מזל טוב. תקנות ה-GDPR חוגגות חמש שנים לכניסה לתוקף, ועל אף שהשם לא אומר הרבה לרובנו הרי שלתקנות אלו השפעה משמעותית על הפרטיות שלנו כאזרחים ועל התנהלות של חברות פה בישראל.
נתחיל בהתחלה. GDPR - General Data Protection Regulation, או בעברית האסדרה (רגולציה) הכללית להגנה על מידע היא אוסף של הוראות מחייבות שתקננו הפרלמנט האירופי, מועצת האיחוד והנציבות האירופית ונכנסו לתוקף ב- 25 במאי 2018. הרגולצייה נועדה להגן על אנשים (הנקראים בלשונה "נושאי מידע", או Data Subjects) בכל הנוגע לאיסוף, עיבוד, שמירה והעברה של הפרטים האישיים שלהם, ועל ידי כך לשמור על הפרטיות שלהם. הרגולציה מאפשרת לכל תושב באיחוד האירופי שליטה מרבית על הפרטים שנשמרו אודותיו בחברות פרטיות, ציבוריות וגופים עסקיים וממשלתיים, וזאת באמצעות החלת כללים משפטיים על אותם גופים. הרגולציה החליפה את הדירקטיבה האירופאית בנוגע להגנה על נתונים שחוקקה בשנת 1995 ולא התאימה יותר לעידן המידע בו אנו חיים כיום.
על מי חלה הרגולציה?
פה ניתן לשאול - מה הקשר לישראל? שהרי אינה חלק מהאיחוד. ובכן, הרגולציה הזו חלה על כל ארגון וחברה שמטפלים במידע של אזרחי האיחוד- גם אם הארגון עצמו אינו נמצא בתחומי האיחוד. לדוגמא- חברת גיימינג ישראלית שלה לקוחות שהם תושבי האיחוד מחוייבת לשמור על כללי ה GDPR. ואכן- חברות ישראליות הפועלות בתחומי האונליין, גיימינג, עיבוד מידע ופרסום הטמיעו מזמן את כללי הרגולציה. חברות נוספות עם אתרי אינטרנט בינלאומיים הטמיעו גם הן את המדיניות (עדות לכך ניתן לראות בפרומפט שקופץ לנו בגלישה לאתר חדש שמבקש מאיתנו לאשר איסוף עוגיות).
מה היתרונות שלה?
הרגולציה הזו באה לתת לאנשים שליטה גדולה יותר על המידע שלהם. בעידן הדיגיטלי, גופים רבים אוספים מידע עבורנו כמעט בכל אינטראציה ממוחשבת, מהזנת פרטי קשר בהתקנת אפליקציה, רכישת שירות או מוצר בחנות אינטרנטית או "סתם" שיטוט באתר חדשות (דרך מעקב אחרי ה"עוגיות" שלנו). ה-GDPR מחייב את אותם אתרים לבקש מאיתנו רשות לקבל פרטים עלינו, כך שלא יאספו עלינו מידע ללא רשות. בנוסף, הוא מאפשר לכל אדם לבקש מכל ארגון עמו בא במגע לקבל היסטוריה של המידע שנאסף עליו, ואם ירצה בכך- למחוק את כל ההיסטוריה הזו. לדוגמא- על כל לקוח חוזר באתר Next נאסף ונשמר מידע רב שמסייע לאתר לטייב את ההמלצות לקונים, להציע מבצעים ולהשלים את הנתונים בטופס ההזמנה. לקוח של האתר יכול לבקש ממנו למחוק את כל ההיסטוריה שנאספה עליו.
בנוסף, הרגולציה מסדירה את האחריות על השמירה על המידע, על היכולת להעביר אותו לידי צד שלישי ומפרטת את הצעדים שעל הארגון לנקוט כדי לשמור על המידע של המשתמשים, כגון הצפנה, אנומיזציה ועוד. כל הצעדים האלו משפרים מאוד את השמירה על המידע שלנו, וזה חשוב משום שדליפות מידע מארגונים כאלו (והיו לא מעט בהיסטוריה, כגון דליפות מידע מחברת התעופה וויז) מאפשרות לפושעי סייבר לסחור בזהות של משתמשים, ובסופו של דבר להשתמש בה כדי לפרוץ לחשבונות נוספים ולגרום נזק כלכלי ותדמיתי למשתמשים, שכל "חטאם" היה שהזינו פרטי קשר וכרטיסי אשראי באתר סחר מקוון.
