חברות רבות בישראל, כמו גם בעולם, משתמשות באינטרס לגיטימי לעיבוד מידע כבסיס החוקי לפעילות הזו, אך לרוב הן חוטאות בכך שהן מציינות את האינטרס הלגיטימי בצורה כללית מדי ולא מפרטות אותו כנדרש. במצב כזה אינטרס לגיטימי איננו לגיטימי ממש ואינו יכול לשמש כבסיס החוקי לאיסוף ועיבוד מידע.

לרוב אפליקציות ואתרים גם מייצרים אינטראקציות עם מערכות נוספות שאוספות מידע, כמו למשל, רשתות חברתיות שבאמצעות חשבון המשתמש בהן אפשר להתחבר לאפליקציה או האתר וליצור בהם חשבון. אינטראקציות כאלו יכולות לגרום לבעיות בתחום הגנת הפרטיות אשר יש צורך לפתור בצורה מסודרת במדיניות הגנת הפרטיות ותנאי השימוש של האפליקציה או האתר.

מנקודת מבטי, כמעט כל הלקוחות שבייצוג המשרד שלנו מוכנים או כמעט מוכנים לשינוי המוחל על ידי גוגל כשרובם כבר עומדים בכללי ה-GDPR שהן כאמור, "תו התקן" הנוגע לפרטיות והגנה על מידע. ככלל, אנו ממליצים על עמידה בכללים אלו כדרך לעמוד (כמעט) בכל חקיקת פרטיות רלוונטית ולהקטין את החשיפה המשפטית של החברה למינימום. כמו כן, בכללי ה-GDPR יש המון הגיון מסחרי בהקשר של תהליכי ניהול סיכונים והתמודדות עם אירועי סייבר ודליפות מידע.

בנוסף, ציות לכללי ה-GDPR מסייע לחברה לעמוד בתנאי החוק במאמצי השיווק שלה ומתווה את 'דרך המלך' לשיווק שיש בו חשיפות מינימליות לסוגיות של הגנת הפרטיות וחוקים שונים שנועדו למנוע שיווק ודיוור ישיר לא מורשה, כמו למשל חוק הספאם (או בשמו הרשמי – סעיף 30א' לחוק התקשורת (בזק ושידורים) התשמ"ב - 1982) שבארץ משמש כבסיס נרחב לתובענות ייצוגיות ותביעות צרכניות רבות.

בעולם הגנת הפרטיות והמידע, לאור פעילות האכיפה התכופה והמשמעותית של הרגולטורים, פתיחה בהליך חקירה או הליך בדיקה על ידי רגולטור, הינו הליך יחסית שכיח. הליך כאמור יכול לגרום לעלויות משפטיות גבוהות למדי בשל הצורך להתמודד עימו בצורה טובה ולמזער את חשיפת העסק או החברה לסנקציות רגולטוריות. הדבר מקבל משנה תוקף על אחת כמה וכמה, אם במידה ובסוף הליך כאמור מוטלת סנקציה כאמור על החברה וצריך להתמודד עימה (בבית המשפט או בהליך ערר בפני הרגולרטור הרלוונטי). לכן, אחד הדברים החשובים שכדאי לציין בעניין זה הוא שבכל המקרים, ציות מוקדם גם מוריד עלויות ניהול וציות ועלויות משפטיות לאורך זמן באופן כללי אך במיוחד, ככל שהליך כאמור פוגש את החברה.

אך לעיתים לא כך הדבר ומדי יום אנחנו נתקלים בלקוחות ולקוחות פוטנציאליים שמדיניות הפרטיות ותנאי השימוש שבהם הם עושים שימוש הם תוצר של פעולת "העתק-הדבק" מאתר רנדומלי כלשהו או אפליקציה רנדומלית כלשהי בין עם על ידיהם או על ידי בעל מקצוע שאיננו מעורה בתחום. הבעיה במצב כזה, היא השוני באינטרס הלגיטימי לאיסוף ועיבוד המידע בין החברות הללו וגם כמובן, שכל אפליקציה פועלת בדרכה שלה ועושה במידע שימושים שונים ואוספת מידע בדרכים שונות וכנ"ל לגבי אתרי אינטרנט. שוני כזה כמובן, פוגע במהות המסמכים הללו ומייצר חשיפות משפטיות מיותרות שלא לצורך וחשיפות כאלה, במיוחד כשמדובר על הרגולטורים האירופאים, יכולות להיות משמעותיות למדי.

לסיכום, כדי למנוע חשיפות משפטיות מיותרות, חשוב לעמוד בכללי הגנת הפרטיות והמידע הרלוונטיים לאזורי הפעילות של החברה. ככלל, תו התקן" הנוגע לפרטיות והגנה על מידע הוא ה-GDPR ומומלץ לעמוד בו כנקודת פתיחה. נקודת פתיחה טובה בהקשר זה היא ההבנה שחשוב שמדיניות הפרטיות של האפליקציה או האתר תהיה "תפורה למידות" של האפליקציה או האתר, שתהיה בדיוק לצרכי החברה ותתייחס במדויק למידע שנאסף, לצרכים שלשמם הוא נאסף ולבסיס החוקי שבשמם הוא נאסף.

מאת גיל סולומון, מייסד המשרד, גיל סולומון ושות'