לאחרונה פורסם כי משרד המשפטים מקדם חקיקה מזורזת שתטיל על עסקים ישראליים חובות מיוחדות להגנת המידע הפרטי, אך זאת רק אם הם מייצאים שירותים לאירופה ולצורך התאמה לסטנדרט האירופאי. הן כוללות הגבלות על החזקת מידע שאינו נדרש למטרה שלשמה נאסף; חובה לדייק מידע; וחובה למחוק מידע לבקשת בעל המידע. חובות חשובות אלה מעוגנות בחקיקה אירופאית להגנת המידע הפרטי (General Data Protection Regulation). למרבה הצער, לחקיקה מתקדמת זו אין מקבילה בישראל, שפועלת לפי חוק הגנת פרטיות מיושן ובלתי רלבנטי לעידן האינטרנטי. על משרד המשפטים לתקן את החוק בכללותו, למען הגנה על אזרחי ישראל ולא על אזרחי אירופה, וזאת חלף תיקון מעוות שעלול לקבע את המצב הרעוע מלכתחילה של הגנת הפרטיות.

"לא יפגע אדם בפרטיות של זולתו ללא הסכמתו"- מצהיר סעיף 1 לחוק הגנת הפרטיות. עיקרון זה הורם למעמד חוקתי בשנת 1992, עם חקיקתו של חוק יסוד: כבוד האדם וחירותו, שקובע: "כל אדם זכאי לפרטיות ולצנעת חייו". בהתאם למעמד הגבוה, פגיעה בפרטיות עלולה להצמיח עוולה אזרחית ואף עבירה פלילית שעונשה עד חמש שנות מאסר. עם זאת, מקרים העולים לכותרות מזכירים לנו כי בפועל הפרטיות שלנו שברירית; ראו למשל תביעתו של עו"ד חיים רביה נגד המדינה בעניין פרקטיקה של שמירת תמונות של היוצאים והנכנסים ממדינת ישראל; והתביעות הייצוגיות המתמשכות משנת 2017 ומשנת 2018 כנגד פייסבוק בגין תיוג תמונות ללא הסכמה ובגין איסוף מידע על אנשים שכלל אינם רשומים ברשת החברתית; כמו גם תביעות ייצוגיות שהוגשו לאחרונה כנגד טוויטר בטענה לשימוש במידע ללא רשות משתמשיה.

היוזמה האחרונה שקידם משרד המשפטים הוא תיקון 14 לחוק הגנת הפרטיות — לכאורה זהו תיקון רחב היקף, שמטרתו לעדכן את החוק למציאות הדיגיטלית. אך מבט מקרוב מלמד כי זהו תיקון חלקי וחסר. שלושה חידושים הוצעו בו: העצמת האכיפה: התיקון מצייד את הרשות להגנת הפרטיות בסמכויות פיקוח, לרבות חדירה לחומר מחשב במקרים בהם מתעורר חשד להפרת החוק. בנוסף הוספה סמכות מנהלית להטיל על מפרי החוק עיצומים כספיים, עד 800,000 ₪. הקלת הנטל הרגולטורי: הניסיון שהצטבר הצביע על כך שההסדר הישן אינו מתאים למציאות הטכנולוגית שבה קיימים מאגרי מידע רבים, ואף עלול להוות מעין "תעודת כשרות" לעיבוד מידע בלתי לגיטימי. לפיכך הוצע לצמצם את חובת הרישום למאגרי מידע גדולים של יותר מ-100,000 אנשים, הנאספים על ידי גוף ציבורי או גוף שמטרתו איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, או שהמידע נאסף מאנשים ללא הסכמתם. חובת הרישום תחול גם על מאגרי מידע שיש בהם יותר מ-500,000 אנשים ושהמידע בהם הוא בעל רגישות מיוחדת; כגון מידע רפואי, מידע על צנעת חייו האישיים של אדם, דעותיו הפוליטיות ואמונותיו. התיקון יעסוק גם בהגדרת מונחים: למשל, המונח "מידע" תוקן באופן המסדיר התייחסות לנתונים אישיים כגון ת.ז., טביעת אצבע, כתובת וטלפון, לגביהם כבר נקבע בפסיקה שהם נכללים בגדר ענייניו הפרטיים של אדם.

