פרלמנט | גליון 83

החידושים העיקריים בתקנות הכלליות בדבר הגנת מידע (GDPR)

התקנות הכלליות של האיחוד האירופי בדבר הגנת מידע (GDPR) נכנסו לתוקפן במאי 2018 ומצביעות על ההכרה האירופית בצורך בשינוי המדיניות של הגנת הפרטיות והתאמתה להתפתחויות הטכנולוגיות. להלן כמה מהחידושים העיקריים בתקנות והשלכותיהן האפשריות על ישראל.

shutterstock

התקנות הכלליות של האיחוד האירופי בדבר הגנת מידע (GDPR), שנכנסו לתוקפן במאי השנה,European Parliament, Council of the European Union, Regulation 2016/679 of April 27, 2016, On the Protection of Natural Persons with regard to the Processing of Personal Data and on the Free Movement of Such Data, and repealing Directive 95/46/EC (General Data Protection Regulation (GDPR)) 2016/679 (להלן: התקנות). מצביעות על ההכרה האירופית בצורך בשינוי המדיניות של הגנת הפרטיות והתאמתה להתפתחויות הטכנולוגיות. מטרתו של מאמר זה להצביע על המניעים לשינוי זה ולתאר את החידושים העיקריים בתקנות; וכן לאמוד את השפעתם על הגנת הפרטיות בישראל.

המניעים לשינוי והחידושים העיקריים

לפני שאומצו התקנות החדשות, אוסדרה הגנת הפרטיות במידע באיחוד האירופי בדירקטיבת הגנת המידע משנת 1995.Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (להלן: הדירקטיבה). ואולם התפתחותן של טכנולוגיות חדשניות מבוססות מידע אישי כגון שירותי מחשוב ענן, שירותים מבוססי מיקום ורשתות חברתיותOpinion of the European Data Protection Supervisor on the Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions – “A comprehensive approach on personal data protection in the European Union” (June 22, 2011), 5-6, 8, 15-16 וכן הגברת הגלובליזציה, הביאו לידי הפיכת המידע האישי לנכס סחיר בעל ערך שחיוני לשגשוגה של כלכלת המידע.

נושאי המידענושא מידע הוא אדם מזוהה או ניתן לזיהוי שעל אודותיו נאסף מידע האישי ונעשה בו שימוש. – שנהפכו בעצמם למשאב בעל ערך – אימצו בשמחה את הטכנולוגיות החדשות והחינמיות שהופיעו בשפע כגון תוכנות בחינם לדואר אלקטרוני שמאפשרות נפח אחסון גדול או יישומוני ניווט כגון ווייז, בלי להיות מודעים כלל לשימוש שנעשה במידע אישי עליהם. עם השנים, בעקבות מחקרים ודיווחים על המידע האישי הנאסף עלינו ועל השימוש שנעשה בו, גברה המודעות בקרב נושאי המידע ששירותי המידע האהובים עליהם אינם חינמיים באמת, וכי הם ניתנים בתמורה למידע אישי רב.ראו למשל John Herrman, Google Knows Where You’ve Been, But Does It Knows Who You Are?, NEW YORK TIMES 12 (Sep. 16, 2018) בד בבד גברה בקרבם התחושה של אובדן שליטה, תחושה שעלולה לפגוע באמונם בשירותים ובמוצרים דיגיטליים ומכאן בנכונותם לאמץ טכנולוגיות חדשניות בעתיד. בכך כבר יש כדי לאיים באופן מהותי על המשך שגשוגה של כלכלת המידע.European Commission, Data protection reform: Frequently asked questions (MEMO/12/41, Jan. 25, 2012), http://europa.eu/rapid/press-release_MEMO-12-41_en.htm?locale=fr; Opinion of the European Data Protection Supervisor on the Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions – “A comprehensive approach on personal data protection in the European Union”, 5-6, 8, 15-16 (June 22, 2011); Marc Rotenberg & David Jacobs, Privacy, Security and Human Dignity in the Digital Age, 36 HARV. J. L. & PUB. POL’Y 605, 624-625 (2013)

