העולם שאחרי: איך לעשות שיווק דיגיטלי מנצח בעידן ה-GDPR

תקנות הגנת מידע ופרטיות בהתייחס לחברות שיווק דיגיטלי.

 

מאת: עורך הדין יורם ליכטנשטיין, מוסמך הגנת פרטיות באירופה, CIPP/E.

 

כולם מדברים על ה-GDPR, תקנות הגנת המידע והפרטיות באירופה, שנכנסו לתוקף ב-28 למאי 2018. במאמר אחדד את ההתייחסות אל התקנות ביחס לשיווק דיגיטלי.

ה-GDPR מתייחסת לאופן האיסוף והטיפול במידע האישי וזכויות הפרטים לשליטה במידע אודותיהם. התקנות אינן מתייחסות לאופן משלוח המסרים הפרסומיים ("חוק הספאם" בישראל, כדוגמא) ועליכם להקפיד גם על כך.

מדריך זה הינו מדריך ראשוני וכללי בלבד. והוא אינו מהווה תחליף לייעוץ משפטי ספציפי.

אתר רשות הגנת הפרטיות הבריטית, ה-ICO,  מעמיד לרשותנו כלי לבדיקת התאמת עסק השיווק הדיגיטלי שלכם לתקנות ולרגולציה האירופית 

חשוב לזכור שהרגולציה מתייחסת לאיסוף, עיבוד ושימוש במידע המתייחס לאנשים הנמצאים באירופה. אם המידע הפרטי שבידיכם אינו כזה – יתכן שאינכם כפופים לרגולציה, אבל אנא בידקו את עצמכם. ברגולציה יש חריגים שונים.

כיצד מגדירה ה- GDPR מידע פרטי? מידע המזהה או שמאפשר לזהות אדם טבעי. כתובת IP, התנהלות אונליין, גלישה מקוונת באתרים, העדפות אישיות, קוקיז, פיקסלים, אנאליטיקס וכדומה – כל אלו עשויים להוות מידע אישי שכפוף לתקנות.

השפעת הרגולציה

חשוב לציין שה-GDPR לא תהרוג את השיווק הדיגיטלי. אולם מדובר בשינוי מחשבתי באיסוף ובשימוש במידע.  כמות המידע הנאסף תקטן בצורה משמעותית. אך מאידך, איסוף נכון של מידע יוביל למצב בו מידע מועט יהיה בעל משמעות מסחרית רבה יותר וניתן יהיה להפכו להכנסה בצורה מהירה יותר.

הרגולציה משפיעה בשלושה תחומים עיקריים (אם כי שאלות הפרטיות והגנת המידע רלוונטיות לכל אורך חיי העסק והמוצר שלכם, ויש להן גם השפעות בתחומים אחרים):

  1. ההסכמות להשגת המידע האישי וניהול איסופו- יהיה עליכם לפעול בזהירות רבה יותר במהלך איסוף המידע. לדוגמא אם יצאתם בקמפיין בו אתם מציעים מתנה לגולשים שיתייגו את חבריהם, עליכם לקחתם בחשבון את העובדה שהמידע אותו אתם אוספים אינו שייך למי שמסר לכם אותו.
  2. השליטה במידע- הרגולציה מאפשרת לכל אדם לגשת למידע שנאסף אודותיו. הרגולציה מקנה היקף לא מבוטל של זכויות שליטה במידע שעליכם לכבד.
  3. מזעור איסוף המידע ומיקודו: עליכם לעגן את מטרות איסוף המידע בחוק ולהיות שקופים בפני המשתמשים.

 

אחריות העסק

חובת ההוכחה היא על העסק- התקנות מחייבות עסקים לנהל את ענייניהם באופן שיוכלו להוכיח שכיבדו את הרגולציה. חובה לדאוג לתיעוד מסודר ומפורט ככל האפשר של ההחלטות בנושא ודרך קבלתן. כולל  פעולות איסוף המידע, עיבוד המידע, העברות המידע, תוכן ההסכמה למסור מידע, אופן קבלת הסכמה זו וכן תקלות אבטחת המידע השונות והעברותיו לאחרים.

 

הבסיס החוקי לעיבוד

התקנות מחייבות עסק שאוסף ומעבד מידע אישי לוודא מראש שקיים בסיס חוקי לפעולות אותן הוא מבצע.

סעיף 6.1(f) מגדיר מהו אינטרס לגיטימי לאיסוף מידע. אינטרס לגיטימי יכול להחשב שמירת קשר שיווקי בין בעל העסק ללקוחותיו הקיימים, יצירת מנגנון שיווק מכירתי, טלפוני וכדומה.

במקרה שבו לא קיים אינטרס לגיטימי לאיסוף מידע ניתן לבקש את הסכמת המשתמשים לאיסוף מידע אודותיהם.(וראו סעיף 6 לתקנות).

מהי הסכמה? ביטוי חופשי, ברור, מובן, ספציפי לפעולות הרלוונטיות. אסור להתנות את ההסכמה והיא חייבת להיות מנוסחת ומתועדת בצורה מושלמת.

נוסח לדוגמא של תוכן ההסכמה עשוי להראות כך (בשפה המדובר על ידי הקורא) או בכל ניסוח רלוונטי מתאים אחר:

"יש לנו בחברת _________ מוצרים ושירותים רבים שיכולים לעניין אתכם. אנו נשתמש במידע שאת/ה מוסר/ת לנו על מנת לבחור את ההצעות המתאימות לך ביותר לפי תחומי העניין שלך.

