מה זה ה-GDPR ולמה זה מעניין אותנו?


בינואר 2012, הציעה הנציבות האירופית רפורמה מקיפה בכללי הגנת הפרטיות באיחוד האירופי, במטרה לעדכן את הוראות הדין הקיים מכח הדירקטיבה[1] להגנה טובה יותר על הפרטיות של אזרחי האיחוד האירופי בעידן המודרני.


ב-4 במאי, 2016, ולאחר שנים של דיונים וטיוטות שהוחלפו, פורסמו הוראות ה-[2]General Data Protection Regulation - Regulation (EU) 2016/679 (להלן: "החוק") והדירקטיבה החדשה[3] (להלן: "הדירקטיבה") מטעם האיחוד האירופי, בכתב העת הרשמי של האיחוד האירופי בכל השפות הרשמיות.


בעוד שההוראות החוק תיכנסנה לתוקף ביום ה-24 במאי 2016, היא תחול רק החל מיום ה-25 במאי 2018. הדירקטיבה נכנסה לתוקף ב-5 במאי 2016, ועל המדינות החברות באיחוד האירופי לעדכן את חוקיהן בהתאם עד ליום ה-6 במאי 2018.


המטרה ביצירת חוקים חדשים אלה נועדה להחזיר לאזרחי האיחוד האירופי את השליטה על המידע האישי שלהם, וליצור סביבה רגולטורית פשוטה לעסקים. הרפורמה תאפשר לאזרחים ולעסקים באיחוד האירופי ליהנות באופן מלא מהכלכלה הדיגיטלית.


לכל אחד הזכות להגנה על מידע אישי

על פי חוקי האיחוד האירופי, ניתן לאסוף מידע אישי בתנאים קפדניים, למטרה לגיטימית. יתר על כן, אנשים או ארגונים האוספים ומנהלים את המידע האישי של אזרחי האיחוד, מחויבים להגן עליו מפני שימוש לא נכון (misuse), ועליהם לכבד זכויות מסוימות של בעלי המידע המובטחות מכח חוקי האיחוד האירופי.


נכון להיום, רשויות ציבוריות ואנשים מעבירים כמויות עצומות של מידע אישי בין מדינות האיחוד. בין מדינות האיחוד האירופי קיימת חקיקה שונה ולעיתים אף מנוגדת, בקשר עם ההגנה על הפרטיות, העשויה לפגוע בשווקים הבינלאומיים. יתרה מזאת, אזרחים רבים התלוננו בפני הרשויות שבשל החשש לגבי רמת ההגנה על הפרטיות במדינות שמחוץ לאיחוד האירופי, הם אינם מוכנים להעביר את המידע האישי לגביהם מחוץ לגבולות האיחוד האירופי.


לאור כל זאת, הגיעה ההבנה באיחוד האירופי כי הגיעה העת לחוקק כללים משותפים בקרב כל מדינות האיחוד האירופי שנועדו להבטיח כי הנתונים האישיים של אזרחי האיחוד ייהנו מרמה גבוהה וזהה של אבטחה והגנה על פרטיותם ועל המידע האישי עליהם, בכל מקום באיחוד האירופי ומחוצה לו.


למה זה צריך לעניין את החברות הטכנולוגיות הישראליות?

הרבה חברות פונות בשאלה - אם אני חברה ישראלית, חל עליי הדין הישראלי, לא? אז זהו, שלא רק.

הוראות ה-GDPR יחולו על כל חברה האוספת, מעבדת, שומרת ומעבירה מידע אישי על אזרחי האיחוד האירופי, באופן דיגיטלי במסגרת אספקת שירותים ו/או מוצרים לאזרחי האיחוד האירופי, לרבות דרך רשת האינטרנט.


השינוי הדרמטי בהוראות החדשות מכח החוק הוא שהרגולציה חלה גם על חברות המאוגדות מחוץ למדינות האיחוד האירופי, ובלבד שהן מוגדרות כ-"בעל מאגר מידע" או "מעבד מידע" אשר:

  1. התאגדו באחת ממדינות האיחוד האירופי, אף אם העיבוד מבוצע מחוץ לגבולות האיחוד האירופי;

  2. התאגדו במדינה שאינה חברה באיחוד האירופי, ובלבד שפעילות העיבוד נועדה (1) להציע מוצרים ו/או שירותים לנושאי המידע; או (2) לבצע ניתור/מעקב אחר התנהגויות של נושאי המידע הנעשות בשטח האיחוד האירופי.

  3. התאגדו במדינה שאינה חברה באיחוד האירופי, אולם חוקי האיחוד האירופי חלק עליהם מכח חוקים ואמנות בינ"ל (כגון: שוויץ, ייתכן שבריטניה אשר תאמץ חלק מהחוקים של האיחוד האירופי על אף החלטת ה-Brexit, ומדינות נוספות).


החברות החשופות מכח הוראות החוק לפי תחום פעילותן

להלן רשימה לא ממצה של חברות המספקות שירותים ו/או מוצרים לאזרחי האיחוד האירופי, העשויות להיות חשופות לתביעה מצד אזרחי האיחוד האירופי ו/או הרשויות:

  1. כל חברה האוספת מידע אישי של


משתמשים, לצרכי פרסום;

  1. חברות המספקות שירותים ו/או מוצרים דרך פלטפורמה אינטרנטית או אפליקטיבית, לרבות חברות הפועלות בתחום ה-Drop Shipping ;

  2. חברות העוסקות ב-Big Data;

  3. חברות המספקות ניתוח ועיבוד נתונים ממידע אישי של אזרחי האיחוד;

  4. כל החברות המשתמשות באתר אינטרנט במסגרתו נאסף מידע אישי של גולשים.


חשוב להדגיש כי בשל חשיבותו הרבה של החוק החדש, וההשפעה על חברות רבות גם בישראל, יש להיערך מראש בטרם כניסתו לתוקף של החוק במאי 2018.


משרדנו כבר מסייע לחברות רבות בהיערכות זו, בין היתר בהבנת ההיקף והשפעה של הוראות החוק על החברות וקביעת המדיניות והאופן שבו יהיה עליהן לציית אחר הוראות החוק.


לפגישת ייעוץ ניתן לפנות אלינו בטל': 03-6508054 או במייל Office@jcatlaw.com
[1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.


[2] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).


[3] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA