GDPR COMPLIANCE

עקרונות איסוף מידע לפי ה-GDPR

הרגולציה האירופית להגנת מידע ופרטיות מגדירה מספר עקרונות שחשוב להכיר. במסגרת התאמת העסק שלכם לרגולציה כדאי שתתחילו לנהוג לפיהם ובמאמר זה אנסה לכוון אתכם. קיראו ולימדו.

עם זאת, זה מדריך להשכלה כללית בלבד ואין להשתמש בו כתחליף לייעוץ משפטי בכל מקרה ספציפי.

המלצה בסיסית – גם אם ה-GDPR לא חלה עליכם (בדקתם כבר?), מומלץ להכיר עקרונות אלו ולנסות להתאים את הליך איסוף המידע על ידיכם אליהם. אין ספק שגם ללא תחולה ישירה של הרגולציה, זה יהיה הכיוון אליו יתקדם העולם העסקי והמשפטי בתקופה הקרובה בתחומי הגנת מידע ופרטיות.

עקרון ההגינות – Fairness (סעיף 5.1(a) ל-GDPR)

ההגינות לפי הרגולציה האירופית שולבה בחוקיות האיסוף והעיבוד. הכוונה היא ליצור איזון (עדין אך הכרחי) בין הבסיס החוקי המתיר את האיסוף והעיבוד לבין זכויות הפרט העלולות להפגע והקטנת הפגיעה בהן. עליכם יהיה למצוא היכן עובר הגבול, עד כמה מותר לאסוף, לעבד ולהשתמש במידע אישי והיכן כדאי לעצור.

עקרון החוקיות – Lawfullness (סעיף 6 ל-GDPR)

משמעות העקרון הזה עולה די בבירור מתוך שמו, והיא – יש לדאוג שאיסוף המידע יהיה חוקי ותואם לחוק. יש לשים לב שהרגוצליה האירופית מפנה לדין האירופי שהוא הבסיס החוקי לאמור בה. עם זאת, גם אם אינכם כפופים לרגולציה, יהיה חשוב שתתאימו את האיסוף שלכם לחוק (וכברירת מחדל גם החוק הישראלי הוא התחלה טובה, ככל שהרגולציה לא חלה).

דוגמא טובה לתקלה נפוצה שמתרחשת בארץ היא רכישת רשימות תפוצה למשלוח מסרים פרסומיים, כשבפועל – המדובר בפעולה שאינה עולה בקנה אחד עם החוק אלא עלולה לסבך אתכם.

מעבר לחוקיות האיסוף על ידיכם, חשוב שתשימו לב שכל עובד או צד שלישי שנחשף למידע או מקבל אותו, יפעל גם הוא בהתאם לחוק. אחת מהחובות המוטלות ברגולציה האירופית היא בחינה ותיעוד של ציות שותפיכם העסקיים לרגולציה.

אם עקרון זה מופר, למשל, מעבר לקנסות הגדולים שהרשויות האירופיות יכולות להטיל על הארגון, קמה לפרט גם הזכות לדרוש את הגבלת העיבוד של המידע או מחיקתו (וראו לדוגמא סעיף 18.1(b) לרגולציה).

עקרון השקיפות – Transparency (סעיפים 12-14 ל-GDPR)

על העסק שלכם להיות "שקוף" וברור ככל האפשר בהסברת אופן פעילותו למשתמשים – איזה מידע אתם אוספים אודותיהם? מה מטרת איסוף המידע? כיצד (ואיפה) מתבצע העיבוד? מי הם הצדדים הנוספים הנחשפים למידע האישי? וכדומה.

עקרון הגבלת המטרה – Purpose Limitation (סעיף 5.1(b) ל-GDPR)

משאספתם את המידע יש לעבד אותו ולעשות בו שימוש רק לצרכי המטרה לשמו נאסף ובעקבותיה ניתנה ההסכמה.

אם לדוגמא אספתי מידע אודות לקוחותי במסגרת השירותים אותם אני מספק, אין לשלוח להם פרסומות בנושאי מוצרים אחרים שאולי יעניינו אותם או למכור את אותם נתונים לאחרים.

עקרון הקטנת המידע – Data Minimisation (סעיף 5.1(c) ל-GDPR)

עקרון זה מזכיר במידה רבה את העקרון הקודם, ועיקרו – אל תאספו יותר מידע מהמינימום הנדרש לכם לצורך ביצוע המטרה המוצהרת. אם למשל יש לי חנות מקוונת לממכר מוצרים, ולוח הזמין מוצר בחנות, אין סיבה שאני אאסוף גם את מועד יום ההולדת שלו.

