Dun
האדר מובייל דן אנד ברדסטריט duns100

אקטיביזם רגולטורי - דרכה המיוחדת של הרשות להגנת הפרטיות

הקו פורץ הגבולות של הרשות להגנת הפרטיות לנוכח השינויים בעולם והקיפאון החקיקתי בישראל

דן אור-חוף ושרון גידלביץ', בשיתוף Dun's 100 14:5706.04.21

 מוגש מטעם Dun's 100

 

צל של חוסר וודאות מרחף מעל עדכון חוק הגנת הפרטיות בן 40 השנים. על רקע זה, הרשות להגנת הפרטיות צומחת ככוח מניע. בסדרה של הנחיות והמלצות, הרשות מבקשת למלא את החלל החקיקתי באמצעות ייבוא עקרונות מרגולציית הגנת המידע האירופית (GDPR). בתוך כך היא ממלאת תפקיד אקטיבי חסר תקדים בעיצוב דיני הגנת הפרטיות בישראל.

 

חוק הגנת הפרטיות הישראלי עיגן את הזכות לפרטיות בשנת 1981. על רקע הדיון הער בשנים האחרונות סביב אי התאמתו של החוק למאה ה – 21, בולטת הפעלתנות התקדימית והמתגברת של הרשות להגנת הפרטיות. בסדרה של הנחיות והמלצות שפורסמו על-ידיה, הרשות מבקשת לנער את האבק מעל החוק הישראלי המיושן ולהתאים את עקרונות הגנת הפרטיות בישראל לאלו של שאר העולם, ובפרט לרגולציית הגנת המידע האירופית (GDPR).

 

בתוך כך, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017, שנכנסו לתוקף בחודש מאי 2018, הטילו חובות רחבות שלחלקן אין מקבילה מפורשת בדין האירופי. פועל יוצא הוא שהדין הישראלי בתחום הגנת הפרטיות מתקדם באמצעות אקטיביזם רגולטורי של הרשות להגנת הפרטיות לכיוון התאמתו לדין האירופי, אך בהיבטים מסוימים דורש אף יותר.

 

פרשנות לחוק או חריגה ממנו?

בתחילת חודש ינואר 2021, שירותי בריאות כללית מינתה ממונה חדשה על הגנת המידע. שלושה חודשים קודם לכן פרסמה הרשות להגנת הפרטיות את טיוטת המלצותיה ביחס למינוי ממוני הגנת המידע (Data Protection Officer) בארגונים. יתכן שההמלצות תרמו למינוי האמור ויתכן שהן יובילו למינויים של ממוני הגנת המידע גם בארגונים אחרים.

 

ההמלצה למנות ממונה על הגנת המידע איננה צעד טריוויאלי. על אף שזוהי דרישה קיימת ב – GDPR האירופי ובחוקי הגנת מידע מודרניים נוספים בעולם, התפקיד איננו קיים ולו ברמיזה בדין הישראלי. הדין המקומי דורש מינוי של מנהלי מאגרי מידע וממוני אבטחת מידע בלבד. תפקידם של אלה מתמקד בהיבטים טכניים וניהוליים של אבטחת המידע והוא שונה מתפקידי ממונה הגנת המידע בארגון הכוללים לדוגמה, ביצוע תסקירי השפעה על הפרטיות, טיפול בתלונות הנוגעות לעיבוד מידע אישי וקיום הדרכת הגנת פרטיות לעובדים.

 

ההמלצה לארגונים למנות נושא תפקיד, מבלי שיש לכך גיבוי בדין, חוצה את הגבול של פרשנות רגולטור להוראות החוק והיא מסמנת קו אקטיביסטי שבו נוקטת הרשות.

 

המלצה זו של הרשות מתווספת לסדרה של הנחיות והמלצות נוספות שפורסמו על ידיה ושהרחיבו הלכה למעשה, את גבולות החוק הקיים. בכלל זה הנחתה הרשות, תוך שאיבת עקרונות מה – GDPR, שאינם קיימים בדין הישראלי – לערוך סקרי השפעה על הפרטיות (Privacy Impact Assessment), לתכנן מוצרים ושירותים באמצעות עקרון העיצוב לפרטיות (Privacy by Design) – בין אם במהלך עריכת חקירות אפידמיולוגיות, שימוש באפליקציות במסגרת "תחבורה חכמה" או שימוש ברחפנים, לאפשר לנושא מידע לסגת מהסכמה שניתנה (Consent Withdrawal), להודיע לנושא המידע על זכותו לבקש לעיין במידע הנוגע לו או את תיקונו ולממש את זכות העיון באמצעות העברת המידע בעותקים דיגיטאליים.

