לקוח ארגוני גדול מבקש ממכם "DPA" לפני שחותמים. מחלקת הפרטיות שלו שולחת שאלון אבטחה בן 80 שאלות. המייסד מסתכל על ה-CTO שמסתכל על עורך הדין — ואף אחד לא יודע מאיפה להתחיל. זה הרגע שבו compliance הופך מ"יהיה טוב לבדוק" לבעיה שעוצרת עסקה.
החוקים שחלים עליכם — גם אם לא ידעתם
חוק הגנת הפרטיות, תשמ"א-1981 (ותקנות הגנת הפרטיות): כל מאגר מידע הכולל נתונים אישיים של יותר מ-10,000 אנשים חייב בהרשמה ברשם מאגרי המידע. מעבר לכך — חלים כללי אבטחת מידע מחייבים, כולל הגנה על סיסמאות, הצפנה, וניהול גישות.
GDPR (האיחוד האירופי): אם יש לכם גולש, משתמש, או לקוח שמתגורר באיחוד האירופי — ה-GDPR חל עליכם, ללא קשר למיקום החברה. דלפק מידע שחושף נתוני אירופאים = קנס של עד 4% מהמחזור הגלובלי.
חוק הסייבר והגנת הרשת: חברות שמוגדרות "תשתית קריטית" — חלות עליהן חובות אבטחה מחמירות יותר. גם חברות טכנולוגיה רגילות נדרשות לדווח על אירועי סייבר משמעותיים לרשות הסייבר הלאומית.
מה חייב להיות מסודר — לפי סדר עדיפויות
1. מדיניות פרטיות ותנאי שימוש: לא תבנית שהורדתם מהאינטרנט. מדיניות פרטיות אמיתית שמסבירה מה אתם אוספים, למה, ואיך. משתמש שמגיש תלונה לרשם תלונות ציבור — תהיה הסמכות הראשונה לבדוק אם הוא הוסכם על איסוף נכון.
2. Data Processing Agreement (DPA): כל ספק שמעבד נתוני לקוחות שלכם — ענן, אנליטיקס, CRM — צריך DPA חתום. לקוחות ארגוניים ידרשו אחד גם מכם לפני כל עסקה.
3. הסכמי עובדים: סעיפי סודיות, IP assignment (העברת קניין רוחני לחברה), ואי-תחרות סבירים — חייבים להיות בהסכם ההעסקה מהיום הראשון. קוד שעובד כתב ב"זמן חופשי" על ציוד החברה — מי הבעלים? ב-99% מהמקרים שאף אחד לא הסדיר — זה יהיה מחלוקת.
4. רישום מאגרי מידע: אם יש לכם מאגר עם נתוני אנשים — בדקו אם אתם חייבים ברישום. אי-רישום הוא עבירה, ומהווה חשיפה בביקורת.
מה לקוחות ארגוניים בודקים לפני שחותמים?
חברות Fortune 500 וחברות אירופאיות שולחות שאלוני אבטחה מידע שמכסים: מדיניות גיבויים, הצפנת נתונים (at rest ו-in transit), ניהול גישות וסיסמאות, תוכנית תגובה לאירוע סייבר, ואיסור שיתוף נתונים עם צדדים שלישיים ללא הסכמה. חברה שאין לה תשובות מסודרות — מפסידה את העסקה.
שלושה דברים שצריך לסדר עכשיו
אם טרם עשיתם: בצעו מיפוי של מה שאתם אוספים ועל מי (data mapping), בדקו עם עורך דין אם מאגר המידע שלכם חייב בהרשמה, והכינו DPA סטנדרטי שאפשר לשלוח ללקוחות. אלה שלוש השעות שיחסכו לכם שלושה חודשים של עיכוב עסקאות.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בליווי סטארטאפים — העדיפו DPA מבוסס סטנדרט SCCs (Standard Contractual Clauses) של האיחוד האירופי. הוא מקובל גם על לקוחות אמריקאים וחוסך משא ומתן נוסף.
- חקיקה רלבנטית: חוק הגנת הפרטיות תשמ"א-1981; תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017; GDPR (Regulation EU 2016/679)
- טעות נפוצה: IP assignment שאינו מכסה עבודה שנעשתה לפני מועד ההעסקה הרשמי — קוד שמייסדים כתבו "לפני" הקמת החברה עלול להיות ב"בעלות אישית". בסבב גיוס, בדיקת נאותות תמצא את זה.
- נקודה טקטית: כשלקוח ארגוני שולח שאלון אבטחה — זו הזדמנות לסקור את מדיניות האבטחה הפנימית. חברות שמסדרות את זה לפני המשא ומתן סוגרות עסקאות מהר יותר.