העברת מידע פרטי מחוץ לישראל

ביולי, 2020, בית הדין האירופי לצדק הוציא תחת ידו פסק דין בפרשה הידועה גם בכינוי “שרמס 2”. פסק הדין התווה מציאות חדשה בתחום פרטיות המידע. פסק הדין ביטל את “מנגנון ההלימות” (Privacy Shield) אשר אפשר משנת 2016 העברת מידע פרטי בין ארה”ב לאיחוד האירופי. השפעתו של פסק הדין אינה מוגבלת לקשרי האיחוד האירופי עם ארה”ב וחלה גם על קשרי מסחר עם מדינות נוספות.

לאור פסק הדין ניתן לצפות כי האיחוד האירופי יבצע בדיקה קפדנית ביותר של התנהלות מדינות אשר הוכרו כמספקות רמה נאותה של הגנת המידע האישי של אזרחי האיחוד. גם חברות פרטיות ברחבי העולם המקיימות סחר עם ארה”ב ועם האיחוד נדרשות לבדוק את כשירות פעילותן בדבר העברת מידע אישי במסגרת העסקים.

בישראל, תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס”א-2001, עוסקת בהעברת מידע אישי מחוץ לישראל. ברירת המחדל מופיע בסעיף 1 לחוק, בזו הלשון:

” לא יעביר אדם מידע ולא יאפשר העברה של מידע ממאגר מידע בישראל אל מחוץ לגבולותיה, אלא אם כן דין המדינה שאליה מועבר המידע, מבטיח רמת הגנה על מידע שאינה פחותה, בשינויים המחויבים, מרמת ההגנה על מידע הקבועה בדין הישראלי, ובכלל זה קובע עקרונות אלה:
(1) מידע ייאסף ויעובד באופן חוקי והוגן;
(2) מידע יוחזק, ישמש ויימסר רק למטרה שלשמה נתקבל;
(3) מידע שנאגר יהיה מדויק ומעודכן;
(4) נתונה זכות עיון ותיקון למי שהמידע עליו;
(5) קיימת חובה לנקוט אמצעי ביטחון נאותים להגנה על מידע במאגרי מידע.”

בעבר, סעיף 2(8)(2) לתקנות העברת מידע, אפשר העברת מידע למדינות שהגדיר האיחוד האירופי כבעלות הלימות בהקשר לפרטיות והגנת המידע. הסעיף הנ”ל שימש גם עוגן משפטי בעבור חברות ישראליות להעברת מידע אל חברות אמריקאיות.

משבוטל הסדר ה- Harbor Safe בשנת 2015, והסדר ה- Shield Privacy בשנת 2020, הרשות להגנת הפרטיות מבהירה כי לא ניתן להסתמך על תקנה 2(8)(2) לצורך העברת מידע מישראל לארה”ב. יחד עם זאת, הרשות להגנת הפרטיות הבהירה כי ניתן להעביר מידע פרטי מישראל לארה”ב בהתאם לאחד מן החריגים האחרים בסעיפי המשנה של תקנה 2 לתקנות העברת המידע.

בנסיבות אלה, כל מי שמעביר מידע פרטי לארה”ב ודי באחסון מידע אישי חייב לוודא כי הוא עומד בהוראות תקנות העברת מידע.