תקנות פרטיות GDPR

האסדרה הכללית להגנה על מידע (GDPR – General Data Protection Regulation) (להלן: "הרגולציה") היא אוסף של הוראות מחייבות שהוסדרו על ידי הפרלמנט האירופימועצת האיחוד האירופי והנציבות האירופית על מנת להגן על נושאי המידע בטריטוריית האיחוד האירופי בכל הנוגע לעיבוד נתונים אישיים שלהם. הרגולציה מתייחסת לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים וקובעת כללים אחידים לשמירה על הפרטיות.

הרגולציה נועדה בעיקר לאפשר לכל תושב באיחוד האירופי שליטה מרבית על הפרטים שנשמרו אודותיו בחברות פרטיות, ציבוריות וגופים עסקיים וממשלתיים, וזאת באמצעות החלת כללים משפטיים בני אכיפה על אותם גופים.

הרגולציה התקבלה ב-27 באפריל 2016, פורסמה בעיתון הרשמי של האיחוד האירופי, והפכה לבת אכיפה בתאריך 25 במאי 2018. הרגולציה אינה דורשת ממדינות האיחוד לחוקק חקיקה ספציפית נוספת, שכן היא חלה באופן ישיר ומחייב על המדינות החברות.

הרגולציה מחליפה את הדירקטיבה האירופאית בנוגע להגנה על נתונים (הנחיה 95/46/EC) שנחקקה בשנת 1995, והייתה מיושנת ולא מותאמת לעידן הנוכחי.

הרגולציה חלה על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי, ובלבד שהם מעבדים נתונים של נושאי מידע בטריטוריה של האיחוד האירופי. חלים איסורים ומגבלות על העברת מידע אל מחוץ לטריטוריית האיחוד, בשל החשש להפרות שעלולות להתרחש באזורים בעולם בהם הפרטיות אינה מוגנת כראוי.

אי ציות להוראות עלול לגרור אזהרות, ביקורות תקופתיות וקנסות חמורים המגיעים לכדי 4% מהמחזור השנתי העולמי של הגוף המפר או קנס בשיעור של 20 מיליון יורו.

יישום הרגולציה, אשר החל כבר בשנת 2017, גרר ביקורת רבה מצד גורמים פרטיים ומסחריים. נטען כי יישום הכללים מחייב משאבים נרחבים, הוצאות כספיות משמעותיות, מינוי בעלי תפקידים כגון מומחים וקציני אבטחת מידע, פיקוח משפטי ועסקי רחב הקף וכדומה. בנוסף, נטען כי הניסוח של כללים מסוימים מעורפל, אינו אחיד ואינו מתואם תמיד עם החקיקה המקומית במדינות האיחוד, וכי הכללים לא לקחו בחשבון באופן מלא ומקיף שיקולים כגון אחסון בענןביג דאטה וכדומה.

לצורך נגישות ונוחות, מתפרסמת הרגולציה בכל 24 השפות המדוברות באיחוד האירופי, ובפורמט של HTML, PDF וכן כפי שפורסמה בעיתון הרשמי של האיחוד האירופי.

הצהרות ועקרונות הרגולציה


בפתיח לרגולציה, בסעיף 1 נקבעת ההצהרה הבאה:

"ההגנה על אנשים טבעיים בהקשר לעיבוד מידע אישי היא זכות יסוד […] לכל אחד יש זכות להגנה על מידע אישי הנוגע לו או לה"

ובהמשך בסעיף 2:

"העיקרון והכללים לגבי הגנה על אנשים פרטיים בכל הנוגע לעיבוד מידע אישי שלהם, תהא אזרחותם ותושבותם אשר תהא, חייבים לכבד את הזכויות והחירויות הבסיסיות שלהם, ובעיקר את הזכות להגנה על מידע אישי.

רגולציה זו נועדה לתרום להשגת חופש, ביטחון וצדק, ולהביא לכדי איחוד כלכלי, תוך התקדמות כלכלית וחברתית, לחיזוק וליכוד הכלכלות בתוך השוק הפנימי ולדאוג לשלומם (well being) של אנשים פרטיים."

על פי האיחוד האירופי, הרגולציה מבוססת על שלושה עקרונות מרכזיים[4]:

  1. עיבוד הגון וחוקי של המידע האישי.
  2. מגבלה על מטרות עיבוד המידע האישי.
  3. מינימליזציה ושימור של המידע האישי.

