0. מבוא: מהי מדיניות פרטיות [או בעצם: יהונתן, למה אתה כותב לנו פוסט כזה משמים?].

עדכון 2019: זה לקח כמה שנים, אפשר להשתמש במחולל מדיניות פרטיות שכתבתי.

לאחרונה צצים יותר ויותר מקרים בהם 'מתגלה' כי שירות טכנולוגי כזה או אחר 'בוגד' במשתמשיו ומרגל אחריו. לעיתים, קורה מקרה אחר, ובגלל שינוי במדיניות מסוימת בשירות קמים משתמשים זועמים ובוכים על הפגיעה בפרטיותם (וחלק, אפילו, מגישים תביעה ייצוגית בנושא: ת"צ 4091/10 אמל ג'ראיסי נ' גוגל ישראל בע"מ ואח'). חלק מהמקרים מביאים לכך מביאים לכך שגולשים חרדים לפרטיותם ומבינים את הצורך בשינויים אך מפחדים מהעתיד. לצורך כך חשוב להבין: האינטרנט הוא מחסן של שירותים שסוחרים במידע: החל מטוקבקים, בהם בני אדם סוחרים בידע שלהם ובביטויים שלהם תמורת חשיפה באמצעי תקשורת, וכתוצאה מכך מותירים בידי ספק השירות מידע עודף שהוא יכול לעשות בו שימוש, דרך הרשמה לרשת חברתית שדורשת ויתור משמעותי על הזכות להעזב בשקט ועד רכישה של מוסיקה, בה מצד אחד הרוכש מספק לחנות את פרטי האשראי שלו, העדפותיו המוסיקליות, כתובת הIP שלו ואף את סוג המחשב שלו, ומנגד מקבל מהחנות עותק של קובץ שיאסוף עליו מידע נוסף בהמשך הדרך.

חברת המידע ושירותי המידע מבוססים על כך שבכל שירות אינטרנטי כמעט מועבר (ובדרך כלל נשמר) מידע שהוא הכרחי לצורך יצירת הקשר והשירות האינטרנטי, אך אינו תמיד הכרחי לשמירה לאחר מכן. מטבעו של מידע עודף זה, ניתן לעשות בו שימושים מאוחרים יותר, כמו פילוח של גולשים מסוימים לקבוצות מסוימות, ניתוחים סטטיסטיים מעניינים או סתם שליחת ספאם לאחר מכן על סמך מאגר המידע שנוצר.

נשווה, לרגע, בין רכישה של מכנסיים ברשת לבין רכישה פיסית. לצורך רכישה פיסית, אדם נכנס לחנות, משלם (במזומן או באשראי) על המכנסיים ויוצא. החנווני יכול לשמור (אם הוא צריך) את המועד בו נרכשו המכנסיים, ובמקרה וצריך זאת לצרכי האשראי, הוא שומר גם נתונים על עסקאת האשראי: זה כל המידע שנשמר אצלו אלא אם הלקוח הצטרף למועדון לקוחות עלום. מנגד, בעסקה אינטרנטית מקבלת החנות הוירטואלית מידע בשם HTTP Referrer שמספק מידע לחנות על המקום ממנו הגעת (החל מ"הגעת מחיפוש בגוגל אחרי 'מכנסיים שלא יגרמו לי להראות הומו'" ועד "הגעת מלינק בפורום 'מחפשים בגדים שעשויים מפרווה של ארנבים' בתפוז"), לאחר מכן, החנות מקבלת את כתובת הIP שלך, שירות הסטטיסטיקה של החנות יכול גם לשמור את רשימת העמודים שצפית בהם (מקביל ל"המכנסיים שמדדת בחנות"); כדי למלא את עגלת הקניות שלך ולזהות אותך, החנות גם משאירה על המחשב שלך עוגיה (Cookie) שתאפשר לחנות לזכור אותך ואת העדפותייך בפעם הבאה, גם אם לא נרשמת לאתר. לצורך הרכישה אתה מספק לחנות גם מידע מעניין לצורך ביצוע המשלוח: את שמך המלא, כתובתך, מספר הטלפון שלך, כתובת הדואר האלקטרוני שלך ופרטי כרטיס האשראי שלך.

