האם מותר לי לאסוף מידע פומבי שנמצא גלוי ברשת?

"זה הכל ברשת. לאף אחד זה לא מפריע. בטח שמותר לי". ככה מתחילות שיחות ייעוץ רבות שאני מנהל עם עסקים ולקוחות שונים בנושא הגנת הפרטיות. אלא שאני נאלץ לספר להם שהם טועים ובמאמר זה אסביר לכם מדוע.

אז נכון; החוק הישראלי מנוסח בצורה שאינה מותאמת למדיה הדיגיטלית הנוכחית ולהתקדמות הטכנולוגיה. דומה שבאקלים הנוכחי נתקל בית המחוקקים הישראלי, הכנסת, בקשיים לא מעטים. בנסיבות אלו, בתי המשפט בישראל לומדים מחקיקה ופסיקה זרה (ה-GDPR באירופה, ה-CCPA האמריקאי ורבים אחרים במדינות שונות). מסתבר, שאלו כבר כוללים אלמנטים מסודרים לשאלה – כיצד מגנים על פרטיותו של אדם וההנחיות בהן מורכבות מאשר חשבנו.

מבחינתי החקיקה הזרה משמשת כמעין מצפן, שלכיוונו תתיישר הפסיקה הישראלית בהמשך הדרך. על כן כדאי שכבר בשלב זה נתאים את עצמנו אליה. במיוחד כשהגנה על פרטיות הלקוחות היא עוד אמצעי שיווק כמו גם יסוד בסיסי להגינות מסחרית.

בנסיבות האלו אני רוצה להפנות להחלטה של רשות הגנת הפרטיות האנגלית, ה-ICO שניתנה בסוף מאי 2022. בהחלטתה זו קנסה הרשות את חברת Clearview AI (חברה אמריקאית, לא בריטית) בסך של 7.5 מליון אירו. הסיבה? עיבוד ושימוש בתמונות פרופיל של אנשים שהיו זמינות וגלויות ברשת ובמדיה החברתית.

כלומר, החברה אספה מידע אישי (תמונות) שאנשים פרסמו ברשת ביוזמתם ומרצונם.

אלא שהאיסוף והעיבוד לא התנהל כפי שראוי היה שיתנהל.

החברה יצרה מאגר מידע שאיפשר לציבור (ולמשטרה) להשוות צילומים שבידיהם עם המאגר שבידי החברה. התוצר היה  שהמשתמש קיבל רשימת דמויות בעלות מאפיינים דומים לתמונה שהועלתה על ידי המשתמש. דרך ההתאמה – בינה מלאכותית, AI. השירות לא הוצע בבריטניה. החברה גם לא עדכנה את האנשים על פעולת האיסוף (כפי שעסקים רבים נוהגים ביחס למידע שנאסף מהרשת).

ההפרות שהיו בסיס לקנס היו אלו:

1. שימוש במידע אישי שלא באופן גלוי ושקוף (כלומר, מבלי לתת לנשואי המידע הודעה מתאימה ומפורטת וכן שימוש במידע באופן החורג ממטרתו).
2. העדר בסיס חוקי (אחד מאלו המפורטים בחקיקה) לאיסוף המידע.
3. העדר מנגנון המסיים במועד כלשהו את השימוש במידע הנאסף. כלומר, אי אימוץ מנגנון מחיקה מוסדר.
4. התעלמות מהעובדה שמידע ביומטרי הוא מידע ברמת רגישות גבוהה יותר המחייב התייחסות לרגישותו.
5. כדי שמשתמש יוכל לדעת האם תמונותיו הן חלק ממאגר המידע, הוא נדרש למסור לחברה תצלומים נוספים לשם הבדיקה. הדבר משמש כמכשול לא חוקי בתהליך ההסרה מהמאגר ועל כן – אסור.

אמנם, החקיקה הרלוונטית באנגליה עדיין רחוקה מהישראלית שנות אור וחלק מהללו אינם מנויים כעת עדיין בחוק הישראלי. אלא שכבר בימים אלו מונחת על שולחן הכנסת (בע"ה בקרוב) הצעת חוק שמטרתה לקרב את החקיקה הישראלית לחקיקה זרה מודרנית. משרד המשפטים מצהיר שזה השלב הראשון בדרך, ולאחריו צפוי המשך החקיקה ככל הניתן בהתאם לסטנדרטים בינלאומיים.

מה גם שבתי המשפט, בלית ברירה, מפרשים את החוק הישראלי בצורה ליברלית באופן שיגן על הפרטיות ככל האפשר, גם בהתחשב בניסוחו המיושן.

מסיבות אלו, כמו גם מהסיבה של הגינות אנושית ועסקית טהורה, מומלץ לכל עסק להתחיל ולקחת בחשבון שיקולים של פרטיות בקביעת המנגנון העסקי שלו, ולראות כיצד ניתן לפעול באופן התואם את החוק ועדיין יעניק תועלת עסקית משמעותית.

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-26.12.2022.