מה משמעות תקנות הגנת הפרטיות החדשות ביחס לעסק שלכם?

יורם ליכטנשטיין עורך דין 14.05.2023 עודכן ב-07.09.2023

הקדמה – התאמת דיני הגנת הפרטיות הישראלים למידע אירופי

כולנו מכירים את היחס המאוד מעמיק ומרחיב של דיני הגנת הפרטיות האירופיים (ה-GDPR, רגולציית הגנת הפרטיות האירופית) ביחס למידע אישי שמתייחס לאנשים ("נשואי המידע") במיוחד לאור הדין הישראלי שלא תוקן שנים ארוכות.

על מנת לשמור על מעמדה של ישראל כמדינה שעסקים בה נהנים מהקלות שונות ביחס למידע אישי שמגיע מאירופה או מתייחס לאנשים שבאירופה, ב-3.5.23 חוקקה ישראל תקנות הגנת פרטיות חדשות שמאמצות רכיבים שונים מה-GDPR שעדיין לא אומצו לדין הישראלי הכללי. התקנות מחילות רכיבים (וחובות) אלו על מידע אישי שמתייחס לאנשים שנמצאים באירופה.

חשוב שתכירו כדי שלא תפגעו.

נתחיל בהתחלה. מועד קו פרשת המים הוא 7.8.2023. כלומר, החל מאותו מועד יתכן שיש בידיכם מידע שיש ליישם עליו את החובות שקבועות בתקנות (ראו הרחבה למטה).

שימו לב שמידע אישי שמגיע מאירופה יכול להתבטא בצורות רבות ושונות (כולל כאלו שאולי לא תחשבו עליהן). אם למשל השרתים שלכם ממוקמים פיזית במדינה מהאיחוד האירופי או אם אתם מקבלי מידע מ"קוקיות" על משתמשי האתר האירופיים שלכם, הרי המידע – מגיע מאירופה.

"אירופה" לצורך התקנות כוללת את החברות האיחוד האירופי, איסלנד, נורבגיה ו(כן כן!)-ליכטנשטיין.

התקנות קובעות מספר חובות שחשוב שתכירו, ואשר עד היום עדיין אינן מצויות בדין הישראלי ה"רגיל". שימו לב שזו סקירה כללית וראשונית והיא אינה ממצה. יש להתייעץ עם עורך דין מומחה על מנת להבין כיצד ליישם אותן בעסק שלכם:

1)     חובת מחיקת המידע:

החובה הראשונה היא למחוק כל מידע שמחיקתו התבקשה מאחד הטעמים הקבועים בתקנות (למשל הוא נוצר או נאסף בניגוד לדין או שאינו נחוץ עוד למטרה לשמה נאסף).

התקנות מאפשרות גם לסרב לבקשת מחיקה מכח אחד הטעמים המפורטים בהן (למשל זכות הציבור לדעת, חובה חוקית, הגנה על עניין ציבורי, מחקר מדעי, ניהול הליך משפטי, מניעת הונאה או גניבה וכדומה).

אם התקבלה בקשה כאמור ולא חל חריג, מוטלת עליכם חובה למחוק את המידע או "להתמים" אותו ולהודיע לנשוא המידע מהר ככל האפשר על החלטתכם.

2)     חובת צמצום מידע אישי שאינו נחוץ:

ה-GDPR מחייב עסקים להפעיל מנגנונים שונים (לא רק טכנולוגיים) כדי לאתר מידע שאינו נדרש עוד לצורך המטרות לשמן נאסף, ולמחוק אותו בהקדם. לדוגמה, אם המידע נאסף לצורך אספקת חולצה אדומה, והחולצה נמסרה – אין צורך לשמור את המידע ויש למחוק אותו (כמובן שככל שחלק מהמידע נשמר למטרה משפטית נוספת, כמו ניהול הליכים או עמידה בדרישות חוקי המס, ניתן לשמור את המידע, אך רק את זה הנדרש לצורך אותן מטרות בלבד).

