התרגלתם לצרוף האותיות GDPR (תקנות הגנת המידע האירופאיות החדשות שנכנסו לתוקף במאי 2018)? תתרגלו עכשיו לצרוף חדש: CCPA, הוא חוק הגנת פרטיות הצרכן החדש, שהתקבל לאחרונה בקליפורניה (The California Consumer Privacy Act), חוק אשר אמור לספק הגנה על הפרטיות לתושבי המדינה בעת פעילותם ברשת ומחוץ לה.
כך, בין היתר, מקנה החוק החדש לתושבי קליפורניה את הזכות לעיין במידע אשר נאסף עליהם, לקבל את פרוט המקורות מהם נאסף המידע, המטרות לשמן נאסף המידע, לעקוב אחר העברתו לצדדים שלישיים, לדרוש הפסקה של העברת מידע כזו ואף את מחיקתו.
אבל קליפורניה לא לבד. גם לברזיל יש חוק הגנה על המידע, בדומה לחוק האירופאי, חוק אשר התקבל לאחרונה ויכנס לתוקף שנה וחצי ממועד פרסומו, בחודש פברואר 2020. החוק הברזילאי דומה יותר לזה של קליפורניה, בכך שהוא מקבל יותר ויותר בסיסים חוקיים לאיסוף ועיבוד מידע ביחס לחוק האירופאי, ובאשר שניהם אינם מתמקדים בהסכמה מפורשת.
השוואה בין החוק החדש בקליפורניה למקבילו האירופאי מעלה, כי החוק הקליפורני נוקשה מעט פחות מזה האירופאי, או לכל הפחות שונה ממנו בהיקף וסוג הדרישות שהוא מעלה מהגורמים אשר אוספים את המידע. השוני המובחן הראשון הוא בדרישת ההסכמה – בעוד באירופי עשויה להידרש הסכמה מפורשת, הרי שבקליפורניה מתמקדים באפשרות לצאת מהמשחק. כך גם למשל בקליפורניה אין דרישה לייחוד המידע והעברתו לצד שלישי לפי בקשת האדם עליו נאסף המידע, אולם יש זכות למחיקתו. בנוסף, יש בו הגדרה קונקרטית לדרכי גישה למידע, בשונה מה – GDPR.
הבדל מובחן נוסף הוא בחוקי התחולה והסנקציות. החוק הקליפורני חל רק על ארגונים שעומדים ברף ״גודל״ מסוים – מחזור של למעלה מ-25 מיליון $, מידע על למעלה מ-50,000 אנשים או בתי אב (אשר החוק הקליפורני מגן גם על פרטיותם, בהתייחס לספירת מים או חשמל וכיו"ב, במובחן מה-GDPR), או כאשר 50% ומעלה מההכנסות נובעות משימוש במידע). גם מבחינת הסנקציות, החוק הקליפורני מכיל מדרג, בשונה מהאירופי. על פי ה-GDPR הקנס עשוי להגיע ל-4% מהמחזור השנתי או 20 מיליון אירו, על פי הגבוה. בחוק הקליפורני ישנו קנס של 7,500$ על כל הפרה מכוונת, 2,500$ על הפרה לא מכוונת, ועד 750$ פיצוי ללא הוכחת נזק לתושב שנפגעה פרטיותו (באופן שעוזר לכמת תביעות ייצוגיות).
ההבדל בין החוקים מעלה את השאלה איזה חוק מטפל בסוגיית הפרטיות טוב יותר, האירופאי או זה הקליפורני ויותר מכך, האם גם בכלים פחות נוקשים ניתן לספק הגנה ראויה על הפרטיות בכל הקשור למידע האישי?
אין ספק שיש רק לקנא, כאשר מעיינים בחוקים האירופאים והקליפורני החדשים. החוק הישראלי, לעומתם, הוא חוק מיושן שהתקבל בשנת 1981 ושונה באופן רציני לאחרונה רק ב-1996. חשבון פשוט: לפני יותר מעשרים שנה.
החקיקה בקליפורניה מחדדת שוב את העובדה, שהקדמה הטכנולוגית מחייבת חקיקה עדכנית בתחום ההגנה על הפרטיות, במיוחד בעולם האינטרנטי. שימושים בכלים מתקדמים מבית היוצר של גוגל ופייסבוק, למשל, המסייעים לטרגט גולש ולאפיין מה יותר מתאים לו, כדי לשלוח לו אחר כך פרסומות תואמות כאשר יגלוש ברשת – מונטיזציה של מידע, ראוי שיוסדרו בחקיקה מעודכנת שתתייחס לכל הפעולות האפשריות ברשת ותיתן להן מענה בחוק ישראלי מעודכן. חוק שיתייחס גם לפעולות של הפיכת מידע לאנונימי, כדי לאפשר להגיע לתוצאות סטטיסטיות או אגרגטיביות שונות, תוצאות המתבססות על מידע מצטבר, שבסופו של דבר יוכלו לשרת את האזרח ולהביא לו מוצרים ושירותים טובים יותר, כמו קווי תחבורה התואמים את תנועת הקהל או מוצרי ביטוח זולים יותר שיתאימו להתנהגות של המבוטח מול ממוצע במשק. מוצרים כאלה ואחרים יכולים להתפתח על רקע תובנות שיושגו אגב מחקר על כלל האוכלוסייה, לאחר הפיכת המידע לאנונימי, כך שלא תיפגע פרטיותם של מושאי המידע.
לקראת כניסתן לתוקף של תקנות הגנת המידע האירופאיות, החלו להישמע בארץ קולות, כי יש לאמץ חוק דומה גם בישראל. יותר מכך, אף רווחה הטענה, כי יש לפרש את הדין המיושן הישראלי, לאור הדין האירופאי החדש. יותר מכל דבר אחר, החוק הקליפורני ואחריו זה של ברזיל מראים שאפשר גם אחרת. לא חייבים להעתיק הכול מאירופה ולא חייבים לפנות בפרשנות החוק הישראלי דווקא לזה של אירופה. גם החוק הקליפורני יכול לשמש מורה דרך, הן בפרשנות החוק הישראלי והן באשר לדרך, אותה על המחוקק הישראלי לאמץ. ויותר מכך, החוק הקליפורני מראה, שכאשר יבוא המחוקק הישראלי לעסוק בסוגיה, ויש לקוות כי הדבר יקרה בקרוב, עליו לגבש הצעה מקורית, לא כזו שהועתקה ממקום אחר, אלא כזו המתאימה לישראל.