תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף, למה אנשי שיווק צריכים לשים לב (כדי לא להסתבך)?

אתם עוסקים בשיווק דיגיטלי לעסקים? מפעילים אתר או אפליקציה? מנהלים עסק מקוון ב-Etsy, אמזון או פלטפורמות אחרות? ואולי אתם מנהלים קבוצות מדיה חברתית עבור עצמכם או עבור אחרים?

המאמר הזה נכתב במיוחד עבורכם. קחו רגע, הכינו כוס קפה, ושבו לקרוא. הנושא אינו פשוט, אך הוא חשוב מאין כמוהו. הטקסט הזה הולך להיות ארוך ומקצועי, אז החלטתי להקל עליכם ולהתחיל בעיקר. מי שרוצה להרחיב וללמוד, מוזמן להמשיך לקרוא (אני מבטיח להתייחס בסוף גם ל-Popup Consent). 

הנה התרגום לפרקטיקה היומיומית של מה שכתוב פה למטה (ואתם מוזמנים לקפוץ גם לסיכום שם פירטתי קצת יותר באשר להמלצות אלו):

1. תיקון 13 לא אומר “לא לאסוף מידע ולפרסם”. עם זאת, הוא דורש מכם לחשוב ולפעול חכם, ממוקד, ומתועד. פחות דאטה סתמי ויותר דאטה רלוונטי שמניב תוצאות.
2. תוודאו שאתם מכירים את הרציונל והעקרונות שמפורטים בחוק ושיש לכם עם מי להתייעץ וללמוד ממנו. צרו מיפוי מידע מלא ונכון והתאימו את העקרונות לעסק שלכם.
3. קחו אחריות. הבינו את מצב הדברים ותקבלו החלטות מושכלות שכוללות גם את הגנת הפרטיות. לכל אורך הדרך תתעדו כל צעד ושיקול שלכם, כדי שבעתיד תוכלו להוכיח שעמדתם בדרישות החוק.
4. מנו ממונה הגנת הפרטיות באופן שיעמוד בכל דרישות החוק. תנו לו את כל המשאבים והיכולות המפורטות בחוק ובגילוי הדעת של הרשות.
5. אוספים פחות, מוחקים יותר: אוספים רק את המידע שנחוץ למטרה שהוסברה למשתמש והוסכמה. כשהמטרה הושגה, מוחקים (אלא אם המשתמש הסכים שתשמרו). וכמובן לא משתמשים במידע אלא למטרה שלא לשמה נאסף.
6. אל תעשו שימוש בכלי שיווק ופרסום מבלי שתתנו הודעה ברורה ומדוייקת על כל מאפיין חשוב של איסוף המידע (ואם אפשר – קבלו הסכמה). לכל הפחות – צרו הודעת קוקיות בולטת ומובנת, כתבו מדיניות פרטיות נכונה וכמובן תעדו כל צעד שלכם ושל המשתמש.

המציאות כיום ברורה: השיווק הדיגיטלי נשען במידה רבה על איסוף, ניתוח ושימוש בנתונים אישיים של גולשים (“טארגטינג”). המשמעות היא שדיני הגנת הפרטיות חייבים להיות חלק בלתי נפרד משגרת עבודתכם, לא רק של עורכי הדין, אלא גם שלכם, מנהלי הקמפיינים, בעלי האתרים והיזמים. מי שאינו מבין את חובותיו והסיכונים המשפטיים הכרוכים בפעילותו עלול למצוא עצמו בבעיה בהמשך הדרך.

כמובן שיזם דיגיטלי לא צריך להפוך לעורך דין, אך עליו להכיר את עקרונות הבסיס שהחוק מחייב. זהו הבסיס לניהול עסק דיגיטלי בטוח וחוקי וזו הסיבה שחשוב שתקראו מה שאני, עורך הדין יורם ליכטנשטיין, מציג בפניכם היום.

