בריטניה: הנחיות למיקור חוץ של עיבוד מידע אישי לפי ה-GDPR

רגולטור הפרטיות הבריטי פרסם להערות הציבור טיוטת הנחיה בדבר האופן שבו ארגונים שהם בעלי שליטה במידע (data controllers) נדרשים להסדיר בכתב את ההתקשורת שלהם עם מי שמספק להם שירותי עיבוד מידע (data processors), לאור חקיקת הגנת הפרטיות האירופית החדשה שצפויה להיכנס לתוקף במאי 2018 (EU General Data Protection Regulation - GDPR).

ההנחיה מבהירה כי בעל שליטה במידע רשאי להתקשר עם ספק שירותי עיבוד מידע רק לאחר שנוכח לדעת שהספק מסוגל לתת ערבויות מתאימות לכך שיעמוד בהוראות ה-GDPR ולכך שזכויות נושאי המידע יישמרו כנדרש. הסכם ההתקשרות בין בעל השליטה במידע לבין הספק חייב לכלול הוראות חוזיות מסוימות הנדרשות לפי ה-GDPR, לרבות:

  • תיאור של משך ההתקשרות לעיבוד מידע, מהות העיבוד ומטרותיה;
  • סוגי המידע האישי שיעברו עיבוד וסוגי נושאי המידע;
  • זכויות וחובות בעל השליטה במידע;
  • התחייבות אלה של מעבד המידע:
    • לפעול אך ורק לפי הוראות בעל השליטה במידע;
    • להבטיח כי עובדים מטעמו שנגישים למידע האישי כפופים להסדרי סודיות;
    • לנקוט אמצעי אבטחה נאותים;
    • להתקשר עם קבלן משנה לעיבוד המידע רק לאחר קבלת הסכמת בעל השליטה במידע ובאמצעות הסכם בכתב;
    • לסייע לבעל השליטה במידע לקיים את חובותיו לפי ה-GDPR;
    • למחוק את המידע בתום ההתקשרות;
    • לאפשר לבעל השליטה במידע לערוך ביקורות לווידוא הציות לדרישות ה-GDPR.

הוראות דומות חלות גם על ספקי שירותי עיבוד מידע שנעזרים בעצמם בקבלני משנה לעיבוד המידע. ההנחיה מבהירה עוד כי מעבד המידע נושא באחריות משפטית ישירה לפעול לפי ההתחייבויות שצוינו לעיל. הוא גם עלול לשאת באחריות על הפרות שמבצעים קבלני משנה שהוא התקשר עמם לעיבוד המידע.

ההנחיה מזכירה כי ה-GDPR גם מטיל על מעבדי מידע אחריות משפטית ישירה בנושאים הבאים:

  • לשתף פעולה עם הרגולטורים לפרטיות;
  • להודיע לרגולטורים ולנושאי המידע במקרה של דליפת מידע אישי (data breach);
  • לתחזק תיעוד בכתב על תהליכי עיבוד המידע שננקטים;
  • למנות קצין הגנת מידע ונציג אירופי במקרים הדרושים לפי ה-GDPR.