האם העסק שלכם כפוף לרגולצית ה-GDPR?

יורם ליכטנשטיין עורך דין 19.12.2017 עודכן ב-16.08.2023

European Data Protection Laws — CIPP-E certified.

עורך הדין יורם ליכטנשטיין הוא מוסמך הגנת מידע ופרטיות באירופה CIPP/E מטעם ארגון IAPP.(*)

מה זה GDPR?

תקנות GDPR הן חקיקה דרמטית להגנת הפרטיות שתחייב כל מי שעיסוקו קשור בדרך כלשהי לאיחוד האירופי, ובשל הקנסות החמורים הקבועים בה יש להתאים עצמכם אליה. כך תחול ה-GDPR בישראל, למרות חקיקתה באירופה.

השאלה הראשונה היא – האם אני כפוף לרגולציה?

במאמר זה אנסה לעזור לכם להשיב לשאלה זו ביחס לעסק שלכם. האם GDPR חל בישראל?

כלל היסוד הוא שכל אחת מאלו תהיה כפופה ל-GDPR:

חברה הפועלת באירופה באמצעות משרדים או נציגים ולפעמים גם באמצעות אתר אינטרנט בלבד (כלומר, באחת או יותר ממדינות האיחוד האירופי).
חברה האוספת, שומרת, מעבדת, משתמשת או מעבירה מידע אישי על אזרח אחת ממדינות האיחוד האירופי ומעסיקה יותר מ-250 עובדים.
חברה האוספת, שומרת, מעבדת, משתמשת או מעבירה מידע אישי על אזרח אחת ממדינות האיחוד האירופי ומעסיקה פחות מ-250 עובדים, אך פעולותיה משפיעות על זכויותיהם או על החופש של נשואי המידע המוחזק אצלה.

הגופים עליהם חלה הרגולציה יהיו גם כאלו הממוקמים מחוץ לאיחוד האירופי, ובלבד שפעולות האיסוף, שמירה ועיבוד מתייחסות להצגת מוצרים או שירותים (גם אם חינמיים) או ניטור של התנהגות, ובלבד שנשואי המידע הם אזרחים אירופים.

כלומר, אפילו אם העסק שלכם נחשף לנתונים כאלו ומנטר אותם לצרכיו, הוא יהיה כפוף לרגולציה.

כעת, עליכם לבדוק האם החברה או אתם נכללים באחת מאותן שלוש קטגוריות.

קטגוריה ראשונה: חברה הפועלת באירופה

כיצד יודעים אם החברה "פועלת" במדינה ממדינות אירופה?

אם למשל החברה שלכם מספקת שירותים במדינה ממדינות האיחוד האירופי (או ביותר ממדינה אחת, כמובן), אותה מדינה, מעסיקה עובדים בה, מחזיקה משרד פעיל בה או מקיימת אתר אינטרנט המוכר מוצרים או שירותים למי שכתובתו היא באותה מדינה, הרי זו בוודאי "פעילות" במדינה והחברה תהיה כפופה ל-GDPR.

קטגוריות שתיים ושלוש: חברה העוסקת במידע אישי (Personal Data) אודות אזרח מדינה ממדינות האיחוד האירופי

מה הוא אותו "מידע אישי" שהרגולציה מתייחסת אליו. האם מדובר בכל מידע או מידע מוסג ספציפי?

התשובה לשאלה הינה – רק מידע מסוגים ספציפיים, אלא שהיקפם הינו עצום ונרחב.

סעיף 4 לרגולציה הכולל הגדרות, מגדיר "מידע אישי" המתייחס לאדם ככולל מידע המתייחס לפרט ("אדם טבעי") מזוהה או שניתן לזיהוי (ואותו פרט מוגדר כ"נשוא המידע").

אדם ניתן לזיהוי הינו כזה אשר ניתן לזהותו, במישרין או בעקיפין, במיוחד על ידי התייחסות לרכיב מזהה כגון שם, מספר זיהוי, מיקומו, מזהה מקוון המתייחס אליו או מזהה המתייחס לרכיב ספציפי של זהותו הפיזית, פסיכולוגית, גנטית, נפשית, כלכלית, תרבותית או חברתית של אותו אדם טבעי.

