top image

מדיניות פרטיות באתר אינטרנט: לא הצהרה, אלא התחייבות

ניהול העדפות Cookies: תפקודי, אנליטי, שיווקי – מסך הגדרות פרטיות באתר אינטרנט לפי תיקון 13 לחוק הגנת הפרטיות

בחודשים האחרונים, חלה “התפוצצות” של חברות, יועצים ומדריכים, המציעים לכתוב מדיניות פרטיות עבור אתרי אינטרנט. עם החלת תיקון 13 לחוק הגנת הפרטיות, התשמ”א-1981, מילות החיפוש “מדיניות פרטיות”, “נוסח חינם למדיניות פרטיות”, או “נוסח GDPR לפרטיות”, הפכו להיות נפוצים. גם חברות המשווקת סרגלי נגישות או של מדיניות פרטיות החלו לפנות באופן יזום ולהפחיד מנהלים, לצורך התקנת תוספים. אלא שמבט זהיר מגלה כי אין קשר בין הצהרת מדיניות הפרטיות שבאתר, לבין אופן הפעילות של הגוף מבחינת מטרות איסוף המידע, עיבוד המידע, אינטגרציות עם צדדים ג’, שמירה ומחיקה, ומנגנוני המענה לזכויות נושאי המידע. נדגיש: תיקון 13 לחוק הגנת הפרטיות, לא עוסק באתר האינטרנט שלכם; תיקון 13 עוסק בחובות הגוף המסחרי או הציבורי, כמי שאוסף, מעבד, משתמש ומעביר מידע, ובזכויות נושאי המידע. את תיקון 13 לא מעניינת ההצהרה שלכם באתר האינטרנט, אלא את יישום החובות בפועל. לכן, אם מדיניות הפרטיות שלכם אינה משקפת ומתאימה לחובותיכם בדיני הגנת הפרטיות – אתם חשופים, משמעותית.

מהי מדיניות פרטיות?

התחייבות חוזית וחוקית, לא דף תדמיתי

מדיניות הפרטיות היא התחייבות פומבית של בעל המאגר כלפי המשתמשים, החייבת לפרט מטרות איסוף, סוגי נתונים (נמסרים יזום לעומת טכניים דוגמת IP, Cookies, מזהי מכשיר ונתוני ביצועים), כלי איסוף (טפסים, הרשמות, רכישות, CRM, אנליטיקה ותוספים), מטרות עיבוד (שירות, קשרי לקוחות, ציות, אבטחה, שיפור ושיווק מותר), מסגרות שיתוף והעברה (לרבות לחו״ל והמנגנונים המגנים), מחזור חיי המידע (מיקומים, שמירה ומחיקה), וזכויות נושאי המידע וערוצי המימוש.

מדיניות הפרטיות, מבחינה משפטית, היא התחייבות חוזית חד-צדדית. עליה לכלול את מטרות איסוף המידע, את סוגי המידע הנאסף (מידע שנמסר יזום על ידי המשתמש לעומת מידע טכני כגון כתובת IP, מזהי Cookies, זהויות מכשיר, נתוני ביצועים וזמני תגובה), של כלי האיסוף (טפסי “צור קשר”, הרשמות לניוזלטר, רכישות מקוונות, מערכות CRM, אנליטיקה, תוספים ושירותי ענן), של מטרות העיבוד (מתן שירות, ניהול קשרי לקוחות, עמידה בחובות שבדין, אבטחת מידע, שיפור השירות, שיווק ישיר וכיוצ”ב), של מסגרות ההעברה לצדדים שלישיים (ספקי תשתית, גופים מסחריים, נותני שירותי עיבוד, העברה לחו”ל ומנגנוני ההגנה החלים עליה), ושל אופן ניהול מחזור חיי המידע (מעמד, מיקומי אחסון, תקופות שמירה ומדיניות מחיקה), ושל הזכויות של נושא המידע לפנות אל הגוף.

תיקון 13: חובת הדיווח על פרטיות

תיקון 13 לחוק קבע, לראשונה, מנגנוני פיקוח, אכיפה ועיצומים כספיים, והגדיר חובות מהותיות על בעלי מאגרי מידע ומחזיקים בו. בכלל זאת, חובת שקיפות וגילוי נאות בעת איסוף מידע; החובה לקבוע נהלי עיבוד, שמירה ובקרה פנימיים; החובת למיפוי סיכונים; חיוב גופים מסוימים למנות ממונה הגנת פרטיות (Data Protection Officer); וסמכות לרשות להגנת הפרטיות להטיל עיצומים כספיים משמעותיים על גופים שיפרו את הוראות החוק.

