מדיניות זכויות יוצרים - מדיניות פרטיות ואבטחת מידע לעסקים

מאת: אלי דורון, עו"ד

25/8/2025

כל הדרישות לעמידה בחוק הגנת הפרטיות ותקנות אבטחת המידע בישראל

החשיבות בעמידה בהוראות החוק

הדרישות המרכזיות בהתאם לחוק ולהתקנות

1. ניסוח מדיניות פרטיות – כל עסק האוסף מידע אישי חייב לפרסם מדיניות פרטיות ברורה ומקיפה. מדיניות זו היא המסמך המרכזי המיידע את נושאי המידע (לקוחות, משתמשי אתר וכד’) לגבי איזה מידע נאסף, כיצד ומדוע הוא נאסף, איך הוא נשמר ומוגן, ועם מי הוא משותף. חובה זו נקבעה בסעיף 11 לחוק הגנת הפרטיות, המחייב גופים ליידע את הציבור על אופן השימוש במידע האישי הנאסף. מדיניות פרטיות היא אחת הדרכים לממש את חובת הגילוי של החוק בעת איסוף מידע, ואינה מוגבלת רק לאתר אינטרנט. למעשה, יש לנסח מדיניות פרטיות נפרדת עבור ההיבטים הרלוונטיים: למשל מדיניות פרטיות באתר, מדיניות פרטיות לעובדים, למסדי נתונים של לקוחות, ואף שילוט ייעודי אם מצלמים במעגל סגור. על המדיניות להיות כתובה בשפה מובנת (לא רק משפטית) ולכלול את כל פרטי חובת הגילוי – סוגי המידע הנאסף, מטרות השימוש, האם מסירת המידע חובה או נתונה להסכמה, מי רשאי לקבל את המידע, זכויות הנושא וכיו”ב. למי זה חובה? בפועל, כל עסק או אתר האוסף מידע אישי נדרש למדיניות פרטיות גלויה. סיכון באי-קיום: אי-פרסום מדיניות פרטיות או פרסומה באופן חלקי מפר את חובת השקיפות, מה שיכול לחשוף את העסק לתביעות פיצויים ללא הוכחת נזק (עד 10,000 ש”ח לנפגע) ולעיצומים כספיים מנהליים משמעותיים מצד הרשות להגנת הפרטיות. מעבר לסנקציות החוק, העדר מדיניות פוגע באמון הלקוחות ועלול להרתיע משתמשים משיתוף מידע עם העסק.
2. מסירת הודעת פרטיות לנושא המידע (טופס גילוי) – מלבד פרסום מדיניות כללית, החוק דורש למסור לנושא המידע הודעה ספציפית בעת איסוף הנתונים ממנו. כלומר, בכל טופס הרשמה, דף נחיתה, או מסמך פיזי שבו אדם מוסר פרטים אישיים – יש לצרף גילוי ברור המכסה את הפרטים העיקריים: האם חובה חוקית למסור את המידע או שהנתינה היא בהסכמה, מה מטרת איסוף המידע, לאילו שימושים הוא מיועד, מי הוא בעל מאגר המידע (שם ופרטי התקשרות), למי יימסר המידע (אם יועבר לצדדים שלישיים) ומה זכויותיו של נושא המידע (למשל הזכות לעיין במידע ולתקנו) . חובת היידוע הזו חלה בכל מצב בו מידע אישי נאסף ישירות מהאדם, בין אם באמצעות אתר אינטרנט (טופס “צור קשר”, הצטרפות לשירות, רכישה) ובין אם בדרכים אחרות (למשל טופס הצטרפות למועדון לקוחות בחנות פיזית) . ניתן לממש חובה זו ע”י טופס גילוי ייעודי או שילוב ההודעה במדיניות הפרטיות הנמסרת לנושא המידע בעת ההצטרפות. למי זה חובה? לכל עסק או גוף האוסף מידע ישירות מאנשים – חלה עליו חובת יידוע לפי סעיף 11 לחוק. סיכון באי-קיום: אי-מסירת הודעת פרטיות כדין מהווה הפרה ישירה של החוק. תיקון 13 אף הרחיב את דרישות הגילוי (למשל חובה לכלול בהודעה את זהות ופרטי הקשר של בעל המאגר ואת השלכות סירוב למסור מידע) והחמיר את הענישה על אי-עמידה בכך . עסק שלא יידע כראוי את לקוחותיו בנקודת האיסוף מסתכן בקנסות מנהליים ובתביעות (כולל ייצוגיות) בשל פגיעה בפרטיות.
