חוקיות עיבוד נתונים אישיים

שֵׁרוּת

נתונים אישיים עשויים להיות מעובדים על ידי מבקר הנתונים בהתבסס על סיבות סטטוטוריות. תנאים אלה מפורטים בפירוט בסעיף 6 לתקנת ה-GDPR.

מתי ניתן לעבד נתונים אישיים?

בהתאם לסעיף 6 של ה-GDPR, ניתן לעבד נתונים אישיים אם:

  • נושא המידע מסכים לכך, אלא אם מדובר במחיקת נתונים הנוגעים אליו,
  • יש צורך לממש את הזכות או למלא חובה הנובעת מהוראה חוקית,
  • הוא הכרחי לקיום החוזה כאשר נושא המידע הוא הצד שלו או כאשר יש צורך לנקוט בפעולה לפני כריתת החוזה לבקשת נושא המידע,
  • יש צורך לבצע משימות שנקבעו בחוק לטובת הציבור,
  • יש צורך למלא מטרות מוצדקות מבחינה משפטית, הננקטים על ידי בקרי נתונים או נמעני נתונים, והעיבוד אינו מפר את הזכויות והחירויות של נושא המידע.

כל התנאים הנ"ל שווים ומילוי כל אחד מהם מזכה בעיבוד נתונים.

חוקיות עיבוד נתונים אישיים - למה כדאי לשים לב?

הנחת היסוד הראשונה, כלומר הסכמתו של נושא הנתונים, היא הבסיס הנפוץ ביותר לעיבוד נתונים. עם זאת, יש לזכור כי כל הנחות שווים.

בשל העובדה שהסכמה היא הבסיס הנפוץ ביותר לעיבוד נתונים במסחר, היא תינתן מעט יותר תשומת לב. שים לב ש:

  • על פי החוק, אין להניח או להשתמע הסכמה מהצהרות רצון בעלות תוכן אחר, כלומר עליה להיות מפורשת,

  • ההסכמה צריכה להיות ברורה וקונקרטית. על נותן ההסכמה לדעת לאילו נתונים מיועדים וכן את המטרות שלשמן ישמשו הנתונים,

  • ההסכמה לא תהיה ריקה ולהתייחס לנתונים אישיים לא מוגדרים המעובדים למטרות לא מוגדרות,

  • ניתן לבטל את ההסכמה בכל עת.

לסיכום, ההסכמה צריכה להיות מפורשת וכל היבטיה צריכים להיות ברורים לחתום בעת הביטוי.

הסכמה לעיבוד נתונים אישיים בצורה של הצהרת רצון חייבת להינתן באופן מודע, ברור וחשוב – באופן חופשי. קורה שסעיפי הסכמה כלולים בתוכן חוזים, תקנות או הצהרות אחרות.

על ידי הכללת סעיפי הסכמה לעיבוד נתונים אישיים בתוכן התקנון או הצהרות רצון אחרות, אין לנושא המידע אפשרות להעניק הסכמה זו באופן חופשי. הצרכן המזמין סחורה או שירותים מחויב לקבל את כל התקנון, לרבות הסכמה, גם אם אינו מעוניין להביע זאת, לשם מילוי ההזמנה. במקרה זה, נשלל מהאדם החופש להסכים לעיבוד הנתונים האישיים שלו.

הפתרון הנכון יהיה הפרדת סעיפים בדבר הסכמה לעיבוד נתונים אישיים מהצהרות רצון אחרות, על מנת להשאיר למי שאמור לתת הסכמה את החופש לקבל החלטה בעניין זה.

לסיכום, יש לזכור כי ההוראות קובעות כי עיבוד הנתונים האישיים הינו חוקי כאשר מתקיים לפחות אחד מהתנאים המוזכרים על ידם. בעת אימות חוקיות הנתונים המעובדים, בקר הנתונים המעבד נתונים אישיים צריך תמיד להתייחס לסיבות לעיבודם המשפטי, כמפורט בתקנת ה-GDPR.