"משרד המשפטים נרדם בשמירה בתחום הפרטיות"

חקיקת הפרטיות שנכנסה לתוקף בסוף השבוע באירופה תשפיע גם על חברות הייטק מקומיות • מומחי משפט מזהירים מכך שישראל תאבד את "חותמת הכשרות" שקיבלה בעבר: "אנו עלולים לשלם על המחדל הזה בריבית ובנזק כלכלי" • משרד המשפטים: הדין הישראלי מעניק הגנה הולמת למידע האישי ובמקביל נעשים מאמצים לשפר את המצב

עו"ד חיים רביה / צילום: איל יצהר
עו"ד חיים רביה / צילום: איל יצהר

אם אתם לקוחות של חברות טכנולוגיה מאירופה, סביר להניח שקיבלת מהן מיילים בשבועות האחרונים. בסוף השבוע נכנסה לתוקף ה-General Data Protection Regulation, החקיקה המחמירה והגורפת ביותר אי-פעם בתחום הפרטיות.

המיילים שקיבלו לקוחות ברחבי העולם הם רק קצה הקרחון של תקופה חדשה. מיליוני בתי עסק בעולם עדיין מנסים להבין מה לעשות כדי להתמודד עם השינוי. חברות גדולות שמחזיקות נציגות באירופה או שיש להן לקוחות אירופאים נמצאות מזה חודשים ארוכים בעיצומן של מהלך התאמה לחקיקה החדשה שנכנסה לתוקף בסוף השבוע, סביר שחברות וארגונים קטנים שדחו לרגע את המהלך נתקלו בימים האחרונים בדרישות שהגיעו משותפיהם העסקיים לאשר כי פעלו לבצע את ההתאמות הנדרשות.

לא מדובר רק בעסקים. גל של מיילים שטף את המשתמשים הפרטיים מגורמים שביקשו לחדש את הסכמת המשתמשים לקבל שירותים ופרסומים ברוח החקיקה החדשה. בימים האחרונים העיסוק בחקיקה האירופית ששמה "רגולציית הגנת המידע הכללית" (GDPR) היה כה אינטנסיבי עד שהוא עבר במדד החיפושים של גוגל את החיפושים אחר הזמרת ביונסה.

בעוד מתחת לפני השטח ארגונים בישראל מוטרדים מאתגר ההתאמה לחקיקה החדשה, ומשרדי עורכי הדין המתמחים בנושא קורסים תחת הנטל, מעל לפני השטח העיסוק בה אפסי, עובדה שמטרידה את מומחי המשפט המתריעים: על הציבור כמו גם המערכת הפוליטית והמשפטית להתעורר ולדאוג לכך שחקיקת הפרטיות בישראל תתעדכן בכדי להתאים את עצמה לסטנדרט החדש שמציבים האירופים.

החקיקה בישראל כך נטען, מיושנת. עדכוני החקיקה שבוצעו לאורך השנים, טוענים המבקרים, מבורכים בעיקרם אך הם מגיעים באיחור לפעמים לאחר עשור של הליכי חקיקה, הם בנויים כטלאים על החקיקה המיושנת וזאת לצד פסיקה לא משמעותית שניתנת לרוב בערכאות נמוכות.

"סוגי מידע סופר פולשניים"

אחד המומחים המובילים בתחום הפרטיות הוא עו"ד חיים רביה, שותף במשרד עורכי הדין פרל כהן צדק לצר ברץ. רביה אומר כי "חוק הגנת הפרטיות בישראל נחקק ב-1981 ומאז עודכן לאחרונה ב-1995. בעוד הקונספט הבסיסי של החוק הישראלי עוסק במאגרי מידע והוא מיושן לחלוטין הקונספט האירופי כבר מ-95' עוסק בכל סוג של מידע. השאלה אם הוא מצטבר ונאגר למאגר או לא, איננה רלוונטית עבורו. לדוגמה, מידע ביומטרי, מידע גנטי, ומידע על מיקום אינם נזכרים בהגדרת מידע. אף על-פי שכל אלה הם סוגי מידע סופר פולשניים".

אם ישראל לא תגשר על הפער בין רף הפרטיות שמציב GDPR לזה שמציעה החקיקה המקומית, מזהירים המומחים, הזכויות של אזרחי ישראל ייפגעו בהשוואה לעמיתיהם באירופה. מעבר לכך, המדינה עלולה לאבד את מעמדה הנוכחי כאחת המדינות הבודדות בעולם שחקיקת הפרטיות בהן הוכרה על-ידי האיחוד האירופי כ"הולמת" (adequacy), מעמד שמקנה לה יתרונות רבים.

