מדריך ה-GDPR המלא

מדריך ה-GDPR המלא

מתי ניתן לעבד מידע אישי לפי GDPR?

עיבוד מידע אישי יעשה אך ורק אם יש בסיס חוקי לכך.

GDPR מכיר בשש אפשרויות שכל אחת מהן יכולה להוות בסיס חוקי לעיבוד מידע אישי, כשאין אפשרות שעדיפה על רעותה וכל גורם צריך לפעול לפי האפשרות הרלבנטית אליו:

  1. מתן הסכמה: נשוא המידע הסכים באופן מפורש, ברור, מתוך רצון חופשי, וללא כפיה, לעיבוד מידע אישי אודותיו לצורך מוגדר/ספציפי. לדוגמא, נשוא המידע הסכים במפורש שהמידע אודותיו ישמש לצרכי פרסום של מוצרים ספציפיים שהוא הגדיר מראש.
  2. אינטרסים לגיטימיים: העיבוד נחוץ על מנת להגן על אינטרסים לגיטימיים של בעל השליטה במידע או של צד ג', ובכלל זה אינטרסים מסחריים, אישיים או חברתיים. אם קיימת סיבה טובה להגן על פרטיותו של נשוא המידע, אשר גוברת על האינטרס הלגיטימי לעיבוד המידע, הרי שלא ניתן להתבסס על אינטרסים לגיטימיים כבסיס חוקי לעיבוד.
  3. חוזה: העיבוד נחוץ במסגרת חוזה שנכרת עם נשוא המידע, או לצורך כריתת חוזה עמו. לדוגמא, חוזה ביטוח או מתן הצעת מחיר למבוטח פוטנציאלי.
  4. מחוייבות חוקית: העיבוד נחוץ לצורך קיום הוראות הדין.
  5. אינטרסים חיוניים: העיבוד נחוץ על מנת להגן על החיים או על שלמות הגוף של נשוא המידע.
  6. מטרה ציבורית: העיבוד נחוץ לצורך מטרה ציבורית המעוגנת בדין.

חשוב לדעת, שבכל האפשרויות נדרש שהעיבוד יהיה נחוץ (necessary). דהיינו, אם ניתן באופן סביר להשיג את אותה המטרה ללא ביצוע עיבוד מידע אישי, הרי שנראה שהעיבוד אינו נחוץ. ממילא במקרה כזה נשלל הבסיס החוקי לעיבוד המידע.

את הבסיס החוקי יש לקבוע מראש, במסמך בכתב, ולהודיע עליו לנשוא המידע, לפני תחילת ביצוע עיבוד המידע! כמעט בלתי אפשרי לעבוד מבסיס חוקי אחד לאחר "תוך כדי תנועה" (כלומר, לא ניתן להשתמש במידע שהושג על יסוד בסיס חוקי אחד, כדי לבצע עיבוד של המידע על יסוד בסיס חוקי אחר).

בכל מקרה שבו מעובד מידע אישי מיוחד/רגיש, יש לקבוע מראש לא רק את הבסיס החוקי לעיבוד מידע, אלא גם את הבסיס החוקי לעיבוד מידע מהסוג המיוחד/הרגיש.

לבסיס החוקי לעיבוד המידע יש משמעות גם בכל הנוגע לזכויות ש- GDPR מעניקים לנשוא המידע, כפי שניתן לראות בטבלה הבאה (מקור: הרשות הבריטית להגנת פרטיות (IPO – Information Commissioner’s Office)):

 

הזכות של נשוא המידע להימחק ממאגר  מידע

הזכות של נשוא המידע לניוד פרטי מידע 

הזכות של נשוא המידע להתנגד לשימוש במידע

מתן הסכמה

V

V

אינטרסים לגיטימיים

V

X

V

חוזה

V

V

X

מחוייבות חוקית

X

X

X

אינטרסים חיוניים

V

X

X

מטרה ציבורית

X

X

V


ראו עוד: ס' 6, פרק 3 לתקנות GDPR.

