האם ה-GDPR חל על העסק שלי בישראל?

EDPB Guidelines 3/2108

הועד להגנת הפרטיות האירופי (ה-EDPB) הוציא הנחיות המבהירות את פרשנות סעיף 3 ל-GDPR לגבי תחולתה הטריטוריאלית של הרגולציה להגנת הפרטיות באירופה, וחשוב שנכיר אותI.

ההנחיות עצמן נמצאות כאן.

טרם אתחיל, אבהיר כי האמור מטה הוא תמצית בלבד, ולכן בהכרח יהיה חלקי. מה גם שהפסיקה טרם התייחסה לכתוב מטה. סביר מאוד להניח שבמקרה שיתעורר אצלכם יחולו עובדות נוספות שישפיעו על ההחלטה. לכן, האמור כאן אינו מתאים לכל מקרה, אינו מוצג כייעוץ משפטי ואין להסתמך עליו. אנא מכם, פנו לעורך דין מומחה לייעוץ ספציפי. לעוד מידע בנושא הרגולציה האירופית להגנת המידע והפרטיות ראו כאן. וכמובן אנא הרגישו בנוח ליצור איתנו קשר ב-03-6133333.

 

ההנחיות מסבירות את שלושת סעיפיו הקטנים של סעיף 3 ל-GDPR, שקובע –

1.         This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2.         This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

               1.               the offering of goods or services, irrespective of whether a payment of the data subject is required,

                                to such data subjects in the Union; or

               2.               the monitoring of their behaviour as far as their behaviour takes place within the Union.

3.         This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

אמ;לק:

יש 3 מקרים בהם הרגולציה חלה:

1.     כשלמעבד המידע יש "מוסד"/"ביסוס" באיחוד;

2.     כשמעובד מידע המתייחס לאנשים הנמצאים באירופה בקשר עם (1) הצעת מוצרים או שירותים; או (2) מעקב אחר התנהגות המתרחשת באיחוד;

3.     חוק מדינה ממדינות האיחוד קובע זאת.

 

סעיף 3(1) = קיום establishment

נקודת המוצא היא תחולה של התקנות על עסק שנמצא באירופה (בין אם הוא מעבד את המידע הנדרש לו באיחוד או מחוץ לו).

סעיף הבסיס קובע, כי גוף שיש לו מוסד אירופי אשר מעבד מידע בקשר לפעילותו, יהיה כפוף ל-GDPR, גם אם העיבוד אינו מתבצע באירופה עצמה. כלומר, חברה הפעילה באירופה השוכרת את שירותיה של חברת פרסום ישראלית אונליין, והישראלית מבצעת עבורה מסעות פרסום מקוונים ומעבדת את המידע הנובע מהם – תהיה כפופה לרגולציה האירופית.

המבחן לנוכחות "מוסד" הינו מבחן מינימלי של קיום פעילות או נוכחות של קבע באיחוד. לעיתים יהיה די באיש קשר או נציג, עובד במשרה חלקית או אפילו אתר אינטרנט בעל מאפיינים מסויימים המכוון לציבור האירופי.

חשוב לשים לב שהתקנות האירופיות יחולו לא רק אם העיבוד מבוצע על ידי המוסד עצמו, אלא גם בעבורו, על ידי אחר (ואפילו אחר שנמצא, למשל, בישראל ולא באירופה ולמשל העסק שלכם).

הערה: במצב כזה, העסק שלכם (שאינו נמצא באיחוד) אולי לא יהיה כפוף ל-GDPR. אבל אם ה"מוסד" נהנה מייעוץ משפטי ראוי, הוא ידאג להכפיף אתכם לכך מבחינה חוזית, כמו גם שבמקרה שתגרמו לו נזק עקב אי עמידה ברגולציה, אתם עלולים להיות אחראים לכך. לכן תבדקו היטב את ההתקשרויות שלכם ואת הפניות שאתם מקבלים מלקוחות אירופים.

 

סעיף 3(2) = טרגוט של מי שנמצא באירופה

אם אין מוסד באירופה בודקים אם חל הסעיף הבא – שעיקרו, התמקדות במתרחש באירופה (בין אם באמצעות מכירות או באמצעות מעקב אחרי התנהגות שם), "טרגוט".

שאלת אזרחות או מקום המושב של נשוא המידע אינה רלוונטית. החשיבות היא לנוכחותו באירופה. כל פעילות שנכנסת בגדר הסעיף ומכוונת לאירופה (ועל שאלה זו קיים ויכוח שיוכרע עובדתית, לפי הנסיבות) – תכפיף את העסק שלכם ל-GDPR.

דוגמא למצב בו הרגולציה אינה חלה, מוצגת במקרה של אפליקציה אמריקאית, המכוונת לשוק האמריקאי, שהוריד אזרח אמריקאי ונסע לבקר באירופה (ושם היא ממשיכה לפעול). לעמדת ה-EDPB, במצב כזה האפליקציה אינה מכוונת ("מטרגטת") לשוק האירופי ולכן לא יחולו התקנות.

כך, לדוגמא, רשות ההגירה הקנדית שמנטרת נתונים שנאספים באירופה במטרה לקבוע האם להעניק ויזה לביקור בקנדה למבקשים, אינה "מתמקדת באירופה" ולכן הרגולציה להגנת הפרטיות אינה חלה עליה.

כלומר, המבחן הרלוונטי לנו הוא הדגמת כוונה להצעת המוצרים או השירותים לאדם שנמצא באיחוד. כיצד מוכיחים כוונה זו? ההכרעה תהיה נסיבתית לפי עובדות כל מקרה ומקרה.

כעולה מההמלצות (שמסתמכות על פסיקה ביחס לדירקטיבה הקודמת) אציג לכן מספר מקרים בהם ניתן להסיק כוונה להציע מוצרים או שירותים לאנשים הנמצאים באירופה. למשל (וזו רשימה שאינה ממצה או מחייבת):

–        התיאור של המוצר או השירות נוקב בשם מדינה או האיחוד;

–        אספקת מוצרים בפועל לאירופה;

–        קיום נציג תמיכה או מכירות שמגיב לפניות אזרחי האיחוד;

–        אתר אינטרנט בשפה הדבורה במדינה אירופית;

–        מכירה במטבע אירופי;

–        מסעות שיווק ספציפיים למדינות באיחוד;

–        העסק משלם למנוע חיפוש או שירות דומה לאפשר ללקוחות מאותה מדינה גישה לאתר שלו;

–        לפעילות אופי בינלאומי (כמו תיירות);

–        ציון כתובות או טלפוניים ייעודיים, באירופה;

–        שם מתחם (דומיין) מדינתי באירופה;

–        אזכור לקוחות בינ"ל הנמצאים באירופה, טסטימוניאלס וכדומה;

כל אחד מהם או חלקם בנפרד יתכן שלא יספיקו אך בבדיקת מכלול הנסיבות יתכן שיש להם משמעות.

דוגמא המוצגת בהנחיות למצב בו הרגולציה האירופאית אינה חלה מתייחסת לחברה במונקו שמעבדת את נתוני עובדיה למטרות תשלום שכר. חלקם עובדים בצרפת ואחרים איטליה. אלא שהעיבוד אינו מתייחס להצעת מוצרים או שירותים או לניטור ההתנהגות אלא לצרכי כוח אדם. במצב כזה, סעיף 3(2) לא יחול.

דוגמאות נוספות מהן ניתן להסיק ניטור מידע ה"מטרגט" פעילות של אנשים באירופה ניתנת בתקנות, והיא כוללת למשל כל אחד מאלו או אחרים:

–        יש לשקול את מטרת האיסוף, והשימוש העתידי (פעולות שיוצרות פרופילים התנהגותיים יכללו בהגרה);

–        ביצוע מסעות פרסום התנהגותי;

–        פעולות גיאו-לוקאליזיישן, לא רק אך במיוחד כאלו שהן למטרות שיווק;

–        ניטור מקוון באמצעות קוקיות, טביעות אצבע או כל טכניקה אחרת;

–        ניתוחי דיאטה ובריאות אישיים מקוונים;

–        הפעלת מצלמות או האזנה במעגל סגור, CCTV;

–        סקרי שוק ומחקרים התנהגותיים על בסיס פרופילים אינדיבידואליים;

–        מעקב או דיווח על מצב בריאות של פרט; וכדומה.

