חוקי הפרטיות מסביב לעולם: כל מה שצריך לדעת
חוקי הפרטיות מסביב לעולם: כל מה שצריך לדעת

GDPR

GDPR (General Data Protection Regulation) הוא החוק הידוע ביותר ומטרתו להגן על מידע אישי של הגולשים באזור אירופה (EEA). לצורך העניין גם שמירת כתובת ה-IP של הגולש (זיהו ספציפי של המחשב שלו ברשת) נחשב לכזה.

החוק תקף בכל המדינות הרלוונטיות ולא דורש חקיקה ספציפית, מה שדווקא מקל עלינו כמנהלי אתרים.

כפי שרמזנו, החוק תקף גם לכל אתר שמעביר מידע המוגן על ידו למקום אחר (כגון אתרים בישראל שמעבירים מידע של הגולשים לשרתים שלהם).

הקנס המקסימלי הוא לא פחות מ-20 מיליון יורו או 4% מהמחזור השנתי העולמי של הגוף המפר.

החוק עצמו מפורט מאוד וכולל מאות סעיפים , אבל הנה מה שחשוב לדעת:

  • קבלת הסכמה: החוק דורש קבלת הסכמה מלאה מהגולש לפני איסוף נתונים אישיים ויכולת לבטל את האיסוף הזה ולשלוט בנתונים בכל רגע נתון
  • שקיפות: החוק דורש שקיפות והגולש חייב להבין בדיוק איזה מידע הוא מעביר וכיצד מידע זה מעובד
  • הגנה על המידע: האתר או המערכת חייבים להגן על הנתונים ולאבטח אותם מפני גניבה, מחיקה או שימוש לרעה
  • שליטה במידע: הגולש חייב להיות מסוגל לתקן, לצפות ואף למחוק את המידע בכל רגע שירצה

מלבד זאת נדרשת גם הסכמה ספציפית ליצירת פרופיל אוטומטי על המשתמש באמצעות שימוש במידע (Profiling).

איך ליישם את החוק?

הדבר החשוב ביותר הוא קודם כל להבין איזה מידע אישי בדיוק אתם אוספים ולעצב את האתר, דף הנחיתה או האפליקציה בהתאם על מנת שלא ייווצרו אי הבנות ומצבים שעלולים לסכן אתכם. 

לכן יש הבדל גדול בין אתר תדמיתי קטן עם טופס יצירת קשר פשוט לבין אתר מסחר אלקטרוני, אפילו אם לא מדובר באתר של רשת גדולה.

לאחר מכן יש להפנות באופן ברור את הגולש למדיניות הפרטיות או תנאי השימוש שלכם, וזו היא גם הסיבה שהמודעות כגון אלו שהצגנו קודם בדרך כלל מקשרות לשם.

רצוי מאוד גם לתעד את כל מה שאתם עושים. אל תשתמשו בכל מיני חוזים והסכמים שהורדתם מהרשת כמו שהם.

CCPA

מדובר על חוק הגנת הפרטיות של קליפורניה. 

מצד אחד הוא חל רק על עסקים שיש להם הכנסות של מעל 25 מיליון דולר. 

מצד שני, אם אתם עוסקים במכירה של נתונים אישים של מעל 50,000 צרכנים או קניית מידע על מעל 10,000 מהם, אתם גם מחויבים אליו.

נשמע רחוק מאיתנו? לא ממש… כל פעם שאנחנו מסמנים תיבה שכתוב בה משהו כמו “אני מסכים להעביר את  מידע האישי לשותפי פרסום שלנו”, כנראה שמאחוריה מתחבא עסק שעושה את זה…

בפועל החובות כאן הן די דומות ל-GDPR  ומדברות על עיבוד נתונים מוגבל (Restricted data processing או RDP)

למשל: שקיפות באמצעות הודעה מתאימה, זכות גישה למידע, הזכות לבקש למחוק אותו, וכל מה שקשור לאבטחת נתונים.

הבדל אחד שחשוב לשים לב אליו הוא שהודעת הבקשה מהגולש חייבת לכלול אפשרות של opt – out: אל תשלחו את המידע שלי לגורמי צד שלישי.

בנוסף, ב-CCPA אין מגבלה על ייצור של פרופיל אוטומטי על המשתמש.

מכל הסיבות האלו, אין הבדל רב בין GDPR לבין CCPA בכל מה שקשור ליישום של החוק.

AADC (Age Appropriate Design Code)

מדובר בחוק להגנה על ילדים התקף בבריטניה ולמעשה חייבים לעמוד בדרישות שלו על מנת לעמוד גם בדרישות של ה-GDPR במדינה.

ב-GDPR ישנו סעיף ספציפי המחייב כל אתר לקבל את הסכמת ההורים לאחסון מידע על ילדים שעוד לא הגיעו לגיל ההסכמה. ה-AADC מקשיח את הדרישה הזו ומדבר על כל ילד מתחת לגיל 18.

