מדריך ה-GDPR המלא
מדריך ה-GDPR המלא
מה הזכויות שיש למי שנכלל במאגר מידע?
על בעל השליטה במידע לנקוט באמצעים הולמים על מנת להבטיח את זכויותיהם של האנשים שמידע לגביהם מצוי אצלו. כמו כן, עליו לוודא שזכויותיהם של נשואי המידע יכובדו גם על ידי צד ג' שיש לו נגישות למאגר או שקיבל לידיו את המאגר מבעל השליטה.
בכלל זה עליו להודיע לנשואי המידע בכתב ובאופן ברור פרטים שונים על מאפייני המאגר.
GDPR מעניק לנשואי המידע את הזכויות הבאות:
- זכות לקבל פרטים על המאגר – בעל השליטה במידע חייב לספק פרטים הכוללים, בין השאר, את הבסיס החוקי מכוחו נאגר המידע וכן את מטרת המאגר; את זהות ופרטי יצירת הקשר עם בעל השליטה במידע; אם קיים – את האינטרס הלגיטימי של בעל השליטה במידע או של צד ג'; זהות הגורמים שישי להם גישה למידע שבמאגר; האם המידע מועבר למדינות אחרות ואת אמצעי האבטחה הננקטים לשמירת המידע שם; את זכותו של נשוא המידע לבטל את הסכמתו להיכלל במאגר, אם הסכים לכך; את הזכות להגיש תלונה לרשויות המוסמכות כנגד בעל השליטה במאגר; האם המידע משמש לקבלת החלטות אוטומטיות (automated decision making), ואם כן כיצד מתקבלות ההחלטות והאם מתבצע תהליך אוטומטי של בניית פרופיל התנהגותי.
אם המידע לא התקבל ישירות מנשוא המידע, יש למסור פרטים על המקורות ועל האופן שבו המידע הושג.
את הפרטים הנ"ל יש לספק בכתב ובאופן מיידי עם קבלת המידע הנאגר מאת נשוא המידע. אם המידע שבמאגר לא התקבל מנשוא המידע – יש לספק את הפרטים הנ"ל בתוך זמן סביר מרגע קבלת המידע, ולא יאוחר מחודש ימים או במעמד יצירת הקשר הראשון עם נשוא המידע.
- זכות גישה למידע שבמאגר – מי שפרטים עליו מצויים במאגר מידע זכאי לקבל גישה לפרטים אודותיו ולכל מידע נלווה. בין השאר נשוא המידע זכאי לבדוק את אמיתות המידע, ואם צריך – לבקש את מחיקתו/תיקונו. על בעל השליטה במידע למסור העתק מהמידע חינם, באופן מיידי ועד חודש ימים מקבלת דרישה לכך. במקרים חריגים של דרישה לקבלת מידע בהיקפים חריגים ניתן לגבות אגרה סבירה וכן ניתן להאריך את מועדי הביצוע.
- זכות לשלמות המידע שבמאגר – נשוא המידע זכאי לכך שמידע אודותיו יהיה שלם, עדכני ומדוייק. על בעל השליטה במידע לפעול לפי דרישת נשוא המידע בהקשר זה באופן מיידי, ובד"כ בתוך חודש ימים לכל המאוחר.
- זכות למחיקת מידע מהמאגר (the right to be forgotten) – מי שמידע עליו מצוי במאגר זכאי לכך שהמידע אודותיו ימחק לפי דרישתו. הזכות למחיקת מידע רלבנטית במיוחד אם המידע אינו נדרש עוד למטרה שלשמה נאגר מלכתחילה, או אם מבוטלת ההסכמה שמכוחה נאגר המידע מלכתחילה, או אם המידע הושג באופן לא חוקי, או אם אין יותר אינטרס לגיטימי להמשך אגירת המידע.
כמובן שאם בעל השליטה במידע השיג את המידע שלא כדין, עליו למחוק אותו באופן יזום ולא להמתין עד שתתקבל דרישה למחיקה.
בנסיבות מסויימות הזכות למחיקת מידע תיסוג מפני אינטרסים ציבוריים כמו חופש הביטוי, שלום הציבור, וכיוב'.
