"הוראות האיחוד האירופי בתחום הפרטיות יאפשרו סנקציות במיליארדים"

חוק חדש באיחוד האירופי להגנה על פרטיות במאגרי מידע מעניק לרשויות סמכות להטיל עיצומים כספיים עד 20 מיליון אירו או 4% מההכנסות השנתיות של התאגיד המפר ■ פרופ' פטריק ואן אקה מפירמת DLA PIPER: "מדובר בסמכות חסרת תקדים"

פרופ' ואן אקה / צילום: איל יצהר
פרופ' ואן אקה / צילום: איל יצהר

חקיקה חדשה של האיחוד האירופי מתיימרת לעשות מהפכה בתחום הפרטיות והאופן שבו גורמים המחזיקים מאגרי מידע מתנהלים. עיגון הזכות להימחק ממאגרי מידע או החובה לעדכן את הרגולטור על פריצה למאגר, הם רק חלק מההוראות החדשות. החדשה הגדולה ביותר בחקיקה הזו, היא השיניים שניתן לרגולטורים האחראים על מאגרי המידע במדינות אירופה - הסמכות להטיל קנסות של עד 4% ממחזור המכירות הגלובלי, על חברות שהפרו את ההוראות שניתנת לכל רשות להגנה על מאגרי מידע בכל מדינה באיחוד. החקיקה החדשה, ככל הנראה, מעסיקה את מנהלי ענקיות האינטרנט, וצריכה להטריד גם את היזמים הישראלים, משום שבפועל החוק יחול כמעט על כל מי שפועל ברשת. ומי לא צריך להיות מוטרד? הממשלות, שהותירו לעצמן כר פעולה נרחב, להמשיך ולרגל אחרי פועלנו המקוון, כאוות נפשן.

החוקים להגנת מאגרי מידע באיחוד האירופי קיימים כבר יותר מ-20 שנה, אך הם לא עברו שינויים רבים עד לאחרונה. זאת, ככל הנראה, כיוון שנושא זה לא היה בעדיפות גבוהה מבחינת הרגולטור עד לאחרונה. כך מסביר פרופ' פטריק ואן אקה, מומחה בולט בתחום ההגנה על הפרטיות המשמש כראש החטיבה לאבטחת מידע בפירמת עורכי-הדין הבינלאומית DLA PIPER. הריאיון עם ואן אקה נערך במסגרת ביקור שלו בישראל לרגל כנס שערכו במשותף משרד יגאל ארנון ושות' ו-DLA PIPER.

"התקנות החדשות הן מקיפות וחדשניות, אפשר לכנות אותן 'דור 2.0'. הן נחקקו מתוך התובנה שעל הכללים להיות בתוקף ב-20 השנים הבאות. החקיקה לוקחת בחשבון נושאים כמו 'ביג דאטה אנליטיקס' (אלגוריתמים החוקרים כמויות עצומות של מידע המצויים ברשת כדי לזהות דפוסי התנהגות, מתאמים והעדפות של לקוחות, בין היתר, למטרות מודיעין עסקי), 'פרופיילינג' (לדוגמה - הנחה כי אדם המתעניין בכדורגל, יתעניין גם בבירה), רשתות חברתיות והחיבור בין התחומים הללו, שמשפיע על הפרטיות".

סמכויות ענישה

לפני שצוללים לפרטי "האסור והמותר" לפי החקיקה האירופית החדשה, ראוי לעמוד על אחד הפרטים המרשימים ביותר במהלך שמקדם האיחוד, שהוא אולי הדרמה הגדולה שמתבשרת ממנו - הסנקציות חסרות התקדים שמאפשרת החקיקה החדשה. "לרשויות מאגרי המידע, ניתנה לראשונה סמכות ענישה שהיא מקבילה בעוצמתה לגופים כמו לרשויות הגבלים עסקיים באירופה", מסביר ואן אקה. "בפרט, האפשרות להטיל עיצום כספי של עד 20 מיליון אירו או 4% מההכנסות השנתיות של התאגיד המפר - הגבוה מביניהם, כשאותם 4% נגזרים מתוך ההכנסות של התאגיד כולו - כלומר במונחים גלובליים".

ואן אקה מדגים את גודל הדרמה באמצעות יישום הכלל על על המקרה של מיקרוסופט. "קח, לדוגמה, מצב שבו מיקרוסופט מפרה את הכללים במלטה, או בלוקסמבורג, או במדינה קטנה אחרת באיחוד - לרשות להגנה על מאגרי מידע באותה מדינה תהיה את היכולת להטיל על מיקרוסופט קנס של עד 4% מן המחזור הגלובלי. בנתוני 2015 ההכנסות של מיקרוסופט נעו סביב 100 מיליארד דולר, אז המשמעות היא סנקציה של עד 4 מיליארד דולר על הפרה אחת - מדובר בסמכות חסרת תקדים כמעט".

- כסף גדול, מי יגרוף את הסכום במקרה כזה?

