חדשות ופרסומים

ב-19 לנובמבר, 2025 פרסמה הנציבות האירופית טיוטת הצעה לתקינה חדשה – הצעת הרגולציה COM(2025) 837 final, המכונה "Digital Omnibus Regulation" ("הטיוטה").

מטרתה המוצהרת של  הטיוטה היא "ניקיון שולחן" משפטי: מהלך רחב ורוחבי של פישוט, איחוד, עדכון וביטול של חוקים  ותקנות קיימים לטובת יצירת ודאות עסקית, יעילות, תחרות והקלה מיידית על עסקים. כל זאת מבלי לפגוע בזכויות יסוד כמו הזכות לפרטיות, ביטחון מידע ותחרות הוגנת.

כחלק מהמהלך, מוצע לאחד ולהחליף חקיקה ותקינה קיימת, לחדד מנגנוני תיאום בין רשויות ולהתאים את המערכת הרגולטורית לעולם שבו עיבוד מידע ושירותים דיגיטליים הם מרכיב בסיסי בפעילות העסקית. כתוצאה מכך תיווצר (בשאיפה) סביבת ציות יעילה וצפויה יותר, במיוחד בתחומי AI, ניהול דאטה ושירותי ענן.

 הטיוטה דנה בנושאים רבים ומגוונים. נוכח רוחב היריעה, מצד אחד והעובדה שמדובר, בשלב זה בטיוטה בלבד, ולא ברגולציה מחייבת, בחרנו לעסוק רק בכמה מן הנושאים הנדונים במסגרתה.

המיקוד החדש בפרטיות: GDPR מקבל פנים חדשות

החלק המשמעותי ביותר בטיוטה עבור רוב הגורמים הישראלים האוספים או מעבדים מידע אישי של אזרחי/תושבי האיחוד האירופאי נוגע לתיקונים ממוקדים ב-GDPR וביחסי הגומלין של ה – GDPR עם חוקים ותקנות אחרים. להלן השינויים המרכזיים שישפיעו על אופן ניהול המידע שלכם:

הגדרת מידע אישי

מידע שהגוף המחזיק/המעבד אינו יכול לשייך לאדם ספציפי במאמץ סביר – לא ייחשב כמידע אישי עבור אותו גוף (גם אם יש גופים אחרים שיכולים לזהות אדם כזה).

התרת שימוש בנתונים ביומטריים לצורך אימות הזדהות

יותר שימוש בכלים ביומטריים (טביעות אצבע, צילום פנים וכו') – ככל שמדובר באימות הזהות של משתמש.ת שמבקש.ת לעשות שימוש ספציפי בשירות או לקבל נגישות למידע (אימות "אחד לאחד" להבדיל מזיהוי "אחד מרבים" – בו מנסים לקשר נתון ביומטרי לנתונים המצויים במאגר כללי), וככל שהמאפיינים הביומטריים שמורים אצל המשתמש.ת (לדוגמא – בטלפון חכם) או אצל הגוף המחזיק/המעבד באופן מוגן וייחודי עבור נשוא המידע בלבד. 

הכפפת זכות העיון/תיקון/מחיקה לקריטריונים של סבירות

הגם שנשמרת זכותם של נושאי מידע לעיין במידע השמור לגביהם, ולבקש את תיקונו ו/או מחיקתו – בעלי השליטה במאגרי מידע יהיו רשאים לסרב לדרישות מופרזות, חוזרות ונשנות או טרדניות, או לדרוש תשלום עבור מילוי בקשות כאלו.

בנוסף – ככל שהיקף המידע שנשמר אינו רב והמידע עצמו אינו רגיש (לדוגמא: רשימת תורמים של עמותה, מאגר לקוחות של בעל מלאכה, חנות מקומית וכד') וככל שנושאי המידע אמורים לדעת איזה מידע נשמר לגביהם, תוגבל חובת העיון והתיקון.

פישוט ואיחוד של המנגנון הנוגע לקבלת הסכמה לאיסוף Cookies

לפי התיקון המוצע, ההסכמה/אי הסכמה לאיסוף Cookies ממשתמשים לא תיעשה עוד ברמת האתר/האפליקציה, אלא ברמת מערכת ההפעלה/הדפדפן, כאשר כל משתמש.ת יוכל/תוכל לקבוע מדיניות כללית לעניין הסכמה/הסכמה/מסוייגת/סירוב, ועמדה זה "תימסר" אוטומטית על ידי איתות אלקטרוני בכל פעם שיגלוש/תגלוש לאתר או לאפליקציה.

