חזרה לבלוג
בלוג5 דק׳ קריאה

העברת מידע אישי אל מחוץ לישראל: מה הבהירה הרשות להגנת הפרטיות בנוגע לתקנה 2(4).

הרשות להגנת הפרטיות פרסמה גילוי דעת חדש שמבהיר מהם "השינויים המחויבים" בתקנה 2(4). כך בדיוק צריך להיראות הסכם העברת המידע שלכם לחו״ל.

Regulation 2(4)Cross-border

בקצרה

ב־13 באפריל 2026 פרסמה הרשות להגנת הפרטיות גילוי דעת חדש בנוגע לתקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס״א־2001 — הבסיס המשפטי הנפוץ ביותר שמשמש ארגונים ישראליים להעברת מידע אישי אל מחוץ לישראל.

השורה התחתונה: המונח "בשינויים המחויבים" אינו פרצה. אם אתם מעבירים מידע לחו״ל לפי תקנה 2(4), ההסכם שלכם עם הגורם בחו״ל חייב לכלול התחייבויות ספציפיות ומהותיות — והרשות פרטה אותן במפורש.

למה זה חשוב

תקנה 2(4) היא הבסיס החוקי השכיח ביותר להעברת מידע אישי לספקי SaaS, לספקי ענן, לחברות קבוצה ולמעבדים (processors) מחוץ לישראל. עד היום, הפרשנות של "בשינויים המחויבים" הייתה עמומה, ולא מעט ארגונים ראו בה הזדמנות לרכך את הדרישות. הרשות סגרה את הדלת הזו.

מה חייב לכלול ההסכם להעברת מידע לחו״ל

לפי גילוי הדעת, הסכם בין בעל מאגר מידע בישראל לבין מקבל המידע בחו״ל חייב לכלול התחייבויות זהות, או דומות באופן מהותי, לחובות הבאות לפי הדין הישראלי:

  • הגבלת מטרה — איסור על שימוש במידע שלא למטרה שלשמה נמסר (סעיפים 2(9) ו־8(ב) לחוק).
  • זכות עיון — מתן אפשרות לנושא המידע לעיין במידע שעליו (סעיף 13).
  • זכות תיקון או מחיקה — מתן אפשרות לבקש תיקון או מחיקה של המידע (סעיף 14).
  • חובת סודיות — שמירה על סודיות המידע האישי (סעיף 16).
  • אבטחת מידע — עמידה בחובות המהותיות של תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז־2017, או לחלופין הסמכה בתוקף לתקן ISO/IEC 27001 (כולל הבקרות בנספח A) יחד עם התקנות הספציפיות המופיעות בהנחיית הרשות מס׳ 3/2018.

מה כן ייחשב "שינוי מחויב" לגיטימי?

מעט מאוד. הרשות הייתה מפורשת:

  • נסיבות אישיות או ארגוניות של מקבל המידע אינן מצדיקות חריגה מן הדרישות. המבחן אובייקטיבי, לא סובייקטיבי.
  • חובת רישום מאגר מידע או הודעה לרשות (סעיפים 8א(א) ו־8א(ב)) עשויה להיחשב "שינוי מחויב" אם במדינה הזרה אין חובה מקבילה ביחס למאגר מסוג זה.

מידע שהועבר מהאזור הכלכלי האירופי (EEA) — דרישות נוספות

אם המאגר בישראל כולל מידע שמקורו באזור הכלכלי האירופי, על מקבל המידע בחו״ל להתחייב גם לחובות המהותיות שבתקנות 3–7 לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ״ג־2023. מאז 1 בינואר 2025, התקנות הללו חלות גם על מידע ישראלי המאוחסן יחד עם מידע אירופי באותו מאגר.

מה זה אומר לבעלי מאגרים בישראל

אם אתם מסתמכים על תקנה 2(4) — וכמעט כולם מסתמכים — זה הזמן לפעול:

  1. סקרו את הסכמי העברת המידע הקיימים (DTAs) עם ספקים מחוץ לישראל. האם הם מכסים את כל ארבע החובות המהותיות ואבטחת מידע?
  2. עדכנו תבניות הסכמים — כל MSA, DPA או הסכם ספק חדש צריך להתיישב עם רשימת הבדיקה של הרשות.
  3. בדקו את ההסתמכות על ISO 27001 — הסמכה לבדה אינה מספקת. יש התייחסות לתקנות ישראליות נוספות.
  4. מפו זרימות מידע ממקור EEA — ודאו שההתחייבויות המורחבות משנת 2023 מעוגנות בחוזה.
  5. אל תשכחו את תקנה 3 — העברה משנית למדינה שלישית היא שלב משפטי נפרד.

אי־עמידה בדרישות משמעה שההעברה אינה חוקית עוד לפי תקנה 2(4) — וחושפת את בעל המאגר הישראלי לאכיפה, גם אם הגורם בחו״ל מוכר ומהימן.

איך DPOas יכולים לעזור

ב־DPOas אנחנו מלווים ארגונים ישראליים בסקירה, ניסוח מחדש והטמעה של מערך העברת המידע לחו״ל — מהסכמי DTA מול ספקים, דרך מכתבי הסתמכות על ISO 27001 ועד ניתוח פערים מלא מול תקנה 2(4) ו־Article 28. אם המידע שלכם זז לחו״ל, גם החוזים שלכם צריכים לזוז עם גילוי הדעת החדש.