באירופה נכנסת היום לתוקף חקיקה חדשנית בנושא עיבוד מידע אישי. היא משפיעה על כל מגזרי המשק האוספים מידע על יחידים באיחוד האירופאי – מחברות פרטיות וציבוריות ועד למשרדי ממשלה, מגופים ציבוריים ומכוני מחקר ועד למוסדות אקדמאיים. ההכנות לכניסת החוק לתוקף ארכו שנתיים. אי אפשר לתאר אותן אלא כהיסטריה של ממש מתחילת 2018. האם היום הסתיים התהליך? רחוק מזה, היום הוא רק מתחיל.
ה-General data Protection Regulation, הידועים בקיצור כ-GDPR, מחליפים הסדר חוקי משנת 1995. למי שיפר את החקיקה החדשה ממתין בין השאר מנגנון כבד של קנסות. אלה עלולים להגיע לארבעה אחוזים ממחזור ההכנסות השנתי הכלל-עולמי של קבוצת חברות או 20,000,000 אירו, לפי הגבוה מבין השניים. האם היו אלה הקנסות שהניעו מאות רבות ואולי אלפי ארגונים בישראל וברחבי תבל להיערך לחקיקה? אין לדעת. אבל תיבות הדואל שלנו המוצפות בימים אלה בהודעות על עדכונים במסמכי הפרטיות של חברות כגוגל, פייסבוק ואין ספור אחרות, הן קצה הקרחון של תהליך ממושך ויקר.
מחשבה מעמיקה
אי אפשר לתמצת את החקיקה האירופאית במספר מילים. היא דורשת שעיבוד מידע יבוצע באופן שקוף, הוגן וחוקי – ומגדירה רשימה מצומצמת של עילות חוקיות לעיבוד כזה. היא מעגנת בכתב זכויות של נושאי מידע, לאמור יחידים שמידע אודותם מעובד. היא חלה על עיבוד ממוחשב וגם שאינו כזה. היא מאפשרת ליחידים לעיין במידע אודותם, לדרוש לתקנו או למוחקו ("הזכות להישכח"), לסרב לעיבוד מידע מסוים, להתנגד לקבלת החלטות המבוססות על תהליכים אוטומטיים בלבד ולדרוש עותק של המידע אודותם בתבנית המאפשרת להעבירו לספק אחר. החקיקה החדשה אוסרת ככלל לעבד מידע רגיש, הכולל בין השאר מידע ביומטרי, גנטי, בריאותי וגם מידע על חברות בארגוני עובדים, דעות פוליטיות או מידע מיני, אלא בנסיבות מאד מוגדרות.
ה-GDPR מגדיר היטב גם את היחסים בין מי ששולט במידע, הקובע מה וכיצד ייאסף, למשך כמה זמן יישמר ולמי יועבר, לבין מי שמספק לו שירותי עיבוד נתונים. הוא מציג תפיסות שלא היו כמותן בחקיקה הקודמת – לדוגמה, פרטיות כברירת מחדל, פרטיות המובנית לתוך תכנון המערכות (privacy by design) ופסאדונימיזציה של מידע כך שאי אפשר יהיה לשייכו לאדם בלי מידע נוסף. הוא מחייב אירגונים למחשבה מעמיקה - למה אני אוסף מידע? האם אני חייב את כל המידע שאני אוסף? מה מינימום המידע שאני זקוק לו כדי לקיים את המטרות שלשמן אני אוסף אותו מלכתחילה? כמה זמן אשמור אותו? – ומאתגר מוסכמות של שנים ארוכות שלפיהן צריך וכדאי לאסוף את כל המידע האישי ולשמור אותו לנצח. את כל זה לא תמצא בחוק הישראלי המזדקן.
פער בלתי ייאמן
צריכה האמת להיאמר: ה-GDPR מאיר את חוק הגנת הפרטיות הישראלי באור נלעג. החוק שלנו נחקק ב- 1981. עוד לא היה אז מידע ביומטרי וגנטי, שירותים מבוססי מיקום, מצלמות בכל פינה, אינספור מכשירים מחוברי-אינטרנט המנטרים אותנו ואת הפעילות סביבנו 24 שעות ביממה; עוד לא היו טלפונים סלולריים. עוד לא היה אינטרנט. השנים לא היטיבו עם החוק הישראלי והוא התיישן עד כדי כך שאין בו מענה לסוגיות רבות של הזמן הזה. ישראל שהיתה חדשנית בשעתה, מהמדינות הראשונות בתבל לעגן את הזכות לפרטיות בחקיקתן, משתרכת מאחור. היא עושה כן בעוד שהיא עצמה ערש הלידה של טכנולוגיות רבות המאתגרות את דיני הפרטיות הלאומיים שלה.
