סייבר ואבטחת מידע, ובפרט הגנת פרטיות, אינם נושאים טכניים, אלא קשורים קשר הדוק לעולמות ה־ESG, ובייחוד להיבט ה־S (חברה). אבטחת מידע תורמת רבות להגנה על הפרטיות, לחיזוק אמון הציבור ולשמירה על זכויות אדם. בעידן הטכנולוגי המתקדם של המאה העשרים ואחת עסקים רבים אוספים, מעבדים ומשתמשים במידע אישי של לקוחותיהם, עובדיהם וספקיהם, והשימוש במידע זה עלול לפגוע בפרטיות. הפרטיות מבוססת על עיקרון של שליטה של האדם במידע אודותיו. מדובר ביכולת של כל פרט להחליט אֵילו פרטי מידע ישותפו, בין אם מדובר במידע פשוט כמו הרגלי קנייה, ובין אם מדובר במידע אישי רגיש כמו נתונים רפואיים או החלטות אישיות, למשל בנוגע להפלות.[1] השליטה במידע מקנה לפרט חופש לפעול כרצונו ולהגדיר את אופיו האישי ללא התערבות חיצונית. בעידן הדיגיטלי, כשמידע נאסף ונשמר במאגרים טכנולוגיים, הגבול בין האדם ובין המידע אודותיו מיטשטש, ובשל כך מי ששולט במידע הזה, כמו המדינה או תאגידים, שולט בפרט עצמו. כך נשללת מהאדם היכולת להיות ריבון על חייו, והאוטונומיה שלו נפגעת.[2]
ברשומה זו אעסוק באתגרים החדשים בתחום הגנת הפרטיות בעידן הדיגיטלי ובתפקיד החברות והדירקטוריונים בתחום זה. אדון בדרכים שבהן דירקטוריונים יכולים לנהל סיכונים בהיבט של הגנת הפרטיות ולהתמודד עם לחצים משפטיים וחברתיים לשמירה על פרטיות המידע.
מעֵבר להסכמה: אתגרים חדשים בהגנה על הפרטיות
אחד מעקרונות חוק הגנת הפרטיות, התשמ"א–1981, הוא עקרון ההסכמה, המבטא את זכותו של האדם לשליטה במידע האישי הנוגע אליו. החוק קובע שהסכמה לפגיעה בפרטיות חייבת להיות הסכמה מדעת, כלומר, על האדם לקבל את כל המידע הנדרש כדי להחליט אם ברצונו להסכים לפגיעה או לא.[3] ״פרטיות כשליטה״ היא נדבך חשוב בהגדרת מושג הפרטיות, והיא מדגישה את שליטת האדם במידע הנוגע אליו. הגדרה זו מסבירה מגוון היבטים של פרטיות, החל בשליטה במקומות מסוימים, עבור ביחידות אישיות ואוטונומיה בתקשורת וכלה במידע יום־יומי כמו הרגלי רכישה.[4] אולם גישה זו זכתה גם לביקורת נוקבת, בייחוד מצד משפטנים בארצות הברית. לטענתם הגדרה זו מתמקדת בכך שהיא הסכמה לשימוש במידע מקרב המשתמשים כתנאי יסודי להגנה על פרטיותם, אך מדובר הלכה למעשה בהסכמה שאינה מושכלת, הסכמה בעייתית למדי בכמה ממדים, שכן אין שקיפות אמיתית כלפי המשתמשים, והם אינם מודעים מודעות מלאה לאופן השימוש במידע עליהם. מדיניות הפרטיות ארוכה, מורכבת, מנוסחת בשפה משפטית מסובכת, ולעיתים קרובות אינה קריאה או מובנת לרוב המשתמשים. התאגידים מנצלים את חוסר השוויון במידע כדי להפעיל מניפולציות שבהן האפשרות להסכים לאיסוף מידע נראית מפתה, והבחירה שלא להסכים מוצגת בצורה מבלבלת ולא נעימה.[5] תאגידים רבים משתמשים במידע אישי – כמו פרסום ממוקד או יצירת פרופילים צרכניים מפורטים – לצרכים מסחריים ללא ידיעה או הסכמה במפורש מצד המשתמשים. פעמים רבות המידע הזה עובר לגורמים שלישיים, ועקב כך המשתמשים מאבדים שליטה על המידע שלהם. הדבר עלול להוביל לפגיעות אישיות כמו הפליה במחירים, גניבת זהות, מלכודות שיווקיות ועוד.[6]
