תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2022
ב. מטרת התקנות המוצעות והצורך בהן
מוצע להתקין תקנות אשר יקבעו הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי, למעט מידע שהעביר במישרין אדם אודות עצמו.
התקנות האמורות מוצעות על רקע תהליך בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, לצורך בחינת חידוש מעמד התאימות (Adequacy) שניתן לישראל על ידי האיחוד האירופי בשנת 2011, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי, ולכן מידע אישי אליה יכול לעבור באופן פשוט ונוח. זאת, בין היתר בעקבות כניסתן לתוקף בשנת 2018 של תקנות הגנת המידע של האיחוד האירופי (General Data Protection Regulation- GDPR) (להלן -התקנות האירופיות), ובשים לב להוראותיהן. מעמד התאימות, אשר ניתן לקבוצה מצומצמת של מדינות מחוץ לאזור הכלכלי האירופי, מאפשר כיום העברת מידע אישי מהאזור הכלכלי האירופי לישראל, ללא צורך במחויבויות רגולטוריות נוספות מצד הגורם המעביר באזור הכלכלי האירופי או מצד הגורם המקבל את המידע בישראל, ונודעת לו משמעות כלכלית נרחבת למשק הישראלי, וכן חשיבות גדולה בהיבטי יחסי החוץ של מדינת ישראל.
משמעות ההכרה במעמד התאימות שקיים למדינת ישראל היא שהעברת מידע ממדינה באזור הכלכלי האירופי אל ישראל דינה כדין העברת מידע בתוך האזור הכלכלי האירופי. אילולא כן היו נדרשים, בהתאם להוראות התקנות האירופיות, בעלי מאגרי מידע ישראליים שהיו מבקשים להמשיך ולקבל מידע ממדינה באזור הכלכלי האירופי, להתחייב באופן פרטני בדבר התקיימות התנאים וההגבלות שהיו חלים על המידע בהגיעו לישראל, ולעמוד, לכל הפחות, בחובות הקבועות בתקנות המוצעות להלן. ההכרה המדינתית שקיימת היום, נותנת מעטפת נורמטיבית כוללת ובכך מקלה באופן משמעותי על חברות ישראליות שמקבלות מידע ממדינות באזור הכלכלי האירופי במסגרת עסקיהן.
ג. להלן נוסח טיוטת התקנות המוצעות:
טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הפלפלי האירופי(,
בתוקף סמכותי לפי פסקה (2) להגדרה "מידע רגיש" שבסעיף 7 ולפי סעיף 36 לחוק הגנת הפרטיות, התשמ"א-1981! (להלן-החוק), ובאישור ועדת החוקה חוק ומשפט של הכנסת, אני מתקין תקנות אלה:
הגדרות 1. בתקנות אלה -
"האזור הכלכלי האירופי - מדינות החברות באיחוד האירופי וכן איסלנד, נורבגיה וליכטנשטיין;
"נושא המידע" - כהגדרתו בתקנות אבטחת מידע;
"תקנות אבטחת מידע" -תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז- 22017.
תחולה 2. (א) תקנות אלה יחולו על מידע המצוי במאגר מידע בישראל אשר הועבר
מהאזור הכלכלי האירופי, ולמעט מידע שהעביר במישרין אדם על אודות עצמו.
(ב) על אף האמור בתקנת משנה (א), החובות המנויות בתקנות אלו לא יחולו על:
(1) מידע שהועבר מרשות האחראית על הבטחון או אכיפת החוק באזור הכלכלי האירופי לרשות ביטחון כהגדרתה בסעיף 19(ג) לחוק;
(2) שימוש במידע הנדרש למטרת הגנה על בטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלו.
חובת מחיקת מידע 3. (א) בעל מאגר מידע ימחק מידע לבקשתו הכתובה של נושא המידע
בהתקיים אחד מאלה:
(1) המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין;
(2) המידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף.
1 ס"ח התשמ"א, עמי 128.
2 ק"ת התשע"ז, עמי 1022.
