הרשות להגנת הפרטיות באה בטוב, לפחות בשנה הקרובה

מתוך הכנס השנתי של הרשות להגנת הפרטיות. צילום: לסיה קונדרשוב

תיקון 13 לחוק הגנת הפרטיות נולד מאותן סיבות שמהן נולד ה-GDPR באירופה: הפער בין התפתחות טכנולוגיה מהירה לרגולציה איטית והיעדר כוח אכיפה אפקטיבי. שני החוקים חולקים תפיסה משותפת: פרטיות היא נכס כלכלי, חברתי ודמוקרטי, ולכן ההגנה עליו חייבת להיעשות לא רק באמצעות עקרונות ערכיים, אלא באמצעות Accountability  (אחריותיות) ומנגנוני אכיפה ברורים.

בדומה ל-GDPR תיקון 13 דורש גישה מבוססת סיכונים. למה? כי קיימת הבנה שארגון מטרתו להרוויח כסף (או שירותי בריאות, מוניציפלי, בנקאות וכו') ומידע אישי הוא נכס בסיסי שבלעדיו לא ניתן לספק את השירות.

אחת הדרישות המשמעותיות בתיקון 13 היא חובת פרסום של החלטות הנוגעות להפרות שנקבעו, מה שמגדיל את הסיכון לפגיעה במוניטין הארגון. מאידך, ה-GDPR אינו מחייב את רשויות הפיקוח לפרסם כל החלטה פרטנית על הפרה, אך הוא מעניק להן סמכויות אכיפה ומסגרת לקביעת קנסות. עם זאת, בדומה לחוק הישראלי, גם ה-GDPR מחייב את רשויות הפיקוח לפרסם דוח שנתי פומבי המסכם את פעילות האכיפה שביצעו (בישראל – סעיף 17ט3). המשמעות המעשית היא שארגונים בישראל נדרשים לנהל את סיכוני הפרטיות שלהם לא רק מבחינת עמידה טכנית בדרישות החוק, אלא גם מתוך הבנה שהחשיפה הציבורית עצמה הפכה לחלק ממנגנון האכיפה.

גישה חינוכית, לא נקמנית

בכנס השנתי של הרשות להגנת הפרטיות שנערך ביום חמישי האחרון היה ברור דבר אחד: הם באים בטוב. בדומה לגישה האירופאית בשנה הראשונה, היא אינה נקמנית אלא חינוכית. כלומר, הרשות תאכוף מקרים של רשלנות או עיבוד מידע בלתי חוקי במכוון, בעיקר בגופים ציבוריים, באופן שמטרתו להוות דוגמה ולהכווין את התנהלותם של גופים אחרים.

בשנה הראשונה ל-GDPR נקבעו הפרות שהן רוחביות. למשל, הרגולטור הצרפתי, ה-CNIL, קבע שגוגל לא מקיימת את עקרון השקיפות וההסכמה כאשר היא מתאימה פרסומות בניגוד לאופי ההסכמה שניתנה להם. החלטה הזו שינתה את תחום ה-UX בעולם כולו. PwC ביוון "חטפה" על עיבוד מידע אישי של עובדיה ללא בסיס חוקי נכון. הארגון נשען על הסכמת העובדים בעוד שהיה שימוש בפערי הכוחות, כלומר ההסכמה לא הייתה חופשית באמת.

מתוך הכנס השנתי של הרשות להגנת הפרטיות. צילום: לסיה קונדרשוב

יש עוד דוגמאות מעניינות: בית חולים בפורטוגל ניהל הרשאות גישה באופן רשלני ואפשר למאות עובדיו להציץ במצבה הרפואי של מפורסמת שאושפזה בו. ההפרה הזו שינתה את פני ניהול הרשאות הגישה באירופה ומחוצה לה. עוגיות שהוגשו במערכה הראשונה – בעת הגלישה באתר – נבדקו מחדש במערכה השלישית, כשהרשות הפולנית נכנסה לתמונה. הארגון ידע על חובת היידוע אך לא יישם אותה, לא כיבד את בחירת המשתמשים שסירבו לשימוש בעוגיות וכך הפך לארגון הראשון שקיבל החלטת אכיפה מהרשות. ID design הדנית נקנסה על כך ששמרה מידע על לקוחות שכבר לא היה נדרש.

