פרוטוקול של ישיבת ועדה


הכנסת



143
ועדת החוקה, חוק ומשפט
09/01/2024

הכנסת העשרים-וחמש

הכנסת



22
ועדת החוקה, חוק ומשפט
09/01/2024


מושב שני



פרוטוקול מס' 223
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, כ"ח בטבת התשפ"ד (09 בינואר 2024), שעה 9:34

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022

חברי הוועדה: שמחה רוטמן – היו"ר

אחמד טיבי

גלעד סממה - עו"ד, מנהל הרשות להגנת הפרטיות, משרד המשפטים

ראובן אידלמן - עו"ד, מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות

ניר גרסון - עו"ד, סגן מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות

רביד פטל - הממונה על מערך פיקוח הרוחב, הרשות להגנת הפרטיות

לינא כמאל טרודי - עו"ד, הממונה על האכיפה המינהלית, הרשות להגנת הפרטיות

עמית יוסוב עמיר - עו"ד, מחלקת ייעוץ וחקיקה, משרד המשפטים

לירון מאוטנר לוגסי - עו"ד, מחלקת ייעוץ וחקיקה, משרד המשפטים

שירה גרטנברג - עו"ד, ייעוץ וחקיקה, משרד המשפטים

דן אור-חוף - עו"ד, חבר המועצה, המועצה הציבורית להגנת הפרטיות

אסף הראל - עו"ד, חבר המועצה, המועצה הציבורית להגנת הפרטיות

יורם ביטון - מנהל אבטחת מידע, סייבר והגנת הפרטיות, המוסד לביטוח לאומי

צחי שלום - ראש מינהל טכנולוגיות דיגיטליות ומידע, מרכז השלטון המקומי

מירה סלומון - עו"ד, ראש מינהל משפט וכנסת, מרכז השלטון המקומי

לירון בנדק - עו"ד, יועמ"ש נשיאות המגזר העסקי, סמנכ״ל רגולציה

שחף קצלניק - עו"ד, יועץ משפטי, התאחדות התעשיינים

יעקב עוז - יו"ר ועדת הסייבר והגנת הפרטיות, להב - לשכת ארגוני העצמאים והעסקים

רחל ארידור הרשקוביץ - ד"ר, חוקרת, המכון הישראלי לדמוקרטיה

נועה דיאמונד - עו"ד, מנחת הקליניקה לפרטיות, אוניברסיטאות ומוסדות אקדמיים

יסכה בינה - עו"ד, התנועה למשילות ודמוקרטיה

ד"ר עמרי רחום טוויג - עו"ד, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל

ליאור אתגר - עו"ד, משרד EBN & Co

אלן יוסף - עו"ד, משרד AOI

דלית בן-ישראל - עו"ד, משרד נשיץ ברנדס אמיר ושות'.

ענר רבינוביץ׳ - מנכ״ל, PRIVACY TEAM

איה מרקביץ - עו"ד, PRIVACY TEAM

אייל שגיא - עו"ד, משרד AYR - עמר רייטר ז'אן שוכטוביץ ושות'

יעקב ספיר - עו"ד, אבטחת מידע

ישי יודקביץ - עו"ד, ממונה משפטי לחקיקה ביועמ"ש, משרד הביטחון

אפרת סוקולובר - פרויקטורית במחלקת אכיפה, הרשות להגנת הפרטיות

מירב ולדמן - עו"ד, יועצת משפטית, איגוד לשכות המסחר

יוגב עזרא - חבר ועד מנהל, העמותה למלחמה בספאם

ענת אור-חוף - Or-Hof Law Firm

יונת מנה - עו"ד, יועצת משפטית, גוגל ישראל

הילה היבש - עו"ד, ייעוץ משפטי, קשרי ממשל ואחריות חברתית, מיקרוסופט ישראל

נעמה מנחמי
אביה קירשנבוים לייבנר

אלירן כהן

אבירן יחזקאל

ויקטור ינין
אורי פנסירר


רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.


הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496

בוקר טוב. לצערי, אנחנו פותחים את היום הזה בצער, עם הודעה קשה ששמענו על סמל רועי טל, על רב סמל דוד שוורץ, רב סמל יקיר הכסטר ורב סמל גבריאל בלום, ששמענו עליהם ועל נפילתם הבוקר. אנחנו כמובן משתתפים בצער המשפחות ומאחלים החלמה לפצועים, מקווים שלא נצטרך להתעורר לבקרים כאלו ומשפחות לא יאבדו את יקיריהן, יקירינו, יקירי האומה כולה שמוסרים את נפשם למען זה שנוכל לשבת פה ולהתעסק בדברים שהם כמובן חשובים.

כמו בפתיחת כל ישיבה, אני מזכיר שלמרות שהכותרת של הדיון פה איננה כוללת את המילים "חרבות ברזל", אנחנו מנהלים את הדיון הזה לבקשת המל"ל. זה להבנה של החשיבות של קיום הדיונים האלו גם בתקופת הלחימה. ועדיין, המעבר הזה הוא קשה, המעבר הזה של לפתוח בוקר בידיעה שכזו ולצלול לתוך פרטי פרטים של סעיפי חוק שלא מתחברים למציאות הקשה שאנחנו שרויים בה.

אנחנו מקווים מאוד שהמציאות תשתנה, תשונה, בהתאם ובהקדם, על ידי חיילינו, מפקדינו הגיבורים, כדי שאת דיוני החקיקה בנושא הזה ובכל נושא אחר נקיים באווירה אחרת, בעזרת השם, בקרוב.

אנחנו בעניין חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022. גברתי היועצת המשפטית, את רוצה להזכיר איפה אנחנו נמצאים?

אנחנו סיימנו את הדיון הקודם בעיקר עם סיום הגדרות. התחלנו לדבר על חובת רישום. אבל נשארו עוד כמה הצעות לתיקונים סביב ההגדרות שאושרו או נדונו, חלק אושרו, חלק נדונו.

נעבור עליהן בזריזות, נגיד כמה מילים ובהתאם נמשיך. נעבור הגדרה-הגדרה. אנחנו עובדים בצמוד למסמך הכנה של הייעוץ המשפטי, מ-7 בינואר 2024, ותודה לנעמה על הכנתו.

על הגדרה (1) כבר עברנו, היא לא חדשה.

מה שמסומן בצהוב, הגדרה (5), בעניין הערכת אישיות. דיברנו על הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכות אישיות. התוספת שהוצעה:

"לעניין זה, "גורם מקצועי" – מי שכדרך עיסוק מחווה דעתו על אישיותו של אדם".

את רוצה להתייחס לזה, להערה זו?

גם לזה. היינו רוצים לחדד מעט את ההגדרה של גורם מקצועי. לדעתנו, היום הגורם המקצועי מעט רחב, להגביל את זה לאיזשהו תחום הכשרה. לדוגמה, גורם שבהתאם להכשרתו מחווה דעתו על אישיותו של אדם.

זאת אומרת, שזה יהיה קצת יותר חד ערכי.

זה קצת משונה שאנחנו דורשים רמה מסוימת של מקצועיות מאדם, ופחות מ-AI. כלומר, מה רמת המקצועיות של ה-AI? זה קצת קשור.

אני חייב לומר: הערכת אישיות – אני הייתי נותן פה הגדרה מהותית. אני לא כל-כך אוהב את ההגדרה הזאת מה זה הערכת אישיות ולא אכפת לי כל-כך מי מבצע אותה. אני לא כל-כך מקבל את האמירה. אני לא כל-כך יודע להגדיר מה זה גורם. יש פה הערה: מורה, מפקד בצבא, מנהל בעבודה – האם זה נחשב? לא נחשב? אינני יודע. אבל אין הגדרה מהותית של מה זה הערכת אישיות. האם מישהו שאומר עליי "הוא טיפש" – זאת הערכת אישיות? האם מישהו שאומר עליי "שתיקתו רועמת" – זאת הערכת אישיות? אני לא יודע. אני באמת לא יודע.

ולכן צריך להגדיר פה מה זה הערכת אישיות, איפה זה עובר. מה שעשינו, ניסינו לעקוף את זה דרך "הגורם". כלומר, אנחנו לא יודעים מה זה הערכת אישיות, אבל עם גורם מקצועי שכדרך עיסוק מחוות דעתו על אישיותו של אדם זה הופך את זה להערכת אישיות, בלי הגדרה מהותית. זה קצת קשה לי.

- - - שזו לא אמירה בעלמא, אלא שזה משהו יותר מקיף.

קודם כל, אני מזכיר שמידע על אישיותו של אדם היום מוגדר בחוק מידע רגיש. המטרה, גם במסגרת הצעת החוק וגם בדיונים פה בוועדה והקו הברור של הוועדה, היא לצמצם ולדייק.

לצד זאת, כמובן שהאמירה, באופן עקרוני, מהי אישיות של אדם, אכן היא אמירה עם עמימות מסוימת ואכן הכוונה היא לדייק את האמירה באמצעות הפנייה לגורם.

אני מבין מה התכוונתם לעשות.

בדיון האחרון אדוני ביקש לחדד את זהותו של אותו גורם מקצועי. עלו פה שאלות ותהיות לגבי השאלה - - -

אני לא בא בטענות על מה שעשיתם. אני רק אומר שבסופו של דבר אנחנו צריכים להסתכל על זה ככולל. אני מבין את הרצון להפנות לגורם מקצועי. בשנייה שנגיע לעולם ה-AI, אמצעי שמיועד לביצוע הערכות אישיות, שאלת המקצועיות שלו או לא מקצועיות שלא – מה זה, רמה מסוימת של אלגוריתם?

לא. אני אבהיר. המטרה פה היא לא לדון ברמת המקצועיות של המעריך, אלא בעובדה שיש לנו פה מסד נתונים מסודר.

שמיועד להערכות אישיות.

נכון.

אני קורא את החוק, בסופו של דבר צריך ליישם אותו. אני שמתי ברשת משחק סודוקו ושמתי עליו בוט של ה-AI שלפיו אני יודע שבן אדם שפותר את הסודוקו תוך x זמן הוא יותר אינטליגנט, מאשר בן אדם שפותר את הסודוקו תוך פחות זמן או בן אדם שמראש רואה סודוקו ובורח מזה ואני מבין מזה שהוא טמבל לגמרי. בסדר? לפי זה ה-AI מסווג את האנשים שעושים את הסודוקו.

זה נחשב? זה לא נחשב? אינטליגנציה זאת אישיות או מצב פסיכולוגי? אני לא יודע.

באופן עקרוני התשובה היא כן. זאת אומרת, אם ה-AI הזה אמור עכשיו למסד רישום של המשתמשים במשחק – הם נכנסו לשעשוע רגעי, למשחק הסודוקו, ועכשיו יושב - - -

יושב עליהם ה-AI ומסווג אותם לפי רמת אינטליגנציה.

נכון. לא אומרים שזה אסור.

אני לא טענתי שזה אסור או מותר. אני פשוט לא יודע אם אינטליגנציה זה חלק מהאישיות.

כן, אדוני, כן. אני חושב שהכוונה היא למאפיינים מרכזיים או משמעותיים.

ולכן אני אומר שכדאי אולי לתת רשימת מכולת, של אינטליגנציה, מצב רגשי וכדומה. אני פותח את זה, אני לא יודע. אני רק אומר שכרגע ההגדרה היא מאוד טאוטולוגית. אם אני הייתי גם הולך לכיוון של עורכת הדין אלן יוסף, אני לא יודע. השאלה אם הפנייה לגורם מקצועי סגור היא לא ארכאית קצת, כאשר אנחנו מכניסים פה גם את הגורם של ה-AI.

אני צריך לדעת בצורה יחסית בהירה, או בחקיקה או בהנחיות. כאשר אני מושיב AI לגלות מהירות תגובה או אינטליגנציה ברמה מסוימת, זה לא נחשב הערכת אישיות? אולי כן? אני לא יודע. וכשאני הולך לבדוק מצב רגשי, נפשי, אבל אל מול שמחה, לא יודע, זה כן או לא? אני לא יודע.

אם היית משאיר לי גורם מקצועי, אז הייתי יודע, כי בדרך כלל אם בעל מקצוע כבר טרח ועסק בנושא, סימן שזה מספיק רגיש. אבל בשנייה שאני מוסיף לי פה הנושא של "האמצעי שמיועד לביצוע הערכות אישיות", קרי ה-AI, אני לא יודע מה זה כולל.

אני חושב שצריך להתמקד פה באינטרס המוגן. אנחנו מדברים פה על תחום ההשמה. אולי צריך פשוט להוסיף בסוף המשפט "לצורך השמה מקצועית" או "לצורך השמה תעסוקתית", לדעתי זה ימקד את ההגדרה הזאת למקום הנכון.

הרשות, זה האינטרס המוגן שלכם?

לא רק, כי השמה זה אחד מהתחומים. מה עם חיתום? מה עם פרסום ממוקד? לא הייתי הולך לכיוון הזה.

הערכות אישיות זה לא המקרה של חיתום.

- - -

תיק אישי.

תיק אישי – יש לך בשביל זה הגדרות אחרות.

למה? אם אני רוצה לשווק תרופות נגד דיכאון?

יש לך הגדרות אחרות בשביל זה. צריכה, צרכנות. אנחנו בשלב ההגדרות, לא בשלב השימושים.

צריכה – לא עוזר לי.

את הצריכה הורדנו.

כן, גם הורדנו וזה גם לא עוזר.

אני חייב להגיד שהסוגיות שאנחנו מדברים עליהן כאינטרס מוגן עכשיו, נפרד, הן כבר סוגיות שעוסקות אולי בפרופיילינג או בדברים אחרים. זה כבר לא סוג המידע. זה כבר סוג שימוש במידע. גם ב-GDPR ובמקומות אחרים זה מוגדר לא כמידע.

אני חושב שהוא צודק. אני לא רוצה להתעכב על זה יותר מדי היום. אני לא חושב שהביטוי "אינטרס מוגן" מתאים פה, תנסו קצת למפות לאיזה סוג אלגוריתמים שפועלים היום בשוק אתם התכוונתם, או שאנחנו מצטמצמים לגורם מקצועי שעושה את זה ואז זה יותר קל לי. גם אם אני לא מקבל שאת זה צריך לעשות גורם מקצועי ולכתוב בדיוק "בעל תעודת MA מאוניברסיטה מוכרת", בסדר, אבל אני כן יודע שאם הושבת על זה גורם, בעל מקצוע, כנראה שזה מספיק חשוב לך ורגיש לך, ואני יכול להסתדר עם זה כי אני מבין מה זה אומר.

בשנייה שזה נכנס לעולם ה-AI והערכות שכאלה, אני צריך לדעת איזה AI נחשב רגיש ואיזה AI לא נחשב רגיש. ושם ההגדרה צריכה להיות קצת יותר חתוכה.

אני מציע לקחת בחשבון גם את ההבחנה בין דעות לעובדות, כמו שאמר אדוני. זאת אומרת, זה שמישהו מסוים, אפילו שעושה את זה כדרך עיסוק במקום עבודה, חושב שאדם לא חכם או לא נחמד חברתית – זאת לא הערכת אישיות, זאת דעה.

אני לא יכול לרדת לרזולוציה הזאת.

אבל אז ממילא זה לא גורם מקצועי.

אני רוצה להצביע על נקודה שהיא אולי רגישה בהקשר הזה, לדוגמה על הפרשה הידועה של קיימברידג אנליטיקה, חברות שעוסקות במה שנקרא פסיכוגרפיה של אנשים, ניתוח פסיכולוגי של אישיות כדי שאחר כך אפשר יהיה להשתמש בו לצורך מניפולציות כאלה או אחרות, על דעת קהל ועל קבלת החלטות של אנשים.

כן, אבל אני מניח שזה ייפול על פרט (4): "מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם או השקפת עולמו".

אדוני, זה לא בהכרח, בגלל שפסיכוגרפיה לאו דווקא נוגעת לדעה הפוליטית.

לא, לא, זו יכולה להיות השקפת עולם.

אולי באופן כללי לדעות ואמירות.

צריך למקד את ההגדרה, מפוזר מדי.

אני מסכים, אם רוצים להכניס פה AI, חייבים פה מיקוד הגדרה. אם מדובר על גורמי מקצוע – גורם מקצוע. גם אם הוא לא יהיה במאה אחוז חתוך ויהיו כתובים בו המילים "לרבות" או "כדומה", אבל שיהיה איזשהו רפרנס.

(6) "מידע על אודות עברו הפלילי של אדם".

"או מידע על היותו של אדם נפגע אלימות או תקיפה מינית או על השתייכותו לאוכלוסיות בזנות".

"תקיפה מינית והשתייכותו לאוכלוסיות בזנות" – זה בתוך פרט (1), אני לא רואה בזה שום צורך.

לגבי "מידע על היותו של אדם נפגע אלימות" – תעלה השאלה למה דווקא נפגע אלימות, למה לא נפגע עבירה בכלל. אני לא יודע למה אנחנו צריכים. כלומר, "תקיפה מינית והשתייכותו לאוכלוסיות בזנות" – זה צנעת אישותו. זה הארדקור פרט (1). אני לא צריך לייצר לזה עוד רובריקה.

לגבי "היותו של אדם נפגע אלימות" – בעיניי זה מיותר. אם רוצים, אפשר לעשות "מידע על אודות עברו הפלילי של אדם, לרבות היותו נפגע עבירה" – ואז זה לא קשור לאלימות. "לרבות היותו נפגע עבירה" – טיפה רחב מדי. לא רואה את האינטרס המוגן, גם לא על אלימות, כי מה ההבדל בין אם פרצו אליי הביתה או הרביצו לי מכות ברחוב? מהבחינה הזאת נפגע עבירה באותה מידה. ואם זה מידע מוגן – מידע מוגן. הנושא של המיני שאני מבין שהוא יותר רגיש, בהארדקור, הוא קיים ב-(1), על השולחן, לא צריך אותו במיוחד.
אני הייתי מוותר בכלל, משאיר את "מידע על אודות עברו הפלילי של אדם", בלי להוסיף נפגע עבירה ונפגע אלימות. אם ישכנעו אותי פה מסביב לשולחן שצריך להכניס את נפגע עבירה, אוסיף את זה. אבל אני לא רואה סיבה אמיתית. זה רחב מדי. כל עבירה שהיא קשורה למשהו מיני ורגיש, היא נמצאת בתוך סעיף (1), על פניו, בדלת הראשית, לא צריך להכניס אותה בדלת האחורית.

מבחינתי, את (6) נשאיר כמו שהוא, בלי התוספת בצהוב. יש הערות לזה?

אנחנו חשבנו שיש בכל זאת קבוצה של נפגעי עבירה שלא נכנסים לתוך סעיף (1) כמו שהוא עכשיו, ולכן כן ראינו ערך בתוספת הזאת. ההצעה לגבי נפגע עבירה יכולה לתת מענה.

אבל היא מאוד רחבה.

לכן פה הצענו קצת לצמצם, לנפגע אלימות. וגם, העניין הוא שנפגע עבירה – זה יכול להיכנס למהי כן עבירה או לא. אנחנו כתבנו נפגע אלימות. המטרה הייתה שזה יהיה משהו קצת יותר רחב, בלי צורך לברר עכשיו אם זו הייתה עבירה או לא, לצורך הדבר הזה.

יש גם עמותות שמחזיקות מידע על האוכלוסיות האלה. זה לא בהכרח ייכנס לתוך צנעת חיי המשפחה ודברים כאלה. חשוב שהמאגרים האלה יהיו ברמת ההגנה הגבוהה ביותר.

זה שבן אדם הותקף בהפגנה על ידי שוטר, זה מידע אישי. אבל להגיד לך שהוא מאוד רגיש? יכול להיות שאם אני אדע באיזה הפגנה זה היה, זה יהיה מידע על נטייתו הפוליטית.

אדם יכול להיות קורבן של אלימות משטרתית גם לא בהפגנה - -

או באלימות משטרתית סתם.

- - ואז זה אולי נהיה יותר רגיש.

במחילה, אני הייתי מוריד את זה לגמרי. נשאיר "מידע על אודות עברו הפלילי של אדם", מה שהיה. הנושאים, שאני באמת מבין את הרגישות שלהם, נמצאים ב-(1), מכוסים לדעתי.

ואת הנושאים שהם שאר העבירות – לפעמים יכולות להיות עבירות רכוש שהן מאוד רגישות ועבירות אלימות שהן בכלל לא רגישות. לא הייתי נכנס לרזולוציה הזאת.

הסעיף הבא שבו יש לנו תיקון – (10).

ב-(13) יש בקשה.

גם ב-(7) יש איזשהו שינוי.

ב-(7) אין שינוי. זה מה שאמרנו בפעם הקודמת.

אבל אם יורשה לי בכל זאת אמירה קטנה על סעיף (7). סוגיה טכנית, אני לא חושב שהיא במחלוקת גם לפי משרד המשפטים, לפי מה שהיה בפרוטוקול.

הרישה עוסקת בנתוני מיקום ותעבורה כהגדרתם בחוק סדר הדין הפלילי, וזה דיון שדנו בו גם חברים פה מסביב לשולחן. ההגדרה של נתוני תעבורה בחוק סדר הדין הפלילי אינה מוגבלת רק למנוי, כלומר מי שמקבל שירותים מספק מורשה או לספק מורשה. היא כוללת גם נתונים על מתקן בזק, שזה מונח אגנוסטי לחלוטין. ולכן בפועל, בהגדרה כמו שהיא עכשיו, תיכנס כל כתובת IP שנאספה, גם בלי קשר לחוק נתוני תקשורת ולא על ידי ספק מורשה.

אנחנו מציעים לחדד שנתוני מיקום ותעבורה לגבי מנוי או שנאספו על ידי ספק מורשה. רק כדי לחדד, ההבנה שלנו הייתה, גם לפרוטוקול לדעתי, על ידי נציגי משרד המשפטים - - -

לא, אבל מה עם GPS?

GPS נאסף, מה זאת אומרת?

לא, GPS לא נאסף על ידי מנוי של - - -

GPS זה לא נתון של תעבורה.

נכון, הוא "נתונים אודות מיקומו של אדם".

לא, לא, אני מדבר על הרישה שעוסקת בנתוני מיקום ותעבורה. נתוני מיקום מוגדרים בחוק סדר הדין הפלילי ונתוני תעבורה מוגדרים בחוק סדר הדין הפלילי.

נכון.

נתוני מיקום מוגדרים כנתונים על מנוי, כלומר מי שיש לו יחסים מול ספק מורשה, שזה בסדר.

נתוני תעבורה מוגדרים לעניין מנוי, מתקן בזק, מקום או מועד מסוימים – ולכן הם מנותקים ממערכת היחסים שבין מנוי לספק מורשה. נתוני תעבורה לגבי מתקן בזק כוללים כל כתובת IP. כתובת IP היא לא "מידע בעל רגישות מיוחדת", בכל הכבוד.

זה נוגע ל"אדם מזוהה או אדם ניתן לזיהוי"?

יכול, בהחלט.

לא. אם אתה בא ואומר "שמחה רוטמן השתמש במכשיר שלו דרך IP מסוים, ביום מסוים, בשעה מסוימת" – זה בהחלט יכול להיות מידע רגיש.

למה? זה לא. אני מזכיר, הנתונים ברישה - - -

זה נתון תעבורה. זה כמו שאתה יכול להגיד "למה זה משנה לי אם אני יודע באיזה תא סלולרי השתמשת".

לא, כי כתובת IP מזהה הרבה פחות מדויק מבחינת מיקום מתא סלולרי. אין בכלל דמיון בין הדברים.

אני לא בטוח. לא, לא. זה לא תמיד. בוא תסכים איתי שאם אני ב-IP של הכנסת, בגלל שאני מתחבר ל-Wi-Fi בכנסת, או שאני נמצא בתא סלולרי בשטח של 20 קילומטר מרובע, הכנסת זה מקום קצת יותר מדויק מאשר 20 קילומטר מרובע שאני יודע שהתחברתי לתא סלולרי מסוים.

קודם כל, אתה לא בהכרח יודע למי משויכת כתובת IP.

אתה צודק. מה שאמרת נכון. בשנייה שכתובת ה-IP לא משויכת לאדם מזוהה או ניתן לזיהוי - -

לא, לא, סליחה, לא.

- - אז אני לא שם בהקשר אחר.

היא יכולה להיות משויכת לאדם, אבל אני לא בהכרח יודע איפה המיקום של כתובת ה-IP הזאת בנקודה מסוימת. ההגדרה של נתוני תעבורה לא עוסקת בשאלה האם הם מעידים על מיקום או לא.

אני שוב מחדד. הרציונל ברישה, וזה גם היה הרציונל של משרד המשפטים, לכסות - - -

לא, לא נכון.

- - - על ידי ספקים מורשים בחוק התקשורת. זה פשוט מוציא את זה - - -

תכף תתייחסו לזה. אבל נתוני תקשורת?

יש לנו את הסיפה שהיא מוגבלת, שזה בסדר. הסיפה אומרת "נתון אודות מיקום של אדם". אם הוא יכול להעיד על דברים אחרים, בסדר. אם כתובת IP - - -

"נתון מיקום תעבורה" – זה גם התקשרתי למספר פלוני או אלמוני. אבל לא משנה.

אני מזכיר שהמטרה של כל סוגי המידע הרגישים כאן, כל הסוגים האלה אמורים להיות אינהרנטית רגישים. כלומר, לא שייתכנו מצבים שבהם הוא רגיש.

אני מסכים איתך.

ולכן, אם נוכל להחיל את הסיפה על הכול, גם על נתוני התעבורה, אני חושב שזה ירגיע כאן את כל היושבים מסביב לשולחן.

שהסיפה של נתוני מיקום ותעבורה תהיה "רק אם יש בהם כדי לגלות על זה וזה"?

גם זאת אפשרות.

נכון. אם המבחן נשאר מבחן אמיתי ולא טכני.

אבל החשש פה הוא ביג דאטה. נתוני מיקום ותעבורה של ספק תקשורת – החשש אצלם הוא הביג דאטה.

בסדר, אבל זה גם מוגן. זה דין אחר.

לא. איך זה מוגן?

מי שהוא ספק סלולר – זה מוגן תחת רישיון, זה עולם נפרד, זה עולם מקביל.

לא.

אנחנו מדברים על נתונים עצמם, על התוכן עצמו. כל עוד יש לנו את הסיפה, שזה מאפשר לנו לתת אינדיקציה של איכות – זה לא כל נתון, זה רק "אם יש בו כדי להעיד" – זה אומר שאנחנו במקום טוב. זה לא כל נתון, לא כל GPS.

חברים, אם אנחנו נחזור כל פעם להגדרות, לא נסיים לעולם. גם דיברנו על זה.

אתם רוצים להתייחס לזה בקצרה, במשפט, ולסגור את האירוע?

רק נאמר שבסוף יש פה הגדרות משורשרות – בחוק נתוני תקשורת, בחוק התקשורת (בזק ושידורים). יש פה הגדרות מאוד בסיסיות, אנחנו לא חושבים שצריך עכשיו להיכנס.

הוא אומר שבהגדרה מאוד רחבה של זה, זה יכול גם, גם אם זה לא יושב אצל ספק תקשורת.

כן, נתוני תעבורה שנאספו על ידי ספק מורשה. כל המונחים מוגדרים, אתם לא צריכים להוסיף עוד הגדרות. "נתוני מיקום ותעבורה שנאספו על ידי ספק מורשה, כהגדרתם בחוק".

השאלה אם זה מפריע לכם.

שוב פעם, ההגדרות פה הן משורשרות. ללכת עכשיו דווקא להגדרה של ספק מורשה?

