סיכום ותובנות מהוובינר השני בנושא: סמכויות אכיפה של רשויות להגנת פרטיות
מבט השוואתי על מודלים של הגנת הפרטיות – לקראת תיקוני החוק בישראל
סיכום ותובנות מהמפגש השני בנושא: סמכויות אכיפה של רשויות להגנת פרטיות
רקע
לאחרונה פרסמה ממשלת ישראל הצעת חוק לתיקון חוק הגנת הפרטיות (הצעת חוק הגנת הפרטיות (תיקון 14), התשע”א-2021). תיקון זה, מהווה תיקון משמעותי ראשון בחוק מזה שנים רבות. התיקון המוצע מתבסס על הצעות שהומלצו בשנים 2007 ו-2011. בנוסף משרד המשפטים הצהיר כי הוא שוקד בימים אלה על הצעת חוק נוספת בתחום הפרטיות, מהותית ומקיפה יותר.
להלן קישור לסקירה על עיקרי התיקון בהצעת החוק שערך המכון.
אגב הדיון בהצעת החוק, המכון הישראלי למדיניות טכנולוגיה בחר לארגן סדרה של מפגשים שמטרתם להפגיש את העוסקים בתחום עם מומחים בעלי שם, שירחיבו את נקודת המבט להסדרים הקיימים במדינות השונות, בכוונה להעשיר את הדיון בנושא גם בישראל.
המפגש השני התקיים ב-16 בפברואר 2022 (בזום) ועסק בנושא: “סמכויות אכיפה של רשויות להגנת פרטיות” (להלן קישור להקלטת המפגש).
במפגש השתתפו הדוברים הבאים:
- עו”ד לימור שמרלינג מגזניק, מנהלת המכון הישראלי למדיניות טכנולוגיה.
- עו”ד ראובן אידלמן, מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות במשרד המשפטים.
- עו”ד פלורנס ריינל, מנהלת המחלקה הבינלאומית וענייני אירופה, רשות הגנת הפרטיות בצרפת.
- סטייסי גריי, מנהלת יחידת המחקר וניתוח החקיקה, פורום עתיד הפרטיות (FPF), ארה״ב
- עו”ד לור לייטנר, שותפה בחברת עו”ד “גודווין”, בריטניה.
עורכת הסדרה: עו״ד רבקי דב״ש, עמיתה בכירה, המכון הישראלי למדיניות טכנולוגיה.
תובנות מרכזיות
· ב-GDPR אין קביעת עבירות, אולם יש מדינות שהוסיפו הוראה פלילית בחוק המקומי. גם במדינות אלו האכיפה הפלילית לא תתבצע על ידי ה-DPA, אשר מוסמכות לאכוף הפרות מנהליות של הגנת מידע אישי. עדיין בכל מדינה תהיה אכיפה פלילית על ידי רשויות מטרה בתחומים נושקים כגון חדירה לחומר מחשב, האזנת סתר וכד’.
· ה-GDPR מקנה מגוון סנקציות מינהליות, נוסף על עיצום כספי, באופן המאפשר התאמת כלי האכיפה לאירוע הספציפי.
· סכומי העיצומים הכספיים באיחוד האירופי הם סכומי מקסימום. על הרשות להפעיל שיקול דעת לגבי גובה הסכום, שנקבע באופן שונה בכל רשות מדינתית. לכן נראה שונות גבוהה בין הסכומים השונים המוטלים בפועל.
· בצרפת ישנו גוף נפרד המוסמך להטיל את העיצומים הכספיים, אשר אינו כפוף ל-CNIL.
· ברמה הלאומית, רואים השפעה של ה-GDPR על השוק במיוחד בתחום אבטחת המידע והשקיפות.
· בארה”ב יש מגוון חיקוקים, פדרליים ומדינתיים, העוסקים באופן עקיף בהגנת הפרטיות ומידע אישי כגון הגנת על פרטיות ילדים ברשת, הגנות בהקשר של דירוג אשראי. החוק החדש בקליפורניה (CCPA) והחוקים החדשים בכמה מדינות נוספות שונים בכך שהם קובעים הסדר הגנה על פרטיות כללי למרחב המסחרי.
· ל-FTC אין מכניזם מחייב לבירור תלונות מהציבור, ועיקר המקרים מגיעים לפתחו מתוך הרשות או מהקונגרס.
· ל-FTC מנגנון ליצירת הסדרים מוסכמים בהן חברות מקבלות על עצמן סטנדרט מחייב ל-20 השנים הבאות (לגוגל ולפייסבוק יש הסדר כאמור לדוגמא). הפרה של ההסכם מאפשרת הטלת עיצומים כספיים. במסגרת הזו הסכימה פייסבוק למשל לשלם סכום משמעותי לאחר פרשת קיימברידג׳ אנליטיקה אשר ה-FTC קבעה שהעידה על הפרה של ההסדר.
· הצדקות מרכזיות לשיטת הרשות להגנת הפרטיות בישראל למתן סמכויות פליליות: החשיבות של ענישת הפרט אל מול הארגון, יצירת הרתעה גבוהה יותר.
לקריאת סיכום עיקרי הדברים (בעברית) – כאן
