האקר הסעודי, אשר עורר סערה גדולה בחודשים האחרונים, יכול לזקוף לזכותו הישג נוסף. המתקפה שלו על מאגרי המידע בישראל, אלו המכילים נתוני כרטיסי אשראי שונים, הולידה טיוטא להנחיה נוספת של הרשות למשפט טכנולוגיה ומידע במשרד המשפטים (רמו"ט). הפעם מבקש הרגולטור לעסוק בשאלת חוקיות איסוף מספרי תעודת זהות לטובת מאגרי מידע של הגופים הפעילים במשק.
בטיוטת ההנחיה, שהתפרסמה להערות הציבור, ממליצה הרשות להגביל עד מאוד את האפשרות של חברות מסחריות לאגור מספרי תעודות הזהות של אזרחי המדינה. לדעת הרשות, איסוף מספרי זהות במאגרי מידע טרם שנבחנה ונמצאה הצדקה לאסוף נתון זה – אסור. הרשות אף מפרטת את התהליכים הנדרשים לצורך הבחינה אימתי ניתן לאסוף מספרי זהות, פירוט החובות החלות על האוסף והתנאים בהם ניתן לעשות שימוש במידע זה.
לא יכול להיות חולק כי מטרת ההנחיה ראויה. אין עוררין כי הדליפה החמורה של מידע אישי כה רגיש, אשר הופץ ברשת בפני כל, מצריך הסדרה מידית של הנושא. עם זאת, לא ניתן להתחמק מן התחושה אליה מובילה ההנחיה, לפיה המדינה דורשת מהאזרחים יותר מאשר היא דורשת מעצמה, מקום בו היא יוצרת מאגרי מידע מיותרים, דוגמת המאגר הביומטרי, אשר זו רק שאלה של זמן עד שיפרצו ויופצו ברשת. אך בהתעלם מכך, הדרך בה הרשות הולכת מהווה לכל הפחות חריגה מסמכות, באשר הינה מנסה, ולא בפעם הראשונה, להכריז על נורמה משפטית, שאינה עולה בקנה אחד עם חוק הגנת הפרטיות.
כך עיון בחוק מגלה, כי כאשר מבקשים לאסוף מידע מאדם, יש להודיע לו באם חלה עליו חובה למסור את המידע או שמא עושה כן מרצונו החופשי. מקום בו נמסרה לאדם הודעה כאמור והוא בחר לאחריה למסור את פרטיו, הרי שהוא נותן בכך את הסכמתו מדעת לדברים. מכאן, כל עוד ניתנה הסכמה מדעת, אין כל איסור חוקי לאסוף מספרי תעודות זהות, גם אם אין צורך מיידי בכך או הצדקה מיוחדת.
לכן את הכלל שמבקשת הרשות להנחיל ראוי היה לקבוע בחקיקה מסודרת בבית המחוקקים. בדיוק כפי שהיה ראוי לנהוג ביחס להנחיות רבות אחרות וטיוטות להנחיות שהוציאה הרשות בשלוש השנים האחרונות. באחת מהן אף הודתה כי העקרונות הקיימים בחוק הגנת הפרטיות התקבלו בתקופה "שבה היו בעיקר מחשבים מרכזיים לאירגונים גדולים", להבדיל מהתקופה בה אנו חיים, שבה טלפון נייד הופך להיות מחשב שבאמצעתו ניתן להחזיק ולאגור מאגרי מידע.
כך הבעיה שנוצרה הינה כי החוק הקיים, שחוקק ב-1981 ותוקן לאחרונה בעניין מאגרי המידע רק ב-1994, אינו עונה על צרכים רבים בהגנה על הפרטיות במידע, קושי שהרגולטור נתקל בו בהתנהלות היומיומית שלו, קושי שיש לפתור בחקיקה, ולא בהנחיות.
מכאן, שוב עולה, איפא, השאלה: מדוע שר המשפטים אינו מוביל שינוי חקיקה בתחום? במיוחד כאשר על מדפי משרדו מונח דו"ח של צוות, ברשות המשנה ליועץ-המשפטי באותה עת, יהושע שופמן, שהמליץ עוד בינואר 2007 על שינויים בפרק ב’ לחוק הגנת הפרטיות, אותו פרק העוסק במאגרי המידע.
רמו"ט, לזכותה, היתה הראשונה לאמץ לחיקה את דו"ח שופמן ולהוביל ניסוח של שלוש טיוטות תזכירי חוק, שיובילו לשינוי המיוחל בחוק. רק אחת מהן הוגשה כהצעת חוק והיא ממתינה כיום בכנסת להמשך חקיקה לאחר שעברה בקריאה ראשונה. אך דווקא זו עוסקת בהרחבת סמכויות האכיפה של רמו"ט ולא בשינוי המתבקש, אשר ידאג להתאים את החוק אל מול ההתקדמות הטכנולוגית. טיוטות תזכירי החוק העוסקות בשינויים המיוחלים ביחס לניהול מאגרי המידע, עדיין לא קודמו ובצער רב מצהיבות אף הן על שולחנו של שר המשפטים לצד דו"ח שופמן, כחמש שנים מאז פורסם.
בהבהרה שהוציא לאחרונה יו"ר הרשות, עו"ד יורם הכהן, להנחיה שפורסמה על-ידו בעניין הליכי המיון לעבודה ומכוני המיון, הבהיר כי אין להמתין לכניסתה של ההנחיה לתוקף, באשר היא "אינה קובעת נורמות חדשות אלא משקפת את הפרשנות המשפטית של החוק הקיים".
אין ספק שאם טיוטת ההנחיה העוסקת באיסוף מספרי תעודות הזהות תפורסם לבסוף כהנחיה של ממש מטעם הרשות, יהיה קשה לראש הרשות להוציא לגביה מכתב כזה. זאת כאמור, היות והחוק מאפשר באופן ברור איסוף מידע רגיש שעה שניתנה הסכמה מדעת על כך. לכן, לפני שיקלע למבוכה הזו, ראוי היה ששר המשפטים יטול את המושכות ויקדם את שינויי החקיקה המיוחלים בתחום ההגנה על הפרטיות ויצעיד את ישראל אל העשור השני של המאה ה-21. ויפה שעה אחת קודם.
