אתגרי UX ומיקרו-קופי עם כניסת ה-GDPR לתוקף
עולם הדיגיטל כמרקחה.
במאי השנה ייכנס לתוקפו ה-GDPR, חוק הגנת הפרטיות החדש של האיחוד האירופי.
לחוק יש השלכות על מבנה הארגון בכלל ועל עיבוד המידע שנעשה מאחורי הקלעים, אבל הפוסט הזה יתמקד בנקודת ההשקה של החוק עם המשתמשים ובאתגר שהוא מציב לנשות ואנשי UX ומיקרו-קופי.
לצורך כתיבת הפוסט נפגשתי עם עו"ד דן אור-חוף, שמשרדו מתמחה כבר שנים ארוכות בטכנולוגיה, קניין רוחני ופרטיות (www.or-hof.com/he), והוא מלווה ארגונים בינלאומיים ומקומיים במתן מענה להוראות ה-GDPR. חוץ מרוחב הלב שבו שיתף איתי ידע ועקרונות, עו"ד אור-חוף הציע גם מבט רחב ומנוסה, שעזר לי להסתכל מעבר לפרטי הסעיפים הקטנים ולראות את התמונה המלאה שבתוכה אנחנו עתידים לעבוד.
ואם זה לא מובן מאליו אז הינה אני אומרת:
אין לראות בפוסט הזה הנחיה או ייעוץ משפטיים משום סוג. כל אחד ואחת שה-GDPR חל עליהם צריכים לקבל ייעוץ משפטי ספציפי ואישי ולפעול אך ורק לפי ההנחיות של היועצים המשפטיים שלהם, שמכירים היטב את המוצר המדובר, את ההקשר שלו ואת הוראות החוק.
אז שנתחיל?
מה זה GDPR
ראשי תיבות של General Data Protection Regulation.
מדובר בחוק של האיחוד האירופי שייכנס כאמור לתוקף במאי 2018 כדי להגן על פרטיותם של תושבי האיחוד כשהם משתמשים בכלים דיגיטליים.
אבל החוק חל גם מחוץ לתחומי האיחוד - על כל מי שאוסף ומעבד מידע הנוגע לבני אדם הנמצאים באיחוד (אזרחים, תושבים, תיירים ואחרים), גם אם הוא עצמו לא באיחוד.
לכן אם אתם נותנים שירותים לתושבי האיחוד, או מוכרים להם מוצרים, או מנטרים את פעילותם ברשת בצורה כלשהי – החוק חל עליכם, גם אם אתם כאן בארץ, וכך גם הקנסות הנכבדים (מאוד) על אי-עמידה בו.
החוק מקיף היבטים רבים של ההגנה על הפרטיות, כולל אבטחת המידע, הסכמת המשתמשים, מינוי אחראים בארגון, דיווח לרשויות, תיעוד פעולות ועוד. אם עוד לא הכרתם לפחות מונחים מרכזיים בנושא, אני ממליצה לקרוא את המדריך המצוין של עוה"ד דן אור-חוף ושרון גיא (עברית) או את המדריך של ארגון הגנת המידע הבריטי (אנגלית), ורק אז להמשיך לקרוא את הפוסט.
איך ה-GDPR קשור ל-UX ולמיקרו-קופי
מתוך החוק העצום הזה, שני היבטים יבואו לידי ביטוי בעבודה שלנו, כלומר בממשק שהמשתמשים יפגשו בפועל:
הסכמה
זכות עיון, שינוי ומחיקה
1. הסכמה
לפי ה-GDPR, יש לקבל את הסכמתם המפורשת של המשתמשים לכל איסוף מידע עליהם, לעיבודו ולכל שימוש או שיתוף שתעשו בו. ולא רק באופן כללי אלא בדיוק: אילו פריטי מידע תאספו, איך תשתמשו בהם, איך תגנו עליהם, עם מי אתם משתפים אותם ועוד.
סיכום מצוין של נושא ההסכמה אפשר למצוא כאן (אנגלית).
