ישיבת ועדה של הכנסת ה-25 מתאריך 09/01/2024

חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024

פרוטוקול

 
פרוטוקול של ישיבת ועדה


הכנסת



143
ועדת החוקה, חוק ומשפט
09/01/2024

הכנסת העשרים-וחמש

הכנסת



22
ועדת החוקה, חוק ומשפט
09/01/2024


מושב שני



פרוטוקול מס' 223
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, כ"ח בטבת התשפ"ד (09 בינואר 2024), שעה 9:34
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
נכחו
חברי הוועדה: שמחה רוטמן – היו"ר
חברי הכנסת
אחמד טיבי
מוזמנים
גלעד סממה - עו"ד, מנהל הרשות להגנת הפרטיות, משרד המשפטים

ראובן אידלמן - עו"ד, מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות

ניר גרסון - עו"ד, סגן מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות

רביד פטל - הממונה על מערך פיקוח הרוחב, הרשות להגנת הפרטיות

לינא כמאל טרודי - עו"ד, הממונה על האכיפה המינהלית, הרשות להגנת הפרטיות

עמית יוסוב עמיר - עו"ד, מחלקת ייעוץ וחקיקה, משרד המשפטים

לירון מאוטנר לוגסי - עו"ד, מחלקת ייעוץ וחקיקה, משרד המשפטים

שירה גרטנברג - עו"ד, ייעוץ וחקיקה, משרד המשפטים

דן אור-חוף - עו"ד, חבר המועצה, המועצה הציבורית להגנת הפרטיות

אסף הראל - עו"ד, חבר המועצה, המועצה הציבורית להגנת הפרטיות

יורם ביטון - מנהל אבטחת מידע, סייבר והגנת הפרטיות, המוסד לביטוח לאומי

צחי שלום - ראש מינהל טכנולוגיות דיגיטליות ומידע, מרכז השלטון המקומי

מירה סלומון - עו"ד, ראש מינהל משפט וכנסת, מרכז השלטון המקומי

לירון בנדק - עו"ד, יועמ"ש נשיאות המגזר העסקי, סמנכ״ל רגולציה

שחף קצלניק - עו"ד, יועץ משפטי, התאחדות התעשיינים

יעקב עוז - יו"ר ועדת הסייבר והגנת הפרטיות, להב - לשכת ארגוני העצמאים והעסקים

רחל ארידור הרשקוביץ - ד"ר, חוקרת, המכון הישראלי לדמוקרטיה

נועה דיאמונד - עו"ד, מנחת הקליניקה לפרטיות, אוניברסיטאות ומוסדות אקדמיים

יסכה בינה - עו"ד, התנועה למשילות ודמוקרטיה

ד"ר עמרי רחום טוויג - עו"ד, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל

ליאור אתגר - עו"ד, משרד EBN & Co

אלן יוסף - עו"ד, משרד AOI

דלית בן-ישראל - עו"ד, משרד נשיץ ברנדס אמיר ושות'.

ענר רבינוביץ׳ - מנכ״ל, PRIVACY TEAM

איה מרקביץ - עו"ד, PRIVACY TEAM

אייל שגיא - עו"ד, משרד AYR - עמר רייטר ז'אן שוכטוביץ ושות'

יעקב ספיר - עו"ד, אבטחת מידע
משתתפים באמצעים מקוונים
ישי יודקביץ - עו"ד, ממונה משפטי לחקיקה ביועמ"ש, משרד הביטחון

אפרת סוקולובר - פרויקטורית במחלקת אכיפה, הרשות להגנת הפרטיות

מירב ולדמן - עו"ד, יועצת משפטית, איגוד לשכות המסחר

יוגב עזרא - חבר ועד מנהל, העמותה למלחמה בספאם

ענת אור-חוף - Or-Hof Law Firm

יונת מנה - עו"ד, יועצת משפטית, גוגל ישראל

הילה היבש - עו"ד, ייעוץ משפטי, קשרי ממשל ואחריות חברתית, מיקרוסופט ישראל
ייעוץ משפטי
נעמה מנחמי
אביה קירשנבוים לייבנר
סגן מנהל הוועדה
אלירן כהן
רכז פרלמנטרי בוועדה
אבירן יחזקאל
רשם פרלמנטרי
ויקטור ינין
אורי פנסירר


רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.


הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
בוקר טוב. לצערי, אנחנו פותחים את היום הזה בצער, עם הודעה קשה ששמענו על סמל רועי טל, על רב סמל דוד שוורץ, רב סמל יקיר הכסטר ורב סמל גבריאל בלום, ששמענו עליהם ועל נפילתם הבוקר. אנחנו כמובן משתתפים בצער המשפחות ומאחלים החלמה לפצועים, מקווים שלא נצטרך להתעורר לבקרים כאלו ומשפחות לא יאבדו את יקיריהן, יקירינו, יקירי האומה כולה שמוסרים את נפשם למען זה שנוכל לשבת פה ולהתעסק בדברים שהם כמובן חשובים.

כמו בפתיחת כל ישיבה, אני מזכיר שלמרות שהכותרת של הדיון פה איננה כוללת את המילים "חרבות ברזל", אנחנו מנהלים את הדיון הזה לבקשת המל"ל. זה להבנה של החשיבות של קיום הדיונים האלו גם בתקופת הלחימה. ועדיין, המעבר הזה הוא קשה, המעבר הזה של לפתוח בוקר בידיעה שכזו ולצלול לתוך פרטי פרטים של סעיפי חוק שלא מתחברים למציאות הקשה שאנחנו שרויים בה.

אנחנו מקווים מאוד שהמציאות תשתנה, תשונה, בהתאם ובהקדם, על ידי חיילינו, מפקדינו הגיבורים, כדי שאת דיוני החקיקה בנושא הזה ובכל נושא אחר נקיים באווירה אחרת, בעזרת השם, בקרוב.

אנחנו בעניין חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022. גברתי היועצת המשפטית, את רוצה להזכיר איפה אנחנו נמצאים?
נעמה מנחמי
אנחנו סיימנו את הדיון הקודם בעיקר עם סיום הגדרות. התחלנו לדבר על חובת רישום. אבל נשארו עוד כמה הצעות לתיקונים סביב ההגדרות שאושרו או נדונו, חלק אושרו, חלק נדונו.
היו"ר שמחה רוטמן
נעבור עליהן בזריזות, נגיד כמה מילים ובהתאם נמשיך. נעבור הגדרה-הגדרה. אנחנו עובדים בצמוד למסמך הכנה של הייעוץ המשפטי, מ-7 בינואר 2024, ותודה לנעמה על הכנתו.

על הגדרה (1) כבר עברנו, היא לא חדשה.

מה שמסומן בצהוב, הגדרה (5), בעניין הערכת אישיות. דיברנו על הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכות אישיות. התוספת שהוצעה:

"לעניין זה, "גורם מקצועי" – מי שכדרך עיסוק מחווה דעתו על אישיותו של אדם".

את רוצה להתייחס לזה, להערה זו?
אלן יוסף
גם לזה. היינו רוצים לחדד מעט את ההגדרה של גורם מקצועי. לדעתנו, היום הגורם המקצועי מעט רחב, להגביל את זה לאיזשהו תחום הכשרה. לדוגמה, גורם שבהתאם להכשרתו מחווה דעתו על אישיותו של אדם.

זאת אומרת, שזה יהיה קצת יותר חד ערכי.
היו"ר שמחה רוטמן
זה קצת משונה שאנחנו דורשים רמה מסוימת של מקצועיות מאדם, ופחות מ-AI. כלומר, מה רמת המקצועיות של ה-AI? זה קצת קשור.

אני חייב לומר: הערכת אישיות – אני הייתי נותן פה הגדרה מהותית. אני לא כל-כך אוהב את ההגדרה הזאת מה זה הערכת אישיות ולא אכפת לי כל-כך מי מבצע אותה. אני לא כל-כך מקבל את האמירה. אני לא כל-כך יודע להגדיר מה זה גורם. יש פה הערה: מורה, מפקד בצבא, מנהל בעבודה – האם זה נחשב? לא נחשב? אינני יודע. אבל אין הגדרה מהותית של מה זה הערכת אישיות. האם מישהו שאומר עליי "הוא טיפש" – זאת הערכת אישיות? האם מישהו שאומר עליי "שתיקתו רועמת" – זאת הערכת אישיות? אני לא יודע. אני באמת לא יודע.

ולכן צריך להגדיר פה מה זה הערכת אישיות, איפה זה עובר. מה שעשינו, ניסינו לעקוף את זה דרך "הגורם". כלומר, אנחנו לא יודעים מה זה הערכת אישיות, אבל עם גורם מקצועי שכדרך עיסוק מחוות דעתו על אישיותו של אדם זה הופך את זה להערכת אישיות, בלי הגדרה מהותית. זה קצת קשה לי.
ראובן אידלמן
- - - שזו לא אמירה בעלמא, אלא שזה משהו יותר מקיף.
עמית יוסוב עמיר
קודם כל, אני מזכיר שמידע על אישיותו של אדם היום מוגדר בחוק מידע רגיש. המטרה, גם במסגרת הצעת החוק וגם בדיונים פה בוועדה והקו הברור של הוועדה, היא לצמצם ולדייק.

לצד זאת, כמובן שהאמירה, באופן עקרוני, מהי אישיות של אדם, אכן היא אמירה עם עמימות מסוימת ואכן הכוונה היא לדייק את האמירה באמצעות הפנייה לגורם.
היו"ר שמחה רוטמן
אני מבין מה התכוונתם לעשות.
עמית יוסוב עמיר
בדיון האחרון אדוני ביקש לחדד את זהותו של אותו גורם מקצועי. עלו פה שאלות ותהיות לגבי השאלה - - -
היו"ר שמחה רוטמן
אני לא בא בטענות על מה שעשיתם. אני רק אומר שבסופו של דבר אנחנו צריכים להסתכל על זה ככולל. אני מבין את הרצון להפנות לגורם מקצועי. בשנייה שנגיע לעולם ה-AI, אמצעי שמיועד לביצוע הערכות אישיות, שאלת המקצועיות שלו או לא מקצועיות שלא – מה זה, רמה מסוימת של אלגוריתם?
עמית יוסוב עמיר
לא. אני אבהיר. המטרה פה היא לא לדון ברמת המקצועיות של המעריך, אלא בעובדה שיש לנו פה מסד נתונים מסודר.
היו"ר שמחה רוטמן
שמיועד להערכות אישיות.
עמית יוסוב עמיר
נכון.
היו"ר שמחה רוטמן
אני קורא את החוק, בסופו של דבר צריך ליישם אותו. אני שמתי ברשת משחק סודוקו ושמתי עליו בוט של ה-AI שלפיו אני יודע שבן אדם שפותר את הסודוקו תוך x זמן הוא יותר אינטליגנט, מאשר בן אדם שפותר את הסודוקו תוך פחות זמן או בן אדם שמראש רואה סודוקו ובורח מזה ואני מבין מזה שהוא טמבל לגמרי. בסדר? לפי זה ה-AI מסווג את האנשים שעושים את הסודוקו.

זה נחשב? זה לא נחשב? אינטליגנציה זאת אישיות או מצב פסיכולוגי? אני לא יודע.
עמית יוסוב עמיר
באופן עקרוני התשובה היא כן. זאת אומרת, אם ה-AI הזה אמור עכשיו למסד רישום של המשתמשים במשחק – הם נכנסו לשעשוע רגעי, למשחק הסודוקו, ועכשיו יושב - - -
היו"ר שמחה רוטמן
יושב עליהם ה-AI ומסווג אותם לפי רמת אינטליגנציה.
עמית יוסוב עמיר
נכון. לא אומרים שזה אסור.
היו"ר שמחה רוטמן
אני לא טענתי שזה אסור או מותר. אני פשוט לא יודע אם אינטליגנציה זה חלק מהאישיות.
ניר גרסון
כן, אדוני, כן. אני חושב שהכוונה היא למאפיינים מרכזיים או משמעותיים.
היו"ר שמחה רוטמן
ולכן אני אומר שכדאי אולי לתת רשימת מכולת, של אינטליגנציה, מצב רגשי וכדומה. אני פותח את זה, אני לא יודע. אני רק אומר שכרגע ההגדרה היא מאוד טאוטולוגית. אם אני הייתי גם הולך לכיוון של עורכת הדין אלן יוסף, אני לא יודע. השאלה אם הפנייה לגורם מקצועי סגור היא לא ארכאית קצת, כאשר אנחנו מכניסים פה גם את הגורם של ה-AI.

אני צריך לדעת בצורה יחסית בהירה, או בחקיקה או בהנחיות. כאשר אני מושיב AI לגלות מהירות תגובה או אינטליגנציה ברמה מסוימת, זה לא נחשב הערכת אישיות? אולי כן? אני לא יודע. וכשאני הולך לבדוק מצב רגשי, נפשי, אבל אל מול שמחה, לא יודע, זה כן או לא? אני לא יודע.

אם היית משאיר לי גורם מקצועי, אז הייתי יודע, כי בדרך כלל אם בעל מקצוע כבר טרח ועסק בנושא, סימן שזה מספיק רגיש. אבל בשנייה שאני מוסיף לי פה הנושא של "האמצעי שמיועד לביצוע הערכות אישיות", קרי ה-AI, אני לא יודע מה זה כולל.
ליאור אתגר
אני חושב שצריך להתמקד פה באינטרס המוגן. אנחנו מדברים פה על תחום ההשמה. אולי צריך פשוט להוסיף בסוף המשפט "לצורך השמה מקצועית" או "לצורך השמה תעסוקתית", לדעתי זה ימקד את ההגדרה הזאת למקום הנכון.
היו"ר שמחה רוטמן
הרשות, זה האינטרס המוגן שלכם?
ניר גרסון
לא רק, כי השמה זה אחד מהתחומים. מה עם חיתום? מה עם פרסום ממוקד? לא הייתי הולך לכיוון הזה.
ליאור אתגר
הערכות אישיות זה לא המקרה של חיתום.
קריאות
- - -
עמית יוסוב עמיר
תיק אישי.
ליאור אתגר
תיק אישי – יש לך בשביל זה הגדרות אחרות.
היו"ר שמחה רוטמן
למה? אם אני רוצה לשווק תרופות נגד דיכאון?
ליאור אתגר
יש לך הגדרות אחרות בשביל זה. צריכה, צרכנות. אנחנו בשלב ההגדרות, לא בשלב השימושים.
היו"ר שמחה רוטמן
צריכה – לא עוזר לי.
לירון מאוטנר לוגסי
את הצריכה הורדנו.
היו"ר שמחה רוטמן
כן, גם הורדנו וזה גם לא עוזר.
ד"ר עמרי רחום טוויג
אני חייב להגיד שהסוגיות שאנחנו מדברים עליהן כאינטרס מוגן עכשיו, נפרד, הן כבר סוגיות שעוסקות אולי בפרופיילינג או בדברים אחרים. זה כבר לא סוג המידע. זה כבר סוג שימוש במידע. גם ב-GDPR ובמקומות אחרים זה מוגדר לא כמידע.
היו"ר שמחה רוטמן
אני חושב שהוא צודק. אני לא רוצה להתעכב על זה יותר מדי היום. אני לא חושב שהביטוי "אינטרס מוגן" מתאים פה, תנסו קצת למפות לאיזה סוג אלגוריתמים שפועלים היום בשוק אתם התכוונתם, או שאנחנו מצטמצמים לגורם מקצועי שעושה את זה ואז זה יותר קל לי. גם אם אני לא מקבל שאת זה צריך לעשות גורם מקצועי ולכתוב בדיוק "בעל תעודת MA מאוניברסיטה מוכרת", בסדר, אבל אני כן יודע שאם הושבת על זה גורם, בעל מקצוע, כנראה שזה מספיק חשוב לך ורגיש לך, ואני יכול להסתדר עם זה כי אני מבין מה זה אומר.

בשנייה שזה נכנס לעולם ה-AI והערכות שכאלה, אני צריך לדעת איזה AI נחשב רגיש ואיזה AI לא נחשב רגיש. ושם ההגדרה צריכה להיות קצת יותר חתוכה.
ד"ר עמרי רחום טוויג
אני מציע לקחת בחשבון גם את ההבחנה בין דעות לעובדות, כמו שאמר אדוני. זאת אומרת, זה שמישהו מסוים, אפילו שעושה את זה כדרך עיסוק במקום עבודה, חושב שאדם לא חכם או לא נחמד חברתית – זאת לא הערכת אישיות, זאת דעה.
היו"ר שמחה רוטמן
אני לא יכול לרדת לרזולוציה הזאת.
נעמה מנחמי
אבל אז ממילא זה לא גורם מקצועי.
דן אור-חוף
אני רוצה להצביע על נקודה שהיא אולי רגישה בהקשר הזה, לדוגמה על הפרשה הידועה של קיימברידג אנליטיקה, חברות שעוסקות במה שנקרא פסיכוגרפיה של אנשים, ניתוח פסיכולוגי של אישיות כדי שאחר כך אפשר יהיה להשתמש בו לצורך מניפולציות כאלה או אחרות, על דעת קהל ועל קבלת החלטות של אנשים.
היו"ר שמחה רוטמן
כן, אבל אני מניח שזה ייפול על פרט (4): "מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם או השקפת עולמו".
דן אור-חוף
אדוני, זה לא בהכרח, בגלל שפסיכוגרפיה לאו דווקא נוגעת לדעה הפוליטית.
היו"ר שמחה רוטמן
לא, לא, זו יכולה להיות השקפת עולם.
דן אור-חוף
אולי באופן כללי לדעות ואמירות.
ליאור אתגר
צריך למקד את ההגדרה, מפוזר מדי.
היו"ר שמחה רוטמן
אני מסכים, אם רוצים להכניס פה AI, חייבים פה מיקוד הגדרה. אם מדובר על גורמי מקצוע – גורם מקצוע. גם אם הוא לא יהיה במאה אחוז חתוך ויהיו כתובים בו המילים "לרבות" או "כדומה", אבל שיהיה איזשהו רפרנס.
טוב, נמשיך
(6) "מידע על אודות עברו הפלילי של אדם".
אתם מבקשים להוסיף
"או מידע על היותו של אדם נפגע אלימות או תקיפה מינית או על השתייכותו לאוכלוסיות בזנות".

"תקיפה מינית והשתייכותו לאוכלוסיות בזנות" – זה בתוך פרט (1), אני לא רואה בזה שום צורך.

לגבי "מידע על היותו של אדם נפגע אלימות" – תעלה השאלה למה דווקא נפגע אלימות, למה לא נפגע עבירה בכלל. אני לא יודע למה אנחנו צריכים. כלומר, "תקיפה מינית והשתייכותו לאוכלוסיות בזנות" – זה צנעת אישותו. זה הארדקור פרט (1). אני לא צריך לייצר לזה עוד רובריקה.

לגבי "היותו של אדם נפגע אלימות" – בעיניי זה מיותר. אם רוצים, אפשר לעשות "מידע על אודות עברו הפלילי של אדם, לרבות היותו נפגע עבירה" – ואז זה לא קשור לאלימות. "לרבות היותו נפגע עבירה" – טיפה רחב מדי. לא רואה את האינטרס המוגן, גם לא על אלימות, כי מה ההבדל בין אם פרצו אליי הביתה או הרביצו לי מכות ברחוב? מהבחינה הזאת נפגע עבירה באותה מידה. ואם זה מידע מוגן – מידע מוגן. הנושא של המיני שאני מבין שהוא יותר רגיש, בהארדקור, הוא קיים ב-(1), על השולחן, לא צריך אותו במיוחד.
אני הייתי מוותר בכלל, משאיר את "מידע על אודות עברו הפלילי של אדם", בלי להוסיף נפגע עבירה ונפגע אלימות. אם ישכנעו אותי פה מסביב לשולחן שצריך להכניס את נפגע עבירה, אוסיף את זה. אבל אני לא רואה סיבה אמיתית. זה רחב מדי. כל עבירה שהיא קשורה למשהו מיני ורגיש, היא נמצאת בתוך סעיף (1), על פניו, בדלת הראשית, לא צריך להכניס אותה בדלת האחורית.

מבחינתי, את (6) נשאיר כמו שהוא, בלי התוספת בצהוב. יש הערות לזה?
ראובן אידלמן
אנחנו חשבנו שיש בכל זאת קבוצה של נפגעי עבירה שלא נכנסים לתוך סעיף (1) כמו שהוא עכשיו, ולכן כן ראינו ערך בתוספת הזאת. ההצעה לגבי נפגע עבירה יכולה לתת מענה.
היו"ר שמחה רוטמן
אבל היא מאוד רחבה.
ראובן אידלמן
לכן פה הצענו קצת לצמצם, לנפגע אלימות. וגם, העניין הוא שנפגע עבירה – זה יכול להיכנס למהי כן עבירה או לא. אנחנו כתבנו נפגע אלימות. המטרה הייתה שזה יהיה משהו קצת יותר רחב, בלי צורך לברר עכשיו אם זו הייתה עבירה או לא, לצורך הדבר הזה.

יש גם עמותות שמחזיקות מידע על האוכלוסיות האלה. זה לא בהכרח ייכנס לתוך צנעת חיי המשפחה ודברים כאלה. חשוב שהמאגרים האלה יהיו ברמת ההגנה הגבוהה ביותר.
היו"ר שמחה רוטמן
זה שבן אדם הותקף בהפגנה על ידי שוטר, זה מידע אישי. אבל להגיד לך שהוא מאוד רגיש? יכול להיות שאם אני אדע באיזה הפגנה זה היה, זה יהיה מידע על נטייתו הפוליטית.
ראובן אידלמן
אדם יכול להיות קורבן של אלימות משטרתית גם לא בהפגנה - -
היו"ר שמחה רוטמן
או באלימות משטרתית סתם.
ראובן אידלמן
- - ואז זה אולי נהיה יותר רגיש.
היו"ר שמחה רוטמן
במחילה, אני הייתי מוריד את זה לגמרי. נשאיר "מידע על אודות עברו הפלילי של אדם", מה שהיה. הנושאים, שאני באמת מבין את הרגישות שלהם, נמצאים ב-(1), מכוסים לדעתי.

ואת הנושאים שהם שאר העבירות – לפעמים יכולות להיות עבירות רכוש שהן מאוד רגישות ועבירות אלימות שהן בכלל לא רגישות. לא הייתי נכנס לרזולוציה הזאת.

הסעיף הבא שבו יש לנו תיקון – (10).
נעמה מנחמי
ב-(13) יש בקשה.
ד"ר עמרי רחום טוויג
גם ב-(7) יש איזשהו שינוי.
היו"ר שמחה רוטמן
ב-(7) אין שינוי. זה מה שאמרנו בפעם הקודמת.
ד"ר עמרי רחום טוויג
אבל אם יורשה לי בכל זאת אמירה קטנה על סעיף (7). סוגיה טכנית, אני לא חושב שהיא במחלוקת גם לפי משרד המשפטים, לפי מה שהיה בפרוטוקול.

הרישה עוסקת בנתוני מיקום ותעבורה כהגדרתם בחוק סדר הדין הפלילי, וזה דיון שדנו בו גם חברים פה מסביב לשולחן. ההגדרה של נתוני תעבורה בחוק סדר הדין הפלילי אינה מוגבלת רק למנוי, כלומר מי שמקבל שירותים מספק מורשה או לספק מורשה. היא כוללת גם נתונים על מתקן בזק, שזה מונח אגנוסטי לחלוטין. ולכן בפועל, בהגדרה כמו שהיא עכשיו, תיכנס כל כתובת IP שנאספה, גם בלי קשר לחוק נתוני תקשורת ולא על ידי ספק מורשה.

אנחנו מציעים לחדד שנתוני מיקום ותעבורה לגבי מנוי או שנאספו על ידי ספק מורשה. רק כדי לחדד, ההבנה שלנו הייתה, גם לפרוטוקול לדעתי, על ידי נציגי משרד המשפטים - - -
היו"ר שמחה רוטמן
לא, אבל מה עם GPS?
ד"ר עמרי רחום טוויג
GPS נאסף, מה זאת אומרת?
היו"ר שמחה רוטמן
לא, GPS לא נאסף על ידי מנוי של - - -
ד"ר עמרי רחום טוויג
GPS זה לא נתון של תעבורה.
היו"ר שמחה רוטמן
נכון, הוא "נתונים אודות מיקומו של אדם".
ד"ר עמרי רחום טוויג
לא, לא, אני מדבר על הרישה שעוסקת בנתוני מיקום ותעבורה. נתוני מיקום מוגדרים בחוק סדר הדין הפלילי ונתוני תעבורה מוגדרים בחוק סדר הדין הפלילי.
היו"ר שמחה רוטמן
נכון.
ד"ר עמרי רחום טוויג
נתוני מיקום מוגדרים כנתונים על מנוי, כלומר מי שיש לו יחסים מול ספק מורשה, שזה בסדר.

נתוני תעבורה מוגדרים לעניין מנוי, מתקן בזק, מקום או מועד מסוימים – ולכן הם מנותקים ממערכת היחסים שבין מנוי לספק מורשה. נתוני תעבורה לגבי מתקן בזק כוללים כל כתובת IP. כתובת IP היא לא "מידע בעל רגישות מיוחדת", בכל הכבוד.
היו"ר שמחה רוטמן
זה נוגע ל"אדם מזוהה או אדם ניתן לזיהוי"?
ד"ר עמרי רחום טוויג
יכול, בהחלט.
היו"ר שמחה רוטמן
לא. אם אתה בא ואומר "שמחה רוטמן השתמש במכשיר שלו דרך IP מסוים, ביום מסוים, בשעה מסוימת" – זה בהחלט יכול להיות מידע רגיש.
ד"ר עמרי רחום טוויג
למה? זה לא. אני מזכיר, הנתונים ברישה - - -
היו"ר שמחה רוטמן
זה נתון תעבורה. זה כמו שאתה יכול להגיד "למה זה משנה לי אם אני יודע באיזה תא סלולרי השתמשת".
ד"ר עמרי רחום טוויג
לא, כי כתובת IP מזהה הרבה פחות מדויק מבחינת מיקום מתא סלולרי. אין בכלל דמיון בין הדברים.
היו"ר שמחה רוטמן
אני לא בטוח. לא, לא. זה לא תמיד. בוא תסכים איתי שאם אני ב-IP של הכנסת, בגלל שאני מתחבר ל-Wi-Fi בכנסת, או שאני נמצא בתא סלולרי בשטח של 20 קילומטר מרובע, הכנסת זה מקום קצת יותר מדויק מאשר 20 קילומטר מרובע שאני יודע שהתחברתי לתא סלולרי מסוים.
ד"ר עמרי רחום טוויג
קודם כל, אתה לא בהכרח יודע למי משויכת כתובת IP.
היו"ר שמחה רוטמן
אתה צודק. מה שאמרת נכון. בשנייה שכתובת ה-IP לא משויכת לאדם מזוהה או ניתן לזיהוי - -
ד"ר עמרי רחום טוויג
לא, לא, סליחה, לא.
היו"ר שמחה רוטמן
- - אז אני לא שם בהקשר אחר.
ד"ר עמרי רחום טוויג
היא יכולה להיות משויכת לאדם, אבל אני לא בהכרח יודע איפה המיקום של כתובת ה-IP הזאת בנקודה מסוימת. ההגדרה של נתוני תעבורה לא עוסקת בשאלה האם הם מעידים על מיקום או לא.