כעת, ההבדלים בין העסקה האינטרנטית שלך לבין הפיסית ברורים יותר: לכן, כיוון שקודם כל, בניגוד לחנות פיסית, יש הכרח לשמור לפחות חלק מהמידע, הוחלט להכיר בזכות של אדם לקבל דיווח על הפרטים שנשמרים אודותיו (ולקיים את דרישות האמנה האירופית להגנה על פרטיות וסעיף 11 לחוק הגנת הפרטיות). לצורך מימוש הזכות, ישנה חובה להציג בפני כל אדם שנשמר מידע אודותיו מדיניות פרטיות. מדיניות הפרטיות יכולה להיות חלק מהסכם השימוש באתר האינטרנט (או השירות הוירטואלי) או להיות מסמך נפרד, וזאת כדי להגשים את הידע של המשתמש.

בפועל, מה שקורה הוא שבמקרים רבים המסמך כתוב בניב קשה של עורכדינית שמובן אולי לכותב המסמך ובמקרים אחרים המסמך נחבא עמוק כל כך בסעיפים אחרים כך שאי אפשר להבין בדיוק איזה מידע נשמר.

את הפוסט הזה אני כותב כדי שתוכלו להבין בדיוק כיצד אפשר לקרוא את המסמך, ואם אתם עורכי דין, אז תדעו איך לנסח מדיניות פרטיות עבור הלקוחות שלכם. אם אתם מפתחי אפליקציות (או עורכי דין עצלים) חשוב לזכור שהדבר הרע ביותר שאתם יכולים לעשות הוא להעתיק מדיניות פרטיות של מפתחים אחרים: מלבד כך שמדובר בהפרה של זכויות יוצרים (א 72672/04 יוסף עזגד נ' יעקב שפיגלמן, א 38116/05 עו"ד יעקב קלדרון נ' עו"ד חנן גזית, א 7417/05 סורוקר-אגמון נ' ארטמן) צריך לזכור שהמסמך הותאם אישית עבור אפליקציה מסוימת והעתקת המסמך, גם אם השירותים עושים אותו הדבר, לא תועיל כיוון שכל שירות, מסיבותיו שלו, שומר מידע שונה לגמרי.

כעת, חשוב לדעת שיש מספר מחוללי מדיניות פרטיות, חלקם בחינם וחלקם בתשלום. אלא, שמבחינה ראשונית שלי, ולא בדיוק כמו EULA שיכול להיות מסמך סטנדרטי לגמרי בתשעים ומשהו אחוז מהמקרים, מדיניות פרטיות אינה יכולה להיות מסמך שנוצר על ידי מחולל. כתיבת מדיניות הפרטיות חייבת להיות מלווה על ידי ייעוץ של עורך דין שיבחן האם כלל מותר לשמור את המידע וכיצד יש לטפל בו, הייעוץ חייב להיות מלווה בהדרכה על האפשרויות והדרכים להגן על הפרטים האישיים של המשתמשים ולבדוק את ההסכמים עם צדדים שלישיים. אם זה היה תלוי במפתחים, רבים מהם היו אומרים "כתוב במדיניות פרטיות שאנחנו שומרים את כל המידע שהמשתמש מספק" וזהו.

1.מדוע צריך מדיניות פרטיות?

מדיניות הפרטיות יוצרת צפיה סבירה לפרטיות אצל הגולש (10-CV-027-BLW Cornelius v. Deluca). כלומר, הגולש שנכנס לאתר, כהדיוט, בדרך כלל לא קורא את מדיניות הפרטיות ואף אינו מודע לכך שבדרך כלל מטרת מדיניות הפרטיות היא להפקיע את הפרטיות שלו ולא להגביר אותה (ולעיתים אף הוא לא יוכל לתבוע בגללה או שהיא תגן על אתר האינטרנט: In re JetBlue Airways Corp. Privacy Litigation, 79 F. Supp. 2d 299). כלומר, מבחינת מפעיל אתר האינטרנט או האפליקציה, מטרת מדיניות הפרטיות היא להגן עליו מפני תביעות פוטנציאליות; שימו לב, לדוגמא, שבתביעה הייצוגית בישראל נגד גוגל על הפרת הפרטיות בשירות גוגל באזז (עניין ג'ריאסי) דחה בית המשפט את התביעה בעיקר כיוון שלא הוצגה בפניו מדיניות הפרטיות של גוגל.

2. הוראות החקיקה הרלוונטיות [או למה יהונתן משעמם אותנו עם סעיפים ומספרים].

ישראל לאחרונה קיבלה הכרה כי חוקיה ופעילותה הולמים את הסטנדרטים המקובלים באיחוד האירופי להגנה על פרטיות. הדבר אומר שבפועל ניתן, לכן, להעביר מידע בין ישראל לאירופה ולהפך ולהנות מהבטחה כי לא תהיה בכך בעיה משפטית. ומדוע אמורה להיות בעיה כזו? האמנה האירופית להגנה על פרטיות קובעת, בין שאר האיסורים וההגבלות, איסור על העברת מידע מאירופה למדינות בהן אין הגנה הולמת על פרטיות. כלומר, אם אתה מפעיל שירות ישראלי, ולישראל לא היתה הגנה זהה להגנה באירופה, לא היית יכול לשמור מידע על אזרחים אירופים.

ישראל היא לא כזו בעייתית לעומת ארצות הברית, בה אין חקיקה הולמת (בעיקר כיוון שחקיקת הגנת הפרטיות בארצות הברית אינה תמיד פדראלית אלא בעיקר מדינתית). ולכן, כחלק ממדיניות ההסדרה העצמית הקים משרד הייצוא האמריקאי את אתר הSafe Harbor שמאפשר לחברות העוסקות בעיבוד של מידע אירופי לקבל על עצמן את עקרונות ההסדרה האירופית ולהגן על עצמן. מדובר בסדרה של מדריכים שמסבירים בדיוק כיצד להחיל את עקרונות הפרטיות.

הסדרה עצמית נוספת קיימת מצדן של Google וFacebook. גוגל דורשת מכל אתר אינטרנט המציג פרסומות של Adsense להציג מדיניות פרטיות באתרו ופייסבוק דורשת כי בכל אפליקציה שתפעל באמצעות הפלטפורמה תהיה מדיניות פרטיות כדי לספק לגולשים מידע על הפרטיות. לעיתים, ההסדרה העצמית הזו עדיפה על חקיקה, כיוון שהרבה יותר קל לאכוף אותה: בניגוד להגנת הפרטיות בה רשויות אכיפת החוק לא ממש ירוצו לפשוט על משרדי חברות אינטרנט, בעלי פלטפורמות כמו Facebook יאכפו בקלות יתרה את החוק, ולעיתים בקלות יתרה מדי.

3. כיצד לנסח מדיניות פרטיות:

נדמה לי שהרבה יותר קל היה לכתוב פוסט על איך לא מנסחים מדיניות פרטיות. לאתרים רבים יש מדיניות פרטיות שמשתמשות בשפה עמומה ולא הגיונית ולעיתים היא פשוט לא קשורה למידע שנאסף (כמו שנמצא במחקר של מיכאל בירנהק וניבה אלקין-קורן, Does Law Matter? Informational Privacy and Online Compliance in Israeli Web Sites).

מדיניות פרטיות צריכה להיות כתובה בשפה פשוטה וקריאה, כך שהמשתמש הפשוט ביותר יוכל להבין אותה. הסיבה לכך היא בעיקר היכולת לאכוף את המדיניות לאחר מכן: ככל שתוכל להראות כי המשתמש קרא את ההסכם והבין אותו, כך לבסוף תוכל גם לאכוף אותו בבית משפט וטענות של "ההסכם היה לא קריא" ידחו (Dyer v. Northwest Airlines Corporations, 334 F. Supp. 2d 1196 – Dist. Court, D.).

אז בואו נקח דוגמא אחת טובה ואחת (וחצי) רעה. נתחיל ברעה. הדוגמא הרעה ביותר שנתקלתי בה היא מדיניות הפרטיות של Facebook, לא בגלל מדיניות הפרטיות עצמה אלא בגלל העדר היכול להבין או לקרוא את המסמך. מדיניות הפרטיות של פייסבוק ששונתה לאחרונה כך שתהיה "קריאה יותר לבני אדם" הפכה לאינדקס מסורבל שלא מאפשר למצוא את פרטי המידע בקלות ומנסה להפריד את המידע לפרטי מידע שונים כמו "איזה מידע אנו אוספים עלייך" כאשר כמות הקליקים שהגולש צריך לעבור על מנת לקבל את המידע אינה בהכרח מאפשרת לו לקבל את כל המידע בצורה פשוטה. דוגמא רעה נוספת היא מדיניות הפרטיות של גוגל, שאמנם מפרטת איזה מידע נשמר, אבל היא לא מפרידה בין שירותים שונים ומסבירה האם גוגל מעבירה בין השירותים מידע.

