GDPR – איך הופכים תהליך רגולטורי להזדמנות

 

ליאור:            היי ערן.

ערן:               בוקר טוב ליאור.

ליאור:            היי כולם. הגעתם ל-Startup for Startup, הפודקאסט שבו אנחנו חולקים מהניסיון, מהידע והתובנות שלנו כאן במאנדיי.קום וגם מחברות אחרות, והוא מיועד לכל מי שסטארט-אפ מדבר אליו, לא משנה באיזה כסא הוא יושב ברגעים אלו. [מוזיקה]. אז היום אנחנו נדבר על הרגולציה ששינתה את חוקי המשחק, בכל מה שנוגע לשמירה על הפרטיות של משתמשים ולקוחות מהאיחוד האירופי. ה-GDPR. נספר לכם איך אנחנו ניגשנו לתהליך, מה האתגרים שחווינו בתוכו. ולטובת העניין הצטרף אלינו אוריאל וייס, שהוא ה-Head of operations שלנו כאן בחברה, מזה כשנה וחצי.

אוריאל:          אהלן.

ליאור:            היי אוריאל, איזה כיף שהצטרפת אלינו. אז לנו GDPR אומר הרבה בשלב הזה בחיינו. אבל למי שלא בטוח מה זה אומר, אולי תסביר בכמה מילים מה זה GDPR?

אוריאל:          קודם ל GDPR זה General Data Protection Regulation. שזה בעצם רגולציה חדשה של האיחוד האירופי, שנולדה לפני משהו כמו שנתיים, היום כבר שנתיים וחצי. ובאה להסדיר את כל נושא הפרטיות של המשתמשים באירופה. הייתה, היא החליפה לא רגולציה אחרת אלא משהו שנקרא directive. היו הוראות, שהן היו קצת פחות מחייבות, הן נוסדו ב-95', כשהעולם נראה שונה, עוד לא היה מובייל, הטלפון בטח לא היה חכם, והיו הרבה דברים שקשורים לפרטיות שהיום יש ואז בכלל עוד לא ידעו לדבר עליהם. היא בעיקר הרבה יותר נשכנית והרבה יותר מחייבת. זה אומר שכל המדינות באירופה ברגע שהרגולציה הזאת יצאה חייבות לעמוד בה. הן לא חייבות לאמץ אותה או לחוקק חוקים על-פיה, זה פשוט קורה. זהו, הם דאוג לסגור טוב-טוב את כל הפינות כדי שגם ספקים מחוץ לאירופה – וזה גם אחד ההבדלים העיקריים מה-directive – יהיו מחויבים ויישאו באחריות לגבי הפרטיות של האזרחים האירופאים.

ליאור:            אגב, המחיר שתשלם חברה על אי-עמידה ב-GDPR הוא גבוה, נכון?

אוריאל:          בסוף מדברים על 4 אחוז מהמחזור השנתי או 20 מיליון יורו, הגבוה מבין השניים. זה לא משהו שמתעלמים ממנו, זה בגדול מה שעשה את ההבדל מה-directive, או אחד הדברים שעשו את ההבדל. זה באמת לשים שם קנסות מאוד מאוד ברורים, לוודא שיש דרך לאכוף אותם. זה לא ה-incentive העיקרי לעמוד ב-GDPR, אבל זה בהחלט נותן עוד סיבה.

ליאור:            זה יכאב מאוד למי שלא יעמוד.

אוריאל:          נכון, נכון.

ליאור:            אז בתכלס, מה זה GDPR? עכשיו שהבנו מה זה אומר ויקיפדיה.

אוריאל:          שדרך אגב, היה לי חלק בערך בוויקיפדיה. אני בזמני הפנוי אוהב להיכנס לערכים בוויקיפדיה, ו-GDPR, כשהתחלנו לעבוד עליו היה ערך מאוד מאוד-

ערן:               בן אדם מיוחד אתה אוריאל.

אוריאל:          [צוחק]. היה כיף כזה להיכנס לערך שהוא מאוד מאוד בתולי וראשוני וליצוק שם תוכן שהוא אמיתי. היו שם אנשים שכתבו דברים לא נכונים.

ליאור:            באמת זיהיתי את הסגנון שלך כשהסתכלתי וניסיתי לזהות [צוחקת].

אוריאל:          בגדול כאילו, אם מנסים לכמת את זה למשפט אחד, זה איך אתה דואג… כשאתה אוסף מידע, מדברים על data collection או data processor, איך אתה, מה אתה אוסף, איך אתה שומע על המידע הזה, ואיך אתה מוודא שהוא כבר לא אצלך כשאתה לא צריך אותו. זאת אומרת, צריכה להיות לך סיבה מראש למה אספת אותו. אם הסיבה הזאת באמת היא ואלידית במבחן ה-GDPR אז אתה צריך גם לעמוד באיך אתה שומר עליו כדי שהוא יישמר רק אצלך ולא יגיע לאנשים שלא אמורים לדעת אותו. ובסופו של דבר איך אתה גם נפטר ממנו או מוחק אותו בזמן שאתה כבר לא צריך. כשבין לבין הרגולציה הזאת מקנה לאזרחים האירופאים הרבה מאוד זכויות לגבי המידע הזה. אולי הזכות הכי פופולרית שכולם יודעים לצטט זה ה-right to be forgotten למשל. אני עכשיו רוצה שתמחקו אותו ולא תפנו אליי יותר, ותמחק אותי מכל המאגרים שלכם.

[4:00]            זו אחת הזכויות, היא הכי פופולרית, היא לא היחידה. אבל יש רשימה של זכויות שה-GDPR מקנה עכשיו לאזרחים אירופאים כדי שהם ירגישו שיש להם יותר שליטה עכשיו במידע הפרטי שלהם. שלא כל ארגון עכשיו אוסף עליהם מה שהוא רוצה ועושה בו כל שימוש שבא לו.

ערן:               איך שאני תופס את זה במשפט, זה בעצם תקנות שנועדו לשמור על הפרטיות של האנשים. על המידע הפרטי שלהם.

ליאור:            בעולם החדש.

ערן:               בעולם החדש, שבו יש כל-כך הרבה סוגי מידע. אגב, כל חברה אומרת "אני אוספת מעד מידע." אבל כשאתה מתחיל להצליב את המידעים השונים שיש לך על כל משתמש, ואנחנו ראינו את זה בעצמנו, כמות המידע שאנחנו יודעים על יוזר היא פסיכית. שאפשר לדעת על יוזר.

ליאור:            והפאזל שאפשר להרכיב הוא שלם מדי.

ערן:               מטורף.

אוריאל:          אבל אם פעם זה היה הנושא של שם וטלפון לצורך העניין, אז היום פתאום נכנס IP, והביומטרי, וכל-מיני דברים שהם בעולם החדש כמו שאמרת, צריך לתת עליו את ה-

ליאור:            את הדעת.

אוריאל:          את הדעת.

ערן:               נראה לי שאנשים לא תופסים כמה פסיכי כמות המידע שבעצם חברות – אני לא מדבר על מאנדיי, אלא חברות שבעצם עוסקות ב-analytics ובטיוב מידע – יודעות עליהם. זאת אומרת ,כשבן אדם נגיד מזדהה באינטרנט עם השם שלו, אז יש חברות שאתה מגיש להם אימייל של בן אדם והן מביאות לך המון המון פרטים שהן מוצאות מהרשת. כמו איפה אתה עובד, מה התפקיד שלך. יש חברות שקונות מידע מחברות כרטיסי אשראי. אמנם אגרגטיבי, של כרטיסי אשראי, אבלך אפשר לדעת בדיוק די גבוה איפה אתה קונה, איזה דברים אתה קונה, על מה אתה מוציא כסף.

ליאור:            באיזו תדירות.

ערן:               כן. גוגל יודעת כל מה שאתה מחפש אליו. בקיצור, כמות המידע היא איזושהי-

ליאור:            אני חושבת שמה שאנחנו מנסים להראות כאן, וזו נקודה מאוד חשובה, זה שבעצם ה-GDPR אמנם – תיכף נספר כמה אתגר הוא הכניס לחיינו כחברה – אבל כולנו מבינים למה הוא נוצר ומאמינים בצורך הזה, נכון?

אוריאל:          לגמרי.

ערן:               עד שהוא יצא משליטה. זה יצא משליטה. בעיניי, כאילו.

אוריאל:          כן.

ליאור:            והיה צורך ליישר קו.