ומה חסר? הרבה. החסרים בחקיקה הישראלית בולטים בהשוואה לחקיקה באירופה ובארה"ב. הרגולציה האירופאית הנ"ל, GDPR, חוגגת עתה את שנתה הרביעית ונחשבת לאחת הקשוחות הקיימות בתחום הגנת הפרטיות. זו נכנסה לתוקף בשנת 2016 וממאי 2018 נאכפת על ידי הנציבות. היא מגנה על זכותו של אדם שנאסף לגביו מידע ומכילה הוראות מחייבות כלפי גופים האוספים ומעבדים מידע אישי המצוי ברשת. סעיף 5 של הGDPR- קובע את הכללים המחייבים באיסוף ועיבוד נתונים אישיים: הנתונים יאספו למטרות לגיטימיות ומפורשות ויוגבלו לאותן מטרות; הנתונים יהיו מדויקים ובמידה ולא – יתוקנו; הנתונים יעובדו באופן שקוף ותוך אבטחת מידע. בפרק 3 מוסדרות זכויות מהותיות, כגון: הזכות לשקיפות המידע הנאסף ומטרת עיבודו; הזכות של הפרט לנייד את המידע לגורם אחר; הזכות להתנגד ליצירת פרופיל; הזכות להישכח. אזרחי אירופה זכאים לקבל מידע שנאסף על אודותיהם באופן מפורט, בשפה ברורה, בכתב וללא עלות. הם זכאים  לדרוש תיקון מידי של טעויות וכן מחיקה. ארגונים בהם מבוצע עיבוד נתונים בהיקפים גדולים מחויבים במינוי קצין ציות.

החוק האירופאי מטיל קנסות כבדים (עשרות מיליוני יורו) על מפרי הוראותיו. אמזון כבר שילמה למעלה מ- 746 מיליון יורו בשל הפרות חוזרות של ה-GDPR. וואטסאפ שילמה קנסות של למעלה מ-225 מיליון יורו בגלל שיתוף חסר של תהליך עיבוד המידע במסגרת הודעת הפרטיות שלה. ברשת קיימים אתרים שעוקבים תדיר אחר עסקים מפרי הרגולציה ומפרטים קנסות ששולמו (https://www.enforcementtracker.com). כבר בשנה הראשונה לאכיפה הוגשו מעל 144,000 תלונות על אי קיום הוראות החוק (הרוב בקשר לטלמרקטינג) ונרשמו מעל 89,000 הודעות של חברות על דליפת נתונים.

בארה"ב, רשות הסחר הפדרלית אמונה על הזכות לפרטיות מכח חוק הסחר הפדרלי (Federal Trade Commerce Act). לאחרונה, הרשות הטילה קנס בסך 150 מיליון דולר על טוויטר בשל שימוש שלא כדין בנתונים פרטיים של משתמשים (מיילים ומספרי טלפון), לצורך פרסום מטורגט. לפני מספר חודשים הוטל קנס של 1.5 מיליון דולר על חברה המפעילה אפליקציה המסייעת לקטינים להפחית במשקל, היות ואספה מידע אישי על קטינים ללא הסכמת הוריהם. החברה נדרשה להשמיד את האלגוריתם שפיתחה בהתבסס על מידע פרטי שהושג שלא כדין.

הטכנולוגיה המתקדמת של היום, המאפשרת איסוף נתונים בכמות עצומה, יוצרת איומים משמעותיים על הזכות שלנו לפרטיות. ראוי היה שהזכויות המהותיות שלפי הרגולציה האירופאית והאמריקאית תעמודנה לנגד עיני המחוקק הישראלי בבואו לתקן את המצב הקיים, במקום להעמיק את הפער.

[1] ד"ר איריס סורוקר היא שופטת בדימוס, מנהלת מרכז חת לחקר התחרות והרגולציה במסלול האקדמי המכללה למינהל. ד"ר דנה נייער היא חוקרת במרכז.

