חומר רקע

PDF 18,504 תווים המסמך המקורי ↗
טיוטת תקנות א. שם התקנותהמוצעות תקנות הגנת הפרטיות ( הוראותלעניין מידע שהועבר לישראל מהאזורהכלכלי האירופ י,)התשפ"ג- 2023 ב. מטרת התקנות המוצעותוהצורך בהן מוצעלהתקין תקנות אשר יקבעו הוראותלעניין מידע שהועבר לישראל מהאזורהכלכליהאירופי, למעט מידע שהעביר במישרין אדם אודות עצמו. התקנות ה אמורות מוצעות על רקע תהליך בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, לצורךבחינתחידושמעמדהתאימות(Adequacy )שניתןלישראלעלידיהאיחודהאירופיבשנת2011 ,כמדינה שרמת הגנת המידע בה תואמת ל רמ ת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי, ולכן מידע אישי אליה יכול לעבור באופן פשוט ונוח. זאת, בין היתר בעקבות כניסת ן לתוקף בשנת 2018 של תקנות הגנת המידע של האיחוד האירופי ( General Data Protection Regulation- GDPR ) (להלן – התקנות האירופיות) , ובשים לב להוראותיה ן. מעמד התאימות, אשר ניתן לקבוצה מצומצמת של מדינות מחוץ לאזור הכלכלי האירופי, מאפשר כיום העברת מידע אישי מהאזור הכלכלי האירופי לישראל, ללא צורך במחויבויות רגולטוריות נוספות מצד הגורם המעביר ב אזור הכלכלי האירופי או מצד הגורם המקבל את המידע בישראל, ונודעת לו משמעות כלכלית נרחבתלמשק הישראלי,וכן חשיבות גדולהבהיבטי יחסיהחוץ של מדינת ישראל. משמעותההכרהבמעמדהתאימותשקייםלמדי נתישראלהיאשהעברותמידעממדינהבאזורהכלכלי האירופי אל ישראל דינן כדין העבר ת מידע בתוך האזור הכלכלי האירופי. אילולא כן היו נדרשים, בהתאם להוראות התקנותהאירופיות, בעלימאגרימידעישראלייםשהי ומבקש יםל המשיךולקבלמידעממדינה באזורהכלכלי האירופי, להתחייב באופן פרטני בדבר התקיימות התנאים וההגבלות שהיו חלות על המידע בהגיעו לישראל, ולעמוד, לכל הפחות, בחובות הקבועות בתקנות המוצעות להלן. ההכרה המדינתית שקיימת היום, נותנת מעטפת נורמטיבית כוללת ובכך מקלה באופן משמעותי על חברות ישראליות שמקבלות מידע ממדינות באזור הכלכלי האירופי במסגרת עסקיהן. ג. להלן נוסחטיוטת התקנות המוצעות: טיוטת תקנות מטעם משרד המשפטים טיוטת תקנות הגנת הפרטיות ( הוראות לעניין מידעשהועבר לישראל מהאזור הכלכלי האירופי), התשפ" ג- 2023 בתוקף סמכותי לפי פסקה (2 ) להגדרה "מידע רגיש" שבסעיף 7 ו לפי סעיף 36 לחוק הגנת הפרטיות, ה תשמ"א- 1981 1 (להלן- החוק) , ובאישור ועדת החוקה חוק ומשפט של הכנסת, אני מתקין תקנות אלה: הגדרות 1. בתקנות אלה – "האזור הכלכלי האירופי "- מדינות החברות באיחוד האירופי וכן איסלנד, נורבגיה וליכטנשטיין; נושא המידע"" – כהגדרתובתקנות אבטחת מידע; תקנותאבטחתמידע""-תקנותהגנתהפרטיות(אבטחתמידע),התשע"ז- 2017 2. תחולה 2. (א) תקנות אלה יחולו על מידע המצוי במאגר מידע בישראל אשר הועבר מהאזור הכלכלי האירופי , ולמעט מידע שהעביר במישרין אדם על אודות עצמו. (ב) על אף האמור בתקנת משנה (א,) החובות המנויות ב תקנות אלו לא יחולו על: (1) מידע שהועבר מרשות האחראית על ה בטחון או אכיפת החוק באזור הכלכלי האירופי לרשות ביטחון כהגדרתה בסעיף 19(ג) לחוק; (2) שימוש במידע הנדרש למטרת הגנה על בטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץוהמידתי להבטחת מטרות אלו. חובת מחיקת מידע 3. (א) בעל מאגר מידע ימחק מידע לבקשתו הכתובה של נושא המידע בהתקיים אחד מאלה: (1) המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין; (2) המידע אינו נחוץ עוד למטרות ש לשמן נוצר, נתקבל, נצבר או נאסף. ס"ח התשמ"א,עמ'128 . 