עיבוד נתוני משתמשים בראייה משפטית

עיבוד מידע, לפי הגדרת רגולציית ה-GDPR, משמעו – כל פעולה או קבוצה של פעולות המבוצעת במידע האישי, בין אם תוך שימוש באמצעים אוטומטיים ובין אם תוך שימוש בדרכים אחרות, כגון: איסוף, הקלטה, סידור, הבניה, שמירה, התאמה או שינוי, אחזור, התייעצות, שימוש, גילוי/שיתוף באמצעות שידור, הפצה, או הפיכת המידע לזמין, שילוב, הגבלה, מחיקה  או השמדה של המידע.

רגולציית ה-GDPR מתייחסת למספר סיבות משפטיות אשר מבטאות את חוקיות העיבוד של נתונים אישיים של נושאי נתונים (הלקוחות ו/או המשתמשים). בסיס חוקי לעיבוד נתונים אישיים מורכב לפחות מאחד מטעמים משפטיים אלה, והוא יכול להשתנות בהתאם לפעילות עיבוד הנתונים האישיים ולמטרה.

סעיף 39 של הרגולציה מדגיש את הצורך בחוקיות, הגינות ושקיפות המטרה של עיבוד נתונים אישיים, בכך שכל עיבוד נתונים אישי חייב להיות חוקי והוגן. זה צריך להיות שקוף לנושאי נתונים אשר נתונים אישיים לגביהם מעובדים. עקרון השקיפות דורש, כי כל מידע ותקשורת לגבי עיבוד נתונים אישיים יהיה נגיש וקל להבנה. צורך נוסף המלווה זאת, הינו הצורך להשתמש בשפה ברורה ופשוטה, המסבירה במפורש את מטרות העיבוד.

העילות המשפטיות העיקריות הנוגעות לחוקיות עיבוד הנתונים האישי כוללות:

● הסכמה מפורשת כבסיס משפטי לעיבוד מידע חוקי – משמעות הדבר היא כי נושא הנתונים נתן הסכמה לפעולת עיבוד נתונים אישית למטרות ספציפיות. כאמור, מושג המטרה הוא המפתח כאן. אם הלקוח/משתמש, מסכים לעיבוד בלי לדעת מהי מטרת העיבוד באופן ברור ומלא ובדרך קלה להבנה, כי אז הסכמתו אינה יכולה להוות קרקע חוקית לעיבוד, הואיל והיא לא ניתנה באופן חופשי וספציפי. יתר על כן, הסכמה עבור כל פעילות עיבוד נתונים במסגרת פעולה רחבה יותר, אינה תקפה כאשר מדובר בכל הפעילויות בו זמנית. לדוגמה: מתן הסכמה למגוון מטרות שיווקיות אינו תקף.

● צורך חוזי כבסיס חוקי לעיבוד – הקרקע המשפטית השניה לעיבוד חוקי הינה הצורך בעריכת נתונים אישיים עבור חוזה. הלקוח/המשתמש (נושא הנתונים) הוא צד בחוזה או חייב לנקוט צעדים על מנת להיכנס לחוזה, על פי בקשתו, וכדי להיכנס בחוזה או לבצע חוזה, יש צורך בהסכמה אישית כי עיבוד הנתונים מתרחש בתוך היקף חוזי זה. כל חוזה על פי הגדרה פירושו עיבוד נתונים אישיים.

● עיבוד חוקי על בסיס התחייבויות משפטיות – אם לבעל המידע יש חובה משפטית שלגביה יש לטפל בנתונים אישיים מסוימים, לצורך ביצוע משימה מתוך אינטרס ציבורי או בהפעלת סמכות רשמית, על פי חוקת האיחוד האירופי או על פי דין באחת המדינות החברות באיחוד, אזי העיבוד מותר.

● הגנה על "אינטרסים חיוניים" של האדם הפרטי – במקרה זה מדובר על נסיבות המאיימות על חיי אדם. דהיינו, מקום שבו לא מעבדים נתונים אישיים, משמעות הדבר היא שמישהו ימות. לדוגמה, אם יש תאונה רצינית, הצורך הינו לנסות לדעת כמה דברים על ההיסטוריה הרפואית של הקורבן, כגון אלרגיות לתרופות ספציפיות, GDPR או לא. בנוסף לכך, ישנם סוגים מסוימים של עיבוד נתונים אישיים, שמטרתם לא רק לשרת את האינטרסים החיוניים של נושא הנתונים או מטרה טבעית אחרת, אלא גם לשרת את האינטרס הציבורי, למשל במקרה של אסונות, מגיפות, וכן הלאה.

● אינטרס ציבורי כבסיס לעיבוד חוקי – העיבוד נחוץ לביצוע משימה שבוצעה לטובת הציבור או בהפעלת סמכות רשמית שניתנה לבעל המידע. עיבוד הנחשב כאינטרס ציבורי יכול לכלול מחקר מדעי, בריאות הציבור, הגנה סוציאלית ועוד.

● אינטרסים לגיטימיים כבסיס משפטי לעיבוד נתונים – עיבוד הנחוץ למטרות האינטרסים הלגיטימיים של בעל המידע או על ידי צד שלישי, יחשב כעיבוד חוקי. לדוגמה, כללים מיוחדים הנוגעים לנתונים בדבר הרשעות ועבירות פליליות. גוף המעבד נתונים חייב להקפיד לרשום בקפידה את פעולות עיבוד הנתונים ולמצוא את הבסיס החוקי המתאים ביותר לעיבוד נתונים אישי. דוגמה אחת כזו של אינטרס לגיטימי תהיה כאשר קיים קשר רלוונטי ומתאים בין נושא הנתונים לבין בעל הנתונים במצבים כגון נושא נתונים שהוא לקוח או בשירות של בעל הנתונים. דוגמה נוספת: עיבוד הנתונים האישיים הנחוצים בהחלט לצורך מניעת הונאה, גם זה מהווה אינטרס לגיטימי. הדבר החשוב שיש לזכור הוא שאינטרסים אלה חייבים להיות מאוזנים ושקולים כנגד זכויות המידע והסיכונים.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק