רגולציית הפרטיות – No Exit?

בשלבים המוקדמים של סטארט-אפ טכנולוגי, נושא הפרטיות לא תמיד מצוי בראש מעייניו של היזם. הנושא הבוער ביותר בשלב זה הינו הנושא הטכנולוגי – איך מגיעים לשוק עם הטכנולוגיה פורצת הדרך באופן המהיר ביותר.

כחלק מהתוכנית העסקית, מבקשות החברות, פעמים רבות, לאסוף ולהשתמש במידע האישי של משתמשי הקצה (מיקום, אנשי קשר, תמונות ועוד) – מידע אשר לאיסופו יש משמעות כלכלית עבור החברה. אך היעדר תשומת הלב לנושא הפרטיות כבר בשלב מוקדם זה, עלול להיות בעוכריה של החברה עוד בשלבים המוקדמים של גיוס הון.

כבר בשלבי גיוס ההון, עלולות החברות להיתקל בשאלת השמירה על הפרטיות, כחלק מתהליך בדיקת נאותות שקרנות הון הסיכון מבצעות. קרנות הון סיכון בעלות מודעות לנושא הפרטיות, אשר בוחנות האם הנושא בא לידי ביטוי בתוכנית העסקית של החברה, יטו יותר לממן חברות המפחיתות את הסיכון לפגיעה בפרטיות על-ידי טיפול פרו-אקטיבי מצידן, וזאת על מנת להגן טוב יותר על ההשקעה שלהן ועל המשקיעים שלהן.

רגולציית ה-GDPR (ר"ת General Data Protection Regulation) מגדירה את המדיניות בהקשר לאיסוף, אחסון ועיבוד נתונים אישיים. המונח "נתונים אישיים" מוגדר במסגרת הרגולציה ככל מידע הנוגע לאדם, המאפשר, במישרין או בעקיפין, זיהוי של אותו אדם, ובפרט התייחסות למזהה כגון שם, מספר מזהה, מיקום, מזהה מקוון או פרטים הנוגעים לזהות הפיזית, הפסיכולוגית, הגנטית, הנפשית, הכלכלית, התרבותית או החברתית של אדם (סעיף 4 לרגולציה).

להגיב להתנגדויות ולענות על דרישות משפטיות

כדי לעמוד במדיניות זו, יש לנקוט בגישה של הגנה מובנית (Privacy by Design) כחלק מהדרך בה המערכת או היישום מתפקדים. לגישה זו יש השלכות משמעותיות על התהליך כולו, מתכנון ופיתוח מוצרים לפעילות עסקית בפועל. אך יחד עם זאת, יתרונן של חברות סטארט-אפ יבוא לידי ביטוי ביכולת לגלות גמישות בפיתוח המוצר, באופן שיכלול הגנה מובנית.

כוונת המחוקק בקביעת העיקרון של Privacy by Design אינה ברורה עדיין די הצורך, אבל ישנם כמה עקרונות בסיס שתמיד כדאי להקפיד עליהם:

● יש לשקול ולהעריך, כחלק מתהליך תכנון המוצר, האם וכיצד החברה עומדת לאסוף, לשמור, להשתמש או לשתף נתונים של צרכנים אחרים. הפונקציונליות הנ"ל עשויה להשפיע על שמירת הפרטיות, כולל היכולת של הצרכנים לקבל החלטות לגבי המידע האישי שלהם. המשתמשים חוששים יותר ויותר בנושאים של פרטיות, ולחץ המשתמשים והרגולטורים כבר אילץ חברות כמו פייסבוק (Facebook) וגוגל (Google) לשנות את שיטות העבודה שלהן, ולהציע למשתמשים הגנות פרטיות פשוטות וקלות יותר לשימוש. מי שיקדים לתת את הדעת על עניין זה במסגרת פיתוח המוצר, יהיה בעמדה טובה יותר כאשר יידרש לטפל בפניות המשתמשים, להגיב להתנגדויות ולענות על דרישות משפטיות.

● טיפול נאות בכל הקשור בשמירה על פרטיות קטינים. לדוגמה, חוסר יכולת מעקב אחר התנהגות ילדים ברשת ללא הסכמת ההורים, הגבלת שיווק מקוון לקטינים, הטמעת כפתור מחיקה המאפשר להורים "לחסל" את המידע האישי של הילדים שכבר "דלף" לרשת וכן יכולת להורים לשלוט באיסוף המידע על ילדיהם.

● איסוף נתוני המשתמשים חייב להיות מוגן באופן אוטומטי כברירת מחדל. בנוסף, יש להציע למשתמשים מנגנונים המאפשרים להם לבטל את הצטרפותם או להביע את הסכמתם לגבי נהלי איסוף הנתונים (גם אם מנגנונים אלה אינם מיושמים מלכתחילה).

● על הטיפול בנתונים שנאספים להתבצע באופן גלוי ושקוף למשתמש. בנוסף, חשוב למזער את הנתונים שנאספים על המשתמש היחיד רק למה שנדרש כדי להשיג מטרות עסקיות לגיטימיות. על ידי הגבלת היקף וכמות נתונים שנאספים ללא צורך אמיתי, חברות מפחיתות נזק פוטנציאלי שעלול להגרם כתוצאה מאירוע של זליגת מידע.

● הגנה על נתוני המשתמשים באמצעים פיזיים, טכניים ומנהליים. רמת האבטחה הנדרשת תלויה ברגישות הנתונים שהחברה שומרת, בגודל ובאופי הפעילות העסקית של החברה, ובסיכונים של החברה.

● מחיקת נתונים ללא שימוש. חברות יכולות לשמור נתונים עבור תקופות זמן ארוכות יותר ויותר, עקב ירידה דרמטית בעלויות אחסון הנתונים. הדאגה היא, כי חברות השומרות על נתונים לתקופות זמן ארוכות ממציאות שימושים חדשים ומשניים עבור הנתונים. שימושים שהמשתמשים לא צפו כאשר סיפקו את הנתונים מלכתחילה.

לסיכום, כאשר הצרכנים מבטאים דרישה מוגברת להגנה על הפרטיות, היזמים צריכים לשאול את עצמם אם המוצרים והשירותים שלהם מספקים לצרכנים מידע ברור ואפשרויות בחירה לגבי אופן איסוף הנתונים וטיפול בהם, ולהתאים את שיטות העבודה העסקיות שלהם לדרישה זו.

לחברת סטארט-אפ יש יתרון של היכולת לפתח וליישם תוכנית פרטיות בשלב מוקדם, להתייחס לנושא הפרטיות בתכנון המוצרים והשירותים שלה, ובכך להבטיח שהגנות פרטיות מהותיות אלה יהפכו לחלק מהמודל העסקי שלה.

Privacy by Design הופכת את הפרטיות למרכיב חיוני של המוצר או השירות שמספקת החברה. איתור בעיות פרטיות וטיפול בהן עוד קודם להשקה, מאפשרת התאמה של המוצרים והשירותים לציפיות הצרכנים ולדרישות הרגולטור, וכך יכול להציל את כולם – יזמים וקרנות כאחד – מכאבי ראש בעתיד.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי, ועו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.