פרוטוקול של ישיבת ועדה

פרוטוקול של ישיבת ועדה

×?ומניטק

2017-11-22OMNITECH



הכנסת העשרים

מושב רביעי

פרוטוקול מס' 482

מישיבת ועדת החוקה, חוק ומשפט

יום ראשון, כ"ג בחשון התשע"ח (12 בנובמבר 2017), שעה 12:30

דו"ח רשם מאגרי מידע על פעילות הרשות למשפט, טכנולוגיה ומידע (רמו"ט) לשנת 2016 (לפי סעיף 10א לחוק הגנת הפרטיות

חברי הוועדה: ניסן סלומינסקי – היו"ר

ענת ברקו

אורי מקלב

אלון בכר - ראש הרשות להגנת הפרטיות, משרד המשפטים

גילי בסמן-ריינגולד - מנהלת מחלקה משפטית -רשות להגנת הפרטיות, משרד המשפטים

צילי נאה - משפטנית, משרד המשפטים

איה פרידלנדר - מרכזת בכירה קשרי ציבור וממשל, הרשות למשפט, טכנולוגיה ומידע

לימור שמרלינג מגזניק - מנהלת מחלקת קשרי ציבור וממשל, הרשות למשפט, טכנולוגיה ומידע

ניצן חן - טרום מתמחה, הרשות למשפט, טכנולוגיה ומידע

לביא אובנת - מנהל מחלקת אכיפה, הרשות למשפט, טכנולוגיה ומידע

הילה כהן - עוזרת משפטית לראש הרשות, הרשות למשפט, טכנולוגיה ומידע

טל ז'רסקי - סגן דיקן, הפקולטה למשפטים, אוניברסיטאות ומוסדות אקדמים

דניאל אליאס - מחלקת קשרי ציבור וממשל, הרשות להגנת הפרטיות

דן אור-חוף - חבר מועצה, המועצה להגנת הפרטיות

ארז ויסברד - חבר המועצה להגנת הפרטיות, המועצה להגנת הפרטיות

אורית פודמסקי - יו"ר המועצה, המועצה להגנת הפרטיות

אתי דנן - ראש תחום פרלמנטרי בוועדה

נטלי שלף

שלומית כהן

דו"ח רשם מאגרי מידע על פעילות הרשות למשפט, טכנולוגיה ומידע (רמו"ט) לשנת 2016 (לפי סעיף 10א לחוק הגנת הפרטיות

צהריים טובים. מטרת הישיבה הזאת, שאנחנו נקבל את הדוח השנתי, שאני מניח שהמועצה צריכה למסור. מי שמכין את הדוח ואחראי על המימוש שלו זה רמו"ט. אני לא יודע אם בילט-אין לישיבה הזאת או לא, אבל אני עוסק בהרבה מאוד חוקים, ואחד הנושאים שהכי מפריע לי, ואני חושב לאחרים, זה הנושא שאנחנו יוצרים מאגרים. כשיוצרים מאגרים, מצד אחד זה מקל מאוד על המערכות, אבל מצד שני זה יוצר סכנה עצומה. התחלנו עם הביומטרי, שאולי הוא לא קשור אליכם, כי זו רשות עצמאית. מצד אחד כל אחד מבין את החשיבות הגדולה שיש במאגר הזה. מצד שני, כל אחד מבין את הסכנה. דיברתי עם אביתר שיחה ארוכה כדי לוודא מה רמת האבטחה. אבל זה לא רק בזה, זה בכל תחום. אנחנו עוסקים עכשיו ברישום פלילי. במשטרה יש מאגר עצום. מה רמת השמירה שם? הרשות להלבנת הון, שאיתם אנחנו עובדים, זה חוק נוסף שנמצא אצלי על השולחן. היא אוגרת מידע עצום, ואנחנו דנים מה היא יכולה כן להעביר ולמי, האם לרשות המיסים היא יכולה. אישרנו, למשטרה היא מעבירה. האם היא יכולה גם להעביר לזה זרם דק? אבל מי שומר על המאגר עצמו? האם לא ייכנסו ויפרצו? מי שייכנס ויפרוץ, יעשה חגיגה. כלומר, הוא יכול לסחוט אנשים. אם זה עיתונאים, יהיה להם חומר לשנה שלמה עם כותרות ראשיות. כך אנחנו הולכים ויוצרים מאגרים. שלא לדבר על צה"ל, שאני לא יודע אם זה קשור אליכם. כל כך דקדקנו במאגר של הביומטרי, ובסוף החליטו תמונה, וטביעת אצבעות רק מי שרוצה. בצה"ל יש גם תמונה וגם טביעת אצבע וגם DNA. המאגר הזה שמור, לא שמור? אני לא מדבר על משרדי הממשלה, משרד התחבורה וכדומה. בקופת חולים ראיתי שכל אחד מגיע מציעים לו לתת טביעת אצבע. אז אדם שם טביעת אצבע, ונוצרים מאגרים על גבי מאגרים. זה בכל תחום.

מצד אחד אני מבין שצריך שיהיה מאגר, ואז יש חילופי אינפורמציה. אז פעם המשטרה יודעת, פעם הרשות להלבנת הון, פעם הרגולטור על עורכי הדין יודע, ופעם על הבנקים. כשמעבירים ויש מי שמרכז ורואה את התמונה, זה עוזר מאוד למאבק בהלבנת הון, בטרור, בכל מיני דברים. אבל מצד שני תמיד החשש הוא שככל שיש מאגר יותר שמן, יותר טוב, אם מישהו מצליח לפרוץ לשם, השם ישמור וירחם. אז אני לא יודע אם זה אתם. אני מקווה מאוד שלפחות אחרי הישיבה היום אצא אולי יותר רגוע, כי עד היום אני ממש לא רגוע. אני מעביר חוק אחרי חוק, ובכל אחד מהם אני מדבר, וכל אחד מתחייב, כמו שהמשטרה התחייבה וצה"ל, ומביאים את מי שאחראי על המאגרים שישכנע אותנו שאכן המאגרים מאובטחים. אז יכול להיות שאתם פה הגוף שתרגיעו אותי.

מה שאמרת דיברת על הביומטרי או באופן כללי?

דיברתי על הכול. הזכרתי גם את הביומטרי.

כמה פעמים אמרת שנחה דעתך בנושא הביומטרי.

הזכרתי שהייתה לי שיחה ארוכה עם אביתר. הם לא קשורים לביומטרי, אבל אמרתי שלמאגרים יש מצד אחד חשיבות עצומה, מצד שני חשש עצום. אני רוצה שאחרי הישיבה הזאת אצא יותר רגוע. נתתי דוגמאות על חוקים אצלנו.

אבל האמירה של יושב-ראש ועדת חוקה, שהוא לא רגוע בנושא הביומטרי, יש לזה משמעות.

לא דיברתי על זה, דיברתי על הרישום הפלילי. שם אביתר דיבר אתי על הרישום ושכנע. לכן ביקשנו בישיבה האחרונה שיבוא מי שאחראי על המאגרים של המשטרה וישכנע אותנו, כמו שעשו בביומטרי שהמאגר בטוח. כנ"ל ביקשתי מהצבא, שגם היה בישיבה, שגם הצבא, שיש לו מאגרים משלו, יותר מסובכים כי שם יש גם DNA יבוא ויסביר איך הם שומרים על המאגר. כי בהרבה חוקים לאחרונה אנחנו יוצרים מאגרים.

במאגרים הביומטריים זיהינו את הבעיה שיכולה להיות בעיקר בזליגת חומר החוצה. דהיינו, כמו כל מאגר, יש פה חשש של פריצה מבחוץ לאנשים שלא מורשים. זו בעיה אחת. הנושא השני זה מאנשים שמורשים, או אנשים בכניסות בהיתרים. אנחנו בחוק הביומטרי לא נתנו כרגע אפשרות להיכנס לשימושים נוספים מעבר לשימושים של המאגר, ששם זה מאובטח.

גם ברישום הפלילי פורמלית יש אדם שיכול לקבל גם על עצמו את הרישום שלו. יש מישהו שחוקר, שרק הוא יכול להביא לו. אבל עדיין יש יותר ויותר אנשים שיש להם גישה.

שם זו גישה רשמית. אתה שאלת בגישה הרשמית האם הוא מקבל גם את החומר של אנשים שהעידו עליו או התלוננו עליו. אבל זו כבר גישה רשמית. זו סמכות. אנחנו צריכים להתמקד בחלק הזה. מה שמדאיג הוא השמירה.

במשטרה יש שני דברים, יש מאגר במחשב ויש גם תיקים, שהם נמצאים באיזשהו מקום. תיקים פיסית, עם כל החומר כולו. גם מי שייכנס לשם, זו חגיגה.

אנחנו רואים את תחום האחריות שלכם על כך שאנשים שהם מונחים על-ידי הרשות, רמו"ט, כגופים שמחזיקים מידע, ויכול להיות שהם לא דווקא גופים ממשלתיים אלא גופים שיש להם מאגרי מידע של אנשים, גם בנושא של לא מורשית וגם בשימושים שלהם. האם מישהו שיש לו שימוש בחוק יכול לתת ולהעביר את המידע הזה או להשתמש בשימושים נוספים ממה שנתנו לו. זה חלק ממה שמדאיג אותנו, כפי שאנחנו רואים היום שמוכרים חומרים או משתמשים כגוף עבור חברות חיצוניות, עבור שימושים אחרים. זה היום השיח שאותנו מרתק. דע לך שלפני שבוע הוא היה אצלנו בוועדת המדע והטכנולוגיה. לא רק בנושא של הדוח, אלא גם בנושא של תעודה מאובטחת. יש חוק של תעודות חכמות ותעודות מאובטחות. הרשות אחראית גם על המעקב ועל הפיקוח וגם היום על הגשת חוק חדש שיעשה שינוי בכל הנושא הזה.

האם אתם, המועצה, מגישים לי את הדוח?

כן.

אז אתם רוצים לפתוח או אלון יפתח?

אני מציעה שאלון יפתח ואחרי זה אנחנו נציג את עצמנו וכמה נקודות בהקשר של הדוח.

בבקשה.

אני רוצה להתייחס בכמה משפטים למה שהיושב-ראש שאל, עד שנתחיל לדבר על דוח 2016, משום שחשוב שנבין את הסיטואציה. נושא מאגרי המידע הוא בוודאי באחריות ובפיקוח. הפיקוח על ההתנהלות שלהם הוא בידי הרשות להגנת הפרטיות ורשם מאגרי מידע בתוך הרשות. הדוח שאנחנו מגישים היום לוועדה הוא דוח של רשם מאגרי מידע, לפי חוק הגנת הפרטיות.

בהקשר הזה אני חייב להגיד כמה דברים. האחד, כמובן שכל מי שמחזיק מידע אישי, האחריות עליו היא לנהל את המידע כמו שצריך, לשמור עליו כמו שצריך, לאבטח אותו כמו שצריך, לעשות בו רק שימוש ראוי ומותר. אנחנו כרגולטור מפעילים את סמכויות הפיקוח, האכיפה, החקירה שלנו וההנחיה איך לעשות את זה נכון. כמובן שכל גוף אחראי על זה בפני עצמו.