בכלל זאת, נקבע כי עוד טרם עיבוד המידע, חייבים נושאי המידע להיות מודעים לכך שנעשה עיבוד וכן מהן מטרותיו.

עיקרי הרגולציה


היקף התחולה

הרגולציה חלה על כל הגורם השולט בנתונים (Controller) וקובע את מטרות איסוף המידע וכן חלה על כל גורם המעבד את הנתונים (Processor). הרגולציה חלה, כאמור, גם אם מקום מושבם מחוץ לאיחוד האירופי, אולם הם עוסקים באיסוף מידע אישי אודות נושאי מידע באיחוד האירופי ומעבדים אותו. על בקר הנתונים קיימות חובות מוגברות.

"מידע אישי" מוגדר בפרק 1 ככל מידע אשר על פיו מזוהה או ניתן לזיהוי אדם מסוים. המידע עשוי לכלול כמעט כל פרט, החל משם האדם, כתובתו, כתובת הדואר האלקטרוני, פרטי חשבון הבנק שלו, פוסטים ברשתות חברתיות, מידע רפואי, או כתובת IP של מחשבו.

"נשוא המידע" (Data Subject) הוא האדם שעל אודותיו נאסף המידע.

הרגולציה אינה חלה על עיבוד של נתונים בנוגע לתאגידים וכן אינה חלה על נתונים אישיים במקרים של הגנה על הביטחון הלאומי או פעילות של אכיפת חוק פליליות במסגרת האיחוד האירופי.

כמו כן, אינה חלה במקרה של עיבוד נתונים על ידי אנשים פרטיים לצרכים ביתיים ושימושים אישיים וכן אינה חלה על מידע בנוגע לאנשים שנפטרו.

רשויות מפקחות

הרגולציה מהווה סט אחד ובלעדי החל על כל המדינות החברות באיחוד האירופי. בהתאם להוראות פרק 51, חייבת כל מדינה חברה להקים רשות מפקחת עצמאית (Supervising Authority =SA) שתפקידה לפקח ולחקור תלונות וכן להטיל עיצומים מנהליים בגין הפרות. רשויות הפיקוח במדינות השונות חייבות לשתף פעולה עם רשויות במדינות אחרות, להעניק סיוע הדדי, ולארגן פעולות משותפות כלפי גורמים מסחריים הפועלים במסגרתן. במקרה של חברה מסחרית הפועלת במספר מדינות, הרשות המפקחת לגביה תהיה במדינה בה מצוי מרכז פעילותה של החברה המסחרית, כגון במקום בו נערך עיבוד הנתונים. הרשות המפקחת באותה מדינה לגבי אותה חברה תשמש כ-"one stop shop" ותפקח על כל פעילות עיבוד הנתונים אשר מתבצעת בכל רחבי האיחוד האירופי.

הלשכה האירופאית המרכזית להגנה על הפרטיות (EDPB) תתאם בין הרשויות השונות.

זכויות נשואי המידע


כאמור, הרגולציה נועדה להגן על כל אדם לגביו נאסף מידע ומגדירה מספר זכויות:

  1. הזכות לשקיפות אודות המידע שנאסף לגביהם ומטרות עיבודו.
  2. הזכות לקבל מידע לגבי העברת המידע שלהם לצד שלישי.
  3. הזכות לדעת מהו המידע השמור אודותיהם.
  4. הזכות לתקן את המידע השמור אודותיהם ולמוחקו ("הזכות להישכח").
  5. הזכות להגביל את העיבוד של המידע אודותיהם.
  6. הזכות לנייד את המידע שלהם לגורם אחר.
  7. הזכות להתנגד לעיבוד המידע ויצירת פרופיל.

הזכות לשקיפות

כאשר בקר נתונים או גורם מעבד אוספים מידע אישי אודות נושאי מידע, חלות עליהם חובות מכוח הרגולציה. כך למשל, חלה חובה לדווח לנושא המידע בכל פעם שנאסף מידע אישי אודותיו, שהמידע אודותיו נשמר, מה מטרות שמירת המידע ומהו הבסיס החוקי לכך. כמו כן, יש למסור לנושא המידע פרטים ליצירת קשר, וכן לעדכן אותו בדבר פרטי קצין אבטחת המידע (DPO), אם מונה, ולידע אותו במקרה שהמידע האישי מועבר לגורם שלישי. והוא נדרש להיות הבקר הראשי אשר מחויב לשמור בצורה המתאימה ולעבד את הנתונים הפנימיים של הארגון כדי לוודא מעקב ואכיפה פנימית שהארגון מחויב לבצע בעצמו כדי לעמוד בתקנות.

