"הפרטיות לא מתה": הרשות שאחראית על אבטחת המידע שלכם ברשת מנסה לגדל שיניים

בשנים האחרונות, מדינת ישראל התמודדה עם סוגיות פרטיות לא פשוטות: איכוני השב"כ בתקופת הקורונה, פרשות שירביט ואטרף ועוד • כעת, חודשים ספורים לאחר שנכנס לתפקיד, בראיון מיוחד ומקיף, מסכם ראש הרשות להגנת הפרטיות הנכנס, עו"ד גלעד סממה את פעילות הרשות עד כה - ומסתכל לעתיד

עו''ד גלעד סממה / צילום: איל יצהר
עו''ד גלעד סממה / צילום: איל יצהר

בשבועיים האחרונים, הביקורת על חברת הסייבר ההתקפי הישראלית NSO, הגיעה לשולחנות הכנסת ואף הוקם צוות בדיקה של היועץ המשפטי לממשלה כדי לבחון את מה שאירע לכאורה. על פי הפרסום בכלכליסט, נעשה שימוש בתוכנת פגסוס ללא צו בית משפט נגד חשודים בעבירות ונגד אזרחים שאינם חשודים. באירוע מסוג זה, אחד הגופים שאמורים להיות בשיא העניינים - הוא הרשות להגנת הפרטיות, רגולטור המידע האישי ומאגרי המידע במדינת ישראל.

לצד היותה מתווה את הדרך והמומחה המקצועי של הממשלה ושל המשק לגבי הגנה על המידע האישי, כרגולטור - הסמכות של הרשות תקפה על כלל הגופים בישראל, כולל משרדי הממשלה והמגזר העסקי. לרשות יש סמכויות מכוח חוק לאכוף את הציות לחוק הגנת הפרטיות, כולל אכיפה מנהלית (הליכי רוחב וקנסות) ועד לרמה של אכיפה פלילית (מחקירות פליליות ועד לכתב אישום).

ראש הרשות להגנת הפרטיות החדש, עו"ד גלעד סממה, מונה לתפקיד באמצע חודש נובמבר. הוא נכנס לתפקיד אחרי אירועים לא פשוטים שהיו במדינה, דליפת המאגרים של אטרף ושירביט. במקרה של NSO הוא מבהיר: "הבדיקה בעיצומה והרשות מטבע הדברים מכירה את העניין מבפנים. לרשות הגנת הפרטיות ישנן יכולות אכיפה כלפי כלל המשק, כולל המשטרה. כעת נחכה לסופה של הבדיקה ואז נדע אם צריך להפעיל את הכלים אצלנו. אם צריך - יש לנו סמכויות של חקירות פליליות, גם מול המשטרה ולאו דווקא בהקשר של NSO".

"כל העולם היום הוא מאגרי נתונים"

המבקרים טוענים שהרשות לא הייתה עם היד על הדופק, ולא הצליחה לעקוב אחרי המקרים. במענה לכך, עו"ד סממה מספר על תיקון מס’ 14 לחוק הגנת הפרטיות שעבר השבוע בקריאה ראשונה, ועוסק במספר נושאים. אחד מהם, מחזק את סמכויות האכיפה נגד הגופים הביטחוניים השונים. "יצרנו מנגנונים מורכבים יותר שם", סיפר. "יצרנו שם מנגנון של חובת מינוי ממונה הגנת פרטיות בתוך הגוף, הוא יהיה איש שיונחה מקצועית על ידי הרשות ויישב בתוך הגוף הביטחוני. הממונה ינחה את הפעולות והפרויקטים של הגוף, יציף את סוגיית הפרטיות ויזהיר מפני הסכנות".

אך זו לא הביקורת היחידה שהרשות מתמודדת איתה. נכון לעכשיו, במדינת ישראל, החקיקה לא מותאמת, ובעיקר מראה עד כמה הרשות להגנת הפרטיות היא גוף ללא שיניים. לדוגמה, כשהתפוצצה פרשת שירביט, החוק מאפשר לרשות לקנוס תאגיד בעד 25 אלף שקלים. "בזה אני מסכים, השיניים של הרשות אינן מספיקות", טען עו"ד סממה. "כל העולם הוא מאגרי מידע, וחוק הגנת הפרטיות כבר התיישן. הוא חוקק בתחילת שנות ה-80, והתיקון האחרון היה למיטב זכרוני ב-1996. העולם היה שונה לגמרי מבחינה טכנולוגית ולא לכל גוף היה מאגר מידע. המצב הזה השתנה, והסכנות רק גברו, הן לפרט והן סכנות מדיניות וביטחוניות". כדי לענות על הצורך הזה, הדבר הראשון שסממה הציב כמטרה לשנת 2022 הוא קידום תיקון 14 לחוק.