זאת ההגדרה בחוק - - -

אני מבין מה הוא אומר, כי מקורם של נתוני מיקום יכול להיות גם לא מספק מורשה, אלא למשל מהסלולר שלי או מתוכנת צד ג'.

או מחברת טוסטרים שאוספת. חברת E-commerce שמכרה טוסטר ואספה את כתובת ה-IP של מי שקנה את הטוסטר. כרגע זה נכנס להגדרה של נתוני תעבורה – וזו לא המטרה.

כן, אני מבין על מה הוא מדבר.

אבל ההגדרה של נתוני תעבורה היא יותר רחבה מזה. היא כוללת את כל המטא-דאטה ביחס לנתונים האלה.

כל עוד זה רק לגבי מנוי, בסדר, כי מנוי הוא מי שיש לו יחסים מול ספק תקשורת. אנחנו התחלנו את כל הדיון בנתוני מיקום כשנתוני מיקום הם לא מידע רגיש.

אני מוצא טעם בהערתו. תחשבו על זה לפעם הבאה, אני לא רוצה עכשיו. ככל שאתם יכולים לתת לזה מענה בהגדרה לפעם הבאה. אני חושב שיש היגיון במה שהוא אומר. אני מבין גם את - - - הנוספים, אני בעד שזה יהיה יותר חתוך, שזה יכלול את מה שאנחנו רוצים.

(13) – את אומרת שגם כאן משהו התווסף?

כן. הוועדה החליטה למחוק את פרט (13). משרד המשפטים רוצה להסב את תשומת ליבנו לכך שמאחר שהוא נמחק נדרשת הוראת מעבר בשים לב לתקנות הגישור.

מה אומרות תקנות הגישור? אני יודע מה זה תקנות הגישור. מה יש שם להגדרת מידע רגיש?

בין השאר, בהתאם להגדרה היום של "מידע רגיש" נקבעו עוד שני פרטים של מידע כמידע רגיש רק לעניין מידע שהתקנות חלות עליו.

שהם?

אחד, מידע על מוצאו של אדם, שממילא אנחנו מכניסים כאן.

אז לא צריך את זה.

שתיים, חברות בארגון עובדים. בישראל הנושאים האלה הם תלויי תרבות והיסטוריה, בישראל חברות בארגון עובדים לא נחשבת מידע רגיש. באיחוד האירופי זה מידע שהוא נחשב מאוד רגיש ומופיע ב-GDPR כמידע בקטגוריות המיוחדות.

בהקשר הזה אני דווקא בעמדה של האיחוד האירופי. זה אכן מידע רגיש, לפעמים גם מביש.

כרגע תקנות הגישור לעניין המידע שהן חלות עליו, מידע שמגיע מהאיחוד האירופי, קובעות שהמידע ייחשב למידע רגיש. כשאנחנו מבטלים את האפשרות - - -

ואז?

כרגע הנפקות בחוק היא לא יותר מדי משמעותית לעניין.

אני לא חושב שאתם צריכים את זה באמת.

אנחנו צריכים את זה לעניין התאימות, לעניין שימור התאימות.

התקנות לא מחייבות שמידע יוגדר כמידע רגיש, שזה נפקא מינה לעניין העיצומים. ברור שזה מידע אישי, נכון? אין ספק שזה מידע אישי.

אדוני, זה בגלל שמבטלים על ההסמכה. הוועדה ביקשה לבטל את ההסמכה של השר לקבוע סוגים נוספים, ואז, מבחינה משפטית, זה שומט אוטומטית את הצו של שר המשפטים – במקרה הזה תקנות – שהגדיר סוגים כמידע רגיש. זו דרישה מפורשת של האיחוד האירופי, להגדיר מידע שמגיע מהאיחוד האירופי על חברות בארגון עובדים כמידע רגיש.

הבנתי. להגדיר את זה כמידע רגיש דווקא?

כן, כן.

מה אכפת להם?

ממש מופיע בבולד מה שנקרא.

שוב פעם: התקנות נועדו כדי להבטיח את התאימות.

יש לי הצעה אולי, אבל אחרת. אם מה שאנחנו רוצים זה לייצר תאימות, ומחר בבוקר באיחוד האירופי יקבעו משהו נוסף כמידע רגיש, וכדי לשמר את התאימות, אתם הכנסתם פה איזו שמיכה רחבה שמאפשרת צ'ק פתוח לשר.

באישור הוועדה.

באישור הוועדה.

צ'ק פתוח לשר באישור הוועדה. אבל אני חושב שאולי כדאי להכניס הוראה, סעיף, במקום סעיף של שר באישור, כלומר לייצר פה את התנאי המהותי, אפילו להשאיר את שר המשפטים באישור ועדת החוקה, על מידע שהגיע ממדינה אחרת שמוגדר על פי דיני אותה מדינה כמידע רגיש, שהוא רשאי להגדיר אותו כמידע רגיש.

כלומר, לייצר את המבחן המהותי הזה שאתם מדברים עליו, שאני מבין אותו, הוא משמר תאימות. אבל לא ששר המשפטים יוכל מחר בבוקר להחליט לגבי כל מידע שהוא מידע רגיש, אלא שהוא יוכל לקבוע על מידע שמגיע ממדינה אחרת שעל פי דיני אותה מדינה הוא מידע רגיש, הוא יוכל לקבוע שהוא ייחשב מידע רגיש לעניין חוק זה. ואז זה סעיף הסמכה – כי מחר בבוקר באיחוד האירופי יחליטו שצבע שיער, זה רגיש, לא יודע.

אפשר כמובן לעשות את זה. אני רק אומר, גם אמרתי את זה בדיון הקודם, שבסופו של דבר אנחנו לא יכולים לחזות כל דבר. ואני מבין גם את הצורך אולי של יו"ר הוועדה שבכל דבר מהותי אנחנו נעבור את מסלול החקיקה הרגיל.

לא, להפך, הצעתי פה משהו אחר. הצעתי מבחן מהותי.

הצעת מבחן מהותי כדי לשמר, למשל את - - -

זה גם ישמר לך את התקנות וגם כן ייתן לך פתח אם מחר בבוקר תצטרך גישור אחר.

אבל יתכן שאנחנו נצטרך להגדיר מידע רגיש לאו דווקא בעקבות - - -

אז תבוא לחקיקה. את הצ'ק הפתוח הזה אני לא אתן.

אין בעיה. אני רק עוד פעם אומר שאני חושב, כמודל, שבסופו של דבר אנחנו גם מדברים על חקיקה שיש לה הקשרים של טכנולוגיה. לעשות את כל המהלך, כל פעם, בגלל פריט כזה או אחר - - -

בסדר, זה טיעון להשאיר את סעיף (13) בצורתו המקורית שאני לא בעדו. אני אומר: "שר המשפטים רשאי, באישור ועדת החוקה, לקבוע כמידע שהגיע" – ואם אתם צריכים הוראת מעבר של התקנות שאושרו כבר, זה בהוראת מעבר.

אבל זה לא דווקא מדינה אחרת, זה יכול להיות ארגון בין-לאומי.

בסדר, תנסחו את זה, אני לא רב איתכם. בסדר גמור. גם מדינות בריקס, בסדר.

אני רק אומר לפרוטוקול, רק לדייק. ההגדרה בדין האירופי היא לא "רגישות מיוחדת", אלא "special categories". זאת אומרת, נצטרך למצוא נוסח שיתאים.

בסדר גמור, זה חלק מההתאמה.

(10) "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם" – שעל זה דיברנו בפעם הקודמת.

"וכן עובדת היותו של אדם מחוסר אמצעים".

"אין לי כסף, אין לי".

אנחנו מחפשים לדייק ולהסביר מה בדיוק הרגיש. אנחנו מצמצמים מהמצב הכלכלי באופן כללי. יש מצב כלכלי ספציפי, שהוא לא משתקף רק בנתונים הפיננסיים, שאנחנו חושבים שהמידע עליו הוא מאוד רגיש מבחינת תפיסות חברתיות מקובלות, של מה רגיש בעיני אנשים.

בסופו של דבר, יש פה החלטה ערכית.

אני לא יודע. "מחוסר אמצעים" – זה מושג מאוד רחב. אין לי כסף ללמבורגיני – אני מחוסר אמצעים? זה מושג סופר רחב.

אנחנו ניסינו לכוון למעגלי עוני, נזקקות. פשוט מצאנו בחקיקה את השימוש במונח הזה, "מחוסר אמצעים". אנחנו גם יכולים לחשוב על מונח אחר. אבל כן חשבנו על כל העמותות.

אני לא אוהב את זה, כי זה קצת כמו שדובר מקודם על ההבדל בין דעה לעובדה. "מחוסר אמצעים" – זאת דעה. יש "איזהו עשיר השמח בחלקו". יש אנשים שהם "אין עני אלא בדעת". זה יכול להיות כל מיני דברים. יש הרבה מאוד אנשים שהם מתחת לקו העוני. יש חברות שבהן זה כמעט 100% מהאנשים. זה הופך את זה למשהו שהוא מאוד ביישובים מסוימים בארץ, כל יישוב שהוא סוציו-אקונומי נמוך.

זה מאוד רחב, זה לא באמת רגיש ברמה הזאת. אני חושב שכאשר מדובר על evidence, על עובדות, נתון על פעילות פיננסית, למשל על בן אדם שמרוויח 50% משכר המינימום, זה נתון רגיש כי אני יודע בדיוק את המשכורת של האיש. אבל להגיד "מחוסר אמצעים" או "עני"? בבחירה ערכית, כשאתה הופך את זה לרגיש – אתה הופך את זה לרגיש, אתה מייצר אמירה עם אלמנט של גנאי. בתחומי המשפט העברי – "יפה עניות לישראל". לא בטוח שזה דבר שהייתי רוצה להכניס פה כמושג.

יש יתרון במה שהממשלה מציעה. אני אזכיר מאיפה התחלנו.

התחלנו ממקום מאוד לא טוב. ההגדרה שם הייתה מאוד רחבה.

ההתייחסות למצב לא טוב נותנת את הקונטקסט. כמו שגם אמרנו לגבי בריאות: גם בריא – זה מצב בריאותי. לא לזאת הכוונה. וזה כן מכווין את ההגדרה לכיוון של מצב כלכלי. לא סתם, לא נטול קונטקסט, אלא משהו יותר ספציפי.

לא יודע, אני מעדיף evidence ולא הערכה.

אנחנו דווקא מסכימים עם יושב-ראש הוועדה, שהיותו של אדם מחוסר אמצעים זה משהו שהוא יותר מדי מעורפל. מחוסר אמצעים – זה לא יכול לרכוש דירה ולכן נמצא במחיר למשתכן; מחוסר אמצעים – זה זכאי לדיור בהישג יד כי הוא לא יכול - - -

אני אגיד יותר מזה, בהמשך למה שמירה אומרת. לצורך העניין, מרכז השלטון המקומי, עירייה, אוספת מידע, מקבלת תלושי שכר, ובסופו של דבר נותנת הנחה בארנונה, לפעמים על בסיס מצב כלכלי.

"הנחת נזקק" קוראים לזה.

אני רוצה שהם יושיבו בן אדם שיגיע למסקנה, על בסיס נתונים שיש לו, שאדם הוא מחוסר אמצעים. שירשמו עליו "הוא מחוסר אמצעים" – ולא יאגרו את כל המידע, אלא להפך, ימחקו את כל המידע. מאגר המידע של מקבלי ההנחות בארנונה יכלול שהוא מקבל הנחה בארנונה כמחוסר אמצעים. הם לא ישמרו את המידע הרחב ביותר שעל בסיסו הם הגיעו להערכה הזאת, אלא הם העריכו אותו כמחוסר אמצעים ומחקו את כל המידע האחר.

ואז הם ירדו ברמת האבטחה וירדו ברמת הצורך לזה. וככה אני אומר: חבר'ה, הכול אותו דבר. ברגע שהגדרתם אותו "מחוסר אמצעים", כבר תשמרו עליו את התלושים, כבר תשמרו את המידע, תשמרו את חשבון הבנק שלו – וזה כי הכול באותה רמה. אני מייצר פה גם תמריץ שלילי לעניין המאגר.

זאת סתם דוגמה שעלתה לי בגלל שראיתי את מירה. מירה בכלל מביאה לי השראה, תמיד, מתחום השלטון המקומי. עכשיו היא לא תסכים איתי, כדי להראות שלא צדקתי.

אבל באמת אנחנו לא מסכימים על הנקודה הזאת. כשמדובר ב"הנחת נזקק", כך קוראים לזה בנוסח, בתקנות ההנחה מארנונה, ראוי לשמור את התיעוד שהוביל למתן ההנחה כדי למנוע חשש לחוסר טוהר המידות או לקושי.

יכול להיות, אבל תחזיקו את זה בשני מאגרים נפרדים.

בדיוק.

אחד תאבטחו מאוד ואחד לא. אחרת אתם תיתנו לכל עובד גישה להכול – כי זה כבר הכול רגיש.

אפשר פשוט להפנות למונח שנקרא "מידע פיננסי" בחוק שירות מידע פיננסי - -

עזוב, נשאיר את זה כמו שזה – "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם".

- - כי הוא גם משרשר למקורות המידע.

לא, לא. "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם" – נשאיר את זה ככה, בלי תוספות.

"הרגלי צריכה" – הורדנו, מצוין.

עכשיו עוד הגדרות שהצריך היה להתקדם לגביהן: "בעל שליטה במאגר מידע".

הוספנו רק "עיבוד מידע".

במקום המילה "לנהל" – "לעבד".

"מחזיק" – אמרנו, בעקבות הערות בדיון – "גורם חיצוני לבעל השליטה המעבד מידע עבורו".

לא ברורה לי המשמעות של "גורם חיצוני". האם זה כולל גם חברת בת, למשל? ב-GDPR למשל יש הגדרה של צד שלישי. לא ברור לי למה צריך לומר "גורם חיצוני". למה אי-אפשר להגיד "מי שמעבד מידע עבור בעל השליטה"? למעט עובדים.

זה בדיוק העניין.

זה דיון ארוך שהיה פה בפעם הקודמת, את גם היית פה.

נכון, אבל "גורם חיצוני" מכניס עוד בעיות. אם יש חברת בת שמעבדת עבור החברה, האם זה "גורם חיצוני" או לא?

גורם חיצוני. למה לא?

ואם לא, תגידי שהוא הבעלים. אני חושב שדנו בשאלה למה ההגדרות האלו. כל הגדרה מייצרת איזושהי מורכבות. אני חושב שזה איזושהי נקודת האמצע נכונה.

הנוסח הזה נועד לתת מענה לדברים שהטרידו את אדוני.

אני זוכר. אני מבין את הדבר, אבל זה סוג של מסקנה מהדיון הקודם.

"עיבוד" – כל פעולה שמבוצעת על מידע אישי לרבות קבלה, איסוף, העתקה, שימוש, עיון, חשיפה, או מתן גישה; ואז, "שימוש" – כולל בתוכו דברים אחרים שהם מילים נרדפות.

לא, אז יש סיבה.

אני רק מזהיר שמי שמתנדב למשוך את הקש הקצר כדי להתייחס להגדרה הזאת, יצטרך להסביר לי מה ההבדל בין "גילוי" לבין "חשיפה". רק נתתי פרומו.

אנחנו הונחינו על ידי הוועדה לקחת את ההגדרה - - -

אחר כך יגידו שאני מהלך אימים על עובדי ציבור, שהם צריכים להסביר מה ההבדל בין "גילוי" לבין "חשיפה".

השאלה היא טובה, לעניות דעתי זה אכן עניין של התלבטות. זה עניין נוסחי. בסופו של דבר אנחנו אומרים "כל פעולה". כשאומרים "כל פעולה" – הכוונה לכל פעולה.

אז למה אנחנו צריכים את הגדרת "שימוש"?

יש לזה כמה סיבות חצי קזואיסטיות. קודם כל, אני מזכיר שיש לנו את הפרק הראשון, לכאורה היה אפשר להבדיל בין הפרק הראשון לפרקים הבאים. בסוף, המילה "שימוש" – היא מילה שימושית. גם בהגדרה של processing ב-GSPR אחת מהמילים שבהן משתמשים כדי להגדיר זה "use". זאת אומרת, קצת קשה להתנתק לחלוטין.

אין בעיה, אבל "שימוש" מופיע תחת "עיבוד". תשאירו את זה ככה וזהו.

לא, לא, אדוני.

לא, רגע.

למה צריך הגדרה נפרדת ל"שימוש"?

סיבה נוספת, שהיא גם קצת קזואיסטית, אבל היא חשובה ומרכזית, שכרגע תקנות אבטחת מידע משתמשות במילה "שימוש". המטרה היא להבהיר. בסוף, אין פה משמעות נורמטיבית עמוקה. כל פעולה זה עיבוד. אבל אנחנו לא רוצים שייווצרו כל מיני פערים נוסחיים, כל מיני שאלות.

מה ההבדל בין "עיבוד" ל"שימוש"?

"איסוף".

אבל "שימוש" כולל "אחסון". מה ההבדל בין "אחסון" ל"איסוף"?

פעולת האיסוף עצמה, היא לא מוגדרת ב"שימוש".

יש לי הצעה ניסוחית: תכתבו "עיבוד או שימוש – כל פעולה שמבוצעת על מידע אישי לרבות קבלה, איסוף, העתקה, עיון, חשיפה, גילוי, העברה, מסירה, או מתן גישה". זאת אומרת, הכול נכנס להגדרה "עיבוד או שימוש".

אלא אם כן ההגדרה הזאת לא טובה, ואז המילים שמשתמשים ב"שימוש" ילכו לאיבוד. אני פשוט חושב שאנחנו משחקים במילים, זה מאוד משעשע.

אנחנו עדיין נצטרך את "שימוש" לפרק א'.

בסדר, אז ההגדרה תהיה: "עיבוד או שימוש", זה המושג. עיבוד שווה שימוש. אין הבדל בין עיבוד לשימוש.

יש הבדל.

מה ההבדל?

שלב האיסוף.

מה ההבדל בין "איסוף" ל"אחסון"? איך אני אוסף משהו בלי לאחסן אותו? או מאחסן משהו בלי לאסוף אותו?

וגם: למה "שימוש" זה "העברה ומסירה", אבל "עיבוד" זה "קבלה"?

אנחנו יכולים לעשות את זה על כל מילה, זה נורא כיף. הינה, תראו, שמישהו יסביר לי מה ההבדל בין "קבלה", "איסוף" לבין "אחסון"; מה ההבדל בין "גילוי" לבין "חשיפה או מתן גישה"; מה ההבדל בין "העברה ומסירה" לבין "העתקה".

בגישה, בגישה לזה.

ברור שהכול מוחל.

יפה. מה ההבדל בין "עיבוד" ל"שימוש"?

שלב האיסוף. יש הוראות ספציפיות שמתייחסות לשלב האיסוף של מידע, שה"שימוש" לא חל עליהן. ה"שימוש" חל רק אחרי שאספת את המידע. אחרי שאספת את המידע, מה מותר לך לעשות? הדבר הראשון – אחסון, זה הדבר המיידי שקורה אחרי.

אבל התיבה "שימוש" לא מתייחסת - - -

האם ניתן לאסוף מידע בלי לאחסן אותו? האם ניתן לאחסן מידע בלי לאסוף אותו?

אבל ההסמכה בדין, למשל, היא הסמכה לאסוף.

יש הוראות נורמטיביות שונות, זה לא עניין - - -

אין לי בעיה, אני לא אמרתי לך שאסור לך לאסוף. אני רק אומר שהכול נחשב שימוש ועיבוד.

לא, אבל זה שלב אחר בחיי - - -

אני הבנתי.

עמית, אולי תפנה אותנו להוראות שמטרידות אותך בעניין "איסוף"?

אני מציע שנגיע לזה בהמשך.

כרגע הצעתי שיהיה "עיבוד או שימוש", תכניסו את כל ההגדרות פנימה. כשניתקל באיזושהי הוראה בחוק או בתקנות אבטחת מידע או בתקנות הגישור, או בכל דבר חקיקה אחר שנראה לכם שדורש את ההבחנה בין "גילוי" לבין "חשיפה"; בין "העברה" לבין "העתקה"; לבין "אחסון" לעומת "איסוף" – אנחנו נעבד ונשתמש בהגדרות בצורה שונה.

מספר נקודות. קודם כל, בהקשר הטכני אכן יש מצבים ויש שירותים שאוספים מידע אבל לא שומרים אותו, כי יש תהליכים של איסוף מידע שבהם המידע מרובד על גבי מה שנקרא זיכרון נדיף. המידע לא נשמר, אבל הוא כן נאסף.

אז זה אחסון זמני.

זה אחסון שהוא נדיף, אין אחסון בכלל במצבים כאלה. יש רק עיבוד של מידע ומחיקתו.

כל זמן שאתה לא מנתק את השקע, הוא מאוחסן.

אדוני, אבל באופן כללי אני חושב שאנחנו מנסים לחסוך כאן בלבול ותלי תלים של פרשנויות לגבי הבדלים בין "עיבוד" ל"שימוש", כשלטעמנו אין צורך אמיתי בזה. אם ההגדרה עכשיו של "עיבוד" כוללת בתוכה "שימוש", שזה אכן מונח שגור בתקנות אבטחת המידע, אז אני לא רואה פה מקום לאיזושהי בעייתיות.

אגב, אפשר לעשות את מה שנעשה בחלק מדברי חקיקה, לכתוב "עיבוד לרבות שימוש, שימוש לרבות עיבוד" – ואז זה נפלא לגמרי.

"שימוש" זה גם חלק מהגדרת "עיבוד".

אני יודע.

לכן אין צורך בהרחבה הזו. תנו לנו מונח אחד שיכלול הכול, keep it simple.

אבל הצורך במונח "שימוש" - - -

הוא בגלל שכתוב לכם בתקנות אבטחת מידע "שימוש".

לכל אורך התקנות.

אני לא יכול לכתוב לכם הוראה שבכל מקום שכתוב בתקנות זה וזה, במסגרת הזו, יוחלף "שימוש" ב"עיבוד?

לא, כי זה תקנות.

אפשר לשנות תקנות בחוק, תאמינו לי.

אבל ממילא צריך לשנות את התקנות. אמרתם בעצמכם בדיון הקודם שתקנות אבטחת מידע יעברו שינוי בהתאם לשינויים פה.

תביאו עם סיום החקיקה לאישור הוועדה. אני אומר באמת, אם זה רק החלפת מונחים, יש חוקים של החלפת מונחים. בכל מקום בחיקוק שרשום בתוספת שכתובה המילה "שימוש", היא תוחלף במילה "עיבוד" – וסגרנו את הסיפור. עושים את זה, עשו את זה ויעשו את זה.

אדוני, אבל אם יש הוראות מסוימות שחלות אך ורק על "העברה ומסירה"?

יש הוראות כאלו?

אני שואלת.

אני לא מכיר. ואני אגיד לך יותר מזה. לא רק שאני לא מכיר, מאחר ועיבוד הוא לרבות שימוש – זה בכל מקרה לא משנה.

אבל אם יש הוראות מסוימות שחלות אך ורק על "העברה ומסירה"?

אבל לפי ההגדרות כרגע "העברה ומסירה" נחשבות "עיבוד".

נכון, אבל יכול להיות - - - אני לא יודעת.

יושבים פה מספיק אנשים, מוח קולקטיבי מאוד גדול. אנא, אם יש לכם מידע הנוגע לדבר הזה, גם תשתמשו בו וגם תעבירו אותו אלינו. וגם תגלו אותו. וגם תחשפו אותו.

וגם תעבדו.

אם יש הוראות שהן מתייחסות לפעולה ספציפית מתוך הפעולות של השימוש, אפשר לחשוב אם נכון – ובחלק מהמקרים נכון – להטיל אותן דווקא על הגוף. נגיד, בעל השליטה במידע ימסור הודעה ולא מי שאוסף.

שום דבר ממה שאנחנו עושים פה לא מונע את האפשרות לעשות את זה.

ברור. זה דברים שאפשר להתמודד איתם בהמשך, ולא - - - שימור הגדרות.

בסדר גמור. הצעתי היא ברורה.

"עיבוד ושימוש".

או איחוד מושגים "עיבוד ושימוש" או התאמת התקנות.

אנחנו נבקש לאמץ את החלופה הראשונה שאתה מציע.

טוב, בסדר, אני אחיה עם זה. אני חייב לומר שהאקדמיה ללשון העברית ניצלה פה מאירוע מאוד קשה, שלא הייתה צריכה להסביר את ההבדל בין גילוי לבין חשיפה.

עוד לא הגענו להתממה, אדוני.

כן, כן.

"אבטחת מידע – הגנה על שלמות המידע, או הגנה על המידע מפני עיבוד והכל ללא רשות כדין".

"מנהל מאגר – המנהל הכללי של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה".

היה לנו דיון ארוך בדיון הקודם. אנחנו באמת צריכים את "מנהל המאגר"? זאת באמת פונקציה נדרשת היום? בסוף זה בן אדם בשר ודם שלוקח אחריות אישית בנסיבות האלה. יש לנו את בעל השליטה, הוא אחראי על אבטחת המידע. המנכ"ל, בין כל הדברים שיש לו, הוא אחראי מעצם התפקיד שלו. השאלה למה אנחנו צריכים פה את ההגדרה הזאת של מנהל מאגר.

ומעבר לזה, עוד דבר מהשטח. מאוד קשה למנות מנהלי מאגרים.

נכון.

אנשים, וגם מנהלים, חוששים. ויש להם חשש אמיתי.

זה בדיוק מה שהם רוצים. את מציגה את זה כבאג.

יש אחריות תאגידית. למה?

לא, אבל בסוף צריך להתחבר לשטח.

הם רוצים להפחיד אנשים.

לא, אני לא חושבת שהם רוצים.

הם קוראים לזה "הרתעה", אבל תכלס רוצים להפחיד אנשים – ואז נשאל מה ההבדל בין "גילוי" ו"חשיפה" לבין הפחדה והרתעה.

לא, אנחנו מכירים, אף אחד לא רוצה פה להפחיד.

להפחיד לרבות להרתיע.

הרעיון הוא שבסוף צריך להתחבר לשטח. וכדי שהדברים האלה, שאבטחת מידע באמת - - - כמו שצריך, צריך להטיל את האחריות על בעל המאגר. הוא זה שאחראי, עם האנשים הרלוונטיים.

אבל הוא בכל מקרה אחראי.

נכון, אז למה צריך עוד אחריות?

בסדר, אין בעיה, אז לא צריך.

אם אפשר רק להוסיף. בפועל, היום בארגונים, בעיקר בגדולים, החובות של מנהל המאגר מתבצעות דה-פקטו על ידי של אוסף אנשים בארגון ולא על ידי בן אדם אחד. את ההרשאות אולי קובע מנהל המאגר, אבל באבטחת המידע מתעסק ה- CISO– ממונה אבטחת מידע.

בניגוד לממונה אבטחת מידע שבתקנות אבטחת מידע הוגדרו לו חובות ספציפיות ויש היום רשימה מה באחריותו, וזה גם די אינהרנטי - - -

למנהל כרגע יש איזשהו - - -

אין הגדרה בשום מקום. אין רשימת תפקידים בשום מקום.

שאלה טובה. למה נפקא מינה להגדרת מנהל?

קודם כל, האחריות היא באמת בתקנות אבטחת מידע, חד משמעית.

היא אומרת שעל ממונה אבטחת מידע.

לא, היא לא רק בתקנות.