הסדר ה-״Privacy Shield״ הושג בתחילת שנת 2016 בין הנציבות האירופית ובין ארצות הברית. הסדר ה- Privacy Shield החליף הסדר קודם ה-Safe Harbor שבוטל על ידי בית המשפט האירופי לצדק במסגרת פרשת שרמס 1 בשנת 2015. מדובר בהסדר משפטי ופוליטי שקובע מנגנון הלימות מיוחד שגובש בין האיחוד האירופי ובין ארצות הברית, ואשר חל על חברות שהתחייבו לעמוד בדרישותיו בתחום הפרטיות והגנת המידע. ההסדר נועד לאפשר זרימה חופשית של מידע פרטי של אזרחים אירופאים לחברות הפועלות בארצות הברית. ההסדר קבע כללי מסגרת לרבות התחייבות בכתב של ארצות הברית להגביל את הגישה של רשויות הביטחון הלאומי למידע אישי; סמכויות פיקוח במשותף של הנציבות האירופית על אכיפת סטנדרט הגנת הפרטיות בארה״ב ועל התאמתו להסדר; סעדים וזכויות תביעה של אזרחים אירופאים על כל שימוש לרעה במידע האישי שלהם וכו׳.

בפרשת שרמס 2 דן  בית המשפט האירופי לצדק, בהוראות סעיף 46 לרגולציית האיחוד האירופאית (תקנות ה-GDPR) האוסר על העברת מידע אישי של אירופאים מחוץ לגבולות האיחוד האירופי. ההסדר בוטל משום שלשיטת בית המשפט הוא אינו עומד ברף ההגנה על מידע אישי הנדרש בדין האירופי, ובמיוחד הוראות ה-GDPR  וכן הוראות האמנה האירופית לזכויות אדם. ההסדר בוטל לאחר שנמצא כי הבלמים והאיזונים הנהוגים כיום בארצות הברית אינם מספקים הגנה ראויה כנגד כוחן של רשויות המדינה והביטחון בארצות הברית לנטר ולעבד מידע אישי בתחומי המדינה.

השפעת פסק הדין על ישראל: בישראל קיים מנגנון המסדיר העברת מידע מחוץ לישראל. המנגנון מוסדר בתקנות הגנת הפרטיות (העברת מידע אל מאגרי שמחוץ לגבולות המדינה), התשס״א–2001. תקנה 2(8)(2) היא הרלוונטית לעניינו והיא קובעת, כי ניתן להעביר מידע למדינה המקבלת מידע ממדינות החברות בקהיליה האירופית לפי אותם תנאי קבלה. לאורך השנים, הרשות להגנת הפרטיות בישראל פירשה תקנה זו כחריג המתיר העברת מידע אישי למדינות שהוכרזו על ידי הנציבות האירופית כבעלות הלימות בתחום הפרטיות והכנת המידע  (מדינות אשר מחויבות לעקרונות הסדרים אלו). עם ביטולו של הסדר ה-Safe Harbor״ בפרשת שרמס 1, הבהירה הרשות לציבור כי לא ניתן יהיה עוד להסתמך על תקנה 2(8)(2) לתקנות כבסיס להעברת מידע לארצות הברית. כעת עם ביטולו של הסדר ה- ״Privacy Shield״ בפרשת שרמס 2 שבה הרשות להגנת הפרטיות ומבהירה כי לא ניתן להעביר מידע אישי מישראל אל ארצות הברית בהסתמך על תקנה 2(8)(2) לתקנות העברת מידע.

לגילוי הדעת של הרשות להגנת הפרטיות לחצו כאן.

לפסק הדין בעניין שרמס 2 לחצו כאן.

על פי המלצות מערך הסייבר הלאומי אשר פורסמו ביום 26 לנובמבר 2020, קיימות מספר נקודות תורפה אשר תוקפים ("Threat Actors") מנסים לנצל לצורך ביצוע מתקפת סייבר. מבדיקה שנעשתה על ידי מערך הסייבר הלאומי עלה, כי כ-2,000 ארגונים בישראל חשופים כיום לתקיפה בשל חולשות שונות במערכותיהם. נוכח המגמה הרגולטורית בשנים האחרונות בדבר הגנה על מידע אישי רגיש של צרכנים, לרבות תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, תקנות ה- GDPR וכן חוק הגנת פרטיות הצרכן בקליפורניה (CCPA), יעילותה של הרגולציה כאמור נמצאת ב"שעת מבחן" אל מול התנהלותן של חברות המחזיקות במידע אישי מזהה. בעידן הטכנולוגי של ימינו, ובעיקר בתקופה אחרונה, אותן חברות חשופות למתקפות סייבר אשר במסגרתן תוקפים מבצעים חדירה בלתי מורשית, בווקטורים שונים, למערכות המחשוב של החברות, לרבות למאגרי המידע שלהן.