אתגרי ה-UX
להציג את בקשת ההסכמה במינימום הפרעה לזרימה של המוצר הדיגיטלי ולחוויה.
להציג את תנאי הפרטיות, שיהיו עכשיו מורכבים וארוכים יותר, באופן שיעמוד בדרישות החוק, כלומר שמשתמשים יוכלו לתפוס אותם בקלות ולהבין למה הם מסכימים.
אתגרי המיקרו-קופי
לנסח את בקשת ההסכמה באופן שמשתמשים, ובכן, יסכימו.
להמיר את השפה המשפטית לשפה טבעית, אנושית ומעוררת אמון (ולמתקדמים: אולי אפילו כזו שמתאימה לאפיון השפה של המותג).
לשני אתגרי המיקרו-קופי הקדשתי פוסט נפרד עם כיוונים לפתרון. יש לינק בסוף.
שימו לב: לא כל דבר דורש הסכמה של המשתמשים
ב-GDPR יש מונח שנקרא אינטרס לגיטימי, והוא בסיס חוקי אחר לאיסוף ולעיבוד של מידע, שאינו דורש הסכמה. למשל, עיבוד מידע שהוא חלק אינטגרלי מהמוצר או מהשירות (כמו שליחת מייל אוטומטי למי שהשאיר עגלה נטושה או הצעת מוצרים משלימים למוצר שנרכש) יכולים אולי להיחשב אינטרס לגיטימי, ואז לא חייבים לקבל הסכמה בשבילם. אבל המונח עדיין קצת אמורפי, והגבולות שלו מתעצבים ממש בימים אלה.
אם יש מקום או נושא מסוים שאתם מתקשים להציג בו את בקשת ההסכמה בלי להפריע לחוויית המשתמשים או בלי להרתיע אותם יותר מדי, שווה לבדוק אם יש כאן אינטרס לגיטימי שאפשר לבסס עליו את עיבוד המידע, ואז אולי לא צריך הסכמה מפורשת.
מה שחשוב במקרים כאלה (בעיקר למחלקה המשפטית) זה לתעד בכתב את ההחלטות ולדעת להסביר היטב למה נקבּע שמידע כלשהו נכלל בהגדרה של אינטרס לגיטימי, ואיך ההחלטה עונה על ההוראות ועל הרוח של GDPR.
2. זכות עיון, שינוי ומחיקה
לפי ה-GDPR, משתמשים יוכלו לסגת בכל רגע מהסכמתם לאיסוף ולעיבוד המידע או לשנות אותה או לבקש שנתוניהם יימחקו.
אתגר ה-UX
לאפיין ממשק שבאמצעותו יוכלו משתמשים לשנות את דעתם ואפילו להגיש בקשה למחיקת המידע.
כמובן, במוצרים פשוטים זה יכול להיות משפט או שניים וכפתור, אבל ככל שהמידע הנאסף מפורט ומורכב יותר (מבחינת סוג המידע, אופני העיבוד, מטרות העיבוד והשותפים למידע), כך הממשק הזה עשוי להיות מורכב ומאתגר יותר ולהפוך למעין לוח בקרה (dashboard) של הגדרות פרטיות.
ואם כבר מדברים על מידע מורכב, פייסבוק הודיעה שהיא מכינה למשתמשים מרכז פרטיות (Privacy center) שיעמוד בהוראות ה-GDPR. הוא ירכז את הגדרות הפרטיות החשובות ויאפשר למשתמשים לראות אותן בכל רגע, להבין אותן בקלות ולקבל לגביהן החלטות. איך הוא יעוצב ויאופיין? נדע בקרוב.
אתגר המיקרו-קופי
לנסח את הטקסטים בממשק הזה, וגם את טופס הבקשה למחיקת מידע (הטופס עצמו, הודעות השגיאה והודעת האישור) כך שיעמדו בשלוש מטרות:
א. לעזור למשתמשים – אבל באמת לעזור להם – לנהל את הפרטיות שלהם בקלות ובנוחות כדי:
לשמור על חוויית משתמשים טובה.
