מדריך ה-GDPR המלא
מדריך ה-GDPR המלא
מתי קיים אינטרס לגיטימי לעיבוד מידע ומתי אינטרס לגיטימי נחשב לבסיס חוקי לעיבוד לפי GDPR?
על בעל השליטה במידע חלה אחריות מוגברת לקיים את תקנות GDPR. עליו ליישם אמצעים טכניים וארגוניים לא רק כדי להגן על המידע, אלא גם כדי להראות, להוכיח בכתב, שהוא אכן מגן עליו ועל זכויותיהם של האנשים שעליהם הוא אוגר מידע.
על בעל השליטה במידע להכין, ליישם, ולפרסם מסמכי מדיניות כתובה להגנה על מידע.
עליו לבצע הדרכות לעובדים, לקיים ביקורות פנימיות ובדיקות תקופתיות.
ככל שקיימים קודי התנהגות רשמיים להגנת מידע (קודים שהוכנו על ידי רשויות רגולטוריות או גופים מוסמכים אחרים) – יש לפעול על פי הקודים הללו ו/או להחזיק באישורים רשמיים כי פועלים על פיהם.
בנסיבות מסויימות על בעל השליטה במידע למנות קצין הגנת מידע (data protection officer), לבצע סקרי סיכונים בנוגע להגנת מידע, ולפעול באופן תמידי ושיטתי לשפר את הגנת המידע.
על בעל השליטה ליישם הנדסת הגנה מידע לפרטיות (data protection by design). משמעות הדברים היא, שבשלבי קביעת אמצעי והיקף עיבוד המידע, וכן בזמן עיבוד המידע עצמו, יש להגן על המידע הרלבנטי ועל זכויותיהם של נשואי המידע באמצעות מנגנונים טכניים וארגוניים יעילים שהוטמעו בתוך הליכי העיבוד, והן חלק אינטגרלי מהם. לשם כך אפשר לקודד מידע, למנוע גישה לפרטי זיהוי (pseudonymisation), לעבד בהיקפים מינימאליים ככל הניתן, ועוד.
בנוסף, על בעל השליטה במידע ליישם מנגנונים טכניים וארגוניים שיבטיחו הגנת מידע כברירת מחדל (data protection by default). כלומר, עיבוד מידע יתבצע אך ורק על המידע המינימאלי נדרש לצורך השגת מטרת העיבוד. מנגנונים אלה חלים על היקף המידע שנאגר, היקף העיבוד, זמן האגירה ונגישות המידע.
בעל השליטה במידע נושא באחריות גם לפעולות של מי שמעבד מידע בשבילו. האחריות היא על בעל השליטה במידע להתקשר בהסכם כתוב עם מעבד מידע, ולוודא שמעבד המידע פועל ומספק הגנה נאותה לנשואי המידע בהתאם ל- GDPR.
כמובן שגם מי שמעבד מידע נושא באחריות כלפי נשואי המידע, וגם מעבד המידע מחוייב לפעול לפי GDPR ללא קשר לשאלה האם בעל השליטה במידע פועל על פי הכללים, או לאו.
בעל שליטה במידע שמתקשר עם מעבד חייב לוודא שבין הצדדים קיים הסכם בכתב, הכולל בין היתר את ההתחייבויות הבאות של מעבד המידע:
לפעול בקשר למידע אך ורק בהתאם להנחיות כתובות ומפורשות מבעל השליטה במידע.
למחוק ולהחזיר את המידע שבידי מעבד המידע לבעל השליטה במידע על פי דרישתו של בעל השליטה או עם סיום ההתקשרות בין הצדדים.
לשמור על סודיות המידע, ולגרום לכך שגם עובדי וגורמים אחרים מטעמו של מעבד המידע שיש להם נגישות למידע, ישמרו על סודיות.
לנקוט בצעדים טכניים וארגוניים כדי להגן ולשמור על שלמות ותקינות עיבוד המידע.
כל התקשרות של מעבד המידע עם קבלני משנה שלו תהיה בכתב, כפופה לתנאים ולהתחייבויות של מעבד המידע הראשי, ותתבצע אך ורק לאחר קבלת הסכמה מראש ובכתב של בעל השליטה במידע.
לקיים תיעוד מסודר של כל פעולות העיבוד.
למנות קצין הגנת מידע הכין שנדרש.
לסייע לבעל השליטה במידע:
לקיים את תקנות GDPR ולשתף פעולה עם הרשויות הרגולטוריות הרלבנטיות.
