אפשר להניח שהרשות למשפט טכנולוגיה ומידע - בשמה החדש הרשות להגנת הפרטיות - הפועלת כאחת היחידות במשרד המשפטים, תהפוך להיות אחד הגופים הממשלתיים החשובים בשנים הקרובות. השימוש ברשתות החברתיות לצורכי תעמולה עלה מדרגה בבחירות האחרונות בארץ וברחבי עולם, ובבחירות לנשיאות ארה"ב אף שבר שיאים.
ככל שהציבור והממשלות יפנימו את היקפו העצום של המידע שמרכזות עלינו שתי הענקיות גוגל ופייסבוק, ולא רק הן אלא גם תאגידים וחברות קטנים יותר, יתרחב החשש שהמידע שנאגר אודותינו, האזרחים, הופך להיות סכנה אמיתית לדמוקרטיה. איך מתמודדים עם זה? הרבה מאוד אחריות מונחת לפתחן של רשויות להגנת הפרטיות בארץ ובעולם.
בראיון ל"גלובס" אומרת לימור שמרלינג-מגזניק, מנהלת תחום קשרי ציבור וממשל ברשות להגנת הפרטיות, שהיא דווקא אופטימית, שההכרה בדבר הצורך במעורבות של מדינות בפיקוח ורגולציה בכל הקשור לשמירה על הפרטיות נמצאת בסדר עדיפות גבוה, ושהרשויות במדינות מסביב לגלובוס משתפות פעולה ביניהן כדי להגן על הפרט ועל פרטיותו.
"חברות מתרשמות דווקא מקנסות"
הרשות להגנת הפרטיות היא רשות הרגולציה והאכיפה של זכות היסוד לפרטיות במדינה. חוקים להגנת הפרטיות בישראל קיימים עוד משנות השמונים, ואחרים נחקקו בראשית המילניום.
"חוק הגנת הפרטיות הוא חוק ותיק. הוא עוצב בדומה לתפיסות האירופיות ומסמך ה-OECD בנושא הגנת הפרטיות, שהוא המסמך הראשון בתחום", אומרת שמרלינג-מגזניק. "החוק הזה מקים יחד איתו גם רשות אכיפה כדי שתהיה לו משמעות".
- כבר קרה שהגשתם כתבי אישום?
"בהחלט. עכשיו בדיוק מטופל סיכום של תיק חקירה שלנו שנוהל בנושא של סחר במידע רפואי, שהיו מעורבים בו בית חולים רמב"ם, קופות חולים בצפון וסוחרים במידע בחברות שירותי סיעוד. בתיק חקירה נוסף, בפרשת גניבת מרשם האוכלוסין של ישראל והעלאה שלו לאינטרנט, ניתן לאחרונה גזר הדין השישי והאחרון. האדם שגנב את המידע היה ספק של שירותי מחשוב למשרד הרווחה. נגזרו עליו 12 חודשי מאסר וקנס כספי של 100 אלף שקל".
- מהם גבולות הגזרה? למשל, האזנות סתר גם מטופלות אצלכם?
"לא, האזנת סתר זו עבירה פלילית שהמשטרה מטפלת בה. אנחנו פועלים בעבירות רק מכוח חוק הגנת הפרטיות, לדוגמה, הפרשה שהזכרתי, של סחר במידע רפואי. עובדים בבית החולים הוציאו מתוך המערכת הממוחשבת רשימות של חולים, עם תאריכים שבהם הם אמורים להגיע לבצע פרוצדורות רפואיות, והעבירו לגורם אחר עם פרטי הקשר של המטופלים, עם תאריך האשפוז הצפוי, ואיזה ניתוח הם הולכים לעבור. המידע הזה שימש את החוליות הבאות בשרשרת כדי למכור אותו בתשלום, וכדי להציע לאותם אנשים, שרובם קשישים, שירותי סיעוד אחרי ניתוח. מה שקרה לפי חוק הגנת הפרטיות, זה שימוש שלא למטרה במאגר מידע, ובניגוד להסכמה".
- לדעתך, הענישה מרתיעה?