–        חשוב לשים לב שלא רק ניטור מקוון נכלל בגדר הסעיף, אלא גם ניטור שהוא "אופ-ליין".

 

דוגמא שניתנת בהנחיות למצב בו הסעיף (וה-GDPR, בהתאם) חל, הינה ביחס לחברת שיווק אמריקאית שמייעצת לחנויות על סידור החנות והמבנה שלה, על בסיס ניתוח התנהגות הקונים אצלם שנאסף באמצעות WI-FI. בעוד החברה נמצאת בארה"ב, הרי היא מייעצת לחנויות שבקניונים צרפתיים. במקרה כזה, הסעיף כמובן יחול.

 

סעיף 3(3) = עיבוד כשחוק מדינה מקומית חל עקב משפט בינ"ל

הדוגמאות הקלאסיות למצבים כאלו, ולא ארחיב בהן, מתייחסות לדין המדינה החל בקר אנשי המשלחות הדיפלומטיות שלה או אוניות הנושאות את הדגל שלה.

 

לאור קריאת ההנחיות, נדמה שהבנו קצת יותר טוב באילו מצבים ה-GDPR האירופי עלול לחול על מי שאינו נמצא באירופה, ובמיוחד אני מכוון לחברות ישראליות. עם זאת, הרשימה כמובן אינה מנלאה ואינה ממצה ויתכן שהנסיבות יגרמו לתשובה שונה ביחד לכל עסק שנכלל או שאינו נכלל בה. המדובר למשל, ב-

–        עמותות ישראליות שמגייסות תרומות מפרטים באירופה;

–        חברות ישראליות עם חברת בת באירופה;

–        מפעילי אתריdropshipping  שמוכרים ללקוחות באירופה;

–        חברות פרסום ושיווק דיגיטלי ו-affiliates למיניהם שמנטרים (באמצעות קוקיות או בכל דרך אחרת) אתרים לשם שיווק המופנה גם לאנשים הנמצאים באירופה;

–        מפעילי עמוד מכירות ב-Amazon המוכרים גם לאירופה;

–        חברות רפואת מרפא בישראל שלקוחותיהן הם אירופאים;

–        חברות ביטוחי נסיעות ל/באירופה;

–        ורבים רבים אחרים.

 

 

זכויות יוצרים, אינטרס הציבור ופורנוגרפיה

מה משמעות האינטרס הציבורי בהגנה קניינית לזכות יוצרים

מבחני הפרת זכות יוצרים

הפרת זכות יוצרים נחשבת ברגיל כזכות קניינית (או מעין קניינית), כך שהתובע רשאי לקבל סעד הגנתי באופן כמעט חד משמעי בעת הפרת זכויות היוצרים שלו. בפסק דין שניתן ממש לאחרונה  (סקס סטייל נ' אבוטבול, בו ייצג עוה"ד אריאל דובינסקי את הנתבע, שזכה בתיק) הודגש נושא תקנת הציבור ואינטרס הציבור בהפרת זכות יוצרים, וחשוב לשים לב לכך.

המבחן הראשון בו בודקים שאלת הפרת זכות יוצרים הינו בשאלה: האם מדובר ביצירה מוגנת.

אם התשובה היא חיובית, יחול המבחן השני: האם השימוש שבוצע ביצירה היה שימו מבין אלו המוגדרים בחוק זכות יוצרים כמוגבלים להסכמה בעל זכות היוצרים.

והמבחן השלישי והאחרון, כמובן, הוא שאלת מתן הסכמת בעל זכות היוצרים למפר.

התיק הנדון – סקס סטייל נ' אבוטבול

בעניין זה דובר בהעתקת סרטי פורנוגרפיה (סרטים קשים לכל דבר ועניין, לא סרטים ארוטיים, אלא רמה אחת מתחת לסרטי פדופיליה, כהגדרת בית המשפט). לא היתה מחלוקת על השימוש או על אי מתן ההסכמה והמחלוקת התמקדה בשתי שאלות.

האחת – האם סרט פורנוגרפי הוא יצירה מוגנת בחוק זכות יוצרים?

השניה – אם כן, האם על בית המשפט להעניק הגנה לבעל זכות היוצרים בפני הפרה, כשאינטרס הציבור אינו עולה בקנה אחד של הגנה למעשים הקשורים בפורנוגרפיה (המהווה גם הפרת סעיף 214 לחוק העונשין).

בית המשפט מגיע לקביעה כי כל סרט, פורנוגרפי ככל שיהיה, מהווה יצירה מוגנת כהגדרת החוק, וכי הצדדים הסכימו על כי השימוש שנעשה בסרטים – מפר את החוק.

אלא שהשאלה שעלתה היתה האם אינטרס הציבור מחייב אי הושטת סעד לבעל זכות היוצרים.

בית המשפט משתמש במספר עקרונות של שיטת המשפט שלנו על מנת להגיע למסקנה כי על אף הגנת חוק זכות יוצרים, בית המשפט לא יושיט סעד למפיק ומפיץ סרטי פורנוגרפיה שנפגע עקב הפרה. הנימוקים, בקצירת האומר: סעיף 30 לחוק החוזים מאפשר לבית המשפט לא להושיט סעד לנפגע שביצע בעצמו הפרת חוק (והסעיף הוחל מכח סעיף 69 לחוק), הכלל הנזיקי לפיו "עילה בת עוולה לא תקים זכות תביעה", הלכות במשפט העברי וכן הפניות לעילת ה-Copyright Misuse במשפט האנגלו-אמריקאי.

השלכות ההחלטה על זכות היוצרים ואינטרס הציבור

אני רציתי להשתמש בהחלטה זו כדי להדגיש נקודה, שפעמים רבות אינה מודגשת דיה בבתי המשפט, במיוחד לאור הערכת כל הנוגעים בדבר לצורך בהגנת זכות היוצרים. והנקודה היא – אינטרס הציבור.

אין חולק כי זכות יוצרים הינה עילה הראוייה להגנה, ובלעדיה המארג החברתי-תרבותי שלנו ייפגע. ללא הגנת זכות יוצרים, תקום פגיעה במוטיבציה של היוצרים ליצור (אם כי קיים ויכוח תמידי בנושא עד כמה ההגנה החוקית היא המוטיבציה ליצירה).

אבל הויכוח המשפטי שהובלע בפסק דין זה, הינו האם ראוי בעת הגנה על זכות יוצרים (זכות מעין קניינית) לשקול אינטרס חיצוניים לסכסוך – אינטרס הציבור.

אני רציתי להציג את העמדה שאין זאת רק כי הדבר אפשרי, אלא אף ראוי.

אפילו דיני הקניין הרגילים (לאף אחד אסור לקחת את הארנק שלי או להעביר את דירתי על שמו ללא הסכמתי) אינם מתעלמים מאינטרסים של צדדים שלישיים (וראו לדוגמא את סעיף 14 לחוק המקרקעיון, הקובע כי "בעלות … במקרקעין, אין בה כשלעצמה כדי להצדיק עשיית דבר הגורם נזק או אי נוחות לאחר"). כלומר, עובדת קניינו ברכוש כלשהו מאפשרת לי לפעול בו כראות עיני, ובכל זאת, אסור לי לגרום לאדם אחר לאי  נוחות אפילו, רק עקב זכות הקניין שלי.

בדיני זכויות היוצרים, נקודה זו מודגשת מונים רבים. זכות היוצרים אינה זכות מונופוליסטית, אלא שהמחוקק קבע כמה וכמה חריגים לזכות זו (ראו פרק ד' לחוק זכות יוצרים, התשס"ח-2007), והמוכר ביניהם הוא השימוש ההוגן המופיע בסעיף 19 – יתכנו מקרים בהם שימוש שאני עושה ביצירתו של אחר, לא יחשבו כהפרה.

