מהי העברת מידע בינלאומית ומתי היא בעיה?
אתם שומרים נתונים על לקוחות אירופאים בשרתים בארה"ב? מעבירים מידע לספק הודי? אם כן — יש לכם חשיפה לפי GDPR. החדשות הטובות: ישראל קיבלה "החלטת נאותות" מהאיחוד האירופי ב-2011, מה שמאפשר העברת מידע בין ישראל לאירופה ללא מנגנוני הגנה מיוחדים. אבל כשמדינת היעד היא ארה"ב, הודו, סין, או רוסיה — הסיפור שונה לגמרי.
העברה כזו עלולה להיות בעיה משפטית אם המדינה שאליה מועברים הנתונים אינה בעלת רמת הגנה זהה על הפרטיות. GDPR במה אומר החוק הישראלי על הגנת פרטיות ועל מה הוא חל? מטילים הגבלות קשות על העברת מידע למדינות עם הגנה חלשה יותר.
מה GDPR דורש לפני שמעבירים נתונים לחו״ל?
GDPR (General Data Protection Regulation, תקנה 2016/679) היא התקנה האירופית לשמירה על נתונים אישיים, בתוקף מ-2018. היא חלה על כל גוף שמעבד נתונים של אזרחי האיחוד האירופי — כולל חברות ישראליות שמוכרות, משרתות, או מעסיקות אנשים באירופה.
מדינות בעלות החלטת נאותות (Adequacy Decision): הנציבות האירופאית הכירה בקבוצת מדינות שרמת הגנת הפרטיות שלהן מספקת — ולכן ניתן להעביר אליהן נתונים ללא הגבלה. ישראל נמצאת ברשימה זו מאז 2011. מדינות נוספות: יפן, קנדה, שוויץ, בריטניה, קוריאה הדרומית, ניו זילנד ועוד.
מדינות ללא החלטת נאותות: עבור מדינות שאינן ברשימה — כמו ארה"ב (אלא אם כן החברה מוסמכת תחת EU-US Data Privacy Framework), הודו, סין, ורוסיה — ניתן להעביר נתונים רק תחת מנגנוני הגנה מתאימים, כמו BCR — מתי זה מתאים ולמה זה לא לכולם? או Standard Contractual Clauses (SCC).
מה זה SCC ומתי חייבים להשתמש בו?
Standard Contractual Clauses (SCC) הוא חוזה סטנדרטי שקבע הנציבות האירופאית. בעזרת SCC, חברה אירופאית יכולה להעביר נתונים לחברה בישראל או במדינה אחרת ללא "החלטת יתירות".
SCC דורש:
- חוזה משפטי בין שני הצדדים המפרט כיצד הנתונים יטופלו
- התחייבות שהנתונים לא יעברו לצדדים שלישיים בלי הסכמה
- זכות של הפרט לגשת לנתונים שלו ולתבוע אם הנתונים הופרו
- מחויבות לפיצוי נפגעים בגין נזקים הנובעים מהפרת הסכם
קראו גם:
BCR — מתי זה מתאים ולמה זה לא לכולם?
Binding Corporate Rules הוא מדיניות פנימית של חברה רב-לאומית המגדירה כיצד נתונים יטופלו בכל הסניפים של החברה. BCR יכולה להחליף את הצורך בחוזה SCC אם חברה קיבלה אישור מהרשות המקומית.
BCR דורש:
- תיאור מפורט של מדיניות הגנת הפרטיות של החברה
- התחייבות שכל סניפים של החברה יעמדו בדרישות
- מנגנון לטיפול בתלונות של פרטים
- בדיקות תקופתיות של ציות להנחיות
מה אומר החוק הישראלי על הגנת פרטיות ועל מה הוא חל?
בישראל, חוק הגנת הפרטיות, התשמ"א-1981, מטיל גם דרישות על העברת מידע למדינות אחרות. החוק דורש:
- הסכמה ברורה של הפרט להעברת מידע שלו למדינה אחרת
- ודאות שהמדינה שאליה מועברים הנתונים בעלת רמת הגנה סבירה
- אמצעי ביטחון בעת העברה (כמו הצפנה)
- זכות של הפרט להכיר את הנתונים שלו ותביעה אם הנתונים הופרו
מה הסיכונים המשפטיים של העברת מידע ללא הגנה נאותה?
סיכון דליפה: אם מידע מעובר למדינה בעל ממשל חלש או אנטי-דמוקרטי, אפילו ישלוחות ממשלתיות עלולות להשיג את הנתונים.
סיכון תביעה: אם חברה מעברת נתונים ללא הסכמה סבירה, או ללא ביטחון מתאימה, היא עלולה להיתקל בתביעה של הפרט או בצו מהרשות המקומית.
סיכון עסקי: חברות אירופאיות לא יכולות לעבוד עם חברות ישראליות אם אלה לא בעלות ביטחון מתאימה של נתונים.
מה עושים עכשיו — צעדים מעשיים לחברות ישראליות
עבור חברות המשדרות נתונים:
- בדקו אם המדינה שאליה מועברים הנתונים בעלת רמת הגנה מספקת
- אם לא, הדרישו SCC או BCR
- קחו הסכמה ברורה של פרטים להעברה
- ודאו שהנתונים מוצפנים בעת ההעברה
עבור חברות המקבלות נתונים:
- נהלו מדיניות הגנת מידע מפורטת
- בטחו שהמידע לא יעבור לצדדים שלישיים
- שמרו על יומן גישה לנתונים
- נתנו לפרטים זכות לגשת לנתונים שלהם ולהמחקם אם דרוש
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בעת בדיקת DPA (Data Processing Agreement) עם ספק ענן אמריקאי — ודא שיש SCC 2021 (גרסת הנציבות מיוני 2021, לא הגרסה הישנה). גרסאות ישנות אינן תקפות מאז דצמבר 2022.
- פסיקה רלבנטית: Schrems II (C-311/18, 2020) — ביטל את Privacy Shield, חייב BCR/SCC. EU-US Data Privacy Framework (2023) — מאפשר העברה לחברות אמריקאיות מוסמכות. ⚠️ מצבו לאחר ינואר 2025 דורש אימות.
- טעות נפוצה: עורכי דין ישראלים לא תמיד מודעים לכך שישראל מוכרת כמדינה בעלת נאותות מאז 2011 — פירושו שחברות EU יכולות להעביר נתונים לישראל ישירות. זה יתרון תחרותי שיש לנצל בחוזי SaaS.
- נקודה טקטית: בעסקאות M&A — בדיקת ה-Data Transfer Mapping של יעד הרכישה חובה. הפרת SCC שהתגלתה לאחר הסגירה עלולה ליצור אחריות של הרוכש.