GDPR: חקיקה חדשה בתחום הגנה על הפרטיות

החל מיום 25.5.18, תיכנס לתוקף רגולציית הגנה על פרטיות – GDPR (General Data Protection Regulation), שבאה להחליף ולשכלל חוקים ותקנות ישנות, וליצור מנגנון אחיד ברחבי האיחוד בדבר אופן איסוף ועיבוד מידע אישי של תושבי אירופה.

המדובר ברגולציה שעתידה לשנות את כללי המשחק, שתטיל סנקציות בסכומים של מיליוני יורו על גוף שיעז להפר הוראותיה.

לכן, אם בבעלותכם עסק או גוף שפונה לאנשים פרטיים באירופה לצורך מתן שירות או מוצר, וטרם שמעתם על הרגולציה הזו, אזי מאמר זה עשוי לעניין אתכם מאוד.   

החוק חל גם על גופים ישראלים

הרגולציה בהחלט יכולה לחול על גופים ישראלים מאחר ולהוראות החוק תחולה אקסטריטוריאלית, קרי, גופים ישראלים עשויים למצוא עצמם חשופים לסנקציות של הרגולציה בערב כניסתה לתוקף בעוד חודשים בודדים.

המבחן העיקרי בעניין זה הוא האם מדובר בגוף שמעבד מידע אישי של תושבי האיחוד או שפונה ללקוחות אלו במתן שירות/מוצר, לרבות גופים שבונים פרופילים התנהגותיים של תושבי אירופה או מנתרים התנהגותם. (קיימים מבחנים נוספים שלא נתייחס אליהם במאמר זה).

די בכך, שאתר אינטרנט מוצע בשפה של תושבי האיחוד ו/או מציע שירות במטבע יורו ו/או פונה עם סיומת EU, על מנת להכפיף עליו הוראות הרגולציה (יש תנאים נוספים שלא נרחיב עליהם במאמר זה).

אם יש ספק אין ספק! מומלץ מאוד לפנות לגורם מקצועי לברר החלת הרגולציה על העסק / האתר שלכם.   

הרגולציה חלה?

שלב הבא – כיצד על הגוף שאוסף את המידע לפעול?

מטרת העל של ה – GDPR, היא העברת השליטה מהגוף שעושה שימוש במידע אל האדם הפרטי, בכל הקשור למידע האישי שלו (מידע אישי נחשב כנתון מזהה ו/או מאפשר זיהוי של אדם פרטי, זאת אומרת כל מידע אישי מזהה לרבות שם משפחה, כתובת IP , כתובת מגורים, חשבון ברשת חברתית, אימייל, תמונה אישית, העדפות מסוימות, היסטורית גלישה ורכישה, cookies, וכו’)

על מנת לקיים מטרה זו, הותקנו תקנות רבות אשר מחייבות גופים לבצע שינויים נרחבים בפן הטכנולוגי, בממשקים, בתוכנה ולעיתים במצבת העובדים.

הצורך להיות שקוף מול הלקוח ולתעד פעילות

כבר בשלב איסוף המידע ב”הודעת הפרטיות” (privacy notice) על “בעל השליטה במידע” (הגוף שאוסף את המידע) לציין בשפה פשוטה ומובנת את הסיבה הספציפית לאיסוף ועיבוד מידע, את אופן עיבוד המידע, המקור החוקי לעיבוד המידע (נעמוד על זה בהמשך), משך הזמן שבו המידע ישמר וכו’.

יש גם לציין בפני הלקוח אודות מטריית הזכויות הנרחבות שמוענקות לו על ידי  ה-GDPR הכוללת את הזכות להישכח (למחוק את המידע), לתיקון המידע, לקבל מידע, להגביל את השימוש במידע, להגיש תלונה לגופים הרלוונטיים וזכויות רבות נוספות.

כמו כן, יש צורך לתעד פעולות רבות וקבלת החלטות רבות, לצורך הפגנת ציות להוראות החוק.

החובה לפעול רק על פי מקור חוקי מבין ששת המקורות המנויים בחוק

ה GDPR-קובע שישה מקורות חוקיים לעיבוד מידע אישי של לקוח, ואין לעבד מידע אישי שלא בהתאם למקורות אלו. המקורות החוקיים הם כדלקמן:

  1. הסכמה מפורשת מאת הלקוח,  לצורך עיבוד מידע ספציפי בהתאם למטרה מוגדרת וספציפית;
  2. נחיצות לעיבוד המידע לצורך קיום חוזה ו/או עריכת חוזה; (למשל לצורך אספקת מוצר יש צורך בכתובת)
  3. נחיצות לצורך ציות לחובה חקוקה;
  4. לצורך הגנה על אינטרס חיובי של נושא המידע (לקוח) או אדם אחר, עת נושא המידע איננו מסוגל לתת הסכמתו;
  5. לצורך שמירה על אינטרס ציבורי לצורך ביצוע סמכות רשמית שניתן לבעל השליטה (העסק);
  6. לצורך אינטרס לגיטימי.

