סוחרים בפרטיות שלנו
מגדל ליקטה פרטים אישיים לא הכרחיים מלקוחותיה, לצרכים שיווקיים, בלי לציין שאינם חייבים להסכים לכך. יורם הכהן, רשם מאגרי מידע: "ביקשו מכם פרטים אישיים? חישבו פעמיים. אל תמכרו את הפרטיות שלכם תמורת הנחה של 100 שקל"
סלקום לא לבד. גם מגדל אספה פרטי מידע על לקוחותיה, לכאורה בניגוד לחוק הגנת הפרטיות, משום שלא קיבלה את הסכמתם לכך, ככתוב בחוק. חוק הגנת הפרטיות קובע שאם מבקשים מלקוח פרטים אישיים לשימוש לצרכים מסחריים, על המבקש להודיע ללקוח לאלו צרכים בדיוק נאספים הפרטים, וכן עליו ליידע אותו שהוא יכול להחליט שלא למסור אותם. לקוח שחש כי מגדל ניסתה להשיג את הסכמתו בצורה פסולה פנה לרשות למשפט, טכנולוגיה ומידע וזו קבעה: הוא צודק.
המקרה של מגדל ממחיש יפה איך חברות מבקשות לכאורה לסחור בפרטיות שלנו, והולכות לשם כך בין טיפות החוק. לפני מספר חודשים, הלקוח מ' קיבל הודעה מחברת מגדל מקפת ובה בקשה "לעדכון פרטים". בטופס (שכאן תוכלו לעיין בו) כתבה מגדל: "אנחנו בחברת מגדל מקפת עמלים כל העת בכדי לשפר את השירות שאנו מעניקים ללקוחותינו. בבדיקה מקיפה שערכנו לאחרונה מצאנו כי חלק מפרטייך האישיים חסרים או לא מעודכנים".
הלקוח נתבקש למלא את הפרטים ולשלוח אותם חזרה לחברה. בין היתר נתבקש למלא: מצב משפחתי, השכלה, שפת אם, דואר אלקטרוני, טלפון נייד וכתובת - וזה למרות שהמכתב נשלח לכתובת אותה מגדל ביקשו להשלים.
המידע יישמר את החברה, גורמים מטעמה וצדדים שלישיים
בתחתית הטופס, באותיות קטנות, בלי השדה המתבקש לסימון: "מאשר/לא מאשר", ובלי שום ציון לכך שמסירת המידע היא וולנטרית ושאין כל חובה לספק לה פרטים אלו, כתבה מגדל: "אני הח"מ מאשר בזאת שהמידע שנמסר על-ידי נמסר מרצוני ובהסכמתי וכי ידוע לי כי המידע והנתונים וכל עדכון שלהם שמסרתי ושאמסור יישמרו במאגרי מידע ממוכנים או אחרים של החברה, ו/או במאגרי לקוחות של חברות קבוצת מגדל או גורם מטעמן.
"ידוע לי ומוסכם עלי שהמידע ישמש את חברות הקבוצה לצורך פעילותן ו/או במאגר דייוור ישיר ו/או ליצרית קשר למתן מידע, הצעה לרכישה ושיווק של כיסויים ביטוחיים ומוצרים או שירותים פיננסיים ואחרים, מטעם החברה, /או חברות הקבוצה ו/או גורם מטעמן או מטעם צדדים שלישייים, וכי יכול שייעשה שימוש במידע הנ"ל גם לצורך פילוח ומיקד פניות שיווקיות.
"אני מסכים כי מידע כאמור ישוגר אלי אף באמצעות פקסימיליה, מערכת חיוב אוטומטי, הודעה אלקטרונית, הודעת מסר קצר או כל אמצעי תקשורת אחר. אם לא אהיה מעוניין במידע או פנייה כאמור, אוכל להודיע על כך לחברה בכל עת".
אין חובה למסור כל מידע
הלקוח פנה לרשות למשפט, טכנולוגיה ומידע בתלונה. אחרי בדיקה הרשות קבעה: מגדל הפרה את ס' 11 לחוק הגנת הפרטיות, בכך שלא הפרידה בין מידע שהיא חייבת לבקש ע"פ חוזרי הממונה על שוק ההון, ביטוח וחיסכון במשרד האוצר, לבין מידע שנועד לצרכים שיווקיים, וגרמה ללקוח להבין כאילו מסירת כל המידע היא חובה.
מגדל לא הדגישה בטופס, בשפה ברורה ופשוטה, שמסירת המידע היא בהתנדבות, שהלקוח לא חייב כלל להשלים רבים מהפרטים שנתבקש להשלים, וכן, כפי שכתוב בהחלטה, "לא הבהירה ללקוחותיה בצורה בהירה וברורה מה מטרת איסוף המידע ומהם השימושים שייעשו במידע שייאסף".
בהחלטתה כתבה הרשות: "קבלת הסכמה רחבה, כזאת המלווה בהסבר עמום ומסורבל, וללא הפרדה בין הסכמה למידע הנדרש לצורך מתן השירות לבין הסכמה למידע שלא נדרש, מעלה חשש באשר לעמידה בדרישות ההסכמה מדעת שבחוק, ובכך לחוקיות מנגנון קבלת ההסכמה שנעשה בו שימוש בפניה".
