בהתחלה היה נראה לי ששמעתי על כל מיני חידושים בתחום הגנת הפרטיות אבל לא ממש עקבתי. אחר-כך התחילו להופיע לי בפיד כל מיני כתבות אבל לאף אחת לא באמת נכנסתי. הנחתי שזה עוד תחום ש”חשוב לדעת” אבל לא באמת ישפיע עליי. עד שיום אחד לקוח שאל אותי:
“תגיד, אתה יודע מה זה ה- GPDR הזה שכולם מדברים עליו?”
אחרי שהדופק טיפס לשיא היומי שלו, לגמתי מהקפה, נשמתי עמוק ועניתי “תן לי לבדוק ואחזור אליך”. וככה, מבלי שהייתה לי הזדמנות להתחמק, צללתי לתחום המרתק הזה של הגנת הפרטיות, ובראשו – גולת הכותרת – הGeneral Data Protection Regulation, או בשמה הפופולרי יותר, GDPR.
בדומה לרגולציות אחרות מן השנים האחרונות, גם זו פרצה לחיינו בעקבות שינויים טכנולוגיים שגרמו לתמורות חברתיות ייחודיות לדורינו. בעשור האחרון הרשתות החברתיות השפיעו עלינו אולי יותר מכל דבר אחר ונראה שיש הלימה כמעט מוחלטת בין מה שקרוי אצל כל אחד מאיתנו “החיים הדיגיטליים” לבין החיים “האמיתיים” (בהנחה שיש עדיין פער ביניהם).
היום אנחנו משאירים אחרינו שובל דיגיטלי, או אם תרצו, חתימה דיגיטלית, כמעט בכל מקום שאנחנו נמצאים ואחרי כל פעולה שאנחנו מבצעים. כבר לא נותר כמעט עולם שהוא offline. החלק שהתקשורת הדיגיטלית תופסת בפעילות העסקית, בתוכן התרבותי ובקשרים החברתיים רק הולך וגדל. ויש מישהו שמרוויח מהנוכחות שלנו ברשת. אנחנו מוסרים את המידע הכי אינטימי שלנו ברשת החברתית אבל זו בסך הכל פלטפורמה שמוכרת לנו פרסומות. זו אחת מהסיבות העומדות ברקע החקיקה האירופית הקרויה GDPR.
אז מה זה GDPR?
הרעיון של החוק הזה הוא לייצר חוק אחיד בכל מדינות האיחוד האירופי על מנת להגן על המידע האישי של כל תושב. מערכת הדינים האירופית מקנה לכל אדם באיחוד האירופי זכות יסוד בסיסית לפרטיות על המידע האישי. ה-GDPR בא ליישם את זכות היסוד הזו. האופן שבו בחרו הוא באמצעות חקיקה מאוד נרחבת וחדשנית. המחוקקים הכירו בחשיבות הגדולה של עיבוד מידע אישי כחלק מהקדמה, ולמרות מה שרבים סבורים – ה-GDPR לא בא כדי לחסום את האפשרויות שהעולם הדיגיטלי מאפשר לנו אלא בעיקר לסלול נתיבים בטוחים ולהציב תמרורי אזהרה, לטובת כולנו.
איך זה הולך לעבוד?
האופן שהחוק בא לידי ביטוי הוא בין היתר על-ידי הטלת חובות משמעותיים על ארגונים המעבדים מידע אישי. המטרה היא להכתיב למפרסמים התנהגויות חדשות לצורך עמידה בכללים ושמירה על מידע המשתמשים. ארגונים ייאלצו לא רק לאבטח את המידע האישי אלא גם לזהות אותו ולסווגו, למסגר אותו, לתחם את זמן השימוש בו ולהצדיק את עצם השימוש בו. כל אלה במשך כל הזמן שהם משתמשים במידע האישי. ההצדקה לשימוש במידע האישי טעונה בסיס חוקי – lawful basis – וכתוצאה מכך עשויה לדרוש הסכמה מיודעת מאותם יחידים עליהם אוספים את המידע האישי.
חשוב לדעת שהחוק חל על כל ארגון אירופי, אך גם על ארגונים השוכנים מחוץ לתחומי היבשת, כל עוד הם מעבדים מידע אישי של אזרחים אירופים במסגרת הצעת מוצרים ושירותים או ארגונים המנטרים את התנהגותם.
