מדיניות פרטיות (Privacy Policy) לאתר ולאפליקציה – מה זה בכלל ולמה צריך את זה?/ עו"ד אבי נדלר
אנו חיים בעידן המידע, המציאות המסחרית שסביבנו, עברה ועדיין עוברת מהפיכה, לא עוד רק מסחר מוטה סחורות, אלא גם מסחר מוטה מידע דיגיטלי. היכולות הטכנולוגיות מאפשרות לא רק לאסוף ולצבור מידע דיגיטלי ולנתח אותו אלא מאפשרת גם לעשות במידע שימושים מסחריים שונים. היכולת לעשות שימוש מסחרי במידע מנותח וספציפי של משתמשים הוא רב עוצמה והוא חלק ממודל עסקיים של ענקיות טכנולגיה ושל סטארט-אפים רבים.
מנגד עומדת הזכות של המשתמש לפרטיות. הזכות לפרטיות היא זכות חוקתית המעוגנת בחוק יסוד: כבוד האדם וחירותו. הגישה של הרשות להגנת הפרטיות הינה כי הזכות לפרטיות במידע (לרבות מידע דיגיטלי) הינה נדבך מנדבכי הזכות לפרטיות, ולאדם יש זכות לשלוט על מידע על אודותיו, להחליט אם הוא חולק אותו, עם מי לחלוק את המידע וכיצד. פגיעה בפרטיות המידע יכולה ללבוש מספר צורות כגון איסוף מידע ללא בסיס חוקי, גילוי מידע על אודות אדם ללא הסכמתו ושימוש במידע אודות אדם שלא למטרה שלשמה הוא נמסר.
בהתאם לחוק הגנת הפרטיות מוטלות חובות על מבקש מידע ועליו לתת הודעה ובה יפורט: (א) אם חלה על המשתמש חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו; (ב) המטרה אשר לשמה מבוקש המידע; ו-(ג) למי יימסר המידע ומטרות המסירה.
חובות אלו החלות על מבקש מידע, חלות בוודאי על מי שאוסף מידע רק מעצם השימוש באתר או באפליקציה שלו.
לשם כך נועדה מדיניות הפרטיות (Privacy Policy). מדיניות הפרטיות היא מסמך אשר תפקידו להודיע לגולשים באתר איזה מידע האתר אוסף על הגולשים או היוזרים, כיצד הוא עושה במידע שימוש וכיצד הוא שומר על המידע. כלומר, מדיניות הפרטיות מפרטת למעשה כיצד האתר או האפליקציה פוגעים בפרטיות של אלו שעושים בהם שימוש. מדיניות הפרטיות מהווה חלק מתנאי השימוש באתר או באפליקציה, אם כי לרוב מקובל להציג אותה בנפרד.
'מידע' הינו לרוב רק שם (יכול להיות גם יוזר או כל כינוי שמייחד את המשתמש בפני המערכת) , מען ודרכי התקשרות (לרבות כתובת אי-מייל). כלומר, מידע שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו.
מהו מידע אישי? בהתאם לחוק הגנת הפרטיות מידע הינו נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו. כלומר מידע אשר יוצר איפיון של המשתמש.
יש לציין כי חוק הגנת הפרטיות מטיל סנקציות אזרחיות-נזיקיות ואף פליליות על פגיעה בפרטיות. נוסף על כך יש לתת את הדעת גם על חוקי הגנת הפרטיות במדינות וטריטוריות זרות בהן מבקשים לפעול.
מעבר להיבט החוקי, כדאי לדעת שאם רוצים לעבוד עם שירותים מסוימים של Google או של Facebook ושירותים אחרים, קיימת דרישה מצדם לאמץ מדיניות פרטיות ואף לכלול בה הוראות מסויימות.
כעת נפנה לדון בשאלה איך לכתוב מדיניות פרטיות לסטארט-אפ שלכם.
מה יש לכלול במדיניות פרטיות
במדיניות פרטיות יש להתייחס, בין היתר, לדרישות הקבועות בחוק הגנת הפרטיות כאמור לעיל. ניתן למצוא דוגמאות רבות למדיניות פרטיות ברשת, וקיימים גם כלים אוטומטים (מחוללים) שמסייעים בכך. ייתכן שחלקם טובים כנקודת התחלה. אולם, מוצע לא להסתמך על דוגמאות ומחוללים, כי אם להתאים את המדיניות באופן פרטני וספציפי למערכות של האתר או האפליקציה, הטכנולוגיה שמאחוריהם, לכוונות הספציפיות של המפעיל ולאופן שבו יטפל המידע. בדרך כלל, במסגרת מדיניות פרטיות ניתן בה ביטוי לעניינים הבאים:
- כי מדיניות הפרטיות מהווה חלק בלתי נפרד מתנאי השימוש (term of use או term of service) באתר או באפליקציה, ועל מי שאינו מסכים לתנאים אלו להימנע מהשימוש בהם ומהרישום אליהם. מוצע גם לתת קישור למדיניות הפרטיות במסגרת תנאי השימוש (בין אם המשתמש נדרש לאשר אותם עם הרשמתו, בין אם לאו).
