אירופה: טיוטת הנחיה על עיקרון ה'הסכמה' לפי התקנות החדשות על הגנת מידע (GDPR)

פאנל הרגולטורים האירופאים לפרטיות (Article 29 Working Party) פרסם להערות הציבור טיוטת הנחיה בעניין עיקרון ההסכמה (Consent) תחת משטר הגנת הפרטיות החדש (General Data Protection Regulation - GDPR) הצפוי להכנס לתוקפו במאי 2018. טיוטת ההנחיה מבהירה את התנאים הדרושים על מנת שהסכמת נושא המידע (Data Subject) תחשב לעילה משפטית כשרה לעיבוד מידע אישי:

  1. חופשיות ההסכמה - הסכמה צריכה להינתן מתוך בחירה חופשית אמיתית המאפשרת לנושא המידע להחליט אם רצונו להסכים או לסרב. לכן, הסכמה בנסיבות בהן קיים חוסר איזון מובנה בין נושא המידע לבין מבקש ההסכמה, כדוגמת הסכמה של עובד כלפי מעסיקו, תהיה במקרים רבים פסולה מעיקרה. כמוה גם הסכמה שהענקתה היא תנאי לקבלת מוצר או שירות שאין הכרח אובייקטיבי להתנות אותו במתן הסכמה לעיבוד המידע, ויש לחפש עילה מתאימה יותר לפי תקנות הגנת המידע - כדוגמת העילה של "קיום חוזה".
  2. ממוקדת (ספיציפית) -  טיוטת ההנחיה מבהירה כי ההסכמה צריכה להינתן ביחס למטרה או מטרות ממוקדות ולגיטימיות של עיבוד מידע, ולא למטרות כלליות וערטילאיות כגון "לכל שימוש מסחרי". על מיקוד ההסכמה יכולות להעיד אפשרויות הבחירה הניתנות לנושא המידע להחליט לאילו שימושים נבחרים או מטרות פרטיקולריות הוא מסכים בקשר לעיבוד המידע אודותיו (Granularity of Consent), להבדיל מגישה המחייבת אותו להסכים ל"הכל או כלום".
  3. מדעת - על ההסכמה להינתן מדעת, לאחר שהוצגו לנושא המידע מלוא הנתונים הדרושים לו כדי להחליט אם ברצונו להסכים. בכלל זה יש למסור לנושא המידע את זהות אוסף המידע (ה-data controller), איזה מידע יעובד, מהן מטרות העיבוד, זכותו לחזור בו מההסכמה, העברת המידע למדינות אחרות ומידת ההגנה שאותן מדינות אחרות מעניקות למידע אישי ועוד. כדי שההסכמה תחשב 'מדעת' יש למסור את המידע באופן קריא, ברור ומובן.
  4. חד משמעית - קבלת ההסכמה צריכה להיות בפעולה אקטיבית, יזומה ונפרדת של נושא המידע המעידה באופן מפורש וחד משמעי על הסכמה לעיבוד המידע (opt-in). טיוטת ההנחיה מסבירה כי הסכמה כללית לתנאי שירות לא יכולה להחשב להסכמה ברורה ומפורשת לעיבוד מידע וזאת מפאת האיסור בתקנות המידע החדשות לכרוך הסכמה לתנאים משפטיים יחד עם הסכמה לעיבוד מידע.

טיוטת ההנחיה עוסקת בהיבטים נוספים של "הסכמה" כגון אפשרות נושא המידע לחזור בו מהסכמתו בכל עת וקבלת הסכמה הורית לעיבוד מידע על ילדים.

נזכיר כי מוקדם יותר השנה פרסם גם רגולטור הפרטיות הבריטי טיוטת הנחיה מטעמו על עיקרון ההסכמה לפי תקנות הגנת המידע החדשות. להבדיל מהטיוטה הבריטית, הטיוטה שפרסם כעת הפאנל האירופאי משקפת את עמדתם המשותפת של כלל הרגולטורים האירופאים לפרטיות.