מה זה GDPR, האם זה רלוונטי לך ואיך זה הולך להשפיע על השיווק הדיגיטלי? | AskPavel
קידום אתרים » שיווק דיגיטלי » מה זה GDPR, האם זה רלוונטי לך ואיך זה הולך להשפיע על השיווק הדיגיטלי?
מה זה GDPR

מה זה GDPR, האם זה רלוונטי לך ואיך זה הולך להשפיע על השיווק הדיגיטלי?

בהתחלה היה נראה לי ששמעתי על כל מיני חידושים בתחום הגנת הפרטיות אבל לא ממש עקבתי. אחר-כך התחילו להופיע לי בפיד כל מיני כתבות אבל לאף אחת לא באמת נכנסתי. הנחתי שזה עוד תחום ש"חשוב לדעת" אבל לא באמת ישפיע עליי. עד שיום אחד לקוח שאל אותי:

"תגיד, אתה יודע מה זה ה- GPDR הזה שכולם מדברים עליו?"

אחרי שהדופק טיפס לשיא היומי שלו, לגמתי מהקפה, נשמתי עמוק ועניתי "תן לי לבדוק ואחזור אליך". וככה, מבלי שהייתה לי הזדמנות להתחמק, צללתי לתחום המרתק הזה של הגנת הפרטיות, ובראשו – גולת הכותרת – הGeneral Data Protection Regulation, או בשמה הפופולרי יותר, GDPR.

בדומה לרגולציות אחרות מן השנים האחרונות, גם זו פרצה לחיינו בעקבות שינויים טכנולוגיים שגרמו לתמורות חברתיות ייחודיות לדורינו. בעשור האחרון הרשתות החברתיות השפיעו עלינו אולי יותר מכל דבר אחר ונראה שיש הלימה כמעט מוחלטת בין מה שקרוי אצל כל אחד מאיתנו "החיים הדיגיטליים" לבין החיים "האמיתיים" (בהנחה שיש עדיין פער ביניהם).

היום אנחנו משאירים אחרינו שובל דיגיטלי, או אם תרצו, חתימה דיגיטלית, כמעט בכל מקום שאנחנו נמצאים ואחרי כל פעולה שאנחנו מבצעים. כבר לא נותר כמעט עולם שהוא offline. החלק שהתקשורת הדיגיטלית תופסת בפעילות העסקית, בתוכן התרבותי ובקשרים החברתיים רק הולך וגדל. ויש מישהו שמרוויח מהנוכחות שלנו ברשת. אנחנו מוסרים את המידע הכי אינטימי שלנו ברשת החברתית אבל זו בסך הכל פלטפורמה שמוכרת לנו פרסומות. זו אחת מהסיבות העומדות ברקע החקיקה האירופית הקרויה GDPR.

אז מה זה GDPR?

הרעיון של החוק הזה הוא לייצר חוק אחיד בכל מדינות האיחוד האירופי על מנת להגן על המידע האישי של כל תושב. מערכת הדינים האירופית מקנה לכל אדם באיחוד האירופי זכות יסוד בסיסית לפרטיות על המידע האישי. ה-GDPR בא ליישם את זכות היסוד הזו. האופן שבו בחרו הוא באמצעות חקיקה מאוד נרחבת וחדשנית. המחוקקים הכירו בחשיבות הגדולה של עיבוד מידע אישי כחלק מהקדמה, ולמרות מה שרבים סבורים – ה-GDPR לא בא כדי לחסום את האפשרויות שהעולם הדיגיטלי מאפשר לנו אלא בעיקר לסלול נתיבים בטוחים ולהציב תמרורי אזהרה, לטובת כולנו.

איך זה הולך לעבוד?

