מועצת הרגולטורים האירופאים לפרטיות (ה- EDPB) פרסמה לפני כשלושה שבועות את הנוסח הסופי של "ההנחיות (10/2020) בדבר הטלת מגבלות על זכויותיהם של נושאי מידע מכוח סעיף 23 ל-GDPR".
ה-GDPR מונה רשימה ארוכה של זכויות נושאי המידע, כגון גישה למידע האישי, תיקונו, הגבלת איסופו, מחיקתו (הזכות להישכח) ועוד. בד בבד ה-GDPR מאפשר הגבלה של זכויות אלה בחקיקה בהתקיים תנאים מסוימים.
ההנחיות מבקשות לשפוך אור על התנאים והאיזונים הנדרשים לפני החלת מגבלות כאלה. הן קובעות כי זכויות נושאי המידע מצויות בלבה של זכות היסוד לפרטיות, וכל הגבלה שלהן צריכה לשמר את כללי מגילת זכויות היסוד של האיחוד האירופאי.
ההנחיות מתייחסות לרשימה סגורה של זכויות שאפשר להגביל. זכות שאינה ברשימה, כדוגמת הזכות להגיש תלונה לרשות מפקחת (רשות הגנת פרטיות), אינה ניתנת להגבלה.
המונח "הגבלה" אינו מוגדר ב- GDPR ובהנחיות מבהירים כי צריך לפרשו באופן צר מאוד. על כן, הטלת הגבלה תתאפשר רק בהתקיים עילה מתוך הרשימה הסגורה שמונה סעיף 23 ל-GDPR, כגון ביטחון לאומי, ביטחון ציבורי, אינטרס ציבורי אחר (כלכלי או פיננסי).
ככלל, ההגבלה לא תפגע במהות הזכות ולא תהווה פגיעה פולשנית ורחבה העלולה לשלול את הזכות מעיקרא. ההגבלה תיעשה באמצעות חקיקה שתהיה מדויקת ותחולתה ברורה לנושאי המידע הכפופים אליה.
בנוסף, ההגבלה צריכה לעמוד במבחני הנחיצות והמידתיות. מבחן הנחיצות הוא קפדני. הוא קובע כי הגבלת הזכות תחול רק אם הדבר הכרחי למטרה לשמה תוגבל הזכות. לפני החקיקה, וכדי לקיים את דרישת הנחיצות, על המחוקק במדינות האיחוד להגדיר בבירור ובפירוט את המטרות שלשמן תוגבל הזכות.
רק אם מבחן הנחיצות מתקיים, תיבחן מידתיות ההגבלה. במבחן זה יש לבחון עד כמה ההגבלה פרופורציונלית להשגת המטרה הנדרשת ואינה רחבה מהנחוץ להשגתה.
עוד קובעות ההנחיות כי על החקיקה המגבילה לספק מידע מפורט, בין היתר בדבר נושאי וסוגי המידע, תחולת ההגבלה והסכנות הכרוכות בה, וכן זכותו של נושא המידע לקבל הודעה בדבר ההגבלה - וזאת, אלא אם יש בכך כדי לפגוע במטרת ההגבלה.