"אחד המוקדים בתיקון הוא הרחבת סמכויות האכיפה של הרשות, כולל אפשרות לתת עיצומים כספיים מאוד גדולים, עד לרמה של מיליוני שקלים, לפי חומרת האירוע", פירט סממה. "אנחנו משווים את המעמד שלנו ביחס לרשויות בעולם". במקביל, ברשות עובדים על כמה תיקונים נוספים: שינוי חוק תובענות ייצוגיות כדי שיהיה אפשר להגיש תובענה ייצוגית על הפרת פרטיות, והוספת בסיסים בחוק של צמצום מידע - משמע להציב חובה לבעלי מאגרי מידע למחוק את המידע שאין בו צורך, כדי למנוע חשיפה מסוכנת אם המאגר נפרץ.

"עולם שמתפתח כל הזמן ומאוד מהר"

לצד אלו, עו"ד סממה נושא עיניים למערכות חוקים ברחבי העולם. הרשות מסתכלת על תקנות הפרטיות של האיחוד האירופי (GDRP) ומבינים את הסטנדרט שצריך להעתיק לישראל. "אנחנו בשיח עם האיחוד, ובוחנים איך אפשר לקחת מה- GDPR את החלקים שהם נכונים לישראל", הסביר סממה. "תיקון 14 שעבר בקריאה ראשונה ותיקון 15 שיבוא אחריו, מיישרים קו עם המצב בעולם. וגם אז, נצטרך לבחון את עצמנו כי זה עולם שמתפתח מאוד מהר".

 
  

הרשות למעשה פועלת בשני מישורים. הראשון, הוא מישור הציבור והתלונות. אזרח או גוף יכולים לפנות לרשות, לדווח על הפרת פרטיות והרשות מבצעת את הבדיקה שעשויה להפוך להליך מנהלי או פלילי. עו"ד סממה משתף שיש תכנון יותר קונקרטי להקמת מוקד: "בעזרת המוקד של הרשות, אזרחים יוכלו לפנות ולדווח על הפרות - לדוגמה מישהו פרץ לי לחשבון הבנק או משתמשים בפרטים של קופת החולים. המוקד יאפשר נגישות טובה יותר מול הציבור, לצד מענה חי לטיפול בבעיות בזמן אמת".

המישור השני הוא פעילות יזומה. מדי שנתיים-שלוש, הרשות מבצעת סקר סיכונים - שזו הדרך שלה להבין באילו תחומים וגופים קיים החשש הגדול ביותר לזליגת מידע או הפרת פרטיות. לדוגמה, בשנת 2020, ביצעה 224 הליכי פיקוח בתחומי הקמעונאות, הקוסמטיקה ועוד, ובשנת 2021 עד חודש נובמבר ביצעה 216 הליכי פיקוח, בתחומי התחבורה החכמה, רפואה דיגיטלית, בתי חולים ועוד.

בהליכי הפיקוח בוחנים את המקומות שיש סיכון לדליפה או להפרת פרטיות. הרשות פונה בעזרת מחלקת האכיפה לגופים השונים ורוצים לראות איך שומרים על המידע והאם הוא מוגן מספיק. הרשות מגיעה למסקנה מה הדרך הנכונה לפעול מול הגוף הנבדק - הנחיות לתיקון חורים או במה הגופים צריכים לעמוד. "תהליך כזה מאפשר להגביר את הציות לכללים ולתקנות שלנו", מסביר סממה. "אנחנו מיידעים את הגוף על הליקויים שמצאנו, אם הדברים לא יתוקנו, הם ימצאו אותנו אחר כך בהליכי אכיפה יותר מחמירים. אנחנו נחזור לבדיקת מעקב מהר יותר ככל שהאירוע חמור ובעייתי".

אכיפה פלילית דורשת משאבים

עד כמה מתבצעות פעולות אכיפה נגד הגופים המפרים? על פי נתוני הרשות, בשנת 2018, היו 235 הליכי פיקוח רוחביים - מה שהובילו ל-104 פעולות אכיפה מנהליות ו-4 פעולות אכיפה פליליות. בשנת 2019, היו 244 הליכי פיקוח, שהובילו ל-86 פעולות מנהליות ו-5 פליליות. בשנת 2020, היו 224 הליכי פיקוח, מתוכם 101 הבשילו לפעולות אכיפה מנהלית ו-6 פעולות פליליות. הליך מנהלי מהיר יותר ופנימי לרשות, בעוד שאכיפה פלילית דורשת משאבים והשקעה, ולוקחת הרבה יותר זמן. כשחוקרים וממליצים להגיש כתב אישום, הפרקליטות מחליטה בסוף מה היא מעוניינת לעשות.

