הרשות להגנת הפרטיות פרסמה גילוי דעת המבהיר את אופן הפעלת תקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 המאפשרת העברת מידע אישי מישראל לגורם זר על בסיס התחייבות חוזית.
ככלל, תקנה 1 אוסרת על העברת מידע אישי ממאגר ישראלי לחו"ל, אלא אם המדינה היעד מבטיחה רמת הגנה שאינה נופלת מזו הקבועה בדין הישראלי. תקנה 2(4) מהווה חריג לכלל זה: היא מתירה העברה כאשר מקבל המידע התחייב בהסכם לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, "בשינויים המחויבים". גילוי הדעת בא לפרש מהם אותם שינויים מחויבים, ומה עליהם להכיל בפועל.
הרשות קובעת כי ההסכם בין בעל השליטה במאגר הישראלי לבין מקבל המידע בחו"ל חייב לכלול התחייבויות מהותיות הזהות, או דומות באופן מהותי, לאלו הקבועות בחוק הגנת הפרטיות הישראלי. בין היתר:
- איסור שימוש חורג – שימוש במידע אך ורק למטרה שלשמה נמסר (כאמור בסעיפים 2(9) ו-8(ב) לחוק הגנת הפרטיות).
- זכויות נושא המידע – מתן זכות עיון, תיקון ומחיקה של המידע האישי (סעיפים 13–14 לחוק).
- חובת סודיות – שמירה על סודיות המידע שהגיע למקבל בתוקף תפקידו (סעיף 16 לחוק).
- אבטחת מידע – עמידה בחובות הקבועות בתקנות אבטחת מידע, תשע"ז-2017, או לחלופין, הצהרה על הסמכה בתקן ISO/IEC 27001 תוך קיום הבקרות הרלוונטיות.
הרשות מוסיפה כי אי-עמידה בחובת רישום מאגר מידע תתקבל כ"שינוי מחויב" – ובלבד שבמדינת היעד אין חובה דומה. לעומת זאת, הרשות מדגישה במפורש כי נסיבות אישיות או ארגוניות של מקבל המידע אינן מהוות "שינוי מחויב" – הסטנדרד ליישום התקנה הוא אובייקטיבי בלבד.
בנוסף, ככל שהמידע המועבר כולל מידע שהגיע ממדינות האזור הכלכלי האירופי, יידרש מקבל המידע לעמוד גם בחובות הנובעות מתקנות מידע מהאזור הכלכלי האירופי, תשפ"ג-2023. הרשות מפנה אף לגילוי דעת נפרד בנוגע לתקנה 3, העוסקת בהעברה למדינה נוספת.