כל המיתוסים הנפוצים על ה-GDPR

לפני חודש, ב-25 במאי 2018, נכנסה לתוקף רגולציה כלל אירופאית חדשה בנושא הגנת מידע אישי, שמטרתה לחזק את ההגנה בקשר למידע אישי של נושאי מידע המצויים באיחוד האירופי ומידע אישי הנאסף על ידי חברות אירופאיות– ה-General Data Protection Regulation (ה-GDPR). ככלל, התקנות מורכבות ולעתים קרובות אופן יישומן אינו ברור דיו, ומשכך נקשרו בהן מיתוסים רבים, אשר מן הראוי להפריכם:

• עמידה ב-GDPR מספקת על מנת לציית לכל חוקי הגנת הפרטיות באירופה

אמירה זו שגויה, שכן למרות שמטרת ה-GDPR הייתה ליצור הרמוניזציה של חוקי הגנת הפרטיות במדינות האיחוד האירופי, התקנות מאפשרות למדינות האיחוד לחוקק חוקים מדינתיים שונים ביחס לנושאים מסוימים, למשל ביחס לעיבוד מידע רפואי. משכך, במקרים מסוימים יש לבחון עמידה בחוקים מדינתיים שונים בנוסף לעמידה ב-GDPR.

• אי עמידה בדרישות הקבועות ב-GDPR תגרור קנסות של 20 מיליון יורו או עד 4% מהמחזור השנתי הגלובאלי, הגבוה מבין השניים

יובהר כי קנסות אלו מהווים סנקציה אחת מיני רבות אשר קבועות בתקנות, שכן התקנות מאפשרות הטלת סנקציות שונות, לרבות הטלת מגבלה זמנית או קבועה על המשך עיבוד המידע, מתן אזהרות, נזיפות וכו'. אף בקשר לקנסות אלו יש להדגיש כי מדובר ברף מקסימלי, וכי בעת הטלת הקנס יישקלו פקטורים רבים על מנת לקבוע את הקנס שיוטל בכל מקרה ומקרה, למשל אופי ההפרה וחומרתה, משך ההפרה, פעולות שננקטו על מנת להקטין את הנזק וכו'.

• ה-GDPR חל על כל פעולה של עיבוד מידע אישי בקשר לאירופאים, ללא קשר למקום הימצאם

אמירה זו שגויה שכן תחולת התקנות על חברות שאינן בעלות נוכחות אירופאית אינה תלויה בשאלה האם נושא המידע הינו אזרח או תושב אירופאי. השאלה אשר נבחנת בהקשר זה הינה באשר למקום הימצאו של נושא המידע – התקנות חלות גם על חברות שאינן בעלות נוכחות אירופאית, לרבות חברות ישראליות, אשר מציעות שירותים או מוצרים לנושאי מידע המצויים באיחוד האירופאי והמעבדות מידע אישי לגביהם אגב כך, וכן על חברות המנטרות את התנהגותם של נושאי מידע המצויים באיחוד האירופאי (ככל שזו מתבצעת באירופה).

• התקנות חלות על כל חברה המעבדת מידע אישי על אירופאים

אמירה זו שגויה שכן בבחינת תחולת התקנות על חברות שאינן בעלות נוכחות אירופאית יש לבחון, בין היתר, האם החברה צפתה כי נושאי מידע הנמצאים באירופה ירכשו את מוצריה או ישתמשו בשירותים המוצעים על ידה. מובהר בתקנות כי מתן אפשרות גישה מאירופה לאתר אינטרנט לא מהווה כשלעצמה הוכחה על כוונה לפנות לנושאי מידע המצויים באירופה וכי יש לבחון פקטורים נוספים בהקשר זה, לרבות שימוש באחת מהשפות המדוברות באירופה, אפשרות לתשלום במטבע יורו וכו'.

● התקנות מחייבות לקבל את הסכמת נושא המידע על מנת לעבד את המידע האישי שלו

אמירה זו שגויה שכן על מנת לעבד מידע אישי בהתאם לדרישות ה-GDPR יש להישען על אחת ההצדקות הקבועות בתקנות, אשר כוללות בין היתר קבלת הסכמה מנושא המידע. אולם, התקנות כוללות הצדקות נוספות לעיבוד מידע אשר אינן תלויות בקבלת הסכמה, כגון עיבוד המידע הכרחי לצורך קיום חובה חוקית, לצורך קיום "אינטרס לגיטימי", לצורך קיום הסכם בין הצדדים וכו'.

• התקנות מחייבות למחוק מידע של נושאי המידע

ה-GDPR מחייב למחוק מידע אישי במקרים מסוימים, למשל כאשר המידע אינו נחוץ יותר למטרה שלשמה הוא נאסף. עם זאת, האמירה לעיל אינה מדויקת שכן חובה זו אינה מוחלטת ב-GDPR וישנם מקרים בהם חובה זו לא תחול, למשל, כאשר פעולת עיבוד המידע הינה הכרחית לשם מימוש הזכות לחופש הביטוי והמידע, על מנת לציית לחובה חוקית הדורשת עיבוד מידע כמפורט בתקנות או כאשר פעולת עיבוד המידע הכרחית על מנת להתגונן כנגד טענות משפטיות.

הכותבת היא עו"ד, ראש מחלקת קניין רוחני ופרטיות במשרד עוה"ד גרוס (GKH).