תקנות ה-GDPR – מסגרת האחריות והחובות
רקע
ביום 22.5.2018 נכנסו לתוקף תקנות ה- GDPR ["General Data Protection Regulation"] (להלן: "התקנות") מטעם הפרלמנט האירופי, מועצת האיחוד האירופי והנציבות האירופאית, גופים המשמשים כזרוע המחוקקת והמבצע של תושבי האיחוד האירופי בהתאמה.
תקנות אלו החליפו את הדירקטיבה האירופית להגנה על מידע 95/46/EC, שהיוותה אסופת תקנות ארכאית אשר גילמה את מנגנון השמירה על נתונים של תושבי האיחוד האירופי.
לעומת הדירקטיבה, התקנות מפנות ומתייחסות לתחומים טכנולוגיים רבים אשר קודמיהן לא ציינו ולבטח לא נאכפו בהתאם לרמת הצפויה מהתקנות שעסקינן בשמירה על פרטיות.
בנוסף, קריטריונים כדוג' הצפנה, שירותי ניטור ו- Cyber Risk Training הם רק חלק מהמושגים והקריטריונים אשר עוגנו במסגרת התקנות ומובילות דעה כי תקנות אלו שעיקרן חיזוק זכות התושבים לפרטיות ובקרה על הפרטים אותם הם מוסרים, צריכים להתבצע תוך שימוש בטרמינולוגיה עדכנית ומתאימה לתקופתנו.
מלבד החובות המוגברות החלות על כל בעל עסק או מוסד המחזיק נתונים אישיים של תושבי האיחוד האירופי, התקנות האמורות מביאות עמן בשורה – כשם שהזכות לקבל נתונים במסגרת מתן שירות או רכישת מוצר הינה תנאי לאספקתו, הזכות להישמר במסגרת מאגר הנתונים הינה דו צדדית וניתנת לביטול על ידי כל תושב האיחוד האירופי אשר אינו חפץ כי פרטיו יישמרו. יום ה- 22.5.2018 מהווה יום מפתח בשל אופן קיום התקנות – אופיין של התקנות מצריך עמידה וציות באופן מתמשך – "Ongoing Compliance" וזאת, בכדי להימנע מסנקציות כלכליות בעלות השלכות הרסניות.
תחולת התקנות החדשות
בשל אופיין של הגופים אשר התקינו את התקנות האמורות, ניתן לחשוב כי עסקינן בקווים מנחים אשר אינם בעלי תוקף מחייב כלפי גורמים אשר אינם נמנים עם תושבי האיחוד האירופי, אך לא כך הדבר.
יש להבהיר, כי בניגוד לדירקטיבה האירופית הקודמת, התקנות הינן בעלות תחולה רחבה מתוך מטרה ליצור מנגנון רגולטורי חוצה יבשות כפי שיפורט להלן.
תחולת התקנות והרגולציה מטעמן, חלה על כל גוף השולט בנתונים (" ("Controllerאשר אמון על אופי הנתונים הנאספים ומטרתן והן על כל גוף אשר אחראי לעיבוד הנתונים כאמור ("("Processor, קרי, אדם או תאגיד, רשות ציבורית או סוכנות הקובעת מטרות ואמצעים לעיבוד של מידע אישי. מידע אישי זה יכול להיות כל מידע הנוגע ל"אדם טבעי", כגון: שם, תמונה, כתובת אינטרנטית [IP], כתובת אימייל וכל מידע היכול לאפשר זיהוי של אותו אדם (להלן: "נושא המידע").
ככל ומהות הנתונים נוגעת לפרטיהם של תושבי האיחוד האירופי, כך מצליחות התקנות להקנות לעצמן תחולה תוך שמירה על אינטרסים של תושבי האיחוד.
להלן יפורטו מספר עקרונות וזכויות יסוד לצד הסנקציות של אי עמידה והפרת תקנות ה- GDPR:
הזכות "להישכח"
אחת הזכויות אשר זוכה לראשונה לעיגון בתקנות וזאת, עקב החלטת בית הדין האירופאי ממאי 2014[1] , הינה הזכות להישכח[2]. זכות זו מקנה לנושא המידע את הזכות לדרוש את מחיקת כל המידע אודותיו במקרים הבאים: היעדר רלוונטיות למטרת איסוף המידע, ביטול הסכמתו המפורשת לאיסוף המידע אודותיו, אופן עיבוד המידע נעשה בדרך שאינה חוקית, מחיקת המידע נדרשת לעמידה במחויבות רגולטורית של נושא המידע.
