חוק הגנת הפרטיות מעדכן גרסה: איך זה ישפיע על תעשיית הגיימינג בישראל?
כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות מעביר את תעשיית הגיימינג בישראל לעידן רגולטורי חדש. חברות שכבר פועלות בסטנדרטים בינלאומיים יסתגלו בקלות יחסית, אחרות יידרשו להשקעות מהותיות בשדרוג תשתיות ונהלים
ביום חמישי ייכנס לתוקף תיקון 13 לחוק הגנת הפרטיות, מהלך שיסמן נקודת מפנה בניהול ואכיפת דיני פרטיות בישראל. מטרת התיקון היא לעדכן את החוק הוותיק משנות ה־80 ולהתאימו לעידן הדיגיטלי, שבו איסוף, עיבוד ושיתוף מידע אישי מתבצעים בקנה מידה עצום. עבור תעשיית הגיימינג, שמבוססת על פעילות אונליין עתירת דאטה, מדובר בשינוי מהותי.
התיקון מגדיר מחדש מהו "מידע אישי" ומרחיב את ההגדרות כך שיכללו גם מידע המאפשר זיהוי עקיף של אדם, כגון נתוני מיקום, פרופילי שימוש והרגלי גלישה. הוא קובע חובת מינוי ממונה הגנת פרטיות (DPO) בארגונים מסוימים, במיוחד אלו שמנהלים מאגרי מידע גדולים או שמעבדים מידע רגיש, ומחזק את סמכויות האכיפה של הרשות להגנת הפרטיות.
בין היתר, תחת תיקון 13 הרשות להגנת הפרטיות מוסמכת להטיל קנסות מינהליים שיכולים להגיע עד 3.2 מיליון שקל, בהתאם לחומרת ההפרה והיקפה. מדובר ברף גבוה משמעותית מזה שהיה קיים עד כה בישראל, אם כי נמוך מהקנסות המרביים הנהוגים תחת ה־GDPR באירופה, שעשויים להגיע ל־20 מיליון יורו או ל־4% מהמחזור העולמי - הגבוה מביניהם.
הקנסות יוטלו על מגוון הפרות, החל מאיסוף מידע אישי ללא בסיס חוקי או הסכמה תקפה, דרך אי־מתן אפשרות למחיקת מידע, ועד לאי־מינוי ממונה פרטיות (DPO) כשיש לכך חובה. מעבר לפגיעה הכלכלית המיידית, קנס כזה עלול לגרום נזק תדמיתי חמור, במיוחד בשוק תחרותי שבו אמון המשתמשים הוא נכס קריטי.
אירופה הציבה רף גבוה
באירופה, תקנות ה־GDPR קבעו בשנים האחרונות רף גבוה במיוחד לניהול מידע אישי. הדרישה המרכזית היא קבלת הסכמה אקטיבית ומושכלת מהמשתמש - לא תיבות מסומנות מראש ולא "הסכמה שבשתיקה". בתי הדין באיחוד האירופי חיזקו את הכללים הללו והגבילו שימוש בפרסום התנהגותי ללא אישור ברור. גם שרשרת ה־Ad-tech, שכוללת את ספקיות הפרסום והאנליטיקה, מחויבת לשקיפות ולמינימום איסוף נתונים.
עבור חברות גיימינג אירופיות, המשמעות היתה שינוי דרמטי במודלים העסקיים: פחות הסתמכות על פרסום מבוסס מעקב, מעבר לאנליטיקה מצומצמת יותר, ולעתים – השקעה במודלים מבוססי מנוי או רכישות בתוך המשחק במקום הכנסות מפרסום ממוקד.
בארה״ב אין חוק פדרלי כולל להגנת פרטיות, אך המדינות ממלאות את החלל. קליפורניה מובילה עם חוק ה־CCPA, שמעניק לצרכנים זכויות גישה, מחיקה ו־opt-out משיתוף נתונים למטרות פרסום. במקביל, ה־FTC מנהל אכיפה אגרסיבית במיוחד בנוגע להגנה על ילדים, כולל קנסות עתק נגד אפיק (מפתחת פורטנייט) על איסוף נתוני קטינים ללא הסכמת הורים ושימוש ב"דפוסים מניפולטיביים" ברכישות.
חברות משחקים שפועלות בארה״ב, במיוחד כאלה המיועדות לילדים ובני נוער, נדרשות לתכנן את המוצר עם פרטיות כברירת מחדל: כיבוי צ׳ט וקול באופן אוטומטי, אימות גיל, ומניעת איסוף מידע מזהה לפני קבלת הסכמה.
למפתחי משחקים מקומיים, במיוחד כאלה שלא פועלים בשוק האירופי או האמריקאי, תיקון 13 הוא נקודת מפנה. מה שהיה עד כה "טוב שיש" יהפוך לחובה: מיפוי מלא של הנתונים הנאספים, עדכון נוהלי פרטיות, בדיקת הצורך במינוי DPO, והטמעת מנגנוני אבטחה ושקיפות. חברות שמפעילות משחקים עם פרסום ממוקד יצטרכו לוודא שהן מקבלות הסכמה אקטיבית, ושהמשתמשים מבינים בדיוק לאיזו מטרה הנתונים שלהם משמשים.
