איסוף מידע ממשתמשים כרוך בהכרח בחדירה לפרטיותם. אולם, איסוף המידע אינו בהכרח חייב לפגוע בפרטיותם. על מנת שלא ליצור מצב בו פרטיותם של המשתמשים תפגע ואף להסתכן בהפרת הוראות חוק, יש לתכנן מראש את מדיניות הפרטיות בהתאם לדינים הרלוונטיים ולאופן השירות שינתן בפועל.

אחרי שגיבשתם את סוג השירות שיוענק בפלטפורמה/אפליקציה ואיזה מידע אתם זקוקים מהמשתמשים, צריך לגבש את מדיניות היעד לפעילות הפלטפורמה/אפליקציה ואת זהות המשתמשים. בהתאם למקום הפעילות או אזרחות המשתמשים, יחולו דינים שונים שיגדירו את אופן איסוף המידע ואת השימוש בו. במידה והפעילות תתקיים במדינות אירופה או עבור תושבי מדינות אירופה, יחולו דיני הפרטיות של האיחוד האירופי המוכרים בשמם –GDPR. במידה והפעילות תתקיים בארה״ב יחולו דינים שונים בכל מדינה. נכון למועד זה, החוק האקטואלי והמחמיר ביותר הוא ה-CCPA, חוק הגנת פרטיות הצרכן בקליפורניה. חוקים אלו מקיפים בנושא זכויות המשתמשים ותחולתם היא אקס-טריטוריאלית, משמע אם החברה תפעל באחת מהמדינות בהם החוקים חלים, תחולת חוקים אלו יכולה להיות בתנאים מסוימים גם במדינות אחרות, כגון ישראל.

במדינת ישראל, פרטיות המשתמשים מוגנת בחוק יסוד כבוד האדם וחירותו כזכות יסוד ובחוק הגנת הפרטיות תשמ"א-1981. בנוסף, תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 קובעות את הסטנדרט הנדרש כדי להגן ולאבטח את המידע.

ניתן לראות את התקדמות מדינת ישראל לקראת המגמות הרגולטוריות בעולם הפרטיות ובימים אלו מובאת הצעה לתיקון חוק הגנת הפרטיות. בנוסף לכך שדיני הגנת הפרטיות בישראל משיקים לכיוון הדינים שבאירופה וארה"ב, יתכן שבעתיד תרצו לפעול במדינות נוספות. לכן, מומלץ לגבש את מדיניות הגנת הפרטיות בהתאם לדינים הרלוונטיים בהם תרצו לפעול.

בישראל, חוק הגנת הפרטיות קובע שהדרישה הבסיסית כדי לאסוף מידע אישי ממשתמשים היא הסכמה מדעת. על כן, חובה לוודא כי המשתמש ממנו נאסף המידע, נתן הסכמה מתאימה לאיסוף המידע, לאופן בו נעשה שימוש במידע ולמטרות שלשמן הוא נאסף.

כדי לעמוד בדרישה, מדיניות הפרטיות צריכה לכלול לכל הפחות את התנאים והסעיפים המפורטים להלן:

1. תפרט למשתמש את אופן השימוש שיעשה במידע ומטרת איסוף המידע.

2. תפרט איזה מידע נאסף ונשמר.

3. תפרט את זכויות המשתמשים על המידע – כיצד הם יכולים לעיין במידע, לשנותו או למחוק אותו.

4. לציין במידה והמידע מועבר לצד שלישי. אם כן, למי יימסר המידע ולאילו מטרות.

5. ליידע את המשתמש על שינויים במדיניות הפרטיות, בסוג המידע שנאסף, במטרותיו, באופן האיסוף והאכסון.

מדיניות הפרטיות יכולה להיות חלק מתנאי השימוש של השירות. אך כדי לבסס הסכמה מפורשת יותר לאיסוף המידע, מומלץ לייחד את מדיניות הפרטיות ובכך לאפשר קריאה ספציפית של הוראות.

בנוסף, מומלץ להציג את מדיניות הפרטיות בשפה פשוטה, תכליתית ונגישה, כאשר למשתמש יש יכולת לקרוא אותה בכל עת.

מה קורה במידה והמשתמש אינו מסכים לתנאי איסוף המידע?

לאחרונה, הרגולטורים במדינות רבות החלו להתייחס יותר ויותר לנושא הפרטיות בחוקים מתקדמים יותר ובאכיפתם. אנו רואים זאת בקנסות הגבוהים, עשרות מיליוני אירו, שמדינות אירופה משיתות על חברות ענק כמו גוגל, פייסבוק ואמזון, על שהפרו את תקנות הפרטיות באירופה או את מדיניות הפרטיות שלהן עצמן. גם כאן בישראל, הפרה של חוק הגנת הפרטיות או תקנותיה עלולה לעלות במחיר כבד. בהתאם לדיני הגנת הפרטיות בישראל, פגיעה בפרטיותו של אדם היא עוולה אזרחית שעלולה לחייב בפיצויים. הפרת חלק מהוראות החוק אף עלולה להוביל לעד 5 שנות מאסר. בנוסף, קיימות השלכות דומות במידה ואתם מחזיקים במאגר מידע לא רשום.

בנוסף על עריכת מדיניות פרטיות רחבה ומובנת לקורא, ייתכן ואיסוף המידע בפלטפורמה/אפליקציה תחייב אתכם ברישום מאגר מידע. איך תדעו?

אם יש ברשותכם: (1) מידע על יותר מ-10,000 אנשים, (2) אם אתם מחזיקים במידע שעלול להיחשב "רגיש" או (3) אתם משתמשים במידע שברשותכם לצורך "דיוור ישיר", כנראה שתצטרכו לרשום מאגר מידע בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "התקנות").

התקנות מחלקות את מאגרי המידע לארבעה סוגים:

1. מאגר מידע המנוהל ע״י יחיד.

2. מאגרים שחלה עליהם רמת אבטחה בסיסית.

3. מאגרים שחלה עליהם רמת אבטחה בינונית.

4. מאגרים שחלה עליהם רמת אבטחה גבוהה.

החלוקה הנ"ל יוצרת מדרג ברמת האבטחה והחובות של בעל מאגר המידע בהתאם למספר פרמטרים של סיכון עיבוד המידע, גודל המאגר, מספר מורשי הגישה אליו ורגישותו. עם גיבוש מדיניות פרטיות, עליכם לקחת בחשבון האם אתם נדרשים לרשום מאגר מידע, איזה סוג מאגר ומה רמת האבטחה הנדרשת.

לסיכום, הקמתם סטארט-אפ, מצוין! בחרתם לפתח פלטפורמה/אפליקציה שאוספת מידע על המשתמשים, תוודאו שאתם עושים זאת בהתאם לדרישות החוק, תכתבו מדיניות בשפה ברורה ולא מתחכמת, נסו להיות שקופים עד כמה שאפשר מול המשתמשים, אפשרו להם גישה למידע ובקשו מהם לאשר את הוראות מדיניות הפרטיות בצורה חד משמעית.

אל תשכחו! הפרטיות לא מתה, כפי שאנשים מסוימים טוענים. היא חיה, מתפתחת והמגמה הגלובלית היא לשמור על פרטיותו של האינדיבידואל. אבל, אין זה אומר שלא ניתן בצורה נכונה ואחראית לאסוף מידע ולהשתמש בו.

אין לראות במידע המוצג כייעוץ משפטי ואין להסתמך עליו ככזה. המידע עשוי להיות לא מעודכן ולהשתנות בכל עת ללא הודעה מראש או בדיעבד.