סייבר, סייבר אבל איפה הפרטיות?

בעוד ישראל דוהרת כמעצמת הייטק, בתחום ההגנה על הפרטיות היא מדשדשת. בעידן בו מידע הוא מטבע, חשוב לשמור עליו בכיס המשתמש. אז מה נעשה בישראל ומה יש עוד לעשות?

כל ההודעות שנחתו בתיבות הדואל בשבועות האחרונים מאפליקציות, רשתות חברתיות ואתרים שונים מקורם בתקנות המידע האירופיות החדשות, ה-GDPR Protection Data General EU The Regulation, שנכנסו לתקפן במאי האחרון, אחרי שנחקקו לפני שנתיים ואפשרו לחברות השונות להיערך. הסיבה העיקרית לאימוץ התקנות ע"י היא כמובן כלכלית – הסנקציה המרחפת מעל ההפרה גבוהה: קנס משמעותי שיכול להגיע עד ל- 4% ממחזור המכירות השנתי של החברה, או עד 20 מיליון יורו – לא מכה קלה בכנף.

עבורכם זה מידע לא חשוב, עבור חברות מסחריות זה כסף

תקנות הפרטיות חלות על "מידע אישי", כלומר מידע המאפשר לזהות אדם (כמו: שם, כתובת אלקטרונית, תמונה או סטטוס ברשתות החברתיות וכו') ומגבילות את עיבוד המידע. למה זה חשוב? כי כמויות מידע משמשות היום חברות מסחריות כדי להתכוונן אלינו ולהתאים את עצמן לצרכים שלנו והכל למטרות מסחריות. זה מצד אחד מאוד נוח אבל לנוחות הזו יש מחיר – חדירה עמוקה לפרטיות. מה שנראה לנו כמו מידע בלתי מזיק בסופו של דבר מייצר פרופיל מאוד מדויק של כל אחד מאתנו.

שוק המידע הזה הוא שוק פרוץ, הוא מושתת על מידע אישי אך נמצא כמעט בבלעדיות בידי חברות הטכנולוגיה. את הפרצה הגדולה הזו מנסות התקנות האירופאיות לצמצם ובעצם להחזיר את השליטה על המידע למשתמש ולא להשאירה בידי בעלי הפלטפורמה, שבסך הכל אמורה לספק את התשתית להעברת המידע.

אפשר לבודד ארבעה עקרונות עליהם מבוססות התקנות:

הסכמה מודעת – המשתמש צריך לקבל מהאתר בקשה להסכמה הכוללת הסבר ברור על המידע הנדרש והמטרה לשמה הוא נלקח ולתת הסכמה מפורשת של המשתמש לעיבוד המידע;

זכויות המשתמש: גישה, תיקון והזכות להישכח – לבעל המידע (המשתמש) תינתן גישה למידע שלו, אפשרות לתקן מידע שגוי; ובמקרים מסוימים גם האפשרות לדרוש את מחיקת מידע.

עיבוד מינימלי של מידע – בעיבוד המידע על בעל האתר, או גורם שלישי, להשתמש במינימום המידע הנדרש לפעולה ולא להשתמש או לשמור מידע שאינו נדרש.

אבטחת מידע – על בעל המידע להתקין מראש את כל האמצעים הנדרשים לשמירה על המידע ולמניעת דליפה ולשם כך למנות קצין אבטחת מידע, שתפקידו לוודא ושמש כמפקח ואיש קשר.

ומה אצלנו? המצב רחוק מלהיות משביע רצון. אמנם בתקנות האירופיות יש פגמים, אבל המצב בישראל לא מתקרב גם להגנה הזו. במאי האחרון נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017, שמטרתן להרחיב את ההגנה על פרטיות המידע האישי של משתמשים במאגרי מידע הרשומים בישראל בשני אופנים חשובים אך לא מספקים: פרסום מדיניות האתר לגבי השימוש במידע ומינוי ממונה פנימי על אבטחת מידע.

