המידע הגנת לחוק המדריך

החדש האירופי

2016

כללים עקרונות ותחולה על חברות ישראליות חוף ושרון גיא-כתבו וערכו: עוה"ד דן אור

6971011תל אביב , רמת החייל, 7רחוב הברזל ;hof.com-www.or

dan@or-hof.com ; sharon@or-hof.com

03-5620992 ; 1 (415) 906-5260

1

חזרה לתוכן

העניינים

הנה שלושת הדברים החשובים ביותר שצריך לדעת על חוק הגנת המידע האירופי החדש: גם באמצעות שירותים אינטרנטייםהוא חל על חברות ישראליות הפועלות בשוק האירופי ,; כבר כעת הוא כולל דרישות חדשות שצריך להיערך להן; מיליוני אירו. בקנסות של לעלות עלולההפרה של החוק

עדכון דיני הגנת המידע האישי באירופה -מטרתה .ראשונההחוק הפורסמה טיוטת 2012בינואר האיחוד האירופי נוסח סופי. גיבש ויצירת הרמוניזציה חקיקתית ברחבי האיחוד. ארבע שנים אחר כך

–הכללי להגנת מידע הוא החוק –החדש מחליף החוק הקיים, החוק - 1את דירקטיבת הגנת המידעGeneral Data Protection Regulation או בקיצור, ה ,– GDPR2 .

נערכים לציות לחוק כבר בימים אלה , אולםבתוקף GDPR –, תהיינה הוראות ה 2018החל מקיץ . ולהוראותיו הרבות והמורכבות החדש

. הוא שולח את האיחוד האירופי לטריטורייתמרחיב את תחולתו באופן דרמטי אל מעבר GDPR –ה זרועותיו הארוכות לחברות האוספות ומנהלות מידע אישי אגב אספקת שירותים או מוצרים לשוק

. תושבי האיחוד האירופישל האירופי. הוא חל גם על חברות היוצרות פרופילים התנהגותיים

ן יחול עליהן, אם במהלך השירותים שה GDPR –כל אלה הן דוגמאות לחברות ישראליות שה –מספקות, הן מנהלות או משתמשות במידע אישי על תושבי האיחוד האירופי

אלקטרוני;אפליקציות ופלטפורמות למכירות ומסחר ( שירותי תוכנה כשירותSoftware as a Serviceלניהול )/ ;עיבוד מידע של לקוחות קצה ( שירותי ניתוח מידע אישיBig Data Analysis;) מיון והשמה; התנהגותי וצרכני; דיוור ותקשורת;שירותי ניתוח .שירותים לתעשיית הפרסום האינטרנטי

החוק האירופי החדש יחייב, בין היתר, ליישם את ההוראות הבאות:

.מדיניות הפרטיות תצטרך להשתנות באופן דרמטי .)יהיה צורך במינוי של קצין הגנת מידע )תפקיד שונה ונפרד מקצין אבטחת המידע .יהיה צורך למנות נציג של החברה בשטחי האיחוד האירופי .יהיה צורך לשלב שיקולים של הגנת מידע לתוך תכנון מערכות ושירותים חדשים על פריצות למידע. האיחוד האירופייהיה צורך לדווח לרשויות פשוט לביטול ההסכמה לשימוש במידע.יה צורך לספק מנגנון יה .יהיה צורך לקיים תיעוד מפורט של אופני עיבוד המידע יהיה צורך לאפשר לנושאי המידע )בני האדם שהמידע מתייחס אליהם( למחוק מידע לא

ת ולהתנגד לקבלת החלטות לגביהם המבוססורלבנטי, לנייד מידע מספק שירותים אחד לשני .על עיבוד אוטומטי

מהתוצר השנתי הגלובאלי שלה, או על 4%חברה שלא תציית להוראות החוק החדש תוותר על עד לפי הגבוה מבין השניים. זהו גובה הקנס המנהלי )ללא צורך באישור של בית –אירו 20,000,000

משפט(, שרשויות הגנת מידע אירופיות תוכלנה להטיל.

1 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995

on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

2 REGULATION (EU) 2016/… OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

of on the protection of natural persons with regard to the processing of personal data

and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

2

חזרה לתוכן

העניינים

. בחוק עצמו סעיפים 99 –סעיפים בדברי האקדמה ו 173כולל והוא עמודים אורכו 260 –החוק החדש

המתייחס להוראות שלדעתנו ,הזהמדריך את הבשל חשיבותו הרבה לחברות ישראליות רבות, ערכנו נו נושאים שיש לטפל בהם כדי הצג, ביארנו את המושגים הכלולים בו וGDPR -הן המשמעותיות ב

.יולהיערך לפעול לפ

. ככל שיהיו 2016המדריך מבוסס על הגירסה שאומצה על ידי הפרלמנט האירופי בחודש אפריל שינויים כלשהם עד למועד פרסומו של החוק, אנו נמשיך ונעדכן על כך.

זהו כמובן לא תרגום של החוק. המדריך איננו ממצה ולעתים תמצאו בו גם את דעתנו, כיוון שישנן אנו איננו מוסמכים לעריכת : לתשומת הלבשעוד תדרושנה מלאכת פרשנות רבה. GDPR –הוראות ב

דין באיחוד האירופי והמדריך איננו בגדר חוות דעת משפטית. תפקידו לשמש כמעין מורה נבוכים , אך הוא איננו תחליף למושגים ולעקרונות הכלולים בחוק החדש ולסייע בהבנת יישום הוראותיו

.חוק זהציות לל ליעוץ מקצועי בנוגע

אנו מקווים שהמדריך הזה יועיל לכם.

עו"ד שרון גיא חוף-עו"ד דן אור

הגנת בתחום ארגוניות ציות תכניות בבניית עוסק רוחני וקניין טכנולוגיות חוף-אור ד"עו משרד, והסכמים נהלים, תהליכים בונה, הפרטיות הגנת בתחום סיכונים סקרי מבצע, והפרטיות המידע בינלאומיות עסקאות מנהל, טריטוריאליות-בין מידע בהעברות מטפל, שוטף משפטי ליווי מספק: של המשרד האינטרנט באתר בקרו, נוסף למידע. ואימון הדרכה ומספק מידע לניהול

http://www.or-hof.com

מידע להגנת מוסמך מומחה הוא. שנה 17 מזה ופרטיות מידע הגנת בהיבטי עוסק, חוף-אור דן ד"עו הגנת מלמד(, IAPP) במידע פרטיות על ההגנה בתחום למומחים הבינלאומי האיגוד וחבר( CIPP) אישי להגנת הציבורית המועצה חבר, אביב תל באוניברסיטת הסייבר ללימודי בתוכנית ופרטיות מידע

. וזרים מקומיים לפרסומים וכותב ל"ובחו בארץ מרצה, חקיקה בתהליכי מייעץ, הפרטיות

ומסייעת שנים שלוש מזה והפרטיות המידע הגנת בתחומי וליווי יעוץ במתן עוסקת, גיא שרון ד"עו . והרגולציה החוק לדרישות פעילותן את להתאים ולחברות לגופים

3

חזרה לתוכן

העניינים

תוכן העניינים

4..........................................................................................מושגי יסוד .................................

6.............................................על מי החוק חל? תחולה מהותית וטריטוריאלית .........................

6....................................................................................................... מתי ייכנס החוק לתוקף?

9............................................................................................................ עקרונות הגנת המידע

10........................................................................ המידע ומטרות נוספות לעיבודחוקיות עיבוד

.............................................................................. 10.........................................הסכמה

................................................................. 12...............................................הגנת קטינים

13...................................................................................................................מידע רגיש

.......................... 14...........................................................................עיבוד למטרה נוספת

...................... 15......................................................................עיקרון האינטרס הלגיטימי

17........................................................................זכויות הפרט הקיימות והחדשות ..................

................. 17...........................................................................הודעה בדבר איסוף המידע

......................... 18.............................................................................הזכות לקבלת מידע

..... )'19.................................................הזכות לתקן מידע והזכות להימחק )'הזכות להישכח

.......................................... 21.................................................הזכות להתנגד לעיבוד מידע

22....................................בלי המידע לנושאי המידע ...עדכון מקבלי המידע והעברת פרטי מק

.............................................................................. 22...........................הזכות לניוד מידע

......................................................... 22...............הזכות להתנגד ליצירת פרופיל התנהגותי

......................... 23................................הזכות להתנגד לתהליכי קבלת החלטות אוטומטיים

25......................................................חובות בעל השליטה במידע ומעבד המידע .........................

..................................... 29.........................................אבטחת מידע ודיווח על פריצה למידע

.......................................................................... 31............................סקר סיכוני פרטיות

.......................................................................................... 33.................קצין הגנת מידע

35.......................................................................................העברות מידע ..............................

37...........אחריות, סעדים וקנסות מנהליים.................................................................. –אכיפה

4

חזרה לתוכן

העניינים

מושגי יסוד

נושאים לטיפול

. הן שונות מהדין הישראלי וחשובות מאד GDPR –הכירו את ההגדרות העיקריות ב לצורך הבנת החוק.

סעיפים רלוונטיים

GDPR –ל 4סעיף

, יש להכיר את הטרמינולוגיה שבה החוק משתמש. היא דומה לזו GDPR –כדי להבין את ה מושגים נוספים. היא מזכירה במידה מסוימת שהדירקטיבה השתמשה בה עד היום, אך כוללת גם

, אך בכל "(הישראלי )"חוק הגנת הפרטיות 1981-, תשמ"אהוראות והגדרות בחוק הגנת הפרטיות . במידה רבהזאת שונה

–להכיר אותם על מנת להבין את הוראות ה מומלץ מושגים דומיננטיים, שעשרה בחרנו להציג GDPR:

בעל השליטה במידע (rollerData Cont)3 – אדם, לרבות תאגיד וחבר בני אדם, רשותציבורית, סוכנות או כל גוף אחר, אשר לבד, או יחד עם אחרים, קובע את המטרות והאמצעים לעיבוד של מידע אישי; כאשר המטרות והאמצעים לעיבוד המידע נקבעים על ידי איגוד או

או אמות הבחינה לקביעתו , בעל השליטה במידעחוק של מדינה חברה באיחוד האירופי יכולים להינתן על ידי האיגוד או החוק של המדינה החברה.

הסכמה (Consent)4 - הסכמה של נושא מידע משמעה חיווי שניתן באופן חופשי, מסוים, מודעמשמעי של רצונותיו של נושא המידע, שבאמצעותו, בדרך של הצהרה או פעולה ברורה -וחד

(, נושא המידע מעיד על הסכמתו לעיבוד המידע האישי הנוגע אליו.affirmativeומחייבת )

יצירת פרופיל (Profiling משמעה כל צורה של עיבוד אוטומטי של מידע אישי הכוללת את )השימוש במידע אישי כדי להעריך היבטים אישיים מסוימים הקשורים לאדם, במיוחד לצורך

דו של אדם בעבודה, בתהליך כלכלי, בהקשר ניתוח או כדי לנבא היבטים הנוגעים לתפקו לבריאותו, להעדפותיו ולאינטרסים שלו, לאמינותו, להתנהגותו למיקומו ולתנועותיו.

מידע אישי (Personal Data)5 – משמעו מידע הנוגע לאדם 'טבעי' ]דהיינו שאינו תאגיד אום שיכול להיות מזוהה הוא )'נושא המידע'(; אדשניתן לזיהוי ד.א.[ מזוהה או –חבר בני אדם

כדוגמת שם, מזהה התייחסות לאדם שניתן לזהותו במישרין או בעקיפין, במיוחד בדרך של פיזיים, , או לאחד או יותר מאפייניםמספר מזהה, מידע על מיקום, מזהה אינטרנטי

חברתיים של אותו אדם. -פיזיולוגיים, גנטיים, מנטאליים, כלכליים, או מזהים תרבותיים

מונח שחוק הגנת הפרטיות משתמש בו, אך איננו מגדיר אותו וכן להגדרת –השוו ל"בעל מאגר מידע" 3

לחוק. 7"מנהל מאגר" בסעיף לחוק הגנת הפרטיות. 3בסעיף השוו להגדרת "הסכמה" 4 לחוק הגנת הפרטיות. 7השוו להגדרת "מידע" בסעיף 5

5

חזרה לתוכן

העניינים

מעבד(Processor)6 – אדם, לרבות תאגיד וחבר בני אדם, רשות ציבורית, סוכנות או כל גוף אחר המעבד מידע אישי בשמו של בעל השליטה במידע.

נציג (Representative )– ,הנמצא באיחוד האירופי ושבעל שליטה במידע או אדם או תאגיד –בהתאם ל עליהםמעבד מידע ייפו את כוחו בכתב לייצג אותם בקשר עם החובות החלות

GDPR .

עיבוד (Processing)7 משמעו כל פעולה או קבוצת פעולות המבוצעת במידע אישי או באוספיםבדרכים אחרות, כגון: איסוף, של מידע אישי, בין באמצעות אמצעים אוטומטיים ובין

שיתוף/הקלטה, סידור, הבניה, שמירה, התאמה או שינוי, אחזור, התייעצות, שימוש, גילוי(, שילוב, הגבלה, מחיקה alignmentבאמצעות שידור, הפצה, או הפיכת המידע לזמין, תיווי )

או השמדה.

