האתגר: לספק שירות טכנולוגי חדשני שעומד בתקנות הפרטיות

אירופה גרמה ל–GDPR להפוך לסטנדרט הפרטיות העולמי ■ מי שלא עומד בדרישות, יתקשה לגייס לקוחות ולמשוך משקיעים

אייל שגיא
אייל שגיא
הפרלמנט האירופי
הפרלמנט האירופי צילום: רויטרס
אייל שגיא
אייל שגיא

באחרונה התקיים באוניברסיטת תל אביב "שבוע הסייבר", אירוע שמושך אליו מדי שנה מומחים ורגולטורים מרחבי העולם. השנה הוקדש זמן רב לדיון בפרטיות, לאור הכניסה לתוקף באיחוד האירופי של "התקנה הכללית להגנה על המידע", הידועה יותר בשם GDPR. אף שהתקנה הוצגה כמהפכה בתחום הפרטיות, היא בעיקר חידדה זכויות קיימות.

אם יש בתקנה מהפכה, היא טמונה בקנסות העצומים שמוטלים בגין הפרתה, שעשויים להגיע לעד 4% מהמחזור העולמי השנתי, ובהוראות לגבי התחולה הבינלאומית שלה — מה שגרם לחברות רבות ברחבי העולם להגיע למסקנה שהתקנה החדשה תחול עליהן. אלה שאיחרו להיערך, כמו "לוס אנג'לס טיימס", סגרו את האתר שלהם בפני מבקרים מאירופה.

האורחים הבכירים מאירופה הפתיעו את הקהל המקומי בפרשנות מצומצמת למדי לתקנה. לדבריהם, מי שמפעיל אתר או שירות בינלאומי באופן אחיד ברחבי העולם, לא כפוף כלל לתקנה החדשה.

האם חברות ישראליות רבות ביזבזו כסף על הכנות מיותרות? כנראה שלא. ראשית, הבהרות נוספות צפויות להתפרסם רק בספטמבר. שנית, על חברות ישראליות עם נוכחות ברורה באירופה התקנה חלה בוודאות. שלישית, חברות בינלאומיות רבות דורשות מכל ספקיהן בעולם לציית לתקנה. רביעית, וחשוב מכל — רוב הזכויות והחובות, לפי התקנה החדשה, קיימות גם בחוק הישראלי.

ניקח לדוגמה את אחת הזכויות החדשות ביותר — הזכות להישכח. ראשיתה בזכות לתקן מידע לא נכון (זכות שקיימת גם בישראל), שפורשה בהרחבה כדי לחייב את גוגל להסתיר תוצאות חיפוש מידע שהפך ללא רלוונטי. התקנה האירופית מרחיבה מאוד את הזכות ונתנה זכות לדרוש מחיקה של מידע מכל חברה.

עיקרי תקנות הפרטיות

הפסיקה בישראל לא מכירה בזכות להישכח. למרות זאת, בפועל הפער בין ישראל לאירופה קיים רק לגבי מנועי חיפוש. הסיבה לכך היא שיש חריגים רבים לתקנה, ובפועל יש בעיקר חובה למחוק לפי דרישה רק מידע המשמש למטרות שיווקיות או שאין בו עוד צורך.

זהו גם המצב בישראל. חוק הגנת הפרטיות מאפשר לדרוש מחיקת מידע המשמש לשיווק על בסיס מאפיינים אישיים כבר מ–1996, ולפי תקנות אבטחת מידע ממאי השנה, חובה למחוק מידע שאין בו עוד צורך. הנחיות של רשות הגנת הפרטיות מצמצמות עוד יותר את הפער בין אירופה לישראל. בחינת שאר ההוראות המהותיות ב–GDPR מביאה למסקנה כי ההבדלים אינם גדולים.

האם משמעות הדבר שאין צורך בשינויים בחוק הישראלי? בוודאי שלא. חוק הגנת הפרטיות נחקק ב–1981. השינוי המשמעותי האחרון בו נערך ב–1996. מדובר בשנות דור מבחינה טכנולוגית. מגיע לישראל חוק מודרני שייתן לישראלים הגנה הולמת ויועיל גם לחברות הישראליות בכך שייתן להן ודאות. בניסיון להדביק את ההתקדמות הטכנולוגית מאז 1996 אנחנו מסתמכים יותר מדי על פרשנות בתי המשפט ורשות הגנת הפרטיות.

ואולי הכיוון הנכון לישראל הוא בכלל הפוך, ויש להסיר מגבלות כדי לאפשר חדשנות? לא. אירופה הצליחה לגרום ל–GDPR להפוך לסטנדרט הפרטיות העולמי דה־פקטו. חברה ישראלית שמתבססת על איסוף מידע אישי אבל מתעלמת מסוגיית הפרטיות, משולה לחברה שמפתחת תוכנה לניהול כספים ומתעלמת מחוקי המס. מי שלא עומד בדרישות האירופיות יגלה שהוא מתקשה לגייס לקוחות או למשוך משקיעים.

לעומת זאת, צפוי ביקוש רב למי שישכיל להציע שירותים בשוק החדש של טכנולוגיות להגנה על הפרטיות ולמי שיספק שירות חדשני שעומד באתגר הפרטיות. נכון יהיה לאמץ הוראות תואמות לתקנה האירופית, כדי לאפשר לחברות ישראליות להתנסות בעולם האמיתי — כאן בישראל.

הכותב הוא עו"ד, שותף וראש מחלקת משפט וטכנולוגיה במשרד עורכי דין AYR

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