דעה
עדיין רחוקים מאירופה: החורים הגדולים בתיקון לחוק הגנת הפרטיות
תיקון 13 לחוק הגנת הפרטיות שייכנס לתוקף החודש משפר את ההגנה על הפרטיות, בעיקר בכל הקשור לאיסוף מידע. ואולם הוא עדיין רחוק מלסגור את הפער מהסטנדרט האירופי
בזה הרגע אנחנו מייצרים מידע. המחשב ומכשיר הטלפון משדרים לספק ולאפליקציות את המיקום שלנו, הדפדפן אוסף מידע על הגלישה, גוגל צוברת את השאילתות ששאלנו, X יודעת למי עשינו לייק ולשער מה דעותינו הפוליטיות, פייסבוק יודעת מי "החברים" שלנו, והשעון "החכם" מודד דופק. החיים הדיגיטליים מייצרים מידע אין־סופי במהלך פעולות שגרתיות. זהו שובל המידע, ויש מי שמתעניינים בו: מפרסמים, מעסיקים, חברות ביטוח, המדינה ו"חברים".
תיקון 13 לחוק הגנת הפרטיות שייכנס לתוקף באמצע החודש משפר במידה מסוימת את הגנת הפרטיות שלנו. כן, למרות האמירות החבוטות ש"הפרטיות מתה" ו"אין לי מה להסתיר", הפרטיות היא זכות יסוד חוקתית, ומחקרים אמפיריים מראים בעקביות שהפרטיות חשובה לנו מאוד, גם לנוער, למרות ש"תראו איך הם מפרסמים הכול ברשת!!".
תיקון 13 אינו אוסר פעולות מידעיות, להפך. אבל החוק קובע איך לעשות זאת, ושואף להשיג גם וגם — לאפשר שימושים מסחריים לגיטימיים במידע, תוך שמירה על הפרטיות. למורת רוחם של תאגידי המידע, המשימה הזו אפשרית, וחשובה.
התיקון הוא השינוי החשוב ביותר בחקיקת הפרטיות בישראל מאז שנחקק חוק הגנת הפרטיות בשנת 1981. הוא חל בעיקר ביחסים שבין אדם לתאגידים, ויש לו תחולה כלל־משקית: על פייסבוק וגוגל, על בנקים וחברות ביטוח, ספקי תקשורת, אינטרנט, חשמל וגז, קופות חולים, אוניברסיטאות ומכללות, וגם על עמותות וארגונים קטנים. החוק חל על כל מי שאוסף, משתמש, מעבד, ומעביר מידע אישי על בני אדם. המידע יכול להיות רגיש מאוד — מידע רפואי או פיננסי, או פשוט ותמים כמו נתוני מיקום, הרגלי צפייה בטלוויזיה ורכישות בסופר. בעולם דיגיטלי פרטי מידע טריוויאלי מצטרפים, והשלם גדול מסך חלקיו.
התיקון הגיע אחרי קיפאון חקיקתי ממושך, בזמן שהטכנולוגיה התקדמה, האירופאים קידמו את הגנת הפרטיות, ואפילו האמריקאים זזו קצת קדימה. התיקון מקיף, אבל חלקי. הוא מסמן עוד התקרבות של דיני הפרטיות בישראל לאירופה, עוד שלב ב־GDPRיזציה (תקנת הגנת המידע האירופית הכללית, General Data Protection Regulation), אבל המחוקק צעד רק חלק מהדרך.
שבע שנות התיישנות
שינוי אחד הוא הארכת תקופת ההתיישנות. עד כה פגיעות בפרטיות התיישנו בתוך שנתיים. למה? ככה. המחוקקים בשנות השמונים חשבו שצריך להתקדם בזהירות. כעת תקופת ההתיישנות היא שבע שנים. הבשורה היא בעיקר לתביעות של אדם אחד נגד אחר — על צילום ברשות היחיד ללא רשות, מעקב מטריד, האזנת סתר וכדומה.
רוב השינויים עוסקים בכללים בקשר למידע אישי. שינוי מרכזי הוא בדגש של החוק. במשך הרבה יותר מדי שנים החוק התמקד ברישום מאגרים אצל רשם מאגרי המידע במשרד המשפטים. תיקון 13 מצמצם את חובת הרישום, ובמקומה יש חובה להודיע לרשות להגנת הפרטיות על עיבודי מידע במקרים מסוימים.
במקום מיקוד היתר במאגרים, החוק מתייחס ל"מידע", ולמעשה העתיק את ההגדרה האירופית. מידע אינו מוגדר לפי תוכנו, האם הוא רגיש - אלא לפי האפשרות לזהות את האדם, האם הוא מזוהה או ניתן לזיהוי באמצעים סבירים. כאן מגולמת ההבנה שבסביבה דיגיטלית כל נתון עשוי להיות רגיש. החוק מרחיב את ההגדרה של "עיבוד מידע", וכעת כל פעולה במידע נתפסת ברשתו של החוק.
