האם בקרוב יהיה קל יותר להפוך מידע ברשת לאנונימי?
בית-הדין לצדק של האיחוד האירופי מאתגר את הגישה המחמירה של רגולטורי הפרטיות, בפסיקה שעוד עשויה להשפיע גם על ישראל
החקיקה והרגולטור בתחום הגנת הפרטיות בישראל שואבים השראה ניכרת מדיני הפרטיות האירופיים. לכן, כשבית-הדין לצדק של האיחוד האירופי מפרסם פסיקה משמעותית בנושא אנונימיזציה של מידע , גם חברות ישראליות חייבות לשים לב.
לאחרונה, בית-הדין פרסם החלטה שעשויה לשנות את חוקי המשחק. כדי להבין מדוע מדובר בפסיקה חשובה, צריך להזכיר את נקודת המוצא: הוראות ה-GDPR, הרגולציה האירופית המכבידה בענייני פרטיות, אינן חלות על מידע אנונימי. כלומר, כשחברה עובדת עם מידע אנונימי, החיים שלה הרבה יותר פשוטים: לא צריך לבקש הסכמה מהלקוחות, לא צריך להתמודד עם בקשות למחיקת מידע, לא צריך הסכמים משפטיים מסובכים כשמעבירים את המידע הלאה, ובכלל - רוב החובות המכבידות של חוקי הפרטיות פשוט לא חלות. נשמע מושלם, נכון? אז זהו, הבעיה היא שבכלל לא בטוח שמידע אנונימי הוא מה שחשבנו שהוא.
המקרה שבו נדרשה הכרעה נוגע לפעולה שביצע ה-SRB, רגולטור אירופאי שאחראי לטיפול בבנקים בפירוק. הרגולטור העביר למשרד רואי-חשבון תגובות, טענות ומענות של נושים של בנק בפירוק. התגובות היו 'פסאודונימיות' – הועבר רק הטקסט עם מספר ייחודי, ללא שם הנושים או פרטים מזהים, כך ש-SRB יכול היה לקשור חזרה את הטקסטים לאדם שסיפק אותם, בעוד משרד רואי-החשבון לא. התעוררה השאלה: האם זה מידע אישי?
מאובייקטיבית מגבילה לסובייקטיבית גמישה
עד היום, הגישה השולטת של הרגולטורים לפרטיות באירופה היתה 'אובייקטיבית'. על-פי הגוף המייעץ לענייני פרטיות של האיחוד, ה- EDPBוהרגולטורים המדינתיים, ככלל – כדי לקבוע האם דיני הפרטיות חלים על מידע מסוים, יש להתחשב בכל המידע שקיים, גם בידי אחרים, שעשוי לזהות אדם. כן יש להתחשב באפשרויות לפרצת אבטחה, דלף מידע ופעולות מנוגדות לדין. התוצאה: קשה מאוד (מאוד) להפוך מידע לאנונימי באופן שדיני הפרטיות אינם חלים עליו.
אלא שכעת קבע בית-הדין שצריך לבחון אם המידע ניתן לזיהוי באופן סובייקטיבי, מנקודת המבט של הגורם הספציפי שמחזיק או מקבל את המידע. עצם קיומו של מידע נוסף בעולם, המאפשר זיהוי, אינו מספיק כדי לקבוע שמידע פסאודונימי מהווה מידע אישי עבור כל מחזיק. בית-הדין לא בחן את האפשרויות של דלף או פעולות בניגוד לניתן, ומכך ניתן לסבור שעמדתו היא שהבחינה צריכה להתבסס על פעולות מורשות וחוקיות בלבד, אולם זה לא נאמר מפורשות.
מה זה אומר לישראל?
הפסיקה בישראל נקטה בגישה מרחיבה לסיווג מידע אישי, וקבעה כי די בכך שניתן לקשור בין המידע לאדם ספציפי, אף דרך "הנדסה חוזרת". באוגוסט האחרון נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות הישראלי, שהתאים את ההגדרות הישראליות לסטנדרטים האירופיים, ולכן, עולה השאלה: האם הרשות להגנת הפרטיות בישראל תאמץ את הגישה המהודקת של רגולטורים אירופיים או את הגישה החדשה של בית-הדין?
זו שאלה קריטית במיוחד לחברות ישראליות שפועלות בתחום הדאטה, הפינטק, הבריאות הדיגיטלית והטכנולוגיה. חברות רבות בישראל מסתמכות על העברת מידע למעבדים חיצוניים, ספקי שירותי ענן, וחברות אנליטיקה. ההבדל בין טיפול במידע כאישי לבין אנונימי משפיע על עלויות תפעול, מהירות חדשנות, ויכולת להתחרות בשוק. קשה לדעת, אבל אם הייתי צריך לנחש, הרשות תנקוט בגישה צרה ופחות ידידותית לעסקים, לפחות בשלב הראשוני.
הצעדים הבאים
אז מה עושים? כמו בכביש: אם יש ספק - אין ספק. עדיין יש אי-ודאות כיצד תיושם הפסיקה, והגישה הרווחת של רגולטורים מדינתיים היא מגבילה יותר. חשוב לזכור שאפילו אם אתם צודקים ברמת הדין, זה לא נעים, לא פשוט ולא זול להתווכח עם רגולטור. ובכל זאת, נפתח כאן פתח שחברות ישראליות רבות יצטרכו לעקוב אחריו מקרוב, בתקווה שהוא ילך ויתבהר.
מעשית, ההמלצה היא קודם כל למפות בצורה מדויקת את כל המידע שהארגון מחזיק ואת הפעולות המבוצעות בו. שנית, לתעד 'סקר סיכונים' למידע שניסיתם להפוך לאנונימי, כלומר לפרט אילו פעולות ננקטו, ומהם הסיכונים לזיהוי מחדש. לפחות כרגע, יש לנקוט בגישה הרואה בפסאודונימיזציה כאמצעי אבטחה, ולא כקלף 'צא מהכלא' של דיני הפרטיות. כמובן, חשובה השקיפות: המשיכו לעדכן את המשתמשים שלכם מה אתם עושים כדי להפוך מידע לאנונימי, למי המידע יועבר ולאיזו מטרה.
עד שכל הרגולטורים והשופטים יתאמו גרסאות, מידע אנונימי הוא קצת כמו הדיאטה שלאחר החגים – כולנו שמענו על זה, וזה אפשרי תיאורטית, אבל מי מאיתנו באמת ראה את זה במו עיניו?
עידו זהבי הוא עו"ד במשרד ארנון, תדמור-לוי, מומחה בתחום הגנת הפרטיות
