אתמול, לכבוד יום הפרטיות, נערך דיון בועדת המדע והטכנולוגיה של הגנת על פרטיות בעידן הדיגיטלי. אחרי הצגה מעניינת של רמו"ט נשאתי דברים קצרים במיוחד על מה צריך לתקן, די דחוף, כדי להתאים את החוק. הנה הם בהרחבה עם אסמכתאות.
קודם כל, חסר לנו חוק שיודיע לנושאי מידע על אירועי אבטחת מידע משמעותיים. היום, כאשר דולף או נפרץ מאגר מידע אין כל חובה בחוק לדווח למי שהמידע מוחזק עליו על הדליפה; בהצעת התקנות שיושבות על שולחן ועדת החוקה, שנועדו לקדם את אבטחת המידע יש חובה לדווח לרשות המוסמכת (הרשות למשפט וטכנולוגיה) אבל לא לבעלי המידע. הרשות יכולה, אבל לא חייבת, להכריח את בעל המאגר לדווח. כלומר, נכון להיום אנחנו במצב שבו אם מאגר מידע רגיש עלינו, כמו המאגר של קופת חולים, דולף ומגיע לרשת, וקופת חולים יודעת על כך, אין לקופה חובה ליידע אותנו. מדוע כל כך חשוב ליידע? כי אם אני יודע שמידע מסוים דולף, אני אפעיל יותר זהירות בנוגע למידע הזה, אני אהיה אקטיבי יותר בנסיונות לאתר את המפרים ואני איידע אנשים שיש את המידע הזה ברשת ואולי אחרים ינסו להתחזות אלי, אז שגם הם יגלו עירנות.
אחר כך, חסר לנו כלי של תביעה ייצוגית בפגיעות פרטיות; בתור מי שעובד בתחום, אני יודע שיהיה לי קל יותר להתפרנס ולהמשיך להגן על פרטיות של אנשים אם יהיה לי תמריץ כלכלי. אני אהיה שמח אם יהיו יותר עורכי דין בתחום שיכנסו ויעשו ליטיגציה של תביעות ייצוגיות נגד תאגידים. נכון להיום חוק הגנת הפרטיות נותן פיצויים ללא הוכחת נזק לתובע יחיד בגובה של עד 50,000 ש"ח, אבל בהתאם לחוק תובענות ייצוגיות אין אפשרות לקבל פיצוי ללא הוכחת נזק. מה זה אומר? שאם דלף אותו מאגר מידע של קופת חולים, אז אני צריך להוכיח מה הנזק שנגרם לי מדליפת המאגר; את הנזק הזה קשה עד בלתי אפשרי להעריך ולכן צריך לשים עליו תג מחיר. הוא לא חייב להיות 50,000 שקלים, אפילו עדיף שהוא לא יהיה. שיהיה קבוע רף של 20-30 שקלים ליחידת מידע במאגר.
שלישית, אנחנו עוד מחכים לראות קידום לנושא הסנקציות. דובר רבות על הזכות לעיין במידע אגור עלייך, על פי סעיף 13 לחוק, אבל לא דובר על סנקציות כנגד מי שמפר את זכות העיון. נסו לקבל הקלטה מחברה סלולרית; הם לא יתנו לך, והסנקציה היא אפס ש"ח; נכון, הרשות למשפט וטכנולוגיה יכולה להטיל קנס מנהלי, אבל פיצוי לאדם שהתלונן אין. במצב כזה, גם אם חברת הסלולר לא תתן לי את ההקלטות שהיא הבטיחה, אין לי תמריץ ללכת לתבוע אותה על זה בבית המשפט.
רביעית, בעוד שבחוק יש זכות לתיקון מידע שאינו נכון לאחר העיון, אין לי זכות למחוק מידע. עכשיו, אם אני רוצה שחברה מסוימת לא תחזיק עליי מידע כשהיא לא צריכה יותר, גם אם היא מאבטחת אותו, וגם אם היא לא מטרידה אותי, אני פשוט לא רוצה שיחזיקו עליי; אני לא תושב ירושלים, יותר, אין לי חובות ארנונה, ואני רוצה שימחקו את המידע עלי. זה לא נמצא כרגע בחוק וזה חייב לבוא לתיקון. אנשים עוברים קופות חולים, בנקים, חברות סלולר, ורוצים שאחרי זמן מסוים, שברור שאין להם חובות, אותן חברות ימחקו את המידע. נכון להיום אין זכות לעשות את זה בחוק.
חמישית, חסר לנו כח משמעותי שיעזור לנו לשמור על הפרטיות; אנחנו רוצים כלים שיקדמו את הגנת הפרטיות, כלומר תמריץ ממשלתי למי שישמור על הפרטיות של אחרים. החל מסובסידיה ממשלתית לחברות שיאבטחו מידע ועד היטלים על אגירת מידע פרטי עודף. בעצם, לבוא לבעלי מאגר מידע ולהגיד להם "אנחנו נתן לכם צ'ופר אם תמחקו מידע לא רלוונטי, ולא תשמרו מידע סתם". מדוע זה כל כך חשוב? זה חשוב כי מידע שלא נאגר לא יכול לדלוף, ובישראל יש קדחת מאגרי מידע. כלי מעניין לכך הוא "היטל אגירת מידע", בעצם להציע שכל מי שמחזיק מאגר ישלם שקל לשנה לכל אדם שהוא מחזיק עליו מידע ושישלח לו דו"ח שנתי. למה זה חשוב? זה יצמצם אגירה של מידע לא רלוונטי.
ושישית, חסר לנו חוק רמי מור, שאין כרגע דרך לאתר את מי שמפרסם תוכן אנונימי באינטרנט. מאז 2010 הכנסת מנסה ונכשלת, פעם אחרי פעם, להעביר חוק שיאפשר לאדם שפרסמו תמונות עירום שלו ברשת או לאדם שכתבו עליו שהוא נוכל ברשת לקבל את הפרטים של מי שפרסם את התוכן. אנחנו צריכים, כבר עכשיו, חוק שיסדיר את זה: ישמור על הפרטיות החשובה לנו ויאפשר לקבל את המידע במקרים המאוד חריגים. בית המשפט העליון אמר כבר, פעם אחר פעם (ולאחרונה בשבוע שעבר: בג"ץ 589/17 פלונית נ' הכנסת) שחייבים להסדיר את הנושא. אם המחוקק לא יסדיר את זה, אז שלא יתפלא שבית המשפט מייצר הלכות עקומות ויצירתיות כדי לעקוף, כולל הטלת אחריות על גורמי ביניים.
את כל הדברים האלו אפשר לעשות מחר בבוקר. זה לא קשה, זה לא מסובך, זה פשוט דורש תשומת לב של הכנסת.