האם ה-GDPR חל עליי?




    תודה על פנייתך, משרדנו ייצור עמך קשר בהקדם
    תודה על פנייתך, משרדנו ייצור עמך קשר בהקדם

    האם ה-GDPR חל עליי?

    בחודש מאי בשנת 2018 נכנסו לתוקף תקנות ההגנה על הפרטיות באירופה – GDPR (General Data Protection Regulation). תקנות אלה מטילות חובות רבות על מי שמעבד מידע באיחוד האירופי או על תושבי האיחוד האירופי, לצד קנסות בסכומים ניכרים. מאחר שהציות לתקנות אלה כרוך בטרחה רבה, שינויים ארגוניים ועלויות לא מבוטלות, מוצע כי ראשית תיבחן השאלה האם ה-GDPR כלל חל עליי או על הארגון שלי. במאמר זה נסקור את הנושא.

     

    תחולת התקנות

    על מנת להשיב לשאלה האם ה-GDPR חל עליי או על הארגון שלי, תחילה יש לבחון האם אנו מעבדים מידע אישי כהגדרתו ב-GDPR. שאלה זו למעשה נחלקת לשתיים – האם אנו מעבדים מידע והאם מידע זה הוא מידע אישי.

    עיבוד מידע מוגדר ב-GDPR באופן רחב מאוד, ולמעשה כולל כמעט כל פעולה הקשורה במידע, לרבות איסוף מידע, הקלטתו, ארגונו, אחסון מידע, פעולות התאמה או שינוי במידע, שידור מידע ועוד. לכן, על אף שייתכנו חריגים, נקודת המוצא היא שככל שאנו מחזיקים במידע באופן דיגיטלי, אזי אנו מבצעים בו פעולת עיבוד בהתאם להוראות ה-GDPR.

    ככל שהגענו למסקנה שאנו מעבדים מידע, עתה עלינו לבחון האם מדובר במידע אישי, שמוגדר ב-GDPR כמידע המתייחס לאדם טבעי, כלומר לא חברה או אישיות משפטית אחרת שאינה אדם בשר ודם, המזהה או שבאמצעותו ניתן לזהות את אותו אדם (נושא המידע – Data Subject), באופן ישיר או עקיף. מידע אישי יכול שיהיה מידע כגון שם, מספר תעודת זהות, מיקום, מידע בנוגע למצבו הפיזי או הנפשי של אדם, מידע גנטי ועוד. חשוב להבהיר, כי גם מידע שלא ניתן לזהות באמצעותו באופן ישיר את נושא המידע יכול שייחשב כמידע אישי, למשל במצב בו ניתן לעשות שימוש במידע על מנת לזהות את נושא המידע באופן עקיף, למשל באמצעות שילוב המידע עם מידע נגיש אחר המצוי ברשותנו או זמין באופן פומבי (לדוגמה – כתובת IP).

     

    תחולה טריטוריאלית

    גם אם הגענו למסקנה שאנו מעבדים מידע ומדובר במידע פרטי, עדיין לא די בכך כדי שיחולו עלינו תקנות ה-GDPR, אלא יש לבחון האם התקנות חלות עלינו מבחינה טריטוריאלית. אם מקום מושבו של מי שמעבד את המידע נמצא בתוך האיחוד האירופי, למעט מספר חריגים, ה-GDPR יחול עליו ללא קשר למקום בו מבוצע עיבוד המידע בפועל, אף אם הוא מבוצע מחוץ לגבולות האיחוד האירופי.

    כאשר מדובר במי שמעבד מידע אך מקום מושבו מחוץ לאיחוד האירופי, העניין מורכב יותר. בהתאם להנחיות המועצה האירופית להגנת מידע (EDPB), יש לבחון את קיומם של שני תנאים מצטברים, אשר רק בהתקיימם יחולו הוראות ה-GDPR על מי שמעבד מידע, אך מקום מושבו הוא מחוץ לאיחוד האירופי.

