פרלמנט

הזכות לפרטיות - מידע אישי

איסוף, עיבוד ומסירה של מידע אישי

שתי התפתחויות מנוגדות בפסיקה ובחקיקה בשנה האחרונה בישראל מעוררות עניין מיוחד בסוגיית ההגנה על מידע אישי, סעיף בעל חשיבות גוברת של הזכות לפרטיות.

ההתפתחות הראשונה היתה חקיקת חוק נתוני אשראי התשס"ב-2002. החוק נכנס לתוקף לפני כחודשיים ועורר פולמוס בשל פגיעתו האפשרית בזכות לפרטיות. החוק מתיר ומסדיר איסוף ומסירה של מידע על הפרט כדי ללמד על יכולת עמידתו בהתחייבויות כספיות. מטרת החוק: הסדרת פעילות המסחר על-ידי מזעור מקרים של אי-עמידה בתשלומים. בה בעת הוראת החוק - המתירה העברת מידע פיננסי אישי בין גופים שונים כגון לשכת ההוצאה לפועל, בנק ישראל ותאגידים בנקאיים, רשתות שיווק, חברות תשתית (כמו חברת החשמל) וחברות ביטוח - מערערות משהו מן הכסות שחקיקת יסוד בישראל העניקה עד כה לכל אדם. סעיף 7 לחוק יסוד: כבוד האדם וחירותו קובע כי "כל אדם זכאי לפרטיות ולצנעת חייו, אין נכנסים לרשות היחיד של אדם שלא בהסכמתו, אין עורכים חיפוש ברשות היחיד של אדם, על גופו, בגופו או בכליו ואין פוגעים בסוד שיחו של אדם, בכתביו או ברשומותיו". החוק החדש, אם כן, מבטא נכונות לנגוס בהגנה על פרטיות כדי לקדם אינטרס ציבורי ליעילות כלכלית. במקביל נדונה והוכרעה בבית המשפט העליון במאי השנה עתירת האגודה לזכויות האזרח נגד משרד הפנים, מס הכנסה, המוסד לביטוח לאומי, רשות השידור, ואיגוד הבנקים בישראל. העותרת ביקשה להפסיק את נוהל ההתחברות של הגופים המוזכרים למחשב משרד הפנים ולנתוני מרשם האוכלוסין האגורים בו. התברר כי ההתחברות הייתה שגרתית, ללא הגבלה של המורשים בגישה וללא סינון של מידע עודף.

בית המשפט הכריע לטובת העותרת וקבע כי נוהג זה יופסק, ותחתיו יוסדרו דרכי התקשרות מוגבלות ומאובטחות כגון שאילתות. בדרך זו יקבלו הבנקים למשל רק את הנתונים הדרושים להם מכוח חוק ותימנע מהם גישה לנתונים על אודות כלל תושבי ישראל. החלטת בית המשפט נכנסה לתוקפה בימים אלה, ונותר עוד לראות כיצד תיושם.

סקירה קצרה זו מדגימה את המתח הקיים בין הזכות לפרטיות לבין ערכים אחרים, כמו האינטרס הציבורי ליעילות כלכלית או לחופש המידע. מתח זה מחריף דווקא במדינות המפותחות, המנהלות את מרבית תחומי החיים באמצעים טכנולוגיים מתקדמים. אותה מהפכה טכנולוגית שאנו מרבים להללה מביאה עמה גם יכולת איסוף, עיבוד ותפוצה של מידע על אודות מיליוני אנשים, ללא ידיעתם, גם אם המידע חלקי או שגוי. זאת ועוד, רבים יכולים לגשת למידע זה בה בעת, ללא אפשרות להתחקות אחר פעולותיהם. חברות מסחריות, חוקרים פרטיים ואף אנשים פרטיים, כפי שדווח לאחרונה בדבר גנבת זהותו של הכנר שלמה מינץ, מעוניינים להשיג חומר אישי על אנשים אחרים. הם מסוגלים לעשות זאת בעזרת מה שנקרא "כריית מידע" - הצלבת מידע ממקורות שונים תוך ניצול ליקויי האבטחה של המידע האגור בהם. כך למשל, כפי שמתברר מחקירות המשטרה, קל מדי להגיע לנתונים החסויים האגורים בפנקס הבוחרים וללמוד על מקום מגוריו של אדם, מספר תעודת הזהות שלו ותאריך לידתו.

