לאחרונה פורסם כי משרד המשפטים מקדם חקיקה מזורזת שתטיל על עסקים ישראליים חובות מיוחדות להגנת המידע הפרטי, אך זאת רק אם הם מייצאים שירותים לאירופה ולצורך התאמה לסטנדרט האירופאי. הן כוללות הגבלות על החזקת מידע שאינו נדרש למטרה שלשמה נאסף; חובה לדייק מידע; וחובה למחוק מידע לבקשת בעל המידע. חובות חשובות אלה מעוגנות בחקיקה אירופאית להגנת המידע הפרטי (General Data Protection Regulation). למרבה הצער, לחקיקה מתקדמת זו אין מקבילה בישראל, שפועלת לפי חוק הגנת פרטיות מיושן ובלתי רלבנטי לעידן האינטרנטי. על משרד המשפטים לתקן את החוק בכללותו, למען הגנה על אזרחי ישראל ולא על אזרחי אירופה, וזאת חלף תיקון מעוות שעלול לקבע את המצב הרעוע מלכתחילה של הגנת הפרטיות.
"לא יפגע אדם בפרטיות של זולתו ללא הסכמתו"- מצהיר סעיף 1 לחוק הגנת הפרטיות. עיקרון זה הורם למעמד חוקתי בשנת 1992, עם חקיקתו של חוק יסוד: כבוד האדם וחירותו, שקובע: "כל אדם זכאי לפרטיות ולצנעת חייו". בהתאם למעמד הגבוה, פגיעה בפרטיות עלולה להצמיח עוולה אזרחית ואף עבירה פלילית שעונשה עד חמש שנות מאסר. עם זאת, מקרים העולים לכותרות מזכירים לנו כי בפועל הפרטיות שלנו שברירית; ראו למשל תביעתו של עו"ד חיים רביה נגד המדינה בעניין פרקטיקה של שמירת תמונות של היוצאים והנכנסים ממדינת ישראל; והתביעות הייצוגיות המתמשכות משנת 2017 ומשנת 2018 כנגד פייסבוק בגין תיוג תמונות ללא הסכמה ובגין איסוף מידע על אנשים שכלל אינם רשומים ברשת החברתית; כמו גם תביעות ייצוגיות שהוגשו לאחרונה כנגד טוויטר בטענה לשימוש במידע ללא רשות משתמשיה.
היוזמה האחרונה שקידם משרד המשפטים הוא תיקון 14 לחוק הגנת הפרטיות — לכאורה זהו תיקון רחב היקף, שמטרתו לעדכן את החוק למציאות הדיגיטלית. אך מבט מקרוב מלמד כי זהו תיקון חלקי וחסר. שלושה חידושים הוצעו בו: העצמת האכיפה: התיקון מצייד את הרשות להגנת הפרטיות בסמכויות פיקוח, לרבות חדירה לחומר מחשב במקרים בהם מתעורר חשד להפרת החוק. בנוסף הוספה סמכות מנהלית להטיל על מפרי החוק עיצומים כספיים, עד 800,000 ₪. הקלת הנטל הרגולטורי: הניסיון שהצטבר הצביע על כך שההסדר הישן אינו מתאים למציאות הטכנולוגית שבה קיימים מאגרי מידע רבים, ואף עלול להוות מעין "תעודת כשרות" לעיבוד מידע בלתי לגיטימי. לפיכך הוצע לצמצם את חובת הרישום למאגרי מידע גדולים של יותר מ-100,000 אנשים, הנאספים על ידי גוף ציבורי או גוף שמטרתו איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, או שהמידע נאסף מאנשים ללא הסכמתם. חובת הרישום תחול גם על מאגרי מידע שיש בהם יותר מ-500,000 אנשים ושהמידע בהם הוא בעל רגישות מיוחדת; כגון מידע רפואי, מידע על צנעת חייו האישיים של אדם, דעותיו הפוליטיות ואמונותיו. התיקון יעסוק גם בהגדרת מונחים: למשל, המונח "מידע" תוקן באופן המסדיר התייחסות לנתונים אישיים כגון ת.ז., טביעת אצבע, כתובת וטלפון, לגביהם כבר נקבע בפסיקה שהם נכללים בגדר ענייניו הפרטיים של אדם.
