בפרק "תנאי שימוש" (Terms of Service) בעונה השנייה של הסדרה "סיליקון ואלי" נחרדת חבורת היזמים הצעירים לגלות שאחד מבני החבורה שגה את שגיאת חייו. התעלמות מאחד מחוקי הפרטיות החשובים באמריקה עמדה לחסל את החברה שהקימו ולשלוח את חבריה היישר אל לשכת התעסוקה (לא הממשית, בכל זאת סיליקון ואלי). הסתבר שברוב התלהבותו שכח המנכ"ל להטמיע את תנאי השימוש באפליקציית צ'אטים לוהטת שפיתח, ובכך פתח שערי גיהינום. עשרות אלפי קטינים מתחת לגיל 13 הציפו את שירות הצ'אט של החברה, ובכך גרמו לה להפר את חוק הגנת הפרטיות על ילדים ברשת (COPPA). בעוד החבורה מנסה לעכל את הגורל הצפוי לה, המונה דפק ודפק. חישוב מהיר העלה שהקנס הפוטנציאלי שלהם הגיע לסכום פנטסטי של 27 מיליארד דולר.
בכתבה שפורסמה במגזין הנשים Bustle נכתב כי למעשה הקנס שהיה מוטל על החברה יכול היה להיות אולי 3 מיליון דולר, ולא לסכום ששווה לתוצר לאומי גולמי של מדינה, אבל מה שיותר מעניין היתה הכותרת של הכתבה - "האם ה - COPPA הוא חוק אמיתי?". בניגוד לחוק הזה - שביטויו המוכר ביותר הוא האיסור על ילדים מתחת לגיל 13 לגלוש בפייסבוק - הגורל שצפוי לשם GDPR (רגולציית הגנת המידע הכללית) עומד להיות שונה לגמרי.
ב-25 במאי, לאחר שנתיים של תקופת הסתגלות, עומד להיכנס לתוקף רגולציית הפרטיות של האיחוד האירופאי שצפוייה לחולל מהפכה משפטית שצפויה שכבר עתה שולחת גלי הדף בעולם כולו ובמידה רבה גם לישראל. חקיקה זו מהווה שיא בהתפתחות חקיקתית שהחלה באירופה עוד בתחילת שנות התשעים והיא מהווה את חוד החנית בחקיקת הפרטיות בעולם כולו.
GDPR - הפרט שולט במידע
GDPR היא החקיקה המקיפה ביותר שנועדה להגן על הזכות לפרטיות של בני אדם בעידן הדיגיטלי, ועל אבטחת וניהול מידע בארגונים. זו הפעם הראשונה שאירופה מחילה חוק ישיר על אזרחי האיחוד בתחום הפרטיות. זו הפעם הראשונה שמעצמה עולמית מחילה חוק כה מקיף, שמתוקף יחסי המסחר הענפים שלה עם העולם, ומעצם טבעה הגלובלי של רשת האינטרנט, ישפיע גם על ההתנהלות העסקית העולמית בכל הרמות - החל מעסקים קטנים ועד תאגידים רב לאומיים רבי עוצמה. זו הפעם הראשונה שהחוק מאיים להטיל קנסות אסטרונומיים שאין גורם עסקי בעולם שיוכל להתעלם מהם.
בעיקר מתיימרת GDPR להעביר חלק מכובד המשקל של השליטה במידע מארגונים אל הפרט. סט הכללים החדש ידאג למשל שבני אדם יתבקשו לאשר מראש את איסוף המידע עליהם, יקבלו מראש דיווח על מה מתכוונים לעשות איתו ושהמידע שנאסף ישמש רק לשם המטרה שלשמו נאמר שהוא ישמש. משתמשים יוכלו לבקש מארגונים לקבל את המידע שאספו עליהם, לתקן אותו, למחוק אותו כליל ולהישכח ואפילו לארוז אותו ב-Take Away כדי לקחת אותו לנותן שירות אחר בין אם זה בנק אחר, או רשת חברתית אחרת.
