מדיניות פרטיות היא לא תוכנית פרטיות - מה העסק שלכם באמת צריך לעשות

כשעסקים מוסיפים מדיניות פרטיות לאתר, רבים מהם מרגישים שסגרו את הנושא. מילאו חובה, עברו הלאה. אבל מדיניות פרטיות היא חלק אחד מהעמידה בחוק - לא כולה.

תפקידה של המדיניות הוא לתאר בשפה פשוטה וברורה את מה שקורה בפועל עם המידע של המשתמשים: מה נאסף, לשם מה, למי מועבר, ומה זכויותיהם. מה בדיוק חייבת לכלול מדיניות פרטיות לפי תיקון 13 - זה נושא בפני עצמו. אבל גם מדיניות מושלמת שנכתבה בקפידה אינה מחליפה את מה שחייב לקרות בתוך העסק: מיפוי תהליכי המידע, בניית מסמך הגדרות המאגר, ועמידה בתקנות אבטחת המידע - כל אלה חובות חוקיות עצמאיות, לא המלצות.

המאמר הזה לא בא לאיים ולא לרשום רשימת משימות. הוא בא לתת מסגרת - כלים מושגיים שיעזרו לכם לחשוב על פרטיות כתהליך ניהולי, לא כמסמך.

פרטיות היא הרבה יותר ממסמך אחד

דמיינו שמישהו שואל: "מה הפרטיות שלכם?" ואתם מצביעים על עמוד האתר. זה קצת כמו לשאול "מה הכספים שלכם?" ולהראות קבלה אחת.

מדיניות הפרטיות היא הפנים הגלויות. אבל פרטיות מורכבת ממכלול של תחומים, שכל אחד מהם מגן על המידע מזווית אחרת:

מיפוי ותיעוד המידע (מה אוספים, לשם מה, לאן מועבר), ניהול הסכמות ויידוע, זכויות נושאי מידע כמו עיון ותיקון, אבטחת מידע ומניעת פרצות, ניהול ספקים וצדדים שלישיים, העברת מידע מחוץ לגבולות, שמירת מידע ומחיקה מסודרת, ובניית פרטיות בתוך מוצרים ותהליכים - לא רק מסביבם.

כל אחד מהתחומים האלה יכול להיות פשוט או מורכב בהתאם לסוג העסק. אבל בשביל להבין את הנוף, כדאי להתחיל עם שלושה מושגים שמחברים את כל זה יחד.

שלושה מושגי ליבה שכדאי להכיר

צמידות מטרה - לשם מה בכלל אספנו את זה?

צמידות מטרה הוא עיקרון פשוט: ככלל, מידע שנאסף למטרה אחת לא ישמש למטרה אחרת ללא בסיס מתאים - בין אם הסכמה תקפה, בין אם הסמכה אחרת בדין.

אם לקוחות מסרו כתובת מייל כדי לקבל חשבונית, לא ניתן לצרף אותם אוטומטית לרשימת תפוצה שיווקית. אם אספתם טלפון לצורך אימות, הוא לא עובר לשימוש במוקד מכירות - אלא אם ניתנה הסכמה לכך.

הרעיון נשמע ברור, אבל בפועל הוא מצריך תשומת לב בכל נקודה שבה מידע נאסף. לפי תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, חובת היידוע מחייבת לפרט את מטרת האיסוף בזמן האיסוף - ולא רק בעמוד מדיניות הפרטיות הכללי.

מה זה אומר בפועל: יידוע ברור צריך להינתן בזמן האיסוף - אבל זה לא אומר שכל טופס צריך לכלול טקסט נפרד ומפורט. בפועל, במקרים רבים, הפניה ברורה ונגישה למדיניות הפרטיות בנקודת האיסוף יכולה לסייע בעמידה בחובת היידוע, כל עוד מדיניות הפרטיות עצמה כוללת את הפרטים הנדרשים: לשם מה נאסף המידע, למי הוא עשוי להימסר, האם מסירתו חובה או תלויה ברצון המשתמש, ומה המשמעות של אי-מסירתו. כאשר האיסוף או השימוש נשענים על הסכמה, יש לוודא שההסכמה מתקבלת באופן מתאים ומתועד - למשל, דרך תיבת סימון עם קישור למדיניות - ולא בהצהרה גורפת בתחתית העמוד.

