מדריך ה-GDPR המלא

מדריך ה-GDPR המלא

על מי ועל מה בישראל חלות תקנות GDPR?

ישראלים שימו לב! – GDPR הוחל באופן גורף למדי, כולל על גורמים מחוץ לאיחוד האירופי, כל עוד הם פעילים באיחוד או מעבדים מידע בנוגע לאנשים הנמצאים בתחומי האיחוד (כלומר, לא אזרחי האיחוד!).

GDPR מגדיר "עיבוד" (processing) של מידע באופן רחב מאוד, והוא כולל למעשה גם איסוף ואגירה של מידע. ההגדרה של "עיבוד" ב- GDPR היא: "כל פעולה או סדרת פעולות המבוצעות על מידע אישי או על מקבצי מידע אישי, באופן ממוכן/אוטומטי או אחר, לרבות איסוף, הקלטה, סידור, הבנייה, אגירה, התאמה או שינוי, קבלה, היוועצות, שימוש, גילוי באמצעות מסירה או שידור, הפצה או כל הנגשה אחרת, סידור או שילוב, הגבלה, מחיקה או השמדה".

GDPR יחול על עיבוד מידע שמבצעים, בין היתר, גורמים ישראלים, שמקום מושבם בישראל או במקום אחר מחוץ לאיחוד, ללא קשר לשאלה היכן העיבוד מתבצע בפועל, בתוך תחומי האיחוד או מחוצה לו, אם הם:

  1. מנטרים התנהגות או הרגלים צרכניים של אנשים בתחומי האיחוד או מעבדים מידע אישי אודותיהם, והעיבוד קשור להצעה של מוצרים או שירותים, בתמורה או ללא תמורה, לאותם אנשים.
  2. מציעים או מספקים מוצרים או שירותים בשפה או במטבע הנהוגים באחת ממדינות האיחוד האירופי, או פונים ללקוחות או משתמשים מהאיחוד (שימו לב, לא בהכרח אזרחי האיחוד!).
  3. אם מרכז ניהול העסקים או המקום שבו מתקבלות ההחלטות על מטרות עיבוד המידע והאמצעים הנדרשים לעיבוד נמצאים בתחומי האיחוד האירופי.
  4. אם יש להם נציג באיחוד האירופי או משרד מכירות מקומי שם.

GPDR חל על כל מידע הקשור לאדם טבעי (natural person) – דהיינו, אדם "אמיתי" ולא תאגיד/חברה – אם אותו אדם מזוהה או ניתן לזיהוי, במישרין או בעקיפין, באמצעות המידע, ובמיוחד באמצעות אלמנט מזהה כדוגמת שם, מספר זהות/מזהה, מיקום, מזהה מקוון (און ליין), או באמצעות ממאפיינים פיזיים, פיזיולוגיים, גנטיים, מנטאליים, כלכליים, תרבותיים או חברתיים.

המידע האישי הזה יכול להיות מידע שנאסף באופן ממוכן (אוטומטי) או ידני. בנסיבות מסויימות GDPR יחול גם על מידע מוצפן או על מידע אנונימי – כלומר, מידע שממנו הוסרו אלמנטים המאפשרים לזהות את האדם הטבעי שהוא נשוא המידע (pseudonymisation). הכל כמובן תלוי בעוצמת הקושי לפענח את המידע המוצפן או האנונימי.

מיותר לומר ש- GDPR חל ביתר שאת על מידע מיוחד/רגיש (special categories of personal data) כגון מידע אישי על מוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות, נטיות מיניות, מידע רפואי, גנטי, ביומטרי וכו'.

GDPR חל גם על מי ששולט במידע (controller) וגם על מי שמעבד את המידע (processor). על כל אחד מהם חלות חובות, חלקן זהות חלקן שונות. מיהו בעל השליטה במידע? – מי שמגדיר את המטרות ואת האמצעים לעיבוד מידע אישי. מיהו מעבד המידע? – מי שאחראי לעיבוד מידע אישי בשביל או מטעם בעל השליטה במידע.

בעל שליטה במידע אחראי גם על מעבד מידע מטעמו. מעבד מידע אינו פטור מאחריותו לפי GDPR גם אם קיים במקביל אליו בעל שליטה במידע. כמובן שבעל שליטה במידע יכול להיות גם מעבד המידע, והוא יהיה אחראי "בשני הכובעים".

GDPR חל על כל פעולות עיבוד מידע (processing). כלומר, על כל פעולה המבוצעת על מידע אישי, ובכלל זה איסוף, קבלה, תיעוד, סידור, אחסון, התאמה, שינוי, שימוש, גילוי, העמדה לרשות אחר, איחוד, הגבלה, מחיקה או השמדה של מידע.

ראו עוד: ס' 1, 2, 23, 24, 26, 51 להקדמה; ס' 2, 4, 9, 10 ל- GDPR.

