Tech Talk: מה זה בכלל GDPR?
בכל שבוע נצלול אל אחד מהמונחים המפוצצים של עולם הטכנולוגיה וננסה להסביר אותו מספיק טוב בשביל שיחת סלון, והפעם: GDPR. לרגל החלת תקנות הגנת המידע של האיחוד האירופי - מה זה בכלל אומר ועד כמה זה משפיע עלינו בישראל?
תקנות הגנת המידע של האיחוד האירופי נכנסו היום (ו') לתוקפן, אבל מאז שהן חוקקו לפני כשנתיים, כולם עסוקים בהשלכות שלהן: מהתאגידים הגדולים ועד לבעלי העסקים הקטנים, משתמשים באירופה אבל גם מחוץ לה, וכמובן פוליטיקאים ומחוקקים, עורכי דין וחוקרי רשת - כולם חלק מהבשורה האירופאית ולכולם יש גם מה להגיד עליה. אבל מה זה בכלל GDPR? איך התקנות הללו אמורות לעשות שינוי ועד כמה זה נוגע למשתמשים בישראל?
רגע לפני שמפרקים את ה-GDPR לחתיכות שנוח ללעוס, למה בכלל צריך את זה? חשבו על כמויות המידע האישי שמצוי מחוץ לידיים שלכם בכל רגע נתון: כשאתם מנווטים בדרכים, כשאתם משלמים חשבונות, במקום העבודה שלכם, במוסדות הלימוד, באתר של הבנק, בשירותי הסטרימינג שאתם מנויים אליהם, ברשתות החברתיות, באתרי מסחר אלקטרוני, בתיבת המייל ועוד. התקנות החדשות נועדו לוודא שהמידע שלכם ממשיך להיות בשליטתכם.
ה-GDPR, ראשי תיבות של General Data Protection Regulation, או בעברית "תקנות כלליות להגנת מידע", הן מערך רגולטורי של האיחוד האירופי שחוקק במהלך 2016 ונכנס לתוקפו היום. פער של קצת יותר משנתיים נדרש כדי לאפשר לעסקים, חברות ותאגידים טכנולוגיים שאוספים, מנטרים ואוגרים מידע של משתמשים ברמות שונות, להתאים את עצמם לתקנות החדשות ולהצליח לעמוד בדרישות.
תקנות הגנת המידע הן המשכו הישיר של צו הגנת הפרטיות שהונהג במדינות אירופה כבר ב-1995. הזכות לפרטיות היא עיקרון מהותי עבור אירופאים, והתקנות החדשות הן הרחבה של היריעה, התאמתה לעולם דיגיטלי ואכיפתה בקרב כל מדינות האיחוד באופן שווה.
ל-GDPR יש מספר עקרונות מרכזיים: התקנות מגדירות בדיוק באילו מצבים מותר לחברות לעבד מידע של אנשים פרטיים - אחד מהתנאים כולל הסכמה מפורשת של אנשים לעיבוד שכזה. קטינים, אגב, יידרשו לתת הסכמה באמצעות ההורים (מה שהוביל, למשל, להעלאת גיל השימוש בוואטסאפ ל-16).
עיקרון נוסף הוא זה של "פרטיות כברירת מחדל", והוא מחייב חברות ונותני שירות לבנות מערכות לאיסוף וניטור מידע באופן ששומר עליו אנונימי לחלוטין - כלומר, כזה שאי אפשר לשייך לאדם ספציפי. כמו כן, כל תהליך של איסוף מידע מוכרח להיות שקוף וברור למשתמשים עצמם - איך אוספים, מה אוספים, לאיזה צורך מעבדים מידע ולכמה זמן שומרים אותו.
