ישיבת ועדה של הכנסת ה-25 מתאריך 26/12/2023

חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024

פרוטוקול

 
פרוטוקול של ישיבת ועדה


הכנסת



128
ועדת החוקה, חוק ומשפט
26/12/2023

הכנסת העשרים-וחמש


מושב שני


פרוטוקול מס' 210
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, י"ד בטבת התשפ"ד (26 בדצמבר 2023), שעה 9:00
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
נכחו
חברי הוועדה: שמחה רוטמן – היו"ר
מוזמנים
גלעד סממה - מנהל הרשות להגנת הפרטיות, משרד המשפטים

ראובן אידלמן - מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות

עמית יוסוב עמיר - מחלקת ייעוץ וחקיקה, משרד המשפטים

לירון מאוטנר-לוגסי - ממונה משפט אזרחי, ייעוץ וחקיקה, משרד המשפטים

דניאל הורנשטין - רפרנטית, משרד המשפטים

שירה גרטנברג - ייעוץ וחקיקה, משרד המשפטים

דן אור-חוף - חבר המועצה, המועצה להגנת הפרטיות

נעמה בן צבי - ראש היחידה להזדהות ויישומים ביומטריים, מערך הסייבר הלאומי

מיכל בלאו אור - ייעוץ משפטי, מערך הסייבר הלאומי

עדי בן חורין - לשכה משפטית, מערך הסייבר הלאומי

ד"ר רחל ארידור הרשקוביץ - חוקרת, המכון הישראלי לדמוקרטיה

ד"ר טל מימרן - ראש תכנית המחקר, תכלית - המכון למדיניות ישראלית

טמיר בר - רכז קשרי ממשל, תכלית - המכון למדיניות ישראלית

עינת יוסוב - עו"ד, איגוד הבנקים בישראל

שחף קצלניק - יועץ משפטי, התאחדות התעשיינים

יעקב עוז - להב - לשכת ארגוני העצמאים והעסקים

לירון בנדק - יועמ"שית וסמנכ"לית רגולציה, נשיאות המגזר העסקי

אלן יוסף - ראש תחום הגנת הפרטיות, משרד עבדי, וקנין ושות'

ליאור אתגר - עו"ד, מנהל מחלקת פרטיות, משרד ארדינסט

דלית בן-ישראל - עו"ד, מוזמנים נוספים

איה מרקביץ - Privacy Director

אייל שגיא - עו"ד, משרד AYR

ד"ר עמרי רחום טוויג - עו"ד, מטעם גוגל ישראל

ענר רבינוביץ׳ - מנכ״ל PRIVACY TEAM
משתתפים באמצעים מקוונים
ישי יודקביץ - ממונה משפטי לחקיקה, משרד הביטחון

מיכאל גלר - יועמ"ש מחלקת בינה מלאכותית, משרד הביטחון

ניר גרסון - סגן מנהל מחלקת יעוץ משפטי ואסדרה, הרשות להגנת הפרטיות

מירב ולדמן - יועצת משפטית, איגוד לשכות המסחר

אייל פרובלר - יועץ משפטי, התאחדות התעשיינים

הילה היבש - ייעוץ משפטי, קשרי ממשל ואחריות חברתית, מיקרוסופט ישראל

יוגב עזרא - חבר ועד מנהל, העמותה למלחמה בספאם
ייעוץ משפטי
נעמה מנחמי
מנהל הוועדה
איל קופמן
רכז פרלמנטרי בוועדה
אבירן יחזקאל
רישום פרלמנטרי
ויקטור ינין;
הדס כהן


רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת.
ייתכנו אי-דיוקים והשמטות.


הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
בוקר טוב. לצערנו, אנחנו פותחים את הבוקר עם בשורות קשות, במקרה הזה שמענו אותן עוד במהלך הלילה. הייתי רוצה לפתוח בלהקריא את מה שכתב חגי לובר, אביו של יהונתן מיצהר שנפל. למען האמת, ככל הנראה, זמן קצר לפני שנודע לו על נפילת בנו, הוא פרסם גם ברשת וגם במקומות אחרים שהוא תכנן לעשות הצגה בתיאטרון אספקלריא שהוא מנהלו וממייסדיו, על ההתמודדות עם הקשיים של המלחמה, תכנן להתחיל ב-7 בינואר, שלושה חודשים אחרי תחילת האירועים, וזמן קצר לאחר אותו פרסום הוא גילה שההצגה הזאת, ככל שתהיה, תהיה לא רק לעזור לאנשים אחרים, אלא גם להתמודדויות שלו עם עצמו. עם הישמע הבשורה, הוא פרסם את הדברים הבאים, שחשבתי שחשוב מאוד לפתוח את היום בדברים הללו:

"מתוך עוצמה גדולה של עם ישראל כולו ומתוך הבנת השעה הגדולה שבה עם ישראל משמיד את הרוע הצרוף מהעולם, לצד צער אישי עמוק בתהומות הכאב, אנו מודיעים על נפילת בננו היקר והאהוב יהונתן לובר הי"ד. בשם עם ישראל כולו אנו גאים בו ומודים לו על שהיה שותף במחיקת הרע בעולם ובהשמדת אויבינו. אין בליבנו על הקדוש ברוך הוא, אין בליבנו על ממשלת ישראל, אין בליבנו על צה"ל וההחלטות של מפקדיו בשטח. אנחנו מחבקים את כל עם ישראל ומבקשים מהתקשורת ומכל אחד בעם שלנו: אנא, יום אחד של אחדות לעילוי נשמתו. אנא, אל תכתבו ואל תשדרו שום דבר של מחלוקת. אנא, דברו טוב, הבליטו את הטוב במקבלי ההחלטות ובעם הנפלא שלנו שיהונתן היה גאה להילחם בשבילו. אנא, יום אחד של אחדות ודיבורים טובים. יהונתן כל-כך יהיה שמח למעלה. מי ייתן ונזכה לניצחון שלם ומהיר ולהחזרת חטופינו האהובים, שיונתן כל-כך קיווה והתפלל שיחזרו. אמן".

הדברים הללו שכתב אב שכול, שטרח לכתוב זמן קצר אחרי שקיבל את הבשורה הקשה הזאת, אני מקווה שילוו את כולנו בכל אשר נעשה, יורשה לי להוסיף שלא רק ליום אחד, אבל בוודאי ובוודאי ליום אחד, ונהיה מאוחדים כל הדרך לניצחון. אני חושב שזו צוואתו לא רק של יהונתן לובר הי"ד, אלא של כל הנופלים מאותו שמיני עצרת שעבור הרבה מאוד אנשים באמת עצר את החיים, בין הנופלים, בין החטופים. שנהיה מאוחדים ובאמת ביחד ננצח.

הפער הגדול בין העיסוקים החשובים – שכמובן גם קשורים למלחמה ולהגנתה של מדינת ישראל בכל החזיתות, אבל בכל זאת, העיסוקים היום-יומיים ופרטי סעיפי החוק אל מול המציאות, שכשמסיימים פה את יום העבודה, אז כל אחד מחברי הכנסת נוסע, זה ללוויה, זה לשבעה, זה לבקר משפחה, זה לבקר מפונים – הוא פער שאנחנו צריכים לשמר אותו, ולראות איך אנחנו מצליחים באמת לשמור את הביחד הזה כל הדרך אל הניצחון, ולוודא שהרוח הגדולה שאנחנו מקבלים מהנופלים וממשפחותיהם תשפיע על כל אשר אנחנו עושים בכל החזיתות.

ובמעבר שבאמת לא יכול להיות חד ממנו. כמו שאמרתי, אנחנו בחוק הגנת הפרטיות, ועוסקים בו, חשוב לי להזכיר במיוחד ביום הזה, לבקשתה של המועצה לביטחון לאומי, שביקשה את הקדמת הדיון ולעסוק בו גם בעצם ימי הלחימה וגם בימים קשים אלה, בגלל החשיבות בקידומו לטובת ההגנה על מידע של אזרחי ישראל. אנחנו נשתדל לעשות כמיטב יכולתנו, לעשות את העבודה הטובה ביותר האפשרית, בנסיבות הללו.

גברתי היועצת המשפטית, תזכירי לנו איפה היינו.
נעמה מנחמי
בשבוע שעבר התחלנו את ההגדרה: מידע בעל רגישות מיוחדת. הספקנו לעבור על מספר פריטים. יש בקשה של הממשלה לחשוב פעם נוספת על שניים מהם.
היו"ר שמחה רוטמן
אנחנו קיבלנו גם מכתב מהמועצה להגנת הפרטיות בנוגע לסעיף הראשון.
נעמה מנחמי
נכון.
היו"ר שמחה רוטמן
אני חייב לומר ששם פחות התחברתי. אם תרצו נשמיע את הדברים או שנעשה את זה באחת הישיבות ולא עכשיו, כי אתם צריכים עוד לעבד את זה? תחליטו מה אתם מעוניינים.
דן אור-חוף
אנחנו נשמח להעלות את זה עכשיו.
היו"ר שמחה רוטמן
אוקיי, אז בואו נדבר על זה. זה היה לגבי הסעיף הראשון?
נעמה מנחמי
הסעיף הראשון, יש בקשה.
היו"ר שמחה רוטמן
ולגבי הביומטריים, שזה (8)? ההערות שלכם הן לגבי (1) ולגבי (8), נכון?
נעמה מנחמי
את הביומטרי עוד לא סיימנו. הייתה גם התייחסות לנושא של מקום.
היו"ר שמחה רוטמן
נתוני מיקום.
נעמה מנחמי
סליחה, נתוני מיקום, פרט (7). את (8) עוד לא סיימנו ולכן לא הגדרתי את זה כדיון מחדש, אבל גם שם יש ניואנסים נוספים.
היו"ר שמחה רוטמן
מי יציג?
דן אור-חוף
אדוני, אני אגע בנקודה אחת. אנחנו שלחנו נייר עמדה עם שלוש נקודות, אבל נגע אולי בנקודה הראשונה, שזה בעניין של צנעת חיים מול צנעת אישות. אדוני, בעקבות הדיון האחרון כאן, בוועדת החוקה, המועצה קיימה דיון אינטנסיבי בנושא הזה. המסקנה שעולה, וזאת העמדה של המועצה, היא שמלבד עניינים שנוגעים לצנעת אישות, יחסי מין, יש עדיין נושאים שהם בצנעת הפרט ושהם רגישים במיוחד, שהם רחבים יותר. נתנו כדוגמה מידע על התעללות במשפחה, אם לבצע הפלה, אם להתגרש, אלימות כלכלית בין בני זוג, שיטות חינוך במשפחה, יחסים בין הורים לבין ילדים.

אדוני, יש אוסף גדול מאוד של התנהגויות שהן בצנעת הפרט של האדם, והן לא בגדר צנעת אישות. לכן אנחנו סבורים שהביטוי שמגדיר את זה נכון הוא צנעת חיים של אדם. אנחנו חושבים שהסיפה של ההגדרה המקורית של רשות היחיד היא אכן רחבה מדי. היא אכן כוללת בתוכה, לפחות בפוטנציה, התנהגויות או סוגי מידע שהם לא רגישים, ולכן אנחנו מציעים להשמיט את הסיפה מההגדרה המקורית.

אבל אנחנו חושבים שהביטוי צנעת חיים הוא ביטוי שמיטיב להגדיר את החיים האינטימיים של אדם. לכן גם צריך להגדיר אותו כמידע רגיש ולא להישאר בהגדרה המצמצמת יותר - -
היו"ר שמחה רוטמן
של ה-GDPR?
דן אור-חוף
- - של ה-GDPR, כן, שמדברת רק על יחסי מין ועל נטייה מינית, כי אנחנו חושבים, כמו שהבהרתי, שאנחנו מדברים על אוסף גדול של סוגי מידע והתנהגויות רגישות שהן לא כלולות בתוך שני פרטי המידע האלה.
היו"ר שמחה רוטמן
חלק גדול מהדוגמאות שהבאתם, כולל במסמך שלכם, אלה דברים שמכוסים במקומות אחרים. שאלת ההפלה – זה מן הסתם קשור לעניין הרפואי. שאלת אלימות כלפי קטינים – יש עליהם חובת סודיות, כל העניינים של קטינים הם בכלל בחובות סודיות אחרות, הם נמצאים בסעיף (12), חובת סודיות שנקבעה בדין. מצב בריאות מכסה הרבה מאוד מהדברים שלכם, לרבות בריאות נפשית כמובן.

פלילי, עבר פלילי, חלק מהדברים פה הם - - -
דן אור-חוף
זה רק עבר, אדוני.
היו"ר שמחה רוטמן
כן, בשנייה שמשהו קורה – הוא הופך לעבר.

אני רק אומר שהרוב מכוסה. השאלה היא מה הדלתה. אני לא אומר לך שאין דלתה. מצד שני, יש פה שני ערכים שיש להם חשיבות בפני עצמם: ודאות ובהירות בהגדרות, והיצמדות ל-GDPR. היו פה מסביב לשולחן דיונים על הפלייליסט, האם הפלייליסט שלי הוא נכנס לצנעת חייו. זה גם דיון שהתנהל פה, אתם הבאתם את זה בתור איזו אמירה.
קריאה
- - -
היו"ר שמחה רוטמן
כן, פלייליסט לא. אני שמח שתרמתי לדיוני המועצה להגנת הפרטיות כמובן. זאת דוגמה מצוינת. יכול להיות שבתיקון 15, כשיהיו לנו הגדרות יותר מדויקות, גם של סמכויות, הבניית שיקול הדעת של הרשם, יכול להיות ששווה לשמור את הסוגיה הזאת להמשך החוק. היום גלעד שם ומחר זה מישהו אחר, אני לא יודע, אבל בסופו של דבר הגדרה עמומה היא כחומר ביד היוצר. הגדרה ברורה, שצמודה ל-GDPR – זה שני יתרונות מאוד חשובים.

אני חושב שרוב המקרים שמהם האנשים שיושבים מסביב לשולחן יחששו, רוב הדברים, בוודאי בגרעינם, ובוודאי עם ההגדרות המרחיבות יותר של מידע שיכול ללמד על – שזה (8) – התנהלות, הרגלי צריכה, שעלולים, הרוב יהיה מכוסה. ולכן, מישהו שישים בבית איזשהו עוזר ביתי, סירי או אלקסה, שיאסוף את המידע, הוא ייכנס לשם כך או כך, דרך סעיף זה, דרך סעיף אחר. הוא לא יוכל לחדד את המידע.

ולהפך. אני הייתי רוצה שיעשה הכול כדי שלא ייכנס לאף אחד מהסעיפים. ואם אני אעשה רחב מדי, אז הוא יגיד: הכול כבר עליי, בכל מקרה.
דן אור-חוף
אדוני, קודם כל, אני חושב שיכול להיות שחלק מהדוגמאות שאנחנו הבאנו אכן יכולות להיות כלולות בסעיפים אחרים של ההגדרה. אבל התחושה שלנו הייתה שזה לא מלא, ושיש בהחלט לא מעט אירועים בתוך חיי המשפחה.
היו"ר שמחה רוטמן
אני מסתכל על הדוגמאות שהבאתם. בסופו של דבר, אנחנו מנסים לעשות פה איזושהי דדוקציה. הייתי עושה צנעת חיי משפחה, ואז זה קצת יותר רחב מאישותו מצד אחד. מצד שני, כן, היחסים בתוך המשפחה זה נושא מאוד אינטימי. ואז זה מכסה את רוב הדוגמאות שלכם, בלי צנעת חייו האישיים של אדם.
ראובן אידלמן
רק אולי להוסיף אדוני, שבחוק-יסוד: כבוד האדם וחירותו, שמגדיר בצורה די רחבה את הזכות לפרטיות, זה הסעיף הכי מפורט. כתוב: כל אדם זכאי לפרטיות ולצנעת חייו. זאת אומרת שאנחנו תופסים את זה, כי בכל זאת, חוק היסוד אומר לנו שהדבר הזה הוא בליבת הזכות לפרטיות, הוא מנוי במפורש.
היו"ר שמחה רוטמן
זה סעיף 2.
ראובן אידלמן
דבר נוסף. היום כתוב בחוק הקיים: נתונים על אישיותו של אדם. זאת אומרת, בכל זאת אנחנו מרגישים שזה מצמצם לעומת המצב המשפטי הקיים.
היו"ר שמחה רוטמן
בסדר, אני שומע.
נעמה מנחמי
נכון שזה סעיף 2. אולי דווקא החוק אצלנו קצת מבלבל, בגלל שהוא מייצר את ההבחנה המאוד ברורה הזאת. אבל ברוב העולם אין בהכרח את ההפרדה הדיכוטומית. יכול להיות שצריך לשמר גם את הנוסח הזה.
היו"ר שמחה רוטמן
חוק היסוד גם מדבר על סוד שיחו של אדם, כל הקלטת טלפון היא מידע רגיש.
ראובן אידלמן
את זה לא ביקשנו.
היו"ר שמחה רוטמן
אני יודע.
ד"ר עמרי רחום טוויג
למונח צנעת חייו האישיים של אדם יש כבר פרשנות פסיקתית ענפה ורחבה מאוד, שפורצת בהרבה את ד' אמותיו האינטימיות, ברמה של התנהלות אישית אינטימית. גם אם רוצים לייצר עוד את הדלתה שאדוני דיבר עליה, לפחות לבחור בנוסח אחר מהמונח הזה, כדי להבהיר שהוא לא נשען על הפרשנות הפסיקתית שהייתה עד היום. אחרת אנחנו ניכנס פה לכאוס.
היו"ר שמחה רוטמן
אני צריך סיבה כבדת משקל לסטות מה-GDPR, אמרנו את זה בכל הדיונים. אני מבין את הרצון לא להישאר רק בתחומי צנעת חייו המיניים של אדם. לכן אני חושב שצנעת חיי משפחה זה מכסה קצת יותר, מכיל את רוב הדוגמאות שלכם, אבל מצד שני לא לוקח את הפוקוס.
נעמה מנחמי
בעצם, אתה מציע צנעת חיי אישותו וצנעת חיי המשפחה?
היו"ר שמחה רוטמן
כן, משהו כזה, צריך לחשוב.
ד"ר עמרי רחום טוויג
צנעת אישותו ומשפחתו?
היו"ר שמחה רוטמן
יכול להיות, צריך לחשוב על זה. אבל אני חושב שזה יותר טוב מאשר הגדרה רחבה, שבאמת גם מתכתבת עם הניסוחים של חוק היסוד.

כן, בבקשה גלעד.
גלעד סממה
בסדר, אנחנו מבינים את רוח הדברים.
היו"ר שמחה רוטמן
זה הכיוון. אני חושב שהוא מכסה את הרוב, בלי להיות בהגדרה שמעוררת את האימפריאליזם.
דן אור-חוף
אני מסכים שחיי המשפחה זה באמת נושא דומיננטי.
גלעד סממה
אדוני, אנחנו נסיים עם ההגדרות. יכול להיות שאם נזהה עוד איזה פער, אז - - -
היו"ר שמחה רוטמן
בסדר, בואו נתקדם. נחשוב על איזשהו ניסוח של זה, אבל לדעתי זה הכיוון.

הנושא השני שדיברתם עליו.
נעמה מנחמי
נתוני מיקום ותעבורה.
היו"ר שמחה רוטמן
שזה (7).
נעמה מנחמי
נכון, ומוצע כאן נוסח חדש.
היו"ר שמחה רוטמן
נוסח אחרי הישיבה בפעם הקודמת. נתוני תעבורה כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), לגבי אדם; ונתוני מיקום שיש בהם כדי ללמד על מידע לפי פרטים (1) עד (6) או (8) עד (9).
עמית יוסוב עמיר
אני אסביר, אדוני?
היו"ר שמחה רוטמן
כן.
עמית יוסוב עמיר
בהצעת החוק הממשלתית המקורית ההצעה הייתה להפנות לחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), גם להגדרה של נתוני תעבורה וגם להגדרה של נתוני מיקום.
היו"ר שמחה רוטמן
ששניהם עובדים דרך רשת סלולרית?
עמית יוסוב עמיר
נכון.
ראובן אידלמן
נכון.
היו"ר שמחה רוטמן
זה לא מה-GPS, זה לא מכסה את המעקב של גוגל מאפס או של אפל מאפס על הוויז.
עמית יוסוב עמיר
בדיוק. בשלב מסוים, בדיוני הכנסת הקודמת, הוברר שצריך להרחיב את הפריסה של נתוני המיקום. בהתאם לכך הצענו הגדרה יותר מרחיבה, שמדברת על נתוני מיקום באופן כללי ומחריגה נתון של מיקום בודד - -
היו"ר שמחה רוטמן
נכון.
עמית יוסוב עמיר
- - שלא מצביע על הפרטים.
היו"ר שמחה רוטמן
אנחנו אמרנו, בודד זה פחות מדי.
עמית יוסוב עמיר
אבל היה צריך להגיע לאיזשהו נוסח שמצמצם למידע שיש בו כדי להעיד על פרטי המידע אחרים שמפורטים פה. בין לבין, בעצם פספסנו - - -
היו"ר שמחה רוטמן
את נתוני המיקום עצמם - -
עמית יוסוב עמיר
כן.
היו"ר שמחה רוטמן
- - של החוק הזה, שאתה אומר שמה שיתקבל מנתוני תקשורת – הוא בהגדרה מידע רגיש.
עמית יוסוב עמיר
בדיוק.
היו"ר שמחה רוטמן
אז אתה רוצה להגיד: נתוני מיקום, נתוני תקשורת, כהגדרתם זה וזה. ונתוני מיקום – אף אם הושגו בדרך אחרת.
קריאות
נכון, בדיוק.
היו"ר שמחה רוטמן
נשמע הגיוני.
ד"ר רחל ארידור הרשקוביץ
אני מתקשה להבין למה צריך את נתוני מיקום ותעבורה. לפי חוק סדר הדין הפלילי, לא להגביל גם למה שמלמד על הפרטים שמלמדים על מידע רגיש.
היו"ר שמחה רוטמן
לא, הפוך. מה שמתקבל מחוק נתוני תקשורת – אגב, אמיתית, אתם לא צריכים את זה בכלל, כי חלה על זה חובת סודיות בדין. אבל בסדר.
עמית יוסוב עמיר
רק להבהיר: אנחנו לא מדברים על מה שמתקבל, אנחנו מדברים על ההגדרות התואמות לחוק נתוני תקשורת. חוק נתוני תקשורת מסמיך את גופי האכיפה.
היו"ר שמחה רוטמן
אני מבין, אבל גם חברת הסלולר מחויבת על פי דין לשמור אותו.
עמית יוסוב עמיר
לא, הדין הוא, באופן עקרוני, חוק הגנת הפרטיות. יש לה רישיונות או דברים כאלה.
ראובן אידלמן
אין חובת סודיות היום.
היו"ר שמחה רוטמן
בסדר, אני חי עם זה, אין בעיה. הרעיון הוא שהנתונים שהם לפי חוק נתוני תקשורת, הם עצמם מידע רגיש, בהגדרה. בנוסף, נתוני מיקום, גם אם הם לא חלק מנתוני תקשורת, דהיינו מידע של גוגל, אפל, הטלפון הסלולרי שלי עוקב אחריי, יודע לאן אני הולך, הם נתוני מיקום שחוק נתוני תקשורת לא חל עליהם, הם לא רלוונטיים. הם צריכים להיות בכדי ללמד. אגב, נתוני מיקום אפילו לא חייבים להיות ב-GPS, כמו שאמרתי.

העובדה שמישהו יאסוף נתונים על המיקום שלי, העובדה שאני פה עכשיו, כרגע, בכנסת, זה נתון של מיקום שמוחזק על ידי הכנסת. ראיתם לוח בכניסה, אני מופיע שם, התמונה דלוקה, יש נתון מיקום שאני כרגע בכנסת. נתון המיקום הזה הוא נתון מיקום, הוא לא מלמד, למיטב ידיעתי, חוץ מזה שאני מגיע לפעמים בשעות מאוד מוקדמות, זה יכול להעיד על עניינים רפואיים, על בן אדם שלא ישן בלילה, על כל מיני דברים, אבל באופן עקרוני זה לא מלמד שום דבר. לכן זה לא יהיה מכוסה, זה לא יהיה מידע רגיש.
ד"ר רחל ארידור הרשקוביץ
אני אחלק את ההערה שלי לשתיים. אחת, אני חושבת שגם את מה שמוגדר תחת נתוני מיקום, תחת חוק נתוני תקשורת, צריך להגביל רק למה שמלמד, כלומר גם להגביל לסיפה. אפילו שחוק נתוני תקשורת אומר אחרת, אני לא חושבת שהוא קובע את רמת הגנת הפרטיות.
היו"ר שמחה רוטמן
לא, אנחנו עושים את זה פה. אבל תסבירי את זה, למה?
ד"ר רחל ארידור הרשקוביץ
כי לא כל נתון תקשורת, לא כל נתון מיקום, כמו שאמרנו לגבי הנתונים שהם לא בחברות הסלולר.
היו"ר שמחה רוטמן
אבל מכשיר הסלולר הוא בהגדרה מכשיר שמבצע אחריי מעקב רציף.
ד"ר רחל ארידור הרשקוביץ
נכון.
היו"ר שמחה רוטמן
לכן הנתונים שלו, התעבורה והתקשורת – גם עם מי אני מדבר, מי שלח לי sms, מי התקשר אליי, זה אחד. וגם, באיזה אזורים אני מסתובב.
ד"ר רחל ארידור הרשקוביץ
אני לא חולקת שצריך להגן עליהם כמידע פרטי. אני חושבת שהם לאו דווקא צריכים להיות מידע רגיש אם אנחנו חושבים קדימה, איזה שימושים אפשר או אי-אפשר יהיה לעשות בהם בהמשך של הדיונים בתיקון 15. אם אנחנו עושים את ההגדרה כבר עכשיו, צריך לחשוב על ההשלכות של זה.
היו"ר שמחה רוטמן
אנחנו עכשיו לא בנושא של העיבודים.
ד"ר רחל ארידור הרשקוביץ
אני מבינה.

ההערה השנייה שלי נוגעת ל-על מה צריך ללמד. פה מדברים על נתונים 1) עד (6) או (8) עד (9). קודם כל, נתון (3) הוא מידע גנטי, אני לא חושבת שהוא יוכל ללמד, אפשר להוציא אותו. ושתיים, לא הבנתי למה זה לא חל גם על (10).
היו"ר שמחה רוטמן
למה זה לא יכול ללמד על מידע גנטי?
ד"ר רחל ארידור הרשקוביץ
איך זה יכול ללמד על מידע גנטי?
היו"ר שמחה רוטמן
לא יודע. יכול להיות שנתוני מיקום מראים שאני הולך למרפאה לתסמונת גנטית נדירה שיש אותה לשמונה אנשים בעולם, ונמצא שם כל הזמן. עקרונית זה יכול.
ד"ר רחל ארידור הרשקוביץ
בסדר. אני חושבת שצריך להכניס מצב כלכלי.
קריאה
או למחוק מצב כלכלי, זו גם אפשרות.
ד"ר רחל ארידור הרשקוביץ
לא, אני לא מסכימה עם זה. עוד נדון על זה,
היו"ר שמחה רוטמן
תכף נדבר על מצב כלכלי.

גם על (10), את אומרת?
ד"ר רחל ארידור הרשקוביץ
כן.
היו"ר שמחה רוטמן
למה לא על (10)? כי זה הכול, בעצם?
עמית יוסוב עמיר
אנחנו מציעים לצמצם אותו.
היו"ר שמחה רוטמן
נקפל את זה אחרי שנדון על המצב הכלכלי, כי המצב הכלכלי הוא סעיף בעייתי בכל מקרה.
דן אור-חוף
באופן כללי אנחנו מסכימים להגדרה, אני רק מציין שיש חובת סודיות בחוק התקשורת (בזק ושידורים). חברות התקשורת – סלקום, פלאפון – כן מחויבות לסודיות. אם יש סעיף של מידע רגיש, כמידע שחלה עליו חובת סודיות על פי דין, אז יש חובת סודיות בסעיף 32 לחוק התקשורת. זה חל על כל חברות התקשורת.
עמית יוסוב עמיר
רק להבהיר: אנחנו לא מדברים רק על החברות עצמן.
היו"ר שמחה רוטמן
אגב, הוא יכול להתקבל מחברה זרה בכלל. נניח שאני מחזיק סלולרי של T-Mobile. החוק לא חל עליה, כי היא חברה שעובדת ברישיון זר. לא חל עליה, כנראה, ועדיין זה יהיה מידע רגיש. בסדר, לעשות טיפה אקסטרה זה פחות מטריד אותי.

