החל מהיום: הפרטיות באינטרנט בישראל עולה כיתה

חדשות טובות לשוחרי הפרטיות בישראל. היום (יום ג') ייכנסו לתוקף "תקנות הגנת הפרטיות (אבטחת מידע)" שיציבו את ישראל בחזית המדינות בעלות החקיקה מתקדמת בשמירה על פרטיות האזרח במרחב הדיגיטלי. התקנות, שאישורן קודם בשנים האחרונות על-ידי שרת המשפטים איילת שקד, לא רק שיסייעו לארגונים בישראל להבין מה נדרש מהם בתחום השמירה על מידע אלא גם מפרט את האמצעים עליהם לנקוט לשם כך תוך הבחנה בין ארגונים קטנים וגדולים ולפי סוג המידע שנשמר על-ידם.

אז מה קובעות התקנות החדשות? בגדול - הן מחייבות אבטחה ראויה של מידע מצד כל גורם שמנהל מידע על אנשים - בין אם מדובר בלקוחות, עובדים, ספקים, ילדים, מטופלים ועוד, בהתאם לרמת הסיכון במקרה של דליפה.

על-פי הודעת המשרד, "כדי להימנע מעודף רגולציה ולהכבדה מיותרת על העסקים בישראל, התקנות מבחינות בין ארבעה סוגים של מאגרי מידע: מאגר מידע המנוהל על-ידי יחיד, מאגרים שחלה עליהם רמת האבטחה הבסיסית, מאגרים שחלה עליהם רמת האבטחה הבינונית ומאגרים שחלה עליהם רמת האבטחה הגבוהה".

רמת האבטחה נקבעת בהתבסס על ארבעה פרמטרים

זהות הארגון: גופים ציבורים וחברות שסוחרות במידע אישי נדרשים לרמת אבטחה הגבוה ביותר, לעומת עוסק יחיד שנדרש לרמה בסיסית ביותר של אבטחה. על עצמאים או בעלי עסקים קטנים, לדוגמה על בעלים של חנות פרחים, סוכני ביטוח פרטיים או פסיכולוגים, יחולו דרישות שונות מחברות ביטוח, מועדוני לקוחות וכדומה.

גודל המאגר: ככל שכמות המידע במאגר גדולה יותר, כך הוא נחשב לרגיש יותר. במאגר עם מעל למאה אלף פריטים נדרשת רמת אבטחה גבוהה.

רגישות המידע: ככל שהמאגר מכיל סוגי מידע רגישים יותר, כך רמת האבטחה הנדרשת גבוהה יותר. מהו מידע רגיש? מידע רפואי או ביומטרי לדוגמה.

מספר מורשיי הגישה: ככל שמספר האנשים שרשאים להיחשף למידע שבמאגר גבוה יותר, כך נדרשת רמת אבטחה גבוהה יותר. מעל מאה מורשים - המאגר מצריך אבטחה ברמה הגבוה ביותר.

התקנות קובעות מנגנונים ודרישות שנועדו להפוך את אבטחת המידע לחלק משגרת ניהול הארגון. בין היתר, הן דורשות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות ולפי דרישתה גם למי שזכותו לפרטיות נפגעה כתוצאה מהאירוע".

חובת הדיווח נחשבת בעיני מומחים לכזאת שמעניקה לתקנות שיניים חרף העובדה, שבניגוד לחוק הפרטיות האירופי החדש GDPR שייכנס גם הוא לתוקף החודש, הן לא כוללות סנקציות כספיות מפורשות. כלומר, עצם העבודה שחברות ייאלצו לדווח לרגולטור ולקוחותיהם על תקלות אבטחה, יהווה האמצעי הרתעה ועידוד לציית לתקנות, מחשש מפני תביעות.

התקנות הישראליות, נוסף על כך שהן נוסחו באמת ובתמים כדי להגן על פרטיות האזרחים, מהוות גם חלק מהניסיון של המדינה לסייע לעסקים בישראל לעמוד בדרישות האיחוד וליישר קו עם החקיקה האירופית. זאת בין השאר במטרה לשמור על המעמד המיוחד של ישראל כמדינה שהחקיקה בה תואמת את החקיקה האירופית - מעמד שיש לו משמעות כלכלית שאי אפשר להגזים בחשיבותה.

גורמים בכירים עמם שוחחנו לא חסכו מחמאות מהתקנות, מהיקפן, מנוסחן הבהיר ומהשרה שקד שדחפה אותם באופן אפקטיבי והביאה לאישורם במועד. עם זאת, אף על-פי שמדובר בהישג שמגדיל את הסיכויים שישראל תשמור על מעמדה, הוא ככל הנראה לא יהיה מספיק. כדי שאזרחי ישראל ירגישו שחקיקת הפרטיות הישראלית תגן עליהם כמו ש-GDPR מבקש להגן על אזרחי האיחוד האירופי יידרשו מאמצי חקיקה רבים נוספים.

