תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי)
תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי) מתוך 
תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ״ג–2023
ק״ת תשפ״ג, 1720.
בתוקף סמכותי לפי פסקה (2) להגדרה ”מידע רגיש“ שבסעיף 7 ולפי סעיף 36 לחוק הגנת הפרטיות, התשמ״א–1981 (להלן – החוק), ובאישור ועדת החוקה חוק ומשפט של הכנסת, אני מתקין תקנות אלה:
הגדרות
בתקנות אלה –
”האזור הכלכלי האירופי“ – מדינות החברות באיחוד האירופי וכן איסלנד, נורווגיה וליכטנשטיין;
”נושא המידע“ – כהגדרתו בתקנות אבטחת מידע;
”תקנות אבטחת מידע“ – תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז–2017.
תחולה
(א)
תקנות אלה יחולו על –
(1)
מידע המצוי במאגר מידע בישראל אשר הועבר מהאזור הכלכלי האירופי, ולמעט מידע שהעביר במישרין אדם על אודות עצמו;
(2)
כל מידע נוסף המצוי במאגר מידע בישראל אשר מצוי בו מידע כאמור בפסקת משנה (1).
(ב)
על אף האמור בתקנת משנה (א), החובות המנויות בתקנות אלה לא יחולו על –
(1)
מידע שהועבר מרשות האחראית על הביטחון או אכיפת החוק באזור הכלכלי האירופי לרשות ביטחון כהגדרתה בסעיף 19(ג) לחוק;
(2)
שימוש במידע הנדרש למטרת הגנה על ביטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלה.
חובת מחיקת מידע
(א)
בעל מאגר מידע ימחק מידע לבקשתו הכתובה של נושא המידע בהתקיים אחד מאלה:
(1)
המידע נוצר, התקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין;
(2)
המידע אינו נחוץ עוד למטרות שלשמן נוצר, התקבל, נצבר או נאסף.
(ב)
על אף האמור בתקנת משנה (א), בעל מאגר מידע רשאי לסרב לבקשת מחיקה אם מצא כי השימוש במידע הוא לצורך אחד מאלה, וזאת בהיקף הנחוץ והמידתי לאותו צורך:
(1)
מימוש חופש הביטוי, לרבות זכות הציבור לדעת;
(2)
מילוי חובה חוקית או ביצוע סמכות על פי דין;
(3)
הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי;
(4)
ניהול הליך משפטי או גביית חובות;
(5)
מניעת הונאה, גנבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו;
(6)
מימוש חובות הנובעות מהסכם בין־לאומי שממשלת ישראל היא צד לו.
(ג)
התקבלה בקשה כאמור בתקנת משנה (א) ומצא בעל מאגר המידע כי לא מתקיימים החריגים כאמור בתקנת משנה (ב), ימחק את המידע שבשליטתו, או יבצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע.
(ד)
בעל מאגר מידע יודיע בכתב לנושא המידע על החלטתו בבקשה, במועד המוקדם האפשרי בנסיבות העניין.
הגבלת החזקת מידע שאינו נחוץ
(א)
בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן – מידע שאינו נחוץ).
(ב)
מצא בעל מאגר מידע, בין השאר, על סמך המנגנון האמור בתקנת משנה (א), כי במאגר המידע מוחזק מידע שאינו נחוץ, ימחק את המידע האמור במועד המוקדם האפשרי בנסיבות העניין.
(ג)
חובה כאמור בתקנת משנה (ב) לא תחול אם בוצעו לגבי המידע האמור פעולות המבטיחות שלא יתאפשר באמצעים סבירים לזהות את נושא המידע, או אם השימוש במידע הוא לצורך אחד מאלה, וזאת בהיקף הנחוץ והמידתי לאותו צורך:
(1)
מימוש חופש הביטוי, לרבות זכות הציבור לדעת;
(2)
הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי;
(3)
ניהול הליך משפטי או גביית חובות;
(4)
מניעת הונאה, גנבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו;
(5)
מימוש חובות הנובעות מהסכם בין–לאומי שממשלת ישראל היא צד לו.