עקרונות חשובים במיוחד הם אלה של גישה למידע, והזכות "להימחק". כיום, תקנות ה-GDPR מחייבות כל גוף שעוסק באיסוף מידע בדרך זו או אחרת, לאפשר גישה לכל משתמש שמעוניין לדעת מה נאסף עליו, בתוך פרק זמן סביר. משתמשים יוכלו גם לדרוש שהמידע שלהם יימחק כליל במידה והם בוחרים להפסיק שירות כלשהו. הסעיף הזה כבר מוכר לאירופאים, היחידים עד היום שהחילו את תקנת "הזכות להישכח", שמחייבת, למשל, את חברת גוגל, לאפשר למשתמשים לבקש להסיר את עצמם מתוצאות החיפוש.
ה-GDPR גם מחייב חברות להעסיק "קצין הגנת מידע" ייעודי, שתפקידו לפקח באופן ישיר על תהליכי עיבוד מידע ולוודא שאלה נעשים בהתאם לתקנות. הסעיף הרלוונטי ביותר אולי, הוא זה שמחייב חברות לדווח על כל פרצת אבטחה שהובילה להפרת פרטיות משתמשים - בתוך 72 שעות. פרשת הפרת הפרטיות של "קיימברידג' אנליטיקה" ופייסבוק, היא דוגמה טובה לנחיצות של תקנה מהסוג הזה, אבל זה ודאי לא המקרה היחיד.
למעשה, באופן תכוף מדי אפשר לראות כותרות שמדווחות על פרצות אבטחה בקרב תאגידים, חברות ונותני שירות דיגיטליים, שבמהלכן נחשפים שמות משתמש וסיסמאות, כתובות דואר אלקטרוני, חשבונות בנק ופרטים אישיים אחרים. עד כה, חברות היו מתמהמהות באופן שיטתי עם דיווח לציבור המשתמשים, וכמובן שלא כל פרצה דווחה בכלל. התקנות החדשות מחייבות יידוע של ציבור המשתמשים בפרק זמן מיידי.
הסעיף המהפכני ביותר, כנראה, הוא זה שכולל סנקציות. עד 20 מיליון אירו או 4 אחוזים מהמחזור השנתי (הגבוה מביניהם) יושתו על חברות שהפרו את התקנות. הדבר משמעותי במיוחד עבור תאגידים טכנולוגיים גלובליים, המחזיקים בכמויות נרחבות של מידע על משתמשים. ההיסטוריה הקצרה של הרשת מוכיחה שפעמים רבות, באמצעות לובינג משוכלל וסוללות עורכי דין - החברות האלה מצליחות לחמוק מקנסות יחסית בקלות.
תקנות הגנת המידע נועדו להגן על תושבי האיחוד האירופי: הן חלות על חברות המבוססות באירופה, על חברות גלובליות בעלות סניפים באירופה, ועל כל חברה בעולם שמספקת שירותים עבור משתמשים אירופאים. המאמץ להספיק לעמוד בדרישות ולהחיל התאמות עבור ה-GDPR, מורגש בכל העולם - עד עכשיו. שנתיים הן כנראה מספיק זמן לעמוד בדדליין, אבל כמו בכל דבר - יש מי שפשוט נזכרו מאוחר.
ה-GDPR מיועד להיות כלי משמעותי בידי משתמשים, שיקבלו מהיום קצת יותר שליטה על המידע שלהם, אבל לא רק באירופה. גם משתמשים בישראל נהנו בחודש האחרון מתיבות מייל עמוסות בתנאי שימוש מחודשים, ומעדכונים בשירותים פופולריים. במענה לפרשת הפרת הפרטיות שטלטלה אותה בחודשיים האחרונים, פייסבוק אפילו הגדילה לעשות והכריזה כי היא תחיל את תקנות הגנת המידע על כלל המשתמשים שלה בכל העולם - ולא רק על המשתמשים האירופאים.
אבל מעבר להשפעה הישירה של התקנות, שתהיה כאן הרבה פחות מורגשת, התקווה היא שגרסאות מקומיות לתקנות הגנת המידע של האיחוד האירופי יקבלו תנופה גם במקומות אחרים בעולם. שליטה במידע הפרטי שלנו היא חיונית לאורחות החיים היום, בייחוד לאור שצף השירותים הדיגיטליים והאפשרויות הטכנולוגיות.