רפורמה דרמטית בדינים האירופאיים על הגנת פרטיות במידע


תקנות אירופאיות חדשות על הגנת פרטיות במידע (General Data Protection Regulations) המביאות עמן רפורמה דרמטית צפויות להתקבל סופית בפרלמנט האירופי בסוף הרבעון הראשון השנה. הן יחליפו את הדירקטיבה האירופית על הגנת מידע משנת 1995, שהתוותה עקרונות כלליים שמדינות האיחוד נדרשו לאמץ בחקיקה לאומית פנים-מדינתית. התוצאה התבטאה בדיני הגנת מידע ייחודיים בכל אחת ממדינות אירופה. להבדיל מהדירקטיבה, התקנות חלות במישרין בדין הלאומי של כל מדינות האיחוד האירופי. ככלל, אפוא, הדין האירופי יהיה אחיד יותר. תחולתו הרחבה מחייבת היערכות מקדימה של חברות וארגונים רבים מאד.

בנוסחן המסתמן כסופי, התקנות מטילות על ארגונים וחברות חובות מוגברות כמעט בכל נושא הקשור באיסוף, עיבוד, טיפול ואחסון מידע אישי. בה בעת, הן מעניקות לנשואי מידע זכויות מוגברות לשלוט במידע אישי שנאסף עליהם ולקבל סעדים על הפרת הוראות התקנות.

על מי יחולו התקנות וממתי?
התקנות ייכנסו לתוקף בתום שנתיים מאישורן בפרלמנט האירופי. הן יחולו גם על עסקים שמקום מושבם מחוץ לאיחוד האירופי, אם הם אוספים ומעבדים מידע אישי על נשואי מידע הנמצאים באירופה, כאשר מתקיימים אחד מאלה:
  • איסוף ועיבוד המידע קשורים למוצרים או שירותים שהעסק מספק לנשואי המידע (בין אם בתשלום ובין אם בחינם); 
  • האיסוף והעיבוד קשורים לניטור ההתנהגות של נשואי המידע כפי שהיא באה לידי ביטוי בשטחי האיחוד.
עסק חוץ-אירופי כזה יידרש למנות נציג מטעמו באחת ממדינות האיחוד האירופי שבהן נמצאים נשואי המידע שלו, שייצג אותו מול נשואי המידע והרגולטורים לפרטיות באירופה.

מסירת הודעה לנשואי מידע וקבלת הסכמתם
מי שאוסף מידע אישי נדרש לקבל על כך את הסכמתם החופשית ומדעת של נשואי המידע, לאחר שהציג להם גילוי נאות בנושאים כגון טיב המידע שייאסף, זהות הגורם שאוסף אותו, העברתו לעיבוד או אחסון במדינות מחוץ לאיחוד האירופי וזכויות נשואי המידע לשלוט במידע שנאסף עליהם. 
 
ההסכמה עלולה להיחשב כלא 'חופשית' (ומשכך, כלא עומדת בדרישות התקנות), אם קבלת השירות מותנית בהסכמת נשוא המידע לאיסוף פריטי מידע שאינם הכרחיים לצורך אספקת השירות. בנוסף, ההסכמה לאיסוף ועיבוד המידע צריכה להתקבל במובחן מכל הסכמה אחרת של נשוא המידע, כמו הסכמה לתנאי שימוש. הבקשה להסכמה והמידע הנלווה לה נדרשים להיות ברורים, נגישים ומנוסחים בשפה פשוטה. 
 
איסוף מידע על קטינים טעון הסכמה של הוריהם. כברירת מחדל, התקנות יגדירו קטין כאדם שגילו מתחת ל-16. עם זה, כל אחת ממדינות האיחוד יהיו רשאיות להוריד את גיל הסף בחקיקה לאומית-פנימית, בתנאי שלא יפחת מ-13 שנים.

זכויות נשוא המידע
התקנות מעניקות לנשוא המידע זכויות מרחיקות לכת לשלוט במידע עליו שמאוחסן אצל בעל המאגר. אלה כוללות זכות לעיין במידע ולקבל עותק ממנו, להורות על העברת המידע לבעל מאגר אחר, לתקן מידע שגוי או לא עדכני, להורות על מחיקת המידע במקרים מסוימים ('הזכות להישכח') ולקבל פרטים על נוהגי עיבוד המידע של בעל המאגר.

