פרטיות? אין בישראל חקיקה מפורשת המונעת מכירת מידע אישי
החקיקה לשמירת הפרטיות הקיימת בישראל אינה מכסה מקרים של מכירת מידע אישי באופן מפורש ומשאירה את הגולשים נתונים לחסדי פלפולים משפטיים
עמי רוחקס דומבה
| 31/12/2019
bigstockphoto
שאלת פרטיות המידע מטרידה בשנים האחרונות את משרד המשפטים הישראלי ולצידו מגוון ארגוני עסקיים. הסיבה לכך טמונה במספר רגולציות שיצאו בעולם כדוגמאת GDPR באירופה הנוגעת לאזרחים אירופאים ולאחרונה גם חקיקה בקליפורניה בשם CCPA שנגיע אליה בהמשך.
ובכן, רבות נכתב אודות הפרטיות בזווית הישראלית. בישראל ישנה חקיקה ישנה ולא עדכנית בשם "חוק הגנת הפרטיות". החקיקה קובעת את החובות המוטלות על בעל מאגר מידע שאוסף מידע אישי. אולם, זו חסרה הגדרות בסיסיות כמו מי הוא בעל מאגר. אמנם ישנם תיקונים מוצעים לחוק, אך עד שלא תקום ממשלה חדשה, רשות הפרטיות באמצעות משרד המשפטים אינה יכולה לעגן אותם. לכן, נכון להיום אין למשל חקיקה ייעודית המונעת מכירת מידע פרטי.
ברשות הפרטיות אומרים כי "אין חקיקה ספציפית המונעת מכירת מידע אישי. אולם, בחוק הגנת הפרטיות יש הגבלה על השימוש במידע, לרבות העברתו לאחר, אם הוא חורג מהסכמת הלקוח או מהמטרה לשמה נמסר ונאסף המידע."
עם זאת, עולה השאלה האם תנאי הפרטיות עליהם מסכים צרכן השירות בעת השימוש הראשון בשירות מספיק ברורים בהקשר זה. גם בהנחה והצרכן קורא את התנאים (בספק רב), בחלק לא מבוטל מתנאים אלו מצוין מפורשות כי הארגון שאוסף את המידע האישי שומר לעצמו את הזכות לחלוק אותם עם צד ג'. בחלק ניכר מהפעמים אף אין התייחסות מפורשת לשאלה האם הארגון מתכוון למכור מידע זה או להמנע מלעשות זאת.
ומה קורה כאשר ארגון אחד מעביר מידע לארגון אחר שמוכר אותם? האם ההסכמה מדעת של הצרכן להעביר פרטים לצד ג' מתירה לו לעשות זאת? בחלק גדול מהמקרים לא ברור מתנאי הפרטיות מה אותו צד ג' מתכוון לעשות במידע. ובכן, העדר חקיקה מפורשת בנושא מכירת מידע אישי מובילה לפרשנות משפטית. על פי פרסום של רשות הפרטיות, בעל מאגר מידע חייב לבדוק כי השימוש במידע הוא רק למטרה לשמה הוא נמסר. עם זאת, החוק לא מגדיר מיהו בעל מאגר או מה עושה עם המידע צד ג' שנחשף למידע כאמור. ולכן, כל מקרה דורש פרשנות משפטית.
נחזור לחוק בקליפורניה המדבר מפורשות על מכירת מידע אישי. על פי חוק זה, שיכנס לתוקף ביום רביעי, 1 בינואר, 2020, עסקים הפועלים במדינה ייאלצו לספק לצרכנים אפשרות לבטל את הסכמתם למכירת נתוניהם, למחיקת הנתונים שלהם, ולראות נתונים שנאספו עליהם. צרכנים רשאים לתבוע עסקים בסכום של עד 2,500 דולרים לכל הפרה ועד 7,500 דולרים בכל עת שהם עוקפים בכוונה את החוק. "צד שלישי לא ימכור מידע אישי על צרכן שנמכר לצד שלישי על ידי עסק אלא אם כן הצרכן קיבל הודעה מפורשת וניתנה לו אפשרות לממש את הזכות לביטול הסכמה זו", לשון החוק.
בדומה לקליפורניה, ראוי שמשרד המשפטים יגדיר מפורשות בחוק התייחסות למכירת מידע אישי של גולשים. עד אז, נצטרך לחכות לתקדימים משפטיים.