את ההכרה הזאת קיבלה ישראל ב-2011, והיא נבחנת עתה מחדש כפי שהיא נבחנת בהתייחס לכל שאר המדינות שקיבלו אותה על-פי חקיקת הפרטיות הישנה. גורמי משפט טוענים היום כי חקיקת הפרטיות הישראלית שעל סמכה התקבל המעמד האירופי לא הייתה מתקדמת כבר אז. לטענתם המעמד התקבל יותר בחסד מאשר בזכות. בשורה התחתונה ישראל צריכה לעשות מאמצים דרמטיים יותר מאי פעם לקידום חקיקת פרטיות מקומית.

פערי החקיקה בין ישראל לאירופה עצומים, אומר פרופ' מיכאל בירנהק, סגן הדיקן למחקר בפקולטה למשפטים באוניברסיטת תל-אביב. "מדברים על זה כבר שנים", אומר בירנהק, "אבל במבחן המציאות הממשלה לא השיגה תוצאות עד תקנות הגנת הפרטיות (אבטחת מידע) שנכנסו לתוקפן החודש ועד תיקון 13 לחוק הגנת הפרטיות, העוסק בסמכויות האכיפה של רשם מאגרי המידע, שגם הוא התבשל במשך שנים ועבר לאחרונה בקריאה ראשונה; בסוגיית ההסכמה של המשתמש לאיסוף המידע, החוק האירופי החדש קובע חובת הסכמה אקטיבית בעוד שבישראל הדין מאפשר הסכמה פסיבית. כך גם בעניין החזרה מהסכמה של המשתמש לאסוף מידע עליו - הזכות הישראלית כמעט אינה קיימת; אין בחוק הישראלי אפשרות לניוד מידע בין ספקי שירות. הזכות להימחק ממאגרי מידע חלה רק כאשר המידע שגוי".

"משמעות אישור ההלימה בפועל, בהפשטה, הוא כמו ההבדל בין סימן מסחר רשום ולא רשום, או כמו בין בני זוג נשואים או ידועים בציבור", אומר עו"ד רביה ל"גלובס", "החוק מגן על שניהם, אבל במקרה של סימן מסחר לא רשום או ידועים בציבור, תהליך ההוכחה ארוך ויקר. כך גם בהעברת מידע - כל עוד ישראל מוגדרת כבעלת חקיקת פרטיות הולמת, העברת המידע אליה יותר קלה".

השאלה היא מה קורה בהתנהלות העסקית השוטפת. כל עוד ישראל מוכרת כבעלת הגנה נאותה על הפרטיות אזי חברות, גופי מחקר, משרדי ממשלה ומוסדות אירופאים יכולים להעביר בביטחון מלא מידע אישי לישראל מפני שישראל עונה על הדרישות של דרך המלך להעברת מידע. זו חותמת כשרות לכך שהחוק הישראלי שומר על פרטיות.

"בהיעדר ההגנה הזאת, כל חברה ישראלית בעצם מקבלת על הראש רגולטור פרטי של פרטיות - החברה שעמה היא התקשרה בחוזה. זאת אומרת שאם עד עכשיו חברה ישראלית אמרה לעצמה 'עד שרשות הפרטיות האירופית תגיע אלי ייקח זמן אם בכלל כי יש לה מיליון בעיות יותר דחופות', אז במקרה של איבוד המעמד, מהעבר השני של כל חברה ישראלית שתעבוד עם אירופה תעמוד חברה שגם עלולה להיפרע ממך אם לא תעמוד בדרישות שלה", מסביר רביה.

"שותפת הסחר הכי גדולה של ישראל היא אירופה וסחר מודרני מבוסס כמעט לגמרי על מידע. תחשוב על זה שבמקום שתהיה זרימה פשוטה של מידע", אומר רביה, "הוא יצטרך לעבור דרך כל מיני סעיפים".

רביה מזהיר כי מלבד החשוד המידי, תחום ההייטק, מגזר נוסף שעלול להיפגע במקרה שכזה הוא האקדמיה. "תהיה השלכה שלילית ביותר על מחקרים מדעיים - גופים מחקריים כמו האוניברסיטאות מממונות על-ידי קרנות אירופאיות ממשלתיות ואנחנו רואים כבר בימים אלה שההסכמים האירופאיים דורשים שהמחקרים יעמדו בכללים של GDPR".

רביה מוסיף כי "משרד המשפטים נרדם בשמירה ולא פעל כדי להתאים את החוק הישראלי המיושן לדרישות המודרניות של הזמן הזה וישראל עלולה לשלם על המחדל הזה בריבית ובמכשולים ובנזק כלכלי וצריך לזכור את זה גם בכל פעם שמקבלים פה חקיקה שמכרסמת עוד קצת בזכות לפרטיות בישראל".

