גילוי דעת סופי בנושא העברת מידע אישי מחוץ לישראל לפי תקנה 2(4)

גילוי דעת סופי בנושא העברת מידע אישי מחוץ לישראל לפי תקנה 2(4)

הרשות להגנת הפרטיות ("הרשות") פרסמה לאחרונה (13.4.2026) גילוי דעת בנושא פרשנות תקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 ("התקנות" ו-"גילוי הדעת", בהתאמה), שהותקנו מכוח חוק הגנת הפרטיות, התשמ"א-1981 ("החוק"). גילוי הדעת פורסם כמעט שנתיים לאחר פרסום טיוטת גילוי הדעת ביולי 2024. הוא עוסק באפשרות להעביר מידע אישי מישראל אל מחוץ לגבולות המדינה, כאשר ההעברה מבוססת על התחייבות חוזית של מקבל המידע לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, "בשינויים המחויבים".

להלן עיקרי גילוי הדעת.

רקע

  1. תקנה 1 לתקנות קובעת את נקודת המוצא שלפיה אין להעביר מידע אישי ממאגר מידע בישראל אל מחוץ לגבולות המדינה, אלא אם דיני המדינה שאליה מועבר המידע מבטיחים רמת הגנה שאינה פחותה מרמת ההגנה הקבועה בדין הישראלי. לצד זאת, תקנה 2 לתקנות קובעת מספר חריגים לכלל זה, כך שבהתקיים אחד מהם ניתן להעביר מידע אישי מחוץ לישראל, גם מקום בו דיניה של המדינה שאליה מועבר המידע לא מבטיחים רמת הגנה כאמור.
  2. אחד החריגים, הקבוע בתקנה 2(4), מאפשר את העברת המידע מחוץ לישראל אם מקבל המידע התחייב בהסכם עם בעל השליטה במאגר מידע לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים.
  3. גילוי הדעת מתמקד בפרשנות הביטוי "בשינויים המחויבים" ובתנאים שבהם ניתן להסתמך על החריג הקבוע בתקנה 2(4) לצורך העברת מידע אישי מישראל אל מחוץ לגבולות המדינה.