3. רישום מאגר מידע (אם נדרש) – חוק הגנת הפרטיות מחייב רישום של מאגרי מידע המכילים מידע אישי אצל הרשם (רשות הגנת הפרטיות), אך היקף החובה תלוי בסוג ובשימוש במאגר. עד כה, הדרישה הייתה לרשום מרבית המאגרים העסקיים (למשל מאגרי לקוחות, עובדים, דיוור ישיר, מאגרים עם מידע רגיש) למעט חריגים, והפעלת מאגר חייב ברישום ללא רישום נחשבה לעבירה. לאחר תיקון 13 חלה הקלה משמעותית: מעתה חובת הרישום תחול בעיקר על שני סוגי מאגרים – (א) מאגר שמטרתו העיקרית היא מסירת מידע לאחרים (כעסק) או בתמורה, המונה מעל 100,000 אנשים; ו-(ב) מאגר שבו בעל השליטה הוא גוף ציבורי (למעט מאגר המכיל רק מידע על עובדי אותו גוף) . משמעות השינוי היא שעסקים רבים המחזיקים מאגרי “לקוחות”, “ספקים”, “משאב אנוש” או נתוני מצלמות אבטחה – כבר לא יצטרכו רישום באופן גורף. עם זאת, עדיין יש לבחון כל מקרה: למשל חברה העוסקת במסחר במידע או מאגר רגיש מאוד בהיקף גדול עשויים לחייב רישום או לכל הפחות דיווח לרשות (על קיום מאגר מידע רגיש עם מעל 100,000 אנשים) גם לפי החוק החדש . למי זה חובה? כיום, מרבית העסקים הפרטיים הרגילים פטורים מרישום פורמלי של מאגרי מידע שכיחים, אך על כל עסק לוודא ספציפית אם חלה עליו חובת רישום או דיווח. סיכון באי-קיום: לעסק שחובה עליו לרשום מאגר ולא עשה כן צפויה חשיפה משמעותית – החוק המתוקן מטיל עיצומים כספיים גבוהים בגין עיבוד מידע במאגר שחייב ברישום ולא נרשם . בנוסף, מדובר בהפרת חוק שעלולה להוביל לתביעות אזרחיות (אפילו ללא הוכחת נזק). לסיכום, אין לדלג על שלב הבדיקה והרישום: יש לוודא באמצעות עורך הדין האם המאגר שלכם חייב ברישום, ובמידת הצורך לבצע רישום רשמי במאגרי הרשות להגנת הפרטיות.
4. חתימת חוזי עיבוד מידע עם צדדים שלישיים (הסכמי DPA) – אם העסק משתמש בשירותי תוכנה, ענן, שיווק, תמיכה וכד’ שחיצוניים לעסק וגורמים אלו נחשפים למידע אישי מהמערכות שלכם – החוק מחייב להבטיח בהסכם כתוב את הגנת המידע אצל אותם גורמים. תקנות הגנת הפרטיות (אבטחת מידע) קובעות במפורש כי בעל מאגר מידע המוסר גישה למידע לגורם חיצוני לצורך שירות – חייב לערוך עמו הסכם עיבוד נתונים (Data Processing Agreement) . בהסכם זה נקבעים חובות והתחייבויות המעבד (הספק) לגבי השימוש במידע: חובת סודיות, הגבלת המטרה, שמירה על אבטחת מידע הולמת, איסור להעביר את המידע הלאה בלי הרשאה, ועוד . למי זה חובה? למעשה כמעט כל עסק כיום משתמש בצד שלישי כלשהו (חברת אחסון ענן, מערכת דיוור, שירות סליקה, משרד רו”ח וכד’) ולכן נדרש להסכמי הגנת פרטיות מולם. חובה זו חלה על כל בעל מאגר המתקשר עם גורם חיצוני שמעבד עבורו מידע אישי – הן בעסקים קטנים והן בארגונים גדולים. סיכון באי-קיום: אם לא תחתמו על חוזים מתאימים, אתם מסתכנים בהפרת התקנות. מעבר לכך, ללא חוזה, אחריות העסק עלולה לחול גם על מחדלי הספק – למשל דליפת מידע אצל ספק ללא התחייבויות יכולות להשאיר אתכם ללא הגנה. הרשות עשויה לראות בכך כשל מצידכם באבטחת המידע ולהטיל עליכם עיצומים. לכן, מומלץ שכל העברת מידע לספק תלווה בהסכם פרטיות ואבטחה תקף, הנבדק ע”י עו”ד.
