מאת: רונית קריספין, מומחית להגנת מידע ופרטיות PriveIT
האמריקאים, כמו האמריקאים אוהבים הכל בגדול.
למי יש חוק פרטיות גדול משלי? למי??
בשנתיים האחרונות אנחנו עדים לתהליך של convergence של חוקי פרטיות בעולם לכוון ה GDPR. גם ישראל ואפילו הסינים משתתפים בחגיגה עם ה PIPL שלהם, אלא שהאמריקאים הצטרפו למסיבה באיחור, אבל 'דפקו' כניסה.
הטיוטה שהתפרסמה השבוע של ה ADPPA, היא הגרסה המי יודעת כמה של הניסיון האמריקאי לייצר חוק פדרלי להגנת פרטיות ב 132 השנים האחרונות. "הפעם זה יצליח" אומרים אנשי מקצוע בעולם. למה? כי העולם לוחץ.
לא העם(האמריקאי).
העולם.
ככה נראית דמוקרטיה בעידן החיים הטכנולוגיים. אפשר להבין, העברת מידע בין עסקים ומדינות, טלטלה את הקרקע וטשטשה גבולות גאוגרפיים.
תבינו, האמריקאים היו הראשונים "לגלות" את הזכות לפרטיות. ועדיין, מרגע ששני השופטים וורן וברנדייס הבינו שהזכות לפרטיות צריכה הגדרה משל עצמה והסתכלות משפטית מובחנת ("הזכות להיעזב במנוחה" בתרגום חופשי), ועד היום - עברו 132 שנים.
התנאים שישפיעו האם החוק הזה יעבור בסופו של יום דומים לתנאים שמנעו פרסומו עד כה: מה יגידו כולם. וכשאני אומרת "כולם" אני מתכוונת גם הקולות "מבית" (כלומר המדינות השונות בארה"ב שיש להן חוק פרטיות מדינתי. למשל: קולורדו, קליפורניה, וורג'יניה, טקסס ועוד) וגם קולות מ"בחוץ" (כלומר, מדינות בקהילה הגלובלית). אבל לא פחות חשוב לאמריקאים, אולי אפילו חשוב יותר, מה תהיה הפרשנות שיתנו לטיוטת החוק אנשי המקצוע בעולם וכמה יפרשו את החוק שלהם כמחדש/טוב לעומת ה GDPR. ובכן, יש כמה חדשות.
כמה פרטים על טיוטת החוק:
טיוטת החוק מתייחסת כבר היום למה שבעוד כמה שנים יהיה טרוויאלי ו- MUST: שילוב הכוחות בין הגנת הפרטיות, הגנת הצרכן ורשות התחרות. בעיני זה חידוש שלא קיים ברוב חוקי הגנת הפרטיות בעולם.
גיל הילדים לפי החוק הוא עד 17 (ב GDPR הוא 13). פרסום ממוקד לילדים מתחת לגיל 17 הוא אסור. כמו כן אסורה העברת מידע של ילדים בגיל 13-17 ללא הסכמה (affirmative express consent ). לפי הוראות סעיף זה הסכמת הילד או האפוטרופוס. בעייתי מאוד בעיני שילד בן 13 יתן הסכמתו להעברת מידע.
האמריקאים מספקים לא פחות מארבע שנות הסתגלות לחוק החדש. למה? אלוהים יודעת. הסעדים שמספק החוק: פיצוי כספי, סעד הצהרתי או צו מניעה והוצאות משפטיות.
מנגנון הפיצוי בהתאם לחוק הוא ריכוזי. הרגולטור יקבל את הפניה מאת דורש הפיצוי ורק בהתאם מנגנון זה ניתן יהיה להגיש תביעות.
בחוק 16,753 מילים. רק 20 פעם מופיעה המילה consent. 151 פעמים צירוף המילים covered entity
פרק ההגדרות מכיל הגדרה סגורה מידי, לטעמי, למידע ביומטרי ופתוחה מידי למונח covered data. כך למשל, אם בעתיד יקראו מחשבות, לא בטוחה שהדבר אסור לפי הגדרת לשון החוק.
המונח שליטה שונה מהאופן שהוא מפורש בחוקי פרטיות אחרים. הרבה יותר צרכני-מסחרי אם כי גם בו יש ביטוי לבעלות ושליטה.
האמריקאים היו חייבים להתחכם וקראו למה שכל העולם קרא בפשטות DATA הם קוראים "covered data". מה ההבדל? לא ברור. בגדול בהגדרות מדובר על מידע מזוהה וניתנים לחיבור (linkable) לאדם. האם זה אומר שנתונים לא מכוסים על אדם לא נכללים בהגנות שמספקת טיוטת החוק? אשמח לתובנות שלכם.
