קנסות בסך 63 מיליון דולר, 206 אלף תלונות על ניצול ודליפה של מידע אישי והרבה חששות — כך נראית השנה הראשונה לתקנות הפרטיות באיחוד האירופי (GDPR).
הרגולציה החדשה להגנה על מידע אישי של משתמשים באינטרנט נכנסה לתוקף ב–25 במאי 2018. מדובר בתקנות מקיפות של האיחוד האירופי, שסימנו תג מחיר גבוה על הפגיעה בפרטיותם של יותר מ–700 מיליון אזרחי היבשת. מטרתן העיקרית של התקנות היא להגן על מידע אישי בעידן הדיגיטלי ולהציב רף גבוה של ענישה למי שיפר אותן. בין היתר, עוסקות התקנות בחיזוק זכויות הגולשים על המידע האישי שלהם שנאסף על ידי חברות שונות, אחריות של חברות להגן על המידע הזה מפני דליפה, והצבת הפרטיות במרכז השירות שהן מעניקות לגולשים.
פרסום התקנות טילטל את העולם, מאחר שהן חלות על מספר עצום של חברות — החל בענקיות האינטרנט, ועד חברות מסחריות מכל העולם, ובהן חברות ישראליות העוסקות באיסוף ובניתוח של מידע אישי גם על משתמשים ממדינות האיחוד, ושנותנות שירות ללקוחות באירופה. העונש שמושת על חברות המחזיקות במידע על אזרחים אירופאים בניגוד לתקנות, או שייכשלו בהגנה על המידע האישי, הוא קנס של עד 4% מהמחזור השנתי שלהן, או עד 20 מיליון יורו — הגבוה מבין השניים.
בשבוע שעבר פירסמה המועצה שמונתה מטעם האיחוד האירופי כדי לפקח על יישום ואכיפת החוק EDPB, נתונים על פעילותה בשנה האחרונה. לפי נתונים אלה, 11 מתוך 28 מדינות האיחוד החלו ליישם את החוק ולהטיל קנסות על חברות שמפרות את התקנות. מעבר למדינות האיחוד, התקנות אומצו על ידי מדינות החברות באיגוד הסחר החופשי — איסלנד, ליכטנשטיין, נורווגיה ושווייץ. בינואר הטילה הרשות להגנת הפרטיות הצרפתית (CNIL) על גוגל קנס של 50 מיליון יורו בגין אי־עמידה בתקנות ה–GDPR. בשבוע שעבר פתח הרגולטור האירי להגנת מידע בחקירה נגד גוגל בגין ניצול המידע האישי שצברה על משתמשיה לטובת פרסום ממוקד.
לטענת מומחים בתחום הטכנולוגיה והפרטיות, השנה האחרונה מסמלת את תחילתו של עידן פרטיות חדש — אחרי שני עשורים של איסוף מידע אישי אגרסיבי, בעיקר על ידי חברות טכנולוגיה. אמנם אלה צעדים ראשונים, אך התקנות הצליחו להעלות למודעות הציבורית את נושא הזכויות הדיגיטליות, כמו שמירה על מידע אישי ועיבוד שלו לטובת פרסום ממוקד גם מחוץ לאירופה.
התקנות שקבע האיחוד האירופי מכתיבות גישה חדשה שמשפיעה הן על רגולטורים להגנה על פרטיות ברחבי אירופה, והן על המשתמשים, שמודעים יותר להשלכות של מסירת מידע אישי בפלטפורמות אינטרנטיות שונות. בימים אלה מדינות רבות — גם מחוץ לאירופה — מאמצות את הגישה החדשה בנוגע למידע אישי ומקשיחות גם הן את הסטנדרטים לגבי פרטיות.
הנה חמשת השינויים העיקריים שחוללו התקנות החדשות.
1. הצרכנים משנים תודעה
במשך שנים התריעו מומחי טכנולוגיה, אקדמאים ואנשים מתעשיית ההיי־טק העולמית מפני איסוף מידע אישי של גולשים וטענו כי אינו מידתי. ציבור המשתמשים, לעתים בלית ברירה, אולץ להסכים לתנאי שימוש אגרסיביים שקבעו החברות כדי לקבל שירותים מקוונים — מרשתות חברתיות ועד שימוש באפליקציית פנס, שדורשת גישה לרשימת אנשי הקשר שלנו.