תיקון 13 לא הרחיב רק את חובת השקיפות, אלא הוא שינה את הפרדיגמה: מהצהרה בעלמא אל ממשל של ציות. התוצאה היא כפולה: ראשית, המדיניות כבר איננה “טקסט אתר” אלא נדבך אחרון של מערכת ציות ארגונית; ושנית, טקסט שאינו מגֻבּה במנגנוני אבטחה, הרשאות גישה, קטלוג עיבודים, נהלי מענה לזכויות, בקרת ספקים והעברות לחו”ל – הוא לא רק בלתי מספק; הוא מטעה. משמעות הדברים היא שמדיניות פרטיות איננה עומדת עוד בפני עצמה – היא חייבת להיות נגזרת ישירה של מערכת ניהול פרטיות ארגונית. מדיניות שאינה משקפת מערכת זו תיחשב כמדיניות פגומה, מטעה, ואף ככזו היוצרת מצג שווא באשר לעמידת הגוף בחוק.

במילים פשוטות יותר: אם המדיניות מצהירה כי “המידע נשמר למשך 12 חודשים ונמחק“, אך בפועל המידע נשמר ללא הגבלת זמן; אם נטען כי “אין העברת מידע לצדדים שלישיים”, אך הוטמע באתר פיקסל פרסומי המעביר מידע לצד ג’; אם הוצהר כי “מימוש זכות לעיון אפשרי בתוך 30 יום“, אך אין לארגון תהליך ארגוני/תפעולי לכך – הרי שיש הפרה של חובה חוקית מצד בעלי האתר.  שילוב המרכיבים לכדי מדיניות פרטיות חייבת להיות מעוגנת למציאות בנהלי עבודה, תהליכים, הסכמים, ועוד.

מבנה ותוכן של מדיניות פרטיות ראויה

מדיניות פרטיות תקינה ומדויקת תכלול, בדרך כלל, את הנושאים הבאים:

  • זהות בעל האתר.

  • מטרות איסוף והשימוש במידע, באופן ספציפי ובהתאם לעקרון המידתיות.

  • סוגי המידע הנאסף, בין אם מדובר במידע הנמסר ישירות ובין אם נאסף אוטומטית באמצעות כלים טכנולוגיים.

  • הבסיס החוקי לעיבוד: האם חלה חובה חוקית למסור מידע, או שמסירת המידע תלויה ברצונו ובהסכמתו. בנוסף, מהי התוצאה של אי ההסכמה למסירת המידע.

  • מדיניות שיתוף והעברה לצדדים שלישיים, לרבות לחו”ל, ותיאור מנגנוני ההגנה על המידע.

  • אבטחת מידע – הצהרה על נקיטת אמצעים טכנולוגיים וארגוניים סבירים לשמירה על המידע.

  • זכויות נושאי המידע, לרבות זכות עיון במידע אישי (סעיף 13), הזכות לתיקון מידע (סעיף 14), ודרכי הגשת תלונה.

  • שימוש ב-Cookies ובכלים אנליטיים, בציון מטרותיהם ואופן ביטולם.

  • תקופת שמירת המידע והקריטריונים לקביעתה.

  • עדכון המדיניות – תאריך עדכון אחרון והתחייבות לפרסום גרסאות מעודכנות.

סוגיות במדיניות פרטיות

בין הצהרה לבין יישום

אחת התופעות המדאיגות ביותר היא הנטייה הרווחת של גופים (לרבות עמותות, עסקים קטנים ובינוניים, תאגידים עירוניים ואף רשויות מקומיות), להוסיף לאתר האינטרנט שלהם “מדיניות פרטיות” – לעיתים קרובות מסמך מועתק מאתר אחר, “העתק-הדבק” – מבלי לוודא כי קיימת התאמה בינו לבין הפעילות האמיתית של הגוף. כך, לדוגמה, אתר מצהיר כי הוא “שומר בקפדנות על פרטיות המשתמשים ואינו משתף מידע עם צדדים שלישיים“, בעוד שבפועל הוא עושה שימוש קבוע במערכות מעקב, פרסום וניתוח נתונים חיצוניות (כגון Meta Pixel, Google Analytics או מערכות CRM בענן).

