כמעט כל צרכן מצא את עצמו בשלב כלשהו מקבל הצעה להנחה או שדרוג בבנק, בסופרמרקט או בחברת הסלולר - ובתמורה התבקש למלא טופס עם כל פרטיו האישיים. לעתים קרובות, בלי שנשים לב, החברות גם מבקשות אישור לשלוח לנו הודעות ופרסומות, ואף למסור את המידע הפרטי לצד שלישי. האם אותן חברות מקפידות על שמירת הפרטיות שלנו על פי הכללים של חוק הגנת הפרטיות?
הפרטים האישיים של צרכנים שווים כסף רב לחברות. הסחר בהם אינו חוקי, אם הצרכן לא נתן לכך את הסכמתו. ואולם בשנים האחרונות הסחר במאגרי מידע לא חוקיים נהפך לתופעה נפוצה, והפגיעה בפרטיות נהפכה לעניין יומיומי כמעט. מי שפרטיו הופצו מוצא את עצמו מקבל פניות בטלפון או במסרונים למטרות שיווקיות, לבקשות תרומה, למענה לסקרים או להרשמה לשירותים.
מה מותר ומה אסור?
הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים מפיצה בימים אלה עדכון, שנועד להנחות את החברות כיצד לשמור על פרטיות הלקוחות בכל הנוגע לשירותי דיוור ישיר. המטרה היא להבהיר לעוסקים בדיוור ישיר (להבדיל מדואר זבל או "ספאם") ולספקי המאגרים את המותר והאסור, וכן לחדד לנמעני הדיוור הישיר את זכויותיהם מול בעלי המאגרים האלו. ההנחיות החדשות ייכנסו לתוקף בתוך כחודש.
כך למשל, מבוטח של קופת חולים עשוי לקבל מהקופה פניות להצטרף לשירותי בריאות, בהתאם להסכמה שקיבלה ממנו במעמד הרישום לקופה. זהו הליך מקובל, שמוגדר במסגרת החוק כדיוור ישיר. ואולם אם הקופה תעביר את המידע לצד שלישי, ותציע למבוטח למשל כרטיסים בהנחה למופע ילדים - פעילות שאינה קשורה ישירות לשירות שהיא מספקת - החוק קובע שמדובר במעשה אסור.
"אנחנו לא אומרים שמעכשיו אסור לפנות באופן ישיר לאנשים", מסבירה גילי בסמן ריינגולד, היועצת המשפטית של רמו"ט. "אנחנו מבינים את הצורך של השוק בפעילות כזאת, אבל צריך לעשות אותה נכון. השוק בישראל פרוץ מאוד".
"כיום, רוב ספקי מאגרי המידע אינם פועלים בצורה לגיטימית בשוק", מוסיפה עו"ד לימור שמרלינג, מנהלת מחלקת קשרי ציבור וממשל ברמו"ט. "כל מה שנעשה מעבר לתכלית העיקרית של השירות, דורש הסכמה מפורשת".
הכללים שרמו"ט מפיצה נועדו לעזור לכל גוף שמחזיק או רוכש מאגרי מידע, לברר אם המאגר חוקי וכיצד ניתן להשתמש בו. "לשון החוק עד כה לא היתה ברורה, ואנחנו מפרסמים את ההנחיות כדי לשים גבולות", מבהירה שמרלינג. "חברות שהשתמשו במאגרי מידע בלתי־חוקיים, נהגו להפנות אצבע מאשימה לספקי המאגר. ההנחיה הנוכחית מבהירה שהאחריות חלה מעתה גם על החברה שרוכשת את המאגר. החברות צריכות להבין שהאכיפה תתמודד גם איתן".
לרשם מאגרי המידע יש סמכות לסרב לרשום מאגר מידע אם הוא סבור שהמאגר משמש לפעולות לא חוקיות, או שהמידע שנצבר נאסף בצורה לא חוקית. לדברי עו"ד אלון בכר, ראש רמו"ט, "מוכרי המידע והרוכשים מסתכנים בפעולות אכיפה ובסנקציות של רמו"ט, ובתביעות של אזרחים לפיצוי של עד 50 אלף שקל בגין הפגיעה בפרטיות".
פרטים של 9 מיליון אנשים דלפו לרשת
אחת המטרות של רמו"ט היא לחזק את ההגנה על המידע האישי, למנוע את הסחר בו באופן בלתי־חוקי, וגם ליישם את האכיפה במקרה של עבירות פגיעה בפרטיות. תחת אחריותה של רמו"ט נמצא גם רשם מאגרי המידע שאחראי לפי החוק להגן על פרטיות האזרח, ולפקח ולאכוף את ההנחיות להגנת המידע האישי.
חוק הגנת הפרטיות נחקק ב-1981 - עידן שונה לגמרי מהעידן הנוכחי. ב-1996 נחקק התיקון הרביעי לחוק, שמתייחס לדיוור ישיר כפעולה לגיטימית תחת מגבלות מסוימות, שבראשן ההגנה על הזכות לפרטיות של כל אדם. לרוב, הפנייה ללקוחות נעשית על פי פילוח של גיל, גזע, מין או אזור מגורים, לעתים בניגוד לרצונו של הלקוח. ברמו"ט פועלים כעת להתאים את ההנחיות לתקופה הנוכחית.
