הפרטיות שלנו זה לא תמיד העסק שלכם

אישה בעלת תחביב נדיר: שופינג, מגיעה לקופה של רשת אופנה גדולה, עם פריטים שזה עתה ניקתה ממדפי החנות. המוכרת, חיילת משוחררת, מציעה לה: אולי תעשי כרטיס מועדון? האישה מסכימה, ממלאת טופס עם פרטיה, ומקבלת בתמורה כרטיס פלסטיק והבטחות להנחות. איש לא מגיש לה תקנון, או מצהיר מהי מטרתו האמיתית של המועדון: לתעד את הרגלי הקנייה שלה.

במהלך החודש היא תקבל מהרשת מייל שיווקי, ואולי תפנה כדי לבקש שיסירו אותה מרשימת התפוצה, ואולי לא. בחודש הבא, כשהאישה תשוב לרשת, היא תקבל הנחה קטנה אך משמחת. והרשת? הרשת תדע בדיוק אלו בגדים נטע, בת 30 מראשל"צ, לקוחת אורנג', נשואה, מחזיקה חשבון מייל ביאהו, אוהבת לקנות בחודש יולי.

נראה כי חיינו נשלטים על-ידי חברות תקשורת, תאגידים, רשתות ורשויות שמחזיקים ברשותם מאגרי מידע אדירים, עשירים בפרטים שהם פסיפס חיינו כצרכנים. כרטיס המועדון שקיבלת בסופרמרקט ב-2001, הניב מאז מידע מפורט על כל קנייה וקנייה שלך, מידע שנצבר במאגר. הרשת יודעת איזה קוטג' אתה אוהב, ומתי היית בדיאטה. כי המידע הפרטי שלנו שווה לה הרבה כסף. 

"למועדוני הלקוחות יש סיבה לגיטימית - שימור לקוחות, ויש להם גם סיבה לא לגיטימית, שלא כל צרכן מודע לה, והיא מעקב אחר הקניות שלך", מסביר יורם הכהן, ראש הרשות לטכנולוגיה ומידע, הגוף שאוכף את חוק הגנת הפרטיות.

"אם אני מציע לך חיתולים בהנחה, כי ראיתי שאתה קונה הרבה חיתולים – זה בגבול הסביר. אם אני מוכר את המידע הזה לגופים אחרים, למשל לחברת החיתולים - זה לא חוקי".

אם לא מגישים לי במקום תקנון לחברות במועדון, זו הפרה של החוק?

"אין ספק שיש פה הפרה. חייבים ליידע את הלקוחות איזה שימוש נעשה במידע, ורוב הצרכנים כלל לא מודעים למעקב הזה. הרי אם באמת היו רוצים לתת לך הנחת לקוח נאמן וזהו, אז יכלו לתת לך כרטיס, כדי שתעבירי אותו בכל קנייה והוא ייתן לך 10% הנחה. אבל הם רוצים את הפרטים שלך, כי הם רוצים את הפרופיל שלך, והיום מערכות המחשוב יכולות לעשות ניתוחים מאוד מעמיקים של המידע.

"אלוהים נמצא בפרטים הקטנים. בסופו של דבר, ההתעקשות עם החברות היא כדי לכבד את הזכויות של הלקוחות. החברות והצרכנים מתייחסים לפרטיות של הצרכן כדבר לא חשוב, אבל הוא חשוב מאוד".

נקנסו: המשביר לצרכן ולוטו דיל

תגידו שבעידן הפייסבוק פרטיות זה כל כך המאה שעברה. אבל אולי תחשבו אחרת, כשתגלו כיצד גופים אדירים עם אמצעי מיון אינסופיים משתמשים בחיים שלכם ככלי לעשיית כסף. לא תמיד הגורמים הללו אוספים את המידע לפי החוק להגנת הפרטיות, זה שמסדיר את רישום מאגרי המידה ואת אופני הפגיעה בפרטיות. חברות רבות לא מגלות לנו את מטרת איסוף המידע. הן מסרבות לחשוף בפנינו את המידע שנאסף עלינו כשאנו מבקשים זאת מהן, למרות שהחוק מחייב אותן, והן סוחרות במידע עלינו ונותנות אותו לחברות אחרות כדי שיפנו אלינו בהצקות.

הנה כמה דוגמאות לגופים שנתפסו על חם. ב-23 בנובמבר 2010, שופרסל נקנסה באלף שקל, על ששלחה מסר שיווקי בדיוור ישיר (פנייה אישית לאדם בהתבסס על השתייכותו לקבוצת אוכלוסין מסוימת), בו לא צוין באופן ברור ובולט כי הפנייה היא בדיוור ישיר, ולא צוין כך מספר הרישום של המאגר המשמש לשירותי דיוור ישיר.

