השוק העולמי בשנים האחרונות הולך ומתקדם לכיוון של הגנה פרטנית יותר על מידע ופרטיות משתמשים. ככל שעובר הזמן וגובר הלחץ הרגולטורי מצד רגולטורים בעולם ובעיקר כאלה מאירופה, ניתן לראות שחברות ענק שלהן יש פלטפורמות שעל בסיסן מפתחים אפליקציות ומוצרים, כמו גוגל ואפל, מקדמות תהליכים שמיועדים לשפר את ההגנה על פרטיות המשתמשים והמידע האישי שלהם.

‍גוגל למשל, הציגה לאחרונה שינוי עצום בדרך שבה האקוסיסטם של אנדרואיד יטפל בכל מה שקשור להגנת הפרטיות והמידע של המשתמשים. במסגרת השינוי הזה גוגל תגרום למפתחי אפליקציות לציית לחקיקת הגנת הפרטיות שחלה בקשר עם מקומות הפעילות של המפתחים ותחייב את המפתחים להעלות מדיניות פרטיות שעומדת בתנאי החוק הרלוונטי עבור כל אפליקציה שתעלה לחנות האפליקציות שלה. מדיניות הפרטיות תעלה לאזור מיוחד בחנות האפליקציות שיתעסק בפרטיות ובמידע שנאסף מהמשתמש.

מה שעומד מאחורי השינוי המשמעותי הזה הוא בעצם אחד מהעקרונות המנחים של תקנות הגנת הפרטיות האירופאיות - ה-GDPR שהן "תו תקן" של ממש בכל הנוגע לפרטים והגנה על מידע. העקרון המדובר הוא עקרון השקיפות במסגרתו עסקים וחברות שאוספים מידע של משתמשים יאספו את המידע בשקיפות מלאה תוך כדי עדכון המשתמשים על סוג המידע שנאסף, לאיזה מטרה הוא נאסף, וכמובן, מהו הבסיס החוקי לאיסוף המידע (ב-GDPR יש סנקציות מפליגות כנגד חברות שאוספות מידע שלא לצורך וקנסות ענק הנגזרים כאחוזים (עד 4%) מהמחזור השנתי העולמי של החברה). דוגמה לסנקציות כאלה ראינו למשל במהלך חודש שעבר, אז הטיל הרגולטור בלוקסמבורג (The Luxembourg National Commission for Data Protection) על חברת אמזון קנס מופלג בגובהו בגובה 746 מיליון אירו (קנס שצפוי לרדת בגובהו בהליך ערעור שככל הנראה עתיד להיות) והטילה עליה אחריות לתיקון פרקטיקות מסוימות בחברה הקשורות לפרטיות.

מעבר לכך, יש דרישה מהותית שאומרת שרק המידע הדרוש ייאסף ורק לשם הצורך שלשמו התקשרו הצדדים בעסקה או לשם הענקת השירות שלשמו התקשרו הצדדים. עם זאת, יש גם סיבות כלליות שבגינן יש אפשרות לאסוף מידע של משתמשים שהינן מבוססות על האינטרסים הלגיטימיים של החברות. אינטרסים כאלו יכולים להיות, בין היתר, עיבוד מידע אישי של משתמשים במידת הצורך למניעת הונאה או ניצול או שימוש לרעה באפליקציה של החברה, מניעת התקפות סייבר על האפליקציה ומשתמשיה, או במידת הצורך, אף לצורך ביצועי שיווק ותקשורת תקשורת ישירה, מה שאינטואיטיבית היינו חושבים שלא יהיה כלול, אך לא כך הדבר, למעשה מבחינת הדין האירופי כאשר זה נעשה בשקיפות ובהסכמת הלקוח אין כל בעיה עם דיוור ישיר.

חברות רבות בישראל, כמו גם בעולם, משתמשות באינטרס לגיטימי לעיבוד מידע כבסיס החוקי לפעילות הזו, אך לרוב הן חוטאות בכך שהן מציינות את האינטרס הלגיטימי בצורה כללית מדי ולא מפרטות אותו כנדרש. במצב כזה אינטרס לגיטימי איננו לגיטימי ממש ואינו יכול לשמש כבסיס החוקי לאיסוף ועיבוד מידע.

לרוב אפליקציות גם מייצרות אינטראקציות עם מערכות נוספות שאוספות מידע, כמו למשל, רשתות חברתיות שבאמצעות חשבון המשתמש בהן אפשר להתחבר לאפליקציה וליצור בה חשבון. אינטראקציות כאלו יכולות לגרום לבעיות בתחום הגנת הפרטיות אשר שיש צורך לפתור בצורה מסודרת במדיניות הגנת הפרטיות ותנאי השימוש של האפליקציה.

