בשבוע שעבר פרסמה הרשות להגנת הפרטיות שלוש חוות דעת מקדמיות – הראשונות מסוגן מאז הודיעה הרשות לפני מספר חודשים כי ניתן לפנות אליה בפניות מקדמיות וקבעה את נוהל הגשת פניה מקדמית. מדובר בכלי רגולטורי חדש של רשות הגנת הפרטיות, המוכר היטב מפרקטיקה של רשות ניירות ערך: ארגון המטיל ספק בדרך הנכונה ליישם את החוק יכול לפנות לרשות ולקבל עמדה מחייבת המגנה עליו מפני אכיפה עתידית.
שלוש הפניות המקדמיות שפורסמו עוסקות לכאורה בשאלות שונות – מינוי ממונה פרטיות, רמת אבטחת מידע, וחישוב היקף עיבוד. אך מי שקורא אותן יחד, מגלה דפוס אחד עקבי: הרשות מאמצת פרשנות מרחיבה, ממוקדת בסיכון לאדם, ועונה בבהירות. הנה שלוש השאלות שעולות מהן – ושכל ארגון שמחזיק מידע אישי צריך לשאול את עצמו.
שאלה 1: האם אני חייב במינוי ממונה על הגנת הפרטיות?
שתיים מתוך שלוש חוות הדעת עסקו ישירות בשאלה זו. האחת הגיעה מתאגיד בנקאי, השנייה מחברת שכר המעבדת מידע עבור מאות מעסיקים. שתי התשובות היו חד-משמעיות: כן, חייבים.
מה שמעניין אינו רק התשובה, אלא ההנמקה. לגבי הבנק – הרשות ציינה שהחוק קובע זאת מפורשות עבור תאגידים בנקאיים, וזה מספיק. לגבי חברת השכר – הרשות נדרשה לשאלה מורכבת יותר: האם לחשב את "ההיקף הניכר" של עיבוד המידע לפי כלל נושאי המידע שהחברה מעבדת, או לפי כל מעסיק בנפרד?
הרשות דחתה את הגישה המצמצמת בתקיפות. עיבוד מידע בהיקף ניכר נמדד ברמת הגוף המעבד כולו – לא ברמת כל לקוח שלו. חברה שמעבדת מידע רגיש על 300,000 נושאי מידע בחודש חייבת במינוי ממונה, גם אם כל אחד מלקוחותיה הוא מעסיק קטן.
המסר לארגונים: אם אתם נותני שירות המצטברים לאוכלוסייה גדולה – אל תסתמכו על הטענה שכל עסקה בפני עצמה קטנה. הרשות מסתכלת על התמונה הכוללת.
שאלה 2: באיזו רמת אבטחה חייב מאגר המידע שלי?
חוות הדעת השלישית עסקה בשאלה שנראית טכנית אך היא מהותית: האם מאגר הכולל מידע על כלי רכב – דגם, מספר רישוי, מחיר קנייה – חייב ברמת אבטחה בסיסית או בינונית?
עמדת הרשות: בינונית. מידע על דגם הרכב הוא "מידע על נכסיו של אדם"; מידע על מחיר הקנייה עשוי ללמד על חובות והתחייבויות כלכליות; ואם הרכישה נעשתה באשראי – גם על יכולתו לעמוד בהתחייבויות. כולם נכנסים תחת פרט 3(ח)(1) לתוספת הראשונה לתקנות אבטחת מידע.
זו דוגמה מובהקת לאופן שבו הרשות מפרשת את החוק: לא לפי הצורה הפורמלית של המידע, אלא לפי מה שניתן להסיק ממנו על האדם שמאחוריו. מידע שנראה "תפעולי" – נתוני רכב, תנאי תשלום – עשוי לחשוף הרבה יותר ממה שנדמה במבט ראשון.
המסר לארגונים: סיווג מאגרי המידע לפי רמת אבטחה אינו תרגיל טכני. הוא דורש הבנה של "מה ניתן להסיק מהמידע הזה על האדם" – ולא רק תיאור יבש של סוג הנתונים.