בניגוד, למשל, לשדרוגים בכללי תקינה חשבונאיים שמעסיקים את השדרה הבירוקרטית הארגונית, ההשפעה של אוסף הכללי האירופי שמתמקד בפרטיות במרחב הדיגיטלי, יגיע אל המחשבים והטלפונים החכמים של כל אחד מאיתנו, כצרכני דיגיטל. כך למשל החלה פייסבוק להציג לגולשים באירופה מסכי הסכמה ואישורים שנועדו לאפשר לה לעמוד בכללי ה-GDPR. בחברה מבטיחים ליישם אותם ברחבי העולם בשינויים קלים.
כתב טקראנץ' (TechCrunch) שהשתתף בסיור שנועד להציג את השינויים לכתבי טכנולוגיה סיפר שהכתבים לא התרשמו מרמת הזרימה של פייסבוק עם רוח הכללים החדשים ו"שיפדו" את סגן הסמנכ"ל לפרטיות. אגב, סמנכ"ל פרטיות, מדובר בתפקיד חדש ש-GDPR מחייב להפעיל. (DPO - Data Protection Officer). על פי ההערכות בארה"ב, שם אין חיוב לקיום המשרה, צמחה הדרישה לו ב-15 השנים האחרונות מהשטח וכיום 35 אלף מנהלים מכהנים בתפקיד. הצפי הוא שבאיחוד האירופי יהיו בשנה הקרובה כ-70 אלף מנהלים בתפקיד זה שמצריך הבנה משפטית, טכנולוגית, עסקית ותרבותית.
החקיקה החדשה לא תעצור באירופה
הכללים החדשים ישפיעו כמעט על כל חברה בעולם ובישראל שעושה עסקים עם אירופה, ובכללם עשרות אלפי ישראלים, למשל כאלה שמנהלים חנויות אונליין. אלה למשל יצטרכו לקחת בחשבון שברגע שהם ישמרו באופן מקומי, על המחשב שלהם, מידע על לקוחות גם הם יהיו מחויבים לכללי ה-GDPR, ולכן יצטרכו ליידע את הלקוחות על שמירת המידע והצורך לשמו הוא נשמר, ומלכתחילה לשמור רק את המידע הדרוש להם ולעשות בו שימוש רק למטרה המוצהרת.
מוכרים בפלטפורמות הגלובליות צריכים לדאוג פחות משום שהנטל על ציות לכללי ה- GDPR מוטל על כתפי הפלטפורמה, כפי שמסביר אלעד גולדנברג, מנהל הפעילות העסקית ב-eBayישראל שמזכיר כי שימוש בפרטי לקוחות פעילות עסקית מחוץ למסגרת הפלטפורמה הוא הפרה של כללי השימוש של איביי עצמה.
במישור הבינלאומי, GDPR מהווה נקודת ציון משמעותית במערכה מתמשכת שמנהלת אירופה מול ענקיות האינטרנט האמריקניות ובראשן פייסבוק אמזון וגוגל. באירופה, בניגוד לארה"ב, רוסיה וסין, לא התפתחה אף ענקית אינטרנט משמעותית, לא בתחום הרשתות החברתיות, לא בתחום החיפוש, לא בתחום המסחר האלקטרוני לא בתחום המסרים המידיים ולא בפלטפורמות פרסום. תוסיפו לזה את הטראומה האירופית מהחשיפות של אדוארד סנודן על היקף איסוף המידע של ארה"ב באירופה, ותבינו את המוטיבציה האירופית לקדם את החקיקה שמישירה אצבע מחודדת הישר אל גלגל העין של המודל העסקי של ענקיות האינטרנט האמריקאיות.
