6 מיתוסים על ה-GDPR. האם הם באמת מיתוסים?

במאמר הזה אעזר בפרסום של הועדה האירופית (ינואר 2019) על מיתוסים הנפוצים ביחס ל-GDPR (הרגולציה להגנת המידע והפרטיות באירופה) ואראה לכם – מה נכון ומה לא?

חשוב להציג את המיתוסים, את התשובות האירופיות וכמובן – מה באמת קורה בשטח.

אם נבין את  המיתוס ואת המשמעות שלו, נוכל להבין טוב יותר את השפעת הרגולציה האירופית להגנת המידע והפרטיות על העסק שלנו וכיצד עלינו להתקדם. אז בואו נבדוק.

מיתוסים על ה-GDPR, והאמת שמאחריהם

המיתוס: ה-GDPR משנה את כל אופן התנהלות הארגון.

העמדה האירופית: מה פתאום? ה-GDPR הוא רק אבולוציה של כללים שהיו קיימים עוד קודם לכן בדירקטיבה להגנת המידע (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data ).

ההסבר שלי: אכן, זו אבולוציה. אבל לא רק. שבעבר, האכיפה של הדירקטיבה היתה סלקטיבית, בכל מדינה ומדינה בנפרד. כעת, עם כניסת הרגולציה לתוקף, האכיפה הופכת להיות משמעותית ואחידה בכל ארצות אירופה, כך שלא נוכל להתעלם עוד מהכללים, גם אם הם השתנו רק בצורה מינימלית.

משמעות שינוי הכללים ואכיפתם היא רעידת אדמה בארגונים העושים שימוש במידע אישי (מכל סוג שהוא – אונליין ואופליין).

במקום לאסוף כמה שיותר מידע ונתונים, לקנות רשימות תפוצה ומיילים, לטרגט את כל מי שיכול להיות רלוונטי ולנסות להפיק כמה שיותר נתונים וחיתוכים, המחשבה העסקית חייבת להשתנות. איסוף המידע חייב להיות ממוקד וברור (ומוסבר לנשוא המידע). יש להתמקד אך ורק בנתונים רלוונטיים שבלעדיהם לא ניתן לספק את השירות או כאלו שהובהרו היטב לנשוא המידע (המשתמש) והוא הסכים להם כנדרש ברגולציה.

משמעות הדבר היא צמצום משמעותי ודרסטי של היקף המידע הנאסף על ידי הארגון. אבל כעת, כל מה שנאסף יהיה בעל משמעות כלכלית חשובה ויוכל להפיק לנו תועלת מיידית.

עסק שלא יפנים זאת פשוט לא יוכל להיות GDPR Compliant.

המיתוס: בלי הסכמה אי אפשר לעבד מידע

העמדה האירופית: לא נכון. ישנם עוד בסיסים חוקיים אחרים, דוגמת ביצוע הסכם או אינטרס לגיטימי של אוסף המידע.

ההסבר שלי: התשובה האירופית נכונה, אבל מתעלמת מהמורכבות.

למשל – אינטרס לגיטימי הוא הצידוק החוקי החלש ביותר ה-GDPR, המאפשר איסוף מידע מועט ביותר ורק כזה שאין בו רגישות כלשהי. התבססות עליו בלבד, תצמצם כמעט לחולוטין את יכולת העסק לאסוף מידע אמיתי (למשל: איזו תועלת יש בכתובות דוא"ל אם איני יכול לקשור אליהן את ההעדפות האישיות של המשתמשים בהן?).

למשל – אין ספק שבמסגרת ביצוע הסכם (לרכישת מוצר או שירות למשל), ניתן לאסוף מידע. אולם ה-GDPR מתירה איסוף רק של מידע הכרחי לצורך ביצוע ההסכם ולא מעבר לכך. האם העסק שלכם באמת מגביל עצמו לנתונים אלו בלבד?

המיתוס: דרישות ה-GDPR מכבידות עד אימה על עסקים קטנים

העמדה האירופית: לא נכון. אנחנו מתאימים את ההתחייבויות לגודל העסק ולרגישות המידע הנאסף על ידו. עסקים קטנים נדרשים למעט יותר חובות (כמו אי מינוי קצין הגנת מידע, DPO).

ההסבר שלי: גם כאן התשובה האירופית נכונה מילולית, אך ברמה הפרקטית אינה משקפת את מורכבות ההתנהלות היומיומית. סביר מאוד להניח שהרשויות האירופיות לא יאכפו את ה-GDPR באותו ההיקף על גוגל לעומת חנות המכולת השכונתית.

