הבסיס לשיווק דיגיטלי בימינו כולל איסוף מידע רב ככל האפשר, צירופו לפרטי הקשר של משתמשים והתאמת הפרסום לתחומי העניין של אותם משתמשים. הדין האירופי בתחומי הגנת הפרטיות חוקק רגולציה חשובה אחת (GDPR), ועומד בפני חקיקתה של רגולציה משלימה נוספת (ePrivacy) העוסקות בדיוק בתחום זה ומשלימות אותו.
על ה-GDPR תוכלו ללמוד באתר שלי בקישור המצורף. במאמר זה אתמקד דווקא ברגולציה שטרם נכנסה לתוקף, כיוון שהיא מסדירה במיוחד תחום זה של שיווק דיגיטלי, ואנסה לתת לכם הבנה של הדרישות הקבועות בה. המדובר ב-ePrivacy Regulation, או ePR.
שימו לב שבמועד הכנת מאמר זה הרגולציה עוד לא קיבלה תוקף מחייב, אולם היא מונחת על שולחנו של הפרלמנט האירופי וצפוי שתקפה יהפוך למחייב במהלך שנה זו. הנוסח אליו אתייחס הוא הנוסח שהונח על שולחן הפרלמנט האירופי ב-EU, שייתכן שיהיו בו שינויים מסויימים כשיאושר.
אסביר גם ש”רגולציה” בדין האירופי, משמעותה – חוק פעיל בכל רחבי האיחוד האירופי, הנאכף על ידי רשויות אכיפה ספציפיות (רשויות הגנת הפרטיות המדינתיות, כמו ה-ICO הבריטית וה-CNIL הצרפתית). הוא מקנה עילות תביעה ישירות לאנשים, ואף כולל קנסות בהיקפים עצומים במקרי הצורך. אל תתעלמו ממנה, אם תמצאו שהיא חלה עליכם.
על אילו תחומים חלה ה-ePR?
ה-ePR היא רגולצית הגנת הפרטיות באירופה שמתמקדת בנושאים הקשורים בתקשורת אלקטרוני ובשיווק דיגיטלי. במקביל אליה חשוב לשים לב גם ל-GDPR, שמשלימה ומרחיבה אותה.
התחומים העיקריים שמצויים תחת כנפי ה- ePR הם:
- סודיות תוכן התקשורת האלקטרונית.
- סודיות נתוני התקשורת האלקטרונית.
- הזכות להמנע ממעקב באינטרנט. קוקיז ודומיו, כלומר – טכניקות של שיווק דיגיטלי.
- הזכות להמנע ממסרים פרסומיים באינטרנט. כלומר, קבלת “ספאם”.
- שליטתו של הפרט במידע אודותיו שנמצא במדריכים מקוונים לרשתות תקשורת.
תחולת ה-ePrivacy Regulation בישראל
בדומה ל-GDPR, גם בנושא זה לקוחותיי שואלים אותי: “אנחנו ישראלים. למה שבכלל ה-ePR והדין האירופי יחולו עלינו?”
התשובה נמצאת בסעיף 3 לרגולציה. לפי הסעיף, קיים שיקול אחד בלבד אותו יש לשקול, והוא מיקומם (הגיאוגרפי) של האנשים אליהם מתייחסת הפעולה הדיגיטלית הרלוונטית.
ככל שהעסק שלכם מבצע את הפעולות המפורטות ברגולציה ביחס לאנשים שנמצאים באירופה, אתם כפופים ל-ePR.
ה-ePR חלה על:
מי שמספק שירותי תקשורת אלקטרונית למשתמשי קצה שנמצאים באיחוד.
רכיב זה עוסק לא רק בחברות סלולאר אלא הוא חל גם על כל תקשורת אלקטרונית (לאו דווקא ויזואלית או אודיו) באינטרנט. למשל הודעות טקסט באפליקציה. אם נניח יש באפליקציה שלכם אפשרות להודעות פרטיות בין משתמשים, או שיחות וידאו – אתם מספקים שירותי תקשורת אלקטרונית ועשויים להיות כפופים לדיני הגנת הפרטיות באירופה.