"קל מדי להגיע לנתונים החסויים האגורים בפנקס הבוחרים וללמוד על מקום מגוריו של אדם..."

תוך הכרה כי החברה המודרנית מתקיימת על העברת מידע, והפעילות הכלכלית וכן השירותים הציבוריים ניזונים ממנו, ביקש המחוקק לקבוע כללי מינימום להעברת מידע אישי.

כללים בדבר הגנה על פרטיות בכלל ועל מידע אישי בפרט פזורים בעשרות חוקים בישראל: חוק המרשם הפלילי, חוק התקשורת, חוק המידע הגנטי, חוק זכויות החולה וחוקים רבים אחרים. כללי היסוד מצויים בחוק הגנת הפרטיות התשמ"א-1981. כאן התפרשה פגיעה בפרטיות כאשר הופרה חובת הסודיות לגבי ענייניו הפרטיים של אדם, או כאשר נעשה שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסר. פרק ב לחוק: הגנה על פרטיות במאגרי מידע, מחייב רישום של מאגרי מידע בני יותר מעשרת אלפי שמות, או הכוללים מידע חסוי, אצל רשם מאגרי המידע הכפוף למשרד המשפטים. הרשם רשאי לסרב לרישום אם קיים יסוד סביר להניח כי המאגר משמש לפעולות לא-חוקיות, או שהמידע הכלול בו נאסף בניגוד לחוק. החוק מטיל גם חובות שונות על מבקש המידע, כמו: שימוש במידע רק למטרה שלשמה הושג, המצאת הודעה למשיב אם חלה עליו חובה חוקית למסירת המידע, הצהרת המטרה שלשמה מבוקש המידע וכן למי יימסר המידע ומטרות המסירה. מבקש המידע חייב בחובת סודיות ובאחריות לאבטחת המידע. החוק מקנה זכות עיון לאדם במידע עליו, וכן אפשרות לתיקון מידע שגוי או כוזב.

חקיקה זו הולידה חקיקת משנה ענפה בנושא ההגנה על הפרטיות ועל איסוף, אגירה ועיבוד של מידע אישי. כ למשל צו הגנת הפרטיות (קביעת גופים ציבוריים) התשמ"ו-1986 קבע מי יהיו הגופים הציבוריים הרשאים לקבל מידע וידיעות; תקנות ביטוח רכב מנועי התשס"ד-2004 קבעו מה יהיו פרטי המידע שימסור המבוטח ומה תהיינה חובותיו של מפעיל מאגר המידע בחברת הביטוח; תקנות הגנת הפרטיות התשמ"ו-1986 סיפקו הוראות מפורטות לניהולו של מאגר מידע ונהלי ביצוע להעברת מידע בין גופים ציבוריים; ואת הזכות לעיין במידע הסדירו תקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדיון בערעור על סירוב לבקשת עיון) התשמ"א01981.

ברם, תיאור זה אינו מציג את תמונת המצב בשלמותה. כמקובל בחקיקה המגנה על זכויות אדם נפתח פתח לפסקאות הגבלה. כך, בסעיף 8 לחוק יסוד: כבוד האדם וחירותו נאמר כי "פגיעה בזכות לפרטיות, כמו פגיעה בזכויות האחרות הקבועות בחוק יסוד: כבוד האדם וחירותו, מותרת רק בחוק ההולם את ערכיה של מדינת ישראל, שנועד לתכלית ראויה ובמידה שאינה עולה על הנדרש..." כתכלית ראויה מקובל לראות את ענייני ביטחון המדינה או מניעת פשע. הגבלות אחרות על מימוש של הזכות מצויות לדוגמה בפקודות הסטטיסטיקה תשל"ב-1972, המחייבות את הנשאל למסור מידע לסטטיסטיקן; בצו איסור הלבנת הון, הדורש אימות פרטי זיהוי של לקוח הבנק עם הרישום במרשם האוכלוסין, או בחוק נתוני אשראי, המוזכר.

חתירה למציאת איזון הולם בין הגנה על מידע אישי לבין מימושם של יעדים אחרים מתקיימת בכל המדינות המתקדמות, ומתעצמת בשני העשורים האחרונים במקביל להתפתחות הטכנולוגיה. הבדל קיים, עם זאת, ברמת ההגנה שכל מחוקק מספק לזרימת מידע אישי; ויותר מכך, בפרשנות המרחיבה או המצמצמת שניתנת לפסקאות ההגבלה על-ידי גופי הממשל ובתי המשפט. כפי שנראה בסקירה המשווה להלן, הגורם המשפיע ביותר על המדינות האנגלו-סקסיות בתחום זה היו אירועי 11 בספטמבר ואיום הטרור, שהביאו לנגיסה בהגנה על מידע אישי; ואילו באירופה היה הגורם המשפיע ביותר הנחיות הגופים הבין-לאומיים: האיחוד האירופי, ה-OECD ואמנות בין-לאומיות שכפו על המדינות החברות רף חקיקתי גבוה להגנה על מידע אישי.