נציבות האיחוד האירופי ביקשה אפוא לאפשר איסוף, עיבוד והעברה חופשית של מידע אישי בהיקפים גדולים כחלק ממגמת הסחר החופשי וההכרה בחשיבותו הכלכלית של מידע אישי, ובו זמנית לחזק את הגנת הפרטיות בחקיקה חדשה, ניטרלית לטכנולוגיה (כלומר גמישה דיה כדי להתאים לאסדרה של טכנולוגיות עתידיות, שהשימוש שיעשו במידע אישי אינו ידוע בעת חקיקתה)לדיון בשאלה האם אפשרי בכלל לחוקק חקיקה ניטרלית לטכנולוגיה בהקשר של הגנת הפרטיות ראו Michael Birnhack, Reverse Engineering Informational Privacy Law, 15 YALE J.L. & TECH. 24 (2012)., שתחזק את שליטתם של נושאי המידע במידע האישי עליהם.Opinion of the European Data Protection Supervisor on the Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions – “A comprehensive approach on personal data protection in the European Union”, 5-6, 12-14, 24-25 (June 22, 2011) ברוח זו כוללות התקנות כמה חידושים:

א. הרחבת ההגדרה של "מידע אישי"

התקנות הכלליות בדבר הגנת מידע (GDPR) הרחיבו את ההגדרה של "מידע אישי" וכללו בו כל מידע שקשור לאדם מזוהה או ניתן לזיהוי,הגדרה זו רחבה יותר מזו שהייתה קבועה בדירקטיבת הגנת המידע, שהגדירה "מידע אישי" כמידע מזהה או מידע שבאמצעותו אפשר לזהות את נושא המידע, לרבות שמו של אדם, תמונות, כתובת דוא"ל, מספר טלפון, כתובת ומספר זיהוי אחר כגון תעודת זהות או חשבון בנק. ראו סעיף 2(a) לדירקטיבה. לרבות כתובת IP, מזהה מכשיר טלפון נייד, נתוני מיקום, נתונים ביומטריים, נתונים גנטיים וזהות תרבותית או חברתית.סעיף 4(1) לתקנות. התקנות עשויות גם לחול על מידע אישי אף אם הותמם (עבר תהליך אנונימיזציה)התממה מוגדרת בסעיף 4(5) לתקנות אם סביר ששילובו עם מידע נוסף יביא לידי זיהויו של נושא המידע.סעיף הקדמה 26 לתקנות. בנוסף, עיבוד קטגוריות מסוימות של מידע אישי – כגון מידע רפואי, נתונים ביומטריים, מידע גנטי, גזע, מוצא אתני, דעת פוליטית, אמונה דתית או פילוסופית, חיי מין או נטייה מינית – כפוף לדרישות מחמירות יותר.סעיף 9 לתקנות.

ב. שינוי במעמדה של ההסכמה

התקנות הכלליות בדבר הגנת מידע (GDPR) הכירו בכך שהסכמה של נושא המידע מספיקה להכשרת עיבוד של מידע אישי או מידע רגיש.דרישת ההסכמה כבר הייתה קבועה בדירקטיבת הגנת המידע (סעיפים 7, 8 לדירקטיבה). עם זה התקנות מפרטות את המדדים לבחינת תקפותה של הסכמה, ובין השאר קובעות שההסכמה צריכה להיות במפורש, למטרה מסוימת ובכתב. ראו הגדרת הסכמה בסעיף 4(11) 6, 9 לתקנות עם זה מטרתן להפסיק את השימוש בהסכמה כאמצעי קל ופשוט להכשרת עיבוד כזה ללא הבטחה של הגנה אמיתית לפרטיות המידע.