בפועל, המשמעות היא שהאתר חייב לבצע גם בדיקת גיל עבור כל מי שגולש אליו מאנגליה.

nFADP (Swiss New Federal Act on Data Protection)

מדובר בחוק שוויצרי להגנה על פרטיות שנכנס לתוקף בפועל בשנה האחרונה. כמו שאר החוקים, כאן הוא דומה למדי ל-GDPR, אך יש כמה דגשים שחשוב להזכיר אותם (פירוט תוכלו למצוא בסיכום של חברת האבטחה Adnovum

1.קודם כל, הקנס הפוטנציאלי הוא בפרנק שוויצרי ויכול להגיע עד ל-250,000 פרנק (כמיליון ₪). 

2.שנית כל, אם אתם מנהלים את האתר באמצעות חברה שוויצרית, אתם חייבים למנות אחראי לשמירה על פרטיות (ב-GDPR מדובר בצעד וולונטרי בלבד).

3.הבדל נוסף הוא בנוגע למצב של דליפת מידע , אם ב-GDPR  יש לכם 72 שעות לדווח לרשות האחראית הרלוונטית, בשוויץ עליכם לעשות זאת ללא דיחוי.

4.יצירת פרופיל אוטומטי של המשתמש דורשת הסכמה רק כאשר מדובר ביצירת פרופילים להערכת סיכון גבוה (כלומר, משתמשים בעייתיים מאוד).

5.ב-nFADP מידע רגיש כולל גם היסטוריה של הליכים מנהליים או פליליים כנגד הגולש ונתונים על הביטוח הלאומי של הגולש.

LGPD (Lei Geral de Proteção de Dados)

גם החוק הברזילאי LGPD דומה מאוד ל-GDPR, עם כמה הבדלים: 

1.ה-LGPD מעניק זכויות מסוימות גם לקרוביו של גולש שנפטר

2.למשתמש ישנן זכויות נוספות להגן על המידע שלו גם במקרים שבהם ה-GDPR לא דורש אישור: 

  • ביצוע מחקר אנונימי
  • כאשר מדובר על תהליכים משפטיים או מנהליים (בדומה לחוק השוויצרי)
  • מידע בריאותי
  • כאשר מדובר על מניעת הונאות כספיות (קרדיט)

3.ה-LGPD מאפשר לגולש לבקש שהמידע אודותיו יהפוך לאנונימי (על פי ההבנה שלנו, בנוסף לזכות למחוק אותו לגמרי)

4.פרק הזמן שיש לדווח על פריצת מידע מוגדר כ”זמן סביר”, ובפועל מי שקובע אותו זה הגוף האחראי על אכיפת החוק בברזיל, ה-ANPD.

5.ה-LGPD נוקשה פחות בכל מה שקשור לתהליכי עיבוד המידע (לדוגמה, אין מגבלה על הזמן שבו ניתן להמשיך ולעבד אותו).

6.ה-LGPD מעניק זכות בסיסית לאיסור של עיבוד המידע למטרות המוגדרות בחוק כאפליה. ה-GDPR לא נוגע בנקודה הזו.

כיצד גוגל מיישמת את החוקים הללו ומהי המשמעות בנוגע לשימוש בכלים שלה?

יאמר לזכותה של גוגל שהיא דאגה להתכונן היטב ליישום החוקים האלו וברוב המקרים גם אם לא תעברו על ההגדרות הנדרשות בכלים השונים שלה, היא תדאג אוטומטית להצגת אזהרות מתאימות ולא תעבד מידע בעייתי באמצעות המערכות שלה. הסיבה לכך היא שמערכת הפרסום של גוגל מחוברת בין היתר ל- TCF(מערכת שקיפות והרשאה אירופאית), שמאגדת בתוכה מערכות פרסום שונות וקובעת כיצד הן יכולות להעביר ביניהן מידע. באילו מערכות מדובר?
  • Admob – הצגת מודעות באפליקציות
  • Ad Manger – מערכת הפרסום של גוגל
  • Campaign Manager 360 (כולל את כל שאר מוצרי “360”) -פרסום למפרסמים גדולים
  • Analytics – מערכת איסוף הנתונים לאתרי אינטרנט שבאופן צפוי למדי משופעת מהחוקים הללו
  • Adsense – הצגת מודעות באתרים
יחד עם זאת, יש דברים שגוגל לא יכולה לגמרי לשלוט בהם מכיוון שאתם אלו שמגדירים אותם בתוך האתר שלכם או שהצרכים שלכם שונים מברירת המחדל, ולכן חשוב מאוד בכל זאת לקרוא את התיעוד של גוגל. מומלץ להתחיל מהעמוד על GDPR ולאחר מכן להסתכל בקישורים בצד בנוגע לשאר החוקים. אם אתם משתמשים באדסנס הסתכלו כאן. הנה כמה נקודות ספציפיות הנוגעות לאספקטים שונים בכלים של גוגל:

שיווק מחדש (Remarketing)

שיווק מחדש משמש בעלי אתרים כדי לסמן גולשים ולאחר מכן להציג להם מודעות מותאמות אישית. רצוי שהמודעה שמבקשת את המשתמש לאשר את השימוש בנתונים שלו תכלול גם  קישור לכאן. בפועל, עליכם גם לוודא שהתג לא שומר מידע אודות מי שלא הביע הסכמה לכך ולהחריג אותו דרך התג המתאים ב-Analytics או Tag Manager.

