הרשות להגנת הפרטיות, רשות התחרות והרשות להגנת הצרכן ממליצות על אימוץ הזכות לניוד מידע בדין הישראלי

הרשות להגנת הפרטיות, רשות התחרות והרשות להגנת הצרכן ממליצות על אימוץ הזכות לניוד מידע בדין הישראלי

הזכות לניוד מידע (Data Portability) מעניקה לאדם שעליו נאסף מידע אישי ("צרכן" או "נושא מידע"), את האפשרות לקבל את הנתונים שנאגרו בעניינו על ידי גוף מסוים, ולהעבירם לגוף אחר. זכות זו בעצם מאפשרת לצרכן להעתיק ולהעביר בקלות מידע אישי שלו, לשלוט במידע שנאגר לגביו ולעשות בו שימוש נוסף בהתאם לצרכיו.

לאור ההבנה כי הכלכלה הדיגיטאלית מעוררת סוגיות משמעותיות הנוגעות להיבטי צרכנות, תחרות ופרטיות, נוכח התעצמותן של ענקיות האינטרנט וכוחן הגובר של פלטפורמות דיגיטאליות, רשות התחרות, הרשות להגנת הצרכן ולסחר הוגן והרשות להגנת הפרטיות (להלן: "הרשויות"), הקימו צוות משותף לעיסוק בסוגיות מרכזיות בתחום הכלכלה הדיגיטאלית ("צוות הרשויות" או "הצוות"). על אף שמקורה של הזכות לניוד מידע נובעת מתחום הפרטיות היות ועוסקת בהעברת מידע אישי, לזכות זו השפעה משמעותית גם בתחומי התחרות והגנת הצרכן. לאור זאת, גיבש צוות הרשויות מסמך ("המסמך"), אשר מעלה סוגיות הנוגעות לקליטת הזכות בדין הישראלי, ומספק המלצות ליישומה תוך התייחסות לאופן שבו הזכות מאומצת בדין הבינלאומי כמפורט להלן.

הזכות לניוד בדין הבינלאומי

במהלך השנים האחרונות הזכות לניוד במידע עוגנה באופן רשמי בדין הזר. דוגמאות בולטות לכך הן האיחוד האירופי במסגרת סעיף 20 ל-EU General Data Protection Regulations (“GDPR”), חוק הגנת המידע של קליפורניה ה-(California Consumer Privacy Act (“CCPA”, חקיקת הגנת המידע של ברזילGeneral Data Protection Law (“GDPL”)  וחקיקות במדינות נוספות. במסמך, בוחן צוות הרשויות את הזכות לניוד מידע בראי הדין הזר, ומגבש המלצותיו בהתאם לאופן שבו הזכות מעוגנת בחקיקות השונות, ובפרט באיחוד האירופי.

בחינתו נובעת מהגישה לפיה ככל שדרישות הדין הישראלי יהיו משותפות לדרישות בשיטות משפט אחרות, יהיה בכך כדי להקל על התאמת הדינים הנדרשת מבחינת החברות השונות והפחתת הנטל הרגולטורי המוטל עליהן. כלומר, ככל שהדין הישראלי ינוסח וייושם באופן דומה לדין הבינלאומי, חברות בינלאומיות יתאימו את הפעילות שלהן לדין המקומי תוך מאמץ מינימלי.

קביעת זכות כללית או סקטוריאלית

מלבד הזכות הכללית לניוד מידע אשר קיימת בחקיקות זרות, לעיתים חלה זכות פרטנית לניוד מידע במגזרים ספציפיים, באופן שמאפשר העברה מהירה ויעילה בין גופים שונים הפעילים באותו תחום. כך למשל באוסטרליה הזכות לניוד המידע אינה מוחלת על המשק בכללותו אלא על מגזרים ספציפיים כגון במגזר הבנקאי, ומיועדת לחול גם בתחום האנרגיה והתקשורת. גם בדין הישראלי, שאינו כולל בשלב זה זכות כללית לניוד מידע, ישנם מגזרים ספציפיים שבהם החלו לקדם הליך של קביעת זכות לניוד מידע, בין היתר בתחום הפיננסים והאנרגיה.

לטענת צוות הרשויות, קביעת זכות סקטוריאלית לניוד מידע עשויה להיות אפקטיבית מבחינת השוק והצרכן, ויש בה כדי להעצים את המטרות של הזכות הכללית. גישה זו משקפת את זו של האיחוד האירופי. על אף זכות ניוד המידע הכללית הקיימת ב-GDPR, סעיף 40 לרגולציה מעודד אימוץ כללים סקטוריאליים פנימיים, לקידום יישום של הרגולציה, תוך התחשבות במאפיינים ספציפיים של המגזרים השונים ובצרכים של חברות קטנות ובינוניות.