לפיכך התקנות אוסרות התניה של קבלת טובין או שירות בהסכמתו של נושא המידע לעיבוד מידע אישי עליו.סעיף 7(4) לתקנות. עוד הוכרה זכותו של נושא המידע לחזור בו מהסכמתו בכל עת וללא סייגים,סעיף 7(3) לתקנות.  וחובתו של בעל השליטה במידעכך מכונה האדם או הגוף האוסף מידע אישי ושולט בעיבודו. הכוונה לתרגום המונח "controller" המוגדר בסעיף 4(7) לתקנות. להפסיק את עיבוד המידע שברשותו, אלא אם קיימים בסיסים לגיטימיים אחרים, המפורטים בתקנות, המתירים את המשך עיבוד המידע האישי אף ללא הסכמתו של נושא המידע,סעיף 6 לתקנות. וכן למחוק את המידע האישי שברשותו ללא דיחוי אלא אם מתקיימים הסייגים הקבועים בתקנות בנוגע לתחולתה של הזכות להישכח.סעיף 17 לתקנות, וההסבר בנוגע לזכות להישכח בסעיף ‏ג.2) להלן.

במכוון אין התקנות מתייחסות לנזק כלכלי שעשוי להיגרם לבעל שליטה במידע, שהסתמך על הסכמתו של נושא המידע לצורך פיתוח טכנולוגיה; או לקיומה של מניעה טכנולוגית להפסיק את עיבוד המידע, למשל כשהמידע האישי הוטמע בתוך מערכת לומדת ואי אפשר לאתרו. בדרך זו מבקשות התקנות להכווין התנהגות שלפיה בעל שליטה במידע בוחן תחילה אם קיימים בסיסים לגיטימיים אחרים שמתירים את עיבוד המידע האישי ומבקש את הסכמת נושא המידע רק כמוצא אחרון ומתוך הבנה שמראש עליו להתכונן לאפשרות שנושא המידע יחזור בו מהסכמתו בכל עת, ואז יהיה עליו להפסיק את עיבוד המידע האישי ויתכן שגם למוחקו.

ג. חיזוק זכויותיו של נושא המידע

התקנות הכלליות בדבר הגנת מידע (GDPR) הרחיבו את אגד הזכויות המוקנות לנושא המידע במטרה לחזק את שליטתו במידע אישי עליו.

1) הזכות לניוד של מידע אישי
זו זכות חריגה בנוף הזכויות המוקנות לנושא המידע,סעיף 20 לתקנות. שכן מטרתה אינה לשמור על האוטונומיה שלו או על זכותו להיעזב במנוחההגדרת הזכות לפרטיות כזכות "להיעזב במנוחה" מקורה במאמר הראשון שקרא להגן על הזכות לפרטיות, משנת 1890. ראו Samuel D. Warren & Louis D. Brandeis, The Right to Privacy, 4(5) Harv. L. Rev. 193 (1890). להצדקות נוספות לזכות לפרטיות, ראו מיכאל בירנהק, מרחב פרטי הזכות לפרטיות בין משפט לטכנולוגיה 115–125 (תשע"א). (ראו: "פרטיות – מלכת זכויות האדם בעולם דיגיטלי", בגיליון זה);תהילה שוורץ אלטשולר, "פרטיות – מלכת זכויות האדם בעולם דיגיטלי", פרלמנט 83 (גיליון זה) (2019). אלא לאפשר זרימה חופשית של מידע אישי באיחוד האירופי במטרה לעודד תחרות בין בעלי שליטה שונים, להקטין את תלותם של נושאי המידע בפלטפורמה אחת של שירותי מידע ולמנוע את נעילתם בה, כלומר למנוע מצב בו לא יוכלו להעביר את המידע האישי, שהעלו על עצמם לפלטפורמה שירותי המידע, לפלטפורמת שירותי מידע אחרת.Article 29 Data Protection Working Party, Guidelines on the Right to Data Portability (16/EN, WP 242 rev. 01, April 5, 2017) מדובר אפוא בזכות כלכלית, שמטרתה לאפשר לנושא המידע ליהנות מפירותיו הכלכליים של המידע האישי עליו.Paul De Hert, Vagelis Papakonstantinou, Gianclaudio Malgiere, Laurent Beslay & Iganico Sanches, The Right to Data Portability in the GDPR: Towards User-Centric Interoperability of Digital Services¸ COMP. L. & SEC. REV. 193, 195-196 (2018)

