חשופים לקנסות כבדים: רשות הפרטיות יוצאת במבצע אכיפה רחב באתרי הסחר

תיקון 13 לחוק הגנת הפרטיות - מאחורי השם הטכני לכאורה מסתתר גל של דרישות רגולטוריות שמטלטלות שורה ארוכה של עסקים. התכלית היא שיפור ההגנה על המידע של כולנו והענקת סמכויות אכיפה נרחבות לרשות להגנת הפרטיות, בטח בהשוואה למצב הנוכחי.

התיקון עצמו נכנס לתוקף באוגוסט האחרון, אך עד כה בתי העסק נהנו מ"זמן חסד" ומאכיפה רכה יחסית. כעת הכללים משתנים, ועסקים רבים נותרים חשופים לקנסות עתק.

● מה עומד מאחורי ההודעה שאתם מקבלים לאחרונה מכל אתר
● התיקון לחוק שחושף את המעסיקים לעיצומים של מיליוני שקלים
● הרפורמה החדשה והקנסות הכבדים: מי חשוף ואיך נערכים?

בבסיס התיקון לחוק, המטרה היא קודם כול להגדיר מהו "מידע אישי". הכוונה היא לכל מידע הנוגע במישרין או בעקיפין לאדם מזוהה או לאדם הניתן לזיהוי. במילים פשוטות יותר, כל מי שניתן לזהותו באמצעות פרט כגון שם, מספר זהות, כתובת, עבר פלילי ועוד.

תיקון 13 גם מעביר את האחריות המשפטית על אבטחת המידע מהמנהל האישי בארגון אל הארגון עצמו. התיקון אף מרחיב משמעותית את ההגדרות בדבר "עיבוד" ו"מחזיק", כך שהן חלות על כל פעולה במידע אישי ועל כל ספק חיצוני המעבד מידע עבור הארגון.

כך, התיקון מטיל על עסקים שורה ארוכה של חובות, בהתאם לגודל מאגרי המידע שהם מנהלים. מדובר בין היתר בחובה להסתייע בייעוץ משפטי, לקיים הדרכות עובדים וביקורות פנימיות קבועות, להטמיע נהלים ולנהל תהליכים ומערכות מידע מתקדמות. כל אלה כרוכים בהקצאת משאבים ובעלויות נרחבות.

תיקון 13 לא יצר חובות חדשות יש מאין. חובת ההסכמה, עקרונות השקיפות וההגבלות על שימוש במידע אישי היו קיימים גם קודם לכן בחוק. אלא שבמשך שנים, כך מסבירים משפטנים העוסקים בתחום, האכיפה הייתה דלה, והמשק - לרבות גופים פרטיים וציבוריים - התרגל למציאות שבה הסיכון כמעט אינו מורגש.

"תיקון 13 הוסיף לחוק הזה פרק אכיפה עצום", מסבירה עו"ד יערה בן שחר-תיק, ראש מחלקת הגנת הפרטיות ובינה מלאכותית במשרד ש. פרידמן, אברמזון ושות' ולשעבר ממונת הגנת הפרטיות (DPO) במערך הדיגיטל הלאומי. "הרשות קיבלה סמכויות שלא היו לה בעבר, כולל הטלת עיצומים כספיים משמעותיים על המפירים".

החל מבצע אכיפה חדש

לאחרונה הודיעה הרשות להגנת הפרטיות כי היא יוצאת למבצע אכיפה רחב, שבמוקדו, בין היתר, אתרי הסחר המקוונים. זהו מהלך יזום ורוחבי, שמגיע כאמור כמה חודשים לאחר כניסת תיקון 13 לתוקף.

עבור אותם אתרים מסתתר שינוי עמוק בכללי המשחק: אתרי סחר, שהתרגלו לפעול בשנים האחרונות בשטח אפור בכל הנוגע לאיסוף ושימוש במידע על לקוחות, נדרשים כעת לבחון מחדש את התנהלותם.

המשמעות היא בדיקה יזומה של מגזר תעשייה שלם, ולא רק טיפול נקודתי באתר מסוים בעקבות תלונה שהוגשה נגדו. אתרי סחר יכולים לצפות לקבל שאלונים מפורטים: כיצד מאובטח המידע שהם אוספים על הלקוחות שלהם, מי מורשה לגשת אליו, אילו סוגי מידע נאספים, האם קיימת מדיניות פרטיות עדכנית המוצגת באתר, והאם ניתנות לצרכן אפשרויות הסכמה אמיתיות לאיסוף מידע באמצעות קובצי "קוקיז" (עוגיות) וגורמי צד שלישי. בכל הנוגע לאתרים המחזיקים מאגרי מידע רשומים, הרשות עשויה לבדוק את רמת עמידתם בדרישות החוק.

עסקים קטנים מדווחים כי לאחרונה התקבלו אצלם שורה ארוכה של דרישות רגולטוריות, אשר הטמעתן מצריכה השקעה כספית של אלפי שקלים ויותר ודורשת זמן. במצב הנוכחי הם כבר נמצאים במצב של "הפרה" ועלולים להיות חשופים לעיצומים כבדים.

 גלעד סממה, ראש הרשות להגנת הפרטיות / צילום: איל יצהר

איך נקבע גובה הקנס?

התיקון החדש מעניק לרשות להגנת הפרטיות מנעד רחב של עיצומים כספיים, הנעים בין סכומים זעומים למאות אלפי שקלים - הכול בהתאם להפרה. נוסף על כך, החוק קובע כי במקרים מסוימים פגיעה בפרטיות עשויה להגיע לרף של עבירה פלילית, שהעונש בצידה הוא חמש שנות מאסר.

