משרד עורכי דין אבי לוי - עורך דין המומחה בדיני פרטיות באינטרנט - GDPR

 GDPR הינו אוסף של הוראות מחייבות שהוסדרו על ידי הפרלמנט האירופי, מועצת האיחוד האירופי והנציבות האירופית על מנת להגן על נושאי המידע בטריטוריית האיחוד האירופי בכל הנוגע לעיבוד נתונים אישיים שלהם. הרגולציה מתייחסת לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים וקובעת כללים אחידים לשמירה על הפרטיות.

הנני עורך דין עתיר ניסיון בתחום הפרטיות וייעצתי למאות יזמים הפועלים ברשת במגוון נושאים בעלי מורכבות משפטית גבוהה בתחום. אשמח לעמוד לשירותכם וללוות אתכם בכל הקשור לדיני פרטיות בצורה המיטבית.

לקריאה נוספת אודותיי לחצו כאן.

לקבלת יעוץ ראשוני בתחום דיני פרטיות מעו״ד אבי לוי - ללא עלות וללא התחייבות צלצלו 052-2353449 או השאירו פרטים מטה ואחזור אליכם

שקופית קודמת
שקופית הבאה

עו״ד לפרטיות ו-GDPR

״הרגולציה חלה על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי, ובלבד שהם מעבדים נתונים של נושאי מידע בטריטוריה של האיחוד האירופי.״

כותב: עו״ד אבי לוי

האסדרה הכללית להגנה על פרטיות GDPR

GDPR הינו אוסף של הוראות מחייבות שהוסדרו על ידי הפרלמנט האירופי, מועצת האיחוד האירופי והנציבות האירופית על מנת להגן על נושאי המידע בטריטוריית האיחוד האירופי בכל הנוגע לעיבוד נתונים אישיים שלהם. הרגולציה מתייחסת לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים וקובעת כללים אחידים לשמירה על הפרטיות.

הרגולציה נועדה בעיקר לאפשר לכל תושב באיחוד האירופי שליטה מרבית על הפרטים שנשמרו אודותיו בחברות פרטיות, ציבוריות וגופים עסקיים וממשלתיים, וזאת באמצעות החלת כללים משפטיים בני אכיפה על אותם גופים. הרגולציה התקבלה ב-27 באפריל 2016, פורסמה בעיתון הרשמי של האיחוד האירופי, והפכה לבת אכיפה בתאריך 25 במאי 2018. הרגולציה אינה דורשת ממדינות האיחוד לחוקק חקיקה ספציפית נוספת, שכן היא חלה באופן ישיר ומחייב על המדינות החברות. הרגולציה מחליפה את הדירקטיבה האירופאית בנוגע להגנה על נתונים (הנחיה 95/46/EC[2]) שנחקקה לפני מעל ל-20 שנה, בשנת 1995, והייתה מיושנת ולא מותאמת לעידן הנוכחי.

הרגולציה חלה על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי, ובלבד שהם מעבדים נתונים של נושאי מידע בטריטוריה של האיחוד האירופי. חלים איסורים ומגבלות על העברת מידע אל מחוץ לטריטוריית האיחוד, בשל החשש להפרות שעלולות להתרחש באזורים בעולם בהם הפרטיות אינה מוגנת כראוי.

אי ציות להוראות עלול לגרור אזהרות, ביקורות תקופתיות וקנסות חמורים המגיעים לכדי 4% מהמחזור השנתי העולמי של הגוף המפר או קנס בשיעור של 20 מיליון יורו. יישום הרגולציה, אשר החל כבר בשנת 2017, גרר ביקורת רבה מצד גורמים פרטיים ומסחריים. נטען כי יישום הכללים מחייב משאבים נרחבים, הוצאות כספיות משמעותיות, מינוי בעלי תפקידים כגון מומחים וקציני אבטחת מידע, פיקוח משפטי ועסקי רחב הקף וכדומה. בנוסף, נטען כי הניסוח של כללים מסוימים מעורפל, אינו אחיד ואינו מתואם תמיד עם החקיקה המקומית במדינות האיחוד, וכי הכללים לא לקחו בחשבון באופן מלא ומקיף שיקולים כגון אחסון בענן, ביג דאטה וכדומה. לצורך נגישות ונוחות, מתפרסמת הרגולציה בכל 24 השפות המדוברות באיחוד האירופי, ובפורמט של HTML, PDF וכן כפי שפורסמה בעיתון הרשמי של האיחוד האירופי

 

 

הרגולציה בנויה משני חלקים עיקריים

החלק הראשון שנקרא פתיח (Recital) כולל 173 סעיפי הסבר אודות הרגולציה, כולל דוגמאות והמחשה של הסעיפים השונים. החלק השני כולל את הוראות הרגולציה עצמה: 99 פרקים (Articles).