    התנאי הראשון הוא האם נושא המידע נמצא בתוך האיחוד האירופי. טעות נפוצה בהקשר זה, היא שרבים סבורים שברגע שעיבדו מידע של אזרח או תושב האיחוד האירופי, אף אם העיבוד נעשה מחוץ לאיחוד האירופי, חל עליהם ה-GDPR. אלא, שכפי שמבהיר ה-EDPB, ככל שעיבוד המידע נעשה מחוץ לאיחוד האירופי וללא כל זיקה אליו, לא יחולו הוראות ה-GDPR. לשם הדוגמה – אזרח ספרדי בחר לפתוח חשבון בבנק ישראלי. הבנק פעיל בישראל בלבד ופעילותו לא מכוונת לתושבי האיחוד האירופי. במקרה כזה, לא יחולו הוראות ה-GDPR על הבנק למרות היותו של הלקוח אזרח ספרדי. לעומת זאת, ניקח לדוגמה חברה ישראלית המספקת תוכנת ניווט בערים ברחבי העולם. אזרח ישראלי התקין את האפליקציה במכשיר הטלפון הנייד שלו, ועושה בה שימוש בזמן הטיול שלו במדריד. במקרה זה, למרות שנושא המידע אינו אזרח או תושב האיחוד האירופי, בכל זאת יחולו הוראות ה-GDPR על החברה, מאחר שעיבוד המידע נעשה בתוך האיחוד האירופי.

    התנאי השני למעשה נחלק לשניים, כאשר די בכך שאחת מהחלופות תתקיים על מנת שיחול ה-GDPR. בשלב זה עלינו לבחון האם מוצעים מוצרים או שירותים לנושאי מידע בתוך האיחוד האירופי או האם נעשה ניטור של התנהגותם של נושאי מידע בתוך האיחוד האירופי.

    כאשר תיבחן השאלה האם המוצרים או השירותים מוצעים לנושאי מידע בתוך האיחוד האירופי, אין בנמצא מבחן ברור ואחיד, אלא תיבדק הפעילות בכללותה לאיתור סממנים המצביעים על פניה לקהל לקוחות המצוי באיחוד האירופי. למשל, ביצוע משלוחים למדינות האיחוד האירופי, מספרי טלפון ייעודיים למדינות האיחוד, שם מתחם המסתיים בסיומת ייחודית לאחת ממדינות האיחוד ועוד.

     

    כאשר תיבחן השאלה האם נעשה ניטור של התנהגות, עלינו לשאול האם מבוצע מעקב אחר התנהגותו של אדם, לרבות באופן מקוון. כמו כן, יש לבדוק האם תוצאות מעקב זה בעלות פוטנציאל לשימוש נוסף באמצעות טכניקות עיבוד מידע לצורך בניית פרופיל על אודות אותו אדם, בפרט באופן המאפשר לנתח או לצפות את התנהגותו, העדפותיו האישיות, עמדותיו וכיו”ב. פעולות שעלולות בסבירות גבוהה להיחשב כ”ניטור” הן פרסום “התנהגותי”, ניטור מיקום (בפרט לצורך פעולות שיווקיות), מצלמות במעגל סגור, סקרים, מעקב אחר מצב בריאותי ועוד.

     

    אז מה עושים?

    אם אתם אוספים או מעבדים מידע בקשר עם האיחוד האירופי, מומלץ לבצע בדיקה ראשונית האם ה-GDPR חל עליכם או על הארגון שלכם. אף אם בדיקה שכזו הביאה אתכם למסקנה שלא כך הדבר, מומלץ לחזור עליה מעת לעת, בוודאי כאשר מבוצעים שינויים מהותיים בפעילות. אם ממצאי הבדיקה מצביעים על כך שחלות עליכם הוראות ה-GDPR, יש לבצע הליך להתאמת פעילותכם להוראות התקנות. מורכבות ההליך תלויה באופי הארגון, תחום הפעילות, היקפה ועוד. כך או כך, הסנקציות שניתן להשית על מי שחל עליו ה-GDPR אך לא עומד בהוראותיו הן כה מרחיקות לכת, שכלל לא צריכה להיות התלבטות.

     

    ליווי וייצוג מקצועי

    על מנת להתאים את פעילותכם להוראות ה-GDPR עליכם להיעזר באיש מקצוע הבקיא בהוראות התקנות ואופן יישומן, ובעל יכולת להנחות את בעלי המקצוע בארגון כיצד לבצע את ההתאמות הנדרשות. משרדנו מתמחה בהגנה על הפרטיות, רגולציה וסייבר, בישראל ובעולם, ודוגל במתן שירות מקצועי ואדיב התפור למידותיו של הלקוח. לפרטים נוספים ולקביעת פגישת ייעוץ מעו”ד עופר רוזנבלום השאירו פרטים באתר או התקשרו לטלפון: 073-3744405 או צרו עמנו קשר בטופס ותיענו בהקדם.