ברגע הראשון זה נשמע כמו שיחת טלפון תמימה. א' ענתה, ומן העבר השני היה נציג מכירות של חברת שירותי סיעוד. הוא הציע לה לרכוש טיפולי סיעוד עבור אביה, שעמד לעבור ניתוח. על פניו, עוד שיחה שיווקית מרגיזה אך לא מזיקה. אבל לא' נדלקה מיד נורה אדומה: איך אותו נציג בכלל יודע שאביה עומד לעבור ניתוח? הרי מדובר במידע רפואי חסוי.

שיחת הטלפון הובילה לחקירה של הרשות להגנת הפרטיות במשרד המשפטים, שחשפה רשת של סחר במידע אישי של מטופלים, שפעלה באין מפריע במשך שלוש שנים. עובדים בבית החולים רמב"ם, בקופת חולים לאומית ובחברות סיעוד ושירותי טלרפואה מכרו מידע רפואי על מטופלים לחברות סיעוד, שהשתמשו בו כדי לבצע שיווק ממוקד למטופלים. כתבי אישום כבר הוגשו, וקנסות הוטלו על חברות הסיעוד שרכשו את המידע.

"מי שמקבל פנייה כזאת צריך להניח שהמידע התקבל באופן לא חוקי", אומר אלון בכר, ראש הרשות להגנת הפרטיות, בריאיון ל"ידיעות אחרונות". "חקרנו מקרים רבים דומים, שבהם מידע רגיש עבר ונמכר לכל מיני גורמים. ההשלכות דרמטיות: מידע רגיש ואישי, רפואי וכלכלי, או מידע לגבי נטייה מינית ודעה פוליטית - עלול להגיע לגורמים שלא אמורים להחזיק בו. למשל, למעסיק, שיכול להחליט שלא להזמין אותך לריאיון עבודה, או לחברת ביטוח שתייקר לך את הפרמיה".

לא הרבה אנשים מכירים את הרשות להגנת הפרטיות, שלאחרונה שינתה את שמה מרמו"ט (הרשות למשפט, טכנולוגיה ומידע). זוהי יחידה במשרד המשפטים, הפועלת להגנה על זכות היסוד לפרטיות ולהגנת מידע אישי. במילים אחרות, הגוף שאמור לשמור על הפרטיות של כולנו, ולרדוף אחר האנשים שמנסים להפר אותה.

בכר (47), במקור מירושלים וכיום גר בתל־אביב עם בת־זוגו, הוא ראש הרשות כבר ארבע שנים. הוא למד משפטים כעתודאי ושירת בפרקליטות הצבאית. לפני 20 שנה הצטרף למשרד המשפטים, עבד בסנגוריה הציבורית, ולפני תפקידו הנוכחי היה ראש רשות התאגידים. בימים אלה הוא גם מלמד קורס בפרטיות במרכז הבינתחומי. "מתברר שזה נושא מבוקש מאוד. כל אחד משתמש במחשבים, סמארטפונים ואינטרנט, אך רובנו לא מבינים מה מתרחש מאחורי הקלעים, מה עושים לנו".

מעבר לסחר במאגרי מידע, אין הרבה דברים שמטרידים את בכר יותר מהאיסוף ההולך וגובר של מידע על אודותינו ברשת, למשל כשאנו גולשים באתרי קניות, מנועי חיפוש ורשתות חברתיות; ואיך האיסוף והחדירה לפרטיות פוגעים בנו בדרכים שאנחנו לא מעלים על דעתנו. "כולם אוספים עלינו מידע כל הזמן, וכל פעולה שלנו משאירה שובל של מי אנחנו", הוא אומר. "מייצרים פרופילים שלנו, גם כדי לעשות לנו דברים לא טובים, למשל, להציג לנו מוצר במחיר הכי יקר שניתן למכור לנו. תאר לך תרחיש בעולם הבלתי מקוון: אתה הולך לקנות ספה בתל־אביב, ולפני שהמוכר יציג בפניך ספות ומחירים, הוא ידרוש פרטים כמו איפה אתה גר, כמה אתה מרוויח, מה קנית בעבר, מי חבריך ומדוע אתה רוצה את הספה, ורק אז יציג לך ספה עם מחיר שהתאים לך אישית לפי המידע שנתת. מה תעשה? תסתלק מהחנות, כמובן. אך זה בדיוק מה שקורה כל הזמן ברשת. לכן צריכה להיות דרישה מצד אנשים שהדברים הללו לא ייעשו, או שייעשו בשקיפות".

אנשים אומרים – אין לי מה להסתיר.

