אכיפה חדישה לתשתית ישנה – טעות

בימים אלה פורסמה הצעת חוק המבקשת להקנות לרשם מאגרי המידע סמכויות מרחיקות לכת (הצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב-2011). בין השאר יהיה הרשם רשאי להטיל עיצומים כספיים בסכומי עתק.

אם תתקבל ההצעה, יחולו סמכויות האכיפה החדשניות על התשתית הוותיקה של חוק הגנת הפרטיות. הצרה היא שבחוק הקיים יש הסדרים משפטיים מיושנים ולא ברורים. הפסיקה המפרשת אותם היא מועטה ואף בלתי-קיימת. בנוסף אין בהם מענה לחלק גדול מחידושי השנים האחרונות. משרד המשפטים הקדים אפוא את העגלה לסוסים: קודם צריך היה לתקן את המהות הפגומה בחוק הגנת הפרטיות ורק לאחר מכן – או בד בבד עם תיקון כזה – להוסיף סמכויות אכיפה.

לקרוע ולהשתיל


בשנת 2007 פעלה במשרד המשפטים ועדה בראשות המשנה ליועץ המשפטי לממשלה דאז (ראש המועצה להגנת פרטיות כיום), יהושע שופמן. הוועדה בחנה את ההסדרים הנוגעים למאגרי מידע בחוק הגנת הפרטיות. היא המליצה להגביר את סמכויות האכיפה בחוק. לכאורה, הצעת החוק החדשה עולה בקנה אחד עם אותה המלצה. אלא שנשכח ממשרד המשפטים שוועדת שופמן קבעה גם כי נדרשת רוויזיה כללית בהוראות החוק הנוגעות למאגרי מידע.

למרות שחלפו מאז יותר מארבע שנים, משרד המשפטים נמנע עד כה מבחינה מקפת כזו. אמנם במאי 2009 הגישה הרשות למשפט, טכנולוגיה ומידע (רמו"ט) נוסח של הצעה כוללת למודרניזציה של חוק הגנת הפרטיות. במקום לאמצה, בחר משרד המשפטים לקרוע מתוכה את החלקים שעניינם סמכויות אכיפה כדי להשתילם אל תוך החוק המיושן.

העובדה שההסדר המהותי בחוק נותר מיושן וחסר מסבה נזקים לכל השחקנים בזירה: גם למי שפרטיותו נפגעת, גם למי שנדרש למידע אישי במסגרת פעילותו העסקית (או האחרת) ובסופו של דבר גם למדינת ישראל, לכלכלתה ולשלטון החוק.

קנסות מינהליים


בתחילת 2011 השיגה ישראל הכרה אירופאית בדיות הגנת המידע האישי בישראל. רמו"ט, שאחראית להישג זה, ציינה בצדק את חשיבותו לקשרים הכלכליים עם אירופה. אלא שהכרה הזו ניתנה, בין היתר, על יסוד ההתחייבות של משרד המשפטים שהוא עמל על עידכון ההסדרה המהותית של חוק הגנת הפרטיות. אי-תיקון התחום ההוראות המהותיות בחוק הגנת הפרטיות מבטא אפוא גם זלזול בהתחייבויות הבינלאומיות של המדינה.

בניגוד מוחלט להמלצות ועדת שופמן, הצעת החוק אינה מבטלת את החובה הארכאית לרשום מאגרי מידע. היא אף אינה מבטלת את הוראת החוק הקובעת שאי-רישום מאגר הוא עבירה פלילית מסוג של אחריות קפידה. יתר על כן, היא מסמיכה את רשם מאגרי המידע להטיל עיצומים כספיים על מי שחייב לרשום מאגר מידע ולא עשה כן, ועל שורה של מעשים ומחדלים אחרים הנוגעים לחובת רישום המאגרים. זוהי גישה מוזרה במיוחד שכן רשם מאגרי המידע בעצמו, עו"ד יורם הכהן, הצהיר בפומבי שחובת הרישום אינה מקדמת את ההגנה על הפרטיות וראוי לזונחה.

אלה כמה מההוראות בהצעת החוק החדשה -

הממונה על הגנת המידע (הוא גלגולו החדש של רשם מאגרי המידע) יצויד בסמכויות פיקוח, בירור מינהלי, חקירה– ובעיקר, בסמכויות אכיפה חדשות.

בכלל זה יש בהצעה הוראות המתירות לממונה להטיל קנסות מנהליים בסכומים המגיעים עד 3.2 מיליון ₪ (!). סכום הקנס הבסיסי הוא פונקציה של מספר האנשים שפרטיהם נמצאים במאגר ושל סוג המידע השמור בו.
לצד סמכויות האכיפה, יוותרו על כנן ההוראות הפליליות בחוק ואף יתווספו לו עבירות חדשות.

הממונה על הגנת המידע רשאי להוציא התראה במקום להטיל קנסות וכן לחייב בהפקדת ערובה שתחולט במקרה של הפרה נמשכת או חוזרת. כל אלה, כמו גם הטלת עיצומים כספיים, כפופים לזכות טעון של הנפגע.