עו"ד גלעד סממה בן 44, נשוי עם שני ילדים. הוא סיים תואר ראשון במשפטים בהצטיינות ותואר שני כפול במשפטים ומשפט ציבורי בינלאומי באוניברסיטת Northwestern ואוניברסיטת ת"א. לפני שמונה לראש הרשות בנובמבר האחרון, ע"י שר המשפטים גדעון סער, היה מנכ"ל ארגון הרופאים המתמחים "מרשם", ראש הסיוע המשפטי במשרד המשפטים, ראש מטה של שרי ממשלה ויועץ בכיר לחקיקה של שר המשפטים, פרקליט בפרקליטות המדינה ועוד.

"קיבלתי רשות שחיכתה לממונה קבוע"

בשלוש השנים האחרונות, ד"ר שלומית ווגמן־רטנר הייתה ממלאת־מקום ראש הרשות לצד תפקידה כראש הרשות לאיסור הלבנת הון. האם זה אומר שהתפקוד של הרשות היה חלקי או לא יציב?

ד''ר שלומית ווגמן-רטנר, בעבר מ''מ הרשות להגנת הפרטיות / צילום: איל יצהר
 ד''ר שלומית ווגמן-רטנר, בעבר מ''מ הרשות להגנת הפרטיות / צילום: איל יצהר

"הרשות התנהלה טוב, והאנשים פה בדומה לרשויות אחרות, ניהלו את המקום", טען סממה. "ממלאת המקום ניהלה את הרשות בצורה טובה. אני חושב שאפשר לראות את זה בהתנהלות בתקופת הקורונה, וכל סוגיית איכוני השב"כ כשהרשות הייתה מאוד מאוד משמעותית בחקיקה. הממשלה הייתה מחויבת מכוח חוק, לקבל את עמדת הרשות בטרם היא מפעילה את הכלי הזה. זו אמירה מאוד חשובה של הממשלה שהיא רואה את ערך הפרטיות גם בשעות חירום כשמנסים להילחם במגיפה".

לצד זאת, סממה מתעכב על המציאות הבעייתית שהייתה בשנים האחרונות: "המצב בשירות המדינה היה ידוע, לא רק ברשות להגנת הפרטיות, אלא בעוד רשויות ובמנגנונים אחרים. מינויי בכירים לא אושרו בגלל ממשלות המעבר ונוצר חוסר ברמת הפיקוד הבכיר של הגופים. כשהגעתי, הרשות שקיבלתי חיכתה וציפתה לממונה קבוע שמייצר וודאות, יציבות ומאפשר לבצע פרויקטים רחבים יותר. בסופו של דבר, כל ממלא מקום זמני לא מתחיל פרויקטים גדולים או רפורמות, כי יש איזה חסם פסיכולוגי ולא רוצה לסנדל את הממונה הקבוע שיגיע. טוב שהתקופה הזמנית עברה".

להערכתך, המידע של אזרח ממוצע בישראל כיום - שמור ומוגן ברשת?
"ההערכה שלי שהמידע הוא מוגן, אבל לא מספיק. יש גופים שמחזיקים מידע מאוד רגיש על אזרחי ישראל ורמת המוגנות שם גבוהה מאוד. לצד זאת, יש לדוגמה את הרשתות החברתיות שם כל אדם לעצמו, וזה עולם אחר לגמרי. ובעולם הזה, אנחנו מזהים שאנחנו צריכים לגרום לציבור להבין שיש כתובת לפנות אליה".

המודעות לסוגיית הפרטיות קיימת בציבור?
"המודעות נמצאת בעלייה, ואפילו משמעותית. ברגע שיש מקרי פרטיות גדולים, כולם רואים את הסכנות וזה מעלה את המודעות לסוגיית הפרטיות. לדוגמה במקרה של אטרף, זיהינו ברשות שעשו שימוש, שמן הסתם היה לא חוקי, במידע (של משתמשים מהאפליקציה הגאה - נ.ט) שדלף ופתחנו בחקירה פלילית. כשהתמודדתי לתפקיד, אנשים אמרו לי שהפרטיות מתה ואין דבר כזה יותר, ואני ממש לא מסכים עם זה. כל אחד מאיתנו, יודע טוב שהוא לא רוצה שיעקבו אחריו או שידעו את המצב הכלכלי שלו. אחרי תיקון 14 המדובר, ששם יהיו עיצומים כספיים משמעותיים, אמון הציבור יחזור לא רק לרשות להגנת הפרטיות, אלא גם לנוכחות שלנו במרחב הדיגיטלי והשמירה על המידע שלנו".