- זכות להגביל ולמנוע עיבוד של מידע מהמאגר – מי שמידע עליו מצוי במאגר מידע רשאי להגביל ואפילו למנוע פעולות של עיבוד המידע אודותיו. הזכות הזו חלה בין השאר במקרים הבאים: נשוא המידע מתנגד לעיבוד ובעל השליטה במאגר טרם הכריע האם קיים אינטרס לגיטימי לעיבוד שגובר על התנגדותו של נשוא המידע; המידע אינו מדוייק ויש לעדכנו, וכל עוד המידע לא עודכן כנדרש; עיבוד המידע אינו חוקי אבל נשוא המידע מתנגד למחיקתו מהמאגר; המידע אינו נדרש עוד לבעל השליטה במאגר אבל נותר במאגר לצרכים משפטיים.
- זכות לנייד מידע מהמאגר – מידע שבמאגר ניתן לניוד ולהעברה לצד ג' לפי דרישתו של נשוא המידע, אם המידע מלכתחילה נאגר על בסיס הסכמתו של נשוא המידע או על בסיס חוזי. על בעל השליטה במאגר להעביר את המידע בפורמט טכני מקובל שיאפשר לצד ג' לעבד את המידע, ובמידת האפשר להעבירו באופן אלקטרוני.
ניוד מידע מאפשר לנשוא המידע לקבל מגוון שירותים מספקים ומגורמים אחרים שאינם בעל השליטה במידע. לדוגמא, נשוא המידע מעוניין לקבל הצעות להלוואה, ולשם כך הוא מנייד את המידע הכלכלי אודותיו בין מספר גופים פיננסיים שמעניקים הלוואות.
- זכות להתנגד לפעולות מסויימות במידע שבמאגר (כולל שימוש במידע לצרכי דיוור ישיר) – נשוא מידע שעיבוד מידע אודותיו נעשה לצורכי דיוור ישיר או המשמש ליצירת פרופיל התנהגותי לצורכי דיוור ישיר, זכאי להתנגד לעיבודי מידע שכאלה.
כמו כן, נשוא מידע שעיבוד מידע אודותיו מתבצע על בסיס הגנה על אינטרסים לגיטימיים של בעל השליטה במאגר או של צד ג', או שהעיבוד נעשה לצורך מטרות ציבוריות, רשאי להתנגד גם לכך. ההתנגדות תתקבל, אלא אם בעל השליטה במאגר יוכיח שהאינטרסים הלגיטימיים שלו גוברים על זכויותיו של נשוא המידע או שהמשך העיבוד נדרש לצורך הליכים משפטיים.
- זכות שלא להיות חשוף להליכי קבלת החלטות אוטומטיים וליצירה אוטומטית של פרופיל התנהגותי – הליכי קבלת החלטות אוטומטיים בנוגע לנשוא המידע מתבצעים ללא מעורבות אנושית, שמטרתם, בין היתר, למדוד ולהעריך יכולות, מסוגלות, מצב בריאותי, התנהגות, מיקום וכיוב' של נשוא המידע – כגון אישור/דחייה אונליין של מתן הלוואה או אשראי; גיוס עובדים על יסוד מבחני התאמה אונליין (e-recruiting), וכו'.
תקנות GDPR אוסרות על ביצוע הליכי קבלת החלטות אוטומטיים ויצירה אוטומטית של פרופיל התנהגותי אסורים אם יש להם השלכות משפטיות או משמעותיות אחרת על נשוא המידע. הכללים אינם מגדירים מה ייחשב ל"השלכות משפטיות או משמעותיות", אך נראה שהכוונה להשלכות שליליות שיחולו על נשוא המידע.
לאיסור האמור ישנם מספר חריגים, שהעיקריים שבהם הינם כשהעיבוד נדרש לצורך כריתתו או לביצועו של הסכם עם נשוא המידע, או אם נשוא המידע הסכים במפורש להליכי קבלת החלטות אוטומטיים לגביו. במקרים בהם מדובר על מידע מיוחד/רגיש החריגים מצומצמים יותר.