עיקרי ההבהרות בגילוי הדעת

  1. הרשות מבהירה בפתח גילוי הדעת כי הביטוי "בשינויים המחויבים" קובע מבחן אובייקטיבי, שאינו מותיר מקום לנימוקים סובייקטיביים, כגון טענות של מקבל המידע מחוץ לישראל בדבר מגבלות אישיות או ארגוניות. כלומר, מקבל מידע מחוץ לישראל אינו יכול לטעון כי די בקשיים הנובעים מנסיבותיו האישיות או הארגוניות כדי להצדיק אי-עמידה בתנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל.
  2. כמו כן, הרשות מבהירה כי אין בתקנה 2(4), או באופן שבו היא מתפרשת בגילוי הדעת, כדי לפטור את בעל השליטה במאגר בישראל או את המחזיק במאגר מהחובות המהותיות החלות עליהם מכוח החוק ותקנות שהותקנו מכוחו. הבהרה זו חלה גם כאשר העברת המידע האישי נעשית במסגרת התקשרות עם מחזיק שמקום מושבו מחוץ לישראל.
  3. אחת ההבהרות המרכזיות בגילוי הדעת היא שבהיעדר התחייבויות מהותיות מתאימות בהסכם, לא ניתן להסתמך על תקנה 2(4). על ההסכם לכלול התחייבות של מקבל המידע לקיים כלפי נושאי המידע התחייבויות הזהות בתוכנן לאלה הקבועות בחוק. כך למשל, על ההסכם לכלול איסור על שימוש במידע שלא למטרה שלשמה נמסר, התחייבות לאפשר זכות עיון, התחייבות לאפשר הגשת בקשה לתיקון או למחיקה, וכן התחייבות לשמירת סודיות.
  4. לעניין חובות אבטחת מידע, הרשות קובעת כי ניתן להסתמך על תקנה 2(4) אם מקבל המידע מתחייב לקיים את החובות המהותיות הקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת מידע"), בכפוף להוראות תקנה 19 לתקנות אלה החלות על מחזיקים. לחלופין, מקבל המידע יכול להצהיר ולהתחייב כי ארגונו מוסמך לתקן ISO/IEC 27001, כי הוא מקיים את הוראות התקן ואת הבקרות הרלוונטיות, וכי הוא עומד גם בדרישות הנוספות שעליהן הצביעה הרשות בגילוי דעת בנושא.[1]
  5. לצד הפרשנות המצמצמת של הביטוי "בשינויים המחויבים", מביאה הרשות כדוגמה כי אי-עמידת מקבל מידע מחוץ לישראל בחובת רישום מאגר מידע או במתן הודעה לרשות להגנת הפרטיות עשויה להיחשב "שינוי מחויב", אם במדינה שאליה מועבר המידע לא קיימת חובה מקבילה לגבי מאגר מאותו סוג.
  6. ניתן למצוא בגילוי  הדעת אמירות מעניינות וחשובות לגבי התחולה האקס-טריטוריאלית של החוק. כיום, אין אמירה מפורשת כי הוראות החוק חלות במישרין על תאגידים שמקום מושבם מחוץ לישראל, בשונה מה-GDPR, שם נקבע מפורשות באילו נסיבות הוא יחול על ארגונים מחוץ לאיחוד האירופי. עם זאת, הערת שוליים בגילוי הדעת מציינת כי "במקרים שבהם יחולו על מקבל המידע במדינה הזרה הוראות חוק הגנת הפרטיות הישראלי, הוא יחויב גם בחובת הרישום או ההודעה על מאגר מידע לרשות להגנת הפרטיות". קרי, לגישת הרשות, ישנם מקרים בהם חוק הגנת הפרטיות יחול באופן אקס-טריטוריאלי וידרוש עמידה מלאה בהוראות החוק והתקנות. בהקשר זה נציין כי מונח כיום על שולחן הכנסת תזכיר חוק תחולת דינים על עוסק זר המכווין את פעילותו ללקוחות בישראל, התשפ"ו-2026 המציע להחיל, בין היתר, את הוראות חוק הגנת הפרטיות על גופים מחוץ לישראל, בדומה למבחני התחולה האקס-טריטוריאלית שנקבעו ב-GDPR.
  7. גילוי הדעת מתייחס גם למצב שבו בעל השליטה במאגר מבקש להעביר אל מחוץ לישראל, בהסתמך על תקנה 2(4), מידע המצוי במאגר בישראל ושכולל גם מידע שהועבר מהאזור הכלכלי האירופי. במקרים אלה, למעט חריגים מסוימים, מקבל המידע יידרש להתחייב לעמוד גם בחובות המהותיות הקבועות בתקנות 3-7 לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023.
  8. לבסוף, הרשות מדגישה כי תקנה 2(4) אינה מתייחסת רק לחוק הגנת הפרטיות ולתקנות שהותקנו מכוחו, אלא באופן רחב יותר ל"תנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל". לכן, אם על המידע חלות הוראות דין נוספות בתחום הגנת הפרטיות או הגנת המידע האישי, יש לבחון גם אותן ואת השפעתן על האפשרות להעביר את המידע מחוץ לישראל.

לסיכום, גילוי הדעת מחדד כי לא ניתן להסתמך על תקנה 2(4) באופן פורמלי בלבד. ארגונים המבקשים להעביר מידע אישי מחוץ לישראל על בסיס מנגנון זה נדרשים לבחון בקפידה את מערך ההתחייבויות החוזיות מול מקבל המידע מחוץ לישראל, את דרישות אבטחת המידע ואת תחולתן של הוראות דין נוספות, לרבות ביחס למידע שמקורו באזור הכלכלי האירופי.

לאור זאת, מומלץ לארגונים למפות את העברות המידע האישי שלהם מחוץ לישראל, לבחון אם ההסתמכות אכן מבוססת על תקנה 2(4), ולעדכן בהתאם את הסכמי העברת המידע. בפרט, מומלץ לעדכן את ההוראות הנוגעות לשימוש במידע, לזכויות נושאי המידע, לאבטחת מידע, לדרישות רגולטוריות החלות על המאגר ולמידע שמקורו באזור הכלכלי האירופי. כמו כן, מומלץ לבחון בנפרד התקשרויות עם מחזיקים מחוץ לישראל, כדי לוודא שהן עומדות במלוא הדרישות החלות לפי הדין הישראלי, ובפרט בהוראות תקנה 15 לתקנות אבטחת מידע.

נשמח לעמוד לרשותכם בכל שאלה.

בברכה,

פרקטיקת סייבר, מידע ופרטיות

[1]  לעניין זה, ראו הנחיה מס' 3/2018 בעניין תחולת תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז – 2017 על ארגונים המוסמכים לתקן ISO/IEC 27001 שפרסמה הרשאות ביום 26.4.2018.

חדשות נלוות