קידום אתרים » בלוג » חוקי הפרטיות מסביב לעולם: כל מה שצריך לדעת
חוקי הפרטיות מסביב לעולם: כל מה שצריך לדעת
בשנים האחרונות נכנסו לתוקף ברחבי העולם מספר גדול של חוקים שהמטרה שלהם היא לשמור על פרטיותם של הגולשים ברשת.
הגולש הממוצע לא תמיד מודע לאופן בו המידע הזה נשמר על המחשב שלו, ולכן מטרה נוספת של החוקים היא להגביר את השקיפות בכל מה שקשור לעניין.
על איזה חוקי פרטיות נדבר כאן?
GDPR – חל על כל אזור EEA (האיחוד האירופאי וגם איסלנד, ליכטנשטיין ונורבגיה) ובריטניה.
CCPA – חוק פרטיות התקף במדינת קליפורניה שבארה”ב.
AADC – חוק פרטיות שהוא חלק ספציפי מ-GDPR ותכליתו להגן על ילדים.
nFADP – חוק ספציפי לשוויץ שנכנס לתוקף לאחרונה.
LGPD – חוק להגנה על פרטיות בברזיל.
למה גם אם האתר שלכם בישראל כדאי לכם להכיר את חוקי הפרטיות?
הרבה אתרים בישראל שכלל אינם פונים לקהל הבינ”ל עדיין לא הותאמו לחוקי הפרטיות הנ”ל, אך יש שתי סיבות עיקריות לכך שמוטב להתחיל לעשות זאת בהקדם:
1.גולשים ישראלים שגרים בחו”ל – אם גולש מחוץ לישראל שנמצא באחת מהמדינות בהן חלים חוקי פרטיות כאלו (למשל, בתחומי האיחוד האירופאי) גולש לאתר שלכם, אתם עדיין מחויבים אליו ובאופן תיאורטי עשויים להיות חשופים לתביעות.
מכיוון שהחוקים מעט שונים, מבחינה טכנית ייתכן שתאלצו לזהות מאיפה הגולש הגיע דרך ה-IP שלו ולשנות מעט את ההתאמות.
2.חברת גוגל מחייבת את כל מי שעושה שימוש במערכות הפרסום שלה להתאים את האתר שלו לחוקים אלו. לרוב מדובר באתרים שמבצעים קידום ממומן באמצעות Google Ads או אתרים שמרוויחים ממודעות באמצעות Adsense.
הנה דוגמה למודעה כגון זו שגוגל מחייבת להציג והרבה אתרים גם בארץ וגם בחו”ל החלו לעשות בה שימוש:
אם לא תאשרו את העוגיות, לא תוכלו להפעיל חלקים מסוימים באתר. בדוגמה הזו אתם יכולים לשלוט ספציפית בעוגיות שיאוחסנו אצלכם, אבל זה לא תמיד המצב.
לפני שניגע באופן בו אתם מחויבים לפעול מול גוגל וגופי צד שלישי (אי אפשר פשוט לזרוק עליהם את האחריות), נתאר כל חוק באופן ספציפי על מנת שתבינו את המשמעות הכללית שלו.
שימו לב: עמידה מלאה בדרישות החוק באתר שלכם דורשת בדיקה ספציפית של כל אתר ולעיתים קרובות גם סיוע של עורך דין. לכן המידע הוא לידיעה בלבד ואין להסתמך רק עליו במסגרת היישום בפועל.
GDPR
GDPR (General Data Protection Regulation) הוא החוק הידוע ביותר ומטרתו להגן על מידע אישי של הגולשים באזור אירופה (EEA). לצורך העניין גם שמירת כתובת ה-IP של הגולש (זיהו ספציפי של המחשב שלו ברשת) נחשב לכזה.
החוק תקף בכל המדינות הרלוונטיות ולא דורש חקיקה ספציפית, מה שדווקא מקל עלינו כמנהלי אתרים.