זכות הניוד מאפשרת לנושא המידע:

1) לקבל לידיו עותק מהמידע האישי ולעשות בו כרצונו, לרבות להעבירו לכמה בעלי שליטה. לכאורה מדובר בזכות העיון, אבל זכות העיון מאפשרת עיון במידע אישי בהיקף רחב יותר ובמטרה להעצים את ידיעותיו של נושא מידע בדבר המידע האישי עליו, ואילו זכות הניוד נועדה להגדיל את שליטתו של נושא מידע במידע אישי עליו, והיא מוגבלת למידע אישי שסיפק נושא המידע עצמו או שבעל השליטה יצר בעקבות תצפית על התנהגותו ועל פעולותיו של נושא המידע.שם, בעמ' 201. זכות הניוד כוללת רק את המידע הגולמי שאסף בעל השליטה, ואינה כוללת את מסקנותיו מעיבוד המידע האישי. כך למשל הדירוג של מוכר או קונה באתר eBay הוא מידע שהתגבש בעקבות תצפית על נושא המידע ועל כן ניתן לניוד; אבל ממוצע הניקוד של כל מוכר או קונה, שאותו אתר מחשב על בסיס הדירוג שנתן לו קונה או מוכר בעסקה, אינו ניתן לניוד.Article 29, לעיל ה"ש 24; Aysem Diker Vanberg, The Right to Data Portability in the GDPR: What Lessons Can Be Learned from the EU Experience? 21(7) J. INTERNET L. 1, 11-12 (2018) 

2) לבקש להעביר את המידע האישי עליו מבעל שליטה אחד למשנהו.
כל עוד נושא המידע לא ביקש זאת במפורש, ניוד המידע האישי אינו מחייב את הפסקת עיבודו או מחיקתו. עותק מהמידע האישי ייוותר בידי בעל השליטה שממנו התבקש הניוד, והוא יוכל להמשיך ולעבדו.סעיף הקדמה 68 לתקנות

זכות הניוד אינה מוחלטת, אלא מותנית בכך שמימושה לא יביא לידי פגיעה חמורה בזכויות ובחירויות של צדדים שלישיים. לפיכך כשמידע אישי שבנוגע אליו מתבקש ניוד כולל מידע אישי על צדדים שלישיים – למשל תמונה בפייסבוק שבה מצולמים כמה אנשים לצד נושא המידע המבקש את הניוד – על נושא המידע לשאת באחריות שבעל השליטה שאליו מנויד המידע האישי יבטיח את פרטיותם של הצדדים השלישיים. בעל השליטה הזה רשאי להשתמש במידע אישי על צדדים שלישיים רק לשם מתן שירות לנושא המידע שביקש את הניוד.Diker Vanberg, The Right to Data Portability, בעמ' 12–13. 

2) הזכות להישכח
בשנת 2014 פסק בית הדין האירופי לזכויות אדם (ECtHR) בפרשת קוסטחהGoogle Spain SL. V. Costeja (May 13, 2014); Micharl L. Rustad & Sanna Kulevska, Reconceptualizing the Right to Be Forgotten to Enable Transatlantic Data Flow, 28 HARV. J. L &THEC. 349, 363-364 (2015) שאת זכות המחיקה – שבאותו הזמן הייתה נתונה לנושא המידע מכוח דירקטיבת הגנת המידעסעיפים 6(1)(c), 12(b) ו 14(a) לדירקטיבה. – יש לפרש באופן שכולל גם את זכותו של נושא המידע לבקש מהחברה המפעילה את מנוע חיפוש למחוק תוצאות חיפוש שמתקבלות בעקבות הקשת שמו בשאילתת החיפוש, בנימוק שהמידע המתקבל אינו ראוי, אינו רלוונטי או אינו רלוונטי עוד, או מוגזם בהתחשב במטרותיו ובזמן שחלף מאז הפרסום. עם קבלת בקשה כאמור, על החברה המפעילה את מנוע החיפוש לאזן באופן ראוי בין זכותו של נושא המידע לפרטיות ובין האינטרסים שלה עצמה וזכותם של משתמשי האינטרנט להיחשף למידע.