הזכות להישכח

"הזכות להישכח" מעוגנת בפרק 17 לרגולציה, וקובעת כי לנושא המידע יש את הזכות לבקש מחיקה של הנתונים האישיים הקשורים אליו ללא דיחוי. עם זאת, הזכות תהיה מוגבלת במקרים שהמידע הוא חלק מחופש הביטוי, או כשיש לציית להוראת דין המחייבת שמירת המידע, או כשמדובר באינטרס ציבורי בתחומי הבריאות הציבורית, המדע או חקר היסטורי, או על מנת לשמר מידע לצורך תביעה משפטית עתידית.

הזכות לניידות

אחת הזכויות המוקנות לנושא המידע היא הזכות לניידות, כלומר, נושא המידע רשאי בכל עת לבקש להעביר את הנתונים האישיים שלו מגורם מעבד אחד לגורם מעבד אחר אלא אם המידע אנונימי במידה מספקת ואם הדבר אפשרי מבחינה טכנית.

הזכות להתנגד לעיבוד

מצדו של נושא המידע, במקרים בהם קיים מנגנון עיבוד מידע אוטומטי היוצר פרופיל, הרי שמוקנית לו הזכות לסרב לקבלת החלטות לגביו כתוצאה מניתוח אוטומטי זה. לנושא המידע הוקנתה גם "הזכות להסבר" אודות איסוף נתונים אודותיו, זכות אשר היקפה עדיין מעורפל ומחייב קביעת קריטריונים על ידי בתי המשפט.

הוראות לגבי הגנת המידע ועיבוד נתונים


הגנת המידע כברירת מחדל

הגנת המידע על ידי עיצוב והגנה כברירת מחדל מחייבים כי הגנה על מידע תופנם לתוך הפיתוח של תהליכים עסקיים של מוצרים ושירותים. כלומר, שמירה על הפרטיות תוגדר כברירת מחדל.

דוח של ENISA שהוא הסוכנות האירופית לאבטחת מידע, מציין מהם הצעדים שיש לנקוט על מנת לעמוד בדרישה זו, וקובע כי הצפנה ופיענוח, חייבים להתבצע באופן מקומי ולא על ידי שירות מרחוק, על מנת שישארו בפיקוח ושליטת הבעלים. כמו כן קובעת הסוכנות כי במקרים של מיקור חוץ ניתן לעשות שימוש בשירותי ענן שהם בטוחים כל עוד הבעלים ולא שירותי הענן, מחזיקים במפתח הפענוח.

פסיאודונימיזציה (Pseudonymization)

פסיאודונימיזציה היא כל טכנולוגיה המאפשרת שמירת מידע באופן מוצפן, כך שנתונים שנשמרו יהיו חסרי ערך אלא אם יתווך להם מידע נוסף. הרגולציה מחייבת לשמור את אותו מידע נוסף בנפרד מהנתונים העיקריים, וזאת, מבלי לגרוע מאמצעי ההגנה האחרים הננקטים לצורך שמירת המידע.

עיבוד נתונים

על מנת שגורם מעבד יהיה רשאי לעבד נתונים אודות נושא המידע, עליו להראות בסיס חוקי לביצוע פעולת העיבוד או הסכמת נושא המידע.

גורם מעבד רשאי לבצע עיבוד של מידע אישי בכל אחד מהמקרים הבאים:

  • אם נושא המידע נתן הסכמתו המפורשת לעיבוד הנתונים שלו, למטרה מסוימת.
  • אם עיבוד הנתונים הוא הכרחי לצורך ביצועו של חוזהשבעל המידע הוא צד לו, או על מנת לנקוט צעדים לפי בקשת בעל המידע טרם הסכמתו לחוזה.
  • אם עיבוד המידע הוא הכרחי לצורך ציות לחובה משפטית החלה על הגורם המעבד.
  • אם עיבוד המידע הכרחי על מנת להגן על אינטרסים חיוניים של נושא המידע או של אדם אחר.
  • אם עיבוד הנתונים הכרחי כדי לבצע משימה הקשורה באינטרס הציבורי, או בביצוע סמכות שהוענקה לו על ידי רשות רשמית.
  • אם עיבוד המידע נחוץ למטרות לגיטימיות של הגורם המעבד או של צד שלישי, למעט במקרים בהם גוברת זכות יסוד או חירות אחרת, המוקנית לנושא המידע ואשר מחייבת הגנה על נתוניו האישיים, ובאופן מיוחד אם מדובר בילדים.

