הנחיות אירופאיות חדשות צפויות השנה על זכויות נושאי מידע וחובות מעבדי מידע

פאנל הרגולטורים האירופאים לפרטיות (European Data Protection Board - EDPB) צפוי לפרסם בשנה הקרובה הנחיות חדשות על חובותיהם של בעלי השליטה במידע אישי ומעבדי מידע (Controllers and Processors), זכויות נושאי מידע, אינטרס לגיטימי כבסיס חוקי לעיבוד מידע, וכן הנחיות בעניין שימוש בטכנולוגיות חדשות, רכבים מקושרים, בינה מלאכותית ומטבעות דיגיטליים. כך עולה מהדו"ח המסכם שלו לשנת 2019.

הדו"ח, שעיקרו עוסק בפעילות הרגולטורים בשנה הקודמת, סוקר את חוות הדעת וההנחיות המובילות שפרסם ה-EDPB בשנת 2019 כגוף המייעץ ומנחה את הרגולטורים האירופאים בפרשנות ה- GDPR וחוקי הגנת המידע באירופה. בין היתר, פרסם ה-EDPB בשנת 2019 הנחיות בעניין עיבוד מידע במסגרת הסכם למתן שירותים מקוונים, המלצות בעניין סוגי עיבוד מידע הדורשים עריכת ניתוח הסיכונים בעיבוד המידע (data protection impact assessment) תחת ה-GDPR, הנחיות בעניין עיצוב לפרטיות כברירת מחדל, הנחיה על הזכות להישכח (זכות המחיקה), חוות דעת על הקשר בין ה-GDPR והדירקטיבה האירופאית לפרטיות ברשתות תקשורת אלקטרוניות (ה- ePrivacy Directive), וכן חוות דעת בעניין שרמס נ' פייסבוק (בהליך שעליו דיווחנו כאן) בעניין מנגנוני העברת מידע אישי מחוץ לאיחוד האירופי.

בנוסף, ה-EDPB סוקר את הפעולות הבולטות של רשויות הגנת הפרטיות האירופאיות, ביניהן:

  • קנס של 18 מיליון יורו שהוטל על רשות הדואר באוסטריה בעקבות מספר הפרות של ה-GDPR, ביניהן עיבוד מידע אישי רגיש אודות דעותיהם הפוליטיות של נושאי המידע מבלי לקבל הסכמתם לכך;
  • קנס של 50 מיליון יורו שהוטל על גוגל ע"י רשות הגנת הפרטיות בצרפת עקב חוסר שקיפות, אי קבלת הסכמה וחוסר בסיס חוקי לעיבוד מידע בהקשר של פרסומות מותאמות אישית;
  • קנס של 14.5 מיליון יורו שהוטל על חברת ניהול נכסים ע"י הרשות להגנת הפרטיות בגרמניה אחרי שבמהלך ביקורת של הרשות התגלה כי החברה שמרה מידע אודות הדיירים בנכסיה שלא לצורך ובאופן שלא איפשר למחוק את המידע.

בנוסף, נוכח התפרצות הקורונה באירופה, ה-EDPB מתכוון לפרסם הנחיות בעניין עיבוד מידע בקשר עם המאבק בוירוס, נוספות לאלה שכבר פרסם.