אמנם עברו ארבע שנים מאז העולם נתקל לראשונה ברגולציית פרטיות ששינתה את פני השוק באירופה, ה-GDPR, אבל גם היום חברות מתקשות לעמוד בתקנות שהציבו רף חדש. לא משנה אם החברה היא ענקית טכנולוגיה או סטארט אפ קטן, אף אחת לא חסינה מפני הרגולציות ותקנות הפרטיות. רק בשנה האחרונה גוגל לדוגמה, נקנסה בפעם השישית, בסכום של מעל ל-100 מיליון דולר. גם מטא נקנסה השנה בקנס השני בגודלו בתולדות הרגולציה.
מאז קמו עוד ועוד רגולציות בכל העולם, החל מה-CCPA בקליפורניה ועד לרגולציות באפריקה ומדינות נוספות. נראה כי השוק לא לומד מטעויות, שכן בארבע השנים האחרונות כ-900 קנסות ניתנו לחברות בגדלים שונים על הפרה של תקנות הפרטיות של ה-GDPR.
בחודשים האחרונים אנחנו עדים לשינויים וחידושים רבים בתחום הפרטיות, מתקנות ה-Data Privacy Act שנחתמו במאי האחרון בקונטיקט, דרך עדכון מדיניות הפרטיות של אפל שנכנס לתוקף ביולי האחרון והפך אותה לרגולטור של ממש, ועד להיסטוריה שהתרחשה בחודש יוני כאשר הצעת חוק פדרלית העוסקת בהגנת פרטיות ומידע הביאה מחוקקים משני צידי הקשת הפוליטית בארה"ב לנוסח מוסכם.
כל אלו צפויים לצבוע את השנה הקרובה בגווני פרטיות חדשים שישפיעו לא רק על חברות אמריקאיות אלא על כל חברה שפועלת בשטח ארה״ב. ביניהן, כמובן, גם חברות ישראליות.
המצב הזה משנה לחלוטין את חוקי המשחק. ניקח לדוגמה את העדכון של אפל: עסק שמסתמך על אפליקציית iOS כחלק מהמודל העסקי וממודל המכירות שלו ולא יעמוד בדרישת המחיקה של מידע אישי של צרכנים - יוסר ככל הנראה מה-App Store, מה שעלול להביא למחיקת הכנסות מיידית שלו.
אפליקציות שעומדות בדרישות עשויות להחליף את אלה שלא, מה שיחזק את כוחן של אותם עסקים ואפליקציות, שאולי עד היום היו פחות פופולריים או מוכרים. בעצם אפשר להסתכל על זה כפוטנציאל צמיחה משמעותי
מצד שני, אפליקציות שעומדות בדרישות עשויות להחליף את אלה שלא, מה שיחזק את כוחם של אותם עסקים ואפליקציות שאולי עד היום היו פחות פופולריים או מוכרים. בעצם אפשר להסתכל על זה כפוטנציאל צמיחה משמעותי, אם רק לומדים להתנהל נכון בנוף המשתנה.
איך צפויה להיראות 2023 ומה חברות ישראליות צריכות לדעת כדי לא להיפגע ואפילו לפרוח בעידן הפרטיות החדש?
אם ה-ADPPA, הצעת החוק הפדרלית העוסקת בחובת מזעור מידע; בזכות לסרב לפרסום ממוקד ועוד, תיכנס לתוקף - היא תחול על כל חברה שאוספת נתונים מכוסים, כלומר מידע מזהה או ניתן לקישור סביר לאדם, וכפופה לחוק ועדת הסחר הפדרלית. חוק זה ישנה לחלוטין את כללי המשחק, יגבר על כל רגולציה מדינתית בארה״ב כמו ה-CCPA וישפיע על כל חברה הפועלת בארה"ב.
חברות שייכשלו בדרישות החוק יעמדו בפני סכנות הכוללות תביעות פרטיות בבית משפט פדרלי, אכיפה של ועדת הסחר הפדרלית, צווי מניעה והוצאות ענק (מקנסות ועד הוצאות בית משפט). חברות חייבות להתכונן מבעוד מועד, בין אם החוק יכנס לתוקף או לא.
נכון, גישה לנתוני צרכנים היא בדרך כלל קריטית להמשכיות העסקית של חברות שונות. אבל הגידול בחוקי פרטיות המידע בארצות הברית וברחבי העולם, יחד עם שינוי כללי בשוק המושפע בין היתר מ-COVID-19, יצרו יחד סיכונים חדשים בקרב חברות שאוספות ומעבדות מידע של צרכנים כחלק מהמודל העסקי שלהן.
כל חברה הפועלת בשטח ארה״ב, שתכשל בדרישות החוק תעמוד בפני סכנות הכוללות תביעות פרטיות בבית משפט פדרלי, אכיפה של ועדת הסחר הפדרלית, צווי מניעה, והוצאות ענק. חברות חייבות להתכונן מבעוד מועד, בין אם החוק יכנס לתוקף או לא
במטרה להתמודד עם הנוף המשתנה, להימנע מקנסות, מפגיעה בשם המותג ובאמון הציבור ולהבטיח פעילות עסקית מתמשכת, התייעצות עם מומחים מעולם לא הייתה חיונית יותר – כל רגולציה מדינתית ופדרלית מביאה משהו אחר לשולחן עמו עסק צריך להתמודד. כך לדוגמה, ה-ADPPA צפוי להטיל מספר חובות נוספים, כמו לקבל הסכמה מפורשת לפני השימוש במידע רגיש, למנות קציני פרטיות וכו'. ההצעה הפדרלית כוללת גם איסור אפליה על בסיס מאפיינים כמו גזע, מגדר או נטייה מינית, ותורה לחברות המחזיקות מידע אישי להתאים את האלגוריתמים שלהם בהתאם.
