GDPR vs Big Tech

חברת מטא נקנסה בסכום שיא של 1.2 מיליארד אירו על ידי הנציבות האירית להגנת המידע, וזאת בעקבות העברת נתוני המשתמשים האירופאים של החברה לארה"ב. הקנס הוא הגדול ביותר שהוטל אי פעם על ידי האיחוד האירופי בעקבות הפרה של כללי פרטיות הנתונים.

בדיקה של רשות הפרטיות האירית, ה-DPC, העלתה כי מטא לא צייתה לתקנות ה-GDPR המחמירות של האיחוד האירופי, בכך שהעבירה נתוני משתמשים מהאיחוד האירופי לשרתים ודאטה-סנטרים שממוקמים בארה"ב. על פי התקנות, חברות חייבות להגן על המידע הפרטי והנתונים האישיים של אזרחי האיחוד; וההעברה של המידע לשרתים אמריקאים, על פי האיחוד, אינה מבטיחה את שלמותם ואבטחתם של הנתונים והמידע של אזרחי האיחוד.

ברגעים אלה ממש עיניהן של חברות הביג טק האחרות נשואות אל הפרשה הזו על מנת ללמוד את ההחלטה ולוודא שהן עומדות בתקנים המחמירים. כי היום זו מטא, אבל מחר זה כבר מישהו אחר.

תקנות ה-GDPR המיושמות על ידי האיחוד האירופי משנת 2018, השפיעו עמוקות על עסקים ברחבי העולם, במיוחד חברות טכנולוגיה גדולות כמו מטא. מטרת ה-GDPR היא להגן על פרטיות המשתמש ולהסדיר את עיבוד הנתונים האישיים של תושבי אירופה. עם זאת, הדרישות המחמירות שלה הציבו אתגרים משמעותיים עבור חברות המטפלות בכמויות אדירות של נתוני משתמשים, ונדמה שהתמרון בתוך גבולות המותר נהיה קשה יותר ויותר עבור חברות שמנהלות מאסות דאטה אדירות. הנה כמה מהקשיים הגדולים ביותר שהתקנות האלה מביאות איתן:

​

1. ההיקף הטריטוריאלי של ה-GDPR משתרע מעבר לגבולות האיחוד האירופי, ומשפיע על חברות טכנולוגיה גדולות הפועלות ברחבי העולם. כבר נפל לכם האסימון? האיחוד האירופי בעצם קבע תקנות שחלות בכל העולם, ולא רק בתחומי האיחוד. אז מה המצב מבחינה משפטית למשל בארה"ב, בה לחלק מהמדינות יש תקנות פרטיות משלהן? אי אפשר להתחיל לדמיין את המורכבות שביישום תקנות פרטיות שונות במספר תחומי שיפוט.

2. ה-GDPR שם דגש רב על קבלת הסכמת משתמש ברורה ומושכלת לעיבוד נתונים. לדוגמה, כשחברה שולחת תוכן פרסומי היא מחויבת לאפשר למשתמש לעשות "הסר" או unsubscribe. אבל לפעמים אפילו זה לא מספק את ה-GDPR – וחברה שכן מאפשרת את האופציה הזו עלולה להימצא כמפרה את העיקרון הזה בגלל ש"כפתור ההסר היה קטן מדי, נסתר ולא אינטואיטיבי למשתמש".

3. ל-GDPR יש השלכות משמעותיות על פרסום ממוקד, שכן הוא מצריך חשיפה ברורה והסכמת משתמשים עבור נוהלי פרסום מבוססי נתונים. פה כבר יש פגיעה עמוקה באינטרסים המסחריים והכלכליים של החברות. בשביל לפרסם לקהל היעד שעשוי להתעניין במוצר שהיא מציעה – החברה צריכה קודם כל למצוא אותו ולברור אותו מבין ההמון. אבל איך אפשר לעשות את זה כשכמעט by default יש מגבלות על שיוך מזהה פרסומי (כמו גלישה באתר אינטרנט מסוים) לזהות של אדם?

​

אלה כמובן אספקטים ספורים מבין רבים שממחישים את האתגרים הגדולים עבור חברות טכנולוגיה גדולות, הנדרשות למאמצים משמעותיים כדי לנווט בנוף המורכב של פרטיות המשתמש והגנת נתונים. עמידה בדרישות המחמירות של ה-GDPR תוך שמירה על חדשנות ואספקת שירותים מותאמים אישית היא פעולת איזון עדינה. כאשר חברות טכנולוגיה גדולות מסתגלות למסגרת של ה-GDPR, עליהן להמשיך לתעדף את פרטיות המשתמש, ליישם אמצעי ציות חזקים ולטפח תרבות של הגנה על נתונים כדי לעמוד בציפיות המתפתחות של הרגולטורים והמשתמשים כאחד. בסופו של דבר, עליהן הנטל להוכיח שלא מדובר כאן במשחק סכום אפס.