מצד שני, העסקים הישראלים שקשורים באירופה, גם אם הם קטנים, עוסקים במידע מאוד רגיש. לדוגמא: חברות ביטוח, בתי חולים, חברות נסיעות וגם משרדי פרסום דיגיטליים. המידע שנמצא בידי גופים אלו, קטנים או גדולים, הינו בהכרח מידע רגיש (לעיתים מאוד) והדבר מחייב התאמה מלאה לדרישות הרגולציה או נטילת סיכון שעלולה להתברר כטעות.

כלומר, גם עסק קטן שעוסק במידע רגיש (למשל ניטור התנהגות מקוונת, כמו בפרסום ו-retargeting) יהיה כפוף למרבית חובות ה-GDPR. אכן, הוא לא ידרש למנות קצין מידע ופרטיות פורמלי, אך היקף התחייבויותיו כלפי נשואי המידע והרשויות לא ישתנה.

לכן בפועל, לצערי, גם עסקים קטנים נדרשים להכנס להוצאות לא מבוטלות על מנת לעמוד ב-GDPR.

עוד על דרישות ה-GDPR – ראו בקישור.

המיתוס: פייסבוק היא חברה אמריקאית ה-GDPR לא מעניינת אותה

העמדה האירופית: גם חברות לא אירופיות מחוייבות ב-GDPR. מיקום החברה אינו משנה והרגולציה מאזנת את המגרש בין חברות אירופיות וכאלו שאינן אירופיות.

ההסבר שלי: העמדה האירופית נכונה, אבל לא מדוייקת. גם מיקום החברה משנה, במובן זה שחברה שיש לה "מוסד" באירופה (משרדים, איש מכירות, חברת בת, שרתים המעבדים את המידע וכדומה) – כפופה לרגולציה. בפועל, מעבר למיקום האמור, הכלל העיקרי הוא – האם המידע מתייחס לנשוא מידע שנמצא באירופה. אם התשובה לכך היא "כן", עליכם לבדוק את עצמכם וסביר להניח שתהיו כפופים ל-GDPR.

המיתוס: לוקח לנו זמן להתארגן לרגולציה. תנו לנו עוד זמן.

העמדה האירופית: הרגולציה נכנסה לתוקף ב-25.5.2016. לעסקים ניתנה תקופה של שנתיים להתארגן ולהתאים את עצמם, עד לחילת אכיפתה ב-25.5.2018. לא ינתן עוד זמן.

ההסבר שלי: שימו לב שהדבר דומה גם לגישה הישראלית של הרשות להגנת הפרטיות. למרות זאת, הקנסות אינם איום שימומש מיד, ועל כל דבר.

גם כיום, התקופה הראשונה היא תקופה בה הרשויות יעדיפו לקדם התאמה של עסקים לרגולציה. עסק שיתפס מפר את הרגולציה, אך יוכל להציג כי הוא נוקט בצעדים מתאימים להתאמה לה (תהליך לקראת GDPR Compliance) אולי יקבל אזהרה, אולי אפילו קנס קטן (אם ההפרה תהיה משמעותית), אבל אין צורך לחשוש.

מנגד, העסקים שלא ינסו להתאים את עצמם בכלל – יאלצו לחשוש.

המיתוס: ה-GDPR תעצור את ההתקדמות האירופית בתחום ה-AI.

העמדה האירופית: מה פתאום? הנתונים ב-AI הם אנונימיים, ולכן אינם מהווים מידע אישי מוגן והרגולציה האירופית להגנת הפרטיות פשוט אינה חלה על נתוני AI. כמו כן, יש מקומות המאפשרים קבלת החלטות אוטומטיות, למשל בהתבסס על הסכם ולצורך ביצועו, או אם ניתנה הסכמה מפורשת.

ההסבר שלי: האירופים צודקים בתשובתם, אולם הקושי הגדול הוא שקבלת הסכמה מפורשת הוא תהליך מורכב ולא פשוט לאור דרישות ה-GDPR וחשוב להקפיד שנעמוד בו, על כל רכיביו.

כמו כן, כאשר הנתונים הם אנונימיים, אכן ה-GDPR אינה חלה עליהם. אולם, כדי להגיע לנתונים אנונימיים, יש לאסוף אותם תחילה, ושלב איסוף זה יהיה כפוף לרגולציה באירופה, אז חשוב שגם חברות שעוסקות ב-AI ומשתמשות במידע אנונימי, ישיגו אותו בצורה שתתאים לדרישות החוק להגנת הפרטיות באירופה.

אני מקווה שעזרתי להבין קצת יותר בפני מה אנו עומדים, וכמובן – ככל שתצטרכו עזרה בנושא הזה אתם מוזמנים ליצור קשר עימי במשרדי.

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-22/12/2022.