(ב) על אף האמור בתקנת משנה (א), בעל מאגר מידע רשאי לסרב לבקשת מחיקה אם מצא כי השימוש במידע הוא לצורך אחד מאלה, וזאת בהיקף הנחוץ והמידתי לאותו צורך:
(1) מימוש חופש הביטוי או זכות הציבור לדעת;
(2) מילוי חובה חוקית או ביצוע סמכות על פי דין;
(3) הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי;
(4) ניהול הליך משפטי או גביית חובות;
(5) מניעת הונאה, גניבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו;
(6) מימוש חובות הנובעות מהסכם בין-לאומי שממשלת ישראל היא צד לו.
(ג) התקבלה בקשה כאמור בתקנת משנה (א) ומצא בעל מאגר המידע כי לא מתקיימים החריגים כאמור בתקנת משנה (ב), ימחק את המידע שבשליטתו, או יבצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע.
(ד) בעל מאגר מידע יודיע לנושא המידע על החלטתו בבקשה, במועד המוקדם האפשרי בנסיבות העניין.
הגבלת החזקת 4. (א) בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו מידע שאינו נחוץ להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה
נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן - מידע שאינו נחוץ).
(ב) מצא בעל מאגר מידע, בין היתר על סמך המנגנון האמור בתקנת משנה (א), כי במאגר המידע מוחזק מידע שאינו נחוץ, ימחק את המידע האמור במועד המוקדם האפשרי בנסיבות העניין.
(ג) חובה כאמור בתקנת משנה (ב) לא תחול, אם בוצעו לגבי המידע האמור פעולות המבטיחות שלא יתאפשר באמצעים סבירים לזהות את נושא המידע, או אם השימוש במידע הוא לצורך אחד מאלה, וזאת בהיקף הנחוץ והמידתי לאותו צורך:
(1) מימוש חופש הביטוי או זכות הציבור לדעת;
(2) הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי;
(3) ניהול הליך משפטי או גביית חובות;
(4) מניעת הונאה, גניבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו;
(5) מימוש חובות הנובעות מהסכם בין-לאומי שממשלת ישראל היא צד לו.
חובת דיוק מידע 5. (א) בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו
להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן.
(ב) מצא בעל מאגר מידע, בין היתר, על סמך המנגנון האמור בתקנת משנה
(א), כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, ינקוט אמצעים סבירים בנסיבות העניין לצורך תיקון או מחיקת המידע.
חובת יידוע 6. (א) בעל מאגר מידע שקיבל מידע אודות אדם, יודיע לו, במישרין או
בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש ממועד קבלת המידע, על כל אלה:
(1) זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עמם;
(2) מטרת העברת המידע;
(3) סוג המידע שהועבר;
(4) קיומה של זכות מחיקה לפי תקנה 2, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק.
(ב) ביקש בעל מאגר מידע להעביר את המידע שקיבל לצד שלישי, יודיע במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, לנושא המידע, מוקדם ככל האפשר, ולכל המאוחר עם העברת המידע, על כל אלה:
(1) זהות ופרטי ההתקשרות של הצד שלישי או סוג הגורמים השלישיים אליהם יועבר המידע;
(2) מטרת העברת המידע;
(3) סוג המידע שיועבר;
(4) קיומה של זכות מחיקה לפי תקנה 2, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק.
(ג) חובת היידוע כאמור בתקנת משנה (א) או (ב) לא תחול בהתקיים אחד מאלה, וזאת בהיקף הנחוץ והמידתי בשים לב לנסיבות העניין:
(1) לבעל מאגר המידע יש יסוד סביר להניח שפרטי המידע הכלולים בתקנת משנה (א) או (ב) ידועים לנושא המידע;
(2) פרטי ההתקשרות של נושא המידע אינם ידועים לבעל מאגר המידע, או שיישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל מאגר המידע, והכל בשים לב לאפשרות להיעזר בגורם שממנו הועבר המידע;
(3) קיומה של חובת סודיות בדין או איסור בדין על גילוי המידע;
(4) קיומה של הוראה בדין המסדירה את גילוי פרטי המידע המפורטים בתקנת משנה (א) או (ב);
(5) מימוש חובת היידוע עלול לפגוע בשלומו או בחייו של אדם;
(6) מימוש חובת היידוע יפגע בזכויותיו של אדם במידה העולה על הפגיעה בנושא המידע הנובעת מאי גילוי פרטי המידע לפי תקנת משנה (א) או (ב).