דוגמא טובה היא דווקא מדיניות הפרטיות של טוויטר. המדיניות מסבירה בשפה פשוטה, קריאה ואיכותית את השימושים שנעשים במידע, את הזכות של כל משתמש להעביר או לא להעביר מידע ואיזה חלק מאיזה שירות ישמש בדיוק לאיזו פעילות. גם אז, מדיניות הפרטיות של טוויטר לא תעמוד בכל הדרישות שאנו מציבים בפוסט הזה, אבל היא עדיין ברורה למשתמש.

4. כיצד לקרוא מדיניות? [או, נו, תעשו פאשלה כדי שאני אוכל להגיש תובענה ייצוגית]

כשאתה קורא מדיניות פרטיות, הדבר הראשון שצריך לעשות הוא למצוא האם כתובה במדיניות זהות מפעילי האתר. באתרים רבים, במיוחד ישראלים, יש נטיה לא לפרט מיהו מקבל המידע אלא לכתוב דברים כמו "הסכם זה הוא הסכם בינך לבין מפעיל האתר או מי מטעמו". כמו כן, אם אין את הכתובת המדויקת של מנהל האתר ושמו (או שם החברה שמפעילה את האתר), הרי שבכך מופרות הוראות סעיף 11 לחוק הגנת הפרטיות שמחייב את מנהל המאגר להודיע "למי יימסר המידע ומטרות המסירה".

חוץ מזהות מנהל האתר, חשוב לבדוק האם קיימת אפשרות לעיין במידע או לתקן אותו במידע והוא מסולף. כך, לדוגמא, מדיניות הפרטיות של אתר זאפ אינה מאפשרת עיון במידע, אלא רק את מחיקתו. בנוסף ליכולת לעיין במידע, חייבת להיות גם אפשרות למחוק את המידע מהאתר (ולא כמו Deactivate של פייסבוק, אלא מחיקה ממשית).

כעת, לאחר שבדקנו את הדברים החשובים האלה, צריך לראות עם מי עוד חולק האתר את המידע האישי שלך. לדוגמא, גם אם מדיניות הפרטיות של אתר Ynet היא פשוטה, איכותית וקלה לקריאה, הרי שYnet לא מפרטים בדיוק מיהם ספקי השירות שמקבלים מידע כשירותי צד ג' ואומר כי: "השימוש שחברות אלה עושות ב-Cookies ובמשואות רשת כפוף למדיניות הפרטיות שלהן ולא למדיניות זו של אתרי ynet. אם אתה רוצה לבדוק את מדיניות הפרטיות של החברות, המנהלות את מערך הפרסום ב-ynet, תוכל לעשות כן באמצעות אתרי האינטרנט שלהן". כל עוד אין פירוט מלא של מיהם שירותי הצד השלישי, הרי שיש בעיה רצינית של פרטיות כאן.

5. השאלות עליהן צריך לענות:

מדיניות פרטיות צריכה להיות מנוסחת בצורה של שאלות ותשובות. מדובר על עשר שאלות פשוטות בסך הכל, כאשר מדיניות הפרטיות יכולה להיות קצרה במיוחד אך עדיין להכיל את התשובות האלה, ולהגשים את כל המטרות. אם אין תשובות על חלק מהשאלות האלה, הרי שצריך להתעורר חשד כלשהוא וצריך לבדוק מה בדיוק הולך מאחורי הקלעים.

5.1 מי הצד?

כמו שהסברתי כבר, השאלה הראשונה היא "מי הצד?"; לא מספיק להשתמש במונחים עמומים כמו "מפעיל האתר" אלא צריך לפרט את שם מפעיל האתר, כתובת ליצירת קשר עמו וכל המידע הזה. כמו חנות הבגדים, שקיימת בכתובת ממשית ורשומה על שמו של עוסק מורשה מסוים, כך צריך להיות גם במדיניות פרטיות.

5.2 איזה מידע פרטי נשמר?