גורמים במשרד המשפטים אמרו כי הדין הישראלי הכולל, על כל נדבכיו לרבות פסיקת בתי המשפט, מעניק הגנה הולמת למידע האישי. עם זאת, שכלול ועדכון של דיני הגנת הפרטיות, נעשים וימשיכו להיעשות - גם מתוך מבט בינלאומי, כגון בתקנות המיוחדות לנושא אבטחת המידע מהזמן האחרון ובתיקונים לחוק הגנת הפרטיות, שאחד מהם ממתין על שולחן הכנסת.

"מדובר בנטל כלכלי כבד"

לא כולם בקהילה המשפטית מסכימים עם התפיסה לפיה על מערכת המשפט הישראלית ליישר קו עם החקיקה האירופית. בישראל מסתכלים מזה שנים על הדין האירופאי כאמת-מידה, אך זו לא הגישה היחידה אלא עניין של תפיסה.

אחד המתנגדים לאימוץ נלהב מדי של העקרונות האירופים הוא עו"ד דן חי, מומחה לדיני טכנולוגיה, פרטיות וסייבר. לדבריו, "אין ספק ש-GDPR הוא מסמך שמי שתומך בפרטיות צריך להתפאר בו, אבל אין הדבר אומר בהכרח שהוא מציג דגם שמתאים לישראל. מוכרחים שתהיה בחינה רצינית מה מתאים לנו ומה לא".

אחת הדוגמאות לכך שהחקיקה האירופית לא מתאימה לתרבות הישראלית היא הזכות לניוד המידע. לפי ה-GDPR יש זכות כמעט מוחלטת לדרוש את מחיקת המידע או לאפשר "לארוז" אותו ולעבור איתו לספק אחר. כלקוח של בנק או חברת סלולר אני יכול להגיד לבקש מנותני השירות לקחת את כל המידע שיש להם עלי - התנועות, ציון האשראי ולהעביר אותם לבנק שאליו אני עובר. אבל קיימת סכנה שהדבר יהווה זה נטל טכנולוגי קיצוני. האזרח אומר 'איזה יופי המידע עובר יחד איתי' ממגה ליינות ביתן. יש לכך משמעות דרמטית כי חברות יצטרכו לממן את הדבר הזה וזה ייפול עלינו".

לדברי חי: "עבור עסקים מדובר בנטל כלכלי כבד. כדי שיהיה אפשרי בלחיצת כפתור לנייד את המידע צריך תוכנות שיגרמו להוצאות כספיות".

חי מסכם ואומר ש"ישראל צריכה חקיקה חדשה ורצינית שתתייחס לכל השאלות העכשוויות אבל כזו שתתקבל אחרי דיון שמתאים לישראל, לא העתקה של משהו".

המחיר לחברה ישראלית גדולה: 100-200 אלף דולר

כמה עולות תקנות ה-GDPR לחברות ישראליות? עו"ד אריאל יוספי, מנהל משותף של מחלקת הטכנולוגיה והרגולציה במשרד הרצוג פוקס נאמן ושות' מעריך כי "בסקטור ההייטק בישראל מדובר על כמה עשרות אלפי דולרים בודדים בטווח הנמוך, לחברה קטנה, 50-100 אלף דולר לחברה בינונית וכ-100-200 אלך דולר לחברה גדולה". לדבריו, "הנטל הכבד ביותר הוא על חברות בעולמות הדאטה, גם כאלה שפונות ללקוח הקצה (B2C) וגם חברות שנותנות פתרונות מחשוב ענן, אבטחת מידע ואנליטיק". יוספי מציין כי "אצל חברות שפחות עוסקות בדאטה והחשיפה שלהן ל-GDPR היא סביב רשימות עובדים אנשי קשר ולקוחות, העלויות יהיו נמוכות בהרבה".

העלויות מחושבות מאז 2016, אז נחקק ה-GDPR ועד כניסת התקנות לתוקף. מדובר בהוצאות על יועצים חיצוניים, עלויות של כוח אדם פנימי, והוצאות על טכנולוגיות.

חברת IBM פיתחה עבור עצמה טכנולוגיה שמסייעת להתמודד עם התקנות ובעתיד היא תמכור את המוצר לחברות אחרות. סימה נדלר ממרכז המחקר של IBM בחיפה המשמשת גם כחברה במועצה הציבורית להגנת הפרטיות שמייעצת למשרד המשפטים מסבירה: "ברוב החברות מידע אישי מסודר בהרבה אפליקציות. כל תת ארגון יכול להגיד מה הוא עושה אבל לארגון עצמו התמונה הכוללת לא מספיק ברורה. בנינו ביבמ כלי מובנה ומסודר כדי לתעד את כלל המידע בארגון, שיאפשר לספק למשתמש הקצה מידע על מה יודעים עליו ואיך משתמשים במידע ולהציג את זה בצורה ברורה. הכלי הזה מאפשר ליישם את החוקים והמדיניות של הארגון ואת הצורך בקבלת הסכמה של המשתמש בצורה אוטומטית, מבלי לשכתב את כל האפליקציות בארגון מחדש".