eprivacy regulations

מה זו "הסכמה" לפי ה-GDPR וה-EPR?

יורם ליכטנשטיין עורך דין 29.05.2019 עודכן ב-18.09.2023

מדריך משפטי בחלקים ל-ePrivacy Regulation (ול-GDPR) – פרק ג'

זה הוא פרק שלישי במדריך לרגולצית הגנת הפרטיות בתקשורת ובשיווק דיגיטלי (ה-ePR). כל פרקי המדריך נמצאים כאן, כאן, כאן וכאן. על הגנת הפרטיות בכלל תוכלו ללמוד עוד בלינק זה.

במאמר זה אסביר את פרשנותו המשפטית של המונח "הסכמה" שבפועל הוא מרחיב בצורה משמעותית ולכן חשוב שתכירו אותו. חשיבותה של הסכמה היא גם ב-GDPR וגם ב-ePR.

מדריך זה נכתב בחודש מאי 2019 טרם חוקקה הרגולציה או ניתנו פסקי דין בעקבותיה. המחוקק האירופי אף עשוי לבצע שינויים בטקסט החקיקה שלא נכללים במדריך זה. לכן – אנא אל תסתמכו על האמור במאמרים אלו זה כמחליפים ייעוץ משפטי ספציפי או כממצים את כל תנאי הרגולציה. האמור הוא להשכלה כללית בלבד ויש לבדוק כל מקרה לגופו, לרבות את נוסח החקיקה עצמו על כל פרטיו.

להלן אסקור את הרכיבים העיקריים הנדרשים מ"הסכמה": לפי ה-GDPR, והם מקבילים גם ב-ePR. פרק זה מתייחס לשתי הרגולציות כאחת.

  • מיודעת

חובה על מבקש ההסכמה לספק לנמען את כל המידע הרלוונטי, על מנת שכשיתן את הסכמתו היא תהיה מיודעת וסבירה.

ברגולצית הפרטיות (ובדומה גם ברגולצית נתוני התקשורת) היקף המידע הנדרש מפורט בסעיפים 12-14, והוא כולל למשל את הפרטים הבאים: זהות אוסף המידע והשולט בו, זהות נציגו האירופי, פרטי הקשר שלהם, מטרות איסוף המידע, האינטרס הלגיטימי לאיסוף, קטגוריות מקבלי המידע והנחשפים אליו, העברת המידע לצדדים שלישיים, משך תקופת שמירה המידע ומחיקתו, זכויות הפרט במידע, הזכות להתלונן אצל רשויות הגנת הפרטיות האירופיות וכדומה.

כלומר רכיב היידוע הוא רכיב שנדרש בצורה מאוד מפורטת וחשוב להקפיד על כל רכיביו.

  • נכונה, מדוייקת:

נדמה שעל תיאור זה אין הרבה מה להרחיב. הפרטים שנמסרים לנשואי המידע צריך שיהיו נכונים ומדוייקים.

  • חופשית:

גם רכיב זה ברור. אסור שיופעל על נשוא המידע לחץ להסכים. לדוגמא, כאשר המעסיק שלי "מבקש" ממני בעדינות להסכים, הרי הסכמתי אינה חופשית.

  • לא מסומנת מראש:

אסור שההסכמה תהיה מסומנת מראש. ברירת המחדל המסומנת חייבת שתהיה "איני מסכים". רק אם נשוא המידע שינה את ההגדרה בעצמו, הרי הדבר יחשב כהסכמה.

  • ללא התניה:

אסור להתנות את מתן השירות בהסכמה. כלומר, "אם לא תמסור בידינו את המידע, לא תוכל לקבל מאיתנו שירות" הוא תנאי שבמרבית המקרים (למעט חריגים* לא יתקבל.

  • חד משמעית (וברורה):

המדובר כמובן בשתי פנים של אותה מטבע. ניסוח ההסכמה צריך להיות ברור על פניו, שהקורא – המסכים – יבין שמסר את הסכמתו, ולמה הסכים.

  • ביחס לכל אחד מרכיבי הפעולה:

יש לנתח את השימוש שיתבצע במידע, ולהסביר את כל רכיביו לנשוא המידע. אמנם, אין חובה להכנס לכל הפרטים אולם לפחות בצורת התייחסות לקטגוריות, יש לנסות ולכסות את כל פרטי האיסוף, העיבוד, השימוש וההשמדה. דוגמא נוחה לכך ניתן ליצור באמצעות טבלה כגון זו (דוגמא חלקית בלבד) –

רכיב המידע מטרת האיסוף העיבוד שיבוצע למי יועבר מתי יושמד
פרטי קשר שמירה על קשר ואספקת הסחורה שמירה וקריאה לשירותי השליחויות לאחר השלמת המסירה
פרטי כרטיס אשראי ביצוע התשלום שמירה וסליקת התשלום מסירה לספק שירותי הסליקה לאחר אישור ביצוע העסקה
פרטי סחורה נמכרת ומחיר תיעוד ותשלומי מיסים שמירה וקריאה לרשויות המס, אם ידרש עם סגירת דו"ח המס לשנת הרכישה

  • בולטת:

הכללת (והבלעת) ההודעה במסמך משפטי ארוך בן 20 עמודים – לא די בה. גם אם הוכן כזה מסמך (מדיניות הפרטיות המלאה), חובה להדגיש את הפרטים החשובים בעמוד הראשון, בצורה קריאה ומובדלת מיתר הטקסט. אחרת, ההסכמה לא תחשב כבולטת ומיודעת מספיק.

  • ניתנת לביטול:

משנתן אדם את הסכמתו, חובה על העסק לאפשר לאותו אדם למשוך את הסכמתו בדרך קלה, נוחה וללא דיחוי. הכבדה על הביטול (למשל בצורה שונה ונוקשה יותר מהדרך בה הושגה ההסכמה), אינה כדין.

למדריך כולו ראו בקישורים למעלה.

חשוב: שימו לב!
טקסט זה נכתב במאי 2019 ונבדק לאחרונה בספטמבר 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.