לבנות אמון בכנות כוונותינו להשתמש במידע רק לצרכים שיועילו למשתמשים.
לעמוד בדרישות החוק לנגישות ושקיפות מרביות.
ב. לקדם את היעד העסקי שמשתמשים ירשו לנו לאסוף עליהם מידע.
ג. לעמוד בהוראות החוק בנושא עיון, שינוי ומחיקה.
איך עושים את זה
לפגישה עם עו"ד אור-חוף הגעתי עם רשימת שאלות ברורה:
באיזה שלב צריך להעלות למשתמשים את בקשת ההסכמה?
מה צריך לפרט בהודעה הראשונית ומה אפשר להשאיר בתנאי הפרטיות המורחבים?
מה נחשב קבלת הסכמה – כפתור I accept זה מספיק? אולי צריך גם צ'ק-בוקס?
ועוד כהנה וכהנה דברים ספציפיים.
התשובה שלו הייתה הרבה יותר מעניינת:
ב-GDPR יש עקרונות, אבל אין כמעט הנחיות לעיצוב ה-UI, לאפיון ה-UX או לניסוח הטקסטים.
למשל, החוק דורש שההסכמה של המשתמשים תהיה "על דרך החיוב, תינתן מתוך חופש בחירה אמיתי ותהיה ספציפית, מבוססת ידיעה וחד-משמעית. היא יכולה להינתן בכתב, באמצעי אלקטרוני או בעל פה". הוא גם אומר בפירוש שצ'ק-בוקס מסומן מראש או אי-סירוב הם לא אישורים מספיקים. אז מה כן מספיק? החוק מציע סימון אקטיבי של צ'ק-בוקס על ידי המשתמשים, בחירה אקטיבית של הגדרות (settings) או "כל דרך אחרת שמעידה בבירור, בהקשר המסוים שבו היא נמצאת, שהמשתמשים מסכימים לעיבוד המידע שלהם".
אוקיי, אז מה נכלל ב"כל דרך אחרת"? האם כפתור OK, thanks עומד בזה? האם כפתור Got it עומד בזה? האם משפט כמו בעצם השימוש במוצר אני מאשר/ת את תנאי הפרטיות הוא מספיק? ומה צריך להיות כתוב ליד הצ'ק-בוקס: האם צריך לכתוב שם את כל הפרטים הנדרשים או שאפשר לתת בו משפט כללי ולהפנות לתנאי הפרטיות?
לאלה אין תשובות ברורות. כמו שאומר עו"ד אור-חוף:
ה-GDPR הוא Mindset. הוא הלך רוח.
הוא דורש שאיסוף ועיבוד מידע על משתמשים יהיה נתון לבחירתם האישית ולשליטתם, ולשם כך הוא דורש מאיתנו להיות שקופים, נגישים, בהירים וידידותיים.
וזהו.
בתוך זה אנחנו עובדים.
איך? כמו תמיד: ביצירתיות.
ממש כמו בכל ממשק אחר, מורכבות דורשת שימוש בעקרונות וכלים של UX ומיקרו-קופי כדי להקל על משתמשים, לפשט להם את המצב ולהפוך אותו לאינטואיטיבי וחלק ככל האפשר.
"ואל תשאלו את היועצים המשפטיים איך לעשות את זה", ממליץ עו"ד אור-חוף, "זה לא המקצוע שלהם. קבלו מהם את מה שצריך להציג ותעשו את מה שאתם יודעים כדי ליישם את זה בדרך הטובה ביותר למשתמשים ולעסק. רק כשיהיו לכם כמה הצעות שונות וטובות, חזרו למחלקה המשפטית וקבלו ממנה אישור שהן עומדות בדרישות החוק".
אתגר חדש דורש חשיבה מחודשת
שימוש בקוקיז מאשרים היום הרבה פעמים בסטריפ שעולה מיד בכניסה לאתר, בראש המסך או בתחתיתו. אבל האם זו הדרך היחידה להציג בקשת הסכמה?