פסאודונימיזציה (Pseudonymisation)8 – אישי באופן שהמידע משמעה עיבוד של מידעללא שימוש במידע נוסף, בכפוף האישי איננו יכול עוד להיות משויך לנושא מידע מסוים

לכך שהמידע הנוסף נשמר בנפרד והוא כפוף לאמצעים טכניים וארגוניים להבטיח שהמידע האישי לא ישויך לאדם מזוהה או שניתן לזיהוי.

פריצה למידע אישי (personal data breach) – ,משמעה פריצת אבטחה המובילה להשמדהאובדן, שינוי, חשיפה בלתי מורשית או גישה למידע אישי השמור, משוגר, או מעובד בדרך

אחרת, בטעות או באופן בלתי חוקי.

שירות חברת המידע(Information Society Service)9 – זהו שירות המסופק באופן שגרתי ם ולבקשת האדם שהשירות מסופק לו. ימצעים אלקטרוניעבור תמורה, ממרחק, בא

לחוק הגנת הפרטיות. 3השוו להגדרת "מחזיק" בסעיף 6 לחוק הגנת הפרטיות. 3השוו להגדרת "שימוש" בסעיף 7מחליף. GDPR –זהו מושג חדש. הוא איננו קיים בחוק הישראלי וגם לא קיים בדירקטיבה שה 8

מצוין שחוק זה איננו חל על GDPR –אנונימיזציה. בדברי האקדמה ל שימו לב שזהו מושג נפרד מ

מידע אנונימי, דהיינו על מידע שאיננו משויך לאדם מזוהה או שניתן לזהותו. 9 Directive (EU) 2015/1535 of the European Parliament and of the Council of

9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1). Point (b), Article 1(1).

6

חזרה לתוכן

העניינים

תחולת החוק וכניסתו לתוקף

10מועד כניסה לתוקף

נושאים לטיפול

. יש להתחיל להיערך לציות להוראות החוק כבר כעת.2018 –לא ניתן לחכות ל

פורסם נוסח החוק הרשמי , 14.4.2016 –ב GDPR –לאחר שהפרלמנט האירופי הצביע בעד חקיקת ה . בהתאם להוראות החוק, ייכנס החוק 4.5.2016 –ב Official Journal of the European Union –ב

GDPR –, אך יהיה צורך להתאים עיבוד מידע אישי שנעשה כעת להוראות ה 24.5.2016 –לתוקף ב תהיה שנתיים לאחר מכן. אך תחולת הוראותיויהיה הוראותיו יחולו 11תוך שנתיים מיום פרסומו.

.הוא תאריך היעד 2018מאי לכן

חברות וארגונים שהחוק יחול עליהם מתחילים להיערך כבר בימים אלה, כיוון שדרישות עם זאת, החוק הן רבות ומורכבות והסיכון שבאי ציות להן יהיה גבוה מאד.

תמצית - יאליתתחולה מהותית וטריטור

נושאים לטיפול

:האם אתם "נמצאים" באיחוד? האם אתם מעבדים מידע של בידקו היטבאם האם אתם מנטרים התנהגות של תושבי האיחוד? תושבי האיחוד?

חל עליכם. GDPR –התשובה חיובית לאחת או יותר מהשאלות הללו, ה עליכם להיערך לבניית תוכנית ציות מתאימה.

אם אין לכם נוכחות באירופה, אך ה– GDPR חל עליכם, תצטרכו למנות נציג מטעמכם באיחוד האירופי.

שימו לב שה– GDPR ,איננו תחליף לחקיקה ורגולציה בתחומים מסוימיםכדוגמת שירותי בריאות, שירותים כלכליים וכיו"ב. לצד תוכנית ציות

, יש לבדוק וליישם הנחיות רגולטוריות ספציפיות GDPR –מתאימה ל בהתאם לנדרש.

יפים סע רלוונטיים

לדברי האקדמה. 36, 24-19, 17-6. סעיפים GDPR –ל 27, 3, 2סעיפים

והוא םייהאירופמרחיב את תחולת דיני הגנת המידע GDPR –בהשוואה לדירקטיבת הגנת המידע, ה שני היבטים מרכזיים:כולל

בגבולות האיחוד האירופי שמקום מושבםהחוק חל על כל בעל שליטה במידע ומעבד מידעעובד בהקשר מעל כך בהמשך( כאשר המידע האישי – ?"מקום מושבם)למה הכוונה ב"

לפעילותם.

. GDPR –ל 99ראו סעיף 10 לדברי האקדמה. 171ראו סעיף 11

7

חזרה לתוכן

העניינים

בגבולות האיחוד מקום מושבם איננוהחוק חל גם על בעלי שליטה במידע או מעבדי מידע שמעבדים מידע על תושבים של האיחוד בקשר עם הצעה של מוצרים או (1: )אם הםהאירופי

ישראליים המספקים (SaaS) 'תוכנה כשירות' שירותים לתושבים אלה, כדוגמת שירותיים שבתורם מציעים שירותים או מוצרים לתושבים של האירופשירותים ללקוחותיהם

באיחוד האירופי, כדוגמת אם הם מנטרים את ההתנהגות של בני אדם ( 2)האיחוד; או, שירותי פרסום ואנליטיקה אינטרנטיים.

, המספקים שירותים ומוצרים באיחוד האירופי מהם הארגונים בעלי נוכחות –תחולה בהרחבה ?לתושבי האיחוד והמנטרים את פעילות תושבי האיחוד

חל על נוכחות באירופה GDPR –ה

( באיחוד האירופי, כאשר המידע האישי Established)מקום מושב יחול על ארגונים בעלי GDPR –ה מעובד בהקשר לפעילות של נוכחות זו. כלומר, החוק יכול לחול גם כאשר עיבוד המידע נעשה בפועל

בטריטוריה אחרת.

" פורש בפסיקה האירופית בהרחבה, כך שהוא כולל כל פעילות אמיתית מקום מושבהמונח "רגון באמצעות הסדרים קבועים בתוך האיחוד האירופי, אפילו אם הפעילות ואפקטיבית שמקיים א

לדוגמה באמצעות סניף או משרד, איננה –הצורה המשפטית שבה הפעילות נעשית 12היא מינימלית. מרכיב מכריע בהחלטה לגבי נוכחות החברה בשטחי האיחוד.

דע צריך להיות מרכז ניהול עסקיו בדברי האקדמה מצוין עוד כי מקום המושב המרכזי של מעבד המי 13המקום שבו עיקר פעילות עיבוד המידע נעשית. –בתוך האיחוד ואם אין לו מרכז כזה

–לדוגמה כך

.הנוכחות של אדם אחד המייצג את החברה בתוך האיחוד יכולה לספק

בהונגרית, עם סוכן מקומי וכתובת המפרסם מוצרים או נכסים בהונגרית אתר אינטרנט 14., על אף שפעל ממדינה אחרתבאיחוד , הוכר כבעל נוכחותריתגנמקומית בהו

,ארגונים בעלי משרדי מכירות באיחוד האירופי, המפרסמים או משווקים לתושבי האיחוד DPRG.15 –ל אף הם יהיו כפופים

חל על מכירת מוצרים ושירותים לתושבי האיחוד GDPR –ה

מציעים מוצרים הם באיחוד האירופי, אך שמקום מושבם איננו יחול בנוסף על ארגונים GDPR –ה ושירותים לתושבי האיחוד. מדובר על הצעה של שירותים ומוצרים ואין הכרח שיבוצע בפועל תשלום. ההחלטה בסופו של דבר ניתנת על בסיס כל מקרה לגופו והרשימה של הדוגמאות שלהלן איננה ממצה.

– GDPR –ה כל אלה יכולים להשפיע על תחולת

אפליקציה יש גירסה בשפה של אחת ממדינות האיחוד;ללאתר או

רו; איה -מטבע האיחוד אפשרות לרכוש מוצרים או שירותים באמצעות

, Weltimmo v. NAIH 30/142-Cבתיק e of the European Union (CJEU)ourt of JusticC –ראו החלטת ה 12

. 1.10.2015החלטה מיום לדברי האקדמה. 36ראו סעיף 13 לעיל. Weltimmoראו בעניין 14בעניין גוגל נ' רשות הגנת המידע הספרדית C-131/12בתיק 13.5.2014מיום UCJE –ראו החלטת ה 15

ומריו גונזלס )ההחלטה שמיסדה את "הזכות להישכח"(.

8

חזרה לתוכן

העניינים

לתושבי האיחוד;טקסט שיווקי המכוון

;קמפיינים פרסומיים המכוונים לתושבי האיחוד

שימוש בשם מתחם בסיומת.eu ות באיחוד;או סיומת מדינתית של אחת מהמדינות החבר

איננה מספיקה. מנגד, עצם העובדה שניתן יהיה לגשת לשירות מתוך האיחוד ,

חל על ניטור של פעילות תושבי האיחוד GDPR –ה

להם נוכחות באיחוד איןעיבוד מידע אישי של נושאי מידע על ידי בעל שליטה במידע או מעבד מידע שכאשר ההתנהגות י תחול, כאשר עיבוד המידע נוגע לניטור ההתנהגות של נושאי המידע,האירופ

מתרחשת ברחבי האיחוד האירופי.

, כדי לקבוע אם פעילות עיבוד מידע תיחשב כניטור התנהגות GDPR –של ה האקדמהבהתאם לדברי של נושאי מידע, יש לברר אם נושאי מידע מנוטרים באינטרנט ולאחר מכן נעשה שימוש בטכניקות עיבוד מידע לצורך יצירת פרופילים התנהגותיים, במיוחד כדי לקבל החלטות הנוגעות לנושאי המידע,

ת, ההתנהגות והגישות של נושאי המידע. או כדי לנתח או לנבא את ההעדפו

מינוי נציג באירופה

בעלי שליטה במידע או מעבדי מידע שאין להם נוכחות באיחוד האירופי, חייבים למנות נציג מטעמם 16באיחוד האירופי.

על מה החוק לא חל?

–אין תחולה על שורה של פעילויות וביניהן GDPR –ל

.שימוש במידע אישי לצרכים אישיים בלבד

לצורכי חקירה ומניעת עבירות פליליות. במידע אישי שימוש

במידע אישי לצורכי ביטחון לאומי. שימוש

האם זה יהיה החוק היחיד?

הדירקטיבה להגנת מידע שהיתה תקפה עד כה, שימשה כחוק מנחה בלבד, שמכוחו כל מדינה החברה באיחוד חוקקה חוק הגנת מידע משלה. הדבר יצר חוסר אחידות ביישום העקרונות שנקבעו

בדירקטיבה.

לעומתה הוא חוק שיחול כפי שהוא בכלל מדינות האיחוד. עם זאת, החוק כולל מספר רב GDPR –ה , לדוגמה, GDPR –של מקומות המאפשר למדינות החברות לחוקק חוקים משלהן, הנגזרים מה

חקיקה הנוגעת למידע גנטי וביומטרי, חקיקה הנוגעת לפרטיות ילדים בשירותים לא אינטרנטיים והסדרת השימוש במידע על עבירות פליליות והרשעות.

ציה בחקיקה והקלה על הפעילות הכפופה לה, זו אליה וקוץ בה. לכאורה מדובר במהלך של הרמוניז ת במדינות החברות באיחוד. רלוונטיאך בפועל נמשיך להיזדקק לבדיקה פרטנית של החקיקה ה

. GDPR –ל 27ראו הוראות בעניין זה בסעיף 16

9

חזרה לתוכן

העניינים

הגנת המידעעקרונות

נושאים לטיפול

יש לעבור על נוהלי החברה הרלוונטיים, על קוד ההתנהגות של החברה, על מסמכיואלה המכוונים כלפי לקוחות החברה. יש לעדכן מדיניות הפרטיות הארגוניים

את המסמכים הללו כך שיכללו התייחסות הולמת לעקרונות הגנת המידע. יש לערוך הדרכה מתאימה לעובדי החברה הרלוונטיים ולספקיה, ביחס לעקרונות

הגנת המידע.

סעיפים רלוונטיים

קדמה. אלדברי ה 39וסעיף GDPR –ל 5סעיף

הגנת המידע הקיים בדירקטיבת הגנת המידע, בהבדל שומר על מבנה עקרונות GDPR –כללית, ה נוספה הוראה מפורשת לפיה על בעלי השליטה במידע להיות בעלי GDPR –ל –אחד אך רב משמעות

יכולת להראות שהם מצייתים לעקרונות הגנת המידע.

מהוראה זו נגזרות שורה של פעולות נדרשות של תיעוד ובכלל זה שימוש בכלים טכנולוגיים שיאפשרו לבעלי השליטה במידע להציג ראיות אלקטרוניות המוכיחות שהם ביצעו את הנדרש מהם על פי דין.

אלה הם ששת עקרונות הגנת המידע:

מידע אישי יעובד באופן חוקי, הוגן ובשקיפות. :חוקיות

מידע אישי ייאסף למטרות מוגדרות, מסוימות ולגיטימיות ולא יעובד, אלא מגבלת מטרה :למטרות הללו. עיבוד למטרות נוספות כדוגמת ארכוב ומטרות לטובת הציבור, לצורכי מדע,

מחקר היסטורי, סטטיסטי, לא ייחשב כחורג ממגבלת מטרות השימוש.