רמת החומרה נקבעת בהתאם לגודל המאגר, רמת האבטחה הנדרשת בו וסוג ההפרה. כך, למשל, הפרה "בסיסית" יחסית, כגון אי-עמידה בדרישות של הדרכות לעובדים בעסק הנחשב ל"מאגר קטן", יכולה להסתכם בקנס של כ-2,000 שקל. לעומת זאת, הקנס על הפרה חמורה כמו אי-דיווח על אירוע סייבר במאגר הנדרש לרמת אבטחה גבוהה יכול להגיע ל-320 אלף שקל. יודגש כי מנעד הקנסות עשוי להגיע גם ליותר ממיליון שקל.

"זה תלוי ברמת האכיפה", מסביר ד"ר אבישי קליין, שותף וראש מחלקת פרטיות במשרד ברנע ג'פה לנדה. "אבל זה יכול להסתכם בסכומים משמעותיים, תלוי בכמות ההפרות".

לדבריו, זה לא יקרה מיד, אבל חשוב להיערך: "חשוב שחברות יטפלו קודם כול באתר האינטרנט, במקומות שבהם יש ממשקים עם משתמשים, להסביר להם איזה מידע אוספים בצורה מדויקת, ולקבל הסכמות".

עוד ממליץ קליין למנות בהקדם ממונה הגנת הפרטיות בחברה, ולוודא שיש לחברה מסמכי הגדרות מאגרי מידע, ורק אז להתחיל לטפל בכל הפעולות שקשורות באבטחת מידע ובמסמכים רלוונטיים.

חשש מגל של תביעות

החשיפה של אתרי הסחר לא מסתכמת באכיפה מינהלית. ייתכן כי בקרוב נראה עלייה בתביעות אזרחיות ובתובענות ייצוגיות בתחום הפרטיות, בדומה לאלה שהוגשו בזמנו נגד אכיפת חוק הנגישות.

קליין מסביר כי מדובר בהזדמנות "חמה" במיוחד עבור תובעים אפשריים. "אתרי הסחר חשופים לתובענות ייצוגיות מצד תובעים שינסו לנצל את ההזדמנות ו'להיתפס' על אתרים שאין להם מדיניות ברורה של איסוף מידע, למשל, או שאין להם באנר 'קוקיז' שמסביר איזה מידע אוספים".

בתובענות ייצוגיות מהסוג שמתאר קליין, הנזקים יכולים להגיע למאות אלפי שקלים, אך הוא מסייג ומציין כי התביעות האלה לרוב מסתיימות בפשרות ובתשלום סכומים פחותים. עם זאת, אין ספק כי הסחבת והבירוקרטיה עלולים כשלעצמם להכביד על בעלי עסקים.

מומחה למשפט דיגיטלי מסביר בשיחה עם גלובס כי "קל מאוד לזהות הפרות פרטיות - כמו אתר בלי מדיניות פרטיות, בלי באנר קוקיז תקין או כזה שעושה מעקב ופרופיילינג בלי הסכמה. אנחנו כבר רואים ניסיונות שיטתיים של תובעים לאתר את ההפרות האלה".

הצרכנים ישלמו מחיר

ומה משתנה עבור הצרכנים? בראש ובראשונה - חובת ההסכמה. "לא מדובר בעוד סימון וי כללי", מסבירה בן שחר-תיק. "ההסכמה צריכה להיות מדעת. הצרכן צריך להבין איזה מידע נאסף עליו, לאילו מטרות, והאם המידע ישמש גם לניתוחים סטטיסטיים או לשיווק ממוקד. פסיקות עדכניות כבר קבעו כי אין לכרוך הצטרפות למועדון לקוחות עם הסכמה לדיוור פרסומי, וכי הסתרת ההסכמה בתוך תנאי שימוש עלולה להיחשב להטעיה".

 יערה בן שחר-תיק / צילום: יח''צ

עם זאת, הרצון להגן על הצרכן עלול לגבות גם מחיר. ישראל מתקרבת למודל האירופי של רגולציית פרטיות, דווקא בשעה שבאירופה עצמה מתחילים לבחון הקלות. לדוגמה, האפשרות לסרב לקוקיז פוגעת במודלים פרסומיים, והכניסה המואצת של מערכות בינה מלאכותית הנשענות על מאגרי מידע גדולים, מחדדת את המתח בין האינטרס של ישראל לקדם חדשנות ובין הרגולציה שמגינה על הפרטיות.

בסופו של דבר, מבצע האכיפה מסמן שינוי כיוון. אתרי הסחר נדרשים כעת לטפל קודם כול בליקויים אפשריים באתרי האינטרנט שלהם. מי שיתעלם, עשוי לגלות כי הבדיקה כבר בדרך, והעלות - כפי שמזהירים גורמים בענף - עלולה להיות כבדה ואף להתגלגל גם לצרכן.

מהרשות להגנת הפרטיות נמסר: "הרשות מקיימת מדי שנה הליכי פיקוח רוחב במגזרים שונים במשק. בשנת הפעילות הנוכחית נבחר מגזר אתרי המסחר המקוון, נוכח היקף המידע האישי המעובד בו. מצופה כי הגופים יעמדו בהוראות ויעמידו הגנה ראויה למידע האישי של הציבור".