- מי עומד מאחורי האתר או האפליקציה – כלומר, מה שם האדם, החברה או היישות המשפטית שמפעילה את האתר או האפליקציה. מן הראוי לספק אמצעי יצירת קשר עם המפעיל כגון כתובת אי-מייל.
- איזה מידע נאסף מהמשתמשים וכיצד הוא נאסף ואיזה מידע לא נאסף – ייתכן שהשימוש באתר או באפליקציה מצריך הרשמה במסגרתה נמסר מידע אישי, כגון: שם וכתובת דואר אלקטרוני. אולם, ייתכן שמשתמשים מתבקשים לציין גם פרטים נוספים כגון תעודת זהות, כתובת פיזית, פרטי כרטיס אשראי, מצב משפחתי, העדפות שונות ועוד. בנוסף, ייתכן שהמערכת שלכם עוקבת ומנטרת אחר דפוסי התנהגות ותחומי התעניינות של המשתמשים.
- בשלב ההרשמה ובמדיניות הפרטיות מוצע לציין כי המשתמש אינו מחויב למסור את המידע האמור אולם אם ברצונו לעשות שימוש באתר או באפליקציה עליו למסור את המידע או לפחות מידע מינימאלי הנדרש להרשמה וכי הוא בוחר לעשות זאת מרצונו ובהסכמתו.
- מה השימושים אשר בכוונת המפעיל לעשות עם המידע שנאסף – אמנם, אין כוונה לחשוף את המודל העסקי במסגרת מדיניות הפרטיות, אולם יחד עם זאת יש להתייחס למטרה אשר לשמה מבוקש המידע ומסגרת זו להתייחס למי יימסר המידע ולאילו מטרות.
- כיצד המפעיל שומר על המידע.
- למי עוד יש גישה למידע והאם ישנם צדדים שלישיים אשר עושים שימוש במערכות של המפעיל באתר או באפליקציה ועל המשמעות הנובעת מכך על הפרטיות של המשתמש, כגון האם אותם צדדים שלישיים מחוייבים לשמור על הפרטיות המידע כלפי מפעיל האתר או להם מדיניות פרטיות נפרדת.
- על אופן השימוש ב-קבצי Cookies ו/או מנגנונים דומים.
- יידוע של המשתמש בדבר זכויותיו על פי חוק הגנת הפרטיות כגון לעיין במידע השמור עליו או למחוק אותו.
- שינויים במדיניות הפרטיות ועל האופן שבו יובאו השינויים לידיעת המשתמשים.
חשוב מאד לכתוב את מדיניות הפרטיות בשפה בהירה, ברורה ופשוטה לקורא ולהימנע, עד כמה שניתן, מניסוחים מסורבלים, מורכבים או משפטיים מדי.
ההגנה על הפרטיות צוברת תאוצה רבה לא רק במישור המשפטי אלא גם במישור החברתי ואנו עדים להתעניינות הולכת וגוברת של משתמשים לפרטיותם או לפחות לגילוי הנאות על הנעשה במידע הנאסף אודותם. לכן, חשוב מאד לתת לכך את הדעת מבעוד מועד, כבר בשלבים הראשונים של הפיתוח, ולהיות רגישים לאפשרות של פגיעה בפרטיות ולאופן שבו שומרים על המידע ועושים בו שימוש ולעצב הטכנולוגיה מראש כך שתגן על הפרטיות (Privacy By Design). במסגרת זו יש לבחון האם הנכם נדרשים לרשום את מאגר המידע אצל רשם מאגרי המידע ומה המשמעויות לכך.
באחד הפוסטים הבאים נייחד לכך דיון קצר ונסביר מתי חלה חובה לרשום את מאגר המידע אצל רשם מאגרי המידע ומהם החובות החלות על בעלים של מאגר מידע ועל מחזיק במאגר מידע.
המחלקה המסחרית של משרד עורכי הדין אלי נדלר פריידין ושות' עוסקת, בין היתר, במשפט מסחרי, היי-טק סטארט-אפים והון סיכון, מימון חברות, מיזוגים ורכישות, שוק ההון וניירות ערך ולה ניסיון רב בליווי של חברות סטארט אפ ומיזמים עסקיים טכנולוגיים ואחרים. לפרטים נוספים ניתן לפנות לראש המחלקה עו"ד אבי נדלר.
יובהר כי האמר לעיל הינו למידע כללי וראשוני בלבד ולא נועד בשום מקרה לשמש כייעוץ משפטי ו/או כתחליף לייעוץ משפטי. לכן, אין להסתמך על האמור מבלי להיוועץ עם עורך דין העוסק בתחום בטרם נקיטת כל פעולה או קבלת כל החלטה. הדברים נכונים למועד כתיבתם בלבד, ונכונותם עלולה להשתנות מעת לעת.
