מחשב פרטי. תקנות חדשות שחוקק האיחוד האירופי מגנות על פרטיות הגולשים ומאלצות את החברות הגדולות לשנות את מדיניות השימוש.  אילוסטרציה. צילום: Dennis van der Heijden
מתוך פליקר

קצת פרטיות בבקשה

תהיתם לאחרונה למה נשלחו אליכם בבת אחת כמה וכמה מיילים פרטיים מענקיות האינטרנט, תחת ראשי התיבות המוזרים GDPR? תקנות חדשות שחוקק האיחוד האירופי מגנות על פרטיות הגולשים ומאלצות את החברות הגדולות לשנות את מדיניות השימוש שלהן במידע אישי. וכן, זה לגמרי משפיע גם עלינו

בשבועות האחרונים נשלח לכל אחד ואחת מאיתנו – בני אנוש שגולשים מפעם לפעם באינטרנט – מייל או שניים לפחות, מאחד השירותים המקוונים בנמצא, המסדיר מחדש את תנאי הגלישה בו. הם הופיעו, ברוב המקרים, תחת הכותרת GDPR – ראשי התיבות של General Data Protection Regulation (ובעברית: האסדרה הכללית להגנה על מידע). אפשר להניח די בביטחון שרבים מכם קיבלו גם שלושה, ארבעה וחמישה מיילים כאלה. מה הסיפור, שאלתם את עצמכם?

ב-25 במאי נכנסו לתוקפן תקנות הגנת הפרטיות החדשות שהתקינו מוסדות האיחוד האירופי. הן חוקקו בעקבות לחץ ציבורי ארוך-שנים שהופעל על ממשלות אירופה וגופי האיחוד, להגביר את הפיקוח על השימוש שעושות ענקיות האינטרנט במידע הפרטי הרב שבו הן מחזיקות על הגולשים. התקנות החדשות חלות על כל גוף – כולל חברות פרטיות, גופי ממשל ומדינות – הפועל באינטרנט ומציע שירותים לתושבי האיחוד, ובמסגרת שירותיו מאחסן מידע אישי על המשתמשים בו. הקנסות שנקבעו בו חמורים במיוחד ועלולים להגיע לגובה של עד 20 מיליון יורו או עד 4% ממחזור הכספים של הגוף הנקנס. במילים אחרות, הטלת הקנס המרבי עלולה, במקרים רבים, לגרום לטלטלה משמעותית ואף לקריסת החברה שעליה הוא יושת.

התקנות החדשות, שפורטו באותם מיילים אינסופיים, מדוקדקות מאוד ומונות 99 סעיפים ומאות תתי סעיפים. בעיקרן, הן מציגות את התנאים שבהם חייבת לעמוד חברה המחזיקה במאגר מידע אישי על מי מתושבי האיחוד האירופי, או לחילופין חברה המעבדת מידע כזה. אז מה לנו ולתקנות של האיחוד האירופי? התקנות אינן תקפות רק על העסקים הממוקמים פיזית באירופה, אלא גם על כאלה המספקים שירותים לתושבי היבשת. כלומר – כמעט על כל אתר או שירות הקיימים באינטרנט. הסברה היא שלחלק ניכר מנותני השירותים ברשת אין את המשאבים או הרצון לקיים שתי מערכות איסוף מידע שונות – אחת לתושבי האיחוד ואחת לשאר העולם. לכן סביר שרבות מהחברות יפעילו את התקנות על כלל המשתמשים שלהן, כולל בישראל.

הכל תלוי באכיפה

חלקן מהתקנות הותקנו לראשונה, וסטטוס של לא מעט מהן עדיין לוט בערפל או לכל הפחות נתון לפרשנות. מה הן כוללות? בין היתר: הותר לאגור מידע רק לאחר הסכמתו המפורשת של המשתמש – חוק שעד כה היה קיים בצורה רופפת וכלל פרצות רבות; תקנה המחייבת את הצגת משך השימוש במידע והחובה לאפשר ללקוח לדרוש הפסקת עיבוד המידע עליו בכל עת; וכמו כן, לראשונה ניתנת למשתמש זכות גישה למידע שנאסף וכן זכות בקשה למחיקת המידע הקיים. בנוסף, נאסר השימוש במידע שלא לצורך מטרה שהוגדרה מראש ושהוצגה למשתמש, וכן נאסרה העברת מידע לגורמים אחרים ללא אישורו.

והתקנות החדשות עשו עוד משהו: בעוד שבעבר המונח "מידע אישי" היה עמום ונתון לפרשנות, עכשיו ישנה הגדרה ברורה – די רחבה, יש לומר. המונח "מידע אישי" יתייחס כעת לכל מידע שניתן להשתמש בו בפני עצמו, אך גם למידע שעוזר כדי לזהות את הפרט, בשילוב עם נתונים אחרים. בהתאם לזאת, גם מידע לא מזוהה, כגון מספר טלפון ללא ציון שם המחזיק בו, עשוי להיחשב כמידע אישי בר הגנה.

חברות המחזיקות במאגר מידע פרטי יחויבו בהשקעה במערכות אבטחה מתקדמות על מנת להגן עליו; עסקים בעלי מידע רגיש מחויבים גם למנות בעל תפקיד שיעסוק בתחזוקה שוטפת של הגנת המידע. לראשונה גם מוטלת חובה על החברות לדווח למשתמשים ולרשויות החוק בעת פריצה למאגר או שימוש לא מורשה בו, בתוך 72 שעות מרגע גילויה, ולהציג דרך פתרון לצמצום הנזק.

