פרוטוקולים/ועדת חוקה/1959

5
ועדת החוקה חוק ומשפט
1.11.2000


פרוטוקולים/ועדת חוקה/1959
ירושלים, ט' בחשון, תשס"א
7 בנובמבר, 2000

הכנסת החמש-עשרה נוסח לא מתוקן
מושב שלישי




פרוטוקול מס' 191
מישיבת ועדת החוקה, חוק ומשפט
יום רביעי, ג' בחשוון התשס"א (1 בנובמבר 2000), שעה 10:00

חברי הוועדה: אמנון רובינשטיין - היו"ר
קולט אביטל
יעל דיין
צחי הנגבי
יוסי כץ
דליה רבין-פילוסוף

שלמה גור - מנכ"ל משרד המשפטים
עו"ד יוספה טפירו - משרד המשפטים, רשמת מאגרי מידע
עו"ד דלית דרור - משרד המשפטים
גדעון בן-דוד - משרד המשפטים, מנהל תקציבים

שלמה שהם

דורית ואג

בועז פרסלר

אסתר מימון

תקנות הגנת הפרטיות (אגרות), התש"ס-2000

תקנות הגנת הפרטיות (אגרות), התש"ס-2000

בוקר טוב. אני פותח את הישיבה השנייה של ועדת החוקה בנושא אישור תקנות הגנת הפרטיות (אגרות), התש"ס-2000 - אישור התקנות והצבעה.

מנכ"ל משרד המשפטים, בבקשה.

בהמשך לחוק הגנת הפרטיות שעבר, או למען הדיוק, אנחנו עכשיו ברישום מאגרי המידע, ואלה האגרות שמטילים על כל מי שמחזיק מאגרי מידע. זה בדיוק כמו כל מערכת קיימת של רשמויות מערכתיות, יש אגרת רישום ואגרה שנתית. הסכומים מוזכרים פה, ויש שוני בין מאגרים עסקיים ובין מלכ"ר, כמובן האגרה למלכ"רים הרבה יותר נמוכה.

יוספה טפירו היא רשמת מאגרי המידע, והיא מופקדת גם על הפעלת החוק וגם על הרישום.

האם לפני כן היה שיעור מסוים ששולם, או שזה דבר חדש?

זה דבר חדש לגמרי.

על מי זה חל באופן מעשי?

על בעלי המאגרים.

בחוק הגנת הפרטיות יש חמש חלופות לחובת תשלום מאגרי המידע כדלקמן: אחת - למאגר מידע שמכיל מידע, כהגדרתו בחוק, מידע מוגדר בחוק מעמד אישי, צנעת הפרט, מצב כלכלי, מצב בריאותי, כוונות, דעות - - -

כל רשימת הלקוחות של רופא זה מאגר מידע?

בהחלט.

כל רופא יצטרך לשלם כעת 500 ש"ח אגרה?

כל רופא שמנהל מאגר מידע, ויש במאגר שלו מידע על אנשים ועל מחלות של אנשים, תרופות של אנשים, טיפול באנשים, חייב ברישום מאגר מידע, גם אם יש לו חולה אחד.

יוספה טפירו, כמה רופאים רשומים אצלך?

אף אחד. אבל קופות חולים ובתי חולים - כן.

אנחנו נגד חוקים שלא מתבצעים.

הרופאים לא יודעים בכלל שהם צריכים לרשום.

בהמשך למה שדורית ואג אמרה, משרד המשפטים החליט על מדיניות של הכנסה לסדר-היום הלאומי והבאה למודעות הציבור, נושא שהוא לחלוטין לא מודע לו, והוא הנושא שנוגע ביותר לציבור כציבור ברמת הפרט, וזה הגנת הפרטיות. הגנת הפרטיות מתקיימת בין אדם לחברו, בין אדם לרשות, והגנת הפרטיות במאגרי המידע. בכל שלושה אלה חל ומחייב חוק הגנת הפרטיות. נכון שעד היום, לאור העובדה שגם הטכנולוגיה לא עלתה ברמה הנוכחית שלה, לא היתה אימה כל כך גדולה מדליפת מידע, פריצת מידע, שימוש במידע, מסחר במידע, קנייה במידע כמו היום. היום, הטכנולוגיה מתקדמת בהרבה מאוד שלבים.