גילוי נאות: טקסט זה נכתב בידי אדם, ביזע ודמעות. במהלך כתיבתו לא נפגעו מנועי בינה מלאכותית כלשהם

מבוא: עקרונות יסוד בדיני הגנת הפרטיות

רבים כבר שמעו על ה-GDPR (הרגולציה האירופית להגנת הפרטיות) אשר קבעה עקרונות מהותיים, שרבים מהם אומצו גם בישראל. שני הכללים המרכזיים הם:

1. פרטיות בעיצוב (Privacy by Design).
2. פרטיות כברירת מחדל (Privacy by Default).

משמעותם של כללים אלו היא כי על עסקים לשלב את שיקולי הפרטיות בכל שלב בחיי המוצר/שירות. נדרש גם להגדיר ברירות מחדל המגנות על פרטיות המשתמש. חריגה מברירות המחדל חייבת להיות בהסכמה או בצורה חוקית אחרת.

על בסיס עקרונות אלו נקבעו באירופה (וכיום גם בישראל) שורה של עקרונות מחייבים שחשוב שנכיר אותם שכן הם משפיעים על הדרך בה אנחנו צריכים להתנהל עם מידע אישי ומאגרי מידע:

1. חוקיות ושקיפות

כל איסוף או שימוש במידע אישי חייב להתבסס על בסיס חוקי. בישראל הבסיסים החוקיים היחידים במועד כתיבת מאמר זה הם הוראת חוק מפורשת או הסכמת המשתמש.

כמו כן נדרש גם למסור למשתמש הודעה ברורה ומובנת על איסוף המידע ועל פרטיו: מי אוסף את המידע, אילו פרטי מידע נאספים, לאיזו מטרה, למי יועבר המידע, מתי יימחק וכל מידע משמעותי אחר.

בעולם השיווק הדיגיטלי משמעות הדבר יצירת הודעה תואמת באתר (למשל באמצעות באנר קוקיות מתאים ובהמשך אגע בנושא זה במפורש).

2. צמצום ומזעור מידע

נקודת המוצא של עקרון זה ממוטטת את העולם הישן של השיווק הדיגיטלי בישראל. אם עד היום נהוג לאסוף פרטים רבים ככל האפשר על אנשים רבים ככל האפשר (“מתישהו אני כבור אוכל להשתמש בהם”) – לא עוד.

אתם נדרשים לאסוף רק את המידע לו אתם זקוקים לשם קיום המטרות עליהן הצהרתם או שביחס אליהם קיבלתם הסכמה. אל תאספו רכיבי מידע שאינם הכרחיים למטרות אלו.

יתרה מכך – הושגה המטרה? חובתכם כעת למחוק את המידע ולצמצמו.

כתוצאה מעקרון מומלץ לאנשי שיווק דיגיטליים לבצע מיפוי מידע מלא. להבין אילו פרטי מידע הם אוספים, מדוע אוספים כל פרט כאמור, היכן וכיצד נאסף כל פרט, מה ההודעה או ההסכמה שניתן להוכיח ביחס אליו, לאיזו מטרה הוא נאסף, איזה שימוש ייעשה בו, בפני מי יחשף וכדומה, פרטים רלוונטיים וחשובים.

אחרי יצירת מיפוי כזה, מומלץ לשבת ולצמצם את היקפי המידע שנאספים אצלכם בהתאם ליתר האמור במסמך זה ובחוק.

3. צמידות המטרה

יש לקבוע מטרה ברורה לכל מידע אישי שנאסף, ואין להשתמש בו למטרה אחרת. ככל שאין צורך במידע או שכוונתכם להשתמש בו גם למטרות אחרות, אנא תנו לכך גילוי ברור ומובן, או פשוט אל תאספו אותו.

כך למשל, אם אתר מבקש להציע לגולשים קופונים במייל, אין באמת הצדקה לדרוש מהגולש את כתובתו הפיזית או את תאריך הלידה שלו. הרי מדובר בפרטים שאינם רלוונטיים למטרה. תרצו לאסוף גם אותם, צרו מטרה חדשה תואמת והודיעו עליה לנשוא המידע במפורש וכנדרש.

