individual rights SAR

10 המלצות ועוד אחת – כיצד יש להגיב כשקיבלת דרישת גישה למידע (SAR)

מדריך לפניות נשואי מידע לפי ה-GDPR, חלק ראשון

לקוחות שלי (עסקים ישראליים, במיוחד דיגיטליים) מקבלים מדי פעם פניות ממשתמשים בהתאם ל-GDPR. פניות כאלו נקראות Subject Access Request ובקיצור – SAR או DSAR. הפונים מבקשים לדעת האם העסק אוסף מידע אודותיהם, ואם כן – מה המידע שנאסף עליהם בידי העסק. בהמשך הפונים גם מבקשים לבצע פעולה כזו או אחרת במידע.

פניות SAR כאלו מקורן בשני סוגי מקרים. האחד – לקוח מודאג ודווקני המבקש לעמוד על זכויותיו; והשני, חמור יותר – לקוח המבקש להכין לעצמו עילת תביעה או תלונה (וכמובן שהוא ימנע מהגשתה אם הדבר "ישתלם" לו).

במקרה כזה אתם מוזמנים לפנות אלי או לכל עורך דין מומחה אחר, ולטפל בעניין באופן מדוייק. אחרת, הסיכון לא מבוטל.

אם תרצו, אנחנו יכולים לסייע לכם. אנא התקשרו – 03-6133333 ודברו איתי.

הכנתי לכם מדריך קצר וראשוני לטיפול בפניות כאלו. זה הוא מדריך כללי, הוא אינו ממצה וחשוב שלא להסתמך עליו במקרה של פניה ספציפית.

בשל אורכו מדריך זה חולק לשני פרסומים עוקבים. אתם קוראים את חלקו הראשון וחלקו השני נמצא כאן.

 

המלצה ראשונה: התאימו את העסק שלכם לרגולצית הגנת הפרטיות.

מטבע הדברים, אם פעלתם להתאמת העסק שלכם, ייקל עליכם להגיב ולהשיב לפניה שכזו. המידע יהיה מאורגן ונכון; ההודעות הנדרשות לנשואי המידע כבר נמסרו; הסכמת נשואי המידע הושגה וקיים נוהל תגובה לפניית SAR.

אם כבר עשיתם את זה, מדריך זה מיותר בשבילכם. אתם מוזמנים לשתות כוסית קרה ולהמשיך בשגרת חייכם העסקית.

אם לא פעלתם כך, אנא – המשיכו לקרוא.

המלצה שניה: מידע אישי אינו שלכם. הוא של משתמשיכם.

נקודת המוצא של ה-GDPR היא שמידע שנאסף בידי עסקים אינו "מידע שלהם". המידע הוא של נשואי המידע, הלקוחות (וכמו כן ספקים, עובדים, חייבים וכו' – כל אדם שמידע אודותיו נמצא בידיכם). בהתאם, השליטה במידע עוברת לידיהם. הם רשאים לחקור ולהורות לכם כיצד לנהוג במידע שלהם.

הרגולציה האירופית הקימה מספר לא מבוטל של זכויות נשואי מידע, אותן זכאים הלקוחות להפעיל אל מול העסק שאוגר מידע אודותיהם.

משפנה אליכם כל אדם שיש בידיכם מידע המתייחס אליו – אין זה משנה כיצד פנה, חובה עליכם להתייחס לבקשה זו ברצינות, להגיב לה בהקדם האפשרי ולא יאוחר מ-30 ימים ממועד הפניה ולמסור בידיו את כל המידע אותו ביקש.

המלצה שלישית: ודאו את זהות המבקש.

נניח שקיבלתם פנית SAR, נעניתם לה כדין ומסרתם את המידע למבקש. אלא מאי? בדיעבד התברר לכם כי המבקש אינו נשוא המידע אלא גרושתו לעתיד המחפשת מידע אודותיו (או מתחרה עסקי אחר). די בכך כדי להפר פרטיותו של אדם.

ממש לאחרונה נתקלתי במקרה שקרה, בו מחלקת שירות הלקוחות של לקוח שלי שוחח עם נציג חברת האשראי שהתקשר אליו ומסר פרטים ביחס למספר עסקאות קטן שבוצע לאחרונה. אלא שבאותו מקרה נפלה תקלה בהליך ווידוא זהות המתקשר והפונה לא פנה באמת מטעם חברת האשראי. אין ספק שזהו "ארוע אבטחה" (Data breach), אמנם לא חמור בשל כמות נפגעים קטנה, אך עדיין לא נעים.

לכן חשוב שתקבעו (מראש) נוהל מוסדר של זיהוי הפונים בבקשות SAR, ורק לאחר וידוא זהותם של הפונים וזכותם לקבל את המידע – תמסרו אותו.

