דוח טכנולוגי איפה ואיפה: ישראל תספק הגנה משופרת רק לפרטיותם של תושבי האיחוד האירופי
דוח טכנולוגי
איפה ואיפה: ישראל תספק הגנה משופרת רק לפרטיותם של תושבי האיחוד האירופי
במקום לנצל את ההזדמנות שיוצר הצורך בתאימות מול חוקי האיחוד כדי לבצע תיקונים בחוקי הפרטיות המקומיים שלא עודכנו מאז 1981, משרד המשפטים החליט לספק לאירופים השוהים בארץ את רמת הפרטיות שהם רגילים לה - והשאיר את הישראלים מאחור. טוב, אנחנו פחות חשובים
בימים אלה מקדם משרד המשפטים מקדם מהלך בעייתי שיגרום לכך שאזרחי האיחוד האירופי יקבלו זכויות בלעדיות שיגנו על פרטיותם בצורה רחבה יותר מזו של אזרחי ישראל. במסגרת המהלך, זכויות מהותיות, שמומחי ופעילי פרטיות מבקשים לעגן בחקיקה הישראלית זה שנים, כמו חובת מחיקה של מידע, הגבלת איסוף מידע ויידוע נשוא מידע על איסופו ושמירתו, יוענקו רק לאזרחי האיחוד (וכן אזרחי מדינות שחברות באזור הכלכלי האירופי – איסלנד, נורווגיה וליכטנשטיין).
הרקע למהלך חיובי, בערך. חוקי הפרטיות של האיחוד האירופי, GDPR, מחייבים מדינות אחרות שמבקשות לקיים קשרי מסחר עם חברות האיחוד להעניק לאזרחים הגנה דומה כשהן מטפלות במידע שלהם - מה שמכונה תאימות. ללא תאימות זו לא ניתן לקיים קשרי מסחר עם האיחוד.
טרם GDPR, ישראל נהנתה מתאימות עם האיחוד בנושאי פרטיות על בסיס חוק הגנת הפרטיות המיושן שלהם. כניסת GDPR לתוקף ביטלה למעשה את תאימות זו ומחייבת את ישראל לבצע שינויים מקיפים על מנת לשמור את היכולת לבצע מסחר.
הצורך בתאימות אינו זניח. קיום תאימות מייצר ערך רב למשק הישראלי. במכתב שהעבירו אתמול למשרד המשפטים מציינים מומחי פרטיות כי משמעות ההכרה בתאימות היא הקלה משמעותית על עסקים, על ארגונים, על מוסדות מחקר ועל רשויות בישראל שאוספים מידע על תושבי האיחוד. "על עסקים כאלה לציית לדין הישראלי ואין הם צריכים להתעמק בדין הזר, המורכב, בשפה זרה, שנגישה פחות.
כך למשל, בעלת צימר בגליל שמנהלת תקשורת עם תיירים מצרפת, בית חולים בירושלים שמתקשר עם חולים באירופה ששוקלים להגיע לטיפול בישראל, מוסדות להשכלה גבוהה שנמצאים בקשר עם תלמידים.ות פוטנציאליים, מוסדות פיננסיים שמקבלים מידע מאירופה לגבי העברות כספיות, וכל עסק מבוסס-רשת", הם כתבו.
"להכרה חשיבות כלכלית עצומה לעסקים ישראלים שעושים ביזנס עם אירופיים שנמצאים באירופה - במיוחד עסקים קטנים ובינוניים (כי הגדולים גלובליים וממילא מצייתים לדין האירופי)", הסביר פרופ' מיכאל בירנהק מהפקולטה למשפטים באוניברסיטת תל אביב. "להכרה גם יוקרה בינלאומית. אין הרבה מדינות שקיבלו אותה".
מומחים, ובראשם ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה, הציעו לנצל את ההזדמנות על מנת לבצע רפורמה מקיפה ונחוצה מאוד בחוק הגנת הפרטיות של ישראל, שמספיק מבוגר כדי שיהיו לו נכדים ולא זכה לשום עדכון משמעותי מאז נחקק ב-1981, אבל השעה לוחצת, הדיונים על שימור התאימות נכנסים להילוך גבוה וחייבים לעשות משהו. כעת, במקום רפורמה מקיפה שתעדכן את הפרטיות של אזרחי ישראל למאה ה-21 או אפילו לעשור האחרון של המאה ה-20, מגיע מהלך שיעניק את ההגנות הדרושות רק לאזרחי האיחוד. המינימום ההכרחי כדי לשמור על התאימות ואף למטה מכך.
לפי הסדר שמציע משרד המשפטים, העולה ממסמך שהופץ בשבוע שעבר, על מידע שהועבר לישראל משטח מדינה החברה באיחוד האירופי יחולו תקנות פרטיות שונות מאלו שחלות על מידע אחר. תקנות אלה יחולו על בעלי מאגרי המידע בישראל אך ורק ביחס למידע שהועבר לישראל ממדינה החברה באיחוד האירופי.
