העברת מידע אישי לחו"ל: המסגרת המשפטית הישראלית לאחר תיקון 13

המסגרת הרגולטורית החדשה: מה השתנה בתיקון 13

תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, שנכנס לתוקף בינואר 2025, הביא עמו שינויים מהותיים בדרישות להעברת מידע אישי לחוץ לישראל. השינוי המרכזי נוגע לביסוס מפורש של עקרון "רמת ההגנה הולמת" במקום הגישה הכללית שהייתה קיימת בעבר.

החוק החדש קובע כי העברת מידע אישי לחוץ לישראל תותר רק אם במדינת היעד קיימת "רמת הגנה הולמת למידע האישי". עקרון זה, המוכר ממודלים בינלאומיים כמו ה-GDPR האירופי, מבסס גישה מובנית יותר להערכת סיכונים בהעברות בינלאומיות.

התיקון גם מטיל על רשות להגנת הפרטיות סמכות חדשה לקבוע רשימה של מדינות הנחשבות כבעלות רמת הגנה הולמת, באופן דומה לרשימת המדינות המאושרות על ידי הנציבות האירופית. החלטה זו מיועדת לספק וודאות משפטית לחברות ולהפחית את המורכבות הביצועית.

השלכות על חברות טכנולוגיה

עבור חברות SaaS, פינטק וחברות טכנולוגיה אחרות שפועלות בין-לאומית, השינוי מחייב הערכה מחדש של כלל זרימת המידע הבינלאומית. חברות שהסתמכו בעבר על פרקטיקות גנריות צריכות כעת לנתח באופן ספציפי את רמת ההגנה בכל מדינת יעד.

הגדרת רמת ההגנה הההולמת: הקריטריונים המשפטיים

חוק הגנת הפרטיות המתוקן אינו מגדיר במפורש מהי "רמת הגנה הולמת", אך מפנה לקריטריונים שרשות להגנת הפרטיות תפרסם בתקנות. בהתבסס על ההכנות לחקיקת המשנה והתבוננות בפרקטיקות בינלאומיות, ניתן לצפות למספר קריטריונים מרכזיים.

קריטריונים צפויים להערכת רמת ההגנה

• קיום חקיקה מקיפה להגנת פרטיות הכוללת זכויות יסוד לנושאי מידע
• רשות פיקוח עצמאית ואפקטיבית להגנת פרטיות
• זכות גישה, תיקון ומחיקה לנושאי המידע
• הגבלות על העברת מידע למדינות שלישיות
• מנגנוני אכיפה יעילים, כולל סנקציות משמעותיות
• הליכי תקנה ופיקוח שיפותי עצמאי

נכון למועד כתיבת מאמר זה, רשות להגנת הפרטיות עדיין מעבדת את התקנות שיגדירו במדויק את הקריטריונים. חברות מומלץ לעקוב אחר פרסומי הרשות ולהתכונן להתאמה כאשר הקריטריונים יפורסמו.

השפעת ההכרה הבינלאומית

צפוי כי רשות להגנת הפרטיות תתחשב בהחלטות הדדיות של רשויות מקבילות במדינות אחרות. לדוגמה, מדינות שזוכות להכרה כ"מדינות בעלות רמת הגנה נאותה" על ידי הנציבות האירופית עשויות לקבל יחס דומה גם מישראל, בכפוף לבדיקה עצמאית.

מדינות בעלות רמת הגנה הולמת: המצב הנוכחי והצפי

נכון למועד כתיבת מאמר זה, רשות להגנת הפרטיות טרם פרסמה את הרשימה הרשמית של מדינות בעלות רמת הגנה הולמת. עם זאת, על בסיס הצהרות הרשות וההשוואה למודלים בינלאומיים, ניתן לזהות מדינות שסבירותן גבוהה להיכלל ברשימה.

מדינות עם סיכוי גבוה לאישור

• מדינות האיחוד האירופי - בשל GDPR והמסגרת הרגולטורית המקיפה
• בריטניה - חקיקת UK-GDPR זהה למעשה לחקיקה האירופית
• שוויץ - חוק הגנת הפרטיות המעודכן (nDSG) מתואם עם תקני GDPR
• קנדה - החוק הפדרלי PIPEDA וחקיקת הפרובינציות
• יפן - זוכה להכרה אירופית על בסיס הסכם הדדי
• דרום קוריאה - חוק הגנת המידע האישי (PIPA) מתואם לתקנים בינלאומיים

חשוב לציין כי רשימה זו היא הערכה ראשונית בלבד, והרשימה הסופית תיקבע על ידי רשות להגנת הפרטיות בלבד. חברות מומלץ לא להסתמך על הערכה זו עד לפרסום הרשמי.

מדינות עם מעמד מורכב

ארצות הברית מציגה מקרה מבחן מעניין. בעוד שאין בארה"ב חוק פרטיות פדרלי מקיף, קיימים חוקים מגזריים (HIPAA, FERPA) וחוקים מדינתיים (כמו CCPA בקליפורניה). בנוסף, מנגנוני הפיקוח הפדראליים (FTC) מספקים אכיפה משמעותית. החלטת רשות להגנת הפרטיות הישראלית לגבי ארה"ב תשפיע על רוב החברות הישראליות הפועלות בינלאומית.