באותה שנה, המשביר לצרכן נקנסה משום שהעבירה מסר שיווקי לאדם, אחרי שגילתה שהוא עובד בחברה מסוימת. איך גילתה? בעזרת מידע ממאגר לשירותי דיוור ישיר של חברת bdi-coface הכולל מידע אודות 20 אלף חברות ואנשי הקשר שלהן. אך בפנייתה, המשביר לא ציינה את מקור המידע,  ולא נתנה הודעה על זכותו של מקבל הפנייה להימחק מהמאגר בצירוף המען שאליו יש לפנות.

חברה בשם נקודת שיווק וסחר בע"מ נהגה להתקשר לאנשים ביום הולדתם, ולהציע להם לקנות "לוטו דיל", מוצר אותו היא משווקת. כדי להגיע ללקוחות הפוטנציאליים, היא עשתה שימוש במאגר מידע לא חוקי "אגרון", המופץ באינטרנט, ובו פרטים מזהים על אזרחים (בין היתר, שם, כתובת וקרובי משפחה) שדלפו מתוך מרשם האוכלוסין. היא נקנסה ב-167 אלף שקל, על בסיס של שימוש במידע שלא למטרת הקמת מאגר המידע.

השימוש במידע פרטי יכול להיות לא רק לשם פנייה והצקה, אלא גם לשם סירוב לקבלך כלקוח. למשל, חברת ביטוח ישיר סירבה לקבל לקוח חדש, בתואנה שיש לו תיק בהוצאה לפועל. איך ידעה זאת, אם האיש לא היה לקוח שלה קודם לכן? ההוצאה לפועל שולחת הודעות על עיקולים לכל חברות הביטוח, והחברה הזאת פשוט שמרה אותן במאגר נתונים. הרשות קבעה שמדובר בשימוש לא חוקי וקנסה אותה ב-3,000 שקל.

גם גופים ציבוריים חוטאים בפגיעה בפרטיות. עיריית ר"ג נקנסה ב-5,000 שקל על העברת כ-1,500 מדבקות לקבוצת קידום, עם שמות וכתובות של תלמידי תיכוני העיר ר"ג, ללא הסכמת הוריהם. מקור המידע הוא מאגר מידע בבעלות העירייה, שמטרתו "רישום ושיבוץ ילדי תושבי רמת-גן הלומדים במוסדות חינוך". אולם מטרת המאגר לא כללה מתן "שירותי דיוור ישיר" כהגדרתם בחוק הגנת הפרטיות. קבוצת קידום שלחה מכתב פנייה לתלמידי תיכון בעיר רמת גן, בלי לציין מהיכן השיגה את המידע. קידום נקנסה ב-1,000 שקל.

תביעות ייצוגיות נגד סלקום ופלאפון

רבות מהפרות חוק הגנת הפרטיות הן פליליות, עבירות קפידה - שאינן טעונות הוכחת מחשבה פלילית או רשלנות, ועונשן שנת מאסר. אולם נהוג להמיר את העבירה הפלילית לקנס מנהלי. מי שמטיל את הקנסות האלה, היא הרשות לטכנולוגיה ומידע. הרשות מתפקדת כרגולטור המגן על מידע אישי ורושמת מאגרי נתוני אשראי ומידע על עוסקים. את ההפרות היא מפרסמת בקצרנות נזירית באתר שלה.

"בשלב הבא נעלה את מכתבי הסיכום שמסכמים את המקרים", מבטיח הכהן. "זה אמור להיות כלי לציבור, כדי שיידע את ההיסטוריה של החברה בהקשר של הגנת הפרטיות. עצם הפרסום הרבה יותר חשוב מהקנס. כי הוא יוצר הד ציבורי וצרכנים הופכים למודעים יותר לזכויות שלהם".

לפני מספר חודשים, אירע שינוי משמעותי בגובה הקנסות. מכפולות של 200 ו-600 שקל לאדם פרטי שהפר את החוק, ופי 5 מכך לתאגיד, הם קפצו ל-5,000 שקל להפרה של אדם פרטי, ול-25 אלף שקל להפרה של תאגיד.  

