מי שייתפס במכ"ם של האירופים עלול לגלות שהמחיר כבד מאוד

עו"ד חיים רביה מנתח את החקיקה האירופית החדשה להגנת פרטיות המידע, ה-GDPR

חיים רביה / צילום: תומר יעקובסון
חיים רביה / צילום: תומר יעקובסון

בסוף השבוע שעבר נכנסה באירופה לתוקף חקיקה חדשנית בנושא עיבוד מידע אישי. היא משפיעה על כל מגזרי המשק האוספים מידע על יחידים באיחוד האירופי - מחברות פרטיות וציבוריות ועד למשרדי ממשלה, מגופים ציבוריים ומכוני מחקר ועד למוסדות אקדמיים. ההכנות לכניסת החוק לתוקף ארכו שנתיים. אפשר לתאר אותן כהיסטריה של ממש מתחילת 2018. האם התהליך הסתיים? רחוק מזה, הוא רק מתחיל.

ה-General data Protection Regulation, ובקיצור ה-GDPR (החקיקה להגנת פרטיות המידע), מחליף הסדר חוקי משנת 1995. מי שיפר את החקיקה החדשה מסתכן, בין השאר, במנגנון כבד של קנסות. אלה עלולים להגיע ל-4% ממחזור ההכנסות השנתי הכלל-עולמי של קבוצת חברות או 20 מיליון אירו, לפי הגבוה מבין השניים. האם היו אלה הקנסות הגבוהים שהניעו מאות רבות ואולי אלפי ארגונים בישראל ובתבל להיערך לחקיקה? אין לדעת. עם זאת, תיבות הדוא"ל שלנו המוצפות בימים אלה בהודעות על עדכונים במסמכי הפרטיות של חברות כגוגל, כפייסבוק ואין ספור אחרות, הן קצה הקרחון של תהליך ממושך ויקר.

 

פער בלתי ייאמן

האמת צריכה להיאמר: ה-GDPR מאיר את חוק הגנת הפרטיות הישראלי באור נלעג משהו. בעת שנחקק ב-1981 עוד לא היה מידע ביומטרי וגנטי, שירותים מבוססי מיקום, מצלמות בכל פינה, אינספור מכשירים מחוברי-אינטרנט המנטרים אותנו ואת הפעילות סביבנו 24 שעות ביממה; עוד לא היו טלפונים סלולריים, ולא אינטרנט. השנים לא היטיבו עם החוק הישראלי, שהתיישן עד כדי כך שאין בו מענה לסוגיות רבות של הזמן הזה. ישראל שהייתה חדשנית בשעתה, מהמדינות הראשונות לעגן את הזכות לפרטיות בחקיקתן, משתרכת מאחור. היא עושה כן בעוד היא עצמה ערש הלידה של טכנולוגיות רבות המאתגרות את דיני הפרטיות הלאומיים שלה.

הפערים בין תעשיית הטכנולוגיה להסדר המשפטי הם בלתי ייאמנו. המחדל הזה כולו מונח לפתחו של משרד המשפטים, שהזניח את התאמת דיני הפרטיות לעידן המודרני. אירופה בחרה בדרך אחרת. מאז 1981 כבר תיקנה פעמיים את דיניה העוסקים בהגנת מידע אישי, וכעת היא הסמן הימני של העולם. חברות, ארגונים וממשלות הרוצות להמשיך להחליף מידע עם האיחוד האירופי, חייבים כולם להתיישר לפי אמות-המידה שלו.

אי-אפשר לתמצת את החקיקה האירופית במספר מילים. היא דורשת שעיבוד מידע יבוצע באופן שקוף, הוגן וחוקי - ומגדירה רשימה מצומצמת של עילות חוקיות לעיבוד כזה. היא מעגנת בכתב זכויות של נושאי מידע, לאמור יחידים שמידע עליהם מעובד. היא חלה על עיבוד ממוחשב וגם שאינו כזה. היא מאפשרת ליחידים לעיין במידע עליהם, לדרוש לתקנו או למוחקו ("הזכות להישכח"), לסרב לעיבוד מידע מסוים, להתנגד לקבלת החלטות המבוססות על תהליכים אוטומטיים בלבד, ולדרוש עותק של המידע עליהם בתבנית המאפשרת להעבירו לספק אחר.

ככלל, החקיקה החדשה אוסרת לעבד מידע רגיש, הכולל בין השאר מידע ביומטרי, גנטי, בריאותי, וגם מידע על חברות בארגוני עובדים, דעות פוליטיות או מידע מיני, אלא בנסיבות מאוד מוגדרות.

מסכן את ישראל

ה-GDPR מגדיר היטב גם את היחסים בין מי ששולט במידע, הקובע מה וכיצד ייאסף, למשך כמה זמן יישמר ולמי יועבר, לבין מי שמספק לו שירותי עיבוד נתונים. החוק החדש מציג תפיסות שלא היו כמותן בחקיקה הקודמת. לדוגמה, פרטיות כברירת מחדל, פרטיות המובנית לתוך תכנון המערכות (privacy by design) ופסאדונימיזציה של מידע, כך שאי-אפשר יהיה לשייכו לאדם בלי מידע נוסף.