Cookies, כלי מעקב ושקיפות טכנולוגית

המדיניות אינה מחייבת לפרט באתר האינטרנט כל מזהה טכני. אך הוא דורש שקיפות: אם נעשה שימוש ב-Cookies תפקודיים, אנליטיים או שיווקיים; אם ישנו שימוש במשואות רשת, מזהי פרסום, SDK-ים של אפליקציות, או אינטגרציות עם פלטפורמות חיצוניות – על המדיניות לציין זאת, להסביר את הייעוד ולהציע שליטה סבירה, בין אם דרך הגדרות הדפדפן, בין אם באמצעות כלי ניהול העדפות באתר עצמו, ובין אם על דרך קישור למדיניות פרטיות של ספקי הצד השלישי הרלוונטיים. אולם גם כאן, ציון מדיניות צד ג’ אינה פוטרת מקיום הוראות הדין. הארגון הוא בעל השליטה, ועליו לוודא שמערכות אלה הוטמעו בהתאם לדין, לרבות בהיבטי העברה מחוץ לישראל ולרבות באמצעות.

ביטול הסכמה, מימוש זכויות, ועדכון מדיניות

משטר הפרטיות הישראלי, המושפע מהמשטר האירופי (GDPR), רואה בזכויות נושאי המידע – עיון, תיקון, התנגדות לעיבוד, ומחיקה במקרים המתאימים – חלק אינטגרלי מהסדר בדיני הפרטיות. המדיניות אינה יכולה להותיר את המשתמש לנחש כיצד יוכל לממש זכויותיו; עליה לציין כתובת של הגורם האחראי , ערוצי התקשרות בהירים ומועדים סבירים למענה (שלא יעלו על המועדים שצויינו בחוק). בדומה, היכולת של הארגון לעדכן מדיניות אינה “שטר פתוח”: ניתן ורצוי להודיע על עדכונים מהותיים בערוצים מתאימים, לציין מועד עדכון בראש העמוד, ולפרוס בקצרה את משמעות השינוי.

אחסון, שיתוף והעברה

במציאות של שירותי ענן, סביבות SaaS, ספקי אנליטיקה, מערכות דיוור ומסלקות תשלומים, השאלה איננה רק היכן מאוחסן המידע גיאוגרפית, אלא מהם מנגנוני ההגנה החלים עליו, אילו הסכמי עיבוד מידע (DPA) נערכו, וכיצד מנוהלת בקרת גישה והפרדת תפקידים. מדיניות אחראית לא תסתפק באמירה כללית על “שרתי ספק מאובטחים מאחורי חומת אש”, אלא תבהיר כי מתקיימים אמצעים ארגוניים וטכנולוגיים סבירים (הצפנה, ניהול זהויות והרשאות, רישום גישה, בדיקות חדירה לפי הצורך), וכי שיתופי פעולה עם צדדים שלישיים נעשים תחת מסגרת חוזית מתאימה ועל בסיס דין החל על העברה בינלאומית, ככל שישנה.

הסיכון שבהעתקה, הפיתוי שבקיצור והחובה שבייחודיות

דף מדיניות פרטיות גנרי מוכן, הנראה “מקצועי” – למה לא להעתיק (או לאמץ)? אך מדיניות פרטיות שאינה ייחודית פוגעת דווקא במקום שבו נדמה שהיא מגינה: בשעת פיקוח או טענה, מתגלה כי היא איננה משקפת דבר, ולעיתים אף שמקורה באתר זר שאינו כפוף לדין הישראלי. במקום זה, יש לאמץ עמדה מקצועית: המדיניות נולדת מתוך תהליך – מיפוי עיבודים, קטלוג מערכות, זיהוי נקודות איסוף ושיתוף, קביעת זמני שמירה ומדיניות מחיקה, והגדרת תהליכי מענה לזכויות – ורק אחריו, ולא לפניו, מתעצבת הצהרת השקיפות לציבור. כל שימוש בדוגמאות (כגון אלו שהבאת: פירוט סוגי המידע, דוגמאות ניסוח לאופן האיסוף, מטרות, מסגרות אחסון ושיתוף, תיאור ערוצי תקשורת, Cookies, ביטול הסכמה, עדכון מדיניות ופרטי קשר) צריך להיות “חומר גלם לפרסונליזציה” – לא מקור להעתקה.

אנחנו ממליצים שלא להעתיק את מדיניות הפרטיות. זו טעות להצהיר כי “אתר האינטרנט מתארח בפלטפורמה X ולכן המדיניות של X חלה עלינו” מבלי לבדוק את ההתקשרויות בפועל, את מיקומי האחסון ואת הדין החל; או להצהיר כי “האתר מסתמך על סביבות PCI-DSS לצרכי תשלומים“, אם אין כלל סליקה באתר. ואין זה תקין להבטיח עמידה תקני אבטחת מידע, כאשר אין כל תהליך ארגוני לניהול, לשמירה, או לעיבוד.

