פרוטוקול של ישיבת ועדה
הכנסת העשרים-וארבע
הכנסת
3
ועדת החוקה, חוק ומשפט
16/05/2022
מושב שני
פרוטוקול מס' 267
מישיבת ועדת החוקה, חוק ומשפט
יום שני, ט"ו באייר התשפ"ב (16 במאי 2022), שעה 11:45
ישיבת ועדה של הכנסת ה-24 מתאריך 16/05/2022
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
ח"כים נוכחים
פרוטוקול
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב–2022
מוזמנים
¶
איל זנדברג - ראש תחום משפט ציבורי, מח' ייעוץ וחקיקה, משרד המשפטים
מיכל אברהם - מחלקת ייעוץ וחקיקה, משרד המשפטים
ליאת בן מאיר שלום - ייעוץ משפטי לממשלה, משרד המשפטים
אגת גרוסמן - מתמחה, משרד המשפטים
לירון הופפלד - המחלקה המשפטית, הרשות להגנת הפרטיות
ניר גרסון - ס. ראש מחלקת יעוץ משפטי ואסדרה, הרשות להגנת הפרטיות
גלעד סממה - ראש הרשות, הרשות להגנת הפרטיות
לוטם הכהן - מתמחה, הרשות להגנת הפרטיות
יהונתן קלינגר - משפטי, התנועה לזכויות דיגיטליות
רחל ארידור הרשקוביץ - חוקרת, המכון הישראלי לדמוקרטיה
לירון בנדק - עו"ד, נשיאות המגזר העסקי
יעקב עוז - עו"ד, נשיאות המגזר העסקי
אייל פרובלר - יועץ משפטי, התאחדות התעשיינים
רועי סננס - חבר ועדת הגנת הפרטיות, לשכת עורכי הדין
דן חי - יו"ר ועדת הגנת הפרטיות, לשכת עורכי הדין
רועי גולדשמידט - מרכז מחקר ומידע, הכנסת
אסף גלעד - שדלן, יועץ משפטי בחברת לושה
אלי כהן קגן - שדלן, יועץ משפטי, חברת לושה
חיים רביה - שדלן, עו"ד
שקד פלדמן יפתח - שדלן
אייל רועי שגיא - שדלן, עו"ד, (עמר רייטר ז'אן שוכטוביץ ושות'), מייצג/ת את מיקרוסופט ישראל בע"מ
היו"ר גלעד קריב
¶
מכובדיי, צוהריים טובים לכולם, אני מתנצל על האיחור. אנחנו בדיון שני בהצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב–2022. קיימנו דיון פתיחה בהצעת החוק. כפי שאנחנו אמרנו, אנחנו מתכוונים מהדיון הזה והלאה לעסוק בפרטי ההצעה ולהתקדם בה ולא לחזור הדיון החשוב שקיימנו, אבל הוא היה דיון פתיחה עקרוני ורעיוני.
חבריי וחברותיי, אני רוצה לומר את הדבר הבא בפתח הדברים: המטרה שלנו היא לקדם את החקיקה הזאת. זמן רב מדי הבית הזה לא שדרג את החקיקה הקיימת בתחום הגנת הפרטיות. ניתן לקיים דיון רעיוני-תאורתי, שנגענו בו קצת בדיון פתיחה, האם במצב הנוכחי, גם לאור העובדה שהזכות הזאת נהנית היום ממעמד חוקתי והחוק חוקק לפני חוק-היסוד וגם לאור העובדה שזה אחד מהתחומים הדינמיים ביותר בעולם המשפט לאור ההתפתחויות הטכנולוגיות שמקיפות אותנו – ניתן היה לקיים דיון רעיוני האם נכון היה ללכת פה בצעדים או בקפיצות, האם נכון ללכת בשיטה של תיקונים או להתיישב על המדוכה ולחוקק מחדש את חוק הגנת הפרטיות במלאת 41 שנים לחקיקתו. הדיון הזה הוא דיון ראוי, הוא דיון חשוב, אבל כרגע הוא לא הדיון הרלוונטי, כי אין לנו אלא את הצעת החוק הממשלתית שעברה בקריאה הראשונה, וזה המסלול שהבית הזה התווה בפנינו בעצם אישור הצעת החוק בקריאה ראשונה, ולכן אנחנו נמצאים בשיג ושיח עם הרשות המבצעת, שזאת הייתה החלטתה, ואנחנו נתקדם עם תיקון 14.
הדבר איננו אומר שאגב תיקון 14 אנחנו לא צריכים לחשוב, כוועדה, מתוך דיאלוג גם עם הרשות המבצעת וגם עם גורמים נוספים. יש לנו פה מועצה סטטוטורית, יש רשות שראוי לבצר את מעמדה, אבל היא רשות במעמד עצמאי מסוים, שהוא מעמד מסוים של הבעת דעה עצמאית, יש את החברה האזרחית, יש את המרחב העסקי. ההליכה שלנו לתיקון 14 לא אומרת בהכרח שאנחנו לא מחויבים לחשוב האם אגב הטיפול בהצעת החוק הממשלתית לא ראוי להכניס דברים נוספים, בין אם מקורם בעבודה של החברה האזרחית, ואנחנו מכירים עבודה אינטנסיבית של המכון הישראלי לדמוקרטיה וגורמים אחרים, יש הצעת חוק פרטית שהונחה על שולחן הכנסת, ששקדו עליה כאן בוועדה, קודמי בתפקיד שקד עליה, אני הנחתי אותה על שולחן הכנסת, אבל מאחוריה יש עבודה משמעותית של הייעוץ המשפטי. צריך לחשוב מה ניתן להוסיף לתיקון.
שלושה דברים מרכזיים צריכים להדריך אותנו בשאלה הזאת האם יש מקום להוסיף דברים. השיקול הראשון הוא הרצון שלנו לסיים את החקיקה. החקיקה הזאת, אפשר לתלות עליה עוד הרבה מאוד דברים ולגלות שבין אם בקשר לנסיבות הפוליטיות הנוכחיות וגם אם לא היה שעון חול פוליטי מסוים, אנחנו יכולים להיתקע פה גם שנתיים-שלוש. צריך לקדם שדרוג של חקיקת הפרטיות, אז כל הזמן נעשה שיקולים של עלות אל מול תועלת בהוספת דברים.
הדבר השני שצריך לחשוב זה על הקוהרנטיות של תיקון מס' 14. ופה אני מסתכל בייחוד לחבריי מן הרשות המבצעת. התיקון מתמקד בהענקת כלי אכיפה שכולנו חושבים שצריך להעמיד אותם או את חלקם. כלי האכיפה חייבים להיות מתוך דיאלוג עם הדברים שאנחנו מבקשים לאכוף, והתופעות שאנחנו מבקשים לשרש, ובהחלט יכול להיות שתיקון 14 בעצמו וסעיפיו מחייבים אותנו רגע להסתכל גם על דברים נוספים, כדי לראות שלא תצא תקלה מתחת ידינו. ואני אומר את זה לא ברמה התיאורטית. יש דברים שמחייבים רגע לצאת מתיקון 14 ולראות את ההגדרות המהותיות של המחוקק, שלגביהן מתבקשת החמרת אכיפה.
והדבר האחרון שנשקול זה באמת האם יש דברים שאנחנו חושבים שיש חשיבות מאוד גדולה לקדם כרגע, ואנחנו לא יכולים להמתין איתם לתיקון מס' 15. וגם כאן חשוב לי לומר: יש המון דברים שאפשר להוסיף, צריך לבחור במשורה את אותם דברים שבעינינו באמת חשוב מאוד להוסיף בעת הזאת להגנת הפרטיות, ויש רעיונות מרעיונות שונים. אני מזכיר שכבר היום מונחות על שולחן הכנסת הצעות חוק פרטיות, שחלקן גם מתכתבות עם רעיונות שנידונים בממשלה, מתובענות ייצוגיות ועד מהלכים אחרים בתחום הפרטיות, וצריך לשאול האם יש משהו שהוא חשוב.
נקודת המוצא שלי, ובזה אני מסיים את דבריי, היא שאחרי תיקון מס' 14 מגיע תיקון מס' 15, אבל יש עוד נקודת מוצא, שבין תיקון 14 לבין תיקון 15 יעבור זמן רב, כי אלה החיים בבית הזה ואלה החיים במסדרונות הממשלה. אז המחשבה או נקודת המוצא לא צריכה להיות שגמרנו את תיקון 14 ומיד מתחילים בתיקון 15. אין מה לחשוב על פער הזמנים, יהיה ככל הנראה פער זמנים גדול, ולכן מה שלשיטתנו נחוץ לעשות עכשיו, טוב לעשות במסגרת תיקון 14, בכפוף להיתכנות החקיקה והשלמת המעשה.
מכיוון שמדובר בהצעת חוק ממשלתית, הממשלה כמובן תציג את סעיפי הצעת החוק. הדיון היום יתמקד. אנחנו הולכים פה על פי הסדר. אנחנו פותחים בסעיפי ההגדרות. אנחנו נראה בהמשך האם אנחנו נצמדים דווקא לסדר הטקסטואלי של החקיקה או מבצעים קפיצות בין הנושאים. היום לפחות נלך על הסדר.
כבר עכשיו נקבעה סדרת דיונים, כרגע היא קבועה אחת לשבועיים, אבל בכוונתי להאיץ אותה. נראה האם ההצעה תהיה בדיונים יותר תכופים או פשוט בדיונים יותר ארוכים. עוד נחליט. תהיה פה הרבה מאוד עבודה בין הדיונים ונצטרך להגיע להבנות ולהסכמות.
אלה דברי הפתיחה שלי. גברתי היועצת המשפטית, את רוצה לומר דבר מה בפתיחה?
נעמה מנחמי
¶
סעיף 1 להצעת החוק זה סעיף של שינוי מונחים.
1. בחוק הגנת הפרטיות, התשמ״א–1981 (להלן – החוק העיקרי), בכל מקום –
(1) במקום ״פנקס״ יבוא ״מרשם״;
(2) במקום ״בפנקס״ יבוא ״במרשם״;
(3) במקום ״מהפנקס״ יבוא ״מהמרשם״;
(4) במקום ״הרשם״ יבוא ״הממונה״;
(5) במקום ״לרשם״ יבוא ״לממונה״;
(6) במקום ״בעל מאגר מידע״ יבוא ״בעל שליטה במאגר מידע״;
(7) במקום ״בעל מאגר המידע״ יבוא ״בעל השליטה במאגר המידע״;
(8) במקום ״מבעל מאגר מידע״ יבוא ״מבעל השליטה במאגר מידע״;
(9) במקום ״מבעל מאגר המידע״ יבוא ״מבעל השליטה במאגר המידע״;
(10) במקום ״לבעל מאגר המידע״ יבוא ״לבעל השליטה במאגר המידע״;
(11) במקום ״לבעל המאגר״ יבוא ״לבעל השליטה במאגר״.״
אלה תיקוני המונחים. רק כדי שתהיה לנו תמונה כוללת, אני אקרא גם את ההגדרות של "בעל שליטה במאגר מידע" ו"הממונה על הגנת המידע", שנמצאים במסגרת תקנה 3, בתיקוני סעיף 7.
תיקון סעיף 7 – 3(2) אחרי ההגדרה "אבטחת מידע" יבוא: ""בעל שליטה במאגר מידע" – מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור;"
"הממונה על הגנת מידע", "הממונה" – מי שמתקיימים בו תנאי הכשירות להתמנות לשופט של בית משפט מחוזי והממשלה מינתה אותו, בהודעה ברשומות, לפקח על הגנת המידע במאגרי מידע לפי הוראות חוק זה;"
איל זנדברג
¶
צוהריים טובים. תודה רבה לוועדה, ליושב-ראש על זימון הישיבה, וגם על האמירה החשובה לנו על התדירות ועל הקצב הצפוי של הדיונים. אנחנו כאן כדי לסייע לוועדה, כדי לעבוד, כדי להשלים את החקיקה, וחשוב לי גם לומר שאנחנו באים בלב פתוח ונפש חפצה. יש פה הצעה ממשלתית, והדברים נאמרו גם בדיון המוקדם, יהיו רעיונות, תוספות, גריעות, שיפורים, בסוף הוועדה מחוקקת. יש עמדה ממשלתית, אבל אנחנו כצוות מקצועי באים לסייע בהקשר הזה. תודה רבה גם לייעוץ המשפטי של הוועדה, לנעמה על עבודה מאוד מפורטת ועבודת הרקע.
אנחנו פותחים בסעיפי ההגדרות, שהם סעיפים בחלקם טכניים, בחלקם מהותיים. אני לא אעבור על כל מילה ומילה. אם אנחנו מתחילים בהגדרות האלה חשוב לי לומר, ששינויים בהגדרות תמיד צריך, כמו בכל חקיקה, לבחון לאור המשמעות המהותית שלכם, זאת אומרת, כשקוראים חוק הכלל הוא שאתה קורא קודם את סעיף 2 ואילך, ואז חוזר לסעיף ההגדרות, כי ההגדרה אמורה לשרת בהקשר מסוים. כשההגדרה עומדת לכשעצמה, לפעמים היא מאבדת ממשמעותה או נראית קצת משונה, ובכל זאת ההגדרות בחוק הזה הן הגדרות חשובות.
אנחנו מייצרים כמה שינויים ושכלולים, נקרא לזה, בהגדרות בסיס. אני לא יודע כמה קדימה אנחנו הולכים עם הסעיפים כרגע. את קראת עד סעיף 3 - - -
נעמה מנחמי
¶
קראתי רק את סעיף 1, וכדי שהוא יהיה שלם, קראתי גם את ההגדרות של "בעל שליטה במאגר מידע" ו"הממונה על הגנת המידע".
איל זנדברג
¶
אני אציג כללי, ואז נעביר אלייך את השרביט לשאול את השאלות שגם עלו על הכתב. אנחנו מנסים להבהיר כמה מושגי יסוד, צמד מושגים. יש לנו את המחזיק ובעל השליטה במאגר המידע. המושג עצמו של מאגר מידע עדיין ימשיך ויהיה איתנו. אני מבין שגם על זה יש דיונים, והיו לנו התלבטויות, אבל אנחנו חושבים עדיין שמאגר מידע בהגדרתו המחודשת, המעודכנת, תשמש אותנו כבסיס שאליו אנחנו מתייחסים, וביחס למאגר מידע יש שני גורמים: יש מי שהוא בעל השליטה במאגר המידע ויש מי שהוא מחזיק במאגר המידע.
החיים מלמדים – אני מתאר את זה בצורה מאוד מאוד קצרה, וככל שנדרש, נפרט עוד, ברוח דברי היושב-ראש בפתיחה, שננסה לצלול ישר לעניינים עצמם – שבעל השליטה במובן הרגיל הוא אותה חברה ששולטת במאגר המידע, היא מנהלת, היא מרוויחה את הרווח העסקי או מה שזה לא יהיה – אם זה גוף ציבורי הוא מנהל אותו – אבל הרבה פעמים חברות אחרות או גורמים אחרים, יש להם גישה למידע, הם מחזיקים את המאגר עבור בעל השליטה, ולכן גם על המחזיק וגם על בעל השליטה, שני הגורמים האלה, אנחנו צריכים להטיל, ונראה את זה בהמשך הדרך, חובות או אחריות לפי ההקשר ולפי הצורך.
איל זנדברג
¶
אנחנו מנסים לכסות בהגדרות – ושוב כשנגיע להוראות האופרטיביות זה יהיה יותר ברור. אני חברה עסקית לצורך העניין, ויש לי את מאגר הלקוחות שלי, אבל אני חברה עסקית שמוכרת כוסות תה, אז אני לא טובה בניהול המאגר, אז אני שוכרת שירותים של חברה אחרת שתנהל לי את עניין המידע עצמו.
איל זנדברג
¶
השרתים זה שאלה אחרת של כמה שליטה יש לך בשרת, כי את יכולה להחזיק פיזית אצל גורם שאין לו שום נגיעה למידע אלא רק נותן לך את המעטפת הטכנולוגית, ואת יכולה להעביר את המידע למי שאכן עוסק במידע עצמו, והוא עושה את זה עבורך. ואם אנחנו מסתכלים על התמונה הכוללת, יכול להיות שיש גם עובדים בתוך החברה, שהיא מלכתחילה בעלת השליטה, שהם מורשי גישה למידע. הם לא מחזיקים, הם מורשי גישה, ואז צריך גם מעולם של אבטחת מידע וגם סעיפים שנגיע אליהם כדי להסדיר גם את ההרשאה. אבל הרעיון בהגדרות פה – שוב, זה שלב של הגדרות שהן קצת כרגע מנותקות מהקשר – לכסות ולהגדיר בצורה מדויקת יותר, בראייה כמובן מה שקורה בעולם, מה שקורה בעולם העסקי, במציאות שלנו, של הגורמים השונים שיש להם זיקות שונות.