הבעיה אינה נעצרת שם, והיא מתרחבת גם לאיומים חיצוניים כמו פריצות סייבר, שבהן המידע האישי שנשמר בידי התאגידים נגנב ומשמש למטרות פוגעניות כמו סחיטה או גניבת זהות. חוויות אלו מובילות לפגיעות נפשיות כמו חרדה ופחד, לתחושות של חוסר שליטה ואובדן אוטונומיה, ולעיתים גם לפגיעות כלכליות חמורות.[7] דו"ח חדש של מערך הסייבר הלאומי מציג לראשונה ניתוח כלכלי של העלות המצטברת למשק הישראלי מנזקי מתקפות סייבר, העלות מוערכת ב־12 מיליארד ש"ח בשנה. הדו"ח מלמד שהשקעה בכמה צעדי הגנה בסיסיים יכולה להפחית את הסיכון לתקיפות בארגון בכ־30%–50%.[8]
המתח שבין רווחים ובין אחריות חברתית: שלושה היבטים עיקריים
נראה אפוא שהגנה על פרטיות המידע הפכה לאחד מהנושאים האסטרטגיים שבהם דירקטוריון של חברה עסקית נדרש לפעול באחריות. לכאורה אפשר להניח במבט ראשון שמדובר במקרה קצה, אולם מדובר במצב שכיח יותר משנדמה, שכן במרוצת השנים אפשר להיווכח כיצד נוסף על תפקידו בפיקוח על הפעילות הפיננסית וניהול הסיכונים, הדירקטוריון עוסק גם בנושאים חברתיים לצד אחריות תאגידית.[9] חשוב להבהיר שאין מקום לאשליות: אחריות תאגידית זו אינה נובעת רק מרצון טוב, אלא בראש ובראשונה משיקולים כלכליים. כך למשל בניית אמון עם הלקוחות בנושא פרטיות היא רכיב קריטי. כאשר לקוחות סומכים על חברות טכנולוגיה שישמרו על פרטיותם, הם נוטים יותר לשתף עימן מידע ולהתנהל עימן בביטחון. כדי לשמור על יתרון תחרותי חברות חייבות להוכיח מחויבות להגנת הפרטיות, שאם לא כן הן עלולות לאבד את לקוחותיהן לטובת מתחרים. אחריות תאגידית הכרחית להצלחה עסקית בטווח הארוך, וגם משקפת את השינוי החברתי בתפיסת תאגידים בעידן הנוכחי.[10]
פן אחר לעניין זה הוא השינויים הנובעים מהעלייה בציפיות החברתיות מהתאגידים, וזאת ביתר שאת לנוכח חשיפת פרקטיקות פעולה פוגעניות של תאגידים רב־לאומיים, פרקטיקות שהביאו לקדמת הבימה את הדיון על אחריותם החברתית בכל הנוגע לתנאי עבודה, פגיעה באקלים והפרת זכויות אדם. האמון הציבורי שארגוני החברה האזרחית מקנים מאפשר להם להפעיל על התאגידים לחץ נורמטיבי, כלכלי ומשפטי.[11] עקב כך יותר תאגידים מאמצים מחויבות חברתית, ומחויבות זו מגדילה את הציפיות החברתיות מהם ומשפיעה על הכנסותיהם ועל גיוסי עובדים והון.[12]
הרחבת אחריות זו מציבה אתגרים חדשים ודורשת מהדירקטוריון לפתח מיומנויות וכלים לזיהוי וניהול סיכונים וכן להפעלת מנגנונים להחלטת החלטות מושכלות.[13] לאור זאת יש להידרש לניתוח מעמיק של החוק ולפרשנות מחודשת שלו. על החוק להתאים לאותם צרכים דחופים שנוצרו במציאות המורכבת של המאה העשרים ואחת, בייחוד לאור סעיף 11 לחוק החברות, התשנ"ט–1999, סעיף המגדיר את תכלית החברה וקובע שעל החברה לפעול לא רק למען השאת רווחיה, אלא גם להתחשב בציפיות לגיטימיות של כלל הגורמים המעורבים בפעילותה, לרבות העובדים, הלקוחות, הספקים והקהילה הסובבת אותה. במילים אחרות, יש לעמוד על המתח שבין השאיפה לרווחים ובין הרצון לתרום לחברה. לצורך כך יש להתמקד בשלושה היבטים עיקריים: בחינה מחודשת של היקף זכויותיה החוקתיות של החברה; בחינה מעמיקה של חובותיה של החברה, הנובעות לא רק מהזכויות החוקתיות של האזרחים, אלא גם מההשפעה החברתית והסביבתית של פעילותה; ואחריות החברה לכבד זכויות אדם באופן פעיל, ולא רק באופן סביל.
