ישיבת ועדה של הכנסת ה-25 מתאריך 11/12/2023

חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024

פרוטוקול

 
פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



56
ועדת החוקה, חוק ומשפט
11/12/2023


מושב שני



פרוטוקול מס' 197
מישיבת ועדת החוקה, חוק ומשפט
יום שני, כ"ח בכסלו התשפ"ד (11 בדצמבר 2023), שעה 9:01
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022 (מ/1496)
נכחו
חברי הוועדה: שמחה רוטמן – היו"ר
טלי גוטליב
מוזמנים
לירון מאוטנר לוגסי - עו"ד, ייעוץ וחקיקה ציבורי-חוקתי, משרד המשפטים

עמית יוסוב עמיר - ייעוץ וחקיקה ציבורי-חוקתי, משרד המשפטים

חמדת קב - עו"ד, לשכה משפטית, משרד הבריאות

נעמה בן צבי - ראש היחידה לזהות וביומטריה, ממונה יישום ביומטריים, מערך הסייבר הלאומי

גלעד סממה - ראש הרשות להגנת הפרטיות

נעמה גורני - עו"ד, המחלקה המשפטית, הרשות להגנת הפרטיות

ניר גרשון - הרשות להגנת הפרטיות

ראובן אידלמן - יועץ משפטי, הרשות להגנת הפרטיות

עינת יוסוב - איגוד הבנקים

שחף קצלניק - עו"ד, יועץ משפטי, התאחדות התעשיינים

לירון בנדק - סמנכ"ל רגולציה, נשיאות המגזר העסקי

דן חי - עו"ד, יושב-ראש הוועדה להגנת הפרטיות, לשכת עורכי הדין

דניאל אפרתי - עו"ד, לשכת עורכי הדין

דן אור-חוף - עו"ד, חבר המועצה להגנת הפרטיות

טמיר בר - רכז קשרי ממשל, תכלית - המכון למדיניות ישראלית

דלית בן-ישראל - עו"ד, משרד נשיץ ברנדס אמיר ושות'

ליאור אתגר - עו"ד, ראש מחלקת פרטיות, משרד ארדינסט-בן נתן-טולידאנו ושות'

אייל שגיא - עו"ד, משרד עמר רייטר ז'אן שוכטוביץ ושות'

אלדד בן גיורא - עו"ד, התנועה לזכויות דיגיטליות

רחל ארידור - המכון הישראלי לדמוקרטיה

איה מרקביץ - חברת PrivacyTeam

ענר רבינוביץ' - חברת PrivacyTeam

עמרי רחום טוויג - עו"ד, גוגל ישראל

הילה הובש - יועצת המשפטית, מייקרוסופט ישראל

טל מימרן - ראש תוכנית המחקר, תכלית - המכון למדיניות ישראלית

יעקב עוז - יו״ר ועדת הסייבר והגנת הפרטיות, להב - לשכת ארגוני העצמאים והעסקים בישראל

אסתר בוכשטב - אמא של יגב בוכשטב, חטוף בעזה

עפרי ביבס - אחות של ירדן ביבס, חטוף בעזה

שחר מור - מייצג את משפחת מונדר. דודו חטוף בעזה

יזהר ליפשיץ - בנו של עודד ליפשיץ, חטוף בעזה
ייעוץ משפטי
נעמה מנחמי
מנהלת הוועדה
איילת מאקימיאן
רכז תחום פרלמנטרי
אבירן יחזקאל
רישום פרלמנטרי
א.ב., חבר תרגומים


רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.


הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022 (מ/1496)
היו"ר שמחה רוטמן
בוקר טוב, היום כ"ח בכסלו תשפ"ד, אנחנו בנושא הצעת חוק הגנת הפרטיות (תיקון מס' 14). כמובן נפתח את היום, לצערי גם נזכור את החיילים שנפלו, שהודעות על שמותיהם התפרסמו הבוקר. הגיעו גם משפחות של החטופים שגם אותם כמובן אנחנו זוכרים ומזכירים בתחילת היום.

תירצי לדבר, גבירתי? בבקשה.
אסתר בוכשטב
בוקר טוב, שמי אסתר בוכטשב, אני אימא של יגב. יגב הוא בן 34. הוא נחטף מביתו מקיבוץ נירים יחד עם אשתו רימון. יגב הוא דור שלישי בקיבוץ. אנחנו חברי קיבוץ נירים. אנחנו היינו באותו יום נורא ואיום בקיבוץ. אני רוצה לדבר על העתיד כרגע. לפני שבוע-שבועיים, אין לי מושג של זמנים, רימון חזרה אלינו לא הביתה, אין לנו בית כרגע. חווינו את שמחת השחרור שלה ושל החטופות אבל לאט-לאט מתברר לנו גודל האירוע הנורא, השבי הנושא הזה, ואני מקווה שכל מי שיושב פה שמע את עדויות החטופות.

ככל שהדברים נחשפים אנחנו שומעים עוד ועוד דברים מאוד קשים על מה שעובר עליהם בשבי. לי קשה לדבר על זה אפילו. זה דברים שאני מקווה שכל אחד שיושב פה בשולחן הזה שמע את העדויות, כי לפני שבוע כשהיינו פה בכנסת הבנתי שחלק מהנוכחים לא שמעו את העדויות, אז אני מבקשת, תקשיבו למה שהחטופות מדברות, על מה שהן מספרות שעובר עליהן בשבי. שמחת החזרה היא חלק ראשון והתחלתי שהיה, אבל המשך הדברים, הדברים שנשמעים הם דברים מאוד קשים.

אנחנו מבינים שאין לנו זמן. לחטופים שלנו שנשארו שם אין זמן. הזמן הולך ואוזל. כתושבת העוטף מעל 40 שנה אני מבינה את הצורך בפתרונות ביטחוניים לאזור, אבל יחד עם זה אני בטוחה שכל תושבי האזור מוכנים להתאפק ולהיות בפינוי הבעייתי המאוד קשה עוד זמן כדי שקודם כל יתעסקו בנושא החטופים, שיחזירו את החטופים, שיעשו כל עסקה שיכולה להחזיר לנו אותם כמה שיותר מהר, כי כל יום שהם נמצאים שם, אנחנו חווים את החטופים שנרצחים, את הבשורות שאנחנו מקבלים, את ההלוויות שאנחנו נמצאים בהן. אתמול חזרתי מהלוויה של חבר. אין לנו מה להגיד. אני מבקשת שייעשה כל מעשה להחזיר את החטופים קודם כל, ואחר כך את כל הנושא הביטחוני, ואני מבטיחה בשם כל תושבי עוטף עזה, ואני מרשה לעצמי להגיד את זה, אנחנו נתאפק. נהיה בפינוי, לא נחזור לבתים שלנו, ניטלטל, הכול בסדר, העיקר שקודם כל טפלו בנושא החטופים. תודה.
היו"ר שמחה רוטמן
תודה על הדברים. אתם גם תירצו להגיד משהו?
עפרי ביבס
אני עפרי ביבס, אחות של ירדן ביבס, גיסתה של שירי ודודה של אריאל וכפיר, הילדים האחרונים שעוד נשארו בשבי בעזה. המחשבות שעוברות לי בעיקר בימים האחרונים זה שאנחנו המשפחות באמת הקפדנו להיות מאוד א-פוליטיים במאבק הזה ובאמת לא לערב פוליטיקה, אבל הימים האחרונים זה בכלל כבר לא עניין של ימין ושמאל. דברים שנאמרו בימים האחרונים גורמים לי אישית, ואני יודעת שיש עוד כמה משפחות שמרגישות כמוני, להרגיש שהממשלה הזאת פשוט כרגע לא מייצגת אותי. היא לא מייצגת את הערכים שלי. ממשלה שמעדיפה לתעדף יעדי מלחמה, מיטוט חמאס, חיסול של סינוואר על פני החיים של החטופים, של המשפחות שלנו לא מייצגת אותי.

עד היום אני חזרתי ואמרתי שאני שמה את כל אמוני ואת כל ביטחוני בממשלה שהיא עושה הכול כדי להחזיר אותם, אבל עברו 66 ימים והמשפחה שלי לא פה. שירי והילדים אולי נהרגו מההפצצות של צה"ל, אולי נרצחו על ידי מחבלים. אנחנו עדיין לא יודעים. אח שלי עובר טרור פסיכולוגי מהסוג הגרוע ביותר בזמן שהוא בשבי. אני צריכה להמשיך לסמוך? אני לא יודעת מה להרגיש בימים האחרונים.

הנקודה החשובה היא שאין להם זמן. כמו שאסתר אמרה, אנחנו שומעים את העדויות. אין להם זמן. הם מתים שם. אין להם אוכל, אין תרופות, הם מתחת לאדמה. החורף התחיל. בהנחה שהם עוד בחיים, כמה זמן שירי עוד תוכל לשאת את הבכי של כפיר ואריאל כשהם רעבים? כמה זמן היא עוד תיאלץ להסביר לאריאל למה הוא לא יכול לצעוק, למה הוא לא יכול לשחק, למה הוא לא יכול לצאת החוצה? כל שאר הנשים והגברים, החיילים והחיילות, כמה זמן הם עוד ישרדו שם? הממשלה, חברי הכנסת, חברי הקבינט, כל מי שמנהל פה את המדינה חייבים ליזום עסקה. אין זמן לחכות. זאת האחריות והמחויבות שלנו, שלכם כלפיהם. אל תמשיכו להפקיר אותם.
היו"ר שמחה רוטמן
תודה.
שחר מור
שלום, שמי שחר מור, אני מייצג כאן את משפחת מונדר. דוד שלי, אברהם, שנמצא עדיין שם חגג ביום שישי את יום הולדתו ה-79. דודה שלי, בת דודה שלי והבן שלהם חזרו לפני שבועיים וקצת בעסקת השבויים בפעימה הראשונה. בן הדוד שלי נרצח באותה שבת ארורה.

אני רוצה לדבר אתכם שנייה על הסבלנות, על כמה אנחנו יכולים למשוך, ואני רוצה שכל אחד ישים את עצמו לשנייה במקום הבלתי נסבל הזה של להיות חלק מהמשפחות של החטופים, יחשוב כמה זמן הוא היה יכול להחזיק ככה, כמה סבלנות הייתה לו. אני מזכיר לכם, זה כמות אדירה של ימים. חגגנו לאברהם בשבי. חגגנו לפני חודשיים לאוהד הנכד שלו, הנכד היחיד שלו בשבי. קברנו את רועי, בן הדוד האהוב שלי בלי שאף אחד מהמשפחה הגרעינית הייתה איתו. כולם היו בשבי. אני חובש כאן כובע משולש. המשפחה שלנו גם שכולה, גם שבים וגם חטופים. כמה סבלנות?

אנחנו מרגישים במיוחד בשבועיים האחרונים, בשבוע האחרון יותר ובימים האחרונים עוד יותר לחץ מכל מיני כיוונים לצבוע את המחאה שלנו בצבעים פוליטיים. המחאה שלנו מחאה הומניטרית וזה חובה על המדינה להחזיר את דוד שלי יחד עם כל החטופים. לא לחשוב על שום תמרון צבאי שיביא להכרעה, שיביא לתמונה, שיביא למשהו. אין משהו. המדינה הזאת מבחינתי ומבחינת עוד כמה אנשים כאן במדינה נחטפה. מדינה נחטפה. תחזירו את המדינה, תחזירו אותם. אני לא יודע כבר למי לפנות. לא יודע מי יכול לעשות משהו. תודה.
היו"ר שמחה רוטמן
תודה רבה. בבקשה.
יזהר ליפשיץ
אנחנו לא רוצים ללחוץ, לא להיות האסטרטגים פה. פשוט יש פה זעקה אחרי 65 יום ותחושה שהזמן עד העסקה הבאה הוא כזה שהרבה חטופים לא ישרדו בו, ואלה שישרדו בו עוברים עינויים פסיכולוגיים כמו משפחת ביבס שכולם יודעים מה סופר שם למי, ועינויים פיזיים של הבנים והחיילים, שהעדויות אומרות שהם נפגעים פיזית, מעונים נפשית. חלקם נאנסים, מוכים. זה המצב.

אנחנו צריכים להרגיש שאתם רוצים לדחוף גם לעסקה יקרה. ברור שאנחנו מתעסקים עם מרצח פסיכופת, נרקסיסט, לא יודע מה הוא, אבל הצד שלנו חייב להיות חפץ בעסקה ולדחוף לכיוון. אף אחד לא אמר להפסיק לעשות את מה שעושים. לא צריך לדבר יותר מידי. צריך להמשיך לעבוד, אבל אנחנו צריכים את היד של העסקה כמה שיותר ברורה, נחרצת, שמראה על מחיר גבוה שנהיה מוכנים לשלם כולל מרצחים, הפסקות, ואת היד השנייה שכרגע מכה, אנחנו שומעים את העלות. עזה הופכת לאיי חורבות, חיילים שלנו נופלים, חטופים נפגעים. הדבר הזה כנראה לא יימשך וזה הפחד שלנו, שאנחנו בתוך הלופ הזה נאבד עוד ועוד חטופים עד לרגע שאחד הצדדים או יישבר או ייתן איזושהי עסקה טובה, אבל אנחנו בדרך נאבד המון חטופים ולא יישאר לנו כלום, אז ללחוץ שתבוא עסקה, וכשתבוא, לא להתבלבל. תודה רבה.
היו"ר שמחה רוטמן
תודה רבה. ניקח כמה דקות הפסקה. נשוב לישיבה הזאת בשעה 09:20.

(הישיבה נפסקה בשעה 09:12 ונתחדשה בשעה 09:20.)
היו"ר שמחה רוטמן
חזרנו מההפסקה. גבירתי היועצת המשפטית, את רוצה לתזכר אותנו איפה אנחנו נמצאים?
נעמה מנחמי
כן. הגענו בדיון הקודם להגדרה של "מידע" או "מידע אישי". התחלנו לדון. שמענו את העמדה של עו"ד דן חי לגבי צמצום היריעה. אם ירצה לחזור בקצרה, אולי יציג את עמדתו.

לבקשת הוועדה גם הוספנו עוד מסמך, הוא נמצא באתר של הוועדה בנושא של מידע אישי, עמוד נוסף עם איזשהו ניסיון להיצמד קצת יותר אולי ל- GDPR או לתרגם אותו בצורה יותר מילולית.
היו"ר שמחה רוטמן
בדיון הקודם קצת נכנסנו לאיזשהו דיון שהעלה את הסוגיה, גם אם אני לא הסכמתי עם כל ההרחבה הרחבה אבל לפחות הגרעין, אני חושב, של הדברים שאמר עו"ד דן חי ודיברו גם קצת אחרים מסביב לשולחן לגבי הגדרת המושג "מידע", הרחבה, האם כאשר אנחנו עוסקים במידע אנחנו עוסקים במידע שהוא בעצם לא אומר כלום על האדם או לא אומר שום דבר ייחודי על האדם, האם זה נחשב מידע? הבקשה להתנתק מההגדרות המהותיות. בעקבות אותה ישיבה גם אמרנו שכדאי להתייחס אולי להגדרות הבין-לאומיות. דיברנו בדיון הקודם גם על החשיבות של ניסיון לייצר הגדרות דומות למה שנהוג בעולם כערך בפני עצמו, גם אם אנחנו לא היינו חותמים על זה כ-100% באופן נקי, אבל הערך של להיות דומים למה שנהוג בעולם. בעקבות אותה ישיבה גם הגיעו עוד כמה מסמכים. גם המכון הישראלי לדמוקרטיה העביר מסמך עם השוואת המונחים. גם הסתכלנו בעצמנו. הייעוץ המשפטי של הוועדה מכין את הדף הזה גם כן, וגם כמובן בשיתוף פעולה עם הרשות להגנת הפרטיות ועם משרדי הממשלה. כולם הבינו את הצורך בדבר הזה.

ה-GDPR, ההגדרה שלו לפחות לפי התרגומים שנעשו פה וההסתכלות, מצד אחד אמנם החלק הראשון של ההגדרה של ה-GDPR אכן דומה להגדרה שהוצעה בהצעת החוק הממשלתית בנוסח שראינו בדיון הקודם, אבל כן יש שם התייחסות מאוד חדה וברורה לאותן הגדרות מהותיות שכביכול ההגדרה הממשלתית ניסתה לברוח מהן והוסבר גם למה. אני כן נוטה לחשוב שכדאי לאמץ את ההגדרה או תרגום של ההגדרה מה-GDPR בהקשר הזה, לראות אולי יש התאמות שצריך לעשות, אבל להתבסס באמת על ההגדרה הזאת גם למען הפשטות והאחידות.

בדיון הקודם נאמר, בתי המשפט הרחיבו את הגדרת "ידיעה על ענייניו הפרטיים של אדם", שזה בכלל הגדרה שתיכף נדבר עליה. יכול להיות שחלק מההרחבות האלו, אנחנו שמחים בהן. יכול להיות שההרחבות הללו יצרו מציאות שבעיניי היא משונה, אני חייב לומר. הסתכלתי גם בגילוי דעת של הרשות להגנת הפרטיות, שבן אדם הוא חבר קופת חולים מכבי. האם זה שבן אדם הוא חבר קופת חולים מכבי זה באמת מידע שהאינטרס, הפרטיות שבו הוא חזק, הוא קיים, הוא נדרש? למעלה מרבע מאוכלוסיית המדינה, ואם הייתי אומר הכללית אז זה אפילו אחוזים יותר גדולים, נראה לי, אני לא מעודכן, אני לא רוצה לפגוע באף קופת חולים. להגיד שאת שמה, מסתובבת עליך ידיעה, נודע ש - - - כמו בתקצירים המודיעיניים, נודע שפלוני הוא חבר קופת חולים מכבי. מה נעשה? אוי לאותה בושה, אוי לאותה חרפה.

באיזשהו מקום יכול להיות שהפרשנות הרחבה והמושגים העמומים שנמצאים היום בחוק ומוצעים הם לא לטובה, והם לא לטובה בייחוד אם אנחנו עוברים למשטר של יותר רגולציה עצמית, ולהיפך, אנחנו נרצה שאנשים לא יאחדו את כל המידע, כי אם הכול מידע, אז בוא נאחד את הכול במאגר אחד ואז כשהוא ידלוף, באמת ידלוף הכול. להיפך, את המאגר שלך שכתוב מי חבר קופת חולים מכבי, או שתתייחס אליו ברוגע או שבדרגה מאוד נמוכה, כי אם הכול פרטי אז שום דבר לא פרטי, לכן אני כן חושב שכדאי לנסות להיצמד להגדרה הבין-לאומית משתי הסיבות הללו.

דעות, עמדות? כן, שם ותפקיד לפרוטוקול.
אייל שגיא
אייל שגיא, עורך דין בתחום הזה 30 שנה. אני חושב שאולי המפתח הוא לא בשאלה מה היא הגדרת מידע אלא אחר כך, נקווה בתיקון 15, כי היום החוק מתייחס למידע כשחור-לבן – או שזה מידע ואם זה מידע אז זה מוגן, או שזה לא מידע ואז זה לא מוגן. יש גוונים של אפור בדברים האלה. יש מידע כמו שאנחנו רואים, מידע יותר רגיש, מידע פחות רגיש, ואי אפשר לדעת היום אם מידע שנראה לנו הכי טריוויאלי ולא מעניין כמו באיזה קופת חולים, באיזה הקשר הוא יהיה, כי אולי אני נשוי לעובדת בקופת חולים כללית אבל אני לא איתה, אז הם נעלבים ואני לא רוצה שידעו. לא יודע. יכול להיות כל מיני נסיבות.

עורכי הדין פה בתחום הזה מכירים הרבה שימושים של מידע טריוויאלי לחלוטין כמו איזה טלפון יש לבן אדם, שזה כאילו הדבר הכי, אז יש לי אייפון, מה זה משנה, ששימש נגיד לבדיקת שידוכים אצל חרדים, כי אם יש טלפון לא כשר למישהו, בשקט, אז זה כמובן מידע מאוד רגיש, אז אי אפשר לדעת. זה מאוד תלוי, לכן אני חושב שהדרך היא באמת קודם כל צריך לצאת מהגדרה רחבה של מידע, ובהמשך הדרך אני מקווה לראות את זה בתיקון 15. במסגרת אותו מנגנון של בדיקה עצמית, במקום להתייחס לכל דבר כשחור-לבן – או שזה מידע ואז אסור לכלום, ואם זה רגיש אז בכלל. שתהיה מעט גמישות אבל עוד חזון למועד.

בתור התחלה בטח על בסיס מה שאנחנו יודעים היום כדאי להתייחס לכל דבר שנוגע לאדם, וזה היום ניתן לזיהוי, כמידע, כי אי אפשר לדעת באיזה צורה ומתי, עוד חמש שנים, עשר שנים פתאום זה כן יהיה רלוונטי וזה כן תהיה בעיה. זאת תהיה אחריות של בעלי המאגרים לחשוב קדימה אם צריך לשמור או לא צריך לשמור. שהם ייקחו את האחריות. במצב של שחור-לבן קל באמת לתפוס יותר מידי, וכמו שהיושב-ראש אמר, אם הכול מוגן, שום דבר לא מוגן. תודה.
ליאור אתגר
עו"ד ליאור אתגר ממשרד ארדינסט, ראש מחלקת פרטיות. אני מסכים עם מה שאמר פה אייל, שבאמת עדיף הגדרה שתהיה רחבה כמה שיותר כדי שנוכל לתפוס כמה שיותר בתחילת השרשרת. אחר כך אפשר לטפל בסנקציות או באכיפה, אבל קודם כל אנחנו רוצים שנקודת הפתיחה שלנו תהיה כמה שיותר רחבה בעיניי.

דבר נוסף, ההגדרה של הייעוץ המשפטי היא הגדרה טובה אבל היא יותר מידי ממוקדת במזהה, בעוד שבהגדרה של FDPR יש התייחסות לאותם מזהים שהדין הישראלי כבר היום מצא לנכון או הפרקטיקה שלנו מוצאת לנכון להתייחס אליהם כאל חלקים של מידע אישי. לדוגמה, סוג מכשיר או כתובת IP כשלעצמם אינם מעידים על זהותו של אדם, אבל בהצטרפות של מספר גורמים ביחד מגיעים לרף איכותי מסוים, אז אנחנו צריכים להיות בעלי יכולת לתפוס את כל אותם רכיבים שיכולים להעיד על זיהוי של אדם טבעי, שזה דברים שהם נמצאים בהגדרה של GDPR ולא נמצאים בהגדרה שלנו. אני מסכים עם היושב-ראש שזה דברים שכן צריכים להיכנס, מה גם שמידע שיכול להביא לזיהויו של אדם ספציפי או מזהה ייחודי, אני לא בטוח שהוא עדיין יכול להביא לגילוי של זהותו המלאה, דהיינו שמו, ועדיין נדרשת הגנה.
היו"ר שמחה רוטמן
יש במסמך שהביאה היועצת המשפטית את ההגדרה של ה-GDPR באנגלית ואת ההצעה שהיא כביכול תרגום של ה-GDPR, שבמקום "מידע" יופיע "מידע אישי" – "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי. אדם הניתן לזיהוי הוא מי שניתן לזהותו במישרין או בעקיפין (באמצעים סבירים)", כן או לא, האם להוסיף את זה להגדרה או לא, ובכלל זה באמצעות מזהה כמו שם, מספר זהות. מזהה ביומטרי זה גם תוספת שלא מופיעה ב-GDPR אבל אצלנו היא קיימת. "נתוני מיקום – מזהה מקוון או נתון אחד או יותר הנוגע למצבו הפיזי, הפסיכולוגי, הגנטי, הכלכלי, התרבותי או האישיותי". זה תרגום פחות או יותר מילולי של ה-GDPR עם מספר תוספות שדיברנו עליו.
נעמה מנחמי
בעצם במובן מסוים אפשר להגיד שזה קצת מיקס בין ההצעה הממשלתית ל-GDPR.
היו"ר שמחה רוטמן
במכון הישראלי לדמוקרטיה שאולי יתייחסו, בהצעה שהם כתבו ב-2019 הם עשו "נתונים על אודות אדם מזוהה לרבות נתונים המאפשרים במעמד סביר את זיהויו של אדם", שזו הייתה ההצעה בנוסח שהמכון הישראלי לדמוקרטיה הציע בזמנו.