אוריאל:          האירופאים היו הראשונים לאמץ את זה אבל הם לא, הם בטח לא האחרונים. זאת אומרת, אנחנו רואים בארה"ב עכשיו בינואר 2020 יוצא ה-GDPR של קליפורניה. הוא נקרא CCPA. שזה ה-California Consumer Privacy Act. שבגדול הם אומרים כן, גם אנחנו רוצים להתחיל לדאוג לאזרחים שלנו. וברור לי שזה ימשיך בארה"ב, שמדינות אחרות יאמצו את זה בהמשך. העולם הוא מקום שהפך להיות לא private לאנשים פרטיים. ועכשיו-

ליאור:            יש תיקון שקורה בעניין הזה.

אוריאל:          מנסים לתקן את זה, נכון.

ליאור:            אוקיי. אז בואו נחבר שנייה את כל השיחה הזאת חזרה אלינו. ונשים את זה גם על ציר של זמן אולי. אז אוריאל, מתי שמענו בפעם הראשונה של הנושא הזה של GDPR?

אוריאל:          אז זה מצחיק, כי הסתכלתי אחורה בדיעבד, הלקוח הראשון ששאל אותנו האם אנחנו, מה אנחנו מתכוונים על GDPR, היה ביולי 2017. אני שמעתי על זה באוקטובר, בנובמבר התחלנו לעבוד על זה, ובמאי הוא נכנס לתוקף, אז משהו כמו חצי שנה של תהליך, להבין איפה הפערים ואיך אנחנו סוגרים אותם.

ליאור:            עכשיו, רק כדי לשים את הדברים בקונטקסט. היו לנו באותה תקופה בחברה בערך 15 אלף לקוחות משלמים.

אוריאל:          15 אלף ארגונים משלמים, כן. לצורך העניין סדר גודל של חצי מהם מאירופה, או משהו כזה.

ליאור:            ערן, איפה זה פגש אותך?

ערן:               התגובה שלי למה שאוריאל אמר הייתה טבעית. אמרתי לו אחי, מה זה החרא הזה? עזוב אותי. [צוחק].

ליאור:            כמו כל הסיפורים שלך על compliance ועל הרבה מאוד מסמכים ש [צוחקת]-

ערן:               זה היה נשמע לי כמו איזו המצאה שהוא המציא. זה לא מעניין אף אחד, אין לזה שום value לחברה. אחד הדברים היפים באוריאל זה שהוא לא עוזב [צוחק].

ליאור:            וכשהבנת שזה משהו שצריך להתמודד איתו, אז מה חווית בעניין?

ערן:               מעבר לצחוק, זה… כל הנושא של compliance הוא תמיד… יש לי רגשות מעורבים לגביו. כאילו, מצד אחד זה נשמע

[8:00]            כמו איזה חרטוט כזה. מישהו בא והגדיר באיזשהו מקום סט של חוקים גנריים לא רלוונטיים, ועכשיו אנחנו צריכים לעשות משהו בחברה שהוא, התגובה הראשונה שלי הייתה איזושהי מעמסה של רגולציה שעכשיו נצטרך לעמוד בה והיא לא תשפיע על החברה והיא לא תועיל לנו, ושום value מהדבר הזה. רק משקולת על הגב.

ליאור:            ו"לא תועיל" שווה "תעכב", כן?

ערן:               בטח. כאילו, אני מבזבז על זה זמן – זו הייתה המחשבה. אני מבזבז על זה זמן, זה סתם יעכב אותנו, זה לא מועיל לאף אחד. זה גם לא מועיל למה שמנסים לפתור בעצם ב-GDPR או וואטאבר, בכל compliance שהוא. ונדבר על זה עוד, אבל אני שמח להגיד שטעיתי. כאילו, זה לא היה כמו שזה נראה. בהתחלה לפחות.

ליאור:            אוקיי. ועוד רגע רק כדי להבין מה נדרש. אז כשאנחנו אומרים שנדרשה פה איזושהי עבודה בחברה – מצד מי?

אוריאל:          וואו, מצד כולם. אני חושב ש, היום במבט לאחור אז בנובמבר זה עוד היה חדש, עוד כמות המידע שיכולת למצוא היא הייתה עוד מוגבלת. האנשים שדיברו על זה. זאת אומרת, באיזשהו שלב כולם דיברו GDPR. לא בחברה, אלא בעולם. ואולי גם ערן, לא דיברנו על זה אף פעם האמת, אבל בטח שמעת גם מעמיתים שלך בחברות אחרות, שזה לא פסח עליהם. ואז הבנת שיש פה משהו שצריך להתייחס אליו. אבל כמות העבודה שנדרשת מאוד תלויה במקום שבו אתה נמצא. זאת אומרת יש ארגונים שה-GDPR עבר להם יחסית בקלות, כי הם מ-day one היו שם בתפיסה שלהם, או כי כמות ה-data שהם אוספים מהלקוחות היא יחסית קטנה או בכלל אין data על לקוחות, ואז אתה-

ליאור:            או בכלל אין לקוחות.

אוריאל:          או בכלל אין לקוחות, זה הרבה יותר פשוט. למרות שלא, כי… תיכף נדבר על זה, כאילו, מתי הזמן הנכון להתייחס לרגולציות האלה. אבל אצלנו היו כמה פערים נגיד בעולם ה-RND. אני חושב שבמוצר זה נתן boost אדיר, לדברים שתמיד ידענו שצריך לעשות, אבל הם היו חובות כאלה של אנחנו נגיע אליהן יום אחד.

ליאור:            מה למשל?

אוריאל:          דברים ב-infrastructure, דברים שקשורים לדרך שבה אנחנו שומרים מידע, דברים שקשורים למה אנחנו שומרים ואיפה שומרים אותו. זה עשה המון המון סדר. היום בדיעבד כשאנחנו מסתכלים על זה אחורה ואנחנו מדברים על זה עם אנשים מה-RND, כולנו יודעים להגיד שזה עשה רק טוב. אבל זה לא רק ב-RND, בסוף מדובר פה בכל החברה, כל מי שמתעסק ב-data. זה יכול להיות Sales שמדברים עם לקוחות וזה יכול להיות CS שעונים לטיקטים של לקוחות, ועד ל-Finance ששומרים את כל העולם של ה-billing. כולם, לכל אחד היה משהו. אני מנסה לחשוב כאילו אפילו, מחלקה קטנה של שני אנשים, או בזמנו אפילו אחד, ג'ואל, מטפל בווידיואים שלנו. אוקיי, האם אנחנו עושים שם נכון, מה לא נכון, איפה אנחנו צריכים לעשות מעכשיו והלאה דברים אולי בצורה אחרת. פרטנרים, איך אנחנו מעבירים את מה שאנחנו אמורים לעמוד בו שגם הפרטנרים יעמדו בו. ואיך אנחנו מוודאים שיש לנו את ה-controls במקומות הנכונים כדי שזה יקרה. אני לא חושב שהייתה מחלקה אחת בחברה או בן אדם אחד בחברה-

ליאור:            שזה פסח עליה.

אוריאל:          שזה פסח עליו, כן.

ערן:               בעיניי ההישג הכי גדול של GDPR שאנחנו רואים אותו בטח בתוך החברה ואנחנו גם נדבר על זה איפה אנחנו מרגישים את זה, אבל באופן כללי שזה העלה מאוד מאוד את המודעות לגבי privacy של לקוחות. זאת אומרת, פתאום זה נהיה משהו שאנשים מכניסים אותו לסט השיקולים שלו… למה את מחייכת ליאור?

ליאור:            כי אתה מסכם את הפרק. אתה באמת חושב שאנחנו בשלב של להגיד למה… שניכם פה מפארים את התהליך. בואו, קדימה.

ערן:               מי מפאר אותו? סבלנו מכל רגע. [צוחק].

ליאור:            בואו נלכלכך קצת ידיים.

אוריאל:          אוקיי.

ערן:               אוקיי. אני אשמור את התובנה שלי לסוף.

ליאור:            תשמור, בסדר, תחזור עליה אחר-כך שוב.

ערן:               בסדר. בקיצור שמעתם, אין בעיה [צוחקים].

ליאור:            אז privacy להמונים. אוריאל, איך ניגשים לזה?

אוריאל:          קודם-כל, אני חושב ש-internally היה צריך לרתום את האנשים. אבל אני חושב שזה קרה יחסית מהר. זאת אומרת, אני חושב שבאיזשהו שלב גם נפל, גם לערן וגם לרועי האסימון לגבי הלמה חשוב שנתחיל לדבר בשפה הזאת ולמה צריך שכולם פה ידברו בשפה הזאת. וגם מלמטה וגם מלמעלה, מכל הכיוונים זה הסתדר, זה התכוונן לשם. זה לא היה ב-day one, נכון, אבל זה קרה די מהר.

