ביום 25.9.22 פרסמה הרשות להגנת הפרטיות מסמך המלצות להתנהלות הציבור בשימוש בשירותי הזרמת מדיה דיגיטלית ( Streaming), בהתבסס על ניתוח מסמכי מדיניות הפרטיות ותנאי השימוש של שירותי Streaming הנפוצים בישראל.
במסגרת מסמך ההמלצות, הרשות, בין היתר, מעניקה דגש לפרקטיקות איסוף המידע האישי על ידי מפעילי השירותים האמורים, בתשלום או בחינם, ובפרט נתונים התנהגותיים (IoB) ויצירת "פרופילים" לצורך פרסום ממוקד, והעברת או מכירת המידע האמור.
המסמך אומנם מהווה מדריך המלצות למשתמשי שירותי ה- Streaming ונועד להביא לידיעתם את איסוף המידע האישי הנרחב הכלול בשימוש בשירותים אלו וכיצד מומלץ למשתמש לנהוג על מנת להגן על פרטיותו. עם זאת, ממסמך ההמלצות ניתן אף ללמוד על השקפתה של הרשות, אשר תואמת לעקרונות ה- GDPR, לעניין איסוף מידע לצורכי "פרופיילינג" המוגדר על ידי הרשות כ:"היכולת לאסוף נתונים התנהגותיים (IoB), רבים על המשתמש, תוך שימוש בנקודות נתונים (Data Points) ובאמצעות עיבודם, ליצירת פרופיל של כל משתמש".
במסמך ההמלצות, מתייחסת הרשות לשימוש אשר נעשה על ידי מפעילי השירותים הן במידע האישי אשר נמסר על ידי המשתמש וביוזמתו (לדוגמא, שם, כתובת, דוא"ל, אמצעי תשלום וכדומה הנמסרים בעת וכן מידע אשר נמסר בעת אינטראקציה עם שירות לקוחות, לרבות השתתפות בסקרים, כגון מצב משפחתי ומגדר), והן במסגרת איסוף אוטומטי של נתונים (ולדוגמא נתונים התנהגותיים כגון סוגי הסרט/סדרה שנצפו, ז'אנר מועדף על המשתמש, תדירות הצפייה, מיקום המשתמש, סוג המכשיר השתמש ומידע טכני אודות הרשת, התקני הרשת, מזהי פרסום הכוללים עוגיות, כתובת IP, סוג ומספר סידורי של המכשיר הנייד סוג הדפדפן ועוד).
במסגרת מסמך ההמלצות, עולה חשיבותם של מספר נושאים עבור מפעילי שירותים אשר כוללים איסוף מידע נרחב, ובפרט התנהגותי:
- חשיבות המדיניות הפרטיות –
הרשות נותנת חשיבות רבה למדיניות הפרטיות, לרבות ההמלצה "אם לא ניתן למצוא את מדיניות הפרטיות, מומלץ להימנע משימוש בשירות". לפיכך, נמליץ לוודא שמדיניות הפרטיות מעודכנת, כוללת את פרטי הקשר לשם יצירת קשר עם החברה, ומופיעה באתר ו/או בעמוד הורדת האפליקציה (ואף באפליקציה עצמה) באופן בולט, ברור ונגיש.
- שימוש החורג ממתן השירות ושירותי תפעול נלווים דורש הסכמה נפרדת של המשתמש –
בהתאם לעקרון "צמידות המטרה" ובהתאם להלך הרוח של ה- GDPR, הרשות דה פקטו קובעת כי שימוש במידע האמור למטרות מסחריות כשימוש שאינו חלק מהמטרות לשמן נאסף המידע ואשר אינו קשור בליבתו להיבטים השונים של תפעול השירות (לדוגמא, מכירת מידע לצורך פרסום ממוקד מטעם צדדים שלישיים או אפילו שימוש במידע לפרסום שירותים נוספים של אותו ספק, וכדומה). שימוש במידע כאמור מצריך קבלת הסכמה מטעם המשתמש (כאשר תחת חוק הגנת הפרטיות, הסכמה עשויה להיות מפורשת או מכללא, ועל פי פרסומים קודמים של הרשות, למידע הנמסר במדיניות הפרטיות ו/או בהליכי הרישום לשירות, ישנו חשיבות מכרעת לקביעת תוקף ההסכמה של המשתמש).
- מחיקת חשבון ופניית משתמשים למחיקת מידע –
עם סיום השימוש בשירות, הרשות ממליצה למשתמשים למחוק את האפליקציה ואת הפרופיל האישי. יתרה מזו, ממליצה הרשות למחוק "את ארכיון הנתונים שיצרתם עוד בטרם מחיקת האפליקציה" באמצעות הגדרות האפליקציה או על ידי פנייה לשירות הלקוחות של החברה.כפי שדיווחנו בעדכון הלקוחות הקודם, קיימת דרישת מחיקה דומה בעדכון מדיניות מטעם Apple (אשר נכנס לתוקף בסוף חודש יוני 2022), הדורש ממפתחי האפליקציות לאפשר למשתמשים למחוק את חשבונם לרבות את המידע האישי שנאסף אודותיהם מתוך תפריט האפליקציה עצמה (בכפוף לדרישות הדין החל).
המלצה נוספת מטעם הרשות לעניין מחיקת מידע היא כאשר הליך הרישום מופסק באמצע. לטענת הרשות, כאשר המשתמש מפסיק את תהליך הרשום, תיתכן שמירה אוטומטית של הפרטים שהוזנו. לפיכך, ממליצה הרשות לפנות לשירות הלקוחות של החברה, בבקשה למחוק את המידע שהוזן.
המלצות אלו הינן בהמשך לפרסומים קודמים מטעם הרשות בהן נמצאה התייחסות לזכות המשתמש למחיקת מידע (ראו לדוגמא בעדכון הלקוחות לעניין מסמך ההמלצות של הרשות להגנה על פרטיות בעת שימוש בכלי תחבורה זעירים). המלצה זו, מרחיבה את לשון את סעיף 14 לחוק הגנת הפרטיות לכדי ה"זכות להישכח" (המעוגנת בסעיף 17 ל-GDPR). לשון החוק מאפשרת זכות עיון ובמסגרתה תיקון או מחיקה במקרה בו המידע "אינו נכון, שלם, ברור או מעודכן". כלומר, סעיף 14 לחוק הגנת הפרטיות אינו מקנה זכות עצמאית למחיקת מידע. עם זאת, החובה למחיקה עשויה לחול על בעל מאגר מכוח עיקרון "צמידות המטרה" (שכן בעת מחיקת החשבון, מידע מסוים כבר אינו נדרש לצורך המטרה לשמה הוא נאסף).
תכליתו של עדכון זה להציג חידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.
צוות APM לרגולציה ולטכנולוגיה.
