הרשות להגנת הפרטיות פרסמה טיוטת הנחיות לגבי שימוש ברחפנים במרחב הציבורי. לעתים אני תוהה אילו נושאים הרשות בוחרת לסקור בהנחיותיה, מפני שלא הם הנושאים המטרידים ביותר לפי ניסיוני, אבל אני יודע שכוונותיה רצויות תמיד ואנשיה המצוינים לשים את החומרים הפרימיטיביים שמעמיד לרשותם המשפט הישראלי ליצירה מתקדמת ככל הניתן.
אלא שלאחרונה אינני מצליח להימנע מתחושה מטרידה שהרשות סובלת מתסמונת יהודה הלוי במהופך - לבה במערב והיא בסוף המזרח. אֵיךְ אֶטְעֲמָה אֵת אֲשֶׁר אֹכַל וְאֵיךְ יֶעֱרָב שאל הלוי וזו גם מצוקתה של הרשות. חוק הגנת הפרטיות הישראלי מ-1981 אינו ערב לחכה כלל ועיקר. אני מבין אותה. הוא חוק בלה מזוקן הקורס תחת נטל הזמן. אשר על כן הרשות נושאת את עיניה לאמות-המידה האירופאיות המתקדמות להגנה על מידע אישי. אלה מגולמות ב -GDPR, התקנות הכלליות להגנה על מידע.
גילוי דעת שפרסמה הרשות לאחרונה טען כי כתובת דואר אלקטרוני היא "מידע אישי" (להבדיל מ"דרכי התקשרות" הפוטרות אדם מרישום מאגר מידע). הוא היה ביטוי מובהק לנטיה האירופאית של הרשות. אכן, כל מידע שאפשר לייחס אותו לאדם הוא "מידע אישי" לפי החוק האירופאי – אבל ממש לא כך לפי החוק הישראלי. כעת מגיחה טיוטת ההנחיה על הסכנות לפרטיות הגלומות ברחפנים ויש בה ביטוי נוסף לנהיה אחרי הדין הקונטיננטלי, כי ההנחיה מדברת בצורך בהערכת סיכונים לפגיעה בפרטיות ועיצוב לפרטיות וגם פרטיות כברירת מחדל. כל אלה הן מילות-מפתח בדין המודרני של הפרטיות. הן מעוגנות ב-GDPR האירופאי.
אבל החוק הישראלי מיושן עד כאב. הוא אינו מכיר את התפיסות הללו כלל ועיקר. כשנחקק היה פורץ דרך לשעתו, אבל הזמן לא עשה עימו חסד: היו אז מעט מאד מערכות מחשב בשימוש. עוד לא היו מחשבים אישיים, לא כל שכן טלפונים סלולריים שעצמת העיבוד בכל אחד מהם גדולה משל מחשבי החלליות שהטיסה ארצות-הברית לירח בשנות ה-60. אינטרנט, שירותים מבוססי מיקום, אמצעי חישה מבוססי חום, זיהוי ביומטרי, ביג דאטה, ניתוחים מבוססי למידת מכונה ואינטליגנציה מלאכותית, בלוקצ'יין, אינטרנט של דברים – כל אלה לא היו אלא דמיון רחוק, אם בכלל. לא רק אזרחים סובלים מהחוסר הזה, גם המשק ותעשיית ההיי-טק הישראלית. כולם תוהים מה מותר ומה אסור להם כשלרשותם חוק מעידן האבן של הטכנולוגיה המודרנית.
מה יכולה לעשות רשות להגנת הפרטיות שנאלצת לפעול בסביבה טכנולוגית המשתנה במהירות עצומה עם חוק מיושן מאד? ובכן, היא יכולה לפעול לשינוי החוק. כמדומה שזה הדבר הראשון שעליה לעשות. גם אם הרשות עצמה אינה אחראית על נוסח החוק, היא-היא הגורם המקצועי שחייב להתניע את התהליכים הדרושים במחלקת ייעוץ וחקיקה במשרד המשפטים.
אבל משרד המשפטים לא עושה דבר.
למעשה, הוא לא מצליח לקדם אפילו שינויים שהציע כבר בחוק הגנת הפרטיות, המיועדים להוסיף אל החוק המיושן גיבנת כעורה וכואבת של סמכויות אכיפה דרקוניות.
בזמן שמשרד המשפטים נם על משמרתו, אירופה בוחנת אם ישראל תואמת את אמות המידה שלה להגנה על מידע אישי. מילה של הסבר: החוק האירופאי אוסר להעביר מידע למדינה שאינה מגנה על מידע אישי באופן המקובל בה. איסור זה ידוע כעקרון התאימות (Adequacy). הוא נקבע כבר בחקיקה שקדמה ל-GDPR. ב- 2011 הצליחה הרשות להגנת הפרטיות לשכנע את הנציבות האירופית שישראל היא Adequate. אנו אחת מ- 13 מדינות בלבד ברחבי תבל שהוכרו ככאלה. מעמדנו נמצא בבחינה מחדש. ההחלטה צפויה כנראה ב- 2020. והיות שלא רק שאנו מתנמנמים בחיקו של חוק עתיק יומין אלא שהוספנו מ-2011 דברי חקיקה דרקוניים הפוגעים בפרטיות (לדוגמה, חוק המאגר הביומטרי, חוק נתוני אשראי וכעת גם עומד על המדוכה תזכיר חוק ההגנה בסייבר), הסיכויים שאירופה תכיר בנו שוב כתואמים, מצטננים.
אף רשות לא רוצה שמעמדה של ישראל ייפגע במשמרתה. מה יכולה לעשות הרשות להגנת הפרטיות אם היא אינה יכולה לפעול בתוך ביתה לשנות את החוק?
היא מפרסמת הנחיות. פה שליטתה בטקסט מלאה. ההנחיות מעידות כיצד הרשות תפרש את החוק מ-1981. אבל כשכופים על החוק הבלה הוראות חדשניות, צריך למצוא להן עיגון ובסיס. וכאלה אין בלשון החוק. התוצאה היא תקלה כפולה ומשולשת: תחילה זו תקלה חוקתית – מפני שאין רשויות המדינה מחוקקות, אלא זה תפקידה של הכנסת; אחר כך זו תקלה מפני שהיא מרחיקה את הסיכוי שהחוק יתוקן – אם הנחיות יבואו במקומו למה לנו לטרוח בהליך המייגע של חקיקה? ולבסוף זו תקלה מפני שהיא מולידה חוסר ודאות: האמנם עלי לפעול לפני הנחיות שאין להן יסוד בטקסט החוקי או שאוכל להתעלם מהן?
עצוב ופרובוקטיבי ככל שהדבר יכול להישמע, הדבר הטוב ביותר שיקרה לפרטיות בישראל הוא אם אירופה תשלול את ההכרה בנו כ-Adequate. כששיתוף הפעולה בין רשויות החדשנות ומכוני המחקר בישראל לתכניות האירופאיות על תקציביהן הנדיבים יקלע לבוקה ומבולקה, כשמגזרי המשק השונים יידרשו להסדרים מייגעים כדי שמידע יעבור בחופשיות משוק הייצוא החשוב של ישראל אל תחומי המדינה, אולי אז יתעורר משרד המשפטים ויאמץ חוק מודרני להגנה על הפרטיות.
[פורסם לראשונה ב-Mind the Gap, בלוג הפרטיות של המחבר בהארץ]