לפי הרשות, מגדל הצהירה מולה בכתב, שתחדל מאיסוף מידע באופן הזה, וטענה שלא עשתה שימוש במידע שנאסף. ולכן, הרשות החליטה לסיים את המקרה בקביעת הפרה בלבד, ולא קנסה את החברה. על רקע האמור, ובכפוף לקבלת תצהיר ביעור ביחס למידע העודף שנאסף, החלטנו להסתפק בקביעת הפרה בלבד.
"אל תמכרו את הפרטיות שלכם בזול"
"למגדל היתה חובה רגולטורית לעדכן פרטים כתוצאה מהנחיה של המפקח על הביטוח", מסביר יורם הכהן, רשם מאגרי מידע וראש הרשות למשפט, טכנולוגיה ומידע, "אבל לחובה הזאת, הם צירפו טופס נוסף, שנראה מאוד דומה לטופס של חובת עדכון פרטים. במסגרתו הם אספו פרטים נוספים, שאין חובה למסור אותם, כמו המצב המשפחתי, השכלה ושפת האם. אלה פרטים שכדי לאספם נדרשת ההסכמה שלך.
"בסעיף 11, חוק הגנת הפרטיות מחייב להודיע אם יש חובה חוקית לאסוף את המידע, האם הלקוח חייב למסור את המידע וגם אומר לדווח איזה שימוש יעשה במידע. את הדברים האלה מגדל לא עשתה".
לפי הכהן, מחקרים מראים שאם לקוחות מתבקשים לסמן וי כדי להתנגד לשימוש בפרטיהם האישיים לצרכים שיווקיים - הם לא יעשו זאת. אבל אם הם צריכים לסמן וי כדי לאשר שימוש בפרטים, אז הם יקדישו זמן כדי לקרוא מה הם בדיוק מאשרים. "לכן יש חשיבות גדולה לניסוח ועיצוב הטופס", הוא אומר, "כי העיצוב והניסוח בעצם קובעים את ההסכמה".
מדוע לא הטלתם עליהם קנס?
"במקרה הספציפי הזה, מייד עם הפנייה שלנו, מגדל הודיעו שהם מפסיקים לאסוף המידע ומפסיקים את השימוש בו. ומשיקולים משפטיים אחרים שנוגעים לבהירות של ההוראה החוקית, לא הטלנו עליהם קנס מנהלי. יש לנו אפשרות להטיל קנס מנהלי ב-25 אלף שקל להפרה, אבל בשביל זה אנחנו צריכים לפתוח בהליך פלילי. לכן אנחנו בעיצומו של הליך לשינוי החוק, שיאפשר לנו הטלת עיצומים כספיים במקום קנסות. עיצומים זה הליך מנהלי שהוא קל יותר מקנס, שהוא במישור הפלילי".
לאחרונה ראיתי מבצע של אורנג' שהרשמה אליו מותנית בהסכמה לשימוש בפרטים אישיים לצרכים שיווקיים. אתה ממליץ לצרכנים למסור פרטים במסגרת מבצעים והטבות?
"זו ההחלטה האישית של כל אדם אם הוא מוכן למכור את הפרטיות בשביל שובר של 10-100 שקל. אני מאוד לא ממליץ על זה, כי בסופו של דבר, אתה לא מרוויח את הכסף הזה, כי אתה משלם על זה במקום אחר. איסוף הפרטים זה כדי שיוכלו למכור לך דברים אחרים, ואין לך שום שליטה על מה קורה עם המידע שלך".
בעידן הפייסבוק יש בכלל יכולת פיקוח על הפרטיות? חברות עושות שם מה שהן רוצות.
"שיווק ממוקד אישית ופילוח התנהגותי זה אחד הנושאים החמים בנושא פרטיות היום. די ברור שהאופן בו העסק מנוהל בפייסבוק היום, נעשה תוך הפרה משמעותית של פרטיות. אנשים צריכים להיות מודעים לעניין הזה, כי הם מוכרים את הפרטיות שלהם מאוד בזול ואחר כך מתפלאים ולא מבינים איך פנו אליהם ואיך הגיעו אליהם. אני ממליץ לכל מי שחש שנפגע להתלונן דרך אתר האינטרנט שלנו. בעבר כבר הטלנו קנסות מנהליים, אבל פרסום בתקשורת מדאיג אותם יותר מכל קנס".
ממגדל מקפת מסרו בתגובה: "לאחר שמקפת העבירה התייחסות מסודרת לטענות שנדרשו לבירור, נמצא כי ההודעות למבוטחים, לרבות ספח עדכון הפרטים הרגולטורי, נשלחו בהתאם לחוזרי הפיקוח לעניין זה.
"לספח צורפה פנייה לקבלת נתונים ליצירת קשר ומידע נוסף מהעמיתים. המענה לפניה זו היה בבחינת רשות ונתון היה לשיקול דעתם של הלקוחות. ואכן, מרבית המבוטחים הבינו זאת כך ולא השיבו לפנייה. בנוסף וכפי שנמסר לרשם, מקפת לא עשתה כל שימוש אף במיעוט הפרטים שנשלחו בעקבות פנייה זו".