"כן, בפעילות הפלילית העונש החמור ביותר הוא עונש מאסר בפועל, שנגזר על מי שהעלה את מרשם הפרטים של ישראל לאינטרנט וקיבל 18 חודשי מאסר. יש גם עונשי מאסר על תנאי, עבודות שירות וקנסות. הענישה משמעותית ואנחנו רואים רף שהולך ומתפתח, ככל שבתי המשפט מבינים את חשיבות העניין.
"בנוסף, יש לנו פעילות ענפה מאוד שהיא אכיפה מנהלית, שמקובלת היום באזורים המסחריים, חברות מתרשמות הרבה יותר מקנסות מאשר מאכיפה פלילית, זה הרבה יותר אפקטיבי.
"חוק הגנת הפרטיות קובע ששימוש במידע אישי שלך הוא פגיעה בפרטיות שלך. נקודה. אלא אם כן נתת את הסכמתך - ונתת אותה אחרי שיידעו אותך בדיוק מה הולכים לעשות במידע ועל ידי מי".
- ומה מחריגים, מועדוני לקוחות?
"למשל. אפילו לפני מועדון לקוחות - אתה לקוח של חברת סלולר, וברור שהיא צריכה לעבד את המידע האישי שלך, אחרת לא תוכל לקבל שירותי טלפון, לא תקבל תוכן, דילים, חיבור. ולכן יש עסקה שבמסגרתה יש הסכמה שלך שאתה מקבל שירותים, והחברה מקבלת ממך כסף, ושניכם יודעים עבור מה. דוגמה אחרת, ברשת אופנה מציעים לי להצטרף למועדון לקוחות. אני נותנת את הפרטים האישיים שלי, הם עכשיו ישמרו את כל מה שקניתי, ומתי, וכמה, ואולי גם מידע על המשפחה שלי, ואני אקבל 10% הנחה או צבירת נקודות, והנה יש פה איזושהי עסקת פרטיות, עסקת חליפין. אני נותנת מידע, אני מקבלת עבורו תמורה, ואין כאן פגיעה בפרטיות כי אין הפרה של החוק. הבעיות מתחילות כשאין הסכמה".
- או שאין ברירה.
"או שאין ברירה, ויש גורמים שמרוויחים כסף על הגב שלנו. אם נקפוץ לנושא של ענקיות האינטרנט, אז פייסבוק בשנת 2016 הכניסה 27.6 מיליארד דולר ממפרסמים, והוא נכנס משום שהיא מנהלת שירות עיבוד מידע אישי אדיר על 2 מיליארד אנשים מחוברים. האנשים האלה - אנחנו - שמנו שם את המידע שלנו, ואנחנו מנהלים שם את החיים החברתיים והאישיים שלנו, ופייסבוק מפיקה רווחים מזה שהיא מעבדת את המידע האישי הזה ואחר כך מוכרת פרסומות ממוקדות בסכומים אדירים".
כשל שוק בהתמודדות עם הענקיות
האיומים הנשקפים מצדן של פייסבוק, גוגל, אפל, אמזון ודומותיהן הולכים וגדלים. בארה"ב לאחרונה אף הועלו הצעות על ידי חברי קונגרס, שקראו להטיל אחריות על גוגל ופייסבוק בכל הקשור להעברת תכנים פוגעניים ברשת. השאלות הללו נוגעות בסוגיות כמו ניטרליות הרשת והיכן עובר קו הגבול בין הזכות שלנו לפרטיות לבין האחריות של החברות על התוכן שזורם דרכן. אם בעבר הלא ממש רחוק ניטרליות הרשת הייתה מושג קדוש, היום כשרואים שמדינות עוסקות במעורבות ברשת ומשתמשות בה לצורך הפלת משטרים, כבר קשה יותר להגן על הרעיון המופשט הזה.
- בעולם, נושא הפרת הפרטיות צובר תאוצה.