בדומה לחוק שלנו, מידע ציבורי מוחרג מההגנות בטיוטות חוק זה. מידע על אודות עובדים מוחרג לפי 8(B) מהגדרתו כ"מידע מכוסה" ומקבל התייחסות נפרדת בלשון החוק.
גם הרפובליקנים וגם הדמוקרטים מסכימים על כך שנדרש חוק פדרלי ועל עיקרי החוק. זה חידוש. (נכון יש כמה סנטורים שנהנים מהרדיפה הפוליטית אחרי הקול שלהם עד ההצבעה, אבל בגדול קיימת הסכמה).
בפעם האחרונה שהיה נסיון להעביר חוק פדרלי, בסוף 2019, הציעו שתי המפלגות שתי הצעות חוק שונות ובהעדר הסכמה, אף אחת מהן לא שרדה את המשוכה הפוליטית.
הפרק השני בטיוטת החוק מונה את הזכויות המוקנות לנושא המידע. בינהן: מודעות צרכנית, שקיפות, שליטה בנתונים, זכות להסכמה ולהתנגדות, התיחסות של פרופיילינג וזכויות יסוד, חובות להגנת מידע ואבטחתו. אחת הזכויות המרתקות שמציעים האמריקאים היא הזכות להמנע מהעברת המידע לגורם שלישי.
הצעת החוק מפרשת באופן שונה את "חובת הנאמנות" המוטלת על מחזיק/מעבד מידע אישי רגיש. אם אני מבינה נכון, ישנו מעבר מגישה של חובת נאמנות הדומה לזו שבין רופאה לחולה ("לא תזיקי") וחובת נאמנות הקשורה יותר לאחריותיות, בדומה לפרשנות שניתנת לחוק בישראל וכמובן ל GDPR ). גישה יותר פרקטית –נזיקית-צרכנית מאשר הילה מקצועית. מעניין לראות בעתיד כיצד תתפרש חובת הנאמנות לפי חוק זה, אם וכאשר יעבור, לעומת חובת הנאמנות כפי שהיא מופיעה בחוקים נוספים. להערכתי? חובת הנאמנות פה מזכירה יותר את עקרון המשפטי "תום לב" שיוטל על מעבדי מידע. בכל אופן, חובת הנאמנות היא המנוע של חוק זה והשארתו בלתי מובן היא החלטה גרועה.
במלחמת האגו בין החוק הפדרלי וחוקי הפרטיות המדינתיים, ישכיל המחוקק אילו לשון החוק תישאר ברמת ה"מה" ותאפשר את "האיך" למדינות השונות. כלומר, ראוי שהחוק ישאר רחב, מכיל ומנחה באשר להגדרות מי נחשב מחזיק מידע ומעבד, מה המשמעות של העברת מידע ומתי פעולה תחשב העברת מידע חוקית ומתי לא. כל הקשור לסנקציות תאפשר את הפעולה בחוקים המדינתיים. בכל זאת, טיוטת החוק ייחדה פרק שלם לסוגיה זו (פרק 4, סעיף 404), וככל הנראה שברמה הנורמטיבית החוקים הפדרליים הקיימים (למשל COPPA ) יהיו מעל לחוק הפרטיות הפדרלית, והוא יהיה מעל לחוקי הפרטיות המדינתיים.
מאחר שהחוק נכתב לאחרונה הוא משתמש בידע על הטכנולוגיות הקיימות ומתייחס אליהם *במפורש*, מה שלא קורה בחוקים אחרים בעולם, למיטב זכרוני. למשל: התייחסות קונקרטית למכשירים לבישים בסעיף 102. לא בטוחה שזה כל כך טוב. אם לקחו 132 שנה לארגן את טיוטת החוק, עדיפה גישה ממלכתית ועם מבט צופה עתיד וללא התייחסות קונקרטית
רונית קריספין, בעלת 25 שנות נסיון בניהול סיכונים וחקר הפרטיות. בעלת תואר ראשון בכלכלה ותקשורת, תואר ראשון נוסף במשפטים ותואר שני בטכנולוגיות תקשורת. בעברה מנהלת הסיכונים הראשית של כל חדרי המחשב של חברת אינטל בעולם, יועצת בכירה בפירמת הייעוץ EY ועברה התמחות ברשות להגנת הפרטיות. כיום משמשת CPO בחברות שונות, מלמדת פרטיות והכשרת ממוני הגנת פרטיות בעלים של חברת הגנת המידע ופרטיות PriveIT.
נייד: 0523450445 דוא"ל: Ronit.Krispin@gmail.com
Comments