חוק הגנת הפרטיות הישראלי מיושן עד כאב

ב-1981 הוא נחשב לפורץ דרך אך אז לא היו אינטרנט, מחשבים אישיים וטלפונים ניידים. לא רק אזרחים סובלים מהפער הזה, גם המשק ותעשיית ההייטק. כולם תוהים מה מותר ומה אסור להם כשלרשותם חוק מעידן האבן. בלוג חדש

חיים רביה
חיים רביה
מעבר לטוקבקיםכתוב תגובה
הדפיסו כתבה
אולי עדיף שהאירופאים ישללו מישראל את המעמד
אולי עדיף שהאירופאים ישללו מישראל את המעמדקרדיט: Getty Images IL / ThinkStockphot
חיים רביה
חיים רביה

הרשות להגנת הפרטיות פרסמה טיוטת הנחיות לגבי שימוש ברחפנים במרחב הציבורי. לעתים אני תוהה אילו נושאים הרשות בוחרת לסקור בהנחיותיה, מפני שלא הם הנושאים המטרידים ביותר לפי ניסיוני, אבל אני יודע שכוונותיה רצויות תמיד ואנשיה המצוינים לשים את החומרים הפרימיטיביים שמעמיד לרשותם המשפט הישראלי לכדי יצירה מתקדמת ככל הניתן.

אלא שלאחרונה אינני מצליח להימנע מתחושה מטרידה שהרשות סובלת מתסמונת יהודה הלוי במהופך - לבה במערב והיא בסוף המזרח. "אֵיךְ אֶטְעֲמָה אֵת אֲשֶׁר אֹכַל וְאֵיךְ יֶעֱרָב", שאל הלוי וזו גם מצוקתה של הרשות. חוק הגנת הפרטיות הישראלי מ-1981 אינו ערב לחכה כלל ועיקר. אני מבין אותה. הוא חוק בלה הקורס תחת נטל הזמן. אשר על כן הרשות נושאת את עיניה לאמות-המידה האירופאיות המתקדמות להגנה על מידע אישי. אלה מגולמות ב-GDPR, התקנות הכלליות להגנה על מידע.

גילוי דעת שפרסמה הרשות לאחרונה טען כי כתובת דואר אלקטרוני היא "מידע אישי" (להבדיל מ"דרכי התקשרות" הפוטרות אדם מרישום מאגר מידע). זה היה ביטוי מובהק לנטיה האירופאית של הרשות. אכן, כל מידע שאפשר לייחס לאדם הוא "מידע אישי" לפי החוק האירופאי - אבל ממש לא כך לפי החוק הישראלי. כעת מגיחה טיוטת ההנחיה על הסכנות לפרטיות הגלומות ברחפנים ויש בה ביטוי נוסף לנהיה אחרי הדין הקונטיננטלי, כי ההנחיה מדברת בצורך בהערכת סיכונים לפגיעה בפרטיות ועיצוב לפרטיות וגם פרטיות כברירת מחדל. כל אלה הן מילות מפתח בדין המודרני של הפרטיות ומעוגנות ב-GDPR האירופאי.

אבל החוק הישראלי מיושן עד כאב. הוא אינו מכיר את התפישות הללו כלל ועיקר. כשנחקק, היה פורץ דרך לשעתו, אבל הזמן לא עשה עימו חסד: ב-1981 היו מעט מאד מערכות מחשב בשימוש, עוד לא היו מחשבים אישיים, לא כל שכן טלפונים סלולריים שעצמת העיבוד בכל אחד מהם גדולה משל מחשבי החלליות שהטיסה ארה"ב לירח בשנות ה-60. אינטרנט, שירותים מבוססי מיקום, אמצעי חישה מבוססי חום, זיהוי ביומטרי, ביג דאטה, ניתוחים מבוססי למידת מכונה ואינטליגנציה מלאכותית, בלוקצ'יין, אינטרנט של דברים - כל אלה לא היו אלא דמיון רחוק, אם בכלל. לא רק אזרחים סובלים מהחוסר הזה, גם המשק ותעשיית ההייטק הישראלית. כולם תוהים מה מותר ומה אסור להם כשלרשותם חוק מעידן האבן של הטכנולוגיה המודרנית. 