מנקודת מבטי, כמעט כל הלקוחות שבייצוג המשרד שלנו מוכנים או כמעט מוכנים לשינוי המוחל על ידי גוגל כשרובם כבר עומדים בכללי ה-GDPR שהן כאמור, "תו התקן" הנוגע לפרטיות והגנה על מידע. ככלל, אנו ממליצים על עמידה בכללים אלו כדרך לעמוד (כמעט) בכל חקיקת פרטיות רלוונטית ולהקטין את החשיפה המשפטית של החברה למינימום. כמו כן, בכללי ה-GDPR יש המון הגיון מסחרי בהקשר של תהליכי ניהול סיכונים והתמודדות עם אירועי סייבר ודליפות מידע.

בנוסף, ציות לכללי ה-GDPR מסייע לחברה לעמוד בתנאי החוק במאמצי השיווק שלה ומתווה את 'דרך המלך' לשיווק שיש בו חשיפות מינימליות לסוגיות של הגנת הפרטיות וחוקים שונים שנועדו למנוע שיווק ודיוור ישיר לא מורשה, כמו למשל חוק הספאם (או בשמו הרשמי – סעיף 30א' לחוק התקשורת (בזק ושידורים) התשמ"ב - 1982) שבארץ משמש כבסיס נרחב לתובענות ייצוגיות ותביעות צרכניות רבות.

בעולם הגנת הפרטיות והמידע, לאור פעילות האכיפה התכופה והמשמעותית של הרגולטורים, פתיחה בהליך חקירה או הליך בדיקה על ידי רגולטור, הינו הליך יחסית שכיח. הליך כאמור יכול לגרום לעלויות משפטיות גבוהות למדי בשל הצורך להתמודד עימו בצורה טובה ולמזער את חשיפת העסק או החברה לסנקציות רגולטוריות. הדבר מקבל משנה תוקף על אחת כמה וכמה, אם במידה ובסוף הליך כאמור מוטלת סנקציה כאמור על החברה וצריך להתמודד עימה (בבית המשפט או בהליך ערר בפני הרגולרטור הרלוונטי). לכן, אחד הדברים החשובים שכדאי לציין בעניין זה הוא שבכל המקרים, ציות מוקדם גם מוריד עלויות ניהול וציות ועלויות משפטיות לאורך זמן באופן כללי אך במיוחד, ככל שהליך כאמור פוגש את החברה.

אך לעיתים לא כך הדבר ומדי יום אנחנו נתקלים בלקוחות ולקוחות פוטנציאליים שמדיניות הפרטיות ותנאי השימוש שבהם הם עושים שימוש הם תוצר של פעולת "העתק-הדבק" מאתר רנדומלי כלשהו או אפליקציה רנדומלית כלשהי בין עם על ידיהם או על ידי בעל מקצוע שאיננו מעורה בתחום. הבעיה במצב כזה, היא השוני באינטרס הלגיטימי לאיסוף ועיבוד המידע בין החברות הללו וגם כמובן, שכל אפליקציה פועלת בדרכה שלה ועושה במידע שימושים שונים ואוספת מידע בדרכים שונות. שוני כזה כמובן, פוגע במהות המסמכים הללו ומייצר חשיפות משפטיות מיותרות שלא לצורך וחשיפות כאלה, במיוחד כשמדובר על הרגולטורים האירופאים, יכולות להיות משמעותיות למדי.

עו
עו"ד גיל סולומון|צילום: יאיר שגיא

לסיכום, כדי למנוע חשיפות משפטיות מיותרות, חשוב לעמוד בכללי הגנת הפרטיות והמידע הרלוונטיים לאזורי הפעילות של החברה. ככלל, תו התקן" הנוגע לפרטיות והגנה על מידע הוא ה-GDPR ומומלץ לעמוד בו כנקודת פתיחה. נקודת פתיחה טובה בהקשר זה היא ההבנה שחשוב שמדיניות הפרטיות של האפליקציה או האתר תהיה "תפורה למידות" של האפליקציה או האתר, שתהיה בדיוק לצרכי החברה ותתייחס במדויק למידע שנאסף, לצרכים שלשמם הוא נאסף ולבסיס החוקי שבשמם הוא נאסף.

מאת גיל סולומון, מייסד המשרד, גיל סולומון ושות'