איך אתם יודעים שכשאתם מעבירים מידע אישי למישהו הוא ישמש רק למטרה שנתתם אותו? טוב… זו שאלה לא קלה. לצורך זה, יש לנו את חקיקת הפרטיות האירופית, הGPDR. החקיקה דורשת משהו שנקרא "צמידות המטרה"; כלומר, שאם סיפקת מידע למישהו, הוא יכול להשתמש בו רק למטרה לשמה הוא קיבל. אבל, המישהו הזה יכול להעביר הלאה את המידע כחלק מהשירות שהוא נותן לאחרים. במקרה הזה, הוא נדרש לוודא שהמידע שלך מאובטח וישמש רק לאותה מטרה. זה נעשה באמצעות הסכם עיבוד מידע אישי, הסכם סטנדרטי שנועד להבטיח שהמידע שלך והזכויות שלך נשמרות על ידי צד שלישי (הבחור שקיבל את המידע עלייך).
זה נשמע ממש הגיוני ופשוט: אם אני משתמש בשירות תשלום באתר האינטרנט שלי, אז השירות הזה מקבל מידע על הלקוחות שלי. השירות חותם על DPA (הסכם עיבוד מידע) עם כל מיני חברות, זו שבודקת שאין הונאות, זו ששולחת מייל בסוף השירות, ובתיאורה הכל בסדר.
הבעיה היא, שגם אותם שירותים חותמים על הסכם עם צדדים נוספים. שירות המייל יכול להשתמש בפתרון אחסון חיצוני ושירות סטטיסטיקה, כדי לשפר את השירות שלו.
בעצם, איך בני אדם אמורים להבטיח שהמידע שלהם נשמר מאובטח? בתיאוריה, הם אמורים לקרוא את מדיניות הפרטיות. בפועל? גם אם הם יקראו את מדיניות הפרטיות, הם צריכים לשרשר הלאה את כל האינטרנט כדי להבין לאן המידע מטייל, וזה מה שאני רוצה לדבר עליו בפוסט הקצר הזה.
0. מה זה הGDPR?
למי שנחת לאחרונה על כדור הארץ, אתם צריכים להבין שבערך בחודש מאי 2018 תקנה 2016/679 של הפרלמנט האירופי והמועצה מיום 27 אפריל 2016 על ההגנה של בני אדם טבעיים בהתייחס לעיבוד מידע אישי ובתנועה חופשית של מידע כאמור, אשר מבטלת את דירקטיבה 95/46/EC נכנסה לתוקף. השם הקצר שלה הוא הGDPR, וככה אנחנו נקרא לה. הGDPR היתה סוג חדש של חקיקה. היא נועדה לקבוע שלכל תושב אירופי יש זכויות במידע שלו, לא משנה לאן המידע מטייל.
העקרונות של הGPDR הם פשוטים: שקיפות, הסכמה, שימוש לגיטימי, עיון במידע, תיקון שלו ומחיקה שלו. זה אומר שקודם כל, לכל אדם ניתנת הזכות לדעת איך משתמשים במידע שלו, ולוודא שהשימוש הוא רק למטרה לשמה הוא מסר את המידע ושהיא חוקית. זה גם אומר שאדם יכול לבטל את ההסכמה שלו בכל עת.
מדובר על הפיכה צבאית קטנה. לפני זה, "הסכמה" לא היתה כל כך הכרחית. הGDPR שינה הרבה, ובעוד שאם לפני היה ניתן להניח שאם מישהו סיפק מידע באינטרנט (נניח, את מספר הטלפון שלו) אז היה ניתן לאסוף אותו להשתמש בו, אז כעת כבר לא. היום? העובדה ששמתי את מספר הטלפון שלי חופשי ברשת לא אומר שמותר לך להשתמש בו. זה גם אומר שאם תשתמש בו אתה צריך ליידע אותי ולהשתמש בו רק למטרות שלשמן הסכמתי (בגדול).
