תקנות הגנת המידע החדשות באירופה – GDPR: לא הכול מתאים לישראל

בעוד כחודש יכנסו לתוקף באירופה תקנות הגנת המידע האירופאיות החדשות (GDPR). האירוע מעסיק בימים אלו גופים רבים גם בארץ, מכיוון שתקנות אלו מרחיבות את תחולתן באופן משמעותי גם על גופים המצויים אל מחוץ לאיחוד האירופי. הן חלות על כל גוף (באיחוד או מחוצה לו) שאוסף, מנהל, מחזיק או מעבד מידע אישי אודות תושבי האיחוד (לרבות יצירת פרופילים התנהגותיים על תושבי האיחוד, מעקב אחר דפוסי גלישה או התנהגות), עוסק באספקת שירותים או מוצרים לשוק האירופאי, ואף די שהינו בעל נוכחות עסקית באיחוד, אף ברמה השיווקית.

עוד לפני כניסת התקנות האירופאיות לתוקף כבר נשמעים קולות בארץ, אם מכיוונה של הרשות להגנת הפרטיות ואף באמירות של שופטים, בינתיים רק בהשתלמויות ואירועים שונים, כי יש לפרש את הדין בישראל לפי התקנות האלו, ואף להתאימו אליהן ויותר מכך, שעל המחוקק הישראלי לאמץ לעצמו חקיקה בעלת מאפיינים דומים. האומנם?

תחת לפני השטח, לב ליבן של התקנות האירופאיות החדשות עוסק בשאלה למי שייך המידע האישי – לאזרחים בהם עוסק המידע או לחברות האוספות אותו. בשורות הכתובות בתקנות – השאלה הזו לא עולה, אלא התקנות מסתפקות בהנחה סמויה אך ברורה. החקיקה בארץ לא מספקת מענה ברור לשאלה הזו. בתקנות האירופאיות התשובה ברורה: המידע שייך לאזרחים, אף אם לא קניינית – אזי ברמת הזכויות עליו. ניתן לטעון שהאזרח הוא אכן בעל המידע, שכן המידע עוסק בו והוא מספק את המידע עליו לחברות השונות, החל ממועדוני לקוחות ועד חברות המספקות לו שירותים מגוונים. בהתאם להנחה זו בתקנות האירופאיות, מוקנית לו הזכות, בין היתר, לבקש למחוק את המידע עליו או לנייד אותו לחברה המתחרה, אם וכאשר מבקש האזרח לעבור מחברה אחת לרעותה. אבל האם המודל הזה מתאים לארץ?

הפיכת האזרח לבעלי המידע יש לה מחיר. המשמעות היא שכל חברה לא תוכל לעשות במידע שימוש, גם אם קיבלה את הסכמת הלקוח לכך, כאשר זה יבקש לשנות את דעתו. חוסר היכולת של חברה להרוויח מהמידע שהיא צוברת, יגולגל ללקוח שיצטרך לשלם הרבה יותר עבור השירותים שהוא מקבל. בנוסף לכך הצורך לאפשר לאזרח לשלוט במידע מצריך הערכות טכנולוגית, שגם לה יש מחיר גבוהה. אבל יותר מהכול – שמירת המידע בארץ משרתת גם צרכים של רשויות הביטחון השונות. האם הם יסכימו להעברת השליטה במידע לאזרחים? ספק.

אך אם כל נימוקי הנגד היו יכולים להיות נכונים גם ביחס לאירופה, ושם חלקם נדחו ולחלקם נמצא פתרון, כמו החרגת רשויות הביטחון מתחולת התקנות במקרים מסוימים, השאלה המרכזית הינה האם זה בכלל טוב לנו? האם זה נכון לחסום אפשרויות שימוש במידע, שבמקרים רבים יכולים להואיל לאזרח ולתת לו ערך מוסף, לעשות שירות לציבור רחב ולהעלות תועלת מצרפית, כמו שימוש במידע שצוברות חברות כמו 'ווייז', כדי לדעת לקבוע את סדר העדיפויות של פיתוח הכבישים בארץ, לפי עומס התנועה בכבישים אלו. התקנות האירופאיות לא חוסמות שימוש כזה, אבל מקשות עליו מאוד. אם בכבישים עסקינן, ישנו הבדל אחד נוסף בין האיחוד האירופי לישראל – האירופאים, במקביל להגנה על זכויות הפרט, מעודדים "זרימת מידע חופשית" בתוך גבולות האיחוד – כך שהירידה בתוצרים המקומיים במדינות האיחוד, עשויה להתאזן לאור זרימת המידע בין המדינות – יתרון שלמדינתנו אין. גם האירופאים מבינים כי המידע הוא משאב, ובעזרת תחולה אקס טריטוריאלית של החובות, ושמירה פנימית על המשאב, נוצר לטובתם יתרון מדיני.

ספק גם אם המנטליות הישראלית מתאימה להוראות התקנות האירופאיות. למשל הזכות לנייד את המידע יכולה להפוך בישראל לאופנה לאומית של העברת מידע מחברה לחברה, דבר שיסרבל מאוד ויקשה על עובדתם של חברות המתבססות על מידע, כמו בנקים, חברות ביטוח ודומיהן.

אך גם פתרון של לשבת ולא לעשות כלום, אינו הפתרון הנכון ברקע חקיקה מיושנת מאוד בתחום הפרטיות. חקיקה חדשה וחדישה בתחום הפרטיות היא צו השעה. אבל במקום ולרוץ ולחקות את האירופאים, הגיע הזמן שגם המחוקק הישראלי יתעורר משנתו הארוכה וזום חקיקה בתחום הפרטיות המתאימה גם לימינו אנו וגם לאקלים המתאים לישראל, לפני שיהיה מאוחר מידי.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

הרשות להגנת הפרטיות חושפת: ליקויים חמורים בקרב מגזר בתי החולים

הרשות להגנת הפרטיות פרסמה לאחרונה (15.9.24) דוח פיקוח רוחב שערכה ב-28 בתי חולים בישראל, הכוללים גם מרכזים לטיפול יום ובתי חולים פרטיים. בשנים האחרונות, חלה ...

אתגרי אבטחת מידע במעבר מאגרי מידע לענן: הרשות להגנת הפרטיות מנחה        

מעבר מאגרי המידע לענן. מסמך חדש שפרסמה לאחרונה (05.09.2024) הרשות להגנת הפרטיות סוקר את האתגרים המרכזיים בתהליך זה ומציע דרכים להתמודדות עימם. בעידן הדיגיטלי המתפתח, ...

הפרטיות בחרום. הרשות מתווה דרכי פעולה

על מה יש להקפיד בשעת חרום בתחום הפרטיות?  הרשות להגנת הפרטיות מפרסמת מדריך, במסגרתו מוצעים כללים מרכזיים להגנה על פרטיות בעת חירום באופן המבקש ליצור ...

אחריות דירקטוריון להגנת הסייבר: הרשות להגנת הפרטיות מנחה

הרשות להגנת הפרטיות פרסמה לאחרונה (12.09.2024) הנחייה (מס' 1/2024) המגדירה את תפקיד הדירקטוריון בפיקוח ובאחריות על אירועי סייבר וכחלק מכך פיקוח על אופן השימוש במידע ...
דילוג לתוכן