בעידן שבו הכל מתועד, כמעט כל פעולה עסקית דיגיטלית, החל מאתר תדמית פשוט או דף נחיתה ועד לפלטפורמת מסחר אלקטרוני מורכבת, מדובר לבסוף באיסוף ועיבוד של מידע אישי. עם זאת, רבים מבעלי העסקים רואים במדיניות הפרטיות "טקסט משפטי" גנרי שיש להעתיק ולהדביק בתחתית האתר במקרה הטוב או מתעלמים ממנה לחלוטין במקרה הרע. זו טעות שעלולה לעלות ביוקר, משפטית, תדמיתית וכלכלית כאחד.
מדיניות פרטיות היא לא רק הצהרת כוונות טכנית, ובוודאי שלא כיסוי משפטי פורמלי, היא חוזה מחייב בין העסק לבין המשתמש המשקפת במדויק את הפעילות האמיתית של האתר והאופן שבו מידע אישי נאסף, נשמר ומעובד בו, ומעל לכל היא נדרשת על מנת לעמוד בהוראות הדין הישראלי.
הבסיס החוקי: חוק הגנת הפרטיות ו"חובת היידוע" של מבקש המידע
חוק הגנת הפרטיות, תשמ"א – 1981, הוא דבר החקיקה המרכזי המסדיר את אופן הטיפול במידע אישי בישראל. סעיף 11 לחוק קובע "חובת יידוע" ברורה: כאשר עסק פונה לאדם בבקשה למסור לו מידע אישי, עליו ליידע את האדם באופן ברור, עוד בטרם מסירת המידע, לגבי מספר נקודות קריטיות:
- האם חלה חובה חוקית למסור את המידע, או שמסירתו תלויה ברצונו ובהסכמתו, ומהי התוצאה של אי ההסכמה למסירת המידע.
- שמו של בעל השליטה במאגר המידע, ודרכי ההתקשרות עימו.
- המטרה שלשמה מבוקש המידע.
- למי יימסר המידע ומטרות המסירה (למשל, חברות דיוור, ספקי שירותי ענן, צדדים שלישיים וכו').
- קיומה של זכות עיון במידע ושל הזכות לתקן את המידע.
חובת היידוע האמורה חלה בכל מקום בו נאסף מידע אישי אודות אדם, ומדיניות פרטיות כתובה, בהירה ונגישה, היא הדרך המקובלת והיעילה ביותר למלא אחר חובה זו מקום בו העסק אוסף מידע באמצעות אתר האינטרנט שלו.
מהו "מידע אישי" שאתם אוספים?
חשוב לדעת שהחוק מגדיר "מידע אישי" באופן רחב מאוד: "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי במאמץ סביר". הגדרה זו כוללת לא רק שם, טלפון או כתובת, אלא גם פרטים כמו כתובתIP נתוני מיקום, מזהים מקוונים (כמו קובצי Cookie), ואף מידע על דעותיו, מצבו הבריאותי או הכלכלי (המוגדר כ"מידע בעל רגישות מיוחדת"), בין אם נמסר ע"י המשתמש מיוזמתו ובין אם נאסף באופן אוטומטי.
בפועל, אם האתר שלכם כולל טופס "צור קשר" / מערכת לרישום ניוזלטר / אפשרות להשארת תגובות / שימוש בכלי ניתוח נתונים (Analytics) / שימוש בקובצי "עוגיות" (Cookies), אז ברור כי הנכם אוספים ומעבדים מידע אישי, לכן הנכם חייבים לפעול בהתאם לחובות החלות עליכם בדין, בין היתר, באמצעות פרסום מדיניות פרטיות.
מה קורה אם אין מדיניות פרטיות, או שיש מדיניות שגויה שאינה משקפת את התנהלות העסק בפועל?
ההתעלמות מהוראות החוק חושפת את העסק למספר סיכונים משמעותיים:
- אכיפה מנהלית ועיצומים כספיים: עיבוד מידע אישי שנוצר, התקבל, נצבר או נאסף בניגוד לדין מהווה הפרה של חוק הגנת הפרטיות. הרשות להגנת הפרטיות מוסמכת לנקוט הליכי אכיפה נגד מפרים, כולל הטלת עיצומים כספיים (קנסות) בסכומים גבוהים, במיוחד במקרים של הפרת חובת היידוע (סעיף 11) או ניהול מאגר מידע בניגוד לחוק.
- תביעות: פגיעה בפרטיות, לרבות שימוש במידע שלא למטרה שלשמה נמסר, היא עוולה אזרחית. הדבר פותח פתח לתביעות נזיקין מצד משתמשים, ואף לתביעות לפיצוי ללא הוכחת נזק. זאת ועוד, חוק הגנת הפרטיות קובע כי פגיעה בפרטיות יכולה להיות לא רק עוולה אזרחית אלא גם עבירה פלילית, הכל בהתאם לנסיבות.
- פגיעה בתדמית ובאמון הלקוחות: בעידן הנוכחי, משתמשים ולקוחות מודעים לזכויותיהם. אתר שאינו מציג מדיניות פרטיות שקופה נתפס כלא אמין, לא מקצועי ועלול להבריח לקוחות פוטנציאליים.
לא רק החוק הישראלי: התמונה הגלובלית
אם האתר שלכם פונה גם ללקוחות באירופה (אפילו אם אין לכם משרד שם), אתם עשויים להיות כפופים גם ל-GDPR, הרגולציה האירופית המחמירה, הדורשת סטנדרטים גבוהים אף יותר של הגנה על הפרטיות, או חוקים אחרים דומים אחרים כדוגמת CCPA (חוק הגנת פרטיות הצרכן בקליפורניה).
הפתרון: מדיניות מותאמת אישית
מדיניות הפרטיות חייבת לשקף במדויק את הפעילות הספציפית של האתר שלכם והפעולות שאתם נוקטים על מנת להגן על פרטיות המשתמשים, בהתאם לחובות שחלות עליכם על פי החוק, לדוגמא:
- איזה מידע בדיוק נאסף (שם, טלפון, אימייל וכו').
- כיצד הוא נאסף (טפסים, Cookies, צדדים שלישיים).
- מהן מטרות השימוש (יצירת קשר, שיווק, ניתוח סטטיסטי).
- למי המידע מועבר (ספקי דיוור, מערכות CRM וכו').
- מהן זכויות המשתמש (זכות עיון במידע, זכות לתיקון מידע).
- כיצד המידע מאובטח.
היקף הפירוט ואופן הצגתו תלויים בהקשר, כל שהמידע שנאסף והשימוש בו כרוכים בפגיעה משמעותית בפרטיות, או כאשר סביר שהאדם אינו מודע לאיסוף המידע אודותיו או להשלכותיו, יש להקפיד על היידוע ככל האפשר.
סיכום
מדיניות פרטיות אפקטיבית היא חלק בלתי נפרד מניהול העסק, המדיניות הארגונית וניהול הנוכחות הדיגיטלית שלכם. מדובר בכלי ניהולי בסיסי להבטחת עמידה בחובת היידוע, לבניית אמון לקוחות ולהפחתת סיכונים משפטיים וכלכליים.
מובהר כי חובת היידוע הקבועה בסעיף 11 לחוק, היא רק נדבך אחד מתוך כלל החובות שמוטלות על העסק לפי חוק הגנת הפרטיות והוראותיו.