רשימות קהלים

אם אתם עושים שימוש ברשימות קהלים מותאמים אישית, גוגל תשמור את המידע רק על מנת ליצור את אוסף המודעות ולא תשמור אותו לאחר מכן. לכן אם העלתם אותו למשל באמצעות ה-API, דאגו לגבות אותו.

הרצת קמפיינים בנפחים גדולים עם Campaign Manager 360

אם אתם עושים שימוש בקמפיין מנג’ר 360 וסגמנטציה של לקוחות, חשוב לקבוע כל כמה זמן למחוק את העוגייה של המשתמש.

Analytics

ב-Analytics אפשר לקבוע באופן ספציפי כמה זמן יישמרו הנתונים על המשתמשים ברמת הנכסים או החשבונות. אם אתם עושים גישה בממשק למשתמש (API), גם שם יש לכם אפשרויות כאלו.

ילדים מתחת לגיל 18

בהתאם ל-AADC, גוגל לא יכולה לבצע טרגוט לילדים מתחת לגיל 18 בבריטניה וכמובן לא להציג להם מודעות בעלי תוכן בעייתי. אם אתם לא רוצים שאחת מן המודעות שלכם תופיע עבור ילדים באופן ספציפי, השתמשו בטופס הזה.

מגבלות בקליפורניה

גוגל מדגישה שלמרות שחלק גדול ממוצרי הפרסום שלה כבר מבצעים עיבוד נתונים מוגבל (RDP) באופן אוטומטי, ברגע שאתם מעבירים את המידע לגוף שלישי או אפילו מוצר אחר של גוגל, עליכם לוודא כי אתם עדיין עומדים בדרישות החוק.

כמו כן יש לוודא שנתונים מסוימים שעוברים אל Google Ads מכלים אחרים (אנליטיקס, מודעות וידאו ורשת המדיה מפלטפורמת Display & Video 360) מעובדים באמצעות RDP. (ניתן למצוא קישורים בטבלה בעמוד המתאים).

שימו לב שמערכת Search Ads 360 לא מאפשרת לייצא קהלים לרשת החיפוש בקליפורניה.

Adsense

אם אתם עושים שימוש באדסנס, בוודאי שמתם לב שגוגל הודיעה לכם כבר ב-2023 שעליכם להציג מודעה מתאימה בנוגע לעיבוד הנתונים של המשתמשים בהתאם התואמת לפלטפורמת ניהול הסכמה (CMP). 

החדשות הטובות הן שגם אם לא עשיתם זאת, גוגל החלה להציג הודעת ברירת מחדל החל מאמצע ינואר 24.

כדי להתאים אישית את המודעה עליכם להיכנס ל”פרטיות והודעות” בתוך ה-Dashboard ולאחר מכן לבחור את המדינה או האזור.

חוקי הפרטיות מסביב לעולם: כל מה שצריך לדעת

 

ומה אם האתר שלי נמצא במדינה אחרת?

במידה והאתר שלכם פונה לקהל במדינה אחרת ואתם לא בטוחים לגבי חוקי הפרטיות, ישנה מפה אינטראקטיבית עם כל החוקים במדינות השונות (צבע תכלת מראה כי החוקים כבר אושרו)/

לסיכום

  • כמעט לכל אתר יש גם מבקרים ישראלים מחו”ל ולכן בפועל עליכם לציית לחוקי הפרטיות אם אתם רוצים להימנע מקנסות
  • בדקו היטב איזה מידע בדיוק אתם מעבדים ונסו להתאים את אופן העיבוד על פי הדרישות השונות
  • ייתכן שתאלצו להיעזר בעורך דין לצורך ניסוח תנאי השימוש או במתכנתים שיתאימו את האתר לדרישות החוקים המקומיים על פי זיהוי ה-IP של הגולש
  • אם אתם עושים שימוש בתכונות המתקדמות באחד מהכלים של גוגל, שימו לב איזה מידע אתם מעבדים וכיצד ניתן לשלוט בו בעזרת הקישורים שצירפנו
  • אם האתר שלכם פועל במדינה שלא הזכרנו, אל תיקחו סיכונים ובדקו את החוקים המקומיים

בהצלחה!