ישראל מוכרת על ידי האיחוד האירופי כמדינה בעלת הגנה מספקת על מידע אישי מאז 2011, וכך מתאפשר לחברות טכנולוגיות ישראליות רבות לספק את שירותיהן באירופה בקלות יחסית. ישראל היא אחת מ-13 מדינות מחוץ לאיחוד האירופי שזכו להכרה הזו, בהן קנדה, ארגנטינה, ניו-זילנד ויפן. אולם הדבר הזה עשוי להשתנות בקרוב.
כחלק מקביעות תקנות הפרטיות האירופיות (GDPR), האיחוד בוחן בימים אלה מחדש את מעמדן של המדינות שהוכרו, ובהן ישראל. מומחי פרטיות מזהירים כי בזמן שמדינות בעולם התקדמו מבחינת חקיקת הפרטיות שלהם, ישראל נשארה מאחור, וזה עלול לעלות לה ביוקר. מהדברים עולה כי חוקי הפרטיות המיושנים של ישראל, שורה של חוקים ותקנות מהשנים האחרונות, הנוגדים עקרונות של פרטיות מידע, מדיניות ביטחון הפנים הישראלית ואיכוני השב"כ - כולם צפויים לפגוע בהכרה האירופית ולהחזיר את העברת המידע בין ישראל ואירופה עשור אחורה.
"רק ישראל קפאה על שמריה"
פרופ' מיכאל בירנהק, מרצה בפקולטה למשפטים באוניברסיטת תל אביב, היה יועץ לאיחוד האירופי והיה מעורב בתהליך ההכרה בישראל לפני כעשור. לדבריו, "המון מדינות תיקנו את המדיניות שלהן בשנים האחרונות וכולן מסתכלות על ה-GDPR כמנגנון הפרטיות המתקדם ביותר, ורק ישראל קפאה על שמריה". הוא מוסיף שמלכתחילה, "ההכרה האירופית הסתמכה על כך שממשלת ישראל אמרה שתתקן כמה דברים בחקיקה, אך לא תיקנה אותם עד היום הזה. לפני שנתיים תוקנו בישראל תקנות בנושא אבטחת מידע שנכנסו לתוקף, אבל היו אלה תקנות ולא חקיקה. עדיין יש הרבה דברים שיש שם ואין אצלנו", הוא אומר. "למשל, הזכות להישכח, הזכות של אזרח לחזור בו מהסכמה שנתן לעיבוד המידע האישי שלו, ודרישה פורמלית שתכלית איסוף המידע שחברה מציגה תהיה לגיטימית".
"הרשות לפרטיות מתגלה בחולשתה"
לפי ד"ר תהילה שוורץ-אלטשולר, חוקרת בכירה במכון הישראלי לדמוקרטיה, ישראל לא התקדמה מבחינת חקיקת פרטיות משלוש סיבות: מעמדה ההולך ונחלש של הרשות להגנת הפרטיות בעשור האחרון; קשיים במודל של תיקוני חקיקה בישראל; וחוסר הבנה של המדינה את החשיבות הגדולה של סוגיית הפרטיות בעולם מבוסס הדאטה של ימינו. "זה סיפור טראגי על רשות שלא הצליחה לממש את הפוטנציאל שלה. ובאמת טראגי, כי בעשור האחרון פרטיות הפכה לנושא חשוב בכל התחומים - ברפואה, בפיננסים בזיהוי פנים ובאפליקציות להצבעה בבחירות", היא אומרת.
"היום, הרשות יכולה להגיש תיקים פליליים, אבל אין לה את היכולת לתת קנסות מנהליים. יש תיקון חקיקה לסמכויות רשויות הגנת הפרטיות שעוסק בסמכות להטיל קנסות, שנקרא תיקון 13, והוא שוכב על שולחן הכנסת כבר 10 שנים. בינתיים, רשויות אחרות עקפו בסיבוב את הרשות להגנת הפרטיות. למה הרשות להגנת הצרכן קיבלה כבר לפני שנתיים סמכות להטיל קנסות והרשות להגנת הפרטיות לא?".