זה יצר הלם בעולם. אני לא יודע אם אתם זוכרים, אבל באותו החודש תיבות המייל שלכם היו מלאות בהודעות על עדכון במדיניות הפרטיות. בעצם, כולם שילמו לעורכי דין כדי לייצר ניירת שתזייף את ההסכמה שלכם ואת המטרה החוקית. בעצם… אולי לא כולם, אבל אתם מבינים את הכיוון. במקום לעבוד קשה כדי להתאים לרוח החוק, כלומר לשמור כמה שפחות מידע, לקבל הסכמה ברורה ולתת שקיפות מלאה, חברות החליטו ללהט טקסטים משפטיים כדי לייצר הסכמה במקום שבו לא בטוח שאפשר להכריע שהיא ניתנה.
הבעיה היתה כאשר הן נדרשו לDPA: ההסכם שנועד לטפל בהעברת מידע הלאה.
אז מה זה DPA ולמה חותמים עליו בכלל?
הDPA, כלומר הסכם עיבוד מידע או נספח עיבוד מידע (Data Processing Agreement / Data Processing Addendum) הוא מסמך שנועד להבטיח שצד שלישי שמעבד את המידע יעשה זאת בצורה חוקית. עכשיו, נסביר את זה בשפה מובנת לבני אנוש.
הDPA הוא הסכם יחסית סטנדרטי שנועד להבטיח שכאשר מישהו מקבל את המידע האישי שלך ממישהו אחר, הוא ישתמש במידע רק לצרכים של אותו מישהו אחר ולא יעביר אותו הלאה בחופשיות. יש לא מעט דוגמאות טובות להסכמים כאלה שאתם יכולים למצוא ברשת, אבל הם בדרך כלל אומרים משהו כמו "מעבד המידע (מי שמקבל את המידע) ישתמש בו רק למטרות לשמן המידע נמסר".
הבעיה מתחילה מכאן הלאה. מעבד המידע לפעמים משתמש במעבדי-משנה. מעבד משנה הוא מישהו שמקבל את המידע מהצד השלישי (אותו גוף שחתם על הDPA) לדוגמא, אם יש לי חנות אלקטרונית אז יש לי גם שירות תשלומים. שירות התשלומים מאחסן את המידע שלו באמאזון. ובמצב כזה, אמאזון תשתמש במידע למטרה שהיא קיבלה. אבל זה לא ממש ככה. בוא נניח שאתם קונים משהו ברשת. כמה צדדים שלישיים יש? ובכן, כמעט אינסוף. אתם משלמים עם כרטיס אשראי, שמשתמש בשירות מניעת הונאות ושירות אירוח. אחר כך, כאשר החבילה נשלחת, חברת שילוח מקבלת את המידע. הם משתמשים בעמיל מכס ובשליח מקומי. כל אחד כזה מחזיק מערכת ניהול לקוחות (CRM) לניהול הקשרים העסקיים שלהם, ויש לו קבלנים חיצוניים שמספקים את השירות, וכן הלאה.
אז בתיאוריה, אנשים חותמים על הDPA הזה בעצימת עינים אל תוך רקורסיה. הם מניחים שעצם החתימה על ההסכם היא מספיק כדי להראות שהם צייתו לGDPR. הבעיה? כמובן, שאף אחד לא תכנן לציית. הם רק יצרו טקסטים ארוכים כדי לגרום לעורכי דין להיות עשירים יותר.
2. אף אחד לא תכנן לציית
אז כאן הבעיה: אף אחד לא שינה את הארכיטקטורה שלו או את מערכות המידע אחרי הGDPR. זה לא שספק שירות מיילים או אחסון ילך ויתכנת מחדש את הכל. יותר קל לשלם לעורכי דין.
אז מה קרה? במקום ללכת להגביל את איסוף המידעע האישי, הם אמרו "בוא נבקש מעורכי הדין שלנו לייצר טקסטים ארוכים שאף אחד לא יקרא, והם יאפשרו לנו להמשיך לעשות בדיוק את מה שאנחנו עושים". בפועל, זה גרם לכך שהפרטיות והDPA הפכו לפארסה אחת גדולה. למה?
