בקצרה: איסוף מידע על ילד מתחת לגיל 13 מחייב הסכמת הורים בכתב. ה-GDPR (שחל גם על חברות ישראליות הפועלות באירופה) קובע גיל 16. הורים יכולים לדרוש מחיקת מידע של ילדיהם מכל מאגר נתונים.

מה החוק הישראלי ו-GDPR קובעים לגבי מידע של ילדים?

אפליקציה לילדים שאוספת מידע על מיקום, על העדפות, על דפוסי שימוש — ומעבירה אותו לחברות פרסום: זה לא "נורמלי". לפי חוק הגנת הפרטיות, תשמ"א-1981, זה אסור. לילדים מתחת לגיל 13, נדרשת הסכמת הורים מפורשת לפני כל איסוף נתונים. חברה שמפרה — חשופה לתביעה ולקנסות. בעולם הדיגיטלי, חברות טכנולוגיה בישראל תחויבות לעמוד בדרישות דומות לאלה של ה-GDPR (General Data Protection Regulation) של האיחוד האירופי כאשר הן מטפלות בנתונים של קטינים שמנויים למוצריהן מישראל.

העיקרון קבוע בחוק: חברה הפועלת מחוץ לישראל אבל אוספת נתונים על אזרחים ישראלים — חייבת לעמוד בחוק הגנת הפרטיות הישראלי. מיקום השרתים לא פוטר. ⚠️ פרטי הדרישות יש לאמת מול הרשות להגנת הפרטיות.

מי צריך לתת הסכמה — ההורה או הילד?

לשימוש בנתונים של קטין מתחת לגיל 13, נדרשת הסכמת הורה — לא מספיק ש"הילד לחץ על אישור". בין 13 ל-18 הסיטואציה מורכבת יותר: ניתן לטעון שמתבגר יכול להסכים בעצמו, אבל בשירותים בסיכון גבוה (כגון שיתוף מיקום, פרופיל ציבורי) — ניסוח מדיניות פרטיות ברורה ונגישה לקטינים הוא חובה. ⚠️ גיל ההסכמה המדויק לפי החוק הישראלי העדכני יש לאמת מול הרשות להגנת הפרטיות.

מתי חברה יכולה להעביר מידע של ילד לצד שלישי?

חברה טכנולוגית לא רשאית להעביר נתונים אישיים של קטינים לחברות פרסום, חברות ניתוח נתונים, או כל צד שלישי — ללא הסכמה מפורשת. שיתוף נתונים ב"תנאי שירות" הטמונים בדף 14 של עמוד הפרטיות לא עולה לכדי הסכמה. הפרה כזו חושפת את החברה לתביעה אזרחית ולסנקציות מהרשות להגנת הפרטיות. ⚠️ סכומי הקנסות הספציפיים יש לאמת מול החקיקה העדכנית.

השרתים בחו"ל — האם זה פוטר את החברה מהחוק הישראלי?

חוק הגנת הפרטיות מגביל העברת מידע אישי לחו"ל — ובכלל זה נתוני קטינים. העברה למדינה שאינה מספקת הגנה ברמה ישראלית דורשת הסכמה מפורשת ותנאים מיוחדים. ישראל נמצאת ב-Adequacy Decision של האיחוד האירופי, מה שמקל על זרימת נתונים עם אירופה — אך גם מרים את רמת ה-Compliance הנדרשת מחברות ישראליות. ⚠️ דרישות ספציפיות להעברת נתונים יש לאמת לפי הדין העדכני.

כיצד ניגשים למידע שנאסף על ילדכם ומבקשים לתקן או למחוק?

כל ילד (או ההורה שלו, בהתאם לגיל) רשאי להגיש בקשה לחברה טכנולוגית או למאגר נתונים כדי: (א) לדעת אילו נתונים אישיים נאוספו עליו; (ב) להעתיק את הנתונים שלו; (ג) לתקן או למחוק נתונים לא נכונים או לא רלוונטיים; (ד) להתנגד לעיבוד מסוים של הנתונים (כגון לצרכי מיוקד פרסומות).

הבקשה מוגשת בכתב ישירות לחברה. אם החברה מסרבת או לא מגיבה תוך זמן סביר — ניתן להגיש תלונה לרשות להגנת הפרטיות, שמוסמכת לחייב ציות. במקרים חמורים, עומדת גם עילת תביעה אזרחית.

פישינג ומניפולציה על ילדים ברשת — מה ההגנה החוקית?

חברות טכנולוגיה חייבות לממן מערכות הגנה כדי למנוע שימוש בנתונים של קטינים לצרכי זדוני (פישינג, דברות מזויפות, הונאה). אם חברה לא משמרת בטיחות סביר, היא עלולה להיחשבת אחראית לנזק שנגרם לילדים שקרו קורבנות דרך הפלטפורמה שלה.

אם פלטפורמה לא נקטה אמצעי הגנה סבירים מפני ניצול קטינים — ניתן לטעון לרשלנות ולאחריות נזיקית. אחריות הפלטפורמה אינה אוטומטית, אבל חברה שידעה או היה עליה לדעת שמשתמשים מנצלים קטינים דרך הפלטפורמה שלה — ונמנעה מלפעול — חשופה לתביעה. ⚠️ פסיקה ישראלית ספציפית בנושא יש לאמת לפני ציטוט.

מה חברות חייבות לדווח להורים על הנתונים שנאספו?

חברה טכנולוגית חייבת להפיץ דו"ח שנתי (או גם בתדירות גבוהה יותר אם נדרש) לגבי איך היא מטפלת בנתונים של קטינים. דו"ח זה חייב לכלול: (א) סוגי נתונים המאוספים; (ב) מטרות השימוש; (ג) צדדים שלישיים שמקבלים גישה; (ד) מערכות הגנה המיושמות; (ה) מספר בקשות גישה או מחיקה שקיבלה החברה מילדים או הורים.

בסופו של דבר, הכלי היעיל ביותר הוא פשוט לשאול: מה נאסף, לשם מה, ועם מי משותף? חברה שאינה מסוגלת לענות על שאלות בסיסיות אלה — כבר יש בה בעיה של ציות. הרשות להגנת הפרטיות מקבלת תלונות, ותלונה מבוססת יכולה להוביל לחקירה ולהוראת מחיקה.

📌 זווית מקצועית — לעורכי דין

הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.