אם תאושרנה התקנות, אזרחי האיחוד, שמידע אודותיהם הועבר לישראל, יוכלו לבקש את מחיקתו בתנאים מסוימים (הזכות להישכח), אך אזרחי ישראל לא. חברות תוכלנה להמשיך להחזיק במידע על אזרחי ישראל גם אם אינו נחוץ למטרה שלשמה נאסף. בעל מאגר מידע שמחזיק מידע על אזרחי האיחוד יחויב להפעיל מנגנון שיבטיח שהמידע במאגר נכון, שלם, ברור ומעודכן, ולתקנו במידה שאינו כך – אך רק כל עוד מדובר במידע על אזרחי האיחוד. כמו כן, כשבעל מאגר יקבל מידע על אזרח אירופי, הוא יחוייב להודיע לאזרח על זהותו, על מטרת איסוף וסוג המידע, האם בכוונתו להעביר לצד שלישי ועוד. כלפי אזרח ישראל לא תהיה כל חובה שכזאת.
"קידום תקנות תאימות הפרטיות שתחולנה אך ורק על אזרחי אירופה בעת פגרת בחירות בכנסת והניסיון לחוקק אותן כעת במהירות בוועדת חוקה, באיום שבהיעדרן תישלל התאימות האירופאית ויהיו לכך השלכות כלכליות משמעותיות, היא לא פחות משערוריה", התריעו שוורץ אלטשולר ועמיתתה ד"ר רחל ארידור. "התקנות למעשה יוצרות מערכת חקיקה נפרדת לאזרחי ישראל ואזרחי אירופה בכל הנוגע לחובות הפרטיות".
השתיים גם דוחות את אמירת משרד המשפטים, לפיה הסדרים דומים אומצו בשנתיים האחרונות במדינות כמו יפן וקוריאה הדרומית. "מדינות אלה לא חיכו לדקה ה-90 בניסיון לחוקק תיקון מהיר וקלוקל, אלא פעלו וחוקקו חוקי הגנת פרטיות חדשים החלים על מידע אישי אודות כלל תושבי אותן מדינות", הן הסבירו. "בישראל, מדובר ביצירת משטר משפטי שונה להגנת הפרטיות על בסיס מוצא גיאוגרפי שיחול אך ורק על אזרחי אירופה. בכך משמרות התקנות את המידע האישי של תושבי מדינת ישראל כחצר האחורית למניפולציות ולשימוש במידע אישי באופן שצריך להדאיג כל אזרח ואזרחית".
עו"ד חיים רביה, שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ דיווח שבשולחן עגול שערכו משרד המשפטים והרשות להגנת הפרטיות עם פרקליטים מהמגזר הפרטי זכה המהלך לביקורת חריפה במיוחד. "המשתתפים לא בחלו בביטויים קשים דוגמת 'שערורעיה', 'אפרטהייד משפטי', 'אמירה נוראה לאזרחי המדינה', 'תקנות מפלות' ו'בושה לאומית'", הוא סיפר. "הם קראו למשרד להקנות את אותן זכויות גם לאזרחי ישראל באמצעות תקנות מקבילות. בין השאר, הם הצביעו על הפגיעה בעקרון השוויון החוקתי, על החמצת ההזדמנות להשתמש בתאימות כדי לתקן את דיני הגנת הפרטיות המיושנים בארץ ועל קשיים אופרטיביים באבחנה בין מידע שהגיע ממאגרים אירופיים ולכן יוקנו לו הזכויות החדשות למידע אחר שלא יהנה מאותן זכויות".
בשיחה עם דו"ח טכנולוגי הוסיף רביה: "זו תוצאה של הזנחה בת שנים של הפרטיות. עכשיו הם פועלים בפאניקה כדי לתקן אחרי שהאירופים הבהירו להם את מה ששנים אנחנו מזהירים מפניו ואגב כך יוצרים מעמד של ילידים משפטיים לאזרחי ישראל, ושוכחים שתפקיד התאימות הוא לא רק להקל על המשק אלא גם, ובעיקר ,להיטיב את זכויות אזרחי המדינה".
בירנהק אמר שמעולם לא נתקל ב"רעיון ביזארי כל כך". "הפתרון הנוכחי יצירתי, אבל עקום מאין כמותו", הוא כתב בטוויטר. "תקנות אינן תחליף לחקיקה; הגנה חזקה יותר בישראל על מידע שמגיע מאזרחים אירופים באירופה מאשר על כל השאר - ספק אם חוקתית. זה לא קשור לאזרחי ישראל שיש להם אזרחות אירופית. הם לא ייהנו מההסדר המוצע. ההסדר יחול על מידע אישי שמגיע מתושבי האיחוד שנמצאים באיחוד ומועבר לישראל. מי שבישראל, בין אם הוא ישראלי, פורטוגזי או סיני, כפוף לדין הישראלי בלבד".