הספין המוזר

ועם כל המחמאות, מעניין גם לשים לב לאופן התמוה שבו בחרו במשרד המשפטים לשווק את הרפורמה, אחת החשובות שהתקבלו בישראל בתחום הגנת המידע והפרטיות במרחב הדיגיטלי. הודעה שרת המשפטים ומשרד המשפטים, שנשלחה אתמול, נפתחת כך: "איילת שקד מפיקה לקחים ממחדלי פייסבוק ודליפת פרטי מיליוני העוקבים: מחר ייכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) שיזמה לאחר שבארצות-הברית נחשף גודל המחדל בדליפת המידע של מיליוני העוקבים ברשת פייסבוק, שרת המשפטים פועלת למנוע זליגת מידע דומה בישראל. ביום שלישי הקרוב ייכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) של שרת המשפטים ויחולו על כל גוף במשק הישראלי שמנהל מידע אישי, ציבורי ופרטי כאחד". 

חבל שבמקום להתמקד בעובדה שהשרה הבינה את חשיבות הנושא בזמן והצליחה לקדם ולהביא למימוש מאמצי חקיקה, שהיו תקועים במשך שנים, ולאפשר לישראל להיות מוכנה לפחות חלקית למהפכת הפרטיות של ה-GDPR - בחרו במקום זאת במשרד המשפטים, לערבב מין בשאינו מינו ולהביא שמיטה אצל הר סיני.

"שיזמה לאחר שבארה"ב נחשף גודל המחדל", נכתב בהודעה. ואולם, המעורבות של קיימברידג' אנליטיקה בניסיון להשפיע על תוצאות הבחירות בארה"ב נודעה זמן קצר לאחריהן, כבר ב-2017, והפרשה עצמה "התפוצצה" רק באמצע מרץ 2018. תקנות הגנת הפרטיות, לעומת זאת, נוסחו עוד בסוף העשור הקודם ביזמת הרשות למשפט וטכנולוגיה במשרד המשפטים. טיוטת התקנות פורסמה להערות הציבור ב-2011 והנוסח המלא פורסם ב-2012. לא ממש בעקבות פרשת קיימברידג' אנליטיקה.

התפר הגס השני שבו מוצמדת פרשת הדליפה של פרטי גולשי פייסבוק לתקנות הישראליות הוא בכך שאמנם שני הנושאים קשורים לפרטיות במרחב הדיגיטלי, אולם ההבדלים ביניהם גדולים ועקרוניים. בעוד התקנות הישראליות מפרטות באופן מקיף את הנהלים והאמצעים שארגונים צריכים לנקוט כדי לאבטח את המידע שהם אוספים ומחזיקים, הן אינן מטפלות במקרה שבו, כמו פייסבוק, החברה גם מאפשרת מלכתחילה את איסוף המידע וגם לא טורחת לוודא שמידע שנאסף באמצעותה ומוחזק בידי צד שלישי אכן מוחזק כיאות.

כלומר, התקנות נועדו לשפר את האופן שבו מידע פרטי מוחזק, מפני האקרים או מדליפים, והן פחות עוזרות כשהקוד הגנטי של המודל העסקי של החברה מושתת על זלזול בפרטיות הגולשים. אם להשתמש בדימוי - שהתקנות הישראליות אולי מספקות מתכון ראוי לבניית שער וגדר אך הן לא נותנות פתרון במצב שבו השומר בשער עושה יד אחת עם הגנבים או מעלים מהם עין.

את הפתרון לתפיסה הבעייתית הזאת שואפת לספק החקיקה האירופית. חקיקה זו לא מתווה רק כללי התנהגות אלא תפיסה שלמה של חשיבה ושמירה על פרטיות כחלק מהקוד הגנטי של הארגון וההתנהלות העסקית שלו. כמובן ש-GDPR לא מחייב את ישראל באופן רשמי, אבל בפועל, בשל יחסי המסחר הענפים וההדוקים עסקים ישראליים רבים יהיו מחויבים לעמוד בכללים אם ברצונם יהיה להמשיך לעשות עסקים עם אירופה או עם שותפים עסקיים שידרשו מהם להוכיח עמידה בכללים האירופים. הרגולטור בישראל עוד יצטרך לעסוק רבות בפער הזה בין היקף חקיקת הפרטיות בישראל לבין שותפת הסחר העיקרית שלה.

לאחר שנים שהדיון הציבורי בסוגיית הפרטיות התנהל בקרב מספר מצומצם של פעילים ומשפטנים פרשת קיימברידג' אנליטיקה, וכניסתם לתוקף של החוק האירופי החדש ושל תקנות הפרטיות החדשות בישראל - מצביעים על כך שהדיון הציבורי בנושא רק החל להתעורר והוא לא הולך לשום מקום. וטוב שכך.