דף הבית > בלוג > DPR – Data Protection Representative

DPR – Data Protection Representative

לקבלת מידע טלפוני אודות DPR – נציג ארופאי – לחצו כאן או התקשרו ל- 03-7176020

 

במאי 2018, רגולציית הגנת הפרטיות האירופאית (General Data Protection Regulation), או בשמה המוכר ה-GDPR נכנסה לתוקף.

הרגולציה כוללת שורה של הוראות מחייבות, המתייחסות הן לבעל המידע (קונטרולר – Controller) והן לגורמים וצדדים שלישיים המספקים לו שירותים ומעבדים עבורו מידע (מעבדים – Processor).

אמנם מדובר ברגולציה אירופאית, אולם היא חלה גם על חברות הפועלות מחוץ לאירופה, אשר משווקות ומוכרות לאזרחי האיחוד האירופאי תוך שימוש במידע האישי שלהם (חשוב לדעת – גם כתובת מייל של עובד אירופאי בחברה שלו, נחשבת לפי האירופאים ל"מידע אישי").

לפי הרגולציה האירופאית החובות חלות לעיתים גם בצורה עקיפה דרך "הסכמי עיבוד מידע" עליהם נדרשים ספקי שירותים לחתום, לצורך מתן שירותים לחברות אירופאיות או המשווקות לאירופה. וכך אנו פוגשים יותר ויותר לקוחות שהם חברות וספקי שירותים ישראליים, המוצאים עצמם נדרשים לעמוד בהוראות ה- GDPR.

לפרטים נוספים וכלליים על ה- GDPR וכל הדרוש לצורך עמידה בו, אנא לחצו כאן.

 

לפרטים נוספים לגבי החובות שנקבעו במסגרת ה-GDPR, אנא לחצו כאן.

 

החובה למנות "נציג אירופאי"

במסגרת כלל החובות הקבועות ב- GDPR, קיימת חובה מיוחדת החלה על גופים הכפופים לרגולציה האירופאית ומקום מושבם אינו בתוך השטח הגיאוגרפי של האיחוד האירופאי הכלכלי (ה- EEA). ביחס לגופים כאלה, קובעת תקנה 27 ל-GDPR חובה מיוחדת למנות "נציג אירופאי" – Data Protection Representative DPR, שמקום מושבו בתוך תחומי האיחוד, ויכול להוות איש קשר לאירופאים הרוצים לפנות לחברה.

למשל, ניקח לדוגמא חברה ישראלית שאין לה סניפים פיזיים באירופה, אולם משווקת את מוצריה לתוך האיחוד האירופאי. לצורך מכירת המוצרים, החברה עורכת קמפיינים דיגיטאליים שבמסגרתם היא אוספת כתובות מייל של תושבים אירופאים לצורך שיווק של מוצריה להם. כתובות המייל הללו נחשבות לפי ה- GDPR ל"מידע אישי", ולכן ה-GDPR חל על החברה. מאחר ומקום מושבה של החברה אינו בתחומי האיחוד האירופאי, החברה חייבת במינוי DPR.

לחובה זו קיימים חריגים מסוימים החלים במקרים קיצוניים וחריגים, אולם על מנת לדעת אם חריגים אלו מתקיימים במקרה כזה או אחר, נדרשת בחינה מקצועית, שכן הדברים אינם קבועים רק בתקנה 27 ל- GDPR, אלא אף מפורטים ומוסברים בהנחיות והחלטות שהוציא האיחוד האירופאי בנושא.

 

מהם תפקידיו וחובותיו של ה-DPR?

כאמור, תפקידו המרכזי של ה-DPR הינו להוות אמצעי קשר בין אזרחים אירופאים ובין החברה השוכנת מחוץ לתחומי האיחוד. למעשה, המחוקק האירופאי רצה להקל על תושבי האיחוד במימוש של זכויותיהם לפי ה-GDPR מול החברה, ולכן חובה על כל חברה חיצונית העושה שימוש במידע אירופאי, להחזיק נציג בתוך שטח האיחוד. כמו כן, ה- DPR הינו גם אמצעי הקשר של החברה עם רגולטורים אירופאיים.

התפקיד של ה-DPR הינו בעיקרו פאסיבי – ניהול התקשורת בין החברה ובין אזרחים ורשויות אירופאיות.