5. הכנת נהלי אבטחת מידע ארגוניים – על פי התקנות, כל בעל מאגר מידע חייב לנסח ולאמץ נוהל אבטחת מידע כתוב ברמת הארגון . נוהל זה הוא מסמך פנימי המסדיר כיצד המידע מוגן: אילו אמצעי אבטחה טכנולוגיים וארגוניים מיושמים, מי מורשה לגשת למידע ולאילו מטרות, כיצד מנוהלות סיסמאות והרשאות, איך מתבצע גיבוי, כיצד מזהים ומטפלים בסיכוני סייבר, ומהי המדיניות במקרה של אירוע אבטחה (כגון דליפת מידע) . התקנות מפרטות שלוש רמות אבטחה למאגרי מידע (בסיסית, בינונית, גבוהה) בהתאם לרגישות והיקף המידע, ולפיהן נקבע היקף הנוהל ואמצעי האבטחה הנדרשים. למי זה חובה? לכל עסק שמנהל מידע אישי דיגיטלי. גם בעסקים קטנים ביותר חלה לפחות רמת אבטחה בסיסית, המחייבת נהלי אבטחה מינימליים (למשל הגדרת הרשאות וגיבויים). בעסקים בעלי מאגר ברמת בינונית/גבוהה – הדרישות מקיפות יותר, כגון נהלים מפורטים, ביצוע סקרי סיכונים תקופתיים, מדיניות סיסמאות והצפנה, ועוד. סיכון באי-קיום: ארגון ללא נוהלי אבטחה כתובים נמצא בבעיה כפולה – גם חשוף יותר לתקלות ולפריצות עקב חוסר סדר והנחיות, וגם מפר את דרישות התקנות מה שעלול לגרור קנסות מנהליים כבדים במיוחד (תחום אבטחת המידע הוא מוקד אכיפה מוגבר) . יתרה מכך, במקרה אירוע דליפה, העדר נהלים יתפרש כרשלנות ויחמיר את אחריותכם. מומלץ להכין בהקדם נהלי אבטחת מידע בעזרת מומחים, ולוודא שכל העובדים הרלוונטיים מכירים ומקיימים אותם.
6. ביצוע מיפוי מידע בארגון – לפני שאפשר לעמוד בדרישות החוק, יש להבין איזה מידע אישי יש לכם, היכן הוא נשמר וכיצד הוא זורם. תהליך מיפוי מידע (Data Mapping) הוא שלב יסוד בפרויקט ציות: סוקרים את כל מאגרי המידע והמערכות בעסק, מזהים אילו נתונים אישיים מוחזקים (לדוגמה: פרטי לקוחות, ספקים, עובדים, משתמשי אתר), מאיזה מקורות הם מגיעים, היכן ולכמה זמן הם נשמרים, מי ניגש אליהם, ולאן הם מועברים . כמו כן כולל המיפוי תיעוד של מטרות העיבוד לכל סוג מידע, ומיפוי של צדדים שלישיים שמעורבים בתהליכי העיבוד (כגון שירותי ענן, מערכות דיוור, תוכנות CRM וכד’) . למי זה חובה? מיפוי מידע כשלעצמו לא מופיע כסעיף ספציפי בחוק, אך בפועל הוא הכרחי לכל עסק שרוצה לציית לחוק. הרשות להגנת הפרטיות והתקנות מניחים שהארגון יודע איזה מידע הוא מנהל; ללא מיפוי, לא תוכלו לדעת אילו חובות חלות עליכם (למשל האם המאגר דורש רישום? האם המידע רגיש ומצריך אבטחה מוגברת? האם מועבר לחו”ל ודורש אישור?). לכן כל עסק – קטן כגדול – צריך לבצע מיפוי ראשוני של המידע האישי שברשותו. סיכון באי-קיום: ללא מיפוי, קיים סיכון גבוה לעיוורון מידע – מידע “אבוד” במערכות ללא בקרה, שימוש במידע למטרה שונה מזו שנמסרה (מה שמהווה פגיעה בפרטיות), אחסון מידע רגיש ללא אמצעי הגנה נאותים, או אי-קיום חובות שלא הייתם מודעים אליהן. מצב כזה עלול להוביל לכשלי ציות מהותיים. בנוסף, מיפוי הוא תנאי מקדים לניהול אירוע אבטחה – בעיתות משבר צריך לדעת מייד אילו נתונים מצויים איפה. בשורה התחתונה, מיפוי מידע הוא אבן יסוד בהגנת הפרטיות; עסק שמדלג עליו מסתכן בנקודות תורפה רבות בהתאמה לחוק.