בתחום האכיפה, הלך ה-GDPR רחוק מאוד. מעבר לאפשרות להטיל אחריות פלילית, ה-GDPR מאפשר הטלת קנסות מנהליים כבדים ביותר למי שמפר את החוק: עד 20 מליון אירו או 4% מהמחזור הגלובלי. בנוסף, החוק מאפשר ליחידים לתבוע מפרים בנזיקים ללא הוכחת נזק. כך למעשה, נוצר בסיס הרתעתי משמעותי מאוד ונרחב, כאמור גם עבור מי שאינו יושב באיחוד האירופי. בנוסף, וזה מאפיין ייחודי, החוק מקנה זכויות ליחידים אירופים כך שיוכלו לדרוש את מימושן בקלות ממי שאוגר עליהם מידע, למשל: הזכות לדעת מה אתם עושים עם המידע האישי הנאגר, הזכות לקבל גישה למידע הנשמר אודות אותו יחיד, הזכות לדרוש תיקון של המידע, הזכות לבטל את ההסכמה שניתנה לכם לאיסוף המידע ועיבודו והזכות להישכח. כל אלה, ואחרים, דורשים לא רק התארגנות פנימית של ארגונים ויצירת אמצעים להבטחת מימוש הזכויות, אלא גם חשיפה בדין לתביעות אזרחיות ולאכיפה פלילית. הבטחת זכויות היחידים עתידה להביא לדרישה רבה מצד אלה שחפצים במימוש זכויותיהם ומכאן שגם נדרש עיצוב מחדש של האתר על מנת שיתן מענה ללקוח הקצה – data protection by design and by default.
כל אלה משנים את האופן שבו אנו מתמודדים עם ציות להגנה על חוקי הגנת הפרטיות והם משפיעים באופן ישיר על האופן שבו אנו מנהלים את הסיכונים שלנו בהיבט הגנה על מידע אישי בארגון. גם אם אתם לא נמנים על אותם ארגונים הזקוקים לציות מלא לחוק, דהיינו להיות GDPR compliant, אתם עדיין תושפעו מהגלים שהחוק יצור בכל הסביבה הדיגיטלית. סביר מאוד להניח שכבר ראיתם שענקיות כמו פייסבוק, אמזון וגוגל שינו את תנאי השימוש שלהן בהקשר זה, ואם זה טרם קרה לכם – כל הספקיות הרציניות דורשות בימים אלה לאשר את שינוי התנאים החוזיים שלהן. וזו רק ההתחלה. בהמשך יועלו דרישות נוספות מצד שחקנים בסביבה העסקית, עם כניסתו של החוק לתוקף ביום 25 במאי 2018.
5 דרכים לאבחון מידת הרלבנטיות של ה-GDPR בארגון שלך
1. האם אתם נחשפים ל’מידע אישי’?
מידע אישי הוא כל מידע הקשור לזיהויו של אדם או כזה שמאפשר את זיהויו, בין אם באופן ישיר או בלתי-ישיר. מעבר לפרטים מזהים ברורים מאליהם כמו מספר זהות, כתובת או מיקום, מדובר גם במזהים online כמו כתובת IP או IDFA. ולא רק, מדובר גם על מאפיינים אישיים של היחיד, כמו מאפיינים פיסיולוגיים פסיכולוגיים, סוציאליים, כלכליים או תרבותיים. אגב, קטגוריות מסויימות של מידע אישי – כמו למשל מידע גנטי, ביומטרי או בריאותי – טעונות טיפול מחמיר במיוחד.
2. האם אתם ‘מעבדים’ מידע אישי’?
‘עיבוד’ הינו הפעלת כל פעולה או סדרת פעולות שמופעלות על מידע אישי, בין אם באופן אוטומטי ובין אם לאו. בין היתר, איסוף, הקלטה, ארגון, הבנייה, אחסון, אחזור, שימוש, הפיכתו לזמין, גילויו ואפילו מחיקתו והשמדתו.
3. האם מעבדים מידע אישי של יחידים אירופים?
שאלו את עצמכם האם אתם מעבדים מידע אישי של אירופים גם כאשר אתם לא חלק מהארגון האירופאי. אם כן, האם עיבוד המידע כרוך בהצעה של מוצרים או שירותים? לחילופין, יש לבחון האם אתם מנטרים מידע אישי של אירופים הכרוך בהתנהגותם. לצורך העניין, גם אם העסק שלכם הוא B2B ואין לכם קשר ישיר עם יחידים, עדיין יכול להיות שיש ברשותכם מידע אישי של אירופים, מה שיחייב אתכם לפעול על פי החוק.
3. איך אתם מתנהלים מול ספקי צד שלישי?
