זה אלמנטרי, ווטסון: שימור נתונים בבריטניה ובישראל
פסק-הדין בעניין ווטסון, הגם שאינו נושא בשורה אופרטיבית ביחס לדין הבריטי, עשוי לשמש אינדיקציה באשר לעתיד ה-IPA, המסדיר את דיני המעקב המקוון הבריטיים. רצוי לראות בו גם תזכורת לאסדרה החלקית של המעקב המקוון בדין הישראלי, ומשום קריאה לשוב ולבחון את מידתיותם של ההסדרים הקיימים.
ביום 30 בינואר 2018 פרסם בית-המשפט לערעורים הבריטי את פסק-דינו בעניין Tom Wattson MP v. Secretary of State for the Home Department (להלן: "עניין ווטסון"). Tom Wattson MP v. Secretary of State for the Home Department, EWCA [2018] Civ 70 . פסק-הדין דן בערעור המדינה על פסק-דינו של בית-המשפט הגבוה הבריטי מחודש יולי 2015,Davis and Others v. Secretary of State for the Home Department [2015] EWHC 2092 (Admin. להרחבה, ר' Lornea M Woods, "High Court Strikes down Data Retention Laws in Ruling on DRIPA " 1 EUR. DATA PROT. L. REV. 236 (2015). אשר ביטל חלק מהוראות חוק סמכויות החקירה ושימור הנתונים הבריטי (Data Retention and Investigatory Powers Act 2014, להלן: "DRIPA").Data Retention and Investigatory Powers Act 20, 14 c.27 (Eng). בפסק-דינו בעניין ווטסון, נתן בית-המשפט סעד הצהרתי, והכריז כי ההוראות שב-DRIPA אינן תואמות את הדין האירופי. חלק מגופי התקשורת הבריטיים מיהרו לתאר את פסק-הדין כהכרזה שיפוטית על פסלות משטר המעקב המקוון הבריטי, אך נראה כי אין מדובר במהפכה של ממש.
סוגיית שימור הנתונים (data retention) עוסקת בהיקף החובה שיש להחיל על בעלי מאגרי מידע וספקי שירותי תקשורת בפרט, לשמור נתוני תקשורת ותוכן, כדי שבשלב מאוחר יותר מידע זה יהיה זמין לגופי החקירה לפי צו או מכול דרישה אחרת. ככל שהחוק נותן בידי גורמי החקירה סמכויות נרחבות יותר של יירוט תקשורת בזמן אמת, כך מתייתר הצורך של אותם גורמים להתבסס על מידע מוקדם מכוח חובת שימור הנתונים של ספקי התקשורת (מאחר שהם רשאים ליירט נתונים אלו בזמן אמת), ואולם ככל שהחוק מגביל את יכולתם של גורמים אלו לעסוק ביירוט ישיר של תקשורת, כך הם תלויים יותר בשימור נתונים על ידי ספקי התקשורת.
בדין הבריטי, שימש DRIPA עד לא מכבר כמקור הסמכות של שר הפנים הבריטי (secretary of state) להורות על שימור נתונים. השר הוסמך להורות לספקי תקשורת לשמור נתוני תקשורת (metadata, נתונים אשר אינם נתונים על אודות תוכן התקשורת עצמה), אם לדעתו שימורם נחוץ ומידתי ביחס לקשת רחבה של תכליות, ובתוכן בטחון לאומי, מניעת פשיעה והפרות סדר, בטחון הציבור, הגנה על בריאות הציבור, גבייה או אומדן של מסים, הצלת חיים ומניעת נזק בגוף ובנפש בעת חירום.
