סטנדרט אירופי חדש - מגזין TheMarker - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן
דיגיטל

סטנדרט אירופי חדש

קובץ תקנות הפרטיות GDPR שהציג האיחוד האירופי מגלם את השינוי הגדול ביותר ברגולציה על שימוש במידע אישי של משתמשי האינטרנט מאז שנות ה90 - וכעת כל העולם נדרש להתיישר לפיו

4תגובות

כנס המומחים הקטן שערכה פירמת עורכי הדין DLA Piper במלון בתל אביב לפני כחודשיים סיפק רגע של מבוכה מהולה בחרדה לכמה מבכירי חברות האינטרנט הישראליות שנכחו באולם. על הבמה ניצב פרופ' (עו"ד) פיטר ואן־אקה, סמכות עולמית בנושא פרטיות בעידן המודרני, וראש החטיבה לאבטחת מידע, הגנת פרטיות ודיני אינטרנט בפירמה. נושא השיחה היה תקנות הפרטיות המחמירות להגנת מידע שאימץ האיחוד האירופי, GDPR (General Data Protection Regulation), העתידות להיכנס לתוקף במאי 2018. כאשר ואן־אקה פירט את התקנות ודן בהשלכותיהן, החווירו הבכירים – בהם היועץ המשפטי של וויקס, אנשי המחלקה המשפטית של איירון סורס ועוד דמויות מוכרות.

מדוע נבהלו המסובים? מאחר שהתקנות הללו, שכוללות שינויים נרחבים בכל הקשור לאחזקת מידע פרטי ואבטחתו, יאלצו את חברות האינטרנט לאמץ שינויים מרחיקי לכת במערכות המידע ותהליכי העבודה שלהן – ובגלל שהשלכותיהן רלוונטיות מאוד גם לרבות מהחברות הישראליות.

טביעות רגליים בחול

בפעם האחרונה שבה העביר האיחוד האירופי הנחיה שנוגעת לפרטיות, השנה היתה 1995. "מאז עברנו ארבעה או חמישה דורות מדעיים, עם התפתחות טכנולוגית מהירה לאין שיעור ביחס לכל מה שהתרחש קודם", מזכיר עו"ד ניב סבר, ראש מחלקת ההגבלים העסקיים, הפרטיות והאנרגיה במשרד מ. פירון. "כיום אנו חיים בעולם שמונע כלכלית על ידי מידע – זהו המטבע שבלב כל פעולה עסקית. החברות שמשקפות את השווי הגבוה ביותר בעולם כיום אינן מחזיקות במקרקעין או בפלדה אלא במידע, ולכן האיחוד האירופי החליט לעדכן את הרגולציה כך שניתן יהיה להתמודד עם נושא הפרטיות גם ב־20 השנים הבאות".

את האבולוציה של החקיקה בנושא מתארת עו"ד דבורה האוסן כוריאל מחברת ייעוץ הסייבר קונפידס: "ה־GDPR צריך להיות מובן בהקשר של הכללים שחלים על חופש המידע וחופש העברת המידע, בכלל, במשפט הבינלאומי. רגולציית ה־GDPR היא חלק מהאבולוציה של חופש המידע ושמירת פרטיותו: חופש העברת המידע אינו רעיון חדש. הוא קיבל ביטוי, למשל, בהכרזה האוניברסלית בדבר זכויות האדם שגובשה בחסות האו"ם ב־1948. סעיף 19 של ההכרזה מתייחס לזכות להעביר מידע מעבר לגבולות, בכל אמצעי או מדיה, כחלק מחופש הדעת וחופש הביטוי. סעיף 12 באותה ההכרזה מטפל בנושא הפרטיות. שניהם אמנם נוסחו הרבה לפני שהאינטרנט נכנס לשימוש, אבל העקרונות והזכויות עדיין עומדים, תוך כדי איזון עם זכויות יסוד נוספות.

