שתי מחשבות על GDPR
תקנות הגנת המידע החדשות של האיחוד האירופי נכנסו החודש לתוקף. לשמחתי אני לא באיחוד ולא עושה עסקים עם האיחוד ותנחומיי למי שכן. למחוקקי ה GDPR ייתכן והיו כוונות טובות אבל התוצאה גרועה מאוד לנו כמשתמשים ברשת וכמתכנתים שבונים אותה.
שתי נקודות ששווה להכיר אם אתם מתכוונים להכניס גולשים מאירופה בתקופה הקרובה:
1. ניהול מידע
לאירופאים מותר לבקש ולקבל את המידע שאתם שומרים עליהם. זה נשמע בסדר עד שאתם נזכרים שכנראה הרבה מהמידע שאתם שומרים נשמר בלי להתכוון. מהיכרות עם המנטליות של סטארט-אפים קשה לי לראות איך אפשר לנהל את המידע שכל רכיב תוכנה שומר בלוגים או בשירותי צד-שלישי.
כן ברור שאם אתם עושים הכל לפי הכללים ומקפידים לא לכתוב מידע רגיש ללוג ומצפינים את כל הגיבויים שלכם ומוחקים לוגים ישנים ולא שוכחים קבצים ב tmp הכל יהיה בסדר. אבל כשסטארט-אפים שוכחים להגן בסיסמא על בסיס הנתונים ומשרד הפנים שוכח להגן על שרת ה Redis שלו אני חושב ש GDPR מכוון קצת גבוה מדי.
ושלא נשכח - לאירופאים יש גם זכות לבקש למחוק את המידע שנוגע אליהם, וזה אומר שאתם תצטרכו להוסיף למערכת מסכי בקרה שיציגו לכל אחד את מה שאתם יודעים עליו ותאפשרו לכל אחד למחוק מידע שלא מתאים לו שאתם תשמרו. אז כן אם יש לכם עודף במפתחים ולא יודעים מה לעשות איתם זה נראה פרויקט נחמד. מצד שני אם עוד שניה נגמר לכם הכסף מהגיוס האחרון ואתם עדיין מחפשים לקוחות אולי תרצו להשקיע במוצר טוב יותר.
2. הסכמה
אחד האתגרים שה GDPR היה צריך להתמודד איתו ולדעתי לא בהצלחה מרובה הוא נושא ההסכמה (Consent). הרעיון שאירופאים יוכלו לבחור אם חברות ישתמשו במידע של אותם אירופאים או לא ובאיזה אופן. כדי לוודא שהבחירה הזו תהיה חופשית ה GDPR דואג לוודא שאירופאי שבחר שלא לשתף את המידע שלו יקבל בדיוק את אותו שירות כמו אלה שכן משתפים את המידע שלהם. בעצם הגישה של האיחוד היא שמידע אישי אינו למכירה וכל המודלים של מכירת מידע אישי בתמורה לשירות לא חוקיים. במאמר שמצאתי האחראי על הגנת מידע באיחוד השווה בין מכירת מידע אישי למכירת איברים.
בדוגמא פרקטית זה אומר שאם עד עכשיו יכולתי לזהות מי מחבריי באירופה פותח את המיילים שאני שולח, החל מהחודש אצטרך לשכנע אותם שיסכימו להעביר לי מידע זה (למשל אוכל להגריל טאבלט בין כל מי שיפתח 5 מיילים או יותר). בכל מקרה אי אפשר יהיה להגיד לאירופאים שאם הם לא מוכנים לספר לי אם הם פתחו את המייל ששלחתי אני לא מוכן לשלוח להם מייל. זה נוגד את ה GDPR. אי אפשר גם להתנות גישה לאתר בהסכמה לשמירת מידע פרטי או כל טרנזאקציה עסקית מסוג זה.
3. השפעה על חברות קטנות ופרויקטי-צד
כבר בשבוע האחרון סטארט-אפים התחילו לקבל מכתבי הפחדה מעורכי דין וסתם טרולים אירופאיים שמבקשים לקבל את המידע שלהם ששמור בחברה. למרות שרק רשות להגנת מידע יכולה לתבוע בפועל, עצם הגשת תלונה לרשות כזו בצירוף ראיות שחברה מסוימת לא הסכימה לתת לך את המידע שלך כנראה יעלה אתכם על הרדאר שלהם.
בהיעדר יכולת של מתכנתים ובעלי עסקים לבחור לצאת מה GDPR, רבים בוחרים לסגור את פרויקטי הצד שלהם לאזרחי אירופה באמצעות חומות אש, ורבים אחרים בוחרים לסגור פרויקטי-צד קטנים לחלוטין. הפחד להיכנס להתגוששות משפטית עם עורכי הדין של האיחוד הוא אמיתי ואת ההשפעה של ה GDPR ייקח עוד חודשים או שנים עד שנראה.