ארצות הברית כאן נהוגה שיטת טלאים חקיקתית בכל הנוגע לזכות לפרטיות. בחוקה האמריקנית אין זכות מפורשת לפרטיות, אך יש הגנה מפני חיפוש לא-מוצדק בתיקון הרביעי לחוקה. לצד זה קיימת חקיקה ענפה המגנה על הזכות לפרטיות בתחומים שונים, וכן פסיקה נרחבת, המבוססת על עקרון הפרטיות, בנושא ההפלות. הפגיעות בזכות נעשו על פי רוב בשם המלחמה בפשע - סמים בעיקר - ובשם ההלכה המשפטית בדבר "חוסר ציפייה לפרטיות" בנסיבות כאלה.

חוק הפרטיות מ-1974 הסדיר את ניהולם של מאגרי המידע המצויים בידי הממשל האמריקאי וחייב את הרשויות לעמוד בדרישות מסוימות. גם כאן התרחשו בפועל פגיעות בזכות מכוח פסקאות ההגבלה.

בשנים האחרונות התפתחו נורמות רחבות ביותר להגנת הפרטיות במגזר הפרטי בשל פסיקות נזיקין של בתי המשפט, חקיקת החוק הפדרלי הראשון להגנה על מידע רפואי וההכרזה על מועצת הסחר כי מספר הביטוח הלאומי הוא בבחינת מידע אישי.

התקדמות זו נבלמה עם חקיקת חוק ה-Patriot Act לאחר פיגועי הטרור של ה-11 בספטמבר. החוק פגע באורח משמעותי בהגנה על הפרטיות, בעיקר בתחום האזנות הסתר. אחד הסעיפים השנויים ביותר במחלוקת הוא סעיף 215, המאפשר לגוף ממשלתי לדרוש מספרייה את רישום ההשאלות של כל קורא. הסעיף מסיר מגבלות על הסמכות לבדוק רשומות. כך אפשר לבדוק שיחות טלפון, השכרות וידאו ורשומות רפואיות ללא הסכמת הפרט, רק בשם המלחמה בטרור. הסעיף אינו מחייב את המשטרה להציג לשופט הוכחה או ראיה לצורך קבלת צו חיפוש.

לאחר ה-11 בספטמבר היו יזמות ממשלתיות נוספות שדחקו את ההגנות על הפרטיות, לדוגמה תכניות הממשל US visit  ו-SEVIS שדרשו זיהוי ביומטרי של מבקרים והעברות מידע ממוסדות להשכלה גבוהה על סטודנטים. אחת הפגיעות החמורות ביותר הייתה התכנית TIA, שאפשרה סריקה של היקפים נרחבים של מידע אישי לצורך זיהוי פעילות טרוריסטית. תכנית זאת עוררה התנגדות רבה, ונראה שהיא גוועת מאליה לאור חקיקה מגבילה נוספת וקיצוץ במימון שזכתה לו.

אוסטרליה חוק הפרטיות התקבלה ב-1988. החוק נוגע לאגירת מידע אצל סוכנויות ממשלתיות בהשראת הנחיות ה-OECD (1980), ארגון שאוסטרליה חברה זו. ב-2000 נחקק חוק הפרטיות למגזר הפרטי, וב-2001 - חוק הגנת הפרטיות בעסקים קטנים. החקיקה האוסטרלית נחשבת נוקשה פחות מזו של מדינות אירופה. לדוגמה, היא מחייבת השגת הסכמה של הפרט לשימוש אחר במידע על אודותיו רק אם הדבר מתאפשר, ואינה מטילה מגבלות כבדות על העברת מידע מחוץ לגבולות המדינה.

