תיקון לחוק הגנת הפרטיות שנכנס לאחרונה לתוקף (חוק הגנת הפרטיות (תיקון מס' 9), התשס"ז - 2007) עשוי לחולל מהפיכה בזעיר אנפין. ההוראות החדשות בחוק מעניקות תמריץ ממשי להגשת תביעות אזרחיות בגין פגיעה בפרטיות וחושפות חברות ישראליות לסיכון כלכלי גדל והולך. היערכות מתאימה תתרום להפחתת הסיכון ותסייע בבניית האמון עם הלקוחות והעובדים.
בנק משליך מסמכים עם פרטי לקוחות חסויים לפח של בניין משותף; פקיד ממשלה מוכר לחוקר פרטי רשומות ופרטים אישיים ממאגר ציבורי; חברה אוספת פרטים אישיים ממאושפזים בבית חולים ולאחר מכן מוכרת את המידע לסוכנות ביטוח; מכשירי סלולר ומחשבים ניידים נגנבים ויחד איתם מידע אישי רגיש. כל אלה הן דוגמאות לזילות המופגנת כלפי פרטיותו של אדם בישראל. הן קצה המזלג בלבד ומקרים רבים וחמורים נוספים אינם נחשפים לתקשורת ואינם נדונים בבתי המשפט.
בשנים האחרונות שוקד משרד המשפטים על רפורמה בדיני הגנת הפרטיות. אחד המרכיבים המהותיים הוא הצורך להעניק בידי האזרח כלי יעיל להגן על זכותו לפרטיות ולמצות את הדין עם מי שפוגע בה.
פיצוי ללא הוכחת נזק
תיקון לחוק הגנת הפרטיות שנכנס לתוקף בימים אלה מהווה תפנית של ממש. הרחק מזרקורי התקשורת שולב בחוק כלי אכיפה אזרחי פשוט ויעיל: פיצוי ללא הוכחת נזק בגין פגיעה בפרטיות. מעתה, רשאי בית משפט לחייב אדם לשלם עד 50 אלף ₪ בגין פגיעה אחת בפרטיותו של אדם אחר ואם הוכחה כוונה לפגוע – עד 100 אלף ₪, וכל זאת מבלי שהנפגע נדרש להוכיח את נזקו.
מנגנון פיצוי ללא הוכחת נזק חוסך מהנפגע את הצורך להוכיח חלק ניכר מתביעתו. כל שנדרש הוא להוכיח את עובדות הפגיעה ואין צורך בהצגת ראיות לעניין שיעור הנזק שנגרם כתוצאה מהפגיעה. התיקון מקל איפוא על נפגעים ובכך מעודד אותם להגיש תביעות רבות יותר מבעבר. בתיקון יש כדי להקל גם על בתי המשפט בכך שהוא תוחם את סדרי הגודל של הפיצויים האפשריים.
מנגנון הפיצוי ללא הוכחת נזק איננו חדש בדין הישראלי. הוא קיים במספר חוקים המסדירים פיצוי בגין נזקים שהוכחתם קשה. הפרת זכות יוצרים, גזל סוד מסחרי והוצאת לשון הרע – כל אלה מזכים בפיצוי מסוג זה. למעשה, התיקון לחוק הגנת הפרטיות משווה את הפיצוי האפשרי לזה הקבוע בחוק איסור לשון הרע.
פיצוי ללא הוכחת נזק מוכר גם במדינות אחרות בעולם לרבות בקשר עם פגיעה בפרטיות. כך בארצות הברית קיימת זכות תביעה ולצידה סעד של פיצוי ללא הוכחת נזק בשל שימוש מפר בנתוני אשראי וכן בגין שווק טלפוני ('טלמרקטינג') ומשלוח פרסומות בפקס שלא כדין.
שליטה על המידע
עידן המחשב והאינטרנט משנה ללא הכר את דפוסי הפגיעה בפרטיות. ערכם הרב של מאגרים המכילים פרופילים התנהגותיים וסוציו-אקונומיים, הניידות הרבה של המידע והחשש מפני שימוש בו לרעה, הופכים את ההגנה על המידע למושא לחקיקה מואצת בעולם.
