מהי העברת מידע בינלאומית?
העברת מידע בינלאומית מתייחסת לשינוע נתונים אישיים מישראל או מאירופה למדינות אחרות. זה יכול להיות בצורת העברה של מידע לספק חיצוני בחו״ל, אחסון בשרתים בחו״ל, או שיתוף נתונים עם שותפים עסקיים בחו״ל.
העברה כזו עלולה להיות בעיה משפטית אם המדינה שאליה מועברים הנתונים אינה בעלת רמת הגנה זהה על הפרטיות. GDPR בחוק הגנת הפרטיות התשמ"א-1981 בישראל מטילים הגבלות קשות על העברת מידע למדינות עם הגנה חלשה יותר.
דרישות GDPR להעברת מידע
GDPR (General Data Protection Regulation) היא הנוסחה העיקרית בחוק הגנת הפרטיות התשמ"א-1981 באירופה. היא גם משפיעה על חברות בישראל שעובדות עם נתונים של אנשים בחוק הגנת הפרטיות התשמ"א-1981 האירופאי.
מדינות בעלות החלטת נאותות (Adequacy Decision): הנציבות האירופאית הכירה בקבוצת מדינות שרמת הגנת הפרטיות שלהן מספקת — ולכן ניתן להעביר אליהן נתונים ללא הגבלה. ישראל נמצאת ברשימה זו מאז 2011. מדינות נוספות: יפן, קנדה, שוויץ, בריטניה, קוריאה הדרומית, ניו זילנד ועוד.
מדינות ללא החלטת נאותות: עבור מדינות שאינן ברשימה — כמו ארה"ב (אלא אם כן החברה מוסמכת תחת EU-US Data Privacy Framework), הודו, סין, ורוסיה — ניתן להעביר נתונים רק תחת מנגנוני הגנה מתאימים, כמו Binding Corporate Rules (BCR) או Standard Contractual Clauses (SCC).
סעיפי ביטחון רשומים (Standard Contractual Clauses)
Standard Contractual Clauses (SCC) הוא חוזה סטנדרטי שקבע הנציבות האירופאית. בעזרת SCC, חברה אירופאית יכולה להעביר נתונים לחברה בישראל או במדינה אחרת ללא "החלטת יתירות".
SCC דורש:
- חוזה משפטי בין שני הצדדים המפרט כיצד הנתונים יטופלו
- התחייבות שהנתונים לא יעברו לצדדים שלישיים בלי הסכמה
- זכות של הפרט לגשת לנתונים שלו ולתבוע אם הנתונים הופרו
- מחויבות לפיצוי נפגעים בגין נזקים הנובעים מהפרת הסכם
קראו גם:
Binding Corporate Rules (BCR)
Binding Corporate Rules הוא מדיניות פנימית של חברה רב-לאומית המגדירה כיצד נתונים יטופלו בכל הסניפים של החברה. BCR יכולה להחליף את הצורך בחוזה SCC אם חברה קיבלה אישור מהרשות המקומית.
BCR דורש:
- תיאור מפורט של מדיניות הגנת הפרטיות של החברה
- התחייבות שכל סניפים של החברה יעמדו בדרישות
- מנגנון לטיפול בתלונות של פרטים
- בדיקות תקופתיות של ציות להנחיות
חוק הגנת הפרטיות התשמ"א-1981 בישראל
בישראל, חוק הגנת הפרטיות, התשמ"א-1981, מטיל גם דרישות על העברת מידע למדינות אחרות. החוק דורש:
- הסכמה ברורה של הפרט להעברת מידע שלו למדינה אחרת
- ודאות שהמדינה שאליה מועברים הנתונים בעלת רמת הגנה סבירה
- אמצעי ביטחון בעת העברה (כמו הצפנה)
- זכות של הפרט להכיר את הנתונים שלו ותביעה אם הנתונים הופרו
סיכונים של העברת מידע
סיכון דליפה: אם מידע מעובר למדינה בעל ממשל חלש או אנטי-דמוקרטי, אפילו ישלוחות ממשלתיות עלולות להשיג את הנתונים.
סיכון תביעה: אם חברה מעברת נתונים ללא הסכמה סבירה, או ללא ביטחון מתאימה, היא עלולה להיתקל בתביעה של הפרט או בצו מהרשות המקומית.
סיכון עסקי: חברות אירופאיות לא יכולות לעבוד עם חברות ישראליות אם אלה לא בעלות ביטחון מתאימה של נתונים.
המלצות עבור חברות
עבור חברות המשדרות נתונים:
- בדקו אם המדינה שאליה מועברים הנתונים בעלת רמת הגנה מספקת
- אם לא, הדרישו SCC או BCR
- קחו הסכמה ברורה של פרטים להעברה
- ודאו שהנתונים מוצפנים בעת ההעברה
עבור חברות המקבלות נתונים:
- נהלו מדיניות הגנת מידע מפורטת
- בטחו שהמידע לא יעבור לצדדים שלישיים
- שמרו על יומן גישה לנתונים
- נתנו לפרטים זכות לגשת לנתונים שלהם ולהמחקם אם דרוש
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בעת בדיקת DPA (Data Processing Agreement) עם ספק ענן אמריקאי — ודא שיש SCC 2021 (גרסת הנציבות מיוני 2021, לא הגרסה הישנה). גרסאות ישנות אינן תקפות מאז דצמבר 2022.
- פסיקה רלבנטית: Schrems II (C-311/18, 2020) — ביטל את Privacy Shield, חייב BCR/SCC. EU-US Data Privacy Framework (2023) — מאפשר העברה לחברות אמריקאיות מוסמכות. ⚠️ מצבו לאחר ינואר 2025 דורש אימות.
- טעות נפוצה: עורכי דין ישראלים לא תמיד מודעים לכך שישראל מוכרת כמדינה בעלת נאותות מאז 2011 — פירושו שחברות EU יכולות להעביר נתונים לישראל ישירות. זה יתרון תחרותי שיש לנצל בחוזי SaaS.
- נקודה טקטית: בעסקאות M&A — בדיקת ה-Data Transfer Mapping של יעד הרכישה חובה. הפרת SCC שהתגלתה לאחר הסגירה עלולה ליצור אחריות של הרוכש.