בעוד שלושה חודשים יתחולל השינוי הגדול ביותר אי פעם בתחום הפרטיות הדיגיטלית. מאות מיליוני אזרחי האיחוד האירופי יחלו ליהנות מזכויות חסרות תקדים בכל הקשור למידע האישי שנאסף עליהם ברשת, יקבלו עליו שליטה, ויוכלו להיות רגועים שהוא נשמר ומאובטח בצורה טובה יותר. חזון אחרית הימים?
במאי ייכנסו לתוקף באיחוד האירופי תקנות ה־GDPR, ראשי תיבות של General Data Protection Regulation, רגולציה כללית להגנת פרטיות. מדובר באוסף תקנות מחמירות ומפורטות מאוד, שיחייבו כל ארגון שפועל ביבשת לעמוד בסטנדרטים נוקשים בכל הקשור לשמירה, עיבוד והעברה של נתונים אישיים של אזרחים. מטרתו: “להחזיר לאזרחים את השליטה במידע האישי שלהם”. כל חברה, מסטארט־אפ קטן ועד ענקיות גלובליות, תצטרך לציית לתקנות הללו. כאב ראש לא קטן למנהלים, אבל בשורה גדולה לאזרחים.
כיום, כשאנו נרשמים לשירות אינטרנטי כלשהו, מרשת חברתית, דרך מועדון לקוחות מקוון ועד אפליקציית קניות, אנו חותמים על “מסמך תנאי שימוש” ארוך להחריד וכמעט בלתי אפשרי לצליחה, ומעניקים שלל פרטים אישיים כגון כתובת, שם, גיל, הרגלי שימוש ומידע אחר, שממשיך להיאסף עלינו. אין לנו באמת מושג מה נאסף עלינו, ובוודאי שאין אפשרות לצפות בו, לשנות אותו או לבקש להפסיק את איסוף המידע. את זה האירופאים שואפים לשנות מהיסוד. ה־GDPR הוא קובץ תקנות מקיף, שהתפיסה בבסיסו היא, שהמידע שייך לאזרחים, ולא לארגונים.
מה כוללות התקנות?
בגדול, החברות נדרשות לאסוף ולעבד את מינימום המידע שהן זקוקות לו. נושא ההסכמה לאיסוף מידע משתנה לחלוטין: במקום הסכמה גורפת לתנאי שימוש ארוכים ומסובכים שאף אחד לא קורא, המשתמשים יתנו מעתה את הסכמתם באופן פרטני ובמפורש לכל שימוש חריג שייעשה במידע שלהם. למשל: חברה שתרצה ליצור עלינו פרופיל התנהגותי, כלומר לעבד מידע אישי שלנו כדי ללמוד את העדפותינו ולחזות את התנהגותנו, תצטרך לקבל גם על כך הסכמה מפורשת מראש: ההסברים נדרשים להיות ברורים ושקופים, ניסוחים מעורפלים וכלליים ייאסרו. ובכל שלב תוכלו להתחרט: גם אם הסכמתם לשימוש או לאיסוף מידע, תוכלו לבטל את ההסכמה בדיעבד.
יותר מזה: ה־GDPR יחייב את החברות לתת לאזרחים שליטה במידע שנאסף עליהם באופן חסר תקדים. נוכל לעיין במידע הדיגיטלי שנאסף עלינו, לתקן פרטים לא נכונים, למחוק פרטים מסוימים ואף להימחק לחלוטין ממאגר המידע (“הזכות להישכח”).
התקנות גם דורשות מהחברות אבטחה מחמירה והצפנה של המידע האישי, כדי להגן מפני פריצות, ומינוי של בעל תפקיד, שיהיה ממונה על הפרטיות בארגונים גדולים. על כל דליפת מידע יש לדווח בתוך 72 שעות. בגין הפרות של התקנות יוכלו האירופאים להטיל על חברה קנסות עתק, שיכולים להגיע עד 20 מיליון יורו, או 4% מהמחזור הגלובלי של החברה.
עוד יעלה יותר
החברות נערכות בקדחתנות כדי לעמוד בתקנות החדשות, ומשקיעות משאבים גדולים בכך. יש אנליסטים שמזהירים כי ההכנות וההוצאות, לצד הירידה מהכנסות מפרסום בגלל הצמצום באיסוף המידע, עלולות לפגוע בשורה התחתונה בחברות כמו פייסבוק וגוגל. אך נראה שהחברות הגדולות משתפות פעולה ללא מחאה פומבית, אולי מתוך הנחה שהדבר יפחית את החשדנות התמידית נגדן, בתקופה שבה הביקורת עליהן גוברת. וכך, בשבועות האחרונים ראינו כמה הכרזות של ענקיות אינטרנט שכבר נערכות לשינויים ויציעו למשתמשים שליטה מוגברת במידע ושקיפות גדולה יותר, בהתאם ל־GDPR. לפי “ניו־יורק טיימס” ו”פייננשל טיימס”, גוגל ופייסבוק כבר הקצו עשרות ומאות אנשי צוות כדי להבין וליישם את התקנות.
בגוגל עברו על כל אחד מהשירותים המקוונים שלה, הוסיפו טכנולוגיות חדשות, שינו מערכות איסוף מידע וניסחו מחדש מסמכי תנאים, כדי לעמוד בתקנות; אמזון הודיעה כי תחזק את ההצפנה בשירותי הענן שלה; מיקרוסופט תוסיף כלי חדש בחלונות 10, שיאפשר לצפות בכל המידע שנאסף על המשתמש (כלי שנגיש בעיקר למתכנתים); פייסבוק הודיעה כי תשיק מרכז בקרה חדש וכולל, שיציע לגולשים שליטה מלאה, במקום אחד, בכל נושא הפרטיות ברשת החברתית.