לדבריה, "היה חסר פה לחץ פוליטי של מישהו עם שיניים שידחוף את הדבר הזה. מי שעמד בראש הרשות לא היה אדם חזק לאורך זמן, ובשנה וחצי האחרונות יש קיפאון בכל המינויים ברשויות הציבוריות. כך, הרשות להגנת הפרטיות מתגלה בחולשתה, כי היא לא הצליחה לדאוג לעצמה ולכן אין לה סמכויות לדאוג לאחרים".
המצב הזה נובע הן מהסיבות הפרסונליות, והן מחוסר הבנה של חשיבות הנושא במשרד המשפטים. "מאז ה-GDPR, המון מדינות בשנים האחרונות מעדכנות את חוקי הפרטיות שלהן בשביל תאימות עם אירופה. גם במערב וגם בדמוקרטיות האסיתיות, טייוואן ודרום קוריאה. גם בארה"ב, בקליפורניה עבר חוק פרטיות חדש ושתי הצעות חוק פדרליות מונחות על שולחן הקונגרס - אחת דמוקרטית ואחת רפובליקנית. כלומר יש הבנה רחבה שנדרש עדכון. בישראל, עד היום אין אפילו טיוטה לתיקון ולא ראינו טקסט".
קשה מאוד להעביר חקיקה בישראל
הגישה הזו השאירה את מדינת ישראל עם חוק מיושן, שלא כולל התייחסות לסוגיות משמעותיות בנוגע לפרטיות כיום. למשל, החוק מתייחס לאיסוף מידע ולפרסומו - למשל, האם מותר להקליט הקלטות סתר או לצלם לתוך ביתו של אדם, והאם מותר לפרסם את המידע הזה. עם זאת, החוק לא מתייחס לעיבוד נתונים כלל, דבר שכיום עומד בבסיסו של כל עסק טכנולוגי. דוגמה נוספת היא הזכות לתובענה ייצוגית של צרכנים שנפגעו מדליפת מידע אישי שלהם, למשל ישראלים שנפגעו מפרשת קיימברידג' אנליטיקה.
בנוסף לכך, שוורץ-אלטשולר מתארת מנגנון מסורבל שמעכב תיקוני חקיקה בכל תחום בישראל: "הובלתי בשנים האחרונות צוות מומחים וניסחנו הצעת חוק פרטית מעודכנת, אבל קשה מאוד להעביר חקיקה בישראל. במובן הזה, הזכות לפרטיות היא דוגמה שמלמדת על תופעה הרבה יותר בעייתית", היא אומרת. "אם זה היה תלוי ברשות להגנת הפרטיות, היא הייתה מקדמת תיקוני חקיקה, אבל אז מגיעה מחלקת ייעוץ וחקיקה במשרד המשפטים, שהיא צוואר בקבוק ידוע בכל הנוגע לתיקוני חקיקה, ואומרת שאין לה משאבים להקצות ושנחכה עוד שנה ועוד שנתיים.
"אבי ליכט, בדיוק כשסיים את תפקידו של היועץ המשפטי לממשלה, אמר בכנס שארגנתי בנושא, שאין שום סיכוי להעביר חקיקה בסדר גודל כזה בישראל היום. אין אפשרות לגמור לעבוד עליה בייעוץ וחקיקה, אין אפשרות בוועדת השרים לחקיקה או ועדות הכנסת, כי זו הצעה ארוכה ואין קשב. ישראל עד היום לא הסדירה את הנושא של תיקוני חקיקה, ועובדת במנגנון לא יעיל, בטח לא רק ביחס לפרטיות, וזה מנגנון שלא מתפקד טוב".
