תקנות הגנת המידע האישי החדשות באירופה (GDPR)

מזה שנים תאגידים וארגונים שונים שומרים, מנטרים ומעבדים מידע של המשתמשים בשירותיהם לצרכים עסקיים שונים, כדוגמת יצירת פרסום ממוקד. תאגידים וארגונים מחזיקים בכמויות אדירות של מידע ויוצרים אתגר רגולטורי למחוקקים ברחבי העולם, אשר פועלים להגן על אופן השימוש והשמירה של המידע האישי של המשתמשים, תוך התמודדות עם השינויים וההתפתחויות הטכנולוגיות.

אחת מההתפתחויות הרגולטוריות האחרונות בתחום הגנת המידע של המשתמשים היא חקיקת ה-GDPR ([1]General Data Protection Regulation), שורת תקנות של האיחוד האירופי אשר נכנסו לתוקף ובנות אכיפה החל מיום 25.5.2018.

תקנות ה-GDPR מחליפות את דירקטיבת הגנת המידע האירופאית[2] ומסדירות את השימוש במידע האישי של יחידים מהאיחוד האירופי ("נושאי המידע") ואת שמירתו אצל תאגידים וארגונים. להבדיל מדירקטיבת הגנת המידע האירופית אשר הייתה בגדר "הנחיה" למדינות האיחוד, לשם יישומן של התקנות אין צורך בחקיקה מדינתית והן חלות באופן ישיר על מדינות האיחוד כבר מעת כניסתן לתוקף. כפי שיובהר להלן, בנוסף לתחולתן במדינות האיחוד, לתקנות תחולה אקס-טריטוריאלית, כך שבנסיבות מסוימות אף ארגונים ותאגידים ישראלים יהיו כפופים להן.

תחולה

ה-GDPR חל על "בעלי שליטה במידע" (כלומר התאגידים ו/או הארגונים אשר קובעים את המטרות ואופן עיבוד המידע) וכן על "מעבדים" (כלומר התאגידים ו/או הארגונים המעבדים בפועל את המידע) שמקום מושבם באיחוד האירופי, וכאמור לעיל, ל-GDPR גם תחולה אקס-טריטוריאלית. הGDPR חל גם על ארגונים ותאגידים זרים אם הם מנטרים התנהגות של נושאי המידע ברחבי האיחוד ו/או אם הם מציעים שירותים או מוצרים לנושאי מידע באיחוד ומעבדים מידע שלהם בקשר לכך. תאגידים כאמור אף יצטרכו למנות נציג מטעמם במדינות האיחוד שעל המידע של תושביהן נערך העיבוד/הניטור. הנציג יהיה איש הקשר לנושאי המידע ולרשויות במדינות אלו בקשר לעיבוד המידע[3].

עיקרי ההוראות וההנחיות החדשות

החידוש העיקרי של ה-GDPR הוא בכך שהוא מעניק לנושאי המידע שליטה גדולה יותר במידע הנאסף על אודותיהם ובשימושיו. כך לדוגמא, בהתאם ל-GDPR לא די ביידוע משתמשים בכך שמידע נאסף על אודותיהם, אלא על התאגידים לקבל את הסכמתם המפורשת של נושאי המידע לאיסוף ולשימוש בו (ולתעד את ההסכמה כאמור). כמו כן, על התאגידים לפרט בצורה נגישה, פשוטה וברורה מהו סוג המידע הנאסף ובאיזה אופן ייעשה בו שימוש, וכן לאפשר לנושאי המידע לחזור בהם מהסכמתם בכל עת (opt-out), באופן קל וזמין (לפחות כמו באופן שבו נתנו נושאי המידע את הסכמתם).

חידוש נוסף שאותו מעלות התקנות הוא זכותו של נושא המידע להישכח ׁ(כלומר, הזכות למחיקת המידע על אודותיו, בהתאם לנסיבות ולתנאים הקבועים בתקנות). כמו כן, נושא המידע זכאי לגישה למידע שנאסף עליו ולניודו, וכן לתיקון טעויות, חוסרים ואי-דיוקים במידע זה.

בנוסף, ה-GDPR דורש מינויים של בעלי תפקידים חדשים בתאגידים. כך לדוגמא קיימת הדרישה למינוי נציג בתאגידים זרים (כאמור לעיל), ותאגידים וארגונים העומדים בקריטריונים מסוימים נדרשים למנות ממונה על הגנת מידע (data protection officer), אשר תפקידו לפקח על היישום והציות לתקנות ולהוות איש הקשר בארגון של נושאי מידע ורשויות הגנת המידע.

חובות נוספות שמחיל ה-GDPR על בעלי שליטה במידע ומעבדים קשורות לאבטחת מידע, בין היתר חובה על בעל שליטה במידע להודיע לרשויות על פריצה למידע בסד הזמנים הקבוע בתקנות, ובמקרים מסוימים עליו גם ליידע את נושאי המידע עצמם בפריצה.

סנקציות

הפרת הוראות ה-GDPR עלולה לגרום להטלת קנסות כבדים על התאגיד המפר. התקנות מאפשרות לרשויות הגנת הפרטיות המדינתיות להטיל קנסות מנהליים, ובהפרות מסוימות קנסות אלו עלולים להגיע לסכום של עד 20,000,000 אירו או עד 4% מהמחזור השנתי הגלובלי של חברה מפרה (לפי הגבוה).


[1] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

[2] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regards to the processing of personal data and on the free movement of such data.

[3] יצוין כי בהתאם ל-GDPR קיימות נסיבות שבהן תאגידים כאמור יהיו פטורים מהחובה למנות נציג.

כתוב/כתבי תגובה