היו"ר גלעד קריב
¶
אנחנו רושמים לפנינו את הצורך במהלך החקיקה לעמוד על זה שאנחנו נותנים מענה גם למי שקובע, כמו שכתוב פה, את המטרות, וגם למי שבסופו של דבר מאחסן את המידע, למרות שהוא לא בעל המידע – מעניק שירות של אחסון המידע – ובמהלך החקיקה אתם תצטרכו להוביל אותנו דרך ההגדרות.
איל זנדברג
¶
לעמוד על ההגדרות וגם על הנפקויות של ההגדרות, כי שוב, בהגדרות כשלעצמן יהיו הרבה מאוד שאלות. התחלנו בסעיף ההגדרות, ואני מנסה להתקדם בכיוון הזה.
אני הולך צעד קדימה לעוד הגדרות ונוגע בהגדרות המשמעותיות. ההגדרה של מידע מקבלת כאן גם טיפול משמעותי. כמובן מידע הוא המושג הכי משמעותי בחוק הזה. באופן אמיתי אנחנו משקפים להבנתנו - - -
היו"ר גלעד קריב
¶
דיברת על סעיף 1 להצעת החוק, שזה שינוי המונחים. יש כמה שאלות שהיועצת המשפטית פירטה במסמך ההכנה. תיכף נגיע לזה. דיברנו בסעיף 3 להצעה על נושא הגדרה של בעל שליטה במאגר מידע. לא התייחסת לנושא הממונה על הגנת המידע.
ההגדרה של הממונה, רק לצורך הפרוטוקול, הכוונה כרגע מי שמכהן גם כראש הרשות.
היו"ר גלעד קריב
¶
אנחנו רוצים להעלות על זה שאלה. אני עובר על מסמך ההכנה, בסעיף 2 להצעת החוק, יש לנו את ההגדרה של מחזיק. רק שנבין, המחזיק זה מה שהתייחסה אליו חברתנו גבי לסקי, אותו גורם שמחזיק בידיו את המידע כמתן שירות לבעל השליטה.
ליאת בן מאיר שלום
¶
הוא גם נותן השירות הזה. זה טווח של דברים. הניסיון שלנו לעדכן את ההגדרות מתייחס לתפיסות שכבר קיימות בחוק. הוא מדבר על הבנה בסיסית של מה זה מידע, ואחר כך מה זה מידע בעל רגישות מיוחדת. הוא מדבר על בעלי התפקידים שכבר קיימים היום בחוק. אלה בעלי התפקידים שהיום מוטלות עליהם החובות בחוק, ולפי החוק בתקנות. בעל השליטה, שהיום קוראים לו "בעל מאגר המידע", ואנחנו משנים את שמו ל"בעל השליטה", הוא בעל התפקיד המרכזי שעליו מוטלות רוב החובות בחוק, ולפי החוק בתקנות, והמחזיק, כפי שאיל מתאר.
היו"ר גלעד קריב
¶
לפני שניכנס לסעיף 3 של הגדרת המידע, אני רוצה לגבי העניין של מחזיק, ממונה, ההערות שרשמת, היועצת המשפטית, שנברר אותן. אני מבקש, חברת הכנסת לסקי, שתשבי במקומי לכמה רגעים ונתייחס לסוגיה הזאת, ואז נגיע להגדרת המידע.
(היו"ר גבי לסקי, 12:08)
נעמה מנחמי
¶
עוד לפני ההגדרה של "מחזיק" ו"בעל שליטה במאגר מידע", אני כן מבקשת להחזיר אתכם למונחים. יש לנו כאן שני שינויי מונחים שהייתי רוצה שהוועדה תתעכב עליהם. הראשון זה מפנקס למרשם. אני מודה שזה לא נראה לי הדבר הכי קריטי, אבל אני שואלת אם זה המקום עכשיו לעשות את השינוי, כשברקע אנחנו מדברים כל הזמן על צמצום וביטול חובת הרישום. דווקא ההגדרה של העברה מפנקס למרשם מרגישה במובן מסוים שינוי נוסח שהוא הפוך למגמה. אני מודה שזה פחות מפריע לי מבין המונחים.
המונח שיש לי איתו את הקושי הכי גדול זה דווקא המונח של "הממונה". כבר היום יש לנו בדברי החקיקה שרלוונטיים לפרטיות הרבה מאוד מונחים שכבר כוללים את המונח "ממונה", שמתייחסים לגורמים הפרטיים, לגורמי השטח, לגורמים בחברות שנקראים "ממוני אבטחת מידע" למיניהם. כלומר, במילים אחרות, השם כבר תפוס. ואתם מציעים עכשיו לקרוא לרשם "הממונה", ובשביל לעשות את זה אז מי שכבר תפס את השם, להחליף את השם שלו לשם אחר. אני חושבת שזה עלול ליצור הרבה מאוד בלבול. ההצעה הזאת היא מסובכת דיה וארוכה דיה, והתחום לא קל, מספיק בשביל שלא נקשה עליו עוד יותר. האם אנחנו יכולים במקום "הממונה" לקרוא לאותה דמות ציבורית, לא פרטית, להשאיר אותו כ"ראש הרשות", "מנהל הרשות", יהא שמו אשר יהא, אבל בואו לא נקרא לו "הממונה"?
איל זנדברג
¶
שעון החול שהזכיר יושב-ראש הוועדה אולי מחייב אותנו. סוגיה כזאת, אני לא בטוח שיש עליה איזה עמדה עקרונית, ואולי שווה לא לייחד לה את הזמן של חברי הכנסת והוועדה. זה עניין קטן. בעיקרון זה נראה לנו כיוון אפשרי, למרות שאני מודה שאני לא מסכים עם הטיעונים. אני לא חושב שזה יוצר בלבול, אני לא חושב שזה מעורר איזה קושי היום להבין, והממונה ממונה דווקא בגלל שהוא מופיע בחקיקה רוחבית. "ממונה" זה מושג רלוונטי ומתאים. עם זאת, אמרתי לכם, אנחנו באים ברצון להתקדם. זה נראה נקודה שאפשר לסגור אותה ואפשר לתאם אותה אולי בחוק. חבל לקיים על זה, ולו אפילו עשר דקות או רבע שעה של דיון בוועדה על השאלה איך יכונה אותו ראש רשות. אין פה מחלוקת עמוקה על התוצאה.
נעמה מנחמי
¶
הדברים לא נולדו אתמול. רוב ההערות שלי הן הערות בנות חודש עד שבועיים, ואנחנו נמצאים כאן בדיון ועדה, ואנחנו רוצים ככל שניתן, כמובן לא תמיד ניתן, אבל ככל שניתן אנחנו רוצים לסגור דברים ולהתקדם הלאה, ולהשאיר כמה שפחות נקודות פתוחות.
איל זנדברג
¶
לכן אמרתי שאנחנו נוקטים עמדה חיובית בעניין הזה. גם אם הנימוקים לא הכרחיים לעניינו לצורך הפרוטוקול, על התוצאה אפשר להסכים.
איל זנדברג
¶
העניין הוא, וצריך לומר גם לפרוטוקול, שהרשות כרשות לא מוגדרת היום, וזה מחייב עוד כמה שינויים. לא הכרחי השינוי הזה.
היו"ר גבי לסקי
¶
לאור העמדה הזאת של המשרד אני מסכימה שאפשר לקיים דיון כדי לסגור את השם. אני לא רואה שתהיה פה בעיה לסגור את הנושא.
נעמה מנחמי
¶
עכשיו כשסיכמנו שזה "ראש רשות", ואני מודה לכם על שיתוף הפעולה, האם אפשר להוסיף – אם תסתכלו בהצעה החלופית שלי בעמ' 3 - - -
נעמה מנחמי
¶
כן, "ראש הרשות", אבל ראש הרשות להגנת הפרטיות וראש הרשות, אבל אני מציעה גם להוסיף "מי שהממשלה מינתה אותו בהודעה ברשומות לעמוד בראש הרשות להגנת הפרטיות ושמתקיימים בו תנאי הכשירות". האם גם החלק הזה להגדרה רלוונטי לכם? מקובל עליכם?
היו"ר גבי לסקי
¶
יש כאן הסכמה על ההצעה של היועצת המשפטית גם בעניין הסעיף הזה של הרחבה או של תיקון של ההגדרה של "ראש הרשות". תודה.
נעמה מנחמי
¶
שוב, רק בשביל לסגור את ההגדרות, אמרתי שזה לא נראה לי קריטי הפנקס והמרשם, אני חושבת שזה קצת מיותר לאור מה שאנחנו צופים, אבל זה לא נראה לי קריטי מספיק בשביל להתעקש על זה, לכן אם אתם מעוניינים בתיקון, אני אשאיר את זה כך. כן רציתי להגיד לפרוטוקול שלפחות אנחנו לא רואים בזה אמירה לעניין הרחבה, צמצום וכו'.
נעמה מנחמי
¶
לעניין "בעל מאגר מידע", ל"בעל שליטה במאגר מידע", עצם השינוי של המונח הוא בסדר מבחינתי. לעניין ההגדרה אני חושבת שנכון להגיע אחרי שנהיה בשלב מהו מידע, שזה אבן היסוד של החוק.
לטובת הפרוטוקול אנחנו כן צריכים לקרוא את הסעיפים, לכן אני אקרא אותם במהירות ואז נוכל להמשיך לדון.
תיקון סעיף 3
2.
בסעיף 3 לחוק העיקרי –
(1) במקום ההגדרה "מחזיק, לעניין מאגר מידע" יבוא:
""מחזיק", לעניין מאגר מידע – מי שהתקשר עם בעל שליטה במאגר מידע למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה, וקיבל מבעל השליטה במאגר המידע, במסגרת ההתקשרות, הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות;";
(2) בהגדרה "שימוש", אחרי "לרבות" יבוא "אחסון".
תיקון סעיף 7
3.
בסעיף 7 לחוק העיקרי –
(1) ברישה, במקום "ובפרק ד'" יבוא "ובפרקים ד' עד ד'4";
(2) אחרי ההגדרה "אבטחת מידע" יבוא:
""בעל שליטה במאגר מידע" – מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור;";
(3) במקום ההגדרות "מאגר מידע", "מידע" ו"מידע רגיש" יבוא:
""מאגר מידע" – אוסף פרטי מידע המוחזק באמצעי דיגיטלי, למעט אוסף לשימוש אישי שאינו למטרות עסק;
"מזהה ביומטרי" – נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו, או אמצעי ביומטרי שניתן להפיק ממנו נתון כאמור; לעניין זה, "ביומטרי" – מאפיין אנושי, פיזיולוגי או התנהגותי, ייחודי, הניתן למדידה ממוחשבת;
"מידע" – נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר;
"מידע בעל רגישות מיוחדת" – כל אחד מאלה:
(1) מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד;
(2) מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ"ו–1996;
(3) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–2000;
(4) מידע על אודות דעותיו הפוליטיות או אמונותיו של אדם;
(5) מידע על אודות עברו הפלילי של אדם;
(6) נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח–2007, לגבי אדם;
(7) מזהה ביומטרי;
(8) מידע על מוצאו של אדם;
(9) מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכליות ומידת עמידתו בהן;
(10) הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים (1) עד (8);
(11) מידע שחלה עליו חובת סודיות שנקבעה בדין;
(12) מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוקה חוק ומשפט של הכנסת;
ההגדרה האחרונה "הממונה על הגנת מידע", "הממונה", שבה כבר דנו, ולכן אין צורך לקרוא.
נעמה מנחמי
¶
ההגדרה הראשונה היא הגדרה של "מידע", והיא פה לפניכם בעמ' 6 למסמך ההכנה. יש כבר כמה נקודות במסמך ההכנה, בין היתר לעניין "אמצעים סבירים", והשאלה אם כדאי את הסיפא או לא.
איל זנדברג
¶
ההגדרה של "מידע" מנסה בהקשר הזה להסתכל על העולם וליישר קו גם עם מה שמקובל בעולם וגם עם מה שאפשר להגיד למעשה שהפרשנות במדינת ישראל של הדין בידי בית המשפט, וגם הפרשנות של הרשות שאוכפת ומיישמת את הוראות החוק וגם הפרשנות שלנו בממשלה, כשאנחנו מיישמים את הוראות החוק במתן ייעוץ משפטי פנימי לממשלה – כל הרעיונות האלה היום הם חלק מהדין ואנחנו משקפים כאן בצורה ברורה. כמובן זה יהיה כתוב עלי ספר, אז צריך לדייק בכל מילה.
הרעיון הוא שמידע שהוא המידע האישי שאליו הצעת החוק מתייחסת הוא נתון שמתייחס לאדם מזוהה, והנושא של הזיהוי מאוד מאוד חשוב, כי אם הנתון לא מתייחס לאדם מזוהה, אז המידע לא אישי ואין לנו אותו אינטרס ציבורי או זכות אדם שעומדת מאחורי, וכל המבנה של החוק לא מתקיים, אבל אם יש נתון שמתייחס לאדם מזוהה, הוא מתייחס אליו, הוא ייחודי לגביו, לא אמירה כללית סטטיסטית, אז אנחנו רוצים לתפוס אותו מלכתחילה בהגדרה, גם אם אחר כך נסתכל בהוראות אופרטיביות ויהיו הוראות שונות כאלה ואחרות. אולי יהיו חריגים, אולי יהיו סייגים, אולי יהיו דרגות שונות של רגישות של מידע, אבל בבסיס זה הוא המידע.
הנקודות החשובות מבחינת הוועדה או שכדאי לשים לב אליהן זה "הניתן לזיהוי", שזאת נקודה חשובה, זאת אומרת, יש "מזוהה", ויש "ניתן לזיהוי", שזה רכיב שמופיע לא רק בחקיקה האירופית שנהוג להזכיר פה, והיא באמת עבורנו אמת מידה שאנחנו מתייחסים אליה, אלא בחקיקה של הגנת פרטיות בעולם בכלל בהרבה מאוד מקומות. אז "מזוהה" או "ניתן לזיהוי".
הוספנו אמירה כדי שיהיה ברור בצורה מפורשת, שהניתן לזיהוי זה במישרין או בעקיפין, כלומר, המטרה שלנו בסופו של דבר זה הרי להגן על מידע אישי, להגן על פרטיות של אנשים, אז גם אם מידע לא מזוהה, שיש שם של אדם ואז כתוב את המצב הבריאותי שלו, המזוהה זה הברור, אבל במציאות הרבה פעמים המידע לא מופיע כך בשדות מסודרים ומאוד יפים, אלא מידע בדרך עקיפה יכול להיות מזוהה. עקיפה יכולה להיות מאוד עקיפה או לא מאוד עקיפה, אבל לא רק מידע שבאופן ישיר מזוהה ייחשב למידע, כי אחרת לא נשיג שום דבר בעולם המודרני שבו היכולת להסיק מידע ממידע היא זו שמשרתת או פועלת בהרבה מאוד הקשרים, בטכנולוגיה, בעסקים, גם בממשלה. ואז השאלה היא, מה זה "בעקיפין"? איך הוא ניתן לזיהוי? כי ברור שמזוהה זה מה שרואים על פני השטח יחסית או על פני הדברים. "ניתן לזיהוי" יכולים להגיד שזה כבר יותר רחוק. אז אנחנו אומרים "ניתן לזיהוי במישרין או בעקיפין באמצעים סבירים", וגם זה מושג – אני מבין שיש הערות – אפשר לדבר איך לדייק אותו. אולי נבהיר אותו, אבל זה מושג שגם קנה לו אחיזה בפסיקה בישראל, ובעיקר הוא מופיע בעולם, ואני רוצה עליו לעמוד לרגע.
אם יש לי שני פרטי מידע, שעל פני הדברים אינם מזוהים. יש אמירה, השם שלי איל, ומופיע איזה פריט או באותו מאגר, או במאגר אחר, או במאגר בחברה אחרת, שהזיקה הישירה ביניהם לא קיימת. לכאורה כשאתה מסתכל על מאגר מידע א', אתה רואה רק את השם איל. במקום אחר אתה רואה פרטים על המין, הגיל שלי, מקום המגורים שלי ברכישות שרכשתי.
איל זנדברג
¶
בלי שם. מה זה אומר? ההגדרה מדברת על כך שהמידע לא מזוהה, אבל הוא ניתן לזיהוי. איך הוא ניתן לזיהוי?
איל זנדברג
¶
נכון. המידע כשלעצמו, כשמסתכלים עליו, הוא לא מזוהה, אלא שמה שיחול מבחינת ההגדרה בהקשר הזה, וצריך לבדוק, האם הוא ניתן לזיהוי.