יחד עם ציון היתרונות הגלומים באימוץ סקטוריאלי, צוות הרשויות מדגיש כי לזכות כללית חשיבות דקלרטיבית שיש בה כדי להועיל לצרכנים שונים בשווקים שבהם אין הסדרה פרטנית הנוגעת לניוד מידע. לכן, ממליץ על קביעת הזכות כזכות כללית בדין הישראלי ובמקביל, בסקטורים בהם קיימת חשיבות רבה לניוד מידע, מומלצת רגולציה ממוקדת.

המטרות שבבסיס הזכות לניוד מידע

צוות הרשויות מציין במסמך את המטרות שמנה ארגון ה-OECD העומדות בבסיס הזכות לניוד מידע אשר משיקות למטרות מרכזיות אותן מקדמת כל אחת מהרשויות. מטרות ורציונאלים אלו מסתמכים בין היתר על היוזמות השונות שיושמו עד כה בעולם.

  • שליטה עצמית במידע. בסביבה דיגיטלית של מידע קיימים פערי מידע ברורים בין צרכן לעוסק. חיזוק זכויותיו של הצרכן ביחס למידע האישי שנאסף לגביו עשוי לסייע בצמצום פערים אלו. במימוש הזכות לניוד, הצרכן בעצם מקבל את האפשרות לנהל את הנעשה במידע האישי שלו. בהקשר זה, מזכיר גם צוות הרשויות את הזכות לעיון במידע מכוח חוק הגנת הפרטיות תשמ"א – 1981. לטענתם, הזכות לניוד במידע, משלימה את הזכות לעיון בכך שהיא תאפשר את העיון במידע גם בעידן הדיגיטאלי הנוכחי. נושא המידע יהיה רשאי לדרוש העברה של המידע אליו או לצד שלישי, באופן שניתן יהיה לעשות במידע שימושים נוספים, לפי רצונו ובקשתו.
  • הגברת התחרות ומגוון אפשרויות לצרכן. ניידות נתונים מהירה ויעילה, צפויה להגביר את רמת התחרות ואת מרחב האפשרויות לצרכן בשווקים הדיגיטאליים. ענפים דיגיטליים חדשניים כגון מנועי חיפוש, רשתות חברתיות, מסחר אלקטרוני ותחבורה שיתופית נחשבים ככלל ענפים ריכוזיים הנשלטים על ידי מספר מצומצם של חברות. ניוד נתונים מהיר ויעיל, עשוי לצמצם ריכוזיות כאמור, ולהגביר את התחרות בין ספקי מוצרים ושירותים דיגיטליים ובהתאם, את מרחב האפשרויות של הצרכן. בנוסף, ניוד נתונים צפוי להגביר את התחרות ולהעניק יתרון למצטרפים קטנים או חדשים על ידי הפחתת עלויות מעבר. הצרכן לא ימצא עצמו כבול לשירות מסוים כאשר הוא אינו מרוצה וניוד המידע לגביו יאפשר לו לעבור לחברה מתחרה בקלות.
  • עידוד חדשנות מבוססת מידע ופיתוח מוצרים. יש באיסוף נתונים חדשים ומגוונים וניודם כדי לעודד חברות בשווקים מבוססי נתונים לשפר מוצריהן או לחדור לשווקים חדשים באופן שיטיב עם הצרכן.
  • הקלה על זרימה ושיתוף של נתונים. האפשרות לניוד עשויה להגביר את אמון הצרכנים, וכתוצאה מכך להגביר את נכונותם לספק נתונים נוספים לנותני השירותים ולאפשר להם לשפר את שירותיהם בהתאם. בנוסף, ככל שאימוץ הזכות יאפשר מעבר קל באופן יחסי לחברות אחרות, לצרכנים תעמוד הבחירה לעזוב פלטפורמות שאינן מכבדות את פרטיותם לכאלו שכן.

לאור אופן יישום הזכות לניוד מידע בדין הזר ולאור היתרונות המנויים לעיל הצפויים בהענקת זכות זו, ממליץ צוות הרשויות לאמץ את הזכות בדין הישראלי בהתאם לעקרונות הבאים:

  1. עיגון הזכות לניוד מידע. יש לעגן את הזכות לניוד בחקיקת הגנת הפרטיות או הגנת הצרכן, לאור הרלוונטיות המובהקת של הזכות בשני תחומים אלו.
  2. תחולת הזכות לניוד מידע. הזכות שתאומץ תחול על מידע אישי ודיגיטאלי בלבד, קרי מידע אשר קשור לאדם יחיד שניתן לזהותו על בסיס אותו מידע. יש צורך להבחין בין מידע שניתן באופן וולונטארי (כלומר מידע שצרכנים מספקים על עצמם כמו במסגרת מילוי שאלון כחלק מהליך רישום לאתר), מידע שנצפה על הצרכן (כגון היסטורית חיפוש או צפייה, אשר נאספות באופן אוטומטי) ונתונים שהוסקו על הצרכן קרי, שילוב של נתונים שסופקו באופן וולונטארי ונתונים נצפים כדי להסיק מידע נוסף על הצרכן. בהקשר זה, סבור צוות הרשויות כי ראוי לקבוע כלל ברור שיאפשר את החלוקה בין סוגי מידע כאמור. כמו כן ממליץ כי הזכות לניוד מידע תחול רק על נתונים שסופקו באופן וולונטארי ונתונים נצפים, אך לא על נתונים שהוסקו.
  3. אבטחת המידע המועבר. עליה בתעבורת נתונים מלווה בסיכוני אבטחת מידע שעלולים להיווצר עקב ניוד מידע בין ספקים, והגדלת הסיכוי לדליפת מידע ולשימוש בו נגד הצרכן. לכן, יש להקפיד הן על אבטחת המידע של צינור ההעברה, והן על אבטחת המידע כאשר נמצא בידי בעל השליטה במידע המקורי והמועבר.
  4. הערכת סיכונים פוטנציאלים וגיבוש מדיניות. לאור סיכוני אבטחת מידע כאמור, יש להגביר את המודעות לסיכונים פוטנציאלים לפני העברת המידע לספק אחר. כמו כן, יש לגבש מדיניות ספציפית בנושא ניוד מידע שתכלול התייחסות לאבטחת המידע, כמו גם לקבוע מנגנון אחריות והגנות לצרכן במקרים שבהם יתרחש אירוע אבטחת מידע במסגרת ניוד המידע.
  5. הזכות תוענק ללא עלות נוספת מבחינת הצרכן, למעט במקרים חריגים (כמו בקשות חוזרות) שיקבעו.  בדומה לגישה העולה מן ההוראות המקבילות ב-GDPR, CCPA וה-GDPL, על זכות הניוד להינתן ללא עלות כספית מצד נושא המידע. כמו כן, בהתאם להוראות ב-GDPR וב-CCPA, נסיבות מסוימות כגון כאשר הבקשות מוגזמות או בעלות אופי חוזר, יצדיקו גביית תשלום מסוים.
  6. המידע יועבר בפורמט מקוון, קריא ונפוץ, שיאפשר שימוש נוסף או חוזר במידע. באשר לפורמט שבו המידע יועבר, צוות הרשויות סבור כי ראוי לקבוע כללים ברורים לאורם תתאפשר העברת המידע, עם זאת מבלי לחייב באופן גורף הטמעת טכנולוגיות מתאימות. מנגד, בסקטורים האסטרטגים המתבססים על מידע לפעילותם, יש מקום לשקול רגולציה פרטנית ולפתח סטנדרטים אחידים לאופן עברת הנתונים באותו השוק.
  7. הזכות תחול על גופים מסוימים אשר עומדים ברף מינמאלי שיקבע בהתאם להיקף הפעילות וכמות לקוחות. בשונה מהגישה העולה מכוח ה-GDPR אשר קובע זכות ניוד גורפת, צוות הרשויות ממליץ על אימוץ סף מינימלי להחלת חובת ניוד נתונים ביחס לתחולת הזכות, במטרה לפטור עסקים קטנים מהנטל שצפוי לחול עליהם. גישה זו עולה בקנה אחד עם הקריטריונים המנויים במבחני התחולה של ה-CCPA, אשר מחריגים עסקים קטנים/בינונים רבים מתחולה של החקיקה.
  8. הימנעות מהעברות מידע לצדדים שלישיים. ככל שהזכות לניוד מידע כוללת בהקשר זה גם זכות לניוד תמונות, פרסומים, הודעות ותגובות של צד שלישי, היא כוללת בהכרח סיכונים לפרטיות ואבטחת מידע של צדדים שלישיים. לכן, יש להימנע מהעברת מידע על צדדים שלישיים. עיקרון זה נכתב בהתאם לסעיף 20 ל-GDPR אשר קובע כי הזכות לניוד לא תשפיע לרעה על זכויותיהם וחירויותיהם של אחרים. צוות הרשויות סבור כי יש לפעול בהתאם לכלל שבדין האירופי בעניין זה, במטרה למנוע פגיעה בפרטיות של צדדים שלישיים. עם זאת, הגנה על פרטיותם של צדדים שלישיים יכולה להתבצע באמצעות קבלת ההסכמה של הצד השלישי לניוד המידע מראש, או באופן נקודתי, ככל שגם הוא צרכן של נותן השירותים המספק מענה לבקשה.

בשלב זה המסמך זמין להערות הציבור. הערות לגביו ניתנות להעברת עד לתאריך 24.1.2021, בכתובת: digitaleconomy@competition.gov.il .

נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא.

חדשות נלוות