נדרש בקשר עם מטרות לומוגבל רלוונטי : מידע אישי יעובד באופן הולם,מזעור מידע העיבוד.

מדויק והיכן שנדרש, יישמר מעודכן. מידע לא מדויק יימחק או יתוקן יה: מידע אישי יהדיוק ללא דיחוי.

מידע אישי יישמר באופן המאשר זיהוי של נושאי המידע לפרק זמן שאיננו מגבלת שמירה :ע. מידע יכול להישמר למטרות ארכוב עולה על הנדרש לשם מימוש מטרות עיבוד המיד

ומטרות נוספות בכפוף לאבטחתו כראוי ולשמירת זכויות נושאי המידע.

מידע אישי יעובד באופן המבטיח אבטחה ראויה שלו, לרבות הגנה מפני שלמות וסודיות :או לא חוקי וכן מפני אובדן, השמד ונזק, תוך שימוש באמצעים מורשהעיבוד בלתי

וארגוניים מתאימים. טכנולוגיים

10

חזרה לתוכן

העניינים

חוקיות עיבוד המידע ומטרות נוספות לעיבוד

נושאים לטיפול

עליכם לבדוק אם תהליך קבלת ההסכמה שאתם מציעים, הולם את דרישות ה– GDPR .

.אם הנכם עומדים בדרישות בדקוניהול מידע רגיש מחייב התייחסות מיוחדת הנוגעות לעיבוד מידע מסוג זה.

אם עליכם למלא אחר הוראות הנוגעות לפרטיות ילדים. בדקו אם פעילות במידע נשענת על 'אינטרס לגיטימי', עליכם להיות מוכנים להראות את

תהליך קבלת ההחלטות המתועד שהוביל אתכם להחלטה בעניין זה.

סעיפים רלוונטיים

לדברי האקדמה. 50-41וסעיפים GDPR –ל 9, 8, 7, 6סעיפים

שקבועים בדירקטיבת הגנת חוזר במידה רבה על התנאים לעיבוד חוקי של מידע אישי, GDPR –ה , אולם כולל הגדרות ומגבלות חדשות בנוגע לתנאים אלה. המידע

אלה הם ששת התנאים החלופיים לעיבוד מידע אישי באופן חוקי:

.הסכמת נושא המידע

או כדי לערוך חוזה כזה. עיבוד המידע נחוץ לביצוע חוזה עם נושא המידע

.עיבוד המידע נחוץ כדי לציית לחובה חוקית

חיובי של נושא המידע או של אדם אחר, כאשר נושא אינטרסעיבוד המידע נחוץ כדי להגן על המידע איננו מסוגל לתת את הסכמתו.

עיבוד המידע נחוץ כדי לבצע משימה לצורך האינטרס הציבורי או במהלך ביצוע סמכות שמית שניתנה בידי בעל השליטה במידע. ר

.עיבוד המידע נחוץ לצורך אינטרס לגיטימי

תוך , GDPR –מבין התנאים הללו בחרנו לעמוד על העיקריים שבהם ובכלל זה: מושג ההסכמה לפי ה , עיבוד נוסף שאיננו מבוסס על התייחסות נפרדת להסכמת קטינים ולהסכמה בעניין ניהול מידע רגיש

עיבוד מידע לצורך אינטרסים לגיטימיים. כן ו הסכמה

הסכמהמושג ה

נושאים לטיפול

יש לעבור על כלל תהליכי קבלת ההסכמה ולוודא שהם עומדים בדרישות ה– GDPR .

יש להוסיף להודעות ומסמכי מדיניות הפרטיות הוראות בעניין האפשרות לבטל את ההסכמה.

.יש להוסיף מנגנונים התומכים בביטול הסכמה תנדרש איננהיש לבחון את כלל מטרות השימוש הנדרשות ולבדוק אם איזה מהן

לצורך ביצוע החוזה עם נושאי המידע. ככל שכך, יש לקיים דיון מיוחד בנושא זה.

11

חזרה לתוכן

העניינים

סעיפים רלוונטיים

קדמה. אלדברי ה 43-42 ,33-32וסעיפים GDPR –ל 7סעיף

נותיו משמעי של רצו-כחיווי שניתן באופן חופשי, מסוים, מודע וחד הסכמה 4מגדיר בסעיף GDPR –ה (, נושא affirmativeשל נושא המידע, שבאמצעותו, בדרך של הצהרה או פעולה ברורה ומחייבת )

המידע מעיד על הסכמתו לעיבוד המידע האישי הנוגע אליו.

קדמה מבאר למה הכוונה ב"חיווי חד משמעי" של רצון נושא המידע. חיווי כזה אלדברי ה 32סעיף –יכול להיות

;בכתב או באמצעי אלקטרוני וכן באמצעות הצהרה בעל פה

;באמצעות הקשה על תיבת סימון באתר אינטרנט

17שירות חברת המידעבחירה מתוך הגדרות בבדרך של;

ברור את הסכמת נושא המידע. כל פעולה או הצהרה אחרת המביעה באופן

שתיקה איננה יכולה להיחשב כהסכמה. באותה מידה, תיבת סימון שמסומנת כברירת מחדל לא תהווה אינדיקציה להסכמת נושא המידע.

כולל הוראות בעניין מהות ההסכמה הנדרשת. לפיו, על בעל השליטה במידע להיות GDPR –ל 7סעיף כהבנוסף, ההסכמה צרי 18מידע אכן נתנו את הסכמתם לעיבוד המידע.בעל היכולת להראות שנושאי ה

לעמוד בתנאים הבאים:

.מובנת ונגישה ( הסכמה למסמך בכתב צריכה להיות ניתנת להבחנהdistinguishable )מתוכן המסמך עצמו, היא צריכה להיות מובנת ונגישה בקלות וצריכה להיות בשפה פשוטה

ומובנת.

נושא מידע יכול לבטל הסכמה שמסר. ביטול ההסכמה צריך להיות קל ופשוט ניתנת לביטול .בדיוק כמו קבלת ההסכמה. ביטול ההסכמה לא יפגע בחוקיות עיבוד המידע בהתבסס על

ההסכמה, לפני שבוטלה, אך נושאי המידע צריכים להיות מודעים לכך.

סכמה ניתנה מרצון כאשר מעריכים אם ה .איסוף מידע שלא למטרת השירותהסכמה לע )לדוגמה, אספקת חופשי, יילקח בחשבון באופן המירבי אם ביצוע החוזה עם נושא המיד

מסור מידע שאיננו נדרש לצורך ביצוע החוזה. זוהי יבכך שנושא המידע השירות(, מותנהדרישה לא פשוטה שהיקפה עדיין לא ברור. לדוגמה, האם בעל שירות יכול לאסוף ולהשתמש

אישי גם לצורך המשך פיתוח השירות ולא רק כדי לספק אותו? נראה בכל אופן במידע שהמחוקק רומז ברמז עבה שלא ניתן לאסוף מידע אישי שאיננו נדרש לצורך אספקת

19השירות.

ה .מחקר מדעיהסכמה לאיסוף מידע ל– GDPR מכיר בכך שלעתים קרובות, בעת איסוףבע קולפיכך הוא המידע לצרכי מחקר מדעי, לא ניתן לדעת את כל מטרות השימוש במידע.

ראו הגדרה לשירות חברת המידע בסעיף ההגדרות. 17אנו ממליצים מזה שנים לתעד ולשמור את הלוגים של פעולות ההקשה על "אני מסכים" המעידות על 18

הסכמת המשתמש לאמור במדיניות הפרטיות. לדברי האקדמה. 43ראו גם את האמור בסעיף 19

12

חזרה לתוכן

העניינים

יש לאפשר לנושאי המידע לתת הסכמה לתחומי מחקר מסוימים כאשר הדבר תואם שסטנדרטיים אתיים מוכרים וכן לאפשר להם לתת הסכמה רק לתחומי מחקר מסוימים, או

20לקים מסוימים של פרויקטי מחקר, ככל שהדבר מתאפשר על ידי מטרת השימוש.לח

הגנה על קטינים

נושאים לטיפול

שירות אינטרנטי המוצע במישרין לילדים מחויב למסד מנגנון לקבל הסכמת הורים ולוודא שהודעות הפרטיות מנוסחות כהלכה.

חברות שעברו תהליך ציות ל– Children Online Privacy Protection Act (COPPA האמריקאי, קרוב לוודאי שתוכלנה להסתמך במידה רבה על המנגנונים )

דומים GDPR –לצורך זה, כיוון שעקרונות ההגנה על מידע על ילדים לפי ה שמוושי למדי.

חברות השייכות לתעשיית הפרסום האינטרנטי המבוססת על מידע התנהגותי בקשר עם ההוראות בנושא ילדים.צריכות לבצע הערכת מצב

סעיפים רלוונטיים

קדמה. אלדברי ה 58 -ו 38וסעיפים GDPR –ל 57, 12, 8סעיפים

, לא כללה הוראות כלשהן המכוונות באופן ספציפי GDPR –דירקטיבת הגנת המידע, אותה מחליף ה כולל מספר הוראות הנוגעות לילדים. הן מפוזרות GDPR –ה להבדיל, לעיבוד מידע אישי על ילדים.

להלן את העיקריות שבהן: והן בדברי האקדמה לו. נציג GDPR –במספר מקומות, הן בסעיפי ה

ל 8סעיף– GDPR לפיה אם נעשה עיבוד מידע אישי במסגרת שירות חברת קובע הוראה, הרי שעיבוד המידע יהיה חוקי רק אם 16המוצע במישרין לקטין מתחת לגיל 21המידע

או אפוטרופוס של הקטין. מדינות החברות באיחוד הורהההסכמה ניתנה או אושרה על ידי . 13 –יכולות להנמיך את הגיל שמכוחו נדרשת הסכמת הורים ל

היות שההסדר ב– GDPR קרם שירותים מכוון לשירותי חברת המידע, שהם בעי(. אלה ימשיכו להיות offineאינטרנטיים, ההסדר איננו נוגע לשירותים שאינם מקוונים )

תחת הסדרה מדינתית.

ה– GDPR איננו מציין מנגנון ספציפי כלשהו המתחייב לצורך קבלת הסכמת ההורים, אלאקובע כי על בעל השליטה במידע לעשות מאמצים סבירים לוודא את הסכמת ההורים,

בהתאם לכלים הטכנולוגיים הזמינים.

ל 12סעיף– GDPR בקשר לילדים מחייב דגש מיוחד על הפשטות והבהירות של ההודעותאיננו מוגדר ולכן הוא עשוי להיות תקף גם שימו לב שהמונח "ילד" 22במידע עליהם. לשימוש לנוער.

6לפי סעיף(1()f ל )– GDPR ,היכולת להשתמש באינטרס לגיטימי כבסיס לעיבוד מידע אישי , קטנה יותר כאשר מדובר במידע על ילדים.

לדברי האקדמה. 33ראו בסעיף 20 ראו הגדרה לשירות חברת המידע בסעיף ההגדרות. 21 לדברי האקדמה. 58ההסבר בסעיף ראו גם את 22

13

חזרה לתוכן

העניינים

הוא נושא הדורש הגנה שימוש במידע אישי על ילדים לצורכי שיווק ויצירת פרופילים 24מנגד, לא יהיה צורך בהסכמת הורים בהקשר לשירותי ייעוץ ומניעה לילדים. 23מיוחדת.

57בהתאם לסעיף(1()b כאשר רשויות ההגנה על המידע נוקטות בפעולות להעלאת המודעות ,) , עליהןולהבנת הסיכונים, הכללים, אמצעי ההגנה והזכויות בקשר עם עיבוד של מידע אישי

לתת תשומת לב מיוחדת לפעילויות הנוגעות לילדים.

תנאים לעיבוד מידע בקטגוריות מיוחדות )"מידע רגיש"(

נושאים לטיפול

בידקו אם הנכם מעבדים מידע באחת או יותר מהקטגוריות המיוחדות המצוינות. לדוגמה, חברה המפעילה משרד באירופה המחייב זיהוי ביומטרי GDPR –ב

)טביעת אצבע, סריקת כף יד וכיו"ב( לצורך כניסה למשרד. יש לוודא שמתקבלת הסכמה מתאימה.

סעיפים רלוונטיים

, 41, 35, 34ם . סעיפיGDPR –ל 10-ו 9, )הגדרת מידע גנטי ומידע ביומטרי( 4 פיםסעי לדברי האקדמה. 71, 53

לעבד מידע אישי החושף מוצא גזעי או אתני, דעות פוליטיות, אסור GDPR –ל 9בהתאם לסעיף אמונות דתיות או פילוסופיות, חברות באיגוד מקצועי וכן אסור לעבד מידע גנטי, מידע ביומטרי

ידע הנוגע לבריאות או מידע הנוגע לחיי המין או מ וכן אסור לעבדלצורך זיהוי חד ערכי של אדם, לזהותו המינית של אדם.

הקטגוריות המיוחדות של המידע אינן כוללות מידע אישי הנתפס בישראל כמידע רגיש כדוגמת מידע כלכלי ומידע פלילי.

כולל הסדר נפרד לגבי מידע הנוגע לעבירות פליליות והרשעות ולפיו ניתן לעבד מידע מסוג GDPR –ה 25זה בתנאי שהעיבוד נעשה תחת פיקוח של רשות מוסמכת או כאשר העיבוד מותר בדין מדינתי.

