لم يحصل القسم الكندي في Residence Depot على موافقة العملاء قبل مشاركة تفاصيل الإيصالات الإلكترونية للعملاء – بما في ذلك عناوين البريد الإلكتروني المشفرة ومعلومات الشراء في المتجر – مع Meta Platforms الأم على Fb ، كما يقول مفوض الخصوصية الكندي.
في تقرير صدر يوم الخميس ، قال المفوض فيليب دوفرسن إن هوم ديبوت في كندا أكد أن البيانات تم شحنها دون معرفة أو موافقة العملاء في انتهاك لقانون حماية المعلومات الشخصية والوثائق الإلكترونية الفيدرالي (PIPEDA).
تم ذلك من خلال برنامج Meta للتحويلات دون اتصال بالإنترنت. كانت Residence Depot تجمع عناوين البريد الإلكتروني للعملاء عند الخروج من المتجر للغرض المعلن المتمثل في تزويد العملاء بنسخة إلكترونية من إيصالهم منذ عام 2018 على الأقل. ومع ذلك ، كشف التحقيق أنه خلال هذه الفترة ، كانت عناوين البريد الإلكتروني المشفرة ، جنبًا إلى جنب مع المستوى العالي تفاصيل حول عمليات الشراء داخل المتجر لكل عميل ، تم إرسالها أيضًا إلى Meta.
“عندما طُلب من العملاء تقديم عناوين بريدهم الإلكتروني [at check-out]قال دوفرسن في بيان صحفي مصاحب للقرار: “لم يتم إبلاغهم أبدًا بأن معلوماتهم ستتم مشاركتها مع Meta بواسطة Residence Depot ، أو كيف يمكن استخدامها من قبل أي من الشركتين”. “قد تكون هذه المعلومات جوهرية لقرار العميل بشأن الحصول على إيصال إلكتروني أم لا.”
قال دوفرسن: “نظرًا لأن الشركات تتطلع بشكل متزايد إلى تقديم الخدمات إلكترونيًا ، فيجب عليها التفكير بعناية في أي استخدامات لاحقة للمعلومات الشخصية ، والتي قد تتطلب موافقة إضافية”.
“في هذه الحالة ، من غير المحتمل أن يتوقع عملاء Residence Depot مشاركة معلوماتهم الشخصية مع منصة وسائط اجتماعية تابعة لجهة خارجية لمجرد أنهم اختاروا إيصالًا إلكترونيًا.
“نظرًا لأن كندا تحتفل بأسبوع خصوصية البيانات ، فهذا هو الوقت المثالي لتذكير الشركات بضرورة الحصول على موافقة صالحة في نقطة البيع للانخراط في هذا النوع من النشاط التجاري.”
قال الحكم إن المعلومات المرسلة إلى Meta تم استخدامها للتحقق مما إذا كان العميل لديه حساب على Fb. إذا فعلوا ذلك ، قارن Meta مشتريات الشخص في المتجر بإعلانات Residence Depot المرسلة عبر النظام الأساسي لقياس فعالية هذه الإعلانات والإبلاغ عنها. كما أتاحت الشروط التعاقدية للتحويلات دون اتصال الخاصة بشركة Meta استخدام معلومات العميل لأغراض تجارية خاصة بها ، بما في ذلك تحديد سمات المستخدم والإعلانات المستهدفة ، والتي لا علاقة لها بـ Residence Depot.
تم تشفير كل عنوان بريد إلكتروني تشاركه Residence Depot مع Meta بحيث لا يمكن للأفراد في Fb قراءته. استخدمت Meta عملية آلية سمحت لها بمطابقة عناوين البريد الإلكتروني المرفقة بحسابات Fb. لا يمكن ربط عناوين البريد الإلكتروني غير المرتبطة بالفعل بحساب Fb بأفراد.
في حين أن تفاصيل مشتريات الشخص داخل المتجر قد لا تكون حساسة في سياق Residence Depot ، إلا أنها قد تكون حساسة للغاية في سياقات البيع بالتجزئة الأخرى ، حيث تكشف ، على سبيل المثال ، معلومات حول صحة الفرد أو حياته الجنسية.
أثناء التحقيق ، قالت Residence Depot إنها اعتمدت على الموافقة الضمنية وأن بيان الخصوصية الخاص بها ، الذي يمكن الوصول إليه من خلال موقعها على الويب والمطبوع عند الطلب في مواقع البيع بالتجزئة ، أوضح بشكل كافٍ أن الشركة تستخدم “معلومات غير محددة الهوية لأغراض تجارية داخلية ، مثل التسويق وخدمة العملاء وتحليلات الأعمال. ” ينص بيان موقع الويب أيضًا على أن الشركة “قد تشارك المعلومات لأغراض تجارية” ، بما في ذلك “مع أطراف ثالثة”. اعتمدت Residence Depot أيضًا على بيان خصوصية Fb ، والذي أوضح برنامج التحويلات دون اتصال بالإنترنت.
رفض المفوض هذه الحجة ، لأن بيانات الخصوصية التي اعتمد عليها Residence Depot للحصول على الموافقة لم تكن متاحة بسهولة للعملاء في مكتب الخروج ، ولن يكون لدى المستهلكين أي سبب لطلبها. علاوة على ذلك ، وجد المفوض أن بيان الخصوصية الخاص بـ Residence Depot لم يشرح هذه الممارسة بوضوح.
قالت الشركة إنها لم تخطر العملاء باتفاقية مشاركة المعلومات مع Meta قبل إصدار الإيصالات الإلكترونية بسبب خطر “إجهاد الموافقة”.
قال دوفرسن: “يحتاج المستهلكون إلى معلومات واضحة في نقاط المعاملات الرئيسية ، وتمكينهم من اتخاذ قرارات بشأن كيفية استخدام معلوماتهم الشخصية”. “إجهاد الموافقة ليس سببًا صالحًا لعدم الحصول على موافقة ذات مغزى. سيتفاجأ العديد من العملاء ، كما كان مقدم الشكوى في هذه الحالة ، عندما يعلم أن معلوماتهم الشخصية قد تمت مشاركتها مع طرف ثالث مثل Fb دون علمهم وموافقتهم “.
نتيجة للتحقيق ، أوصى مكتب مفوض الخصوصية (OPC) بأن تقوم Residence Depot بما يلي:
- التوقف عن الإفصاح عن المعلومات الشخصية للعملاء الذين يطلبون إيصالًا إلكترونيًا إلى Meta حتى تتمكن من تنفيذ تدابير لضمان الموافقة الصالحة ؛
- تنفيذ تدابير للحصول على موافقة صريحة من العملاء قبل مشاركة المعلومات مع Meta ، في حالة استئنافها لهذه الممارسة ؛ و
- ضمان الموافقة الهادفة من خلال تزويد العملاء الذين يطلبون إيصالًا إلكترونيًا بالمعلومات الأساسية المتعلقة بمشاركتها للمعلومات مع Meta في نقطة البيع ، ومن خلال تعزيز بيان الخصوصية الخاص بها ليشمل شرحًا مفصلاً لممارساتها وكيف يمكن للعملاء سحب الموافقة.
وقالت OPC إن Residence Depot كانت متعاونة بشكل كامل طوال التحقيق ، ووافقت على تنفيذ OPCتوصيات. توقفت الشركة عن مشاركة معلومات العملاء مع Meta في أكتوبر 2022.