הGDPR מדבר על שקיפות. סעיף 13 מסביר ש"כאשר מידע אישי הנוגע לנושא מידע נאסף מנושא המידע, השולט במידע, בעת השגת המידע, יספק לנושא המידע את המידע הבא: … (ה) את המקבלים או קטגורית המקבלים של המידע האישי, אם יש כאלה". כלומר, כאשר מבקשים מידע אישי ממישהו, צריך ליידע אותו על מה יאסף ועם מי המידע הזה ישותף. עכשיו, בוא נסתכל על המדיניות של Uber:
אז אפשר לראות כאן שUber הציגה את הקטגוריות של סוגי המקבלים, אבל לא את המקבלים עצמם. זה די נפוץ לעשות את זה ככה, אבל זו לא רוח השקיפות בGDPR. למה? כי הGDPR מאפשרת לאנשים להתלונן ישירות אצל מי שמחזיק מידע עליהם, ולא רק לUberים של העולם. אבל Uber, כמובן, היא רק דוגמא.
לUber יש מקבלים הלאה והם חתמו על DPA כדי להגביל את השימוש שלהם. איך הם מגבילים? ובכן בלי לדעת את האילוצים הספציפיים יהיה קשה להנדס את זה לאחור, אבל בגדול זה ככה מבוצע עם הסכמים דומים.
3 גם למעבדים יש מעבדי משנה.
אז בואו נניח לרגע שUber משתמשת בשירות MailChimp לשליחה של הודעות דואר. מה יקרה במצב כזה? השתיים יחתמו על ההסכם של MailChimp שאומר ש"מייצא המידע נותן הסכמה כללית למייבא המידע, בהתאם לסעיף 11 לתנאים אלה, לבצע העברה הלאה באמצעות מעבדי משנה. הסכמה כזו דרושה למייבא המידע כדי להתאים לדרישות סעיף 3 של ההסכם". כלומר, Uber מרשה לMailChimp להשתמש בחברות אחרות שהן לא מזוהות.
האם זו השקיפות שהבטיחו לנו? לא ממש. אני די בטוח שלא Uber ולא MailChimp ידעו או יסכימו לצ'ק פתוח של מעבדי משנה אם זה היה קשור למידע הסודי שלהן. זה למה לגופים אחרים יש רשימה יותר ממצה. אבל העובדה היא שגם אחרי שקוראים רשימות טובות יותר, אז כל העניין הזה בעייתי.
בואו נניח שUber משתמשת גם בTwilio, חברה שמספקת שירותי שליחת מסרונים ואימות קולי. יש להם הסכם מצוין שכולל הפניה לעמוד שמציג רשימה מלאה של כל מעבדי המשנה. עכשיו, זה אומר ש(בתיאוריה, לא בצורה ספציפית) אם אתה נותן לUber (או כל שירות אחר דומה) את מספר הטלפון שלך, הוא יתן אותו לTwilio. איך Twilio ישתמשו? הם מתקשרים עם חברה רביעית, בשם VoiceBase. גם להם יש מדיניות פרטיות שאומרת משהו כללי כמו שהם משתמשים ב"שירותי צד שלישי בארצות הברית ובמדינות אחרות לספק פיתוח אתר אינטרנט, אחסון, תחזוקה, תמלול ותמיכה, כמו גם שירותים אחרים עבור[נו]". כלומר, גם כאן יש צ'ק פתוח רחב מדי. (ואם תקראו בעדינות תוכלו להבין שיש אדם אנושי שמקשיב לכם).
אם אתם רוצים לראות דוגמא מדהימה לאיך כן לכתוב, אז ההסכמים של SalesForce מצוינים. הם לא רק מחזיקים רשימה, אלא שהיא ספציפית לכל שירות ושירות.
אבל זה לא הכל.