עידן חדש של פרטיות: תפקיד הדירקטוריון בשינוי המצב הקיים
ואכן, בחלוף שני העשורים מאז חקיקת חוק החברות עבר העולם שינוי דרמטי בתחומים רבים. שינוי זה השפיע בין השאר על עוצמתם של תאגידי ענק, ובייחוד אלו העוסקים ברשתות חברתיות. עם זה, כדי להבטיח שדירקטורים יטמיעו תרבות ארגונית שתעודד הגנה על פרטיות, יש להגדיר מדיניות ברורה ולהקים מנגנוני בקרה יעילים. נדמה שלא בכדי פרסמה בספטמבר השנה הרשות להגנת הפרטיות הנחיה בנוגע לתפקיד הדירקטוריון בניהול המידע האישי והגנה על פרטיות המידע.[14] לפי ההנחיה הדירקטוריון הוא הגורם העיקרי והיעיל ביותר להטלת אחריות עמידה בדרישות תקנות הגנת הפרטיות, בייחוד בתאגידים שעיבוד המידע האישי הוא ליבת פעילותם או כשיש סיכון מוגבר לפרטיות. לפי ההנחיות תאגידים יידרשו ליישם הליכי פיקוח ובקרה על הביצועים בתחום הגנת הפרטיות ולדון באירועי אבטחת מידע ובתוצאות ביקורת תקופתית. כמו כן יש אפשרות להטיל את האחריות על גורם אחר בחברה, אולם הדירקטוריון חייב לשמור על פיקוח הדוק.
אפשר להיווכח כיצד ההנחיות משקפות עלייה ברף הציפיות והחמרה באכיפה בתחום הגנת הפרטיות. הן מתוות מסגרת קונקרטית יותר שתשפיע השפעה ניכרת על שיקול הדעת העסקי של תאגידים, תגדיל את החשיפה המשפטית ותחייב אותם להשקיע משאבים רבים יותר בשיטור עצמי. נראה אפוא שההנחיות נושאות אופי ומטרה כפולים: הן נועדות להטיל עיצומים חמורים על המפירים אותן, וגם לעודד תאגידים לאמץ פרקטיקות מיטביות בתחום הגנת הפרטיות באמצעות תמריצים חיוביים. מטרות אלו מתכתבות עם התמורות בהתפתחות כלים משפטיים כגון תורת האורגנים ומודל האחריות האישית, המשקפות את ההכרה הגוברת בחשיבות הפעילות האחראית של חברות במערכת החברתית המודרנית ובצורך להבטיח את פעילותן מתוך התחשבות באינטרסים של כלל בעלי העניין. כך גישת "המקל והגזר" מקבלת משנה תוקף בהענקת תמריצים חיוביים לצד הטלת עיצומים: תאגידים שיטמיעו מנגנוני אבטחת מידע יעילים ויקדמו תרבות הגנת פרטיות עשויים לזכות בהקלות בעונש ואפילו להימנע מהרשעה, ואילו תאגידים שיתעלמו מההנחיות עלולים לחשוף את עצמם ואת הדירקטורים שלהם לעיצומים, אשר ישמשו גורם מרתיע להטמעת אחריות בתחום זה.[15]
לסיכום, השימוש הנרחב של מעסיקים במידע האישי של לקוחותיהם, עובדיהם וספקיהם בעידן הטכנולוגי המתקדם של המאה העשרים ואחת הוא אתגר בולט בהגנה על פרטיות. יש תאגידים המנצלים מצב זה כדי להשיא רווחים ומסתכנים בפגיעות אפשריות במשתמשים, לרבות הפליה, גניבת זהות ופריצות סייבר, פגיעות העשויות להוביל לפגיעות נפשיות וכלכליות חמורות. בהתחשב בשינויים החברתיים והציפיות ההולכות ועולות מהתאגידים תפקיד הדירקטוריון נעשה חיוני בניהול הסיכונים ובהגנה על פרטיות המידע. על הדירקטוריון לאמץ גישה מקיפה שתשקול את האיזון שבין רווחים ובין אחריות חברתית. גישה זו תשפיע על ההצלחה העסקית בטווח הארוך. בצידו האחר