הוראה זו תנציח איפוא שונות בדינים של המדינות החברות באיחוד האירופי בהקשר זה.

"ל יש חשיבות הצהרתית והוא נועד להפריד באופן ברור בין סוגי המידע המופיעים לאיסור הגורף הנשבכל זאת אפשר לעבד GDPR –בו, לבין כלל סוגי המידע האישי. מייד לאחר האיסור הנ"ל, קובע ה

מידע רגיש אם מתקיים אחד מהתנאים הבאים:

אם דין מדינתי אוסר נושא המידע מסר את הסכמתו המפורשת לעיבוד המידע עליו, למעט 26עיבוד המידע גם אם נתקבלה הסכמה כזו.את

עיבוד המידע נדרש לצורך ביצוע חובות הנדרשות בהקשר לדיני עבודה, ביטוח לאומי או הסכם קיבוצי.

בדברי האקדמה. 38ראו בסעיף 23 שם. 24 . GDPR –ל 10ראו סעיף 25, האוסרים שימוש במידע גנטי לצורכי קבלה 2000 –לחוק מידע גנטי, תשס"א 30 –ו 29השוו לסעיפים 26

זוהי גישה פטרנליסטית, לעבודה וביטוח. בהקשרים אלה, הסכמת נושא המידע איננה מעלה או מורידה. . GDPR –אליה מכוון גם ה

14

חזרה לתוכן

העניינים

עיבוד המידע נדרש כדי להגן על אינטרסים חיוניים של נושא המידע שאיננו מסוגל לתת טאלית. הסכמה בשל מגבלה פיסית או מנ

עיבוד המידע הכרחי לצורכי הליכים משפטיים, לצורך אינטרס ציבורי מהותי, לצורכי, לצורך ארכוב המשרתים את האינטרס הציבורי וכן בריאות העובד או בריאות הציבור

. לצרכי מחקר מדעי והיסטורי, או לצרכים סטטיסטיים

ה על ידי גוף ללא מטרות רווח עם מטרה פולטית, פילוסופית או דתית, או שעיבוד המידע נעשהוא איגוד מקצועי, בכפוף לכך שעיבוד המידע נוגע רק לחברים או לחברים לשעבר ומידע

לא יועבר לצדדים שלישיים ללא קבלת הסכמה.

.27נושא המידע פרסם לציבור את המידע

ד האירופי תוכלנה להוסיף ולחוקק חוקים ספציפיים מוסיף שמדינות החברות באיחו GDPR –ה בנוגע למידע גנטי, מידע ביומטרי ומידע בריאותי.

עיבוד נוסף שאיננו מבוסס על הסכמה

נושאים לטיפול

הישענות על מטרות עיבוד נוסף שלא התקבלה לגביהן הסכמה נושאת בחובהמקדם סיכון שכדאי להימנע ממנו. לעולם עדיף לבנות מראש את ההסכמה

המתקבלת באופן שצופה בצורה המיטבית את כלל מטרות השימוש. אם נוצר הצורך להישען על מטרת עיבוד נוסף שלא התקבלה לגביה הסכמה, יש

הליך קבלת החלטה מסודר ומתועד היטב המתאר את שקילת השיקולים ליצור ת הנדרשים והגעה למסקנה סבירה המתירה את השימוש הנוסף.

סעיפים רלוונטיים

. GDPR –( ל 4)6סעיף

בעל השליטה במידע רשאי להורות על עיבוד מידע למטרה חדשה השונה מהמטרה GDPR –לפי ה קובע כי GDPR –שלשמה נאסף המידע מלכתחילה ושנושאי המידע לא נתנו את הסכמתם אליה. ה

בעל השליטה צריך לשקול אם המטרה החדשה תואמת את המטרות המקוריות שלשמן נאסף המידע ולים הבאים: ולצורך זה עליו לשקול את השיק

;הקשר שבין המטרות המקוריות והמטרה החדשה

ההקשר שבו נערך איסוף המידע מלכתחילה ובמיוחד הקשר שבין בעל השליטה במידע לבין נושאי המידע;

;מהות המידע, לרבות אם המידע הוא מידע רגיש

;ההשלכות האפשריות הנובעות מעיבוד המידע לצורך המטרה החדשה

לרבות הצפנה ים לאבטחת המידע, גם בהקשר של המטרה החדשהקיומם של אמצע , . ופסאודונימיזציה

שאלה מעניינת יכולה לעלות אם ההוראה הזו חלה גם כאשר נושא המידע פרסם את המידע בטעות. 27

15

חזרה לתוכן

העניינים

זהו חריג מעניין המאפשר הלכה למעשה לעבד מידע אישי ללא קבלת הסכמה מנושאי המידע. עם זאת, מתוך ההקשר הכללי והשיקולים המוצגים לעיל, נראה שחריג זה הוא צר למדי.

עיקרון האינטרס הלגיטימי

נושאים לטיפול

,יש להיערך להוסיף לכל ההודעות לנושאי המידע ומסמכי מדיניות הפרטיותתוכן מפורש הכולל שימושים במידע שייחשבו כשימושים שנועדו לשרת

אינטרסים לגיטימיים.

סעיפים רלוונטיים

לדברי האקדמה. 50-47. סעיפים GDPR –( ל b()2)14 –( ו 1()d)13(, f()1)6סעיפים

חוזר על עיקרון שהיה קיים בדירקטיבת הגנת המידע ולפיו אם יש אינטרס לגיטימי לעיבוד GDPR –ה המידע, הרי שאינטרס זה יהווה בסיס חוקי לעיבוד. במלים אחרות, אינטרס לגיטימי מהווה תחליף

לקבלת הסכמה מנושא המידע.

מופיע כבסיס לעיבוד חוקי של מידע המושג "אינטרס לגיטימי" הוא זר לדין הישראלי. הוא איננו לחוק הגנת 18אישי. הוא אף איננו מופיע )לפחות לא במפורש( כאחת ההגנות המופיעות בסעיף

. הישראלי הפרטיות

, לרבות בתהליך רבות במשך שנים הזו שאלה שהאיחוד האירופי התחבט ב מהו אינטרס לגיטימי?לא נמצא הגדרה המשרטטת בצורה מדויקת GDPR –. גם ב שנמשך ארבע שנים GDPR –חקיקת ה

:את גבולות המונח הזה. עם זאת, נמצא מספר כלי עזר שיסייעו בהבנת המושג

, רשויות ציבוריות לא תוכלנה להשתמש GDPR –בניגוד לדירקטיבת הגנת המידע, בהתאם ל באינטרסים לגיטימיים כדי להצדיק עיבוד מידע אישי.

להשתמש בטיעון של קיומו של אינטרס לגיטימי, כאשר התוצאה היא , לא ניתןGDPR –ה על פי פגיעה בזכויות והחרויות הבסיסיות של נושאי המידע )ובמיוחד כאשר נושאי המידע הם ילדים(, תוך לקיחה בחשבון של הציפיות הסבירות של נושאי המידע בהתבסס על הקשר שלהם עם בעל השליטה

28דע הוא לקוח של בעל השליטה במידע או פועל בשירותו.במידע, לדוגמה, כאשר נושא המי

לאינטרס לגיטימי הכרחילהיחשב שיכולמפרטים דוגמאות לעיבוד מידע GDPR –דברי האקדמה ל –של בעל השליטה במידע. אלה כוללים לדוגמה

;29מניעת הונאות ושיווק ישיר

30;אדמיניסטרטיבי של המידעהעברת מידע בין חברות בקבוצת חברות לצורך ניהול

לדברי האקדמה. 47ראו סעיף 28 שם. 29 לדברי האקדמה. 48ראו סעיף 30

16

חזרה לתוכן

העניינים

ואבטחת תקשורת, לרבות מניעת גישה בלתי מורשית לרשתות תקשורת אבטחת מידע 31אלקטרונית ועצירת נזק למערכות מחשב ותקשורת;

.32דיווח לרשויות על פעילות פלילית או פעילות הנוגעת לביטחון הציבור

את בעל השליטה במידע מקבלת הסכמה מנושאי המידע, פוטרעל אף שקיומו של אינטרס לגיטימי מחייב את בעל השליטה במידע לתת הודעה בדבר האינטרסים הלגיטימיים לעיבוד GDPR –עדיין, ה

33המידע, במסגרת ההודעות שהוא מוסר לנושאי המידע.

פורש התוצאה היא איפוא, שאין מדובר בהקלה, אלא דווקא בדרישה נוספת. נדרש עתה לציין במ במסמכי מדיניות הפרטיות, לדוגמה, את האינטרסים הלגיטימיים לעיבוד המידע.

לדברי האקדמה. 49ראו סעיף 31 לדברי האקדמה. 50ראו סעיף 32 . GDPR –( ל b()2)14 –( ו d()1)13ראו סעיפים 33

17

חזרה לתוכן

העניינים

הפרט הקיימות והחדשותזכויות

הודעה בדבר איסוף המידע

נושאים לטיפול

מסמכי מדיניות הפרטיות, באופן את יש לעדכן את ההודעות לנושאי המידע ולוודא ששפת שישקף את הדרישות החדשות של המחוקק האירופי וכן

המסמכים תמציתית, נהירה ופשוטה.

סעיפים רלוונטיים

לדברי האקדמה. 62-58. סעיפים GDPR –ל 14-ו 13, 12סעיפים

ודעה לנושאי המידע אודות איסוף המידע. החוק העל בעל השליטה במידע מוטלת החובה לספק מדגיש את הצורך במתן הודעה תמציתית, מובנת וברורה שתינתן בשקיפות מלאה ובשפה פשוטה

)במיוחד כאשר נושאי המידע הינם ילדים(.

ההודעה צריכה להכיל את הפרטים הבאים: ,כאשר המידע נאסף מנושא המידע

יטה במידעהתקשרות של בעל השלהזהות ופרטי;

המידע קצין הגנתפרטי ההתקשרות של;

הסיבות אשר לשמן נאסף המידע והבסיס המשפטי )או האינטרס הלגיטימי( לאיסוף;

זהותם, באופן ספציפי או בקטגוריות יש לציין אתככל שיש מקבלי מידע;

מחוץ לתחומי האיחוד לגורם המצויפרטים אודות העברת המידע לארגון בינלאומי אוהאירופי, לרבות: כיצד תתבצע הגנת המידע אצל מקבל המידע הזר וכיצד נושאי המידע

;של מקבל המידע הזר יכולים לעיין או לקבל עותק מכללי שמירת המידע

תקופת שימור המידע ואם לא ניתן לחזות אותה אז פירוט של הקריטריונים לקביעת תקופת שימור המידע.

אודות זכות הגישה למידע של נושא המידע וכן על זכותו של נושא המידע לפנות אל פרטים בעל השליטה במידע על מנת למחוק, לתקן או להגביל את המידע.

.עיבוד המידע מבוסס על אם פרטים אודות הזכות של נושא המידע להתנגד לעיבוד המידע הסכמה זו. וללגבי אופן ביטהסכמת נושא המידע יש לציין גם פרטים

.פרטים לגבי זכותו של נושא המידע לפנות בתלונה לרשות המפקחת

חוזית שבגינה על נושא המידע לספק את המידע הסטטוטורית או החובה הפרטים אודות ההשלכות של התנגדות למתן המידע. פרטים לגבי וכן

ות הצפויות אודות תהליכי קבלת החלטות אוטומטיים )ככל שישנם( ועל ההשלכ פרטים .מידעהמעיבוד

18

חזרה לתוכן

העניינים

כאשר בעל השליטה במידע מתכוון לעבד את המידע למטרות נוספות פרט למטרות אשר לשמן התקבל המידע עליו לספק לנושא המידע פרטים על מטרות אלה לפני עיבוד המידע למטרות הנוספות.

ר תכיל את הפרטים במקרים בהם המידע נאסף מגורם אחר יש צורך במתן הודעה לנושא המידע, אש המפורטים לעיל ובנוסף את הפרטים הבאים:

.הקטגוריות של המידע האישי הנאסף

.מהו המקור ממנו נאסף המידע והאם נמסר מגורם פומבי

את ההודעה בדבר גורם שאיננו נושא המידע על בעל השליטה במידע לספק מכאשר המידע נאסף :איסוף המידע

בהתחשב בנסיבות הספציפיות של איסוף ועיבוד המידע, אך לא תוך תקופת זמן סבירה יותר מחודש ימים ממועד קבלת המידע אודות נושא המידע.

ההתקשרות מועדכשהמידע נאסף לצורך יצירת קשר עם נושא המידע אז לכל המאוחר ב הראשונה עם נושא המידע.

אם המידע צפוי להיחשף בפני גורם אחר אז לא יאוחר ממועד חשיפת המידע כלפי אותו גורם.

19

חזרה לתוכן

העניינים

הזכות לקבלת מידע

נושאים לטיפול

יש להיערך למתן הודעות לבקשת נושאי המידע ולמתן גישה למידע )במלואו או בחלקו(.

ניתן יש לבחון מה במידע הנאסף עלול לפגוע בזכויות בעל השליטה במידע וכיצד להצדיק את אי חשיפתו.

סעיפים רלוונטיים

לדברי האקדמה. 64-ו 63. סעיפים GDPR –ל 15סעיף

לנושא המידע הזכות לקבל פרטים מבעל השליטה במידע לגבי השאלה האם מידע אודותיו מעובד על גישה התשובה לשאלה זו חיובית על בעל השליטה במידע לספק לנושא המידעאם ידי בעל השליטה.

מידע אישי הנוגע לנושא המידע וכן את הפרטים הבאים:כל אותו ל

.הסיבות לעיבוד המידע

.הקטגוריות של המידע האישי הנאסף

זהותם של מקבלי המידע )באופן ספציפי או בקטגוריות( אשר קיבלו או יקבלו את המידענים בינלאומיים ארגוקבלי מידע שהם האישי ובפרט את זהותם של מקבלי מידע זרים )מ

טריטוריות אשר מחוץ לתחומי האיחוד האירופי(. כאשר ישנם מקבלי מידע שמצויים באו מקבלי מידע זרים נושא המידע זכאי גם לקבל פרטים אודות כללי הגנת המידע המיושמים

על העברת המידע.

תקופת תקופת שימור המידע ואם לא ניתן לחזות אותה אז פירוט של הקריטריונים לקביעת שימור המידע.

פרטים אודות זכותו של נושא המידע לפנות אל בעל השליטה במידע על מנת למחוק או לתקן את המידע ועל הזכות להגביל או להתנגד לעיבוד המידע.

.עיבוד המידע מבוסס על אם פרטים אודות הזכות של נושא המידע להתנגד לעיבוד המידע הסכמת נושא המידע יש לציין גם פרטים כיצד ניתן לבטל הסכמה זו.

.פרטים לגבי זכותו של נושא המידע לפנות בתלונה לרשות המפקחת

כאשר המידע נאסף מגורם שאיננו נושא המידע עצמו יש לספק פרטים אודות הגורם אשר ממנו נאסף המידע.

ת החלטות אוטומטיים )ככל שישנם( ועל ההשלכות הצפויות אודות תהליכי קבל פרטים .מידעהמעיבוד

אם בעל השליטה במידע ימציא לנושא המידע עותק של המידע האישי המעובד על ידו ללא תשלום והבקשה של נושא המידע הועברה באופן אלקטרוני ניתן להמציא את המידע גם באופן אלקטרוני.

ת את עלות הוצאות המשרד הכרוכות בהפקת עותקים נוספים של בעל השליטה במידע רשאי לגבו המידע האישי, ככל שאלה יתבקשו על ידי נושא המידע.

20

חזרה לתוכן

העניינים

בדברי האקדמה מוצע לבעל השליטה במידע לספק לנושאי המידע מערכת אלקטרונית מאובטחת אשר תקנה לנושאי המידע גישה ישירה להפקת הנתונים.

בעל השליטה במידע צריך לנקוט באמצעים סבירים על מנת לאמת את כי ,עוד נכתב בדברי האקדמהזהותו של נושא המידע אשר ביקש את הגישה למידע אודותיו, בפרט כאשר מדובר על בקשה וגישה

ר מידע רק במטרה לספק אותו לנושאי ומקוונים של נושא המידע. בעל השליטה במידע לא נדרש לשמ המידע.

נושאי המידע למלוא מסד הנתונים של בעל השליטה במידע לשך שגישה המחוקק האירופי מודע לכעלולה להוביל גם לחשיפת סודות מסחריים ולפגיעה בזכויות אחרות של בעל השליטה במידע ולכן

תפגע בזכויות וחרויות של הזולת. א החוק מציין במפורש כי זכות הגישה למידע ל

רף ליתן גישה לכלל המידע איננו מקובל. ניתן, למשל, מאידך, דברי האקדמה מציינים כי סירוב גובמקרים בהם מדובר בכמויות גדולות של מידע אודות נושא המידע לבקש מנושא המידע לציין מה

אשר הוא מעוניין לקבל פרטים אודותם. ותהמידע או פעילויות העיבוד הספציפי

21

חזרה לתוכן

העניינים

הזכות לתקן מידע והזכות להימחק )'הזכות להישכח'(

ים נושא לטיפול

יש לנקוט במדיניות השמדת מידע של מידע שאיננו רלוונטי או מידע שאיננו נדרש עוד למטרות אשר לשמן נאסף.

יש להכין מדיניות מסודרת של האופן בו יינתן מענה לבקשות לתיקון ולמחיקת מידע.

סעיפים רלוונטיים

לדברי האקדמה. 66-ו 65פים . סעיGDPR –ל 17-ו 16 פיםסעי

נושא המידע זכאי לתיקון אי דיוקים וטעויות במידע אודותיו ולהשלמת מידע שאיננו שלם אודותיו ללא דיחוי מצד בעל השליטה במידע.

2014מעגן לראשונה את הזכות שהוכרה על ידי בית הדין האירופי בהחלטתו ממאי GDPR-הבנוסף, 34הזכות להישכח. –

לדרוש את מחיקת המידע אודותיו ולבעל השליטה יש את החובה למחוק את לנושא המידע הזכות המידע אודות נושא המידע, ללא דיחוי, במקרים הבאים:

.המידע האישי לא נדרש עוד בהקשר של המטרות אשר לשמן נאסף

איסוף ועיבוד המידע מבוססים על הסכמתו של נושא המידע ונושא המידע ביטל את הסכמתו.

לעיבוד המידע וליצירת פרופיל דע בהתאם לזכותו להתנגד ידע מתנגד לעיבוד המנושא המי וד המידע.ואין עילה לגיטימית לעיבאשר יפורט בהמשך( GDPR-ל 21התנהגותי )סעיף

.המידע עובד באופן בלתי חוקי

של האיחוד או של מדינה חברה רגולטוריתבכדי לעמוד במחויבויות מחיקת המידע נדרשת ל השליטה במידע כפוף לחוקיה. אשר בע

35מידע.ההמידע נאסף בכדי לספק הצעה למתן שירותי חברת

במקרים בהם בעל השליטה במידע הפך את המידע האישי לפומבי וחלה עליו החובה כעת לממש את זכותו של נושא המידע ולמחוק את המידע, על בעל השליטה במידע לנקוט באמצעים סבירים

טכנולוגיות ובהוצאות הכרוכות ביישום ההוראה( ליידע בעלי שליטה אחרים )בהתחשב במגבלות כך שנושא המידע ביקש למחוק את המידע אודותיו. עלשמעבדים את המידע אודות נושא המידע,

ההוראות בעניין הזכות להישכח לא יחולו כאשר עיבוד המידע נדרש למטרות הבאות:

Spain SL, Google Google 131/12-Case Cבעניין 13.5.2014מיום CJEU –ראו את החלטת ה 34

Inc. v. Agencia Espanola de Protection de Datos, Mario Costeja Gonzalez .ההגדרות בסעיף המידע חברת לשירות הגדרה ראו 35

22

חזרה לתוכן

העניינים

מידע.מימוש הזכות לחופש ביטוי או לחופש ה

כאשר העיבוד נדרש לצורך מילוי חובה חוקית הנדרשת על ידי האיחוד האירופי או על ידימדינה חברה אשר בעל השליטה במידע כפוף להוראותיה וכאשר עיבוד המידע נדרש לטובת

טה במידע כפוף לה.ימילוי אינטרס ציבורי שנתבקש על ידי רשות מוסמכת אשר בעל השל

הנוגע לבריאות הציבור. ילטובת אינטרס ציבור

למטרות ארכוב לטובת הציבור, מטרות מחקר מדעי, מחקר היסטורי או איסוף של נתונים סטטיסטיים.

.לצורך הגנה מפני טענות ותביעות משפטיות

23

חזרה לתוכן

העניינים

הזכות להתנגד לעיבוד מידע

נושאים לטיפול

פן יצירת חציצה לוגית אשר תאפשר להעביר קבצי מידע האסורים לעיבוד באו ר את המשך הפעילות התקינה של עיבוד הנתונים השוטף.ששיאפ

סעיפים רלוונטיים

לדברי האקדמה. 67ף . סעיGDPR –ל 18סעיף

לנושא המידע תהא הזכות להתנגד לעיבוד המידע על ידי בעל השליטה במידע ובעל השליטה במידע יחדל מעיבוד המידע במקרים הבאים:

כאשר נושא המידע מערער על מידת הדיוק של המידע אודותיו יופסק העיבוד לתקופה שבה בעל השליטה במידע מאמת את המידע כאמור.

כאשר המידע נאסף באופן לא חוקי ונושא המידע מתנגד למחיקת הנתונים ודורש את הגבלת השימוש במידע במקום.

רכים אשר לשמם המידע נאסף אך יש כאשר המידע אינו נדרש לבעל השליטה במידע לצ צורך בשימורו להגנה מפני טענות או תביעות משפטיות.

ל 21כאשר נושא המידע התנגד לעיבוד המידע ויצירת פרופיל התנהגותי )סעיף-GDPR אשריפורט בהמשך( יש לחדול את העיבוד עד למועד קבלת אישור כי העילה הלגיטימית של בעל

ל זכותו של נושא המידע. השליטה במידע גוברת ע

תנאים המפורטים לעיל על בעל השליטה במידע לחדול אחד מהכאשר בקשת נושא המידע עומדת ב מכל עיבוד של המידע אך הוא רשאי לאחסנו.

על אף האמור לעיל, עיבוד המידע יתאפשר:

.בהסכמת נושא המידע

נות משפטיות או בכדי להגן כאשר יש צורך בעיבוד המידע לצורך הגנה מפני תביעות או טע על אדם או ישות משפטית אחרת.

.במקרים של אינטרס ציבורי חשוב של האיחוד האירופי או של מדינה חברה

על בעל השליטה במידע ליידע את נושא המידע בטרם יסיר את מגבלת עיבוד המידע שנתבקשה.

ביל את עיבוד המידע כמו: בדברי האקדמה מוצעות שיטות שיסייעו לבעלי השליטה במידע להגהעברת המידע המוגבל למערכת עיבוד אחרת, הגבלת הגישה של משתמשים למידע שאסור בעיבוד

או הסרה זמנית של פרסומים המכילים את המידע האסור לעיבוד מאתרי אינטרנט.

כאשר המידע מעובד באופן אוטומטי יש להשתמש באמצעים טכניים בכדי לאפשר לנושא המידע תנגד ולהפסיק את עיבוד המידע המבוקש. לה

עדכון מקבלי המידע והעברת פרטי מקבלי המידע לנושא המידע

24

חזרה לתוכן

העניינים

בעל השליטה במידע יעביר הודעה לגבי כל תיקון, מחיקה או הגבלת עיבוד המידע גם לכל מקבלי ליטה המידע, אלא אם כן העברת הודעה שכזו בלתי אפשרית או כרוכה במאמץ בלתי סביר. על בעל הש

נושא המידע ביקש זאת.אם ליידע את נושא המידע אודות מקבלי המידע,

25

חזרה לתוכן

העניינים

הזכות לניוד המידע

נושאים לטיפול

.יצירת פורמט הולם לניוד מידע של נושא המידע

סעיפים רלוונטיים

לדברי האקדמה. 68ף . סעיGDPR –ל 20 סעיף

המידע לקבל לידיו את המידע אשר סופק על הזכות לניוד מידע היא זכות צרה אשר מאפשרת לנושא ידו )ולא על ידי גורמים אחרים( לבעל השליטה במידע בפורמט מוכר, מובנה וניתן לקריאה

אלקטרונית וכן יש לו את הזכות להעביר את המידע לבעל שליטה במידע אחר במקרים הבאים:

( ללאהמידע עובד באופן אוטומטי .)רשומות נייר

סכמת נושא המידע או שמטרת העיבוד הינה מילוי התחייבויות חוזיות. המידע עובד בה

נושא המידע רשאי לבקש כי המידע האמור יועבר ישירות מבעל שליטה במידע אחד למשנהו, כאשר הדבר ישים מבחינה טכנולוגית.

הישכח. הזכות לניוד המידע לא תפגע בזכויות והחירות של הזולת ולא תפגע בזכותו של נושא המידע ל

הזכות לניוד המידע לא תחול במקרים בהם עיבוד המידע נדרש לצורך אינטרס ציבורי.

26

חזרה לתוכן

העניינים

הזכות להתנגד ליצירת פרופיל התנהגותי

נושאים לטיפול

חברות העוסקות בדיוור ישיר צריכות ליצור נוהל למחיקה של פרופילים התנהגותיים של נושאי מידע.

נגד ליצירת פרופיל התנהגותי. התליש ליצור נוסח הודעה בדבר הזכות

סעיפים רלוונטיים

לדברי האקדמה. 70-ו 69סעיפים . GDPR –ל 21 סעיף

נושא המידע רשאי להתנגד לעיבוד המידע וליצירת פרופיל התנהגותי באמצעותו, בהתבסס על כדי לבצע משימה לצורך הנסיבות הספציפיות הנוגעות למקרה, כאשר הבסיס לאיסוף המידע הינו

בעל השליטה במידע רוצה להמשיך בפעילות אם לצורך אינטרס לגיטימי. או האינטרס הציבורי עליו להראות עילה לגיטימית אשר תגבר על האינטרסים של נושא המידע ,במידע על אף ההתנגדות

כי עיבוד המידע נעשה לצורך הגנה מפני תביעות או טענות משפטיות. להראותאו

כמו כן, לנושא המידע יש זכות אבסולוטית להתנגד ליצירת פרופיל התנהגותי כאשר הסיבה ליצירת נושא המידע החליט על מימוש זכות זו על בעל השליטה אם הפרופיל ההתנהגותי הינה שיווק ישיר

לחדול מכל עיבוד של המידע למטרה זו.