ליאור:            אוקיי, אבל זה ברמת החברה. אני שואלת שנייה ברמת התהליך. בסדר?

אוריאל:          ברמת התהליך, אז צריך למצוא את היועצים הנכונים שמבינים על זה משהו. ושוב, זה, כשמדברים היום על לעשות איזשהו תקן שעושים אותו כבר מיליון שנה, להכניס עכשיו – ועשינו את זה בתהליך של איזו – יש לך יועצים יותר מ, כאילו, יש אינסוף יועצים. יש אינסוף חומרים. אתה יודע בדיוק כאילו איך לעשות את התהליך. הם גם באים עם משנה סדורה איך עושים את זה. ב-GDPR לא היה לנו את זה. סטארט-אפים שמתחילים היום את העבודה שלהם – אינסוף חומרים באינטרנט, בדיוק כמו על תקנות או תקנים אחרים. הם ימצאו, וזה כבר לא היום איזושהי חידה.

[12:00]

ליאור:            אז כניגשת לתהליך לא היה בכלל ברור מה זה באמת אומר.

אוריאל:          כן, כבר היינו שנה וחצי אחרי הרגולציה, אבל הארגונים רובם נזכרו בשלב הזה, ככה חצי שנה לפני. אני יושב שאם יש עקומה בטח נראה אותה שמה. אני לא מכיר את המספרים, אבל אני מניח שזה האזור. ואתה, אין לך עדיין את כל החומרים, ולא כולם באמת יודעים, והרבה שאלות ששאלתי… זאת אומרת, ברוב המקרים התשובה הייתה "תן לנו לבדוק, אנחנו נחזור אליך." עבדנו עם מיתר כמשרד עורכי דין חיצוני. הם הביאו מומחה privacy, כי גם פה עוד לא היה את המומחיות הזאת, הביאו מישהו מאירופה. עבדנו עם חברת ייעוץ בשם Titan, שגם-כן היו כמו כולם, בתחילת הדרך, ויחד איתנו בעצם עשו את התהליך. ובשלב יותר מאוחד הכנסנו גם DPO, Data Privacy Officer, בחור בשם ענר רבינוביץ' שעובד איתנו עד היום על הנושא הזה. וכולם ביחד, כל אחד מהזווית שלו – מהזווית של ה-legal, מהזווית של ה-processes-

ליאור:            ציינת עכשיו את כל היועצים הנפלאים האלה שאנחנו ידענו להביא. אבל אם הייתי עכשיו יזמת בתחילת הדרך הייתי מאוד מודאגת ממה שאתה מספר. אי אפשר לצאת לדרך הזאת בלי לממן יועצים מכאן ועד?

אוריאל:          קודם-כל זו שאלה טובה, כי ה-GDPT בטח, ולסטארט-אפ חדש שיש לו דברים אחרים כרגע ב-priorities מבחינת budget, להוציא עכשיו עשרות אלפי דולרים על יועצים חיצוניים זה לא טריוויאלי. ואני חושב שזה… קודם-כל ככל שאתה מתחיל יותר מוקדם יותר קל לך. כי אם עוד לא פיתחת מוצר ואתה… אז אין לך gap. אתה יכול להתחיל לעבוד נכון ואתה, ואפשר לדבר תיכף על הדברים האלה, של איך נכון לעשות.

ליאור:            בוא נדבר עכשיו. איך נכון לעשות?

אוריאל:          אז בוא נדבר רגע ברמת, בגדול אפשר לחלק את זה למוצר ולתהליכים ול-legal. אלה שלושת הערוצים שצריך להסתכל עליהם.

ליאור:            מצוין. מבחינת המוצר.

אוריאל:          אז ברמת המוצר אנחנו צריכים קודם-כל לעשות תהליך של הבנה איזה data יש לנו, או אם אנחנו בשלבים של פיתוח איזה data אנחנו מתכוונים לשמור. ולוודא שיש לנו את כל ה-controls ברמה של בסוף הדרך להגיע ל-privacy ברמת המוצר זה security. אתה בונה את כל המנגנונים של ה-security – אתה דואג לזה שכל ה-data שלך הוא encrypted, גם ב-transition וגם ב-rest. דברים שלא בהכרח מ-day one כולם חושבים עליהם, הם אומרים "טוב, יום אחד נגיע ונטפל בהם." אבל כל מקום שיש לך בו data אתה צריך להתייחס אליו בצורה כזאת, זאת אומרת, איך אני דואג לו, כי בסוף ה-GDPR הוא מדבר על הדברים האלה, של לשים את ה-controls של ה-security כדי שה-data לא ידלוף החוצה.

ליאור:            מה זה controls?

אוריאל:          controls זה אומר איפה הצמתים, איפה המקומות שבהם אתה דואג שאתה תעבוד לפי הכללים.

ליאור:            אתה יכול לתת דוגמה קונקרטית אצלנו במוצר?

אוריאל:          control יכול להיות שאם… אני אתן רגע מעולם של security בכלל, controls אומר אם יש לך הרשאות למערכות מסוימות, איך אתה מוודא שמי שכבר לא צריך את ההרשאות כבר אין לו אותן. עובד שעזב, עובד שעבר לתפקיד אחר, עובד שקיבל השראה לרגע והיא כבר נשארה שם עכשיו לשנים. אז control יכול להיות למשל, יש לנו תהליך, נוהל, שבו פעם ב-x זמן – זה יכול להיות חודש, רבעון או וואטאבר – עוברים על כל המערכות ובודקים הרשאות. זה יכול להיות טכנולוגיה שבודקת את זה ואומרת לך מי נכנס, מתי נכנס. זה יכול להיות לוגים, זה יכול להיות הרבה דברים. אבל יש הרבה מאוד דרכים בעצם לוודא שמה שאתה כתבת שאתה עושה או מה שאתה רוצה לעשות אכן קורה. זה-

ליאור:            אז הדרך לפתור את זה היא באמצעות באמת פתרון טכנולוגי או לפעמים תהליך שאתה פשוט מכניס ומסדיר בתוך העבודה ביומיום.

אוריאל:          נכון.

ערן:               אבל עיקרון ה-GDPR שצריך להגיד פה, שה-essence של זה אומר "תצמצם את כמות האנשים שיש להם גישה למידע בתוך הארגון." זה כאילו הקו המנחה, שמי שלא אמורה להיות לו גישה שלא תהיה לו גישה. זה יותר תהליכי-פנימי אצל כל חברה בנפרד.

ליאור:            אוקיי.

אוריאל:          כן, אז זה אחד הדברים, לצמצם גישה. גם יש את העיקרון של אל תשמור data שאתה לא צריך. יש נטייה, לכולנו אני חושב, של אגרנות כשזה מגיע ל-data. אנחנו לא באמת צריכים את זה, אבל יום אחד אולי יהיה לנו מה לעשות עם זה.

[16:00]

ליאור:            כן, אנחנו בעידן ש-data נשמע כמו הדבר, הפריצה הבאה של המוצר.

אוריאל:          נכון.

ליאור:            ואז כולם אוספים את כל מה שאפשר לאסוף.

אוריאל:          ו-GDPR אומר אל תאסוף מה שאתה לא צריך. אתה צריך סיבה לכל דבר שאתה אוסף, סיבה שתכול להסביר אותה ושגם הלקוח בסוף, אם היית שואל אותו ואם הוא זה שהיה צריך להחליט – כי בסוף אתה מתעסק ב-data של לקוחות – היה אומר לך אוקיי, אני מבין למה לקחת את זה. אז זה עוד בעצם guideline אחד של GDPR אומר אל תאסוף מה שלא צריך, ואל תשמור כשכבר לא צריך. אם הייתה לך סיבה והיא כבר לא קיימת. לדוגמה הלקוח עזב אותך, שוב יש נטייה "כן, יום אחד אולי יהיה לנו מה לעשות עם ה-data הזה, ובוא נשמור אותו." אם אתה כבר לא, אין לך את הסיבה שבגללה אספת את המידע, אל תשמור יותר את ה-data.

ליאור:            בוא ניתן דוגמה קונקרטית לזה.

