העברת מידע מחוץ לישראל לפי חוק הגנת הפרטיות

חוק הגנת הפרטיות, התשמ”א–1981, תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס”א–2001, וכן הוראות הרגולטור, הסדירו את נושא העברת מידע מחוץ לישראל. המחוקק קבע כי לא ניתן להעביר מידע או לאפשר העברת מידע ממאגר מידע בישראל אל מחוץ לגבולותיה, אלא אם כן דין המדינה שאליה מועבר המידע, מבטיח רמת הגנה על מידע שאינה פחותה, בשינויים המחויבים, מרמת ההגנה על מידע הקבועה בדין הישראלי.

התנאים לביצוע העברת מידע מחוץ לישראל

הכלל הבסיסי, איפוא, הוא שאין להעביר מידע ממאגר מידע בישראל אל מחוץ לישראל, ולא לאפשר את העברתו, אלא אם מתקיים אחד התנאים המנויים בתקנות. סעיף 2 לתקנות, כוללים מגוון מצבים כפי שמפורט להלן:

(2) לא ניתן לקבל את הסכמתו של האדם שעליו המידע וההעברה הכרחית לשם הגנה על בריאותו או שלמות גופו;

(3) המידע מועבר לתאגיד שנתון לשליטתו של בעל מאגר המידע שממנו מועבר המידע, והוא הבטיח את ההגנה על הפרטיות לאחר ההעברה; בפסקה זו, “שליטה” – כהגדרתה בחוק ניירות ערך, התשכ”ח-1968;

(4) המידע מועבר למי שהתחייב בהסכם עם בעל מאגר המידע שממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים;

(5) המידע פורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות שבדין;

(6) העברת המידע הכרחית לשם הגנה על שלום הציבור או ביטחונו;

(7) העברת המידע מחויבת לפי הדין בישראל;

(8) המידע מועבר למאגר מידע במדינה –

(1) שהיא צד לאמנה האירופית להגנת הפרט בקשר לעיבוד אוטומטי של מידע רגיש;

(2) המקבלת מידע ממדינות החברות בקהיליה האירופית, לפי אותם תנאי קבלה;

(3) שרשם מאגרי מידע הודיע לגביה, בהודעה שפרסם ברשומות, שקיימת בה רשות שנועדה להגן על הפרטיות, לאחר שהגיע עם אותה רשות להסדר על שיתוף פעולה.”

רמת הגנה נאותה בדין הזר

העברה מותרת אם דין המדינה שאליה מועבר המידע מבטיח רמת הגנה על המידע שאינה פחותה מרמת ההגנה שבדין הישראלי. הרמה המקבילה נבחנת “בשינויים המחויבים“, היינו המחוקק דורש כי בדין הזר יבואו לידי ביטוי עקרונות יסוד כגון חוקיות והוגנות באיסוף ועיבוד מידע, שימוש במידע רק למטרה שלשמה נאסף (עקרון “צמידות המטרה”), דיוק ועדכניות המידע, זכות עיון ותיקון לבעלי המידע, וחובת נקיטת אמצעי אבטחה נאותים להגנת המידע.

הסכמת נושא המידע

ניתן להעביר מידע לחו”ל אם האדם שהמידע מתייחס אליו נתן הסכמה מדעת ומפורשת להעברה. הסכמה כזו חייבת לעמוד בתנאי הדין להגדרת “הסכמה מדעת“.

העברה חיונית להצלת חיים או בריאות

אם ההעברה הכרחית להגנה על בריאותו או שלמות גופו של אותו אדם (דוגמת מקרי חירום רפואיים בהם נחוץ להעביר מידע רפואי רלוונטי לגורם בחו”ל כדי להציל חיים).

העברה בתוך תאגיד קשור

העברה מותרת כאשר המידע מועבר לתאגיד בשליטת בעל מאגר המידע ממנו הוא נמסר, ובלבד שהתאגיד המקבל התחייב להגן על הפרטיות לאחר ההעברה. למעשה, מדובר בהעברה בתוך קבוצה עסקית (למשל מחברה ישראלית לחברת-אם זרה), כאשר נשמרת שליטת בעל המידע הישראלי והבטחה חוזית שהרמה לא תיפגע.

התחייבות חוזית לקיום הדין הישראלי

העברה מותרת אם המידע מועבר למי שהתחייב בהסכם עם בעל מאגר המידע הישראלי לקיים את תנאי החזקת המידע והשימוש בו החלים בישראל, בשינויים המחויבים.