לממונה הוגדרו תפקידים בצורה מדויקת יותר, כדי שיהיה ברור על מה הוא אחראי. למנהל אין כזה.

בואו נעשה סדר. מנהל המאגר – בחוק אין לו תפקידים. אבל יש לו אחריות על אבטחת מידע - -

אנחנו שואלים למה צריך.

- - ויש לו גם כמה תפקידים בתקנות.

תראה, זה יותר טוב מגופים שיש להם אחריות ואין להם תפקידים. אבל עדיין - - -

בחוק הגנת הפרטיות יש לו אחריות.

לא, סליחה, התכוונתי שזה יותר טוב מאנשים שיש להם תפקידים ואין להם אחריות.

בתקנות העברת מידע בין גופים ציבוריים יש לו כמה תפקידים. יש לו גם כל מיני אזכורים והפניות בחקיקה חיצונית. לא אכנס לזה.

אז אפשר להשאיר את זה בגופים ציבוריים.

למה זה נדרש? בחברה או בגוף ציבורי יש אחריות לאישיות המשפטית הכללית. אבל אם אין, פעמים רבות, כחלק - - -

אבל זו תורת האורגנים הרגילה. למה אתם צריכים? למה אין את ההגדרה הזאת בחוקים אחרים שמטילים אחריות על תאגידים? יש תורת האורגנים. כאשר אני מטיל אחריות פלילית על תאגיד, זה חל על האורגנים שלו בצורה כזאת, בצורה אחרת, לפי מבחנים שנקבעו בפסיקה, בדין הפלילי, בדין המינהלי, בדין האזרחי.

למה בנושא אבטחת מידע או מאגר מידע אני צריך לייצר איזו חיה מיוחדת של אחריות כזאת?

אבטחת המידע זאת אחריות. אבל מכיוון שמדובר בחובה מתמשכת, שכרוכה בהרבה תחומים - - -

לא הבנתי. וחובה לא לעשות זיהום אוויר – היא לא מתמשכת?

אבל היא כרוכה, בייחוד בארגונים גדולים - - -

במה אתם שונים מתקנות אוויר נקי?

אני לא יודע, כי לא מכיר את התקנות אוויר נקי.

מפקודת הנזיקין באופן כללי.

אני חושב שעצם כמות הזמן שאנחנו משקיעים בחוק הגנת הפרטיות, מעידה על-כך שנושא הפרטיות הוא קרוב לליבי, שאני מאוד מעריך וחושב שהוא חשוב. אף אחד לא יכול להאשים אותי שאני מזלזל בנושא הפרטיות.

אני תוהה למה הפרטיות של מאגר מידע היא נושא שאליו אני צריך לייצר דמויות ספציפיות, בניגוד לכללי התאגידים הרגילים, אבל אם בן אדם מחזיק פסולת רדיואקטיבית של כור אטומי – לא.

אדוני, התשובה היא שקיים קונצנזוס שהאחריותיות – חלוקת תפקידים בתוך הארגון ועוד כל מיני דברים שהם כלולים באחריותיות – היא כשלעצמה ערובה טובה מאוד לשמירה על רמה מינימלית של ציות או אפילו להעלאה שלה.

בעולם שבו אין חובה שיהיה ממונה על אבטחת מידע בארגון, רק לקבוצה מאוד קטנה, אין חובה ל-DPO עדיין, לממונה פרטיות, אין חובה להרבה דברים אחרים שקיימים ברגולציה בעולם, בדין הקיים שלנו - - -

בתיקון 15 יש את זה?

אנחנו עוסקים בזה, כן.

אז יאללה.

אבל אין עדיין. בעולם של היום - - -

אני מבין.

אדוני, זה אמצעי מאוד חשוב.

אבל אני הבנתי. אני מבין את הרצון לבוא ולהגיד: "תשמע, אתה כראש ארגון, בשנייה שאתה לא מבין בזה, תיקח בעל מקצוע שייקח ממך את האחריות". זה מייצר באמת אחריותיות ברמה מסוימת. זה גורם למינוי של בעלי מקצוע עם יכולות, עם כוחות, עם סמכויות, עם הבנות. מעמיד את הגורם הממונה על אבטחת מידע באיזושהי עמדת כוח מול הארגון להגיד: "חברים, אני מוכן לקחת את האחריות. אבל אם אתם לא מקשיבים לי ולא עושים את זה ולא קונים את הציוד הזה והזה ולא קונים את הפיירוול לדגם הזה והזה – אני לא מוכן לקחת אחריות, המזכירות לא תשלם". זה עושה משהו.

אתם לא עושים את זה. אתם כותבים בתקנות שהחובות החלות בתקנות האלה על בעל מאגר מידע, יחולו גם על מנהל המאגר.

כי החוק קובע את זה, אדוני.

אדוני, אנחנו בעולם של מגפת מתקפות סייבר. נתחבר רגע, נחזור שנייה ללמה אנחנו דנים בזה בעת הנוכחית. בעידן כזה, אחריות אישית למנהל המאגר – ופה הגדרנו שזה המנהל של החברה לתחום אבטחת המידע כפי שנקבע בסעיף 17 – היא דבר חשוב מאוד - -

אני בעדך.

- - כדי לקדם אבטחת מידע וסייבר במשק הישראלי.

אני בעדך. אני רק אומר שאחריות אישית כשמה כן היא. אחריות לא מתחלקת.

אחריות יכולה להתחלק.

אבל אם היא מתחלקת, אמרו חז"לנו: "קידרא דבי שותפי – לא חמימי ולא קרירי". כשיש הרבה שאחראים על התבשיל, התבשיל יוצא לא קר ולא חם.

אבל היא הנותנת, זה מה שקורה בתאגיד. אדוני, בדיוק זו הבעיה.

אני איתך. אבל אז אתה חייב להגיד, לצד האמירה של מנהל מאגר, שאם מינית מנהל מאגר שהוא כשיר לתפקידו, שיש לו שתי ידיים, שני רגליים, שתי אוזניים, הוא יודע לשמור על מאגר המידע במידה הנדרשת – אז הוא אחראי ולא אתה.

אתה לא יכול לבוא ולהגיד שאתה רוצה שיהיה גורם אחראי - - -

אדוני, סליחה שאני קוטע, אולי יש פה משהו לא ברור. ההגדרה בחוק אומרת שמנהל המאגר הוא או המנהל או המנכ"ל או מי שהוא מינה. אם הוא מינה, האחריות יורדת מהמנכ"ל. זה מה שכתוב.

זה כתוב, חד משמעית.

לא. זה כתוב על המנהל.

אבל אז מה זה אומר?

זה כתוב על המנהל, אבל לא על הבעל.

לא, האישיות המשפטית.

הבעל זה התאגיד.

בדיוק.

אבל "הבעל" – זה יכול להיות תאגיד, זאת יכולה להיות גם פרסונה.

במקרים חריגים.

מאחר שלא ביטלנו את תורת האורגנים הרגילה, אז כאשר תוטל האחריות על התאגיד, היא תוטל גם על האנשים – דרך התאגיד.

לא, הפוך.

מה הפוך?

- - -

אני חושב שהיחידים מחייבים את התאגיד, לא התאגיד את היחידים.

תלוי.

תלוי, זה דו צדדי.

אני חושב שאדוני צודק. אני חושב שהסיפור הזה של מנהל מאגר הוא ארכאי, הוא מעולם שבו לא היה עדיין DPO. כמי שמייצג אותם פה בכיסא, אנחנו מדברים היום על ארגונים שלא מבינים, הרבה ארגונים מהשוק הפרטי לא יודעים מה זה מנהל מאגר.

אתה בא למנהל HR ואתה אומר לו "אתה מנהל המאגר". אוקיי, בשביל רישום המאגר אנחנו צריכים למנות אותו. להטיל אחריות – אין לזה שום משמעות, ממילא מי שיהיה אחראי על זה בארגון זה מנכ"ל או נושא משרה אחר, הוא יישא באחריות האישית.

אין לזה משמעות. אני חושב שעדיף למקד את האחריות בנושא המשרה. אני חושב שצריך למקד את ההטלה של סמכויות נוספות על DPO. זה הרבה יותר נכון מקצועית, זה הרבה יותר נכון עניינית.

שאגב, ל-DPO, לפי ה- ,GDPRיש אחריות אישית.

יש הרבה בלבול בין אחריות לבין אחריותיות שהוזכרה כאן. באמת, ב-,GDPR כמו שעמרי אמר הרגע, ל-DPO יש אחריות לניטור, לוודא שעומדים בהוראות החוק. אבל אין חשיפה אישית, אלא אם התרשל. אני חושב שזה נכון גם לגבי הרמת המסך או ללכת אחרי תורת האורגנים שהוזכרה כאן קודם.

כלומר, אני לא רואה למה במקרים האלה נדרשת כאן האחריות הפלילית או האזרחית האישית.

סליחה, עוד הבהרה חשובה. זו טעות נפוצה. אין על מנהל המאגר אחריות פלילית. האחריות היא באבטחת מידע.

סנקציות מינהליות.

יש סנקציות מינהליות, עכשיו הן יהיו אישיות.

אחריות באבטחת מידע. עשויות להיות, אבל לא פליליות, זאת טעות.

בסופו של דבר, אבטחת מידע בארגון ממילא מנוהלת על ידי גורמים אחרים.

קנסות מינהליים על אינדיבידואל – זה לא דבר שהוא פרטי.

עיצומים כספיים.

קודם כל, אם היינו במצב האוטופי שהיינו דנים היום גם בתיקון 15 ולא 14, יכול להיות שלא היה שום צורך בכלל לדבר על הפונקציה הזאת של מנהל מאגר, שאולי מקומה בדפי ההיסטוריה. אבל אם אנחנו כבר משאירים את המונח הזה "מנהל מאגר", כל עוד אין תיקון 15, יש מקום ליצוק בו תוכן אמיתי ולא איזו מעין הגדרה כזאת שהיא לא אומרת שום דבר הלכה למעשה.

אם יש מנהל מאגר והוא פונקציה חשובה, ואולי צריכה להיות לו איזושהי רמה של אחריות, אז צריך להיות כתוב בתוך ההגדרה שיש לו אחריות לעניינים או לציות של בעל השליטה במאגר לדין, לדיני הגנת הפרטיות. זה צריך להיות כתוב בתוך ההגדרה הזאת.

עוד מישהו בנושא הזה?

אולי רק נגיד שוב פעם. קודם כל, יש תפקידים ספציפיים בתקנות אבטחת מידע, יש תפקידים ספציפיים וחשובים בתקנות העברת מידע בין גופים ציבוריים, למנהל. צריך בסוף דמות מרכזית.

- - -

בואו נמפה שנייה את הדעות שמסביב לשולחן. אין ספק שחשוב לדבר על מנהל מאגר בגופים ציבוריים. כלומר, תאורטית, בלי לפגוע באיש, העובדה שמי שעומדת בראש מערכת בתי המשפט בישראל הייתה נשיאת העליון, בכל זאת, לבקש ממנה להיות אחראית למאגר של מועמדים לשפיטה, בגלל שהוא מתנהל בהנהלת בתי המשפט? אני פשוט מזכיר את הליכי האכיפה שהיו ברשות להגנת הפרטיות. גם אם המידע שנאסף שם לא נרשם כדין, אני לא הייתי מצפה מנשיאת העליון שהיא תתעסק ברישום המאגר או בפיקוח על אבטחת המידע שלו, למרות שרסמית היא עומדת בראש הגוף. נניח, בהקשר הזה.

בגופים ציבוריים הפער הזה הוא מאוד משמעותי. לכן, כשרושמים את המאגר של גוף ציבורי צריך להגיד: הגוף הציבורי הוא יהיה משרד – הנהלת בתי המשפט, בית המשפט העליון או משרד המשפטים, לפי העניין; אבל מנהל המאגר הספציפי הזה – זה לא המנכ"ל של המשרד, אין לך מה לבלבל את השכל לאף אחד חוץ ממנהל המאגר הספציפי הזה. למעשה, מאחר שאנחנו עוסקים בגוף ציבורי, ככל הנראה שיהיה גם די חסר משמעות לפתוח בהליכי הפרה נגד שר או מנכ"ל, כי גם לא תטילו שם קנסות מינהליים כל-כך, זה חסר משמעות. לכן באמת חשוב לדעת מי האדם שרלוונטי לגבי גוף ציבורי.

כאשר אנחנו עוסקים בגופים עסקיים, פרטיים, כל האירוע הרבה יותר משונה. בדרך כלל לא חסרים לכם אנשים לדבר, למעט אם מדובר בחברה שהתאגדה באיי קיימן. להפך, תהיה לכם בעיה על מי לא להטיל את האחריות, כי יש לכם כל מיני גופים ואורגנים, יש לכם דירקטורים, יש לכם בעלי מניות, יש לכם בעלי שליטה, יש לכם מנכ"ל. יש לכם, לפי הכללים הרגילים של תאגידים.

מירה, את רוצה שגם לגבי רשויות מקומיות יהיה ברור שהן גוף ציבורי? את יודעת שבשנייה שאת מרימה את היד, אני חייב לעצור הכול ולתת לך לדבר.

ברשויות מקומיות החשיבות למנהלי מאגרים היא בכך שמאגר של הרווחה הוא לא מאגר של החינוך, הוא לא מאגר של - - -

ברור, ברור, זה נכון לכל גוף ציבורי.

כן, רק חידדתי.

כן, נכון.

הלוואי שיכולנו לומר ששם לא יהיו סנקציות מינהליות כנגד הרשויות המקומיות, שזו תהיה אותה הנחה של יושב-ראש הוועדה. הלוואי שיכולנו לומר את אותו הדבר. אבל - - -

אנחנו נדבר על זה בפרק האכיפה.

בגוף ציבורי אני מבין את הצורך במנהל, כי תורת האורגנים לא עובדת כמו שצריך בגופים ציבוריים. בגופים פרטיים, בעיניי זה – שוב, כל ההוראות בחוק שאני רואה לא מייחדות את עצמן למנהל, אלא מלבד העובדה של למצוא עוד מישהו, להטיל עליו או לחפש אותו.

תרצה שנעשה קצת ישיבה, נבדוק גם את תורת האורגנים?

כן, תעשו על זה שיעורי בית. אם תראו לי שזאת פרקטיקה נפוצה בדברי חקיקה, שמחפשים, כמו שדיברנו על פסולת גרעינית ששם כן רוצים לחפש אנשים ספציפיים ולהדביק להם את העניין, אז אני אדבר. אבל לדעתי אין סיבה שהפרטיות תקבל את הדבר הזה.

רק עוד מילה אחת לגבי המנהל הפעיל.

אין הגדרת מנהל פעיל.

ידוע, קראנו את הנושא. יש לא הרבה רשויות מקומיות שבהן אין מנהל כללי. יש מזכיר. אז מנהל כללי או מקביל או - - -

בסדר, הם יצטרכו להתאים את כל ההגדרה הזאת.

- - - זה יהיה ראש הגוף הציבורי.

אני אומר שוב. בעיניי, תתמקדו בגוף ציבורי וכאשר מדובר בגוף פרטי תייצרו איזשהו לינקג'.

אבל לא רק מבחינת התפקידים שמוטלים עליו כרגע בתקנות אבטחת מידע.

איזה תפקידים מוטלים על מנהל מאגר?

איזה תפקידים מוטלים על מנהל ולא מוטלים על בעל?

מוטלים על ממונה אבטחת מידע, לא על מנהל.

לא, הממונה כפוף למנהל.

לא.

כן.

לא, הוא כפוף ל - - -

אין חובות בתקנות אבטחת מידע שמוטלות באופן ספציפי על מנהל. אין.

בוא נתחיל להקריא את התקנה 3(1) לתקנות אבטחת מידע:

"ממונה אבטחת מידע יהיה כפוף ישירות למנהל מאגר המידע".

שנייה, לא לריב.

"ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל" - - -

זה ממונה אבטחה.

שנייה. תודה. רק רגע.

"ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל פעיל של בעל המאגר או המחזיק בו או לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר".

נכון, זה לכל אחד מהם. לא חייב להיות למנהל.

שנייה, נחת.

סליחה.

אז עניין הכפיפות – זאת אומרת שיש את ההגדרה, זה לא מטיל עליו חובה מיוחדת.

תקנה 18(א)(2).

"3(3) הממונה יכין תוכנית לבקרה שוטפת, יבצע אותה ויודיע לבעל מאגר המידע ולמנהל המאגר על ממצאיו".

זאת אומרת – זאת סמכות מקבילה. הלאה.

"18(א)(2) נהלים, להבטחת שחזור הנתונים כאמור בתקנה 17(ב), ובלבד שביצוע השחזור יהיה באישור מנהל המאגר".

לא רואה סיבה שזה יהיה דווקא מנהל ולא בעל המאגר.

"19(א) החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר – שזה שוב פעם מייצר את המקבילות – ולמעט החובות הקבועות בתקנות 2 ו-15(א) הן יחולו גם על מחזיק המאגר".

זהו, זה כל "מנהל המאגר" בתקנות אבטחת מידע.

יכול להיות שנצטרך להוסיף סעיף של התאמת מונחים או שתביאו את התקנות. אני לא רואה סיבה שבגלל שמישהו בתקנות אבטחת המידע כתב משהו שאין לו התכתבות עם תיאור המציאות – חוץ מזה, או להוסיף תקנה אחת שאומרת שבכל מקום שכתוב "מנהל המאגר בגוף ציבורי" – אלו ואלו; ובכל מקום אחר שכתוב "מנהל מאגר מידע" – הכוונה תהיה לבעל המאגר. רק בגוף ציבורי אני רואה את האבטחה הזאת.

אפשר לתקן את זה דרך הגדרה, יש דרך ניסוחית לטפל בדבר הזה. אבל לא בגלל שמישהו כתב פעם "מנהל מאגר מידע" בתקנות אבטחת מידע, אני אכתוב עכשיו את כל התקנות עקום.

אדוני, אפשר רק עוד שיקול אחד?

כן.

כאמור, יש דין מקביל, בעיקר ה-GDPR שאנחנו לומדים ממנו, עם חובת מינוי ה-DPO. אחד הדברים המרכזיים שאמורים לבוא בתיקון הבא - - -

DPO – זה ממונה, נכון?

זה ממונה הגנת פרטיות.

בגוף ציבורי?

לא, בגוף פרטי.

- - -

אתם רוצים להביא את החובה הזאת לחקיקה? אני לא בטוח.

הרעיון שצריך למנות גורם בתוך גוף עסקי – גם בתוך גוף עסקי, לא רק בתוך גוף ציבורי – שהוא אחראי על נושא הפרטיות, הוא לא זר ולא יוצא דופן בדין הישראלי.

אני בעד.

אני אומר שלא צריך לפתוח איזשהו פער, איזשהו ארביטראז', בין העובדה שנבטל את ההסדר הישן ועוד לא נחדש את ההסדר החדש. אנחנו לא מציעים כרגע - - -

זה לא פותר לך את זה. לגבי גוף ציבורי – אתה תצטרך מנהל, אני חושב שזה נכון שיהיה.

לגבי גוף פרטי – יהיה בעל מאגר. ואת ההתאמות לעניין התקנות - - -

לא, זה לא עניין של התאמות. זה עניין של אדם שיהיה אחראי.

בעל המאגר או הממונה שכפוף לו.

זה ההסדר של DPO, אבל עוד אין כזה.

תביאו הסדר שיגדיר ממונה הגנת הפרטיות. לא צריך מנהל מאגר, מה זה הדבר הזה?

אבל אין ממונה. אדוני, אולי זה לא הובהר. אין כרגע, בחוק הנוכחי, בניגוד לדין - - -

אני מוכן לשמוע אותך על לתת למנהל, ובלבד שאם אני כבעל מאגר מיניתי מנהל. כמו בגוף ציבורי, גם בגוף פרטי יהיה לי את אותו דבר. מיניתי בן אדם, הוא אחראי, שלום ותודה, לא רוצה להתעסק עם זה.

אז התאגיד יהיה פטור?

אז אתה לא מבין - - -

אם הגדרת ממונה הגנת הפרטיות, לא צריך מנהל מאגר. אין לזה שום משמעות.

תקשיבו, אי-אפשר לבוא ולהגיד "אני חייב עוד בן אדם כדי שיהיה לי על מי להטיל עיצומים כספיים", זה בפני עצמו לא טיעון שמתכתב עם האירועים. אפשר לבוא ולהגיד לי למה, איך זה פותר.

אמרתם נכון ויפה על-כך שמיקוד האחריות באדם זה דבר חשוב. אבל מיקוד האחריות באדם אומר שאני רוצה לדעת שפעלתי כדת וכדין כאשר עמדתי בחובתי ומיניתי בן אדם טוב. אחר כך – שלום תודה, תעזבו אותי בשקט.

אפשר להסמיך אדם אחר.

אבל זה לא נותן לך פטור.

זה לא נותן פטור. אז מה עשיתי בזה?

זה סתם מייצר אחריות מקבילה.

בסדר, אנחנו מכירים, אנחנו הולכים בסיבובים.

גם ב-GDPR, עובדה שמונה DPO לא פורתר עכשיו

אבל ל-DPO אין אחריות אישית ב-GDPR.

אבל על מנהל אתה כן מטיל אחריות אישית.

כרגע אנחנו מדברים על התפקידים.

אנחנו הולכים בסיבובים. אין לו תפקידים. אין לו. עברתי איתך על התקנות, אין לו שום תפקיד חוץ מלהיות זה שהממונה מדווח לו. נו באמת, קראתי יחד איתך את התקנות, למרות ניסיונות חוזרים ונשנים להפריע לי לקרוא את התקנות.

אני מסכים עם אדוני שלמנהל מאגר מידע באמת אין תפקידים משמעותיים. זה תפקיד מאוד מעורפל. העמדה של המועצה כפי שאנחנו הגשנו לוועדה, ומשרד המשפטים בוודאי יודע את זה, היא שבוודאי בהקשר של הגנת פרטיות צריך להיות שומר סף לנושאים האלה וצריך להיות מישהו שאחראי. לאו דווקא במובן של אחריות ישירה, אלא מישהו שאחראי במובן הזה של לטפל בפועל בתוך הארגון בנושאים האלה.

ובגלל זה החשיבות, בעינינו, להתייחס לעניין של ממונה הגנת הפרטיות כבר עכשיו בתיקון 14 ולא לחכות לתיקון 15, כי זה אחד הנושאים הכי חשובים שעל הפרק, על מנת שארגונים – גם גופים ציבוריים וגם גופים פרטיים הנכונים - - -

אגב, הגדרת מנהל מאגר נשמרת בתיקון 15 או שמבטלים אותה שם? בתזכיר, בטיוטה, מה בכוונתכם?

הכוונה היא להחליף באמת. אבל זה בדיוק העניין: להחליף, לא לבטל לפני שמינינו מישהו חדש.

אז תחליפו, אבל אל תשאירו לי שרידים ארכיאולוגיים שאחר כך נתווכח.

תחליפו עכשיו.

תחליפו עכשיו, זה גם ככה לא פרקטי.

אדוני, רק לעניין השרידים הארכיאולוגיים האלה.

מצאת עוד שריד?

אני רק רוצה להזכיר: ה-DPO, ממונה הגנת הפרטיות, הוא לא זה שמכתיב את פעולות העיבוד.

שזה בעל השליטה.

שזה בעל השליטה.

אבל את בעל השליטה אני לא ביטלתי.

זה יכול להיות גם בעלי תפקידים אחרים. אני לא רוצה שזה יבוא במקום המנהל עם אותה הגדרה.

הלאה, יש לנו יום ארוך, קדימה.

נראה לי שאפשר לעבור לסעיפים 8 עד 12. התחלנו אותם קצת בדיון הקודם, התחלנו לדבר על סעיף 8(א) רבה בהצעת החוק. כדי לעשות קצת סדר, הצענו שסעיף (א) קטן בסעיף 8 יאוחד עם (ג), כי מבחינת העניין הם אותו עניין. לפני או אחרי סעיף (א) שיבוטל נכניס את סעיף (א)(1), שזה בעצם 8(א) כפי שמופיע בהצעת החוק.

לעניין 8(א), אולי משרד המשפטים ירצה להציג אותו? התחלנו לדבר עליו, מאז עשינו עוד כמה הצעות לניסוחים שאני חושבת שאולי קצת יותר הבהירו את המהות. את הניסוחים הסופיים נשאיר לנסחות, כי זה עדיין אולי לא מנוסח בצורה מספיק טובה. אבל אני חושבת שזה קצת יותר מבהיר מה המהות, במיוחד הנוסח לחלופין.

אני רק רוצה לומר. כשמישהו ירצה אי-פעם לצחוק על משפטנים, הוא יקריא בקול את המשפט הבא: "בהתאם לעמדת הוועדה, מוצע לשלב את הוראות סעיף קטן (א) בסעיף קטן (ג) ולהקדים את סעיפי ההוראות המהותיות: 8א רבה יהפוך ל-8(א1), 10ב רבה יהפוך ל-8(ב), 10ג רבה יהפוך ל-10(ב1). את סעיף (א) שלהלן מוצע למחוק, שכן הוראותיו שולבו בסעיף קטן (ג)".

מה שנקרא "תקציר מנהלים בהיר". עכשיו אפשר להמשיך.

שלא תגידו שלא אמרנו.

היכולת לתאר באופן מילולי track changes במסמך.

אני אתייחס כרגע לנוסח שמופיע תחת "לחלופין" במסמך ההכנה של היועץ המשפטי. המטרה היא לפרט יותר כדי להבהיר בדיוק למה הכוונה. יכול להיות שזה באמת נדרש. אני מתחיל לפי סדר הסעיפים הקטנים.

אנחנו עכשיו כבר בעיבוד. הרעיון הבסיסי הוא לקבוע את האיסור על עיבוד מידע במאגר מידע שהושג שלא כדין, על כל מונחי המשנה שמשמשים כאן. זה הכלל הבסיסי, להבנתי הוא הוסכם גם בדיון הקודם. מכאן אנחנו עוברים לסוג של הגנה ספציפית לעניין הזה, סוג של תקנת השוק.

יש לי שאלה דווקא לגבי הכלל הבסיסי הזה. אני רוצה להעיר ולשמוע מה העמדה שלכם, אם אפשר. ב-GDPR האחריות היא על בעל השליטה ולא על המחזיק. המחזיק בעצם עושה את מה שבעל השליטה אומר לו. האיסור לא חל על המחזיק, אלא רק על בעל השליטה.

מה הסיבה שאתם רוצים להכניס פה את האיסור גם על המחזיק?

בגלל ההגדרה הרחבה של עיבוד ושל מחזיק. העובדה שמחזיק מעבד מידע עבור בעל שליטה, לפעמים הוא אסף בעצמו את המידע.

אם הוא אסף בעצמו, הוא הופך לבעל שליטה.

לא.

ב-GDPR, לא אצלנו. לא לגישתנו.

הוא לא עשה את זה עבור בעל השליטה. אם זה מחוץ להסמכה - - -

לא, לא, עבור. אבל האמת, לא ברור לי למה יש נפקות לשאלה. אם אומרים שלא ידע ולא היה עליו לדעת, זה מוציא אותו מכלל האיסור.

זה הסעיף הבא שאני חושבת שלא צריך להיות כאן.

רק תנו לו להציג, ואז נעשה.

בבקשה.

אנחנו מדברים פה על סעיף של תקנת השוק, למקרים שבהם יש איזושהי הפרה של הדין במהלך מסלול חייו של המידע, אבל לצורך העניין בעל השליטה או המחזיק לא יודעים ולא היה עליהם לדעת. בשפה הנזיקית הם לא מונעי נזק הטובים ביותר, מישהו אחר אחראי לנושא.