"הכספים יילכו למדינה שבה ננקטה הסנקציה, כולל אותן מדינות קטנות שסכומים כאלה הן המון כסף מבחינתן. סביר להניח שזה דבר שמדיר שינה מעיני יועצים משפטיים ודירקטורים רבים".לדברי ואן אקה, החקיקה החדשה נכנסה לתוקף במאי האחרון, אך היא כוללות 'תקופת חסד' של שנתיים, כך שתאריך היעד לתחילת היישום של החקיקה הוא מאי 2018.

הזכות להישכח

החקיקה החדשה כוללת הוראות רבות הנוגעות לדרך שבה יש לנהל ולתחזק מאגרי מידע. אחד מעקרונות היסוד שבאים לידי ביטוי בחקיקה החדשה, היא "הזכות להישכח". במובן הפרקטי, יישומה של הזכות בא לידי ביטוי בכך שלאדם שפרטיו האישיים נאספו על-ידי צד שלישי המנהל מאגר מידע (כלומר, לכולנו), ניתנת הזכות לבקש מאותו צד שלישי למחוק את כל המידע המוחזק אודותיו.

- תוכל להסביר את המשמעות הפרקטית - האם סגירת חשבון בפייסבוק תביא לכך שהרשת החברתית תמחק את המידע המוחזק אודותי?

"התשובה העקרונית היא כן, אבל ישנם מספר חריגים לכך. חריג אחד נוגע ליישום הסכם בין הצדדים - ככל שישנו הסכם שעליו חתמת עם צד שלישי, ושמירת המידע חיונית לעמידה בהסכם, אז הצד השלישי יוכל להמשיך ולהחזיק במידע; חריג נוסף נוגע למצב שבו שמירת המידע נדרשת לצורך התגוננות מפני תביעה שהלקוח הגיש נגד בעל מאגר המידע. ישנם עוד מספר חריגים מצומצמים יחסית, אבל העיקרון הכללי הוא שסגירת החשבון צריכה להביא למחיקת המידע האישי".

אחת מהבעיות הגדולות ביותר לגבי מאגרי מידע, היא החשש מפריצתם. דוגמה בולטת להתממשות החשש היא הפריצה לאתר "אשלי מדיסון" המציע ללקוחותיו שירות היכרויות לצורכי מין, בין אנשים נשואים - כלומר, שירות היכרויות לבוגדים. מאגר המידע של האתר נפרץ בשנה שעברה, ופרטיהם של אלפי בני-זוג "סקרנים" דלפו לרשת.

"החקיקה בתחום מאגרי המידע, זו שנחקקה לפני עשורים, כללה חובה להגן באופן סביר על המידע השמור במאגרי מידע מפני פריצות, גניבה או יצירת מניפולציות שונות - וזה נותר בתוקף", מסביר פרופ' ואן אקה. לדבריו, החידוש המשמעותי בתחום ההגנה על מאגרי מידע בחקיקה האירופית החדשה, נוגע לחובה ליידע על פריצה למאגר המידע. "מרגע שבעל מאגר המידע מגלה שהמאגר נפרץ, יש לו 72 שעות לגלות לרשות להגנה על מאגרי המידע אודות הפריצה", הוא מסביר.

- נהוג לסבור שהאויבות המרות ביותר להגנה על הפרטיות הן הממשלות עצמן. האם הממשלות הותירו לעצמן "דלת אחורית" לאסוף עלינו מידע?

"גם הממשלות צריכות לעמוד בחקיקה, והן הותירו לעצמן שדה פעולה נרחב לצורך כך. כדי לאסוף מידע על אדם, בעל המאגר נדרש להציג איזשהו בסיס חוקי לפעולת איסוף המידע. הבסיס הזה יכול להיות הסכמה, כמו ההסכמה שנותנים משתמשים לשירותים שונים באינטרנט עם הרישום לשירות, לאסוף עליהם מידע.

"פתח אחר שהרשויות הותירו לעצמן, הוא מצב שבו ישנו חוק ספציפי שחל במדינה, המסמיך רשות כלשהי לאסוף מידע. במקרה כזה אין צורך בהסכמה. לכן, למדינות האיחוד יהיה קל יחסית לחוקק חוקים שיאפשרו להן לאסוף נתונים על האזרחים".

פרופ' ואן אקה מסביר כי החקיקה החדשה אינה מתייחסת להחלפת מידע בין רשויות שונות, אך כללי האיחוד האירופי מאפשרים למדינות החברות בו, להחליף מידע זו עם זו, כך שניתן לשער שמידע שמצוי בידי רשות חקירה בצרפת, יהפוך זמין בעת הצורך גם למקבילה שלה בגרמניה.