הגנת מידע המתיחס לציוד הקצה של משתמשי קצה שנמצאים באיחוד.
סעיף זה משמעותי ביותר לעוסקים בשיווק דיגיטלי, כיוון שאחד הגורמים העיקריים הנכללים בו הן “קוקיות” (cookies. תרגום האקדמיה) ודומיהן. בגדול, סעיף זה עוסק במי שמשתמש בנתוני ציוד הקצה כדי ליצור זיהוי או אפיון שיאפשר “טירגוט” פרסומות למכשיר. הדרך הטכנולוגית בה נוצר אותו אפיון אינה רלוונטית, והסעיף יחול.
מי שמעבד תוכן התקשרות אלקטרונית או מטאדאטה של התקשרות אלקטרונית, ביחס למשתמשי קצה שנמצאים באיחוד.
אם למשל האפליקציה שלכם עוקבת אחרי נתוני גיאולוקיישן של משתמשים שמתקשרים בינם לבין עצמם באמצעות האפליקציה שלכם, ועל בסיס מיקום זה אתם מטרגטים פרסומת למשתמש – הרי עשיתם שימוש במטאדאטה של התקשורת.
מי ששולח שדרי שיווק ישיר למשתמשי קצה שנמצאים באיחוד.
רכיב זה מקביל לחוק התקשורת (בזק) הישראלי, קרי – מסדיר משלוח מסרים שיווקיים לאנשים באירופה, “ספאם”.
הצעת מדריכים פומביים של משתמשי קצה של תקשורת אלקטרונית שנמצאים באיחוד.
ePR מול GDPR – מי גובר?
המדובר למעשה בשתי רגולציות החלות במקביל. ככל שה-GDPR חלה עליכם מכוח הוראותיה, חובה עליכם לעמוד בה.
עם זאת, כאשר העיסוק שלכם נכנס תחת היקף תחולת הרגולציה לפרטיות בתקשורת אלקטרונית, ההוראות הקבועות בה מתווספות וממקדות את הקבוע ב-GDPR.
במצב כזה, שתי הרגולציות יחולו עליכם במקביל.
סודיות תוכן התקשורת ונתוני התקשורת
רגולציית ה-ePR מתייחסת הן לסודיות תוכן התקשורת (תוכן השיחה עצמה) והן לסודיות נתוני התקשורת (המטאדאטה סביב השיחה). הכלל הבסיסי ב-ePR הוא ששני סוגי הנתונים – סודיים וניתנים לשימוש במגבלות רבות בלבד.
המקרים בהם מותר להשתמש בתוכן השיחה כוללים (רק) את המקרים בהם הדבר הכרחי לשם ביצוע השיחה עצמה (למשל להעברתה או לבדיקת סיכוני אבטחה לשיחה או למשתמשי הקצה) ולא מעבר לכך.
המקרים בהם מותר להשתמש במטאדאטה הם רבים מעט יותר, וכוללים למשל מקום בו הדבר הכרחי לשם ניהול ואופטימיזציה של רשת התקשורת, לשם חישוב תעריפים (מול משתמשים וספקים), לשם מניעת מרמה וניצול לרעה של המערכת, למטרות סטטיסטיות ומחקר מדעי, וכמובן בעת קבלת הסכמה, כהגדרתה ב-GDPR.
בשורה התחתונה, הרגולציה מטילה מגבלות רבות ביותר על שימוש במטאדאטה של שיחות (כמו נתוני מיקום, פרטי הצדדים לשיחה וכדומה), ועליכם להיות מודעים לכך.
הגנת המידע שמתייחס לציוד הקצה של משתמשים ולציוד עצמו (Cookies)
ה-ePR יוצאת מנקודת מוצא פשוטה: אסור לעסקים להשתמש בכוח האחסון והעיבוד של ציוד הקצה של המשתמשים (לשתול קוקיז או לבצע “tracking” אחר…), אלא בנסיבות המפורטות בה ורק בהן.
