privacy data

מדריך לשיתוף מידע אישי בין גופים עסקיים

בפניכם מדריך בסיסי להגנת הפרטיות בעת שיתוף מידע פרטי בין גופים עסקיים

כולנו מחזיקים אצלנו בעסק מידע, פעמים רבות מידע פרטי (שחוק הגנת הפרטיות וגם ה-GDPR מגינים עליו). אוסיף ואנחש שכולנו גם משתפים אותו (כולו או חלקו) עם אחרים בדרך כזו או אחרת על מנת להשיג מטרות עסקיות חשובות.

לדוגמה, אם רכשתי חולצה באתר אינטרנט מאתר שימסור לי את החולצה באמצעות חברת שליחויות, ככל שהמידע עלי ועל כתובתי לא ימסר לחברת השליחויות, לא יוכל האתר לבצע את חובתו כלפי.

כך גם בנק שמפעיל חברת לאיתור תרמיות בכרטיסי אשראי, מטבע הדברים יאלץ להעביר לה מידע על מנת שתוכל לקיים את תפקידה.

כמובן גם כשתמסרו את פרטי לקוחותיכם למשרדי הפרסום שלכם על מנת לקדם את המכירות של העסק שלכם, גם זו היא מסירת פרטים לאחר ושיתוף מידע.

כעורך דין שעוסק בדיני הגנת הפרטיות אני מגלה פעם אחר פעם, שעסקים לא באמת עוצרים לחשוב איזה מידע מגיע לידיהם, מדוע הוא מגיע לידיהם, מה הם עושים איתו וכיצד הם משתפים אותו עם אחרים ועם מי.

במצב דברים כזה, עסקים רבים מפרים את דיני הגנת הפרטיות וחושפים את עצמם לתביעות (וגם לאכיפה כואבת, במיוחד ככל שמדובר ב-GDPR, רגולציית הגנת המידע באירופה).

מטרת מאמר זה היא לקרוא לכם לעצור, לחשוב ורק אז לפעול. האמור כאן אינו ממצה אלא מדריך מכוון בלבד. ככל שתחליטו לפעול לפיו, אנא אל תסתמכו עליו כעל ייעוץ משפטי, אלא גשו לעורך דין מומחה בתחומי הגנת הפרטיות שינחה אתכם כיצד לפעול וילווה אתכם.

למה צריך לשים לב כשאוספים מידע אישי

מטבע הדברים השיקול הראשון ברשימה הארוכה הוא כיצד המידע מגיע לידיעתנו ומהיכן הוא נאסף. אין איסוף מידע שנמסר בהסכמה מנשוא המידע שווה ערך מבחינה חוקית והחובות המוטלות עליכם, לעומת מידע שנאסף על ידיכם ממקורות גלויים (או, חס וחלילה, חסויים) מבלי שנשוא המידע יודע על כך.

כל שיטת איסוף צריך ותכתיב לכם סטנדרטים אחרים. עם זאת, ההמלצה העיקרית היא לא לאסוף מידע שאין סיבה לגיטימית (וחוקית) לאיסופו.

זיהוי מטרת המידע

כאמור, החוק מחייב אותנו (בארץ ובאירופה) לא לאסוף מידע מבלי שתהיה באיסוף מטרה לגיטימית שהמידע ידרש לצורך קיומה.

לדוגמה, כשאותו יצרן ממנו הזמנתי חולצה מבקש לדעת את שמי ואת מידת החולצה שלי, זה הוא מידע רלוונטי למטרת קיום ההסכם בינינו. כשאותו יצרן גם מבקש שאמסור לו את פרטי כרטיס האשראי שלי (לו או לחברת הסליקה מטעמו), גם מידע זה נדרש מטבע הדברים לאותה מטרה.

אבל אם אותו יצרן מבקש גם לדעת מה שמם של ילדי ומתי תאריך יום ההולדת שלהם – האם למידע מתבקש זה יש מטרה (לגיטימית)? לא בהכרח.

התאמת היקף המידע למטרה

מטבע הדברים מידע שנאסף לשם מטרה פחות "מבוססת" בהסכם או בדין, צריך שיהיה בהיקף או ברגישות נמוכים יותר מאשר מידע שנמצא בלב מטרת ההתקשרות.

כך למשל, בקשת פרטי הקשר שלי יכולה להיות למטרה לגיטימית לשיווק העסק, אולם היקפו של המידע הנמסר לצרכי מטרה זו, ראוי שיהיה קטן יותר לעומת מטרת ביצוע ההתקשרות איתי.

ההחלטה לשתף במידע

בראש וראשונה כשהמידע מועבר או נחשף בפני אחרים, עלינו להיות מודעים לכך. לאחר מכן, עלינו לקבל החלטה מיודעת – האם השגת המטרה מחייבת את חשיפת המידע, או שמא ניתן להשיגה בצורה אחרת, מבלי לחשוף אותו?