התקנות הכלליות בדבר הגנת מידע (GDPR) הרחיבו את תחולת הזכות להישכח על המידע האישי כולו – לרבות המסקנות או התובנות שהוסקו על בסיסו – ולא רק על הקישור אליו, המופיע בתוצאות חיפוש בתגובה לשאילתת חיפוש על שמו של נושא המידע.סעיף 17 לתקנות; Article 19 Data Protection WP, Guidelines on Automated Individual Decision-Making and Profiling for the Purposes of Regulation 2016/679, WP251 rev.01 (Oct. 3, 2017). ואולם התקנות לא הותירו מקום לפרשנות האם המידע האישי אינו ראוי, רלוונטי או מוגזם בהתחשב במטרותיו ובזמן שחלף ממועד פרסומו אלא הגדירו את הנסיבות שבהן יוכל נושא המידע לדרוש מבעל השליטה במידע למחוק את המידע האישי עליו.בהתאם לסעיף 6 לתקנות. כאשר בעל השליטה במידע העביר את המידע האישי לצדדים שלישיים או פרסם אותו בציבור, עליו לנקוט את הצעדים הדרושים, בהתחשב בטכנולוגיה הזמינה ובעלותה, כדי ליידע בעלי שליטה אחרים שעליהם למחוק את המידע האישי וכן כל קישור, העתק או שכפול שלו.סעיף 17(2) לתקנות

הזכות להישכח אינה מוחלטת, אלא נסוגה כשהמידע האישי נחוץ למימוש הזכות לחופש ביטוי; לציות לחוקים אחרים באיחוד האירופי או במדינה החברה בו; למשימות שיש אינטרס ציבורי לבצען; למימוש אינטרס הציבור בתחום של בריאות הציבור; למימוש אינטרס הציבור באירכוב או במחקר מדעי, היסטורי או סטטיסטי; לצורך מימוש סמכות רשמית של בעל השליטה במידע או לצורך ביסוס טענה משפטית,סעיף 17(3) לתקנות. (ראו גם "האם בישראל קיימת הזכות להישכח?", בגיליון זה).רחל ארידור-הרשקוביץ', "האם בישראל קיימת הזכות להישכח?", פרלמנט 83 (גיליון זה) (2019).

3) הזכות למעורבות אנושית בקבלת החלטות המבוססות על עיבוד אוטומטי של מידע אישי
לנושא המידע הזכות שלא תתקבל החלטה בעלת השלכות משפטיות או משמעותיות אחרות עליו – למשל סירוב למתן אשראי או החלטה בנוגע לגיוס כוח אדם למשרה מסוימת – שמבוססת רק על עיבוד אוטומטי של מידע אישי, לרבות יצירת פרופיל אישיות שלו (פרופיילינג).סעיף 22 לתקנות.

מימושה של זכות זו נתון לפרשנות שבוחנת מהי מידת המעורבות האנושית הנדרשת מבעל השליטה במידע כדי להיחלץ מגדרי האיסור בדבר קבלת החלטה המבוססת רק על עיבוד אוטומטי של מידע אישי, וכן מהי החלטה בעלת השלכות משפטיות או השלכות משמעותיות אחרות על נושא המידע. כך למשל האם ההחלטה של חברה המפעילה מנוע חיפוש להציג לפני קבוצת אוכלוסייה מסוימת (למשל משתמשים שמוצאם אפרו-אמריקני) פרסומת מסוימת (למשל לעורכי דין שמסייעים במקרה של מעצר או מאסר או פרסומות שנוגעות למחיקת רישום פלילי) היא החלטה בעל השלכות משפטיות או משמעותיות אחרות על נושא מידע מסוים?Lilian Edwards & Michael Veale, Slave the Algorithm? Why A “Right to an Explanation” is Probably not the Remedy You Are Looking For, 16 Duke L. & Teck. Rev. 18, 45-47 (2017)  