גם מדינות כמו אוסטרליה וניו זילנד נמצאות במעמד ביניים - יש להן חקיקת פרטיות מקיפה אך לא זוכות עדיין להכרה מלאה ברמה האירופית.

מנגנוני העברה למדינות ללא רמת הגנה הולמת

גם כאשר מדינת היעד אינה מופיעה ברשימת המדינות המאושרות, תיקון 13 מאפשר העברת מידע באמצעות מנגנונים חלופיים. מנגנונים אלה, הדומים למודל ה-GDPR, מיועדים ליצור "גשרי הגנה" משפטיים.

הסכמי העברת מידע (Data Transfer Agreements)

המנגנון המרכזי הוא הסכמי העברת מידע בין הגוף המעביר במדינת הייעד לבין הגוף המקבל במדינת היעד. הסכמים אלה חייבים לכלול התחייבויות מדויקות להגנה על המידע ברמה השקולה לזו הקיימת בישראל.

• התחייבויות טכניות - הצפנה, אבטחת מידע, הגבלת גישה
• התחייבויות משפטיות - כיבוד זכויות נושאי המידע, הגבלה על העברות נוספות
• מנגנוני פיקוח - דיווח על אירועי אבטחה, ביקורות תקופתיות
• זכות סיום - אפשרות לסיים את ההסכם במקרה של הפרה

כללים מחייבים תאגידיים (Binding Corporate Rules)

חברות רב-לאומיות יוכלו לאמץ כללים פנימיים מחייבים החלים על כלל הישויות בקבוצת החברות. מנגנון זה מתאים במיוחד לחברות טכנולוגיה גדולות עם נוכחות בינלאומית משמעותית.

הסכמה מפורשת של נושא המידע

במקרים מסוימים, ניתן יהיה להסתמך על הסכמה מפורשת של נושא המידע להעברה. אולם, מנגנון זה מוגבל לנסיבות ספציפיות ואינו מתאים לעיבוד המוני או שגרתי של מידע אישי.

דרישות הציות: מה חברות טכנולוגיה חייבות לעשות עכשיו

התאמה לדרישות תיקון 13 מחייבת גישה מובנית וביצוע של מספר שלבים מעשיים. חברות שפועלות בינלאומית צריכות להתחיל בתהליך ההתאמה כבר עתה, גם לפני פרסום הרשימה הסופית של המדינות המאושרות.

מיפוי זרימות מידע קיימות

השלב הראשון הוא מיפוי מלא של כל זרימות המידע הבינלאומיות. זה כולל:

• שירותי ענן (AWS, Google Cloud, Microsoft Azure) - איפה נמצאים השרתים בפועל
• כלי מעקב ואנליטיקה (Google Analytics, Mixpanel, Hotjar) - לאן נשלח המידע
• פלטפורמות CRM ושיווק (Salesforce, HubSpot, Mailchimp) - מיקום עיבוד הנתונים
• כלי תמיכה לקוחות (Zendesk, Intercom) - מיקום אחסון השיחות
• מעבדי תשלום (Stripe, PayPal) - איפה מעובדים נתוני האשראי

כל זרימה צריכה להיבדק לגבי מדינת היעד, סוג המידע המועבר, וההצדקה העסקית להעברה.

הערכת הצורך בהתאמות

לאחר המיפוי, יש לבדוק כל זרימה מול הדרישות החדשות:

1. זרימות למדינות מאושרות - לא נדרשת התאמה (כפוף לפרסום הרשימה)
2. זרימות למדינות לא מאושרות - נדרש מנגנון הגנה חלופי
3. זרימות רב-שלביות - בדיקה של כל שלב בנתיב ההעברה

עדכון התחייבויות חוזיות

החוזים עם ספקי שירות חייבים להתעדכן כדי לכלול התחייבויות ספציפיות לתיקון 13. זה כולל:

• התחייבות הספק לציות להוראות החוק הישראלי
• מנגנון דיווח על בקשות רשויות חוקרות או ביטחוניות
• זכות ביקורת או קבלת אישורי ציות מהספק
• התחייבויות בנוגע לסוב-קונטרקטורים

שירותי ענן ומידע בענן: שיקולים מיוחדים לחברות טכנולוגיה

שירותי ענן מציגים אתגרים ייחודיים במסגרת דרישות העברת המידע החדשות. חברות SaaS וחברות טכנולוגיה אחרות המסתמכות על ספקי ענן גדולים צריכות להבין את המורכבויות הספציפיות.

בעיית הריבוי הגיאוגרפי

ספקי ענן מרכזיים מפעילים שרתים ברחבי העולם, והמידע עלול לעבור בין אזורים גיאוגרפיים שונים. גם כאשר החברה בוחרת אזור ספציפי לאחסון (למשל, "EU-West"), עדיין עלולות להתרחש העברות למדינות אחרות לצורכי גיבוי, עיבוד או תחזוקה.