הנושא הכלכלי זאת נקודה שנצטרך לדון בה כשנעסוק בהגדרה הכלכלית.

כן, בבקשה.
ענר רבינוביץ׳
בהגדרה של נתוני תעבורה יש רשימה של פרטים שרובם לא רגישים בכלל. אני לא מבין למה אנחנו מעניקים להם רגישות אינהרנטית שכזו כאן בהגדרות, בתיקון. למשל, סוג מסר: הבזק. או שלחתי sms – זה ישר רגיש.
היו"ר שמחה רוטמן
בסופו של דבר, כשיש לך נתון תעבורה על טרנזקציה מסוימת – נתון תעבורה מופיע, ששלחת sms או mms לפלוני אלמוני. עם מי אני מדבר ועם מי אני מתכתב – זה לכאורה די מידע רגיש. אתה יודע כמה אנשים היו משלמים הרבה מאוד כסף כדי לדעת לגבי כל אחד מהנוכחים פה עם מי הוא מדבר, עם מי הוא מתכתב תוך כדי שאנחנו מדברים פה, לדעת למי אתם שולחים וטסאפ?
ענר רבינוביץ׳
זה תלוי קונטקסט.
היו"ר שמחה רוטמן
נכון.
ענר רבינוביץ׳
אבל יש מספיק הודעות שהן לא רגישות, ויש מספיק נמענים או מוענים שהם לא רגישים, אנחנו לא יכולים שזה יהיה גורף לגבי כולם.
ראובן אידלמן
חד משמעית. גם לפי פסיקת בית המשפט העליון, מה שאדוני אמר, בפסיקה שעוסקת למשל ביומן השיחות של ראש הממשלה, זה בהחלט קו הדברים: עם מי אדם מדבר, איזה שיחות הוא מקבל, ואם זה לצרכים פרטיים או לצרכים לא פרטיים.
ענר רבינוביץ׳
בואו נחריג שזה יהיה למטרות עסק, כשהעסקים מתקשרים עם לקוחותיהם. נכון, אולי, אם זה מלמד על אחד מהפרטים האחרים, למשל מידע רפואי, זה צריך להיות רגיש. אבל אם אני חברה למכירת תוכנה עסקית, התקשורת שלי עם לקוחותיי היא אינהרנטית, היא לא רגישה.
היו"ר שמחה רוטמן
האם התקשורת שלך עם לקוחותיך, יומן השיחות שלך, נכנסת לגדר נתוני תעבורה? אני לא חושב.
עמית יוסוב עמיר
אולי חשוב להבהיר לפרוטוקול. הייתה לנו איזושהי התלבטות לגבי ההגדרה האם גם את נתוני תעבורה צריך להעביר - - - בנוסף להגדרה לפי חוק נתוני תקשורת. אנחנו החלטנו להציע להשאיר רק לפי חוק נתוני תקשורת, בדיוק כדי לא להגיע למקומות האלה. מה שמוגדר ספציפית בחוק נתוני תקשורת עצמו, שמתייחס לספקים, לפי חוק התקשורת (בזק ושידורים).
היו"ר שמחה רוטמן
זה לא תופס את יומן השיחות שלך מהטלפון.
ענר רבינוביץ׳
אבל כאן, בפרט (7), אתה לא מגביל את זה רק לחברות התקשורת. כלומר, אם אני חברה שהיא לא חברה תקשורת, אבל היא כן מעבדת נתוני תעבורה, זה יחול.
עמית יוסוב עמיר
לא. באמצעות ההגדרה בחוק נתוני תקשורת, לעניין מנוי, ומנוי מוגדר שם לעניין מה שמכונה בחברות הסלולר.
היו"ר שמחה רוטמן
זה לא תופס את התרשומת הפנימית שאתה מנהל בחברה לשיחות עם הלקוחות שלך. זה לא נכנס לשם. זה כן נכנס כאשר מקור המידע הוא חברה סלולרית. אני לא מכיר את הרישיונות שלהן. יכול להיות שלסלקום או לפלאפון או לאורנג' מותר לעשות שימוש כזה או אחר בנתוני תעבורה שלהן לצורכי בקרה ושיפור השירות כמו שהן אוהבות לומר. אבל זה בהחלט מידע רגיש, וגם את המידע הרגיש מותר לעבד למטרות מסוימות.

אבל אנחנו עוד לא נכנסים, קפצנו מהר לשאלת העיבוד. הנמענים העיקריים של הסעיף הזה אלה כמובן הרשתות שמחזיקות את המידע או מעבירות את המאגר או מנהלות עבורם את הרשימה. יהיו לזה שרשורים בכל מיני כאלו, אבל זה מידע רגיש.
ענר רבינוביץ׳
אם כך, אני חושב שזה לא מספיק ברור. אולי אפשר שהצמצום הזה כן שיהיה במפורש?
היו"ר שמחה רוטמן
אתה יכול להסביר לי מקרה שאתה חושש ממנו?
ענר רבינוביץ׳
החשש שלי הוא שההגדרה הזו של נתוני תעבורה, שאומרים שם לעניין מנוי או מתקן בזק, תורחב מעבר לתחולה הזו של חברות התקשורת, וזה יגיע גם לחברות שנעזרות בשירותים של חברות התקשורת.
היו"ר שמחה רוטמן
שוב, אם קיבלת את המידע שלך, את נתוני התקשורת שלי במקרה הזה, מחברת התקשורת – הרי מאיפה שהוא קיבלת אותם – לכאורה זה ישתרשר גם למעבדים הבאים.
ענר רבינוביץ׳
אבל הרגישות היא לא אותה רגישות. הרגישות שציינת מקודם היא באמת באופן הרחב, לגבי התנהלותך, לפעמים ברשות היחיד, כשאתה עושה שיחות או מעביר מסרים. נכון שחברת התקשורת מודעת להכול, אבל - - -
היו"ר שמחה רוטמן
או סתם, עם מי אני מדבר.
ענר רבינוביץ׳
כן.
היו"ר שמחה רוטמן
למי אני שולח sms.
ענר רבינוביץ׳
יומן השיחות, בסדר, כמאגר שכולל את כל השיחות. אבל שיחה אחת או שתיים, שכשלעצמן אין בהן רגישות, צריכות להיות מוחרגות כאן במפורש.
היו"ר שמחה רוטמן
שיחה אחת או שתיים לא תהיה מאגר בשום צורה שהיא.
ענר רבינוביץ׳
אנחנו לא מדברים פה על מאגר.
היו"ר שמחה רוטמן
נכון, אני יודע שאנחנו לא מדברים על מאגר.
נעמה מנחמי
שתי שיחות, לפי ההגדרה של הרשות, זה כן יהיה מאגר.
היו"ר שמחה רוטמן
יכול להיות, אני לא יודע. אני באמת מתקשה לחשוב. תחשוב על סיטואציה קצת יותר חדה, שאני אוכל להבין מאיזו הרחבה אתה חושש.
ליאור אתגר
אני חושב שההגדרה, מה שענר אומר, היא פשוט לא מספיק מדויקת, או יותר נכון, בדיון קצת הלכנו לאיבוד. בסוף, הכוונה בסעיף הזה היא להחיל את זה אך ורק על חברות הסלולר או על חברות שיש להן מתקני בזק.
היו"ר שמחה רוטמן
לא, את הרישה, לגבי נתוני מיקום ותעבורה.
ליאור אתגר
אבל יש בעיה עם הסיפה. אנחנו מייצגים הרבה חברות טכנולוגיה. יש המון שימושים, למשל בנתוני מיקום או בשיחות וטסאפ באמצעות web ולא באמצעות מתקן בזק.
היו"ר שמחה רוטמן
נכון.
ליאור אתגר
יוצא שאתה מחיל גם על אותם מקרים, מבלי שרצית. למשל, חברה שמעסיקה נהגים שבמשאיות יש רכיב GPS כדי לעקוב אחרי איפה הם נמצאים בכל רגע נתון. האם זה מידע רגיש או לא רגיש? לא בטוח שהוא רגיש. הוא לא צריך להיות רגיש.
היו"ר שמחה רוטמן
אבל נתוני ה- GPS האלו, ככל שיש בהם כדי ללמד על מידע לפי פרטים (1) עד (6) או (8) עד (9). זה נכון, שם עשינו את הצמצום.
ליאור אתגר
אז זה לא מידע רגיש.
היו"ר שמחה רוטמן
אם זה לא מלמד על (1) עד (6) או (8) עד (9) – היא ביקשה גם כלכלי, נדבר על זה כשנגיע – אז זה לא.
ליאור אתגר
בדיון קצת הלכנו קדימה.
היו"ר שמחה רוטמן
לא, לא הלכנו. אני אחדד ואבהיר. זה עניין של הבהרת ניסוח. נתוני תעבורה ומיקום, כהגדרתם בחוק התקשורת, זה הרישה של הסעיף הזה. אולי 1, 2, למקרה שלא יהיה ברור שהמיעוט הוא על שניהם, אלא אם כן נחליט שהמיעוט הוא על שניהם.

ולעומת זאת, נתוני מיקום, ככל שיש בהם ללמד. נתוני מיקום, גם אם הם לא כהגדרתם בחוק. אני הייתי אפילו בורח מהמילים נתוני מיקום: הנתונים אודות מיקומו של אדם – כדי לא להשתמש אפילו במינוח, שלא יבלבל. אנחנו יודעים למה הכוונה. זה עניין ניסוחי.

כן, בבקשה.
ד"ר רחל ארידור הרשקוביץ
אני חושבת שהבעיה שאני אצביע עליה נובעת מזה שיש בעיית הגדרות. חוק נתוני תקשורת מפנה להגדרות של חוק התקשורת, וחוק התקשורת לא מדבר על ספק מורשה, אלא הוא מדבר על כל מי שנותן שירות טלפוני, שירות גישה לאינטרנט, שירות העברת נתונים, בתמורה או שלא בתמורה, בתמורה בכסף או בשווה כסף.
היו"ר שמחה רוטמן
תחדדו את ההגדרה הזאת.
ד"ר עמרי רחום טוויג
הפתרון הוא להגיד שזה שירותי מיקום או תעבורה שנאספו על ידי ספק מורשה כהגדרתם בחוק נתוני תקשורת, ואז זה סוגר את הפינה, שזה מתייחס - - -
היו"ר שמחה רוטמן
אבל בשנייה שהם נאספו, הם גם יצאו מהספק המורשה. לא יודע.
ד"ר עמרי רחום טוויג
אבל לפחות שיהיו כאלה שנאספו על ידי ספק מורשה מכוח סמכויותיו לפי חוק התקשורת.
היו"ר שמחה רוטמן
צריך שתהיה פה הגדרה ברורה לגבי מה אנחנו רוצים לתפוס.
גלעד סממה
אדוני, אני מרגיש שאנחנו מיושרים.
היו"ר שמחה רוטמן
בסדר. בסופו של דבר גם וטסאפ, למרות שהם לא ספק תקשורת. אם חוק נתוני תקשורת חל, זה צריך להיות. אם לא, ימצא את זה בסעיף אחר. אבל גם עם מי אני הכתבתי בווטסאפ זה מידע רגיש.
ראובן אידלמן
הנוסח שאדוני הזכיר מקודם מקובל עלינו, מבחינתנו לא דורש הבהרה נוספת. אנחנו מפנים לחקיקה מאוד ברורה.
היו"ר שמחה רוטמן
בסדר גמור.

רצית משהו?
אייל שגיא
הערה כללית. אנחנו דנים בהגדרות של רגישות, מידע רגיש, כל הזמן רק באספקלריה של אבטחת מידע. אנחנו חושבים לסוף החוק.
היו"ר שמחה רוטמן
וצריך לחשוב על העיבוד.
אייל שגיא
בדיוק.
היו"ר שמחה רוטמן
נכון, זה מונח לנו בראש כל הזמן. איך להגיע מ-14 ל-15 עוד לא פיצחנו.
אייל שגיא
כי במידע ביומטרי, ההצעה הנוכחית אומרת: אם הם משמשים. זאת אומרת, לכאורה, אם היינו מדברים היום גם על העיבוד, אז על נתוני מיקום היינו אומרים: אם הם משמשים למציאת פרטים (1) עד (6) או (8) עד (9), זה רגיש. ואם הם לא, אז הם מידע.
היו"ר שמחה רוטמן
אתה צודק. יש לי הרגשה שבשנייה שנתחיל להתעסק, בין אם עכשיו בדרך כזו או אחרת ובין אם בתיקון 15 בדרך זו או אחרת, בסוגיות העיבוד, אנחנו נצטרך גם להתאים את ההגדרות.

אבל כרגע, אתה צודק שאנחנו מדברים על האבטחה, וזה באמת פחות משנה אם הם כרגע משמשים או שפשוט קל מאוד או כמעט בלתי-אפשרי לא להשתמש בהם למטרה הזאת.
נעמה מנחמי
למרות שיש פה עבודה כפולה.
היו"ר שמחה רוטמן
את הערות הפתיחה על הבעייתיות בעבודה הכפולה של 15-14 אנחנו מכירים, זה נכון.
נעמה מנחמי
הטמעה כפולה של המשק. כלומר, אם אנחנו יודעים שה- end gameשלנו הוא גם עיבוד, אז אפשר לחשוב עליו.
היו"ר שמחה רוטמן
נכון. אבל אני חושב שבמקרה הזה ההגדרה היא מספיק רחבה. כשנעשה את ההגדרות לגבי העיבוד, יכול להיות שהוראות העיבוד יהיו קצת שונות. כרגע אנחנו הולכים קצת יותר רחב, דווקא ספציפית עם הדוגמה של נתוני מיקום.

טוב, סיימנו?
נעמה מנחמי
רק עוד נקודה אחת. הרבה פעמים, כשאתה אוסף נתוני מיקום, אתה לא יודע אם יש בהם כדי ללמד על אותם פרטים. זה גם בעייתי. יש יתרון מסוים נוסף בהיבט הזה.
היו"ר שמחה רוטמן
להגיד שמשמשים ולא ניתנים לשימוש?
נעמה מנחמי
אפשר לחשוב על זה.
היו"ר שמחה רוטמן
אני חושב שכמעט – זה יהיה ההבדל בין מאגר רציף או כמעט רציף. כמו ההבדל בין מידע רפואי לבין הצהרת הבריאות: ילדי בריא היום ואין לו חום. תיאורטית, שניהם נכנסים תחת הגדרת מידע רפואי, אבל ברור שלא לזה הכוונה.
ההבדל יהיה בין נתון נקודתי
שמחה עכשיו נמצא בכנסת – שאין בו כדי ללמד שום דבר; או שהוא היה בכנסת בין 9 ל-11 – גם, כנ"ל, למרות שזה רציף.
נעמה מנחמי
אם הרצון הוא להתייחס לנתונים רציפים, יכול להיות שצריך להגיד אותם.
היו"ר שמחה רוטמן
זה לאו דווקא רציף. הינה, בדוגמה הזאת, אפילו רציף – ואין בו.
נעמה מנחמי
זה נכון. השאלה היא האם אנחנו צריכים להתייחס גם לרציף, בין היתר, כי יש איזה משהו של מעקב, איזו תחושה של בילוש ומעקב סביב איזשהו - - -
היו"ר שמחה רוטמן
שוב, אם אנחנו יותר רחבים כרגע, בוודאי שהרציף נכנס לשם. אנחנו יותר רחבים כרגע.
נעמה מנחמי
אני לא בטוחה.
היו"ר שמחה רוטמן
בוודאי שהרציף נכנס לשם, אם יש בו כדי ללמד על.
ראובן אידלמן
העובדה שאדם מגיע למרפאה מסוימת פעם אחר פעם, גם לא באופן רציף, זה בוודאי מידע שאנחנו - - - כמידע בעל רגישות מיוחדת.
נעמה מנחמי
לא אמרתי שצריך להוריד את זה. אני רק אומרת שיכול להיות שבנוסף צריך להוסיף את - - -
קריאה
אבל הרציף הוא רק אינדיקציה הסתברותית.
היו"ר שמחה רוטמן
כן, בדיוק. בדוגמה שהבאתי הראיתי שהרציף לא מלמד כלום. נתוני המיקום של חברי הכנסת פה בלוח הכניסה הם מעקב רציף, לאורך זמן, יש דאטה מדויקת.

האם יש בהם כדי ללמד על (1) עד (6)? כנראה שלא.
נעמה מנחמי
לא, אבל דווקא בגלל זה.
היו"ר שמחה רוטמן
איך דווקא? זה הפוך.
נעמה מנחמי
אני מעלה את השאלה: האם עצם העובדה שאני יודעת בכל רגע נתון איפה אדם היה, ואני שומרת את המידע הזה, ויש לי מאגרים של מידעים של איפה - - -
היו"ר שמחה רוטמן
אז כמעט – בהגדרה זה יהיה, זה ייכנס פה. בלי לכתוב את המילה רציף, זה נכנס.
ד"ר עמרי רחום טוויג
בתרחישים שבהם זה לא ייכנס, לא ייכנס.
היו"ר שמחה רוטמן
או להפך, אני אעודד את החברה שעושה מעקב אחר העובדים שלה לוודא שה-GPS נכבה בשנייה שבחור עושה את הצ'ק אאוט מהעבודה, ואז יש לי רק מידע שנהג המשאית או המשלוח עשה את העבודה שלו – שעל פניו זה לא מלמד, לא על (1) עד (6) ולא עד (9) עד (10) – ווידאתי שלא נאסף מידע כשהוא סיים את המשמרת. ואז אני אדע שהמאגר הזה לא נכנס למאגר מידע רגיש, ואני פחות חשוף לקנסות.

להפך, למרות שהוא רציף.
ראובן אידלמן
אני מזכיר שוב את סוגיית האיכונים בתקופת הקורונה, שזה היה הנושא. אפשר היה לדעת בכל רגע איפה אדם נמצא ובית המשפט העליון בהרכב מורחב קבע שזה מידע מאוד רגיש.
היו"ר שמחה רוטמן
ברור.
ראובן אידלמן
על זה אנחנו מדברים.
נעמה מנחמי
לשם כיוונתי.
היו"ר שמחה רוטמן
אבל זה ברור.
ראובן אידלמן
לא דובר שם על מה זה מלמד, רק על עצם העובדה שאפשר לדעת בכל רגע איפה אדם נמצא.
נעמה מנחמי
וזאת השאלה שלי. האם העובדה שאני יודעת בכל רגע נתון איפה אדם היה, זה לא רגיש?
היו"ר שמחה רוטמן
בהגדרה, אם את יודעת איפה הבן אדם נמצא בכל רגע נתון, אני מתקשה לדמיין סיטואציה שזה לא מלמד על (1) עד (6) או (8), (9), (10). אין פה שום דבר בחוץ.
נעמה מנחמי
כן, אבל גם אם לא.
היו"ר שמחה רוטמן
אם לא, תני מצב. באמת, תני מצב שבו יש לך מעקב רציף אחרי בן אדם כל הזמן, כל מקום לאן הוא הולך, ואין בזה לא ללמד – לא על צנעת חייו, לא על מצבו הרפואי. זה פשוט לא קורה. זו קבוצה ריקה.
נעמה מנחמי
יכול להיות שזו קבוצה ריקה. אני חשבתי שאפילו ברמה הצהרתית יש איזו אמירה, שאם אתה כל הזמן יודע איפה בן אדם נמצא, אולי אתה לא צריך לדעת את זה.
היו"ר שמחה רוטמן
אולי אתה לא צריך לדעת? אז אל תאסוף בכלל. יש סעיף 2 שאוסר להתחקות אחר אדם. אבל כל הסיטואציה פה היא שניתנה הסכמה, או סיטואציות אחרות ככל שיש.
אייל שגיא
אם אני לא צריך לדעת איפה מישהו נמצא כל הזמן, ולא יהיה לי בסיס עיבוד לעשות את זה, אז אני לא אעשה את זה.
היו"ר שמחה רוטמן
בואו נתקדם. אלה דיונים נורא מעניינים, אבל אנחנו צריכים להיות פרקטיים.
נעמה מנחמי
הגענו למזהה ביומטרי, וגם הצטרפה אלינו נעמה.
היו"ר שמחה רוטמן
כן, בבקשה. מי שרוצים קודם, לא משנה מה הסדר.
עמית יוסוב עמיר
אני אפתח. בהמשך לדיון הקודם, ההבחנה העקרונית שהוועדה החליטה עליה, בלי נוסח ספציפי, היא בין השאלה של החזקת האמצעי הביומטרי בלבד לבין השימוש לזיהוי ביומטרי, ולחלופין הנתון הביומטרי. אנחנו ביקשנו להציע נוסח. אני אקריא אותו, ואני אבקש שהממונה על היישומים הביומטריים תתייחס אליו, מאחר שיש שם איזשהו שיקול מקצועי, שאנחנו לא רוצים להשתמש בביטוי: נתון. הוא נכלל, אבל אנחנו לא רוצים להשתמש בו.

אנחנו מדברים על מזהה ביומטרי המשמש או המיועד לשמש לזיהוי אדם או לאימות זהותו באופן ממוחשב. מזהה כולל הן את הנתון והן את האמצעי. המבחן הוא שהוא משמש, או שהוא מיועד לשמש, לזיהוי או לאימות זהותו באופן ממוחשב, כשברור – נעמה מיד תתייחס לכך – שלא ייתכן זיהוי ממוחשב ללא הפקת הנתון. אבל הרגישות פה היא הזיהוי ולא הנתון.

נעמה, אם תוכלי להרחיב.
היו"ר שמחה רוטמן
לא הבנתי את ההגדרה. מזהה ביומטרי – אבל מה הגדרת מזהה?
נעמה מנחמי
מזהה ביומטרי – אישרנו בדיון הקודם. זה נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו.
היו"ר שמחה רוטמן
לא, זה בדיוק העניין.
נעמה בן צבי
לא, מזהה ביומטרי – זה גם וגם.
היו"ר שמחה רוטמן
מזהה ביומטרי, לפי ההגדרה: נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו, או אמצעי ביומטרי שניתן להפיק ממנו נתון כאמור. בעצם, המבחן לזה הוא למשל הווידאו הזה פה, שרואים אותי פה, על פניו זה אמצעי זיהוי ביומטרי.
ראובן אידלמן
נכון, ועכשיו יש דרישת שימוש מפורשת בהצעה.
היו"ר שמחה רוטמן
לא, כי הגדרת מזהה - - -
ראובן אידלמן
לא, בהגדרה אכן, ההגדרה היא אגנוסטית.
היו"ר שמחה רוטמן
ההגדרה היא שניתן להפיק ממנו, ולכן שידורי ערוץ הכנסת הם מזהה ביומטרי.
ראובן אידלמן
נכון.
היו"ר שמחה רוטמן
עכשיו אתם בממשלה מבקשים לשנות את זה או מבקשים להשאיר?
עמית יוסוב עמיר
לא, אנחנו לא מבקשים לשנות.
היו"ר שמחה רוטמן
פשוט הנוסח שאתם הצעתם הוא לא ברור לי. האם הוא משנה את ההגדרה?
עמית יוסוב עמיר
לא, חד משמעית לא.
גלעד סממה
לא.
נעמה מנחמי
הם מציעים לשנות את מה שכתוב בפרט (8). במקום מזהה ביומטרי שנכנס ישירות לתוך ההגדרה, והוא אחד לאחד ההגדרה, לכתוב: מזהה ביומטרי המשמש או המיועד לשמש לזיהוי.
היו"ר שמחה רוטמן
אבל מה זה מזהה ביומטרי?
נעמה בן צבי
מזהה ביומטרי הוא גם האמצעי, גם חומר הגלם וגם הנתון.
היו"ר שמחה רוטמן
אז הגדרה תהיה בסעיף הגדרות?
נעמה בן צבי
ההגדרה תהיה בסעיף הגדרות.
היו"ר שמחה רוטמן
כלומר, ההגדרה, כמו שהיא כתובה פה ומסומנת לי בנוסח בירוק, היא תהיה בסעיף הגדרות - -
נעמה בן צבי
נכון.
היו"ר שמחה רוטמן
- - ומה שיהיה מידע רגיש, יהיה מזהה ביומטרי שמשמש או מיועד לשמש לזיהוי אדם. עכשיו הבנתי מה הממשלה רוצה, שלב אחד עברנו.
נעמה בן צבי
את העמדה שלי בנושא הזה אני הבעתי, היא עמדה ברורה, מתוך רצון להגיע לאיזשהו עמק שווה. בכל זאת, היה חשוב לנו לשמור על ההגדרה, גם במסגרת המידע הרגיש, פשוט להדגיש שהרגישות נובעת מעצם תהליך הזיהוי.
היו"ר שמחה רוטמן
זאת ההגדרה שהממשלה מציעה?
נעמה בן צבי
נכון.
עמית יוסוב עמיר
זה לא נושא להחלטה עכשיו, אבל אנחנו נבקש, כשנגיע לפרק העיצומים, בהמשך לדיון המפורט שנערך בשבוע שעבר, לתת משקל לאותם מאגרים שמכילים כמות גדולה מאוד של אמצעים, גם אם לא נעשה בהם בפועל זיהוי ביומטרי, בשל הסיכון המצרפי שהם מהווים, כפי שנעמה התייחסה בדיון הקודם.
היו"ר שמחה רוטמן
כלומר, שערוץ הכנסת ייכנס לזה? שמאגר הווידאו של ערוץ הכנסת יהיה באירוע?
עמית יוסוב עמיר
ככל שאין איזושהי מחיקה איטית.

ולעניין עיצומים ספציפיים שנוגעים פרטנית - - -
היו"ר שמחה רוטמן
גם בחודש הם עוברים את ה-100,000.
עמית יוסוב עמיר
כן, אבל זה פורסם בפומבי, זה משהו אחר. אבל לשם הדוגמה, אולי מצלמות - -
היו"ר שמחה רוטמן
האבטחה?
עמית יוסוב עמיר
- - במעגל סגור של הכנסת.
היו"ר שמחה רוטמן
הבנתי.
נעמה בן צבי
אני חושבת שאנחנו נצטרך לעשות עבודה נוספת באזורים האלה.
היו"ר שמחה רוטמן
של העיצומים?
נעמה בן צבי
נכון. ברשותכם, אני יודעת שאתם רוצים להתקדם ואנחנו, ונדון בזה אחר כך, אז רק - - -
היו"ר שמחה רוטמן
לא, דנו בזה, זה המשך הדיון מהפעם הקודמת.
נעמה בן צבי
התחושה שלי שאולי לא הדגשנו מספיק את הסיכונים שאנחנו רואים בקיומם של מאגרים ביומטריים גדולים, כמו שאנחנו מגדירים אותם. הסיכון הראשון הוא כמובן דליפת מאגר כזה והגעתו לידיים לא ראויות. אם מחר המאגר הביומטרי הלאומי ידלוף, אם הוא יגיע לידיים עוינות – ובבקשה לא להוציא מפה כותרות, כי זה לא קרה – לא יהיה מעניין הנתונים, הטמפלטים ולא מה שעשו ברשות לניהול המאגר הביומטרי. מעניין יהיה מה האדם שקיבל את המאגר הזה יעשה, ובקלות.
היו"ר שמחה רוטמן
נעמה, צאי מתוך נקודת הנחה שאני זוכר את הדברים מהפעם הקודמת, כי הנקודות האלו הודגשו.
נעמה בן צבי
הנקודה השנייה שאני חושבת שאולי לא העלינו אותה, זו העובדה שהמידע הזה היום משמש ליצירת דיפ פייק. אפשר להשתמש בזה גם להתחזות בכל מיני - - -. ככל שהם יותר גדולים, ואם אתה אדם יותר פומבי, כמוך אדוני, אני קצת פחות פומבית ממך, כנראה שיהיה יותר קל לייצר - - -
היו"ר שמחה רוטמן
כן, נכון. בסדר, זה יוצר לי plausible deniability, אני לא נגד.
נעמה בן צבי
נכון. אז אנחנו צריכים למצוא את ה-middle grounds בעניין הזה. אנחנו נעשה עוד עבודה, אנחנו נציע בהמשך.
היו"ר שמחה רוטמן
בסדר גמור. המועצה, אתם הצעתם משהו קצת שונה?
דן אור-חוף
נכון. אנחנו הצענו, למרות שכיוון המחשבה שלנו הוא באופן כללי די דומה. בכל זאת, נקודת המוצא שלנו היא שצריך לקחת בחשבון שבתוך עמנו אנחנו חיים. יש המון מצלמות במעגל סגור וערוצים ומאגרים של תמונות שהם בידיים פרטיות. צריך להיזהר מלהכניס את הכול לגדר הגדרה שזה כבר ביומטרי וזה צריך להיות סופר רגיש בהגדרה. אנחנו מסתייגים במידה מסוימת מזה.

