הכנסת העשרים

מושב שלישי

פרוטוקול מס' 368

מישיבת ועדת החוקה, חוק ומשפט

יום שלישי, כ"ג באדר התשע"ז (21 במרץ 2017), שעה 12:30

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016

חברי הוועדה: ניסן סלומינסקי – היו"ר

רויטל סויד – מ''מ היו''ר

ענת ברקו

יעל כהן-פארן

יוליה מלינובסקי

ראש רמו"ט - אלון בכר

ממונה משפט וטכנולוגיה, משרד המשפטים - ניר יעקב גרסון

ייעוץ וחקיקה, משרד המשפטים - ליאת בן מאיר שלום

יועץ אבטחת מידע, משרד המשפטים - עומר פרידמן

ראש תחום משפטי ציבורי, משרד המשפטים - אייל זנדברג

מנהלת מח' משפטית ברשות למשפט, טכנ' ומידע, משרד המשפטים - גילי בסמן

ראש אגף בכיר לאסדרה והכשרה ברשות הסייבר, משרד ראש הממשלה - רפאל פרנקו

ראש תחום התעדה ואסדרה ברשות הסייבר, משרד ראש הממשלה - ענת גולדיאן

מנהל תחום אבטחת מידע, משרד הרווחה - מונס שמואל

עוזר לממונה על שוק ההון, משרד האוצר - פנחס שחר

מנהל מחלקת טכנולוגיות המידע, משרד האוצר - אלי טובול

מנהל חטיבת הסייבר, המוסד לביטוח לאומי - יורם ביטון

מנהל אבטחת מידע CISO, המוסד לביטוח לאומי - בובי פנדריך

עו"ד, בנק ישראל - שירלי אבנר

עו"ד בייעוץ משפטי, רשות לניירות ערך - חוה בינשטוק

מתמחה בייעוץ משפטי, רשות לניירות ערך - גל אברמוב

מנהלת מחלקת קשרי ציבור וממשל, הרשות למשפט, טכנולוגיה ומידע - לימור שמרלינג מגזניק

עו"ד, יועץ לתכנון ובניה, מרכז השלטון המקומי - יוסי אוחנה

יועץ משפטי, התנועה לזכויות דיגיטליות - יהונתן קלינגר

עו"ד, פורום הגנת הפרטיות, לשכת עורכי הדין - דן חי

בנק הפועלים, מוזמנים שונים - אפרת שחר

נציגת אגודה לזכויות האזרח - דברה גילד-חיו

מוזמן/ת - חני שרון

מוזמן/ת - דניאל בן-שטרית

מוזמן/ת - חנוך אראל

שדלן/ית (פוליסי בע"מ), מייצג/ת את סלקום (לקוחות קבועים נוספים שנושא הישיבה נוגע אליהם באופן ישיר: איגוד הבנקים, איגוד חברות הביטוח בישראל , פרטנר, תעשייה אווירית) - חניתה חפץ

אלעזר שטרן

אסף פרידמן

יפה קרינצה

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016

צהרים טובים וברוכים הבאים לישיבה נוספת של ועדת החוקה. היום אנחנו נמצאים בישורת האחרונה של התקנת תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. אני מאוד מאוד מקווה שהיום נגיע לסיום התקנת התקנות ונוכל לעשות היסטוריה בהסדרת נושא אבטחת המידע במאגרי מידע גדולים, שמכילים הרבה מאוד פרטים אישיים שקשורים להגנת הפרט על כל אחד מאתנו.

ערבנו והקראנו סעיף סעיף וכל אחד אמר את ההשגות, ההערות וההארות שהיו לכל אחת מן התקנות. היום נותרנו עם תקנה 20. נעבור עליה, נשמע כמובן את הגורמים ואת הגופים - את משרד המשפטים, את רמו"ט ואת סייבר - ולאחר מכן נעבור להצבעות. משרד המשפטים, ליאת, קראי את תקנה 20 והסבירי אותה.

"סמכויות הרשם 20. (א) (1) הרשם רשאי, אם ראה כי קיימים טעמים שמצדיקים זאת, לפטור מאגר מסוים מחובות אבטחת מידע לפי תקנות אלה, או להחיל על מאגר מסוים חובות לפי תקנות אלה, כולן או חלקן, לפי נסיבות העניין, ובין היתר בהתחשב בגודל המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר או מספר בעלי ההרשאות בו;

(2) פטור מחובות או החלת חובות לפי פסקה (1) ייעשה בהודעה בכתב לבעל המאגר; בהודעה כאמור יקבע הרשם את המועד לתחילת הפטור או ההחלה, לפי העניין, ויכול שיקבע מועדים שונים לעניין תקנות שונות.

(ב) הרשם רשאי להורות כי מי שיעמוד בהוראות מסמך מנחה בעניין אבטחת מידע או בהנחיות של רשות מוסמכת בעניין אבטחת מידע החלות עליו, יראו אותו כמקיים הוראות תקנות אלה, כולן או חלקן, אם השתכנע כי עמידה בהוראות המסמך המנחה בעניין אבטחת מידע או בהנחיות הרשות המוסמכת, לפי העניין, באופן שהורה לפי תקנות אלה, מבטיחה את רמת האבטחה הקבועה בתקנות אלה לגבי אותו מאגר מידע; לעניין זה –

'רשות מוסמכת' - גוף ציבורי המוסמך על פי דין לתת הנחיות בעניין אבטחת מידע;

'מסמך מנחה בעניין אבטחת מידע' –תקן רשמי, תקן ישראלי או תקן בין-לאומי, כמשמעותם בחוק התקנים, התשי"ג-1953, או מסמך ייחוס, שהרשם אישר לעניין זה."

תקנה (א): כמו שתיארנו כאן במהלך כל הדיונים, התקנות קובעות רמות שונות של אבטחה, הן חלות על סוגים שונים של מאגרים ונדרשת גמישות. לפעמים יהיו מאגרים ספציפיים שרמת האבטחה שהם מצויים בה לפי התקנות לא הולמת את המאגר מפאת סוג הפעילות, היקף הפעילות, בעלי ההרשאות וכו', ויהיה מקום להחיל עליהם חובות מסוימות או לפטור מחובות מסוימות. זו תכלית התקנה - לתת לרשם את הסמכות לעשות זאת.

אם בעל מאגר סבור שצריך להחיל עליו יותר או פחות, מה הפרוצדורה: איך הוא פונה? למי הוא פונה? מה החובה של הרשם להיפגש אתו או לשמוע אותו? איך זה אמור להתנהל באופן טכני וגם במהות למי שיש טענות כאלה?

כמו כל סמכות אחרת, גם בעל המאגר יכול לפנות בעצמו וזו גם יכולה להיות יוזמה של הרשם. למשל, יכול להיות שאגב פיקוח הוא נתקל במאגר מידע שרמת האבטחה בו לא הולמת את אותו מאגר. כמו כל פעילות של רשות מנהלית, הרשות צריכה לבחון את הפניה לפי כל הכללים ולקבל החלטה מנומקת בהודעה בכתב לבעל המאגר. תקנת משנה (א)(2) מדגישה את נושא ההודעה וגם את הקביעה של המועדים לתחילת כל תקנה ותקנה. זה לגבי תקנה (א).