חובת דיוק מידע
(א)
בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן.
(ב)
מצא בעל מאגר מידע, בין השאר, על סמך המנגנון האמור בתקנת משנה (א), כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, ינקוט אמצעים סבירים בנסיבות העניין לצורך תיקון המידע או מחיקתו.
חובת יידוע
(א)
בעל מאגר מידע שקיבל מידע על אודות אדם, יודיע לו, במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר בתוך חודש ממועד קבלת המידע, על כל אלה:
(1)
זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עימם;
(2)
מטרת העברת המידע;
(3)
סוג המידע שהועבר;
(4)
קיומה של זכות מחיקה לפי תקנה 2, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק.
(ב)
ביקש בעל מאגר מידע להעביר את המידע שקיבל לצד שלישי, יודיע במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, לנושא המידע, מוקדם ככל האפשר, ולכל המאוחר עם העברת המידע, על כל אלה:
(1)
הזהות ופרטי ההתקשרות של הצד השלישי או סוג הגורמים השלישיים שאליהם יועבר המידע;
(2)
מטרת העברת המידע;
(3)
סוג המידע שיועבר;
(4)
קיומה של זכות מחיקה לפי תקנה 3, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק.
(ג)
חובת היידוע כאמור בתקנת משנה (א) או (ב) לא תחול בהתקיים אחד מאלה, וזאת בהיקף הנחוץ והמידתי בשים לב לנסיבות העניין:
(1)
לבעל מאגר המידע יש יסוד סביר להניח שפרטי המידע הכלולים בתקנת משנה (א) או (ב) ידועים לנושא המידע;
(2)
פרטי ההתקשרות של נושא המידע אינם ידועים לבעל מאגר המידע, או שיישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל מאגר המידע, והכול בשים לב לאפשרות להיעזר בגורם שממנו הועבר המידע;
(3)
קיומה של חובת סודיות בדין או איסור בדין על גילוי המידע;
(4)
קיומה של הוראה בדין המסדירה את גילוי פרטי המידע המפורטים בתקנת משנה (א) או (ב);
(5)
מימוש חובת היידוע עלול לפגוע בשלומו או בחייו של אדם;
(6)
מימוש חובת היידוע עלול לפגוע בפעילות עיתונאית או לחשוף את מקור המידע של פעילות עיתונאית;
(7)
מימוש חובת היידוע יפגע בזכויותיו של אדם במידה העולה על הפגיעה הנובעת מאי־גילוי פרטי המידע לפי תקנת משנה (א) או (ב) בנושא המידע.
מידע רגיש
מידע שהועבר למאגר מידע בישראל כאמור בתקנה 2 בעניינים המפורטים להלן, הוא מידע רגיש לפי סעיף 7 לחוק:
(1)
מידע על מוצאו של אדם;
(2)
מידע על חברות בארגון עובדים.
שמירת דינים
אין בתקנות אלה –
(1)
כדי לגרוע מחובות אחרות המוטלות על בעל מאגר מידע לפי כל דין;
(2)
כדי להתיר שימוש במידע שאינו מותר לפי כל דין.
תחילה
תחילתן של תקנות אלה –
(1)
לעניין מידע כאמור בתקנה 2(א)(1) –
(א)
שלושה חודשים מיום פרסומן (התקנות פורסמו ביום 7.5.2023) (להלן – היום הקובע) – לגבי מידע שהתקבל במאגר מידע בישראל ביום הקובע או לאחריו;
(ב)
שנה מיום פרסומן – לגבי מידע שהתקבל במאגר מידע בישראל לפני היום הקובע;
(2)
לעניין מידע כאמור בתקנה 2(א)(2) – ביום א׳ בטבת התשפ״ה (1 בינואר 2025).
י״ב באייר התשפ״ג (3 במאי 2023)
- יריב לוין
שר המשפטים
אזהרה: המידע בוויקיטקסט נועד להעשרה בלבד ואין לראות בו ייעוץ משפטי. במידת הצורך היוועצו בעורך־דין.