GDPR – מה זה בכלל?

(GDPR (General Data Protection Regulation הינן תקנות הגנת הפרטיות של האיחוד האירופי, שנכנסו לתוקף ב-25.5.2018, ומטרתן להסדיר מחדש את השמירה והשימוש במידע האישי של אזרחי האיחוד האירופי, הנמצא בידי חברות מסחריות שונות. הרעיון הוא ליצור חוק אחיד ומחייב בכל מדינות האיחוד האירופי, שיגן על המידע האישי של כל תושב.

תקנות אלו, הינן תולדה של חידושים טכנולוגיים שפרצו לחיינו בשנים האחרונות, שאפשרו לחברות אינטרנט רבות, לאסוף עלינו מידע כמעט בכל מקום בו אנחנו נמצאים ברחבי הרשת, ולעשות בו שימוש עבור עשיית רווחים. כפי שוודאי שמעתם, לאחרונה הופנו לא מעט האשמות כלפי ענקיות אינטרנט, וביניהן: גוגל ופייסבוק, על כך שהן עושות שימוש במידע האישי של הגולשים שלהן, לצורך בניית פרופיל משתמש, וזאת כדי להתאים את הפרסומות שיוצגו בפניהם לתחומי העניין שלהם, לגיל שלהם וכו'. בעבר, לא הייתה רגולציה מספקת ונראה כי המשתמש נותר חסר אונים, מול אותן חברות שיכלו לעשות שימוש במידע שנאסף, מבלי שיענשו על כך. אולם כיום, עם כניסתן של תקנות הגנת הפרטיות המהפכניות הללו, נראה ששוב הכוח שב לידי המשתמש, וחברות האינטרנט יצטרכו להתיישר לפי הנהלים החדשים.

התקנות החדשות מגדירות את אופן איסוף והצפנת המידע, ומטילות מגבלות על מעקב אחר דפוסי הגלישה וההתנהגות של המשתמשים, שבעבר נאסף ע"י שתילת קבצי Cookies. נתונים אלו שימשו את החברות המסחריות לצורכי פילוח קהל ויצירת פרסומות מותאמות וממוקדות יותר. אולם, עם כניסתן של התקנות החדשות, נקבע כי כל מידע שנאסף על המשתמש מעתה, מחייב קבלת הסכמה מפורשת מצדו.

בנוסף, התקנות גם עוסקות בתופעת ה"ספאם" וקובעות כי חברות וגופים המפיצים מידע שיווקי/פרסומי, יצטרכו לקבל את הסכמתו המפורשת של המשתמש לכך, על מנת לשלוח לו את אותו מידע פרסומי, ויהיה עליהם לספק למשתמש אפשרות ברורה ונוחה להסיר עצמו מרשימת התפוצה, בכל עת.

חברות המחזיקות במידע של אזרחים אירופאיים, אשר לא יעבדו לפי התקנות החדשות ולא ימלאו אחר ההוראות, צפויות לקנס כבד של עד 4% מהמחזור השנתי שלהן או עד 20 מיליון אירו. כמו כן, החוק מאפשר ליחידים לתבוע חברות העוברות על החוק, ללא צורך בהוכחת נזק, מה שמהווה בסיס הרתעתי חזק ומשמעותי עבור החברות השונות. בנוסף, החוק מקנה ליחידים את הזכות לקבל פרטים אודות המידע שנאסף עליהם, מאותן חברות. לדוגמה: הם יכולים לדרוש לדעת מה עושים עם המידע האישי שנאגר עליהם, הם יכולים לבקש גישה למידע האישי שלהם, הם יכולים לבקש לתקן את המידע או לבטל את איסוף המידע עליהם. כדי לאפשר את מימוש זכויותיהם של היחידים, אתרים רבים יידרשו לבצע עיצוב מחדש של האתר ולבצע מספר שינויים בו, על מנת שייתן מענה לדרישות היחידים ויעמוד בתקנות החדשות – כשהדגש הוא על שקיפות ובהירות עבור המשתמש.

חשוב לציין כי אומנם תקנות אלו מיועדות בעיקר למדינות החברות באיחוד האירופי, אך חשוב להבין שהשפעתן גלובלית, והן רלוונטיות גם עבור חברות ישראליות, המחזיקות ועושות שימוש במידע ובנתונים אודות אזרחים אירופאיים – במקרים אלו, חברות זרות גם יצטרכו לפעול לפי הדרישות והסטנדרטים החדשים שנקבעו. גם מפתחי אפליקציות שמעוניינים לשווק את המוצרים שלהם בחנויות של גוגל או אפל, יצטרכו לעמוד בתקן האירופאי החדש ולמלא אחר הדרישות החדשות.