מה הזכויות שיש למי שנכלל במאגר מידע?
על בעל השליטה במידע לנקוט באמצעים הולמים על מנת להבטיח את זכויותיהם של האנשים שמידע לגביהם מצוי אצלו. כמו כן, עליו לוודא שזכויותיהם של נשואי המידע יכובדו גם על ידי צד ג' שיש לו נגישות למאגר או שקיבל לידיו את המאגר מבעל השליטה.
בכלל זה עליו להודיע לנשואי המידע בכתב ובאופן ברור פרטים שונים על מאפייני המאגר.
GDPR מעניק לנשואי המידע את הזכויות הבאות:
- זכות לקבל פרטים על המאגר – בעל השליטה במידע חייב לספק פרטים הכוללים, בין השאר, את הבסיס החוקי מכוחו נאגר המידע וכן את מטרת המאגר; את זהות ופרטי יצירת הקשר עם בעל השליטה במידע; אם קיים – את האינטרס הלגיטימי של בעל השליטה במידע או של צד ג'; זהות הגורמים שישי להם גישה למידע שבמאגר; האם המידע מועבר למדינות אחרות ואת אמצעי האבטחה הננקטים לשמירת המידע שם; את זכותו של נשוא המידע לבטל את הסכמתו להיכלל במאגר, אם הסכים לכך; את הזכות להגיש תלונה לרשויות המוסמכות כנגד בעל השליטה במאגר; האם המידע משמש לקבלת החלטות אוטומטיות (automated decision making), ואם כן כיצד מתקבלות ההחלטות והאם מתבצע תהליך אוטומטי של בניית פרופיל התנהגותי.
אם המידע לא התקבל ישירות מנשוא המידע, יש למסור פרטים על המקורות ועל האופן שבו המידע הושג.
את הפרטים הנ"ל יש לספק בכתב ובאופן מיידי עם קבלת המידע הנאגר מאת נשוא המידע. אם המידע שבמאגר לא התקבל מנשוא המידע – יש לספק את הפרטים הנ"ל בתוך זמן סביר מרגע קבלת המידע, ולא יאוחר מחודש ימים או במעמד יצירת הקשר הראשון עם נשוא המידע.
- זכות גישה למידע שבמאגר – מי שפרטים עליו מצויים במאגר מידע זכאי לקבל גישה לפרטים אודותיו ולכל מידע נלווה. בין השאר נשוא המידע זכאי לבדוק את אמיתות המידע, ואם צריך – לבקש את מחיקתו/תיקונו. על בעל השליטה במידע למסור העתק מהמידע חינם, באופן מיידי ועד חודש ימים מקבלת דרישה לכך. במקרים חריגים של דרישה לקבלת מידע בהיקפים חריגים ניתן לגבות אגרה סבירה וכן ניתן להאריך את מועדי הביצוע.
- זכות לשלמות המידע שבמאגר – נשוא המידע זכאי לכך שמידע אודותיו יהיה שלם, עדכני ומדוייק. על בעל השליטה במידע לפעול לפי דרישת נשוא המידע בהקשר זה באופן מיידי, ובד"כ בתוך חודש ימים לכל המאוחר.
- זכות למחיקת מידע מהמאגר (the right to be forgotten) – מי שמידע עליו מצוי במאגר זכאי לכך שהמידע אודותיו ימחק לפי דרישתו. הזכות למחיקת מידע רלבנטית במיוחד אם המידע אינו נדרש עוד למטרה שלשמה נאגר מלכתחילה, או אם מבוטלת ההסכמה שמכוחה נאגר המידע מלכתחילה, או אם המידע הושג באופן לא חוקי, או אם אין יותר אינטרס לגיטימי להמשך אגירת המידע.
כמובן שאם בעל השליטה במידע השיג את המידע שלא כדין, עליו למחוק אותו באופן יזום ולא להמתין עד שתתקבל דרישה למחיקה.
בנסיבות מסויימות הזכות למחיקת מידע תיסוג מפני אינטרסים ציבוריים כמו חופש הביטוי, שלום הציבור, וכיוב'.
