זכויות נשואי המידע ברגולציה האירופית GDPR

כולנו שמענו על הרגולציה האירופית החדשה להגנת מידע ולפרטיות, ה-GDPR (מי שלא שמע, שיתבייש ויגש לקרוא כאן  https://www.y-law.co.il/privacy-protection-gdpr.html ).

במאמר זה אציע לכם פתרון להתייחסות שלכם לזכויות הפרט בשליטה על המידע האישי שלו שנמצא בידי אחרים (אתם).

הרגולציה האירופית מטילה חובות ומטלות משמעותיות על מעבדי מידע ושולטי מידע (Controllers and Processoers) הכפופים לה ומעניקה בידי הפרטים (האירופים, כרגע) את השליטה במידע. כלומר, מידע אישי שנמצא בידיכם, אינו "שלכם".

בהתאם, חברות המחזיקות, אוספות, מעבדות או מניבות יתרונות אחרים ממידע אודות תושבי אירופה או שיש להם חברה הממוקמת באירופה, חייבות להתאים את עצמן ל-GDPR. לכן, בין יתר חובותיהן תהיה החובה לאפשר את הזכויות המפורטות ברגולציה, לפרטים שהמידע האישי במאגר מתייחס אליהם.

חשוב לשים לב שמאמר זה הינו חלקי, מקוצר ואינו ממצה. כך גם ישנם תמיד חריגים, תנאים והגבלות שלא ניתן להתייחס לכולן בהיקף מאמר כזה. על כן, אנא בידקו את עצמכם והעזרו בשירותיו של עורך דין להתאים את העסק שלכם לציות ועמידה בתקנות האירופיות. אין להסתמך על המאמר כתחליף לייעוץ משפטי אלא להשכלה כללית בלבד.

רשימת זכויות הפרט ב-GDPR, הרגולציה האירופית

בקצרה, הזכויות הן:

1. הזכות לשקיפות באיסוף המידע.
2. הזכות לתיקון והשלמת מידע שאינו מלא או נכון.
3. הזכות למחיקת מידע ("הזכות להשכח").
4. הזכות להגבלת עיבוד המידע האישי.
5. זכות לניוד המידע.
6. זכות להתנגד לעיבוד המידע
7. זכות למניעת קבלת החלטות אוטומטיות ללא התערבות אדם.

נבחן בקצרה כל אחת מהן:

כללי

לכל עסק הכפוף ל-GDPR חשוב להגדיר מראש מנגנוני ביקורת וטיפול בפניות שכאלו, שכן מוטלת על העסק חובה להגיב בתוך 30 ימים (או פחות) ולבצע את המבוקש. לחילופין – להסביר במשך הזמן האמור מדוע נדרש זמן נוסף לעיבוד הפניה או מדוע הפניה נדחתה.

קיימת אפשרות להשיג במקרים חריגים ארכה של חודשיים נוספים.

עוד יש להדגיש, כי ברגיל אין לחייב תשלום בגין ביצוע הבקשות המצויות ברגולציה (למעט חריגים).

זכות השקיפות – Data Subject's Right to be Informed

זכות זו כוללת בחובה את זכותו של הפרט לקבל הודעה המפרטת בצורה מסודרת פרטים רבים המתייחסים למידע האישי אודותיו ולאיסופו. לדוגמא (חלקית בלבד): מה זהות אוסף המידע ופרטי קשר, זהות קצין הגנת המידע והפרטיות בארגון ופרטי הקשר שלו, מטרות איסוף המידע והעיבוד, מה הבסיס החוקי לעיבוד, מי עשוי להחשף או לקבל עותק מהמידע הנאסף, אילו העברות מידע מבוצעות למדינות צד שלישי שאינן באיחוד האירופי, מה תקופת אחסון המידע אצל העסק, רשימת זכויות הפרט ויכולתו לעמוד על סעד משפטי אצל הרשות המפקחת ועוד.

חובה זו מקבלת משנה תוקף כאשר המידע מתייחס לילדים (מתחת לגיל 16, 13 או כל גיל אחר שמדינה ספציפית קבעה).

זכות הגישה – Data Subject's Right of Access

זכות זו נחלקת לשניים. האחת – הזכות לדעת האם נאסף אודותי מידע בידי גוף מסויים. השניה – הזכות לקבל גישה לאותו מידע.

אדם זכאי לפנות לכל מחזיק במידע ולדרוש פירוט האם אותו מחזיק אוחז בידיו מידע אישי המתייחס לפונה. המחזיק במידע ומשתמש בו חייב להיות ברור בתשובתו, מלא ומדוייק ולא להסתיר פרטים. על התשובה להיות קריאה וברורה.

מעבר לכך, ככל שאכן נאסף מידע כאמור, זכאי הפרט לקבל גישה לאותו מידע כפי שנמצא בידי העסק אשר אוסף את המידע.

המלצת האיחוד האירופי והרגולציה היא לאפשר גישה כזו באמצעות ממשק המשולב בתוך הגדרות החשבון של כל משתמש, או בכל שיטה נוחה אחרת. זכות זו לבדה עניינה עיון במידע ולא שינוי או התערבות בו. יתר הזכויות מרחיבות אותה..