מידע פומבי

ניתן להעביר מידע שכבר פורסם ברבים כדין או הועמד לעיון הציבור על פי סמכות חוקית. למשל, מידע הנגיש לכלל הציבור במרשם פומבי רשמי או באתר אינטרנט ממשלתי, אינו נהנה עוד מציפיית פרטיות גבוהה ולכן העברתו פחות מוגבלת.

שלום הציבור או ביטחונו

אם העברת המידע הכרחית להגנה על שלום הציבור או ביטחון המדינה, בהתאם להערכת גורמי הביטחון המוסמכים.

דרישת דין ישראלי

כאשר העברת המידע מחויבת לפי דין בישראל, משמע קיימת חובה חוקית להעבירו לגורם בחו”ל – מותרת ההעברה.

העברת מידע מישראל אל מדינות ואזורי שיפוט מוכרים

העברה מותרת גם אם המידע מועבר למאגר מידע במדינה שקיימת בה הכרה מסוימת ברמת הגנת הפרטיות. התקנות מונות מספר מצבים ספציפיים:

(1) המדינה היא צד לאמנה האירופית להגנת הפרטיות ;

(2) אותה מדינה מקבלת מידע ממדינות האיחוד האירופי “לפי אותם תנאי קבלה” – כוונה לסטנדרטים המקבילים לדרישות האירופיות. נציין כי בעבר תוכנית “Safe Harbor” מול ארה”ב, אם כי זו בוטלה;

(3) במדינה קיימת רשות ציבורית להגנת הפרטיות והתקיים עימה הסדר שיתוף פעולה, שפורסם כהודעת רשם מאגרי המידע ברשומות.

תקנה 2 – תנאי בסיסי, אך לא מספיק

כאשר מבוססת העברה על אחד מהתנאים המנויים לעיל, היא מהווה העברה חוקית לפי הדין הישראלי. עם זאת, אין פירוש הדבר שחובת הזהירות מוסרת מעל כתפיו של בעל המידע בישראל. למעשה, בכל אחד מהמקרים נדרש בעל מאגר המידע לקבל מהגורם המקבל בחו”ל התחייבות כתובה הממלאת שני תפקידים:

• התחייבות כי המקבל נוקט אמצעים מספיקים לשמירת פרטיותם של נושאי המידע.
• התחייבות כי המידע לא יועבר על ידי המקבל לאף גורם אחר – לא באותה מדינה ולא למדינה נוספת.

תקנה 3, שכותרתה “התחייבות להבטחת פרטיות” קובעת כי גם כאשר ההעברה לחו”ל, על בעל המידע הישראלי לוודא שהמידע מוגן אצל היעד וכי לא יבוצעו העברות משנה ללא פיקוח. בהקשר זה הבהירה הרשות, בגילוי דעת שפרסמה, שחריג האיסור על העברה חוזרת (Onward Transfer) יחול אם וכאשר בעל המאגר הישראלי נתן הסכמה מפורשת ובכתב להעברה נוספת, ובנוסף ההעברה הנוספת עצמה מבוססת על הסכמת נושא המידע או על אחד מהחריגים האחרים שבדין. כלומר, העברה שרשרתית מותרת רק בכפוף להסכמה ולכך שגם היא עומדת בתנאי הדין (כמו למשל שהמדינה הנוספת עומדת בתנאי התקנות).

העברה על בסיס הסכם: התחייבות לעמידה בדין הישראלי

אחד החריגים המרכזיים והנפוצים להתיר העברה לחו”ל הוא פנייה למסלול החוזי. במילים אחרות, התקשרות שבה הגורם המקבל במדינה הזרה חותם על הסכם עם בעל מאגר המידע הישראלי, ובו הוא מתחייב לכבד את דיני הגנת הפרטיות הישראלים בכל הנוגע למידע המועבר. תקנה 2(4) מאפשרת לארגונים בישראל לעשות שימוש בספקי שירות גלובליים או לחלוק מידע עם שותפים מעבר לים, אך בכפוף לעמידה קפדנית בדרישות הדין המקומי באמצעות חוזה.