אם דיברת על מגמה של יותר ויותר מאגרי מידע, אז נכון, המגמה הזאת היא לחלוטין קיימת. היא גם מגמה שהטכנולוגיה המתקדמת של אגירת נתונים וייצור נתונים, אישיים ואחרים, כמובן מגבירה אותה. צריך לקחת בחשבון בהקשר הזה שני דברים שצריך להיות מודע אליהם. האחד, זה נכון שיש יותר ויותר מאגרים, וזאת תמונת מצב של התפתחות. זה לא רק עניין של החלטה, זה עניין של עצם קיום היכולת לייצר את המאגרים. הדבר השני הוא, שכמובן צריך לראות מה יש במאגרים ואיך הם מנוהלים, וזה הדבר היותר מטריד וגם הדבר שעליו צריך לתת את הדעת, משום שיש מאגרים שהם חיוניים לכל מיני שימושים, וזה נכון מאוד שהם יהיו, ויש מאגרים שהם לא מאוד חיוניים ולא הכרחיים, ואנחנו בהקשר הזה, באיזונים שאנחנו מבקשים לעשות, ואני חושב שגם הכנסת חייבת לתת את דעתה לעניין הזה, מבקשים לקחת בחשבון שצריך לייצר מאגרים רק כאשר הם חיוניים ונכונים, ולא כי זה איזשהו טרנד או כי מישהו רוצה לעשות משהו עם איזשהו מאגר, ולא מבינים לפעמים את המשמעות של עצם קיומו ועצם החשש לזליגתו.

היושב-ראש לא רגוע, ואני לא חושב שאחרי שנציג את הדברים הוא יהיה יותר רגוע. אנחנו לא אומרים את הדברים כדי להרגיע, אנחנו אומרים את הדברים כדי להניח את המציאות כפי שהיא ולהסביר מה אנחנו עושים כדי לשפר אותה. אני חושב שכל מי שעוסק במידע אישי וכל מי שעוסק בפרטיות, אסור לו להיות רגוע. הייתי מצפה גם מיושב-ראש הוועדה לא להיות רגוע בעניין הזה. הייתי רגוע לפרקים אחרי שהייתי מכניס פה ושם את התיקונים הנדרשים בחוק הגנת הפרטיות, ואני מקווה שזה יקרה בשנה-שנתיים הקרובות, משום שאחד המאפיינים של הבעייתיות בניהול הרגולציה בנושא הזה היא שחוק הגנת הפרטיות, שנותן את הסמכויות לרשות להגנת הפרטיות, הוא חוק שצריך לעבור הרבה מאוד רביזיות. אפשר לעשות אותן בתיקונים קטנים, אפשר לעשות אותן בתיקונים גדולים, אבל החוק לא תואם את המציאות, לא הטכנולוגית, לא השינויים הגלובאליים ולא החברתיים, ובמובן הזה אנחנו עושים את המיטב עם החקיקה שיש. אנחנו עושים שיפורים משמעותיים בהתנהלות שלנו וביכולות שלנו. אציג אותם מיד כשאדבר על נתוני הדוח. אבל הדרך עוד ארוכה, ובהקשר הזה לכנסת יש תפקיד מאוד משמעותי ביכולת להרגיע את הציבור ולשמור על הציבור, משום שאם לא נכניס את התיקונים הנדרשים בחקיקה בישראל ולא נצמצם פערים שנוצרו עם השנים, ובשנה הקרובה עוד יהפכו להיות משמעותיים יותר לחקיקה המתקדמת במדינות המערב, אז המצב לא יהיה יותר טוב. אנחנו נהיה בפער גדול מדי ממדינות המערב, אנחנו נינזק גם כאזרחים וגם ככלכלה שפועלת בשוק גלובאלי, משום שהשוק הגלובאלי מחייב היום, בוודאי באירופה ובארצות-הברית אבל לא רק, עמידה בסטנדרט גבוה מאוד של אבטחת מידע אישי והגנה על מידע אישי ושימושים במידע אישי. בהקשר הזה אני לא חושב שכדאי שנהיה רגועים. אני חושב שכדאי שנהיה מפוקחים ונעשה מה שצריך כדי להתקדם להגיע, לפחות ברמת ההסדרה החקיקתית, למדינות היותר מתקדמות.

אני יכול להגיד, ואני חושב שכאשר נציג את הדוח זה יהיה יותר מובהק, שכרשות להגנת פרטיות אנחנו נמצאים בקו הראשון של הרשויות להגנת פרטיות בעולם, אבל אנחנו מבצעים את העבודה שלנו עם משקולות לא פשוטות על גבנו, ולעתים עם ידיים קשורות, וזה משהו שכדאי מאוד שכמדינה וכרשות מחוקקת ניקח אותו למקום יותר נכון.

יש כאן שני אלמנטים מרכזיים. אלמנט אחד זה באמת ליצור את החקיקה המתאימה כדי לאפשר לכם או לגופים מבחינת החוק לטפל ולשמור וכו'. זה אלמנט אחד, שתלוי בנו. האלמנט השני זה האלמנט שנניח יש לכם את מערכת החוקים והכול, איך אתם, או אנחנו במדינת ישראל, מצליחים לשמר את זה. יש האקרים שכל פעם משתכללים ופורצים. איך אנחנו יודעים להגן על זה, אחרי שיש כל החוקים, שהדברים לא יזלגו? אם לא היו מאגרים, בסדר. אבל אנחנו הולכים לנטייה לעוד מאגרים ועוד מאגרים. נדמה לי שבקדנציה הקודמת היה הנושא של השוואת הנתונים כדי שיהיה שוויון בין הבנקים לבין האנשים האחרים שנותנים אשראי וכו'. ממה שהבנתי זה משהו מטורף, שם אתה מכניס את כל האינפורמציה שיש לך על אדם. מה שיש לבנק, שהוא שומר את זה כסודי, על כל לקוח ולקוח, זה יהיה עכשיו פתוח לאחרים כדי לעשות שוויון בין הבנק לחברות האשראי האחרות. איך שומרים על זה? לכן יש כאן גם החלק של החוק, מה צריכים לחוקק כדי לתת, אבל החלק השני, כשיש כבר החוק, איך שומרים על זה באמת. אני לא מזכיר כאן בכלל את כל הענקים, פייסבוק וכדומה, שהם סוחטים מאתנו. הם יודעים הכול עלינו, יש להם אינפורמציות בלי סוף, הם יודעים בכל רגע איפה אני נמצא, הם יודעים מה אני מדבר גם כשהפלאפון שלי סגור, כי הם מסוגלים לשמוע הכול, והם אוספים מידע ומידע, ואני לא יודע מה הם עושים אתו. הם יכולים למכור אותו, הם יכולים להשתמש בו ולעשות כל מיני דברים. עשינו גם ניסיון פעם עם אחת הרשתות, שהפלאפון סגור ואני מדבר עם אדם ואומר שאני רוצה לנסוע לאירופה לטיול, תוך חצי שעה על המסך הופיעה אינפורמציה על איך לנסוע לאותו טיול, או על האתר שדיברתי עליו. אתה נדהם. שלא לדבר על כך שהוא יודע בכל רגע נתון איפה אתה נמצא. איזו פרטיות עוד נשארת לאדם? זה סיפור נפרד, האם אנחנו מאפשרים להם לעשות את זה והאם יש מישהו שמפקח ויודע לצורך מה ואיך הם משתמשים בנתונים האלו. אלה נתונים שאפשר למכור אותם תמורת כסף, אלה נתונים שאפשר להשתמש בהם למיליון דברים אחרים.

אני חושב שאחרי שנציג את הדברים, חלק מהדברים יהיו יותר ברורים, גם ברמת מה אנחנו עושים וגם ברמת מה עוד נעשה וניתן לעשות. מה שהיושב-ראש דיבר כרגע זו ההבחנה הנכונה בין האבטחה שדובר עליה קודם, אבטחת המידע האישי, לבין השימושים במידע האישי, מה מותר לעשות אתו בכלל, למי מותר לעשות אתו, וגם מה מידת השליטה של האדם הפרטי שהמידע שלו הוא המידע בבעלותו ובו נעשה שימוש לכל מיני צרכים. אני חושב שאחרי שנציג חלק מהפעילויות שלנו, הדברים יהיו קצת יותר ברורים. אני מניח שאם יהיה זמן לדיון, נוכל לדבר גם קצת על היבטים גלובאליים, משום שאדוני דיבר פה על חברות גלובאליות שיש משמעויות גם לשאלה איפה הן יושבות ואיזה דין חל עליהן כדי לעשות לגביהן הסדרה. גם לזה נתייחס כשנסתכל קצת קדימה למה שקורה ב-2017 ומה שנעשה ב-2018.

ברשותכם אציג מצגת. אתחיל להציג את עיקרי הדברים ואת המהלכים שהתבצעו ברשות בשנת 2016. אני חושב שאחריהם הדברים יהיו קצת יותר מובנים וברורים.

בשנת 2016 היינו בעיצומו של תהליך שינוי אסטרטגי מאוד משמעותי ברשות. הרשות בחנה כבר משנת 2015 את השינויים שהיא צריכה לעבור והמדינה צריכה לעבור, בהיבטים של הסמכויות ושל ההסדרה של נושא הפרטיות, אל מול מה שקורה בעולם ומה שקורה בעולם הטכנולוגי. קורים בעולם הרבה מאוד דברים. משתנה הרגולציה העולמית ברוב חלקי העולם, הטכנולוגיה עברה שינויים ועוברת שינויים תדירים ומאוד מאוד דרמטיים. בהקשר הזה עשינו עבודה מאוד משמעותית, שבה בחנו את השאלה איך צריכה להיות בנויה הרשות להגנת פרטיות בשנת 2018 ו-2019 אל מול הרשות שנבנתה בזמנו ונבחן איך לבצע הגנת פרטיות בערך ב-2005-2004. במונחים של עולם המידע ובמונחים של העולם הדיגיטציה הגלובאלי, 2004 זה שני דורות אחורה. בהקשר הזה, מה שעשינו בשנת 2016 הוא שהתחלנו את היישום של השינוי המאוד מאוד גדול שביקשנו לערוך אחרי העבודה שעשינו בשנת 2015.

בפניכם כרגע מוצגת הרשות כפי שהיא בנויה כיום. אחרי התהליך שביצענו, לרשות יש ארבעה חלקים משמעותיים שמרכיבים את הפעילות בה. כל אחד מטפל באספקט אחר של הגנה על מידע אישי ושל פרטיות. אני רק אומר בכמה מילים, כדי שיהיה יותר ברור כיצד אנחנו פועלים כרגע וגם מה השינויים שהתרחשו בשנה האחרונה. אתן סקירה כללית על המבנה של הרשות ועל הסמכויות שאנחנו מפעילים אגב אותו מבנה, ואתן דגש מיוחד על שני אלמנטים חדשים שיש ברשות שלא היו בעבר, גם לא באופן אחר או במבנה אחר.

