מדינות רבות מהדקות את הפיקוח על השימוש והאבטחה של המידע האישי שאוספות חברות באמצעות השירותים שהן מספקות באמצעות האינטרנט, ויש לכך השלכות גם על ישראל. החודש, הותקנו תקנות חדשות של משרד המשפטים הישראלי, המטילות חובות נוספות על ארגונים בישראל המחזיקים מאגרי מידע, שבהם פרטים על תושבי האיחוד האירופי.
האיחוד האירופי מתבלט כמוביל עולמי בשמירת הפרטיות ברשת, מתוך חשש של זליגת מידע אישי מתוך לגורמים שלא קיבלו אישור.
מדוע יצאו כעת התקנות הישראליות?
התקנות החדשות נועדו לשמור על תאימות בין התקנות האירופיות לישראליות בכל הנוגע למידע על תושבי אירופה. כיוון שהחוק הישראלי אינו תואם לאיחוד האירופי, ישראל מעוניינת ביצירת התאימות, שמיועדת להקל על עסקים ישראלים לפעול באירופה.
2. על מי חלות תקנות הפרטיות החדשות?
התקנות חלות על כל מי שמחזיקים במידע אישי שהועבר מהאיחוד האירופי. אלו יכולים להיות גופים שיש להם לקוחות באירופה או כאלו שמעסיקים עובדים אירופאים. למשל, גופי תיירות, מחקר, חברות הייטק, בעלי עסקים פרטיים וכמובן משרדי ממשלה.
3. מה קובעות התקנות החדשות?
התקנות קובעות כי בעל מאגר מידע ייאלץ למחוק מידע אישי של תושבי אירופה שיבקשו זאת, אם המידע נאגר בניגוד לדין או שאין בו יותר צורך למטרה שלשמה נאסף. ב'מאגרי מידע' הכוונה לכל רשימה של פרטי לקוחות הכוללת את פרטיהם האישיים, כולל אתרי אינטרנט, אפליקציות וכו'.
רובנו חווינו, יותר מפעם אחת, סיטואציה במסגרתה מילאנו פרטים או נתנו את המידע האישי שלנו לבית עסק כדי להצטרף למועדון חברים ולקבל הנחות. פתאום הוצפנו בבקשות והצעות מכל מיני גורמים, שמעולם לא פנינו אליהם וככל הנראה קיבלו את המידע האישי שלנו בדרך עקיפה. סעיף זה הוא מהותי למי שמעוניין לקבל חזרה את השליטה במידע פרטי.
אזרחי ישראל, אגב, לא נהנים מאותה הגנה משום שהחקיקה הישראלית חסרה את "הזכות להישכח" או במילים אחרות את האפשרות לדרוש למחוק את המידע אודותיהם.
לפי התקנות, הבקשה למחיקה צריכה להיות מוגשת בכתב, ויש לכך סייגים. ניתן לא למחוק אם המידע נדרש לחופש ביטוי, חובה חוקית, הליך משפטי, או מניעת מעשים שבניגוד לדין. בנוסף, במקום מחיקה אפשרי גם לעשות אנונימיזציה שלמעשה תמנע את האפשרות לזהות למי נוגע המידע. למשל, אם מדובר בחברת מחקר ששומרת פרטים על הרגלי קנייה ברשת, היא יכולה לשמור את הפרטים על הרגלי קנייה אבל למחוק כל סימן מזהה שיקשור אותם לאדם כלשהו. כלומר, רישום איזה מוצרים נרכשו, אבל בלי לשמור את המידע על זהות הרוכש שכולל שם, פרטי קשר, כתובת ועוד.
בעל מאגר מידע שקיבל מידע מאחר על אודות אדם, יודיע לו שקיבל אותו, ויודיע לו גם לפני שהוא מעביר את המידע לאחר. גם כאן, מדובר בסעיף שהוא מהותי כדי לשמר שליטה, ולו מסוימת, על הפרטים האישיים של תושב אירופה שפרטים עליו עוברים כמטבע מסוחר לסוחר.
בעל מאגר מידע יבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ וימחק את המידע המיותר - התקנות מיישרות קו עם מגמת הגמילה של עסקים לצבור כמה שיותר מידע על לקוחות מתוך מחשבה שזה עוזר להם לזהות צרכים, העדפות ולהגביר מכירות.
אולם פעמים רבות, עודף מידע אינו מסייע לעסקים אלא מכביד על מציאת נתונים איכותיים, תוך שמאגרי המידע ניתנים לפריצה ודליפת פרטים. במילים אחרות אם לא קיים צורך שבית עסק ישמור מידע מסוים, עליו פשוט לא לעשות זאת.
בעל מאגר מידע יבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן.
4. האם התקנות החדשות באמת מתמודדות עם בעיית הפרטיות בעולם המודרני?
הטכנולוגיה ממשיכה להתקדם והמשפט לעולם לא יקדים אותה, אבל אין ספק שיש להתקנא בנחישות האיחוד האירופי להגן על תושביו ולנסות לסתום את הפרצות. חבל מאוד שהממשלה לא מקדמת הגנה דומה על אזרחי ישראל. תקנות אבטחת מידע החדשות בארץ דווקא ממתינות לטיפול, ויש לקוות שהן יקודמו ויאושרו בקרוב.
עו"ד אלדר סיון מתמחה במשפט מסחרי, טכנולוגיה וקניין רוחני, שותף במשרד ESBM עורכי דין.