הסכמה

במקרים בהם הסכמה היא הבסיס לעיבוד הנתונים, היא חייבת להיות מפורשת לגבי הנתונים שנאספים, וכן למטרה מסוימת שצוינה. במקרה של ילדים – ההסכמה חייבת להינתן על ידי האפוטרופוס וניתנת לאימות. גורם מעבד חייב לאפשר הסכמה במבנה של opt-in וההסכמה יכולה להיות מוסרת על ידי נושא המידע בכל שלב.

מנגנוני ביקורת: נציג אירופאי וקצין הגנת מידע


קצין הגנת מידע:

בהתאם לפרקים 37–39, כאשר העיבוד מבוצע על ידי רשות ציבורית, או כאשר עיבוד המידע מבוצע על ידי חברה במגזר הפרטי המבצעת עיבוד וניטור של מידע נרחב או בקטגוריות מיוחדות, יש למנות קצין הגנת מידע (DPO) – אדם עם ידע ומומחיות לגבי הגנה על הפרטיות על פי דין, והוא יסייע לבקר הנתונים ולגורם המעבד לוודא ציות לרגולציה. על אף שקצין הגנת המידע יכול להיות בעל תפקידים נוספים, הרי שאסור לו להיות במצב של ניגוד עניינים עם תפקידיו האחרים. כמו כן, חל איסור להורות לו כיצד לפעול והוא מחויב בחובת הסודיות.

קצין הגנת המידע אינו זהה לקצין הציות בארגונים, שכן קצין הגנת המידע צריך להיות מיומן בניהול תהליכי IT, לרבות התמודדות עם מתקפות סייבר, ומיומנות בסוגיות נוספות של הגנה על מידע רגיש. ההבנה הנדרשת מקצין הגנת המידע היא מעבר לידע משפטי וכוללת גם הבנה של תהליכי מיחשוב ואוטומציה, של סטנדרטים מקובלים וגם של חוקים ותקנות.

נציג אירופאי:

בנוסף, בהתאם לפרק 27 חלה חובה למנות נציג אירופי (EU Representative) על כל הגורמים הפועלים מחוץ לאיחוד ומעבדים מידע אישי משמעותי או קטגוריות מיוחדת של מידע אישי. החובה אינה חלה על גופים ורשויות ציבוריות.

הפרות וסנקציות


הפרות

בהתאם לרגולציה, קיימת חובה להודיע לרשות המפקחת ללא דיחוי אודות הפרה של הפרטיות, כגון פריצה, גניבה, השתלטות וכדומה. הדיווח לרשות המפקחת יעשה בהקדם, ועד כמה שניתן, תוך 72 שעות מהמועד בו נודע לבקר הנתונים אודות ההפרה.

בנוסף, יש לשקול הודעה גם לנושאי המידע. עם זאת, ההודעה לבעל המידע אינו נדרש אם ננקטו האמצעים הטכניים והארגוניים להפוך את המידע לבלתי ניתן לזיהוי.

סנקציות

הסנקציות שניתן להטיל מכוח הרגולציה הן חמורות וכוללות:

  • אזהרה בכתב במקרים של הפרה ראשונה ולא מכוונת.
  • ביקורות תקופתיות קבועות בנוגע להגנה על הפרטיות.
  • קנס עד 10,000,000 יורו או עד 2% מהמחזור השנתי הגלובלי של החברה המפרה, הגבוה מבין השניים, במקרים של הפרת הוראות סעיף 83 (4) הכוללות:
    • הפרת חובותיו של בקר ומעבד המידע לפי סעיפים 8, 11, 25 עד 39 ו-42 ו-43.
    • הפרת חובותיו של גוף מפקח לפי סעיפים 41, 42 ו-43.
  • קנס עד 20,000,000 יורו או עד 4% מהמחזור השנתי הגלובלי של החברה המפרה, הגבוה מבין השניים, במקרים של הפרת הוראות סעיף 83 (5)(6):
    • הפרה של העקרונות הבסיסיים לעיבוד, לרבות תנאים הסכמה, בהתאם לסעיפים 5, 6, 7, 9.
    • הפרה של זכויות נושאי המידע בהתאם לסעיפים 12 עד 22.
    • הפרה של העברות מידע אישי לנמען במדינה שלישית או לארגון בינלאומי בהתאם לסעיפים 44 עד 49.
    • הפרה של התחייבויות של מדינה חברה לפי פרק IX.
    • אי-ציות להוראה שניתנה על ידי רשות הפיקוח בהתאם לסעיף 58(2) או סירוב לאפשר גישה על פי סעיף 58(1).

