עו"ד שמרלינג מהרשות להגנת הפרטיות: "הפרטיות לא מתה"

עו"ד לימור שמרלינג-מגזניק בכנס של אורקל: "מאי 2018 הוא רגע המפץ הגדול שבגללו יועצים משפטיים עובדים בשבועות האחרונים שעות נוספות" ■ "העובדה שכמעט כל ארגון יהיה חייב בחובת דיווח על כל אירוע אבטחת מידע חמור במאגרי המידע שלו, היא לא פחות מאשר מהפכה"

לימור שמרלינג בכנס, היום / צילום :עזרא לוי
לימור שמרלינג בכנס, היום / צילום :עזרא לוי

"הפרטיות לא מתה" - זה היה המסר שניסתה להעביר היום (ג') עו"ד לימור שמרלינג-מגזניק מהרשות להגנת הפרטיות במשרד המשפטים, בכנס שקיימה חברת אורקל במשרדיה בפתח-תקווה. הכנס עסק בהיערכות ל-GDPR, סט הכללים המחמירים של האיחוד האירופי בתחום הפרטיות, שייכנס לתוקף ב-25 במאי השנה. "ארגונים שלא יעמדו בכללים עשויים לספוג קנסות כבדים", מודגש באתר האיחוד.

"מאי 2018 הוא רגע המפץ הגדול שבגללו יועצים משפטיים עובדים בשבועות האחרונים שעות נוספות", אמרה שמרלינג-מגזניק. "העובדה כי כמעט כל ארגון יהיה חייב בחובת דיווח על כל אירוע אבטחת מידע חמור במאגרי המידע שלו היא לא פחות מאשר מהפכה".

מטרת הרגולציה החדשה היא הגנה על אזרחי האיחוד האירופי מהפרות פרטיות וזליגת מידע. הכללים יחולו על כל חברה בעולם שמחזיקה במידע על אזרחי האיחוד - אתרי מסחר אלקטרוני, שירותי תוכנה כשירות, טכנולוגיות אנליזה וביג דאטה, שירותי ניתוח צרכנים ועוד. חברות שיפרו את הכללים עלולות לספוג קנסות בגובה 4% מהכנסותיהן, עד רף של 20 מיליון יורו, ללא צורך באישור בתי המשפט.

בין הכללים החדשים חובה על מינוי קציני הגנת מידע בחברות, במקביל למנהלי אבטחת המידע; תיעוד מפורט של כל תהליכי עיבוד המידע; החברות יחויבו להקל על לקוחות לבקש פירוט של כל המידע שנאסף עליהם, ולמסור אותו במלואו; ו"הזכות להישכח", המחייבת את החברות למחוק מידע על אזרחים שמבקשים זאת.

ההיערכות הישראלית לכללים נעשית בין השאר באמצעות תקנות חדשות לחוק הפרטיות, שייכנסו לתוקף במקביל לרגולציה האירופית. שמרלינג-מגזניק הסבירה כי בדומה לרגולציה האירופית, החוק הישראלי מחייב למנות מנהל לכל מאגר מידע וממונה אבטחת מידע. "כבר היום יש זכות לפרטיות, יש זכות עיון", הוסיפה, עם זאת, "הרגולציה כוללת אכיפה פחות אינטנסיבית, קנסות פחות גבוהים. הדברים החדשים ב-GDPR מכניסים אותנו לעידן חדש של הרחבה משמעותית גם של זכויות הפרט וגם של האכיפה.

"האירופאים, מתוך תפיסתם שהם רוצים להנחיל את הנורמות שלהם שהם חושבים שצריכות לחול על כל אדם, יצרו אפשרות להכיר במדינה אחרת שהיא לא חלק מהאיחוד האירופי כמדינה שיש לה הגנה נאותה על פרטיות. ההכרה מאפשרת להעביר מידע על אזרחים אירופים מחוץ לאירופה לאותה מדינה שעומדת בכללים. ישראל קיבלה את התו הזה ב-2011. אנחנו בהידברות עם האירופים. עכשיו יש עולם חדש, כללים חדשים. מי שצריך ליזום חקיקה חדשה זו המדינה ואנחנו מצמצמים את הפער מול האירופים. עשינו מסמך פנימי בממשלה של Gap analysis".

בנוגע למצב הנוכחי בישראל אמרה שמרלינג-מגזניק: "סעיף 17 של חוק הגנת הפרטיות, שעוסק באבטחת מידע לא כולל ענישה פלילית. יש סעיפים אחרים שהם סעיפי עבירות פליליות. למשל סעיף 16 החריף על שימוש שלא למטרה, שקובע עובד של ארגון שמשתמש במידע של הארגון שלא למטרת עבודתו עשוי להישלח ל-5 שנות מאסר. זה יכול להיות גם אדמיניסטרטור של דאטה בייס. יש לנו גם בהקשר הזה קריטריונים ומדיניות אכיפה, שהיא כלי מאוד משמעותי כדי לייצר גם הרתעה וגם מודעות. לא על כל דבר נלך ישר לאפיק הפלילי, אלא ייתכן שנעדיף את האפיק המנהלי. הרשות מונה כ-40 אנשים, מתוכם 14 חוקרי מחשב שמפקחים וחוקרים שמבצעים פעולות אכיפה. זו המחלקה הכי גדולה אצלנו, יותר מפי 2 מהמחלקות האחרות".

שמרלינג-מגזניק הוסיפה כי כחלק מהמהלך להגברת ההגנה על הפרטיות מבוצע בימים אלה ברשות ניתוח של מחדלי אבטחת מידע חמש שנים אחורה. פעולה אחרת היא העברת הדרכות לשופטים וקורסים לסטודנטים למשפטים. בחצי השני של השנה צפויה להתחיל לפעול ברשות יחידת ביקורת, שתבצע מאות ביקורות בשנה. "השנה הראשונה תוקדש יותר להטמעה ולהתאקלמות. נעשה ביקורות בשטח על ארגונים, ניתן תובנות מה צריך לשפר ומהם הליקויים שמצאנו. אם יהיו ליקויים רציניים נעביר לטיפול יותר 'קשוח'".

לשאלה מהקהל על המאגר הביומטרי השיבה שמרלינג-מגזניק: "אין ספק שחוק הגנת הפרטיות זקוק לעדכון. יש כבר היום בארץ הגדרה מעודכנת ורחבה של מידע. התפיסה הכוללת היא שמידע ביומטרי בוודאי ייכנס לחוק".