איסוף נתונים אישיים והחובה לרשום אותם על ידי החנות האלקטרונית

שירות העסק

אנשים רבים שפותחים חנות מקוונת נאבקים בשאלה האם יש צורך לרשום מערך נתונים אישי אצל המפקח הכללי להגנת נתונים אישיים (GIODO). בהתאם לאמנות. 43 שניות 1 נקודה 8 לחוק הגנת מידע אישי קבצי נתונים המכילים נתונים אישיים המעובדים אך ורק לצורך הנפקת חשבונית, שטר או דיווח כספי אינם כפופים לרישום. על פי העמדה המיוצגת על ידי GIODO, יש לפרש הוראה זו בקפדנות. רק מערך נתונים אישי כזה, שנוצר אך ורק לצורך הוצאת חשבונית, שטר או דיווח כספי, יהיה פטור מחובת הרישום. אם הנתונים האישיים עדיין מעובדים למטרות שיווקיות, יש להגיש את איסוף הנתונים האישיים לרישום בתנאים כלליים.

להנפקת חשבונית או חשבון יש צורך בנתונים כגון: שם ושם משפחה, חברה/שם, כתובת, מספר זיהוי מס. חנויות מקוונות דורשות לעתים קרובות הרשמה, המחייבות קטלוג רחב יותר של פרטי לקוחות. גם אם חנות נתונה אינה מצריכה רישום, אנו זקוקים בנוסף לכתובת דואר אלקטרוני, מספר טלפון וכדומה למשלוח הסחורה. היקף הנתונים חורג עד כה מרשימת הנתונים האישיים הדרושים להנפקת חשבונית. לפיכך, החנות המקוונת לא תמנע מהחובה לרשום סט נתונים אישיים של לקוחותיה. בנוסף סט נתונים אישיים של לקוחות שנאספו בקשר להליך התלונה כפוף לרישום (פסק דין של בית המשפט לעניינים מנהליים עליון מיום 21.4.06, ע"ש 726/05).

איסוף נתונים אישיים - רישום חובה אצל המפקח הכללי להגנת מידע אישי

ב-1 בינואר 2015 נכנס לתוקף החוק מיום 7 בנובמבר 2014 להנחיית פעילויות עסקיות, אשר תיקן את חוק הגנת מידע אישי. השינויים החשובים ביותר כללו את הרגולציה על מנהל אבטחת המידע (ABI). במקרה שמנהל הנתונים האישיים מינה ABI ודיווח עליו לפנקס המנוהל על ידי GIODO, מנהל כזה ישוחרר מהחובה לרשום קבצי נתונים אישיים. במבנה הארגוני של בקר הנתונים, ABI מדווח ישירות לראש היחידה הארגונית או לאדם הטבעי שהוא בקר הנתונים. מה זה אומר על חנויות מקוונות? מנהל הנתונים הוא בדרך כלל הבעלים של החנות המקוונת, ובמקרה של חברות, חברי דירקטוריון/מנכ"לים. גופים אלו יהיו רשאים לשלוט ולהוציא צווים מחייבים מ-ABI. הקמת ABI היא זכות, לא חובה, של מבקר הנתונים. במקרה של אי מינוי ABI, משימותיו מבוצעות על ידי מנהל הנתונים עצמו.

משימות של מנהל אבטחת מידע (ABI)

יש למנות מנהל אבטחת מידע לפני עיבוד נתונים אישיים. מהן חובותיו?

  • בדיקת התאימות של עיבוד נתונים אישיים להוראות ההגנה על נתונים אישיים,

  • הכנת תיעוד בנוגע להגנה על נתונים אישיים,

  • להבטיח שאנשים המורשים לעבד נתונים אישיים יכירו את הוראות ההגנה על נתונים אישיים,
  • ביצוע בדיקות לבקשת GIODO.

ABI גם מחויבת לפקח כל הזמן על עיבוד הנתונים האישיים מבחינת עמידתם בהוראות ההגנה על נתונים אישיים. אם נמצאו אי סדרים כלשהם, עליו לדווח על כך למנהל הנתונים. זה קשור לצורך של ABI להכין דוח לבקר הנתונים.

מתי הקריאה של ABI לא מספיקה?

עם זאת, הפטור אינו חל על אותם קבצי נתונים אישיים שבהם מעובדים נתונים אישיים רגישים. מה שאומר שגם כאשר הקמנו את ABI, נהיה מחויבים לרשום בעצמנו את מערך הנתונים האישיים המכילים נתונים רגישים.

בהתאם לאמנות. 27 לחוק הגנת מידע אישינתונים רגישים הם נתונים החושפים מוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות, השתייכות דתית, מפלגתית או איגודי עובדים, וכן נתונים על בריאות, קוד גנטי, התמכרויות או חיי מין, וכן נתונים על הרשעות, עונשים ו עונשים וכן פסקי דין אחרים שניתנו בבית משפט או בהליכים מנהליים.

עם זאת, יש להניח שבמקרה של חנויות מקוונות, העיבוד של מידע אישי מסוג זה יהיה נדיר.