שלושה שיעורים למי שרוצה להגן על פרטיות

מאחר שמידע הוא הנפט של המאה ה-21, כולם רוצים את המידע שלנו. וההגנה על המידע שלנו הופכת לעניין יותר ויותר חשוב, אבל גם יותר ויותר מסובך.
יש לחץ רב לקבוע ולהדק את הרגולציה על פרטיות, אבל גם צריך לעשות את זה נכון.

שיעור 1: רגולציה של פעם

הסיפור על משה ועוזי

בואו נחזיר את השעון אחורה לסוף שנות ה-80. אין קורונה, אין פייסבוק וג'ורג' מייקל הוא הדבר הכי חם במוזיקה (בארץ – מאיר בנאי). שני חברים – משה ועוזי מחליטים יום אחד להקים עסק. הם מחליטים להקים מאגר שיכלול מידע על המחאות, שטרות והתחייבויות שלא כובדו. זכרו שמדובר בתחילת שנות ה-90 וגם אין אינטרנט או מאגרי מידע. אין לעסקים דרך לדעת עם מי הם מתנהלים.

המשוכה הרגולטורית הראשונה ששני היזמים היו צריכים לעבור היא לרשום מאגר מידע. זה הליך טכני ופשוט. ספק אם הם אפילו חשבו עליו פעמיים. אבל להפתעתם רשם מאגרי המידע סירב לרשום אותו, משום שלדעתו המאגר היה גורם לפגיעה בפרטיות בניגוד לחוק הגנת הפרטיות. העניין הגיע עד לבית המשפט העליון, שלא איפשר לרשום את המאגר (ע"א 439/88 מדינת ישראל נ' ונטורה).

הסיפור הספציפי של משה ונטורה ועוזי אגרמן פחות מעניין. מה שיותר מעניין זו הסיבה שבגללה הם הגיעו לבית המשפט – החובה לרשום מאגר מידע. חוק הפרטיות בישראל הוא חוק יחסית ישן, משנת 1981. באותה שנה עוד היו מכונות כתיבה ומאגרי מידע הודפסו על ניירות ונשמרו בכספות. היום, בעידן המחשבים והאינטרנט, חברות שומרות טרה-בייטים של מידע על גבי שרתים ב"ענן", מוזר לחשוב שצריך לפנות למשרד ממשלתי ולבקש לרשום מאגר מידע. מידע נוצר כל הזמן, וכל הזמן נאגר.

שיפוץ מקיף אחרי 39 שנים

ובאמת לפני מספר חודשים פורסם תזכיר (הצעת חוק ממשלתית) לתיקון חוק הגנת הפרטיות. התזכיר מציע לבטל את חובת הרישום של מאגרי מידע (הדגשתי את משפטי המפתח)

"בבסיסו של ההסדר הקיים, הקובע את חובת הרישום, מטרות שונות, שעיקרן שקיפות לציבור לעניין קיומם של מאגרי מידע, כלי אכיפה בידי הרשם. הניסיון מלמד, עם זאת, כי המרשם אינו ממלא את מלוא מטרות אלה ובהיקפו הנוכחי אינו בהכרח הדרך היעילה להגשמתן. התועלת הישירה לציבור ולרשם במרשם בהיקפו הנוכחי – מצומצמת, שכן המרשם כולל רק פרטים על המאגרים החייבים ברישום. נוסף לכך, חובת הרישום, ככלל, אף לא מהווה אמצעי פיקוח יעיל בידי הרשם, בשל היקפה הרחב. במהלך העשורים האחרונים, התרחשו שינויים טכנולוגיים ומשקיים מרחיקי לכת באופן שבו מידע נאסף, מעובד ונעשים בו שימושים נוספים, וזאת במסגרת הפעילות השגרתית של ארגונים ויחידים. שינויים אלה אף יוצרים איומים חדשים על הזכות לפרטיות במידע. המציאות מלמדת שדליפת מידע רגיש, גישה לא מורשית למאגרים ושימוש במידע מתוכם למטרות זרות – הופכים לשכיחים יותר ויותר."

משרד המשפטים (שניסח את תזכיר החוק), מסביר שהרגולציה הקיימת מיושנת ולכן היא לא משיגה את המטרות שלה: לא מייצרת שקיפות לציבור ולא מאפשרת פיקוח או אכיפה ממשלתית.
החוק המקורי לא עבר שינויים דרמטיים כבר כמעט 40 שנים וכך יצא שהרגולציה כיום נקבעה בעידן של מכונות כתיבה.
בכל העולם עדכון ובחינה מחדש של רגולציה יהא אתגר. במקרה הזה העדכון מתבקש אך נשאלת השאלה איך מוודאים שעדכונים יקרו בתדירות יותר גבוהה כדי להבטיח שרגולציה תישאר רלוונטית? (זו תשובה אחת שאני מציע)

שיעור 2: רגולציה מפורטת או כללית?

בואו נסתכל על רגולציה של אבטחת מידע. בשנת 2017 פורסמו תקנות הגנת הפרטיות (אבטחת מידע). הן קובעות מהי רמת האבטחה הנדרשת ומחייבת את מי שמנהל מאגר מידע. התקנות קובעות שלוש רמות של אבטחת מאגרי מידע –רמה בסיסית, רמה בינונית ורמה גבוהה. כל רמה מחייבת סט אחר של מנגנונים, למשל הצפנה, מינוי ממונה על אבטחת מידע וכו'.

בואו נשווה את הדרישות של חוק הגנת הפרטיות הישראלי לחוק הפרטיות המוביל בעולם: ה-GDPR האירופאי (משנת 2016).

