הרכב כבר לא לבד במוסך – על פרטיות בתחבורה

פרטיות בתחבורה

הרכב כבר לא לבד במוסך – על פרטיות בתחבורה

עו"ד יעקב עוז

מהי ההגדרה לפרטיות?

פרטיותו של אדם מוגדרת ומעוגנת בישראל בדברי חקיקה שונים. ראשית, בחוק הגנת הפרטיות שחוקק כבר בשנת 1981. 11 סעיפיו הקטנים של סעיף 2 בחוק מגדיר מהי פגיעה בפרטיות. פגיעה בפרטיות יכולה להיות עילה לתביעה נזיקית ואף עבירה פלילית. התקנות שהותקנו מכוח החוק במשך השנים, מסדירים ומגדירים מה על בעל מאגר מידע (כגון בעל מוסך) לעשות כדי להגן על פרטיות לקוחותיו הכלולים במאגר המידע שלו.  זאת ועוד,  סעיף 7 בחוק יסוד: כבוד האדם וחרותו אומר:  "כל אדם זכאי לפרטיות ולצנעת חייו" .

יוצא איפה שכל רשות, ארגון, בית עסק, משרד המחזיק במידע פרטי, או "מידע אישי ורגיש" כפי שהם מוגדרים בחוק הגנת הפרטיות מחויבים לשמור ולהגן על המידע הזה הן באמצעות רישום המאגר במשרד המשפטים והן באמצעות כתיבת נהלי אבטחת מידע והגנת הפרטיות כמתחייב בתקנות כאמור לעיל.

אז מה בין זה לבין מוסכים?

עד לפני כשני עשורים עם הכנסת הרכב לטיפול ו/או תיקון, נכנס גם מידע פרטי, אך המידע הפרטי הזה היה "מוגבל" למספר הרישוי, בעלות הרכב, רישיון הנהיגה ממנו היה ניתן ללמוד על מספר ת.ז. כתובת ואולי מידע כלכלי על שעבוד כלי הרכב – הא ותו לא. זהו המידע האישי, הפרטי והרגיש היחיד שהיה גלוי לעיני אנשי המוסך ובעלי המקצוע השונים. אך אט אט, עם התקנתם של אמצעים דיגיטליים כגון מכשיר ניווט מובנה, מצלמה וכו' סוגיות פרטיות בתחבורה הורחבו כאשר נוספו לפרטים אלה גם מידע אודות רשימת כתובות ויעדי נסיעה, תמונות וקולות של נוסעים נוספים ברכב ועוד "מידע אישי ורגיש". כך שאם נוסיף את כל זאת לסוג למידע אודות סוג הרכב, פרטי האשראי של בעלי הרכב וחשבון הבנק, ניתן יהי להרכיב פרופיל פיננסי של ממש, אודות האדם, עיסוקו וכו'.

מה הן הסכנות והסיכונים הכרוכים בנושא פרטיות בתחבורה ובחשיפת מידע זה ?

את תשובתי לשאלה זו אחלק לשניים, 1. הסכנות לבעלי הרכב. 2. הסכנות לבעלי המוסך. לגבי בעלי הרכב, בעולם של BIG DATA שבו נכנסים דיגיטליים הופכים להיות יעד למתקפות סייבר על מנת להזליג, להדליף ולגנוב מידע, "מידע אישי ורגיש" הופך להיות מוצר מבוקש נדרש ונסחר, קיים סיכון של גניבת זהות, סחיטה ישירה ו/או ביצוע מתקפת סייבר על מנת לדרוש כופרה מבעל הרכב. בעניינם של בעלי מוסכים צריך לשים לב לסכנות של מתקפת סייבר ודרישת כופרה בטרם נתונים אודות לקוחות המוסך, נתונים שכאמור לעיל, עלולים להיות מביכים. והסכנה השנייה היא בתביעה נזיקית ואף לעיתים בתלונה על עבירה פלילית עקב זליגת המידע, הליכים שונים ונפרדים, להם משמעויות כספיות ואחרות מבחינתו של בעל המוסך.

מה הן החובות לשמירה על פרטיות הלקוחות, החלות על בעל המוסך ?