1 ק"תהתשע"ז, עמ'1022 . 2 (ב) על אף האמור בתקנת משנה (א,) בעל מאגר מידע רשאי לסרב לבקשת מחיקה אם מצא כי השימוש ב מידע הוא לצורך אחד מאלה, וזאת בהיקף הנחוץ והמידתי לאותו צורך: (1) מימוש חופש הביטוי, לרבות זכות הציבור לדעת; (2) מילוי חובה חוקית או ביצוע סמכות על פי דין; (3) הגנה על עניין ציבורי , לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי; (4) ניהול הליך משפטי או גביית חובות; (5) מניעתהונאה,גניבה,אומניעתפעולותאחרותשעלולותלהשפיע על דיוק המידע או מהימנותו; (6) מימושחובותהנובעותמ הסכםבין-לאומיש ממשלתישראלהיא צד לו. (ג) התקבלה בקשה כאמור בתקנת משנה א)( ומצא בעל מאגר המידע כי לא מתקיימים החר יגים כאמור ב תקנת משנה ב,)( ימחק את המידע שבשליטתו, או יבצע פעולות המבטיחות שלא יתאפשר באמצעים סבירים,, לזהות את נושא המידע. (ד) בעלמאגרמידעיודיעבכתב לנושאהמידעעלהחלטתובבקשה,במועד המוקדם האפשרי בנסיבות העניין. הגבלת החזקת 4. (א) בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר, ש מטרתו מידע שאינו נחוץ להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה ש לשמה נאסף או הוחזק או למטרה אחרת ש לשמה מותר להחזיקו לפי כל דין (להלן – מידע שאינו נחוץ). (ב) מצאבעלמאגרמידע ביןהיתר,, עלסמך המנגנוןהאמורבתקנתמשנה (א), כי במאגר המידע מוחזק מידע שאינו נחוץ, ימחק את המידע האמור במועד המוקדם האפשריבנסיבות העניין. (ג) חובהכאמור בתקנתמשנה(ב)לאתחול,אם בוצעולגביהמידעהאמור פעולות המבטיחות שלא יתאפשר באמצעים סבירים לזהות את נושא המידע, או אם השימוש במידע הוא לצורך אחד מאלה, ו זאת בהיקף הנחוץ והמידתי לאותו צורך: (1) מימוש חופש הביטוי לרבות זכות הציבור לדעת; (2) הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי; (3) ני הול הליך משפטי או גביית חובות; (4) מניעתהונאה,גניבה,אומניעתפעולותאחרותשעלולותלהשפיע על דיוק המידע או מהימנותו; (5) מימושחובותהנובעותמ הסכםב ין-לאומיש ממשלתישראלהיא צד לו. חובת דיוק מידע 5. (א) בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ו מעודכן. (ב) מצאבעלמאגרמידע, ביןהיתר,עלסמך המנגנוןהאמורבתקנתמשנה א,)( כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, ינקוט אמצעים סבירים בנסיבות העניין לצורך תיקון או מחיקת המידע. חובת יידוע 6. (א) בעל מאגר מידע שקיבל מידע אודות אדם, י ודיע לו, במישרין או בעקיפיןבאמצעותהגורםשממנוהועברהמידע מהאזורהכלכלי האירופי,ככל ה אפשר בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש ממועד קבלת המידע, ע ל כל אלה: (1) זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עמם; (2) מטרת העברת המידע; (3) סוג המידע שהועבר; (4) קיומה של זכות מחיקה לפי