לכן אנחנו לא חושבים שצריך ליצור כפל עוולות לגביהם. מה הכוונה? יש איזושהי עוולה, מישהו כבר הפר את הדין. הם מחזיקים במאגר, הם לא יודעים ולא היה עליהם לדעת. אנחנו לא חושבים שנכון לקבוע עכשיו עוד עוולה חדשה שהם יהיו אחראים עליה.

סעיף קטן (3) עוסק בשאלה מה גורל המידע שעכשיו נאסף, כשקרתה הפרה של הדין בעת איסופו. ופה אנחנו חוזרים לסיפור של פגיעה קלת ערך. הרעיון הוא שאם אירעה פגיעה קלת ערך – לא פגיעה משמעותית-ליבתית – בזכויות, בהוראות של הדין מחייב, הנפקות האוטומטית לא תהיה מחיקה של המאגר, שזה מדובר בסנקציה קשה, גם על גופים ציבוריים. לדוגמה, הלשכה המרכזית לסטטיסטיקה אוספת מידע, איפשהו בדרך הייתה תקלה ועכשיו פתאום צריך למחוק פרטי מידע; והן בגופים עסקיים שיכול להיות שמטה לחמם מבוסס על איסוף המידע הזה, וכאמור, הם לא אחראים באופן ישיר להפרה.

על כן, המבחן הוא פגיעה קלת ערך. אם מדובר עכשיו במאגר מידע שנגנב, אז עם כל הכבוד יש כאן פגיעה, אי-אפשר להחזיק, או שילכו ויבקשו הסכמה של נושא המידע או שיצטרכו למחוק. אי-אפשר להחזיק מאגרי מידע שעצם החזקתם היא הפרה יסודית של הדין.

במסמך ההכנה יש פה שני נוסחים. הנוסח החלופי נראה יותר בנוי לתלפיות.

אנחנו מציעים את הנוסח הזה. הוא גובש בעצה אחת עם הייעוץ המשפטי לוועדה.

חבר הכנסת טיבי, אתה רוצה להתייחס לזה?

לא.

בבקשה.

אני רק אשלים את ההתייחסות לסעיף קטן (4), האפשרות של הרשות להגנת הפרטיות להודיע לאדם על הפרה של הוראות הסעיף ולהורות לו להפסיק אותה.

צריך יהיה לייצר להוראה הזאת מנגנוני השגה, מנגנוני התייחסות. באופן עקרוני, תאורטית, אתם יכולים להורות על מחיקה של כל מאגר בהוראה מינהלית, שזה בסדר, כי אני מזכיר לכם ש"אחסון" זה "עיבוד".

כתוב "להפסיק את ההפרה".

אם הרשות סבורה שאחסון המידע הזה והזה הוא הפרה, אתם יכולים להורות למחוק, זאת המשמעות של ההוראה. "אל תאחסן אותו יותר" – פירוש למחוק.

רק לדייק. זאת לא הוראה ישירה למחיקה. זאת אמירה של הרשם "אם לא תמחק, אתה מפר את החוק". יש הבדל.

אני רק אומר, קחו בחשבון. לא יודע אם זה כאן או שצריך להעביר את סעיף (4) לפרק הפרה מינהלית ועיצומים, כי זה סוג של התראה לפני נקיטת צעד מסוים. זו לא הוראה עצמאית מהותית, זו הוראת הפרה.

אנחנו נגיע לזה בעיצומים הכספיים. בהתאם למודל העיצומים, מאחר שיש פה שימוש בכמה ביטויים שהם עמומים, ההוראה - - -

אתה רוצה להיות הפרשן המוסמך של הביטויים העמומים? לא.

לא, לא, להפך. ההוראה מייצרת את הוודאות, ואז עליה אפשר להשיג שם, במודל העיצומים.

אני אומר שוב. מהותית, ההוראה חלה פה על בעל המאגר. סעיף (4) מעצם טיבו הוא סעיף של הפרה, עיצומים, התראה. לא משנה מה, הוא לא סעיף מהות, הוא לא מייצר עבורי את האיסור.

אני רק אומר שהוא לא מתאים פה, ניתן אותו במקום אחר. אני מבין את ההיגיון שבו, צריך לתת לו מענה. צריך להבין מה המשמעויות שלו, האם אפשר להשיג עליו ותוך כמה זמן. זה לפרק ההפרות והעיצומים, זה לא לפרק ההוראות המהותיות.

יש עוד הערות לסעיף זה? כן, בבקשה.

בהמשך לדבריה של ד"ר ארידור, אני רוצה להתריע כאן שהתייחסות למחזיק מאגר יוצרת הסדר שלא קיים ושיש לו השלכות פרקטיות. הלכה למעשה, כשהוראה כזאת באה ואומרת גם למחזיק מאגר "אתה צריך לוודא שאתה מנהל מאגר" או ש"המידע התקבל בהתאם לדין או שלא בניגוד להוראות הדין", ויש גם ידיעה - - -

שנייה, רק רגע. אני מבין מה אתה אומר. אבל בגלל ההגדרה הרחבה – יש דברים שכולנו מסכימים שחייבים להיות על המחזיק. גילוי – תמיד יהיה אצל המחזיק, נכון? איסור גילוי – מאחר שעיבוד הוא גם גילוי, נכון? אין ספק שאם הגילוי הוא בניגוד לדין, מי שיחול עליו – הכתובת זה המחזיק.

אני לא באתי ואמרתי עכשיו, הטלתי חובה – ובאמת, בסעיף (2): "נמסר המידע מגורם אחר ולא ידע ולא היה עליו לדעת כי המוסר פעל בניגוד לדין". אני כן בא ואומר שיש דברים בתוך "עיבוד" שהם בוודאי מאה אחוז אצל המחזיק. הם לא אצל בעל השליטה.

אדוני, אבל על זה קיים סעיף 16 עם חובת סודיות; ועל זה קיים סעיף 17 לגבי חובת אבטחת מידע – והכול חל על המחזיק.

אבל זה נחשב לעיבוד. ויותר מזה. נניח שאני קיבלתי מידע מותמם חלקית ועשיתי עליו הצלבה, בעיבוד, והפכתי אותו ללא תמים, הוצאתי אותו לתרבות רעה, עיבדתי אותו לתרבות רעה. הפעולה הזאת נעשית על ידי מחזיק, היא לא נעשית על ידי בעל שליטה.

אבל רק אם זה עבור בעל השליטה. אם המחזיק מבצע פעולה שהיא לא עבור בעל השליטה, אז הוא לא מחזיק - -

הוא לא מחזיק, בדיוק.

- - הוא פועל בכובעו כאדם שמעבד מידע ואז הוא יוצא מגדר הסיפור הזה. כל עוד הוא פועל כמחזיק עבור - - -

לא, הוא פועל כמחזיק עבור אחר, אבל הוא עשה על זה גילוי לאנשים שלא צריך, הלך ופרסם את המאגר באינטרנט.

בשביל יש את הסעיף 10ג' המוצע.

בשביל זה יש את הסעיף עם ההוראה המהותית.

לא, יש סעיף 10ג שיוצר הוראה מהותית, של איסור לפעול במידע בניגוד להרשאה של בעל השליטה.

אבל יש לפעול בניגוד להרשאה של בעל השליטה, שזה דבר אחד, ויש שאני בא ואומר לך "או שתפסיק את פעילות העיבוד" אם אנחנו מדברים עכשיו על סעיף (4) שיבוא למקום אחר.

אגב, חוץ מזה, האיסור לפעול בניגוד להוראה לא קשור לשאלת קלות הערך, לא קשור לזה האם היה צריך לדעתו או לא. זה עניין אחר.

נכון.

אני חושב שלגיטימי שאנחנו נטיל איזשהם חובות על מחזיק שהן עצמאיות.

אדוני, אם אפשר, אתן דוגמה שדנו בה במועצה. אם יש עכשיו ספק שמספק שירותי עיבוד נתונים לבית חולים – הספק הוא המחזיק, בית החולים הוא בעל השליטה. ההוראה כפי שהיא עכשיו, היא מתמרצת או דוחפת את הספק, את מעבד הנתונים, ללכת ולבדוק אצל בית החולים האם הוא אסף מידע על המטופלים – אותו מידע שהוא מעביר לספק לצורך עיבוד הנתונים – כדין.

זה לא התפקיד של המחזיק. בעל השליטה הוא זה שאחראי על זה.

יש בזה משהו.

כל אימת שיש חשש לניהול שלא כדין או איסוף שלא כדין, שלא נעשה על ידי הספק; או ידיעה קונסטרוקטיבית, הצל המרחף הזה, שיכול להיות שהספק צריך היה לדעת - -

כן, יש בזה משהו.

- - אתה מטיל על ספקים איזושהי חובה שלא קיימת, ללכת ולעשות בדיקות נאותות לבעלי שליטה. זה לא קיים.

במיוחד כשיש "היה עליו לדעת".

רגע, דן, אבל יש לי שאלה אליך. נניח שבית החולים אסף את המידע שלא כדין ועכשיו המחזיק מעבד אותו. לשיטתך, האם לא צריכה להיות שום חובה על המעבד להפסיק לעבד את המידע?

תהיה חובה. תהיה סמכות לרשות להורות לבית החולים להפסיק את העיבוד ובית החולים יצטרך להורות על זה לספק.

ומהרגע שזה הובא לספק, הספק הוא כבר לא בעל הרשאה להשתמש.

הוא עושה מה שאומרים לו לעשות. הוא לא אמור לבדוק את הדברים האלה.

עורך הדין אור-חוף, אבל אם בעל השליטה כבר קיבל את ההודעה והוא יודע, ונניח שגם המחזיק כבר יודע כי אנחנו הודענו ואמרנו לו שהמאגר הזה לא חוקי, רק שבעל השליטה עדיין לא שלח לו את ההוראה? הוא יכול להמשיך ולהפר, למרות שהוא מודע לזה שהמאגר מפר.

אז אפשר לתקן את זה ככה.

איך?

כמו שאמרת. ברגע שהוא ידע או ברגע שקיבל הוראה מהרשות. זאת אומרת, לתקן את זה - - -

- - -

אני חושב שכאן הבעיה. החשבתם את זה כאשר יש את הידיעה הקונסטרוקטיבית, כאילו יש הפרה של המחזיק בכך שהוא מחזיק מאגר כזה, עוד לפני שפניתם אליו.

זה הגיוני מאוד שתוכלו לפנות ושתוכלו לחייב אותו למחוק או להפסיק עיבוד. אבל שזה לא ייחשב הפרה של המחזיק מלכתחילה.

אני מסכים עם עורך הדין אור-חוף, שככלל, לא מוטל על המחזיקים לעשות בדיקות נאותות לבעלי השליטה.

אבל הסעיף הזה מחייב אותם.

לא, בדיוק הפוך.

"היה עליו לדעת" – זה מה שמפריע לנו.

בדיוק הפוך. אני מסכים עם הגישה העקרונית שאומרת שהמחזיק לא אמור לעשות בדיקות נאותות לבעל השליטה, לכן לא עליו לדעת האם בעל השליטה אסף את המידע כדין או לא.

אבל אם הוא יודע באופן פוזיטיבי – למשל כי הרשות הודיעה לו – והוא ממשיך להחזיק - - -

- - -

הוא לא יודע כי הרשות הודיעה לו. הרשות הודיעה לו – לא הופך אותו לשום דבר. הוא רק יודע שהרשות רוצה לנקוט נגדו במשהו.

אפשר לצמצם את זה רק ל"רשות הודיעה" או "בעל מאגר הודיע".

- - -

שנייה, לתת לנעמה לדבר.

באיזו סיטואציה אתה חושב שתחול על המחזיק כלל של "היה עליו לדעת"?

על המחזיק, ברוב המקרים, באמת לא עליו לדעת.

- - -

שנייה, באיזו סיטואציה?

צריך מקרה מאוד קיצוני של עצימת עיניים לגבי המחזיק כשהאחריות היא על בעל השליטה. אני אתן דוגמה. אם בהתקשרות בין בעל השליטה למחזיק הוטלו משימות מוגברות בתחום איסוף המידע על המחזיק, יכול להיות שבמקרה הזה זה מגביר את ההיתכנות שיהיה עליו לדעת.

אם הוא אוסף את המידע בעצמו עבור בעל השליטה, ולא בעל השליטה אסף את המידע.

תפנה לשליח, לבעל השליטה.

אבל אם הוא יודע, אם יש הפרה של הדין, אז לא מתחבאים כבר מאחורי - - -

אז תרשמו "ידיעה בפועל", לא "היה עליו לדעת".

אני אתן לכם דוגמה ל"היה עליו לדעת". למשל, הרשות פרסמה גילוי דעת מפורט שמסביר שבתחום מסוים מידע עם סימנים "1, 2, 3" הוא מידע שחשוד כגנוב. זה – "היה עליו לדעת".

אבל אז זה מטיל חובה על המחזיק ללכת ולבדוק את פרטי המידע, לוודא.

- - - החובה של המחזיק להודיע לבעל המאגר, ושבעל המאגר יטפל בזה.

זאת אומרת, אם בעל המאגר, בעל השליטה, הוא עברייני והוא מסרב, הוא רוצה שהמחזיק שלו ימשיך לבצע את העבירה.

אז שהרשות תודיע.

תודיע שמה?

שיש איזושהי אי-חוקיות במאגר הזה. ואז המחזיק מחויב להפסיק לעבד את המידע.

עם זה אני מסכים. אבל מה קורה במקרים שבהם הרשות לדוגמה פרסמה רשימה מובהקת של סימנים מחשידים?

אבל זה סימנים מחשידים, זה משאיר מקום לפרשנות.

אבל המחזיק לא תמיד יכול להיכנס לפרטי המידע ולבדוק את פרטי המידע.

כמובן למידע שיש לו בכלל גישה. אם המידע מוצפן לגמרי, אני מציע - - -

תאר לך מחזיק שהוא ספק ענן. הוא יודע בכלל מה הוא מחזיק?

בדיוק.

אם למחזיק אין דרך בכלל הדעת - - -

לא, יש לו דרך, אבל אין לו הרשאה, כדרך עיסוקו הוא לא ניגש למידע הזה.

אין לו הרשאה, הוא לא מוסמך להיכנס.

אתה מצפה כאן בכל זאת לבדיקה פרואקטיבית.

טוב, חברים, אני שמעתי. יכול להיות שצריך לפתוח את זה כשנגיע לסעיפים שעוסקים בחובות מחזיק. אני מסכים שלשים את החובות האלו על המחזיק, בטח בסטנדרט הזה, זה קצת קשה, בייחוד אם לא ידע ולא היה צריך לדעת.

אני חושבת שאם הוא ידע – על זה אין מחלוקת.

ידיעה בפועל – זה דבר אחר.

אם הוא ידע בפועל – זה בסדר.

גם לידיעה הזו יש המון ניואנסים. עדיין אין פה פסק דין חלוט.

אני לא מתנגד להסדר העקרוני. אני אתנגד או אתמודד עם הבעיה של דרכי הוכחה, עם מה מייצר ידיעה. כמו שאמרתם, פנייה של הרשות מייצרת ידיעה? אתם חושבים שכן. הרשות בוודאי חושבת שכן, יש לה חזקת התקינות המינהלית שמה שהיא אומרת הוא נכון. אני לא מקבל את זה, בטח לא בעולם הפרטי. ברור שאם אני מדבר על גוף ציבורי, אז כן.

אם היה מדובר בחברה שמעבדת את המידע עבור המוסד לביטוח הלאומי או עבור המשטרה, והייתי שהרשות להגנת הפרטיות אומרת שמה שאתה עושה הוא לא בסדר, אפילו שאתה חברה פרטית חיצונית שקיבלה מאורגן של המדינה שאתה עובד עבורו", הייתי מקום קצת אחר, בלי להיכנס כרגע לשאלת מריבויות על סמכויות בתוך הממשלה. כאשר עוסקים בגוף פרטי, בוודאי שמכתב פנייה מראש הרשות איננו מייצר ידיעה. אני לא חושב שזה לגיטימי.

הודעה על הפרה?

הודעה על הפרה – או שהיא נכונה או שהיא לא נכונה, או שאני אגיש עליה השגה או שאני לא אגיש עליה השגה, או שתנצחו בבית המשפט או שתפסידו בבית המשפט. אבל היא מייצרת אצלי ידיעה שמה שאני עושה הוא לא בסדר? אני לא מכיר את הכלל הזה.

רק להבהיר. ברור שאפשר להשיג ואפשר לנצח בבית המשפט. אנחנו לא בתחום המשפט הפלילי. אנחנו בתחום המשפט - - -

אבל המשפט המינהלי לא חל על גופים אזרחיים, עם כל הכבוד, אין חזקת התקינות המינהלית.

אנחנו לא מתערבים פה. להפך, אנחנו נותנים פה הגנה.

אתה אומר "אנחנו לא לוקחים להם את הדולרים, אנחנו שומרים להם על הדולרים". סליחה על האזכור של "הגששים".

חד משמעית. עקרונית, יש כלל בסיסי שהוא מוסכם. אם המידע נאסף שלא כדין - - -

אבל איך אני אדע את זה כמחזיק?

אז אומרים, אם אתה לא יודע - - -

שוב, אני מסכים. הסכמתי איתך עקרונית, שאם אני יודע שהמידע הזה הושג באופן לא חוקי, ככלל, אסור לי לעבד אותו. אבל השאלה שלי היא: איך אני אדע?

אדוני, אם יורשה לי. כשהרשות מודיעה, לדעתי אין ספק גם לגוף פרטי, למחזיק פרטי, שהוא יודע.

יודע שהרשות חושבת.

נכון. אבל מה יקרה אם הרשות הודיעה והגוף הפרטי לא חושב שהרשות טועה?

אז תטילו עליו קנס.

לא, הוא לא חושב אפילו שהיא טועה.

אז בחלוף 45 ימים זה יהיה חלוט.

חברים, למיטב זכרוני אתם חושבים, אמרתם את זה גם, שצריך לעבור לעולם העיצומים. הבעיה היא שאתם מנסים גם לייצר את העיצום וגם בדין המהותי. הדין המהותי הוא אחד. הפרת הוראה חוקית זו עבירה פלילית גם בלי הדין המהותי.

לא בהכרח. בחוק העונשין?

בחוק העונשין. אם אני הייתי נותן לכם סמכות לתת הוראות, זה משהו אחד. כרגע, לא נתתי לכם סמכות לתת הוראות. סעיף (4), בעיניי, הוא סמכות לבוא ולהגיד שאתם חושבים שיש הפרה. לכן אמרתי שאנחנו נעבור אליו בחלק של ההפרות המינהליות.

אני קיבלתי את ההערה פה. אני חושב שהמחזיק לא צריך להיות פה. ככל שיש חובות על המחזיק – חריגה בפעולה מההרשאה, כל מיני דברים כאלו – שרוצים לייצר אותם כעבירה, כהפרה, בסדר גמור, אני מבין, עם הגנות אחרות, עם כללים אחרים.

אבל פה החובות צריכות להיות על בעל השליטה במאגר המידע. אפשר לכתוב שבעל שליטה במאגר מידע לא יעבד מידע ולא יעביר למחזיק לעבד מידע, ואז ממילא אתם תוכלו לתת לו הוראה להפסיק לעבד את המידע. לדעתי, זה ייצר אמירה מאוד ברורה אצל המחזיק ש"מה שאתה עושה – לא חוקי", כי נתתי הוראה לבעל שליטה שאסור לו להעביר אליך. ואז, בסעיפים העוסקים במחזיק, תעסוק בזה.

אולי "לא יעבד לרבות באמצעות מחזיק", משהו כזה.

בסדר גמור.

עוד משהו לסעיף זה?

רציתי רק להוסיף שגם סעיף (2), האיסור על פגיעה בפרטיות, יכול לתת את המענה, כי בסופו של דבר, אם המחזיק יעבד מידע שלא למטרה שלשמה נמסר, גם שם אפשר יהיה - - -

זאת בדיוק הבעיה שאני רציתי להעלות עכשיו. אם מסתכלים על פסקה (2), שהיא פיסקת ההגנה במצבים של קבלת מידע מאחר שלא מקימה את הידיעה על אי-הפרה - - -

אז גם ב-(2) צריך את המילים "או המחזיק"?

לא, לא, להפך, המחזיק בהחלט צריך ליהנות מההגנה.

לא, לא, אנחנו לא מכניסים אותו בראש.

אתם לא מכניסים, אני מבין, אבל הסעיף (2) הזה שמנסה לייצר הגנה לפי סעיף זה, שכתוב בו "באחריות לפי סעיף זה", בסוף מרוקן מתוכן על ידי סעיף 2 לחוק הגנת הפרטיות עצמו, מכיוון שגם בעל השליטה במאגר וגם המחזיק במאגר, גם אם לא היה עליהם לדעת, אבל קיבלו מידע מגורם אחר, יכולים להיות בהפרה של סעיף 2(9).

לא.

לא, רגע, שנייה.

כן.

אנחנו אמרנו את זה בדיון הקודם, הבהרנו. יש כל מיני מקורות נורמטיביים שונים שמכוחם יכולה לקום אי-החוקיות, ולכל אחד ההסדר שלו.

אבל אתה מייצר פה פטור ספציפי. אבל הוא מרוקן מתוכן.

לא, לא, הוא לא מרוקן בכלל.

לגבי סעיף 2. יש את ההגנות שחלות על סעיף 2, שאחת מהן היא "לא ידע ולא היה עליו לדעת". כבר כתוב בחוק, לא צריך להמציא אותו עוד פעם.

אבל מה המשמעות של ההגנה? זה לא נכון. אין הגנה בסעיף 2 על "לא ידע ולא היה עליו לדעת" באופן גורף, יש שם עוד מגבלות אחרות.

תום לב, בסדר. מה שאני אומר, כמו שאמרנו בדיון הקודם - - -

בסעיף 2(9) , גם בעניין ציבורי, יש שם הרבה הגנות.

היה על זה דיון ארוך בפעם הקודמת.

נכון, בדיוק. אז אני אומר, כל הפרה של הדין - - -

"לא ידע ולא היה עליו לדעת", "אין אפשרות לפגיעה בפרטיות". חברים, אני לא נכנס ל-2(9). אם המחזיק השתמש במידע שלא למטרה שלשמה הוא נמסר - - -

אבל הוא – לא היה עליו לדעת.

אז יש לו אולי גם הגנות אחרות, מה אתה רוצה ממני?

אין לו הגנות אחרות, זאת הבעיה.

אדוני מציע ש"המחזיק" לא יהיה – לא ב-(1) ולא ב-(2)?

נכון.

עוד משהו לגבי סעיף זה?

אמרתי את זה בפעם קודמת ואני אחזור שוב פעם. אני חושבת שהסעיפים (2) ו-(3) לא צריכים להיות איפה שמדברים על הפרה. הם סעיפי הגנות והם צריכים להיות שם. ההפרה צריכה להיות הפרה. ואחר כך, כשאני אבוא לנסות להצדיק את ההפרה, אני אגיד שאת זה לא היה עליי דעת, פה יש תום לב, פה זה קלת ערך.

ברגע שקובעים בהפרה עצמה שהיא קלת ערך או שלא היה עליי לדעת, נותנים פה שיקול דעת למפר להחליט אם הוא הפר או לא הפר. זה בעייתי מבחינת הניסוח. זה לא יכול להיות באותו סעיף. זה חייב להיות כסעיף הגנות נפרד.

אני מניח שהשאלה היא לא נוסחית, אם להשאיר את זה בסעיף קטן או בסעיף ראשי.

לא, הוא צריך להיות בהגנות. תמצאו דרך.

אז זה הגנה, זה אחד הסעיפים.

היא אומרת כזה דבר: את החובה הכללית – תכתוב פה; את (4) – בחלק של ההפרות; ואת (2) ו-(3), כסייגים ל-(4), שתכתוב בחלק של ההפרות.

כלומר, אל תיתן לבעל השליטה את האפשרות לבוא ולהגיד שהפגיעה היא קלת ערך. אתה הפרת – הפרת. זה שכתוצאה מזה זה קל ערך והרשות לא תנקוט נגדך הליכים, או שאתה תוכל לטעון שלא צריך לנקוט נגדך הליכים כי זו עבירת קלת ערך – רק מה? מאחר שאנחנו עדיין לא בעולם של בסיסי העיבוד כמו שאנחנו רוצים, זה מייצר כלל "גזירה שאין הציבור יכול לעמוד בה" והחזרנו את כל השליטה ושיקול הדעת לידיים של הרשם האם לנקוט נגדך או לא. כולכם עבריינים, ועכשיו השאלה את מי אני תופס.

ולכן, (2) ו-(3) – ופה אני חולק עליך – כן צריכים להיות פה. יום יבוא, אולי, "אל תגידו יום יבוא – הביאו את היום", יהיה עיבוד מידע, יהיו בסיסי עיבוד ואז אפשר יהיה להוסיף את (2) ו-(3). אחרת כולם עבריינים. לפי סעיף (1), בלי (2) ו-(3) – אפשר להקיף בקונצרטינה את מדינת ישראל וזהו.

יש אפשרות נוספת, להכניס את זה כסעיף הגנות, אולי 18א רבה, אבל לא משנה.

לא, אבל השאלה שלי נוגעת לשאלה בידי מי ההגנה. האם אני עבריין – ועכשיו אתם תחליטו האם אתם משתמשים בהגנות כדי להטיל עליי; או שאני אומר לכם שאני לא עבריין כי זה קל ערך, כי לא היה עליי לדעת – ואתם גם לא תוכלו להגיד לי stop.

גם הוא צריך לדעת מה הוא עושה עם עצמו, עוד לפני שמישהו בא אליו. הוא גילה שמישהו אחר - - -

מובן. בסדר. יכול להיות שביום שבסיסי עיבוד יהיו יותר חדים וברורים, אפשר יהיה ללכת לקו שלך. אבל כרגע, לדעתי, כדאי לתת את הכוח לידיים של מחזיק המאגר.

כוח שליטה.

הכוח, ברמת הניסוח, זה שיקול הדעת.

לבעל השליטה.

לבעל השליטה, כן.

יש עוד משהו אחד שרצינו להגיד. בסעיף קטן (2) אנחנו היינו מבקשים, מציעים, לשנות את המילים "נמסר המידע" ל"הגיע המידע". לא כל פעולה היא פעולה אקטיבית. לא תמיד זה נמסר המידע. המידע גם יכול להגיע לא באופן של איסוף.

נפל ממשאית?

לא נפל ממשאית, אבל ברמת האיסוף - - -

אבל הבדיחה הזאת היא משמעותית. אם הוא נפל ממשאית, אז - - -

לא אמרנו שנפל ממשאית. אנחנו מדברים על - - -

אני מבקש, לפרוטוקול: כל הבדיחות של יושב-ראש הוועדה הן משמעותיות.

זה יהיה בתוספת לחוק, לא?

זה חידוד משמעותי לגורמים בתעשייה שיש להם את השימוש הזה. הוא לא מוסדר פה.

אתה אומר אם אני גנבתי את המידע, אם אני האקר?

לא, לא צריך להיות האקר.

אפשר לגנוב מידע גם מבלי להיות האקר אתה אומר.

אפשר לאסוף מידע באופן פסיבי, גם מבלי להיות האקר.

אבל זו טבעה של תקנת השוק. אם אתה מקבל אותו מסוחר בשוק - - -

לא, אני לא מדבר על לקבל אותו מסוחר.