איל זנדברג
¶
נכון. ניתן לזיהוי לאדם מסוים. חבר הכנסת בגין צודק. על דרך הקיצור "הניתן לזיהוי", הכוונה היא ניתן לזיהוי, כלומר, בהתייחס לאדם מסוים, ייחודי, אדם בשר ודם, שהוא האדם שעל זכויותיו אנחנו רוצים להגן. זה הרעיון המסדר. תמיד צריך לזכור.
היו"ר גבי לסקי
¶
עו"ד זנדברג, יש לי שאלה ספציפית בעניין הזה. למשל, אנחנו יודעים שיש חברות אינטרנט שאוספות מידע על ההעדפות שלנו וכו'. יש לי את היוזר ניים שלי בפייסבוק או מה שלא יהיה, מצד אחד, ומצד שני הם אוספים את הרכישות שלי או מה שלא יהיה, כשזה בנפרד. אתה אומר שאנחנו מתייחסים לזה שהם יכולים לזהות כדי לשלוח לי אחר כך מידע כלכלי או פרסומות או כל מיני דברים כאלה?
איל זנדברג
¶
זו דוגמה אחת. אני אשלים את המשפט ואני חושב שזה ייתן תשובה. התשובה הקצרה היא: כן, זה בהחלט יכול להיות זה. אנחנו אומרים שכאשר מידע לא מזוהה על פניו, אלא שהוא ניתן לזיהוי – עולה השאלה, וכאן אני מתמודד עם שאלה שיכולה להעלות סוג של קושי, אבל צריך להתמודד איתו, למרות שזה הסטנדרט הבין-לאומי, ואני לא חושב שזה קושי אמיתי, זה רק דורש הסבר אולי כשאנחנו מציגים את ההצעה – "ניתן לזיהוי" זה תלוי בכמה מאמצים אתה משקיע. אם תבוא מדינה או סוכנות ביון או חברת טכנולוגיה מאוד מאוד גדולה, שמיליארדים בקופתה ויש לה האמצעים הטכנולוגיים, כנראה שהיא תצליח לייצר קישורים, לפצח, לפרוץ, אבל גם בלי לפרוץ, לעשות חיבורים, למצוא דפוסים כדי לקשר ולגרום לכך שמידע שעל פניו לא מזוהה, יהיה מזוהה. לעומת זאת, אם אני, שאינני מבין דבר וחצי דבר במחשבים, יכולים להראות לי שני מאגרים, אני יכול לתקתק עד מחר, אני כנראה לא אצליח לחבר את המידע.
השאלה היא מה הוא הרף שאנחנו מצפים בסופו של דבר ממפוקחים, ממי שהוא בעל השליטה, ומי שאנחנו מטילים עליו הוראות בחוק להתייחס מתי המידע הופך ניתן לזיהוי. וזאת נקודה מאוד חשובה, כי אם הוא ניתן לזיהוי, הוא נכנס לתוך ההיכל של החוק הזה וכל החובות והמגבלות חלות. התשובה היא שאנחנו לא יודעים להגיד את זה מראש. הרי אנחנו כותבים חקיקה שהיא ניטרלית לטכנולוגיה, אנחנו לא יכולים להגדיר את זה בהשקעת זמן או בהשקעה של טכנולוגיה, כי טכנולוגיה מתפתחת, ולכן אנחנו משתמשים, כפי שאנחנו עושים לפעמים בחקיקה או כמשפטנים, מדובר על אמצעים סבירים. אני חוזר ואומר שזה גם מושג שסתום שמופיע במדינות אחרות.
"באמצעים סבירים" זה אומר מה עומד לרשות מי שמנסה לעשות את החיבור הזה. אם זה שני מאגרים באותה חברה, שהוא רק צריך להורות למנהל מחלקה א' לתת הרשאה למנהל מחלקה ב', זה בוודאי קל, אבל גם אם זה דורש פריצה, או הפרה, או פעולות יותר מורכבות, או פעולות עיבוד שדורשות יותר מחשוב. בסופו של דבר זאת הסתכלות על מכלול הנסיבות ואם באמצעים סבירים אפשר לעשות את הזיהוי, הרי שהמידע נחשב ניתן לזיהוי לאדם מסוים, ואם הוא ניתן לזיהוי, דינו כדין מידע מזוהה, והוא המידע שעליו החוק חל.
זה היה הסבר מעט ארוך, אבל הוא נקודת בסיס. עוד לא התייחסתי לסיפא, כי אני מניח שזה רכיב נוסף. אני יכול להתייחס גם עכשיו ל"לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר".
היו"ר גבי לסקי
¶
עדיין לא שמענו את ההערות של הייעוץ המשפטי, ויש הערות חשובות. לפני זה אני רוצה לשאול, ההגדרות פה הן לפרק ד', והן לא חלות על פרק ה'. אני כבר יכולה לומר שאם אנחנו כבר עושים תיקון וההגדרות לא זהות בכל החקיקה, כשיש שלנו הזדמנות לתקן, אנחנו יוצרים פה בעיה. השאלה אם אפשר יהיה גם את זה לתקן?
נעמה מנחמי
¶
אנחנו נמצאים בדיון על מידע. קיבלנו הסבר כללי וממצה מהממשלה. כרגע אנחנו מתעכבים על הנושא של "אמצעים סבירים", שמתייחס לנושא של "הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים". בקצרה, לא סוכנות ביון, אבל גם לא הדיוט שלא יודע להתעסק עם מחשבים. זה משהו באמצע שהממשלה מבקשת להשאיר עמום, כדי שהחוק יוכל להתפתח עם הטכנולוגיה, כלומר, לא החוק, אלא - - -
מיכל אברהם
¶
אם אפשר להוסיף בהקשר הזה, המונח הזה נלקח גם מהפסיקה, מפסק הדין בעניין גוטסמן, וגם בחקיקה ישראל, למשל בחוק נתוני אשראי וגם חוק מס להפחתת גודש התנועה באזור גוש דן, יש ההתייחסות למאמץ הסביר בהקשר של יכולת הזיהוי.
היו"ר גלעד קריב
¶
אני רק אציין לטובת המשתתפים בדיון, מכיוון שאנחנו כבר בדיון בסעיפי חוק, אז אם יש הערה למי מהנוכחים לגבי סעיף מסוים וכו' – ההצהרות הכלליות תם זמנן, זה היה בדיון הקודם – אתם מוזמנים ליטול חלק בדיון לגבי הערות קונקרטיות לגבי הסעיפים השונים שאנחנו עוברים עליהם. נסיים את הסבב של ההגדרה של המידע, ואז נפתח לסבב של התייחסויות לסעיפים שהסברנו עליהם.
איל זנדברג
¶
הסיפא באה להבהיר, אבל יכול להיות שיראו בזה גם סוג של הרחבה שלא היו מגיעים אליה בדרך פרשנות, והמילים הם "לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר". במציאות אנחנו חושבים על מידע כצבע עיניים, או רמת הסוכר בדם, או מה מצב חשבון הבנק של אדם, מספר הזהות כשלעצמו נשמע כאיזה משהו טכני. כמובן מזהה ביומטרי הוא לא עניין טכני. ולכן היה חשוב לנו, כדי לייצר את הבהירות ולהקדים כמה שאפשר פרשנות עתידית, לשים את הדברים על השולחן, ולהבהיר שהרכיבים האלה, שגם הם מוצאים את ביטוים ב-GDPR למיטב זיכרוני, גם הם כלולים במידע. כלומר, מזהה ביומטרי כשלעצמו או מספר זהות או נתון אחר שהוא נתון מזהה ייחודי, וחבר הכנסת בגין צודק, זה ייחודי לאותו אדם, זאת הכוונה, אולי דרך הקיצור מקצרת מדי. נתון ייחודי לאותו אדם שמקשר בין אותו אדם למידע או מה שהוא יכול לקשר לבין נתונים אחרים על אותו אדם, גם הם כלולים בהגדרת מידע, וגם הם ראויים – אחר כך נראה בהגדרות בחוק – לאותה הגנה. הם מובילים לאותה פגיעה פוטנציאלית אפשרית שמפניה החוק בא להגן.
ליאת בן מאיר שלום
¶
הרעיון הוא משהו שמזהה באופן ייחודי אדם. אם התיבה של אדם השמטנו וצריך לכלול אותה, אז נוסיף אותה. הרעיון הוא שאנחנו רוצים להגן על המפתחות. להגיד שגם המפתחות הייחודיים שיכולים לזהות אדם, גם הם בגדר מידע שהחוק חוסה עליו וקובע את מסגרת - - -
נעמה מנחמי
¶
השאלה שלי אגב הייתה, ואתם לא חייבים להכריע בה עכשיו, האם זה לא משהו שצריך לצאת מההגדרה ולהיכנס במקום אחר?
ליאת בן מאיר שלום
¶
להוראה אופרטיבית הכוונה? אם הוא לא יהיה חלק מהגדרת מידע, איך תוכלי אחרי זה להגדיר? אנחנו חושבים שהמפתחות צריכים להיות כלולים בהגדרת מידע. לפעמים הם נושאים על גבם מידעים נוספים. התפיסה שלנו שבדרך כלל מפתח נמצא גם עם הדבר שפותח. אנחנו חושבים שהמפתחות צריכים להיות כחלק מהגדרת מידע.
איל זנדברג
¶
הדגש הוא על מזהה ייחודי, זה לא כל מספר שמחובר לאדם. זה משהו שלא משתנה, לא מתחלף, הוא חד-חד ערכי.
היו"ר גלעד קריב
¶
קיבלנו את התשובות לגבי "מידע". מיד נפתח סבב התייחסויות. אתם רוצים לעבור על ההגדרה של "מידע בעל רגישות מיוחדת" לפני שנעשה סבב או שהנושא גדול?
היו"ר גלעד קריב
¶
נעשה רגע עצירה לטובת הערות. יש לנו פה מספר הגדרות שכבר עברנו עליהן, גם ה"מחזיק", גם השולט.
אייל פרובלר
¶
שתי הערות לנושא של "אמצעים סבירים". קודם ציינה כבוד היועצת המשפטית שהממשלה מעוניינת בעמימות, וזה הדבר שאנחנו, במגזר העסקי, הכי מפחדים ממנו, עמימות, אי-ודאות. ולכן "אמצעים סבירים" מבחינתנו זה מושג קצת בעייתי. אני חושב שגם במסמך שהכנסתם יש למשל דוגמאות מהחוק הבריטי, אם אני לא טועה, שדווקא שם כן מפרטים, יכול להיות שגם ב-GDPR. אנחנו נשמח אם המושג המעומעם הזה דווקא יהיה יותר ברור. אולי בגילוי דעת, למרות שאנחנו די מפחדים מגילויי דעת, הייתי שמח שזה יהיה בחקיקה, אבל שתהיה איזה הבטחה לאיזה פרשנות, לדוגמאות, שהציבור ידע מה זה "אמצעים סבירים". זה דבר אחד.
דבר שני, קודם ציינת "אמצעים סבירים שברשותו", אבל זה לא נמצא בנוסח. היינו שמחים אם הנוסח של הסעיף הזה היה "אמצעים סבירים המצויים ברשותו של בעל השליטה או המחזיק".
אסף גלעד
¶
קראתי את כל עמדות הצדדים. יש פה הסכמה מקצה לקצה שצריך להרחיב את הבסיס לעיבוד המידע, אבל יש גם הסכמה שכנראה זה לא יעבור בתיקון הזה. ולכן אנחנו נשארים כרגע, בהנחה שכתב ההכנה הזה עובר ב-90%, אנחנו נשארים עם בעיה בשוק, בעיה של חברה כמו שלי, או חברות גיוס והשמה, או חברות למניעת הונאות ודברים אחרים, והייתי רוצה לשנות בהגדרת מידע, להחריג כמו שקיים בקנדה, באוסטרליה, בסינגפור, מידע שנוגע לעסקו של אדם. יש פה הרבה גופים שאמונים על שמירת המידע האישי במרחב האישי של הבן אדם, אבל מידע שהוא מידע עסקי, כמו למשל הטייטל, איפה אני עובד ודברים כאלה, שאין ציפייה סבירה שזה לא יהיה פתוח לציבור, במיוחד כאשר שמים את זה על כרטיסי ביקור, באתרי האינטרנט, מידע עסקי לפי דעתי זה מידע שצריך להיות מוחרג מחוק הגנת הפרטיות, גם מתוקף הציפייה וגם מתוקף העובדה שהוא פומבי.
רחל ארידור הרשקוביץ
¶
ההגדרה של "מידע", אני חושבת שהיא נכונה והיא צריכה להיות רחבה, היא הבסיס של מה נכנס לחוק ומה לא. "אמצעים סבירים" אומנם זה לא משהו בלשון החוק ב-GDPR וגם לדעתי לא באנגליה, אבל שם ב-GDPR יש הסבר יותר מדויק מה הכוונה באמצעים סבירים בסעיף ההקדמה. באנגליה יש את ההסבר הזה על ידי ראש הרשות לפרטיות. יכול להיות שזה מה שחסר פה. ההסבר שעו"ד זנדברג נתן לנו בעל פה צריך להירשם איפשהו, אם זה בגילוי דעת של ראש הרשות, אם זה באיזה הסבר מצורף לחקיקה, מהם אותם אמצעים סבירים או מהו המבחן או גדר המבחן שבתי המשפט וגם מי שבא לדעת אם הוא נכנס לגדר החוק או לא, יצטרך לעמוד בו.
לגבי הסיפא של ה"לרבות", נכון שב-GDPR יש תתי-סיפא, היא אפילו יותר רחבה ממה שרשום בהצעת החוק, אבל משיחות עם אנשים מהתעשייה, התיבות האלה מעוררות שאלות בעיקר לנושא של המזהה הייחודי, ויכול להיות שיש מקום לשקול דווקא להשאיר את ההגדרה של מידע עד "אמצעים סבירים", כלומר, בדיוק לשמור את מונח השסתום ואת אותה הבעת עמדה שאותם מספרים או מזהים הם כן חלק מהגדרת המידע להכניס לאותו גילוי דעת או מסמך של הרשות.
דן חי
¶
למעשה יש שתי אסכולות בעולם של הגדרת מידע: האחת היא האסכולה של ה-GDPR, והיא משתקפת בהצעה כאן. יש אסכולה שאומרת שמידע צריך להיות רק מידע שמאפיין אדם. ניתן אולי דוגמאות. יש פסיקה די ישנה של בית הדין הארצי לעבודה שאמר שזה שיודעים שלאדם יש רופא שיניים זה לא אומר עליו כלום, כי לכולם יש, או מספר חשבון בנק לא אומר עליי שום דבר, או דוגמאות דומות אחרות, וזה שאני לקוח של פלאפון ולא של פרטנר לא אומר עליי כלום. אני חושב שזאת הדרך הנכונה להגדיר מידע, אחרת אנחנו נכנסים להגדרה מאוד רחבה, והייתי משנה בהגדרה במקום "נתון הנוגע לאדם" – "נתון המאפיין אדם".
ודבר שני, אני חושב שההערה של רחל מהמכון הישראלי לדמוקרטיה היא נכונה. אם נשארים עם הגדרה הראשונה, "נתון הנוגע", לא צריך את הפירוט בסוף, כי גם מספר תעודת זהות נוגע לאדם, במיוחד שזה נאמר כאן, אז זה יהיה גם ברור.
עוד ההערה, אם ההגדרה נשארת כפי שהיא, אני חושב שלא יהיה נכון לשנות את ההגדרות, כמו שהוצע בדף העמדה של סעיף 2, סעיפי משנה (7), (8) ו-(9), ענייניו הפרטיים של אדם, כי אז זה יהיה מאוד רחב, ואני לא חושב שלשם אנחנו רוצים ללכת, שזה יהיה עבירה פלילית לנגוע במידע כפי ההגדרה הרחבה שלו. אז צריך כן להשאיר את ההגדרה של "ענייניו הפרטיים של אדם", שבאופן טבעי תהיה יותר מצומצמת.
נעמה מנחמי
¶
דווקא היום הפרשנות של ענייניו הפרטיים של אדם היא מאוד רחבה. דווקא העובדה שיש לנו שתי הגדרות היא קצת בעייתית. בוא נגיע לזה - - -
דן חי
¶
נכון, הפסיקה הלכה מסע מאז ונטורה, דרך עדנה ארבל באגודה לזכויות האזרח, שהיא אמרה שצריך לראות כל מקרה לגופו. זה נכון, יכול להיות שאולי מתאים לעשות הגדרה למונח הזה בחוק, אבל לא הייתי עושה הגדרה שווה לשניהם.