תקנה 2, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק. (ב) ביקש בעל מאגר מידע להעביר את המידע שקיבל לצד שלישי, יודיע במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, לנושא המידע, מוקדם ככל ה אפשר , ולכל המאוחר עם העברת המידע, על כל אלה: (1) ז הות ופרטי ההתקשרות של הצד שלישי או סוג הגורמים השלישיים אליהם יועברהמידע; (2) מטרת העברת המידע; (3) סוג המידע שיועבר; (4) קיומה של זכות מחיקה לפי תקנה 3, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק. (ג) חובת היידוע כאמור בתקנת משנה א)( או (ב) לא תחול בהתקיים אחד מאלה, וזאת ב היקף הנחוץ והמידתי בשים לב לנסיבות העניין: (1) לבעל מאגר המידע יש יסוד סביר להניח ש פרטי המידע הכלולים בתקנת משנה א)( או (ב) ידועים ל נושא המידע; (2) פרטי ההתקשרות של נושא המידע אינם ידועים לבעל מאגר המידע, או שיישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל מאגר המידע, והכל בשים לב ל אפשרות להיעזר בגורם שממנו הועבר המידע; (3) קיומה של חובת סודיותבדין או איסור בדין על גילוי המידע; (4) קיומה של הוראה בדין המסדירה את גילוי פרטי המידע המפורטים בתקנת משנה (א) או ב;)( (5) מימוש חובת היידוע עלוללפגוע בשלומו או בחייו של אדם; (6) מימושחובתהיידועעלוללפגועבפעילותעיתונאיתאולחשוףאת מקור המידע של פעילותעיתונאית; (7) מימוש חובת היידוע י פגע בזכויותיו של אדם במידה העולה על הפגיעההנובעתמאיגילויפרטיהמידעלפיתקנתמשנה א)או(ב)( בנושא המידע. מידע רגיש 7 . מידע שהועבר למאגר מידע בישראל כאמור בתקנה 2 בעניינים המפורטים להלן, הוא מידע רגיש לפי סעיף 7 לחוק: (1) מידע על מוצאו של אדם; (2) מידע על חברות בארגון עובדים. שמירת דינים 8 . אין בתקנות אלה - (1) כדי לגרוע מחובות אחרות המוטלות על בעל מאגר מידע לפי כל דין; (2) כדי להתיר שימוש במידעשאינו מותר לפי כל דין. תחילה 9 . תחילתן של תקנות אלה - (1) שלושה חודשים מיום פרסומן (להלן – היום הקובע) – לגבי מידע שהתקבל במאגר מידע בישראל ביום הקובע או לאחריו; (2) שנה מיום פרסומן – לגבי מידע שהתקבל במאגר מידע בישראל לפני היום הקובע. ב________התש_______ (___ ב___________ ____20 ) [ תאריךעברי] ([תאריך לועזי] (חמ__3047 ___ -3) חתימה]__________________[ שם מלא שלהמתקין][ התפקיד שמכוחומתקין][ דברי הסבר כללי סעיף36 לחוקהגנת הפרטיות ,התשמ"א- 1981 (להלן– חוקהגנתהפרטיות) מסמיךאתשרהמשפטים, באישור ועדת החוקה, חוק ומשפט של הכנסת, להתקין תקנות בכל עניין הנוגע לביצוע החוק, ובין השאר, בעניין (1) "תנאי החזקת מידע ושמירתו במאגרי מידע", ו-(2 )"תנאים להעברה של מידע אל מאגרי מידע שמחוץ לגבולות המדינה או מהם". מכח סעיף קטן (2) הותקנו תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א- 2001 , הקובעות הוראות לעניין העברהשלמידעממאגרמידעבישראלאלמחוץלגבולותיה.התקנותהמוצעותלהלן,קובעותהוראות לעניין מידע שהועבר לישראל ממדינה באזור הכלכלי האירופי, ולמעט מידע שהעביר אדם במישרין אודותעצמו.