ות להתנגד ליצירת פרופיל התנהגותי בעת על בעל השליטה במידע ליידע את נושא המידע בדבר הזכההתקשרות הראשונה עם נושא המידע, לכל המאוחר. הפרטים אודות הזכות יובאו לידיעת נושא

המידע במפורש ובמנותק מכל מסמך אחר.

בנוסף, נושא המידע רשאי להתנגד ליצירת פרופיל התנהגותי כאשר מטרת יצירת הפרופיל הינה עבור צרכי סטטיסטיקה, בהתבסס על הנסיבות הספציפיות הנוגעות מחקר מדעי, היסטורי או

הציבור יגבר אינטרס הציבור על אינטרס שבבסיסה משימה לביצוע עיבוד המידע נחוץאם למקרה. זכות ההתנגדות של נושא המידע.

ד במקרים בהם השירות הניתן הינו שירות מקוון על בעל השליטה במידע לאפשר לנושא המידע להתנג ליצירת הפרופיל ההתנהגותי באמצעים טכנולוגיים.

27

חזרה לתוכן

העניינים

הזכות להתנגד לתהליכי קבלת החלטות אוטומטיים

נושאים לטיפול

.יש ליצור מנגנוני הגנה ופיקוח אשר ימנעו קבלת החלטות אוטומטיות שגויות

יש לקבל את הסכמתם המפורשת של נושאי המידע לביצוע תהליכי עיבוד אוטומטיים.

סעיפים רלוונטיים

לדברי האקדמה. 72-ו 71סעיפים . GDPR –ל 22 סעיף

לנושא המידע יש את הזכות להתנגד לעיבוד מידע שמתבצע באופן אוטומטי כאשר לאותו עיבוד מידע יש השלכות משפטיות או השלכות משמעותיות אחרות על נושא המידע. למשל, כאשר נושא המידע

מאפליקציית אשראי מקוונת או כאשר מתקבלת החלטה לגבי נושא מקבל הודעת סירוב אוטומטית (.e-recruitingמידע במסגרת גיוס מקוון )

דברי האקדמה גם מבארים כי בהשלכות משמעותיות אחרות הכוונה לתהליכי עיבוד אוטומטיים אשר תפקידם לנבא או לנתח את ביצועי העבודה של נושא המידע, את מצבו הכלכלי, הבריאותי,

העדפותיו האישיות, אמינותו, התנהגותו, מיקומו, תנועתו וכו'.

חלטות האוטומטי במקרים הבאים:לא ניתן יהיה לאסור את תהליך קבלת הה

תהליך העיבוד האוטומטי נדרש לצורך כניסה או ביצוע של חוזה בין נושא המידע לבעל השליטה במידע.

תהליך העיבוד האוטומטי מורשה על ידי האיחוד האירופי או על ידי מדינה חברה אשר בעל השליטה במידע כפוף לה.

מה מפורשת של נושא המידע. תהליך העיבוד האוטומטי מבוסס על הסכ

במקרים בהם נושא המידע אינו יכול להתנגד לתהליכי עיבוד המידע האוטומטיים על בעל השליטה במידע לקבוע את אמצעי ההגנה על נושאי המידע אשר יבטיחו את השמירה על זכויותיהם,

רבות אנושית חרויותיהם והאינטרסים הלגיטימיים שלהם ולכל הפחות לאפשר לנושא המידע התע אשר תוכל לבטא את נקודת מבטו ולערער על ההחלטה האוטומטית.

בעל השליטה במידע מנוע מביצוע תהליכי קבלת החלטות אוטומטיים כאשר מדובר במידע רגיש אלא אם:

התקבלה הסכמתו המפורשת והברורה של נושא המידע לביצוע תהליך העיבוד האוטומטי במידע.

נדרש לטובת אינטרס ציבורי משמעותי לאיחוד האירופי או למדינה עיבוד המידע האמורבתוכו מנגנוני הגנה על הזכויות והאינטרסים של יכרוךביצוע התהליך ובמקרה זהחברה

נושאי המידע.

28

חזרה לתוכן

העניינים

ומעבד המידע חובות בעל השליטה במידע

נושאים לטיפול

במסגרת הסכמים מהאיחוד האירופייש להיערך לדרישות בעלי שליטה במידע ;GDPR –לעיבוד מידע, מכוח דרישות ה

;יש להיערך למינוי נציג באירופה ;יש להיערך לתיעוד פעולות עיבוד המידע יש להיערך לאפשרות שרשות הגנת מידע תדרוש במישרין מידע ואף תערוך

ע ישראלי. בקורת אצל מעבד מיד

סעיפים רלוונטיים

לדברי האקדמה. 109, 81, 13 . סעיפים:GDPR –ל 42, 40, 31-24סעיפים

36חובות בעל השליטה במידע

בעל השליטה במידע צריך ליישם אמצעים טכניים וארגוניים הולמים כדי להבטיח וכדי שהוא יהיה .GDPR –מסוגל להראות שעיבוד המידע האישי נעשה בהתאם להוראות ה

בעל השליטה במידע צריך לנסח וליישם מסמכי מדיניות הולמים.

וכן מנגנוני הסמכה ואישור 37עיים וכיו"במעודד יצירת קודי התנהגות על ידי איגודים מקצו GDPR –ה מוסיף שעמידת בעל GDPR –. ה GDPR38 –המעידים על כך שחברה או ארגון עומדים בדרישות ה

שליטה במידע בקודי התנהגות כאמור, או קבלת אישור כאמור על עמידה בדרישות החוק, ישמשו . GDPR –כאמצעי להוכחת הציות של בעל השליטה במידע להוראות ה

39(Privacy by Design and by Defaultהנדסת הגנת מידע והגנת מידע כברירת מחדל )

ת ההגנה על המידע מזה זמן רב, אולם לא שולבו בדירקטיבת קמושגים אלה ידועים היטב בפרקטי מתקן מצב זה ומתייחס אליהם באופן ספציפי. GDPR –הגנת המידע. ה

בעל השליטה במידע יישם אמצעים טכניים וארגוניים הולמים , GDPR –בהתאם ל . הנדסה לפרטיותלהגנת המידע האישי, גם בשלב תהליך קבלת ההחלטות לגבי האמצעים לעיבוד המידע )דהיינו, שלב

התכנון( וגם במהלך עיבוד המידע בפועל, כדוגמת פסאודונימיזציה.

ולמים לוודא ניים וארגוניים הבנוסף, בעל השליטה במידע יישם אמצעים טכ. פרטיות כברירת מחדלשכברירת מחדל, יעובד רק המידע האישי הנדרש לצורך מימוש מטרות העיבוד. עיקרון זה נוגע לכמות וסוג המידע הנאסף, היקף העיבוד של המידע, תקופת האחסון של המידע וכללים לגישה אליו. בפרט

ל מספר בלתי מוגבל של אנשים. יש לוודא שכברירת מחדל אין גישה ללא התערבות אדם למידע ע

. GDPR –ל 24ראו סעיף 36 . GDPR –ל 40ראו סעיף 37 . GDPR –ל 42ראו סעיף 38 . GDPR –ל 25ראו סעיף 39

29

חזרה לתוכן

העניינים

יכול להצביע על עמידה בהוראות 40GDPR –מנגנון הסמכה מאושר המעיד על עמידה בהוראות ה הנוגעות להנדסת פרטיות ופרטיות כברירת מחדל.

41נציגים

חל GDPR –כאשר בעל השליטה במידע או מעבד המידע אינם בעלי נוכחות באיחוד האירופי, אך ה על פעילותם, כיוון שהם מעבדים מידע על תושבי האיחוד בקשר עם אספקת מוצרים או שירותים, או

43עליהם למנות נציג. 42בקשר עם ניטור התנהגות,

בד על ידי בעל השליטה האיחוד שמידע אישי של תושביהן מעוהנציג חייב להיות בעל נוכחות במדינות להיות הכתובת לפניות של שיאפשר לו במידע או מעבד המידע והוא צריך להיות בעל יפוי כוח הולם נושאי מידע ושל רשויות הגנת המידע בקשר עם עיבוד המידע.

44חובות מעבד המידע

עמידה בעל שליטה במידע רשאי להשתמש במעבדי מידע, רק אם קיבל מהם התחייבויות הולמות ל . GDPR –בהוראות ה

כללי או -( ללא אישור בכתב sub-processorמשנה )-מעבד מידע איננו רשאי להתקשר עם מעבדספציפי, על ידי בעל השליטה במידע. אם מדובר באישור כללי, על מעבד המידע ליידע את בעל

לבעל השליטה במידע שנה אחד באחר( ולאפשר מ-השליטה במידע על כל שינוי )לדוגמה, החלפת מעבד להתנגד לשינוי.

וכן מנגנוני הסמכה 45מעודד יצירת קודי התנהגות על ידי איגודים מקצועיים וכיו"ב GDPR –ה מוסיף שעמידת GDPR –ה GDPR.46 –ואישור המעידים על כך שחברה או ארגון עומדים בדרישות ה

מעבד המידע בקודי התנהגות כאמור, או קבלת אישור כאמור על עמידה בדרישות החוק, ישמשו . GDPR –כאמצעי להוכחת הציות של מעבד המידע להוראות ה

47ההסכם בין בעל השליטה במידע למעבד המידע

דין האיחוד בהתאם לבכתב )לרבות אלקטרוני(, ההסכם בין בעל השליטה במידע למעבד יהיה האירופי, או לפי דין מדינה החברה באיחוד ויכלול את ההוראות הבאות:

;נושא ההתקשרות

;תקופת עיבוד המידע

;מהות עיבוד המידע

;סוגי המידע שיעובד ואם מדובר בקטגוריות מיוחדות של מידע

;החובות והזכויות של בעל השליטה במידע

. GPDR –ל 42ראו סעיף 40 . GDPR –ל 27ראו סעיף 41 ראו לעיל את הפרק הנוגע לתחולת החוק. 42 . GDPR –ל 27ראו סעיף 43 .GDPR –ל 28ראו סעיף 44 . GDPR –ל 40ראו סעיף 45 . GDPR –ל 42ראו סעיף 46 . GDPR –ל 28ראו סעיף 47

30

חזרה לתוכן

העניינים

התחייבות מעבד המידע–

המידע רק בהתאם להנחיות המתועדות של בעל השליטה במידעלעבד את , לרבות בנוגע להעברת המידע למדינה אחרת או לארגון בינלאומי;

עובדי ונציגי מעבד המידע חתומים על הסכם סודיות הולם, או מחויבים לסודיות לפי דין;

;48מעבד המידע נוקט בכל האמצעים הנדרשים לאבטח את המידע כנדרש

שנה, אלא בכפוף לדרישות ה מ-מעבד המידע לא יתקשר עם מעבדי– GDPR ויוודא שגם מעבדי המשנה עומדים בדרישות אלה;

מעבד המידע יסייע לבעל השליטה במידע ביישום זכויות נושאי המידע לפי ה– GDPR .)49)כדוגמת הזכות לעיין במידע, למחוק מידע ולנייד מידע

ליטה במידע בציות לחובות מכוח ה מעבד המידע יסייע לבעל הש– GDPR בנוגעלאבטחת מידע, דיווח על פריצה למידע, ביצוע סקר סיכוני פרטיות והתייעצות

50הרשות להגנת המידע. םמראש ע

מעבד המידע, לפי בחירת בעל השליטה במידע, ימחק או יחזיר את כל המידעם דין האיחוד האישי לבעל השליטה במידע בתום אספקת שירותיו, אלא א

51האירופי או דין איזה מהמדינות החברות בו קובע שיש לשמור מידע.

מעבד המידע יספק לבעל השליטה במידע גישה לכל המידע הנדרש כדי להוכיחהדן בחובות בעל השליטה במידע ומעבד GDPR –עמידה בהוראות סעיף זה ל

המידע וכן יאפשר ביצוע בקורת על ידי בעל השליטה במידע, או מבקר מטעמו.

GDPR –בדומה להסדר הקיים בדירקטיבת הגנת המידע, האיחוד האירופי יהיה רשאי גם מכוח ה Standard Contractualליצור נוסח סטנדרטי להתקשרות בין בעל השליטה במידע למעבד המידע )

Clauses.)

52תיעוד עיבוד המידע

הוראות התיעוד שלהלן חלות על המקרים הבאים:

אנשים ומעלה; 250על גופים המעסיקים

;כאשר עיבוד המידע צפוי לכלול סיכון לחרויות ולזכויות של נושאי המידע

( עיבוד המידע איננו מקרי/אגביoccasional;)

וחדות )מידע רגיש(;על עיבוד מידע בקטגוריות מי

. GDPR –ל 32ראו סעיף 48 . GDPR –ל IIIראו פרק 49 . GDPR –ל 36עד 32ראו סעיפים 50באיחוד האירופי. לדוגמה, זו הוראה שיכולה להתברר כבעייתית ליישום כאשר למעבד המידע אין נוכחות 51

מה תעשה חברה ישראלית המשמשת כמעבדת מידע, אם הדין הישראלי מחייב שמירת מידע מסוים לתקופה מסוימת ואין הוראה מקבילה בדין האירופי?