אני שוב מחדד. הרציונל ברישה, וזה גם היה הרציונל של משרד המשפטים, לכסות - - -
היו"ר שמחה רוטמן
לא, לא נכון.
ד"ר עמרי רחום טוויג
- - - על ידי ספקים מורשים בחוק התקשורת. זה פשוט מוציא את זה - - -
היו"ר שמחה רוטמן
תכף תתייחסו לזה. אבל נתוני תקשורת?
ד"ר עמרי רחום טוויג
יש לנו את הסיפה שהיא מוגבלת, שזה בסדר. הסיפה אומרת "נתון אודות מיקום של אדם". אם הוא יכול להעיד על דברים אחרים, בסדר. אם כתובת IP - - -
היו"ר שמחה רוטמן
"נתון מיקום תעבורה" – זה גם התקשרתי למספר פלוני או אלמוני. אבל לא משנה.
ענר רבינוביץ׳
אני מזכיר שהמטרה של כל סוגי המידע הרגישים כאן, כל הסוגים האלה אמורים להיות אינהרנטית רגישים. כלומר, לא שייתכנו מצבים שבהם הוא רגיש.
היו"ר שמחה רוטמן
אני מסכים איתך.
ענר רבינוביץ׳
ולכן, אם נוכל להחיל את הסיפה על הכול, גם על נתוני התעבורה, אני חושב שזה ירגיע כאן את כל היושבים מסביב לשולחן.
היו"ר שמחה רוטמן
שהסיפה של נתוני מיקום ותעבורה תהיה "רק אם יש בהם כדי לגלות על זה וזה"?
ד"ר עמרי רחום טוויג
גם זאת אפשרות.
ליאור אתגר
נכון. אם המבחן נשאר מבחן אמיתי ולא טכני.
ד"ר עמרי רחום טוויג
אבל החשש פה הוא ביג דאטה. נתוני מיקום ותעבורה של ספק תקשורת – החשש אצלם הוא הביג דאטה.
ליאור אתגר
בסדר, אבל זה גם מוגן. זה דין אחר.
היו"ר שמחה רוטמן
לא. איך זה מוגן?
ליאור אתגר
מי שהוא ספק סלולר – זה מוגן תחת רישיון, זה עולם נפרד, זה עולם מקביל.
היו"ר שמחה רוטמן
לא.
ליאור אתגר
אנחנו מדברים על נתונים עצמם, על התוכן עצמו. כל עוד יש לנו את הסיפה, שזה מאפשר לנו לתת אינדיקציה של איכות – זה לא כל נתון, זה רק "אם יש בו כדי להעיד" – זה אומר שאנחנו במקום טוב. זה לא כל נתון, לא כל GPS.
היו"ר שמחה רוטמן
חברים, אם אנחנו נחזור כל פעם להגדרות, לא נסיים לעולם. גם דיברנו על זה.

אתם רוצים להתייחס לזה בקצרה, במשפט, ולסגור את האירוע?
עמית יוסוב עמיר
רק נאמר שבסוף יש פה הגדרות משורשרות – בחוק נתוני תקשורת, בחוק התקשורת (בזק ושידורים). יש פה הגדרות מאוד בסיסיות, אנחנו לא חושבים שצריך עכשיו להיכנס.
היו"ר שמחה רוטמן
הוא אומר שבהגדרה מאוד רחבה של זה, זה יכול גם, גם אם זה לא יושב אצל ספק תקשורת.
ד"ר עמרי רחום טוויג
כן, נתוני תעבורה שנאספו על ידי ספק מורשה. כל המונחים מוגדרים, אתם לא צריכים להוסיף עוד הגדרות. "נתוני מיקום ותעבורה שנאספו על ידי ספק מורשה, כהגדרתם בחוק".
היו"ר שמחה רוטמן
השאלה אם זה מפריע לכם.
עמית יוסוב עמיר
שוב פעם, ההגדרות פה הן משורשרות. ללכת עכשיו דווקא להגדרה של ספק מורשה?
ד"ר עמרי רחום טוויג
זאת ההגדרה בחוק - - -
היו"ר שמחה רוטמן
אני מבין מה הוא אומר, כי מקורם של נתוני מיקום יכול להיות גם לא מספק מורשה, אלא למשל מהסלולר שלי או מתוכנת צד ג'.
ד"ר עמרי רחום טוויג
או מחברת טוסטרים שאוספת. חברת E-commerce שמכרה טוסטר ואספה את כתובת ה-IP של מי שקנה את הטוסטר. כרגע זה נכנס להגדרה של נתוני תעבורה – וזו לא המטרה.
היו"ר שמחה רוטמן
כן, אני מבין על מה הוא מדבר.
לירון מאוטנר לוגסי
אבל ההגדרה של נתוני תעבורה היא יותר רחבה מזה. היא כוללת את כל המטא-דאטה ביחס לנתונים האלה.
ד"ר עמרי רחום טוויג
כל עוד זה רק לגבי מנוי, בסדר, כי מנוי הוא מי שיש לו יחסים מול ספק תקשורת. אנחנו התחלנו את כל הדיון בנתוני מיקום כשנתוני מיקום הם לא מידע רגיש.
היו"ר שמחה רוטמן
אני מוצא טעם בהערתו. תחשבו על זה לפעם הבאה, אני לא רוצה עכשיו. ככל שאתם יכולים לתת לזה מענה בהגדרה לפעם הבאה. אני חושב שיש היגיון במה שהוא אומר. אני מבין גם את - - - הנוספים, אני בעד שזה יהיה יותר חתוך, שזה יכלול את מה שאנחנו רוצים.

(13) – את אומרת שגם כאן משהו התווסף?
נעמה מנחמי
כן. הוועדה החליטה למחוק את פרט (13). משרד המשפטים רוצה להסב את תשומת ליבנו לכך שמאחר שהוא נמחק נדרשת הוראת מעבר בשים לב לתקנות הגישור.
היו"ר שמחה רוטמן
מה אומרות תקנות הגישור? אני יודע מה זה תקנות הגישור. מה יש שם להגדרת מידע רגיש?
עמית יוסוב עמיר
בין השאר, בהתאם להגדרה היום של "מידע רגיש" נקבעו עוד שני פרטים של מידע כמידע רגיש רק לעניין מידע שהתקנות חלות עליו.
היו"ר שמחה רוטמן
שהם?
עמית יוסוב עמיר
אחד, מידע על מוצאו של אדם, שממילא אנחנו מכניסים כאן.
היו"ר שמחה רוטמן
אז לא צריך את זה.
עמית יוסוב עמיר
שתיים, חברות בארגון עובדים. בישראל הנושאים האלה הם תלויי תרבות והיסטוריה, בישראל חברות בארגון עובדים לא נחשבת מידע רגיש. באיחוד האירופי זה מידע שהוא נחשב מאוד רגיש ומופיע ב-GDPR כמידע בקטגוריות המיוחדות.
היו"ר שמחה רוטמן
בהקשר הזה אני דווקא בעמדה של האיחוד האירופי. זה אכן מידע רגיש, לפעמים גם מביש.
עמית יוסוב עמיר
כרגע תקנות הגישור לעניין המידע שהן חלות עליו, מידע שמגיע מהאיחוד האירופי, קובעות שהמידע ייחשב למידע רגיש. כשאנחנו מבטלים את האפשרות - - -
היו"ר שמחה רוטמן
ואז?
עמית יוסוב עמיר
כרגע הנפקות בחוק היא לא יותר מדי משמעותית לעניין.
היו"ר שמחה רוטמן
אני לא חושב שאתם צריכים את זה באמת.
עמית יוסוב עמיר
אנחנו צריכים את זה לעניין התאימות, לעניין שימור התאימות.
היו"ר שמחה רוטמן
התקנות לא מחייבות שמידע יוגדר כמידע רגיש, שזה נפקא מינה לעניין העיצומים. ברור שזה מידע אישי, נכון? אין ספק שזה מידע אישי.
ראובן אידלמן
אדוני, זה בגלל שמבטלים על ההסמכה. הוועדה ביקשה לבטל את ההסמכה של השר לקבוע סוגים נוספים, ואז, מבחינה משפטית, זה שומט אוטומטית את הצו של שר המשפטים – במקרה הזה תקנות – שהגדיר סוגים כמידע רגיש. זו דרישה מפורשת של האיחוד האירופי, להגדיר מידע שמגיע מהאיחוד האירופי על חברות בארגון עובדים כמידע רגיש.
היו"ר שמחה רוטמן
הבנתי. להגדיר את זה כמידע רגיש דווקא?
ראובן אידלמן
כן, כן.
היו"ר שמחה רוטמן
מה אכפת להם?
ראובן אידלמן
ממש מופיע בבולד מה שנקרא.
עמית יוסוב עמיר
שוב פעם: התקנות נועדו כדי להבטיח את התאימות.
היו"ר שמחה רוטמן
יש לי הצעה אולי, אבל אחרת. אם מה שאנחנו רוצים זה לייצר תאימות, ומחר בבוקר באיחוד האירופי יקבעו משהו נוסף כמידע רגיש, וכדי לשמר את התאימות, אתם הכנסתם פה איזו שמיכה רחבה שמאפשרת צ'ק פתוח לשר.
עמית יוסוב עמיר
באישור הוועדה.
גלעד סממה
באישור הוועדה.
היו"ר שמחה רוטמן
צ'ק פתוח לשר באישור הוועדה. אבל אני חושב שאולי כדאי להכניס הוראה, סעיף, במקום סעיף של שר באישור, כלומר לייצר פה את התנאי המהותי, אפילו להשאיר את שר המשפטים באישור ועדת החוקה, על מידע שהגיע ממדינה אחרת שמוגדר על פי דיני אותה מדינה כמידע רגיש, שהוא רשאי להגדיר אותו כמידע רגיש.

כלומר, לייצר את המבחן המהותי הזה שאתם מדברים עליו, שאני מבין אותו, הוא משמר תאימות. אבל לא ששר המשפטים יוכל מחר בבוקר להחליט לגבי כל מידע שהוא מידע רגיש, אלא שהוא יוכל לקבוע על מידע שמגיע ממדינה אחרת שעל פי דיני אותה מדינה הוא מידע רגיש, הוא יוכל לקבוע שהוא ייחשב מידע רגיש לעניין חוק זה. ואז זה סעיף הסמכה – כי מחר בבוקר באיחוד האירופי יחליטו שצבע שיער, זה רגיש, לא יודע.
גלעד סממה
אפשר כמובן לעשות את זה. אני רק אומר, גם אמרתי את זה בדיון הקודם, שבסופו של דבר אנחנו לא יכולים לחזות כל דבר. ואני מבין גם את הצורך אולי של יו"ר הוועדה שבכל דבר מהותי אנחנו נעבור את מסלול החקיקה הרגיל.
היו"ר שמחה רוטמן
לא, להפך, הצעתי פה משהו אחר. הצעתי מבחן מהותי.
גלעד סממה
הצעת מבחן מהותי כדי לשמר, למשל את - - -
היו"ר שמחה רוטמן
זה גם ישמר לך את התקנות וגם כן ייתן לך פתח אם מחר בבוקר תצטרך גישור אחר.
גלעד סממה
אבל יתכן שאנחנו נצטרך להגדיר מידע רגיש לאו דווקא בעקבות - - -
היו"ר שמחה רוטמן
אז תבוא לחקיקה. את הצ'ק הפתוח הזה אני לא אתן.
גלעד סממה
אין בעיה. אני רק עוד פעם אומר שאני חושב, כמודל, שבסופו של דבר אנחנו גם מדברים על חקיקה שיש לה הקשרים של טכנולוגיה. לעשות את כל המהלך, כל פעם, בגלל פריט כזה או אחר - - -
היו"ר שמחה רוטמן
בסדר, זה טיעון להשאיר את סעיף (13) בצורתו המקורית שאני לא בעדו. אני אומר: "שר המשפטים רשאי, באישור ועדת החוקה, לקבוע כמידע שהגיע" – ואם אתם צריכים הוראת מעבר של התקנות שאושרו כבר, זה בהוראת מעבר.
ניר גרסון
אבל זה לא דווקא מדינה אחרת, זה יכול להיות ארגון בין-לאומי.
היו"ר שמחה רוטמן
בסדר, תנסחו את זה, אני לא רב איתכם. בסדר גמור. גם מדינות בריקס, בסדר.
עמית יוסוב עמיר
אני רק אומר לפרוטוקול, רק לדייק. ההגדרה בדין האירופי היא לא "רגישות מיוחדת", אלא "special categories". זאת אומרת, נצטרך למצוא נוסח שיתאים.
היו"ר שמחה רוטמן
בסדר גמור, זה חלק מההתאמה.

(10) "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם" – שעל זה דיברנו בפעם הקודמת.
הוספתם
"וכן עובדת היותו של אדם מחוסר אמצעים".
למה? להלן סעיף גידי גוב
"אין לי כסף, אין לי".
עמית יוסוב עמיר
אנחנו מחפשים לדייק ולהסביר מה בדיוק הרגיש. אנחנו מצמצמים מהמצב הכלכלי באופן כללי. יש מצב כלכלי ספציפי, שהוא לא משתקף רק בנתונים הפיננסיים, שאנחנו חושבים שהמידע עליו הוא מאוד רגיש מבחינת תפיסות חברתיות מקובלות, של מה רגיש בעיני אנשים.

בסופו של דבר, יש פה החלטה ערכית.
היו"ר שמחה רוטמן
אני לא יודע. "מחוסר אמצעים" – זה מושג מאוד רחב. אין לי כסף ללמבורגיני – אני מחוסר אמצעים? זה מושג סופר רחב.
לירון מאוטנר לוגסי
אנחנו ניסינו לכוון למעגלי עוני, נזקקות. פשוט מצאנו בחקיקה את השימוש במונח הזה, "מחוסר אמצעים". אנחנו גם יכולים לחשוב על מונח אחר. אבל כן חשבנו על כל העמותות.
היו"ר שמחה רוטמן
אני לא אוהב את זה, כי זה קצת כמו שדובר מקודם על ההבדל בין דעה לעובדה. "מחוסר אמצעים" – זאת דעה. יש "איזהו עשיר השמח בחלקו". יש אנשים שהם "אין עני אלא בדעת". זה יכול להיות כל מיני דברים. יש הרבה מאוד אנשים שהם מתחת לקו העוני. יש חברות שבהן זה כמעט 100% מהאנשים. זה הופך את זה למשהו שהוא מאוד ביישובים מסוימים בארץ, כל יישוב שהוא סוציו-אקונומי נמוך.

זה מאוד רחב, זה לא באמת רגיש ברמה הזאת. אני חושב שכאשר מדובר על evidence, על עובדות, נתון על פעילות פיננסית, למשל על בן אדם שמרוויח 50% משכר המינימום, זה נתון רגיש כי אני יודע בדיוק את המשכורת של האיש. אבל להגיד "מחוסר אמצעים" או "עני"? בבחירה ערכית, כשאתה הופך את זה לרגיש – אתה הופך את זה לרגיש, אתה מייצר אמירה עם אלמנט של גנאי. בתחומי המשפט העברי – "יפה עניות לישראל". לא בטוח שזה דבר שהייתי רוצה להכניס פה כמושג.
אייל שגיא
יש יתרון במה שהממשלה מציעה. אני אזכיר מאיפה התחלנו.
היו"ר שמחה רוטמן
התחלנו ממקום מאוד לא טוב. ההגדרה שם הייתה מאוד רחבה.
אייל שגיא
ההתייחסות למצב לא טוב נותנת את הקונטקסט. כמו שגם אמרנו לגבי בריאות: גם בריא – זה מצב בריאותי. לא לזאת הכוונה. וזה כן מכווין את ההגדרה לכיוון של מצב כלכלי. לא סתם, לא נטול קונטקסט, אלא משהו יותר ספציפי.
היו"ר שמחה רוטמן
לא יודע, אני מעדיף evidence ולא הערכה.
מירה סלומון
אנחנו דווקא מסכימים עם יושב-ראש הוועדה, שהיותו של אדם מחוסר אמצעים זה משהו שהוא יותר מדי מעורפל. מחוסר אמצעים – זה לא יכול לרכוש דירה ולכן נמצא במחיר למשתכן; מחוסר אמצעים – זה זכאי לדיור בהישג יד כי הוא לא יכול - - -
היו"ר שמחה רוטמן
אני אגיד יותר מזה, בהמשך למה שמירה אומרת. לצורך העניין, מרכז השלטון המקומי, עירייה, אוספת מידע, מקבלת תלושי שכר, ובסופו של דבר נותנת הנחה בארנונה, לפעמים על בסיס מצב כלכלי.
מירה סלומון
"הנחת נזקק" קוראים לזה.
היו"ר שמחה רוטמן
אני רוצה שהם יושיבו בן אדם שיגיע למסקנה, על בסיס נתונים שיש לו, שאדם הוא מחוסר אמצעים. שירשמו עליו "הוא מחוסר אמצעים" – ולא יאגרו את כל המידע, אלא להפך, ימחקו את כל המידע. מאגר המידע של מקבלי ההנחות בארנונה יכלול שהוא מקבל הנחה בארנונה כמחוסר אמצעים. הם לא ישמרו את המידע הרחב ביותר שעל בסיסו הם הגיעו להערכה הזאת, אלא הם העריכו אותו כמחוסר אמצעים ומחקו את כל המידע האחר.

ואז הם ירדו ברמת האבטחה וירדו ברמת הצורך לזה. וככה אני אומר: חבר'ה, הכול אותו דבר. ברגע שהגדרתם אותו "מחוסר אמצעים", כבר תשמרו עליו את התלושים, כבר תשמרו את המידע, תשמרו את חשבון הבנק שלו – וזה כי הכול באותה רמה. אני מייצר פה גם תמריץ שלילי לעניין המאגר.

זאת סתם דוגמה שעלתה לי בגלל שראיתי את מירה. מירה בכלל מביאה לי השראה, תמיד, מתחום השלטון המקומי. עכשיו היא לא תסכים איתי, כדי להראות שלא צדקתי.
מירה סלומון
אבל באמת אנחנו לא מסכימים על הנקודה הזאת. כשמדובר ב"הנחת נזקק", כך קוראים לזה בנוסח, בתקנות ההנחה מארנונה, ראוי לשמור את התיעוד שהוביל למתן ההנחה כדי למנוע חשש לחוסר טוהר המידות או לקושי.
היו"ר שמחה רוטמן
יכול להיות, אבל תחזיקו את זה בשני מאגרים נפרדים.
מירה סלומון
בדיוק.
היו"ר שמחה רוטמן
אחד תאבטחו מאוד ואחד לא. אחרת אתם תיתנו לכל עובד גישה להכול – כי זה כבר הכול רגיש.
ליאור אתגר
אפשר פשוט להפנות למונח שנקרא "מידע פיננסי" בחוק שירות מידע פיננסי - -
היו"ר שמחה רוטמן
עזוב, נשאיר את זה כמו שזה – "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם".
ליאור אתגר
- - כי הוא גם משרשר למקורות המידע.
היו"ר שמחה רוטמן
לא, לא. "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם" – נשאיר את זה ככה, בלי תוספות.

"הרגלי צריכה" – הורדנו, מצוין.

עכשיו עוד הגדרות שהצריך היה להתקדם לגביהן: "בעל שליטה במאגר מידע".
נעמה מנחמי
הוספנו רק "עיבוד מידע".
היו"ר שמחה רוטמן
במקום המילה "לנהל" – "לעבד".

"מחזיק" – אמרנו, בעקבות הערות בדיון – "גורם חיצוני לבעל השליטה המעבד מידע עבורו".
ד"ר רחל ארידור הרשקוביץ
לא ברורה לי המשמעות של "גורם חיצוני". האם זה כולל גם חברת בת, למשל? ב-GDPR למשל יש הגדרה של צד שלישי. לא ברור לי למה צריך לומר "גורם חיצוני". למה אי-אפשר להגיד "מי שמעבד מידע עבור בעל השליטה"? למעט עובדים.
עמית יוסוב עמיר
זה בדיוק העניין.
היו"ר שמחה רוטמן
זה דיון ארוך שהיה פה בפעם הקודמת, את גם היית פה.
ד"ר רחל ארידור הרשקוביץ
נכון, אבל "גורם חיצוני" מכניס עוד בעיות. אם יש חברת בת שמעבדת עבור החברה, האם זה "גורם חיצוני" או לא?
ניר גרסון
גורם חיצוני. למה לא?
היו"ר שמחה רוטמן
ואם לא, תגידי שהוא הבעלים. אני חושב שדנו בשאלה למה ההגדרות האלו. כל הגדרה מייצרת איזושהי מורכבות. אני חושב שזה איזושהי נקודת האמצע נכונה.
ראובן אידלמן
הנוסח הזה נועד לתת מענה לדברים שהטרידו את אדוני.
היו"ר שמחה רוטמן
אני זוכר. אני מבין את הדבר, אבל זה סוג של מסקנה מהדיון הקודם.

"עיבוד" – כל פעולה שמבוצעת על מידע אישי לרבות קבלה, איסוף, העתקה, שימוש, עיון, חשיפה, או מתן גישה; ואז, "שימוש" – כולל בתוכו דברים אחרים שהם מילים נרדפות.
ראובן אידלמן
לא, אז יש סיבה.
היו"ר שמחה רוטמן
אני רק מזהיר שמי שמתנדב למשוך את הקש הקצר כדי להתייחס להגדרה הזאת, יצטרך להסביר לי מה ההבדל בין "גילוי" לבין "חשיפה". רק נתתי פרומו.
עמית יוסוב עמיר
אנחנו הונחינו על ידי הוועדה לקחת את ההגדרה - - -
היו"ר שמחה רוטמן
אחר כך יגידו שאני מהלך אימים על עובדי ציבור, שהם צריכים להסביר מה ההבדל בין "גילוי" לבין "חשיפה".
עמית יוסוב עמיר
השאלה היא טובה, לעניות דעתי זה אכן עניין של התלבטות. זה עניין נוסחי. בסופו של דבר אנחנו אומרים "כל פעולה". כשאומרים "כל פעולה" – הכוונה לכל פעולה.
היו"ר שמחה רוטמן
אז למה אנחנו צריכים את הגדרת "שימוש"?
עמית יוסוב עמיר
יש לזה כמה סיבות חצי קזואיסטיות. קודם כל, אני מזכיר שיש לנו את הפרק הראשון, לכאורה היה אפשר להבדיל בין הפרק הראשון לפרקים הבאים. בסוף, המילה "שימוש" – היא מילה שימושית. גם בהגדרה של processing ב-GSPR אחת מהמילים שבהן משתמשים כדי להגדיר זה "use". זאת אומרת, קצת קשה להתנתק לחלוטין.
היו"ר שמחה רוטמן
אין בעיה, אבל "שימוש" מופיע תחת "עיבוד". תשאירו את זה ככה וזהו.
ראובן אידלמן
לא, לא, אדוני.
עמית יוסוב עמיר
לא, רגע.
היו"ר שמחה רוטמן
למה צריך הגדרה נפרדת ל"שימוש"?
עמית יוסוב עמיר
סיבה נוספת, שהיא גם קצת קזואיסטית, אבל היא חשובה ומרכזית, שכרגע תקנות אבטחת מידע משתמשות במילה "שימוש". המטרה היא להבהיר. בסוף, אין פה משמעות נורמטיבית עמוקה. כל פעולה זה עיבוד. אבל אנחנו לא רוצים שייווצרו כל מיני פערים נוסחיים, כל מיני שאלות.
היו"ר שמחה רוטמן
מה ההבדל בין "עיבוד" ל"שימוש"?
עמית יוסוב עמיר
"איסוף".
היו"ר שמחה רוטמן
אבל "שימוש" כולל "אחסון". מה ההבדל בין "אחסון" ל"איסוף"?
עמית יוסוב עמיר
פעולת האיסוף עצמה, היא לא מוגדרת ב"שימוש".
היו"ר שמחה רוטמן
יש לי הצעה ניסוחית: תכתבו "עיבוד או שימוש – כל פעולה שמבוצעת על מידע אישי לרבות קבלה, איסוף, העתקה, עיון, חשיפה, גילוי, העברה, מסירה, או מתן גישה". זאת אומרת, הכול נכנס להגדרה "עיבוד או שימוש".

אלא אם כן ההגדרה הזאת לא טובה, ואז המילים שמשתמשים ב"שימוש" ילכו לאיבוד. אני פשוט חושב שאנחנו משחקים במילים, זה מאוד משעשע.
עמית יוסוב עמיר
אנחנו עדיין נצטרך את "שימוש" לפרק א'.
היו"ר שמחה רוטמן
בסדר, אז ההגדרה תהיה: "עיבוד או שימוש", זה המושג. עיבוד שווה שימוש. אין הבדל בין עיבוד לשימוש.
עמית יוסוב עמיר
יש הבדל.
היו"ר שמחה רוטמן
מה ההבדל?
עמית יוסוב עמיר
שלב האיסוף.
היו"ר שמחה רוטמן
מה ההבדל בין "איסוף" ל"אחסון"? איך אני אוסף משהו בלי לאחסן אותו? או מאחסן משהו בלי לאסוף אותו?
מירה סלומון
וגם: למה "שימוש" זה "העברה ומסירה", אבל "עיבוד" זה "קבלה"?
היו"ר שמחה רוטמן
אנחנו יכולים לעשות את זה על כל מילה, זה נורא כיף. הינה, תראו, שמישהו יסביר לי מה ההבדל בין "קבלה", "איסוף" לבין "אחסון"; מה ההבדל בין "גילוי" לבין "חשיפה או מתן גישה"; מה ההבדל בין "העברה ומסירה" לבין "העתקה".
מירה סלומון
בגישה, בגישה לזה.
עמית יוסוב עמיר
ברור שהכול מוחל.
היו"ר שמחה רוטמן
יפה. מה ההבדל בין "עיבוד" ל"שימוש"?
עמית יוסוב עמיר
שלב האיסוף. יש הוראות ספציפיות שמתייחסות לשלב האיסוף של מידע, שה"שימוש" לא חל עליהן. ה"שימוש" חל רק אחרי שאספת את המידע. אחרי שאספת את המידע, מה מותר לך לעשות? הדבר הראשון – אחסון, זה הדבר המיידי שקורה אחרי.