עדיין, נמצאים אנו במעגל הפנימי של האינטרסים, בין בעל זכות היוצרים לבין המפר לכאורה. ההחלה של זכויות הציבור בסכסוך שכזה, זכויות צד שלישי, הינן חריג נרחב יותר שעד היום הפסיקה עשתה בו שימוש מינורי בלבד (ואני מבקש להפנות אתכם לפסק הדין המהפכני שקיבלתי בבית המשפט המחוזי בתל אביב מפי כב' השופטת אגמון-גונן בפרשת הפרמייר ליג האנגלית נ' פלוני (PDF) עוד ב-2008. יש לשים לב שפסק הדין נהפך בערעור, אולם למקוריות וחדשנות פסק הדין המקורי מקום של כבוד בפנתאון הפסיקה הישראלי. קיראו למשל מעמ' 20 מהפרק "זכויות יוצרים וחברה דמוקרטית" בו מגיע בית המשפט למסקנה שיש לשקול גם את זכויות המשתמשים ביצירות, ואף את זכויות הציבור – קביעה שלא נהפכה בערעור, יש לציין).

איזון זה בין זכויות היוצר לזכויות הציבור הינו איזון שמפעם לפעם קיבל ביסוס בפסיקה או בספרות, ולשם הדוגמא בלבד ראו את הפרק "זכויות משתמשים" שכתבה פרופ' ניבה אלקין-קורן בספר "יוצרים זכויות", 2009, ואת המחלוקות המועלות שם בנושא זה.

ופסק הדין הזה מהווה דוגמא מצויינת למצב שנדמה לכולנו הגיוני וסביר, בו בית המשפט עושה שימוש באיזון אינטרסים בין הציבור לבין בעל הזכויות, ומגיע למסקנה שאי הגנה על יצירה נשוא זכות יוצרים היא הדרך פעול בה.

אמנם, ברור כי פסיקה כגון זו אינה צריכה להיות דרך המלך, וברור כי המקרים המתאימים למצב כזה הינם מקרי קצה קיצוניים. ובכל זאת, עינינו הרואות, זכות היוצרים אינה חזות הכל, וניתן ואפשר לשקול שיקולים שונים בגדרה, וביניהם לא רק כאלו הנוגעים למפר, אלא גם כאלו הנוגעים לאינטרס הציבור.

פוסט אורח על ה-GDPR

נכתב ע"י משרד עוה"ד הוגאן האמריקאי.

Considered the most important development in data privacy regulation in two decades, the General Data Protection Regulation or GPDR has taken effect on May 25, 2018. The regulation was up for debate for four years before it was approved in 2016, with the enforcement date set this year. This means that organizations who failed to comply within two years may face heavy fines.

What exactly is the GDPR?

The GDPR is a rule passed by the European Union that standardizes data protection laws across all 28 EU countries. It imposes stricter rules on controlling and processing personally identifiable information (PII) and extends the protection of EU residents’ personal data and data protection rights. Moreover, the implementation of these stricter rules can potentially address issues with invasion of privacy and identity theft. The GDPR replaces the 1995 EU Data Protection Directive.

The new rule sets a higher standard in obtaining personal data from the consumer. Usually, when a company acquires personal data from an EU consumer, it needs informed and clear consent from the user. Consumers must also be able to revoke that consent and request for the data the company has from them in order to authenticate the consent. GDPR has stricter and stronger rules for collecting and sharing data, which also means that they will be required to revise how ads are targeted online. In storing and processing data, GDPR may also require the use of encryption, data backups, passwords, and malware protection.

Moreover, the penalties set for violations are higher. The maximum fines for violations are currently set at 4% of the company’s global revenue or $20 million, whichever is higher. This will clearly motivate companies to comply and revise their policies on data collecting and sharing.

Why the need for the GDPR?

Consumers have taken advantage of the “free” services from Google, Facebook, and Twitter among others in exchange of giving away personal information such as email addresses, sexual orientation, and political leanings. However, users find it hard to understand what exactly they are consenting to give these tech companies when they agree on the confusing and elaborate terms and conditions. One perfect scenario that would justify the need for stricter regulations on consumer data collection is Facebook’s Cambridge Analytica scandal. Political data firm Cambridge Analytica allegedly acquired the data of 50 million Facebook users and sold the data to US politicians vying for election in 2016, in order to influence their votes.

In the US, a data privacy protection for sensitive patient data has been in place. It is called the Health Insurance Portability and Accountability Act or HIPAA. Similarly, the HIPAA Privacy Rule oversees accessing, saving, and sharing of medical and personal information of any individual.

How are the big tech companies doing?

Earlier this year, big tech companies have taken steps in compliance to the GDPR. Google, for example, has started letting users choose which data they want to share with Gmail and Google Docs, among its other products. Facebook has started complying, as well, by rolling out a single page called the global privacy center that would let users organize who sees their posts and what types of ads they see. Amazon also began enhancing their data encryption on its cloud storage and made their terms of agreement simpler.

What does it mean for the US consumer?

As the GDPR is a mandate given to countries of the European Union, it only applies to EU countries, technically speaking. However, with the global nature of the Internet, this means that every online channel and service is affected by the new rule; and therefore US consumers will be greatly affected as the big tech companies start to adapt.

מלחינים טובים לא מחקים, הם גונבים(*)

הפרת זכות יוצרים במוסיקה פופולארית

המוסיקה המערבית מבוססת על 12 תווים בלבד. באמצעותם ניתן ליצור רשימה למעשה אינסופית של יצירות מוסיקליות ושירים. לכן, די טבעי הדבר למצוא יותר ויותר מלחינים ה"מקבלים השראה" מיצירות שנוצרו בעבר.

פרשיית מכתב ההתראה לפני תביעה של Universal Studios כנגד נטע ברזילי, בטענה שהשיר Toy מפר את זכויות היוצרים של להקת  White Stripes בשיר "Seven Nations Army" גרמה לי לנסות ולחקור קצת יותר לעומק מקרים מעניינים דומים שקרו בתחום הפרת זכות יוצרים במוסיקה פופולארית ולראות מה ניתן ללמוד מהם.

 

Ice Ice Baby v Under Pressure

די ברור לשומע החופשי שהראפרVanilla Ice  דגם את השיר "תחת לחץ" של קווין ודיוויד בואי והשתמש בקטע מוגדר ממנו. להגנתו, הראפר עצמו הודה כי פעל כך, אלא טען שהוסיף "ביט" מסויים לקטע הנדגם וסבר שדי בכך.

תוצאת האיום בתביעה היתה הסכם פשרה מחוץ לכתלי בית המשפט, שחייבה את הראפר להוציא כספים לא מבוטלים מכיסו. הקשבה לקטעים הנטענים מלמדת על ההגיון שבדבר.

 

Two Live Crew v. Roy Orbison

שני שירי "Pretty woman" של שני היוצרים עוררו אף הם מהומה. אלא שהיצירה של הצוות החי, נועדה למעשה להיות טייק הומוריסטי על היצירה המקורית.אחרי מאבק משפטי ארוך ממנו התפרנסו עורכי דינם, קבע בית המשפט העליון האמריקאי שהיצירה מוגנת כפארודיה על היצירה המקורית ולכן מהווה שימוש הוגן.

 

The Verve v. The Rolling Stones

הלהיט "Bittersweet Symphony" של ה-Verve נטען כמפר זכויות של "The Last Time" של האבנים המתגלגלות. ההפרה התמקדה בסימפול של הגרסה הסימפונית של השיר של האבנים המתגלגלות. תחילה הושג הסכם תמלוגים בשווי 50%, אך בפועל נטען כי ההפרה היתה נרחבת מהמוסכם עד שלבסוף ויתרו ה-Verve על כל התמלוגים מהשיר ומיק ג'אגר וקית' ריצ'רדס קיבלו גם קרדיט מלא בשיר (ועיון בשיר ביוטיוב מגלה כי הזכויות בשיר מוחזקות גם בידי ABKCO – בעלת הזכויות בשירי האבנים).