על מי ועל מה בישראל חלות תקנות GDPR?

ישראלים שימו לב! – GDPR הוחל באופן גורף למדי, כולל על גורמים מחוץ לאיחוד האירופי, כל עוד הם פעילים באיחוד או מעבדים מידע בנוגע לאנשים הנמצאים בתחומי האיחוד (כלומר, לא אזרחי האיחוד!).

GDPR מגדיר "עיבוד" (processing) של מידע באופן רחב מאוד, והוא כולל למעשה גם איסוף ואגירה של מידע. ההגדרה של "עיבוד" ב- GDPR היא: "כל פעולה או סדרת פעולות המבוצעות על מידע אישי או על מקבצי מידע אישי, באופן ממוכן/אוטומטי או אחר, לרבות איסוף, הקלטה, סידור, הבנייה, אגירה, התאמה או שינוי, קבלה, היוועצות, שימוש, גילוי באמצעות מסירה או שידור, הפצה או כל הנגשה אחרת, סידור או שילוב, הגבלה, מחיקה או השמדה".

GDPR יחול על עיבוד מידע שמבצעים, בין היתר, גורמים ישראלים, שמקום מושבם בישראל או במקום אחר מחוץ לאיחוד, ללא קשר לשאלה היכן העיבוד מתבצע בפועל, בתוך תחומי האיחוד או מחוצה לו, אם הם:

  1. מנטרים התנהגות או הרגלים צרכניים של אנשים בתחומי האיחוד או מעבדים מידע אישי אודותיהם, והעיבוד קשור להצעה של מוצרים או שירותים, בתמורה או ללא תמורה, לאותם אנשים.
  2. מציעים או מספקים מוצרים או שירותים בשפה או במטבע הנהוגים באחת ממדינות האיחוד האירופי, או פונים ללקוחות או משתמשים מהאיחוד (שימו לב, לא בהכרח אזרחי האיחוד!).
  3. אם מרכז ניהול העסקים או המקום שבו מתקבלות ההחלטות על מטרות עיבוד המידע והאמצעים הנדרשים לעיבוד נמצאים בתחומי האיחוד האירופי.
  4. אם יש להם נציג באיחוד האירופי או משרד מכירות מקומי שם.

GPDR חל על כל מידע הקשור לאדם טבעי (natural person) – דהיינו, אדם "אמיתי" ולא תאגיד/חברה – אם אותו אדם מזוהה או ניתן לזיהוי, במישרין או בעקיפין, באמצעות המידע, ובמיוחד באמצעות אלמנט מזהה כדוגמת שם, מספר זהות/מזהה, מיקום, מזהה מקוון (און ליין), או באמצעות ממאפיינים פיזיים, פיזיולוגיים, גנטיים, מנטאליים, כלכליים, תרבותיים או חברתיים.

המידע האישי הזה יכול להיות מידע שנאסף באופן ממוכן (אוטומטי) או ידני. בנסיבות מסויימות GDPR יחול גם על מידע מוצפן או על מידע אנונימי – כלומר, מידע שממנו הוסרו אלמנטים המאפשרים לזהות את האדם הטבעי שהוא נשוא המידע (pseudonymisation). הכל כמובן תלוי בעוצמת הקושי לפענח את המידע המוצפן או האנונימי.

מיותר לומר ש- GDPR חל ביתר שאת על מידע מיוחד/רגיש (special categories of personal data) כגון מידע אישי על מוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות, נטיות מיניות, מידע רפואי, גנטי, ביומטרי וכו'.

GDPR חל גם על מי ששולט במידע (controller) וגם על מי שמעבד את המידע (processor). על כל אחד מהם חלות חובות, חלקן זהות חלקן שונות. מיהו בעל השליטה במידע? – מי שמגדיר את המטרות ואת האמצעים לעיבוד מידע אישי. מיהו מעבד המידע? – מי שאחראי לעיבוד מידע אישי בשביל או מטעם בעל השליטה במידע.

בעל שליטה במידע אחראי גם על מעבד מידע מטעמו. מעבד מידע אינו פטור מאחריותו לפי GDPR גם אם קיים במקביל אליו בעל שליטה במידע. כמובן שבעל שליטה במידע יכול להיות גם מעבד המידע, והוא יהיה אחראי "בשני הכובעים".

GDPR חל על כל פעולות עיבוד מידע (processing). כלומר, על כל פעולה המבוצעת על מידע אישי, ובכלל זה איסוף, קבלה, תיעוד, סידור, אחסון, התאמה, שינוי, שימוש, גילוי, העמדה לרשות אחר, איחוד, הגבלה, מחיקה או השמדה של מידע.

ראו עוד: ס' 1, 2, 23, 24, 26, 51 להקדמה; ס' 2, 4, 9, 10 ל- GDPR.