בפסק-דינו מחודש יולי 2015, צמצם בית-המשפט הגבוה הבריטי את התחולה המהותית של DRIPA, והגביל את התכליות שמכוחן יותר לגשת ולהשתמש בנתוני תקשורת שנשמרו מכוח צו שניתן תחת החוק, בקובעו כי החל ממרץ 2016, הוראות DRIPA יהיו בטלות ביחס לגישה ולשימוש בנתוני תקשורת שנשמרו למטרות שאינן מניעה או זיהוי של פשעים חמורים, או למטרות של ניהול תביעות משפטיות הקשורות בהם. כמו כן, נקבע כי לא ניתן להתיר גישה ושימוש בנתוני תקשורת באופן שאינו כפוף לביקורת שיפוטית המוודאת כי קיים צורך מוחלט (Strict Necessity) בכך.שם, 'בפס' 122 לפסק-דינו של השופט בין (Bean). המדינה ערערה על החלטת בית-המשפט הגבוה.Secretary of State for the Home Department v David Davis MP and others [2015] EWCA Civ 1185,. להרחבה, ר' Lornea M Woods, " Court of Appeal Refers to CJEU on DRIPA " 4 EUR. DATA PROT. L. REV. 307 (2015). בית-המשפט הבריטי לערעורים, בסוברו כי השאלות שלפניו עוסקות בדין האירופי, הפנה בתורו שתי שאילתות לבית-הדין האירופי,פסקה 118 לפסק-דינו של השופט ג'ונס, שם. אשר נתבררו שם בעניין Tele2 Sverige AB.CJEU, Joined Cases C-203/15 and C-698/15 (Tele2 Sverige AB and Secretary of State for the Home Department v Post- och telestyrelsen and Others), 21.12.2016
בעניין Tele2 Sverige AB, קבע בית-הדין האירופי כי הסדרה לאומית של שימור נתונים, תחת חוקי האיחוד, אינה יכולה להיות כללית וחסרת אבחנה. חיוב ספקי נתונים לשמור נתונים יתאפשר במקרים בהם חל צורך מוחלט בשימור הנתונים, ובמסגרת הסדרה בחקיקה מדינתית של שימור נתוני תקשורת. על הסדרה כזו להכיל הגבלות ובקרות מתאימים ביחס לקטגוריות הנתונים הנשמרות, לאמצעי התקשורת מהם נאספים הנתונים, להיקף מושאי המידע שביחס אליהם נשמרים הנתונים וביחס לתקופת השימור.שם, פסקאות 108-109. חקיקה כזו נדרשת להגדיר תנאים מהותיים ופרוצדוראליים שלפיה יתנו ספקי שירותי תקשורת גישה לנתונים אלו לרשויות המוסמכות, ועל נתונים אלו להיות קשורים למי שמבצע 'פשעים חמורים' (serious crime, להבדיל מעבירות בדרגות המקבילות לעוון או חטא), ככל שיש ראיות לכך שהנתונים המבוקשים תורמים להגשמת המטרות. פרט למקרים דחופים, נדרשת ביקורת שיפוטית (או של רשות עצמאית) על בקשות לנתונים אלו.שם, פסקה 120.
אלא שבשעה שבית-הדין האירופי לצדק התחבט בעניין Tele2 Sverige AB, נכנס לתוקפו בבריטניה חוק סמכויות החקירה (Investigatory Powers Act 2016, להלן: "IPA"),Investigatory Powers Act 2016, c.25 (Eng.) . שהיווה רפורמה מקיפה בדיני המעקב המקוון, ובין השאר ביטל את ההסדרים המצויים ב-DRIPA. משכך, בפרשת ווטסון לא נותר לבית-המשפט לערעורים אלא לתת סעד הצהרתי ביחס לחוק שאינו עוד בתוקף. על רקע פסק הדין של בית-הדין האירופי לצדק בעניין Tele2 Sverige AB, קבע בית-המשפט לערעורים בפרשת ווטסון כי DRIPA אינו תואם את הדין האירופי, מקום בו הוראותיו מתירות, לתכליות של אכיפת חוק, גישה לנתונים שמורים שאינה לשם מניעת פשע חמור, או מקום שהוא מאפשר גישה לנתונים שמורים ללא ביקורת שיפוטית או של רשות מנהלית עצמאית אחרת.עניין ווטסון, פסקה 27.
