העברת מידע אישי לחו"ל: מה דורשת תקנה 2(4) מספקי ענן זרים

הרשות להגנת הפרטיות פרסמה גילוי דעת סופי על פרשנות תקנה 2(4), המסלול החוזי להעברת מידע אישי מחוץ לישראל. הרשות מבהירה שאי אפשר "לעגל פינות", ומפרטת מה בדיוק צריך מקבל המידע להתחייב לו, ומה כן נחשב "שינוי מחויב" לגיטימי.

ב-13 באפריל 2026 פרסמה הרשות להגנת הפרטיות את גילוי הדעת בעניין פרשנות תקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001, לצורך הפעלת הסמכויות המסורות לה בחוק הגנת הפרטיות. אם החברה שלכם מעבירה מידע אישי לספקי ענן, כלי SaaS, או שירותים אחרים שמאוחסנים מחוץ לישראל, לרבות ספקים אמריקאיים כמו AWS, Google Cloud או Microsoft Azure, גילוי הדעת הזה נוגע ישירות אליכם.

תקנה 1 אוסרת, תקנה 2 פותחת ארבע חלופות

תקנה 1 לתקנות קובעת איסור על העברת מידע אישי ממאגר מידע בישראל אל מחוץ לגבולותיה, אלא אם דין מדינת היעד מבטיח רמת הגנה על מידע שאינה פחותה מרמת ההגנה הקבועה בדין הישראלי, בשינויים המחויבים. תקנה 2 קובעת ארבע חלופות נוספות, החלות "על אף האמור בתקנה 1", ודי שאחת מהן תתקיים: הסכמת האדם שעליו המידע (2(1)); מצב שבו לא ניתן לקבל את ההסכמה וההעברה הכרחית להגנה על בריאותו או שלמות גופו (2(2)); העברה לתאגיד הנתון לשליטת בעל המאגר, שהבטיח את ההגנה על הפרטיות לאחר ההעברה (2(3)); והעברה למי שהתחייב בהסכם עם בעל המאגר לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים (2(4)). זו החלופה שרוב חברות הטכנולוגיה הישראליות מסתמכות עליה בפועל כשהן מעבירות מידע לספק ענן או לספק שירות בחו"ל, מכיוון שבניגוד לתקנה 1, היא כלל אינה תלויה בזהות מדינת היעד, אלא במחויבות חוזית וקונקרטית של מקבל המידע.

החידוש המרכזי: "בשינויים המחויבים" אינו שסתום ביטחון

גילוי הדעת עוסק בעיקר בפרשנות הביטוי "בשינויים המחויבים", וזו הנקודה שהכי חשוב להבין: הרשות מבהירה במפורש שתקנה 2(4) לא תחול כאשר מקבל המידע במדינה הזרה אינו מתחייב לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בטענה שנסיבותיו האישיות או הארגוניות אינן מאפשרות לו לעשות כן, ולפיכך מדובר לשיטתו ב"שינוי מחויב". אין מדובר באמת מידה סובייקטיבית. במילים אחרות, העובדה שספק ענן גדול אינו נוהג להתאים את הסכמי עיבוד המידע הסטנדרטיים שלו לדרישות ספציפיות של דין זר, כולל הדין הישראלי, אינה מהווה כשלעצמה "שינוי מחויב" לגיטימי שפוטר אתכם מהדרישה.

עם זאת, גילוי הדעת גם מכיר בכך שהתחייבות מלאה לקיים את כלל התנאים החלים על מאגר בישראל לא תמיד תהיה אפשרית באופן מלא בכל המדינות, בין היתר בהתחשב במסגרת החוקית במדינת היעד. חשוב גם להדגיש: אין בתקנה 2(4), או באופן שבו היא מתפרשת בגילוי הדעת, כדי לפטור את בעל השליטה במאגר בישראל, או את המחזיק, מהחובות המהותיות החלות עליהם מכוח חוק הגנת הפרטיות והתקנות מכוחו, גם לאחר שהמידע כבר הועבר החוצה.