עו"ד חיים רביה, מומחה להגנת הפרטיות ממשרד פרל כהן, סבור כי לא רק שישראל לא התקדמה מספיק מבחינת פרטיות, אלא אף חזרה לאחור: "המדינה הלכה אחורה מאז שנחתמו ההסכמים עם אירופה. היא לא עמדה בהתחייבות שנתנה לאירופה להוסיף סמכויות אכיפה לרשות להגנת הפרטיות; ישראל לא עדכנה את החוק המיושן שלה מ-1981; וישראל חוקקה שורה של חוקים שפוגעים באופן מאסיבי בפרטיות: חוק המאגר הביומטרי, חוק נתוני התקשורת וחוק נתוני האשראי. כל אחד מהם מעביר לחזקת המדינה מידעים מאוד אינטימיים על כל אחד מאיתנו".
עו"ד חיים רביה / צילום: תומר יעקובסון
במסגרת הבדיקה שמבצע האיחוד, משרד המשפטים הישראלי הגיש דוח המתאר את מדיניות הפרטיות במדינה, על בסיסו צפוי האיחוד לגבש את החלטתו. הדוח הוגש ב-2017, ולא נחשף עד היום. הוא אמור לספק לאיחוד הוכחות כי חוקי הפרטיות בישראל תואמים את עקרונות האיחוד, ולכן מעבר חופשי של מידע של אזרחים אירופיים לישראל, לא יפר את זכויותיהם. לפי גורם המעורה במגעים בין ישראל לאיחוד בעניין זה, ישראל ככל הנראה אינה יכולה לעמוד בדרישות האיחוד, אך עושה ככל שבכוחה כדי להציג בדוח מצג כאילו היא עומדת בהן. אותו גורם סבור כי זו הסיבה שהמסמך נחשב לרגיש: אם ייחשף, הוא עלול להיות מוקד לביקורת שעשויה לעורר שאלות מצד האיחוד.
הגישה האירופית: קולוניאליזם חקיקתי
קריאות המומחים למדינת ישראל "להתיישר" עם הדין האירופי אינן מובנות מאליהם, והם עצמם מצביעים על הקושי שבעניין. הם טוענים כי החקיקה האירופית כוללת רכיב קולוניאליסטי, כזה הכופה את המודל האירופי על מדינות העולם האחרות. "ה-GDPR עושה דבר מאוד חריג בחקיקה ואפילו ביחסים בינלאומיים. חוק חל על הטריטוריה שחוקקה אותו. לא ה-GDPR, הוא מושיט יד אל מחוץ לגבולות הטריטוריה וחל על ארגונים מחוץ לאיחוד האירופי המבקשים להציע שירותים ומוצרים ליחידים באיחוד, או אפילו לנטר את התנהגותם", אומר רביה.
לדבריו, "ה-GDPR אוסר על העברת מידע מהאיחוד האירופי למדינות שמחוצה לו, אלא אם כן הוכרו כתואמות את אמות המידה להגנה על מידע אישי. הוא פועל להרחיב את מוטת השליטה שלו גם בדרכים אחרות: ארגון באיחוד הנעזר בספקי שירותים לעיבוד מידע מחוץ לאירופה, חייב להכפיף אותם להוראות חוזיות המשקפות את עקרונות החוק ביבשת".
"למה אכפת לנו מה אירופה אומרת? למה אירופה חושבת שיש לה את הזכות הזו? יש פה קולוניאליזם לא מבוטל", אומרת גם שוורץ-אלטשולר, "אבל אפילו אם זה קולוניאליזם, בהינתן המצב מדינת ישראל לא יכולה להרשות לעצמה לאבד את התאימות מול אירופה. הנזק שייגרם לישראל הוא גדול, בעיקר לחברות הקטנות ולסטארט-אפים ולמחקר האקדמי. החברות הגדולות יקחו עורכי דין טובים ויתאימו את עצמן לגמרי ל-GDPR , אבל לחברות הקטנות ולחוקרים באקדמיה לא יהיה כסף לעשות את זה".