אוריאל:          אז ה-GDPR בעצם מחלק יישויות, שכל אחד יש לו אחריות אחרת בעולם הזה של השמירה על המידע. יש את ה-consumer, ה-data subject, זה הבן אדם נשוא המידע. ישראל ישראלי, אוקיי? במקרה שלנו. ישראל ישראלי עובד בחברת ישרא- משהו. החברה הזאת אוספת עליו מידע, הרבה מידע החברה יודעת עליו. היא יודעת, החל מאת השם שלו ואת תעודת הזהות שלו ואת הטלפון שלו ואת הכתובת שלו בבית, והרבה מאוד דברים שאנחנו אוספים שהם דברים HRים או מידע אחר לגביו, עד כדי טביעת אצבע. למשל. כי אנחנו משתמשים בזה כדי להיכנס בשערי החברה. החברה מוגדרת ע"י ה-GDPR כ-data controller. זה החברה ששולטת במידע. ה-data controller הרבה פעמים מעביר את המידע הזה לארגונים אחרים, מכל-מיני סיבות. למשל, חברת ישרא- משהו משתמשת במאנדיי, כמו כולם. ולכן-

ליאור:            כמו כולם [צוחקת].

אוריאל:          בוודאי.

ערן:               ברור.

אוריאל:          אנחנו בדרך לשם. ואז פתאום בתוך המערכת נמצא המידע הזה, של שם של בן אדם, והטלפון שלו, והכתובת שלו, אבל הוא כבר לא נשאר ב-

ליאור:            בסביבת ה-controller.

אוריאל:          בסביבת ה-controller. הוא יוצא החוצה. אלינו. אנחנו במקרה הזה נקראים data processor, אנחנו מעבדים מידע עבור הלקוח. אנחנו מנגישים לו מערכת, אבל ה-data נמצא אצלנו. גם אנחנו לא שומרים את זה בשרתים שלנו פה בבניין. אלא מוציאים את זה החוצה. יש לנו את אמזון כדוגמה, sub processor עיקרי שלנו. כלומר הוא כבר בשרשרת, יש הרבה מאוד חוליות שהמידע עובר בהן – מסיבות לגיטימיות. כי אני עכשיו צריך לשמור את המידע, אני צריך למצוא חברה שבה אני יכול לאחסן את המידע הזה. וכך-

ליאור:            איפה זה מסתבך?

אוריאל:          זה לא מסתבך, פשוט-

ליאור:            זה נשמע תהלך לגיטימי לחלוטין.

אוריאל:          הכול לגיטימי והולך בסדר, רק צריך לוודא שמהרגע שאותו ישראל ישראלי נתן את המידע שלו, למה החברה אספה. האם הוא נתן, האם זה מבוסס על זה שהוא היה צריך להסכים לתת את המידע שלו, לא תמיד אנחנו מתבססים על הסכמה. לפעמים אנחנו מתבססים על חוזה שיש לחברה עם העובד או כל-מיני סיבות אחרות לאסוף מידע. ה-controller צריך שתהיה לו סיבה למה הוא אסף את המידע. ומאותו רגע הוא צריך להתקשר עם סאב-פרוססורים או עם פרוססורים שבעצם מאפשרים לו להעביר את המידע הלאה. לאורך כל השרשרת הזאת צריך לוודא שהמידע עדיין-

ליאור:            שמור באותה הדרך.

אוריאל:          שמור באותה הדרך שבה ה-controller היה שומר עליו. חברה שבאה לגשת ל-GDPR וסטארט-אפ חדש אומר צריך להבין קודם-כל מה הפוזיציה שלו. האם אני controller או האם אני פרוססור. אוקיי?  כ-controller, אותו ישראל ישראלי בא אליי לממש את הזכויות שלו ואומר אתה ה-controller שלי, אתה יודע עליי משהו, אני מבקש לממש את הזכות שלי לראות את כל מה שאתה יודע עליי. למשל, זאת דוגמה. אני רוצה לממש את הזכות שלי לבקש ממך למחוק את המידע. וכו' וכו'. יש זכויות שהן מול ה-controller.

ערן:               אני אתן עוד דוגמה קונקרטית על מאנדיי. אם זה יעזור. אנחנו יש את הדברים שאנחנו אוספים, על מי שנרשם לשירות. וכשפותחים אצלנו account להשתמש במאנדיי אז אפשר להזין הרבה אנשים לתוך החברה. לנו אין שליטה על המידע שאנשים מזינים לתוך המערכת. יכול להיות שהם מזינים שם מידע מאוד מאוד רגיש, לגבי בחברה שלהם. אין לי שליטה, אני לא רואה בעצמי את המידע, זה הם מחליטים בעצמם. אז זאת אומרת, מי שפתח את ה-account במאנדיי והוא אדמין שלו והוא מנהל, הוא בעצם אחראי על המידע שלו. האחריות שלי היא שעם כל הגורמים שאני עובד איתם זה לוודא שאם מחר הם רוצים למחוק את המידע או לנהל אותו בצורה אחרת, אז לי יש את הגישה הזאתי. אבל מי שבעצם אחראי, אם מחר אותו עובד ישראל ישראלי שאוריאל בחר את השם הזה מאיזושהי סיבה, רוצה נגיד להתפטר מהחברה ואומר תמחקו את כל המידע שלי, אז האחריות למחוק את המידע היא על החברה עצמה, לא עליי.

[20:00]

ליאור:            אבל מה האחריות שלנו כן בכל זאת בדבר הזה?

אוריאל:          זה השמירה על המידע ולוודא שאנחנו-

ערן:               המידע שאנחנו אוספים.

אוריאל:          שאנחנו לא מעבירים אותו למי שאסור לנו להעביר אותו, ל-

ליאור:            לא, אבל ספציפית במקרה הזה. ישראל ישראלי, שם נפלא, עוזב את החברה ישרא- משהו. ויש מלא מלא מידע שלו בתוך מאנדיי.

אוריאל:          אז הנה, זו דוגמה מצוינת. כי עכשיו בוא נעשה סדר. מי שולט על מידע, מי אחראי על המידע הזה? דיברנו על ה-controller.

ליאור:            ישרא- משהו.

אוריאל:          במקרה הזה ישרא- משהו. וכשישראל ישראלי יפנה אלינו – ודרך אגב פונים אלינו כל וים לקוחות ואומרים תמחקו אותי מהמערכת. ואנחנו אומרים לו אנחנו לא הכתובת. אנחנו אך ורק, במרכאות, ה-processor. יש controller, זה האדמין כמו שערן אמר, לך אליו.

ליאור:            אבל בזמן שאנחנו, שהחברה הזו תמחוק את הנתונים שלו מהפלטפורמה, אנחנו לא נשמור אותם אצלנו בשום מקום.

אוריאל:          ברגע ש-

ליאור:            זו הדרך שלנו לקיים את החלק שלנו כדי לעמוד בתקנות.

אוריאל:          זה דרך אגב אחד הפערים שסגרנו פה בתהליך ה-GDPR. זה אומר בוא ניתן ל-controller את כל הכלים כדי להיות controller. אם אתה controller ואין לך את הכפתור של ה"מחק משתמש", איזה מין controller אתה? אתה צגיך לפנות אלינו כדי למחוק עכשיו את המשתמש? מי פה ה-controller? כבר לא ברור. וזה באמת היה אחד הפערים שאנחנו סגרנו, בעצם לתת להם את הכלים שהופכים אותם לקונטרולרים באמת. זאת אומרת יש להם עכשיו את כל השליטה על המערכת, ואננו בתפקיד שלנו אכן נשארים פרוססורים.

ליאור:            בתוך התהליך הזה אנחנו גם נדרשים אז לבדוק שהספקים שלנו גם עומדים בדרישות?

אוריאל:          בוודאי, זה לאורך כל התהליך. אנחנו בעצם מחויבים מול הלקוחות שלנו, יש הסכם שבעצם ה-GDPR יצר, הוא נקרא Data Processing Agreement, שאנחנו אמורים לחתום עם כל לקוח. שבו אנחנו מתחייבים לו איך אנחנו נטפל במידע שלו בתור processor. אחד מהסעיפים מדבר על איך אני ממנה sub processor שלי. ואני גם חייב דרך אגב לגלות ולחשוף מי הסאב פרוססורים שאני עובד איתם. יש לנו רשימה היום והיא public, של מי הסאב פרוססורים שלנו. הם גם אמורים הלאה, במחויבות שלהם כלפיי-

ליאור:            כלומר כל שרשרת הערך הזאת אמורה להיות מיושרת.

