הרגולטורים לפרטיות באירופה מחדדים מהו עיקרון ההסכמה לפי ה-GDPR

פאנל הרגולטורים לפרטיות של מדינות האיחוד האירופי (European Data Protection Board - EDPB) פרסם גרסה עדכנית להנחיה על עיקרון ההסכמה של נושא מידע לפי התקנות האירופיות להגנת מידע (GDPR). זאת, בהמשך לגרסה הקודמת בנושא שפרסם הפאנל בשנת 2017.

בין החידודים בגרסה העדכנית של ההנחיה:

  1. עיקרון חופשיות ההסכמה מחייב את בעל השליטה במידע להעניק אפשרות בחירה אמיתית לנושא המידע האם להסכים או לא להסכים לעיבוד מידע אישי אודותיו. ההנחיה החדשה מבהירה כי לעתים, בעל שליטה במידע לא מאפשר למשתמשים לקבל את המוצר או השירות אם לא יסכימו לעיבוד המידע עליהם. זוהי פרקטיקה פסולה בעיני ה-GDPR משום שהסכמה כזו אינה חופשית. בנסיבות אלה, בעל שליטה במידע לא יכול לטעון כי חלופה שעומדת לנושא המידע לקבל מוצר או שירות דומים מגורם אחר ללא צורך בהסכמה מעידה על חופשיות ההסכמה של נושא המידע.
  2. הסכמה לא תחשב חופשית אם הגישה למוצר או לשירות מותנים בהסכמת נושא המידע. מסיבה זו, הטכניקה הידועה בשם Cookie Walls שלפיה גולש שלא מסכים לשימוש ב-Cookies נחסם מגלישה באתר - פסולה לפי ה-GDPR.
  3. הבעת הסכמה מצד נושא המידע צריכה להתבסס על פעולה אקטיבית שהוא נוקט שמעידה באופן חד משמעי על כוונתו להסכים. מסיבה זו, פעולות כמו גלישה באתר או החלקת מסך סמארטפון לא יכולות להחשב כפעולות המביעות הסכמה. זאת, משום שמדובר בפעולות דו-משמעיות: אין לדעת אם כוונת הגולש היתה להביע הסכמה או לבצע דבר אחר.