זכות זו אינה מוחלטת. על פי התקנות אפשר לקבל החלטה בעלת משמעות משפטית או אחרת על נושא המידע, המבוססת על עיבוד אוטומטי של מידע אישי במקרים האלה: העיבוד האוטומטי נדרש לשם כניסה או ביצוע של חוזה בין בעל השליטה במידע לנושא המידע; העיבוד מותר על פי החוק או מבוסס על הסכמתו המפורשת של נושא המידע.Pieter Wolters, The Control by and Rights of the Data Subject under the GDPR, 22(1) J. INTERNET L. 1, 12 (2018) כשמדובר בעיבוד אוטומטי של מידע רגיש, נדרשת הסכמה המפורשת של נושא המידע לעיבוד המידע הרגיש או הוכחת קיומו של אינטרס ציבורי חשוב בעיבודו.סעיף 22(4) לתקנות. במקרים אלה על בעל השליטה במידע להבטיח את זכויותיו של נושא המידע, לכל הפחות על ידי מעורבות אנושית שלו, שתוסמך לשנות את ההחלטה ותאפשר לנושא המידע להתנגד לה.הזכות למעורבות אנושית הייתה נתונה גם לפי סעיף 15 לדירקטיבת הגנת המידע, אבל שם הזכות התמצתה במתן האפשרות לנושא המידע להביע את עמדתו, וכן לא הוטלה על בעל השליטה במידע החובה ליידע את נושא המידע כשמתקבלת החלטה בעלת השלכות משפטיות או משמעותיות אחרות לגביו שמבוססת על עיבוד אוטומטי של מידע אישי עליו. במובן זה הזכות להתנגד לעיבוד אוטומטי של מידע אישי רחבה יותר בתקנות. ואולם התקנות מאפשרות עיבוד אוטומטי של מידע אישי לצורך קבלת החלטה בעלת השלכות משפטיות או משמעותיות אחרות על נושא המידע במקרה שנושא המידע מסכים לכך מפורשות. חריג זה לא היה קיים בדירקטיבה, ובמובן זה התקנות מצמצמות את היקפה של הזכות לעומת זו שהוקנתה קודם לכן מכוח הדירקטיבה. ראו: Wolters, The Control by and Rights, לעיל ה"ש 39, בעמ' 12–13; Tal Z. Zarsky, Incompatible: The GDPR in the Age of Big Data, 47 SETON HALL L. REV. 995, 1015-1018 (2017

כך למשל אם את ההחלטה בנוגע לבקשתו של אדם לקבל הלוואה מהבנק קיבל אלגוריתם, כלומר היא תוצר של ניתוח אוטומטי של המידע האישי עליו, מדובר בהחלטה בעלת השלכות משפטיות או משמעותיות אחרות על זכויותיו הבסיסיות, שהתקבלה על בסיס עיבוד אוטומטי של מידע אישי. עם זה לפי התקנות הבנק רשאי לפעול בדרך זו מאחר שמדובר בכניסה לביצוע חוזה בינו ובין נושא המידע, וסביר אף שנתקבלה הסכמתו המפורשת של נושא המידע לעיבוד האוטומטי של המידע האישי עליו לצורך קבלתה של החלטה זו. ואולם הבנק חייב ליידע את נושא המידע – מבקש ההלוואה – בנוגע לעיבוד האוטומטי, וזכותו של נושא המידע להביע את דעתו, לערער על ההחלטה, ולדרוש שיבחן אותה גם בן אנוש.