אין ספק שסעד הצהרתי זה נותן רוח גבית למתנגדי ה-IPA, שכבר בשלבי חקיקתו זכה לכינוי 'the UK Snooper’s Charter' ('מגילת זכויות החטטן'). במסגרת ה-IPA מוסדרות פרקטיקות מגוונות של מעקב מקוון, לרבות טכניקות שונות של איסוף חסר אבחנה (bulk collection), כמו גם שימור נתונים. ביוני 2017, נתן בית-המשפט הגבוה הבריטי רשות לארגון זכויות האדם Liberty לפתוח בהליכים משפטיים התוקפים גם את ה-IPA.עניין ווטסון, פס' 6(2).
נוסף על כך, אי הודאות בנוגע להסדרי העברת המידע בין האיחוד לבריטניה בעידן שלאחר הברקזיט, עשויה גם היא לשמש כגורם התומך בריסון הסמכויות הרחבות של ה-IPA, אשר הלימתם את הדין האירופי מוטלת בספק. ואכן, עוד בטרם מתן ההחלטה בעניין ווטסון, הפיצה הממשלה הבריטית תזכיר הצעת חוק לתיקון ה-IPA להערות הציבור. במסגרת התיקון מוצע, בין השאר, לשנות את התכליות שמכוחן רשאי השר להורות על שימור נתוני תקשורת, וכן להכפיף חלק מסמכויות השגת נתוני תקשורת לביקורת מעין-שיפוטית.
השוואת ההתפתחויות בבריטניה ובשאר אירופה עם הדין הישראלי החל על שימור נתונים, אינה מחמיאה לנו במיוחד, סוגיה זו אינה מוסדרת בו באופן מפורט את סוגיית שימור הנתונים. חוק הגנת הפרטיות והתקנות מכוחו אינם מכילים הוראות כלליות הנוגעות לתקופת שמירת הנתונים במאגר המידע, נתונים המותרים לשמירה מבחינתם תוכנם, תקופת החזקה מקסימלית בנתונים או כל היבט אחר של data retention. אין בדין איסור על עצם שימורו של מידע רגיש או מגבלות החלות על תקופת שימורו של מידע רגיש על-ידי חברות תקשורת סלולארית,ר' ת"א 1994/06 (מחוזי ת"א) אמיר לירן נ' פלאפון תקשורת ואח', פס' 9. ויש הרואים את חקיקת חוק נתוני תקשורתחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), תשס"ח-2007, ס"ח 2122 התשס"ח (21.12.2007), עמ' 72 (להלן:"חוק נתוני תקשורת"). כמכוננת חובה אפשרית לשמירת הנתונים.ר' לעמדת היועץ המשפטי לממשלה מיום 7 ביוני 2009 במסגרת עניין לירן. עם זאת, חוק השב"כ מקנה לראש הממשלה את הסמכות לקבוע בכללים חשאיים הוראות במסגרתן תקבע הדרך שבה על בעל רישיון הבזק לשמור את המידע, תקופת השמירה ודרכי העברת המידע לשירות.ס' 11 לחוק שירות הביטחון הכללי, תשס"ב-2002 , ס"ח 1832 התשס"ב (21.2.2002), עמ' 179. חובה זו חלה ביחס לשימורם של נתונים שאינם נתוני תוכן.
בכל מקרה, ביחס לישראל, רב הנסתר על הגלוי. לא ברור מהו היקף שימור הנתונים שנעשה על-ידי חברות התקשורת. האם כללי השב"כ מורים על שימור מידע ללא אבחנה, או רק ביחס למטרות מודיעיניות ספציפיות? האם נעשה שימוש בנתונים שנשמרו לתכליות ביטחוניות מכוח כללי השב"כ על-ידי רשויות אחרות, לתכליות שאינן ביטחוניות (למשל, במסגרת צו תחת חוק נתוני תקשורת)? האם המשטרה מסתמכת על שימור נתונים וולנטרי של בעלי רישיון בזק?