תקנותאלונדרשותעלרקעתהליךבחינהשמקיימתכיוםנציבותהאיחודהאירופיביחס לישראל, לצורך בחינת חידוש מעמד התאימות (Adequacy ) שניתן לישראל על ידי נציבות האיחוד האירופי בשנת 2011 , כמדינה המבטיחה רמת הגנת מידע התואמת את רמת ההגנה על מידע אישי הנוהגת במדינות האזורהכלכלי האירופ י , ולכן ניתןלהעביר אליה מידע באופןחופשי. כפי שיפורט להלן, התקנות המוצעות קובעות ארבע חובות שיחולו על בעלי מאגרי המידע בישראל, ביחס למידע שהועבר לישראל מהאזור הכלכלי האירופ י, ולמעט מידע שהועבר במישרין על ידי נושא המידע עצמו: חובת מחיקת מידע, הגבלת החזקת מידע שאינו נחוץ חובת דיוק מידע וחובת יידוע., כמוכן,התקנותקובעותכימידעשהועברכאמורבענייניםהמפורטיםבתקנה7 יראובוכ"מידערגיש", לעניין סעיף 7 לחו ק הגנתהפרטיות. תקנה 1 מוצעלהגדיראתהמונח"האזורהכלכליהאירופי"כ מונחהכוללאתהמדינותהחברותבאיחוד האירופי(כיוםישנן27 מדינותכאמור),וכןאתאיסל נד,נורבגיהוליכטנשטיין.שלושמדינותאלוקשורות לאיחוד האירופי באמצעות הסכם האזור הכלכלי האירופי (Agreement EEA ). מונח זה רלוונטי לעניין תחולתןשלהתקנותהמוצעות,הקובעותהוראותלענייןמידעשהועברלישראלמהאזורהכלכליהאירופי. יצויןכימעמדהתאימות ( )שניתןלישראלבשנת2011 ,חלאףהואביחסלמידעשעוברלישראל Adequacy ממדינות באזור הכלכליהאירופי. בנוסף מוצעלהגדיראתהמונח"נושאהמידע"בהתאםלהגדרההקבועהבתקנותהגנתהפרטיות(אבטחת מידע), התשע"ז- 2017 (להלן – תקנות אבטחת מידע) קרי, "האדם שעל אודותיו קיים מידע במאגר המידע". תקנה 2 מוצע לקבוע כי תחולתן של התקנות תהא ביחס למידע המצוי במאגר מידע בישראל, אשר הועבר מהאזור הכלכלי האירופי, ולמעט מידע שהעביר אדם במישרין אודותעצמו. מוצע לקבוע כי עלאף האמור, החובות הקבועותב תקנות אלו לא יחולו ביחס לשני מצבים: (1 ) מידע שהועבר מרשות האחראית על הבטחון או אכיפת חוק באזור הכלכלי האירופי לרשות ביטחון (כהגדרתה בסעיף 19(ג) לחוק) בישראל. המונח "רשות ביטחון" כולל את משטרת ישראל; אגף המודיעין במטה הכללי והמשטרה הצבאית של צבא- הגנה לישראל; שירות הבטחון הכללי; המוסד למודיעין ולתפקידים מיוחדים; הרשות להגנה על עדים(.2 ) בנוסף, החובות הקבועות בתקנות לא יחולו במצב בו ה שימוש במידע שהועבר מהאזור הכלכלי האירופי נדרש למטרת הגנה על בטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלה. חריג זה מתייחס למצב בו העברת המידע מהאזור הכלכלי האירופי לא התבצעה אל רשות ביטחון בישראל, אולם השימוש במידע נדרש למטרת הגנה על ביטחון המדינה או אכיפת החוק. מצב אפשרי נוסף הוא כאשר המידע האישי הועבר מגופים אירופים שאינם רשויות האחראיות על הבטחון או אכיפת החוק, אל רשות ביטחון בישראל. תקנה 3 תקנה זו מבקשת לקב וע את זכות המחיקה של נושא המידע. התקנה המוצעת שואבת השראה מסעיף17 לתקנותהאירופיות. עלפיהמוצע,נושאהמידערשאילבקשמבעלמאגרהמידע,בכתב,כימידע על אודותיו יימחק במקרים בהם המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימושבומנוגדלהוראתכלדין (כך,למשל,עילה זועשויהלקוםבמצביםבהםעיבודהמידענעשהמכח הסכמתו של נושא המידע והמשך שמירת המידע מנוגד לתנאי ההסכמה); או אם המידע אינו נחוץ עוד למטרות שלשמן המידע נוצר, נצבר או נאסף. כן