דיון ואתגרים

ההצעה על הרגולציה החדשה גרמה ללא מעט דיונים ומחלוקות ואלפי תיקונים שהוצעו.

מבקרי הרגולציה הצביעו על בעיות רבות, ביניהן:

  • הדרישה למינוי קצין הגנת נתונים (DPO) היא דרישה חדשה עבור מרבית מדינות האיחוד האירופי, ומהווה נטל ניהולי משמעותי.
  • הרגולציה פותחה עם דגש על רשתות חברתיות וספקי ענן, אבל לא מתייחסת מספיק לנושא הטיפול בנתוני עובדים.
  • ניוד הנתונים אינו מהווה דרישה לצורך הגנה על נתונים, אלא יותר כדרישה פונקציונלית מרשתות חברתיות וספקי שירותי ענן.
  • הזכות של נושא המידע להגנה מפני אפיון והחלטות אוטומטית, והזכות לקבל הסבר – הוא נושא בעייתי מבחינת היישום.
  • אתגרי שפה ואיוש עבור רשויות הפיקוח:
    • חברות מחוץ לאירופה, יעדיפו את הרשות של אירלנד (או בריטניה כל עוד היא תהיה חלק מהאיחוד האירופי), לאור ההתנהלות בשפה האנגלית ועלויות יחסית נמוכות לאירופה.
    • נושאי המידע באיחוד האירופי יצטרכו להתמודד עם רשות הפיקוח שנבחרה על ידי החברה שאספה מהם את המידע. מצב זה עלול לגרום לבעיות בתקשורת עקב ההתמודדות עם שפות זרות.
  • קיימים קונפליקטים עם גורמים אחרים שאינם מצויים בטריטורית האיחוד האירופי.

נראה שהאתגר הגדול ביותר יהיה יישום GDPR בפועל:

  • היישום דורש שינויים מקיפים בחברות אשר לא טיפלו כראוי בנושא הפרטיות בטרם הרגולציה נכנסה לתוקף, בעיקר חברות מחוץ לאיחוד האירופי, האוספות או מעבדות מידע פרטי של נושאי מידע המצויים בטריטוריית האיחוד.
  • קיים מחסור במומחים ובידע בנושא פרטיות המידע. הדרישות החדשות עלולות להחמיר את המצב.
  • חינוך בנושא הגנה על נתונים פרטיות, הבנת החקיקה, ובעיקר עמידה בתקנות החדשות של ה-GDPR יהוו גורם קריטי להצלחת התקנות.
  • הנציבות האירופית והרשויות המפקחות יצטרכו לספק משאבים וסמכויות על מנת לאכוף את ביצוע התקנות, ורמת ההגנה על הנתונים חייבת להיות מוסכמת על כל מדינות האיחוד.
  • מדיניות הסחר הבינלאומי של אירופה, עדיין אינה עומדת בקו אחד עם הרגולציה.

הרשות להגנת הפרטיות בישראל


הרשות להגנת הפרטיות בישראל היא הגוף המסדיר, מפקח ואוכף את ההוראות והתקנות על פי חוק הגנת הפרטיות.

הרשות מופקדת על הגנת המידע האישי במאגרי מידע דיגיטליים ועל ביצורה של הזכות לפרטיות. ייעודה של הרשות הוא להתוות את מדיניות ההגנה על המידע האישי בישראל.

משימותיה המרכזיות הן קידום שליטת הפרט במידע אישי אודותיו, השפעה על תהליכי עיצוב לפרטיות בארגונים ובמערכות מידע בכל מגזרי המשק וחיזוק תחושת המוגנות של הציבור.

הרשות להגנת הפרטיות מקיימת פעילות בין לאומית ומפרסמת הנחיות בעניין, כגון התקנות להעברת מידע מחוץ לגבולות המדינה, הגנה על הפרטיות בזירה הבינלאומית ומשתתפת בפורומים בינלאומיים.

מדינת ישראל מוכרת על ידי האיחוד האירופי החל משנת 2011 כאזור העומד בסטנדרט האירופי לשמירה על הפרטיות בהתאם לרגולציית הGDPR.