ראש הרשות להגנת הפרטיות: "עד עכשיו חברות הפרו כי היה להן שווה - זה נגמר"

בשקט־בשקט, ומבלי ששמתם לב, המשק נמצא בשבועות האחרונים בהיערכות שיא.

חברות משקיעות מאות אלפי שקלים ביועצים משפטיים, מעדכנות מערכות מידע ומגייסות ממונים על הגנת פרטיות. הסיבה: בעוד עשרה ימים, ב־14 באוגוסט, ייכנס לתוקף תיקון 13 לחוק הגנת הפרטיות - הרפורמה הדרמטית ביותר בתחום מזה ארבעה עשורים אשר מתאימה את החוק הישראלי לסטנדרטים הבינלאומיים המחמירים בכל הקשור להגנת הפרטיות, בדומה לאירופה.

כשמידע רפואי רגיש של נשים נמסר לארגון שמנסה לשכנע אותן לא לעבור הפלות, או כשאדם לא יוצא מביתו חודשיים כי מידע רגיש עליו זלג החוצה - זה היה המחיר של חוק הגנת פרטיות חסר שיניים. עד עכשיו. עד כה, חברה שלא הבטיחה מידע לצרכנים היתה צפויה למכתב נזיפה מהרשות, והקנסות המנהליים היו מוגבלים לסכומים זעירים שלא הרתיעו איש. כתוצאה מכך פריצות נתונים והפרות פרטיות הפכו לשגרה עסקית.

התיקון מביא את החוק הישראלי בן ארבעת העשורים אל עידן דיגיטלי חדש ומקנה לרשות להגנת הפרטיות כלי אכיפה חדים: עיצומים כספיים של מיליוני שקלים לעבירה, סמכויות חקירה נרחבות ויכולת להורות על הפסקת עיבוד מידע מפר.

כך למשל, התיקון מטיל חובת מינוי ממונה הגנת הפרטיות בארגונים רבים במשק, מסדיר לראשונה את סמכות הרשות לבצע ביקורות יזומות, מרחיב את חובת היידוע של נושאי המידע ומאפשר להגיש תביעה לפיצויים עד 10,000 ש”ח ללא הוכחת נזק במקרה של הפרת זכות עיון או העברת מידע ועוד.כך למשל, התיקון מטיל חובת מינוי ממונה הגנת הפרטיות בארגונים רבים במשק, מסדיר לראשונה את סמכות הרשות לבצע ביקורות יזומות, מרחיב את חובת היידוע של נושאי המידע ומאפשר להגיש תביעה לפיצויים עד 10,000 ש”ח ללא הוכחת נזק במקרה של הפרת זכות עיון או העברת מידע ועוד.

בפעם הראשונה מאז 1981 מפירי הפרטיות יצטרכו לשלם מחיר כבד. במקביל, התיקון מטיל דרישות חדשות על ארגונים שעשו במהלך השנה האחרונה מאמצים והשקיעו משאבים כדי לעמוד בחובות החדשות: חובות גילוי מוגברות כלפי הציבור, מינוי ממונים על הגנת פרטיות בגופים מסוימים ועמידה בעקרונות נוקשים של ניהול מידע. החברות חוששות לא רק מהעיצומים, אלא גם מהעלויות הכבדות של ההתאמה ומחוסר הוודאות המשפטית.

"תיקון 13 לחוק הגנת הפרטיות מתמחר מחדש את הזכות לפרטיות ויאפשר לרשות לפעול ביתר שאת", מסביר עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות, בראיון מיוחד ל"ישראל היום". "לפני הרפורמה חברה שלא אבטחה את המידע שלה היתה צפויה להכרזת הפרה מהרשות, אבל הסנקציה היתה אפס שקלים. זה בלתי מתקבל על הדעת במציאות של 2025 - הם המשיכו כי היה שווה להם להמשיך בהפרה".

למה דווקא עכשיו, אחרי כל כך הרבה שנים?  

"התיקון הזה לא סתם בא בשעת מלחמה, הוא בא בשעת מלחמה כי זיהינו בטן חלשה בנוגע להגנת המידע. היום תקיפות הסייבר מכוונות בעיקר למידע אישי של כולנו, וכשאנחנו מחזקים את הגנת הפרטיות, בסופו של דבר אנחנו במכה אחת מעלים את החוסן הלאומי של כל המשק".

על המשק שבחרדה ועל הגישה השכלתנית ולא הסלחנית למרות שנת ההיערכות שנתנה הרשות, סממה מבהיר שהגישה לא תהיה סלחנית. "שנה של היערכות זה לא מעט, אנחנו הרחבנו אותה משישה חודשים לשנה. אבל החקיקה כמעט לא מטילה רגולציה חדשה - הרגולציה קיימת כבר שנים. מה שחדש זה ששמנו תג מחיר".

