הרשות להגנת הפרטיות היא גוף רגולטורי שתכליתו להסדיר, לפקח ולאכוף את חוק הגנת הפרטיות בישראל, וגם להגן על הזכות לפרטיות של כל אחת ואחד מאיתנו, שהיא זכות יסוד. לא בטוח שרוב הציבור בארץ מכיר את פעילותה של הרשות, אבל השבוע היא עלתה לכותרות בעקבות דו"ח ביקורת שפרסם מבקר המדינה, השופט בדימוס יוסף שפירא. בדו"ח החדש, המבקר מותח ביקורת נוקבת על הרשות, אך לטעמי הוא מפספס את העיקר. בפסקאות הבאות אסביר מדוע.
דו"ח המבקר כולל ביקורת על מיעוט פעולות אכיפה מטעם הרשות, ועל אי-קיומה של תפיסה כוללת לגביהן. הוא מתייחס גם לעובדה שהרשות לא עשתה שימוש מספק בסמכויותיה לפרסום הנחיות ונהלים, ולחוסר המעורבות שלה בפרויקטים ממשלתיים שקשורים לתחום האחריות שלה. במקביל מציין המבקר כי משרד המשפטים לא קידם תיקוני חקיקה שיסדירו את תחום הפרטיות – ובמיוחד את סמכויות האכיפה של הרשות.
הרושם שנוצר מקריאת הדו"ח הוא שהמבקר התרכז בביקורת פרוצדורלית ופספס הזדמנות לגעת במהות הדברים – כשל מרכזי שגלום בפעילותה של הרשות להגנת הפרטיות. הכשל הזה היה נותר על כנו גם אם כל עובדי הרשות היו מבצעים את תפקידם על הצד הטוב ביותר. לפיכך, גם אם כל המלצותיו יזכו ליישום (ואני סקפטית שכך יקרה), מצבנו בתחום הגנת הפרטיות לא ישתפר.
בתחום הפרטיות, האתגר המרכזי שמונח לפנינו הוא אתגר טכנולוגי. זה לא סוד שהטכנולוגיה העכשווית לא רק מאפשרת פגיעה בפרטיות – אלא במידה רבה מבוססת על סחר במידע אישי של המשתמשים
האתגר המרכזי שמונח לפנינו בתחום הפרטיות הוא אתגר טכנולוגי. היכולת לאחסן ולעבד מידע הולכת ומשתכללת בצעדי ענק. זה לא סוד שהטכנולוגיה העכשווית לא רק מאפשרת פגיעה בפרטיות – אלא במידה רבה מבוססת על סחר במידע אישי של המשתמשים. מדובר באתגר שמעסיק מדינות רבות, וכבר הוליד כמה וכמה מודלים שמאפשרים לצמצם את הפגיעה בפרטיות. הבעיה היא התמריץ. לשיטתי, תמריץ כזה יכול להגיע משני מקורות מרכזיים – רגולציה, וכוחות השוק.
נתחיל עם הרגולציה. בדו"ח החדש, המבקר התייחס להיעדר מדיניות אכיפה כוללת ברשות להגנת הפרטיות. עם זאת, חסרה מחשבה ובחינה מקדמית של האפשרות שלפיה השקעה בפעולות אכיפה כאלה בעצם לא תביא את התועלת המצופה ממנה.
השאלה אינה מדוע, חרף הכפלת מספרם של עובדי הרשות, פעולות האכיפה הצטמצמו (כפי שתהה המבקר). השאלה שצריך לשאול היא האם גם לרשות "אוטופית" יש יכולת לשנות את רמת הפגיעה בפרטיות בישראל. ומשום שאנו עוסקים בתחום הרגולציה, מוצע לבחון היטב כיצד לבנות מערכת אסדרה ואכיפה אפקטיבית שמותאמת להווה ולעתיד הטכנולוגי – ולא רק לקדש את הקיים.
האם מישהו מאיתנו זוכר מקרה מהעולם שבו מדיניות של רגולטור בודד הצליחה להשפיע על דפוס הפעולה של גוף מסחרי כך שישנה את התנהלותו? וחשוב מכך, האם השינוי שנעשה (ככל שנעשה) אכן השפיע באופן מהותי על רמת הפרטיות של כל אחת ואחד מאיתנו?
לאחרונה אכן חווינו שינוי חלקי בהתנהגות של ענקיות הרשת בתחום תעמולת הבחירות. ואולם, כדאי להתמקד במוטיבציה שהובילה לשינוי הזה. במקרה המוזכר, המוטיבציה לשינוי, כמו גם ההרתעה, לא נוצרו בשל החשש מפגיעה בפרטיות. השינוי נעשה משום שבחברות הענק חששו שיאשימו אותן בהטיית בחירות ופגיעה בדמוקרטיה, על רקע כמה מערכות בחירות מהעת האחרונה (הודו, האיחוד האירופי, ישראל ועוד).