של המטבע המשפט מעודד חברות לשקול את הרווח המשותף ומניע את התאגידים לשינוי אינטגרטיבי בתהליכי ניהול סיכונים והגנת מידע: מגמות משפטיות עכשוויות מעידות על מעבַר לדיני פרטיות מחמירים ומקיפים יותר, דינים המכַוונים לשילוב תאגידים באחריות להגנת מידע ולשקיפות כלפי הצרכנים. להערכתי, בשנים הקרובות ניווכח לראות במדינות מתקדמות רבות, ובכלל זה ארצות הברית, כיצד אסדרה והנחיות חדשות יוסיפו להגדיר מחדש את האחריות החוקית של תאגידים. אסדרה זו תיאלץ את התאגידים להטמיע מנגנוני הגנה משופרים ולהיערך כל העת לסיכונים משתנים.
* עומר מנחם שליט מתמחה במרכז אריסון ל־ESG, בוגר תואר ראשון במשפטים (.LL.B) וממשל (.B.A) מאוניברסיטת רייכמן וסטודנט לתואר שני במשפטים (.LL.M) בבית הספר רדזינר למשפטים.
[1] מיכאל בירנהק "שליטה והסכמה: הבסיס העיוני של הזכות לפרטיות" משפט וממשל יא 9 (2007).
[2] Bart van der Sloot, The Right to be Let Alone by Oneself: Narrative and Identity in a Data-Driven Environment, 13(1) Law Innovation & Tech. 223 (2021).
[3] פעולה שנעשית בהסכמתו של האדם אינה פגיעה בפרטיות (ס' 1 לחוק הגנת הפרטיות). הסכמה מוגדרת בחוק כך: "הסכמה מדעת, במפורש או מכללא" (ס' 3 לחוק הגנת הפרטיות).
[5] Brett Aho & Roberta Duffield, Beyond Surveillance Capitalism: Privacy, Regulation and Big Data in Europe and China, 49(2) Econ. & Soc'y 187 (2020).
[6] The privacy, Data Protection and Cybersecurity Law Review (Alan Charles ed., 2021).
[7] NZ Jhanjhi et al., Cyber Security and Privacy Issues in Industrial Internet of Things, 37(3) Comput. Sys. Sci. & Eng'g 361 (2021).
[8] מערך הסייבר הלאומי הערכת העלות הכלכלית בגין תקיפות סייבר בישראל (2024).
[9] Saskia Dörr, Corporate Digital Responsibility (2021).
[10] טכנולוגיות מתפרצות: אתגרים בדין הישראלי (ליאור זמר, דב גרינבאום ואביב גאון עורכים 2022).
[11] Tim Bartley & Curtis Child, Shaming the Corporation: The Social Production of Targets and the Anti-Sweatshop Movement, 79(4) Am. Socio. Rev. 653 (2014).
[12] United Nations Open-Ended Intergovernmental Working Group of Transnational Corporations and Other Business Enterprises with respect to Human Rights, Legally Binding Instrument to Regulate, in International Human Rights Law, the Activities of Transnational Corporations And Other Business Enterprises (2019).
[13] יוסף גרוס "'שיקול דעת עסקי' (BJR כמגן לדירקטורים מפני אחריות)" חידושים בניהול 2, 16 (2018).
[14] הנחיית הרשות להגנת הפרטיות 1/2024 "תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע)" (3.9.2024).
[15] עלי בוקשפן "עשרים ומאה שנים לשאלת תכלית החברה" המשפט כו 141, 159 (2020).
מרתק תודה רבה!