אבל התיבה "שימוש" לא מתייחסת - - -
היו"ר שמחה רוטמן
האם ניתן לאסוף מידע בלי לאחסן אותו? האם ניתן לאחסן מידע בלי לאסוף אותו?
ראובן אידלמן
אבל ההסמכה בדין, למשל, היא הסמכה לאסוף.
עמית יוסוב עמיר
יש הוראות נורמטיביות שונות, זה לא עניין - - -
היו"ר שמחה רוטמן
אין לי בעיה, אני לא אמרתי לך שאסור לך לאסוף. אני רק אומר שהכול נחשב שימוש ועיבוד.
ראובן אידלמן
לא, אבל זה שלב אחר בחיי - - -
היו"ר שמחה רוטמן
אני הבנתי.
נעמה מנחמי
עמית, אולי תפנה אותנו להוראות שמטרידות אותך בעניין "איסוף"?
עמית יוסוב עמיר
אני מציע שנגיע לזה בהמשך.
היו"ר שמחה רוטמן
כרגע הצעתי שיהיה "עיבוד או שימוש", תכניסו את כל ההגדרות פנימה. כשניתקל באיזושהי הוראה בחוק או בתקנות אבטחת מידע או בתקנות הגישור, או בכל דבר חקיקה אחר שנראה לכם שדורש את ההבחנה בין "גילוי" לבין "חשיפה"; בין "העברה" לבין "העתקה"; לבין "אחסון" לעומת "איסוף" – אנחנו נעבד ונשתמש בהגדרות בצורה שונה.
דן אור-חוף
מספר נקודות. קודם כל, בהקשר הטכני אכן יש מצבים ויש שירותים שאוספים מידע אבל לא שומרים אותו, כי יש תהליכים של איסוף מידע שבהם המידע מרובד על גבי מה שנקרא זיכרון נדיף. המידע לא נשמר, אבל הוא כן נאסף.
קריאה
אז זה אחסון זמני.
דן אור-חוף
זה אחסון שהוא נדיף, אין אחסון בכלל במצבים כאלה. יש רק עיבוד של מידע ומחיקתו.
היו"ר שמחה רוטמן
כל זמן שאתה לא מנתק את השקע, הוא מאוחסן.
דן אור-חוף
אדוני, אבל באופן כללי אני חושב שאנחנו מנסים לחסוך כאן בלבול ותלי תלים של פרשנויות לגבי הבדלים בין "עיבוד" ל"שימוש", כשלטעמנו אין צורך אמיתי בזה. אם ההגדרה עכשיו של "עיבוד" כוללת בתוכה "שימוש", שזה אכן מונח שגור בתקנות אבטחת המידע, אז אני לא רואה פה מקום לאיזושהי בעייתיות.
היו"ר שמחה רוטמן
אגב, אפשר לעשות את מה שנעשה בחלק מדברי חקיקה, לכתוב "עיבוד לרבות שימוש, שימוש לרבות עיבוד" – ואז זה נפלא לגמרי.
דן אור-חוף
"שימוש" זה גם חלק מהגדרת "עיבוד".
היו"ר שמחה רוטמן
אני יודע.
היו"ר שמחה רוטמן
לכן אין צורך בהרחבה הזו. תנו לנו מונח אחד שיכלול הכול, keep it simple.
ראובן אידלמן
אבל הצורך במונח "שימוש" - - -
היו"ר שמחה רוטמן
הוא בגלל שכתוב לכם בתקנות אבטחת מידע "שימוש".
ראובן אידלמן
לכל אורך התקנות.
היו"ר שמחה רוטמן
אני לא יכול לכתוב לכם הוראה שבכל מקום שכתוב בתקנות זה וזה, במסגרת הזו, יוחלף "שימוש" ב"עיבוד?
ראובן אידלמן
לא, כי זה תקנות.
היו"ר שמחה רוטמן
אפשר לשנות תקנות בחוק, תאמינו לי.
ד"ר רחל ארידור הרשקוביץ
אבל ממילא צריך לשנות את התקנות. אמרתם בעצמכם בדיון הקודם שתקנות אבטחת מידע יעברו שינוי בהתאם לשינויים פה.
היו"ר שמחה רוטמן
תביאו עם סיום החקיקה לאישור הוועדה. אני אומר באמת, אם זה רק החלפת מונחים, יש חוקים של החלפת מונחים. בכל מקום בחיקוק שרשום בתוספת שכתובה המילה "שימוש", היא תוחלף במילה "עיבוד" – וסגרנו את הסיפור. עושים את זה, עשו את זה ויעשו את זה.
מירה סלומון
אדוני, אבל אם יש הוראות מסוימות שחלות אך ורק על "העברה ומסירה"?
היו"ר שמחה רוטמן
יש הוראות כאלו?
מירה סלומון
אני שואלת.
היו"ר שמחה רוטמן
אני לא מכיר. ואני אגיד לך יותר מזה. לא רק שאני לא מכיר, מאחר ועיבוד הוא לרבות שימוש – זה בכל מקרה לא משנה.
מירה סלומון
אבל אם יש הוראות מסוימות שחלות אך ורק על "העברה ומסירה"?
היו"ר שמחה רוטמן
אבל לפי ההגדרות כרגע "העברה ומסירה" נחשבות "עיבוד".
מירה סלומון
נכון, אבל יכול להיות - - - אני לא יודעת.
היו"ר שמחה רוטמן
יושבים פה מספיק אנשים, מוח קולקטיבי מאוד גדול. אנא, אם יש לכם מידע הנוגע לדבר הזה, גם תשתמשו בו וגם תעבירו אותו אלינו. וגם תגלו אותו. וגם תחשפו אותו.
מירה סלומון
וגם תעבדו.
ד"ר רחל ארידור הרשקוביץ
אם יש הוראות שהן מתייחסות לפעולה ספציפית מתוך הפעולות של השימוש, אפשר לחשוב אם נכון – ובחלק מהמקרים נכון – להטיל אותן דווקא על הגוף. נגיד, בעל השליטה במידע ימסור הודעה ולא מי שאוסף.
היו"ר שמחה רוטמן
שום דבר ממה שאנחנו עושים פה לא מונע את האפשרות לעשות את זה.
ד"ר רחל ארידור הרשקוביץ
ברור. זה דברים שאפשר להתמודד איתם בהמשך, ולא - - - שימור הגדרות.
היו"ר שמחה רוטמן
בסדר גמור. הצעתי היא ברורה.
עמית יוסוב עמיר
"עיבוד ושימוש".
היו"ר שמחה רוטמן
או איחוד מושגים "עיבוד ושימוש" או התאמת התקנות.
עמית יוסוב עמיר
אנחנו נבקש לאמץ את החלופה הראשונה שאתה מציע.
היו"ר שמחה רוטמן
טוב, בסדר, אני אחיה עם זה. אני חייב לומר שהאקדמיה ללשון העברית ניצלה פה מאירוע מאוד קשה, שלא הייתה צריכה להסביר את ההבדל בין גילוי לבין חשיפה.
ד"ר עמרי רחום טוויג
עוד לא הגענו להתממה, אדוני.
היו"ר שמחה רוטמן
כן, כן.

"אבטחת מידע – הגנה על שלמות המידע, או הגנה על המידע מפני עיבוד והכל ללא רשות כדין".

"מנהל מאגר – המנהל הכללי של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה".
אלן יוסף
היה לנו דיון ארוך בדיון הקודם. אנחנו באמת צריכים את "מנהל המאגר"? זאת באמת פונקציה נדרשת היום? בסוף זה בן אדם בשר ודם שלוקח אחריות אישית בנסיבות האלה. יש לנו את בעל השליטה, הוא אחראי על אבטחת המידע. המנכ"ל, בין כל הדברים שיש לו, הוא אחראי מעצם התפקיד שלו. השאלה למה אנחנו צריכים פה את ההגדרה הזאת של מנהל מאגר.

ומעבר לזה, עוד דבר מהשטח. מאוד קשה למנות מנהלי מאגרים.
קריאה
נכון.
אלן יוסף
אנשים, וגם מנהלים, חוששים. ויש להם חשש אמיתי.
היו"ר שמחה רוטמן
זה בדיוק מה שהם רוצים. את מציגה את זה כבאג.
קריאה
יש אחריות תאגידית. למה?
אלן יוסף
לא, אבל בסוף צריך להתחבר לשטח.
היו"ר שמחה רוטמן
הם רוצים להפחיד אנשים.
אלן יוסף
לא, אני לא חושבת שהם רוצים.
היו"ר שמחה רוטמן
הם קוראים לזה "הרתעה", אבל תכלס רוצים להפחיד אנשים – ואז נשאל מה ההבדל בין "גילוי" ו"חשיפה" לבין הפחדה והרתעה.
אלן יוסף
לא, אנחנו מכירים, אף אחד לא רוצה פה להפחיד.
היו"ר שמחה רוטמן
להפחיד לרבות להרתיע.
אלן יוסף
הרעיון הוא שבסוף צריך להתחבר לשטח. וכדי שהדברים האלה, שאבטחת מידע באמת - - - כמו שצריך, צריך להטיל את האחריות על בעל המאגר. הוא זה שאחראי, עם האנשים הרלוונטיים.
היו"ר שמחה רוטמן
אבל הוא בכל מקרה אחראי.
קריאה
נכון, אז למה צריך עוד אחריות?
אלן יוסף
בסדר, אין בעיה, אז לא צריך.
דלית בן-ישראל
אם אפשר רק להוסיף. בפועל, היום בארגונים, בעיקר בגדולים, החובות של מנהל המאגר מתבצעות דה-פקטו על ידי של אוסף אנשים בארגון ולא על ידי בן אדם אחד. את ההרשאות אולי קובע מנהל המאגר, אבל באבטחת המידע מתעסק ה- CISO– ממונה אבטחת מידע.

בניגוד לממונה אבטחת מידע שבתקנות אבטחת מידע הוגדרו לו חובות ספציפיות ויש היום רשימה מה באחריותו, וזה גם די אינהרנטי - - -
היו"ר שמחה רוטמן
למנהל כרגע יש איזשהו - - -
דלית בן-ישראל
אין הגדרה בשום מקום. אין רשימת תפקידים בשום מקום.
היו"ר שמחה רוטמן
שאלה טובה. למה נפקא מינה להגדרת מנהל?
עמית יוסוב עמיר
קודם כל, האחריות היא באמת בתקנות אבטחת מידע, חד משמעית.
היו"ר שמחה רוטמן
היא אומרת שעל ממונה אבטחת מידע.
ניר גרסון
לא, היא לא רק בתקנות.
דלית בן-ישראל
לממונה הוגדרו תפקידים בצורה מדויקת יותר, כדי שיהיה ברור על מה הוא אחראי. למנהל אין כזה.
ניר גרסון
בואו נעשה סדר. מנהל המאגר – בחוק אין לו תפקידים. אבל יש לו אחריות על אבטחת מידע - -
קריאה
אנחנו שואלים למה צריך.
ניר גרסון
- - ויש לו גם כמה תפקידים בתקנות.
היו"ר שמחה רוטמן
תראה, זה יותר טוב מגופים שיש להם אחריות ואין להם תפקידים. אבל עדיין - - -
ניר גרסון
בחוק הגנת הפרטיות יש לו אחריות.
היו"ר שמחה רוטמן
לא, סליחה, התכוונתי שזה יותר טוב מאנשים שיש להם תפקידים ואין להם אחריות.
ניר גרסון
בתקנות העברת מידע בין גופים ציבוריים יש לו כמה תפקידים. יש לו גם כל מיני אזכורים והפניות בחקיקה חיצונית. לא אכנס לזה.
קריאה
אז אפשר להשאיר את זה בגופים ציבוריים.
ניר גרסון
למה זה נדרש? בחברה או בגוף ציבורי יש אחריות לאישיות המשפטית הכללית. אבל אם אין, פעמים רבות, כחלק - - -
היו"ר שמחה רוטמן
אבל זו תורת האורגנים הרגילה. למה אתם צריכים? למה אין את ההגדרה הזאת בחוקים אחרים שמטילים אחריות על תאגידים? יש תורת האורגנים. כאשר אני מטיל אחריות פלילית על תאגיד, זה חל על האורגנים שלו בצורה כזאת, בצורה אחרת, לפי מבחנים שנקבעו בפסיקה, בדין הפלילי, בדין המינהלי, בדין האזרחי.

למה בנושא אבטחת מידע או מאגר מידע אני צריך לייצר איזו חיה מיוחדת של אחריות כזאת?
ניר גרסון
אבטחת המידע זאת אחריות. אבל מכיוון שמדובר בחובה מתמשכת, שכרוכה בהרבה תחומים - - -
היו"ר שמחה רוטמן
לא הבנתי. וחובה לא לעשות זיהום אוויר – היא לא מתמשכת?
ניר גרסון
אבל היא כרוכה, בייחוד בארגונים גדולים - - -
היו"ר שמחה רוטמן
במה אתם שונים מתקנות אוויר נקי?
ניר גרסון
אני לא יודע, כי לא מכיר את התקנות אוויר נקי.
ד"ר עמרי רחום טוויג
מפקודת הנזיקין באופן כללי.
היו"ר שמחה רוטמן
אני חושב שעצם כמות הזמן שאנחנו משקיעים בחוק הגנת הפרטיות, מעידה על-כך שנושא הפרטיות הוא קרוב לליבי, שאני מאוד מעריך וחושב שהוא חשוב. אף אחד לא יכול להאשים אותי שאני מזלזל בנושא הפרטיות.

אני תוהה למה הפרטיות של מאגר מידע היא נושא שאליו אני צריך לייצר דמויות ספציפיות, בניגוד לכללי התאגידים הרגילים, אבל אם בן אדם מחזיק פסולת רדיואקטיבית של כור אטומי – לא.
ניר גרסון
אדוני, התשובה היא שקיים קונצנזוס שהאחריותיות – חלוקת תפקידים בתוך הארגון ועוד כל מיני דברים שהם כלולים באחריותיות – היא כשלעצמה ערובה טובה מאוד לשמירה על רמה מינימלית של ציות או אפילו להעלאה שלה.

בעולם שבו אין חובה שיהיה ממונה על אבטחת מידע בארגון, רק לקבוצה מאוד קטנה, אין חובה ל-DPO עדיין, לממונה פרטיות, אין חובה להרבה דברים אחרים שקיימים ברגולציה בעולם, בדין הקיים שלנו - - -
היו"ר שמחה רוטמן
בתיקון 15 יש את זה?
ניר גרסון
אנחנו עוסקים בזה, כן.
היו"ר שמחה רוטמן
אז יאללה.
ניר גרסון
אבל אין עדיין. בעולם של היום - - -
היו"ר שמחה רוטמן
אני מבין.
ניר גרסון
אדוני, זה אמצעי מאוד חשוב.
היו"ר שמחה רוטמן
אבל אני הבנתי. אני מבין את הרצון לבוא ולהגיד: "תשמע, אתה כראש ארגון, בשנייה שאתה לא מבין בזה, תיקח בעל מקצוע שייקח ממך את האחריות". זה מייצר באמת אחריותיות ברמה מסוימת. זה גורם למינוי של בעלי מקצוע עם יכולות, עם כוחות, עם סמכויות, עם הבנות. מעמיד את הגורם הממונה על אבטחת מידע באיזושהי עמדת כוח מול הארגון להגיד: "חברים, אני מוכן לקחת את האחריות. אבל אם אתם לא מקשיבים לי ולא עושים את זה ולא קונים את הציוד הזה והזה ולא קונים את הפיירוול לדגם הזה והזה – אני לא מוכן לקחת אחריות, המזכירות לא תשלם". זה עושה משהו.

אתם לא עושים את זה. אתם כותבים בתקנות שהחובות החלות בתקנות האלה על בעל מאגר מידע, יחולו גם על מנהל המאגר.
ניר גרסון
כי החוק קובע את זה, אדוני.
ראובן אידלמן
אדוני, אנחנו בעולם של מגפת מתקפות סייבר. נתחבר רגע, נחזור שנייה ללמה אנחנו דנים בזה בעת הנוכחית. בעידן כזה, אחריות אישית למנהל המאגר – ופה הגדרנו שזה המנהל של החברה לתחום אבטחת המידע כפי שנקבע בסעיף 17 – היא דבר חשוב מאוד - -
היו"ר שמחה רוטמן
אני בעדך.
ראובן אידלמן
- - כדי לקדם אבטחת מידע וסייבר במשק הישראלי.
היו"ר שמחה רוטמן
אני בעדך. אני רק אומר שאחריות אישית כשמה כן היא. אחריות לא מתחלקת.
ניר גרסון
אחריות יכולה להתחלק.
היו"ר שמחה רוטמן
אבל אם היא מתחלקת, אמרו חז"לנו: "קידרא דבי שותפי – לא חמימי ולא קרירי". כשיש הרבה שאחראים על התבשיל, התבשיל יוצא לא קר ולא חם.
ניר גרסון
אבל היא הנותנת, זה מה שקורה בתאגיד. אדוני, בדיוק זו הבעיה.
היו"ר שמחה רוטמן
אני איתך. אבל אז אתה חייב להגיד, לצד האמירה של מנהל מאגר, שאם מינית מנהל מאגר שהוא כשיר לתפקידו, שיש לו שתי ידיים, שני רגליים, שתי אוזניים, הוא יודע לשמור על מאגר המידע במידה הנדרשת – אז הוא אחראי ולא אתה.

אתה לא יכול לבוא ולהגיד שאתה רוצה שיהיה גורם אחראי - - -
ניר גרסון
אדוני, סליחה שאני קוטע, אולי יש פה משהו לא ברור. ההגדרה בחוק אומרת שמנהל המאגר הוא או המנהל או המנכ"ל או מי שהוא מינה. אם הוא מינה, האחריות יורדת מהמנכ"ל. זה מה שכתוב.
עמית יוסוב עמיר
זה כתוב, חד משמעית.
היו"ר שמחה רוטמן
לא. זה כתוב על המנהל.
קריאה
אבל אז מה זה אומר?
היו"ר שמחה רוטמן
זה כתוב על המנהל, אבל לא על הבעל.
ניר גרסון
לא, האישיות המשפטית.
עמית יוסוב עמיר
הבעל זה התאגיד.
ניר גרסון
בדיוק.
היו"ר שמחה רוטמן
אבל "הבעל" – זה יכול להיות תאגיד, זאת יכולה להיות גם פרסונה.
ניר גרסון
במקרים חריגים.
היו"ר שמחה רוטמן
מאחר שלא ביטלנו את תורת האורגנים הרגילה, אז כאשר תוטל האחריות על התאגיד, היא תוטל גם על האנשים – דרך התאגיד.
עמית יוסוב עמיר
לא, הפוך.
היו"ר שמחה רוטמן
מה הפוך?
קריאות
- - -
עמית יוסוב עמיר
אני חושב שהיחידים מחייבים את התאגיד, לא התאגיד את היחידים.
ד"ר עמרי רחום טוויג
תלוי.
היו"ר שמחה רוטמן
תלוי, זה דו צדדי.
ליאור אתגר
אני חושב שאדוני צודק. אני חושב שהסיפור הזה של מנהל מאגר הוא ארכאי, הוא מעולם שבו לא היה עדיין DPO. כמי שמייצג אותם פה בכיסא, אנחנו מדברים היום על ארגונים שלא מבינים, הרבה ארגונים מהשוק הפרטי לא יודעים מה זה מנהל מאגר.

אתה בא למנהל HR ואתה אומר לו "אתה מנהל המאגר". אוקיי, בשביל רישום המאגר אנחנו צריכים למנות אותו. להטיל אחריות – אין לזה שום משמעות, ממילא מי שיהיה אחראי על זה בארגון זה מנכ"ל או נושא משרה אחר, הוא יישא באחריות האישית.

אין לזה משמעות. אני חושב שעדיף למקד את האחריות בנושא המשרה. אני חושב שצריך למקד את ההטלה של סמכויות נוספות על DPO. זה הרבה יותר נכון מקצועית, זה הרבה יותר נכון עניינית.
ד"ר עמרי רחום טוויג
שאגב, ל-DPO, לפי ה- ,GDPRיש אחריות אישית.
ענר רבינוביץ׳
יש הרבה בלבול בין אחריות לבין אחריותיות שהוזכרה כאן. באמת, ב-,GDPR כמו שעמרי אמר הרגע, ל-DPO יש אחריות לניטור, לוודא שעומדים בהוראות החוק. אבל אין חשיפה אישית, אלא אם התרשל. אני חושב שזה נכון גם לגבי הרמת המסך או ללכת אחרי תורת האורגנים שהוזכרה כאן קודם.

כלומר, אני לא רואה למה במקרים האלה נדרשת כאן האחריות הפלילית או האזרחית האישית.
ניר גרסון
סליחה, עוד הבהרה חשובה. זו טעות נפוצה. אין על מנהל המאגר אחריות פלילית. האחריות היא באבטחת מידע.
אלן יוסף
סנקציות מינהליות.
ד"ר עמרי רחום טוויג
יש סנקציות מינהליות, עכשיו הן יהיו אישיות.
ניר גרסון
אחריות באבטחת מידע. עשויות להיות, אבל לא פליליות, זאת טעות.
ליאור אתגר
בסופו של דבר, אבטחת מידע בארגון ממילא מנוהלת על ידי גורמים אחרים.
ד"ר עמרי רחום טוויג
קנסות מינהליים על אינדיבידואל – זה לא דבר שהוא פרטי.
ניר גרסון
עיצומים כספיים.
דן אור-חוף
קודם כל, אם היינו במצב האוטופי שהיינו דנים היום גם בתיקון 15 ולא 14, יכול להיות שלא היה שום צורך בכלל לדבר על הפונקציה הזאת של מנהל מאגר, שאולי מקומה בדפי ההיסטוריה. אבל אם אנחנו כבר משאירים את המונח הזה "מנהל מאגר", כל עוד אין תיקון 15, יש מקום ליצוק בו תוכן אמיתי ולא איזו מעין הגדרה כזאת שהיא לא אומרת שום דבר הלכה למעשה.

אם יש מנהל מאגר והוא פונקציה חשובה, ואולי צריכה להיות לו איזושהי רמה של אחריות, אז צריך להיות כתוב בתוך ההגדרה שיש לו אחריות לעניינים או לציות של בעל השליטה במאגר לדין, לדיני הגנת הפרטיות. זה צריך להיות כתוב בתוך ההגדרה הזאת.
היו"ר שמחה רוטמן
עוד מישהו בנושא הזה?
עמית יוסוב עמיר
אולי רק נגיד שוב פעם. קודם כל, יש תפקידים ספציפיים בתקנות אבטחת מידע, יש תפקידים ספציפיים וחשובים בתקנות העברת מידע בין גופים ציבוריים, למנהל. צריך בסוף דמות מרכזית.
קריאות
- - -
היו"ר שמחה רוטמן
בואו נמפה שנייה את הדעות שמסביב לשולחן. אין ספק שחשוב לדבר על מנהל מאגר בגופים ציבוריים. כלומר, תאורטית, בלי לפגוע באיש, העובדה שמי שעומדת בראש מערכת בתי המשפט בישראל הייתה נשיאת העליון, בכל זאת, לבקש ממנה להיות אחראית למאגר של מועמדים לשפיטה, בגלל שהוא מתנהל בהנהלת בתי המשפט? אני פשוט מזכיר את הליכי האכיפה שהיו ברשות להגנת הפרטיות. גם אם המידע שנאסף שם לא נרשם כדין, אני לא הייתי מצפה מנשיאת העליון שהיא תתעסק ברישום המאגר או בפיקוח על אבטחת המידע שלו, למרות שרסמית היא עומדת בראש הגוף. נניח, בהקשר הזה.

בגופים ציבוריים הפער הזה הוא מאוד משמעותי. לכן, כשרושמים את המאגר של גוף ציבורי צריך להגיד: הגוף הציבורי הוא יהיה משרד – הנהלת בתי המשפט, בית המשפט העליון או משרד המשפטים, לפי העניין; אבל מנהל המאגר הספציפי הזה – זה לא המנכ"ל של המשרד, אין לך מה לבלבל את השכל לאף אחד חוץ ממנהל המאגר הספציפי הזה. למעשה, מאחר שאנחנו עוסקים בגוף ציבורי, ככל הנראה שיהיה גם די חסר משמעות לפתוח בהליכי הפרה נגד שר או מנכ"ל, כי גם לא תטילו שם קנסות מינהליים כל-כך, זה חסר משמעות. לכן באמת חשוב לדעת מי האדם שרלוונטי לגבי גוף ציבורי.

כאשר אנחנו עוסקים בגופים עסקיים, פרטיים, כל האירוע הרבה יותר משונה. בדרך כלל לא חסרים לכם אנשים לדבר, למעט אם מדובר בחברה שהתאגדה באיי קיימן. להפך, תהיה לכם בעיה על מי לא להטיל את האחריות, כי יש לכם כל מיני גופים ואורגנים, יש לכם דירקטורים, יש לכם בעלי מניות, יש לכם בעלי שליטה, יש לכם מנכ"ל. יש לכם, לפי הכללים הרגילים של תאגידים.

מירה, את רוצה שגם לגבי רשויות מקומיות יהיה ברור שהן גוף ציבורי? את יודעת שבשנייה שאת מרימה את היד, אני חייב לעצור הכול ולתת לך לדבר.
מירה סלומון
ברשויות מקומיות החשיבות למנהלי מאגרים היא בכך שמאגר של הרווחה הוא לא מאגר של החינוך, הוא לא מאגר של - - -
היו"ר שמחה רוטמן
ברור, ברור, זה נכון לכל גוף ציבורי.
מירה סלומון
כן, רק חידדתי.
היו"ר שמחה רוטמן
כן, נכון.
מירה סלומון
הלוואי שיכולנו לומר ששם לא יהיו סנקציות מינהליות כנגד הרשויות המקומיות, שזו תהיה אותה הנחה של יושב-ראש הוועדה. הלוואי שיכולנו לומר את אותו הדבר. אבל - - -
היו"ר שמחה רוטמן
אנחנו נדבר על זה בפרק האכיפה.

בגוף ציבורי אני מבין את הצורך במנהל, כי תורת האורגנים לא עובדת כמו שצריך בגופים ציבוריים. בגופים פרטיים, בעיניי זה – שוב, כל ההוראות בחוק שאני רואה לא מייחדות את עצמן למנהל, אלא מלבד העובדה של למצוא עוד מישהו, להטיל עליו או לחפש אותו.
נעמה מנחמי
תרצה שנעשה קצת ישיבה, נבדוק גם את תורת האורגנים?
היו"ר שמחה רוטמן
כן, תעשו על זה שיעורי בית. אם תראו לי שזאת פרקטיקה נפוצה בדברי חקיקה, שמחפשים, כמו שדיברנו על פסולת גרעינית ששם כן רוצים לחפש אנשים ספציפיים ולהדביק להם את העניין, אז אני אדבר. אבל לדעתי אין סיבה שהפרטיות תקבל את הדבר הזה.
מירה סלומון
רק עוד מילה אחת לגבי המנהל הפעיל.
היו"ר שמחה רוטמן
אין הגדרת מנהל פעיל.
מירה סלומון
ידוע, קראנו את הנושא. יש לא הרבה רשויות מקומיות שבהן אין מנהל כללי. יש מזכיר. אז מנהל כללי או מקביל או - - -
היו"ר שמחה רוטמן
בסדר, הם יצטרכו להתאים את כל ההגדרה הזאת.
קריאה
- - - זה יהיה ראש הגוף הציבורי.
היו"ר שמחה רוטמן
אני אומר שוב. בעיניי, תתמקדו בגוף ציבורי וכאשר מדובר בגוף פרטי תייצרו איזשהו לינקג'.
לירון מאוטנר לוגסי
אבל לא רק מבחינת התפקידים שמוטלים עליו כרגע בתקנות אבטחת מידע.
ד"ר עמרי רחום טוויג
איזה תפקידים מוטלים על מנהל מאגר?
היו"ר שמחה רוטמן
איזה תפקידים מוטלים על מנהל ולא מוטלים על בעל?
ד"ר עמרי רחום טוויג
מוטלים על ממונה אבטחת מידע, לא על מנהל.
עמית יוסוב עמיר
לא, הממונה כפוף למנהל.
ד"ר עמרי רחום טוויג
לא.
לירון מאוטנר לוגסי
כן.
ד"ר עמרי רחום טוויג
לא, הוא כפוף ל - - -

אין חובות בתקנות אבטחת מידע שמוטלות באופן ספציפי על מנהל. אין.
עמית יוסוב עמיר
בוא נתחיל להקריא את התקנה 3(1) לתקנות אבטחת מידע:

"ממונה אבטחת מידע יהיה כפוף ישירות למנהל מאגר המידע".
היו"ר שמחה רוטמן
שנייה, לא לריב.

"ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל" - - -
ד"ר עמרי רחום טוויג
זה ממונה אבטחה.
היו"ר שמחה רוטמן
שנייה. תודה. רק רגע.

"ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל פעיל של בעל המאגר או המחזיק בו או לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר".
ד"ר עמרי רחום טוויג
נכון, זה לכל אחד מהם. לא חייב להיות למנהל.
היו"ר שמחה רוטמן
שנייה, נחת.
ד"ר עמרי רחום טוויג
סליחה.
היו"ר שמחה רוטמן
אז עניין הכפיפות – זאת אומרת שיש את ההגדרה, זה לא מטיל עליו חובה מיוחדת.
ראובן אידלמן
תקנה 18(א)(2).
היו"ר שמחה רוטמן
"3(3) הממונה יכין תוכנית לבקרה שוטפת, יבצע אותה ויודיע לבעל מאגר המידע ולמנהל המאגר על ממצאיו".

זאת אומרת – זאת סמכות מקבילה. הלאה.

"18(א)(2) נהלים, להבטחת שחזור הנתונים כאמור בתקנה 17(ב), ובלבד שביצוע השחזור יהיה באישור מנהל המאגר".

לא רואה סיבה שזה יהיה דווקא מנהל ולא בעל המאגר.

"19(א) החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר – שזה שוב פעם מייצר את המקבילות – ולמעט החובות הקבועות בתקנות 2 ו-15(א) הן יחולו גם על מחזיק המאגר".

זהו, זה כל "מנהל המאגר" בתקנות אבטחת מידע.

יכול להיות שנצטרך להוסיף סעיף של התאמת מונחים או שתביאו את התקנות. אני לא רואה סיבה שבגלל שמישהו בתקנות אבטחת המידע כתב משהו שאין לו התכתבות עם תיאור המציאות – חוץ מזה, או להוסיף תקנה אחת שאומרת שבכל מקום שכתוב "מנהל המאגר בגוף ציבורי" – אלו ואלו; ובכל מקום אחר שכתוב "מנהל מאגר מידע" – הכוונה תהיה לבעל המאגר. רק בגוף ציבורי אני רואה את האבטחה הזאת.

אפשר לתקן את זה דרך הגדרה, יש דרך ניסוחית לטפל בדבר הזה. אבל לא בגלל שמישהו כתב פעם "מנהל מאגר מידע" בתקנות אבטחת מידע, אני אכתוב עכשיו את כל התקנות עקום.
עמית יוסוב עמיר
אדוני, אפשר רק עוד שיקול אחד?
היו"ר שמחה רוטמן
כן.
עמית יוסוב עמיר
כאמור, יש דין מקביל, בעיקר ה-GDPR שאנחנו לומדים ממנו, עם חובת מינוי ה-DPO. אחד הדברים המרכזיים שאמורים לבוא בתיקון הבא - - -
היו"ר שמחה רוטמן
DPO – זה ממונה, נכון?
עמית יוסוב עמיר
זה ממונה הגנת פרטיות.
היו"ר שמחה רוטמן
בגוף ציבורי?
עמית יוסוב עמיר
לא, בגוף פרטי.
קריאה
- - -
היו"ר שמחה רוטמן
אתם רוצים להביא את החובה הזאת לחקיקה? אני לא בטוח.
עמית יוסוב עמיר
הרעיון שצריך למנות גורם בתוך גוף עסקי – גם בתוך גוף עסקי, לא רק בתוך גוף ציבורי – שהוא אחראי על נושא הפרטיות, הוא לא זר ולא יוצא דופן בדין הישראלי.
היו"ר שמחה רוטמן
אני בעד.
עמית יוסוב עמיר
אני אומר שלא צריך לפתוח איזשהו פער, איזשהו ארביטראז', בין העובדה שנבטל את ההסדר הישן ועוד לא נחדש את ההסדר החדש. אנחנו לא מציעים כרגע - - -
היו"ר שמחה רוטמן
זה לא פותר לך את זה. לגבי גוף ציבורי – אתה תצטרך מנהל, אני חושב שזה נכון שיהיה.

לגבי גוף פרטי – יהיה בעל מאגר. ואת ההתאמות לעניין התקנות - - -
עמית יוסוב עמיר
לא, זה לא עניין של התאמות. זה עניין של אדם שיהיה אחראי.
היו"ר שמחה רוטמן
בעל המאגר או הממונה שכפוף לו.
ד"ר עמרי רחום טוויג
זה ההסדר של DPO, אבל עוד אין כזה.
ליאור אתגר
תביאו הסדר שיגדיר ממונה הגנת הפרטיות. לא צריך מנהל מאגר, מה זה הדבר הזה?
עמית יוסוב עמיר
אבל אין ממונה. אדוני, אולי זה לא הובהר. אין כרגע, בחוק הנוכחי, בניגוד לדין - - -
היו"ר שמחה רוטמן
אני מוכן לשמוע אותך על לתת למנהל, ובלבד שאם אני כבעל מאגר מיניתי מנהל. כמו בגוף ציבורי, גם בגוף פרטי יהיה לי את אותו דבר. מיניתי בן אדם, הוא אחראי, שלום ותודה, לא רוצה להתעסק עם זה.
ניר גרסון
אז התאגיד יהיה פטור?
היו"ר שמחה רוטמן
אז אתה לא מבין - - -
ליאור אתגר
אם הגדרת ממונה הגנת הפרטיות, לא צריך מנהל מאגר. אין לזה שום משמעות.
היו"ר שמחה רוטמן
תקשיבו, אי-אפשר לבוא ולהגיד "אני חייב עוד בן אדם כדי שיהיה לי על מי להטיל עיצומים כספיים", זה בפני עצמו לא טיעון שמתכתב עם האירועים. אפשר לבוא ולהגיד לי למה, איך זה פותר.

אמרתם נכון ויפה על-כך שמיקוד האחריות באדם זה דבר חשוב. אבל מיקוד האחריות באדם אומר שאני רוצה לדעת שפעלתי כדת וכדין כאשר עמדתי בחובתי ומיניתי בן אדם טוב. אחר כך – שלום תודה, תעזבו אותי בשקט.
ראובן אידלמן
אפשר להסמיך אדם אחר.
ד"ר עמרי רחום טוויג
אבל זה לא נותן לך פטור.
היו"ר שמחה רוטמן
זה לא נותן פטור. אז מה עשיתי בזה?
ד"ר עמרי רחום טוויג
זה סתם מייצר אחריות מקבילה.
היו"ר שמחה רוטמן
בסדר, אנחנו מכירים, אנחנו הולכים בסיבובים.
עמית יוסוב עמיר
גם ב-GDPR, עובדה שמונה DPO לא פורתר עכשיו
ד"ר עמרי רחום טוויג
אבל ל-DPO אין אחריות אישית ב-GDPR.
היו"ר שמחה רוטמן
אבל על מנהל אתה כן מטיל אחריות אישית.
עמית יוסוב עמיר
כרגע אנחנו מדברים על התפקידים.
היו"ר שמחה רוטמן
אנחנו הולכים בסיבובים. אין לו תפקידים. אין לו. עברתי איתך על התקנות, אין לו שום תפקיד חוץ מלהיות זה שהממונה מדווח לו. נו באמת, קראתי יחד איתך את התקנות, למרות ניסיונות חוזרים ונשנים להפריע לי לקרוא את התקנות.
דן אור-חוף
אני מסכים עם אדוני שלמנהל מאגר מידע באמת אין תפקידים משמעותיים. זה תפקיד מאוד מעורפל. העמדה של המועצה כפי שאנחנו הגשנו לוועדה, ומשרד המשפטים בוודאי יודע את זה, היא שבוודאי בהקשר של הגנת פרטיות צריך להיות שומר סף לנושאים האלה וצריך להיות מישהו שאחראי. לאו דווקא במובן של אחריות ישירה, אלא מישהו שאחראי במובן הזה של לטפל בפועל בתוך הארגון בנושאים האלה.

ובגלל זה החשיבות, בעינינו, להתייחס לעניין של ממונה הגנת הפרטיות כבר עכשיו בתיקון 14 ולא לחכות לתיקון 15, כי זה אחד הנושאים הכי חשובים שעל הפרק, על מנת שארגונים – גם גופים ציבוריים וגם גופים פרטיים הנכונים - - -
היו"ר שמחה רוטמן
אגב, הגדרת מנהל מאגר נשמרת בתיקון 15 או שמבטלים אותה שם? בתזכיר, בטיוטה, מה בכוונתכם?
עמית יוסוב עמיר
הכוונה היא להחליף באמת. אבל זה בדיוק העניין: להחליף, לא לבטל לפני שמינינו מישהו חדש.
היו"ר שמחה רוטמן
אז תחליפו, אבל אל תשאירו לי שרידים ארכיאולוגיים שאחר כך נתווכח.
קריאות
תחליפו עכשיו.
ליאור אתגר
תחליפו עכשיו, זה גם ככה לא פרקטי.
ענר רבינוביץ׳
אדוני, רק לעניין השרידים הארכיאולוגיים האלה.
היו"ר שמחה רוטמן
מצאת עוד שריד?
ענר רבינוביץ׳
אני רק רוצה להזכיר: ה-DPO, ממונה הגנת הפרטיות, הוא לא זה שמכתיב את פעולות העיבוד.
היו"ר שמחה רוטמן
שזה בעל השליטה.
ענר רבינוביץ׳
שזה בעל השליטה.
היו"ר שמחה רוטמן
אבל את בעל השליטה אני לא ביטלתי.
ענר רבינוביץ׳
זה יכול להיות גם בעלי תפקידים אחרים. אני לא רוצה שזה יבוא במקום המנהל עם אותה הגדרה.
היו"ר שמחה רוטמן
הלאה, יש לנו יום ארוך, קדימה.
נעמה מנחמי
נראה לי שאפשר לעבור לסעיפים 8 עד 12. התחלנו אותם קצת בדיון הקודם, התחלנו לדבר על סעיף 8(א) רבה בהצעת החוק. כדי לעשות קצת סדר, הצענו שסעיף (א) קטן בסעיף 8 יאוחד עם (ג), כי מבחינת העניין הם אותו עניין. לפני או אחרי סעיף (א) שיבוטל נכניס את סעיף (א)(1), שזה בעצם 8(א) כפי שמופיע בהצעת החוק.

לעניין 8(א), אולי משרד המשפטים ירצה להציג אותו? התחלנו לדבר עליו, מאז עשינו עוד כמה הצעות לניסוחים שאני חושבת שאולי קצת יותר הבהירו את המהות. את הניסוחים הסופיים נשאיר לנסחות, כי זה עדיין אולי לא מנוסח בצורה מספיק טובה. אבל אני חושבת שזה קצת יותר מבהיר מה המהות, במיוחד הנוסח לחלופין.
היו"ר שמחה רוטמן
אני רק רוצה לומר. כשמישהו ירצה אי-פעם לצחוק על משפטנים, הוא יקריא בקול את המשפט הבא: "בהתאם לעמדת הוועדה, מוצע לשלב את הוראות סעיף קטן (א) בסעיף קטן (ג) ולהקדים את סעיפי ההוראות המהותיות: 8א רבה יהפוך ל-8(א1), 10ב רבה יהפוך ל-8(ב), 10ג רבה יהפוך ל-10(ב1). את סעיף (א) שלהלן מוצע למחוק, שכן הוראותיו שולבו בסעיף קטן (ג)".

מה שנקרא "תקציר מנהלים בהיר". עכשיו אפשר להמשיך.
נעמה מנחמי
שלא תגידו שלא אמרנו.
עמית יוסוב עמיר
היכולת לתאר באופן מילולי track changes במסמך.

אני אתייחס כרגע לנוסח שמופיע תחת "לחלופין" במסמך ההכנה של היועץ המשפטי. המטרה היא לפרט יותר כדי להבהיר בדיוק למה הכוונה. יכול להיות שזה באמת נדרש. אני מתחיל לפי סדר הסעיפים הקטנים.

אנחנו עכשיו כבר בעיבוד. הרעיון הבסיסי הוא לקבוע את האיסור על עיבוד מידע במאגר מידע שהושג שלא כדין, על כל מונחי המשנה שמשמשים כאן. זה הכלל הבסיסי, להבנתי הוא הוסכם גם בדיון הקודם. מכאן אנחנו עוברים לסוג של הגנה ספציפית לעניין הזה, סוג של תקנת השוק.
ד"ר רחל ארידור הרשקוביץ
יש לי שאלה דווקא לגבי הכלל הבסיסי הזה. אני רוצה להעיר ולשמוע מה העמדה שלכם, אם אפשר. ב-GDPR האחריות היא על בעל השליטה ולא על המחזיק. המחזיק בעצם עושה את מה שבעל השליטה אומר לו. האיסור לא חל על המחזיק, אלא רק על בעל השליטה.

מה הסיבה שאתם רוצים להכניס פה את האיסור גם על המחזיק?
עמית יוסוב עמיר
בגלל ההגדרה הרחבה של עיבוד ושל מחזיק. העובדה שמחזיק מעבד מידע עבור בעל שליטה, לפעמים הוא אסף בעצמו את המידע.
ד"ר רחל ארידור הרשקוביץ
אם הוא אסף בעצמו, הוא הופך לבעל שליטה.
עמית יוסוב עמיר
לא.
ניר גרסון
ב-GDPR, לא אצלנו. לא לגישתנו.
ד"ר עמרי רחום טוויג
הוא לא עשה את זה עבור בעל השליטה. אם זה מחוץ להסמכה - - -
ניר גרסון
לא, לא, עבור. אבל האמת, לא ברור לי למה יש נפקות לשאלה. אם אומרים שלא ידע ולא היה עליו לדעת, זה מוציא אותו מכלל האיסור.
ד"ר רחל ארידור הרשקוביץ
זה הסעיף הבא שאני חושבת שלא צריך להיות כאן.
היו"ר שמחה רוטמן
רק תנו לו להציג, ואז נעשה.

בבקשה.
עמית יוסוב עמיר
אנחנו מדברים פה על סעיף של תקנת השוק, למקרים שבהם יש איזושהי הפרה של הדין במהלך מסלול חייו של המידע, אבל לצורך העניין בעל השליטה או המחזיק לא יודעים ולא היה עליהם לדעת. בשפה הנזיקית הם לא מונעי נזק הטובים ביותר, מישהו אחר אחראי לנושא.

לכן אנחנו לא חושבים שצריך ליצור כפל עוולות לגביהם. מה הכוונה? יש איזושהי עוולה, מישהו כבר הפר את הדין. הם מחזיקים במאגר, הם לא יודעים ולא היה עליהם לדעת. אנחנו לא חושבים שנכון לקבוע עכשיו עוד עוולה חדשה שהם יהיו אחראים עליה.

סעיף קטן (3) עוסק בשאלה מה גורל המידע שעכשיו נאסף, כשקרתה הפרה של הדין בעת איסופו. ופה אנחנו חוזרים לסיפור של פגיעה קלת ערך. הרעיון הוא שאם אירעה פגיעה קלת ערך – לא פגיעה משמעותית-ליבתית – בזכויות, בהוראות של הדין מחייב, הנפקות האוטומטית לא תהיה מחיקה של המאגר, שזה מדובר בסנקציה קשה, גם על גופים ציבוריים. לדוגמה, הלשכה המרכזית לסטטיסטיקה אוספת מידע, איפשהו בדרך הייתה תקלה ועכשיו פתאום צריך למחוק פרטי מידע; והן בגופים עסקיים שיכול להיות שמטה לחמם מבוסס על איסוף המידע הזה, וכאמור, הם לא אחראים באופן ישיר להפרה.

על כן, המבחן הוא פגיעה קלת ערך. אם מדובר עכשיו במאגר מידע שנגנב, אז עם כל הכבוד יש כאן פגיעה, אי-אפשר להחזיק, או שילכו ויבקשו הסכמה של נושא המידע או שיצטרכו למחוק. אי-אפשר להחזיק מאגרי מידע שעצם החזקתם היא הפרה יסודית של הדין.
היו"ר שמחה רוטמן
במסמך ההכנה יש פה שני נוסחים. הנוסח החלופי נראה יותר בנוי לתלפיות.
עמית יוסוב עמיר
אנחנו מציעים את הנוסח הזה. הוא גובש בעצה אחת עם הייעוץ המשפטי לוועדה.
היו"ר שמחה רוטמן
חבר הכנסת טיבי, אתה רוצה להתייחס לזה?
אחמד טיבי (חד"ש-תע"ל)
לא.
היו"ר שמחה רוטמן
בבקשה.
עמית יוסוב עמיר
אני רק אשלים את ההתייחסות לסעיף קטן (4), האפשרות של הרשות להגנת הפרטיות להודיע לאדם על הפרה של הוראות הסעיף ולהורות לו להפסיק אותה.
היו"ר שמחה רוטמן
צריך יהיה לייצר להוראה הזאת מנגנוני השגה, מנגנוני התייחסות. באופן עקרוני, תאורטית, אתם יכולים להורות על מחיקה של כל מאגר בהוראה מינהלית, שזה בסדר, כי אני מזכיר לכם ש"אחסון" זה "עיבוד".
ראובן אידלמן
כתוב "להפסיק את ההפרה".
היו"ר שמחה רוטמן
אם הרשות סבורה שאחסון המידע הזה והזה הוא הפרה, אתם יכולים להורות למחוק, זאת המשמעות של ההוראה. "אל תאחסן אותו יותר" – פירוש למחוק.
ניר גרסון
רק לדייק. זאת לא הוראה ישירה למחיקה. זאת אמירה של הרשם "אם לא תמחק, אתה מפר את החוק". יש הבדל.
היו"ר שמחה רוטמן
אני רק אומר, קחו בחשבון. לא יודע אם זה כאן או שצריך להעביר את סעיף (4) לפרק הפרה מינהלית ועיצומים, כי זה סוג של התראה לפני נקיטת צעד מסוים. זו לא הוראה עצמאית מהותית, זו הוראת הפרה.
עמית יוסוב עמיר
אנחנו נגיע לזה בעיצומים הכספיים. בהתאם למודל העיצומים, מאחר שיש פה שימוש בכמה ביטויים שהם עמומים, ההוראה - - -
היו"ר שמחה רוטמן
אתה רוצה להיות הפרשן המוסמך של הביטויים העמומים? לא.
עמית יוסוב עמיר
לא, לא, להפך. ההוראה מייצרת את הוודאות, ואז עליה אפשר להשיג שם, במודל העיצומים.
היו"ר שמחה רוטמן
אני אומר שוב. מהותית, ההוראה חלה פה על בעל המאגר. סעיף (4) מעצם טיבו הוא סעיף של הפרה, עיצומים, התראה. לא משנה מה, הוא לא סעיף מהות, הוא לא מייצר עבורי את האיסור.

אני רק אומר שהוא לא מתאים פה, ניתן אותו במקום אחר. אני מבין את ההיגיון שבו, צריך לתת לו מענה. צריך להבין מה המשמעויות שלו, האם אפשר להשיג עליו ותוך כמה זמן. זה לפרק ההפרות והעיצומים, זה לא לפרק ההוראות המהותיות.

יש עוד הערות לסעיף זה? כן, בבקשה.
דן אור-חוף
בהמשך לדבריה של ד"ר ארידור, אני רוצה להתריע כאן שהתייחסות למחזיק מאגר יוצרת הסדר שלא קיים ושיש לו השלכות פרקטיות. הלכה למעשה, כשהוראה כזאת באה ואומרת גם למחזיק מאגר "אתה צריך לוודא שאתה מנהל מאגר" או ש"המידע התקבל בהתאם לדין או שלא בניגוד להוראות הדין", ויש גם ידיעה - - -
היו"ר שמחה רוטמן
שנייה, רק רגע. אני מבין מה אתה אומר. אבל בגלל ההגדרה הרחבה – יש דברים שכולנו מסכימים שחייבים להיות על המחזיק. גילוי – תמיד יהיה אצל המחזיק, נכון? איסור גילוי – מאחר שעיבוד הוא גם גילוי, נכון? אין ספק שאם הגילוי הוא בניגוד לדין, מי שיחול עליו – הכתובת זה המחזיק.

אני לא באתי ואמרתי עכשיו, הטלתי חובה – ובאמת, בסעיף (2): "נמסר המידע מגורם אחר ולא ידע ולא היה עליו לדעת כי המוסר פעל בניגוד לדין". אני כן בא ואומר שיש דברים בתוך "עיבוד" שהם בוודאי מאה אחוז אצל המחזיק. הם לא אצל בעל השליטה.
דן אור-חוף
אדוני, אבל על זה קיים סעיף 16 עם חובת סודיות; ועל זה קיים סעיף 17 לגבי חובת אבטחת מידע – והכול חל על המחזיק.
היו"ר שמחה רוטמן
אבל זה נחשב לעיבוד. ויותר מזה. נניח שאני קיבלתי מידע מותמם חלקית ועשיתי עליו הצלבה, בעיבוד, והפכתי אותו ללא תמים, הוצאתי אותו לתרבות רעה, עיבדתי אותו לתרבות רעה. הפעולה הזאת נעשית על ידי מחזיק, היא לא נעשית על ידי בעל שליטה.
ד"ר עמרי רחום טוויג
אבל רק אם זה עבור בעל השליטה. אם המחזיק מבצע פעולה שהיא לא עבור בעל השליטה, אז הוא לא מחזיק - -
דן אור-חוף
הוא לא מחזיק, בדיוק.
ד"ר עמרי רחום טוויג
- - הוא פועל בכובעו כאדם שמעבד מידע ואז הוא יוצא מגדר הסיפור הזה. כל עוד הוא פועל כמחזיק עבור - - -
היו"ר שמחה רוטמן
לא, הוא פועל כמחזיק עבור אחר, אבל הוא עשה על זה גילוי לאנשים שלא צריך, הלך ופרסם את המאגר באינטרנט.
ד"ר עמרי רחום טוויג
בשביל יש את הסעיף 10ג' המוצע.
היו"ר שמחה רוטמן
בשביל זה יש את הסעיף עם ההוראה המהותית.
ד"ר עמרי רחום טוויג
לא, יש סעיף 10ג שיוצר הוראה מהותית, של איסור לפעול במידע בניגוד להרשאה של בעל השליטה.
היו"ר שמחה רוטמן
אבל יש לפעול בניגוד להרשאה של בעל השליטה, שזה דבר אחד, ויש שאני בא ואומר לך "או שתפסיק את פעילות העיבוד" אם אנחנו מדברים עכשיו על סעיף (4) שיבוא למקום אחר.

אגב, חוץ מזה, האיסור לפעול בניגוד להוראה לא קשור לשאלת קלות הערך, לא קשור לזה האם היה צריך לדעתו או לא. זה עניין אחר.
קריאה
נכון.
היו"ר שמחה רוטמן
אני חושב שלגיטימי שאנחנו נטיל איזשהם חובות על מחזיק שהן עצמאיות.
דן אור-חוף
אדוני, אם אפשר, אתן דוגמה שדנו בה במועצה. אם יש עכשיו ספק שמספק שירותי עיבוד נתונים לבית חולים – הספק הוא המחזיק, בית החולים הוא בעל השליטה. ההוראה כפי שהיא עכשיו, היא מתמרצת או דוחפת את הספק, את מעבד הנתונים, ללכת ולבדוק אצל בית החולים האם הוא אסף מידע על המטופלים – אותו מידע שהוא מעביר לספק לצורך עיבוד הנתונים – כדין.

זה לא התפקיד של המחזיק. בעל השליטה הוא זה שאחראי על זה.
היו"ר שמחה רוטמן
יש בזה משהו.
דן אור-חוף
כל אימת שיש חשש לניהול שלא כדין או איסוף שלא כדין, שלא נעשה על ידי הספק; או ידיעה קונסטרוקטיבית, הצל המרחף הזה, שיכול להיות שהספק צריך היה לדעת - -
היו"ר שמחה רוטמן
כן, יש בזה משהו.
דן אור-חוף
- - אתה מטיל על ספקים איזושהי חובה שלא קיימת, ללכת ולעשות בדיקות נאותות לבעלי שליטה. זה לא קיים.
ד"ר עמרי רחום טוויג
במיוחד כשיש "היה עליו לדעת".
לירון מאוטנר לוגסי
רגע, דן, אבל יש לי שאלה אליך. נניח שבית החולים אסף את המידע שלא כדין ועכשיו המחזיק מעבד אותו. לשיטתך, האם לא צריכה להיות שום חובה על המעבד להפסיק לעבד את המידע?
דן אור-חוף
תהיה חובה. תהיה סמכות לרשות להורות לבית החולים להפסיק את העיבוד ובית החולים יצטרך להורות על זה לספק.
ד"ר עמרי רחום טוויג
ומהרגע שזה הובא לספק, הספק הוא כבר לא בעל הרשאה להשתמש.
דן אור-חוף
הוא עושה מה שאומרים לו לעשות. הוא לא אמור לבדוק את הדברים האלה.
ניר גרסון
עורך הדין אור-חוף, אבל אם בעל השליטה כבר קיבל את ההודעה והוא יודע, ונניח שגם המחזיק כבר יודע כי אנחנו הודענו ואמרנו לו שהמאגר הזה לא חוקי, רק שבעל השליטה עדיין לא שלח לו את ההוראה? הוא יכול להמשיך ולהפר, למרות שהוא מודע לזה שהמאגר מפר.
אלן יוסף
אז אפשר לתקן את זה ככה.
ניר גרסון
איך?
אלן יוסף
כמו שאמרת. ברגע שהוא ידע או ברגע שקיבל הוראה מהרשות. זאת אומרת, לתקן את זה - - -
קריאות
- - -
ענר רבינוביץ׳
אני חושב שכאן הבעיה. החשבתם את זה כאשר יש את הידיעה הקונסטרוקטיבית, כאילו יש הפרה של המחזיק בכך שהוא מחזיק מאגר כזה, עוד לפני שפניתם אליו.

