GDPR

מונחי יסוד להבנת ה-GDPR

יורם ליכטנשטיין עורך דין 07.02.2018 עודכן ב-16.08.2023

רגולציית הגנת המידע האירופית, ה-GDPR, היא רגולציה ארוכה, סבוכה וקשה.

אני שמח להסביר לכם מספר מונחי יסוד בעלי חשיבות, שתכירו ותבינו.

European Data Protection Laws

עורך הדין יורם ליכטנשטיין הוא מוסמך הגנת מידע ופרטיות באירופה CIPP/E מטעם ארגון IAPP. (*)

 

 

מידע אישי – Personal Data

מידע אישי הוא כל נתון המתייחס לאדם טבעי, בשר ודם, ומזהה אותו או מאפשר לזהות אותו.

במחשבה מעט יותר רצינית נגלה כי קיימים נתונים רבים מאוד הנכללים בגדר הגדרת מידע אישי. לדוגמא: שם, כתובת, תמונה, כתובת דוא"ל וכתובת אינטרנטית (כתובת IP). אולם בהגדרה זו נכללים גם נתוני חשבון בנק, פוסטים וחשבון ברשתות חברתיות, מזהי מכשירים ניידים וחומרה אחרת, "קוקיות", היסטורית גלישה וחיפושים, היסטוריית קניות ועוד.

 

בעל שליטה במידע – Data Controller

בעל שליטה יכול ויהיה אדם או תאגיד וגם רשות רשמית או ממשלתית, סוכנות כזו או אחרת, חברה לתועלת הציבור וכן הלאה. אופן התאגדותו אינו רלוונטי, והמאפיין העיקרי שלו הוא שהוא השולט בתהליך איסוף ועיבוד המידע. בעל השליטה (ה"קונטרולר") קובע איזה מידע יאסף, כיצד יאסף ואילו תהליכי עיבוד וחשיפה יבוצעו בו. בלשון אחרת, הוא המכריע בקביעת מטרות איסוף המידע, עיבודו והאמצעים המשמשים לשם כך.

 

ההבדל בין בעל השליטה במידע למעבד המידע Data Controller v. Data Processor

כאמור, בעל השליטה במידע ("קונטרולר") הוא זה שקובע את מטרות ואמצעי איסוף ועיבוד המידע. מעבד המידע (Data Processor) הוא זה אשר מבצע את הנחיותיו של בעל השליטה במידע, הקונטרולר.

כלומר, מי שרשאי לקבוע איזה מידע יאסף, כיצד יאסף ומה יבוצע בו הוא בעל השליטה במידע. מי אשר מבצע את פעולות העיבוד והאחסון "בשמו" של בעל השליטה, הוא מעבד המידע, הפרוססור.

האבחנה חדה ופשוטה, אך במציאות נמצא מצבי ביניים מורכבים שמחייבים בחינה מעמיקה על מנת להכריע בקביעה זו.

חשוב גם לזכור, שלא מדובר בהגדרה כללית, אלא הגדרה זו תבחן בנפר ביחס לכל "זרם מידע" (data flow). כלומר, יתכנו זרמי מידע מסוגים שונים, בחלקם תאגיד מסויים יחשב כבעל שליטה ובאחרים יחשב כמעבד. הבחינה צריך ותהיה נקודתית.

 

נציג – Representative

כאשר מדובר בבעל שליטה או מעבד שאינו ממוקם באיחוד האירופי, דורשות התקנות האירופיות כי ימונה לו נציג שישב, פיזית, בתחומי האיחוד האירופי. חובה על העסק הכפוף ל-GDPR למסור יפוי כוח בידי נציג היושב במדינה ממדינות האיחוד האירופי והוא זה שייצגו הן מול נשואי המידע והן מול הרשויות המפקחות בכל הקשור בציות לרגולצית הגנת המידע האירופית.

 

עקרונות עיבוד מידע לפי ה-GDPR י- Principles relating to Processing of Personal Data

הרגולציה האירופית להגנת מידע קובעת מספר עקרונות על שיש להתחשב בהם כאשר נבחן את פעולות איסוף המידע ועיבוד.