אם אתה מוצא אותו ברחוב, אז אולי הוא נפל - - -

אם אתה אספת, אתה אחראי לאיסוף. אם אתה קיבלת את המידע ממישהו אחר ולא ידעת איך נעשה האיסוף, זאת שאלה אחרת.

אני יכול לאסוף מידע שלא נמסר. פה רשום "נמסר המידע".

אתה יכול לתת לנו דוגמה קונקרטית?

כן, תן תיאור.

למשל data scraping.

data scraping זה נאסף.

זה לא. אבל פה רשום שהוא נמסר, לא נאסף. "נמסר המידע". ההגנה בסעיף (2) מדברת על נמסר.

לא הבנתי. אתה עשית את data scraping על מידע של מישהו אחר שהוא גנב?

לפי מה שאנחנו דנים פה.

רגע, אתה עשית את ה- ?data scraping

לצורך הדוגמה.

אז אתה - - -

יש הסכמה לגבי המידע, אבל אני לא יודע אם הוא הועלה באופן חוקי או לא. לכן לא יכול להיות שזה יישאר כ"נמסר המידע". המידע הזה לא נמסר, הוא נאסף.

צריך להיות פה "הגיע המידע" אליו. ולא משנה באיזו דרך הוא הגיע. אגב, זה גם משרת את המטרה שלכם.

אבל שוב, זאת לא תקנת השוק.

מה זאת אומרת?

זה לא קשור.

אני אומר לך בתור חלק מהשוק.

זה אומר "הגונב מגנב פטור".

אתה אומר שבשוק שבו כולם גונבים?

לא, זאת לא גניבה. למה אתה קורא לזה גניבה? נניח שזה הועלה באופן חוקי לרשת.

נחזה להיות ככזה.

בדיוק, נחזה להיות ככזה שהועלה באופן חוקי. אני אוסף אותו. זה לא משהו אסור.

הסעיף הזה נועד למצב - - -

אז אתה אספת אותו.

אבל אדוני, ההוראה אומרת "נמסר". נמסר – זה באופן אקטיבי. ההגנה לא תחול עליי, כי יגידו לי "לא נמסר לך המידע, אתה אספת אותו". זה לא אותו דבר, הפעולה היא שונה. מישהו העלה מידע לרשת, הוא לא מסר אותו ישירות אליי. הוא נתן את ההסכמה שלו, לכאורה, מידע שנחזה, ואני לקחתי אותו.

עכשיו ההגנה הזאת לא חלה עליי.

אתה לקחת אותו מאחר.

לא לקחתי אותו.

לקחת אותו מאחר. הוא מסר. בשנייה שהוא פרסם משהו בפומבי, בצורה שניתן לעשות עליו data scraping, הוא נמסר על ידי המחזיק בו לציבור. זה מה שהוא עשה. אז הוא נמסר, אתה אספת.

הוא מסר – אתה תפסת.

הוא לא מסר לי, ולכן - - -

הוא לא מסר לך, אבל הוא מסר לעולם, הוא פרסם אותו ואתה סקריפטת או סקרפת אותו.

אני רוצה להעיר משהו שהוא אולי לא מקובל מבחינת החברים פה בשולחן. אבל אני באמת מנסה להבין מה האינטרס שלנו – ובדיוק השאלה הזו עוררה את זה – בתור מדינה, כשמדובר בזכות לפרטיות ולא בזכות קניינית שהיא זכות אדם, שהיא זכות יסוד, לתת הגנה של תקנת השוק? למה אני רוצה לאפשר המשך עיבודי מידע שנמסרו, הגיעו שלא כחוק, אם כביכול הפגיעה היא קלת ערך - - -

שנייה, את מדברת על פגיעה קלת ערך או על ידע או לא ידע?

לא, אני מדברת על עצם הרעיון להכניס לזכות יסוד – שהיא זכות אדם, שהיא זכות לפרטיות – את המושג בכלל, לתת אפשרות להמשיך לעבד מידע גם אחרי שאני יודעת שהוא עובד לא כחוק.

הפרת הדין קלת ערך היא לאו דווקא על הפגיעה בפרטיות. הפרת הדין יכולה להיות על חוקים אחרים שעוסקים בעיבוד מידע, יכולה להיות על הנושא של החזקה. מאחר שלעיבוד הגדרה מאוד רחבה ולהפרת הדין הגדרה מאוד רחבה, בהחלט יכול להיות שתבוא מה שנקרא – נדבר על זה יום אחד – הזכות להישכח, ויבואו בנושא המידע ויגידו "תמחק אותי", ויגלו דעה שבעיניהם זה לא קל ערך, גם אם אני חושב שזה קל ערך. אז זה לא יחשב קל ערך, או שהרשות להגנת הפרטיות תחליט שהיא אוכפת את זה ותתווכח איתך על המושג קלות דרך.

אבל הפרת הדין היא לאו דווקא הפגיעה בפרטיות. היא יכולה להיות עוד דברים. הפרת הדין היא לאו דווקא הפרת חוק-יסוד: כבוד האדם וחירותו, סעיף הפרטיות שבו. היא מושג מאוד רחב.

אני חושב שצריך לדבר כאן גם על איזונים. אולי זה יפתיע, ואולי זה ישמש בעתיד לטובתנו כשנדבר גם על תיקון 15, במהרה בימינו, שגם יטיל נטל על המשק. אבל צריך לומר שאמירה אחרת, אם נגיד: "הייתה איזושהי הפרה של הדין – אסור להחזיק את המידע" – המשמעות היא שגם פגיעות יחסית קלות בזכות לפרטיות יביאו לנזק, לפעמים כבד מאוד.

לשימוש.

טוב, חברים, התקדמנו. סליחה, אנחנו חייבים מתישהו.

אנחנו עוברים לנושא של איסור שימוש או החזקה במידע בלא הרשאה. יש לנו כאן את ההצעה של סעיף 10ג רבה. יש לנו את הסעיף הקיים בחוק. בכל מקרה, אנחנו רוצים להכניס את זה כ-(א2). עשינו כאן שינויים.

עמית, אתה רוצה להציג אותם?

אנחנו מדברים על סעיף 10ג רבתי להצעת החוק הממשלתית, עם שני סעיפים קטנים (א) ו-(ב) שמבחינים בין שימוש במידע לבין החזקה של המידע. לאור ההגדרה החדשה והמקיפה של עיבוד, כבר אין צורך בהבחנה בין שני הסעיפים.

"לא יעבד אדם מידע אישי ממאגר מידע, בלא הרשאה מאת בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור".

עם הגנה מצומצמת מסוימת שאנחנו מציעים לעניין הספציפי הזה:

"לעניין סעיף זה "עיבוד" – למעט אחסון באקראי ובתום לב".

הכוונה היא מצד אחד להבהיר את המובן מאליו, באופן עקרוני, שמידע במאגר מידע, עיבוד שלא דורש הרשאה מבעל השליטה, אפשר לעבד אותו ללא הרשאה מבעל השליטה. מצד שני, מקרים אינצידנטליים, בעיקר בפעולה של כל מיני מערכות טכנולוגיות, כשיש אחסון לא מכוון של המידע, בגלל ההגדרה המרחיבה של "עיבוד", לא ייתפסו בגדר האיסור הזה.

דוגמה קלאסית היא אדם שקיבל דואר אלקטרוני, הוא שמור אצלו, הוא מחזיק אותו. לא הייתה לו כוונה להפר. אבל לא נדרשת כוונה בעוולות אזרחיות. לכן חשבנו שנכון להעניק פה את ההגנה הזאת.

שתי מחשבות. אחת, מכיוון שהמונח "אדם הוא לרבות תאגיד" בהקשר הזה, וזה בסדר, אבל רק אולי להבהיר שהאדם הזה הוא לא בעל השליטה עצמו. אדם, למעט בעל השליטה במאגר. בעל השליטה במאגר לא נותן הרשאות לעצמו. בעל השליטה במאגר הוא בעל השליטה במאגר.

מובן מאליו, לא צריך.

הוא מרשה לעצמו.

ושתיים. ההרשאה – וזה מתכתב גם עניין האקראי ותום הלב – אולי אפשר לדבר גם על הרשאה במפורש או במשתמע. בהחלט יכולות להיות הרשאות משתמעות. הרשאה זה נשמע כמו הרשאה טכנולוגית, במובן של - - -

לא.

אני שואל, אני חושב שזה דיון ראוי לפרוטוקול, מה המשמעות להרשאה כאן. הדוגמה של דואר אלקטרוני - - -

לא מדובר פה בהרשאה שהוא קיבל username.

לאו דווקא ייפוי כוח.

וגם לא כתובה חתומה.

נכון.

ולכן אני אומר.

המונח "הרשאה" משמש גם בתקנות אבטחת מידע בצורה נרחבת. בשום מקום לא נכנסנו לרזולוציה הזאת.

ברור. לא, אין צורך, אני חושב שזה מיותר.

דווקא טוב לנו שזה מורחב, ההרשאה.

לא, אני רוצה להבהיר.

הסעיף הזה מתכתב עם Article 29 GDPR. ההבדל המשמעותי ששם יש היתר נוסף לעיבוד על פי הוראות הדין. אני חושב שזה חסר כאן.

כל החוק הגנת הפרטיות חוסה תחת סעיף 35 לחוק. הוראות חוק הגנת הפרטיות לא גורעות מכל דין אחר. אם יש דין ספציפי שהתיר לעבד מידע באופן ספציפי, לפי כללי הפרשנות המקובלים בתוספת סעיף 35 הדין הספציפי גובר על הדין הכללי.

עוד משהו לסעיף זה? מצוין, הבה, נתקדם.

אולי פה אני אבקש להעיר משהו. מופיע כעת במסמך הכנה סעיף 10ב. הממשלה מבקשת לדלג כרגע על הסעיף, יש בדיקות.

מאז 2009 לא ניסחנו אותו.

לא, ניסחנו. הכוונה המרכזית שלנו היא להתאים את הוראות הדין המהותי למודל העיצומים הכספיים שיאפשר אכיפה, שזאת אולי התכלית המרכזית של כל התיקון 14. אין לנו כוונה לעורר בעיות וקשיים אחרים בתחום המותר והאסור בעיבוד מידע.

מה מותר ומה אסור בתחום עיבוד מידע?

מה שהיה מותר אתמול, יהיה מותר מחר.

סעיף שמירת דינים.

לא, זאת המטרה באופן עקרוני. באופן מעשי, יש פה שתי מערכות דינים - - -

הבעיה העקרונית ובאופן מעשי שאף אחד לא יודע מה מותר ומה אסור בתחום עיבוד המידע. ולכן אני מאחל לכם הצלחה מרובה בניסוח סעיף 8ב החדש ואני אעבור לסעיף הבא. אני מאחל לכם הצלחה באיך להגדיר את הבלתי-מוגדר. ואנחנו נעשה זאת, נגדיר את אשר לא ניתן להגדרה.

כן, בבקשה.

הגענו לחובת הרישום. כמו ציינתי מקודם, היום זה נמצא ב-8(א) וב-8(ג). 8(א) עוסק בחובת הרישום ו-(ג) עוסק בשאלה מה הנסיבות של הרישום. מבחינת העניין, חשבנו שאפשר לאחד אותם ביחד.

מוצע נוסח חדש, גם בשים לב להערת הוועדה בפעם הקודמת, שביקשה לצמצם את חובת הרישום לסוחרי מידע ולמאגרים ציבוריים.

אני אקריא את (ג) המחודש:

"לא יעבד אדם מידע אישי במאגר מידע ולא ירשה לאחר לעבד עבורו מידע כאמור, אם המאגר הוא אחד מאלה, אלא אם המאגר נרשם במרשם או הוגשה בקשה לרישום המאגר לפי הוראות סעיף 9 וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום המאגר".

"(1) אחת ממטרותיו העיקריות של המאגר היא איסוף מידע אישי לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר – נשקול מבחינה ניסוחית את הנושא של "כהגדרתם בסעיף 17ג" – או שהמידע האישי שבמאגר נמסר או מיועד להימסר לאחר בתמורה, ובמאגר למעלה מ-10,000 נושאי מידע;
(2) בעל השליטה במאגר המידע הוא גוף ציבורי, כאמור בפסקה (1) להגדרה "גוף ציבורי" שבסעיף 23, למעט מאגר מידע הכולל מידע על עובדי הגוף הציבור בלבד – זאת הצעה שלנו, כדי להוריד את המספר".

אני חושבת שבמובן מסוים מטרת הרישום של גוף ציבורי היא כדי לדעת שהמאגר קיים. נראה לי שזה די ברור שלכל גוף ציבורי יש רשימת עובדים.

רק חשוב להגדיר פה. מאגר רשימת העובדים – זה ברור, מצד הרישום לא צריך, החובות המהותיות יחולו עליו בכל מקרה. הבעיה היא שהרבה מאוד פעמים גופים ציבוריים מחזיקים מאגר על עובדים, גם על עובדים לשעבר וגם על מועמדים. לכאורה זה לא נותן להם את ההגנה.

נניח שאני כותב "עובדים, עובדים לשעבר, מאגר המועמדים". מאגר מועמדים לשפיטה לצורך העניין, שזאת בכלל שאלה האם המועמדים לשפיטה נחשבים לעובדים. הם לא נחשבים עובדים. אבל גם מאגר מידע – שופטים הם לא "עובדים", גם חיילי צה"ל אינם "עובדים", גם שוטרים אינם "עובדים".

אדוני, דווקא במאגרים האלה יש איזו מורכבות, מעבר לעובדים סתם.

אני מבין, אתם רוצים שזה יחול עליהם. זאת אומרת, צה"ל יצטרך לרשום את המאגר של משרתי החובה ומשרתי המילואים, הוא יצטרך לרשום את זה כי הם לא עובדים שלו. אבל את האזרחים עובדי צה"ל הוא לא יצטרך לרשום.

אני מחדד מה הכוונה פה בסעיף.

אין הצדקה להקל דווקא. ראשית, כפי שאדוני יודע, אנחנו מלכתחילה הצענו חובת רישום מצומצמת יותר ביחס לגופים ציבוריים. הוועדה הרחיבה את הנושא הזה. בעניין ההבחנה שאדוני מזכיר, אנחנו לא רואים לנכון להקל דווקא עם המועמדים, לצורך העניין על קורות חיים שנשלחים.

זה לא עניין של להקל. השאלה אם רושמים אותם.

העובדים – ההחרגה הזאת שהיא הצעת הייעוץ המשפטי לוועדה, מקובלת עלינו.

אבל המאגר על מועמדים – יצטרכו לרשום?

כן.

בסדר גמור, אני בעד.

למה עברנו מ"בעל שליטה במאגר מידע" ל"אדם", בהקשר הזה? "לא יעבד אדם מידע אישי" וכו' "ולא ירשה לאחר לעבד עבורו". לא ירשה לעבד עבורו – זה אומר שאת בעלת השליטה במאגר. אולי זאת טעות ניסוח, אבל משתמע ממה שכתוב פה שעכשיו המחזיק צריך לבדוק אם יש רישום, אם יש בכלל כניסה לתנאי הסף לרישום, האם בכלל מדובר במאגר שחייב ברישום. זאת טעות?

לכאורה פה המצב קצת יותר קל, כי אם מבוקש לעבד מאגר מידע עבור סוחר מידע, תוודא שבן אדם שאתה מעבד עבורו את המידע פעל ורשם את המאגר. לא חלה עליך החובה, אבל כן תבדוק.

וכנ"ל אם אתה מעבד מידע עבור גוף ציבורי.

ואם אתה נותן שירותי אחסון, למשל?

זה יכול להיות גם אחסון בענן. איך אפשר לנהל את זה? זאת לא חובה הגיונית.

החובה צריכה להיות על בעל השליטה.

זה מאוד דומה לעניין עם המחזיק מקודם. אין היגיון בזה. החובה המהותית לרישום היא על בעל השליטה. מה זה משנה אם אדם בסוף קיבל הרשאה? "אדם" – יכול להיות גם עובד של בעל השליטה, לצורך העניין.

יש בזה משהו.

יכול להיות שבאמת כדאי לפצל את (ג) חזרה איכשהו, ל-(1) ו-(2), כדי לחדד קצת את הרישום מול - - -

כן, שומע, אוקיי.

עוד משהו, חוץ מזה?

הערה להגדרה של אותם data brokers. ברישה, מטרותיו העיקריות זה איסוף מידע לצורך מסירתו. למה לא "מכירתו לאחר"? יש גם הגדרות בדינים אחרים, למשל ב- CCPAבקליפורניה יש הגדרה מיהו data brokerוהיא עוסקת בשאלת מכירת המידע בתמורה.

זאת אומרת, זה לא סתם כל מצב שבו הוצאתי מהמאגר מידע - - -

בדרך כלל, "דרך עיסוק" – נותן משהו בתמורה. זה נועד למנוע, כי בדרך כלל בן אדם לא עושה משהו כדרך עיסוק מטוב ליבו. לכן, לעניין התמורה בדרך עיסוק מכסה את זה.

זה נועד למנוע אירוע חד פעמי. זה נועד למנוע סיטואציה לכלול מישהו שעושה את זה באקראי או אגב פעולה אחרת.

אבל זה מעורר את השאלה מה זה אחת ממטרותיו העיקריות של המאגר. כשמנהלים מאגר או קובעים מסמך הגדרות מאגריים לא מתעדפים, אין רשימת מטרות עיקריות או מטרות משניות של המאגר. מסירה של מידע, כמו שאדוני אמר, אינצידנטלית או אולי במספרים קטנים, כחלק מעיסוק, לא בהכרח הופכת גוף להיות .data broker

data broker זה גוף שכל תכליתו העסקית ומהותו הכלכלית זה מסירת מידע לאחר. היא לא אחת מהמטרות.

בניסוח המקורי היה "המטרה העיקרית". אם אני מוסיפה עוד שתי מטרות, אז עכשיו אני בעצם פטורה מזה?

קודם כל, בהחלט יכול להיות. אני לא יודע.

אני רוצה לקרוא לילד בשמו. מסירה של מידע לאחר כדרך עיסוק, שהיא לא סחר במידע, זה בעיקרו של דבר תעשיית הפרסום האינטרנטי. זאת תעשייה שבה יש מסירת מידע ובהיקפים גדולים, כדרך עיסוק, אבל הם לא סוחרי מידע. הם לא מוכרים את המידע, אבל זה חלק מהותי מהעיסוק שלהם.

וזאת שאלה עקרונית, האם אנחנו רוצים להכניס את התעשייה הזאת לגדר הגופים שצריכים לרשום את מאגרי המידע שלהם או לא - -

גם ספקי תקשורת.

- - או להשאיר את הרישום הזה רק לכאלה שממש סוחרים, מוכרים מידע במשמעות הברורה והפשוטה של העניין.

אני אקריא את ההגדרה של CCPA הקליפורנית, רק כדי שנהיה .on the same page בקליפורניה, ההגדרה של data broker היא:

“as businesses that knowingly collect and sell to third parties the personal information of a consumer with whom the business does not have a direct relationship”.

זה הרעיון.

ומה ההגדרה של sell שם?

- - -

יש הגדרה.

יש הגדרה, אבל התמורה היא לא חלק ממנה.

לא, התמורה היא בהחלט חלק ממנה.

ובכל אופן, צריך לבדוק מה ההגדרה של sell, כי נדמה לי שהיא רחבה.

אין בעיה.

אבל בכל מקרה, גם במקרה שבו עסק מפיץ מידע לרבים, הוא לא מקבל תשלום ישיר, אבל הוא מפיק תועלת מסחרית עקיפה או ישירה, זו סיטואציה, זה תרחיש שאנחנו רוצים שההסדר יחול עליו ויש לזה כל ההצדקות.

לא ברור לי. אני לא מצליח להבין.

כפי שציינה היועצת המשפטית, בהצעת החוק הממשלתית נכתב "מטרתו העיקרית של המאגר". אנחנו הצענו את זה, אז כמובן שזאת חלופה שמקובלת עלינו, אלא אם הוועדה רוצה לכתוב את זה אחרת. אני חושב שזה נותן מענה.

אגב, זה קיים היום בתקנות אבטחת מידע, זאת לא הגדרה חדשה.

אגב, וגם אין פה threshold של מספר, של כמות.

לא, יש.

לא, זה רק לגבי החלופה בסיפה, שהיא - - -

10,000.

אני לא בטוח אם זה חל על הכול.

כן, לדעתי ה-10,000 חל על הכול.

כן.

כן.

10,000 זה מספר מאוד נמוך, כהפרש עוד לרישום, בנוסח החדש.

בסדר, מבחינתי ש- data brokerיירשם מהיום הראשון, עוד לפני שהוא מתחיל.

10,000 – זה מידע שיש לו במאגר. זה בכלל לא אומר שהוא מסר מידע.

אבל אם מטרתו היא – אז גם מאז שהוא מתחיל. אבל בסדר.

אבל שים לב, יש שם הגדרה נוספת: "או שהמידע האישי שבמאגר נמסר או מיועד להימסר". זה כבר לא מטרתו העיקרית. זה אומר שפשוט הפעולה הזאת קרתה, נמסר מידע מתוך המאגר.

שוב, מה ההצעה הממשלתית? תקריאו אותה.

לחזור ל"מטרתו העיקרית"?

כן, ההצעה הממשלתית היא: "מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק" – וההמשך שכתוב.

מצוין.

לא, אבל אז בלי הסיפה הנוספת: "או שהמידע האישי שבמאגר נמסר או מיועד להימסר לאחר". זה מחטיא את הרעיון. אם אנחנו מדברים על מטרה עיקרית – מטרה עיקרית.

לא, למה?

לא, לא, בהתאם להצעה של הייעוץ המשפטי. "מיועד להימסר לאחר".

אני מבין שזאת ההצעה. אני מסביר את הקושי שבה.

שנייה. מה הדלתה שאתה חושב? לא הבנתי.

אם אנחנו אומרים שהרציונל הוא ש"מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר", אבל אנחנו מכניסים בדלת האחורית "או שהמידע האישי שבמאגר נמסר לאחר".

קרה. זו לא מטרתו.

בתמורה.

אז מה? אבל זו לא מטרתו העיקרית של המאגר.

עם זה אני מסכים. הנושא של מידע שנמסר לאחר בתמורה – זאת לא המטרה העיקרית של המאגר, לא המטרה העיקרית של המוסר. זה באמת מכסה כמעט את כולם.

יותר מזה. לדוגמה, אני לא ,data broker אבל אני מכרתי עסק עם רשימת לקוחות. יש לי עסק, יש לי רשימת לקוחות, יש לי מועדון לקוחות. אני מועדון לקוחות של שופרסל או של רמי לוי. אני מחליט לסגור את העסק שלי ולהעביר את מועדון הלקוחות שלי למישהו אחר. לא ,data broker לא בשביל זה הקמתי את המאגר. חשבתי שאני אנהל את מועדון הלקוחות לנצח. רק מה לעשות, נהייתי חבר הכנסת, החלטתי שלנהל מועדון לקוחות זה כבר לא בשבילי ומכרתי את המאגר למישהו אחר, כולל את כל הפעילות של המועדון עם המאגר שלו.

עכשיו מאגר מידע חייב ברישום, כי הוא נמסר לאחר בתמורה.

יש לי הצעה, כדי שיהיה ברור, הרכיב של בתמורה הוא גם צריך להיות מטרה עיקרית אם אני מבין נכון ואם לשם מכוונים. אפשר לכתוב כך, אני מקריא מההתחלה:

"מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, או בתמורה, לרבות שירותי דיוור ישיר".

בלי המילים "או שהמידע". לדעתי – בסדר גמור.

אני מציע להחריג מקרים של עסקאות מיזוג או עסקאות מכירה וגם מקרים שבהם ה- consumer נתן את ההסכמה שלו.

זה מוחרג.

זאת לא המטרה העיקרית.

זה מוחרג.

זה צריך להיות ברור.

אז אני אומר – זה מוחרג, כי אז זאת לא המטרה של המאגר.

אשמח לקבל הבהרה מחברינו במשרד המשפטים: למה הכוונה, בהקשר הזה, "לרבות שירותי דיוור ישיר"? אני קוראת במקביל את ההגדרה בחוק, של שירותי דיוור ישיר, אחד הסעיפים הארכאיים הרבים בחוק הקיים, שכתוב:

"מתן שירותי דיוור ישיר לאחרים בדרך של העברת רשימות, מדבקות או נתונים בכל אמצעי שהוא".

האם הכוונה שכל מי שמבצע פנייה של טלמרקטינג עבור בעל השליטה, צריך להירשם? או מי שנותן רשימה?

מי שמעביר לאחר את השמות.

לא, רגע. אבל יש הגדרה לדיוור ישיר. ההגדרה, עם המדבקות, היא רק כדי להבהיר שזה לאחרים.

אם אני מעביר את המדבקות להרבה מאוד אנשים?

- - -

שוב פעם, ההגדרה - - -

בסדר, אני לא נכנס לזה פה, לדעתי הכוונה בסעיף הזה ברורה. הרעיון הוא שגם מי שמחזיק מיילינג ליסט – לטובת מכירת מיילינג ליסט.

לטובת מכירה. אבל אם הוא מחזיק בזה עבור ארגון – הוא מחזיק, הוא לא בעל שליטה.

נכון.

אם הוא קבלן והוא לא מעביר את השמות לבעל השליטה, אלא רק עושה בזה פעולה, אז לא.

בסדר. אני חושב שאנחנו מציפים פה שההגדרה של שירותי דיוור של דיוור ישיר היא הגדרה - - -

לא טובה.

כולנו יודעים שהיא כבר לא עובדת היום כמו צריך.

אז למען הסר ספק: שירותי דיוור ישיר – נכנס להגדרה.

נכנס להגדרה במצב שבו נותן שירותי הדיוור הישיר הוא בעל שליטה במאגר בעצמו, כי אחרת אין לו חובת רישום.

כן, בדיוק.

כן, כשהוא מעביר.

יש קושי בהגדרה עצמה. ברור שזאת לא בעיה בתיקון 14, אבל דיוור ישיר מוגדר כפנייה אישית לאדם בהתבסס על השתייכותו לקבוצת אוכלוסין וכו'; ו"שירותי דיוור ישיר" – זו מתן שירותי דיוור ישיר לאחרים.

אבל כמו שאמר היושב-ראש, הכוונה ברורה.

- - -

גם אם זה לפרוטוקול, חשוב להגיד את זה: בסוף, המחזיק לא חייב ברישום.

בסדר, רבותיי בואו תקדם.

(ג1).

(ג1) – זה מה שנשאר לנו מהצעת החוק המקורית, ביחס למידע בעל רגישות מיוחדת. אני ניסיתי להתאים את זה.

"בעל שליטה במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות למעלה מ – הוועדה תחליט 100,000 או 500,000 – ושלא חלה עליו חובת רישום לפי סעיף קטן (ג), חייב למסור לממונה את הפרטים המנויים בסעיף 9(ב) - -".

בהצעת החוק היה כתוב גם (1), אני חושבת שזאת טעות.

"השר, באישור ועדת החוקה, רשאי לקבוע הוראות לעניין אופן הדיווח לפי סעיף קטן זה".

אולי אני קצת ארחיב, כי יש לנו כאן הצעה טיפה יותר רחבה. הוועדה כיוונה לכך שביחס לכל מי שלא גוף ציבורי ואיננו data broker, תהיה חובת יידוע.

יש לי הצעה לסדר. מאחר שזה נושא שהוא פתיחת חזית שנייה בצפון, במזרח, במערב, בואו נצא להפסקה, ניתן לאנשים להתרענן לפני זה, ונשוב ונתכנס.