האופן שהחוק בא לידי ביטוי הוא בין היתר על-ידי הטלת חובות משמעותיים על ארגונים המעבדים מידע אישי. המטרה היא להכתיב למפרסמים התנהגויות חדשות לצורך עמידה בכללים ושמירה על מידע המשתמשים. ארגונים ייאלצו לא רק לאבטח את המידע האישי אלא גם לזהות אותו ולסווגו, למסגר אותו, לתחם את זמן השימוש בו ולהצדיק את עצם השימוש בו. כל אלה במשך כל הזמן שהם משתמשים במידע האישי. ההצדקה לשימוש במידע האישי טעונה בסיס חוקי – lawful basis – וכתוצאה מכך עשויה לדרוש הסכמה מיודעת מאותם יחידים עליהם אוספים את המידע האישי.

חשוב לדעת שהחוק חל על כל ארגון אירופי, אך גם על ארגונים השוכנים מחוץ לתחומי היבשת, כל עוד הם מעבדים מידע אישי של אזרחים אירופים במסגרת הצעת מוצרים ושירותים או ארגונים המנטרים את התנהגותם.

בתחום האכיפה, הלך ה-GDPR רחוק מאוד. מעבר לאפשרות להטיל אחריות פלילית, ה-GDPR מאפשר הטלת קנסות מנהליים כבדים ביותר למי שמפר את החוק: עד 20 מליון אירו או 4% מהמחזור הגלובלי. בנוסף, החוק מאפשר ליחידים לתבוע מפרים בנזיקים ללא הוכחת נזק. כך למעשה, נוצר בסיס הרתעתי משמעותי מאוד ונרחב, כאמור גם עבור מי שאינו יושב באיחוד האירופי. בנוסף, וזה מאפיין ייחודי, החוק מקנה זכויות ליחידים אירופים כך שיוכלו לדרוש את מימושן בקלות ממי שאוגר עליהם מידע, למשל: הזכות לדעת מה אתם עושים עם המידע האישי הנאגר, הזכות לקבל גישה למידע הנשמר אודות אותו יחיד, הזכות לדרוש תיקון של המידע, הזכות לבטל את ההסכמה שניתנה לכם לאיסוף המידע ועיבודו והזכות להישכח. כל אלה, ואחרים, דורשים לא רק התארגנות פנימית של ארגונים ויצירת אמצעים להבטחת מימוש הזכויות, אלא גם חשיפה בדין לתביעות אזרחיות ולאכיפה פלילית. הבטחת זכויות היחידים עתידה להביא לדרישה רבה מצד אלה שחפצים במימוש זכויותיהם ומכאן שגם נדרש עיצוב מחדש של האתר על מנת שיתן מענה ללקוח הקצה – data protection by design and by default.

כל אלה משנים את האופן שבו אנו מתמודדים עם ציות להגנה על חוקי הגנת הפרטיות והם משפיעים באופן ישיר על האופן שבו אנו מנהלים את הסיכונים שלנו בהיבט הגנה על מידע אישי בארגון. גם אם אתם לא נמנים על אותם ארגונים הזקוקים לציות מלא לחוק, דהיינו להיות GDPR compliant, אתם עדיין תושפעו מהגלים שהחוק יצור בכל הסביבה הדיגיטלית. סביר מאוד להניח שכבר ראיתם שענקיות כמו פייסבוק, אמזון וגוגל שינו את תנאי השימוש שלהן בהקשר זה, ואם זה טרם קרה לכם – כל הספקיות הרציניות דורשות בימים אלה לאשר את שינוי התנאים החוזיים שלהן. וזו רק ההתחלה. בהמשך יועלו דרישות נוספות מצד שחקנים בסביבה העסקית, עם כניסתו של החוק לתוקף ביום 25 במאי 2018.

GDPR

5 דרכים לאבחון מידת הרלבנטיות של ה-GDPR בארגון שלך

1. האם אתם נחשפים ל'מידע אישי'?

מידע אישי הוא כל מידע הקשור לזיהויו של אדם או כזה שמאפשר את זיהויו, בין אם באופן ישיר או בלתי-ישיר. מעבר לפרטים מזהים ברורים מאליהם כמו מספר זהות, כתובת או מיקום, מדובר גם במזהים online כמו כתובת IP או IDFA. ולא רק, מדובר גם על מאפיינים אישיים של היחיד, כמו מאפיינים פיסיולוגיים פסיכולוגיים, סוציאליים, כלכליים או תרבותיים. אגב, קטגוריות מסויימות של מידע אישי – כמו למשל מידע גנטי, ביומטרי או בריאותי – טעונות טיפול מחמיר במיוחד.