 

המלצות והנחיות הרשות אינן בעלות תוקף של דבר חקיקה. עם זאת, בדומה לרגולטורים דומים לה בעולם, הרשות להגנת הפרטיות ציינה בעבר שהמלצותיה משקפות את פרשנותה לדין ואת תפיסתה ביחס להפעלת סמכויות פיקוח ואכיפה. בנוסף, קביעת הפרה על ידי הרשות יכולה לחשוף ארגונים לתביעות אזרחיות ולתובענות ייצוגיות. לכן, הפרקטיקה המקובלת היא לפעול בהתאם להנחיות והמלצות הרשות, אלא אם קיים טעם ענייני לסטות מהן.

 

 

דן אור חוף ושרון גידלביץ' דן אור חוף ושרון גידלביץ' צילום: יח"צ

 

מקרה בוחן – הזכות לניוד מידע

 

בחודש ספטמבר 2019 הקימו רשות התחרות, הרשות להגנת הצרכן ולסחר הוגן והרשות להגנת הפרטיות צוות משותף לעיסוק בסוגיות מרכזיות בתחום הכלכלה הדיגיטלית. הצורך בצוות מסוג זה נבע מהתעצמותן של ענקיות האינטרנט והרשתות החברתיות, וההבנה שיש לכך השפעה בתחומי הפעילות של כל אחת משלוש הרשויות.

 

בחודש ינואר 2021, שלוש הרשויות המליצו בטיוטת נייר עמדה משותף על הכללת הזכות לניוד מידע בדין הישראלי (אף היא זכות המעוגנת ב – GDPR), דהיינו – הזכות של אדם לבקש כי מידע שנאסף לגביו בארגון מסוים יועבר לחזקתו, או לידי ספק אחר.

 

הצוות המשותף של שלוש הרשויות התייחס למספר היבטים שיסייעו להגדיר את היקפה של הזכות לניוד מידע. בין היתר, הומלץ כי זכות זו תחול על מידע אישי דיגיטאלי גולמי בלבד וכי נושא המידע יהיה זכאי לבקש את העברת המידע האישי הנוגע אליו לידיו, או ישירות מארגון אחד לארגון אחר, וככלל – ללא עלות כספית.

 

הטיוטה ממוענת לממשלה ולא לשוק הפרטי, ומכילה המלצה מפורשת לעגן את הזכות לניוד מידע בחוק. בכך, טיוטה זו נבדלת משאר הנחיות והמלצות הרשות, והיא מאירה זווית נוספת בגישה האקטיביסטית של הרשות להגנת הפרטיות.

 

מקורות הגישה האקטיביסטית של הרשות להגנת הפרטיות

 

פרסום ההמלצות וההנחיות של הרשות להגנת הפרטיות, החורגות מהוראות החוק הקיים, מעידות על כך שהרשות נטלה מממשלת ישראל, ובעיקר ממשרד המשפטים, את המושכות בעדכון דיני הגנת הפרטיות בישראל.

 

חמישה תהליכים תרמו בשנים האחרונות לגיבוש גישתה האקטיביסטית של הרשות להגנת הפרטיות:

 

הראשון הוא שבשנתיים האחרונות מדינת ישראל מתמודדת עם אי-יציבות פוליטית המשפיעה על היכולת לקדם חקיקה משמעותית. על אף ששתי הצעות חוק ממשלתיות לתיקון חוק הגנת הפרטיות כבר מונחות על השולחן והצעת חוק נוספת באופק, לא ברור מה יעלה בגורלן.

 

השני, הרשות להגנת הפרטיות ניצבה בשנת 2019 בפני ביקורת מצד מבקר המדינה על כך שפרסמה רק 15 הנחיות בפרק זמן של עשור. מאז, ובעיקר בשנה האחרונה בעקבות התפרצות מגפת הקורונה, הרשות פרסמה 22 מסמכים המכילים הנחיות, המלצות וחוות דעת, 6 דוחות פיקוח רוחב במגזרים שונים ו – 11 חוות דעת בהתאם לחוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש.