"מאוחר יותר, הזכות להגנת הפרטיות של מידע אישי מופיעה בדירקטיבה האירופית משנת 1995, שהגדירה זכות זו כזכות בסיסית. מעבר לזה, במערכות משפט רבות קיימת הגנה על פרטיות מידע אישי בדרך כלשהי. מה נחשב מידע אישי? על פי ה־GDPR, ההגדרה רחבה: כל מידע שניתן באמצעותו לזהות אדם באופן ישיר או עקיף". כאן ניתן למנות כל הזדהות, לרבות מיקום GPS, כתובת IP, שם משתמש באתר ואף זיהוי מבוסס התנהגות (עוגיות דפדפן למשל).

תקנות GDPR החדשות מבוססות על המסדים של החקיקה הקיימת בנושא הפרטיות, אך מגדירות מחדש מהו מידע אישי שבאמצעותו ניתן לזהות אדם באופן ישיר או עקיף. תחת הגדרה זו כלולים, בין השאר, נתוני מיקום על בסיס GPS, כתובת IP, שמות משתמש בשירותים השונים ונתוני גלישה על אודות התנהגותנו ברשת. "ההנחה היא שהאזרחים לא יודעים או אינם יכולים להגן על עצמם במידה טובה מספיק בעולם החדש הזה", אומר אלעד קורן, מנהל מוצר בחברת הסייבר SecuPi. "המחוקק האירופי קובע כי אזרחי היבשת זכאים להגנה על המידע האישי שלהם, ושכל מי שמחזיק במידע על אזרח אירופי צריך להיות נתון לרגולציה כדי להבטיח הגנה זו. על החברות לאמץ כלים טכנולוגיים שיאפשרו להן לעמוד בכללים האלה".

 

הקוד המחמיר

מה אומרות התקנות החדשות? ראשית, על פי ה־GDPR כל שירות תקשורת או מוצר חומרה חייב להיות מתוכנן כך שיאפשר שמירה על המידע האישי של המשתמש, ויתחשב בהעדפות הפרטיות שלו. עיקרון זה מכונה Data Protection By Design, והוא כולל גם הגדרה של אופן הצפנת המידע; שנית, התקנות מנסחות מחדש את העקרונות שעל פיהם יוכלו חברות לעקוב אחרי דפוסי הגלישה של המשתמשים. כיום, מעקב כזה מתבצע באמצעות "עוגיות" (Cookies), שהן קבצים קטנים שבהם נאגר מידע על אודות תנועת הגולש והעדפותיו, ואשר מושתלים במחשבו של המשתמש בלי שהוא נדרש לתת לכך את הסכמתו ולעתים גם ללא ידיעתו. החברות משתמשות במידע הזה כדי לפלח קהלי יעד למפרסמים ולהתאים למשתמשים פרסומות ממוקדות על פי תחומי העניין שלהם. התקנות החדשות קובעות כי דרושה הסכמה אקטיבית ומודעת מצד הלקוח לשתילת עוגיות או לכל צורת מעקב אחרת. זאת ועוד: על פי התקנות, כל בקשה להרשאה לשימוש במידע חייבת להיות מנוסחת בלשון מובנת ונגישה, ויש להגדיר במסגרתה את מטרת איסוף המידע, ולספק למשתמש אפשרות פשוטה לבטל את הסכמתו למעקב. הגבלות נוספות חלות על קטינים, ומשתמשים בני 16 או פחות חייבים לקבל את הסכמת הוריהם לשימוש בשירותים שונים.

עומר מסינגר

גם לתופעת הספאם ניתן מענה בתקנות GDPR, ונקבע בהן כי חברות המפיצות מידע פרסומי לצרכנים יצטרכו לקבל את הסכמתם המפורשת של המשתמשים למשלוח פרסומות (Opt־in), ולספק להם אפשרות ברורה להסרתם מרשימות תפוצה (Opt-out), וזאת ללא קשר לאמצעי שבו נעשית הפנייה לצרכן.