שאלה 3: האם אחסון גרידא הוא "עיבוד מידע"?
שאלה זו עלתה בצדו של הדיון בחברת השכר. הצד המבקש טען שאין לה שיקול דעת בנוגע למידע – היא רק מאחסנת אותו עבור לקוחותיה, ללא כל פעולה נוספת. לכן, לפי הטיעון, אין לראותה כמי ש"מעבדת" מידע.
הרשות דחתה גם טענה זו: אחסון הוא עיבוד. סעיף 3 לחוק הגנת הפרטיות מגדיר "עיבוד" מידע באופן שכולל גם שמירה גרידא, ללא כל פעולה נוספת. כלומר – גוף שמחזיק מידע רגיש, גם אם הוא לא "עושה בו דבר", נחשב כמי שמעבד אותו לצרכי החוק.
זה משמעותי במיוחד עבור ספקי שירות, חברות ענן, מאגדי מידע ומי שמקבל מידע מגורמים חיצוניים ו"מחזיק" אותו. ההנחה שהאחריות היא של בעל המאגר המקורי בלבד – אינה עומדת בביקורת הרשות.
מה לומדים מהתמונה הכוללת?
שלוש חוות הדעת, שפורסמו בתוך פחות משלושה חודשים, מצביעות על כמה מסרים שחוזרים על עצמם.
ראשית, הרשות מאמצת עקביות פרשנית מרחיבה. בכל מקרה שבו החוק פתוח לפרשנות, היא בחרה בפרשנות שמגנה יותר על נושאי המידע. זה לא מקרי – זה משקף את תכלית החוק כפי שהרשות רואה אותה.
שנית, הרשות רואה את הסיכון, לא רק את הצורה. מידע על רכב הוא לא "מידע ניטרלי"; אחסון הוא לא "פעולה פסיבית"; חברת שכר שעובדת עבור מעסיקים קטנים היא לא "גוף קטן". ההגדרות הפורמליות נבחנות לאור ההשפעה הפוטנציאלית על הפרט.
שלישית, מדובר בחלון ייחודי לדרך חשיבת הרגולטור. חוות דעת מקדמית היא מסמך נדיר – הרשות מחויבת להסביר את עמדתה, לנמק, ולפרט. זו הזדמנות ללמוד כיצד היא תפרש מקרים עתידיים דומים.
הארגונים שישכילו לקרוא את חוות הדעת הללו לא כ"פסקי דין בענין של מישהו אחר", אלא כמפת דרכים לאופן שבו הרשות חושבת – הם אלו שיהיו מוכנים טוב יותר.
הערה לסיום: מידע שחיוני לדעת – ושקשה למצוא
חוות הדעת המקדמיות אותרו על ידי צוות PIL במסגרת המעקב השוטף שלנו אחר פרסומי הרשות להגנת הפרטיות. הן פורסמו באתר הרשות.
זו לא עניין של מה בכך. חוות דעת מקדמית אינה הבהרה טכנית – היא הנחיית רגולציה לכל דבר. היא קובעת כיצד הרשות מפרשת את החוק, ועל כן מחייבת כל גוף שהנסיבות הדומות חלות עליו. ארגון שאינו מודע לקיומה של חוות הדעת, לא יוכל להסתמך עליה לצרכי הגנה – ועלול אף לפעול בניגוד לה מבלי לדעת.
הפניות המקדמיות, ותשובות הרשות עליהן, הן חלק מתכולת מערכת הרגולציה של PIL. כמו גם בתחום ניירות ערך – הפניות המקדמיות שרשות ניירות ערך פרסמה לאורך השנים הן חלק בלתי נפרד מהרגולציה הכתובה בתחום וכמובן נכללות בתכולת מערכת PIL לתחום ני"ע.– כך צפוי להתפתח גם גוף ההנחיות של הרשות להגנת הפרטיות. ככל שמסמכים אלו יתרבו, משמעותם הפרשנית תגדל. מי שעוקב – יהיה מוכן.
האמור במאמר זה אינו מהווה ייעוץ משפטי מכל סוג שהוא.
