חוק הגנת הפרטיות שנחקק לפני 35 שנה, אינו רלוונטי להיום

חוק הגנת הפרטיות נחקק בשנת 1981. באותה תקופה כמות מאגרי המידע הממוחשבים הייתה קטנה לעין שיעור מהיום. החוק מטיל חובות נכבדות על בעל מאגר הכולל מידע פרטי, ובצדן סנקציות משמעותיות. בימינו, מרבית החברות מחזיקות מאגרי מידע ממוחשבים אודות לקוחות ועובדים הכוללים מידע פרטי, וחובות הרישום הרחבות הקבועות בחוק מובילות לכך שמרבית מאגרי המידע בישראל מחייבים רישום. מידת הרלוונטיות של ההסדר הקיים בנוגע לחובת רישום, למול המציאות הטכנולוגית הנוכחית ולהיקף הנרחב של מאגרי המידע הקיימים כיום מוטלת בספק.

לפני כשבועיים אושרו תקנות הגנת הפרטיות בוועדת חוקה חוק ומשפט, הצפויות להיכנס לתוקף לאחר שנה מיום פרסומן. תקנות אלה באות להוסיף על החוק. טיוטת התקנות פורסמה לראשונה על-ידי הרשות למשפט וטכנולוגיה לפני למעלה משש שנים. על אף שהתקנות החדשות מהוות רפורמה משמעותית בתחום אבטחת המידע, הן דוגמא נוספת לכך שקצב התפתחות החקיקה בתחום הגנת הפרטיות צבר פער משמעותי למול קצב התפתחות הטכנולוגיה.

ישנו תזכיר חוק שפורסם בשנת 2011 העוסק בצמצום חובת הרישום, אך כל עוד לא תוקן החוק, חובת הרישום הרחבה נותרת בעינה. חברות רבות אינן מודעות לחובות המוטלות עליהן על פי החוק ביחס לאותם מאגרי מידע והן עלולות להימצא בהפרה של החוק. ניתן לסווג את החובות מכוח החוק לחמישה תחומים עיקריים: רישום המאגרים, אופן איסוף המידע, השימוש במאגרים, אבטחת המידע וזכות העיון. התקנות החדשות העוסקות באבטחת מידע באות להוסיף על חובות אלו, אך נראה שגם הן אינן מותאמות באופן מלא למציאות הטכנולוגית הקיימת.

אבטחת מידע (אילוסטרציה)

במסגרת התקנות, מתבצעת חלוקה למאגר מידע החלה עליו רמת אבטחה בסיסית, רמת אבטחה בינונית ורמת אבטחה גבוהה. החלוקה מתבצעת בהתאם לבעל המאגר, סוגי המידע שנאספים במאגר, מטרת המאגר, מספר האנשים עליהם המידע נאסף ומספר המורשים אליו. ככל שלפי התקנות נדרשת רמת אבטחה גבוה יותר לסוג מאגר מסוים, כך יחולו עליו יותר חובות בעניין ניהול ואבטחת המאגר.

חלק מההוראות הקבועות בתקנות החדשות, משקפות את ההנחה כי לבעל מאגר שליטה פיזית על מקום בהימצאן של מערכות המידע המשמשות את המאגר. אך כידוע, כיום מרבית המידע של חברות מאוחסן באמצעות ספקיות שירותי ענן דוגמת אמזון. נראה שיישום תקנות אלה על אחסנה באמצעות שירותי ענן מעורר קשיים לא מבוטלים.

על פניו, לפי התקנות החדשות, במסגרת התקשרות עם חברה חיצונית לצורך אחסון מידע, בעל המאגר יידרש להכניס סעיפים שונים המתייחסים ליישום של התקנות לרבות סעיפים לגבי מורשי גישה, זיהוי ואימות, בקרה ותיעוד, אבטחה פיזית ועוד. כוח המיקוח מול חברת ענק לאחסון מידע הוא בדרך כלל קטן וייתכנו קשיים בביצוע שינויים בחוזים הסטנדרטים של חברה מסוג זה. בנוסף, בעל מאגר המידע יידרש לנקוט אמצעי בקרה ופיקוח על ספקית שירותי הענן, כדי שיוכל לעמוד בחובותיו לפי התקנות. אף שחברות גדולות פעמים רבות מתאימות עצמן לרגולציה של המדינות השונות, מדובר בתהליך מורכב שלוקח זמן.

תהליכי החקיקה בתחום הגנת הפרטיות מתקדמים באיטיות לאורך שנים, כתוצאה מכך, החקיקה נותרת מאחור ואינה מותאמת למציאות הטכנולוגית המתקדמת במהירות ומשתנה באופן תדיר. אם בעבר חובת הרישום הרחבה אשר קבועה בחוק הגנת הפרטיות הייתה רלוונטית, כיום האפקטיביות והרלוונטיות שלה מוטלת בספק. כך גם יישום התקנות החדשות על שירותי ענן צפוי לעורר קשיים רבים. נדרש כי הרגולטור ייתן דעתו לנושא זה, ויפעל לצמצום הפער בין קצב התפתחות החקיקה לקצב התפתחות הטכנולוגיה.