ולבסוף, הסעיף הנוקב ביותר נוגע לחובה לדווח לנציב הפרטיות המקומי (הרגולציה קובעת שעל כל מדינה שחברה באיחוד להקים גוף אכיפה ופיקוח מקומי). חברות וארגונים מחוייבים לדווח לרשות המפקחת אודות הפרה של הפרטיות, כגון פריצה, גנבה, דליפת מידע וכדומה. הדיווח לרשות המפקחת יעשה עד 72 שעות מהמועד בו נודע לבקר הנתונים אודות ההפרה.
ומה העונשים שקבועים ברגולציה?
חברות שלא יעמדו בכללים צפויות לקנסות של עד 20 מיליון יורו או עד 4% מהמחזור השנתי הגלובלי של החברה המפרה, הגבוה מבין השניים. בחמש השנים האחרונות חולקו יותר מ-1700 קנסות בסך כולל של 4 מיליארד יורו. הקנס הפעוט ביותר שהוטל היה 28 יורו על ארגון לא ידוע בהונגריה בשנת 2018. הקנס הגדול ביותר? הוטל השבוע באירלנד על מטא (חברת האם של פייסבוק), בגין העברת מידע ללא אישור אל מחוץ לתחומי האיחוד (לארה"ב). הקנס בגובה 1.2 מיליארד יורו. מטא מחזיקה בעוד שניים מבין הקנסות הגבוהים ביותר שהוטלו אי פעם (על ווטסאפ ופייסבוק עצמה- בגובה כולל של חצי מיליארד יורו) ואחריה אמזון (746 מיליון) וגוגל (90 מיליון). סוכנות שמירת הפרטיות של אירלנד היא הפעילה ביותר, משום שכמה מחברות הגדולות בעולם הטכנולוגיה קבעו שם את מושבן. עד כה ידוע על חברה ישראלית אחת שספגה קנס GDPR- חברת הסייבר ההתקפי אינטלקסה שפועלת ביוון ונקנסה שם על ידי הרגולטור המקומי בסכום של 50 אלף יורו.
מה ניתן ללמוד מחמש השנים שעברו?
רוב החברות באיחוד מסכימות שהרגולציה הייתה נחוצה ובאופן כללי השפעתה על הפרטיות של אזרחי האיחוד-חיובית. אולם נשמעת ביקורת רבה על חוסר האחידות באכיפה ובענישה בין הרשויות המדינתיות השונות, ובפירוט- אירלנד ולוקסמבורג (ש"מארחות את ענקי הטכנולוגיה של העולם מסיבות מס), שעד השנתיים האחרונות נחשבו לסלחניות מאוד כלפי אותן חברות שהפרו את כללי הפרטיות. נציבות האיחוד האירופי כבר הודיעה שתעביר חקיקה נוספת שתגביר את ההרמוניה בין גופי הפיקוח השונים ותקל על אכיפה במקרים שחוצים מדינות ורשויות. בנוסף, עם פרישת בריטניה מן האיחוד היא נדרשת לחוקק חוקי פרטיות משלה (שיתבססו על ה-GDPR, אבל לא יהיו זהים לו לחלוטין) וזה בוודאי ייצור אתגרים חדשים.
יש לציין שה-GDPR נהפך למעין סטנדרט עולמי, שמדינות שונות מאמצות את הגישה ומחוקקות חוקים דומים- מחוקי הגנה על פרטיות של משתמשים ועד תקנות על זמני דיווח בנוגע לדליפת מידע.
ה-GDPR מצייג את מאמץ החקיקה הנרחב ביותר בהיסטוריה שנועד להגן על משתמשים ברשת, והוא אומץ בצורה מלאה באיחוד האירופי, אך השפעתו מרחיקת לכת מעבר לכך, היות שהוא רלוונטי לכל גוף שמספק שירותים אינטרנטים לתושבי האיחוד ולא משנה מיקומו הגיאוגרפי. ברור שהרגולציה הזו תצטרך "לגדל שיניים" חדות יותר כדי שתהיה אפקטיבית יותר מול חברות ענק (והקנסות האחרונים שחולקו הם צעד בכיוון הנכון) וגם להתעדכן אל מול השינויים הטכנולוגיים כגון עליית הבינה המלאכותית שבוודאי תשפיע על איסוף ועיבוד מידע.
הכותב הוא מנהל השיווק של חברת הסייבר SentinelOne