בעל מוסך מחזיק ב "מאגר מידע" הכולל "מידע אישי רגיש", כהגדרתו בחוק הגנת הפרטיות. ככזה, עליו לרשום את המאגר ברשות להגנת הפרטיות – במשרד המשפטים. רבים שואלים אותי האם הרישום כלול בהעברת שמות הלקוחות ופרטיהם? התשובה היא שלילית, אין צורך וזה מנוגד לפרטיות, אך עצם תיאור המאגר, תיאור ההגנות והצהרה על עמידה בדרישות חוק הגנת הפרטיות ותקנות אבטחת מידע מעידות על מודעות בעל המוסך. לצד רישום המאגר במשרד המשפטים, יש לכתוב נהלים להגנת הפרטיות ואבטחת המידע במוסך. על נהלים אלה יוחתמו כלל  עובדי ומנהלי המוסך, לרבות חתימה על הצהרת סודיות. אגב סודיות, על פי סעיף 16 בחוק הגנת הפרטיות חל איסור על מנהל, עובד ומחזיק במאגר במידע לעשות כל שימוש במאגר המידע (גם לאחר סיום עבודתם, י.ע.) עם ו/או אצל בעל המוסך – המפר הוראת סעיף זה דינו – מאסר 5 שנים.

האם מעבר לחובה שבחוק יש גם סנקציות?

חד משמעית כן. כאמור, חוק הגנת הפרטיות יכול להקים עילת תביעה נזיקית ואף סנקציות פליליות (ראו סעיפים 4,5,16, 31). רשם מאגרי המידע, הרשות להגנת הפרטיות רשאית לבצע ביקורות ובמקרים מסוימים להטיל עיצומים כספיים ולעיתים גם להמליץ בפני פרקליטות הסייבר להגיש כתב אישום כנגד בעל המוסך/בעל המאגר.

 מה מצבה של ישראל בהשוואה לעולם?

ישראל, כמו מדינות רבות זקוקות לאישורי תאימות- נאותות, מהאיחוד האירופי. שאם לא כן, אירופה עלולה לנקוט אמצעים כנגד חברות ישראליות העובדות באירופה ו/או עם אירופה.  ראוי להדגיש, כי בסמכות הרשויות האירופיות להגנת המידע והפרטיות, להטיל עיצומים כבדים מאלה הנהוגים בישראל, קנסות של עד 2% ממחזור ההכנסות השנתי או עד 10 מיליון אירו, לפי הגבוה מבין השניים, ובהפרה חוזרת עד 4% ממחזור ההכנסות השנתי או עד 20 מיליון אירו, לפי הגבוה מבין השניים. ובחזרה לישראל, תיקון 13 שהונח זה מכבר וסביר שיונח על שולחן הכנסת הבאה, מבקש לתקן את סמכות הרשות להגנת הפרטיות כך שיהא בסמכותה להטיל עיצום כספי של עד 1.2 מיליון שקלים, בעוד הסכום כיום עומד על 25,000 ₪ במרבית המקרים (למעט במקרים של מספר הפרות שאז ניתן להגיע גם לעשרות ומאות אלפי שקלים) וכל זאת מבלי לגרוע מסמכות הרשות להתלות ו/או להורות על ביעור והשמדת מאגר המידע.

האם בזאת מסתכמות הסכנות?

לצערנו הרב לא, האתגר הבא הוא "הרכבים האוטונומיים", הם מייצרים מספר חזיתות וסכנות. פרטיות ברכבים אוטונומיים: ריבוי הסנסורים והמצלמות המאפיין רכבים אוטונומיים מציב אתגר משמעותי לפרטיות. רכבים אוטונומיים יכולים לפגוע לא רק בפרטיות המשתמשים בהם אלא גם בפרטיות של משתמשי דרך אחרים ואנשים במרחבים פרטיים הסמוכים לנתיבי תחבורה. עקרונות פרטיות כמו: תכלית הצילום, מידתיות, תכנון לפרטיות וזמן הולם לשמירת המידע יכולים להיות רלבנטיים בתכנון איסוף המידע ממצלמות וסנסורים אחרים ברכב.

