כדי להבהיר כמה האמירה לעיל רחוקה מהמציאות, נתחיל בהסבר קצר, מה בעצם קרה באוגוסט 2025.
דרישות הגנת פרטיות ואבטחת מידע אישי היו קיימות עוד הרבה לפני 2025. חוק הגנת הפרטיות חוקק ב-1981 וחובות מפורטות של דרישות אבטחת המידע האישי, סוגרות עוד מעט עשור שלם.
התיקון לחוק הגנת הפרטיות, המכונה ‘תיקון 13’ הביא לשני שינויים משמעותיים: האחד, הוא צמצם את הפער בין חוק לטכנולוגיה, שכל הזמן נפתח מחדש, והשני, הוא יצר 'מחירון' להפרות רבות מאד של החוק.
עד כאן, כבר ראינו דברים דומים בחוק שנקרא ‘חוק הספאם’ וגם בחוק שנקרא ‘חוק הנגישות’, אז לכאורה מדובר בעוד חוק ועוד אמצעי אכיפה.
עם חוק הספאם, העסקים למדו להתמודד די מהר, בטכניקות פשוטות. בנוסף, התמריץ הכלכלי לאכיפה אזרחית באמצעות תביעה, לא היה אטרקטיבי מספיק ('רק' עד 1000 ₪ להפרה), ביחס למאמץ הנדרש. בנוסף גם אכיפת הרגולטור של חוק זה אינה משמעותית.
לחוק הנגישות, שמתייחס גם לנגישות פיזית (ואולי בעיקר אליה) וגם לנגישות דיגיטלית, נמצאו מהר מאד פתרונות טכניים להתמודדות עם התחום הדיגיטלי, כי הוא טכני ביסודו.
אמנם כאן התמריץ הכלכלי לאכיפה אזרחית הוא גבוה יותר, אבל לא חצה את סף הכדאיות, בגלל פטורים כאלו ואחרים, שחייבו מאמץ גדול יותר על מנת להגיע לתביעות בודדות.
לכן, בשני המקרים הנ"ל מצאנו את התובעים הסדרתיים מתמקדים בתובענות ייצוגיות ולא בתביעות פרטניות, שזו ההוכחה הברורה ביותר של חוסר הכדאיות שלהן ואם ‘המקצוענים’ לא עושים זאת, סימן שזה לא כדאי.
אז מדוע שחוק הגנת הפרטיות יהיה שונה? מדוע מדיניות הפרטיות שנוסיף לאתר שלנו, לא תאפשר לנו לסמן V גם על חוק זה?
ובכן, זה מאד פשוט. דרישות הגנת הפרטיות אינן מתמקדות רק באתר האינטרנט. זה חלק קטן מאד מהן. בנוסף, מדיניות הפרטיות, כשמה כן היא – מדיניות השמירה של העסק על פרטיות המידע האישי שקיבל.
מדיניות פרטיות באתר האינטרנט היא מקרה בודד של מדיניות הפרטיות של העסק וגם אז, עסקים לא פועלים, בפועל, לפי המדיניות שהם עצמם פרסמו לגולשים.
עסקים כיום מעבדים מידע אישי בכל תחום שלהם ועושים זאת באמצעים טכנולוגיים שעל כולם חל החוק.
בוא ניקח דוגמה קטנה ממדיניות הפרטיות באתר האינטרנט. המדיניות כוללת הבהרה שלגולש יש זכות לבקש לעיין בכל המידע האישי עליו שנמצא בעסק, אפילו אם אינו לקוח.
האם העסק יודע להתמודד עם בקשה כזו?
בדרך כלל, לא רק הגולשים אינם קוראים את מסמך המדיניות, אלא לצערי גם בעלי העסקים.
התעלמות מבקשה כזו, לקבלת כל המידע, יוצרת עילה לתביעה, ללא הוכחת נזק, של עד 10,000 ₪.
זו תביעה פשוטה, במינימום מאמץ, כלומר הכדאיות הכלכלית לתובע היא גבוהה הרבה יותר מחוק הספאם וחוק הנגישות.
מסמך מדיניות הפרטיות לא יסייע פה, אלא אפילו ישמש ראיה כנגד העסק, שציין את זכות העיון, כחלק מהמדיניות, אבל התעלם ממנה!
מלבד התביעה, מוסר המידע יכול לפנות גם לרגולטור, על אותה הפרה של העסק, ושם המחיר לעסק הוא כבר 15,000 ₪, בנוסף ל-10,000השקלים.
מדובר באכיפת רגולטור חריפה יותר גם מחוק הספאם וגם מחוק הנגישות וברובה, בכלל אינה קשורה לאינטרנט.
וזה לא נגמר רק כאן. אי אפשר לסיים מבלי להזכיר את מחציתו הנוספת של חוק הגנת הפרטיות והיא אבטחת המידע האישי.
הדרישות, שקיימות כבר קרוב ל- 10 שנים, גם קיבלו עכשיו 'מחירון' של הפרות, שיכולות להגיע לכדי עשרות אלפי שקלים ובעסקים גדולים יותר, גם למאות אלפי שקלים.
'יש לי סוגיה מעניינת שנתקלתי בעסק בנושא פרטיות שאני מעוניין להתייעץ איתך".
זה מה שאני רוצה לשמוע מבעלי עסקים, אחרי שקראו את המאמר.
