מבוא: למה מדיניות פרטיות היא חובה?
מדיניות הפרטיות היא מסמך חובה למעשה בכל אתר שאוסף מידע אישי מהמשתמשים, ובמיוחד באתרי מסחר אלקטרוני. בישראל, הדרישות לעיצוב מדיניות פרטיות מגיעות מחוק הגנת הפרטיות, תשמ"א-1981 ותקנותיו, ובעיקר תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.
בעידן הנוכחי, בו רגולטורים אוכפים הגנת פרטיות בחומרה, אתר ללא מדיניות פרטיות חשוף לסנקציות ואף לקנסות מנהליים.
מה החוק דורש לציין?
על פי חוק הגנת הפרטיות, בעל מאגר מידע חייב ליידע את נושא המידע בדבר כמה דברים עיקריים בעת איסוף מידע:
1. מאגר המידע
האם המידע יישמר במאגר מידע, ובפרט אם המאגר רשום בפנקס מאגרי המידע (כמתחייב בחוק מעל כמות נתונים מסוימת).
2. מטרות איסוף המידע
מהן מטרות איסוף המידע והשימוש בו – למשל: לצורך משלוח המוצרים, שיפור השירות, דיוור פרסומי וכדומה. החוק מחייב שימוש במידע רק למטרה שלשמה נאסף, לכן יש לפרט את כל המטרות.
3. חובה חוקית למסירת מידע
האם חלה חובה חוקית למסור את המידע – יש לציין אם יש מידע שהמשתמש חייב למסור על פי חוק או שאינו חייב.
4. מסירת מידע לצד שלישי
למי יימסר המידע – פירוט גורמים שלישיים שמקבלים את המידע ולאילו מטרות. למשל: "המידע יימסר לחברת השילוח לצורך אספקת ההזמנה, ולחברת הסליקה לצורך חיוב, וכן לרשויות אם החוק יחייב זאת".
5. זכות העיון והעדכון
החוק מקנה לכל אדם את הזכות לבדוק איזה מידע שמור עליו במאגר, ולדרוש תיקון או מחיקה של מידע שגוי. במדיניות חובה להסביר שלמשתמש יש זכות לעיין במידע האישי עליו, וכיצד הוא יכול לממש זכות זו.
נקודות שחובה לכלול במדיניות פרטיות
פרטי בעל המאגר/האתר
שם החברה או בעל האתר, כתובת, דוא"ל וטלפון ליצירת קשר בענייני פרטיות. אם מונה קצין פרטיות (DPO) – לציין את שמו ופרטי הקשר.
אילו מידע נאסף
יש לחלק לפי קטגוריות:
- מידע שהמשתמש מוסר אקטיבית: שם, כתובת, אימייל, טלפון, פרטי תשלום
- מידע הנאסף אוטומטית: כתובת IP, נתוני דפדפן, עוגיות
- מידע ממקורות צד ג': התחברות דרך רשת חברתית, נתונים משותפי פרסום
עוגיות (Cookies) וטכנולוגיות מעקב
כמעט כל אתר משתמש בקוקיז. המדיניות צריכה להסביר:
- שהאתר משתמש בקובצי עוגיות
- איזה סוגים (עוגיות חיוניות, אנליטיקה, פרסום)
- מה עושים עם הנתונים הנאספים
- כיצד המשתמש יכול לנהל או למחוק עוגיות
אבטחת מידע
תקנות אבטחת המידע דורשות מבעל האתר ליישם אמצעים לשמירת אבטחת המידע. במדיניות הפרטיות יש לציין שהאתר נוקט צעדים סבירים לאבטחת המידע האישי, כגון:
- שימוש בהצפנת SSL
- שמירת נתוני כרטיסי אשראי אצל ספק מוסמך
- הגבלת גישה לעובדים מורשים בלבד
שמירת מידע והעברה לחו"ל
רצוי לכלול מידע לכמה זמן נשמר המידע, למשל: "מידע אישי יישמר כל עוד הוא נחוץ לקיום המטרות שלשמן נאסף, או כנדרש על פי דין – ואחר כך יימחק או יעבור אנונימיזציה".
אם האתר שומר מידע בשרתים מחוץ לישראל או מעביר מידע לחו"ל (נפוץ כיום בענן), חשוב לציין זאת במפורש.
סיכום
מדיניות פרטיות טובה כתובה בשפה ברורה ולא משפטית מדי, כך שמשתמש סביר יבין מה נעשה במידע שלו. היא צריכה לכלול:
- פרטי בעל האתר ודרכי יצירת קשר
- סוגי המידע הנאסף ומטרותיו
- מסירת מידע לצדדים שלישיים
- שימוש בעוגיות וטכנולוגיות מעקב
- אמצעי אבטחת המידע
- זכויות המשתמש וכיצד לממש אותן
כלי ליצירת מסמך זה צריך לוודא שכל הנקודות הללו מכוסות במסמך המופק.