מדוע מדיניות פרטיות נכונה היא קריטית לחברות טכנולוגיה
שבוע שעבר נחתה על שולחנו של מנהל משפטי בחברת פינטק ישראלית דרישה מרשות הגנת הפרטיות לבירור בנוגע לטיפול החברה במידע לקוחות. הבעיה הייתה פשוטה אך יקרה: מדיניות הפרטיות של החברה לא שיקפה את הפעילויות שהם באמת מבצעים עם הנתונים, והותירה פערים משמעותיים בגילוי מול המשתמשים.
מדיניות הפרטיות איננה עוד סעיף טכני שניתן להעתיק ולהדביק מאתר אחר. עם כניסתו לתוקף של התיקון ה-13 לחוק הגנת הפרטיות, התשמ״א-1981, דרישות השקיפות והגילוי התחזקו משמעותית, ועמן גם הסנקציות על אי-ציות.
חברות טכנולוגיה שמטפלות בנתונים אישיים של משתמשים ישראלים חייבות לנסח מדיניות פרטיות מקיפה ומדויקת, המשקפת את הפעילות בפועל. זהו מסמך שלא רק מגן על החברה משפטית, אלא גם בונה אמון עם הלקוחות ויוצר בסיס לפעילות עסקית אחראית.
במאמר זה נסקור את הדרישות המשפטיות הספציפיות של החוק הישראלי, נבחן את השינויים שחלו בתיקון החדש, ונציג שיטות עבודה מומלצות לניסוח מדיניות פרטיות שמשרתת גם את החובות המשפטיות וגם את הצרכים העסקיים של חברות טכנולוגיה.
דרישות החוק הישראלי: מה חייבת לכלול מדיניות פרטיות
חוק הגנת הפרטיות הישראלי קובע דרישות ברורות לתוכן מדיניות הפרטיות. בעיקרן של הדרישות עומד עיקרון השקיפות - נושא המידע זכאי לדעת מה קורה לנתונים שלו בכל שלב מהתהליך.
זיהוי בעל מאגר המידע
המדיניות חייבת לזהות בבירור מי הוא בעל מאגר המידע - בדרך כלל החברה שמפעילה את השירות. יש לכלול את השם המלא של החברה, מספר התאגיד, כתובת פיזית בישראל ופרטי התקשרות. אם החברה פועלת דרך חברות בת או חברות קשורות שגם מעבדות נתונים, יש לציין זאת בפירוט.
תיאור סוגי המידע הנאסף
החוק דורש תיאור מפורט של סוגי המידע שהחברה אוספת. לא מספיק לכתוב "מידע אישי" - יש לפרט: נתוני זיהוי (שם, תעודת זהות, דרכון), פרטי התקשרות (כתובת, טלפון, אימייל), נתונים פיננסיים (פרטי כרטיס אשראי, חשבון בנק), נתוני שימוש בשירות, נתוני מיקום, ועוד.
מטרות השימוש במידע
זהו אחד הסעיפים הקריטיים ביותר. המדיניות חייבת לפרט בדיוק למה החברה משתמשת בכל סוג של מידע: מתן השירות, חיוב ותשלום, שירות לקוחות, שיפור המוצר, שיווק ופרסום, ציות לחובות משפטיות, הגנה על האבטחה. חשוב שהמטרות יהיו ספציפיות ולא כלליות מדי.
- מתן השירותים שהמשתמש ביקש
- עיבוד תשלומים וחיובים
- מתן שירות ותמיכה ללקוחות
- שיפור וטיוב השירותים
- מניעת הונאות ואבטחת המערכות
- ציות לדרישות רגולטוריות
- פעילות שיווקית (כשיש הסכמה מתאימה)
בסיס משפטי לעיבוד
למרות שהחוק הישראלי אינו דורש במפורש ציון בסיס משפטי כמו ה-GDPR, מומלץ לכלול מידע זה, במיוחד לחברות הפועלות גם מול לקוחות אירופיים. הבסיס יכול להיות הסכמה, חוזה, חובה משפטיות, או אינטרס לגיטימי.
גילוי על שיתוף והעברות נתונים לצדדים שלישיים
אחד הנושאים הרגישים ביותר בעיני המשתמשים והרגולטור הוא שיתוף מידע עם צדדים שלישיים. החוק הישראלי דורש גילוי מלא ומפורט על כל העברה של מידע מחוץ לחברה.
קטגוריות של נמענים
המדיניות חייבת לפרט את הקטגוריות השונות של גופים שעלולים לקבל גישה למידע: ספקי שירותים טכנולוגיים (אחסון בענן, אנליטיקה, תמיכה), שותפים עסקיים, גופי אכיפה ורגולטוריים, יועצים מקצועיים (עורכי דין, רואי חשבון), חברות בקבוצת החברות.
חשוב לציין שהעברת מידע מותרת רק כשהיא הכרחית למטרות המפורטות במדיניות, ורק לגופים שמתחייבים לשמור על רמת הגנה דומה לזו שהחברה מספקת.
העברות בינלאומיות
העברת מידע מחוץ לגבולות ישראל טעונה התייחסות מיוחדת. אם החברה משתמשת בשירותי ענן של חברות זרות או מעבירה נתונים לחברות בת בחו"ל, יש לגלות זאת במפורש. עדיף לציין את המדינות הספציפיות או לפחות את האזורים הגיאוגרפיים.
לגבי העברות למדינות באיחוד האירופי - יש להבהיר שישראל זוכה להכרה חלקית כמדינה בעלת רמת הגנה מתאימה, אך הסטטוס הזה כפוף לבדיקה תקופתית.
מכירה או מיזוג
רוב חברות הטכנולוגיה צריכות להתכונן לאפשרות של מכירה, מיזוג, או רכישה. המדיניות חייבת לכלול סעיף המסביר שבמקרים כאלה המידע עלול לעבור לחברה הרוכשת, כמובן בכפוף לחובות הסודיות ולהגנת הפרטיות.
טיפ מעשי: במקום לכתוב "עלולים להעביר מידע לצדדים שלישיים", פרטו מי הם הצדדים הללו ומה המטרה של ההעברה. זה מגביר את האמינות ומפחית את החשש של המשתמשים.
זכויות נושא המידע והליכים למימושן
חוק הגנת הפרטיות מעניק לנושאי המידע זכויות נרחבות, והמדיניות חייבת לפרט אותן באופן ברור ולהסביר כיצד ניתן לממש אותן. זה לא רק דרישה חוקית, אלא גם הזדמנות לבנות אמון עם הלקוחות.
זכות העיון
כל אדם זכאי לדעת איזה מידע החברה שומרת עליו. יש לפרט כיצד ניתן להגיש בקשת עיון, איזה פרטי זיהוי נדרשים, ומה פרק הזמן למתן מענה (בדרך כלל 30 יום מהגשת הבקשה המלאה). רצוי להקים תהליך דיגיטלי פשוט לבקשות עיון.
זכות התיקון
אם נושא המידע מבחין שיש נתון שגוי או לא מעודכן, הוא זכאי לבקש תיקון. החברה חייבת לתקן מידע שגוי או להשלים מידע חסר תוך זמן סביר. חשוב לציין שהתיקון נעשה ללא תשלום.
זכות המחיקה
זכות זו מורכבת יותר מכפי שנראה. נושא המידע יכול לבקש מחיקת מידע, אבל החברה לא חייבת לממש את הבקשה אם יש לה בסיס משפטי לשמור על המידע (למשל, לצורכי ציות לדרישות רגולטוריות או למניעת הונאות). יש לפרט מתי החברה תמחק מידע ומתי לא.
התנגדות לעיבוד
בחלק מהמקרים נושא המידע יכול להתנגד לעיבוד מידע עליו, במיוחד כשמדובר בשיווק ישיר או בפרופילינג. יש להסביר כיצד ניתן להתנגד וכיצד החברה תטפל בהתנגדות כזו.
- הגשת הבקשה - באיזה אופן וכולל איזה פרטים
- זיהוי המבקש - איזה מסמכים נדרשים
- בדיקה ואישור - כמה זמן הבדיקה וקריטריוני המענה
- ביצוע הפעולה - כמה זמן לביצוע וכיצד יתבצע הדיווח למבקש
- דחיית הבקשה - במה מקרים ניתן לדחות ואיך מודיעים למבקש
רצוי ליצור טופס מקוון לבקשות זכויות נושא המידע, כולל שדות לסוג הבקשה, פרטי זיהוי, ודרך התקשרות מועדפת לקבלת המענה.
מדיניות שמירה ומחיקת נתונים
אחד הנושאים הקריטיים ביותר שחברות טכנולוגיה מתקשות איתו הוא קביעת תקופות שמירה הולמות למידע. המדיניות חייבת לפרט כמה זמן החברה שומרת כל סוג של מידע ומתי הוא נמחק.