המוטיבציה לחקיקה האירופית היא אולי פוליטית וכלכלית אבל היא נעוצה היטב בקרקע תרבותית. אחד הביטויים העכשוויים לכך הוא למשל אחוז החדירה הנמוך של פייסבוק בגרמניה, הנמוך באירופה. גרמנים רבים הצטרפו לרשת החברתית בשלבים מאוחרים וגם מי שחברים בה נוהגים במקרים רבים לשמור בה על פרופיל נמוך ביותר, לא מעלים תמונות אישיות ולפעמים אפילון נמנעים מפרסום תמונת פרופיל. הרגישות הזאת, שמקורה בתקופות אפלות בהיסטוריה, היא זו כנראה הסיבה שדווקא גרמניה היתה חלוצה עולמית בתחום חקיקת הפרטיות וכבר ב-1970 חוקקה חוק הגנת פרטיות.
GDPR לא נולד יש מאין. אלא זהו גלגול של חקיקה כלל אירופית מ-1995 - הדירקטיבה להגנת מידע. דירקטיבה היא חקיקה שמחייבת את המדינות לחוקק חוקים ברוחה, אך לא חלה ישירות על האזרחים. החקיקה הזאת נועדה ליצור הרמוניה חקיקתית אך בפועל לאורך השנים זו הופרה על ידי החקיקה השונה בין המדינות. החוק החדש לקח את הדירקטיבה הישנה, הוסיף לה כמה מרכיבים משמעותיים ובראשם שיניים בדמות קנסות עתק, והחיל אותה בכל רחבי האיחוד האירופאי, ישירות על אזרחי האיחוד.
כדי להבין את GDPR והטיפול המקיף והכולל שלו בפרטיות, צריך להבין את ההבדל בינו לבין היחס האירופי לפרטיות לבין היחס בארה"ב, אומר פרופ' מיכאל בירנהק, מהפקולטה למשפטים באוניברסיטת תל אביב, מבכירי המומחים למשפט וטכנולוגיה. "בעולם התפתחה בד בבד עם התפתחות המחשבים בעולם בשנות ה--70 ההבנה שלמידע אישי יש גם משמעות כלכלית כי מידע הוא מוצר. מצד שני, התפתחה ההבנה שקיימים סוגי מידע בעיתיים שאנשים לא רוצים למסור. אבל החקיקה בארה"ב התקדמה לאיטה ועד פרשת ווטרגייט, ההתייחסות פרטיות היתה רק בפסקי דין. בחוקה האמריקנית היא אינה מוזכרת כלל. מאוחר יותר צצה בארה"ב חקיקה שעסקה בפרטיות בכל פעם סביב נושא ספציפי - כמו מידע פיננסי, מידע בריאותי, גנטי, וגם החוק (שהזכרנו בפתיחת הכתבה, א.ב.) המגן על פרטיות ילדים באינטרנט. בארה"ב אם אין חוק פדרלי ספציפי שעוסק במצב מסוים אז המידע הוא הפקר. מידע צרכני כמו כזה שנאסף באמצעות כרטיס מועדון של סופרמרקט, למשל. זה ההבדל העיקרי בין התפיסה האמריקנית לאירופית - באירופה חל החוק על כל מידע אישי שמאפשר לזהות אדם לא רק ישירות אלא גם בעקיפין".
עיקרי הכללים החדשים
החוק האירופי מלווה את כל המידע האישי שלנו לכל אורך המסלול שהוא עשוי לעבור למן הרגע שבו נוצר מגע עם המשתמש ועד השלב שבו הוא עשוי לבקש לקבל למחוק או לנייד אותו:
* מטרת איסוף המידע צריכה להיות לגיטימית ובעלת הקשר
אם אתר של סופרמרקט יתנה מכירות חלב וקורנפלקס בעדכון פרטים על השכלה רק כי הוא יכול, במטרה למכור את המידע - ייתכן שהדבר ייחשב לא לגיטימי משום שהוא נטול הקשר. זוכרים את מיזם Woosh שדרש מעוברי אורח בתל אביב להעביר כרטיס אשראי בכדי לקבל מים, וספג קיתונות של ביקורת? לפני איסוף המידע חובה להודיע על הכוונה לעשות כן, לאילו מטרות, והאם קיימת כוונה להעבירו הלאה ולקבל את הסכמה מפורשת לכך.
