טיוטת תקנות הגנת הפרטיות שפרסם לאחרונה משרד המשפטים מעגנת עקרונות הלקוחים מתקנות הגנת המידע של האיחוד האירופי (GDPR). במבט ראשון, נדמה שישראל סוף סוף צועדת לעבר הגנה על פרטיות ברשת. מבט מעמיק יותר חושף כי האינטרסים מאחורי התקנות הם כלכליים בלבד, ומטרתן להבטיח מסחר נוח ויעיל עם מדינות אירופה. מדינת ישראל תגן על מידע אירופי, אך המידע שלנו, הישראלים, הוצא מתחולת התקנות והופקר על-ידי המחוקק. מדוע?
הזכות לפרטיות וההגנה עליה בישראל
מידע אודות הגולשים ופעולותיהם ברשת הוא ככל הנראה המוצר המבוקש ביותר באינטרנט. הכלכלה הדיגיטלית מבוססת על איסוף מידע של המשתמשים ובך מציבה אתגרים מבחינת הזכות לפרטיות. היה ניתן לחשוב שלאור מרכזיותה של הזכות לפרטיות במרחב הדיגיטלי, מעמדה יהיה גבוה ונתייחס אליה כאל "מלכת זכויות האדם בעולם הדיגיטלי", אך נראה כי בישראל מעמדה דווקא נמוך במיוחד.
הזכות לפרטיות מעוגנת הן בחוק הגנת הפרטיות תשמ"א-1981, והן בחוק יסוד: כבוד האדם וחירותו. לפיכך, הזכות נהנית ממעמד נורמטיבי גבוה והגנה חוקתית. הזכות איננה מוגדרת במדויק בחוק או בפסיקה, וסובלת מעמימות מסוימת. ניתן להבין אותה בדרכים שונות, אך התפיסה הרווחת להגדרת הזכות לפרטיות בישראל היא פרטיות כשליטה. לפי תפיסה זו, הזכות לפרטיות מתבטאת בשליטה של האדם על מידע שנאסף עליו - תוכנו, דרכי איסופו, והפצתו.
איסוף מידע במרחב הדיגיטלי מציב סכנות קשות לפרטיות. האפשרות להצלבת מידע ממאגרים שונים הופכת פריט מידע פשוט כמו שם או כתובת למשמעותי מאוד. זאת, כיוון שניתן לקשר אותו למידע נוסף אודות אותו אדם ממאגרים אחרים, וכך ללמוד עליו דברים נוספים כמו הרגלים, אמונות, דעות פוליטיות וחולשות התנהגותיות. עם מספיק מידע, חברות פרטיות יכולות להכיר אותנו טוב מספיק כדי להשפיע באופן משמעותי על קבלת ההחלטות שלנו, והכל בהתאם לאינטרס העסקי שלהן. עיבוד המידע אודותינו הופך אותנו לפגיעים, ומקשה עלינו לשלוט במידע שלנו.
באופן מעניין, רוב המידע שנאסף לגבינו נאסף בהסכמה ומרצון. ובכל זאת, מחקרים אמפיריים מראים שאזרחים במדינות דמוקרטיות מייחסים חשיבות לזכות לפרטיות, ורוב האנשים מצהירים שהם לא מוכנים לוותר על הפרטיות שלהם, גם לא בעבור תמורה משמעותית. מחקרים אמפיריים מראים שאזרחים במדינות דמוקרטיות מייחסים חשיבות לזכות לפרטיות. הוויתור על המידע הפרטי מתבצע בהסכמה, אבל האם במרחב הדיגיטלי ההסכמה היא אותנטית? האם המשתמש באמת קורא את תנאי השימוש בכל אתר ואתר? האם הוא מבין את המטרות לשמן נאסף המידע ואת השימוש שיעשה בו? ברקע ההסכמה למסירת מידע אישי ברשת נמצאים פערי ידע גדולים בנוגע להשלכות המסוכנות של עיבוד ושמירת המידע על הפרט. הזכות לפרטיות נפגעת בדרכים שלא תמיד ידועות ומובנות לאזרח, לכן נדרש התערבות של המחוקק.
למרות סכנות רבות לפרטיות המשתמשים ולהשלכות הקשות של איסוף ועיבוד מידע ברשת, המחוקק הישראלי לא הגיב בצורה אפקטיבית. מומחים טוענים כי חוק הגנת הפרטיות מיושן ולא מסוגל לתת מענה לאתגרים השונים שמתעוררים במרחב הדיגיטלי. בעוד שבישראל לא נעשו שינויים משמעותיים בדיני הגנת הפרטיות בארבעים השנים האחרונות, באיחוד האירופי נכנסו לתוקף ב-2018 תקנות בדבר הגנת מידע (GDPR) שמשקפות שינוי תפיסה של ממש בכל הנוגע להגנה על פרטיות ברשת.
