דירקטיבה (רגולציה) חדשה של האיחוד האירופי לגבי מאגרי מידע בחוק הגנת הפרטיות והשפעתה על ישראל
מאת: עו"ד אבי רימון, 6.6.16, 07:00
האיחוד שינה את הדירקטיבה מ-1995 והקים דירקטיבה חדשה לגבי איסוף ועיבוד מידע ואבטחת המידע. חברות ישראליות, שמספקות שירותי עיבוד מידע ואגירתו לתושבים באיחוד, תצטרכנה להתאים עצמן לכללים החדשים. למפתחי כלים טכנולוגיים תיפתח הזדמנות עסקית, כי בעלי מאגרים יצטרכו להתאימן להוראות החדשות בתחומי הממשק עם הציבור, הניהול והאבטחה.
פרק מאגרי המידע בחוק הגנת הפרטיות מבוסס במידה רבה על הדירקטיבה מ--1995 של האיחוד האירופי בנושא זה.
מאז השתנה נושא מאגרי המידע
בצורה דרמטית, אם בעבר מירב האיסוף נעשה ע"י ממשלות וארגונים גדולים לצורך השירות ללקוחותיהם, כיום מרבית המידע נאסף באמצעות רשת האינטרנט ע"י ארגונים פרטיים. זאת, בעיקר לצורך יצירת פרופילים ורשימות תפוצה עבור מוצרים עתידיים. כמו כן, היקף האיסוף של חלק מהממשלות התעצם בצורה בלתי רגילה ועל כך יעידו גילויי
אדוארד סנודן. כמו כן, יכולות המחשוב והעיבוד השתפרו בעשרות מונים וטכנולוגיות מסוג ביג דאטה מאפשרות הסקת מסקנות מבליל אקראי כביכול של מידע.
לפיכך הרגישות של הציבור האירופי גברה מאד, והוא מרגיש מאויים מיכולות אלו. לאור זאת, החליט האיחוד לשנות את הדירקטיבה מ-1995 והקים לפני כחודש לאחר תהליכי חקיקה, שנמשכו כחמש שנים, דירקטיבה חדשה, רחבה ביותר במימדיה, שמכילה אף הוראות בדבר הקמת מוסדות, אמצעי אכיפה ועילות תביעה. אין מדובר בדירקטיבה כללית, שמהווה רק בגדר הנחייה למדינות האיחוד, הכיצד להסדיר חקיקה מקומית, אלא היא בנויה כחוק לכל דבר.
הדירקטיבה חלה על איסוף ועיבוד מידע, שיכול להיות מזוהה עם אדם ספציפי. כלומר,
מידע שהוא אנונימי אינו תחת תחולת ההוראות. מידע אנונימי הוא בגדר מידע, שלא ניתן באמצעים סבירים לשייכו לאדם מסוים. בזאת הדירקטיבה מעודדת בצורה מובהקת אנונימיזציה של המידע הנאסף ברשת, דבר שיכול להקל על המפרסמים הדיגיטליים.
הדירקטיבה חלה על כל מי שעוסק באיסוף ובעיבוד של מידע אודות תושבי האיחוד ושיש לו מרכז פעילות באיחוד או שהוא מציע את שירותיו או סחורותיו לתושבים באיחוד. על כן, ארגונים כמו גוגל ופייסבוק כפופים להוראות הללו בכל הקשור לתושבי האיחוד בין אם יש להם נציגויות באירופה ובין אם לאו, ככל שהם מציעים את שירותיהם לתושבי האיחוד, (בין כנגד תמורה ובין בחינם).
ההוראות מתוות את העיקרון, ש
איסוף מידע מוגן ועיבודו חייבים להיות בהסכמתו של האדם שהמידע אודותיו, (להלן – האדם), לרבות ביחס למטרות האיסוף והעיבוד, וכי פעולות אלו צריכות להיעשות במידה הנדרשת בלבד, תוך שמירה על דיוק המידע ועדכנותו. במקום שהמטרות, שלשמן העיבוד והאיסוף התבטלו, יש לחדול מעיבוד המידע ומאיסופו עד כדי מחיקת הנתונים בנסיבות מסוימות.
הסכמת האדם עפ"י הדירקטיבה צריכה להיות אקטיבית, מפורשת ומודעת, ועליה להתייחס לכל מכלול השימושים, שהאוסף והמעבד מתכוונים לבצע. באופן זה,
לא ניתן יהיה, באמצעות מדיניות פרטיות, שאינה מאושרת באופן אקטיבי וספציפי, לקבל הרשאות לשימוש במידע מוגן.
התקנה מחייבת גילוי מפורט ונרחב בפני האדם גם ביחס למהות הגופים העוסקים במידע. לאדם יש הזכות לקבל פרטים באופן שוטף ביחס למידע, שנאסף אודותיו ומה נעשה עימו, ואף יש לו הזכות, בכפוף לחריגים, לדרוש מחיקת המידע.
התקנה אוסרת על עיבוד מידע עפ"י מאפיינים של מין, גזע, דת, מוצא אתני וכיוב' בכפוף להחרגות שונות.
התקנה מעניקה לאדם את הזכות להתנגד, כי החלטות שונות לגביו תתקבלנה ע"י מכונות. עקרון זה אינו חל על החלטות ביחס לכריתת הסכם.
התקנה מאפשרת סטייה מחלק מהוראותיה לטובת שורת נושאים וביניהם נושאי ביטחון. כמו כן, היא כוללת הוראות בעניין רמת
אבטחת המידע.
העברת מידע מהאיחוד אל מדינות אחרות מותנית בעמידת אותן המדינות בקריטריונים שונים, לא רק ביחס לאופן שמירת על המידע המוגן, אלא אף בעניין שלטון החוק ו
חירויות הפרט.
התקנה תכנס לתוקפה במאי 2018.
ישראל כמדינה, שמייצרת טכנולוגיות מתקדמות לעיבוד מידע וחלק מהחברות בה אף מספקות שירותים בתחום זה באופן גלובלי, תהא מצויה, ללא ספק, בדילמה, האם לאמץ באופן מקיף את הגישה האירופאית, שהיא מעין סמן ימני להגנה על המידע, או למצוא דרכי ביניים. על כל פנים, חברות ישראליות, שמספקות שירותי עיבוד מידע ואגירתו לתושבים באיחוד, תצטרכנה להתאים עצמן לכללים החדשים.
אשר למפתחי הכלים הטכנולוגים השונים מדובר
בהזדמנות עסקית הואיל וכל בעלי המאגרים יצטרכו להתאים את המערכות שלהם הן בתחומי הממשק עם הציבור, הניהול והאבטחה להוראות החדשות.
מאת: עו"ד אבי רימון, יוני 2016.
מומחה לתחום רגולציית עולם התקשורת.
www.rimonlaw.co.il