מדוע צריך מדיניות פרטיות?
הבסיס לעיבוד מידע אישי בישראל הוא מתן הסכמה לעיבוד המידע מצד נושא המידע. על ההסכמה להיות "הסכמה מדעת", כלומר מרצון חופשי ועל סמך מידע המאפשר לנושא המידע להבין מי אוסף את המידע אודותיו, לשם אילו מטרות, ומה השימוש שיעשה במידע. כך, מי שמבקש לאסוף מידע אודות אדם נדרש לקבל את הסכמת נושא המידע.
חוק הגנת הפרטיות, התשמ"א-1981 ("החוק") מטיל חובות גילוי על מבקש מידע, שנועדו לוודא כי נושא המידע מבין בדיוק לאיזה עיבוד של מידע הוא מסכים. כך גם דיני הפרטיות במדינות שונות, ובפרט באירופה, מחייבים את מבקש המידע למסור פרטים שונים לנושא המידע על מנת לאפשר לו לדעת מה היקף, טיב ורמת חשיפת המידע האישי שלו, ולתת הסכמה מדעת.
בישראל, הפרה של חובת היידוע עלולה לגרור צעדי אכיפה ועונשים מנהליים.
בעידן בו מרבית הארגונים עושים שימוש באתרי אינטרנט לצורך התקשורת עם לקוחותיהם, מתן השירותים, וקבלת המידע הדרוש לפעילותם, מדיניות הפרטיות (או "הצהרת הפרטיות") היא הכלי היעיל ביותר בכדי לאפשר ללקוחות לתת את הסכמתם החופשית והמיודעת לעיבוד המידע האישי שלהם, ולהעניק כיסוי משפטי חזק לארגון.
במאמר זה נפרט מספר דגשים שחשוב להכיר בניסוח של מדיניות או הצהרת הפרטיות של הארגון שלכם. שימו לב כי הדגשים מתייחסים לרגולצית הפרטיות בישראל, ולכללי ה-GDPR האירופי, איך אין לראות במאמר זה כייעוץ משפטי מחייב ואין להסתמך עליו ככזה. בכל ספק, מומלץ לפנות לגורמי מקצוע, כדי שנתאים עבורכם את מדיניות הפרטיות שתקנה לכם הגנה מיטבית.
דגשים לניסוח מדיניות הפרטיות לאתר האינטרנט
בהירות ופשטות: על המדיניות להיות מנוסחת בצורה ברורה ומובנת. מומלץ להימנע מניסוחים מורכבים ומשפטיים, העלולים לבלבל את הקורא, או גרוע מכך – לא להעניק את ההגנה המשפטית שהארגון זקוק לה. ככל שהניסוח מורכב יותר, כך יהיה לארגון קושי רב יותר להוכיח במידת הצורך כי נושאי המידע הבינו מה נעשה עם המידע האישי שלהם.
מידע חיוני אודות הארגון: יש לוודא שהקורא מסוגל לזהות את בעל השליטה במאגר שבו יעובד המידע. מומלץ להימנע מכינויים, ולהשתמש במקום בשמו המלא של הארגון בצירוף מספר הזיהוי. בנוסף, יש לפרט את דרכי ההתקשרות עם הארגון, ובמידה ובארגון יש ממונה על הגנת הפרטיות – מומלץ לכלול את דרכי ההתקשרות עימו.
מטרות עיבוד המידע: על כל ארגון האוסף או מעבד מידע (לפי החוק, איסוף וקבלת מידע הם בעצם סוגים של עיבוד) חלה חובה לפרט מהן המטרות לשמן מעובד המידע.
באילו סוגי מידע עושה הארגון שימוש: על מנת שהסכמת נושא המידע תהיה חופשית ומיודעת, יש לפרט אילו פרטי מידע אוסף הארגון ומהן דרכי האיסוף. אם הארגון אוסף ומשתמש במידע בעל רגישות מיוחדת, חלה חובה לציין זאת במדיניות או הצהרת הפרטיות של הארגון.
מידע בעל רגישות מיוחדת כולל צידע על צנעת חיי המשפחה של אדם; צנעת אישותו ונטייתו המינית; מצבו הבריאותי; מידע גנטי; מזהים ביומטרים; מוצאו של אדם; עבר פלילי; דעות פוליטיות, אמונות דתיות והשקפות עולם; הערכות אישיות שבוצעו מטעם גורמי מקצוע העוסקים בכך; נתוני מיקום ותעבורה; נתוני שכר ונתונים פיננסיים; ומידע שחלה עליו חובת סודיות מכוח הדין.
מה היקף חשיפת המידע האישי והעברתו: יש לציין מי צפוי להיחשף למידע האישי ולמי הוא מועבר. כך למשל, אם הארגון נעזר בספקים חיצוניים לצורך ניהול מאגרי המידע, מתן שירותים, תקשורת עם הלקוחות ועוד, אז יש לציין מה המידע שיועבר לאותם גורמים, לאילו מטרות ומה השימוש שיעשה בו.
העברת מידע לצדדים שלישיים ואחריות למעשיהם: לעיתים הארגון נדרש להעביר לצד שלישי מידע אישי השייך ללקוחותיו. אולם, ייתכנו מצבים בהם הארגון אינו מסוגל לשלוט בהתנהלותו של אותו צד שלישי. חשוב ליידע את הלקוחות במדיניות הפרטיות ככל שמידע מועבר לצדדים שלישיים שהארגון לא יכול לפקח עליהם, ולכן לא יכול לשאת באחריות במידה ויגרם נזק לנושא המידע בשל התנהלותו של צד שלישי.
ככלל, מומלץ לכלול במדיניות הפרטיות סעיף המסיר אחריות מאירועים ושימושים במידע שאינם בשליטת הארגון.
זיהוי הרגולציה הרלוונטית: מדינות שונות מטילות דרישות גילוי שונות על ארגונים הפועלים במרחב הדיגיטלי. לכן, חשוב להבין מהם הדינים שאליהם כפוף הארגון, כך שמדיניות הפרטיות תקנה הגנה מלאה.
התאמת מדיניות הפרטיות לארגון: אין "מדיניות זהב" המתאימה לכולם. לכל ארגון יש צרכים, חשיפה למידע אישי, היקף פעילות ומטרות שונים. לכן, השלב הראשון בהכנת מדיניות הפרטיות הוא מיפוי של הצרכים הייחודיים של הארגון, מערכותיו והשימושים השונים שהוא צפוי לעשות במידע.