ראש הרשות להגנת הפרטיות לשעבר: כך מפקירים אתכם

מידע אודות כ-6.5 מיליון אזרחי ישראל דלף באופן רשלני מחברת אלקטור ■ רשות הסייבר והרשות להגנת הפרטיות נכנסו לתמונה, אך פעולותיהן אינן מספיקות ■ על כל אדם לקבל החלטות מושכלות לגבי האמון שאנו נותנים בחברות המקבלות גישה למידע אודותיו

רבקי דב"ש
רבקי דב"ש
ראש הממשלה, בנימין נתניהו
ראש הממשלה, בנימין נתניהוצילום: אילן אסייג

היכולת להרתיע עבריינים פוטנציאלים תלויה בסיכוי להיתפס ובמהירות התגובה של רשויות האכיפה. בניגוד לאינסטינקט (אולי) של רובנו, לא הענישה הכבדה היא שמייצרת הרתעה מיטבית, אלא דווקא היכולת לתפוס את העבריין.

הענישה בתחום הגנת הפרטיות בישראל מגוחכת להחריד, והסיכוי שפלוני ייתפס על הפרת הוראות החוק — כמעט ואינה קיימת.

בתחילת שבוע שעבר פורסם כי מידע אודות כ–6.5 מיליון אזרחי מדינת ישראל, דלף באופן רשלני מחברת אלקטור, שעבדה עבור הליכוד. לאחר הפרסום, דווח על ידי החברה כי הכשל תוקן, ורשות הסייבר והרשות להגנת הפרטיות נכנסו לתמונה. עוד זה מדבר וזה בא. ביום שני האחרון התפרסם כי ליקויי אבטחה חמורים נוספים נמצאו. למרות החקירה של גורמי האכיפה, שוב אנשים מחוץ למערכת הם אלה שהתריעו על הליקויים. אם נדרשנו לתעודת עניות על רמת הגנת הפרטיות בישראל, פרשה זו מציבה בפנינו את התמונה במערומיה.

איך האפליקציה

אנו מצויים בעולם שהמידע ההולך ונצבר בו נהפך להיות רב וחודרני יותר. היכולת לשנות מצב זה היא אפסית כמעט. מכאן עולה כי נדרש להשקיע במספר רכיבים משמעותיים, ובראשם תכנון המערכות באופן המטמיע כלים של פרטיות כברירת מחדל. לצורך טיפול בתחום מורכב זה, נדרש גם שתהיינה רשויות מומחיות בנושא, בעלות יכולת להגיב במהירות ובאפקטיביות לדליפות מידע.

לצד אלה, עלינו להבין כי גם לנו יש יכולת לשפר את רמת הפרטיות. הכלי האזרחי עדיין לא נוצל במטרה להרתיע ארגונים מהקלת ראש ברמת ההגנה הנדרשת. תורמת לכך העובדה כי איננו מיודעים, בהכרח, אם דלף מידע אודותינו ועל חומרתו. כך למשל, העובדה כי מאגר של פנקס הבוחרים פורסם, משמעותה שמידע דלף אודות כל האזרחים הבגירים. מהו המידע הקונקרטי שדלף אודות כל אחד? עד כמה פרסומו מטריד? את עובדה זו נדע רק אם רשם מאגרי המידע יפעיל סמכותו בנושא.

לרשם מאגרי המידע סמכות להורות לבעל מאגר שהתרחש בו אירוע אבטחה חמור ליידע בדבר את נושאי המידע (האנשים שמידע אודותיהם דלף). לו היה נעשה שימוש בכלי זה, בוודאי מול חברות שלא השכילו לאתר את האירוע בעצמן, או לפעול בנחישות וביעילות כדי למזער את הנזקים ולמנוע אירועים דומים, ניתן היה לשפר את ההגנה על הפרטיות.

נתניהו מתייחס לאפליקציית אלקטור
נתניהו מתייחס לאפליקציית אלקטורצילום: צילום מסך מתוך ערוץ יוטיוב

יידוע אודות כשל אבטחת מידע שלא טופל עשוי להוביל לתביעות ישירות שתהיינה בגדר אכיפה אזרחית. רצונה של חברה שלא להידרש ליידע את נושאי המידע על כשל אבטחה חמור, יתמרץ אותה לנהוג כראוי במובן המהותי של ההגנה על המידע. שימוש בפרקטיקה הזאת תוביל משקיעים פוטנציאלים לדרוש מראש היוון הסיכון של פגיעה פוטנציאלית בפרטיות, ותידרש התייחסות רצינית יותר לנושא.

בנוסף, כלי היידוע יכול לשמש כלי חינוכי עבורנו. פגיעה בפרטיות על פי החוק אינה פגיעה אם האדם מסכים לכך. בשנים האחרונות, התרבו השאלות בדבר היכולת לקבל הסכמה מודעת לשימושים הרבים והמגוונים הנעשים במידע אודותינו. ככל שהיכולות משתכללות, ואיסוף המידע נעשה גם באופן עקיף, סוגיית ההסכמה הופכת מורכבת יותר. יידוע על כשל אבטחה לא יפתור את כל השאלות, אך לכל הפחות יחדד לנו עד כמה המידע אודותינו חשוף ופרוץ (כמעט) לכל דורש. כך, יש לקוות, נוכל לקבל החלטות מושכלות לגבי האמון שאנו נותנים בחברות מסוימות המבקשות מידע.

אין מקום לנקות את הרשויות מהאחריות למצב המחפיר שבו מצויה הגנת הפרטיות בישראל, אך הגיעה העת לדרוש שאת מה שנעשה על הגב שלנו נוכל לראות. יש לקוות שנצליח לשנות את מצב הדברים ולהוביל לכך שבהגנת הפרטיות הצדק, השינוי יבוא מאתנו.

הכותבת היא יועצת בתחום משפט וטכנולוגיה, ולשעבר ראש הרשות להגנת הפרטיות (בפועל) ומנהלת מחלקת רישוי ופיקוח ברשות

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker