פרטיות חוצת גבולות -כשדיני הפרטיות עוברים את הגבול

בעל מאגר מידע בישראל מחליט לנצל הפוגה בקרבות בין ישראל ואיראן לצורך העתקת המידע מהמאגר בישראל אל שרתים הממוקמים באזור מעט פחות מסוכן, לדעתו.   אולי אצל החברים החדשים בביירות או בהונגריה או שהוא חושב מחוץ לקופסה (ולטווח הטילים) ומשווה הצעות מחיר במיקרונזיה.  אבל רגע אחד!  האם ההעברה המתוכננת בכלל חוקית!?

תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 קובעות כלל גורף של איסור העברת מידע אל מחוץ לישראל.  מכלל זה מוחרגות העברות למדינות יעד המבטיחות רמת הגנה שאינה פחותה מזו שבישראל.  ודוק, אין מדובר במידע ממאגר מידע רשום בלבד, אלא במידע מכל מאגר מידע שהוא בישראל, כך שאין בהקלות על רישום מאגר מידע שיושמו בתיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981 בכדי לצמצם איסור זה.  בדומה ל- GDPR האירופאי, גם כאן מדובר בחקיקה אירופאית שנקלטה לדין הישראלי.  וכך האופציה ההונגרית תצלח אמנם, אבל האם זו סיבה לוותר על ההצעות המפתות שהתקבלו ממיקרונזיה?

בקליפת אגוז (קוקוס מיקרונזי) התשובה היא - לא בהכרח.  התקנות מונות שורת חריגים המתייחסים להעברת מידע למדינות שאינן עומדות בדרישות החריג לעיל, כאשר החריג היחיד שאינו תלוי בסוג המידע או בנושאי המידע, קבוע בתקנה 2(4) ומתיר העברת מידע בכפוף להתחייבות הנעבר בהסכם, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים.  בהינתן שזהות בדינים אינה דרישה ריאלית ועל מנת לשמור על הכלל לפיו צירוף המילים "בשינויים המחויבים" אינו לחש קסמים המאפשר לחרוג מהמסגרת המקורית נדרשה הרשות להגנת הפרטיות להבהיר את גדרי אותם שינויים וכך עשתה בגילוי דעת שהתפרסם במרץ, 2026[*].   כך, למשל, אי עמידת הנעבר בחובות רישום מאגר מידע או הודעה לרשות על קיומו תראה כ"שינוי מחויב" אם לא קיימת חובה דומה במדינת היעד.

מנגד, הרשות מבהירה כי אותם "שינויים מחויבים" מתייחסים לחובות של המחזיק בחו"ל ואין בהם כדי לפטור את בעל מאגר המידע בישראל מחובותיו ככזה.  כן, אין מדובר בשינויים הנדרשים בשל נסיבותיו הסובייקטיביות של הנעבר אלא בשל הבדלים בין הדין הישראלי לדין המקומי.  בנוסף, בהתאם לעיקרון אי החריגה מהמסגרת המקורית, הרשות מונה התחייבויות שחובה לכלול בהסכם עם הנעבר וביניהן: (א) איסור שימוש במידע האישי שלא למטרה לשמה הוא נמסר לבעל השליטה במאגר הישראלי; (ב) התחייבות למתן זכות עיון לנושא המידע; (ג) זכות נושא המידע לבקש את תיקון או מחיקת המידע האישי; (ד) שמירה על סודיות המידע האישי; (ה) אבטחת המידע האישי בהתאם לתקנות אבטחת מידע הישראליות[**] או בהתאם לתקן ISO/IEC 27001 והנחיות הרשות[***] ובעתיד בהתאם להוראות חוק הגנת הסייבר.  עם זאת, יש לציין כי על אף שהעברת המידע מאותו נעבר לנעבר נוסף בחו"ל מותנית בהסכמת בעל המאגר בישראל הרי שהחובות מכח סעיף 2(4)אינן חלות על הסכמה זו[IV].

מה אם כן יעשה בעל מאגר מידע בישראל המבקש להעביר מידע לחו"ל? ראשית מומלץ להיעזר מראש בעורך דין מומחה בתחום ובפרט בעורך דין מומחה שהינו חבר ברשת משרדי עורכי דין בינלאומית.  כך, ניתן לקבל את ההתייחסות המורכבת והמקיפה הנדרשת בכדי לעמוד על החריגים החלים, הדינים הרלוונטיים במדינת הנעבר, ולקבוע את הצורך בהסכם ואת תוכנו המדויק של ההסכם עם כל נעבר בשים לב להוראות חוק הגנת הפרטיות, התקנות והפרשנות המתעדכנת שניתנת להם על ידי הרשות מחד אך גם לדין הזר הרלוונטי מאידך.

*] הרשות להגנת הפרטיות גילוי דעת: פרשנות תקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 (13.4.2026)

[**] תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017

[***] הרשות להגנת הפרטיות הנחיה מס' 3/2018: תחולת תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 על ארגונים המוסמכים לתקן ISO/IEC 27001   (26.4.2018)

[IV] הרשות להגנת הפרטיות גילוי דעת: פרשנות תקנה 3 לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 פס' 7 (13.10.2024)