חיים רביה
¶
אני מסכים עם דבריו של עו"ד זנדברג, אני חושב שהתיקון של הגדרת מידע הוא מן החשובים בהצעת החוק הזאת, אבל צריך להעיר שלוש הערות חשובות בהקשר הזה. האחת היא שכמעט אין מידע הנוגע לבני אנוש שאי-אפשר לייחס אותו לאדם מזוהה. כך מגלים מחקרים. אתן שתי דוגמאות: מדינת וושינגטון בארצות-הברית כפויה מכוח חוק לשחרר מידע אנונימי כביכול של רשומות רפואיות, חוקרי אבטחה גילו כיצד הם מקשרים בין המידע האנונימי הזה לבין ידיעות עיתונאיות ומזהים בכך אנשים בשר ודם. נטפליקס שחרר מידע אנונימי כביכול על הרגלי צפייה. חוקרי אבטחה הצליבו את המידע הזה עם מידע מאתר אינטרנט של סרטים, וגילו לא רק את זהותם של האנשים, אלא גם את נטייתם הפוליטית ונטייתם המינית. אז כאשר אומרים "אמצעים סבירים", השאלה היא מה הם ייחשבו.
באופן רגיל היינו יכולים לחיות עם העמימות הזאת. אנחנו חיים עם סעיפי השסתום האלה בכל החקיקה הישראלית, אלא מה? אני מזכיר שמידע הוא רכיב חשוב מאוד בהגדרת מאגר מידע, והצעת החוק רוצה לשמור את יחידת הבסיס של מאגר מידע, את חובת הרישום שלה, לאכוף את חובת הרישום גם בקנסות, ואנחנו יוצרים אם כך עמימות ואי-בהירות בשאלה מהי יחידת הבסיס של מאגר מידע. אני מעיר את זה מפני שבעקיפין ההגדרה הזאת הנכונה, ועונה על החקיקה המודרנית, היא כשלעצמה אינדיקציה לכך שאנחנו צריכים להיפרד מיחידת הבסיס של מאגר מידע.
הנקודה השנייה נוגעת אכן למה שמופיע לאחר המילה "לרבות", ואני מסכים עם ד"ר ארידור, שייתכן שצריך להיפרד מן המילים הללו, מפני שזה מעורר אין-ספור שאלות. מספר תעודת זהות, טריוויאלי שייחשב למידע מזהה, אבל אנחנו עוסקים בשאלה האם מידעים טכנולוגיים ייחשבו מזהים, לא רק כתובת IP, דברים שנקראים UDID, שהוא מספר חומרה ייחודי של מכשירי טלפון סלולרי, כתובת MAC, שהוא מספר ייחודי של אמצעי המחבר לרשת. האם מאפיינים ייחודיים של מערכת מחשב יזהו אדם וכיוצא בזה?
ככל שאנחנו משאירים את ה"לרבות" וגם ככל שלא, חשוב לשמוע את עמדת הרשות, בין אם כאן, בדברים הללו שנרשמים בפרוטוקול, ולימים משמשים אותנו, עורכי הדין, כאשר אנחנו ניגשים לפרש את החוק, ובין אם בגילוי דעת שהיא תוציא בהקדם האפשרי בהקשרים ההם.
זאב בנימין בגין (תקווה חדשה)
¶
בחלק הראשון של דבריך הבאת שתי דוגמאות די מרתיעות לגבי אפשרות פענוח זהות של אנשים או נתונים עליהם. האם אני צריך להסיק מדבריך, ואני לא מומחה בתחום הזה, שאנחנו צריכים להביא בחשבון, כפי שנאמר לעתים, שהכול ניתן לגילוי בסופו של דבר ואין דבר כזה מידע חסוי? אני לא מדבר על ילדות בנות 16 שמציפות את הרשת בתמונותיהן, יותר או פחות לבושות, אני מדבר על הדברים האלה, כמו מידע רפואי. ובכל זאת, אתה לא פוסל את הצעת החוק כפי שהיא, או את האפשרות בכל זאת לשמור על זהותו של אדם או על פרטים שלו, אלה שמנויים בהצעת החוק, בסודיות.
חיים רביה
¶
ברשותך אני אשיב, לא בכשירותי כמי שמייצג את איגוד הבנקים, אלא בכשירותי כמי שעוסק בפרטיות זה יותר מ-25 שנים, ואומר כך: כל שובל של מידע שאדם משאיר אחריו, ניתן בסופו של דבר לשייך למידע, בהינתן מספיק משאבים ורצון. כך מוכיחים מחקרי אבטחה עדכניים. האם פירושו של דבר שאין לך פרטיות? לא, יש לך. תמיד השאלה מה המאמץ הנדרש כדי לזהות את המידע הזה, אילו אמצעים אתה עצמך נוקט כדי לשמור על פרטיותך וכיוצא בזה. יש הרבה מה לעשות בהקשרים האלה.
ניר גרסון
¶
רק לגבי תשובה לחבר הכנסת בגין. המענה לחשש שלך מתבטא בהגדרת המידע שנוגעת לא רק ל"אדם מזוהה", אלא גם "ניתן לזיהוי". לכן אנחנו רוצים להטיל את הגנות החוק גם על מידע שניתן לזיהוי יותר בעקיפין.
ניר גרסון
¶
מטרת הרגולציה שלנו היא לצמצם את הסיכונים הנובעים מעיבוד מידע ממוחשב, גם מידע הניתן לזיהוי. אפשר להגיד שברמת רזולוציה מאוד גבוהה, אם מפרסמים לשוק תוצאות סטטיסטיות מאוד מצומצמות, מזה כנראה אי-אפשר לחזור אחורה ל"אדם ניתן לזיהוי".
לגבי הערות שעלו כאן. עו"ד פרובלר, לגבי "אמצעים סבירים", אנחנו לא רוצים עמימות, אבל יש ערכים ומונחים, כפי שמקובל היום בחקיקה בהרבה הקשרים, שחייבים להשתמש בהם במונח שסתום, שיקבל את המשמעות בפסיקת בתי המשפט ופרשנות, סטנדרטים מקובלים. אבטחת מידע למשל, משך שנים ארוכות, בטרם התקנת תקנות אבטחת מידע ובמידה מסוימת גם אחריהן, נחתכה לפי שהיא הייתה חובה חוקית – חוק הגנת הפרטיות – נחתכה לפי אמצעים סבירים, לפי סבירות, לפי הסטנדרט המקובל. וגם פה.
שאלתם, אני חושב שגם אתה שאלת. אנחנו ברשות בהחלט נפרסם, אני חושב שזה גם עונה להצעה של ד"ר ארידור – הרשות בהחלט תפרסם גילוי דעת ופרשנויות שיעזרו לשוק. גילויי דעת שלנו, פסיקה של בתי המשפט ייצקו תוכן. "אמצעים סבירים" זה מונח שסתום שיש לו גבולות.
היו"ר גלעד קריב
¶
מכובדיי, אני קובע פה מסמרות לדיונים. תשובות קצרות. אנחנו הרי לא מכריעים כרגע. עלו נקודות. אנחנו כרגע אוספים, נשב אתכם אחרי זה, נחשוב. הלאה.
ליאת בן מאיר שלום
¶
אם אפשר לומר רק משפט אחד, "אמצעים סבירים" מוסיף בהירות לתיבה של "במישרין או בעקיפין". החיקוקים שהזכרתם, ה-GDPR, אין "באמצעים סבירים" שמופיע אחרי זה ב - - -. רצינו דווקא לצמצם את אי-הבהירות, מה זה "במישרין או בעקיפין".
מיכל אברהם
¶
וגם בהמשך לדוגמאות אחרות מחקיקה ממש אפילו מהעת האחרונה, למשל חוק שירות מידע פיננסי שייכנס לתוקף עוד מעט, מ-2021, שמדבר על זיהוי במאמץ סביר, לרבות בדרך של הצבת המידע אל מול מאגר מידע אחר, הזמין לגוף המחזיק במידע כאמור או מול מידע הזמין לציבור הרחב.
נעמה מנחמי
¶
שם זה דווקא די מצמצם, כי זה מידע שזמין לאותו גוף או לציבור, אבל אם יש לי שני גופים, אולי אפילו שיש ביניהם איזה קשר - - -
ניר גרסון
¶
התפיסה היא שהרגולציות של פרק ב' חלות לא רק על מידע, להבדיל אולי מפרק א' – נדון בזה בהמשך – נכון שיש מידע שאדם מרצונו מוסר, מידע על עסקיו, כרטיס ביקור, זה לא אומר שלא צריך להגן על איסוף שלו, נגיד שימוש בו במטרה אחרת. גם אם הצגתי כרטיס ביקור שלי, אולי אני לא רוצה שחברת ביטוח תאסוף את הפרטים האלה עליי ועל עוד אנשים שהציגו כרטיסי ביקור, ותעבד אותם למאגר שיסייע בהחלטה אם כדאי לבטח אותי או לא ומה הפרמיה. זאת אומרת, גם למידע כזה יש מגבלות. לכן גם מידע כזה, גם אם הוא לא היה אולי נחשב לפגיעה בפרטיות לפי סעיף 2, יש היגיון לאבטח אותו, להטיל מגבלות מסוימות על השימוש בו וכך הלאה, לתת בו זכות עיון למשל.
ניר גרסון
¶
אדוני, עוד נקודה אחת, דווקא היום בעולם של ניתוחים, הצלבות מידע ובינה מלאכותית, זה גם מתכתב עם דברים שאמרו דוברים אחרים פה, כיום כמעט מכל נתון ניטרלי לכאורה, אם מצליבים אותו עם מידע ממקורות אחרים או מעבדים אותו בעיבודי בינה מלאכותית, מוצאים בו דפוסים שיכולים ללמד על מידע רגיש. אני חושב שמכאן ההגדרה הרחבה של ה-GDPR ושל רגולציות דומות בעולם, וזאת ההצדקה להגדרה הרחבה מאוד. קשה להגיד מראש מה זה מידע, כמעט בלי אפשרי, מה זה מידע שמאפיין. כל דבר עלול לאפיין.
איל זנדברג
¶
להשתמש בביטוי "מאפיין", סליחה שאני אומר, בהערכה רבה לעו"ד דן חי, זה לחוקק את העבר, לא את העתיד. המיקום שלי מאפיין אותי? זה שאני ממוקם ברח' הרצל 7, זה מאפיין אותי? זה לא מאפיין, זה הגדרה צרה, אבל ברור לנו, כמו שאמר עו"ד גרסון, המידע, העתיד הוא שהטכנולוגיה מסוגלת – תוך כדי הדיון הזה מישהו מפתח איזה אלגוריתם שמסוגל לעשות עיבוד שלא חשבנו קודם, שלוקח נתון, שהוא סתם נתון שמתקשר לאדם ומספר משהו על האדם, על המהות שלו, שעליה אנחנו רוצים להגן. לכן "מאפיין" זה מצומצם, זה אחורה, זה התעלמות מטכנולוגיה מתפתחת, זה גם לא מה שנהוג בעולם, ולכן אני חושב שזה מחטיא את המטרה.
נעמה מנחמי
¶
נעבור להגדרה המוצעת של מאגר מידע: "'מאגר מידע' – אוסף פרטי מידע המוחזק באמצעי דיגיטלי, למעט אוסף לשימוש אישי שאינו למטרות עסק."
איל זנדברג
¶
הייתה התלבטות אם לשמר את המושג של "מאגר מידע", והחלטנו שכרגע כן, לא לעבור לדיבור כללי על עיבוד מידע בכל הקשר שהוא. יכול להיות שבשלב הבא גם בזה נעשה סדר. מכיוון שאנחנו משמרים את המושג, בטח אנחנו לא מוסיפים איזה אי-בהירות לשוק. השוק מכיר את המושג הזה, עובד לפיו. כל עוד ההחלטה היא בשלב הזה, לפחות זאת ההצעה הממשלתית, לא לבטל באופן מוחלט את חובת הרישום, ואולי תרצו לשמוע גם את ראש הרשות, נציגי הרשות בהקשר של חובת הרישום, העמדה העקרונית כרגע שאנחנו מצמצמים את חובת הרישום, כדי להקל על השוק, אבל לא מבטלים אותה לחלוטין, ולכן ההגדרה של "מאגר מידע" היא הגדרה שאנחנו עדיין זקוקים לה, ולכן היא כאן.
היו"ר גלעד קריב
¶
האם אנחנו לא נמצאים במצב שבו אנחנו משמרים את חובת הרישום, גם אם בהיקפים הרבה יותר מצומצמים, רק על מנת לפטור את עצמנו מהצורך לעבור להגדרות שמתמקדות בעיבוד המידע האסור?
היו"ר גלעד קריב
¶
שום דבר פה הוא לא טכני, השאלה אם לא היה ראוי להסתער על המשימה ולעבור משפה של מאגרי מידע ושימוש בהם לשפה יותר מתקדמת היום של עיבודים מותרים ועיבודים אסורים?
איל זנדברג
¶
המשימה היא לא להתאים את המושגים. זו שאלה עקרונית. מה התכלית של הרישום? האם התכלית הזאת חשובה? האם היא מושגת באמצעים חלופיים? והאם העמדנו את האמצעים החלופיים?
גלעד סממה
¶
רק במילה אחת, הנושא הרי הוא בבחינה, אנחנו מודעים כולנו לכך שהתיקון הבא הוא תיקון 15, ואנחנו עובדים עליו במשרדי הממשלה. סברנו שצריך לצמצם את חובת הרישום, ויש כאן אגב צמצום משמעותי, אבל אנחנו עדיין לא מצויים במצב שבו שקללנו את כל המונחים של תיקון 15 כדי להגיד שיש לנו עוגן אחר שמחליף את חובת הרישום. הנושא בבחינה, אבל הכיוון הוא ברור, אנחנו מסמנים את הכיוון, אנחנו מסמנים אותה בצורה די משמעותית.
היו"ר גלעד קריב
¶
אני מבין שזה הכיוון, אבל היא הנותנת. האם באמת שזה הכיוון כן רומז על היבט טכני? היבט טכני יכול להיות עוד לא היה סיפק בידינו. נראה לנו תהליך פנים-ממשלתי יותר מורכב.
האם ברמת המהות, גם בהינתן הדין הישראלי אבל גם בהסתכלות על העולם שאיתו אנחנו משוחחים, מה עומד מאחורי הדרישה המהותית להישאר עם חובת רישום?
איל זנדברג
¶
אנחנו בשלב ההגדרות, מתוך ההגדרה של "מאגר מידע" אנחנו מנסים לכסות סעיף שיביאו בהמשך שידבר על המהות של רישום - - -
מיכל אברהם
¶
רק אם אפשר להעיר, ההגדרה של "מאגר מידע" לא נוגעת רק לחובת הרישום, היא הגדרה לכל רוחבו של החוק, ואם אתם מכוונים לאפשרות לא להשתמש במונח הזה, זה פשוט מהפכה שנכתוב הכול מחדש.
היו"ר גלעד קריב
¶
בסדר גמור. אנחנו מקבלים את ההצעה, ואנחנו רושמים לפנינו סביב הסיפור של צמצום חובת הרישום שנצטרך לקיים דיון מהותי. דרך אגב, אני לא אומר שנימוק טכני פסול. יכולה הרשות המבצעת לבוא ולומר שיש פה תהליך חשיבה, שהוא יותר מורחב ממה שאנחנו יכולים לבצע בשבועות הקרובים, ולכן ההצעה שלנו ללכת פה בתהליך ביניים, אבל אז צריך להבין שמדובר פה בתחנת ביניים, ולא להעמיס עליה יותר מדי דברים. למשל כשבאים ומציעים – אני רק מכין אתכם לבאות – אם אנחנו נמצאים בעידן שבו התכלית של תיקון 14 היא החרפה דרמטית של אמצעי האכיפה ושל הסנקציות, וזה נוגע בין השאר לעניין של חובת הרישום, ואנחנו נשמע שחובת הרישום היא לא דבר מאוד מהותי, יש פה דבר שצריך לחשוב עליו. סנקציות חריפות מטילים על דברים מהותיים, לא על דברים שאומרים שפשוט עוד לא הספקנו או שאנחנו לא יכולים להאיץ את התהליך וייקחו לנו עוד כמה חודשים, אבל בינתיים בואו נטפל בתיקון 14.
היו"ר גלעד קריב
¶
עד כמה הנושא הזה קיים היום בעולם או עד כמה אנחנו נותרים היום בודדים בעולם בדרישת הרישום? אני רק מקדים את הבאות.
היו"ר גלעד קריב
¶
יש שתי שיטות בנתינת סימנים. רבי יהודה בהגדה עושה את זה אחרי הפירוט, אבל זה טעות, כל הרעיון של הסימנים זה לפטור אותנו מהחובה, אז אני נותן סימנים לפני.
היו"ר גלעד קריב
¶
ראית איך אנחנו ממשיכים להתכתב על ההגדה? כורך, סימנים. רק שאף אחד לא יאמר פה דיינו בעוד שנייה.
ליאת בן מאיר שלום
¶
העניין של הישארות עם מאגר מידע זה מבנה של החוק. כך החוק בנוי, כך התקנות בנויות. רק לפני כמה שנים הוועדה הזאת אישרה תקנות של אבטחת מידע, שיש שם חובות שקשורות למיפוי של מאגרים. מכיוון שלא זיהינו איזה פער מהותי שעומד, ברגע שאנחנו נשארים עם הקונספט של מאגר מידע, לא חשבנו שצריך לגעת בזה ולעשות מהפכה נוספת שרק מבלבלת יותר.