2. האם אתם 'מעבדים' מידע אישי'?

'עיבוד' הינו הפעלת כל פעולה או סדרת פעולות שמופעלות על מידע אישי, בין אם באופן אוטומטי ובין אם לאו. בין היתר, איסוף, הקלטה, ארגון, הבנייה, אחסון, אחזור, שימוש, הפיכתו לזמין, גילויו ואפילו מחיקתו והשמדתו.

3. האם מעבדים מידע אישי של יחידים אירופים?

שאלו את עצמכם האם אתם מעבדים מידע אישי של אירופים גם כאשר אתם לא חלק מהארגון האירופאי. אם כן, האם עיבוד המידע כרוך בהצעה של מוצרים או שירותים? לחילופין, יש לבחון האם אתם מנטרים מידע אישי של אירופים הכרוך בהתנהגותם. לצורך העניין, גם אם העסק שלכם הוא B2B ואין לכם קשר ישיר עם יחידים, עדיין יכול להיות שיש ברשותכם מידע אישי של אירופים, מה שיחייב אתכם לפעול על פי החוק.

3. איך אתם מתנהלים מול ספקי צד שלישי?

האם אתם controllers או processors – הסכמי שירותים משתנים בקצב מסחרר כדי להתאים לסביבה הרגולטורית החדשה ומגדירים את כללי המשחק. כלומר, את חלוקת האחריות והסיכון בין נותני שירותים למקבליהם. עליכם להבין באיזה צד של המתרס אתם – האם אתם קובעים כיצד המידע יעובד ולשם איזו תכלית או שאתם אלו שמעבדים אותו? תשובה לשאלה הזו עשויה להטיל עליכם חובות חוזיות חדשות וחובות לפי דין כלפי יחידים אירופים התובעים את זכויותיהם, ולבטח מול רשויות אכיפה באירופה.

4. האם ההתנהלות שלכם בנוגע למידע אישי מתאימה לסטנדרטים החדשים שהחוק יצר?

האם תנאי השימוש ומדיניות הפרטיות שלכם מעודכנת? האם יש לכם הסכמות מתאימות מיחידים שעליהם אתם אוספים מידע אישי? גם אם אתם לא כפופים לתחולתו של ה-GDPR הרי שהסטנדרטים החדשים בתעשייה משתנים לנגד עינינו ומה שהיה נהוג אתמול כבר לא ייראה הגון מספיק או ראוי בעיני הלקוחות של מחר.

איך ה-GDPR יכול להשפיע על השיווק הדיגיטלי?

בכל הנוגע לשיווק דיגיטלי, ה-GDPR מכתיב שינויים הן בשיטות העבודה והן ברמת הקשר עם משתמשי-קצה. אלו מביניכם שאוספים מידע אישי בלתי אנונימי על משתמשים ועל התנהגותם, יידרשו לבצע התאמות משמעותיות יותר. אלה שמקבלים את המידע האישי באופן אנונימי או פסאודו-אנונימי (דהיינו, לאחר שהפרידו את המאפיינים של המשתמש מפרטיו המזהים) – יידרשו לבצע התאמות גם-כן, אך בעצימות נמוכה יותר. זה עשוי להשליך הן על הפלטפורמה שאתם עושים בה שימוש (לצורך העניין ה-CRM שלכם) והן על המשתמשים בפלטפורמה מטעמכם.

