צ'טבוט ומה שביניהם GDPR

מה זה GDPR?

מי עוד לא שמע את צירוף האותיות המאיים, GDPR? מי שלא – זקוק לקריאת השכמה, ויפה שעה אחת קודם. הGDPR – General Data Protection Regulations - הינן תקנות שחוקקו על ידי האיחוד האירופי, ועוסקות בהסדרת אופן הטיפול במידע פרטי – איסוף המידע, שמירתו, עיבודו, וכל פעולה אחרת הנוגעת לשימוש בו. הגדרת מידע פרטי על פי התקנות רחבה ביותר, וכוללת כל מידע מזהה או שעשוי לזהות אדם, גם אם נדרש מידע נוסף שניתן להשיגו באופן סביר על מנת לזהות אדם באמצעות נתון שברשותנו.

תקנות ה GDPR נכנסו לתוקפן במאי 2018, תחולתן רחבה וחובקת עולם. הגם שמדובר בתקנות שחוקקו על ידי האיחוד האירופי כאמור, תחולתן רחבת ההיקף לוכדת כל פעילות שבבסיסה איסוף מידע ונתונים או ניטור התנהגות והרגלים של אנשים באיחוד האירופי. לפיכך גם אופרציה ישראלית, העוסקת באיסוף מידע פרטי על אנשים באירופה, כפופה לתקנות אלה, ומכאן החשיבות הרבה להכרת התקנות ועמידה בהן. לתקנות אלה "שיניים" בדמות ענישה חסרת תקדים בהיקף הקנסות העלולים להיות מוטלים על חברות מפרות, ולא תמצאו כתבה אחת בנושא שלא מנפנפת בקנסות העתק בגובה של עד 20 מיליון דולר. אך זוהי לא הסיבה היחידה לדאוג. בעולם של היום, מי שאינו עומד בדרישות התקנות הללו, יכול למצוא את עצמו מחוץ למשחק, וזאת כיון שגם שותפים עסקיים לאורך כל שרשרת האספקה, גם לקוחות, וגם המשקיעים שלכם, ירצו לקבל מכם ערובות מספיקות לכך שאתם עומדים בתקנות הללו, כתנאי מקדים לכל פעילות עסקית.

מה לצ'טבוט ולGDPR?

קסמו של הצ'טבוט ביכולת שלו לייצר תקשורת משמעותית, אישית ככל שניתן עם המשתמש.

במצבים רבים, ככל שהבוט יידע יותר על המשתמש כך תגבר האפקטיביות שלו. הצ'טבוט מרכז מידע רב מאד על משתמשים, וגם מתממשק עם מערכות ארגוניות אחרות המשמשות לצבירת מידע פרטי רב, כגון מערכות CRM או מאגרי נתונים אחרים. מכאן נובעת גם הרגישות הגדולה של הבוט בהקשר של הגנת פרטיות, והבוטים משמשים לא אחת גם ככלי זדוני המשכנע אנשים למסור מידע אישי לצרכים שאינם עולים בקנה אחד עם החוק.

למשל, ביוני 2018 הודיעה Ticketmaster אירוע אבטחה שבו נגנבו פרטי אשראי של קונים, לפי הערכות מסוימות מדובר בכ-11 מיליון משתמשים שנפגעו. הסתבר כי האקרים השתמשו בצ'טבוט של Ticketmaster ששימש לביצוע הרכישות, על ידי ביצוע שינויים לJavaScript בצ'טבוט של Ticketmaster. ספקית הצ'טבוט שלהם, Ibenta – זכתה לפרסום שלילי רב בעקבות האירוע, ועדיין אין לדעת אם יהיו השלכות משפטיות עליה ומה היקפן.

אירועים דומים נוספים של גניבת פרטי תשלום של משתמשים אירעו בחברת התעופה האמריקאית דלתא, וכן באתר Sears וגם במקרים אלו הפריצה נעשתה באמצעות תוכנת הצ'טבוט שאותן חברות עשו בה שימוש.

אבל מה אפשר לעשות?

ברור שלא ניתן למנוע באופן מוחלט מתקפות זדוניות, ואין בנמצא טכנולוגיה החסינה לחלוטין מפני מתקפות. האקרים תמיד יהיו יצירתיים וימשיכו למצוא פרצות שמהן ניתן יהיה ללמוד, למרבה הצער, רק בדיעבד.

אבל מה כן ניתן לעשות? אם תדאגו לפעול בהתאם לתקנות, ולא פחות חשוב מכך: תוכלו להוכיח את עמידתכם בתקנות באמצעות תיעוד מסודר, תגדילו משמעותית את הסיכוי שלכם להימנע מהענישה החמורה שמציבות תקנות הGDRP (אפילו אם חלילה יקרה אירוע אבטחת מידע) ולא פחות חשוב, תצברו יתרון עסקי משמעותי בעולם שבו הגנה על המידע הפרטי הינה ערך חשוב ושיקול משמעותי בבחירת שותפים לדרך.