הפער בין תעשיית הטכנולוגיה להסדר המשפטי הוא בלתי ייאמן. המחדל הזה כולו מונח לפתחו של משרד המשפטים, שהזניח את התאמת דיני הפרטיות לעידן המודרני. אירופה בחרה בדרך אחרת. מאז 1981 כבר תיקנה פעמיים את דיניה העוסקים בהגנת מידע אישי, וכעת היא הסמן הימני של העולם. חברות, ארגונים וממשלות הרוצות להמשיך להחליף מידע עם האיחוד האירופי, חייבים כולם להתיישר לפי אמות המידה שלו.
ה-GDPR מסכן את ישראל. הוא מסכן אותה מפני שהוא מבסס מחדש מנגנון שכבר היה קיים בחקיקה האירופאית ולפיו נאסר להעביר מידע מאירופה למדינות שאינן מקיימות את רמת ההגנה על מידע אישי התואמת את אמות-המידה האירופאיות. עיקרון זה ידוע כעיקרון התאימות (adequacy). ב- 2011 ישראל הוכרה כתואמת את הסטנדרטים האירופאים, אחת מ- 13 מדינות כאלה ברחבי תבל. המעמד היוקרתי הזה בסכנה. בעצם הימים האלה נציבות האירופית בוחנת מחדש את התאימות הישראלית. מאז הוכרה ישראל נחקקו בה חוקים רבים המכרסמים בזכות לפרטיות. לדוגמה חוק המאגר הביומטרי מחייב כל אזרח למסור תמונת פנים ביומטרית למאגר ממשלתי; חוק נתוני תקשורת מספק לרשויות חוק גישה חסרת תקדים למידע על נתוני תקשורת של אזרחים; חוק נתוני אשראי מורה לאסוף למאגר מרכזי נתונים על פרעון האשראי של כולנו אלא אם כן ביקשנו במפורש שלא ייאסף מידע כזה. לממשלה תוכניות המאתגרות פרטיות בתחום הבריאות הדיגיטלית ובתחומים נוספים. בתוספת הסנטימנט השלילי שרוחשת אירופה לישראל, יש להיערך לאפשרות שההכרה בנו כתואמים, תישלל. המשמעות – מגבלה קשה על העברת מידע מאירופה לישראל. מגבלה כזו תשליך על כל חברה המספקת שירות ליחידים באירופה (לדוגמה, כל סטארטאפ עם לקוחות ביבשת), כל אירגון המשווק לאירופאים ואוסף מידע על אנשי הקשר שם, כל גוף מחקר הנסמך על מענקים אירופאים, כל אירגון ציבורי או משרד ממשלתי המבקש לקבל פניות מאירופאים.
יומרנית ורחבה
החקיקה החדשה של אירופה אינה נקיה מכשלים. יש בה סוגיות לא בהירות דיין. היא מתיימרת להחיל דין אחד בכל מדינות האיחוד אבל בפועל מרשה למדינות האיחוד לקבוע הסדרים משלהן בעשרות נושאים שונים. היא יומרנית בהיקפה הרחב. מרבית החברות לא יצליחו לעמוד בה בכל מאת האחוזים ובכל הזמן. היא מציבה אתגרים כבדים לכל המגזר העיסקי. אבל אי-אפשר להתעלם ממנה והיא קבעה את סדר היום של עולם הפרטיות לשנים רבות קדימה. מי שינסה להתחכם ויתפס במכ"ם של הרגולטורים האירופאים עלול לגלות שהמחיר כבד מאד. זה לא יקרה מיד, הליכים רגולטורים אורכים חודשים, ולא על כל פגם קטן יושתו קנסות כבדים, אלא על מי שמזלזלים בחקיקה במפגיע, אבל כשזה יקרה, זה יכאב. ודרך ה-GDPR, אל תטעו, אירופה תאכוף את אמות המידה שלה בענייני פרטיות גם על ישראל. מוטב שנזדרז לתקן את חוק הגנת הפרטיות.