מעגל חיי המידע - מאיפה המידע מגיע, ולאן הוא הולך?

מעגל חיי המידע (Data Lifecycle) הוא הדרך לחשוב על מידע לא כ"קובץ שיושב שם" אלא כתהליך שיש לו התחלה, אמצע וסוף.

שלבי המעגל:

• איסוף - מי אוסף, מה אוסף, ואיפה (טפסים, אפליקציה, מערכת CRM, קובץ אקסל ישן שמתגלה בגיליון 3)
• עיבוד ושימוש - מה עושים עם המידע? מי בעסק ניגש אליו?
• שיתוף ומסירה - לאיזה ספקים, מערכות, גופים חיצוניים המידע עובר?
• שמירה - כמה זמן שומרים? בשרת פנימי? בענן? באיזו מדינה?
• מחיקה - מה קורה כשהמידע כבר לא נדרש? האם יש תהליך מסודר למחיקה?

כשחושבים על מעגל חיי המידע, שאלות שנראות טריוויאליות מקבלות פתאום משמעות: האם אנחנו עדיין שומרים פרטי לקוחות מ-2018? מי בעסק יכול לראות את רשימת הלידים? האם הספק שלנו מאחסן מידע בחו"ל?

עיצוב לפרטיות (Privacy by Design) - פרטיות שנבנית פנימה, לא מסביב

Privacy by Design הוא עיקרון שאומר: שיקולי פרטיות צריכים להיבנות לתוך המוצר, השירות, או התהליך - לא להתווסף עליו כמו מדבקה.

בפועל זה אומר: כשבונים טופס הרשמה - ממיינים מה באמת צריך לשאול (ולא "יש שדה, נמלא"). כשמוסיפים תוסף חדש לאתר - שואלים מה הוא אוסף ומאין הוא מגיע. כשמתכננים מערכת CRM - קובעים מראש מי ניגש לאיזה שדה.

הרעיון הוא גם לאסוף רק את המידע שבאמת צריך - לא את כל מה שאפשר. לדוגמה: אם יש בטופס שדה של תאריך לידה, שווה לעצור ולשאול - למה אנחנו צריכים את זה? אם המטרה היא לדעת את הגיל, אולי מספיק לבקש שנת לידה בלבד. ואם כל מה שצריך לדעת זה שהמשתמש מעל גיל 18, שאלה פשוטה עם כן/לא מספיקה לגמרי. הרבה שדות בטפסים קיימים כי "תמיד היה ככה" - לא כי באמת צריך אותם.

חשוב להדגיש: עיצוב לפרטיות (Privacy by Design) אינו מנוסח כיום כחובה כללית ועצמאית בחוק הישראלי (כמו ב־GDPR), אבל הוא משקף פרקטיקה נכונה לניהול מידע, לצמצום מידע עודף ולהקטנת סיכוני פרטיות ואבטחת מידע.

הצעד הראשון שמעט עסקים עושים: מיפוי מידע

לפני כל מסמך, לפני כל הכשרה, ולפני כל שיחה עם עורך דין - צריך להבין מה בכלל קורה.

מיפוי מידע הוא תהליך שבו מתעדים:

• איזה מידע נאסף - שם, טלפון, אימייל, כתובת, מידע בעל רגישות מיוחדת (בריאות, דת, מצב פיננסי)?
• כיצד הוא נאסף - טפסים? רכישה? שיחה? קבצים שמתקבלים במייל?
• לשם מה - הצהרה מפורשת לכל סוג מידע
• מי בעסק ניגש אליו - מי בכלל יכול לראות מה?
• לאיזה ספקים הוא עובר - מערכת דיוור, CRM, Google Analytics, שרת אחסון
• איפה הוא מאוחסן - ישראל? ענן בחו"ל? מחשב שולחני שמישהו שמר עליו?
• כמה זמן שומרים אותו

התהליך הזה לא מחייב כלים מורכבים. גם טבלה פשוטה יכולה לשרת כנקודת התחלה. המטרה היא להבין את מה שקיים לפני שמנסים לנהל אותו.

