פורסמו תקנות הגנת הפרטיות התשפ"ג-2023
מאת:
מערכת Telecom News, 23.5.23, 16:47
התקנות הן אבן דרך חשובה בתהליך חידוש מעמד התאימות (Adequacy), שניתן לישראל ע"י האיחוד האירופי ב-2011, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי.
ב-7.5.23 פורסמו ברשומות תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023, שהותקנו ע"י שר המשפטים, באישור ועדת החוקה של הכנסת, והן תיכנסנה לתוקףב-7.8.23. ביחס לכל מידע שהתקבל במאגר מידע בישראל מהאזור הכלכלי האירופי החל מיום 7.5.23 למעט מידע שאדם העביר במישרין על עצמו. בנוגע למידע שהתקבל באותם מאגרים לפני מועד פרסומן, התקנות תיכנסנה לתוקף ב-7.5.24. ביחס למידע אחר המצוי באותם מאגרים בהם התקבל מידע מאירופה, התקנות תיכנסנה לתוקף ב-1.1.25.
התקנות קובעות 4 חובות, שתחולנה על מידע אישי, שהועבר לישראל מהאזור הכלכלי האירופי (האיחוד האירופי, איסלנד, נורבגיה וליכטנשטיין), והחל מ- 1.1.25 גם על מידע אחר המצוי באותו מאגר יחד עם המידע שהתקבל מהאזור הכלכלי האירופי, בנוסף על הוראות חוק הגנת הפרטיות: חובת מחיקת מידע, הגבלת החזקת מידע שאינו נחוץ, חובת דיוק מידע וחובת יידוע. כ"כ, התקנות קובעות, שמידע בדבר מוצאו של אדם ומידע בדבר חברות בארגון עובדים, ייחשב "מידע רגיש" לעניין סעיף 7 לחוק הגנת הפרטיות.
בהתאם לחריגים שנקבעו בתקנות, הן לא תחולנה על סוגי המידע הבאים:
1. מידע שאדם העביר במישרין על עצמו.
2. מידע שהועבר מרשות האחראית על הביטחון או על אכיפת החוק באזור הכלכלי האירופי, אל רשות ביטחון בישראל.
3. ביחס לשימוש במידע הנדרש לתכלית על הגנה על ביטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלו.
להלן עיקרי החובות הקובעות במסגרת התקנות.
חובת מחיקת מידע
תקנה 3 קובעת את זכותו של נושא המידע לבקש, שמידע אישי אודותיו יימחק ממאגר המידע, ובהתאם את חובתו של בעל המאגר למחוק מידע זה. חובה זו תלויה בהתקיימות אחת העילות - קרי, אם המידע נוצר או נאסף בניגוד להוראות כל דין, או אם המידע אינו נחוץ עוד למטרות שלשמן נוצר או נאסף. בעל המאגר רשאי לסרב לבקשת המחיקה בהתקיים אחד מהחריגים שלהלן, וזאת בהיקף הנחוץ והמידתי לאותו צורך:
א. מימוש חופש הביטוי, לרבות זכות הציבור לדעת.
ב. מילוי חובה חוקית או ביצוע סמכות על פי דין.
ג. הגנה על עניין ציבורי, לרבות למטרת ארכוב, מחקר מדעי או מחקר סטטיסטי.
ד. ניהול הליך משפטי או גביית חובות.
ה. מניעת הונאה, גנבה, או מניעת פעולות אחרות העלולות להשפיע על דיוק המידע או מהימנותו.
ו. מימוש חובות הנובעות מהסכם בין-לאומי, שממשלת ישראל היא צד לו.
ככל שהתקבלה אצל בעל המאגר בקשה למחיקת מידע, שלגביה מתקיימות עילות המחיקה ולא מתקיים אחד החריגים שנמנו לעיל - בעל המאגר ימחק את המידע שבשליטתו או יבצע פעולות המבטיחות ,שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע.
