ב-14 באפריל, 2016 אישר הפרלמנט האירופי דבר חקיקה חשוב בנושא הגנת מידע – הנחיה כללית בנושא הגנת מידע (General Data Protection Regulation – GDPR). חקיקה זו חלה ישירות על מדינות החברות באיחוד האירופי ומכאן שאין צורך שכל מדינה תאמץ את ההנחיה (המכונה regulation) באמצעות חקיקה מדינתית. מטרתה של ההנחיה היא לתאם בין חוקים שונים להגנת מידע התקפים במדינות החברות, והיא תכול החל ממאי 2018.
בנוסף, אישר האיחוד האירופי דירקטיבה לרשויות אכיפת החוק (LEA Directive) בדבר פעולות הקשורות לביטחון לאומי. דירקטיבה זו תכול במהלך 2018, כאשר אין חפיפה בין שני דברי החקיקה מבחינת הפעולות עליהן הם חלים (ובכל מקרה ה- GDPR אינו חל על פעולות של פרטים לצרכים אישיים).
במה מתבטאת חשיבותו של ה- GDPR לישראל ולגופים ישראליים בשנת 2016? ה- GDPR, פוטנציאלית, היא בעלת תחולה רחבת היקף וחלה על:
- ארגונים עם נוכחות באיחוד האירופי אשר מעבדים מידע אישי
- ארגונים שמעבדים מידע אישי של תושבי האיחוד, בקשר עם מוצרים ושירותים שהם מציעים להם
- ארגונים שמנטרים התנהגות של תושבי האיחוד באמצעות מעבדי מידע או בקרי מידע
כלומר, אם לארגון ישראלי יש נוכחות באיחוד האירופי בהקשר של הפעילויות האמורות, ומידע אישי מעובד, ה- GDPR תחול. עניין זה עשוי לחול גם על מי שמחזיק משרדי מכירות באיחוד הפועלים כלפי תושבי האיחוד. בנוסף, לגבי פסקאות 2, 3, ה- GDPR חל בצורה רחבה, כך שלמעבדי המידע ולבקרי המידע דרוש נציג רשמי באיחוד, שיהיה זמין ונגיש לטפל בכלל הסוגיות הקשורות לעיבוד של מידע אישי לפי ה- GDPR. בהתחשב בתחולה הרחבה של ההנחיה, גופים ישראליים צריכים להתחיל לשקול אם הם נופלים במסגרת ה- GDPR, ובמידה שכן, לשקול את הצעדים המתאימים.
כן יש לציין שה- GDPR כולל חובות חדשות שחשוב להכיר. כך למשל 1) דרישות מחמירות יותר לגבי הסכמתם של מושאי המעקב בעניין הגנת מידע (ההסכמה צריכה להיות באמצעות פעולה או הצהרה אקטיבית; היא צריכה להיות ניתנת לביטול בקלות; אסור לקשור יחדיו הסכמות לעיבוד מידע מפעילויות שונות) 2) נדרשת שקיפות גבוהה יותר במסירת מידע לפרטים אשר מעבדים לגביהם מידע 3) יש לעודד הליכים השומרים על אנונימיות הפרט לגביו מעובד המידע, כך שלא ניתן לזהות את האדם מבלי לגשת למידע נוסף 4) חובת הודעה על מקרים של הפרת בטחון מידע ופרצות אבטחה 5) זכויות חדשות למושאי המידע, דוגמת הזכות להישכח. בהקשר זה יש לציין שהוגשה הצעת חוק בישראל. בנושא זה, ראו כאן .
זכות נוספת היא זכות הניידות בין בקרי מידע 6) פרופיילינג – אשר לשם ביצועו נדרשת הסכמתו המוצהרת, הברורה והפוזיטיבית של הפרט 7) תניות מיוחדות בנוגע לילדים 8) סעיפים הקשורים להעברת מידע בין מדינות אל מחוץ לאזור הכלכלי של האיחוד. ישראל עדיין מוכרת על ידי האיחוד כמדינה שמתאימה לקריטריונים של העברה בין-מדינתית שכזו. בהקשר זה ראו ניוזלטר קודם בנושא.
ההנחיה קובעת עיצומים כספיים בגובה של עד 10 מיליון יורו או 2% מהמחזור השנתי של השנה הכספית החולפת, בגין הפרה של חובות הגנת מידע.
לסיכום, למרות שההנחיה תכנס לתוקף רק ב-2018, מומלץ לחברות להתחיל לבחון את פעילויות הגנת המידע שלהן, הכללים, המדיניות, ההסכמים, הליכי קבלת ההסכמה וכיוצא באלה, על מנת לוודא עמידה בהנחיה החדשה ואם היא חלה על החברה.
הפניה: ec.europa.eu/justice/data-protection
|
|
|