"מידע אישי" כולל למשל את סוגי המידע הבאים:

מזהים אישיים: שם, מספר מזהה וכתובת הם המובנים מאליהם, אך הדבר אינו מתמצה כמובן בכך. גם מאפיינים מקומיים (Location Based) וגם מאפיינים מקוונים (Online Identifiers הם מזהים אישיים. למשל – כתובת IP, מזהה מכשיר נייד (Mobile Device ID) וכדומה הינם מזהים אישיים.
מידע פסודונימי (Pseudonymous Data): ה-GDPR מציגה בפנינו קונספט חדש של מידע פסודונימי (מידע שאינו מזהה אדם בשמו אלא בשם בדוי, אבל עדיין מדובר באותו שם מזהה ביחס לאותו אדם). במילים אחרות, מדובר במידע שעבר עיבוד טכנולוגי (כמו הצפנה או "hashing") שלא ניתן לזהות באמצעותו במישרין אדם ספציפי, אולם תוספת מידע תאפשר בסופו של יום את הזיהוי האישי. מידע פסודונימי עדיין נחשב לפי ה-GDPR כמידע אישי, כך שיהיה כפו לדרישות הרגולציה. עם זאת, פסודונימיזציה אכן תורמת ומקלה בדרישות (למשל כאשר קורית פריצת מידע או בחובות תיקון ומחיקה מסויימות) ולכן היא תמיד מומלצת.
מידע ביומטרי וגנטי: דוגמת רצף הגנים האישי של כל אחד מאיתנו, טביעות אצבע, סקירת עדשת העין והמידע הנפוץ ביותר – סריקת פנים. מידע דוגמת זה נחשב כמידע רגיש במיוחד המחייב הגנה מוגברת.

במקרי קצה, בהם אתם אוספים מידע אך אינכם נמצאים באירופה, אך אתם נעזרים בשירותיהם של שירותי אחסון (דוגמת שירותי ענן) הממוקמים במדינות אירופאיות (דוגמת אירלנד למשל), די בכך כדי להחיל עליכם את הרגולציה.

מעמד העסק שלכם

הרגולציה מתייחסת לשני סוגי עסקים עיקריים הנכללים תחתיה. האחד הוא "שולט המידע" (Data Controller) בעוד השני הוא "מעבד המידע" (Data Processor). כך גם החובות המוטלות עליהם עלולות להיות שונות, אך חופפות.

בין אם אתם העסק שאיסוף המידע מתבצע עבורו ובין אם אתם העסק המעבד מידע עבור אחרים – אתם תהיו כפופים לרגולציה ומומלץ להתאים את פעולתכם אלי.

ה-DC הוא הגוף אשר קובע איזה מידע יאסף, אילו נתונים ילוקטו ולשם איזו מטרה מבוצע האיסוף. ה-DP פועל בשם ה-DC ומבצע את פעולות העיבוד בפועל. בהתאם, משום תפקידיהם השונים, ישנה שונות מסויימת בין החובות המוטלות עליהם. עם זאת, ישנן מקרים לא מועטים בהם האחד אחראי אף לפעולות חברו, ויש להכין את עצמנו לכך, מראש (למשל ביצירת הסכמים מספקים בין הצדדים המכתיבים ל-DP חובות פעולה בהתאם לרגולציה, שכן אחרת תהא זו אחריותו של ה-DC).

אחריות מנהלים ובעלי מניות

ה-GDPR אינו נמנע מלהטיל חובות על עסקים מסויימים למנות בעלי תפקידים שמטרתם ביצוע הרגולציה (דוגמת קצין הגנת מידע – DPO – Data Protection Officer), אלא שאף אם לא מונה כזה (ולא תמיד קמה החובה למנותו), מנהלים ובעלי שליטה בחרות יגלו כי הם כפופים לרגולציה באופן אישי.

לפיכך, גם זו סיבה טובה להתאים את פעולותיכם לרגולציה המתקרבת ובאה.

(*) עורך הדין יורם ליכטנשטיין הוא מוסמך הגנת מידע והגנת הפרטיות לפי הדין באירופה (ANSI-accredited Certified Information Privacy Professional/Europe (CIPP/E) והוא חבר בארגון הבינלאומי למומחי פרטיות, ה-International Association of Privacy Professionals – IAPP.

סרטיפיקצית ה-CIPP/E הינה הסטנדרט העולמי (והראשון) המוכר ומוערך ברחבי העולם בתחום הסמכת מומחי הגנת מידע ופרטיות משפטיים לפי הדין באירופה. ההסמכה מוענקת על ידי ארגון ה-IAPP, הארגון העולמי המוביל בתחום מומחי הגנת מידע ופרטיות. ההסמכה הותאמה ספציפית לדיני האיחוד האירופי ולרגולציית ה-GDPR, לחקיקת הגנת המידע ביבשת ובמדינות השונות, למודל האכיפה האירופי של הגנת המידע והפרטיות ולציות והתאמה של עסקים לרגולציה האירופית.

טקסט זה נכתב בדצמבר 2017 ונבדק לאחרונה באוגוסט 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.

האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.