מישהו פרץ לרשימת מידע של רופא? רופא פרטי, רופא של קופת חולים, את רוצה לחייב אותו כעת כאילו שהוא מאגר מידע של בנק?

כמו שמאגר מידע של בנק מחזיק מידע על מצבו הכלכלי של כל לקוח שלו כך רופא מחזיק מידע שנכנס לגדר מידע רגיש.

הוא מחויב להחזיק את המידע, אז גם מחייבים אותו וגם הוא משלם. צריך לשלם לו.

הוא צריך לשלם פעם אחת תשלום חד-פעמי על הרישום.

מה אומר הרישום?

הרישום, משמעותו שהוגשה בקשה, מולאו בה כל תנאי סעיפים 9 ו-4 לחוק הגנת הפרטיות, והבקשות של הרשם לרישום. הרשם בדק את הבקשה, הגיע למסקנה שאין בבקשה הזאת או במאגר הזה מידע ממקור לא חוקי, ולמאגר גם אין מסווה לפעילות בלתי-חוקית.

היו בעיות?

הבעיה היא שהחוק לא יושם עד כה.

אולי צריך לתקן את החוק.

בלי שייכות לתקנות ולגובה הסכומים, יש כאן דבר והיפוכו. אנחנו מחייבים אדם, זה לא שהוא רוצה. אם אני רוצה משהו, ואני רוצה הגנה, אני משלמת.

למשל, הסיוע המשפטי.

אנחנו מחייבים אותו על דבר שהוא לא צריך אותו, הוא לא ביקש את זה, הוא לא רוצה את זה, הוא רוצה שתהיה לו הגנה, מבחינה שהוא מגן על הפרטיות, לא מבחינה שהוא מקיים מאגר מידע. הוא לא היה שותף להחלטה שמחייבת אותו לקיים מאגר מידע. בסכום אין דיפרנציאציה.

לעניין הרישום - אין, לעניין התקופתי - יש.

התשלום התקופתי הוא לא סכום גבוה, אבל עצם הרישום, ואת אומרת, גם אם יש לו חולה אחד, גם אם אני רופא שיניים, שעובד קצת פרטי, ויש לי עשרה פציינטים, אני צריכה לשלם 500 שקל שזה סכום גבוה מאוד, כדי לרשום משהו שאני לא רציתי, והם יפילו את זה על הפציינטים.

חבר הכנסת כץ, מה דעתך?

אני חושב כמו יעל דיין.

דיברתי עם היושב-ראש הבוקר על העניין של הרופאים, אבל הרופאים זו רק דוגמה אחת. יותר ויותר אנשים פרטיים עובדים עם מחשבים, אנשי מקצוע עובדים עם מחשבים, מידע עצום נמצא היום במחשבים, ובעצם, בכל הכבוד, בנושא של הגנת הפרטיות, כשיש מידע באינטרנט, הכוח שלנו לעצור אותו הוא בהרבה מאוד מקרים שווה לאפס או קרוב לאפס. נוצר מצב שבמידע הפוגע ביותר, שלפעמים עובר באינטרנט, עליו אין שליטה, או השליטה בעייתית מאוד, ונדבר על זה, והאדם הפשוט, שעובד על מחשב, שנעזר בו, איש מקצוע, שהוא יכול להיות מורה, יכול להעביר סדנאות, יכול להיות אדם שמעביר סדנאות ורושם את האנשים שלו, ויש במידע, מבחינת הסיווג של חוק הגנת הפרטיות, אלמנטים מסוימים של פרטיות, הוא חייב ברישום. מה שיקרה בפועל, שאי-אפשר יהיה לפקח באמת על כל מאגרי המידע האלה, זה כמעט חסר סיכוי.

יש בחוק הבחנה בין מוסדות גדולים, כמו מפלגות, בנקים או משרדי ממשלה, לבין אנשי המקצועות החופשיים, שזה עשרות אלפי איש? יש גם חברה פרטית של שני אנשים, של בעל ואישה. הרי כל זה יתגלגל למשק.

זה חל רק מעבר לכמות רשומות מסוימת.

יוספה טפירו אמרה שגם אם יש פציינט אחד.

לא סביר שנטיל חובה כזאת, החוק הזה לא יתבצע.

החוק טרם מתבצע.

לא, כשאת מטילה חובה כזאת על ציבור של 100,000 ישראלים, הוא לא יתבצע. יש לנו ניסיון.

יש לי הצעה מהפכנית. נעצור את הדיון בנושא, נקדיש ישיבה של הוועדה בכלל לעצם החוק והדיון והמשמעות שלו והיישום שלו, לפני שאנחנו מטפלים בנושא האגרה.

החוק עבר.

אני זוכר איך החוק עבר, הוא עבר באווירה חצי היסטרית. לא עשו הבחנה בין ממשלה שבולשת אחר האזרחים לבין אדם שיש לו מחשב במשרד שלו.

אני לא מוכנה לדיונים בחוק שכבר עבר, אני כן מוכנה לדיון בתיקון לחוק באותה לקונה.

אין לקונה, החוק מסדיר את זה.

אנחנו ועדת חוקה, ואם אנחנו קובעים שהחוק לא עונה על משהו, אנחנו יכולים לתקן.

דרך אגב, היו הסתייגויות לחוק שכן טיפלו בנושא הזה, אבל הן לא עברו.

הדיון בחוק הזה היה כשלא היתה התפתחות כל כך גדולה במחשבים האישיים.

זה לא חל על מחשבים אישיים.

אבל יש מאגר מידע של רופא או של עורך-דין.

מאגר מידע של רופא משמש אותו לצורך ניהול העסק שלו, והעסק שלו היא לא חנות או סופרמרקט, אלא מרפאה. אבל מבחינה משפטית הוא מחזיק מאגר מידע, שיש בו מאגר מידע רגיש של הפציינטים שלו. החוק לגבי מידע רגיש לא מתייחס לכמות המידע, אלא לאיכות המידע, וברגע שיש לו חולה אחד עם מחלה אחת הוא מחייב אותו לרשום.

יש חיסיון בכל מקרה - על עורכי-דין יש חיסיון ועל רופאים יש חיסיון ועל פסיכיאטרים יש חיסיון ועל בנקים יש חיסיון. אי-אפשר להגיד שנכנסנו לשטח פרוץ ועכשיו נבטיח את הפרטיות. יש חיסיון מובטח ומעוגן בחוק לגבי רוב המקצועות, לפחות אלה שהוזכרו כאן. אנחנו יכולים לפתוח את החוק בנקודה אחת או שתיים ולהציע תיקון. בוודאי לא יכול להיות שלא תהיה קורלציה בין גודל המאגר וסכום האגרה. יש הבדל אם מדברים על שתי רשומות או 500 רשומות, על חצי מחלה או על 700 מחלות, לא ייתכן לשלם את אותו סכום, אין כאן שום פרופורציה.

עורכת-דין דלית דרור.

בשנת 1996 עבר תיקון לחוק הגנת הפרטיות, שהיה הצעת חוק ממשלתית, ולהצעה הזאת, הכנסת ביוזמתה, ועדת החוקה בראשותו של דדי צוקר, הכניסה את הנושא של אגרות מיועדות לרישום, לצורך מימון פעולות הפיקוח של הרשם. היתה ביקורת עלינו, שאין די פיקוח, שאנחנו עוסקים רק ברישום ולא עוסקים בפיקוח, ודובר על כך שהתקצוב של הדברים יהיה באמצעות האגרות. הרעיון היה של הכנסת, זה לא היה בהצעת החוק הממשלתית.

אין ויכוח על התקצוב.

הוויכוח על מי זה חל.

זה החוק קובע.

יש כאן הרהורים על החוק, שמעתם את חברי הכנסת.

הבנתי שיש כפירה בעיקר בכל הנושא של הטלת אגרות רישום.

גודל האגרה לעומת התחולה של החומר.

לפי דברי יוספה טפירו ומנכ"ל המשרד, החוק יחול על כל אדם שיש לו מחשב אישי במשרד שלו.

לא, הבהרתי במפורש על הגדרת מאגר מידע.

ברגע שיש מידע רגיש לפי ההגדרה. מי שמנהל עסק, אבל עסק פרטי קטן, ויש לו מידע רגיש, החוק יחול עליו.

לכל חבר כנסת בבית יש מאגר מידע, לכל רופא, לכל עורך-דין, לכל סוחר, בעצם לכל ציבור העצמאים.

על עצמאים שמתעסקים בנושאים רגישים מובנים בחוק. זה לא כל העצמאים.

יש כאן שתי בעיות: האחת - שאין כאן הבחנה בין משרד הפנים, שיש לו מאגר מידע של כלל אזרחי ישראל, לבין אדם שיש לו שלושה פציינטים. השנייה - כשהתקבל חוק הגנת הפרטיות לא היתה בעיה כזאת, היום זה קיים, עם ריבוי המחשבים האישיים והעסקים. זה רע מאוד שיש חוק שאמור לחול על 300,000 איש, ולא מוחל בכלל.

אנחנו רוצים להתחיל להחיל אותו, ולכן אנחנו פה.

תורידו את זה ל-40 שקלים, ובזה נגמור עניין.

יש בעיה הרבה יותר רצינית, לא ב-40 שקל. אנחנו יושבים כאן כל פעם על חוקים הרבה יותר פשוטים שאינם נאכפים. בעניין האגרות, אפילו אם נקבע 10 שקלים, החוק לא ייאכף.

ברשותך, הסיבה שאנחנו פה, משום שהמשרד כבר נערך ליישום החוק. אנחנו כבר בתחילתה של פעולה, שמטרתה להגיע לרישום של כ-100,000 עסקים בסקטורים שונים ופנייה אליהם לצורך הרישום.

למה האזרח הישראלי, כל מעסיק, כל עצמאי, צריך למלא טפסים? למה צריך את זה? קרה משהו?

מבקר המדינה העיר על זה לאחרונה. מבקר המדינה אמר בשנת 1992, שלא יעלה על הדעת שמתוך עשרות אלפי, אם לא מאות אלפי, המאגרים שקיימים בארץ, שחייבים ברישום, רק 6,000 מאגרים רשומים. הוא נזף במשרד המשפטים, נזף במדינה, ולמעשה נתן הערה בעניין אכיפת החוק.

יש כאן אי-הבנה. אני לא מתייחס לאכיפת החוק, אנחנו ממונים על החוק.

לרישום המאגרים ולמצב האבסורדי שיש במדינת ישראל שיש מאות אלפי מאגרים.

לפי מה שאני מבין, החוק גם רחב מדי וגם צר מדי. הוא צר מדי כיוון שהוא לא מתעסק בהגנה על מידע באינטרנט, והוא רחב מדי, מפני שהוא רוצה להחיל את הרישום על כל ישראלי פשוט שלא רוצה בכך בכלל.

הוא לא חל על אדם פרטי.

הוא חל על עסק פרטי.

קודם כול, נראה על מה זה חל. "בעל מאגר מידע חייב ברישום בפנקס" במקרים האלה: "מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000", זאת אומרת, כל מידע.

לא, תקרא הגדרת מאגר מידע.

מידע אומר "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". זאת אומרת, כל אחד מאלה, אם יש לאדם אינפורמציה מסוימת על 10,000 איש.

זה התיקון מ-1996.

דבר שני זה מידע רגיש, ומידע רגיש מוגדר כך: "נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו", הגדרה על מידע רגיש זה גם על פחות מ-10,000, אחר כך מופיע "מידע על אנשים, שהמידע לא נמסר על ידיהם, מטעמם או בהסכמתם", זאת אומרת, מצב, למשל, שמעבירים אינפורמציה ממאגר אחד למאגר שני, כמו שהיה הסיפור עם דפי-זהב ואחרים. אחר כך, גוף ציבורי כהגדרתו, שזה, לדעתי, צריך להיות חלק מהעניין, או מאגר המשמש לשירותי דיוור ישיר - אלה המאגרים שמוגדרים כמאגרים שחייבים ברישום.

