הכישלון של כללי ה-GDPR להגן על האזרח הקטן

מה אנשים מבוגרים בגיל הפנסיה אוהבים יותר מכל? את הנכדים שלהם, זה ברור לכל מי שמכיר סבא או סבתא. ילדים זה נחמד, וכמובן, כמובן, שאוהבים אותם. אבל נכדים? זה משהו אחר לגמרי, אהבה גדולה במיוחד. ובמקרים רבים, חלק בלתי נפרד באהבה הזו הוא הצורך להשוויץ בנכדים המושלמים. צורך שהודות לרשתות חברתיות ניתן למלא כיום בקלות יחסית.

אבל מה קורה שסבתא מפרסמת תמונות נכדים בפייסבוק ומסרבת לדרישת האמא להסיר אותן מהרשת החברתית? אחד התיקים המשפטיים הביזאריים של השנה, שהפסיקה שהתקבלה בו מעלה חשש רציני מהאופן שבו גורמים בעלי ממון עלולים לנצל לרעה חוקי פרטיות במטרה למנוע פרסום מידע מביך עליהם.

במרכז הסיפור, שהתרחש בהולנד, עומדות סבתא, אמא ותמונות של שלושת הילדים/נכדים שפרסמה הסבתא בפייסבוק ובפינטרסט. לפני כשנה עבר חתול שחור בין הסבתא לבתה והשתיים לא היו בקשר רציף. על רקע הסכסוך, אחרי שסירבה הסבתא לבקשת האם למחוק את תמונות הילדים מהרשתות החברתיות, החליט האמא לפנות לבית המשפט בדרישה שיחייב אותה להסירן בהתאם לכללי הפרטיות של האיחוד האירופי (GDPR) שנכנסו לתוקף לפני כשנתיים.

בית המשפט, באופן מפתיע במעט, לא זרק את התיק מכל המדרגות ושלח את השתיים לפתור את הסכסוך המשפחתי ביניהן מבלי לחמוס את זמנו המוגבל גם ככה, אלא דן, פסק לטובת האם ואסר על הסבתא לפרסם תמונות של שלושת הנכדים במדיה חברתית. לדברי בית המשפט, הסבתא הפרה את כללי GDPR, שאוסרים פרסום תמונות קטינים בני פחות מ-16 ללא אישור האפוטרופוס החוקי שלהם. בית המשפט גם הורה לסבתא למחוק את כל התמונות שפרסמה בתוך 10 ימים, או לשלם קנס של 50 יורו ליום.

מדובר במקרה יוצא דופן שחושף את היקף ההשפעה שיכול להיות לכללי GDPR, שמבוססים על התפיסה שבידי הפרט צריכה להיות השליטה במי אוסף, משתף ומאחסן את המידע שלהם. "למיטב ידיעתי, מדובר במקרה הראשון אי-פעם שבו נעשה שימוש ב-GDPR ליישוב סכסוך משפחתי", אמר לניו יורק טיימס עו"ד ארנוד אנגלפרייט ממשרד עורכי הדין ההולנדי ICTRecht. "החוק נותן לאזרחים פרטיים אפשרות לפעול נגד חברות, ממשלות ופרטים שפוגעים בפרטיות שלהם. רק לעתים נדירות אנחנו רואים פעולה שכזו בגלל העלויות, אבל זה בהחלט אפשרי". הוא העריך שאחרים ינסו לנקוט בפעולות דומות בעתיד, אך הבהיר שכללי חופש ביטוי עלולים להכשיל חלק מניסיונות אלו.

כללי GDPR נוצרו במטרה להגן על פרטים מענקיות הטכנולוגיה ופרקטיקות איסוף המידע הרחבות שלהן. זאת, באמצעות כלים כמו מתן שליטה למשתמשים על המידע שלהם ומה שנעשה בו, ריכוז הרגולציה בנושא נגד חברות בהתאם תחת הרגולטור במדינה שבה נמצא המטה הראשי שלה באיחוד (לרוב אירלנד) וקנסות שיכולים להגיע ל-4% מההכנסות השנתיות של החברה.

אבל לפי כתבה שפרסם הניו יורק טיימס לפני כחודש, כללי GDPR נפלו קרבן להעדר אכיפה, מימון לא מספק, משאבי כוח אדם מוגבלים וטקטיקות דחייה מצד ענקיות הטכנולוגיה (שמצדן לא סובלות מקשיי מימון או כוח אדם). אפילו התומכים הגדולים ביותר של הכללים מתוסכלים מהיישום שלהם בפועל. עד עתה, גוגל היא ענקית הטכנולוגיה היחידה שספגה קנס בהתאם לתקנות החדשות – 50 מיליון יורו במאי 2018 שבקושי דגדגו את תקציב הפינוקים החודשי לעובדים. ולמרות חקירות נרחבות נגד פייסבוק, אמזון וטוויטר אף אחת מהן לא ספגה עדיין קנס.

המקרה הנוכחי – שבו אדם פרטי ניצל את הכללים כדי לחייב אדם פרטי אחר להסיר מידע – צריך להוות נורת אזהרה נוספת. שכן לצד הכישלון עד עתה בטיפול בענקיות הטכנולוגיה, יש חשש אמיתי שגורמים אחרים בעלי עוצמה וכסף ילמדו מהאם ההולנדית וינסו למנוע פרסום מידע עליהם באמצעות פנייה לבית המשפט בטענה שהפרסום מפר את כללי GDPR. מדובר, אחרי הכל, ברגולציה מורכבת ומסובכת. פרקליט חד לא יתקשה למצוא סעיף או שניים שאפשר לפרש כרלוונטיים ללקוח שרוצה להסיר מידע מביך. ההליך יכול להיות מהיר יותר מניסיון להסיר את המידע באמצעות תביעת דיבה ודורש רף הוכחות נמוך יותר (שכן, על פניו, אין צורך אפילו להיכנס לשאלה האם המידע נכון או לא אלא רק האם פרסומו פוגע בפרטיות בהתאם לכללי GDPR).

אפילו אם הדרישה לא מבוססת ויש סיכוי סביר שתיפול בבית המשפט לאור הגנה מתאימה, עדיין מפרסם המידע עלול להידרש להופיע בבית המשפט על כל ההוצאות הכרוכות בכך (ואולי גם להסתכן בקנס כלשהו. ודאי שהפרקליט של בעל השררה יאיים בקנס כזה במכתב אזהרה לפני תביעה שיישלח), וייתכן שלא צריך יותר בשביל לגרום להסרת המידע.

כללי GDPR נוצרו על מנת להגן את האזרח הקטן מפני תאגידי ענק. בכך הם כשלו, לפחות נכון לעכשיו שנתיים אחרי שנכנסו לתוקף. עתה, לאור המקרה ההולנדי, יש מקום לתהות האם גורמים בעלי כסף וכוח לא ינצלו אותם על מנת לפגוע באזרח הקטן ולנסות להשתיק אותו.