שנת המפנה היתה 2018, שבה התודעה הציבורית העולמית החלה להשתנות בזכות שלושה אירועים מרכזיים: ההד התקשורתי הענק שיצרה אירופה בזכות תקנות ה–GDPR; פרשת קיימברידג' אנליטיקה, שניצלה לרעה מידע אישי שאנשים משתפים ברשתות חברתיות במטרה להשפיע על תהליכי בחירות ברחבי העולם; והופעתם החוזרת של בכירי ענקיות האינטרנט — גוגל, פייסבוק וטוויטר — לשימוע בפני הקונגרס האמריקאי וזה של האיחוד האירופי. בשימועים שנערכו לחברות הן נדרשו לספק הסברים על היקף החדירה של הפלטפורמות שלהן לפרטיות המשתמשים, ועל השאלה כיצד הן מתמודדות עם דליפות ועם ניצול לרעה במידע שאספו על ידי גורמים חיצוניים, שחלקם נמצאו עוינים.
למרות ההכרזה על מהפכה בתחום הפרטיות, מומחים בתחום טוענים כי התקנות שקבעו באיחוד האירופי אינן מובנות לכלל הצרכנים. "בין לדעת באופן כללי את כוונת התקנות לבין להבין את הפרטים יש פער", אומר פרופ' מיכאל בירנהק, מומחה לענייני פרטיות מהפקולטה למשפטים באוניברסיטת תל אביב. "המסמך ארוך וכתוב בשפה משפטית. זה לא המסמך הכי נגיש בעולם, אבל ללא ספק גרם להעלאת המודעות".
מחקר של פירמת הייעוץ וראיית החשבון דלויט, שנערך בתחילת השנה בקרב 1,650 צרכנים מהאיחוד ומחוצה לו, מגלה כי 60% מהצרכנים נוהגים בזהירות יתרה כשהם מספקים לארגונים שונים מידע אישי. ואולם לדברי ד"ר תהילה שוורץ אלטשולר, עמיתה בכירה במכון הישראלי לדמוקרטיה, גם אם המודעות בקרב ציבור הגולשים לזכויות שלהם ולחובות של החברות גוברת, מדובר בצעדים קטנים יחסית. "נושא השליטה במידע — שמתבטא בצורה הטובה ביותר בדרישת ההסכמה לפגיעה בפרטיות — הוא המכבסה הכי גדולה של הדור שלנו. לכן קשה לומר שהתקוות שעולות מהתקנות כבר התגשמו", היא אומרת.
התקנות להגנה על פרטיות הגולשים האירופאים חוקקו עוד ב–2016 — שנתיים לפני כניסתן לתוקף — אך חברות רבות לא השכילו למצוא פתרונות כדי להימנע מקנסות, ופשוט החשיכו את אתריהן בפני אותם גולשים. כך למשל, גופי חדשות מובילים בארה"ב, כמו "לוס אנג'לס טיימס", "שיקגו טריביון" ו"בולטימור סאן", חסמו את הגישה אל אתריהם עבור הגולשים מאירופה.
לעומת זאת, חברות רבות יצרו טכנולוגיה המתחשבת בפרטיות המשתמש. "מדובר בהנדסת פרטיות — חובה לנקוט אמצעים טכנולוגיים מראש שיגנו על פרטיות, ולא רק באבטחת המידע", אומר בירנהק, ומוסיף: "אם אני מעצב את המערכת החדשה שלי בעסק סביב המידע האישי — אני חייב לבנות אותה כך שתאפשר יותר פרטיות מכפי שהייתי רוצה. למשל, כשגוגל רכשו את ווייז — הם הוסיפו אפשרות של שימוש אנונימי ב–GPS. זו דוגמה לפרטיות במערכת".
2. התחרות בענף הפרסום המקוון נפגעה
הנפגעות הראשונות מהתקנות שקבע האיחוד האירופי הן חברות אדטק (טכנולוגיות פרסום), שנאלצות להתמודד עם החמרה בתנאים שבמסגרתם נאסף המידע האישי של המשתמשים — שמהווה את המודל העסקי שלהן.
לדברי זיו אלול, מנכ"ל קבוצת פייבר (Fyber) הגרמנית, שמפתחת טכנולוגיות לפרסום מודעות במובייל, חברות האינטרנט נאלצות להגדיל את הוצאותיהן כדי לבצע התאמות לדרישות החוק. ברוב המקרים מדובר בשינוי שעושות החברות בטכנולוגיה עצמה, כמו גם בהגדלת תקציב אבטחת הסייבר, מינוי תפקיד ניהולי חדש — קצין אבטחת מידע ראשי (DPO) — והרחבת הצוות המשפטי שיסייע בהטמעת החוק כראוי בחברות.
