מאת עו"ד דן חי*

קשה שלא לזכור את אותו תשדיר טלוויזיה, שבו נראה איש עסקים מצליח עולה במעלית עם שוטרים ומגלה שהם בעצם באו לקחת אותו לאחר שמצאו כי במשרדו הותקנו תוכנות מחשב לא חוקיות.

תסריט זה יכול לחזור על עצמו, הפעם במציאות, בכל גוף המחזיק במאגרי מידע, אשר אינם מוחזקים בהתאם לחוק - הן בכך שלא נרשמו כלל אצל רשם מאגרי המידע והן בכך שאינם מנוהלים בהתאם להוראות החוק. בין אלה יכולים למצוא עצמם באותה בעיה גם סוכנויות נסיעות, מלונות ובתי הארחה, חברות תעופה, חברות ליסינג, ועד סוכן הנסיעות הקטן. אלה האחרונים לא שמעו כלל , במקרים רבים, על החובות הקבועות בחוק ביחס לרישום והפעלה של מאגרי מידע המכילים מידע אישי.

גופים שונים בעולם התיירות, חברות תעופה, מלונות כמו גם גורם שמנהל סוכנות נסיעות אוגרים במחשביהם נתונים רבים אודות לקוחותיהם. הנתונים האלה כוללים פרטים אישיים, החל מפרטי התקשרות, דרך תאריך לידה ומספר תעודת זהות ועד לנתונים פיננסים כגון מספרי כרטיסי אשראי ומספר חשבון בנק. אוסף הנתונים הזה מוגדר בחוק כ"מאגר מידע", לצד הוראות ארוכות ומגוונות המחייבות את מחזיק מאגר המידע.

התפיסה בחוק לפיה החזקת מידע על אדם בדרך ממוחשבת, כך שניתן לעשות במידע הזה שימושים רבים, לרבות שורה ארוכה של "חיתוכי מידע", פוגעת גם בפרטיותו, מחלחלת לעולם המשפט רק בעשורים האחרונים. ישראל, דווקא הייתה בין הראשונות שראתה בכך פגיעה בפרטיות, כאשר כללה הגבלות בעניין עוד בחוק הגנת הפרטיות, אשר חוקק ב-1981.

הסיפורים על אותו "אח גדול" פרי דמיונו של ג'ורג' אורוול, שיודע על כל אחד ואחד מאיתנו, האזרחים, הכל, תמיד פרנסו כל שינוי חקיקה שהצר עוד יותר את הדרך לעשות שימוש באותם מאגרי מידע. בארץ, למרות הראשוניות בהליך החקיקה, התעוררו רק בשנים האחרונות והבינו שלצד החקיקה יש לדאוג גם לאכיפת החוק. כך הוקמה בשנת 2006 רשות חדשה במשרד המשפטים, הרשות למשפט, טכנולוגיה ומידע, אשר שמה לעצמה כמטרה לאכוף את החוק, תוך שלזו הוענקה על הדרך אף סמכויות מנהליות ופליליות בעניין. בנוסף כבר עברה בכנסת בקריאה ראשונה הצעה לתיקון החוק, כך שיוקנו בו כלי אכיפה קיצוניים יותר לטובת הרשות, דוגמת קנסות מרתיעים ואפשרויות מגוונות יותר לפתוח בהליכים פליליים. הרשות מפעילה מחלקה שעוסקת באכיפת החוק לצד מחלקת פיקוח. הפרה של הוראות החוק בעניין הינן עבירה פלילית. ביחס לחלק מהן היא עברה ששנת מאסר בצידה וביחס לחלק אחר, עבירה שעונש של עד חמש שנות מאסר בצידן. מלבד זאת לרשות סמכות גם להטיל קנסות מנהליים על מפרים.

בקרב סוכנויות הנסיעות הגדולות, חברות התעופה, המלונאות ועד סוכני הנסיעות הקטנים הנטייה הרווחת הינה לחשוב תמיד, שיש הרבה דברים הרבה יותר דחופים מאשר להסדיר פרוצדורות שונות, כמו אלו של מאגרי המידע. אבל אם עוצרים לרגע ובודקים, מוצאים כי הבעיה ממש מצויה בדלת, אם לא כבר עמוק בפנים. כך לכל גוף שאוסף מידע אישי, כמו כל אותם גורמים הפועלים בעולם התיירות, יש רשימה עצומה של לקוחות, חלק בלתי מבוטל מהם אף קטינים, המכילה מידע רב ורגיש אודותיהם, החל ממצב בריאותי, תאריך לידה, פרטי ההורים ועד פרוט של אמצעי תשלום. מספיק שיהיה לסוכן נסיעות, אפילו קטן, רשימה כזו במחשב רק עם אחד מהפרטים האלו, כדי שיהא זה מאגר מידע החייב ברישום בדרך הנכונה כפי שהחוק מחייב.