אתם מזהים אחד מהמקרים האלו אצלכם בארגון? עיבוד מידע של לקוחות שאין עוד צורך בו לטובת קיומו התקין של העסק שלכם? מדיניות פרטיות שלא מקיימת חובת יידוע או מתעלמת מתגובת הלקוח וממשיכה לעבד מידע שלו? הרשאות גישה רחבות מהנדרש? טפלו בזה.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

איך הרשות תדע?

השאלה המעניינת היא איך הרשות להגנת הפרטיות תדע על ההפרה שלי? התשובה היא פשוטה: לא תמיד היא תדע.

תשובה יותר רחבה היא שיש דרכים רבות: לקוח עם מודעות גבוהה לפרטיות שלו יכול להגיש תלונה; יוזמה של הרשות לנוכח תלונות רבות שהתקבלו; הליכי פיקוחי רוחב יזומים של הרשות בסקטורים "מועדים לפורענות" כמו שוק הבנקאות, בתי חולים וקופות חולים, מרפאות לקוסמטיקה, ואפילו עיריות וארגונים המחזיקים במידע של ארגונים ציבוריים אילו.

ואכן בכנס ציינה הרשות להגנת הפרטיות כי אין בכוונתה להמתין לתלונות וכי היא תיזום הליכים וחקירות בהתאם לשיקול הדעת שלה.

מתוך הכנס השנתי של הרשות להגנת הפרטיות. צילום: לסיה קונדרשוב

מה המשמעות לכלכלה הישראלית?

1.     תקצבו את סוגיית הגנת הפרטיות לתקציב 2026.
2.     מנו DPO מקצוען ולא שחקן ספסל, ככל שאתם ארגון הנדרש לכך, ומעבד מידע אישי בהיקפים וברגישות מיוחדת.
3.     בצעו באופן מיידי "יישור קו" להוראות החוק וודאו שאתם מנהלים הסכמת הלקוחות והעובדים באופן חוקי. בישראל הסכמה היא הבסיס החוקי היחיד בניגוד לאירופה (כמובן מלבד הסמכה).
4.     הדריכו את בעלי ההרשאה שלכם, עובדים ומנהלים, לסיכוני הגנת הפרטיות.

ההערכה שהרשות להגנת הפרטיות תשכיל לאמץ אסטרטגיה הדרגתית אך תקיפה.

מתוך הכנס השנתי של הרשות להגנת הפרטיות. צילום: לסיה קונדרשוב

הבשורה הטובה

על אף שמדובר בתובנה לא אינטואיטיבית, מחקרים אקדמיים ומחקרים שמפרסמים גופים כמו גרטנר, סיסקו, IBM ועוד מראים שעיבוד חוקי מגביר את אמון הלקוחות, וכאשר אמון הציבור גובר כך גובר קצב העסקאות עם הארגון. חשבו על עצמכם – האם הייתם מעדיפים להפקיד את הכסף שלכם בבנק שידוע שלא מבצע הפרות וניהולו הוא תקין? המסר מהמחקרים הוא ברור: עיבוד חוקי הוא מנוע כלכלי ותרבותי.

השנה הקרובה צפויה להיות רגע מבחן היסטורי לרשות להגנת הפרטיות. מטרתה היא להפוך את ההגנה על פרטיות הציבור מעיקרון כתוב בחוק מ-1981 לחלק פעיל ומחייב במבנה הכלכלה הישראלית וביחסיה עם מדינות אחרות שמעבדות מידע על ישראלים. מדובר בצעד שמחבר בין אחריות רגולטורית מקומית לניהול סיכוני פרטיות ברמה הדמוקרטית והגלובלית, בדומה למה שעשה ה-GDPR באירופה לפני כשבע שנים.

עו"ד רונית קריספין היא מומחית בהגנת מידע ופרטיות