לגבי תקנה (ב), זה מתקשר לדיונים שהיו כאן בהקשרים שונים. זו תקנה חדשנית - אני לא מכירה תקנות כאלה - שנועדה להקל על המפוקחים ולייצר ודאות. כאשר יש כמה רגולטורים או מסמכים מנחים שתקפים לגבי אותו מאגר מידע או אותו ארגון, הרשם רשאי לקבוע שמי שעומד בהוראות של הרגולציה האחרת יראו אותו גם כעומד בהוראות התקנות כולן או חלקן.

זו תהיה החלטה בדיעבד, רק במידה שיפנו אליהם או רק במידה שיתגלה איזשהו ליקוי או רק במידה שלא יעמדו בתקנות? איך זה אמור להגיע - - - ?

תיכף חברי מרמו"ט יפרטו. מול הרגולטורים המרכזיים, כשיש תחומי חפיפה, רמות, במהלך כל השנים שתקינת התקנות הזאת מתקדמת וכמובן שגם לאחרונה, פועלת מול הרגולטורים על מנת להגיע להבנות והסכמות בעניין הזה. אני מזכירה שתחילת התקנות היא שנה לאחר מועד אישורן. זו פעולה נמשכת ומתקדמת.

נשמע את רמו"ט, נשמע את הסייבר – אם הם רוצים – את היועץ המשפטי אלעזר שטרן ואחר כך את חברי הכנסת, כדי שנקבל תמונה לפני שאנחנו דנים. בבקשה.

באופן לא שגרתי, עוד לפני שהתקנות עברו, כבר קיימנו מגעים עם מי שחשבנו שהוא רלוונטי או שהוא פנה אלינו, וזה לא גוף אחד או שניים, זה יותר. עם חלק מהגופים האלה, דווקא עם הגדולים שבהם, כבר הגענו להסכמות מלאות והבנה מלאה איך הדברים יתנהלו – ואני מדבר גם על גופי ביטחון וגם על גופים אחרים. עם הגופים האחרים, האזרחיים יותר דווקא, אנחנו בשלבים מאוד מתקדמים, רמות הסכמות כמעט מלאות. עוד אין נייר סופי חתום בחלק מהמקומות, אבל ההבנה לגבי מה צריך לעשות ואיך לעשות היא כבר כמעט שלמה. אספר שהיום בבוקר קיימתי שיחה עם המפקחת על הבנקים כדי לוודא שאנחנו רואים עין בעין איך הדברים צריכים להתנהל, ואני יכול להגיד שאנחנו רואים עין בעין וגם קבענו להיפגש בעוד שבועות מספר כדי לוודא שהסגירה היא סופית, מוחלטת ומלאה.

במובן הזה, כל מי שחשבנו שיש לו ממשק אתנו – כי אנחנו פעילים בשטח בלי קשר לתקנות המעודכנות – פנינו אליו, וכל מי שפנה אלינו, קיימנו אתו דיונים וסגרנו או שאנחנו בשלב מתקדם. אז במובן הזה, בהתחשב בזה שהתקנות יעברו היום – אני מאוד מקווה - ותחולתן בעוד שנה, אנחנו במוכנות מאוד מאוד גבוהה עוד המון זמן לפני שבכלל מתעורר איזשהו קושי.

אבל זה עם הגופים הגדולים. אני מניחה שבעלי מאגרים ברמת אבטחה יותר נמוכה יתעוררו רק לאחר שהתקנות יעברו, גם בגלל חוסר מודעות וגם בגלל שרק אז תתעוררנה שאלות.

יכול להיות, אבל שנה של היערכות זו תקופה מאוד מאוד משמעותית, שמאפשרת לכל גורם להבין מה הוא רוצה. אני חושב שכדאי להדגיש שרוב הדברים יהיו עם גורמים שמייצרים רגולציה שמשיקה, לא עם גורם שיש לו מאגר ספציפי בהכרח, כי גורם שיש לו מאגר ספציפי בהכרח, אני מניח שיתייעץ עם יועץ משפטי, יבין אם יש לו איזה פער ויסגור את הפער. יש לו שנה לסגור את הפער, אם הוא חושב שיש פער, או שיש לו איזו סיבה שלא לסגור אותו. אנחנו מדברים בעיקר על הגורמים שמוציאים הנחיות, שאלה הגורמים שבהם יש חשיבות ציבורית גדולה מאוד. לא ניתן מצב שבו יהיו הנחיות סותרות או מצב שבו גורם מפוקח לא יודע מה הוא צריך לעשות. זה לא יקרה; אנחנו דואגים שזה לא יקרה, ואנחנו דואגים מבעוד מועד שזה לא יקרה, עוד הרבה לפני שיתעורר חשש למשהו כזה.

אוקיי. פרנקו, אתה רוצה להוסיף?

כן. צהרים טובים. בתקופה האחרונה עשינו מאמצים, גם עם רמות, כדי להגיע להסכמות. אמנם עוד לא חתמנו על הסכם אבל אנחנו לגמרי בישורת האחרונה. התפיסה, כמו שאמרתי בפעם הקודמת, של תורת ההגנה הלאומית שרואה את כל מרחב הסייבר במדינת ישראל תהיה התורה שמכתיבה איך צריך להתנהג המשק הישראלי בהתגוננות שלו. ההתגוננות שלו מכילה בתוכה גם היבטים של פרטיות, אבל גם נושאים אחרים, כמו: תגובה, יכולת חקירה, יכולת מודיעין, יכולת סיכול, יכולות טכנולוגיות מתקדמות שמדינה צריכה לאפשר למשק על מנת שהיא תוכל להתמודד עם הנושאים שעומדים לפתחה.

הדבר השני בהיבט של פרטיות, שבו אנחנו כבר מסוכמים, שבו באירוע פרטיות חמור, עם נקודות שאנחנו חושבים שיכולות להיות להן השקה לביטחון הלאומי, רמו"טיעדכנו אותנו, במידת הצורך. ככל שנבין שהאירוע הזה מתרחב להיבטים לאומים של חיי אדם, ביטחון כוחותינו, ביטחון פעילויות שמדינת ישראל עושה או נושאים כלכליים כבדים, אז רשות הסייבר תפעל להגנה, עם כל היכולות המבצעיות שלה, שכמובן לא אוכל לפרט פה. זה עיקר ההסכמה. אנחנו ממש בישורת האחרונה. לא הגענו לחתימה פיזית על מסמך, אבל אנחנו כמעט מסוכמים ברוב הדברים ואני מאמין שברוח הזאת נוכל להתקדם.

תודה. חברת הכנסת יעל כהן-פארן, בבקשה.

תודה רבה. קודם כול, אני מברכת על הדיון ואני מקווה שהתקנות, שהן מאוד חשובות, יאושרו וההדורים בין הצדדים השונים יוסדרו.

יש לי שאלה לגבי סמכויות הרשם בסעיף 20. האם בסעיף שקראנו אין סמכויות נרחבות מדי, לטעמך? האם כבר ניתנה על כך הדעת?

לגבי איזה נקודות?

לגבי הנקודה שהוא רשאי לפטור מאגר מסוים מחובות אבטחה לפי תקנות אלה. זה מאוד רחב. אנחנו סומכים על הגורמים האחראים ועל הרשם, אבל אולי פה יש מקום לפיקוח, של הוועדה או מישהו אחר. אני מעלה את זה כי בעיניי זו אחריות מאוד רחבה לפטור.

אני חושב שאם תשימי לב לתיקונים הניסוחיים שעשינו, נתנו את דעתנו על הדבר הזה וגם הוספנו שיש צורך בטעמים שמצדיקים זאת.

אבל מי הגורם?

