עורך דין לאבטחת מידע ודיני אינטרנט: איך לבנות מדיניות פרטיות נכונה לעסק

עורך דין לאבטחת מידע ודיני אינטרנט: איך לבנות מדיניות פרטיות נכונה לעסק

מדיניות פרטיות היא לא עוד מסמך שזורקים בתחתית האתר עם פונט בגודל של ״אל תראו אותי״.

זו ההבטחה הכי פרקטית שלך ללקוחות – וגם אחד הכלים הכי חכמים לשקט נפשי, אמון ומניעת כאבי ראש.

במאמר הזה נצלול לעומק: איך כותבים מדיניות פרטיות נכונה לעסק, מה חייב להופיע בה, איפה עסקים נופלים (בקטע משעשע, לא דרמטי), ואיך בונים מסמך שמחזיק מים בעולם האמיתי – של טפסים, עוגיות, ספקים, דאטה ולקוחות שמצפים שתהיה אחראי.

רגע, למה בכלל צריך מדיניות פרטיות? 3 סיבות שלא תוכל להתווכח איתן

כי אתה אוסף מידע. גם אם נדמה לך שלא.

שם, אימייל, טלפון, כתובת IP, הזמנות, פניות שירות, הרשמה לניוזלטר, נתוני שימוש באפליקציה – הכל נחשב מידע, וחלק מזה רגיש יותר ממה שנוח להודות.

ומדיניות פרטיות טובה עושה שלושה דברים במקביל:

  • מסבירה ללקוחות מה קורה עם המידע שלהם, בלי לדבר איתם בשפת ״חוזה 200 עמודים״.
  • מיישרת קו בין מה שהעסק עושה בפועל לבין מה שהוא אומר שהוא עושה.
  • מורידה סיכונים – תלונות, אי הבנות, פניות רגולטוריות, וגם אותו רגע לא נעים שבו מישהו שואל ״למה אתם שומרים את זה בכלל?״.

הטעות הכי נפוצה: לכתוב מדיניות פרטיות לפי ״העתק-הדבק״

הפיתוי ברור.

אבל הנה הקאץ׳: מדיניות פרטיות היא לא שיר אהבה – אי אפשר למחזר אותה בלי להבין את ההקשר.

כשעסק מדביק מסמך של מישהו אחר, בדרך כלל קורה אחד מהבאים:

  • המסמך מצהיר שאתה אוסף דברים שאתה בכלל לא אוסף (וזה נשמע מביך).
  • המסמך שוכח לציין דברים שאתה כן אוסף (וזה כבר עלול לעלות ביוקר).
  • יש בו שמות של שירותים שלא קיימים אצלך (שלום לך, ״Salesforce״ שלא נרשמת אליו מעולם).
  • הוא סופר-משפטי, הלקוח מתייאש אחרי שתי שורות, ואז האמון מתאדה.

מדיניות פרטיות טובה מתחילה בשאלה פשוטה: מה באמת קורה אצלך מאחורי הקלעים?

הבסיס: מה חייב להופיע במדיניות פרטיות כדי שהיא תרגיש ״אמיתית״

אם הקורא מסיים ומרגיש שהבין – עשית עבודה מצוינת.

אם הוא מסיים ומרגיש שהוא צריך עורך דין כדי להבין מה כתבת – פחות.

1) איזה מידע נאסף – ובאיזה רגע?

פרק שווה זהב.

כדאי לפרק לפי מקורות:

  • מידע שאתה מקבל מהמשתמש – טופס יצירת קשר, הרשמה, רכישה, צ׳אט, העלאת קבצים.
  • מידע שנאסף אוטומטית – קבצי יומן, מזהי מכשיר, כתובת IP, עוגיות וכלי אנליטיקה.
  • מידע מצדדים שלישיים – למשל מערכות סליקה, פלטפורמות פרסום, רשתות חברתיות.

2) למה אתה אוסף את המידע? (לא ״כי בא לנו״)

פה הרבה מדיניות פרטיות נשמעת כמו רובוט עצבני.

במקום זה, כתוב פשוט:

  • לספק שירות או מוצר
  • לענות לפניות ולתמוך בלקוחות
  • לשפר חוויית שימוש ומדידה
  • למנוע הונאות ושימוש לרעה
  • לשלוח עדכונים ושיווק – רק אם זה רלוונטי ורק אם יש בסיס מתאים

3) עם מי משתפים מידע – ומתי זה קורה?

זה החלק שבו אמון נבנה או נעלם.

הכלל: לא מפחידים, אבל גם לא מסתירים.

דוגמאות לשיתוף לגיטימי שכדאי להבהיר:

  • ספקי אחסון וענן
  • ספקי דיוור, CRM ושירות לקוחות
  • ספקי סליקה וחשבוניות
  • יועצים מקצועיים במידת הצורך (משפטי, חשבונאי), במינימום הנדרש

4) כמה זמן שומרים את המידע?

התשובה ״לנצח״ לא מחמיאה לאף אחד.

אפשר לנסח מדיניות שמדברת על עקרון: שמירה רק כל עוד צריך – לפי מטרת האיסוף, דרישות דין, והתנהלות עסקית סבירה.

ואם יש סוגי מידע שונים – מצוין לפרט.

5) איך מאבטחים מידע בלי לגלות את כל הסודות?

לא צריך לפרסם את מפת האוצר של ההגנות שלך.