מסמך הגדרות המאגר - מסמך חובה שרוב העסקים לא מכירים

לאחר שעורכים מיפוי ראשוני, הצעד הבא הוא בניית מסמך הגדרות המאגר. זהו מסמך פנימי חובה לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. מדיניות הפרטיות שמפרסמים באתר נגזרת ממנו ומהתהליכים האמיתיים - כלומר, הסדר הנכון הוא: קודם ממפים את תהליכי המידע, ורק אז כותבים את המדיניות שתתאר אותם. בפועל רבים עושים את ההפך - כותבים מדיניות ומניחים שזה מספיק.

מסמך הגדרות המאגר מגדיר, עבור כל מאגר מידע בעסק, את הפרטים הבאים (לפי תקנה 2):

• תיאור כללי של פעולות האיסוף והשימוש במידע
• מטרות השימוש במידע
• סוגי המידע הכלולים במאגר
• פרטים על העברת המידע מחוץ לישראל או שימוש בו מחוץ לישראל
• פעולות עיבוד מידע המבוצעות באמצעות מחזיק חיצוני (ספק צד שלישי)
• הסיכונים העיקריים לאבטחת המידע ואופן ההתמודדות עמם
• שמות בעל השליטה על המאגר, מחזיקים שמעבדים מידע במאגר, הממונה על אבטחת מידע - אם מונה

בפועל כדאי לכלול במסמך גם את סיווג רמת האבטחה של המאגר, אף שאינה פריט עצמאי בנוסח תקנה 2, משום שהסיווג קובע איזו רמת חובות מעשיות תחול על העסק.

את המסמך יש לעדכן בכל שינוי משמעותי בנושאים הכלולים בו, ולבחון לפחות אחת לשנה אם יש צורך בעדכון, בין היתר בעקבות שינויים טכנולוגיים, שינויים ארגוניים או אירועי אבטחה.

תקנות אבטחת מידע: החובות שחלות גם עליכם

תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, הן תקנות מחייבות מכוח חוק הגנת הפרטיות, שמגדירות כיצד עסקים בישראל נדרשים להגן על מידע במאגריהם. הן אינן חדשות - הן בתוקף מאז 2018 - ומי שלא שמע עליהן עדיין, ככל הנראה לא ידע שהן חלות גם עליו. התקנות חלות באופן רחב על המשק הישראלי, אך היקף החובות משתנה לפי סוג המאגר, רמת האבטחה והחריגים הרלוונטיים.

מאגר מנוהל בידי יחיד - קטגוריה בפני עצמה

לעצמאים ולבעלי עסקים קטנים יש הקלה משמעותית: אם מאגר המידע מנוהל על ידי בעל העסק בעצמו (או חברה שהוא הבעלים היחיד שלה), ולמאגר ניגשים לכל היותר שלושה אנשים בסך הכל, המאגר מוגדר כ"מאגר מנוהל בידי יחיד" ואליו חלות חובות מופחתות.

שימו לב: הגדרה זו לא חלה אם יש יותר משני אנשים מורשים מעבר לבעל העסק, אם מטרת המאגר היא מסירת מידע לאחרים כדרך עיסוק, או אם המאגר כולל מידע על יותר מ-10,000 אנשים. במקרים אלה יש לבדוק את חובות הרמה המתאימה.

שלוש רמות אבטחה לשאר העסקים

לעסקים שאינם עומדים בהגדרת "מאגר יחיד", התקנות מגדירות שלוש רמות אבטחה: בסיסית, בינונית וגבוהה.

חשוב להבין: הסיווג אינו נקבע רק לפי "האם יש מידע רגיש". הוא נקבע לפי שילוב של גורמים - סוג המידע, מטרת המאגר, זהות בעל השליטה, מספר נושאי המידע, מספר בעלי ההרשאה, וחריגים הקבועים בתקנות. לכן אין להסתפק בתחושה כללית - נדרש סיווג מסודר לכל מאגר.

לדוגמה, מאגר ברמה בינונית יכול לכלול מאגרים שמטרתם העיקרית היא איסוף מידע למסירה לאחר כדרך עיסוק, מאגרים של גופים ציבוריים, או מאגרים שיש בהם מידע בעל רגישות מיוחדת בכפוף לחריגים. מאגר ברמה גבוהה כולל, בין היתר, מאגרים מסוגים מסוימים עם מידע בעל רגישות מיוחדת שבהם מספר בעלי ההרשאה עולה על 100, או מאגרים הכוללים מידע אישי על 100,000 בני אדם ומעלה.