כדאי שמי שמתייחס ידבר על מה הנזק או התועלת או הדלתא או המקרים שהוא מזהה שלא יכנסו או כן יכנסו להגדרה א' או הגדרה ב'. דיברנו על זה, למשל חברות במכבי. אני חייב לומר שהאמירות שנאמרו פה הן פחות מטרידות אותי. יכול להיות שבמקרה נקודתי גם מידע שבאופן עקרוני לא מהווה מידע פרטי, כללית, על אדם מסוים הוא יהווה מאפיין שמזהה את מצבו התרבותי או האישיותי.

מספר הטלפון שלי הוא מזהה כי הוא ייחודי לי, אבל שתי הספרות הראשונות של מספר הטלפון שלי הן לא, למה? בגלל שזה שמספר הטלפון שלי, ולכן גם כשבאתרים מראים את ארבע הספרות האחרונות של מספר הטלפון או את שתי הספרות האחרונות ואת כל השאר מכסים בכוכביות, כי שתי הספרות האחרונות של מספר טלפון זה לא מגלה שום דבר עליך. יש הרבה מאוד אנשים ששתי הספרות האחרונות האלו, הוא לא מכוון אליך, אבל אם אני חרדי אז שתי ספרות מתוך מספר הטלפון שלי, שתי הספרות הראשונות מזהות האם אני בקומה הכשרה, כן או לא, ומזהות שבעצם אני לא מציית לכללים של הקהילה שאני חלק ממנה ויש לי מספר טלפון שהוא לא חלק מהקומה הכשרה. מה המידע הפרטי? צירוף של שני הנתונים, לא הנתון הזה בלבד.

יכול להיות שההגדרה של אדם כחרדי נכנסת להגדרת פרטיות. זו שאלה אולי של גודל קבוצה. אולי צריך ללכת לתקנה בת פועל תחיקתי שהם ציבור בלתי מסוים. נניח שלהגיד שבן אדם הוא חרדי זה מידע פרטי, הצירוף של המידע שאדם הוא חרדי ויש לו טלפון לא כשר, הוא המידע שהוא הפרטי. עצם העובדה שלאדם פלוני זה שתי הספרות הראשונות של מספר הטלפון שלו או שאדם הוא חרדי, בוא נניח שלהגיד שאדם הוא חרדי זה לא פגיעה בפרטיות, כל פרט מהמידע הזה בפני עצמו איננו מידע פרטי. הצירוף של שניהם הוא כן, אבל זה לא סיבה לבוא ולהגיד שבגלל שהצירוף של שניהם הוא כן, כל חלק הוא כבר בגלל זה הופך להיות מידע אישי. זה לא בהכרח. בדיוק כמו שכל אטום בפני עצמו הוא אטום, אבל מולקולה זה רק שני אטומים או שלושה אטומים מסוגים שונים. כשמחברים אותם ואז יש להם מאפיינים אחרים, אז נוצרת הפגיעה בפרטיות כאשר מופץ המידע הזה לגבי אדם, ובלי המאפיין או הזיהוי הייחודי הזה, זה לא בהכרח המצב.

התייחסתי לדברים שלך, אז אתה רוצה לענות. בקצרה.
אייל שגיא
בהמשך לדוגמה של כבוד היושב-ראש, העובדה שיש אדם שהוא לא בקומה כשרה, לצרף את זה לעובדה שהוא חרדי, שזה יכול להיות לא מידע או מידע גלוי, כולם רואים, זה מה שיוצר את הבעיה וזה נכון. יכול להיות שאצלי במערכות המידע הזה שהוא בקומה כשרה, אני אתייחס אליו בכל מיני צורות. לצורך התפעולי זה לא מעניין. לצורך של לפרסם אני אחשוב פעמיים – זה מספר שהוא חסוי, אז למה שאני אפרסם אותו? כי אפשר להצליב אותו, לא אני, אבל קל להצליב אותו. כל החשיבה הזאת זה אחריות של בעל המאגר לעשות. יש לי מידע, אפשר להשתמש בו לטוב, לרע. תהיה אחראי על מה שיש לך. תחשוב גם על האנשים עם הכוונות הרעות ותהיה אחראי.

אם נגיד מראש, הקומה הכשרה לא רלוונטית, היא לא רלוונטית בסיטואציה א' אבל היא מאוד רלוונטית בסיטואציה ב', שמי שאחראי לחשוב שמא סיטואציה ב' תגיע זה בעל המאגר.
היו"ר שמחה רוטמן
יכול להיות שזה פונקציה של מוסר המידע על המידע. העובדה שלאדם פלוני יש צבע עור שחום זה מידע סופר גלוי. כל מי שעובר רואה אותו. אין בו כמובן שום גנאי או גילוי על אישיותו בשום צורה שהיא, אבל אם נגלה ששני הוריו הם לבקנים, וואלה, כנראה שהוא או מאומץ או שזה מלמד אותי משהו על ההרגלים של ההורים שלו. עכשיו נשאלת השאלה האם בגלל זה אנחנו עכשיו נאסור על פרסום או נגביל מאוד כל צילום של המרחב הציבורי, נכריח את כולנו ללכת עם מסווה על פנינו כדי שלא ידעו את צבע העור שלנו או שנגיד, שמע, אם אתה בצבע עור שונה משמעותית מצבע העור של ההורים שלך ואתה חושב שגילוי פרט המידע הזה לגביך יפגע בך, בפרטיות של ההורים שלך, יחשוב שבגלל זה אתה מאומץ, הנושא הכי רגיש שיש, שלפעמים אפשר ללמוד עליו באמת רק ממראה של מידע הכי גלוי שיש. או שנבוא ונגיד אלו החיים, או שנבוא ונגיד, שמור על המידע הזה כי אתה מונע נזק הטוב ביותר ואם לא תצליח, מה לעשות, אני לא יכול להכריח את כל העולם לכבות את כל המצלמות שלהם במרחב הציבורי, שמא תעלה תמונה שתגלה להורים שלך שאתה בלונדיני כשהם ג'ינג'ים.
אייל שגיא
בדיוק בגלל זה המשטר של ניהול הסיכונים והערכת השימושים שצריך להטיל על בעלי מאגרים זה בדיוק מה שהוא בא לפתור. להגיד היום מראש, אנחנו חושבים שבסיטואציה מסוימת צבע העור הוא לא בעיה, אז מה, נכתוב עכשיו צבע עור הוא לא בעיה אלא אם הוא בעיה? תתחשבו גם זה. אתם צריכים לקחת את הכול בחשבון.
היו"ר שמחה רוטמן
יכול להיות שבשלב מסוים ההרחבה הזאת מכניסה אותנו לדבריו של רבנו בחיי בספר חובת הלבבות "מן הזהירות שלא תרבה להיזהר", זאת אומרת, אם אתה נזהר יותר מידי, אתה בסוף לא נזהר בכלל. כן.
עמרי רחום טוויג
עו"ד ד"ר עמרי רחום טוויג מטעם גוגל ישראל. אני חושב שהסוגיה שעלתה עכשיו בשיח, שהעלה אייל בצדק רב קודם, כל מחדדת את הקושי שאנחנו דנים כרגע בסעיפי הגדרות במנותק מהסעיפים המהותיים והאיסורים המהותיים בחוק. זה עלה גם בישיבה הקודמת ואני מבין שגם אדוני היושב-ראש, גם הייעוץ המשפטי מבינים את הקושי הזה. אם כבר אנחנו עוסקים בסעיף ההגדרות עצמו ומנסים לייצר בתוכו רבדים נוספים שהם לא רק האפס ואחד שדיברנו עליו עכשיו, וגם פוזלים למה קורה מסביב לעולם, אני חושב ששני רכיבים משמעותיים שצריך להתעכב עליהם בנוסף לשאלת המאפיין המזהה שהוא נמצא בהגדרה. הרכיב הראשון והוא נמצא בסוגריים בהגדרת הייעוץ המשפטי של הוועדה, וקיים אגב גם ב-GDPR. כשאנחנו מסתכלים על ה-GDPR וגם על חקיקות אחרות, אנחנו צריכים להיזהר לא להסתכל רק על סעיף ההגדרה עצמו. יש גם את פרק ה-recitels שהם נשמעים לנו כמו דברי הסבר, אבל הם לא דברי הסבר. המעמד הפרשני שלהם ב-GDPR הוא מעמד קרוב מאוד לדבר החקיקה עצמו בהשוואה לדברי ההסבר בדין הישראלי. באותם recitels ל-GDPR אכן מדברים - - -
היו"ר שמחה רוטמן
אתה מתכוון בהשוואה ללשון החוק בדין הישראלי.
עמרי רחום טוויג
גם, אבל בוודאי בהשוואה לדברי ההסבר בדין הישראלי וחייבים לתת להם ביטוי, והם כוללים התייחסות לשני רכיבים משמעותיים שחייבים להעלות לדיון: אחד זה רכיב האמצעים הסבירים, זאת אומרת קיומם של אמצעים סבירים, אלא מה הם. אמצעים סבירים באיזה מובן? במובן היכולת הטכנית בעולם כולו, יכולת טכנית של מעצמה, יכולת טכנית של המכולת השכונתית? האמצעים הסבירים צריכים להיבחן בשים לב.
היו"ר שמחה רוטמן
יכולת טכנית של ה- AI של גוגל.
עמרי רחום טוויג
הכול יכול להיות. אני רק אומר שבסוף האמצעים הסבירים צריכים להיבחן בשים לב למה שמצוי וזמין בידי מי שעוסק בעיבוד המידע, יהיה זה בעל השליטה במאגר, יהיה זה המחזיק במאגר, כל אחד בתורו, ותיכף אפשר יהיה גם לתת דוגמה בהקשר הזה. הרכיב השני שנמצא גם הוא בדברי ההסבר ב-GDPR, חלקו בדברי ההסבר, חלקו בהגדרות הוא השאלה של הסרת הרכיבים המזהים ממידע שהיה ניתן לזיהוי.
היו"ר שמחה רוטמן
התממה.
עמרי רחום טוויג
התממה או פסבדונימיזציה מה שנקרא, אלה שני רבדים שונים של הסרת יכולת הזיהוי, אבל אי אפשר להתעלם מהם. הם חייבים לבוא לידי ביטוי בעיניי כבר בהגדרה של מידע עצמו וזה נותן לנו את האפשרות לייצר כמה - - -
היו"ר שמחה רוטמן
למה? לכאורה אם אני כתבתי שמידע שנוגע לאדם מזוהה או לאדם הניתן לזיהוי - - -. זה תמונת הראי של ההגדרה הזאת.
עמרי רחום טוויג
אני אסביר, אדוני. הקושי שקיים, אגב, גם היום בדין הישראלי וקיים גם במקומות אחרים מסביב לעולם, הוא שברגע שלא כוללים את זה כהחרגה בהגדרה עצמה, עולות פרשנויות שלפיהן מידע שהיה מזהה במקורו, גם השימוש בו לצורך הפשטת רכיבים מזהים הוא כשלעצמו כבר עיבוד מידע.
היו"ר שמחה רוטמן
לכאורה זה ודאי עיבוד. השלב של ההתממה הוא עיבוד. אחרי ההתממה כבר המידע איננו מידע.
עמרי רחום טוויג
נכון, אבל צריך להסביר במפורש שהפשטת רכיבי זיהוי ממידע שהיה מזוהה בתחילתו יוצאת מגדרי - - - . ההגדרה, אם זה לא יהיה כתוב - - -
היו"ר שמחה רוטמן
אוקיי, נרשום קיפול על זה. בסדר גמור.
עמרי רחום טוויג
ההתממה זה שאלה של אפס או אחד. התממה היא אי יכולת חזרה לנושא המידע עצמו. פסבדונימיזציה שהיא בעצם סוג של התממה חלקית - - -
היו"ר שמחה רוטמן
זה יצירת מפתח אחר שידוע רק לגורם אחד.
עמרי רחום טוויג
הוא יוצר גם ב-GDPR, גם במקומות אחרים בעולם הפחתה מהותית מהוראות החוק המהותיות גם בהיבטי חובות אבטחת מידע, גם בהיבטי קנסות, גם בהיבטי מגבלות על עיבוד מידע וזו עוד קטגוריה שנמצאת ברצף של האפס - - -
היו"ר שמחה רוטמן
זאת אומרת, כשפייסבוק או גוגל מייצרים עבורי מזהה ייחודי שאף אחד לא יודע לקשר בינו לביני חוץ מגוגל - - -
עמרי רחום טוויג
אני אתן דוגמה.
היו"ר שמחה רוטמן
אני מבין את החשיבות.
עמרי רחום טוויג
היא דוגמה רלוונטית אבל היא קיימת בעוד מצבים. כל חבריי פה שעוסקים בפרקטיקה יגידו למשל על התרחיש של ניסויים קליניים במחקרים רפואיים. הרבה אנשים מעורבים בשרשרת האספקה של הניסוי הקליני. רובם המכריע למעט המוסד הרפואי מקבלים את המידע שהוא מופשט מכל נתון מזהה, לא כי רוצים אלא כי זו החובה.
היו"ר שמחה רוטמן
כי זו החובה כדי שהניסוי יעבוד.
עמרי רחום טוויג
בוודאי, לכן יש היגיון רב להפחית משמעותית את הנטל הרגולטורי על כל השרשרת הזאת בהמשך. אגב, ה-GDPR יוצר תקלה בהקשר הזה. ה-GDPR יצר תקלה לא טובה.
היו"ר שמחה רוטמן
זה קיפולים לעתיד. כן.
דן אור-חוף
בוקר טוב, דן אור-חוף, אני חבר המועצה הציבורית להגנת הפרטיות ועו"ד שעוסק בהגנת הפרטיות מזה הרבה שנים. כמה מילים בהקשר הזה. קודם כל כדי להכניס את הדברים לקונטקסט. לא רק ה-GDPR. אנחנו בעידן שבו יש כבר עשרות רבות של מדינות בעולם שאימצו הגדרה הוליסטית רחבה, מקיפה למה זה מידע והחוקים שלהם מבוססים על זה. ההגדרות הן לא בהכרח הולמות והן בדיוק תואמות את ההגדרה שאתם מכירים מה-GDPR. יש ניואנסים ויש הבדלים, אבל הן כולם אני חושב הולכות בכיוון הזה המרחיב. זאת נקודה אחת למחשבה.

הנקודה השנייה למחשבה היא שבבסיס החוק שלנו לא התכוון שמידע יהיה כל דבר. זאת עובדה. כשחוקקו את פרק ב' לחוק הגנת הפרטיות קבעו במפורש שהוא שונה מהמונח של ידיעה לעניין אישי על בן אדם, שפורש בהרחבה בפסיקה של בתי המשפט פה בארץ. אני אומר את זה בקונטקסט הזה, כשאנחנו משנים עכשיו את ההגדרה זה לא רק שינוי הגדרה אלא זה שינוי תפיסתי רחב בנושא הזה וצריך לקחת את זה בחשבון. גם צריך לקחת בחשבון בכלל את התוחלת של אם אנחנו מאמצים הגדרה רחבה כזאת, אם יש בכלל סיבה או עניין להשאיר בחוק את המונח ידיעה על עניין אישי של בן אדם, כי זה כבר כלול בתוך ההגדרה הרחבה של מידע. זאת הנקודה השנייה.

הנקודה השלישית היא שאני חושב שבתפיסה המודרנית זה ברור לגמרי שהמהות של פיסת מידע היא ההקשר שלה. ההקשר הוא מאוד חשוב. בדרך כלל אנחנו לא ניתקל במצב שבו אנחנו מסתכלים על פיסת מידע אחת אלא על פיסת מידע שקשורה בעוד כל מיני נתונים ועובדות אחרות, לכן ההקשר הוא חשוב וגם יכולת ההיסק מתוך אוסף הנתונים היא חשובה, שזה אגב חלק למשל מההגדרה במפורש של החוק הקליפורני. זה לא קיים ב-GDPR בצורה מפורשת שמידע מוסק הוא גם מידע לצורך העניין, וזה משהו שאולי צריך לשקול להכניס אותו במפורש גם לחוק שלנו.
היו"ר שמחה רוטמן
אבל מידע מוסק הוא כמעט בהגדרה מידע.
דן אור-חוף
יכול להיות.
היו"ר שמחה רוטמן
כי הוא צמוד לאדם מזוהה.
דן אור-חוף
אבל מחוקקים וגם לא אחד החליטו שזה נכון לציין את זה במפורש, מקום שב-GDPR למשל לא ציינו את זה. במובן הזה אני חושב שיש מקום בהחלט לשקול ולאמץ את הגישה הרחבה הזאת של מידע כהגדרה. זה הכול תלוי הקשר ולכן להוציא מתוך התחולה הזאת משהו שיכול בפוטנציה להיות משויך לבן אדם או שהוא משויך בוודאות, אני חושב שזה דבר לא נכון. זה עניין בסופו של דבר של איזה הוראות יחולו, וזה אולי הדבר החשוב. כשאנחנו מדברים למשל שחלק מההגדרה של מה זה מידע עם רגישות מיוחדת זה אמונות של בן אדם, אז כמו שאדוני אומר, זה שמצלמה קולטת בן אדם שיש לו כיפה על הראש, זה לא מידע בעל רגישות מיוחדת.
היו"ר שמחה רוטמן
יש הרבה אנשים שיש להם כיפה אבל אין להם אלוהים.
דן אור-חוף
יכול להיות. שם טמון המפתח בעניין של איזה הוראות יחולו ואיך אנחנו לא מטילים הוראות קשות ומכבידות מידי על מידע שהוא לא צריך להיות כזה.
היו"ר שמחה רוטמן
ברור.
טלי גוטליב (הליכוד)
איך זה קשור למלחמה?
היו"ר שמחה רוטמן
טלי, קידום חוק הגנת הפרטיות לבקשת המל"ל בזמן המלחמה.
טלי גוטליב (הליכוד)
קראתי את כל החומרים. סליחה שאני מפריעה לכם, רבותיי הנכבדים, פשוט אני רק מסבירה למה אנחנו תוהים. פשוט מתנהלת מלחמה במדינת ישראל. קצת מוזר. מה ביקש המל"ל בזמן מלחמה? רציתי להבין איך זה קשור.
היו"ר שמחה רוטמן
לבקשת המל"ל הוצגה על ידי הרשות להגנת הפרטיות. מדינת ישראל עוברת הרבה מתקפות בין היתר על מאגרי מידע. היכולת של הרשות להגנת הפרטיות להשתמש בכלי האכיפה שלה לטובת הגנה על מאגרי מידע, שזה מה שתיקון מס' 14 עוסק.
טלי גוטליב (הליכוד)
כן, אבל איך זה קשור למלחמה? כי אתה קושר פה לארגוני טרור. פה אתה לא יכול לעשות שום דבר על פי החוק הזה וגם לפי התיקון המוצע לחוק, סליחה רבותיי כמובן. אתה לא יכול לעשות שום דבר שקשור לארגוני טרור.
היו"ר שמחה רוטמן
מה שאת אומרת איננו נכון.
טלי גוטליב (הליכוד)
אני רק רוצה רגע להבהיר, שיהיה רק ברור. אין לי טענה, כל דיון הוא חשוב תמיד. כל חקיקה היא חשובה. הגנת הפרטיות היא ערך עליון, מקודש ממש, אין בכלל שאלה, אבל לשיטתי שלי בזמן שאנחנו קוברים את מתינו, אז העיסוק צריך להיות בעיסוק שקשור אך ורק ללחימה, דיני לחימה, שינוי חקיקה שקשור לזה. קצת צורם באוזן העיסוק הזה. אני רק רוצה להבין שאולי מישהו יסביר לי איך זה קשור לארגוני טרור, מקום שממילא החוק הזה לא חל עליהם בשום צורה שהיא. אנחנו לא מחילים אותו. אנחנו מתעסקים בכל מה שקשור לפגיעת סייבר במדינת ישראל בערוצים אחרים לגמרי ולא באמצעות החוק הזה, בכל הכבוד למל"ל. תודה.
היו"ר שמחה רוטמן
תודה.
ליאור אתגר
בקשר לנושא הקודם רק לחזק את דבריו של חברי פה, דן. זה מתקשר למה שאמרתי מקודם. אני מוסיף נתון נוסף שצריך לזכור למה חשובה הגדרה רחבה של מידע אישי. ההתקדמות הטכנולוגית היום מאפשרת למידעים שלנו להיראות היום חסרי משמעות. מחר הם בעלי משמעות רבה מאוד.