כן צריך לשדר רצינות.

ניסוח טוב כולל:

  • אמצעי אבטחה ארגוניים וטכניים
  • גישה מוגבלת למידע לפי תפקיד
  • בקרה ושיפור שוטפים

רוצה שהקטע הזה יהיה מדויק ולהתאים אותו למה שקורה אצלך באמת? שווה להתייעץ עם עורך דין לאבטחת מידע – מוטי כהן כדי לוודא שהמילים היפות יושבות על תשתית נכונה.

החלק שאנשים אוהבים לדלג עליו – זכויות המשתמש (ואז להצטער)

המשתמשים שלך לא רק ״מספקים מידע״. יש להם זכויות.

מדיניות פרטיות טובה מסבירה בצורה קלילה:

  • איך אפשר לעיין במידע או לבקש תיקון
  • איך אפשר לבקש מחיקה או הגבלה – אם רלוונטי
  • איך יוצרים קשר בנושא פרטיות
  • איך מסירים הרשמה מדיוור שיווקי (לרוב בלחיצה אחת, כי אנחנו אנשים טובים)

ואם יש לך אתר עם קהל בינלאומי, או פעילות חוצה גבולות, או שירותים דיגיטליים מורכבים – כדאי שהמדיניות תיכתב בראייה רחבה של דיני אינטרנט, קניין רוחני ופרטיות.

במקרים כאלה, חיבור נכון בין משפט לטכנולוגיה עושה את כל ההבדל, למשל דרך ייעוץ של עו״ד דיני אינטרנט וקניין רוחני מוטי כהן שמכיר את השטח הדיגיטלי מבפנים.

עוגיות, פיקסלים וכל החבורה: מה לכתוב כדי לא להסתבך

עוגיות הן לא קינוח.

ולא, ״אנחנו משתמשים בעוגיות כדי לשפר את החוויה״ זה לא תמיד מספיק.

כדאי להסביר:

  • אילו סוגי עוגיות יש – חיוניות, אנליטיקה, שיווק, העדפות
  • מי מפעיל אותן – אתה או צדדים שלישיים
  • איך לשלוט בהן – דרך הגדרות דפדפן או כלי ניהול הסכמה אם יש

והטיפ הקטן שעושה הבדל גדול: ודא שהנוסח שלך תואם למה שקורה בפועל באתר.

אם יש פיקסל פרסום – תגיד.

אם אין – אל תמציא.

5 שאלות ותשובות שאנשים שואלים רגע לפני שהם מעלים מדיניות פרטיות

שאלה 1: אפשר לכתוב מדיניות פרטיות בעמוד אחד וזהו?

כן, אם העסק פשוט והאיסוף מינימלי.

אבל ברגע שיש הרשמות, סליקה, אנליטיקה או שיווק – עמוד אחד עלול להפוך ל״קצר מדי כדי להיות נכון״.

שאלה 2: אם אני עסק קטן, זה פחות חשוב?

להפך.

דווקא בעסק קטן, תקלה קטנה מרגישה גדולה.

מדיניות פרטיות מסודרת נותנת יציבות ומקצועיות בלי קשר לגודל.

שאלה 3: האם מדיניות פרטיות מחליפה הסכמה מהמשתמש?

לא בדיוק.

מדיניות מסבירה.

הסכמה היא פעולה נפרדת במקרים שבהם צריך אותה, למשל בדיוור או בעוגיות מסוימות, לפי ההקשר והדין הרלוונטי.

שאלה 4: מה לגבי טפסים שאוספים ״רק אימייל״?

גם אימייל הוא מידע אישי.

כדאי לציין מה מטרת האיסוף, כמה זמן שומרים, ואיך מבטלים הרשמה.

שאלה 5: מתי צריך לעדכן מדיניות פרטיות?

כשמשהו משתנה באמת: כלי אנליטיקה חדש, ספק חדש, סוג מידע חדש, או שינוי באופן השימוש במידע.

ואם עדכנת – תחשוב גם על דרך סבירה להודיע.

צ׳ק ליסט קצר: איך לדעת שהמדיניות שלך טובה עוד לפני שעורך דין רואה אותה

אפשר לבדוק את עצמך עם שאלות פשוטות:

  • האם אדם רגיל מבין מה אתה אוסף ולמה?
  • האם כתבת בדיוק מה שקורה בפועל באתר ובמערכות?
  • האם יש דרך ברורה ליצור קשר בנושאי פרטיות?
  • האם הזכרת שיתופים עם ספקים בצורה שקופה ולא מלחיצה?
  • האם מדיניות הפרטיות תואמת לעולם העוגיות והכלים באתר?

אם ענית ״כן״ על רוב הסעיפים – אתה בכיוון הנכון.

אם ענית ״בערך״ – גם זה מצוין, כי עכשיו יודעים מה לשפר.


מדיניות פרטיות נכונה לעסק היא שילוב של היגיון בריא, שקיפות ואחריות.

היא לא צריכה להפחיד, ולא צריכה להיות משעממת.

היא פשוט צריכה להיות אמיתית, ברורה ומתואמת למה שקורה אצלך בפועל.

כשזה קורה, אתה מרוויח לקוחות רגועים יותר, תהליך עבודה מסודר יותר, ומוניטין דיגיטלי שמרגיש מקצועי מהשנייה הראשונה.

כתוב/כתבי תגובה