מוצע לקבוע כי בעל מאגר מידע רשאי לסרב לבקשת המחיקה אם הוא מצא כי השימוש במידע הוא לצורך אחד מהמצבים המנויים ב תקנת משנה ב)(, וזאת בהיקף הנחוץ והמידתי לאותו צורך. כך, לדוגמא, אם השימוש נחוץ לצורך הגנה על עניין ציבורי (כגון- הגנה על בריאות הציבור ), או למשל אם השימוש נחוץ לצורך מימוש חובות הנובעות מהסכם בין- לאומי שממשלת ישראל היא צד לו. למען הסר ספק, יובהר כי חריג אחרון זה אף כולל חובות שאינן מצוינות במפורש במסגרת ההסכם, אך הן נדרשות לצורך יישומו. סירוב כאמור נדרש להיות ב מידה סבירה תוך איזון בין הצורך ל שימוש במידע, אל מול ז כות המחיקה של נושא המידע. ברי כי בחינת הנחיצות וה מידתיות בהתאם לאמור בתקנת משנה זו רלוונטית לכלל החריגים המנויים בתקנת משנה ב). כך,( למשל, לא כל שימוש במידע למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי (מטרות המנויות בפסקה (3)),שאפשרלממשן,למשל,בדרךאחרת,יצדיקאתהסירובלבקשה.תחתזאת,נדרשכיבנסיבותהעניין, השימוש במידע יהיה בהיקף הנחוץ והמידתי לשם אותו צורך. מכאן, שעל החלטת הסירוב להינתן רק לאחר שניתן משקל ראוי לשיקולים הרלוונטיים שיש לקחת בחשבון, תוך עריכת איזון ראוי ביניהם. לצד קביעת חובת המחיקה, מוצע לקבוע בתקנת משנה (ג) כי אם התקבלה בקשת מחיקה ובעל מאגר המידע מצא כי לא מתקיימים החריגים המנויים בתקנת משנה ב)(, עליו למחוק את המידע, או לבצע פעולות שיבטיחו כי לא ניתן יהיה, באמצעים סבירים, לזהות את נושא המידע. בתקנת משנה (ד) מ וצע לקבוע כי על בעל מאגר המידע ליידע את נושא המידע בכתב,, בדבר החלטתו בבקשת המחיקה, במועדהמוקדם האפשרי בנסיבות העניין. תקנה 4 תקנה זו עניינה הגבלת בעל מאגר המידע להחזיק מידע שאינו נחוץ . הוראה זו מבוססת על העיקרון הקבוע בסעיף 5( לתקנות האירופיות.) בתקנה זו מוצע לקבוע כי על בעל מאגר מידע להפעיל e מנגנון ארגוני, טכנולוגי, או אחר, שמטרתו להבטיח כי במאגר לא מוחזק מידע שאינו נחוץ, כהגדרתו בתקנה המוצעת. בעל מאגר מידע שמצא, בין היתר על סמך המנגנון האמור, כי במאגר קיים מידע שאינו נחוץ, עליו למחוק את המידע שאינו נחוץ במועד המוקדם האפשרי בנסיבותהעניין., מטבעהדברים,עשויותלהיותדרכיםשונות ליישוםהחובההקבועהבתקנתמשנה(א) בשיםלב,ביןהיתר,, ל מהות המידע המצוי במאגר, תכלית איסופו או החזקתו והחובות המוטלות על בעל מאגר המידע מכח הדין. כך, למשל, באמצעות הטמעת מנגנון שייסב את תשומת ליבו של בעל המאגר לצורך בביצוע בדיקות תקופתיות על מנת לבחון אם מוחזק מידע שאינו נחוץ; קביעת תקופות שמירה בשים לב לתכלית שלשמה מוחזק המידע, הדרישות הרגולטוריות שבהן נדרש בעל המאגר לעמוד וכיוצא באלה. תקנת משנה ( ג) המוצעת קובעת כי חובתמחיקת המידע ביחס למידע שאינו נ חוץ לא תחול,אם בוצעו לגבי המידע האמור פעולות המבטיחות שלא ניתן יהיה, באמצעים סבירים, לזהות את נושא המידע, או אם בעל מאגר המידע מצא כי השימוש במידע הוא לצורך אחד מהמצבים המנויים בתקנת משנה ( ג,) ובהיקף הנחוץ והמידתי לאותו צורך. תקנה 5 סעיף 14 לחוק הגנת הפרטיות מעגן את זכותו של נושא המידע שמצא כי המידע המצוי על אודותיובמאגרהמידעאינונכון,שלם,ברוראומעודכן,לפנותלבעלמאגרהמידעבבקשהלתקןאתהמידע או למחקו. התקנה המוצעת מתבססת על העיקרוןהקבוע בסעיף 5(1)( d לתקנות האירופיות,) והיא מהווה השלמהו"תמונתראי"שלסעיף14 האמור .