ומה חסר? הרבה. החסרים בחקיקה הישראלית בולטים בהשוואה לחקיקה באירופה ובארה"ב. הרגולציה האירופאית הנ"ל, GDPR, חוגגת עתה את שנתה הרביעית ונחשבת לאחת הקשוחות הקיימות בתחום הגנת הפרטיות. זו נכנסה לתוקף בשנת 2016 וממאי 2018 נאכפת על ידי הנציבות. היא מגנה על זכותו של אדם שנאסף לגביו מידע ומכילה הוראות מחייבות כלפי גופים האוספים ומעבדים מידע אישי המצוי ברשת. סעיף 5 של הGDPR- קובע את הכללים המחייבים באיסוף ועיבוד נתונים אישיים: הנתונים יאספו למטרות לגיטימיות ומפורשות ויוגבלו לאותן מטרות; הנתונים יהיו מדויקים ובמידה ולא – יתוקנו; הנתונים יעובדו באופן שקוף ותוך אבטחת מידע. בפרק 3 מוסדרות זכויות מהותיות, כגון: הזכות לשקיפות המידע הנאסף ומטרת עיבודו; הזכות של הפרט לנייד את המידע לגורם אחר; הזכות להתנגד ליצירת פרופיל; הזכות להישכח. אזרחי אירופה זכאים לקבל מידע שנאסף על אודותיהם באופן מפורט, בשפה ברורה, בכתב וללא עלות. הם זכאים לדרוש תיקון מידי של טעויות וכן מחיקה. ארגונים בהם מבוצע עיבוד נתונים בהיקפים גדולים מחויבים במינוי קצין ציות.
החוק האירופאי מטיל קנסות כבדים (עשרות מיליוני יורו) על מפרי הוראותיו. אמזון כבר שילמה למעלה מ- 746 מיליון יורו בשל הפרות חוזרות של ה-GDPR. וואטסאפ שילמה קנסות של למעלה מ-225 מיליון יורו בגלל שיתוף חסר של תהליך עיבוד המידע במסגרת הודעת הפרטיות שלה. ברשת קיימים אתרים שעוקבים תדיר אחר עסקים מפרי הרגולציה ומפרטים קנסות ששולמו (https://www.enforcementtracker.com). כבר בשנה הראשונה לאכיפה הוגשו מעל 144,000 תלונות על אי קיום הוראות החוק (הרוב בקשר לטלמרקטינג) ונרשמו מעל 89,000 הודעות של חברות על דליפת נתונים.
בארה"ב, רשות הסחר הפדרלית אמונה על הזכות לפרטיות מכח חוק הסחר הפדרלי (Federal Trade Commerce Act). לאחרונה, הרשות הטילה קנס בסך 150 מיליון דולר על טוויטר בשל שימוש שלא כדין בנתונים פרטיים של משתמשים (מיילים ומספרי טלפון), לצורך פרסום מטורגט. לפני מספר חודשים הוטל קנס של 1.5 מיליון דולר על חברה המפעילה אפליקציה המסייעת לקטינים להפחית במשקל, היות ואספה מידע אישי על קטינים ללא הסכמת הוריהם. החברה נדרשה להשמיד את האלגוריתם שפיתחה בהתבסס על מידע פרטי שהושג שלא כדין.
הטכנולוגיה המתקדמת של היום, המאפשרת איסוף נתונים בכמות עצומה, יוצרת איומים משמעותיים על הזכות שלנו לפרטיות. ראוי היה שהזכויות המהותיות שלפי הרגולציה האירופאית והאמריקאית תעמודנה לנגד עיני המחוקק הישראלי בבואו לתקן את המצב הקיים, במקום להעמיק את הפער.
[1] ד"ר איריס סורוקר היא שופטת בדימוס, מנהלת מרכז חת לחקר התחרות והרגולציה במסלול האקדמי המכללה למינהל. ד"ר דנה נייער היא חוקרת במרכז.