נשוב ונתכנס בשעה 12:15.

(הישיבה נפסקה בשעה 11:45 ונתחדשה בשעה 12:15)

חזרנו. לצערי, האמירה שלי מהבוקר – לא זכינו שהיא תתקיים, קיבלנו עוד בשורה קשה. המלחמה שאנחנו נלחמים לטובת מדינת ישראל, עם ישראל, ארץ ישראל, גובה מחירים שקשים מנשוא. אנחנו ננחם את המשפחות ונקווה שבאמת לא נתרגל, חס ושלום, חס ושלום. לא נקבל את זה ולא נתרגל. ה' ייקום דמם.

משרד המשפטים, בבקשה. אני מתנצל על המעבר החד הזה.

בהמשך להצעת הוועדה מהדיון הקודם להמיר את חובת הרישום ביחס לכל מאגר שאיננו של גוף ציבורי או של סוחר מידע או data broker, להמיר אותה בחובת יידוע, אנחנו מציעים מודל של חובת יידוע שחלה על מאגרים גדולים, כלומר מאגרים שמלכתחילה מעל 100,000 נושאי מידע.

פירטנו במסגרת ההצעה שלנו איך אנחנו רואים את זה, היא הועברה לוועדה, מקווה שלאדוני יש את זה. אפשר גם להעביר לאדוני עותק, העברנו במסמך נפרד, הוא גם עלה לאתר הוועדה. ראשית, אנחנו מציעים, מבחינת מה שיימסר לרשות, מתוך הבנה שהמטרה היא לאפשר לרשות, באמצעות חובת היידוע, לזהות איפה יש מאגרים שמפאת רגישותם – סוג המידע שמוחזק בהם, סוג העיבוד – הם מצריכים איזושהי בחינה ספציפית יותר, בין בהליך אכיפה, בין בדרך אחרת, אבל מצריכים תשומת לב מיוחדת, בלי שזה יהיה רישום, בלי שזה יהיה פרה רולינג, כפי שאדוני הגדיר בפעם הקודמת.

לצורך כך, פירטנו איזה מידע אנחנו צריכים. קודם כל, יש לנו את הפרטים - - -

אני אקצר. בגדול, יש שם היום את הפרטים שמופיעים היום בחוק, בתוספת מסוימת.

נכון.

אתם העברתם, זה נמצא באתר הוועדה. למי שנמצא, זה מולו. את חובת היידוע, את כל הפרטים שנמצאים היום ברישום. בנוסף, את פרט (7), שזה:

"פרטים בדבר אופן קבלת ההסכמה לעיבוד המידע או מקור סמכות המתיר עיבוד כאמור, ככל שעיבוד המידע במאגר כרוך בפגיעה בפרטיות".

למה אתם מוסיפים את זה?

כי אחרת אין צורך בהסכמה או במקור סמכות. זאת אומרת, לפי המבנה שבחוק.

הוא שואל על כל פריט (7), לא רק על סיפה.

הוספנו את פריט (7), כי זה האמצעי להבין איפה – כשיש מאגר שהוא רגיש באופן מיוחד, גם כי הוא קודם כל גדול וגם מפאת - - -

שנייה, אני מנסה להבין משהו.

כדי להבין באיזה אופן מתקבלת ההסכמה.

כשאתם ביקשתם רישום, אנחנו הפכנו מרישום למסירת מידע. ברישום ביקשתם פריטים (1) עד (6).

כן.

אם זה הספיק לכם לטובת רישום, למה לטובת יידוע אתם מוסיפים עוד משהו?

אדוני, פעמים רבות, כשראינו שסוג המידע - - -

פעמים רבות, כשביקשתם – ביקשתם את המידע הזה?

כשראינו שיש מידע - - -

אני מסכים. והסמכות שלכם לבקש את הפרטים הכלולים ב-(7), על בסיס החלטה פרטנית, קיימת, למיטב ידיעתי. לא שולל לכם אותה, נכון?

כן אדוני.

זה סעיף אחר?

סמכות דרישת ידיעות ומסמכים.

מצוין. למה אתם צריכים להטיל עכשיו את המטלה הרגולטורית הזאת? כאשר עברנו ממשטר של רישום למשטר של מסירת מידע, למה באה, בצד זה, הגדלת הדרישה הרגולטורית לעניין פרט (7)?

ראשית, זאת לא בדיוק הגדלת הדרישה הרגולטורית, אלא - - -

אתה טוען שזאת הפחתה?

לא. לפי סעיף 11 לחוק, ממילא כל בעל מאגר היום צריך – במיוחד אם הוא אוסף את המידע ישירות מנושא המידע – להגיד לעצמו, כדי שיוכל להגיד לנושא המידע - - -

אבל הוא היה צריך להגיד לעצמו גם שלשום, ולא ביקשת את פרטי המידע האלו לטובת הרישום. למה לטובת מסירת המידע אתה דורש אותם?

למה אנחנו מבקשים לצרף את זה מראש? כדי שנוכל לבור את המוץ מהתבן ולא לפנות לכל המשק לשלוח דרישת ידיעות ומסמכים. יש מטרה לדיווח.

אבל הייתה מטרה גם לרישום. אני שוב שואל, הייתה מטרה לרישום?

כן, אבל - - -

כל מי שהגיש אצלכם, שעשה את הצעד המדהים הזה של בקשה לרישום, הצדיקים שבסדום שרשמו את מאגרי המידע שלהם, קיבלו מכם כעניין שבשגרה "תשלימו לי גם את (7)"?

פעמים רבות כן.

ולפי מה החלטתם ממי אתם דורשים את (7) וממי לא?

אני לא רוצה להגיד סתם, אבל לדעתי ברוב המקרים כן. זה אחד מהנושאים שאנחנו צריכים - - -

בהצעת החוק הממשלתית, כשנשארנו עם חובת הרישום, כללתם את פרט (7)? לא.

לא.

לא.

לא בהצעת החוק, אבל זה משהו - - -

אני מנסה להבין. את ידיעות ומסמכים אתם יכולים לדרוש על בסיס החלטה נקודתית.

ברישום צריכים להמתין לנו. כאן אנחנו במצב אחר.

אני מבין.

אנחנו מקבלים הרבה הודעות יידוע ואנחנו צריכים לבור את המוץ מהתבן כמו שנאמר כאן, בלי שמחכים לנו, המאגר כבר רץ ופועל. הרעיון אומר איפה אנחנו נמקד. לא נשלח דרישת ידיעות ומסמכים למאות מאגרים, אני חושב שגם אין אינטרס, כי זה כבר הליך אכיפה. המטרה היא לצמצם פתיחה בהליכי - - -

אני רק רוצה להסביר לך משהו לגבי פריטים (1) עד (6). יש לי איזו ונדטה – אפשר לעשות על זה הערכת אישיות, עם איזה AI – נגד עורכי דין, משהו אישי כזה. אני מסתכל על (1) עד (6), ולא צריך עורך דין בשבילם. נכון שאפשר עורך דין, יש גם עורכי דין שעשו את זה.

אני מסתכל על סעיף 7 – זאת חוות דעת משפטית. זה ההבדל הרגולטורי.

זו יכולה להיות מדיניות הפרטיות.

לא, לא. "מקור סמכות המתיר עיבוד כאמור". מי שעוסק בלכתוב לי מה מקור הסמכות – הוא גורם משפטי.

אדוני, זה נוסח ההסכמה.

אני יודע, אני יודע שזה קצת old fashion לבקש ממשפטן לעסוק במקור סמכות. אבל זה לא - - -

אדוני, זה נוסח ההסכמה. זאת ממש לא חייבת להיות חוות דעת. זה פרטים הכי בסיסים. אתה אוסף מידע? תציג לנו את ההסכמה, את הטקסט, את הסעיף שאתה מחתים את הלקוחות.

אבל אתה בעצמך יודע, מחר בבוקר אתה תביא לי פרטים אחרים שלא צריך בשבילם הסכמה. וגם, היום פרטי ההסכמה היא סוגיה משפטית כבדת המשקל בשאלה מה נחשב הסכמה ומה לא נחשב הסכמה. זו הסוגיה שבשבילה צריך חוות דעת. זו הסוגיה שממנה היושבים פה מסביב לשולחן עושים את הפרנסה שלהם – וכאמור, יש לי ונדטה נגדם. אחרי שיושבים עם האנשים מספיק זמן בחדר, אתה רוצה לפגוע להם בפרנסה ואתה אומר, למה לספק להם עכשיו עוד פרנסה שיכתבו חוות דעת משפטיות האם זה נחשב הסכמה והאם זה שקרצת למצלמה לטובת ההפעלה נחשבת הסכמה, כן או לא. למה?

לא דרשת את זה לרישום. לבור את המוץ מהתבן – תבור את המוץ מהתבן. אתה אומר שאני מוריד לך רגולציה. אבל לא הורדתי לך רגולציה. הוספתי לך שכל בקשת רישום – שאתה אומר שעד היום מרובם ביקשת, יכול להיות שגם זאת תקלה, אבל אני לא מתעסק בזה עכשיו, זאת לא ישיבת פיקוח על הרשות להגנת הפרטיות.

אבל פרט (7), זה – "תצרף חוות דעת משפטית". זאת המשמעות.

מקור סמכות – זה בדרך כלל פחות רלוונטי במגזר הפרטי.

נכון.

אלה יהיו מקרים יותר ספורדיים.

נכון.

"פרטים בדבר אופן קבלת ההסכמה" – זה יכול להיות מדיניות הפרטיות. מבחינתנו, זה בהחלט לא מצריך חוות דעת משפטית. זה להבין איך אתה, את הטופס - - -

כשאתה בהארדקור מידע שנמסר מהאדם עצמו, בהסכמה, ברמה הפשוטה ביותר, ולא עושה את הקונסטרוקציות המשפטיות המורכבות שאתם מייצרים היום בגלל שאין לנו בסיסי עיבוד, שההסכמה היא גם לא הסכמה, אז אתה צודק.

כמה מאגרי מידע מתוך מאגרי המידע שאתם מדברים עליהם ושנרשמו אצלכם, הם מאגרי המידע שאנשים אשכרה נתנו הסכמה?

רבים מאוד.

במגזר הפרטי זה הכלל.

זה הכלל, אבל נתנו הסכמה במובן שלא דורש חוות דעת משפטית למה זאת הסכמה?

אנחנו לא ביקשנו חוות דעת משפטית.

אתם לא ביקשתם.

אדוני, אם הוועדה מבקשת לצמצם את הרישום, נסתפק בדיווח. המטרה היא בכל זאת להשאיר רמה מינימלית של הגנה על פרטיות - - -

אני חושב ש-(3) ו-(4), והעובדה שאתה מקבל ידיעה על (3) ו-(4), ועל (6) כמובן, ו-(5), וכל מה שבקשתם ברישום – זה נותן איזושהי אפשרות למיקוד האכיפה.

לא.

סעיף (7) הוא סעיף שמוסיף עלות רגולטורית לא קטנה. אתה אומר שהיום, פחות או יותר כדבר שבשגרה או כמעט כדבר שבשגרה, אתה עושה את זה בכל מקרה. אני מקווה שתפסיק. אבל כמו שאמרתי, זה לישיבת הפיקוח על הרשות להגנת הפרטיות.

אני לא חושב שזה דבר נכון. זה חלק מהדבר שאנחנו מדברים עליו. אנחנו מנסים להסדיר את העניין ולא להגיד "דרישת פרטים נוספים".

(מכאן אורי פנסירר)

הרבה פעמים לגופים רגולטוריים יש נטייה להשתמש בסעיפי הסל שלהם כדי לייצר מחדש את סעיפי - - -, ואני כן אומר לכם שאם אחרי חקיקת החוק ואף אוסיף לכם: נניח שתשכנעו אותי – מה שנראה לי שיש סיכוי קלוש – שכן צריך את 7 ואוסיף לכם את 7, ואז אגלה שדרך "דרישת פרטים נוספים" אתם מכניסים גם את 8 ,9 -10 כדבר שבשגרה לכולם. וכל מי שעושה את הטעות ושולח לכם מידע, אז הוא מקבל בתמורה מכתב "דרישת מסמכים נוספים" שיושב כבר על הרובריקה ויוצא אוטומט - - -

אנחנו נימנע מזה.

לא, אני מבין. אבל כעניין היום, יש לכם את 1 עד 6, ואתם אומרים לי שכמעט לכולם אתם שולחים גם את 7. אז אני אומר – תפסיקו לשלוח לכולם על תיקונם גם את 7. תמקדו איפה שצריך למקד. אולי תשתמשו ב-AI, אולי תפעילו אכיפה עם רצת יותר אינטליגנציה מלאכותית או לא מלאכותית. ותמקדו את האכיפה. אבל אני לא רואה סיבה - - -

אדוני, יהיה קשה - - -

יהיה קשה? כמה אתה מעריך שתקבל כאלו?

לא, לא, רגע, סליחה, כדי שנוכל למקד את האכיפה, יהיה מאוד מאוד מועיל – אולי אפילו בלי זה יהיה קשה למקד את האכיפה – שאת הפרטים המינימליים על תוכן ההסכמה, אולי באמת סעיף כל הסמכות פחות רלוונטי למגזר הציבורי, סעיף תוכן ההסכמה.

אבל אתה – סליחה - - -

חוץ מהשאלה - - -

זהו, עכשיו הסתבכתי איתו, כי אני רוצה לפגוע בפרנסה של עורכי דין.

אני מקווה שהקולגות יסלחו לי על זה, אבל כל מה שאמר היושב-ראש נכון. ובטופ של זה, וההנחה בסעיף 7 היא שהדרך היחידה – קודם כל שאיסוף המידע פוגע בפרטיות, אבל אם יש לי הסכמה, אז אין פגיעה בפרטיות, אז יש פה איזה כשל לוגי, כי השגתי הסכמה, אז אין פגיעה בפרטיות. דבר שני, ההנחה היא שאם אין הסכמה, יש פגיעה בפרטיות, זה זורק לפח את כל ההגנות ל-(2)(9) בסעיף 18. כי יכול להיות שאחליט, למרות שאין לי הסכמה, שהעיבוד הוא בתום לב ונדרש לצורך ביצוע תפקידי. כל הדברים שבסעיף 18 היום מגנים על פעילות עסקית רגילה ולגיטימית, אבטחת מידע, כל הדברים האלה נעשים תחת סעיף 18, כי אני מקבל את הידיעה, את ההתחברות – חבל.

מובן.

פה זה מחייב רק דרך אחת לרפא את - - -

אגיד יותר מזה, ככל שעיבוד המידע במאגר כרוך בפגיעה בפרטיות – יש פה שתי חוות דעת; אחת – האם עיבוד מידע במאגר כרוך בפגיעה בפרטיות, ויהיו כאלה שיגידו שכן, יהיו כאלה שיגידו שלא, יגידו למה לא, לא יודע. ואחרי שהגעתי למסקנה שעיבוד המידע במאגר כרוך בפגיעה פרטיות, אני צריך עוד חוות דעת משפטית, האם ההסכמה שקיבלתי מספיקה לעניין הפגיעה הפרטיות ומה מקבילית הכוחות בין טיב ההסכמה, כגודל ההסכמה, כך מיעוט הפגיעה בפרטיות וכן להפך.

אני רוצה להציע הצעת ייעול. הלכה למעשה – וזה גם לפי ההצעה של משרד המשפטים – בתוספת צריך להגיש את מסמך הגדרות המאגר.

עוד לא הגענו לשם.

אני אומר שמסמך הגדרות המאגר, הפירוט שלו, התוכן שלו, כפי שהוא קבוע בסעיף 2 בתקנות אבטחת המידע, כולל כבר את כל הפרטים שצריך. ובעצם הדרישה שקיימת בהצעה לצרף את הפרטים 1 עד 7, 1 עד 8, זה בעצם כפילות מיותרת, כשבתקנות מסמך הגדרות המאגר כבר כותב שם. במסמך הגדרות המאגר, להבדיל מסעיף 7, לא מדובר באופן ספציפי על הסכמה.

אתה מדבר על תקנות אבטחת המידע?

כן.

מה שמסמך הגדרות המאגר צריך לכלול לפי סעיף 2(א)(1)לתקנות אבטחת המידע, זה תיאור כללי של פעולות האיסוף והשימוש במידע. ומן הסתם, אם הפעולות האלה כרוכות בקבלת הסכמה, זה המקום לכתוב את זה. המסמך הזה כולל כבר את הכול. כך שאם בכלל יש צידוק לעניין הזה של חובת היידוע, שזאת שאלה בפני עצמה, אז לצד חובת היידוע, מה שצריך בעיני זה פשוט לחייב בהגשת מסמך הגדרות המאגר שממילא חייבים להכין אותו, כי זו דרישת התקנות.

אבל הוא לא כולל התייחסות להסכמה.

אכן, מה שהם אמרו.

הוא לא כולל התייחסות להסכמה.

הוא כולל תיאור כללי של פעולות האיסוף והשימוש במידע, ולכן - - -

- - -

הוא עוסק באבטחת המידע של המאגר, הוא לא דן בשאלה איך הוא נאסף.

הוא דן בשאלה של איך אוספים את המידע.

זה לא אבטחת מידע, זה הגנת הפרטיות. הוא עוסק בפרטים, בסוגי המידע, בסוג נושאי המידע.

אני מבין, אני רק אומר שהוא לא דן בשאלה – האם המידע נאסף בהסכמה כן או לא.

אפשר להוסיף את זה.

אבל אנחנו לא רוצים להוסיף את זה.

אז מהבחינה הזאת אם אין צורך - - -

אם לא היה צריך את זה לתקנות אבטחת מידע, לא צריך את זה לחובת הדיווח.

אני חושב שבסופו של דבר, כיוון שברוב המקרים ההסכמה היא ממילא הסכמה מכללא, מה שמעניין זה האופן שבו בעל השליטה במאגר עמד בחובת היידוע שלו. ונדמה שככל שתקבלו הוכחה על אופן העמידה בחובת היידוע, זה אמור להשיג את התכלית של הבנת ההסכמה מבלי ליצור פה מורכבות משפטית של ניתוח האם זה פוגע בפרטיות או לא, האם זה כן הסכמה או לא הסכמה.

אני רוצה להגיד משהו אחר, ממה שאני שומעת, ממה שהרשות אומרת, זה שהרציונל שבחובת הדיווח הוא כדי לתת להם מידע, כדי שהם יידעו איפה להפעיל את סמכויות האכיפה שלהם – בעיני זה היינו הך לרישום. בילדותי אהבתי מאוד מערכון של נתן דטנר בשם "אם יש חור בדלי", וככה אני מרגישה. אם אתם רוצים לדעת יותר טוב איך לעשות אכיפה או איך להפעיל את סמכויות האכיפה שלכם – מדינות העולם התקדמו, הם לא דורשות דיווח, הם לא דורשות רישום, הם דורשות ממונה הגנת פרטיות, הם דורשות תסקיר, וככה עושים את זה בעולם המודרני. למה אנחנו צריכים להיתקע פה עכשיו על דיון במשהו שכבר לא צריך אותו? יש חלופות טובות יותר.

אוקיי.

רק אגיד את המובן מאליו, גם הדרישות הנוספות שבתוספת, פרט 8 שמפנה לתוספת הם כמובן מכבידות בהרבה, כן, על פריטים 1 עד 6, כפי שאדוני ציין.

למה? הפנייה עצמה - - -

לא. אבל שיתר הדרישות.

אולי נתייחס לדרישות שבהמשך? לדרישות שבתוספת? ברשות הוועדה, כי נמשיך רגע לדרישות הנוספות.

נמשיך לדרישות הנוספות. אני אומר שאת 7 נוריד, 8 נמשיך.

אוקיי, הסיבה שזה מוגדר, קודם כל זה בנוי בצורה של תוספת, זה בגלל שיש הפנייה לתקנות אבטחת מידע, מחקיקה ראשית אי אפשר להפנות לתקנות, זה עניין טכני.

הדרישות שמופיעות כאן זה להעביר לנו דברים שממילא בעל המאגר מחויב לעשות.

מסמך הגדרות המאגר – סבבה.

אין כאן שום דרישה רגולטורית חדשה.

שנייה, שנייה.

לא, מסמך הגדרות מאגר יש חובה לעשות. הבחינה לפי תקנה 2(ג), היא חובה לבדוק אחת לשנה האם אין מידע עודף במאגר. זו חובה שקיימת היום בתקנות.

אבל מי אמר שהמידע קיים שנה?

כן, היא עוד לא קיימת.

איך אני יכול ליידע אותך אם לא הייתה חובה?

- - - אם לא הייתה חובה - - -

- - -

חברים, שנייה.

אנחנו לא מוסיפים חובה.

רק רגע. היום, המסמכים האלו – אני צריך למסור אותם לרשות כל הזמן?

לא. יש חובה לערוך אותם ולהחזיק אותם - - -

אני מבין. האם עכשיו שעברנו לחובת יידוע, אתם אמורים לקבל מהמאגרים הרשומים האלו, כל פעם שאני עורך בחינה לפי תקנת 2 (ג) לתקנות?

לא, רק פעם אחת.

קודם כל זה לא רשום עכשיו. כרגע מה שרשום זה שבשנייה שהורדנו את חובת הרישום מאגר, הוספנו חובת יידוע, ואתם תטבעו בניירת של מסמכי בחינות אחרונות כל פעם שנערכת בחינה אתם אמורים לקבל עותק שלה.

אבקש לחשוב על היבטי הגנת הסייבר, ברגע שהדברים האלה יתחילו להישלח לרשות, אלה דברים שיש בהם חולשות ברורות של מאגרים שלא כדאי שהם יסתובבו כך ברמה גבוהה.

במקרה שיסתובבו - - -

ודאי שמסתובבים.

- - - אני לא יודעת כמה - - -

בוודאי שהם מסתובבים. קודם כל כרגע זה מנוסח שכל פעם חובת הרישום מתחדשת והיא לא חד פעמית בהקמת המאגר. אבל ממילא אם זה חד פעמי בהקמת המאגר, כשהקמתי מאגר, עוד אין לי בחינה אחרונה לפי 2(ג) לתקנות. כי אני לא - - -

אדוני, זה לא בהכרח בהקמת המאגר. זה יכול להיות - - -

מתי אני אמור ליידע אתכם?

קודם כל זאת חובה שאם זה יעבור ככה, אז החובה תחול על הרבה מאגרים קיימים – פעם ראשונה. פעם שנייה, כשמאגר מגיע אולי ל-100,000, זה אולי התסריט היותר צפוי. זה לא מאגר חדש.

אני רוצה להקים מחר בבוקר מאגר שיאגור מידע על 500,000 איש. מחר בבוקר הוא מתחיל לפעול. מאיפה יש לי את ה-500,000? קל מאוד, אני עושה scraping על 500,000 איש מחר, ומיד מתחיל לעבד את זה. אין לי בעיה להשיג את המידע. המידע יושג בקלות ממקורות גלויים, אוקיי?

מסמך הגדרות מאגר, אני צריך לעצמי, בסדר גמור, אין בעיה, בהנחה שאני מעביר אותו אליכם וזה טוב שאני מעביר אותו אליכם. בעניין של סייבר וכולי, צריך להתווכח ולדון – בואו נניח שזה בסדר שאני מעביר אותו אליכם בפעם הראשונה.

הגדרות אין בעיה.

שנייה. אני חייב לומר לכם שגם למסמך הגדרות מאגר יש בעיית סייבר. היא לא כל כך גדולה, אבל כשאתה יודע מי הם המורשים, אתה יכול לעשות עליהם את ההנדוס לאחור ולדעת את האנשים, מה השם של הכלב שלהם לפי זה ולמצוא את הסיסמה.

לא רק זה, כי יש שם רובריקה שצריך לפרט את הסיכונים בתוך מסמך הודעות מאגר. וזה לא משהו - - -

תיקונים ואופן התמודדות. גם נכון.

וזה לא משהו שהיום מפתחים במאגר.

אז אני אומר: רק רגע, בואו נניח שאת הבעיה של מסמך ההגדרות, ירדנו, או שנבוא ונגיד: פריטים מסוימים מתוך מסמך ההגדרות. בוא נניח שעליו התגברנו. ממצאי הבחינה האחרונה – זו ודאי בעיה, ושוב – גם היא לא קיימת, עוד לא קיים שנה, לא עשיתי שום בחינה. להפך, אתה לא רוצה שבן אדם יחכה שנה עד שהוא יירשם לך.

אם היא לא קיימת, אין צורך להעביר.

זה מעודד להגיש בקשה על היום הראשון.

על היום הראשון. ואנחנו רוצים שאנשים ייגשו ביום הראשון, זה מצוין.

ובוודאי שמקרה רגיל לא - - -

רק רגע. סקר הסיכונים – כנ"ל. תוצאות מבדקי חדירות האחרונים – כנ"ל אותו דבר, פירוש שכשאני מקים מחר את המאגר, אין לי עוד סקר סיכונים אחרון.

אבל יש חובה לערוך.

אבל החובה היא אחת ל-18 חודשים, כן?

מתי? אבל אני רשמתי, עכשיו אין לי. דיווחתי, עכשיו אין לי. ביום הראשון להקמת המאגר דיווחתי, לא עשיתי סקר סיכונים, נכון? אני לא אמור לעשות סקר סיכונים על היום הראשון.

לא, אתה אמור לעשות בסמוך להתחלת - - -

איפה זה כתוב?

זאת הפרשנות של הרשות את תקנה 5(ג) לתקנות אבטחת מידע. כתוב שכשבמאגר שהוא ברמת אבטחה גבוה – וכל המאגרים שאנחנו מדברים עליהם כאן הם נכנסים לקטגוריה הזאת, כי זה רק מאגרים בעלי מידע ורגישות מיוחדת ומעל 100,000 – בעל המאגר אחראי - - - ההנחה היא שצריך לעשות את זה בהתחלה. בוודאי לא אחרי שנה.

סליחה, ממש לא.

זו עמדתנו.

כתוב בתקנות: אחת ל-18 חודשים לפחות. להפך, לא יכול להיות שאכין מסמך הגדרות, כל הפרשנות הפשוטה של הסעיף הזה, זה שאני מכין מסמך הגדרות ואז בסקר הסיכונים אני בודק אם אני צריך לעדכן את מסמך ההגדרות. אז אם אני אעשה את שניהם ביום הראשון, אז אני אעדכן את מסמך ההגדרות. אז אעשה את שניהם ביום הראשון, אז לא אעדכן את מסמך ההגדרות על בסיס סקר סיכונים.

לא, בסקר סיכונים הבא.

זאת אומרת שאני לא עושה סקר סיכונים ביום הראשון להקמת המאגר. ביום הראשון להקמת המאגר אני רשמתי לך איזה סיכונים אני חושב שיש ומהם דרכי ההתמודדות שלי איתם. אחרי 18 חודשים אעשה סקר סיכונים או אחרי 12 חודשים. אותו דבר תוצאות מבדקי חדירות האחרונים שנערכו לפי תקנה 5(ד) לתקנות ככל שחלה חובה לעורכם. עוד לא דיברתי על סכנות הסייבר שהדבר הזה מייצר. אני אומר ולו ברמה שאני רושם בתקנות ובתוספת שתגיש מסמכים לא קיימים, שזה קצת בעיה. ולהפך, אני מייצר סיטואציה שבה בן אדם יגיד: אוקיי, אז עד שאני לא עושה סקר סיכונים, 18 חודשים אחרי הקמת המאגר, אני גם לא אדווח לכם כי אין לי מה לדווח, אז אני מחכה. וכשתשאלו אותו למה הוא לא דיווח, הוא יגיד: כי כתבתן שאני צריך להגיש סקר סיכונים, ואין לי עוד סקר סיכונים, סקר סיכונים יהיה לי רק בעוד 18 חודשים ואז אגיש לכם ואז גם אדווח לכם ואז אהיה בסדר גמור. כי אתם לא רוצים לייצר חובת רישום מתמשכת. בקיצור, אתם דורשים פה מאנשים לדווח על משהו לא קיים, שהדיווח עצמו מייצר סיכוני אבטחה רציניים. ואיסוף המידע הזה מייצר סיכוני אבטחה אצלכם. ואני לא מצליח להבין איך מצמצום חובת הרישום, רשמנו בפנינו את חובת הצמצום.

