הגנה על הפרטיות: באירופה מתקדמים בחקיקה בנוגע להגנה על הפרטיות ומתי אצלנו?

הפרלמנט האירופי אישר ביום 12.3.2014 את המשך הליכי החקיקה לרפורמה הדרמטית המתוכננת בנוגע להגנת הפרטיות באירופה, כפי שדיווחנו לפני מספר חודשים. המשך החקיקה האמור על ידי הפרלמנט אינו ניתן לשינוי, אף לאחר הבחירות שיתקיימו במאי, 2014. בין היתר הסנקציות שניתן להטיל במסגרת החוק החדש, ניתן יהיה להטיל קנסות על חברה מפרה בשיעור הגבוה מבין: (א) 100 מליון אירו; או (ב) 5% מההכנסות העולמיות של החברה.

השינויים המוצעים ברפורמה להגנה על פרטיות מתמקדים בארבעה (4) נושאים עיקריים:

1. יבשת אחת, חוק אחד – אותו חוק יחול בכל מדינות האיחוד האירופי;

2. One-stop-shop: רשות אחת שתעסוק בשמירה על הפרטיות;

3. החוקים יחולו על כל החברות הפועלות באיחוד האירופי - ללא קשר למקום היווסדן (לרבות חברות ישראליות ואמריקאיות);

4. החזרת השליטה לאזרחים על האיסוף, ניתוח והשימוש במידע שלהם ולגביהם.

מטרת הרפורמה להגנה על המידעהרפורמה להוראות הדירקטיבה בקשר עם ההגנה על המידע, מתמקדת בעיקר בארבעה (4) מנגנוני הגנה חדשים:

1. יבשת אחת, חוק אחד: נכון למועד זה הדין החל באירופה בנוגע להגנה על הפרטיות נובע מהוראות דירקטיבה (Directive) של האיחוד האירופי המהוות הנחיות כלליות לכל מדינה חברה ליישם אותן. אחד השינויים הדרמטיים המוצעים כעת הוא לחוקק תקנה (Regulation) אשר תחייב את כל המדינות החברות באיחוד האירופי כלשונה ובמלואה כחלק מהדין המקומי של כל המדינות החברות באיחוד. כך תיווצר לראשונה אחידות רגולטורית בכל אירופה להגנה על מידע, אשר יחליף את החוקים הלאומיים השונים זה מזה בכל מדינה חברה. כתוצאה מכך, חברות תוכלנה להתמודד עם חוק אחד, ולא בעשרים ושמונה (28) חוקים שונים לפי כל מדינה בה הן פועלות;

2. One-stop-shop: בדומה לאמור לעיל, כפי שיהיה חוק אחד, תקום גם רשות פיקוח אחת באיחוד האירופי שתהווה עבור חברות ואזרחים "one-stop-shop" לעניין הגנה על הפרטיות, וחברות לא תאלצנה להתמודדעם עשרים ושמונה (28) רשויות חוק שונות.

3. הכללים יחולו על כל החברות - ללא קשר למקום היווסדן: כיום, עקב הוראות הדירקטיבה, חברות אירופיות צריכים לעמוד בסטנדרטים מחמירים יותר מאשר חברות שהוקמו מחוץ לאיחוד האירופי עליהן הוראות הדירקטיבה אינן חלות. לאחר הרפורמה המוצעת, כל חברה הפועלת באיחוד האירופי תקיים אחר אותם חוקים שחברות אירופאיות מקיימות. כך לא ייווצר יצרון תחרותי לחברות שהוקמו מחוץ לאירופה.בנוסף, לפי הצעת החוק, העונשים על הפרה של הוראות חוק ההגנה על הפרטיות של המידע יגברו לעומת המצב הקיים, וניתן יהיה לקנוס חברות שהפרו את החוק בקנסות גבוהים או עד לשיעור של 2% מהמחזור השנתי העולמי שלהם.

4. החזרת השליטה לאזרחים על נתוני המידע שלהם: הכללים החדשים יאפשרו לאזרחים באיחוד לשלוט אחר השימוש בנתונים שלהם, בעיקר באמצעות:

4.1 הזכות להישכח (A Right to be Forgotten): היה והמשתמש לא ירצה שנתוניו יועבדו ואין עילה לגיטימית לשמירה על נתונים אלה, החברות נדרשות למחוק את המידע שנאסף על ידן לגביו.

4.2 גישה קלה יותר למידע של המשתמש: למשתמש תקום זכות לניידות המידע בין מדינות החברות באיחוד, אשר תאפשר העברת הנתונים האישיים בין ספקי שירות.

4.3 לשים את המשתמש בשליטה: כאשר נדרשת ההסכמה של המשתמש כדי לעבד את המידע שלו, עליו לתת את הסכמתו לכך באופן מפורש. לא ניתן להניח שניתנה הסכמה שכזו (בשתיקה). בנוסף, על העסקים והארגונים החובה ליידע את המשתמש, ללא שיהוי, על הפרות בקשר עם השימוש בנתונים, העלולים להשפיע על המשתמש לרעה.

4.4 הגנה על המידע מראש ולא בדיעבד: "פרטיות על ידי עיצוב" ו- "פרטיות כברירת מחדל" יהוו עקרונות מהותיים בכללים להגנה על המידע באיחוד האירופי. כלומר, אמצעי ההגנה לשמירה על המידע יצטרכו להיות מובנים בתוך מוצרים ושירותים עוד בשלב המוקדם ביותר של הפיתוח, וכי הגדרות ברירת מחדל לפרטיות ידידותיות חייבות להיות הנורמה - למשל ברשתות חברתיות.​

סיכום

ההליך החקיקתי באיחוד האירופי בנוגע לרפורמה בהגנה על פרטיות המידע בעיצומו. על פי התקדמות התהליך נראה כי במהלך החודשים הקרובים החוק (Regulation) יפורסם. כל החברות, לרבות החברות הישראליות והאמריקאיות הסוחרות באיחוד האירופי, ואשר משתמשות בנתונים של המשתמשים תאלצנה לשנות את אופן פעילותן בכל הנוגע לאיסוף המידע על האנשים, לרבות אלו הגולשים באינטרנט. אנו מציעים להיערך בהקדם לשינוי האמור.

נותרת השאלה בעינה מתי מדינת ישראל, לרבות הרשות למשפט טכנולוגיה ומידע (רמו"ט) תפעלנה בנושא, אם בכלל. לדעתנו הגיע כבר הזמן להחליף את חוק הגנת הפרטיות משנת 1981 (טרום תקופת ה-PC, האינטרנט והרשתות החברתיות) לחוק עדכני יותר, עם כוח לרשויות לרסן את פעילותן של החברות המפירות ברוח החקיקה באירופה.