זכויות הפרט – הזכות לגשת למידע הפרטי

אחד השינויים המהותיים ביותר שרגולציית הגנת הפרטיות, ה-GDPR, מוסיפה – היא הרחבת הזכויות של המשתמשים הפרטיים בכל הנוגע לזכותם לקבל גישה לנתונים האישיים שלהם ולמידע משלים. דהיינו, הזכות לגשת למידע האישי הנאסף ונאגר בחברות, מאפשרת לאנשים להיות מודעים למידע זה ולאמת את חוקיות העיבוד שלו.

נשאלת השאלה, איזה מידע אדם זכאי לגשת אליו תחת תחולתו של ה-GDPR?

ובכן, למשתמשים תעמוד הזכות לקבל גישה לנתונים האישיים שנאגרים עליהם, להבין כיצד מדע זה מעובד ולאיזה צורך. הסיבה העיקרית לכך נעוצה בעובדה כי יש לאפשר לאנשים לגשת לנתונים האישיים שלהם על מנת לאפשר להם להיות מודעים לתהליכים ולהיות מסוגלים לאמת את חוקיות העיבוד.

החובה על הארגונים לספק את המידע המבוקש למשתמש הפרטי תחת תחולתה של הרגולצייה, לא מסתיימת רק בעצם אספקת המידע המבוקש. על הארגונים חלים חובות נוספים, הכוללות:

• אספקת עותק של המידע שנאסף על המשתמש, לבקשתו, ללא תשלום. עם זאת, ניתן לגבות "תשלום סביר" כאשר הבקשה היא מופרכת בבירור או מופרזת, במיוחד אם הבקשה חוזרת על עצמה. כמו כן, הארגון יוכל לחייב את המשתמש בתשלום סביר על מנת לעמוד בבקשות להעתקים נוספים של אותו מידע. האגרה חייבת להיות מבוססת על העלות הניהולית של אספקת המידע.
• המידע אותו ביקש המשתמש לקבל, חייב להינתן ללא דיחוי ולכל המאוחר תוך חודש מיום קבלת הדרישה. ניתן להאריך את תקופת הציות במקרים בהם הבקשה למידע הינה מורכבת או ישנן מספר בקשות מאותו משתמש. במקרה זה, על הארגון ליידע את הפרט בתוך חודש מיום קבלת הבקשה ולהסביר מדוע הארכה נחוצה.
• במידה והבקשה לקבלת מידע הינה מופרכת או מופרזת, ניתן יהיה לגבות תשלום סביר בהתחשב בעלויות הניהול של מתן המידע. במקרים מסוימים ניתן אף לסרב לבקשה. במקרה של סירוב, יש להסביר את הסיבה לפרט, להודיע לו על זכותו להתלונן בפני הרשות המפקחת.

במידה והארגון מספק את המידע המבוקש למשתמש, יש לבצע בשלב הראשון זיהוי ואימות של המבקש, תוך שימוש באמצעים סבירים. אם הבקשה נעשית באופן אלקטרוני, עליך לספק את המידע בפורמט אלקטרוני נפוץ.

מעבר לפריטי המידע האישי של המשתמש, הזכות לגישה, כוללת גם את אספקת ההמידע הבא:

• מטרות עיבוד המידע שנאסף.
• קטגוריות הנתונים שעובדו על ידי הארגון.
• נמענים של מידע (מידע שמועבר או משותף עם גופים השייכים למדינות החתומות בהסכם שיתוף מידע ביניהן).

כמובן שלכל כלל יש יוצא מן הכלל. וכך הוא הדבר גם כאשר מדובר בזכות הגישה לנתונים תחת רגולציית ה-GDPR. הרגולצייה מכירה בכך שישנם מצבים בהם הגישה של נושאי המידע עלולה לפגוע בארגון.

לדוגמה, כאשר מדובר על שמירת זכויות הקניין הרוחני והסודות המסחריים של חברה או כאשר גישה למידע עלולה לפגוע בזכויותיהם של אחרים. אך, כמובן, אין להשתמש במצבים אלו כבסיס לסירוב כולל למסור מידע, אלא יש להפעיל שיקול דעת ולהבין האם אכן קיימת סכנה לפגיעה ממשית.

השינויים והתוספות לזכויות הפרט בהתאם לרגולציית הפרטיות, יהיו בעליי השלכות מרחיקות לכת על החברות. המשמעות העיקרית הינה שארגונים יצטרכו לטפל בבקשות של המשתמשים לגישה מהר יותר תוך אפשרות לאספקת פרטים נוספים. כדי שיוכלו לעשות זאת, ארגונים יזדקקו לעובדים המודעים לרגולצייה ולזכויות ולחובות שהיא מחייבת ולהדרכתם כיצד להיענות לדרישות המשתמשים החדשות.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.