אז הנה 3 נקודות בהן ה-GDPR עשוי להשפיע על שיווק דיגיטלי:

ניהול הסכמות

ה-GDPR דורש מכם להשיג הסכמה אקטיבית של המשתמש לכך שהוא מוכן למסור את המידע האישי שלו ומרשה לעשות בו שימוש. נוסח ההסכמה צריך להיות ספציפי, מפורט, נהיר, בעל הצהרה אקטיבית לפעולה וברוח החוק. הסכמה פאסיבית שבה משבצות הבחירה נבחרה מראש – לא תהווה הסכמה נאותה לצורך החוק (כלומר, אם עד עכשיו ברירת המחדל היתה להכניס את המשתמש אוטומטית לרשימות תפוצה והוא נדרש להסיר את סימן ה-V, היום התיבות האלה צריכות להיות ריקות, כך שהוא יהיה זה שיבחר באופן אקטיבי ומודע אם לסמן אותן). כמו כן, על ההסכמה לקשור קשר ישיר בין איסוף המידע האישי לבין השימושים שעושה בו הארגון. כך למשל, תיאלצו לקבל הסכמות גם בנוגע ל- remarketing cookies.

לביצוע: הסירו את סימוני ה-V מתיבות איסוף המידע, אפשרו למשתמש לבחור בעצמו והסבירו לו בדיוק מה פירוש ההסכמה שלו ואיזה שימוש תעשו במידע שלו.

הסכמה אקטיבית

Legitimate interest

במקום שבו אין לכם אפשרות ריאלית לקבל את הסכמת משתמש, כמו למשל בדיוור ישיר, עליכם להצדיק את עיבוד המידע האישי. איך? על-ידי אינטרס לגיטימי שיש לארגון בנוגע לעיבוד המידע. זה לא בא לעקוף את הצורך בהסכמת המשתמש, אלא נועד לאפשר (במקרים מסויימים) המנעות מקבלת הסכמה, תוך נטילת סיכון כי ייתכן ותצטרכו להוכיח כי אכן יש לכם אינטרס לגיטימי. בנוסף, נדרש לאפשר למשתמש לדרוש את הוצאתו מהרשימה בדרך של opt out. יובהר כי זוהי לא "דרך המלך" כדי לבסס הצדקה לעיבוד מידע בכל סיטואציה.

לביצוע: הקפידו שיהיה לכם אינטרס לגיטימי לאיסוף המידע ואפשרו למשתמש להסיר את פרטיו האישיים בכל שלבי ההתקשרות אתכם.

פרטיות

שינויים בחוויית המשתמש

גם אם אתם לא נדרשים בציות מלא ל-GDPR, ייתכן ועדיין תידרשו לבצע התאמות בחוויית המשתמש כדי להתאימה לסביבה הרגולטורית החדשה ועל-מנת ליישר קו עם הציפיות החדשות של המשתמשים (לשקיפות, לקבלת הצדקות לעיבוד המידע האישי, למתן הסכמה או משיכתה, וכיו"ב). זה כולל עדכון ממשקים מול המשתמשים, שקיפות רבה יותר והנגשת אפשרויות בחירה רבות יותר בהתאם לסוג המידע האישי הרלבנטי לשימוש, בעיקר אפשרויות למשוך הסכמות או לצאת מתחום קיים (opt-out).

לביצוע: גלו שקיפות עם המשתמשים, הסבירו להם איזה מידע אתם אוספים ואיזה שימוש תעשו בו ואפשרו להם נקודת יציאה בכל שלב.

unsubscribe

Google Analytics

גוגל אנליטיקס הודיעה שהחל מיום כניסת ה- GDPR לתוקף (ב-25 במאי 2018), תצטרכו לקבוע במשך כמה זמן לשמור את הנתונים על המשתמשים לפני שהם ימחקו באופן אוטומטי. כלומר, גוגל נותנת לכם את היכולת לשלוט בזה ומכאן שהאחריות לאיסוף המידע אודות המשתמשים היא משותפת, לכם ולגוגל כאחד. האפשרויות שעומדות לרשותכם באשר לשמירת הנתונים ינועו בין 14 ל-50 חודשים, עם אפשרות נוספת שלא לשמור את הנתונים כלל.

מה יקרה אחרי פרק הזמן שהגדרתם?

הנתונים ימחקו. גוגל תראה את המשתמש כמשתמש חדש ותתחיל לאסוף עליו נתונים מהתחלה. בכל מצב, הנתונים ישמרו רק במהלך פרק הזמן שהגדרתם ולא יום מעבר.