7. מינוי ממונה הגנת פרטיות (אם רלוונטי) – תיקון 13 לחוק הנהיג לראשונה בישראל תפקיד דומה ל-DPO (קצין הגנת מידע) הנדרש לפי ה-GDPR. לא כל עסק חייב למנות ממונה הגנת פרטיות, אלא רק גופים העומדים בקריטריונים הקבועים בחוק: חובת המינוי חלה על גופים ציבוריים, על ארגונים שעיסוקם העיקרי כולל עיבוד מידע אישי רגיש במיוחד בהיקף ניכר, וכן על גופים המבצעים ניטור שיטתי, קבוע ובהיקף רחב של אנשים . למשל, חברת ביטוח גדולה או בית חולים (שמעבדים מידע רפואי נרחב) חייבים למנות ממונה, וכך גם חברה פרטית שעיסוקה בסחר במידע על אנשים או פלטפורמת אינטרנט המבצעת מעקב פרסונלי רחב (כגון רשת חברתית או אתר איקומרס גדול עם מנגנוני פרופיילינג מתקדמים). עסקים קטנים ובינוניים שאינם עוסקים באופן עיקרי במידע רגיש או במעקב – כנראה פטורים מהמינוי, אך חשוב לבדוק כל מקרה לגופו (למשל סטארטאפ רפואי קטן עשוי להיכנס להגדרה בשל רגישות המידע) . למי זה חובה? כאמור, לגופים העומדים בקריטריונים בחוק המתוקן. אם אינכם בטוחים – עו”ד בתחום יבחן האם העסק שלכם נכנס לחובת המינוי. ומה תפקיד הממונה? הממונה על הגנת הפרטיות מופקד לוודא שהארגון עומד בהוראות החוק והתקנות ולתת להנהלה ולעובדים ייעוץ שוטף בנושאי פרטיות ואבטחת מידע. הוא אחראי ליזום תוכניות הדרכה ובקרה, לבחון את תהליכי עיבוד המידע, לטפל בפניות נושאי מידע, להיות איש הקשר מול הרגולטור, ולדווח על ליקויים ולהציע דרכי תיקון . הממונה יכול להיות עובד פנימי או יועץ חיצוני, אך עליו להיות בעל ידע והכשרה מתאימים בדיני פרטיות וטכנולוגיה . סיכון באי-קיום: אם העסק שלכם עומד בחובה ולא ממונה ממונה – זו הפרת חוק שעלולה לגרור סנקציות. גם אם אינכם חייבים, אי-הקדשת גורם אחראי (ולו פנימי) לניהול נושא הפרטיות עלול לגרום להזנחת התחום. ארגון גדול ללא DPO בפועל (גם אם לא פורמלי) יתקשה לעקוב אחר דרישות החוק המתרבות. לכן, גם כשלא חובה, מומלץ למנות בעל תפקיד פנימי שירכז את נושא הפרטיות, או להסתייע בשירות DPO חיצוני במיקור-חוץ לפי צורך.