"הגישה תהיה שכלתנית", הוא מסביר. "מקומות שבהם נראה התעלמות מהרגולציה - נצטרך להפעיל את הכלים. מקומות שבהם נראה ניסיון אמיתי וכן לעמוד ברגולציה - יש לנו מנגנונים הרבה יותר רכים".

סממה מדגיש שוב ושוב שמטרת הרפורמה אינה להפיל חברות או לגבות קנסות כבדים, אלא לשנות התנהגות. "המטרה שלנו לייצר את הגנת המידע. אנחנו לא מחפשים את הנבוט - הנבוט לא מעניין אותנו. מעניין אותנו הציות שמאפשר הגנת מידע משמעותית".

הגישה הזו באה לידי ביטוי במודל העיצומים המתוחכם שפיתחה הרשות.

"המטרה לא להקריס ארגונים, המטרה לייצר תמחור מחדש. המטרה היא שכשחברה תהיה בהפרה, היא תגיד שיש על הפרק סנקציה מספיק גבוהה כדי לשנות את האופן שבו היא פועלת ולהגן על המידע של אזרחי ישראל בצורה יותר טובה".

ראש הרשות מציין כי החקיקה כוללת מנגנוני ריכוך מרובים: הפחתות לעסקים קטנים וזעירים, הבחנה בין הפרות פרטניות להפרות כלליות, והתחשבות ברמת הרגישות של המידע ובהיקפו. "יש כל מיני מנגנונים שאנחנו יכולים להפחית את הסנקציה אם רואים שזה גוף שפעם ראשונה יש לו הפרה, והוא בסך הכל עומד בציות להגנת הפרטיות ולא נמצא בעולמות של הפרה מכוונת".

הרפורמה הישראלית מעניקה יתרון תחרותי ברור מול מדינות שעדיין לא התאימו את חקיקתן לסטנדרטים הבינלאומיים.

״הרפורמה מחויבת גם לחיזוק היכולת של חברות בישראל לעשות עסקים בשוק הגלובלי״, מדגיש ראש הרשות. כדי שנוכל לעשות מסחר עם מדינות מפותחות, למשל אנחנו רוצים שחברות אירופאיות יעשו מסחר עם חברות ישראליות, הן בודקות מה רמת ההגנת הפרטיות בישראל", מסביר סממה. "ואם הן רואות שרמת ההגנת הפרטיות לא גבוהה, הן מטילות עלינו רגולציה זרה. אנחנו לא רוצים שזה יקרה".

המספרים מדברים בעד עצמם: "משרד האוצר אמר שהתאימות לתקן האירופי חוסכת בממוצע 40 אלף דולר לעסק בישראל", מציין ראש הרשות. "יש עסקים קטנים שזה משפיע קצת פחות, יש עסקים גדולים שזה משפיע יותר, אבל בממוצע אנחנו חוסכים להם 40 אלף דולר חיסכון אמיתי".
הרפורמה הישראלית מעניקה יתרון תחרותי ברור מול מדינות שעדיין לא התאימו את חקיקתן לסטנדרטים הבינלאומיים. "המהלך היה משותף עם משרד האוצר ומשרד הכלכלה כדי להביא את רמת הגנת הפרטיות בישראל לסטדנרטים של מדינות מפותחות״

איך זה משפיע על הציבור?

"היה לנו מקרה של אישה שבאה לקליניקה לטיפולי הפלה, נתנה את כל המידע הרפואי שלה, ופתאום קיבלה טלפון מארגון שמנסה לשכנע אותה לא לעבור הפלה. היא שואלת: מאיפה קיבלתם את המידע הזה? המידע הזה נמצא רק במקום אחד - בקליניקה שאליה הלכתי לטיפול".

הבדיקה חשפה שיתוף פעולה בין מזכירה בקליניקה לארגון החיצוני. "כל אישה שמגיעה ושופכת את המידע הכי אינטימי והרגיש שלה, פשוט מועבר לארגון אחר שמנסה למנוע את הפרוצדורה הרפואית - זה מקרה שמדבר על פגיעה באוטונומיה של האדם".

מניע ביטחוני ברור

אחד ההיבטים הייחודיים של תיקון 13, שהוא חל לראשונה גם על הגופים הביטחוניים והצבא - צעד שנתפס כמהפכני במערכת הביטחון הישראלית. "התיקון הזה חולש על כל המשק. הוא חולש על כל הסקטור הפרטי, אבל גם על כל הסקטור הממשלתי והביטחוני", מדגיש סממה.

ראש הרשות גם מציין שתקיפות הסייבר המכוונות נגד ישראל מתמקדות לא רק בגופים הביטחוניים הסודיים, אלא דווקא במקומות שבהם המידע של אזרחי ישראל נמצא באופן פחות מוגן.

"הגורמים העוינים לנו לא הלכו למקומות שהם נורא מאובטחים וחזקים, אלא למקומות אחרים שהמידע של אזרחי ישראל נמצא שם".