מאת עוה"ד דן חי ורועי סננס
הצופים האדוקים של הסדרה "בית הקלפים", לא יוכלו לשכוח איך כינס כוכב הסדרה דאז באחד הפרקים, עוד לפני שפורסמו ההאשמות כנגדו, חבורה של סטודנטים מצטיינים כדי לנסח בפרק זמן קצר שינוי מקיף בחקיקה, שיבסס רפורמת חנוך מרחיקת לכת. דבר מדהים אחר, הוא היעילות והמהירות שהצליח מפיק הסרט בכיכובו של אותו קווין ספייסי, רידלי סקוט, להוציא אותו ולהחליפו לחלוטין בכל הסצנות בסרט – לפני עלייתו לאקרנים, לאור אותן האשמות. כל מה שהיה צריך בשביל המהלכים האלו, בין אם שכתוב חוק או שכתוב סרט, זה אג'נדה ברורה, רצון, ראיית ארוכת טווח והבנה שרק בפעולה נרחבת, מתוכננת היטב ומנוסחת כראוי – ניתן יהיה להצליח ולהתקדם.
אמיר אוחנה הוא שר משפטים די כבול ביכולות שלו, לאור המגבלות שמוטלות עליו בתקופת הבחירות ובעובדה שהוא מכהן במסגרת ממשלת מעבר. דווקא מגבלות אלו, מובילות לתחושה של חוסר ציפייה לעשייה אמיתית, דבר שאמור להוביל – למספיק זמן פנוי. כך, אוחנה יכול לבחור לעצמו את העשייה בתקופה הקרובה, כאשר אף אחד לא מונע ממנו את האפשרות לכנס חבורה של מומחים ולנסח, בסיועה, חוק הגנת פרטיות חדש לישראל – נושא אשר איש לא יבקר אותו על בחירה בו כמהותי וחשוב, לא היום. אם יצליח לגבש את ההצעה, לכדי הצעת חוק מנוסחת כראוי, יהיה קשה לשר המשפטים הבא להתעלם, אם הוא לא יהיה אוחנה – ואוחנה? אוחנה יהיה חתום על אחת המהפכות הגדולות בישראל.
חוק הגנת הפרטיות הישראלי הוא, כידוע, מיושן. חוק שחוקק ב-1981 ותוקן לאחרונה באופן מקיף ורציני ב-1996. לא צריך להיות משפטן מומחה בתחום כדי להבין, שמה שהיה נכון ל-1996 לא בדיוק מתאים למציאות הטכנולוגית של ימינו. נדרשת רביזיה, נדרשת חקיקה חדשה. היא נדרשת כבר זמן רב.
גורם נוסף וחשוב במשחק הזה הוא הליך החקיקה באיחוד האירופאי. שם נכתבו תקנות הגנת מידע חדשות שנכנסו לתוקפן במאי 2018,הלא הן ה-GDPR. מסמך חקיקה מפואר ומתקדם שמבקש להתמודד עם המציאות בת ימינו בעולם המידע, מציאות שבה חברות, מגדולות ועד קטנות, אוספות עלינו מידע לקשת מגוונת של שימושים.
החקיקה האירופאית חוללה, ללא ספק, מהפך עולמי ולא רק באירופה. במקומות רבים בעולם הבינו, שזו העת להתייחס בחקיקה לתמורות שעובר עולם המידע, והציבו את ה-GDPR כמעין קו מנחה, מגדלור באופק. קליפורניה, אולי, הבולטת בעניין עת קיבלה חוק הגנה על המידע הצרכני (CCPA), חוק שיכנס לתוקף בינואר 2020.
הליך החקיקה הקליפורני מעניין, כי הוא מראה שכשישבו סוף סוף בישראל לכתוב חוק הגנת הפרטיות חדש, הם לא יהיו חייבים להעתיק את החוק האירופאי, כפי שרבים וטובים ובראשם הרשות להגנת הפרטיות בישראל, סבורים שצריך לעשות. ניתן לכתוב חוק שיתאים למציאות ולמנטליות הישראלית.
החוק הקליפורני שונה מעמיתו האירופאי בכמה מישורים. תחילה, בעוד ה-GDPR מתייחס לכל העסקים המעבדים נתונים מהאיחוד האירופי, ללא תלות במיקום או בגודל שלהם, ה- CCPA הוא מעט צר יותר בהיקפו: הוא חל רק על עסקים מבוססים בקליפורניה עם הכנסות מעל 25 מיליון דולר, מחזיקים במידע אודות למעלה מ-50,000 צרכנים, או אלה שעיקר עיסוקם הוא מכירת מידע אישי. ה – GDPR מחייב קנסות על אי ציות ו / או הפרת נתונים, אשר יכולים להגיע עד 4% מהמחזור העולמי השנתי של החברה או 20 מיליון אירו (הסכום הגבוה מבניהם), תוך התחייבות כי היטלים מנהליים יחולו באופן יחסי. על-פי ה- CCPA ניתן להטיל קנס בגין כל הפרה (עד למקסימום של 7,500 דולר לכל הפרה), ולא סנקציה כוללת לאי-ציות, לצד מתן האפשרות לצרכן לתבוע בגין הפרה. כמובן, ארה״ב כנוהגה, גוזרת את הזכות קודם כל מעולמות הגנת הצרכן, ולכן ה-CCPA עוסק בצרכן בלבד, בניגוד לתקנות האירופיות המגנות על כל פלחי האוכלוסייה, ולאו דווקא במישור הצרכני.
