GDPR scope and teritory

האם ה-GDPR חל על העסק שלי בישראל?

יורם ליכטנשטיין עורך דין 09.12.2018 עודכן ב-16.08.2023

EDPB Guidelines 3/2108

הועד להגנת הפרטיות האירופי (ה-EDPB) הוציא הנחיות המבהירות את פרשנות סעיף 3 ל-GDPR לגבי תחולתה הטריטוריאלית של הרגולציה להגנת הפרטיות באירופה. ראו את ההנחיות כאן. במאמר זה אנסה להנגיש לכם אוטתן ולהסביר.

טרם אתחיל, אבהיר כי האמור מטה הוא תמצית בלבד, ולכן בהכרח יהיה חלקי. מה גם שהפסיקה טרם התייחסה לכתוב מטה. סביר מאוד להניח שבמקרה שיתעורר אצלכם יחולו עובדות נוספות שישפיעו על ההחלטה. לכן, האמור כאן אינו מתאים לכל מקרה, אינו מוצג כייעוץ משפטי ואין להסתמך עליו. אנא מכם, פנו לעורך דין מומחה לייעוץ ספציפי.

לעוד מידע בנושא הרגולציה האירופית להגנת המידע והפרטיות ראו כאן. וכמובן אנא הרגישו בנוח ליצור איתנו קשר ב-03-6133333.

 

ההנחיות מסבירות את שלושת סעיפיו הקטנים של סעיף 3 ל-GDPR, שקובע –

1.         This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2.         This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

               1.               the offering of goods or services, irrespective of whether a payment of the data subject is required,

                                to such data subjects in the Union; or

               2.               the monitoring of their behaviour as far as their behaviour takes place within the Union.

3.         This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

אמ;לק:

יש 3 מקרים בהם הרגולציה חלה:

1.     כשלמעבד המידע יש "מוסד"/"ביסוס" באיחוד;

2.     כשמעובד מידע המתייחס לאנשים הנמצאים באירופה בקשר עם (1) הצעת מוצרים או שירותים; או (2) מעקב אחר התנהגות המתרחשת באיחוד;

3.     חוק מדינה ממדינות האיחוד קובע זאת.

 

סעיף 3(1) = קיום establishment

נקודת המוצא היא תחולה של התקנות על עסק שנמצא באירופה (בין אם הוא מעבד את המידע הנדרש לו באיחוד או מחוץ לו).

סעיף הבסיס קובע, כי גוף שיש לו מוסד אירופי אשר מעבד מידע בקשר לפעילותו, יהיה כפוף ל-GDPR, גם אם העיבוד אינו מתבצע באירופה עצמה. כלומר, חברה הפעילה באירופה השוכרת את שירותיה של חברת פרסום ישראלית אונליין, והישראלית מבצעת עבורה מסעות פרסום מקוונים ומעבדת את המידע הנובע מהם – תהיה כפופה לרגולציה האירופית.

המבחן לנוכחות "מוסד" הינו מבחן מינימלי של קיום פעילות או נוכחות של קבע באיחוד. לעיתים יהיה די באיש קשר או נציג, עובד במשרה חלקית או אפילו אתר אינטרנט בעל מאפיינים מסויימים המכוון לציבור האירופי.

חשוב לשים לב שהתקנות האירופיות יחולו לא רק אם העיבוד מבוצע על ידי המוסד עצמו, אלא גם בעבורו, על ידי אחר (ואפילו אחר שנמצא, למשל, בישראל ולא באירופה ולמשל העסק שלכם).

הערה: במצב כזה, העסק שלכם (שאינו נמצא באיחוד) אולי לא יהיה כפוף ל-GDPR. אבל אם ה"מוסד" נהנה מייעוץ משפטי ראוי, הוא ידאג להכפיף אתכם לכך מבחינה חוזית, כמו גם שבמקרה שתגרמו לו נזק עקב אי עמידה ברגולציה, אתם עלולים להיות אחראים לכך. לכן תבדקו היטב את ההתקשרויות שלכם ואת הפניות שאתם מקבלים מלקוחות אירופים.

 

סעיף 3(2) = טרגוט של מי שנמצא באירופה

אם אין מוסד באירופה בודקים אם חל הסעיף הבא – שעיקרו, התמקדות במתרחש באירופה (בין אם באמצעות מכירות או באמצעות מעקב אחרי התנהגות שם), "טרגוט".

שאלת אזרחות או מקום המושב של נשוא המידע אינה רלוונטית. החשיבות היא לנוכחותו באירופה. כל פעילות שנכנסת בגדר הסעיף ומכוונת לאירופה (ועל שאלה זו קיים ויכוח שיוכרע עובדתית, לפי הנסיבות) – תכפיף את העסק שלכם ל-GDPR.

דוגמא למצב בו הרגולציה אינה חלה, מוצגת במקרה של אפליקציה אמריקאית, המכוונת לשוק האמריקאי, שהוריד אזרח אמריקאי ונסע לבקר באירופה (ושם היא ממשיכה לפעול). לעמדת ה-EDPB, במצב כזה האפליקציה אינה מכוונת ("מטרגטת") לשוק האירופי ולכן לא יחולו התקנות.

כך, לדוגמא, רשות ההגירה הקנדית שמנטרת נתונים שנאספים באירופה במטרה לקבוע האם להעניק ויזה לביקור בקנדה למבקשים, אינה "מתמקדת באירופה" ולכן הרגולציה להגנת הפרטיות אינה חלה עליה.