פגיעה במזיד


הצעת החוק נוקבת בשורה ארוכה של נסיבות המצדיקות הטלת עיצומים כספיים -
  • ניהול מאגר מידע החייב ברישום שלא נרשם, מסירת פרטים לא נכונים בעת הגשת בקשה לרישום מאגר או אי-עדכון פרטי הרישום.
  • פניה לאדם לקבלת מידע בלא מסירת הודעה המציינת אם חלה על אותו אדם חובה חוקית למסור את המידע, המטרה אשר לשמה מבוקש המידע וכן למי יימסר המידע ומטרות המסירה עלולה להסתיים בקנס בסכום כפול מהסכום הבסיסי (עד 1.6 מיליון ₪ במאגרי מידע גדולים במיוחד);כיוצא בזה גם סירוב להתיר עיון במידע, לתקנו או למוחקו מתיר לממונה על הגנת המידע להטיל עיצום כספי שסכומו כפול מהסכום הבסיסי;
  • הצעת החוק מגדילה לעשות כאשר היא מאפשרת להטיל עיצום כספי בסכום כאמור על פניה לאדם בדיוור ישיר באופן שאינו עומד בהוראות החוק הקיים. הוראות החוק הקיים בנושא זה הן במקרה הטוב מבולבלות, לא-בהירות והיקף תחולתן לא נהיר (לדוגמה, יש מחלוקת של ממש האם הן חלות ביחסי חברה ולקוחותיה) ההצעה אינה טורחת להבהיר אותן. ודאות ההוראות שייאכפו כדי להסיר מכשול בפני עיוור, אינה מטרידה אותה.
  • בעל מאגר מידע המשתמש במידע שלא למטרה שלשמה נמסר, או המתיר זאת לאחר, דינו כדין הפוגע במזיד בפרטיות והוא צפוי לקנס בסכום גבוה פי ארבעה מהסכום הבסיסי הקבוע בהצעה, דהיינו עד 3.2 מיליון ₪ במאגרים גדולים.

מידע גנטי וביומטרי


הצעת החוק מרחיבה את הגדרת "מידע", על סוגי נתונים שכרגע אינם באים בגדר החוק. כתוצאה מכך היא מרחיבה את הוראותיו לתחומים שכרגע אינו חל עליהם. ההצעה כוללת קטגוריה של "מידע בעל רגישות מיוחדת" ובה בין השאר מידע רפואי (לרבות מידע בדבר מצבו הנפשי של אדם), מידע גנטי, מידע ביומטרי, נתוני מיקום, מידע על מצבו הכלכלי של אדם לרבות נתוני צריכה, נתונים על עברו הפלילי של אדם ועוד. חברות לתקשורת סלולרית, חברות כרטיסי אשראי ומועדוני צרכנים צריכים לשים לב להוראות אלה. בהקשר זה בולט האבסורד של אי-ביטול חובת רישום מאגרי המידע, שכן רבים מהמאגרים הכוללים מידע מהסוגים הנזכרים מעלה לא כפופים לפי הדין הקיים לחובת הרישום (אבל יהיו כפופים לסמכויות האכיפה ולהוראות המהותיות שבתיקון המוצע);

בעל מאגר מידע המשתמש במידע שלא למטרה שלשמה נמסר, או המתיר זאת לאחר, דינו לפי ההצעה החדשה כדין הפוגע במזיד בפרטיות (הווה אומר, הוא ייחשב כמבצע עבירה פלילית – ח.ר.). ההצעה מרחיבה וקובעת כי הוראה זו – וכן הוראות אחרות – יחולו על ידיעה על ענייניו הפרטיים של אדם אף אם אינם מידע כהגדרתו בחוק.

אפקט מצנן לעסקים


אין ספק שנדרש עדכון עמוק בחוק הגנת הפרטיות. הוא חוקק ב- 1981 ותוקן מספר פעמים במהלך השנים, אבל הוראותיו מיושנות ואינן הולמות את צרכי החיים המודרניים. הבעיה היא שבהצעת חוק הגנת הפרטיות (סמכויות אכיפה), בחר משרד המשפטים בדרך קלה אך מסוכנת: את התשתית הרעועה של החוק הקיים הוא אינו מתקן, אבל על גבה הוא מבקש לתת סמכויות מרחיקות לכת של אכיפה.

התוצאה עלולה להיות צינון בפעילות המגזר העסקי, הנשענת כיום עוד ועוד על מידע, בשל אי-הוודאות בנורמה המשפטית לעומת הסיכון המוחשי שבסמכויות האכיפה; מתן כוח חריג לרשות לעצב נורמות חדשות בדרך של פרשנות להוראות חוק מיושנות המלווה בעיצומים, במקום קביעת נורמות בהירות בידי המחוקק וריבוי בהליכים משפטיים: פעולות אכיפה אפקטיביות יגררו אחריהן תקיפות של עצם הסמכות או של הסנקציה המנהלתית בבתי המשפט, ויחייבו את המדינה להקצאת משאבים רבים שהיו צריכים להיות מתועלים לפעולות אכיפה נוספות. במשך שנים לא יובהרו הנורמות המחייבות לאשורן.

גילוי נאות: הח"מ היה חבר בוועדת שופמן והוא מייצג גופים וחברות במגזר הפרטי בתחום הגנת הפרטיות, לרבות מול הרשות למשפט, טכנולוגיה ומידע ורשם מאגרי המידע.