כלומר, בפועל הפרת הזכויות שללה מהיוצרים את הזכויות הכלכליות ביחס ללהיט הכי גדול שלהם, ששימש גם כלהיט סינכרוני לפרסומת של NIKE מבלי שהם ראו תמלוג כלשהו ממנו וכשהשיר זכה בגראמי, מקבלי הפרס היו ג'אגר וריצ'רדס…

 

Blurred Lines…

יורשיו של מרווין גיי המנוח טענו להפרת זכויות בשיר המקורי שלו, "Got to give it up" (דרך אגב יוניברסל היו מבין הנתבעים כאן, סתם שנטע תדע…). נקבע, כי 2 מבין שלושת הנתבעים אכן הפרו זכויות ונקבע פיצוי של 7.3 מליון דולר ארה"ב (שהופחת אחר כך ל-5.3 מליון "בלבד בתוספת תמלוגים). חשוב לשים לב שבשיר הזה, הדמיון בין התווים עצמם לא היה דרמטי, אבל בית המשפט לקח בחשבון גם אלמנטים נוספים, דוגמת הבס, הדברור שברקע, הפעמון וכדומה.

זו אחת מההחלטות בהן "השראה" נקבעה כהפרת זכויות, ועל כך נכתבו דברים רבים.

 

Lana Del Rey v. Radiohead

לא רק רדיוהד שומעים את "Creep" בשיר "Get Free" של לנה דל ריי. אלא שבינתיים למרות הרבה כתבות עיתון ואינטרנט, עדיין לא הוגשה תביעה, ואי אפשר לדעת אם תוגש. המעניין בפרשה זו היא שכמו בעניין של נטע ברזילי ו-TOY היו מוזיקאים שראו בהתקדמות האקורדים כרכיב סטנדרטי במוסיקה פופולארית, ואולי מטעם זה טרם הוגשה התביעה.

 

נטע ברזילי נ' White stripes

אז מה ניתן ללמוד מהאמור מעלה למקרה של נטע ברזילי ו"צבא 7 האומות"?

דיני זכויות היוצרים מכירים ברכיב הנקרא "יצירות הכרחיות" (Scenes A Faire) כרכיב גנרי הקיים בכל תחום. כך לדוגמא: על אף שיצירותיו של טולקין ידועות בעולם, אין זה אומר שהוא היחיד שרשאי לכתוב סיפור על קורותיהם של בני מחצית, אורקים וגמדים תוקפניים. ביטוייה הייחודי של כל יצירה, בנבחן מאותן רכיבים גנריים של אותו ז'אנר, הוא זה אשר יקבע את שאלת הפרת זכות היוצרים ביצירה.

במקרה של נטע כבר הראו מוסיקאים שונים (וראו למשל כאן) שהרכיב שנטען להיות מועתק הינו למעשה רכיב שחוזר על עצמו ביצירות רבות (למשל החל בהמנון אוהדי הכדורגל האיטלקיים, עבור ב-Sweet Dreams של יוריתמיקס וכלה במוסיקה הקלאסית.

לכן, נדמה לי שהמטלה שמוטלת על נציגי יוניברסל תהיה לא פשוטה, ואם יורשה לי להמר – להערכתי העניין הזה לעולם לא יגיע לפסק דין, אפילו אם במקרה יגיע לבית משפט (דבר שכשלעצמו אינו בטוח).

בואו כולנו נקווה שאני צודק.

לעורכי דינה של נטע כדאי ללמוד מהסרטון הזה –

בהצלחה לנטע במלחמת הזכויות.

 

(*) כנראה שסטרווינסקי לא באמת אמר את המשפט הזה, אבל ראו מה טי. אס. אליוט אמר –

"Immature poets imitate; mature poets steal; bad poets deface what they take, and good poets make it into something better, or at least something different"

 

 

 

 

למה אני צריך מדיניות פרטיות לאתר/חשבון/אפליקציה/דף שלי?

מדיניות פרטיות – למה היא חשובה?

חוק הגנת הפרטיות והצורך במדיניות פרטיות

אחד היתרונות הגדולים בנוכחות אונליין היא היכולת הקלה לאסוף נתונים רבים ושונים על המבקרים באתר או בעמוד הנחיתה שלנו במספר רב של דרכים.

קוקיז, פיקסלים, ריטרגטינג, גוגל אנאליטיקס, טופס צור קשר, היסטורית קניות, פרטי חשבון ושיטות רבות נוספות – כולן משמשות אותנו לאסוף פרטים על המבקרים באתר על מנת לחזק את הפעילות העסקית שלנו ואת הקשר בינינו לבין המתעניינים בשירותים שלנו.

חוק הגנת הפרטיות, תשמ"א-1981, קובע (סעיף 2(1) ו-2(10) לו) מספר הוראות משמעותיות מבחינתנו. האחת היא שהפרת הפרטיות כוללת גם בילוש או התחקות אחר אדם שעלולה להטריד אותו וגם שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר שלא למטרה לשמה נאספה. אלא שהפרת הפרטיות מותרת בקבלת הסכמה, וזו מוגדרת כ"הסכמה מדעת, במפורש או מכללא" (סעיף 3 לחוק).

גם הנחיות הרשות להגנת הפרטיות ("רמו"ט" בשמה הקודם) הן מקור חשוב להבנה יותר מעמיקה על החובות המוטלות עלינו, אבל שילוב של כולם מחייב אותנו למסור בידי מי שנאסף אודותיו מידע –פירוט הוגן, נכון ומלא של עצם האיסוף, תוכן המידע הנאסף וכל השימושים שיבוצעו בו (נושא זה קיבל משנה תוקף בתקנות הגנת הפרטיות ואבטחת המידע האירופיות, ה-GDPR).

מדיניות הפרטיות באתר שלנו נועדה לענות לחובה זו ולמעשה לתת בידי הפרטים את כל המידע הנדרש בחוק ובהנחיות: איזה מידע אנחנו אוספים, כיצד אנחנו אוספים אותו, מה הפעולות שנבצע בו, למי נעביר אותו, כיצד ניתן לקבל מאיתנו פרטים, לתקן או למחוק את המידע וכדומה.

בלא מדיניות פרטיות המוצגת כנדרש, מתועדת ומוסכמת, נחשב כמפרים הפרטיות של גולשינו, משתמשינו והלקוחות שלנו ומכאן חשיבותה.

שימו לב שגם כאשר אנחנו מבקשים לשלוח למשתמשים מסרים פרסומיים ("ספאם חוקי"), ישנן דרישות חוקיות שצריך לעמוד בהן מכוח חוק התקשורת (בזק ושירותים), והמקום המתאים לכך הוא במדיניות הפרטיות ובעת מתן ההסכמה לה.

אחרון, שימוש לב שאם המידע הנאסף מתייחס גם לאנשים הנמצאים באירופה, חלות עליכם גם הוראות ה-GDPR ולא רק הוראות החוק הישראלי, אולם בעניין זה לא נעסוק כעת. אתם מוזמנים לקרוא על ה-GDPR כאן.

 

פלטפורמות רבות מחייבות מדיניות פרטיות נכונה

ישנן פלטפורמות שונות המחייבות במקרים מסויימים הצגת מדיניות פרטיות מלאה והעדרה, גופים כמו פייסבוק, גוגל, אפל ואחרים עלולים לגרום לתקלות לא מועטות ואפילו להרחקת הפרסום, אפליקציה או קישור שלכם מהפלטפורמה.

נסיוננו מלמד שגופים כמו פייסבוק ממש נכנסים לקישורים בפרסומות שלכם ובודקים את קיומה של מדיניות הפרטיות. אמנם, בדיקת תוכנה של המדיניות אינו מקיף וניתן להתגבר על תקלה זו במדיניות שאינה מורכבת, אך העדרה של מדיניות – עלולה לפגוע בכם, עד כדי סגירת החשבון שלכם (ודברים דומים קורים גם בחנות האפליקציות של אפל או בפרסום בגוגל).