- זכות להגביל ולמנוע עיבוד של מידע מהמאגר – מי שמידע עליו מצוי במאגר מידע רשאי להגביל ואפילו למנוע פעולות של עיבוד המידע אודותיו. הזכות הזו חלה בין השאר במקרים הבאים: נשוא המידע מתנגד לעיבוד ובעל השליטה במאגר טרם הכריע האם קיים אינטרס לגיטימי לעיבוד שגובר על התנגדותו של נשוא המידע; המידע אינו מדוייק ויש לעדכנו, וכל עוד המידע לא עודכן כנדרש; עיבוד המידע אינו חוקי אבל נשוא המידע מתנגד למחיקתו מהמאגר; המידע אינו נדרש עוד לבעל השליטה במאגר אבל נותר במאגר לצרכים משפטיים.
- זכות לנייד מידע מהמאגר – מידע שבמאגר ניתן לניוד ולהעברה לצד ג' לפי דרישתו של נשוא המידע, אם המידע מלכתחילה נאגר על בסיס הסכמתו של נשוא המידע או על בסיס חוזי. על בעל השליטה במאגר להעביר את המידע בפורמט טכני מקובל שיאפשר לצד ג' לעבד את המידע, ובמידת האפשר להעבירו באופן אלקטרוני.
ניוד מידע מאפשר לנשוא המידע לקבל מגוון שירותים מספקים ומגורמים אחרים שאינם בעל השליטה במידע. לדוגמא, נשוא המידע מעוניין לקבל הצעות להלוואה, ולשם כך הוא מנייד את המידע הכלכלי אודותיו בין מספר גופים פיננסיים שמעניקים הלוואות.
- זכות להתנגד לפעולות מסויימות במידע שבמאגר (כולל שימוש במידע לצרכי דיוור ישיר) – נשוא מידע שעיבוד מידע אודותיו נעשה לצורכי דיוור ישיר או המשמש ליצירת פרופיל התנהגותי לצורכי דיוור ישיר, זכאי להתנגד לעיבודי מידע שכאלה.
כמו כן, נשוא מידע שעיבוד מידע אודותיו מתבצע על בסיס הגנה על אינטרסים לגיטימיים של בעל השליטה במאגר או של צד ג', או שהעיבוד נעשה לצורך מטרות ציבוריות, רשאי להתנגד גם לכך. ההתנגדות תתקבל, אלא אם בעל השליטה במאגר יוכיח שהאינטרסים הלגיטימיים שלו גוברים על זכויותיו של נשוא המידע או שהמשך העיבוד נדרש לצורך הליכים משפטיים.
- זכות שלא להיות חשוף להליכי קבלת החלטות אוטומטיים וליצירה אוטומטית של פרופיל התנהגותי – הליכי קבלת החלטות אוטומטיים בנוגע לנשוא המידע מתבצעים ללא מעורבות אנושית, שמטרתם, בין היתר, למדוד ולהעריך יכולות, מסוגלות, מצב בריאותי, התנהגות, מיקום וכיוב' של נשוא המידע – כגון אישור/דחייה אונליין של מתן הלוואה או אשראי; גיוס עובדים על יסוד מבחני התאמה אונליין (e-recruiting), וכו'.
תקנות GDPR אוסרות על ביצוע הליכי קבלת החלטות אוטומטיים ויצירה אוטומטית של פרופיל התנהגותי אסורים אם יש להם השלכות משפטיות או משמעותיות אחרת על נשוא המידע. הכללים אינם מגדירים מה ייחשב ל"השלכות משפטיות או משמעותיות", אך נראה שהכוונה להשלכות שליליות שיחולו על נשוא המידע.
לאיסור האמור ישנם מספר חריגים, שהעיקריים שבהם הינם כשהעיבוד נדרש לצורך כריתתו או לביצועו של הסכם עם נשוא המידע, או אם נשוא המידע הסכים במפורש להליכי קבלת החלטות אוטומטיים לגביו. במקרים בהם מדובר על מידע מיוחד/רגיש החריגים מצומצמים יותר.