אתחיל דווקא מהדברים שהיו ורק עברו שינוי וחיזוק. הרשות להגנת הפרטיות היא רשות שמבצעת אכיפה בהתאם לסמכויות שיש לה בדין. תחום האכיפה ברשות עבר שינוי, שיפור ושדרוג בשנת 2016 וגם בשנת 2017. הדבר המרכזי שמאפיין את השינוי הזה הוא העובדה שכל החלקים ברשות שמבצעים אכיפה של הוראות החוק הרלוונטיות רוכזו ואוחדו לתוך מחלקה אחת יותר משמעותית שמבצעת אכיפה של מדיניות ההגנה על מידע אישי בכל האספקטים שהרשות יודעת להפעיל. הרשות מפעילה צוות חקירות פליליות. צוותי חקירות מנהליות, שמבצעים סמכויות פיקוח. אנחנו בתהליך מתקדם של בניית יכולת לעשות פיקוח רוחבי על תחומים יותר רחבים במשק, ולא רק על ארגונים ספציפיים כאלה או אחרים. חיזקנו בשנה החולפת את יכולת איסוף המידע שלנו והארכה שלו כדי להגיע לאכיפה ממוקדת יותר במקומות שבהם יש הפרות דין ושימושים בעייתיים במידע אישי, ולא להגיע אקראית למקומות שבהם אנחנו מבצעים בדיקות בעניינים אחרים.

דבר משמעותי נוסף שהתרחש הוא שבשנה החולפת, ובשנת 2017 זה הושלם, שודרגה היכולת הטכנולוגית הפנים-רשותית, אל מנת שנוכל, כאשר אנחנו מבצעים את החקירות הפליליות והמנהליות ופעילויות אחרות שאנחנו עושים, לעבד את המידע העצום שאנחנו מקבלים ואותו צריכים לנתח ולהגיע ממנו למסקנות מה נעשה עם המידע האישי של אזרחי ישראל, בצורה יותר משמעותית ויותר מהירה, באופן שידרבן את הפעילות ולא יעכב אותה. גם בהקשר הזה, זה מהלך שהושלם בשנת 2017, ואנחנו כבר היום נמצאים עם יכולת טכנולוגית פנימית לטפל בנושא ההפרות והחקירות הרבה יותר משמעותית. אנחנו ממשיכים לחזק את יכולתנו הטכנולוגית, כי בעולם החדש חייבים גם יכולת טכנולוגית מאוד משמעותית כשאוכפים נושאים מהסוג שאנחנו מתעסקים בהם. בחודשים הקרובים ההיבטים הטכנולוגיים והאנשים הטכנולוגיים שעובדים ברשות יעברו עוד שינוי ותגבור.

עוד מחלקה שהייתה קיימת עוד קודם, אבל קיבלה דגשים חדשים וחיזוק, היא מחלקת הייעוץ המשפטי וההסדרה. אחד מהדברים המשמעותיים שהתרחשו בשנה החולפת הוא קידום של תקנות הגנת הפרטיות, אבטחת מידע. אדוני דיבר על החששות שלו מהנושא איך שומרים על מאגרי מידע, אם יודעים איך בכלל לשמור עליהם, אם יש גורם שמפקח על אבטחת המידע האישי הזה. התשובה לכל אלה היא: כן, אנחנו. מעבר לזה שכל ארגון שמחזיק מידע אישי מחויב בשמירה עליו ובשימושים בו למטרות שלשמו הוא הוקם. האירוע המשמעותי שהיה תוצאה של עבודה מאוד משמעותית של המחלקה ושל מחלקת ייעוץ חקיקה במשרד המשפטים הוא תקנות שעברו באביב וייכנסו לתוקף במאי השנה הבאה, שמסדירות את כל נושא אבטחת המידע האישי במאגרי מידע בישראל ואמורות להרים את רמת האבטחה, את ההבנה איך צריך לשמור ואת הטיפול במקומות שבהם יהיו אירועים של דליפת מידע או פגיעה במידע אישי. בהקשר הזה, זה אירוע מדינתי מאוד משמעותי. התקנות האלה חלות על כל מי שמחזיק מידע אישי במשק הישראלי בכל המגזרים, כולל הממשלה. בהקשר הזה ההטמעה של התקנות האלה במשק תרים את רמת אבטחת המידע האישי בצורה מאוד משמעותית, משום שאנחנו בתקנות האלה בחרנו להגיע לסטנדרט הבין-לאומי הנכון, המחייב. יש הרבה מאוד מקומות במדינת ישראל שאנחנו לא נמצאים שם בסטנדרט הזה. התקנות האלה מחייבות מינימום מסוים, אנחנו מצפים שבמקומות שבהם אדוני הזכיר, כמו מאגרי-על או מאגרי מידע שעוסקים במידע מאוד מאוד רגיש, הסטנדרט יהיה אפילו גבוה יותר ממה שמופיע בתקנות. אבל התקנות האלה שוטחות בפני כל המגזרים את הדרך הנכונה לניהול מידע אישי ושמירה על מידע אישי במינימום הנדרש, לפי סוג המידע, מידת החשיפה אליו ודברים אחרים. המחלקה הזאת, כמובן, גם מטפלת בייעוץ משפטי שוטף, פנימי וחיצוני, במקומות שבהם זה נדרש.

דבר משמעותי נוסף שעבר רביזיה הוא ההגברה ביצירת שקיפות במדיניות האכיפה של הרשות מעבר למה שהיה קודם לכן. בשנת 2016 כבר פרסמנו את זה, מיד אכנס לזה. יותר הנחיות שמסבירות כיצד הרשות אוכפת את הוראות הדין לפי תחומים ספציפיים שבהם היא עוסקת. הדבר בא גם לעזור למי שרוצה לעמוד בדרישות הדין – ואנחנו מצפים שזה כולם – ולדעת כיצד עליו לעשות את זה. וגם לקדם את הנושא של מודעות לנושא הזה בקרב האנשים שהמידע שלהם שמור בידי גורמים כאלה ואחרים.

שתי מחלקות חדשות שמשקפות גם שינוי תפיסתי מסוים בתפיסת ההפעלה של הרשות. מחלקת קשרי הציבור והממשל ומחלקת החדשנות ופיתוח המדיניות. מחלקת קשרי הציבור והממשל בעצם עוסקת בנושא הבאת הזכות הפרטיות לכל המקומות שבהם היא צריכה להיות במודעות. אנחנו מדברים בעצם על התקשורת הרגילה, אנחנו מדברים על הניו-מדיה, אנחנו מדברים על מערכת החינוך וכל מקום שבו יש אנשים שצריכים לדעת, וזה בעצם בכל מקום. אחד מהדברים המשמעותיים שאנחנו נותנים להם דגש זה פעילות לחינוך בכל הגילאים ובכל המגזרים כדי שהזכות הזאת תהיה ידועה ושניתן יהיה לדעת איך לעשות בה שימוש נכון ואיך להגן עליה. בתוך המחלקה הזאת יש נושא של הנגשת מדיניות כדבר מרכזי. אם יש משהו שקודם לכן עשינו ולא היה ברור זה כיצד אנחנו אוכפים, על מה אנחנו נותנים דגש. היום אנחנו מייצרים הרבה יותר שקיפות בשאלה איך אנחנו מטילים את סמכויות האכיפה שלנו, מה הדגשים שאנחנו נותנים ולהיכן אנחנו הולכים ומסתכלים כדי לקדם את הזכות לפרטיות בכל מגזרי המשק. המחלקה הזאת גם מייצרת פעילות משמעותית בתחום יצירת חיבורים בין הרגולטורים השונים בממשלת ישראל. משום שאם יש משהו שאנחנו למדנו בשנים האחרונות הוא שהעולם שרץ קדימה בכל מיני מובנים לא מאפשר לאף רגולטור לטפל בנושא הזה שבו אנחנו מדברים לבדו. הנושאים הם בממשקים מאוד מאוד הדוקים, יש חפיפות. אם אין טיפול מערכתי כולל בתופעות מהסוג הזה, בין הגנת צרכן, הגבלים עסקיים, הגנת פרטיות, קשה מאוד להגיע לתוצאות נכונות. זה נכון במאגרים בכלל, זה נכון גם במאגרים מדינתיים, וזה בוודאי ובוודאי נכון כשאנחנו מדברים על ענקיות אינטרנט וגופים גלובאליים שעצם הטיפול בהם מורכב מאוד, בלי קשר לשאלה אם יש רגולטור אחד או מעבר לאחד שצריכים לטפל בזה.

בהקשר הזה, אסכם ואומר. עדיין אנחנו מנהלים גם פנקס של מאגרי מידע. בפנקס המאגרים אנחנו רושמים את המאגרים של הגופים שרוצים להקים מאגרי מידע חדשים ומאגרים שרשומים עוד קודם. כשמסתכלים שוב בעיניים פקוחות על העולם החדש, מגמתנו היא כמובן שעדיין יהיה רישום של מאגרים מסוימים, אבל שרוב המאגרים לא יהיו רשומים בצורה פורמאלית בפנקס, משום שאנחנו מדברים פה על מאות אלפי מאגרי מידע, ואנחנו צועדים לכיוון של מיליוני מאגרי מידע. המשמעות של רישום פורמאלי היא לא דרמטית. מה שיותר משמעותי הוא שמאגרים מסוימים גם יהיו רשומים וגם יפוקחו בצורה הרבה יותר משמעותית. ושמאגרים אחרים, שיש הרבה מהם, ולפעמים בידי כל אחד ואחד מאתנו, ינוהלו ויתנהלו באופן תקין ונכון ויפוקחו במקום הנכון כאשר ישנה הסדרה, ולשם אנחנו חותרים. זאת אחת מהסיבות שגם בשנה הקודמת ביקשנו לבטל את תקנות האגרות שגבינו עבור הרישום וניהול המאגר, משום שאנחנו מסתכלים קדימה ולא חושבים שזאת הדרך לעשות רגולציה בנושא הזה ולא רצינו לגבות אגרות ולעודד רישום רוחבי במקומות שבהם אנחנו חושבים שצריך לצמצם אותו.

כמה מאגרים יש? זאת שאלה שאין לה משמעות או אין לה תשובה?

אפשר לדבר על כמה מאגרים יש ועל כמה מאגרים רשומים. כמה יש, אנחנו יכולים רק להעריך ואנחנו מדברים על משהו כמו 500,000. אבל גם מספרים אחרים יכולים להיות. וכמה רשומים, אנחנו מדברים על עשרות אלפים. אבל אני חושב שאחרי שנציג את שאר הדברים, נושא הרישום כבודו במקומו מונח, אבל הוא לא נושא מרכזי בפעילות שלנו ובפעילות העתידית להגנה על מידע אישי בישראל. בהיבטים מסוימים כמובן שכן. אדוני דיבר על כל מיני מאגרים מאוד משמעותיים, שעצם קיומם צריך להיות נידון, והניהול שלהם בוודאי צריך להיות מפוקח וגם חייבים להיות רשומים ושקופים במידת האפשר. אבל לגבי השאר אנחנו לא במגמה הזאת, ולכן אנחנו מסתכלים על המהות ופחות על ההיבטים הטכניים שהיו בעבר.