"בהחלט. אם פעם היו שאלות כמו האם צריכה להיות רגולציה על האינטרנט, אז התשובה היום היא שזאת לא שאלה של האם, אלא של איך ומי וכמה, וברור שצריכה להיות רגולציה על פעילות עיבוד מידע. אנחנו במהפכת המידע. הדאטה והשימושים שאפשר לעשות בה עצומים. הפוטנציאל לניצול לרעה - פגיעה בזכויות, בשוויון, בכיס, ניצול אוכלוסיות חלשות - מחייב רגולציה. לאנשים מראש היה פחות כוח מאשר לחברות מסחריות או לארגונים גדולים, והאינטרנט ערער עוד יותר את יחסי הכוחות האלה. יש פה כשל שוק - שלאף אחד אין יכולת להתמודד עם חברות ענק, להבין עד הסוף מה נעשה עם המידע, ולהתאגד במצבים שבהם אי אפשר להימנע מלהשתמש בגופים הללו".
- אז יש לנו סיבות לדאגה מבחינת ההתמודדות מול האיומים הללו?
"העשייה בארץ ובאירופה כיום מאוד מתקדמת לתת מענה באזורים האלה. גם הרגולציה החדשה האירופית, שיש לה תחולה כלל-עולמית, באה להתמודד עם פריצת הגבולות הגיאוגרפיים שמביאה לפריצת הגבולות הרגולטוריים - איך להתמודד עם חברות שתהליכי העבודה שלהן מאתגרים את איכות חקיקת הצרכנות, ואת חקיקת ההגבלים העסקיים ובוודאי את חקיקת הפרטיות. אנחנו מייצרים מדיניות חדשה כדי לטפל בזה. בישראל, השנה הרשות להגנת הפרטיות עשתה כמה צעדים חדשניים ומתקדמים כדי להתמודד עם זה".
- מה, למשל?
"שרת המשפטים איילת שקד התקינה את תקנות הגנת הפרטיות על צריכת מידע, שזה מערך דרישות אבטחת מידע פעם ראשונה בחוק הישראלי, מאוד מפורט, מאוד עכשווי, שחל על כל המשק ודורש מכולם לעשות אבטחת מידע טובה יותר כדי למנוע זליגה של מידע אישי וניצול שלו לרעה".
- ישראל מאמצת משהו מהרגולציה האירופית?
"הרגולציה שלנו כבר היום כוללת לפחות את מה שיש באירופה. בעקבות הפעילות שלנו, ישראל הוכרה בשנת 2011 כבעלת משטר הגנת פרטיות תואם לאיחוד האירופי - הכרה שיש לה משמעויות מאוד גדולות בתחום העברת מידע בין מדינות. יחד עם זה, חלק ממה שנדרש היום זה רשות רגולציה ואכיפה משמעותית, וזה משהו שאנחנו עמלים עליו".
- אבל אתם כבר רשות רגולציה ואכיפה.
"בוודאי, אבל יש פה אתגרים חדשים. צריך כל הזמן לשפר ולעדכן את מה שאנחנו עושים, כדי לתת מענה טוב יותר".
"מדינה אחת לבד לא יכולה לנצח"
- בואי נתמקד בענקיות הבינלאומיות כמו גוגל ופייסבוק. מתעמתים איתן?
"בטח. מדינות אירופה מתעמתות איתן, ולאחרונה הטילו עליהן כמה קנסות משמעותיים. יש פה מאבק בין-יבשתי על תפיסות עולם - האירופית והאמריקאית. התפיסה האירופית באה מעולם זכויות האדם. זכות היסוד לפרטיות נולדה אחרי מלחמת העולם השנייה, וקשורה לשואה ולהבנה איזה נזקים איומים, טרגיים וקיצוניים עלולים להיגרם לאנשים שמנהלים עליהם מידע אישי בצורה מפורטת ומדוקדקת. אירופה הפכה את זה בהמשך להוראה (דירקטיבה) שחלה על כל מדינות האיחוד האירופי, ופירטה את כל מה שמותר ואסור בשימוש במידע אישי. עם הזמן הטכנולוגיה התפתחה, והרגולציה האירופית כל הזמן הולכת צעד בצעד ליד הטכנולוגיה, וישראל יחד איתה, כדי להתאים את עצמה לאתגרים החדשים.
"במקביל, בארה"ב אין חוק יסוד לפרטיות. יש, למשל, זכות לפרטיות ומידע רפואי, ויש חקיקה שעוסקת בהעברות מידע רפואי מצד לצד. יש חוק ספציפי על איסוף מידע מקטינים באינטרנט, יש את חוק הגנת הצרכן שלתוכו הכניסו את נושא הפרטיות, אבל אין מטרייה נורמטיבית עליונה שחולשת על הכל.