תקנהזו קובעתאתחובתושלבעלמאגרהמידעלהפעילמנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח שהמידע המוחזק במאגר נכון, שלם ברור ומעודכן. מטבע הדברים, עשויות להיות דרכים שונות ליישום החובה הקבועה בתקנת משנה א.)( כך, למשל, באמצעות הפעלתמנגנוןהמתריעעלהצורךבעריכתבדיקותתקופתיותלעדכוןודיוקהמידע(בדיקותאלו עשויות, בהתאםלנסיבותהעניין, להתבצעעלבסיס מידעשנושאהמידעהעבירבעצמו,אועל מידע פומבי ומהימ ן שניתן להתבסס עליו לצורך דיוק המידע) או פניות תקופת יות לנושאי המידע. כל זאת, כמובן, בשים לב למהות המידע שמוחזק במאגר ותכלית השימוש בו. דוגמא נוספת עשויה להיות עדכון אוטומטי שלהמידע, למשלביחסלמידעשעניינוגילושלאדם.עודיובהרכיהיקףהשקעתהמשאביםש יידרשלצורך אימוץ המנגנון, תלוי, כמובן בנסיבות הרלוונטיות, ובכלל זה היקפו של המידע המוחזק במאגר, מידת רגישותו, ועוד. כהמשך לחובת דיוק המידע הקבועה בתקנת משנה (א), קובעת תקנת משנה (ב) המוצעת כי אם מצא בעל מאגרהמידעשבמאגרקייםמידעשאינונכון,שלם,ברוראומעודכן,עליולנקוטבאמצעיםסבירים,לצורך תיקון המידע או מחיקתו. תקנה 6 סעיף11 לחוקהגנתהפרטיותמעגןאתחובתהיידועבמצבבונערכהפנייהלאדםלקבלתמידע על אודותיו, מכח הסכמתו של נושא המידע או מכח חובה חוקית. התקנה המוצעת ששואבת השראה מסעיפים13 ו- 14 לתקנותהאירופיות, מהווההשלמהלחובתהיידועהקבועהבסעיף11 לחוק,והיאקובעת כי בעל מאגר מידע שקיבל מידע על אודות אדם, יודיע לו, במישרין או בעקיפין, באמצעות הגורם שממנו הועבר המידע, על פריטי המידע המנויים בתקנת משנה (א) ובאופן הקבוע בה. תקנת משנה (ב) המוצעת קובעת כי אם בעל מאגר מידע מעביר את המידע שקיבל לצד שלישי, עליו להודיע לנושא המידע על פריטי המידע הקבועים בתקנת משנה זו ובאופן הקבוע בה. תקנת משנה (ג) המוצעת מהווה חריג לחובת היידוע הקבועה בתקנ ו ת משנה (א) ו- (ב) והיא קובעת כי חובות אלו לא יחולו, בהתקיים אחד מהמצבים המנויים בה,וזאת בהיקףהנחוץוהמידתי בנסיבותהעניין. זאת,עלמנתלהבטיחכיתתבצעבחינהאםחרףקיומם של החריגים המוצעים בנסיבות המקרה המסוים, ניתן ליישם את חובת היידוע כולה או חלקה., על פי המוצע,חובתהיידועלאתחול למשל,,אםלבעלמאגרהמידעישיסודסבירלהניחשפרטיהמידעהכלולים בתקנת משנה (א) או (ב) כבר ידועים לנושא המידע. מטבע הדברים, חריג זה יחול רק ביחס לאותם פריטי מידע שיש יסוד סביר להניח שהם ידועים כאמור. דוגמא נוספת לחריגים המוצעים היא קיומה של חובת סודיות בדין (ובכלל זה, חובת סודיות מקצועית) או איסור בדין על גילוי המידע. לעניין חריג מוצע זה, יובהר כי ייתכנו נסיבות בהן חרף קיומה של חובת סודיות בדין, אין מניעה ביישום חובת היידוע בנסיבות העניין , וזאת למשל במצבים בהם תכליתה של חובת הסודיות היא להגן על סודיות המידע מפני אנשים אחרים, שאינם נושא המידע עצמו. תקנה 7 בסעיף 7 לחוק, מוגדר "מידע רגיש" כאחד מאלה: (" 1 נתונים על אישיותושל אדם, צנעת