אירופה: טיוטת הנחיה על עיבוד מידע ברכבים מקושרי-רשת וביישומונים נלווים

פאנל הרגולטורים האירופאים לפרטיות פרסם להערות הציבור טיוטת הנחיה חדשה על עיבוד מידע אישי ברכבים מקושרי-רשת ובאפליקציות נלוות למשתמשי רכב.

טיוטת ההנחיה סוקרת את החובות החלות על מפעילי שירותים מקוונים המשמשים ברכבים ובאפליקציות נלוות לרכבים. היא מבהירה כי הרכב, כמו גם מכשיר סמארטפון נייד בו מופעלים יישומונים, נחשבים ליחידת קצה (Terminal Device) לפי הדירקטיבה האירופית על פרטיות ברשתות אלקטרוניות (ePrivacy Directive). לכן, חל עליהם הכלל לפיו אחסון מידע ביחידות קצה אלה וגישה למידע שכבר נשמר ביחידות קצה אלה טעונים הסכמה מראש של המשתמש, בדומה לצורך בהסכמה מראש לאחסון Cookies במחשב המשתמש.

פטור מהצורך בהסכמה חל כאשר אחסון המידע או הגישה אליו נדרשים לשם אספקת פונקציונליות שהמשתמש ביקש באופן מפורש. לכן, משתמש המעוניין ביכולת לאיתור מיקום רכבו (למשל, במקרה של גניבה) ולשם כך מתקין כלי טכנולוגי שמתווסף למחשב הרכב לצורך אספקת היכולת הזו - לא נדרש לתת את הסכמתו לאחסון המידע במחשב הרכב - משום שמדובר בפונקציונליות שהמשתמש דרש מפורשות. מנגד, הטיוטה מסבירה כי חברת ביטוח המציעה הנחה בדמי ביטוח למבוטח שנוהג בזהירות, ולשם כך דורשת מהמבוטח להתקין ברכבו כלי לניטור מאפייני הנהיגה שלו - נדרשת לקבל את הסכמת המשתמש לאחסון המידע במחשב הרכב.

הטיוטה מסבירה עוד כי ככל שהמידע נאסף ומעובד רק מקומית בתוך מחשב הרכב, ולא נשלח לעיבוד או אחסון אצל גורם אחר - כגון ספק שירותי ענן, יצרן הרכב או מפעיל שירות כלשהו - אין מדובר בעיבוד מידע הכפוף להוראות ה-GDPR. מנגד, במקרים בהם המידע מעובד גם מחוץ לגדרי הרכב, יחולו מלוא דרישות ה-GDPR, בהן החובה לעבד מידע לפי בסיס חוקי, החובה למזער את היקף המידע שמעובד, החובה לאבטח את המידע בדרך נאותה, החובה לעצב את המוצר לפרטיות כברירת מחדל, הצורך במסירת מידע וזכויות לנושאי המידע, החובות החלות בקשר להעברה בינמדינתית של מידע אישי, ועוד.

הערות הציבור לטיוטה יתקבלו עד ל-20 במארס 2020.