לפעמים הרשות מסתפקת רק בנזיפה - "קביעת הפרה", ללא קנס, כמו במקרה בו סלקום קנתה מידע על ילדים של לקוחותיה, שעומדים להתגייס לצה"ל, כדי לפנות אליהם בהצעות שיווקיות. "קביעת הפרה" זו הזמנה לתביעה ייצוגית נגד החברה המפרה, כפי שאכן קרה במקרה של סלקום, וכן במקרה בו פלאפון שמרה לכאורה הודעות SMS של לקוחותיה במשך חודש לאחר שליחתן. בנוסף, המתלונן הפרטי יכול לדרוש פיצוי ללא הוכחת נזק של 50 אלף שקל.

"סלקום הייתה צריכה לדעת שאם היא מבקשת מידע על בני 17 שעומדים להתגייס, ישנה שאלה גדולה לגבי החוקיות שלו", מסביר הכהן, "הרי מאיפה גוף מסוים יכול לתת לך שמות של אנשים שמועמדים לשירות ביטחון? כיוון שקבענו שסלקום הפרה את הוראות החוק ולא קבענו קנס מנהלי, עו"ד שמתמחה בתביעות ייצוגיות הגיש תובענה על בסיס זה. אם יתגלה שסלקום השתמשו במאגר לא חוקי הם לא ינצלו מאישום".

למה הקנסות נמוכים מדי?

"את הקנס אנחנו מטילים פר הפרה. אם ישנה ראייה לכמות גדולה של הפרות – מכפילים את הקנס. זו שיטה לא מוצלחת במיוחד, ואנחנו בתהליך של שינוי החוק".

חייבים להשמיע את ההקלטה

אבל רוב הצרכנים לא מודעים לאפשרות להתלונן. "אנחנו מקבלים 3,000 פניות בשנה", אומר הכהן. "אנחנו עורכים בדיקות, תופסים מחשבים. יש לנו סמכויות חקירה פליליות. אך לפעמים מספיקה פנייה כדי שהעסק ייפתר. אחת הזכויות בחוק הגנת הפרטיות היא לעיין במידע אודותייך, ולא כל הגופים מקיימים את זכות העיון, אך אחרי שהם מקבלים מאיתנו פנייה הם מיד מקיימים אותה".

אז אם חברת תקשורת לא מסכימה שאשמע הקלטה של שיחה איתי שמצויה ברשותה, אני יכולה לדרוש אותה בשם זכות העיון, או להתלונן אצלכם?

"הקלטה היא היבט מסוים של זכות העיון. אם הקליטו את הלקוח מוסר פרטים על עצמו, אז מדובר במאגר מידע אישי, עליו חלים כל הכללים, בין היתר זכות העיון של הלקוח".

שיווק טלפוני מותר?

"כל עוד הוא עומד בהוראות חוק הספאם וכל עוד ישנה הסכמה מדעת. קו הגבול עובר במקום בו הפנייה נעשית לפי איפיון קבוצתי שפוגע בפרטיות. אם אני פונה לכל תושבי ת"א, נצא מנקודת הנחה שזה לא פוגע בפרטיות. אם אני פונה רק לתושבי ארסוף – יתכן שזה כן פוגע בפרטיות – כי יש להם מאפיינים מאוד ייחודיים".  

על גופים ציבוריים יש משטר שונה?

"כן. פעמים רבות, המידע שנמסר לגוף ציבורי הוא חובה חוקית עבורה אין צורך בהסכמה של הצרכן. אך אם עיריית ר"ג מעבירה נתונים על תלמידים לגוף פרטי, צריך לבדוק אם זה הולם את מטרת החוק. אם היא נתנה שמות של תלמידים לצלם פרטי עבוד תמונת מחזור – זה מותר, כל עוד הוא לא שומר את המידע. אך אם היא נתנה פרטי תלמידים למפיק יומנים זה לא תקין".

איך אדם פרטי יכול לעבור על החוק?

"כעוסק מורשה ישנם אנשים פרטיים שיש להם מאגרים מאוד רגישים: גניקולוגים ורופאים אחרים, עורכי-דין או פסיכולוגים. גם המאגרים שלהם חייבים להיות רשומים כחוק".

עו"ד דן חי: המודעות של החבות נמוכה מאוד

אחד המקורות למידע פרטי הוא חברות שעוסקות בדיוור ישיר, הן סוחרות במידע ומעשירות אותו. הן מחזיקות מידע אך ורק לשם העברתו לחברות אחרות שצמאות לו. בין החברות האלה, ישנן כאלה שהן חוקיות, ישנן כאלה שאינן חוקיות וישנן כאלה ששוחות בתחום האפור. 

החברות החוקיות, אוספות מידע בהסכמה, כדי להציע שירותים. החברות בתחום האפור אומרות שהן אוספות מידע למטרות X ומרחיבות את השימושים בו גם למטרות Y, או מעבירות אותו הלאה בלי הסכמה. וישנן החברות הלא חוקיות. אלה עושות שימוש במרשם האוכלוסין המודלף. 