תארו לעצמכם שקיבלתם תשלום וניהלתם משא פרסום מקוון עבור לקוח, שפתאום גילה שחשבונו נסגר והוא הורחק מהפלטפורמה… לא תמיד קל להסביר מצב זה ללקוח, לא?

 

אז אקח מדיניות פרטיות מאתר דומה

זו התשובה שאני מקבל בדרך כלל מאלו שאינם מעוניינים להכנס להשקעה כספית משמעותית בהגנה על עצמם (ואריאציה של ה"יהיה בסדר").

הפגם הראשון במחשבה זו הוא שככל שמדובר במדיניות פרטיות שנועדה להגן על האתר, הרי היא נתפרה לצרכיו ולדרכי פעילותו. מספיקים שינויים מועטים בין אופן פעילות האתרים, שהמדיניות המועתקת פשוט לא תגן עליכם.

כלומר, הפלטפורמות יניחו לכם לעבוד, אולם ברגע שתגיע תביעה או דרישת תשלום – קיים סיכון שהמדיניות שהעתקתם לא תתייחס כנדרש למצב שנוצר ולא תגן עליכם.

במצב כזה, גם דרישות החוק לגבי קביעת מטרה נכונה, פירוט אופן האיסוף והשימוש במידע ודרישות רבות אחרות, לא תקויימנה במלואן, ולמעשה תמצאו מפרים את פרטיות נשואי המידע במאגר שלכם באופן המקנה לכל אחד מהם עילת תביעה כנגדכם אם יגלה זאת.

בעיה נוספת בפתרון זה הוא שמדיניות פרטיות הינה "יצירה" כהגדרת חוק זכות יוצרים, התשס"ח-2007. ככזו – העתקתה מהווה הפרת זכות יוצרים, ובעל זכות היוצרים במדיניות שהעתקתם עשוי לתבוע אתכם לפיצוי סטטוטורי (קבוע כ"עד 100,000 ש"ח). מזכיר לכם, שבדרך כלל בעל זכות היוצרים במדיניות יהיה עו"ד המתמחה בתחום הקניין הרוחני. לא יריב שכדאי להתמודד מולו בתיק הפרת זכות יוצרים…

 

תשומת הלב מוגברת לשאלות הפרטיות שלנו

דברי החקיקה המודרניים בארץ ובעולם, כמו גם הפסיקה, מעניקים יותר ויותר משקל משמעותי לשאלות כאובות של הפרת פרטיותנו. פיצויים סטטוטוריים הקבועים בחוק, קנסות עתק הקבועם ב-GDPR האירופי, הנחיות ספציפיות של הרשות להגנת הפרטיות (שמצהירה שעם חלוף תקופת החסד אכיפת הפרטיות תלך ותתגבר וממש בימים אלו עומדת על שולחן הכנסת הצעת חוק לתיקון מס' 13 בחוק הגנת הפרטיות (PDF) שמטרתה להעניק בידי הרשות כלים חזקים יותר לאכיפת ההגנה על פרטיותנו.

אני מקווה שכעת ברורה לכם יותר המשמעות של מדיניות הפרטיות שלכם, ומדוע כדאי להכינה בצורה יסודית ונכונה.

 

מה העסק שלי צריך לעשות לפי ה-GDPR כשמתרחשת פרצת אבטחה?

במדריך הזה נפזר מעט את הערפל ביחס לשאלות שונות המתייחסות לפעילות עקב פרצות אבטחת מידע (Data Breach) בהתאם ל-GDPR.

 

מה זו פרצת אבטחת מידע?

נתחיל בהתחלה. העוסקים בתחום אבטחת המידע יודעים כבר תקופה די ממושכת שפרצת אבטחת מידע אינה חייבת לכלול פריצה אקטיבית. למעשה פרצת אבטחה היא כל אלמנט שיש בו כדי לגרום לחשש ביחס להגנה על המידע. המדובר בתקלה כזו או אחרת המאפשרת לגורם חיצוני נגישות בצורה כלשהי למידע שהוא לא אמור או אינו רשאי לגשת אליו.

חשוב להיות מודעים למגוון הגדול של פרצות אבטחת מידע שעלולות לקרות, ולהתייחס לכולן. פרצות יכולות להיות מסוגים שונים, דוגמת – משלוח מייל בשגגה לנמען לא מתוכנן, נקיטת פעולה לא מאושרת או מתוכננת על ידי מעבד המידע, מתן גישה למי שאינו מוסמך לקבלה, איבוד מכשיר (סלולארי או מחשב נייד) המאפשר גישה למידע, שינוי המידע בידי עובד שאינו מוסמך לכך, מחיקת שדות לא מתוכננת וכדומה.

 

על אילו פרצות אבטחה חובה עלי לדווח

נקודת המוצא של תקנות הגנת מידע ופרטיות באירופה היא שלא כל פרצה חבה בדיווח.

סעיף 33 ל-GDPR קובע שפרצת אבטחת מידע למאגר המכיל מידע אישי חייבת בדיווח לרשות המפקחת הרלוונטית לאותו תאגיד, אלא אם לא סביר להניח שהפרצה תתבטא בנזק לזכויות וחירויות נשואי המידע.

סעיף 34 קובע שפרצת אבטחת מידע למאגר המכיל מידע אישי חייבת בדיווח גם לנשואי המידע עצמם, לציבור, אם סביר להניח שהפרצה תתבטא בנזק חמור לזכויות וחירויות נשואי המידע.

מכאן אנו למדים שפרצות אבטחה למידע שאינו מידע אישי, או פרצות שהנזק שיגרם מהן בחומרתו או בהיקפו לא יהיו משמעותיים, ככל הנראה אינן חייבות בדיווח כלל ועיקר.

הדיווח לרשויות האירופיות גם לא יהיה רלוונטי אם אין במאגר המידע אנשים הנמצאים באירופה. אולם יתכן מאוד שמדינות אחרות – כמו מדינת ישראל – מטילות חובות מקבילות שיש לבדוק אותן ולעמוד בהן ביחס לכל מדינה רלוונטית.

כל עסק שבדק ומצא כי הוא כפוף ל-GDPR יוודא מראש מה היא הרשות המפקחת המתייחסת לעסקיו, יכין נוהל איתור פרצות אבטחה, נוהל טיפול בפרצות אבטחה וכמובן נוהל דיווח פרצות אבטחה לרשות או לציבור.

הגדרת "נזק לזכויות וחירויות האנשים" הינו מונח המוסבר במסמכים אירופיים קודמים, בעיקר כאלמנט שניתן להבינו תוך הפעלת שיקול דעת סביר, אך ללא הגדרה מדוייקת ברגולציה.

 

כמה מהר עלי לדווח על פרצת אבטחה?

בניגוד לדין הישראלי או לדין האירופי הקודם, ה-GDPR מטילה חובת דיווח על פרצת אאבטחה הנכללת בגדר הסעיפים, "ללא עיכוב לא ראוי, וככל האפשר לא יאוחר מ-72 שעות מהמועד בו הבחנתם בארוע".

זהו גבול זמן קצר מאוד, ולמעשה חובה לבצע בו דיווח גם אם לא פענחתם את מלוא השפעות וסיבות פרצת האבטחה (אלא שבדיווח חלקי זה, חשוב לציין את חלקיותו ולהשלים אותו בהקדם האפשרי).

שימו לב ששעון זמן מתחיל "לתקתק", לא ממועד ארוע האבטחה, אלא מהמועד בו הוא הפך להיות ידוע.

 

מה צריך לפרט בהודעה לרשויות האירופיות?

אז גיליתם שהיתה פריצה למאגר שלכם, ואתם יודעים שקיים בו מידע אישי המתייחס לתושבים אירופיים, ובגם ברור לכם שהנזק יכול להיות לא מבוטל כך שנדרש לדווח לרשויות האירופיות (או לפרטים שהמידע מתייחס אליהם). אבל מה מדווחים?

