מה הוא GDPR והאם חברה ישראלית חייבת לשמור עליו?
תקנת GDPR (Regulation 2016/679) היא החקיקה האירופית העיקרית לשמירה על נתונים אישיים, החלה מ-2018. החוק חל על כל עיסוק בעיבוד נתונים אישיים של אזרחי האיחוד האירופי, ללא קשר למיקום החברה או השרתים. משמעות הדבר היא שחברה ישראלית שלה קהל משתמשים, לקוחות או עובדים באירופה חייבת לעמוד בדרישות GDPR גם אם היא פועלת מישראל. דרישה זו חלה על כל סוג קובץ נתונים - מהאתר שלך דרך יישומים או שירותי קלאוד.
יתרה מזו, החוק מגן על קטגוריות רחבות של נתונים: שם, כתובת אימייל, כתובת IP, קוקיז אבחון זדון, תמונות פנים, נתונים בריאותיים ועוד. הגדרה זו כל כך רחבה עד שכמעט כל אינטראקציה דיגיטלית עם אדם אירופי תהיה בהם החוק. על חברות ישראליות להבין שזו אינה תקנה אופציונלית - היא חוק מחייב עם סנקציות עצומות על הפרות.
יסודות חוקיים: עיבוד נתונים וחוקיות
ב-GDPR, "עיבוד" פירושו כל פעולה שעושים עם נתונים - אם איסוף, שמירה, שיפור, קריאה, מחיקה או העברה לצד שלישי. ישנן שש בסיסים משפטיים להפיכת עיבוד להחוקי: הסכמה ברורה מהנושה הנתון, ביצוע חוזה, עמידה בחוק, הגנה על אינטרסים חיוניים, ביצוע משימה ציבורית, או אינטרסים לגיטימיים של הגורם המעבד. חברה אינה יכולה לעבד נתונים אלא אם אחד מבסיסים אלה קיים. לדוגמה, אם אתה אוסף כתובות אימייל מטופס, עליך להיות בעל בסיס חוקי - הסכמה היא הנפוצה ביותר עבור שיווק.
"הסכמה" לפי GDPR אינה הסכמה מכללית בתנאים כלליים. GDPR דורש הסכמה ספציפית, חד-משמעית, שניתנת בפעולה אקטיבית (לא סימון מראש), וניתנת לביטול בכל רגע. סימון תיבה מראש, ניסוח מסורבל, או קישור קטן לתנאים — כל אלה עלולים להפוך את ההסכמה לבטלה.
זכויות בעלי הנתונים וחובות הגורם המעבד
GDPR הנחיל על בעלי הנתונים (כל אדם שנתוניו מעובדים) שבע זכויות שלא היו בהם בעבר: זכות גישה (בקשה לעותק של הנתונים), זכות תיקון (תיקון נתונים שגויים), זכות מחיקה ("הזכות להישכח"), זכות הגבלת עיבוד, זכות נידוד (העברת נתונים לשירות אחר), זכות להתנגד לעיבוד, וזכויות הקשורות לקבלת החלטות אוטומטית. על גורמים מעבדים להגיב לבקשות אלה תוך 30 יום, ללא תשלום.
על חברות ישראליות להיות מודעות כי זכויות אלה לא אופציונליות ולא ניתן להם להיות מוגבלות בתנאים כלליים. מענה מאחר, משום שהוא מעצבן, או הוכחת כי "זה לא כדאי לנו" לא יגן על הגורם המעבד בתביעה. בעל הנתון יכול להגיש תביעה בבית משפט וקבל פיצויים הניתנים לחישוב (רגשי וכלכלי).
ממלא תפקיד הגנת הנתונים (DPO) וה-DPIA
בארגונים מסוימים - בעיקר מוסדות ציבוריים או חברות התמד בעיבוד בקנה מידה גדול - חוק GDPR דורש מינוי Data Protection Officer (ממלא תפקיד הגנת נתונים). DPO זה הוא אדם עצמאי שאחראי להשגחה על עמידה בדרישות החוק וקבלת פניות מבעלי נתונים. מינוי DPO הוא אופציוני לרוב החברות הפרטיות בישראל, אך המלצה חזקה קיימת בעיבוד נתונים גדול.
כמו כן, חברות צריכות לערוך Data Protection Impact Assessment (DPIA) - בדיקת השפעה על הגנת הנתונים - כאשר יש סיכון גבוה מעיבוד (למשל, עיבוד ביומטרי, מעקב אוטומטי, או אפילו הערות דם/רפואיות). DPIA זו איננה מסמך להגיש בדירוג סביבתי, אלא בדיקה פנימית כדי להבין סיכונים ולהפחית אותם.