מה רמת האבטחה קובעת בפועל: לכל רמה יש רשימה ספציפית של דרישות - בקרת גישה, הצפנה, תיעוד אירועים, הדרכות עובדים ועוד. עסק ברמה גבוהה מחויב לאמצעים מחמירים יותר מאשר עסק ברמה בסיסית. הסיווג קובע מה העסק מחויב לעשות בפועל כדי להגן על המידע - ולא ניתן לדלג עליו.

המדריך המלא לתקנות, כולל הגדרות הרמות ורשימות הדרישות המפורטות, פורסם על ידי רשות הגנת הפרטיות: המדריך המלא ליישום תקנות הגנת הפרטיות (אבטחת מידע). לעצמאים ועסקים קטנים - ראו גם את המדריך הייעודי לעסקים קטנים.

מה מדיניות הפרטיות כן עושה - ולמה היא חשובה

אחרי כל האמור, חשוב לא לפספס: מדיניות פרטיות מעודכנת ומדויקת היא כלי מרכזי לעמידה בחובת היידוע לפי החוק. לאחר תיקון 13, חובת היידוע כוללת פרטים רחבים יותר - מטרות האיסוף, פרטי בעל השליטה ודרכי ההתקשרות עמו, למי יימסר המידע ומטרות המסירה, משמעות אי-מסירת המידע, וכן הסבר על זכויות נושאי המידע ובראשן זכות העיון והזכות לבקש תיקון של מידע אישי. במדיניות פרטיות טובה נכון להתייחס גם להעברות מידע מחוץ לישראל, לעוגיות ולשימושים טכנולוגיים נוספים, ככל שהם קיימים.

אבל המדיניות היא ההצהרה מה אתם עושים. תוכנית הפרטיות היא מה שמבטיח שאתם אכן עושים את זה.

ספק חיצוני שמקבל גישה למידע אישי ומוסדר בהסכם מתאים לפי תקנה 15 לתקנות אבטחת מידע, עובד שעבר הדרכה ויודע מה מותר ומה אסור, תהליך פנימי שמגדיר מה קורה כשמגיעה בקשת עיון - אלה לא מסמכים. אלה תהליכים. ואת התהליכים שום מסמך לא יעשה בשבילכם.

לאן ממשיכים מכאן?

לא כל עסק צריך לבנות תוכנית פרטיות מורכבת ביום אחד. אבל כל עסק שאוסף מידע על אנשים - אפילו רשימת לידים פשוטה - נמצא בתחום שיש בו חובות, ציפיות, וסיכונים שמדיניות פרטיות לבדה לא מכסה.

שאלות שאפשר להתחיל איתן:

• האם ידוע לנו בדיוק איזה מידע אנחנו אוספים ולשם מה?
• האם יש מסמך הגדרות מאגר לכל מאגר פעיל בעסק?
• האם הגדרנו רמת אבטחה לכל מאגר?
• האם כל ספק חיצוני שמקבל גישה למידע אישי מוסדר בהסכם מתאים לפי תקנה 15 לתקנות אבטחת מידע?
• האם עובדים שמטפלים במידע יודעים מה מותר ומה אסור?
• האם יש תהליך מוגדר למה קורה כשמגיעה בקשת עיון, תיקון, או בקשה אחרת של נושא מידע, ככל שהיא רלוונטית לפי הדין והנסיבות?

אם רוב התשובות הן "לא בטוח" - זה לא מקום גרוע להיות בו. רוב העסקים מתחילים משם. השאלות עצמן הן כבר נקודת ההתחלה.

רוצים להתחיל בתהליך המיפוי?

זה הצעד הראשון - ולעיתים הקשה ביותר. הוא דורש הבנה של התהליכים הפנימיים של העסק, ולא רק הכרת החוק. אם אתם רוצים ליווי מעשי בבניית מיפוי המידע ותוכנית הפרטיות של העסק שלכם, אפשר לפנות ל-Mindful Web Nerd לייעוץ בנושא.