אשלים לגבי המחלקה. עוד מחלקה חדשה שהוקמה ברשות, במסגרת אותו שינוי אסטרטגי, היא מחלקת החדשנות ופיתוח המדיניות. המחלקה הזאת נועדה לטפל בשני אתגרים שיש בפנינו. האחד הוא שאנחנו עוסקים בעולם שהקדמה והחדשנות בו מצד הגורמים שעליהם אנחנו מפקחים היא יוצאת דופן. היא בסדרי גודל שאנחנו לא הכרנו מעולם. אנחנו מדברים בפיקוח על אפליקציות, חברות ומאגרים שעושים שימוש בטכנולוגיה המתקדמת ביותר, אפילו בטכנולוגיות-על בדרך כלל. בעניין הזה אנחנו רשות פורצת דרך, אין עוד הרבה רשויות בעולם, אולי אחת, שכבר עוסקות בנושא הזה. אנחנו מחפשים חדשנות גם ברגולציה, איך לעשות רגולציה באופן חדשני, איך לעשות יותר עם פחות, מתוך הבנה שככל שהרשות תתעצם ותלך, והיא הולכת ומתעצמת, קצב ההתעצמות של הרשות וקצב היכולת שלנו לפקח בצורה אקטיבית ושגרתית רגילה היסטורית היא לא תואמת את ההתפתחות העצומה בהיקפים של המידע האישי שנאגר ומטופל, ולכן אנחנו מחפשים דרכים חדשניות גם לעשות את הרגולציה, גם לעשות את שיתופי הפעולה וגם לטפל בעולם המאוד מאוד מורכב הזה שאנחנו נמצאים בו. הוא מרתק, הוא מעניין, אבל הוא גם מדאיג, כפי שאדוני ציין קודם לכן. המחלקה הזאת תדע גם להציע לנו איך לשנות את המדיניות שלנו במקומות שבהם נדרש שינוי כדי להיות יותר אפקטיביים וכדי שהאימפקט שלנו יהיה משמעותי. אז אנחנו נבדוק גם את המצב בעולם, אנחנו גם נבדוק את ההיבטים החברתיים ונעסוק הרבה מאוד בטכנולוגיה. גם כדי לקדם פני טכנולוגיה שמגיעה, וגם כדי לדעת איך להתמודד עם טכנולוגיה קיימת כדי להוציא ממנה את המיטב, שלא תהיה פגיעה כתוצאה משימוש בה בזכות האדם הכל כך בסיסית לפרטיות ולהגנה על המידע האישי שלו.

האם יש משהו שאדוני רוצה שאדבר עליו בהקשר של המבנה ושל הסמכויות?

יש לי כל כך הרבה שאלות, אבל תמשיך הלאה. עם השאלות שלי אני חי כל הזמן. אני הולך לישון איתן.

גם אנחנו.

אתה רואה רופא בקופת חולים. פעם רק אצלו הייתה האינפורמציה על החולה. עכשיו הוא יכול לקבל בלחיצה את האינפורמציה שיש על אותו אחד בכל המקומות. אם הוא היה בבית חולים או במקומות אחרים, הוא יכול לקבל את כל האינפורמציה הרפואית שלו. יש לזה מעלה עצומה, שמצד אחד לא ילך באפלה כשהוא מטפל בחולה, כי הוא לא יודע שלפני חודש הוא היה בבית חולים ועבר אירוע מסוים וכדומה. זה מצוין שיש לפניו הכול. אבל חשוב שמה שהרופא עושה בלחיצת כפתור, יעקב או משה לא יוכלו להיכנס לזה ולהוציא אינפורמציה רפואית על כל אחד. שנדע מה המשמעות של זה. בכל חוק שאתה פונה היום, מצד אחד יש בזה הברכה אבל מצד שני הסכנה האדירה.

נשים את האצבע על אחד מהדברים שהם בליבת העיסוק שלנו. זה נכון, ככל שיש יותר מידע בידי יותר גורמים ונאגר יותר מידע, יש גם יותר סכנה שבמידע הזה ייעשה שימוש לרעה. אני חושב שבהקשר הזה העובדה שזה כל כך מאתגר להיות ברשות הזאת היא הצורך לנסות לעשות איזון נכון משפטי וטכנולוגי בין הצורך בקדמה והרצון שלנו לקבל שירות יותר טוב, טיפול יותר טוב, רפואה יותר טובה, שהחיים שלנו יהיו באיכות גבוהה יותר, והטכנולוגיה יודעת לעשות גם את הדברים האלה, לבין הסכנות המאוד גדולות שיש בקדמה לא מבוקרת או בקדמה שלא מנוהלת. בהקשר הזה אנחנו מנסים להיות גורם שגם מבין מספיק וגם מאזן. גם נותן את האינפוט שלו במקומות שבהם, כמו שאדוני ציין, מקימים מאגרים למטרות טובות, אבל השימושים בהם או אי ההגנה עליהם יכולים להגיע למקומות מאוד בעייתיים.

החשש שלי תמיד הוא משני דברים. גם שמישהו יכול לפרוץ מבחוץ, וגם מבפנים, מישהו מזהה שהוא יכול לנצל את זה. או למכור אינפורמציה או לפגוע באחר או אם יש לו תחרות עם מישהו הוא יכול להוציא עליו אינפורמציה. אין לזה סוף.

נכון. רגוע אני לא חושב שצריך לצאת, אבל אגיד על זה שני דברים. זה נכון, יש פה שני דברים שהם סכנות והן גם מתממשות. צריך להבין שכולנו, וזאת תפיסת העבודה של כל רשות ההגנה על פרטיות וגם של כל מי שעוסק בתחום הסייבר בכלל, בכל מקום בעולם, היא שתמיד יהיו שימושים לרעה, גם פנימיים, ותמיד יהיו דליפות חיצוניות ותמיד ניתן יהיה להגיע מבחוץ. תפיסת העבודה של כל מי שעוסק בתחום היא שאם גורם רוצה להגיע למידע שנמצא באיזשהו מאגר והוא משקיע את כל המשאבים שהוא רוצה להשקיע, ככל הנראה הוא גם יצליח להגיע אליהם. זאת תפיסת העבודה. אני לא חושב שיש מישהו בכל מקום בעולם שאומר שיש איזשהו מאגר מידע שהוא בלתי ניתן לחדירה ובלתי ניתן לדליפה. לא שמעתי אף איש סייבר אבטחת מידע ופרטיות שאומר כזה דבר באף מקום בעולם בשנים האחרונות, ולא בכדי זה לא נאמר, משום שהעובדה היא שזה באמת נושא של ניהול סיכונים.

אנחנו קוראים כל יום בעיתונים, רואים בטלוויזיה, דברים שהיו אמורים להיות הכי חסויים. חקירות. אתה רואה ניירות שלמים, כל מה שנעשה שם, השאלות והתשובות. יכול להיות שהכול פיקציה והכול לא נכון, אבל קשה לי לדמיין. אתה רואה שזה דולף ודולף, כל השיחות, כל השאלות, כל התשובות. גם דולף מה יקרה. כבר מודיעים לך מראש מה יקרה מחר. אתה רואה כאן דליפה אדירה, זרם אדיר, מהמקומות הכי הכי. אתה גם שואל את עצמך: האם יכול להיות שיש מישהו מתוך המערכת שמדליף? יכול להיות שיש מערכות שיודעות איך להיכנס ולהוציא את כל האינפורמציה הזאת. נניח שאין מישהו שמדליף. פעם הלכתי ליועץ המשפטי והוא אמר: אצלנו אין הדלפה. הלכתי לפרקליטות, אמרו: אצלנו אין הדלפה. ישבתי עם המשטרה, אמרו: אצלנו אין כזה דבר הדלפה. בכל אופן כל יום כולנו רואים. אז או שיש כן, או שיכול להיות שבאמת כולם צודקים, אין אצלם, אבל יש מישהו שבקלות יודע לפרוץ. היום התקשורת היא הצרכנית הכי גדולה, ואתה רואה שיש לה עכשיו תעסוקה. אני לא רוצה להגיד את זה בקול, אבל יכול להיות שמישהו מבחוץ יודע איך להוציא את הדברים. אנחנו רואים בעינינו את הדוגמה הזאת, אבל זה יכול להיות בהרבה דברים אחרים. זה מדהים.

כמומחים למאגרי מידע אישי ולהגנה על מידע אישי, אני חוזר על מה שאמרתי קודם, אין מאגר חסין מדליפה ואין ארגון שאין בו אנשים שיכולים לעשות שימוש לרעה במידע אישי שהם נחשפים אליו. לכן בין היתר אנחנו מדברים וחוזרים ואומרים, שכאשר מקימים מאגר מידע, צריך לחשוב היטב האם המאגר נדרש, האם כל המידע שנמצא שם נדרש, האם הוא נשמר מעבר לזמן שצריך לשמור אותו, ואם לא אז איך אנחנו דואגים שלא יישמר מידע, מתוך תפיסת העבודה והנחת העבודה שאין עליה עוררין בפני אף גורם מקצועי עולמי, שכל מאגר מידע וכל מידע בסופו של דבר אינו חסין מדליפה. זה אפרופו כל מאגר מידע שאדוני דיבר עליו קודם לכן.

התועלת מול הנזק. דווקא אתם מי שאמורים על התכנון ועל ההתפתחות. אבל במאזן שקיים בין התועלת שיש במאגר, ככל שהמאגרים מתחדשים ומשתכללים, לבין הנזק שזה גורם ויכול לגרום. יכול להיות שצריכים לחזור אחורה, יכול להיות שהנזק הוא גדול יותר מהתועלת, אז התועלת קוסמת, אבל הנזק הוא הרבה יותר. יכול להיות ששווה ללכת אחורה כמה צעדים ולרדת מהכול, וההפך, לאסור מאגרים ולא לאפשר מאגרים, עם הנזקים שיכולים להיות בדבר. אבל מצד שני, לחסוך את הנזקים האחרים.

אני חושב שאנחנו מציעים דווקא ללכת קדימה. ללכת קדימה זה אומר לא להימנע מלאגור נתונים שצריך לאגור כדי לעשות בהם שימושים חיוביים אלא לדאוג שנאגור ונעשה שימוש רק במידע שבאמת נדרש לעשות בו שימוש חיובי וטוב.

אני לא יודע אם אתם מכירים את השיר של הפרטיזנים. ההמנון שלו הוא "הצועד אדם קדימה, או לג'ונגל הוא חוזר". אנחנו מדברים על לצעוד קדימה, אבל השאלה היא אם זו באמת צעידה קדימה. נכון שאמרו את זה על גרמניה, שמצד אחד הייתה שיא של ההתפתחות הטכנולוגית, אבל זה החזיר אותם לג'ונגל. השאלה אם פה אנחנו לא צועדים קדימה אבל חוזרים לג'ונגל.