"מטרתם של האירופים היא ליצור משטר חקיקה שיחול על עסקים בינלאומיים"

כיאה למדינה שרשויות הביון שלה הפכו למיתוס הוליוודי, ושתעשיית ההיי-טק שלה נשענת במידה לא מבוטלת על הכשרת אנשי מקצוע ביחידות צבאיות העוסקות במעקב אחרי מיליוני אנשים ברחבי המזרח-התיכון ומחוצה לו - הפכה ישראל בשנים האחרונות במידה רבה למעצמה של איסוף מידע על משתמשי האינטרנט והסלולר.

מיזמים ישראלים רבים מתבססים לא פעם על מודלים עסקיים המעלים חשש כבד לפגיעה בפרטיות. איך? עשרות ואולי מאות חברות ישראליות נותנות שירותים חינמיים בתמורה להסכמת המשתמשים לכך שהתוכנות שלהן יאספו מידע על העדפותיהם, גילם, מינם, מיקומם הפיזי, חיבתם לצבע שיער מסוים, לספרי בלש או ספרות יפה, לעוגות עם או בלי קרם, יחסם לצבע הכתום ועוד. כולנו מסכימים לחקירתנו בלא-ידיעתנו כשאנחנו מורידים תוכנה חינמית, תוסף שמשפר את ביצועי הדפדפן, או אפליקציה משעשעת שממשיכה לעבוד גם כשלא הפעלנו אותה. אז איך תשפיע החקיקה האירופית החדשה על היזמים הישראלים?

פרופ' ואן אקה - מומחה בולט בתחום ההגנה על הפרטיות המשמש כראש החטיבה לאבטחת מידע בפירמת עורכי-הדין הבינלאומית DLA PIPER - מסביר כי "הקורא, או בעל המניות הישראלי אולי עשוי לקרוא את הפרטים ולחשוב 'איך זה נוגע לי? למה שחקיקה של האיחוד האירופי תטריד אותי? אבל במציאות החקיקה החדשה תשפיע על רבים, וזאת באמצעות כמה ערוצי תחולה. הערוץ הראשון הוא דרך מדינת ההתאגדות של החברה. מספיק שלחברה יש איזושהי חברה-בת או חברה קשורה לאורך השרשרת שמאוגדת באחת ממדינות אירופה, והחקיקה החדשה תחול עליה;

ערוץ אחר הוא שירות שניתן, בכל תחום - מוצרים או שירותים - למשתמש באירופה. אם אתה משרת מישהו באירופה - החוק חל עליך במדינות בהן המשתמש נמצא. הכוונה של קובעי המדיניות האירופיים הייתה ליצור משטר חקיקה שיחול על 99% מהעסקים שפועלים באופן בינלאומי ואין ספק שכך יהיה".

הרמוניזציה של הדין

עו"ד יוכבד נובוגרודר-שושן, יועצת מיוחדת במשרד יגאל ארנון ושות' המתמחה בקניין רוחני, הגנת הפרטיות ועסקאות בתחום האינטרנט, מעריכה כי ההשפעה על החברות הישראליות לא תהיה שלילית בהכרח. לדבריה, "העובדה שהחברות הישראליות פונות לקהלים בכל העולם מביאה לכך שחלות עליהן הוראות מדיני המדינות השונות שבהן הן פועלות".

עו"ד נובוגרודר-שושן מוסיפה כי "בשנים האחרונות אנחנו רואים שחקיקה במדינה אחת 'מתיישרת' בעקבות החקיקה במדינות אחרות, עד שנוצרת הרמוניזציה של הדין. לכן, נדמה שבשנים הקרובות, למרות שיש הרבה חקיקה חדשה במדינות השונות, הכללים דווקא נעשים ברורים יותר". 

 עו"ד יוכבד נובוגרודר שושן / צילום: איל יצהר
  עו"ד יוכבד נובוגרודר שושן / צילום: איל יצהר

נדבך נוסף שהמחוקק האירופי ביקש להוסיף לחקיקה הוא החמרה בהגדרת ההסכמה שאנחנו מוסרים לכל אותן תוכנות ואפליקציות, לחטט במכשירינו ובהעדפותינו. כך לדוגמה, אם בעבר יכולנו להקליק על הכפתור "הבא", תוך שאנחנו מאשרים בדרך אגב האותיות הקטנות לפיהן "קראנו את תנאי השימוש ואנחנו מסכימים להם", היום נדרש אקט הסכמה אקטיבי וחיובי, כמו לחיצה בעצמנו על כפתור שמבהיר באופן מובלט כי אנו מוסרים הסכמה לאיסוף מידע אודותינו.

אף שישנם כללים רבים המרחיבים את הגילוי הנאות למשתמשים ואת חובת קבלת ההסכמה של המשתמש מראש, גם פרופ' ואן אקה סבור כי הלקוח הממוצע ימשיך להיות אדיש לחדירה לפרטיותו, גם אחרי יישום השינויים. "אני מסכים שהלקוח הרגיל, הלהוט להוריד את התוכנה, ימשיך להקליק במהירות עד שישיג את מבוקשו", הוא אומר. לדעתו, "בסופו של דבר, יש גם למשתמשים אחריות להתנהגות שלהם במרחב האינטרנט".