ביום 1 בדצמבר 2020, מערך הסייבר הלאומי, יחד עם רשות שוק ההון, הביטוח והחיסכון, פרסמו הודעה דחופה על אירוע דלף מידע מחברת הביטוח שירביט חברה לביטוח בע"מ, במסגרתו דלפו פרטי ביטוח של לקוחות פרטיים של שירביט, לרבות גורמים מתעשיית הביטחון. בימים שלאחר ההודעה כאמור, פורסמו עשרות כתבות אשר תיארו כי מערכותיה של שירביט נפרצו, מידע אישי רגיש חולץ והועלתה דרישת כופר תמורת מסירת המידע כאמור ומחיקתו על ידי התוקפים. בשונה מאירועים רבים אשר התרחשו עד לחודש דצמבר 2020, התוקפים בחרו לנהל את המשא ומתן באופן גלוי מבחינה תקשורתית, לרבות פרסום תצלומי מסך מתוך המשא ומתן, הדלפת מידע ועוד.

ביחס לאירוע שבנדון, הוגשו, בתחילת חודש דצמבר, מספר בקשות לאישור תובענה ייצוגית, בסך כולל של מאות מיליוני שקלים [תצ (מרכז) 2339-12-20 עלמה דולב נ' שירביט חברה לביטוח בע"מ (פורסם בנבו, 1.12.2020); תצ (מרכז) 5077-12-20 יהודה חכם יצחק נ' שירביט חברה לביטוח בע"מ (פוררסם בנבו, 2.12.2020); תצ (ת"א) 6615-12-20 גיא שור נ' שירביט חברה לביטוח בע"מ (פורסם בנבו, 3.12.2020); וכן תצ (מרכז) 5943-12-20 אילהו גואטה נ' שירביט חברה לביטוח בע"מ (פורסם בנבו, 3.12.2020)].

ככלל, הבקשות לאישור גורסות כי בעקבות הפריצה למערכותיה של חברת שירביט, פרטים רבים של לקוחות החברה הועברו לידי התוקפים ואף פורסמו ברשת האינטרנט, לרבות רישיונות נהיגה, תעודות זהות, תביעות ביטוח, תלושי שכר, קרנות השתלמות, קרנות פנסיה ועוד. לטענת המבקשים, שירביט הפרה את חוק הגנת הפרטיות, התשמ"א-1981 ואת התקנות אשר הותקנו מכוחו, ואף את חוק חוזה ביטוח, התשמ"א-1981, בכך שהתרשלה והפרה חובותיה לשמירה על פרטי לקוחותיה. עוד צוין, כי פירצת האבטחה החמורה אשר נוצלה על ידי התוקפים הינה באחריותה של חברת שירביט בלבד, שכן זו התעלמה מסיכון זליגת המידע והשימוש בו מעבר למטרות שלשמן נשמר המידע, ובדרך של מחדל אפשרה, הלכה למעשה, את נפילתו ל"ידיים הלא נכונות".

המקרה של שירביט אינו האירוע הראשון בישראל בו נפרצות מערכות מידע אשר מכילות מידע אישי רגיש של צרכנים. במקרה אחר שפורסם ביום 29 בינואר 2020, אפליקציית התשלומים פייבוקס (אשר נרכשה על ידי קבוצת דיסקונט), חוותה אירוע זליגת מידע במסגרתו פרטים אישיים של לקוחות דלפו, לרבות כינויי משתמש, תאריכי לידה, מספרי טלפון, שמות של קבוצות, סכומים שהועברו, זהות נמענים וארבע ספרות אחרונות של כרטיס האשראי. גם במקרה זה, הוגשו מספר בקשות לאישור תובענה ייצוגי [תצ (ת"א) 71275-01-20 סנדי אלכסנדר פרנג'י נ' בנק דיסקונט לישראל, יהודה הלוי 27, תל אביב 65136 (פורסם בנבו, 30.1.2020); ת"צ 73072-01-20 מי-דן ואח' נ' פייבוקס פתרונות תשלום בע"מ ואח' (ניתן למצוא תחת פנקס התובענות הייצוגיות); וגם תצ (ת"א) 71271-01-20 יששכר כרמלי נ' בנק דיסקונט לישראל בעמ (פורסם בנבו, 30.1.2020)]. גם בבקשות אלו, נטען להפרה של חובות הגנת הפרטיות על ידי פייבוקס בדרך של מחדל, וכן לרשלנותה של החברה נוכח פרצת האבטחה שנתגלה במערכותיה ואפשרה זליגה של מידע אישי, בין היתר ל"רשת האפלה".

