10 המלצות ועוד אחת – כיצד יש להגיב כשקיבלת דרישת גישה למידע (SAR) (חלק 2)

מדריך לפניות נשואי מידע לפי ה-GDPR, חלק שני

זה הוא מדריך קצר וראשוני לטיפול בפניות משתמשים לפי ה-GDPR לקבלת גישה למידע – DSAR. זה הוא מדריך כללי, הוא אינו ממצה וחשוב שלא להסתמך עליו במקרה של פניה ספציפית. ובכל זאת, אני שמח להציג מספר דרכים להתמודד עם מצב כזה, וזה החלק השני של המדריך. חלקו הראשון נמצא כאן.

במקרה בו קיבלתם פניה כזו אתם מוזמנים לפנות אלי או לכל עורך דין מומחה אחר, ולטפל בעניין באופן מדוייק. אחרת, הסיכון לא מבוטל.

חשוב להדגיש שזה הוא מדריך קצר וראשוני, מדריך כללי. הוא אינו ממצה וחשוב שלא להסתמך עליו במקרה של פניה ספציפית אלא לפנות לייעוץ ספציפי שיבדוק את הנסיבות והפנייה. אם תרצו, אנחנו יכולים לסייע לכם. אנא התקשרו – 03-6133333 ודברו איתי.

המלצה שישית: איזה מידע אתם רשאים שלא לגלות?.

ה-GDPR מגדירה, כי מדינות חברות רשאיות להגביל בתחומים מסויימים את החובה למסור מידע כאמור. ההגבלות יכול ויתייחסו למידע הקשור בבטחון לאומי, בטחון הציבור, מניעת פשעים, מטרות ציבוריות חשובות אחרות, מטרות הכרוכות במערכת המשפט, מטרות הקשורות באתיקה של מקצועות מסויימים וכדומה.

יתרה מזאת, פעמים המידע המבוקש עשוי כלל לא להחשב כמידע אישי או מידע שאינו נופל בגדר ה-GDPR (למשל מידע שהוא בשימוש לצרכי משק בית בלבד, חריג שאינו רלוונטי לעסקים כמובן).

באנגליה למשל (שכיום כבר אינה נמנית על הגוש האירופי אך רשות הגנת הפרטיות שלה (ה-ICO) נחשבת כאחת מהמובילות בתחום) קובע ה-Data Protection Act (DPA) חריגים, וביניהם חריגים רלוונטיים לתחום המסחרי. כך למשל מדובר במידע שאין חובה למסרו, אם הוא מתייחס ליחסי עובד-מעביד, למשא ומתן מסחרי, למידע אישי על צד שלישי וכדומה. עם זאת, צריך לבדוק את ניסוח החקיקה המקומית ביחס לכל מקרה לגופו.

במועד כתיבת טקסט זה, ה-ICO עוד לא הוציא הנחיות לשאלת ההחרגות מהחובה למסירת מידע לנשואי המידע. יתכן שבמועד קריאתו על ידיכם כבר יהיו הנחיות שכאלו.

המלצה שביעית: הבינו מתי עליכם למסור תשובה

חובה עליכם להגיב לכל פנית DSAR ללא כל עיכוב שאינו ראוי (without undue delay), ולא יאוחר מחודש ימים.

כלומר, עניין לנו בשתי מגבלות. האחת – "ללא עיכוב" והשניה – "ולא יותר מחודש ימים".

כל עיכוב בתשובה, גם אם לא חלף חודש, מחייב מתן הסבר לנשוא המידע מה מקור אותו עיכוב.

ספירת חודש ימים משמעה שלא תמיד מדובר ב-30 ימים. הניסוח מתייחס לתקופה של "חודש". ספירת הימים מתחילה ביום שלאחר קבלת הפניה, ומסתיימת ביום לפני אותו תאריך בחודש העוקב. שימו לב ש"ימי עבודה" אינם שיקול בקביעת המועד למתן התגובה.

אמנם, קיימים מקרים חריגים בהם ניתן ליטול ארכות, אך מומלץ שלא להמצא לשם.

בתגובה שתמסר ללקוח, ראוי להסביר את הסיבה לעיכוב, ככל והתגובה לא נמסרה במהירות רבה.

המלצה שמינית: כיצד יש למסור את המידע ללקוח?

הדרך המומלצת ביותר לפי ה-GDPR היא פשוט יצירת ממשק משתמש באתר או באפליקציה שמאפשר למשתמש גישה ישירה לאותו מידע.

מסירת המידע עצמו אינה מותנה בדרך ספציפית (אם כי יש העדפה לאמצעים אלקטרוניים, שמאפשרים העתקה ושימוש בקלות). ככל שמסירת המידע מבוצעת באמצעים אלקטרוניים או דיגיטליים, אין חובת פורמט כזה או אחרת אולם קיימת חובה שהפורמט אותו תבחרו יהיה קריא, ורצוי שיהיה מבין הנפוצים בתחום.

כמו כן כדאי ליצור פורמט קבוע וידוע, שיקל עליכם למסור את המידע בכל בקשה רלוונטית.

 המלצה תשיעית: פורמט הודעת מסירת המידע

סעיף 15 לרגולצית הפרטיות האירופית מגדיר את פירוט המידע וההודעות שצריכות להכלל בתשובה שנמסרת ללקוח. אל תשכחו אותו.

וודאו שכל רכיבי סעיף 15 נכללים בהודעת מסירת המידע ללקוח.

המלצה עשירית: אל תגבו עמלות ועלויות

הרגולציה האירופית קובעת כי לא ניתן לחייב את מבקשי המידע באגרות או עלויות אחרות בגין הפקתו.

המקרה היחיד בו אתם רשאים לגבות תשלום (וגם אז, מועט ככל הניתן ורק כנגד עלויות בפועל) הוא כאשר הבקשה חסרת בסיס לחלוטין או excessive, כלומר מרחיבה מדי.

המלצה אחרונה : שימרו תיעוד מלא וקל לאחזור

חלק מחובותיכם תחת ה-GDPR היא חובת התיעוד המוטלת עליכם. חובה זו חלה לא רק בעניין זה אלא ככלל, במסגרת חובותיכם על פי ה-GDPR.

לכן, אנא תעדו בצורה מלאה, ברורה ומקובלת (וניתנת להוכחה בהמשך) הן את הפניה, הן את הפעולות שננקטו לשם הענות לה והן את התשובה שנמסרה למשתמש.

אם תרצו לקרוא עוד על הגנת הפרטיות בארץ וה-GDPR באירופה, ליחצו על הקישור.