תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023, פורסמו באופן רשמי ב-7 במאי 2023. התקנות נכנסו לתוקף במועד הפרסום והן חלות על כל מידע שיתקבל במאגר הנתונים הישראלי מהאזור הכלכלי האירופי, למעט מידע שאדם פרטי סיפק על עצמו. למידע שהתקבל לפני מועד הפרסום, התקנות ייכנסו לתוקף בתוך פרק זמן של שנה, ב-7 במאי 2024. כל מידע אחר שהתקבל מאירופה יהיה כפוף להוראות התקנות החל מה-1 בינואר 2025.
התקנות מתארות 4 חובות שיחולו על מידע אישי המועבר לישראל מן האזור הכלכלי באירופה (האיחוד האירופי, נורבגיה, איסלנד וליכטנשטיין) וכאמור, החל מ-1 בינואר 2025, על כל מידע אחר הנמצא במאגר המידע. חובות אלו כוללות חובת יידוע, מחיקת מידע מיותר, הגבלת שמירת מידע והבטחת דיוק המידע. כמו כן, התקנות רואה במידע על מוצאו של אדם וחברות בארגון עובדים כמידע רגיש לפי סעיף 7 לחוק הגנת הפרטיות.
חשוב לציין כי מידע שעונה לקריטריונים מסוימים לא יהיה כפוף לתקנות, לרבות: מידע שמישהו משתף עם עצמו, מידע בין רשויות הביטחון או אכיפת החוק באירופה וישראל, ומידע הדרוש להגנה על ביטחון המדינה או אכיפת החוק.
תקנה 3 מאפשרת לבקש מחיקת מידע אישי ממאגר מידע. על בעל המאגר מוטלת החובה למחוק מידע זה אם נאסף או נעשה בו שימוש שלא כדין, או אם אין בו עוד צורך. עם זאת, ישנם כמה חריגים לחובה זו, כגון אם המידע נחוץ למחקר מדעי, הגנה על עניין ציבורי או למניעת הונאה. אם בקשת המחיקה אינה נכנסת לאחד החריגים, על בעל המאגר למחוק את המידע או לבצע פעולות כאלה ואחרות שמונעות זיהוי האדם מאחורי המידע.
על מנת למנוע שמירה של מידע מיותר בבסיס נתונים, תקנה 4 קובעת כי הבעלים חייב להבטיח כי רק מידע הכרחי נשמר. אם בעלי מאגר מידע מוצאים מידע מיותר, הם חייבים למחוק אותו בהקדם האפשרי, אלא אם כן מתקיים אחד החריגים בתקנות. יחד עם זאת, תקנה 4 מבהירה כי אם אין דרך לזהות את האדם מאחורי המידע, אין חובה למחוק מידע שאינו הכרחי.
תקנה 5 קובעת כי יש חשיבות לדיוק המידע. בעלי מאגר מידע חייבים ליישם מנגנון ארגוני, טכנולוגי או אחר כדי להבטיח שהמידע המאוחסן במאגר הוא מדויק, מקיף, ברור ומעודכן. בנוסף, החוק קובע כי אם מידע ימצא כלא מדויק, יש לנקוט באמצעים מתאימים כדי לתקן או למחוק אותו.
תקנה 6 קובעת כי על בעלי מאגר מידע המכיל מידע מהאזור הכלכלי האירופי חובת יידוע לכל מי שמידע אודותיהם נמצא במאגר, כגון מי הבעלים של מאגר הנתונים, מטרת המידע והזכות למחוק או לתקן את המידע. הודעה זו חייבת להימסר באופן ישיר או עקיף בתוך חודש ממועד קבלת המידע. במידה ובעל מאגר מידע רוצה להעביר את המידע לצד שלישי, לפני העברת המידע חובה עליו להודיע לאדם שהמידע אודותיו מאוחסן במאגר (נושא מידע) על זהותו של הצד השלישי ואת פרטי הקשר. להוראות תקנה 6 יש חריגים ובעל המאגר אינו חייב ליידע את נושא המידע, במקרים כגון: לבעלי המאגר אין את פרטי ההתקשרות עם נושא המידע, יש חובה משפטית לשמור על המידע סודי, ההודעה עלולה לגרום לפגיעה בצד שלישי, פעילות עיתונאית, או פגיעה בזכויות אדם במידה העולה על הפגיעה מאי גילוי.
