טעויות נפוצות ביישום תקנות ה-GDPR

תקנות הגנת המידע האירופיות החדשות, ה-GDPR, נכנסו לתוקפן ואי הוודאות סביבן גדולה. חברות רבות נוטות לחכות עד אשר החברות הגדולות יבצעו צעד או יקבלו החלטה, כדי להחליט כיצד ואם להתמודד עם הדרישות החדשות שמטילות התקנות. כך עשו חברות אשר הרימו עיניהן לפייסבוק (Facebook) וגוגל (Google), אשר בחודשים האחרונים יצאו במספר הצהרות אודות ציותן ל-GDPR, ואיתן מבול של עדכונים למדיניות הפרטיות של כל חברה.

כל זאת לא עזר, שכן ביום כניסת התקנות לתוקף, פעיל הפרטיות האוסטרי מקס שרמס הגיש תביעות ענק, בסך מצטבר של קרוב ל-8 מיליארד יורו, כנגד פייסבוק וגוגל, על אף פעילותן הענפה בחודשים האחרונים.

כשלים שורשיים בהבנה רוח התקנות ומשמעותן

תביעתו מדגימה לכאורה כיצד, בלהיטותן לעשות את כל הניתן כדי "לציית", חברות נוטות לעשות טעויות רבות, המצביעות על כשלים שורשיים בהבנה רוח התקנות ומשמעותן. להלן כמה מהטעויות הללו, ופתרונות שיאפשרו להימנע מהן:

ראשית, חשוב להבין כי ההתנהלות מול תקנות ה-GDPR צריכה להיות מסודרת, רוחבית, ולא נקודתית.  המטרה היא ללמד ארגונים לפעול בשגרה של הגנה על מידע ושמירה על פרטיות, ולא להנחיל תשתית חד-פעמית בכדי לצאת ידי חובה. אם חברות יתייחסו לעניין כ"פרויקט" חד-פעמי, תוך פרק זמן קצר, יידרש פרויקט נוסף, ועוד פרויקט וכן הלאה.

טעות נוספת היא ההנחה כי חברות צריכות לקבל הסכמה מפורשת בעבור כל פעולת עיבוד מידע שהן עושות, כאשר הסכמה מפורשת היא רק אחת מהחלופות שבתקנות לעיבוד חוקי. כך למשל, אין דרישה להסכמה מפורשת עבור כל פעולה ופעולה שפייסבוק עושה במידע שלנו, אלא רק לגבי פעולות עיבוד, שאינן נחוצות מבחינת מושא המידע לאספקת השירות המבוקש על ידו. לדוגמה, עבור העובדה כי שם המשתמש ותמונת הפרופיל ישמשו לצורך הצגת המשתמש בפייסבוק ואל מול משתמשים אחרים, תספיק הבהרה פשוטה במדיניות הפרטיות, ואין צורך לקבל הסכמה מפורשת לכך. הדבר אינו אומר, כמובן, שניתן להתעלם מהצורך ליידע את הלקוח או המשתמש באשר לשימוש שנעשה במידע שהוא מוסר, בהתאם לעיקרון השקיפות שקובעות התקנות.

 טעות נוספת, שנטענה גם כנגד פעילותה של פייסבוק, היא מחשבה כי לחיצה על "I agree" משמעותה כי הלקוח מעניק לחברה הסכמה חופשית לשימוש במידע האישי שלו. זו אחת מהעילות המרכזיות בתביעתו של שרמס, כאשר בתנאים החדשים שפייסבוק הציגה הייתה אפשרות להסכים, אך לא הייתה אפשרות לסרב.

ביחס לכך, יכולות פייסבוק וגוגל לטעון כי אם אינך מסכים, אז אינך מחויב, ואל תשתמש בשירות, אך טענה זו חותרת תחת משמעות התקנות. המקרה של פייסבוק וגוגל הינו ייחודי, שכן הן מהוות מעין מונופול בתחום, בהיותן חברות בעלות כוח רב. לכן, מחמירים ידבקו בביטוי "הסכמה חופשית" פשוטו ומשמעו, ויאמרו כי יש להעניק למשתמש את האפשרות לדחות חלק מהתנאים שמציעה החברה.

הסרת הסכמה קיימת ומחיקת מידע קיים  

חברות רבות נוטות "לטפל בחזית" בראש ובראשונה, ובצדק. הטיפול הזה כולל לרוב עדכון של מדיניות פרטיות וחידוש הסכמות. אולם, חידוש הסכמה צריך להיות מסונכרן עם פעולות נוספות – האפשרות להסיר הסכמה קיימת ומחיקת מידע קיים. הדבר צריך להיעשות בחכמה ולאחר בדיקה פנימית, עת תשלח בקשת חידוש הסכמה עבור לקוח שאין לו כלל זיכרון כי התקשר עם החברה, דבר אשר יעורר אצלו שאלות. לכן – חשוב להיות מוכנים גם מבחינת מענה ללקוחות.

בנוסף, רבות מהחברות נוטות להתעלם מעיקרון המינימליזם החוסה על ה-GDPR ושולחות ללקוחותיהן עדכוני מדיניות פרטיות באורך הגלות, בשפה שאינה מובנת למשתמש הממוצע ובאופן שלמעשה נוגד את התקנות. במקרה כזה, יימצא שגם החברות שעדכנו את מדיניות הפרטיות שלהן לא עומדות בדרישות התקנות.

עניין נוסף, הוא הנטייה של חברות לעשות מעין "צ'ק ליסט" ולנסות למלא כל סעיף בצורה השטחית ביותר באמצעות "העתק-הדבק". למשל, אם מידע נאסף לאור אינטרס חיוני, התקנות דורשות להסביר ללקוח מהו האינטרס החיוני שבגינו החברה אוספת מידע עליו. גוגל ופייסבוק, למשל, כתבו במדיניות הפרטיות שלהן כי "אנו משתמשים במידע שלך כדי לשמור על אינטרס חיוני שלך". אין זה הסבר מספק, כיוון שאינו מסביר מה הוא אותו אינטרס חיוני, באיזה מידע משתמשים בעבור אותו אינטרס חיוני ואיזה פעולות עיבוד נעשות עליו. ללא הסבר שכזה, ניתן להבין את הסקפטיות אודות "האינטרסים החיוניים" של המשתמשים, שפייסבוק מתיימרת להגן עליהם.

הכותבים הם עו"ד דן חי, העומד בראש משרד דן חי ושות', המתמחה בדיני טכנולוגיה, פרטיות וסייבר; ועו"ד רועי סננס, מרכז את תחום הדיגיטל וטכנולוגיות המידע המתקדמות במשרד דן חי ושות'.