הודעת הדיווח צריך שתסביר ותפרט –

  • את אופי הפרצה שנתגלתה, מי היה מעורב בה (ככל והדבר ידוע), איזה סוגי מידע נפרצו, מה כמויות השדות והמידע שנחשפו ומידע רלוונטי דומה.
  • מה הם פרטי הקשר של קצין הגנת הפרטיות או המנהל האחראי על כך והנציג האירופי של הארגון.
  • מה הן התוצאות הצפויות לאור הפרצה המתוארת.
  • מה הם הצעדים שננקטו ואשר יוסיפו להנקט במטרה לצמצם ולמזער את הנזק שעשוי להגרם לפרטים בעקבות פרצת האבטחה וכן מניע של התרחשות חוזרת של אותה פרצה.

עוד שימו לב, שאם הצלחתם להפעיל אמצעי הגנה ראויים (טכנולוגיים וארגוניים) שגרמו לחכך שהמידע הנחשף לא יהיה ניתן להבנה על ידי מי שאינו מורשה לו (למשל באמצעות הצפנה חזקה או הפרדה חדה בין מאגרי מידע שונים באופן שלא מאפשר שילוב שלהם להחרפת הנזק) – חובת הדיווח לציבור, מתבטלת ביחס לאותה פרצה רלוונטית.

חריגים אחרים הם למשל כאלו שההודעה בעקבותיהם תצריך מאמצים והשקעות לא פרופורציונאליות, ואז מוטלת חובה למצוא אמצעי דיווח חלופי.

 

ואם אני מעבד מידע (Processor) ולא האחראי לו?

חובת הדיווח ב-GDPR לרשויות או לפרטים מוטלת על בעל המאגר, ה-Data Controller.

גם אם אתם "רק" מעבדי מידע (Data Processor) גם אז אתם חבים בחובת דיווח, אלא שזו מופנית רק לבעל מאגר המידע, ללא חובה לדווח לרשויות ולפרטים.

 

אחרי הטיפול בפרצה – תיעוד

אבקש להזכיר, שנוסף על חובת הטיפול בפרצה והדיווח, מוטלת עליכם גם חובת תיעוד שוטף של כל הפרצות, העובדות הרלוונטיות והצעדים שננקטו בבעקבותיהן.

 

איך הדיווח מתרחש בפועל

רשויות הגנת המידע והפרטיות השונות מתייחסות למצבים כגון אלו באתרים שלהן, כך שמומלץ שתכירו את העמוד הרלוונטי באתר של הרשות שרלוונטית אליכם.

לדוגמא, אצל הרשות האנגלית, ICO, תוכלו למצוא את העניין באתר שלה כאן – https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach /

אצל הרשות הצרפתית, CNIL, תוכלו למצוא פרטים כאן – https://www.cnil.fr/fr/notifications-dincidents-de-securite-aux-autorites-de-regulation-comment-sorganiser-et-qui-sadresser

מקווה שעזרתי מעט לפזר את הערפל. אם תרצו לקרוא עוד בנושא ה-GDPR אתם מוזמנים לקרוא כאן, או ליצור עמנו קשר במשרד, ב-03-6133333.

האם ה-GDPR מחייבת קבלת הסכמה מחודשת בשיווק ישיר?

"האם אני חייב לקבל הסכמה מחדש לכל כתובות המיילים שאספתי לפי ה-GDPR?"

נדמה שלא היתה שאלה שנשאלה אצלי במשרד בשנה האחרונה יותר משאלה זו. אנסה להשיב. ונתחיל בהתחלה.

רסיטל (מבוא) 171 ל-GDPR קובע –

"… it is not necessary for the data subject to give his or her consent again if the manner in which the consent                has been given is in line with the conditions of this Regulation."

ובעברית – אם פעלתם לפי ה-GDPR לפני שהיא נכנסה לתוקף, אינכם צריכים לבקש הסכמה שוב אחרי שהיא נכנסה לתוקף… הממממ… אתם מכירים מישהו שעשה כך?

אבל נבדוק את ה-GDPR. תחילה חשוב להבהיר שהרגולציה האירופית אינה מתייחסת כלל למשלוח דואר שיווקי או לדיוור ישיר. אלא שעיסוקה היחיד הוא באיסוף המידע, ניתוחו והשימוש בו.

כיוון שכך, שימוש במידע לשם שיווק מחייב בראש וראשונה קביעת מטרה מוגדרת ומציאת הביסוס החוקי לה.

שיווק ישיר, הינו אחת מהמטרות שה-GDPR מכירה שכמטרה שיש לה בסיס חוקי, והבסיס הוא: איזון האינטרסים בין אינטרס השולט במידע לאינטרס נשוא המידע. מטבע הדברים, כשנסתמך על בסיס חוקי שכזה, האיזון חייב לקחת בחשבון בצורה משמעותית את אינטרס הפרטים, ולכן היקף המידע הנאסף ומידת רגישותו חייב שיהיו מינימליים ככל האפשר, בנסיבות.

לדוגמא, ככל שנאסוף רק שם ופרטי קשר – דומה שהסיכון לפרטיות נשוא המידע הינו מינימלי, ולכן באיזון – לא תהיה בעיה לשלוח שיווק ישיר על בסיס אינטרס לגיטימי זה. מאידך, אם נוסף על פרטי הקשר נאסוף היסטורית רכישות אונליין והיסטורית גלישה באתרים שונים ונפעיל לשם כך "קוקיות", הרי רגישות המידע והסיכון לפרטיות יגדלו, עד שיהיו מקרים שבהם יהיה ברור שחל איסור על איסוף המידע ושימוש בו.

השאלה היכן היא נקודת האמצע היא שאלה פתוחה, שעד שלב זה טרם נענתה, וחובה לקחת זאת בחשבון על בסיס ניתוח מקצועי מעמיק של ה-GDPR ודיני הגנת הפרטיות האירופיים.

מרגע שמצאנו בסיס חוקי לגיטימי ופעלנו לפיו, אין חובה לקבל הסכמה, וניתן להחליפה בשיקול דעת מתועד ומלא של הבסיס החוקי והאיזון שהושג (ותועד) במסגרתו.

 

ה-e-Privacy Directive והשפעתה:

בנוסף ל-GDPR הרי ששיווק ישיר באירופה כפוף ל-e-Privacy Directive (הדירקטיבה לפרטיות ולתקשורת אלקטרונית), וו מקבילה בתפקידה ל"חוק הספאם" הישראלי. חובה לעמוד גם בכללים שנקבעו שם בעת משלוח מסרים שיווקיים.

בתמצות המתעלם מיוצאי דופן, הדירקטיבה יוצרת מנגנון של אישור משלוח מסרים פרסומיים על בסיס opt-out במקרים מסויימים ו-opt-in במקרים אחרים (לצערי ה"אופט-אין" מחוייב כשמדובר במשלוח דוא"ל והודעות טקסט, סמס). לכן חשוב לבדוק את פעולת השיווק הישיר אותה אתם מבצעים ולראות איזה מבין המנגנונים חל עליה.

יש לשים לב שהדירקטיבה עוברת בעצם ימים אלו (יוני 2018) רפורמה, ובעתיד תחליף אותה רגולציה תואמת. הציפיה היתה לפרסומה בחודש מאי 2018, אולם הדבר בינתיים עוד לא בוצע. כאשר תפורסם הרגולציה, יהיה משמעות הדבר תחולה ישירה וגורפת הרבה יותר של חקיקה במדינות ספציפיות באירופה ועם השפעה נרחבת הרבה יותר, בדומה ל-GDPR).