זכות דיגיטלית נוספת שהתקנות החדשות יקפידו עליה היא הזכות להישכח (Right to be Forgotten). נקבע כי גוף המחזיק במידע אישי על אודות אדם יהיה חייב למחוק את המידע שברשותו ברגע שאותו אדם נוטש את השירות שעבור השימוש בו נאסף המידע, או כשהמשתמש משנה את הגדרות ההסכמה שלו. לנושא זה נקבעו שתי החרגות הנוגעות להגנה מפני תביעה ולשמירת מידע ממערכות גבייה. עוד נקבע כי לחברות אסור להחזיק גם במטא־דאטה הנוגע למשתמש, למשל ברשומות המתעדות התקשרויות שונות, כמו רשומה על הודעת סמס שנשלח בין אדם לחברו הכוללת פרטים על שעת השליחה, וזהות השולח והמקבל, אף שרשומה כזו אינה מכילה את תוכן ההודעה. למשתמש, לעומת זאת, שמורה הזכות לעיין במידע שנוגע לו המצוי בידי חברה מסחרית, לרבות הקלטות אודיו של שיחות, צילומי וידאו, היסטוריית אשראי וכן הלאה.

במקרה של מתקפת סייבר על ארגון, אי אפשר יהיה יותר לטאטא את האירוע מתחת לשטיח. התקנות קובעות כי חברות מחויבות לדווח על הפריצה לרגולטור בתוך 72 שעות, ובמקרים מסוימים גם להודיע למשתמשים שהמידע שלהם הגיע לידיים הלא נכונות.

לבסוף, חברות שעוסקות בעיבוד כמות גדולה של נתונים, או כאלה שיש להן נגיעה למידע בעל אופי רגיש, יהיו חייבות על פי התקנות החדשות למנות בעל תפקיד ייעודי לנושא השמירה על פרטיות המשתמשים, DPO (Data Privacy Officer). "מידע רגיש על פי הגדרות ה־GDPR הוא כזה שנוגע לאמונות פוליטיות או דתיות, להעדפות אידיאולוגיות או למידע רפואי", אומר סבר. "ה־GDPR אוסר על עיבוד מידע שנוגע להעדפות מיניות או דתיות אלא אם כן הדבר נעשה לצורכי קהילה חברתית סגורה, למשל באתר היכרויות או ברשימת מכותבים של אגודה דתית. גם במקרה כזה, על מפעילי האתר להתחייב להשמיד את המידע ברגע שהמשתמש ייצא מהקהילה, ובכל מקרה אסור להם להעביר את המידע לגורם חיצוני".

 

כולם כולל כולם

כל זה נשמע מתקדם ומחמיר – ואירופי לעילא. אם כך, מדוע נפלו פניהם של נציגי חברות הטכנולוגיה הישראליות? מפני שתקנות GDPR תקפות גם לגבי גורמים מחוץ לגבולות אירופה, אם הם עוסקים בעיבוד מידע אישי של אזרחים אירופאים. "זו רגולציה אקס־טריטוריאלית", אומרת האוסן כוריאל.

המשמעות עבור החברות הישראליות הרב־לאומיות הוא שהחל במאי 2018 יהיה עליהן לעמוד בתקן האירופי המחמיר אם לקוחותיהן אירופאים. ולא רק הן יחויבו בכך, אלא גם כל מפתחי האפליקציות שיבקשו לשווק את המוצרים שלהם בחנויות של אפל או גוגל. "ולא רק חברות טכנולוגיה", מבהירה האוסן כוריאל. "אף שהתקנות נוסחו מתוך מחשבה על עידן המידע, הן חלות גם על חברות ביטוח, בנקים, מרפאות, וכל מי שמחזיק במידע אישי".