אני חושב שאנחנו קצת בדיון פילוסופי, אבל אלה החיים. אנחנו עוסקים בחיים של כולנו. בהקשר הזה אני לא חושב שצריך להיבהל מטכנולוגיה. צריך לזכור דבר אחד פשוט, אין לה זכות קיום בפני עצמה. הטכנולוגיה והקדמה הן כדי שאנחנו נתקדם, כדי שהחיים שלנו יהיו באיכות גבוהה יותר ושנהנה משירותים טובים יותר, בריאות טובה יותר, ביטחון טוב יותר. הטכנולוגיה היא לא ערך בפני עצמו, ואת זה לפעמים קצת שוכחים. אני רק אומר, דווקא כרשות שעוסקת בטכנולוגיה ומאוד פרו-טכנולוגיה, אנחנו לא טכנופובים ולא נגד טכנולוגיה, הדרך הנכונה לעשות שימוש בטכנולוגיה מתקדמת היא לדעת מה האמצעים שיש להפעיל כדי שהשימושים בה יהיו נכונים, שהמבנה יהיה נכון. דרך אגב, זה חלק מהעבודה שלנו וחלק מהפעילות שלנו. אנחנו נדבר תכף בכמה מילים על העניין הזה. כאשר מוקם מאגר מידע חדש, אנחנו עושים כל מה שאנחנו יכולים לעשות כדי שהוא ייבנה נכון, כדי שיישמר בו רק המידע שצריך להישמר, כדי שהוא יהיה מעוצב לפרטיות כבר בבנייה שלו ולא ייבנה לא נכון ולאחר מכן אנחנו נצטער על דליפה או דברים אחרים. אבל אם אדוני רוצה דוגמה למשהו שאדוני שאל בתחילת הדיון, למשל המאגר הביומטרי שהוקם. בסופו של דבר ההמלצה שלנו, וההמלצה של ועדת הפיקוח על תקופת המבחן הייתה שהמאגר יוקם רק עם תמונת פנים וללא טביעת אצבע. בסופו של דבר ההמלצות שלנו לא התקבלו, לא המלצת הוועדה המפקחת ולא ההמלצה של הרשות להגנת הפרטיות.

קיבלו חצי. אדם יכול להחליט בעצמו. החוק מחייב רק תמונת פנים, אבל אדם יכול להחליט. נתנו לו רק תמריצים, שאם יחליט כך, זה יהיה לחמש שנים ולא לעשר שנים.

אתה מבין שהוא יחליט לתת טביעת אצבע, וזאת דוגמה לייצור לא נכון של טכנולוגיה ואולי שימוש יתר במשהו שלא היה צריך לעשות בו שימוש. משום שאם אנשי מקצוע הגיעו למסקנה, כולל אנחנו, שניתן להגיע לתוצאה הרצויה והיא הימנעות מרכישת זהות כפולה על-ידי אנשים בישראל רק באמצעות שימוש בתמונת פנים, זה הפתרון שהיה צריך לבחור בו. אז הנה דוגמה למקום שבו אפשר להקים מאגר, אבל צריך לבנות אותו יותר נכון. יש מאגרים שאנחנו חושבים שהתוצאות בבנייה שלהם הן יותר נכונות, יש מאגרים שהתוצאות בבנייה שלהם או בחקיקה שמקימה אותם הן פחות נכונות.

בחוק של הביומטרי, מה שדחף חלק מאתנו בסוף כן להסכים הוא שאתה רואה שפה אנחנו מקפידים מאוד מאוד ומביאים את המומחים, ומצד שני כל אדם הולך לקופת חולים ושם טביעת אצבע. בארצות הברית יש להם מיליון וחצי טביעות אצבע של אזרחי ישראל. אין אזרח שלא היה שם, ושם יש את כל טביעות האצבע. כלומר, מצד אחד אנחנו כאן מקפידים, ומצד שני כל מי שמתגייס לצבא משאיר טביעת אצבע. כמה השמירה על זה, אנחנו לא יודעים. אז אתה רואה שמצד אחד אני רוצה פה להקפיד מאוד, כמו שאתה אומר, אבל מצד שני בדברים שאין לי שליטה עליהם ואני לא יודע שהם כל כך באבטחה, שם כולם שמים טביעות אצבע וכדומה. תמונה זה לא חכמה, היום כמעט כל אחד שיש לו ווטסאפ יש לו שם תמונה. אתה נע בין כל מיני דברים, שאתה מקפיד פה אבל שם יש ושם אתה לא מקפיד, אז מה התועלת להקפיד פה כששם זה הולך בכזאת זילות וקלות? אלה חלק מהדברים שמלווים אותנו כל הזמן. אם היית יודע שבכל המקומות במקום שיש טביעת אצבע יש שמירה הדוקה, אז יכול להיות שהייתי אומר כמוך. פשוט ליבי עליכם.

אם אני אסכם את זה, צריך למזער את הסיכונים למינימום הנדרש. זה שיש עוד מקומות שצריך בהם לטפל, זה נכון. יש מקומות שאין לנו שליטה, כי זה בחו"ל או מטופל על-ידי גורם שאין לנו יכולת להכתיב לו מה לעשות. אני מציע שמדינת ישראל תעשה את הכי טוב שהיא יודעת בעצמה קודם כל, ובדברים האחרים יש כלים אחרים לטיפול. הכלים הם אמנות בין-לאומיות, יחסים בין מדינות. אין מחלוקת שהרבה מידע נאגר על כולנו בכל מקום בעולם, בכל רגע נתון, וזה נתון שאנחנו לוקחים אותו בחשבון כמובן. אבל זו לא סיבה להפחית את השמירה על המידע האישי בתוך ישראל ובמאגרים, בוודאי אלה שהממשלה מקימה.

כמה מקרים של גניבת זהות יש בשנה?

אנחנו לא עוסקים בגניבות זהות. אלה נתונים שכדאי לשאול עליהם את המשטרה.

האם זו תופעה?

כשהיו דיונים בזמנו, דובר על זה שכל כך קל לזייף תעודת זהות ישראלית, שלא צריך לגנוב זהות, פשוט מזייפים תעודת זהות. לכן לא היו נתונים משמעותיים על גניבות זהות, כי לא בטוח שבכלל נחקרו גניבות זהות. אבל אני לא חושב שזה הנושא. כשאנחנו מדברים על הקמה של מאגר, אנחנו רוצים להגיד: בואו נבנה את זה הכי מאוזן והכי מינימלי שצריך כדי לממש את המטרה החשובה שלשמה הוקם המאגר.

יש לעתים יחסי גומלין בין מדינות שמשתפות במאגרים ובאינפורמציה מתוך מאגרים? בטח באינטרפול וכדומה.

בוודאי שכן.

האם מעבירים את הנתונים הגולמיים?

אלה שאלות יותר לגורמי אכיפת החוק, משטרה ושירותי ביטחון. זה לא תחום שאנחנו עוסקים בו ביום-יום.

יש כל כך הרבה חוקים שאני מגיע לשאלה הזאת, וזה משליך אם לקדם את החוק הזה או לא.

אתן סקירה על הפעילות בשנת 2016. כפי שאתם רואים מולכם, בשנה הזאת סיימנו טיפול ב-68 תיקי אכיפה שכללו טיפול במידע אישי, מידע רפואי, מידע כלכלי, טיפלנו באבטחת מידע, טיפלנו הרבה בקטינים, בשימושים מסחריים במידע. בשנה הזאת הגיעו אלינו 2,326 פניות ציבור בתחומים שונים. דיברנו על הרישום והעדכון. טיפלנו ב-3,377 בקשות רישום ועדכון. דרך אגב, המספר הזה הוא מספר יחסית גבוה, משום שבשנת 2016 אנחנו ביצענו בתוך התהליך גם חיסול פיגורים של בקשות שהיו תלויות ועומדות אצלנו תקופה ארוכה. לכן בעניין הזה זה נראה כאילו יש גידול בטיפול בנושא הרישום, אבל זה לא נכון.

תוכל לפרט מה אתם בדיוק עושים?

כשמישהו מקים מאגר מידע, הוא צריך להגיש בקשה לרישום. הוא צריך לומר איזה מאגר מידע הוא מקים, מה השימושים לו, איזו אבטחה הוא יעשה לו וכיו"ב. חלק מהדברים זה שבמאגרים קיימים מבצעים עדכונים, גם במי מחריג, גם בשימושים, גם במבנה של המאגרים, ואנחנו מנהלים בדיקה שמאפשרת לציבור לדעת אילו מאגרי מידע פתוחים יש עליו. כפי שאמרתי קודם לכן, זה לא ממצה את המאגרים שיש במשק.

אתה יכול לתת לנו הגדרה מה זה מאגר?

החוק מגדיר מה זה מאגר מידע. אנחנו מדברים על זה שצריך להסתכל קדימה בכל המובנים, כפי שציינתי קודם. גם במובן הזה אנחנו מציעים להסתכל קדימה בנושא הרישום וגם לבצע רביזיה בנושא הרישום בחוק הגנת הפרטיות, משום שהוא לא תואם את המצב בתקופה שבה אנחנו חיים.

ייצגנו את הערך של פרטיות וסייענו לבנייה יותר נכונה של מאגרי מידע משמעותיים ב-14 פרויקטים לאומיים שעסקו בהקמה של מאגר מידע או בניהול של מידע אישי, כדי שהם יהיו בנויים יותר נכון.

מה לדוגמה?

נתונים על שימוש בתחבורה, נתונים של משרד הבריאות, המאגר הביומטרי, מאגר נתוני אשראי. אנחנו מדברים על פרויקטים בסדרי הגודל האלה כדי שייבנו נכון מלכתחילה, או אם נבנו ללא סיוע שלנו בתחילת הדרך, כדי לתקן במהלך הדרך.

הרשות להלבנת הון, המשטרה, רישום פלילי, כל זה גם בתוך המסגרת שלכם?

באופן עקרוני כן. לא בתקופה של 2016, שם לא טיפלנו באחד מהדברים האלה. אבל בוודאי שכל מי שמחזיק מאגר מידע אישי על אזרחי ישראל.

עכשיו אנחנו מגבילים ומאפשרים להם כל פעם עוד חוק שמאפשר להם עוד קשר בין הרשות הזאת לרשות הזאת, בין הלבנת הון לרשות המיסים. אנחנו עושים לעוד כל מיני גופים. כלומר, זה הולך ומתרחב, והשאלה היא אם אתם שם בתוך הדבר הזה.