כמובן שנוהל זה חייב להיות סביר ו"פרופורציונלי". לא תוכלו למשל לדרוש מהפונה (הנמצא באירופה) להגיע למשרדיכם ב"קרית פיזדילוך 8" בישראל, על מנת להעתר לפנייתו. בהתאם, אל תקבעו נוהל כה מורכב, שבסופו תמנעו מלמסור  מידע למי שזכאי לקבלו רק בשל אי עמידה בירוקרטית בנוהל.

כמו כן חשוב שנוהל זה, כמו כל יתר הנהלים הרלוונטיים, יובא לידיעת כל עובדיכם המטפלים בנושא.

קחו בחשבון שלעיתים, גם אחרים רשאים לפנות בשם המשתמש. למשל – הורה שהוא אפוטרופוס טבעי של ילד, אפוטרופוס שמונה על ידי בית המשפט, ב"כ נשוא המידע שקיבל ממנו הסכמה לכך וכדומה. על נוהל הזיהוי שלכם לאפשר זיהוי והתייחסות לפניות כאלו.

המלצה רביעית: הבינו את (היקף ואופי) המידע המתבקש מכם.

הפניה עצמה אינה חייבת להיות פניה בכתב, וכל פניה (לרבות דוא"ל ואפילו שיחת טלפון) מהווה דרישה שיש להענות לה. הפניה גם אינה חייבת להפנות פורמלית לסעיף 15 -לרגולציה או להתייחס לדין בכל צורה אחרת. עצם דרישת המידע – די בה.

יתרה מכך, הפניה אינה חייבת לעשות שימוש בטופס שהעמדתם לשימוש נשואי המידע, אלא להכתב על ידי הפונה באופן עצמאי. כיוון שכך, יתכן שתתקשו ללמוד ממנה איזה מידע אתם מתבקשים לספק.

במצב כזה – אל תתביישו. זו זכותכם (ואף חובתכם) לחזור אל הפונה ולוודא בדיוק איזה מידע נדרש לו.

עם זאת, גם אם בסופו של יום לא ברור לכם מה ביקש הפונה, מוטלת עליכם החובה לספק לו כל מידע שעולה באופן סביר מפנייתו.

המלצה חמישית: דאגו לאיתור המידע ולאיסופו.

לצורך זה ניתן לפעול בשתי דרכים. אם בקשות ה-SAR הן אלמנט שחוזר על עצמו בעסק שלכם, כדאי ליצור מנגנון אוטומטי שמאפשר איסוף שכזה.

יותר מכך, המלצת הרגולציה האירופית עצמה (Recital 63) היא לאפשר למשתמש לקבל את המידע שנאגר אודותיו במישרין מתוך השירות עצמו, באמצעות ממשק המשתמש שלכם, שיאפשר גישה כזו ובלא כלך צורך בפניה רשמית.

כך, תקלו גם על המשתמש עצמו וגם על שירות הלקוחות שלכם, שיחסך ממנו הצורך לטפל ב(חלק מ)פניות ה-SAR של לקוחות.

אם תחליטו שאין זה כדאי מסיבה כלשהי לפעול כך, חובה עליכם להקצות די כח אדם לטיפול מהיר בכל בקשה רלוונטית.

כך או אחרת, הגישה בה בחרתם אינה מזכה אתכם בזכות להתעכב או לדרוש אגרה עבור הפעולה.

שימו לב שתהליך זה עשוי לקחת זמן. לכן, אל תדחו אותו וטפלו בו מיידית עם קבלת הבקשה. במיוחד, למשל, אם תאלצו גם להתייעץ עם עורך דינכם ביחס לכל מיני סוגי מידע שנמצא בידיכם וגילויו (גם זאת אני אומר לכם – מנסיון).

אם המידע שבידיכם אינו מידע אישי (כלומר – אינו מזהה או ניתן לזהות אדם, למשל אם הוא אגרגטיבי בלבד, אם אינו קשור למספר מאפיין חוזר של אדם ספציפי וכדומה), יתכן מאוד שלא מוטלת עליכם חובה למסרו. עם זאת, יש להזהר בכך ולא להמנע מחשיפת מידע שחובה עליכם לחשפו.

בפועל, אני רואה פעם אחר פעם שלמרות שלקוחות סבורים שמידע כזה או אחר אינו מידע אישי, הרי לפי הגדרת הרגולציה האירופית מדובר במידע אישי, ואלמלא התייעצו איתי – היו מפרים את התקנות.

חשוב לשים לב שאם המידע שבידיכם משולב עם מידע המתייחס לצדדים שלישיים, יש לפעול כך שבמקרים מסויימים הרי שהמידע המתייחס לצדדים שלישיים לא ימסר אלא ימחק ויוסר מתוך המידע שנמסר לנשוא המידע.

 

המשך – יבוא.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-18.08.2021.

 

Comments

comments

לקבלת ייעוץ ראשונישלחו פרטים



    האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא. בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.

    ליצירת קשר ולייעוץ ראשוני –

    03-6133333
    This site was created with the help of Beetle (www.beetle.net.ua)