אוריאל:          נכון. ודרך אגב, הפוזיציה, ההבנה שלי כסטארט-אפ בתחילת הדרך, מה הפוזיציה שלי, האם אני data controller, data processor, היא לפעמים לא ברורה. יש גם joint controller, שזה אני יחד עם מישהו אחר הם הקונטרולרים של ה-data, ויש מצבים שבהם אני גם processor וגם controller למשל. אנחנו קונטרולרים על חלק מה-data. ה-data של ה-billing, הלקוח לא יכול לבוא ולהגיד לי "טוב, תמחק לי את כל הטרנזאקציות ש…" לא, אני controller של ה-data, אני שומר אותם אצלי כדי להוכיח מה שילמת ומה לא, ואני אמחק אותן לפי retention policy שלי, אנחנו מגדירים שבע שנים, זה לא העניין. אבל יש מידע שאני כן עליו controller. כלומר, יש ניואנסים שצריך להבין מה אתה. כשמדברים על חברות ייעוץ בתהליך, אני חושב שה-value העיקרי זה בעצם בהתחלה להבין את הפוזיציה מי אני בתהליך הזה של GDPR, מהרגע שאני מבין מי אני הרבה הרבה יותר קל להתקדם הלאה. כי השלב הבא שחברות ייעוץ בעצם עושות זה בעצם לסיים את כל התהליכים, להגיד אוקיי, אתה צריך לעשות א-ב-ג, אתה צריך שיהיה לך חמישה policies in place או עשרה או, זה לא משנה. ואת אלה היום כבר יותר קל… גם יש הרבה מאוד חומרים בחוץ שאפשר לאסוף אותם, אפשר להיעזר אם יש את הכסף בחברות חיצוניות לעשות את זה. אבל ה-basic הוא בעצם להבין מי אני ומה החובות שחלות עליי בתור אחד שכזה. [מוזיקה]

ערן:               גם אצלנו, כאילו, בצוות של ה-Product וה-RND זה היה שינוי תפיסתי. אז לדוגמה, אם בעבר עובד היה עוזב ארגון, שבעצם הוא נמצא במאנדיי, אז היינו נותנים לארגון כאילו למחוק אותו, אבל היוזר עדיין מופיע כי חשבנו שאם מישהו ירצה לקרוא איזושהי תכתובת שלו מלפני חודשיים לא נוכל בעצם להוריד את היוזר הזה. והוספנו יכולת בעצם למחוק את היוזר, וניסינו למחוק את הראש איך אנחנו לא מוחקים את התכנים שלו, איך אנחנו שומרים על הפרטיות שלו תוך-כדי זה שאנחנו לא פוגעים ב-data של המוצר, כי מצד אני לא רוצה שאם מישהו מאוד מהותי בחברה רשם תכנים בתוך מאנדיי ומחר כאילו הוא ירצה להישכח ונצטרך למחוק את התכנים אז נעלים את כל המידע הזה, שזה גם לא חיובי מבחינת החברה.

[24:00]

ליאור:            לא רק שזה שלילי, זה גם פתאום יש פה איזושהי התנגשות עם הערכים שלנו כחברה. כי כל מה שמאנדיי באה לאפשר זה את החוסר תלות הזאת באנשים ספציפיים, בזה שהכול פתוח לכולם. ועל פניו בתוך המערכת היום הכי קל בעולם שכשמישהו עזב הכול ימשיך לחיות, למרות שהוא כבר לא נוכח. נכון?

ערן:               לגמרי. זה הרגיש לי כאילו אנחנו לוקחים תמונות וגוזרים תמונה של מישהו מתוך האלבום.

ליאור:            או עוד פעם, מקשים על תהליכי העבודה ממש, כי פתאום אתה צריך למצוא דרך אחרת לשחזר את כל המידע, אז מה עשית בזה?

ערן:               אז אלה בדיוק שיחות שאני ואוריאל ניהלנו על הדברים האלה. ובסוף ניסינו להבין שוב, מה ה-compliance בעצם מנסה להגיד. ה-compliance מנסה להגיד שאם… נשתמש בדוגמה של אוריאל, האדם ישראל ישראלי באמת רוצה להישכח, ואנחנו רוצים כן את המידע שהוא כתב, אז בוא ננסה לראות איך אנחנו הופכים אותו להיות אנונימי. אז מה שעשינו, שמנו בתוך המוצר את הבן אדם הזה, במקום ישראל ישראלי שאפשר לזהות אותו, כבן אדם, קראנו לו user156789, לא משנה, איזשהו ID. שהיא לא פוגעת בתוכן שהוא כתב אלא פוגעת באסוציאציה של התוכן הזה-

ליאור:            לאדם הספציפי.

ערן:               לבן אדם הספציפי. אז כל-מיני טריקים כאלה ב-Product שבעצם מצד אחד לא פוגעים בחוויה, מצד שני נותנים לאנשים את היכולת בעצם-

ליאור:            ועומדים בתקנים.

ערן:               בדיוק.

אוריאל:          הנושא של האנונימיזציה הוא אחד מהנושאים ש-GDPR מתייחס אליהם, שזאת אחת הדרכים באמת לא לכרות לעצמך את העץ, את הענף, אבל עדיין לעמוד בתקנים. ואני רוצה לתת עוד דוגמה שהיא פרודקטיאלית, שהיא מאוד מאוד אולי מבהירה את ההתלבטות שערן דיבר עליה, זה למשל הוספנו את הפיצ'ר הזה של למחוק account שלם. ונתנו את הכוח לאדמין בלחיצת כפתור למחוק account. ואז אמרנו רגע-

ליאור:            הרבה אחריות [צוחקת].

אוריאל:          כן. ומה יקרה מחר כשהוא ירצה להחזיר את ה-account? ומה יקרה אם ה-account הזה שייך לאיזו חברה של שני שותפים שהסתכסכו ואחד קם בבוקר ואמר אני אראה לו מה זה, מחק את ה-account והלך? ומה קרה כשאיזה עובד קיבל הרשאה של אדמין ועזב את הארגון ורגע לפני שעזב את הארגון אמר מעולה, נשרוף את כל הגשרים? עשינו תהליך, וזה היה תהליך חשיבה של Product, שבאו עם פתרון של להגיד אוקיי, ניתן את הכפתור הזה, אבל אתה לא לוחץ עליו וזהו. ברגע שאתה לוקח עליו כל המשתמשים בארגון, כולם כולל כולם, מקבלים אימייל, notification, "המשתמש x לחץ על תהליך תחילת מחיקת…" בעצם הניע תהליך של מחיקת ה-account. והתחלנו countdown של 30 יום. בעצם נתנו להם זמן להתנגד, נתנו זמן לאותו שותף להגיד וואו וואו, מה העניינים פה, כאילו, השותף שלי לחץ על הכפתור מחיקה, בשום פנים ואופן לא. ואז הוא יכול לפנות אלינו ולהגיד שימו את זה על hold, ואז יהיה פה אולי איזה dispute ואנחנו נעמוד בצד ונחכה, אבל לא עשינו פה תהליכים שהם אוקיי, מחקת ובזה נגמר הסיפור. אז זה למשל איך מתמודדים פרודקטיאלית עם עמידה ב… אנחנו כן חייבים להם לאפשר למחוק את הדאטה, אבל אנחנו עדיין רוצים לא… זאת אומרת, כן לאפשר פה את ה, לא לעשות משהו שהוא אל-חזור ברגע.

ליאור:            שמעו, זה נשמע לי, כאילו נתתם פה שתי דוגמאות, שאניח מדמיינת, אני יודעת איך דברים פה נראים ביומיום. את כמות השיחות שנדרשו כדי לדייק את הדברים, את כמות האנשים שהיו צריכים להיות מעורבים בתהליך כדי באמת להבין איך זה נראה ב-product ואז שוב כמובן בתשתית וב-RND, והמעצבים שהיו צריכים לתת לזה את ה-interface – איך עושים דבר כזה באמת ממקום של כאילו, איך לא מתעצבנים עליך אוריאל שאתה מסיח את הדעת של כולם?

אוריאל:          אני חושב שכולם הבינו את החשיבות, ואני חושב שבדרך היו שזורות כל-מיני הצלחות קטנות שאולי בניגוד למצופה הבנו שאנחנו, יש לנו אפילו quick wins, בגלל ה-GDPR.

ליאור:            אז אתה יודע מה, אני אשאל את זה אחרת. בוא נגיד, איך רותמים את כולם לטובת התהליך הזה?

ערן:               אז אני חושב שבסוף זה לרתום אנשים, אי אפשר לרתום 100 איש ביחד. צריך לרתום את הראשון, ואז את השני, ואז הם נציגים שכל אחד רותם עוד איזה אחד או שניים, ופתאום נהייתה מאסה קריטית. לא פתאום, אבל בסוף נהייתה מאסה קריטית וכולם דיברו את השפה.