ד"ר תהילה אלטשולר-שוורץ / צילום: איל יצהר, גלובס
"דבר נוסף הוא שבגלל ההגבלות באירופה, אם ישראל לא תקבל את האישור הזה, היא עלולה להפוך לחצר האחורית של אירופה מבחינת ניסויים במידע. אם באירופה יש מגבלות על השימושים שניתן לעשות בדאטה פרטי, אז יבואו חברות בינלאומיות ויגידו - אנחנו רוצות לעשות ניסויים ומחקרים על דאטה של ישראלים, כי פה מותר ובאירופה אסור. לנו, הישראלים יש זכות שיגנו על הפרטיות שלנו, בלי קשר לאירופה. בגלל שאירופה היא הסטנדרט היום בהגנה על פרטיות, מגיע לנו שיגנו עלינו כמו באירופה".
"זה ברור שההכרה הקלה מאוד על עסקים קטנים ובינוניים. מהעסקים הגדולים אני פחות מוטרד, כי על פי רוב הם ממילא מעסיקים אנשים שמתמחים בנושא הזה ויש להם את היכולת הכספית לשלם על כך", מסכים בירנהק, אך גם הוא לא מסתפק במחיר הכלכלי שישראל צפויה לשלם אם תאבד את ההכרה, ומזהה גם מחיר גיאו-פוליטי. "אם ישללו לנו את ההכרה, יהיה לזה גם מחיר פוליטי. ממשלת ישראל פנתה לאיחוד האירופי ב-2008 וביקשה את ההכרה הזו - ואם היא תישלל, זו פגיעה במישור הבינלאומי".
"איך ישראל קיבלה הגנה מלכתחילה?"
בדיון שנערך בנושא הכרת הפרטיות של האיחוד האירופי בסוף השבוע, ושודר בשידור חי לכמה מאות צופים, נציבת הפרטיות של אירלנד, הלן דיקסון, בחרה לעצור את הדיון שנגע בהצפנת מידע פרטי, ולהתייחס לשאלה מהקהל: "מישהו שאל ‘איך ישראל בכלל קיבלה התאמה מראש?'", היא אמרה וצחקה, "טוב, זו שאלה טובה". מדובר אמנם בהתבטאות קצרה במיוחד בעניין, אך בעלת משמעות כשהיא מגיעה מנציבת פרטיות המידע של אירלנד - מדינה בה ממוקמים המטות של מרבית חבורת הטכנולוגיה האמריקאיות הגדולות.
הלן דיקסון / צילום: צילום מסך
הדיון התקיים בעקבות פסק הדין שנתן בית הדין הגבוה של האיחוד האירופי בשבוע שעבר, בנוגע להסכם העברת המידע של אירופה עם ארה"ב. תוצאותיו של פסק הדין יילקחו בחשבון בעת הבחינה שעורך האיחוד עבור ההסכמים הקיימים האחרים - גם עם ישראל.
בשנים האחרונות, מעמדה של ארה"ב מול אירופה בנושאי פרטיות התבסס על הסכם "מגן הפרטיות", שהחליף את הסכם הנמל הבטוח. ההסכם איפשר לחברות אמריקאיות להכפיף את עצמן באופן וולונטרי לדיני הפרטיות האירופיים וכך לבצע העברה חופשית של נתונים מהמדינה. ב-2015, מקס שריימס, עורך דין ופעיל זכויות אדם, ערער על חוקיות ההסכם הזה, בעקבות גילויי אדוארד סנודן. סנודן חשף שסוכנויות הביון בארה"ב יכולות לקבל בפועל גישה למידע שנשמר בשרתים בארה"ב, גם על אזרחים אירופאים.
לאחר שנים של דיונים, בשבוע שעבר, בית הדין האירופי קבע שמדיניות ביטחון הפנים האמריקאית נוגדת את תקנות הפרטיות של האיחוד ומסכנת את פרטיותם של אזרחי אירופה, ולכן ביטל את מעמדה של ארה"ב כשותפה להעברת מידע פרטי מאירופה.
