אירופה: טיוטת הנחיה על עיבוד מידע אישי הנדרש לצורך ביצוע חוזה

פאנל הרגולטורים האירופי לפרטיות (EDPB) פרסם השבוע טיוטת חוות דעת בעניין סעיף 6(1)(b) ל-GDPR - קיומו של חוזה כבסיס חוקי המצדיק עיבוד מידע אישי. חוות הדעת קובעת בין היתר כי בסיס משפטי זה לא יכול לשמש כעילה מוצדקת לעיבוד מידע על התנהגות גולשים ברשת לצורכי פירסום. הטעם לכך הוא כי מידע אישי לא יכול להחשב סחורה. כיוצא בזה, נושאי המידע יכולים להסכים שמידע אישי אודותם יעובד אך לא באופן שיהפוך את זכויותיהם הבסיסיות למטבע עובר לסוחר.

עוד קובעת טיוטת ההנחיה כי הבסיס המשפטי של קיום חוזה יחול בכפוף לשני תנאים: עיבוד המידע האישי חייב להיות הכרחי לביצוע החוזה עם נושא המידע, או הכרחי לנקיטת פעולות טרם התקשרות בחוזה לבקשת נושא המידע. בגדר המושג 'הכרחי' לא יבוא בחשבון תוכן שהוסכם בין הצדדים בחוזה. על מנת שעיבוד יחשב הכרחי יש לזהות במדויק את מטרת העיבוד ולתקשר אותה בבהירות לנושא המידע. לאחר מכן יש לבחון האם אין אמצעי אחר להשגת מטרת העיבוד שפגיעתו בנושא המידע פחותה. רק בהתקיים דרישות אלה יחשב העיבוד 'הכרחי' לצורך החוזה.

טיוטת ההנחיה מסבירה כי מציע השרות נדרש להוכיח שביצוע החוזה לא יוכל להתקיים אם לא יאסף המידע האישי, כמו לדוגמה מידע על אמצעי תשלום באתר קניות מקוון. אם הספק מתכוון לאסוף מידע שאינו הכרחי לביצוע החוזה עליו להגדיר בסיס חוקי אחר למידע עודף זה. כאשר חוזה מורכב ממספר שירותים נפרדים או מרכיבי שירות שונים יש לבחון את הדרישות סעיף 6(1)(b) לכל אחד מהמרכיבים בנפרד. לעיתים ניתן יהיה לראות ברכיב שירות נוסף חלק מהחוזה המקורי, לדוגמה משלוח הודעה על איחור בתשלום ברכישת שירות.

חידוד נוסף בטיוטת ההנחיה נוגע לסיומו של החוזה. כאשר חוזה בין הצדדים מסתיים, עיבוד המידע לא נדרש יותר ועל הספק להפסיק את העיבוד. החלפת הבסיס החוקי כאשר הבסיס המקורי חדל מלהתקיים תחשב לא הוגנת ביחס לנושא המידע אלא אם נושא המידע יתן הסכמה מחודשת לאחר סיום החוזה. למרות שסעיף 17(1)(a) ל-GDPR קובע כי יש למחוק את המידע אם איננו נדרש למטרה המקורית שלשמה נאסף, יתכנו מקרים בהם החובה לא תחול, לדוגמה אם עולה צורך חוקי. אולם במקרה כזה על הספק ליידע על קיומו של צורך נוסף זה טרם האיסוף וליידע מראש מהו משך הזמן בו ידרש לשמור את המידע. אם לא עשה כן מראש עליו למחוק את המידע מיד בסיום החוזה.

חוות הדעת מציינת מספר דוגמאות בהן שימוש בבסיס החוקי של כניסה לחוזה לא יספיק. לדוגמה: עיבוד מידע אישי לצורך שיפור השירות או עיבוד לצורך מניעת הונאות. עוד קובעת חוות הדעת כי עיבוד מידע על התנהגות גולשים ברשת לצורכי פירסום לא תחשב הכרחית לביצוע חוזה רק בשל כך שעיבוד כזה בעקיפין מאפשר לספק לממן את השירות. עיבוד כזה בדרך כלל משתמש בכלים אשר מחייבים הסכמה לפי דירקטיבת ePrivacy, כמו Cookies.

אשר לחוזה המאפשר צריכת תוכן ממוקד אישי, קובעת חוות הדעת כי צורך כזה עשוי (אם כי לא תמיד) להחשב הכרחי לביצוע חוזה אם הוא מהותי לביצוע. לדוגמה, שירות רשת המספק צבר חדשות בממשק אחוד, יכול לעבד פרופיל עניין של הגולש באופן שיחשב צורך הכרחי לביצוע חוזה. אולם הצעת מוצרים נוספים בחנות מקוונת המבוססת על פרופיל התעניינות קודמת של הגולש לא תחשב צורך הכרחי לביצוע חוזה.