זאת אומרת, זה לא משהו כללי וגם יש פה הבניה של שיקול הדעת של הרשם, שהוא חייב להתחשב בגודל המאגר וסוג המאגר. זאת אומרת, זה חייב להיות מאוד מותאם לנסיבות. זו לא סמכות פרוצה לעשות מה שהוא רוצה, אלא יש פה הבניה גם במובן שחייבים להיות טעמים שמצדיקים את זה וגם במובן שזה חייב להיות מותאם, תפור על המאגר הספציפי לפי הנסיבות שלו והאופי של המאגר.

ולמי הוא חייב את הדיווח? זאת השאלה, כי הכול יכול להיסגר בלי שקיפות ציבורית או עם שקיפות מאוד חלקית, רק למי שמאוד מאוד מתעניין, ואין פה שום חובת דיווח לאף גורם.

אולי באמת תתייחסו לזה? איל, בבקשה.

ראשית, שימי לב שהתקנה מתייחסת למאגר מסוים, לא לשינוי נורמטיבי. לרשם אין סמכות לשנות את הדין לגבי סוגי מאגרים באופן כללי, שזו אולי פעילות שהייתי יכול להבין את הרגישות הנובעת. מדובר על מאגר מסוים, שקשור לנסיבות שלו, ולכן פיקוח פרלמנטרי, כמו שהשתמע מדברייך, הוא מסוג הדברים שהוא לא קיים – אנחנו לא מפקחים על מאגר זה או אחר. זו נקודה אחת.

אבל זה יכול להיות הרבה מאגרים מסוימים.

מאגר מסוים הוא מאגר מסוים.

מאגר של המשטרה, מאגר של הצבא, אני לא יודעת מה.

אנחנו מתמקדים עכשיו בתקנה הזאת. אבל כל סמכות שניתנת לרשות מנהלית, בכלל זה גם הרשם אם נקודת המבט היא כפי שאת מציגה אותה - שמא אותו בעל הסמכות יעשה שימוש לרעה בסמכות ומי ידע - הרי בתחילת הדרך, בכלל כשרושמים מאגר וכשמפקחים, מי יתקע לידנו שרשם לא יחליט לפקח יותר על מאגר פלוני ולפקח פחות על מאגר אלמוני? אני, כמובן, לא חושב שזה נכון. אנחנו סומכים וגם ההיסטוריה מוכיחה את זה. אבל היא לא צריכה להוכיח את זה, יש פה רשות מנהלית שפועלת בצורה תקינה. אם הם יכולים לבחור כל יום על מי לפקח, על מי לא לפקח, על מי להטיל עיצומים כספיים כאלה ואחרים כשיגיע חוק או היום להטיל – השאלה הזאת חלה יומיום, היא לאו דווקא מתבררת בשאלה אם הוא הגיע למקום מסוים ודווקא באותם מאגרי המידע, כשנושא הגנת הפרטיות במאגרי מידע זה לחם חוקו, הוא יחליט להוריד את רמת האבטחה. נדמה לי שזה לא החשש, גם בראייה הרחבה, הכללית, של איך אנחנו מעניקים סמכויות לגופים מנהליים, גם בהקשר הספציפי של הרשם ומה שהוא הוכיח עד היום וגם מבחינת המטריה עצמה. אני לא רואה פה איזשהו חשש על מאגר מסוים. ניצול לרעה תמיד יכול להיות; אני לא חושב שמישהו בכלל מעלה על הדעת ניצול לרעה בכיוון הזה, בהקשר הזה, ולכן אני חושב שהתקנה ממש נותנת מענה לחשש שהצגת.

תודה. חברת הכנסת יוליה מלינובסקי, בבקשה.

בהמשך למה שאמרה חברת הכנסת יעל כהן, אולי כדאי להכניס דיווח פעם בשנה לוועדת החוקה, חוק ומשפט על כמות המאגרים שנבדקו.

זאת אומרת, באופן כללי לגבי התקנות ולאו דווקא לגבי תקנה 20.

כן כן. אני כל הזמן מכוונת לזה שהדברים יהיו שקופים. למה שלא יהיה מצב, בגלל שזה נושא רגיש, נושא שמאוד חשוב - - -

יש בזה היגיון. אני לא יודעת אם כל שנה, אבל יש בזה היגיון.

לפי חוק הגנת הפרטיות הרשם - - -

אנחנו מדווחים בכל אפריל לוועדת החוקה על כל פעולות הפיקוח שעשינו בשנה הקודמת. זה יהיה חלק מהדיווח. אנחנו מדווחים, על-פי דין, פעם בשנה לוועדת החוקה.

אז אפשר להוסיף פה גם את פעילות הרשם. זה יהיה פשוט בתוך אותו דיווח.

אפשר להוסיף, אבל לדעתי לא צריך להוסיף כי הרי זו פעילות פיקוח והחוק מחייב אותנו לדווח לוועדת החוקה על פעילות הפיקוח שלנו.

זה אומר את רמות, לא את משרד המשפטים.

הדוח הוא של רשם מאגרי מידע, שמוגש לוועדת החוקה.

אפשר לקרוא, זה סעיף 10א לחוק הגנת הפרטיות: "לא יאוחר מה-1 באפריל בכל שנה תגיש המועצה להגנת הפרטיות לוועדת החוקה, חוק ומשפט של הכנסת דין וחשבון שיכין הרשם על פעולות האכיפה והפיקוח בשנה שקדמה להגשת הדוח, בצירוף הערותיה של המועצה".

יופי. סעיף 20 ייכנס לדיווח הזה?

בוודאי.

עכשיו כמה שאלות פרקטיות, ברשותך. פספסתי את הדיון הקודם אבל ניסיתי לעקוב אחרי מה שקורה בעניין הזה. תסבירו לי, רשויות מקומיות, מה הרמה - - - ?

לפחות רמה בינונית, כי הם גוף ציבורי. הסברנו בדיון הקודם בהסתכלות על התוספות שחידדנו את זה כי הבנו שהיתה הבנה בנושא הזה. גוף ציבורי, נקטנו בעניינו נורמה מחמירה. המינימום שמאגר מידע של גוף ציבורי יכול להיות הוא רמת אבטחה בינונית, ויכול להיות שהוא יהיה גם ברמת האבטחה הגבוהה, זה תלוי במאגר.

אבל מצד שני אתם אומרים שמאגר מידע הוא לפי מספר האנשים שנכנסים בו.

אבל עצם העובדה שהוא גוף ציבורי - - -

הבנתי.

זאת אומרת, יכול להיות שיבוא קיבוץ עם 20 חברים ויקבל פטור. זה מה שהסעיף הזה מאפשר.

היא שאלה לגבי שלטון מקומי. התשובה לחברת הכנסת היא ששלטון מקומי זה גוף ציבורי וזה לפחות - - -

אני ממשיכה. בגלל ששלטון מקומי זה משהו מאוד גדול ורחב - 254 רשויות - האם אתם מתואמים, מבחינת הכללים, עם משרד הפנים?

באיזה מובן?

מבחינת הסטנדרט, מבחינת הנורמות.

למיטב ידיעתי, משרד הפנים לא קבע שום נורמה בהיבט של אבטחת מידע, אבל התקנות האלה עברו את כל ההליכים, לרבות - - -

אנחנו לא רוצים להגיע למצב שכל רשות מקומית תעשה לפי רוחה, אז מה שתעשה תל-אביב זה לא מה שיעשה כפר קאסם. בהתחשב בעניין שהשלטון מקומי נבנה מעיריות, מועצות אזוריות, ואחר כך יש הרבה חברות בת. יש חברה בת בעירייה שמתעסקת עם חינוך בלתי פורמלי, שיש לה מאגר מידע ענק של ילדי העיר.