4. הגבלת השמירה (Data Retention)

ראוי להגביל את פרק הזמן שבו אתם מחזיקים במידע אישי ועושים בו שימוש. מחקו אותו בתום התקופה. משך תקופת השמירה משתנה בהתאם לנסיבות, לאופן קבלת ההסכמה ולתוכנה וכדומה. בשלב זה לא קיימת בחוק הישראלי חובה כללית שכזו, ועדיין יישומם של עקרונות אחרים בחוק עשוי לדרוש גם פעולה באופן הזה וכדאי לאמץ אותה.

במונחים של שיווק דיגיטלי, משמעות הדבר היא שאין באמת סיבה להחזיק בכתובות הדוא”ל של אנשים שלא פתחו ולא קראו אף הודעה מאיתנו במשך עשר שנים, גם אם הסכימו תחילה לאיסוף המידע שלהם. אנשים כאלו בוודאי אינם מעוניינים בשלב זה במידע פרסומי וראוי לקבוע תקופת מקסימום בסיומה ימחקו רכיבי המידע שאינם רלוונטיים עוד.

בדומה, אם אספתם את פרטיו של “ליד” ויצרתם את הקשר – מחקו את פרטיו. אל תשמרו אותם. חריג כמובן יהיה אם במהלך ההודעה וההסכמה, הבהרתם לו שפרטיו ישמרו וישמשו גם למטרות אחרות. וגם אז, ודאו שהשימוש העתידי מתייחס רק למטרות שהוצגו בפניו.

5. אבטחת מידע

עקרון זה בא לידי ביטוי בתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017. חשוב להבין שעקרון זה מהווה נדבך אחד מתוך כלל חובות ועקרונות הגנת הפרטיות. גם אם אבטחתם את המידע בצורה טובה ומלאה, אין זה אומר שאתם עומדים אוטומטית בדרישות הגנת הפרטיות כולן.

זו היא חובה לנקוט אמצעים טכנולוגיים, ארגוניים ומשפטיים כדי למנוע גישה בלתי מורשית למידע אישי, אובדן או שינוי של המידע.

6. זכויות הפרט

ה-GDPR קובעת רשימה לא מבוטלת של זכויות נושא המידע כלפי בעל השליטה במאגר (הקונטרולר). למשל: הזכות לדעת אם אוספים עלי מידע, הזכות לגישה למידע שנאסף עלי, זכותי לתקן אותו, זכותי למחוק אותו, הזכות להגביל את העיבוד שלו, הזכות לניידות שלו בין שני מאגרים, הזכות להתנגד לעיבוד בנסיבות מסויימות והזכות להמנע מקבלת החלטות אוטומטית (כלומר, בינה מלאכותית).

בארץ זכויות אלו מוגבלות בהרבה, ועדיין מספר זכויות כאלו חלות גם בארץ (אחרות יצורפו כנראה בהמשך). למשל, הזכות לתיקון מידע שגוי והזכות לקבל מידע על איסוף מידע.

התוצאה של אותן זכויות היא שכדאי שאתם, אנשי שיווק ובעלי נכסים דיגיטליים, תיצרו מנגנונים פשוטים וקלים למימוש אותן זכויות (למשל אפשרות קלה ופשוטה לניהול העדפות המשתמש, מענה ישיר לכל פניה וגם קישורי הסרה בכל דיוור אותו אתם שולחים).

השינויים שבלב בתיקון 13

על רקע עקרונות אלה, נכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות, שמטרתו להתאים את החוק למציאות הדיגיטלית המודרנית. אתם מוזמנים לקרוא מדריך של הרשות בעניין תיקון 13 (PDF).

השינוי הדרמטי ביותר הוא התאמה והרחבה משמעותית של סמכויות רשות הגנת הפרטיות שהפכה לרגולטור חזק ובעל יכולת. הרשות קיבלה סמכויות חקירה, סמכויות ביצוע בירורים מנהליים וגם סמכות לאכיפה בפועל (למשל הסמכות להטלת עיצומים וקנסות כספיים גבוהים). חשוב להבין שגובה העיצומים אינו קבוע, והוא מותנה במספר גורמים שעשויים להגדיל אותו משמעותית. למשל רגישות המידע, מספר נשואי המידע במאגר ושיקולים דומים. אם כאנשי שיווק דיגיטליים אתם נעזרים במאגרי מידע עם עשרות אלפי נושאי מידע – תזהרו. הקנס עלול להיות כואב.