זה לא ליבת עיסוקנו, אבל כן אנצל את השאלה כדי להגיד את עמדתנו העקרונית לגבי כל דבר, לא רק לגבי המאגרים מהסוג הזה. שוב אנחנו חוזרים למקום שבו אנחנו אומרים: ברגע שיש מידע אישי, אז יהיה מי שירצה לעשות בו שימוש, בין חוקי ובין לא חוקי. לכן אנחנו אומרים שעמדתנו העקרונית, וזה מה שאנחנו רוצים להנחיל, היא שיהיה שמור מידע אישי רק במינימום הנדרש לצורך קידום אינטרסים חיוניים של הציבור ולא מעבר לזה. בכל הדברים מהסוג הזה יש מדרון חלקלק. ברגע שעובר חוק, קובעים שימוש מסוים למידע האישי שנאגר, עוברת שנה, עוברות שנתיים, אנשים יודעים שיש המידע הזה ורוצים לעשות בו שימושים אחרים. לפעמים נכונים, הרבה פעמים פחות נכונים. בהקשר הזה, כאשר אנחנו מלווים תהליכי חקיקה כאלה אנחנו מעירים את הערותינו, וגם כשאנחנו מנהלים את הפעילות של הפיקוח על המאגרים תמיד עומד מולנו הצורך להסביר: כאשר המידע לא חיוני, אל תאגור אותו, אל תשמור אותו, תמחק אותו. וכאשר הוא חשוב וחיוני, תעשה בו שימוש נכון וראוי.

האם יש גוף שמוחק?

בוודאי. יש גופים שמוחקים.

גם מה שמוחקים, זה על פי חוק, אבל הם לא מוחקים באמת. במאגרים האחרים שלהם זה נמצא כל הזמן.

יש מחיקה סטטוטורית של אי יכולת לעשות שימוש, ולזה אדוני אולי מתכוון. אבל יש גם מחיקה לגמרי אמיתית שמתבצעת בכל מיני מאגרים. דרך אגב, אחד מהדברים שאנחנו מנסים לקדם, כמובן, זה בדיוק לוודא שכאשר יש מידע שלא נדרש לשמור אותו יותר או שאסור לשמור אותו יותר, הוא יימחק באופן מוחלט. יש מקומות שהחוק מאפשר כמובן לשמור את המידע רק לא להציג אותו. זאת סוגיה אחרת. אנחנו מטפלים בהיבט של המחיקה האמיתית כמובן.

הגברנו בשנת 2016 את הפעילות לקידום המודעות לזכות הזאת. אנחנו חושבים שתנאי ראשון למימושה הוא זה שאנשים יהיו מודעים לזכות הזאת, לצורך להגן עליה, והיכולת שלהם לדרוש מגורמים שמחזיקים מידע עליהם לעשות בו שימוש נכון וראוי. בהקשר הזה אנחנו מבצעים הרבה יותר פעולות של הדרכה, הרצאות בפני פורומים מקצועיים, בפורומים כלליים, בתי ספר וכל מקום שבו אנחנו חושבים שאפשר להציף את העניין ולדאוג שהנושא יקבל את המקום ואת הכבוד המגיע לו והנכון לחיים שכאלה.

אצביע על כמה הישגים מרכזיים שמפורטים בדוח בצורה יותר משמעותית. על תקנות אבטחת מידע דיברתי קודם לכן. בשנת 2016 קודמו משמעותית, ובשנת 2017 הם עברו. ההטמעה והכניסה שלהם לתוקף תהיה בשנת 2018. זה אירוע מאוד מאוד משמעותי באזור המידע האישי במדינה כולה. זה לא אירוע לחובבי אבטחת מידע, זה לא אירוע לטכנולוגים, זה אירוע מאוד משמעותי שאמור לקדם מאוד את השמירה על מידע אישי. תקנות הגנת הפרטיות, אבטחת מידע, עוסקות בכל ניהול המידע האישי, מייצרות גם סטנדרט נכון ותואם לסטנדרט הבין-לאומי, וגם מייצרות כלים חדשים, כמו למשל חובת הדיווח על אירוע אבטחת מידע חמור שמתרחש במאגרי מידע ואמור להיות מדווח לרשות הגנת הפרטיות כדי שנדע על קיומו ונדע להבין כיצד הוא נגרם ואיך ניתן למנוע גם נזק מאותה דליפה וגם נזקים אחרים מדליפות שעוד לא התממשו.

דיברתי על הנחיות השוק ויצירת הסטנדרטים הברורים לאכיפה שלנו כדי שכל מי שרוצה לממש ולקיים את החוק יעשה את זה בצורה משמעותית. על השינוי האסטרטגי הרחבתי. אומר רק בכמה מילים, אנחנו מקבלים רוח גבית משמעותית מאוד ממשרד המשפטים. ב-2016 עשינו קפיצת דרך משמעותית. ב-2017 היא המשיכה, גם בהגדלת תקציב הרשות, גם בהגדלת ההון האנושי ברשות וגם ביכולת ההעצמה של הפעלת הסמכויות שלנו באמצעים טכנולוגיים ואחרים. בהקשר הזה, ב-2017 המגמה נמשכת, אני מקווה שהיא תמשיך גם בשנים הקרובות.

דבר אחרון בהקשר הזה, בדוח מפורטים מקרים. ב-2016 נתנו דגש, וזה המשיך גם בשנה הנוכחית, על אכיפת המקומות שבהם המידע הוא המידע הרגיש ביותר והאוכלוסיות שלגביהן נעשית הפגיעה במידע האישי, הן אוכלוסיות שקשה להן להגן על עצמן. אז התמקדנו בנושא האכיפה, גם המנהלית וגם הפלילית, באזורים של מידע רפואי, באזורים של שימוש לרעה במידע אישי על אוכלוסיות כמו קטינים או קשישים או חולים. היו לנו בתחום הזה בשנה הזאת הצלחות גדולות גם בחשיפה של אירועים קשים וחמורים וגם בהעלאת מודעות בקרב הרגולטורים האחרים שעובדים בתחום הזה על הצורך לחזק את השימוש בדבר הזה. אם אני מסתכל על סוף 2017 ותחילת 2018, קפיצת המדרגה הבאה תהיה במה שציינתי קודם לכן, בשיתופי פעולה בין רגולטורים, אם עוד רגולטורים שעוסקים בתחום. יש נושאים שבהם רק שילוב בין כל הרגולטורים שעוסקים בתחום יכול להביא למיגור של תופעות מאוד מאוד חמורות, שהבולטות בהן זה שימוש לרעה וניצול חולשה של אוכלוסיות שלא מבינות לפעמים גם איזה שימוש נעשה במידע עליהם וגם מה נעשה להם ברמה של פגיעה צרכנית, פגיעה כלכלית, ניצול ועוד.

כמה מילים על התוכנית ועיקריה לשנה הזאת והשנה הבאה. אנחנו עסקנו בהקמת תשתית למערך פיקוח שידע לגעת ביותר גופים וביותר תחומים, מעבר לתיקים ספציפיים כאלה ואחרים. בסוף השנה הזאת נעבור להפעלה מלאה של המערך הזה, שאמור גם לתת לנו מגע יותר משמעותי עם המשק. אנחנו נמשיך לעשות את הפעולות של העלאת מודעות ציבורית ואחרת לזכות הזאת ולהגנה על מידע אישי. אני מקווה שנצליח מעבר ליישום תקנות אבטחת מידע, להביא גם לפריצת דרך בנושא תיקוני החקיקה שעליהם דיברתי קודם לכן. החוק הישראלי, אני חוזר ומדגיש, הוא מיושן. הוא צריך לעבור רביזיה משמעותית, ואנחנו חושבים שהדרך הנכונה היא לעשות אותו בתיקונים קטנים ונקודתיים במקומות שבהם אנחנו מזהים חוסר התאמה מוחלט בין הדין הישראלי לבין הדין הבין-לאומי, במובן הזה הסטנדרט הבין-לאומי. הוא לגבי תופעות שהחוק מקשה עלינו להתמודד איתן, בין ביכולת האיתור שלהן, בין ביכולת האכיפה מולה ובין ביכולת ההענשה המודרנית כאשר מתגלות הפרות חמורות של הדין.

למה אתם לא הולכים על חוק אחד שירכז את הכול, במקום לעשות כל פעם חוקים קטנים? תמיד אנחנו משתדלים פה לעשות חוק אחד ולרכז את הכול, ולא כל פעם עוד משהו קטן ומלחמת עולם על עוד משהו. אם פה רוצים מלחמה, ללכת על הכול. אם זה אפשרי.

אומר על זה שתי מילים, ואולי נציגת הייעוץ המשפטי לממשלה תגיד על זה עוד כמה מילים. אני חושב שהפערים שיש בחקיקה הישראלית לבין המקובל במדינות המתקדמות, יהיה קשה מאוד לעשות אותם בתיקון אחד. אם ננסה לעשות חוק חדש אחד ולהעביר אותו לכנסת אחרי שהוא יושלם, זה יכול לקחת הרבה מאוד שנים. דיברנו קודם לכן על המהירות העצומה שבה השינויים מתחוללים, גם בחקיקה הבין-לאומית וגם בכלל במימושים הטכנולוגיים של מידע אישי, שמירה עליו ושימושים בו. אני חושב שהדרך הנכונה היא לעשות תיקונים נקודתיים, שיודעים להתמודד באופן חצי ניטראלי עם הקדמה הטכנולוגית, ולא לנסות לעשות משהו אחד שעד שנשלים את הדיונים בו הוא כבר יהיה בעצמו אולי לא רלוונטי, או שנאחר את הרכבת.

עוד נקודה שכדאי שאדוני יהיה מודע אליה. אנחנו נמצאים כבר כיום בבחינה בין-לאומית של מעמדה של ישראל כתואמת הסטנדרט האירופאי, שהוא הסטנדרט המוביל והקובע בעולם ברמה של הגנת מידע אישי. מכיוון שאנחנו נמצאים בתוך התהליך הזה, מכיוון שבתהליך הזה ההיבטים החקיקתיים הם מאוד משמעותיים, אני חושב שזה יהיה מאוד נכון שאנחנו נתקן את כל הדברים שניתן לתקן מהר, לפני שנעשה את הרביזיה המוחלטת בחקיקה אחת חדשה, מודרנית, מתקדמת ואחידה. אני לא חושב שצפויה להיות מלחמה על הדברים האלה. אני חושב שאלה דברים שהם בקונצנזוס.

מה מעכב אתכם? למה אנחנו בפיגור? רוצו קדימה. אם אתה אומר שזה כך, ובאופן סביר כל אדם, לפחות בכנסת, רוצה לשמור על הפרטיות של אזרחי המדינה.

אני מביע את תקוותי שבאמת נעבור מהליכה לריצה בשנה הקרובה, כי אני חושב שזה דבר נדרש לנו כמדינה.

אתם מחוקקים את זה או משרד המשפטים?

מי שמוביל את החקיקה זה הייעוץ המשפטי לממשלה. אנחנו כמובן יוזמים, מעלים הצעות ועובדים איתם בשיתוף פעולה מלא על הדברים שצריך לתקן.

זאת תהיה טעות אם אני אומר שאתם צריכים להחזיק מכסת אנשים שנמצאים בטופ שבטופ שמבינים בנושא ויודעים איך להתגבר על כל המומחים האחרים שנמצאים? זה יהיה מוטעה?