זה הגיוני מאוד שתוכלו לפנות ושתוכלו לחייב אותו למחוק או להפסיק עיבוד. אבל שזה לא ייחשב הפרה של המחזיק מלכתחילה.
עמית יוסוב עמיר
אני מסכים עם עורך הדין אור-חוף, שככלל, לא מוטל על המחזיקים לעשות בדיקות נאותות לבעלי השליטה.
אלן יוסף
אבל הסעיף הזה מחייב אותם.
עמית יוסוב עמיר
לא, בדיוק הפוך.
אלן יוסף
"היה עליו לדעת" – זה מה שמפריע לנו.
עמית יוסוב עמיר
בדיוק הפוך. אני מסכים עם הגישה העקרונית שאומרת שהמחזיק לא אמור לעשות בדיקות נאותות לבעל השליטה, לכן לא עליו לדעת האם בעל השליטה אסף את המידע כדין או לא.

אבל אם הוא יודע באופן פוזיטיבי – למשל כי הרשות הודיעה לו – והוא ממשיך להחזיק - - -
קריאות
- - -
היו"ר שמחה רוטמן
הוא לא יודע כי הרשות הודיעה לו. הרשות הודיעה לו – לא הופך אותו לשום דבר. הוא רק יודע שהרשות רוצה לנקוט נגדו במשהו.
דלית בן-ישראל
אפשר לצמצם את זה רק ל"רשות הודיעה" או "בעל מאגר הודיע".
קריאות
- - -
היו"ר שמחה רוטמן
שנייה, לתת לנעמה לדבר.
נעמה מנחמי
באיזו סיטואציה אתה חושב שתחול על המחזיק כלל של "היה עליו לדעת"?
עמית יוסוב עמיר
על המחזיק, ברוב המקרים, באמת לא עליו לדעת.
קריאות
- - -
נעמה מנחמי
שנייה, באיזו סיטואציה?
עמית יוסוב עמיר
צריך מקרה מאוד קיצוני של עצימת עיניים לגבי המחזיק כשהאחריות היא על בעל השליטה. אני אתן דוגמה. אם בהתקשרות בין בעל השליטה למחזיק הוטלו משימות מוגברות בתחום איסוף המידע על המחזיק, יכול להיות שבמקרה הזה זה מגביר את ההיתכנות שיהיה עליו לדעת.

אם הוא אוסף את המידע בעצמו עבור בעל השליטה, ולא בעל השליטה אסף את המידע.
דן אור-חוף
תפנה לשליח, לבעל השליטה.
עמית יוסוב עמיר
אבל אם הוא יודע, אם יש הפרה של הדין, אז לא מתחבאים כבר מאחורי - - -
ד"ר עמרי רחום טוויג
אז תרשמו "ידיעה בפועל", לא "היה עליו לדעת".
ניר גרסון
אני אתן לכם דוגמה ל"היה עליו לדעת". למשל, הרשות פרסמה גילוי דעת מפורט שמסביר שבתחום מסוים מידע עם סימנים "1, 2, 3" הוא מידע שחשוד כגנוב. זה – "היה עליו לדעת".
אלן יוסף
אבל אז זה מטיל חובה על המחזיק ללכת ולבדוק את פרטי המידע, לוודא.
אייל שגיא
- - - החובה של המחזיק להודיע לבעל המאגר, ושבעל המאגר יטפל בזה.
ניר גרסון
זאת אומרת, אם בעל המאגר, בעל השליטה, הוא עברייני והוא מסרב, הוא רוצה שהמחזיק שלו ימשיך לבצע את העבירה.
אלן יוסף
אז שהרשות תודיע.
ניר גרסון
תודיע שמה?
אלן יוסף
שיש איזושהי אי-חוקיות במאגר הזה. ואז המחזיק מחויב להפסיק לעבד את המידע.
ניר גרסון
עם זה אני מסכים. אבל מה קורה במקרים שבהם הרשות לדוגמה פרסמה רשימה מובהקת של סימנים מחשידים?
ד"ר עמרי רחום טוויג
אבל זה סימנים מחשידים, זה משאיר מקום לפרשנות.
אלן יוסף
אבל המחזיק לא תמיד יכול להיכנס לפרטי המידע ולבדוק את פרטי המידע.
ניר גרסון
כמובן למידע שיש לו בכלל גישה. אם המידע מוצפן לגמרי, אני מציע - - -
דלית בן-ישראל
תאר לך מחזיק שהוא ספק ענן. הוא יודע בכלל מה הוא מחזיק?
אלן יוסף
בדיוק.
ניר גרסון
אם למחזיק אין דרך בכלל הדעת - - -
ענר רבינוביץ׳
לא, יש לו דרך, אבל אין לו הרשאה, כדרך עיסוקו הוא לא ניגש למידע הזה.
אלן יוסף
אין לו הרשאה, הוא לא מוסמך להיכנס.
ענר רבינוביץ׳
אתה מצפה כאן בכל זאת לבדיקה פרואקטיבית.
היו"ר שמחה רוטמן
טוב, חברים, אני שמעתי. יכול להיות שצריך לפתוח את זה כשנגיע לסעיפים שעוסקים בחובות מחזיק. אני מסכים שלשים את החובות האלו על המחזיק, בטח בסטנדרט הזה, זה קצת קשה, בייחוד אם לא ידע ולא היה צריך לדעת.
לירון מאוטנר לוגסי
אני חושבת שאם הוא ידע – על זה אין מחלוקת.
ד"ר עמרי רחום טוויג
ידיעה בפועל – זה דבר אחר.
היו"ר שמחה רוטמן
אם הוא ידע בפועל – זה בסדר.
ענר רבינוביץ׳
גם לידיעה הזו יש המון ניואנסים. עדיין אין פה פסק דין חלוט.
היו"ר שמחה רוטמן
אני לא מתנגד להסדר העקרוני. אני אתנגד או אתמודד עם הבעיה של דרכי הוכחה, עם מה מייצר ידיעה. כמו שאמרתם, פנייה של הרשות מייצרת ידיעה? אתם חושבים שכן. הרשות בוודאי חושבת שכן, יש לה חזקת התקינות המינהלית שמה שהיא אומרת הוא נכון. אני לא מקבל את זה, בטח לא בעולם הפרטי. ברור שאם אני מדבר על גוף ציבורי, אז כן.

אם היה מדובר בחברה שמעבדת את המידע עבור המוסד לביטוח הלאומי או עבור המשטרה, והייתי שהרשות להגנת הפרטיות אומרת שמה שאתה עושה הוא לא בסדר, אפילו שאתה חברה פרטית חיצונית שקיבלה מאורגן של המדינה שאתה עובד עבורו", הייתי מקום קצת אחר, בלי להיכנס כרגע לשאלת מריבויות על סמכויות בתוך הממשלה. כאשר עוסקים בגוף פרטי, בוודאי שמכתב פנייה מראש הרשות איננו מייצר ידיעה. אני לא חושב שזה לגיטימי.
לירון מאוטנר לוגסי
הודעה על הפרה?
היו"ר שמחה רוטמן
הודעה על הפרה – או שהיא נכונה או שהיא לא נכונה, או שאני אגיש עליה השגה או שאני לא אגיש עליה השגה, או שתנצחו בבית המשפט או שתפסידו בבית המשפט. אבל היא מייצרת אצלי ידיעה שמה שאני עושה הוא לא בסדר? אני לא מכיר את הכלל הזה.
עמית יוסוב עמיר
רק להבהיר. ברור שאפשר להשיג ואפשר לנצח בבית המשפט. אנחנו לא בתחום המשפט הפלילי. אנחנו בתחום המשפט - - -
היו"ר שמחה רוטמן
אבל המשפט המינהלי לא חל על גופים אזרחיים, עם כל הכבוד, אין חזקת התקינות המינהלית.
עמית יוסוב עמיר
אנחנו לא מתערבים פה. להפך, אנחנו נותנים פה הגנה.
היו"ר שמחה רוטמן
אתה אומר "אנחנו לא לוקחים להם את הדולרים, אנחנו שומרים להם על הדולרים". סליחה על האזכור של "הגששים".
עמית יוסוב עמיר
חד משמעית. עקרונית, יש כלל בסיסי שהוא מוסכם. אם המידע נאסף שלא כדין - - -
היו"ר שמחה רוטמן
אבל איך אני אדע את זה כמחזיק?
עמית יוסוב עמיר
אז אומרים, אם אתה לא יודע - - -
היו"ר שמחה רוטמן
שוב, אני מסכים. הסכמתי איתך עקרונית, שאם אני יודע שהמידע הזה הושג באופן לא חוקי, ככלל, אסור לי לעבד אותו. אבל השאלה שלי היא: איך אני אדע?
ניר גרסון
אדוני, אם יורשה לי. כשהרשות מודיעה, לדעתי אין ספק גם לגוף פרטי, למחזיק פרטי, שהוא יודע.
היו"ר שמחה רוטמן
יודע שהרשות חושבת.
ניר גרסון
נכון. אבל מה יקרה אם הרשות הודיעה והגוף הפרטי לא חושב שהרשות טועה?
היו"ר שמחה רוטמן
אז תטילו עליו קנס.
ניר גרסון
לא, הוא לא חושב אפילו שהיא טועה.
ד"ר עמרי רחום טוויג
אז בחלוף 45 ימים זה יהיה חלוט.
היו"ר שמחה רוטמן
חברים, למיטב זכרוני אתם חושבים, אמרתם את זה גם, שצריך לעבור לעולם העיצומים. הבעיה היא שאתם מנסים גם לייצר את העיצום וגם בדין המהותי. הדין המהותי הוא אחד. הפרת הוראה חוקית זו עבירה פלילית גם בלי הדין המהותי.
ניר גרסון
לא בהכרח. בחוק העונשין?
היו"ר שמחה רוטמן
בחוק העונשין. אם אני הייתי נותן לכם סמכות לתת הוראות, זה משהו אחד. כרגע, לא נתתי לכם סמכות לתת הוראות. סעיף (4), בעיניי, הוא סמכות לבוא ולהגיד שאתם חושבים שיש הפרה. לכן אמרתי שאנחנו נעבור אליו בחלק של ההפרות המינהליות.

אני קיבלתי את ההערה פה. אני חושב שהמחזיק לא צריך להיות פה. ככל שיש חובות על המחזיק – חריגה בפעולה מההרשאה, כל מיני דברים כאלו – שרוצים לייצר אותם כעבירה, כהפרה, בסדר גמור, אני מבין, עם הגנות אחרות, עם כללים אחרים.

אבל פה החובות צריכות להיות על בעל השליטה במאגר המידע. אפשר לכתוב שבעל שליטה במאגר מידע לא יעבד מידע ולא יעביר למחזיק לעבד מידע, ואז ממילא אתם תוכלו לתת לו הוראה להפסיק לעבד את המידע. לדעתי, זה ייצר אמירה מאוד ברורה אצל המחזיק ש"מה שאתה עושה – לא חוקי", כי נתתי הוראה לבעל שליטה שאסור לו להעביר אליך. ואז, בסעיפים העוסקים במחזיק, תעסוק בזה.
ראובן אידלמן
אולי "לא יעבד לרבות באמצעות מחזיק", משהו כזה.
היו"ר שמחה רוטמן
בסדר גמור.

עוד משהו לסעיף זה?
אסף הראל
רציתי רק להוסיף שגם סעיף (2), האיסור על פגיעה בפרטיות, יכול לתת את המענה, כי בסופו של דבר, אם המחזיק יעבד מידע שלא למטרה שלשמה נמסר, גם שם אפשר יהיה - - -
ד"ר עמרי רחום טוויג
זאת בדיוק הבעיה שאני רציתי להעלות עכשיו. אם מסתכלים על פסקה (2), שהיא פיסקת ההגנה במצבים של קבלת מידע מאחר שלא מקימה את הידיעה על אי-הפרה - - -
היו"ר שמחה רוטמן
אז גם ב-(2) צריך את המילים "או המחזיק"?
ד"ר עמרי רחום טוויג
לא, לא, להפך, המחזיק בהחלט צריך ליהנות מההגנה.
היו"ר שמחה רוטמן
לא, לא, אנחנו לא מכניסים אותו בראש.
ד"ר עמרי רחום טוויג
אתם לא מכניסים, אני מבין, אבל הסעיף (2) הזה שמנסה לייצר הגנה לפי סעיף זה, שכתוב בו "באחריות לפי סעיף זה", בסוף מרוקן מתוכן על ידי סעיף 2 לחוק הגנת הפרטיות עצמו, מכיוון שגם בעל השליטה במאגר וגם המחזיק במאגר, גם אם לא היה עליהם לדעת, אבל קיבלו מידע מגורם אחר, יכולים להיות בהפרה של סעיף 2(9).
ניר גרסון
לא.
עמית יוסוב עמיר
לא, רגע, שנייה.
ד"ר עמרי רחום טוויג
כן.
עמית יוסוב עמיר
אנחנו אמרנו את זה בדיון הקודם, הבהרנו. יש כל מיני מקורות נורמטיביים שונים שמכוחם יכולה לקום אי-החוקיות, ולכל אחד ההסדר שלו.
ד"ר עמרי רחום טוויג
אבל אתה מייצר פה פטור ספציפי. אבל הוא מרוקן מתוכן.
עמית יוסוב עמיר
לא, לא, הוא לא מרוקן בכלל.

לגבי סעיף 2. יש את ההגנות שחלות על סעיף 2, שאחת מהן היא "לא ידע ולא היה עליו לדעת". כבר כתוב בחוק, לא צריך להמציא אותו עוד פעם.
ד"ר עמרי רחום טוויג
אבל מה המשמעות של ההגנה? זה לא נכון. אין הגנה בסעיף 2 על "לא ידע ולא היה עליו לדעת" באופן גורף, יש שם עוד מגבלות אחרות.
עמית יוסוב עמיר
תום לב, בסדר. מה שאני אומר, כמו שאמרנו בדיון הקודם - - -
היו"ר שמחה רוטמן
בסעיף 2(9) , גם בעניין ציבורי, יש שם הרבה הגנות.
ראובן אידלמן
היה על זה דיון ארוך בפעם הקודמת.
עמית יוסוב עמיר
נכון, בדיוק. אז אני אומר, כל הפרה של הדין - - -
היו"ר שמחה רוטמן
"לא ידע ולא היה עליו לדעת", "אין אפשרות לפגיעה בפרטיות". חברים, אני לא נכנס ל-2(9). אם המחזיק השתמש במידע שלא למטרה שלשמה הוא נמסר - - -
ד"ר עמרי רחום טוויג
אבל הוא – לא היה עליו לדעת.
היו"ר שמחה רוטמן
אז יש לו אולי גם הגנות אחרות, מה אתה רוצה ממני?
ד"ר עמרי רחום טוויג
אין לו הגנות אחרות, זאת הבעיה.
ראובן אידלמן
אדוני מציע ש"המחזיק" לא יהיה – לא ב-(1) ולא ב-(2)?
היו"ר שמחה רוטמן
נכון.

עוד משהו לגבי סעיף זה?
ד"ר רחל ארידור הרשקוביץ
אמרתי את זה בפעם קודמת ואני אחזור שוב פעם. אני חושבת שהסעיפים (2) ו-(3) לא צריכים להיות איפה שמדברים על הפרה. הם סעיפי הגנות והם צריכים להיות שם. ההפרה צריכה להיות הפרה. ואחר כך, כשאני אבוא לנסות להצדיק את ההפרה, אני אגיד שאת זה לא היה עליי דעת, פה יש תום לב, פה זה קלת ערך.

ברגע שקובעים בהפרה עצמה שהיא קלת ערך או שלא היה עליי לדעת, נותנים פה שיקול דעת למפר להחליט אם הוא הפר או לא הפר. זה בעייתי מבחינת הניסוח. זה לא יכול להיות באותו סעיף. זה חייב להיות כסעיף הגנות נפרד.
עמית יוסוב עמיר
אני מניח שהשאלה היא לא נוסחית, אם להשאיר את זה בסעיף קטן או בסעיף ראשי.
ד"ר רחל ארידור הרשקוביץ
לא, הוא צריך להיות בהגנות. תמצאו דרך.
עמית יוסוב עמיר
אז זה הגנה, זה אחד הסעיפים.
היו"ר שמחה רוטמן
היא אומרת כזה דבר: את החובה הכללית – תכתוב פה; את (4) – בחלק של ההפרות; ואת (2) ו-(3), כסייגים ל-(4), שתכתוב בחלק של ההפרות.

כלומר, אל תיתן לבעל השליטה את האפשרות לבוא ולהגיד שהפגיעה היא קלת ערך. אתה הפרת – הפרת. זה שכתוצאה מזה זה קל ערך והרשות לא תנקוט נגדך הליכים, או שאתה תוכל לטעון שלא צריך לנקוט נגדך הליכים כי זו עבירת קלת ערך – רק מה? מאחר שאנחנו עדיין לא בעולם של בסיסי העיבוד כמו שאנחנו רוצים, זה מייצר כלל "גזירה שאין הציבור יכול לעמוד בה" והחזרנו את כל השליטה ושיקול הדעת לידיים של הרשם האם לנקוט נגדך או לא. כולכם עבריינים, ועכשיו השאלה את מי אני תופס.

ולכן, (2) ו-(3) – ופה אני חולק עליך – כן צריכים להיות פה. יום יבוא, אולי, "אל תגידו יום יבוא – הביאו את היום", יהיה עיבוד מידע, יהיו בסיסי עיבוד ואז אפשר יהיה להוסיף את (2) ו-(3). אחרת כולם עבריינים. לפי סעיף (1), בלי (2) ו-(3) – אפשר להקיף בקונצרטינה את מדינת ישראל וזהו.
נעמה מנחמי
יש אפשרות נוספת, להכניס את זה כסעיף הגנות, אולי 18א רבה, אבל לא משנה.
היו"ר שמחה רוטמן
לא, אבל השאלה שלי נוגעת לשאלה בידי מי ההגנה. האם אני עבריין – ועכשיו אתם תחליטו האם אתם משתמשים בהגנות כדי להטיל עליי; או שאני אומר לכם שאני לא עבריין כי זה קל ערך, כי לא היה עליי לדעת – ואתם גם לא תוכלו להגיד לי stop.
עמית יוסוב עמיר
גם הוא צריך לדעת מה הוא עושה עם עצמו, עוד לפני שמישהו בא אליו. הוא גילה שמישהו אחר - - -
היו"ר שמחה רוטמן
מובן. בסדר. יכול להיות שביום שבסיסי עיבוד יהיו יותר חדים וברורים, אפשר יהיה ללכת לקו שלך. אבל כרגע, לדעתי, כדאי לתת את הכוח לידיים של מחזיק המאגר.
ד"ר עמרי רחום טוויג
כוח שליטה.
היו"ר שמחה רוטמן
הכוח, ברמת הניסוח, זה שיקול הדעת.
ד"ר עמרי רחום טוויג
לבעל השליטה.
היו"ר שמחה רוטמן
לבעל השליטה, כן.
שחף קצלניק
יש עוד משהו אחד שרצינו להגיד. בסעיף קטן (2) אנחנו היינו מבקשים, מציעים, לשנות את המילים "נמסר המידע" ל"הגיע המידע". לא כל פעולה היא פעולה אקטיבית. לא תמיד זה נמסר המידע. המידע גם יכול להגיע לא באופן של איסוף.
היו"ר שמחה רוטמן
נפל ממשאית?
שחף קצלניק
לא נפל ממשאית, אבל ברמת האיסוף - - -
ניר גרסון
אבל הבדיחה הזאת היא משמעותית. אם הוא נפל ממשאית, אז - - -
שחף קצלניק
לא אמרנו שנפל ממשאית. אנחנו מדברים על - - -
היו"ר שמחה רוטמן
אני מבקש, לפרוטוקול: כל הבדיחות של יושב-ראש הוועדה הן משמעותיות.
ד"ר עמרי רחום טוויג
זה יהיה בתוספת לחוק, לא?
שחף קצלניק
זה חידוד משמעותי לגורמים בתעשייה שיש להם את השימוש הזה. הוא לא מוסדר פה.
היו"ר שמחה רוטמן
אתה אומר אם אני גנבתי את המידע, אם אני האקר?
שחף קצלניק
לא, לא צריך להיות האקר.
היו"ר שמחה רוטמן
אפשר לגנוב מידע גם מבלי להיות האקר אתה אומר.
שחף קצלניק
אפשר לאסוף מידע באופן פסיבי, גם מבלי להיות האקר.
ניר גרסון
אבל זו טבעה של תקנת השוק. אם אתה מקבל אותו מסוחר בשוק - - -
שחף קצלניק
לא, אני לא מדבר על לקבל אותו מסוחר.
ניר גרסון
אם אתה מוצא אותו ברחוב, אז אולי הוא נפל - - -
היו"ר שמחה רוטמן
אם אתה אספת, אתה אחראי לאיסוף. אם אתה קיבלת את המידע ממישהו אחר ולא ידעת איך נעשה האיסוף, זאת שאלה אחרת.
שחף קצלניק
אני יכול לאסוף מידע שלא נמסר. פה רשום "נמסר המידע".
נעמה מנחמי
אתה יכול לתת לנו דוגמה קונקרטית?
היו"ר שמחה רוטמן
כן, תן תיאור.
שחף קצלניק
למשל data scraping.
היו"ר שמחה רוטמן
data scraping זה נאסף.
שחף קצלניק
זה לא. אבל פה רשום שהוא נמסר, לא נאסף. "נמסר המידע". ההגנה בסעיף (2) מדברת על נמסר.
היו"ר שמחה רוטמן
לא הבנתי. אתה עשית את data scraping על מידע של מישהו אחר שהוא גנב?
שחף קצלניק
לפי מה שאנחנו דנים פה.
ניר גרסון
רגע, אתה עשית את ה- ?data scraping
שחף קצלניק
לצורך הדוגמה.
ניר גרסון
אז אתה - - -
שחף קצלניק
יש הסכמה לגבי המידע, אבל אני לא יודע אם הוא הועלה באופן חוקי או לא. לכן לא יכול להיות שזה יישאר כ"נמסר המידע". המידע הזה לא נמסר, הוא נאסף.

צריך להיות פה "הגיע המידע" אליו. ולא משנה באיזו דרך הוא הגיע. אגב, זה גם משרת את המטרה שלכם.
ניר גרסון
אבל שוב, זאת לא תקנת השוק.
שחף קצלניק
מה זאת אומרת?
ניר גרסון
זה לא קשור.
שחף קצלניק
אני אומר לך בתור חלק מהשוק.
היו"ר שמחה רוטמן
זה אומר "הגונב מגנב פטור".
ניר גרסון
אתה אומר שבשוק שבו כולם גונבים?
שחף קצלניק
לא, זאת לא גניבה. למה אתה קורא לזה גניבה? נניח שזה הועלה באופן חוקי לרשת.
ד"ר עמרי רחום טוויג
נחזה להיות ככזה.
שחף קצלניק
בדיוק, נחזה להיות ככזה שהועלה באופן חוקי. אני אוסף אותו. זה לא משהו אסור.
ניר גרסון
הסעיף הזה נועד למצב - - -
היו"ר שמחה רוטמן
אז אתה אספת אותו.
שחף קצלניק
אבל אדוני, ההוראה אומרת "נמסר". נמסר – זה באופן אקטיבי. ההגנה לא תחול עליי, כי יגידו לי "לא נמסר לך המידע, אתה אספת אותו". זה לא אותו דבר, הפעולה היא שונה. מישהו העלה מידע לרשת, הוא לא מסר אותו ישירות אליי. הוא נתן את ההסכמה שלו, לכאורה, מידע שנחזה, ואני לקחתי אותו.

עכשיו ההגנה הזאת לא חלה עליי.
היו"ר שמחה רוטמן
אתה לקחת אותו מאחר.
שחף קצלניק
לא לקחתי אותו.
היו"ר שמחה רוטמן
לקחת אותו מאחר. הוא מסר. בשנייה שהוא פרסם משהו בפומבי, בצורה שניתן לעשות עליו data scraping, הוא נמסר על ידי המחזיק בו לציבור. זה מה שהוא עשה. אז הוא נמסר, אתה אספת.
אם נשתמש לגמרי בשורש מסירה
הוא מסר – אתה תפסת.
שחף קצלניק
הוא לא מסר לי, ולכן - - -
היו"ר שמחה רוטמן
הוא לא מסר לך, אבל הוא מסר לעולם, הוא פרסם אותו ואתה סקריפטת או סקרפת אותו.
ד"ר רחל ארידור הרשקוביץ
אני רוצה להעיר משהו שהוא אולי לא מקובל מבחינת החברים פה בשולחן. אבל אני באמת מנסה להבין מה האינטרס שלנו – ובדיוק השאלה הזו עוררה את זה – בתור מדינה, כשמדובר בזכות לפרטיות ולא בזכות קניינית שהיא זכות אדם, שהיא זכות יסוד, לתת הגנה של תקנת השוק? למה אני רוצה לאפשר המשך עיבודי מידע שנמסרו, הגיעו שלא כחוק, אם כביכול הפגיעה היא קלת ערך - - -
היו"ר שמחה רוטמן
שנייה, את מדברת על פגיעה קלת ערך או על ידע או לא ידע?
ד"ר רחל ארידור הרשקוביץ
לא, אני מדברת על עצם הרעיון להכניס לזכות יסוד – שהיא זכות אדם, שהיא זכות לפרטיות – את המושג בכלל, לתת אפשרות להמשיך לעבד מידע גם אחרי שאני יודעת שהוא עובד לא כחוק.
היו"ר שמחה רוטמן
הפרת הדין קלת ערך היא לאו דווקא על הפגיעה בפרטיות. הפרת הדין יכולה להיות על חוקים אחרים שעוסקים בעיבוד מידע, יכולה להיות על הנושא של החזקה. מאחר שלעיבוד הגדרה מאוד רחבה ולהפרת הדין הגדרה מאוד רחבה, בהחלט יכול להיות שתבוא מה שנקרא – נדבר על זה יום אחד – הזכות להישכח, ויבואו בנושא המידע ויגידו "תמחק אותי", ויגלו דעה שבעיניהם זה לא קל ערך, גם אם אני חושב שזה קל ערך. אז זה לא יחשב קל ערך, או שהרשות להגנת הפרטיות תחליט שהיא אוכפת את זה ותתווכח איתך על המושג קלות דרך.

אבל הפרת הדין היא לאו דווקא הפגיעה בפרטיות. היא יכולה להיות עוד דברים. הפרת הדין היא לאו דווקא הפרת חוק-יסוד: כבוד האדם וחירותו, סעיף הפרטיות שבו. היא מושג מאוד רחב.
עמית יוסוב עמיר
אני חושב שצריך לדבר כאן גם על איזונים. אולי זה יפתיע, ואולי זה ישמש בעתיד לטובתנו כשנדבר גם על תיקון 15, במהרה בימינו, שגם יטיל נטל על המשק. אבל צריך לומר שאמירה אחרת, אם נגיד: "הייתה איזושהי הפרה של הדין – אסור להחזיק את המידע" – המשמעות היא שגם פגיעות יחסית קלות בזכות לפרטיות יביאו לנזק, לפעמים כבד מאוד.
קריאה
לשימוש.
היו"ר שמחה רוטמן
טוב, חברים, התקדמנו. סליחה, אנחנו חייבים מתישהו.
נעמה מנחמי
אנחנו עוברים לנושא של איסור שימוש או החזקה במידע בלא הרשאה. יש לנו כאן את ההצעה של סעיף 10ג רבה. יש לנו את הסעיף הקיים בחוק. בכל מקרה, אנחנו רוצים להכניס את זה כ-(א2). עשינו כאן שינויים.