אם פה ההגדרה היתה משתנה, ולעניות דעתי זה מה שהיה צריך לקרות, אז כל הסיפור היה נראה אחרת. זאת אומרת, היינו אומרים שההגדרה צריכה להשתנות, למשל, אולי ההגדרה של מידע רגיש צריכה להיות הרבה יותר ספציפית ומוגדרת עם אלמנטים מסוימים של אפשרות פגיעה באדם בצורה כזאת או אחרת, או שההגדרה צריכה לחול על מספר רב יותר של אנשים. בהסתייגויות הופיעו כמה מהדברים האלה, או סוג המידע הספציפי וצורת השימוש בו וכן הלאה - אז אולי אפשר היה לעשות זאת. כל עוד ההגדרה היא כזאת, לעניות דעתי, הדרך היחידה שהוועדה יכולה לדון בתקנות, צריכה להיות שההבחנה הזאת תבוא בתקנות. זאת אומרת, להציע למשרד המשפטים לומר שבתקנות הכספים ייגבו רק מגופים ציבוריים.

יש מדינות, למשל, ארצות-הברית, שאסור לך להכניס למאגרי מידע, כולל בקונסוליה למשל, את כל אותם הדברים כמו דעה, אמונה. פה, כל אחד יכול להקים לו מאגרים. תסביר לי מה אנחנו, כמדינה, עושים. אנחנו רק רוצים לגבות כסף, משום שאז אני יכולה להכניס למאגר כל מה שאני רוצה על אדם, או האם הכוונה היא להקים מחסומים כדי שלא לכל אחד תהיה גישה למאגרים?

מה היה בין 1981 ל-1996? ב-1982 הייתי היועץ המשפטי של הסתדרות המהנדסים, עד כמה שזכרוני אינו מטעה אותי, כבר אז קיבלנו הודעות בקשר לרישום מאגר מידע, ולא ידענו איך להתייחס לזה, זה היה חוק חדש. אבל אז, ב-1981-1982 כל הסיפור של אוטוסטרדת המידע לא היה קיים, אז אני שואל את עצמי אם בכלל זה רלוונטי היום.

כשנחקק החוק ב-1981 היו מחשבים גדולים בכל מקום, וחובת הרישום היתה יותר פשוטה לביצוע. מאז השתנו הטכנולוגיות, ויש מאות אלפי מאגרים, אם לא יותר מזה, ולכן קשה לבצע את חובת הרישום. לכן בשנת 1996 פטרנו חלק גדול מהמאגרים, גם בדרך הגדרת מאגר מידע, ואז כל המאגרים בשימוש אישי, שלא לשימוש עסקי, לא נכללים, וגם מאגרים לשימוש עסקי, אם זה רק שמות וכתובות, גם לא נכללים, וצמצום נוסף של חובת הרישום היה, אם לא מדובר במידע רגיש, אז רק מאגרים גדולים.

יש דברים שאולי אפשר לתקן בחוק הראשי, זה לא עניין לכאן. אני רוצה לשים על השולחן את העניין של התקנות עצמן. העיקר בחוק הזה, שנוכל גם לאכוף אותו. יש חוק יפה, ויפה מאוד שהוא עומד בקנה מידה אירופי, רק שהביצוע הוא בפער אדיר לאחור.

אין דמיון לאירופה.

הכנסת, כדי לסייע לנו בנושא הפיקוח, לא בנושא הרישום, הכנסת עמדה על כך שאת האגרות האלה נהפוך לאגרות מיועדות, בניגוד לעמדה הממשלתית, וכמובן תחת התנגדות של משרד האוצר, ועשתה זאת כדי לאפשר לנו כלי ביצוע כספיים לצורך ביצוע עבודת הפיקוח. זו המטרה. המטרה היא לא הרישום, המטרה היא הפיקוח. המטרה היא שיהיו לנו משאבים כדי לפקח על החוק.