[28:00]          אני חושב שבהתחלה פשוט הקמנו, ה-GDPR היה טריגר טוב להקים פה איזשהו פורום של security/privacy שיתכנס פעם בשבוע. היו שם נציגים מ-RND, עומר ומיטלמן ודויד, סביב ה-infra וה-security. שריקי, שטיפל בכלל בכל הנושא של התהליכים שלא דיברנו עליהם, הרבה מאוד נהלים שהיה צריך לעשות. וכל שבוע דיברנו על אוקיי, מה צריך כדי שזה יקרה. והאנשים האלה חזרו לצוותים שלהם ובישיבות השבועיות שלהם דיברו על הדברים האלה. ופתאום, כשחיפשתי אני בתוך מאנדיי GDPR פתאום ראיתי 100 פולסים. בבורדים שלא ידעתי אפילו שהם קיימים. ופתאום ראיתי איך זה חלחל, ופתאום יש לנו את זה בתוך ה-RND ויש לנו את זה ב-big brain ופתאום ב-Marketing נפתח בורד כזה. וכל אחד כאילו עשה את ה-

ליאור:            התחיל לייצר פעולות סביב הדבר הזה.

אוריאל:          נכון. בין לבין עשינו מצגות לחברה, יש לנו פה ישיבות חברה כל שבוע, אז עשינו מצגות כשעוד אף אחד לא ידע מה זה GDPR, להגיד הנה זה בא. כאילו, לא נחכה ל… עשינו מצגות בסוף גם, יום לפני ושבוע לפני, אבל כבר מההתחלה להגיד חבר'ה, יש משהו חדש שהגיע לעולם. זו הזדמנות טובה בשביל כולנו ליישר קו, להבין איך אנחנו עושים הכול בצורה שהיא מאפשרת ליוזרים את ה-privacy שהם ראויים לו. ובוא נראה איפה הפערים. אני חושב שכולם הבינו מה הרציונל של מה שהם עושים.

ליאור:            כן, אבל זה הקסם במה שאתה מתאר. אתה יודע, אתה אומר את זה על הדרך, אבל אני חושבת שהקסם זה שגרמת לכולם לחשוב privacy במקום לחשוב יש פה איזה תהליך רגולטורי שצריך להשלים.

ערן:               אני חייב להתערב שנייה, אני חייב להתערב. כי אוריאל בעצמו לא יודע מה הוא עשה. אז אני חייב לשקף לו את זה.

ליאור:            ערן, ספר לנו מה אוריאל עזה.

ערן:               אז אני אשקף את זה. כי כמו שאמרתי, אני לא שיתפתי איתו פעולה. הייתי ממש מעצבן. ולא אני ולא רועי, ואף אחד. ומה שהוא עשה זה דבר ראשון הוא הסביר לי, במילים מאוד מאוד פשוטות, הוא לא… הוא לקח ownership על התהליך אבל לא הכניס אותי ל-details של מה זה כל דבר אומר, אלא הסביר לי שהדבר הזה בסופו של דבר יוביל אותנו ל-product הרבה יותר טוב בחברה. והוא הסביר לי למה. אוקיי? אני לא אתן עכשיו את ההסבר, אבל הוא ממש הסביר לי למה. ואז-

ליאור:            למה לא? תסביר לנו למה רגע.

ערן:               אנחנו צריכים להיות 100 אחוז, לתת ליוזרים שלנו שליטה במה שהם עושים, זה חלק מה-value של החברה, זה יאפשר לנו לעשות עוד צעד מאוד משמעותי למקום הזה. זה חיבר אותי לערכים שלי בעצם. בניגוד לתקנה מעצבנת, GDPR, XYZ, שלא אומר לי כלום, ברגע שהוא חיבר את זה גם לערכים של החברה ואיך זה מתחבר לכל מה שאנחנו עושים, זה נתן לזה נופך אחר. ויותר מזה בעיניי זה שהוא טיפל בכל הבירוקרטיות, אבל ברגע שהגיעה איזושהי נקודת חיכוך עם המוצר, אז הוא לא בא ואמר "תקשיב, יש פה בעיה שצריכים לשנות." הוא אמר "יש פה הזדמנות, לשפר את המוצר, במקום הזה והזה, ותראה איזו הזדמנות"-

ליאור:            ולתת למשתמשים שלנו חוויה יותר טובה בסוף.

ערן:               כן, ותהיה לנו הזדמנות טובה כאילו לעשות את זה שם. ומשם השיחות היו פרודוקטיביות. כי הרבה מאוד מהמהלכים שעשינו קונקרטית שיפרו את המוצר. זאת אומרת, איך לוקחים תהליך שהוא מצד אחד נראה כמו המעמסה הכי גדולה שיש לי על הכתפיים למקום שפתאום זה הופך להיות משהו שמשפר את החברה, זו אמנות. בעיניי. ואחד אחרי השני מהלכים שעשינו שיפרו את החברה.

ליאור:            אוריאל, בגדול ערן קרא לך הרגע אמן.

ערן:               זה אמנות.

אוריאל:          אוקיי, טוב. אני מסמיק בשידור חי כאילו.

ליאור:            לא רואים. יש לי רגע שאלה. קיבלנו תוך-כדי התהליך פידבקים מה-Customer Success, ששיקפו את הלקוחות?

אוריאל:          Customer Success היו חלק מאוד מאוד גדול בתהליך. הם קיבלו בשלבים יחסית מאוד מוקדמים הדרכה. ואחרי זה בנינו גם FAQs ובנינו גם מאקרויים. כי השאלות התחילו להצטבר. זאת אומרת, היה פה גרף שעלה, מהשאלה הראשונה שהייתה ביולי 2017 ועד שהגיע מאי, סוף מאי, שבו ה-GDPR נכנס לתוקף, כמות השאלות ש… היו גם הרבה, היו הרבה אי-הבנות סביב התהליך. היו לקוחות אירופאים שאמרו, למשל, זו הייתה איזושהי מיסקונספציה שרצה שם בחוץ, "הבנו שהשרתים שלכם בארה"ב." כאילו, זה אכן המצב. "והבנו שלפי GDPR לא נוכל לעבוד איתכם יותר, כי ה-data לא נמצא באירופה."

[33:00]          זו איזושהי מיסקונספציה שרצה שה-GDPR מחייב שה-data יהיה באירופה. זה לא נכון. ה-GDPR מחייב שבכל מקום שבו ה-data נמצא יהיו את ה-controls הנכונים כדי לשמור על המידע בטוח. אבל היו לקוחות שזה מה ששאלו, והיו צריכים לקבל את התשובה הזאת. ובאיזשהו שלב גם שמנו דף באתר שמסביר את כל הדברים האלה, שאומר מה זה GDPR, מה זה אומר לגביכם, איך אנחנו נתמודד עם GDPR, מה אנחנו מתכוונים לעשות, האם נהיה מוכנים ובזמן. ושמנו לאט-לאט את כל מסרי ההרגעה האלה, שתוקשרו החוצה דרך ה-CS.

ליאור:            כלומר התקשורת החוצה הייתה קריטית כדי שהתהליך הזה יצליח.

אוריאל:          לגמרי, לגמרי. דרך אגב, גם ב-Sales וגם ב-CS השאלות האלה התחילו לבוא ככל שהתקדמנו לעבר ג25 למאי, בקצב גובר כל הזמן. [מוזיקה]

ליאור:            ערן, נשמע, איך אמרת? אמרת והבהרת כאן בצורה מאוד ברורה שלא עשית את החיים של אוריאל קלים, אבל גם נשמע שנתת לו לזוז ולרוץ ככל שהוא היה צריך. נכון? אני שנייה מנסה להבין, איך אומרים, לא הכול שושנים בסוף? איפה המקומות שבהם זה כן נתקע? אם היו מקמות שנוצרה מחלוקת, אם היו מקומות שזה כן הכאיב לך ברמה הערכית.

ערן:               כן, אז זכור לי מקרה אחד מאוד מאוד ספציפי שהיה קשוח.

ליאור:            או-ווה, נהייתה פה אווירה קודרת.

ערן:               זה נפתר בסוף, כן? בא אלי אוריאל ואמר לי תקשיב, יש בעיה. אמרתי לו סבבה, אוקיי, בוא נפתור אותה כמו שעשינו עד עכשיו.

ליאור:            הזדמנות, הזדמנות.