. GDPR –ל 30ראו סעיף 52

31

חזרה לתוכן

העניינים

.על עיבוד מידע הנוגע לעבירות פליליות והרשעות

להערכתנו, עיקרון התחולה השני מתוך החמישה לעיל הוא רחב וגבולותיו ייקבעו כנראה על בסיס כל מקרה לגופו. היות שכך, יש להתייחס לתחולת הוראות התיעוד שלהלן כרחבה, דהיינו כחלה על

חל עליה. GDPR –דע שה מרבית פעילות עיבוד המי

של עיבוד המידע שיכלול: בכתב )לרבות אלקטרוני( בעל השליטה במידע )או נציגו( ישמרו תיעוד

;פרטי בעל השליטה במידע

;פרטי קצין הגנת המידע

;מטרת העיבוד

;קטגוריות המידע המעובד

;קטגוריות נושאי המידע

;העברת מידע מחוץ לגבולות האיחוד

מחיקת המידע;צפי למועד

.תיאור כללי של אמצעי אבטחת המידע

של עיבוד המידע שיכלול: בכתב )לרבות אלקטרוני( מעבד מידע )או נציגו( ישמרו תיעוד

;פרטי מעבד המידע

;פרטי קצין הגנת המידע

;קטגוריות המידע המעובד

;העברת מידע מחוץ לגבולות האיחוד

;תיאור כללי של אמצעי אבטחת המידע

התיעוד להיות זמין לבקורת על ידי רשות הגנת המידע. על

53שיתוף פעולה עם הרשות

הן בעל השליטה במידע והן מעבד המידע )גם מעבדי המידע שמקום מושבם איננו באיחוד האירופי(, מחויבים לשתף פעולה עם הרשויות להגנת המידע של מדינות האיחוד.

. GDPR –ל 31ראו סעיף 53

32

חזרה לתוכן

העניינים

ודיווח על פריצה למידע אבטחת מידע

נושאים לטיפול

אבטחת המידע הינו נושא בעל חשיבות גבוהה מאד במסגרת ההתקשרויות. מומלץ: למנות קצין אבטחת מידע, מהאיחוד האירופיהחוזיות עם חברות

לעדכן אותם ולקבוע נהלי אבטחה ברורים, לבצע הדרכה והטמעה של הנהלים בהתאם לנדרש.

מומלץ עוד לשקול לקבל הסמכתISO 27001 .)אבטחת מערכות מידע( בעניין דיווח על מהאיחוד האירופייש לצפות לרגישות מיוחדת של חברות

פריצות למידע ולהיערך, עם נוהל מתאים, לניהול אירועים מסוג זה.

סעיפים רלוונטיים

לדברי האקדמה. 88-85. סעיפים GDPR –ל 35-33סעיפים

54חובה כללית

כולל חובה כללית להשתמש בכלים טכניים וארגוניים הולמים לשם הגנת המידע האישי, GDPR –ה בהתאם לרמת הסיכון, ובכלל זה להשתמש ביכולות הבאות:

;פסאודונימיזציה והצפנה

;היכולת לוודא סודיות, שלמות, זמינות ועמידות המערכות והשירותים

אירוע אבטחה;היכולת להחזיר לפעולה את המערכות בהקדם, לאחר

.בדיקות והערכות שוטפות של רמת ההגנה על המידע

וכן מנגנוני הסמכה 55מעודד יצירת קודי התנהגות על ידי איגודים מקצועיים וכיו"ב GDPR –ה מוסיף שעמידת GDPR –. ה GDPR 56 –ואישור המעידים על כך שחברה או ארגון עומדים בדרישות ה

מעבד המידע בקודי התנהגות כאמור, או קבלת אישור כאמור על עמידה בדרישות החוק, ישמשו . GDPR –כאמצעי להוכחת הציות של מעבד המידע להוראות ה

57(Data Breach Notificationדווח על פריצה למידע )

שעות לאחר שנודע 72ותר מלאחר לא י –בעל שליטה במידע חייב ללא דיחוי ואם ישים דיווח לרשות.לו, לדווח לרשות להגנת המידע, אלא אם לא סביר שהפריצה תגרום לפגיעה בזכויות ובחרויות של

, על בעל השליטה במידע לנמק את הדחיה בדיווח. הדיווח שעות 72בני אדם. אם הדיווח נעשה לאחר יכלול:

;מהות וכמות המידע שנחשף

;פרטי קצין הגנת המידע

. GDPR –ל 32ראו סעיף 54 . GDPR –ל 40ראו סעיף 55 . GDPR –ל 42ראו סעיף 56 . GDPR –ל 34-33ראו סעיף 57

33

חזרה לתוכן

העניינים

;התוצאות הצפויות מהפריצה

;האמצעים המוצעים על ידי בעל השליטה במידע לטיפול בפריצה

בעל השליטה במידע יתעד כראוי את הליך הטיפול בפריצה.

מעבד מידע חייב לדווח לבעל השליטה במידע ללא דיחוי על פריצה למידע.

יות ולחרויות של בני אדם, בעל אם הפריצה צפויה לגרום לסיכון גבוה לזכו דיווח לנושאי המידע.השליטה במידע חייב לשלוח ללא דיחוי הודעה ברורה על הפריצה לנושאי המידע, שתכלול את המידע

הנזכר לעיל ביחס להודעה לרשות.

–דיווח לנושאי המידע איננו מחויב אם

;המידע האישי הוצפן

נושאי המידע להתממש;בעל השליטה נקט באמצעים שימנעו מהסיכון לזכויות וחרויות

אם הודעה לכל נושא מידע תחייב מאמץ לא פרופורציונאלי. במקרה כזה אפשר יהיה כתחליף לשלוח הודעה באמצעי תקשורת ציבוריים.

34

חזרה לתוכן

העניינים

58הגנת מידעסקר סיכוני

(Data Protection Impact Assessment)

נושאים לטיפול

בין אם היא קבועה –סקר סיכוני הגנת פרטיות הינו פרקטיקה נכונה ורצויהבחוק ובין אם לאו. מומלץ מאד ליישם אותה. היא מאפשרת לקבל תמונה ברורה של הסיכונים הכרוכים בפעילות ומסייעת בהפחתת הסיכונים לארגון ולנושאי

המידע.

סעיפים רלוונטיים

לדברי האקדמה. 95, 94, 92, 91, 90, 84. סעיפים GDPR –ל 36, 35סעיפים

סקר הערכת סיכוני הגנת מידע הינו מושג ידוע ומוכר אצל חברות רבות בעולם ובפרט בארה"ב ובאיחוד האירופי. עתה מושג זה הופך לדרישה מכוח חוק.

סקר הערכת סיכוני הגנת מידע נדרש כאשר עיבוד המידע צפוי לגרום לסיכון גבוה לזכויות ולחרויות של בני אדם, בעיקר כשמדובר בשימוש בטכנולוגיות חדשות, בעל השליטה במידע צריך, לפני תחילת

עיבוד המידע, לבצע סקר הערכת סיכונים.

הסקר יידרש במיוחד במקרים הבאים:

ית ורחבת היקף של בני אדם בכלים אוטומטיים, לרבות יצירת פרופילים;הערכה שיטת

;)עיבוד בהיקף גדול של קטגוריות מיוחדות של מידע )מידע רגיש

.ניטור שיטתי ובהיקף גדול של מקום ציבורי

ברבות הזמן אנו צפויים לראות פרסומים רשמיים של האיחוד האירופי אודות מקרים ופרויקטים יצוע סקר סיכונים. המחייבים ב

הסקר יכלול לפחות את הפרטים הבאים:

תיאור שיטתי של פעולות העיבוד, מטרות העיבוד, לרבות האינטרס הלגיטימי של בעל השליטה במידע, אם רלוונטי;

;הערכת ההכרח בעיבוד והמידתיות שלו, ביחס למטרות העיבוד

;הערכת הסיכונים האפשריים

. GDPR –ל 35ראו סעיף 58

35

חזרה לתוכן

העניינים

האמצעים שייעשה בהם שימוש כדי להתמודד עם הסיכונים ולציית להוראות ה– GDPR .

אם מסקנות הסקר כוללות צפי לסיכון גבוה לפגיעה בזכויות נושאי המידע, על בעל השליטה במידע 59להתייעץ עם רשות הגנת המידע ולקבל את חוות דעתה.

. GDPR –ל 36ראו סעיף 59

36

חזרה לתוכן

העניינים

Data Protection Officer(60(קצין הגנת מידע

נושאים לטיפול

קצין הגנת מידע הוא מושג ידוע ומוכר בעולם ובפרט בארה"ב ובאירופה מזהשנים רבות, אך הוא איננו מוכר בשוק הישראלי. חלקו מיושם, לפחות

לפי חוק הגנת הפרטיות הישראלי, תיאורטית, באמצעות מושג "מנהל המאגר"ם וברורים יותר. הם מפורטי GDPR –אלא שהתפקידים הקבועים עתה לפי ה

בעוד ש"מנהל מאגר" אחראי לפי הדין הישראלי לאבטחת המאגר )ובכך יוצר הקבלה לא ברורה עם קציני אבטחת המידע הארגוניים(, הרי שקצין הגנת המידע אחראי בצורה ברורה על היבטי הציות לדיני הגנת המידע. יש להיערך בהתאם

למינוי נושא תפקיד כזה בארגון.

סעיפים רלוונטיים

לדברי האקדמה. 97. סעיף GDPR –ל 39 – 37סעיפים

בעל שליטה במידע ומעבד מידע חייבים למנות קציני הגנת מידע בכל אחד מהמקרים הבאים:

;רשות ציבורית

;עיבוד מידע בדרך של ניטור שיטתי רחב היקף

;)"עיבוד רחב היקף של קטגוריות מיוחדות של מידע )"מידע רגיש

.דין מדינתי של מדינה החברה באיחוד האירופי מחייב מינוי קצין הגנת מידע

מאפייני התפקיד:

.קצין הגנת המידע יהיה מעורב בזמן ובאופן הולם בכל נושא הנוגע להגנת מידע אישי

.קצין הגנת המידע יקבל כלים ועזרה מתאימים כדי לבצע את תפקידו

בגלל ביצוע תפקידו. לא ניתן לפטר את קצין הגנת המידע

.קצין הגנת המידע ידווח לרמה הניהולית הבכירה ביותר בארגון

קצין הגנת המידע יכול למלא גם תפקידים אחרים, כל עוד אין ניגוד עניינים בין התפקידים.

.פרטי קצין הגנת המידע יפורסמו ויישלחו לרשות להגנת המידע

תפקידי קצין הגנת המידע:

ת בנוגע לחובות מכוח ה ליידע ולהנחו– GDPR ;וחקיקה מדינתית רלוונטית

. GDPR –ל 39 – 37ראו סעיפים 60

37

חזרה לתוכן

העניינים

לנטר ציות להוראות ה– GDPR;לרבות קביעת תחומי אחריות, הדרכה והעלאת מודעות ,

;לייעץ בעריכת סקרי סיכוני הגנת מידע

לשתף פעולה עם הרשות להגנת המידע ולשמש כאיש הקשר הארגוני לדין ודברים עם הרשות.

בקשר עם הגדרת התפקיד של קצין הגנת מידע, קיימות GDPR –ת המקובצות ב מלבד ההוראו –המתייחסות אליו והמצויות בסעיפים נוספים בחוק זה. לדוגמה הוראות נוספות

ל 13ציון פרטי קצין הגנת המידע במסגרת מתן הודעה לנושא המידע לפי סעיף– GDPR.

ל 30ציון פרטי קצין הגנת המידע במסגרת תיעוד לפי סעיף– GPDR;

ל 33ציון פרטי קצין הגנת המידע במסגרת דיווח על פריצה למידע לפי סעיף– GDPR;

38

חזרה לתוכן

העניינים

העברת מידע

נושאים לטיפול

מומלץ לבחון את האפשרות לעבוד עם שירותי תשתית ענן המציעים לאחסן את המידע בתחומי האיחוד האירופי בלבד.

חברות ישראליות המתקשרות בהסכמים באמצעות חברות קשורות . Privacy Shield –אמריקאיות, צריכות להיערך לציות ל

סעיפים רלוונטיים

לדברי האקדמה. 116 – 101. סעיפים GDPR –ל 45 – 40סעיפים

העברת מידע אישי מהאיחוד האירופי אל מדינות אחרות ממשיך להיות מוסדר על ידי הוראות הקובעות מנגנונים להעברה כזו. באופן כללי, מנגנונים אלה דומים למנגנונים הקבועים בדירקטיבת

דיווח לרשויות הגנת המידע על חתימה הגנת המידע, בשינויים קלים. לדוגמה, לא תהיה יותר חובת .Standard Contractual Clausesעל הסכמי

מהמחזור השנתי 4%הפרת ההוראות לענין העברת מידע היא אחת מההפרות שבצידן קנס עד הגלובאלי של החברה ומכאן הסיכון הגדול הכרוך בכך.

