חברות וארגונים המספקים שירותים אותם אנו צורכים באופן יומיומי אוספים עלינו מידע אישי באופן שעשוי לפגוע בפרטיותנו. לכן, כבר בעת התהליך הראשוני של הקמת סטארט-אפ או חברה, מומלץ להגדיר את מדיניות הפרטיות לפיה יש לנהוג בקשר עם אופן איסוף המידע בהתאם לתקנות הגנת הפרטיות וה-GDPR.
אנשים רבים אינם מודעים לכך שבעת קריאת שורות אלה, חברות וארגונים המספקים שירותים אותם אנחנו צורכים באופן יומיומי אוספים עלינו מידע אישי אשר נרקם לכדי זהות וירטואלית החושפת אותנו לסיכונים הנובעים מאיגוד מידע זה. כבר בעת התהליך הראשוני של הקמת סטארט-אפ או חברה, לאחר שלבי החשיבה על הרעיון, מומלץ להגדיר את מדיניות הפרטיות לפיה ינהגו בקשר עם אופן איסוף המידע לפי תקנות הגנת הפרטיות הישראליות ותקנות ה-GDPR האירופאיות, שכן הפרה של התקנות הללו עלולה לגרור קנסות וסנקציות מחמירות.
בישראל מעוגנת הזכות לפרטיות בחוק יסוד: כבוד האדם וחירותו ובחוק הגנת הפרטיות – תשמ״א, 1981. הזכות לפרטיות לא הוגדרה באופן מפורש ומדויק בחוק או בפסיקה, אך החוק מונה מקרים שייחשבו כפגיעה בפרטיותו של אדם. לאור האתגרים בעידן הטכנולוגי הנוכחי, אשר משפיעים באופן נרחב על סוגיות הפרטיות ברשת ובעולמות הווירטואליים, בשנת 2017 נחקקו תקנות הגנת הפרטיות – אבטחת מידע שאושרו בוועדת חוקה חוק ומשפט. התקנות מתוות את הדרכים המקובלות לאיסוף מידע ובמסגרתן הוכרה לראשונה הזכות לשמירה והגנה על הזהות הווירטואלית של הפרט וכן האפשרות למחיקת מידע שנאסף על פרט מסוים. התקנות מחייבות חברות להגן על מידע אישי, להגדיר רמת סיכון ולדווח על אירועי אבטחה, כמו דליפה ומתקפות סייבר.
מידע אישי מתייחס לנתונים ומאפיינים הנאספים על ו/או מועברים על ידי אדם פרטי ואשר יכולים להוביל לזיהויו ואפיונו של הפרט. מאפיינים אלו כוללים שם, מספר זיהוי, כתובת מייל, תאריך לידה, מיקום גיאוגרפי וכדומה. החוק מונה את המקרים הספציפיים בהם יש לאגד את הנתונים הללו במאגר מידע אשר מוגדר כאוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב. תקנות ה-GDPR, אשר מהוות אוסף הוראות רגולטוריות מחייב, נכנסו לתוקף בחודש מאי 2018 במטרה להגן על תושבי האיחוד האירופי בכל הנוגע לאיסוף, שמירה, עיבוד וחשיפת המידע האישי שלהם. התקנות מטילות סנקציות חמורות על חברות שלא עומדות בדרישות, כאשר הקנסות יכולים להגיע לאחוז מסוים מהמחזור השנתי של החברה או לחילופין לסכומים של עשרות מיליוני יורו, הגבוה מבין השניים. התקנות דורשות שכל חברה תיצור מדיניות אבטחת מידע כנוהל שוטף, שתאפשר לכל אדם פרטי שליטה מרבית על המידע האישי שלו, לרבות מתן גישה למידע שנאסף, האפשרות לבקשת מחיקת נתונים וכו׳. הסוגיה רלוונטית גם בהקשר של סטארט-אפים וחברות ישראליות היות שגם בעלי עסק שמקום מושבם אינו באיחוד האירופאי אך השירות אותו הם מציעים פונה לגורמים ולקוחות בעלי אזרחות אירופאית נדרשים לפעול על פי התקנות ומחויבים להעניק לתושבי האיחוד את הזכויות המנויות בתקנות בקשר עם המידע האישי שלהם.
