חוק הגנת הפרטיות לא מספיק
בתזכיר לתיקון חוק הגנת הפרטיות מציעה הרשות למשפט, טכנולוגיה ומידע לשנות את הכללים החלים כיום, ובמקומם לקיים כללי עבודה לשמירה של החברות על מאגרי המידע שלהן ולחייבן לתעד כללים אלו במסמכים. עו"ד אביטל שינקאי חושבת שאפשר לעשות יותר
הגנה לישראל
| 19/05/2011
עו"ד אביטל שינקאי, ראש תחום טכנולוגיה וקניין רוחני במשרד עו"ד שנהב, קונפורטי שביט ושות' (יח"צ)
האם חברות יכולות לשמור נתונים אודות לקוחות, ספקים, עובדים ו/או כל מאגר אחר ללא כל הגבלה? על פי חוק הגנת הפרטיות ישנה חובה לרשום אצל רשם מאגרי המידע כל מאגר מידע המכיל מידע רגיש או מידע של מעל 10,000 איש או מידע על אנשים שהמידע לא נמסר על ידיהם או בהסכמתם. עם זאת, בשל העומס המוטל על כתפיה, נראה כי לרשות למשפט, טכנולוגיה ומידע האמונה, בין היתר, על פעילות רישום מאגרי המידע, אין די משאבים על מנת לאכוף בצורה משמעותית את חובת הרישום.
למרות כי ניתן לראות שלעיתים, נוקטת הרשות בצעדים קיצונים במקרים בהם חברות גדולות פועלות בניגוד לחוק, כפי שפעלה למחיקת מאגר המידע של נס טכנולוגיות, לאחרונה, נראה שיש צורך להתמודד עם הסוגיה הזו בצורה משמעותית יותר. רמו"ט אכן מודה כי "חובת הרישום, ככלל, אף לא מהווה אמצעי פיקוח מהותי של הממונה...". בדברי ההסבר בתזכיר לתיקון חוק הגנת הפרטיות היא מציעה לשנות את הכללים החלים כיום ובמקומם לקיים כללי עבודה לשמירה של החברות על מאגרי המידע שלהם ולחייבן לתעד כללים אלו במסמכים. רמוט מוסיפה עוד כי "בשנים האחרונות התעוררו ספקות לעניין האפקטיביות של הרישום ומידת הרלוונטיות של ההסדר למציאות הטכנולוגית הנוכחית". נדמה אם כן, כי משרד המשפטים מאמין כי לכללי עבודה מסודרים של מנהלי מאגרי המידע תביא להגנה טובה יותר על פרטיות האזרחים.
השאלה שעולה הינה האם הפתרון המוצע הינו הפתרון הנכון אשר באמת יש בו כדי להגביר את המודעות ואת אופן ניהול ושמירת מאגרי הנתונים על ידי חברות. יש לבחון נושא זה מתוך ההבנה כי לא מדובר רק במאגרי מידע בולטים של חברות מסחריות גדולות, אלא גם על קיומם של עשרות אלפי מאגרי מידע קטנים המוחזקים על ידי גורמים פרטיים ועסקים קטנים ובינוניים. מאגרים אלה חשופים לא פחות למתקפות סייבר או אפילו לכשלי אבטחת מידע הנובעים מניהול לקוי של המאגרים.
במקרה כזה עולה השאלה האם יצירת כללי עבודה ותיעודם על ידי החברות באמת ימנעו את החשיפות האלה. ברור כי ככל שמדובר במקרים כמו מתקפה של האקרים סעודים המאפשרת דליפת מידע, ישנו קונצנזוס על פיו יש להחמיר את הדרישות החלות על הגורמים המחזיקים מאגרי מידע רגישים כאלה. אבל מוטב להסתכל קדימה ולדמיין מה יקרה בעוד מספר שנים כאשר הפרטים האישיים שלנו יופיעו במספר רב של מאגרי מידע הפזורים בין חברות רבות, והאם אנו מעוניינים שבעלי מאגרי המידע יחויבו רק בכללי עבודה כפי שהינם מנויים בתזכיר או שמא נרצה להטיל עליהם התחייבות לעמוד בכללים מחמירים יותר.
ראוי לציין, כי התזכיר מציע לכלול רבדי הגנה נוספים כגון להטיל עיצומים כספיים בהפרות מסוימות ולהוסיף עבירות פליליות ככל שמדובר בהתנהגויות המבוצעות בכוונה להטעות את הממונה על מאגר המידע. נראה כי מנגנוני הגנה כאלה יכולים להרתיע בצורה אפקטיבית יותר בעלי מאגרי מידע באשר לאופן ניהול מאגרי המידע שברשותם. הדירקטיבה האירופאית פועלת בצורה משמעותית להכללת סנקציות חמורות כגון אלה במקרים של הפרות בשמירה וניהול מאגרי מידע מתוך ההבנה כי יש לשמור על הפרטיות ככל הניתן כאשר מדובר במרחב הקיברנטי. לטעמנו, על רמו"ט גם לשקול מנגנונים נוספים כגון הגדרת קריטריונים קשיחים לאבטחת מידע, או לכלול הוראות ברורות יותר לגבי אופן יידוע האנשים שהפרטים אודותיהם נשמרים במאגר.
