לאחרונה, במסגרת תקנות המידע של האיחוד האירופי –  General Data  Protection Regulation (או בשמם המוכר, ה-GDPR), פורסם מסמך הנחיות חדש לעניין פירוש המונח "הסכמה". נזכיר, כי התקנות מהוות את השינוי הגדול והמשמעותי ביותר בעשורים האחרונים בתחום דיני המידע, ואת היותן אקס-טריטוריאליות, כלומר שיחולו לא רק על חברות אירופאיות, אלא גם על חברות שמקום מושבן מחוץ לגבולות האיחוד האירופאי, בתנאי שהן:

  1. מציעות שירותים או מוצרים לתושבי האיחוד האירופי;
  2. מנטרות את ההתנהגות של תושבי האיחוד.

הגדרה רחבה זו כוללת בתוכה מגוון רחב של חברות, לרבות חברות ישראליות, אשר פועלות בתחומי האינטרנט, תוכנה, מסחר מקוון ואנליטיקה.

ההסכמה המדוברת היא ההסכמה שנדרש להשיג כל גוף המחזיק מידע אודות לקוחותיו או משתמשיו, מנושא המידע (Data Subject) הרלוונטי. ככלל, כל סוג של עיבוד מידע דורש את הסכמתו של המשתמש (או מקור חוקי אחר לעיבוד המידע). הסכמה תקפה רק במקרה בו המשתמש נתן את הסכמתו מתוך בחירה חופשית בתנאי העיבוד, כאשר אי הסכמה לא תפגע בו. בעת בקשת ההסכמה, על מעבד המידע מוטלת החובה להעריך האם ההסכמה תענה על דרישות ה-GDPR.

על הסכמה תחת ה-GDPR להינתן באופן מודע, חופשי, ספציפי וחד משמעי, באמצעות הצהרה או פעולה אקטיבית. על ההסכמה להיות פעולה הפיכה, ועליה להתייחס לתהליך עיבוד המידע. על מעבד המידע לבחון מעת לעת את ההסכמה אשר כבר ניתנה לו על ידי לקוחותיו, ובמקרים מסוימים אף נאסר עליו לכבול מתן שירות עם הסכמה לעיבוד מידע. ההנחיה מוסיפה מגבלות על עיבוד מידע גם במסגרת יחסי עובד – מעביד.

דרך השגת ההסכמה מוסדרת גם היא, ועליה להיעשות בשפה פשוטה וברורה, תוך יידוע המשתמש באופן רחב ככל הניתן. אין להשיג הסכמה באמצעות "Opting-Out", וישנם תנאים מיוחדים המסדירים קבלת הסכמה מקטינים.

בסיטואציות בהן:

  • עולה חשש לסיכון משמעותי בתהליך עיבוד המידע; ו/ או
  •  המידע הינו מידע רגיש (כמו מידע ביומטרי, גנטי, בריאותי וכד'); ו/ או
  • המידע מועבר לעיבוד במדינה מחוץ לWhite List או ארגון בינ"ל

על מעבד המידע להשיג הסכמה מפורשת וברורה מעבר לרגיל, ובדרך אקטיבית מיוחדת.

באחריות מעבד המידע להוכיח ולהיות מסוגל להציג בכל עת כי השיג הסכמה ממשתמשיו. עליו לשמור תיעוד של הסכמות המשתמשים, ושל המידע אשר הוצג, כאשר אין פרק זמן מוגדר לשמירת התיעוד. מומלץ כי אשרור מחדש של הסכמת המשתמש יושג מעת לעת. על אופן משיכת ההסכמה להיות קל כאופן נתינתה, ללא פגיעה במשתמש, ובכלל זה אי תשלום על המשיכה או הורדת רמת השירות. על המעבד ליידע את המשתמש על זכותו למשוך את הסכמתו.

על מעבד מידע העוסק בתחומים של מחקר רפואי מוטל נטל כבד עוד יותר, כאשר המונח "מחקר מדעי" מפורש באופן רחב תחת ה-GDPR. על מעבד המידע לעבוד בשקיפות מלאה, להבטיח את אנונימיות הנבדקים  וליידע אותם באופן תדיר ורחב.

תקנות הGDPR מעלות את הרף הנדרש כעת ממעבדי מידע, ועליהם לסקור מחדש את סדרי עבודתם ואת מנגנוני ההסכמה שלהם על מנת שיוכלו להמשיך לספק את שירותיהם ללקוחותיהם באיחוד האירופי.