לא מזמן נתבשרנו כי לאומי קארד, הלא היא מאקס (MAX) במיתוגה החדש, תרחיב את עיסוקיה גם לשם אספקת שירותים פיננסיים נרחבים, ובין היתר גם מוצרי ביטוח וחיסכון באמצעות סוכנות ביטוח שהיא מתכננת להקים. עוד נתבשרנו כי מאקס תוכל לנצל את המידע הרב שנצבר אצלה אודות לקוחותיה כדי להציע להם ביטוחים המותאמים לצרכיהם ולמאפייניהם דרך שיתופי פעולה עם חברות הביטוח. אבל האם החברה באמת תוכל לעשות את השימושים המבוקשים במידע? או שמא, האם ראוי לאפשר לה את זה?

החוק היבש בישראל קובע כי מותר לעשות שימוש במידע רק במרחב ההסכמה שהתקבלה מהלקוח ובהתאם למטרה שהוגדרה מול הלקוח מראש. האם במאקס, כשעוד הייתה לאומי קארד, חשבו על השימושים האלה כאשר נאסף המידע מלקוחותיה?

כשאדם מצטרף לשירותי חברה מסוימת, הוא מוסר אי אילו פרטים אישיים, רגישים יותר ורגישים פחות על עצמו – תלוי בשירות הניתן, במוצר שנרכש, אופן ההצטרפות, משכו, אופיו ועוד. במעמד הצטרפותו, 'מוותר' אותו אדם על פרטיותו במידע האישי הנמסר על-ידו, ומסכים לשימוש במידע, באופן סביר, בהתאם לציפייתו מהשירות שאמור להיות מסופק לו.

כך לדוגמה, אם אדם רכש מוצרי מזון דרך אפליקציית השירות של רשת מפורסמת, סביר יהיה מצידו לצפות ששמו ופרטי הקשר שלו יועברו לגורם הרלבנטי מטעמה של הרשת כדי לבצע את המשלוח עבורו. מה היא הציפייה של אותו אדם כשהוא מוסר את פרטיו האישיים לחברת האשראי שלו? מה הציפייה שלו כשאותה חברה אוספת ואוגרת לאורך שנים את כל פרטי הרכישות שלו, יוצרת אפיונים ופרופילי התנהגות צרכנית שלו?

נצא מנקודת הנחה כי החברה הודיעה לאותו אדם על כלל השימושים שהיא תעשה במידע הנמסר ממנו ובמידע שייצבר אודותיו, וקיבלה את הסכמתו לכך במסגרת הצטרפותו לשירותיה. נקודת הנחה זו, כאמור, היא חובתה החוקית של אותה חברה בחוק הגנת הפרטיות. כך גם חובתה להודיע לאותו אדם, מראש, למי יעבור המידע אודותיו ולאילו מטרות שימוש יועבר המידע.

נניח שאדם רוצה לרכוש ביטוח דירה. האם יסכים להתנות את קבלת המוצר הביטוחי בכך שיקבל הצעות להנפקת כרטיס אשראי מטעם אותה חברת ביטוח או חברה אחרת הפועלת בשיתוף פעולה עימה? והפוך – האם אותו אדם יסכים שחברת האשראי שלו תשתמש במידע שלו, בהרגלי הצריכה והרכישות שלו, כדי להתאים ולהציע לו מוצרים ביטוחיים על בסיס מידע זה?

לפני מענה אימפולסיבי על השאלות הללו, ניקח דוגמה נוספת, בה אדם רכש טיסות יקרות לחופשה ארוכה עם כל המשפחה באמצעות כרטיס האשראי שלו – זאת 9 חודשים מראש, כדי לחסוך בעלויות ולהבטיח מקומות. אותה חברת אשראי מסוגלת להציע לו חבילת ביטוח נסיעות לחו"ל לכל המשפחה עם כיסוי הכי רחב ובמחיר משתלם במיוחד, כולל החזר הוצאות בשל ביטול מכל סיבה שהיא במהלך 9 חודשי המתנה ארוכים; האם אותו אדם לא ירצה שחברת האשראי תשתמש בפרטי הרכישה הזו, תאתר את הצורך שלו מהר ותקל עליו לקבל הצעה כזו? עד כמה זולה או מהירה צריכה להיות הצעה כזו, כדי שיסכים לוותר על הפרטיות שלו ולהניח לחברה לעשות במידע שלו שימוש ככל העולה על רוחה?

נניח הנחה סבירה שמאקס לא קיבלה את הסכמות לקוחותיה לשימוש במידע אודותם לשם הצעת מוצרים ביטוחיים עבורם, וסביר עוד יותר להניח שלא התקבלה הסכמה מהלקוחות להעברת המידע אודותם לחברה אחרת, חדשה, שעד היום לא שמעו עליה.

הבסיס להנחות אלו הוא משני כיוונים – האחד הוא הוראות חוקיות המקשות על כך (וכבודן של ההצדקות לכך במקומן), כמו גם מגבלות רגולוטוריות שהיו עד לפני הפרדת חברות האשראי מהבנקים לשם הגברת התחרות במשק השירותים הפיננסיים; והשני הוא היעדר יכולת סבירה ממאקס לצפות שימושים כאלו מראש. יותר מזה, גם כיום, כשמאקס כבר פועלת בכיוון הרחבת שירותיה ועיסוקיה, היא מוגבלת בשימושים האפשריים במידע הרב שנצבר אצלה לאורך שנים אודות לקוחותיה – גם אם יש בכך כדי להיטיב עם לקוחותיה ואף אם הלקוחות ירצו בכך.

עד כמה מיטיב (עבור אדם או עבור החברה) צריך להיות השימוש במידע אודות אדם, על-ידי בעל מאגר מידע, כדי שניתן יהיה להתיר את השימוש במידע גם מעבר למטרת מסירתו המקורית למאגר המידע? מבחינת החוק הקיים משנת 1981, זה לא משנה. המידע שאדם מסר מוגבל למטרת מסירתו המקורית. החוק אינו מתיר שימושים לגיטימיים החורגים ממטרה כזו, אף אם היה מדובר במטרות ציבוריות כבדות משקל, והמנגנון הקיים לבקש הסכמה כזו מסורבל ולעיתים בלתי יישים. ישנן הגנות מסוימות בחוק, מוגבלות מאד, והשימוש בהן נדיר ואפשרי רק אחרי הגשת תביעה – לשיקול בית המשפט. באירופה, כמו במדינות מתקדמות אחרות בהן חוקי הפרטיות מותאמים יותר לשטח, מאוזנים יותר, יש כבר מענה ויש פתרונות. ומתי אצלנו? הנה עוד שאלה פתוחה שתישאר, כך נראה, עוד זמן רב.

מאת עו"ד ליאב שפירא