האם התקנות באמת ישפרו את הפרטיות שלנו? לדעתו של יורם ליכטנשטיין, עו"ד בתחום הגנת הפרטיות באירופה, השפעת התקנות כבר החלה לחלחל, כאשר "השאלה היא רק עד כמה היא תרחיק לכת", הוא אומר.

כמה להערכתך?

"זה תלוי במידת אכיפת התקנות על ידי רשויות הגנת הפרטיות האירופיות. אני מעריך שהן יהפכו לסוג של סטנדרט, כשהגופים המובילים במשק ישמחו להשתמש בו כדי להוכיח אמינות מול הלקוחות. כשהרשות להגנת הפרטיות הישראלית תתקדם עם הפעילות, בהחלט נרגיש את זה גם אנחנו".

למי יש זמן להתעמק

אבל לא כל המומחים סבורים כי התקנות אכן ישפיעו. לדעת אלון (שם בדוי), עו"ד מומחה לדיני הפרטיות, השינויים יהיו קוסמטיים בלבד. "החברות שיאמצו במידה המשמעותית ביותר את התקנות, הן אלה שאימצו כללים דומים עוד לפני שהיו קיימות. בסך הכל התקנות הללו הן רק מראית עין של פרטיות גבוהה יותר".

אז איך אפשר לחולל שינוי ממשי?

"רק פעולה נחושה של רשויות הגנת הפרטיות האירופיות עשויה להרתיע חברות ברמה כזאת, שתשפיע לאורך זמן. ימים יגידו".

מומחים בנושא טוענים שסביר להניח כי גובה הקנסות הראשונים שיוטלו, יקבעו את התנהגות בעלי העסקים בהמשך. "בפועל, לפחות בטווח הקרוב, לא יהיו לתקנות השפעות משמעותיות", טוענת גם ד"ר תמר אשורי, חוקרת פרטיות בחוג לתקשורת באוניברסיטת תל-אביב. "התקנות משקפות גישה על פיה פרטים יכולים וצריכים לקבל החלטות מושכלות הנוגעות למסירת המידע האישי שלהם ולשימושים שיעשו בו. אולם, במתכונתן הנוכחית הן מתעלמות מן המגבלות הרבות המונעות מאנשים לקבל החלטות מושכלות, והן לא מספקות כלים המאפשרים התמודדות נאותה עם המגבלות הללו".

המגבלה העיקרית שאליה מכוונת אשורי זה המחיר שאנו עלולים לשלם על כל סירוב למסור מידע; למשל, ייתכן כי השימוש בשירות יוגבל או אף ישלל מאיתנו לחלוטין. בעיה נוספת היא העובדה כי לרבים מאיתנו פשוט אין זמן, רצון או יכולת להתעמק בכלים החדשים שבעלי השירותים מחויבים לתת לנו, ולכן רבים עלולים לתת את הסכמתם לאיסוף המידע, ללא בדיקה מעמיקה של ההשלכות למעשיהם.

אז מה עושים

מידת ההשפעה של התקנות עלינו, אינה תלויה רק בגופי הפיקוח של האיחוד והמדינות החברות בו, אלא גם בנו. ככל שנשתמש באופציות הפרטיות החדשות המסופקות לנו על ידי האתרים והשירותים השונים – אלו שפורטו באותם מיילים אימתניים – כך מידת השליטה שלנו במידע שאנו משתפים תגבר. המפתח של התקנות החדשות היא הדרישה לקבל הסכמה מפורשת מהמשתמש לאיסוף המידע עליו, והיכולת שלו למשוך אותה בכל עת. אם נשכיל להשתמש בזכות זו ונתנגד לאיסוף מידע מיותר עלינו, כנראה שההגנה על הפרטיות שלנו תגדל.

אותן הודעות ששלחו חברות האינטרנט הגדולות למעשה ביקשו הסכמה לאיסוף ועיבוד מידע עליכם. למרות האינסטינקט הראשוני ללחוץ "אני מסכים" מבלי להקדיש לכך מחשבה רבה, נראה שהצעד הנכון יהיה להבין איזה שימוש יתבצע במידע שנאסף עליכם ולכמה זמן הוא יימשך. בהתאם לשיקולים שלכם, תוכלו לבצע את הבחירה המושכלת – האם אתם אכן מעוניינים למסור מידע תמורת השימוש בשירות.

מנגד, אם אתם מציעים שירות מסוים באינטרנט, חשוב שתכירו את התקנות החדשות לעומק, ונראה שלא תהיה לכם ברירה אלא לפנות לעזרת מומחה. לדברי עו"ד ליכטנשטיין, "הצעד הראשון של בעלי העסקים יהיה לבדוק את החלת התקנות עליהם עם בעל מקצוע מוסמך המומחה בתחום, ואם הן אכן חלות עליהם – לברר איך מיישמים אותן לגבי העסק שלהם". לכאורה, אין הגבלה להחלת התקנות, והן מחייבות חברות קטנות כגדולות. לכן, יש להקדיש להם תשומת לב רבה.

הערה: הכתבה הינה סקירה כללית של השפעת התקנות, ואינה מהווה ייעוץ משפטי בכל דרך שהיא. למעוניינים ללמוד על התקנות לעומקן, נמליץ לפנות לייעוץ טכנולוגי ומשפטי מתאים.

 הצטרפו לעמוד הפייסבוק של מגזין כותרת*

טכנולוגיה פרטיות צדק חברתי      
{ לכתבה "קצת פרטיות בבקשה" לא התפרסמו תגובות }

{ הוספת תגובה }

* כתובת המייל לא תופיע בתגובות