דיברת על קופת חולים ועל חברות. אם אתה מצרף לתוך זה, זורק עוד שניים-שלושה נתונים, יש היום הרבה מאוד חברות שיכולות לטרגט אותך בשלל דברים ובשלל אמצעים שאתה בכלל היום לא יכול לחשוב על זה, אם אתה מוסיף את נתוני הפרופיל שלך ברשת החברתית או את הרגלי הצריכה שלך.
היו"ר שמחה רוטמן
מה שאתה אומר זה בדיוק את אותו דבר. יש מידע שהוא כשלעצמו איננו. אם תצרף אליו הוא יהיה, לכן אני מסכים שהצירוף של המידע כמו מזהה ביומטרי אגב, שזה דוגמה מצוינת. אני לא יודע מה הגודל המינימלי שנדרש בטביעת אצבע כדי להוות מזהה ייחודי. אגב, תביעות אצבע זה לא כזה מזהה ייחודי. סטטיסטית הוא נותן משהו. יכול להיות שסנטימטר מרובע של טביעת אצבע זה איננו מזהה ייחודי מספיק, אבל שני סנטימטרים מרובעים זה כן. זה שניתן לצרף סנטימטר אחד פלוס סנטימטר שני, אז שני סנטימטר יהפכו להיות ארבע סנטימטר כאשר מדובר בשני סנטימטר מרובע, אז יש לי רבע מהמידע הייחודי. הוא איננו מידע ייחודי. אם אני אצרף את ארבעתם אז יהיה לי מזהה ביומטרי ייחודי. המחשבה שבגלל שאם אני אצרף את ארבעתם יהיה לי מזהה ביומטרי ייחודי כבר בשלב של הרבע שהוא לכאורה יכול להיות להתממה או יכול להיות לצרכי מחקר כדי לזהות כמה אנשים, יש להם מאפיין מסוג קשת בתוך טביעת האצבע שלהם, הוא מידע מותמם. אין איתו שום בעיה. הוא לא מזהה ייחודי. אי אפשר לחבר בינו לבין אדם מסוים או אפילו לבין קבוצת אנשים מסוימת. כשתצרף אז תיווצר לך בעיה.
ליאור אתגר
אתה מחזק את העובדה שצריך לתפוס את זה בהמשך הדרך ולא בהתחלה.
היו"ר שמחה רוטמן
נכון.
ליאור אתגר
כדי שתהיה לי את האפשרות לתפוס כמה שיותר סוגים של מזהים, בהמשך הדרך תתפוס את בעל המאגר או את מי שמעבד את המידע ושם תטיל עליו את המגבלות.
היו"ר שמחה רוטמן
את הראשון שיחבר רבע פלוס רבע פלוס רבע פלוס רבע ולא את זה שמחזיק את הרבע.
ליאור אתגר
אז אנחנו מסכימים שהצורך הוא בהגדרה רחבה והיכולת לתפוס אותו במהלך הדרך.
היו"ר שמחה רוטמן
בהנחה שסנטימטר מרובע של טביעת אצבע איננו מהווה מזהה ביומטרי ייחודי ואיננו מהווה מידע אישי, האם מאגר שמכיל המון סנטימטרים מרובעים בלי הפניה בינם לבין אדם ספציפי, בין אם זה עבר התממה ובין אם זה עבר פסבדונימיזציה. מאגר שמכיל רק את אותו גודל שאיננו מהווה מאפיין, הוא לא מאגר ביומטרי. הוא איננו מאגר שדורש לו הגנה על הפרטיות. הוא מידע מותמם לחלוטין ולכן המחשבה שנכון, אבל אם יש לי ארבעה מאגרים כאלו, אז אם אני מחזיק ארבעה מאגרים כאלו ומחזיק בגישה לכל ארבעת המאגרים האלו, אז יכול להיות שאתה צודק. לצורכי סקר פרטיות או מנגנון ההגנה האחר שאני אבצע אצלי אני אצטרך לקחת בחשבון שאם מישהו יחבר לי את ארבעת המאגרים האלו, יהיה לי פה משהו מאוד מסוכן שדורש הגנות, אבל כל זמן שלא נעשה או שזה מוחזק על ידי ארבעה גורמים שונים, אני לא נכנס להגדרת החוק וצריך שאני לא אכנס להגדרת החוק כי יש לי אינטרס שאתה תקים מאגרים שכאלה כדי לברוח מהחוק. יש לי אינטרס שאתה תעביר את המידע שלך התממה כדי שתברח מהחוק.
ליאור אתגר
תסלח לי, אדוני, המגבלות הן לא על מי שמעבד מידע אישי, אלא על מי שהוא בעל מאגר למיטב הבנתי.
היו"ר שמחה רוטמן
לא, גם וגם.
ליאור אתגר
בוא נטיל את המגבלות על בעל המאגר.
היו"ר שמחה רוטמן
שוב, בעל מאגר שמכיל מידע שמחובר לאדם הניתן לזיהוי. אם המאגר מוחזק בצורה שאיננה מאפשרת זיהוי ויש לי אינטרס שהבן אדם יידע, ובסקר פרטיות שהוא יערוך יהיה כתוב המאגר הזה איננו מחזיק מידע על אנשים הניתנים לזיהוי, הוא מאגר לצרכי מחקר, הוא מאגר לצרכי ביג דאטה, הוא מאגר לצרכי כל מיני דברים שיש לי אינטרס שהוא לא יהיה מחובר ולא יהיה ניתן לחיבור באמצעים סבירים. יכול להיות שאם בינה מלאכותית שיושבת על מחשבי העל הכי טובים בעולם, יכול להיות שזה כן יהיה אפשר בכוח של מעצמה או כוח של גוגל שהוא כוח מחשוב יותר ממעצמה, אבל השאלה היא האם עכשיו אנחנו בגלל זה נייצר תמריץ לאנשים להגיד, טוב, בכל מקרה יש לי פה רבע מאפיין ביומטרי שאיננו מאפיין ביומטרי בפני עצמו, בכל מקרה חל עליי הצורך להגן עליו כאילו הוא מאפיין ביומטרי, כי הגדרת המידע היא כל כך רחבה, אז יאללה, אני כבר אחזיק את המאגר הביומטרי.
ראובן אידלמן
רק להגיד שאנחנו גם נשמח להתייחס להצעה.
היו"ר שמחה רוטמן
ודאי.
ראובן אידלמן
יש הצעה על השולחן. קצת הלכנו קדימה.
היו"ר שמחה רוטמן
טלי רצתה לשאול שתי שאלות.
טלי גוטליב (הליכוד)
כן, את גלעד. סליחה שאני רגע יוצאת מתוך זה אבל אני בתוך הרעיון של הדיון חייבת רגע לשאול האם הרשות ידעה או שיש לה דרך לדעת בכלל שיש ניסיונות פריצה כל הזמן, לדוגמה, למצלמות נייחות בישראל תוך חיפוש מצלמות עם סיסמה דיפולטיבית כזאת ואחרת ושאיבת מידע ופגיעה בפרטיות אצל אזרחי מדינת ישראל. הרשות מודעת לזה?
גלעד סממה
כן.
טלי גוטליב (הליכוד)
הרשות מודעת שחוקקנו חוק מאוד מסוים שבוע שעבר בהקשר הזה?
גלעד סממה
חלק מההצעה הממשלתית גובשה ביחד איתנו. הזירה הזו לא מתאפיינת בהצעת חוק אחת או בהצעת חוק אחרת. יש מגוון רחב של כלים שהממשלה זקוקה להם כדי להתמודד עם האיום.
טלי גוטליב (הליכוד)
אני רוצה רגע להבין. החוק הזה שאתה מציע לי פה, חוק להגנת הפרטיות על התיקונים שמוצעים ומונחים כאן על השולחן, לא נותן לך שום סמכות אופרטיבית כלשהי על ארגוני הטרור, מסכים איתי? לא נותנת לך גם שום סמכות בשום מקום אחר מחוץ למדינת ישראל, לך כרשות.
גלעד סממה
אם אפשר להגיד כמילה. החוק הזה, אפשר גם לבדוק את זה, הוא החוק הכי דרמטי בזירה הקיימת הזו שאנחנו מדברים עליה.
טלי גוטליב (הליכוד)
לא סיסמאות. רוצה לדעת איך הוא קשור ללחימה.
היו"ר שמחה רוטמן
סליחה, שאלת שאלה, תני לו לענות.
גלעד סממה
זה לא סיסמאות. החוק הזה, אנחנו רוצים לא רק להתמודד עם אירועים, אנחנו רוצים למנוע אירועים. החוק הזה מונע אירועים. באופן רחב מאוד הוא מגביר את החוסן הלאומי של כל המשק הישראלי באמצעות החקיקה הקיימת כאן. זה לא הפורום כרגע, אבל אפשר לשבת על הסעיפים ולהראות את הדבר הזה.
טלי גוטליב (הליכוד)
תענה לי על השאלה.
גלעד סממה
אנחנו רוצים למנוע את האירועים.
טלי גוטליב (הליכוד)
איזה אירוע של ארגון טרור החוק הזה יכול למנוע?
היו"ר שמחה רוטמן
טלי, תני לו לענות.
טלי גוטליב (הליכוד)
תפסיק לצרוח עליי.
היו"ר שמחה רוטמן
אני לא צורח עליך. תפסיקי להפריע בבקשה.
טלי גוטליב (הליכוד)
תפסיק לצרוח עליי, אדוני היו"ר. תירגע.
גלעד סממה
חברת הכנסת גוטליב, התקיפות מוכוונות למידע האישי של אזרחי מדינת ישראל.
טלי גוטליב (הליכוד)
שהפריצה אליהם לא קשורה לחוק הזה.
גלעד סממה
בוודאי שהיא קשורה. מאוד קשורה. היא קשורה והיא מגבירה את החוסן של אותם מאגרים שהיום מאותרים על ידי אותם ארגוני טרור. לא רק ארגוני טרור, גם ארגונים אחרים אבל בייחוד ארגוני טרור. מאז ה-7 באוקטובר, השבת הארורה הזו אנחנו חווים הכפלה של אירועים מכיוון של ארגוני טרור.
טלי גוטליב (הליכוד)
ברור. אתה גם תחווה אותם כל הזמן כי הם לא פחות חכמים ממך.
גלעד סממה
לכן אני אומר, ההצעה הזו מגבירה את החוסן ומונעת אירועים ומונעת את היכולת של אותם ארגוני טרור להיכנס לאותם מאגרי מידע ולשלוף מידע אישי רגיש על אזרחי מדינת ישראל. אגב, גם חיילי צה"ל.
טלי גוטליב (הליכוד)
אני רוצה רגע להבהיר לך, אדוני. כולנו אנשים אינטליגנטים גם כמוך. בוא נניח שאני לא אינטליגנטית לצורך השיח. אני אומרת לך שאתה לא יכול גם אם ממש תתאמץ למנוע מתקפות סייבר. אתה לא יכול. לא יכולת לפני ה-7 באוקטובר, אתה לא יכול גם עכשיו. אנחנו תחת מתקפות סייבר כל הזמן.
גלעד סממה
בוודאי שכן. ההצעה הזו חד משמעית מונעת התקפות סייבר על מידע אישי של אזרחי מדינת ישראל, של חיילי צה"ל.
טלי גוטליב (הליכוד)
איך החוק הזה מונע מתקפת סייבר? בוא תגיד לי, אני חייבת להבין. אני לא מבינה.
היו"ר שמחה רוטמן
גלעד, אתה מוזמן להקדיש דקה לתשובה לדבר הזה. שיקול הדעת על קביעת דיונים בזמן המלחמה נמצא בידיים שלי, לא שלך. מי שהחליט בנושא הזה זה אני, לא אתה. אתה לא חייב לענות על זה. אני החלטתי. אם יש לחברת הכנסת גוטליב בעיה עם זה, היא יכולה לפנות או אליי או ליושב-ראש הכנסת או למי שהיא רוצה. אני מבקש שתקדיש דקה לענות לדבר הזה ואז נוכל לחזור לדיון.
גלעד סממה
הרגולציה כבר קיימת, הרגולציה של הגנת הפרטיות.
טלי גוטליב (הליכוד)
הפרשנות שלה תמיד מרחיבה כדי לשמור על זכות הפרטיות.
גלעד סממה
זה לא פרשנות.
נעמה מנחמי
אין סנקציות.
טלי גוטליב (הליכוד)
אומרת היועמ"שית, אין סנקציות. זה נכון, לכן אני שואלת איך החוק הזה מונע - - -
היו"ר שמחה רוטמן
החוק הזה נותן את האפשרות להטיל סנקציות, טלי. נותן שיניים לחוק שישמור על המאגרים. מה לא ברור?
טלי גוטליב (הליכוד)
אתה לא תוכל למנוע מארגון טרור כלום.
היו"ר שמחה רוטמן
טלי, תודה רבה.
טלי גוטליב (הליכוד)
קשה ליו"ר לשמוע את זה. פשוט ניהול דיון שלא קשור למלחמה בשום צורה.
היו"ר שמחה רוטמן
תודה רבה. מי שמקבלת את התשובה מכל כיוון וממשיכה לצעוק כאילו היא לא קיבלה תשובה, לא ממש רוצה את התשובה ככל הנראה, לצערי.
טלי גוטליב (הליכוד)
אני מאוד רוצה את התשובה, ואני מבהירה לכם שהדיון הזה לא קשור לארגוני טרור או שליטה בארגוני טרור או שמירה על ביטחון מדינת ישראל או הרחבת כלים ללחימה או הרחבת כלים למשא ומתן או להשבת החטופים בשום צורה שהיא. חשבנו לדון איך אנחנו מעמידים לדין את חיילי הנוחבות סוף כל סוף לדין. חשבתי.
היו"ר שמחה רוטמן
חברת הכנסת טלי גוטליב, תודה רבה. בבקשה להפסיק להפריע.

כן, בבקשה.
רחל ארידור
ד"ר רחל ארידור מהמכון הישראלי לדמוקרטיה. אני מסכימה עם כל מה שנאמר כאן. רציתי להציב איזושהי מסגרת. החוק הזה הוא בעצם חוק שבא לתקן, בערך מ-2007 החוק לא תוקן, להציב מסגרת עדכנית להגנת פרטיות במדינת ישראל, לכן ההגדרה הרחבה של מידע היא חשובה. אם התפיסה של המידע ב-1981 כשנחקק החוק הייתה שצריך להפריד בין מידע לידיעה על ענייניו הפרטיים של אדם, היום אנחנו יודעים שהטכנולוגיות שמאפשרות עיבודי מידע ושימושים שניוניים במידע, מאפשרות ים שלם של הצלבות וגילוי או אי זיהוי, לכן הגדרת המסגרת של מידע, ככל שהיא תהיה רחבה, היא לטובה בהתחשב בזה שהיא צריכה להיות במאמצים סבירים לזיהוי.

הנקודה השנייה היא שהקשיים פה לדעתי מדגישים את החסר שיש, וכאן אני פונה למשרד המשפטים, החסר של העובדה שאין פה בסיסים לגיטימיים לעיבוד כבר בתיקון הזה כדי שאפשר יהיה לדעת מה הנפקות של ההגדרות האלה. החקיקה של הגדרה רחבה היא נכונה, היא נדרשת כדי לתקן את החוק ולהציב אותנו סוף כל סוף, את מדינת ישראל בהגנת מידע שמותאמת לטכנולוגיה של היום, אבל כשאנחנו לא יודעים ושהכול עומד על הסכמה, אנחנו בבעיה, לכן אני שוב מבקשת שתשקלו להכניס סעיף כזה.
היו"ר שמחה רוטמן
תודה רבה.

כן, בבקשה.
דן חי
עו"ד דן חי, יושב-ראש הוועדה להגנת הפרטיות בלשכת עורכי הדין. אני לא אחזור על מה שאמרתי בפעם הקודמת, אבל אולי רק בכמה מילים להסביר את הרקע. גם בפסקי דין אנחנו קוראים שהעולם הדיגיטלי, אדם משאיר אחריו שובל של מידע. אנחנו מסתכלים על הפירורים האלה אנחנו לא יודעים מה יקרה איתם וכל הדברים האלה. ה-GDPR, הנוסח שלו פורסם לראשונה ב-2012 וזה היה בדיוק בתקופה שמאגרי מידע, הביג דאטה פרצו לעולם ובאמת היה הרבה סימן שאלה מה קורה וזה בא כמענה לזה. אני חושב שהיום 11 שנים אחרי, אפשר להסתכל על הדברים היום אחרת. אנחנו מציעים תחנת ביניים. אנחנו אומרים שמידע, כל עוד הוא לא יתחבר לכל הפיסות האלה ביחד הוא יהיה רק מידע מוביל, וששימוש בו שיכול או עלול להפוך אותו למידע, יהפוך אותו למידע לפי החוק. כל ההבדל בין מה שאנחנו מציעים למה שהחוק מציע זה שתהיה איזושהי תחנת ביניים שתאגור את כל שובל המידע הזה אליה. אני חושב שזה נותן פתרון נכון לסיטואציה שכולם מדברים עליה. נכון, זה לא קיים באף מקום בעולם, אז מה, אז אנחנו נהיה הראשונים. זה לא פשע.

חיפשתי במחקר שעשיתי הגדרה לדמותו של האדם, וגיליתי שבאי גרנזי יש רישום של דמויות. אתה יכול להירשם כדמות אם אתה לא רוצה שיעשו פרסום בלי שאתה רוצה וכאלה דברים, אי קטנצ'יק ויש לו משהו מאוד חדשני, אז זה לא בושה.
היו"ר שמחה רוטמן
לא הבנתי, אתה יכול להירשם כמה?
דן חי
יש מרשם של דמויות. אתה יכול להגיד, הדמות שלי, אני רושם אותה ועכשיו אסור לעשות בה שימוש לפרסומות או לכאלה דברים בלי הסכמתי.
טלי גוטליב (הליכוד)
אם ישאלו אותי אני יכולה לתת הצעה לדמות של רוטמן.
היו"ר שמחה רוטמן
הראשון לשמו.
דן חי
לא סעיף 2(6) אלא זכות הפרסום, פסק דין מקדונלד.
היו"ר שמחה רוטמן
אוקיי.
נעמה בן צבי
משפט אחד ברשותך ממש קצר. נעמה בן צבי, ראש היחידה לזהות וביומטריה במערך הסייבר הלאומי, ממונה יישומים ביומטריים. רק חשוב לי לומר שטביעת אצבע היא מזהה חד-ערכי.
היו"ר שמחה רוטמן
איזה שטח?
נעמה בן צבי
אתה לא יכול לכמת את זה בשטחים. היכולת לבצע אימות ביומטרי או זיהוי ביומטרי מוצלח באמצעות טביעת אצבע זה דבר שתלוי בהרבה מאוד מרכיבים.
היו"ר שמחה רוטמן
בטוח יש כמות מסוימת של מידע שאיננה מזהה חד-חד-ערכי.
נעמה בן צבי
כן אבל זה בלתי ניתן להגדרה אמיתית. חשוב לי להגיד את זה.
היו"ר שמחה רוטמן
כמה אנשים בעולם יש שמסתובבים עם אותה טביעת אצבע כמו שלי?
נעמה בן צבי
אני לא מכירה את המספרים אבל זה מספרים אסטרונומיים. הסיכוי הוא אפסי.
היו"ר שמחה רוטמן
אני דווקא שמעתי שיש.
נעמה בן צבי
גם בין תאומים זהים טביעות האצבע שונות.
היו"ר שמחה רוטמן
בין תאומים זהים, נכון. ברמת הידע הכללי טביעת אצבע לבד יכולה לתת תשובה חיובית. אם ייקחו את כלל אזרחי העולם, 2,000–3,000 איש מסתובבים עם אותה טביעת אצבע כמו שלי.
נעמה בן צבי
אני יכולה לספר לאדוני שיש מחקרים ליצירה של טביעת אצבע גנרית. אנחנו נעדכן אם אנחנו נצליח לעשות את זה.
היו"ר שמחה רוטמן
לא דיברתי על יצירה של גנרי. אני יודע שטביעת אצבע לבד בלי מאפיין נוסף שקושר אותך לזירה זה לא מספיק. בישראל אנחנו מדינה נורא קטנה. בארצות הברית המספרים הם אחרים.
נעמה בן צבי
טביעת אצבע בודדת על פי ההגדרות שלנו וגם על פי הגדרות ISO זה מידע ביומטרי, אבל כשנגיע למזהה ביומטרי אני ארחיב.
היו"ר שמחה רוטמן
בסדר גמור.
דן אור-חוף
ממש בקצרה רק עוד מילה אחת לגבי העניין של התממה. החוק והצעת החוק כפי שהיא לא נותנת את התמריץ שאדוני דיבר עליו, לקחת מידע מזהה ולהתמים אותו כדי להשתמש בו.
היו"ר שמחה רוטמן
לכן אני כל כך מתעקש על ההגדרה.
דן אור-חוף
יש אכן חוקים, הם לא ה-GDPR. יש חוקים אחרים כמו מספר חוקים בארצות הברית שכן יוצרים מתווה בתוך החוק לאיך לעשות את זה, לכן זה חשוב וחשוב לשקול לכלול הוראות מהסוג הזה לתוך החוק.
היו"ר שמחה רוטמן
כן.
טל מימרן
ד"ר טל מימרן ממכון תכלית. אני חושב שההגדרה המוצעת היא טובה, היא רחבה מספיק בשביל שתהיה לה אריכות ימים ורלוונטיות גם שנים קדימה. ברמה הטכנית אנחנו לא יכולים לחזות איזה טכניקות יהיו גם להסתרת מידע וגם לגילוי שלו, בטח בהקשר של בינה מלאכותית. ברמה החברתית האיזון בין השיקולים בין ביטחון לפרטיות משתנה תדיר וצריך להשאיר מקום גם כן למרחב תמרון. ברמה המעשית אנחנו בעצם חשופים לאיסוף של המון מידע אישי גם כי אנחנו מחויבים על פי חוק, גם בגלל מצלמות, גם בגלל אמצעים אחרים, ובאמת קשה לחזות קדימה איזה רכיבים מתוך מה שאנחנו מחויבים לתת או שמעצם יציאתנו לרחוב אנחנו מעניקים, יכול להשפיע לרעה עלינו, לכן אנחנו מאמינים שההגדרה הרחבה צריכה להישמר. לא להיכנס יותר מידי לספסיפיקציה. הפתרון הוא דווקא בהמשך הדרך למשל במנגנוני הגנה על מאגרי מידע. תודה.
היו"ר שמחה רוטמן
פעם לצלם מישהו הולך ברחוב, מאחוריו, זה היה נחשב מידע שאין בו שום בעיית פרטיות. היום יודעים שעל פי צורת הליכה זה מזהה ביומטרי ייחודי. בשביל זה יש פרשנות לחוק. תאמינו או לא, בשביל זה גם יש בתי משפט. יכול להיות שיש כל מיני דברים שהיום הם לא נכנסים להגדרה ובעתיד ייכנסו לשם באמצעות פרשנות כי כוונת המחוקק היא להגן על פרטיותם של אנשים. דברים שפעם אנחנו לא ראינו בהם את הביומטריקה, היום אנחנו רואים בהם את הביומטריקה. בעתיד אולי יהיו עוד דברים שנגלה. זה לא סיבה מראש להגיד, מאחר וכל דבר מתישהו בעתיד יכול להפוך לביומטרי, אז בוא נהפוך כבר עכשיו כל דבר לביומטרי.
עמית יוסוב עמיר
שלום, עו"ד עמית יוסוב עמיר, משרד המשפטים. אני אתחיל ואסיים בתאימות. אני חושב שהנושא של תאימות פה הוא נושא מרכזי ולכן באופן עקרוני אם ניואנסים קטנים, הרעיון לאמץ את ההגדרה מה-GDPR הוא רעיון נכון.

באופן כללי לגבי האמירות שנאמרו פה לגבי הרגישות או הפרטיות של נתונים כאלה או אחרים, אני חושב שבעולם מאגרי המידע ובעולם נתוני העתק גם מתנתקים מההגדרה של מאגר מידע.
היו"ר שמחה רוטמן
נתוני עתק זה ביג דאטה?
קריאה
כן.
עמית יוסוב עמיר
השלם יוצר את הפרטים, לכן השאלה מתי בדיוק פרט הוא רגיש או לא היא משתנה, וכשאנחנו מגדירים הגדרות לגבי מאגרי מידע שלמים, אנחנו מחפשים את ההגדרה הרחבה. אכן המבחן המוביל והמרכזי שנכון לאמץ, הוא מופיע בנוסח כמו שמוצג גם על ידי הוועדה, הוא מבחן היכולת לזהות באמצעים סבירים, ואכן האמצעים הסבירים שונים מאוד כאשר מדובר במידע שנמצא בידי גוף כמו גוגל או מעצמה מדינתית או מפורסם לציבור הרחב ויכול להימצא בידי גוגל או מעצמה מדינתית לבין מידע מסוג אחר, אבל מבחן האמצעים הסבירים הוא אכן המבחן המרכזי.

חשוב להבהיר, וזה מופיע גם בדברי ההסבר להצעת החוק. אכן אם יש התממה מלאה של המידע לא מדובר במידע ולכן החוק לא חל עליו. חשוב להגיד את זה. אין התעלמות בהצעת החוק. אני אומר את הדברים גם כאן לפרוטוקול, ובהחלט יש תמריץ בהצעת החוק להוציא את הנתונים מתחום הגדרת המידע על ידי התממה אמיתית שלהם.

