מאת: יורם ליכטנשטיין, עו"ד. מוסמךCIPP/E להגנת הפרטיות ואבטחת מידע באירופה.
החלטה חדשה, יחסית (מה-9.11.2018), של רשות הגנת הפרטיות הצרפתית (ה-CNIL) אמורה לעורר את תשומת ליבה של כל סוכנות וחברה לשיווק דיגיטלי. מדובר בצעד שהוא בחזקת ״למען יראו ויראו״ מול סוכנויות הפרסום הדיגיטלי. ההחלטה מייצרת ״שיניים״ ותוקף לתקנות ה-GDPR (רגולצית הגנת מידע והפרטיות באירופה). מדובר בקנס לא מבוטל שהושת על סוכנות פרסום בצרפת עקב אי עמידה בתקנות.
לפני שאמשיך אני מבקש להפנות את תשומת לבכם לכך שהועד האירופי להגנת מידע (EDPB – European Data Protection Board) הוציא ממש לאחרונה הנחיות (עדיין לא סופיות) שמרחיבות את ההבנה שלנו עד כמה ה–GDPR חלה גם על חברות ו/או פעילות חוץ אירופאית. חשוב שנכיר אותן.
סוכנות Vectaury הצרפתית רכשה מדיה פרסומית אונליין עבור לקוחותיה. הסוכנות הציעה ללקוחות לשלב SDK באפליקציות שלהם על מנת לסייע באיסוף נתונים שונים מהמשתמשים שלהם, של הלקוחות. ה-SDK אסף נתונים ממכשירי המשתמשים גם כשהאפליקציה לא היתה פעילה. הנתונים שנאספו כללו מזהי מכשיר, מזהי דפדפן, נתוני מיקום גיאוגרפי (geolocation data) ונתוני התנהגות (behavioral data) ממכשירים ספציפיים. חשוב לציין כי האפליקציות (בהן הוטמע ה-SDK) הופעלו על ידי הלקוחות של הסוכנות, ולא על ידי הסוכנות עצמה.
הנתונים הועברו חזרה לסוכנות והיא ניתחה אותם. על פיהם יצרה פרופילים יחודיים בהתאם לכל מכשיר בההתבסס על התנהגותו ומיקומיו השונים. הפרופיל כלל מידע פרטי רב. למשל: באיזה סוג מכשיר מדובר (מתוחכם או פשוט), באילו חנויות ספציפיות ביקר כל מכשיר, מתי ביקר בחנויות, כמה זמן שהה בהן ועוד. כך יצרה החברה פרופילים שממפים את הרגלי הלקוחות. על בסיסם סיפק ה-SDK מידע לפלטפורמות פרסום ממוקד (targeted advertising).
ה-CNIL לא אהבה את דרך פעולת החברה. לאחר בדיקה של הנושא שלחה אזהרה פורמלית, המחייבת את החברה לתקן את דרך התנהלותה או שתהיה צפוייה לקנסות משמעותיים. להגנתה, טענה החברה בפני הרשות להגנת הפרטיות הצרפתית כי הנתונים נאספים בהסכמת נשואי המידע. על כך לא הייתה מחלוקת. עם זאת, ה-CNIL קבעה שאופן קבלת ההסכמה לאיסוף המידע אינו עומד בדרישות ה-GDPR. מכאן אנו למדים כיצד רשויות הגנת הפרטיות באירופה רואות את האופן שבו יש להודיע למשתמשים שנאסף עליהם מידע וכיצד יש לבקש את הסכמתם.
בראש ובראשונה, כשהמשתמש מוריד את האפליקציה לנייד, אם הוא אינו מקבל עדכון ברור וחד-משמעי, כי האפליקציה אוספת נתוני מיקום הרי זו הפרה של תקנות ה-GDPR. כמו כן אם המשתמש לא מקבל הודעה כנדרש על מטרות השימוש במידע, מי הגורם האוסף את המידע ולמי המידע יועבר – מדובר גם כן בהפרה של התקנות. אמנם פרטים אלו הוצגו במסמך תנאי השימוש, אולם נקבע שאין די בכך. שכן הפרטים נחשפים בפני המשתמש רק לאחר שהמידע כבר נשמר ועובד, ולא לפני כן (כנדרש בתקנות האירופיות), ואף לא בצורה ברורה ושקופה כנדרש.
בנוסף לכך, לא ניתן להשתמש באפליקציה ללא מתן אישור לאיסוף מידע ויתר על כן – המשתמש אינו יכול לחזור בו ממתן האישור לאיסוף מידע. כל שימוש באפליקציה מעביר נתונים לחברה בצורה אוטומטית וללא אפשרות ביטול. בכך נשללת מהמשתמש זכות הבחירה והסירוב, שחייבת להיות מוענקת לפי ה-GDPR.
כמו כן, לרשות הגנת הפרטיות האירופית הסתבר שלמשתמשים לא מוצג הסבר כי המידע אודותיהם ישמש את המערכת לצורך ״מתן הצעות מחיר בזמן אמת ולצרכי הגדרת פרופיל עסקי". האפליקציה עשתה שימוש בנוסח כללי יותר. לכן, גם תיאור השימוש במידע לא היה ברור ו-granular מספיק, כנדרש לאור הרגולציה.
נקודה נוספת שעולה היא איסוף נתוני המיקום בצורה אוטומטית כברירת מחדל. מדובר בצעד שנוגד את עקרון ה-Privacy by Default של ה-GDPR ולכן גם אלמנט זה נקבע כפסול.
ה-SDK הותקן ביותר מ-32,000 אפליקציות. ואיסוף המידע התייחס ללמעלה מ-42 מיליון מזהי מכשירים ונתונים גיאוגרפים. נקבע כי עיבוד שכזה הוא בהיקף גדול והסיכון הכרוך בו חמור יחסית.
לאור שלבי האכיפה הראשוניים ביותר של ה-GDPR באירופה עדיין לא הוטל על הסוכנות קנס, אלא ניתנה לה אזהרה ודרישת תיקון תוך שלושה חודשים.
כמו כן, הסוכנות חוייבה למחוק את כל הנתונים שנמצאים בידה כרגע, לאור הפגמים בדרך איסופם. היא אף חוייבה לתקן את דרכיה בתוך שלושה חודשים ממועד ההחלטה. אחרת, יוטלו עליה קנסות.
החלטה זו הינה תמרור אזהרה וסימן דרך חשוב לכל העוסקים בשיווק הדיגיטלי. ההחלטה מסייעת לנו להבין כיצד מצופה מחברות וסוכנויות פרסום דיגיטלי לפעול בעניין עדכון המשתמשים על איסוף מידע עליהם. והדרך לקבל את הסכמתם לאיסוף מידע.
עוד חשוב להבין, שהתחום הדיגיטלי, והשיווק בו, נמצא תחת ביקורת ספציפית של הרשויות באירופה, ומומלץ שלא לזלזל בכך. אשמח להשיב לשאלותיכם.
קצת על כותב המאמר: יורם ליכטנשטיין, עו"ד.
משרד עורכי דין יורם ליכטנשטיין, מוסמך הגנת מידע ופרטיות באירופה (CIPP-E), הינו משרד בוטיק חדשני ומקצועי. מתגאה ביכולתו למצוא את הפתרונות האופטימליים , תוך הקפדה על שירות אישי והדוק, מקצוענות וחדשנות בתחום של דיני אינטרנט, טכנולוגיה, היי-טק, מחשבים וקניין רוחני מגוון (כגון זכויות יוצרים, סימני מסחר, שמות מתחם ומסחר אלקטרוני).
