אנחנו בארבל בראון מנסחים מדיניות פרטיות לעסקים וסטארטאפים רבים. הגישה שלנו היא לייצר מקסימום שקיפות, בשפה נגישה, שתאפשר גם הגנה על האינטרסים העסקיים של הלקוח וגם תחושה של אמון וכיבוד הפרטיות של המשתמשים במוצר של הלקוח.
במשך שנים אמרו לנו שהפרטיות מתה, ובשנים האחרונות המחוקקים במדינות רבות בעולם (ישראל בתוכן) מנסים להחיות אותה ולהחזיר לכל אזרח ואזרחית את הזכות הבסיסית לפרטיות.
חלק מהותי ממסמכים משפטיים שונים הנוגעים למדיניות פרטיות, הוא יצירת מערכת של שקיפות בינינו ובין הלקוחות/משתמשים שלנו.
גם בעולם הטכנולוגיות המתפתחות וגם בעולם העסקים (שעוברים תהליך של טרנספורמציה דיגיטלית – מעבר מעסק פרונטלי לעסק שפועל ברשת) התחילו לשאול:
- איזה מידע פרטי אנחנו אוספים?
- מה אנחנו עושים איתו?
- איך אנחנו שומרים עליו?
- למי אנחנו עשויים להעביר אותו ובשביל מה?
השאלות האלו ועוד שאלות הנוגעות לפרטיות, צריכות לעניין כל אחד ואחת מאיתנו, בכל גיל וגיל. קיים ביטוי ידוע שאומר "אם קיבלת את המוצר בחינם, כנראה שאתה המוצר", כיוון שעולם הקמעונאות רק הלך והשתכלל וכל פרט מידע הכי קטן שניתן למצוא עליכם, יכול להיכנס למאגרי מידע ששווים למישהו כסף.
בתור בעלות ובעלי עסק או סטארטאפ, מוטלת עליכם החובה לתת את השירות הטוב והבטוח ביותר עבור הלקוחות שלכם, גם אם זה אומר "רק" להתחייב לא למסור את שמם אחרי שמילאו פרטים באתר. ואם המודל העסקי שלכם מחייב למסור פרטים מסויימים לאחרים למטרה מסויימת – להיות שקופים עם המשתמש.
איך נתייחס לנושא של מדיניות פרטיות בישראל?
במחוזותינו, ישנו חוק הנקרא "חוק הגנת הפרטיות" שבגדול אוסר על פגיעה בפרטיותו של אדם ללא הסכמתו. אסור לבלוש, להאזין בסתר או לבלוש אחרי אדם ללא רשותו, ובטח ובטח שאסור לפרסם את תצלומו של אדם ברבים באופן שעלול לבזותו.
את הכללים מחו"ל (עליהם נרחיב בהמשך) מתחילים בשנים האחרונות לשלב היכן שהם רלוונטים – הווה אומר, בחברות שמוכרות מוצרים אינטרנטיים ללקוחות מהמדינות הרלוונטיות (קליפורניה ומדינות אירופה) שבהן יש שימוש בתקנים החדשים.
בתחילת העשור (ינואר 2020) נכנס לתוקף חוק הגנת הפרטיות החדש של קליפורניה (CCPA). בקליפורניה מרוכזות המון חברות טכנולוגיה ששולטות במידע פרטי של משתמשים, ובאופן כללי קליפורניה היא מדינה גדולה שמאופיינת בצרכנים שמאמצים טכנולוגיות מתקדמות. לכן מי שמחפש משתמשים בחו"ל, לרוב יחפש אותם גם שם. מעבר לכך, בהיות קליפורניה מדינה כזו, יש להניח גם שמדינות נוספות ילכו בעקבותיה ויאמצו חוקים דומים.
בדומה לחקיקה האירופאית האחרונה (GDPR) גם החוק הזה מדבר על מספר עקרונות מנחים:
- שקיפות לגבי המידע שנאסף ומה עושים איתו
- הזכות שהפרטים שלנו יימחקו – "הזכות להישכח"
- זכות לדעת איזה מידע מועבר לצדדים שלישיים ומה אותם צדדים שלישיים עושים איתו – כולל זכות לבקש שיוציאו אותנו מרשימת המשתמשים שפרטיהם מועברים לצדדים שלישיים (Opt-Out)
- איסור על העסק שאוסף פרטים של משתמשים להפלות משתמש עקב כך שביקש לממש את זכויותיו (למשל – אסור להפלות במחיר כי ביקשתי שימנעו מלהעביר את הפרטים שלי)
- הגנה מורחבת על קטינים מתחת לגיל 16 (אם אצל בוגרים קיים מנגנון של מחיקה במקרה של מידע שנמכר לצדדים שלישיים, אצל קטינים ברירת המחדל היא שאסור למכור את המידע ללא הסכמה מפורשת – opt-in)
- הטלת חובת גילוי במקרה של דליפת מידע.
ההבדל העיקרי לעומת החקיקה האירופית הוא בכך שהחקיקה האירופית דורשת הסכמה מראש לאיסוף הפרטים (opt-in) והחקיקה האמריקאית מאפשרת את האיסוף, אך נותנת לצרכן את האפשרות לבקש את מימוש זכויותיו (מודל של opt-out).
אם כך, תנאי הרגולוציה המתפתחת, החוק הגנת הפרטיות בישראל, GDPR באירופה, חוקים שונים שמתפתחים במדינות ארה"ב השונות – ובנוסף הצורך המודרני לייצר אמון ושקיפות מול המשתמשים שמצפים לדעת מה בית העסק עושה עם המידע שלהם, הם הגורמים שמביאים אותנו לנסח את המסמך המשפטי שכל אתר או אפליקציה חייבים להעלות ונקרא "מדיניות פרטיות".