שימו לב שהתיקון גם חיזק את הפן הפלילי בעבירות שונות על חוק הגנת הפרטיות וגם הרחיב את סמכות בית המשפט לקבוע פיצויים ללא הוכחת נזק תביעה אזרחית ביחס להפרות שונות. לא שינויים של מה בכך!

תיקון בוצע במספר מונחים חשובים. כך למשל (וזו דוגמה בלבד), הוגדר “מידע אישי” (וגם “מידע בעל רגישות”) והגדרתו הורחבה. כיום הגדרה זו כוללת, בין השאר, גם מזהים טכנולוגיים עקיפים כמו כתובת אינטרנט (IP Address), מזהה מכשיר, קוקיות וכדומה. משמעות הרחבה זו לתחום השיווק הדיגיטלי היא משמעותית. כיום, תהליך טרגוט (אפיון) שכולל יצירת פרופיל התנהגותי של גולש נחשב מידע אישי מזהה לא פחות משמו המלא של הגולש, שלא נאסף.

גם הגדרות “בעל מאגר” ו”מחזיק” הורחבו. כיום מדובר ב“בעל שליטה במאגר” (כלומר, מי שמחליט אילו פעולות יבוצעו במידע) וב“מחזיק” (שהוא כל גורם חיצוני שמעבד עבורו בעל השליטה את המידע).

בפועל, כל עוד אתם אלו שמחליטים אילו פעולות לבצע במידע שנאגר, הרי אתם בעלי השליטה במאגר גם אם הוא מוחזק בפלטפורמה אחרת. מעמד זה של בעל שליטה מטיל כמובן חובות משמעותיות יותר מאלו של המחזיק ואף ראוי שיבוטא בצורה נכונה במערך ההסכמי שלכם, על מנת שהמחזיק לא יכשיל אתכם בטעות בהמשך או יסרב לסייע כשתצטרכו (במשפטית מדוברת מדובר ב”הסכם עיבוד מידע” מסודר או לפחות פרק פרטיות ייעודי בהסכם הנוכחי).

חובה חשובה שנקבעה בחוק (ועשוייה להיות רלוונטית לרבים מביניכם העוסקים בשיווק הדיגיטלי) היא חובת מינוי ממונה הגנת הפרטיות.

מקריאת החוק עולה שבין הגופים הכפופים לחובה זו נכללים גם כאלו שעיסוקם העיקרי כולל פעולות של ניטור שוטף ושיטתי של התנהגות בני אדם, מיקומם או פעולותיהם ועיבוד מידע שיטתי בהיקף ניכר. ככל שאתם עוסקים בשיווק דיגיטלי ואתם חושבים שהגדרה זו אינה חלה עליכם, תחשבו שוב.

הרשות כבר הביעה את דעתה שמינוי ממונה כזה בעסקים שמבצעים פרופיילינג, פרסום ממוקד (טארגטינג) והתאמה אישית של תוכן הוא הכרח (וראו את גילוי הדעת בעניין ואת סעיף 9.5 בו).

שימו לב. תפקיד זה אינו זהה לממונה אבטחת מידע (למעשה מדובר בשני שתפקידים שדורשים שני ממונים שונים). אנא קיראו את החוק, הבינו את תפקידו, את הכישורים הנדרשים ממנו ואת אופן פעילותו הנדרש במנגנון הארגוני שלכם.

החוק אף הקל מעט בחובת רישום מאגר המידע. מאידך חשוב לזכור שהוא לא הקל כלל בחובות הטכנולוגיות המוטלות על מי שמנהל מאגר מידע, ואלו מפורטות בתקנות הגנת הפרטיות (אבטחת מידע). חשוב שתקראו את המדריך של הרשות בעניין התקנות.

בנוסף שימו לב שחובת הרישום נותרה בעינה ביחס לגופים שמטרתם העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר ויש במאגר מידע אישי על יותר מ-10,000 בני אדם. כלומר, אם אתם data brokers אתם נדרשים להמשיך ולרשום את המאגרים שלכם אצל הרשם.

