הועד האירופי להגנת הפרטיות (EDPB), גוף עצמאי האחראי ליישום כללי ההגנה על נתונים אישיים באיחוד האירופי, פרסם לאחרונה (9.4.19) הנחיות בנושא חוקיות עיבוד מידע אישי לפי סעיף 6(1)(b) לתקנות המידע האירופיות, ה-GDPR, בעניין אספקת שירותים מקוונים ללקוח (נשוא המידע). סעיף זה יהווה בסיס חוקי לעיבוד נתונים אם העיבוד הכרחי לקיום החוזה בין הלקוח לספק השירות (בעל השליטה במידע), או אם עיבוד הנתונים הכרחי לצורך ביצוע פעולות טרום חוזיות לבקשת הלקוח.
ההנחיות מכוונות אל הספק אשר מקבל מהלקוח מידע אישי לצורך קבלת שירות מסוים. ההנחיות מבהירות כי יש לעבד את המידע האישי שמתקבל באופן הוגן, למטרות מוגדרות מראש תוך שקיפות מלאה כלפי הלקוח ועל פי בסיס חוקי שנקבע בתקנות. אחד הבסיסים החוקיים, שאליו מתייחסות ההנחיות אשר נקבעו בתקנות האירופיות, הוא סעיף 6(1)(b) לתקנות, אשר עוסק בחוקיות עיבוד המידע האישי בהקשר שבו העיבוד נחוץ לצורך ביצוע חוזה. לפי ההנחיות, כדי שעיבוד הנתונים ייעשה על בסיס חוקי, לא די בכך שהלקוח מספק את המידע, אלא נדרש גם שעיבוד המידע יהיה רלוונטי לביצוע החוזה.
תנאי מוקדם ליישום סעיף 6(1)(b) בהתאם להנחייה הוא נחיצות עיבוד המידע – על הספק לדרוש את הנתונים הרלוונטיים בלבד, כך שתופחת מידת החודרניות ככל האפשר בהשוואה לדרכים אחרות שבאמצעותן אפשר יהיה להשיג את אותה המטרה. נחיצות עיבוד המידע תלויה בהבנה הדדית בין הלקוח לספק לגבי מטרת החוזה, כך שאף אחד מהצדדים לא יוכל לטעון לפירוש אחר של מטרת החוזה.
דוגמה לכך היא כאשר לקוח מבצע רכישה באינטרנט ומעוניין לשלם באשראי עבור המוצר אשר ישלח אליו הביתה. כדי לקיים את חוזה הרכישה, הספק חייב לעבד את נתוני כרטיס האשראי של הלקוח לצורך גביית התשלום וכן את כתובת הלקוח לצורך המשלוח. במידה שהלקוח מבקש שהמוצר יישלח לנקודת איסוף ולא לביתו, עיבוד המידע לגבי כתובת מגוריו אינה הכרחית לקיום החוזה. במקרה זה, על פי סעיף 6(1)(b) דרישת כתובת הלקוח אינה רלוונטית לצורך קיום החוזה, ולכן הדרישה אינה חוקית.
כאמור, סעיף 6(1)(b) ניתן ליישום בהקשר חוזי בלבד, ועל החוזה להתאים לחוקי החוזים וחוקי הגנת הצרכן כדי שעיבוד הנתונים ייחשב הוגן וחוקי. פרט לכך, הספק נדרש ליישם עקרונות נוספים בעת עיבוד המידע של הלקוח בכדי לשמור על פרטיותו של זה. עיקרון הגבלת המטרה קובע כי מידע אישי ייאסף למטרות מפורשות, ברורות וחוקיות, כך שהנתונים לא יעובדו הלאה באופן שאינו עונה למטרות אלה. עיקרון המינימליות קובע כי על הספק לעבד מידע בהיקף המועט ביותר כדי להשיג את ייעוד החוזה. עוד נדרש החוזה להיות שקוף כך שהלקוח יהיה מודע למטרות עיבוד המידע שהוא מספק.
על-פי ההנחיות, עם סיום החוזה על הספק להפסיק את עיבוד המידע ולמחוק את הנתונים. כאשר החוזה הופסק ואינו עומד יותר בסעיף 6(1)(b), המשך עיבוד המידע מצד הספק ייחשב כסותר את עיקרון ההגינות, אלא אם הלקוח נתן מראש את הסכמתו לעיבוד המידע לאחר סיום החוזה. במקרה שהספק מעוניין לשמר את המידע אודות הלקוח, עליו ליידע אותו מראש בנוגע למשך הזמן שבו יישמר המידע ולאיזה צורך חוקי הוא נשמר.
פרסום הנחיות אלה הוא המשך המגמה להגן על המידע האישי השייך על-פי ה-GDPR לנשואי המידע ולא למקבלי המידע שהופכים לשולטים בו. בעידן שבו ניתן לאסוף נתונים אישיים בקלות רבה בזמן פעילות מקוונת, הנחיות אלה באות להגדיר את השימוש החוקי בעיבוד המידע האישי כך שישמור כמה שיותר על פרטיותו של בעל המידע.