ממה את חוששת?

אני חוששת מהחלקיות של הדבר. אם אנחנו כבר הולכים להליך הזה, שבעיניי הוא מצוין וחשוב, אני מציעה לכם לחשוב על השלטון המקומי, לשבת עם משרד הפנים ולבנות סטנדרט לשלטון המקומי, כי זה יקל אחר כך על הביצוע, בהתחשב בעניין ששלטון מקומי זה לא גוף אחד – זה לא רק עירייה - אלא זה מורכב מהרבה חברות עירוניות, שכביכול הן חברות בת, ולפעמים גם עמותה. שכל המערך הזה ייכנס להגדרה של "ציבורי", כי חברת בת - - -

אם אני מבינה נכון, התיאור שחברת הכנסת מלינובסקי מעלה עכשיו נכנס תחת ההגדרה. זאת אומרת, כל עירייה, גם השלוחות שלה, הן - - -

אני מציעה לכם לרשום בחוק "ציבורי או כפוף". אז את פותרת את הקטע של חברות הבת.

הסיטואציה שהיא מדברת עליה לא נכנסת עכשיו בתקנות?

אני לא חושבת שזה יהיה נכון לרדת לרזולוציה הזאת. גם לרשויות המקומיות החזקות ביותר יש מגוון של מאגרים, יש להן סוגים שונים של מאגרים, חלקם רגישים וחלקם פחות. אני חושבת ששנת ההיערכות תיתן גם למשרד הפנים וגם למרכז השלטון המקומי את הזמן לעצב את הסטנדרטים שהם רוצים, וכמובן שרמו"טתוכל לסייע להם.

התקנות מתלבשות על המונחים של החוק. ככה זה.

למשל, כשמדברים על חינוך אנחנו כותבים שזה ליד השלטון המקומי או כל גוף שמנוהל על-ידי השלטון המקומי. אני פשוט מכירה את השלטון המקומי מבפנים; עיריות תמיד מנסות להפריט מעצמן.

את מדברת על סיטואציה, ותקנו אותי אם אני טועה, שבה תת-המאגרים, גם רמת המידע שתהיה בהם, גם עליהם כשלעצמם יש חובות, בכלל בלי קשר לזה שהם חלק מהשלטון המקומי. אולי הם ברמת אבטחה - - -

זה חל על כל עמותה ועל כל חברה, לא רק על גופים ציבוריים.

בדיוק. אולי זה לא יהיה ברמת אבטחה של הגוף הציבורי, אבל יש עליהם רמות אבטחה של - - -

אני בעדכם, אני לא נגד. אני פשוט מבקשת שתבינו שבשלטון המקומי – בעיריות, בחברות עירוניות שמתעסקות עם החינוך, שגם רישום לגן הולך לשם - יש שם המון מידע על האזרח. למשל, איגוד ערים למים ולביוב. אני מציעה לכם, בהתארגנות של שנה שיש לכם עד הכניסה לתוקף של התקנות, להתייחס לזה בכובד ראש, לשבת עם משרד הפנים ולבנות סטנדרט לכל השלטון המקומי והמשתמע מכך, כדי שזה יהיה משהו אחיד וברור. זו הצעתי.

יש פה את עורך דין יוסי אוחנה מהשלטון המקומי, אולי תוכל להתייחס לדברים.

שלום, גברתי. ראשית, אני מצטרף להמלצה של חברת הכנסת, שיש מקום שהתקנות, בהתייחס לגופים ציבוריים שאינם רשויות מקומיות, ייעשו בתיאום עם הרשויות המקומיות ובוודאי עם משרד הפנים. בצדק אמרה חברת הכנסת שיש הבדלים ושונות בין הרשויות הגדולות והחזקות יותר לרשויות קטנות יותר, גם באמצעים הטכניים שהן יכולות להעמיד לצורכי הצפנה וגם במישור הכלכלי – אם רשות יכולה להשקיע כספים לעניין הזה.

אצטרף להערה ששמעתי פה מאחד הדוברים: כרגע אנחנו לא רואים צורך לרדת לרזולוציה של תאגידים עירוניים או חברות עירוניות כי ממילא ההגדרה בתקנות היא רחבה. זאת אומרת, אם אותו גוף – חברה עירונית לצורך העניין - מוגדרת כבעלת מאגר בינוני או גבוה, החוק חל עליה ממילא. רשות בפני עצמה היא ממילא בתוך התקנות, כגוף ציבורי. אבל בהחלט יש מקום, לאור העלויות ולאור ההיבטים המקצועיים, שהשלטון המקומי ומשרד הפנים ביחד יתקנו את התקנות או הקריטריונים שיותר רלוונטיים לרשויות המקומיות, בשים לב לשוני שיש בין רשויות כאלה ואחרות כי זה בהחלט משמעותי.

זה מה שביקשתי.

חברת הכנסת מלינובסקי, אני רוצה להסב את תשומת ליבך לתקנה 15, שבין היתר, נועדה לתת מענה בדיוק לדבר שאת מדברת עליו. תקנה 15, שדנו בה בדיון הקודם, מדברת בדיוק על מצב שבעל מאגר מתקשר או עובד עם גורם נוסף, מחזיק, ומה החובות שחלות עליו לקבוע בהסכם עם הגורם שהוא עובד אתו. זאת אומרת, תקנה 15 נועדה לתת מענה בדיוק לדבר הזה.

אתן לך דוגמה. יש חברה לאוטומציה שמספקת שירותים לכל השלטון המקומי, אז היא בעצם ספק שגם עליו יחולו אותן חובות.

מוסכים. אני מנסה להבין לאיזו רזולוציה זה ייכנס, כי מצד אחד זה לא מידע אישי, אבל מצד שני יש שם מידע אישי ויש שם מידע על הרכוש. כל מוסך מחזיק מידע על לקוחותיו, אבל בנוסף יש מה שנקרא "מוסכים מורשים" שעובדים עם יבואני הרכב והם מחזיקים מידע על כל בעלי הרכב מאותה חברה. למשל, אם יש לי רכב "טויוטה" ואני מטפלת בו במוסך מורשה בחולון או באילת – הם פותחים מחשב ורואים הכול, כי זו רשת. איך אתם מתייחסים לרשתות, מועדוני לקוחות? איך זה יעבוד? אני מנסה להבין כי היו ויש משם דליפות כל הזמן.

הסיפור של המוסכים מוכר. יש כאלה שמקפידים יותר, יש מקרים שנבדקו שהם - - -

יש מוסך פרטי ויש רשת.

הבעלים של הרשת הוא בעל המאגר. הסוכנויות האלה מחזיקות לפעמים את המאגר כולו או חלק ממנו, וגם כן כפופות לתקנות האלה ויצטרכו להגביל את רשויות הגישה ולבדוק אם הם לא מחזיקים מידע עודף.

אכנס לעומק. יש יומני רכב. לצורך הדוגמה, "טויוטה", מוכרת ואחר כך לקוחות מטפלים ברשת המוסכים שלה. מי אחראי על המאגר - יבואן הרכב שהוא מחזיק המאגר הראשי או אותו מוסך א', ב', ג'?

כל אחד על המאגר שלו.

שניהם אחראים.