ניר גרסון
¶
דבר אחרון לפני האפיקומן. אלה סוגיות נפרדות, אדוני. זה מאוד מבלבל, אבל חובת הרישום והשימוש במונח "מאגר מידע" לא תלויות. אפשר לבטל לגמרי את הרישום ולהישאר עם המונח מאגר מידע, וגם הפוך. אלה סוגיות נפרדות.
היו"ר גלעד קריב
¶
בסדר. רק שאלת תם. ההגדרה של "המוחזק באמצעי דיגיטלי" קיימת היום בחוק לגבי מאגר מידע?
ליאת בן מאיר שלום
¶
היום זה מוחזק באמצעי מגנטי אופטי, שזה מונח לא עדכני. "אמצעי דיגיטלי" זה המונח המותאם יותר. השמטנו איזה סייג שכלול בהגדרה.
חיים רביה
¶
השמטתם גם את "המיועד לעיבוד ממוחשב". ההגדרה הנוכחית עוסקת גם בהחזקה באמצעי מגנטי או אופטי וגם "המיועד לעיבוד ממוחשב". השמטתם את שני החלקים. ההגדרה היא "אוסף פרטי מידע", ומידע זה נתון הנוגע לאדם, אז מבחינה לשונית יש כאן בעיה. זה כמו אוסף פרטי נתונים.
נעמה מנחמי
¶
רק לעניין "לשימוש אישי", אחת השאלות שלי הייתה על דברים שאולי נמצאים על איזה תפר, כמו לדוגמה אותו קובץ שעושה לעצמו ועד הבית לגבי מי שילם ומי לא שילם. אני מבינה שעמדת הרשות לעניין ועד הבית, שזה לא נכנס "לעניין אישי".
ניר גרסון
¶
חלקו הוא מאגר מידע או חלק ממאגר מידע. את השמות אתה מחזיק גם במחשב. במהלך השנים לא היו לבטים או פרשנות - - -
ניר גרסון
¶
כן. זה חריג שקיים בחוק היום. זה חריג שקיים גם ב-GDPR. ועד בית, כל תאגיד, בית הכנסת, פעילות ציבורית לא במסגרת עמותה – כל אלה לא פעילות אישית. החריג הוא רק לגבי מידע שאוסף אדם לצורך משק הבית הפנימי שלו, התחביב שלו. ועד בית או כל התארגנות, כל מטרה מעבר לד' אמות לא נכנסת לחריג, ולכן כן נחשבת למאגר מידע.
דן חי
¶
אני חושב שזה אבסורד להגיד שיש מאגר מידע בטלפון שלי, למרות שאולי זה נראה הגיוני. מה שעו"ד גרסון אמר, שזה צריך להיות בפירוש מידע אישי ולא מידע לשימוש אישי ולא מידע שהוא מאגר מידע. אני גם חושב שכדאי להתייחס לנושא הכמותי, שלא הייתה עליו אף פעם התייחסות. האם שלושה אנשים זה מאגר מידע? אין לזה גם היום התייחסות.
נעמה מנחמי
¶
נכון. ההתייחסות היא אגב חובות אחרות, חובת הרישום, אבל מאגר מידע הוא במובן מסוים כבר מהרשומה הראשונה.
איל זנדברג
¶
ברמה המושגית אנחנו בשלב ההגדרות. כשנעבור לסעיפים האופרטיביים, הוועדה תבחן האם ההגדרה רחבה מדי בהקשר מסוים, צרה מדי, אבל אי-אפשר ברמה המושגית לעצור את זה במספר מסוים. ברור לכולנו שאי-אפשר להגדיר את המספר הזה, רק לומר שכאשר מדובר על הטלפון שלי, אפשר לקרוא לזה "המחשב שלי". זה לא מכשיר הטלפון עם החוגה, זה מחשב שאנחנו קוראים לו במקרה "טלפון", כי חלקנו גם משתמשים בו כטלפון. יש אין-סוף שימושים אחרים, וזה מושג שיכול לבלבל קצת - -
היו"ר גלעד קריב
¶
בזה אנחנו נסתכל בשלב החובות, ומה מוטל בחובות. אני אומר עוד פעם, אנחנו לא יכולים ברמת החקיקה לסיים את כל תהליך ההגדרה. יש פה תפקיד לבתי המשפט ולרשות. ואני מניח שהפסיקה, אם היא תידרש לזה, היא תצטרך לתת מבחנים מתי אנחנו בטריטוריית השימוש האישי ומתי עוברים ממנה. אפשר תכלית מרכזית של המאגר, אופני שימוש מרכזיים. אי-אפשר לצאת בחקיקה ראשית - - -
ניר גרסון
¶
זה לא חידוש. הטלפון הוא לא המאגר, הוא פלטפורמה או מדיה שמחזיקה חלק מהמאגר, אבל חבל להיכנס לכאן.
נעמה מנחמי
¶
ההגדרה שלא נכנסנו אליה, הנושא של "ידיעה על ענייניו הפרטיים של אדם", אתם רוצים לחזור אלינו עם הדבר הזה?
נעמה מנחמי
¶
היא לא כלולה בהצעת החוק, אבל היא כן כלולה כפרט, גם בחוק וגם בהצעת החוק. כלומר, המונח – נעשה בו שימוש גם בחוק וגם בהצעת החוק. הוא לא מובהר היום. אין לגביו הגדרה. במובן מסוים הוא קצת יותר חופף את ההגדרה החדשה של "מידע" לעומת הגדרת "מידע" הישנה. והם צמודים בהרבה מאוד מקומות בחקיקה. כלומר, כתוב: מידע, לרבות מידע על פרטיו האישיים.
נעמה מנחמי
¶
שאינו עולה לכדי מידע. יש מקום אחד. ברור שהם מתכתבים האחד עם השני, חופפים. כן אבקש מכם התייחסות לנושא הזה.
איל זנדברג
¶
אני מציע שנתמקד בהגדרות שכבר קיימות, לא כי אנחנו שוללים את הרעיון, אלא כי אנחנו צריכים עוד להבשיל איתו. קיבלנו את ההערות כהכנה לדיון, וזה משהו שדורש בדיקה ונחזור אליו.
נעמה מנחמי
¶
קראנו אותו קודם, כי קראתי את כל ההגדרות, אבל אולי נבקש את ההתייחסות שלכם. קשה קצת להימנע מהתחושה שיש פה הרבה מאוד מידעים, שהופכים להיות מידעים בעלי רגישות מיוחדת.
מיכל אברהם
¶
קודם כול, באופן כללי החוק הקיים נוקט במונח "מידע" ו"מידע רגיש", כאשר למעשה ההבדל בין שני המונחים הוא לא מאוד גדול. "מידע רגיש" לפי החוק הקיים לא כולל את מעמדו האישי והכשרתו המקצועית של אדם. ובתיקון 14, בהצעה שמונחת לפניכם, אנחנו מציעים לבטל את הגדרת "מידע רגיש", ובמקומה לקבוע הגדרה של "מידע בעל רגישות מיוחדת", שרובה מתבססת על הרשימה שנמצאת היום בתוספת לתקנות אבטחת מידע, וכמובן שואבת השראה מהרגולציה האירופית ה-GDPR, כמובן בהתאמות והשינויים הנדרשים.
אני אעיר בהקשר הזה שה-GDPR קובע שסוגי מידע מסוימים, לא יתבצע בהם עיבוד. פה אנחנו מדברים על מצב אחר. אנחנו לא אומרים שאסור יהיה לעשות פעולות כאלה או אחרות, אלא אנחנו מגדירים את המידע כמידע רגיש, "מידע בעל רגישות מיוחדת", והנפקות בהקשר שלנו בהצעת החוק היא גם לגבי חובת הרישום, החל מ-500,000, ונדבר על זה בהמשך בהקשר לגובה העיצום הכספי. זה אחד הפרמטרים.
היו"ר גלעד קריב
¶
נגיע לזה בעיצומים הכספיים, אבל אתם צריכים להבין שככל שהרשימה פה היא רשימה יותר רחבה, הנכונות שלנו ללכת להחרפה דרמטית של העיצומים תהיה הרבה יותר מוגבלות. ויש תחושה שהלכנו ושימרנו רשימות מאוד מאוד רחבות בצד החרפת עיצומים שהיא כמעט across the board. אני מתקשה לראות על איזה מידע אתם מדברים שלא נכנס לקטגוריות של רגישות מיוחדת, אני חייב לומר. אנחנו קצת מקדימים את המאוחר, אבל אין ברירה, התיקון עוסק בעיקר באמצעי האכיפה שיש לכם, אתם מבקשים החרפה דרמטית של אמצעי האכיפה, וזה לא מתאים לרשימה ארוכה כזאת. זאת נקודה אחת. ודבר שני, אתם אומרים שזה שואב השראה מההגדרות הבין-לאומיות, הרשימה הזאת הרבה יותר מרחיבה מה-GDPR.
היו"ר גלעד קריב
¶
אתם יוצרים מצב שכמעט כל מידע שנאסף במהלך פעילות לגיטימית ושגרתית הוא מידע בעל רגישות מיוחדת. נכון שאתם מצמצמים פה את חובת המרשם וכו', אבל אנחנו לא יכולים להתעלם מהחרפת הסנקציות. וגם מהותית, הרי אנחנו בעידן של צבירת מידע אדירת ממדים. האם בעידן כזה אפשר להישאר עם כאלה הגדרות מרחיבות ל"רגישות מיוחדת"? האם לא צריך לייצר שתי קומות?
מיכל אברהם
¶
אפשר ממש לרדת לפרטים של כל אחד מפרטי המידע שנמצאים עכשיו בהצעה שלפניכם, אבל חשוב קודם כול להגיד, כמו שאמרתי, שזה מתבסס על הרשימה של תקנות אבטחת מידע ושואב השראה מה-GDPR. ושוב, ההקשר ב-GDPR הוא שונה, כמו שאמרתי. אצלנו המשמעות היא שונה. עוד משהו שחשוב להגיד, שהקביעה מה נחשב כמידע בעל רגישות מיוחדת זו איזה קביעה שהיא ערכית. אני מניחה שאם תשאל 100 אנשים, תקבל כנראה 100 תשובות שונות או אולי קצת פחות.
היו"ר גלעד קריב
¶
ולכן 120 יושבים בבית הזה. זה בדיוק התפקיד שלנו. אם יש ליועצת המשפטית ולכם הצעה לגבי סדר הדיון, בבקשה, אבל אי-אפשר לוותר על הדיון הזה. כשנגיע לדבר על העיצומים, נדבר על העיצומים, האם יש היגיון בהכפלת קנסות או עיצומים כספיים פי עשרה. למה עשרה ולא חמישה? הדיון המהותי צריך להתקיים. זה אחד הדיונים החשובים של התיקון הזה. אתם בחרתם לייצר החמרה דרמטית ברמת הסנקציה בין מידע רגיל למידע בעל רגישות מיוחדת. אם לא הייתם בוחרים לעשות את זה, אולי זה היה פחות חשוב, אבל כרגע זה הופך להיות סוגיה דרמטית.
היו"ר גלעד קריב
¶
ביחסים בין מדינה לבין אזרח, הסנקציה היא לא הנספח, היא הדבר עצמו. אפשר מהיום עד מחר לכתוב הוראות נורמטיביות, אבל אם הסנקציות משקפות דבר אחר של מדרגות חומרה, אז יופי שכתבנו. מבחינת הדיון אני פתוח להצעות, אבל מדבר אחד אי-אפשר להתחמק, לא נלך להחרפת סנקציה דרמטית על מידע בעל רגישות מיוחדת מבלי לשמוע פרט-פרט. אפשר לעבור פרט-פרט, תצטרכו לנמק.
ליאת בן מאיר שלום
¶
השימוש בהגדרה, "בעל רגישות מיוחדת" יש לו נפקות לא רק לצורך גובה העיצומים, יש לו לפחות נפקות אחת עכשיו פה בתיקון 14, והרשימה דומה, אף שזה לא מוגדר שם כ"מידע בעל רגישות מיוחדת". כמו שציינה מיכל זה מופיע בתקנות. אנחנו כן יכולים להסביר את ההיגיון שעומד מאחורי הרשימה.
יש כאן סוגי מידע שגם המחוקק הישראלי רואה בהם כבר היום סוגי מידע רגישים. הרבה פעמים הוא ייחד להם חקיקה ייעודית, חוק זכויות החולה לעניין הגנה על מידע רפואי, חוק מידע גנטי - - -
ניר גרסון
¶
אולי בכל זאת רק לסגור את הפינה. מבחינת נפקויות, נתחיל לדון בכל הגדרה. החוק מציע כלים לאזן כבר בהצעת החוק עצמה וגם בתקנות – לאזן את הנפקויות. השאלה היא מה הנפקות של ההגדרה. מעבר לאמירה הערכית מה הנפקות.
לגבי הרישום, גם מידע שמוגדר בעל רגישות, יהיה טעון רישום רק אם הוא מ-500,000 ומעלה. זאת אומרת, עסקים קטנים לא יגיעו. אחרי שנדון בכל הגדרה פה לגופה, לגבי הסנקציה יש גם שם גורמים, אז אולי נראה שיש צורך להשתמש או חובה עלינו לקבוע נהלים שיחייבו אותנו ללכת קודם להתראה לפני שמטילים עיצום במקרים מסוימים, יש תקנות הפחתה. אני רק מזכיר את זה לוועדה, כדי שזה יהיה לכם בראש כשאתם דנים בכל תת-הגדרה של הרשימה של רגישויות מיוחדות.
איל זנדברג
¶
אדוני היושב-ראש, הדגשת את הסנקציות, את העיצומים, כרכיב מאוד משמעותי, על זה אני לא חולק כמובן. מבחינת הפרט זה מאוד משמעותי, ובכל זאת, הרכיב של ההוראה עצמה, מהו האיסור, מהי ההגבלה בשימוש האישי שאדם רוצה לעשות בקניין שלו, בעסקים שלו וכדומה במידע, ההגבלה עצמה חשובה לא פחות. אז אם יש מעט הגבלות, אבל מי שמפר אותן עלול להיתקל, או יכול להיות שמוטל עליו עיצום כספי גדול, אז העיצום משמעותי, אבל עדיין היקף מצומצם של הגבלות כנפקות של הגדרה מסוימת, גם זה רכיב שחייבים לשקול, לכן יש פה משולש. זה לא שני רכיבים, אלא שלושה, שגם הם חשובים.
נעמה מנחמי
¶
אני רק אציין שאנחנו נמצאים במובן מסוים רק בתחילת הדרך מבחינת התיקונים המהותיים. והעובדה שכרגע אין הרבה איסורים לא אומרת שלא יהיו בסוף תיקון 15. לצד זה שאין הרבה הגבלות, אני כן חושבת שצריך לזכור שאנחנו עוד נראה הגבלות.
איל זנדברג
¶
וכל הגבלה תמיד-תמיד תוכל לחול, כן או לא, על חלק מהרכיבים של ההגדרה. אם מורידים עכשיו משהו מההגדרה, זה לא יהיה מידע רגיש. נעבור רכיב-רכיב, נסתכל על ההיבט שנקרא לו "הערכי" שמאחורי זה, אבל אם בהמשך הדרך תצוץ הגבלה בהצעת החוק הזאת, בהצעת חוק בעתיד, ויחשבו שההגבלה רלוונטית רק לפריטים האי-זוגיים ולא לזוגיים, המחוקק יוכל להחליט שכך יהיה.
היו"ר גלעד קריב
¶
זה בוודאי. נצטרך בסופו של דבר ללכת בשני הנתיבים, אבל עדיין אנחנו לא יכולים להתעלם מהעובדה ש-40 שנים אחרי החוק וכך וכך שנים אחרי התקנות, עם כל הכבוד לזה שדברים מוגדרים בתקנות, אנחנו עוסקים עכשיו בחקיקה ראשית, צריך לתת את הדעת האם באמת הרשימה הזאת, האם אפשר לשים נתונים גנטיים של האדם באותו משלב נורמטיבי – תעזוב את הסנקציות – כמו אמונותיו של אדם שהרבה פעמים זה ניכר מאיך שהוא לבוש, וזה ניכר מדברים שהוא כותב ומצהיר לגבי עצמו? האם פרטים עסקיים ופרטים ביומטריים יכולים להיות באותה מדרגה?
איל זנדברג
¶
אם אדוני רוצה, נקיים את הדיון, אנחנו לפחות נשמע את ההערות, את הכיוונים, את הרוח של הוועדה, ובהתאם לזה נוכל לעשות עבודה ולחזור עם משהו יותר מדויק, אבל אנחנו צריכים לשמוע מה הכיוון. אנחנו חשבנו שהרשימה הזאת כשלעצמה, יש לה הצדקה.
