בית הדין האירופי לצדק מחדד את סוגיית ההסכמה מרצון של נשוא המידע

בית הדין האירופי לצדק מחדד את סוגיית ההסכמה מרצון של נשוא המידע

בנובמבר 2020, פרסם בית הדין האירופי לצדק  (CJEU) החלטה בעניין חברת הסלולר Orange Romania SA   נ’ רשות הפיקוח הרומנית להגנת פרטיות (DPA) (C-61/19). החלטה זו מבססת באופן משמעותי את אמות המידה לצורך קבלת הסכמה של נשוא מידע לאיסוף מידע אישי. בהתאם לפסק הדין, עסקים רבים ידרשו לעדכן את שיטות איסוף ההסכמה שלהם על מנת לעמוד בדרישות ה– CJEU בנוגע לחובת האקטיביות, ובקבלת הסכמתו של נשוא מידע כך שתהיה באופן חופשי וברצון, מתוך הבנה אמתית של מהות איסוף המידע.  החלטה זו אף רלוונטית עבור נשואי מידע וצרכנים המעוניינים לדעת יותר על זכויותיהם הנוגעות לעסקים וכיצד הם נוהגים כאשר הם אוספים מידע בעניינם.

חברת אורנג’ רומניה, מספקת שירותי טלקומוניקציה ניידים. ב- 28 במרץ 2018, ה DPA הרומני קנס את אורנג’ לאחר שבעקבות חקירה מקיפה התברר כי עותקים של תעודות זהות של לקוחות החברה אוחסנו, מבלי להוכיח כי אותם לקוחות נתנו את הסכמתם התקפה.

אורנג’ לא קיבלה את הגזרה בעניינה והגישה עתירה נגד החלטת ה DPA- בפני בית המשפט בבוקרשט. בית המשפט קבע כי אורנג אילצה את לקוחותיה למלא טופס נפרד ובו פירוט אודות סירובם להסכמה לאיסוף מידע.  היות ושאלה זו נוגעת באופן ישיר ל-GDPR, הפנה בית המשפט הרומני שאילתא ל-CJEU, בוא נתבקש בית הדין האירופי להכריע בנוגע לתנאים הדרושים להסכמת נשוא המידע, כמו גם החובה שתהיה ספציפית, ואשר תינתן באופן חופשי.

באופן ממוקד מפנה בית המשפט הרומני שתי שאלות להכרעת הטריבונל האירופי:

1.     האם, בנסיבות ההליך, איסוף המידע האישי תקף?

2.      האם חתימת לקוח על חוזה מול חברה בו ישנו סעיף המאשר אחסון מידע אישי, מוכיח קיומה של הסכמה?

בפסיקתו חידד ה- CJEU את החובה לקבלת הסכמה מפורשת וברורה מנשוא המידע. בין היתר יצטרך המנהל להוכיח כי נשוא המידע נתן הסכמה אקטיבית לעיבוד נתוניו. כי המידע אודות איסוף המידע האישי היה נגיש ומובנה לנשוא המידע, בצורה נהירה תוך שימוש בשפה ברורה.  עוד מוסיף בית הדין, כי על המנהל לאפשר לנשוא המידע, להבין בקלות את תוצאות הסכמתו תוך שנשוא המידע מבין את העובדות המלאות.

בהמשך קובע CJEU (סעיף 52) כי חוזה הכולל סעיף הקובע כי נשוא המידע נתן הסכמתו, אינו מהווה ראיה היכולה להוכיח כי אותו נשוא מידע אכן נתן הסכמה שכזו. תנאי חוזה שכזה עלולים להטעות, לדעת בית הדין האירופי,  את נשוא המידע באשר לאפשרותו לסרב להסכים לעיבוד נתוניו האישיים. בית הדין האירופי מחדד את זכותו של נשוא המידע להתנגד לאיסוף מידע ואחסונו, ומנגד מנהל של חברה חייב להנגיש את “תיבת ההסכמה לאיסוף מידע” באופן ברור נהיר ומלא ובלתי מוסתר.

בפסיקה קודמת של ה-CJEU בעניין Planet49 (שניתן באוקטובר 2019), קבע בית הדין האירופי את הדרישה לאקטיביות וחד משמעיות בעת קבלת הסכמה. עוד נקבע  כי הסכמה אינה תקפה כאשר היא ניתנת באמצעות תיבת סימון שנבחרה מראש שעל המשתמש לבטל את הבחירה לסרב להסכמת ויתר על כן, ה- CJEU באותו הליך קבע כי האפשרות לבטל את הסימון של התיבה איננה פעולה אקטיבית שמהווה הסכמה.

סעיף 4 (11) ל– GDPR מגדיר את סוגיית ההסכמה ומחייב כי הסכמה תעשה באופן חופשי, תהיה ספציפית, ברורה וחד משמעית לרצונותיו של הנבדק. במילים אחרות, על מנת שהסכמה לאיסוף מידע תהיה תקפה ההסכמה תקינה של נשוא מידע תכלול:

(i)              דרישה לרצון חופשי.

(ii)             דרישת ספציפיות.

(iii)           דרישה להסכמה מדעת.

(iv)           הניתנת עם ידיעה מלאה על העובדות.

(v)            דרישה לחד משמעיות.

(vi)           דרישה לפעולה אקטיבית של נשוא המידע.

חברות אשר פעולותיהן כוללות עיבוד של מידע אישי בין אם באופן עיקרי ובין אם באופן עקיף, עליהן להפנים שקבלת הסכמה לעיבוד מידע מצד נשוא מידע, הינו תנאי מהותי ועיקרי ובמידה ולא יעמדו בתנאים האמורים לעיל, כפי שהתווה ה-CJEU, הן תהיינה חשופות לקנסות כבדים בגין הפרת ה-GDPR.