נושא האסור והמותר ביחס לסוגים מסוימים של מה שכן יקרא מידע אכן צריך לידון בהמשך לאור ההוראות הנורמטיביות, בפרט ההוראות הנורמטיביות שכרגע מוצע לקבוע בחוק הזה. נצטרך לדון על זה בהמשך לאור החוקים העתידיים, לכן אני חוזר בסופו של דבר לאמירה הבסיסית. אנחנו חושבים שהתאימות פה היא דבר מאוד חשוב. אנחנו חושבים שככלל ההגדרה שהוצעה היא הגדרה טובה. מבחינת נוסח, הדוגמאות בקצה ההגדרה שמתורגמת מה-GDPR, היה אפשר לוותר על חלק מהן מהרמה הנוסחית. לאו דווקא אלה הדוגמאות המובילות לאיך קושרים בין נתון לאדם, אבל זה לא קריטי. המשמעות הנורמטיבית היא אותה משמעות. ברמת הנוסח אפשר לשבת על זה אחר כך עם הייעוץ המשפטי.
נעמה מנחמי
אולי נציין שבאופן כללי ה-GDPR כתוב כחקיקה יותר מפורטת, והחקיקה הישראלית באופן כללי היא בדרך כלל יותר מצומצמת ורזה.
ראובן אידלמן
רק עוד הערה אחת. אנחנו מציעים לקרוא לזה מידע ולא מידע פרטי או מידע אישי, כיוון שכל החוק מדבר במונחים של מידע. אם מתקנים את ההגדרה למידע אישי צריך לתקן לאורך כל החוק. זה עניין נוסחי.
היו"ר שמחה רוטמן
דווקא מהסיבות של התאימות חשוב שכן, כי בן אדם יחפש את החוק הישראלי להחיל. אני מעדיף שיהיה כן מידע אישי.
לירון מאוטנר לוגסי
אפשר להוסיף? לירון מאוטנר, משרד המשפטים. כמו שעמית אמר, הנושא של האמצעים הסבירים, על אף שזה לא מופיע בצורה מפורשת בהגדרה של מידע ו-GDPR, אנחנו חושבים שכן - - -
היו"ר שמחה רוטמן
שכדאי להכניס את זה להגדרה אצלנו. אוקיי, בסדר גמור. בעקרון ההגדרה בנוסח של הייעוץ המשפטי מבחינה זאת מקובלת על כולם.
קריאה
בתוספת האמצעים הסבירים.
היו"ר שמחה רוטמן
בתוספת המילה "אמצעים סבירים". ירד ה"נפשי" כי נפשי כולל בריאותי.
קריאה
והביומטרי נכנס.
היו"ר שמחה רוטמן
למרות שאני לא בטוח שנפשי כולל - - -
נעמה מנחמי
אני חושבת שזו עמדה מאוד ברורה של משרד הבריאות בהקשר הזה.
היו"ר שמחה רוטמן
שבריאותי כולל נפשי.
קריאה
זאת העמדה העקבית של משרד הבריאות.
היו"ר שמחה רוטמן
אוקיי. כן.
שחף קצלניק
עו"ד שחף קצלניק מהתאחדות התעשיינים. אני חושב שלהשאיר את ההגדרה כמו שאמרת, אני לא יודע אם זה הסכמה כל כך מקובלת ונרחבת פה. להשאיר את המונח רק כאמצעים סבירים מבלי להוסיף תוספת שאומרת שלמשל אמצעים סבירים מזמינים לאותו בעל שליטה או המחזיק, זה רק יוסיף לאי הבהירות ואי הוודאות שמלווה את כל העסקים בשאלות היום-יומיות שלהם.
היו"ר שמחה רוטמן
בוא נניח שאני בעל עסק, בגילי המתקדם לא ממש מבין ברשתות חברתיות, לא יודע מה אפשר לעשות עם כלי ה-AI החדשים ואצלי זה לא זמין, אבל כל אדם סביר שמסתובב היום שוק, כל ילד בן 14 עם מקלדת יידע מהמאגר שלי, של בעל העסק, המכולת הזאת, לדעת כל מיני דברים. יזהה. בגלל זה אני כבעל עסק לא צריך לשמור? זה כלי שהוא זמין באופן אוניברסלי לכולם.
שחף קצלניק
אנחנו לא מדברים על אמצעים שהם זמינים בשוק.
היו"ר שמחה רוטמן
המילה "סביר" היא כוללנית. כשגוגל תבוא ותגיד, אני מחזיקה במידע, ברור שכלי שבידיים של גוגל, גוגל תצטרך לשמור יותר כי כל עובד בגוגל יוכל באמצעים מאוד סבירים לעשות מהמידע מה שהוא רוצה.
שחף קצלניק
לכן אנחנו מבקשים שזה יהיה בשליטתו.
היו"ר שמחה רוטמן
ברור לי שכאשר יבוא שופט לפרש מה נקרא אמצעי סביר בגוגל, הוא יהיה משהו אחד, בפייסבוק זה משהו אחר, בסדר גמור, אבל כשיבוא לבעל עסק קטן, התאחדות בעלי העסקים נניח, שהוא עצמו לא זמין לו, אבל הכלי הזה נגיש באופן סביר לרוב הציבור בישראל או להרבה מאוד אנשים בישראל בלי מאמץ מיוחד, אז אני רוצה שאתה תשמור עליו. זה שאתה אישית, יש לך אוריינות טכנולוגית נמוכה, לא אתה אלא בעל העסק שאתה מדבר עליו, ששנינו מדברים עליו, לי יש אוריינות טכנולוגית נמוכה, אז זה לא אומר שבגלל זה אני צריך לשמור פחות על המידע.
שחף קצלניק
אני אתייחס למה שאדוני אמר בשתי נקודות. נקודה ראשונה היא שבדרך כלל על העסקים שאנחנו מדברים עליהם, סוג המידע שמעובד שם הוא מידע אחר ממה שאדוני כנראה חושב עליו.
היו"ר שמחה רוטמן
אני אגיד לך על מה אני מדבר. למשל המאגר של המצלמה של הרחוב. יש לי מכולת, שמתי מצלמה שמצלמת את הרחוב. האם המצלמה שמצלמת את הרחוב, אני צריך לאבטח את המידע שלה או שאני יכול לתת לה להסתובב לכל מקום? קודם הייתה פה חברת הכנסת טלי גוטליב וטענה שהדיון שלנו לא נוגע בכלל לסוגיות הביטחוניות. בוא נניח שאני בעל מכולת ויש לי מצלמה שמצלמת את הרחוב. האם אני צריך לאבטח את המידע או שאני לא צריך לאבטח את המידע? זיהוי פנים בסיסי שכל ילד עם מקלדת יריץ על המצלמה שלי, בהנחה שהמצלמה שלי לא תהיה מאובטחת לא בסיסמה ולא בכלום, תגרום לו לאפשרות לעשות מעקב על מי שהוא רוצה שעובר ברחוב. אם המכולת שלי נמצאת ברחוב ראשי בירושלים, וואלה, כולל עובדי מדינה, כולל עובדי המוסד והשב"כ שקונים במכולת. זה שהוא לא יודע להפעיל את הכלי הפשוט של זיהוי פנים או פטרנים של הליכה - - -
שחף קצלניק
אני מתחבר לדברים שאדוני אומר. שתי נקודות בעניין הזה. אחד, אם יש פה עיבוד מסוים של מידע ויש כלי כמו שאתה אומר שהוא זמין לחלוטין, שכל ילד בן 14 כמו שהגדרת את זה, יש לו את זה - - -
היו"ר שמחה רוטמן
ואם לא כל ילד בן 14 או כל ילד בן 20?
שחף קצלניק
אז אנחנו נכנסים לשאלה של בן כמה הילד. השאלה שצריכה להיבחן יותר היא בדיוק הדוגמה שאדוני אמר לפני כן, שיש מעצמות-על שלהן יש כלים - - -
היו"ר שמחה רוטמן
אני לא מדבר על כלי של מעצמת-על. זה מוסכם.
שחף קצלניק
אלה בדיוק השאלות שעסקים נתקלים בהם ביום-יום, מה הוא האמצעי הסביר.
היו"ר שמחה רוטמן
אני מסכים איתך, אבל לבוא ולעשות את זה כקוצר ידו של אותו בעל מכולת זה ודאי לא הפתרון, אז להגיד אמצעים סבירים, האמת היא שיותר מאשר המילים "אמצעים סבירים", אני הייתי עושה – המאפשרים במאמץ סביר. ההגדרה של המכון הישראלי לדמוקרטיה מ-2019 היא קצת יותר מנגנת לי באוזן מאשר "אמצעים סבירים" שזה משהו שהוא קצת יותר קשה, אבל זה עדיין יישאר ככה. זה לא תלוי במחזיק במאגר.

לכם יש בעיה שיהיה כתוב במקום "באמצעים סבירים", אלא במאמץ סביר? אתם מזהים איזשהו הבדל?
קריאה
אין לנו התנגדות וצריך להגיד שבחקיקה העדכנית של הבית הזה גם מ-2021 וגם מ-2016 בחוקים פיננסיים, גם חוק נתוני אשראי וגם חוק שירות מידע פיננסי בסעיפים של מידע נעשה שימוש במונח מאמץ סביר. אני אומר את זה גם במענה להערות שנשמעו כאן.
היו"ר שמחה רוטמן
אז נראה לי שזה יותר נכון. כדאי להציע את הנוסח הזה למרות ביטול עילת הסבירות.
קריאה
יש גם הבדל כמו שאדוני אמר לגבי סוגי המידע שיש. אנחנו חושבים שיש הבדל גם בין סוג מידע שמעובד, לא רק האמצעי הסביר לעיבוד מידע שהוא מידע ביומטרי כדוגמה יהיה אמצעי ההגנה שישמש למשל שם או מספר טלפון. ככה אנחנו רואים את זה.
היו"ר שמחה רוטמן
בסדר, אבל פה זה לא השאלה על עיבוד. אנחנו עוד לא בעולם העיבוד. כשנגיע לעולם העיבוד, נגיע. כרגע אנחנו מדברים על הדרך לחבר פרט מידע לזהות אדם.
קריאה
לכן אנחנו אומרים שכדאי להוסיף להגדרה – לפי סוג עיבוד המידע.
היו"ר שמחה רוטמן
בסדר. דיברנו על השינויים פה בהגדרה לעומת ה-GDPR. אמרנו שאת "מאמץ סביר" נכניס פה לנוסח.
נעמה מנחמי
כן, עושים את זה לפני "במישרין או בעקיפין", רק מבחינת הזרימה של המשפט.
היו"ר שמחה רוטמן
"אדם הניתן לזיהוי או מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין". בסדר גמור. אמרנו שנוריד "מידע נפשי" כי מידע נפשי זה כלול במידע בריאותי.

למה ב-GDPR לא מדברים על ביומטריקה?
קריאה
מדברים.
היו"ר שמחה רוטמן
אז למה זה לא אצלם בהגדרה או שהם מבינים את זה כמשתמע מובן מאליו? למה אנחנו צריכים לכתוב במיוחד מזהה ביומטרי?
קריאה
זה סעיף אחר. ב-GDPR מופיע.
היו"ר שמחה רוטמן
יש סעיף של GDPR על הביומטרי?
קריאה
זה סעיף שמדבר בעצם על הקטגוריות המיוחדות של מידע. מה שאנחנו מכנים מידע רגיש, שם מדברים על מידע ביומטרי. זה נכלל בהגדרת מידע אבל באופן ספציפי מסבירים אותו - - -
היו"ר שמחה רוטמן
כי לכאורה מידע ביומטרי הוא באמת אפילו יותר רגיש מהמידע הרגיל. מידע ביומטרי כמעט בהגדרה הוא נוגע לאדם מזוהה או נתון לזיהוי.
ליאור אתגר
אני חושב שאין סיבה לשים את זה דווקא בהגדרה הכללית. זה ספציפי מידי. יש המון סוגים אחרים של מידע גנטי שהוא לא פחות - - -
עמית יוסוב עמיר
אני חושב שבעולם הטכנולוגי של ימינו זה פשוט אמצעי שהוא מפתח מוביל.
היו"ר שמחה רוטמן
אני מבין. אני פשוט תוהה לעצמי למה ב-GDPR לא הכניסו אותו.
ראובן אידלמן
גם כי חלף זמן וגם בגלל שהמפתח הזה הפך להיות מוביל, אז יהיה מוזר - - -
היו"ר שמחה רוטמן
הבנתי, זאת אומרת זה יותר מתעודת זהות בהקשר הזה.
ראובן אידלמן
מפתחות אחרים כן מוזכרים ודווקא זה שיותר שכיח היום - - -
היו"ר שמחה רוטמן
אגב, סיסמאות זה גם? סיסמה הוא לא נתון מזהה בפני עצמו.
ראובן אידלמן
שם משתמש אולי.
היו"ר שמחה רוטמן
שם משתמש הוא מאפיין ייחודי. סיסמה לפעמים כן ולפעמים לא.
ראובן אידלמן
המבחן הוא הצטברות הנתונים. מזהה ביומטרי בהגדרה הוא המזהה ולכן חשוב שיהיה פה.
היו"ר שמחה רוטמן
אני מבין. מאחר וביומטרי אנחנו אומרים, התקדמנו. אני שואל את עצמי לגבי סיסמאות.
ליאור אתגר
זה עיבוד על ההרשאה, זה לא זיהוי שלו.
קריאה
סיסמה היא אמצעי אימות, היא לא אמצעי זיהוי.
ליאור אתגר
היא אימות על ההרשאה, זה לא זיהויו.
ראובן אידלמן
את הסיסמה מחליפים אחת לתקופה. את שם המשתמש או המספר הייחודי לא מחליפים.
היו"ר שמחה רוטמן
אולי השאלה היא לא נכונה, אבל לצורך העניין נניח שאני משתמש בסיסמה מסוימת. רוב האנשים, למרות הדרישות החוזרות ונשנות של נודניקים בבנקים, בחברות אשראי ועוד, להחליף סיסמאות כל הזמן, משתמשים בסיסמאות שיש להן ואריאציה מסוימת על פרטי המידע שלהם. תוהה לעצמי מה יותר מסוכן גם מבחינת פרטיות ורגישות. כשדולפים רשימות סיסמאות זה לכאורה הרבה יותר נזק. אם יידעו שפלוני אלמוני משתמש בסיסמה מסוימת, גם מידת הנזק לפרטיות שלו זה יהיה מפתח שישמש לפתוח הרבה מאוד אתרים שהוא נמצא בהם. בן אדם בוחר סיסמה שגם יהיה לו מצד אחד קל לזכור, ומצד שני מלמדת משהו. יש אנשים שמשתמשים בתאריכי הלידה של הילדים. יש אנשים שמשתמשים בראשי התיבות של הילדים.
ראובן אידלמן
לכן אדוני זה נתון על אודות האדם.
היו"ר שמחה רוטמן
היום זה לא בהגדרה.
ליאור אתגר
סליחה שאני אומר, אני אינני מומחה סייבר אבל זה של עולם האתמול. היום רוב האמצעים כבר לא משתמשים בסיסמה קבועה. הרבה פעמים משתמשים או בתוכנות שנותנות סיסמה רנדומלית ונמצאות בתוך קופסה, או לחילופין כמו שאתה נכנס לאתר חברת הביטוח, אתה מזין את מספר הזהות שלך ויש לך סיסמה חד פעמית בקוד לטלפון. בגלל זה הנתון המזהה שלך, תעודת זהות וטלפון הם הנתונים שמזהים אותך. סיסמה איננה נתון מזהה.
היו"ר שמחה רוטמן
מאחר ונזכרתי שביומטריה הרבה פעמים משמש ככלי לפתוח כל מיני, זה בעצם רפרנס לסיסמה. טביעת האצבע שלי שפותחת את הטלפון שלי היא רפרנס לסיסמה.
עמית יוסוב עמיר
רציתי להגיד שהמבחן הוא מבחן האמצעים הסבירים. אני צריך להגיד עכשיו שהמבחן הוא מבחן המאמץ הסביר.
היו"ר שמחה רוטמן
בסדר גמור.

עו"ד חמדת קב ממשרד הבריאות.
חמדת קב
שלום, אני רוצה להתייחס להכללת המצב הנפשי בתוך ההגדרה של בריאותי. משרד הבריאות בשנים האחרונות פועל למען נורמליזציה של התחום. שינוי ההגדרה התקבל חזרה מההערות הציבור, חוזר מנכ"ל משרד הבריאות. אנחנו מדברים על שינוי מידע נפשי ממידע חסוי ביותר למידע חסוי כדי שנוכל לבצע תהליכי רוחב גם בדיגיטציה של נגישות למידע, גם בהעברת מידע בין גופים. זה מאוד חשוב ואנחנו פועלים לנורמליזציה של התחום כלפי כולם, וגם בהגדרה הזאת שיעמוד באותה כפיפה למול החוקים האחרים שנמצאים.
היו"ר שמחה רוטמן
אני חייב לומר שנטיתי לקבל את העמדה שלכם הרבה יותר לפני ששמעתי אותה, ואני אגיד לך למה. אני מאוד מתחבר לרצון לייצר נורמליזציה, אבל בסופו של דבר אינטרס הפרטיות הוא לא שייך למשרד הבריאות וגם לא לרצון שלכם בנורמליזציה. לרוב המוחלט של האנשים בימנו יכול להיות שיום אחד תצליחו, אבל אי אפשר להכריח כאילו כבר הצלחתם. בסופו של דבר לרוב האנשים העובדה שאני יצאתי מהבית ולקחתי אקמול או אדוויל, וואלה, זה מידע בריאותי אבל רוב הסיכויים שלא ממש אכפת לי שאנשים יודעים את זה, אבל אם לקחתי תרופה פסיכיאטרית, וואו, אני לא רוצה שידעו את זה.

יכול להיות שזה לא טוב ויכול להיות שאנחנו רוצים שאנשים יתייחסו למצב נפשי בצורה שונה. כשנגיע למידע הרגיש, כן, למרות שאתם רוצים להוביל מהלך וזה טוב ויפה ומבורך ומכובד, אבל בסופו של דבר הזכות שלי לפרטיות לא תלויה בשאלה מה אתם חושבים שאתם רוצים לעשות כמשרד בריאות לטובת כלל אזרחי מדינת ישראל. אני לא יודע אם תצליחו או לא תצליחו. אני לא יודע אם אני רוצה שתצליחו או לא רוצה שתצליחו. אני לא מביע עמדה בנושא הזה, אבל כעניין שבעובדה ברור שמצבו הפסיכיאטרי של אדם היום זה מידע פי אלף יותר רגיש מאשר השאלה אם יש לו ציפורן חודרנית, ולכן צריך להגן עליו הרבה יותר. אם ידלוף מאגר מידע שמספר במי טיפלו על ציפורן חודרנית, ולידו יהיה מאגר מידע שאומר במי טיפלו בסכיזופרניה, חס ושלום, יהיה אחד מ-100 והכול נכון, אבל עדיין בן אדם, ככל הנראה אינטרס הפרטיות שלו בשאלה האם יש לו ציפורן חודרנית הוא פחות, לכן השאיפות נאצלות, כוונתכם רצויה מאוד, אני לא מתווכח, אבל ברור שבעולם הפרטיות חייב להגן יותר במצב היום על מצב פסיכיאטרי-נפשי מאשר על מצב בריאותי רגיל.
חמדת קב
אדוני היו"ר, זה מביא אותנו לשאלה של תיקון 15 לשימושים שייעשו בהגדרות האלה, כי אם ההגדרות האלה נוגעות רק לתיקון הזה ונוגעות למאגרים ואכיפה, אנחנו מדברים על משהו אחד, ואם ההגדרות האלה נוגעות על האופן שבו אדם יוכל לצפות במידע האישי שלו הפסיכיאטרי במערכות שונות בריאותיות, אנחנו מדברים על עולם שלם לחלוטין.
היו"ר שמחה רוטמן
אני מבין מה את אומרת אבל אני אומר שוב, האם אני מצפה מבעלת דוכן הפדיקור לשמור את רשימת הלקוחות שלה באותה רמת אבטחה, כי יש לה מעל עשרה לקוחות עם מידע רגיש נניח, כי זה בריאותי? האם אני מצפה ממנה לשמור באותה מידה על המידע שלה, כמו שאני מצפה מהפסיכיאטר שמתמחה בנטיות אובדניות? אני לא. אני בהחלט חושב שזה יהיה אסון הרבה יותר גדול אם רשימת הלקוחות של הפסיכיאטר תדלוף, מאשר רשימת הלקוחות של הפדיקוריסטית, בלי לפגוע בכלל לא בפסיכיאטר ולא בפדיקוריסטית, פשוט כעניין שבעובדה, מה מפריע לאנשים.
חמדת קב
לכן זה מידע חסוי.
ניר גרשון
אדוני, אם יורשה לי, אני חושב שהסוגיה הזאת שנוגעת לאחת מהקטגוריות של מידע רגיש, שעמדת משרד הבריאות מובנת וידועה, אני חושב שבלי קשר למה התוצאה שלה היא לא רלוונטית להגדרה פה.
היו"ר שמחה רוטמן
היא מקדימה את זמנה, זה נכון.
ניר גרשון
לא רק זה, כי פה לא מדובר על מחלה נפשית, גם לא על מחלה פיזית. מדובר על מאפיין מנטלי. תקראו גם את הנוסח באנגלית. זה לא קשור לרגישות ולהקפדה שלכם. זה לא רלוונטי לפה.
היו"ר שמחה רוטמן
אני מסכים איתך ולכן אמרתי לפני ששמעתי את דבר ההסבר. היה לי ברור, מאחר ואנחנו עוסקים במידע בהגדרה הרחבה, ברור שגם בהגדרת המידע הפדיקוריסטית וגם הפסיכיאטר נמצאים באותה סירה בהגדרת מידע.
ניר גרשון
בהגדרת מאפיין. זה אפילו לא המידע, זה רק מזהה מנטלי, לכן הטענה שלכם בלי קשר אם נכונה או לא, היא לא רלוונטית.
היו"ר שמחה רוטמן
מאחר והיא נתנה פרומו לעניין המידע הרגיש בעל הרגישות המיוחדת, אני בהחלט חושב ששם כן צריך לתת מענה לפערים האלו. הרצון המכובד והמוערך כשלעצמו לחיות בעולם שאני מתחבר אליו מאוד, שאנשים, לא יהיה להם סטיגמה שלילית על זה שהם לוקחים תרופה פסיכיאטרית. אני מאוד רוצה שנחיה בעולם הזה ויתייחסו לזה כאילו הם לקחו אקמול אם הם צריכים אקמול. בסדר גמור, אני מאוד מתחבר לרצון הזה אבל כל זמן שהחזון הזה לא יתממש, אני בוודאי חושב שצריך להגן יותר על רשימת מקבלי התרופות הפסיכיאטריות מאשר על האנשים שקנו אדוויל, למרות ששניהם מידע רפואי.
נעמה מנחמי
אם אנחנו כבר בענייני מידע רפואי, בהסתכלות נוספת על ההצעה אני חושבת שאולי נכון יותר את מצבו הפיזי לכתוב מצבו הבריאותי.
היו"ר שמחה רוטמן
כן.
חמדת קו
כן, בהלימה עם ההגדרה הכוללנית.
ניר גרשון
האם זה מזהה? זאת רשימה של מזהים. מצבו הבריאותי זה יכול להיות מזהה. דווקא אני חושב שפה המונח פיזי הוא יותר מתאים לקבוצה שאנחנו מדגימים, שהיא מזהה. זה לא התוכן אלא המזהה. מצבי הפיזי זה יכול להיות בריאותי, זה יכול להיות הגובה שלי.
היו"ר שמחה רוטמן
יש נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי ויש מזהים. המזהה זה דוגמה אחת.
ניר גרשון
הרשימה של מזהים - - -
היו"ר שמחה רוטמן
לא, לא.
נעמה מנחמי
הוא צודק.
היו"ר שמחה רוטמן
אז אולי צריך להבהיר את זה. אולי באמת זה עניין של הגדרה. אני הבנתי שיש פה בעצם שני דברים. דבר אחד זה איך אנחנו מגדירים מה הוא אינדקס, מה הוא מזהה או דבר שניתן לזיהוי. דבר שני זה איזה סוג של נתון. כל נתון הנוגע לאדם מזוהה הוא נחשב מידע?
עמית יוסוב עמיר
כן, אלה דוגמאות לאמצעי הזיהוי ב-GDPR.
היו"ר שמחה רוטמן
אז זה דוגמאות לאמצעי הזיהוי, זה לא סוגי המידע?
עמית יוסוב עמיר
אפשר מבחינת התאימות להישאר עם זה. היינו יכולים להוריד מבחינת הנוסח כמה דוגמאות פחות רלוונטיות. אני לא חושב שזה משמעותי. אפשר פשוט להישאר עם ההגדרה ה-GDPR.
היו"ר שמחה רוטמן
אז זה צריך בכל מקרה הפיזי-הבריאותי כי ב-GDPR זה and physiological Physical אבל אין פסיכולוגי. לא יודע מאיפה הגיע פסיכולוגי.
נעמה מנחמי
יש mental.
היו"ר שמחה רוטמן
mental זה נפשי. במקום פסיכולוגי צריך שיהיה כתוב פה הבריאותי. פיזיולוגי זה למעשה בריאותי. פיזי זה כמה אצבעות יש לי. בריאותי זה האם יש לי דלקת באצבע. Physical ו-physiological שזה פיזי ובריאותי. פיזי, בריאותי, גנטי. אמרנו ש- mentalאנחנו לא רוצים לכלול בזה.
נעמה מנחמי
כלכלי, תרבותי, אישיותי.
היו"ר שמחה רוטמן
את כלכלי, התרבותי או החברתי.
נעמה מנחמי
אני חשבתי שאישיותי מתאים לדברים אחרים שעלו בהצעת החוק כולל מידע בעל רגישות מיוחדת.
היו"ר שמחה רוטמן
לא, לא, החברתי.
נעמה מנחמי
אוקיי.
רחל ארידור
אפשר להציע משהו?
היו"ר שמחה רוטמן
כן.
רחל ארידור
הערת קודם שהמכון הישראלי לדמוקרטיה לא כלל את כל ה-לרבות של ה-GDPR והייתה לזה סיבה, כי פשוט חשבנו שאין בזה הרבה חשיבות או טעם למנות את כל סוגי המידע ולהתחיל להתווכח מה כן ומה לא, אלא שההגדרה הגדולה של המאמץ הסביר גם וניתן לזיהוי היא מספקת. השאלה אם משרד המשפטים חושב שיש איזושהי חשיבות להכללה?
נעמה מנחמי
בעצם עברנו איזו דרך מסוימת. בהצעה של הממשלה אני חושבת שהם ביקשו כן להוסיף - - -
היו"ר שמחה רוטמן
הם ביקשו להוסיף את המזהים, את האינדקסים שההצעה שלכם לא מדברים על אינדקסים.
רחל ארידור
נכון. אני שואלת למה, מה הסיבה?
היו"ר שמחה רוטמן
אי אפשר לזהות באמצעות אינדקס לבד שום דבר.
שחף קצלניק
למה? אם הנתון הפיזיולוגי לצורך העניין - - -
היו"ר שמחה רוטמן
לא הפיזיולוגי, האינדקס. מספר תעודת הזהות שלי - - -
שחף קצלניק
מאפשר זיהוי של אדם.
היו"ר שמחה רוטמן
מספר תעודת הזהות לא קשור אליי בשום צורה שהיא.
ניר גרשון
לא נדרש שזה יהיה אמצעי מזהה. נדרש רק שזה נוגע לאדם שניתן לזהותו.
עמית יוסוב עמיר
זה המפתח.
היו"ר שמחה רוטמן
זה מפתח ולכן הם הוסיפו את הגדרת המפתח. מפתח בפני עצמו איננו מזהה אותי. הוא האמצעי שבאמצעותו מזהים אותי.
ניר גרשון
בעקבות ה-GDPR ההגדרה שהצענו מלכתחילה נועדה רק להסיר ספק שגם מזהים, לכאורה מספר תעודת זהות, רצף ספרות אקראי שלא אומר עליי כלום. רצינו להבהיר שגם זה - - - מידע.
היו"ר שמחה רוטמן
אני מסכים איתך. זה מה שאמרתי.
ניר גרשון
להסיר ספק, למנוע ויכוחים וטענות.
לירון מאוטנר לוגסי
לגבי שאר התוספות, כל הדוגמאות שיש ב-GDPR, עמית אמר מהתחלה, אנחנו לא חושבים שזה נדרש וגם ממילא זה דוגמאות לא ממצות. זה רשימה פתוחה.
היו"ר שמחה רוטמן
כמו שאמרתי, התועלת העיקרית להכליל אותם היא כדי לייצר הגדרה דומה ככל הניתן להגדרת ה-GDPR גם כדי שנוכל לשאוב מהפסיקה בעולם, לכן גם אני מתעקש על האמירה מידע אישי למרות שזה מידע וזה מידע אישי כדי לייצר דמיון. אני חושב שיש בזה ערך. יש בזה ערך בטקסט בוק, יש בזה ערך בפסיקה. יכול להיות שב-GDPR כתבו כמה דברים מיותרים והם יותר מפורטים מאיתנו. אני לא אומר, עכשיו נעתיק את ה-GDPR, אבל לפחות בהגדרות הבסיסיות שנדע לעבוד איתן.
ניר גרשון
אנחנו כאמור לא מתנגדים.
היו"ר שמחה רוטמן
אוקיי. כן.
שחף קצלניק
עלתה סוגיית יכולת הזיהוי. זה בסדר שהדיון מה הם אמצעים סבירים שמתייחסים לפעילות העיבוד הספציפית, זה לא מבחן שהוא אובייקטיבי-סובייקטיבי. אני מסכים עם אדוני שהוא לא מבחן סובייקטיבי ברמת יכולתו של בעל העסק האם יש לו אוריינות טכנולוגית או אין לו אוריינות טכנולוגית. השאלה כן חייבת להביא בחשבון את אופי עיבוד המידע, סוגי המידע ופעילות עיבוד המידע במובן האובייקטיבי, לא במובן הסובייקטיבי, לכן גם אם זה לא נכנס במפורש ללשון, לפחות שייאמר כאן גם לפרוטוקול או בדברי ההסבר שהמאמץ הסביר הוא בשים לב לפעולות עיבוד המידע שעומדות על הפרק, בין אם על ידי בעל השליטה במאגר, בין אם על ידי המחזיק.