היו"ר גלעד קריב
¶
זה אחד מהסעיפים המשמעותיים ביותר בעיניי שצריך לדון בהם לגופם של דברים.
אני מבין שהשימוש ב-GDPR הוא שונה, אבל דווקא בגלל הדברים שאמרת, איל, שהדברים גם עומדים בפני עצמם כאמירה נורמטיבית. עד כמה המידע הזה קרוב לליבה המקודשת של פרטיותו של האדם? צריך להעלות את השאלה מה פשר הפערים בין ההגדרה שלנו, שהיא מאוד מרחיבה, לבין ההגדרה של ה-GDPR, שבכל זאת אנחנו נושאים אליו את עינינו, כאיזה קריאת כיוון מתקדמת.
ליאת בן מאיר שלום
¶
הפערים להערכתי לא מאוד גדולים. זה באמת עניין של רגישות תרבותית. באירופה למשל, הנושא של ההשתייכות לאיגוד מקצועי רגישה, אצלנו – לא. זה לא נכלל כאן. אם אתם מסתכלים על סעיף 9, עוד פעם, הוא לשימוש אחר, אבל עדיין אם מסתכלים על סעיף 9 ל-GDPR, הוא מדבר על מידע שחושף מוצא. אני לא אוהבת להגיד את זה, אנחנו ממש לא מעוניינים להכניס את המילה "גזע" שמופיעה בחיקוקי אפליה, אנחנו ממש לא מעוניינים לחזור על זה, זה לא נכון, והביטוי מוצא תופס גם את האתני וגם מעבר לזה. דעות פוליטיות, אמונות פילוסופיות או דתיות, יש להם את ה-trade union, כמו שאמרתי, החברות, והעיבוד של מידע גנטי, מידע ביומטרי, למטרה של זיהוי ייחודי של אדם, מידע הנוגע לבריאות, מידע הנוגע לחיים מיניים או נטייה מינית, ואחר כך יש בסעיף 10 גם התייחסות לעיבוד מידע שנוגע להרשעות פליליות ועבירות.
נעמה מנחמי
¶
פרט ראשון, "מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד". באופן אירוני אנחנו דווקא מתחילים עם משהו שאולי אפשר להגיד שהוא גם מצמצם. אני רוצה להפנות את תשומת הלב של הוועדה שבנוסח הקודם היו גם נתונים על אישיותו של אדם, צנעת אישיותו ואישיותו של אדם. אולי ירחיבו לנו אנשי הרשות.
מיכל אברהם
¶
המונח "אישיותו של אדם", כמו שבאמת מופיע בחוק הקיים, אנחנו לא רואים כמו מה שעכשיו אנחנו מדברים עליו, ממש כצנעת חייו, מה שנמצא בד' אמותיו של אדם, זה יותר פרטים שהם דמוגרפיים, פרטים אישיים שנוגעים לאדם, שלא נכללים בסוג של מונח סל של פרטים שלא נכללים ביתר פרטי המידע.
נעמה מנחמי
¶
נניח אדם פותח רשימה של אנשי השכונה שלו ומסווג אותם – נחמד, פחות נחמד, מתחיל לדרג את האישיות שלהם. אני מנסה להבין מה זה אישיותו של אדם.
מיכל אברהם
¶
שוב, המונח הזה לא נמצא בתיקון 14. אני לא חושבת שמה שציינת ייחשב כמידע בעל רגישות מיוחדת.
נעמה מנחמי
¶
אני כן רוצה להסב את תשומת הלב של הוועדה. לדוגמה, מידע שנאסף באתרי היכרויות על אישיותו של אדם או על ידי אנשי צוות חינוכי, לא נחשב ברשימה הזאת, אם אני מבינה נכון.
נעמה מנחמי
¶
לדוגמה, כתבו על ילד שהוא שקרן ומניפולטיבי. האם זה מקבל הגנה או לא מקבל הגנה? אני כן רוצה שחברי הוועדה ישימו לב לזה, כשאנחנו דנים במדרג של מידע כלכלי, חובותיו וכו' גם אל מול ההגדרה הזאת. כלומר, מה אנחנו כן מכניסים, לא רק מה אנחנו לא מכניסים.
דן חי
¶
צריך גם לזכור שההגדרה "צנעת חייו של אדם" זכתה לפרשנות מרחיבה בפסיקה, בפסק דין גוטסמן, אז פה אנחנו מדברים על משהו מאוד רחב. שם דיברו על ההדמיות של בית של אדם. השאלה אם זה מה שאנחנו רוצים באדם בעל רגישות מיוחדת.
חיים רביה
¶
בהבדל מה-GDPR, שמדבר על חיי מין ונטייה מינית, זה הדבר הכי קרוב לזה, זה הרבה יותר מצומצם.
איל זנדברג
¶
יש פה הערות סותרות. היום בחוק הקיים "מידע רגיש" כולל בפריט 1 נתונים על אישיותו של אדם. המושג "אישיותו של אדם" הוא מושג לא מוצלח. החלטנו להימנע ממנו. אישיות זה personality באנגלית, ולא ברור אולי עד הסוף מה זה אומר. הערה כללית על ההרחבה – אז כאן ניסינו דווקא לדייק, לקחת מושגים יותר מקובלים, כמו "צנעת חייו האישיים" שאכן הורחב, אבל צנעת חייו זה מה שקורה בצנעת חייו. העובדה שפלוני חושב שאני כך וכך – אני לא יודע מה בחרת בדימויים שם – זה לא בהכרח מידע רגיש, ולא בהכרח צריך להגן על מה אדם חושב עליי. אם זה מידע מקצועי, ומי שכותב את ההערכה הזאת הוא פסיכולוג שניתח את האישיות שלי, כנראה זה כן ייפול בגדר הדברים, וזה לא יהיה מידע על האישיות שלי, אלא איזה מידע שייכנס בהגדרות האחרות. לכן, אם ההערה היא על "אישיות", אנחנו חושבים שעדיף שהמושג לא יהיה, הוא מוסיף עמימות ואי-בהירות, ולעומת זאת החלפנו אותו במידה מסוימת או כיסינו אותו באמצעות מושגים אחרים, ו"צנעת חייו האישיים", אני חושב שאין מחלוקת שהוא צריך להיות כאן.
רחל ארידור הרשקוביץ
¶
האמת היא, אני לא בטוחה שהנתונים על אישיותו לא חשוב שהם יהיו מידע רגיש, ואני אביא שתי דוגמאות, ותגידו לי אתם מה דעתכם. האחת זה מעסיק שנדרש בכל חצי שנה לתת חוות דעת על העובד שלו, ומציין שהעובד נוטה להתרגז, אי-אפשר לסמוך עליו במצבי לחץ. נתונים על אישיות של אדם – האם זה לא מידע רגיש?
השנייה, אני, כמייצגת חברה שרוצה לגייס עובדים, פונה למכון מיון, ומכון המיון עושה שם עריכה, שהיא לאו דווקא על ידי פסיכולוג. עושים כל מיני מבחנים, תצפיות, ובדוח של מכון המיון נכתב שהעובד, יש לו תפיסת מציאות לקויה. האם זה נתון על אישיות או שזה נכנס באחד מגדרי המידע האחרים?
היו"ר גלעד קריב
¶
לא את הכול נפתור עכשיו. אני חושב שדי ברור שבשוק העבודה היום, בזירות שבהן יש פערי כוחות מובנים, כמו תלמיד במוסד חינוכי, חייל בצבא, נצבר מידע שנוגע לדפוסי ההתנהגות של האדם, לתכונות אופי של האדם, שצריך לתת עליהם הגנה. יכול להיות שבין השאר לזה התכוונתם בסעיף הסל, מידע שחלה עליו חובת סודיות, אז בואו נגדיר שיש חובת סודיות של בתי ספר כלפי הנתונים האלה. יכול להיות שזאת הדרך. ולכן אני לא רוצה לתלות את העניין הזה רק על התיבה, שהיא באמת קצת פחות מוצלחת – מאפייני אישיות. אבל בסופו של דבר בתוך הרשימה הזאת אנחנו נצטרך לחשוב על המקומות האלה שבהם יש פערי כוח, שיש נטייה לצבירת מידע, ומידע שיכול להשפיע מאוד על עתידו של האדם, על רווחתו, על יכולתו למצוא עבודה וכו'. זה דבר שיצטרך לקבל איזה הגנה. אני לא יודע אם בתוך הסעיף הזה, לא נאמר "אישיות" אז נאמר "סעיפי התנהגות", יכול להיות שזה בסעיף סל אחר, אבל משהו בהגדרה יצטרך למצוא את מקומו. אני אשמח אחרי שנשמע עוד התייחסויות שתגידו מדוע בניגוד ל-GDPR לא חשבתם שיש מקום ב"לרבות" כן להתייחס להיבט של זהות מינית, דפוסי התנהגות וכו'.
חיים רביה
¶
נטייה מינית וחיי מין, ולצמצם הכול לזה. זה אכן מידע רגיש. אחרת באמת אין מידע שנגיע בכנות למסקנה שאיננו רגיש.
נעמה מנחמי
¶
מה שבטוח ש"צנעת חייו", מובהר בפסיקה שהכוונה היא לא רק להתנהגות מינית, אז כן חשוב שיהיה ברור.
איל זנדברג
¶
- - - אם היה מבקש היושב-ראש להוסיף את זה על דרך "לרבות", אפשר בהחלט לחשוב על זה. מהותית אין כאן פער.
היו"ר גלעד קריב
¶
היה ברור לי שאתם חושבים שזה נמצא שם. - - - הצעה שהיא לקיצון השני. לא כל הדברים שקשורים לצנעת חיינו קשורים רק להיבט של זהות מינית או דפוסי התנהגות מינית, יש עוד הרבה מאוד עניינים של צנעת חיינו, שהם לא בהקשר הזה.
היו"ר גלעד קריב
¶
אמרתי שכאשר נגיע לגובה הקנסות, נחזור גם אחורה. הדיון שאנחנו מקיימים היום, אי-אפשר לדלג עליו. אי-אפשר לקחת את הרשימה הזאת כנתון, עכשיו בואו נדבר רק איזה עיצום מפעילים על איזה הפרה. יש פה הגדרה מאוד מאוד רחבה. יכול להיות שבסוף התהליך נגלה שאנחנו לא מצמצמים את ההגדרה הזאת, אבל אז אחת השאלות היא מה זה מידע לא רגיש אם כמעט הכול רגיש. יכול להיות שאנחנו נמצאים באותה מדרגה, בסדר.
נעמה מנחמי
¶
יכול להיות שכדאי לנסות ולחשוב אם אפשר במקום לחשוב על איזה פרט נכנס או לא, על איזה מדרגים קטגורית. כלומר, אם אנחנו מסתכלים על ההגדרה "מידע רפואי", שאנחנו מתקרבים אליה, אז יש הבדל בין סכיזופרניה לבין אם מישהי בהיריון או לא.
חיים רביה
¶
הערה מתוך עיסוקי בטכנולוגיה ולאו דווקא מתוך אינטרס של הבנקים. בעבר התנהגות ברשות היחיד הייתה דבר מה שאכן טעון היה חדירה פולשנית ומציצנית במיוחד לחיים האינטימיים שלנו. אנחנו לא בעולם הזה. אנחנו בעולם של מה שנקרא "internet of things", מכשירים מחוברים. כולנו גם ברשות היחיד שלנו מנוטרים כל העת. אני משוכנע שלמרבית היושבים כאן בחדר יש לדוגמה טלוויזיה חכמה, שמנטרת את ההתנהגות שלנו. היא רואה במה אנחנו צופים, היא יודעת להציע לנו לפיכך תכנים וכיוצא בזה. להפוך את הקטגוריה הזאת של התנהגות ברשות היחיד לקטגוריה של מידע בעל רגישות מיוחדת, זה לא מתאים לימים האלה ולטכנולוגיה של הזמן הזה.
דן חי
¶
צריך גם לזכור שהמונח "רשות היחיד" זכה לפרשנות מאוד מרחיבה בפסיקה. יש את פסק הדין של הנשיא אהרון ברק בבג"ץ נגד בית הדין הרבני האזורי בנתניה, ששם הוא נתן משפט מאוד יפה בעיניי, אבל מאוד רחב להגדרה "רשות היחיד". הוא נתן שם דוגמה של תאונת דרכים, שצריכים להפשיט מישהו, והוא אומר: נוצר סביבו מעגל שהוא רשות היחיד. צריך להבין כמה זה רחב.
היו"ר גלעד קריב
¶
ברור, אבל עו"ד זנדברג צודק, מכיוון שקווי הגבול בין רשות היחיד לרשות הרבים – ההבחנה הולכת ומיטשטשת. ברור שהמושג "רשות היחיד" הוא לא מושג המפתח. אז אנחנו ממירים אותו למושג "צנעת חייו האישיים" וזה יתפתח. אני לחלוטין לא מקבל את זה שהאוריינטציה היא רק של התנהגות מינית. האם כל זוג שפונה לייעוץ זוגי, עצם פנייתו לייעוץ זוגי זה דבר שיכול להתפרסם בשער בת רבים בלי סנקציה אם זה לא מידע רגיש? ודאי שזה מידע רגיש.
איל זנדברג
¶
אולי נזכיר להשלמת התמונה את סעיף 7 לחוק-יסוד: כבוד האדם וחירותו, שאומר "כל אדם זכאי לפרטיות ולצנעת חייו". המושג כבר קיים, והוא אבן יסוד בתפיסת הפרטיות שלנו, ובכל פעם כששומעים על אמירות שמתארות את הטכנולוגיה ואיך העולם השתנה, אז ככל שהאיום מחריף, התוצאה היא שצריך להגביר או לפחות כמחוקק להיות ער יותר להגנות הנדרשות כנגד האיום. אני לא חושב שהמסקנה של איום מחריף היא שאין מה לעשות, ולכן בואו נוותר על ההגנות. זו לוגיקה שאסור שהוועדה תאמץ. כיוון שהאיומים גדולים יותר גם במרחב הפרטי, ואנשים לא מודעים לכך שהם עונדים על ידם שעון שמנטר אותם, והם לא מבינים שהטלוויזיה החכמה יכולה להקליט אותם או לצלם, דווקא בגלל זה אנחנו צריכים לקבוע הגדרות יותר ברורות וכללים יותר ברורים, שיבטיחו את ההגנה על הפרטיות.
ניר גרסון
¶
אני רק מזכיר שכל התיבות האלה הן לא חידוש. הן היו בתקנות אבטחה, אבל גם בסעיף 2(11) לחוק הגנת הפרטיות. אחת העילות בפגיעה בפרטיות היא "פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד".
חיים רביה
¶
כן, אבל זה לא בהגדרת "מידע". אני רק רוצה לבקש מהוועדה לא להיבהל מטכנולוגיה. כשחברי עו"ד זנדברג מדבר על איום, הוא מדבר על זה בהקשרים של טכנולוגיה. אני לדוגמה לא מוצא איום גדול בכך שיוטיוב יודעת שאני חובב סרטי נגרות יפנית או עדכוני BBC על הנעשה באוקראינה.
איל זנדברג
¶
בואו רק לא נכניס לי תכנים לפה. אני לא חושש מטכנולוגיה, אבל לא נהלך אימים על הוועדה ונאמר שכל אחד מהיושבים כאן נתון לאיזה מעקב ניטור טכנולוגי, במשתמע רומז, ולכן בואו לא נגן על הפרטיות. זה אני לא מוכן לקבל.
היו"ר גלעד קריב
¶
אדוני, לכן אני חושב שיש חשיבות לביטוי "צנעת חייו האישיים". הסעיף לא מנוסח "מידע על חייו האישיים של האדם", כי אחרת באמת מידע על חייו האישיים כולל הכול. בסופו של דבר יש פה מושג שסתום שהפסיקה תפתח. במשפט חייבים להשתמש במבחנים של האדם הסביר. ובואו גם לא נשלה את עצמנו. אם דיברנו על סרטים, על תוכניות וכו', יש דברים שלא נוגעים לצנעת חייו של האדם, ויש דברים שכן נוגעים לצנעת חייו של האדם. והשאלה היא האם האדם הסביר, והאם הנורמה החברתית היא שהדברים האלה שייכים לדברים שאדם מצניע או לא. נגרות יפנית כנראה לא, דברים אחרים – כן.
נעמה מנחמי
¶
נעבור לפרט 2. "מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ"ו–1996". הערתי לעניין זה שחוק זכויות החולה, הגדרתו מפנה להקשר של מטפל-מטופל.
נעמה מנחמי
¶
ההגדרה מצומצמת מדי אולי. איסוף של נתונים של אדם שלא מטופל או שיש לו עבר שרלוונטי למצבו הרפואי, כמו אם הוא גדל בקרבת צ'רנוביל, דווקא לא באה לידי ביטוי בהגדרה.
