ההאקר הסעודי שעורר סערה גדולה באחרונה, יכול לזקוף לזכותו הישג נוסף. המתקפה שלו על מאגרי המידע בישראל, אלה המכילים נתוני כרטיסי אשראי שונים, הולידה טיוטה להנחיה נוספת של הרשות למשפט טכנולוגיה ומידע (רמו"ט) במשרד המשפטים. הפעם מבקש הרגולטור לעסוק בשאלת חוקיות איסוף מספרי תעודת זהות לטובת מאגרי המידע של הגופים הפעילים במשק.
בטיוטת ההנחיה ממליצה הרשות להגביל מאוד את האפשרות של חברות מסחריות לאגור מספרי תעודות הזהות של אזרחי המדינה. לדעתה, איסוף מספרי זהות במאגרי מידע, טרם שנבחנה ונמצאה הצדקה לאסוף נתון זה - אסור.
הרשות אף מפרטת את התהליכים הנדרשים לצורך הבחינה אם ניתן לאסוף מספרי זהות - פירוט החובות החלות על האוסף והתנאים בהם ניתן לעשות שימוש במידע זה.
אי-אפשר לחלוק על כך שמטרת ההנחיה ראויה. הדליפה החמורה של מידע אישי כה רגיש שהופץ בפני כל ברשת מצריכה הסדרה מיידית של הנושא.
עם זאת, לא ניתן להתחמק מהתחושה שאליה מובילה ההנחיה, לפיה המדינה דורשת מהאזרחים יותר מאשר היא דורשת מעצמה: בשעה שהיא מנסה להגביל את המידע שנאסף במאגרים במגזר הפרטי - היא עצמה יוצרת מאגרי מידע מיותרים, דוגמת המאגר הביומטרי, שעתיד להכיל פרטים רגישים ואישיים ביותר. והרי ידוע כי מרגע שיוקם המאגר, זו רק שאלה של זמן עד שהוא ייפרץ ויופץ ברשת.
חריגה מסמכות
אך בהתעלם מכך, הדרך שבה הרשות הולכת מהווה לכל הפחות חריגה מסמכות, כאשר היא מנסה, ולא בראשונה, להכריז על נורמה משפטית שאינה עולה בקנה אחד עם חוק הגנת הפרטיות.
כך מגלה עיון בחוק כי כשמבקשים לאסוף מידע מאדם, יש להודיע לו אם חלה עליו חובה למסור את המידע או שמא הוא עושה זאת מרצונו החופשי. מקום בו נמסרה לאדם הודעה כאמור, והוא בחר לאחריה למסור את פרטיו - הרי שהוא נותן בכך את הסכמתו מדעת לדברים. מכאן, כל עוד ניתנה הסכמה מדעת, אין איסור חוקי לאסוף מספרי תעודות זהות, גם אם אין צורך מיידי בכך או הצדקה מיוחדת.
לכן, את הכלל שמבקשת הרשות להנחיל ראוי היה לקבוע בחקיקה מסודרת בבית המחוקקים. בדיוק כפי שהיה ראוי לנהוג ביחס להנחיות רבות אחרות וטיוטות להנחיות, שהוציאה הרשות ב-3 השנים האחרונות. באחת מהן היא אף הודתה כי העקרונות הקיימים בחוק הגנת הפרטיות התקבלו בתקופה "שבה היו בעיקר מחשבים מרכזיים לארגונים גדולים" - להבדיל מהתקופה בה אנו חיים, שבה טלפון נייד הופך להיות מחשב שבאמצעותו ניתן להחזיק ולאגור מאגרי מידע.
כך הבעיה שנוצרה הינה כי החוק הקיים בעניין מאגרי המידע, שחוקק ב-1981 ותוקן באחרונה רק ב-1994, אינו עונה על צרכים רבים בהגנה על הפרטיות במידע - קושי שהרגולטור נתקל בו יומיום, קושי שיש לפתור בחקיקה ולא בהנחיות.
מכאן שוב עולה השאלה: מדוע שר המשפטים אינו מוביל שינוי חקיקה בתחום? במיוחד כשעל מדפי משרדו מונח דוח של צוות, ברשות המשנה ליועמ"ש באותה עת, יהושע שופמן, שהמליץ עוד בינואר 2007 על שינויים בפרק ב' לחוק הגנת הפרטיות, אותו פרק העוסק במאגרי המידע.
רמו"ט, לזכותה ייאמר, הייתה הראשונה לאמץ לחיקה את דוח שופמן ולהוביל ניסוח של 3 טיוטות תזכירי חוק שיובילו לשינוי המיוחל בחוק. רק אחת מהן הוגשה כהצעת חוק, והיא ממתינה כיום בכנסת להמשך חקיקה, לאחר שעברה בקריאה ראשונה. אך דווקא זו עוסקת בהרחבת סמכויות האכיפה של רמו"ט ולא בשינוי המתבקש, שידאג להתאים את החוק להתקדמות הטכנולוגית. טיוטות תזכירי החוק עדיין לא קודמו, ובצער רב הן מצהיבות על שולחנו של שר המשפטים לצד דוח שופמן.
בהבהרה שהוציא באחרונה יו"ר הרשות למשפט וטכנולוגיה, עו"ד יורם הכהן, להנחיה שפורסמה על-ידו בעניין הליכי המיון לעבודה ומכוני המיון, הבהיר כי אין להמתין לכניסת ההנחיה לתוקף, כי היא "אינה קובעת נורמות חדשות, אלא משקפת את הפרשנות המשפטית של החוק הקיים".
אין ספק שאם טיוטת ההנחיה העוסקת באיסוף מספרי תעודות הזהות תפורסם לבסוף כהנחיה של ממש מטעם הרשות, יהיה קשה לראש הרשות להוציא לגביה מכתב כזה. זאת, כאמור, היות שהחוק מאפשר באופן ברור איסוף מידע רגיש שעה שניתנה הסכמה מדעת.
לכן, לפני שייקלע למבוכה הזו, ראוי היה ששר המשפטים ייטול את המושכות ויקדם את שינויי החקיקה המיוחלים בתחום ההגנה על הפרטיות ויצעיד את ישראל לעשור השני של המאה ה-21 - ויפה שעה אחת קודם.
הכותב הוא מומחה לדיני טכנולוגיה ותקשורת ומחבר הספר "ההגנה על הפרטיות בישראל".
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.