לכל אחד יש אחריות, כל אחד יש לו את המאגר שלו.

תקשיבו, זה הכול מניסיון. למה שלא תהיה הגדרה של מחזיק ראשי ומחזיק משנה? היתה על זה מחלוקת – מניסיון – כי אותן חברות גדולות של רכבים טוענות שהן לא מחזיקות שום דבר וזה לא מאגר.

מחזיק הוא מחזיק, ולבעל מאגר יכולים להיות מחזיקים שונים, וההוראות חלות על כל המחזיקים. המונחים הם מהחוק והחוק מתייחס ל"מחזיק".

לכל אחד יש חובות עצמאיות משלו.

ואין מחזיק שהוא שונה ממחזיק אחר.

ובכל מקרה, התקנות חלות גם על בעל המאגר וגם על המחזיק. השאלה הזאת מעניינת אבל לא צריך להכריע פה, כי זה חל על שניהם בכל מקרה.

והאחריות על כניסה לא מורשה היא גם על בעל המאגר וגם על המחזיק במקרים האלה. זה באמת חשוב שיבהירו את הדברים האלה וייקחו אותם לתשומת הלב, כי לפעמים זה תחום פרוץ.

חברת הכנסת מלינובסקי, בתקנה 19(א) החובות החלות על בעל מאגר מידע יחולו גם על מנהל המאגר, למעט החובות הקבועות בתקנות 2(15)(א) הן יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין. דרך אגב, כמו שהסברנו כאן, זו נגזרת של חוק הגנת הפרטיות שקובע את חובת אבטחת המידע.

אני מאוד שמחה שאתם מעלים את זה ואני מאוד שמחה להשתתף בדיון הזה, כי הדברים האלה הם לא מדע בדיוני, זה קורה כל יום.

תודה.

ושאלה אחרונה - - -

היתה אחרונה. אחרונה אחרונה.

נושא הקנסות – לא הספקתי להיכנס לעומק, אבל אני לא רוצה שיהיה מצב שעדיף לו לשלם 5,000 שקל ושיעזבו אותו בשקט ולא יתעסק עם כל הסיפור הזה. מה קורה עם זה עכשיו? פשוט פספסתי את הישיבה הקודמת.

את מדברת על העיצומים הכספיים, שזה תיקון חקיקה שאנחנו מחכים לו.

זה עוד לא כולל? עד איזה סכום אתם רוצים להגיע?

זה עוד לא התקנות שלפניכם.

זה פשוט מעניין אותי. עד איזה סכום אתם רוצים להגיע? אין עוד. הבנתי. אבל אתם מבינים שבלי זה, זה בלי שיניים. זה צריך להיות סכום נאה, שירגישו. למשל, על חוק המאבטחים עשיתי עיצומים כספיים של 20,000 שקל, אז זה מורגש. צריכים לחשוב על הכיוון הזה.

תודה רבה, יוליה. עורך דין יהונתן קליגר ואחר כך חברת הכנסת ברקו, אם תרצי להתייחס.

רציתי להגיד לגבי סעיף 20. אני יודע שאהיה פה במיעוט, אבל אם היה אפשר להוסיף לא רק פטור ספציפי אלא פטורי סוג. לצורך העניין, אם נתתם פטור לפסיכולוג א' מחובה מסוימת ויומיים אחרי זה בא גם פסיכולוג ב' וקיבל את אותו פטור כי הנחתם שאצל פסיכולוגים נכון שצריך לנהל מאגר מסוים, אבל יש איזשהו ויתור שאפשר לעשות בתקנות. אם אפשר לפרסם את ההנחיה הזאת כוויתור כללי או פטור כללי, כדי שתהיה אכיפה שוויונית.

דבר שני, במסגרת הדיווחים, אני חושב ש-10(א), אבל אולי להוסיף שתדווחו על כמות הפטורים או דברים כאלה בדיווח, כי זה לא מופיע בחוק. כתוב בכלליות על פעילויות הפיקוח.

אתה מתייחס לעניין הפטורים לסוג. זו נקודה משמעותית מבחינת המדרג הנורמטיבי. אנחנו מתייחסים ברצינות למה שעושה הכנסת בחקיקה, למה שעושה שר, בהסכמת הכנסת, בתקנות ומה שעושה פקיד משרד פיקוח על תקנות. אם מדברים על שינויים של סוג, בעינינו זה כבר איזשהו שינוי של הנורמה, כי הנורמה קבעה – וראינו שהוועדה התחבטה והתלבטה איך להגדיר ומה לכלול. זו התלבטות שצריכים קובעי המדיניות לקבוע. מדובר בנסיבות מסוימות, קובעי המדיניות לא יכולים לעבור מאגר מאגר וזה בדיוק התפקיד של רשם מאגרי המידע. אם רשם מאגרי המידע יגיע למסקנה שהוא רואה תופעה שהוא שינה לצורך מסוים והוא מגלה שכל הסוג הזה הוא כזה, אז באמת ראוי לשנות את התקנות ולשנות את העיוותים. אנחנו לא חושבים ששינוי תקנות ושינוי הנורמה צריכים להיעשות על-ידי הפקיד המוסמך. במובן הזה דווקא - - - את הפיקוח.

לגבי העניין השני, אודה שאנחנו מאוד שמחים להיות שקופים ולדווח, ולכן אני לא רואה צורך מיוחד לומר את זה דווקא כאן.

אני מעריך שאני אחד האנשים היחידים שקורא את הדיווחים השנתיים שלכם - - -

זה נראה לי סעיף שבמהות מחייב דיווח.

אני קורא, אני אוהב את הדיווחים. אתם כותבים אותם טוב. אני פשוט מפחד ממה יקרה בעוד עשר שנים, אם יהיו חילופים.

למה לא להכניס במפורש שזה חייב דיווח?

קודם כול, אנחנו מפרסמים דיווחים גם פעם בשנה – שזה הנייר הפורמלי – אבל אנחנו מפרסמים פעילות, דיווחים וגם הנחיות לאורך כל תקופת השנה ומנסים בשקיפות מלאה ככל שניתן כרגולטור בנושא מסוים.

אני רוצה להגיד שני דברים בעניין הזה. אחד, רמו"טמדי פעם מפרסמת הנחיות שוק כלליות לגבי פרשנותה לאיך היא אוכפת את הדין. ברור, וגם הצהרנו על זה בישיבות הקודמות, שבנושא של תקנות חדשות שמייצרות איזה סוג של בהירות אבל בתקופה הראשונה ברור שגם יהיו המון שאלות, התחייבנו לפרסם מדריך כללי שיסביר אותן בצורה עממית ופשוטה, וגם לפרסם, ככל שנראה שצריך, הבהרות, הנחיות, פירושים, כדי שיהיה מינימום של אי הבנה אפילו לפני שהתקנות ייכנסו לתוקף, בוודאי אחרי שייכנסו לתוקף, ונלמד על בעיות שיתעוררו או סוגיות של פרשנות.

לגבי הדיווח – מכיוון שכשנעשה פעילות אכיפה זה יהיה חלק מהדיווח שממילא אנחנו מגישים לוועדת החוקה פעם בשנה בכל חודש אפריל זה ממילא יהיה שם, אני מעריך שנפרט יותר דיווחים במסגרת הפעילות השוטפת של הדיווח, במסגרת אתר האינטרנט שלנו, דף הפייסבוק שלנו ומקומות אחרים שאנחנו מוצאים.

אלה נתונים שאתם מתכוונים לחשוף?