"החברות האמריקאיות הגדולות, כמו פייסבוק, אמזון, גוגל וטוויטר, הקימו את עצמן כישויות תאגידיות בארה"ב, אבל מציעות שירותים ברחבי העולם, לאזרחים של מדינות אחרות. הן אומרות 'אנחנו מצייתות לחוקי המדינה שבה התאגדנו, ואנחנו נמצאות בארה"ב, ומה שאנחנו עושות פה הוא חוקי ולגיטימי'. ואותן מדינות אומרות פה לא אמריקה, פה יש זכות יסוד לפרטיות, אז אתן לא יכולות לעשות כל מה שאתן רוצות'. אבל אז מה שמפריע לנו אלה בעצם גבולות הסמכות הגיאוגרפית של רשויות האכיפה, שלא יכולות לאכוף על סמך ארה"ב, וגבולות הפעילות המסחרית, ששוב מעוגנת בצורה גיאוגרפית".
- אז שאר העולם נאלץ להשלים ולקבל את זה?
"אנחנו ממש לא מקבלים את זה. הרגולציה האירופית החדשה אומרת 'אלה דיני הפרטיות שלנו, והם יחולו על כל מי שמציע שירותים לאזרח אירופי, גם אם הוא חברה אמריקאית'.
"בישראל למשל, כשהוגשה לפני שנה תביעה ייצוגית על הפרת פרטיות נגד פייסבוק, אמרה החברה 'אם יש למישהו בעיה עם שירותי פייסבוק בישראל שיתכבד ויתבע אותי בקליפורניה, ארה"ב'. ובית המשפט המחוזי בלוד אמר, 'אנחנו לא מקבלים את זה. אתם פועלים בישראל, בשפה העברית, לאזרחים ישראלים, מפרסמים באמצעות חברות פרסום ישראליות ולקוחות ישראלים, אתם צריכים להתדיין כאן, אנחנו לא מקבלים את התניית השיפוט המקביל שלכם'. בכך הוא סלל את הדרך להמשך התביעה, שעדיין מתבררת".
- ישראל פועלת גם כמדינה, או שאנחנו אומרים, "מה שיעשו באירופה זה מה שננהיג אצלנו"?
"הרשות חברה בכמה מערכים של שיתופי פעולה, משום שההבנה הייתה שמדינה אחת לבד לא יכולה לנצח את הסיפור הזה, ולכן יש רשת של רגולטורים בינלאומית, שבה אנחנו מתכננים כל מיני פעילויות גלובליות ומתמודדים עם הסוגיות האלה של איך לעשות אכיפה במקומות היותר בעייתיים, ואז אנחנו נעזרים ברגולטור של מדינה אחרת ומצטרפים אליו באכיפה. יש גם עוד כיוון, שאנחנו כבר מקדמים בישראל, של שיתוף פעולה עם רשויות לסחר הוגן ולמניעת הגבלים עסקיים. זה בא מתוך ההבנה שאפשר להיעזר בכוחות אחד של השני ולייצר אכיפה אפקטיבית על חברות הענק האלה, ובצורה משולבת".
- ואת מאמינה שפייסבוק וגוגל ישנו את הסכמי השימוש שלהן?
"אני מאמינה שכרגע, עם הסנקציות המחמירות יותר שמתחילות להיות תקפות, החברות הגלובליות יתחילו לתת יותר תשומת לב לציות לדיני הגנת הפרטיות".
- קראתי את הסכם הפרטיות של גוגל, ונראה שהיא יכולה לאסוף עליי מידע כמעט ללא שום מגבלה. המשתמשים חשופים לחלוטין.
"אבל יש דברים שכן אפשר לעשות, צריך להיות מודע ואקטיבי. נסה להיכנס להגדרות הפרטיות של גוגל ולהתחיל לכבות דברים. אצלי, למשל, מתוך 30 אפליקציות רק לשתיים נתתי הרשאה להשתמש בשירותי מיקום, ווייז ופנגו. יש אפשרות להיכנס ולכבות את זה כדי שגוגל לא יוכלו לעשות טיים-ליין על המקומות שהיית בהם בעבר. גם בפייסבוק אפשר לכבות הרבה דברים.