4 DPA זה לא הפתרון, אלא הבעיה.
אני מאמין שהסכמי הDPA הם רק חלק מהבעיה, ולא מהפתרון. למה? כי אם הGDPR מכיר בהם בתור הבסיס להעברה הלאה של מידע (סעיף 46), הוא מייצר הסכמה רקורסיבית; אף אחד לא בודק איך ההסכמה הזו משתרשרת מטה או האם המידע באמת צריך לצאת מהארגון. לאף אחד אין באמת רשימה מלאה ומשורשרת של כל מעבדי המשנה, ובתיאוריה זה לא רק מגביר את הסיכונים, אלא גם מייצר באג אבטחתי.
החתימה על DPA צריכה להיות רק צעד אחרון במשא ומתן לשירות. כלומר, רק אחרי שבדקת שבאמת אתה צריך להשתמש בשירות, שבדקת שאתה מעביר מעט מידע, והכי מעט שאפשר, בדקת שאי אפשר לבצע את השירות בצורה מקומית, ורק אז לבדוק גם שאין העברה החוצה של מידע. כל הבדיקות האלו לא נעשות אף פעם.
הבעיה היא שמתכנתים לא אוהבים עוד עבודה, ועורכי דין כן. ומכאן נוצרת הבעיה
בקיצור כמו כל רגולציה, הדבר היחידי שקרה הוא שJDPR יוצר חסמי כניסה לשחקנים חדשים ואז שוב המשתמש נדפק, ואז תומכי הרגולציה שואלים למה אין תחרות בתחום.
מי שיודע מה מתרחש אצל סטארטאפים חדשים מבין למה אני מתכוון, עד היום לסטארטאפים היה אתגר רגיל של גיוס הון, וכו', כעת כל סטארטאפ קטן צריך לפתוח בוקר טוב לעורכי דין בשביל לכתוב עוד ניירת JDPR.
פוסט חשוב . מתאר אכן מציאות מצויה . אבל , הדברים במציאות מתיישרים לא פעם לכיוון שונה :
ותחילה , כשם שיש עורכי דין שעטים על ניסוח סבוך ודקדקני ולא מובן להדיוטות , כך יש מנגד , עורכי דין שעטים על תובענות ייצוגיות למשל. ואחרי תובענה ענקית , דברים נראים אחרת . כך , שחוקים על הנייר , לפעמים מייצרים או מכפיפים המציאות לכללי משחק של חוקיות נקובה . אז לא לגמרי פארסה תמיד.
ועוד , כאן יכולה להיכנס , הדוקטרינה של " אחריות שילוחית " . שהרי , המעבד מידע הראשוני המרכזי , מעביר הלאה . אבל , ההעברה הלאה , לא פוטרת אותו לגמרי , שהרי:
הלקוח חתם מולו . והלקוח יכול לטעון , שלא ממש הבין המשמעות , ולא יכול היה להבין המשמעות של החתימה וההרשאה שלו . וכאן למשל , יכול להיכנס סעיף 18 לחוק החוזים ( חלק כללי , שכותרתו: " עושק" ) אשר :
מתיר לצד לחוזה , לבטל החוזה , בגין חוסר ניסיון למשל . מקרה מובהק כאן ייתכן לטעון של חוסר ניסיון ממש.נכון ,שיש עוד תנאי , שתנאי החוזה יהיו בלתי מקובלים ביחס לסטנדרט מצוי , אבל , הסטנדרט הרי , הוא בהבניה , הוא בתהליך של גיבוש ניתן לטעון , אז אין ממש סטנדרט, שעמד במבחני סבירות של ממש על ציר הזמן.