בין היתר מדובר בעקרונות הבאים:

  • איסוף ועיבוד המידע יהיה חוקי, הוגן ושקוף. כלומר, לא יאסף מידע אישי אלא על בסיס חוקי (כמפורט מטה), הבסיס יובהר לנשואי המידע ותנתן הודעה מלאה אודות תהליך איסוף ועיבוד המידע כפי שנדרש ברגולציה (לדוגמא סעיפים 13 ו-14 לה).
  • המידע יאסף תוך אימוץ עקרון הגבלת המטרה. כלומר, בעת איסוף המידע או בסמוך לכך יוצגו בפני נשוא המידע מטרות האיסוף והעיבוד בצורה מפורטת, ברורה ומובנית, ולא יעשה שימוש במידע אלא לצורך מטרות אלו בלבד (עם חריג ביחס למטרה הדומה למטרות אלו שעומדת במבחן שנקבע בתקנות).
  • על המידע להיות מספיק, מתאים ומוגבל במטרה ("Personal Data Minimization"). כלומר, לאחר קביעת מטרות איסוף המידע והבהרתן לנשוא המידע, יאסף רק המידע הנדרש לצורך זה. כל מידע שאינו נדרש לצורך המטרה – לא יאסף וכמובן לא יעשה בו שימוש. יתרה מכך, לא יעשה שימוש במידע שנאסף לצורך מטרות אחרות, שלא הוצגו כדין וקיבלו את הסכמת נשוא המידע.
  • על המידע להיות מדוייק, מלא, נכון ומעודכן למועד השימוש. על בעל השליטה במידע לקבוע מנגנונים שיוודאו עמידה בעקרון זה.
  • יש להגביל את משך שמירת המידע לתקופה הנדרשת לצורך ביצוע המטרות. כלומר, אם אדם רכש מוצר והליך הרכישה הסתיים, אין לשמור עוד את המידע אודות אותה רכישה (אלא אם יש בסיס חוקי אחר לה).
  • שלמות וסודיות המידע חייבים להיות מובטחים, וזאת ניתן לבצע באמצעות אמצעי אבטחת מידע טכנולוגיים וארגוניים.
  • Accountability – כלומר, בעל השליטה במידע חייב לכפוף עצמו לרגולציה, לתעד את מכלול פעולותיו ולהיות יכול להוכיח בכל עת בפני הרשות המפקחת כי הוא עומד בכל דרישות הרגולציה, על כל האספקטים שבהם.

 

בסיס חוקיLawfulness of Processing

נקודת המוצא של הרגולציה היא שחל איסור על איסוף מידע אישי. החריג המאפשר איסופו ושימוש במידע אישי, הוא חריג המלמד על קיומו של בסיס חוקי לאיסוף.

מה יכול לשמש כבסיס חוקי לביצוע פעולת האיסוף והעיבוד? ה-GDPR קובעת מספר בסיסים אפשריים, שיש לבדוק כיצד הם מתאימים לעיבוד הספציפי שלנו. עיבוד יחשב כדין אם:

  • העיבוד נדרש לצורך בחינת האפשרות להתקשר בחוזה מחייב או שהוא נדרש לצורך ביצוע חוזה מחייב עליו חתמו בעל השליטה במידע ונשוא המידע. הדוגמא הפשוטה לכך: שימוש בשמו ובכתובתו של אדם לצורך משלוח מוצר שנרכש באינטרנט, הוא שימוש חוקי שאינו מצריך דבר מה נוסף.
  • העיבוד נדרש לצורך מילוי חובה חוקית (שימו לב – הוראת החוק הנדרש היא אירופית ולא ישראלית) שמוטלת על בעל השליטה במידע.
  • העיבוד נדרש לצורך הגנה על אינטרס חיוני של נשוא המידע או של אחר. לדוגמא: עיבוד מידע שימוש בכרטיסי אשראי לצורך איתור עסקאות מרמה.
  • העיבוד נדרש לצורך טובת הציבור (וטובת הציבור היא הצהרה שאחת ממדינות האיחוד האירופי הצהירה עליה).
  • העיבוד נדרש לצורך מילוי אינטרס לגיטימי של בעל השליטה במידע, שגובר על אינטרס הגנת הפרטיות של נשוא המידע. משנה זהירות נדרש כאן כשנשוא המידע הינו ילד או חסר ישע.

