הגנה על נתונים אישיים בחנות המקוונת, חלק 3 - הפקדת עיבוד נתונים

שירות העסק

על מנהל הנתונים האישיים לדאוג לאבטחתם, לרבות הגנה משפטית על הפקדת עיבוד הנתונים בחנות המקוונת. מה זה ואיך עושים את זה? נסביר להלן.

מהי הפקדת עיבוד נתונים בחנות המקוונת?

הפקדת עיבוד נתונים אישיים אינה אלא הוראה של מישהו לבצע תפקיד מסוים או ביצוע משימה בה יש צורך להעביר את מאגרי המידע האישיים המוחזקים. פעולת הפקדת העיבוד של נתונים אישיים עשויה להיות גם העברתם לאחסון על ידי גורם אחר.

האם הפקדת עיבוד נתונים מותרת מבחינה חוקית?

הפקדת עיבוד נתונים מותרת מבחינה חוקית, היא מותרת על פי חוק הגנת מידע אישי, אך בתנאים מסוימים.

סעיף 31 שניות סעיף 1 לחוק הגנת מידע אישי

מבקר הנתונים רשאי להפקיד בידי גורם אחר, בדרך של הסכם שנכרת בכתב, את עיבוד הנתונים.


לפי התקנות, הפקדת עיבוד הנתונים בחנות המקוונת צריכה להתבצע אפוא בדרך של חוזה בכתב.

מי אמון על הנתונים בחנות המקוונת?

הפקדת נתונים בחנות המקוונת מתבצעת בדרך כלל על בסיס:

  • שירותי אירוח - ספק האירוח מספק מקום בשרת למאגרי המידע של החנות המקוונת;

  • שירותי תשלום אלקטרוניים - חברות המספקות שירותים אלו מורידות לרוב נתונים ממאגרי מידע בחנויות;

  • שירותי שיווק - הישות אחראית, בין היתר, למשלוח ניוזלטר עם מוצרים חדשים לכתובות המייל של לקוחות החנות;

  • שירותי משלוחים - למשל במודל דרופשיפינג שבו הספק אחראי על אספקת הסחורה, לא החנות המקוונת עצמה.

הגורם האמון על עיבוד הנתונים בחנות המקוונת צריך לעמוד בדרישות החוק. לפיכך, לפני קבלת הנתונים האישיים של החנות, עליה ליישם את אמצעי האבטחה האמורים בתקנת משרד הפנים והמינהל על תיעוד עיבוד נתונים אישיים ותנאים טכניים וארגוניים בהם צריכים להתקיים מכשירים ומערכות IT המשמשות כדי לעבד נתונים אישיים. בנוסף, עליו לחתום באופן מוחלט על חוזה עם מפעיל החנות המקוונת, בו יערוב ויצהיר כי ביצע אמצעים כאלה.

הסכמים להפקדת עיבוד נתונים בחנות המקוונת

הפקדת עיבוד נתונים בחנות המקוונת צריכה להיעשות בחוזה בכתב. הסכם עיבוד הנתונים צריך להכיל, קודם כל, מידע על המטרה וההיקף שבהם החנות המקוונת מפקידה את הנתונים.

מטרת הפקדת נתונים אישיים בחנות המקוונת

המטרה אינה אלא לציין מה לשרת הפקדת הנתונים. לרוב מדובר באינדיקציה להסכם שיתוף פעולה ספציפי המחייב הפקדת הנתונים המעובדים בחנות המקוונת. יהיה זה אפוא התקשרות עם חברת אחסון בה מושכרים שרתים עליהם מאוחסנים מאגרי מידע השייכים לחנות המקוונת, או הסכם עם חברת שיווק האחראית על הניוזלטר של חדשות החנות הנשלחות בצורה אלקטרונית. המרכיב ההכרחי השני בהסכם עיבוד הנתונים הוא ההיקף.

היקף הנתונים המופקדים בחנות המקוונת

יזם המנהל חנות מקוונת, המפקיד את עיבוד הנתונים בידי צד שלישי, צריך לפרט את ההיקף בחוזה - אילו מערכי נתונים של החנות המקוונת יופקדו בפועל. בעת ציון ההיקף, מצוין שם הסט (בדרך כלל מדובר בקטגוריה של נושאי נתונים, למשל עובדים, לקוחות) וקטגוריות נתונים בודדות, למשל שם, שם משפחה, כתובת דואר אלקטרוני, מספר טלפון.

על ידי ציון מטרת והיקף העיבוד של הנתונים האישיים המופקדים, מנהל הנתונים (כלומר היזם המנהל את החנות) מחייב את הגורם לו הופקדו הנתונים האישיים לעבד אותם רק בתחומים המצוינים בחוזה. כל עיבוד החורג מהמטרה או ההיקף המצוינים בחוזה יהווה הפרה של החוק.

בעת חתימה על חוזה להפקדת עיבוד נתונים אישיים, ניתן גם לקבוע הוראות נוספות בנוגע, בין היתר, זכות הביקורת, הזכות להרשאות, החובה למחוק נתונים במועד פקיעת הסכם שיתוף הפעולה הם הבסיס להפקדת הנתונים.

בפועל, אם כן, לעיתים קרובות מאוד ישנם מצבים בהם מופקד עיבוד הנתונים בחנות המקוונת. כל חנות משתמשת בשירותים של צדדים שלישיים, במקרה של פעילות ספציפית זו, השירותים בהם החנות משתמשת, הם דורשים נתוני לקוחות.