קנסות לפי ה-GDPR ניתנים גם מחוץ לאירופה

יורם ליכטנשטיין עורך דין 22.01.2019 עודכן ב-16.08.2023

קנס בסך 50 מליון אירו לתאגיד שאינו אירופי. ההפרה: הפרת השקיפות וההסכמה הנדרשים

במאמר זה אציג לכם את מדיניות רשות הגנת הפרטיות הצרפתית, CNIL, שקבעה קנס ראשון לתאגיד שאינו אירופי מכוח ה-GDPR בשל הפרת הוראות הרגולציה. התאגיד – Google. הקנס – 50 מליון אירו…

נושא הקנס: הפרת ה-GDPR נושאי שקיפות וקבלת הסכמה בעת הפעלת מכשירי אנדרואיד.

התאריך: ינואר 2019.

המטרה: שתזהרו ותתאימו את העסק שלכם לחובות שאולי מוטלות עליכם ולא הייתם מודעים להן.

החלת הקנס על חברה שאינה באירופה

הקביעה המעניינת הראשונה של CNIL היתה ש-Google אירלנד אמנם הינה המשרד הראשי באירופה של גוגל, אך הגורם שבכוחו להתוות את אופן ההתנהלות בנושא הזה נמצא בארה"ב (במאונטיין ויו) ולא באירלנד, ולכן הקנס הוטל על תאגיד שאינו אירופי. התלונה הוגשה בשם אזרחים אירופים שהמידע אודותיהם נאסף ועובד.

די בכך כדי להיות אות אזהרה לכולנו אם אנחנו עושים שימוש במידע אודות אירופאים, גם אם אנו איננו נמצאים פיזית באירופה.

הקנס עצמו התבסס על שתי עילות: העדר שקיפות, והליך הסכמה שאינו ראוי. נבחן אותם.

העדר השקיפות בניגוד לנדרש ב-GDPR

"השקיפות" עליה מדובר, מחייבת את אוסף המידע (Google) לתת פירוט משמעותי של נתונים רבים (שאת פירוטם תוכלו למצוא בסעיפים 13 ו-14 לרגולצית הגנת הפרטיות האירופית). למשל – מה מטרות האיסוף והעיבוד? מה קטגוריות המידע שנאסף? מה משך שמירת המידע ומתי ימחק? וכדומה.

במקרה הזה קבעה CNIL כי גוגל אמנם סיפקה את כל אותו מידע למשתמשים, אך פיזרה אותו לאורך מספר מסמכים. הדרך להגיע אליו לא היתה תמיד פשוטה. למשל כדי לדעת כיצד מעובד המידע אודותי לשם יצירת פרסומות אישיות המותאמות אלי היה עלי לעבור 5 או 6 שלבים עד שאוכל להבין את התשובה.

במיוחד כאשר הטקסט עצמו בו השתמשה Google נוסח בצורה רחבה ולא מדוייקת.

ההסכמה לא ניתנה בדרך שנקבעה ברגולצית הגנת הפרטיות

Google מדגישה במהלך הכנת המכשיר, שיצירת חשבון גוגל ומתן הסכמת המשתמש לאיסוף פרטיו תשפר בצורה משמעותית את תפקוד המכשיר ולכן חשוב להתיר זאת. לקביעת CNIL – בניגוד לרגולצית הגנת הפרטיות באירופה שאוסרת את התנית השירות באיסוף המידע.

גוגל אף לא הסבירה למשתמשים, שהסכמה לפרסומות מותאמות אישית תתפרס על מכלול שירותיה של Google (גוגל מפות, יוטיוב ואחרים) ולא פירטה את אותם שירותים שישתמשו במידע.

ההסכמה המתבקשת בעת פתיחת החשבון על ידי Google מהמשתמש אינה ספציפית (לכל עיבוד או שימוש) ואינה חד משמעית. אם למשל אני, כמשתמש, איני מעוניין לתת את הסכמתי לשימוש במידע אודותי ביחס לפרסומות מותאמות אישית, אצטרך למצוא את הרכיב המאפשר "אופטינג אאוט" תחת הקישור "More options" באופן שלא פשוט לאתר אותה.

האופציה לשתף מידע היתה מסומנת מראש (pre-ticked) – איסור לפי ה-GDPR.

גם התיבה לפיה "I agree to the processing of my information as described above and further explained in the Privacy Policy" היתה מסומנת מראש ע"י Google – עוד איסור לפי ה-GDPR.

מסקנה לחברות שאינן אירופיות – התאימו את התנהלותכם לרגולצית הגנת הפרטיות באירופה

אכן, הפסיקה והקנס האמורים מתייחסים לגוף בעל פעילות משמעותית כמו גוגל. יקח זמן עד שרגולצית ה-GDPR תגיע לגופים בהיקפים יותר קטנים מגוגל, אך כנראה לא זמן רב.

אנא בידקו את עצמכם, ראו האם אתם כפופים לרגולצית הפרטיות באירופה, ואם כן – אנא התאימו את עצמכם.

משרדנו ישמח לסייע לכם. אנא דברו איתנו – 03-6133333.

אם תרצו לקרוא עוד על הגנת הפרטיות בארץ וה-GDPR באירופה, ליחצו על הקישור.

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-22.12.2022.

טקסט זה נכתב בינואר 2019 ונבדק לאחרונה באוגוסט 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.

האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.