הרשות למשפט, טכנולוגיה ומידע פרסמה להערות הציבור השבוע טיוטאת הנחיה לעיון במידע אישי באמצעים אלקטרוניים. על פניו, מדובר בעניין טכני למדי, שיש להסבירו קודם כל. על פי חוק הגנת הפרטיות הישראלי, לכל אדם יש זכות לעיין במידע על אודותיו השמור במאגריהם של אחרים. כלומר, אם מועדון הלקוחות של רשת השיווק בה אני רוכש מזון אוספת עליי מידע על היסטוריית הרכישות שלי ובהתאם מכניסה אותי לפרופיל מסוים, אני יכול לפנות אליה ולבקש לעיין במידע. על פי תקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדין בערעור על סירוב לבקשת עיון), התשמ"א 1981 העיון אינו בחינם, אלא דורש תשלום של 20 שקלים (לא שקלים חדשים, שקלים, כלומר 2 אגורות).
העניין הוא שהיום, כאשר אנחנו כבר לא ב1981, ויש מאות אלפי מאגרים שאוגרים מידע, ודרך אגירת המידע היא מעניינת יותר, אזי יש צורך להקל על עיון במידע. כלומר, הפניה האנכרוניסטית לעיון בכתב, המתנה של 30 ימים לתשובה וקבלת זכות לעיין בתדפיס או להגיע למשרדי בעל המאגר נשמע קצת תלוש, ואני רק מקווה שהרשות למשפט וטכנולוגיה אף תבחר לקדם את שינוי זכות העיון ומעבר לעיון אוטומטי ומהיר יותר, כגון הפניה לעיון טכנולוגי.
אולם, לא על כך הדיון. הרצון המבורך של הרשות היה למנוע מצב שבתהליך העיון מידע עובר בצורה לא מאובטחת. לכן, הרשות דורשת כי אם העיון יבוצע בצורה של דואר אלקטרוני יועבר מידע מוצפן, כאשר הקוד לפתיחת ההצפנה יעבור בצורה אחרת (כמו בדואר, במסרון או בעת רשיום פיסי לשירות). אם העיון יבוצע באמצעות אתר האינטרנט, הרי שהדבר יבוצע לאחר זיהוי מקובל, ובאמצעות פרוטוקול מאובטח (HTTPS).
על פניו, ההנחיה נשמעת מאוד הגיונית: אוסף המידע, שחשיפתו לעולם יכולה לגרום נזק לאדם שרוצה לעיין, צריך להגיע אליו בצורה מאובטחת. הבעיה היא שההנחיה לא הולכת רחוק מספיק: ההנחיה אומרת שהעיון במידע יבוצע בצורה מאובטחת, אבל שוכחת להתייחס לבעיה האמיתית: כיצד המידע נאסף?
כלומר, נניח שהשירות, לצורף העניין בלבד, הוא שירות פרסום מפולח. מדובר על מערכת שתשתיל עוגיה (cookie) כאשר אני קורא כתבות ב'הארץ', ומאקו (ועד כאן, לכאורה, אני אנונימי, ואין מידע מזהה עליי). לאחר מכן, אני מחפש 'ביטוח לרכב' בגוגל ומגיע לאתר נוסף, שגם הוא משתמש בשירות; באתר הזה אני מזין את פרטיי האישיים, ומבקש הצעה לביטוח רכב מסוג מסוים, עם מיקום מסוים, ומפרט דברים כמו התאונות האחרונות שהיו לי וההכנסה שלי.
כרגע, אותו שירות אסף עליי לא מעט מידע: את הרגלי הגלישה שלי, הכתבות שאני אוהב (שיכולים להתפרש כנתונים על אודות אישיותו של אדם ואמונותיו), וגם את פרטיי האישיים. את כל המידע הזה השירות אסף בצורה לא מאובטחת. בעצם רמו"ט אומרת כאן: "את העיון במידע יש לעשות בצורה מאובטחת, אבל איסוף שלו לא חייב להיות מאובטח".
אכן, בפרטיות יש כלל כי הכמות עושה איכות (עא 2319/08 פלוני נ' פלונית, United States v. Jones, 565 US ___, 132 S.Ct. 945) ולכן העיון במידע בבת אחת, שהוא כמותית משמעותי יותר מהמידע שנאסף פיסה בכל פעם, באמת צריך להיות מאובטח יותר. אולם, אם ישנה הנחיה שקובעת שהעברה של מידע רגיש צריכה להיות מאובטחת, היא צריכה להיות מיושמת גם לשלב האיסוף, ולא רק לשלב העיון.
מעבר לכך, יש להתחשב בפסיקת בית המשפט המחוזי בעניין עת"מ 24867-02-11 איי.די.איי חברה לביטוח בע"מ נ' רשם מאגרי המידע, הרשות למשפט טכנולוגיה ומידע במשרד המשפטים. בעניין זה פסק בית המשפט כי להנחיות יש תוקף משפטי, אולם התוקף הינו בשיקול דעת של כיצד יש לאכוף את החוק, ולא במתן תוקף משפטי מחייב. לכן, ראוי לשקול להעביר את ההנחיה למעמד של תקנות ולתקן את תקנות העיון במידע בהתאם. תיקון כזה, בסופו של דבר, יטיב עם הציבור ויהיה משמעותי יותר מאשר הנחיות, שאינן יכולות להיות ברות ענישה ספציפית.
למה הרשות טורחת להוציא הנחיות אם אפילו הוראות חוק היא לא אוכפת? אני ביקשתי נתונים מחברת BDI באמצעות חתימה אלקטרונית מאושרת
כפי שמצויין בנוהל שבחוק נתוני אשראי ולא קיבלתי והרשות מתעלמת.