עכשיו אנחנו בתהליך של בניית אתר מתקדם, שיהיה הרבה יותר נגיש, הרבה יותר נוח, הרבה יותר שירותי במובן של הגעה למידע. אבל כבר כיום, כשאנחנו עושים פיקוח אנחנו מעלים את הממצאים לאתר האינטרנט ברגע שהממצאים שלנו חלוטים. אנחנו לא מחכים שישאלו אותנו ואנחנו לא מחכים לאיזה דיווח שנתי בהקשר הזה. אנחנו ממילא שם, ונשמח להיות שם גם בהיבטים של התקנות האלה.

וכשתיתנו פטור חלקי, אלו דברים שתעלו אותם גם לאתר באופן שוטף?

אני מניח שלא לגבי מאגר מסוים.

גם לגבי מאגר מסוים, צריך להבין שהעיקר בתקנה הזאת הוא לא התפרקות המהותיות, אלא רק מהחובות הפרוצדורליות. מתי זה יקרה? זה יקרה כשמגיע מאגר מסוים – למשל, עלתה הדוגמה על-ידי בנק ישראל של מאגר נתוני אשראי שיש לו חקיקה ספציפית לאבטחת מידע. אז במקרה הזה אפשר יהיה להגיד ש-א', ב', וג' מתקיימים וכל מה שנדרש להוסיף לפי התקנות שלנו זה עוד שני דברים אחרים.

אבל למה שזה לא יפורסם?

לכן אני חושבת שפטור למאגר מסוים, מסוג המאגרים שאנחנו כרגע חוזים שיבקשו את הפטור, יפורסם. כשנכיר ברגולציה מסוימת כמספקת – זה יפורסם כהנחיות שלנו, אלה לא יהיו דברים שייסגרו במחשכים. הדברים האלה יפורסמו. פלוס, יש את הדוח השנתי. אני לא רואה צורך להוסיף דרישה ספציפית.

למה אתם מתעקשים - - -?

סליחה, יוליה. מערוץ הכנסת מבקשים שכל דובר יציג את עצמו.

אני היועצת המשפטית של רמו"ט. שלא, חלילה, ישתמע שיש לנו התנגדות לפרסם את זה. אם יש צורך בדבר הזה - - -

אתם גם מקבלים תלונות מהציבור והצבעה על פרצות באבטחת המידע במאגר כזה או אחר? משהו שמאפשר לכם גם להשתפר? יש את האינטראקציה הזו עם הציבור?

יש לנו אינטראקציה עם הציבור - - -

ועם אנשי מקצוע? זאת אומרת, שאנחנו אומרים לכם. קורה שאנשים נתקלים - - -

וגם פעילות יזומה שלנו. בוודאי, כל המכלול.

אני ראש רמו"ט. התשובה היא כן.

באיזה אופן?

בהרבה אופנים: גם בתלונות ישירות, גם בנושא של פניות ציבור, גם בקשר עם רשויות שלטון אחרות שמקבלות, לפעמים, מידע כזה ולא מטפלות בו אבל הן מעדכנות אותנו. לפעמים אנחנו מקבלים עדכון יזום ולפעמים אנחנו מבקשים עדכונים תקופתיים מרשויות, כמו משטרה או גורמים אחרים. גורמי המקצוע בתחום הזה יושבים ברמו"ט, אז כאשר אנחנו נתקלים בפניות שבהן אנחנו רוצים מומחה גדול מהמומחים שיושבים אצלנו, משהו ספציפי, כמובן שאנחנו עושים את השימוש בדבר הזה. אבל המומחיות לנושא הזה היא ברמו"ט. אנחנו חושפים את המידע, ככל שזה לא בזמן חקירה, אנחנו משתפים את הציבור בכל מה שאפשר לשתף את הציבור, ולא רק שהדבר הזה הולך להיות פחות אלא הדבר הזה הולך להתגבר. רק השנה הקמנו מחלקת קשרי ציבור וממשל ברמו"ט שזה אחד מהתפקידים המרכזיים שלה – לחשוף יותר דברים לציבור ולתת לציבור יותר מידע ויותר שקיפות באקט יזום שלנו.

אני לא מדברת רק על המובן של השקיפות אלא אני מדברת על האינטראקציה המקצועית. זה נכון שמבחינה מקצועית אתם יכולים להגיד: אנחנו הטובים ביותר, או שיש ארגונים אחרים שגם שם יש את הטובים ביותר. אבל לפעמים אנחנו רואים האקרים או אנשים שיש להם איזושהי גישה והם מצביעים על פרצות בסידורי האבטחה והם יכולים להועיל בביקורת שלהם. השאלה היא אם אתם בנויים לקבל את זה.

גם בנויים וגם מקבלים.

זה עובד ככה?

ודאי שכן.

עורך דין דן חי, בבקשה.

גברתי היושבת ראש, אני מבקשת התייחסות לשאלה הזאת גם מרשות הסייבר, אם אפשר.

בסדר גמור. לאחר מכן.

אני נציג לשכת עורכי הדין, יושב-ראש הוועדה להגנת הפרטיות בלשכה. רציתי להתייחס לכמה דברים שעלו פה. השלטון המקומי הוא חלק מהגנת הפרטיות. סעיף 8 קובע שגוף ציבורי צריך לרשום את מאגרי המידע שלו וסעיף 23 מפרט גם את השלטון המקומי בין הגופים. לכן הם בתוך החוק.

תקשיבי לזה, יוליה. אני חושבת שזה יעניין אותך.

אני חוזר ואומר: סעיף 8 קובע שגוף ציבורי צריך לרשום את מאגרי המידע שלו וסעיף 23 מפרט שגוף ציבורי זה לרבות השלטון המקומי – רשויות מקומיות. זאת אומרת, הרשויות הן בתוך החוק, ואני יודע שיש פיקוח צמוד של רמו"ט על הרשויות. יצא לי לייעץ לכמה רשויות, נתקלתי ברמו"ט מפקחת שם. זאת אומרת, אנחנו לא נכנסים בחלל ריק כי יש חוק ויש תקנות ישנות. הפיקוח קיים, לכן אני לא חושב שצריך התייחסות פרטנית. זה צריך להיות אחיד לכולם, כמובן, אם יש צורך מוציאים הנחיות.

לגבי ההערה שהשמעת על סקטורים מסוים – ההנחיה הראשונה של רמו"ט, למשל, נגעה לסיטואציה של רופאים. מה קורה כשמגיע לרופא בקופת חולים פציינט; האם הוא צריך לרשום מאגר נפרד או שזה חלק מהמאגר של קופת החולים? זו שאלה מעניינת, זה קצת דומה לשאלה של המוסכים. יצאה הנחיה של רמו"ט שהתייחסה לזה באופן פרטני. זו ההנחיה הראשונה שהוציאה מאז שהיא קמה.

לכן, כעורך דין שחי את השטח בתחום הזה, אני חושב שרמו"ט פועלת בשקיפות, בשיתוף פעולה, מוציאה הנחיות מאוד פרטניות. קודם כול טיוטות ואחר כך הנחיות. אני יכול גם להגיד בשם לשכת עורכי הדין: הזמנו את רמו"ט אלינו ללשכה כי היה צורך של עורכי דין לשאול שאלות ולהבין דברים, והם הגיעו בהרכב מלא. היתה ישיבה עם 120 איש בערך בחודש ספטמבר, ואני חושב שאם יהיה צורך הם ישמחו לבוא שוב.