אם החלטנו שאנחנו נדרשים לחשוף אותו, האם אנחנו חושפים אותו בפני הצד הנכון? האם אפשר לחשוף אותו בפני פחות צדדים?

בחינת מקבל המידע

חובה משמעותי שקמה גם לפי הדין הישראלי (והנחיות הרשות להגנת הפרטיות) וגם לפי הדין האירופי, היא חובה המוטלת עלינו לבצע בדיקה (בהיקף כזה או אחר, ניתן להתווכח) בדבר אופי מקבל המידע ועמידתו בדרישות הגנת הפרטיות המוטלות עליו וגם עלינו.

אם למשל חובה לשמור את המידע הפרטי בסוד, האם מקבל המידע כפוף גם הוא לחובה זו והאם הוא ישמור עליה? אם מוטלות עלינו חובות מסויימות, האם שימוש במקבל המידע יאפשר לעסק שלנו לעמוד בהן?

קבלת פרטים אודות הטכנולוגיות לאבטחת מידע בהן נוקט מי שנעביר לידיו את המידע, היא צעד חשוב בבדיקה אותה עלינו לבצע.

חיוב מקבל המידע

אחרי שהגענו למסקנה כי זו הדרך בה עלינו להתקדם, חשוב ליצור הסכם מחייב בין העסק שלכם לבין מקבל המידע, כשבהסכם יפורטו כל החובות (של מקבל המידע) והזכויות (שלכם ושל נשואי המידע).

למשל, אם פנה אליכם נשוא מידע וביקש למחוק את המידע. האם מקבל המידע יהיה מחוייב לעשות זאת גם כן? אם לא – האחריות עלולה ליפול עליכם.

למשל, אם מדובר במידע סודי ואתם התחייבתם לשמור אותו בסודיות, האם על מקבל המידע חלים אותם כללים שיחייבו גם אותו לשמור את המידע בסודיות?

על כן, המלצה חמה היא ליצור "הסכם שיתוף במידע" (Data Sharing/Processing Agreement) שיחתם כהסכם עצמאי או בפרק מהסכם ההתקשרות הכללי שלכם עם מקבל המידע.

הסכם כזה צריך לעסוק בנושאים רבים דוגמת: הצדדים המדוייקים להסכם, מטרתו, האם המידע נחשף בפני אחרים שלא חתמו עליו, איזה מידע נחשף ומה המטרה והבסיס לחשיפה, האם נחשף מידע רגיש במיוחד, מה זכויות נשואי המידע וכיצד הצדדים להסכם יקיימו אותן, מה הסטנדרטים המקצועיים והטכנולוגיים שעל מקבל המידע להפעיל (למשל האם די להסתפק בקבוע בתקנות הגנת הפרטיות (אבטחת מידע) הישראליות או שמא עליו ליישם גם סטנדרטים אירופיים של Security?) וכדומה.

איזה מידע משותף עם אחרים

פעמים רבות, מחשבה על אופי ותוכן המידע שמשותף עם אחרים עשוייה לחסוך לכם (וללקוחותיכם) כאבי ראש רבים.

אם למשל, לשם ביצוע תפקידו של הגורם החיצוני, ניתן למסור בידיו מידע אגרגטיבי, סטטיסטי או כל מידע אחר שממנו לא ניתן לזהות אנשים כמו מידע שעבר הצפנה או אנונימיזציה משמעותית), יתכן שנגלה שדיני הגנת הפרטיות כלל לא חלים על מסירה כזו והכללים המנחים אותנו יהיו פשוטים בצורה דרמטית.

 

לסיום, אני רוצה להפנות אתכם לקוד לשיתוף מידע שפורסם על ידי רשות הגנת הפרטיות האנגלית (ה-ICO). אמנם, במועד כתיבת מאמר זה בריטניה אינה חלק מהאיחוד האירופי, אולם בפרקטיקה רשות הגנת הפרטיות שם נחשבת כאחת מהרשויות היעילות והתוקפניות, כך שחשוב להבין את גישתם, וללמוד ממנה.

זה הוא קוד מפורט, ברור ומקיף. קריאתו תעניק לכם הבנה כללית של תחומי הגנת מידע פרטי והעקרונות החלים עליה, כמו גם כללים שכדאי שתאמצו כדי להרחיק את סכנת התביעות מהעסק שלכם.

אמנם הדין הישראלי אינו מפורט ומלא כמו הדין הזר, אולם הנטיה כיום היא להתקרב ככל האפשר לדין האירופי (מסיבות שאין צורך להרחיב בהן כעת), ולכן מומלץ גם לכם להכירו ולפעול כמיטב יכולתכם לפיו או בכיוון אותו הוא מתווה.

ככל שתזקקו לכך, נשמח לסייע לכם בתהליך ואתם מוזמנים לצור קשר.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-26.12.2022.