• Amazon Web Services (AWS) - מאפשר בחירת אזור ו"data residency" אך יש להבין את מגבלות השירות
• Microsoft Azure - מציע "data boundary" לאירופה אך עם חריגים לשירותים מסוימים
• Google Cloud Platform - מאפשר בחירת אזור אך עם "global services" שעלולים לחצות גבולות

פתרונות מעשיים לשירותי ענן

החברות צריכות לנקוט מספר צעדים כדי להבטיח ציות:

1. בחירה מודעת של אזור - העדפה לאזורים במדינות צפויות להיכלל ברשימה המאושרת
2. הסכמי DPA מעודכנים - וידוא שהסכמי עיבוד הנתונים (Data Processing Agreements) מתואמים לדרישות הישראליות
3. תצורת שירותים מותאמת - ביטול שירותים "גלובליים" שעלולים ליצור העברות לא רצויות
4. הצפנה ברמת האפליקציה - וידוא שהמידע מוצפן בצורה שגם הספק לא יכול לגשת אליו

שיקולים לגבי שירותים נוספים

מעבר לאחסון בסיסי, חברות משתמשות במגוון שירותי ענן שכל אחד מהם עלול ליצור זרימת מידע:

• Content Delivery Networks (CDN) - Cloudflare, Amazon CloudFront - עלולים לשכפל מידע למדינות רבות
• שירותי מוניטורינג - Datadog, New Relic - שולחים לוגים ומטריקות למרכזי עיבוד
• שירותי אבטחה - מוצרי SOC וניטור אבטחה שעלולים להעביר נתונים לניתוח

כל שירות מהווה נקודת העברה פוטנציאלית שצריכה להיבדק ולהיכלל באסטרטגיית הציות הכוללת.

יישום מעשי: הכנת החברה לדרישות החדשות ולעתיד

ההתאמה לדרישות תיקון 13 אינה אירוע חד-פעמי אלא תהליך מתמשך הדורש בנייה של יכולות פנימיות וקביעת תהליכי עבודה ארוכי טווח. חברות טכנولוגיה צריכות לגשת לנושא בצורה אסטרטגית.

בניית צוות ציות פנימי

חברות בינוניות וגדולות צריכות להקצות משאבים ייעודיים לנושא הגנת הפרטיות והעברות בינלאומיות:

• מינוי קצין הגנת מידע (DPO) - אמנם לא חובה בכל המקרים לפי החוק הישראלי, אך מומלץ עבור חברות עם פעילות בינלאומית
• הקמת וועדת פרטיות - כולל נציגים מהמחלקות המשפטית, הטכנולוגית, והמוצר
• הדרכת צוותי פיתוח - וידוא שמפתחים מבינים את האילוצים במיקום ועיבוד נתונים

תהליכי עבודה למוצרים חדשים

כל מוצר או שירות חדש צריך לעבור הערכת השפעה על פרטיות (Privacy Impact Assessment) הכוללת בדיקה של:

1. איזה מידע אישי יאסף המוצר ומדוע
2. היכן יאוחסן המידע ואילו ספקים יהיו מעורבים
3. האם צפויות העברות בינלאומיות ובאילו נסיבות
4. אילו בקרות טכניות יוטמעו כדי להגביל העברות לא רצויות

מעקב אחר שינויים רגולטוריים

הנוף הרגולטורי של הגנת פרטיות משתנה במהירות, ורשות להגנת הפרטיות צפויה לפרסם הנחיות ותקנות נוספות. חברות צריכות:

• לעקוב באופן קבוע אחר פרסומי רשות להגנת הפרטיות
• להשתתף בכנסים וסמינרים מקצועיים בתחום
• לקיים קשר עם יועצים משפטיים מתמחים
• לעקוב אחר התפתחויות בינלאומיות שעלולות להשפיע על ישראל

הכנה לאכיפה מוגברת

תיקון 13 העצים משמעותית את סמכויות האכיפה של רשות להגנת הפרטיות, כולל קנסות אדמיניסטרטיביים משמעותיים. חברות צריכות להתכונן למציאות של פיקוח מוגבר:

• תיעוד מקיף - שמירה על תיעוד של כל ההחלטות והפעולות בתחום העברת המידע
• נהלים לטיפול בפניות - היכונות לטיפול בפניות מרשות הגנת הפרטיות או מנושאי מידע
• ביטוח סייבר מתאים - וידוא שהפוליסה מכסה גם קנסות רגולטוריים

ההשקעה בציות כיום תחסוך לחברות הוצאות ומורכבויות רבות בעתיד, במיוחד כאשר הן רוצות להתרחב לשווקים בינלאומיים הדורשים תקני פרטיות גבוהים.

האמור במאמר זה מהווה מידע כללי בלבד ואינו מהווה ייעוץ משפטי. לקבלת ייעוץ מותאם לנסיבות הספציפיות של חברתכם, אנו מזמינים אתכם ליצור קשר עם משרדנו.

מאת

עו"ד אור אלישיב

מייסד משרד עו"ד אור אלישיב, המתמחה בדיני טכנולוגיה, הגנת פרטיות, קניין רוחני ומשפט מסחרי. מלווה חברות טכנולוגיה, סטארטאפים ומשקיעים בינלאומיים.