מיכל אברהם
¶
רק נגיד שההפניה בפרט הזה לחוק זכויות החולה נעשתה בין היתר כי אנחנו לא רואים היום הבחנה בין מידע רפואי גופני למידע נפשי. מידע בריאותי כולל את שני המונחים האלה. וגם חוקים שמקדמים שוויון מחייבים נורמליזציה של בריאות הנפש, ולכן ההתייחסות בפרט היא על דרך ההפניה לחוק זכויות החולה.
רציתי להעיר שההגדרה של מטופל בחוק זכויות החולה היא כן רחבה, אבל בכל מקרה שמענו את ההערות של הייעוץ המשפטי, וגם דיברנו על זה עם הייעוץ המשפטי של משרד הבריאות, ומבחינתנו מקובל לציין במקום מה שמופיע עכשיו, להתייחס ל"מידע רפואי כהגדרתו בחוק זכויות החולה, ביחס לכל אדם", זאת אומרת, לאו דווקא למטופל אגב טיפול.
היו"ר גלעד קריב
¶
לא יותר הגיוני לכתוב "מידע המתייחס באופן ישיר למצב בריאותי הגופני או הנפשי של אדם או לטיפול הרפואי בו"?
מיכל אברהם
¶
זה מה שאמרתי קודם, שהעמדה שלנו, גם של משרד הבריאות, שלא נכון להתייחס בחקיקה עדכנית - - -
נעמה מנחמי
¶
מה לגבי נתונים על מצבו הבריאותי של אדם, כשברור לכם שבריאותי כולל גם נפשי? כלומר, האם דווקא בגלל הסיפור של הנפשי, שאתם רואים בו כחלק מבריאותי, אנחנו צריכים להפנות להגדרה שדווקא מצמצמת?
היו"ר גלעד קריב
¶
יכול להיות שאני פה בתפיסת PC שונה משלכם. בעיניי, כשהמחוקק בא ואומר ברחל בתך הקטנה, שגם מצבו הנפשי של אדם ראוי להגנה, אני לא מבין מדוע יש פה פגיעה? להפך, אנחנו לא יוצרים פה הבחנה. אנחנו אומרים במפורש שאין הבחנה בין בריאות הנפש לבין בריאות הגוף.
מיכל אברהם
¶
זאת העמדה של משרד הבריאות. הכוונה היא להתייחסות ספציפית למונח הזה. מהותית ברור שההגנה חלה גם על בריאות הנפש.
נעמה מנחמי
¶
היא יוצרת בעיה חדשה. ההגדרה הופכת להיות מורכבת, כשלא בדיוק ברור, בטח לא לאדם שקורא את החוק, שלא ישב בדיונים, מה היא רוצה להגיד.
היו"ר גלעד קריב
¶
לא נתעכב על זה, ואני חייב לומר שההנחה הנורמטיבית של משרד הבריאות פה לא מקובלת עליי. אם הם רוצים להתייחס, הם מוזמנים להתייחס. עוד פעם אנחנו לא קובעים פה מסמרות, ואני גם אתן להם להשיב, אבל אני לא מוכן לקבוע פה איזה תקדים. לא שמעתי את זה בדברי חקיקה אחרים שעסקנו בהם, אמירה שיש מצב של בריאות הנפש זה פוגע במעמדם של מתמודדי הנפש. אני לא מצליח להבין את ההיגיון.
ניר גרסון
¶
אולי כדאי שמשרד הבריאות יתייחס. רק בשתי מילים, ההנחה שלהם הייתה ההבחנה בין זה לזה. המגמה היא להחזיר את הטיפול בבריאות הנפש לקהילה לא כמצורעים.
היו"ר גלעד קריב
¶
אני מזמין את משרד הבריאות. בבקשה, שיבטלו את האגף לנפגעי נפש ויאחדו את האגפים. שיבטלו את בתי החולים הפסיכיאטרים בישראל ויכניסו את כולם לבתי החולים הרגילים. אפשר לחשוב שזאת הזירה המרכזית לטיפול ברפורמה הנדרשת במערך בריאות הנפש. אני לא מצליח להבין.
נעמה מנחמי
¶
3. "מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–2000."
4. "מידע על אודות דעותיו הפוליטיות או אמונותיו של אדם."
נעמה מנחמי
¶
אולי רק כדי להבהיר. מה שקורה כאן בהשוואה לנוסח הקודם, זה שבמקום "דעותיו" יש "דעותיו הפוליטיות", כלומר, כאן אנחנו במובן מסוים מצמצמים. אנחנו לא עושים אותו דבר לגבי התיבה "אמונותיו של אדם", ואולי אפילו אפשר להגיד שעצם הצמצום של דעותיו הפוליטיות מעיד על זה שיש כאן הרחבה מסוימת מבחינה פרקטית על אמונותיו של אדם, בפרט גם כשאנחנו משווים. אולי רק נזכיר מה כתוב ב-GDPR, כתוב "Political opinions, religious or philosophical beliefs". יש פה משהו מאוד ספציפי.
ליאת בן מאיר שלום
¶
כי אמונות אינן רק דתיות. ב-GDPR הם התייחסו לאמונות דתיות או פילוסופיות. מה זה אמונות פילוסופיות? איזה תפיסה הוליסטית שאדם אוחז בה. היא לא חייבת להיות דווקא דתית.
ליאת בן מאיר שלום
¶
תפיסת עולם. בהקבלה לחיקוקי אפליה, אתם יכולים לראות שבדרך כלל יש כמובן את עניין הדת וההשתייכות לקבוצה דתית, והשקפה. עילת אפליה של השקפה, אפשר לראות את זה בחוק איסור אפליה, בחוק שוויון הזדמנויות בעבודה וכו'. התפיסה של משהו שמגדיר את האדם, מערכת אמונות הוליסטית של אדם, שהיא יכולה להיות דתית והיא יכולה להיות אחרת. דווקא התיבה "דעותיו", כמו שציינת, כלולה היום בחוק, יכולה להתפרש כאילו כל דעה שיש לי, דעה מאוד אזוטרית.
ליאת בן מאיר שלום
¶
הרעיון היה דווקא ללכת על איזה מערכת אמונות לצד דעות פוליטיות. אני חושבת שזה דווקא מתכתב עם מה שקראת מסעיף 9.
נעמה מנחמי
¶
ניסיתי לחפש הגדרות של מהי אמונה לפי ויקיפדיה, לפי האקדמיה, אז באקדמיה ללשון עברית זה "קבלת עובדה כאמת בלי לבקש הוכחה", בוויקיפדיה במובן המצומצם, יש שם כמה מובנים. אחד מהם זה "תחושת נכונות של עניינים שאינם ניתנים להוכחה לוגית או אמפירית". כלומר, אני לא בטוחה שזה עונה על מה שאת הגדרת כתפיסת עולם.
ליאת בן מאיר שלום
¶
אני לא יודע מה כתוב בוויקיפדיה, אבל ראשית, "אמונתו" כתוב היום בחוק. שנית, מה הופך משהו מסתם דעה קטנה שלי למערכת אמונות? זה בדיוק דומה לשאלה של פרשנות של חקיקה כמו שציינתי, של חקיקות שוויון, מה נכנס בגדר השקפה. האם דעה שלי, מסוימת, נקודתית, נכנסת לשם או לא? זו שאלה פרשנית, שדרך אגב קיימת גם היום כאמור, קיימת גם ב-GDPR, קיימת גם בחיקוקי אפליה. התיבה היא תיבה קיימת. אם היה כתוב השקפה, זה היה משנה? הרעיון הוא מערכת אמונות של אדם, זאת הכוונה.
נעמה מנחמי
¶
אני לא מבינה את זה כמערכת אמונות. כלומר, מערכת אמונות אולי מתכתבת לי יותר עם משהו יותר מגובש. רק אמונה, אני לא יודעת. אני מאמינה שאם עוברים מתחת לסולם, יש לך מזל רע. אני לא יודעת אם זה נכנס או לא. האם על כל דבר כזה אני צריכה להגן עליו ברמה של רגישות מיוחדת?
איל זנדברג
¶
אני מבין שהמחלוקת פה היא על מה מחזיק המושג הזה. במהות הכוונה שלנו הייתה פה דווקא לדייק ולצמצם, תוך הסתמכות על מושגים שכבר קיימים – דרך אגב, לא חידשנו בהם – ומקובלים בחקיקה. אני מבין שדעותיו הפוליטיות, ברור שצמצמנו, כי איש לא רוצה פה שכל דעה בכל עניין תהווה מידע רגיש. על זה אני מבין אין מחלוקת. עכשיו אנחנו מצטמצמים לשאלה של אמונה, האם המילה הנכונה כדי לתפוס את מה שרוצים זה אמונה. אנחנו סבורים שהמילה אמונה, לאור מה שהסבירה ליאת, תופסת את זה. אני לא יודע אם לכנות את זה כאמונה תפלה, אבל אמונה שאם אני אכנס ברגל ימין לוועדה, אז הדיון יסתיים בזמן זה לא אמונה, זה מושג, יש לו משמעות שתופסת דברים מסוימים, והעמדה העקרונית שלנו, כשהבעיה שלנו לא אמונה, אלא עמדה, שלא רק אמונה דתית ראויה להגנה, אלא גם אמונה אחרת, אבל אמונה זה משהו מבוסס, רחב היקף, לא משהו אזוטרי, זניח, חד-פעמי. אנחנו חושבים שהעברית תופסת את זה. אולי אם זה העניין, חבל להטריח את הוועדה, אלא אם כן יש פה הכוונה עקרונית מהותית.
איל זנדברג
¶
בהרבה הקשרים יכול להיות שיש פער, השאלה אם עקרונית הוועדה לא סבורה שאמונה של אדם, ודאי אמונה דתית, או אמונה אחרת - - -
היו"ר גלעד קריב
¶
האם בעידן שבו אנחנו חיים בהכרח אנחנו רואים כל דפוס של כל דעה פוליטית או אמונה, להבדיל למשל מדפוסי הצבעה בבחירות וכו', כדבר שצריך להגדיר אותו כמידע רגיש?
איל זנדברג
¶
דעה פוליטית משקפת בדרך כלל הרבה מאוד משמעויות וערכים, סט של ערכים וסט של מחשבות ודעות לגבי תחומי חיים רחבים. ההצבעה כלולה בזה, אבל דעה פוליטית נראה לי משקפת את הפנימיות של האדם, את הזהות שלו, את האמונות שלו, את הערכים שלו, את ההעדפות שלו במובן מאוד עמוק.
ניר גרסון
¶
גם מבחינה פרקטית, מבחינת הפורץ המתומרץ זה מידע פוליטי. אנחנו יודעים שזה מידע מאוד רגיש, ומאוד מנסים לגנוב אותו, להשיג אותו, אז יש הצדקה להגן על זה.
איל זנדברג
¶
צמצמנו פה רק לאותה נגזרת של דעות שחשבנו שיש להן רגישות. זה מסוג הדעות שככלל ביחסי שלטון פרט, מתחרים על השלטון, זה מסוג הדברים שיש בהם רגישות ויש חשש לפגיעה.
היו"ר גלעד קריב
¶
ההגדרה "אמונותיו". צריך לחשוב על זה.
"מידע על אודות עברו הפלילי של האדם". זה לא אמור להגיע דרך פסקה (11)? זה דורש הגדרה שעומדת בפני עצמה?
מיכל אברהם
¶
המחוקק הישראלי כבר היום רואה במידע על עברו הפלילי כמידע רגיש, לפחות בנגזרת מסוימת, אני מתכוונת כמובן לחוק המרשם הפלילי ותקנת השבים, הרציונל של ההתיישנות והמחיקה לאחר פרק זמן מסוים, ולכן ראינו לנכון לקבוע את זה.
מיכל אברהם
¶
אגב, גם ב-GDPR, כמו הסעיף שליאת קודם קראה, סעיף 10, גם שם יש התייחסות למידע על עבר פלילי.
חיים רביה
¶
אבל זה לא מוגדר כקטגוריה מיוחדת של המידע, שהיא המקבילה של ה-GDPR למידע בעל רגישות מיוחדת, אלא שיש מגבלה על האופן שבו הוא מעובד. זה מה שאומר סעיף 10. אני חושב דווקא, בהינתן המגבלות של חוק המרשם הפלילי ותקנת השבים, בוודאי בנוסח העדכני שלו, שלמיטב זכרוני אמור להיכנס לתוקף בעוד כמה חודשים, שאפשר לוותר על זה כמידע בעל רגישות מיוחדת, ממילא הוא מוגן דיו, הן בחוק המרשם הפלילי והן בדינים אחרים.
היו"ר גלעד קריב
¶
מעלה פה היועצת המשפטית במסמך ההכנה שאלה על קובצי פסקי דין. אין בישראל הוראה שמחייבת מחיקת שמם של אנשים מכל פסקי הדין, רק בתחומים מסוימים, למשל משפחה.
ניר גרסון
¶
לגבי זה, שוב אנחנו קופצים שנייה לנפקויות. לגבי חובת הרישום, גם לאחר תיקון 14, אין חובת רישום על מאגר שאין בו אלא מה שהועמד לעיון הציבור על פי דין. מה שיהיה במאגרים, לא יחול עליהם. מדובר על מאגרים אחרים, שאולי לא מקפידים כל כך, אולי לא משקללים את החובה למחוק אחרי תקופה, מאגרים שיש בהם מידע מעבר למה שמותר לפרסם על פי דין. ההגדרה הזאת יותר רחבה רק מפד"י תקדין וכו'. זאת התשובה אולי.
היו"ר גלעד קריב
¶
המענה לזה ניתן דרך הסייגים, החריגים. השאלה אם זה לא אמור להיות במסגרת הסדרים, ויש חקיקה ספציפית שעוסקת בפרטים על עברו הפלילי של אדם.
ניר גרסון
¶
החקיקה הזאת מדברת על דברים מאוד ספציפיים, על מאגר שהמדינה מנהלת והעיון בו. עד כמה שאני מבין היא לא עוסקת במאגרים הפרטיים של כל מיני, אל רק פסקי דין, כל מיני פרטי מידע אחרים.
חיים רביה
¶
היא קובעת איסור לדרוש, היא קובעת איסור לשאול. יושב-ראש הוועדה העלה נקודה חשובה. אני מנהל מאגר של כל הפסיקה הישראלית הנוגעת לדיני מחשבים, יש שם גם פסקי דין פליליים. יוצא שאני אנהל מאגר בכל רגישות מיוחדת, רק מפני שאני מנהל - - -
איל זנדברג
¶
אדוני הזכיר בתחילת הדרך את אמת המידה, בהקשר הזה לפחות, של יחסי פערי כוחות, סיכונים שקיימים, אני חושב בהיבט הערכי שדנים בו עכשיו, אולי לא בקשר לנפקויות, מידע אודות עברו הפלילי של אדם – אני חושב שכולנו חיים בחברה ומבינים שזה כן דבר שהוא רגיש לאנשים, שהוא יכול לפעול כנגדם, שיש מוטיבציה, מניעים לאנשים אחרים לאגור אותם, להשתמש בהם. זה יכול להשפיע על הרבה מאוד מעגלי חיים, לא רק בעבודה ובתעסוקה שנזכרו, אלא בכל מיני הקשרים, ולכן זה מידע במהות שלו מידע רגיש. לגבי הנפקויות אפשר להתווכח, אבל אני חושב שזה עומד באמות המידה שאדוני הציג קודם.
גבי לסקי (מרצ)
¶
אני מתנצלת אם אני חוזרת על דברים שנאמרו. כל הנושא של עבירות מין כלפי קטינים, בעניין הזה אפילו יש חוק של משרד הבט"פ בעניין העברת המידע לבתי ספר וכו', אבל יש גם גופים פרטיים, עמותות וכו', שעובדים עם קטינים. האם אנחנו לא רוצים איכשהו גם לאפשר לאותם גופים, שיהיה להם את המידע, על אף העבר, כשמדובר בעבר פלילי, שגופים שעובדים עם קטינים לא יעסיקו אנשים שיש להם עבר פלילי של עבירות מין כלפי קטינים?
ליאת בן מאיר שלום
¶
חברת הכנסת לסקי, עצם האזכור של זה כמידע בעל רגישות מיוחדת, לא קובע את הנורמה לגבי היכולת או לא - - -
ליאת בן מאיר שלום
¶
הזכרת איזה חיקוק ספציפי שנוגע למידע על עברייני מין, שהוא מסדיר את הנקודה הספציפית הזאת.
