ככלל, רגולציית הגנת הפרטיות של האיחוד האירופי, ה- GDPR מאפשרת העברת מידע אישי אל מחוץ לגבולות האיחוד אך ורק למדינות אשר הוכרו על-ידי האיחוד ככאלו המבטיחות מידה מספקת של הגנה על מידע אישי (להלן – "מעמד התאימות" או "Adequacy"). מעמד מסוג זה יכול להינתן למדינה שאינה חברה באיחוד האירופי לאחר הליך בחינה מעמיק בידי נציבות האיחוד האירופי. הרגולציה קובעת כי ארגון המבקש להעביר מידע אישי למדינה שלא הוכרה כאמור כמספקת רמת הגנה מספקת על מידע אישי, נדרש ליישם את אחד מן המנגנונים הקבועים ב-GDPR, אשר תכליתם להבטיח את ההגנה על המידע האישי ועל זכויות נושאי המידע (למשל, Standard Contractual Clauses). משמעות מעמד התאימות היא האפשרות להעביר באופן חופשי מידע אישי ממדינות אירופה למדינות שקיבלו מעמד תאימות, ללא צורך במחויבויות רגולטוריות נוספות מצד הגורם האירופי שמעביר את המידע או מצד הגורם שמקבל את המידע במדינה שקיבלה מעמד תאימות.
מעמד התאימות (Adequacy) ניתן לישראל לראשונה על-ידי נציבות האיחוד האירופי בשנת 2011. בעקבות חקיקתן בשנת 2018 של תקנות ה-GDPR, החלה נציבות האיחוד האירופי בבחינה מחודשת של ההכרה שניתנה למדינת ישראל ולכל המדינות מחוץ לאיחוד האירופי שזכו בעבר להכרה זו. בתום הליך הבחינה הממושך, פרסמה אתמול (15.1.24) נציבות האיחוד האירופי את החלטתה המקצועית, ואישרה את המשך תוקפו של מעמד התאימות של מדינת ישראל לצד מדינות נוספות.
ההחלטה ניתנה בעקבות תהליך בחינה מקצועי מקיף של נציבות האיחוד האירופי שנמשך מספר שנים. תהליך זה כלל הצגה מפורטת של משטר הגנת הפרטיות בישראל, וביצוע מהלכים משלימים בישראל בקשר לזכות לפרטיות, בהם אישור החלטת ממשלה בעניין עצמאות הרשות להגנת הפרטיות, קידום תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 אשר אושרו על-ידי ועדת החוקה של הכנסת, ופרסום הנחיות שונות על-ידי הרשות להגנת הפרטיות בישראל כדי לתת מענה לפערים מול הדין האירופי.
בפועל, משמעות ההחלטה להמשיך להכיר בישראל כבעלת תאימות היא שדין העברת מידע אישי מאירופה לישראל כמוהו כהעברת מידע בתוך האיחוד האירופי. כפי שציינה רשות הגנת הפרטיות בפרסומה ביחס להחלטה זו, הכרה זו היא בעלת חשיבות רבה למשק הישראלי ולכלכלה הישראלית, בדגש על יחסי המסחר עם אירופה, קשרי מחקר וקשרים נוספים של המשק, שכן היא מאפשרת זרימת מידע אישי לישראל באופן פשוט ונוח, ומקלה מבחינה משפטית ורגולטורית על כלל הגופים בישראל שמקבלים מידע אישי מאירופה. כמו כן, הכרה זו מונעת את הצורך במנגנונים פרטניים ועתירי משאבים, כגון הסדרים חוזיים מפורטים, ובכך מפחיתה עלויות לעסקים וארגונים בישראל, מצמצמת סיכונים משפטיים, ומייצרת יתרון תחרותי לחברות ישראליות.
לפרסום ההחלטה המלאה לחצ/י כאן
_________________________________________________________________________________________________________________________________________________________________
הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.
________________________________________________________________________________________________________________________________________________________________________________________________________________
אלה טבת, ראש מחלקת קניין רוחני ופרטיות – ella.tevet@goldfarb.com
רועי לאור, שותף במחלקת קניין רוחני ופרטיות – roee.laor@goldfarb.com