אני שוב מפציר להוסיף בסיפה של ההגדרה – והכול למעט נתון שאינו ניתן עוד לזיהוי כאמור. אני חושב שהתוספת הזאת היא חשובה. היא תבהיר את סוגיית האנונימיזציה, אגב התמריץ לעשות אנונימיזציה כדי לצאת מגדרי ההגדרה. אל תשאירו את זה פתוח.
ניר גרשון
זה לא פתוח. מה שלא עומד בתנאי ההגדרה, זאת אומרת שהוא לא ניתן לזיהוי, אז החוק לא חל עליו.
שחף קצלניק
נכון, אבל מידע שנאסף גם באופן ארעי לצורך העניין, לצורך פעולה של התממה, אם תוסיפו את הסיפה הזאת זה ייתן comfort מאוד משמעותי לשוק לעשות פעולות התממה ולהפחית משמעותית גם פוטנציאל פגיעה בפרטיות.
היו"ר שמחה רוטמן
סוגיית ההתממה אמרנו, אנחנו נעסוק בה בהמשך. נראה את סוגיית העיבוד. אני חושב ששם זה יותר מקומה.

טוב, בשעה טובה ומוצלחת אני חושב שנסגרנו על הגדרה.
נעמה מנחמי
כן, ואפשר לדלג על ההגדרות בכל מיני חוקים שהבאנו ישר לעמוד 5, ידיעה על ענייניו הפרטיים של אדם. בכנסת ה-24 שהחלה כבר לדון בהצעת החוק הייתה הסכמה שכבר לאור הרחבת ההגדרה של מידע, עכשיו מידע אישי, אין צורך גם בהגדרה של ענייניו הפרטיים של אדם, שנמצאת בכל מיני מקומות בחוק ובהצעת החוק הפרט, למעט מקום אחד שזה סעיף 2(9) שעוסק בפרטיות הקלאסית.
עמית יוסוב עמיר
סעיף 2, לא רק 2(9). יש עוד כמה מופעים.
נעמה מנחמי
אוקיי, אז סעיף 2, שם הממשלה כן ביקשה להשאיר את הביטוי אם אני זוכרת נכון, בין היתר בגלל שיש שם כבר פסיקה בנושא. אם אני לא זוכרת נכון אז אפשר לדייק אותי בשמחה.
עמית יוסוב עמיר
כן, העניין הוא כזה. בעצם יש לנו את פרק א' שהוא מה שדובר פה, הפרטיות הקלאסית כולל דברים שלא קשורים למאגרי מידע – צילום ברשות היחיד, מתי אסור לפרסם מידע על אדם, דברים שהם באמת חשובים, מרכזיים אבל הם לא הנושא של מה שנקרא פרטיות במידע שהוא הליבה של מה שעכשיו אנחנו באים לתקן. צריך להגיד ביושר, אחרי שמתקנים את ההגדרה למידע שכרגע הוחלט, הפערים לכל היותר הם מאוד מצומצמים, אם בכלל, בין מידע לענייניו פרטיים של אדם. לא נכנסים לעומק לכל הנושא של הפרטיות הקלאסית, לכל המערכת שנמצאת בתוך סעיף 2 של ההגדרות השונות של פגיעה בפרטיות שם. זה לא רק עניין של פסיקה. אלה נושאים שמדינת ישראל חיה אותם.
היו"ר שמחה רוטמן
אתה טוען שידיעה על ענייניו הפרטיים של אדם זה רחב יותר, רחב פחות, תלוי הקשר?
עמית יוסוב עמיר
קשה להשתמש בביטוי הזה בימים אלו. אני חושב שזה כמעט אותו דבר. יש שם עבירות פליליות, יש שם עוולות אזרחיות, יש פרשנויות שניתנו.
היו"ר שמחה רוטמן
אני באמת חושב שההגדרה בסעיף 2(9) הייתה צריכה להיות תלוית הקשר, כי באמת לבוא ולהגיד האם בן אדם שאומר על פלוני שהוא חבר בקופת חולים מכבי, צריך להעמיד אותו לדין על פגיעה בפרטיות?
עמית יוסוב עמיר
זה באמת אחד הכיוונים שמופיעים בפסיקה בנושא.
היו"ר שמחה רוטמן
זה באמת המקרה שבו ההקשר יכול מאוד להיות רלוונטי, כי כאמור אם אשתו היא בכירה בקופת חולים כללית, אז להגיד שהוא בקופת חולים מכבי זה ידיעה על ענייניו הפרטיים של אדם, ואם לא, אז לא.
עמית יוסוב עמיר
יש אמירות בפסיקה. בהמשך נגיע להוראות ספציפיות שנקבעות לגבי מאגרי מידע. בעצם כל הסעיף הזה שהיום הוא מאוד מרכזי, סעיף 2(9) הופך להיות סעיף פחות מרכזי במארג הכולל של החוק. לטעמנו היה נכון להניח לו כמו שהוא. לא ידוע לנו גם על קשיים מהותיים שנוצרו בו, בטח שלא בהקשר של מידע במאגרי מידע.
היו"ר שמחה רוטמן
לא הייתי משנה את 2(9). אני כן אומר שלדעתי הפרשנות של המושג ידיעה על ענייניו הפרטיים של אדם, אז שמתם פה במודגש את התלוי הקשר וזה באמת תלוי הקשר כמה שקשה לומר, מצד אחד. מצד שני צריך להיזהר שזה לא יהיה כחומר ביד היוצר, בוודאי כל המקומות שמפנים ל-2(9). פסק דין כמו שכתוב פה, העניין של התנועה לחופש המידע נגד רשות החברות הממשלתיות, מה שנקרא כשרוצים ברשות שלטונית לשחרר מידע מסוים למישהו מסוים אז מסבירים שזה לא פרטי, וכשרוצים לא לשחרר אז מסבירים שזה מידע פרטי. אני אפילו זוכר שקיבלתי פעם איזושהי תשובה. ביקשנו את רשימת העוזרים המשפטיים במחוז צפון, בחופש מידע. אמרו, זה פרטי. מי האנשים שעובדים בהנהלת בתי המשפט כעוזרים משפטיים במחוז צפון ואצל איזה שופט הם עובדים? לתומי לא חשבתי שזה נחשב מידע פרטי, בטח לא בהקשר של חוק חופש המידע, אבל התשובה הזאת כתובה עלי ספר.

ברור מצד שני שבהגדרת מידע, מאגר המידע של הנהלת בתי המשפט, רשימת העוזרים המשפטיים הם צריכים לשמור עליה, אבל זה לא ידיעה על ענייניו האישיים של אדם, לכן אני חושב שידיעה על ענייניו הפרטיים של אדם זה הגדרה הרבה יותר צרה. היא צריכה להיות הרבה יותר צרה בהרבה מאוד הקשרים. היא באמת תלוית הקשר מאוד. יכול להיות שצריך לתת לה מענה. יכול להיות שצריך לנתק אולי את הקשר בין חוק חופש המידע לחוק הגנת הפרטיות בצורה הזאת. יכול להיות שצריך למצוא פתרונות אחרים, אבל בגלל שהיא תלוית הקשר, ברור שלמסור מידע על אדם, האם הוא מסלול כשר, כן או לא, זה מידע פרטי, אבל אם אני אבקש את רשימת השמות והטלפונים של עובדי המדינה, יכול להיות שהמדינה לא תוכל להתחמק ולהגיד, אני לא מעבירה את זה כי זה פגיעה בפרטיות או להגיד שאיזנתי. בטח שלעובד מדינה לא יכולה לעמוד זכות תביעה כנגד המדינה על זה שהיא פרסמה בלי לשאול אותו באתר האינטרנט את הטלפון שלו לטובת קשר עם הציבור. צריך פה תפירה יותר, אבל לא נפתור את כל הבעיות בתיקון מס' 14. ודאי לא הייתי מתקן את סעיף 2 על כל חלקיו.
נעמה מנחמי
השאלה איפה עובר קו הגבול בין מעשה שנכנס לפרטיות הקלאסית של שימוש בידיעה על ענייניו הפרטיים של אדם, ואיפה בדיוק עובר קו הגבול בין זה לבין המאגרים - - -
היו"ר שמחה רוטמן
להבנתי, היום למעשה כל המסגרת שלכם שאתם באים בטענות לבעל מאגר זה לפי 2(9), וזה בעיה כי הקולב שעליו אתם תולים את הפרת חוק זה 2(9).
עמית יוסוב עמיר
לכן התייחסתי להצעת חוק. בעצם מוצע להגביר את ההפרדה הזאת, לקבוע את סעיף 10(ב), שם זה יהיה כתוב.
היו"ר שמחה רוטמן
ולהוציא אותו מ-2(9).
עמית יוסוב עמיר
לכן אני אומר, סעיף 2(9) יישאר במקומו לגבי הפרטיות הקלאסית.
היו"ר שמחה רוטמן
אבל לא לגבי שימוש במאגרים.
קריאה
יש לנו סעיף חדש בתוך תיקון 14 שעוד נגיע אליו, לגבי מה שנקרא צמידות מטרה במאגרים.
היו"ר שמחה רוטמן
צריך יהיה לוודא שאנחנו לא עושים פה double jeopardy. לא יתכן שנסדיר כל מיני שימושים שיהיו מותרים לפי שימוש במאגרי מידע, בין אם בסיסי עיבוד או לא בסיסי עיבוד, נדון בזה תיכף, ובמקביל יגררו אותי צורח ומצווח לבית המשפט דרך סעיף 2(9).

כן.
לירון בנדק
לירון בנדק, סמנכ"ל רגולציה בנשיאות המגזר העסקי. אתם הגדרתם בצורה מאוד מדויקת את מידע, אבל כשאני הולכת לסעיף 10 שנגיע אליו, מדובר על ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע.
נעמה מנחמי
זה בדיוק מה שאמרתי בהתחלה.
היו"ר שמחה רוטמן
את זה יורידו. בסעיף 2 צריך להסדיר את מערכת היחסים בין הרשות השלטונית לבין הפרט ברמת הבודדת. כאשר מדובר במאגרי מידע בהגנה על מידע, בכל ההקשרים האלו אנחנו הולכים לפרק אחר בחוק. ברור שלי תעמוד זכות תביעה כנגד המדינה. אם היא לא שמרה על המאגר כמו שצריך, אז יהיה טענות מתוך חלק החוק שעוסק במאגרים, אבל אם עובד מדינה עיין בפרטים עליי ספציפית ואמר את זה לחבר שלו בניגוד לחוק, אז יהיה לי תביעה לפי סעיף 2 בחוק הגנת הפרטיות למידע על ענייו הפרטיים של אדם, בלי קשר לשאלת אבטחת המאגר, כן או לא. יכול להיות שאבטחת המאגר התנהלה פרפקט אבל הבן אדם עצמו עיין במידע ומסר אותו בשיחת טלפון למישהו או מפה לאוזן.
דן אור-חוף
עוד נקודה לחיזוק מה שאמרת, אדוני, על ההבדל בין השניים, וזה שידיעה על עניין אישי של בן אדם היא לאו דווקא מידע ממוחשב.
היו"ר שמחה רוטמן
ברור.
דן אור-חוף
מאגרי מידע בוודאי הם מוגדרים אך ורק לעניינים ממוחשבים.
היו"ר שמחה רוטמן
אבל הגדרת מידע לא כולל את המילה מחשב.
היו"ר שמחה רוטמן
הגדרת מאגר מידע, עוד נגיע אליה.
דן אור-חוף
ומידע מוגדר בתוך הפרק שנוגע להסדרה של מאגרי מידע.
היו"ר שמחה רוטמן
אני יודע, אבל כל הנושא של הגדרת מאגר, תיכף.
שחף קצלניק
אדוני זיהה היטב את הקושי בהותרת סעיף 2(9) של הפרטיות הקלאסית על כנו והוספת סעיף 10(ב) רבתי. - - -
היו"ר שמחה רוטמן
צריך לייצר הסדר שעוסק - - -
שחף קצלניק
אני מסכים לחלוטין עם אדוני שידיעה על ענייניו הפרטיים של אדם הוא מונח צר יותר מהמונח מידע למרות שיש אמירות מסוימות בפסיקה. זה לא פסיקה רוחבית. כמו דן אמר בצדק עכשיו, הוא חל גם על מידע פיזי. הדלתא שנשארת בעולם הפרטיות הקלאסית ולא תיכנס לפרק החדש או להגדרות החדשות שאנחנו עוסקים בו, זה רק אותן ידיעות על ענייניו הפרטיים של אדם שהן לא מעובדות באופן ממוחשב. אם רוצים להפנות את כל עולם העיבוד הדיגיטלי רק לפרק ב' לחוק, לפרק מאגרי המידע ולהותיר את הפרטיות הקלאסית בעולם הפיזי בלבד, אדרבא, זה בסדר גמור.
היו"ר שמחה רוטמן
אם אני שלחתי את זה במייל?
שחף קצלניק
אז יחול עליך ההסדר שחל בפרק ב' לחוק.
היו"ר שמחה רוטמן
לא, אני לבד שלחתי עכשיו במייל.
ניר גרשון
אז זה לא יהיה מאגר מידע. זה לשימוש אישי. העבירה המאגרית לא תחול.
היו"ר שמחה רוטמן
נכון, אבל זה לא עניין של מחשב או לא מחשב.
ניר גרשון
זה גם.
היו"ר שמחה רוטמן
שלחתי את זה בוואטסאפ למישהו. וואטסאפ זה מחשב, נכון?
ניר גרשון
אם זה במסגרת הפעילות הביתית האישית שלך - - -
היו"ר שמחה רוטמן
אז זה יהיה 2(9).
שחף קצלניק
או לייצר אחת ולתמיד האחדה בין המונחים האלה.
היו"ר שמחה רוטמן
אני חושב שבאמת לא נכון לייצר את ההאחדה.
שחף קצלניק
אגב, לא רק הכוונות של הרשות להגנת הפרטיות בפעולות האכיפה שלה. בסוף יש גם תביעות בבתי משפט.
היו"ר שמחה רוטמן
ההבהרה בחוק צריכה להיות מאוד ברורה, אין ספק.
נעמה מנחמי
הגענו להגדרה של מאגר מידע. במקום ההגדרה הקיימת מוצעת הגדרה – אוסף פרטי מידע המוחזק באמצעי דיגיטלי למעט אוסף לשימוש אישי שאינו למטרות עסק.
עמית יוסוב עמיר
חשוב להגיד פה כמה מילים. קראנו את הערות הציבור כמובן ועלו הרבה מאוד הערות בנושא, ובאמת יש פה גם איזושהי ייחודיות יחסית - - -. אני חושב שיש פה מעט אידיאולוגיה והרבה פרקטיקה וצריך להסביר את הנושאים. בעצם מדובר בהחלטה שהיא בעיקר החלטת מדיניות משפטית. אכן היום גם ה-GDPR וגם שורה ארוכה של חוקים אחרים לא משתמשים מזה תקופה ארוכה בהגדרה של מאגר מידע. מדברים על עיבוד מידע אישי.

המטרה שראינו לנגד עינינו כשהצענו להישאר עם ההגדרה של מאגר מידע היא ההמשכיות של הדינים הקיימים והפרקטיקה הקיימת בדין הישראלי. זה גם נובע מהאופן שבו חוק הגנת הפרטיות מנוסח וגם נובע מהאופן ששורה ארוכה של חוקים אחרים מנוסחים, קובעים כל מיני הוראות לגבי מאגרי מידע ספציפיים שמוקמים בהם, וגם נוגע לפרקטיקה המקובלת בישראל, לאופן שבו מאוסדרים בגופים ציבוריים, בגופים פרטיים מאגרי המידע, הניהול שלהם, האבטחה שלהם, העברת המידע מהם. הקונספט מתייחס למאגר מידע. יש מממונה על האבטחה במאגר מידע במאגר מסוים או בשורה של מאגרים ויכול להיות שבמאגרים אחרים גם אם זה אותו גוף יהיה מנהל מאגר מידע אחר, תהיה העברת מידע אחרת.