יש את האינטראקציה.

יש את האינטראקציה. לגבי הדיווח – הייתי חבר במועצה הציבורית להגנת הפרטיות, שהיא הגוף שאליו צריך להגיש את טיוטת הדוח. הדוח מפורט, נשאלות שאלות, זה גוף שהוא גוף מייעץ לשר המשפטים, הגוף הזה יכול להעלות קושיות שחסרות לדעתו בדוח. סעיף 10(א) הוא אמנם סעיף קטן, אבל יש בו הרבה תוכן. הדרך של רמו"ט לדווח זה לא שהיא שולחת דוח לוועדת החוקה אלא היא צריכה לעבור את המסננת של המועצה הציבורית להגנת הפרטיות. לכן אני חושב שחברי הכנסת, יכולה לנוח דעתם - - -

אני אף פעם לא יכולה לנוח.

כמובן, תמיד יש אנשים שיגידו שיש יותר מדי פיקוח או פחות מדי פיקוח, אבל העסק עובד. אני חושב שמאז שהוקמה רמו"ט זכות הפרטיות חוזקה, ואני חושב שצריך להמשיך לחזק אותה.

תודה.

אני בעד, התייחסתי רק לצורך בהתאמות. אבל היתה פה אמירה מעניינת, שאני מאוד רוצה לשמוע את התשובה, גברתי היושבת ראש.

יוליה, שניה. פרנקו, תתייחס בבקשה לשאלה של חברת הכנסת ברקו.

אני ראש אגף בכיר להכשרה ולהסדרת השוק ברשות להגנת הסייבר. גברתי, בהמשך למה שתיארת על תקיפות האקרים, אז כמובן שאתה מכירה את ה-CERT בבאר שבע, שזה גוף הגנה שהתכלית שלו היא בדיוק סיכול תקיפות מהסוג הזה, של האקרים והרבה מעבר. המרחב הזה, ככל שאנחנו מזהים בו תקיפה – ומבחינתנו לא משנה מי התוקף – על-פי פק"ל ההפעלה שלנו, נפעל. בצד השני, ככל שרמו"ט תפנה אלינו ותבקש סיוע מקצועי של צוות תגובה - - -

וזה קרה?

עוד לא קרה. ככל שרמו"ט תפנה אלינו ותגיד שהיא צריכה סיוע או, לחילופין, ככל שהאירוע גדול מעולם הפרטיות ומגיע לממשק של מה שקראתי קודם ביטחון לאומי, מן הסתם נפעיל התערבות כדי לחסן את המשק או את אותו נפגע.

יש ביניכם איזושהי הסדרה? נהלי עבודה? קבעתם איך הדברים ייראו? כי הרשות התחילה לפעול ממש לאחרונה.

בתחילת הדיון - - -

ליאת, תציגי את עצמך ותייחסי. למרות שזה נאמר, תחזרי שוב.

אני מייעוץ וחקיקה במשרד המשפטים. בתחילת הדיון, אגב תקנה 20(ב), התייחסנו להסדרה בין רמו"ט לרגולטורים האחרים, ובין היתר, רמו"ט וגם פרנקו התייחסו למגעים המתקדמים שמתקיימים בין רמו"ט לסייבר.

זה מגעים מתקדמים או שזה נכנס כמשהו מסודר?

הוועדה כבר שמעה בנושא - - -

עוד אין. הם בהידברות ביניהם, אבל הם מגיעים להסכמות.

זה משהו מאוד חיוני לעשות.

אני רוצה להבהיר את התמונה, לא היית בתחילת הדיון, חברת הכנסת ברקו. העבודה המשותפת שלנו עם כל הגורמים שמשיקים אלינו היא בשוטף, היא לא קשורה לתקנות האלה, כולל רשות הסייבר שנמצאת בשלבי התארגנות והקמה ואנחנו בקשר אתה, כמו שאנחנו בקשר עם גורמים אחרים שהיו רלוונטיים בעבר וגם רלוונטיים כרגע. מה שדווח בתחילת הישיבה זה שאנחנו גם מכינים נייר פורמלי של הבנות ספציפיות לנושא הזה בינינו, שנמצא רגע מהסיום המוצלח שלו.

ומתי הסיום המוצלח הזה יקרה?

אני לא יודע להגיד, אבל אם היה לנו עוד יום לפני הישיבה הזאת אז אולי זה היה גם לפני הישיבה.

יש שנה היערכות.

יש להם שנה. התחולה היא בעוד שנה.

זה ייקח הרבה פחות משנה; אני מעריך שימים.

בבקשה, פרנקו.

אני רוצה להגיד משהו בהקשר של מוכנות הרשות. חשוב לי להגיד: אומרים שאנחנו מכינים את עצמנו, אבל הרשות להגנת הסייבר היא גוף מבצעי פועל. הוא לא מכין את עצמו, הוא מנהל כרגע מעל עשר חקירות, מתוכן ארבע לאומיות, באופן מבצעי. חשוב לי להגיד את זה. ככל שאנחנו נקבל פנייה שנבין שהיא ברמה הלאומית ודורשת צוות התערבות, רשות ההגנה תפעל. זה לא שנבנה את הכוח, אנחנו שם.

לפני שאני חוזרת לחברי הכנסת, יש פה עוד מישהו שרוצה להביע עמדה, דעה? חברת הכנסת מלינובסקי העלית סיפור שנתקלת בו. שאלת אותי ואמרתי לך שתציגי אותו, ותגידו איך אתם רואים את ההתייחסות שלכם לזה, גם בהתאם לתקנות.

תודה, גברתי. בישיבה הראשונה עלה נושא של עמותה שהתעסקה באימוץ והנתונים שלה דלפו לרשת. אתם זוכרים את זה? תנו לי התייחסות לנושא הזה, כי לפי ההגדרה זה לא גוף ציבורי, מצד שני זה גוף שיכול להיות שהוא מאוד קטן, אבל מצד שלישי הוא מחזיק מידע מאוד רגיש. תסבירו לי.

הדיון בתקנה 20 הוא מאוד רלוונטי כי אלה בדיוק אותם מקרים של מאגרים שיכול להיות שלפי החובות של התקנות הם כפופים לחובות פחותות יותר, אבל לאור רגישות המידע ולאור הפעילות שלהם הרשם ימצא לנכון להחיל עליהם חובות מוגברות. זו, למשל, יכולה להיות דוגמה טובה.

לכן גם אמרתי, בהמשך לשאלתה של יושבת ראש הוועדה, שההפעלה של הסמכות לפי תקנה 20(א) היא לא רק בהמשך לפניות אלא גם יכולה להיות יזומה כתוצאה מתובנות ותוצרים של פיקוח.

בנוסף, צריך גם לזכור שבהקשר של מה שיש בתוספת השניה, הגדרה של איזה סוג של מידע, בחלק מהמקרים ממילא גוף כזה – תלוי בנסיבות, במספר העובדים וכו' - יכול להיות שבגלל טיב המידע שלו כבר יוגדר כמאגר ברמה בינונית.

נכון. אבל גם אם לא, זה בדיוק הכלי וזה בדיוק הרעיון.

אתם מכירים את המקרה.

אנחנו מכירים את המקרה, טיפלנו בו. המקרה הספציפי הזה היה חלק מהפעילות היזומה שרמו"ט עושה בניסיון לאתר מידע רגיש, אישי, שדולף לרשת ועומד בסכנה. זה מקרה שבו, במסגרת הפעילות השוטפת שלנו לאיתור מידע כזה, איתרנו את המידע הזה, פנינו לגוף, סגרנו את הפרצה.

