האסדרה הכללית להגנה על מידע או בשמה באנגלית General Data Protection Regulation (להלן: "GDPR") חלה על חברות ישראליות בעלות נוכחות של קבע (באנגלית: Establishment) במידה כזו או אחרת באחת ממדינות האיחוד האירופי. כך למשל חברות ישראליות בעלות עובדים, שלוחה משרדית, משרדים או חברות בנות באיחוד האירופי עשויות לענות על דרישת נוכחות של קבע. לפיכך על חברות ישראליות לנהוג בקפידה רבה ולהעריך את נוכחותן באיחוד האירופי באופן הכפוף להוראות ה-GDPR.

בנוסף לכך הוראות ה-GDPR עשויות לחול גם על חברות ישראליות שאינן בעלות נוכחות של קבע באחת ממדינות האיחוד האירופי, אך הן מציעות מוצרים או שירותים ליחידים באחת ממדינות האיחוד האירופי. על-פי טיוטת הקווים המנחים האחרונה שפורסמה על-ידי ה-European Data Protection Board , חברות ישראליות עשויות למצוא עצמן כפופות להוראות ה-GDPR אם הן: משתמשות בכתובת URL השייכת לאיחוד האירופי (כגון: "de.", "eu"); מציעות שירותים בשפות הרשמיות או הדְבוּרוֹת במדינות האיחוד האירופי; מאזכרות לקוחות בעלות נוכחות של קבע באחת ממדינות האיחוד האירופי; עוסקות בפעילות שיווקית בתוך או עבור מדינות האיחוד האירופי (כולל חיפוש של מנועי חיפוש ופרסום מקוונים); מציעות תמיכה או מספקות שירותים בתוך או עבור מדינות האיחוד האירופי. התקיימותם של גורמים אלו עשויה בין היתר, להפעיל את הוראות ה-GDPR ולהכפיפה על חברה ישראלית.

יתר על כן הוראות ה-GDPR עשויות לחול על חברות ישראליות שאינן בעלות נוכחות של קבע באחת ממדינות האיחוד האירופי, אך הן עוקבות (באנגלית: Monitoring) אחר התנהגותם של יחידים מתוך מדינות האיחוד האירופי. ניתן להתייחס לפעולות אלה כאל "ניטור מידע על-ידי התנהגות" (באנגלית: (Monitoring Behavior הכוללת את הפעולות הבאות כגון: פרסום התנהגותי, Geolocation (מאפשר קבלת מידע על מיקומו של המשתמש למשל לצורך מטרות שיווקיות), מעקב מקוון, שימוש ב-Cookies או בטביעת אצבע, שירותים מותאמים אישית כמו דיאטה או שירותי בריאות אנליטיים, CCTV, סקרי שוק (וביתר שאת מחקרים המבוססים על ניתוח פרופילים/התנהגות של היחיד.

לבסוף, ישנם מצבים בהם חברה ישראלית יכולה בצורה עקיפה להיות כפופה להוראות ה-GDPR, חרף העובדה שאינה בעלת נוכחות של קבע באחת ממדינות האיחוד האירופי, לא מציעה מוצרים או שירותים וכן, לא עוקבת ומנטרת מידע על-ידי התנהגות של יחידים ממדינות האיחוד האירופי. כך למשל, כאשר לחברה ישראלית יש לקוחות (למשל מאחת ממדינות האיחוד האירופי), שחוסים תחת הוראות ה-GDPR מכל מיני סיבות, ואלה מצפים מהחברה הישראלית (למשל כספקית השירות) לעמוד בדרישות ה-GDPR בשביל שיוכלו לנהל מערכת יחסים עסקית עימם. בכך התאמה ועמידה בדרישות ה-GDPR הופכת את הוראות ה-GDPR להחלטה עסקית, מהסיבה שאי-התאמה ועמידה בדרישות החוק יובילו ככל הנראה לסיום ההתקשרות העסקית בין הצדדים.

