הנחיות חדשות באיחוד האירופי מחדדות את הוראות ה-GDPR ביחס לשימוש ב"דפוסי עיצוב מטעים" באתרים ופלטפורמות ולהעברות מידע אישי מחוץ לגבולות האיחוד האירופי
תקנות הגנת המידע של האיחוד האירופאי ("GDPR") לעיתים מפרטות כללים ועקרונות רחבים, שמגובים בסעיפים ודברי הסבר מנחים. אופן היישום של כללים אלו לרוב נלמד מהפרקטיקה, או ממסמכים רשמיים שמפורסמים על ידי הרגולטורים השונים, שעל חוקיותם ונכונותם קשה לערער. עם הזמן, וככל שפרקטיקות איסוף המידע מתפתחות בתאוצת העולם הדיגיטאלי, מתגלים פערים בהבנת הדרישות הקונקרטיות ליישום אותם עקרונות כללים. יש בפרשנות שונה כאמור של יישום הכללים, השפעה שמייצרת פער בתפיסה הכוללת של מה נכנס בגדר ציות לרגולציה ומה לא. דבר, שפוגע בהסתמכות חברות שלפי תפיסתן פועלות לאורה, וכן שיש בו כדי לעכב התקשרויות מסחריות שמבוססות על שיתוף מידע, מיזוגים ורכישות, שיתופי פעולה ועוד. מועצת הרשויות הלאומיות להגנת מידע של מדינות האיחוד האירופי (European Data Protection Board – "EDPB") פרסמה לאחרונה שתי הנחיות שנפרט להלן, כאשר כל אחת לחוד, מתייחסת לעקרונות רחבים המנויים ב-GDPR, ומספקת הסבר על עקרונות אלו, יחד עם מתן הנחיות אופרטיביות שמסייעות להבנה יותר ברורה של הנדרש לציות להן.
"דפוסי עיצוב מטעים" – כללים מנחים בראי דיני הגנת מידע ופרטיות
העיסוק בציות לדיני הגנת המידע והפרטיות, לרוב כרוך בגיבוש מסמכי מדיניות פנימיים, התאמת מדיניות פרטיות לפעולות עיבוד מידע, הסדרת מאגרי מידע ואבטחתם ויצירת מסמכים רגולטוריים וחוזיים. נושא הציות הרגולטורי כשלעצמו, אינו נכנס לעובי הקורה של עיצוב אתרים וחווית משתמש. עם זאת, בהנחיה רשמית חדשה שפורסמה באיחוד האירופאי, נושא הפרטיות מקבל דגש מרענן, כאשר הוא מיושם בהקשר של עיצוב אתרים ובניה ותכנון של מסע וחווית משתמש, כך שיתאימו לעקרונות המקובלים בדיני הגנת מידע ופרטיות, ובפרט אלו המפורטים ב-GDPR.
לאחרונה, ה-EDPB פרסמה הנחיה אשר עוסקת באופן שיש לבחון ולהימנע מדפוסי עיצוב דיגיטליים אשר יש בהם כדי להטעות משתמשי פלטפורמות חברתיות ("ההנחיה"). בהתאם להנחיה, פעילות כאמור מגלמת הפרות שונות של ההוראות המנויות ב-GDPR. בעוד ההנחיה מוכוונת למפעילי פלטפורמות חברתיות ולמשתמשים בהן, היא מפרטת על עקרונות חשובים שרלוונטיים למגוון רחב של אתרים ופלטפורמות אשר אוספים מידע אישי. בנוסף למתן דוגמאות של דפוסי עיצוב מטעים, ההנחיה מספקת גם המלצות לשיטות עבודה שמנחות כיצד יש להטמיע ממשקי משתמש מסוימים בהתאם לעקרונות ה-GDPR.
"דפוסי עיצוב מטעים" מוגדרים כממשקים המיושמים בפלטפורמות ואתרים שונים, אשר משפיעים על המשתמשים לבצע החלטות לא מכוונות ולא רצוניות. כתוצאה מכך, ההשפעות עלולות לפגום בהחלטת המשתמשים, והן נוגדות את טובת המשתמשים ומקדמות את האינטרסים של הפלטפורמות, על חשבון טובת המשתמשים.
