נושאים חמים

מדיניות הפרטיות היא לא רק עניין טכני

שימוש במידע שנאסף על הגולשים באפליקציות אפשרי – אבל מחייב הסכמה למדיניות הפרטיות המוצהרת של האתרים. מהי מדיניות פרטיות, למה צריכים אותה ואיך היא יכולה לענות על דרישות החוק?

אילוסטרציה (ShutterStock)
(צילום: shutterstock)

אפליקציות ואתרים רבים אוספים ושומרים באופן יומיומי מידע על משתמשים. בסמכותה של הרשות למשפט וטכנולוגיה המשמשת כרשם מאגרי המידע, לסרב לרשום מאגר מידע, במקרים בהם פעילות חברה מעלה חשד שהמידע התקבל, נצבר או נאסף בניגוד לחוק הגנת הפרטיות. משמעותה של החלטה מסוג זה עלולה להוביל למחיקת המידע שנאסף ונצבר על משתמשים בישראל ובמקרים מסוימים אף לחסום את האפשרות להוריד את האפליקציה בישראל.

לקריאה נוספת:

עסקת אינטל מובילאיי: כל אחד מהיזמים יקבל מיליארד דולר
איכות חיים ויוקר מחיה בישראל: האם באמת כל כך רע לנו פה?
דו"ח השכר: איפה כדאי לעבוד בהיי טק או במגזר הציבורי?

סגירת פעילות של אפליקציה, היא רק אחת מהסכנות הטמונות בהתעלמות ממדיניות הפרטיות (Privacy Policy). מתברר כי איסוף ושימוש במידע פרטי שלא בהתאם לחוק הגנת הפרטיות יכול להוביל גם להסרה של האפליקציה מהחנות של גוגל. באחרונה החלה גוגל לפנות למפתחי אפליקציות בדרישה לאמץ מדיניות פרטיות לכל האפליקציות המוצעות בחנות האפליקציות של החברה – אחרת זמינותן בחנות תוגבל או שהן יוסרו ממנה כליל. החלטה זו משמעותית הן למפתחי האפליקציות – והן למשתמשים. מדיניות הפרטיות נועדה לאפשר למשתמש להבין איזה מידע נאסף עליו וכיצד עושים בו שימוש. מטרה נוספת, ומרכזית לא פחות, היא להגן על מפתחי האפליקציה מפני תביעות על פגיעה בפרטיות ושימוש בניגוד לחוק במידע שנאסף אודותיו.

בחלק מהמקרים, המפתחים משתמשים באתרים שמייצרים באופן אוטומטי "מדיניות פרטיות", על סמך רשימה סגורה של שאלות, כגון, איך המידע נאסף והאם המידע מועבר לצדדים שלישיים. אף שאתרים אלה מייצרים מסמך שנראה כמו מדיניות פרטיות, ספק אם הוא מעניק למפתחים את ההגנה הנדרשת מבחינה משפטית. יש לזכור כי תהליך יצירת מדיניות פרטיות חייב להיות מלווה בבחינת חוקיות איסוף המידע והטיפול בו, התייחסות לאפשרות של העברת מידע לצדדים שלישים, אימוץ עיקרון "צמידות המטרה" במסגרת השימושים במידע, אחסון המידע מחוץ לגבולות המדינה בהתאם לדין ועוד. החשש הוא שמדיניות פרטיות שנוצרה באופן אוטומטי, ללא בחינה משפטית של סוגיות אלה למול דרישות החוק, עלולה להותיר את מפתחי האפליקציות חשופים להליכים משפטים בגין פגיעה בפרטיות, גם במקרים שבהם קיימת מדיניות פרטיות באפליקציה.

חוק הגנת הפרטיות הישראלי, האמנה האירופית להגנה על הפרטיות והדרישות של נציבות הסחר הפדרלית בארה"ב – מקנים לכל אדם את הזכות לקבל דיווח על פרטי המידע הנשמרים אודותיו ועל השימוש שנעשה במידע שנצבר. מטרתה של מדיניות הפרטיות היא בין היתר, לממש זכות זו. סעיף 11 לחוק הגנת הפרטיות קובע, כי במסגרת איסוף מידע פרטי, על הגוף שמבקש מידע לציין את המטרה שלשמה נאסף המידע, למי יימסר המידע שנאסף וגם מה מטרת המסירה. הגדרה עמומה מדי של המידע שנאסף, דוגמת הנוסח "כל מידע פרטי", עלולה להשאיר את מפתחי האפליקציה חשופים לטענה שלא התקיימה הסכמה מדעת לאיסוף המידע, לכן יש צורך בפירוט מירבי של המידע שנאסף.

מלבד החובה לפרט איזה מידע פרטי נאסף, כדאי לפרט מה המידע שלכאורה אינו נכנס בגדר הגדרת מידע פרטי. למשל, כלפי מידע סטטיסטי או מידע לא מזוהה שנאסף במסגרת האפליקציה, אפשר לטעון כי לפחות חלק ממנו הפך למזוהה, או שניתן להפוך אותו למזוהה (באמצעות reverse engineering). כדי למנוע טענות מסוג זה, נדרש לפרט במסגרת מדיניות הפרטיות גם מהו המידע שלכאורה אינו מזוהה, כדי שהמשתמש ייתן את הסכמתו לאיסוף המידע והשימוש בו.

שאלות נוספות הדורשות תשובה במסגרת מדיניות הפרטיות הן - כיצד המידע מעובד; האם הוא מועבר לצדדים שלישים; איך הוא נשמר; ואיזה שימושים נעשים במידע, לרבות שליחת פרסומות או כל מידע אחר ממפתח האפליקציה או צדדים שלישים להם נמסר המידע.

עניין נוסף שנדרש להסדיר במסגרת מדיניות הפרטיות הוא זכות העיון במידע הנאסף. בהתאם לסעיף 13 לחוק הגנת הפרטיות נדרש לפרט כיצד המשתמש יכול לעיין במידע הנאסף אודותיו, ולבקש למחוק או לתקן אותו במקרים המתאימים. המשמעות היא שניסוח מדיניות פרטיות אינו עניין טכני, אלא נושא המחייב בחינה מהותית של חוקיות האיסוף והשימוש במידע. במקרים מסוימים ייתכן שעצם האיסוף או השימוש במידע לא עומדים בדרישות החוק - פגם שלא ניתן לתקן על ידי מדיניות פרטיות בלבד.

*עו"ד אלי ספרונג הוא שותף ומנהל מחלקת הייטק, עו"ד שירן יונה ניסנבוים מומחית בהגנת הפרטיות ואבטחת מידע. שניהם במשרד תדמור ושות' פרופ' יובל לוי ושות'