בהבדל ממבקר המדינה ובהבדל גם מבית המשפט העליון, אנחנו לא בודקים חוקים כאוטומטים. הציבור, שיושפע בגלל טעות שלנו, לא הוזמן. צריך להזמין את ארגוני העצמאים. דבר שני, לגבי התקנות עצמן, אולי תדונו בהצעה של חברת הכנסת דיין וחבר הכנסת כץ, לעשות הבחנה מסוימת בהיקף מאגר המידע. מאגר מידע שבו למעלה מ-X רשומות, יהיה לו תעריף אחר.

או לחילופין לקבוע שיעור נמוך ביותר, שיעודד את האנשים לשלם.

כל מטרת התיקון הולכת לטמיון. מטרת התיקון ב-1996 היתה כדי לייעד כספים מתוך בעלי מאגרי המידע.

ראינו בלשכות סיוע, אזרח שמקבל סיוע, או שהוא מחויב לתת משהו, או שהוא זכאי מפאת מצבו, הוא לא צריך לממן. אם זה יכול לא ללכת לפקידות באוצר, אלא לחזור לאותו פול, ניחא, אבל לא יכול להיות יעד של אגרה שהיא מושתת לא מרצון.

היום התקנות לא יעברו, משום שלא נמצאים כאן הארגונים הכלכליים בגלל טעות שלנו.

על פניו גם אין רוב לזה.

תחזרו למשרד המשפטים ותראו אם אפשר לעשות הבחנות בתקנות. בנוסף, אני פונה לשלמה גור, תאמר לשר המשפטים, שלדעת רוב החברים שהתבטאו כאן צריך לבדוק את החוק מחדש משני כיוונים: דבר ראשון, כיוון של הרחבה, שתהיה עבירה פלילית, למשל, לעקוב אחר אי-מייל.

זו עבירה פלילית כבר היום.

"בילוש או התחקות אחרי אדם."

בילוש או התחקות אחר אדם, אני לא יודע אם זה אותו דבר, מפני שהחברות עושות את זה היום.

זה לא חוקי, זו עבירה פלילית לפי חוק הגנת הפרטיות.

המשטרה מטפלת בזה בכלל?

יש פסיקה שאפשר להבין ממנה, בהערת אגב של השופט ברק, שמעקב כולל מעקב אלקטרוני.

קראתי, אגב מקרה רצח, שבעל רצח את אשתו, שהוא עקב אחריה באמצעות חוק פרטי, אחרי ההתכתבות שלה באי-מייל.

יש בהחלט אפשרות לתקן, ולהגיד במפורש, שמעקב הוא לרבות מעקב אלקטרוני.

קראתי את החוק ולא הבנתי שזה כולל מעקב אלקטרוני. מעקב בלשון בני-אדם זה כשאני עוקב אחרי מישהו, אבל מעקב אלקטרוני, כשיושב פקיד של נטוויז'ן ועוקב אחר כל השיחות, זה לא מופיע.

כל ה-COOKIES זה מעקבים אלקטרוניים.

אני מציע שתדונו עם שר המשפטים על שני דברים: דבר ראשון, הרחבה של מעקב אלקטרוני מכל סוג, לרבות עובד חברה שעוסק במתן שירותי אינטרנט, צריך להרחיב את זה, שזו תהיה עבירה פלילית. דבר שני, לצמצם את חובת מאגרי המידע, לא לשנות את ההגדרה המהותית, אבל לשנות את זה למספר רשומות, למשל, למעלה מ-10,000.

זה כתוב בחוק.

מספר של 10,000 זאת אחת החלופות.

כשיש מידע רגיש על עשרה אנשים צריך רישום.

מידע רגיש תקף גם כשיש אדם אחד. לדעתי, במקום שתהיה אחת מהחלופות, צריך למצוא את השילוב של החלופות יחד.

צריך שתהיה דיפרנציאציה ברישום.

אין טעם שנביא הצעה, אם יש התנגדות מכול וכול לקונספציה.

אין התנגדות לרישום על דבר שהוא חייב ברישום, אבל העניין של הדיפרנציאציה חשוב. אנחנו רוצים דיפרנציאציה אמיתית.

אנחנו נקיים דיון בהקדם עם נציגי הארגונים הכלכליים. אני מודה לכם. הישיבה נעולה.

הישיבה ננעלה בשעה 10:40