אמצעי אבטחת מידע

הרגולציה הישראלית קובעת בדיוק אילו אמצעי אבטחה יש ליישם לפי סוג מאגר המידע (רמה בסיסית, בינונית או גבוהה). הרגולטור הישראלי קבע צ'קליסט של פעולות שחובה לבצע כדי לעמוד בדרישות החוק.

ומה קובע הGDPR בעניין אבטחת מידע? בעל מאגר המידע צריך להביא בחשבון את אופי הפעילות שלו, את הסיכונים ואת העלויות של אמצעי אבטחה – ולהחליט ליישם אמצעי אבטחה שמתאימים לרמת הסיכון.

"Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk."

כלומר, המחוקק באירופה אומר לבעל מאגר המידע: אני לא אקבע לך מה רמת האבטחה שאתה צריך ליישם. אתה תשקול מה רמת האבטחה הנאותה, הנכונה והסבירה בהתאם לכל מיני מדדים (רגישות המידע, ניהול סיכונים, עלות היישום, מה מקובל בשוק וכד') ולפי זה אתה תחליט אילו פעולות אבטחת מידע עליך לנקוט. זה מאוד פתוח.

בהשוואה לגישה הישראלית, זו גישה הרבה יותר פתוחה שמעבירה הרבה שיקול דעת למי שמנהל את מאגרי המידע (למעשה, מאפשרים לו לנהל גם את רמת האבטחה). וחשוב לזכור שהאירופים נחשבים למחמירים ולקפדנים ברגולציה בכלל ובפרטיות בפרט.

שיעור 3: חלוקת אחריות

איך לטפל באירוע אבטחה?

הנה דוגמה נוספת – רגולטור בדרך כלל דורשים שבעלי מאגר המידע יבצע פעולה מיידית אם התרחש אירוע אבטחה חמור. בישראל, תקנה 11 לתקנות אבטחת מידע מגדירה צריך לעשות אם מתרחש אירוע אבטחה חמור:  בעל המאגר צריך לתעד את המקרה, לפעול לפי נוהל (שצריך להכין מראש לעניין הזה), אם מדובר על מאגר עם אבטחה בינונית – לקיים דיון לפחות פעם בשנה, ועוד הוראות.
כלומר, הרגולטור נותן הוראות ברורות מה לעשות כאשר מתרחש אירוע כזה.

ה-GDPR, לעומת זאת, משאיר הרבה יותר שיקול דעת אצל המפוקח.

"In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons."

אין פה הוראה מוחלטת. החוק לא אומר "דווח לי על כל אירוע", אלא קובע הוראה הרבה יותר פתוחה: "אם יש אירוע, תבחן האם הוא פוגע בזכויות של נושאי המידע. אם כן, תוודח ואם לא, אין צורך". המפוקח הוא זה שמחליט בזמן אמת. הרגולציה מעבירה את האחריות מהרגולטור אל המפוקח ואומרת לו "אתה תבחן ותחליט מה סביר ומה נכון ותפעל בהתאם. אני אפקח עליך בדיעבד ".

סיכום: מחפשים את התשובה

מצד אחד, הגישה הישראלית סגורה וטכנית בהשוואה לגישה האירופית. היא משדרת חוסר אמון במפוקחים ועלולה לקבוע הוראות שלא מתאימות לכולם.
מצד שני, יש ביקורות רבות על ה-GDPR, שהוא מתנער מאחריות ומפיל על המפוקח לקבוע את סטנדרט ההתנהגות (דבר שיוצר עלויות).
ראינו בעבר דוגמה שלילית לרגולצית הפרטיות של ברזיל ה-LGPD, שמנוסחת בצורה כל כך עמומה שהמפוקחים לא מצליחים להבין מה נדרש מהם. זו דוגמה לגמישות יתר שמזיקה.

מה נכון? אין פתרון בית ספר, זו שאלה של איזונים וגם של ניסוי וטעיה. אבל חשוב לבדוק את עצמנו לעיתים קרובות ולא להתקבע על המודל שנהוג אצלנו היסטורית.
בטח בתחום דינמי כמו פרטיות, יש צורך בעדכון ובבחינה רעננה.

שלושת השיעורים האלו הם שאלות חובה, שצריכות להיות בלב הדיון. אבל לפעמים פשוט מדלגים עליהן. קובעי מדיניות חייבים לשאול: האם רגולציית הפרטיות שלנו עדכנית, האם היא מפורטת מספיק או יותר מידי, ועל מי האחריות – על הרגולטור או על המפוקח.

לרוב השאלות אין תשובה שתמיד נכונה. אבל מה שבטוח – אם לא נבחן את הרגולציה מידי פעם ונבדוק עוד אפשרויות, יש סיכון שהרגולציה תהפוך ללא רלוונטית ונצטרך תיקון מקיף, כמו שקרה עם רישום מאגרי מידע.

ויש לכם הזדמנות להשפיע: כמו שכתבתי בתחילת הפוסט – פורסם תזכיר לתיקון חוק הגנת הפרטיות. משרד המשפטים מזמין את הציבור להעביר התייחסויות. אפשר לשלוח הערות והצעות עד ה-13.12.2020 למייל: Regulation@justice.gov.il. זו ההזדמנות שלכם להשפיע על רגולציה שנוגעת לכל אחד מאיתנו. וחוק לא משנים כל יום. אם אתם עוקבים אחרי הבלוג – אני בטוח שיש לכם משהו חשוב ומועיל לומר.

___

הפוסט נכתב יחד עם אבישי אסטרין