האיחוד האירופי האמנה האירופית לזכויות אדם מבטיחה בסעיף 8 את הזכות לפרטיות. האיחוד ניסח ב-1995 הנחיות מפורטות יותר לעיבוד מידע אישי, תוך הקצבה של שלוש שנים למדינות האיחוד לתקן את חקיקתן בהתאם. ההנחיות תוקנו ב-2002. כל מדינות האיחוד האירופי הושפעו מן ההנחיות, אשר דורשות הסכמה מפורשת של הפרט לאיסוף מידע אישי רגיש על אודותיו, מחייבות את המדינות החברות בחקיקה המסדירה העברת מידע למגזר הפרטי, אוסרות על איסוף מידע עודף, ומקנות זכות רחבה לפרט לדעת על איסוף ומסירת המידע על אודותיו.

גרמניה בחוקה הגרמנית קיימת התייחסות לזכות לפרטיות בסעיף 10 (הגנה על התכתבות אישית) ובסעיף 13 (פרטיות בבית). בנוסף קיימת בה מסורת של חקיקה נרחבת בתחום הפרטיות. החוק הראשון להגנה על מאגרי מידע נחקק במדינת הסן כבר ב-1970, וב-1977 נחקק חוק פדרלי להגנה על מאגרי מידע (BDSG) שתוקן מאז ארבע פעמים - לאחרונה ב-2002, בהתאם להנחיות האיחוד האירופי. התיקונים עוסקים בהסדרת העברת מידע לחו"ל, בשימוש במצלמות מעקב, בשימוש בכרטיס חכם ובאיסוף מה שנקרא מידע "רגיש": מוצא גזעי ואתני, דעות פוליטיות, אמונה דתית, חברות באיגודים, מצב בריאותי ונטייה מינית. החוק מעניק לפרט הזדמנויות רבות יותר להתנגדות, ונוגע גם למגזר הפרטי. כל 16 המדינות בגרמניה חוקקו חוק הגנה על מאגרי מידע, הנוגעים בעיקר לרשויות הציבוריות.

דנמרק החוקה הדנית מתייחסת בסעיף 72 לנושא המידע האישי. גם כאן מצויות פסקאות הגבלה המתירות פגיעות בפרטיות בצו שופט או בהוראה חקוקה. ב-2000 נכנס לתוקפו החוק על עיבוד מידע אישי, גם הוא בהשראת הנחיות האיחוד האירופי. החוק נוגע לרשויות ציבוריות ולמגזר הפרטי, ומחלק מידע אישי לשלוש קטגוריות - רגיל, אישי ואישי-למחצה - ומספק הנחיות שונות לעיבוד של כל אחת מן הקטגוריות.

בריטניה המסמך החוקתי ה-Human Rights Act מאפשר הטמעה חלקית של האמנה האירופית לזכויות אדם בחוק הבריטי, וכך מכיר בזכות לפרטיות. חוק ההגנה על מאגרי מידע מ-1998 (אשר התקבל במענה להנחיות האיחוד האירופי) קובע שמונה עקרונות היפים לרשויות ציבוריות ולמגזר הפרטי כאחד. סעיף 28 לחוק הוא פסקת הגבלה רחבה מאוד בשם הביטחון הלאומי.

גם כאן הייתה למאורעות 11 בספטמבר השלכה שלילית על הפרטיות, בעיקר בכל הנוגע לחשיפת רשומות המתייחסות לפעילות פיננסית החשודה כקשורה בטרור. חקיקה שהובילה ממשלת הלייבור בשנים האחרונות במסגרת המלחמה בפשע נגסה גם היא בהגנו החקוקות על פרטיות.

חקיקת הפרטיות זכתה לפרשנות מצמצמת גם בבתי המשפט הבריטיים. לאחרונה, פסיקה שנויה במחלוקת של בית המשפט לערעורים בפרשת Durant vs. FSA פירשה באופן צר את המונח "מידע אישי" ואת תחולת חוק מאגרי המידע על רשומות של מידע אישי. בתגובה הביע האיחוד האירופי את חששו כי הפסיקה סטתה מרמת ההגנה שקבעה מועצת האיחוד שהוזכרה לעיל. ערעור העותר נדון כעת בבית הדין האירופי לזכויות אדם.

הכתוב מבוסס על:

• בג"צ 8070/98 - האגודה לזכויות האזרח בישראל נ' משרד הפנים ואח'

The Economist, "Dangerous Data: Identity Cards", May 1st, 2004, p. 1.

• McCullagh Decian, "Database Nation: the Upside of "Zero Privacy" Reason, June, 2004, pp. 8-9.

• אתר נציב הפרטיות - אוסטרליה -  www.privacy.gov.au