צפויות להציב דרישות נוקשות ביחס לנושא זה. מן האיחוד האירופילפיכך, חברות

העברות מידע לישראל

אחד מהמנגנונים להעברת מידע אישי אל מחוץ לאיחוד האירופי, היא בדרך של העברתו למדינה שקיבלה את אישור האיחוד לכך שדיני הגנת המידע שלה הולמים את רמת ההגנה הנדרשת

(adequate protection .לפי דיני האיחוד )

ישראל קיבלה את אישור האיחוד האירופי בדבר ההלימה של דיני הגנת המידע 31.1.2011 –ב 61הישראליים בנוגע לעיבוד מידע אוטומטי, לדיני האיחוד האירופי.

מן האיחוד לכאורה, האישור הנ"ל מקל על חברות ישראליות לתפקד כמעבדי מידע עבור לקוחותיהן יוון שבהתאם לאישור אין צורך במנגנון נוסף כלשהו לצורך עיבוד המידע. אלא שלכך יש , כהאירופי

שני סייגים משמעותיים מאד:

.חברות ישראליות רבות מבצעות את עיבוד המידע באמצעות שירותי תשתית מבוססי ענןשירותים אלה מחזיקים את המידע לעתים קרובות בארצות הברית. דיני ארה"ב לא קיבלו אישור דומה מהאיחוד האירופי. יש ספקי שירותי ענן המסוגלים לספק כיום התחייבות לאחסן את המידע בתוככי האיחוד האירופי ובכך לפתור את הבעיה, אולם פתרון זה ישים

רק בחלק מהמקרים.

.בהתאם ל מקורו של אישור ההלימה שקיבלה ישראל בדירקטיבת הגנת המידע– GPDR , GDPR –ה ר בתוקף, עד שיתוקן, יוחלף או יבוטל על ידי האיחוד האירופי. אישור זה יישא

61 Commission Decision of 31 January 2011 pursuant to Directive 95/46/EC of the

European Parliament and of the Council on the adequate protection of personal data by the State of Israel with regard to automated processing of personal data (2011/61/EU).

39

חזרה לתוכן

העניינים

ות והקריטריונים שעל האיחוד לשקול כשהוא לפרוצדורקובע הוראות מפורטות ביחס ם דין של מדינה הולם את דיני האיחוד.אקובע

לחברות ישראליות להמשיך לפעול לפי שהוא מאפשרלאישור ההלימה חשיבות גדולה מאד, כיוון דין האירופי. לפי הלפעול הן אינן צריכות להתחייב התאם לדין האירופי בהדין הישראלי ו

לכן, לא ברור לפי שעה איזה תהליך תצטרך ישראל לעבור כדי לקבל אישור לפי החוק החדש.

ת שלא קיבלה את אישור ללא אישור כזה, או אם המידע מאוחסן בארצות הברית, או במדינה אחר Standard –ה –ההלימה מהאיחוד האירופי, תצטרך החברה הישראלית לחתום על הסכם סטנדרטי

Contractual Clauses בצדןשהוא בעל הוראות מכבידות, עם סיכונים .

העברות מידע לארצות הברית

התקיים בין האיחוד האירופי לארצות 62Safe Harbor –מנגנון אחר וספציפי להעברת מידע, ה בהחלטה של בית המשפט לצדק האירופי בעניין 6.10.2015 –הברית. אלא שמנגנון זה בוטל ב

תוך קביעה שדיני הגנת הפרטיות בארצות הברית אינם מספקים הגנה נאותה 63מקסימיליאן שרמס, . מהאיחודלנושאי מידע

64שמו. Privacy Shield –דים למסד הסדר חדש בימים אלה נעשה מאמץ משותף של שני הצד

ברוב המכריע של כל עוד מנגנון זה לא נכנס לתוקף, כל העברת מידע אישי לארצות הברית, כפופה Standard –י למייבא המידע האמריקאי לפי ה האירופהמקרים להתקשרות בין מייצא המידע

Contractual Clauses .

62 http://www.export.gov/safeharbor/

שרמס נ' הרשות להגנת המידע האירית. מקסימיליאן Case C-4362/1תיק 63release_MEMO-http://europa.eu/rapid/press-16-ראו: Privacy Shield –להסבר על ה 64

en.htm_434

40

חזרה לתוכן

העניינים

אכיפה

נושאים לטיפול

חובה לבצע בדיקת ניתוח הפערים בין המצב הקיים לבין החובות החלות עלעבודה עם לוחות זמנים ליישום תוכנית. יש לגבש GPDR –החברה מכוח ה

ותעדוף המשימות בהתאם למידת הדחיפות והחשיבות של המשימה. על הפרק – עדכון נהלים וקודי ההתנהגות בחברה; -ידע, פסאודונימיזציה, ארכוב/השמדת מיסוד תהליכים )הנדסת הגנת מ -

פניות לקוחות, דיווחים לרשויות...(. טיפול מידע, ניהול אירועי פריצה, עדכון הסכמים עם ספקים, לקוחות עסקיים, לקוחות קצה; - מינוי נושאי תפקיד. - חברות המנהלות סיכונים כחלק מהממשל התאגידי צריכות לשלב את הסיכונים

כלול הסיכונים שהתאגיד צריך להתמודד איתו. למ GDPR –הנובעים מה .יש לבדוק ולעדכן את הכיסוי הביטוחי של החברה

סעיפים רלוונטיים

לדברי האקדמה. 150-141סעיפים . GDPR –ל 83-77סעיף

אחריות וסעדים

:GDPR –לנושאי מידע הזכות בקשר עם הפרות ה

;להגיש תלונות לרשויות להגנת מידע

להגיש תביעה משפטית. החידוש ב– GDPR הוא שלפי חוק זה, להבדיל מדירקטיבת הגנתהמידע, נושאי מידע יכולים לתבוע במישרין גם את מעבדי המידע ולא רק את בעלי

השליטה במידע ובכלל זה לקבל פיצוי כספי ממעבדי המידע.

המדינות החברות באיחוד האירופי תוכלנה לקבוע שהפרות של ה– GPDR יהוו גם עבירות 65פליליות.

בעלי השליטה במידע אחראים כלפי נושאי המידע לכל נזק שנגרם להם כתוצאה מעיבוד המידע . GDPR –בשליטתם, בניגוד להוראות ה

GDPR –מעבדי מידע אחראים כלפי נושאי המידע לכל נזק שנגרם כתוצאה מהפרת ההוראות ב החלות על מעבדי המידע )לדוגמה, החובה לאבטח את המידע כראוי( וכן שנגרם כתוצאה מהפרת

הוראות העיבוד שבעל השליטה במידע נתן למעבד המידע.

מדגיש כי הזכות לפיצוי נוגעת לא רק לנזקים כספיים, אלא גם לנזקים "לא ממוניים" GDPR –ה ו של נושא המידע. כדוגמת עוגמת הנפש שנגרמה מהפרת זכויותי

לדברי האקדמה. 149ראו סעיף 65

41

חזרה לתוכן

העניינים

קנסות מנהליים

דירקטיבת הגנת המידע, מדינות החברות באיחוד האירופי עד כה, דהיינו, יים שהיה קעל פי הדין לקבוע לעצמן את היקף הקנסות המנהליים שרשויות הגנת המידע יכולות להטיל על היו רשאיות

הפרת דיני הגנת המידע המדינתיים, שחוקקו מכוח הדירקטיבה.

קובע מסגרת אחידה ומרחיקת לכת להטלת קנסות. הטלת הקנסות נותרת עדיין בשיקול GDPR –ה קובע אף שבמקרים של הפרות קטנות GDPR –דעת רשויות הגנת המידע על בסיס כל מקרה לגופו וה

או שוליות, או במקרים שבהם הקנס יצור מעמסה כלכלית בלתי מידתית על אדם, ניתן להחליף את 66בהתראה/נזיפה. הקנס

שתי רמות רשות להגנת מידע רשאית להטיל קנסות מנהליים על בעלי שליטה במידע ועל מעבדי מידע. :GPDR –של קנסות קובע ה

( אירו, או במקרה של גוף המנהל פעילות 20,000,000מיליון ) 20 –קנס עד ל – רמת הקנס הגבוההלפי הגבוה מבין –מסך המחזור השנתי הגלובאלי במהלך השנה הפיננסית הקודמת 4%עד - 67כלכלית

ההפרות הכלולות ברמת הקנס הגבוהה הן: השניים.

ל 9 –ו 7 ,6 ,5סעיפים –הפרת עקרונות הגנת המידע והתנאים להסכמה– GDPR;

ל 22-20סעיפים –הפרת זכויות נושאי המידע– GDPR;

ל 49-44סעיפים –הפרת ההוראות בעניין העברת מידע מחוץ לאיחוד האירופי– GDPR;

הפרת התחייבויות בהתאם לחוקים של מדינות החברות באיחוד האירופי, שאומצו ; GDPR –ל 9בהתאם לפרק

( אירו, או במקרה של גוף המנהל פעילות 10,000,000מיליון ) 10 –קנס עד ל – הנמוכהרמה קנס לפי הגבוה מבין –מסך המחזור השנתי הגלובאלי במהלך השנה הפיננסית הקודמת 2%ד ע -כלכלית ההפרות הכלולות ברמת הקנס הנמוכה הן: השניים.

ל 8סעיף –קבלת הסכמה בקשר עם עיבוד מידע על ילדים אי– GDPR;

ל 25סעיף –יישום הנדסת הגנת מידע והגנת מידע כברירת מחדל היעדר– GDPR;

ל 26סעיף –הסכמה על חלוקת אחריות בין בעלי שליטה במידע משותפים אי– GDPR;

אי מינוי נציג לבעלי שליטה במידע או מעבדי מידע שמקום מושבם איננו באיחוד האירופי ;GDPR –ל 27סעיף –

ל 28סעיף –למעבד המידע בינו לבין הסכם בעל השליטה במידע בקשר עם ה הפרות של– GDPR;

הישמע להוראות למשנה והחובה -מעבדי מידע בקשר עם ההתקשרות עם מעבדי הפרות ;GDPR –ל 28-29סעיפים –בעל השליטה במידע

ל 30סעיף –שמירת תיעוד של העיבוד אי– GDPR;

. האקדמה לדברי 148 סעיף ראו 6667 "Undertaking ,"ל 102 – ו 101 בסעיפים זה מונח להגדרת בהתאם – unctioning Treaty on the F

of the European Union .האקדמה לדברי 150 סעיף ראו.

42

חזרה לתוכן

העניינים

ל 31סעיף –שיתוף פעולה עם הרשות להגנת המידע חוסר– GDPR;

ל 32סעיף –יישום אמצעים לאבטחת מידע אי– GDPR;

ל 33-34סעיפים –דיווח על פריצות למידע הימנעות מ– GDPR;

ל 35-36סעיפים –ביצוע סקר סיכוני הגנת מידע הימנעות מ– GDPR;

ל 37-39ים סעיפ –קצין הגנת מידע הפרת החובה למנות– GDPR;

ל 42הפרת סעיף - גופי הסמכה– GDPR;

ל 41הפרת סעיף - גופים מנטרים ציות לחוק– GDPR;

, היקף הקנס לא יעלה על הקנס בגין ההפרה החמורה GDPR –במקרה של הפרה של מספר הוראות ב ביותר.

שיקולים לצורך קביעת גובה הקנס, כדלקמן: אחד עשר ת הגנת המידע מונחות לשקול יורשו

מהות, חומרת והיקף בזמן של ההפרה. בכלל זה יילקחו בחשבון מטרות העיבוד, כמות נושאי המידע שנפגעים ודרגת הפגיעה;

;אם ההפרה היא תוצאה של רשלנות או של מעשה מכוון

;פעולות שנעשו למזער את הנזק

או מעבד המידע בהתחשב באמצעים הטכניים מידת האחריות של בעל השליטה במידעוהניהוליים שיישמו )כדוגמת, אבטחת מידע ברמה הולמת, עמידה בסטנדרטים/קודי

התנהגות, הנדסת הגנת מידע והגנת מידע כברירת מחדל(;

;הפרות קודמות

;רמת שיתוף הפעולה עם רשות הגנת המידע

;סוגי המידע שנפגעו

בעל השליטה במידע או מעבד המידע אםה, בפרט האופן שבו הרשות למדה על ההפר הודיעו על ההפרה מיוזמתם;

;היסטוריה קודמת של פעולות אכיפה

ל 42 –ו 40ציות לקוד התנהגות מאושר או אישור הסמכה מאושר, בהתאם להוראות– GDPR;

כל שיקול רלבנטי אחר, כדוגמת הרווח הכלכלי שנוצר מההפרה, הימנעות מהפסדים כתוצאה מההפרה וכיו"ב.

אם המפר איננו גוף בעל פעילות כלכלית, הרשות תיקח בחשבון גם את שיעור השכר 68הממוצע במדינה החברה באיחוד הרלבנטית ואת מצבו הכלכלי הספציפי של המפר.

לדברי האקדמה, לא בסעיפי החוק. 150שיקול זה מופיע בסעיף 68

43

חזרה לתוכן

העניינים

נשמח לעמוד לרשותכם.

עו"ד שרון גיא חוף-עו"ד דן אור hof.com-dan@or hof.com-sharon@or

03-5620992 ; 1 (415) 906-5260

6971011, רמת החייל, תל אביב 7הברזל