רשות הגנת המידע הצרפתית (CNIL) הטילה לאחרונה קנס בסך 900,000 אירו על תאגיד SOLOCAL המשווק שירותי פרסום דיגיטלי ומאגרי נתונים בשל הפרות מהותיות של תקנות הגנת המידע האירופאיות (GDPR). החברה פועלת בתחום השיווק הדיגיטלי על בסיס דאטה, ופועל למעשה כמתווך מידע (Data Broker) תוך איסוף, עיבוד והעברה של מידע אישי ממקורות שונים ליצירת פרופילים שיווקיים. פעילות כזו כוללת בדרך כלל שימוש במידע ללא הסכמה מספקת, לעיתים מבלי שהמשתמשים מודעים כלל לעיבוד שנעשה עליהם.
ממצאי הבדיקה העלו כי החברה עיבדה והעבירה לצדדים שלישיים נתונים אישיים של מיליוני אנשים, לרבות מידע על אנשי קשר ותחומי עניין, מבלי להבטיח בסיס חוקי תקף לעיבוד, וללא שקיפות מספקת כלפי נושאי המידע. מעבר לפגיעה בפרטיות, מדובר בהפרה ישירה של עקרונות יסוד המנחים את ה-GDPR, ובראשם עקרון ההגינות, השקיפות וצמידות המטרה.
אחת ההפרות המרכזיות שנמצאה, נוגעת להעברת מידע אישי בין חברות קבוצת SOLOCAL, ושימוש חוזר במידע שנאסף ממקורות שונים (דוגמת אפליקציות ואתרים) לצורכי שיווק ישיר (Direct marketing), ללא ידיעת המשתמשים וללא הסכמתם המפורשת. יתרה מזאת, החקירה הצביעה על כך ש־SOLOCAL לא סיפקה לנושאי המידע את כל המידע הנדרש לפי סעיף 14 לתקנות ה־GDPR, במיוחד כאשר המידע לא נאסף מהם ישירות. מצב זה יצר פער מהותי בין המצופה לפי הדין לבין הפרקטיקה בפועל, כאשר נושאי המידע לא היו מודעים כלל לעובדה שמידע אישי לגביהם נאסף, נשמר, ומועבר לגורמים מסחריים.
חשוב לציין כי החברה ניסתה לטעון כי פעילותה נשענת על אינטרס לגיטימי, אך ה-CNIL דחתה טענה זו בקביעה נחרצת: אינטרס עסקי בלבד, גם אם מובן כשלעצמו, אינו יכול לגבור על זכויות הפרט כאשר מדובר באיסוף ועיבוד בהיקפים כה נרחבים, במיוחד כאשר אין הסכמה חופשית, מדעת ומפורשת מצד נושאי המידע עצמם. בנוסף, החברה כשלה ביישום מנגנונים מתאימים למימוש זכויות נושאי המידע, דוגמת זכות ההתנגדות (Right to object) והזכות למחיקת מידע Right to erasure)), ובכך חיזקה את התרשמות הרשות מהפגיעה החמורה שנגרמה לפרטיות הציבור.
ממקרה זה ניתן להסיק מסר ברור גם למגזר העסקי בישראל. ישראל אינה כפופה כמובן ל-GDPR, אך התקנות חלות באופן מלא על כל ארגון ישראלי הפועל באירופה ופונה בהצעת שירותים לקהל אירופאי. עניין נוסף הוא החלחול המתמיד של חקיקה אירופית בנושאי פרטיות לישראל, כמו למשל ההשראה הבולטת של תיקון 13 לחוק הגנת הפרטיות מה-GDPR. מעבר לכך, בשתי טיוטות הנחיה של הרשות להגנת הפרטיות בנושא בינה מלאכותית ובנושא הסכמה, התייחסה הרשות בדיוק לעניינים שבגינם נקנסה חברת SOLOCAL, ועל כן יש להניח כי גם פעילות עסקית בישראל תושפע מהלך הרוח זה. לקחים מהמקרה הצרפתי יכולים לשמש בסיס לחידוד הבקרות הפנימיות של חברות ישראליות המסתמכות על איסוף מידע לצרכים שיווקיים וחברות בתחום הסחר במאגרי מידע אישי ובשירותי דיוור ישיר.
לבסוף, יש לזכור כי המקרה של SOLOCAL אינו מקרה בודד אלא חוליה בשרשרת צעדים אכיפתיים רחבים יותר של רשויות הגנת המידע באירופה נגד חברות המשתמשות במידע אישי כחומר גלם מסחרי מבלי ליישם את הוראות הדין בצורה מדויקת. המגמה ברורה: שקיפות, שליטה של נושאי המידע, ומינימליזם בעיבוד הם לא המלצות, אלא דרישות משפטיות מחייבות. גם בישראל, מחוקקים, רגולטורים, וחברות עצמן נדרשים לעקוב בדריכות אחר פסיקות אלה, ללמוד מהן, ולהיערך בהתאם לעידן חדש של אחריות משפטית בעיבוד מידע אישי.