8. הדרכות לעובדים בנושא הגנת מידע – העובדים והגורמים המורשים לגשת למידע בארגון הם קו ההגנה הראשון (ולעתים גם החוליה החלשה) בכל הנוגע להגנת פרטיות. התקנות מחייבות מפורשות לקיים הדרכות לכל בעלי ההרשאות למאגרי מידע, לפני קבלת גישה למידע ובטרם התחלת עיבוד המידע. במסגרת ההדרכה יש להסביר את חובות הארגון והעובד לפי חוק הגנת הפרטיות והתקנות, לרבות כללי אבטחת המידע הפנימיים, חובת הסודיות, איסור שימוש בלתי מורשה במידע, זיהוי דיוג ואיומי סייבר, נוהל דיווח על אירועים ועוד. מומלץ לערוך הדרכה תקופתית (למשל אחת לשנה) לרענון הנהלים, במיוחד בארגונים גדולים או עתירי תחלופת כוח אדם. למי זה חובה? לכל עובד, ספק או מורשה גישה למידע אישי במערכותיכם. גם אם העסק קטן, יש לוודא שכל מי שמטפל בנתונים רגישים (נניח מנהל/ת משרד המטפלים בקבצי לקוחות) מודעים היטב לחובות ולנהלים הרלוונטיים. סיכון באי-קיום: עובד שאינו מודע לכללים עלול בשוגג או ברשלנות לגרום לדליפת מידע או שימוש לא נכון בו – למשל לשלוח מייל עם פרטי לקוח לגורם הלא נכון, לשמור קובץ רגיש באופן לא מאובטח, או ללחוץ על קישור זדוני. מרבית אירועי אבטחה נובעים מטעות אנוש, ולכן הדרכה יכולה לצמצם סיכונים משמעותית. בנוסף, הדרכה היא דרישת תקנות מחייבת – אי-קיומה מהווה הפרה שעלולה להתגלות בביקורת ולגרור קנס. ארגון שמקיים הדרכות ומתעד זאת מציג תרבות ציות חזקה יותר, דבר שעשוי להגן עליו במקרה של חקירה או משפט.
9. תיעוד פעולות עיבוד ומסמכי תאימות – חלק בלתי נפרד מניהול תקין של הגנת הפרטיות הוא שמירה על תעוד מפורט ועדכני של מערך עיבוד המידע האישי בעסק. הדבר כולל, בין היתר: יצירת מסמך או מערכת פנימית המתארים את מבנה מערכות המידע והמאגרים בארגון , סוגי הנתונים בכל מאגר, מקורות הנתונים, המטרות שלשמן נעשה שימוש בכל מידע, מיקום אחסון הנתונים, ומשך שמירתם. בנוסף, יש לתעד מי הם בעלי ההרשאה או התפקידים בעלי גישה לכל מאגר, אילו פעולות עיבוד מתבצעות (לדוגמה: איסוף, הצלבה, העברה לגוף X, עיבוד אנליטי, מחיקה תקופתית), ומהם מנגנוני הבקרה. עבור מאגרים ברמת אבטחה בינונית וגבוהה, התקנות אף דורשות לנהל יומני רישום (Log) של גישות ופעולות קריטיות במערכת – כך שניתן יהיה לבדוק מי צפה או שינה מידע ומתי. למי זה חובה? דרישת התיעוד מתפרסת על כמה רבדים: התקנות עצמן מחייבות כל בעל מאגר להכין מסמך הגדרות מאגר המתאר את המערכות והאמצעים (רלוונטי לכל המאגרים המחויבים באבטחה בסיסית ומעלה) , וכן קובעות חובת רישום אירועי אבטחה ופעולות גישה במאגרים מסוימים. מעבר לכך, תיקון 13 והרגולטור מעודדים ארגונים גדולים לקיים רישום פנימי של פעולות העיבוד (בדומה לדרישת “רשומת פעולות עיבוד” ב-GDPR) כמיטב הפרקטיקה. בפועל, ארגון בינוני-גדול יצטרך בסבירות גבוהה להכין מסמכי תאימות שונים: פוליסת פרטיות פנימית, מסמך אפיון של כל מאגר משמעותי, רישום העברות מידע בינלאומיות (אם יש), תיעוד אירועי אבטחה, ועוד. סיכון באי-קיום: ללא תיעוד, הארגון יתקשה מאד להוכיח עמידה בדרישות במקרה של ביקורת או תלונה. תעוד לקוי של מערכות ומידע עלול להוביל לאי-גילוי של פרצות אבטחה, לאי-מימוש זכויות נושאי מידע בזמן (כי פשוט לא יודעים היכן המידע שמור), ולהפרות “שקטות” של עקרונות החוק. למשל, אם אין מעקב, מידע עשוי להיות מועבר לצד ג’ בניגוד למדיניות, או להישמר ללא הגבלה. מלבד זאת, מסמכי התיעוד משמשים כמפת דרכים לניהול נכון של הפרטיות – ארגון שלא מחזיק מסמכים כאלה עובד למעשה בלי מצפן. הדבר מגדיל סיכון לאי-ציות, ובמקרה של חשד להפרה, אי-קיום רישומים יהווה נסיבה לחומרה מול הרגולטור.