היו"ר גלעד קריב
¶
צריך להבין את מהות הרשימה. אני חושב שההערה שנאמרה פה היא חשובה. הרשימה הזאת היא לא רשימה שאומרת מה הם מאגרי המידע שאסור לך להחזיק. מפלגות מחזיקות מאגר מידע לגבי דפוסים פוליטיים של אנשים: רשימת חברי המפלגה ואוהדי המפלגה. זה מאגר – אני לא נכנס כרגע לשאלת הגודל, מתי יש חובת רישום או לא – מותר להחזיק את המאגר הזה, אבל אומרים למפלגה: אם את רוצה שיהיה מאגר כזה, יש סטנדרט שאת צריכה לעמוד בו מבחינת אבטחת מידע, בגודל מסוים את צריכה לרשום אותו, ודעי לך שאם את לא תנהגי בו כמו שצריך, יש עיצומים מסדר גודל אחר.
גבי לסקי (מרצ)
¶
ההגדרות האלה חלות רק על מאגרי מידע? הרי דיברנו על חוקים אחרים, על ההשלכות שיש גם על דברים אחרים.
היו"ר גלעד קריב
¶
אין בחוק איסור, לא בחוק הזה, ולדעתי גם לא בשום חוק אחר, איסור על איסוף מידע בעל רגישות מיוחדת. זה לא שיש פה איזה קביעה. יכול להיות שיש חוק שאוסר על איסוף - - -
נעמה מנחמי
¶
"נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח–2007, לגבי אדם."
דן חי
¶
"נתוני מיקום" זו הגדרה מאוד רחבה. קודם הזכירו. זה שאני נמצא במקום מסוים, זה לא אומר עליי בהכרח משהו.
נעמה מנחמי
¶
הרבה פעמים זה כן. דווקא האיסוף שלהם כן אומר עליך לא מעט. הוא גם יוצר תחושת מעקב. אפילו אם אני לא יודעת בגלל נתוני המיקום שהלכת למטפלת זוגית - - -
נעמה מנחמי
¶
אני אומרת שאפילו אם לא נכנסת לשם, עצם הידיעה על המסלול שלך, איפה היית בכל רגע נתון, יוצר תחושת מעקב, תחושה של חדירה אינטימית יותר, מה קורה עם בן אדם, איך הוא מבלה את שעותיו, גם אם הוא לא היה אצל פסיכולוג.
איל זנדברג
¶
אכן, כפי שיפה הציגו במסמך ההכנה של הייעוץ המשפטי, של נעמה, שגם בית המשפט עמד על זה לאחרונה, בנסיבות המוכרות לנו, שאיכון זה דבר משמעותי, וכולנו יודעים שבמציאות הרי אנחנו שם.
היו"ר גלעד קריב
¶
אני רוצה לשאול עוד פעם על השיטה שלכם כאן לעשות כל הזמן רפרנס לחקיקה אחרת שקיימת. אם לשיטתכם מיקום של אדם ספציפי, האמת הסיפא מיותרת, כי בעצם הגדרת המידע זה לא נתונים סטטיסטיים לגבי כמות מכוניות בנתיבי אילון. צריך להיות מידע שמאפשר זיהוי של אדם קונקרטי, אז הסיפא פה היא פחות, אלא אם אתם באים ואומרים שזה לא בסדר לעקוב אחרי אדם, אבל זה בסדר לעקוב אחרי המכונית שלו במערכת כזאת או אחרת של זיהוי מספר הרכב שלו, מבלי להתייחס להצעות קונקרטיות.
היו"ר גלעד קריב
¶
זה עניין של הגדרות. ברגע שאת מדברת על מידע, והגדרת מידע כנתון שאת לא צריכה לחזור לגבי אדם. אבל אני שואל, למה אנחנו צריכים את הרפרנס לחוק הזה? אם מה שאנחנו רוצים לדבר עליו שמבחינה נורמטיבית איסוף נתונים לגבי איפה היה אדם ברגע מסוים, זה מידע בעל רגישות, וזו הכרעה נורמטיבית, זו צריכה להיות האמירה. אני רוצה להבין מה זה פה "נתוני תעבורה", מה זה "נתוני המיקום".
ניר גרסון
¶
"נתוני תעבורה", אדוני, אני קורא מחוק נתוני תקשורת, חוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), תשס"ח–2007 – "'נתוני מיקום' – נתוני איכון של ציוד קצה הנמצא ברשות מנוי". יש בהם רגישות מיוחדת, כי הם מתקרבים אולי אפילו לתוכן של השיחה, כי אתה יכול ללמוד מהם מי הצד שלך לשיחה, ואם זה בגלישה באינטרנט, באיזה אתר אתה גולש.
היו"ר גלעד קריב
¶
אם נתוני המיקום שלי הם לא כתוצאה מאיכון של מידע קצה? יש הצעת חוק כרגע לפריסת מצלמות. מה הקשר לקצה?
היו"ר גלעד קריב
¶
יש פה עניין מהותי ועניין טכני של איך עושים חקיקה. השרשורים האלה לחקיקה אחרת, שאז כשמתקנים את החקיקה הזאת, צריך לחשוב על החקיקה הזאת. יש פה אמירה נורמטיבית מה אנחנו רוצים שאנשים יבינו שהוא מידע בעל רגישות, שהוא מחייב טיפול מיוחד, תכתבו ברחל בתך הקטנה מה המידע.
ניר גרסון
¶
זה בהחלט עניין שצריך לשקול, אדוני, אבל דווקא לגבי נתוני מיקום, הטענה אכן יותר ברורה. לגבי נתוני התעבורה, זה קצת יותר נרחב.
ניר גרסון
¶
בנתוני תעבורה? להגן הגנה יתרה על החשיפה עם מי אתה משוחח או עם איזה אתר. כשזה אדם זה גם רגיש. זה כבר יותר מתקרב לתוכן השיחה ולא רק למעטפת. אם זה בגלישה באינטרנט, זה יכול להיות גם מה אתה קורא. אם אתה יודע לאיזה כתובת אתה גולש, זה חושף את התוכן.
היו"ר גלעד קריב
¶
לגבי מיקום אמרנו שצריך לנתק מהשאלה של מכשיר קצה. לגבי נתוני תעבורה, אני אלך קצת לכיוון השני. יש איסוף מידע תדיר על ידי ענקיות טכנולוגיה באיזה אתרים ביקרתי, כשמנוע חיפוש אחד נותן לי אפשרות לחיפוש אנונימי. רוב הביקורים שלי באתרים נרשמים אצל מנועי החיפוש שאני מחפש בהם. האם הציפייה שלכם היום, הריאלית, שאותן ענקיות טכנולוגיה שפועלות באופן גלובלי, תרשומנה במדינת ישראל מאגר מידע על הנתונים האלה?
ניר גרסון
¶
סליחה, יותר נכון, אדוני, מה התחולה. עד כמה חל החוק הישראלי על גורמים בין-לאומיים. יש תפיסות. זה לא חלק מהצעת החוק הזאת.
היו"ר גלעד קריב
¶
ברמה הנורמטיבית לשיטתכם בכל מקום או כל גורם שבו נאסף מידע על איזה אתרים ביקרתי, כשאני יודע שזה אחד המאפיינים המרכזיים של רשת האינטרנט, בשביל זה יש לי את הפיצ'ר אם אני רוצה גלישה אנונימית, אני לא יודע כמה זה - - -
היו"ר גלעד קריב
¶
לא משנה. האם מבחינתכם זה מידע שמחייב רישום? יכול להיות דרך אגב שזה בדיוק אחת הנקודות שמעידות עד כמה הדיון דרך הפריזמה של רישום מאגר מידע, כן או לא, הוא לא רלוונטי. האם אנחנו צריכים את זה?
איל זנדברג
¶
הצגת שאלה בהתחלה לגבי גופים בין-לאומיים, שזה עורר שאלה של תחולה בין-לאומית, אבל גוף ישראלי – אני שם בצד את שאלת התחולה הטריטוריאלית – המהות מעקב אחר תעבורה, איפה אדם גלש, באיזה אתרים הוא עיין, זה כמו איזה ספרים הוא קורא, איזה תוכן הוא צרך, זה כשלעצמו אכן ניסינו לכסות כאן להבנתי בסעיף הזה. זה הרעיון. אמרנו שנבדוק את הסעיף כולו, זה היה קודם לגבי האיכון. אפשר לבדוק גם לגבי זה. אבל קריאת הכיוון היא אכן כזאת.
היו"ר גלעד קריב
¶
אנחנו זורקים פה הרבה מאוד דברים. תמיד דיון מתחיל רחב מאוד, בסוף הוא מתכנס. אני מבין את האמירה שלכם: בואו נמתין רגע בקפיצה לדור הבא של חוק הגנת הפרטיות, שעוברים משפה של מאגרי מידע לשפה של עיבוד מידע. אני מעלה את השאלה, האם אין נקודות מסוימות, מקומות מסוימים, שבהם אתה אומר: בתיקון מס' 14 אנחנו עדיין חיים בעולם רישום מאגרי המידע ואופן ניהולם, אבל יש כל מיני תחומים שכבר ברור לנו שהשפה הזאת, זה לא שהיא פחות מתאימה, קצת אבד עליה הכלח? והשאלה שאני מעלה, האם עד רמת תיקון מס' 15 לא היה נכון לגבי דברים מאוד מסוימים, לנסות כבר את העידן החדש? תעזבו את עניין התחולה הבין-לאומית, מה המשמעות של רישום מאגר מידע וניהול מאגר מידע מן הסוג הזה של נתוני התעבורה. האם הדיון שצריך להעסיק אותנו הוא לא מתי העיבוד מותר? מתי העיבוד אסור? אני מבין שאתם לא רוצים להיכנס across the board עכשיו לעידן העיבוד המותר והעיבוד האסור, אבל האם במקומות מהסוג הזה של נתוני תעבורה, של התמודדות עם העידן של כריית הדאטא הבלתי נגמרת במרחב האינטרנטי המקוון – זה לא קורה בהרבה מקומות אחרים, זה במרחב האינטרנטי – לא היה נכון בתיקון 14 אולי לנסות להביא אותנו רגע לעידן קצת יותר מדויק, ובעניין הזה כן להיכנס כבר לעניין עיבוד מותר, עיבוד אסור? זה פשוט נראה קצת סעיף ארכאי העניין הזה. זה כאילו אנחנו אומרים: ממילא ענקיות הטכנולוגיה הן לא ישראליות, ויש סוגיה של דין בין-לאומי ותחולה, אז בואו נעצום עיניים, נאמר שנורמטיבית זה מידע בעל רגישות וצריך לרשום בעניינו מאגר, ונחיה בשלום עם זה שלא נרשמים בעניין הזה מאגרים, כי יש סוגיה של תחולה בין-לאומית. לא נרשמים בעניין הזה מאגרים. רוב הנתונים שנאספים לגבי דפוסי הגלישה שלנו והחיים שלנו במרחב המקוון לא מתכתבים עם ההוראה הזאת, הם פשוט לא נאכפים. לא יותר עדיף לעבור לעידן של עיבוד מותר, עיבוד אסור, עם המידע הזה? נקודה למחשבה.
אני חושב שהמזהה הביומטרי די ברור לנו.
נעמה מנחמי
¶
אני רוצה שנייה לעשות הפרדה בין הפרט "מזהה ביומטרי", שנמצא כחלק מההגדרה של מידע בעל רגישות מיוחדת, לבין ההגדרה של מהו מזהה ביומטרי.
כרגע בואו נניח שאנחנו לא נשנה את ההגדרה "מזהה ביומטרי", כי היא נמצאת בדברי חקיקה רבים, ויש משמעות להחזיק אותה כפי שהיא גם כאן. אבל דווקא בגלל זה אני כן קוראת לחשוב קצת על ההגדרה של מזהה ביומטרי ככזאת, ולשאול את עצמנו האם אנחנו יכולים, לא בהגדרה עצמה של מהו מזהה ביומטרי, אלא בפרט של מזהה ביומטרי, שנמצא כאחד מהפרטים של מידע בעל רגישות מיוחדת, האם שם ניתן לצמצם אותה?
אני רוצה להדגיש מה מפריע לי. מפריע לי שבעידן של היום כל תמונה היא מידע שניתן להפיק ממנה מידע ביומטרי, ולכן היא נכנסת להגדרה של מזהה ביומטרי, שבה אני לא רוצה לגעת, ולכן הדרך היחידה שלי לנסות לצמצם את זה, כדי שלא כל חברה שיש לה אתר אינטרנט עם תמונות של כמה עובדים תיכנס לתוך הדבר הזה, שקוראים לו "מידע בעל רגישות מיוחדת", לחשוב על הפרט "מזהה ביומטרי". אני חושבת שזאת גם העמדה של הרשות ליישום, כן יש פה משמעות לכמות עושה איכות, גם להבנתה. אני כן רוצה להציע לכם לחשוב קצת יותר על הפרט "מזהה ביומטרי", לא על ההגדרה.
מיכל אברהם
¶
ספציפית בהקשר של הנפקות, כי יש לנו את השאלה של הרישום וגובה העיצום. כשאנחנו מדברים על הרישום, כמו שאמרנו, התחולה היא רק לגבי 500,000 ומעלה.
נעמה מנחמי
¶
אם כבר העלית את זה, אני לא בטוחה שה-500,000 זה חיתוך נכון. מצד אחד יש לי קושי עם זה שכל אתר אינטרנט שיש בו חמש תמונות של עובדים הופך להיות מאגר בעל רגישות מיוחדת.
נעמה מנחמי
¶
הוא לא חייב רישום, אבל הוא כן מאגר בעל רגישות מיוחדת. הוא לא חייב רישום, ואולי הוא לא ייכנס לתוך - - -
היו"ר גלעד קריב
¶
היא הנותנת לגבי העניין הזה ובכלל. מכיוון שאנחנו חיים עדיין בעידן המאגרים, אז אנחנו באים ואומרים: מידע יכול להיות בעל רגישות מיוחדת מאוד מאוד מרחיקת לכת, אבל לא עברת את רף ה-500,000, שהוא די דרמטי. אז רמת ההגנה שאנחנו מעניקים לסיפור היא יותר - - -
היו"ר גלעד קריב
¶
רק לעניין הרישום, נכון. נעמה מעלה פה בצדק את השאלה. אנחנו בדיון בסוגיה הזאת האם בעידן הנוכחי צריך טביעת אצבע, כשאפשר לעשות הרתשה מתקדמת מכל תמונה שאתה מצלם בסלולרי. אני חושב שהיועצת המשפטית בצדק אומרת: האם אנחנו רוצים בהכרח שכל מקום שבו יש לנו תמונות, אז לא חמש, אז 1,000 תמונות, אוניברסיטה או מכללה שמציגות את כל התמונות של הסטודנטים – האם על כל אתר כזה אנחנו רוצים לבוא ולומר שזה אתר שיש בו מידע ביומטרי שמחייב ניהול מיוחד? זה עובד לשני הכיוונים. מה היכולת שלנו להגן באמת כשיש שם עניין של חשש של דליפה של מידע ביומטרי בהיקף גדול? מצד שני, לא להכניס כל אתר עם כמה תמונות.
נעמה מנחמי
¶
אני כן חושבת שלבוא ולהגיד "500,000", זה קצת עושה לנו עבודה קלה במובן מסוים, וזה גורם לנו לא להתמודד עם זה. ושוב, זה קצת חוזר לשאלה של היושב-ראש על המהות, על מה המגבלות לאיסופי מידע. כלומר, מצד אחד יש פה תמונות שהופכות כל מאגר ומאגר לבעל רגישות מיוחדת, מצד שני בחיים האמיתיים אנחנו רואים כל מיני איסופי מידע של מידע ביומטרי, לא רק תמונות, גם טביעות אצבע, שהם לא מטופלים. הם נשארים מתחת לרדאר, בגלל שאנחנו שמים את הרדאר ב-500,000. יש פה בעיה משני הכיוונים.
היו"ר גלעד קריב
¶
בגלל שאנחנו לא שואלים את השאלה מה עושים עם התמונות, אלא על עצם קיומן. אני באמת מעלה את השאלה, ובזה נסיים. לא נדון בה. נדון בפעם הבאה. האם בעידן שבו אנחנו נמצאים, שבו לכל אדם היום יש מצלמה ושמורות אצלו תמונות של מאות אם לא אלפי אנשים – אין איסור שאני אצלם את זולתי ברחוב, זה לאו דווקא אנשים שנתנו לי הסכמה – האם יש בכלל משמעות להגדרה שנשענת על האיסוף ולא על העיבוד? מה שאתם אומרים שכל טלפון נייד, יש בו היום מידע בעל רגישות מיוחדת. צילמתי 50 תמונות במרחב הציבורי.
היו"ר גלעד קריב
¶
זו נקודה חשובה. מכובדיי, אנחנו חייבים לשחרר את האנשים כאן לישיבות סיעה. אתם יכולים לעשות מה שאתם רוצים, אתם לא צריכים להגיע לישיבות סיעה. אני רוצה להודות לכולם. אנחנו ניפגש בימים הקרובים להמשך. תודה לכולם.
הישיבה ננעלה בשעה 14:05.