ישראל הדרי

"תחולת התקנות היא על חברות ששולטות במידע", מוסיף סבר. "הן על בעלי המאגרים, והן על החברות שעושות עיבוד מידע, ניתוח והרצה שלו. די בכך שאחת החברות יושבת פיזית באיחוד האירופי, או שלחברה יש חברה אחות באיחוד האירופי, כדי שהתקנות יהיו תקפות. גם חברה ישראלית שמוכרת גאדג'ט מסוים, והאתר שלה פתוח למשתמשים מכל העולם ומקבלת בין השאר הזמנות מאירופה – כפופה ל־GDPR. והשאלה הכי קשה היא זו: יש בישראל לפחות 250 אלף בעלי אזרחות כפולה, המחזיקים באזרחות אירופית. יש טענה שעדיין לא נבחנה, שכל הכללים חלים גם על מי שמעבד מידע עליהם".

נניח שאני אזרח גרמניה, ולאומי קארד אוספת עלי מידע כדי לשלוח לי פרסום ממוקד בחוברת המבצעים. האם גם היא כפופה ל־GDPR?

"יש לכך פרשנויות שונות, אך בגדול כן. תקנות ה־GDPR רוצות ליצור משטר גלובלי. יש לאירופים קושי ארוך שנים עם ההגנה הפחותה לדעתם שהשלטונות האמריקאיים מעניקים למידע, וה־GDPR הוא המענה לזה".

כלי תקשורת, למשל, מוכרים בין השאר מינויים למהדורות המקוונות שלהם לאזרחים אירופאים. חלק מהכנסותיהם מקורן בפרסומות, באנרים והמלצות קריאה שמבוססות על איסוף מידע על המשתמש – שהוא למעשה איסוף מזוהה, כי הרי המשתמש מכניס שם וססמה כדי לקבל את התכנים. מה ה־GDPR קובע לגבי זה?

"הם יידרשו לפרסם טופס הסכמה פשוט, ברור וקצר, ולקבל הסכמה מודעת ומפורשת לשימושים שהם עושים במידע הזה. אני מניח שייווצרו קטגוריות מחיר שונות: מחיר אחד ללקוח שלא מסכים למסור מידע, והנחה מסוימת כנגד מתן הסכמה לאיסוף מידע. מי יישא בהנחה, גוף התקשורת או בורסת הפרסום? זו שאלה מעניינת. סקר שערכנו בנושא הראה שכמעט 50% מהמשתמשים מוכנים לפגיעה מסוימת בפרטיותם בתמורה להנחה. זאת אומרת שהציבור יודע לתמחר את מידת הפגיעה בפרטיות".

 

מלחמות המידע

יגאל דיטשר, יועץ משפטי בחברת איירון סורס, מתאר את השפעת ה־GDPR על חברות ישראליות שפועלות בזירה הרב־לאומית: "התקנות העבירו את נושא הפרטיות לחזית, ובכל מוצר חדש שאנחנו מפתחים עכשיו, סוגיית הפרטיות מובאת בחשבון בעדיפות גבוהה. אנשי המחלקה המשפטית יושבים עם אנשי הפיתוח ובונים את המוצר מתוך ראייה של נושא הפרטיות. זה משהו שלא היה בעבר".

אופיר הראל

ואם מישהו מחליט להתעלם מהכללים? סבר טוען שזה לא רעיון טוב: "שני מספרים צריכים לעמוד מול מי שחושב שיכול לעמוד בצד ולא לעשות כלום: 2% ו־4%. אלו מדרגות הסנקציות שנקבע שניתן לגבות מהמחזור של החברה. ה־GDPR העתיק את מנגנון הסנקציות מעולם ההגבלים העסקיים, וגם גופים ישראלים לא יכולים להיות אדישים כי הם יגלו פתאום, למשל, שכרטיסי אשראי אירופיים לא מתקבלים אצלם".