תודה
רק השלמה לתגובתי :
" אחריות שילוחית " כתבתי , ומשמעותה :
שאדם , שמבצע עבודה בשביל אדם אחר ( או שירות , או שליחות וכדומה ) לא תמיד חב בגין הנזק לבדו אם בכלל . אלא , מי ששכר אותו , שלח אותו , ולא : עידכן , הנחה , השגיח וכדומה על האדם ששלח , ועל עבודתו, אזי , אותו השולח , חב ברשלנות , גם אם לא ביצע העבודה ישירות ( אלא דרך אותו אדם ששכר) . נניח:
אובר ומוניות שיתוף . אובר צריכים לחנך נהגים, להימנע מאמירות סקסיסטיות כלפי נשים,ולהזהיר בהתאמה נהגים לנהוג בנימוס ורשמיות . כך :
שגם אם נאמרה אמירה סקסיסטית משפילה , בידי הנהג , ואובר אין לה יד בדבר :
אזי , אובר בתורת " שולחת " עשויה לחוב ( להיות חייבת ) באחריות שילוחית כלפי אישה שנפגעה , גם אם אובר כאמור, לא אחראים ישירות למעשה או לעוולה .
יש תביעות כאלו אגב לא מעט נגד אובר על הטרדות מיניות וכדומה , כאן למשל :
https://www.theverge.com/2019/4/1/18290630/uber-sued-sexual-assault-driver-dc-lawsuit
אז כך גם ניתן לטעון , שמעבד המידע הראשי , אחראי גם , לעוולות בהמשך השירשור ,שנעשו על ידי מעבדים משניים .
תודה
רק קייס מארה"ב , שנוגע לסוגיה ( לא לגמרי זהה , אבל , זהה בהרבה מובנים) :
פייסבוק נתנה הרשאה לרשת חברתית אחרת ( Power Venture ) לקדם את ענייניה דרך גישה למנויי פייסבוק. מנויי פייסבוק היו פיונים בסיפור ( חשבו שמיילים שמתקבלים למעשה מחב' פאואר , הם מפייסבוק ) . פייסבוק נתנו לפאואר הודעה לחדול , והאחרונים לא חדלו . ומכאן התביעה ( בינהם ).
אז זה מביע , שפייסבוק למעשה , פעלו באחריות אל מול צד ג' , כלפי לקוחות פייסבוק . זה הואיל ובמקרה דנן , יש להם אחריות שילוחית או בדומה .
כאן ( בית משפט פדרלי של ערעור , תשיעי במספר ) :
https://cdn.ca9.uscourts.gov/datastore/opinions/2016/07/12/13-17102.pdf
תודה
רק המחשה עם עוד קייס מארה"ב , שהוא ממש זהה למוצג בפוסט בעיקרון :
במחוזי פדרלי ( ניו יורק דרום ) נדון הקייס הבא :
תובענה ייצוגית , נגד שירות אינטרנטי ( אתר בשם : UnrollMe ) . השירות חינמי , ויסודו בכך , שמשתמשים שנרשמים באתר , מקבלים שירות של הסרה מרשימות תפוצה ( במיילים ) . פשוט כך , מוסרים מרשימות תפוצה שונות . אלא שהאתר עצמו , נהג למכור לצדדים שלישיים , את המידע ( למשל לאובר שיתוף מוניות ) אבל בצורה אנונימית . ודוק : צדדים שלישיים להם נמכר המידע , נטען שביצעו תהליך של דה – אנונימיזציה של האינפורמציה ( כלומר , הצלבות דיגיטליות אשר מסגירות בסוף את זהות המשתמש ) . התובענה היא על פגיעה בפרטיות ,ועשיית עושר ולא במשפט. התובענה נדחתה בעיקר בגלל שהייתה תאימות בין מדיניות הפרטיות עליה חתמו המשתמשים ,לבין העוולה הנטענת . מה גם שלגרסת השופט , השירות חינמי , ולכן , זה "מוריד" מ- " ערך " העוולה וכדומה.
כאן :
https://cases.justia.com/federal/district-courts/new-york/nysdce/1:2017cv07102/480699/66/0.pdf?ts=1528364342
תודה
מדויק, כרגיל.
יונתן (וכל המעונין ) אם לא שמת ידך עדיין על פסק הדין המחוזי מינהלי ( י"ם) השולל קוד תוכנה כמידע (על פי חוק חופש המידע ) אז כאן:
https://www.gov.il/BlobFolder/news/news-7/he/verdict%20Israel%20Tax%20Authority.pdf