שתי מערכות החוקים מעניקות לצרכן זכויות ספציפיות כגון הזכות למחוק מידע או לגשת אליו, אך אינן זהות לחלוטין. גוף שהכין עצמו ל-GDPR, לא בהכרח מוכן ל-CCPA. כך למשל, שאלת זיהוי נושאי המידע מעניינת במיוחד, כיוון שאף שהורגלנו לחשוב כי ה-GDPR הרחיב את המונח ׳אדם טבעי׳ עד לקצה הרחוק ביותר, דווקא ה-CCPA הגדיל לעשות, לאור הזווית הצרכנית הייחודית שלו, והתייחס במפורש גם למידע אודות משק הבית כגורם הניתן לזיהוי. מלבד זאת, ה-CCPA מתייחס ישירות לאיסור לבצע הפליית מחירים, שירותים או מוצרים לאור בקשת הצרכן להפעיל את אחת מזכויותיו לפי החוק – מצב זה הוא מעניין, כיוון שידוע כי עסקים נוטים להפלות מחירים בהתבסס על מידע אישי כדבר שבשגרה. עוד, עושה לעיתים החוק הקליפורני הבחנה בין נתונים שסופקו ישירות על ידי הצרכן, בניגוד לנתונים שמקורם מצדדים שלישיים, ואף מבסס לעיתים את הצורך הקיים ב-GDPR לפעול על פי מנגנון הסכמה של Opt-In, כמנגנון Opt-Out. ובישראל? בישראל אנו עוד דנים בשאלה מה נחשב למידע מזוהה ׳אודות אדם׳, ומה לא.
החוק הקליפורני, לסיכום, אינו מקיף כמו ה-GDPR, אלא שונה ממנו. כדי להבין את השוני צריך להבין את זווית ההסתכלות האמריקאית-צרכנית, אל מול הזווית האירופית העקרונית, הרואה בכך כזכות יסוד. אין חולק כי זהו הצעד הראשון וחושב להגנת פרטיות שם. קליפורניה חלוצת חדשנות טכנולוגית, הכלכלה החמישית בגודלה בעולם, ועכשיו היא סוללת דרך למדינות רבות בארצות הברית ואולי אף לחקיקה פדרלית לפרטיות. עיקרון יסוד הזהה בין שתי מערכות החוקים הוא עיקרון השליטה – גם בקליפורניה וגם באירופה הבינו כי השליטה במידע אודות האדם, צריכה להיות בשליטתו, הוא שיקבע מה עושים אתו וכיצד, מתי להשיבו, להשמידו או להפסיק להשתמש בו – וכך בעצם נקבעה גם הבעלות בו. המדינה הגדולה הבאה שניסתה לעשות זאת הייתה ניו יורק, ממש לאחרונה, בה החוק לא עבר בהצלחה. עם זאת, היד נטויה, כאשר כישלון החוק הניו-יורקי הגביר את הזעקה לחקיקת חוק פדרלי, בעוד במקביל מדינות אחרות בארצות הברית צפויות להמשיך ולנסות להדביק את ההובלה של קליפורניה, ויהיה מעניין לראות איזו מדינה תהיה הבאה. בכל זאת, היום זה עניין של מוניטין.
בינתיים, בישראל כמו בישראל לא נעשה דבר. השאלה אם להעתיק את ה-GDPR או לעשות מעשה כמו בתקנות ה-CCPA הקליפורניות, שלקחו מהתקנות האירופאיות את רק מה שמתאים לקליפורניה, כלל לא עמדה לדיון במשרד המשפטים שלנו. ישראל נמצאת בחזית הטכנולוגיה, מוכרת כמעצמת סייבר, וסביר כי ישנן מדינות מעטות המוכרות יותר מישראל בעמק הסיליקון הקליפורני, ואם הייתה לכך משמעות, אז אנו גם קרובים גיאוגרפית לאירופה יותר מארצות הברית – אך הפוליטיקה הישראלית דשה בביצה של עצמה. המצב היום הוא אידיאלי עבור שר משפטים. הקרקע מוכנה, ניסויים אמפיריים נעשו בשנים האחרונות בחינם אין כסף לשימושנו. ניתן להרים את הראש ולהביט אל פועלם של הרשויות האירופיות, אל ניסיונות החקיקה בארצות הברית, אל הפרשיות הגדולות שנגלו ונחקרו – שלל המסקנות כתובות על דוחות מכאן ועד וושינגטון הבירה. אילו אמיר אוחנה היה מכנס צוות מומחים לכתיבת חוק הגנת פרטיות חדש, יכול היה שר המשפטים הבא לקדם הליך חקיקה במאמץ קטן בהרבה והעובדה שהחוק כבר היה כתוב, הייתה מאיצה בו לעשות כן ומאפשרת לו לקצור הצלחה וגם לצבור קרדיט על עשייה. אלא שנראה כי את אוחנה הזכות לפרטיות לא כל-כך מעניינת, כך גם לא את קודמיו. ואוחנה לא לבד. אם ניתן להמר – גם בכנסת שתכונן לאחר הבחירות הקרובות לא נהיה אנשי בשורה. ככה זה כשפרטיות היא לא נושא שעליו רצים לבחירות.
עו"ד דן חי עומד בראש משרד דן חי ושות' המתמחה בדיני פרטיות, טכנולוגיה וסייבר.
עו"ד רועי סננס עומד בראש מחלקת דיגיטל ומשפט דאטה בינלאומי של המשרד.