אדוני, בוא נתחיל מהסוף – לגבי סיכוני סייבר שיש בעצם הדיווח לנו, יכולים להיות, זאת המומחיות שלנו, וזה גם לא משהו שממציאים. בעולם ב-GDPR החקיקה הדומה היא חובת היוועצות עם רשויות. חובת היוועצות אחרי עריכת תסקיר. היא כוללת משלוח תסקיר שכולל את סקר הסיכונים לרשויות.

זו רשות מאוד מצומצמת, במקרים מאוד מצומצמים, עוד יותר מצומצמים מהמקרים שבהם חובה לערוך DPIA. כלומר זה קיים.

ורשויות כמונו יודעות איך להתמודד עם סיכונים. זאת המומחיות שלנו.

אז הליך פרה-רולינג שאני חושב שלזה חובת ההיוועצות או רשות ההיוועצות מכוונת - - -

אנחנו לא מדברים על פרה רולינג עכשיו.

נכון, אבל זה מה שקיים בחקיקות שאתה מפנה אליהם.

בכל מקרה זה רק לעניין סיכוני סקר שנעשה באמצע הדיווח, זה מקובל בעולם בהיקף - - -

עורך הדין גרסון, עוד לא התחלתי לקרוא את סעיף ב'. סעיף ב' אומר שכאשר אני רוצה לעשות את זה על מאגר מידע חדש או רגישות מיוחדת על אודות 500,000 אני צריך להעביר את זה 45 ימים לפני תחילת עיבוד המידע במאגר, שזה בכלל נפלא.

וגם אם אתה מחזיק, לא רק - - -

זה עזוב, זה החלק היותר פשוט. בקיצור, חברים, למעגל אין קצה. אי אפשר. אתם מבקשים מידע לא קיים 45 יום לפני שהוא בכלל לא קיים. יש פה מומחה אבטחת פרטיות, נכון? מישהו שילמד אותי איך עושים במאגר מידע חדש, כי מילא מאגר מידע שאתה אומר שעולה מ-400 ל-500, אני מבין, אבל במאגר מידע חדש, איך אני עושה מבדקי חדירות וסקר סיכונים, 45 יום לפני שאחסנתי את המידע במאגר או - - -

ככתוב "ככל שחלה חובה לערוך". זה ברור ש-45 יום לפני עוד לא חלה החובה לערוך. לכן זה כתוב.

אבל כתוב שצריך למסור לכם את זה 45 יום לפני תחילת העיבוד. עיבוד זה גם אחסון.

לא, אבל לגבי סקר סיכונים ומבדקי חדירות, אתה תראה שכתוב "ככל שחלה חובה לערוך".

וממצאי בחינה אחרונה?

אז לא הייתה בחינה.

אבל אתם דורשים שאביא לכם את זה 45 יום קודם.

אדוני, המקרה הרגיל הוא לא יהיה המקרה הזה.

חברים, שורה תחתונה: לא יכול להיות. לא יכול להיות. המטרה שלנו פה, אני נותן לציבור, לנו, את ההקלה הרגולטורית שנדרשת ואת המעבר לעולם של יידוע במקום רישוי למעשה. דרישות היידוע שאתם מבקשים הם חמורות בהרבה מדרישות הרישוי שביקשתם. לא שאני כזה מבין, יש פה מבינים יותר גדולים ממני, אבל אני לא חושב שיש להם אח ורע בעולם.

יש אדוני, אפשר לפרט. חובת ההתייעצות - - -

אבל היא חלה על כל השוק. נו, באמת.

אבל אתה אומר עכשיו על כל מי שמחזיק מאגר מידע, כל מי שמחזיק מידע בעל רגישות מיוחדת שזה פחות או יותר הכול, מעל 100,000 איש. זה כל השוק. אלה דרישות גדולות מאוד מאוד מאוד.

וסליחה אדוני, באירופה יש הרי את כל מה שאין אצלנו – לא עקרונות עיבוד, לא בסיסי, לא סמכות - - -

הלוואי, הלוואי תביאו עדכון - - -

אתה פותח דלת פרוצה.

אני לא מסכים שזה חל על כל השוק. כשאנחנו מדברים על רגישות מיוחדת פלוס 100,000 ומעלה, אנחנו מבינים את הכיוון שאדוני מעוניין בו. אנחנו מבינים על הפרטים של 1 עד 8, למעט 7, והפרטים האחרים בסימן שאלה. הבנו.

אתם תעשו את שיעורי הבית שלכם. אני רק אומר שאת עותק מסמך הגדרות המאגר, אני עוד מבין.

יש עידכוני אבטחה.

יש בזה סיכונים, אבל יכול להיות שאפשר לתת לזה איזשהו מענה. שאר הדברים - - - חברים, אתם תטבעו במידע. באתם לדבר על מיקוד וכולי, אתם תטבעו במידע. במסגרת הפרטים הנוספים, תבקשו מה שאתם רוצים. תשלחו פקח שיסתכל על מה שהוא רוצה.

עוד נקודה ספציפית, זה לגבי סעיף 2 ברשימה של סוג השירות המחזיק במאגר. זה כמובן לקוח עוד מהדין - - -

איפה אנחנו?

פרט (א2), סוג השירות שנותן המחזיק במאגר לבעל השליטה בו. זה סעיף שלקוח מן הסתם מהחוק הקיים והוא נכון ל - - -

סליחה דן שאני קוטע, זה התכוונו מבקשת הרישום, פרטי הבקשה, זה התיקון לחוק. למחוק את זהות המחזיק בבקשות רישום. תראה, זה בסעיף - - -

אבל גם בחובת יידוע אין לזה צורך.

ואת שמות המחזיק, הבנו שיש קושי למחוק, אבל של איזה שירותים של המחזיקים. אפשר לשנות את זה לזה ל"המחזיקים" ולא "המחזיק".

איזה פעולות עיבוד אתה מבצע בעצמך ואיזה באמצעות אחר, זו הנקודה?

פה יותר חשוב סוג פעולה. זו הקלה, דן.

שנייה, בכל מקרה חשוב לי מאוד להבהיר את נושא הזמנים פה. כי אם אנחנו מייצרים פה חובת יידוע, יש פה, צריך לדעת אחת לכמה זמן. אז להגיד פעם רישום, אתה עושה פעם אחת, ואז כל פעם שיש שינוי אתה חייב לעדכן. ככה עובד רישום בדרך כלל. יידוע, אתה מיידע פעם אחת, ואז מה? ומאחר והדברים האלו לפעמים יכולים להיות דינאמיים במהלך חיי מאגר, עד עכשיו אני עשיתי את זה בעצמי, עכשיו החלטתי להעביר את זה למחזיק. עד עכשיו החלטתי שאני לא מעביר אל מחוץ למדינה, פתאום אני מחליט שאני מעביר אל מחוץ למדינה. צריך כאן לייצר איזשהו מנגנון, שוב, לשיעורי הבית שלכם, כששינוי מהותי צריך ליידע. צריך לתת לזה איזשהו מענה, אחרת אנחנו - - -

קיבלתם את הערותיי, תחשבו עליהם ותגידו מה אתם רוצים. לגבי ג', ראש הרשות רשאי – על א' ו-ב', שמעתם את הערות הוועדה. ועכשיו לעניין ג' – ראש הרשות רשאי מטעמים מיוחדים שרשומים לפטור בעל - - - מאגר מחובת דיווח לפי סעיפים קטנים א' ו-ב'. למה? מתי אתם חושבים שתצטרכו את זה?

איך הוא יידע את מי לפטור?

לפני שהוא קיבל דיווח.

הוא לא יודע עליהם, איך הוא ידע לפטור אותם.

לא, אם אנחנו מדברים על דיווח במובן של "תעדכן כל פעם", אז זה ודאי רלוונטי. אם אנחנו מדברים על הדיווח הראשוני, באמת איך יודעים בלי לדעת?

אדוני, הסעיף הזה מיועד לאפשר לנו את הגמישות להקל על סוג - - -

כלומר, אתם תוכלו להוציא אחר כך – אבל זה לא מטעמים מיוחדים של ראש מורשה, את מקל, אתה מפרסם הנחייה לשוק, אתה אומר: נניח שאתם תגיעו למסקנה אחרי שנתיים שאתם חושבים שהמספר צריך לא להיות 100,000 אלא 500,000 או 300,000.

אז איפה זה? זו החלטה לצמצם את חובת הדיווח.

אבל אתה לא יכול לתת פטור מטעמים מיוחדים שיירשמו מדיווח כשאתה לא יודע שבן אדם קיים.

הכוונה היא, אם זה סוג, עמית יוכל להרחיב. זה לא - - - נמצא בסמכות הרשם, ראש הרשות. אבל גם אין לי דוגמה, האמת, אין לנו דוגמה כרגע, זה נועד לאפשר לנו את הגמישות. אתה יכול לדעת שהוא קיים בלי הדיווח המלא, אלא רק פונים ופונה בעל המאגר ומעדכן עדכון הרבה יותר קצר ומשכנע אותנו שאין צורך בדיווח. זה נועד לאפשר לנו גמישות. אם אדוני חושב שאין לזה מקום – זה רק נועד להקל על השוק, שבאמת זה לא - - -

הייתי מוכן לחשוב שיושב-ראש הרשות רשאי בהנחיות לקבוע כי סוגי מאגרי מידע מיוחדים לא יהיו חייבים בדיווח. נניח שאתם תחליטו שמידע פלילי לא צריך דיווח או שתחליטו שמידע פלילי המידע הוא 300,000.

אדוני, יש פה קושי.

סוגים מסוימים, פטורים מסוגים, אני יכול להבין. אבל פטור פרטני מטעמים מיוחדים שיירשמו, איך תעשו את זה?

הקושי שפטור מסוגים למעשה זה סוג של חקיקת משנה שמתנה לחקיקה - - -

אם אני נותן לכם את הסמכות לזה, אז הכול בסדר, אם אני לא נותן לכם את הסמכות לזה, אז אני לא. אני לא נותן לכם את אפשרות להחמיר. אני נותן לכם אפשרות להקל על השוק אם הגעתי למסקנה שיצטברו עליכם המון דיווחים, נפרץ הסכר ופתאום אתם רואים שאתם מקבלים מיליון דיווחים שבכלל לא חשבתם שאתם צריכים לקבל, ואין לכם מה לעשות איתם והם לא מעניינים אתכם, ואתם אומרים: יאללה חבר'ה, אנחנו רוצים להודיע לכם שאם אתם מוסד פיננסי, תעזבו אותי ב"אימא שלכם", סומך מספיר על זה שאתם מפוקחים על ידי המפקח על הבנקים, לא רוצה לקבל את המידע שלכם. תעזבו אותי. וואלה בסדר. אז אני רוצה לתת לכם את הסמכות להוריד את הרגולציה הזאת, שלא ידווחו לכם פעמיים, שלא ישגעו אתכם, שלא תצטרכו להתעסק עם דיווחים מיותרים, שלא תטבעו – מוכן לתת לכם את זה. שוב, אני מבחינתי, הסיבה היחידה שאני מכניס פה חובת דיווח זה כי אתם ביקשתם. הייתם אומרים לי גם בלי דיווח, אני לא הייתי מתעקש על הדיווח הזה.

אני מוכן לתת לכם את האפשרות לפטור סוגים. לפרסם ברשומות את הפטור, כדי שזה לא יהיה מפה לאוזן. לקבוע בכללים, השר. תחשבו על מנגנון, אני מבין את זה. אבל טעמים מיוחדים שיירשמו? אני לא חושב שצריך שר. אני חושב שאם אני מסמיך, ראש הרשות רשאי לפרסם סוגים מסוימים, פטורי סוג כאלו. אני מוכן לתת לכם את זה. אבל - - -

אנחנו לא מתנגדים לוותר על הסעיף הזה. המטרה הייתה שתהיה אפשרות להקל. אבל אם הוועדה סבורה שלא - - -

אני בעד שתקלו לסוגים ולא לפרטני, כי להקל פרטני אתם לא יכולים. אני חושב שאתם יכולים להקל פרטנית - - -

בחוזר.

כן, בדיווחים החוזרים, כשתצטרכו לנסח סעיף לחוזר ולזה תייצרו פטור. כאילו: אוקיי, נרשמת, דיווחת – אל תשגע אותי יותר.

אמרתי שאם יש שינוי מהותי בזה - - -

יש כבר סעיף דומה בהקשר של - - -

אם הוא מעביר לעיבוד. אני יודע מהמאגר שאתה מחזיק. עכשיו כל פעם שתפעיל עיבוד חדש, אתה צריך לדווח לי? לא, לא צריך לדווח, לא יודע. אבל הם עוד לא ניסחו את הסעיף הזה, אי אפשר להתווכח עליו.

בסעיף 9(ד), יש סעיף דומה, לגבי רישום שבו "בעל שליטה במאגר מידע ומחזיק, יודיע לראש הרשות על כל שינוי בפרט מהפרטים המפורטים בסעיף קטן ב' ולפי סעיף קטן ג', ועל הפסקת פעולתו של מאגר המידע הזה".

זה לרישום, וזה מכביד בהתאם. לא ברור למה צריך את זה לגבי יידוע.

בסדר, נעשה את ההתאמות לגבי - - -

סליחה, לגבי היידוע השוטף, הרעיון ביידוע – למרות שאפשר היה לוותר לחלוטין גם על יידוע – היה לתת איזשהו מפתן, לסמן סט של בעלי שליטה במאגרים שהרשות אולי יש לה עניין מיוחד בהם. היא כבר נמצאת אצלם. אז למה צריך להמשיך לעדכן את זה?

יכול להיות מצב, נניח שאם אתה עושה את כל העיבוד אצלך, אתה מעורר אצלי רמת סיכון איקס, אוקיי? ואם אתה עכשיו החלטת שאתה מתחיל לעשות מיקור חוץ לכל פעולות העיבוד ל-15 גופים - - -

אני מבין, אבל הרי אמרנו שלא מפרטים את מספר הגופים.

לא, ל-15, בכלל, החוצה. ולדוגמה אתה מעורר רמת סיכון זד, אני לא יודע את הכול, אבל אם החלטנו – שוב, עוד לא עברנו על הפרטים מה מדווחים ומה לא כי הם אמרו שהם יעשו על זה שיעורי בית ואנחנו נדון בזה בהמשך, לכן חבל שנדון בזה עכשיו תיאורטית.

אני אומר כעניין עקרוני, עד עכשיו אתה החזקת מידע מסוג מסוים והחלטת להתרחב ולהחזיק עכשיו מידע גנטי – אז אני רוצה לדעת את זה. זה שאתה דיווחת לי פעם על מאגר, לא נותן לך עכשיו שאתה פועל בסדר.

אני מבין את זה נכון, אני רק אומר שמכיוון שהכוונה הייתה להקל רגולטורית על השוק ולא לחייב כל שלושה אלא גופים מסחריים משנים כל מיני דברים בעיבוד - - -

לכן אני אמרתי כבר - - -

זה בהחלט יכול לקרות.

השאלה היא לא אם זה קורה, אלא כמה זה קורה. זה לא קורה המון.

גלעד, לכן אמרתי – כי אני לא רוצה שנדון בדבר הזה חמש פעמים, נדון בזה אחרי שהרשות תכין על זה שיעורי בית – שיהיה צריך לייצר איזשהו רף מהותי מסוים ששינוי מעליו צריך דיווח חדש. וזה כדי לא להפוך את זה מצד אחד לדיווח איטי, ולא שכל דבר - - - מצד שני, זה הם ייצרו את הרף, ואנחנו נדבר עליו כשיהיה לנו טקסט להתייחס אליו. הכול בסדר.

כן הייתי רוצה שיהיה לכם את האפשרות לעשות "פטור סוג", תתייחסו לזה, ומדיווחי המשך. "השר רשאי לקבוע הוראות לעניין אופי הדיווח - - - " – בסדר, זה לא.

אם זה השר, אז אולי גם ועדת חוקה. ודבר שני, אני רוצה להתייחס לזה ש - - -

מה, הוראות על אופן הדיווח? אם שולחים בדוא"ל או בדבר אחר?

אני חושבת שהחיים לימדו אותנו שזה מאוד - - -

אנחנו חושבים שאופן הדיווח זה יחסית דבר יותר טכני. לכן זה היה נראה לי פחות מהותי לאישור הבקשה.

נחשוב על זה.

אז אולי זה לא צריך להיות השר גם. אם זה באמת טופס, אז השאלה היא האם זה טופס מחייב או טופס לא מחייב, יש לזה כללים.

ברגע שמדובר בהוראה שמחייבת ציבור בלתי מסוים, תקנה בעלת פועל תחיקתי ולכן מקובל - - -

בסדר, אנחנו נדון בזה, נראה מה אתם רוצים שם.

אני מציעה לחשוב על איך אנחנו עושים את זה כסעיף אחד ולא הופכים את זה, כלומר, נכנסים דרך (ג1) שנמצא שם ולא כותבים עכשיו עמוד וחצי מיוחדים לדיווח. אנחנו קצת מאבדים טיפה את - - -

עמוד וחצי זה בתוספת, סיכום דיווח עצמו הוא פה.

כן, אבל זה אותו דיווח.

איפה חובת הרישום מופיעה? היא גם הייתה באותו - - -

(ג) היא חובת הרישום, ו-(ג1) זה חובת הדיווח שהיא מגיעה מיד אחרי (ג), היא אמורה לפחות לעסוק באותם פריטים. גם אם יש שינוי - - -

טוב, זה ניסוחי.

כדאי להיכנס ל-(ג1), ולא להתחיל עכשיו לכתוב את הכול מחדש.

טוב, (ה): "הממונה רשאי מטעמים מיוחדים שיירשמו להורות כי מאגר מסוים שלא חל עליו חובת רישום יהיה חייב ברישום".

בעצם זה סעיף שקיים גם בחוק הקיים והוא גם קיים בהצעת החוק הממשלתית, לא חידשנו בעניין הזה. שוב, כאן המטרה היא שבעצם אנחנו מקבלים במסגרת חובת היידוע מידע על מאגר שנניח מצריך תשומת לב מיוחדת, כדי שלא נהיה חייבים לנקוט תהליך אכיפה, מה שהוא לא בהכרח לטובת אותו בעל מאגר, נוכל גם לבוא ולהגיד: זה מאגר מיוחד שהוא מצריך - - -

כמובן שאנחנו כדי שלא נייצר פעולת אכיפה, נייצר פעולת אכיפה.

מה יעזור הרישום בהקשר הזה? המידע כבר אצלכם.

מוגשת בקשת רישום ואז - - -

לא, לא מוגשת בקשת רישום, מוגש דיווח.

אני מבין, השאלה מה תועיל ההוראה על כך שזה מצריך רישום. כיוון שהשלב הבא יהיה בקשת רישום ואז במסגרת בקשת הרישום, הרשות יכולה כפי שהיא עושה היום להנחות את הגוף מה הוא יכול לעשות כדי לקיים את הוראות החוק בלי שזה יהיה הליך אכיפה.

אבל זה ה"אמ-אמא" של הליך האכיפה. אתם אומרים לו שאסור לו להחזיק את המאגר עד שהוא מקבל מכם אישור – מה יותר אכיפה מזה? אני לא מכיר משהו שהוא יותר אכיפתי מזה, זה הכי אכיפה שיש. ואיך זה שונה מסעיף 4 אז הקודם שהיה לנו?

הליך רישום הוא הליך - - -

רק רגע, מה ההבדל בין מה שרציתם בסעיף 4 שאומר: מצאתי, שלחת לי הודעת דיווח, ואני ראש הרשות. מצאתי שאדם מעבד מידע במאגר מידע בניגוד להוראות הסעיף, ואני מודיע לך שמעשיך מהווים הפרה ואני מורה לך להפסיק את הפרה. אתה בעצם אומר לו: לא מצאתי, אבל אני מורה לך להפסיק את ההפרה כי לא מצאתי. כי אני לא רוצה לנקוט נגדך הליך אכיפה, אז אני נוקט נגדך הליך אכיפה שאסור לך להחזיק את המאגר.

אני מורה לך להגיש בקשת רישום. אדוני צודק שיש פה דמיון במהות, ההבדל הוא ששם זה הליך אכיפה וזה מחייב את כל השלבים של הליך אכיפה. ולצורך העניין, יש על הגוף על זה עכשיו כתם של הליך אכיפה שהרשות ניהלה נגדו. המטרה היא כאן שהוא ייצר בעצם - - -

אתה אומר: תן לי את האפשרות למחוק לך מאגר, בלי הליך אכיפה.

לא, זה לא למחוק.

אז מה המשמעות של הטלת חובת רישום?

פעמים רבות לפחות, יהיה מישהו שמגיש הודעה על כוונה, נכון? הפרה עוד לא בוצעה, אי אפשר אפילו להיענש, אבל אנחנו כבר רואים - - -

חובת יידוע על כוונה?

חובת דיווח על הקמת מאגר. ההפרה אולי עוד צפויה. דיווח על השימושים, השימושים עוד שנה –לדוגמה, אני מתכוון לערוך עם מכשירי MRI קריאת מחשבות ולמכור את זה, כל מיני דברים מאוד מורכבים שעלולים מאוד להזיק. קודם כל ההפרה יכול להיות שהיא עדיין צפויה. דבר שני ויותר חשוב, הליך אכיפה וסנקציה זה הליך שמתנהל, הליך ממושך שמתמשך חודשים על גבי חודשים – שימוע – ורק בסופו יוטל עיצום. יכול מאוד להיות ואנחנו רואים דברים כאלה בפועל, שלארגונים מסוימים הפרה היא יעילה. ועד שלא נגמר הליך השימוע שיכול לקחת חודשים ארוכים - - -

יש לו סעד זמנים מבית משפט.

לא בית משפט, קודם כל יכול להיות שהפרה יעילה. דבר שני, הכסף יוטל על העיצום, הרי זה בסופו של דבר, אין סמכות להפסיק כיבוד. הסמכות היחידה היא להתלות רישום מאגר כשיש חובה לרישום מאגר.

יש לכם סמכות להורות להפסיק הפרה בהקשר של ניהול מאגר שלא כדין.

להפסיק הפרה, אבל לא להפסיק את העיבוד. להפסיק הפרה שתוצאתה היא - - -

אבל זאת המשמעות.

לא, להפסיק הפרה זה בדיוק בתקופה שיורד, זה מה שאמרתי לכם שאני אתן לכם.

שתוצאתה עיצום. אדוני, הדבר אולי הלא פחות חשוב הוא, הכוונה להשתמש בסמכות הזאת – אין שום כוונה להשתמש באופן שגרתי. במקרים שבהם העיבוד לפי המידע שנקבל הוא כל כך מסוכן או כל כך רגיש, שמצריך שימוש ביד יותר עדינה. לתפור את חליפת הרגולציה לא באמצעות פטיש של האכיפה, אלא בלתפור את המתווה הרגולטורי, לזה נועדה בקשת רישום.

תגידו לו ש"מעשיו מהווים הפרה - - - בתוך תקופה שיורו". תורו לו שאסור לו לאסוף את המידע, כי אסור לו לאסוף את המידע ולדעתכם מדובר בהפרה. ותעשו מה שאתם רוצים עם זה. אני לא מבין - - -

וגם אין אפשרות להפסיק באופן מידי, גם אם אני אענה - - -

אז תוסיף - - -

אולי יום אחד, תאמינו או לא, נגיע לפרק העיצומים וההפרות, ואז תגיד: חסרה לי הסמכות הזאת והזאת. ואז אנחנו נקבע את הסמכות. וניתן לך את האפשרות, ונייצר לך מנגנונים, ונייצר לך הליך ערעור, ונייצר לך את מה שאתה רוצה, אם אתה חושב שזה נצרך. נדון בזה ונחליט. אבל אני לא הופך את זה להליך רישום, כי הליך הרישום לא מייצר כלום. מה המשמעות של הפרת תהליך הרישום? נניח שאמרת לי שאני צריך רישום. בוא נניח שאני החלטתי להקים את אותה מכונת MRI שקוראת מחשבות ומוכרת את זה לסינים. אני החלטתי.

זה לא כזה דמיוני.

אגב, המחשבות שלי בשבילם זה סינית. החלטתי והקמתי את זה. ואז אתה אמרת לי: שמחה, רעיון נפלא, אני צריך בשביל זה לשבת שבעה ימים ושבעה לילות, לבנות לך את המבנה הרגולטורי, לא יודע איך להסתדר על זה. בסדר גמור. אני אומר לך שהמאגר הזה חייב רישום. אני אומר: שמעתי אותך, תודה רבה. אני אתחיל לעבוד, לא רוצה לרשום או יותר מזה, צריך רישום, אין בעיה – כשנגיע לגשר נפוצץ אותו. מה הסמכות שיש לך עלי? הפרת חובת רישום? מה זה? הפרה יעילה. עיצומים. מה יש לך להכניס אותי לכלא על הפרת חובת רישום?

נכון. אבל מעבר לעיצום שהיא על הפרת חובת רישום, יהיה פה – זה דומה לפעילות שטעונה רישום בלי רישיון. זו אי חוקיות טבועה. כל העיבוד לא חוקי. זה לא שעיבדת והפרת. עצם העיבוד הוא בלתי חוקי.

אז אתה אומר שאתה רוצה לייצר לך את האפשרות לעצור עבירות פליליות כשמתחשק לך.

יש לך את 8א.

אדוני, הפרה מתמשכת, למיטב זכרוני, השלב המתמשך מתחיל רק משלב מתקדם בהליך - - -

לא רוצה מתמשך ולא נעלים.

אבל זאת הבעיה.

תפרסמו באתר שלכם, ותוך דקה, עשר דקות, מישהו יגיש תביעה ייצוגית.

לא, חברים. בקיצור – לא. אין לזה שום הצדקה. אתם רוצים? כשנגיע לפרק ההפרות תגידו שאתם רוצים סמכות לתפוס בעל מאגר ולתלות אותו הפוך עם הרגליים, בסדר גמור. נבדוק אם זה אפשרי, מידתי, ולראות מה עושים עם זה.

הכוונה היא סמכות למתן הוראה מידית - - -

עכשיו הם יגידו שכבר התחייבתי לתת להם את הסמכות הזאת.

אני מבין שזאת הצעת הוועדה, לחזור לזה בשלב ההפרות. - - - זו הוראה מידית יותר.

אני אומר שכמו שבסעיף 4 נתתי לכם אפשרות להורות להפסיק את ההפרה בתוך תקופה שונה אמרתי – בוא נדון בזה בפרק ההפרה. אם תחשבו שעצם קיומו של המאגר הוא - - - אני חושב ש-4 כבר כולל את זה. ואם תגידו שאתם צריכים אפשרות למתן צו מידי ונקבע, יכול להיות שמתן צו מידי דורש אישור מראש של בית משפט. לא יודע, אין לי מושג, אני לא רוצה לדון במשהו לפני שנדון, נשמע כשנדון בזה. אבל זה לא צריך להיות בשלב הרישום. זה לא קשור לרישום. הרישום הוא הפרה טכנית. הוא גם לא מייצר לך את מה שאתה רוצה. אני הפרתי את חובת הרישום, מה תעשה? תטיל עלי קנס. זה מה שאתה יכול בכל מקרה.