חידוש חשוב הוא חובה למנות ממונה הגנת פרטיות, Data Protection Officer) DPO), כלומר גורם בכיר בארגון שיתכלל את ניהול המידע האישי, יפקח וייתן תשובות - למנכ"לית, לציבור ולרשות. החובה חלה על גופים ציבוריים, על סוחרי מידע, על מי שעיקר פעילותם במידע או שיש להם מידע רגיש בהיקף ניכר. אם יש לכם מידע אישי על לקוחות (כולל בעבר או בעתיד), עובדים, תלמידים, כנראה שאתם צריכים ממונה כזה. השירות יכול להיות חיצוני.
שינוי חשוב הוא שלרשות להגנת הפרטיות יש סוף־סוף סל כלים לאכיפה. מהסדרת הפיקוחים שהרשות עורכת, התראות מנהליות, אפשרות לבקש מבית משפט צו להורות על הפסקה של הפרה ועד להטלת קנסות מנהליים מסוגים שונים. הסכומים לא מגיעים לרמה האירופית, אבל יכולים להצטבר. בחודשים האחרונים הרשות מפיצה טיוטות של ניירות עמדה בקשר לסוגיות שונות שיש בתיקון 13 והמדיניות הצפויה שלה. היא מבקשת את הערות הציבור, ונתקלת בתגובות מעט מוגזמות, כאילו הרשות עומדת לחרב את החדשנות. אלה בהלות שווא. ניירות העמדה שפורסמו עד כה - בנושא הסכמה, מינוי ממונה הגנת פרטיות ועוד - ברובם חוזרים על החוק, ובמובן הזה משעממים למדי. יש מעט התייחסות לנושאים נקודתיים שהחוק השאיר פתוח, ואין בהם הרחבה.
שינויים נוספים עוסקים בחובת היידוע — במדיניות פרטיות (שאיש אינו קורא) צריך כעת לפרט שיש לנו זכות לעיין במידע (הזכות אינה חדשה), ולדרוש את תיקונו כאשר הוא שגוי (גם זכות זו אינה חדשה), לומר לנו מי ה־DPO, ומה יקרה אם לא נמסור את המידע (בדרך כלל כלום, ולכל היותר לא נקבל את השירות).
ומדוע התיקון חלקי? התיקון לא מתייחס לשאלה מתי מותר לעבד מידע. התוצאה היא שעיבוד מידע מותר רק אם יש הסכמה, או שיש הסמכה מפורשת מספיקה בחוק. התאגידים רוצים עוד אפיק של עיבוד מידע לטובת אינטרסים לגיטימיים שלהם, כמו באירופה.
אין בתיקון התייחסות לצורה הראויה להסכמה לאיסוף ועיבוד מידע אישי, בשונה מהדין האירופי שמעדיף הסכמה של opt in; אין בתיקון זכות לחזור מההסכמה, אין זכות "להישכח", אין זכות לנייד מידע (יש חקיקה ייעודית בהקשרים פיננסיים ורפואיים), אין חובה לקיים "הנדסת פרטיות", ואין חובה לערוך תסקיר מקדים לפני הטמעת מערכת מידע חדשה. גם חוק התובענות הייצוגיות לא מקל על תביעות בקשר לפרטיות. אף שיש רבות כאלה בשנים אחרונות, הן נדחקות לקטגוריה של יחסי עוסק-צרכן. ראוי שתהיה אפשרות תביעה ישירה בשל הפרת הפגיעה בפרטיות.
תיקון 13 לחוק מחייב ארגונים לבדוק את ההתנהלות שלהם בקשר למידע שלנו. המידע הזה הוא אכן חומר הגלם בפעילות של חברות הטכנולוגיה, אבל הוא עדיין שלנו. החוק משפר בכמה נקודות את הפרטיות שלנו, לפחות על הנייר. חלק מהארגונים שהתעוררו רק עכשיו, אף שהתיקון התקבל לפני שנה, מגיבים בדרמטיות מה, אבל זו תגובה צפויה ולא צריך להתרגש ממנה יותר מדי. בפועל, המסר של התיקון חשוב לא פחות מתוכנו: מותר לעבד מידע אישי, אבל בבקשה, בלי טריקים ובלי שטיקים. אם רוצים, זה אפשרי. בינתיים גם משרד המשפטים והכנסת צריכים להשלים את חצי העבודה שעשו.
הכותב הוא פרופסור מן המניין בפקולטה למשפטים באוניברסיטת תל אביב והמנחה האקדמי של הקליניקה לפרטיות
