בעוד חודשיים (ה-28 במאי ליתר דיוק), ייכנס לתוקף באירופה אוסף של רגולציות המתייחסות לפרטיות הגולשים והאופן שבו יהיה ניתן לאסוף עליהם פרטים דרך הרשת בשם GDPR (General Data Protection Regulation).
איך זה בדיוק נוגע אלינו כאן בישראל? גם אם אנחנו מאחסנים את כל הנתונים שלנו כאן בארץ על שרתים מקומיים, החוק הזה רלוונטי אלינו כל עוד אנחנו אוספים מידע על גולשים שנמצאים באירופה. למשל, אם אנחנו מריצים קמפיין למשחקי פוקר מקוונים (שמותרים באירופה) ואוספים מידע כלשהו על הגולשים, אפילו רק כתובות דואר אלקטרוני, נצטרך למלא אחרי כל הדרישות של החוק.
מה בעצם אומר החוק?
בראש ובראשונה, החוק מבדיל בין מי שמאחסן את המידע בפועל לבין מי שעושה בו שימוש. לדוגמה, אם יש לנו רשימת תפוצה שאנחנו מנהלים דרך שרות MailChimp, אנחנו נחשבים לאלו שמבצעים בקרה על אופן השימוש במידע ואילו MailChimp נחשב למי שמעבד את המידע בפועל.
שנית, החוק מתייחס למידע פרטי באופן הרבה יותר רחב מאשר ההגדרה המקובלת שאנחנו בדרך כלל חושבים עליה. למעשה, כל מידע שמאפשר לזהות את הגולש באופן פרטני בשילוב עם מידע נוסף, נחשב למידע פרטי. לכן, אפילו כתובת ה-IP של הגולש שמזהה את המחשב שלו ואת מקום המגורים המשוער שלו (בהתאם לספק), נחשבת למידע פרטי.
העיקרון המנחה את החוק החדש הוא שקיפות: הגולש חייב לדעת בדיוק מהו המידע שאנחנו אוספים עליו, כיצד אנחנו מעבדים אותו ולשם מה אנחנו עושים זאת. לדוגמה, אם הגולש פתח חשבון לרכישות מקוונת, אנחנו עשויים לשלוח לו סיכום תקופתי של החיובים שלו כחלק מהסכם השימוש, ולכן אנחנו חייבים לשמור את כתובת הדואר האלקטרוני שלו.
פרטים נוספים שהגולש חייב לדעת הם מי מאחסן את הפרטים עליו בפועל וכמה זמן המידע נשמר במאגר שלנו.
לגולש יש גם מספר זכויות שהוא זכאי לממש אותן מתוקף החוק:
- הגולש יכול לדרוש שהפרטים שלו ימחקו ללא דיחוי (“הזכות להישכח” שגוגל כבר מחויב אליה באירופה)
- הגולש יכול לדרוש לתקן פרטים לא נכונים או לא שלמים
- הגולש יכול לדרוש שהמידע יועבר אל ארגון או גוף אחר ויימחק ממקום האחסון הנוכחי שלו
- הגולש יכול להתנגד לאופן העיבוד האוטומטי (לדוגמה, לאופן שבו נפתח פרופיל ברשת חברתית)
ההוראות האלו אולי נשמעות מעט קיצוניות, אבל אסור לשכוח שבסופו של דבר הן נועדו להגן על כולנו. למשל, אם הייתם חיים באירופה, סביר להניח שהייתם יכולים להתנתק מפייסבוק מבלי להשאיר זכר תוך יום. לעומת זאת, כיום כל מי שמבקש להימחק מפייסבוק נדרש לתקופת “צינון” במהלכה הפרופיל שלו לא באמת נמחק, ויש עדויות לכך שגם לאחר מכן פייסבוק ממשיכה לשמור את כל המידע אודותיו מאותו הרגע בו הצטרף אליה.
אוקי, אז מה כדאי לי לעשות?
ההגדרות של החוק אמנם מעט מעורפלות, אבל יש כמה דברים שאתם יכולים לעשות כבר עכשיו בשביל להימנע מצרות ולמשוך אליכם אש:
1.אל תוסיפו את הגולש לרשימת תפוצה ברגע שהוא פותח חשבון בלי שהוא יצטרך לבצע פעולה אקטיבית, בין אם דרך סימון תיבת בחירה ובין אם באמצעות קישור לאימות החשבון דרך דואר חד פעמי. כך תוכלו למנוע מצב שבו מישהו מוסיף כתובת דואר אלקטרוני שאינה שלו באופן אוטומטי או אוטומטי למחצה (זה גם יכול לעזור לכם להימנע מתביעות שקשורות לחוק הספאם הישראלי).
2.החוק דורש לאחסן מידע רגיש כמו סיסמאות באופן מוצפן ובנפרד משאר המידע. יש גם מידע ספציפי שלא ניתן לאחסן כלל. לדוגמה, מידע הקשור לאמונתו הדתית של הפרט.
3.עדכנו את כל הגולשים שלכם בנוגע לשינויים שביצעתם.
מהן הסנקציות על מי שלא נוהג על פי התקנות שנקבעו?
הקנס המקסימלי יכול להגיע ל-20 מיליון יורו כתלות בסעיף שהופר. יחד עם זאת, הפרה ראשונה שנעשתה ללא כוונה תחילה תביא לאזהרה בלבד.
האם צריך להיכנס לפאניקה?
ללא ספק מדובר בנושא חשוב ומהותי שכנראה נראה את ההשפעה שלו גם הרבה מעבר לגבולות אירופה. עם זאת, יש לזכור שרובינו מנהלים את המידע אותו אנחנו אוספים דרך פלטפורמות מוכרות ופופולאריות וכל פלטפורמה תבצע את ההתאמות שלה. סביר מאוד להניח שהיא גם תציע נוסח אחיד אותו יוכלו הגופים שאוספים את המידע להציג למשתמשים שלהם בזמן הרישום.
לעומת זאת, ארגונים וחברות גדולות עם תהליכי עיבוד מידע מורכבים יהיו במצב יותר בעייתי ולעיתים עדיף יהיה להם למנות אדם שהתפקיד שלו יהיה לדאוג לכל מה שקשור לעמידה בתנאי החוק. רצוי כמובן שלאותו אדם יהיה ידע משפטי שיעבור על כל סעיפי החוק ויישם אותם (המסמך המלא של דרישות החוק באנגלית הוא באורך של 88 עמודים).