כך גם התקנות מחייבות אתכם להפעיל מנגנונים (ארגוניים, טכנולוגיים או אחרים) לאיתור מידע שהחזקתו בידיכם אינה נחוצה עוד למטרה לשמה נאסף וכמובן את החובה למחוק מידע כזה שאותר על ידיכם.

אפשרות לחרוג מהחובה הזו תהיה למשל "התממה" של המידע כך שלא ניתן עוד לזהות את נשוא המידע מהמידע שמוחזק בידיכם, זכות הציבור לדעת, הגנה על עניין ציבורי, מחקר מדעי, ניהול הליך משפטי, מניעת הונאה או גניבה וכדומה).

3)     חובת דיוק המידע:

עוד מוטלת עליכם החובה להפעיל מנגנוני ביקורת ומעקב אחר שלמות ועדכנות המידע שבידיכם. ככל שאיתרתם מידע שאינו שלם כאמור, חובה עליכם לתקנו או למחוק אותו.

4)     חובת היידוע על האיסוף:

אם קיבלתם מידע על אדם, עליכם להודיע לו (בעצמכם או באמצעות מי שהעביר לכם את המידע) על זהות בעל המאגר, פרטיו ופרטי הקשר איתו, מטרות העברת המידע, סוג המידע שמועבר והזכויות (מחיקה, עיון ותיקון).

אם אתם צריכים להעביר את המידע שקיבלתם לאחרים, עליכם גם להודיע לאגם את אותם פרטים שלמעה, ככל שהם מתייחסים להעברה שתרצו לבצע.

גם כאן ישנם חריגים בהם לא צריך להודיע, למשל כאשר יש יסוד סביר להניח שהפרטים כבר ידועים לנשוא המידע (למשל אם מי שאסף את המידע הודיע לו עליכם כנדרש. שווה לבדוק מולו), אם השגת פרטי ההתקשרות תיצור הכבדה בלתי סבירה, אם יש חובה רלוונטית בחוק שמונעת דיווח כזה (סודיות או אי גילוי), אם יש בכך כדי לפגוע במקור עיתונאי או באדם עצמו, וכדומה.

התקנות גם קובעות תאריכי כניסה לתוקף שחשוב שנכיר:

  • אם מדובר במידע שהגיע לידיכם לפני ה-7.8.2023, התקנות יכנסו לתוקף רק ב-7.5.2024.
  • אם מדובר במידע חדש, שמגיע לידיכם אחרי 7.8.2023, הרי התקנות יתחילו לחול באותו מועד (מיד).

המסקנה העיקרית היא שחשוב שהמערכת שלכם תדע להתמודד עם החובות האלו לא יאוחר מתחיל אוגוסט 2023.

סוף דבר ומסקנות:

התקנות האלו הן עוד שלב בנסיונו להתאים את דיני הגנת הפרטיות הישראליים למקובל בעולם. המטרה כרגע היא למנוע פגיעה מסחרית מול הרשויות באירופה, אלא שנראה שזה רק צעד אחד מתהליך הולך ומתקדם של הרחבת הגנת הפרטיות.

חשוב שתכירו את החובות האלו ותפעלו על פיהן, אבל אולי כדאי כבר עכשיו לתאם שיחת הבנה וייעוץ ולראות כיצד ניתן להתאים את המידע שנאסף בעסק שלכם להרחבת דיני הגנת הפרטיות. במקום ליצור 'טלאי על טלאי' מוטב יהיה שתהיו מאורגנים מלכתחילה, בפעם אחת, ולא תאלצו להוציא עוד ועוד כספים על התאמות לדין ככל שהזמן יחלוף.

אם תרצו, אתם מוזמנים ליצור איתי קשר ואשמח לסייע.

 

 

 

חשוב: שימו לב!
טקסט זה נכתב במאי 2023 ונבדק לאחרונה בספטמבר 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.