מידע רגיש 7. מידע שהועבר למאגר מידע בישראל כאמור בתקנה 2 בעניינים המפורטים
להלן, הוא מידע רגיש לפי סעיף 7 לחוק:
(1) מידע על מוצאו של אדם;
(2) מידע על חברות בארגון עובדים. שמירת דינים 8. אין בתקנות אלה -
כדי לגרוע מחובות אחרות המוטלות על בעל מאגר מידע לפי כל דין;
כדי להתיר שימוש במידע שאינו מותר לפי כל דין.
תחילה 9. תחילתן של תקנות אלה -
(1) שלושה חודשים מיום פרסומן (להלן - היום הקובע) - לגבי מידע שהתקבל במאגר מידע בישראל ביום הקובע או לאחריו;
(2) שנה מיום פרסומן - לגבי מידע שהתקבל במאגר מידע בישראל לפני היום הקובע.
___ ב________ התש_______ (___ ב_____________ 20)
[תאריך עברי] ([תאריך לועזי] (חמ 3047_____ -3)
_________________ [חתימה]
[שם מלא של המתקין] [התפקיד שמכוחו מתקין]
דברי הסבר
פללי
סעיף 36 לחוק הגנת הפרטיות, התשמ"א-1981 (להלן - חוק הגנת הפרטיות) מסמיך את שר המשפטים, באישור ועדת החוקה, חוק ומשפט של הכנסת, להתקין תקנות בכל עניין הנוגע לביצוע החוק, ובין השאר, בעניין (1) "תנאי החזקת מידע ושמירתו במאגרי מידע", ו-(2)"תנאים להעברה של מידע אל מאגרי מידע שמחוץ לגבולות המדינה או מהם". מכח סעיף קטן (2) הותקנו תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001, הקובעות הוראות לעניין העברה של מידע ממאגר מידע בישראל אל מחוץ לגבולותיה. התקנות המוצעות להלן, קובעות הוראות לעניין מידע שהועבר לישראל ממדינה באזור הכלכלי האירופי, ולמעט מידע שהעביר אדם במישרין אודות עצמו. תקנות אלו נדרשות על רקע תהליך בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, לצורך בחינת חידוש מעמד התאימות (Adequacy) שניתן לישראל על ידי נציבות האיחוד האירופי בשנת 2011, כמדינה המבטיחה רמת הגנת מידע התואמת את רמת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי, ולכן ניתן להעביר אליה מידע באופן חופשי. כפי שיפורט להלן, התקנות המוצעות קובעות ארבע חובות שיחולו על בעלי מאגרי המידע בישראל, ביחס למידע שהועבר לישראל מהאזור הכלכלי האירופי, ולמעט מידע שהועבר במישרין על ידי נושא המידע עצמו: חובת מחיקת מידע, הגבלת החזקת מידע שאינו נחוץ, חובת דיוק מידע וחובת יידוע. כמו כן, התקנות קובעות כי מידע שהועבר כאמור בעניינים המפורטים בתקנה 7, יראו בו כ"מידע רגיש"
לעניין סעיף 7 לחוק הגנת הפרטיות.
תקנה 1 מוצע להגדיר את המונח "האזור הכלכלי האירופי" כמונח הכולל את המדינות החברות באיחוד האירופי (כיום 27 מדינות), וכן את איסלנד, נורבגיה וליכטנשטיין. שלוש מדינות אלו קשורות לאיחוד האירופי באמצעות הסכם האזור הכלכלי האירופי (eea Agreement). מונח זה רלוונטי לעניין תחולתן של התקנות המוצעות, הקובעות הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי. יצוין כי מעמד התאימות (Adequacy) שניתן לישראל בשנת 2011, חל אף הוא ביחס למידע שעובר לישראל מהאזור הכלכלי האירופי.