 

הסכמה Consent

הרגולציה האירופית קובעת מספר בסיסים המאפשרים חוקית עיבוטד של מידע אישי. אחד מהם הינו הסכמת נשוא המידע. משנתן נשוא המידע את הסכמתו לאיסוף המידע ועיבודו, הופך התהליך לנכון ולחוקי.

אלא שהסכמה זו – בניגוד להסכמה אליה אנו רגילים באתרים מקוונים עגד היום – מחייבת מאמצים לא מועטים מצד בעל השליטה במידע על מנת שתעמוד בדרישות התקנות האירופיות.

על ההסכמה להיות:

  • אקטיבית – כלומר, לא מסומנת מראש.
  • כתובה בשפה ברורה וקריאה.
  • חופשיה – כלומר, לא מותנית בהמשך קבלת השירות או כל תנאי מכריח אחר.
  • ספציפית (granular) – כלומר מתייחסת לכל הרכיבים המהותיים בנפרד.
  • ניתנת לביטול קל.
  • ומתועדת.

 

עיבודProcessing

עיבוד הינו למעשה כל צורה של פעולה או ניתוח המבוצע במידע אישי הנשמר בידי מעבד המידע, הפרוססור.

עיבוד עשוי לכלול כל אחת מהפעולות הבאות, ומעבר לכך – איסוף המידע, הקלטתו ותיעודו, שמירתו, סידורו וארגונו, התאמתו, שינויו, אחזורו, כל שימוש בו, גילויו ושיתוף בו, הפצתו ושידורו בכל דרך שהיא, שילובו וגם הגבלתו ומחיקתו.

 

פסודונימיזציה – Pseudonimization

מכיוון שהגדרת מידע אישי היא מידע המזהה או עשוי לזהות אדם טבעי, פסודונימיזציה הינה אחד מהאמצעים המומלצים בתקנות האירופאיות להקלת השימוש במידע אישי.

פסודונימיזציה היא תהליך של עיבוד המידע האישי באופן שלא ניתן לשייכו עוד (לכל הפחות לא במישרין) לאדם פרטי, שכן מן המידע הוסר רכיב המאפשר את זיהויו של האדם. רכיב זה צריך וישמר בנפרד, באופן שלא יאפשר את זיהוי האדם באמצעות המידע.

אימוץ אמצעי שכזה מוצע כהמלצה חמה מצד הרגולטור האירופי, ויש בו כדי להקטין את החובות והסכנות המוטלות על בעל המידע והמעבד שלו.

 

(*) הסמכת הגנת מידע והגנת הפרטיות לפי הדין באירופה (ANSI-accredited Certified Information Privacy Professional/Europe (CIPP/E) המוענקת לחברי הארגון הבינלאומי למומחי פרטיות, ה-International Association of Privacy Professionals – IAPP, בו חבר גם עו"ד ליכטנשטיין.

סרטיפיקצית ה-CIPP/E הינה הסטנדרט העולמי (והראשון) המוכר ומוערך ברחבי העולם בתחום הסמכת מומחי הגנת מידע ופרטיות משפטיים לפי הדין באירופה. ההסמכה מוענקת על ידי ארגון ה-IAPP, הארגון העולמי המוביל בתחום מומחי הגנת מידע ופרטיות. ההסמכה הותאמה ספציפית לדיני האיחוד האירופי ולרגולציית ה-GDPR, לחקיקת הגנת המידע ביבשת ובמדינות השונות, למודל האכיפה האירופי של הגנת המידע והפרטיות ולציות והתאמה של עסקים לרגולציה האירופית.

המאמר נכתב על ידי עוה"ד יורם ליכטנשטיין.

המאמר מהווה הסבר כללי בלבד ואין להסתמך עליו כתחליף ליעוץ משפטי.

המאמר נבדק ועודכן ב-22.12.2022

חשוב: שימו לב!
טקסט זה נכתב בפברואר 2018 ונבדק לאחרונה באוגוסט 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.