החוק מחייב ארגונים למחשבה מעמיקה - למה אני אוסף מידע? האם אני חייב את כל המידע שאני אוסף? מה מינימום המידע שאני זקוק לו כדי לקיים את המטרות שלשמן אני אוסף אותו מלכתחילה? כמה זמן אשמור אותו? - ומאתגר מוסכמות של שנים ארוכות, שלפיהן צריך וכדאי לאסוף את כל המידע האישי ולשמור אותו לנצח. את כל אלה אין בחוק הישראלי המזדקן.ה-

GDPR מסכן את ישראל. הוא מסכן אותה מפני שהוא מבסס מחדש מנגנון שכבר היה קיים בחקיקה האירופית, שלפיו נאסר להעביר מידע מאירופה למדינות שאינן מקיימות את רמת ההגנה על מידע אישי התואמת את אמות-המידה האירופיות. עיקרון זה ידוע כעקרון התאימות (adequacy). ב- 2011 ישראל הוכרה כתואמת את הסטנדרטים האירופיים, אחת מ-13 מדינות כאלה ברחבי תבל. כעת המעמד היוקרתי הזה בסכנה. בימים אלה בוחנת הנציבות האירופית מחדש את התאימות הישראלית.

מאז הוכרה ישראל נחקקו בה חוקים רבים המכרסמים בזכות לפרטיות. לדוגמה, חוק המאגר הביומטרי מחייב כל אזרח למסור תמונת פנים ביומטרית למאגר ממשלתי; חוק נתוני תקשורת מספק לרשויות-חקירה גישה חסרת תקדים למידע על נתוני תקשורת של אזרחים; חוק נתוני אשראי מורה לאסוף למאגר מרכזי נתונים על פירעון האשראי של כולנו, אלא אם כן ביקשנו במפורש שלא ייאסף מידע כזה. ולממשלה ישנן תוכניות המאתגרות פרטיות בתחום הבריאות הדיגיטלית ובתחומים נוספים.

כך, נוסף לסנטימנט השלילי שרוחשת אירופה לישראל, יש להיערך לאפשרות שההכרה בנו כ"תואמים", תישלל. והמשמעות היא - מגבלה קשה על העברת מידע מאירופה לישראל. מגבלה, שתשליך על כל חברה המספקת שירות ליחידים באירופה (לדוגמה, כל סטארט-אפ עם לקוחות ביבשת), כל ארגון המשווק לאירופים ואוסף מידע על אנשי הקשר שם, כל גוף מחקר הנסמך על מענקים אירופיים, כל ארגון ציבורי או משרד ממשלתי המבקש לקבל פניות מאירופים.

למרות חשיבותה הרבה, החקיקה החדשה של אירופה אינה נקייה מכשלים. יש בה סוגיות לא בהירות דיין. היא מתיימרת להחיל דין אחד בכל מדינות האיחוד, אבל בפועל מרשה למדינות האיחוד לקבוע הסדרים משלהן בעשרות נושאים שונים. היא יומרנית בהיקפה הרחב. מרבית החברות לא יצליחו לעמוד בה בכל מאת האחוזים ובכל הזמן. היא מציבה אתגרים כבדים לכל המגזר העסקי.

אבל אי-אפשר להתעלם ממנה והיא קבעה את סדר היום של עולם הפרטיות לשנים רבות קדימה. מי שינסה להתחכם וייתפס במכ"ם של הרגולטורים האירופים עלול לגלות שהמחיר כבד מאוד. זה לא יקרה מיד, הליכים רגולטוריים אורכים חודשים, ולא על כל פגם קטן יושתו קנסות כבדים, אלא על מי שמזלזלים בחקיקה במפגיע, אבל אם וכשזה יקרה, זה יכאב.

ולגבי ישראל אל תטעו - דרך ה-GDPR, אירופה תאכוף את אמות-המידה שלה בענייני פרטיות גם על ישראל. לכן, מוטב שנזדרז לתקן את חוק הגנת הפרטיות.

*** המחבר הוא ראש קבוצת האינטרנט, הסייבר וזכויות היוצרים במשרד עורכי הדין פרל כהן צדק לצר ברץ ומייעץ לחברות ולארגונים ביישום ה-GDPR. 

עקרונות ה-GDPR

■ חל על חברות בישראל המציעות שירותים או מוצרים ליחידים באירופה או מנטרות התנהגותם

■ מידע יעובד באופן חוקי, הוגן ושקוף

■ מקנה ליחידים זכות לגשת למידע עליהם, לדרוש לתקן אותו, לבטל הסכמתם לעיבוד, לדרוש העברת המידע לצד שלישי, לדרוש להישכח ועוד

■ אוסר עיבוד מידע אישי רגיש, אלא בהתקיים נסיבות מוגדרות

■ מגביל העברת מידע מחוץ לאיחוד האירופי

■ מחייב למסור הודעה על פגיעה במידע האישי

■ מורה למזער את היקף המידע האישי הנאסף

■ יש להטמיע אבטחת מידע כבר בתכנון המוצר

■ קנסות כבדים: עד 4% מהמחזור השנתי או 20 מיליון אירו