מה בדיוק צריך שיהיה בהסכם עם מקבל המידע

הסכם להעברת מידע אישי לפי תקנה 2(4) חייב לכלול התחייבות של מקבל המידע לקיים כלפי נושאי המידע התחייבויות זהות, או שתוכנן דומה באופן מהותי, לאלו הקבועות בחוק הגנת הפרטיות הישראלי, ובכלל זה:

המשמעות המעשית: הסכם עיבוד מידע (DPA) גנרי שספק ענן זר מציע כברירת מחדל לכל לקוחותיו בעולם, לרוב לא יספיק כשלעצמו כדי לעמוד בדרישות תקנה 2(4), אלא אם הוא כולל, או מתווסף אליו נספח שכולל, את ההתחייבויות הספציפיות האלה. הסתמכות על מנגנוני האיחוד האירופי, כמו Standard Contractual Clauses של ה-GDPR, גם היא אינה בהכרח שקולה אוטומטית לעמידה בתקנה 2(4), שכן זו חלופה ישראלית עצמאית שדורשת התאמה קונקרטית לדרישות הדין הישראלי, ולא רק לדרישות הדין האירופי.

חובת רישום מאגר: דוגמה לשינוי שכן מותר

לא כל פער בין הדין הישראלי לדין הזר פוסל את ההסתמכות על תקנה 2(4). גילוי הדעת נותן דוגמה קונקרטית לשינוי שדווקא כן ייחשב "מחויב": אי-עמידה של מקבל המידע בחובת רישום מאגר מידע או בחובת הודעה לרשות להגנת הפרטיות, הקבועות בסעיפים 8א(א) ו-8א(ב) לחוק, תתקבל כ"שינוי מחויב" לעניין תקנה 2(4), ככל שבמדינה אליה מועבר המידע האישי לא קיימת חובה דומה ביחס למאגר מסוג זה שממנו הועבר המידע בישראל. יחד עם זאת, במקרים שבהם יחולו על מקבל המידע במדינה הזרה גם הוראות חוק הגנת הפרטיות הישראלי עצמו, למשל מפני שהמאגר שלו כפוף להן, הוא יחויב גם בחובת הרישום או ההודעה.

מידע שמקורו באירופה, ומה שמעבר לחוק הגנת הפרטיות

ככל שהמאגר הישראלי שממנו מועבר המידע לפי תקנה 2(4) מכיל גם מידע שהועבר מהאזור הכלכלי האירופי, בעל השליטה צריך לוודא שמקבל המידע מתחייב, כחלק מהתחייבותו הכללית לפי תקנה 2(4), לעמוד גם בחובות המהותיות שקובעות תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023. מ-1.1.2025 תקנות אלו חלות גם על מידע אישי המצוי במאגר בישראל יחד עם מידע שהועבר מהאזור הכלכלי האירופי, ולא רק על מאגרים ייעודיים למידע אירופי.

לבסוף, כדאי לזכור שתקנה 2(4) אינה מתייחסת רק לחוק הגנת הפרטיות ולתקנות שהותקנו מכוחו, אלא באופן רחב יותר ל"תנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל". ככל שחלות על המידע המועבר הוראות דין נוספות בתחום הגנת הפרטיות או הגנת מידע אישי, כגון דינים ספציפיים לענף הפיננסי או הבריאות, על מקבל המידע להתחייב לעמוד גם בהן, ויש לבחון אם קיימות בהן הוראות המגבילות במיוחד את העברת המידע למדינה זרה. חשוב גם לציין שהעברת מידע אישי לחו"ל כפופה בנוסף להוראות תקנה 3 לתקנות, העוסקת בהעברה למדינה נוספת.

אז מה עושים השבוע?