"איתות מדאיג במיוחד עבור ישראל"
מומחי פרטיות ומשפט שלחו במהלך סוף השבוע מכתב ליועמ"ש אביחי מנדלבליט ולשר המשפטים אבי ניסנקורן, וכן לוועדת החוץ והביטחון, בו הם מזהירים מפני גורל דומה לישראל. הם כתבו כי על ישראל לקדם חקיקת פרטיות חדשה שתחליף את החקיקה הקיימת מ-1981, ולבטל את סמכויות השב"כ למעקב אחרי אזרחים - וזאת על מנת לשמור על מעמדה כמדינה המוכרת כשומרת על פרטיות על ידי האיחוד האירופי.
"כלכלת ישראל, ופעולתם התקינה של ארגונים, מוסדות שלטון ומחקר, תלויים בתנועה חופשית של מידע אישי. פגיעה בפעילותם, המצטרפת למשבר הכלכלי החריף שכבר שורר בישראל, עלולה להביא עימה תוצאות קשות ובלתי צפויות", הם כתבו. בין החתומים על המכתב: עו"ד נעמה מטרסו, המומחית במשפט ופרטיות, פרופ' בירנהק, ד"ר אורנה ברי, עו"ד יורם הכהן, פרופ' קרין נהון, עו"ד רביה וד"ר שוורץ-אלטשולר.
לדברי בירנהק, פסק הדין שניתן בעניין ההסכם עם ארה"ב מהווה "איתות מדאיג במיוחד עבור ישראל". לדבריו, "אם יש מידע אירופי שעובר לישראל, עולה שאלה האם לגורמי הביטחון בישראל יכולה להיות גישה למידע הזה, באיזה צורה והאם זה מידתי. הזהרנו את שר המשפטים ובמכתב נוסף שמוען לוועדת החוץ והביטחון, שישימו לב שאיכון השב"כ בשל הקורונה, מלבד כל הבעיות האחרות איתו, עלול להקשות את הסטטוס של ההכרה האירופית".
מיכאל בירנהק / צילום: איל יצהר, גלובס
לדברי רביה, גם הוא בין החתומים, "התחקות השב"כ אחרי כל אחד מאיתנו במסגרת הסיוע למאבק בקורונה, לא רק שהיא חמורה בפני עצמה, היא גם חשפה את העובדה שהשב"כ מתחקה אחרי כל אחד מאיתנו כל הזמן באמצעות מאגר מידע המכונה ‘הכלי'. אנו רואים שבאירופה בוחנים את החקיקה בנוגע לביטחון לאומי וכיו"ב בכל מדינה, כדי להחליט על תאימותה. ארה"ב ואירופה מקיימות ביניהן סחר רחב מאוד, יותר מישראל, ועדיין רשויות החוק שם לא היססו לבטל את ההסדר איתה".
גילוי מלא: ד"ר תהילה שוורץ-אלטשולר חיברה את הקוד האתי של "גלובס"
מה המעמד של ישראל מול אירופה?
ב־2011 ישראל זכתה להכרה כמדינה שמגינה על פרטיות, תחת הבטחה שתעדכן את חוקי הפרטיות שלה בהמשך, דבר שאיפשר לקדם את קשרי המסחר הדיגיטלי עם אירופה. בימים אלו מעמדה נבחן מחדש.
מה מצב חקיקת הפרטיות בישראל?
ישראל לא התקדמה כמעט מאז 1981 מבחינת חוקי הגנת הפרטיות, בזמן שבאירופה חוקקו חוקים לטובת האזרחים, שמתאימים לעידן הדאטה.
למה בישראל צריכים לדאוג?
פסק דין שניתן בשבוע שעבר באירופה קבע שיש לבטל את מעמדה של ארה"ב כשותפה להעברת מידע פרטי באירופה. פסק הדין יילקח בחשבון גם לגבי ישראל.
למה זה חשוב?
חברות יתקשו לעשות עסקים באירופה אם לא ישקיעו משאבים בהתאמת פעילותן לחוקי הפרטיות של אירופה.