האם אתם controllers או processors – הסכמי שירותים משתנים בקצב מסחרר כדי להתאים לסביבה הרגולטורית החדשה ומגדירים את כללי המשחק. כלומר, את חלוקת האחריות והסיכון בין נותני שירותים למקבליהם. עליכם להבין באיזה צד של המתרס אתם – האם אתם קובעים כיצד המידע יעובד ולשם איזו תכלית או שאתם אלו שמעבדים אותו? תשובה לשאלה הזו עשויה להטיל עליכם חובות חוזיות חדשות וחובות לפי דין כלפי יחידים אירופים התובעים את זכויותיהם, ולבטח מול רשויות אכיפה באירופה.
4. האם ההתנהלות שלכם בנוגע למידע אישי מתאימה לסטנדרטים החדשים שהחוק יצר?
האם תנאי השימוש ומדיניות הפרטיות שלכם מעודכנת? האם יש לכם הסכמות מתאימות מיחידים שעליהם אתם אוספים מידע אישי? גם אם אתם לא כפופים לתחולתו של ה-GDPR הרי שהסטנדרטים החדשים בתעשייה משתנים לנגד עינינו ומה שהיה נהוג אתמול כבר לא ייראה הגון מספיק או ראוי בעיני הלקוחות של מחר.
איך ה-GDPR יכול להשפיע על השיווק הדיגיטלי?
בכל הנוגע לשיווק דיגיטלי, ה-GDPR מכתיב שינויים הן בשיטות העבודה והן ברמת הקשר עם משתמשי-קצה. אלו מביניכם שאוספים מידע אישי בלתי אנונימי על משתמשים ועל התנהגותם, יידרשו לבצע התאמות משמעותיות יותר. אלה שמקבלים את המידע האישי באופן אנונימי או פסאודו-אנונימי (דהיינו, לאחר שהפרידו את המאפיינים של המשתמש מפרטיו המזהים) – יידרשו לבצע התאמות גם-כן, אך בעצימות נמוכה יותר. זה עשוי להשליך הן על הפלטפורמה שאתם עושים בה שימוש (לצורך העניין ה-CRM שלכם) והן על המשתמשים בפלטפורמה מטעמכם.
אז הנה 3 נקודות בהן ה-GDPR עשוי להשפיע על שיווק דיגיטלי:
ניהול הסכמות
ה-GDPR דורש מכם להשיג הסכמה אקטיבית של המשתמש לכך שהוא מוכן למסור את המידע האישי שלו ומרשה לעשות בו שימוש. נוסח ההסכמה צריך להיות ספציפי, מפורט, נהיר, בעל הצהרה אקטיבית לפעולה וברוח החוק. הסכמה פאסיבית שבה משבצות הבחירה נבחרה מראש – לא תהווה הסכמה נאותה לצורך החוק (כלומר, אם עד עכשיו ברירת המחדל היתה להכניס את המשתמש אוטומטית לרשימות תפוצה והוא נדרש להסיר את סימן ה-V, היום התיבות האלה צריכות להיות ריקות, כך שהוא יהיה זה שיבחר באופן אקטיבי ומודע אם לסמן אותן). כמו כן, על ההסכמה לקשור קשר ישיר בין איסוף המידע האישי לבין השימושים שעושה בו הארגון. כך למשל, תיאלצו לקבל הסכמות גם בנוגע ל- remarketing cookies.
לביצוע: הסירו את סימוני ה-V מתיבות איסוף המידע, אפשרו למשתמש לבחור בעצמו והסבירו לו בדיוק מה פירוש ההסכמה שלו ואיזה שימוש תעשו במידע שלו.
Legitimate interest
במקום שבו אין לכם אפשרות ריאלית לקבל את הסכמת משתמש, כמו למשל בדיוור ישיר, עליכם להצדיק את עיבוד המידע האישי. איך? על-ידי אינטרס לגיטימי שיש לארגון בנוגע לעיבוד המידע. זה לא בא לעקוף את הצורך בהסכמת המשתמש, אלא נועד לאפשר (במקרים מסויימים) המנעות מקבלת הסכמה, תוך נטילת סיכון כי ייתכן ותצטרכו להוכיח כי אכן יש לכם אינטרס לגיטימי. בנוסף, נדרש לאפשר למשתמש לדרוש את הוצאתו מהרשימה בדרך של opt out. יובהר כי זוהי לא “דרך המלך” כדי לבסס הצדקה לעיבוד מידע בכל סיטואציה.
לביצוע: הקפידו שיהיה לכם אינטרס לגיטימי לאיסוף המידע ואפשרו למשתמש להסיר את פרטיו האישיים בכל שלבי ההתקשרות אתכם.