ה-EDPB מספקת דוגמאות קונקרטיות לדפוסי עיצוב מטעים למיניהם, שבהם המשתמש נתקל בעודו עושה שימוש בפלטפורמה. דפוסים אלו יכולים להופיע במהלך תהליך הרישום, באופן הצגת מדיניות הפרטיות, באופן היידוע בכל הנוגע לאירועי אבטחת מידע, בניהול קבלת הסכמת המשתמש, ביידוע ומתן זכויות המשתמשים בקשר למידע האישי שלהם ולבסוף, בסגירת חשבון המשתמש בפלטפורמה החברתית.
ההנחיה מתייחסת לדפוסי עיצוב מטעים לפי החלוקה לקטגוריות שלהלן:
- עומס יתר (Overloading): כאשר נדרש ממשתמשים לספק מידע רב יותר מהדרוש לצורך פעילות מסוימת (לדוגמה, הליך ההרשמה) או שהמשתמשים נאלצים להתמודד עם כמות גדולה של בקשות, מידע, או אפשרויות על מנת לגרום להם לשתף מידע עודף או ליצור סיטואציות בהן בפועל מפעיל הפלטפורמה מעבד מידע אישי של המשתמשים בניגוד לציפייה הסבירה שלהם. לדוגמה – כאשר יש ניסיון להפעיל לחץ על המשתמש לשתף את מספר הטלפון, על מנת לזהות ולאמת את חשבונו, בעוד שיש אלטרנטיבות אחרות לזיהוי ואימות המשתמש ללא שיתוף מספר הטלפון.
- דילוג (Skipping): עיצוב ממשק המשתמש או מסע המשתמש בצורה שהמשתמשים שוכחים או לא חושבים על כל היבטי הגנת המידע. לדוגמה – מבין כמה אפשרויות לשיתוף מידע שהמשתמש נדרש לבחור מבניהן, האופציה שמצריכה מהמשתמש לשתף הכי הרבה מידע מסומנת מראש.
- ערבוב (Stirring): יצירת השפעה על המידע שמונגש למשתמשים באמצעות הסוואה (Hidden in plain sight) או השפעה על המידע שהמשתמש בוחר לשתף באמצעות השפעה רגשית (Emotional steering). לדוגמה – שימוש בפונט קטן/צבעים זהים ללא קונטרסט בכל הקשור למידע או לינקים העוסקים בהגנת פרטיות המשתמש, זאת לעומת תוכן אחר באתר.
- חסימה (Obstructing): עיכוב או חסימה של משתמשים בתהליך קבלת המידע או ניהול נתוניהם על ידי הפיכת הפעולה לקשה או בלתי אפשרית לביצוע. לדוגמה – כשמשתמש בוחר לא לשתף מידע מסוים, חלון 'פופ-אפ' מופיע עם השאלה "אתה בטוח?", בעוד שבחירה בשיתוף מידע לא גורמת להופעת חלון 'פופ-אפ' דומה.
- חוסר עקביות (Fickle): כאשר עיצוב הממשק אינו עקבי ואינו ברור, מה שמקשה על המשתמשים לנווט לאמצעים שונים הנועדו להגן על המידע שלהם ומקשה על המשתמשים להבין את מטרת עיבוד המידע שלהם. לדוגמה – אתר המציע את שירותיו בשפה העברית ובשפה האנגלית, אך כאשר לוחצים על לינק מדיניות הפרטיות, היא זמינה בשפה אחת בלבד.
- חוסר וודאות (Left in the dark): ממשק המתוכנן באופן כזה המסתיר מידע מהותי על פרטיות המשתמשים או מטשטש כלי בקרה להגנה על פרטיות המשתמשים. לדוגמה – מדיניות הפרטיות לא מציינת באופן מדויק איזה מידע נאסף מהמשתמשים וקיים שימוש במונחים מעורפלים בסגנון "אנו עשויים לאסוף מידע X או Y לגביך".
כל דפוסי העיצוב המטעים שצוינו לעיל מעוצבים כדי להשפיע על התנהגות המשתמשים, ובדרך כלל מסתמכים על הטיות קוגניטיביות, ומונעים מאינטרס לעכב את יכולת המשתמש להגן ביעילות על הנתונים האישיים שלו. דפוסים אלו מופיעים הן בפלטפורמות חברתיות, אך גם בכל פלטפורמה מסוג אחר, אתרי מכירה, אתרי תדמית, ואמצעים שיווקיים שעושים בהם שימוש למשיכת קהל לקוחות.
