הבסיס החוקי: מה מחייב מפתחי אפליקציות
מפתח בנה אפליקציה, נשמר כתובות אימייל וכרטיסי אשראי, וחשב שאפלודים. לא. הוא בדיוק בנה "מסד נתונים" לפי החוק הישראלי — וזה משנה הכל. חוק הגנת הפרטיות (תשמ"א-1981) ותקנות 2017 כוללות דרישות סטריקטיות: הצפנה, הודעה על פרצות תוך 72 שעות, אפשרות מחיקה למשתמשים. ממונה הפרטיות לא יבדוק כל אפליקציה — אבל אם יש תלונה, זה יהיה יקר.
מה שמפתחים רבים לא יודעים: עצם שמירת כתובת אימייל ופרטי תשלום הופכת את האפליקציה ל"בעלת מסד נתונים" לפי חוק — עם כל החובות הנובעות מכך, כולל חובת רישום ברשות הגנת הפרטיות (PPA).
הסכמה ומדיניות פרטיות — מה שאי אפשר לוותר עליו
לפני איסוף כל נתון נדרשת הסכמה מפורשת ומדעת. הסכמה "שתיקה" כגון "שימוש באפליקציה מהווה הסכמה" אינה כשרה לפי החוק. מדיניות הפרטיות חייבת להיות נגישה, קריאה, ומפורטת — לא מסמך ב-40 עמוד שאף אחד לא קורא.
מה חייב להיות בה: אילו נתונים נאספים ולמה; כמה זמן הם נשמרים; מי מקבל גישה; כיצד ניתן למחוק חשבון; ואיך פונים לממונה על הפרטיות.
זכויות המשתמשים — ומה המפתח חייב לאפשר
כל משתמש ישראלי זכאי לפי החוק: לעיין בנתונים שנאספו עליו; לדרוש תיקון נתונים שגויים; לדרוש מחיקת חשבון ונתונים ("הזכות להישכח"); לקבל עותק של הנתונים בפורמט קריא; ולהתנגד לשימוש בנתוניו לצרכים שיווקיים. רשות הגנת הפרטיות (PPA) מטפלת בתלונות — ומי שלא מגיב לבקשות לגיטימיות עלול למצוא את עצמו בחקירה.
ילדים — הגנה מיוחדת שמפתחים מזלזלים בה
אפליקציה המיועדת לילדים מתחת לגיל 13 חייבת לקבל הסכמת הורה, לא של הילד. זו חובה חוקית — לא המלצה. יתרה מזו: אפליקציה שאינה מיועדת לילדים אך יודעת מתוך הנתונים שמשתמש הוא מתחת לגיל 13 — חייבת לנקוט אמצעים. Google ו-Apple מחמירים כיום באכיפה בחנויות האפליקציות, ו-PPA הקימה יחידה ייעודית לנושא.
אבטחת מידע — חובות טכניות
תקנות 2017 מחייבות: הצפנה של נתונים בהעברה ובאחסון; בקרת גישה ומדיניות סיסמאות; מינוי ממונה אבטחת מידע בחברות מעל גודל מסוים; ביצוע בדיקות אבטחה תקופתיות. אחת מהדרישות הקריטיות: דיווח מיידי על פרצת אבטחה — לרשות הגנת הפרטיות ולמשתמשים המושפעים. חברות שגילו פרצה ושתקו — שילמו על כך ביוקר.
הסנקציות: מה קורה כשמפרים
קנסות מינהליים על הפרות — עשרות עד מאות אלפי שקלים. תביעות נזיקין אישיות — פיצוי על פגיעה בפרטיות ובכבוד, ללא צורך בהוכחת נזק ממשי. תביעות ייצוגיות — חברה שהפרה פרטיות של קהל גדול יכולה להיתקל בחשיפה כספית של מיליוני שקלים. ⚠️ קיימת גם אחריות פלילית במקרים חמורים — לאמת מול הוראות הענישה בחוק.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: כשמייעצים לסטארטאפ שבונה אפליקציה — עברו על רשימת הנתונים שנאספים ובדקו אם נדרש רישום מסד נתונים ברשות הגנת הפרטיות (PPA). רוב הסטארטאפים לא יודעים שחובת הרישום קיימת, וזו עילה קלאסית לאכיפה.
- פסיקה רלבנטית: בית המשפט העליון הכיר בזכות לפרטיות כזכות חוקתית — מה שמחזק טיעונים בתביעות מעל לרף הנזק הפיזי. ⚠️ הפנו לפסיקה ספציפית לאחר אימות.
- טעות נפוצה: לקוחות מניחים שציות ל-GDPR מספיק לשוק הישראלי. הוא לא — חוק הגנת הפרטיות הישראלי שונה, בפרט בנושאי רישום מסדי נתונים וחובת הדיווח על פרצות.
- נקודה טקטית: ה-EU העניקה לישראל Adequacy Decision (ינואר 2024) — מה שמקל על העברת נתונים לישראל מאירופה. זו נקודת יתרון בעסקאות עם חברות אירופאיות שמחפשות ספקי SaaS.