* המידע יישמר רק למטרה ספציפית
לאחר שהמידע כבר נשמר, מותר להשתמש במידע רק למטרה שלשמה הוא נאסף. זה אתגר גדול מאוד לעסקים שכרגע אוספים מידע למטרה אחת משתמשים בו לעוד מטרות רק משום שהם יכולים. על פי החוק החדש אסור להם והם צריכים לחזור לאנשים ולבקש את הסכמתם מחדש. אם הם חכמים הם יכולים לבקש מראש הסכמה לכמה שימושים אבל הם עדיין יצטרכו לפרט מראש מהם אותם שימושים.
* חובה לשמור על סודיות ואבטחת המידע
אבטחת מידע היא מבחוץ - פנימה, למשל על ידי האקרים. האקרים נשמע תמיד יותר סקסי אבל סודיות - דליפה מבפנים החוצה - היא בעיה הרבה יותר משמעותית. כיום רוב התיקים המשמעתיים בשרות הציבורי וגם חלק מהפליליים עוסקים בדליפת מידע. זה יכול לנבוע מרשלנות כמו למשל עובד ששכח את הלפטופ באוטו וזה יכול להיות פלילי כמו למשל חבר שמבקש מחבר במשטרה לבדוק לו מידע על אדם אחר. בשנות התשעים לא מעט חיילים מחיל השלישות נענשו לאחר שניצלו את הגישה למערכת הנתונים על כוח אדם בצהל והציצו בתיקים האישיים של סלבס. אז זו היתה בעיקר יעל בר-זוהר. התופעה אולי דוכאה בהצלחה מסוימת בצבא, אך לא נעלמה מהעולם.
* הזכות לגשת למידע והזכות להישכח
מדובר בזכות שכבר קיימת כיום גם בישראל וגם באירופה אולם לא רק שאין לה מודעות אלא שחברות מערימות קשיים על מימושה. שני מקרים עלו לכותרות בהקשר זה: פרשת מקס שרמס, הצעיר האוסטרי שיצא ב-2011 למסע נגד פייסבוק ולאחר שגרר אותה לבית המשפט קיבל לידיו את כל המידע שנאסף עליו - 1,200 עמודים של מידע; והמקרה של עיתונאית הגארדיין ג'ודית' דופורטייל שהגישה בקשה דומה לחברה המפעילה את שירות ההיכרויות טינדר, וקיבלה 800 עמודים (פורסם בספטמבר 2017).
וכאן אנחנו מגיעים לחידושים של ה-GDPR שכולל את כל מה שכללה החקיקה הקודמת רק ביתר עוצמה ועם תוספות משמעותיות, כמו הזכות שזה עתה הזכרנו - הזכות להישכח. מדובר באחת הבשורות הכי משמעותיות של GDPR שעשויה לגעת לרבים מאיתנו. עד כמה מדובר בזכות מבוקשת, ניתן להסיק מנתונים שסיפקה גוגל עצמה ולפיהם בין 2104 ל-2017 הגיעו לחברה 2.4 מיליון בקשות למחיקת מידע. זה יכול להיות מידע מביך שפורסם באתרים כמו גם מידע שנאסף על ידי גוגל מהרשתות החברתיות ונשמר בשרתיה. ואולם, על פי המספרים של גוגל עצמה היא נענתה רק ל-43 אחוזים מהן.
קל לתאר שלאחר שהזכות להישכח תהפוך למחייבת השימוש בה רק יילך ויגבר, רק שהפעם, ככל שמדובר באזרחי האיחוד, יוותר בידיה הרבה פחות שיקול דעת. שלא לדבר על השאלה היותר משמעותית - כיצד הולכות לדור בכפיפה אחת הזכות האירופית לפרטיות וחופש הביטוי האמריקני? ב-"אקונומיסט" נכתב כי כל הביקורות והתהיות מכוונות נגד ההתייחסות ל-GDPR כלשונו ולא כקריאה להתעלם מהסוגייה של הגנה על מידע. "אם אמריקה תמשיל בדרכה", נכתב במגזין, היא לא תצליח להגן על האזרחים ועל בריאותם ארוכת הטווח של החברות. כלכלת המידע של אמריקה שרדה זמן רב כמעט ללא כללים. העידן הזה נגמר".
