מתי יחולו תקנות הגנת המידע האירופאיות (GDPR) על גופים ישראליים? ארגון הגנת המידע האירופאי מנסה לתת מענה לשאלה במסגרת טיוטת הנחייה שפרסום לאחרונה (16.11.2018) להערות הציבור.
במסגרת טיוטת ההנחיה, נעשה ניסיון לפרש את סעיף 3 לתקנות העוסקת בשאלת תחולתן מחוץ לאיחוד. סעיף זה קובע כי תקנות האירופאיות יחולו על גופים מחוץ לאירופה בהתקיים אחד התנאים הבאים: (1) גוף שהוא בעל "מוסד" (establishment) באיחוד, ועיבוד המידע האישי מתבצע בהקשר לפעילות של אותו מוסד; (2) גוף המציע מוצרים ושירותים המכוונים לאנשים באיחוד; (3) גוף המנטר התנהגות של אנשים באיחוד.
בטיוטת ההנחיה ניתנת פרשנות לפיה באמירה "מוסד באיחוד" הכוונה לגוף, אשר יש לו פעילות ממשית ויעילה באיחוד, באמצעות "הסדרים יציבים" באיחוד, שהם לאו דווקא סניף או חברה בת. כך, במקרה מתאים, גם עובד אחד או נציג מכירות בודד באיחוד יקיימו את התנאי בהתאם לטיוטת ההנחיה. עיבוד המידע האישי אליו מתייחסת ההגדרה לא חייב להתבצע, על-פי טיוטת ההנחיה, על ידי המוסד האירופי בעצמו, אלא די בכך שעיבוד המידע האישי (אף אם הוא מחוץ לאיחוד) נעשה בהקשר מובהק לפעילות של המוסד באיחוד, אף אם המוסד באיחוד לא משתתף בעיבוד המידע.
בהיבט המעשי, גוף מחוץ לאיחוד צריך תחילה לבחון אם הוא מעבד מידע על אדם "טבעי" (להבדיל מתאגיד עליו לא חלות התקנות) ולאחר מכן לבחון אם קיים קשר בין הפעילות שבזיקה אליה המידע הזה מעובד, לבין פעילויות אותו גוף באיחוד. בהתאם לטיוטת ההנחיה, ככל שהתשובה למבחן כפול זה חיובית, יחולו הוראות תקנות המידע האירופאיות ביחס לעיבוד המידע על האנשים ה"טבעיים", בין אם הוא מידע על אודות אנשים "טבעיים" באיחוד ובין אם הוא על אודות אנשים מחוץ לאיחוד.
באשר לאפשרות השלישית, זו העוסקת בהצעת מוצרים ושירותים לאנשים באיחוד, נדרש כי לגוף תהיה כוונה ברורה להציע מוצרים או שירותים לאנשים באיחוד, לאו דווקא בתשלום. בנוסף לכך נדרש שיהיה קשר, ישיר או עקיף, בין פעילות עיבוד המידע האישי לבין הצעת המוצרים והשירותים. קיום תנאי זה נבחן על ידי צירוף נסיבות, וההנחיה מפרטת רשימה לא סגורה של כמה תבחינים בהקשר זה, בהם האפשרות לבצע הזמנה בשפה או מטבע של אחת ממדינות האיחוד, משלוח המוצר למדינות באיחוד, אזכור קיומם של לקוחות באיחוד, מבצעי פרסום המכוונים לקהל באיחוד, פרטי קשר ייעודיים להתקשרות ממדינות האיחוד, תשלום למנוע חיפוש עבור חשיפה באיחוד, והוראות הגעה ממדינות האיחוד למקום מתן השירותים.
כאשר תקנות המידע האירופאיות (GDPR) עוסקות בשאלת ניטור התנהגות של אנשים באיחוד, כגון מעקב באמצעות עוגיות (cookies), הכוונה היא כי ניטור זה יתבצע בשטח האיחוד. היינו, הניטור יענה על מבחן התחולה רק אם מדובר במעקב אחר אנשים באמצעות האינטרנט או טכנולוגיות אחרות לצורך פילוח שלהם או ניתוח התנהגותם על בסיס המידע שנאסף. לעניין זה יש לבחון את מטרת עיבוד המידע על ידי ה"שולט במידע", כהגדרת התקנות, המבצע את הניטור.