ישראל אמנם לא חברה באיחוד האירופי, אבל האם היא תאמץ באופן וולנטרי את כללי ה־GDPR כך שיחולו גם על חברות ישראליות? המצב החוקי בישראל לא ברור עד הסוף. על פניו יש היגיון רב באימוץ החקיקה – לרכוב על החשיבה המעמיקה שכבר נעשתה ולתת לישראלים הגנה על הפרטיות שקרובה לזו שאירופים נהנים ממנה. נזכיר שחוק הגנת הפרטיות הישראלי לא עודכן עשרות שנים ואינו מותאם לעידן המידע.

סבר מפנה אצבע מאשימה לרמו"ט (הרשות למשפט וטכנולוגיה במשרד המשפטים) שהיא הרשות הממונה על הגנת הפרטיות בישראל: "באירופה, תהליך ה־GDPR היה שקוף לחלוטין לכל אורך הדרך. מה שקורה ברמו"ט סביב התקנות נשאר במחשכים. אנחנו כמעט שנה לפני ההחלה בפועל של התקנות, במדינה שחלק גדול מהכלכלה שלה מבוסס דאטה, והלקוחות המסחריים שלי עדיין לא יודעים כיצד הן יוסדרו בישראל ומה תהיה השפעתן, כי אין שקיפות בתהליך".

מרמו"ט נמסר בתגובה כי משרד המשפטים נערך לכניסתן לתוקף של תקנות GDPR, ונמצא בעיצומו של תהליך לעדכון הוראות הדין. "במסגרת ההיערכות יקודמו, בין היתר, ההתאמות הנדרשות בדין הישראלי. התקנת התקנות ותיקון החוק האמורים ישרתו גם מטרה זו", נאמר בתגובה. "כלל פעילות המשרד נעשית בהתאם לנורמת השקיפות הנהוגה בהליכי חקיקה, ואף מעבר לכך. גם במסגרת זו, ננקטים צעדים על מנת להבטיח סטנדרט גבוה של נגישות למידע, תוך פרסום החומרים המשפטיים לציבור הרחב וכך יעשה אף בעתיד".

בהקשר רחב יותר, תקנות GDPR הן חלק ממאבק אידאולוגי, פוליטי ודיפלומטי: "חלק מהרקע ל־GDPR הוא 'מלחמות המידע' בין ההשקפות השונות השונות מאוד של ארצות הברית ואירופה, בקשר למידע אישי", אומרת האוסן כוריאל. "אפשר להבין את ה־GDPR גם כחלק מהתגובה של אירופה לכל מה שחשף אדוארד סנודן בשנים האחרונות על פרוייקטי הניטור המסיביים של סוכנות הביון האמריקאית, ה־NSA וגורמים נוספים, שכלל איסוף מידע ללא הבחנה – גם על אזרחים שאינם אמריקאים. כל זה מנוגד לערכים ולתפישה האירופית של הגנת הפרטיות של מידע אישי".

גם בנטרול סוגיית הריגול, אמריקה התאגידית שמה דגש על צמיחה כלכלית שמבוססת, בחברות כמו פייסבוק וגוגל, על ניטור מסיבי של מידע פרטי. כל זה היה לצנינים בעיני האירופים וכבר הגיע להתכתשויות משפטיות מתוקשרות. האם חברות כמו יאהו, גוגל ופייסבוק ישנו את אופי השירותים שלהן לאור ה־GDPR? לא בטוח. עכשיו אנחנו עדיין בשלב כיפוף הידיים. ואם פייסבוק לא תתאים את עצמה ל־GDPR, מה הסנקציות שהאיחוד האירופי יכול להפעיל נגדה? מי ימצמץ קודם? "הגורמים הרלוונטיים בארצות הברית בהדחקה גמורה של ה־GDPR", אומר קורן. "אולי הם חושבים שטראמפ יעזור להם, אבל זו החלטה מאוד לא פשוטה להתעלם מה־GDPR. הרבה חברות אמריקאיות עוד יושבות על הגדר ומחכות לראות מה יקרה ובעיני זו טעות – הסיכון הוא במיליוני דולרים".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#