חוות דעת: בעל השליטה אחראי לוודא ציות המעבד (ומעבד המשנה) ל-GDPR

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד שקד פלדמן יפתח

חברה בקבוצת הסייבר, הפרטיות וזכויות היוצרים בפרל כהן

אולי יעניין אותך גם

זמן קריאה: 2 דקות
שמור ב"תכנים שלי"

בעל השליטה נושא באחריות המלאה לאימות יכולתו של מעבד ומעבד משנה לספק הגנה נאותה על זכויותיהם של נושאי המידע. במקרה בו המידע שמספק לו המעבד נראה לו לא שלם, או שהוא מעורר שאלות נוספות, בעל השליטה לא יוכל להסתמך באופן בלעדי על המידע שקיבל ויהיה עליו לבחון את העניין בעצמו. כך לפי חוות דעת שנתנה המועצה האירופית להגנה על מידע (ה-EDPB).

מקורה של חוות הדעת בבקשה שהגיש הרגולטור הדני לפרשנות חובותיהם של בעלי שליטה הנעזרים במעבדים (ובמעבדי משנה) לעיבוד המידע האישי שהם אוספים, מכוח סעיף 28 ל-GDPR. סעיף 28 ל-GDPR מגדיר את המסגרת החוקית לפעילות מעבדי מידע, וקובע בין השאר שבעל השליטה רשאי להתקשר רק עם מעבדים שמספקים ערובות מספקות לכך שהם מיישמים אמצעים מתאימים להבטחת ההגנה על זכויותיהם של נושאי מידע.

לפי חוות הדעת, כדי שבעל השליטה יוכל למלא את חובותיו לפי סעיף 28 על הצד הטוב ביותר, עליו להחזיק בכל עת מידע על הזהות של המעבדים ומעבדי המשנה (שמם, כתובתם ופרטי איש קשר) – שהמעבד או מעבד המשנה נדרש לספק לבעל השליטה באופן יזום עם כל שינוי בפרטים. ה-EDPB מבהיר שהשאלה מה תיחשבנה לערובות מספקות עשויה להשתנות ממקרה למקרה, בשים לב לרמת הסיכון הנשקפת לזכויותיהם של נושאי המידע מפעולת העיבוד ולאופי האמצעים הטכניים והארגוניים שהמעבד מיישם.

בנוסף, חוות הדעת קובעת כי בעוד שמוטלת על המעבד האחריות לוודא שהוא מקבל שירותי עיבוד רק ממעבדי משנה שמספקים הוכחות מספקות לעמידתם בחוק, ההחלטה הסופית האם לאפשר למעבד משנה מסוים לעבד את מידע והאחריות הנלווית לכך, נותרות בידי בעל השליטה. בעל השליטה נדרש לבחון האם תהליך אימות נאותות רמת ההגנה שבוצע על ידי המעבד הראשי, התבצע לשביעות רצונו. ה-EDPB מדגיש כי לא חלה על בעל השליטה חובה לבחון באופן שיטתי את ההסכמים שבהם מתקשר המעבד עם מעבדי משנה, אלא במקרים בהם הוא סבור שהדבר נחוץ. בעל השליטה רשאי להסתמך על המידע שקיבל מהמעבד, ולבחון אותו לעומק ולבנות עליו במידת הצורך (למשל, אם המידע נראה לא שלם או שהוא מעורר שאלות נוספות). חובה זו תמשיך לחול גם במקרה של העברת מידע אישי ממעבד באיחוד אל מעבד (משנה) המצוי מחוץ לאזור הכלכלי האירופי (ה-EEA).

עוד עוסקת חוות הדעת בשאלת התוכן של ההסכמים בין בעלי שליטה ובין מעבדים. סעיף 28(3)(a) קובע כי המעבד יעבד את המידע האישי רק לפי הנחיות מתועדות מבעל השליטה, אלא אם נדרש לכך בחוקי האיחוד האירופי או בחוקי המדינה החברה שאליהם הוא כפוף. ה-EDPB הבהיר כי ההמלצה היא לכלול את הסעיף לפי לשונו. השימוש בסייגים בניסוח חלופי דוגמת "אלא אם נדרש לכך לפי חוק או צו מחייב של גוף ממשלתי" אפשרי בהתקשרות רגילה, אך עלול להפר את החוק במקרה של העברת מידע מחוץ לאזור הכלכלי האירופי, מכיוון שחוקי המדינה השלישית אליה מועבר המידע לא בהכרח מספקים הגנה מספקת על זכויות נושאי המידע.