אישותו, מצבו הבריאותי, מצבו הכלכלי, דעותיו ואמונותיו;) (2 ) מידע ששר המשפטים קבע בצו, באישור ועדת החוקה, חוק ומשפט של הכנסת, שהוא מידע רגיש". עד כה, לא נקבע צו כאמור. מוצע עתה לעשות שימושבסמכות זו. להגדרה "מידע רגיש" קיימת על פי הדין הקיים משמעות לעניין חובת הרישום של מאגר מידע כאמור בסעיף 8 ג()(2) ל חוק. להשלמת התמונה יוער כי הצעת חוק לתיקון חוק הגנת הפרטיות [הצעות חוק הממשלה 1496 , מיום ג' בשבט התשפ"ב (5 בינואר 2022 ]) (להלן – תיקון מס' 14 ) אשר נמצאת בימים אלו על שולחנה של ועדת חוקה, חוק ומשפט של הכנסת ב הכנה לקריאה שנייה ושלישית, מבקשת להוסיף לסעיף 7 הגדרה של "מידע בעל רגישות מיוחדת", במקום הגדרת "מידע רגיש" הקבועה היום בסעיף 7 לחוק. כן יוער כי להגדרת "מידע בעל רגישות מיוחדת" לפי המוצע בתיקון מס' 14 , תהא משמעות לעניין חובת הרישום וכן לענייןגובה העיצום הכספי שניתןיהיה להשית בגין ההפרותהקבועות בתיקון מס' 14 . התקנה המוצעת מבקשת לקבוע כי מידע שהועבר למאגר מידע בישראל כאמור בתקנה 2 (קרי, מידע שהועבר מהאזור הכלכלי האירופ י, ולמעט מידע שהעביר אדם אודות עצמו), בעניינים המפורטים להלן, יראו בו כמידע רגיש לפיסעיף 7 לחוק: (א) מידע על מוצאו של אדם; (ב) מידע על חברות בארגון עובדים. בהצעת החוק לתיקון חוק הגנת הפרטיות (תיקון מס' 14 ) הממשלה ראתה לנכון להבהיר בלשון החוק בצורה מפורשת כי המושג כולל מידע על מוצאו של אדם (ראו לעניין זה את הגדרת "מידע בעל רגישות מיוחדת" בתיקון מס' 14). בשים לב לכך כי התקנות המוצעות קובעות את ההוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי, ועל מנת שתהא מסגרת ברורה ושלמה בהקשר של העברות מידע כאמור, התקנה המוצעת מבקשת אף היא להתייחס במפורש לפריט מידע זה כמידע רגיש, וזאת עוד טרם השלמת חקיקתו של תיקון מס' 14 . למען הסר ספק, יובהר כי מידע על מוצאו של אדם כולל אף מידע על השתייכותו הלאומית. לענייןפסקה( ב,)קרי- מידעעלחברותבארגוןעובדים,מוצעלראותבמידעזהכ"מידערגיש" ככלשמידע כאמור הועבר לישראל מהאזור הכלכלי האירופי,וזאת בשים לב לסעיף 9(1)לתקנות האירופיות. יוערכי מידעזהעשוילהיחשב,גםעלפיההגדרההקיימתבסעיף7 לחוקכ"מידערגיש",וזאתבמצביםבהםמידע כאמור חושף את דעותיואו אמונתו של אדם. תקנה 8 מוצע לקבוע הוראת שמירת דינים, הקובעת כי איןבתקנות אלו- (1) כדי לגרוע מחובות אחרות המוטלות על בעל מאגר מידע לפי כל דין. כך למשל, התקנות המוצעות אינן גורעות מחובת היידוע לפי סעיף 11 לחוק, חובת מחיקת מידע הקבועה בדינים ספציפיים, וכיוצא באלה. (2) כדי להתיר שימוש במידע שאינו מותר לפי כל דין. ההוראה האמורה נועדה להבהיר כי התקנות האמורות אינן מוסיפותסמכות או היתר לשימושבמידע מעבר למה שמותרלפי כל דין., תקנה 9 על מנת לאפשר לבעלי מאגרי המידע להיערך לכניסתן לתוקף של התקנות, מוצע לקבוע כי תחילתן תהא שלושה חודשים מיום פרסומן (להלן – היום הקובע), לגבי מידע שהתקבל במאגר בישראל ביום הקובע או לאחריו . עוד מוצע לקבוע מועד תחילה ארוך יותר, של שנה מיום פרסום התקנות, וזאת ביחס למידע שהתקבל במאגר בישראל לפני היוםהקובע.