ערן:               הוא אמר לא לא לא, זה רציני [צוחק]. זה רציני. הוא התחיל להגיד תקשיב, אנשים, בעצם המודל שבו אנחנו עובדים במאנדיי זה trial, יש שבועיים לנסות את המוצר ואחר-כך אתה צריך להחליט אם אתה ממשיך או לא ממשיך, צריך לשלם. ובעצם מה שעשינו עד ה-GDPR זה שבתום השבועיים בעצם אומרים ליוזר או שתשלם או שזהו, אתה לא יכול לגשת לחשבון שלך יותר. ובא אליי אוריאל ואמר לי תקשיב, לא ואלידי. לא תקף. למה? כי בעצם אתה לוקח את ה-data של היוזר כבן ערובה, הוא חייב לשלם בשביל להמשיך להשתמש במוצרה. אמרתי תקשיב אוריאל, אני אוהב אותך והכול, אבל זה, אנחנו לא הולכים לשנות את זה. זה free trial, זה מה שאנחנו… כל המודל של החברה ככה, זה שינוי מטורף של ה-business model שלנו, מה נעשה? אתה יכול להמשיך את זה מפה אם אתה רוצה.

אוריאל:          כן, בגדול, כאילו נוצרה סיטואציה שבה, כמו שערן אמר, החזקנו את ה-data בן ערובה. ואנחנו אומרים ליוזר "אתה רוצה לגשת ל-data שלך?" – שלך – "אז תשלם כסף." אבל זה ה-data שלי.

ערן:               זו לא הייתה הכוונה אגב. כאילו, היה לו שבועיים להחליט, הכול היה בשקיפות.

ליאור:            אין לי שום ספק שלא חשבת שאתה מחזיק את ה-data כבן ערובה עד אותו הרגע.

אוריאל:          בגדול זה מודל מאוד מקובל, יש לך trial ,אחרי ה-trial עוצרים אותך ואתה צריך להחליט אם אתה רוצה לשלם או שלא בא לך לשלם, ואז זה נגמר. אבל פה בעצם אמרנו לו אתה, כאילו-

ליאור:            רגע, ואיפה זה מתנגש עם ה-GDPR?

אוריאל:          שה-data עדיין היה אצלנו אפילו לא נתנו ליוזר את האפשרות לראות אותו, למחוק אותו, להחליט כאילו מה הוא רוצה לעשות. ויש יוזרים, לא מעט-

ערן:               צריך לסייג את זה, כי הוא היה צריך להחליט לשלם, ואני חושב שאחרי עשרה ימים או שבועיים אנחנו נותנים לו עוד פעם לגשת לחשבון. אבל אוריאל אמר לי "לא מספיק טוב". כי ביום הראשון, זאת אומרת, באותו יום שנגמר ה-trial וגם יום לאחריו אני אומר לו אבל אחי, זה free trial, זה לא free tear. אנחנו, זה הקטע.

ליאור:            כן, זו נקודת המרה מאוד קריטית בתהליך, אך אפשר לשמר אותה אתה אומר.

ערן:               כן, כי אנחנו נותנים ליוזרים לעשות trial מחדש, ולעשות restart, וזה כן קיים. אבל ה-gap הזה של העוד שבוע לחסום לו את ה-account, לא עבר.

ליאור:            אז איך פתרנו את זה?

אוריאל:          בגדול בסוף מה שמצאנו כמשהו שיאפשר לנו גם לעמוד ב-GDPR אבל כאילו ברמת ה-business להמשיך שיהיה לנו משהו הגיוני ושאנחנו יכולים לעבוד איתו, זה להגיד ליוזר אוקיי, עוד כאן. אתה כבר לא יכול לעבוד עם המערכת. אבל אתה יכול לגשת ל-data שלך. יש לך עדיין גישה למקום שבו אתה יכול לראות את ה-data – זה סוג של read only mode. שבו אתה יכול אפילו to export the data אם אתה רוצה, שבו אתה יכול גם לבקש למחוק את ה-data. אבל אנחנו כבר לא מחזיקים אותך בן ערובה. ה-data הוא שלך ואנחנו מתייחסים אליו ככזה. לא חייבים לתת לך עכשיו פיצ'רים, אבל זה בסדר-

ליאור:            אתה גם לא יכול להזין מן הסתם data חדש, אבל אתה יכול לצרוך את מה שהכנסת לתוך הבורד.

ערן:               בדיוק. ושוב, הגענו פה למקום של להבין שוב מה הבעיה, כאילו מה ה-GDPR מנסה לקדם מתוך מקום חיובי. הוא אומר אוקיי, אנחנו לא רוצים לפגוע ביוזר שיוכל לצרוך את ה-data, אנחנו אומרים אוקיי, אז אנחנו רוצים אבל שיוזרים שכן מקבלים value מהמוצר ימשיכו, ישלמו. כי כבר שבועיים היה להם להתנסות, ואז אמרנו רגע, אנחנו בעצם לא מפסידים פה כלום.

ליאור:            להיפך, עוד פעם, אפרופו הזדמנות-

ערן:               להיפך, בדיוק.

ליאור:            אתה מייצר חוויה הרבה יותר טובה למשתמש.

ערן:               אני מתאר את זה בפשטות, אבל זה היה ממש תהליך מחשבתי. כי אתה, תחשבי שכל ה-business model שלנו מושתת על זה. ואז פתאום אמרנו רגע, מי שבאמת קיבל value מהמוצר ורוצה להשתמש בו, אז הוא חייב להזין תוכן מחדש למוצר, אז מן הסתם לא נאפשר לו את זה כל עוד הוא לא משלם, אבל לצפות בתכנים שהוא הזין ולהוציא אותם החוצה ולעשות להם export – סבבה. כאילו, אנחנו לא רוצים לפגוע בו מהמקום השני.

[37:00]          וכמו כל שינוי מהותי, עשינו לזה A/B test. זה מצחיק, אבל עשינו על GDPR A/B test. עשינו 50 אחוז מהאוכלוסייה שקיבלו את ה-trial הרגיל ו-50 אחוז מהאוכלוסייה שקיבלו את המצב הזה של ה-read only עם הלשלם. וראינו שזה לא פוגע אפילו, יכול להיות שזה טיפה שיפר.

אוריאל:          לא לא, זה פגע במעט, אבל לא היה שמה משהו משמעותי.

ערן:               משהו מבוטל.

אוריאל:          אבל אפרופו A/B test, אני זוכר עוד דוגמאות שבהן גם אמרנו "וואו", אם אתה זוכר את הסיפור של ה-consent על ה-terms,  checkbox שבו אתה צריך להסכים ל-terms. הוא היה במקום כאילו לא מספיק בולט בוא נגיד, והוא היה prechecked. ה-GDPR מדבר על affirmative consent וכל-מיני דברים, אנחנו לא נשענים על consent, אני לא אכנס לדקויות, אבל רצינו לעשות checkbox במקום שכולם מבינים איפה הוא נמצא, שכולם יודעים שהם מאשרים. ולא רק זה, הגדלנו לעשות שהם צריכים to check the box. עכשיו, זה לא טריוויאלי, אתה אומר כאילו ב-funnel אתה פתאום יוצר פה עוד איזושהי נקודה של friction, אנחנו נאבד איזשהם x אחוזים מהמשתמשים ב-funnel הזה, ואמרנו אוקיי, A/B test, כי ככה עושים פה כל דבר. 4 אחוז שיפור ב-conversion בשלב הזה של ה, שזה מטורף. ואז הבנו את זה וראינו את זה אחרי זה בעוד מקומות, שיוזרים דווקא מקבלים ביטחון, מזה שהם עובדים עם חברה לא מהשוק, חברה שהיא רצינית, חברה שמבקשת ממנו לאשר את התנאים לפני שהיא רצה איתו קדימה. ומה שנראה על-פניו – ואני חייב להודות שגם לי, אמרתי "תהיה פה פגיעה." אני לא יודע כמה, אבל תהיה פה פגיעה. ופתאום אתה מגלה שההיפך, אנשים מרגישים בנוח עם זה שהם מתקדמים למוצר שדואג להם.

ליאור:            כן.

ערן:               וגם אותו A/B test שזה הפסיד באחוז אחד או שניים של ה-trial, אז באנו ואמרנו אוקיי, אז יכול להיות שיש עוד אחוז אחד של אוכלוסייה ששילם כי הוא רצה לגשת ל-data. אבל זה לא כסף שאני רוצה לקבל. אני לא רוצה לקבל מאף אחד כסף בשביל שהוא יוכל לחלץ את ה-data שלו-

ליאור:            כי הכרחת אותו, כן.

ערן:               כי הכרחתי אותו לחלץ את ה-data שלו. זה לא מחובר ל-value של החברה, וזה בדיוק המקום הזה שאני מחבר אותנו שוב למקום שאוריאל תמיד ניתב את השיחה, של מה אנחנו באמת מאמינים בו, איך הדבר הזה בעצם משרת אותנו.

ליאור:            נכון.