בסופו של דבר ההגדרה היא מאוד מרחיבה ואמורה לתפוס כמעט כל נתון ממוחשב שאנחנו הגדרנו אותה עכשיו כמידע, שהוא מעובד שם באופן ממוחשב. אין פה דרישה עכשיו, אולי כמו שהמחוקק ראה בשנות ה-80', בהכרח למחשב גדול במרתפים של בנק או משרד ממשלתי. התפיסה היא הרבה יותר ניטרלית טכנולוגית. עדיין חשבנו שיש ערך מסוים בהיצמדות להגדרה של מאגר מידע מהטעמים הפרקטיים שמניתי. בסופו של דבר לא אמורה להיות פה שונות מהותית מבחינת הדין המהותי ביחס לדינים המקובלים בעולם, בפרט ל-GDPR, זאת אומרת מי שיציית להוראות החוק בעניין מאגר מידע, ממילא גם יציית להם כאילו היה במקום מאגר מידע כתוב עיבוד מידע, כמובן באופן ממוחשב. אנחנו נשארים בעולם הממוחשב ולא בעולם הניירות הפיזי, אבל מעבר לזה ההבדל הוא מאוד לא משמעותי.
היו"ר שמחה רוטמן
מסתדרים בעולם וב-GDPR בלי הגדרת מאגר מידע.
עמית יוסוב עמיר
עניין היסטורי, זאת אומרת כבר משנות ה-90' לדעתי הם לא מגדירים מאגרי מידע. בגלל שאנחנו עכשיו ב-2023, השאלה מה העלות-תועלת של עכשיו לעשות שינוי שמבחינת צורתית הוא יסודי למרות שמבחינה נורמטיבית אין בו הרבה. זה יכול ליצור גלי הדף לא קטנים. גם צריך עכשיו סדרה של תיקונים בתוך החוק. הנה אנחנו עכשיו יושבים על המדוכה, אז אולי זה המחיר הקטן.
קריאה
הרבה מאוד תיקונים.
עמית יוסוב עמיר
זה לפחות בחוק שלנו.
היו"ר שמחה רוטמן
אחרי פסיקת ריבית והצמדה אף אחד לא מפחיד אותי עם הרבה תיקונים. 140 לדעתי היה שם, והיה גם את התוספות של דחיית מועדים.
עמית יוסוב עמיר
עכשיו צריך ללכת לכל דברי החקיקה, חקיקה ראשית, חקיקה משנית שמדברים על זה.
ראובן אידלמן
אני רוצה להסביר לאדוני שבתקנות שהועברו כאן בוועדה לעניין מה שקראנו תקנות הגישור, קבלת מידע מאירופה, אדוני הכניס הבחנה לעניין מידע שמוחזק באותו מאגר ביחד עם מידע מאירופה. יש עוד מקרים כאלה שחקיקה קיימת עושה שימוש במבנה הזה של חוק הגנת הפרטיות לפי מאגרים.
היו"ר שמחה רוטמן
תקנות הגישור, כשמן כן הן. אני לא אומר שחייבים לבטל. רישום זה כן חייב להתכתב איכשהו עם המילה מאגר, שחובת רישום לא קיימת, אחרת מה אתה רושם אם אין מאגר?
קריאה
פעולות עיבוד מידע זה לא חייב להתבסס על מאגר.
היו"ר שמחה רוטמן
לא הבנתי. אתה יכול לרשום פעולות?
קריאה
כן, בוודאי. אפשר לתאר את פעולות עיבוד המידע של הארגון.
היו"ר שמחה רוטמן
לא, לא, חובת רישום אצלם.
קריאה
אפשר היה. אין חובה להתייחס למונח מאגר מידע.
אייל שגיא
אייל שגיא, עורך דין מהתעשייה. עם כל הכבוד לחברים, באמת חברים מהרשות, אני רוצה לתאר איך זה נראה מהצד שלנו, עורכי הדין מהפרקטיקה. אני התחלתי את הקריירה במצב שבו כשאמרו לי מאגר מידע ידעתי מה זה. אמרתי, תראו לי את המחשב. היום אחרי 30 שנה אני אומר בגלוי פה בחדר, אני לא יודע. מאגר מידע זה הרבה מערכות שמחוברות אחת לשנייה. אני יכול לספור מערכת כ-17 מאגרים, כשני מאגרים, כאחד גדול. אני יכול לעשות עם זה מה שאני רוצה מבחינת הספירה, ומה שמחמיר מאוד את הבעיה זה שאני צריך לרשום. כשאני בא לרשום אני צריך להחליט מה אני רושם. האם אני רושם מאגר אחד שגבולותיו הם א', ב', שזה מלאכותי לחלוטין כי אני החלטתי שמערכת השכר לא מחוברת למערכת ההרשאות במחשבים, או כן, כל מיני דברים מהסוג הזה.
היו"ר שמחה רוטמן
אני רוצה להגיד לך משהו. אני גם חשבתי ככה פעם ואני לא מומחה גדול כמוך בתחום. כאשר אני ראיתי איך מערכות המידע השונות של משרד הפנים לא יודעות לדבר עם מערכות המידע של משטרת ישראל, ומאגר מסוים בתוך משטרת ישראל לא יודע לדבר עם המאגר השני, והביומטרי שבכלל בעולם אחר לחלוטין, וצה"ל, ואיך היו צריכים להעביר מידע לטובת זיהוי החללים בשורה, הבנתי מה זה אומר שמאגרים לא מוחזקים ביחד. קיבלתי המחשה, ואז מגיע לך גוף ואומר, אני מחזיק את המידע הזה ומחזיק את המידע הזה, רק שזה מוחזק במערכת שהמתכנת היחיד שלה כבר יצא לפנסיה לפני 20 שנה, וזה מוחזק במערכת אחרת. המערכות לא יודעות לדבר אחת עם השנייה. אתה לא מצליח לגרום למערכות לדבר אחת עם השנייה כשהן מוחזקות לפעמים באותו גוף, בוודאי כששני גופים בתוך הממשלה, בוודאי אם הן מגזר פרטי או מגזר עסקי. כנראה שכן יש גבולות פיזיים גם למאגר דיגיטלי.
אייל שגיא
אדוני, לפעמים בהחלט יש. לפעמים זה אפילו חבל, והרבה פעמים אין. בוודאי אני מאחל לגופים הציבוריים שהמערכות שלהן יודעות לדבר יותר טוב מהמערכות של גופי המדינה אחד עם השני למען העסק שלהם. הנקודה היא שעסק או הממשלה יכולים להחליט שהם מחזיקים מאגר אחד או להפריד את המערכות. יש לזה כל מיני שיקולים. כאשר אנחנו משתמשים בביטוי מאגר מידע, אבל בעיקר כאשר אנחנו אומרים, תרשום את המאגר, אנחנו כופים מבנה של הגדרת גבולות הר כגיגית על איך שהמערכת - - -
היו"ר שמחה רוטמן
ההגדרה של המאגר כמו שהיא עכשיו לא טובה לי כי היא רחבה מאוד, כי היא אוסף פרטי מידע המוחזק באמצעי דיגיטלי. זה צריך לתקן, מידע אישי כמובן, אז אוסף פרטי מידע אישי המוחזק באמצעי דיגיטלי, למשל סוגיית ההתממה רלוונטית פה מאוד, כי אם אני בא ואומר, יש לי אינטרס שאתה את המידע על המאפיינים הביומטריים של אזרחי מדינת ישראל תחזיק עם שני מפתחות שמחזיקים בידיים של שני אנשים שונים, שצריך ששניהם יסובבו אותם ביחד בעת ובעונה אחת כדי שאפשר יהיה לחבר שם ותעודת זהות במקום אחד לנתונים ביומטריים בצד שני, ואני רוצה שתחזיק את מאגר המידע עם מפתח שהוא בלתי ניתן לחיבור לאדם אמיתי, בלי הגדרת מאגר זה קצת קשה להגיד שעשיתי את זה. בלי להגיד, הנה, המאגר הביומטרי, אני מגדיר שיהיה לו מפתח שאיננו ניתן לחיבור לאדם מזוהה אלא באמצעות מאגר נוסף שמחבר בין האינדקס לבין הדבר הזה, שהמאגר הזה מוחזק ככה עם רמת אבטחה כזאת ועם דברים כאלו ועם שלושה אשים בלבד שיודעים. בלי הגדרת גבולות מאגר אני לא יכול לעשות את זה.
אייל שגיא
זה בסדר וזה רצוי כשמישהו צריך לעשות את זה.
היו"ר שמחה רוטמן
איך אתה עושה את זה בלי הגדרת מאגר?
אייל שגיא
מערכות המידע. אני עכשיו יכול להחליט, המערכת הזאת מופרדת והמערכת הזאת - - -
היו"ר שמחה רוטמן
איך אני יכול לבוא ולהגיד לך, אם אתה לא תייצר בהפרדה במאגר, שהמאגר הזה לא יכלול את זה וזה וזה וזה. אם לא תייצר את ההפרדה הזאת, או שאני אוסר עליך להקים את המאגר הזה מלכתחילה בחוק מסוים, או שאני דורש ממך שאפשר יהיה לגשת למאגר הזה רק ממחשב שנמצא בבונקר ב-40 מטר מתחת לאדמה עם מערכת זיהוי ביומטרית כזאת וכזאת.
ראובן אידלמן
חשוב להגיד שלרשות בתקנות אבטחת מידע יש בדיוק את הסמכות שאדוני התייחס אליה עכשיו, לקבוע חובות ספציפיים ביחס למאגרים ספציפיים בהיבטי אבטחה.
היו"ר שמחה רוטמן
מאיפה אתה חושב הרעיונות האלו נחתו עליי אלמלא מתוך תקנות אבטחת מידע? ודאי.
ליאור אתגר
כדאי לעשות הפרדה בין הממשלתי לפרטי בהיבט הזה, כי אנחנו בתור שומרי סף, ואנחנו עיקר הציבור בסופו של דבר. הפיקוח, ידו מוגבלת והוא נוחת על דברים מאוד ספציפיים. בסוף רוב הפיקוח נעשה על ידי שומרי סף מהשוק הפרטי ואנחנו זקוקים לכלי העבודה הזה כדי להגדיר מה הוא המתחם שעליו נדרשת הגנה. בגלל זה ההגדרה הזאת היא טובה ומספיק רחבה.
אייל שגיא
אני אגיד משפט אחרון יותר מזה. הכוונה שלי היא לא להגיד, אוקיי, יש דברים שהם of limit כי הם לא מאגר מידע. הפוך. כשאתה בא להגיד איפה המאגרים, יש אוסף נתונים לחברה והיא הגדירה את המאגרים א', ב', ג' ואז אני מגלה שיש מידע ד'. אני חושב שזה נכון שהחברה או גוף יהיה אחראי לכל המידע שברשותו, בין אם הוא נופל במאגר א' או במאגר ב'. האם הוא צריך אבטחת מידע מסוג מסוים או מסוג אחר, זה פונקציה של המידע, לא של המערכת באופן ספציפי. הגדרה של מאגר מידע יכולה להישאר.
היו"ר שמחה רוטמן
אתה מסכים איתי שאם אני מחזיק את המידע הביומטרי הכי רגיש על אדם, הכי רגיש שיש אבל עם מפתח ייחודי שלא ניתן לזיהוי חד-חד-ערכי לאדם מסוים, והמפתח הזה, אני מחזיק אותו במאגר אחר, שלא ניתן לחבר אותם אלא בדרך הטכנולוגית הזו או האחרת, רמת ההגנה שנדרשת היא אחרת.

אם אני שואל את עצמי איזה מידע מחזיק שמחה רוטמן, שמחה רוטמן מחזיק את כל המידע. הכול אני מחזיק, רק שחלק אני מחזיק במאגר מידע מאובטח ברמה א', חלק אני מחזיק במאגר מידע שמאובטח ברמה ג', ויש לי מאגר מידע אחר שמחבר בין שני המאגרים האלו, ושלושתם הם מאגרים ושלושתם אני צריך לרשום. אני צריך שהרשות להגנת הפרטיות תאכוף עליי הגנה מסוג מסוים על המאגר בהתאם לרגישותו, לנזק שייגרם לפרטיות של המחזיקים אם הוא ידלוף. אם אני אעשה את זה בסקר אבטחת מידע שלי, אני אגיד, אם זה הולך לידיים של האיראנים, אוי ואבוי. אם זה הולך לידיים של האיראנים, מקסימום אני אקבל קצת יותר ספאם. אני צריך להעריך את זה.
ליאור אתגר
אני חושב שאכן נאמרו דברי טעם אבל צריך לזכור שמדובר בחוק כללי. אני מחזק את מה שאתה אומר אבל בסופו של דבר צריך לזכור שיש גם חוקים ספציפיים, למשל על נתוני אשראי, על מידע בריאות. אנחנו בחוק כללי ובגלל זה ככל שההגדרות שלנו יהיו יותר מרחיבות, היכולת שלנו בעצם להכיל פיקוח תהיה יותר אפקטיבית. בגלל זה צריך לדבוק בהגדרות מרחיבות.
דן אור-חוף
אני רוצה לגעת בנושא אחר שנוגע להגדרה של מאגר מידע, והיא חשובה בראיה הפרקטית יותר וזה דבר שאנחנו נתקלים בו הרבה, וזאת למשל שאלה של מתי יש לנו מאגר אחד ומתי יש שניים. איך קובעים את זה בכלל? זה משהו שלא קיים בחוק הנוכחי וזה גם לא משהו שקיים בהצעת החוק. אין קווים מנחים לגבי ההנחיה הזאת. אם אנחנו חושבים שיש טעם לחיה הזאת שקוראים לה מאגר מידע, שהיא תמשיך ותישאר בחוק שלנו, צריך שתהיה הכוונה יותר ברורה בחוק למתי אנחנו קובעים שמערכות מידע מסוג מסוים הן אכן מאגר אחד ובהתאם לזה אנחנו נשקול אם לרשום אותו ואיך לאבטח אותו וכו'. אני חושב שיש כמה אלמנטים שצריך לקחת בחשבון, קודם כל עניינים של פרמטרים מהותיים, כי לא מדובר במערכת מידע אחת בהכרח. פרמטרים מהותיים לדוגמה זה למשל סוג האוכלוסייה שהמידע מתייחס אליה או המטרות של השימוש במידע.
היו"ר שמחה רוטמן
לא, זה כבר בחובת הרישום. קודם כל השאלה מה מאגר.
דן אור-חוף
מתי אני יודע שמאגר הוא מאגר?
היו"ר שמחה רוטמן
זו שאלה שהיא תמיד נכונה אבל סוג האוכלוסייה לא רלוונטי.
דן אור-חוף
אני אתן אולי דוגמה לאדוני. מאגר משאבי אנוש למשל. כמעט כל חברה מחזיקה דבר כזה, אז משאבי אנוש היום פרוסים על אוסף של מערכות מידע וגם אצל הרבה ספקים, אבל בסופו של דבר לתפיסתי לפחות מדובר במאגר מידע אחד כי מבחינה מהותית הוא נוגע לאוכלוסייה מסוימת, לעובדי החברה.
היו"ר שמחה רוטמן
אני אשאל אותך שוב. רשימת העוזרים המשפטיים במחוז צפון. זה האנשים, הם העוזרים המשפטיים. זה מידע שהוא על פניו יכול להיות מאגר מידע. האם המידע שבו הוא מידע פרטי, צריך להגן על הפרטיות שלו יותר או פחות? תלוי הקשר. אנחנו נחזור לזה כי זה באמת תלוי הקשר, אבל הוא מידע מסוג אחד. מידע של משאבי אנוש, של כוח אדם יכול לכלול בתוכו על כל אחת מהעובדות מתי בדיוק היא הייתה בהיריון ומתי היא ילדה. על כל אחד מהעובדים, מתי הוא לקח יום מחלה, כי זה מידע שרלוונטי מאוד למאגר מידע של כוח אדם.
ניר גרשון
וזו דוגמה, דרך אגב, טובה לשאלה של עו"ד אור-חוף. מאגר עובדים הוא מאגר אחד.
היו"ר שמחה רוטמן
היום באמצעים הטכנולוגים אנחנו עושים הרבה מאוד דברים באמצעות הרשאות על אותו מאגר, איזה סוגי רשומות כל אחד יוכל לגשת וזה באותו מאגר. יכול להיות שאני משיקולים של אבטחת מידע ומשיקולים של הרצון בהתממה, ויש לי המון עובדים וקשה לי מאוד לנהל את רשימת המורשים בדרך הזו כי כל חיתוך ייצר משהו לא טוב, אז אני אחליט שבאמת הסוגיות הרפואיות שקשורות לעובדים שלי או המשמעתיות שקשורות לעובדים שלי מתנהלות במאגר אחד עם מאפיין ייחודי שיושב אליו, שבחיפוש או בגישה רגילה למאגר העובדים שלי לא מקבלים אותו ברמת ההרשאות. זה פשוט לא שם ומי שרוצה, הוא יצטרך להיכנס למערכת אחרת, לתוכנה אחרת.
ניר גרשון
אדוני, יכול להיות באותה תוכנה ואותה מערכת.
היו"ר שמחה רוטמן
זה יכול להיות ואז נשאלת השאלה מתי זה אותו מאגר ומתי זה לא אותו מאגר. יכול להיות שיהיה לי אינטרס לייצר את זה במאגר נפרד, מוחזק בצורה נפרדת עם הרשאות גישה. לא לסמוך על הסיסמאות, שאפשר יהיה לגשת אליו רק ממחשב מסוים ולא באמצעי טכנולוגי.
עמית יוסוב עמיר
אני חושב שבהקשר הזה אנחנו בחקיקה של משפט וטכנולוגיה שנוגעת לכל הפחות למאות אלפי מקרים שונים. חשובה פה ביותר הניטרליות הטכנולוגית, ואם להגיד גם התפעולית. זה לא רק עניין טכנולוגי, לכן ההגדרה פה היא רחבה. היא מאפשרת קביעות שונות של הארגונים. הם יכולים לקחת קבוצה מסוימת של עובדים ולהגיד שזה מאגר המידע שלהם ויש להם הרבה מאגרי מידע קטנים כאלה, או לקחת את כל העובדים ולקבוע מאגר מידע אחד גדול. היו פה מיני דוגמאות, ומערכת ההסעדה של העובדים האלה היא חלק ממאגר כוח האדם או שהיא מאגר נפרד, ששני המאגרים מעבירים מידע.
היו"ר שמחה רוטמן
בסופו של דבר ברור שלא צריך ולא ראוי לתת לכל אחד מהמקרים האלו מענה בחקיקה, חד וחלק, מצד אחד. מצד שני עד עכשיו לא הפריע לאף אחד אי הבהירות כאילו היה בצידה סנקציה. עכשיו יש סנקציות, לכן מה שעד עכשיו היה אי בהירות שהסנקציה שלה הייתה לצורך העניין שעו"ד אייל שגיא היה צריך לתת חוות דעת על נושאים שהוא בא בגילוי לב ואומר, אני בפועל לא יודע להגיד לכם מתי נגמר מאגר, והוא היה צריך לתת חוות דעת בנושא, אבל ההשלכה של חוות הדעת האלו הייתה ברמה מסוימת. עכשיו טעות בהגדרה מה הוא מאגר לעניין תקנות אבטחת מידע, לעניין כל מיני כללים, תהיה עיצומים כספיים, תהיה סנקציות, לכן הבהירות פה חייבת לבוא לידי ביטוי או בתקנות או בגילויי דעת או בחקיקה, אחרת אנחנו ניתן פה צ'ק פתוח לרשות להגיש לפי מבחן המאוורר או מבחן האצבע המתנופפת על מתי זה מאגר ומתי זה לא מאגר? מתי אבטחת אותו כמו שצריך ומתי לא אבטחת אותו כמו שצריך? לכן העמימות שהייתה עד עכשיו בחוק היא לא הייתה כזאת נוראית. היא הייתה נוראית מהרבה מאוד תחומים אבל היא לא הייתה כזאת נוראית מבחינת האפשרות להטיל עליהם סנקציות, ועכשיו אנחנו כן ניאלץ. אי אפשר יהיה לבוא ולהגיד, מצד אחד תשאירו לנו הכול רחב ותנו לנו במסגרת האכיפה לייצר את החוק בשיטת מצליח, חטפת קנס, סימן שפעלת לא בסדר. זה ודאי לא דבר שניתן לעשות.
אלדד בן גיורא
אדוני, אפשר להתייחס בבקשה?
היו"ר שמחה רוטמן
שם ותפקיד.
אלדד בן גיורא
שמי אלדד בן גיורא, אני עורך דין מטעם התנועה לזכויות דיגיטליות. אני חושב שגם בהקשר לדברים הקודמים שאמרת, ההגדרה של מאגר מידע, אם אנחנו קוראים אותה כפי שהיא, נראית רחבה אבל היא כמובן תלויה בדברים שבאים לפני ואחרי. לא בטוח שאנחנו רוצים להגדיר במדויק מה יהיה מאגר מידע, אלא לתת בעצם לשוק ולחברות, לכל תאגיד עם הזמן להגדיר אותם באמצעות זה שבעל השליטה, הוא קובע את העיבוד, איך מעבדים את המידע, זאת אומרת שעכשיו מאגר המידע שמכיל נתונים יהפוך להיות מאגר מסוג מסוים בגלל אופי העיבוד שלו. אם אתה מבקש את השמות של כל עובדי המדינה במשרד המשפטים, אז השאלה היא מה אתה עושה עם השמות ומספרי הטלפון שלהם? לכן הנתונים האלה של משרד המשפטים על העובדים שלהם, זה נכון שהם יהיו מאגר מידע.
היו"ר שמחה רוטמן
ודאי שהם יהיו מאגר מידע.
אלדד בן גיורא
גם המידע עצמו בהגדרות שלו הופך את ההגדרה עצמה הרחבה הזו של מאגר מידע להגדרה שהיא לא ממש רחבה, זאת אומרת היא מאופיינת על ידי בעל השליטה בו ועל ידי המזהה הביומטרי, המידע עצמו, וכך אנחנו בעצם לא מאבדים קשר ישיר עם סוג המאגר.
היו"ר שמחה רוטמן
אני מבין.
אלדד בן גיורא
זה לא בהכרח כל כך רחב כמו שזה נראה.
היו"ר שמחה רוטמן
זה שעברנו משהו לא אומר שלא נחזור אליו אחר כך. בואו נתקדם.

הנוסח הנוכחי, ההחרגה של שם, מען ודרכי התקשרות שהופיעה בנוסח הקודם ועכשיו אנחנו בעצם הופכים את זה למאגר מידע. היה שם תוספת שכשלעצמה יוצרת אפיון שיש בו פגיעה בפרטיות. אם מאגר המידע הוא מאפיין שאומר, הנה רשימת הרפובליקנים בניו יורק, אז האקסטרה הזה נותן את המידע, אבל אם זה סתם רשימה של אנשים, אפילו דרי רחוב מסוים שאין בו מידע על אודותם מלבד המען, זה לא היה עד עכשיו מאגר מידע ועכשיו אנחנו הופכים את זה למאגר מידע. למה? מה התועלת? מה הנזק וכו'?
ניר גרשון
ראשית, אדוני, קודם כל מעטים מאוד המקרים שאין שום אפיון נוסף בכלל. אולי הכתובות זה באמת הדוגמה היחידה, הרשימה של האנשים וזהו.
היו"ר שמחה רוטמן
תושבי בני ברק, תושבי רמת גן.
ניר גרשון
גם זה, אדוני, יכול ליצור אפיון. תושבי שכונה מסוימת בעיר מסוימת. תושבי תל אביב ותו לא אולי לא. תושבי רחוב מסוים, שכונה מסוימת בבני ברק. שכונה מסוימת כנראה שכן.
היו"ר שמחה רוטמן
לכאורה לא כי מען מראש הוחרג.
ניר גרשון
אבל זה לא אומר שהוא לא אפיון. זה חריג לאפיון. זה דבר אחד.