לפני מספר דקות אמרת שאתם עובדים בשיתוף פעולה עם המשטרה לגבי המאגרים שלהם?

אנחנו עובדים בשיתוף עם כל הגורמים.

כשישבנו בוועדות על הביומטריה ושאלתי את השאלה, נאמר לי שבכל ההיסטוריה של רמו"ט אף פעם אפילו לא בדקתם מאגר של המשטרה. אז או שכן או שלא.

אני רוצה להגיד מה שאמרתי קודם. זה היה מענה לשאלה איך אנחנו מקבלים מידע על אירועים - - -

אז אתה לא מקבל, כי המשטרה טוענת שהמאגר שלהם פועל לפי חוקים שלהם והם בכלל לא מחויבים בדיווח.

אני מבהיר מה שאמרתי קודם. דיברנו על השאלה איך רמו"ט מקבלת דיווחים על אירוע, על דליפות או על דברים שהיא צריכה להפעיל בהם את הסמכות, ואמרנו שאחד מהגורמים שאנחנו עובדים אתם בשיתוף פעולה כדי לקבל מידע כזה היא משטרת ישראל.

אז מה לגבי המאגר של המשטרה עצמה? כי יש להם מאגרים.

שניה, נשמע את התשובה.

אסביר לך. שלחתי לך את הכתבה, אז אולי את תפרטי.

לא. תסבירי את השאלה, וגילי תעני, בבקשה.

למשטרת ישראל יש מאגרים ענקיים של מידע על אזרחים. אני מודעת לרגישות העניין, אבל אני עדיין מצפה מרמו"ט שיטילו איזשהו פיקוח על הנושא, עד כמה שאפשר, למרות שאני מבינה שמשטרת ישראל לא תשמח. לפני מספר ימים פורסמה ב"מאקו" כתבה על שוטר, שמתוקף סמכותו יכול היה להיכנס למאגרי מידע של המשטרה. נכנס למאגר, איתר שם בחורות חלשות, יצר אתן קשר. כלומר השתמש בסמכות שלו שלא כדין, נכנס למאגרים של נוער במצוקה. היתה שאלה אם הוא יועמד לדין. זאת אומרת, בתוקף סמכותו הוא נכנס למאגרים רגישים.

ומה השאלה?

האם לרמו"ט במקרה הזה, שהתפרסם, יש בכלל מה להגיד ולהטיל סנקציות או פיקוח על משטרת ישראל?

אחדד את הנקודה שיוליה מעלה. קודם כול, מה בדיוק מערך היחסים ביניכם לבין המשטרה, במובן של חובת דיווח ביניכם?

על המאגרים של המשטרה.

על המאגרים של המשטרה. זה דבר אחד. דבר שני, אם יש תקלה – כי בסוף אין פה זליגת מידע, יש פה שימוש פנימי - האם יש להם חובה לדווח על זה אליכם? במידה שהם מדווחים – האם יש לכם את היכולת לפעול? זה מה שיוליה שאלה. ואני אוסיף שאלה: האם מקרה כזה בכלל מגיע אליכם? האם נתקלתם בסיטואציה כזו והאם זה מסוג הדברים שרמו"ט עוסקים בהם?

ראשית, חובת הדיווח תיכנס לתוקף בתקנות האלה. אין חובה פורמלית עכשיו. כמובן, גופים מדווחים לנו. החוק להגנת הפרטיות חל גם על מאגרים של המשטרה. יש למשטרה פטור חלקי בסעיף 19 לחוק רק לגבי דברים שהם במסגרת ביצוע תפקידה. כשמישהו מועל ומשתמש לצורך האישי – זה לא חל. בכל מקרה, אם נחזיר את הדיון לנושא הדיון שלפנינו – תקנות אבטחת מידע, אז חובת הדיווח תיכנס לתוקף. כחובה, היא חלה באופן כללי, ויהיו התאמות.

אתם בכלל נמצאים בדיאלוג עם משטרת ישראל עכשיו? פעם בדקתם אותם?

אנחנו נמצאים בכל מיני דיאלוגים, שאני לא יודע אם זה הפורום המתאים לפרט אותם.

אני פשוט מפנה את תשומת ליבכם. תפנימו, ויכול להיות שעכשיו יהיו לכם יותר סמכויות. כדאי מאוד, כי המשטרה, עם כל הכבוד, היא עדיין גוף ציבורי.

על זה אין ויכוח.

נכון. לצורך העניין, מי שלא לדיאלוג חלות עליו בדיוק כמו שהן, ואז החובה שלו היא חובה הרבה יותר גדולה. דווקא הדיאלוג בא לעתים להפחית ולא להוסיף.

וגם אתם, רשות הסייבר, צריכים להיכנס לנושא שאם שוטר בתוקף סמכותו עושה דברים כאלו, משהו שם לא בסדר. איך הוא הגיע לאותם מאגרים? כדאי לחשוב על זה.

שאילתה לשר לביטחון הפנים.

יש עוד מישהו שרוצה להוסיף דבר מה? אז אם אין אף אחד שרוצה להוסיף נוכל לעבור להצבעות.

יש הגדרות שלא קראנו את התיקונים שלהן.

רק תסבירי בקצרה. זה שני תיקונים קטנים בניסוח של ההגדרה של "אירוע אבטחה חמור" ושל "התקן נייד".

בהגדרה של "אירוע אבטחה" יש צמצום של ההגדרה. "במאגר מידע שחלה עליו רמת אבטחה גבוהה" אנחנו מבקשים להשמיט: "לרבות אירוע בו היתה כניסה למערכות המאגר באופן שמאפשר גישה למידע שבמאגר". התיקון הזה הוא בעקבות עבודה של רמו"ט והיערכות גם מול רגולטורים אחרים שמקבלים דיווחים והבנה שהתוספת הזאת עלולה להתפרש באופן רחב מדי, שיטיל נטל כבד גם על המפוקחים וגם על רמו"ט. אם אני לא טועה בישיבה האחרונה היתה גם אמירה מצד אחד המשתתפים בהקשר הזה.

התיקון השני הוא בהגדרת "התקן נייד". בפסקה הראשונה, במקום מה שרשום כאן יהיה רשום: מחשב המיועד לשימוש נייד לרבות מחשב שהוא ציוד קצה רט"ן כהגדרתו בפקודת הטלגרף האלחוטי [נוסח חדש], תשל"ב-1972;" התיקון הזה נדרש בעקבות חידוד שקיבלנו ממשרד התקשורת. הכוונה היא לא לרשת של הרדיו טלפון נייד אלא לסמרטפון, לציוד הקצה.

רשת סלולרית, בלשון העם.

אני שואלת שוב יש מישהו שרוצה להעיר, להאיר, להוסיף? אז אנחנו עוברים להצבעה.

מי בעד אישור התקנות? מי נגד?

הצבעה

בעד – פה אחד

נגד – אין

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016, נתקבלו.

תודה, התקנות אושרו פה אחד. בשעה טובה, שיהיה בהצלחה. אני מקווה שיהיה עידן חדש באבטחת המידע, ואנחנו מחכים לדיווח ב-1 באפריל הבא.

אנחנו מודים מאוד להנהלת הוועדה, גם לייעוץ המשפטי וגם לך, כמובן.

תודה רבה. הישיבה נעולה.

הישיבה ננעלה בשעה 13:33.