בנוסף מוצע להגדיר את המונח "נושא המידע" בהתאם להגדרה הקבועה בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז- 2017 (להלן - תקנות אבטחת מידע) קרי, "האדם שעל אודותיו קיים מידע במאגר המידע".
תקנה 2 מוצע לקבוע כי תחולתן של התקנות תהא ביחס למידע המצוי במאגר מידע בישראל, אשר הועבר מהאזור הכלכלי האירופי, ולמעט מידע שהעביר אדם במישרין אודות עצמו. מוצע לקבוע כי על אף האמור, החובות הקבועות בתקנות אלו לא יחולו ביחס לשני מצבים: (1) מידע שהועבר מרשות האחראית על הבטחון או אכיפת חוק באזור הכלכלי האירופי לרשות ביטחון (כהגדרתה בסעיף 19(ג) לחוק) בישראל. המונח "רשות ביטחון" כולל את משטרת ישראל; אגף המודיעין במטה הכללי והמשטרה הצבאית של צבא-הגנה לישראל; שירות הבטחון הכללי; המוסד למודיעין ולתפקידים מיוחדים; הרשות להגנה על עדים. (2) בנוסף, החובות הקבועות בתקנות לא יחולו במצב בו השימוש במידע שהועבר מהאזור הכלכלי האירופי נדרש למטרת הגנה על בטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלה. חריג זה מתייחס למצב בו העברת המידע מהאזור הכלכלי האירופי לא התבצעה אל רשות ביטחון בישראל, אולם השימוש במידע נדרש למטרת הגנה על ביטחון המדינה או אכיפת החוק. מצב אפשרי נוסף הוא כאשר המידע האישי הועבר מגופים אירופים שאינם רשויות האחראיות על הבטחון או אכיפת החוק, אל רשות ביטחון בישראל.
תקנה 3 תקנה זו מבקשת לקבוע את זכות המחיקה של נושא המידע. התקנה המוצעת שואבת השראה מסעיף 17 לתקנות האירופיות. על פי המוצע, נושא המידע רשאי לבקש מבעל מאגר המידע, בכתב, כי מידע על אודותיו יימחק במקרים בהם המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראת כל דין (כך, למשל, עילה זו עשויה לקום במצבים שבהם עיבוד המידע נעשה מכח הסכמתו של נושא המידע והוא חזר בו מהסכמה זו); או אם המידע אינו נחוץ עוד למטרות שלשמן המידע נוצר, נצבר או נאסף. כן מוצע לקבוע כי בעל מאגר מידע רשאי לסרב לבקשת המחיקה אם הוא מצא כי השימוש במידע הוא לצורך אחד מהמצבים המנויים בתקנת משנה (ב), וזאת בהיקף הנחוץ והמידתי לאותו צורך. כך, לדוגמא, אם השימוש נחוץ לצורך הגנה על עניין ציבורי (כגון הגנה על בריאות הציבור), או אם השימוש נחוץ לצורך מימוש חובות הנובעות מהסכם בין-לאומי שממשלת ישראל היא צד לו. למען הסר ספק, יובהר כי חריג אחרון זה אף כולל חובות שאינן מצוינות במפורש במסגרת ההסכם, אך הן נדרשות לצורך יישומו. סירוב כאמור נדרש להיות באופן מידתי תוך איזון בין הצורך לשימוש במידע, אל מול זכות המחיקה של נושא המידע. ברי כי בחינת הנחיצות והמידתיות בהתאם לאמור בתקנת משנה זו רלוונטית לכלל החריגים המנויים בתקנת משנה (ב). כך, למשל, לא כל שימוש במידע למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי (מטרות המנויות בפסקה (3)), שאפשר לממשן, למשל, בדרך אחרת, יצדיק את הסירוב לבקשה. תחת זאת, נדרש כי בנסיבות העניין, השימוש במידע יהיה בהיקף הנחוץ והמידתי לשם אותו צורך. מכאן, שעל החלטת הסירוב להינתן רק לאחר שניתן משקל ראוי לשיקולים הרלוונטיים שיש לקחת בחשבון, תוך עריכת איזון ראוי ביניהם. לצד קביעת חובת המחיקה, מוצע לקבוע בתקנת משנה (ג) כי אם התקבלה בקשת מחיקה ובעל מאגר המידע מצא כי לא מתקיימים החריגים המנויים בתקנת משנה (ב), עליו למחוק את המידע, או לבצע פעולות שיבטיחו כי לא ניתן יהיה, באמצעים סבירים, לזהות את נושא המידע.
