אוראקל

GDPR, ePR ותביעות ייצוגיות בתעשיית ה-ADTECH

ביום שישי האחרון הוגשה באמסטרדם בקשה לאישור תביעה ייצוגית חדשה ביחס להפרת ה-GDPR בתעשיית ה-ADTECH. כן כן. 10 מליארד אירו, לא פחות. חשבתי שחשוב שאציג אותה בפניכם ואסייע לכם לחשוב בנושא ואולי קצת להתאים את התנהגותכם לנדרש. לשם כך הכנתי מדריך מפורט שההפניות אליו מופיעות למטה כמו גם הסברים מתאימים.

ה-"אד-טק" היא תעשיה שעיקרה זרמי מידע בהיקף עצום שנועדו להתאים, בזמן אמת, פרסומות רלוונטיות לגולשים מעוניינים. ברשתות פרסום גדולות ובאתרים גדולים, אנשים שונים שנכנסים לעמוד מסויים באותו זמן ממש יראו פרסומות שונות. הסיבה לכך היא מערך מחשוב עצום שמטרתו "להבין" את הנושאים שמעניינים את המשתמש הספציפי ולהתאים לו פרסומות שהוא עלול או עשוי להקליק עליהן וליצור רווח למפרסם ולאתר.

המדובר בתעשיה רחבת היקף שיש לה פנים משפטיים רבים (למשל ממש לאחרונה נתתי פסק בורר בסכסוך שהיה בין שני ארגוני אד-טק).

כבר לפני זמן מה הכנתי עבורכם מדריך המתמקד בשאלות של פרטיות בתעשיית ה-AdTech ובוחן את ולרגולציה החדשה המתרגשת ובאה עלינו, ה-ePR.

מי שרוצה לקרוא את המדריך שהכנתי ביחס לתעשיה ורגולציה זו זו, מוזמן לעיין במאמרים כאן (הוספתי גם מאמרים אחרים בנושא שאולי יעניינו אתכם):

על מנת שניתן יהיה להתאים פרסום למשתמש ספציפי (זו המטרה העיקרית של תעשיית האדטק), יש לבצע מעקב אחרי פעילויותיו המקוונות של אותו משתמש (מהיכן הגיע, איזו כתבה הוא קורא, מה עניין אותו בעבר, היכן הוא נמצא וכדומה). רק על בסיס מידע אישי כזה, ניתן להציג בפניו פרסומות שיהיו רלוונטיות (יחסית) אליו באמצעות הצעת הצעות בזמן אמת (Real-Time-Bidding, RTB). כך פועלים האתרים בתחום בעצם ימים אלו.

מטבע הדברים, הסטנדרטים שמוטמעים ב-GDPR מנוגדים "מעט" לדרך בה התעשיה הזו מתנהלת בימים אלו. בעניין זה אפילו ה-ICO (רשות הגנת הפרטיות) הבריטי כבר הביע את דעתו שתעשיית האדטק (Adtech) סובלת מבעית חוקיות קלה… ותוכלו לקרוא על כך בקישור למעלה.

התביעה היצוגית החדשה שהוגשה לאחרונה מתווספת לרשימת תביעות לא מבוטלת שכבר הוגשה (וחלקן אף אושרו) בעילות הכרוכות בהפרת הפרטיות וה-GDPR. התביעה מתמקדת ב-Salesforce וב-Oracle ועיקרה הקוקיות (cookies) בהן עושים אתריהן שימוש ובעיקר, במידע הנאסף באמצעותן ללא הסכמת המשתמשים וללא יידועם.

מי שמכיר את ה-GDPR יודע שהסכמה צריך שתהיה מיודעת, ספציפית ונמסרת בחופשיות וללא כל התניה. סיילספורס ואוראקל עשו שימוש בקוקיות (בעיקר Bluekai ו-Krux – קוקיות פופולאריות שנמצאות באתרים רבים אחרים דוגמת בוקינג, אמאזון ואחרים) ובכך עקבו אחר משתמשיהם האירופיים, כך נטען, מבלי ליידע אותם ומבלי לקבל את הסכמתם לשימוש במידע אודותיהם.

תביעה זו מציפה את מצב הדברים ההכרחי – ה-GDPR דורשת קבלת הסכמה על שימוש במידע. בפועל, הסכמה כזו בתעשיות הדיגיטליות כמעט ואינה מתבקשת (לפחות לא בהיקף הנדרש ברגולציה האירופית). אין באמת מצב בו אדם מן הישוב יהיה מסוגל לתת הסכמה מדעת להפעלת קוקיות שונות, ועד היום הסכמה כזו גם לא נדרשת על ידי האתרים עצמם. מהטעם הזה, רבים מלקוחותי בתחום ה"אד-טק" די כועסים עלי – אני דוחק בהם להיות הרבה יותר גלויים וברורים מאשר כל מתחריהם.

מצב דברים זה מוביל פעמים רבות את לקוחותי "לכעוס" על הדרישות הלא הגיוניות לכאורה שאני מציג בפניהם. נדמה שתביעה ייצוגית שכזו מסבירה ללקוחותי, שכדאי להקשיב לעצות שאני נותן להם…

ועכשיו מסקנות והצעות לפעולה. חברות בתעשיית האדטק:

  • גשו לייעוץ משפטי ועשו כל שביכולתם כדי לעמוד בדרישות הרגולציה האירופית. לא חייבים להשיג התאמה של 100%, אבל להתעלם מהחוק עלול לגרום לתוצאות קשות…
  • נכון ש"כולם" לא אכפת להם מהחוק. אבל אולי בכל זאת ראוי לחשוב פעמיים ולאמץ סטנדרטים קצת יותר קפדניים שיקלו על החשיפה המשפטית שעלולה ליפול בפניכם?

על מנת לצמצם את הסיכון, שווה לשקול להציג בעמוד הכניסה לאתר המשתמש בקוקיות הודעה כזו או אחרת שמציינת את השימוש בקוקיות, נותנת למשתמשים מידע על כך ומאפשרת להם בחירה והסכמה.

נכון, קיים סיכון ידוע שחלק מהמשתמשים לא יבינו ואחרים פשוט יצאו מהאתר. אבל גם בנסיבות האלו, שווה לשקול נקיטת אמצעי זהירות שיותאמו לפעילות האתר שלכם. תביעה ייצוגית כגון זו מלמדת אותנו מדוע.

הערה: האמור מעלה ובקישורים המצורפים הוא תאור כללי שאינו מחליף ייעוץ מקצועי בכל מקרה ספציפי. אין להסתמך עליו שכן בהכרח אינו ממצה.

אם תרצו לקרוא עוד על הגנת הפרטיות בארץ וה-GDPR באירופה, ליחצו על הקישור.