כמה טיפים חשובים

להלן כמה טיפים שיסייעו לכם לשפר מוכנות ולהפוך את האופרציה שלכם מוכוונת ציות לGDPR. כמובן שזוהי רק רשימה חלקית ובשום אופן אינה מיועדת למצות את כל הפעולות שעליכם לעשות תחת הGDPR.

1. נהגו בשקיפות וידעו את המשתמשים מה תעשו במידע שלהם. עקרון מהותי תחת הGDPR מחייב שקיפות מלאה לגבי איזה מידע נאסף, לאילו מטרות, מה תעשו בו ועם מי תחלקו אותו, האם המידע יועבר בין מדינות ואם כן לאילו, איזה אמצעים ננקטים על מנת להגן על המידע המועבר למדינות אחרות. חשוב להעביר את המסר למשתמשים בשפה ברורה ומובנת, בהזדמנות הראשונה ולפני שעושים כל שימוש במידע האישי של המשתמשים. תוכלו לעשות זאת באמצעות דחיפת הודעה בתחילת שיחה עם משתמשים חדשים. לכל שימוש במידע פרטי צריך שיהיה בסיס חוקי הקבוע בתקנות. אחד מהם הוא הסכמה (ישנם בסיסים חוקיים נוספים, שאינם מתאימים בכל מקרה – ולכל אחד מהם יתרונות וחסרונות – בהם לא נדון כאן). אם בדעתכם להסתמך על הסכמת המשתמש – דאגו כי המשך השיחה יתאפשר רק לאחר קבלת הסכמת המשתמש לתנאים. תעדו את ההסכמה.

2. הטמיעו אמצעים לשמירת בטחון המידע. עליכם לנקוט באמצעים ארגוניים (נהלים, הדרכות, וכיוב') וטכנולוגיים (פיזיים ולוגיים) לשם מניעת גישה בלתי מורשית למידע האישי. האמצעים המתאימים ייבחרו תוך שים לב לאופי המידע, סוג השימוש ועיבוד המידע שבכוונתכם לבצע, והסיכונים שיכולים לנבוע מגישה בלתי מורשית למידע זה. בדקו את עצמכם מעת לעת וקבעו מדיניות מסודרת לגבי סקרי סיכוני אבטחת מידע. מומלץ לשקול אימוץ תקנים בינלאומיים ולפעול על פיהם, כגון תקן ISO72201 (אבטחת מידע).

3. הקפידו לכבד את זכויות נושאי המידע (המשתמשים שלכם). על פי התקנות, לנושאי המידע זכויות רבות בנוגע למידע האישי שלהם, הבולטות שבהן הן הזכות לקבל מידע לגבי האם מידע אישי שלהם מעובד על ידיכם, ואיזה מידע מצוי ברשותכם לגביהם; הזכות לבקש את מחיקת המידע השמור אצלכם אודות נושא המידע, והזכות לדרוש כי תחדלו משימוש במידע שלהם (למטרות מסוימות או בכלל). תכננו את מוצריכם באופן שיתמוך באופן מלא בזכויות המשתמשים, ודאגו לענות במהירות הראויה וברצינות מלאה לבקשות נושאי המידע בדבר זכויותיהם. במידה והשתמשתם בהסכמה כבסיס חוקי לעיבוד המידע (ראו סעיף 1 לעיל), עליכם לאפשר לנושא המידע למשוך את הסכמתו באותה הקלות שבה הוא נתן אותה, ועליכם לחדול מכל פעולת עיבוד המידע הנסמכת על הסכמה זו מיד עם משיכתה על ידי נושא המידע.

4. הימנעו מקבלת החלטות המבוססת אך ורק על אמצעים אוטומטיים/בינה מלאכותית – כאשר מדובר בקבלת החלטות כלפי משתמשים, שיש להן השלכות משמעותיות, משפטיות או דומות, על זכויות המשתמשים. במקרים כאלה אין מקום להכרעה יחידה שנובעת מבינה מלאכותית, וחשוב שתהיה יד אדם מעורבת בתהליך קבלת ההחלטה. כך למשל, אם מדובר בהליך ללקיחת הלוואה מבנק –ההחלטה הסופית האם לאפשר או לא לאפשר למשתמש מסוים לקבל הלוואה מהבנק, צריכה להיות מגובה בידי החלטת בן אנוש. כך לגבי קבלת פיצוי באירוע צרכני מסוים, העמדת קו אשראי, וכיוצא באלה. יש ליצר מנגנונים שמתעדים את המעורבות האנושית בקבלת החלטה כאמור, משום שמרגע שמשתמש יגיש תלונה בדבר קבלת החלטות אוטומטיות בעניינו, נטל ההוכחה עובר לכתפי החברה.

