הבסיס החוקי לעיבוד מידע מגדיר מתי מותר לארגון לאסוף, להשתמש או להעביר מידע אישי על פי החוק. בישראל, הבסיסים נגזריםמחוק הגנת הפרטיות, תשמ"א-1981, ומהתוספות שנובעות מהפסיקה וההשוואה לתקנות האירופאיות (GDPR).
רשימת הבסיסים:
חובה חוקית – הארגון נדרש לעבד את המידע בהתאם להוראות החוק.
דוגמה: ניהול נתוני שכר של עובדים לצורך דיווח למס הכנסה
אינטרס ציבורי או סמכות שלטונית – עיבוד לצורך ביצוע סמכות שהוקנתה על פי דין או לצורך טובת הציבור.
דוגמה: משרד הבריאות מעבד מידע רפואי לצורך ניטור בריאות התושבים.
קיום חוזה – העיבוד נדרש על מנת לקיים חוזה בין שני צדדים.
דוגמה: פיצריה צריכה לשמור את כתובת הנמען על מנת לשלוח לו את המוצר ולהפנות את השליח
אינטרס לגיטימי – מטרות הארגון מחייבות אותו בשמירת המידע, כל עוד זה תוך כדי שמירת זכויות הפרט. יש לקיים איזון בין צורכי הארגון לבין הפגיעה בפרטיות.
דוגמה: שמירת סרטונים של מצלמות אבטחה לצורך הגנה על באי הארגון
הגנה על אינטרסים חיוניים של נושא המידע – בעיקר לצורך הצלת חיים או מניעת פגיעה.
דוגמה: שיתוף של מידע על סוג דם של אדם שהתעלף
שימוש למטרות מחקר או סטטיסטיקה – מותר כל עוד המחקר לא חושף את הנבדקים.
הסכמה מודעת של אדם –
- האדם נתן הסכמה מודעת, מרצון חופשי ומפורשת לעיבוד המידע שלו
- ההסכמה צריכה להיות למטרה מוגדרת וברורה ולא כללית.
- יש לנושא המידע אפשרות למשוך את ההסכמה בקלות.
דוגמה: אני נרשם כמתעניין למכללה ומסכים שיעבדו את פרטי (אין זה אומר שאפשר כעת להשתמש במידע הנ"ל על מנת למכור לי נעליים למשל).
בסיסים חוקיים לעיבוד מידע אישי – טבלה
תקציר ידידותי. יש להתאים לארגון ולמטרות העיבוד בפועל. העמוד מסכם מקורות מרכזיים בישראל וב-GDPR.
| בסיס חוקי | תיאור תכלית העיבוד | מקור חוקי | דוגמה מעשית | דרישות עיקריות |
|---|---|---|---|---|
| הסכמה מדעת | נושא המידע נתן הסכמה חופשית, מדעת ומפורשת למטרה מוגדרת. | ישראל: חוק הגנת הפרטיות, תשמ"א-1981 GDPR: Art. 6(1)(a), Art. 7 | סטודנט מסכים לקבלת דיוור ותקשורת למטרות רישום ושירות. |
|
| קיום חובה חוקית | העיבוד הכרחי לעמידה בחובה שמוטלת על פי דין. | ישראל: חוקים ייעודיים (מס, עבודה) GDPR: Art. 6(1)(c) | שימור תלושי שכר ודיווחי מס לעובדים. |
|
| ביצוע חוזה | העיבוד נדרש לשם כריתת חוזה או קיומו מול נושא המידע. | ישראל: דיני חוזים+עקרונות פרטיות GDPR: Art. 6(1)(b) | מסירת כתובת למשלוח מוצר/אספקת שירות דיגיטלי. |
|
| סמכות שלטונית / אינטרס ציבורי | גוף ציבורי מפעיל סמכות עפ"י דין או לעשיית טובת הציבור. | ישראל: סמכויות מנהליות GDPR: Art. 6(1)(e) | משרד ממשלתי מעבד נתונים לצורך פיקוח/אכיפה. |
|
| אינטרס לגיטימי | לאחר איזון – אינטרס של הארגון שאינו גובר על זכויות הפרט. | ישראל: איזון מנהגי+פסיקה GDPR: Art. 6(1)(f) | שמירת לוגים, מניעת הונאה, אבטחת מידע, שיווק מינימלי ביחסי לקוח קיים. |
|
| אינטרסים חיוניים | להצלת חיים או מניעת נזק חמור לאדם. | ישראל: דיני נזיקין/רפואה GDPR: Art. 6(1)(d) | שיתוף מידע רפואי בחירום להצלת מטופל. |
|
| מחקר/סטטיסטיקה | עיבוד למטרות מחקר/סטטיסטיקה בכפוף להגנות, העדפה לאנונימיזציה/פסאודונימיזציה. | ישראל: הנחיות רמו"ט/אתיקה GDPR: Art. 89 | מחקר אקדמי עם נתונים מפסאודונימיים ואישורי ועדת אתיקה. |
|
| קטגוריות מיוחדות (רגישות) – בסיסים משלימים | לעיבוד מידע רגיש (בריאות, ביומטרי וכו') נדרש לרוב בסיס מחמיר: הסכמה מפורשת, חובה בדין, רפואה/סוציאלית, אינטרס חיוני, או אינטרס ציבורי מהותי. | ישראל: ח"הפ + תקנות המאגר GDPR: Art. 9 | קליניקה רפואית מעבדת תיקי מטופלים לצורך טיפול. |
|
| אכיפה ותביעות | עיבוד הנדרש למימוש/הגנה על זכויות משפטיות או ניהול הליכים. | ישראל: דיני ראיות/סדר דין GDPR: Art. 6(1)(f), Art. 9(2)(f) | שימור לוגים/מכתבים לצורך הגנה משפטית צפויה. |
|