ערן:               איך אפשר לרתום את הדבר הזה, את הרגולציה הזאת, שהיא על-פניו נשמעה דבר מאוד קשה, למקום שזה מקרב אותנו יותר למה שאנחנו מאמינים בו. ואני חושב שזה חלק מאוד מאוד גדול מהיתרון של זה.

ליאור:            אתה יודע, יש פה עוד עניין. אני חושבת ש, אנחנו מדברים על זה הרבה בהקשרים אחרים, אנחנו אומרים תמיד שהסיבה שלא היה לנו tear לאורך כל השנים זה כי היה לנו מאוד חשוב לקבל את הפידבק מהלקוחות שאיכפת להם. מאלה שבאמת משלמים ואלה שהפה שלהם והלב שלהם מה שנקרא באותו המקום, נכון? ואני חושבת שמה שאתה מתאר כאן, הדוגמה של ה-read only, היא מתחברת לזה גם. כי ה-data של אנשים זה הדבר הכי יקר להם. זה מצב של חרדה מבחינה תודעתית, כשאתה מאבד את ה-data שלך והוא חשוב לך. וחלילה לא היינו רוצים שאנשים ישתמשו במוצר שלנו רק כי הכנסנו אותם למצב של חרדה. ופתאום עשית הפרדה בין אנשים שמשלמים כי הם רוצים להשתמש במאנדיי בפלטפורמה וביכולות שלה, לבין אנשים שבסך הכול רוצים לשמור על ה-data שלהם.

ערן:               כן, זה ממש עניין של זיקוק.

ליאור:            זה מאוד מזקק, בדיוק. זאת החוויה שאני ככה מקבלת מהסיפור שלכם. ששוב, טוב, אפשר ממש לקרוא לפרק הזה GDPR מבעיה להזדמנות.

אוריאל:          לגמרי. אני חושב שבכלל, לא רק GDPR, כל עולם ה-compliance, יש בו הרבה מרכיבים שבהם כאילו על-פניו זה נראה אוקיי, זה מפריע לי, זה ימנע ממני מלהגיע ל-KPIs שאני צריך לעמוד בהם, ובסוף אתה באמת מגלה שזה לפעמים מקפצה. במקומות מסוימים. ואני חושב שבסוף כשאתה ישן בלילה ואתה יודע שכל ה-data שאצלך – זו אחריות מאוד גדולה, אתה שומר data של אלפי ומאות אלפי משתמשים, ועכשיו שמת עוד משהו שמגן עליו. שהוא בסוף לא, הוא לא ימצא את עצמו במקום שהוא לא אמור להיות. אני חושב שזה גם ערך שצריך לתת לו את המקום.

ליאור:            איך בסופו של דבר עדכנו גם את העובדים וגם את הלקוחות שהדבר הזה קורה, שאנחנו compliant?

אוריאל:          אז ה-GDPR נכנס לתוקף ב-25 למאי השנה. אנחנו משהו כמו חודש קודם הוצאנו איזשהו אימייל לכל הלקוחות שלנו, כינסנו את כל העובדים בחברה. עשינו סביב זה גם קצת אה-

ליאור:            חגגנו את זה.

אוריאל:          חגגנו. והסברנו מה עשינו בכל התהליך הזה. הסברנו across the board, מ-RND ועד ל-Marketing איך אנחנו עושים את זה. כל האזור של ה-Legal, עדכנו את ה-privacy policy, שזה חלק מהעניין, לוודא ש-privacy policy עומד גם.

[41:00]

ליאור:            שגם זאת תובנה מאוד חשובה אוריאל. אני חושבת שלהבין שזה באמת לא משהו ששייך רק לאזור אחד בחברה שנקרא תפעול או security, אלא שבאמת היום אני חושבת שאם נשאל את כל העובדים בחברה, שאנחנו כבר 170 איש, כולם יודעים מה זה GDPR.

אוריאל:          אז אני חושב שכולם יודעים להגיד GDPR. דרך אגב, השלב הבא שלנו זה… היום באים עובדים וזה יפה לראות, מה-CS או מה-Product או מה-RND ואומרים הופ, רגע, נראה לנו שיש פה איזה עניין עם GDPR, בוא נוודא קודם שאנחנו בסדר. אני חושב שהשדרוג של הדבר הזה זה שהם יגידו "יש פה עניין של privacy." כי GDPR זו רגולציה אחת, ומחר יהיה את ה … [00:41:44] של קליפורניה, ויש… זה לא העניין. העניין הוא בסוף איך אני דואג ל-privacy של הלקוחות שלי. ואני חושב שהרבה מהדברים הם בסוף common sense. לא צריך GDPR כדי להבין אם אנחנו עושים נכון או לא. זה בסוף הרגשה-

ליאור:            צריך אמפתיה.

אוריאל:          בדיוק. אני לא חשבתי על המילה אמפתיה, אבל היא מאוד נכונה בהקשר הזה. זאת אומרת לשים את עצמך-

ליאור:            אל תעשה לחברך את מה ששנוא עליך, כן.

אוריאל:          בגדול כן.

ערן:               אפרופו החברה, אז מה שמאוד מאוד בולט בעיניי לדבר הזה שזה כן שינה פה את התפיסה, זו העובדה – וזה לא רק משהו שהצוות של ה-operations מנהל – שאנשים ששולחים screenshots, תמונות של אנשים מהפייסבוק או לקוח שכתב איזשהו פידבק, מטשטשים את הפנים שלו, או מוחקים את השם.

ליאור:            או כשמישהו לא עושה את זה מישהו אחר מעיר לו על זה שזה לא GDPR compliant.

ערן:               כן לא GDPR, אפילו privacy.

ליאור:            נכון, privacy, נכון.

ערן:               ואז אתה אומר רגע, זה לא של אוריאל. כאילו, אנשים מחזיקים את זה גם ב-actions שהם עושים ביומיום. וזו לדעתי המהות. אני חושב שהצלחנו ממש לתקשר את המסר הזה לכל החברה וכולם מבינים איך הם בחלקת אלוהים שלהם יכולים בעצם לקחת את זה בחשבון. ולהתחשב בדבר הזה. בעיניי זו המהות המאוד חשובה של איך הופכים את זה ממשהו של צוות מסוים או אחריות של מישהו מסוים למשה שהוא across החברה. [מוזיקה]

ליאור:            לסיום, אוריאל, אם יש מישהו שניגש עכשיו לראשונה להתעסק עם התחום הזה שנקרא GDPR, או אגב כמו שאמרת, עם כל נושא אחר של privacy, מה היית מציע לו לעשות?

אוריאל:          אני חושב שבגדל – וזה המסר שאני מעביר פה ואני מדבר על זה גם עם עובדים חדשים – זה think privacy. כי בסוף כמו שאמרתי קודם, ואת דיברת על אמפתיה ומה שאתה לא רוצה שיעשו לך – זה בסוף מסתכם בזה. זאת אומרת כן, צריך להבין מה זה אומר ואיפה, טכנית מה אני צריך לעשות כדי לעמוד ברגולציה, אבל זה הכול מסתכם ל"תחשוב privacy", תשים את עצמך עכשיו כלקוח של עצמך. האם אתה נראה לך הגיוני לעשות את הדבר הזה במוצר או את הפעולה הזאת או לשמור את ה-data הזה או להעביר את ה-data הזה למקום אחר, האם זה privacy, האם זה מריח לך privacy. האם אתה חושב שזה נכון לעשות.

ליאור:            ערן, לסיום?

ערן:               כן, אז אני חושב שכמו כל רגולציה, אז אני מבין שיש משהו טוב בבסיס שעומד מאחוריה. זה שאנשים תרגמו את זה לסעיפים וספרים, שזה מבאס – צריך לראות מעבר לזה. להבין מה המהות של הדבר הזה, מה החשיבות של זה. אני מאמין שזה כן, מאוד יכול לתרום. לא רק GDPR, גם איזו ורגולציות אחרות שעושים, ברגע שאתה מבין מה המהות של זה, מה ניסו להשיג, ונעזר בסעיפים ובתכנים בשביל לקיים יותר טוב את המהות, זה העניין. ואני חושב שלקחנו מזה המון המון דברים חיוביים. והבירוקרטיה מבאסת, נכון. אבל אם באמת מתמקדים בעיקר ולוקחים את זה למקומות חיוביים אני חושב שיש value משמעותי שאפשר להוציא מהתהליך הזה.

ליאור:            תודה אוריאל שהצטרפת אלינו.

אוריאל:          תודה לכם.

ליאור:            תודה ערן.

ערן:               תודה ליאור.

ליאור:            תודה שהאזנתם.