"על פי החוק, כשפונים לאדם חייבים להגיד לו על בסיס איזה מאגר פנו אליו", מסבירה שמרלינג. "חלק מהתלונות שהתקבלו עד כה היו מאנשים שסיפרו כי התקשרו אליהם כדי למכור להם מוצר כלשהו. הם קובלים על כך שכשהם שואלים את המתקשר איך הגיע אליהם, השיחה מתנתקת ושאלתם נותרת ללא מענה - דבר שמהווה עבירה על החוק, גם כן.
"לפני שנה ביצענו פעולת אכיפה שבה גילינו כי חברת מאגרי המידע דאטה רינגס מחזיקה במידע ממרשם האוכלוסין, האגרון, ופנקסי בוחרים - שדלף באופן לא חוקי. קנסנו את החברה, סגרנו את פעילותה, והיא יצאה מהשוק. אנחנו ממשיכים לעבוד באמצעות פעילות מודיעין ותלונות שמגיעות אלינו".
בסמן ריינגולד מדגישה כי החוק מתייחס גם לזכות של אדם להישכח. "זכותו של אדם להימחק ממאגר מידע לדיוור ישיר - וזכות זו מבטאת את השליטה של כל אדם על המידע שלו. השאלה היא אם אכן ניתנת אפשרות להימחק מהמאגר".
לדברי בכר, "בשנים האחרונות רמו"ט סגרה שתי חברות שמכרו מידע לא חוקי, וחברות נוספות נבדקות. התופעה של שימוש במידע אישי של אנשים ללא ידיעתם והסכמתם נפוצה ומטרידה את הציבור. במקביל לאכיפה, אנו מבהירים את 'המותר והאסור' בפעילות זאת, על מנת לאפשר למשק לפעול באופן חוקי".
אחת מהפרשות הידועות של פגיעה בפרטיות בשנים האחרונות בישראל, היא פרשת אגרון: ב–2007 הופצו באינטרנט נתונים ממרשם האוכלוסין הגנוב באמצעות תוכנה בלתי־חוקית. פרטיהם האישיים של 9 מיליון אזרחים שנרשמו במרשם האוכלוסין דלפו - והם עדיין נמצאים ברחבי הרשת - והוצעו למכירה תמורת פחות מ-3,000 שקל.
"פעילות הפיקוח והאכיפה שלנו חשפה שהפניות השיווקיות הממוקדות (טארגטינג) האלה מתבססות על מאגרי מידע שנרכשים מחברות שמציעות שירותי מידע. אותם מאגרים לא תמיד חוקיים ומותרים לשימוש, ופעמים רבות מתגלה שהם מבוססים על נתונים גנובים ממרשם האוכלוסין או מפנקסי בוחרים שמחולקים למפלגות בכל מערכת בחירות. המאגרים השונים מתגלגלים לידיים של אנשים שאסור להם להשתמש בהם, מתחברים לאגרון ונהפכים למאגר מעודכן יותר", אומרת שמרלינג.
מידע מאתרים כמו 144 של בזק, שנעשה בו שימוש בניגוד לתנאי השימוש של האתר ולכוונת החברה; איסוף מידע מהאינטרנט שפורסם למטרה אחת ומשמש למטרה אחרת; חיבור של כל הנתונים האלה למאגר מידע אחד לטובת דיוור ישיר, ומכירה שלו ללקוחות כמו חברות אשראי, בנקים, קופות חולים, מועדוני לקוחות, עמותות צדקה, וכו' - כל אלה מהווים פעילות לא חוקית.
כשלקוח קונה את המידע כדי להשתמש בו, או חברה מוכרת את המידע - שאסור בשימוש לפי חוק הגנת הפרטיות - מתרחשת פגיעה נרחבת בפרטיות של האזרחים. בנוסף, מדובר בהטרדה ובניצול לרעה של אוכלוסיות מוחלשות. לדוגמה, אם חברה רוצה לעשות טארגטינג לדוברי רוסית בפריפריה, היא מבקשת את המידע המסוים על אוכלוסייה זאת. את המידע ניתן לשאוב ממאגרים כמו מרשם האוכלוסין הגנוב.
"החוק הקיים אינו מעודכן"
ניתן לזהות מאגר מידע בלתי־חוקי לפי היקפו. אם מופיעים בו נתונים של מיליון איש או יותר (מיליון רשומות) - סביר להניח שהם נגנבו או נלקחו ממרשם האוכלוסין הגנוב. כמו כן, הימצאותם של פרטים אישיים מאוד, כגון מספר תעודת זהות, תאריך לידה, כתובת מלאה ועץ משפחתי - יכולים לעורר חשד שמדובר במאגר בלתי־חוקי. מאגר מידע חוקי יכלול מידע שניתן בדרך כלל בהסכמה (כתובת מייל, שם מלא ומין), ויהיה מצומצם בהרבה.