הפרטיות המודרנית נבחנת בשליטה שיש לאדם במידע שעליו ובכלל זה במידת יכולתו לקבוע מי משתמש במידע ולאילו צרכים. הפגיעה בפרטיות מתבטאת באיבוד השליטה הזו, כאשר מידע נאסף לגבי אדם ללא ידיעתו וכאשר זהות המשתמש ואופי השימוש במידע אינם ידועים לו, או אינם מוסכמים עליו.
שימוש פוגעני במידע אישי מתאפיין בהשפעה על ציבור גדול, שעה שהיקף הפגיעה בכל פרט בודד עשוי להיות מצומצם. בדרך כלל מתרחשת הפגיעה באחד משלושה אופנים: האחד, סחר במידע, דהיינו מכירתו או השכרתו לאחרים לשם הפקת רווח; השניה, שימוש במידע למטרה לא מוסכמת, לדוגמה פרסום ללא רשות של פרטי לקוח בעיתון או באתר אינטרנט, או חשיפה בציבור של מידע רפואי חסוי; השלישית שמירה לקויה על המידע הגורמת לאובדנו, או לגניבתו.
על פי רוב, הנזק הנגרם מפגיעה בפרטיות איננו נזק מוחשי לגוף ולרכוש, אלא מתבטא בעוגמת נפש ובתחושה של ניצול, של הטרדה ושל חוסר ביטחון אישי. נזק מסוג זה, בפרט כאשר היקפו מצומצם, קשה עד בלתי אפשרי להוכחה.
הולדתו של חוק הגנת הפרטיות בעידן הטרום אינטרנטי. כשחוקק, נעדר החוק כלי אכיפה אזרחי יעיל שיוכל להתמודד עם תופעת הפגיעה ההמונית במידע אישי. התוצאה היא כמות דלה למדי של פסקי דין, כמו גם העדר מודעות ציבורית וזילות כלפי הזכות לפרטיות מצד גופים ממשלתיים וחברות פרטיות כאחד. אף היקף האכיפה הפלילי כנגד עברייני מידע הוא מצומצם מאד. כך מוכשרת הקרקע למעוולים להשתמש במידע אישי בניגוד לחוק כמעט באין מפריע, על אף שמדובר בזכות בעלת מעמד-על הקבועה בחוק יסוד: כבוד האדם וחירותו.
בתיקון לחוק שהתקבל עתה, טמון פוטנציאל לשנות את המציאות הזו.
הסכמה 'מדעת'
התיקון לחוק קובע בנוסף שאין די בהסכמה בעלמא לפגיעה בפרטיות. על ההסכמה להיעשות 'מדעת'. מושג זה שאוב מחוק זכויות החולה האוסר על מתן טיפול רפואי מבלי שהמטופל העניק הסכמה מדעת לטיפול. כך, צוות רפואי עלול למצוא עצמו מחויב בעוולת תקיפה, אם לא קיבל את הסכמתו מדעת של המטופל.
הדרישה שההסכמה תיעשה מדעת מציגה עמדה מחמירה יותר מבעבר ובמידה רבה גם עדכנית יותר. היא מתאימה למציאות שבה נדרש אדם להסכים לפגיעה בפרטיותו בחוזים אחידים כדוגמת חוזה העסקה וחוזים לקבלת שירותי בנקאות, תקשורת וכיוצא באלה. על פי רוב הלקוח, או העובד אינם שותפים לניסוח החוזים הללו ולעתים הם אף אינם מודעים למלוא המשמעות הכרוכה בהסכמתם. חברה שאיננה מוודאת שהאדם המתקשר איתה בהסכם מבין היטב את השימוש בפרטיו האישיים, עלולה למצוא עצמה חייבת בפיצוי ללא הוכחת נזק בגין פגיעה בפרטיות.