בכדי להכין תרופה למכה, על כל גורם האוסף נתוני מידע אישי לרשום את מאגר המידע בו הנתונים מרוכזים ברשם מאגרי המידע. בכך לא די. יש להגדיר בצורה מדויקת בעת הרישום את המטרה אשר לשמה נאסף המידע ולהחתים, לאחר אישור הרישום, את הלקוחות אשר המידע אודותיהם מצוי במאגר על הסכמה לפעול במידע בהתאם למטרה שהוגדרה. פעילות במאגר מידע שלא על-פי המטרה שהוגדרה היא אחת מהעבירות שעונש של עד שנת מאסר בצידן. זאת לצד איסור על שימוש במידע שלא למטרה אשר לשמה נמסר, איסור שהעבירה עליו היא כזו שעונש של עד חמש שנות מאסר קבוע בצידה.

יש גם לתת את הדעת לאפשרויות שימוש במידע. כבר מזמן התקבלה הנוסחה שמידע שווה כסף. מכאן שהגדרה נכונה של מאגר מידע בדרך, שתאפשר משלוח דיוור ישיר לפרטים הרשומים במאגר, כולל מסר פרסומי (ספאם), יכולה להיות בסיס טוב לאפשרות לעשות שימוש מגוון במידע. גם כזה שיוכל לעזור בשיווק חופשות וחבילות תיירות ואולי אף מעבר לכך. פעולות במסגרת החוק לאיחוד מידע במסגרת תוכנות מחשב מיוחדות לכך, כגון תוכנת crm, יכולות לשפר פעולות שיווק כזו ולאפשר לראות תמונה מלאה של הלקוח ואבחון צרכיו, בהתאם. כך פעילות השיווק תהיה ממוקדת ונכונה יותר.

השאלה אם הקו התקיף של הרגולציה בתחום הזה מוצדק, דומה כי כבר אינה עומדת לדיון ציבורי. קשה ללכת נגד הזרם במגמה זו, ששמה לעצמה מטרה להגן על פרטיותו של האזרח מפני הפיכתו ל"פרופיל" בידי אלו המחזיקים במאגרים וזו רק שאלה של זמן עד שההכרה שגם הגורמים ה"קטנים" בשוק, כגון סוכנויות וסוכני נסיעות מחזיקים במידע רב, תצבור תאוצה. הגופים הגדולים, כגון בתי מלון וחברות תעופה, כבר מזמן מצאו עצמם תחת עינו הפקוחה של הרגולטור. דווקא בתקופה שבה המדינה עצמה מקדמת חוקים המאפשרים לה להקים מאגרי מידע נוספים, האוגרים מידע רב עלינו, דוגמת המאגר הביומטרי שרוקח משרד הפנים, הופכת המשימה להגן על המידע, כמעט למשימה לאומית.

דרך המלך לפעולה בעניין, היא אולי לא להיאבק עם כוונת הרגולטור, אלא לדאוג שכל החפץ בעשיית שימוש במאגר מידע יציץ פנימה ויבצע בדק בית. לבדוק, מחד, האם המאגר הקיים אצלו בכלל עונה על הגדרת "מאגר מידע" בחוק ובמידה וכן, לבחון כיצד ליישם את הוראות החוק הנוגעות אליו. בהמשך לכך לבדוק האם מטרת המאגר מנוסחת נכון והאם הפעילות בו עונה על דרישות החוק, בדיקה שמולידה לא פעם שיפור עמדות לא רק כלפי הרגולטור, אלא גם בדק בית מועיל לייעול הפעילות פנימה לטובת הגוף עצמו.

כך במידה והמאגר חייב ברישום, או אף נרשם, תהא זו הזדמנות טובה לבחון האם בוצע הרישום כדין והאם הוא מקיף את כל מטרות המאגר והשימושים אשר נעשים בו בפועל; האם המאגר מנוהל ומוחזק בהתאם להוראות הדין על כל ההיבטים השונים הקשורים בכך; האם המידע במאגר מאובטח ונשמר בסודיות בהתאם לדרישה בחוק, באם המידע נאסף למאגר כדין והאם השימושים שנעשים בו, אינם חורגים ממסגרת החוק.

בבדיקה כזו, למרבה האירוניה, מתברר פעמים רבות גם בגופים כגון בתי מלון, חברות תעופה ועד סוכנויות תיירות, שניתן לעשות שימושים במידע, במסגרת החוק, אשר אינם נעשים בו בפועל. כך גם מי ששמרן ומעוניין לישר קו עם החוק, יוצא מרווח.

______________________________________________________________

*הכותב הינו עורך-דין המומחה בטכנולוגיה ותקשורת ומחבר הספר "ההגנה על הפרטיות בישראל"

http://www.hay-law.com/

20/08/2012