10 המלצות ועוד אחת – כיצד יש להגיב כשקיבלת דרישת גישה למידע (SAR)

יורם ליכטנשטיין עורך דין 24.08.2020 עודכן ב-18.09.2023

מדריך לפניות נשואי מידע לפי ה-GDPR, חלק ראשון

לקוחות שלי (עסקים ישראליים, במיוחד דיגיטליים) מקבלים מדי פעם פניות ממשתמשים בהתאם ל-GDPR. פניות כאלו נקראות Subject Access Request ובקיצור – SAR או DSAR. הפונים מבקשים לדעת האם העסק אוסף מידע אודותיהם, ואם כן – מה המידע שנאסף עליהם בידי העסק. בהמשך הפונים גם מבקשים לבצע פעולה כזו או אחרת במידע.

פניות SAR כאלו מקורן בשני סוגי מקרים. האחד – לקוח מודאג ודווקני המבקש לעמוד על זכויותיו; והשני, חמור יותר – לקוח המבקש להכין לעצמו עילת תביעה או תלונה (וכמובן שהוא ימנע מהגשתה אם הדבר "ישתלם" לו).

במקרה כזה אתם מוזמנים לפנות אלי או לכל עורך דין מומחה אחר, ולטפל בעניין באופן מדוייק. אחרת זה הוא סיכון משפטי בעל משמעות לא פשוטה. אם תרצו, אנחנו יכולים לסייע לכם. אנא התקשרו – 03-6133333 ודברו איתי.

הכנתי לכם מדריך קצר וראשוני לטיפול בפניות כאלו. זה הוא מדריך כללי, הוא אינו ממצה וחשוב שלא להסתמך עליו במקרה של פניה ספציפית אלא לפנות לייעוץ ספציפי שיבדוק את הנסיבות והפנייה.

במאמר הזה ובחלקו השני (שנמצא כאן) אציג בפניכם כיצד עליכם להתמודד עם מקרים כאלו שקורים אצלכם.

המלצה ראשונה: התאימו את העסק שלכם לרגולצית הגנת הפרטיות.

מטבע הדברים, אם פעלתם להתאמת העסק שלכם לנושאי הגנת הפרטיות, ייקל עליכם להגיב ולהשיב לפניה שכזו. המידע יהיה מאורגן ונכון; ההודעות הנדרשות לנשואי המידע כבר נמסרו; הסכמת נשואי המידע הושגה וקיים נוהל תגובה לפניית SAR.

אם כבר עשיתם את זה, מדריך זה מיותר בשבילכם. אתם מוזמנים לשתות כוסית קרה ולהמשיך בשגרת חייכם העסקית.

אם לא פעלתם כך, אנא – המשיכו לקרוא.

המלצה שניה: מידע אישי אינו שלכם. הוא של משתמשיכם.

נקודת המוצא של ה-GDPR היא שמידע שנאסף בידי עסקים אינו "מידע שלהם". המידע הוא של נשואי המידע כמו למשל הלקוחות (ולא רק הם). בהתאם, השליטה במידע עוברת לידיהם. הם רשאים לחקור ולהורות לכם כיצד לנהוג במידע שלהם.

הרגולציה האירופית הקימה מספר לא מבוטל של זכויות נשואי מידע, אותן זכאים הלקוחות להפעיל אל מול העסק שאוגר מידע אודותיהם.

משפנה אליכם אדם שטוען או אפילו שואל האם יש בידיכם מידע המתייחס אליו – אין זה משנה כיצד פנה, חובה עליכם להתייחס לבקשה זו ברצינות, להגיב לה בהקדם האפשרי ולא יאוחר מ-30 ימים ממועד הפניה (אפשר להעריך בנסיבות מסויימות) ולמסור בידיו את כל המידע אותו ביקש.

המלצה שלישית: ודאו את זהות הפונה טרם מתן תשובה.

נניח שקיבלתם פנית SAR, נעניתם לה כדין ומסרתם את המידע למבקש. אלא מה? בדיעבד התברר לכם כי המבקש אינו נשוא המידע בעצמו אלא גרושתו לעתיד המחפשת מידע אודותיו (או מתחרה עסקי אחר). די בכך כדי להפר פרטיותו של אדם.

ממש לאחרונה נתקלתי במקרה שקרה, בו מחלקת שירות הלקוחות של לקוח שלי שוחח עם נציג חברת האשראי שהתקשר אליו ומסר פרטים ביחס למספר עסקאות קטן שבוצע לאחרונה. אלא שבאותו מקרה נפלה תקלה בהליך ווידוא זהות המתקשר והפונה לא פנה באמת מטעם חברת האשראי אלא ניסה להוציא פרטים אישיים שמתייחסים לעסקאות ספציפיות. אין ספק שזהו "ארוע אבטחה" (Data breach), אמנם לא חמור בשל כמות נפגעים קטנה, אך עדיין לא נעים ויש להמנע ממנו.

לכן חשוב שתקבעו (מראש) נוהל מוסדר של זיהוי הפונים בבקשות SAR, ולא תמסרו מידע כלשהו אלא לאחר שוידאתם את זהותם של הפונים בהתאם לנוהל.