תוכן ההסכם

ההסכם בין הצד הישראלי לצד הזר חייב להיות מפורט ולהטיל על המקבל בחו”ל שורה של התחייבויות מהותיות, הזהות בעיקרן לחובות שבחוק הישראלי. לפי עמדת הרשות, יש לכלול לפחות את האלמנטים הבאים:

1. מגבלת שימוש במידע. התחייבות שהמקבל לא יעשה במידע כל שימוש החורג מהמטרה שלשמה נמסר המידע מלכתחילה לבעל המאגר הישראלי. איסור שימוש עודף זה מעוגן בחוק הישראלי, והפרתו מהווה פגיעה בפרטיות. על ההסכם לוודא שהמידע לא ינוצל אצל המקבל למטרות אחרות (כגון שיווק, פרופילינג או העברה לצדדים נוספים) ללא בסיס חוקי חדש.
2. שמירת זכויות נושאי המידע. התחייבות להעניק לנושא המידע זכות לעיין במידע אודותיו שבידי המקבל, וכן הזכות לבקש תיקון או מחיקת מידע שגוי או שאינו רלוונטי.
3. חובת סודיות ואבטחת מידע. התחייבות המקבל לשמור על סודיות המידע ולנקוט בכל אמצעי אבטחת המידע הנדרשים לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017. בפועל, ההסכם צריך לחייב את המקבל לעמוד בדרישות אבטחה מקבילות לאלה שחלות על מאגר בישראל – החל בהגנה פיזית ולוגית על הנתונים, דרך הרשאות גישה, הצפנה, ניהול משתמשים וסיסמאות, ועד ניהול אירועי אבטחה ודיווח עליהם. לחילופין, המקבל עומד בתקני אבטחת מידע מחמירים, כגון תקן ISO/IEC 27001, ומתחייב להמשיך בעמידה בהם, ובנוסף למלא הוראות ספציפיות מתקנות אבטחת המידע הישראליות שלא מכוסות בתקנים.
4. איסור העברה לצד ג’. ככלל, המקבל בחו”ל מתחייב לא להעביר את הנתונים הלאה לשום גורם נוסף ללא הרשאה מבעל המידע הישראלי. אם יש צורך מעשי לערב תחתיו קבלני משנה או גורמי משנה (למשל שירותי ענן משניים), ההסכם חייב לחייב את המקבל לוודא שכל גורם כזה יקבל על עצמו את מלוא החובות שהוסכמו.
5. כיבוד דינים ספציפיים אחרים. ההסכם צריך לציין כי אם על המידע חלות גם הוראות דין אחרות בתחום הפרטיות – על המקבל לעמוד גם בהן. זאת במיוחד במקרים בהם קיימות הגבלות מיוחדות בדינים סקטוריאליים שעשויות לאסור או להגביל העברה לחו”ל.
6. הוראות מיוחדות למידע ממקור אירופי (כאשר רלוונטי).

אבטחת מידע וחובות במיקור-חוץ בינלאומי

היבטי אבטחת מידע הם חלק בלתי נפרד מסוגיית העברת המידע לחו”ל. תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017, חלות על כל מאגר מידע בישראל ומטילות שורה ארוכה של חובות ארגוניות, טכנולוגיות וניהוליות לצורך הגנה על סודיות, שלמות וזמינות המידע. התקנות יצרו למעשה “רף מינימום” לאבטחת מידע, בהתאם לסיווג המאגר (רמות אבטחה בסיסית, בינונית או גבוהה). הן כוללות דרישות כגון מינוי מנהל אבטחת מידע, עריכת סקרי סיכונים, נהלי הרשאות וגיבוי, הצפנת מידע רגיש, תיעוד פעולות גישה, הדרכות עובדים, ועוד.

אי ציות לתקנות אבטחת מידע מהווה הפרה של החוק לכל דבר ועניין, על כל ההשלכות הנובעות מכך. כלומר, גוף שלא מיישם אמצעי אבטחה כנדרש, בין אם המידע נשמר בישראל ובין אם הועבר לחו”ל, חושף עצמו לאחריות מנהלית, אזרחית ואף פלילית.

סיכום

הדין הישראלי בנוגע להעברת מידע אישי אל מחוץ לישראל מציב משטר קפדני שנועד לשמר את רמת ההגנה על הפרטיות גם כאשר המידע חוצה גבולות. חוק הגנת הפרטיות, ובפרט תיקון 13, תקנות אבטחת המידע ותקנות העברת המידע לחו”ל, יחד עם הנחיות הרשות להגנת הפרטיות, משתלבים לכדי מערכת ברורה: לא ניתן “לייצא” מידע כאוות נפש. רק במקרים בהם מובטחת הגנה נאותה – אם מכוח חוקי המדינה המקבלת, אם מכוח הסכמה או צורך חיוני, ואם באמצעות הסכם שמכפיף את המקבל לדין הישראלי – יותר לבצע העברה.