PayBox כתבה מדיניות פרטיות של יותר מ-17,000 מילים. הייתם יושבים לקרוא את זה? 

אמנם אין בישראל חקיקה המגדירה את אורך מדיניות הפרטיות הנדרש, אך בספק כמה גולשים ישבו לקרוא 51 עמודים בהיקף מעל 17,000 מילים. רונית קריספין, מנכ״לית ומייסדת חברת Prive-IT, רוצה לשים סוף לתופעת מדיניות פרטיות מסואבת שאף אחד כמעט לא קורא

PayBox כתבה מדיניות פרטיות של יותר מ-17,000 מילים. הייתם יושבים לקרוא את זה? 

bigstock

כמה פעמים יצא לכם לחפש באתר פלוני את מדיניות הפרטיות שלו? וכמה פעמים, אחרי שמצאתם אותה, יצא לכם לקרוא אותה? ואם הייתם יודעים שמדיניות הפרטיות היא באורך 51 עמודים שהם 17,668 מילים? הייתם משקיעים את הזמן לקרוא אותה? אם עניתם כן, אתם כנראה בודדים בצמרת. 

ובכן, מדובר במקרה אמיתי אותו חשפה רונית קריספין בפרופיל הלינקאדין שלה. קריספין היא מנכ״לית ומייסדת חברת Prive-IT ובעברה עבדה ברשות הפרטיות. והחברה המדוברת היא PayBox, בה שותף בנק דיסקונט. 

״מגיעה לסעיף 13 ל"הסכם". מגלה לתדהמתי שהאפליקציה מעדכנת מידי פעם את 51 העמודים ומוטלת עלי חובה להתעדכן, ככה סתם, בשביל הכיף. הא, וגם, שכדי להשתמש באפליקציה אני "מוותר(ת) במפורש על כל חובת סודיות בנקאית וכל חובה אחרת של סודיות". נשבעת שזה הנוסח״, כותבת קריספין. 

״בסעיף 17.3 פייבוקס מציינים כי מותר להם להעביר מידע שלי למפעילים (מי הם?). בסעיף 18.11 אני מגלה שאני מאשרת עצמי לאפליקציה אחת אבל מוצאת את עצמי בקשר רב משתתפים (עם מנפקת הכרטיס ושופרסל למשל). ״ 

[רונית קריספין. צילום: ירין טרנוס]

קריספין כתבה את התזה שלה על השימוש שעושים מועדוני לקוחות של חברות מוכרות בסיאוב מכוון של מדיניות פרטיות. זאת, במטרה להקשות על המשתמש להבין על מה חותם כאשר הוא מאשר את תנאי ההסכם בהצטרפות לשירות. הרי בואו נודה בכך, מרביתנו אינם קוראים את תנאי השירות באופן כללי ולא את מדיניות הפרטיות של האתרים בהם אנחנו גולשים. 

האם יש חוק המגביל את כמות העמודים או המילים במדיניות הפרטיות של חברה או אתר? ובכן, לא. ״אין חקיקה המגדירה את אורך מדיניות הפרטיות״, מסביר קריספין. ״עם זאת, יש מה ראוי. לכתוב מדיניות פרטיות באורך מעל 17000 מילה - לא חונה תחת המושג ׳ראוי׳. ״ 

ובכן, כנראה שפיי-בוקס אינה היחידה שעושה שימוש בסיאוב מכוון של מדיניות הפרטיות בתנאי האתר על מנת להקשות על הגולש להבין מה עושים עם הנתונים שלו. יש אתרים ושירותים שאין להם בכלל מדיניות פרטיות או יש להם כזו שאינה ברורה. 

רשות הפרטיות, כרגולטור בנושא, חסרת סמכות בחוק לבצע אכיפה בנושא. עם זאת, הרשות כן פרסמה בנובמבר 2021 המלצות לציבור בהקשר זה. עבור אדם פרטי, מה לחפש במדיניות הפרטיות. עבור עסק, מה צריך להיות כלול במדיניות. 

״כדי לעמוד בדרישות חוק הגנת הפרטיות על חברות המפעילות אתרי אינטרנט, בעיקר כאלו שמטרתם מסחר מקוון, לפרסם מדיניות פרטיות בהירה, המנוסחת בשפה ידידותית, שתבהיר לגולשים מהם נוהגי האתר בתחום איסוף המידע האישי והשימוש בו ותאפשר לגולשים לקבל החלטה מושכלת אם רצונם בחשיפת המידע האישי שלהם״, כותבים ברשות. 

בספק אם 51 עמודים ומעל 17000 מילים נופל תחת ההגדרה: ״מדיניות פרטיות בהירה, המנוסחת בשפה ידידותית״. 

לאור החשיפה של קריספין, יכולה רשות הפרטיות לפרסם עדכון להמלצות שלה ולהוסיף מהו אורך סביר שאדם נורמלי ״מהיישוב״ יכול לקרוא ולהבין, טרם אישורו את תנאי השירות או האתר. 

המלצות מטעם רגולטור אינן מחייבות בחוק, אך אם מקרה יגיע לבית המשפט, לשופטים יש נטייה לייחס חשיבות להמלצות הרגולטור. במקרה כזה, בעל האתר או השירות יצטרך להסביר מדוע נדרשות 17000 מילים שכמעט אף אחד לא ישב לקרוא, כדי להסביר למשתמש מה עושים עם המידע האישי שלו. 

״יש בכוונתי לערוך בדיקות במדיניות הפרטיות של ארגונים מובילים בארץ ולכתוב המלצה לרשות, לפרסם גילוי דעת איך ראוי שמדיניות פרטיות צריכה להראות״, מסכמת קריספין. 

אולי יעניין אותך גם