בתקנת משנה (ד) מוצע לקבוע כי על בעל מאגר המידע ליידע את נושא המידע בדבר החלטתו בבקשת המחיקה, במועד המוקדם האפשרי בנסיבות העניין.
תקנה 4 תקנה זו עניינה הגבלת בעל מאגר המידע להחזיק מידע שאינו נחוץ. הוראה זו מבוססת על העיקרון הקבוע בסעיף (8)5 לתקנות האירופיות. בתקנה זו מוצע לקבוע כי על בעל מאגר מידע להפעיל מנגנון ארגוני, טכנולוגי, או אחר, שמטרתו להבטיח כי במאגר לא מוחזק מידע שאינו נחוץ, כהגדרתו בתקנה המוצעת. בעל מאגר מידע שמצא, בין היתר על סמך המנגנון האמור, כי במאגר קיים מידע שאינו נחוץ, עליו למחוק מידע כאמור, במועד המוקדם האפשרי בנסיבות העניין.
מטבע הדברים, עשויות להיות דרכים שונות ליישום החובה הקבועה בתקנת משנה (א), בשים לב, בין היתר, למהות המידע המצוי במאגר, תכלית איסופו או החזקתו והחובות המוטלות על בעל מאגר המידע מכח הדין. כך, למשל, באמצעות הטמעת מנגנון שייסב את תשומת ליבו של בעל המאגר לצורך בביצוע בדיקות תקופתיות על מנת לבחון אם מוחזק מידע שאינו נחוץ; קביעת תקופות שמירה בשים לב לתכלית שלשמה מוחזק המידע, הדרישות הרגולטוריות שבהן נדרש בעל המאגר לעמוד וכיוצא באלה. תקנת משנה (ג) המוצעת קובעת כי חובת מחיקת המידע ביחס למידע שאינו נחוץ לא תחול, אם בוצעו לגבי המידע האמור פעולות המבטיחות שלא ניתן יהיה, באמצעים סבירים, לזהות את נושא המידע, או אם בעל מאגר המידע מצא כי השימוש במידע הוא לצורך אחד מהמצבים המנויים בתקנת משנה (ג), ובהיקף הנחוץ והמידתי לאותו צורך.
תקנה 5 סעיף 14 לחוק הגנת הפרטיות מעגן את זכותו של נושא המידע שמצא כי המידע המצוי על אודותיו במאגר המידע אינו נכון, שלם, ברור או מעודכן, לפנות לבעל מאגר המידע בבקשה לתקן את המידע או למחקו. התקנה המוצעת מתבססת על העיקרון הקבוע בסעיף (01)5 לתקנות האירופיות, והיא מהווה השלמה ו"תמונת ראי" של סעיף 14 האמור. תקנה זו קובעת את חובתו של בעל מאגר המידע להפעיל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח שהמידע המוחזק במאגר נכון, שלם ברור ומעודכן.