עבור דואופול הפרסום באינטרנט פייסבוק־גוגל — חברות ששוויין מאות מיליארדי דולרים — הגידול בהוצאות בעקבות החלת השינויים, כמו גם קנסות בסך עשרות מיליונים, הם טיפה בים. לעומתן, חברות אדטק רבות, כולל ישראליות, נאלצות לשנות את המודל העסקי שלהן, מה שפוגע בתחרותיות בענף.
יתרה מכך, חברות אדטק שהשוק העיקרי שלהן היה השוק האירופי, נפגעו עוד יותר. "חברות אדנטוורק (תיווך פרסומות בין מפרסם לפלטפורמת תוכן) התרסקו בעקבות התקנות, מאחר שהרבה תקציבי פרסום הופנו מאירופה לאסיה וארה"ב. התקציבים הרי לא הצטמצמו — אלא פשוט הוסטו לשווקים אחרים", אומר אלול.
לעומת זאת, חברות אדטק שהתכוננו לכניסת התקנות כראוי — הרוויחו מכך. "כעת חברות אדטקשפועלות באירופה מסתמכות על מידע אישי איכותי יותר, ישיר, מבוסס הסכמה מפורשת של המשתמש. לכן, סיכויי ההמרה של הקמפיין גדולים יותר", מסביר אלול.
3. הכללים החדשים מגיעים לארה"ב
התקנות על פרטיות הגולשים שנחקקו באירופה היוו תשתית למודל הגנה על הפרטיות במדינות רבות נוספות בעולם. "האירופאים חשבו על כל הקצוות — הם אמרו שזה נחמד שיש הסדר באירופה, אבל תהו מה יקרה אם יעבירו את בסיסי הנתונים לשווייץ, שלא חברה באיחוד. לכן, הם יצרו מנגנון שאסור להוציא מידע מחוץ לאירופה", אומר בירנהק.
לדבריו, באיחוד האירופי נקטו צעד נוסף קדימה ורצו שבקרב המדינות עמן יש לו סחר יעמדו באותם סטנדרטים. "האיחוד בדק את חוקי הגנת הפרטיות במדינות העולם ונתן להן ציונים. חברות מכל העולם רוצות לעשות עסקים עם האיחוד, ובהרבה מקרים זה כרוך במידע על צרכנים. מחקר שנערך השנה מצא כי ב–140 מדינות מחוץ לאיחוד האירופי יש כבר משטר הגנת פרטיות — כלומר יש גל חקיקה נוסף בעולם שהמודל שלו הוא האיחוד", אומר בירנהק.
כך למשל, ב–1 בינואר 2020 יתעוררו תושבי מדינת קליפורניה לעידן חדש: ייכנס לתוקף חוק פרטיות הצרכן — CCPA California Consumer Privacy Act — המבוסס על התקנות האירופיות וכולל שורה של כללים והגבלות על שימוש במידע אישי של תושבי המדינה. החוק יחול על כל חברת אינטרנט שהכנסותיה גבוהות מ–25 מיליון דולר בשנה, שאוספת מידע על 50 אלף משתמשים או יותר, ושלפחות מחצית מפעילותה העסקית מבוססת על מכירה או עיבוד של מידע אישי.
"בהודו ובדרום קוריאה דנים בחקיקה דומה ל–GDPR, המשקפת את הרצון להמשיך ולסחור עם אירופה", אומרת שוורץ אלטשולר, "אבל ההפתעה הגדולה היא ארה"ב. חוק הפרטיות בקליפורניה מזכיר את התקנות. קול קורא שהוציאה בשנה האחרונה סוכנות הסחר האמריקאית, ה–FTC, שהוארך שוב לפני כמה שבועות — מבקש לקבל עמדות לגבי הצורך בחקיקה דומה גם בארה"ב. לפני חמש שנים אף אחד לא היה מאמין שזו תהיה העמדה שלהן".
ארה"ב היא השוק המשמעותי ביותר בפרסום המקוון. מתוך הוצאה של 283 מיליארד דולר על פרסום ברשת ב–2018, 108 מיליארד דולר הושקעו בארה"ב לבדה — כך על פי נתונים של חברת המחקר eMarketer. אלול טוען שבפייבר כבר נערכים לחקיקה בארה"ב, אך מציין כי קיים תרחיש שלילי שבו כל מדינה בה תחוקק חוק משלה — מה שעלול לפגוע מאוד בתעשיית הפרסום. "אנחנו חוששים שאם תהליך החקיקה שמתחיל בארה"ב לא יסתיים בחוק פדרלי — אלא כל מדינה תציג סטנדרטים שונים — ייווצרו מורכבויות שיכבידו על הפרסמים וחברות האינטרט".