כמובן שנוהל זה חייב להיות סביר ו"פרופורציונלי". לא תוכלו למשל לדרוש מהפונה (הנמצא באירופה) להגיע למשרדיכם ב"קרית פיזדילוך 8" בישראל, על מנת להעתר לפנייתו. בהתאם, אל תקבעו נוהל כה מורכב, שבסופו תמנעו מלמסור מידע למי שזכאי לקבלו רק בשל אי עמידה בירוקרטית בנוהל.

כמו כן חשוב שנוהל זה, כמו כל יתר הנהלים הרלוונטיים, יובא לידיעת כל עובדיכם המטפלים בנושא וייושמו על ידם.

קחו בחשבון שלעיתים, גם אחרים רשאים לפנות בשם המשתמש. למשל – הורה שהוא אפוטרופוס טבעי של ילד, אפוטרופוס שמונה על ידי בית המשפט, ב"כ נשוא המידע שקיבל ממנו הסכמה לכך וכדומה. על נוהל הזיהוי שלכם לאפשר זיהוי והתייחסות לפניות כאלו.

המלצה רביעית: הבינו את (היקף ואופי) המידע המתבקש מכם.

הפניה עצמה אינה חייבת להיות פניה בכתב, וכל פניה (לרבות דוא"ל ואפילו שיחת טלפון) מהווה דרישה שיש להענות לה. הפניה גם אינה חייבת להפנות פורמלית לסעיף 15 -לרגולציה או להתייחס לדין בכל צורה אחרת. עצם דרישת המידע – די בה.

יתרה מכך, הפניה אינה חייבת לעשות שימוש בטופס שהעמדתם לשימוש נשואי המידע, אלא להכתב על ידי הפונה באופן עצמאי. כיוון שכך, יתכן שתתקשו ללמוד ממנה איזה מידע אתם מתבקשים לספק.

במצב כזה – אל תתביישו. זו זכותכם (ואף חובתכם) לחזור אל הפונה ולוודא בדיוק איזה מידע נדרש לו.

עם זאת, גם אם בסופו של יום לא ברור לכם מה ביקש הפונה, מוטלת עליכם החובה לספק לו כל מידע שעולה באופן סביר מפנייתו.

המלצה חמישית: דאגו לאיתור המידע ולאיסופו.

לצורך זה ניתן לפעול בשתי דרכים. אם בקשות ה-SAR הן אלמנט שחוזר על עצמו בעסק שלכם, כדאי ליצור מנגנון אוטומטי שמאפשר איסוף שכזה.

יותר מכך, המלצת הרגולציה האירופית עצמה (Recital 63) היא לאפשר למשתמש לקבל את המידע שנאגר אודותיו במישרין מתוך השירות עצמו, באמצעות ממשק המשתמש שלכם, שיאפשר גישה כזו ובלא כלך צורך בפניה רשמית.

כך, תקלו גם על המשתמש עצמו וגם על שירות הלקוחות שלכם, שיחסך ממנו הצורך לטפל ב(חלק מ)פניות ה-SAR של לקוחות.

אם תחליטו שאין זה כדאי מסיבה כלשהי לפעול כך, חובה עליכם להקצות די כח אדם לטיפול מהיר בכל בקשה רלוונטית.

כך או אחרת, הגישה בה בחרתם אינה מזכה אתכם בזכות להתעכב או לדרוש אגרה עבור הפעולה.

שימו לב שתהליך זה עשוי לקחת זמן. לכן, אל תדחו אותו וטפלו בו מיידית עם קבלת הבקשה. במיוחד, למשל, אם תאלצו גם להתייעץ עם עורך דינכם ביחס לכל מיני סוגי מידע שנמצא בידיכם וגילויו (גם זאת אני אומר לכם – מנסיון).

אם המידע שבידיכם אינו מידע אישי (כלומר – אינו מזהה או ניתן לזהות אדם, למשל אם הוא אגרגטיבי בלבד, אם אינו קשור למספר מאפיין חוזר של אדם ספציפי וכדומה), יתכן מאוד שלא מוטלת עליכם חובה למסרו. עם זאת, יש להזהר בכך ולא להמנע מחשיפת מידע שחובה עליכם לחשפו.

בפועל, אני רואה פעם אחר פעם שלמרות שלקוחות סבורים שמידע כזה או אחר אינו מידע אישי, הרי לפי הגדרת הרגולציה האירופית מדובר במידע אישי, ואלמלא התייעצו איתי – היו מפרים את התקנות.

חשוב לשים לב שאם המידע שבידיכם משולב עם מידע המתייחס לצדדים שלישיים, יש לפעול כך שבמקרים מסויימים הרי שהמידע המתייחס לצדדים שלישיים לא ימסר אלא ימחק ויוסר מתוך המידע שנמסר לנשוא המידע.

המשך – יבוא.

טקסט זה נכתב באוגוסט 2020 ונבדק לאחרונה בספטמבר 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.

האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.