חוק הגנת הפרטיות, התשמ״א-1981, שונה לאחרונה במסגרת תיקון 13, אשר על פי רבים, "נועד להדגיש את חובת הגנת הפרטיות והמידע בעולם שבו הטכנולוגיה, מעקב והעיבוד הדיגיטלי מתפתחים בקצב מואץ". מהם אותם שינויים (והאם הם בכלל שינויים), כיצד הם קשורים לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 והאם התפיסה המשפטית/עסקית הרווחת לפיה די בהצגת מסמך "מדיניות פרטיות" באתר האינטרנט היא מוצדקת?
תיקון 13
בקצרה, תיקון 13 הרחיב את סמכויות הרשות להגנת הפרטיות כגון: הסמכות להורות על הפסקת עיבוד, להטיל אמצעי אכיפה, ולהטיל עיצומים כספיים. לפי התיקון, קבועה חובת מינוי ממונה הגנת הפרטיות בגופים רבים, וקיימת חובת פיקוח של דירקטוריון חברה במצבים מסויימים. בנוסף, עודכנו הגדרות מהותיות, צומצמה חובת הרישום של מאגרי מידע לחלק מהגופים, והודגשו זכויות נושאי המידע.
מה לא חידש תיקון 13? ראשית, סעיף 11 לחוק הגנת הפרטיות תמיד היה קיים ותמיד הדגיש את החובה ליידע את נושאי המידע אודות פרטים מסויימים בנוגע למידע והשימוש בו לפני איסוף המידע. בנוסף, החובות הקבועות בתקנות הגנת הפרטיות (אבטחת מידע) אשר תוקנו בשנת 2017(!) קבעו חובות באבטחת מידע שלמעשה לא שונו רבות. כלומר תיקון 13 לא חידש רבות בדבר יישום החובות הפרקטיים שתכליתן הגנת הפרטיות.
הקשר לתקנות אבטחת המידע
כל תיקון שנעשה בחוק הגנת הפרטיות יש לקרוא תמיד בהקשר של תקנות אבטחת המידע, שהן בסיס מקובל לניהול סיכוני פרטיות ומחייבות בעלי מאגרי מידע ליישם מדיניות, נהלים, מיפוי מאגרים, דירוג רמת אבטחה (בסיסית, בינונית, גבוהה) וליישם אמצעי בקרה מתאימים. מעבר על תקנות הגנת הפרטיות (אבטחת מידע) מדגישות באופן מובהק כי "הכנת מדיניות פרטיות לאתר" אינה פעולה מספקת ובטח שאינה מהווה ראיה לכך שהארגון מנהל את המידע אותו הוא אוסף באופן מבוקר, אחראי ובהתאם להוראות החוק.
מדיניות פרטיות – לא רק לאתר
כאמור, מדיניות פרטיות מהווה (ברוב המקרים) הודעה לנותן מידע אישי לפי סעיף 11 לחוק. כלומר, המדיניות איננה רק מסמך שנועד רק לגולשי האתר. מדובר במסמך שחייב להיות מוצג לכל אדם לפני שהוא מוסר מידע ולכן רלוונטי גם עבור לקוחות שפונים טלפונית, בווטסאפ, בפגישה פרונטלית או בכל ערוץ אחר.
מדיניות הפרטיות היא הבסיס החוקי שמכשיר את איסוף המידע, מיידע אודות מטרות האיסוף, מפנה את הלקוח לזכויותיו בנושא ומשמש כתנאי מוקדם לחוקיות כל עיבוד מידע. בהיעדר הצגה של המדיניות למוסר מידע, הארגון עלול להימצא כאוסף מידע שלא כדין, גם אם באתר עצמו מפורסם מסמך מלא ומרשים. הגישה הנכונה היא לראות במדיניות הפרטיות כלי אופרטיבי שמלווה את כל נקודות המגע עם הלקוח, ולא מסמך דקורטיבי שמוטמע רק באתר. רק כך ניתן לוודא כי איסוף המידע מבוצע בצורה תקינה אשר תואמת את תכליות החוק.
ניהול פרטיות מפרספקטיבת המאגר
לבסוף, ראוי להדגיש נושא הפרטיות בעסק צריך להיות מטופל מהפרספקטיבה של מאגר המידע - לא כדרישה לחזות או מצג שווא של הסדרת הפרטיות, אלא חתירה אמיתית לאסוף מידע למטרות מסויימת, להימנע מאיסוף מידע חורג או שאינו דרוש למטרות, להימנע מהעברת המידע שלא כדין והכל תוך שמירה על זכויות בעלי המידע אשר על פי רוב הם הלקוחות שלנו. זוהי הגישה המייצרת ציות אמיתי לחוק הגנת הפרטיות.
רוצה להבין איך תיקון 13 משפיע על העסק שלך בפועל?
אם יש לך מאגר מידע - האחריות כבר אצלך, גם אם אף אחד לא סיפר לך את זה. בפגישה קצרה אראה לך מה באמת נדרש כדי לעמוד בחוק, איך להפסיק לסמוך על "טלאי על גבי טלאי" כמו מדיניות הפרטיות של האתר ואיך לייצר מסגרת ציות אמיתית שמגנה עליך משפטית ומאפשרת לעבוד בראש שקט.