עקרונות לקביעת תקופות שמירה
תקופת השמירה חייבת להיות מוצדקת על פי המטרה שלשמה נאסף המידע. אם המטרה הושגה או שהמידע כבר לא רלוונטי, אין הצדקה לשמור אותו. עם זאת, לחברות יכולות להיות חובות משפטיות לשמור מידע לתקופות מסוימות.
- נתוני לקוחות פעילים - כל עוד החשבון פעיל ותקופה נוספת להתחייבויות משפטיות
- נתוני לקוחות שביטלו - תקופה מינימלית לצורכי תמיכה ותקופה נוספת לחובות משפטיות
- נתוני תשלומים - בהתאם לדרישות הרגולטוריות הפיננסיות (רוב הפעמים 7 שנים)
- לוגי מערכת - תקופה קצרה לצורכי אבטחה ופתרון תקלות
- נתוני שיווק - כל עוד יש הסכמה תקפה או עד לביטולה
תהליך המחיקה
לא מספיק לקבוע תקופות שמירה - צריך גם ליישם אותן בפועל. החברה חייבת ליצור תהליכים טכנולוגיים ותפעוליים שמבטיחים מחיקת מידע בסוף תקופת השמירה. זה כולל מחיקה ממסדי נתונים ייצוריים, מגיבויים, ומכל מקום אחר שבו המידע מאוכסן.
חריגים למחיקה
יש מקרים שבהם החברה לא יכולה או לא צריכה למחוק מידע גם לאחר תום תקופת השמירה הרגילה:
דרישות רגולטוריות - חובות לשמור רישומים פיננסיים, תקשורת עם רגולטורים
הליכים משפטיים - כשיש תביעה תלויה ועומדת או חקירה
אבטחה ומניעת הונאות - שמירת מידע על ניסיונות פגיעה או הונאה לזמן מוגבל
מטרות ארכיוניות - שמירת מידע סטטיסטי באופן אנונימי למחקר ופיתוח
חשוב להדגיש במדיניות שגם כשהמידע נשמר לאחת מהסיבות לעיל, הוא נשמר בצורה מוגבלת ובתנאי אבטחה מוגברים.
נכון למועד כתיבת מאמר זה, מומלץ לבדוק תקופות שמירה מול יועץ משפטי, מכיוון שהן משתנות בהתאם לסוג הפעילות והרגולציה הרלוונטית.
אמצעי האבטחה וההגנה על המידע
המדיניות חייבת לתת למשתמשים תמונה ברורה של האמצעים שהחברה נוקטת כדי להגן על המידע שלהם. זה לא רק דרישה משפטית, אלא גם הזדמנות לבנות אמון ולהדגים מקצועיות.
אמצעי הגנה טכניים
יש לפרט את האמצעים הטכניים העיקריים: הצפנה של נתונים בזמן העברה ובמנוחה, מערכות אימות חזקות, בקרות גישה מבוססות הרשאות, מתודולוגיות גיבוי ושחזור, מוניטורינג ובדיקות אבטחה תקופתיות.
לא צריך להיכנס לפרטים טכניים מורכבים שעלולים לחשוף נקודות תורפה, אבל כדאי לציין שימוש בסטנדרטים מקובלים כמו הצפנת TLS להעברת נתונים והצפנת AES לאחסון.
אמצעי הגנה ארגוניים
האבטחה היא לא רק עניין של טכנולוגיה. יש להסביר כיצד החברה מגבילה גישה למידע רק לעובדים שצריכים אותו לביצוע תפקידם, כיצד מתבצעות הדרכות אבטחה לעובדים, ואיזה נהלים קיימים לטיפול באירועי אבטחה.
- הדרכת עובדים בנושאי הגנת פרטיות ואבטחת מידע
- בקרות גישה פיזיות ולוגיות למערכות המידע
- הסכמי סודיות עם עובדים וקבלני משנה
- תהליכים לזיהוי ותגובה לאירועי אבטחה
- בדיקות ומבדקים תקופתיים של מערכות האבטחה
ספקי שירות וקבלנים
רוב החברות משתמשות בספקי שירות חיצוניים - חברות אחסון בענן, מערכות CRM, כלי אנליטיקה. יש להסביר כיצד החברה בוחרת ספקים (קריטריוני אבטחה), כיצד היא מפקחת עליהם, ואיזה התחייבויות חוזיות קיימות לשמירה על רמת האבטחה.
תגובה לאירועי אבטחה
התיקון ה-13 לחוק הגנת הפרטיות הכניס חובות דיווח על פרצות אבטחה. המדיניות צריכה להסביר שבמקרה של אירוע אבטחה שעלול להשפיע על המידע האישי, החברה תפעל בהתאם לנהלים שנקבעו בחוק - כולל דיווח לרשות הגנת הפרטיות ולנושאי המידע הרלוונטיים, בהתאם לחומרת האירוע.
חשוב לציין שהחברה לא יכולה להתחייב ש"אף פעם לא תהיה פרצה" - זה לא ריאלי. במקום זה, כדאי להתחייב על תגובה מהירה ושקופה במקרה שכן יקרה משהו.
שיטות עבודה מומלצות לניסוח מדיניות פרטיות
ניסוח מדיניות פרטיות אפקטיבית דורש איזון עדין בין עמידה בדרישות המשפטיות לבין יצירת מסמך שמשתמשים רגילים יכולים להבין ולהשתמש בו. הנה שיטות עבודה מומלצות שיעזרו לכם ליצור מדיניות איכותית.
שפה פשוטה וברורה
הימנעו מלשון משפטית מורכבת. במקום "החברה רשאית לעבד מידע לצורך מימוש אינטרסים לגיטימיים", כתבו "אנחנו משתמשים במידע כדי לשפר את השירות ולמנוע הונאות". המטרה היא שמשתמש רגיל יבין את זכויותיו וחובותיו מבלי לפנות למילון משפטי.
השתמשו במשפטים קצרים, בנקודות רשימה כשמתאים, ובכותרות תת-סעיפים ברורות. חלקו מידע מורכב לחתיכות קטנות וקלות לעיכול.
דוגמאות קונקרטיות
במקום להסביר רק בכלליות, תנו דוגמאות ספציפיות. למשל: "אנחנו אוספים מידע על השימוש שלכם במוצר, כמו איזה תכונות אתם הכי הרבה משתמשים, איזה דפים אתם מבקרים, וכמה זמן אתם מבלים באפליקציה. המידע הזה עוזר לנו להבין איזה חלקים של המוצר הכי שימושיים ואיפה צריך שיפורים."
עדכון והתאמה תקופתית
מדיניות הפרטיות אינה מסמך סטטי. היא חייבת להתעדכן בהתאם לשינויים בחוק, בטכנולוגיה, ובפעילות החברה. קבעו תהליך בדיקה תקופתי - לפחות פעם בשנה או בכל שינוי משמעותי בשירות.
- מיפוי פעילות החברה הנוכחית ותהליכי עיבוד המידע
- זיהוי פערים בין הפעילות בפועל למדיניות הקיימת
- בדיקת שינויים רגולטוריים רלוונטיים
- עדכון הנוסח בהתאם לממצאים
- בדיקה משפטית של הנוסח המעודכן
- פרסום הגרסה החדשה והודעה למשתמשים
אינטגרציה עם המוצר
המדיניות לא צריכה להיות מסמך מנותק שקבור בתחתית האתר. שלבו אותה בממשק המשתמש: הוסיפו קישורים למדיניות ברגעים הרלוונטיים (למשל, כשמבקשים הרשאה לגשת למיקום), יצרו סיכומים קצרים של סעיפים חשובים, והציעו דרכים קלות לנושאי המידע לממש את זכויותיהם.
בדיקה עם משתמשים אמיתיים
לפני סיום הנוסח, בדקו אותו עם משתמשים אמיתיים - עובדים שלא עבדו על הנוסח, חברים, או אפילו קבוצת לקוחות מובחרים. בדקו האם הם מבינים את הזכויות שלהם, את אופן השימוש במידע, ואת דרכי יצירת הקשר לשאלות.
זכרו: מדיניות פרטיות טובה היא כזו שמגינה על החברה משפטית, בונה אמון עם המשתמשים, ומקלה על העבודה השוטפת של צוותי התמיכה והמשפט. השקעה בניסוח איכותי תחזיר את עצמה במהירות.
האמור במאמר זה מהווה מידע כללי בלבד ואינו מהווה ייעוץ משפטי. לקבלת ייעוץ מותאם לנסיבות הספציפיות של חברתכם, אנו מזמינים אתכם ליצור קשר עם משרדנו.