אז כיצד סטארט-אפ בראשית דרכו יכול להתמודד עם האתגרים שמציבות התקנות הישראליות והאירופאיות? הדרך האפקטיבית ביותר לעשות זאת היא לשזור את התווית מדיניות הפרטיות בשלבים המוקדמים של החשיבה על המוצר והפיצ׳רים אשר יכללו בו. שימת דגש מוקדם ומתן משקל למגבלות ולדרישות של תקנות הפרטיות יאפשרו ליצור מנגנון הגנה יעיל יותר.
דוגמאות נוספות לחובות, דרישות וסוגיות שיש לקחת בחשבון כמאפיינים בהתוויית מדיניות הפרטיות הינן:
- חובת היידוע – יש להגדיר מה המיזם עושה בפועל עם המידע וליידע את המשתמש בדבר השימוש במידע בשלב מקדים ככל הניתן.
- חובת עיון – יש לאפשר גישה והעברת המידע שנאסף לכל אדם שפונה למיזם בבקשה לקבלו.
- אפשרות בחירה – כמו בדוגמא לעיל, ניתן לאפשר למשתמשים או ללקוחות לבחור את המידע אותו הם רוצים לשתף ולא לחייב במסירת מידע ספציפי.
- איסוף מינימלי – יש לאסוף כמה שפחות מידע ולהיצמד לדרישות המינימליות לצורך תפעול הסטארט-אפ ו/או השירות.
- הסכמת נשוא המידע – על המשתמש לאשר על ידי מתן הצהרה את הסכמתו לתהליך עיבוד המידע האישי. עיבוד המידע ייעשה אך ורק בהתאם להסכמתו של המשתמש.
- עיבוד המידע – יש לעבד את המידע שניתן על ידי המשתמש כך שישמר רק המידע הנדרש לצורך מתן השירות ככל שהמידע מעובד יותר, כך פוחתת רמת הרגישות של המידע.
- הדרגתיות – יש לאסוף את המידע באופן הדרגתי ותוך כדי בחינה מתמדת של סוג המידע ההכרחי לתפעול המיזם ו/או השירות.
- תיעוד – שמירה של מסמכים, פרוטוקולים של פגישות ולוגים של המערכת, ניטור בקרה ופיקוח.
נראה אם כן כי חברות וסטארט-אפים בראשית דרכם מתמודדים עם אתגרים רבים ואינם תמיד מודעים לחובות שהחוק מטיל עליהם. כיום, כל מיזם וחברה אוספים ומחזיקים מידע על לקוחותיהם ולכן לא ניתן להימנע מהיערכות מחושבת ומיישום מגבלות החוק בנושא הגנת הפרטיות. ההיערכות דורשת עבודה רבה והשקעת משאבים, אך כפי שנטען לעיל, ישנה חשיבות רבה בחישוב מתווה ומדיניות פרטיות ובהיערכות מקיפה מראש בהתאם לתקנות כבר בשלבים הראשונים של הקמת המיזם.
על אף שקיימות דרישות רבות, כבר בעת שלב תכנון המוצר ניתן לערוך מיפוי ראשוני של סוג המידע הנדרש ואופן איסופו ע״מ להבין את הפערים הקיימים אל מול דרישות החוק, לערוך מסמכי מדיניות פרטיות ולנהל את הסיכונים הכרוכים בדליפות המידע. באמצעות פעולות אלו, תוכלו להבטיח את שמירת המידע באופן בטוח והרמטי, וכיוצא מכך גם ליצור יחסי אמון ושקיפות עם המשתמש. כמו כן, בשלבים עתידיים בהם יתבצע גיוס כספים תיבחן גם מדיניות הפרטיות ע״מ לקבוע את יכולת המיזם להגן על המידע שברשותו.
תכנון מדיניות פרטיות והגנת מידע מקיפים, הן בהיבט הטכני והן בהיבט האסטרטגי, וכן ביסוס יחסים מבוססי אמון עם המשתמשים, עשויים לתרום לצמצום הפרות פוטנציאליות בתחום שמירת המידע, להרחבת מרחב הפעולה לתיקון הפרות שכאלו וכן לצמצום חשיפה משפטית של המיזם לתביעות, קנסות וסנקציות משמעותיות.