החקיקה לשמירת הפרטיות הקיימת בישראל אינה מכסה מקרים של מכירת מידע אישי באופן מפורש ומשאירה את הגולשים נתונים לחסדי פלפולים משפטיים
bigstockphoto
שאלת פרטיות המידע מטרידה בשנים האחרונות את משרד המשפטים הישראלי ולצידו מגוון ארגוני עסקיים. הסיבה לכך טמונה במספר רגולציות שיצאו בעולם כדוגמאת GDPR באירופה הנוגעת לאזרחים אירופאים ולאחרונה גם חקיקה בקליפורניה בשם CCPA שנגיע אליה בהמשך.
ובכן, רבות נכתב אודות הפרטיות בזווית הישראלית. בישראל ישנה חקיקה ישנה ולא עדכנית בשם "חוק הגנת הפרטיות". החקיקה קובעת את החובות המוטלות על בעל מאגר מידע שאוסף מידע אישי. אולם, זו חסרה הגדרות בסיסיות כמו מי הוא בעל מאגר. אמנם ישנם תיקונים מוצעים לחוק, אך עד שלא תקום ממשלה חדשה, רשות הפרטיות באמצעות משרד המשפטים אינה יכולה לעגן אותם. לכן, נכון להיום אין למשל חקיקה ייעודית המונעת מכירת מידע פרטי.
ברשות הפרטיות אומרים כי "אין חקיקה ספציפית המונעת מכירת מידע אישי. אולם, בחוק הגנת הפרטיות יש הגבלה על השימוש במידע, לרבות העברתו לאחר, אם הוא חורג מהסכמת הלקוח או מהמטרה לשמה נמסר ונאסף המידע."
עם זאת, עולה השאלה האם תנאי הפרטיות עליהם מסכים צרכן השירות בעת השימוש הראשון בשירות מספיק ברורים בהקשר זה. גם בהנחה והצרכן קורא את התנאים (בספק רב), בחלק לא מבוטל מתנאים אלו מצוין מפורשות כי הארגון שאוסף את המידע האישי שומר לעצמו את הזכות לחלוק אותם עם צד ג'. בחלק ניכר מהפעמים אף אין התייחסות מפורשת לשאלה האם הארגון מתכוון למכור מידע זה או להמנע מלעשות זאת.
ומה קורה כאשר ארגון אחד מעביר מידע לארגון אחר שמוכר אותם? האם ההסכמה מדעת של הצרכן להעביר פרטים לצד ג' מתירה לו לעשות זאת? בחלק גדול מהמקרים לא ברור מתנאי הפרטיות מה אותו צד ג' מתכוון לעשות במידע. ובכן, העדר חקיקה מפורשת בנושא מכירת מידע אישי מובילה לפרשנות משפטית. על פי פרסום של רשות הפרטיות, בעל מאגר מידע חייב לבדוק כי השימוש במידע הוא רק למטרה לשמה הוא נמסר. עם זאת, החוק לא מגדיר מיהו בעל מאגר או מה עושה עם המידע צד ג' שנחשף למידע כאמור. ולכן, כל מקרה דורש פרשנות משפטית.
נחזור לחוק בקליפורניה המדבר מפורשות על מכירת מידע אישי. על פי חוק זה, שיכנס לתוקף ביום רביעי, 1 בינואר, 2020, עסקים הפועלים במדינה ייאלצו לספק לצרכנים אפשרות לבטל את הסכמתם למכירת נתוניהם, למחיקת הנתונים שלהם, ולראות נתונים שנאספו עליהם. צרכנים רשאים לתבוע עסקים בסכום של עד 2,500 דולרים לכל הפרה ועד 7,500 דולרים בכל עת שהם עוקפים בכוונה את החוק. "צד שלישי לא ימכור מידע אישי על צרכן שנמכר לצד שלישי על ידי עסק אלא אם כן הצרכן קיבל הודעה מפורשת וניתנה לו אפשרות לממש את הזכות לביטול הסכמה זו", לשון החוק.
בדומה לקליפורניה, ראוי שמשרד המשפטים יגדיר מפורשות בחוק התייחסות למכירת מידע אישי של גולשים. עד אז, נצטרך לחכות לתקדימים משפטיים.