מה אין כאן? ראשית אין התייחסות לענקיות המידע הבינלאומיות, שאינן מנהלות מאגרי מידע בישראל אלא בקליפורניה או באירלנד ובמדינות אחרות בהן הפרטיות אינה מוסדרת, אבל ההשפעה שלהן על הצרכן הישראלי עצומה. שאלת הרגולציה על החברות הזרות, שחלקן בתחומן הלכה למעשה מונופול, לא נפתרת. זו לא הבעיה היחידה: הסכמה מודעת של המשתמש נפקדת, אין התייחסות לעיבוד מידע מינימלי, שאלת סמכותו של הקצין הממונה אינה מוסדרת ויותר מזה החוק לא מטיל סנקציה כלכלית שיש בה כדי להרתיע.

עד שממשלת ישראל לא תחליט על מדיניות ברורה בנושא פרטיות, לא תשתתף באמנות בינלאומיות מסחריות שעניין הגנת הפרטיות ולא תחוקק חוקים או תקנות יסודיים ומקיפים, הפרטיות שלנו אינה מוגנת מספיק על ידי החוק. הגנה על הפרטיות מחייבת מהלך מקיף שמחד יאפשר פעילות בשוק הישראלי ומאידך יאזן עם הגנה רחבה על הזכות לפרטיות, זה לא בשמיים ולראייה המהלך האירופי, זה רק דורש סדר עדיפויות ממשלתי. עד שהממשלה תתעורר אני העליתי וממשיך להעלות הצעות חוק שנועדו להגביר את ההגנה על הפרטיות, כמו:

הצעת חוק הגנת הפרטיות (תיקון – פגיעה בפרטיות מהי), התשע"ח–2018 – הצעת חוק שנועדה להרחיב את הגדרת הפרטיות בחוק כך שתכלול לא רק עבירות פרטיות קלאסיות כמו מציצנות אלא גם העברת מידע ללא הסכמה וגם תקבע פיצוי סטטוטורי, כלומר בלא הוכחת נזק, במקרים של עבירה על הפרטיות.

הצעת חוק תובענות ייצוגיות (תיקון – תובענה ייצוגית בשל פגעה בפרטיות), התשע"ח-2018 – תיקון שכולל את הפגיעה בזכות לפרטיות בין העילות לתביעה ייצוגית ויש לזה חשיבות רבה כיון שלתביעות ייצוגיות יש ערך רב בהרתעה.

הצעת חוק הגנת הצרכן (תיקון – טופס הסכמה לתנאי שימוש באינטרנט), התשע"ח-2018 – הצעת חוק זו נועדה להגן על הצרכן הישראלי, לחזק את ההגנה על המשתמש הישראלי ולהכניס את ההסכמה המודעת ואפשרות התיקון והמחיקה לחוק הישראלי על ידי הכפפת תנאי השימוש לחוק הישראלי ובעיקר הנגשת החוזה בין המשתמש לפלטפורמה שאינו נתפס כחוזה אך הוא הלכה למעשה כזה.

הצעת חוק הגנת הפרטיות (תיקון – פרטיות קטינים), התשע"ח-2018 – הגנת פרטיות הקטין היא צורך חשוב כשבכל יום נכנסים עוד ועוד קטינים לרשת דרך אתרים, אפליקציות או רשתות חברתיות, והם חשופים לתכנים רבים ולא ראויים או מבוקרים, כולל חשיפה לפרסומות ממוקדות ושימוש מניפולטיבי במידע. הצעת החוק מציעה שינוי מהותי הכולל: תקנות ברורות להסכמה לתנאי שימוש במקרה של קטין, סטנדרטיזציה של טופס הסכמה לתנאי שירות, מזעור מידע, איסור פרסומות ואיסור איסוף ועיבוד מידע אישי למטרות מסחריות, תוך התייחסות להגנת הקטין בפרט.