וזה חלק מהגדרות הפרטיות של פייסבוק כיום. האם זו הדרך הטובה ביותר לתת למשתמשים שליטה?
אולי.
אבל עו"ד אור-חוף ממליץ שלא למהר לחקות את מה שנעשה בתחום עד היום.
עומד לפנינו אתגר חדש, אתגר שמשלב UX, יעדים עסקיים ורגולציה מסועפת. אז כדאי שגם נחשוב עליו לגמרי מחדש, מאפס; שלא נשתמש בסטנדרטים קיימים דווקא, שהתאימו לרגולציה המצומצמת שנדרשה עד היום, אלא שנמציא את הסטנדרט החדש, או אפילו כמה סטנדרטים חדשים שנוכל לבחור מתוכם לפי הצורך.
אולי תתגבש מערכת אייקוניזציה מצוינת שתחסוך לנו ולמשתמשים את הניסוח המורכב.
אולי תשתכלל שיטת ה-Just in time alerts (בקשת הרשאה רק כשהמשתמשים עושים פעולה רלוונטית, כמו שקורה היום באייפון).
אולי נגלה שבקשת הסכמה שמופיעה כחלק מתהליך הרשמה ממירה טוב יותר מהודעת הרשמה בכניסה לאתר, ואולי הודעה שצצה מהצד ממירה טוב יותר מסטריפ עליון או תחתון.
אולי נמצא דרכים לשלב את ההודעה בקונספט של המוצר בדרך מרעננת ושובת לב.
אולי ימציאו דרך חדשה ואינטראקטיבית להציג תנאי פרטיות כך שמשתמשים באמת ישמחו לקרוא אותם, יתפסו אותם בקלות ויקבלו לגביהם החלטות במהירות. אם נצליח, יכול להיות שהפניה חביבה לשם תספיק כדי לעמוד בתנאי ה-GDPR.
אם כלי UX הצליחו להביא משתמשים לשלם אונליין ולהירשם לניוזלטרים, הם יוכלו להצליח גם בזה :)
קריאה נוספת בעניין: Designing a GDPR-compliant and Usable Privacy Dashboard
הערה לסיום: אנחנו והייעוץ המשפטי - יחסינו לאן
מניסיוני בעבודה עם מחלקות משפטיות בנושאים מוטֵי רגולציה, עולה בי מיד חשש שיועצים משפטיים יהססו לקבל על עצמם את הסיכון שבפתרונות חדשניים, שטרם עמדו במבחני פסיקה וטרם נוסו.
חלק מהפתרון הוא שלא נשאיר לייעוץ המשפטי בלעדיות על הידע, אלא נכיר את החוק בעצמנו לפחות ברמה שתאפשר לנו לדבר בשפת ה-GDPR. כך נוכל להגן על הפתרונות שלנו בפני הייעוץ המשפטי ולהזכיר שהחוק דורש גם ידידותיות, בהירות ופשטות.
החלק האחר קשור לניהול סיכונים. עו"ד אור-חוף אומר שייתכן שה-GDPR יביא לשינוי בתפיסת ניהול הסיכונים בנושא, שהרי מדובר בתחום חדש שעדיין מתגבש, ואם לא ננסה דברים חדשים – לא נדע מה מתקבל ומה לא. הגורמים העסקיים יצטרכו לשקלל את שיקולי המוצר, העסק והייעוץ המשפטי ולהחליט אילו סיכונים הם מוכנים לקחת.
בכל מקרה, בכל סיכון שתיקחו, מה שחשוב הוא לפעול בכנות ברוח החוק, לתת למשתמשים שלכם את הכלים הטובים ביותר לשלוט בפרטיותם ועדיין ליהנות ממוצר דיגיטלי איכותי ופרסונלי, ולגבות כל החלטה שלכם במפורש בעקרונות ה-GDPR.
Comments