התיקון גם חיזק את החובות הקבועות בחוק והגדיר מספר חובות שמרחיבות את החוק הקיים וכעת הוצמד לצידן תג מחיר של עיצום (=קנס). הראשונות והעיקריות שביניהן – קביעת איסור גורף על עיבוד מידע אישי שנאסף באופן לא חוקי כמו גם ואיסור על עיבוד מידע ללא הרשאה מאת בעל השליטה במאגר.

חובה נוספת שחוזקה בתיקון מבוטאת בסעיף 11 לחוק, והיא חובת ההודעה והשקיפות בזמן איסוף המידע ושימוש בו. הרשות מפרשת חובה זו בצורה מרחיבה, וראו למשל את טיוטת הנחיית הרשות ביחס לפרטיות בעת שימוש בבינה מלאכותית. מדובר בחובת יידוע מפורטת בצורה נרחבת, אם כי בשלב זה ועל אף תיקון החוק, הרחבה זו נעוצה בפרשנות הרשות (הרגולטור) ולא בהכרח בלשון החוק עצמו.

התיקון גם הגדיר אלמנטים נוספים שפחות רלוונטיים אלינו (דוגמת היכולת לקבל חוות דעת מקדמית מהרשות אם תצטרכו וקביעת הסדר פיקוח מיוחד בתחום הפרטיות בגופים ביטחוניים).

משמעות השינויים בחוק ביחס לאנשי שיווק ובעלי נכסים דיגיטליים

במונחים של שיווק דיגיטלי, המשמעות של כניסת התיקון לתוקף היא דרמטית. חשוב לבחון מחדש את השירותים ואת העסק שאתם מציעים ולראות כיצד אתם מתנהלים. במהלך בחינה זו תשוו את מצב הדברים לעקרונות שפירטתי למעלה, תבינו את משמעות דיני הגנת הפרטיות, תראו כיצד הם מתיישבים יחד ותקבלו החלטות איסטרטגיות. אולי כדאי שתשנו את ההתנהלות שלכם?

בנוסף, אנא צרו חוצץ “פרטיות”. אליו תעבירו עותק ותתעדו את כל השיקולים, ההחלטות ויתר הצעדים שנקטתם במטרה לשמור על הפרטיות. הסיבה פשוטה. חלק מהחובות שהרשות מטילה על עסקים היא חובת ה”אחריותיות” (Accountability). כלומר, עסק צריך להיות יכול להוכיח בצורה זמינה שהוא מכיר את נושא הפרטיות, שילב אותו בשירותיו והתייחס אליו בצורה אקטיבית על מנת לעמוד בדרישות החוק. כל תיעוד נוסף שכזה יהיה חשוב. שיקולים, החלטות, נהלים, התייעצות עם עורך דין מומחה וכדומה, את כולם תתעדו בבקשה. לטובתכם.

במסגרת השיקולים שתשקלו, תחשבו על תהליכי איסוף המידע אצלכם ותראו האם הם עומדים בעקרונות ובדרישות החוק. חשוב שתבינו שבחוק קיימות דרישות נוספות על המפורט מעלה. מטבע הדברים לא ניתן להקיף את כל דרישות החוק במסמך קצר שכזה. ועדיין, היכרות עם העקרונות שלמעלה ועמידה בהם כשלעצמה, תקדם ותשפר את מצבכם בצורה דרמטית

דוגמאות ליישום החוק

ביחס לאמור בפרק זה, אנא סילחו לי. איני איש טכני. מטרתי היא רק להציג בפניכם דוגמאות לזהירות בה יש לנקוט ביחס למידע אישי. כמובן שאין להסתמך על הדברים כאן במקום ייעוץ משפטי, אלא חובה לגשת לייעוץ משפטי מקצועי. בפועל, דרישות החוק מורכבות הרבה יותר מהמתואר כאן.

מקרה אחד יכול להיות כאשר תעזרו בשירותיו של ספק כלשהו שיסייע לכם באיסוף, שמירה, ניתוח או שימוש במידע האישי שתאספו. במקרה כזה, פעולותיו של הספק במידע יחולו גם עליכם. לכן, חובה עליכם לבדוק את הספק ולהבטיח (בצורה סבירה) את עמידתו בדרישות החוק.