התשלום עבור רשומה הוא 0.5–4 שקלים, לפי רמו"ט. כיום קיימים בישראל כ–20 אלף מאגרי מידע שנרשמו על ידי 8,000 בעלי מאגרים. על פי הערכה גסה של רמו"ט, יש לפחות חצי מיליון בעלי מאגרי מידע במשק שאינם רשומים, ואליהם רמו"ט מעוניינת להגיע באמצעות אכיפה או בדרישה להסדרת המאגר והפיכתו לחוקי - ורישומו תחת רשם מאגרי המידע.
עו"ד יורם הכהן, לשעבר ראש רמו"ט וכיום יו"ר איגוד האינטרנט, אומר כי לרוב, הדיוור הישיר אינו רצוי על ידי הנמענים: "40% מהתלונות שקיבלנו כשהייתי ראש רמו"ט היו על קבלה של שיחות מסוג זה בשעות הערב. מנגד, יש סקרים חשובים שמתבססים על מידע כזה. כשלא קיימת דרך לגיטימית לקבל מידע נעשה שימוש במידע לא חוקי או בחלופות שהחוק הישראלי לא מטפל בהן, כמו פייסבוק וגוגל".
לדברי הכהן, להנחיות של רמו"ט היתה השפעה על השוק בישראל, והן אכן סייעו בהסדרת פרצות - אך הבעייתיות הגדולה נעוצה בניסיון לפרש הוראת חוק מ–1996, כששני עשורים עברו מאז. "החוק לא מעודכן ואינו מבין את הסוגיה של כלכלת המידע. רמו"ט מנסה להתאים את החוק, אבל נדרשת כאן יצירתיות. למעשה, יש צורך בחוק חדש - עניין שמשרד המשפטים חייב לקדם".
הכוונות טובות - היכולת מצומצמת
מרגע פרסום ההנחיות החדשות של רמו"ט, ספקים ולקוחות של מאגרי מידע יידרשו להטמיע בתוך חודש את ההוראות בדבר השימוש החוקי בשירותי הדיוור הישיר. ואולם לדברי עו"ד יהונתן קלינגר, היועץ המשפטי של התנועה לזכויות דיגיטליות, היום שבו רשויות החוק יצליחו להגן על פרטיותנו, עוד רחוק, ואולי אף לא קיים. לטענתו, למרות כוונותיה הטובות של רמו"ט, היכולת של גוף זה להתמודד מול הכוחות שפועלים בשוק - מצומצמת.
"יש אכיפה, ורמו"ט בהחלט פועלת על מנת לנסות למגר את התופעה רחבת-ההיקף", מסביר קלינגר, "אך מאגרי מידע שפועלים באופן לא חוקי ממשיכים להפיץ עלינו מידע בצורה שלא תואמת את לשון החוק. ההערכה בקרב אנשי מקצוע בתחום היא כי מדובר בהיקף פעילות גדול בהרבה ממה שמסוגלת רמו"ט להתמודד אתו כרגע".
לדברי קלינגר, בחברות הגדולות מתבצע רישום מסודר, אך ברוב המקרים חברות שפונות לאנשים באמצעות דיוור ישיר, לא יגידו ללקוח מאיפה הן השיגו את מספר הטלפון שלו. "לצערי, מהיכרות עם הרשות, אני לא צופה אכיפה יעילה בזמן הקרוב. גם הנחיות חמורות יותר בנוגע לסוגיות חשובות יותר אינן נאכפות, כי אין לרשות מספיק זמן וכוח אדם. הגופים הגדולים במשק יודעים שהם יכולים לעבור על החוק".
ההנחיות החדשות אמנם מכוונת בעיקר לחברות, אך הן גם פונות לציבור הרחב, כדי להבהיר לו מהן זכויותיו וכיצד עליו לפעול כדי להגן על פרטיותו, מדגישה שמרלינג.
"עיקרון היסוד בזכות לפרטיות, כפי שנקבע בחוק הגנת הפרטיות, הוא שכל שימוש במידע אישי על אדם הוא פגיעה בפרטיות, אלא אם אותו אדם נתן את הסכמתו, לאחר הסבר מדוע הפרטים עליו נחוצים", מסבירה שמרלינג. "לדוגמה, חברת סקרים שאין ברשותה מאגר מידע יכולה להשתמש בשיטה פרסומית, כגון הצבת באנרים באתרים מסוימים, להזמין אנשים להירשם אצלה למאגר מידע - בתמורה למתנה. דוגמה נוספת היא מועדוני הלקוחות, שההצטרפות אליהם מחייבת את הלקוח למסור פרטים - בהסכמה מלאה - ולקבל מהחברה מסרונים או מיילים עם הנחות והטבות.
העברת הפרטים לגורם שלישי שהלקוח לא יודע עליו - אינה יכולה להיות חלק מעסקה הוגנת. המידע שלנו הוא הרכוש שלנו. יש דרך להשיג אותו - אך לא כל דרך היא לגיטימית".
עוד ב-TheMarker
הכירו את יזם ההון סיכון קובי ברייאנט
מו"מ על עסקה משמעותית בין אמזון לחברת אדם מילא הישראלית