כלומר, המבחן הרלוונטי לנו הוא הדגמת כוונה להצעת המוצרים או השירותים לאדם שנמצא באיחוד. כיצד מוכיחים כוונה זו? ההכרעה תהיה נסיבתית לפי עובדות כל מקרה ומקרה.

כעולה מההמלצות (שמסתמכות על פסיקה ביחס לדירקטיבה הקודמת) אציג לכן מספר מקרים בהם ניתן להסיק כוונה להציע מוצרים או שירותים לאנשים הנמצאים באירופה. למשל (וזו רשימה שאינה ממצה או מחייבת):

  1. התיאור של המוצר או השירות נוקב בשם מדינה או האיחוד;
  2. אספקת מוצרים בפועל לאירופה;
  3. קיום נציג תמיכה או מכירות שמגיב לפניות אזרחי האיחוד;
  4. אתר אינטרנט בשפה הדבורה במדינה אירופית;
  5. מכירה במטבע אירופי;
  6. מסעות שיווק ספציפיים למדינות באיחוד;
  7. העסק משלם למנוע חיפוש או שירות דומה לאפשר ללקוחות מאותה מדינה גישה לאתר שלו;
  8. לפעילות אופי בינלאומי (כמו תיירות);
  9. ציון כתובות או טלפוניים ייעודיים, באירופה;
  10. שם מתחם (דומיין) מדינתי באירופה;
  11. אזכור לקוחות בינ"ל הנמצאים באירופה, טסטימוניאלס וכדומה;

כל אחד מהם או חלקם בנפרד יתכן שלא יספיקו אך בבדיקת מכלול הנסיבות יתכן שיש להם משמעות.

דוגמא המוצגת בהנחיות למצב בו הרגולציה האירופאית אינה חלה מתייחסת לחברה במונקו שמעבדת את נתוני עובדיה למטרות תשלום שכר. חלקם עובדים בצרפת ואחרים איטליה. אלא שהעיבוד אינו מתייחס להצעת מוצרים או שירותים או לניטור ההתנהגות אלא לצרכי כוח אדם. במצב כזה, סעיף 3(2) לא יחול.

דוגמאות נוספות מהן ניתן להסיק ניטור מידע ה"מטרגט" פעילות של אנשים באירופה ניתנת בתקנות, והיא כוללת למשל כל אחד מאלו או אחרים:

  1. יש לשקול את מטרת האיסוף, והשימוש העתידי (פעולות שיוצרות פרופילים התנהגותיים יכללו בהגרה);
  2. ביצוע מסעות פרסום התנהגותי;
  3. פעולות גיאו-לוקאליזיישן, לא רק אך במיוחד כאלו שהן למטרות שיווק;
  4. ניטור מקוון באמצעות קוקיות, טביעות אצבע או כל טכניקה אחרת;
  5. ניתוחי דיאטה ובריאות אישיים מקוונים;
  6. הפעלת מצלמות או האזנה במעגל סגור, CCTV;
  7. סקרי שוק ומחקרים התנהגותיים על בסיס פרופילים אינדיבידואליים;
  8. מעקב או דיווח על מצב בריאות של פרט; וכדומה.
  9. חשוב לשים לב שלא רק ניטור מקוון נכלל בגדר הסעיף, אלא גם ניטור שהוא "אופ-ליין".

 

דוגמא שניתנת בהנחיות למצב בו הסעיף (וה-GDPR, בהתאם) חל, הינה ביחס לחברת שיווק אמריקאית שמייעצת לחנויות על סידור החנות והמבנה שלה, על בסיס ניתוח התנהגות הקונים אצלם שנאסף באמצעות WI-FI. בעוד החברה נמצאת בארה"ב, הרי היא מייעצת לחנויות שבקניונים צרפתיים. במקרה כזה, הסעיף כמובן יחול.

 

סעיף 3(3) = עיבוד כשחוק מדינה מקומית חל עקב משפט בינ"ל

הדוגמאות הקלאסיות למצבים כאלו, ולא ארחיב בהן, מתייחסות לדין המדינה החל בקר אנשי המשלחות הדיפלומטיות שלה או אוניות הנושאות את הדגל שלה.

 

לאור קריאת ההנחיות, נדמה שהבנו קצת יותר טוב באילו מצבים ה-GDPR האירופי עלול לחול על מי שאינו נמצא באירופה, ובמיוחד אני מכוון לחברות ישראליות. עם זאת, הרשימה כמובן אינה מנלאה ואינה ממצה ויתכן שהנסיבות יגרמו לתשובה שונה ביחד לכל עסק שנכלל או שאינו נכלל בה. המדובר למשל, ב-

  1. עמותות ישראליות שמגייסות תרומות מפרטים באירופה;
  2. חברות ישראליות עם חברת בת באירופה;
  3. מפעילי אתרי dropshipping  שמוכרים ללקוחות באירופה;
  4. חברות פרסום ושיווק דיגיטלי ו-affiliates למיניהם שמנטרים (באמצעות קוקיות או בכל דרך אחרת) אתרים לשם שיווק המופנה גם לאנשים הנמצאים באירופה;
  5. מפעילי עמוד מכירות ב-Amazon המוכרים גם לאירופה;
  6. חברות רפואת מרפא בישראל שלקוחותיהן הם אירופאים;
  7. חברות ביטוחי נסיעות ל/באירופה;
  8. ורבים רבים אחרים.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-26.12.2022.

חשוב: שימו לב!
טקסט זה נכתב בדצמבר 2018 ונבדק לאחרונה באוגוסט 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.