הגבלת החזקת מידע שאינו נחוץ
תקנה 4 קובעת, של בעל המאגר להפעיל מנגנון - ארגוני, טכנולוגי או אחר - שמטרתו להבטיח, שבמאגר המידע לא מוחזק מידע שאינו נחוץ למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין. עוד נקבע בתקנה 4, שאם מצא בעל המאגר, שבמאגר המידע מוחזק "מידע שאינו נחוץ", עליו למחוק מידע זה בהקדם האפשרי, ככל שלא מתקיים אחד החריגים לזכות המחיקה שנמנו לעיל. חובת המחיקה לא תחול אם בוצעו פעולות המבטיחות, שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע.
חובת דיוק מידע
תקנה 5 קובעת חובת דיוק מידע, לפיה על בעל המאגר להפעיל מנגנון – ארגוני, טכנולוגי או אחר - שמטרתו להבטיח, שהמידע, שנמצא במאגר, יהיה נכון, שלם, ברור ומעודכן. עוד קובעת התקנה, שככל שמצא בעל המאגר, שקיים במאגר מידע לא נכון, שלם, ברור או מעודכן, עליו לנקוט אמצעים סבירים בנסיבות העניין לצורך תיקון או מחיקת המידע.
חובת יידוע
תקנה 6 קובעת חובה על בעל מאגר, שבו מוחזק מידע, שהתקבל מהאזור הכלכלי האירופי, ליידע את נושא המידע על העניינים המפורטים בתקנה זו - זהות בעל המאגר ומנהל המאגר, מענם ודרכי ההתקשרות עמם; מטרת העברת המידע; סוג המידע שהועבר; וקיומה של זכות מחיקה לפי התקנות, זכות עיון לפי סעיף 13 לחוק הגנת הפרטיות וזכות לתיקון מידע לפי סעיף 14 לחוק.
על ההודעה לנושא המידע להימסר במישרין, או בעקיפין באמצעות הגורם, שממנו הועבר המידע מהאזור הכלכלי האירופי, ככל הניתן בסמוך לאחר קבלת המידע ולכל המאוחר בתוך חודש ממועד קבלתו.
ככל שבעל המאגר מבקש להעביר את המידע שקיבל על נושא המידע לצד שלישי, עליו ליידע את נושא המידע (במישרין, או בעקיפין באמצעות הגורם, שממנו הועבר המידע מהאזור הכלכלי האירופי), מוקדם ככל האפשר ולכל המאוחר עם העברת המידע בדבר הזהות ופרטי ההתקשרות עם הצד השלישי או סוגי הגורמים השלישיים, שאליהם יועבר המידע, לצד יתר הפרטים, שעליהם חלה חובת היידוע.
התקנה כוללת שורה של חריגים לחובת היידוע:
א. לבעל המאגר יש יסוד סביר להניח כי פרטי המידע ידועים לנושא המידע.
ב. פרטי ההתקשרות של נושא המידע אינם ידועים לבעל המאגר, או שיישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל המאגר, והכל בשים לב לאפשרות להיעזר בגורם שממנו הועבר המידע.
ג. קיומה של חובת סודיות בדין או איסור בדין על גילוי המידע.
ד. קיומה של הוראה בדין המסדירה את גילוי פרטי המידע.
ה. מימוש חובת היידוע עלול לפגוע בשלומו או בחייו של אדם.
ו. מימוש חובת היידוע עלול לפגוע בפעילות עיתונאית או לחשוף את מקור המידע של פעילות עיתונאית.
ז. מימוש חובת היידוע יפגע בזכויות של אדם במידה העולה על הפגיעה הנובעת מאי-גילוי פרטי המידע.
פרטי מידע נוספים המוגדרים מידע רגיש:
תקנה 7 קובעת, שמידע, שהתקבל מהאזור הכלכלי האירופי בדבר מוצאו של אדם או מידע על חברותו בארגון עובדים, ייחשבו "מידע רגיש" לפי סעיף 7 לחוק הגנת הפרטיות. כאמור, החל מיום 1.1.25 תקנה זו תחול גם על כל מידע אחר המוחזק באותו מאגר יחד עם המידע, שהתקבל מהאזור הכלכלי האירופי.
נוסח התקנות המלא -
כאן.