עמית, אתה רוצה להציג אותם?
עמית יוסוב עמיר
אנחנו מדברים על סעיף 10ג רבתי להצעת החוק הממשלתית, עם שני סעיפים קטנים (א) ו-(ב) שמבחינים בין שימוש במידע לבין החזקה של המידע. לאור ההגדרה החדשה והמקיפה של עיבוד, כבר אין צורך בהבחנה בין שני הסעיפים.
לכן, הנוסח המוצע שמופיע פה במסמך של הייעוץ המשפטי
"לא יעבד אדם מידע אישי ממאגר מידע, בלא הרשאה מאת בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור".

עם הגנה מצומצמת מסוימת שאנחנו מציעים לעניין הספציפי הזה:

"לעניין סעיף זה "עיבוד" – למעט אחסון באקראי ובתום לב".

הכוונה היא מצד אחד להבהיר את המובן מאליו, באופן עקרוני, שמידע במאגר מידע, עיבוד שלא דורש הרשאה מבעל השליטה, אפשר לעבד אותו ללא הרשאה מבעל השליטה. מצד שני, מקרים אינצידנטליים, בעיקר בפעולה של כל מיני מערכות טכנולוגיות, כשיש אחסון לא מכוון של המידע, בגלל ההגדרה המרחיבה של "עיבוד", לא ייתפסו בגדר האיסור הזה.

דוגמה קלאסית היא אדם שקיבל דואר אלקטרוני, הוא שמור אצלו, הוא מחזיק אותו. לא הייתה לו כוונה להפר. אבל לא נדרשת כוונה בעוולות אזרחיות. לכן חשבנו שנכון להעניק פה את ההגנה הזאת.
ד"ר עמרי רחום טוויג
שתי מחשבות. אחת, מכיוון שהמונח "אדם הוא לרבות תאגיד" בהקשר הזה, וזה בסדר, אבל רק אולי להבהיר שהאדם הזה הוא לא בעל השליטה עצמו. אדם, למעט בעל השליטה במאגר. בעל השליטה במאגר לא נותן הרשאות לעצמו. בעל השליטה במאגר הוא בעל השליטה במאגר.
היו"ר שמחה רוטמן
מובן מאליו, לא צריך.
ניר גרסון
הוא מרשה לעצמו.
ד"ר עמרי רחום טוויג
ושתיים. ההרשאה – וזה מתכתב גם עניין האקראי ותום הלב – אולי אפשר לדבר גם על הרשאה במפורש או במשתמע. בהחלט יכולות להיות הרשאות משתמעות. הרשאה זה נשמע כמו הרשאה טכנולוגית, במובן של - - -
קריאה
לא.
ד"ר עמרי רחום טוויג
אני שואל, אני חושב שזה דיון ראוי לפרוטוקול, מה המשמעות להרשאה כאן. הדוגמה של דואר אלקטרוני - - -
היו"ר שמחה רוטמן
לא מדובר פה בהרשאה שהוא קיבל username.
ניר גרסון
לאו דווקא ייפוי כוח.
ד"ר עמרי רחום טוויג
וגם לא כתובה חתומה.
היו"ר שמחה רוטמן
נכון.
ד"ר עמרי רחום טוויג
ולכן אני אומר.
ראובן אידלמן
המונח "הרשאה" משמש גם בתקנות אבטחת מידע בצורה נרחבת. בשום מקום לא נכנסנו לרזולוציה הזאת.
היו"ר שמחה רוטמן
ברור. לא, אין צורך, אני חושב שזה מיותר.
קריאה
דווקא טוב לנו שזה מורחב, ההרשאה.
ד"ר עמרי רחום טוויג
לא, אני רוצה להבהיר.
ענר רבינוביץ׳
הסעיף הזה מתכתב עם Article 29 GDPR. ההבדל המשמעותי ששם יש היתר נוסף לעיבוד על פי הוראות הדין. אני חושב שזה חסר כאן.
עמית יוסוב עמיר
כל החוק הגנת הפרטיות חוסה תחת סעיף 35 לחוק. הוראות חוק הגנת הפרטיות לא גורעות מכל דין אחר. אם יש דין ספציפי שהתיר לעבד מידע באופן ספציפי, לפי כללי הפרשנות המקובלים בתוספת סעיף 35 הדין הספציפי גובר על הדין הכללי.
היו"ר שמחה רוטמן
עוד משהו לסעיף זה? מצוין, הבה, נתקדם.
עמית יוסוב עמיר
אולי פה אני אבקש להעיר משהו. מופיע כעת במסמך הכנה סעיף 10ב. הממשלה מבקשת לדלג כרגע על הסעיף, יש בדיקות.
היו"ר שמחה רוטמן
מאז 2009 לא ניסחנו אותו.
עמית יוסוב עמיר
לא, ניסחנו. הכוונה המרכזית שלנו היא להתאים את הוראות הדין המהותי למודל העיצומים הכספיים שיאפשר אכיפה, שזאת אולי התכלית המרכזית של כל התיקון 14. אין לנו כוונה לעורר בעיות וקשיים אחרים בתחום המותר והאסור בעיבוד מידע.
היו"ר שמחה רוטמן
מה מותר ומה אסור בתחום עיבוד מידע?
עמית יוסוב עמיר
מה שהיה מותר אתמול, יהיה מותר מחר.
היו"ר שמחה רוטמן
סעיף שמירת דינים.
עמית יוסוב עמיר
לא, זאת המטרה באופן עקרוני. באופן מעשי, יש פה שתי מערכות דינים - - -
היו"ר שמחה רוטמן
הבעיה העקרונית ובאופן מעשי שאף אחד לא יודע מה מותר ומה אסור בתחום עיבוד המידע. ולכן אני מאחל לכם הצלחה מרובה בניסוח סעיף 8ב החדש ואני אעבור לסעיף הבא. אני מאחל לכם הצלחה באיך להגדיר את הבלתי-מוגדר. ואנחנו נעשה זאת, נגדיר את אשר לא ניתן להגדרה.

כן, בבקשה.
נעמה מנחמי
הגענו לחובת הרישום. כמו ציינתי מקודם, היום זה נמצא ב-8(א) וב-8(ג). 8(א) עוסק בחובת הרישום ו-(ג) עוסק בשאלה מה הנסיבות של הרישום. מבחינת העניין, חשבנו שאפשר לאחד אותם ביחד.

מוצע נוסח חדש, גם בשים לב להערת הוועדה בפעם הקודמת, שביקשה לצמצם את חובת הרישום לסוחרי מידע ולמאגרים ציבוריים.

אני אקריא את (ג) המחודש:

"לא יעבד אדם מידע אישי במאגר מידע ולא ירשה לאחר לעבד עבורו מידע כאמור, אם המאגר הוא אחד מאלה, אלא אם המאגר נרשם במרשם או הוגשה בקשה לרישום המאגר לפי הוראות סעיף 9 וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום המאגר".
ואלה התנאים
"(1) אחת ממטרותיו העיקריות של המאגר היא איסוף מידע אישי לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר – נשקול מבחינה ניסוחית את הנושא של "כהגדרתם בסעיף 17ג" – או שהמידע האישי שבמאגר נמסר או מיועד להימסר לאחר בתמורה, ובמאגר למעלה מ-10,000 נושאי מידע;
(2) בעל השליטה במאגר המידע הוא גוף ציבורי, כאמור בפסקה (1) להגדרה "גוף ציבורי" שבסעיף 23, למעט מאגר מידע הכולל מידע על עובדי הגוף הציבור בלבד – זאת הצעה שלנו, כדי להוריד את המספר".

אני חושבת שבמובן מסוים מטרת הרישום של גוף ציבורי היא כדי לדעת שהמאגר קיים. נראה לי שזה די ברור שלכל גוף ציבורי יש רשימת עובדים.
היו"ר שמחה רוטמן
רק חשוב להגדיר פה. מאגר רשימת העובדים – זה ברור, מצד הרישום לא צריך, החובות המהותיות יחולו עליו בכל מקרה. הבעיה היא שהרבה מאוד פעמים גופים ציבוריים מחזיקים מאגר על עובדים, גם על עובדים לשעבר וגם על מועמדים. לכאורה זה לא נותן להם את ההגנה.

נניח שאני כותב "עובדים, עובדים לשעבר, מאגר המועמדים". מאגר מועמדים לשפיטה לצורך העניין, שזאת בכלל שאלה האם המועמדים לשפיטה נחשבים לעובדים. הם לא נחשבים עובדים. אבל גם מאגר מידע – שופטים הם לא "עובדים", גם חיילי צה"ל אינם "עובדים", גם שוטרים אינם "עובדים".
ניר גרסון
אדוני, דווקא במאגרים האלה יש איזו מורכבות, מעבר לעובדים סתם.
היו"ר שמחה רוטמן
אני מבין, אתם רוצים שזה יחול עליהם. זאת אומרת, צה"ל יצטרך לרשום את המאגר של משרתי החובה ומשרתי המילואים, הוא יצטרך לרשום את זה כי הם לא עובדים שלו. אבל את האזרחים עובדי צה"ל הוא לא יצטרך לרשום.

אני מחדד מה הכוונה פה בסעיף.
ראובן אידלמן
אין הצדקה להקל דווקא. ראשית, כפי שאדוני יודע, אנחנו מלכתחילה הצענו חובת רישום מצומצמת יותר ביחס לגופים ציבוריים. הוועדה הרחיבה את הנושא הזה. בעניין ההבחנה שאדוני מזכיר, אנחנו לא רואים לנכון להקל דווקא עם המועמדים, לצורך העניין על קורות חיים שנשלחים.
היו"ר שמחה רוטמן
זה לא עניין של להקל. השאלה אם רושמים אותם.
ראובן אידלמן
העובדים – ההחרגה הזאת שהיא הצעת הייעוץ המשפטי לוועדה, מקובלת עלינו.
היו"ר שמחה רוטמן
אבל המאגר על מועמדים – יצטרכו לרשום?
ראובן אידלמן
כן.
היו"ר שמחה רוטמן
בסדר גמור, אני בעד.
איה מרקביץ
למה עברנו מ"בעל שליטה במאגר מידע" ל"אדם", בהקשר הזה? "לא יעבד אדם מידע אישי" וכו' "ולא ירשה לאחר לעבד עבורו". לא ירשה לעבד עבורו – זה אומר שאת בעלת השליטה במאגר. אולי זאת טעות ניסוח, אבל משתמע ממה שכתוב פה שעכשיו המחזיק צריך לבדוק אם יש רישום, אם יש בכלל כניסה לתנאי הסף לרישום, האם בכלל מדובר במאגר שחייב ברישום. זאת טעות?
היו"ר שמחה רוטמן
לכאורה פה המצב קצת יותר קל, כי אם מבוקש לעבד מאגר מידע עבור סוחר מידע, תוודא שבן אדם שאתה מעבד עבורו את המידע פעל ורשם את המאגר. לא חלה עליך החובה, אבל כן תבדוק.

וכנ"ל אם אתה מעבד מידע עבור גוף ציבורי.
איה מרקביץ
ואם אתה נותן שירותי אחסון, למשל?
ד"ר עמרי רחום טוויג
זה יכול להיות גם אחסון בענן. איך אפשר לנהל את זה? זאת לא חובה הגיונית.
איה מרקביץ
החובה צריכה להיות על בעל השליטה.
ד"ר עמרי רחום טוויג
זה מאוד דומה לעניין עם המחזיק מקודם. אין היגיון בזה. החובה המהותית לרישום היא על בעל השליטה. מה זה משנה אם אדם בסוף קיבל הרשאה? "אדם" – יכול להיות גם עובד של בעל השליטה, לצורך העניין.
היו"ר שמחה רוטמן
יש בזה משהו.
נעמה מנחמי
יכול להיות שבאמת כדאי לפצל את (ג) חזרה איכשהו, ל-(1) ו-(2), כדי לחדד קצת את הרישום מול - - -
היו"ר שמחה רוטמן
כן, שומע, אוקיי.

עוד משהו, חוץ מזה?
ד"ר עמרי רחום טוויג
הערה להגדרה של אותם data brokers. ברישה, מטרותיו העיקריות זה איסוף מידע לצורך מסירתו. למה לא "מכירתו לאחר"? יש גם הגדרות בדינים אחרים, למשל ב- CCPAבקליפורניה יש הגדרה מיהו data brokerוהיא עוסקת בשאלת מכירת המידע בתמורה.

זאת אומרת, זה לא סתם כל מצב שבו הוצאתי מהמאגר מידע - - -
היו"ר שמחה רוטמן
בדרך כלל, "דרך עיסוק" – נותן משהו בתמורה. זה נועד למנוע, כי בדרך כלל בן אדם לא עושה משהו כדרך עיסוק מטוב ליבו. לכן, לעניין התמורה בדרך עיסוק מכסה את זה.

זה נועד למנוע אירוע חד פעמי. זה נועד למנוע סיטואציה לכלול מישהו שעושה את זה באקראי או אגב פעולה אחרת.
ד"ר עמרי רחום טוויג
אבל זה מעורר את השאלה מה זה אחת ממטרותיו העיקריות של המאגר. כשמנהלים מאגר או קובעים מסמך הגדרות מאגריים לא מתעדפים, אין רשימת מטרות עיקריות או מטרות משניות של המאגר. מסירה של מידע, כמו שאדוני אמר, אינצידנטלית או אולי במספרים קטנים, כחלק מעיסוק, לא בהכרח הופכת גוף להיות .data broker

data broker זה גוף שכל תכליתו העסקית ומהותו הכלכלית זה מסירת מידע לאחר. היא לא אחת מהמטרות.
נעמה מנחמי
בניסוח המקורי היה "המטרה העיקרית". אם אני מוסיפה עוד שתי מטרות, אז עכשיו אני בעצם פטורה מזה?
ד"ר עמרי רחום טוויג
קודם כל, בהחלט יכול להיות. אני לא יודע.
דן אור-חוף
אני רוצה לקרוא לילד בשמו. מסירה של מידע לאחר כדרך עיסוק, שהיא לא סחר במידע, זה בעיקרו של דבר תעשיית הפרסום האינטרנטי. זאת תעשייה שבה יש מסירת מידע ובהיקפים גדולים, כדרך עיסוק, אבל הם לא סוחרי מידע. הם לא מוכרים את המידע, אבל זה חלק מהותי מהעיסוק שלהם.

וזאת שאלה עקרונית, האם אנחנו רוצים להכניס את התעשייה הזאת לגדר הגופים שצריכים לרשום את מאגרי המידע שלהם או לא - -
ד"ר עמרי רחום טוויג
גם ספקי תקשורת.
דן אור-חוף
- - או להשאיר את הרישום הזה רק לכאלה שממש סוחרים, מוכרים מידע במשמעות הברורה והפשוטה של העניין.
ד"ר עמרי רחום טוויג
אני אקריא את ההגדרה של CCPA הקליפורנית, רק כדי שנהיה .on the same page בקליפורניה, ההגדרה של data broker היא:

“as businesses that knowingly collect and sell to third parties the personal information of a consumer with whom the business does not have a direct relationship”.

זה הרעיון.
ניר גרסון
ומה ההגדרה של sell שם?
קריאות
- - -
ד"ר עמרי רחום טוויג
יש הגדרה.
ליאור אתגר
יש הגדרה, אבל התמורה היא לא חלק ממנה.
ד"ר עמרי רחום טוויג
לא, התמורה היא בהחלט חלק ממנה.
ניר גרסון
ובכל אופן, צריך לבדוק מה ההגדרה של sell, כי נדמה לי שהיא רחבה.
ד"ר עמרי רחום טוויג
אין בעיה.
ניר גרסון
אבל בכל מקרה, גם במקרה שבו עסק מפיץ מידע לרבים, הוא לא מקבל תשלום ישיר, אבל הוא מפיק תועלת מסחרית עקיפה או ישירה, זו סיטואציה, זה תרחיש שאנחנו רוצים שההסדר יחול עליו ויש לזה כל ההצדקות.
ד"ר עמרי רחום טוויג
לא ברור לי. אני לא מצליח להבין.
ראובן אידלמן
כפי שציינה היועצת המשפטית, בהצעת החוק הממשלתית נכתב "מטרתו העיקרית של המאגר". אנחנו הצענו את זה, אז כמובן שזאת חלופה שמקובלת עלינו, אלא אם הוועדה רוצה לכתוב את זה אחרת. אני חושב שזה נותן מענה.

אגב, זה קיים היום בתקנות אבטחת מידע, זאת לא הגדרה חדשה.
ד"ר עמרי רחום טוויג
אגב, וגם אין פה threshold של מספר, של כמות.
היו"ר שמחה רוטמן
לא, יש.
ד"ר עמרי רחום טוויג
לא, זה רק לגבי החלופה בסיפה, שהיא - - -
היו"ר שמחה רוטמן
10,000.
ד"ר עמרי רחום טוויג
אני לא בטוח אם זה חל על הכול.
היו"ר שמחה רוטמן
כן, לדעתי ה-10,000 חל על הכול.
ניר גרסון
כן.
ראובן אידלמן
כן.
ד"ר עמרי רחום טוויג
10,000 זה מספר מאוד נמוך, כהפרש עוד לרישום, בנוסח החדש.
היו"ר שמחה רוטמן
בסדר, מבחינתי ש- data brokerיירשם מהיום הראשון, עוד לפני שהוא מתחיל.
ד"ר עמרי רחום טוויג
10,000 – זה מידע שיש לו במאגר. זה בכלל לא אומר שהוא מסר מידע.
היו"ר שמחה רוטמן
אבל אם מטרתו היא – אז גם מאז שהוא מתחיל. אבל בסדר.
ד"ר עמרי רחום טוויג
אבל שים לב, יש שם הגדרה נוספת: "או שהמידע האישי שבמאגר נמסר או מיועד להימסר". זה כבר לא מטרתו העיקרית. זה אומר שפשוט הפעולה הזאת קרתה, נמסר מידע מתוך המאגר.
היו"ר שמחה רוטמן
שוב, מה ההצעה הממשלתית? תקריאו אותה.
נעמה מנחמי
לחזור ל"מטרתו העיקרית"?
ראובן אידלמן
כן, ההצעה הממשלתית היא: "מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק" – וההמשך שכתוב.
היו"ר שמחה רוטמן
מצוין.
ד"ר עמרי רחום טוויג
לא, אבל אז בלי הסיפה הנוספת: "או שהמידע האישי שבמאגר נמסר או מיועד להימסר לאחר". זה מחטיא את הרעיון. אם אנחנו מדברים על מטרה עיקרית – מטרה עיקרית.
קריאה
לא, למה?
ראובן אידלמן
לא, לא, בהתאם להצעה של הייעוץ המשפטי. "מיועד להימסר לאחר".
ד"ר עמרי רחום טוויג
אני מבין שזאת ההצעה. אני מסביר את הקושי שבה.
היו"ר שמחה רוטמן
שנייה. מה הדלתה שאתה חושב? לא הבנתי.
ד"ר עמרי רחום טוויג
אם אנחנו אומרים שהרציונל הוא ש"מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר", אבל אנחנו מכניסים בדלת האחורית "או שהמידע האישי שבמאגר נמסר לאחר".

קרה. זו לא מטרתו.
ניר גרסון
בתמורה.
ד"ר עמרי רחום טוויג
אז מה? אבל זו לא מטרתו העיקרית של המאגר.
היו"ר שמחה רוטמן
עם זה אני מסכים. הנושא של מידע שנמסר לאחר בתמורה – זאת לא המטרה העיקרית של המאגר, לא המטרה העיקרית של המוסר. זה באמת מכסה כמעט את כולם.

יותר מזה. לדוגמה, אני לא ,data broker אבל אני מכרתי עסק עם רשימת לקוחות. יש לי עסק, יש לי רשימת לקוחות, יש לי מועדון לקוחות. אני מועדון לקוחות של שופרסל או של רמי לוי. אני מחליט לסגור את העסק שלי ולהעביר את מועדון הלקוחות שלי למישהו אחר. לא ,data broker לא בשביל זה הקמתי את המאגר. חשבתי שאני אנהל את מועדון הלקוחות לנצח. רק מה לעשות, נהייתי חבר הכנסת, החלטתי שלנהל מועדון לקוחות זה כבר לא בשבילי ומכרתי את המאגר למישהו אחר, כולל את כל הפעילות של המועדון עם המאגר שלו.

עכשיו מאגר מידע חייב ברישום, כי הוא נמסר לאחר בתמורה.
ראובן אידלמן
יש לי הצעה, כדי שיהיה ברור, הרכיב של בתמורה הוא גם צריך להיות מטרה עיקרית אם אני מבין נכון ואם לשם מכוונים. אפשר לכתוב כך, אני מקריא מההתחלה:

"מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, או בתמורה, לרבות שירותי דיוור ישיר".
היו"ר שמחה רוטמן
בלי המילים "או שהמידע". לדעתי – בסדר גמור.
קריאה
אני מציע להחריג מקרים של עסקאות מיזוג או עסקאות מכירה וגם מקרים שבהם ה- consumer נתן את ההסכמה שלו.
היו"ר שמחה רוטמן
זה מוחרג.
ד"ר עמרי רחום טוויג
זאת לא המטרה העיקרית.
היו"ר שמחה רוטמן
זה מוחרג.
קריאה
זה צריך להיות ברור.
היו"ר שמחה רוטמן
אז אני אומר – זה מוחרג, כי אז זאת לא המטרה של המאגר.
איה מרקביץ
אשמח לקבל הבהרה מחברינו במשרד המשפטים: למה הכוונה, בהקשר הזה, "לרבות שירותי דיוור ישיר"? אני קוראת במקביל את ההגדרה בחוק, של שירותי דיוור ישיר, אחד הסעיפים הארכאיים הרבים בחוק הקיים, שכתוב:

"מתן שירותי דיוור ישיר לאחרים בדרך של העברת רשימות, מדבקות או נתונים בכל אמצעי שהוא".

האם הכוונה שכל מי שמבצע פנייה של טלמרקטינג עבור בעל השליטה, צריך להירשם? או מי שנותן רשימה?
ניר גרסון
מי שמעביר לאחר את השמות.
עמית יוסוב עמיר
לא, רגע. אבל יש הגדרה לדיוור ישיר. ההגדרה, עם המדבקות, היא רק כדי להבהיר שזה לאחרים.
היו"ר שמחה רוטמן
אם אני מעביר את המדבקות להרבה מאוד אנשים?
קריאות
- - -
עמית יוסוב עמיר
שוב פעם, ההגדרה - - -
היו"ר שמחה רוטמן
בסדר, אני לא נכנס לזה פה, לדעתי הכוונה בסעיף הזה ברורה. הרעיון הוא שגם מי שמחזיק מיילינג ליסט – לטובת מכירת מיילינג ליסט.
ד"ר עמרי רחום טוויג
לטובת מכירה. אבל אם הוא מחזיק בזה עבור ארגון – הוא מחזיק, הוא לא בעל שליטה.
היו"ר שמחה רוטמן
נכון.
ניר גרסון
אם הוא קבלן והוא לא מעביר את השמות לבעל השליטה, אלא רק עושה בזה פעולה, אז לא.
ד"ר עמרי רחום טוויג
בסדר. אני חושב שאנחנו מציפים פה שההגדרה של שירותי דיוור של דיוור ישיר היא הגדרה - - -
איה מרקביץ
לא טובה.
ד"ר עמרי רחום טוויג
כולנו יודעים שהיא כבר לא עובדת היום כמו צריך.
ניר גרסון
אז למען הסר ספק: שירותי דיוור ישיר – נכנס להגדרה.
ד"ר עמרי רחום טוויג
נכנס להגדרה במצב שבו נותן שירותי הדיוור הישיר הוא בעל שליטה במאגר בעצמו, כי אחרת אין לו חובת רישום.
איה מרקביץ
כן, בדיוק.
ניר גרסון
כן, כשהוא מעביר.
איה מרקביץ
יש קושי בהגדרה עצמה. ברור שזאת לא בעיה בתיקון 14, אבל דיוור ישיר מוגדר כפנייה אישית לאדם בהתבסס על השתייכותו לקבוצת אוכלוסין וכו'; ו"שירותי דיוור ישיר" – זו מתן שירותי דיוור ישיר לאחרים.
ניר גרסון
אבל כמו שאמר היושב-ראש, הכוונה ברורה.
איה מרקביץ
- - -
ד"ר עמרי רחום טוויג
גם אם זה לפרוטוקול, חשוב להגיד את זה: בסוף, המחזיק לא חייב ברישום.
היו"ר שמחה רוטמן
בסדר, רבותיי בואו תקדם.

(ג1).
נעמה מנחמי
(ג1) – זה מה שנשאר לנו מהצעת החוק המקורית, ביחס למידע בעל רגישות מיוחדת. אני ניסיתי להתאים את זה.

"בעל שליטה במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות למעלה מ – הוועדה תחליט 100,000 או 500,000 – ושלא חלה עליו חובת רישום לפי סעיף קטן (ג), חייב למסור לממונה את הפרטים המנויים בסעיף 9(ב) - -".

בהצעת החוק היה כתוב גם (1), אני חושבת שזאת טעות.

"השר, באישור ועדת החוקה, רשאי לקבוע הוראות לעניין אופן הדיווח לפי סעיף קטן זה".
ראובן אידלמן
אולי אני קצת ארחיב, כי יש לנו כאן הצעה טיפה יותר רחבה. הוועדה כיוונה לכך שביחס לכל מי שלא גוף ציבורי ואיננו data broker, תהיה חובת יידוע.
היו"ר שמחה רוטמן
יש לי הצעה לסדר. מאחר שזה נושא שהוא פתיחת חזית שנייה בצפון, במזרח, במערב, בואו נצא להפסקה, ניתן לאנשים להתרענן לפני זה, ונשוב ונתכנס.

נשוב ונתכנס בשעה 12:15.

(הישיבה נפסקה בשעה 11:45 ונתחדשה בשעה 12:15)
היו"ר שמחה רוטמן
חזרנו. לצערי, האמירה שלי מהבוקר – לא זכינו שהיא תתקיים, קיבלנו עוד בשורה קשה. המלחמה שאנחנו נלחמים לטובת מדינת ישראל, עם ישראל, ארץ ישראל, גובה מחירים שקשים מנשוא. אנחנו ננחם את המשפחות ונקווה שבאמת לא נתרגל, חס ושלום, חס ושלום. לא נקבל את זה ולא נתרגל. ה' ייקום דמם.

משרד המשפטים, בבקשה. אני מתנצל על המעבר החד הזה.
ראובן אידלמן
בהמשך להצעת הוועדה מהדיון הקודם להמיר את חובת הרישום ביחס לכל מאגר שאיננו של גוף ציבורי או של סוחר מידע או data broker, להמיר אותה בחובת יידוע, אנחנו מציעים מודל של חובת יידוע שחלה על מאגרים גדולים, כלומר מאגרים שמלכתחילה מעל 100,000 נושאי מידע.