הרשות למשפט, טכנולוגיה ומידע הוקמה ב-2006, בהינף החלטת ממשלה. 2006 הייתה גם השנה בה דלף מרשם האוכלוסין לרשת, והפך כר נרחב לחתכים ופילוחים לא חוקיים, כפי שהעיד מקרה עומר אדם. חברות מסחריות מעטות מדי הבינו שעליהן להלך כעת בין הטיפות, והמומחה לדיני פרטיות, עו"ד דן חי,החל לקבל אז פניות של גופים שיושבים על מאגר מידע גדול ומגוון. "מאז, חברות פונות אלי לקבל 'תו תקן' למאגרי המידע שלהן. ואם צריך לשנות משהו, אני כותב מכתב שמאשר שבדקנו, תיקנו, ופה פועלים כחוק", הוא מספר.

"אבל המודעות בשוק עדיין נמוכה מאוד. כל גוף שמשלם משכורות לעובדים בעצם מחזיק היום מאגר מידע. אז על אחת כמה וכמה גוף שמחזיק מועדון לקוחות, כרטיסי אשראי, בנקים, אלה חברות שמתעסקות בכמות עצומה של מידע. החקיקה בארץ לא מספיק מתקדמת וצריך לפרש אותה לפי הדירקטיבה האירופית אבל אם אתה סותם את החורים, אתה יכול להרוויח כסף".

תן דוגמא לחורים שאתה סוגר.

"חור מאוד שכיח זה מקרה של העברת מידע לחו"ל. חברות מקימות סוכנויות בחו"ל ומעבירות לשם מידע. או חברה שנעזרת בשירותים בתחום הסלולר או האינטרנט, שבחלקם יושבים במדינות אחרות. חברות ששומרות מידע בשירות לקוחות על אופי התלונות של הלקוח ומרחיבות כך את מאגר המידע, בלי שהדבר מוגדר אצלן במטרות המאגר. בתי מלון ששומרים פרטים 'לפעם הבאה' שהלקוח יבקר במלון, מסעדה שכשאת אומרת את שמך את מגלה שהוא 'נמצא במאגר', גם בלי שביקשת להיות חברה שם".

מועדון לקוחות זה לא עסק פשוט לתיחזוק. הוא חייב ברישום כמאגר מידע, כשמספר החברים בו עולה על 10,000, או שישנו שם מידע שהוא יותר משם וטלפון. האגרה היא כמה מאות שקלים בשנה, ואחזקת המאגר כוללת גם תשלומים על אבטחת מידע וייעוץ משפטי.

הכלל הראשון ביצירת מאגר מידע הוא הגדרתו: מהו המידע שנאסף ואלו שימושים מתכוונים לעשות בו. מה מטרת המאגר. את ההגדרות הללו יש להעביר לאנשים הרשומים במאגר באופן חד וברור, לפני רישומם, כדי לקבל את הסכמתם למטרה. "החובה של החברה היא לפעול מתוך מטרת המאגר. רק כשיש שקיפות אתה יכול לא רק לישון טוב בלילה", אומר חי.

"החוק נותן כלים לדיוור ומי שפועל בהתאם להוראות נותן הזדמנות לצרכנים אם הם רוצים לקבל את המידע או לא. כשאני מגיע לחברה אני בודק אלו מאגרים יש בחברה, מה עושים איתם, על מה חתמו האנשים במאגר, מה רשום ומה לא רשום. אני בודק שהמאגר מאובטח ומוצפן אם צריך. אם למאגר אין הגדרה, יוצרים הגדרה ופונים לכל הלקוחות ומבקשים את הסכמתם הברורה במיילים, בטלפונים.  

"היום, מידע על אנשים זו עוצמה, אם אתה ממנף אותו נכון. זה תחום שנקרא עיצוב פרטיות - כשהמידע מעוצב נכון מהיבטים של הפרטיות, לא רק כדי להיות בסדר מבחינת החוק, אלא גם ליצור מצב בו כל הצדדים מרוויחים גם האנשים שנמצאים במאגר , וגם אתה כחברה שיכולה להרוויח מהמאגר כסף. זה דורש מהחברות לפעול חכם בצורה שתואמת את הציפיות של אנשים".

ניתן להגיש תלונות על הפרות של חוק הגנת הפרטיות באמצעים הבאים:

אתר רמו"ט

דוא"ל: ILITA@justice.gov.il

פקס: 02-6467064

דואר: ת.ד. 7360 תל אביב 61072