לשמור על זכויותיהם של נשואי המידע ולאפשר להם לממשן, וכן לאפשר לנשואי המידע גישה מלאה וחופשית למידע אודותיהם.
להגן על המידע ושלמותו, לקיים סקר סיכוני הגנת מידע, ולדווח על כל פריצה וגישה בלתי מורשית למידע.
חושב לדעת, שהפרת התחייבויות של מעבד מידע כלפי בעל השליטה במידע אינה מהווה רק הפרה של חוזה בין הצדדים, אלא חושפת את מעבד המידע לתביעות משפטיות מצד נשואי המידע, כמו גם להליכים מנהליים, לקנסות כספיים כבדים ואפילו בנסיבות מסויימות להליכים פליליים מצד הרשויות הרגולטוריות במדינות האיחוד האירופי.
שימו לב -תקנות GDPR אינן ממצות את החובות החלות על בעל שליטה במידע ועל מעבד מידע, ובמקביל ל- GDPR עשויות לחול גם הנחיות רגולטוריות מדינתיות וקודי התנגדות מחייבים. יש לפעול גם על פיהם!
מתי קיים אינטרס לגיטימי לעיבוד מידע ומתי אינטרס לגיטימי נחשב לבסיס חוקי לעיבוד לפי GDPR?
GDPR מכיר ב"אינטרס לגיטימי" כבסיס חוקי תקף לביצוע עיבוד של מידע אישי.
המונח "אינטרס לגיטימי" הוא "מונח סל" רחב, המאפשר גמישות מרבית למי שרוצה לבצע עיבוד של מידע אישי. האינטרס הזה יכול להיות אינטרס עצמי של בעל המידע, וזה יכול להיות אינטרס של צד ג'. האינטרס יכול להיות מסחרי, אישי או חברתי.
כך לדוגמא, תקנות GDPR רואות בעיבוד מידע לצרכי אבטחת מידע והגנת רשתות תקשורת, או בעיבוד מידע על לקוחות או בעיבוד מידע על עובדים, כל עוד הם נחוצים וסבירים, כעיבוד מידע שנעשה לצורך הגנה על אינטרסים לגיטימיים.
כמובן, שגם אם יש אינטרס לגיטימי לעיבוד מידע, העיבוד צריך להיות סביר, לעלות בקנה אחד עם הציפיות הסבירות של נשואי המידע, ולהיות הכרחי לצורך מימוש האינטרס. בכל מקרה אסור לו לפגוע במידה העולה על הנדרש בזכויות של נשואי המידע. אם אפשר להשיג את האינטרס הלגיטימי הזה ללא ביצוע עיבוד, או באמצעות עיבוד מצומצם בלבד, יש לפעול בהתאם.
על מנת לקבוע האם קיים אינטרס לגיטימי לעיבוד מידע אישי, ניתן להיעזר, בין השאר, במבחן התלת שלבי (מקור: הרשות הבריטית להגנת פרטיות (IPO – Information Commissioner’s Office)):
ראשית, זיהוי האינטרס – האם שימוש במידע הוא חוקי או מוסרי? מה מטרת העיבוד? מי נהנה מהעיבוד וכיצד? האם יש לעיבוד תועלות ציבוריות ובאיזה היקף? מי יפגע אם לא יתבצע עיבוד מידע?
שנית, נחיצות העיבוד – עד כמה העיבוד הכרחי לשם קידום או מימוש האינטרס שזוהה? האם ניתן באופן סביר לממש את אותו אינטרס ללא עיבוד המידע או באמצעות עיבוד בהיקף מצומצם יותר?
שלישית, איזון עם זכויות נשוא המידע – מה ההשלכות של העיבוד? האם יש זכויות של נשוא המידע שנפגעות? מהן? האם המידע הוא מידע רגיש? האם לנשוא המידע יש ציפייה סבירה לעיבוד מידע אודותיו בהיקף שמבוצע? האם נשוא המידע צפוי להתנגד לעיבוד אם ידע עליו? האם יש לנשוא המידע אפשרות להחריג את עצמו מהעיבוד?
עיבוד מידע על ילדים מחייב זהירות מוגברת, כך שהרף לקיומו של אינטרס לגיטימי לעיבוד מידע הנוגע לילדים הוא גבוה במיוחד.
בהקשר זה חשוב לזכור, שבמסגרת המידע שנמסר לנשואי המידע, לרבות באמצעות תקנון או מדיניות הפרטיות, יש לציין במפורש שהעיבוד מתבצע על יסוד אינטרס לגיטימי, וכן לפרט מהו אותו אינטרס.