כמו כן, כל בעל שליטה במידע אשר הפך את איסוף המידע לגבי נושא המידע לפומבי מחויב להורות לבעלי שליטה נוספים במידע המעבדים את המידע בדבר דרישת נושא המידע.
לא זאת ועוד, נושא המידע רשאי בכל עת לדרוש את עדכון ו/או שינוי כל אי דיוקים או טעויות במידע הנאסף אודותיו.
התנגדות לעיבוד מידע
סעיף 18 לתקנות מאפשר לנושא המידע הזכות להתנגד לעיבוד המידע במקרים בהם רמת הדיוק של עיבוד המידע אינה מדויקת אודותיו. במקרה זה יחדל עיבוד המידע באופן מידי וזאת עד לאימות דיוק המידע על ידי בעל השליטה במידע. מקרים נוספים , כאשר נושא המידע מתנגד לעיבוד המידע ויצירת פרופיל התנהגותי [ זכות נוספת המעוגנת בסעיף 21 לתקנות האמורות], כאשר המידע נאסף לצרכים אותו הצהיר בעל השליטה כי עושה בו שימוש או כאשר המידע נאסף בצורה לא חוקית.
הסנקציות בעבור אי עמידה בתקנות
התקנות נועדו לשמירה ויישור קו עקרוני של הזכות לפרטיות בקרב תושבי האיחוד האירופי. התקנות קובעות מסגרת סנקציות אחידה ומחמירה במיוחד כלפי אלו אשר אינם עומדים בתקנות ומפירים את זכות נושאי המידע.
נושאי המידע רשאים לפעול במספר מישורים וביניהם הגשת תלונה לרשות להגנת מידע וכן אפשרות תביעה ישירה כנגד בעלי המידע וכן את מעבדי המידע. כפי שצוין לעיל, חשוב להדגיש כי אין בהכרח זהות בין 2 גורמים אלו.
התקנות מחלקות את גובה הסנקציה בהתאם למספר קריטריונים: מהות, חומרה והיקף ההפרה, הפרות קודמות, רמת שיתוף הפעולה עם רשות הגנת המידע והאם ההפרה נעשתה במעשה או במחדל.
סנקציות בעבור אי עמידה בתקנות יכולות להיות קלות כגון נזיפה או התראה ולחלופין, מחמירות המטילות קנסות בשיעורים גבוהים במיוחד. יש לציין כי כל מקרה יישפט לגופו.
שיעור הקנס המנהלי יכול להגיע לסך שחל 20 מיליון אירו או עד 4% ממחזור ההכנסות השנתי – על פי הגבוה מבין השניים וזאת כנגד הפרות בוטות וחמורות בעניין עקרונות העברת המידע והעברתו מחוץ לאיחוד האירופי.
ההשפעה על השוק הישראלי והצורך בהתאמות בצורה מיידית
כפי שהוצג לעיל, קובץ תקנות ה- GDPR נכנסו לתוקף וחלות אף על גופים ו/או חברות ישראליות בעלות קשרי איסוף ועיבוד מידע אל מול תושבי האיחוד האירופי.
מן הסתם, חברות רבות (מאוד) בשוק הישראלי מושפעות מפרסומן של התקנות: חברות מסחר אלקטרוני [ E- Commerce] , חברות המספקות שירותי תוכנה כשירות [["Saas" , חברות פרסום דיגיטלי, חברות השמה וביג דאטה ועוד רבים הפועלים מול לקוחות שהינם תושבי האיחוד האירופי חשופים והתקנות חלות עליהם באופן ישיר.
על כן, משרדנו ממליץ לבצע שינויים באופן עיבוד המידע כך שיתאם לקיום התקנות כסדרן, כגון: הדרכות לעובדי החברה, עדכוני מסמכי ההסכמה לשימוש במידע, ואף, העסקת עובדים בעלי הבנה נרחבת בתקנות, כדוג' קצין ציות. כלל האמור יכול להועיל ולמנוע פגיעה קריטית בחברה או עסק אשר הנכם מנהלים.
אמנם ולאור פרסומן ה"טרי" של התקנות, טרם הובהר כיצד יאכפו כלל התנאים האמורים לעיל וחומרת האכיפה כרגע מוטלת בספק. עם זאת, אנו ממליצים לשמור על שקיפות מול נושאי המידע על מנת למנוע נזקים כלכליים חמורים וכן פגיעות נוספות כגון מוניטין אשר בעלות פוטנציאל לנזק בלתי הפיך.
[1] Case C-131/12 Google Spain SL, Google Inc. v. Agencia Espanola de Protection de Datos, Mario Costeja Gonzalez
[2] סעיף 16 לתקנות.