עקרון הדיוק – Accuracy (סעיף 5.1(d) ל-GDPR)

אם כבר אספתם מידע אישי, כדין יש לקוות, הרי מוטלת עליכם חובה לוודא שהמידע שבידיכם שלם, מלא, מדוייק ועדכני. חובה עליכם ליצור מנגנונים לתיקונו, אם יש צורך בכך. ככל שתעשו שימוש במידע אישי שאינו עדכני, תפגעו בזכויות הפרטים (אך גם תגרמו לכך שהשימוש שלכם במידע יהיה פחות יעיל).

אם עקרון זה מופר, למשל, מעבר לקנסות הגדולים שהרשויות האירופיות יכולות להטיל על הארגון, קמה לפרט גם הזכות לדרוש את הגבלת העיבוד של המידע או מחיקתו (וראו לדוגמא סעיף 18.1.(a) לרגולציה).

עקרון הגבלת האחסון – Storage Limitation (סעיף 5.1(e) ל-GDPR)

כל עוד יש לכם צורך במידע לשם ביצוע המטרה החוקית לשמה הוא נאסף, תוכלו להמשיך ולעשות כן. אולם, משפקע הצורך ואין עוד צורך במידע – חובה עליכם למחוק אותו או להשמידו לגמרי.

אכן, ישנם מקרים בהם קיימת זכות לשמירה מסויימת של חלקים מהמידע לתקופה ארוכה יותר (אם למשל הדין האירופי מחייב אתכם לכך, אם קיימת עליכם חובה המקימה לכם אינטרס לגיטימי (כמו למשל חובת שמירת מידע לצרכי דיווח לרשויות המס)), אולם חריגים אלו הם מוגבלים בהיקפם ויש להזהר בכך.

עקרון כיבוד הזכויות והסודיות – Integrity and Confidentiality  (סעיף 5.1(f) ל-GDPR)

ובעברית – אבטחת מידע. כפי ששמתם לב בוודאי (ואם לא – כדאי), ה-GDPR היא רגולצית "הגנת" מידע ולא "אבטחת" מידע. האבטחה היא רכיב אחד מתוך מכלול הצורך להגן על המידע האישי שלנו. חובה עליכם לנקוט בכל אמצעי אבטחת המידע הסבירים. אין חובה להשתמש באמצעים החדשניים או היקרים ביותר, אבל יש גם יש צורך שלא לפגר מאחור אלא לעשות שימוש באמצעים סבירים טכנולוגית וכלכלית.

מעבר לאמצעים הטכנולוגיים, הרגולציה מזכירה לנו שקיימים אמצעים ארגוניים ומשפטיים שחובה להשתמש גם בהם. למשל: הסכמים נכונים מול עובדיכם וספקי השירות שלכם, בדיקות קפדניות על אופן פעולתם של שותפיכם, הכנת והפצת מדיניות הגנת מידע מסודרת, הבטחת קריאתה על ידי כל העובדים ויצירת הדרכות ועדכונים שנתיים בנושא. כל אלו ואחרים מהווים גם הם אמצעי "אבטחת מידע" שהרגולציה מקדמת ומחייבת.

עקרון האחריות – Accountability  (סעיף 5.1(g) ל-GDPR)

אחרון, אך לא פחות חשוב, הוא עקרון הנשיאה באחריות. חובה עליכם, כמי שאוספים מידע על אחרים, לעמוד בדרישות הרגולציה ולדאוג ששותפיכם ועובדיכם יעמדו זה. אם לא די בכך, חובתכם היא גם להיות יכולים לתעד ולהציג בצורה מסודרת בכל עת, את הציות שלכם ושל שותפיכם העסקיים לרגולציה.

כלומר, האם נקטתם בכל אמצעי ההגנה הנדרשים? האם ביצעתם בדיקות סיכונים מקדימות (DPIA)? האם ביצעתם סקר זרמי מידע (Data Flow Survey) ואפיינתם את מאגר המידע שלכם? האם בדקתם אילו סוגי מידע אתם מעבדים והאם אתם עומדים בדרישות הרגולציה? האם וידאתם שהגוף שמנתח עבורכם את הנתונים עומד גם הוא ברגולציה? ועוד ועוד שאלות רבות.

ולבסוף – התיעוד. בדקתם ולא תיעדתם, כאילו לא עשיתם. אל תשכחו. מטרתכם להיות יכולים להוכיח את הענותכם לרגולציה.

לאור הנחיות הרשויות המפקחות השונות באירופה, נראה כי גופים שיעמדו באופן עקרוני בעקרונות אלו, ויוכיחו ציות לרגולציה (ולו ציות חלקי), לא ישאו בסיכונים ובקנסות הגבוהים הקיימים ברגולציה. אלו, יישמרו לגופים שיתעלמו מהרגולציה ולא יפעלו בהתאם לה.

בהצלחה!

 

אם תרצו לקרוא עוד בנושא אתם מוזמנים להתחיל כאן, בסקירה הכללית שלי על הרגולציה האירופית, ולהמשיך משם.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-26.12.2022.