זכות התיקון – Data Subject Right to Rectification

ככל שפרט מגלה כי המידע האישי אודותיו הינו חסר, חלקי או לא נכון, הוא רשאי לדרוש תיקון מיידי של המידע, ועל העסק לכבד בקשה זו מיידית.

הזכות למחוק את המידע, "הזכות להשכח" – Data Subject's "right to be Forgetten"

אנשים זכאים לפנות למי שאוסף אודותיהם מידע אישי ולדרוש מחיקה של המידע. קיימים מספר תנאים לקיומה של זכות זו, וישנם אף מספר חריגים בהם אין צורך להעתר לה, אולם ככלל – זכות חדשה זו מקבלת ביסוס ומשנה תוקף ברגולציה האירופית.

הזכות להגבלת העיבוד – Data Subject Right to Restriction of Processing

יתכנו מצבים שונים בהם הפרט אמנם ירצה שלא יבוצע עיבוד במידע שלו אצל אחרים, אולם עדיין ירצה שהמידע ישמר ולא ימחק (לדוגמא אם המידע נדרש לצורך הליך משפטי). זכות זו מקנה לפרט את יכולתו לבקש פעולה כזו, ובעל העסק חייב להעתר לה (בכפוף לתנאיה ברגולציה).

ככל שהתקבלה בקשה כזו, חובה לסמן את המידע במערכת ולמנוע את המשך עיבודו.

הזכות להתנגדות לעיבוד- Data Subject Right to Object to Processing

זכות זו של הפרט הינה זכות מוגבלת בהיקפה, ויש להסתמך על מצב אישי ספציפי ואינטרס לגיטימי שיגבר על אינטרס מעבד המידע, אולם ככל שאיזון האינטרסים מחייב זאת – חובה על העסק להפסיק את העיבוד לחלוטין.

הזכות לניוד המידע – Data Subject's right to Portability

זכות זו כוללת הן את הזכות לקבל לידיו של הפרט עותק מכל המידע אודותיו שנמצא בידי העסק, או לדרוש כי אותו עסק ינייד את המידע במישרין לספק חלופי. לדוגמא, אם נחליט לעבור בנק או ספק דואר אלקטרוני.

גם זכות זו תלוייה במשפר תנאים וחשוב לזכור בעת ביצוע הנדרש כי יתכן שבכך יפגעו גם צדדים שלישיים (לדוגמא – מי שהעביר כספים לחשבוני או מי ששלח לי דוא"ל). לכן, מוטל על האחראי על המידע הנטל לאזן את חובתו להעביר את המידע עם חובתו להגן על זכויות צדדים שלישיים.

הזכות להתנגד לקבלת החלטות אוטומטית – Data Subject's Right not to be Subject to a Decision Based Solely on Automated Processing

אחד מהנושאים שהטרידו רבות את הרשויות האירופיות היתה חשיפתם של פרטים להחלטות אוטומטיות אשר מתקבלות ביחס אליהם על ידי "רובוטים", אלגוריתמים ותהליכים אחרים "ללא יד אדם".

החלטות כאלו יכולות להראות חסרות כל חשיבות (כמו טרגוט פרסומות לפי מאפיינים שונים) ויכולות להיות בעלות משמעות קריטית (כמו איתור פעולות מרמה בכרטיסי אשראי). חשוב מאוד לסקור את העסק שלכם ולבדוק אילו מבין החלטות כגון אלו מצויות אצלכם, שכן ה-GDPR מחייב התנהלות מאוד נוקשה ביחס אליהן.

סוף דבר

עינינו הרואות, הרגולציה האירופית החדשה, ה-GDPR, מקנה כוחות רבים בידי הפרטים שמידע אודותיהם נאסף. מנגד, היא מטילה אחריות וחובות משמעותיים על עסקים שעושים שימוש במידע כזה.

לכן, אל תזלזלו. בדקו את עצמכם וראו האם אתם ערוכים לעמוד בדרישות חובות אלו גם מבחינה טכנולוגית וגם מבחינה משפטית. הקנסות הרגולציה אינם מבוטלים (עד 10 או 20 מליון אירו למקרה) …

אתם מוזמנים ליצור עמנו קשר, להתייעץ ונסייע לכם ולארגון שלכם לעמוד בהתקנות ולהיות GDPR Compliant.

עורך הדין יורם ליכטנשטיין הוא מוסמך הגנת מידע והגנת הפרטיות לפי הדין באירופה (ANSI-accredited Certified Information Privacy Professional/Europe (CIPP/E) והוא חבר בארגון הבינלאומי למומחי פרטיות, ה-International Association of Privacy Professionals – IAPP.

סרטיפיקצית ה-CIPP/E הינה הסטנדרט העולמי (והראשון) המוכר ומוערך ברחבי העולם בתחום הסמכת מומחי הגנת מידע ופרטיות משפטיים לפי הדין באירופה. ההסמכה מוענקת על ידי ארגון ה-IAPP, הארגון העולמי המוביל בתחום מומחי הגנת מידע ופרטיות. ההסמכה הותאמה ספציפית לדיני האיחוד האירופי ולרגולציית ה-GDPR, לחקיקת הגנת המידע ביבשת ובמדינות השונות, למודל האכיפה האירופי של הגנת המידע והפרטיות ולציות והתאמה של עסקים לרגולציה האירופית.