אנו כמובן מכבדים את פרטיותך, נשמור עליה ונפעל רק בהתאם למדיניות הפרטיות [כאן יכנס לינק מתאים] שלנו המפורטת בקישור הזה.

המידע שתמסור/י לנו ישמש אותנו רק לצרכים אלו, אלא אם כן תסכימ/י לשימושים נוספים בו, כמו למשל ביצוען של רכישות.

תוכלו ליצור עמנו קשר בכל שאלה כאן __________.ככל שתרצה/י לבטל את הסכמתך, תוכל לבצע זאת אם תלחץ כאן. [עוד לינק מתאים]

 

[  ] אני מסכי/מה לאמור מעלה ומבקש לקבל עדכונים מ___ על בסיס המידע שמסרתי להם.

 

שימו לב שהטקסט לא נועד לשימוש בפועל אלא להבהרת נקודה בלבד.

בנוסף להסכמה יש להציג גילוי נאות של כל הפרטים הבאים: זהות בעל מאגר המידע; זהותו ופרטיו של "קצין הגנת המידע" שמונה על פי התקנות, אם מונה, ופרטיו; מטרות העיבוד; האינטרס של בעל המאגר; מי הם מקבלי המידע; פירוט העברות המידע מחוץ לאירופה ועמידתן בדרישות התקנות וכן מקור המידע (אם לא נתקבל מהפרט עצמו).

כאשר אתם מבצעים פעולות של קבלת החלטות אוטומטיות כמו פרופיילינג (סגמנטציה והפניית פרסומות ממוקדות על פי ניתוח דפוסי התנהגות אישיים) חובה עליכם ליידע את המשתמשים בכך. כמובן מבלי לפגוע בקניין הרוחני או לחשוף סודות מסחרים.

פרופיילינג מורכב משלושה יסודות: 1. על העיבוד להיות אוטומטי, מבוסס מחשב וללא התערבות אדם; 2. עליו לערב מידע אישי (והעדפות אישיות של כתבות ונושאי עניין בהחלט עשויות להחשב כמידע אישי לצורך הרגולציה);  3. המידע האישי ישמש לצורך הערכת אספקטים אישיותיים או התנהגותיים של הפרט.

זכויות הפרט ושליטתו במידע

התקנות מגדירות בפירוט מהן זכויות הפרט למידע: הזכות לשקיפות, הזכות לגישה אל המידע, הזכות לעיין בו ולקבל עותק ממנו, הזכות להעביר לספק אחר עותק מן המידע, הזכות לתקן את המידע הנאגר או למחוק אותו, הזכות לחלוק על העיבוד או להפסיק אותו וגם הזכות להתערבות אנושית במקרה של פרופיילינג

במקרה של פרופיילינג. מרגע שהמשתמש פנה וביקש הפסקה – חובה על בעל המאגר לחדול לחלוטין מכל פעולה כזו. במקרה שהמשתמש מבקש את מחיקתו מהרשימה והפסקת הדיוור אליו, מומלץ מאוד להפעיל נוהל שמאתר ומבצע בקשה כגון זו מידית.

קבוצת העבודה 29 שתפקידה ליצור הנחיות בנושאים קשורי GDPR התייחסה לקבלת החלטות אוטומטיות והוציאה את המסמך הזה.

 

מספר טיפים לסיום:

  1. ארגנו את רשימת המשתמשים והנתונים שברשותכם. בדקו האם הרשימות עומדות בדרישות הרגולציה. אם הן אינן עומדות בהן, כדאי  למחוק את המידע ולהתחיל את האיסוף מחדש, בצורה התואמת ל-GDPR. אמנם, מדובר בעבודה רבה שיורדת לטימיון אבל  אם בעתיד נגלה שהרשויות האירופיות מטילות על משווקים דיגיטאליים מישראל עונשים כבדים למען יראו וייראו – הקנס או התביעה עשויים יכולים להגיע ל-10 או 20 מיליון אירו, במקביל לתביעות ייצוגיות או תביעות אישיות נגד מנהלים.
  2. ערכו מיפוי מידע וסקירת פערים בין התנהלותכם כיום לבין הנדרש על פי הרגולציה. אם לא תדעו בוודאות מה מצבכם, איך תוכלו להעריך את הסיכון שמוטל עליכם?
  3. עברו על 16 הצעדים להתאמת העסק שלכם לרגולצית הפרטיות האירופית וראו את אילו רכיבים אתם יכולים לקדם בעצמכם, גם ללא שכירת בעל מקצוע, על מנת לצמצם את הסיכון המוטל עליכם. להעלימו לא תוכלו, אולם צמצומו המחושב הוא צעד חשוב קדימה.
  4. הדריכו את עובדיכם בסיכון ובזהירות שמוטל עליהם בעבודה עם מידע אישי, והתאימו את מערכותיכם ככל האפשר לתקנות. חשוב לשים לב שבמאי 2018 נכנסות לתוקף גם תקנות אבטחת המידע הישראליות, שבינן לבין ה-GDPR קיימת חפיפה מסוימת. תקנות אלו, מטבע הדברים, חלות עליכם במישרין.

מקווה שעזרתי וקידמתי את הבנתכם בנושא.

 

השארת תגובה