תקנות שמירת המידע החדשות באיחוד האירופי

כותב: עו"ד אבי רימון
פורסם ב: קטגוריה עו"ד
בתאריך: 31.05.2016

בגיליון הקודם דיווחנו אודות התקנתה של דירקטיבה חדשה באיחוד האירופי לעניין הגנת המידע. הדירקטיבה הקודמת נקבעה ב- 1995, והייתה ממוקדת בעיקרה במאגרי מידע של מוסדות ציבוריים וארגונים גדולים.

מאז, איסוף המידע נעשה בעיקר ברשת האינטרנט ועל ידי ארגונים פרטיים. כמו כן, אפשרויות העיבוד התעצמו, ולפיכך הרגישות של הציבור האירופי גברה. אחרי תהליכי התקנה שנמשכו כחמש שנים, לבסוף אושרה גרסה חדשה לכללי הגנת המידע האירופים. מדובר בתקנה רחבה ביותר במימדיה, והיא מכילה אף הוראות בדבר הקמת מוסדות, אמצעי אכיפה ועילות תביעה. אין מדובר בדירקטיבה כללית, המהווה רק בגדר הנחייה למדינות האיחוד, הכיצד להסדיר חקיקה מקומית, אלא היא בנויה כחוק לכל דבר.

לא ניתן לעמוד, במסגרת זו, על כל החידושים וההסדרים החדשים. נתייחס למספר עיקרים.

הדירקטיבה חלה על איסוף ועיבוד מידע, היכול להיות מזוהה עם אדם ספציפי. כלומר, מידע שהוא אנונימי אינו תחת תחולת ההוראות. מידע אנונימי הוא בגדר מידע שלא ניתן באמצעים סבירים לשייכו לאדם מסוים. בזאת הדירקטיבה מעודדת בצורה מובהקת אנונימיזציה של המידע הנאסף ברשת – דבר שיכול להקל על המפרסמים הדיגיטליים.

הדירקטיבה חלה על כל מי שעוסק באיסוף ובעיבוד של מידע אודות תושבי האיחוד, ושיש לו מרכז פעילות באיחוד או שהוא מציע את שירותיו או סחורותיו לתושבים באיחוד. על כן, ארגונים כמו גוגל ופייסבוק כפופים להוראות הללו בכל הקשור לתושבי האיחוד בין אם יש להם נציגויות באירופה ובין אם לאו, ככל שהם מציעים את שירותיהם לתושבי האיחוד, (בין כנגד תמורה ובין בחינם).

ההוראות מתוות את העיקרון, שאיסוף מידע מוגן ועיבודו חייבים להיות בהסכמתו של האדם שהמידע אודותיו, (להלן – האדם), לרבות ביחס למטרות האיסוף והעיבוד, וכי פעולות אלו צריכות להיעשות במידה הנדרשת בלבד, תוך שמירה על דיוק המידע ועדכנותו. במקום שהמטרות שלשמן העיבוד והאיסוף התבטלו, יש לחדול מעיבוד המידע ומאיסופו עד כדי מחיקת הנתונים בנסיבות מסוימות.

הסכמת האדם צריכה להיות אקטיבית, מפורשת ומודעת, ועליה להתייחס לכל מכלול השימושים, שהאוסף והמעבד מתכוונים לבצע. באופן זה, לא ניתן יהיה, באמצעות מדיניות פרטיות, שאינה מאושרת באופן אקטיבי וספציפי, לקבל הרשאות לשימוש במידע מוגן.

התקנה מחייבת גילוי מפורט ונרחב בפני האדם גם ביחס למיהות הגופים העוסקים במידע. לאדם יש הזכות לקבל פרטים באופן שוטף ביחס למידע שנאסף אודותיו ומה נעשה עימו, ואף יש לו הזכות, בכפוף לחריגים, לדרוש מחיקת המידע.

התקנה אוסרת על עיבוד מידע על פי מאפיינים של מין, גזע, דת, מוצא אתני וכיוב' בכפוף להחרגות שונות.

התקנה מעניקה לאדם את הזכות להתנגד, כי החלטות שונות לגביו תתקבלנה על ידי מכונות – עקרון זה אינו חל על החלטות ביחס לכריתת הסכם.

התקנה מאפשרת סטייה מחלק מהוראותיה לטובת שורת נושאים וביניהם נושאי בטחון. כמו היא כוללת הוראות בעניין רמת אבטחת המידע.

העברת מידע מהאיחוד אל מדינות אחרות מותנית בעמידת אותן המדינות בקריטריונים שונים, לא רק ביחס לאופן שמירת על המידע המוגן, אלא אף בעניין שלטון החוק וחירויות הפרט.

התקנה תכנס לתוקפה במאי 2018.

התייחסות

פרק מאגרי המידע בחוק הגנת הפרטיות מבוסס במידה רבה על הגישה האירופאית משנת 1995. ישראל כמדינה אשר מייצרת טכנולוגיות מתקדמות לעיבוד מידע וחלק מהחברות בה אף מספקות שירותים בתחום זה באופן גלובלי, תהא מצויה ללא ספק בדילמה, האם לאמץ באופן מקיף את הגישה האירופאית העדכנית שהיא מעין סמן ימני להגנה על המידע, או למצוא דרכי ביניים. על כל פנים, חברות ישראליות המספקות שירותי עיבוד מידע ואגירתו לתושבים באיחוד תצטרכנה להתאים עצמן לכללים החדשים, כך אף לגבי מפתחי הכלים הטכנולוגים השונים בעולם זה.

תגובות