כפי שקרה באירופה, מי שלא יתאים את עצמו, עלול לשלם לא רק בקנסות אלא גם באמון המשתמשים. בשוק תחרותי שבו שחקנים יכולים לעבור בקלות למשחק אחר, פגיעה במוניטין סביב פרטיות עלולה להיות קטלנית. מנגד, עמידה בתקנות עשויה להפוך ליתרון שיווקי: משחקים ששומרים על פרטיות המשתמשים יכולים למשוך קהל שמחפש חוויית משחק בטוחה ושקופה יותר.
3 צפייה בגלריה
שי בוז'ו, סמנכ"ל חדשנות ב־Appcharge: "לעמוד בתקנות זו מעמסה לחברות עם משאבים מוגבלים, אבל בסוף הרגולציה נועדה להגן על המשתמשים"
(צילום: Shai Hansav)
שי בוז’ו, סמנכ"ל חדשנות ב־Appcharge, פלטפורמת תשלומים בינלאומית לעולמות הגיימינג, סבור כי לחברות שכבר פועלות בסטנדרטים מחמירים, ההתאמות הנדרשות בעקבות התיקון יהיו מינוריות: "במידה רבה, ישראל פשוט משלימה פערים. הכללים על שמירת מידע, זכויות המשתמשים כמו 'הזכות להישכח' והסטנדרטים של אבטחת מידע, כולם כבר חלק מהפעילות שלנו. לכן, השינויים שנבצע יהיו קטנים יחסית".
אתגר גדול לחברות קטנות
לזלי ניסן, היועצת המשפטית הראשית של פלאריום, מסבירה כי עבור חברות שכבר ערוכות לדרישות האירופיות, ההשפעה הישירה תהיה מצומצמת: "אצלנו רוב התשתיות כבר קיימות, כך שמדובר בעיקר בעדכונים אדמיניסטרטיביים והתאמות לנהלים בהתאם לחוק הישראלי". לדבריה, השינוי העיקרי יהיה שהסיכון לאכיפה מקומית מצד הרשות להגנת הפרטיות יגדל. "צריך להיות מוכנים לביקורות, למפות פערים ולעדכן את המדיניות והמסמכים, גם לחברות גדולות. זה לא תמיד תהליך פשוט".
ניסן מדגישה כי ההיערכות לחוק מחייבת מעורבות הנהלה ודירקטוריון: "החוק מטיל אחריות רבה על הדירקטוריון. חשוב לערב אותו, להסביר את המשמעויות ולהציג את התוכנית להשלמת הפערים. גם אם החברה כבר עומדת ב־GDPR, צריך לוודא שמסמכים, נהלים והכשרות מותאמים להקשר הישראלי".
3 צפייה בגלריה
לזלי ניסן, יועצת משפטית ראשית בפלאריום: "החוק מטיל אחריות רבה על הדירקטוריון. חשוב לערב אותו, להסביר משמעויות ולהציג תוכנית להשלמת פערים"
(צילום: יח"צ)
מבקרי התיקון טוענים כי הוא עלול להכביד במיוחד על חברות קטנות ובינוניות, שייאלצו להשקיע משאבים רבים במינוי ממונה פרטיות, בניית נהלים והטמעת מערכות בקרה, מה שעלול לעכב פיתוחים וחדשנות. בנוסף, מורכבות הדרישות והצורך בפרשנות משפטית מדויקת מקשים על מי שאין להם מחלקה משפטית, והאפשרות להגיש תביעות אזרחיות גם ללא הוכחת נזק מעוררת חשש לעלייה חדה בתביעות.
"לעמוד בתקנות זה לא טריוויאלי", מסכים בוז'ו. "זה דורש ייעוץ, שינויים במוצר ובניית נהלים ותהליכי עבודה, ולחברות עם משאבים מוגבלים זו מעמסה לא קטנה. אבל הרגולציה נועדה להגן על המשתמשים, גם אם זה מכביד על העסקים". "זה לא פשוט", מוסיפה ניסן. "אבל העולם הולך רק לכיוון יותר דיגיטלי, וגם לחברות קטנות חשוב לדעת לעמוד בחוקי הפרטיות, ולהגן על המידע של היוזרים".
נראה כי תעשיית הגיימינג בישראל ניצבת כעת מול מציאות רגולטורית שונה לחלוטין מזו שהכירה עד כה. עבור מי שאימץ סטנדרטים בינלאומיים, המעבר צפוי להיות חלק יחסית, אך עבור רבים אחרים מדובר באתגר מורכב שידרוש השקעה בשדרוג תשתיות, שינוי נהלים והטמעת תרבות פרטיות בכל שלב בפיתוח ובתפעול. בסופו של דבר, הצלחת השוק המקומי תלויה ביכולתו לשלב בין עמידה בחוק לשמירה על קצב חדשנות ותחרותיות בזירה הגלובלית.
