העברת מידע לחו״ל: הסיכון המשפטי שרוב העסקים לא מודעים אליו

01נקודת המוצא: איסור ולא היתר

חוק הגנת הפרטיות, התשמ״א-1981, קובע כעיקרון יסוד כי העברת מידע אישי ממאגר הנמצא בישראל לגורם בחו״ל אסורה — אלא אם כן מתקיים חריג ספציפי. זוהי נקודת המוצא:האיסור הוא הכלל, וההיתר הוא החריג.

חריגים מוכרים כוללים, בין היתר: מדינות שהוכרו כמעניקות הגנה מספקת (כגון מדינות האיחוד האירופי לאחר ה-GDPR), קבלת הסכמה מפורשת מהנושא, או קיום חוזה עם ערבויות מספקות. אולם הכרה בחריג אינה פשוטה כפי שנדמה — ועסקים רבים טועים לחשוב שהסכמה כללית בתנאי שימוש מספיקה.

• העברה לארה״ב אינה מוסדרת אוטומטית — יש לבחון כל ספק לגופו
• שימוש בשירות ענן זר מהווה "העברת מידע" לכל דבר ועניין
• גם העברה לחברת אם או חברת בת בחו״ל מחייבת עמידה בדרישות החוק
• אי-ידיעה אינה הגנה משפטית מפני אחריות

02הפרשנות החדשה: לא כל התחייבות מספיקה

הרשות להגנת הפרטיות פרסמה בשנים האחרונות עמדות ברורות: לא כל הצהרת פרטיות של ספק זר, ולא כל תנאי שירות סטנדרטי, מספיקים כדי לקיים את דרישות החוק הישראלי. הרשות מצפה לבחינה מהותית ולא פורמלית.
 גילוי הדעתשל הרשות להגנת הפרטיות שפורסם , מבקש לעשות סדר במונח "בשינויים המחויבים" המופיע בתקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001.   

בפרט, הרשות הבהירה כי ההסתמכות על מסגרות בינלאומיות כגוןStandard Contractual Clauses (SCCs)של האיחוד האירופי עשויה לסייע, אך אינה מהווה מענה אוטומטי לדרישות הישראליות. יש לבצע הערכת סיכונים עצמאית.

• Privacy Policy של הספק ≠ חוזה מחייב עם ערבויות
• יש להבחין בין ספק שמעבד מידע לבין ספק שמשתמש בו למטרותיו
• נדרשת בחינה של מדיניות הספק ביחס לבקשות גופי אכיפה זרים

03מה חייב להיכלל בהסכם עם ספק בחו״ל

כאשר עסק מעביר מידע אישי לספק בחו״ל — בין אם מדובר בחברת תוכנה, מרכז נתונים, ספק שיווק או כל גוף אחר — עליו לוודא שקיים הסכם עיבוד מידע (Data Processing Agreement – DPA) מפורט ומחייב.

חשוב להדגיש: חוזה שנוסח על ידי הספק הזר לטובתו אינו מספיק. עסק ישראלי חייב לוודא שהחוזה עומד בדרישות החוק הישראלי - גם אם הוא עומד בדרישות ה-GDPR האירופי.

04אבטחת מידע: לא רק הצהרה

תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז–2017, מטילות חובות אבטחה קונקרטיות — ואלה חלות גם על מידע המועבר לחו״ל. לא מספיק שהספק הזר "מצהיר" על אבטחה; על מנהל המאגר הישראלי לוודא בפועל שאמצעי האבטחה עומדים ברמה הנדרשת לפי רמת הסיכון של המאגר.

בהתאם לרמת אבטחת המאגר (בסיסית, בינונית, גבוהה), נדרשים, בין היתר:

• הצפנת מידע בעת העברה ובמנוחה
• בקרות גישה מבוססות הרשאות מינימליות
• ניהול לוגים ורישום גישות
• ביצוע בדיקות חדירה תקופתיות
• תכנית תגובה לאירועי אבטחה

אירוע אבטחה שמקורו בספק זר — כגון דליפת מידע מהשרתים שלו — אינו פוטר את העסק הישראלי מאחריות. להפך: הרשות תבחן האם העסק נקט בצעדים סבירים לפני ההתקשרות.

05האחריות נשארת בישראל

אחד המיתוסים הנפוצים ביותר: "אם הספק בחו״ל הוא זה שמחזיק במידע - הוא זה שאחראי." זוהי טעות משפטית חמורה.

לפי החוק הישראלי,מנהל המאגר - כלומר העסק הישראלי -הוא הנושא באחריות הראשונית. הספק הזר הוא "מעבד מידע" שפועל מטעמו. אם הספק הפר את הוראות החוזה, העסק הישראלי עדיין עלול להיות חשוף לאחריות כלפי הרשות ולתביעות מצד נושאי המידע.

06המשמעות לעסקים בפועל

הדרישות המשפטיות אינן מיועדות להכביד על פעילות עסקית — אלא ליצור מסגרת שמגנה הן על נושאי המידע והן על העסק עצמו. עסק שמבצע את הבדיקות הנכונות מראש נהנה מהגנה משפטית איתנה יותר ומאמון לקוחות גבוה יותר.

הצעדים המעשיים שכל עסק צריך לנקוט:

• מיפוי ספקים:זיהוי כל הגורמים הזרים שאליהם מועבר מידע אישי
• בחינת בסיס חוקי:האם קיים חריג חוקי תקף לכל העברה?
• עריכת DPA:חתימה על הסכמי עיבוד מידע מתאימים עם כל ספק
• הערכת אבטחה:בדיקת רמת האבטחה של הספק ביחס לדרישות התקנות
• עדכון מדיניות פרטיות:גילוי שקוף לנושאי המידע על העברות לחו״ל
• ייעוץ משפטי שוטף:הרגולציה מתפתחת — יש לעקוב ולעדכן

הגנת פרטיות אינה מותרות  היאחובה משפטית ועסקית. משרדנו מלווה עסקים בכל שלבי ההיערכות, מהמיפוי הראשוני ועד לניסוח ההסכמים ולייצוג מול הרשות להגנת הפרטיות.