5. הכירו את קהל היעד שלכם וודאו שאתם עומדים בדרישות. לגבי קהלים מסוימים ולגבי סוגי מידע מסוימים, התקנות מכתיבות סטנדרטים מחמירים יותר. כך למשל לגבי הדרישות לקבלת הסכמה תקפה מילדים, או איסור כללי, למעט חריגים, לעבד מידע שנכלל בקטגוריות הבאות: גזע, שיוך אתני , דעות פוליטיות, דת או אמונות פילוסופיות אחרות, מידע גנטי וביומטרי, בריאותי, וכן מידע על חיי מין ונטיות מיניות של אדם. במידה והצ'טבוט שלכם חשוף למידע כאמור, חשוב לפנות ליעוץ על מנת להבין את הדרישות החלות במקרים כאלה.

6. הקפידו בבחירת הספקים שלכם. עמידה בGDPR היא שיקול חשוב בבחירת הספקים שלכם. התקשרו רק עם נותני שירותים וספקי מערכות (למשל מערכות ענן, מערכות CRM ומערכות מרקטינג) העומדים בדרישות הGDPR. דאגו שתהיה לכם מדיניות התקשרות מסודרת עם ספקי IT, שאתם יודעים איזה שאלות אתם רוצים לשאול את הספקים שלכם, ואיזה תשובות מספקות אתכם. עם כל הספקים דאגו שיהיה לכם הסכם כתוב, שמטפל בחלוקת האחריות, החובות והזכויות של הצדדים בקשר עם הטיפול במידע פרטי.

7. דעו איך להתנהג במקרה של אירוע אבטחת מידע. ברגע האמת – זה ממש מאוחר מדי כדי לדעת איך לטפל במקרה כזה ומה לעשות. התכוננו מראש, למדו את דרישות הGDPR במקרה של אירוע אבטחת מידע, כולל מתי ואיך צריך לדווח לרשויות המוסמכות ו/או לבעלי השליטה במידע ו/או לנושאי המידע, בררו לעצמכם האם אתם יודעים מה ייחשב אירוע אבטחת מידע, וכיצד לטפל בו צעד אחרי צעד, מי צריך להיות מעורב, ואיך להפיק לקחים ומסקנות לאחר שאירוע כזה הסתיים. דאגו לאמץ מדיניות מסודרת בכתב ובדקו אותה מדי פעם על מנת לעדכן ככל שנדרש.

ומה עוד?

מבחינת החוקים החלים, ייתכן שעל הפעילות שלכם חלים עוד סטים נוספים של חוקים, למשל, אם פעילותכם מתבצעת בישראל, הרי שחלים עליכם גם חוק הגנת הפרטיות וגם תקנות הגנת הפרטיות (אבטחת מידע) – שאף הן חדשות יחסית ונכנסו לתוקפן במאי 2018.

כמו כן ככל שפעילותכם מתבצעת במדינות אחרות, קיימים חוקים מקומיים – גם באיחוד האירופי, למדינות השונות בתוך האיחוד חקיקה משלימה לGDPR, כך שחשוב שתמפו את פעילותכם ותבינו באילו מדינות אתם חשופים לדרישות רגולטוריות נוספות.

בארה"ב, עדיין אין חקיקה פדרלית מקיפה שעוסקת בהגנת פרטיות, אם כי ישנם חוקים ספציפיים לסקטורים מסוימים כגון מגזר שירותי הבריאות והשירותים הפיננסיים – כך שבמידה ואתם מעורבים בעולמות אלו בארה"ב עליכם לתת על כך את הדעת. נוסף על כך, ישנן מדינות בארה"ב, כגון קליפורניה, שהחלו לחוקק חוקים ספציפיים – מעין תואמי GDPR – בתחומן.

מילה לסיכום

במגרש המשחקים של הGDPR ישנם מספר שחקנים ולהם תפקידים שונים תחת התקנות. השחקנים הינם בעל השליטה במידע (Controller), מעבד המידע (Processor), נושא המידע (Data Subject) והרשויות המוסמכות לאכיפת התקנות.

החובות שמוטלות על כל פעילות ופעילות מכח התקנות משתנה בהתאם לתפקיד השחקן באותה פעילות, כך למשל, תוכלו להיות בעל שליטה במידע לצורך פעילות אחת שאתם מבצעים ומאידך מעבד מידע בחתכים אחרים של הפעילות. לא את כל הטיפים שלעיל תוכלו או תצטרכו ליישם בכל המקרים, והכל תלוי בתפקידכם במערך ביחס לעיבוד המידע (כאשר הכוונה לעיבוד במובן הרחב ביותר של המילה, הכולל איסוף, שמירה, תרגום, המרה, העברה ממערכת למערכת, וכיוצא באלה כל פעולה שהיא הכרוכה בגישה למידע הפרטי) כבעל שליטה או מעבד המידע.

התחום הוא סבוך ומורכב, ואין מאמר זה מתיימר לספק רשימה סגורה ומתומצתת של כל הדרישות החלות, כי אם להוות קריאת כיוון ולהציג בפניכם סוגיות עיקריות בנושא הקשר בין צ'טבוטים וה-GDPR. מומלץ להתייעץ עם מומחים על מנת להבין את הדרישות הרגולטוריות החלות על האופרציה הספציפית שלכם.