עוד נטען כי הזכות להתנגד לקבלת החלטה שמבוססת על עיבוד אוטומטי של מידע אישי כוללת גם את זכותו של נושא המידע, לאחר קבלת ההחלטה בעניינו, לקבל מבעל השליטה במידע הסבר שיכלול פירוט של אופן קבלת ההחלטה המבוססת על ניתוח אוטומטי של המידע האישי עליו.הזכות לקבלת הסבר מופיעה כחלק מהאמצעים שעל בעל השליטה לנקוט כחלק מחובת המעורבות האנושית לפי סעיף 71 לדברי ההקדמה לתקנות. מאחר שהזכות לקבלת הסבר מופיעה רק בדברי ההסבר אין לה תוקף מחייב. ראוEdwards & Veale, Slave the Algorithm?, לעיל בה"ש 38, בעמ' 49–51; Sandra Wachter, Brent Mittelstadt & Chris Russell, Counterfactual Explanations Without Opening the Black Box: Automated Decisions and the GDPR, 31 HARV. J. L. & TECH. 842, 861-862 (2018) כך למשל במקרה של החלטת הבנק בנוגע למתן ההלוואה, יהיה על הבנק להסביר כיצד התקבלה ההחלטה ואילו נתונים עיבד האלגוריתם לקבלתה.

ד. החובה להנדסת פרטיות

העיקרון של הנדסת הפרטיות (ראו "סוף פרטיות במחשבה תחילה", בגיליון זה)רותם מדזיני, "סוף פרטיות במחשבה תחילה: על הנדסת פרטיות והדרכים למימושה", פרלמנט 83 (2019). מחייב את בעל השליטה במידע להטמיע את ההגנה על הפרטיות כברירת מחדל החל בעיצוב מערכות טכנולוגיות שמעבדות מידע אישי, וכלה בתפעול ובניהול של מערכות תקשורת ומידע ממוחשבות, לאורך כל מעגל החיים של המידע.סעיף 25 לתקנות. כך למשל על בעל שליטה במידע למזער את עיבוד המידע האישי, לפעול להתממתו, לעבדו בשקיפות, לאפשר לנושא המידע לעקוב אחר עיבוד המידע עליו ולשפר תדיר את אמצעי האבטחה.סעיף הקדמה 78 לתקנות. 

במדינות שאינן חברות באיחוד האירופי ומשטר הגנת הפרטיות בהן לא הוכר כתואם את התקנות, הטמעת אמצעים טכנולוגיים וארגוניים שמאמצים את העיקרון של הנדסת פרטיות הוא מדד להגנה נאותה לפרטיות במידע, ולכן היא חשובה.סעיף הקדמה 108 לתקנות

ה. תחולה אקס-טריטוריאלית

התקנות הכלליות בדבר הגנת מידע (GDPR) מבקשות להבטיח רמת הגנה נאותה לנושאי מידע שנמצאים באיחוד האירופי גם כשעיבוד המידע האישי מתרחש מחוץ לגבולותיו. משום כך התקנות אוסרות על העברת מידע אישי למדינה שאינה חברה באיחוד או לארגון בינלאומי אלא אם משטר הגנת הפרטיות שלהם מספק רמת הגנה נאותה בדומה לתקנות, או שהארגון שאליו המידע האישי מועבר מציית לדרישות הקבועות בתקנות.סעיף 44 לתקנות. איסור זה משמש להפעלת לחץ על מדינות שאינן חברות באיחוד האירופי לעדכן את משטר הגנת הפרטיות שלהן בהתאם לתקנות, ומעודד חברות בינלאומיות שמעבדות מידע אישי על נושאי מידע מהאיחוד ומחוצה לו, לאמץ תקן הגנת פרטיות בינלאומי שתואם את התקנות.Marc Rotenberg & David Jacobs, Privacy, Security and Human Dignity in the Digital Age, 36 Harv. J. L. & Pub. Pol’y 605, 615, 640-642 (2013) 