הסבר על תקנות GDPR

מה יכולה לעשות הרשות להגנת הפרטיות שנאלצת לפעול בסביבה טכנולוגית המשתנה במהירות עצומה עם חוק מיושן מאד? ובכן, היא יכולה לפעול לשינויו. כמדומה שזה הדבר הראשון שעליה לעשות. גם אם הרשות עצמה אינה אחראית על נוסח החוק, היא-היא הגורם המקצועי שחייב להתניע את התהליכים הדרושים במחלקת ייעוץ וחקיקה במשרד המשפטים. אבל משרד המשפטים לא עושה דבר. למעשה, הוא לא מצליח לקדם אפילו שינויים שהציע כבר בחוק הגנת הפרטיות, המיועדים להוסיף אל החוק המיושן גיבנת כעורה וכואבת של סמכויות אכיפה דרקוניות.

בזמן שמשרד המשפטים נם על משמרתו, אירופה בוחנת אם ישראל תואמת את אמות המידה שלה להגנה על מידע אישי. מלה של הסבר: החוק האירופאי אוסר להעביר מידע למדינה שאינה מגנה על מידע אישי באופן המקובל ביבשת. איסור זה ידוע כעקרון התאימות (Adequacy) והוא נקבע כבר בחקיקה שקדמה ל-GDPR. ב-2011 הצליחה הרשות להגנת הפרטיות לשכנע את הנציבות האירופית שישראל היא Adequate. אנו אחת מ- 13 מדינות בלבד ברחבי תבל שהוכרו ככאלה. אלא שכעת מעמדנו נמצא בבחינה מחדש וההחלטה צפויה כנראה ב-2020. היות שלא רק שאנו מתנמנמים בחיקו של חוק עתיק יומין אלא שהוספנו מ-2011 דברי חקיקה דרקוניים הפוגעים בפרטיות (לדוגמה, חוק המאגר הביומטרי, חוק נתוני אשראי וכעת גם עומד על המדוכה תזכיר חוק ההגנה בסייבר), הסיכויים שאירופה תכיר בנו שוב כתואמים, מצטננים.

אף רשות לא רוצה שמעמדה של ישראל ייפגע במשמרתה. אם כך, מה יכולה לעשות הרשות להגנת הפרטיות בהנחה שאינה יכולה לפעול בתוך ביתה לשנות את החוק? היא מפרסמת הנחיות. פה שליטתה בטקסט מלאה. ההנחיות מעידות כיצד הרשות תפרש את החוק מ-1981. אבל כשכופים על החוק הבלה הוראות חדשניות, צריך למצוא להן עיגון ובסיס. וכאלה אין בלשון החוק.

התוצאה היא תקלה כפולה ומשולשת: תחילה זו תקלה חוקתית - מפני שאין רשויות המדינה מחוקקות, אלא זה תפקידה של הכנסת; אחר כך זו תקלה מפני שהיא מרחיקה את הסיכוי שהחוק יתוקן - אם הנחיות יבואו במקומו למה לנו לטרוח בהליך המייגע של חקיקה? ולבסוף זו תקלה מפני שהיא מולידה חוסר ודאות: האמנם עלי לפעול לפני הנחיות שאין להן יסוד בטקסט החוקי או שאוכל להתעלם מהן?

עצוב ופרובוקטיבי ככל שהדבר יכול להישמע, הדבר הטוב ביותר שיקרה לפרטיות בישראל הוא אם אירופה תשלול את ההכרה בנו כ-Adequate. כששיתוף הפעולה בין רשויות החדשנות ומכוני המחקר בישראל לתכניות האירופאיות על תקציביהן הנדיבים יקלע לבוקה ומבולקה, כשמגזרי המשק השונים יידרשו להסדרים מייגעים כדי שמידע יעבור בחופשיות משוק הייצוא החשוב של ישראל אל תחומי המדינה, אולי אז יתעורר משרד המשפטים ויאמץ חוק מודרני להגנה על הפרטיות.

חיים רביה

חיים רביה | |מיינד דה גפ

על הפער והממשק שבין פרטיות לטכנולוגיה. עו"ד חיים רביה, שותף בכיר וראש קבוצת האינטרנט והסייבר במשרד עורכי הדין פרל כהן צדק לצר ברץ, עוסק בהיבטים המשפטיים של טכנולוגיות מידע מאז שהאינטרנט פרץ לחיינו במחצית שנות ה-90 של המאה הקודמת. הוא שמע יותר buzz words מכפי שיוכל או ירצה לזכור, בעודו מתמחה בייעוץ לחברות וארגונים כיצד לכבד את פרטיות לקוחותיהם ועדיין לעשות עסקים בעולם שמתקדם במהירות הבזק.

הדעות בבלוג מייצגות את הכותב ולא את משרדו או לקוחותיו.

תגובות

משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