בשנת 2016 האיחוד האירופי העביר דירקטיבה שמטרה הגנה על הפרטיות (GDPR). מדובר ברגולציית פרטיות כבדה ונרחבת. ניתנו לשוק שנתיים להיערך ובמאי 2018 ה-GDPR נכנסה לתוקף.
שנתיים אחרי – האיחוד האירופי הכריז בחגיגיות שהרגולציה הזו משיגה את המטרות שלה: הגנה על הפרטיות וחיזוק השליטה של הפרט על המידע שלו. אני תומך מאוד בהגנה על הפרטיות, אבל חשוב לשים לב שה-GDPR הקריבה מטרות אחרות על מזבח הפרטיות.
תקציר – חובות מרכזיות ב-GDPR
1. חברות חייבות לקבל מהמשתמש הסכמה מפורשת לאסוף עליו מידע ולעבד את המידע.
2. חברות חייבות ליידע את המשתמשים על המידע שהן אוספות והאם הן חולקות אותו עם צדדים שלישיים.
3. חברות מוגבלות במשך הזמן שהן שומרות את המידע. הן צריכות להגדיר לכמה זמן המידע דרוש ולא לשמור אותו מעבר לפרק הזמן שנקבע.
4. ל-GDPR יש הוראות שחלות באופן בינ"ל, גם על חברות שלא יושבות באיחוד האירופי אבל אוספות מידע על תושבי האיחוד האירופי (למשל, אם צרפתי נכנס לאתר של חברה ישראלית). זה גם יצר סתירות עם הרגולציה האמריקאית.
אגב, העונש המירבי על הפרת ההוראות הוא 20 מיליון אירו או 4% מההכנסות הגלובליות. הרבה כסף.
העלויות הישירות ומי צריך לשלם אותן
כדי לציית לרגולציה חברות צריכות לעשות פעולות אקטיביות (כמו לבקש אישור מהמשתמשים) וגם נמנע מהן לבצע פעולות כמו איסוף, שמירה או העברה של המידע. במבט ראשון נראה שהעלות תהיה יותר גדולה ככל שהחברה יותר גדולה והיא אוספת יותר מידע. זה נכון, בערך. העלויות גבוהות באופן לא פורפורציונאלי עבור חברות קטנות ובינוניות.
לפי הערכות של אנשי מקצוע, חברה קטנה צריכה להוציא כ-3 מיליון $ כדי לעמוד בדרישות, אבל חברות ענק (כמו Fortune 500) יוציאו כ- 16 מיליון $. כמובן שחברות הענק גדולות בהרבה מחברות הקטנות. הן גדולות פי 1,000 ואפילו יותר, אבל משלמות רק פי 5. זאת דוגמה לתופעה ידועה, שגופים גדולים מתמודדים יותר טוב עם עלויות רגולציה.
התוצאה היא שהגדולים מסוגלים לסבול את הרגולציה הזו (גם אם היא מייקרת את הפעילות), אבל חברות קטנות – לא כל כך. חלק מהן נאלצות להיסגר או להפסיק לפעול באירופה.
ההשלכות של החובה לקבל הסכמה מהמשתמש
לכאורה אין ספק שמוצדק לדרוש שהחברה תקבל הסכמה של המשתמש לאסוף ולעבד מידע עליו. לפי ה-GDPR, אסור לחברה לאסוף מידע כמו נתוני גלישה של משתמשים או להעביר מידע לצדדים שלישיים.
אני לא יודע אם זאת הייתה המטרה, אבל מסתבר שעצם העובדה שחברות שואלות את המשתמשים אם הם מאשרים להן לאסוף עליהן מידע – מרחיקה משתמשים מהאתרים. אולי זה בגלל שהשאלה מלחיצה ומרתיעה, אולי היא מזכירה למשתמשים שאוספים עליהם מידע ואולי היא פשוט קוטעת את חוויית הגלישה.
מחקר אחר מצא שלאחר יישום ה-GDPR, שירותי אינטרנט בתחום הנסיעות ספגו צניחה של 12.5% באיסוף מידע ממשתמשים. נשמע שאלו בהחלט חדשות טובות לפרטיות, אבל כדאי לבדוק מה זה עושה לאיכות השירות שהמשתמש מקבל – כי איסוף המידע גם מאפשר להעניק שירות מותאם אישית.
מצד שני, החברות הגדולות הצליחו לקבל הסכמה כדי לאסוף המון מידע על משתמשים. כנראה שהן עושות את זה גם באמצעות תבניות אפלות.
גוגל מדגימה איך חברה גדולה מקבלת הסכמה לאיסוף נרחב של מידע. ה-GDPR לא אוסר שיתוף מידע שאותה חברה אוספת על אדם ממקורות שונים. היא איחדה 60 הצהרות פרטיות שונות לנוסח אחד ומרכזת במאגר אחד את כל המידע שהיא אוספת על אנשים דרך השירותים השונים שלה.
הגבלות על שיתוף מידע
ה-GDPR גם מטיל מגבלות על שיתוף מידע עם חברות אחרות. חברה שמשתפת מידע עם גורם שלישי תהיה אחראית להפרות שהגורם השלישי יבצע והיא תיענש בעצמה. המגבלות האלו מייקרות את שיתופי הפעולה האלו. חברות כמו אפל וגוגל לא צריכות שיתופי פעולה עם גורם שלישי – יש להן הכל בתוך הבית. מי שנפגע מזה הן חברות קטנות שלא יכולות לבצע את כל ניתוחי המידע בעצמן.
השורה התחתונה
הרגולטורים באיחוד האירופי כל הזמן מדגישים שהרגולציה הזו נועדה להגן על זכויות הפרט, אבל הם קצת מתעלמים מזה שהיא דוחקת החוצה מתחרים וחברות קטנות, ומשאירה את השוק לענקיות טכנולוגיה.
בדוח שהם פרסמו, הם מדגישים כמה ה-GDPR אפקטיבי בהגנה על פרטיות ובהעלאת הנושא למודעות של האזרחים והחברות. נראה שהאיחוד האירופי מודע לקשיים שהרגולציה מייצרת בהיבטים אחרים, כמו תחרות, יזמות וחדשנות טכנולוגית. אבל כרגע אין להם תשובה טובה.
הרגולטור - גיא מור 