מטבע הדברים, עשויות להיות דרכים שונות ליישום החובה הקבועה בתקנת משנה (א). כך, למשל, באמצעות הפעלת מנגנון המתריע על הצורך בעריכת בדיקות תקופתיות לעדכון ודיוק המידע (בדיקות אלו עשויות, בהתאם לנסיבות העניין, להתבצע על בסיס מידע שנושא המידע העביר בעצמו, או על מידע פומבי ומהימן שניתן להתבסס עליו לצורך דיוק המידע) או פניות תקופתיות לנושאי המידע. כל זאת, כמובן, בשים לב למהות המידע שמוחזק במאגר ותכלית השימוש בו. דוגמא נוספת עשויה להיות עדכון אוטומטי של המידע, למשל ביחס למידע שעניינו גילו של אדם. עוד יובהר כי היקף השקעת המשאבים שיידרש לצורך אימוץ המנגנון, תלוי, כמובן בנסיבות הרלוונטיות, ובכלל זה בהיקפו של המידע המוחזק במאגר, מידת רגישותו, ועוד.
כהמשך לחובת דיוק המידע הקבועה בתקנת משנה (א), קובעת תקנת משנה (ב) המוצעת כי אם מצא בעל מאגר המידע שבמאגר קיים מידע שאינו נכון, שלם, ברור או מעודכן, עליו לנקוט באמצעים סבירים, לצורך תיקון המידע או מחיקתו.
תקנה 6 סעיף 11 לחוק הגנת הפרטיות מעגן את חובת היידוע במצב בו נערכה פנייה לאדם לקבלת מידע על אודותיו, מכח הסכמתו של נושא המידע או מכח חובה חוקית. התקנה המוצעת ששואבת השראה מסעיפים 13 ו-14 לתקנות האירופיות, מהווה השלמה לחובת היידוע הקבועה בסעיף 11 לחוק, והיא קובעת כי בעל מאגר מידע שקיבל מידע על אודות אדם, יודיע לו, במישרין או בעקיפין, באמצעות הגורם שממנו הועבר המידע, על פריטי המידע המנויים בתקנת משנה (א) ובאופן הקבוע בה. תקנת משנה (ב) המוצעת קובעת כי אם בעל מאגר מידע מעביר את המידע שקיבל לצד שלישי, עליו להודיע לנושא המידע על פריטי המידע הקבועים בתקנת משנה זו ובאופן הקבוע בה. תקנת משנה (ג) המוצעת מהווה חריג לחובת היידוע הקבועה בתקנות משנה (א) ו-(ב) והיא קובעת כי חובות אלו לא יחולו, בהתקיים אחד מהמצבים המנויים בה, וזאת בהיקף הנחוץ והמידתי בנסיבות העניין. זאת, על מנת להבטיח כי תתבצע בחינה אם חרף קיומם של החריגים המוצעים בנסיבות המקרה המסוים, ניתן ליישם את חובת היידוע, כולה או חלקה. על פי המוצע, חובת היידוע לא תחול, למשל, אם לבעל מאגר המידע יש יסוד סביר להניח שפרטי המידע הכלולים בתקנת משנה (א) או (ב) כבר ידועים לנושא המידע. דוגמא נוספת לחריגים המוצעים היא קיומה של חובת סודיות בדין (ובכלל זה, חובת סודיות מקצועית) או איסור בדין על גילוי המידע. לעניין חריג מוצע זה, יובהר כי ייתכנו נסיבות בהן חרף קיומה של חובת סודיות בדין, אין מניעה ביישום חובת היידוע בנסיבות העניין, וזאת למשל במצבים בהם תכליתה של חובת הסודיות היא להגן על סודיות המידע מפני אנשים אחרים, שאינם נושא המידע עצמו.
תקנה 7 בסעיף 7 לחוק, מוגדר "מידע רגיש" כאחד מאלה:
"(1) נתונים על אישיותו של אדם, צנעת אישותו, מצבו הבריאותי, מצבו הכלכלי, דעותיו ואמונותיו;
(2) מידע ששר המשפטים קבע בצו, באישור ועדת החוקה, חוק ומשפט של הכנסת, שהוא מידע רגיש". עד כה, לא נקבע צו כאמור. מוצע עתה לעשות שימוש בסמכות זו.
