מדריך מצולם: כל מה שאתם צריכים לדעת על תקנות ה-GDPR החדשות
תקנות הגנת הפרטיות של האיחוד האירופי נכנסו לתוקפן בסוף השבוע - ומשתמשים רבים הוצפו במיילים מטעם שירותים מקוונים שונים שמבקשים רשות להמשיך ולרגל אחריהם. במה שונות התקנות החדשות מהחוקים הקודמים, והאם יועילו לגולשים?
תקנות הגנת הפרטיות החדשות של האיחוד האירופי, ה-GDPR, נכנסו לתוקפן בסוף השבוע האחרון; בטח שמתם לב שתיבות המייל שלכם התמלאו בהודעות של חברות אינטרנט שונות ומגוונות - מגוגל ופייסבוק ועד שירותים ששכחתם שבכלל נרשמתם אליהם - וכולן מציגות מידע על היקפי איסוף המידע שהן מבצעות. מה קרה, במה שונות התקנות החדשות מחוקים קיימים ומי מושפע מכך?
- פרטיות בעלטה: החלת תקנות ה-GDPR הכניסה את הרשת לסערה
- הגיע הזמן לראות את ה-GDPR כהזדמנות ולא כנטל
- החל מהיום: תקנות סייבר ושמירת פרטיות חדשות בישראל
מה קרה?
בעקבות שורת תלונות של משתמשים, תביעות, חקירות רגולטוריות ופרשות כגון קיימברידג' אנליטיקה ועוד רבות לפניה, החליטה נציבות הגנת הפרטיות של האיחוד לשנות את חוקי המשחק. מעתה, לא יוכלו חברות אמריקאיות ואחרות לשאוב מידע פרטי ממשתמשים ללא מגבלות - ופעולה שכזו תגרור קנס שינוע בין 20 מיליון יורו ל-4% מהמחזור השנתי של החברה שהפרה את החוק. מדובר בעונש קשה וכואב, אפילו עבור ענקיות כפייסבוק, גוגל, אמזון ואפל. עם כניסת החוקים לתוקף, שלחו חברות האינטרנט למיניהן מיילים למשתמשים שלהן בכל העולם, בהם חשפו מידע על החומרים שהן אוספות, על שיטת האחסון של החומר ועוד. בנוסף, אתרים ושירותים מקוונים שונים הציבו הודעות שמציגות מידע שכזה בעמודי הבית שלהן. אחרים פשוט נטרלו את הגישה ממדינות האיחוד, מחשש לקבלת קנס.
מה חדש?
חוקי הגנת הפרטיות החדשים כוללים החמרה משמעותית בתקנות התרת איסוף המידע; אם בעבר יכלו החברות לשתות כל פריט מידע שראו לנכון כתנאי להשתמש בשירותיהן, ואף לא חויבו לעדכן את המשתמש על כך, המצב התהפך: לפי התקנות החדשות, איסוף המידע יחייב הסכמה מראש של האזרח והחברות נדרשות לספר כיצד נשמר המידע. בנוסף, אסור יהיה לאסוף מידע שאינו קשור ישירות לשירות שמספקת החברה - למשל, אפליקציית פנס לאנדרואיד לא תוכל לשמור את רשימת אנשי הקשר שלכם. התפיסה הזו עושה חיים קשים לאפליקציות צרות שאוספות מידע נרחב וסוחרות בו, אך היא פחות בעייתית למפעילי פלטפורמות פופולריות גדולות, כמו פייסבוק למשל.
מי מושפע מכך?
משתמשים בכל העולם; אמנם התקנות מתייחסות לאיחוד האירופי בלבד, במטרה להגן על אזרחי הישות - אך לא מעט חברות הודיעו שיאמצו אותן בצורה גלובלית. הסיבה היא כנראה לשפר את הדימוי הציבורי שלהן, על רקע הצמיחה במודעות לפרטיות - מגמה שמתחזקת עם הזמן, לצערם של סוחרי המידע. משתמשים פרטיים יוכלו לעיין בהודעות שהעבירו להם מפעילי השירותים המקוונים (ובתוך כך, להיזכר בשירותים שלא השתמשו בהם זמן רב) ולהבין מי אוסף עליהם מה.
הידע הזה יקל עלינו להחליט האם להפסיק להשתמש בשירות זה או אחר, או להמשיך מתוך ידיעה שהמידע שלנו ייאסף וישמש את המפעילים. חברות מסחריות צריכות להתאים את שירותיהן ל-GDPR, אם ברצונן להמשיך ולהציע אותם לאזרחי האיחוד. בהתחשב בכך שהאיחוד הוא כוח כלכלי מהותי, ואף שחקן בינלאומי לא ימהר לוותר על שווקיו, כנראה שהרבה יועצים משפטיים שמתמחים בסוגיית הפרטיות יקבלו טלפונים מלקוחות חדשים.
מהפך או כסת"ח?
עדיין מוקדם מכדי לדעת כמה אפקטיביות יהיו התקנות החדשות; חברות האינטרנט, ובפרט האמריקאיות, מתמחות בלעקוף רגולציה בתחומים רבים - גם באיחוד האירופי. כנראה שאף משתמש לא יוותר על אנדרואיד של גוגל, על הרשת החברתית של פייסבוק או על שירותים אחרים בגלל שהחברות יציגו לו את היקף איסוף המידע שלהן. בנוסף, החברות יכולות לנמק את רוב פריטי מידע שנאספים כ"דרך לשפר את חוויית השימוש" או "בסיס לטכנולוגיות חדשות ומגניבות". וכאן צריכים הרגולטורים לעשות שרירים; הקהל הרחב לא תמיד מתעניין בנזקים שאיסוף מידע נרחב עלול לגרום - ולכן יש צורך באחריות ממשלתית שתציב גבולות ברורים לסקטור התאגידי.
יש טענות לפיהן דווקא מגמת השקיפות שנכפית על החברות תועיל להן ותשפר את הקשר עם המשתמשים; יכול להיות שזה נכון, אך חשוב לוודא שענקיות הטכנולוגיה יצייתו לחקיקה גם אם תזיק להן מהרגע הראשון; בסופו של דבר, הן נשענות עלינו המשתמשים כמקור רווח - והוגן שהמצב יתאזן לטובתנו.