עכשיו בפועל, מה שימחק באמת הם נתוני ה- User/Event-level data בעוד שנתוני ה- Aggregated data ימשיכו ללא שינוי. כלומר, הנתונים הכללים ישמרו, אבל לא נתונים ספציפיים אודות משתמש ספציפי. מידע נוסף תוכלו לקרא כאן.

בכל מקרה, בשלב זה, בשל חוסר הבהירות בנושא, מומלץ להגדיר באנליטיקס Do not automatically expire ולחכות להתפתחויות:

google analytics GDPR

חשוב: אם זו האפשרות שהגדרתם, עליכם ליידע את הלקוחות או המשתמשים ולבקש את הסכמתם לכך.

מה כדאי לעשות מכאן?

  1. בצעו בדיקה ראשונית באשר למידת הרלוונטיות של ה-GDPR בארגון שלכם. ייתכן ואתם נדרשים לציית ציות מלא או חלקי ל-GDPR ומוטב שתתאימו את הארגון לכך בהקדם.
  2. זהו את המידע האישי שאתם מעבדים. בין היתר, סווגו אותו והגדירו איזה מידע אישי חיוני לעסק שלכם ולאיזה חלק בו, והאם יש הצדקה אמיתית לשימוש מבחינה מסחרית עבורכם.
  3. קראו היטב את ההסכמים ותנאי השימוש שאתם נדרשים לחתום עליהם (ואת אלה שכבר הסכמתם להם) וסרקו היטב את כל המסמכים שאתם נוהגים להשתמש בהם גם מול לקוחות וספקים כדי לוודא שהם לוקחים בחשבון את ההיבטים של פרטיות המידע האישי בהתאם לנדרש (כמו למשל מערכת היחסים של controller/processor).
  4. סרקו את תנאי השימוש ומדיניות הפרטיות שאתם נוהגים להשתמש בהם מול משתמשים וכן את כל המסכים והפורמטים (Ui/Ux) שבאמצעותם אתם מנגישים למשתמשים את האזהרות בנוגע לשימוש במידע אישי. חשוב מכך – בדקו גם את ההסכמות הנדרשות שלהם. קחו בחשבון שיתכן ותיאלצו לבצע שינויים גם אם אתם לא נדרשים בציות מלא ל-GDPR.

** הטיפים פה יוכלו לעזור לכם אבל אין בהם כדי להוות ייעוץ משפטי – במידה ויש ספקות מומלץ להיוועץ באיש מקצוע שמבין בתחום.**

מוזמנים לכתוב לי אם משהו לא ברור או אם יש לכם שאלות בנוגע לפעילות שלכם.

 

אודות ליאור אתגר

ליאור אתגר
ליאור אתגר הוא עורך דין במחלקה המסחרית של טולצ'ינסקי שטרן מרציאנו כהן לויצקי ושות', המתמחה בתחום הגנת הפרטיות. ליאור מייעץ לחברות ציבוריות ופרטיות במשפט מסחרי, תאגידים ודיני ניירות ערך. בעל תואר ראשון בהצטיינות במשפטים מהבינתחומי הרצליה, תואר ראשון בהצטיינות במנהל עסקים מהבינתחומי הרצליה ומוסמך לשכת עורכי הדין בישראל. ליאור הינו רס"ן במיל' ולו רקע כמטיס מל"טים וכמדריך טיסה בחה"א ובתעשייה הבטחונית.

עשוי לעניין אותך גם...

שיווק בדואר אלקטרוני

הגדלת אחוזי פתיחה: איך לכתוב בניוזלטר שורת נושא שהמשתמש ירצה ללחוץ עליה

למרות מה שנראה לרבים בתחום, שיווק בדואר אלקטרוני עדיין עובד. מחקרים ממשיכים להראות שמדובר באחד ...

9 תגובות

  1. יש טענה אצלנו בארגון, שעכשיו אנחנו צריכים לעשות opt-in שוב לכל רשימת התפוצה שלנו, אם אנחנו רוצים להמשיך ולשלוח להם פרטים.