10. מנגנון למימוש זכויות משתמשים – חוק הגנת הפרטיות מקנה לנושאי מידע שתי זכויות עיקריות: זכות עיון – כל אדם זכאי לפנות ולברר איזה מידע אישי שמור עליו במאגרי העסק, וזכות תיקון – לבקש לתקן או לעדכן מידע שגוי לגביו (סעיפים 13–14 לחוק). בעלי עסקים חייבים להיערך כדי לאפשר מימוש זכויות אלה בפועל ובאופן יעיל. פירוש הדבר שעל העסק לקבוע ערוץ פניות ייעודי (למשל כתובת דוא”ל או טופס באתר) לבקשות מידע ותיקון, למנות אחראי לטיפול בבקשות, לקבוע נוהל פנימי לבדיקה ואימות זהות הפונה, לאיתור המידע הרלוונטי בכל המערכות, ולהשיב במסגרת הזמן שקובע החוק/התקנות (בדרך כלל 30 ימים). תיקון 13 הגדיל משמעותית את הסנקציות על הפרת זכויות אלה – כיום הרשות להגנת הפרטיות מוסמכת להטיל קנס מנהלי אם עסק מתעלם מבקשת עיון או לא מאפשר תיקון מידע . בנוסף, אדם פרטי שנפגע מכך יכול לתבוע פיצוי של עד 10,000 ש”ח ללא הוכחת נזק . למי זה חובה? לכל בעל מאגר מידע שחלים עליו סעיפי הזכות לעיון ותיקון – כלומר, כמעט כל עסק המחזיק מידע על לקוחות או אנשים. אין סף גודל מינימלי לכך. גם עסק קטן שקיבל פנייה חייב להגיב ולאפשר עיון/תיקון בהתאם לחוק. סיכון באי-קיום: עסק שמתעלם מפניות לקוחות לברר מידע או לתקנו מסתכן ישירות בקנסות ותביעות, כאמור. מעבר לכך, אי-מימוש זכויות פוגע קשה באמון – לקוח שיחוש שהחברה “מחביאה” ממנו את המידע עליו או לא מתקנת שגיאות, עשוי לנתק קשר ולפרסם ביקורת שלילית. יש לציין כי מעבר לזכות עיון ותיקון, על עסקים לכבד גם זכות להתנגד לדיוור ישיר (ראו סעיף הבא) ולהסיר אנשים מרשימות שיווק על פי בקשתם. לסיכום, חשוב מאוד להקים מנגנון ברור וזמין למימוש זכויות – זהו חלק בלתי נפרד מתרבות פרטיות תקינה ומהימנעות מעימותים משפטיים מיותרים.
11. מדיניות שמירת מידע ומחיקת נתונים – עקרון יסוד בהגנת פרטיות הוא צמצום השמירה: אין לשמור מידע אישי לאורך זמן רב מהדרוש למטרה שלשמה הוא נאסף . לכן, על עסק לקבוע לעצמו מדיניות שימור מידע: להגדיר לכל סוג מידע מהו פרק הזמן המקסימלי שנשמור אותו, ומה נעשה בתום התקופה (למשל מחיקה, אנונימיזציה או הגבלה). מדיניות זו צריכה להתחשב בדרישות חוק אחרות (למשל שמירת מסמכים חשבונאיים ל-7 שנים) לצד צרכים עסקיים לגיטימיים, אך מצד שני לא לאגור נתונים לנצח “ליתר ביטחון”. למה זה חשוב? שמירת מידע מעבר לנחוץ מגבירה מאוד את הסיכון – כמות גדולה של נתונים ישנים שנצברים הופכת לנטל: עולה עלויות אבטחה ואחסון, וקורצת לתוקפים פוטנציאליים. בנוסף, אם יתרחש אירוע דליפה, הנזק יהיה כבד יותר ככל שיש לכם יותר מידע וככל שהוא עתיק יותר (ואולי כבר לא רלוונטי). מבחינת ציות, אף שאין (נכון ל-2025) סעיף חוק מפורש הקובע זמן שמירה מקסימלי, הרשות להגנת הפרטיות בהחלט מצפה מארגונים להפגין אחריות בנושא זה. איסוף ושימוש במידע למטרה מסוימת אך אחסונו ללא הגבלה עלול להיחשב שימוש החורג מהמטרה