"הביטוי הזה מרמז כאילו רק לאיש רע יש מה להסתיר. אבל גם לאנשים טובים יש דברים שהם לא רוצים לחלוק עם אחרים, דברים אישיים - מצבך הרפואי, נטיותיך, איפה אתה ועם מי אתה נמצא".

אתה גולש אחרת?

"אני, משפחתי ועובדי הרשות הם אנשים רגילים, הם בעד טכנולוגיה, גולשים וקונים ברשת. אבל אנחנו עושים דברים קצת אחרת: לא נוריד אפליקציה שמבקשת הרשאות שלא קשורות לפעולתה; לא ניתן מידע אישי בשביל כמה שקלים הנחה על כוס קפה; נמחק את ה'קוקיז' ונגלוש במצב 'אנונימי' בדפדפן. אנחנו מנסים למזער סיכונים, אבל גם אנחנו נפגעים".

ממה אתה חושש?

"תרחיש האימים הוא הפיכת החיים שלנו לשקופים. עולם שבו 1984 נראה כמו ספר ילדים משעשע. מצב שבו יודעים עלינו הכל, ואנחנו ניתנים לבקרה ושליטה, ונפגעות הזכויות הבסיסיות שלנו. סין כבר נותנת לנו הצצה לעתיד כזה: שם עושים פיילוט שבמסגרתו מוענק לכל אזרח דירוג על פי הציונים בבית הספר, מה הוא אומר, מה הוא חושב ומה אמרו עליו, ויוצרים עליו פרופיל שיקבע אם מותר לו להיות עובד מדינה, לצאת לחו"ל או ללמוד באוניברסיטה. הטכנולוגיה יכולה לקחת אותנו למקומות מדהימים ונפלאים - אבל גם למקומות מסוכנים, נוראיים ושחורים".

התקציב עדיין קטן

בשנים האחרונות עלה שוב ושוב נושא הפרטיות והפך לקריטי בחיי כל אזרח. עם זאת, הרשות להגנת הפרטיות עדיין קטנה לעומת גופי רגולציה אחרים בארץ. התקציב שלה עומד על 16.5 מיליון שקל בלבד (אף שהוכפל בשנתיים האחרונות), והיא מעסיקה פחות מ־40 אנשים.

"בשנתיים האחרונות עשינו שינוי אסטרטגי. אנחנו מובילים שינוי כדי שאנשים יהיו יותר מודעים לפרטיות שלהם ואגב כך מודעים גם לקיומה של הרשות, שניתן לפנות אליה בשאלות ובתלונות", אומר בכר. "התקציב שלנו גדל, קיבלנו תוספת כוח אדם, הגברנו את פעילות האכיפה והוצאת ההנחיות ואנחנו מובילים שינויי חקיקה. נקים בקרוב מערך פיקוח רוחבי. ברמה בינלאומית, אנחנו נחשבים אפקטיביים ביחס לתקציב ולכמות האנשים שיש לנו. עם זאת, אנחנו עדיין רחוקים מהמקום שאנחנו צריכים להיות בו. האם אמצעים ומשאבים נוספים ישפרו את מצבו של האזרח הישראלי? בהחלט כן".

אנשים שפונים לרשות עם מידע לא תמיד מקבלים מענה. למה?

"חשוב לנו לקבל כל מידע רלוונטי, אבל גודל הרשות לא מאפשר אינסוף פעילות אכיפה. אנחנו מדינה טכנולוגית עם הרבה פעילות מידע, ואנחנו מבצעים תעדוף יומיומי, במה מטפלים ובמה לא, כאשר העדיפות ניתנת לנושאים בעלי השלכות רוחב, לפעילות שתסגור פרצות או הפרות משמעותיות. לא ניתן לטפל ספציפית בכל תלונה פרטנית".

השנה הקרובה צפויה להיות מעניינת וסוערת עבור בכר ועובדי הרשות. במאי הקרוב ייכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) החדשות. הן מיועדות להסדיר את הדרך שבה ארגונים שפועלים בישראל שומרים ומאבטחים את המידע האישי שלנו, כגון סיסמאות, פרטי אשראי, כתובות, תעודות זהות. המטרה, בגדול, היא לאלץ כל גוף, מאתר אינטרנט קטן ועד חברת ענק, למפות ולאבטח כראוי את המידע שהוא שומר על אודותינו. וכך, בתקווה, להקטין את הסיכוי לדליפה ולגניבה.