זה לא יהיה מוטעה. אם יורשה לי לטפוח לעצמנו על השכם, אני חושב שאנחנו מחזיקים קבוצת מומחים מאוד משמעותית במשרד המשפטים וברשות להגנת הפרטיות לנושא הזה. אני לא חושב שהבעיה כרגע היא מומחיות. אני חושב שמומחיות והבנה יש, וכן לאן צריך ללכת. נותרנו עם הפרוצדורות. הפרוצדורות של חקיקה הן כרגיל מורכבות, הן לא פרוצדורות קלות. אני לא חושב שהבעיה היא מה לתקן, אני חושב שהבעיה עכשיו היא איך להגיע כמה שיותר מהר לתיקונים הנדרשים.

לוקחים את הסטנדרט שיש בחקיקה האירופאית ומאמצים מתוכו לחוק הישראלי?

בדיוק.

אז זה יותר קל. הם כבר עשו כבר כברת דרך מאוד ארוכה, אז כמובן אנחנו מאוד אוהבים להמציא את הגלגל, אבל לא תמיד צריך לעשות את זה. מאחר שציינת שהאירופאיים מאוד מתקדמים בחקיקה, ובאמת שם יש הגנה על הפרטיות בצורה לפעמים אובססיבית שפוגעת בביטחון, אז יש לנו מה ללמוד מהם. אז הבה ונלמד. נחסוך זמן, משאבים.

יש לנו מה ללמוד מהם, אנחנו לומדים מהם. אני שוב אומר, אני לא חושב שאנחנו נמצאים כרגע במצב שבו אנחנו לא יודעים מה צריך לתקן. אנחנו רק נמצאים במצב שבו כולם צריכים לרכז מאמץ בהקשר הזה כדי שנעשה את ההתאמות הנדרשות כמה שיותר מהר, ויפה שעה אחת קודם.

כמה זמן זה אמור לקחת?

אם יורשה לי להוסיף משהו מהכיוון שלנו. אני מייעוץ וחקיקה במשרד המשפטים. קודם כל, במילה, אנחנו מאוד מברכים על הישיבה הזאת ועל האפשרות ליצור חלון של הצצה לפעילות השוטפת, גם של רשם ההגנה על מידע וגם של המועצה להגנת הפרטיות. אנחנו עובדים עם כולם בקשר יום-יומי. אז אנחנו מאוד שמחים ומברכים על זה.

מילה לגבי הנושא של תיקוני החקיקה. אני חושבת שמה שמשותף לכל מי שיושב פה מסביב לשולחן זה הרצון והמודעות לזה שיש צורך לקדם תחומי חקיקה בתחום הגנת הפרטיות. אנחנו פועלים בכיוון. אם יורשה לי לחלק בין שני סוגים של תיקונים, סוג אחד נוגע לנושא שראש הרשות דיבר עליו, זה הנושא של הפעילות של הרשות עם הידיים אולי לא קשורות מאחורי הגב, אבל לא עם מלוא סל הכלים שיש היום לרגולטורים אחרים, כלים עדכניים. בתחום הזה אנחנו מאוד מבינים, מסכימים ומנסים לקדם. הצעת חוק הגנת הפרטיות עוסקת בסמכויות אכיפה של הרשם. היא הוגשה פעמיים לוועדה. לצערנו היא לא קודמה. בימים האלה היא מונחת על שולחן השרה, ואנחנו מקווים מאוד שכאשר היא תוגש לוועדה בפעם השלישית אז היא אכן תקודם ולרשם יינתנו הכלים שמאוד יסייעו לו לקדם את ההגנה על הזכות לפרטיות של אזרחי ישראל. אלה כלים שאם אין אותם בחקיקה, אז אין אותם.

לגבי הנושא של התיקונים המהותיים, זה ברור לכולנו. יש סטנדרטים שמתקדמים, הטכנולוגיה מתקדמת, החברה מתפתחת והדברים האלה צריכים לקבל מענה יותר קונקרטי בחוק. חשוב לי להגיד את האידך גיסא. חוק הגנת הפרטיות בישראל הוא חוק קיים. זה נכון שבאופן מפורט הוא לא מתייחס לשאלות הכי עדכניות, אבל היום הדרך שבה מדינת ישראל מתמודדת עם זה היא בדרך של פרשנות. זה לא שאין הגנה על פרטיות, זה לא שאין סטנדרט במדינת ישראל. אנחנו מתמודדים עם השאלות החדשות בדרך של פרשנות העקרונות. בסוף אנשים הם אנשים, ונכון שהטכנולוגיה אכן מתפתחת.

לגבי הסטנדרט האירופי, הוא כמובן מבחינתנו בנצ'מרק מאוד מאוד חשוב. אנחנו משתדלים למצוא, כמו בכל הקשר, גם שם את האיזון. אי אפשר לעשות העתק-הדבק בחקיקה. יש בסוף מערכות שהן שונות, מערכות דינים אחרות.

לא דיברנו על העתק-הדבק. אי אפשר בשום דבר לעשות העתק-הדבק.

נכון. כמו שגברתי אמרה, זה בהחלט בנצ'מרק חשוב. אנחנו מאוד מאוד מסתכלים עליו, ואנחנו כבר התחלנו את ההכנות בעולם הזה של תיקון מהותי של החוק. אם יורשה לי אחר כך להוסיף עוד, אני אוסיף. אבל זאת רק הערה בהקשר הזה.

אני כל פעם מדבר על הדור הבא. אולי נעשה את זה באחד מהדיונים שבהם נדבר על תיקון חוק הגנת הפרטיות. אולי נדבר על הסטנדרטים ועל הדור הבא של הגנת הפרטיות. אני רוצה להודות ליושב-ראש הוועדה ולאפשר למועצה לומר את דברה. תודה.

אנחנו שמחים להיות פה היום. כמה מילים על המועצה. המועצה להגנת הפרטיות מורכבת מנציגים גם מהאקדמיה, גם מעולם המשפט, גם מהמגזר הפרטי. יש לנו גם נציג מדינה מייעוץ וחקיקה, משרד המשפטים. המינוי הוא מינוי של שר המשפטים, והתפקיד הסטטוטורי היחיד שרשום בדברי החקיקה זה הגשה של הדוח של מה שהיה רמו"ט, היום זה נקרא הרשות להגנת הפרטיות. אנחנו רואים חשיבות רבה לתהליך של ההגשה של הדוח, כי הוא מפנה את הזרקור לכל נושא הגנת הפרטיות. אנחנו חיים איתו יום-יום, כמו שאדוני אמר, אבל זאת נישה מאוד מקצועית ופרטנית, וקשה להיכנס אליה בבת אחת. אבל צריך לתת לה את המטרייה שמאפשרת לה לפעול, כי אחרת אנחנו חשופים לגמרי. גם כך אנחנו נפגעים כל הזמן, אבל זה העולם המודרני. אני לא ממש רואה, כמו שאדוני אמר, אפשרות לחזור אחורה. אולי היינו רוצים, אבל זו יותר משאלת לב מאשר אפשרות פרקטית. כיוון שכך, אנחנו צריכים למצוא את שביל הזהב ולהתקדם עם העולם תוך כדי הגנה מקסימאלית אפשרית. בשביל לבצע את זה אנחנו באמת צריכים גם את דברי החקיקה המתאימים והסמכויות המתאימות, וגם את הגוף הציבורי המתאים, שזה בהקשר הזה הרשות, לכמה מטרות. אחת מהן היא לבצע את האכיפה, שכולם יעשו מה שצריך לעשות. אבל מעבר לזה, גם להגדיל את המודעות והחינוך של הציבור, כי הדור הצעיר שצומח כאן לא רואה את הדברים עין בעין בענייני הגנת הפרטיות הקלאסית, וגם לא בענייני הגנת הפרטיות בתחום האינטרנט והתחומים האחרים שאנחנו מכירים, כמו שאנחנו ראינו. איכשהו יהיה צריך למצוא את הדרך לשמר ערכים בעלי חשיבות ולוותר בנקודות שבהן העולם השתנה בלי שנערכנו לזה.

הדוח הזה כולל, כמו שאלון הציג, את השינויים המבניים שאנחנו מברכים עליהם, מכיוון שהם אלה שיאפשרו לרשות לעבוד. ההנחיות שהרשות מפרסמת מעת לעת לכל הציבור הן הנחיות שמאוד עוזרות לכל הגופים הפרטיים וגם הציבוריים כדי להתיישר עם הצרכים של ההגנה על המאגרים, על החקיקה. אין מנוס, צריך להתאים את החקיקה למציאות באיזשהו אופן. ולמרות שהתחום הזה רץ קדימה והחקיקה תמיד מדדה מאחור, בתחום הזה נוצר פער גדול מאוד שלא היה צריך לקרות. אבל כיוון שאנחנו כבר פה, אנחנו צריכים לעשות את המקסימום כדי להזדרז. אני יודעת שבמשרד המשפטים עושים את המקסימום, אני מקווה שזה יגיע לשולחן הזה מהר ככל הניתן.

גם לגבי הסטנדרטים הבין-לאומיים, אני חושבת שבתחום הזה אנחנו מאוד מתקדמים, לפחות בהבנה ובידיעה וגם בפרקטיקה של הטכנולוגיה. מה שחסר זה הממשק של השמירה על הפרטיות בתוך זה.

בנושא האכיפה רציתי להבהיר דבר קטן. החוק המקורי מאפשר אכיפה, אבל הכלים שלו הם מאוד כבדים. זה כלי העולם של המשפט הפלילי בעיקר. היום מקובל, וגם בתחומי משפט אחרים, להתייחס יותר לסמכויות בתחום המנהלי. הסמכויות האלה הן יותר חשובות לדעתי, או יותר פרקטיות בהקשר הזה, לא למקרים הגסים והקשים ביותר שאיתם מתמודדים, אלא דווקא יותר לחיי היום-יום של החברות. התיקון שעל הפרק הוא תיקון שאמור לאפשר את הדבר הזה. יש לנו גם כלים אזרחיים שאנחנו פחות משתמשים בהם כרגע. אנחנו, אני מתכוונת לציבור, לאזרחים של עולם המשפט האזרחי, כמו תובענות ייצוגיות ודברים מהסוג הזה, שיכול להיות שככל שהם יתחזקו ויתגברו אז אפשר יהיה לשמור את הגנת הפרטיות יותר בין הקווים של הנורמה. כמובן שהסכנות של גניבת מידע ושל מעשים פליליים קיימים תמיד בכל תחום, ואפשר לצמצם אותם, אפשר להגן עליהם. אבל למנוע מניעה מלאה אי אפשר.

מילה אחת על המועצה. אתם מתמנים על-ידי שר המשפטים לכמה זמן? כמה פעמים אתם יושבים? איך המערכת?