חשוב שתפעלו בהתאם להנחיות הרשות היחס לשימוש במיקור חוץ לעיבוד מידע. הנחיות אלו דורשות למשל:

1. בחינה של עמידת הספק בדרישות חקיקת הגנת הפרטיות.
2. בדיקת עמידתו במבחני חדירה ותקני אבטחה אחרים.
3. התאמת הסכם ההתקשרות שלכם איתו (גם במטרה להגדיר בדיוק את השימושים המותרים לו במידע וגם את יכולתכם להעזר בו במקרי תקלה, כמו למשל בארועי פרצות אבטחה).

בנוסף, כשאתם יוצרים עמודי נחיתה ייעודיים לאיסוף “לידים”, צריך לזכור שלידים למעשה כוללים מידע אישי. במצב דברים כזה, כדאי לבצע מיפוי מידע נכון מלא וגם לחשוב היטב על כל הנסיבות מסביב, כמו מטרות האיסוף בהשוואה למידע שנאסף בפועל. פעולות אלו יקלו עליכם להגביל את האיסוף למידע לו תזקקו באמת לשם ביצוע המוסכם עם המשתמש, באופן שלא תאספו מידע עודף או מיותר שעלול לסבך אתכם או לפגוע במשתמש.

האם נדרש לקבל בישראל Cookie Consent?

אפתח במסקנת פרק זה: בישראל בשלב זה (אוגוסט 2025) אין פסיקה או חקיקה ספציפית המחייבות את אנשי השיווק הדיגיטלי לקבל הסכמה בפועל בעת איסוף מידע באמצעות קוקיות (כך נקראות בעברית Cookies, בחיי) ופיקסלים שונים.

ועדיין התשובה הזו לבדה, בעייתית. כלל הבסיס החוקי הוא שכל איסוף או שימוש במידע אישי מחייב את הסכמת המשתמש. בין השאר גם במקרים בהם מידע זה נאסף על ידי כלים טכנולוגיים דוגמת קוקיות. כלומר, בהעדר נסיבות או חקיקה אחרת, גם בישראל נדרשת הסכמה לאיסוף מדע בידי קוקיות.

נקודת המוצא הזו באירופה הובילה לכך שנקבעה שם קביעה מפורשת שאנשי שיווק דיגיטלי נדרשים ליצור Cookie Wall.

לעומת זאת, עד למועד זה בארץ אנשי שיווק דיגיטלי הפעילו במרבית המקרים מדיניות של Cookie Notice. כלומר, נמסרת למשתמש הודעה אודות איסוף המידע האישי עליו, והוא נדרש לעזוב את האתר אם אינו מסכים לאיסוף זה.

ראשית אתייחס לנוסח ההודעה וההסכמה. נוסח סתמי, לא די בו. יש לעבור על נוסח ההודעה או ההסכמה ולוודא שנמסר בו מידע נכון ומספק בהתאם לדרישות החוק. כמו כן יש לוודא שתיעוד ההודעה, ההסכמה והנוסח שלהם מתבצע בצורה אוטומטית ואובייקטיבית, באופן שיצור תיעוד שיאפשר להוכיח את הסכמתו של משתמש ספציפי.

במצבים כאלו בהם ההודעה ברורה, בולטת וחד משמעית וגם ניתנה למשתמש אפשרות לא להמשיך ולהשתמש באתר, יתכן מאוד שיראו בהמשך השימוש באתר כהסכמה מכללא לאיסוף ושימוש במידע כפי שנמסר למשתמש בהודעה. זו הסיבה בעטיה גם בשלב זה, לא בהכרח ניתן לקבוע שנדרשת “חומת הסכמה לקוקיות” טרם שימוש בכל אתר. פעמים רבות די בהודעה מפורשת והתנהגות מקבלת מצד המשתמש (התנהגות שתועדה!).

