אירופה: הרגולטורים חוששים מרפורמת הפרטיות של הנציבות

בינה מלאכותית פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד דותן המר

שותף בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: 2 דקות
שמור ב"תכנים שלי"

מועצת הרשויות להגנת מידע במדינות האיחוד האירופי (EDPB) והמפקח על הגנת מידע במוסדות האיחוד האירופי (EDPS) פרסמו חוות דעת משותפת על הצעת הנציבות האירופית לפישוט המסגרת החקיקתית הדיגיטלית (Digital Omnibus). הצעת נציבות, שפורסמה בנובמבר 2025, מתקנת מספר חוקים מרכזיים, ובהם ה-GDPR והדירקטיבה על פרטיות ברשתות תקשורת אלקטרוניות (ePrivacy Directive) חוק הנתונים (Data Act) וחוק משטר הנתונים (Digital Governance Act).

חוות הדעת מציינת כי שני הרגולטורים מברכים על מטרת ההצעה לפשט את הרגולציה, לחזק את זכויות הפרטים ולעודד תחרות, אך מביעים חששות משמעותיים לגבי מספר שינויים שהציעה הנציבות.

  • שינוי הגדרת "מידע אישי" – הרגולטורים מתנגדים בתוקף לשינוי המוצע, משום שלטענתם היא הוא מצמצם את היקף המושג, חורג מפסיקת בית הדין הגבוה באירופה ופוגע בזכות היסוד להגנת מידע. הם חוששים שהשינוי עלול ליצור פרצות לעקיפת ה-GDPR. הם גם מתנגדים להענקת סמכות לנציבות האירופית לקבוע באמצעות תקנות-משנה מתי מידע פסאודונימי לא יחשב מידע אישי.
  • מחקר מדעי – הרגולטורים מברכים על הכנסת הגדרה למושג "מחקר מדעי" ועל ההבהרה בנוגע לתאימות מטרות, אך ממליצים לחדד את ההגדרה כך ש"מחקר מדעי" יחול רק בהנתן מתודולוגיה שיטתית, שקיפות ועצמאות.
  • נתונים ביומטריים – ההצעה לאפשר עיבוד נתונים ביומטריים לצורכי אימות זהות מתקבלת בברכה ע"י הרגולטורים, בתנאי שהנתונים נמצאים בשליטת נושא המידע בלבד, אך יש להבטיח מידתיות ולהימנע מהנחת עבודה שגויה שלפיה אין סיכון.
  • בינה מלאכותית ואינטרס לגיטימי – ה-EDPB  כבר הצהיר אישר שאינטרס לגיטימי עשוי לשמש בסיס חוקי בהקשר בינה מלאכותית, ולכן לטענת הרגולטורים אין צורך בהוראה ייעודית. אם בכל זאת ההוראה תישמר, יש להבהיר את מבחן שלושת השלבים באינטרס הלגיטימי, את הזכות הבלתי-מותנית להתנגדות, ואת משמעות "שקיפות מוגברת".
  • עיבוד אגבי של קטגוריות מיוחדות של מידע בבינה מלאכותית – הערת הנציבות על הקושי למנוע עיבוד שיורי של מידע רגיש מתקבלת, אך יש לכלול תנאי מוקדם שלפיו החריג יחול רק בהינתן חוסר יכולת למחוק את הנתונים לכתחילה, ולהבטיח הגנות לאורך כל מחזור חיי הפיתוח.
  • הגבלת זכות הגישה למידע של נושא המידע –  הבהרת המושג "שימוש לרעה בזכות" ע"י נושא המידע מתקבלת בברכה, אך אין לקשור זאת למטרת הגישה; יש לקשור לכוונה פסולה בלבד.
  • הודעות על אירועי אבטחת מידע – העלאת הסף לדיווח לרגולטורים לרמה שבה אירוע האבטחה גורר "סיכון גבוה", והארכת המועד לדיווח מ-72 ל-96 שעות מתקבלות בחיוב. לצד זה, הרגולטורים מעירים כי ה-EDPB צריך לקבל סמכות מלאה לאשר את התבניות להודעה לרגולטורים, ורשימות נסיבות בהן נדרש דיווח, במקום הנציבות האירופאית.
  • תסקיר השפעה על פרטיות (DPIA) – האחדת הקריטריונים בהם נדרש תסקיר ברמה אירופית מבורכת, אך הסמכות לאשרן צריכה להיות של ה-EDPB ולא של הנציבות האירופאית.
  • עוגיות – ההצעה לטפל ב"עייפות ההסכמה" לעוגיות מתקבלת בחיוב. הרגולטורים  מציעים להוסיף חריג לפרסום הקשרי (contextual advertising) שלא יחייב הסכמה מפורשת של המשתמש.