היחס בין תקנה 3 לפרק חמש ב-GDPR – התייחסות ה-EDPB
ה-EDPB פרסמה גם הנחיה הנוגעת ליחס בין תקנה 3 ל-GDPR לבין הוראות הנוגעות להעברת מידע בינלאומית המוסדרות בפרק 5 ל-GDPR. הנחיה זו כוללת קריטריונים להגדרת פעולת עיבוד מידע כהעברה בינלאומית (Data Transfer) ועל צעדים אשר יש לנקוט בהתאם לסיווגה כהעברת מידע בינלאומית.
ראשית, נזכיר את הסעיפים המרכזיים בבסיס ההנחיה:
- סעיף 3 ל-GDPR – קובע את תחולת ה-GDPR. התנאים החלופיים: (1) מקום מושבו של מעבד המידע הוא בגבולות האיחוד האירופי; או (2) מקום מושבו אינו בגבולות האיחוד האירופי, אך הוא (I) מעבד מידע על נושאי מידע באיחוד האירופי בקשר להצעה של מוצרים או שירותים הקשורים לנושאי המידע (II) מנטר את התנהגות נושאי המידע באיחוד האירופי, ככל שההתנהגות מבוצעת באיחוד האירופי.
- פרק 5 ל-GDPR – קובע את ההוראות החלות במקרה של העברת מידע בינלאומית. מטרת סעיף זה היא להבטיח את המשך ההגנה על המידע האישי לאחר ההעברה מהאיחוד האירופי. הרציונל הוא שכאשר מידע מעובד בתחום גבולות האיחוד האירופי, עיבוד המידע נהנה מההגנה החזקה שניתנת מכוח ה-GDPR וחוקים מדינתיים נוספים; לכן, ישנה הנחה כי רמת ההגנה על מידע שמעובד מחוץ לאיחוד האירופי נמוכה יותר, ומשכך דרושות הוראות אלו.
קריטריונים להגדרת פעולת עיבוד המידע כהעברה בינלאומית
סעיף 44 ל-GDPR קובע כי ההוראות המנויות בפרק 5 ל-GDPR יחולו, כאשר מתבצעת העברת מידע אישי לצד שלישי שאינו ממקומם באיחוד האירופי. עם זאת, הסעיף אינו מפרט לעומק מה הנסיבות שיקימו העברת מידע שכפופה לפרק 5. לאור זאת, ה-EDPB פירטו בהנחיה שלושה תנאים מצטבריים שבהתקיימם ניתן לקבוע כי מדובר בהעברת מידע מחוץ לאיחוד האירופי:
1. Controller או Processor מעבירי המידע ("מעביר המידע") כפופים להוראות ה-GDPR באשר לפעילות עיבוד המידע הספציפי הנדונה:
- יש לבחון אם פעילות עיבוד המידע הספציפית עומדת בקריטריונים הקבועים בסעיף 3 ל-GDPR.
- המשמעות היא שייתכן שגם מעבירי מידע שמקום מושבם אינו באיחוד האירופי, אשר כפופים ל-GDPR מכוח מבחני התחולה האקס-טריטוריאליים, עשויים להיות כפופים לכללים הנוגעים להעברות מידע בינלאומיות.
2. מעביר המידע מעביר את המידע (או גורם לכך שהמידע יהיה גלוי) ל-Controller ,Joint Controller או Processor ("מקבל המידע"):
- סעיף זה לא יחול במקרה בו מעביר המידע לא מעביר את המידע, או הופך את המידע לזמין למקבל המידע בעצמו. למשל, במקרה בו המידע מועבר ישירות למקבל המידע על ידי נושא המידע (שהינו אינדיבידואל).
- סעיף זה יחול רק במידה והעברת המידע נעשתה בין שתי ישויות שונות. כלומר, על מעביר המידע ומקבל המידע להיות גופים שונים.
- חשוב להגדיש כי העברת מידע יכולה להתבצע גם על ידי Processor ולא רק על ידי Controller.
- גם העברות מידע בין חברות באותה קבוצה תאגידית עשויות להיכנס בגדרי סעיף זה.