כתוצאה מהאמור לעיל עולה מצב רגיש: איש שיווק שמסר הודעה על שימוש בקוקיות, אך לא התאים את יתר התנהלותו בצורה המיטבית, עלול למצוא את עצמו מפר את הוראות החוק (שכן לא קיבל הסכמה לשימוש במידע האישי). מנגד, חברו שקיבל ייעוץ משפטי ופעל בצורה נכונה וזהירה, עשוי להצליח ולהוכיח את הסכמתו מדעת ובהתנהגות של המשתמש (וגם אם טעה, הרי מדובר בטעות בתום לב שנזקה מינורי).

לכן, הזהרו, התייעצו ופעלו בצורה מושכלת בעניין זה.

טרם סיום הפרק אני אחזור ואדגיש רכיב חשוב ודרמטי: כך או אחרת, נוסח ההודעה או ההסכמה צריך שיהיה מלא, ברור וקריא וגם יתועד בצורה טובה, קלה לאחזור ואובייקטיבית.

סוף דבר – המלצה

כעורך דין שפעיל בתחום, מרבית לקוחותי אינם מבצעים הליך ציות מלא ומושלם בשל מגבלות זמן וכסף. והדברים ברורים. מדובר בתהליך מורכב ויקר המקשה על עסקים קטנים ובינוניים לאמץ אותו.

ועדיין, ההמלצה החד משמעית היא להכיר את החוק ולהתאים את עצמכם אליו. לכן, אני מציע ללקוחותי פתרון ביניים שאציע גם לכם להתנהל באופן הזה מול עורך הדין שלכם.

אני מקיים מפגש עם הבעלים והמנהל של עסקו של הלקוח, עם אנשי השיווק הדיגיטלי שלו ועם האיש הטכני. במפגש כזה חושף בפניהם את כל העקרונות והחובות המפורטות מעלה אבל בצורה הרבה יותר נרחבת ומדוייקת ואנחנו מתאימים אותם לאופן ההתנהלות העסקית של הלקוח. בסיום הישיבה מקבל הלקוח מספיק מידע לביצוע שינויים מהותיים שמשפרים את מצבו בצורה דרמטית ומקלים עליו לעמוד בדרישות החוק.

לבסוף, אסיים ברשימת ההמלצות המרחיבה על האמור במבוא ועדיין אינה ממצה את הנדרש מכם. ובכל זאת, אימוץ של מה שכתוב כאן יהיה התקדמות חשובה מאוד בכיוון הנכון:

1. בידקו את חובתכם למנות ממונה הגנת הפרטיות. מנו כזה, אם נדרש ועמדו בדרישות החוק.
2. גשו לייעוץ מקצועי שיתן בידיכם את הכלים המתאימים להתמודד עם התחום ועם החובות שהוא מטיל עליכם. אל תמתינו לביקורת הרשות או לתביעות שיבואו. נסו לפעול באופן פרואקטיבי למנוע תקלות עתידיות.
3. צרו מיפוי מידע אישי מלא. כזה שמתייחס למכלול הנושאים הנדרשים.
4. בצעו סקר פערים בין התנהלותכם להתנהלות הנדרשת על פי החוק ותקנו כל ליקוי.
5. בידקו את מכלול ההודעות וההסכמות של נשואי המידע אצלכם, וראו האם אתם חשים איתן בנוח והן עומדות בדרישות החוק והנחיות הרשות.
6. וודאו שאתם עומדים בדרישות הטכניות של תקנות הגנת הפרטיות (אבטחת מידע).
7. חישבו אילו נהלים ארגוניים חשובים לעסק כמו שלכם, וצרו אותם.
8. התאימו את התנהלותכם ביחס לקוקיות ואמצעי איסוף מידע אחרים לדרישות החוק, ופעלו בזהירות.
9. לאחר מכן הכינו מדיניות פרטיות עסקית (רצוי בידי מומחה שיודע כיצד לנסח אותה נכון) ושלבו בה את הנהלים המתאימים.
10. עקבו באופן שוטף אחרי השינויים בחקיקת הגנת הפרטיות והרגולציה הנלווית אליה. רשות הגנת הפרטיות פרסמת מדי פעם בפעם הנחיות חשובות וחלקן, יכול שיהיה רלוונטי אליכם. עקבו אחריהן.
11. אל תתעלמו. תפעלו.