מחפשים עו״ד לפרטיות בסביבת מודיעין?

לקבלת ייעוץ ראשוני השאירו פרטים או צלצלו 052-2353449

עיקרי הרגולציה היקף התחולה

הרגולציה חלה על כל הגורם השולט בנתונים (Controller) וקובע את מטרות איסוף המידע וכן חלה על כל גורם המעבד את הנתונים (Processor). הרגולציה חלה, כאמור, גם אם מקום מושבם מחוץ לאיחוד האירופי, אולם הם עוסקים באיסוף מידע אישי אודות נושאי מידע באיחוד האירופי ומעבדים אותו. על בקר הנתונים קיימות חובות מוגברות.

“מידע אישי” מוגדר בפרק 1 ככל מידע אשר על פיו מזוהה או ניתן לזיהוי אדם מסוים. המידע עשוי לכלול כמעט כל פרט, החל משם האדם, כתובתו, כתובת הדואר האלקטרוני, פרטי חשבון הבנק שלו, פוסטים ברשתות חברתיות, מידע רפואי, או כתובת IP של מחשבו. “נשוא המידע” (Data Subject) הוא האדם שעל אודותיו נאסף המידע.

הרגולציה אינה חלה על עיבוד של נתונים בנוגע לתאגידים וכן אינה חלה על נתונים אישיים במקרים של הגנה על הביטחון הלאומי או פעילות של אכיפת חוק פליליות במסגרת האיחוד האירופי. כמו כן, אינה חלה במקרה של עיבוד נתונים על ידי אנשים פרטיים לצרכים ביתיים ושימושים אישיים וכן אינה חלה על מידע בנוגע לאנשים שנפטרו.

רשויות מפקחות

הרגולציה מהווה סט אחד ובלעדי החל על כל המדינות החברות באיחוד האירופי. בהתאם להוראות פרק 51, חייבת כל מדינה חברה להקים רשות מפקחת עצמאית (Supervising Authority =SA) שתפקידה לפקח ולחקור תלונות וכן להטיל עיצומים מנהליים בגין הפרות. רשויות הפיקוח במדינות השונות חייבות לשתף פעולה עם רשויות במדינות אחרות, להעניק סיוע הדדי, ולארגן פעולות משותפות כלפי גורמים מסחריים הפועלים במסגרתן. במקרה של חברה מסחרית הפועלת במספר מדינות, הרשות המפקחת לגביה תהיה במדינה בה מצוי מרכז פעילותה של החברה המסחרית, כגון במקום בו נערך עיבוד הנתונים. הרשות המפקחת באותה מדינה לגבי אותה חברה תשמש כ-“one stop shop” ותפקח על כל פעילות עיבוד הנתונים אשר מתבצעת בכל רחבי האיחוד האירופאי. 

זכויות נשואי המידע

כאמור, הרגולציה נועדה להגן על כל אדם לגביו נאסף מידע ומגדירה מספר זכויות:

1.הזכות לשקיפות אודות המידע שנאסף לגביהם ומטרות עיבודו.

2.הזכות לקבל מידע לגבי העברת המידע שלהם לצד שלישי.

3.הזכות לדעת מהו המידע השמור אודותיהם.

4.הזכות לתקן את המידע השמור אודותיהם ולמוחקו (“הזכות להישכח”).

5.הזכות להגביל את העיבוד של המידע אודותיהם.

6.הזכות לנייד את המידע שלהם לגורם אחר.

7.הזכות להתנגד לעיבוד המידע ויצירת פרופיל.

 

הזכות לשקיפות

כאשר בקר נתונים או גורם מעבד אוספים מידע אישי אודות נושאי מידע, חלות עליהם חובות מכוח הרגולציה. כך למשל, חלה חובה לדווח לנושא המידע בכל פעם שנאסף מידע אישי אודותיו, שהמידע אודותיו נשמר, מה מטרות שמירת המידע ומהו הבסיס החוקי לכך. כמו כן, יש למסור לנושא המידע פרטים ליצירת קשר, וכן לעדכן אותו בדבר פרטי קצין אבטחת המידע (DPO), אם מונה, ולידע אותו במקרה שהמידע האישי מועבר לגורם שלישי. והוא נדרש להיות הבקר הראשי אשר מחויב לשמור בצורה המתאימה ולעבד את הנתונים הפנימיים של הארגון כדי לוודא מעקב ואכיפה פנימית שהארגון מחויב לבצע בעצמו כדי לעמוד בתקנות[5]. 