סנקציות על הפרות ודוגמאות מהשטח
סנקציות ב-GDPR מתחלקות לשתי רמות. הפרות קטנות יותר (עדכון לא נכון של מדיניות, איחור בתגובה לבקשת גישה) יכולות להסתיים בקנס של עד 10 מיליון יורו או 2% מההכנסה השנתית הגלובלית (whichever is higher). הפרות חמורות (הסכמה בלא תוקף, העברת נתונים לגורם שלישי ללא בסיס משפטי, רישום נתונים גנטיים בלא בסיס) יכולות להסתיים בקנס של עד 20 מיליון יורו או 4% מההכנסה.
בפועל, בעלי הנתונים גם הגישו תביעות פרטיות. למשל, בתיקייה המפורסמת נגד Google בגרמניה, בעלי הנתונים תבעו רק על הם המעבד את נתוניהם בלא בסיס משפטי ברור וזכו בפיצויים של אלפי יורו לנפש. אפילו חברות גדולות כמו Meta (Facebook) שילמו מאות מיליוני יורו בקנסות. חברה ישראלית קטנה לא יכולה להרשות לעצמה להתעלם מהדרישות הללו.
יישום GDPR בישראל: אתגרים וסטנדרטים
ישראל אינה חברה באיחוד האירופי, לכן GDPR לא חל ישירות על נתוני ישראלים. עם זאת, בדין הישראלי קיים חוק הגנת הפרטיות, התשמ"א-1981, המגן על נתונים אישיים של ישראלים. חוק זה דורש הסכמה משודרגת, מינוי מנהל הגנת נתונים בחברות ציבוריות, וזכויות דומות לאלה של GDPR.
חברה ישראלית שעובדת עם בני אדם בישני מדינות צריכה להחיל שני קודקס משפטיים: GDPR לנתוני אירופים ודין הגנת הפרטיות לנתוני ישראלים. למיסוד בחברה יש טעם - בחרו את הדרישה המחמירה יותר ויישמו אותה בעקביות על כל נתוניכם. בדרך כלל, GDPR מחמיר יותר, לכן עמידה ב-GDPR משמעו עמידה בדין הישראלי כמעט באופן אוטומטי.
צעדים מעשיים: כיצד להיות compliant
כדי להיות compliant עם GDPR, חברה ישראלית צריכה: (1) למפות כל אוסף נתונים - היכן הם מגיעים, היכן הם מאוחסנים, מי יש גישה, ולכמה זמן; (2) לוודא הסכמה תקינה - היא צריכה להיות כתובה בשפה פשוטה וחד משמעית; (3) לערוך DPIA אם עיבוד גבוה בסיכון; (4) לכתוב מדיניות הגנת נתונים ברורה; (5) לאמן את הצוות להבין את החוק; (6) להקים תהליך תגובה לבקשות נושות נתונים; (7) ליישם צפיפות נתונים (שמור על נתונים קטנים ככל האפשר); (8) ללדאוג לאבטחה טכנית (הצפנה, בקרות גישה); (9) לעדכן את הצעדים לפחות מדי שנה.
חברה גדולה יותר אפילו שקלה להחכיר יועץ משפטי עם התמחות בתחום, בייחוד אם היא מעבדת גדול של נתונים בני אדם. החישוב הכלכלי פשוט: עלות יועץ (כמה אלפי שקלים) מול סיכון קנס של מיליונים.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: כשלקוח מגיע עם שאלת GDPR, התחילו מ-Article 3 — תחולת הטריטוריאלית. אם הלקוח לא מכוון לפעילות כלפי אזרחי EU, ה-GDPR כלל לא חל ואין צורך בניתוח מעמיק.
- פסיקה רלבנטית: CJEU, Case C-311/18 (Schrems II, 2020) — ביטול Privacy Shield ומשמעותו להעברת נתונים לארה"ב. ⚠️ יש לבדוק את מצב ה-EU-US Data Privacy Framework שנכנס לתוקף 2023.
- טעות נפוצה: עורכי דין ממליצים להסתמך על "אינטרסים לגיטימיים" (Legitimate Interests) כבסיס לכל דבר. זה לא נכון — ל-GDPR דרישות ספציפיות לביצוע "LIA Test" לפני הסתמכות על בסיס זה.
- נקודה טקטית: ב-DPA (Data Processing Agreement) עם לקוח, וודאו שהחוזה כולל את Annex של Standard Contractual Clauses העדכניות (SCC מ-2021) — גרסאות ישנות יותר אינן תקפות עוד.