 

השלישי, כרוך בכך שהאיחוד האירופי בוחן את ההכרה שניתנה על ידיו בשנת 2011 בנוגע לתאימות של דיני הגנת הפרטיות בישראל לרמת ההגנה שדורש הדין באירופה. בהינתן כניסת ה – GDPR לתוקף בשנת 2018 והחלטת בית הדין האירופי בחודש יולי האחרון בעניין "שרמס 2", ביחס לתקפות מנגנוני העברת מידע אישי מחוץ לגבולות האיחוד האירופי, סביר להניח שמדינת ישראל נדרשת להשקיע מאמצים בשכנוע האיחוד האירופי להשאיר הכרה זו על כנה. נדמה שהרשות נרתמה למאמץ זה.

 

הרביעי, הרשות להגנת הפרטיות הייתה מעורבת בשנת 2020 בחקיקה שליוותה את ההתמודדות עם נגיף הקורונה. כתוצאה מכך, רמת המודעות של משרדי הממשלה השונים והציבור לפועלה של הרשות להגנת הפרטיות עלתה. ייתכן כי היה בכך כדי להגביר את המוטיבציה של הרשות להגנת הפרטיות להפוך אף למעורבת יותר.

 

ולבסוף, התהליך החמישי, המתמקד בכך שבעת הזו, סמכויות האכיפה של הרשות להגנת הפרטיות הן מצומצמות. כתוצאה מכך, בשנים האחרונות יזמה הרשות להגנת הפרטיות והוציאה לפועל הליכי פיקוח רוחב יזומים רבים, בקרב מגזרים שונים, שהובילו בעיקר למתן הוראות על ידי הרשות הנוגעות להשלמת פערים בתחום הציות בקרב ארגונים מסוימים. לצורך הליכי הפיקוח, התבססה הרשות לא רק על החוק והתקנות, אלא גם על הנחיותיה.

 

מה צפוי בהמשך?

 

דיני הגנת הפרטיות בישראל משתנים, אך התאמתם באופן מלא לסטנדרטים עדכניים עדיין לא נראית באופק. בינתיים, הצפי הוא שארגונים הפועלים בישראל יצטרכו להתמודד עם תערובת של הוראות מיושנות של החוק לצד הנחיות חדשניות של הרשות להגנת הפרטיות.

 

בחודש ינואר 2021 חגגה הרשות 15 שנה להיווסדה. אם שנתה ה – 16 של הרשות תיראה כמו השנה האחרונה, ובשיתוף פעולה עם רשויות אחרות, לא נופתע אם היא תפעל לקידומן של זכויות נוספות שאינן קיימות בחוק הגנת הפרטיות כיום, כדוגמת 'הזכות להישכח' (כלומר, זכותו של נושא מידע לדרוש מחיקה מלאה ומקיפה של מידע אישי הנוגע אליו) או הזכות למנוע קבלת החלטות אוטומטיות ביחס לאדם כתוצאה משימוש בלמידת מכונה או בינה מלאכותית.

 

לסיכום, מדינת ישראל, בדרכה הייחודית והפורמלית-למחצה, עוברת באמצעות הרשות להגנת הפרטיות תהליך של "GDPRיזציה".

 

מומלץ לעקוב אחר פעילותה של הרשות להגנת הפרטיות בשנה הקרובה ולשקול בכובד ראש לאמץ תהליכים ארגוניים התואמים את הנחיותיה, לדוגמה, עריכת סקרי השפעה על הפרטיות ומימוש שיקולי עיצוב לפרטיות בתכנון מוצרים ושירותים. על אף שהחוק הישראלי איננו מזכיר עקרונות אלה, ועל אף שכותבי מאמר זה אינם תמימי דעים עם כל הנחיה של הרשות, ההנחיות הללו משקפות במידה רבה את הדרך הנכונה לניהול מידע אישי במאה ה – 21.

 

מאת עוה"ד דן אור-חוף ושרון גידלביץ', אור חוף משרד עורכי דין