"התקנות האלה מביאות אותנו לקו הראשון ברמה הבינלאומית באבטחה וניהול של מידע אישי. והן מחייבות את כל המשק, כולל ממשלה. זו מהפכה משמעותית", אומר בכר. עם זאת, נקודה שעלולה להיות שנויה במחלוקת היא חובת הדיווח. לפי התקנות, ארגון שנפרץ ופרטי לקוחותיו דלפו, אינו מחויב להודיע ישירות לאותם לקוחות ולהתריע בפניהם, למשל, שעליהם לשנות סיסמה או לבטל את כרטיס האשראי. לפי התקנות, הרשות להגנת הפרטיות היא זו שתחליט אם ומתי הארגון צריך להודיע ללקוחותיו על כך. "הסיבה המרכזית לכך היא שאנחנו מדינה תחת איומים. ואם יש אירוע עם היבטים ביטחוניים, לפעמים צריך לבצע פעולות שקטות לפני שהאירוע יתפרסם", אומר בכר.

אף שהתקנות הן בגדר צעד חשוב וגדול קדימה, בכר מודה כי יש היבטים נוספים שבהם הן עדיין לוקות בחסר, בוודאי לעומת מה שקורה באירופה. במאי הקרוב תיכנס לתוקף באירופה ה־GDPR, רגולציית הפרטיות החדשה שתחייב את מדינות האיחוד. היא כוללת תקנות מחמירות המחייבות ארגונים לעמוד בסטנדרטים נוקשים מאוד בכל הקשור לשמירה והעברה של נתונים אישיים של אזרחים.

למרבה הצער, בישראל לא אומצו חלק ניכר מהתקנות האירופיות. בכר מדגיש בעיקר את יכולת הענישה המנהלית: בעוד שבישראל ניתן להטיל קנס מנהלי של 25 אלף שקל על עסק שהפר את התקנות, באירופה יהיה ניתן להטיל עיצומים של עד 20 מיליון יורו או 4% מהמחזור הגלובלי של החברה. "מהבחינה הזו, ישראל נמצאת הרחק מאחור", הוא אומר.

עוד פערים: ה־GDPR מעניק לאזרחים יכולת שליטה עמוקה במידע שלהם: זכות לתקן מידע שגוי ששמור בידי גורמים מסחריים, להימחק ממאגרי מידע דיגיטליים, ולעיין בכל מידע שקיים עליהם. בנוסף, ארגון חייב לבקש פרטנית ובמפורש מאדם לבצע שימוש חריג במידע ששמור עליו. "אם לא תתוקן החקיקה הישראלית", מזהיר בכר, "אנו עלולים לאבד את ההכרה בישראל כמדינה שתואמת את סטנדרט הגנת הפרטיות האירופי".

מה עם פייסבוק וגוגל?

פער נוסף שישראל צריכה לסגור הוא היחס לענקיות האינטרנט, פייסבוק וגוגל בראשן, האוספות עלינו כמויות מידע עצומות. באירופה הן נמצאות תחת לחץ רגולטורי עקבי, וחקירות נפתחו בין השאר נגד פייסבוק בנושא שיתוף מידע עם ווטסאפ שבבעלותה. הרגולציה הישראלית הייתה סלחנית כלפי ענקיות האינטרנט, ולא ידוע על פעילות אכיפה משמעותית נגדן. בכר רומז כעת: צפו לשינוי בגישה. "לפי מחלקת המחקר שלנו, פייסבוק שומרת מידע על ישראלים בהיקף של 300 טרה־בייט. זה שווה ערך ל־7.5 ספרים על כל משתמש. אנחנו לא נגביל את עצמנו מול אף אחד ואף גורם, אנחנו לא חוששים ולא נמנעים. ככל שחברה פועלת בישראל ולא עומדת בדרישות הגנת הפרטיות, נשקול להפעיל סמכויות אכיפה נגדה".

אילו פעולות?

"לא אפרט, אך הנושאים שהזכרת (שיתוף המידע בין פייסבוק לוואטסאפ – ש.כ) בהחלט מעניינים ומטרידים אותנו. האם ב־2018 דברים שאנחנו עוסקים בהם בהקשר של חברות בינלאומיות שפועלות בישראל יקבלו פומבי? להערכתי כן".

מה עמדתכם בנוגע למאגר הביומטרי?

"המאגר הוקם בחוק ולא היה תלוי בהסכמתנו. היינו שמחים אם לא היה קם. פעלנו כדי למזער את הסיכונים, וכך התאפשר לאזרחים שלא להכניס את טביעות האצבע שלהם למאגר, ונבנו מנגנונים שימזערו את סכנת הדליפה - אך לא ניתן אף פעם להבטיח לחלוטין שהמאגר לא ידלוף".