 

בסופו של יום, מסקנות:

  1. חלקים מאמצעי השיווק הישיר באירופה (דוגמת דברי דואר רגילים) הם במודל של opt-out ואינם מחייבים הסכמה.
  2. חלקים אחרים, כבר כיום מחייבים opt-in (כלומר הסכמה), והעניין יוסדר כנראה בצורה מחוזקת יותר בקרוב.
  3. כך או אחרת, איסוף המידע והשימוש בו כפופים ל-GDPR ולכן צריך: 1. הסכמה למטרות השיווק והליך האיסוף, בהתאם לדרישות הרגולציה האירופית, או 2. מציאת בסיס חוקי מתאים כמו אינטרס לגיטימי (המחייב איזון אינטרסים זהיר מאוד בין העסק לין נשואי המידע).

מקווה שבכך הבהרתי קצת יותר את התמונה.

 

מדריך: המסמכים הנדרשים לפי ה-GDPR ותקנות הגנת הפרטיות (אבטחת מידע)

רגולצית הגנת הפרטיות האירופיות (ה-GDPR) ותקנות הגנת הפרטיות (אבטחת מידע) הישראליות מחייבות הכנת מספר לא מבוטל של מסמכים ותיעוד נרחב.

במאמר זה ננסה לגעת בחלקם ולהסביר אותם, על מנת שייקל עליכם לבצע את הנדרש מכם.

טרם אתחיל, חשוב להסביר כי התאמה לתקנות הישראליות והאירופיות כאחד, היא תהליך מורכב ומלא בפרטים.

האמור מטה אלא הוא רקע כללי שבהכרח אינו יכול למצות את כל ההוראות הקבועות בדברי החקיקה השונים ואינו מחליף עצה מקצועית. כך למשל, לעיתים באותו סעיף חוברו להם שני מסמכים שונים, שהנושא המחבר ביניהם דומה, פשו בשל נוחות הכתיבה. לכן, אין להסתמך עליו לפתרון בעיה ספציפית, אלא לקרוא אותו כמבוא כללי שבהכרח חסר פירוט ולאחר מכן להתייעץ עם בעל מקצוע אודות מצבכם שלכם.

  1. הודעת פרטיות תואמת (סעיפים 12, 13, 14 ל-GDPR) וכן נוסח הסכמה מסודר ותואם (סעיפים 6, 7, ו-9 ל-GDPR)

המדובר למעשה בהודעה המופיעה על גבי עמוד אישור מדיניות הפרטיות, שלפי הרגולציה האירופית צריכה לפרט מידע רב אודות המידע הנמסר, מה מטרת המסירה, למי הוא נמסר, למי יועבר, מה השימושים שייעשו בו, מתי ימחק, הודעה על זכויות הפרט במידע (לרבות הזכות להתלונן) וכדומה.

הודעה זו הינה השלב המקדמי של מדיניות הפרטיות, שבשלב מתקדם יותר הופכת להיות המדיניות המפורטת עצמה.

לאחר מכן, עליכם לוודא שגם נוסח ההסכמה עצמה עונה לדרישות הרגולציה. לדוגמא – שהוא ברור וקריא, נפרד מהטקסט המקיף אותו, בולט, חד משמעי, לא מותנה בדבר, לא מסומן מראש וכדומה דרישות הרגולציה.

יש לשים לב במיוחד להסכמה הנוגעת לילדים (בני 16 ומטה או 13 ומטה) ולהסדיר את הסכמת האפוטרופוס שלהם.

בישראל אמנם אין חובה חוקית ישירה כזו, אך לאור ניסוח החוק והנחיות הרשות להגנת הפרטיות, מומלץ מאוד לאמץ זאת גם בארץ, אם כי יתכן שניתן לצמצם מעט.

  1. מדיניות פרטיות מפורטת ומותאמת (סעיפים 12, 13, 14 ו-24 ל-GDPR).

לאור כמות המיילים הבלתי נגמרת שאנחנו מקבלים על תיקוני מדיניות פרטיות של אתרים אליהם אנחנו רשומים, נדמה שהצורך במסמך זה ברור לכולם. עם זאת, צריך להסביר, שלא מדובר באיזה מסמך גנרי שניתן להכין ולכסות את העסק, אלא שמדיניות זו צריכה להיות מוכנה לאחר שהעסק הפנים את הדרישות של חקיקת הגנת הפרטיות ויישם אותן לתוך המודל המסחרי שלו.

ללא התאמתם של הנהלים עצמם, מדיניות כזו לא תוכל לסייע. לכן למשל הפנינו בסעיף 24 לרגולציה האירופית שאמנם אינו קובע חובה ליצור מדיניות כאמור, אך קובע את אחריות האחראי למידע לעמידה בתקנות.

בישראל אמנם אין חובה חוקית ישירה כזו, אך לאור ניסוח החוק והנחיות הרשות להגנת הפרטיות, מומלץ מאוד לאמץ זאת גם בארץ שכן דרישת ה"הסכמה מדעת" בחוק הגנת הפרטיות לא תתמלא אם לא היתה שקיפות, ניתן המידע הנדרש, הוגדרו המטרות והשימושים ונעשה שימוש לפיהם.

עוד חשוב להדגיש, שנדרשת גם התייחסות ספציפית, במרבית המקרים במסמך נפרד, לקוקיות (Cookies) הנאספות על ידיכם או על ידי שירותים המגולמים באתר שלכם, וכן התייחסות לכל אמצעי הניטור והטרגוט מחדש ("ריטרגטינג") בהם אתם עושים שימוש.

  1. הסכמי ספקי שירות תואמים (סעיפים 28, 32 ו-82 ל-GDPR ותקנה 15 לתקנות הגנת הפרטיות הישראליות)

יש לבדוק את כל ההסכמים עם כל אותם גופים הנוגעים, נחשפים או מבצעים פעולה כלשהי במידע שלכם (אמאזון AWS, פייסבוק, גוגל, חוות השרתים שלכם, נותני שירותי פרסום כמו משרד הפרסום הדיגיטלי שלכם וכדומה). בפועל, כל עסק יהיה אחראי לכל הנעשה במידע שאסף – גם אם לא הוא ביצע את הפעולה. לכן, חשוב להסדיר זאת במערך ההסכמים ביניכם, מראש.

יש להסדיר את החובות של הצדדים ותחומי אחריותם בהסכמים, יש להפנות לחובות הספציפיות שקבועות ברגולציה האירופית ובתקנות הישראליות ולוודא עמידה בהן וכמובן יש לקבוע נהלי ביקורת ופיקוח ולעמוד בהם.

המלצה דומה קיימת גם בארץ, על אף שקיימים הבדלים מסויימים בין הישראלית לאירופית.

  1. נהלי פרטיות לעובדיכם (סעיפים 12, 13, 14 ל-GDPR)

עליכם להסביר לעובדיכם מה נהלי הגנת הפרטיות שיש לאמץ בעת עבודתם בחברה, על החשיבות בשמירה על אבטחת מידע ופרטיות וכדומה. שימו לב שמדובר בעובדים ישראליים. ככל שמדובר בעובדים הנמצאים באירופה עליכם להתייחס אליהם כפי שאתם מתייחסים למידע אודות לקוחות הנמצאים שם.

  1. נוהל, תגובה ותיעוד פרצות אבטחת מידע (סעיפים 33 ו-34 ל-GDPR וסעיף 11 לתקנות הישראליות)

יש להסדיר כיצד אתם בודקים באופן שוטף את חשיפת המידע שלכם לפרצות אבטחת מידע (פאסיביות או אקטיביות), מה הנוהל לפעולה במקרה של פרצת אבטחת מידע, כיצד ולמי מדווחים עליה (חובה הקיימת גם בארץ וגם באירופה). כמו כן כדאי להכין נוסח דיווח לרשויות או לפרטים, על מנת שבשעת הצורך הכל יהיה מוכן ומסודר ולא ייעשה במהירות וללא בקרה ומחשבה.

בישראל קיימת חובה דומה, אם כי שונה טכנית במאפייניה.