דבר שני, אדוני, יש עוד חריג לחריג, שגם אם יש לבעל המאגר עוד מאגרים נוספים, גם אז החריג לא חל. דבר שלישי, אדוני, השאלה מה זה אמצעי תקשורת. חריג חל על רשימת מען ודברים שהם רק דרכי תקשורת.
היו"ר שמחה רוטמן
אני אגיד לך מה אני דואג. אני דואג שכל עסק שמחזיק רשימת תפוצה במייל ללקוחות שלו, לא אפילו לדיוור ישיר, סתם כדי לדעת מתי המכולת פתוחה או סגורה. ברמה הזאת זה מאגר. אם הוא מחזיק אוסף נוסף, מסכים. אם המאגר הזה יוצר אפיון שיש בו פגיעה בפרטיות - - -
ניר גרשון
אבל הוא יוצר אפיון.
היו"ר שמחה רוטמן
לא. אם כל דבר הוא פגיעה בפרטיות, אז שום דבר הוא לא פגיעה בפרטיות. אני לא מקבל את התזה הזאת.
נעמה מנחמי
אפשר אולי שנייה אחת להפריד בין הכתובת שאתה אומר שאולי היא יכולה לאפיין לאימייל ומספר טלפון?
ניר גרשון
אתייחס גם לזה.
אייל שגיא
זה תלוי קונטקסט, כי אם אתה באיזה קליניקה שמטפלת במשהו - - -
היו"ר שמחה רוטמן
אז המידע כשלעצמו יוצר אפיון שיש בו פגיעה בפרטיות.
ניר גרשון
נגיע לכתובות או מייל אבל עוד קודם יש פה שוב את ההבחנה בין מה זה, אולי זה נוגע גם לדיון קודם על ידיעה על ענייניו. צריך להבחין בין מה פוגע בפרטיות לבין מה הוא מידע שצריך לשמור עליו. אם נגיד שזה לא מאגר בכלל, גם בעל המכולת זה עסק.
היו"ר שמחה רוטמן
נכון.
ניר גרשון
הוא יכול למכור את זה לכל דיכפין, יכול לשים את זה באינטרנט. אין לו חובת אבטחה. זאת המשמעות. יש פה איזשהו אפיון. אם זה ידלוף לאינטרנט יידעו שכל האנשים האלה - - -
היו"ר שמחה רוטמן
זה ידלוף לאינטרנט כולל האמירה שהרשימה הזאת היא של המכולת הספציפית הזאת.
ניר גרשון
על זה מדובר.
היו"ר שמחה רוטמן
לא על זה מדובר. יש לי קובץ אקסל, רשמתי בו שמות ואימיילים. למה רשמתי בו שמות ואימיילים? מסיבותיי שלי, כי אני כבעל עסק, רוצה כל פעם לעדכן במייל את שעות הפתיחה ואת שעות הסגירה של המכולת שלי. לא כתבתי שם שזה של מכולת.
ניר גרשון
אדוני, כשהפורץ יפרוץ למחשב שלך, אז הוא יידע מאיפה זה בא.
היו"ר שמחה רוטמן
כשהפורץ יפרוץ הוא גם יגנוב מידע קצת יותר משמעותי. ככל שהמידע הוא יותר נרחב, ואני חוזר לדברים של עו"ד דן חי מהדיון הקודם. אמרתי, זה תלוי הקשר הכול.
ניר גרשון
אדוני, זה המקרה הפחות שכיח שהתגלגל. מראש צריך בעל המכולת לדעת אם הוא צריך לשמור או לא.
היו"ר שמחה רוטמן
אתם מפספסים. אני רוצה שבעל המכולת, יהיה לו מאגר רק של אימיילים והוא לא יכלול בתוכו מה קניתי בקנייה האחרונה. אם אני אומר לבעל המכולת, לבעל העסק, אם אתה תחזיק את המידע שכולל רק שם ואימייל, אתה לא תצטרך - - -
ניר גרשון
מכולת בהכשר מסוים ספציפי של אדם ספציפי, גם אם זה יישמר בקובץ נפרד, הפורץ יידע.
היו"ר שמחה רוטמן
יכול להיות שאותה מכולת תיכנס להגדרה שכשלעצמו איננו יוצר אפיון שיש בו פגיעה בפרטיות. כל מקרה לגופו, הכול בסדר, אבל האם עכשיו כל עסק שמחזיק שם, מען ודרכי התקשרות צריך להיכנס להגדרת מאגר מידע, לעשות סקר הגנת פרטיות כאשר הוא לא מחזיק שם שום מידע אחר?
ניר גרשון
אחרת, אדוני, הוא לא צריך להגן עליו בכלל, הוא יכול למכור אותו לכל דיכפין ולא רק למכור, הוא יכול להפקיר אותו לאינטרנט.
היו"ר שמחה רוטמן
אז זה יהיה מידע אישי - - -
ניר גרשון
זה לא מידע. אין חובת אבטחה אם זה לא מאגר מידע.
היו"ר שמחה רוטמן
אתה צודק, אין חובת אבטחה ואין צמידות מטרה, שצריכים לדבר על צמידות מטרה. אם הבן אדם הזה ילך וימסור את המידע הזה ברבים או יפרסם אותו ברבים, יכול להיות ש-2(9) יחול עליו. הוא לא יכנס לעולם מאגרי המידע.
ניר גרשון
לא יפרסם. לא יאבטח אותו.

עוד נקודה, אדוני. פרט לזה שחובת האבטחה בכלל לא תחול, ופרט לזה שמדובר באמת מהניסיון רב השנים, שנדירים, זה קבוצה - - -
היו"ר שמחה רוטמן
אני חולק עליך. אני חושב שאתה מגזים מאוד בשאלה על מה זה מידע שיש בו פגיעה בפרטיות.
ניר גרשון
אדוני, זה שואפת לריקה, קבוצת המקרים שאין אפיון ואין עוד קובץ נוסף.

דבר נוסף, אדוני, מיילים, ופרסמנו על זה גילוי דעת מאוד מפורט, כתובות מייל, שהרי אין כמעט גם מעבר למה שאמרתי, רשימות שהן רק מען פיזי ותו לא.
היו"ר שמחה רוטמן
כתובות מייל הן מידע. האם מאגר שמכיל רק כתובות מייל הוא מאגר שאני רוצה שיהיה לכם לגביו את יכולת האכיפה? לא.
ליאור אתגר
אם זו רשימת מטופלים במוסד רפואי?
היו"ר שמחה רוטמן
אז זה כן, כי כשלעצמו יוצר אפיון שיש בו פגיעה בפרטיות. זאת אומרת, מאגר הלקוחות של הפסיכיאטר כשלעצמו יוצר פגיעה בפרטיות ולכן גם רשימת הטלפונים והמיילים ובכלל עצם רשימת השמות בלי מיילים בכלל תהווה פגיעה בפרטיות, ולעומת זאת מכולת לא. אם מישהו יטען שכל מכולת בהגדרה, בגלל משהו היא פגיעה בפרטיות כי יש בה משהו ללמד באופן עקרוני על מצבו האישי של האדם, אני אגיד לו, אחי, הגזמת.
אלדד בן גיורא
אדוני, אני רוצה להציע גישה. לדעתי נקודת המוצא היא שאותו בעל מכולת בהקשר הזה, אני גם מבין מה שאדוני אומר, אבל הוא לדעתי אוסף את המידע הזה, אוסף את כתובות האימייל מסיבה מסוימת.
היו"ר שמחה רוטמן
נכון.
אלדד בן גיורא
הסיבה לצורך העניין במקרה של המכולת היא אולי לשלוח להם ניוזלטר על מבצעים חדשים, שוק חדש שהגיע עליו למכולת וכו'. יש עיבוד, יש שימוש, הוא שולט בו ולכן המידע הזה לא סתם מגיע לבעל המכולת. הוא לא הגיע מהטלפון שלי כששילמתי באשראי. הוא הגיע בגלל שאני נתתי אותו והסכמתי אולי לבעל המכולת. השאלה היא אם עכשיו הוא צריך לאבטח אותו? בעיניי כן, כי הוא בעצם ביקש ואסף אותו, גם אם זה בעל מכולת. כמובן שיש הבדל בין מידע שנמצא בקליניקה מסוימת. בעיניי יש איזשהו הבדל בחומרת הנתון אם הוא דולף, כן או לא, אבל עדיין גם במקרה של כתובות אימייל אותו בעל מכולת יכול לעשות רווחים גדולים יותר ממכירת המידע - - -
היו"ר שמחה רוטמן
אין לי שום בעיה שיעשה רווחים.
אלדד בן גיורא
אבל יש פרטים שכן יש להם בעיה עם זה.
היו"ר שמחה רוטמן
אין לי שום בעיה שיעשה רווחים, אבל השאלה היא האם הוא יהיה במשטר מאגרי המידע או שהוא יהיה במשטר חוק הגנת הפרטיות, סעיף 2. זו השאלה. גם אם המידע איננו חלק ממאגר, שימוש, ודווקא בגלל זה כאשר אנחנו נבוא ונגיד, הסנקציה שלך היא לא שיבוא אליך רשות הגנת הפרטיות ותיתן לך עיצום כספי, אלא הסנקציה שלך היא, נקרא לה יותר ייזהר הקונה בהקשר של בעל מכולת. ייזהר הקונה, דהיינו אם המכולת שלי תמסור את העובדה שאני הלקוח הנאמן שלה, לגורם שאני אראה בזה אחר כך פגיעה בפרטיות, אני אתבע אותה לפי חוק הגנת הפרטיות ואני אגיד, רבותיי, זה שאתם סיפרתם שאני קונה אצלכם, פגעתם בי נורא בגלל שלגיסי יש מכולת והוא נורא נעלב שאני לא קונה אצלו, ואני כל הזמן אמרתי לו שאני בכלל לא קונה במכולת, והנה התברר שאני קונה במכולת שלך, והרסת לי את קשרי המשפחה והרסת לי את החיים. אני אתבע אותך על כל הנזק שגרמת לי כי פגעת לי בפרטיות. יכול להיות שאני אעשה את זה ואתה תהיה נתון לסעיף 2(9) או סעיף 2 באופן כללי, ואתה לא תהיה נתון לאבטחות מאגרי מידע שהם עודף רגולציה מאוד גדולה על עסקים קטנים.
ניר גרשון
רק שוב לחדד מה המשמעות. דבר ראשון, אבטחת מידע לא תהיה חובה. אפשר יהיה להתרשל, לא רק לפרסם. דבר שני, לא תהיה חובה להגיד ללקוח לאיזה מטרה, סעיף 11 לחוק אני מתכוון, אני אוסף את המידע ואם אתה חייב או לא ומה אני אעשה בו. לא תהיה את החובה. אין כזאת לפי סעיף 2. דבר שלישי, המקרה הטיפוסי של המכולת שאדוני העלה, אי אפשר יהיה לתבוע כי זה עניין של זוטי דברים, אני חושש. זאת הבעיה, שכל לקוח בפני עצמו יהיה זוטי דברים.
היו"ר שמחה רוטמן
אני מסכים אבל אני בא ואומר, הרציונל הוא לאיזה כיוון אנחנו רוצים להכווין את השוק. אני רוצה להכווין את השוק שאם אתה צריך רשימה לטובת לעדכן את הלקוחות שלך על שעות פתיחה וסגירה או על מבצעים, אל תצרף אליה עוד מידע. תחזיק אותה בנפרד. אני רוצה שאנשים יתאמצו כדי שהחוק לא יחול עליהם.
אלדד בן גיורא
אדוני, זה פחות בעייתי. במצב בו יש לך רגולטור או גוף כמו הרשות להגנת הפרטיות, שאותו בעל מכולת או בעל עסק אחר יודע שבמקרים מסוימים של הפרה כזאת או אחרת של פרטיות של לקוחותיו, הרגולטור יגיע אליו ותהיה עליו סנקציה, גם בהקשר של מה שאמרת, איך שאתה רוצה שהשוק יתנהל, הוא בעצמו כבר מבלי - - -
היו"ר שמחה רוטמן
אני רוצה שעלות הרגולציה בהקשר הזה, שבן אדם ייקח את שירותיהם הטובים של עורכי הדין הנפלאים שיושבים פה, וישאל אותם האם יש לי דרך כבעל עסק לוודא שהרשות להגנת הפרטיות לא נוחתת עליי מחר בבוקר עם הליך שבסופו של דבר אולי אני אזוכה ממנו, אולי אני לא אזוכה ממנו. אני משתמש בך כקורבן כי אתה אמרת שאתה לא יודע. אני מבקש שתיתן לי חוות דעת איך אני כבעל מכולת דואג שאני בחיים לא אראה את גלעד סממה. לא אראה אותו, לא אשמע עליו, לא אכיר אותו. אני רוצה שאתה תוכל לתת לי תשובה, שמע, אתה עסק קטן, אין בעיה. אתה רוצה לוודא שמאגר המידע שלך לא זה, אל תאסוף מידע על הלקוחות שלך. מה, ואני לא יכול לעשות רשימת מיילים ללקוחות שלי? רשימת מיילים זה בסדר.
ליאור אתגר
אין לבעל המכולת תמריץ כלכלי וגם אין לצרכן הבודד תמריץ כלכלי. דווקא הרתעה שמושגת על ידי חשש מהרגולטור, הרבה פעמים יכולה להשיג הרתעה הרבה יותר יעילה כלכלית עבור המשק.
אלדד בן גיורא
אני מסכים. העניין הוא שזה שוב חוזר לאפיון של המאגר עצמו, בין אם זה באמצעות אפיון או באמצעות איך שאותו בעל מכולת מתנהל.
היו"ר שמחה רוטמן
זה גם מצב קיים שחיינו איתו הרבה שנים.
עמית יוסוב עמיר
אם אפשר שוב פעם לשים את הדברים בהקשר. המטרה שלנו בסוף היא לא להטעות את הציבור. ההקשר הנוכחי בניגוד להקשר שבו ההוראה הזאת נכתבת, היא פשוט מצמצמת את זה לבמה שכמעט לא קיימת ואפילו עלולה קצת להטעות, כי בסופו של דבר כשאנחנו מדברים על "אם אין בידיו אוסף אחר", "בידיו" זה כולל גם מה שזמין באינטרנט והיום לאור דליפה גם של מאגרים אחרים וכן הלאה - - -
היו"ר שמחה רוטמן
אתה באמת רוצה שאני אכתוב בחוק? כתוב פה "לבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף". העובדה שאני יכול בגוגל לחפש כל מיני דברים לא הופכת את זה למאגר בשליטתי או לאוסף שלי.
עמית יוסוב עמיר
הכוונה פה היא בסך הכול שהרבה פעמים יהיה בזה כדי לאפיין בגלל הסיבה הזאת. בחלק מהמקרים גם המיילים, במיוחד מספרי טלפונים ניידים זה אמצעים שגם בהיבטי הגנת סייבר הרבה פעמים מבקשים להגן עליהם מכל משמר בהיבטי מניעת פישינג ודברים מהסוג הזה. הרבה פעמים מי שינסה להיאחז בסעיף הזה, בסוף יימצא נופל במקומות אחרים כנראה כמעט כל הפעמים. אנחנו כבר לא בעולם של הטלפון הקווי שהוא לא כל כך מזהה, לכן הסעיף הזה באופן מעשי הוא כל כך מצומצם.
היו"ר שמחה רוטמן
באופן מעשי הוא מצומצם אבל אני אומר לך שוב מה מטרתי מבחינתי בסעיף הזה. אני אומר שאני רוצה שעסק קטן יוכל להחזיק רשימת לקוחות ודרכי התקשרות איתם בלי להעסיק יועץ אבטחת מידע. אני מבין את הסכנות הפוטנציאליות שיכולות לנבוע למדינת ישראל מזה שיבוא מישהו ויתחיל לפרוץ מכולת אחר מכולת עד שהוא ישיג את המאגר של כלל אזרחי מדינת ישראל, ולהגיד לו, בשנייה שאתה תצמיד לרשימת הלקוחות שלך את מה הוא קנה בקנייה האחרונה שלו, הסתבכת. אל תעשה את זה.
דלית בן-ישראל
אבל לכל מכולת יש את זה היום. כבר אין פנקס ידני שרושמים בו.
היו"ר שמחה רוטמן
לא ידני, מערכת ממוחשבת. שם ותפקיד.
דלית בן-ישראל
דלית בן-ישראל, עורכת דין. יש קופה רושמת היום. זה מערכות ממוחשבות רובן בענן אצל ספקים חיצוניים. הם יודעים שקניתי חלב דל לקטוז, יודעים שקניתי קמח ללא גלוטן.
היו"ר שמחה רוטמן
אם יש מועדון זה נמצא. מהבחינה הזאת פתרת לי את הבעיה בצורה מאוד טובה, כי המאגר של חברי מועדון מתנהל באאוטסורסינג אצל חברה גדולה שתדאג לאבטחות מידע שלה והכול בסדר ואין בעיה. זה יתנהל בסדר. אני רוצה שאני אוכל כבעל העסק הקטן, מעבר למה שעובר בקופה הרושמת שלי שמנוהל על ידי חברת האשראי ומנוהל על ידי חברת המועדון, הכול בסדר, שאני אוכל להחזיק את רשימת הלקוחות שלי לטובת יצירת קשר עם הלקוחות שלי בלי להיכנס לציפורני הרגולציה. יש לי אינטרס שאתה תחזיק את המאגר הזה בנפרד, שאתה לא תכניס אליו מידע אחר, שאם הוא ידלוף הנזק יהיה קטן.

אפשר לבוא ולהגיד תיאורטית עם הצמדה של כל מיני דברים, זה יהיה נזק מאוד גדול. נכון, אבל מאחר ויש לי תחושה שמשאבי האכיפה המצומצמים של הרשות להגנת הפרטיות לא ילכו לכל המכולות במדינת ישראל, התוצאה של הדבר הזה יהיה תפסת מרובה – לא תפסת, כי השאלה של מה כוונת חקיקה שאני אעשה פה תייצר, היא תגרום לזה שלכל המכולות תהיה רשימה טיפשה של דרכי התקשרות, ושגם אם היא תדלוף האסון יהיה קטן, ולעומת זאת אם אני לא נותן להם פטור מהרגולציה והם אומרים, אני בכל מקרה תחת הרגולציה, אז מה שנקרא אם הכול אסור, אז הכול מותר, ואז ברשימה הזאת יהיה מידע אישי ומה הם קנו ועוד כל מיני דברים, ורמת הפיקוח תהיה בול אותו דבר כי אותו בעל מכולת לא יעשה עם זה שום דבר והרשות להגנת הפרטיות לא תאכוף על זה והסכנות רק יגדלו, אז ככל שאני מייצר גידור סיכונים, אני מעדיף את הדבר הזה ולייצר תמריץ שכמה שיותר מאגרים יהיו מאגרים טיפשים שאם ידלפו אני לא מזלזל, אבל הם יהיו הרבה יותר קטנים.