תקנות ה-GDPR ודרישת התאימות
תקנות ה-GDPR קובעות הוראות אחידות בנוגע לאיסוף, שמירה ושימוש במידע של משתמשים אירופים. התקנות קובעות מגבלות על מאגרי מידע דיגיטליים, ומטרתן לאפשר לפרט רמת שליטה גבוהה יותר מבעבר על המידע שלו ולשמור על פרטיותו. זאת, מתוך הכרה באתגרים שנוצרו עקב השינויים הטכנולוגים המהירים של השנים האחרונות. התקנות מגבילות מאגרי מידע אירופים, ובכך מעניקות לתושבי האיחוד האירופי הגנות וזכויות שונות, כגון הזכות להגביל עיבוד מידע, הטלת חובת שקיפות לגבי מידע שנאסף, זכות לניוד מידע אישי בין ספקי שירותים ועוד.
ב-GDPR נקבע כי מדינות או חברות פרטיות שרוצות להתקשר בעסקאות עם גורמים אירופיים הכוללות העברת מידע של משתמשים אירופים - מחויבות לספק למידע זה רמת הגנה דומה לרמה הקבועה בתקנות. כלומר, הדין המקומי צריך להיות שווה ערך במהותו לכללים של ה-GDPR. עבור מדינה שמחזיקה במעמד "תאימות" (adequacy) מטעם האיחוד האירופי - דרישה זו לא מהווה אתגר. תאימות משמעותה שרמת הגנת המידע במדינה תואמת לרמת ההגנה על מידע אישי במדינות האיחוד, מה שמאפשר מסחר נוח ויעיל יותר. ללא מעמד תאימות של המדינה, מאגרי מידע יחויבו פרטנית לקיים את התנאים שקובעות התקנות האירופיות אם ירצו לקבל מידע פרטי ממדינות האיחוד. בעקבות תקנות ה-GDPR, נציבות האיחוד האירופי מקיימת כיום בחינה של מעמד התאימות שניתן למדינות מחוץ לאיחוד.
האיחוד האירופי בהחלט אוכף את תקנות ה-GDPR. בית הדין האירופי ביטל לאחרונה את הסכם הפרטיות (safe harbor) עם ארצות הברית, שאפשר לחברות אמריקאיות לעבד מידע של אזרחי האיחוד האירופי. מדובר בצעד דרמטי, שמטיל נטל כבד על החברות לתקן ולשנות את מדיניות עיבוד המידע שלהן. האיחוד גם הטיל קנסות כבדים מאוד על חברות שהפרו את תקנות ה-GDPR.
ישראל קיבלה מעמד תאימות בשנת 2011, והיא אחת מ-13 המדינות שאינן חברות באיחוד האירופי וקיבלו מעמד זה. אלא שמאז, ולמרות השינויים הטכנולוגיים המשמעותיים - דיני הגנת הפרטיות בישראל לא השתנו. לפיכך, הסכנה לאיבוד התאימות נראית קרובה. למעמד התאימות יש חשיבות כלכלית רבה, והשפעה על יחסי החוץ של מדינת ישראל. ברור שדרישת התאימות חשובה לישראל, ורצוי שנעמוד בה. תקנות ה-GDPR מציבות הזדמנות מצוינת לשפר את דיני הגנת הפרטיות הישראליים על ידי אימוץ העקרונות שנקבעו בהן. האם נעמוד בה?
טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי)
בינתיים, נראה שההזדמנות הגדולה לרפורמה בדיני הפרטיות בישראל מתפספסת. בחודש נובמבר 2022 פרסם משרד המשפטים את טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), שמטרתה להביא לחידוש מעמד התאימות של מדינת ישראל. התקנות קבועות ארבע חובות שיחולו על בעלי מאגרי מידע בישראל: חובת מחיקת מידע, הגבלת החזקת מידע שאינו נחוץ, חובת דיוק מידע, וחובת יידוע על קבלת מידע אודות אדם. חובות אלו תואמות עקרונות שנקבעו ב-GDPR, ומבטיחות הגנה מסוימת על מידע של משתמשים ברשת, תוך מתן שליטה לפרט על המידע אודותיו.