כפי שרמזנו, החוק תקף גם לכל אתר שמעביר מידע המוגן על ידו למקום אחר (כגון אתרים בישראל שמעבירים מידע של הגולשים לשרתים שלהם).
הקנס המקסימלי הוא לא פחות מ-20 מיליון יורו או 4% מהמחזור השנתי העולמי של הגוף המפר.
החוק עצמו מפורט מאוד וכולל מאות סעיפים , אבל הנה מה שחשוב לדעת:
- קבלת הסכמה: החוק דורש קבלת הסכמה מלאה מהגולש לפני איסוף נתונים אישיים ויכולת לבטל את האיסוף הזה ולשלוט בנתונים בכל רגע נתון
- שקיפות: החוק דורש שקיפות והגולש חייב להבין בדיוק איזה מידע הוא מעביר וכיצד מידע זה מעובד
- הגנה על המידע: האתר או המערכת חייבים להגן על הנתונים ולאבטח אותם מפני גניבה, מחיקה או שימוש לרעה
- שליטה במידע: הגולש חייב להיות מסוגל לתקן, לצפות ואף למחוק את המידע בכל רגע שירצה
מלבד זאת נדרשת גם הסכמה ספציפית ליצירת פרופיל אוטומטי על המשתמש באמצעות שימוש במידע (Profiling).
איך ליישם את החוק?
הדבר החשוב ביותר הוא קודם כל להבין איזה מידע אישי בדיוק אתם אוספים ולעצב את האתר, דף הנחיתה או האפליקציה בהתאם על מנת שלא ייווצרו אי הבנות ומצבים שעלולים לסכן אתכם.
לכן יש הבדל גדול בין אתר תדמיתי קטן עם טופס יצירת קשר פשוט לבין אתר מסחר אלקטרוני, אפילו אם לא מדובר באתר של רשת גדולה.
לאחר מכן יש להפנות באופן ברור את הגולש למדיניות הפרטיות או תנאי השימוש שלכם, וזו היא גם הסיבה שהמודעות כגון אלו שהצגנו קודם בדרך כלל מקשרות לשם.
רצוי מאוד גם לתעד את כל מה שאתם עושים. אל תשתמשו בכל מיני חוזים והסכמים שהורדתם מהרשת כמו שהם.
CCPA
מדובר על חוק הגנת הפרטיות של קליפורניה.
מצד אחד הוא חל רק על עסקים שיש להם הכנסות של מעל 25 מיליון דולר.
מצד שני, אם אתם עוסקים במכירה של נתונים אישים של מעל 50,000 צרכנים או קניית מידע על מעל 10,000 מהם, אתם גם מחויבים אליו.
נשמע רחוק מאיתנו? לא ממש… כל פעם שאנחנו מסמנים תיבה שכתוב בה משהו כמו “אני מסכים להעביר את מידע האישי לשותפי פרסום שלנו”, כנראה שמאחוריה מתחבא עסק שעושה את זה…
בפועל החובות כאן הן די דומות ל-GDPR ומדברות על עיבוד נתונים מוגבל (Restricted data processing או RDP)
למשל: שקיפות באמצעות הודעה מתאימה, זכות גישה למידע, הזכות לבקש למחוק אותו, וכל מה שקשור לאבטחת נתונים.
הבדל אחד שחשוב לשים לב אליו הוא שהודעת הבקשה מהגולש חייבת לכלול אפשרות של opt – out: אל תשלחו את המידע שלי לגורמי צד שלישי.
בנוסף, ב-CCPA אין מגבלה על ייצור של פרופיל אוטומטי על המשתמש.
מכל הסיבות האלו, אין הבדל רב בין GDPR לבין CCPA בכל מה שקשור ליישום של החוק.
AADC (Age Appropriate Design Code)
מדובר בחוק להגנה על ילדים התקף בבריטניה ולמעשה חייבים לעמוד בדרישות שלו על מנת לעמוד גם בדרישות של ה-GDPR במדינה.