ישנן מספר תפיסות מוטעות או טעויות נפוצות שחברות רבות מבצעות כאשר מדובר בפרטיות ובהתאמה ל-GDPR. כגון שימוש מוטעה בהגדרה "נתונים אישיים" (באנגלית: Personal Data) וכן, בהגדרה "עיבוד" (באנגלית: Processing), שמתפרשים בצורה רחבה וענפה על-ידי ה-GDPR והאיחוד האירופי יותר ממה שאפשר לחשוב. כך למשל, המונח "מידע אישי" כולל יותר מאשר איסוף של שמות. למעשה, הגדרה זו כוללת איסוף של מאפיינים מקוונים (באנגלית: Online Identifiers) ומידע נקודתי שונה שביכולתן לזהות אדם (לדוגמא: איסוף כתובות אימייל שונות, כתובות מגורים, תעודות זהות, כתובות IP המשמשות לזיהוי נקודות קצה במחשב וברשתות תקשורת שונות, זיהוי קבצי Cookie, מזהה פרסום או כל מידע בריאותי כזה או אחר). בנוסף לכך, המונח "עיבוד" כולל איסוף, הקלטה, ארגון, הבניה, אחסון, התאמה או שינוי, אחזור מידע, התייעצות, שימוש, גילוי באמצעות העברה, הפצה או ביצוע זמין אחר, יישור או שילוב, הגבלה, מחיקה או השמדה של מידע. הלכה למעשה, כל חשיפה למידע אישי (אפילו אחסון מידע בצורה פאסיבית) עשוי לחסות תחת ההגדרה "עיבוד".

חברות ישראליות אשר "מעבדות" "נתונים אישיים" בתוך היקף התמרון והתפעול של ה-GDPR (כפי שתואר לעיל) צריכות לשקול את התאמתם של מוצריהם, אתרי האינטרנט שבחסותם, פעילויות שיווקיות ונתונים נוספים בפוטנציה (לדוגמה: משתמשים, משאבי אנוש, ספקים, לקוחות, פרטי זיהוי של לקוח פוטנציאלי היוצר קשר ראשוני של התעניינות ברכישת שירות או מוצר וכדומה). התאמה זו, תכלול בין היתר עדכון של מדיניות הפרטיות הקיימת, קבלת הסכמות ככל שיידרש, טיפול בזכויות חדשות, הגנה על המידע, מינוי נושא משרה שיהיה אחראי על שמירת הנתונים ו/או נציג שיעסוק ב-GDPR ככל שיידרש (בהתאמה באנגלית: Data Protection Officer; GDPR representative) וכן, התחייבויות נוספות.

לאי-עמידה בהוראות ה-GDPR השלכות רבות הכוללות הטלת קנסות גבוהים (שעשויים להגיע במקרים מסוימים לעד 20,000,000 €או כ-4% מהמחזור השנתי של החברה), פעולות קולקטיביות כמו שימוש במנגנון התובענות הייצוגיות וחשיפה לנזקים או פגיעה במוניטין. יתר על כן, כיום משקיעים החלו לדרוש בדיקת נאותות הבוחנת חשיפה ואי-עמידה בהוראות ה-GDPR בשלבי הערכת ההשקעה או ביצוע של מיזוג ורכישה של החברה.

כפי שחברות רבות בוודאי שמו לב הוראות ה-GDPR בעלות השפעה על סגירת עסקאות. כיום, הסכמים רבים כוללים סעיפים הקשורים למידע או "סעיפי עיבוד נתונים" בעלי השלכות ועלויות משמעותיות (בהתאמה באנגלית: Data-Related clause; Data Processing clauses). למשא ומתן על הסכמי עיבוד נתונים קיימת טכניקה ייחודית לפיה יש להקדיש תשומת לב מיוחדת לסעיפים הכוללים הגבלות אחריות או התחייבויות שיפויי, סעיפי ביקורת, עלויות התאמה, סעיפי עיבוד משנה או העברה. מאחר שסעיפי עיבוד הנתונים יכולים להיות מורכבים ומסובכים אנו עדים למגמות פוסט GDPR כגון, המגמה החדשה לפיה מעבדי הנתונים (באנגלית: Data Processors) מעדיפים שיתייחסו אליהם כבעלי השליטה במידע (באנגלית: Data Controllers) במקרים מסוימים במטרה להימנע מחובות חוזיות הנכללות בדרך כלל בהסכמי עיבוד נתונים.

 

מאת עו"ד איגנסיו גונזלס רויו, מיתר ליקוורניק גבע לשם טל ושות', עורכי דין