אנחנו חושבים שהכיוון הוא כיוון כזה שצריך באמת לסייג את האמצעים.
היו"ר שמחה רוטמן
מה ההבדל בין הגדרה שלכם לבין הגדרה ממשלתית? ההבדל היחיד שאני מזהה בנוסח זה נתון. נתון הוא כמעט תמיד בהגדרה משמש, ולכן אני לא מצליח להבין מתי יש נתון שהוא משמש ולא מיועד לשמש. מה הדלתה בין ההגדרה שלכם? ההגדרה שלהם יותר אלגנטית, יותר קצרה ויותר פשוטה. מה הדלתה?
דן אור-חוף
אנחנו חושבים שצריך לתקן את ההגדרה של מזהה ביומטרי, לא את מה שנכנס לגדר הגדרה של מידע רגיש.
נעמה מנחמי
שזאת גם ההצעה שלהם?
היו"ר שמחה רוטמן
לא.
דן אור-חוף
לא.
היו"ר שמחה רוטמן
הממשלה באה ואומרת: תשאירו את הגדרת מזהה ביומטרי כמו שהיא, תעבירו אותה לפרק ההגדרות, אבל לעניין מאגר מידע רגיש זה יהיה רק מזהה שמשמש או מיועד לשמש.
נעמה מנחמי
נכון.
היו"ר שמחה רוטמן
הם אומרים: לא, זה לא ייכנס אפילו להגדרת מזהה.
דן אור-חוף
אמת. נכון.
היו"ר שמחה רוטמן
ולא תהיה הגדרת מזהה, אלא יהיה סעיף (8): נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו, נתון ביומטרי כהגדרתו בחוק, או אמצעי זיהוי ביומטרי שנעשה בו שימוש או מיועד.
דן אור-חוף
נכון.
היו"ר שמחה רוטמן
ומה מפריע לך שתהיה הגדרה רחבה יותר למזהה ביומטרי, ורק למידע רגיש זה יהיה העניין?
עמית יוסוב עמיר
אני רק אזכיר לעורך הדין אור-חוף שמזהה ביומטרי היא גם הגדרת עזר להגדרת מידע, לא רק לפרט (8) להגדרת מידע בעל רגישות מיוחדת.
היו"ר שמחה רוטמן
כן.
דן אור-חוף
נכון, ובגלל זה אני חושב שצריך להגדיר מראש.
היו"ר שמחה רוטמן
כבר, שזה לא מידע אפילו?
דן אור-חוף
לא, זה בוודאי מידע. העובדה שיש צילום שלי בערוץ הכנסת - -
היו"ר שמחה רוטמן
זה מידע.
דן אור-חוף
- - זה מידע.
היו"ר שמחה רוטמן
אז אין מחלוקת.
דן אור-חוף
אבל אין לזה קשר למידע ביומטרי. העובדה שאנחנו מופיעים עכשיו בערוץ הכנסת, זה כשלעצמו לא אמצעי ביומטרי. זה מה שאנחנו רוצים לומר.
נעמה בן צבי
אבל התקנים המקצועיים חולקים עליך. גם החקיקה הישראלית עד כה - - -
דן אור-חוף
בסדר גמור, העמדה שלנו היא שונה.
היו"ר שמחה רוטמן
בסדר, אני מבין, קראתי. אנחנו מסכימים שזה מידע. האם זה נקרא ביומטרי או לא ביומטרי – זה פחות רלוונטי לפרטיות, כי כולנו מסכימים שזה צריך להיות מוגן כמידע פרטי.

זה שאנחנו מצולמים פה עכשיו – זה מידע פרטי? צריך להגן עליו? עזוב כרגע אם הוא ביומטרי. כן?
דן אור-חוף
בהחלט, בהחלט.
היו"ר שמחה רוטמן
אם יש הסכמה שזה צריך להיכנס למידע, ולהם נוח להכניס את זה גם לביומטרי, אבל ההשלכה לעניין מידע רגיש היא רק אם הוא משמש או מיועד לשימוש, ואז אין דלתה ביניכם, אז בוא נשמור את המחלוקת הזאת לתחומה של – לא רוצה לייצר פה הגדרה שישאבו אותה או ממנה אחר כך לחוקים אחרים והיא תסתבך איתה.

לכן אני מקבל את ההצעה הממשלתית בהקשר הזה. אני מבין מה אתה אומר, מבין למה קשה לך, אבל אני חושב שיותר נכון להתמקד בו לתחומי סעיף (8).
דן אור-חוף
אדוני, אנחנו פשוט חוששים שזה זה קצת עירוב של מין בשאינו מינו. וכן, זה יכול להוביל גם לפרשנות מוטעית בעתיד, בהסתמך על זה, מעצם העובדה שכל הצילומים, כל ההקלטות, כולם יהיו ביומטריים בהגדרה שלהם - - -
היו"ר שמחה רוטמן
שנייה. הגדרת מידע ביומטרי קיימת בעוד חוק או רק פה?
נעמה בן צבי
כפי שתיארתי גם בישיבה הקודמת, ההגדרה הקיימת היום תואמת לחוק המאגר הביומטרי, חוק התיעוד - - -
היו"ר שמחה רוטמן
יש חשיבות בזה.
נעמה בן צבי
- - - היא תואמת לכל החקיקה הישראלית, וגם תואמת לתקנים המקצועיים, כל התקן ISO.
דן אור-חוף
אדוני, חוק המאגר הביומטרי נוגע לנסיבות מאוד ספציפיות של מאגרים, בידיים ממשלתיות, עם קונטקסט מאוד ספציפי.
היו"ר שמחה רוטמן
בסדר, אני מבין. מאחר שאין לנו פה מחלוקת לגבי מהו מידע רגיש, ההגדרות שלנו הן זהות, אני מעדיף להיצמד להגדרות שקיימות בדברי חקיקה אחרים.
דן אור-חוף
אדוני, זאת לא הגדרה שנמצאת בדברי חקיקה אחרים. אולי בדברי חקיקה אחרים ישראלים - -
היו"ר שמחה רוטמן
כן, כן.
דן אור-חוף
- - אבל לא זרים, אדוני.
היו"ר שמחה רוטמן
יש לך את ההגדרה של ביומטרי מזרים?
דן אור-חוף
זאת לא הגדרה ב-GDPR, זאת לא הגדרה - - -
היו"ר שמחה רוטמן
לא קשור ל- GDPRעכשיו. ה-GDPR זה דווקא: means personal data resulting from specific technical processing relating to the physical – שזה בעצם הנתון.
דן אור-חוף
אמת אדוני, ה-GDPR לחלוטין הוציא את האמצעים מהתחולה.
היו"ר שמחה רוטמן
which allow or confirm the unique - - - such as facial images – זה גם נתון וגם מזהה. לא נכון. וגם אתם מציעים שזה יהיה גם נתון וגם מזהה. אני לא מבין את מהות הוויכוח.

גם אתם וגם הם מסכימים שזה יהיה גם נתון וגם מזהה. השאלה היא אם מזהה שלא נעשה בו שימוש או שהוא לא מיועד, האם הוא נחשב, וזה כבר לא קשור ל- ,GDPRזה קשור לדברים אחרים. זה לא קשור למילה personal.

בסדר, ההגדרה מקובלת. מזהה ביומטרי המשמש או מיועד לשמש – זה יהיה הרגיש.
נעמה מנחמי
אנחנו נחזור לפרט (5), שעליו דילגנו בפעם הקודמת.
היו"ר שמחה רוטמן
(5) – הערכות אישות.
נעמה מנחמי
הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכות אישיות.
היו"ר שמחה רוטמן
ולזה אין לנו מקבילה ב-GDPR?
ד"ר רחל ארידור הרשקוביץ
לא, אין לנו בדיוק מקבילה ב-GDPR. אבל רציתי לדבר בדיוק על ה-GDPR ומה זה אומר הערכת אישות. בחוק הקודם זה היה נתונים על אישיותו של אדם. לפני כמה שנים היה את הסיפור הגדול עם Facebook-Cambridge Analytica, שהם יצרו מאפיינים, בעיקר - - -
היו"ר שמחה רוטמן
גילו מה אני מצביע לפי איזה יוגורט אני אוכל.
ד"ר רחל ארידור הרשקוביץ
בעיקר הם עשו את זה על teenagers. האם teenager הוא insecure או feeling worthless, ואז התאימו לו פרסומות שצריכות להתאים לו. ב-GDPR יש לזה התייחסות, מה אפשר לעשות מבחינת העיבוד, כי ב-GDPR אין הגדרה של מידע רגיש. וזה נכלל. חלק מהעמדות הן שזה נכלל, נגיד, במצב נפשי.

אבל השאלה שלי פה היא איך זה נכלל. האם סוגי מידע אלה שנוגעים לאישיותו של אדם, נכנסים, לדעת משרד המשפטים, בהערכת אישיות מטעם גורם מקצועי, באמצעי שמיועד לבצע הערכת אישיות? אנחנו מדברים על מצבים שבהם AI מעבד את כל המידע, מוציא את המאפיינים האלה ועושה בהם שימוש. זה מה שיהיה גם בעתיד, לא יהיה פה איזה גורם אנושי או מקצועי שיעשה את הדברים האלה.
נעמה מנחמי
אבל אמצעי שמיועד לביצוע הערכות אישיות - - -
היו"ר שמחה רוטמן
- - - גם AI.
ד"ר רחל ארידור הרשקוביץ
השאלה אם אני מגדירה את ה- AI - - -
היו"ר שמחה רוטמן
אני שוב שואל: להבנתכם, למה אין את זה ב-GDPR?
אייל שגיא
עוד פעם אנחנו על התפר הזה - -
היו"ר שמחה רוטמן
של העיבוד, נכון.
אייל שגיא
- - של האם אנחנו מגנים על המידע הבסיסי לפני העיבוד, שלא ידלוף.
היו"ר שמחה רוטמן
כי זה כבר המידע המעובד.
אייל שגיא
וזאת כבר התוצאה. אם אנחנו רוצים להגביל את התוצאה, נחכה לתיקון 15.
היו"ר שמחה רוטמן
נכון, אבל לכאורה התוצאה היא או של מידע רגיש או של מידע לא רגיש. אני יודע למה הממשלה רוצה את זה, וגם את: בגלל (11), ובגלל מיקום, ובגלל כל ההפניות. אחרת זאת תוצאה של עיבוד, שהוא כשלעצמו לא מידע רגיש.

אני רק אחדד את מה שאמרתי. מה זה שהוא כשלעצמו לא מידע רגיש? ברור שאם כתוצאה מהאמצעי לביצוע הערכות אישיות, שהתבסס על מידע לא רגיש, גילו שאני סובל מפיצול אישיות, זה נכנס לנפשי.
נעמה מנחמי
אבל לא כל דבר מגיע לרף.
היו"ר שמחה רוטמן
ברור שאם גילו שכתוצאה מזה אני מצביע לציונות הדתית, אז או שיודעים מאיזו מפלגה אני או שזאת דעה פוליטית. ויכול להיות שיש מקרים שלא מכוסים, או שאני עובד טוב או עובד לא טוב.
ד"ר רחל ארידור הרשקוביץ
נטייה לכעס. כל הדברים שאנחנו יודעים שהרשתות החברתיות - - -
נעמה מנחמי
נטייה לווכחנות.
ראובן אידלמן
אנחנו מכוונים למשהו שהוא הרבה יותר נפוץ. למשל, יש מאגרים על לקויות למידה. למעשה, כמעט כל רשות מקומית מחזיקה מאגר כזה, כי המאגרים של בתי ספר הם באחריות הרשות המקומית. זה לב העניין.
ד"ר עמרי רחום טוויג
למה זה לא מידע רפואי?
היו"ר שמחה רוטמן
זה מידע – או רפואי או שיש עליו חובת סודיות.
ראובן אידלמן
אדוני, מידע על לקויות למידה זה לא בהכרח מידע רפואי.
היו"ר שמחה רוטמן
זה יכול להיות. לפעמים כן, לפעמים לא, תלוי מה קושי למידה.
עמית יוסוב עמיר
אולי נתפוס את השור בקרניו? אנחנו מדברים כרגע, בנוסח הזה, על אמצעי שמיועד לביצוע הערכות אישיות, או בהסבר פה של היועצת המשפטית של הוועדה על ניתוח אישיות. או אנשי מקצוע – שהם לא מטפלים, זה לא רפואי, אלא לצורך העניין אדם מבקש להתקבל לעבודה ונערך לו ניתוח אישיות מקיף.
ד"ר עמרי רחום טוויג
על ידי מי?
עמית יוסוב עמיר
מכוני מיון.
היו"ר שמחה רוטמן
אדם מילא, פילת.
ד"ר עמרי רחום טוויג
מי זה הגורם המקצוע? צריך להסביר.
היו"ר שמחה רוטמן
אבל זה כתוב.
ד"ר עמרי רחום טוויג
לא - - -
עמית יוסוב עמיר
זאת חלופה אחת. החלופה השנייה, אמצעים טכנולוגיים מתקדמים שיודעים לאסוף הרבה פרטי מידע, לכאורה לא רגיש. אנחנו לא מבקשים עכשיו שכל פרטי המידע שנכנסים לתוך המכונה יהפכו לרגישים.
היו"ר שמחה רוטמן
אני הבנתי.
עמית יוסוב עמיר
התוצר יורד לנבכי נפשו של אדם, זה לא רק בהיבט - - -
קריאה
או שלא.
היו"ר שמחה רוטמן
רק רגע.
קריאה
זה מאוד מרחיב. מאוד מאוד מרחיב.
היו"ר שמחה רוטמן
התוצר יורד לנבכי נפשו של אדם. וכמובן, ככל שהוא נכנס לנבכי נפשו ממש – אז זה בנפשי.
קריאה
לא רפואי נפשי.
היו"ר שמחה רוטמן
הבנו מה כן, מה אנחנו רוצים. הבנו שיש מקרה ביניים. הבנו שיש מקרים, לכאורה, שלא. האם הערכת אישיות מגלה שאני אוהב קפה, לצורכי פרסומת? שאני שותה קפה? אפילו היה את הכלי המתוחכם של Cambridge Analytica ו- Facebookוכל העולם ואחותו ניתחו באיזה דפים אני גולש באינטרנט ועל איזה פרסומות אני מתעכב, כל הדברים שניתחו, ובסופו של דבר הגיעו למסקנה, ה-AI, שאני אוהב לשתות קפה.

האם זה כשלעצמו הופך להיות, בגלל שזה בוצע על ידי אמצעי שמיועד לביצוע הערכות אישיות - - -
עמית יוסוב עמיר
אני לא חושב שבשפה הטבעית, אדם שאוהב לשתות קפה, זאת האישיות שלו.
היו"ר שמחה רוטמן
לא יודע, אבל יש הרבה אנשים שמגדירים את עצמם לפי זה.
ליאור אתגר
אבל אם פסלתי מועמד לעבודה בגלל שהוא כועס? מה זה גורם מקצועי? אני לא צריך להיות אדם מילא בשביל זה. מספיק לי שאני מגייס.
היו"ר שמחה רוטמן
נכון.
ליאור אתגר
אני מראיין מועמד, רשמתי בטופס הערכת עובד והכנסתי את זה לתוכנה שלי במערכת. זה הופך להיות מידע רגיש?
עמית יוסוב עמיר
לא, חד משמעית לא.
קריאות
- - -
נעמה מנחמי
לא, כי אתה לא גורם מקצוע.
היו"ר שמחה רוטמן
למה לא גורם מקצוע?
קריאה
מגייס זה תפקיד מקצועי.
היו"ר שמחה רוטמן
יש את הסרט הזה, על בן אדם שהתפקיד שלו זה לפטר את כולם. איך הוא נקרא?
קריאה
כן, עם ג'ורג' קלוני.
היו"ר שמחה רוטמן
הוא מסתובב ממקום למקום ומפטר אנשים. הוא גורם מקצוע או לא גורם מקצוע?
עמית יוסוב עמיר
הוא לא גורם מקצוע להערכה. הוא גורם מקצועי לפטר אנשים. הרעיון הוא בדיוק זה.
היו"ר שמחה רוטמן
הנקודה ברורה, בואו נחדד אותה. אם כתוצאה מהעיבוד מגיע מידע שנכנס תחת רובריקות אחרות, ברור שהוא שם. אין ספק, אין שאלה ולכן לא צריך את ההגדרה בשביל זה.

ברור שיש מקרים, כמו שאתה אומר, בשפה הטבעית, כנראה שאוהב קפה לא נחשב כהערכה אישיותית. מקבל את הפרשנות שלך, נכון לעכשיו. לא יודע, מחר בבוקר תחשוב שקפה זה כן. אני לא יודע, אבל מבין מה אתה אומר.

יכולים להיות מקרי ביניים. שוב, בהירות ו- GDPR– מבחינתי, צריכים סיבה כבדה למה לא ללכת עליהם. ברור לי שיש את המקרים שכולנו מסכימים. הניתוח של דפוסי הצבעה – יגיע לפוליטי, הניתוח של אישיות. אתם אומרים שלקויות למידה זו לקונה? אני לא חושב, כי לגבי לקויות למידה חלה על גורם מקצועי חובת סודיות לפי דין, תמיד, ולכן אני לא חושש מזה.

אני מנסה לחשוב איפה הדברים שהם מקרי הגבול.
עמית יוסוב עמיר
קיבלנו דוגמה מצוינת.
היו"ר שמחה רוטמן
אכן, קיבלנו דוגמה מצוינת. אני מראיין. אני גורם מקצוע?
עמית יוסוב עמיר
לא, רגע, זאת לא הכוונה.
היו"ר שמחה רוטמן
לאחרונה התפנתה משרה אצלי בצוות, ראיינתי x אנשים, רשמתי לעצמי נקודות. אני גורם מקצוע?
עמית יוסוב עמיר
לעניין הזה אתה לא גורם מקצוע.
היו"ר שמחה רוטמן
אז צריך לחדד את ההגדרות.
קריאה
אין הגדרה לגורם מקצוע.
ליאור אתגר
אפשר לדייק גורם מקצוע ולהפוך את זה למכון מיון.
נעמה מנחמי
ואם לא הגדרתי את עצמי כמכון מיון, אז אני מתחת לרדאר?
היו"ר שמחה רוטמן
בדיוק, לכן ההגדרה פה היא מאוד חשובה. יש מגייסים בחברות היי-טק גדולות שהם עברו הרבה יותר אנשים וניתחו את האישיות שלהם, מאשר כל פסיכולוג תעסוקתי.
קריאה
נכון.
היו"ר שמחה רוטמן
אני בוועדה לבחירת שופטים. אגב, אולי אני גורם מקצוע. אני ראיינתי 300 איש בשנה, מועמדים לשפיטה, וכמוני חברתי חברת הכנסת אפרת רייטן, ורשמנו עליהם בסופו של דבר הערכה. אני לא יודע, אני גורם מקצוע או לא גורם מקצוע? שם יש חובת סודיות בדין – צריך לדון למה, אבל זאת שאלה אחרת.

ההגדרה של גורם מקצוע בהקשר הזה חייבת להיות יותר חדה וברורה. אם אנחנו דואגים ספציפית מסוגיית הקבלה לעבודה, הייתי עושה את זה סביב קבלה לעבודה.
קריאה
אבל למה?
היו"ר שמחה רוטמן
כי אני חושב שרוב מוחלט של הדברים מכוסים. יש נקודות שמפריעות לנו, שלא מכוסות, בוא נדבר עליהן: לקויות למידה – לא השתכנעתי; קבלה לעבודה – יכול להיות; דברים אחרים – אתה אומר לא נכנס?
עמית יוסוב עמיר
אני שוב פעם מפנה לחלק השני. או שאתה רוצה להתרכז כרגע רק בחלק הראשון?
היו"ר שמחה רוטמן
אני חושב שבשלב מסוים הכול כבר יעשה על ידי AI.
עמית יוסוב עמיר
ה- AIהוא קודם כל בכל ההיבטים הצרכניים, החברתיים, לאו דווקא הפוליטיים. אם זה מגיע לקצה הפוליטי, ,Cambridge Analyticaבאמת אנחנו - - -
קריאות
- - -
היו"ר שמחה רוטמן
אז אם זה בפוליטי – זה בפוליטי, וברפואי – זה ברפואי.
עמית יוסוב עמיר
זה לא רפואי ולא פוליטי. אדם נוח לכעוס או אדם שנוטה להתפתות בקלות למבצעים - -
נעמה מנחמי
בדיוק, זאת דוגמה מעולה.
עמית יוסוב עמיר
- - ולכן נציע לו עכשיו מבצע והוא ישלם יותר כסף על כרטיס הטיסה שלו או על המלון או על כלי הרכב?
קריאות
מה זה קשור? זה לא מידע רגיש, כל חברה היום משתמשת בזה.
היו"ר שמחה רוטמן
מכון תכלית עוד לא דיברו היום, אז בבקשה.
ד"ר טל מימרן
רציתי להביע הסכמה עם רחל, ולהגיד שאני חושב שיש פה גם משהו עמוק יותר. כל ההפרדה בין קיומו של מידע גולמי לבין העיבוד שלו, היא הפרדה ששייכת לעולם שבו רק בני אדם עושים את העיבוד הזה. ברגע שאנחנו חיים בעולם של אוטומציה, שכמעט כל אתר הוא בעל יכולת להעריך את האישיות שלך, לא רק לצורכי שיווק, גם לצרכים אחרים, וברגע שבינה מלאכותית יכולה לזהות את המצב הנפשי שלך וכן הלאה, והאופקים עוד רחוקים ממה שניתן לדמיין, יש פה החלטה עקרונית שצריכים לקבל. כלומר, איך מוודאים שהחוק הזה באמת הופך לחוק מודרני ומותאם גם כן לצרכים הללו.

אז רציתי להביע הסכמה.
ד"ר עמרי רחום טוויג
אני מתקשה להבין את הדיון. קודם כל, גם ההגדרה המוצעת לא מגדירה, לא מהו גורם מקצוע ולא מהו אמצעי שמיועד, מיועד על ידי מי, מהי רמת הדיוק שלו, האם הוא מבוסס על משקולות פרופסיונליים. כל הרעיון סביב מיידעים רגישים על אנשים, שנקבעים על ידי גורמי מקצוע, שהם מוסדרים בדין כפרופסיות מפוקחות, כמו רפואה, כמו פסיכולוגיה, כמו טיפולים אחרים. שם יש חובות סודיות לפי דין, כמו שאדוני אמר, בצדק.

התפיסה החברתית שלנו למה המידע הזה רגיש, היא כי יש לנו ודאות חברתית גבוהה יחסית שמדובר בניתוח אובייקטיבי של מאפיינים אישיותיים עמוקים של אדם. דעה של אנשים, רמי מעלה ככל שיהיו בשרשרת ארגונית כזאת או אחרת, על בן אדם, אם הוא כעסן או אם הוא אוהב קפה או אם הוא ישתלב טוב בצוות או לא, עם כל הכבוד, זו דעה שלהם. זה לא נתון מבוסס אובייקטיבית.

אני חייב להגיד עוד משהו. גם הערכות AI, עם כל ההתקדמות שלהן, וגם מודלים שונים של ביג דאטה, לא כולם צודקים תמיד, יש גם טעויות.
היו"ר שמחה רוטמן
בסדר, גם במדע גנטי יש טעויות. אבל עדיין, אם מישהו יפיץ את המידע הגנטי המוטעה שלי, הבנק בבעיה.
ד"ר עמרי רחום טוויג
לא, לא נכון. קודם כל, ממש לא בטוח. זאת לא שאלה של פרטיות. זאת לא שאלה של פרטיות.
היו"ר שמחה רוטמן
עכשיו הרחקת לכת. גם בנתונים רפואיים יש אחוז מסוים של אבחנות, דיאגנוזה של מחלות של סרטן, שהן לא נכונות. עדיין, מאגר של חולי הסרטן של בית החולים תל השומר הוא מידע סופר רגיש, גם אם יש טעויות.
ד"ר עמרי רחום טוויג
אדוני, זו לא הכוונה. הכוונה היא שאם אני משיג בטעות.
היו"ר שמחה רוטמן
אבל גם זה שאתה פרופסיה או AI, לא הופך אותך למשיג פחות בטעות.
ד"ר עמרי רחום טוויג
לא.
נעמה מנחמי
זה לא משנה. אותו אדם עדיין יסווג כמישהו שקל מאוד לעבוד עליו, ואז כולם יתקיפו אותו כל היום בפרסומות וינסו לעבוד עליו.
ד"ר עמרי רחום טוויג
זה לא קשור לפרטיות, זאת שאלה אחרת. הסוגיה שמדברים עליה כאן, בהסבר בסעיף הזה, למשל טירגוט לצורכי שיווק או לצרכים אחרים, היא כבר סוגיה של שימושים במידע, של מטרות עיבוד, לא סוגיה של רגישות המידע הגולמי.
היו"ר שמחה רוטמן
טוב, מובן.
ד"ר רחל ארידור הרשקוביץ
אני רוצה להצביע על המצב שממנו אני מוטרדת. יכול להיות שזה מכוסה, אני לא רואה איך זה מכוסה. אנחנו יודעים שהיום עושים שימושים לשם השפעה על תודעה, בניתוחים שה-AI עושה מבחינת מאפייני אישיות קריטיים כמו חוסר ביטחון או נטייה לכעס או נטייה לדיכאון. זה לאו דווקא מצב בריאותי. אף רופא ואף גורם מקצועי לא מחליט שהנער הזה או הנערה הזו יינטו לדיכאון או לאנורקסיה. ועדיין, ידוע שרשתות חברתיות עושות בזה שימוש למטרות שיווק, והעתיד הוא הנדסת תודעה בשימוש בנתונים האלה.

בחוק הנוכחי יש נתוני אישיות, מבחינתי זה יותר ברור מאשר הערכת גורם מקצועי או אמצעי. זאת העמדה שלי למה זה חשוב ולמה צריך להחזיר את זה לנתוני אישיות.
היו"ר שמחה רוטמן
את מציעה שיהיה כתוב במקום הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכות אישיות, נתונים אודות אישיותו של אדם?
ד"ר רחל ארידור הרשקוביץ
נכון.
היו"ר שמחה רוטמן
אבל זה מאוד רחב.
ד"ר רחל ארידור הרשקוביץ
אני חושבת שזה חשוב.
ליאור אתגר
אני חולק על חברתי פה. אני חושב שההגדרה הקודמת היא בוודאי רחבה מדי וצריכה להיות תלוית קונטקסט. ההגדרה הזאת לא רלוונטית, היא לא נדרשת, היא רחבה מדי. הערך המוגן, האינטרס המוגן שרוצים להגן עליו, אותם מאגרי מידע שעליהם מדברים, הם לא בהכרח מידע רגיש. כמו שגם אמרו פה אחרים, צריך לתפוס את זה ברמת השימושים, בכמות או בגודל המאגר.

היום כל חברה מסחרית מתייגת אנשים ברמה כזאת או אחרת. היום זה באמצעות גורמים מקצועיים, גם גורמי AI כבר היום עושים את זה. אנחנו מייצגים חברות שזה מה שהן עושות, ועושות את זה בממדים גדולים מאוד, גם בארץ וגם בעולם. זה לא אומר שזה מידע רגיש.

תגביל את השימוש, תגן על המאגר, תגביל את החברות האלה מלמכור את הדאטה הזה לגורמים מסוימים או במסות מסוימות. אבל זה לא הופך את זה למידע רגיש, מה גם שההגדרה הספציפית הזאת מטופלת היום ברמת ההנחיה של הרשות להגנת הפרטיות שמדברת על מכוני מיון.
עמית יוסוב עמיר
מכוח החוק הקיים - - -
ליאור אתגר
נכון, אבל אותה הנחיה לא צריכה להיות בחוק, וזה לא צריך להיות ברמת מידע רגיש. זה יכול להיות מטופל ברמת ההנחיה.
עמית יוסוב עמיר
אם נשנה את החוק, גם ההנחיה תשתנה.
קריאות
- - -
ד"ר עמרי רחום טוויג
אבל מידע – זאת הגדרה נורא רחבה. אתם נותנים הנחיות רק על מידע בעל רגישות מיוחדת? אתם נותנים הנחיות על כל דבר.
ליאור אתגר
בדיוק.
ענר רבינוביץ׳
אני מזכיר, אישיותו של אדם – זה נכלל בהגדרה של מידע בחוק הקיים, כי זו הייתה רשימה סגורה ומצומצמת, מלבדה שום דבר לא נכנס להגדרת מידע, למעט אולי דברים דרך החקיקה.

אנחנו צריכים לזכור לגבי כל פרטי הפרטים כאן שזכאים לרגישות מיוחדת, שהרגישות צריכה להיות אינהרנטית, בלי קשר לשימוש. זו הגישה של ה-GDPR, זו הגישה ברחבי העולם, אנחנו צריכים לדבוק בה. אני מרגיש שכל פעם אנחנו רצים קדימה, מניחים את השימושים הנוראיים ביותר, אבל בגלל שאנחנו לא מתעסקים בתיקון 15 אנחנו חוזרים אחורה ומנסים להגן על זה דרך ההגדרות פה.

זאת לא הדרך הנכונה. ההגדרות צריכות לעסוק רק במידע שהוא רגיש אינהרנטית, שבכל שימוש בו יש רגישות. ואם אנחנו מדברים על הערכת אישיות, כמו בדוגמה עם הקפה, ברור שיש לנו שימושים שהם לא רגישים.
היו"ר שמחה רוטמן
זה צריך להיות במידע ולא במידע בעל רגישות מיוחדת?
ענר רבינוביץ׳
בדיוק. ואז כל דבר, לרבות פרטים על אישיותו של אדם, זה מידע. אם הוא ישמש למטרות שהמחוקק לא מעוניין בהן, רוצה לצמצם או להגביל אותן, נטפל בזה בחלק של העיבוד. לא בהגדרות.
עמית יוסוב עמיר
אני מסכים עם שני הצדדים, ולכן הגענו להגדרה שאותה הגדרנו. מצד אחד, האמירה נכונה. יש להבחין, כמובן, בין העיבודים לבין הרגישות האינהרנטית של המידע. מצד שני, כמו שנציגת המכון הישראלי לדמוקרטיה מצביעה, בצדק, היום מידע על אישיותו של אדם מוגדר כמידע רגיש ולא בכדי. ברור למה האישיות של אדם היא חלק מהליבה של ההגנה על האוטונומיה שלו, על הדבר האישי שבו. אבל זאת הגדרה רחבה שעלולה לתפוס הרבה מאוד פרטי מידע עמומים.

לכן ביקשנו, כהגדרת עזר, לצמצם את פרטי המידע האישי שאנחנו מחילים עליהם את ההגדרה מידע בעל רגישות מיוחדת, לאותם דברים שהם באמת מקצועיים, שבאמת התכלית שלהם היא הערכת אישיות ולא כל מיני דעות והשערות ודברים כאלה.

לא סתם אנחנו שומעים פה כל-כך הרבה התייחסויות. הסיפור הזה של הערכות אישיות אוטומטיות, הוא הדבר, זה ההווה ובוודאי העתיד. אנחנו גם לא רוצים לחוקק חוק שבעוד יומיים כבר יהיה מיושן. אין ספק שהיום, גם אם יש בו טעויות, הרבה מאוד כסף הולך אחרי המידע הזה, גם אם הוא לא לחלוטין אמין, והמון תקציבי פרסום מושקעים, ועל אחת כמה וכמה מה שיהיה בעוד כמה שנים כשהכלים האלה יהיו עוד יותר מדויקים.

ולכן, כדי שהחוק הזה גם יישאר עדכני, אני חושב שהמבחן של הגורם המקצועי או של הכלים האוטומטיים שמיועדים במיוחד להערכת האישיות, הוא יודע - - -
היו"ר שמחה רוטמן
אני משאיר את זה בינתיים בהגדרה הממשלתית, נתקדם לדברים ככל שנגיע בשלבים מתקדמים יותר. תחשבו לפעם הבאה לחדד יותר מה אתם רוצים פה, אולי שזאת תהיה הגדרת גורם מקצועי עם הגדרה שיורית, כדי שלא תהיה לנו סיטואציה של ויכוח על השאלה מהו גורם מקצועי ולקיחת סיכוני יתר.

מי רוצה להגיד על עצמו שהוא לא מקצועי בגיוס עובדים? זה בוודאי לא דבר נכון. אז צריך לוודא. בעל מקצוע או בעל מקצוע מוסדר המתמחה בקבלת והשמת עובדים, אם מטריד אתכם. אבל לנסות לתת, אולי אפילו אם זה קצת יותר קאזואיסטי.
נעמה מנחמי
אגב, אני מזכירה שזה עיבודים דיגיטליים. אם לקחתי ערמת קורות חיים ועל כל אחד מהם כתבתי משהו וזרקתי - -
היו"ר שמחה רוטמן
לא, קורות חיים לא ישנה.
נעמה מנחמי
- - אין לזה שום משמעות.
קריאה
לא, הכול נשמר היום ממוחשב. זה לא עובד ככה.
היו"ר שמחה רוטמן
אבל זה יהיה מאגר העובדים של גוגל, שיכול להיות שהוא בכל מקרה ייכנס למאגר מידע רגיש, מהרבה סיבות אחרות. אבל אם לא, אז השאלה אם התוספת של דירוג עמיתים, הסוציומטרי שהם עושים, ככל שהם עושים, האם הוא נחשב או לא נחשב. לא יודע.
ד"ר עמרי רחום טוויג
אני רק אחדד שהסיטואציה, לפחות בסייפה של ההסבר, לצורך בפרט הזה כאן, שמתייחס לניתוחי אישיות, לצורכי שיווק - - -
היו"ר שמחה רוטמן
לצורכי שיווק – באמת לא ברור לי.
ד"ר עמרי רחום טוויג
אני רק אחדד. זה מכוון לעולם - - -
היו"ר שמחה רוטמן
אנחנו לא כותבים לצורכי שיווק. זה שזה במסמך הכנה – זה לא דברי הסבר.
ד"ר עמרי רחום טוויג
אבל זה מעורר את השאלה מה זה באמצעי שמיועד לביצוע. כל הסוגיה של פרופיילינג, שזה בעצם הסיפור שעומד מאחורי האמירה כאן, ב- GDPRלמשל הוא לא מטופל בכלל במידע בעל רגישות מיוחדת. הוא מטופל בקטגוריות אחרות שעוסקות בהגבלות סוגי שימוש מסוימים.
היו"ר שמחה רוטמן
בסדר, אנחנו נחזור לאותה נקודה בכל פרט. זה נכון.
ד"ר עמרי רחום טוויג
נכון, אבל אין שום סיבה לא לעקוב אחרי אותו מודל.
קריאה
אם רוצים, אפשר לדייק את זה ל-automated decision-making, זאת אומרת הערכה אוטומטית. אבל זה לא המקרה.
ד"ר עמרי רחום טוויג
אבל זה לא מידע רגיש.
קריאות
נכון, זה לא המקרה. זה לא מידע רגיש.
היו"ר שמחה רוטמן
אנחנו כרגע נישאר עם זה. אני מבקש שתנסו לחדד את הגדרת גורם מקצועי.
עמית יוסוב עמיר
בסדר גמור.
יעקב עוז
אנחנו נמצאים רגע בעולם הישן. בלהב חברים גם ארגון הגרפולוגים וגם ארגון בודקי הפוליגרף, כל מה שהם נדרשים בליבה שלהם זה גם עיסוק באבחונים על אישיות של אדם. אני לא מדבר על פוליגרף בגופי ביטחון ואחרים. עוד לפני שחברי הכנסת יצביעו, שנדבר על הדבר הזה.

אנחנו ביקשנו חוות דעת לעניין שני הארגונים הללו, גם פוליגרף וגם גרפולוגיה משפטית, שנמצאים בתוך התהליך הזה.
היו"ר שמחה רוטמן
אבל שם אתם עושים עיבוד ממוחשב לאנשים? זה חוות דעת לתיק של אדם.
יעקב עוז
כבודו, צריך להניח שחלק מהאנשים בתוך הארגונים הללו כבר עוסקים ב-AI ובדברים נוספים. העיבוד הוא גם דו-קוטבי, הוא מגיע פעם אחת לארגונים עצמם ופעם שנייה רק למזמין העיבוד.
היו"ר שמחה רוטמן
הינה, זה רק מחדד את השאלה מה זה בעל מקצוע.
עמית יוסוב עמיר
המטרה של האמירה שנאמרה פה היא לרמוז שבודק פוליגרף הוא לא מייצר מידע בעל רגישות מיוחדת?
היו"ר שמחה רוטמן
לא, לא, זה בדיוק מה שאני אומר לגבי הגדרת גורם מקצועי. האם גרפולוגיה זה מקצוע? הוא כן מקצוע מוסדר? הוא לא מקצוע מוסדר? אני לא יודע.
יעקב עוז
אני רק אשיב, שקשה לי בכנסת לדבר ברמזים. לא מדברים פה ברמזים. אני אגיד באופן ישיר: בוודאי שבודקי פוליגרף וגם גרפולוגים הם מקצוע שהוא מוסדר ושיש להם רגישות מיוחדת. זה ארגון שהוא מאוגד באיגוד מקצועי.

אנחנו מדברים על העניין של העיבוד. אני לא רוצה להיכנס לנבכי ההגדרה של מהו מקצוע מוסדר. אני רק אגיד שרגישות מיוחדת זורקת אותנו חזרה לשאלת העיבוד. אנחנו נמצאים באזור חיוג של עיבוד, ועיבוד הוא דו-קוטבי.

אנחנו רוצים לדעת בדיוק מה רגיש ברגישות המיוחדת בתוך העיבוד, שבסוף התוצאה שלו היא נתונים אודות אישיותו של אדם.
היו"ר שמחה רוטמן
בסדר, אבל שוב, אני מנסה לחשוב מתי זה – בניגוד לסעיף 2 – ייפול לתוך מאגר. יכול להיות שבעתיד עוד יפתחו כלים כאלו. אני לא מכיר.
עמית יוסוב עמיר
אנחנו נציע הגדרה, נחדד את המקצועיות של אותו בעל מקצוע.
היו"ר שמחה רוטמן
תציעו הגדרה, בסדר גמור. זה יכול להיות הרבה מאוד. זה יכול להיות לפי מטרה, לפי רשימה. זה יכול להיות לפי מקצוע מוסדר או לפי מקצוע לא מוסדר. זה יכול לעורר הרבה מאוד שאלות עקרוניות, לכן צריך להיות זהיר עם הסיפור הזה.

(9) – מידע על מוצאו של אדם או השתייכותו הלאומית. ב-GDPR זה racial or ethnic origin.
עמית יוסוב עמיר
אנו לא חושבים שהמשמעות הנורמטיבית מאוד רחוקה. חשבנו שלדבר בשנת 2023 על גזע בספר החוקים הישראלי – זה קשה.
היו"ר שמחה רוטמן
אגב, בספר החוקים של מדינת ישראל יש הגדרות שמופיעות. יש רשימה ארוכה של דברים על אפליה, לדעתי יש שם דת, גזע ומין. גם במגילת העצמאות מופיע על דת, גזע ומין.
עמית יוסוב עמיר
לכן אמרתי: ב-2023.
היו"ר שמחה רוטמן
אבל למה שאלת האפליה היא רלוונטית לשאלת הרגישות? מה ההתכתבות בין שתיהן?
עמית יוסוב עמיר
פה אנחנו חזרנו לקרקע יותר מוצקה, שאנחנו גם יכולים להפנות פה ל- .GDPR
היו"ר שמחה רוטמן
אני יכול להגיד שאני חווה אפליה על בסיס שיער או היעדרו.
עמית יוסוב עמיר
בסדר, אנחנו לא עוסקים פה - - -
היו"ר שמחה רוטמן
העובדה שיש אפליה על בסיס משהו עוד לא הופכת משהו למידע רגיש בהגדרה.
עמית יוסוב עמיר
נכון, אבל הוא אמצעי עזר להבין שמדובר במידע רגיש. זה נכון שלא כל אפליה אוטומטית הופכת למידע לרגיש. אבל אם אוספים מידע על מה שנקרא קטגוריות חשודות, שאחר כך לפיהן יש תופעה רווחת של אפליה או יש חשש כזה או יש היסטוריה כזאת, אז במקומות שונים, גם לפי ,GDPR חושבים שעצם החזקת המידע הזה – יש בה רגישות מיוחדת.

אני לא אומר שאסור להחזיק את המידע - - -
היו"ר שמחה רוטמן
הייתי נצמד ל-: GDPR מידע על מוצאו הגזעי או האתני של אדם.
ראובן אידלמן
במהות נצמדנו, פשוט חשבנו שמונחים אלה, לתרגם אותם, הם פחות מתאימים. זה יותר עניין של נוסח. הם פשוט פחות הולמים את זה, אז השתמשנו במונחים אחרים. אבל במהות אנחנו מכוונים לשם.
ד"ר עמרי רחום טוויג
הבעיה היא שהשתייכות לאומית זה יכול להיות גם זה שאני אזרח גרמניה, לצורך העניין. זה יכול להעיד על השתייכות לאומית, אבל אין לזה שום רגישות מיוחדת.
ראובן אידלמן
הכוונה לא לזה.
היו"ר שמחה רוטמן
הכוונה לא לזה. הכוונה זה יהודי או ערבי.
ד"ר עמרי רחום טוויג
ברור שהכוונה לא לזה.
ראובן אידלמן
אני רק אגיד את זה לפרוטוקול: זאת לא הכוונה.
עמית יוסוב עמיר
אנחנו נצטרך אחר כך לכתוב חוות דעת שאומרות מה גזעו של אדם. אנחנו לא רוצים. יש הבדל בין הכרזת העצמאות ב-48' להקשרים היום, כשאנחנו מדברים על גזע של אדם.

בשפה של היום, להוציא עכשיו חוות דעת רשמיות, להגיד שזה מלמד על הגזע שלו? מה זאת אומרת גזע בכלל? אנחנו לא כל-כך חושבים שיש היום הבחנות כאלה לגבי בני אדם.
היו"ר שמחה רוטמן
אני מסכים, אבל - - -
ראובן אידלמן
גם המונח מוצא אתני הוא פחות המונח של שיטת המשפט הישראלית.
היו"ר שמחה רוטמן
זה נכון.
דלית בן-ישראל
אנחנו עוד פעם יוצרים פה סתירות בין דברי חקיקה שונים. בדבר החקיקה שהוא יחסית חדש, שזה התקנות של המידע שמגיעות מהאיחוד האירופאי, השתמשנו במונח מוצאו של אדם. כמו שגלעד קורא לתקנות האלה, הן תקנות גישור, המטרה היא שהן ייבלעו בתיקונים 14 ו-15.

אני חושבת שצריך להישאר עם המוצא ולא להוסיף את התוספת, כדי לייתר את זה.
היו"ר שמחה רוטמן
אם אתם לא רוצים גזעי ואתני, אני לא הייתי מתאבד על זה. אבל מוצא – כן, השתייכות לאומית – לא.
ראובן אידלמן
עלינו זה מקובל.
היו"ר שמחה רוטמן
אגב, אני אפילו לא יודע, פולני אל מול רומני, אל מול יקה – זה נחשב? אני לא יודע.
קריאה
בטח.
היו"ר שמחה רוטמן
כן? לא, זה אותו גזע ואותו אתני. אני לא חושב שאפשר להגיד שפולנים ורומנים בישראל, יהודים יוצאי פולניה, הם ב- ethnicityשונה. זה ארץ מוצא של ההורים.
ענר רבינוביץ׳
בדיחות שונות.
היו"ר שמחה רוטמן
בדיחות שונות, כן, נכון. אבל השאלה אם זה רגיש. יש אנשים שמאוד רגישים לבדיחות על בסיס מוצא, יש כאלו שפחות, זה אולי תלוי במוצא שלהם. יש כאלו גם שלא מבינים אותם. טוב, את זה אני לא אגיד, יש פה אולי אנשים עם האתניות הזאת. אבל זה לא נורא, הם לא יבינו.
קריאה
זהירות.
היו"ר שמחה רוטמן
טוב, בסדר, אוקיי. על פניו, אני לא הייתי אומר שפולני, רומני ורוסי, במובן הזה – זה אתניות. אני לא יודע מה אתם, בחוות הדעת שלכם. אני חושב שהמידע על מוצאו של אדם יכול להיות בהגדרה של גזע. אבל לא על העובדה שאני יליד ישראל.
עמית יוסוב עמיר
קודם כל, אנחנו מקבלים את ההגדרה. אני רק אומר, העובדה שמישהו בחר לנהל מאגר מידע שאומר עליי, עם המוצא שלי, שהוא מוצא מורכב, אבל לא משנה, אם מוצא או מדינה או לאום או תרבות כזו או אחרת - - -
היו"ר שמחה רוטמן
טוב, בסדר, אוקיי, שומע.
נעמה מנחמי
(10) – מידע על נכסיו של אדם, חובותיו או התחייבויותיו הכלכליות, מידת עמידתו ויכולתו לעמוד בהן, ושיש בהם ללמד על מצבו הכלכלי או שינוי מהותי בו.
עמית יוסוב עמיר
יש פה איזשהו צמצום שאנחנו מציעים ביחס להצעת החוק הממשלתית. היום מצבו הכלכלי של אדם מוגדר כמידע רגיש. המטרה היא לצמצם את ההגדרה כך שהמאפיינים שמצביעים על המצב הכלכלי עצמו, על שינוי מהותי בו, הם אלה שיהיו מידע רגיש ולא כל פרט מידע עם ניחוח כלכלי באשר הוא. זאת אומרת, אנחנו בהחלט מכירים בצורך לצמצם, מודעים לעובדה שב- GDPRאין את זה.

מצד שני, קודם כל יש בדברי חקיקה אחרים כל מיני הפניות למידע פיננסי, שזה בעצם אותו דבר. אין לנו מד רגישויות אולטימטיבי, זה לא בדיוק עניין שהוא רק משפטי, זה עניין חברתי, למרות ששורה ארוכה של דברי חקיקה ישראלים עדכניים מהשנים האחרונות קבעו הסדרים מאוד מחמירים לגבי סוגים מסוימים של מידע כלכלי, מתוך תפיסה שכן מדובר במידע רגיש במיוחד.

צריך גם להגיד, שבסוף, אם נשאל אדם במסדרון פה מחוץ לחדר הוועדה האם תלוש המשכורת שלו זה רגיש או לא רגיש, הוא יגיד שבוודאי רגיש. זאת אומרת, הליבה של המצב הכלכלי של אדם שאליה אנחנו מכוונים, אני חושב שבחברה הישראלית – בלי לחוות עכשיו דעה על חברות אחרות – בהחלט מדובר במידע רגיש.
ראובן אידלמן
אני יכול להגיד שגם מסקרים עתיים שהרשות להגנת הפרטיות עושה – ופרסמנו את זה לציבור – החשש הכי גדול של הציבור הוא לגבי המידע הפיננסי שלו. זה מאוד בולט בנתונים.
נעמה מנחמי
השאלה איך אתה מגדיר מידע פיננסי. מידע פיננסי יכול להיות המידע שבאמצעותו מישהו יכול גם להתחזות ולנסות לגנוב את הרכוש, או שהכוונה היא באיזה מעמד – מעמד ביניים מול מעמדות אחרים. אני לא יודעת איך הגדרתם מה זה מידע פיננסי.

לגבי החוקים האחרים, החוקים שהוזכרו, אני חושבת שהם בהקשרים מאוד מסוימים. כלומר, ברור שעיבודים שעושים הבנקים על מצבו הכלכלי של אדם כדי לדעת אם לתת לו הלוואה או לא, זה מידע רגיש. זה גם בהקשר הבנקאי, זה לא כל עיבוד.

השאלה אם יש חוקים שאתם רואים שנותנים. דיברתם על חוקים שבשנים האחרונות הדגישו את ערך הפרטיות של מידע פיננסי. יש משהו שהוא לא בהיבט המקצועי כמו הבנקים?
לירון מאוטנר-לוגסי
אני אתייחס. קודם כל, לשאלה הראשונה שלך. אנחנו כן מתמקדים – לפחות לפי איך שההגדרה כרגע כתובה – לנכסים, התחייבויות וכולי שמעידים על המצב הכלכלי. זאת אומרת, פחות לאמצעים המזהים, למשל האופן שבו אתה נכנס לחשבון.
נעמה מנחמי
לא, אני שאלתי לגבי איך הוגדרו הסקרים, כדי להבין.
ראובן אידלמן
מידע פיננסי, כי זה סקר.
נעמה מנחמי
אני לא יודעת מה זה מידע פיננסי.
לירון מאוטנר-לוגסי
אני חושבת שבאופן טבעי, כשאומרים לאדם מידע פיננסי, הוא לא חושב על הסיסמא שלו של כניסה לחשבון, אלא הוא חושב על הפירוט עו"ש שלו בחשבון.
נעמה מנחמי
אני לא יודעת מה בן אדם חושב.
לירון מאוטנר-לוגסי
בעיניי זה אינטואיטיבי.
היו"ר שמחה רוטמן
גם על פירוט העו"ש בחשבון יש סודיות.

נכון שזה עניין תרבותי מאוד. אני חושב שבשאלת תלוש משכורת של אדם, נושא משכורות ושכר בישראל – מאז שאני חבר כנסת זה הפסיק להיות עניין פרטי, אף פעם לא היה לי תלוש משכורת קודם אז אני לא יודע, הייתי עצמאי – הוא נושא איכשהו רגיש. יש מדינות שבהן תרבותית זה הרבה פחות. אבל בסדר, זה נתון, אנחנו יודעים את זה. זה מצד אחד.

מצד שני, מידע שיש בו ללמד על מצבו הכלכלי של אדם – זה הכול, כולל הכול, גם שכונת המגורים שלי. הנתונים הסוציו-אקונומיים של כל יישוב מפורסמים, יש בהם כדי ללמד, בוודאי בהגדרה הרחבה. נכון שיכול להיות שאני במקרה המיליונר היחיד בעיר ואני מעלה את הממוצע לכולם, או שאני עני היחיד בעיר. אבל בסופו של דבר, אני יודע שאם אני גר ביישוב באשכול סוציו-אקונומי 9, רוב הסיכויים שאני במצב כלכלי משופר. בקיצור, כל דבר מלמד על מצב כלכלי. באיזה מקום עבודה אני עובד. שוב, בשנייה שאני יודע באיזה מקום עבודה הבן אדם עובד, אני יודע את סדר גודל המשכורת שהוא מקבל. ולכן ההגדרה היא סופר רחבה.

מסכים איתכם שתלוש המשכורת של אדם ספציפי הוא מידע רגיש, אבל להגיד שפלוני שייך לעשירון 8? לא יודע, לא יודע.
ראובן אידלמן
גם מידע על קרנות הפנסיה של אדם, אלה דברים שאין עליהם חובת סודיות. לא הכול מכוסה.
היו"ר שמחה רוטמן
אז יכול להיות שצריך לתקן את החוק בעניין מידע פיננסי לגבי הפנסיה. אבל יש לי הצעה, אני אשמח שתתייחסו. אני הייתי מסתכל על (10) ועל (11) ביחד, בצורה הוליסטית, והייתי אומר: הרגלי צריכה או מידע על נכסיו, חובותיו שיש בהם כדי ללמד על פרטי מידע אחרים.
קריאה
מצוין.
היו"ר שמחה רוטמן
ואז, משהו שהוא per se מצב כלכלי – פחות, אבל רוב הדברים שמטרידים אותנו במידע של מצב כלכלי – נמצא. אני חושב שזה יותר נכון ואולי יותר מתכתב עם ה- GDPRאו עם תקנות הגישור. אבל אני חושב שאז אנחנו בנגזרת אחת ולא בשתי נגזרות במובן הזה. הרבה מאוד מידע כלכלי, מידע על נכסים, יש בו כדי ללמד על הרבה מאוד דברים אחרים. אבל משהו שהוא מידע ניטרלי כלכלי, הוא לא ייכנס.

אני אשמח שתתייחסו גם להצעה הממשלתית וגם להצעה שלי, כי אני חושב שזה יותר מתכתב עם הגרעין של מה שמטריד, כי שוב, (10) – זה הכול פחות או יותר. וגם, לרבות העובדה שאני שותה קוקה-קולה. זה שיש לי פחית קוקה-קולה פה על השולחן, זה סימן שיש לי נכס כי זה גם מיטלטלין וזה מלמד על עוד דברים.
נעמה מנחמי
לא, אני לא יודעת אם זה מלמד על המצב הכלכלי שלך, העובדה שהצלחת לקנות.
היו"ר שמחה רוטמן
זה שזה קוקה-קולה ולא קריסטל, מראה שאני לא חרדי.
נעמה מנחמי
אבל זה כבר משהו אחר. ההגדרה היא שיש בהם כדי ללמד על מצבו הכלכלי או שינוי מהותי בו.
קריאה
אבל מה זה מצב כלכלי?
לירון מאוטנר לוגסי
אני חושבת שיש פה אולי הבדל בין פיננסי וכלכלי. אנחנו גם כן מכירים את ההבחנה הזאת בהקשרים אחרים, שפיננסי יותר מדבר על הנתונים בעולם הפיננסי, אל מול השחקנים הפיננסיים, שאגב, לא כולם הם גופים פיננסיים. אני חושבת שזה עלה גם כדוגמה מהמכתב של המועצה. למשל, מוסד אקדמי שמעניק זכאות למלגה יכול לקבל מידע שהוא מידע פיננסי במהות שלו, של השכר וגם של התנהלות בעו"ש בשלושה חודשים האחרונים, שזה בהגדרה מידע פיננסי.
היו"ר שמחה רוטמן
ואסור לו לעשות שימוש במידע למטרה שלא לה הוא נמסר. השאלה אם זה הופך להיות מידע רגיש רק בגלל זה.
לירון מאוטנר לוגסי
אם אני מבחינה בין הפיננסי לכלכלי. אני מסכימה עם היו"ר שבכלכלי יש משהו שהוא יותר רחב - - -
היו"ר שמחה רוטמן
ותסכימי איתי גם שעל רוב הפיננסי חלה חובת סודיות בדין?
לירון מאוטנר לוגסי
לא בהכרח. קודם כל, אנחנו הולכים לעולמות שבהם יש גישה למידע פיננסי רגיש, גם לגופים שהם לא הגופים המוסדיים.
היו"ר שמחה רוטמן
אין בעיה, אבל על המידע חלה חובת סודיות.
לירון מאוטנר לוגסי
לא, לא בהכרח.
היו"ר שמחה רוטמן
למה לא?
לירון מאוטנר לוגסי
בגלל שחובות הסודיות חלות בדרך כלל על אותו גוף שמקבל רישיון והוא נמצא תחת פיקוח של בנק ישראל או של רשות שוק ההון, ולא בהכרח על כל הגופים האלה. שוב, כמו בדוגמה שנתתי עכשיו.

אפילו יועצים. יש יועצים פיננסים רבים, כמו יועצי משכנתאות או כמו חברות ייעוץ פיננסי בהקשר הזה. למשל, חוק שירות מידע פיננסי – שזה גם עונה לשאלה שלך, נעמה – זה חוק שהסדיר העברת מידע בדרך מסוימת, שרק מי שנותן שירותי ייעוץ אגב הדרך המסוימת הזאת יש עליו חובות מאוד מחמירות מהעולם של הגנת הפרטיות. אבל אם הוא לא עובד בצורה הזאת – שזאת דרך מסוימת – אז אין שום רגולציה על היועצים הפיננסיים האלה, לרבות חברות ייעוץ שיכולות להיות גם חברות גדולות.
קריאה
אז תעשו.
היו"ר שמחה רוטמן
יש אנשים, יש גופים, שעוזרים לאנשים לצמצם הוצאות. אומרים: תעלו דף פירוט של כרטיס האשראי שלכם ונעזור לכם. דף הפירוט – חלה עליו חובת סודיות. לחברת כרטיסי אשראי אסור להעביר את דף הפירוט שלי אחרים. אבל אם אני מיוזמתי החלטתי לתת אותו למישהו אחר, זה לא מידע? אז ויתרתי על חובת הסודיות, ולכן - - -
לירון מאוטנר לוגסי
רגישות המידע לא בהכרח קשורה לשאלה באיזה אופן המידע התקבל, בזה שנתתי את ההסכמה שלי, גם לצורך העניין למזהה הביומטרי שלי.
היו"ר שמחה רוטמן
אני מסכים איתך. אבל כן מצפה ממי שחלה עליו חובת סודיות לשמור אותו בצורה א'; מי שלא חלה עליו חובת סודיות, שישמור אותו בצורה ב'. עדיין, זה מידע פרטי. אני לא שללתי את היותו של הדבר הזה מידע אישי, אני רק דן בשאלה אם יש לו רגישות מיוחדת.

והשאלה האם יש לו רגישות מיוחדת – היא שאלה פרטית. תלוש המשכורת שלי, בגלל שאני חבר כנסת, בגלל שזה מפורסם, הוא מידע פרטי, הוא לא מידע רגיש. מפרסמים כל הזמן כמה אני מרוויח. תלוש משכורת שלך – יכול להיות שהוא כן מידע רגיש.

אבל בן אדם שבא והוציא את המידע על המשכורת שלו, בדרך זו או אחרת, מהידיים של מי שחלה עליו חובת סודיות בנושא הזה או שאין עליו חובת פרסום, תלוי - - -
ראובן אידלמן
לשיטתנו, מאגר של יועץ פיננסי, שיכולים להיות לו אלפי לקוחות והוא מחזיק מידע פיננסי של אלפי אנשים, אין רגולציה ספציפית שחלה עליו. אם הוא לא מאבטח את המידע והמידע הזה דולף, לשיטתנו, צריך להיות עליו העיצום הגבוה.
ד"ר עמרי רחום טוויג
אז תטפלו בזה בהיבט העיצומים.
היו"ר שמחה רוטמן
אתם רוצים להבדיל בין מידע פיננסי לכלכלי?
לירון מאוטנר לוגסי
קודם כל, אנחנו מציעים איזושהי הבחנה בהקשר הזה, כדי שלגבי המידע הפיננסי זה יהיה יותר ברור.
היו"ר שמחה רוטמן
ויש לנו הגדרה של מידע פיננסי?
קריאה
לא.
לירון מאוטנר לוגסי
אנחנו חשבנו להציע מידע על נתוני שכר, התנהלותו פיננסית של אדם או נתונים פיננסיים. אפשר רגע לחשוב על זה.
היו"ר שמחה רוטמן
צריך ניסוח, אבל אני מבין למה את מתכוונת.
לירון מאוטנר לוגסי
ובהקשר הכלכלי, אולי לחשוב איך לדייק את זה או כמו שהיו"ר הציע או לחשוב בדרך אחרת.
ליאור אתגר
אני מסכים עם הרשות, אני חושב שהגישה היא נכונה. יש היום המון חברות שעובדות עם מאגרים מאוד גדולים, גם לפי החקיקה.
היו"ר שמחה רוטמן
אתה חי עם ההבחנה בין פיננסי לכלכלי?
ליאור אתגר
אני חי עם ההבחנה, ההבחנה היא טובה.
היו"ר שמחה רוטמן
אתה מסכים עם מה שהועלה פה, לא עם מה שכתוב בטקסט?
ליאור אתגר
נכון. אני מסכים עם מה שנאמר פה, ואני גם אחדד שמי שיש לו מאגר מידע של משכורות, הוא בהחלט מישהו שהיינו רוצים שתהיה עליו אחריות יותר גדולה בדין. גם לקוחותינו שמחזיקים מידע פיננסי, שהם קיבלו אותו כדין מאותו - - -
ד"ר עמרי רחום טוויג
זה כל מעסיק בישראל, כן?
ליאור אתגר
אמת. אבל צריך לדייק את זה ברמת השימושים. מבחינת העובדה של המידע הפיננסי שדיברנו עליו, זה נכון שאותו גורם בעל רישיון יכול לתת את זה למישהו אחר שהוא לא תמיד בעל רישיון, לפעמים זה ברמה חוזית. זה כן נכון שהחקיקה - - -
היו"ר שמחה רוטמן
אוקיי, אני שומע.
ליאור אתגר
זה כן נכון.

לגבי הסוגיה של מעסיקים שהוזכרה פה, צריך למצוא איזושהי דרך שלא כל מעסיק בישראל יהיה בעל מאגר מידע רגיש בהכרח.
היו"ר שמחה רוטמן
כן.
ליאור אתגר
צריך לסייג את זה, אולי להיבט כמותי למשל.
ד"ר עמרי רחום טוויג
אגב, גם בתקנות אבטחת מידע עשו את זה, הפחיתו עול רגולטורי.
היו"ר שמחה רוטמן
יכול להיות שתצטרכו במידע פיננסי, למעט מעסיק קטן, לגבי מידע של משכורות של עובדיו.
עמית יוסוב עמיר
אני לא בטוח שזה נדרש, נגיע לפרק העיצומים הכספיים ונראה.
היו"ר שמחה רוטמן
יכול להיות. בסדר.
עמית יוסוב עמיר
יש שם מדרגות.
היו"ר שמחה רוטמן
צריך לתת לזה מענה. גם לעניין המדרגות, אבל גם לעניין הרגולציה.
ד"ר טל מימרן
יש לי יותר שאלה מאשר הצהרה. אני תוהה איפה נכנסים הרגלי גלישה, זה רלוונטי גם לשתי קטגוריות שאתה מחבר כאן, כי הרגלי צריכה היום קשורים באופן אינהרנטי להרגלי גלישה והרגלי גלישה יכולים ללמד גם על המצב הכלכלי או הפיננסי של אדם.

אם חברה כמו גוגל נותנת שירותי חיפוש, אבל בתמורה לחיפוש הזה יודעת כמה פעמים נכנסתי לחפש הלוואה או איפה - - -
היו"ר שמחה רוטמן
לא, זה מידע כלכלי. לא פיננסי.
ד"ר טל מימרן
כן. אז השאלה היא איפה נכנסים פה הרגלי הגלישה, כי היום הרגלי הגלישה יכולים ללמד בעצם על כל אחת מהקטגוריות שדנו בהן.
היו"ר שמחה רוטמן
בסדר, אז נדון בזה ב-(11). זה לא בכלכלי. האם צריכה זה לרבות גלישה?
ד"ר טל מימרן
כן.
ד"ר עמרי רחום טוויג
שתי אמירות. אחת, בסדר, אני מבין את הכיוון שהולכים אליו, למרות שאני חייב להגיד שהרבה מדינות מודרניות שמחוקקות חקיקת הגנת פרטיות חדשה הסתדרו טוב מאוד בלי להגדיר מידע כלכלי או פיננסי כמידע בעל רגישות מיוחדת. זה לא מוגדר – לא ב-GDPR, לא ב-CCPA הקליפורני ולא במדינות אחרות. אז השאלה למה זה נדרש בכלל.

אבל גם אם כן, ולהצעתו של היושב-ראש, לפחות לגבי מידע כלכלי, לסייג בהכרח שהוא מעיד על דברים אחרים. אני רק מעיר הערה שאני חושב שדיברנו עליה גם בישיבות קודמות. מכיוון שאנחנו לקראת סוף הפריטים השונים של מידע בעל רגישות מיוחדת, אמרנו שאנחנו ננסה לייצר איזשהו buffer או איזושהי ודאות לגבי היכולות להעיד על. לא כל דבר שיכול בפוטנציה להעיד על – הוא מידע בעל רגישות מיוחדת.
היו"ר שמחה רוטמן
זה לעניין של משמשים או שמיועדים לשמש.
ד"ר עמרי רחום טוויג
כן, אז אולי ברישה של ההגדרה של מידע בעל רגישות מיוחדת ניתן איזושהי הגנה קטגורית על כל הדברים האלה. זה יכול לפתור.
היו"ר שמחה רוטמן
זה קשור יותר ל-: האם יש בהם כדי ללמד - -
ד"ר עמרי רחום טוויג
נכון.
היו"ר שמחה רוטמן
- - או שהם משמשים או מיועדים לשמש כדי ללמד. אנחנו כנראה בכל מקרה נטייב פה את ההגדרה עם חלוקה לפיננסי או לא.
ד"ר רחל ארידור הרשקוביץ
אני מסכימה עם משרד המשפטים. אני חושבת שגם החידוד למידע פיננסי הוא נכון. אני חושבת שבדיוק פה בא ההבדל והתאמת ה-GDPR לתנאי הארץ ותושביה.
היו"ר שמחה רוטמן
כן.
ד"ר רחל ארידור הרשקוביץ
אנחנו מדינה שלא רק תלוש משכורת, אלא גם המינוס שלי בבנק או ההלוואות שלקחתי, מלמדים עליי דברים שאני לא רוצה שאחרים ידעו.
היו"ר שמחה רוטמן
כן, נכון. הפיננסי פה יותר מדוקדק וצריך לתת לו מענה.
לירון בנדק
אני רוצה להתחבר למה שאמרו בקשר לעסקים: שלא תהיה רגולציה מדי על עסקים קטנים. שלא כל החובות שיש ללקוחות שלי, שאם פתאום הם ישלמו זה יוכל להעיד על שינוי במצב הכלכלי שלהם, שזה יהיה מידע בעל רגישות מיוחדת.
היו"ר שמחה רוטמן
אם אנחנו לא מקבלים את ההבחנה הזאת שהתגבשה פה, הבחנה בין הפיננסי לכלכלי, אז רשימת החובות של בעל המכולת בוודאי לא נמצאת באירוע הזה. אני אפילו לא יודע אם נגדיר אותה כפיננסית.

אוקיי, אז תעבדו פה על איזושהי הגדרה יותר מדוקדקת לדיון הבא.
לירון מאוטנר-לוגסי
אנחנו חשבנו שהפיננסי מאוד יעזור לצמצם, וחשבנו שאולי בכל זאת לגבי הכלכלי אפשר להגיד משהו, רק יותר מדויק.
היו"ר שמחה רוטמן
תציעו. הנטייה שלי – פיננסי. להגדיר נתונים פיננסיים, להגדיר אותם נכון וטוב לדיון הבא ולדבר עליהם כמידע רגיש.

לגבי כלכלי – בואו נדבר על (11). אני חושב שאפשר להכליל את ההגדרה של מידע כלכלי, ככל שיש בו כדי ללמד על דברים אחרים, כי מצב כלכלי בפני עצמו הוא בעייתי. הרגלי צריכה הם כמעט תמיד איכשהו קשורים לנתונים כלכליים. הרגלי צריכה זה: קניתי משהו. אם קניתי פחית קולה, אז יש לי גם נכס שנקרא פחית קולה. זה מתכתב מאוד אחד עם השני. לכן הייתי מצמצם את שניהם לאותה הגדרה ומדבר על (11).

בסדר, אז לגבי (10) – אתם תציעו איזושהי הגדרה לפעם הבאה.

(11) – הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים (1) - - -
נעמה מנחמי
(2) או (4). במקור זה היה (1) עד (8), ובדיונים מקדימים חשבנו שאפשר לצמצם את זה קצת יותר.
היו"ר שמחה רוטמן
למה?
ראובן אידלמן
אני אגיד למה אנחנו מכוונים, באמת צמצמנו את ההגדרה. אנחנו מכוונים בעיקר למאגרים של מועדוני לקוחות כמו שופרסל או סופר פארם, שמהם, אם יש לך את הרגלי הצריכה אתה ממש יכול לדעת לפעמים פרטים מאוד אינטימיים.
היו"ר שמחה רוטמן
ספציפית, למה נניח הוצאתם את (3)? הרי אם אני קונה תמיד בסופר פארם תרופה לתסמונת הגנטית הנדירה שיש לי שגורמת לי לשתות כל-כך בהרבה קפה - - -
ראובן אידלמן
לא, זה רק מופק מדגימה גנטית.
עמית יוסוב עמיר
אם אתה קונה תרופה – זה מצב רפואי.
ראובן אידלמן
אנחנו מכוונים לשם, למתי שאפשר ללמוד על מצבו הרפואי של אדם או דברים הרבה יותר מקיפים וחודרניים מהרגלי הצריכה שלו. זאת הכוונה. לא כל פעם שאדם קונה דבר אחד או שניים. זאת המטרה.
עמית יוסוב עמיר
בסוף, ההגדרה מכוונת לשלושה פרטים אחרים שמופיעים פה. הסעיף עוד ינוסח, אבל אלה צנעת אישות, נטייה מינית ומה שדובר עליו עכשיו, צנעת חיי המשפחה, מידע על מצב בריאותו של אדם ומידע על דעותיו הפוליטיות, אמונותיו הדתיות של אדם או השקפת עולמו.

בזה מדובר כשהדברים האלה נלמדים מתוך נתוני הצריכה. לא כל דבר, לא כל מאפיין, לא כל קו אישיות. בגלל שאנחנו עוברים פה לדיון על נתוני צריכה, שזה יכולים להיות הרבה מאוד דברים, ההצעה העדכנית שלנו היא לצמצם כך שנישאר ממוקדים.
היו"ר שמחה רוטמן
לא על אישיות, לא על פלילי?
עמית יוסוב עמיר
המטרה היא לא לגרוע מהסעיפים האחרים, אין לנו כוונה.
היו"ר שמחה רוטמן
זה ברור לי. אבל איך זה מתכתב ישירות עם הסוגיה? אתה אומר בעצם: אם אני אעבד את המידע, ויהיה לי אותו, ואני אייצר רע ו- Cambridge Analyticaילמדו מהרגלי הצריכה שלי על - -
קריאה
השתייכותך הפוליטית.
היו"ר שמחה רוטמן
- - על הערכת האישיות, אז זה יתפוס אותי דרך הערכת אישיות. אבל אם ניתן להסיק לגבי הדעה הפוליטית שלי, אז אני תופס אותו כבר שלב קודם? למה? מה ההיגיון? פה באמת מתכתב לנו האירוע של עיבוד או לא עיבוד. הרי לכאורה אותו סט של נתונים יכול ללמד גם על מצבי הפוליטי וגם לעשות לי הערכת אישיות – ויתקן אותי המכון הישראלי לדמוקרטיה, אם אני טועה.

אני לא דן כרגע בשאלה על העבר הפלילי, למרות שגם שם זה נמצא. אם אני בא ואומר: כאשר אתה עושה ניתוח על המידע וכתוצאה מזה אתה יודע מי הם הלקוחות של פייסבוק או גוגל, ימנים, שמאלניים, אז התיוג שלהם כימנים-שמאלנים, נוטים לכעוס או קשים לכעוס או קלים לרצות, זה כשלעצמו מידע רגיש. אבל הנתונים שעל בסיסם ניתן לעשות את הדבר הזה, הם הכול, ואז ממילא אין צורך בדבר הזה. ואם אתה בא ואומר: לא, על הרגלי צריכה, ואז גם תישאל שאלה על הרגלי גלישה ושאלות אחרות.
קריאה
לא, זה לא אותו דבר.
היו"ר שמחה רוטמן
לכאורה, הרגלי גלישה הם כמעט תמיד הרגלי צריכה בהגדרה. אני צורך בחינם את שירותי אתר האינטרנט פלוני או אלמוני, אז זה גם צריכה.

אני לא יודע. ההגדרה פה כביכול מצמצמת, אבל כל זמן שאתה עוסק בדאטה עצמו ולא בעיבוד שבוצע בו או בנתוני תוצאות העיבוד שנמצא בו, אז לא צמצמת כלום, כי כל מידע שניתן להסיק ממנו על נתונים פוליטיים ניתן להסיק ממנו גם על נתוני אישיות וניתן להסיק ממנו על דברים אחרים.

אני מנסה להבין מה צמצמנו פה, והאם ההגדרה היא לא מאוד רחבה. כי בעצם זה הכול.
עמית יוסוב עמיר
אני לא בטוח שזה הכול. זאת אומרת, אנחנו צריכים ללמוד - - -
היו"ר שמחה רוטמן
מה שלא הכול היום – יהיה הכול מחר. אם פעם היו צריכים שבוע כדי לנתח את הגלישה בשביל לדעת מה אני חושב, מחר זה יהיה על בסיס נתוני גלישה של יום.
עמית יוסוב עמיר
השאלה מה התפיסה המהותית שלנו לגבי ההגנה, על היכולת של אדם לשלוט באיזושהי רמה במידע על עצמו. האם כשאני גולש לתומי באינטרנט ועכשיו יודעים מה מצבי הרפואי ומה האמונה הפוליטית שלי - - -
היו"ר שמחה רוטמן
אם יודעים – אין ויכוח. ברור שאם אני אריץ את האלגוריתם על נתוני הגלישה שלך ואגלה את מצבך הרפואי, אז האמירה שיש לך או אין לך מחלה כזו או אחרת – היא מידע רגיש.

אבל האם בגלל זה שאני יכול לעשות את זה - - -
עמית יוסוב עמיר
אבל זה לא הנתון הבודד.
היו"ר שמחה רוטמן
זה מה שכתוב.
עמית יוסוב עמיר
הנתונים צריכים ללמד על-כך. זאת אומרת, אני צריך מסה כזאת של נתונים.
היו"ר שמחה רוטמן
אגב, מישהו כתב לי בווטסאפ הערה מאוד נכונה. אני מבקש לתקן את מה שאמרתי קודם. תלוש המשכורת שלי הוא מידע פרטי. הברוטו אכן פומבי, אבל יש בתלוש פרטים שאינם פומביים. וזה נכון. מספר ילדים וכדומה.
עמית יוסוב עמיר
באופן עקרוני, הגלישות של אדם באינטרנט ושימושי המחשב שלו – יש גם פסיקה בנושא – הם בהחלט רגישים. אבל בשביל שניכנס להגדרה הזאת – לכן אני חושב שהיא כן מצומצמת – צריך מסה מאוד גדולה של מידע, שיש בידי גופים מאוד מעטים, וטוב שכך.

זאת אומרת, אנחנו לא מדברים על כל נתון בודד כשלעצמו, כי אי-אפשר להסיק מגלישה בודדת על מצבי הרפואי, אלא אם כן זאת התכתבות שלי עם רופא.
ענר רבינוביץ׳
אבל כן על האמונה הדתית. אם התחברת ביום שבת - -
עמית יוסוב עמיר
לא, לא בהכרח.
ענר רבינוביץ׳
- - ושם המשפחה שלך הוא רבינוביץ', כלומר אתה יהודי חילוני.
עמית יוסוב עמיר
יש היום ספקטרום יותר גדול של אמונות דתיות.
אלן יוסף
בדיוק מה שאתה אומר, זה מעולה. אבל בואו נכתוב את זה, כי היום זה לא מופיע ככה. היום הפרשנות היא מאוד רחבה.
ד"ר עמרי רחום טוויג
יותר מזה. גם אם חושבים שיש צבר נתונים מסוים שיכול בסוף להוביל למיידעים אחרים, לא ברור למה זה כשלעצמו מידע בעל רגישות מיוחדת. זה שוב הזליגה בין סטטוס המידע, רגישותו וההשלכות של רגישות המידע – ההשלכות הסטטוטוריות, לא האמירה החברתית – אל מול העובדה שצבר מידע כשלעצמו, כשלא עושים איתו כלום, הוא לא רגיש במיוחד.
עמית יוסוב עמיר
אבל אנחנו כבר לא בשנות ה-90', זה בדיוק העניין. אם יש עליי מאגר מידע כזה, שמאוסף כל-כך גדול של פעולות טריוויאליות ויום-יומיות שלי אפשר לדעת מה אני חושב ובמה אני מאמין - - -
ענר רבינוביץ׳
אפשר, אבל לא בהכרח יודעים. תמיד אפשר הכול. גם הסכין במטבח שלי הוא כלי רצח אפשרי, אבל כל עוד אני לא רוצח או תוקף מישהו איתו - - -
ד"ר טל מימרן
המודל העסקי של רוב החברות בנוי על זה, זו היתממות.
קריאות
לא, זאת אמירה מאוד - - -
ד"ר טל מימרן
רוב החברות שהמודל העסקי שלהן הוא מבוסס דאטה – ככה הן עובדות.
ד"ר עמרי רחום טוויג
אבל מודל עסקי מבוסס דאטה כבר מיישם את זה. אם יש מודל עסקי שמבוסס דאטה ומיישם את האלגוריתמים האלה, אז בסדר, הוא ייכנס לקטגוריה של הסעיפים של לפני, לא צריך את הסעיף הזה.
ראובן אידלמן
לא סתם דיברנו על מועדוני לקוחות. מועדוני לקוחות של חברות הפארמה גדולות או של חברות סופר גדולות – מוצרי מזון וכולי – אלה מאגרים שאם לא מאבטחים אותם כמו שצריך, והם דולפים, זה נזק גדול מאוד לפרטיותו של אדם. זה אחד הסיפורים הקלסיים בעולם הפרטיות, מה חברות הפארמה יודעות עלינו מתוך הרגלי הרכישה שלנו.

אם הדבר הזה דולף, זה צריך לקבל את סכום העיצום הגבוה.
ליאור אתגר
אז בוא נצמצם את זה למועדון לקוחות.
ד"ר עמרי רחום טוויג
לא, שיטפלו בזה בפרק העיצומים.
ליאור אתגר
לא יכול להיות שכל חברה שיש לה נתונים צריכה להיכנס לפה. מועדון לקוחות זה לגיטימי, זה מספיק גדול.
היו"ר שמחה רוטמן
כמו שזה כתוב כרגע, זה פחות או יותר כל דבר. כל משחק שיש בטלפון, של מישהו שבודק תוך כמה זמן הוא לוחץ x על הפרסומת. הכול מכל נמצא שם. אם העיבוד הזה נעשה, אז העיבוד נעשה, ופה ההבחנה בין עיבוד לנתון.

קודם כל, בכל מקרה זה יהיה חייב להיות משמש או מיועד לשמש, כי אחרת זה באמת הכול. משמש או מיועד לשמש – זה תופס את כל מועדוני הלקוחות, כי מועדוני הלקוחות בוודאי מיועדים לשמש ולדעת את הדברים האלה.
עמית יוסוב עמיר
(1), (2) ו-(4) כמעט בהכרח לא, הם מיועדים לדברים אחרים. הם פשוט מאוד רגישים.
היו"ר שמחה רוטמן
לא, לא.
עמית יוסוב עמיר
לדעת על מה?
היו"ר שמחה רוטמן
על מצבי הרפואי – בוודאי. חברת הפארמה מתה לדעת מה מצבי הרפואי, כדי לדעת איזה תרופות להציע לי.
עמית יוסוב עמיר
אבל אני לא יודע, הרי זה לא תרופות מרשם. אני לא בטוח.
היו"ר שמחה רוטמן
לא תרופות מרשם. זה שאני סובל ממיגרנות אחת לשבוע, זה מידע רפואי והם יודעים להציע לי.
ליאור אתגר
אבל האינטרס המוגן של הרגלי צריכה הוא לא אותו דבר כמו מידע רפואי, כי הרגלי צריכה משמשים חברות כדי לשווק או להציע להם הצעות. לא מעניין במה אתה חולה. יכול שאתה צורך הרבה אופטלגין או כדור אחר, וזה בסדר גמור. לא מעניין במה אתה חולה או לא חולה. מעניין כמה אפשר להציע לך הצעות ואיך אפשר לתפוס אותך בשרשרת של השיווק.

בגלל זה אני רוצה לקבל את ההצעה של הרשות שאולי באמת ההגדרה הזאת לא מתאימה, אבל ההגדרה צריכה להיות לגבי מועדוני לקוחות, זאת הגדרה הגיונית וזה בסדר. אני חושב שהאלמנט של המסה הוא הדבר המשמעותי. אפשר גם להגיד: תתפסו את זה בעיבוד ואל תתפסו את זה בסוג. אבל אם ממש חשוב ורוצים בכל זאת, בוודאי לא ההגדרה הנוכחית, זה תופס כל דבר, גם את המכולת או את התוכנה שהמכולת משתמשת בה.

אם כבר, אז תכוונו למקום שרציתם. תדברו על מועדון לקוחות, תדברו על עיבוד מסיבי, על מאגרים מסיביים, ואז זה בטח לא בהגדרות האלה.
היו"ר שמחה רוטמן
הסעיף כרגע מכסה הכול פחות או יותר, כל אתר חדשות שבן אדם גולש בו.
ליאור אתגר
כל קופה של מכולת.
היו"ר שמחה רוטמן
קופה של מכולת – זה עניין של הבדל הגודל. אני לא מדבר עכשיו על הבדל הגודל. אני מדבר על זה שאני צורך חדשות, אתר חדשות יודע על איזה כתבות אני מתעכב ויכול – ואם לא היום, אז מחר – גם לדעת מה מצבי הדתי או הפוליטי, מעצם העובדה על איזה כתבות אני מתעכב יותר זמן.

כל אתר חדשות שבו אני נמצא יש לו את זה. אם הוא עושה את זה, זה משהו אחד. אם הוא לא עושה את זה, זה משהו אחר. זה שהמידע הזה יכול לשמש – זה נכון, אבל זה באמת יתפוס את הכול כמידע רגיש. הכול.
ראובן אידלמן
אנחנו נוכל להציע לוועדה נוסח מצומצם יותר ברוח הדברים.
היו"ר שמחה רוטמן
טוב, אז לדיון הבא. אני חושב שהדיון פה הוא מאוד חשוב, הוא חידד. ואז, לתוך זה – אני מבין מה התכוונתם – אפשר גם להכניס, אם נצליח לצמצם את זה מספיק, גם את הנושא של המצב הכלכלי שהוא מתקשר להרגלי הצריכה, ככל שיש בהם כדי ללמד משהו, אם אנחנו הולכים למקום של כדי ללמד או אם אנחנו הולכים למקום של משמש ל – ואז זה אותו דבר: מידע כלכלי שמשמש ל. אני יודע שבן אדם גר בשכונה כזאת וכזאת והוא ברמה סוציו-אקונומית כזאת וכזאת, אז אני יודע שהוא רפובליקני.

(12) – מידע שחלה עליו חובת סודיות שנקבעה בדין. מאוד פשוט.

(13) – מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוקה, חוק ומשפט של הכנסת. למה?
ראובן אידלמן
ההנחה היא שהטכנולוגיה רצה קדימה וייווצרו סוגי מידע חדשים שאנחנו לא יודעים להצביע עליהם היום. זה כמובן באישור ועדת החוקה. אנחנו פשוט באים ואומרים שאם יהיו עכשיו סוגי מידע חדשים, שברור שהם בעלי רגישות מיוחדת, אפשר יהיה לעשות את זה בצו של שר המשפטים, באישור ועדת החוקה, ולא בתיקון מלא של חוק הגנת הפרטיות. ראינו כמה שנים לקח עד שאנחנו הגענו לכאן לתיקון משמעותי של חוק הגנת הפרטיות.

זאת הייתה התפיסה, כדי לתת מענה להתפתחויות טכנולוגיות. אנחנו בחקיקה טכנולוגית.
היו"ר שמחה רוטמן
מאחר שאנחנו בחקיקה טכנולוגית, ומאחר שתיקון 15 מתישהו בשרשרת, אני לא רואה סיבה אמיתית לזה, בטח לא בשלב החקיקתי שבו אנחנו נמצאים.

ברור שאנחנו מתקשים לחשוב על מה עוד. אבל אם יהיה עוד או שתהיה איזושהי התקדמות טכנולוגית, אז מה? זה ההבדל בין קריאה ראשונה, שנייה ושלישית לבין הצו באישור ועדה?
לירון מאוטנר-לוגסי
לא, זה משמעותי, זה כן מנגנון.
גלעד סממה
אדוני, מדובר בשינוי מאוד משמעותי. אנחנו יודעים מה צריך לעשות. זה יכול להיות שינוי אחד שהוא לא מצריך עכשיו תיקון חקיקה גדול, כלומר את כל המהלך.
היו"ר שמחה רוטמן
עכשיו מתנהלת חקיקה בכנסת שמביאה לי תוספת פרט, על סמכויות פקחים ברשויות מקומיות, מתקיים בה דיון. הליכים ממשלתיים זה הליכים ממשלתיים. לדעתי, זה לא משהו שמעצם טבעו מתאים לצו, בטח לא לצו בלי תוספת.
גלעד סממה
בדיונים רחבים בתוך הממשלה בכל מה שקשור לחקיקה טכנולוגית מנסים למצוא מנגנונים שהם יותר מהירים מתיקוני חקיקה מלאים. אני מבין את הגישה של אדוני. אבל צריך גם לקחת בחשבון שככל שאנחנו נמצאים בזירות שהן טכנולוגיות, אנחנו מחפשים כל הזמן דרכים לעשות את הדברים בצורה יותר מהירה, יותר יעילה. יש חוסר יציבות שלטונית במדינת ישראל לפעמים, זה קורה לא מעט.

קיצור התהליכים הוא מאוד משמעותי מבחינת היכולת לקדם דברים שאנחנו רואים בהם סיכון.
נעמה מנחמי
השאלה היא מה הדלתה מבחינה יישומית.
ראובן אידלמן
הסעיף הזה קיים גם בחוק הקיים, אדוני.
היו"ר שמחה רוטמן
וכמה פעמים השתמשתם בזה?
ראובן אידלמן
לאחרונה, באגף תקנות הגישור, חלק מזה גם הייתה החלטה ששר המשפטים - -
גלעד סממה
נכון.
ראובן אידלמן
- - להרחיב את הגדרת מידע רגיש בחוק הקיים. הוספנו שם את מוצאו של אדם ועוד איזשהו פרט מידע. שוב, זה נדרש בעיקר עבור- - -
היו"ר שמחה רוטמן
כלומר, ממתי שזה נכנס לחוק, בשנת 80', עד שהחלטנו - - - ל-GDPR – השתמשנו בזה פעם אחת?
גלעד סממה
ברור שזה לא דבר שקורה ביום-יום, אבל - - -
היו"ר שמחה רוטמן
באמת לא חושב שצריך את זה, בטח לא שגם מידע שהוא לא מידע רגיש, ואת זה היועצת המשפטית פה ניסתה להגיד כשקטענו אותה. זה פשוט אומר: גובה העיצומים – זאת המשמעות. הרי מידע – אתם לא משנים. אז השאלה היא גובה העיצומים. אז בשביל גובה העיצומים, שתוכלו לעשות אותם קצת יותר מהר, קצת יותר גדולים?
לירון מאוטנר-לוגסי
וגם לעניין חובת הרישום, לפי מה שיוחלט.
היו"ר שמחה רוטמן
תכף נגיע לחובת הרישום.
לירון מאוטנר-לוגסי
אנחנו גם כן מסתכלים קדימה, וזה כן נראה לנו. זה כלי מאוד מקובל כשרוצים לשמר אפשרות לגמישות, זה מקיים את הכללים של דיון ציבורי, אז מה הקושי עם זה?
נעמה מנחמי
בגדול, אני מסכימה עם הטיעון. אגב, אמרתי, ככל שאנחנו עושים שינוי, עדיף לעשות את זה בתוספת כדי שזה יהיה בגוף החוק.
לירון מאוטנר-לוגסי
עם זה אין לנו בעיה.
נעמה מנחמי
בגדול אני מסכימה עם הטיעון. אבל אני מרגישה שאנחנו נמצאים כרגע בתחילתו של תהליך בניית החוק מחדש. הייתי מעדיפה לכתוב הוראות שאומרות: תתקנו תיקונים נוספים בחוק בצורה קלה יותר – אחרי שאני יודעת מה החוק - - -

כלומר, אני לא מתנגדת שזה יהיה ב- ,end gameאבל עכשיו אני חושבת שזה אולי קצת מוקדם.
היו"ר שמחה רוטמן
בדרך כלל צווים מאושרים בוועדה בלי יותר מדי שינויים. זה נכון שאני קצת שובר את הסטטיסטיקות. אני חושב שפעם אחת בלבד הגיע אליי איזה צו שלא הכנסתי בו שינוי. אבל זה לא המצב הנפוץ. דווקא הדיונים שערכנו פה על כל פרט, על ההבדל בין שימוש למיועד לשמש, זה הרבה יותר מתאים לדיון בחקיקה מאשר לדיון בצו. אנחנו מדברים פה על סוג הצו.

כרגע, מבחינתי, אני לא רוצה את זה שם, בייחוד שיש לכם את האפשרות - - -. וגם, כמו שאומרת היועצת המשפטית, אם כן, אז בתוספת, בוודאי כל זמן שאנחנו בהליכי חקיקה רצופים, 15 כבר בקנה. להפך, תיקון מוגדר. התפתחה עכשיו איזו טכנולוגיה חדשה וגיליתם ש – וגם, אחרי שעשינו כל-כך הרבה דברים, אני באמת מתקשה לחשוב מה עוד יישאר פה בחוץ.
לירון מאוטנר-לוגסי
המציאות תמיד עולה על כל דמיון.
היו"ר שמחה רוטמן
אז תהיה חקיקה, שלוש קריאות, לא נורא. זה באמת בשביל מציאות כה דרסטית. גם בהליכים הפנים-ממשלתיים, אני יודע שזה קצת שונה, בסדר, צריך קצת לייעל את ייעוץ וחקיקה ואת ההליכים הפנים-ממשלתיים.
לירון מאוטנר-לוגסי
זה פשוט מאפשר לנו לתת תגובה בזמן אמת, אבל בסדר.
היו"ר שמחה רוטמן
קשה לי לראות שעושים צו בנושא הזה בזמן אמת. ושוב, כשנגיע לרישום מאגרים, האם אפשר מאגר שהוא לא מידע רגיש, אם זה סוגי רישום שאתם אומרים שאתם כבר יכולים לבטל, אנחנו נבטל אותם ואז יהיה לעשות צו? אין הרמוניה חקיקתית פה.

כרגע אני שם את (13) בצריך עיון גדול מה שנקרא, לדעתי הוא לא ייכלל. אבל אני עדיין פתוח להשתכנע, ככל שנתקדם בחוק.
נעמה מנחמי
סיימנו רגישות מיוחדת.
היו"ר שמחה רוטמן
מי היה מאמין. אני מודה לכם על הרגישות המיוחדת שגיליתם.
דן אור-חוף
אדוני, אם אפשר מילה עקרונית אחת, אגב, לגבי השינוי בהגדרה של מידע בעל רגישות מיוחדת. יש צורך ליישר קו עם הרשימה בתקנות אבטחת המידע, כדי שמידע שלפי התקנות חלה עליו רמת אבטחה הבינונית או הגבוהה – זה הרמות הגבוהות של האבטחה – זה יהיה אותו מידע בעל רגישות מיוחדת.
קריאה
כן, יהיה צורך בתיקון של התקנות.
היו"ר שמחה רוטמן
למיטב זכרוני, הכלל במדינת ישראל הוא שיצטרכו להתאים את התקנות לחוק.
עמית יוסוב עמיר
ברור שנצטרך להתאים את התקנות לחוק, הרשימה שם לא מפנה באופן מפורש.
היו"ר שמחה רוטמן
צריך לחשוב על זה שלא תהיה סיטואציה שהתקנות הן לפי החוק הישן והחוק הוא החוק החדש.
עמית יוסוב עמיר
לא, התקנות הן לא לפי החוק הישן. רק להבהיר: יש שם רשימה שנתפרה. אני חושב שזה משהו שיהיה צריך להיות מובא בפני שר המשפטים.
היו"ר שמחה רוטמן
כשיהיה לנו חוק מוגמר נדע לעשות את זה. זאת בהחלט נקודה חשובה. אבל בוודאי צריך יהיה למצוא דרך שלא תהיה סיטואציה שהתקנות הן ישנות והעונשים הם לפי החוק הזה, אבל ההגדרות הן מחמירות או מקלות יותר מהחוק הזה. צריך למצוא לזה פתרון.
נעמה מנחמי
בעל שליטה במאגר המידע. ההגדרה שהוצעה כאן היא: תיקון סעיף 7





(2) אחרי ההגדרה "אבטחת מידע" יבוא:




""בעל שליטה במאגר מידע" – מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור;";



אולי נקרא כבר יחד עם ההצעה של המחזיק, כדי שנוכל לחשוב על שניהם ביחד:

תיקון סעיף 3
בסעיף 3 לחוק העיקרי –


(1) במקום ההגדרה "מחזיק, לעניין מאגר מידע" יבוא:



""""מחזיק", לעניין מאגר מידע – מי שהתקשר עם בעל שליטה במאגר מידע למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה, וקיבל מבעל השליטה במאגר המידע, במסגרת ההתקשרות, הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות;";
היו"ר שמחה רוטמן
יש לי כל-כך חשק לבוא ולהגיד: לעשות סעיף הגדרות אחד.
ד"ר רחל ארידור הרשקוביץ
זו הייתה אחת הטענות שלנו בתחילת הדיונים עוד בכנסת הקודמת.
עמית יוסוב עמיר
זה עניין טכני, בגלל ההיסטוריה. אין פה איזה קושי מהותי.
היו"ר שמחה רוטמן
יכול להיות שכדאי לעשות פה עבודת ניסוח.
ד"ר עמרי רחום טוויג
ההגדרות האלה אינן רלוונטיות לפרק א'.
עמית יוסוב עמיר
לא יחולו. הביטויים האלה לא מופיעים.
היו"ר שמחה רוטמן
לא מופיעים, זה לא נורא. אבל עושים סעיף הגדרות בתחילת החוק, שבו נמצאות כל ההגדרות אחת ליד השנייה.
עמית יוסוב עמיר
זה עניין ניסוחי.
היו"ר שמחה רוטמן
""מחזיק", לעניין מאגר מידע – מי שהתקשר עם בעל שליטה", כהגדרתו ב – שאגב, זה קצת משונה, כי לכאורה אין הגדרת בעל שליטה במאגר מידע בסעיף 3. בדרך שבה מנוסחת כרגע הצעת החוק, הגדרת מחזיק היא לא קיימת, היא מפנה, היא נותנת error, אם לא נעשה פה סעיף הגדרות אחוד, כי היא אומרת: מי שהתקשר עם בעל שליטה במאגר מידע.

מיהו בעל שליטה במאגר המידע? אני לא יודע, כי סעיף 7 אומר שהוא חל רק על פרק זה, פרקים ד' עד ד'4 ובפרק ה'. פרק 3 איננו בפרק זה, לכן אין הגדרה.
אייל שגיא
אני רוצה להזכיר שפעם בהגדרה בסעיף 3 היה כתוב: אדם, למעט תאגיד. התוצאה הייתה שכל פרק ב' על רישום מאגרים, וכל זה בכלל לא חל על תאגידים.
עמית יוסוב עמיר
לא, לא.
אייל שגיא
תיקנו את זה, תיקנו את זה.
עמית יוסוב עמיר
בסדר, הייתה שם טעות סופר.
היו"ר שמחה רוטמן
בסדר, זה לא דיון על היסטוריה חקיקתית עכשיו. אני מבקש, זאת עבודה טכנית, אבל תנסו לעשות אותה כדי שבאמת יהיה יותר למען ירוץ קורא בו.

""בעל שליטה במאגר מידע" – מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור".

""מחזיק" – הוא מי שהתקשר עם בעל שליטה למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה, וקיבל מבעל השליטה במאגר המידע הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות"

למה ההגדרות האלו רלוונטיות לנו? איפה משתמשים בהן?
עמית יוסוב עמיר
בעיקר בפרק ב' שעוסק במאגרי המידע ובפרקים שמוצע להוסיף לעניין סמכויות האכיפה.
היו"ר שמחה רוטמן
"לא ינהל אדם ולא יחזיק" – כלומר, לעניין הרישום.
נעמה מנחמי
לא רק רישום. כל החובות.
עמית יוסוב עמיר
כל החובות שחלות. זכות עיון, אבטחת מידע כמובן.
ראובן אידלמן
כל תקנות אבטחת המידע גם מופנות אל בעל המאגר. הוא בעל התפקיד המרכזי, הוא הגורם המרכזי שאמון על אבטחת המידע במאגר.
קריאות
וגם המחזיק.
ראובן אידלמן
וגם המחזיק.
היו"ר שמחה רוטמן
וגם הקנסות וההפרות.

יש למישהו בעיות עם ההגדרות?
קריאה
להגדרת מחזיק רק.
נעמה מנחמי
אולי נתחיל קודם עם בעל שליטה?
היו"ר שמחה רוטמן
כי מחזיק תלוי בבעל שליטה.
ד"ר רחל ארידור הרשקוביץ
זו לא הערה על ההגדרה של בעל שליטה, אלא זו שאלה: האם ההגדרה של בעל שליטה לא מייתרת את ההגדרה של מנהל מאגר? למה להשאיר את מנהל מאגר?
היו"ר שמחה רוטמן
איפה מנהל מאגר?
ד"ר רחל ארידור הרשקוביץ
מנהל מאגר מוגדר בחוק הקיים, בסעיף 7, כמנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה.
עמית יוסוב עמיר
מנהל מאגר זה אדם. בעל שליטה לרוב הוא גוף. זה לא מייתר.
ד"ר עמרי רחום טוויג
כן, אבל הפוזיציה של מנהל מאגר היא כבר פוזיציה obsolete. אין לה משמעות. אז אולי זו הזדמנות.
היו"ר שמחה רוטמן
מתי מפנים למנהל? יש "לא ינהל אדם ולא יחזיק".
ד"ר רחל ארידור הרשקוביץ
זאת שאלה אחרת, של מה זה ינהל ומה זה יחזיק.
ד"ר עמרי רחום טוויג
מה זה ינהל? מונח זה לא הוגדר.
ראובן אידלמן
גם סעיף 17 לחוק שמדבר על חובת אבטחת המידע מפנה גם למנהל המאגר. האחריות שם היא של בעל השליטה.
היו"ר שמחה רוטמן
מה זה מנהל פעיל, מנהל מאגר הוא מנהל פעיל? מנהל – זאת הגדרה קצת טאוטולוגית. מנהל הוא מנהל.
עמית יוסוב עמיר
בסוף יש בעל תפקיד שהוא צריך להיות מנהל המאגר. יש גוף, אבל בסוף צריך למנות אדם.
היו"ר שמחה רוטמן
איפה כתוב בחוק שצריך למנות מנהל מאגר?
עמית יוסוב עמיר
החוק ממנה. המנהל הפעיל של הגוף הוא מנהל המאגר.
היו"ר שמחה רוטמן
איפה זה כתוב?
עמית יוסוב עמיר
בהגדרת מנהל מאגר.
ראובן אידלמן
בהגדרת מנהל מאגר. הכוונה למי שמנהל את האישיות המשפטית של בעל המאגר, של אותו גוף. בעל המאגר הוא הארגון, המנהל הוא הבן אדם. הגדרת מנהל מאגר בסעיף 7 לחוק.
קריאה
מי זה הבן אדם?
עמית יוסוב עמיר
החוק כבר קובע.
היו"ר שמחה רוטמן
לא נכון, סליחה. מנהל פעיל של גוף שבבעלותו. אם אני חברת ניהול? אני לא אדם, אבל אני המנהל של הגוף.
עמית יוסוב עמיר
נכון, אז אתה מנהל המאגר עד שלא מינית מישהו אחר.
היו"ר שמחה רוטמן
אז זה לא אדם. ההגדרה שמנהל מאגר הוא רק אדם ולא תאגיד או משהו, זה לא כתוב בשום מקום. בקיצור, ההגדרה של מנהל מאגר צריכה לעבור פה רוויזיה. או שלא השתמשו בה בכלל והכול התייחס לבעל שליטה – שזה מי שמעניין אותי; או המחזיק – שזה מי שמעניין אותי.

הגדרת מנהל היא גם הגדרה בעייתית בפני עצמה, כי היא טאוטולוגית, כדאי להתאים ולתקן אותה לאור ההגדרה של בעל שליטה.
עמית יוסוב עמיר
אנחנו נציע התייחסות.
היו"ר שמחה רוטמן
ויותר מזה. גוף שהוסמך בחיקוק לנהל מאגר מידע הוא בעל שליטה, אבל הוא גם מנהל? כי הוא הוסמך לנהל.
עמית יוסוב עמיר
שוב פעם, הרעיון הוא שזה בעל התפקיד. אבל בסדר, אנחנו נציע התייחסות.
היו"ר שמחה רוטמן
בסדר. צריכה להיות פה הצעה אחודה.

שימו לב, לדיון הבא יהיו המון שיעורי בית. כדי שנבוא מוכנים וערוכים, כדי שתספיקו, יש סיכוי שאנחנו לא נעשה את הדיון בשבוע הבא. ככל שאנחנו נתקדם עם החוק, אנחנו ניתקל ביותר דברים שמחכים להגדרות סגורות בדברים אחרים.

אנחנו נעבור היום הרבה. הערכה שלי שיהיו לכם הרבה שיעורי בית לדיון הבא, אז אנחנו כנראה לא נעשה דיון בשבוע הבא, כי לא תספיקו.
עמית יוסוב עמיר
אני כמובן לא רוצה להתערב לאדוני בקביעת סדרי הדיון.
היו"ר שמחה רוטמן
אני יודע שצריך לחוקק את החוק הזה מהר.
עמית יוסוב עמיר
אני מנסה לומר שיש פה פרקים אחרים, שלא ממש קשורים לדברים - - -
היו"ר שמחה רוטמן
יכול להיות. עדיין, בואו נראה איך נתקדם היום. יש לנו עוד הרבה זמן היום. אני נותן לכם איזשהו פרומו, הערכה שלי שיהיו הרבה שיעורי בית גם בהגדרת מידע רגיש, גם בהגדרות של מנהל וגם בכל מה שעוד נגיע בהמשך.
ראובן אידלמן
אנחנו נוכל להיערך לשבוע הבא.
היו"ר שמחה רוטמן
וגם התיאום של סעיף ההגדרות, שזה הרבה עבודה. היא יותר טכנית, אבל גם לוקחת את הזמן ואת הבדיקות.
דלית בן-ישראל
לעניין הגדרת מחזיק, אם אפשר.
היו"ר שמחה רוטמן
שנייה. לעניין הגדרת בעל שליטה אנחנו סגורים. הגדרת מנהל – העלינו את הבעיה שצריך לפתור אותה.

אתם רוצים להעיר לגבי בעל שליטה?
איה מרקביץ
אני תוהה למה הוחלט להוציא את הרכיב. ההוצאה של הרכיב של קביעה של בעל השליטה במאגר מידע, את האמצעים לעיבוד המידע – האם הוא הוצא מחוץ להגדרה משום שאנחנו לא רוצים להגדיר את המילה עיבוד? כי לעניות דעתי, מבחינה מהותית זה מאוד חשוב. אם אנחנו משתמשים בהגדרות של בעל שליטה במאגר מידע לעומת מחזיק, או בתקווה שנשנה את זה בהמשך למעבד, כדי להבין מה ההבדל בין שני התפקידים האלה שיש להם אחריות מאוד שונה וחובות שונות, מאוד חשוב שההחלטה על אמצעי העיבוד תהיה במקום שבו היא צריכה להיות.

זה נמצא בתוך מסמך ההכנה של היועצת המשפטית של הוועדה. ההסבר הזה, שב- GDPRובהנחיות הרגולטוריות שמתייחסות אליו מטעם EDPB נאמר שבעל השליטה או הקונטרולר צריך להיות מי שלפחות קובע את אמצעי העיבוד המהותיים.

גם אם באופן מעשי אני מקבלת כקונטרולר את העיבוד מטעם ספק שירות, שהוא באמת יודע מה בדיוק האמצעים לעיבוד, מבחינה מהותית האחריות צריכה להיות אצלי כקונטרולר.
היו"ר שמחה רוטמן
האמת היא שהשאלה שלך אומרת שאפילו עוד לפני שנדון במחזיק – וסליחה ממי שרוצה לדבר על המחזיק – אנחנו צריכים לדבר על העיבוד, כי ההגדרה פה מדברת על עיבוד והיא הלכה לנו לאיבוד.

הגדרת עיבוד – זה איסוף או שימוש.
ד"ר עמרי רחום טוויג
שכאמור, לא ברור למה צריך גם שימוש וגם - - -
עמית יוסוב עמיר
אפשר לדבר עליה. אם כבר התחלנו, בסדר, כרגע אפשר להגיד איסוף או שימוש.
היו"ר שמחה רוטמן
יש פה המון הגדרות מעגליות.
עמית יוסוב עמיר
לא, זה לא מעגלי. יש התייחסות, לא חייבים להבין בדיוק את נבכי הגדרת עיבוד כדי לענות. השאלה אם להתייחס עכשיו?
היו"ר שמחה רוטמן
אני חושב שצריך להבין בדיוק מהו עיבוד. אנחנו לא יודעים מה בדיוק עיבוד, אז אנחנו לא יודעים מהו בדיוק עיבוד מהותי.
עמית יוסוב עמיר
אין בעיה, אפשר. השאלה היא לא אם זה מהותי או לא מהותי, זה לא רכיב בהגדרה. אבל עיבוד זה אכן איסוף או שימוש, ושימוש ביחס להגדרה היום נוסף לאחסון. כל מחזור חיי פרט המידע הוא ביחד עיבוד, וזה באמת תואם להגדרה ב- .GDPR

אחר כך אפשר להתייחס לנושאים שעלו במסמך ההכנה לגבי ההגדרות הנוספות שאנחנו עדיין משאירים. אבל ההגדרה של עיבוד מתייחסת לכל הפעולות שנעשות במידע מרגע קבלתו, איסופו.
היו"ר שמחה רוטמן
אתה יכול להסביר לי, בבקשה? אנחנו חייבים לדבר על העיבוד והשימוש, זה חשוב. זה חלק מהעניין שההגדרות הללו לא אחת ליד השנייה. זה בסעיף 3, זה בסעיף 7. זה חלק מהאירוע.

בעל שליטה קובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע.
עמית יוסוב עמיר
נכון.
היו"ר שמחה רוטמן
עיבוד – הוא איסוף או שימוש. שימוש – הוא גם אחסון. איך אני אוסף משהו בלי לאחסן אותו?
עמית יוסוב עמיר
אתה לא אוסף משהו בלי לאחסן אותו. יש הוראות. קודם כל, ההגדרה של עיבוד כוללת את כל הפרטים האלה. בסוף, אנחנו בהגדרות שהן נועדו לתכלית של הוראות מסוימות בחוק. ההגדרה של שימוש כוללת את כל השלבים של מחזור חיי המידע, חוץ מהשלב הראשוני של איסופו או קבלתו.
היו"ר שמחה רוטמן
לא הבנתי. איסופו הוא אחסונו. אני לא יכול לאסוף משהו אם לא אחסנתי אותו.
דלית בן-ישראל
לאו דווקא. אתה יכול לאסוף ולאחסן אצל בעל המאגר. אתה מחתים על טפסים ונותן אותם לבעל המאגר.
עמית יוסוב עמיר
ברור שברגע שאספתי אותו, ואפילו לרגע, אני מאחסן אותו. אבל אין פה קושי, כי בסוף השאלה היא למה משמשת ההגדרה.
היו"ר שמחה רוטמן
יש פה קושי מאוד גדול. יש פה קושי שיש לי פה הגדרת עיבוד והגדרת שימוש, שאינני מבין מה הדלתה ביניהן.
עמית יוסוב עמיר
הדלתה היא הקבלה.
ד"ר רחל ארידור הרשקוביץ
מעבר לזה שזאת המצאה ישראלית. כל העולם מדבר רק על עיבוד, לא עושים את ההבחנה הזו, בשום מקום אין איסוף.
עמית יוסוב עמיר
שנייה, אלה רק הגדרות, אנחנו לא מייצרים פה הוראות - - -
היו"ר שמחה רוטמן
מה זה רק הגדרות? רק הגדרות – זה הדבר שעליו כל היושבים פה עושים את הפרנסה שלהם. אתה לא, כי אתה – דיברנו מקודם על התלוש – עובד מדינה, זה לא זה. הם – ככל שההגדרות שלך יותר עמומות, עושים יותר כסף. אתה – הפוך.
עמית יוסוב עמיר
אז אני אנסה להבהיר את העמימות, אולי נחסוך כמה חוות דעת בהמשך. היום בחוק יש לנו מגוון הוראות שמתייחסות לשימוש. אנחנו לא מבקשים כרגע לשנות מקצה לקצה את חוק הגנת הפרטיות הקיים, אלא רק במקומות שכרגע נדרשים. ההגדרה שימוש – שוב פעם, זה באמת לא עניין מאוד עקרוני. שימוש בידיעה שלא למטרה שלשמה היא נמסרה. נחליף את זה עכשיו בעיבוד, שכולל את הקבלה, ואנחנו נישאר עם הוראה מאוד עמומה.

זאת אומרת, אני מקבל את המידע שלא למטרה שלשמה הוא נמסר. לא ברור מה זה אומר. לכן היכולת להבחין לשונית - - -
נעמה מנחמי
סליחה, לא הבנתי את הקושי.
עמית יוסוב עמיר
יש הוראות היום – גם בנוסח הקיים וגם בנוסח המוצע – שמתייחסות לעקרון צמידות המטרה, האיסור לעשות שימוש במידע שלא למטרה שלשמה הוא נמסר.
היו"ר שמחה רוטמן
אתה רוצה שיהיה כתוב שם שאסור לעבד מידע שלא למטרה שלשמה הוא נמסר?
עמית יוסוב עמיר
זה נשמע טוב כשאנחנו לא זוכרים מה ההגדרה של עיבוד, כשעיבוד זה כולל קבלה, ואז בעצם יוצא שאסור לי לקבל את המידע שלא למטרה שלשמה הוא.
היו"ר שמחה רוטמן
למה? אני יכול למסור לך את הכוס הזאת כדי להעביר לך אותה, ואתה יכול לתפוס אותה כדי להגן על הפנים שלך מהקפה שבה. יכול להיות שמסרתי לך למטרה אחת ואתה קיבלת למטרה אחרת.
עמית יוסוב עמיר
זה כמו הצבת משתנים במתמטיקה. המשמעות של המילה עיבוד – היא כוללת קבלה. אני משתמש במידע, לרבות זה שאני מקבל אותו. זאת אומרת, זה עיבוד: מקבל ומשתמש. אני מקבל את המידע שלא למטרה - - -
היו"ר שמחה רוטמן
לא. עיבוד – הוא איסוף השימוש.
קריאה
או שימוש.
עמית יוסוב עמיר
נכון.
היו"ר שמחה רוטמן
ושימוש – הוא אחסון, גילוי, העברה או מסירה.
עמית יוסוב עמיר
אוקיי, איסוף – זה כמו קבלה, נכון.
היו"ר שמחה רוטמן
לא, לא, מה פתאום. מה פתאום.
עמית יוסוב עמיר
כן.
היו"ר שמחה רוטמן
קיבלתי כוס אחת, עוד לא אספתי אותה. עכשיו אספתי כוסות, בשנייה שקיבלתי את הכוס השנייה.
ראובן אידלמן
אדוני, לא רצינו לכתוב בכל מקום עיבוד – וזאת אולי ההערה שנרמזה כאן – כי המונח שימוש משמש לכל אורכו של חוק הגנת הפרטיות, גם בפרק א'. לא רצינו ליצור חוסר בהירות, במובן הזה שבפרק א' יהיה מונח אחד ובפרק ב' יהיה מונח אחר.
קריאות
- - -
היו"ר שמחה רוטמן
לא תמלטו מהצורך – ולכן אולי אתה טעית בהערכה אופטימית שזה ייקח שבוע – אולי להכניס הגדרת עיבוד שתכלול בתוכה גם הגדרת שימוש, כי כל שימוש הוא בהגדרה עיבוד.
עמית יוסוב עמיר
זה בסעיף אחר, זה מוצע.
היו"ר שמחה רוטמן
נכון. אבל במקומות שקשורים למאגרי מידע או שקשורים לעיבודים השונים, ולא לפרק א', אתה תחליף את המילים שימוש בעיבוד כדי שיכסה גם את השימוש. גם אם זה אומר ששימוש למטרה שלא לשמה נמסר, שזה הסעיף של צמידות המטרה, תחליף אותו לעיבוד המטרה שלא לשמה נמסר.
ראובן אידלמן
אגב, האופציה האחרת היא לכתוב איסוף ושימוש. זה גם אפשר. לא להשתמש במונח, כי המונח השגור בחוק הוא שימוש. להישאר עם המונח השגור בחוק ובמקומות המתאימים לכתוב איסוף ושימוש.
היו"ר שמחה רוטמן
גם אפשרי, ואז השימוש זה התרגום שלנו למילה עיבוד.
ד"ר רחל ארידור הרשקוביץ
אני לא מצליחה להבין למה חשוב להפריד בין איסוף לשימוש. יש בחקיקות במדינות אחרות הרבה מאוד מקרים שההגדרה היא איסוף, אחסון, זה כל מיני, זה צבר פעולות חלופיות. למה חשוב לכם? הרי גם אין מצב שבו מישהו אוסף מאגר נתונים ולא עושה איתו אחסון או לא עושה איתו מחיקה.
עמית יוסוב עמיר
אבל אנחנו לא אמרנו את זה.
ד"ר רחל ארידור הרשקוביץ
אבל זו המשמעות של ההבחנה הזו.
עמית יוסוב עמיר
לא, ההבחנה היא - - -
ד"ר רחל ארידור הרשקוביץ
אז יש פה קצר, אני לא מצליחה לתפוס את זה קוגניטיבית.
עמית יוסוב עמיר
אז אני אנסה להסביר שוב. קודם כל, חשוב להבהיר גם לפרוטוקול וגם לחברים פה, קודם היינו בשאלות גדולות – איזה מידע רגיש, איזה לא. פה אנחנו בשאלות קטנות באמת, זאת שאלה של נוסח. המשמעות הנורמטיבית - - -
ד"ר רחל ארידור הרשקוביץ
זו לא שאלה קטנה, זו שאלה מאוד קריטית מבחינת התעשייה שצריכה גם להתאים להגדרות של עיבוד בעולם.
עמית יוסוב עמיר
אני עדיין חושב שזאת שאלה קטנה, מהסיבה הבאה: כל שימוש הוא גם עיבוד. אין פה בעיה של תאימות. בוא נגיד, חוות הדעת שיצטרכו לכתוב – תהיה מאוד קצרה.
היו"ר שמחה רוטמן
האם יש עיבוד שאיננו שימוש?
קריאה
כן, איסוף.
עמית יוסוב עמיר
כן, איסוף.
היו"ר שמחה רוטמן
לא, כי הגדרת שימוש כוללת גם איסוף.
ד"ר עמרי רחום טוויג
לא, היא כוללת גם אחסון.
עמית יוסוב עמיר
לא, סליחה, הפוך. ההבדל בין שימוש לעיבוד הוא שבשימוש אין את האיסוף. המטרה היא לא להתחפר פה.
היו"ר שמחה רוטמן
שורה תחתונה. יש יתרון, דיברנו עליו, בשימוש במושג עיבוד, כי הוא המושג המקובל בעולם.

יש חיסרון בשימוש במילה עיבוד. מה החיסרון? שעוד לא הבאתם לנו תיקון 15, זה החיסרון. זה החיסרון המרכזי, שהוא מלווה אותנו לכל אורך החקיקה ואין מה לעשות איתו כרגע.
ראובן אידלמן
לא רק. המונח השגור בחוק הקיים הוא שימוש.
היו"ר שמחה רוטמן
יש בעיה שלישית, שהמונח השגור כרגע בחוק הוא בשימוש, אבל דווקא זוהי ההזדמנות – או אף פעם אל תיתן למשבר טוב להתבזבז – להבדיל בין פרק א' ולעשות בו שימוש במילה שימוש ולקחת את המילה עיבוד ולהשתמש בה, לעשות בה שימוש בפרקים האחרים. וסליחה על לשון נופל על לשון.

זה ייצר הרבה יותר בהירות, כי האדם הפרטי, כשהוא עוסק במידע שלי, לא ממוחשב, הוא משתמש בו. אם אני נתתי לנעמה כל מיני הערכות אישיות על כל מיני אנשים היושבים פה בחדר או שאינם יושבים פה בחדר, והיא תלך ותעשה בהן שימוש בצורה אחרת, זה יהיה שימוש.

אבל אם זה יהיה ממוחשב, יהיה הגיוני להשתמש במילה עיבוד. לכן צריך לעשות את ההתאמה הזאת.
ראובן אידלמן
אני רוצה לוודא: מבחינת אדוני, המונח איסוף כלול בתוך עיבוד ממילא? זאת אומרת, זה גם בלי להגדיר את זה במפורש בחוק?
היו"ר שמחה רוטמן
לדעתי צריך פשוט לקחת את הגדרת שימוש המופיעה כרגע, להחליף את המילה שימוש במילה עיבוד, להזיז אותה.
עמית יוסוב עמיר
כתוב, זה מופיע: עיבוד – איסוף או שימוש.
היו"ר שמחה רוטמן
עיבוד – לרבות אחסון, גילוי, העברה ומסירה. זה יכלול גם שימוש, אם נורא רוצים.
קריאה
ואיסוף.
היו"ר שמחה רוטמן
ואיסוף. איסוף, אחסון, גילוי, העברה ומסירה = עיבוד.
עמית יוסוב עמיר
למה? הרי יש לנו כבר הגדרה של שימוש, היא תשמש אותנו לפרק א'. יש פה הגדרה.
היו"ר שמחה רוטמן
אני אסביר לך למה: כי בשפת בני אדם – מחשב מעבד, בן אדם משתמש.
עמית יוסוב עמיר
אין בעיה, אני רק אומר שכבר יש לנו פה הגדרה מוצעת של עיבוד, איסוף ושימוש. הרי לא שכחנו את העניין של עיבוד, הצענו. עיבוד או איסוף או שימוש, ובשימוש ממילא כל מה שאדוני אמר מופיע.
קריאה
אבל אתם עדיין משתמשים בפרק ב' במונח שימוש.
עמית יוסוב עמיר
אין לנו התנגדות עקרונית, אין לנו התנגדות בכלל, להחליף בכל החלקים בחוק.
היו"ר שמחה רוטמן
אגב, אני לא ממש מבין, במונחים של מאגר המידע, מהו גילוי.
עמית יוסוב עמיר
גילוי – זה כל דבר שמוציא את המידע מתוך מאגר המידע.
היו"ר שמחה רוטמן
במונחים של מאגר המידע?
עמית יוסוב עמיר
כן.
היו"ר שמחה רוטמן
לא במונחים של פרק א'?
עמית יוסוב עמיר
במובן הזה.
היו"ר שמחה רוטמן
ומה זה תופס לי שאיננו העברה ומסירה?
ראובן אידלמן
פרסום.
עמית יוסוב עמיר
פרסום, כן.
ראובן אידלמן
פרסום המידע.
קריאות
- - -
נעמה מנחמי
מישהו עבר, הסתכל על המחשב, אז זו לא הייתה העברה, אבל - -
עמית יוסוב עמיר
זה גילוי.
נעמה מנחמי
- - אבל הוא כן גילה את המידע שנמצא עליו.
ד"ר עמרי רחום טוויג
גילוי – זו פעולה אקטיבית, לא פסיבית.
דלית בן-ישראל
צריך לשנות את זה לגישה. זו גישה למידע.
קריאות
- - -
היו"ר שמחה רוטמן
אני מבין את המטרה. אני חושב שאנחנו משלמים מחיר מאוד כבד על חוסר בהירות וחוסר תאימות כאשר אנחנו נצמדים להגדרות הישנות בלי לעשות את העבודה יסודות שנדרשת, של איחוד. אני חושב שהיינו עולים על זה הרבה יותר אם היינו עושים סעיף הגדרות אחוד, עוברים איתו לפי סדר אלפביתי, ולא עושים הפניות מפרק 7 לפרק 3 לפרק 2 לפרק 5, למחזיק שבכלל לא מוגדר מנהל שהוא בעל שליטה. זה חלק מהאירוע.

אני חושב שההגדרה של עיבוד היא שזה שימוש ואיסוף, ואיסוף הוא אחסון – כי הוספנו את האחסון שלא היה כתוב קודם. אז מה ההבדל בין איסוף לאחסון? תילי תילים של חוות דעת. אתה וכל שופט שיעסוק בנושא, תדונו בשאלה מהו איסוף ומהו אחסון ולמה זה רלוונטי. אני לא מצליח להבין את ההבדל בין איסוף לאחסון, איך אוספים משהו בלי לאחסן אותו, איך מאחסנים משהו בלי לאסוף אותו. באמת לא ברור לי.
ראובן אידלמן
אלה שלבים שונים בחיי המידע. זאת הייתה התכלית. יש דינים שמתייחסים לאיסוף.
היו"ר שמחה רוטמן
איפה הם? איפה הדינים מתייחסים?
עמית יוסוב עמיר
נגיד בסעיף 11 לחוק הזה, שלב קבלת המידע.
ראובן אידלמן
יש גם דינים אחרים, שמסמיכים גופים כאלה ואחרים בתחום איסוף המידע. לכן חשבנו, יש לזה התייחסות נפרדת - -
היו"ר שמחה רוטמן
אבל אתה לא יכול לעשות - - -
ראובן אידלמן
- - אבל בסדר, אנחנו יכולים להתקדם בכיוון של אדוני.
עמית יוסוב עמיר
אין בעיה, אין התנגדות.
היו"ר שמחה רוטמן
המילה איסוף מופיעה בסעיף 11? לא.
עמית יוסוב עמיר
משתמשים במילה קבלה. גם ב-GDPR מגדירים עיבוד ואחר כך משתמשים במילים אחרות גם.
ראובן אידלמן
אגב, ב-GDPR, collection מופיע במפורש בתוך הגדרת process.
עמית יוסוב עמיר
כן.
קריאה
עיבוד.
היו"ר שמחה רוטמן
נכון, בתוך הגדרת process.
נעמה מנחמי
יש פעם אחת בחוק שורש שעוסק באסף, נאסף או אוסף - -
היו"ר שמחה רוטמן
נאסף תשרי.
נעמה מנחמי
- - וזה בסעיף 10(א), בבקשה לרישום מידע, ביחס למידע.
עמית יוסוב עמיר
הכוונה היא לאיסוף וקבלה. אם צריך, נכתוב גם איסוף וגם קבלה.
היו"ר שמחה רוטמן
בקיצור, אני מציע הגדרה אחת של עיבוד, שימוש בהקשרים אחרים, למקד אותה או להחליף אותה כדי שיהיה ברור. אני חושב שבשפת בני אדם עיבוד זה מחשב ושימוש זה אדם, ככלל.
עמית יוסוב עמיר
רק חשוב להבהיר שכל שימוש הוא עיבוד. זה הדבר היחיד שחשוב, כל השאר זה עניינים ניסוחיים.
דן אור-חוף
ובהתאם לזה, מחזיק מאגר צריך להיות מעבד אולי.
היו"ר שמחה רוטמן
ואז יש לנו הגדרה של עיבוד ובעל שליטה, ואז ממילא במחזיק אנחנו אומרים שהוא מעבד את המידע.
ליאור אתגר
אבל ייתכנו מצבים שהמחזיק אוסף את המידע.
ד"ר עמרי רחום טוויג
אבל זה יהיה בעיבוד. עיבוד יכלול גם איסוף.
היו"ר שמחה רוטמן
אבל עיבוד כולל גם איסוף.
ליאור אתגר
אם עיבוד יכיל את זה, זה מעולה.
היו"ר שמחה רוטמן
רק לעניין סדר היום. אני מתאר לעצמי, לא יודע מה איתכם, שאנשים צריכים קצת התאווררות אחרי כל השימוש והעיבוד הזה. אנחנו תכף נצא להפסקה של כ-20 דקות, לטובת עיבוד ושימוש.
ד"ר עמרי רחום טוויג
כולנו נשמח.

עוד הערה/הצעה מהותית להגדרת העיבוד, לפני שעוברים הלאה, זה נושא שעלה בדיונים קודמים ואמרנו שנדחה אותו עד שנגיע לשאלת העיבוד, אז הינה, הגענו לשאלת העיבוד: סוגיית ההתממה, ויש לי גם הפתעות מהאקדמיה ללשון, לבקשותיו של אדוני.

קודם כל, רק הבהרת מונחים. מסתבר שהמונח התממה כבר לא בשימוש והוא כבר לא מונח רשמי של האקדמיה ללשון. המונח הרלוונטי הוא עילום מידע.
נעמה מנחמי
היה עדיף שלא נדע את זה.
ד"ר עמרי רחום טוויג
עדיף שלא נדע את זה.
היו"ר שמחה רוטמן
פרשת השבוע קודם-קודם: והינה אנחנו מאלמים אלומים.
ד"ר עמרי רחום טוויג
ממש.

ולגבי הפסאודונימיזציה, כלומר עילום לא מוחלט אלא עילום חלקי, ההצעה של האקדמיה ללשון היא עילום בבדיה או בדיית זהות.
היו"ר שמחה רוטמן
אגב, אני הייתי אומר שאם השורש הוא אלמוני, ואלמוני הוא שורש מרובע, הם היו צריכים: אלמון ולא אילום. אבל בסדר. אבל יש אלמון ב-א', שזאת פעולה להפוך מישהי לאלמנה, אז זאת קצת בעיה.
ד"ר עמרי רחום טוויג
עילום, לא עילמום.
היו"ר שמחה רוטמן
אני יודע. אבל השורש הוא אלמוני, לא אלומה.
ד"ר עמרי רחום טוויג
עילום – עם ע'.
היו"ר שמחה רוטמן
עילום, הבנתי. אני חשבתי שזה להפוך אותו לאילם.
ד"ר עמרי רחום טוויג
לא, לא. עילום, להפוך אותו לעלום.
ד"ר רחל ארידור הרשקוביץ
עלום שם.
היו"ר שמחה רוטמן
זאת הבעיה של העדה. אגב, התחלופה הזאת מגלה על מוצאו של האדם.
קריאה
נכון, אולי, לא יודע.
היו"ר שמחה רוטמן
כי אין לנו את ה-ע' כמו שצריך.
ד"ר עמרי רחום טוויג
אפשר לנסות לעשות ניחושים אחרי זה.
היו"ר שמחה רוטמן
חשבתי להפוך את המידע לאילם.
ד"ר עמרי רחום טוויג
מעבר לאנקדוטה הלשונית, שאפשר יהיה להתווכח עליה ועל איך מגדירים את ההגדרות, זה בדיוק המקום להגדיר בהגדרה מהו עיבוד, שפעולות שכל מטרתן היא הסרת זהות ממידע, כלומר העילום או ההתממה שלו לא ייחשבו עיבוד.

זה המקום להוסיף את ההחרגה הזאת.
עמית יוסוב עמיר
זה לא קשור להגדרה הזאת. זאת הוראה מהותית וזה לא - - -
ד"ר עמרי רחום טוויג
למה זאת הוראה מהותית?
היו"ר שמחה רוטמן
א', זה באמת לא קשור להגדרה. אבל בוודאי שפעולת ההתממה היא עיבוד. אחרי התוצר המידע כבר איננו מידע, אבל ההתממה עצמה היא פעולת עיבוד במידע הפרטי.
ד"ר עמרי רחום טוויג
כעניין טכני – זה כמובן נכון. כעניין נורמטיבי, הרעיון הוא - - -
היו"ר שמחה רוטמן
לכן זה לא הגדרה, אלא נורמטיבי.
ד"ר עמרי רחום טוויג
להגדרה יש ממדים נורמטיביים רבים.
היו"ר שמחה רוטמן
אני יודע, ולכן זה לא הגדרה, אלא להגיד: מישהו שכל תפקידו הוא לקחת מידע. בסדר, טוב, מובן. זה לא לעניין הגדרה, זה באמת לעניין הוראה אופרטיבית.
ד"ר עמרי רחום טוויג
שצריך יהיה להוסיף אותה איפשהו.
היו"ר שמחה רוטמן
נכון, יכול להיות, אבל לא פה.
קריאה
בתיקון 15.
ד"ר עמרי רחום טוויג
לא ,לא בתיקון 15.
היו"ר שמחה רוטמן
לא משנה כרגע איפה. אבל לא בהגדרת העיבוד, כי זה בוודאי עיבוד.
קריאה
ברור.
היו"ר שמחה רוטמן
אתה לוקח מידע פרטי ועושה עליו עבודה. יכול להיות שבסוף העבודה הוא כבר לא יהיה מידע פרטי, אבל העבודה שאתה עושה היא בוודאי עיבוד.

השעה היא 11:31. נשוב ונתכנס בשעה 12, לאחר התממה, עיבוד, שימוש או כל פעולה אחרת שתרצו לעשות במהלך אותה חצי שעה.

יצאנו להפסקה.

(הישיבה נפסקה בשעה 11:31 ונתחדשה בשעה 12:04)

(אחרי כן – הדס כהן)
היו"ר שמחה רוטמן
טוב. שבנו אחרי שעשינו פעולת עיבוד למה שעבר עלינו בבוקר. דיברנו על העיבוד, ואז אנחנו חוזרים להגדרת בעל השליטה במידע, והמחזיק, שבעצם בעל השליטה הוא כרגע - - -
נעמה מנחמני
מי שקובע את מטרות עיבוד המידע – בגדול.
היו"ר שמחה רוטמן
""בעל שליטה במאגר מידע" – מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך;";



אז לגבי הגדרת הניהול, אילו גופים הוסמכו בחיקוק לנהל מאגרי מידע?
עמית יוסוב עמיר
המשטרה לעניין המרשם הפלילי, לדוגמה.
היו"ר שמחה רוטמן
מופיעה שם המילה ניהול, או תחזיק מאגר מידע?
עמית יוסוב עמיר
לא, לא בהכרח. יש כל מיני.
היו"ר שמחה רוטמן
השאלה היא לגבי הגדרת ניהול. אמרנו שהגדרת ניהול היא מאוד בעייתית – לנהל, ניהול.
ראובן אידלמן
לנהל זאת הפעולה שבעל השליטה עושה. זאת התפיסה, לנהל מאגר מידע.
עמית יוסוב עמיר
בסוף ככלל אנחנו מתמקדים פה בקביעת התכליות. העניין הוא שלגבי מי - - -
היו"ר שמחה רוטמן
מאגר בחיקוק, אז הוא לא קובע את התכליות לשימוש שהחוק קובע לו.
עמית יוסוב עמיר
בדיוק. צריך למצוא פועל אחר.
היו"ר שמחה רוטמן
אבל הוא אחראי על מאגר המידע.
עמית יוסוב עמיר
להפעיל.
היו"ר שמחה רוטמן
מפעיל, מחזיק.
עמית יוסוב עמיר
את הביטוי מחזיק אנחנו לא רוצים.
היו"ר שמחה רוטמן
אני יודע. אבל מה זה הביטוי מנהל? שוב, בחקיקה, יכול להיות שהוסמכתי בחיקוק להשתמש במאגר מידע? לעבד מידע במאגר מידע? להחזיק מאגר מידע?
עמית יוסוב עמיר
קודם כול, להקים ולהפעיל.
ראובן אידלמן
בסעיף 10(ב2) לחוק הקיים כתוב למשל "לנהל או להחזיק את המאגר". זה המונח שנעשה בו שימוש. ההבדל הוא שלנהל זה מה שבעל השליטה עושה, ולהחזיק זה מה שהמחזיק עושה. זאת ההבחנה.
היו"ר שמחה רוטמן
הבנתי.
ד"ר עמרי רחום טוויג
לשלוט זה מה שבעל השליטה עושה, לא?
ד"ר רחל ארידור הרשקוביץ
ההפניה לחוק הקיים היא לא בהכרח הופכת את ההגדרה כאן למשהו נכון.
היו"ר שמחה רוטמן
לא, לא, זה ברור, זה ברור. אני רק אומר שבייחוד אם ההסמכה בחיקוק לנהל מאגר מידע, האם זה הביטוי שמשתמשים בו בחיקוקים. "המשטרה תנהל מאגר מידע" זה מה שכתוב?
ראובן אידלמן
לרוב זה לא יהיה מנוסח ככה, אבל ברגע שיש בחוק הסמכה לאסוף מידע לצורך מילוי תפקיד כזה או אחר, אז ברור שזו הסמכה - - -
היו"ר שמחה רוטמן
כן, כתוב.
איה מרקביץ
כלומר, זה צריך להיות הסמכה בחיקוק לעבד מידע.
ד"ר עמרי רחום טוויג
נכון. לעבד מידע ממאגר מידע.
היו"ר שמחה רוטמן
"המשטרה תנהל מרשם פלילי"?
ד"ר עמרי רחום טוויג
למה לא "לעבד" גם פה?
היו"ר שמחה רוטמן
לא, לא. פה לא מתאים עיבוד.
לירון מאוטנר-לוגסי
היו"ר, אני דווקא חושבת שאם עיבוד כולל את כל השלבים של המידע, שזה גם האיסוף וגם השימוש וגם האחסון, אז דווקא "לעבד" נראה לי יכול להיות פתרון.
היו"ר שמחה רוטמן
יכול להיות, כן.
נעמה מנחמני
הינה, נראה נגיד בחוק המרשם הפלילי - - -
היו"ר שמחה רוטמן
"מרשם המנוהל על ידי המשטרה". משתמשים במילה ניהול.
עמית יוסוב עמיר
בחוק נתוני האשראי "יקים".
היו"ר שמחה רוטמן
"יקים". זה מה שאני אומר. השאלה האם יהיה הבדל בחקיקה בין מי שמקים, מנהל או אחר. טוב, זו בעיה שאנחנו עושים פה טלאי על טלאי על טלאי ועוד כמה טלאים, אבל אולי הייתי מכניס בתוך הגדרת עיבוד את המילה ניהול – לא יודע מה היא אומרת – "הוסמך לעבד את המידע שבמאגר".
עמית יוסוב עמיר
הניהול כשלעצמו הוא לא עיבוד. לצורך העניין, אני יכול להיות מנהל מאגר של מידע אישי ולא להיחשף לשום מידע אישי.
היו"ר שמחה רוטמן
לא. אז אתה מאחסן אותו.
עמית יוסוב עמיר
לא, אני אחראי עליו.
היו"ר שמחה רוטמן
אבל אתה מאחסן אותו?
עמית יוסוב עמיר
פעולת הניהול היא לא עיבוד.
היו"ר שמחה רוטמן
מה זאת אומרת? כאשר אני מנהל מה אני עושה?
עמית יוסוב עמיר
אני אחראי על פעולות העיבוד. גם בסעיף 17, נגיד חוק נתוני אשראי: "המאגר ינוהל בידי עובד בנק ישראל שימנה הנגיד", לדוגמה.
היו"ר שמחה רוטמן
אוקיי. מה הוא עושה? מה עושה אותו עובד שאחראי על ניהול המאגר? הוא אוסף את המידע.
עמית יוסוב עמיר
לא בהכרח.
היו"ר שמחה רוטמן
שנייה. זה מה שהוא עושה. אני לא יודע מה בהכרח או לא בהכרח, זה מה שהוא עושה. הוא אוסף את המידע, הוא מחזיק בו, הוא מעביר אותו, הוא משתמש בו, הוא מוציא אותו, או שהוא מסמיך אנשים אחרים לעשות את זה מטעמו. אבל עדיין הוא האחראי על המאגר. לכן, כל הפעולות שמתבצעות במאגר הוא מבצע אותן בעצמו או באמצעות אחר. לכן, כל פעולה שהוא עושה היא בהגדרה "עיבוד" – אם הוא אסף את המידע, אם הוא אחסן אותו, אם הוא העביר אותו, אם הוא גילה אותו.
עמית יוסוב עמיר
אני רק אומר, לא כל פעולה שהוא עושה, כי יש פעולות למשל שהוא מקים את תשתיות המחשוב, הוא דואג לאבטחת המידע.
היו"ר שמחה רוטמן
קיום תשתיות מחשוב זה לא קשור למאגר המידע.
עמית יוסוב עמיר
לא, תשתיות המחשוב שעליהן יושב מאגר המידע.
קריאה
או שלא. זה יכול להיות גם במיקור חוץ.
היו"ר שמחה רוטמן
לא הבנתי.
נעמה מנחמני
לא. אני חושבת שהכוונה היא שכשאתה מנחה בחקיקה מישהו לנהל מאגר, אתה מתכוון שהוא אולי גם יקים את התשתיות, אולי גם יקבע כל מיני הוראות מינהליות עקיפות.
היו"ר שמחה רוטמן
בקיצור, אני הקמתי תשתית, עוד לא אחסנתי בו טיפת מידע, לא עשיתי כלום. בשנייה שהכנסתי בו מידע, נהייתי מנהל מאגר מידע ואז אחסנתי.
עמית יוסוב עמיר
אפשר "הוסמך בחיקוק לעבד מידע". זה באמת יותר כללי?
היו"ר שמחה רוטמן
כן. שוב, השאלה אם אתם תרצו להבדיל בין "הוסמך בחיקוק לעבד בין האחראי לבין המחזיק". כי לכאורה יכול להיות מאגר מידע שמנוהל על ידי המשטרה, אבל גם לגופים אחרים מותר לעבד את המידע שבו בדרך כזו או אחרת.
עמית יוסוב עמיר
אלה מקרים כבר של העברות מידע. זאת אומרת, אם גוף מקבל את המידע לצרכים שלו, זה כבר מאגר מידע אחר עם מנהל אחר ותכליות אחרות.
ד"ר עמרי רחום טוויג
וגם ההתייחסות כאן היא לגוף שהוסמך בחיקוק. כלומר, אין כאן התייחסות אינדיבידואלית לאדם. גוף שהוסמך לחיקוק.
עמית יוסוב עמיר
כן, ההתייחסות פה היא לגוף. זאת אומרת, אפילו אומרים: עובד בנק ישראל ינהל.
היו"ר שמחה רוטמן
אוקיי. אז אנחנו נוריד את הניהול, כי אחרת הוא לא יקים, לא ייכנס. לך תדע.
לירון מאוטנר-לוגסי
אני רק אגיד לפרוטוקול שכמובן זה לא שההסמכה צריכה להגיד במפורש שהוא מוסמך לעבד את - - -
היו"ר שמחה רוטמן
ברור, ברור. בשביל זה יש הגדרה של עיבוד.
לירון מאוטנר-לוגסי
כן. אז אני אומרת, זה כולל גם סיטואציות כמו להקים, לנהל וכו'.
היו"ר שמחה רוטמן
כן, ודאי. אוקיי. אז עכשיו שוב: ""בעל שליטה במאגר מידע" – מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק"
– "לעבד" או "לקבוע את מטרות עיבוד המידע" – "או שבעל תפקיד בו הוסמך לכך כאמור;";



בדרך כלל ב"הוסמך בחיקוק", אז החיקוק קבע את מטרות עיבוד המידע, אבל הוא מוסמך לעבד.
נעמה מנחמני
הדגש הוא על המטרות של עיבוד המידע, להבדיל מקביעת אמצעי עיבוד המידע המהותיים או לא מהותיים שמופיע גם ב-GDPR. וכאן הייתה בחירה לא לאמץ את זה.
היו"ר שמחה רוטמן
שנייה, עוד לא הגענו לשם. אני רוצה שנדבר על זה אבל עוד לא הגענו לשם. גוף "שבעל תפקיד בו הוסמך לכך כאמור", דהיינו, העובד של בנק ישראל. מיהו המנהל, העובד או בנק ישראל? כי לכאורה, לפי ההגדרה הנוכחית עכשיו המנהל הוא בנק ישראל.
ראובן אידלמן
לא.
היו"ר שמחה רוטמן
כן, זה מה שכתוב.
ראובן אידלמן
בעל השליטה, לא המנהל.
היו"ר שמחה רוטמן
בעל השליטה, סליחה.
עמית יוסוב עמיר
נכון, בעל השליטה הוא בנק ישראל.
היו"ר שמחה רוטמן
בעל השליטה הוא בנק ישראל. בגלל שעובד של בנק ישראל הוסמך, אז בעל השליטה הוא בנק ישראל.
עמית יוסוב עמיר
נכון.
היו"ר שמחה רוטמן
לא העובד.
עמית יוסוב עמיר
לא העובד.
היו"ר שמחה רוטמן
רק רציתי לוודא שאנחנו באותו עמוד. בסדר.
ראובן אידלמן
בעל השליטה הוא הארגון.
היו"ר שמחה רוטמן
בסדר. אוקיי.
נעמה מנחמני
עכשיו לגבי המטרות. כאמור, יש כאן דרישה של שליטה במטרות עיבוד המידע, אבל לא באמצעי עיבוד המידע. אולי משרד המשפטים יסביר את הבחירה לנקוט בדרך הזאת.
עמית יוסוב עמיר
כן. אנחנו בוודאי מודעים להגדרה ב-GDPR. צריך להבין שאנחנו מתאימים הגדרה לסט ההוראות המהותיות שקיימות כרגע בחוק הגנת הפרטיות. אם אנחנו נכתוב פה שאחד התנאים להיות בעל שליטה במאגר מידע זה להיות זה שקבע גם את אמצעי עיבוד המידע, אותם בעלי שליטה שלא קובעים את האמצעים, אלא לצורך העניין הם שוכרים שירותים של מחזיק שהוא מומחה לנושא והוא קבע את האמצעים, הם יצאו מההגדרה של בעל שליטה במאגר מידע, ואנחנו מאוד לא מעוניינים.
היו"ר שמחה רוטמן
למה הם יצאו? אם אתה אומר את המילה "או" ואתה כותב "לבדו או ביחד עם אחר", אז שניהם יהיו בעלי שליטה.
עמית יוסוב עמיר
לא. המטרה היא להפריד בין בעל השליטה לבין המחזיק. קו השבר, או הקו המפריד, על מי שקובע תכליות. אני עכשיו בעל נגרייה. אני מייצר רהיטים, ואת כל נושא השיווק, המכירה והתשלומים, אני שוכר שירות של חברה שמתמחה בנושא. אני לא מבין באמצעי עיבוד מידע, אבל עיבוד המידע הוא בשבילי. אני שכרתי את השירותים, אני רוצה למכור רהיטים. אני לא רוצה שעכשיו בגלל שאמרתי שמי שקובע את האמצעים זו אחת החלופות להגדרה של בעל שליטה, פתאום החברה החיצונית, שהיא רק נותנת לי שירות ורק מעבדת עבורי את המידע, הופכת להיות חלק מבעלי השליטה. היא לא בעלת השליטה, היא ספק שלי, היא מחזיק במידע.
היו"ר שמחה רוטמן
אבל היא לא קובעת כלום, כי היא פועלת מכוחך.
עמית יוסוב עמיר
לא, את האמצעים. בטח, היא קובעת את האמצעים.
היו"ר שמחה רוטמן
היא לא קובעת, היא פועלת מכוחך.
עמית יוסוב עמיר
אני נגר, אני לא יודע - - -
היו"ר שמחה רוטמן
סליחה, יש לי שאלה אליך. אני עורך דין ויש לי לקוח – במקרה לא התעסקתי בפלילי – ויש לו מטרה לצאת זכאי. יש כל מיני אמצעים. הוא יכול לטעון לחפות, הוא יכול להגיד: אין להשיב לאשמה. הוא יכול לעשות כל מיני דרכים, הוא יכול לפקפק באמינות של העד או לטעון שהראיות הושגו במרמה. יש כל מיני אמצעים. נכון שבדרך הטבע המטרה היא שלו והאמצעים הם שלי. בפועל אני פועל בשליחותו. אני מיידע אותו או לא מיידע אותו. יכול להיות שהוא יתבע אותי על רשלנות מקצועית, אבל בסופו של דבר גם האמצעים שבאמצעותם אני מוציא אותו זכאי הם גם בשליטתו. אני רק מבצע עבורו, אפילו שהאמצעים הם מאוד מאוד מגוונים.

שוב, אני לא מהנדס מאגרי מידע ולא מתכנן שלהם. אבל זה שמישהו שכר אותי לעשות עבודה מסוימת, גם אם הוא אמר לי: תוציא אותי זכאי בכל דרך אפשרית; אפילו אם הוא אמר לי את המשפט הזה – בכל דרך חוקית אפשרית, אני לא מדבר על דרכים לא חוקיות – הוא שלט בזה שהוא לא הגביל אותי באמצעים שאני אשתמש. אז הוא שלט בזה. אני לא יכול לפעול אלא בשליחותו.
עמית יוסוב עמיר
רק להבהיר. כמובן שאין לנו שום כוונה ושלא ישתמע פה מאופן ניסוח ההגדרה שאנחנו באים להסיר מאחריות בעל השליטה במאגר מידע לנעשה עם המידע שבמאגר, לרבות בידי המחזיק. יש הוראות בתקנות אבטחת מידע שמסדירות את היקף האחריות של - - -
היו"ר שמחה רוטמן
לא, יש למחזיק המון דברים. אבל יש לי בעיה עם הבעיה שלכם. זה לא שיש לי פתרון לבעיה שלכם, יש לי בעיה עם הבעיה. אם אנחנו ב-GDPR, בעל השליטה הוא מי שקובע את המטרות והאמצעים. עכשיו אתה בא ואומר לי שאם אני לוקח קבלן משנה אני לא שולט באמצעים. אני לא מכיר את הטיעון הזה. יש אחריות שילוחית, יש מה שאתה רוצה, הוא עובד בשבילי.
ראובן אידלמן
אנחנו לא רוצים לצמצם את האחריות של בעל שליטה. הוא הדמות המרכזית. החובות הן עליו. בדיני הגנת הפרטיות הוא הדמות המרכזית.
היו"ר שמחה רוטמן
אבל לא צמצמת.
ראובן אידלמן
אם אנחנו אומרים שהוא חייב לקבוע גם את האמצעים כדי שנראה בו בעל שליטה, אנחנו פותחים פתח מאוד גדול לגלגל את האחריות למחזיק. וזה אנחנו לא מוכנים. האחריות היא על בעל השליטה. אנחנו מכירים את זה מאוד מהשטח, את הניסיון הזה לגלגל את האחריות למחזיק. זה יכול להיות כל בעל שליטה.
היו"ר שמחה רוטמן
אני לא יודע איך אתם מכירים את זה מהשטח אם ההגדרות הללו לא קיימות בחוק עד היום.
ראובן אידלמן
נכון. אבל ההגדרה הזאת היא קודיפיקציה מבחינתנו. זאת אומרת, גם היום אנחנו תופסים את בעל המאגר גם בלי שיש הגדרה בחוק. שואלים אותנו: מי הוא בעל מאגר? זה מה שאנחנו עונים: מי שקובע את המטרות של עיבוד המידע. ככה אנחנו עובדים גם בהליכי האכיפה שלנו. ואנחנו מאוד מכירים את הנושא הזה של: אני לא האחראי, זה המחזיק. נגיד בסוגיות של אבטחה, מי היה אחראי לאבטח? אני לא אחראי, המחזיק אחראי.

אנחנו רוצים שהאחריות תהיה אצל בעל השליטה. אדוני, זה יכול להיות כל בעל שליטה. גם בגוף ממשלתי אנחנו יכולים להיתקל. ברגע שאתה קובע שני תנאים, שהוא צריך לקבוע גם את המטרות וגם את האמצעים, זה בעצם פותח פתח להגיד: אני לא קבעתי את האמצעים, אני לא בעל השליטה כי שני התנאים לא מתקיימים לגביי. אנחנו אומרים: לא, מספיק שאתה קובע את המטרות אנחנו רואים בך בעל השליטה, ואתה אחראי גם על מה שקורה אצל המחזיק. זאת המטרה – לקחת תנאי אחד ולא את שני התנאים המצטברים.
היו"ר שמחה רוטמן
אולי בגלל חוסר התאימות בין ה-ו/או? אני חושב שמי שקורא את - - -
עמית יוסוב עמיר
לא, אבל אם רק את האמצעים - - -
היו"ר שמחה רוטמן
שנייה. איך זה עובד ב-GDPR? אני שואל, ב-GDPR בן אדם שקובע רק את המטרות ולא מתעסק באמצעים, אז הוא מסיר מעצמו אחריות? איך זה עובד?
עמית יוסוב עמיר
ב-GDPR יש חובה, בין השאר כל מיני חובות – אולי בעתיד נרצה להוסיף בחוק הגנת הפרטיות –לקבוע את אופן עיבוד המידע באופן שמצמצם את הפגיעה בפרטיות. יש חובות כאלה על בעל השליטה. זאת אומרת, ההגדרה היא לא בחלל הריק שם.
היו"ר שמחה רוטמן
ברור.
עמית יוסוב עמיר
אנחנו בהחלט נשמח בהמשך להוסיף חובות כאלה גם בדין הישראלי. כרגע הן לא קיימות והן גם לא מופיעות בהצעת החוק. שוב, יש הסדרה ברמה של תקנות בתקנות אבטחת מידע, ויש את העיקרון הכללי של האחריות שאנחנו לא גורעים ממנו פסיק. אבל להגיד שהוא צריך לקבוע את האמצעים, וכמו שהיועץ המשפטי של הרשות להגנת הפרטיות מבהיר פה, יבואו אחר כך אנשים ויגידו: אני לא קבעתי את האמצעים, אני לא מבין באמצעים האלה כלום. בחוזה שלי כתוב שהמחזיק דואג בעצמו לכל האמצעים והוא דואג שהם לפי החוק, אז אני לא בעל השליטה; אז הוא מסיר מעצמו את האחריות. אנחנו רוצים להימנע מזה שייווצר מצב לא ברור ונוצרת עמימות מי בעל השליטה. לא, בעל השליטה הוא מי שקובע את המטרות. האחריות על האמצעים, על אבטחת המידע ועל כל הדברים היא קבועה בהוראות ספציפיות.
היו"ר שמחה רוטמן
טוב. שומע.
ענר רבינוביץ׳
אפשר פשוט להגדיר מהם האמצעים: האמצעים לרבות בחירת המעבד או המחזיק, איך שנקרא לו. כלומר, גם ב-GDPR וגם בפרשנויות ובפסיקות לא נדרשה כזו קפדנות או ירידה לפרטים ברמה של כל אמצעי ואמצעי שה-processor שלי נוקט בהם לעיבוד המידע. די בכך שאני בחרתי בו, הנחיתי אותו איך לעבד את המידע, ותחת העקרונות הכלליים שהכתבתי לו בחוזה הוא יעבד אותם. זה לא הופך אותו לקונטרולר.
דן אור-חוף
אני מהמועצה להגנת הפרטיות. אני חושב שההגדרה בהתאם למטרות היא הגדרה נכונה וחדה. אני חושב שבקונטקסט האירופי, כשהרגולטורים האירופים ניסו לפרש את ההגדרה של קונטרולר ב-GDPR ככזה שהוא גם קובע מי הם האמצעים, הם הבינו שיש בעיה מול המציאות, כי במציאות מי שקובע בדרך כלל את האמצעים זה לא קונטרולר אלא מי שמספק את השירות בפועל. ואז הם נכנסו לאיזו מין פרשנות שאומרת שיש שליטה על אמצעים שהם כן הכרחיים או חיוניים ולא הכרחיים או חיוניים. ואז אם רואים את הפרשנות שלהם, הם בעצם לא מכוונים לאמצעים החיוניים עצמם, אלא מכוונים לכל מיני דברים שהם צריכים להיות בתהליכי קבלת ההחלטות של הקונטרולר כדוגמה איזה בכלל מידע לעבד.
היו"ר שמחה רוטמן
שנייה, שנייה. אבל יש לי שאלה אחרת. בסופו של דבר אנחנו, בוודאי במשטר של עיצומים או במשטר אחר, מחפשים את מונע הנזק הטוב ביותר. זה מה שאני מחפש, לא יודע מה אתם. כלומר, זה שאני יכול להטיל את האחריות על עוד אנשים, אולי זה מאוד נחמד לעניין הטלת העיצומים הכספיים, אבל אני רוצה שזה יהיה אפקטיבי ואני רוצה שזה יהיה מונע הנזק הטוב ביותר. אני לא מבין באמצעי עיבוד מידע. אני מחזיק את המידע, אני יודע מה אני רוצה.

אני בעל מכולת, אני רוצה לכוון את הפרסומות שלי יותר טוב. זה מה שאני רוצה. לא יודע באמצעי העיבוד. לא יודע. לא מבין בזה, לא רוצה את זה. אגיד: למרות שאין לך שליטה על האמצעים או שאין לך ידע מספיק או שאין לך מומחיות מספיקה או לא משנה מה, לאמצעים, אני רוצה שאם הספק מטעמך ישתמש באמצעי, שבעיניי הוא בעייתי למרות שאין לך לא את הידע ולא את הניסיון ולא את היכולת לפקח על זה, אני אכנס בך בעיצום כספי. לכן אני אצטרך לכתוב את ההגדרה המרחיבה. אבל אני לא רוצה. אני רוצה שאם המעבד שמטעמי, המחזיק, עושה פעילות לא חוקית, אני אקח חברה בעלת מומחיות שתיקח את האחריות על זה. אני לא רוצה שבגלל שאני מחזיק במאגר וקובע את המטרות שלו, לעשות לי זהירות יתר.
עמית יוסוב עמיר
זה דיון - - -
היו"ר שמחה רוטמן
אבל זה דיון מהותי. אתה צודק, אבל אתם מתעקשים להכניס אותו לתוך ההגדרה.
עמית יוסוב עמיר
אני מציע לא להכניס אותו לתוך ההגדרה, כי יש כל מיני הסדרים שקבועים לגבי מנהלים ומחזיקים.
היו"ר שמחה רוטמן
כשאני שאלתי אותך למה אתה סוטה מהגדרת ה-GDPR, אמרת: כי אני רוצה להטיל אחריות על מי שיש לו מטרות גם על האמצעים. זאת הייתה התשובה שלך, לא אני אמרתי אותה.
עמית יוסוב עמיר
אז אני אחדד. אולי השבתי בקצרה מדיי. ברור שהנושא המרכזי הוא אבטחת המידע. היום החוק קובע שזה גם הבעלים וגם המחזיק. אני לא מציע לשנות את זה, אבל על זה אפשר לדבר. ההגדרה לא עוסקת רק בזה. למשל, השאלה מי נותן זכות עיון ותיקון. זאת אומרת, עכשיו אני נושא מידע. אני פונה למשרד ממשלתי ואני רוצה שהמשרד הממשלתי הזה יתקן מידע לא נכון עליי שנמצא במאגריו. יש לי זכות לעיין ויש לי זכות לדרוש את התיקון. ההחלטה היא של בעל השליטה. אני לא רוצה שזה עכשיו יצא. בסוף תגיע החברה - - -
היו"ר שמחה רוטמן
אבל דווקא בגוף ממשלתי זה הבן-אדם שלא קובע את המטרות.
עמית יוסוב עמיר
לא. רוב המאגרים הממשלתיים הם לא כאלה שהוקמו בחיקוק, והם כן קובעים את המטרות. בטח לא ספק שירותי המחשוב הוא זה שקובע את המטרות. אם זה שמפיק את תלוש המשכורת של עובדי המדינה, הרי ברור שלא אליו הטענה שלי כשאני אומר שם פרט לא נכון. אני פונה למעביד, נכון?
היו"ר שמחה רוטמן
נכון. אתה אומר: אל תפנה אותי למי שמאחסן, תפנה אותי למי שקובע למה מחזיקים את המידע.
עמית יוסוב עמיר
אני אומר שני דברים. בהגדרה אנחנו רוצים לוודא שלא נופלים בין הכיסאות, שלא מוצאים מצב של מאגר מידע שאין לו בעלים – אחד קבע את התכליות, השני קבע את האמצעים, ואין לנו אף אחד שקבע גם את התכליות וגם את האמצעים.
היו"ר שמחה רוטמן
אני מתקשה לזהות סיטואציה כזאת. אבל אני אגיד לך יותר מזה. בוא נניח שיש לי בעל מידע אחד שקבע חצי מהמטרות, והשני שקבע חצי מהמטרות.
ראובן אידלמן
אלה בעלי שליטה במשותף.
היו"ר שמחה רוטמן
אוקיי. אז אני נופל בין הכיסאות אותו דבר.
עמית יוסוב עמיר
לא, לא, יש לך שניים.
היו"ר שמחה רוטמן
יש לי שניים.
עמית יוסוב עמיר
ביחד ולחוד. אבל אני לא רוצה למצב שאין אף אחד.
היו"ר שמחה רוטמן
תן לי דוגמה מהחיים האמיתיים שאתה תגיד לי שבגלל שהבן-אדם לא קובע את האמצעים, גם לא באמצעות אחר או באמצעות אחריות שילוחית או לקיחת בעל מקצוע, הוא יגיד: אני לא בעל שליטה.
עמית יוסוב עמיר
לא, רגע. שוב, היום אני לא אגיד. החשש הוא שאם נאמץ את ההגדרה GDPR - -
היו"ר שמחה רוטמן
לא, אם יהיה כתוב ב-GDPR.
עמית יוסוב עמיר
- - אותו בעל נגריה, שהוא אומן אבל הוא לא מתמצא בכלל בשירותי מחשוב. הוא שכר מישהו, הוא לא קבע אף אחד מהאמצעים, זה ג'יבריש בשבילו. בכל השמות של האמצעים הוא פשוט לא מבין. הוא לא עוסק בזה, זה לא מעניין אותו. הוא יוכל להוכיח באותות ובמופתים שהוא לא קבע את האמצעים. הוא לא יודע בכלל מה האמצעים, אז איך יכול להיות שהוא קבע אותם? ואז אם מאמצים את ההגדרה הזאת, אנחנו עלולים לפתוח פתח שיאפשר - - -
היו"ר שמחה רוטמן
לא. מה שיקרה זה - - -
ראובן אידלמן
זאת טענה שיכולה להישמע - - -
היו"ר שמחה רוטמן
שנייה, רק רגע. מה שיקרה זה שהוא יחד עם אחר מחזיקים במטרות ושולטים במטרות ובאמצעים. הוא שולט במטרות והוא שולט באמצעים ביחד עם אחר. כמו שיכול להיות שמטרה אחת אני ומטרה אחת הוא, יכול להיות שהמטרה אני ואמצעים הוא. זה עדיין ביחד עם אחר.
ראובן אידלמן
ההנחה היא שאתה מזמין שירות. בעל השליטה מזמין שירות. הוא לא יודע איך זה נעשה, הוא מקבל את התוצר.
היו"ר שמחה רוטמן
נכון.
ראובן אידלמן
אבל הוא מוסר מידע אישי. הוא את מאגר המידע האישי שלו מעמיד לרשותו של המחזיק. הוא נושא באחריות גם מבחינת אבטחת מידע. אדוני, יש בתקנות אבטחת מידע חובות פיקוח מאוד משמעותיות לבעל השליטה על מה שקורה אצל המחזיק. אני אומר כי נדמה לי שהזכרת את זה קודם.
היו"ר שמחה רוטמן
אני יודע. אני יודע שיש לו חובות. תכף נדבר על זה. לכן השאלה היא האם אני נושא בהם לבד, או הוא ואני – אני כבעל שליטה והוא כמחזיק – או שאני אומר: לא. בגלל שהמטרות אצלי והאמצעים אצלו, שנינו ביחד בעל השליטה, כי אני מחזיק יחד עם אחר את המטרות והאמצעים.
עמית יוסוב עמיר
ההפרדה היא מאוד חשובה, כי אם אנחנו מאפשרים לספק להיות מוגדר כבעל השליטה, אז אחר כך בשלב הבא הוא יגיד: טוב, אז אני קובע עוד תכליות, כי אני בעל השליטה ובעל השליטה יכול לקבוע את התכליות. ההבחנה פה היא מאוד חשובה.
היו"ר שמחה רוטמן
לא הבנתי. החוק הזה נותן הסמכה לבן אדם לקבוע תכליות? לא הבנתי. אני קבעתי שבן אדם ששולט יחד עם אחר במטרות ובאמצעים הם בעלי השליטה. ואני עשיתי איתך סיכום, אמרתי: אני קובע במטרות, אתה באמצעים; אז בגלל זה אתה פתאום תוכל לקבוע מטרות? איך זה עובד?
ד"ר עמרי רחום טוויג
לא. למה שהשני יהיה בעל שליטה אם הוא לא שולט במטרות? המטרות הן הסיפור הקריטי כאן. בסוף המטרה היא הליבה. מטרת השימוש במידע היא הליבה. זה המקרה החריג שבו אני מסכים עם הנוסח של ייעוץ וחקיקה ושל הרשות. הסיפור העיקרי שקובע מי שולט במידע הוא היכולת לקבוע את מטרות השימוש במידע. האמצעים יכולים להשפיע אולי על סוגיות של אבטחת מידע בשוליים. ויותר מזה, אני אגיד לאדוני שאם בגלל האמצעים – איך שאדוני הגדיר קודם – מי שישתמש באמצעים לא חוקיים או יעשה משהו אחר, הוא חורג מגדרי ההנחיה שבעל השליטה נתן לו והוא יהפוך להיות בתורו בעל שליטה עצמאי ונפרד, לא ביחד עם בעל השליטה אלא עצמאי.
היו"ר שמחה רוטמן
טוב.
ד"ר עמרי רחום טוויג
אגב, אני רק אגיד שזה דווקא לקח חשוב ממה שקורה ב-GDPR. אני חושב שגם הרגולטורים האירופים, בתי המשפט באירופה, מבינים שההגדרה הזאת לא טובה ויוצרת תוצאות מוזרות, והם מנסים to push back גם שם.
היו"ר שמחה רוטמן
איה, בבקשה.
איה מרקביץ
תודה. אני מ-Privacy Team. בכל הכבוד, אני חולקת על עמדתו של עמרי וגם עם עמדתו של משרד המשפטים בעניין הזה. אני חושבת שאין פה סיבה טובה לסטות מה-GDPR. גם קביעה של מטרות זה יכול להיות קונסטרוקטיבי באותה מידה, במסגרת של בחינה של אירוע שבו בעל שליטה במאגר מתקשר עם מעבד שנותן לו שירות. כלומר, היכולת של בעל שליטה לקבל את ההחלטה, לפעמים אתה פשוט מקבל עסקת חבילה ואתה לוקח את זה take it or leave it. אבל עדיין יש לך את האחריות להחליט אם אתה לוקח את החבילה הזאת, את השירות שמציעים לך, או לא. זו אותה מידה לגבי אמצעים. כלומר, לפעמים יש קשר אינהרנטי בין קביעת אמצעים מהותיים ובין מטרות של עיבוד.

תחשבו למשל, אני נותנת כ-processor, כמעבד, שירות לארגונים אחרים של כלי של HIRS, של Human Resources Information System, כלי שארגונים אחרים משתמשים בו כדי לעבד את המידע של העובדים שלהם. עכשיו אני, בתור המעבד שנותן שירותים לאחרים, מוסיפה עוד אמצעי, והאמצעי הזה הוא נניח איזשהו אלגוריתם שרץ על המידע של עובדים או לקוחות של ארגונים אחרים, ומסיק עכשיו עוד משהו. נגיד, העובד הזה הולך לעזוב. אני מזהה לפי האינטראקציה שלו עם המערכת שכדאי להגיד ללקוחות שהולך להיות איתו דבר כזה או אחר. ואולי אני בעצם רוצה אפילו לעשות משהו למטרות שלי, שאני מייצרת איזה שירות חדש על בסיס המידע שהפקתי. הכול היה באמצעות אמצעי חדש, אלגוריתם חדש שהרצתי על זה. המשמעות של זה שאנחנו אומרים שבעל השליטה בהגדרה שלו קובע את הרכיב ההכרחי שנכלל באמצעים היא שעכשיו המעבד שלי, שרוצה להשתמש באלגוריתם חדש ובעצם יוצר מטרה חדשה של העיבוד – האמצעי יוצר מטרה חדשה – צריך לקבל את ההרשאה של בעל השליטה.
ד"ר עמרי רחום טוויג
כי יש מטרה חדשה.
איה מרקביץ
האמצעי והמטרה הם לא דבר שאתה יכול להפריד - - -
ד"ר עמרי רחום טוויג
לא. אבל אם האמצעי יוצר מטרה חדשה ונפרדת, אז יש לך בעל שליטה נוסף חדש בגלל שהוא קבע מטרה חדשה.
איה מרקביץ
איך אתה יכול להפריד ביניהם אם אתה לא מצמיד אותם ביחד ואומר: אמצעים מהותיים שמייצרים מטרות חדשות הם החלטה של בעל השליטה?
ראובן אידלמן
אנחנו בפרק ההגדרות.
איה מרקביץ
זה פרק של הגדרות, אבל אני רוצה - - -
היו"ר שמחה רוטמן
בסדר. תודה.
איה מרקביץ
משפט אחרון. זה לא רק עניין של אבטחת מידע. זה מה שרציתי שתיקחו מהעניין. יש פה עניין של קביעת מטרות.
היו"ר שמחה רוטמן
זה ברור. הנקודות חשובות וברורות. אני מבין שהרבה קולמוסים גם באירופה נשתברו על העניין הזה. אני מבין. אני אומר שוב, אנחנו בסוף נסתכל על הכול כמכלול, בייחוד אחרי שנראה את כל ההגדרות בחדא מחתא, בפרק אחד, אבל כרגע בואו נשאיר את זה בנוסח שהממשלה מציעה. בואו נתקדם. סיימנו עם בעל השליטה, עכשיו אנחנו מדברים על מחזיקים.
נעמה מנחמני
קראנו כבר את ההגדרה של מחזיק. אולי יש למישהו הערות.
דלית בן-ישראל
אני אשמח להתייחס. שני דברים לגבי הגדרת מחזיק. אחד, הסיפא מדברת על הרשאה לעשות שימוש במידע. אני חושבת שכתלות באיך ייגמרו ההגדרות - - -
היו"ר שמחה רוטמן
עיבוד.
דלית בן-ישראל
בדיוק, זה צריך להיות עיבוד. למעשה, זה יכול להיות גם כל ספק שיש לו איזושהי גישה למידע בהקשר הזה. זה מחבר את זה להגדרה של processor ב-GDPR שמתלבשת על ההגדרה של processing, שהיא ההגדרה הרחבה יותר.

דבר שני, בהמשך להערה של דן אור-חוף קודם לגבי הסיווג השונה של מידע רגיש בתקנות אבטחת המידע לעומת התיקון שמסתמן פה בחוק, אני חושבת שצריך לסנכרן את זה רגע עם ההגדרה של גורם חיצוני בתקנה 15 לתקנות אבטחת מידע. בתקנה 15 לתקנות אבטחת מידע משתמשים במונח גורם חיצוני שאיננו מוגדר. לפני זמן מה הרשות נתנה איזושהי הבהרה שגורם חיצוני זה משהו יותר רחב ממחזיק כהגדרתו בדין הקיים – ואני מודה שמחזיק בהגדרתו בדין הקיים זה יותר מצומצם מההגדרה שמוצעת כאן.

לי נראה אינטואיטיבית שהגורם החיצוני כבר הוא המחזיק אחרי התיקון. אבל אם רוצים שזה יהיה אחרת ושגורם חיצוני בתקנה 15 יהיה משהו יותר רחב, אז כדאי לתת לו הגדרה בפני עצמה, במסגרת זה שממילא יהיה פה כנראה תיקון של תקנות אבטחת מידע במקביל או מייד אחרי שיעבור תיקון 14. אבל בעיניי זה יוצר איזושהי אי-בהירות שאולי היא פחות קיימת בדין הקיים כשההגדרה של מחזיק מאוד מאוד מצומצמת לדרך קבע. הגדרת שימוש היא גם הרבה יותר מצומצמת היום ממה שהיא מוצעת פה בתיקון הזה.
ד"ר עמרי רחום טוויג
עוד תוספת אם אפשר רק לחידוד. הסיפא של ההגדרה מתייחסת להרשאה לעשות נניח עיבוד בהגדרה החדשה, אבל אין כאן דרישה שאותו מחזיק יעבד מידע באמת. זאת אומרת, התכולה גם ב-GDPR של processing ו- processorזה who never processes, מישהו שכבר מבצע את העיבוד עבור הקונטרולר. אם רק חתמתי על הסכם, קיבלתי הרשאה מבעל השליטה לעשות פעולות, לא עשיתי אף פעולה במידע, אף פעולה, לא נגעתי בו, האם אני מחזיק? אני עוד לא מחזיק, עוד לא עשיתי כלום. אז זה חידוד טכני, אבל אני חושב שהוא יכול לייצר פערים נקודתיים.
ראובן אידלמן
אני יכול להשיב?
היו"ר שמחה רוטמן
שנייה, קודם רחל.
ד"ר רחל ארידור הרשקוביץ
אני מהמכון הישראלי לדמוקרטיה. אני מצטרפת פה לדבריו של עמרי. אני לא יודעת אם זה מה שהוא התכוון, אבל ה-GDPR אומר שמחזיק הוא מי שמעבד עבור אחר, בלי קשר אם יש התקשרות, איך ההתקשרות. להתחיל להתפלפל אם הייתה התקשרות בעל פה, בכתב, בשתיקה – אני לא מבינה למה צריך את זה. למה אי-אפשר להגיד שזה מי שמעבד מידע בעבור אחר?
היו"ר שמחה רוטמן
בעבור בעל השליטה.
ד"ר רחל ארידור הרשקוביץ
בעבור בעל השליטה.
ליאור אתגר
אגב, תוספת נוספת. אין באמת משמעות להגדרה הזאת של לתת שירות או לא לתת שירות. הנקודה היא כמו בהגדרה של גורם חיצוני שקיימת היום – האם אתה בעל גישה למידע או לא בעל גישה למידע, האם אתה אספת אותו בעצמך או שקיבלת גישה באופן אחר. זאת השאלה בעצם, כי אתה מבצע את העיבוד של המידע, את השימוש שלו בשם אותו בעל שליטה. זאת בסוף הנקודה.
עמית יוסוב עמיר
היו פה כמה הערות. נענה עליהן, בשאיפה גם לפי הסדר. לעניין עיבוד במקום שימוש, בהתאם להחלטה רוחבית שהתקבלה, כמובן שזה מקובל. אם אנחנו מדברים על מי שמעבד אז זה בסדר, או לא רק הרשאה לעבד אלא מעבד בפועל בהתאם להרשאה, זה גם בסדר. צריך רק להבהיר שעצם מתן הרשאת הגישה למידע עצמו היא בגדר עיבוד.
ד"ר עמרי רחום טוויג
למה?
עמית יוסוב עמיר
אם המידע עכשיו נגיש לי - - -
ד"ר עמרי רחום טוויג
אבל עוד לא ניגשתי אליו.
קריאה
אבל אם לא עשית בו שימוש?
עמית יוסוב עמיר
לא, מתן הנגישות בפועל.
ד"ר עמרי רחום טוויג
למה? נתת לי שם משתמש וסיסמה - - -
דלית בן-ישראל
תוסיפו את המילה "גישה" למילה "שימוש", ואז זה פותר את הבעיה בעיניי.
ד"ר עמרי רחום טוויג
נתת לי שם משתמש וסיסמה. מעולם לא השתמשתי בו. איזה עיבוד עשיתי במידע?
ראובן אידלמן
מי שקיבל הרשאה לעשות שימוש. זאת הגדרה.
היו"ר שמחה רוטמן
לא. נתת לי עכשיו את הקוד ואת הסיסמה. לא עשיתי איתו כלום.
עמית יוסוב עמיר
אבל זה מקרה - - -