ב-GDPR ישנו סעיף ספציפי המחייב כל אתר לקבל את הסכמת ההורים לאחסון מידע על ילדים שעוד לא הגיעו לגיל ההסכמה. ה-AADC מקשיח את הדרישה הזו ומדבר על כל ילד מתחת לגיל 18.
בפועל, המשמעות היא שהאתר חייב לבצע גם בדיקת גיל עבור כל מי שגולש אליו מאנגליה.
nFADP (Swiss New Federal Act on Data Protection)
מדובר בחוק שוויצרי להגנה על פרטיות שנכנס לתוקף בפועל בשנה האחרונה. כמו שאר החוקים, כאן הוא דומה למדי ל-GDPR, אך יש כמה דגשים שחשוב להזכיר אותם (פירוט תוכלו למצוא בסיכום של חברת האבטחה Adnovum
1.קודם כל, הקנס הפוטנציאלי הוא בפרנק שוויצרי ויכול להגיע עד ל-250,000 פרנק (כמיליון ₪).
2.שנית כל, אם אתם מנהלים את האתר באמצעות חברה שוויצרית, אתם חייבים למנות אחראי לשמירה על פרטיות (ב-GDPR מדובר בצעד וולונטרי בלבד).
3.הבדל נוסף הוא בנוגע למצב של דליפת מידע , אם ב-GDPR יש לכם 72 שעות לדווח לרשות האחראית הרלוונטית, בשוויץ עליכם לעשות זאת ללא דיחוי.
4.יצירת פרופיל אוטומטי של המשתמש דורשת הסכמה רק כאשר מדובר ביצירת פרופילים להערכת סיכון גבוה (כלומר, משתמשים בעייתיים מאוד).
5.ב-nFADP מידע רגיש כולל גם היסטוריה של הליכים מנהליים או פליליים כנגד הגולש ונתונים על הביטוח הלאומי של הגולש.
LGPD (Lei Geral de Proteção de Dados)
גם החוק הברזילאי LGPD דומה מאוד ל-GDPR, עם כמה הבדלים:
1.ה-LGPD מעניק זכויות מסוימות גם לקרוביו של גולש שנפטר
2.למשתמש ישנן זכויות נוספות להגן על המידע שלו גם במקרים שבהם ה-GDPR לא דורש אישור:
- ביצוע מחקר אנונימי
- כאשר מדובר על תהליכים משפטיים או מנהליים (בדומה לחוק השוויצרי)
- מידע בריאותי
- כאשר מדובר על מניעת הונאות כספיות (קרדיט)
3.ה-LGPD מאפשר לגולש לבקש שהמידע אודותיו יהפוך לאנונימי (על פי ההבנה שלנו, בנוסף לזכות למחוק אותו לגמרי)
4.פרק הזמן שיש לדווח על פריצת מידע מוגדר כ”זמן סביר”, ובפועל מי שקובע אותו זה הגוף האחראי על אכיפת החוק בברזיל, ה-ANPD.
5.ה-LGPD נוקשה פחות בכל מה שקשור לתהליכי עיבוד המידע (לדוגמה, אין מגבלה על הזמן שבו ניתן להמשיך ולעבד אותו).
6.ה-LGPD מעניק זכות בסיסית לאיסור של עיבוד המידע למטרות המוגדרות בחוק כאפליה. ה-GDPR לא נוגע בנקודה הזו.
כיצד גוגל מיישמת את החוקים הללו ומהי המשמעות בנוגע לשימוש בכלים שלה?