* הזכות לחזרה מהסכמה שכבר ניתנה
משתמשים יוכלו להודיע שמה שהיה היה, אבל מעתה אסור להשתמש במידע שנאסף עליהם. בכלל, שאלת ההסכמה קיבלה דגש מיוחד בפתיח של GDPR שם מבהירים האירופים שכשיטה הם מעדיפים את מה שמכונה בעגה המקצועית Opt-In. הכוונה היא שברירת המחדל הוא שהמשתמש לא בפנים וצריך להיכנס בניגוד ל-Opt-Out שהוא מצב שבו ברירת המחדל היא שאתה בפנים אלא אם בחרת לצאת. ההבדל הזה קריטי כי הנטייה של בני אדם היא לא לשנות ברירות מחדל. למשל - כאשר אנו מתקינים תוכנה וה-V תחת "אני מסכים" כבר מסומן, זה אופט-אאוט. כאשר התיבה ריקה ואנו צריכים אקטיבית לסמן את ה-V או ה-X זה אופט-אין. זכות חשובה נוספת היא הזכות לניוד המידע - היכולת לעבור עם סט המידע שנשמר על האזרח לנותן שירות אחר, למשל לרשת חברתית, בנק או חברת ביטוח.
עבור ארגונים ההשפעה היא הרבה מעבר לשינויים מרחיקי הלכת שחברות יצטרכו לעשות באופן שבו הן משיגות את הסכמת הגולשים למידע והשמירה עליו. החוק האירופי מחייב את העולם העסקי להחיל סט חדש של נורמות ארגוניות וטכנולוגיות. כך למשל הוא מטיל חובה על ארגונים לעשות "תסקיר הגנת פרטיות". תחשבו על "תסקיר הגנת סביבה" שבו בודקים איך פרויקט נדל"ן ישפיע על המים, וחיות? אז כך יצטרכו ארגונים לבחון את השפעות פעולותיהם על היבטי פרטיות. לבסוף, ארגונים מונחים מעתה לא רק לחשוב פרטיות אלא לעשות פרטיות - מה שמכונה Privacy by Design. זאת אומרת להטמיע את החשיבה שלוקחת בחשבון את צרכי השמירה על פרטיות בכל שלבי הפיתוח של מוצרים ושירותים.
"בגדול רוב השוק לא מוכן"
כניסתו הקרוב לתוקף של החוק מטרידה את עולם העסקי כבר זמן רב, והלחץ הולך וגובר ככל שמתקרב מועד הכניסה לתוקף, פחות בגלל החשש מסנקציות אירופאיות ויותר בגלל הדרישה מצד שותפים עסקיים, אומרת עו"ד גל עומר, ממשרד עוה"ד משרד עמית פולק מטלון "מה שהולך ברבעון האחרון זה טירוף טוטאלי" , אומרת עומר, "חברות מקבלות דרישות משותפים בחו"ל שהן לא יודעות איך לעבד. זה משתנה מחברה לחברה אבל בגדול רוב השוק לא מוכן. ככל שחברה גדולה או ממוסדת ורגילה לעבוד עם רגולציה, כך סביר שרמת המוכנות שלה גבוהה ולהיפך - חברות קטנות וסטארטאפים שלא חושבים רגולציה - רמת המוכנות שלהם נמוכה במיוחד".