להגדרה "מידע רגיש" קיימת על פי הדין הקיים משמעות לעניין חובת הרישום של מאגר מידע כאמור בסעיף 8(ג)(2) לחוק. להשלמת התמונה יוער כי הצעת חוק לתיקון חוק הגנת הפרטיות [הצעות חוק הממשלה 1496, מיום גי בשבט התשפ"ב (5 בינואר 2022)] (להלן - תיקון מס׳ 14) אשר הונחה על שולחן הכנסת ה-24 ונדונה בוועדת חוקה, חוק ומשפט של אותה הכנסת, מבקשת להוסיף לסעיף 7 הגדרה של "מידע בעל רגישות מיוחדת", במקום הגדרת "מידע רגיש" הקבועה היום בסעיף 7 לחוק. כן יוער כי להגדרת "מידע בעל רגישות מיוחדת" לפי המוצע בתיקון מס׳ 14, תהא משמעות לעניין חובת הרישום וכן לעניין גובה העיצום הכספי שניתן יהיה להשית בגין ההפרות הקבועות בתיקון מס׳ 14.
התקנה המוצעת מבקשת לקבוע כי מידע שהועבר למאגר מידע בישראל כאמור בתקנה 2 (קרי, מידע שהועבר מהאזור הכלכלי האירופי, ולמעט מידע שהעביר אדם אודות עצמו), בעניינים המפורטים להלן, יראו בו כמידע רגיש לפי סעיף 7 לחוק:
(א) מידע על מוצאו של אדם;
(ב) מידע על חברות בארגון עובדים.
בהצעת החוק לתיקון חוק הגנת הפרטיות (תיקון מס׳ 14) הממשלה ראתה לנכון להבהיר בלשון החוק בצורה מפורשת כי המונח "מידע בעל רגישות מיוחדת" כולל מידע על מוצאו של אדם (ראו לעניין זה את הגדרת "מידע בעל רגישות מיוחדת" בתיקון מס׳ 14). בשים לב לכך כי התקנות המוצעות קובעות את ההוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי, ועל מנת שתהא מסגרת ברורה ושלמה בהקשר של העברות מידע כאמור, התקנה המוצעת מבקשת אף היא להתייחס במפורש לפריט מידע זה כמידע רגיש, וזאת עוד טרם השלמת חקיקתו של תיקון מס׳ 14. למען הסר ספק, יובהר כי מידע על מוצאו של אדם כולל אף מידע על השתייכותו הלאומית.
לעניין פסקה (ב), קרי - מידע על חברות בארגון עובדים, מוצע לראות במידע זה כ"מידע רגיש" ככל שמידע כאמור הועבר לישראל מהאזור הכלכלי האירופי, וזאת בשים לב לסעיף 9(1) לתקנות האירופיות. יוער כי מידע זה עשוי להיחשב, גם על פי ההגדרה הקיימת בסעיף 7 לחוק כ"מידע רגיש", וזאת במצבים בהם מידע כאמור חושף את דעותיו או אמונתו של אדם.
תקנה 8 מוצע לקבוע הוראת שמירת דינים, הקובעת כי אין בתקנות אלו -
(1) כדי לגרוע מחובות אחרות המוטלות על בעל מאגר מידע לפי כל דין. כך למשל, התקנות המוצעות אינן גורעות מחובת היידוע לפי סעיף 11 לחוק, חובת מחיקת מידע הקבועה בדינים ספציפיים, וכיוצא באלה.
(2) כדי להתיר שימוש במידע שאינו מותר לפי כל דין. ההוראה האמורה נועדה להבהיר כי התקנות האמורות אינן מוסיפות סמכות או היתר לשימוש במידע, מעבר למה שמותר לפי כל דין.
תקנה 9 על מנת לאפשר לבעלי מאגרי המידע להיערך לכניסתן לתוקף של התקנות, מוצע לקבוע כי תחילתן תהא שלושה חודשים מיום פרסומן (להלן - היום הקובע), לגבי מידע שהתקבל במאגר בישראל ביום הקובע או לאחריו. עוד מוצע לקבוע מועד תחילה ארוך יותר, של שנה מיום פרסום התקנות, וזאת
ביחס למידע שהתקבל במאגר בישראל לפני היום הקובע.