כוחות השוק עשויים להצליח לייצר תמריץ להגנה על פרטיות בקרב גופים קטנים ובינוניים. אולם, בכל הקשור לרשויות הציבוריות ולחברות הענק קיים כשל שוק אמיתי
מסקנת ביניים אפשרית: ניתן לייצר רגולציה אפקטיבית, כזו שתשנה את התנהלותן של ענקיות הרשת, במקרים שבהם נוצר לחץ בינלאומי – לצד דיון רחב על זכויותיו הדיגיטליות של האדם, ותוך בחינת השיקולים השונים שעולים מהנושא שמבקשים להסדיר. הזכות לפרטיות היא חלק מהשיח הזה, אבל היא לא גוברת בהכרח על זכויות אחרות.
התמריץ השני הוא כאמור כוחות השוק. כוחות השוק עשויים להצליח לייצר תמריץ להגנה על פרטיות בקרב גופים קטנים ובינוניים (לדוגמה, חברות השיווק שמתקשרות אל יולדות הודות לדליפת מידע מבית-החולים שבו ילדו). ואולם, בכל הקשור לרשויות הציבוריות ולחברות הענק קיים כשל שוק אמיתי. תפיסת הפרטיות של המשתמשים – ובלשון המשפטנים, "הציפייה לפרטיות" – השתנתה בשנים האחרונות מן הקצה אל הקצה. רבים מאיתנו מצרים על השינויים הללו, אולם איננו יכולים להתכחש להם.
מעבר לעובדה שהתפיסה הזו השתנתה בשל נוחות המשתמש, במובנים מסוימים אנו נזקקים להסכמה לוויתור מסוים על פרטיותנו לאור שטף המידע ההולך ומתגבר. היקפו העצום של שטף המידע פוגע ביכולתנו לאתר את המידע הרלבנטי עבורנו ללא מתווכים. במובן הזה, אין כאן שום חידוש; גם בעבר היו לנו מתווכי מידע – התקשורת הממוסדת, אנשי דת, האקדמיה וכיוצא באלו. כולם יחד וכל אחד לחוד הרשו לעצמם לצנזר תוכן שנתפס כבעייתי, או למסגר אותו לפי צורכיהם.
המתווכים החדשים, לעומת זאת, מנסים להיות יותר הגונים מהמתווכים הישנים במובן הזה שהם מנסים להנגיש לנו מידע לתועלתנו. לפיכך, במכלול שיקוליהם (שלחלוטין אינו נטול פניות) הם מתייחסים להעדפות שלנו כחלק מטיוב השירות שלהם. ההעדפות הללו נלמדות באמצעות ניתוח הנתונים על אודותינו.
המחשבה שיש לנו שליטה מובהקת במידע שנצבר עלינו היא לא יותר מאשליה. המסקנה הנובעת מכך היא שיש לעבור לשיח מורכב יותר, של זכויות דיגיטליות, תוך יצירה של מערך חשיבה ואיזונים שמתאימים יותר לעידן הנוכחי
למען הסר ספק, איני מצדיקה את האיסוף המיותר לעתים של מידע איכותני על קהל המשתמשים. ואולם, המחשבה שיש לנו שליטה מובהקת במידע שנצבר עלינו היא לא יותר מאשליה. המסקנה הנובעת מכך היא שיש לעבור לשיח מורכב יותר, של זכויות דיגיטליות, תוך יצירה של מערך חשיבה ואיזונים שמתאימים יותר לעידן הנוכחי – עד כמה אנו מוכנים לוותר על הפרטיות בשביל נוחות, שקיפות, חופש ביטוי וכדומה.
הסוגיות הללו, שהן רק חלק מהסוגיות הבוערות בתחום, ממחישות את הקושי ביצירת רגולציה אפקטיבית שתגן על פרטיותם של האזרחים. בשל כך אני סבורה שהמבקר פספס את השאלה המרכזית שעומדת כעת על הפרק – שהיא האם בכלל יש מקום לרשות להגנת הפרטיות במודל הנוכחי שלה.
כדי להשיב על השאלה הזאת יש לבחון מהו כוחה של המדינה בהתמודדות עם תחום מורכב זה. כשיוצאים מנקודת הנחה שהאתגר המרכזי הוא אתגר טכנולוגי, עולה מאליה המסקנה שלפיה המדינה צריכה למצוא כלים – תמריצים כלכליים, חקיקה, רגולציה – כדי לכוון את השוק לפתרונות שמעודדים תכנון לפרטיות ולייצר שיתופי פעולה בינלאומיים שיחזקו את הזכויות הדיגיטליות האישיות בעידן הטכנולוגי.
טוב יעשו קברניטיה החדשים של הממשלה, לכשתקום, אם יפעלו כדי לדייק את הטיפול בנושא באמצעות חשיבה רחבה וחדשה – ולא כזו ששורשיה כבולים עדיין אל תחילת שנות השמונים של המאה הקודמת, אז נחקק בישראל חוק הגנת הפרטיות.
עו"ד רבקי דב"ש כיהנה כמנהלת מחלקת רישוי ופיקוח ברשות להגנת הפרטיות בשנים 2008–2011, וב-2013 מילאה את תפקיד ראש הרשות באופן זמני במשך חצי שנה. בשנים 2012–2018 כיהנה כראש היחידה הממשלתית לחופש המידע