3. מקבל המידע נמצא במדינה אשר אינה ממוקמת באיחוד האירופי (ללא קשר לשאלה האם היישות כפופה לסעיף 3 ל-GDPR) או שהוא ארגון בינלאומי.
ההשלכות במידה ומתבצעת העברת מידע בינלאומית
- על מקבל המידע לציית להוראות פרק 5 ל-GDPR ולבצע את העברת המידע בהתאם לתנאים המנויים בפרק זה. למשל, העברת מידע למדינה אשר קיבלה את ה- adequacy decision מהנציבות האירופית (סעיף 45 ל-GDPR), או שימוש באמצעי אבטחת מידע מספקים (סעיף 46 ל-GDPR), כאשר אמצעי האבטחה המוכר והנפוץ ביותר הוא הטמעת ה- Standard Contractual Clauses (SCCs).
- יש להתאים את אמצעי אבטחת המידע לסיטואציה הספציפית בה מועבר המידע. בפרט, כאשר מדובר בהעברת מידע ליישות משפטית במדינה מחוץ לאיחוד, כאשר אותה יישות כפופה ל-GDPR בכל הנוגע לפעילות עיבוד המידע הספציפית. בתרחיש כזה, בשימוש באמצעי אבטחת המידע לפי סעיף 46 ל-GDPR, צריך לקחת בחשבון את החובות שחלות באופן כללי על אותו מקבל מידע לפי ה-GDPR כדי לא "לשכפל" את החובות החלות על אותו מקבל מידע. בנוסף, יש להתייחס לאלמנטים שקשורים באופן ספציפי לכך שמקבל המידע נמצא במדינה מחוץ לאיחוד האירופי. קרי, להתייחס לקונפליקט האפשרי בין חוקי אותה מדינה או לאפשרות של גישה ממשלתית למידע באותה המדינה.
אמצעי אבטחת מידע שיש לנקוט בהם כאשר מידע מעובד מחוץ לאיחוד האירופי אבל לא מתקיימת העברת מידע בינלאומית, כהגדרתה:
סיטואציה כזו יכולה להתממש למשל, כאשר Controller או Processor מעבדים מידע מחוץ לאיחוד האירופי מבלי להעביר אותו או לגלות אותו ל-Controller או ל-Processor אחר (לדוגמה: עובד של Controller הממוקם באיחוד האירופי נוסע למדינה מחוץ לאיחוד האירופי וניגש שם לנתונים של ה-Controller). דוגמה נוספת היא במקרה של העברת מידע ישירות מנושא המידע, שלא באמצעות Controller או Processor.
לפי הנחיית ה-EDPB בנושא זה, גם במקרה בו מידע אישי מעובד מחוץ לאיחוד האירופי אבל לא מתקיימת העברת מידע בינלאומית, ייתכן שחלות חובות על הצדדים מתוקף תחולת ה-GDPR (קרי, סעיף 3 ל-GDPR) במנותק מהשאלה האם מתקיימת העברת מידע בינלאומית. לכן, על ה-Controller או ה-Processor לבחון את המסגרת המשפטית של אותה מדינה מחוץ לאיחוד האירופי בה מעובד המידע, ולבחון השפעה שעשויה להיות לה על יישום הוראות ה-GDPR. עוד לכך, אם Controller מתכוון לעבד מידע מחוץ לאיחוד האירופי (גם במקרים בהם לא מתקיימת העברת מידע בינלאומית), הוא צריך לעדכן את נושאי המידע בנוגע לכך, לאור חובת השקיפות שחלה עליו.
לאור החידודים הבאים לידי ביטוי בהנחיות שפרטנו, אנו ממליצים ללקוחותינו:
- לבחון האם דפוסי עיצוב מטעים אומצו בפרקטיקות העסקיות והשיווקיות של הארגון שלהם, וכן לשקול התאמה של פרקטיקות אלו באופן שיעלה בקנה אחד עם הדגשים שצוינו לעיל.
- לבחון את התרחישים בהם מידע שלהם או של לקוחותיהם מעובד מחוץ לגבולות האיחוד האירופי, בין אם מדובר בהעברה בינלאומית ובין אם לאו.
נשמח לסייע בכל שאלה בנוגע ליישום הוראות הנחיות אלו.
בברכה,
פרקטיקת סייבר, מידע ופרטיות
שבלת ושות'
האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.