הזכרת את הרשתות החברתיות, ואין ספק שתפיסת הפרטיות השתנתה. אתם בוחנים את הרשתות החברתיות גם?
"יש הפרות נרחבות, והתפקיד שלנו הוא להנגיש לציבור את ההבנה שיש פתרון. נכון, יש את הפתרונות העצמאיים שכל אחד יכול לעשות, אבל אפשר גם לפנות אלינו. בין אם זה בפייסבוק או בכל רשת אחרת. אני מבין שיש הרבה חסמים לפני שאנשים פונים לרשות אוכפת בנוגע לפרטיות שלהם, אבל חשוב להסביר לאנשים שאם הם רואים הפרות, שיפנו אלינו ונטפל".

כדי שהציבור יתגבר על החסמים שבפנייה לרשות, סממה ואנשיו מבינים שיש להם מספר כלים שהם יכולים להפעיל - הראשון, הוא חקיקה, הנחיות והמלצות לציבור ולמשק. "הכלי השני הוא הסברה", סיפר סממה. "אנחנו מתכננים בימים אלו קמפיין ציבורי להגנת הפרטיות במדיה הדיגיטלית וגם ברדיו. צריך להסביר לציבור, לגופים ולמגזרים השונים וגם למשרדי הממשלה, מה צריך לעשות ומה הם חייבים לדעת. הכלי השלישי, הוא העיצומים גבוהים יותר - זה מאוד משמעותי כדי להכווין התנהגות ציבורית. נעמיק את יכולת האכיפה של הרשות וזה יכווין את כלל המשק להגנת הפרטיות".

"לא נתקלתי בבקשה שלנו שלא התקבלה"

האם יש מספיק משאבים ותקציבים לרשות להגנת הפרטיות כדי להתמודד עם כל הסכנות?
"לא אדבר על השנים הקודמות, בגלל שהיו ממשלות מעבר ולא היה תקציב מדינה. עכשיו, יש ממשלה מתפקדת ועבר תקציב מדינה. בינתיים, לא נתקלתי בבקשה שהרשות הייתה צריכה ולא קיבלה אותה. למזלנו, גם שר המשפטים גדעון סער וגם מנכ"ל משרדו, ערן דוידי -ערים לצרכים של הרשות והנושא בליבם. יש משאבים, יש תשומת לב מהנהלת המשרד ויש הבנה שאנחנו בפיק שצריך להתייחס להגנת הפרטיות בצורה עמוקה יותר".
יש כאלו הטוענים שצריך להקים גוף שיהיה אחראי על היבטי האינטרנט השונים, שיתכלל את כל הפעולות מסביב לעולמות הרשת, מסייבר ועד הגנת הפרטיות. "אני לא מאמין ביצירת גוף אחד שהוא אחראי על האינטרנט", הבהיר סממה. "מה שצריך לקרות זה שיתוף פעולה מצוין בין גופים שונים שמחזיקים בהסתכלות רלוונטית".

סממה מתכנן גם להפחית רגולציה במקומות שאין צורך בהם: "אנחנו לא רוצים להיות במקום שאנחנו פוגעים חלילה בגופים להתפתח ובהתנהלות הרגילה של המשק. אנחנו רוצים לאפשר ל’טובים’, כמובן, תוך איזונים שאין סכנה לפרטיות, מצד שני לפגוע ב’רעים’ שמפרים את הפרטיות של אזרחי מדינת ישראל".

לסיום, היום הוא יום הגנת הפרטיות הבינלאומי. איזה טיפ חשוב לך שהאזרחים שקוראים אותך יכירו?
"הדבר הראשון זה מודעות עצמית. אנשים צריכים להיות עם מודעות לגבי המידע שלהם. אנחנו רואים איך כולם דואגים כשיש איזו פרצה שמתפוצצת, אבל ביום יום, בהתנהלות הרגילה, זה לפעמים בורח ואז זה מייצר סכנות. טיפ נוסף חשוב, וזה לארגונים ומשרדי הממשלה - תוודאו, תתייעצו עם הרשות או גורמים אחרים. אם אתם מחזיקים במאגרי מידע, וכמעט בכל ארגון יש מאגר מידע כזה או אחר, אתם חייבים להיות מודעים שיש בזה סכנה לפרטיות של אנשים ולראות שאתם עומדים בתקנות של הרשות".