פירטנו במסגרת ההצעה שלנו איך אנחנו רואים את זה, היא הועברה לוועדה, מקווה שלאדוני יש את זה. אפשר גם להעביר לאדוני עותק, העברנו במסמך נפרד, הוא גם עלה לאתר הוועדה. ראשית, אנחנו מציעים, מבחינת מה שיימסר לרשות, מתוך הבנה שהמטרה היא לאפשר לרשות, באמצעות חובת היידוע, לזהות איפה יש מאגרים שמפאת רגישותם – סוג המידע שמוחזק בהם, סוג העיבוד – הם מצריכים איזושהי בחינה ספציפית יותר, בין בהליך אכיפה, בין בדרך אחרת, אבל מצריכים תשומת לב מיוחדת, בלי שזה יהיה רישום, בלי שזה יהיה פרה רולינג, כפי שאדוני הגדיר בפעם הקודמת.

לצורך כך, פירטנו איזה מידע אנחנו צריכים. קודם כל, יש לנו את הפרטים - - -
היו"ר שמחה רוטמן
אני אקצר. בגדול, יש שם היום את הפרטים שמופיעים היום בחוק, בתוספת מסוימת.
ראובן אידלמן
נכון.
היו"ר שמחה רוטמן
אתם העברתם, זה נמצא באתר הוועדה. למי שנמצא, זה מולו. את חובת היידוע, את כל הפרטים שנמצאים היום ברישום. בנוסף, את פרט (7), שזה:

"פרטים בדבר אופן קבלת ההסכמה לעיבוד המידע או מקור סמכות המתיר עיבוד כאמור, ככל שעיבוד המידע במאגר כרוך בפגיעה בפרטיות".

למה אתם מוסיפים את זה?
ראובן אידלמן
כי אחרת אין צורך בהסכמה או במקור סמכות. זאת אומרת, לפי המבנה שבחוק.
ניר גרסון
הוא שואל על כל פריט (7), לא רק על סיפה.
ראובן אידלמן
הוספנו את פריט (7), כי זה האמצעי להבין איפה – כשיש מאגר שהוא רגיש באופן מיוחד, גם כי הוא קודם כל גדול וגם מפאת - - -
היו"ר שמחה רוטמן
שנייה, אני מנסה להבין משהו.
ראובן אידלמן
כדי להבין באיזה אופן מתקבלת ההסכמה.
היו"ר שמחה רוטמן
כשאתם ביקשתם רישום, אנחנו הפכנו מרישום למסירת מידע. ברישום ביקשתם פריטים (1) עד (6).
ראובן אידלמן
כן.
היו"ר שמחה רוטמן
אם זה הספיק לכם לטובת רישום, למה לטובת יידוע אתם מוסיפים עוד משהו?
ניר גרסון
אדוני, פעמים רבות, כשראינו שסוג המידע - - -
היו"ר שמחה רוטמן
פעמים רבות, כשביקשתם – ביקשתם את המידע הזה?
ניר גרסון
כשראינו שיש מידע - - -
היו"ר שמחה רוטמן
אני מסכים. והסמכות שלכם לבקש את הפרטים הכלולים ב-(7), על בסיס החלטה פרטנית, קיימת, למיטב ידיעתי. לא שולל לכם אותה, נכון?
ניר גרסון
כן אדוני.
היו"ר שמחה רוטמן
זה סעיף אחר?
ניר גרסון
סמכות דרישת ידיעות ומסמכים.
היו"ר שמחה רוטמן
מצוין. למה אתם צריכים להטיל עכשיו את המטלה הרגולטורית הזאת? כאשר עברנו ממשטר של רישום למשטר של מסירת מידע, למה באה, בצד זה, הגדלת הדרישה הרגולטורית לעניין פרט (7)?
ניר גרסון
ראשית, זאת לא בדיוק הגדלת הדרישה הרגולטורית, אלא - - -
היו"ר שמחה רוטמן
אתה טוען שזאת הפחתה?
ניר גרסון
לא. לפי סעיף 11 לחוק, ממילא כל בעל מאגר היום צריך – במיוחד אם הוא אוסף את המידע ישירות מנושא המידע – להגיד לעצמו, כדי שיוכל להגיד לנושא המידע - - -
היו"ר שמחה רוטמן
אבל הוא היה צריך להגיד לעצמו גם שלשום, ולא ביקשת את פרטי המידע האלו לטובת הרישום. למה לטובת מסירת המידע אתה דורש אותם?
ניר גרסון
למה אנחנו מבקשים לצרף את זה מראש? כדי שנוכל לבור את המוץ מהתבן ולא לפנות לכל המשק לשלוח דרישת ידיעות ומסמכים. יש מטרה לדיווח.
היו"ר שמחה רוטמן
אבל הייתה מטרה גם לרישום. אני שוב שואל, הייתה מטרה לרישום?
ניר גרסון
כן, אבל - - -
היו"ר שמחה רוטמן
כל מי שהגיש אצלכם, שעשה את הצעד המדהים הזה של בקשה לרישום, הצדיקים שבסדום שרשמו את מאגרי המידע שלהם, קיבלו מכם כעניין שבשגרה "תשלימו לי גם את (7)"?
ניר גרסון
פעמים רבות כן.
היו"ר שמחה רוטמן
ולפי מה החלטתם ממי אתם דורשים את (7) וממי לא?
ניר גרסון
אני לא רוצה להגיד סתם, אבל לדעתי ברוב המקרים כן. זה אחד מהנושאים שאנחנו צריכים - - -
היו"ר שמחה רוטמן
בהצעת החוק הממשלתית, כשנשארנו עם חובת הרישום, כללתם את פרט (7)? לא.
ניר גרסון
לא.
ראובן אידלמן
לא.
ניר גרסון
לא בהצעת החוק, אבל זה משהו - - -
היו"ר שמחה רוטמן
אני מנסה להבין. את ידיעות ומסמכים אתם יכולים לדרוש על בסיס החלטה נקודתית.
ראובן אידלמן
ברישום צריכים להמתין לנו. כאן אנחנו במצב אחר.
היו"ר שמחה רוטמן
אני מבין.
ראובן אידלמן
אנחנו מקבלים הרבה הודעות יידוע ואנחנו צריכים לבור את המוץ מהתבן כמו שנאמר כאן, בלי שמחכים לנו, המאגר כבר רץ ופועל. הרעיון אומר איפה אנחנו נמקד. לא נשלח דרישת ידיעות ומסמכים למאות מאגרים, אני חושב שגם אין אינטרס, כי זה כבר הליך אכיפה. המטרה היא לצמצם פתיחה בהליכי - - -
היו"ר שמחה רוטמן
אני רק רוצה להסביר לך משהו לגבי פריטים (1) עד (6). יש לי איזו ונדטה – אפשר לעשות על זה הערכת אישיות, עם איזה AI – נגד עורכי דין, משהו אישי כזה. אני מסתכל על (1) עד (6), ולא צריך עורך דין בשבילם. נכון שאפשר עורך דין, יש גם עורכי דין שעשו את זה.

אני מסתכל על סעיף 7 – זאת חוות דעת משפטית. זה ההבדל הרגולטורי.
ראובן אידלמן
זו יכולה להיות מדיניות הפרטיות.
היו"ר שמחה רוטמן
לא, לא. "מקור סמכות המתיר עיבוד כאמור". מי שעוסק בלכתוב לי מה מקור הסמכות – הוא גורם משפטי.
ניר גרסון
אדוני, זה נוסח ההסכמה.
היו"ר שמחה רוטמן
אני יודע, אני יודע שזה קצת old fashion לבקש ממשפטן לעסוק במקור סמכות. אבל זה לא - - -
ניר גרסון
אדוני, זה נוסח ההסכמה. זאת ממש לא חייבת להיות חוות דעת. זה פרטים הכי בסיסים. אתה אוסף מידע? תציג לנו את ההסכמה, את הטקסט, את הסעיף שאתה מחתים את הלקוחות.
היו"ר שמחה רוטמן
אבל אתה בעצמך יודע, מחר בבוקר אתה תביא לי פרטים אחרים שלא צריך בשבילם הסכמה. וגם, היום פרטי ההסכמה היא סוגיה משפטית כבדת המשקל בשאלה מה נחשב הסכמה ומה לא נחשב הסכמה. זו הסוגיה שבשבילה צריך חוות דעת. זו הסוגיה שממנה היושבים פה מסביב לשולחן עושים את הפרנסה שלהם – וכאמור, יש לי ונדטה נגדם. אחרי שיושבים עם האנשים מספיק זמן בחדר, אתה רוצה לפגוע להם בפרנסה ואתה אומר, למה לספק להם עכשיו עוד פרנסה שיכתבו חוות דעת משפטיות האם זה נחשב הסכמה והאם זה שקרצת למצלמה לטובת ההפעלה נחשבת הסכמה, כן או לא. למה?

לא דרשת את זה לרישום. לבור את המוץ מהתבן – תבור את המוץ מהתבן. אתה אומר שאני מוריד לך רגולציה. אבל לא הורדתי לך רגולציה. הוספתי לך שכל בקשת רישום – שאתה אומר שעד היום מרובם ביקשת, יכול להיות שגם זאת תקלה, אבל אני לא מתעסק בזה עכשיו, זאת לא ישיבת פיקוח על הרשות להגנת הפרטיות.

אבל פרט (7), זה – "תצרף חוות דעת משפטית". זאת המשמעות.
ראובן אידלמן
מקור סמכות – זה בדרך כלל פחות רלוונטי במגזר הפרטי.
היו"ר שמחה רוטמן
נכון.
ראובן אידלמן
אלה יהיו מקרים יותר ספורדיים.
היו"ר שמחה רוטמן
נכון.
ראובן אידלמן
"פרטים בדבר אופן קבלת ההסכמה" – זה יכול להיות מדיניות הפרטיות. מבחינתנו, זה בהחלט לא מצריך חוות דעת משפטית. זה להבין איך אתה, את הטופס - - -
היו"ר שמחה רוטמן
כשאתה בהארדקור מידע שנמסר מהאדם עצמו, בהסכמה, ברמה הפשוטה ביותר, ולא עושה את הקונסטרוקציות המשפטיות המורכבות שאתם מייצרים היום בגלל שאין לנו בסיסי עיבוד, שההסכמה היא גם לא הסכמה, אז אתה צודק.

כמה מאגרי מידע מתוך מאגרי המידע שאתם מדברים עליהם ושנרשמו אצלכם, הם מאגרי המידע שאנשים אשכרה נתנו הסכמה?
ניר גרסון
רבים מאוד.
ראובן אידלמן
במגזר הפרטי זה הכלל.
היו"ר שמחה רוטמן
זה הכלל, אבל נתנו הסכמה במובן שלא דורש חוות דעת משפטית למה זאת הסכמה?
ניר גרסון
אנחנו לא ביקשנו חוות דעת משפטית.
היו"ר שמחה רוטמן
אתם לא ביקשתם.
ניר גרסון
אדוני, אם הוועדה מבקשת לצמצם את הרישום, נסתפק בדיווח. המטרה היא בכל זאת להשאיר רמה מינימלית של הגנה על פרטיות - - -
היו"ר שמחה רוטמן
אני חושב ש-(3) ו-(4), והעובדה שאתה מקבל ידיעה על (3) ו-(4), ועל (6) כמובן, ו-(5), וכל מה שבקשתם ברישום – זה נותן איזושהי אפשרות למיקוד האכיפה.
ניר גרסון
לא.
היו"ר שמחה רוטמן
סעיף (7) הוא סעיף שמוסיף עלות רגולטורית לא קטנה. אתה אומר שהיום, פחות או יותר כדבר שבשגרה או כמעט כדבר שבשגרה, אתה עושה את זה בכל מקרה. אני מקווה שתפסיק. אבל כמו שאמרתי, זה לישיבת הפיקוח על הרשות להגנת הפרטיות.

אני לא חושב שזה דבר נכון. זה חלק מהדבר שאנחנו מדברים עליו. אנחנו מנסים להסדיר את העניין ולא להגיד "דרישת פרטים נוספים".

(מכאן אורי פנסירר)
היו"ר שמחה רוטמן
הרבה פעמים לגופים רגולטוריים יש נטייה להשתמש בסעיפי הסל שלהם כדי לייצר מחדש את סעיפי - - -, ואני כן אומר לכם שאם אחרי חקיקת החוק ואף אוסיף לכם: נניח שתשכנעו אותי – מה שנראה לי שיש סיכוי קלוש – שכן צריך את 7 ואוסיף לכם את 7, ואז אגלה שדרך "דרישת פרטים נוספים" אתם מכניסים גם את 8 ,9 -10 כדבר שבשגרה לכולם. וכל מי שעושה את הטעות ושולח לכם מידע, אז הוא מקבל בתמורה מכתב "דרישת מסמכים נוספים" שיושב כבר על הרובריקה ויוצא אוטומט - - -
ראובן אידלמן
אנחנו נימנע מזה.
היו"ר שמחה רוטמן
לא, אני מבין. אבל כעניין היום, יש לכם את 1 עד 6, ואתם אומרים לי שכמעט לכולם אתם שולחים גם את 7. אז אני אומר – תפסיקו לשלוח לכולם על תיקונם גם את 7. תמקדו איפה שצריך למקד. אולי תשתמשו ב-AI, אולי תפעילו אכיפה עם רצת יותר אינטליגנציה מלאכותית או לא מלאכותית. ותמקדו את האכיפה. אבל אני לא רואה סיבה - - -
ניר גרסון
אדוני, יהיה קשה - - -
היו"ר שמחה רוטמן
יהיה קשה? כמה אתה מעריך שתקבל כאלו?
ניר גרסון
לא, לא, רגע, סליחה, כדי שנוכל למקד את האכיפה, יהיה מאוד מאוד מועיל – אולי אפילו בלי זה יהיה קשה למקד את האכיפה – שאת הפרטים המינימליים על תוכן ההסכמה, אולי באמת סעיף כל הסמכות פחות רלוונטי למגזר הציבורי, סעיף תוכן ההסכמה.
היו"ר שמחה רוטמן
אבל אתה – סליחה - - -
אייל שגיא
חוץ מהשאלה - - -
היו"ר שמחה רוטמן
זהו, עכשיו הסתבכתי איתו, כי אני רוצה לפגוע בפרנסה של עורכי דין.
אייל שגיא
אני מקווה שהקולגות יסלחו לי על זה, אבל כל מה שאמר היושב-ראש נכון. ובטופ של זה, וההנחה בסעיף 7 היא שהדרך היחידה – קודם כל שאיסוף המידע פוגע בפרטיות, אבל אם יש לי הסכמה, אז אין פגיעה בפרטיות, אז יש פה איזה כשל לוגי, כי השגתי הסכמה, אז אין פגיעה בפרטיות. דבר שני, ההנחה היא שאם אין הסכמה, יש פגיעה בפרטיות, זה זורק לפח את כל ההגנות ל-(2)(9) בסעיף 18. כי יכול להיות שאחליט, למרות שאין לי הסכמה, שהעיבוד הוא בתום לב ונדרש לצורך ביצוע תפקידי. כל הדברים שבסעיף 18 היום מגנים על פעילות עסקית רגילה ולגיטימית, אבטחת מידע, כל הדברים האלה נעשים תחת סעיף 18, כי אני מקבל את הידיעה, את ההתחברות – חבל.
היו"ר שמחה רוטמן
מובן.
אייל שגיא
פה זה מחייב רק דרך אחת לרפא את - - -
היו"ר שמחה רוטמן
אגיד יותר מזה, ככל שעיבוד המידע במאגר כרוך בפגיעה בפרטיות – יש פה שתי חוות דעת; אחת – האם עיבוד מידע במאגר כרוך בפגיעה בפרטיות, ויהיו כאלה שיגידו שכן, יהיו כאלה שיגידו שלא, יגידו למה לא, לא יודע. ואחרי שהגעתי למסקנה שעיבוד המידע במאגר כרוך בפגיעה פרטיות, אני צריך עוד חוות דעת משפטית, האם ההסכמה שקיבלתי מספיקה לעניין הפגיעה הפרטיות ומה מקבילית הכוחות בין טיב ההסכמה, כגודל ההסכמה, כך מיעוט הפגיעה בפרטיות וכן להפך.
דן אור-חוף
אני רוצה להציע הצעת ייעול. הלכה למעשה – וזה גם לפי ההצעה של משרד המשפטים – בתוספת צריך להגיש את מסמך הגדרות המאגר.
היו"ר שמחה רוטמן
עוד לא הגענו לשם.
דן אור-חוף
אני אומר שמסמך הגדרות המאגר, הפירוט שלו, התוכן שלו, כפי שהוא קבוע בסעיף 2 בתקנות אבטחת המידע, כולל כבר את כל הפרטים שצריך. ובעצם הדרישה שקיימת בהצעה לצרף את הפרטים 1 עד 7, 1 עד 8, זה בעצם כפילות מיותרת, כשבתקנות מסמך הגדרות המאגר כבר כותב שם. במסמך הגדרות המאגר, להבדיל מסעיף 7, לא מדובר באופן ספציפי על הסכמה.
היו"ר שמחה רוטמן
אתה מדבר על תקנות אבטחת המידע?
דן אור-חוף
כן.

מה שמסמך הגדרות המאגר צריך לכלול לפי סעיף 2(א)(1)לתקנות אבטחת המידע, זה תיאור כללי של פעולות האיסוף והשימוש במידע. ומן הסתם, אם הפעולות האלה כרוכות בקבלת הסכמה, זה המקום לכתוב את זה. המסמך הזה כולל כבר את הכול. כך שאם בכלל יש צידוק לעניין הזה של חובת היידוע, שזאת שאלה בפני עצמה, אז לצד חובת היידוע, מה שצריך בעיני זה פשוט לחייב בהגשת מסמך הגדרות המאגר שממילא חייבים להכין אותו, כי זו דרישת התקנות.
ניר גרסון
אבל הוא לא כולל התייחסות להסכמה.
היו"ר שמחה רוטמן
אכן, מה שהם אמרו.
ניר גרסון
הוא לא כולל התייחסות להסכמה.
דן אור-חוף
הוא כולל תיאור כללי של פעולות האיסוף והשימוש במידע, ולכן - - -
קריאות
- - -
היו"ר שמחה רוטמן
הוא עוסק באבטחת המידע של המאגר, הוא לא דן בשאלה איך הוא נאסף.
דן אור-חוף
הוא דן בשאלה של איך אוספים את המידע.
צחי שלום
זה לא אבטחת מידע, זה הגנת הפרטיות. הוא עוסק בפרטים, בסוגי המידע, בסוג נושאי המידע.
היו"ר שמחה רוטמן
אני מבין, אני רק אומר שהוא לא דן בשאלה – האם המידע נאסף בהסכמה כן או לא.
דן אור-חוף
אפשר להוסיף את זה.
היו"ר שמחה רוטמן
אבל אנחנו לא רוצים להוסיף את זה.
דן אור-חוף
אז מהבחינה הזאת אם אין צורך - - -
היו"ר שמחה רוטמן
אם לא היה צריך את זה לתקנות אבטחת מידע, לא צריך את זה לחובת הדיווח.
אסף הראל
אני חושב שבסופו של דבר, כיוון שברוב המקרים ההסכמה היא ממילא הסכמה מכללא, מה שמעניין זה האופן שבו בעל השליטה במאגר עמד בחובת היידוע שלו. ונדמה שככל שתקבלו הוכחה על אופן העמידה בחובת היידוע, זה אמור להשיג את התכלית של הבנת ההסכמה מבלי ליצור פה מורכבות משפטית של ניתוח האם זה פוגע בפרטיות או לא, האם זה כן הסכמה או לא הסכמה.
רחל ארידור הרשקוביץ
אני רוצה להגיד משהו אחר, ממה שאני שומעת, ממה שהרשות אומרת, זה שהרציונל שבחובת הדיווח הוא כדי לתת להם מידע, כדי שהם יידעו איפה להפעיל את סמכויות האכיפה שלהם – בעיני זה היינו הך לרישום. בילדותי אהבתי מאוד מערכון של נתן דטנר בשם "אם יש חור בדלי", וככה אני מרגישה. אם אתם רוצים לדעת יותר טוב איך לעשות אכיפה או איך להפעיל את סמכויות האכיפה שלכם – מדינות העולם התקדמו, הם לא דורשות דיווח, הם לא דורשות רישום, הם דורשות ממונה הגנת פרטיות, הם דורשות תסקיר, וככה עושים את זה בעולם המודרני. למה אנחנו צריכים להיתקע פה עכשיו על דיון במשהו שכבר לא צריך אותו? יש חלופות טובות יותר.
היו"ר שמחה רוטמן
אוקיי.
עמרי רחום טוויג
רק אגיד את המובן מאליו, גם הדרישות הנוספות שבתוספת, פרט 8 שמפנה לתוספת הם כמובן מכבידות בהרבה, כן, על פריטים 1 עד 6, כפי שאדוני ציין.
קריאה
למה? הפנייה עצמה - - -
עמרי רחום טוויג
לא. אבל שיתר הדרישות.
ראובן אידלמן
אולי נתייחס לדרישות שבהמשך? לדרישות שבתוספת? ברשות הוועדה, כי נמשיך רגע לדרישות הנוספות.
היו"ר שמחה רוטמן
נמשיך לדרישות הנוספות. אני אומר שאת 7 נוריד, 8 נמשיך.
ראובן אידלמן
אוקיי, הסיבה שזה מוגדר, קודם כל זה בנוי בצורה של תוספת, זה בגלל שיש הפנייה לתקנות אבטחת מידע, מחקיקה ראשית אי אפשר להפנות לתקנות, זה עניין טכני.

הדרישות שמופיעות כאן זה להעביר לנו דברים שממילא בעל המאגר מחויב לעשות.
היו"ר שמחה רוטמן
מסמך הגדרות המאגר – סבבה.
ראובן אידלסון
אין כאן שום דרישה רגולטורית חדשה.
היו"ר שמחה רוטמן
שנייה, שנייה.
ראובן אידלמן
לא, מסמך הגדרות מאגר יש חובה לעשות. הבחינה לפי תקנה 2(ג), היא חובה לבדוק אחת לשנה האם אין מידע עודף במאגר. זו חובה שקיימת היום בתקנות.
היו"ר שמחה רוטמן
אבל מי אמר שהמידע קיים שנה?
עמרי רחום טוויג
כן, היא עוד לא קיימת.
היו"ר שמחה רוטמן
איך אני יכול ליידע אותך אם לא הייתה חובה?
ראובן אידלמן
- - - אם לא הייתה חובה - - -
קריאות
- - -
היו"ר שמחה רוטמן
חברים, שנייה.
ראובן אידלמן
אנחנו לא מוסיפים חובה.
היו"ר שמחה רוטמן
רק רגע. היום, המסמכים האלו – אני צריך למסור אותם לרשות כל הזמן?
ראובן אידלמן
לא. יש חובה לערוך אותם ולהחזיק אותם - - -
היו"ר שמחה רוטמן
אני מבין. האם עכשיו שעברנו לחובת יידוע, אתם אמורים לקבל מהמאגרים הרשומים האלו, כל פעם שאני עורך בחינה לפי תקנת 2 (ג) לתקנות?
ראובן אידלמן
לא, רק פעם אחת.
היו"ר שמחה רוטמן
קודם כל זה לא רשום עכשיו. כרגע מה שרשום זה שבשנייה שהורדנו את חובת הרישום מאגר, הוספנו חובת יידוע, ואתם תטבעו בניירת של מסמכי בחינות אחרונות כל פעם שנערכת בחינה אתם אמורים לקבל עותק שלה.
רחל ארידור הרשקוביץ
אבקש לחשוב על היבטי הגנת הסייבר, ברגע שהדברים האלה יתחילו להישלח לרשות, אלה דברים שיש בהם חולשות ברורות של מאגרים שלא כדאי שהם יסתובבו כך ברמה גבוהה.
קריאה
במקרה שיסתובבו - - -
היו"ר שמחה רוטמן
ודאי שמסתובבים.
רחל ארידור הרשקוביץ
- - - אני לא יודעת כמה - - -
היו"ר שמחה רוטמן
בוודאי שהם מסתובבים. קודם כל כרגע זה מנוסח שכל פעם חובת הרישום מתחדשת והיא לא חד פעמית בהקמת המאגר. אבל ממילא אם זה חד פעמי בהקמת המאגר, כשהקמתי מאגר, עוד אין לי בחינה אחרונה לפי 2(ג) לתקנות. כי אני לא - - -
ראובן אידלמן
אדוני, זה לא בהכרח בהקמת המאגר. זה יכול להיות - - -
היו"ר שמחה רוטמן
מתי אני אמור ליידע אתכם?
ראובן אידלמן
קודם כל זאת חובה שאם זה יעבור ככה, אז החובה תחול על הרבה מאגרים קיימים – פעם ראשונה. פעם שנייה, כשמאגר מגיע אולי ל-100,000, זה אולי התסריט היותר צפוי. זה לא מאגר חדש.
היו"ר שמחה רוטמן
אני רוצה להקים מחר בבוקר מאגר שיאגור מידע על 500,000 איש. מחר בבוקר הוא מתחיל לפעול. מאיפה יש לי את ה-500,000? קל מאוד, אני עושה scraping על 500,000 איש מחר, ומיד מתחיל לעבד את זה. אין לי בעיה להשיג את המידע. המידע יושג בקלות ממקורות גלויים, אוקיי?