    האם זה נכון? – זה אומר שבתחזית הכי אופטימית הרשימה "תחתך" ב50%-70%.

    • ליאור אתגר

      הטענה אצלכם היא נכונה. בכל מה שנוגע לדיוור ישיר – ה-GDPR דורש לעשות opt in גם מנמענים קיימים. אבל יש גם דרכים יצירתיות לעשות את הopt-in (אם תרצה להתעמק בזה יותר אתה יכול ליצור איתי קשר בפרטי).

      • אם מדובר באנשים שנרשמו אקטיבית לדיוור הישיר, אולי אפשר פשוט לשלוח תזכורת איך לצאת מרשימת התפוצה? שאלה נוספת: אם אני לא ארגון אלא עסק זעיר (מנהלת אירועים), האם גם אז עליי לבצע שינויים באתר וברשימת התפוצה במייל (גוגל-גרופס)? תודה.

        • ליאור אתגר

          יש כאלה ששולחים תזכורות של opt out, אבל הGDPR מאוד ברור בנוגע לזה ודורש opt in אקטיבי. צרי איתי קשר בנוגע לשאלות פרטניות יותר בפרטי liore@tslaw.co.il.

  2. היי ליאור, איך אפשר ליצור איתך קשר בפרטי?

  3. כתבה מעולה. אני חושבת שהיה מקום להדגיש את החשיבות של מדיניות פרטיות גם בישראל. כמובן שחשוב שמי שעובד עם או מוכר למדינות באירופה יהיה מודע ל-GDPR אבל הקהל צריך גם להבין שפרטיות היא משהו שחייבים ליישם גם בישראל, אומנם פחות מחמירים אצלנו ולפחות יש לנו את חוק הספאם, אבל שווה להעלות גם את הנקודה הזו. אני כבר שנים מוסיפה את המשפט עם סימון V "אני מאשר קבלת דיוור מחברה אבג", מקפידה על כפתור "להסרה" בדיוור, מדגישה ללקוחות שלי את החשיבות בהוספת מסמך מדיניות פרטיות ותנאי השימוש באתר. נמאס שבישאל יש זילות כלפי מידע שנאסף.

    • ליאור אתגר

      תודה נעמה. אכן נושא הפרטיות בישראל הוא משמעותי אבל יש לייחד לו מאמר נפרד – אולי אשקול לכתוב אחד נוסף 😉
      בינתיים שימי לב שהדרישות בישראל הן בעלות נופך שונה מזה של הGDPR כאשר הפוקוס הוא בעיקר על מאגרי המידע ואבטחתם, בעיקר ברמת ההתנהלות הפנימית (ועל דיוור ישיר). בכל אופן צריך לזכור שהתקנות הישראליות החדשות חלות על כל השחקנים הישראלים באשר הם.

  4. מה קורה עם פרסום מודעות של גוגל adsense באתר?

  5. היי,
    ברור לי שאתה יודע על מה אתה מדבר, אבל עיני הזדגגו אחרי עמוד אחד בערך 🙂
    אני לא קהל היעד העיקרי של הכתבה שלך, אבל חשוב לי לדעת:
    יש לי שלושה בלוגים. שניים על Blogspot ואחד על WordPress. אני לא כותבת בהם לעתים קרובות ואין להם תפוצה גדולה. בשנה האחרונה הפופולרי ביניהם הוא השני (שעוסק בנסיעות לחו"ל.)
    האם כל סיפור ה GPDR נוגע לי? האם אני צריכה לעשות משהו?
    הבלוגים הם: 1. בנושאי כתיבה, קריאה, עריכה, תרגום, קופירייטינג:
    http://take-ninas-word-for-it.blogspot.com/
    2. נסיעות וטיולים https://nina-makes-tracks.blogspot.com/
    3. כל מיני נושאים אחרים: https://ninatrackschanges.wordpress.com
    תודה, וד"ש חם לפבל,
    נינה

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תודה רבה על השיתוף ! לייק קטן לעמוד שלנו, ותשארו בעניינים על כל מה שחדש כאן :

שתפו את הפוסט עם חברים