הנה הקאץ': התקנות יחולו רק ביחס למידע שהועבר למאגר ישראלי מהאיחוד האירופי, כלומר מידע על אזרחים אירופים. ארבע החובות שמגבילות את מאגרי המידע ומגנות על הזכות לפרטיות, כלל לא יהיו רלוונטיות למידע שאוספים או מקבלים מאגרי המידע הישראלים על אזרחי ותושבי ישראל. כתוצאה מכך ייווצר מצב בו תהיה רמת הגנה גבוהה על פרטיותם של זרים, אבל רמת ההגנה על מידע שפוגע בפרטיותם של ישראלים תישאר נמוכה. במילים אחרות, התקנות המוצעות מייצרות משטר משפטי שונה עבור ישראלים ועבור אירופים, כפי שנטען במרבית התגובות לטיוטת התקנות, מה שמייצר פגיעה קשה בזכות החוקתית לשוויון. מצב זה נראה לא הוגן ולא שוויוני. אם כבר הוחלט לאמץ עקרונות מסוימים ולחייב מאגרי מידע לרמה גבוהה יותר של שמירה על פרטיות, מדוע לא להחיל אותם גם על אזרחי ישראל?
הסבר אפשרי אחד הוא הקושי לשנות את דיני הפרטיות של מדינת ישראל בחקיקת משנה. כיוון שבחינת מעמד התאימות של ישראל מחייבת פעולה מהירה נוכח החשיבות הכלכלית של התאימות, יש לפעול לקבלת טיוטת התקנות במהירות,. טיעון זה נשמע משכנע, אך חשוב לזכור שני דברים: ראשית, וכפי שנטען בתגובת המכון הישראלי לדמוקרטיה לטיוטת התקנות, האימוץ של טיוטת התקנות לא יוכל לבדו לכפר על דיני הגנת הפרטיות המיושנים של מדינת ישראל, ויתכן שמעמד התאימות ייפסל אף אם תאומץ הטיוטה. שנית, תקנות ה-GDPR התקבלו בשנת 2016 ונכנסו לתוקף בשנת 2018. היה די זמן להתכונן. היה ניתן לקדם אימוץ עקרונות מרכזיים של ה-GDPR בדרך המלך שהיא חקיקה ראשית, והדבר לא קרה.
ניתן היה לנצל את החיפזון לשמר את מעמד התאימות של ישראל כדי להחיל את התקנות גם על מאגרי מידע ישראלים, והעובדה שמשרד המשפטים בחר שלא לעשות כן מעלה תהיות. היה ניתן לחשוב שברקע עומד חשש ביטחוני ורצון לשמור על חופש פעולה של המדינה לעשות שימוש במידע שפוגע בפרטיות לצורכי ביטחון המדינה. אבל השיקול הביטחוני קיבל מענה בטיוטת התקנות הקובעת כי החובות המנויות בתקנות "לא יחולו על מידע שהועבר מרשות האחראית על הבטחון או אכיפת החוק באזור הכלכלי האירופי, ועל שימוש במידע הנדרש למטרת הגנה על בטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלו.
יתכן שהחשש מהעלויות הכלכליות של יישום העקרונות הקבועים בתקנות הוא שהביא לאי התחולה על מידע ישראלי. אכן, יש לצפות שקביעת סטנדרטים חדשים של הגנת על מידע פרטי ידרשו הסתגלות, התאמה טכנולוגית וייעוץ משפטי. ועסקים קטנים עלולים להיפגע מהעלויות הכבדות, ויתכן שאף הצרכנים בקצה יפגעו מכך אם שירותים יתייקרו. למרות זאת, נראה שהוצאת המידע הישראלי מתחולת החוק מטילה נטל כלכלי כבד אף יותר. כפי שנכתב בתגובת המכון הישראלי לדמוקרטיה ובמכתב מטעם מומחים ומומחיות בתחומי משפט וטכנולוגיה, התקנות מניחות שאפשר להבחין בין מידע שמקורו באירופה למידע שמקורו במקום אחר ולהעניק רק למידע האירופי את ההגנות הקבועות בתקנות. לא ניתן לבצע הבחנה כזו וליצור מערכות דיגיטליות מפוצלות ללא שינויים טכנולוגיים משמעותיים ומורכבים, שעלותם כבדה ביותר.
מַה שֶּׁהָיָה הוּא שֶׁיִּהְיֶה?
קשה להכיר בסיבה הגיונית שלא להחיל את התקנות המוצעות גם על מידע של ישראלים, אך טיוטת התקנות שהציע משרד המשפטים לא רק שלא לוקחת צעד בכיוון הנכון, אלא מדגישה בפני הציבור שהאינטרס הכלכלי הוא זה שמעניין את המחוקק. תקנות ה-GDPR ודרישת התאימות ייצרו הזדמנות מיוחדת ואולי חד פעמית לעגן עקרונות שישפרו את ההגנה על הישראלים מפני הסכנות של סחר במידע שלהם. טיוטת התקנות טרם התקבלה, ועוד ניתן לקוות שהמחוקק יחליט שלא להחמיץ את ההזדמנות הזו, וסוף סוף יבחר להגן על הזכות לפרטיות.