"בעולם מתחילים לצוץ פתרונות שמאפשרים לנהל את ההסכמות ואת האפליקציות שמשתמשים בהן בצורה בהירה. יהיה מין דשבורד שבו אפשר להיכנס ולראות את כל האפליקציות, ואיזה מידע כל אחת מהן נותנת, ואז הצרכן אומר 'לזה אני לא מוכן, ולזה אני מוכן, ואת זה עד שאני לא אבין שצריך אני מכבה'. זה אחד הפתרונות שאנחנו כרגולטורים מעודדים. יש סטארט-אפים שמייצרים כאלה מוצרים, כדי שלא תצטרך להיות גאון מחשבים כדי לנהל את ההרשאות וההסכמות שלך".
- אז את אופטימית? אנחנו בדרך להרגיש קצת יותר מוגנים?
"כן. זו מלחמה שאנחנו חייבים להילחם אותה, וגם אם לא ננצח ב-100% כל הזמן, אנחנו חייבים לעמוד על הזכויות האלה ולא לוותר, משום שלהרים דגל לבן זאת לא אופציה. אנחנו, גם הרגולטור הישראלי וגם רגולטורים בעולם וקובעי מדיניות, מחפשים כל הזמן דרכים חדשניות, מתוחכמות ואפקטיביות יותר כדי להילחם את המלחמה הזאת, ובנקודה הזו בזמן, נוכח העתיד הקרוב של עולם הפרטיות, אני יותר אופטימית".
הרשות להגנת הפרטיות
חקיקה: הרשות היא הגוף המסדיר, המפקח והאוכף על פי חוק הגנת הפרטיות, התשמ"א - 1981, חוק שירות נתוני אשראי, התשס"ב - 2002 וחוק חתימה אלקטרונית, התשס"א - 2001.
רגולציה: מופקדת על הגנת המידע האישי במאגרי מידע דיגיטליים ועל ביצור הזכות לפרטיות.
יעדים: קידום שליטת הפרט במידע אישי על אודותיו, השפעה על תהליכי עיצוב פרטיות בארגונים ובמערכות מידע, וחיזוק תחושת המוגנות של הציבור. זאת במטרה לצמצם את הסיכונים הגוברים לפגיעה בפרטיות.
כלים: הרשות מפעילה אכיפה המחייבת ארגונים ועסקים לציית להוראות החוק ולהפסיק פעילות שפוגעת בפרטיות. במסגרת האכיפה, ניתנות הוראות לתיקון ליקויים, למשל בתחום אבטחת המידע או באופן קבלת הסכמת הלקוחות לשימושים במידע; ניתנות הוראות למחיקת מידע שהושג בניגוד לחוק; מוטלים קנסות מנהליים, ומבוטלים רישומי מאגרי מידע שבעליהם מפרים את החוק. במקרים חמורים, הרשות מנהלת חקירה פלילית ומעבירה לפרקליטות את המלצותיה.
פעילות: פרסום הנחיות לבעלי ולמחזיקי מאגרים; עריכת הדרכות; מתן חוות דעת בנושא בהצעות חוק, ביוזמות רגולציה ובפרויקטים; שיתוף פעולה עם רגולטורים בישראל לקידום הגנת הפרטיות ופעילות בינלאומית עם רשויות אכיפה ורגולציה בעולם בתחום הגנת המידע.
עו"ד לימור שמרלינג-מגזניק
תפקיד: מנהלת מחלקת קשרי ציבור וממשל ברשות להגנת הפרטיות
אישי: בת 44, נשואה ואם לשתיים
מקצועי: הייתה מנהלת מחלקת רישוי ופיקוח ברשות להגנת הפרטיות. לפני כן הייתה עו"ד בתחום האזרחי מסחרי במגזר הפרטי
השכלה: תואר ראשון ושני במשפטים, תואר שני בספרות
עוד משהו: מוסמכת על ידי ה-IAPP, הארגון הבינלאומי למקצוע הפרטיות במידע דיגיטלי, לדרישות אירופה וארה"ב ולניהול פרטיות בארגון. מרצה במרכז הבינתחומי הרצליה