מתי ניתן לעבד מידע אישי לפי GDPR?

עיבוד מידע אישי יעשה אך ורק אם יש בסיס חוקי לכך.

GDPR מכיר בשש אפשרויות שכל אחת מהן יכולה להוות בסיס חוקי לעיבוד מידע אישי, כשאין אפשרות שעדיפה על רעותה וכל גורם צריך לפעול לפי האפשרות הרלבנטית אליו:

  1. מתן הסכמה: נשוא המידע הסכים באופן מפורש, ברור, מתוך רצון חופשי, וללא כפיה, לעיבוד מידע אישי אודותיו לצורך מוגדר/ספציפי. לדוגמא, נשוא המידע הסכים במפורש שהמידע אודותיו ישמש לצרכי פרסום של מוצרים ספציפיים שהוא הגדיר מראש.
  2. אינטרסים לגיטימיים: העיבוד נחוץ על מנת להגן על אינטרסים לגיטימיים של בעל השליטה במידע או של צד ג', ובכלל זה אינטרסים מסחריים, אישיים או חברתיים. אם קיימת סיבה טובה להגן על פרטיותו של נשוא המידע, אשר גוברת על האינטרס הלגיטימי לעיבוד המידע, הרי שלא ניתן להתבסס על אינטרסים לגיטימיים כבסיס חוקי לעיבוד.
  3. חוזה: העיבוד נחוץ במסגרת חוזה שנכרת עם נשוא המידע, או לצורך כריתת חוזה עמו. לדוגמא, חוזה ביטוח או מתן הצעת מחיר למבוטח פוטנציאלי.
  4. מחוייבות חוקית: העיבוד נחוץ לצורך קיום הוראות הדין.
  5. אינטרסים חיוניים: העיבוד נחוץ על מנת להגן על החיים או על שלמות הגוף של נשוא המידע.
  6. מטרה ציבורית: העיבוד נחוץ לצורך מטרה ציבורית המעוגנת בדין.

חשוב לדעת, שבכל האפשרויות נדרש שהעיבוד יהיה נחוץ (necessary). דהיינו, אם ניתן באופן סביר להשיג את אותה המטרה ללא ביצוע עיבוד מידע אישי, הרי שנראה שהעיבוד אינו נחוץ. ממילא במקרה כזה נשלל הבסיס החוקי לעיבוד המידע.

את הבסיס החוקי יש לקבוע מראש, במסמך בכתב, ולהודיע עליו לנשוא המידע, לפני תחילת ביצוע עיבוד המידע! כמעט בלתי אפשרי לעבוד מבסיס חוקי אחד לאחר "תוך כדי תנועה" (כלומר, לא ניתן להשתמש במידע שהושג על יסוד בסיס חוקי אחד, כדי לבצע עיבוד של המידע על יסוד בסיס חוקי אחר).

בכל מקרה שבו מעובד מידע אישי מיוחד/רגיש, יש לקבוע מראש לא רק את הבסיס החוקי לעיבוד מידע, אלא גם את הבסיס החוקי לעיבוד מידע מהסוג המיוחד/הרגיש.

לבסיס החוקי לעיבוד המידע יש משמעות גם בכל הנוגע לזכויות ש- GDPR מעניקים לנשוא המידע, כפי שניתן לראות בטבלה הבאה (מקור: הרשות הבריטית להגנת פרטיות (IPO – Information Commissioner’s Office)):

 

הזכות של נשוא המידע להימחק ממאגר  מידע

הזכות של נשוא המידע לניוד פרטי מידע 

הזכות של נשוא המידע להתנגד לשימוש במידע

מתן הסכמה

V

V

אינטרסים לגיטימיים

V

X

V

חוזה

V

V

X

מחוייבות חוקית

X

X

X

אינטרסים חיוניים

V

X

X

מטרה ציבורית

X

X

V


ראו עוד: ס' 6, פרק 3 לתקנות GDPR.