ברור גם כי הדין הישראלי הקיים אינו הולם את הסטנדרט האירופי, אותו החיל בית-המשפט הבריטי בעניין ווטסון. חוק נתוני תקשורת מאפשר למשטרה לפנות לבית-המשפט בבקשה לצו לקבלת נתוני תקשורת בין השאר גם למטרות של גילוי, חקירה או מניעת עבירות מסוג עוון, המשתרעות על פני היקף נרחב של עבירות, שחלקן ברמת חומרה שאין בה כדי להצדיק בהכרח את הפגיעה בפרטיות שמגולמת בחוק.ס' 3(א)(2) לחוק נתוני תקשורת. כמו כן, חוק נתוני תקשורת מאפשר במקרים דחופים קבלת נתוני תקשורת ללא ביקורת שיפוטית (אך לא למטרות של גילוי ומניעת עבירות מסוג עוון).ס' 4 לחוק נתוני תקשורת. בעניין האגודה לזכויות אזרח נ' משטרת ישראל,בג"ץ 3809/08 האגודה לזכויות אזרח נ' משטרת ישראל (פורסם בנבו, 28.05.2012). בו נתקף חוק נתוני תקשורת, החלת ההסדר על עבירות מסוג עוון נמצאה כמידתית – וזאת לאור הביקורת השיפוטית על מתן צו נתוני תקשורת למטרות אלו.שם, פס' 18-19 לפסק דינה של הנשיאה בייניש. ההסדר המאפשר קבלת נתוני תקשורת במקרים דחופים ללא צו מאת בית-המשפט נמצא אף הוא כמידתי – בכפוף לפרשנות המחייבת הפעלת שיקול דעת מנהלי קפדני.שם, פס' 26-27 לפסק דינה של הנשיאה בייניש.
לבסוף, יש לתת את הדעת גם על רפורמת הפרטיות באיחוד האירופי. בחודש מאי 2018 יכנסו לתוקפן תקנות הגנת הפרטיות הכלליות (GDPR).Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation), 2016 O.J. (L 119) 1 (EU) (להלן: "GDPR"). בין עקרונות הגנת המידע שב-GDPR, ישנו עקרון מגבלת השמירה (storage limitation),GDPR, Art. 5(1)(e). לפיו מידע אישי יישמר באופן המאפשר את זיהוי מושא המידע לתקופה שלא תעלה על הנדרש למטרות שלשמן המידע מעובד. הגם שאירופה הכירה במדינת ישראל כבעלת רמת הגנה נאותה על מידע פרטי,Article 29 Data Protection Working Party, Opinion 2009/6 on the level of protection of personal data in Israel (1.12.2009). לאור הרף החדש שנקבע ב-GDPR, וכן לאור הפסיקה האירופית מן השנים האחרונות,לצד עניין Tele2 Sverige AB ניתן להזכיר גם את פסק-הדין האירופי שפסל את דירקטיבת שימור הנתונים, CJEU, Joined cases C-293/12 and C-594/12 (Digital Rights Ireland v Minister for Communications, Marine and Natural Resources, Seitlinger and Others), (18.4.2014) [2014] E.C.R. I-238; כמו כן, החלטת בית-הדין בעניין CJEU, C-362/14 (Maximillian Schrems v Data Protection Commissioner), 6.10.2015, הדן בהשפעות של מעקב המונים, mass surveillance, על העברת נתונים לחברות פרטיות אמריקניות, יש בו כדי ללמד על הלך הרוח האירופי ביחס לרמת ההגנה הנדרשת לצורך העברת נתונים של מושאי מידע אירופיים למדינות צד שלישי. אין לדעת אם בהעדר אסדרה של דיני המעקב המקוון, לרבות סוגיית שימור נתוני תקשורת והגישה אליהם, קביעה זו (לה השלכות כלכליות משמעותיות) תיוותר על כנה.
פסק-הדין בעניין ווטסון, הגם שאינו נושא בשורה אופרטיבית ביחס לדין הבריטי, עשוי לשמש אינדיקציה באשר לעתיד ה-IPA, המסדיר את דיני המעקב המקוון הבריטיים. רצוי לראות בו גם תזכורת לאסדרה החלקית של המעקב המקוון בדין הישראלי, ומשום קריאה לשוב ולבחון את מידתיותם של ההסדרים הקיימים.