© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

GDPR – קנס על חברה בשל אי עמידה בכללי איסוף מידע אישי

הרשות הצרפתית להגנת המידע הטילה לאחרונה קנס בסך 310,000 אירו על FORIOU, חברת שיווק טלפוני למועדוני לקוחות. הקנס הוטל בשל הפרת הוראות ה-GDPR בקשר לאיסוף מידע אישי. החברה רכשה מסוחרי נתונים (Data Brokers) פרטים אישיים של משתמשים, כאשר ההסכמה לשימוש במידע שהושגה מנושאי המידע הייתה פגומה, ובניגוד להוראות ה-GDPR.

החלטת הרשות הצרפתית

הברוקרים מהם רכשה החברה את הנתונים קיבלו את המידע באמצעות רישום של משתמשים באתרי גיימינג שונים. במסגרת הרישום, ניתן למשתמשים מידע מסוים לגבי השימוש העתידי במידע ובמסגרת זו נאספה ההסכמה שלהם.

 

לפי CNIL, האופן בו הושגה ההסכמה מהמשתמשים, ובפרט, האופן שבו הוצגו להם האפשרויות ביחס למידע, לא עומדים בדרישות ה-GDPR. לפיכך, FORIOU לא יכלה להסתמך על ההסכמה שהושגה, ולהשתמש בפרטים אלה לצרכיה.

 

בין היתר, CNIL קבעה כי FORIOU לא נרשמה ברשימת השותפים העסקיים אליהם עשוי להיות מועבר המידע האישי של המשתמשים, וכי הטפסים בהם השתמשו סוחרי המידע לא מאפשרים למשתמשים לממש את זכותם לבחירה חופשית, אלא בנויים באופן שמביא אותם להעדיף את הבחירה בהעברת מידע לסוחרת המידע ולשותפותיה העסקיות. האופן הבעייתי של בניית הטפסים, המכונה Dark Patterns, כלל במקרה זה מאפיינים כגון:

 

  • הצבת כפתורי הסכמה גדולים ומובחנים בצבע וכפתורי סירוב שאינם בולטים.
  • היעדר אפשרות להמשיך בשימוש באתר ללא מסירת מידע לשותפותיה של סוחרת המידע.
  • היעדר האפשרות להביע הסכמה באופן חד משמעי.

חשיבות ההחלטה

החלטת הרשות הצרפתית היא משמעותית כי היא מטילה אחריות ישירה על תאגיד. אחריות זו קיימת גם במצבים בהם איסוף המידע וקבלת ההסכמות מהמשתמשים נעשית על ידי צד שלישי ולא במישרין בידי התאגיד. ההחלטה מטילה חובה אקטיבית על חברות המבקשות לרכוש מידע אישי, לבדוק את כלל היבטי הפרטיות של פעילות הספקים. בכלל זאת, חלה עליהן חובה לבחון את האופן הפרטני בו החברה משיגה את הסכמות המשתמשים לשימוש במידע, ולא להסתמך בלעדית על המצגים החוזיים.

המלצות להמשך

על עסקים הרוכשים מידע אישי לצרכי שיווק, בפרט באירופה, או עסקים המסתמכים על ספקים להסכמת משתמשים לאיסוף המידע האישי שלהם, לבחון את אופן פעולת הספקים, ובכלל זאת:

 

  1. לבחון את אופן קבלת ההסכמה בפועל בידי הספק, ובפרט מראה הטופס והאפשרויות המוצעות למשתמשים.
  2. לוודא כי בעת העמדת המידע למשתמשים, מוצג להם כל המידע ביחס למטרות השימוש במידע האישי שלהם, העברתו לגורמים נוספים ופרטי גורמים אלה.
  3. לוודא כי קיים חוזה מסודר אשר מאפשר שיפוי במקרים בהם ההסכמה מנושאי המידע לא נלקחה כדין.
  4. לוודא כי ניתנת למשתמשים אפשרות לסרב למסירת הפרטים, או לקבל את השירות ללא מסירת פרטים לצדדים שלישיים.

 

***

 

מחלקת פרטיות ואבטחת מידע  וסייבר בברנע ג'פה לנדה עומדת לשירותכם בבחינת הסכמים וחוזים עם ספקים בתחום מאגרי המידע והפרטיות, ובסוגיות נוספות.

 

ד"ר אבישי קליין הוא שותף בברנע ג'פה לנדה, ועומד בראש המחלקה.

 

עו"ד מאשה יודשקין היא עורכת דין במחלקה.

תגיות: Dark Patterns | GDPR