אם רוצים לבוא ולהגיד שמעל כמות מסוימת זה הופך את זה לבעיה, ניחא, אז אפשר להכניס פה כמות. בדרך כלל כשתגיע לכמות הזאת זה גם לא בעיה כי אתה תיכנס דרך "תאגיד בשליטתו אוסף נוסף". מי שיחזיק מאגר על 100,000 איש ולא על 10,000 איש או על 2,000 איש, הוא יכנס לשם מדלת אחרת. הנזק לא גדול. העלות שאני אתמרץ את השוק, ואני חושב שיש אינטרס לכל מי שיושב פה ומבין מה זה מאגרי מידע, לבזר את המאגרים, אני חושב שהאינטרס הוא גדול להכניס מאגרים ולהגיד, אתם לא בתחולת החוק.
דלית בן-ישראל
אולי צריך להחיל על זה חובות בסיסיות.
היו"ר שמחה רוטמן
חובות בסיסיות של סעיף 2.
ראובן אידלמן
אם הצעת היושב-ראש זה בעצם להשאיר את החריג הקיים בעניין הזה, אז אנחנו לא מתנגדים להשאיר את החריג הקיים.
היו"ר שמחה רוטמן
אוקיי.
דלית בן-ישראל
אולי צריך לדייק מה זה דרכי התקשרות אחרי ההבהרה לגבי האימייל, כי היום זה לא ברור. ההבהרה לגבי האימייל היא חיצונית, ובחוק הטקסט אומר "דרכי ההתקשרות". דרכי ההתקשרות זה גם אימייל וטלפון.
היו"ר שמחה רוטמן
אימייל וטלפון ומבחינתי אפשר אם נורא דואגים, לשים לזה איזה קאפ מספרי. המטרה שלי היא שעסקים קטנים לא יצטרכו להכיר את הרשות להגנת הפרטיות ושיעשו אאוטסורסינג למי שיודע לשמור על המידע, את המקסימום, ואת השימוש העסקי, העוסק הזעיר, העוסק הקטן שלא יצטרך גם לא מבחינת סקר הגנת פרטיות. כל משרד עורכי דין הכי קטן שמחזיק רשימת לקוחות הכי קטנה, אז נכון, אתה יכול להגיד, עצם העובדה שבן אדם יש לו עורך דין, אבל לא, אם הוא עורך דין במקרקעין זה לא מגלה עליו שום דבר פרטי. אני לא יודע אם הוא קנה או מכר דירה. 80% מהאנשים מכרו או קנו דירה.
קריאה
אדוני, המידע אצל עורך דין זה מעבר - - -
היו"ר שמחה רוטמן
סליחה, עורך דין בדיני משפחה, אתה צודק. עורך במקרקעין שאני יודע שהוא קנה או מכר דירה או שכר דירה.
קריאה
אבל זה מידע מעבר לפרטי קשר, אדוני.
היו"ר שמחה רוטמן
לא, רק פרטי קשר, שם, מען ודרכי התקשרות, ושאת כל מערך ניהול הלקוחות שלו כולל הטרנזקציות הכספיות יעשה באאוטסורסינג אצל חברה ששומרת מידע. בעיניי זה חשוב.
קריאה
זה תלוי בהקשר.
היו"ר שמחה רוטמן
נכון, תלוי הקשר. אתה צודק.
גלעד סממה
אדוני, אתה נצמד למכולת ואני מבין שזה הרבה יותר נוח, אבל יש גם בעלי עסקים קטנים מאוד עם מידע סופר רגיש, קליניקות.
היו"ר שמחה רוטמן
נכון, אז אתם תוציאו גילוי דעת. גלעד, אני איתך.
גלעד סממה
הם יכולים לשמור לפי מה שאתה מציע רק את השם ורק את המען, אבל כשלא יחול עליהם חובת אבטחת מידע ויפרצו, ידעו שזה מידע שמגיע מאותו עורך דין או מאותה קליניקה.
היו"ר שמחה רוטמן
גלעד, תוציאו אתם גילוי דעת אחרי שהחוק יעבור או שאולי כבר הוצאתם, ותגידו מי הם סוגי בעלי העסקים שהמידע של שם, מען ודרכי התקשרות בעניינם יוצר אפיון שיש בו פגיעה בפרטיות. יכול להיות שכללתם עורכי דין. אני סתם הבאתי דוגמה לא נכונה של עורכי דין. אני חוזר בי מהדוגמה.
גלעד סממה
בסדר. אני רק רציתי לוודא שאנחנו לא מדברים באופן גורף.
היו"ר שמחה רוטמן
נכון.
גלעד סממה
רשימה שאתה מתאר, שעל פניו היא רק לצורך התקשרות כזו או אחרת, כשהיא נפרצת על ידי האקר כזה או אחר, היא נפרצת כשיודעים למי היא שייכת. יודעים מי העסק שנפרץ.
היו"ר שמחה רוטמן
לא תמיד אבל בסדר.
גלעד סממה
ברוב רובם של המקרים יודעים מי הוא הגוף שנפרץ. אם אתה אומר לאותו עסק לא לאבטח את המידע, אתה חד משמעית מעמיד בסיכון את אותם לקוחות שלו.
היו"ר שמחה רוטמן
גלעד, הכול ברור. אני אומר שוב, יש פה תפסת מרובה. ראיתי את הדוח, את מספר פעולות האכיפה שביצעת. גם אם מחר בבוקר קרנך ושמשך תזרח, לא באופן אישי אלא כגוף, כרשות, ונקבע בחקיקה את תקן כוח האדם שלך ויהיה לך פי 20 כוח אדם ממה שיש, אתה לא תגיע אליהם.
גלעד סממה
לכן אני אומר, זה לא בהגדרות של החקיקה. זה בעצם בהנחיות של הרשות ובהכוונת האכיפה שלה. זה אנחנו עושים. אדוני יכול להניח שכשאתה תנבור בתוך המספרים לא תמצא שם בעלי מכולת.
היו"ר שמחה רוטמן
מובן, אבל כשאנחנו מדברים על הכוונת התנהגות ונטל רגולטורי אני רוצה ביטחון.
גלעד סממה
אין בעיה. אני איתך בדבר הזה אבל לא תמצא שם בעלי מכולת. כן תמצא בעלי עסקים עם מידע סופר רגיש.
היו"ר שמחה רוטמן
קליניקות פוריות, בסדר גמור.
גלעד סממה
סתם לדוגמה.
ניר גרשון
נקודה אחרונה לגבי מה ששאלה עו"ד דלית בן-ישראל. גילוי הדעת שלנו מסביר מה זה פרטי קשר. זה דברים שהם רק פרטי קשר.
היו"ר שמחה רוטמן
אם יש לי אימייל שכתוב שם - - -
ניר גרשון
שהוא גנרי לגמרי עם עשר ספרות, אז הוא לא מלמד כלום.
היו"ר שמחה רוטמן
אם כתובת האימייל שלי זה sargent pepper ומזה אפשר ללמוד שאני אוהב ביטלס, זה בחירה שלי שזה יהיה האימייל שלי. כשאדם בוחר שכתובת האימייל שלו תהיה sargent pepper והוא מוסר אותה לבעל עסק, הוא לוקח בחשבון שאת פרטי המידע הנגזרים מבחירת השם, כתובת האימייל שלו sargent pepper.gmail.com, הוא ויתר על אינטרס הפרטיות שלו בזה.
ניר גרשון
אני לא חושב שהוא הסכים שבעל העסק יפרסם את זה לעולם.
היו"ר שמחה רוטמן
הוא לא הסכים לכלום ולכן סעיף 2 לא יצא לפנסיה. אם אתה חושב שכתובת האימייל שלך היא בעייתית, אל תמסור אותה לאנשים, כמו שאם אתה חושב שהפנים שלך הן בעייתיות כי כמו שאמרתי, יש לך פנים שמסגירות את זה שאתה ילד מאומץ, אל תלך ברחוב ליד ההורים שלך. באמת יש גבול. אני אגיד לך יותר מזה, מי שהאימייל שלו הוא רק ספרות, זה מאפיין זהות הכי גדול, אתה יודע למה? כמעט רק חרדים עושים שהאימייל שלהם הוא רק ספרות אקראיות. זה כמעט רק חרדים, אז אתה יודע שזה חרדי, לכן אני אומר תפסת מרובה - לא תפסת. מאגר של שם, אימייל, טלפון, אם רוצים להגביל את זה מספרית, רוצים להגביל את זה לסוגי בעלי עסקים מסוימים, אני זורם לכול. אני רוצה פטור מתחולת החוק כדי לעודד יותר בעלי עסקים להחזיק מאגרים טיפשים. זה מה שאני רוצה.
גלעד סממה
להחזיק זה אומר שלא יהיה להם מידע בכלל.
היו"ר שמחה רוטמן
נכון.
גלעד סממה
לא בקובץ נפרד אצלם. שזה יהיה כל המידע שהעסק מחזיק.
היו"ר שמחה רוטמן
זה החוק. אני לא משנה לך את לשון החוק. אם יש לך גילוי דעת כלשהו שאומר לך שאימייל זה לא נחשב פרטי התקשרות שמותר לאגור בגלל שאימייל מגלה לך כל מיני דברים, אז את זה אני כן רוצה שיהיה ברור, לא לזה כוונתי.
גלעד סממה
אדוני, הנקודה מאוד ברורה. נדון גם בשאלה של הקאפ.
היו"ר שמחה רוטמן
בסדר גמור.
ענר רבינוביץ'
ענר רבינוביץ' מחברת PrivacyTeam. אני חושב שלקחנו את הדיון קצת יותר מידי רחוק ולעומק. צריך להיזכר, כבר יש לנו בחוק הקיים רשימה של מה זה בעצם מידע שמעניין אותנו למטרות מאגרי מידע, אבטחת מידע. יש לנו רשימה מאוד מכובדת בתקנות אבטחת מידע, איזה מידעים צריך יכניסו אותנו לתחולה של התקנות האלה. אני חושב שעדיף להיצמד לאלה שבאמת זה עונה על החשש שהרשות הביעה לגבי חובת האבטחה.
היו"ר שמחה רוטמן
עובדה שמשנים פה את ההגדרה. עד עכשיו זה לא היה.
ענר רבינוביץ'
עכשיו ההגדרה של מידע אישי השתנתה.
היו"ר שמחה רוטמן
לא מידע אישי. שם, מען ודרכי התקשרות הייתה גם בהגדרה הקודמת של מען. הייתה יכולה להיכלל ועדיין זה הוחרג ממאגר מידע.
ענר רבינוביץ'
נכון.
היו"ר שמחה רוטמן
יש הגדרת מידע אישי, יש הגדרת מאגר מידע ויש דברים שאני רוצה להחריג כבר בשלב ההגדרה ממאגרי המידע כדי לעודד אנשים להחזיק מאגרי מידע שאינם מאגרי מידע לעניין החוק והתקנות וכל הדברים האלה. זו מטרתי.
ענר רבינוביץ'
לעניין הזה אני כמובן תומך בהחרגה הזו ומתן הפטור הזה למאגרים - - -
היו"ר שמחה רוטמן
כמו שאני נותן פטור מאוסף לשימוש אישי שאיננו מטרת עסק, אפילו שהוא יהיה מאגר מידע מאוד בעייתי, ואם הוא ידלוף זה יכול להיות אוי ואבוי, אבל החלטתי שהמיקוד של החוק הזה הוא לא נועד. אני באופן אישי רשמתי פה בטלפון שלי את ההערכות שיש לי לגבי כל אחד מהנוכחים פה לגבי ההתנהגות שלו בדיונים. רשמתי לעצמי את זה אבל זה למטרה האישית שלי, זה לא מאגר מידע, אפילו שאם זה דולף, ואי, מה הולך להיות פה. לא עשיתי את זה, אגב, למען הסר ספק.
ענר רבינוביץ'
אם הבעיה היא באמת מה נחשב מאגר לצורך חובות האבטחה, אז כן, נפתור את כל אותם מאגרים טיפשיים, פרטי מידע שלא מספיק עסיסיים, לא מספיק מעניינים או יוצרים סכנה.
היו"ר שמחה רוטמן
או שיש לי אינטרס רגולטורי לעודד אנשים לעשות אותם.
דן חי
כבודו, צריך לזכור שהרחבנו את ההגדרה של מידע לפי מה שהוצע קודם, ולמעשה בזה גם הרחבנו את המכלול של מאגר מידע. מאגר מידע זה כל מידע לפי ההצעה החדשה ולא כמו שהוא היום, שהוא מידע לפי תוכן. אני מתחבר למה שכבודו אומר אבל הייתי הולך על זה יותר רחב. הוא אומר שכל מידע שאין בו כדי לאפיין בן אדם בפני עצמו, אוסף מידע כזה לא יהיה מאגר מידע, זאת אומרת להחריג את זה מההגדרה של מאגר מידע אם אנחנו רוצים לשמור על המצב כמו שהוא היום.
היו"ר שמחה רוטמן
לא, זה הלכת קצת רחוק מידי.
דן אור-חוף
מילה אחת לגבי הפרקטיקה לגבי החריג שקיים היום בחוק, זאת אומרת מידע על שם, כתובת ודרכי התקשרות אבל בתנאי שאין לך אוסף אחר. בפרקטיקה זה כמעט ולא קיים. אותה דוגמה, אדוני, של בעל המכולת שלך, ברגע שיש לו עובד אחד בלבד, יש לו כבר מאגר מידע אצלו בידיים בגלל שהוא מחזיק מידע שהוא מוגדר כרגיש, ולכן הוא נתפס על פי החוק כמאגר מידע.
היו"ר שמחה רוטמן
לא הבנתי.
דן אור-חוף
בחוק הנוכחי מספיק שאני מחזיק מידע על עובד אחד שלי כדי שזה יהיה מאגר מידע כמשמעותו בחוק, ואז אם אני מחזיק רק את כתובות האימייל או את מספרי הטלפונים של הלקוחות שלי, ומצד שני אני מחזיק במידע על עובד אחד שלי, אז החריג הזה כבר לא קיים. אם אנחנו רוצים שהחריג הזה באמת ייתן את התמריץ שאדוני מדבר עליו, זה צריך להיות מנותק לחלוטין מאוספים אחרים. אם יש לי אוסף שאני מחזיק אותו באקסל ושיש בו רק שמות ומספרי טלפון, ואם אנחנו מחליטים שזה לא מאגר מידע, אז זה לא מאגר מידע, ולא משנה איזה סוג מידע אחר יש לי.
היו"ר שמחה רוטמן
תיכף נגיע לשאלה אם יש מידע על עובד, האם זה נחשב מאגר מידע. זה שאני מחזיק את רשימת דרכי ההתקשרות של הספקים או של הקולגות כי אני רוצה לעשות תיאום מחירים שאסור לי לפי חוקים אחרים, אני מחזיק את המידע עליהם אבל אני לא מחזיק את המידע על הלקוחות, אז אם אין חפיפה בין המאגרים, ברור לי שזה לא נחשב אוסף נוסף. יכול להיות שאם זה לא מפורש מספיק ברור, צריך להעביר את זה. בעיניי זה ברור שזו הכוונה. נתקדם. אנחנו לא מתקדמים מספיק מהר, אני חייב לומר, אבל זה באשמתי.

שימוש אישי שאיננו מטרות עסק, אני ראיתי פה כפילות. מה זה שימוש אישי שלמטרות עסק, שימוש אישי שאיננו למטרות עסק? לא ברור לי הכפילות הזאת אם זה אוסף לשימוש אישי.
ניר גרשון
להבהיר שיחיד שהוא עוסק זה כן מאגר מידע. שימוש אישי אבל אישי שהוא לא כעוסק. אישי ביתי למטרות הפרטיות, לא בכובעי כעוסק.
היו"ר שמחה רוטמן
מספיק שלא למטרות עסק.
עמית יוסוב עמיר
יש גופים שהם לא עסק.
ניר גרשון
בדיוק.
קריאה
עמותה, כן חל עליה החוק.
היו"ר שמחה רוטמן
הבנתי. אפשר לכתוב קודם כל שאוסף שמוחזק בידי תאגיד. בתאגיד לא משנה המטרה, לשיטתך, לכן זה זה, ובידי יחיד שלא למטרות עסק.
עמית יוסוב עמיר
שותפות.
היו"ר שמחה רוטמן
שותפות היא תאגיד.
ניר גרשון
אפילו לא שותפות. התארגנות.
היו"ר שמחה רוטמן
ועד בית זה יחיד.
ניר גרשון
לא, זה לא יחיד.
אלדד בן גיורא
אדוני, לכן ההגדרה של מאגר מידע כפי שאמרתי קודם, העניין פה זה שהיא אולי באופן מכוון נראית מאוד רחבה, אבל בסוף כל מה שחברים כאן אומרים זה שזה מאוד תלוי האם - - -
היו"ר שמחה רוטמן
אתם חיים עם ההגדרה הזאת? בסדר.

יש לנו עוד עשר דקות. מה ההגדרה הבאה שלנו?
נעמה מנחמי
מידע בעל רגישות מיוחדת. אולי נתחיל פשוט מהפרט הראשון, אלא אם כן אתם רוצים לתת איזשהו רקע.
עמית יוסוב עמיר
כן, אני חושב שאולי רק ממש בתמצית. חוק הגנת הפרטיות וההגדרות בפרט בתוכו, יש להם שני תפקידים. אחד, כמו ההגדרות בכל חוק, לשרת את מטרות החוק. כמו שנראה בהמשך החוק אבל חשוב להגיד את זה עכשיו כשמתחילים לדבר על ההגדרה הזאת, הנפקות של הגדרת מידע בעל רגישות מיוחדת היא מצומצמת יחסית. יש שתי נפקויות, אחת לעניין רישום המאגרים שזה נושא שצריך לדבר עליו בהמשך. אתן פרומו ואומר מראש, הכוונה היא רק למאגרים מאוד גדולים, ממש לא המכולת. דבר שני לעניין גובה העיצומים הכספיים שגם זה נושא שראוי לענות בו בהמשך. כרגע צריך לזכור שאנחנו מדברים על הגדרה מאוד רחבה עם הרבה מאוד השלכות, אבל בסוף הנפקות הנורמטיבית הנקודתית היא מגודרת ומצומצמת.

להגדרות בחוק הגנת הפרטיות יש גם מקום. זה חוק מסגרת. זה חוק שצפוי מאוד שכמו ההגדרות של מאגר מידע ומידע וכן הלאה, ההגדרות האלה יצוטטו בחוקים אחרים ולכן יש פה עניין גם נורמטיבי. צריך לשים על השולחן, יש הרי את תיקון 15 בעבודת מטה. בוודאי יהיו עוד השלכות להגדרות האלה. אנחנו לא יכולים לכתוב הגדרות להוראה הנורמטיבית שלא אושרה אפילו על ידי שר המשפטים, לא פורסמה להתייחסות הציבור אלא הגיעה פה לוועדה, לכן כשנגיע לשם יכול להיות - - -
היו"ר שמחה רוטמן
ברור. יש לי שאלה בסיסית. צריך קודם כל לנמק למה לא הולכים לפי ההגדרות הבין-לאומיות, הגדרות GDPR במונחים האלו? נדרשת חובת הנמקה נפרדת לשאלה למה לא נצמדים להגדרות הבין-לאומיות גם כדי שגופים יידעו לעבוד איתם וגם מבחינת ההאחדה, גם בהקשר הזה ספציפית אם למידע בעל רגישות מיוחדת יש קנס אחר או עיצום כספי אחר או חובות אחרות.

אם הכול שם בהגדרה רחבה מידי, לא יצרנו את המדרג ואת התמריץ הנכון לא לאסוף מידע. הרבה מאוד פעמים אני שומע במוסיקה של התיקון הזה, כל דבר יכול להיות רגיש ולכן בואו נשמור על הכול במקסימום. התוצאה היא שאנחנו לא שומרים על כלום במינימום ברמה מסוימת. יותר נכון לבוא ולהגיד, אם אתה רוצה כבעל עסק לחשוף את עצמך, ועזבו את המכולת, לרמה פלונית של עיצומים כספיים בקניית הסיכונים שאתה רוצה, אל תאסוף מידע כזה. אם הכול הוא רגיש באופן מיוחד, יהיה לי את הגנת העדר שכולם עוברים על החוק הזה כל הזמן, אז אף אחד לא יקבל ויהיה לי טענה מאוד יפה של אכיפה בררנית.
ראובן אידלמן
צריך לפרוט את זה לאורך - - -
היו"ר שמחה רוטמן
כן, אבל אני אומר, קודם כל צריך להסביר.
ראובן אידלמן
זו התלבטות שכמובן עשינו הרבה מאוד עם עצמנו מה שאדוני אומר. אנחנו לגמרי חיינו בתוך התהליך הזה שאתה מדבר עליו. צריך לרדת לפרטים ולראות איפה אולי אדוני חושב שזה רחב מידי.
היו"ר שמחה רוטמן
מאחר ולא התקדמנו הרבה בדיון הזה, אני לא חושב שאנחנו צריכים עוד הרבה עבודת הכנה לדיון הבא. תכננתי שאת הדיון הבא נעשה רק בשבוע הבא. יכול להיות שנוסיף דיון השבוע כדי להתקדם יותר. אני חושב שהדיונים שאנחנו עושים פה הם חשובים כי הם כבר עושים פרומו לחלק מהדיונים שנעשה בהמשך, אז אני אעדכן על מועד כזה.

כן, בבקשה.
רחל ארידור
ד"ר ארידור הרשקוביץ מהמכון הישראלי לדמוקרטיה. אני רוצה לציין שמה שנאמר פה על ידי עמית מאוד מטריד אותי כי אני חושבת שכל ההגדרות שאנחנו דנים בהן צריכות לבוא מתוך ראיה שאנחנו באים בבסיס שלנו כרגע לתקן את החוק להוראות המשך כשההוראה שאנחנו הכי מצפים אליה בתעשייה זה מה הנפקות של מידע בעל רגישות מיוחדת מבחינת השימושים של המותר והאסור ולא רק באופן ספציפי לקנסות וגובה העיצומים פה. אני חושבת שזו הראיה שצריך לאמץ גם כשאנחנו בוחנים או נבחן בדיון הבא את ההגדרות והמשמעות שלהן.
עמית יוסוב עמיר
ברור שיש איזשהו מחיר לעובדה שמדובר בחקיקה בשני לגים. לצורך העניין, לגורמי המקצוע כרגע במשרד המשפטים יש איזושהי עמדה עוד לפני ששמענו אפילו את הציבור לגבי איך צריכים להיראות ההוראות הנורמטיביות לגבי עיבוד מידע מסוגים שונים. אנחנו עכשיו צריכים לקבוע הגדרות כי הן נדרשות לצורך החוק. כמובן שהיה טוב אם היינו יכולים לצפות מעתיד וכבר שההגדרות יתאימו גם להוראות נורמטיביות עתידיות, אבל לא תמיד אפשר לעשות את זה ויכול להיות שיהיה צריך לשוב ולהידרש להגדרות האלה שנגיע עם הוראות נורמטיביות.
שחף קצלניק
למה לא להגדיר אותן עכשיו רק לצורך פרק ה' החדש?
היו"ר שמחה רוטמן
הנקודה היא שאי אפשר לאחוז בחבל משני קצותיו. קיבלנו החלטה טובה או רעה אבל קיבלנו אותה להתקדם בשני לגים. בסדר, מבין. השאלה היא מה קורה בתקופת הביניים. יכול להיות שנייבא חלק מהדברים גם אם לא את תיקון 15, אבל דברים שנדרשים פה כן נכניס גם אם כפלסטר זמני, כל מיני הסדרים בעקיפין. אנחנו בעצם עושים את זה, רק אנחנו עושים את זה רק בחלק מסוים. הרציונל שבא ואומר, בוא תיתן לי עכשיו בין 14 ל-15 את מקסימום שיקול הדעת על הכול, להטיל עיצום כספי ברמה הגבוהה ביותר על פחות או יותר כל דבר שזז, ותן לי בדרך האכיפה כרשות לצייר את הגבולות דרך השאלה מה שנקרא בשיטת מצליח, אם חטפת קנס סימן שזה לא בסדר, זה בעיה. זה יכול להוביל אותנו לשני מסלולים במזלג הדרכים שעומד לפנינו: אחד, זה לבוא ולהגיד, אוקיי, בואו רשות להגנת הפרטיות, יש את המקרים הכי אקוטיים שאתם צריכים בשבילם בתיקון 14 את ההגנה הכי גדולה ותלכו להגדרות מצמצמות, ובתיקון 15 כשיהיה לנו בסיסי עיבוד וכאלו, תרחיבו, שזה אפשרות אחת, ואפשרות שנייה, בואו נייבא לפחות חלק מהדברים מתוך תיקון 15 כבר עכשיו ונדבר עליהם פה מסביב לשולחן. יש לי הרגשה שרוב האנשים שיתנו את הערות הציבור לתיקון 15 יושבים פה ועוקבים אחרי הדיונים ושולחים ניירות עמדה, תחושה שכזו, ולפחות חלקית ככל שאנחנו צריכים אותם לטובת תיקון 14. לבוא להגיד לא, בוא ניתן עכשיו ב-14, נייצר משטר שעברנו ממשטר של אפס אפשרות פיקוח ואפס אפשרות להטיל קנסות לעל כל הפרה של תקנות, לא. הבנתם מה אני מתכוון.
לירון מאוטנר לוגסי
היו"ר, אתה יכול להרחיב עוד פעם על החלופה הראשונה?
היו"ר שמחה רוטמן
החלופה הראשונה זה לבוא ולהגיד, אנחנו כרשות להגנת הפרטיות, כמשרד משפטים, כגופים פה מסביב לשולחן מרגישים את החוסר לצורך העניין בהגנה על מידע רפואי, סתם כמשל, לכן בוא נגדיר בצורה מצומצמת את המידע הרגיש על זה. לא ננעל את ההגדרה. נגדיר את המידע הרגיש בצורה מצומצמת. עליו ניתן את הדגש גם באכיפה, גם בקנסות, גם בזה, ולא ננסה לתפוס את הכול, כי הלתפוס את הכול, אנחנו לא באמת מביאים את ההגדרה הנכונה שמתאימה לחשיבה על עיבוד. אנחנו בעצם עושים פה פרומו לתיקון 15 אבל זה רלוונטי רק לעניין הטלת הקנסות בלי תיקון 14.

האם מידע על נכסיו, הגדרה סופר רחבה של 9 לצורך העניין, שכוללת פחות או יותר כל דבר, נכסיו, חובותיו, התחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכליות ומידת עמידתו בהם. הכול נמצא ב-9. חלק ממנו שמוחזק על ידי גופי מידע פיננסי מוגן כבר, אתם לא צריכים אותו. הוא מוגן לפי הכללים האחרים. בעיבוד ברור שזה חשוב. לעולם ביג דאטה, כל טרנזקציה שלך חשובה, אז ברור שלעיבוד זה חשוב. האם לעניין החזקת המידע, הקנס העודף אני מכניס את כל מי שמחזיק מידע על העובדה שאני מחזיק בחדר שלי פחית קולה? זה מידע על הנכס. יש לי פחית קולה בחדר. זה מידע על נכס שלי. האם בעולם הביג דאטה והעיבוד צריך להגן על זה? כן. האם העובדה שאני מחזיק בחדר פחית קולה זה משהו שאני רוצה שבגללו מי שמחזיק את המידע הזה, תטילו עליו עיצום כספי מוגדל? לא.
לירון מאוטנר לוגסי
אני רוצה להגיד על זה משהו, קודם כל ספציפית להגדרה שהקראת. גם עשינו איזשהו צמצום בעקבות ההערות שעלו.
היו"ר שמחה רוטמן
בסדר, אני אומר את זה כדוגמה.
לירון מאוטנר לוגסי
לכן אני חושבת שכן צריך לעבור פריט-פריט ולראות איפה הצמצום.
היו"ר שמחה רוטמן
מוסכם. אנחנו נעבור פריט-פריט עם mindset מסוים.
לירון מאוטנר לוגסי
אני רוצה רגע להגיד משהו על ה-mindset. בסוף חוק הגנת הפרטיות זה כן דין כללי שכן מסתכלים עליו ולומדים ממנו ולוקחים ממנו גם בעולמות תוכן אחרים, לכן דווקא ההגדרות, יש בהן משהו שכן חשוב בהן להיות מדויקים. אני הייתי מעדיפה שיותר נסתכל על הנורמות בגובה העיצומים, על מה נכון להטיל עיצום ושם לחשוב איפה אפשר להיות יותר מדויקים מאשר להכיל את זה רק על מידע בריאותי אבל לא על מידע פיננסי ואז שייצא שבחוק הגנת הפרטיות מידע פיננסי הוא לא מידע - - -
היו"ר שמחה רוטמן
אם תיצמדי ל-GDPR, אז אני יכול להגיד אוקיי, לפחות אני מבין לאן הרוח נושבת. יכול להיות שנוכל בפרק העיצומים לבוא ולצמצם אותו, להגיד כהוראת שעה - - -.
גלעד סממה
אדוני, עשינו כבר את החשיבה הזו. צריך לרדת לפרטים ממש. אנחנו מבינים את ה-mindset.
ראובן אידלמן
אני חייב להגיד שזה לא הפרמטר היחיד לעניין גובה העיצום. יש גם את גודל המאגר.
גלעד סממה
הmindset- ברור ו-mindset הזה גם היה אצלנו, אפשר לומר.
היו"ר שמחה רוטמן
ברור. מובן.
אלדד בן גיורא
אדוני, אפשר להגיד רק מילה אחת, בבקשה?
היו"ר שמחה רוטמן
כן.
אלדד בן גיורא
יש פה איזשהו צורך או רצון ליצור איזושהי ודאות במקרים האלה. אני מבין את זה, אני מסכים עם זה. אני פשוט חושב שספציפית בעניין של פרטיות, בגלל שהזכות עצמה היא לא משהו באמת מוגדר ושבלוני כמו זכויות אחרות, היא מתעצבת והיא משתנה. נתון מסוים שיישב במאגר ספציפי כמו שהתייחסת אליו מקודם, לא בטוח שהוא יהווה איזשהו נתון שאנחנו נרצה לצאת מגדרנו כדי להגן עליו, אבל שוב חוזרים לעניין של באיזה אופן מעבדים אותו ומה השימוש שעושים בו.
היו"ר שמחה רוטמן
כן, רק שאת זה אין בחוק.
אלדד בן גיורא
אני רק אדגיש שאין את זה לדעתי בחוק. אני לא בטוח שאפשר גם להגיע עד כדי כך.
היו"ר שמחה רוטמן
לא יודע, אבל יכול להיות שאפשר בינתיים לפחות להוריד את צמידות המטרה.
אלדד בן גיורא
באופן אינהרנטי הזכות הזו היא הופכת להיות - - -
היו"ר שמחה רוטמן
הכול אינהרנטי. אנחנו נחשוב על הדברים, אנחנו נעשה בהם דיון יסודי בעזרת השם בישיבה הקרובה. אני אשתדל לעדכן כמה שיותר מהר. יכול להיות שנוסיף ישיבה השבוע כדי שגם החומר יהיה לנו טרי בראש.

תודה רבה לכולם, ישיבה זו נעולה.


הישיבה ננעלה בשעה 12:04.

קוד המקור של הנתונים