עיצוב לפרטיות, פרטיות כברירת מחדל ואבטחת מידע
התקנות דורשות ממי שאוסף ומעבד מידע לאמץ את העקרונות  של "עיצוב לפרטיות" (Privacy By Design) ו"פרטיות כברירת מחדל" (Privacy By Default). עליו לתכנן לכתחילה את השירותים המקוונים שלו מנקודת מבט של הגנה על הפרטיות ולנקוט בגישה של מזעור מידע (Data Minimization), צמידות מטרה (Purpose Limitation), הפיכת מידע לכמעט-אנונימי (Pseudonymization) כאשר זמינותו בצורתו המזוהה כבר לא הכרחית וכיו"ב.
 
התקנות מחייבות בעלי מאגרים ליישם אמצעים טכניים וארגוניים נאותים לאבטחת המידע, לרבות הצפנתו ועריכת בדיקות אבטחה תקופתיות. בעלי מאגרים מסוימים נדרשים למנות אצלם אחראי על הגנת מידע. התקנות קובעות כי ככלל, על בעלי מאגרים לדווח לרגולטורים לפרטיות באירופה בתוך 72 שעות במקרה של פריצה או זליגת מידע מהמאגר. במקרים מסוימים על בעל המאגר לדווח על כך גם לנשואי המידע.

מיקור חוץ של עיבוד מידע אישי
בעלי מאגרים הנעזרים בשירותי עיבוד מידע במיקור חוץ (לרבות שירותי ענן) נדרשים לעגן את ההתקשרות בחוזה שכובל את ספק השירות לשורה של הוראות בתחום הגנת המידע, כגון כפיפות לפעולות פיקוח וניטור (Audits and Inspections) על-ידי בעל מאגר המידע.

עיבוד ואחסון מידע מחוץ לאיחוד האירופי
התקנות החדשות יאפשרו העברת מידע לאחסון או עיבוד במחשבים הממוקמים מחוץ לאיחוד האירופי, רק לפי ההיתרים שנקבעו בתקנות. בין יתר ההסדרים המתירים: העברה הנעשית למדינה שהוכרה מפורשות על-ידי האיחוד כמספקת רמה נאותה של הגנת מידע (ישראל הוכרה ככזו ב-2011), העברה הנעשית בכפוף להסדרים חוזיים או ארגוניים מיוחדים שתכליתם להבטיח הגנה נאותה לפרטיות המידע, או העברה הנעשית בהסכמה מפורשת ומדעת של נשוא המידע לאחר שהובהרו לו הסיכונים הפוטנציאליים עקב העברה כזו.
 
גם גילויי אדווארד סנואדן הטביעו חותם על התקנות – הן מתיימרות לאסור על בעל מאגר מידע לציית להוראה מינהלית או שיפוטית של מדינה חוץ-אירופית הדורשת ממנו למסור מידע אישי מתוך המאגר, אלא אם ההוראה נסמכת על אמנה לסיוע משפטי בין מדינות.

סמכויות אכיפה של הרגולטורים וסעדים לנשואי מידע
התקנות מעניקות לרגולטורים לפרטיות באירופה סמכויות פיקוח, חקירה ואכיפה נרחבות. במקרה של הפרת התקנות, הרגולטורים מוסמכים להטיל קנס עד לסכום של 20,000,000 אירו או 4% מהמחזור השנתי של התאגיד (לפי הגבוה).
 
התקנות גם מקנות לנשואי מידע זכות מפורשות לפיצוי על נזקים שנגרמו להם בשל הפרת התקנות על-ידי בעל מאגר המידע או ספקי השירותים שלו המעבדים עבורו את המידע.

סיכום
התקנות טומנות בחובן השלכות משפטיות, טכנולוגיות ועסקיות מרחיקות לכת, כמעט על כל גורם שאוסף מידע אישי מלקוחות או משתמשים. מומלץ אפוא לבחון השלכות אלה לעומק ולהיערך מבעוד מועד לכניסת התקנות לתוקף.

האמור לעיל אינו מתיימר למצות את ההמלצות האמורות ו/או את כל הוראות הדין בעניין זה. מטרתו היא עדכון כללי בלבד. אין להסתמך על האמור בו כעצה משפטית.