  1. מסמך הגדרות המאגר (סעיף 30 ל-GDPR ותקנה 2 לתקנות הגנת הפרטיות הישראליות)

אמנם מסמך דומה אינו נדרש לכאורה לפי תקנות הגנת הפרטיות האירופיות, אולם גם שם נדרש, למשל, תיעוד פעולות העיבוד ובכלל – התיעוד הנדרש באירופה כולל חלקים מהותיים מהפרטים הנדרשים בתקנות הישראליות (בין אם כתיעוד ובין אם כהודעה לפרטים).

נקודות המוצא בארץ ובאירופה שונות מעט, שכן בארץ הדגש הוא על אבטחת מידע והרכיבים התומכים בה, בעוד שבאירופה הדגש הוא על הגנת הפרטיות במידע (שאבטחת מידע היא אך חלק ממנו).

  1. קביעת נוהל אבטחת המידע במאגר (תקנה 4 לתקנות אבטחת המידע הישראליות)

גם כאן, לא נדרש מסמך דומה במדוייק לאירופי, אולם המסמך הנדון כולל רכיבים שונים מהחובות המוטלות על "שליטים במידע" באירופה שחייבים אף הם לקבל החלטות ביחס לשאלות אבטחת המידע ולתעד את השיקולים והמסקנות.

  1. מדיניות שמירת ומחיקת מידע (סעיפים דוגמת 5, 13, 17 ו-30 ל-GDPR)

מסמך שאינו ארוך, אבל אחרי שתחליטו איזה מידע נאסף ולאילו מטרות, עליכם להחליט גם מתי כל רכיב מידע ימחק, וכמובן – להודיע זאת לנשואי המידע, המשתמשים שלכם למשל.

  1. הערכת השפעת הסיכונים על הגנת הפרטיות, DPIA (סעיף 35 ל-GDPR וסעיפים 5 ו-16 לתקנות אבטחת המידע הישראליות)

יש לבצע סקירה כאמור ולתעד את תוצאותיה.

חשוב לשים לב שלוחות הזמנים לביצוע בישראל ובאירופה שונים. בארץ, מדובר על חובת ביצוע תקופתית, בעוד שבאירופה – הביצוע נדרש בכל עת בה מתקיים שינוי במאגר המחייב את ביצוע הבדיקה.

גם במסמכים דוגמת אלו, בעוד שהמסמך הישראלי מתמקד בעיקר בשאלות של אבטחת מידע טכנולוגית הרי שהמסמך האירופי מתמקד בעיקר במידע עצמו ובאופן עיבודו העלול לגרום לסיכוני פרטיות ולכן תוכן המסמכים בארץ ובאירופה יהיה שונה.

  1. רישום מעודכן של הרשאות הגישה למאגר (תקנה 8 לתקנות אבטחת המידע הישראליות)

דומה שהסיבה שב-GDPR אלי נדרש במפורש מסמך שכזה, הינה פשוט בגלל נקודת המבט "במעוף הציפור" של תקנות הגנת הפרטיות ואבטחת המידע האירופיות מול הישראליות (כשהאחרונות ממש פורטות את הדרישות מאוספי ומנהלי המידע בעוד הראשונות קובעות את העיקרון ומצפות מהעסקים לממש אותו כנדרש).

לכן, גם ללא חובה אירופית חד משמעית בנושא זה, המדובר במסמך שראוי שינוהל תחת שני דברי החקיקה.

  1. תיעוד נתוני האבטחה (תקנות 17 ו-19 לתקנות הגנת הפרטיות הישראליות וסעיף 5 ל-GDPR)

כל אותם נתונים הנצברים במסגרת הפעלת התקנות – יש לשמור תיעוד שלהם. למעשה, תיעוד כאמור נדרש גם מכוח עקרון האחריות (Accountability) לפי ה-GDPR.

 

מקווה שהמפורט מעלה יעזור לכם ויקל עליכם עמידה בתקנות, הישראליות והאירופיות.

 

גם פייסבוק וגם האדמין אחראים במשותף להגנת הפרטיות במידע על משתמשים בדף

פסק דין אירופי קובע שתי הלכות חשובות בהגנת הפרטיות והגנת המידע האישי של אנשים:

האחת – חובתו ואחריותו של אדמין בדף פייסבוק להגנת הפרטיות ואבטחת מידע באשר לנתוני משתמשי העמוד.

השניה – כפיפותם של גופים כמו פייסבוק וגוגל לרשויות הגנת הפרטיות השונות באירופה.

פסק הדין מתייחס ל-Facebook Insights. באינסייטס המידע נאסף באמצעות קוקיות/קוקיז הפעילות כשנתיים ומכילות קוד מזהה ספציפי. המידע הזה מתעדכן כאשר המשתמש מגיע וצופה בדף הרלוונטי, והמעקב אחר המשתמש מתבצע תחת אותו קוד, על מנת לאפשר משלוח פרסומות מחודש, סוג של Retargeting.

לא פייסבוק ולא האדמין של הדף הודיעו למשתמשים על הקוקיות הללו, ואחת מרשויות הגנת הפרטיות הגרמניות הורתה על סגירת הדף לאור יישום הדירקטיבה האירופית להגנת הפרטיות.

האדמין חלק על קביעה זו ופנה לבית המשפט המדינתי שם. הוא טען, שאין לייחס לו את עיבוד המידע ע"י פייסבוק והאחריות לכך היא של פייסבוק בלבד.

ביה"מ הגרמני פנה לבית הדין לצדק של האיחוד האירופי וביקש הנחיה.

היום (5.6.2018) ניתן פסק דין שקבע, כי פייסבוק (האמריקאית והאירית) נחשבת כ"קונטרולרית" של המידע (Data Controller) המתייחס למשתמשים המבקרים בדף, מכיוון שהיא זו שקובעת מה מטרות השימוש במידע וכיצד יעובד.

עם זאת, נפסק גם שהאדמין נחשב כ"קונטרולר משותף", מכיוון שגם הוא בעל יכולת קביעה אודות מטרות השימוש במידע ואמצעי ומטרות עיבוד המידע.

האדמיניסטראטור של דף (Fan Page) עושה שימוש בפלטפורמה של פייסבוק ביחס לעיבוד מידע אישי על משתמשים אירופיים במטרה להרוויח מהשימוש במידע ואינו יכול להתחמק מנטילת האחריות על השימוש שלו במידע.

בנוסף לכך עסקה ההחלטה גם בהכפפת פייסבוק אירלנד לרשות הגנת הפרטיות הגרמנית (ה-Unabhangiges Landeszentrum fur Datenschutz Schleswig-Holstein). בנסיבות: כשלקבוצת חברות בינלאומית שבסיסה מחוץ לגרמניה, אבל לה מוסדות במספר מדינות חברות באיחוד האירופי (ה-EU) רשאית הרשות המפקחת בכל אחת מאותן מדינות להפעיל את כוחותיה מכוח הדירקטיבה ביחס למוסד באותה מדינה של קבוצת החברות.

זאת – שימו לב פייסבוק וגוגל ישראל – גם אם התאגיד הספציפי באותה מדינה אחראי למכירת שטחי פרסום וכן פעולות שיווק בלבד. במיוחד כאשר אחריות פייסבוק אירלנד מתייחסת לכל תחום האיחוד האירופי, ורשויות הגנת הפרטיות הגרמניות רוכשות סמכות על כך.

פסק הדין נוגע במערך הכוחות ההדדי בין רשויות אכיפת הגנת הפרטיות ואבטחת המידע, והתוצאה היא חשובה ביותר גם לענייננו. כל רשות הגנת פרטיות מקומית שכזו יכולה לאכוף את הדירקטיבה (ואף את ה-GDPR) ביחס לתאגיד שחלקו ממוקם בשטחה, מבלי להזקק להפעלת הסמכות של רשות הגנת הפרטיות במדינות הנוספות.

 

חשוב לזכור שפסק הדין ניתן על בסיס הדירקטיבה הקודמת (95/46), ולא על בסיס ה-GDPR. מצד שני, דומה שהלכות אלו חלות במשנה תוקף תחת ה-GDPR.

להודעת הפרסום (Press Release) על פסק הדין, ראו – https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081en.pdf