הגנת סייבר ברכבים אוטונומיים

השימוש הגובר במערכות מחשוב בכלי רכב והחיבור של רכבים לאינטרנט הופכים אותם לכר פורה לפגיעות סייבר ומעלה שורה של סוגיות משמעותיות בתחום פרטיות בתחבורה. תקיפת סייבר ברמת תחכום גבוהה יכולה לגרום לנזק גדול, כולל פגיעה בחיי אדם ושיבוש מרקם החיים. הנושאים של הגנה מפני תקיפות סייבר, קביעת סטנדרטים להגנה על מידע אישי ברכבים אוטונומיים ועוד היו חלק מכמה הצעות חוק שנידונו בקונגרס האמריקאי אך טרם הפכו לחוקים. גם גופי תקינה בינלאומיים בארה"ב ובאירופה עסוקים בניסיונות לספק מענה לשאלת ההגנה בסייבר על רכבים חכמים ואוטונומיים.

מהי אחריות בעל המוסך בקרות תאונה ברכב אוטונומי

המעבר לכלי רכב אוטונומיים והקטנת השליטה האנושית מעוררים שאלות חדשות ביחס לאחריות במקרי תאונה. בין המענים האפשריים לשאלת האחריות מוצגות אפשרויות שונות, בתוכן: אחריות יצרן/יצרנים; אחריות של הבעלים על הרכב; אחריות של המשתמש ברכב. יש הטוענים כי להטלת אחריות מלאה על היצרן יהיה אפקט מצנן על התפתחותה של תעשייה זו וכי הדבר יעודד התנהגות "חסרת אחריות" מצד משתמשי דרך אחרים. בין הפתרונות המועלים לשאלת הפיצוי בגין תאונות יש המציעים את הקמתה של קרן לפיצוי לנפגעי תאונות של רכבים אוטונומיים. לגבי בעל המוסך, כמו בכל שרשרת אספקה כהגדרתה בעולם הסייבר, מקור התאונה יכול גם להיות טעות טכנית/טכנולוגית בתיקון, טעות אנוש, אך לצד זאת קיים הסיכוי להשתלטות עוינת על הרכב, באמצעות חדירה לצומת שבין מערכות המחשבים במוסך וחיבורים למחשב הרכב, ואף לנצל את הרכב כדי לחדור למערכות מחשב במקומות עבודה רגישים. כאן לא אתן דוגמה, אשאיר זאת לדמיון הקוראים.

האם בעל מוסך יכול למנוע זאת?

התשובה המיידית לכך היא שככל הנראה לא ניתן למנוע בדרך הרמטית ומוחלטת כל פרצת אבטחה ו/או מתקפת סייבר. אך כן ניתן, ולמאגרי מידע מסוימים זוהי חובה חקוקה על פי הוראות סעיף 5 לתקנות הגנת הפרטיות (אבטחת מידע) – החובה לבצע סקרי סיכונים ומבדקי חדירה וחוסן PT (PENETRATION TEST) שבביצוען הן מדמות מתקפת סייבר וחושפות חולשות באבטחת המידע, ככל שאלה קיימות. בסופו של מבדק זה בעל המוסך יקבל רשימת פערים וחולשות.

כל המידע הנכלל במאמר זה הינו בבחינת מידע כללי בלבד, ואינו בגדר חוות דעת או ייעוץ משפטי מוסמך. על המשתמש לקבל עצה מקצועית לפני כל פעולה משפטית או אחרת המסתמכת על המאמר. המחבר והמערכת אינם נושאים באחריות כלשהי כלפי הקוראים ו/או המשתמשים.

עו"ד יעקב עוז – דיני הגנת פרטיות ◄ אבטחת מידע ◄סייבר

יו"ר ועדת הסייבר והגנת הפרטיות

יועץ אבטחת מידע והגנת הפרטיות לחברי לשכת סוכני הביטוח

יועץ אבטחת מידע והגנת הפרטיות לחברי לשכת יועצי המס

יועץ אבטחת מידע והגנת הפרטיות לחברי אגוד המוסכים

מייסד www.datawatch.co.il העוסקת בהכנת משרדים, חברות עסקים רשויות מקומיות לעמידה ברגולציה.

מייסד www.dpc.org.il  בית הספר ומרכז קהילת אבטחת מידע והגנת הפרטיות.

ליצירת קשר

jacob@jozlaw.co.il

052-7700359

ArabicChinese (Simplified)DutchEnglishFrenchGermanHebrewItalianJapaneseRussianSpanishSwedish