העברת מידע מישראל לחוץ לארץ – תקציר
מתי מותר להעביר מידע מישראל לחו"ל?
- אם ההעברה תואמת את סעיף 1 לתקנות – דין המדינה הזרה מבטיח הגנה שאינה פחותה מההגנה בישראל.
- על אף האמור בתקנה 1, עדיין אפשר להעביר מידע אם חלים אחד מהסייגים המצוינים בתקנה 2.
- כל העברת מידע צריכה להיות מגובה בהתחייבות בכתב של מקבל המידע. עוד על אופי והיקף ההתחייבות בהמשך המאמר.
תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001, קובעות את הכללים באשר להעברת מידע ממאגר מידע בישראל, אל מחוץ לגבולות המדינה.
התקנות נחקקו על מנת שישראל תעמוד בסטנדרטי הגנת הפרטיות שהציב האיחוד האירופאי.
שימו לב, כי בעל מאגר מידע צריך לעמוד בדרישות התקנות, אף אם מאגר המידע אינו מחויב ברישום לפי חוק.
התקנות חלות על כל מידע ממוחשב.
תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001
התקנות קובעות כך:
- תקנה 1 –
לא יעביר אדם מידע ולא יאפשר העברה של מידע ממאגר מידע בישראל אל מחוץ לגבולותיה, אלא אם כן דין המדינה שאליה מועבר המידע, מבטיח רמת הגנה על מידע שאינה פחותה, בשינויים המחויבים, מרמת ההגנה על מידע הקבועה בדין הישראלי, ובכלל זה קובע עקרונות אלה:
(1) מידע ייאסף ויעובד באופן חוקי והוגן;
(2) מידע יוחזק, ישמש ויימסר רק למטרה שלשמה נתקבל;
(3) מידע שנאגר יהיה מדויק ומעודכן;
(4) נתונה זכות עיון ותיקון למי שהמידע עליו;
(5) קיימת חובה לנקוט אמצעי ביטחון נאותים להגנה על מידע במאגרי מידע.
- תקנה 2 קובעת סייגים, מתי כן מותר להעביר מידע לחו"ל:
אלו התנאים:
(1) האדם שעליו המידע הסכים להעברה;
(2) לא ניתן לקבל את הסכמתו של האדם שעליו המידע וההעברה הכרחית לשם הגנה על בריאותו או שלמות גופו;
(3) המידע מועבר לתאגיד שנתון לשליטתו של בעל מאגר המידע שממנו מועבר המידע, והוא הבטיח את ההגנה על הפרטיות לאחר ההעברה; בפסקה זו, "שליטה" – כהגדרתה בחוק ניירות ערך, התשכ"ח-1968 ;
(4) המידע מועבר למי שהתחייב בהסכם עם בעל מאגר המידע שממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים;
(5) המידע פורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות שבדין;
(6) העברת המידע הכרחית לשם הגנה על שלום הציבור או ביטחונו;
(7) העברת המידע מחויבת לפי הדין בישראל;
(8) המידע מועבר למאגר מידע במדינה –
(1) שהיא צד לאמנה האירופית להגנת הפרט בקשר לעיבוד אוטומטי של מידע רגיש;
(2) המקבלת מידע ממדינות החברות בקהיליה האירופית, לפי אותם תנאי קבלה;
(3) שרשם מאגרי מידע הודיע לגביה, בהודעה שפרסם ברשומות, שקיימת בה רשות שנועדה להגן על הפרטיות, לאחר שהגיע עם אותה רשות להסדר על שיתוף פעולה.
- תקנה 3 קובעת כך:
"בהעברת מידע לפי תקנה 1 או 2 יבטיח בעל מאגר המידע, בהתחייבות בכתב של מקבל המידע, כי מקבל המידע נוקט אמצעים מספיקים להבטחת פרטיותם של מי שהמידע עליהם, וכי הוא מבטיח שהמידע לא יועבר לכל אדם זולתו, בין באותה מדינה ובין במדינה אחרת."
הרשות להגנת הפרטיות, קבעה את פרשנותה לתקנה 3 באופן הבא:
"האיסור של מקבל המידע במדינה הזרה, להעביר את המידע לצד שלישי, לא יחול, אם ניתנה לו הסכמה בכתב מאת בעל המאגר שממנו הועבר המידע לישראל."
ובתנאי:
- שהעברת המידע תואמת את הדין , אילו היתה העברת המידע מתבצעת בישראל.
- שאילו המידע היה עובר ישירות לצד השלישי, היו מתקיימים תנאי תקנה 1 או תקנה 2.
הרשות מוסיפה ואומרת, שאם יש הסכמה של מעביר המידע מישראל להעברה לצד שלישי בחו"ל, אפשר לראות בכך העברה חדשה מישראל לחו"ל.
"התחייבות בכתב של מקבל מידע" –
ההתחייבות אינה חייבת להיות הסכם אשר מבטיח לקיים את התנאים לאחזקת מידע לפי הדין בישראל.
הרשות קובעת כי ההתחייבות יכולה לכלול ערובות מקובלות להבטחת פרטיות נושאי המידע. זאת בשים לב לאופי המידע, רגישותו והיקפו. כלומר, ההתחייבות אינה חייבת בהכרח להלום את הדין הישראלי אלא יכולה לעמוד בקנה אחד עם רגולציה אירופאית או מדינות אחרות שהוכרו כבעלות מעמד תאימות בתחום הגנת הפרטיות.
לסיכום, ניתן להעביר מידע לחו"ל, ובתנאי שעומדים בהוראות התקנות והדין.
ככל והנך זקוק לייעוץ או לליווי משפטי בתחום הגנת הפרטיות ואבטחת מידע, מוזמן ליצור קשר.
משרדנו מתמחה בנושא הגנת הפרטיות ואבטחת מידע.