  1. למפות את כל הספקים הזרים שמקבלים מכם מידע אישי, כולל ספקי ענן, כלי SaaS וקבלני משנה.
  2. לבדוק, לכל ספק, איזו חלופה בתקנה 2 חלה עליו בפועל, ואם מדובר בהסתמכות על תקנה 2(4), לוודא שההסכם הקיים כולל את ארבע ההתחייבויות המהותיות: הגבלת שימוש, זכויות נושאי מידע, סודיות ואבטחת מידע.
  3. לוודא שההסכם כולל מסלול ברור לעמידה בדרישות אבטחת המידע, בין אם בהתחייבות ישירה לתקנות אבטחת המידע ובין אם באמצעות הסמכת ISO/IEC 27001.
  4. אם המידע כולל מידע שמקורו באירופה, לוודא שההתחייבות כוללת גם את החובות לפי תקנות המידע מהאזור הכלכלי האירופי.
הרשות מבהירה שהביטוי "בשינויים המחויבים" אינו כרטיס יציאה חופשי, ואינה אמת מידה סובייקטיבית. מגבלות מסחריות של ספק ענן זר אינן הופכות דרישה מהותית של הדין הישראלי לבלתי-רלוונטית, אבל היעדר חובת רישום מאגר במדינת היעד כן יכול להיחשב שינוי מחויב לגיטימי.

שאלות נפוצות

מתי פורסם גילוי הדעת על תקנה 2(4)?

הנוסח פורסם ב-13 באפריל 2026, לצורך הפעלת הסמכויות המסורות לרשות בחוק הגנת הפרטיות.

מה זו תקנה 2(4), ובמה היא שונה מתקנה 1 ומחלופות אחרות בתקנה 2?

תקנה 1 קובעת איסור כללי על העברת מידע לחו"ל, אלא אם דין מדינת היעד מבטיח רמת הגנה נאותה. תקנה 2 קובעת ארבע חלופות נוספות שחלות על אף האמור בתקנה 1. תקנה 2(4) היא החלופה החוזית: היא מאפשרת להעביר מידע כשמקבל המידע התחייב בהסכם לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים, בלי קשר לזהות מדינת היעד.

האם מספיק שהספק הזר יחתום על הסכם עיבוד מידע (DPA) גנרי שהוא נותן לכל הלקוחות שלו?

לרוב לא. גילוי הדעת מבהיר שהביטוי "בשינויים המחויבים" אינו מאפשר למקבל המידע לוותר על חובות מהותיות מהדין הישראלי בגלל מגבלות מסחריות או ארגוניות שלו. הסכם גנרי סטנדרטי, בלי התאמה לדרישות הספציפיות שמפרט גילוי הדעת, לרוב לא יספיק.

יש חובה אחת שכן מותר לוותר עליה בלי לפגוע בהסתמכות על תקנה 2(4)?

כן. הרשות מבהירה שאי-עמידה של מקבל המידע בחובת רישום מאגר מידע או חובת הודעה לרשות, הקבועות בסעיפים 8א(א) ו-8א(ב) לחוק, תתקבל כ"שינוי מחויב" לעניין תקנה 2(4), ככל שבמדינת היעד לא קיימת חובה דומה ביחס למאגר מסוג זה.

מה נדרש בהיבט אבטחת המידע כדי להסתמך על תקנה 2(4)?

יש שני מסלולים חלופיים: התחייבות מקבל המידע לקיים את החובות המהותיות שבתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, בכפוף לתקנה 19 ביחס למחזיקים, או הצהרה והתחייבות שהארגון מוסמך לתקן ISO/IEC 27001 ומקיים את הוראותיו ואת הבקרות בנספח A, לרבות התקנות הספציפיות המנויות בהנחיית הרשות מס' 3/2018.

מה קורה אם המידע שאנחנו מעבירים כולל מידע שמקורו באירופה?

אם המאגר הישראלי מכיל גם מידע שהועבר מהאזור הכלכלי האירופי, בעל השליטה צריך שמקבל המידע יתחייב גם בחובות המהותיות שבתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023, כחלק מהתחייבותו לפי תקנה 2(4).