השאלה החשובה ביותר היא איזה מידע פרטי נשמר (או מתבקש מהמשתמש). הצהרות עמומות כמו "אנו שומרים את כל המידע הפרטי" או "אנו שומרים מידע שאתה מספק לנו" לא יכולות להספיק, וצריך פירוט של הרכיבים: החל מכתובת IP, כתובת דואר אלקטרוני, שם מלא ועד חשבונות משתמש בשירותים אחרים.

5.3 איזה מידע לא פרטי נשמר?

גם מידע לא מזהה אישית יכול להיות בעייתי ולכן מדיניות הפרטיות צריכה לפרט גם את המידע הלא פרטי שנשמר, דברים כמו מיקום גיאוגרפי מקורב, ספקית אינטרנט או האתר שהפנה את המשתמש לאתר. לכן, מדיניות הפרטיות צריכה גם להכיל רשימה של המידע הלא-מזהה שנשמר, במיוחד לאחר מאמרו של פול אוהם, "Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization". אוהם הצליח להראות כי באמצעות תאריך הלידה של אדם, המיקוד שלו ומגדרו ניתן להגיע לקירוב מדויק יחסית של זהותו של אדם לאחר הצלבה עם מידע אחר.

5.4 איזה מידע לא נשמר?

שאלה חשובה לא פחות משאלת המידע שנשמר היא שאלת המידע שלא נשמר. לפי האמנה האירופית, לדוגמא, יש איסור על אגירה של מידע הקשור לנתוני גזע, אמונות פילוסופיות וכדומה. כמו כן, חשוב לדעת האם האתר שומר או לא שומר את פרטי כרטיס האשראי של אדם מסוים.

5.5 כיצד המידע מעובד?

השאלה "מה עושים עם המידע שלך" כוללת את השאלה הבאה, "למי מועבר המידע", אבל גם איך מעבדים אותו: האם מכניסים אותך לקבוצת משתמשים שנכללת בפרופיל מסוים, האם מייצרים על סמך המידע הזה פילוחים סטטיסטיים או האם מייצרים ממנו מידע לא-מזהה. זכותך, כמשתמש, לדעת בדיוק איך (אולי לא ברמת הסוד המסחרי) המידע מעובד.

5.6 למי עוד מועבר המידע?

השאלה למי עוד מועבר המידע יכולה להיות בעייתית כאשר לדוגמא מידע מועבר לרשויות אכיפת החוק או כאשר מדיניות הפרטיות של Dropbox מאפשרת העברת מידע לצדדים שלישיים לאחר קבלת צו שיפוטי, אלא שהשאלה של צו שיפוטי היא נחמדה, אבל ישנם שירותים שמעבירים מידע גם לצדדים קשורים. כך, מדיניות הפרטיות של Ynet קובעת כי "בעת שתרכוש מוצרים ושירותים משותפי-מסחר ותוכן של ידיעות אינטרנט, או בעת שתיקח חלק בפעילויות תוכן של צד שלישי, או בפעילויות משותפות לידיעות אינטרנט ולצד שלישי המוצגות באתרי ynet. במקרים אלה יועבר לשותפים אלה המידע הדרוש להם לשם השלמת תהליך הרכישה, ניהול פעילות התוכן הרלבנטית ושמירת הקשר איתך". העברת מידע מסוג נוסף היא לדוגמא העברת מידע עלייך לחברים ברשת חברתית מסוימת, וגם את זה צריך להבהיר במדיניות הפרטיות.

5.7 איזה שימושים נעשים במידע?

השימושים במידע הם לא רק יצירת פרופילים אלא יכולים להיות גם פרסום של הודעות הסטטוס שלך, שעשויות להיות מידע אישי, הצגת התמונה שלך במנועי חיפוש וכדומה. לכן, חשוב להבהיר מהם השימושים שנעשים במידע האישי שלך, כולל לדוגמא: מתן אפשרות למשתמשים בשירות לאתר ג'יידייט לחפש אחר משתמשים מוגדר במדיניות הפרטיות כ"הינך מסכים כי נעשה שימוש במידע אישי מזהה אודותיך, ובכל נתון ליצירת קשר כפי שסופק על ידך בהליך הרישום לאתר, לשיפור מאמצי השיווק וקידום המכירות שלנו, לניתוח דרכי שימוש באתר אינטרנט, לשיפור היצע המוצרים והשירותים שלנו, ולהתאמת התוכן, ההצגה והשירותים המוצעים באתרי האינטרנט שלנו".