זאת ועוד, תחולת התקנות היא אקס-טריטוריאלית ונקבעת על פי מקומו של נושא המידע. בעל שליטה במידע שמאוגד או פועל בתחומי האיחוד האירופי ומעביר את עיבוד המידע לתאגיד שאינו פועל או מאוגד באיחוד, חייב להבטיח שעיבוד המידע ייעשה בהתאם לתקנות. כמו כן בעל שליטה שאינו פועל או מאוגד באיחוד האירופי חייב לעמוד בדרישות התקנות אם הוא מעבד מידע אישי על נושאי מידע שנמצאים באיחוד לשם מתן שירות או מוצר או כחלק ממעקב אחר התנהגות של נושאי המידע בתחומי האיחוד וניטור שלהםסעיף 3 לתקנות. לשם יצירת פרופיל אישיותי.ניטור התנהגות ופרופיילינג מוגדרים בסעיף 24 להקדמה ובסעיף 4(4) לתקנות. כך למשל עיתון הניו יורק טיימס האמריקאי, המנטר את הרגלי הגלישה של קוראיו - גם אלה שנמצאים במדינות האיחוד – כדי להמליץ להם על כתבות שעשויות לעניין אותם, חייב לציית לתקנות.Daphne Keller, The Right Tools: Europe’s Intermediary Liability Laws and the EU 2016 General Data Protection Regulation, 33 Berkeley Tech. L. J. 287, 347-349 (2018); Manu J. Sebastian, The European Union’s General Data Protection Regulation: How Will it Affect Non-EU Enterprises?, 31 Syracuse J. Sci. & Tech. L. 216, 226 (2015); Beata A. Safari, Intangible Privacy Rights; How Europe’s GDPR Will Set A New Global Standard for Personal Data Protection, 47 Seton Hall L. Rev. 809, 838-840 (2017)  

השפעת התקנות על ישראל

התקנות הכלליות בדבר הגנת מידע (GDPR) מבקשות להגן על הזכות לפרטיות לנוכח חשיבותה לאוטונומיה ולבחירה החופשית ולהתאים את ההגנה לעת הנוכחית. בעיקר מותאמת ההגנה לחשיבותו הכלכלית של מידע אישי לצד העלייה בשימוש בטכנולוגיות ובמוצרי צריכה דיגיטליים מקושרים, שמגבירים במידה ניכרת את יכולות הניטור וההפקה של מידע אישי מדויק ובהיקפים נרחבים. לפיכך הכירו התקנות בחולשתה של הגנת פרטיות המבוססת בעיקרה על קבלת הסכמה של נושא המידע לפגיעה בפרטיותו, ועל כן נתנו משקל רב יותר לקיומם של בסיסים לגיטימיים לעיבוד מידע אישי לצד חיזוק שליטתו של נושא המידע במידע אישי עליו.Lokke Moerel & Corien Prins, Privacy for the Homo Digitalis: Proposal for a New Regulatory Framework for Data Protection in the Light of Big Data and the Internet of Things (May 25, 2016) 

בישראל הגנת הפרטיות מתבססת על חוק הגנת הפרטיות, תשמ"א–1981, שנחקק לפני 37 שנים. החוק אמנם תוקן ועודכן, אבל הוא עדיין מיושן, מייחס משקל רב מדי לדרישת ההסכמה ואינו כולל את עיקר החידושים בתקנות שנועדו לחזק את שליטתו של נושא המידע במידע אישי עליו.

בימים אלה באיחוד האירופי בוחנים מחדש אם להכיר במשטר הגנת הפרטיות בישראל ככזה שתואם את רמת הגנת הפרטיות באיחוד. אם תוסר ההכרה האירופית, העברה לישראל של מידע אישי על נושאי מידע הנמצאים באיחוד האירופי תותנה באמצעי ההגנה על פרטיות המידע שינקטו כל ארגון או חברה המעוניינים בהעברה כזאת. הנטל לעשות כן יוטל אפוא על כתפי החברות הפרטיות, ואלה – בעיקר הקטנות והבינוניות שבהן – עלולות למצוא אותו בלתי סביר. משרד המשפטים, על פי הדיווחים, עומל בימים אלה על תיקוני חקיקה במטרה להתאים את הגנת הפרטיות בישראל לתקנות הכלליות בדבר הגנת מידע (GDPR). זו אכן יוזמה מבורכת ודרושה, אבל נראה שבשלה העת לתיקון חקיקה מקיף מן היסוד ולהתאמת חקיקת הגנת הפרטיות בישראל לזמנים המודרניים.