אירופה לא נחה בעת משבר הקורונה. לאחרונה קיבל בית הדין הגבוה לצדק במדינות האיחוד החלטה דרמטית, הפוסלת את ההסדר שהתקבל להעברת מידע מאירופה לארה"ב וטרף את הקלפים ביחסי הצדדים ביחס להעברת מידע אישי.
ההחלטה הזו מזכירה, שעל שולחן הדיונים באירופה נמצא גם הסדר אחר - זה שנוצר בעקבות החלטת מדינות האיחוד מ-2011 להכיר בתאימות הדין בישראל בנושא המידע האישי לזה הנוהג באיחוד האירופי, ולאפשר בכך העברה חופשית של מידע אישי בין אירופה לישראל. עם קבלת תקנות המידע האירופיות החדשות (GDPR) בחודש אפריל 2016 (שנכנסו לתוקף במאי 2018), החליט האיחוד לבחון שוב את ההחלטה הזו, בחינה שאמורה להסתיים בחודשים הקרובים.
כאשר בוחנים מה קרה אצלנו מאז קבלת ההחלטה ב-2011, המאזן לא מבשר טובות. בצד החיובי ניתן להצביע על קבלת תקנות אבטחת מידע חדשות, שהתקבלו בחודש מארס 2017 ונכנסו לתוקף במאי 2018. מהצד השני, חקיקה תומכת בתקנות, שהייתה אמורה לתת לרשות להגנת הפרטיות כלים לאכיפתן, לא קודמה. הצעת החוק בעניין אומנם עברה קריאה ראשונה בכנסת, לפני שיצאנו לסבב של שלוש הבחירות האחרונות, אך לא מעבר לכך.
בצד השלילי הרשימה עוד ארוכה. החוק שמאפשר לשב"כ לאכן את כל אזרחי המדינה אגב מחלת הקורונה, סותר את תפיסת הרשויות באירופה, אשר ממליצות על מעקב וולונטרי אחר האזרחים ולא מעקב בידי שרותי ביטחון פנימיים על כל האזרחים. קבלת החוק בארץ לא תוסיף לנו נקודות.
אבל מעבר לכל אלה, חוק הגנת הפרטיות הישראלי הוא חוק ישן, שהתקבל ב-1981 ועבר שינוי משמעותי אחרון ב-1996. מאז חלפו שנות דור, האינטרנט נכנס לפעולה בקצב מסחרר ולחיינו פרצו חידושים טכנולוגיים מקיפים רבים. באירופה התקבל, כאמור, חוק הגנת מידע חדש - אבל לא רק שם. בקליפורניה נכנס השנה לתוקף חוק מידע חדש (CCPA), וכך גם בברזיל, בארגנטינה, יפן והרשימה עוד ארוכה. בישראל לא נעשה דבר בנושא, אפילו לא טיוטת חוק.
אין זה חדש שנושא הפרטיות לא מעניין במיוחד את המחוקק הישראלי. קולות בנושא נשמעים עוד מתחילת שנות ה-2000, אך למרות זאת לא נעשה דבר. בתחילת המיליניום פעל אומנם צוות במשרד המשפטים שהמליץ על שינוי החוק. כמה שנים מאוחר יותר אף יצא תזכיר חוק, שהמליץ לצמצם את חובת רישום מאגרי המידע בישראל, חובה ארכאית שקיימת כאן משנת 1981. אבל מעבר לכך - לא נעשה דבר.
קבלת החלטה אירופית לפיה שמשטר המידע בישראל לא תואם את זה שבמדינות האיחוד, תהווה מכה קשה לעסקים רבים בישראל. היא תעצור את אפשרות ההעברה החופשית של מידע אישי על אזרחים של האיחוד האירופי לישראל, ותכפיף העברה כזו למגבלות שיכבידו מאוד על פעילותם של עסקים רבים המבקשים להעניק שירותים, למכור מוצרים ולעבד מידע אישי הקשור באזרחי אירופה. תהיה לכך משמעות קשה ביחס לתעשיה הישראלית, בעיקר לזו של ההיי-טק המתבססת כיום על מאגרי מידע גדולים הכוללים מידע אף על אזרחים אירופיים. עבור חברות אלה, המשמעות של מהלך כזה תהיה דרמטית תוך השלכות כלכליות קשות.
עדיין לא מאוחר. ישראל יכולה לעשות מהלכים מהירים כדי לצמצם פערים. כדי שזה יקרה, צריך להוציא מהארכיב את ההצעה לתיקון חוק הגנת הפרטיות המאפשרת סמכויות אכיפה ראויות לרשות להגנת הפרטיות, ובכלל זה הסמכות לאכוף את תקנות אבטחת המידע החדשות. יש לבצע חשיבה נוספת ביחס לחוק המאפשר את איכוני השב"כ וללכת על מודל שונה, במסגרתו היקף האיכונים יקטן והגורם המאכן יהיה גורם אזרחי ולא ביטחוני (כפי שאכן ממליצה הרשות להגנת הפרטיות - ראו קישור משמאל). להשלמת המהלך יש לקדם בארץ חקיקה חדשה בתחום הפרטיות. אפשר להביט לצדדים ולראות מה עשו באירופה (GDPR), מה עשו בקליפורניה (CCPA) ובמקומות נוספים בעולם, לקבל רעיונות ולהביא לנוסח של תיקון לחוק, שלא יעתיק חוקים אחרים, אלא יאמץ רעיונות ויתאים אותם למציאות שלנו.
כאמור, את המחוקק הישראלי, הזכות לפרטיות לא עניינה במיוחד בהמשך שנים. בצד החיובי של החלטה שלילית של האירופים אפשר אולי להוסיף, שאם תתקבל החלטה כזו, למחוקק בארץ לא תהיה ברירה אלא להפשיל שרוולים ולעבוד גם למען הפרטיות. אם זה מה שיקרה, אולי נצא בסוף בצד המרוויח.