e marketing

האם ה-GDPR מחייבת קבלת הסכמה מחודשת לשיווק דיגיטלי?

"האם אני חייב לקבל הסכמה מחדש לכל כתובות המיילים שאספתי לפי ה-GDPR?"

נדמה שלא היתה שאלה שנשאלה אצלי במשרד בשנה האחרונה יותר משאלה זו. אנסה להשיב. ונתחיל בהתחלה.

הערה: מאמר זה נכתב בשנת 2018, ולכן יתכן שקיימים בו רכיבים שיתאימו פחות לעניין שלכם. אין להסתמך עליו כתחליף לייעוץ משפטי בכל סוגיה ספציפית אלא כהשכלה כללית בלבד. אתם מוזמנים להתקשר אלינו ולבדוק את הנושא שבפניכם.

רסיטל (מבוא) 171 ל-GDPR קובע –

"… it is not necessary for the data subject to give his or her consent again if the manner in which the consent has been given is in  line with the conditions of this Regulation."

ובעברית – אם פעלתם לפי ה-GDPR לפני שהיא נכנסה לתוקף, אינכם צריכים לבקש הסכמה שוב אחרי שהיא נכנסה לתוקף… הממממ… אתם מכירים מישהו שעשה כך?

אבל נבדוק את ה-GDPR. תחילה חשוב להבהיר שהרגולציה האירופית אינה מתייחסת כלל למשלוח דואר שיווקי או לדיוור ישיר. אלא שעיסוקה היחיד הוא באיסוף המידע, ניתוחו והשימוש בו.

כיוון שכך, שימוש במידע לשם שיווק מחייב בראש וראשונה קביעת מטרה מוגדרת ומציאת הביסוס החוקי לה.

שיווק ישיר, הינו אחת מהמטרות שה-GDPR מכירה שכמטרה שיש לה בסיס חוקי, והבסיס הוא: איזון האינטרסים בין אינטרס השולט במידע לאינטרס נשוא המידע. מטבע הדברים, כשנסתמך על בסיס חוקי שכזה, האיזון חייב לקחת בחשבון בצורה משמעותית את אינטרס הפרטים, ולכן היקף המידע הנאסף ומידת רגישותו חייב שיהיו מינימליים ככל האפשר, בנסיבות.

לדוגמא, ככל שנאסוף רק שם ופרטי קשר – דומה שהסיכון לפרטיות נשוא המידע הינו מינימלי, ולכן באיזון – לא תהיה בעיה לשלוח שיווק ישיר על בסיס אינטרס לגיטימי זה. מאידך, אם נוסף על פרטי הקשר נאסוף היסטורית רכישות אונליין והיסטורית גלישה באתרים שונים ונפעיל לשם כך "קוקיות", הרי רגישות המידע והסיכון לפרטיות יגדלו, עד שיהיו מקרים שבהם יהיה ברור שחל איסור על איסוף המידע ושימוש בו.

השאלה היכן היא נקודת האמצע היא שאלה פתוחה, שעד שלב זה טרם נענתה, וחובה לקחת זאת בחשבון על בסיס ניתוח מקצועי מעמיק של ה-GDPR ודיני הגנת הפרטיות האירופיים.

מרגע שמצאנו בסיס חוקי לגיטימי ופעלנו לפיו, אין חובה לקבל הסכמה, וניתן להחליפה בשיקול דעת מתועד ומלא של הבסיס החוקי והאיזון שהושג (ותועד) במסגרתו.

 

ה-e-Privacy Directive והשפעתה:

בנוסף ל-GDPR הרי ששיווק ישיר באירופה כפוף ל-e-Privacy Directive (הדירקטיבה לפרטיות ולתקשורת אלקטרונית), וו מקבילה בתפקידה ל"חוק הספאם" הישראלי. חובה לעמוד גם בכללים שנקבעו שם בעת משלוח מסרים שיווקיים.

בתמצות המתעלם מיוצאי דופן, הדירקטיבה יוצרת מנגנון של אישור משלוח מסרים פרסומיים על בסיס opt-out במקרים מסויימים ו-opt-in במקרים אחרים (לצערי ה"אופט-אין" מחוייב כשמדובר במשלוח דוא"ל והודעות טקסט, סמס). לכן חשוב לבדוק את פעולת השיווק הישיר אותה אתם מבצעים ולראות איזה מבין המנגנונים חל עליה.

יש לשים לב שהדירקטיבה עוברת בעצם ימים אלו (יוני 2018) רפורמה, ובעתיד תחליף אותה רגולציה תואמת. הציפיה היתה לפרסומה בחודש מאי 2018, אולם הדבר בינתיים עוד לא בוצע. כאשר תפורסם הרגולציה, יהיה משמעות הדבר תחולה ישירה וגורפת הרבה יותר של חקיקה במדינות ספציפיות באירופה ועם השפעה נרחבת הרבה יותר, בדומה ל-GDPR).

 

בסופו של יום, מסקנות:

  1. חלקים מאמצעי השיווק הישיר באירופה (דוגמת דברי דואר רגילים) הם במודל של opt-out ואינם מחייבים הסכמה.
  2. חלקים אחרים, כבר כיום מחייבים opt-in (כלומר הסכמה), והעניין יוסדר כנראה בצורה מחוזקת יותר בקרוב.
  3. כך או אחרת, איסוף המידע והשימוש בו כפופים ל-GDPR ולכן צריך: 1. הסכמה למטרות השיווק והליך האיסוף, בהתאם לדרישות הרגולציה האירופית, או 2. מציאת בסיס חוקי מתאים כמו אינטרס לגיטימי (המחייב איזון אינטרסים זהיר מאוד בין העסק לין נשואי המידע).

מקווה שבכך הבהרתי קצת יותר את התמונה.

אם תרצו לקרוא עוד על הגנת הפרטיות בארץ וה-GDPR באירופה, ליחצו על הקישור.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-26.12.2022.