בתמצית, אנחנו ממונים איש-איש מתחומו, אני לא זוכרת אם לשלוש שנים או לארבע שנים. אנחנו מקיימים ישיבות פרונטליות בערך פעם בחודש. יש לנו סביב 10 חברים, מפעם לפעם מצטרפים וגם יוצאים חברים. הקשר שלנו עם משרד המשפטים, עם דברי החקיקה שמועלים, עם הרשות, הוא הרבה יותר תדיר. הוא כמעט יום-יומי. רוב הנושאים שמקודמים מובאים לידיעתנו. מבקשים את דעתנו ואנחנו משתדלים להיות פעילים לפחות בכל העניינים היותר מהותיים. בוודאי למשל בענייני המאגר הביומטרי שאדוני הזכיר, חוק נתוני אשראי של כל המידע הכלכלי, המאגר שהוקם.

דרך אגב, בזה אני יכול להיות רגוע לגבי נתוני האשראי האלו?

אם אני אגיד לאדוני שהוא יכול להיות רגוע, הוא יהיה רגוע?

לא.

כמו שאמרנו, אל תהיה רגוע לגבי אף מאגר.

אני מניח שבחוק הביומטרי אתם שמתם כי היה על זה דיון וכו'. גם על הנושא הזה?

החוק הזה עבר ליווי מאוד משמעותי גם שלנו, והוא עדיין מלווה, וגם יהיה מפוקח על ידינו. נכנסו לתוך החוק והמאגר הרבה אמצעים כדי למזער את הסיכונים בקיומו. אבל שוב, שלא נהיה רגועים זו המלצה נכונה לגבי כל מאגר.

המאגר הביומטרי הוא באמת נושא רגיש מאוד, והוא נושא שהועלו הרבה שאלות, כמו שאלון אמר, לגבי עצם הצורך בקיומו של המאגר כמו שהוא. בסופו של דבר הפור נפל על זה שיהיה מאגר כזה, אבל עמדת המועצה לאורך כל הדרך, גם בזמן קודמיי בתפקיד, הייתה שאפשר למצוא פתרונות אחרים כדי להשיג את אותה תוצאה ללא קיומו של מאגר קבוע. דעתנו בסופו של דבר לא התקבלה, ועדיין החוק כמובן מציג הרבה מאוד חסמים והגנות ויש לו מבנה תיאורטי מאוד טוב. אבל כמו שאדוני אמר.

חשוב להגיד שהעקרונות האלה, לפחות בעולם של רשויות וחקיקה, העקרונות של ייצוג הפרטיות, בנייה מראש של המערכת כדי שהיא תיקח בחשבון את השיקולים, מזעור של כמות המידע למינימום ההכרחי, הם לא רק עקרונות נחמדים או יפים שהרשות מנסה לקדם, הם עקרונות חוקתיים. זה חלק מהתפקיד שלנו בייעוץ המשפטי לממשלה בליווי הרוחבי של כל הפעילות הממשלתית בתחום הזה, מה שמגיע לשולחננו והחקיקה, לנסות ולהטמיע את העקרונות האלה, כי מדובר במחויבות חוקתית להגנת הפרטיות והיא זכות יסוד.

לך כיושבת-ראש המועצה אין טענות על זה שאין לך קשר מספיק טוב עם משרד המשפטים או עם המערכת שעובדת עם אלון או אחרים?

לא, ההפך הוא הנכון. אנחנו עובדים בשיתוף פעולה ובשילוב, גם מיידעים אותנו וגם לעתים קרובות נותנים לנו את כל המידע הדרוש כדי שנקיים את הדיון. אנחנו מעבירים את דעתנו, אנחנו מתייחסים לפעמים לנקודות ספציפיות שהם אפילו מיוזמתם מבקשים שנתייחס אליהם.

אלון, אתם מסתפקים בכוח האדם שיש לכם? תמיד כל אחד רוצה יותר, אבל אתם מרגישים מחנק לאור כל מה שצריך להתפתח וכו'?

אתה מכיר רשות שמסתפקת בכוח האדם שיש לה?

אני יודע, אבל מאחר שלא העלית את זה.

אין ספק שהיינו שמחים להיות גדולים יותר, גם בהיקפי כוח אדם ותקציב. אבל אני חושב שלא בכדי שמתי את הדגש על נושא החקיקה, כי אני חושב שאם יש משהו שבולם את יכולתנו לעשות יותר דברים ובצורה יותר אפקטיבית, ולעשות אימפקט אמיתי על המשק במקומות שבהם אנחנו לא מצליחים להגיע, זה ההיבט של הסמכויות והחקיקה ופחות בהיבטי כוח אדם. שוב, כמובן שהיינו רוצים להיות יותר גדולים, כמובן שאני חושב שאנחנו גם צריכים להיות יותר גדולים, אבל אני לא חושב שזה הדבר המרכזי שהייתי יוצא אתו מהחדר הזה. אלא הייתי יוצא מהחדר הזה עם הצורך קודם כל להביא את הצד החקיקתי בישראל לסטנדרט המתקדם. כי יש פה בעצם פער. הרשות כרשות, המבנה שלה, המומחיות שלה, הפעילות שלה, אני מרשה לעצמי להגיד על עצמנו, אנחנו ברמה הגבוהה של רשויות הגנת הפרטיות ברמה הגלובאלית, ואני חושב שזה מוסכם בקרב אותן רשויות הגנת פרטיות שאנחנו בקשר ישיר איתן כל העת. בנושא החקיקה אנחנו במקום לא טוב ולא נכון, וזה הדבר הנכון כרגע לעסוק בו וזה הדבר הבוער לעסוק בו.

אני מתנצל שאנחנו צריכים לסיים ב-14:00 וכבר עברנו את השעה 14:00. למרות שאנחנו, אני מניח, רק בתחילת הדרך. שמענו את עיקרי הדברים, ויכול להיות שנעשה עוד ישיבה.

למה שפתחתי, אם אני יותר רגוע, אז מצד אחד אני שמח שיש הגופים שעוסקים בזה, וצרת רבים חצי נחמה, או נחמת טיפשים. גם זה נכון וגם זה נכון. זה שאתם גם מודאגים זה לא עוזר, אבל הדאגה שלכם היא לא דאגה של ייאוש, אלא דאגה שדוחפת אתכם להתקדם, אז זה כן מרגיע. אבל עדיין אני מאוד לא רגוע ואנחנו צריכים לעסוק בזה. אני אומר שוב, אתם תביאו את ההצעות שלכם לחקיקה כדי לאפשר לתת לכם יותר יכולות להרגיע אותנו, אתם תתעסקו גם בדברים האחרים, בטכנולוגיה של הדברים, וככל שאתם תתקדמו יותר אז אנחנו נהיה אולי יותר רגועים. אבל היום הולכים ומגדילים את המאגרים.

אפשר עוד כמה מילים?

את יכולה, אבל עברנו את זה. קחי עוד דקה, אבל כבר הפסיקו את השידור.

נקודה אחת שאנחנו רוצים להשיב עליה, לגבי התפשטות המידע עם גופים בין-לאומיים. פרופ' טל ז'רסקי מאוניברסיטת תל-אביב, שתי מילים בעניין הזה.

אני אתייחס בזריזות לחברות הרב-לאומיות שפועלות בישראל. גוגל ואפל, ששווי השוק שלה מעל 900 מיליארד דולר, אמזון, מייקרוסופט ופייסבוק שציינת. הרשות פועלת בעניין זה, ואני רוצה לעודד אותם להמשיך בפועלם ולעשות אפילו יותר, הן באמצעות הכלים שיש להם והן באמצעות כלים נוספים שאני מקווה שיהיה להם. אנחנו רואים שהעניין מעסיק פה את חברי הוועדה, אבל נוכח הנוכחות המעטה של חברי הכנסת אפשר לומר שהעניין הפוליטי עדיין לא מספק מספיק כוח, והכוח צריך להיות כנראה אצל הרגולטור בעניין הזה.

היום זה יום ראשון, זה לא יום רגיל של כנסת. בגלל שיש עלינו עומס גדול אז אין לי ברירה, הוספתי עוד יום. זה לא יום של כנסת, אז פורמאלית אין חברי כנסת בבניין. הנושא הזה מטריד מאוד מאוד את חברי הכנסת בכל ישיבה שאנחנו מקיימים, ויש לזה השלכה. ראית כמה הנושא הביומטרי העלה אש ולהבות.

הגופים האלה, למרות שהם רב-לאומיים, ובמרכזם הם לא בישראל, הם דה-פקטו חברות הפרסום הגדולות בישראל, חברת התוכן הגדולה בישראל, וככל הנראה חברת הטלקומוניקציה הגדולה בישראל.

יש קושי בסמכויות לפעול נגדם, אבל זה לא צריך לרפות את ידינו. כשהמדינה רוצה לפעול נגדם, היא עושה כן, בתחום ההסתה, בתחום המשטור, וגם לאחרונה ראינו בתחום של מס הכנסה. אז אנחנו צריכים לחשוב איך אנחנו פועלים. כרגע הפעילויות המרכזיות נעשות באמצעות המערכת השיפוטית, שם מוגשות בקשות לתובענות ייצוגיות. לכן היועץ המשפטי לממשלה נתן חוות דעתו בעניין כאשר הוא אמר שאפשר לפעול. אבל אני חושב שגם הזרוע המבצעת צריכה לפעול יותר. אני יודע שהרשות בשנת 2016 עסקה בכך, והתוכניות ב-2017 ו-2018 צריכות להמשיך, ודעת המועצה היא שזה כיוון מאוד נכון. נקווה לראות יותר פעילות ושיתוף פעולה אתנו בהקשר הזה.

תודה לכם. להערה שלך אגיד, שכאשר העליתי כאן את הנושא והזמנתי לכאן את פייסבוק ואת גוגל, צחקו ואמרו: אתם פסיק קטן בתוך המערכת הענקית שלהם. אבל ברגע שהמדינה כמדינה תוביל חוקים, ומדינות אחרות יצטרפו, אירופה תצטרף, ארצות-הברית תצטרף, החברות האלה מאוד מאוד יתאימו את עצמן, כי הן יבינו שאחרת הן יפסידו את כל ההכנסות שלהן ואת הכול. זה לא שהן שולטות על המדינות, אלא אם כן המדינות ייתנו להן לשלוט. אבל לפעמים צריך מישהו אחד שידליק, שיצעק המלך הוא עירום, וזאת יכולה להיות מדינת ישראל. ברגע שהמדינה כן תעמוד על זה, אני בטוח שאירופה תצטרף. אני רואה גם ניצנים, כמו שהיה בדוגמאות שאתה הבאת, וגם ארצות-הברית, ואז המדינות ישלטו עליהן ולא הפוך.

אני מודה לכולם על כל העבודה שאתם עושים, על הדוח שהגשתם, ובעיקר על העבודה שתעשו. תראו בנו כמי שישתף פעולה מאוד מאוד בכל מה שדיברתם, כי זה נצרך מאוד.

אנחנו רואים ואנחנו מודים מאוד על הדיון החשוב. תודה.

תודה לכולכם ויישר כוח.

הישיבה ננעלה בשעה 14:05.