פרטיות ואבטחת מידע בחברות סטארט אפ
מאת: עו"ד ונוטריון, ליאת גלילי-פרל
לכל חברת סטארט אפ יש נכס אחד מרכזי וחשוב. לפחות אחד. זה יכול להיות ידע ייחודי, כח אדם איכותי, פטנט (בלעדיות) על מוצר טכנולוגי, מאגר מידע, מוניטין (מותג) מצליח או כל דבר אחר שמקנה לחברה יתרון תחרותי על מתחריה בשוק.
בעידן של זרימה ושיתוף של מידע, מאגר מידע הופך להיות פעמים רבות הנכס המרכזי של החברה. שוויו של המידע ופרטי נשואי המידע (אנשים שמידע עליהם נמצא במאגר המידע) הולך וגדל בשנים האחרונות. כך, לדוגמא, כאשר פייסבוק רכשה זכויות באפליקציית המסרים וואטסאפ, תמורת לא פחות מ- 16 מיליארד דולר, היא לא רכשה פטנטים, עובדים או ידע ייחודי. היא רכשה מאגר מידע של כ-450 מיליון משתמשים. זהו מספר האנשים שעשו שימוש, באותה תקופה, באפליקציית וואטסאפ. מאגר המידע לא כלל רק את השם ואת הטלפון של כל המשתמשים כי אם גם אפיון אישי/חברתי של כל אחד מהמשתמשים באפליקציה. המידע על המשתמשים באפליקציה, הדאטה, היה הנכס המרכזי שנמכר באותה עסקה. מידע, כך מסתבר, שווה היום הרבה מאוד כסף.
כמעט כל חברת סטארט אפ אוספת מידע ונתונים על הלקוחות והמשתמשים במוצר או השירות שלה. מדוע? כי זה קל (אנשים רבים מספקים מידע רב ומידע רגיש על עצמם לחברות טכנולוגיות מבלי לחשוב פעמיים), זה זול (אין צורך במערכת טכנולוגית יקרה כדי לאסוף מידע, זה יכול להתבצע פעמים רבות בקישור לדף ייעודי באתר או האפליקציה של החברה) ויש לזה ערך כספי ומסחרי כאחד. עם זאת, חשוב לשים לב ולאסוף רק את המידע המותר לפי החוק ורק באופן איסוף המידע המותר לפי החוק.
אם כן, איזה מידע מותר לאסוף? האם נדרשת הסכמת נשואי המידע? מה מותר לעשות עם המידע? מתי קיימת חובה לרשום את מאגר המידע במשרד המשפטים? ומה הם נהלי אבטחת המידע שצריך לבצע כדי להחזיק ולנהל מאגר מידע באופן חוקי? אנחנו כאן כדי לעשות לכם סדר.
נראה שפרטיות היום היא מצרך נדיר. היכן שנלך, נידרש לחשוף פרטים אישיים כדי לקבל שירות כזה או אחר. לכן חשוב שגם אלו אשר אוספים את המידע על אחרים, יעשו זאת בזהירות הנדרשת. כבר עתה אציין שמותר על פי חוק לאסוף, להחזיק ולנהל מאגרי מידע. עם זאת, חשוב לעשות זאת בצורה חוקית ולעמוד בדרישות הוראות החוק.
חוק הגנת הפרטיות מגדיר את מונח "מאגר מידע" כ"אוסף של נתוני ידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב". החוק מחריג ולכן לא חל, על מידע שנאסף לשימוש אישי וכן על מידע שכולל רק שם, מען ודרך התקשרות (כגון מספר טלפון אבל לא דוא"ל). הרעיון הוא פשוט – אם אוספים מידע שמאפשר זיהוי של אדם, בין אם המידע שנאסף לבדו ובין אם בשילוב עם מידע שקיים ברבים או מאגרים אחרים, חייבים לעמוד בדרישות החוק ותקנות הגנת הפרטיות (אבטחת מידע) ולשמור על הפרטיות של נשואי המידע.
במרבית המקרים, קיימת חובה חוקית או רגולטורית לקבלת הסכמה של מוסר המידע, לעצם איסוף המידע אודותיו. צריך להסביר למוסר המידע אם חלה עליו חובה חוקית למסור את המידע או האם הוא נמסר מרצונו החופשי, מהי המטרה של איסוף המידע, למי יימסר המידע ולאיזו מטרה. חובה לאסוף, להחזיק ולנהל אך ורק את המידע הנדרש לשם מטרת איסוף המידע. בנוסף, חובה לאפשר למוסר המידע לעיין במידע, לתקן אותו או למחוק אותו מהמאגר והכל באופן פשוט ונוח.
במקרים הבאים אף חובה לרשום את המאגר במשרד המשפטים: מספר נשואי המידע במאגר הינו יותר מ- 10,000 אנשים; המאגר כולל מידע רגיש (כגון נתונים על מצב כלכלי, בריאותי, מס' ת.ז. וכד'); המידע לא נמסר על ידי נשואי המידע, מטעמם או בהסכמתם; המאגר שייך לגוף ציבורי; או, המאגר משמש לשירותי דיוור ישיר. כמו כן, מי שמחזיק ביותר מחמישה מאגרי מידע החייבים ברישום, יצטרך גם להגיש מדי שנה לרשם להגנת הפרטיות, דו"ח מפורט עם פרטי המאגרים וממונה אבטחת המידע שאמון עליהם בחברה.
בנוסף, תקנות הגנת הפרטיות (אבטחת מידע) קובעות ארבע דרגות אבטחת מידע של ארגונים, החל מרמת אבטחה בסיסית הנדרשת עבור מאגר יחיד או מאגרים קטנים ועד רמת אבטחה גבוהה המחייבת פעולות ומוצרי אבטחה מתקדמים, הגשת דו"חות תקופתיים, מינוי ממונה פרטיות ומינוי אחראי אבטחת מידע בארגון.
כדאי לדעת כי לא רק בעל המאגר מחוייב לעמוד בדרישות החוק להגנת הפרטיות ובתקנות הגנת הפרטיות (אבטחת המידע).
למעשה, כל מי שיש לו נגישות כלשהי למידע במאגר, מחוייב לעמוד בדרישות החוק, לרבות נותני שירותים חיצוניים לחברה, עורכי דין, רואה חשבון , ספקים וכד'. מי שלא יפעל בהתאם לדרישות החוק יסתכן בתביעת פיצויים ללא הוכחת נזק של עד 50,000 ₪, קנס של הרשות להגנת הפרטיות בישראל ואף תקופת מאסר. זאת, מעבר לסיכון של איבוד מידע חשוב, פגיעה במוניטין של החברה והיעדר האפשרות לעבוד עם שותפים עסקיים וספקים שדורשים זאת כתנאי לעשיית עסקים עם החברה. אז אם אתם חברת סטארט אפ ואוספים מידע על לקוחות החברה, חשוב שתקבלו ייעוץ משפטי באשר לחובות החלות עליכם לפי הדין. לכל אחד מאיתנו קיימת הזכות לפרטיות, בואו נשמור על הפרטיות לטובת כולנו.
המאמר נכתב על ידי עו"ד ונוטריון ליאת גלילי-פרל, מרצה באקדמית רמת גן, שותפה במשרד פרל עורכי דין (www.israel-ip.com) וחברה בלשכה לטכנולוגיות מידע. אין באמור משום ייעוץ משפטי.