כשהרגולציה תתקבל היא תשנה את המצב הנוכחי. לא עוד Cookie Banner וזהו, אלא תידרש להסכמה (בפועל) של המשתמש. הסכמה, כזכור, היא שאלה מורכבת שמוגדרת ב-GDPR (בקרוב אעלה פרק במדריך בבלוג שלי המפרט – מה היא הסכמה לפי הדין האירופי).
הרגולציה גם מאפשרת קבלת הסכמה באמצעות הגדרות הפרטיות בדפדפן, אבל מחייבת שברירת המחדל בדפדפנים תהיה “אני לא מסכים”, ורק שינוי אקטיבי שלה יחשב כהסכמה.
בשורה התחתונה – קוקיז שנשתלו לצורכי פרסום דיגיטלי יחשבו כפולשניות ומחייבות הסכמה של המשתמשים. כך גם קוקיז שמאפשרים ריטרגטינג (Retargeting) וקוקיז של רשתות חברתיות – כולן מחייבות הסכמה (כהגדרתה המחמירה ב-GDPR). על העוסקים בתחום להבין שבקרוב זה יהיה הבסיס החוקי באירופה ולהתאים עצמם לכך.
המקרים הבודדים בהם מותר יהיה לשתול קוקיז ללא הסכמה, הם במצבים בהם מדובר בעוגיות ש”אינן פולשות לפרטיות” (כמו Ecommerce Cookies המאפשרות עגלת קניות במהלך סשן אחד או קוקיז סטטיסטיים); כאלו שנועדו למטרות ביצוע השידור או גילוי מרמה וכדומה.
ספאם ופרסום דיגיטלי
חלקים גדולים מהפתרון האירופי בנושא זה מקבילים לפתרון הישראלי אותו אנחנו מכירים מחוק התקשורת (בזק ושידורים), הידוע גם כ”חוק הספאם”. לכן, העומד בחוק הספאם הישראלי, יהיה קרוב מאוד לעמידה ברכיב זה של ה-ePR.
עם זאת, חשוב לבדוק התאמה לדרישות האירופיות ולא להסתמך על הדין הישראלי לבדו. כלל המוצא הוא שאסור משלוח שדרי שיווק ישיר לאדם, אלא אם זה נתן את הסכמתו. טכנולוגיות המשלוח אינה רלוונטית.
בדומה לחוק בישראל, גם הרגולציה קובעת חריג ביחס לפרטים שנאספים בזמן רכישת מוצר או שירות, אבל האיסוף שלהם והשימוש בהם מוגבל ביותר (גם בהיקפו וגם במשך הזמן המותתר). גם דרישת ההודעה הישראלית על היות המסר פרסומי קיימת ברגולציה וגם חובת מתן אפשרות הסרה, ללא עלות או סיבוך.
מסקנות
ראינו שהמחוקק האירופי מבקש להפוך גם את תחום השיווק הדיגיטלי ל”שקוף” הרבה יותר ולהעניק יותר ויותר שליטה לאנשים הפרטיים על אופן השימוש בפרטיהם וביצוע השיווק הישיר מולם.
ככל שבדקתם ומצאתם שאתם כפופים לרגולציה להגנת הפרטיות ברשתות תקשורת דיגיטליות, אנא פעלו בצורה אקטיבית ואפקטיבית על מנת לעמוד בה.
מניסיוננו ב-GDPR, ככל שחולף הזמן הרגולציה תיאכף גם מחוץ לאירופה ותגיע גם לעסקים ישראליים. ככל שניסיתם להתאים עצמכם אליה ושגיתם, הנזק שייגרם לכם עקב אי עמידה ברגולציה יהיה נמוך הרבה יותר, מאשר במצב בו התעלמתם ממנה לחלוטין.
הערות חשובות
- מאמר זה נכון למועד כתיבתו והוא אינו מסתמך על הנוסח הסופי של ה-ePR. חובה עליכם לבדוק אילו שינויים חלו ב-ePR לאחר הכנתו.
- מאמר זה מתמצת את הוראות הרגולציה, שבפועל הן מורכבות ומפורטות הרבה יותר. אין להסתמך על הכתוב בו במקום יעוץ משפטי. המאמר הינו להשכלה בלבד, וייתכן שבמקרה ספציפי יחולו הוראות אחרות מהכתוב בו.