קיימת חשיבות רבת בבחירת המקור החוקי, ואין להקל בזה ראש, שכן המקור החוקי אותו בוחר הגוף, יקבע את היקף ועוצמת הזכויות שיש ללקוח. דוגמא לכך, היא עסק שבוחר במקור “ההסכמה”, אשר מעניק ללקוח זכות ביטול, זאת לעומת הבסיס “אינטרס לגיטימי”, שמעניק שליטה רבה יותר לעסק על פני הלקוח, ולא מתיר באותה קלות זכות סירוב ללקוח.  

הצורך בהגבלת מטרות ומזעור שימוש מידע

הגוף שאוסף את המידע, ינקוט באמצעים טכניים וארגוניים, לצורך הבטחת עיבוד מידע אישי נחוץ לצורך מטרה ספציפית שאותה הגדיר מראש, שבידיעת הלקוח. שימוש החורג מאותה מטרה ספציפית, ברוב המקרים אינה באה בחשבון.  

הרגולציה מגבילה גם כמות המידע שניתן לאסוף, וקובעת כי יש לאסוף כמות מינימאלית של מידע הדרוש למטרה, מגבילה את הנגישות למידע ואת אופן שיתופו כלפי צד שלישי.

בדיקות שוטפת של תקינות המידע שנאסף ושמירה על אבטחתו

בעל השליטה מחויב לעשות שימוש במידע עדכני, שבתוקף, וכשיר לצורך המטרה, קרי יש להקים מנגנון אשר יפקח ויוודא כי המידע שאותו אוספים ומעבדים מדויק ועדכני, וככל שלא, ימחק ו/או יתוקן.

המחוקק האירופאי גם שם דגש ומשקל רב על אופן האחסון של המידע, שמירתו ואבטחתו, אשר תדרוש לעיתים שינויים ארגוניים וטכנולוגיים בתוך החברה.  

חובות נוספות

במקרים מסוימים, יש למנות קצין אבטחת מידע, בעל מומחיות ומיומנות בניהול תהליכיIT  והגנה על מידע רגיש, אשר מקום מושבו יהיה בתוך אירופה.

מעבר לזאת, הרגולציה שמה דגש רב על שמירה של זכויות קטינים, ומחמירה עת מדובר במידע אישי של ילדים, המהווה חלק ניכר ומהותי מחקיקה זו.

יש עוד חובות שלא נעמוד עליהן במאמר זה.

סנקציות

אין להקל ראש ולהתעלם מהוראות הרגולציה, המטילות סנקציות מרכיכות לכת על הגופים שיעזו להסתכן ולהפר הוראותיה. מדובר בקנסות כספיים של עד ל – 20,000,000 יורו ו/או בגובה 4% מההכנסה השנתית של החברה, הגבוה מבין השניים.   

מעבר לקנסות אלו, קיימות השלכות נוספות על גופים שיפרו הוראותיה, למשל גלות של אפליקציה מחנות אפל /גוגל ואיבוד זכאות לקבל תמורה בכרטיסי אשראי.   

סיכום

המסקנה המתבקשת היא שאסור להסתכן ולהישאר אדישים, וחובה על הגוף לבצע בדיקה ולבדוק האם הוראות הרגולציה חלות עליו.

לאחר שעברנו את המשוכה הראשונה ופנינו לגורם מקצועי שאישר כי הרגולציה חלה על הגוף, יש להתאים את החומרה, ממשקים, תוכנה, טכנולוגיה, כוח אדם, וכו’ באופן כזה שיעמדו בדרישות הרגולציה ועל מנת להימנע מסנקציות שיכולות בהחלט להביא לקריסתו.  

חשוב להדגיש, כי המידע שניתן במאמר זה הינו “קצה הקרחון”, ויש המון ניואנסים שחובה להתייחס אליהם מול גורמים מקצועיים, ואין מאמר זה מהווה יעוץ.

*אין בכל האמור בכדי להוות ייעוץ משפטי או המלצה , הפועל עפ”י האמור במאמר זה עושה זאת באחריותו בלבד.

*הכותב הינו עורך דין במשרד עורכי דין אלדר פרץ ושות’ המתמחים בליווי עסקים ובתביעות פיננסיות.

הטבהבמיוחד עבורך – ייעוץ משפטי ראשוני ללא עלות