בנוסף לסיוע של מומחי פרטיות, ישנן דרכים נוספות להתכונן לשינויים הרגולטורים הצפויים, ורצוי לעשות זאת מוקדם על מנת שלא לתת להיסטוריה לשחזר את עצמה כפי שקרה ועדיין קורה עם ה-GDPR.
וצריך להתאים את כל העסק לנוף המשתנה גם מבחינה טכנולוגית. הבנת המצב בשוק המשתנה היא צעד ראשון ולהקיף את עצמך במומחים בתחום הפך לדבר הכרחי, אבל לא בזה השינוי מסתכם. השלב הקריטי הוא עמידה בדרישות כמו הזכות להישכח, או התאמת האלגוריתם כך שלא יעביר לצרכנים מסרים 'גזעניים' – פה הפתרונות הטכנולוגיים האוטומטיים נכנסים.
המשמעות הכלכלית שעומדת מאחורי סיפוק הצרכנים
חשוב להבין שעבור סטארט אפ או חברה צעירה הפועלת בשוק האמריקאי או מפעילה אפליקציה ב-IOS לדוגמה, כל הוצאה כספית על פרטיות יכולה להיות הוצאה גדולה. אבל באותה מידה, לנהל את מערך הפרטיות ולעמוד בדרישות הרגולטוריות באופן ידני יכולים לעלות הרבה יותר כסף ולעיתים אותן חברות צעירות לא באמת מצליחות לעמוד בעומס ומסתכנות בקנסות.
על פי Gartner, לדוגמה, בקשה אחת של הזכות להישכח יכולה לעלות לארגון כ-1,400 דולר באופן ידני. כאשר ארגון שומר מידע של לקוחות הוא בדרך כלל עושה זאת לשימושים שונים, בין אם לשפר את חווית המשתמש לטובת שירות לקוחות, שיווק או לשיתוף עם צד ג'. ברגע שצרכן מבקש מאותה חברה למחוק את המידע שלו, החברה צריכה קודם כל למצוא איפה במערכות נשמר המידע ולמי בחברה יש גישה, ורק לאחר מכן להתחיל למחוק - כל זה שווה זמן, וזמן שווה כסף.
העולם משתנה, הצרכנים הופכים להיות יותר אקטיביים, רגולציות יותר נוקשות וחברות חייבות להתאים עצמן ולספק חווית פרטיות טובה יותר, מהירה יותר ולתקשר עם הצרכנים בגובה העיניים, אחרת הן יאבדו לא רק הכנסות אלא גם את אמון הציבור וזו סכנה גדולה לא פחות. יש לא מעט פתרונות טכנולוגיים המאפשרים לחברות לשמור על פרטיות הצרכנים. נכון יהיה אם יתחילו להשתמש בהם מבעוד מועד על מנת להקדים תרופה למכה. חברות קטנות לא יהיו מסוגלות לשרוד את העידן החדש ואת השינויים הצפויים לאור הצעת החוק הפדרלית אם לא יתאימו את עצמן כבר עכשיו.
העולם משתנה, הצרכנים הופכים להיות יותר אקטיביים, רגולציות יותר נוקשות וחברות חייבות להתאים עצמן ולספק חווית פרטיות טובה יותר, מהירה יותר ולתקשר עם הצרכנים בגובה העיניים, אחרת הן יאבדו לא רק הכנסות אלא גם את אמון הציבור וזו סכנה גדולה לא פחות
כפי שכבר כתבנו, המון שינויים רגולטורים נכנסו ויכנסו במהלך השנה הקרובה, כך לדוגמא בנוסף לקונטיקט, גם קולרדו, יוטה ווירג'יניה צפויות להכניס מדיניות פרטיות חדשה במהלך 2023. שינויים אלו מחייבים חברות לשנות את גישתן והתנהלותן אל מול מידע אישי של צרכנים.
"ל-Plarium Global Ltd, חברה ישראלית אשר עוסקת בפיתוח משחקי מובייל ומשחקי רשת יש למעלה מ-435 מיליון משתמשים רשומים ברחבי העולם והיא מחויבת בהגנה על זכויות הפרטיות של המשתמשים שלנו", מספרת עו"ד אסתר פיי שכטר, יועצת משפטית בתחום הפרטיות בחברת פלאריום. "התפתחויות אלו עשויות להשפיע על המדיניות הפנימית הארגונית שלנו יחד עם פיתוח מכניקה ישימה במשחקים, ואנו שואפים לעשות זאת מבלי לגרוע מחוויית המשתמש שלנו. שינויים רגולטוריים הם גורם חיוני בתוכנית הפרטיות שלנו, ואנו מעודכנים ומייעצים בנושאים אלו באופן עקבי".
בהיעדר חוק הפרטיות הפדרלי של ארה"ב, מדינות כמו קליפורניה, קולורדו, וירג'יניה, יוטה וקונטיקט, חוקקו חוקים משלהן. ההתפתחויות בדיני הפרטיות של ארה"ב מחייבות בחינה מחודשת של ההשפעה על מחזור החיים של איסוף ועיבוד נתונים תוך שימת דגש על הודעת פרטיות, הסכמה, ניהול ספקים, הוראות זכויות וכו'.
הכותבים: ג'ים סאליבן, שותף ב-DLA Piper וושינגטון, המתמחה ברגולציה ובקשרי ממשל, בדגש על הגנת מידע ופרטיות; וגל רינגל, מנכ״ל ומייסד שותף של Mine