אירופה: הדירקטיבה על פרטיות ברשתות אלקטרוניות גוברת על ה-GDPR

פאנל הרגולטורים האירופי (EDPB) פרסם השבוע חוות דעת בעניין יחסי הגומלין בין התקנות האירופיות להגנת מידע (GDPR) לבין הדירקטיבה האירופית על פרטיות בתקשורת אלקטרונית (ePrivacy). חוות הדעת קובעת כי בכל עניין שיש לגביו הוראה מיוחדת (lex specialis) בדירקטיבה על פרטיות בתקשורת אלקטרונית, הוראה זו תגבר על הוראות ה-GDPR. בכל עניין אחר שאין לגביו הוראה מיוחדת בדירקטיבה - יחולו הוראות ה-GDPR.

הדירקטיבה על ePrivacy מגדירה בין היתר תנאים מיוחדים המאפשרים שימוש ב'עוגיות' (Cookies) באתרי אינטרנט - בכפוף להסכמת המשתמש. היא גם מגדירה הוראות מיוחדות לעיבוד נתוני מנויים בשירותי תקשורת, שגם הוא כפוף להסכמת המנוי במקרים מסוימים. במצבים אלה יגברו ההוראות בדירקטיבת ePrivacy על סעיף 6 בתקנות הגנת המידע: בעוד שתקנות הגנת המידע מאפשרות מספר עילות חלופיות (בסיסים חוקיים) להצדקת עיבוד המידע (ורק אחת מהן היא הסכמת המנוי), דירקטיבת ePrivacy מחייבת מפורשות את הסכמת המנוי. מאחר והוראות דירקטיבת ePrivacy גוברות, לא ניתן להתבסס על עילה אחרת מלבד הסכמת המנוי, אף ש-GDPR היה מאפשר זאת כשלעצמו.

במקרים אחרים בהם אין הוראה מיוחדת בדירקטיבה - כמו לדוגמה עיבוד מאוחר יותר של מידע שנאסף לכתחילה באמצעות ב'עוגיה' - יחולו התקנות האירופיות להגנת מידע שמאפשרות זאת בכפוף לקיומו של בסיס חוקי מתאים, שאינו בהכרח הסכמת המנוי. כך גם לגבי מימוש זכויות נושאי המידע במידע הנאסף עליהם באמצעי התקשורת - מאחר ואין הוראה בנושא זה בדירקטיבת ePrivacy, יחולו ההוראות הכלליות של תקנות הגנת המידע.

חוות הדעת עוסקת בנוסף גם ;בסמכויות הרשויות להגנת מידע במדינות האיחוד האירופי. לפי חוות הדעת, בכל מקרה בו חלות בעת ובעונה אחת הן תקנות הגנת המידע והן דירקטיבת ePrivacy, רשות הגנת המידע המדינתית תהיה מוסמכת לפעול במישור הנוגע לדיקרטיבת ePrivacy רק אם הוענקה לה בחוקי אותה מדינה סמכות מפורשת לפעול במישור זה. לעומת זאת, בכל עניין הקשור במידע אישי שאין בו הסדר בדירקטיבת ePrivacy ובכל עניין העוסק בעיבוד מידע שדירקטיבת ePrivacy חלה בו רק באופן משני או שולי, תהיה רשות הגנת המידע מוסמכת לפעול מכוח ה-GDPR.