אזהרות דומות נשמעות במכתב ששלחו אתמול למשרד המשפטים שורה של מומחי פרטיות מובילים בישראל, בהם בירנהק, שוורץ אלטשולר, רביה, פרופ' ענת בן-דוד מהאוניברסיטה הפתוחה, פרופ' ערן טוך מאוניברסיטת תל אביב, מנכ"ל איגוד האינטרנט וראש רשות הפרטיות לשעבר עו"ד יורם הכהן, ראשת רשות הפרטיות לשעבר עו"ד רבקי דב"ש ופרופ' קרין נהון מאוניברסיטת רייכמן.
"ככל שמשרד המשפטים אינו רואה קושי בהענקת זכויות וביצירת הסדרים ראשוניים בדרך של תקנות, אנו דורשים שהזכויות שמבקש המשרד להוסיף בתקנות יחולו על כלל נושאי המידע, גם ישראלים, ולא רק על בעלי אזרחות אירופית", הם כתבו. "הפיתרון הוא בבחינת פלסטר קטן, אם בכלל, לפציעה גדולה: הוא לא יפתור את הבעיה המהותית שנוצרה בדין הישראלי לאור הפער שצוין לעיל ולמעשה רק יחריף אותה. דרך המלך הייתה ועודנה תיקון מהותי של חוק הגנת הפרטיות, כפי שאנו דורשים כבר שנים רבות מאוד. ככל שמשרד המשפטים מבין עתה את הדחיפות ביצירת הסדר חוקי מתקדם להגנת הפרטיות, טוב אם החודשים הקרובים, בהם ממילא לא ניתן לקדם חקיקה, יוקדשו למאמץ מתואם ונרחב להתאים את החקיקה המיושנת למודלים עדכניים, ולא ישחית את זמנו ביצירת הסדרים זמניים שיש בהם להזיק יותר מאשר להועיל".
ואם לא די בכך, שוורץ אלטשולר וארידור מתריעות שהתקנות המוצעות גם לא יביאו לתאימות המבוקשת, שכן אלה עומדות רק בחלק מדרישות GDPR. בחוות דעת שהעבירו אתמול למשרד המשפטים הן מסבירות: "התקנות אינן מתייחסות לנושאים מרכזיים אחרים, כגון תנאים לעיבוד מידע אישי באופן חוקי, הוגן ולגיטימי לבד מהסכמת נושא המידע; זכות נושא המידע להתנגד לעיבוד מידע אישי אודותיו בכל עת, מטעמים לגיטימיים ומשכנעים הנוגעים למצבו הספציפי בתנאים מסוימים; קבלת החלטות אוטומטית ופרופיילינג שיש להם השפעה משמעותית על נושא המידע צריכה להיעשות לפי תנאים מיוחדים; והפיל הגדול בחדר: במסגרת בחינת התאימות נבחנת גם מידת הפגיעה בזכות לפרטיות עקב עיבוד מידע אישי על ידי גופי ביטחון. בישראל מעניקים לרשויות ביטחון פטור רחב מאחריות בגין פגיעה בפרטיות. סעיפי פטור אלה אינם עומדים כלל בדרישות האיחוד".
שתי החוקרות גם מזהירות מאפקט דומינו שהתקנות עלולות לייצר. "מדינות שאינן חברות באיחוד האירופי אבל החזיקו במשטר הגנת פרטיות דומה ל-GDPR נשענו על ההכרה האירופית בתאימות הדין בישראל על מנת לבצע עסקות עם גופים ישראליים", הן מסבירות. "במידה שהתקנות תתקבלנה, תדענה מדינות אלה שהגנת הפרטיות מוגבלת רק לאזרחי האיחוד והתוצאה תהיה שחברות ממדינות אלה- למשל, אנגליה, שווייץ וקנדה - תסרבנה להעברת מידע אודות אזרחים לישראל בהיעדר הגנה מתאימה. ומה אז? האם הפתרון מצד משרד המשפטים הוא חקיקה תלוית מוצא גיאוגרפי? האם אנו צפויים לשורת תקנות המותאמות לנושאי מידע בכל מדינה זרה לצד חוק הגנת פרטיות מיושן ורזה לילידים הישראלים?"
אז מה היה לנו כאן? תקנות שמקודמות כי מדינת ישראל התמהמהה שנים בייצור חקיקת פרטיות מודרנית, שמייצרות שני מעמדות פרטיות בישראל ובפועל מרעות את המצב של אזרחים ישראלים, שבפני עצמן אינן מייצרות את הרף הדרוש על מנת לקבל תאימות ושעלולות ליצור כדור שלג שיביא לדרישות של מדינות אחרות לקדם תקנות דומות גם לאזרחיהן. 100% נזקים, 0% תועלות. מהלך נהדר.