תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי)
תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי)
ביום 1.1.25 הושלמה כניסתן ההדרגתית של התקנות, בקשר לכניסת מידע שמגיע מהאיחוד האירופאי, וכעת תקנות אלו חלות על כלל המידע שמצוי במאגרי המידע בישראל.
התקנות נועדו לגשר בין הפער שקיים ברגולציה המקומית לבין תקנות ה GDPR בכך שהן מקנות 4 זכויות נוספות לנושאי המידע:
- "הזכות להישכח" – בדומה לזכות הקיימת בתקנות ה GDPR, כעת גם במאגרי המידע בישראל, יש לבחון בקשות אלו ובמידת הצורך יש לאשר אותן ולמחוק את המידע הרלוונטי. חשוב לציין ש"הזכות להישכח" היא אינה זכות מוחלטת ולבעלי מאגרי המידע, קיימת אפשרות לשיקול דעת. ככל ומתקיימים קריטריונים אשר אושרו בחקיקה ניתן יהיה לסרב לבקשת נושא המידע. הצדקות לאי מחיקת המידע יכולות לנבוע מצרכים שונים לרבות שמירת מידע בכדי לציית לרגולציה נוספת, שמירת המידע עבור הליכים משפטיים וכיוצ"ב.
- "מידע שאינו נדרש" – זכות זו קיימת כבר קיימת בדין הישראלי במסגרת תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז – 2017 אך היא מקבלת מעמד נוסף גם בתקנות אלו שנכנסו לתוקף לאחרונה. בעלי מאגרי מידע, מחויבים להפעיל מנגנונים שיבטיחו שהמידע שהם שומרים נחוץ למטרות המאגר. מידע שימצא שאינו נחוץ עוד למטרות המאגר צריך להיות מוסר או להפוך אותו לבלתי ניתן לזיהוי.
- "דיוק מידע" - כל ארגון חייב ליישם מנגנונים ארגוניים וטכנולוגיים שיבטיחו שהמידע שהוא מעבד הוא מדויק, עדכני ונחוץ. מידע שלא יעמוד בדרישות אלו יתוקן או ימחק.
- "חובת יידוע" - זכות זאת כבר קיימת בדין הישראלי, אך תקנות אלו מקנות לה מעמד נוסף ומרחיבות על הדין הקיים. בעל מאגר מידע נדרשים ליידע את נושאי המידע בקשר לזהות בעל המאגר, זהות מנהל המאגר, מענם ודרכי ההתקשרות עימם. בנוסף, בעל מאגר מידע נדרש לפרט בפני נושאי המידע את הזכויות המגיעות להם בהתאם לרגולציה.
התקנות מציבות דרישות מחמירות בקשר לעיבוד מידע, תוך יישום פרקטיקות מתקדמות להבטחת זכויות נושאי המידע והן חלות על כל ארגון בישראל שמחזיק מידע שהועבר לישראל מהאזור הכלכלי האירופי.