"הבעיה הכי גדולה היא חוסר ההבנה של מה נחשב מידע אישי, כי ההבנה האינטואיטיבית של מה זה מידע אישי וההגדרה שלו ב- GDPR שונה. חברות מתרעמות על כך שאיך זה יכול להיות שאם שומרים נתוני צריכה של לקוח בלי השם שלו אלא רק כתובת IP ואימייל אז זה נחשב מידע אישי. חברות שבהן המודל העסקי בנוי על שימוש במידע אישי שנאסף על המשתמש, נמצאות בבעיה משום שכל המודלים שלהן לא יוכלו לעבוד יותר", היא אומרת.
גם עו"ד אלה טבת ממשרד גרוס (GHK) מפרידה בין סוגי החברות השונות על-פי רמת החשיפה שלהן לאירופה: "חברות שעל הרדאר צריכות להיות מותאמות ל-GDPR כבר מההתחלה ומסוכן עבורן להמתין לפרשנויות בסוגיות שיש לגביהן ספקות כמו שאלת המינוי של נציג באירופה".
אמנם GDPR נוגע כמובן לחברות בכל הסקטורים, מצרכנות ועד פיננסים אבל בעולמות ההיי-טק והאינטרנט מטבע הדברים נקודות ההשקה רבות במיוחד. "כל מי שמציעים שירותים או מוצרים, מוכרים או מפרסמים אונליין לכתובת IP באיחוד האירופי - ה-GDPR חל עליהם ובעולם הטק זה כמעט כולם", אומרת עו"ד נתלי נוי, שותפה וראש מחלקת הייטק וטכנולוגיה במשרד ERM אפשטיין רוזנבלום מעוז, "וזאת משום שאף אחד לא סוגר את ה- IP שלו לאירופה, אבל לפעמים אין ברירה וחברות נאלצות לעשות זאת משום שהעלויות של התאמה לכללי ה-GDPR עלולות להיות גבוהות מההכנסות שלהן משוק זה. בכל מקרה, בכל העולם, לא רק חברות שטרם התחילו את התהליך או רק נמצאות באמצעו, אלא גם חברות שחושבות שהנושא מאחוריהן, חייבות להפנים שה-25 במאי הוא לא הסוף, אלא רק ההתחלה".
המחיר של השאננות עלול להיות יקר, מזהיר גלעד ירון, מנהל תחום פרטיות ואבטחת ענן במרכז הגנת הסייבר Secoz-BDO , "הסיכון העיקרי של סטארטאפים שלא נזכרו בזמן לעשות את ההתאמות הנדרשות הוא שהם לא יעמוד בדרישות של הלקוחות להיות מותאמים ל-GDPR וכבר ראיתי ארגונים גדולים סוגרים את השאלטר לחברות ישראליות, לא רק חברות אירופאיות אלא חברות אמריקניות שסוחרות השוק האירופי".
עוד סיבה להתייחס לחוק האירופי החדש ברצינות מספק מי שהיה הרגולטור הישראלי בתחום הפרטיות בישראל בין השנים 2006 ל-2013 - מנכ"ל איגוד האינטרנט הישראלי יורם הכהן, לשעבר יו"ר הרשות למשפט וטכנולוגיה (רמו"ט) אשר שינה בשנה שעברה את שמו לרשות להגנת הפרטיות. לדבריו, גם מי שסבורים שהחוק לא נוגע להם משום שאין להם מגע כלשהו עם האיחוד האירופי, צריכים לקחת ברצינות את הרוחות החדשות שנושבות מהיבשת. "בישראל צריכים להבין שה-GDPR של היום זו חקיקת הפרטיות של ישראל מחר. ואם מסתכלים על ההיסטוריה של חקיקת הפרטיות הישראלית, רואים שעד היום היה פער זמנים מאוד קצר לבין היישום בעולם לבין היישום בישראל. היום ישראל מפגרת אחרי מה שקורה בעולם וזו הרלוונטיות לאזרחים - לא רק לעסקים ששואלים עצמם יחטפו קנס או לא מהרגולטור האירופאי. בסופו של דבר האירופאים יגרמו לזה שרמת ההגנה על הפרטיות בישראל תהיה יותר גבוה".