מקובל עלינו להעלות את זה שם בשלב ההפרה.

את ההצעה של יושב הראש.

בסדר, אתם את הסעיף הזה תנסחו מחדש.

"(ד) הוראות סעיפים קטנים (ג) ו-(ג1) לא יחולו על מאגר שאין בו אלא מידע שפורסם ברבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות כדין".

"חובת רישום מאגר או פטור מרישום מאגר לפי החלטת ראש הרשות" – זה די דומה למה שדיברנו עכשיו, אבל כאן זה בהקשר - - -

"מידע שפורסם ברבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות" – כנראה הכוונה רק כאשר מקור המידע הוא גוף ממשלתי?

סמכות כדין? תיאורטית יש חקיקה לא רבה שנותנת סמכויות גם לגופים פרטיים. חקיקה שקובעת רגולציה ספציפית בתחום ספציפי.

למשל רשות ניירות ערך.

רשות ניירות ערך היא כדין.

לא הרשות, יש חובה על גופים ציבוריים שנסחרים לפרסם מידע בדוחות כספיים, כולל מידע אישי בתוכו.

יש גופים כמו מגן דוד אדום שיש להם חקיקה למרות שהם לא גוף ממשלתי. יש מצבים מסוימים שיש סמכות לפי דין גם לגופים פרטיים.

בקיצור, חובת הרישום לא חלות אבל החובות המהותיות חלות. כלומר שזה לא פוטר את זה מהחובות המהותיות.

אלא אם יש פטור אחר בחוק.

ברור.

זאת הוראה בחוק הקיים. אין כאן - - -

בסדר גמור. הבנתי.

הגענו לחובת רישום מאגר או פטור מרישום מאגר לפי החלטת ראש הרשות.

זה מה שאמרנו עכשיו.

קודם אמרנו את זה בהקשר של חובת הדיווח, עכשיו זה בחובת הרישום. אני מניחה - - -

לא, זה לא אותו דבר. קודם הצעת החוק היא הצעת החוק. אבל א' על גופים ציבוריים, כי זה רלוונטי בעניין גופים ציבוריים שעליהם לא חלה חובת הדיווח - -

משמרים את ההסדר הקיים.

- - שבאה ואומרת: מותר לך להורות. לא, אז זה לא המצב הקיים - - -

זה רק הפטור, לא חובת - - -

כי שלא יחול עליו חובת רישום יהיה חייב ברישום – אנחנו לא מסכימים, זאת בעיה. חובת רישום של לפטור – כאשר מדובר בגופים פרטיים כפטור סוג, על זה דיברנו; כאשר מדובר על גופים ציבוריים, "זה מאגר מידע מסוים החייב ברישום יהיה פטור מרישום". זאת סמכות שקיימת היום בחוק, נכון?

נכון.

אולי סוגים, דורשת גם בהקשר הזה.

קצת קשה לי כשאני רוצה להטיל פה חובה על רישום לגופים ציבוריים ואני אומר לך - - - פה קצת כן מתעוררת השאלה שדיברתם.

זה גם סוחרי מידע, אני מזכיר.

וגם סוחרי מידע. נו, אבל גם סוחרי מידע, בואו נניח שיחליטו שסוחרי מידע בתחום פרסום מסוים לא דורש חובת רישום כפטור סוג. אני לא יודע אם זה כל כך מעורר אצלי התנגדות. הבעיה שלי היא ניגוד העניינים המובנה של גופים ציבוריים וקרבתם לצלחת.

אפשר להכניס תוספת עם אישור ועדה.

אפשר עם דיווח לוועדה פעם בשנה. משהו בסגנון הזה כדי לצנן.

תוספת עם אישור ועדה.

תוספת עם אישור ועדה זה קצת הרבה.

אפשר דיווח לוועדה.

דיווח על כל החלטות הפטור שניתנו לפי סעיף זה לוועדה.

אין לנו התנגדות.

את חושבת שצריך שהפטור עצמו יהיה?

השאלה אם הם יוכלו לדווח את זה לוועדה כאשר אולי חלק מהמאגרים הם מאגרים חסויים.

ותוספת תפתור לך את זה?

כן, כי זה יהיה סוג ואז זה יהיה כללי יותר.

זה לא סעיף שנעשה בו שימוש נרחב גם היום ואנחנו מעריכים שלא ייעשה בו שימוש נרחב גם מחר. זה נקודתי מאוד, זה לא - - -

דווקא דיווח לוועדה אם הוא חסוי אז מעבירים דיווח חסוי לוועדה, אז זה יותר קל. דווקא דיווח לוועדה, אם יש בו חלק חסוי, אז יש כללים איך מדווחים על מידע חסוי לוועדה. לעומת תוספת שזה הרבה יותר קשה לחסות.

מבחינתנו אין בעיה.

אז על מה הדיווח?

על החלטות שניתנו לפי סעיף זה.

- - - גופים והסיבה לפטור?

כן, על החלטות שניתנו לפי סעיף זה. החלטות ראש הרשות לפי סעיף זה. דיווח פעם בשנה.

הוראת המעבר?

הוראת המעבר עוסקת בשאלה מה יהיה עם כל המאגרים שרשומים היום, הוראת המעבר שרשומה כאן זו הוראה מהצעת החוק, מסעיף 29 להצעה. לא נגעתי בה, אבל אני חושבת שאולי נכון אולי לחשוב עליה עכשיו שוב מחדש, בשים לב לכך שכן היה כאן צמצום נוסף שהוועדה החליטה עליו לעומת הצעת החוק.

אולי גם הרחבה.

באיזה מובן?

של חובת רישום.

לא, לא לעומת היום, לעומת - - -

לעומת הצעת החוק. במילים אחרות, מה ייעשה במאגרים שהיום לא חייבים ברישום.

והם עדיין רשומים.

והם עדיין רשומים. על מי חלה החובה למחוק אותם? האם במובן מסוים, האם זה על הרשות שצריכה לבדוק או על בעל המאגר שצריך לדווח לרשות.

לא מפריע לי הסעיף כמו שהוא מנוסח היום. כשרשום, לא קורה שום אסון, ואם אתה רוצה להימחק, תימחק; לא חלה עליך חובת רישום, תימחק. בכל מקרה לא תחול עליך חובת עדכון.

מה שלא חל, לא חל.

למה לא רשימה אוטומטית? למה לא עדכון אוטומטי - - -עם תקרה אוטומטית.

לפחות מספרית, כל מה שהוא מתחת ל-100,000 זאת פעולה קלה למחיקה.

אנחנו לא יודעים מה הדברים האחרים שהשתנו, ולא תהיה עליו גם חובה לדווח.

אבל אם יש חובה לדווח, אז הוא ידווח. ואם הוא פטור והוא רשום אצלך, הוא יימחק.

אנחנו לא יודעים לומר היום על כל המאגרים נכון ליום היום, 9 בינואר, האם יש להם מעל 100,000 או מתחת ל-100,000.

מה כואב לי שזה נשאר רשום שם?

לא כואב כלום, זה בדיוק העניין. זה לא מטיל חובה לכשעצמו.

למה אין חובת דיווח נוספת בתוספות שם?

לא, זה לא מטיל שום חובה נוספת. מי שלא רוצה שיהיה רשום, שימחקו אותו. מי שלא אכפת לו שהוא רשום, שיישאר רשום, מה כואב לי?

כל עוד אין חובת צידוקין?

אין חובת עדכון.

להבהיר שאין חובת עדכון.

להבהיר שאין חובת עדכון וזהו. ולא תחולו לגביו החובות האמורות בסעיף זה וזה.

צריך זמנים אולי?

יש לכם סמכות למחוק דברים מהמאגר בהתיישנות? אני מקווה שאתם תוציאו מכתב לכולם שאם הם רוצים למחוק, שיודיעו, וזהו.

אין בעיה.

לא נראה שאני צריך פה - - - המרשם לא מבקש אוכל, נכון?

לא, הוא לא מבקש שום דבר לאכול, אבל רק יישארו בסופו של דבר עשרות אלפי מאגרים רשומים שלא צריך, ואם כל הכוונה שהרישום החדש והיידוע החדש ימקד את הפעילות של הרשות רק לגבי מאגרים מסוימים, זה יכול ליצור מצב שעדיין רשומים עשרות אלפי מאגרים.

אני סומך על האינטליגנציה של הרשם, ויותר מזה, יכול להיות מעניין שאם מישהו שרשום במאגר, קיבל מכתב כזה מהרשות שאומרת לו – אתה יכול להימחק, ולפי כל הרציונליים, אין שום סיבה שיהיה רשום. אז יכול להיות שיגיעו למסקנה שמדובר באדם רשלן שצריך להשגיח עליו איך הוא מנהל את מאגרי המידע שלו, ויום אחד הם גם יאכפו עליו דברים.

הם לא ישלחו "אתה יכול להימחק".

לא, זה אני - - -

הם ישלחו: הנה החוק החדש, ואם אתה לא עומד בתנאים, אז אתה יכול למחוק את המאגר.

זה מה שהם ישלחו.

להודיע לנו.

זה מה שהם אמרו שהם ישלחו.

זה מה שסוכם כשאתה לא עומד בתנאים ונבקש ממך.

דן, אתה יכול להיות רגוע שהמסר שיועבר למשק יהיה כמה שיותר נגיש וכמה שיותר פשוט וכמה שיותר מאפשר להם גם למחוק.

יהיה "לחץ כאן למחיקה".

זה לא יהיה רק "הנה החוק החדש" – שלום ולהתראות. כמו שאתה יודע, אנחנו לא כאלה.

עדיין, לא לבעלי המאגרים.

אם חברות לא מחויבות להודיע שהן רוצות להימחק, שאר המשק יכול להסתמך על המרשם הקיים והפומבי הזה שהוא כבר לא עדכני, שהוא אומר דברים שכבר לא נכונים.

הם יידעו באיזה תאריך נרשם האדם, אני יכול לבקש שזה יהיה בצבע אחר למי שנרשם לפני התחולה של החוק. באמת, מה אתה רוצה? בן אדם יראה מי נרשם לפני. הוא יודע מתי פעם אחרונה עודכן. רשום את זה ברובריקה במאגר, נכון? תאריך עדכון אחרון.

לא, זה לא רשום.

לא רשום?

לא.

למה לא רשום.

אין תאריך הרישום של מאגר.

עם תאריך עדכון? אני לא יודע, נצטרך לבדוק.

זה הפרט שחסר תמיד כשאנחנו כל פעם שואלים את השאלות האלה. זה משהו שצריך להוסיף אם כבר, לגבי התאריך.

לכאורה אמור להיות תאריך עדכון אחרון. גם בשבילכם אתם צריכים את זה.

אפשר היום לדעת אם מאגר הוא ציבורי או לא מהמרשם?

לפי שם בעל המאגר.

אין רובריקה ספציפית.

שהוא לא חברה בע"מ.

זאת אומרת שאני לא יכולה לעשות חיפוש לפי מאגר ציבורי?

סוחר מידע, ציבורי או אחר?

לא.

צריך להיות – אין.

תכף נדבר על הנגשת המידע של המאגר לציבור, אבל זה לא קשור לפה, זה קשור למשהו אחר. שוב, אנחנו לא צריכים להפוך לישיבת פיקוח על הרשות, למרות שזה בהחלט נדרש. אולי נאחד את זה עם ישיבת פיקוח על רשות החברות הממשלתיות.

צריך אולי בהוראות מעבר כן להתייחס למאגר רשום שכן נופל בחובת הדיווח החדשה. ואז לפחות לפתור מחובת הדיווח אם הוא כבר רשום ולא מוחקים אותו, אז לא צריך כפול.

זאת אומרת שלא עכשיו שבעל מאגר רשום שנופל בחובת דיווח, צריך עכשיו לשלוח את מסמך הגדרות מאגר ואת סקר הסיכונים שהוא ערך וכולי, כי לפי - - -

לא, לא, אבל למה את אומרת עכשיו רק, את לא יודעת מה יהיה כתוב כרגע בבקשת דיווח כי עוד לא סגרנו את זה.

זה לא משנה – אם כבר רשמתי והמאגר רשום ואני מחליטה לא למחוק אותו?

אנחנו עוד לא יודעים מה יהיה בבקשת דיווח.

וזה לא קשור.

זה לא קשור.

אז יהיה דיווח בנוסף להליך של הרשות?

יכול מאוד להיות, אבל את שואלת אותי שאלה אחרת של הוראות המעבר; האם מי שמנהל מאגר בערב יום זה וזה, איזה הוראות דיווח יחולו עליו נכון להיום?

אם המאגר היה חדש, הוא היה נופל רק בדיווח ולא ברישום. במצבים האלה, על זה אני מדברת.

זאת שאלה מי שמנהל מאגר החייב ברישום בערב יום התחולה.

חייב בדיווח ו - - -

בערב יום התחולה, מי שמנהל מאגר, האם כולם עכשיו צריכים לדווח? האם הם צריכים לדווח מדורג? האם אנחנו אומרים שהם ניקוי שולחן ורק מי שמשתמש במאגר או מי שאחרי התחולה? לא יודע, זה בהוראות מעבר, נדון בזה בסעיף של הוראות מעבר.

אפשר שהסדר התחילה של זה לפחות יהיה מידי של תנאי ביטול - - -

אפשר שנדון בזה כאשר נדון בזה?

בקשה לרישום

(א) "בקשה לרישום מאגר מידע תוגש" – אני
קוראת את הנוסח המשולב – "לראש
הרשות להגנת הפרטיות.




(ב) בקשה לרישום מאגר מידע תפרט את –




(1)
זהות בעל השליטה במאגר המידע ומנהל המאגר" – נראה מה עושים באמת עם מנהל המאגר – "ומעניהם בישראל;





(1)(א) סוג השירות שנותן המחזיק במאגר מידע לבעל השליטה בו.



(2)
מטרות הקמת מאגר מידע והמטרות שלהן נועד המידע;



(3)
סוגי המידע שיכללו במאגר;



(4)
פרטים בדבר העברת מידע מחוץ לגבולות המדינה;



(5)
פרטים בדבר קבלת מידע, דרך קבע, מגוף ציבורי כהגדרתו בסעיף 23, שם הגוף הציבורי מוסר המידע ומהות המידע הנמסר, למעט פרטים הנמסרים בהסכמת מי שהמידע על אודותיו.



(ג) שר המשפטים רשאי לקבוע בתקנות באישור ועדת חוקה" – אני מציעה להוסיף – "פרטים נוספים שיפורטו בבקשה לרישום.



(ד) הבעל השליטה במאגר מידע או המחזיק במאגר מידע, יודיע לראש הרשות על כל שינוי בפרט מהפרטים המפורטים בסעיף קטן (ב) או לפי סעיף קטן (ג) ועל הפסקת פעולתו של מאגר המידע".

והמחזיק שוב, איך המחזיק - - -

זהו, לעניין (ד), למחוק את המחזיק.

איך הגענו למחזיק?

אין צורך במחזיק, אפשר להוריד.

אוקיי, אפשר להוריד. כן ב-(ד) אני מסבה את תשומת הלב שזה מפנה גם לעדכון של כתובת הזהות של בעל השליטה במאגר המידע ובעצם מחייב כל פעם שבעל השליטה במאגר מידע מחליף כתובת, להודיע לרשות. אולי אפשר לבחון את זה שוב בעיניים האלה של מה צריך באמת להודיע על איזה שינויים - - -

מחליף כתובת נסתדר, אבל אם הוא מחליף כתובת דוא"ל, אנחנו לא מקבלים.

אם צריך את כל הפרטים להודיע לשינוי בהם.

זה נכון להיום רק בגופים ציבוריים, אז ממילא שינוי הכתובות הם - - -

לא, וסוחרי מידע.

לא, סוחרי מידע, אבל בסדר.

הכתובת, משרד המשפטים, צאלח א-דין. עוד מעט יהיה עדכון ואז תקבלו מלא בקשות מידע. מלא בקשות לעדכון המאגר. למה? על כל מאגר.

יש שאלה שקצת חוזרת בהקשרים אחרים – אם נכון שמשהו שהוא יחסית טכני כמו דיווח זה משהו שצריך לדווח לראש הרשות, להבדיל מן הרשות? אני מזמינה את - - -

וכל פעם שראש הרשות מחליף כתובת, הוא צריך לעדכן את כל אנשי המאגר.

לא, האם דברים טכניים יחסית של עדכונים ודברים כאלה, נכון לכתוב אותם בחוק כראש רשות ולא כרשות.

בדרך כלל זאת טכניקה חקיקתית, זה עניין של נוסח. בדרך כלל מקובל להטיל תפקיד או חובה על פונקציה מסוימת – ראש רשות, עובד מוסמך וכולי.

איך זה עובד בחוק ניירות ערך – לדווח לראש רשות ניירות ערך?

הרשות שם זה גוף שהוא מוצר המבנה שלו.

גם פה יש רשות. אבל דיברנו על זה שאנחנו מחכים להתייחסות שלכם איך מסדירים את המבנה של הרשות.

זה לא עניין של הקמה.

בסדר, לא מדווחים לראש הרשות בדרך כלל. אנחנו מרחמים על גלעד שהוא יתחיל לקבל מלא דיווחים במסירה אישית.

אני חושבת שצריך לעשות מחשבת רוחב על כל החוק, לראות מה נכון לשלוח או לדווח לרשות ומה לראש הרשות. לנקות את החוק הזה קצת.

סמכויות.

סמכויות הרשות – היום זה ברישום מאגר, עוד מעט נגיע לשאלה אם זה ברישום מאגר או לא ברישום מאגר.


סמכויות ראש הרשות
10.
(א) "הוגשה בקשה לרישום מאגר –




(1) ירשום אותו ראש הרשות במרשם, זולת אם היה לו יסוד סביר להניח כי המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן, או שהמידע האישי הכלול בו נוצר, נתקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין;



(2) ראש הרשות רשאי לרשום מטרה שונה מזו שפורטה בבקשה, לרשום מספר מטרות למאגר, או להורות על רישום המאגר כמספר מאגרים, והכל אם נוכח לדעת כי הדבר הולם את פעילות המאגר הלכה למעשה;



(3) ראש הרשות לא יסרב לרשום את מאגר המידע לפי פסקה (1) ולא יפעיל סמכויותיו לפי פסקה (2), אלא לאחר שנתן למבקש הזדמנות לטעון את טענותיו".

למה הורדנו את ה"פרק הזמן"?

אני גם שואלת למה הורדנו את הזמנים?

כי השינוי הוא לפי הנוסח המוצע – לא צריך להמתין מראש.

לא, אם אני סוחר מידע?

אתה יוצא ידי חובתך בהגשת הבקשה.

נניח שאני סוחר מידע או שאני רשות שלטונית?

קודם כתבנו: לא יעבד אדם במאגר וכולי, אלא אם כן הוא נרשם או שהוא הגיש בקשה לרישום ולא הודיעו לו על סירוב או על השעיה.

השתנתה ברירת המחדל – מותר לך אלא אם כן אוסרים עליך.

לא, אבל השאלה היא – יכול להיות שאתם, אני כבר אתחיל לעבוד במאגר מלא זמן, ואז אתם תשלחו לי שנה אחר כך: שמע, לא בא לנו לרשום אותך. ואז פתאום חל עלי האיסור, אחרי שאני כבר שנה עובד. לכן סד הזמנים פה – נדרש פה איזשהו פרק זמן מסוים.

אפשר לעשות את זה כמו בתוכניות אופציות, שמגישים למס הכנסה, ממתינים 30 יום, ואז האפקטיב, אתה יכול להתחיל לעבוד. זה תמיד יכול לחזור אחורה הרגולטור. אבל צריך פרק זמן קצר – 90 יום זה ארוך.

נוכל לתת תשובה בעניין הזה?

בסדר. אפשר לתקן את זה גם בסעיף השני, פשוט להגיד: וחלפו יותר מ - - - להכניס את איכות השירות כדי שאדם ידע לפחות ברמה מסוימת שנדון, כאשר בשלב מסוים אתם עוברים לשלב האכיפה ולא בשלב המניעה.

עוד שאלה היא לכמה זמן כשמשהים את רישום המאגר, אז לכמה זמן אפשר להשהות את רישום המאגר לפני שזה נחשב הודעת סירוב רישום?

כמו כל החלטה מינהלית, אני חושב שאי אפשר לקבוע מסמרות פה, זה מאוד תלוי. יכול להיות שההשהיה תהיה יום, יכול להיות שתהיה לחודשיים.

טוב, תתייחסו גם לזה, לאיכות השירות וגם לפרק זמן שאפשר להשהות, וכולי.

ההשהיה נועדה לסיטואציה שבה ביקשנו לקבל פרטים מסוימים, ואנחנו מבקשים כרגע להשהות את הרישום עד שנקבל את הפרטים האלה ונוכל לקבל החלטה סופית בבקשה.

זה סעיף שקיים היום והוא מקובל מאוד.

הבעיה להגביל את זה בזמן זה שאנחנו לא יודעים תוך אחרי כמה זמן יחזרו אלינו עם הפרטים שאנחנו צריכים. שוב, אנחנו עוסקים פה רק בגופים ציבוריים וסוחרי מידע. צריך לזכור, הכול פה עכשיו הרבה יותר מצומצם ואנחנו רוצים שתהיה לנו את האפשרות כרגע להגיד: עצרו, עד שנקבל את המידע הנוסף לצורך רישוי.

עדיין עובדים אם זה משך זמן ארוך, אז גוף ציבורי אולי לא יוכל לתת שירות לציבור באותו זמן, או סוחר מידע יאבד כסף. עדיין ציבורי הוא - - -

חזקה על גוף ציבורי שהוא יוכל למסור את התשובות שביקשנו.

על גופים ציבוריים לא הייתי - - -

אתה יכול להשהות את זה לתקופה מאוד ארוכה, ואנחנו לא נותנים שירות. אני נותן לך תשובות, אתה לא מרוצה - - - -

הוועדה הציעה שיהיה פרק זמן שבתוכו הרשות צריכה לקבל החלטה. בתוך פרק הזמן הזה, אפשר לבקש השהיה עד שנקבל תשובות כדי שנוכל לקבל החלטה. אני חושב שזה האיזון הנכון.

בכמה מהמקרים אתם מבקשים עוד פרטים נוספים? בסדר גודל.

אנחנו מבקשים במקרים רבים מאוד, אנחנו לא משהים לעתים קרובות. בסמכות ההשהיה אנחנו עושים שימוש די נדיר.

אבל סמכות ההשהיה לגוף ציבורי מקשה מתן שירות. אתה משהה אותי, מה אני עושה? אני לא נותן לתושבים, כאילו עצרתי?

שוב, ההשהיה לא נועדה להיות משהו מתמשך, היא נועדה להיות במקום שזיהנו סיכון מיוחד - -

אז תגדר אותה. צריך לגדר את זה.

- - שמצריך השהית רישום.

השהייה זה – לא מסרת את כל הפרטים. אתה רשות מקומית? תפתור בקשה בצורה תקינה.

רשמתי, שלחתי לכם בקשה, רשמתם, לקחתם את הזמן, חזרתם אחרי שנה שלא.

לא, לא אחרי שנה.

זה בכלל לא - - -

אתה לא חוזר אחרי תקופה. אתה לא מגדיר.

בכלל לא.

לא, הורידו את השינוי.

בהליכי רישום צריך להגיש בקשה. הגשת בקשה שהיא רק כוללת כ-10% מהמידע שהחוק דורש. אנחנו לא ממשיכים את המשך הטיפול בבקשה עד שתגיש את מה שאתה צריך לפי החוק.

כמה זמן?

תגיש. תגיש.

תוך כמה זמן אתה מגיב על זה?

לא הבנתי.

הגשתי בקשה, תוך כמה זמן אתה בודק את הבקשה שלי ואומר.

אני מזהה מה שחסר ומודיע לך.

בסדר, הוועדה הציעה פרק זמן שבתוכו צריכה להתקבל ההחלטה הסופית. זה נותן מענה גם לחשש.

אוקיי, מחכה לעדכון.

אפשר גם שזה יהיה משהו כמו: איקס ימים מיום שהגיעו הפרטים הנוספים שהתבקשו. נגיד, החל ולמסור דרישת מסמכים תוך 14 יום ואז עוד 30 יום מהיום שנמסרו המסמכים.

זה רעיון מצוין, נציע נוסח בעניין הזה.

ממשיכים ל-(ב2).



(ב2) "הודיע ראש הרשות למבקש על סירובו לרשום את מאגר המידע, או על השהיית הרישום, מטעמים מיוחדים שיפרט בהודעתו, לא יהיה המבקש רשאי לעבד מידע אישי במאגר ולא ירשה לאחר לעבד עבורו, זולת אם בית המשפט קבע אחרת.



בית משפט?

איזה בית משפט? ומאחר ואנחנו מתמקדים בגופים ציבוריים, אז בדרך כלל כשמדובר בגופים בתוך המדינה, בסדר, יתמודדו. מדובר ברשויות מקומיות. כשמדובר בגופים ציבוריים אחרים, אנחנו רוצים שמנגנון יישוב הסכסוכים התוך ממשלתי יהיה בית המשפט?

זה הנוסח שמופיע בחוק הקיים.

בסדר, כי זה - - -

לא הצענו שינוי בעניין הזה. המשמעות היא שצריך לעתור נגד ההחלטה הזאת. צריך לעתור נגד ההחלטה לסרב לרשום את המאגר.

כלומר בעתירה מינהלית.

ואז בית המשפט קובע אחרת.

לדעתי אין הגדרה לבית משפט בחוק.

זה כמו כל החלטה מינהלת אחרת של הרשות. אפשר לתקוף אותה בבית המשפט.

הבעיה היא שאנחנו בעולם שעכשיו מרבית הקליינטים שלכם הם גופים ציבוריים. כשקבעתי כלל עבור כל העולם ואמרתי, כשיש בעיה, תפנו לבית משפט – זה משהו אחד. עכשיו מרבית הקליינטים שלכם, זה הגופים הציבוריים. בדרך כלל אתה לא שולח גוף ציבורי, שנהנה גם הוא אגב בחזקת התקינות המינהלית, ואתה אומר לו: הרגולטור עליך לביצוע עבודתך שלך, הוא גוף ממשלתי. לא מוצא חן בעיניך? לך לבית משפט. זאת לא מציאות שאני כל כך מכיר.

כן, אבל ראשית לא חייבים. הרי יש מנגנון יישוב סכסוכים. יודעים בתוך ממשלה איך לפתור. לא חייבים להגיע לבית משפט. הרי ייפתר קודם, אם נגיד טעינו, ויכפו עלינו במנגנון התוך ממשלתי אם אפשר לשנות את דעתנו, אז לא נגיע לבית משפט. דבר שני, לא כל הגופים הציבוריים הם חלק מהממשלה. יש תאגידים סטטוטוריים, ושמה דווקא בית המשפט אולי כן הערכאה המתאימה. מלכתחילה אנחנו מניחים שמול גופים ציבוריים לא נגיע - - - קיום הדין - - - לא מגיעים. באים בדברים.

אז רק תוסיפו. ראש הרשות או בית משפט קבע - - -

למעשה זה נכון גם אם זה לא יהיה כתוב.