 

הזכות להישכח

“הזכות להישכח” מעוגנת בפרק 17 לרגולציה, וקובעת כי לנושא המידע יש את הזכות לבקש מחיקה של הנתונים האישיים הקשורים אליו ללא דיחוי. עם זאת, הזכות תהיה מוגבלת במקרים שהמידע הוא חלק מחופש הביטוי, או כשיש לציית להוראת דין המחייבת שמירת המידע, או כשמדובר באינטרס ציבורי בתחומי הבריאות הציבורית, המדע או חקר היסטורי, או על מנת לשמר מידע לצורך תביעה משפטית עתידית. 

 

הזכות לניידות

אחת הזכויות המוקנות לנושא המידע היא הזכות לניידות, כלומר, נושא המידע רשאי בכל עת לבקש להעביר את הנתונים האישיים שלו מגורם מעבד אחד לגורם מעבד אחר אלא אם המידע אנונימי במידה מספקת ואם הדבר אפשרי מבחינה טכנית.

 

הזכות להתנגד לעיבוד

מצדו של נושא המידע, במקרים בהם קיים מנגנון עיבוד מידע אוטומטי היוצר פרופיל, הרי שמוקנית לו הזכות לסרב לקבלת החלטות לגביו כתוצאה מניתוח אוטומטי זה. לנושא המידע הוקנתה גם “הזכות להסבר” אודות איסוף נתונים אודותיו, זכות אשר היקפה עדיין מעורפל ומחייב קביעת קריטריונים על ידי בתי המשפט.

 

סנקציות

הסנקציות שניתן להטיל מכוח הרגולציה הן חמורות וכוללות: אזהרה בכתב במקרים של הפרה ראשונה ולא מכוונת.ביקורות תקופתיות קבועות בנוגע להגנה על הפרטיות.

קנס עד 10,000,000 יורו או עד 2% מהמחזור השנתי הגלובלי של החברה המפרה, הגבוה מבין השניים, במקרים של הפרת הוראות סעיף 83 (4) הכוללות: 

הפרת חובותיו של בקר ומעבד המידע לפי סעיפים 8, 11, 25 עד 39 ו-42 ו-43. הפרת חובותיו של גוף מפקח לפי סעיפים 41, 42 ו-43.

קנס עד 20,000,000 יורו או עד 4% מהמחזור השנתי הגלובלי של החברה המפרה, הגבוה מבין השניים, במקרים של הפרת הוראות סעיף 83 (5)(6):

הפרה של העקרונות הבסיסיים לעיבוד, לרבות תנאים הסכמה, בהתאם לסעיפים 5, 6, 7, 9. הפרה של זכויות נושאי המידע בהתאם לסעיפים 12 עד 22. הפרה של העברות מידע אישי לנמען במדינה שלישית או לארגון בינלאומי בהתאם לסעיפים 44 עד 49.

 

הרשות להגנת הפרטיות בישראל

הרשות להגנת הפרטיות בישראל  הינו  הגוף המסדיר, מפקח ואוכף את ההוראות והתקנות על פי חוק הגנת הפרטיות. הרשות מופקדת על הגנת המידע האישי במאגרי מידע דיגיטליים ועל ביצורה של הזכות לפרטיות. ייעודה של הרשות הוא להתוות את מדיניות ההגנה על המידע האישי בישראל.

משימותיה המרכזיות הן קידום שליטת הפרט במידע אישי אודותיו, השפעה על תהליכי עיצוב לפרטיות בארגונים ובמערכות מידע בכל מגזרי המשק וחיזוק תחושת המוגנות של הציבור. הרשות להגנת הפרטיות מקיימת פעילות בין לאומית ומפרסמת הנחיות בעניין, כגון התקנות להעברת מידע מחוץ לגבולות המדינה, הגנה על הפרטיות בזירה הבינלאומית ומשתתפת בפורומים בינלאומיים. מדינת ישראל מוכרת על ידי האיחוד האירופי החל משנת 2011 כאזור העומד בסטנדרט האירופי לשמירה על הפרטיות בהתאם לרגולציית הGDPR .