עו"ד אביטל שינקאי היא ראש תחום טכנולוגיה וקניין רוחני במשרד עוה"ד שנהב, קונפורטי שביט ושות'
האם חברות יכולות לשמור נתונים אודות לקוחות, ספקים, עובדים ו/או כל מאגר אחר ללא כל הגבלה? על פי חוק הגנת הפרטיות ישנה חובה לרשום אצל רשם מאגרי המידע כל מאגר מידע המכיל מידע רגיש או מידע של מעל 10,000 איש או מידע על אנשים שהמידע לא נמסר על ידיהם או בהסכמתם. עם זאת, בשל העומס המוטל על כתפיה, נראה כי לרשות למשפט, טכנולוגיה ומידע האמונה, בין היתר, על פעילות רישום מאגרי המידע, אין די משאבים על מנת לאכוף בצורה משמעותית את חובת הרישום.
למרות כי ניתן לראות שלעיתים, נוקטת הרשות בצעדים קיצונים במקרים בהם חברות גדולות פועלות בניגוד לחוק, כפי שפעלה למחיקת מאגר המידע של נס טכנולוגיות, לאחרונה, נראה שיש צורך להתמודד עם הסוגיה הזו בצורה משמעותית יותר. רמו"ט אכן מודה כי "חובת הרישום, ככלל, אף לא מהווה אמצעי פיקוח מהותי של הממונה...". בדברי ההסבר בתזכיר לתיקון חוק הגנת הפרטיות היא מציעה לשנות את הכללים החלים כיום ובמקומם לקיים כללי עבודה לשמירה של החברות על מאגרי המידע שלהם ולחייבן לתעד כללים אלו במסמכים. רמוט מוסיפה עוד כי "בשנים האחרונות התעוררו ספקות לעניין האפקטיביות של הרישום ומידת הרלוונטיות של ההסדר למציאות הטכנולוגית הנוכחית". נדמה אם כן, כי משרד המשפטים מאמין כי לכללי עבודה מסודרים של מנהלי מאגרי המידע תביא להגנה טובה יותר על פרטיות האזרחים.
השאלה שעולה הינה האם הפתרון המוצע הינו הפתרון הנכון אשר באמת יש בו כדי להגביר את המודעות ואת אופן ניהול ושמירת מאגרי הנתונים על ידי חברות. יש לבחון נושא זה מתוך ההבנה כי לא מדובר רק במאגרי מידע בולטים של חברות מסחריות גדולות, אלא גם על קיומם של עשרות אלפי מאגרי מידע קטנים המוחזקים על ידי גורמים פרטיים ועסקים קטנים ובינוניים. מאגרים אלה חשופים לא פחות למתקפות סייבר או אפילו לכשלי אבטחת מידע הנובעים מניהול לקוי של המאגרים.
במקרה כזה עולה השאלה האם יצירת כללי עבודה ותיעודם על ידי החברות באמת ימנעו את החשיפות האלה. ברור כי ככל שמדובר במקרים כמו מתקפה של האקרים סעודים המאפשרת דליפת מידע, ישנו קונצנזוס על פיו יש להחמיר את הדרישות החלות על הגורמים המחזיקים מאגרי מידע רגישים כאלה. אבל מוטב להסתכל קדימה ולדמיין מה יקרה בעוד מספר שנים כאשר הפרטים האישיים שלנו יופיעו במספר רב של מאגרי מידע הפזורים בין חברות רבות, והאם אנו מעוניינים שבעלי מאגרי המידע יחויבו רק בכללי עבודה כפי שהינם מנויים בתזכיר או שמא נרצה להטיל עליהם התחייבות לעמוד בכללים מחמירים יותר.
ראוי לציין, כי התזכיר מציע לכלול רבדי הגנה נוספים כגון להטיל עיצומים כספיים בהפרות מסוימות ולהוסיף עבירות פליליות ככל שמדובר בהתנהגויות המבוצעות בכוונה להטעות את הממונה על מאגר המידע. נראה כי מנגנוני הגנה כאלה יכולים להרתיע בצורה אפקטיבית יותר בעלי מאגרי מידע באשר לאופן ניהול מאגרי המידע שברשותם. הדירקטיבה האירופאית פועלת בצורה משמעותית להכללת סנקציות חמורות כגון אלה במקרים של הפרות בשמירה וניהול מאגרי מידע מתוך ההבנה כי יש לשמור על הפרטיות ככל הניתן כאשר מדובר במרחב הקיברנטי. לטעמנו, על רמו"ט גם לשקול מנגנונים נוספים כגון הגדרת קריטריונים קשיחים לאבטחת מידע, או לכלול הוראות ברורות יותר לגבי אופן יידוע האנשים שהפרטים אודותיהם נשמרים במאגר.
עו"ד אביטל שינקאי היא ראש תחום טכנולוגיה וקניין רוחני במשרד עוה"ד שנהב, קונפורטי שביט ושות'
