מהו מעמד התאימות (Adequacy Decision)?
מעמד התאימות ניתן לישראל לראשונה על ידי נציבות האיחוד האירופי בשנת 2011. מעמד מסוג זה יכול להינתן למדינה שאינה חברה באיחוד האירופי לאחר הליך בחינת נציבות האיחוד האירופי של הדין המקומי ופרקטיקות רגולטוריות שמיועדות להגן על מידע אישי בתוך המדינה ומחוצה לה.
Adequacy Decision כמנגנון העברת מידע מחוץ לאיחוד האירופי לפי פרק 5 ל-GDPR
פרק 5 לתקנות הגנת הפרטיות של האיחוד אירופי ("GDPR"), מפרט על דרישות שבהתקיימן ניתן להעביר באופן חוקי מידע מהאיחוד האירופי אל מחוצה לו. דרישות אלו כוללות הטמעת אמצעים טכנולוגיים וארגוניים לטובת הגנתו של מידע שמיוצא מחוץ לאיחוד האירופי. אמצעים אלו יכולים לבוא לידי ביטוי באמצעות הטמעת מנגנונים שונים כגון מנגנוני הסמכה רגולטוריים שונים או אמצעים חוזיים כגון ה-Standard Contractual Clauses. סעיף 45 ל-GDPR מתייחס לנושא מעמד התאימות, וקובע שכאשר מדינה קיבלה מעמד כאמור מהנציבות האירופית, לא תידרש הטמעתו של מנגנון העברה נוסף לטובת הגנת על המידע האישי, במסגרת העברת המידע למדינה שקיבלה את מעמד התאימות.
המאמצים השתלמו – ישראל קיבלה הכרה מחודשת
לאחר התקנת ה-GDPR, החלה נציבות האיחוד האירופי בבחינה מחודשת של ההכרה שניתנה למדינת ישראל ולכל המדינות מחוץ לאיחוד האירופי שזכו בעבר להכרה זו. בתום הליך הבחינה הממושך, פרסמה נציבות האיחוד האירופי את החלטתה המקצועית, ואישרה את המשך תוקפו של מעמד התאימות של מדינת ישראל לצד מדינות נוספות.
ההחלטה ניתנה בעקבות תהליך בחינה מקצועי מקיף של נציבות האיחוד האירופי שנמשך מספר שנים, כאשר את מדינת ישראל ייצגו בהצלחה הרשות להגנת הפרטיות ומחלקת ייעוץ וחקיקה של משרד המשפטים. תהליך זה כלל הצגה מפורטת של משטר הגנת הפרטיות בישראל, וביצוע מהלכים משלימים בקשר לזכות לפרטיות, בהם אישור החלטת הממשלה מס' 1890 בעניין עצמאות הרשות להגנת הפרטיות, קידום תקנות מיוחדות שאושרו על ידי ועדת החוקה של הכנסת בשנת 2023 שמקדמות בין השאר הגברת אכיפה, ופרסום הנחיות שונות מטעם הרשות להגנת הפרטיות שמספקות מענה לפערים מול הדין האירופי. בהחלטתה התייחסה הנציבות בפרט להתקנת תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז – 2017 שנכנסו לתוקף ב-2018, ותקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 (ראו עדכון לקוחותינו בנושא), שנועדו להסדיר את נושא הגנת מידע שהועבר לישראל מהאיזור הכלכלי אירופי.
מה משמעות ההכרה בפועל?
משמעות מעמד התאימות לישראל היא שעסקים וחברות במשק הישראלי יכולים להעביר באופן חופשי מידע אישי ממדינות אירופה לישראל, ללא צורך במחויבויות רגולטוריות או חוזיות נוספות. הרשות להגנת הפרטיות מציינת כי הכרה זו היא בעלת חשיבות רבה למשק הישראלי ולכלכלה הישראלית, בדגש על יחסי המסחר עם אירופה, קשרי מחקר וקשרים נוספים של המשק, שכן היא מאפשרת זרימת מידע אישי לישראל באופן פשוט ונוח, ומקלה מבחינה משפטית ורגולטורית על כלל הגופים בישראל שמקבלים מידע אישי מאירופה.
אכן, יש במעמד התאימות כדי לייתר הטמעת מנגנונים ספציפיים ולחסוך עלויות לארגונים בישראל. עם זאת, ככל שבהקשר המסחרי עסקינן, חשוב להבין שלרוב, חברות שבפעילותן כרוך איסוף מידע אישי, יתכן ומתבצעות העברות מידע מחוץ לישראל במסגרת פעילותן, בין אם לצורך התקשרות עם ספקים זרים שאינם באיחוד האירופי (למשל, ספקים בארצות הברית), שותפים עסקיים או חברות קשורות. ככל שהעברות מידע אישי אלו מתבצעות מחוץ לישראל למדינות שאינן באיחוד האירופי, החברות המעבירות ידרשו לבחון את העברות מידע כאמור, הן בראי תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 ובמקרים מסוימים הן בראי הדרישות המנויות בפרק 5 ל-GDPR.
נשמח לעמוד לרשותכם בכל שאלה בנוגע לניתוח העברות מידע אישי מארגונכם ובחינת הצורך בהטמעת מנגנון העברה מתאים.
בברכה,
מחלקת סייבר, אבטחת מידע ופרטיות,
שבלת ושות'
האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.