 

מסגרת שירות הליווי של המשרד (Privacy as a Service)

מיפוי וזיהוי מידע שמור על אנשים פרטיים עם דגש על מידע רגיש לפי הגדרת החוק שמצריך טיפול מיוחד. מיפוי אבטחת מידע, כולל בעלי תפקידים, עקרונות דיווח, מיפוי וסיווג נכסי מידע, טכנולוגיות, הרשאות, ניהול אירועים, בקרה פנימית וחיצונית    מיפוי מערכות מידע בארגון, כולל פעולות תפעול (גיבוי/שחזור), הפרדת פיתוח/ייצור/בדיקות, איסוף רישומים (Logs), אבטחת תקשורת  כתיבת מענה לרשויות התקינה (רשות הגנת הפרטיות בישראל ובאיחוד האירופאי) במידה ונדרש איסוף מידע להכנת נהלים:

–     מיפוי מאגרי המידע ורישומם

–     דו”ח ניתוח פערים אל מול תקנת הגנת הפרטיות / GDPR

–     בניית תכנית עבודה ליישום סגירת הפערים וההמלצות ליישום

–     ניהול יישום סגירת הפערים

–     זיהוי והגדרת מדיניות אבטחת המידע

–     כתיבת הנהלים הנדרשים בהתאם לפערים שהוגדרו

–     תיקוף הנהלים

–     ליווי מימוש הנהלים

–     יישום בקרות שוטפות לעמידה שוטפת בדרישות הרגולציה

–     הנחיות לצוותי המחשוב וייעוץ ביישום סגירת הפערים

–     יישום (DPO (Data Privacy Officer בפועל בארגון בהתאם להנחיות ה-GDPR

–     ביקורות  תקופתיות,   סקר סיכונים כולל (במידה ונדרש)

 

CCPA – חוק הגנת פרטיות הצרכן בקליפורניה

ה- CCPA כולל שורה של כללים והגבלות החלים על שימוש במידע אישי של תושבי קליפורניה. גם כאשר ההגדרה של מידע אישי הינה רחבה ביותר, וכוללת כל מידע המאפשר זיהוי של אדם מסוים, כגון שם, כתובת, מזהה אינטרנטי לרבות IP ועוד.

 

על מי חל חוק הגנת פרטיות הצרכן בקליפורניה

בדומה ל- GDPR, גם ה- CCPA אינו מגביל את תחולתו רק לעסקים שמקום מושבם בקליפורניה, אלא חל על כל עסק, בכל מקום בעולם, האוסף מידע אישי ועומד באחד התנאים הבאים:

היקף הכנסות ברוטו של למעלה מ- 25 מיליון דולר בשנה; איסוף של מידע הנוגע ל- 50,000 בני אדם או יותר; גוף שלפחות חצי מעיסוק הליבה שלו ומקור הרווח שלו כרוך במכירה או ניצול של מידע אישי.

 

החובות שנקבעו במסגרת ה-CCPA

מעבר לתחולה הרחבה שלו, ה- CCPA כולל שורה של חובות וכללים, שחלקם דומים לאלו הקבועים ב- GDPR וחלקם שונים. כך למשל, שתי מערכות הרגולציה דורשות, כי איסוף של מידע יבוצע רק לאחר שניתן על כך גילוי מפורש וברור לאדם שפרטיו נאספים. עם זאת, היקף הגילוי והפרטים שצריך למסור שונים בין ה- GDPR ובין ה- CCPA. בדומה, גם ה- CCPA וגם ה- GDPR קובעים זכויות שונות לאדם שפרטיו נאספו – מחיקה, תיקון ועוד. עם זאת, החפיפה גם בתחום זה אינה שלמה, וה- CCPA כולל לדוגמא זכות של מושא המידע לדרוש כי בית העסק לא ימכור ולא יעביר בנסיבות מסוימות את המידע שלו לצד ג’.

חשוב לציין כי ה- CCPA אמנם נכנס לתוקף בינואר 2020, אולם עדיין נערכים בו תיקונים, ועוד בסוף אפריל 2019 נערכו בו שינויים כאלה ואחרים, וככל הנראה ייערכו עוד בעתיד, ועל כן חשוב להישאר בקשר עם מומחה רלוונטי לתחום ולשמור על מידע עדכני. חשוב לדעת שהחל מינואר 2020 ה- CCPA מצטרף לשורת החוקים שנחקקו בעולם בשנים האחרונות בתחום הגנת הפרטיות ואבטחת המידע

 

מחפשים עו״ד לפרטיות במודיעין?

עו״ד אבי לוי הינו מומחה לדיני פרטיות, משרדו ממוקם במודיעין והוא נותן שירותים במכבים, רעות והסביבה עם דגש על מקצועיות רבה, ליווי אישי וניסיון רב בתחום.

״במהלך השנים פתרתי בעיות ומחלוקות רבות ומורכבות בהצלחה יתרה ועזרתי ללקוחותיי למצוא את הפתרונות הטובים ביותר להם, אשמח לסייע גם לך״.

 

פרטים ליצירת קשר

מומחה לדיני פרטיות

לקבלת ייעוץ משפטי ראשוני, בנושא דיני פרטיות, עוד היום ובחינם, מעו״ד אבי לוי – השאירו פרטים מטה

דילוג לתוכן