 שימוש בבינה מלאכותית והגדרת "מחקר מדעי"

בסיס חוקי לאימון: הטיוטה מבהירה כי אימון מודלים של AI עשוי להיחשב כ"אינטרס לגיטימי" (Legitimate Interest) של הגורם האוסף מידע אישי, מה שעשוי להקל על השימוש במידע אישי למטרות אלו, בכפוף לאיזון אינטרסים, אמצעי הגנה וזכות התנגדות בלתי מסויגת.

כמו-כן הורחבה והוסברה הגדרת "מחקר מדעי": ההגדרה החדשה מבהירה כי "מחקר מדעי" אינו מוגבל רק למחקר אקדמי קלאסי. היא כוללת גם פעילויות של פיתוח טכנולוגי, יצירת אבות טיפוס, והדגמות – כלומר, מחקר שמטרתו ליצור מוצרים וטכנולוגיות חדשות. הבהרה זו חיונית במיוחד עבור חברות טכנולוגיה המפתחות מערכות בינה מלאכותית. היא מאפשרת להן להשתמש בבסיס הנתונים שלהן (לעיתים קרובות נתונים אישיים) כדי "לאמן" מודלים חדשים תחת המטרייה המקלה יותר של "מחקר מדעי".

הטיוטה מבהירה כי מחקר מדעי מהווה "אינטרס לגיטימי" (Legitimate Interest) הכרה זו מאפשרת לארגונים לעבד נתונים אישיים למטרות מחקר, גם אם אין להם הסכמה ספציפית, כל עוד הם מוכיחים כי האינטרס הלגיטימי שלהם גובר על זכויות הפרט, וכי נעשה שימוש באמצעי הגנה הולמים (פסאודונימיזציה או אנונימיזציה).  החריג – כאשר החוק דורש הסכמה מפורשת או כאשר אינטרס הפרט גובר, במיוחד לגבי ילדים או נתונים רגישים במיוחד.

תסקירי השפעה על הגנת מידע (DPIA)

לפי הטיוטה, המועצה האירופית להגנת מידע (EDPB), תפתח מתודולוגיה אחידה וטמפלייט משותף לביצוע ההערכות הללו וזאת על מנת להקל על ארגונים לציית לסטנדרט אירופאי אחיד.

הקלות בדרישות לדיווח על אירועי אבטחה (Data Breaches)

סף דיווח חדש: לא כל דליפת מידע תחייב דיווח לרגולטור. ההצעה קובעת כי יש לדווח רק על אירועים בעלי "סיכון גבוה" לזכויות ולחירויות הפרט. לפי ההצעה, חובת דיווח תחול תוך 96 שעות מהאירוע (במקום 72 ).

Single-Entry Point: כדי להקל על נטל הדיווח ולקצר את זמני התגובה, תוקם ברמת האיחוד האירופי מערכת דיווח מרכזית אחת, שתאפשר מנגנון דיווח אחיד לפי כלל החוקים הרלוונטיים ותנתב את המידע לרשויות המתאימות בעת דיווח על אירוע אבטחה. מהלך זה צפוי לחסוך משאבים ניהוליים ומשפטיים משמעותיים בזמן משבר.

חסכון כספי משמעותי

לפי הטיוטה, קבלת השינויים המוצעים תביא לחסכון משמעותי בעלויות הציות (בפרט לגופים קטנים, גופי מחקר, עמותות ועוד), ליתר בהירות וליתר אחידות. 

לסיכום 

הטיוטה שמה דגש על הפחתת עומס רגולטורי, הגברת וודאות משפטית, עידוד חדשנות ושמירה על סטנדרטים גבוהים של זכויות יסוד, פרטיות, בטיחות והגינות. יחלוף עוד זמן עד שטיוטה זו תהפוך לרגולציה מחייבת, ולא מן הנמנע כי עד השלמת תהליך הרגולציה ישתנו ההסדרים המוצעים.  עם זאת, יש לברך על נכונות הרשויות לבחון מחדש את ההסדרים הקיימים, לדייק את מנגנוני האכיפה ולהסיר הכבדות וחסמים מיותרים, והכל תוך שמירת זכויותיהם של נושאי המידע. אנו נמשיך לעקוב אחר ההתפתחויות ואחר יוזמות נוספות של הנציבות ונעדכן אתכם.

 האמור לעיל אינו מהווה ייעוץ משפטי. אנו עומדים לרשותכם לצורך מתן הבהרות ומענה על שאלות נקודתיות.

העדכון נכתב על ידי עורך דין אמיר זולטי, שותף וראש תחום היי טק במשרדנו.