מסמך הגדרות מאגר, אני צריך לעצמי, בסדר גמור, אין בעיה, בהנחה שאני מעביר אותו אליכם וזה טוב שאני מעביר אותו אליכם. בעניין של סייבר וכולי, צריך להתווכח ולדון – בואו נניח שזה בסדר שאני מעביר אותו אליכם בפעם הראשונה.
דלית בן ישראל
הגדרות אין בעיה.
היו"ר שמחה רוטמן
שנייה. אני חייב לומר לכם שגם למסמך הגדרות מאגר יש בעיית סייבר. היא לא כל כך גדולה, אבל כשאתה יודע מי הם המורשים, אתה יכול לעשות עליהם את ההנדוס לאחור ולדעת את האנשים, מה השם של הכלב שלהם לפי זה ולמצוא את הסיסמה.
דלית בן ישראל
לא רק זה, כי יש שם רובריקה שצריך לפרט את הסיכונים בתוך מסמך הודעות מאגר. וזה לא משהו - - -
היו"ר שמחה רוטמן
תיקונים ואופן התמודדות. גם נכון.
דלית בן ישראל
וזה לא משהו שהיום מפתחים במאגר.
היו"ר שמחה רוטמן
אז אני אומר: רק רגע, בואו נניח שאת הבעיה של מסמך ההגדרות, ירדנו, או שנבוא ונגיד: פריטים מסוימים מתוך מסמך ההגדרות. בוא נניח שעליו התגברנו. ממצאי הבחינה האחרונה – זו ודאי בעיה, ושוב – גם היא לא קיימת, עוד לא קיים שנה, לא עשיתי שום בחינה. להפך, אתה לא רוצה שבן אדם יחכה שנה עד שהוא יירשם לך.
ראובן אידלמן
אם היא לא קיימת, אין צורך להעביר.
אייל שגיא
זה מעודד להגיש בקשה על היום הראשון.
היו"ר שמחה רוטמן
על היום הראשון. ואנחנו רוצים שאנשים ייגשו ביום הראשון, זה מצוין.
ראובן אידלמן
ובוודאי שמקרה רגיל לא - - -
היו"ר שמחה רוטמן
רק רגע. סקר הסיכונים – כנ"ל. תוצאות מבדקי חדירות האחרונים – כנ"ל אותו דבר, פירוש שכשאני מקים מחר את המאגר, אין לי עוד סקר סיכונים אחרון.
ראובן אידלמן
אבל יש חובה לערוך.
עמרי רחום טוויג
אבל החובה היא אחת ל-18 חודשים, כן?
היו"ר שמחה רוטמן
מתי? אבל אני רשמתי, עכשיו אין לי. דיווחתי, עכשיו אין לי. ביום הראשון להקמת המאגר דיווחתי, לא עשיתי סקר סיכונים, נכון? אני לא אמור לעשות סקר סיכונים על היום הראשון.
ניר גרסון
לא, אתה אמור לעשות בסמוך להתחלת - - -
עמרי רחום טוויג
איפה זה כתוב?
ראובן אידלמן
זאת הפרשנות של הרשות את תקנה 5(ג) לתקנות אבטחת מידע. כתוב שכשבמאגר שהוא ברמת אבטחה גבוה – וכל המאגרים שאנחנו מדברים עליהם כאן הם נכנסים לקטגוריה הזאת, כי זה רק מאגרים בעלי מידע ורגישות מיוחדת ומעל 100,000 – בעל המאגר אחראי - - - ההנחה היא שצריך לעשות את זה בהתחלה. בוודאי לא אחרי שנה.
היו"ר שמחה רוטמן
סליחה, ממש לא.
ראובן אידלמן
זו עמדתנו.
היו"ר שמחה רוטמן
כתוב בתקנות: אחת ל-18 חודשים לפחות. להפך, לא יכול להיות שאכין מסמך הגדרות, כל הפרשנות הפשוטה של הסעיף הזה, זה שאני מכין מסמך הגדרות ואז בסקר הסיכונים אני בודק אם אני צריך לעדכן את מסמך ההגדרות. אז אם אני אעשה את שניהם ביום הראשון, אז אני אעדכן את מסמך ההגדרות. אז אעשה את שניהם ביום הראשון, אז לא אעדכן את מסמך ההגדרות על בסיס סקר סיכונים.
ניר גרסון
לא, בסקר סיכונים הבא.
היו"ר שמחה רוטמן
זאת אומרת שאני לא עושה סקר סיכונים ביום הראשון להקמת המאגר. ביום הראשון להקמת המאגר אני רשמתי לך איזה סיכונים אני חושב שיש ומהם דרכי ההתמודדות שלי איתם. אחרי 18 חודשים אעשה סקר סיכונים או אחרי 12 חודשים. אותו דבר תוצאות מבדקי חדירות האחרונים שנערכו לפי תקנה 5(ד) לתקנות ככל שחלה חובה לעורכם. עוד לא דיברתי על סכנות הסייבר שהדבר הזה מייצר. אני אומר ולו ברמה שאני רושם בתקנות ובתוספת שתגיש מסמכים לא קיימים, שזה קצת בעיה. ולהפך, אני מייצר סיטואציה שבה בן אדם יגיד: אוקיי, אז עד שאני לא עושה סקר סיכונים, 18 חודשים אחרי הקמת המאגר, אני גם לא אדווח לכם כי אין לי מה לדווח, אז אני מחכה. וכשתשאלו אותו למה הוא לא דיווח, הוא יגיד: כי כתבתן שאני צריך להגיש סקר סיכונים, ואין לי עוד סקר סיכונים, סקר סיכונים יהיה לי רק בעוד 18 חודשים ואז אגיש לכם ואז גם אדווח לכם ואז אהיה בסדר גמור. כי אתם לא רוצים לייצר חובת רישום מתמשכת. בקיצור, אתם דורשים פה מאנשים לדווח על משהו לא קיים, שהדיווח עצמו מייצר סיכוני אבטחה רציניים. ואיסוף המידע הזה מייצר סיכוני אבטחה אצלכם. ואני לא מצליח להבין איך מצמצום חובת הרישום, רשמנו בפנינו את חובת הצמצום.
ניר גרסון
אדוני, בוא נתחיל מהסוף – לגבי סיכוני סייבר שיש בעצם הדיווח לנו, יכולים להיות, זאת המומחיות שלנו, וזה גם לא משהו שממציאים. בעולם ב-GDPR החקיקה הדומה היא חובת היוועצות עם רשויות. חובת היוועצות אחרי עריכת תסקיר. היא כוללת משלוח תסקיר שכולל את סקר הסיכונים לרשויות.
ענר רבינוביץ
זו רשות מאוד מצומצמת, במקרים מאוד מצומצמים, עוד יותר מצומצמים מהמקרים שבהם חובה לערוך DPIA. כלומר זה קיים.
ניר גרסון
ורשויות כמונו יודעות איך להתמודד עם סיכונים. זאת המומחיות שלנו.
ענר רבינוביץ
אז הליך פרה-רולינג שאני חושב שלזה חובת ההיוועצות או רשות ההיוועצות מכוונת - - -
ניר גרסון
אנחנו לא מדברים על פרה רולינג עכשיו.
ענר רבינוביץ
נכון, אבל זה מה שקיים בחקיקות שאתה מפנה אליהם.
ניר גרסון
בכל מקרה זה רק לעניין סיכוני סקר שנעשה באמצע הדיווח, זה מקובל בעולם בהיקף - - -
היו"ר שמחה רוטמן
עורך הדין גרסון, עוד לא התחלתי לקרוא את סעיף ב'. סעיף ב' אומר שכאשר אני רוצה לעשות את זה על מאגר מידע חדש או רגישות מיוחדת על אודות 500,000 אני צריך להעביר את זה 45 ימים לפני תחילת עיבוד המידע במאגר, שזה בכלל נפלא.
ענר רבינוביץ
וגם אם אתה מחזיק, לא רק - - -
היו"ר שמחה רוטמן
זה עזוב, זה החלק היותר פשוט. בקיצור, חברים, למעגל אין קצה. אי אפשר. אתם מבקשים מידע לא קיים 45 יום לפני שהוא בכלל לא קיים. יש פה מומחה אבטחת פרטיות, נכון? מישהו שילמד אותי איך עושים במאגר מידע חדש, כי מילא מאגר מידע שאתה אומר שעולה מ-400 ל-500, אני מבין, אבל במאגר מידע חדש, איך אני עושה מבדקי חדירות וסקר סיכונים, 45 יום לפני שאחסנתי את המידע במאגר או - - -
ראובן אידלסון
ככתוב "ככל שחלה חובה לערוך". זה ברור ש-45 יום לפני עוד לא חלה החובה לערוך. לכן זה כתוב.
היו"ר שמחה רוטמן
אבל כתוב שצריך למסור לכם את זה 45 יום לפני תחילת העיבוד. עיבוד זה גם אחסון.
ראובן אידלמן
לא, אבל לגבי סקר סיכונים ומבדקי חדירות, אתה תראה שכתוב "ככל שחלה חובה לערוך".
היו"ר שמחה רוטמן
וממצאי בחינה אחרונה?
ראובן אידלמן
אז לא הייתה בחינה.
היו"ר שמחה רוטמן
אבל אתם דורשים שאביא לכם את זה 45 יום קודם.
ראובן אידלמן
אדוני, המקרה הרגיל הוא לא יהיה המקרה הזה.
היו"ר שמחה רוטמן
חברים, שורה תחתונה: לא יכול להיות. לא יכול להיות. המטרה שלנו פה, אני נותן לציבור, לנו, את ההקלה הרגולטורית שנדרשת ואת המעבר לעולם של יידוע במקום רישוי למעשה. דרישות היידוע שאתם מבקשים הם חמורות בהרבה מדרישות הרישוי שביקשתם. לא שאני כזה מבין, יש פה מבינים יותר גדולים ממני, אבל אני לא חושב שיש להם אח ורע בעולם.
ניר גרסון
יש אדוני, אפשר לפרט. חובת ההתייעצות - - -
עמית יוסוב עמיר
אבל היא חלה על כל השוק. נו, באמת.
היו"ר שמחה רוטמן
אבל אתה אומר עכשיו על כל מי שמחזיק מאגר מידע, כל מי שמחזיק מידע בעל רגישות מיוחדת שזה פחות או יותר הכול, מעל 100,000 איש. זה כל השוק. אלה דרישות גדולות מאוד מאוד מאוד.
ניר גרסון
וסליחה אדוני, באירופה יש הרי את כל מה שאין אצלנו – לא עקרונות עיבוד, לא בסיסי, לא סמכות - - -
עמית יוסוב עמיר
הלוואי, הלוואי תביאו עדכון - - -
היו"ר שמחה רוטמן
אתה פותח דלת פרוצה.
גלעד סממה
אני לא מסכים שזה חל על כל השוק. כשאנחנו מדברים על רגישות מיוחדת פלוס 100,000 ומעלה, אנחנו מבינים את הכיוון שאדוני מעוניין בו. אנחנו מבינים על הפרטים של 1 עד 8, למעט 7, והפרטים האחרים בסימן שאלה. הבנו.
היו"ר שמחה רוטמן
אתם תעשו את שיעורי הבית שלכם. אני רק אומר שאת עותק מסמך הגדרות המאגר, אני עוד מבין.
ראובן אידלמן
יש עידכוני אבטחה.
היו"ר שמחה רוטמן
יש בזה סיכונים, אבל יכול להיות שאפשר לתת לזה איזשהו מענה. שאר הדברים - - - חברים, אתם תטבעו במידע. באתם לדבר על מיקוד וכולי, אתם תטבעו במידע. במסגרת הפרטים הנוספים, תבקשו מה שאתם רוצים. תשלחו פקח שיסתכל על מה שהוא רוצה.
דן אור-חוף
עוד נקודה ספציפית, זה לגבי סעיף 2 ברשימה של סוג השירות המחזיק במאגר. זה כמובן לקוח עוד מהדין - - -
היו"ר שמחה רוטמן
איפה אנחנו?
דן אור-חוף
פרט (א2), סוג השירות שנותן המחזיק במאגר לבעל השליטה בו. זה סעיף שלקוח מן הסתם מהחוק הקיים והוא נכון ל - - -
ניר גרסון
סליחה דן שאני קוטע, זה התכוונו מבקשת הרישום, פרטי הבקשה, זה התיקון לחוק. למחוק את זהות המחזיק בבקשות רישום. תראה, זה בסעיף - - -
דן אור-חוף
אבל גם בחובת יידוע אין לזה צורך.
ניר גרסון
ואת שמות המחזיק, הבנו שיש קושי למחוק, אבל של איזה שירותים של המחזיקים. אפשר לשנות את זה לזה ל"המחזיקים" ולא "המחזיק".
היו"ר שמחה רוטמן
איזה פעולות עיבוד אתה מבצע בעצמך ואיזה באמצעות אחר, זו הנקודה?
ניר גרסון
פה יותר חשוב סוג פעולה. זו הקלה, דן.
היו"ר שמחה רוטמן
שנייה, בכל מקרה חשוב לי מאוד להבהיר את נושא הזמנים פה. כי אם אנחנו מייצרים פה חובת יידוע, יש פה, צריך לדעת אחת לכמה זמן. אז להגיד פעם רישום, אתה עושה פעם אחת, ואז כל פעם שיש שינוי אתה חייב לעדכן. ככה עובד רישום בדרך כלל. יידוע, אתה מיידע פעם אחת, ואז מה? ומאחר והדברים האלו לפעמים יכולים להיות דינאמיים במהלך חיי מאגר, עד עכשיו אני עשיתי את זה בעצמי, עכשיו החלטתי להעביר את זה למחזיק. עד עכשיו החלטתי שאני לא מעביר אל מחוץ למדינה, פתאום אני מחליט שאני מעביר אל מחוץ למדינה. צריך כאן לייצר איזשהו מנגנון, שוב, לשיעורי הבית שלכם, כששינוי מהותי צריך ליידע. צריך לתת לזה איזשהו מענה, אחרת אנחנו - - -

קיבלתם את הערותיי, תחשבו עליהם ותגידו מה אתם רוצים. לגבי ג', ראש הרשות רשאי – על א' ו-ב', שמעתם את הערות הוועדה. ועכשיו לעניין ג' – ראש הרשות רשאי מטעמים מיוחדים שרשומים לפטור בעל - - - מאגר מחובת דיווח לפי סעיפים קטנים א' ו-ב'. למה? מתי אתם חושבים שתצטרכו את זה?
רחל ארידור הרשקוביץ
איך הוא יידע את מי לפטור?
עמרי רחום טוויג
לפני שהוא קיבל דיווח.
רחל ארידור הרשקוביץ
הוא לא יודע עליהם, איך הוא ידע לפטור אותם.
היו"ר שמחה רוטמן
לא, אם אנחנו מדברים על דיווח במובן של "תעדכן כל פעם", אז זה ודאי רלוונטי. אם אנחנו מדברים על הדיווח הראשוני, באמת איך יודעים בלי לדעת?
ניר גרסון
אדוני, הסעיף הזה מיועד לאפשר לנו את הגמישות להקל על סוג - - -
היו"ר שמחה רוטמן
כלומר, אתם תוכלו להוציא אחר כך – אבל זה לא מטעמים מיוחדים של ראש מורשה, את מקל, אתה מפרסם הנחייה לשוק, אתה אומר: נניח שאתם תגיעו למסקנה אחרי שנתיים שאתם חושבים שהמספר צריך לא להיות 100,000 אלא 500,000 או 300,000.
רחל ארידור הרשקוביץ
אז איפה זה? זו החלטה לצמצם את חובת הדיווח.
היו"ר שמחה רוטמן
אבל אתה לא יכול לתת פטור מטעמים מיוחדים שיירשמו מדיווח כשאתה לא יודע שבן אדם קיים.
ניר גרסון
הכוונה היא, אם זה סוג, עמית יוכל להרחיב. זה לא - - - נמצא בסמכות הרשם, ראש הרשות. אבל גם אין לי דוגמה, האמת, אין לנו דוגמה כרגע, זה נועד לאפשר לנו את הגמישות. אתה יכול לדעת שהוא קיים בלי הדיווח המלא, אלא רק פונים ופונה בעל המאגר ומעדכן עדכון הרבה יותר קצר ומשכנע אותנו שאין צורך בדיווח. זה נועד לאפשר לנו גמישות. אם אדוני חושב שאין לזה מקום – זה רק נועד להקל על השוק, שבאמת זה לא - - -
היו"ר שמחה רוטמן
הייתי מוכן לחשוב שיושב-ראש הרשות רשאי בהנחיות לקבוע כי סוגי מאגרי מידע מיוחדים לא יהיו חייבים בדיווח. נניח שאתם תחליטו שמידע פלילי לא צריך דיווח או שתחליטו שמידע פלילי המידע הוא 300,000.
עמית יוסוב עמיר
אדוני, יש פה קושי.
היו"ר שמחה רוטמן
סוגים מסוימים, פטורים מסוגים, אני יכול להבין. אבל פטור פרטני מטעמים מיוחדים שיירשמו, איך תעשו את זה?
עמית יוסוב עמיר
הקושי שפטור מסוגים למעשה זה סוג של חקיקת משנה שמתנה לחקיקה - - -
היו"ר שמחה רוטמן
אם אני נותן לכם את הסמכות לזה, אז הכול בסדר, אם אני לא נותן לכם את הסמכות לזה, אז אני לא. אני לא נותן לכם את אפשרות להחמיר. אני נותן לכם אפשרות להקל על השוק אם הגעתי למסקנה שיצטברו עליכם המון דיווחים, נפרץ הסכר ופתאום אתם רואים שאתם מקבלים מיליון דיווחים שבכלל לא חשבתם שאתם צריכים לקבל, ואין לכם מה לעשות איתם והם לא מעניינים אתכם, ואתם אומרים: יאללה חבר'ה, אנחנו רוצים להודיע לכם שאם אתם מוסד פיננסי, תעזבו אותי ב"אימא שלכם", סומך מספיר על זה שאתם מפוקחים על ידי המפקח על הבנקים, לא רוצה לקבל את המידע שלכם. תעזבו אותי. וואלה בסדר. אז אני רוצה לתת לכם את הסמכות להוריד את הרגולציה הזאת, שלא ידווחו לכם פעמיים, שלא ישגעו אתכם, שלא תצטרכו להתעסק עם דיווחים מיותרים, שלא תטבעו – מוכן לתת לכם את זה. שוב, אני מבחינתי, הסיבה היחידה שאני מכניס פה חובת דיווח זה כי אתם ביקשתם. הייתם אומרים לי גם בלי דיווח, אני לא הייתי מתעקש על הדיווח הזה.

אני מוכן לתת לכם את האפשרות לפטור סוגים. לפרסם ברשומות את הפטור, כדי שזה לא יהיה מפה לאוזן. לקבוע בכללים, השר. תחשבו על מנגנון, אני מבין את זה. אבל טעמים מיוחדים שיירשמו? אני לא חושב שצריך שר. אני חושב שאם אני מסמיך, ראש הרשות רשאי לפרסם סוגים מסוימים, פטורי סוג כאלו. אני מוכן לתת לכם את זה. אבל - - -
ראובן אידלמן
אנחנו לא מתנגדים לוותר על הסעיף הזה. המטרה הייתה שתהיה אפשרות להקל. אבל אם הוועדה סבורה שלא - - -
היו"ר שמחה רוטמן
אני בעד שתקלו לסוגים ולא לפרטני, כי להקל פרטני אתם לא יכולים. אני חושב שאתם יכולים להקל פרטנית - - -
ראובן אידלמן
בחוזר.
היו"ר שמחה רוטמן
כן, בדיווחים החוזרים, כשתצטרכו לנסח סעיף לחוזר ולזה תייצרו פטור. כאילו: אוקיי, נרשמת, דיווחת – אל תשגע אותי יותר.

אמרתי שאם יש שינוי מהותי בזה - - -
נעמה מנחמי
יש כבר סעיף דומה בהקשר של - - -
היו"ר שמחה רוטמן
אם הוא מעביר לעיבוד. אני יודע מהמאגר שאתה מחזיק. עכשיו כל פעם שתפעיל עיבוד חדש, אתה צריך לדווח לי? לא, לא צריך לדווח, לא יודע. אבל הם עוד לא ניסחו את הסעיף הזה, אי אפשר להתווכח עליו.
נעמה מנחמי
בסעיף 9(ד), יש סעיף דומה, לגבי רישום שבו "בעל שליטה במאגר מידע ומחזיק, יודיע לראש הרשות על כל שינוי בפרט מהפרטים המפורטים בסעיף קטן ב' ולפי סעיף קטן ג', ועל הפסקת פעולתו של מאגר המידע הזה".
עמרי רחום טוויג
זה לרישום, וזה מכביד בהתאם. לא ברור למה צריך את זה לגבי יידוע.
גלעד סממה
בסדר, נעשה את ההתאמות לגבי - - -
עמרי רחום טוויג
סליחה, לגבי היידוע השוטף, הרעיון ביידוע – למרות שאפשר היה לוותר לחלוטין גם על יידוע – היה לתת איזשהו מפתן, לסמן סט של בעלי שליטה במאגרים שהרשות אולי יש לה עניין מיוחד בהם. היא כבר נמצאת אצלם. אז למה צריך להמשיך לעדכן את זה?
היו"ר שמחה רוטמן
יכול להיות מצב, נניח שאם אתה עושה את כל העיבוד אצלך, אתה מעורר אצלי רמת סיכון איקס, אוקיי? ואם אתה עכשיו החלטת שאתה מתחיל לעשות מיקור חוץ לכל פעולות העיבוד ל-15 גופים - - -
עמרי רחום טוויג
אני מבין, אבל הרי אמרנו שלא מפרטים את מספר הגופים.
היו"ר שמחה רוטמן
לא, ל-15, בכלל, החוצה. ולדוגמה אתה מעורר רמת סיכון זד, אני לא יודע את הכול, אבל אם החלטנו – שוב, עוד לא עברנו על הפרטים מה מדווחים ומה לא כי הם אמרו שהם יעשו על זה שיעורי בית ואנחנו נדון בזה בהמשך, לכן חבל שנדון בזה עכשיו תיאורטית.

אני אומר כעניין עקרוני, עד עכשיו אתה החזקת מידע מסוג מסוים והחלטת להתרחב ולהחזיק עכשיו מידע גנטי – אז אני רוצה לדעת את זה. זה שאתה דיווחת לי פעם על מאגר, לא נותן לך עכשיו שאתה פועל בסדר.
עמרי רחום טוויג
אני מבין את זה נכון, אני רק אומר שמכיוון שהכוונה הייתה להקל רגולטורית על השוק ולא לחייב כל שלושה אלא גופים מסחריים משנים כל מיני דברים בעיבוד - - -
היו"ר שמחה רוטמן
לכן אני אמרתי כבר - - -
ראובן אידלמן
זה בהחלט יכול לקרות.
גלעד סממה
השאלה היא לא אם זה קורה, אלא כמה זה קורה. זה לא קורה המון.
היו"ר שמחה רוטמן
גלעד, לכן אמרתי – כי אני לא רוצה שנדון בדבר הזה חמש פעמים, נדון בזה אחרי שהרשות תכין על זה שיעורי בית – שיהיה צריך לייצר איזשהו רף מהותי מסוים ששינוי מעליו צריך דיווח חדש. וזה כדי לא להפוך את זה מצד אחד לדיווח איטי, ולא שכל דבר - - - מצד שני, זה הם ייצרו את הרף, ואנחנו נדבר עליו כשיהיה לנו טקסט להתייחס אליו. הכול בסדר.

כן הייתי רוצה שיהיה לכם את האפשרות לעשות "פטור סוג", תתייחסו לזה, ומדיווחי המשך. "השר רשאי לקבוע הוראות לעניין אופי הדיווח - - - " – בסדר, זה לא.
נעמה מנחמי
אם זה השר, אז אולי גם ועדת חוקה. ודבר שני, אני רוצה להתייחס לזה ש - - -
היו"ר שמחה רוטמן
מה, הוראות על אופן הדיווח? אם שולחים בדוא"ל או בדבר אחר?
נעמה מנחמי
אני חושבת שהחיים לימדו אותנו שזה מאוד - - -
לירון מאוטנר לוגסי
אנחנו חושבים שאופן הדיווח זה יחסית דבר יותר טכני. לכן זה היה נראה לי פחות מהותי לאישור הבקשה.
נעמה מנחמי
נחשוב על זה.
היו"ר שמחה רוטמן
אז אולי זה לא צריך להיות השר גם. אם זה באמת טופס, אז השאלה היא האם זה טופס מחייב או טופס לא מחייב, יש לזה כללים.
עמית יוסוב עמיר
ברגע שמדובר בהוראה שמחייבת ציבור בלתי מסוים, תקנה בעלת פועל תחיקתי ולכן מקובל - - -
היו"ר שמחה רוטמן
בסדר, אנחנו נדון בזה, נראה מה אתם רוצים שם.
נעמה מנחמי
אני מציעה לחשוב על איך אנחנו עושים את זה כסעיף אחד ולא הופכים את זה, כלומר, נכנסים דרך (ג1) שנמצא שם ולא כותבים עכשיו עמוד וחצי מיוחדים לדיווח. אנחנו קצת מאבדים טיפה את - - -
היו"ר שמחה רוטמן
עמוד וחצי זה בתוספת, סיכום דיווח עצמו הוא פה.
נעמה מנחמי
כן, אבל זה אותו דיווח.
היו"ר שמחה רוטמן
איפה חובת הרישום מופיעה? היא גם הייתה באותו - - -
נעמה מנחמי
(ג) היא חובת הרישום, ו-(ג1) זה חובת הדיווח שהיא מגיעה מיד אחרי (ג), היא אמורה לפחות לעסוק באותם פריטים. גם אם יש שינוי - - -
היו"ר שמחה רוטמן
טוב, זה ניסוחי.
נעמה מנחמי
כדאי להיכנס ל-(ג1), ולא להתחיל עכשיו לכתוב את הכול מחדש.
היו"ר שמחה רוטמן
טוב, (ה): "הממונה רשאי מטעמים מיוחדים שיירשמו להורות כי מאגר מסוים שלא חל עליו חובת רישום יהיה חייב ברישום".
ראובן אידלסון
בעצם זה סעיף שקיים גם בחוק הקיים והוא גם קיים בהצעת החוק הממשלתית, לא חידשנו בעניין הזה. שוב, כאן המטרה היא שבעצם אנחנו מקבלים במסגרת חובת היידוע מידע על מאגר שנניח מצריך תשומת לב מיוחדת, כדי שלא נהיה חייבים לנקוט תהליך אכיפה, מה שהוא לא בהכרח לטובת אותו בעל מאגר, נוכל גם לבוא ולהגיד: זה מאגר מיוחד שהוא מצריך - - -
היו"ר שמחה רוטמן
כמובן שאנחנו כדי שלא נייצר פעולת אכיפה, נייצר פעולת אכיפה.
עמרי רחום טוויג
מה יעזור הרישום בהקשר הזה? המידע כבר אצלכם.
ראובן אידלסון
מוגשת בקשת רישום ואז - - -
היו"ר שמחה רוטמן
לא, לא מוגשת בקשת רישום, מוגש דיווח.
ראובן אידלמן
אני מבין, השאלה מה תועיל ההוראה על כך שזה מצריך רישום. כיוון שהשלב הבא יהיה בקשת רישום ואז במסגרת בקשת הרישום, הרשות יכולה כפי שהיא עושה היום להנחות את הגוף מה הוא יכול לעשות כדי לקיים את הוראות החוק בלי שזה יהיה הליך אכיפה.
היו"ר שמחה רוטמן
אבל זה ה"אמ-אמא" של הליך האכיפה. אתם אומרים לו שאסור לו להחזיק את המאגר עד שהוא מקבל מכם אישור – מה יותר אכיפה מזה? אני לא מכיר משהו שהוא יותר אכיפתי מזה, זה הכי אכיפה שיש. ואיך זה שונה מסעיף 4 אז הקודם שהיה לנו?
ראובן אידלמן
הליך רישום הוא הליך - - -
היו"ר שמחה רוטמן
רק רגע, מה ההבדל בין מה שרציתם בסעיף 4 שאומר: מצאתי, שלחת לי הודעת דיווח, ואני ראש הרשות. מצאתי שאדם מעבד מידע במאגר מידע בניגוד להוראות הסעיף, ואני מודיע לך שמעשיך מהווים הפרה ואני מורה לך להפסיק את הפרה. אתה בעצם אומר לו: לא מצאתי, אבל אני מורה לך להפסיק את ההפרה כי לא מצאתי. כי אני לא רוצה לנקוט נגדך הליך אכיפה, אז אני נוקט נגדך הליך אכיפה שאסור לך להחזיק את המאגר.
</