מדריך ה-GDPR המלא

מדריך ה-GDPR המלא

האם מותר להעביר מידע מתוך האיחוד האירופי לישראל או למדינה אחרת?

העברת מידע מחוץ לאיחוד – לדוגמא, לישראל – כפופה לאישור מוקדם של נציבות האיחוד האירופי, כי דיני אותה מדינה מספקים הגנה הולמת (adequate level) בכל הנוגע להגנת מידע ופרטיות.

ביום 31.1.11 החליטה נציבות האיחוד האירופי להכיר במדינת ישראל כמדינה שדיני הגנת הפרטיות שלה מספקים הגנה הולמת כאמור. דהיינו, גורמים אירופאים רשאים לנייד ולהעביר מידע פרטי לגורמים ישראלים הפועלים בארץ, ובתנאי שאלה פועלים בהתאם להוראות דיני הגנת הפרטיות בישראל.

נכון להיום, תקנות GDPR הותירו את ההחלטה הנ"ל משנת 2011 על כנה, וזאת עד להחלטה אחרת.

יש לשים לב, כי חברות ישראליות המניידות לארה"ב את המידע שהתקבל מהאיחוד האירופי או המחזיקות את המידע בשירותי ענן בארה"ב, נדרשות גם לעמוד בכללי הגנת הפרטיות שנקבעו בין נציבות האיחוד האירופי לבין הממשל האמריקאי במסגרת הסדר המכונה "מגן פרטיות" (Privacy Shield).

בנסיבות מסויימות, בעל שליטה במידע ומעבד מידע רשאים להעבירו אל מחוץ לאיחוד האירופי גם אם לא ניתן אישור מוקדם כאמור מנציבות האיחוד, וזאת בכפוף לכך שניתן להבטיח הגנות הולמות שהוגדרו בהרחבה במסגרת תקנות GDPR, ובתנאי שלרשות נשואי המידע יעמדו סעדים משפטיים אפקטיביים לאכיפת זכויותיהם.

כמו כן, תקנות GDPR מתירות העברת מידע גם ללא אישור הנציבות, בין היתר בתנאי שהעברת המידע נעשית בהסכמה מפורשת של נשוא המידע (לאחר שהוצגו בפניו מלא המידע על הסיכונים הכרוכים בהעברה), או לקראת כריתתו של הסכם עם נשוא המידע, או לשם ביצועו של הסכם עם או לטובת נשוא המידע.

ראו עוד: ס' 101-113 להקדמה; ס' 44-50 ל- GDPR.

האם מותר להעביר מידע מתוך האיחוד האירופי לישראל או למדינה אחרת?

העברת מידע מחוץ לאיחוד – לדוגמא, לישראל – כפופה לאישור מוקדם של נציבות האיחוד האירופי, כי דיני אותה מדינה מספקים הגנה הולמת (adequate level) בכל הנוגע להגנת מידע ופרטיות.

ביום 31.1.11 החליטה נציבות האיחוד האירופי להכיר במדינת ישראל כמדינה שדיני הגנת הפרטיות שלה מספקים הגנה הולמת כאמור. דהיינו, גורמים אירופאים רשאים לנייד ולהעביר מידע פרטי לגורמים ישראלים הפועלים בארץ, ובתנאי שאלה פועלים בהתאם להוראות דיני הגנת הפרטיות בישראל.

נכון להיום, תקנות GDPR הותירו את ההחלטה הנ"ל משנת 2011 על כנה, וזאת עד להחלטה אחרת.

יש לשים לב, כי חברות ישראליות המניידות לארה"ב את המידע שהתקבל מהאיחוד האירופי או המחזיקות את המידע בשירותי ענן בארה"ב, נדרשות גם לעמוד בכללי הגנת הפרטיות שנקבעו בין נציבות האיחוד האירופי לבין הממשל האמריקאי במסגרת הסדר המכונה "מגן פרטיות" (Privacy Shield).

בנסיבות מסויימות, בעל שליטה במידע ומעבד מידע רשאים להעבירו אל מחוץ לאיחוד האירופי גם אם לא ניתן אישור מוקדם כאמור מנציבות האיחוד, וזאת בכפוף לכך שניתן להבטיח הגנות הולמות שהוגדרו בהרחבה במסגרת תקנות GDPR, ובתנאי שלרשות נשואי המידע יעמדו סעדים משפטיים אפקטיביים לאכיפת זכויותיהם.

כמו כן, תקנות GDPR מתירות העברת מידע גם ללא אישור הנציבות, בין היתר בתנאי שהעברת המידע נעשית בהסכמה מפורשת של נשוא המידע (לאחר שהוצגו בפניו מלא המידע על הסיכונים הכרוכים בהעברה), או לקראת כריתתו של הסכם עם נשוא המידע, או לשם ביצועו של הסכם עם או לטובת נשוא המידע.

ראו עוד: ס' 101-113 להקדמה; ס' 44-50 ל- GDPR.