתו לא משתנים במסגרת העברת הבעלות במאגר (כמו למשל במקרים של העברת בעלות במכון כושר או בבית מלון). יידוע כאמור יכול להיעשות בדרך של משלוח דוא"ל לנושאי המידע הרלוונטיים או בכל דרך אחרת שבה נוהג בעל המאגר לתקשר עם נושאי המידע. היידוע צריך לכלול גם פרטים על מקבל המאגר (זהותו ופרטי ההתקשרות עמו) כדי לאפשר לנושא המידע "לבחור האם להמשיך בהתקשרות עם בעל המאגר החדש".

לעומת זאת, אם צפויים בעקבות העברת הבעלות שינויים במטרות ובשימושים במידע, או שזהות בעל המאגר החדש שונה באופן משמעותי מזהותו של בעל המאגר המעביר, באופן שעלול להשפיע במידה ניכרת על זכויות נושא המידע או באופן שחורג משמעותית מציפיותיו (גם ללא שינוי המטרות) – תידרש הסכמת opt in  להעברת הבעלות במאגר.

לדעת הרשות, דוגמה לשינוי משמעותי במאפייני בעל המאגר המקבל, שעשויה להצדיק דרישה להסכמת opt in, היא כשמעביר המאגר נמצא ביחסי אמון מיוחדים או חיסיון עם נושאי המידע, כמו רופא וחולה או עורך דין ולקוח. הרשות מציינת גם יחסים של לקוח עם גוף פיננסי, אף שניתן לתהות עד כמה מדובר יחסי אמון מיוחדים, לפחות בשירותים גנריים.

בהערת שוליים מבהירה הרשות כי היא סבורה ששתיקה של אדם או העדר מחאה מצידו אינם יכולים ללמד, כשלעצמם, על הסכמה תקפה לפי דיני הגנת הפרטיות. אלא שבניגוד ל-GDPR, בחוק הגנת הפרטיות אין דרישה שהסכמה תתקבל במעשה והסכמה גם יכולה להיות משתמעת. נראה שיש לקרוא את האמירה על רקע התייחסות הרשות, באותה הערת שוליים, לעניין פסגות נ' הרשות לניירות ערך, בו הציעה הרשות מנגנון של הודעה עם opt out, בתנאי שיהיה מנגנון לוודא שההודעה התקבלה ונקראה, דרישה שבית המשפט דחה.

הרשות מבהירה בהקשר זה כי המתווה שהציעה בעניין פסגות היה מוגבל לנסיבותיו ואין להקיש ממנו ביחס לאופן קבלת ההסכמה הנדרשת במקרים אחרים של העברת בעלות.

לבסוף, הרשות מזכירה שבכל מקרה נדרש יידוע על שינוי הבעלות במאגר, גם לנושאי המידע וגם לרשם מאגרי מידע (כל עוד המאגר רשום) וכן ממליצה לכלול את האפשרות של העברת הבעלות במאגר כבר בתנאי השימוש או במעמד קבלת ההסכמה הראשונית.

****

בעניין אחר, נזכיר כי בעוד ימים ספורים ייכנס לתוקף השלב האחרון של תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023. עד עתה, התקנות, שבהשראת ה GDPR כוללות בין השאר הוראות למחיקה של מידע עודף באופן יזום וגם לפי דרישה, וכן דרישות יידוע לנושאי מידע שמידע אודותם התקבל בעקיפין, חלו רק על מידע שהגיע מה EEA. החל מה-1.1.25 יחולו התקנות על כל המידע במאגר שבו יש גם מידע שהגיע מהאיזור הכלכלי האירופי, כולל "מידע ישראלי" לגמרי.

נשמח לעמוד לרשותכם בכל שאלה.

בברכת חג שמח,

אייל שגיא, שיר שפירא-פרס וצוות מחלקת משפט וטכנולוגיה.

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.