4. תפקיד חדש נולד
לאחר כניסתן של התקנות לתוקף, חברות אינטרנט יזמו תפקידים חדשים לצד גיוס עורכי דין ויועצים משפטיים, שיעזרו להן לשלב את התקנות בהצלחה במערכותיהן. כך, אחת התקנות המרכזיות הן מינוי DPO — ממונה על הגנת המידע — תפקיד שלא היה קיים לפני כן.
בנוסף, כדי להתמודד עם יישום התקנות נוצר בקרב חברות אינטרנט רבות ביקוש גדול במחלקות הסייבר. כך למשל, לפי רשויות הגנת הפרטיות במדינות האיחוד, באיטליה נדרשים 76% יותר עובדים בתחום, באילנד 29% ובאוסטריה — 24% יותר.
5. ובישראל: "בורות דיגיטלית וחוסר הבנה"
בישראל, עוד ב–2007 קבעה ועדת שופמן, שהוקמה על ידי משרד המשפטים במטרה לבחון את החקיקה בתחום מאגרי המידע, כי יש לבצע שינויים מהותיים בדרישות המוטלות על חברות שאוספות ומעבדות מידע אישי של משתמשים — אך מסקנותיה לא יושמו עד היום. שנים ספורות לאחר מכן בדק האיחוד האירופי את חוק הפרטיות בישראל לבקשת המדינה — ומצא כי אנחנו נמנים עם עשר מדינות ברחבי העולם שקיבלו הכרה כי הן עומדות בסטנדרט האירופי. ואולם, לדברי בירנהק, מכיוון שהחוק המקומי לא התעדכן ולא מתאים לעידן הדיגיטלי הנוכחי, ההכרה שקיבלנו מהאיחוד היא עניין זמני.
"ישראל ביקשה את הכרת האיחוד האירופי והתחייבה ליישם את דו"ח ועדת שופמן, אך כלום לא נעשה", אומר בירנהק. "ה–GDPR לא נחת בהפתעה, ולמעט התקנות של שרת המשפטים איילת שקד לפני שנה, השינויים המתחייבים בחוק נדחים שוב ושוב. מצב הגנת הפרטיות מבחינה משפטית בישראל קפוא לפחות מ–2007 והתקנות נחמדות, אבל לא מספקות. יש גם אפשרות שהאיחוד ישלול את ההכרה מישראל וזה יהיה נזק במיוחד לעסקים קטנים ובינוניים".
בתחילת מאי 2018 נכנסו לתוקף תקנות הגנת פרטיות (אבטחת מידע), שסימנו קפיצת מדרגה באופן שבו מידע אישי מוחזק ונשמר בארגונים וחברות מקומיות. ואולם דו"ח מבקר המדינה, שפורסם לפני כשבועיים, מצביע על לקויות משמעותיות בתחום, ומציין כי חוק הגנת הפרטיות הישראלי אינו מעודכן, וכי תיקון משמעותי יותר — תיקון 13 לחוק — מתעכב ללא סיבה.
"בדו"ח שפירסם מצביע המבקר על בורות דיגיטלית וחוסר הבנה והפנמה של עקרונות הפרטיות והגנת המידע, בעיקר במקומות שבהם חשופים למידע רגיש, כמו במשרד הבריאות ובמשרד החינוך. מעבר לחשיבות של הגנה על פרטיות האזרחים, מדובר באינטרס של המגזר העסקי", אומרת שוורץ אלטשולר. "איבוד ההתאמה של ישראל לכללי הפרטיות המקובלים באירופה, דבר שעשוי להתרחש כבר ב–2020, יפגע באופן אנוש בתעשיית ההיי־טק המקומית בפרט ובמסחר עם היבשת בכלל. לפיכך, התיקונים לחקיקת הפרטיות בישראל הכרחיים".
במקביל, המכון הישראלי לדמוקרטיה פירסם באחרונה הצעת חוק הגנת פרטית משלו, שברובו מאמץ את התקנות האירופיות. "הצעת החוק שלנו מרחיבה את אגד הזכויות המוקנות לנו כנושאי מידע, במטרה להגביר את שליטתנו במידע האישי שלנו", אומרת שוורץ אלטשולר. "כך למשל, הוספנו את הזכות לחזור ממתן הסכמה לפגיעה בפרטיות, את הזכות להישכח ואת הזכות לנייד מידע אישי מפלטפורמה טכנולוגית אחת לאחרת, וכן הרחבנו את זכות העיון במידע".