הפרטיות בישראל: בהמתנה שהאירופאים יעשו לנו את העבודה

מאת עו"ד דן חי

אירופה לא נחה גם בעת משבר הקורונה. לאחרונה קיבל בית הדין הגבוה לצדק במדינות האיחוד החלטה דרמטית הפוסלת את ההסדר שהתקבל להעברת מידע מאירופה לארצות-הברית וטרף את הקלפים ביחסי הצדדים ביחס להעברת מידע אישי.

ההחלטה הזו מזכירה, שעל שולחן הדיונים באירופה נמצא גם הסדר אחר, זה שנוצר בעקבות החלטת מדינות האיחוד מ-2011 להכיר בתאימות הדין בישראל בנושא המידע האישי לזה הנוהג באיחוד האירופי ולאפשר בכך העברה חופשית של מידע אישי בין אירופה לישראל. עם קבלת תקנות המידע האירופאיות החדשות (GDPR) בחודש אפריל 2016 (שנכנסו לתוקף במאי 2018) הוחלט באירופה לבחון שוב את ההחלטה הזו, בחינה שאמורה להסתיים בחודשים הקרובים.

כאשר בוחנים מה קרה אצלנו מאז קבלת ההחלטה ב-2011, המאזן לא מבשר טובות. בצד החיובי ניתן להצביע על קבלת תקנות אבטחת מידע חדשות, שהתקבלו בחודש מרץ 2017 ונכנסו לתוקף במאי 2018. מהצד השני, חקיקה תומכת בתקנות, שהייתה אמורה לתת לרשות להגנת הפרטיות כלים לאכיפתן, לא קודמה. הצעת החוק בעניין אומנם עברה קריאה ראשונה בכנסת, לפני שיצאנו לסבב של שלושת הבחירות האחרונות, אך לא מעבר לכך.

אבל בצד השלילי הרשימה עוד ארוכה. החוק שמאפשר לשב"כ לאכן את כל אזרחי המדינה אגב מחלת הקורונה, חוק שנמצא בהליכי חקיקה מתקדמים, סותר את תפיסת הרשויות באירופה, אשר ממליצות על מעקב וולונטרי אחר האזרחים ולא מעקב הניתן לשרותי ביטחון פנימיים על כל האזרחים. קבלת החוק בארץ לא תוסיף לנו נקודות.

אבל מעבר לכל אלה, חוק הגנת הפרטיות הישראלי הוא חוק ישן, חוק שהתקבל ב-1981 ועבר שינוי משמעותי אחרון ב-1996. מאז כמו חלפו שנות דור, האינטרנט נכנס לפעולה ועוד חידושים טכנולוגיים מקיפים רבים. באירופה התקבל, כאמור, חוק הגנת מידע חדש אבל לא רק שם. בקליפורניה נכנס השנה לתוקף חוק מידע חדש (ה-CCPA), בברזיל, בארגנטינה, יפן והרשימה עוד ארוכה. בישראל לא נעשה דבר בנושא, אפילו לא טיוטת חוק.

אין זה חדש שנושא הפרטיות לא מעניין כל-כך את המחוקק הישראל. קולות בנושא נשמעים עוד מתחילת שונות האלפיים. אך למרות זאת לא נעשה דבר. בתחילת שנות האלפיים היה, אומנם, צוות במשרד המשפטים שהמליץ על שינוי החוק. כמה שנים מאוחר יותר אף יצא תזכיר חוק שהמליץ לצמצם את חובת רישום מאגרי המידע בישראל, חובה ארכאית שקיימת כאן משנת 1981. אבל מעבר לכך לא נעשה דבר.

קבלת החלטה אירופאית שמשטר המידע בישראל לא תואם את זה באירופה, תהווה מכה קשה לעסקים רבים בישראל. היא תעצור את אפשרות העברה חופשית של מידע אישי על אזרחים של האיחוד האירופי לישראל ותכפיף העברה כזו למגבלות שיכבידו מאד על פעילותם של עסקים רבים המבקשים להעניק שירותים, למכור מוצרים ולעבד מידע אישי הקשור באזרחי אירופה. תהא לכך משמעות קשה ביחס לתעשייה הישראלית, בעיקר לזו של ההיי-טק המתבססת היום על מאגרי מידע גדולים הכוללים מידע אף על אזרחים אירופאיים. עבור חברות אלה המשמעות של מהלך כזה תהיה דרמטית תוך השלכות כלכליות קשות.

עדיין לא מאוחר. ישראל יכולה לעשות מהלכים מהירים כדי לצמצם פערים. כדי שזה יקרה צריך להוציא מהארכיב את ההצעה לתיקון חוק הגנת הפרטיות המאפשרת סמכויות אכיפה ראויות לרשות להגנת הפרטיות, ובכלל זה הסמכות לאכוף את תקנות אבטחת המידע החדשות; יש לבצע חשיבה נוספת ביחס לחוק המאפשר את איכוני השב"כ וללכת על מודל שונה, במסגרתו היקף האיכונים יקטן והגורם המאכן יהיה גורם אזרחי ולא בטחוני. להשלמת המהלך יש לקדם בארץ חקיקה חדשה בתחום הפרטיות. אפשר להביט לצדדים ולראות מה עשו באירופה (GDPR), מה עשו בקליפורניה (CCPA) ובמקומות נוספים בעולם, לקבל רעיונות ולהביא לנוסח של תיקון לחוק, שלא יעתיק חוקים אחרים, אלא יאמץ רעיונות ויתאים אותם למציאות שלנו.

את המחוקק הישראלי הזכות לפרטיות כבר שנים לא עניינה במיוחד. בצד החיובי של החלטה שלילית של האירופאים אפשר אולי להוסיף, שאם תתקבל החלטה כזו, למחוקק בארץ לא תהיה בריירה אלא להפשיל שרוולים ולעבוד גם למען הפרטיות. אם זה מה שיקרה, אולי נצא בסוף בצד המרוויח.