שימושים נוספים במידע יכולים להיות ספאם; כך, גם נשוב למדיניות הפרטיות של ג'יידייט: "הינך מסכים כי נוכל לעשות שימוש במידע אישי אודותיך לטובת העברת מידע שיווקי המותאם בצורה טובה יותר לתחומי העניין שלך, כמו פרסומות מוכוונות, הודעות אדמיניסטרטיביות, היצע מוצרים, והודעות דואר אלקטרוני הנוגעות לשימוש שלך באתר". חשוב לחפש סעיפים מהסוג הזה. ההעדפה האישית שלי היא להכליל את הספאם בתת-קטגוריה שונה, בין היתר בגלל הקונסטרוקטיביות הדרושה להסכמה לקבלת ספאם ובגלל המפורשות: ככל שההבהרה תהיה מפורשת יותר, כך יש יותר סיכוי שבית המשפט יקבל אותה כהסכמה מודעת (ת"ק 11351-09-10 רונן לביא נ' גיא כהן ואח', ת"ק 5621-10-09 עופר קוך נ' גלובל נטוורקס אי.סי.אי בע"מ, ת"ק 13729-11-09 קורן מידן נ' גלובל נטוורקס אי.סי.איי בע"מ)

5.8 כיצד ניתן לעיין במידע או למחוק אותו?

כפי שהסברנו קודם, זכות העיון במידע והזכות למחוק אותו משתייכות לתפישה לפיה המשתמש הוא בעל המידע. ככזה, אמורה להיות לו הזכות לבקש כי יפסיקו להשתמש במידע עליו ולדעת בדיוק איזה מידע נשמר. לכן, מדיניות הפרטיות חייבת להציג למשתמש חלופה בה הוא יכול לעיין במידע, בין אם על ידי בקשה אישית (בדואר אלקטרוני, נניח) או באמצעות דרך הפעילות הרגילה של האתר; כך לדוגמא, Google Dashboard מאפשר לך לקבל מידע על כל השירותים שגוגל מנהלת ואת כל המידע שאגור עלייך.

5.9 שירותי צד ג' הפועלים באתר.

דיווח מלא על שירותי צד ג' דרוש לא רק כיוון שאלה מהווים כיום חלק בלתי נפרד מהאתר, אלא בעיקר כיוון שהם נעלמים בפני המשתמש. בדרך כלל, זה אינו יודע מי שירות הסטטיסטיקה בו מנהל האתר משתמש והאם נגן הוידאו שומר עוד מידע מזהה. חשוב לפרט ככל האפשר מהם השירותים כך שמי שמשתמש יוכל לוודא האם הוא מסכים למדיניות הפרטיות של שירותים אלה. מעבר לזה, חשוב לנסות (אם הדבר אפשרי) לתת למשתמש דרך לבטל את שירותי הצד השלישי אם אינו מסכים להם (לדוגמא: לא להציג סרטונים מYoutube או לבחור את האפשרות להגביר את הפרטיות, עם כל הבעיות הקיימות בכך.

5.10 כיצד ניתן לטפל בהפרות פרטיות?

לבסוף, מדיניות הפרטיות צריכה להכיל הסבר כיצד להתמודד עם הפרות של פרטיות: מהן הדרכים לדווח עליהן, מהם הפיצויים שינתנו ואיך ניתן לקבל דיווחים על בעיות פרטיות באתר. הדיווח צריך להיות כן וראוי שיהיה גם "קצין פרטיות" בכל עסק שמפעיל מדיניות פרטיות, גם אם הוא אינו במשרה מלאה.

6. לסיכום:

מדיניות פרטיות אינה נושא קל. מדובר על אחד הנושאים הכבדים ביותר והבעייתיים ביותר שאפשר לטפל בו, שדורש ידע טכנולוגי ומשפטי רב. ברוב המקרים אנשים מעתיקים מדיניות פרטיות, משתמשים במחוללים או סתם בוחרים להתעלם מהדרישה; וברוב המקרים לא נגרם שום נזק. הצורך במדיניות פרטיות היא כשאכן קורה משהו: אז צריך לפנות למדיניות ולראות איך מטפלים בנושא. במצב כזה, יכול להיות, עדיף להשקיע את הזמן והכסף בניסוח מדיניות פרטיות מאשר להתחרט אחר כך.