- Admob – הצגת מודעות באפליקציות
- Ad Manger – מערכת הפרסום של גוגל
- Campaign Manager 360 (כולל את כל שאר מוצרי “360”) -פרסום למפרסמים גדולים
- Analytics – מערכת איסוף הנתונים לאתרי אינטרנט שבאופן צפוי למדי משופעת מהחוקים הללו
- Adsense – הצגת מודעות באתרים
שיווק מחדש (Remarketing)
רשימות קהלים
אם אתם עושים שימוש ברשימות קהלים מותאמים אישית, גוגל תשמור את המידע רק על מנת ליצור את אוסף המודעות ולא תשמור אותו לאחר מכן. לכן אם העלתם אותו למשל באמצעות ה-API, דאגו לגבות אותו.
הרצת קמפיינים בנפחים גדולים עם Campaign Manager 360
אם אתם עושים שימוש בקמפיין מנג’ר 360 וסגמנטציה של לקוחות, חשוב לקבוע כל כמה זמן למחוק את העוגייה של המשתמש.
Analytics
ב-Analytics אפשר לקבוע באופן ספציפי כמה זמן יישמרו הנתונים על המשתמשים ברמת הנכסים או החשבונות. אם אתם עושים גישה בממשק למשתמש (API), גם שם יש לכם אפשרויות כאלו.
ילדים מתחת לגיל 18
מגבלות בקליפורניה
גוגל מדגישה שלמרות שחלק גדול ממוצרי הפרסום שלה כבר מבצעים עיבוד נתונים מוגבל (RDP) באופן אוטומטי, ברגע שאתם מעבירים את המידע לגוף שלישי או אפילו מוצר אחר של גוגל, עליכם לוודא כי אתם עדיין עומדים בדרישות החוק.
כמו כן יש לוודא שנתונים מסוימים שעוברים אל Google Ads מכלים אחרים (אנליטיקס, מודעות וידאו ורשת המדיה מפלטפורמת Display & Video 360) מעובדים באמצעות RDP. (ניתן למצוא קישורים בטבלה בעמוד המתאים).
שימו לב שמערכת Search Ads 360 לא מאפשרת לייצא קהלים לרשת החיפוש בקליפורניה.
Adsense
אם אתם עושים שימוש באדסנס, בוודאי שמתם לב שגוגל הודיעה לכם כבר ב-2023 שעליכם להציג מודעה מתאימה בנוגע לעיבוד הנתונים של המשתמשים בהתאם התואמת לפלטפורמת ניהול הסכמה (CMP).
החדשות הטובות הן שגם אם לא עשיתם זאת, גוגל החלה להציג הודעת ברירת מחדל החל מאמצע ינואר 24.
כדי להתאים אישית את המודעה עליכם להיכנס ל”פרטיות והודעות” בתוך ה-Dashboard ולאחר מכן לבחור את המדינה או האזור.
ומה אם האתר שלי נמצא במדינה אחרת?
במידה והאתר שלכם פונה לקהל במדינה אחרת ואתם לא בטוחים לגבי חוקי הפרטיות, ישנה מפה אינטראקטיבית עם כל החוקים במדינות השונות (צבע תכלת מראה כי החוקים כבר אושרו)/
לסיכום
- כמעט לכל אתר יש גם מבקרים ישראלים מחו”ל ולכן בפועל עליכם לציית לחוקי הפרטיות אם אתם רוצים להימנע מקנסות
- בדקו היטב איזה מידע בדיוק אתם מעבדים ונסו להתאים את אופן העיבוד על פי הדרישות השונות
- ייתכן שתאלצו להיעזר בעורך דין לצורך ניסוח תנאי השימוש או במתכנתים שיתאימו את האתר לדרישות החוקים המקומיים על פי זיהוי ה-IP של הגולש
- אם אתם עושים שימוש בתכונות המתקדמות באחד מהכלים של גוגל, שימו לב איזה מידע אתם מעבדים וכיצד ניתן לשלוט בו בעזרת הקישורים שצירפנו
- אם האתר שלכם פועל במדינה שלא הזכרנו, אל תיקחו סיכונים ובדקו את החוקים המקומיים
בהצלחה!