עם זאת, ל-DPR ישנן מספר חובות אקטיביות, ובהן החובה להחזיק עותק של "תיעוד עיבוד המידע" שהחברה חייבת להחזיק לפי תקנה 30 ל-GDPR, וכן חובה אקטיבית לשתף פעולה עם הרשויות הרלבנטיות באירופה בכל מקרה בו הן פונות אליו.

בנוסף, במספר הבהרות והנחיות שהוציאה הוועדה האירופאית להגנת מידע, הובהר כי לנציג קיימת גם אחריות אישית מסוימת, במידה והוא מפר את חובותיו. ההיקף והמשמעויות של אחריות זו, כמו גם דברים אחרים הקשורים ב-GDPR, עדיין אינם ברורים לאור העובדה שמדובר ברגולציה חדשה סה"כ, אולם ניתן לצפות כי בחלוף הזמן הדברים יובהרו. כך או כך ברור כי תפקיד ה-DPR אינו רק "כתובת למסירת דואר", אלא מדובר בתפקיד הכורך בחובו נטילת אחריות מסוימת מול הרשויות האירופאיות.

 

יש לכם שאלה? – לחצו כאן או התקשרו ל- 03-7176020

 

באיזו מדינה באירופה יש למנות DPR?

בהתאם להוראות ה-GDPR, יש למנות נציג במדינה הרלבנטית ביותר עבור החברה מבחינת המידע המעובד על ידה. לדוגמא, חברה ישראלית שמוכרת בעיקר לצרפת, תצטרך למנות נציג שמקום מושבו בצרפת. עם זאת, הועדה האירופאית הבהירה כי ככל והחברה משווקת לכמה וכמה מדינות, עליה למנות נציג לכאורה בכל אחת מהמדינות הרלבנטיות. כמו כן, עצם ההחלטה מלכתחילה מהי המדינה הרלבנטית ביותר, אינה החלטה פשוטה. למשל, חברה ישראלית שמספקת שירות באמצעות מערכת בענן, ומוכרת ללקוחות בכל רחבי האיחוד האירופאי, אינה יכולה להחליט בצורה פשוטה מהי המדינה הרלבנטית ביותר עבורה. אפילו אם תוכל לעשות כן בנקודת זמן מסוימת, הרי ייתכן שבחלוף תקופה היא תגביר את מאמצי השיווק למדינה אחרת – האם עליה במקרה זה למנות נציג נוסף? להזיז את הנציג הקיים? ברור כי בחירת מדינה מסוימת אינה פשוטה וקלה תמיד.

 

ואם לא ממנים נציג באירופה, מה הסיכון?

כידוע, במסגרת הרגולציה נקבעה האפשרות להטיל על חברות מפרות כנסות בהיקפים גדולים וחריגים – עד 20 מיליון יורו בשנה או 4% מסך היקף המחזור הבינלאומי של החברה. תקנה 83(4)(a) ל-GDPR מתייחסת בצורה קונקרטית לקנס העלול להיות מוטל על מי שאינו ממלא אחר חובתו למנות נציג אירופאי לפי תקנה 27, וקובעת כי במקרה זה שיעור הקנס המנהלי יכול להגיע ל – 2% מהמחזור הבינלאומי הכללי של העסק או 10 מיליון יורו. ועל כן החשיפה הנובעת מחובת מינוי DPR אינה מבוטלת כלל ויש להקדים תרופה למכה ולמנות נציג אירופאי כנדרש.

 

אז כיצד מתמודדים עם הדרישה?

חברת נקסטפ תקינה ישירה, באמצעות שיתוף פעולה אל מול גוף אירופאי גדול ומוכר בתחום, מספקת ללקוחותיה הישראליים שירותי "נציג אירופאי" במיקור חוץ. באמצעות שיתוף פעולה זה יכולה חברת נקסטפ להעניק ללקוחותיה את השירות בכל מדינות אירופה בו זמנית (במסגרת שיתוף הפעולה קיימים משרדים בכל מדינות האיחוד האירופאי), וזאת, בנוסף למעטפת של שירותים נוספים התומכים בציות ל-GDPR. השירות מסופק במקרה זה כמנוי חודשי, במחירים נוחים וקבועים והליך הרישום וההתחברות אליו פשוטים ומלווים בידי נקסטפ, על בסיס הידע שיש לה כבר אודות לקוחותיה.

לקבלת מידע נוסף – לחצו כאן או התקשרו ל- 03-7176020

 

יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.

כותב המאמר:

צרו איתנו קשר לקבלת מידע אודות DPR!

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00