עברית
English
Français
Deutsch
Русский
Español
简体中文
日本語
Dutch
Türkçe
שפה
עברית
English
Français
Deutsch
Русский
Español
简体中文
日本語
Dutch
Türkçe
דף הבית
אודותינו
בקצרה
נוכחות גלובלית
פרו בונו
תחומי התמחות
הצוות
חדשות ועדכונים
חדשות ועדכונים
עדכוני לקוחות
דירוגים
בלוג
הצטרפו אלינו
צור קשר
© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

עדכוני לקוחות
26 מרץ 2024
מאת אבישי קליין
מאשה יודשקין
         
אינטרנט
בנקאות ומימון
דיני עבודה
הייטק
ליטיגציה
לקוחות פרטיים
עמותות
מיסוי
משפט סביבתי
נדל"ן
רגולציה
שוק הון
תאגידים
תחרות והגבלים עסקיים
תשתיות

GDPR – קנס על חברה בשל אי עמידה בכללי איסוף מידע אישי

הרשות הצרפתית להגנת המידע הטילה לאחרונה קנס בסך 310,000 אירו על FORIOU, חברת שיווק טלפוני למועדוני לקוחות. הקנס הוטל בשל הפרת הוראות ה-GDPR בקשר לאיסוף מידע אישי. החברה רכשה מסוחרי נתונים (Data Brokers) פרטים אישיים של משתמשים, כאשר ההסכמה לשימוש במידע שהושגה מנושאי המידע הייתה פגומה, ובניגוד להוראות ה-GDPR.

החלטת הרשות הצרפתית

הברוקרים מהם רכשה החברה את הנתונים קיבלו את המידע באמצעות רישום של משתמשים באתרי גיימינג שונים. במסגרת הרישום, ניתן למשתמשים מידע מסוים לגבי השימוש העתידי במידע ובמסגרת זו נאספה ההסכמה שלהם.

 

לפי CNIL, האופן בו הושגה ההסכמה מהמשתמשים, ובפרט, האופן שבו הוצגו להם האפשרויות ביחס למידע, לא עומדים בדרישות ה-GDPR. לפיכך, FORIOU לא יכלה להסתמך על ההסכמה שהושגה, ולהשתמש בפרטים אלה לצרכיה.

 

בין היתר, CNIL קבעה כי FORIOU לא נרשמה ברשימת השותפים העסקיים אליהם עשוי להיות מועבר המידע האישי של המשתמשים, וכי הטפסים בהם השתמשו סוחרי המידע לא מאפשרים למשתמשים לממש את זכותם לבחירה חופשית, אלא בנויים באופן שמביא אותם להעדיף את הבחירה בהעברת מידע לסוחרת המידע ולשותפותיה העסקיות. האופן הבעייתי של בניית הטפסים, המכונה Dark Patterns, כלל במקרה זה מאפיינים כגון:

 

  • הצבת כפתורי הסכמה גדולים ומובחנים בצבע וכפתורי סירוב שאינם בולטים.
  • היעדר אפשרות להמשיך בשימוש באתר ללא מסירת מידע לשותפותיה של סוחרת המידע.
  • היעדר האפשרות להביע הסכמה באופן חד משמעי.

חשיבות ההחלטה

החלטת הרשות הצרפתית היא משמעותית כי היא מטילה אחריות ישירה על תאגיד. אחריות זו קיימת גם במצבים בהם איסוף המידע וקבלת ההסכמות מהמשתמשים נעשית על ידי צד שלישי ולא במישרין בידי התאגיד. ההחלטה מטילה חובה אקטיבית על חברות המבקשות לרכוש מידע אישי, לבדוק את כלל היבטי הפרטיות של פעילות הספקים. בכלל זאת, חלה עליהן חובה לבחון את האופן הפרטני בו החברה משיגה את הסכמות המשתמשים לשימוש במידע, ולא להסתמך בלעדית על המצגים החוזיים.

המלצות להמשך

על עסקים הרוכשים מידע אישי לצרכי שיווק, בפרט באירופה, או עסקים המסתמכים על ספקים להסכמת משתמשים לאיסוף המידע האישי שלהם, לבחון את אופן פעולת הספקים, ובכלל זאת:

 

  1. לבחון את אופן קבלת ההסכמה בפועל בידי הספק, ובפרט מראה הטופס והאפשרויות המוצעות למשתמשים.
  2. לוודא כי בעת העמדת המידע למשתמשים, מוצג להם כל המידע ביחס למטרות השימוש במידע האישי שלהם, העברתו לגורמים נוספים ופרטי גורמים אלה.
  3. לוודא כי קיים חוזה מסודר אשר מאפשר שיפוי במקרים בהם ההסכמה מנושאי המידע לא נלקחה כדין.
  4. לוודא כי ניתנת למשתמשים אפשרות לסרב למסירת הפרטים, או לקבל את השירות ללא מסירת פרטים לצדדים שלישיים.

 

***

 

מחלקת פרטיות ואבטחת מידע  וסייבר בברנע ג'פה לנדה עומדת לשירותכם בבחינת הסכמים וחוזים עם ספקים בתחום מאגרי המידע והפרטיות, ובסוגיות נוספות.

 

ד"ר אבישי קליין הוא שותף בברנע ג'פה לנדה, ועומד בראש המחלקה.

 

עו"ד מאשה יודשקין היא עורכת דין במחלקה.

תגיות: Dark Patterns | GDPR