המקורית, דבר המנוגד לעקרונות החוק. למי זה חובה? כל עסק, קטן כגדול, צריך לאמץ מדיניות פנימית לניהול מחזור חיים של מידע: החל מקליטתו, דרך אחסונו המאובטח, ועד למחיקתו בסיום הצורך. בעסקים קטנים אפשר לקבוע מדיניות פשוטה (למשל: “פרטי ליד שלא הפך ללקוח יימחקו כעבור שנה”), ובעסקים גדולים ייתכן צורך במדיניות מפורטת לפי קטגוריות מידע. סיכון באי-קיום: ללא מדיניות, נתונים אישיים עלולים “להישכח” במערכות ולהישמר לנצח – מה שפותח פתח לתלונות מצד אנשים (שיתמהו למה אתם מחזיקים במידע שלהם שנים אחורה), להפרת אמון הציבור אם יתגלה שאתם לא מוחקים דבר, וכאמור להחמרת נזקים באירועי סייבר. בנוסף, בתיקון 13 הוספה האפשרות לחייב ארגונים למחוק מידע אישי בצו אם התגלתה הפרה חמורה , כך שאם תשמרו מידע לא נחוץ אתם עלולים למצוא עצמכם נדרשים למחוק כמויות גדולות בלחץ זמן. כדי להימנע מכל אלו, עדיף לתכנן מראש לוח זמני שמירה ומנגנון מחיקה מסודר, וליידע על כך במדיניות הפרטיות שלכם.
12. קבלת הסכמות לשיווק ישיר (דיוור פרסומי) – שימוש במידע אישי של אנשים לצרכי שיווק ודיוור ישיר מחייב הקפדה יתרה על כללי החוק. ראשית, חוק התקשורת ("חוק הספאם") קובע כי אין לשלוח הודעות פרסומת בדוא”ל, SMS, פקס וכד’ ללא קבלת הסכמה מפורשת מראש מהנמען (Opt-in), למעט מקרים מוגבלים מאוד של לקוחות קיימים ובהצעות דומות לאלו שרכשו. משמעות הדבר היא שכל טופס שבו אתם אוספים פרטי התקשרות למטרות שיווק – חייב לכלול תיבת סימון ריקה בה המשתמש מביע הסכמה לקבל דיוור פרסומי . אין יותר להסתמך על “הסכמה שבשתיקה” או תיבות סימון מסומנות מראש – זה אסור. שנית, חוק הגנת הפרטיות עצמו (בסעיף 17) מתייחס ל”דיוור ישיר” – פנייה לאדם בהתבסס על השתייכותו לקבוצת אוכלוסייה (לפי מידע שיש במאגר) – ומחייב לאפשר לכל אדם להסיר עצמו מרשימת הדיוור אם אינו מעוניין. יש לנהל רשימת הסרה ולעדכן אותה בכל בקשה. למי זה חובה? לכל עסק שמעוניין לבצע שיווק ישיר: שליחת ניוזלטרים, הודעות SMS על מבצעים, שיחות טלמרקטינג, וכדומה. גם אם אתם רק אוספים כתובות מייל להוספה לקבוצת דיוור – חובה לבקש ולקבל הסכמה מפורשת לכך, נפרדת מההסכמה לתנאי השימוש הרגילים. סיכון באי-קיום: הפרת חוק הספאם חושפת את העסק לתביעות בפיצוי של 1,000 ש”ח לכל הודעה לכל נמען שקיבל ספאם ללא הסכמה – סכומים שמצטברים מהר וגררו כבר עסקים רבים לבתי משפט. גם ללא תביעה, הרשות להגנת הצרכן או משרד התקשורת יכולים להטיל קנסות מנהליים. מעבר לכך, משלוח חומר פרסומי ללא היתר יכול להיחשב פגיעה בפרטיות לפי חוק הגנת הפרטיות , ופגיעה במוניטין שלכם (נמען כועס עשוי לפרסם שהחברה שולחת ספאם). לסיכום, אין “קיצורי דרך” בשיווק – יש להטמיע מנגנון Opt-in אמיתי, לאפשר הסרה קלה בכל הודעה, ולכבד לחלוטין את רצון הלקוחות. עדיף לבנות רשימת תפוצה קטנה ואיכותית בהסכמה, מאשר “לירות לכל הכיוונים” בניגוד לחוק.

סיכום