לא כל איסוף מידע הוא אסור

על החברות הישראליות להיערך לקראת כניסת רפורמת הגנת הפרטיות האירופאית

רפורמת הגנת הפרטיות האירופאית / צילום: Shutterstock
רפורמת הגנת הפרטיות האירופאית / צילום: Shutterstock

רפורמת הגנת הפרטיות האירופאית (ה-GDPR) תיכנס לתוקפה בסוף חודש מאי, וצפויה לשנות באופן משמעותי את האופן שבו חברות יאספו ויטפלו במידע פרטי. לצד הדריכות המוצדקת לקראת כניסת התקנות לתוקף וההיערכות רחבת ההיקף מצד חברות רבות - לרבות חברות ישראליות המושפעות מהתקנות - ההמולה סביב השינוי מולידה טעויות והטעיות שהגיעה העת לתקנן. נעמוד על המרכזיות שבהן יצא לנו להיתקל במסגרת סיוענו לעשרות חברות הנדרשות לנושא.

קודם כל, ה-GDPR לא חל בכל מקרה שבו קיים מידע של אזרחים אירופאים. אכן, התקנות החדשות מחילות את הוראותיהן על מידע פרטי של אירופאים גם כאשר האוסף או המעבד את המידע אינו פועל מאירופה, אך זאת רק כאשר מדובר במסגרת מתן שירותים ומוצרים לתושבי האיחוד האירופי או בניתוח התנהגותם. המטרה העיקרית של הרחבה זו היא לכסות את שורת המקרים בהם חברות שאינן נמצאות באירופה פועלת הלכה למעשה - דרך האינטרנט למשל - באירופה, תוך טיפול במידע של אירופאים. אולם כאשר חברה ישראלית, הפועלת בישראל בלבד ואוספת מידע של לקוחות ישראלים בלבד בקשר לשירותים הנצרכים בישראל, אוספת גם מידע של ישראלי שמחזיק במקרה באזרחות אירופאית - התקנות לא חלות על פעילותה זו.

הסכמה היא לא הדרך היחידה לאיסוף מידע פרטי. תקנות ה-GDPR מחייבות לבסס כל איסוף מידע פרטי על הצדקה חוקית בהתאם להוראות התקנות. זו, אגב, דרישה אחת מני רבות שלא השתנה בה הרבה לעומת הדין שהיה קיים באירופה עד כה. דרך המלך להצדיק איסוף מידע פרטי היא אכן הסכמת נשוא המידע, אולם ההסכמה צריכה להיות נפרדת וספציפית לסוג האיסוף.

לצד הסכמה, קיימות הצדקות נוספות שנכון להתבסס עליהן כאשר ההסכמה אינה אפשרית או רלוונטית, ונדרש ניתוח מדויק של סוגי השימוש במידע כדי להתאים לכל אחד מהם את ההצדקה המתאימה.

לדוגמה, מנוע חיפוש אוסף כמויות אדירות של מידע המצוי באינטרנט, לרבות מידע פרטי שמצוי באתרי אינטרנט שכוללים פרטים על כותבים, משתמשים או עובדי חברות המוצגות באתרים. איסוף זה של המידע לא נעשה תוך קבלת הסכמה של כל אדם שפרטיו מצויים ברשת, אלא על בסיס הצדקת ה"אינטרס הלגיטימי" שבאיסוף מידע פומבי לצורכי חיפוש, המוכרת על ידי התקנות. כך גם מעסיק, ששומר את פרטיו של עובדיו: השימוש במידע לא נעשה מכוח הסכמת העובד, אלא בהתאם להצדקת קיום החוזה. בנוסף לשתי אלה, קיימות עוד הצדקות שיש לבחון האם הן המתאימות לבסס את איסוף המידע באופן חוקי.

אין די בהכנת מסמכי מדיניות וחוזים כדי לעמוד ב-GDPR. התקנות מפרטות דרישות רבות שיש להביא לידי ביטוי במסמכים חיצוניים המופנים לנושאי המידע ולגורמים אחרים, כמו גם במסמכי מדיניות פנימיים שיש להכיר, להטמיע ולעדכן. אולם הכנת מסמכים אלה היא רק אחד האופנים בו בא לידי ביטוי מארג החובות הנגזרות משני עקרונות על בתקנות החדשות: אחריותיות והפגנת ציות.

עקרונות אלה דורשים ניתוח והבנה עמוקים של תהליכי איסוף המידע והטיפול בו; מיפוי של המידע והנחשפים אליו; קביעת תהליכי עבודה והטמעת טכנולוגיות שנועדו להגביל את השימוש במידע; עמידה בחובות הנוגעות לזכויות נושאי המידע, לאבטחתו ולטיפול בדליפתו; ועוד. לא ניתן לעמוד בחובות ללא ביטויין במסמכי מדיניות פנימיים וחיצוניים, אך גם לא ניתן לעמוד בהן ללא הטמעה שוטפת של החובות המפורטות והנובעות ממסמכים אלה.

■ הכותב שותף בהרצוג, פוקס, נאמן ומנהל משותף של מחלקת טכנולוגיה ורגולציה.