משמעותו המדויקת של המושג 'הסכמה מדעת' תיוודע רק בעתיד. הצעת החוק המקורית קובעת שהסכמה מדעת היא הסכמה "שניתנה לאחר שנמסר לנותן ההסכמה מידע, בלשון המובנת לאדם סביר, הדרוש לו באורח סביר לצורך מתן ההסכמה". הצעה זו מנוסחת בהשראת דירקטיבה (חוק מנחה) של האיחוד האירופי בעניין הגנה על מידע. אולם ההגדרה הזו הושמטה בנוסח ששולב בסופו של דבר בחוק.
הגדרה ברורה יכולה היתה להתוות לבתי המשפט את מתחם שיקול דעתם ופרשנותם למושג זה. העדר הגדרה יוצר סביבה עסקית של חוסר וודאות. סביבה כזו מגדילה את היקף החשיפה לתביעות ומייקרת בהכרח את עלויות העסקאות. מוטב יעשו בתי המשפט אם ימהרו לקבוע את גדרי ההסכמה הנדרשת, תוך בחינת הזכויות והאינטרסים הרלבנטיים.
היערכות למציאות החדשה
התיקון לחוק איננו מתכון הכרחי לגידול בשיעור הפיצויים הנפסקים בגין פגיעה בפרטיות בכל תביעה בנפרד. יחד עם זאת, הנוחות היחסית שמקנה מנגנון הפיצוי להוכחת נזק, לצד הצורך בקבלת הסכמה מדעת, מהווים תמריץ לאכיפה אזרחית ולגידול משמעותי בכמות התביעות. בפרט ובמיוחד צפויות להופיע תביעות בגין הפרת הוראה בחוק הגנת הפרטיות האוסרת שימוש במידע שלא למטרה שלשמה הוא נמסר.
היקף החשיפה עלול להגיע לשיעור ניכר כיוון שמעשה אחד, או רצף פעולות שגרתי במהלך הרגיל של העסקים, מעמידים חברה בסיכון של תביעות רבות, אף אם הפגיעה לא נעשתה בזדון. בהתאם לתג המחיר החדש שנקבע בחוק בגין פגיעה בפרטיותו של אדם, הסיכון הכלכלי עלול להצטבר לסכום לא מבוטל. אמנם לפי שעה החוק הישראלי איננו מתיר להגיש תובענה ייצוגית בגין פגיעה בפרטיות, על אף שקיימות כוונות לתקן את החוק גם בכיוון זה. אולם כאמור, מנגנון הפיצוי ללא הוכחת נזק יכול להתברר כגורם מדרבן כשלעצמו להגשת תביעות.
התיקון לחוק הגנת הפרטיות מחייב שימת לב והקפדה יתרה על ניהול מידע אישי של לקוחות ועובדים. על חברה המבקשת להפחית את הסיכון להיתבע בגין פגיעה בפרטיות לבדוק ולוודא שהיא פועלת בהתאם לדרישות החוק. בכלל זה עליה למנות בעלי תפקידים מתאימים, ליצור מסמכי מדיניות והסדרים לקבלת הסכמה ברורה ומודעת, לקבוע ולרענן את הנהלים הפנים-ארגוניים בנושאי ניהול המידע, אבטחתו והסדרת הגישה אליו, להדריך כראוי את עובדיה ולוודא שצדדים שלישיים המספקים לה שירותי מיקור חוץ שומרים אף הם על הוראות החוק. התיקון מבקש למלא חלל בחוק הקיים ולהקנות לאזרח כלי אכיפה יעיל. זהו צעד אחד במסגרת רפורמה המתגבשת בהדרגה בישראל בקשר עם דיני הפרטיות וההגנה על המידע.
התועלת הגלומה בשיפור מערך ההגנה על המידע האישי איננה מתבטאת רק בהתאמה להתפתחויות המשפטיות ובהפחתת הסיכון לתביעות בגין פגיעה בפרטיות. מערך נכון וראוי יתרום גם לבניית אמון ארוך טווח בין החברה לבין עובדיה ולקוחותיה.