שינויים בחוויית המשתמש
גם אם אתם לא נדרשים בציות מלא ל-GDPR, ייתכן ועדיין תידרשו לבצע התאמות בחוויית המשתמש כדי להתאימה לסביבה הרגולטורית החדשה ועל-מנת ליישר קו עם הציפיות החדשות של המשתמשים (לשקיפות, לקבלת הצדקות לעיבוד המידע האישי, למתן הסכמה או משיכתה, וכיו”ב). זה כולל עדכון ממשקים מול המשתמשים, שקיפות רבה יותר והנגשת אפשרויות בחירה רבות יותר בהתאם לסוג המידע האישי הרלבנטי לשימוש, בעיקר אפשרויות למשוך הסכמות או לצאת מתחום קיים (opt-out).
לביצוע: גלו שקיפות עם המשתמשים, הסבירו להם איזה מידע אתם אוספים ואיזה שימוש תעשו בו ואפשרו להם נקודת יציאה בכל שלב.
Google Analytics
גוגל אנליטיקס הודיעה שהחל מיום כניסת ה- GDPR לתוקף (ב-25 במאי 2018), תצטרכו לקבוע במשך כמה זמן לשמור את הנתונים על המשתמשים לפני שהם ימחקו באופן אוטומטי. כלומר, גוגל נותנת לכם את היכולת לשלוט בזה ומכאן שהאחריות לאיסוף המידע אודות המשתמשים היא משותפת, לכם ולגוגל כאחד. האפשרויות שעומדות לרשותכם באשר לשמירת הנתונים ינועו בין 14 ל-50 חודשים, עם אפשרות נוספת שלא לשמור את הנתונים כלל.
מה יקרה אחרי פרק הזמן שהגדרתם?
הנתונים ימחקו. גוגל תראה את המשתמש כמשתמש חדש ותתחיל לאסוף עליו נתונים מהתחלה. בכל מצב, הנתונים ישמרו רק במהלך פרק הזמן שהגדרתם ולא יום מעבר.
עכשיו בפועל, מה שימחק באמת הם נתוני ה- User/Event-level data בעוד שנתוני ה- Aggregated data ימשיכו ללא שינוי. כלומר, הנתונים הכללים ישמרו, אבל לא נתונים ספציפיים אודות משתמש ספציפי. מידע נוסף תוכלו לקרא כאן.
בכל מקרה, בשלב זה, בשל חוסר הבהירות בנושא, מומלץ להגדיר באנליטיקס Do not automatically expire ולחכות להתפתחויות:
חשוב: אם זו האפשרות שהגדרתם, עליכם ליידע את הלקוחות או המשתמשים ולבקש את הסכמתם לכך.
מה כדאי לעשות מכאן?
- בצעו בדיקה ראשונית באשר למידת הרלוונטיות של ה-GDPR בארגון שלכם. ייתכן ואתם נדרשים לציית ציות מלא או חלקי ל-GDPR ומוטב שתתאימו את הארגון לכך בהקדם.
- זהו את המידע האישי שאתם מעבדים. בין היתר, סווגו אותו והגדירו איזה מידע אישי חיוני לעסק שלכם ולאיזה חלק בו, והאם יש הצדקה אמיתית לשימוש מבחינה מסחרית עבורכם.
- קראו היטב את ההסכמים ותנאי השימוש שאתם נדרשים לחתום עליהם (ואת אלה שכבר הסכמתם להם) וסרקו היטב את כל המסמכים שאתם נוהגים להשתמש בהם גם מול לקוחות וספקים כדי לוודא שהם לוקחים בחשבון את ההיבטים של פרטיות המידע האישי בהתאם לנדרש (כמו למשל מערכת היחסים של controller/processor).
- סרקו את תנאי השימוש ומדיניות הפרטיות שאתם נוהגים להשתמש בהם מול משתמשים וכן את כל המסכים והפורמטים (Ui/Ux) שבאמצעותם אתם מנגישים למשתמשים את האזהרות בנוגע לשימוש במידע אישי. חשוב מכך – בדקו גם את ההסכמות הנדרשות שלהם. קחו בחשבון שיתכן ותיאלצו לבצע שינויים גם אם אתם לא נדרשים בציות מלא ל-GDPR.
** הטיפים פה יוכלו לעזור לכם אבל אין בהם כדי להוות ייעוץ משפטי – במידה ויש ספקות מומלץ להיוועץ באיש מקצוע שמבין בתחום.**
מוזמנים לכתוב לי אם משהו לא ברור או אם יש לכם שאלות בנוגע לפעילות שלכם.