באשר לבקשות המצוינות בעניין שירביט וכן בפייבוקס, על בית המשפט להכריע, על פי סעיף 7 לחוק תובענות ייצוגיות, התשס"ו-2006, איזו בקשה תיבחר כבקשה שתידון בפני בית המשפט. נוכח השלכות נגיף הקורונה, הדיונים בעניין זה נדחו לאמצע שנת 2021.

עניין נוסף שהגיע לכותרות הינו החלטתה של חברת שירביט שלא לשלם את הכופר אשר דרשו התוקפים בעבור שחרור המידע. בהקשר זה, בדרך כלל תוקפים אשר "מדביקים" מערכות מחשוב בתוכנת כופרה, דורשים תשלום של כופר במטבע קריפטוגרפי, לרבות ביטקוין. ישנה שאלה באשר לחוקיות תשלום כופר כאמור, וזאת לאור הוראות חוק איסור הלבנת הון, התש"ס-2000, חוק המאבק בטרור, התשע"ו-2016, חוקי הבנקאות השונים וכן חוק ניירות ערך, התשכ"ח-1968. בהתאם לחוקים אלו, נראה כי תשלום כופר במהלך מתקפות סייבר עלול להוות כעבירה על החוק, נוכח הגדרתם הפוטנציאלית של תוקפים כארגוני טרור והלבנת כספי הכופר. עם זאת, המצב המשפטי בישראל נותר עמום. ניתן לראות בשוק הביטוח פוליסות סייבר מיוחדות, אשר לא נאסרו לשימוש על ידי המפקח על הביטוח, המכילות סעיף שיפוי בגין תשלום כופרת סייבר. סנונית ראשונה בקשר עם חוקיותו של תשלום כופר לתוקפים עקב מתקפות סייבר, ניתן לראות ברגולציה חדשנית מטעם OFAC, המשרד לבקרת נכסים זרים בארה"ב. על פי הנחיות OFAC, קיים איסור בארה"ב על תשלום כופר לתוקפי סייבר, טרוריסטים וישויות נוספות אשר נכללות תחת "רשימת הסנקציות". על פניו, נראה כי הדבר "הולך יד ביד" עם המדיניות האמריקאית לפיה אין לנהל משא ומתן עם טרוריסטים. יחד עם זאת, את השפעות רגולציית OFAC ניתן לחוש גם בישראל, כאשר חברות רבות רוכשות פוליסות סייבר מיוחדות, אשר מונפקות על ידי חברות ביטוח זרות (מבטחי משנה בדרך כלל) הנמצאות בשליטת יחידים ו/או גופים אמריקאים. כך, על אף שפוליסות הסייבר מכילות סעיפי שיפוי בגין אירוע כופרה, ייתכן שבפועל חברות הביטוח לא יוכלו לבצע את תשלום השיפוי נוכח היותן נשלטות בידי יחידים או גופים אמריקאים בצורה עקיפה, כאשר הכופר נדרש על ידי תוקפים המצויים ב"רשימה השחורה".

לאור האמור לעיל, נשאלות שאלות בדבר מדיניותה של מדינת ישראל ב"מתחם הסייבר", לרבות יעילותה של הרגולציה הקיימת, השפעותיו של כלי התובענה הייצוגית על דרך פעולתן של חברות המחזיקות במידע אישי רגיש וכן חוקיותו של תשלום כופר בישראל ובעולם. יש לקוות כי תזכיר חוק הגנת הסייבר אשר פורסם כבר בשנת 2018 ומוגש כעת מחדש, ייתן מענה הולם לסוגיות אלו, במידה ויאושר כמובן.

להמלצות מערך הסייבר לחצו כאן.

לתזכיר חוק הגנת הסייבר לחצו כאן.