מדיניות פרטיות מדויקת

המסגרת של המדיניות צריכה להיות מסגרת נכונה ומדויקת, ולא “רשימת מכולת”. כך, כאשר גוף מציין מהו המידע הנאסף, עליו להבדיל בין נתונים שמסרו משתמשים ביוזמתם (שם, דוא”ל, טלפון, כתובת, השארת פרטים ליצירת קשר, אמצעי חיוב לתשלום מקוון) לבין נתונים טכניים שנאגרו באופן אוטומטי (כתובת IP, נתוני דפדפן ומכשיר, זמני תגובה וניווט); כאשר הוא מפרט כיצד נאסף המידע, עליו להנכיח את כל נקודות האיסוף – טפסים, תשלומים, הרשמות, קבצי לוג ותוספים. כאשר הגוף מודיע על מטרות איסוף המידע, לשם הדוגמה, עליו לקשור כל תכלית לבסיס החוקי המתאים, ולפרוס מנגנוני יציאה (Opt-out) פשוטים ונגישים בכל עת.

אחריות מוגברת במגזר הציבורי ובעמותות

במרחבים שבהם המידע נוגע לאזרחים כתושבים, כהורים, כתלמידים או כמקבלי שירותים חברתיים, דרישות השקיפות והמינהל התקין מודגשות שבעתיים. רשויות מקומיות, תאגידים עירוניים ועמותות הפועלות עם קטינים ועם אוכלוסיות רגישות נדרשות, מעצם תפקידן הציבורי, לכללי זהירות מוקפדים, למינוי גורם אחראי (DPO במקרים הקבועים), ולביקורות תקופתיות.

מתודולוגיית עבודה נכונה ביצירת מדיניות פרטיות

הדרך הבטוחה לנסח מדיניות פרטיות שאיננה מסַכֶּנֶת אלא מגינה, עוברת בסדר הפעולות הבא: ראשית, מיפוי נתונים רוחבי (Data Mapping) המונה כל נקודת איסוף, שימוש, העברה ושמירה, לרבות קטלוג מערכות, ספקים ותוספים; שנית, הערכת סיכונים איכותית וכמותית לפי רגישות המידע והשלכות דליפה או שימוש לא מורשה; שלישית, גיבוש נהלי אבטחת מידע והגבלת גישה, תיעוד עיבודים ותהליכי מענה לזכויות; רביעית, הסדרה חוזית עם מעבדי משנה והגנות על העברות לחו”ל; ורק חמישית, ניסוח מדיניות פומבית נקייה, שקופה ומדויקת, המאגדת את הממצאים ומציגה אותם לציבור בשפה ברורה, עשירה אך לא מטעה. המדיניות איננה התחלה אלא סוף תהליך.

לסיכום 

“מדיניות פרטיות” באתר האינטרנט, כשלעצמה, איננה מעניינת. מדיניות פרטיות איננה יכולה עוד להיכתב כמעין כיסוי משפטי שאיננו משקף את המציאות; היא נדרשת לשקף נאמנה את התנהלות הגוף בכל הנוגע לאיסוף, שימוש, שימור, העברה ואבטחה של מידע אישי, ולבטא את קיומם של מנגנוני בקרה, תיעוד וציות פנימיים, כפי שמחייב חוק הגנת הפרטיות שלאחר תיקון 13. אי-התאמה בין המדיניות הכתובה לבין ההתנהלות בפועל איננה רק טעות ניסוחית, אלא עלולה להיחשב להטעיה צרכנית, להפרת חובה חקוקה, ולגרור אחריה סנקציות אזרחיות, מנהליות ואף פליליות, הכל בהתאם לנסיבות.

משרד וולר ושות’ עורכי דין מלווה גופים ציבוריים, עמותות ועסקים בהטמעת מערכי פרטיות: מיפוי מאגרי מידע, בניית נהלי אבטחת מידע והגנת הפרטיות, הסדרת הסכמי עיבוד, מינוי ממונה פרטיות DPO, הכשרת עובדים ומנהלים, הקמת מנגנוני מענה לזכויות, ולבסוף – ניסוח מדיניות פרטיות שהיא שקופה, עקבית ונאמנה למציאות. כך, ורק כך, עומדים בדרישות החוק, ומקטינים סיכונים. לתיאום פגישת היכרות, פנו עוד היום.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign