פרוטוקול של ישיבת ועדה
הכנסת
143
ועדת החוקה, חוק ומשפט
09/01/2024
הכנסת העשרים-וחמש
הכנסת
22
ועדת החוקה, חוק ומשפט
09/01/2024
מושב שני
פרוטוקול מס' 223
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, כ"ח בטבת התשפ"ד (09 בינואר 2024), שעה 9:34
ישיבת ועדה של הכנסת ה-25 מתאריך 09/01/2024
חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024
פרוטוקול
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
מוזמנים
¶
גלעד סממה - עו"ד, מנהל הרשות להגנת הפרטיות, משרד המשפטים
ראובן אידלמן - עו"ד, מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות
ניר גרסון - עו"ד, סגן מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות
רביד פטל - הממונה על מערך פיקוח הרוחב, הרשות להגנת הפרטיות
לינא כמאל טרודי - עו"ד, הממונה על האכיפה המינהלית, הרשות להגנת הפרטיות
עמית יוסוב עמיר - עו"ד, מחלקת ייעוץ וחקיקה, משרד המשפטים
לירון מאוטנר לוגסי - עו"ד, מחלקת ייעוץ וחקיקה, משרד המשפטים
שירה גרטנברג - עו"ד, ייעוץ וחקיקה, משרד המשפטים
דן אור-חוף - עו"ד, חבר המועצה, המועצה הציבורית להגנת הפרטיות
אסף הראל - עו"ד, חבר המועצה, המועצה הציבורית להגנת הפרטיות
יורם ביטון - מנהל אבטחת מידע, סייבר והגנת הפרטיות, המוסד לביטוח לאומי
צחי שלום - ראש מינהל טכנולוגיות דיגיטליות ומידע, מרכז השלטון המקומי
מירה סלומון - עו"ד, ראש מינהל משפט וכנסת, מרכז השלטון המקומי
לירון בנדק - עו"ד, יועמ"ש נשיאות המגזר העסקי, סמנכ״ל רגולציה
שחף קצלניק - עו"ד, יועץ משפטי, התאחדות התעשיינים
יעקב עוז - יו"ר ועדת הסייבר והגנת הפרטיות, להב - לשכת ארגוני העצמאים והעסקים
רחל ארידור הרשקוביץ - ד"ר, חוקרת, המכון הישראלי לדמוקרטיה
נועה דיאמונד - עו"ד, מנחת הקליניקה לפרטיות, אוניברסיטאות ומוסדות אקדמיים
יסכה בינה - עו"ד, התנועה למשילות ודמוקרטיה
ד"ר עמרי רחום טוויג - עו"ד, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל
ליאור אתגר - עו"ד, משרד EBN & Co
אלן יוסף - עו"ד, משרד AOI
דלית בן-ישראל - עו"ד, משרד נשיץ ברנדס אמיר ושות'.
ענר רבינוביץ׳ - מנכ״ל, PRIVACY TEAM
איה מרקביץ - עו"ד, PRIVACY TEAM
אייל שגיא - עו"ד, משרד AYR - עמר רייטר ז'אן שוכטוביץ ושות'
יעקב ספיר - עו"ד, אבטחת מידע
משתתפים באמצעים מקוונים
¶
ישי יודקביץ - עו"ד, ממונה משפטי לחקיקה ביועמ"ש, משרד הביטחון
אפרת סוקולובר - פרויקטורית במחלקת אכיפה, הרשות להגנת הפרטיות
מירב ולדמן - עו"ד, יועצת משפטית, איגוד לשכות המסחר
יוגב עזרא - חבר ועד מנהל, העמותה למלחמה בספאם
ענת אור-חוף - Or-Hof Law Firm
יונת מנה - עו"ד, יועצת משפטית, גוגל ישראל
הילה היבש - עו"ד, ייעוץ משפטי, קשרי ממשל ואחריות חברתית, מיקרוסופט ישראל
רשם פרלמנטרי
¶
ויקטור ינין
אורי פנסירר
רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
¶
בוקר טוב. לצערי, אנחנו פותחים את היום הזה בצער, עם הודעה קשה ששמענו על סמל רועי טל, על רב סמל דוד שוורץ, רב סמל יקיר הכסטר ורב סמל גבריאל בלום, ששמענו עליהם ועל נפילתם הבוקר. אנחנו כמובן משתתפים בצער המשפחות ומאחלים החלמה לפצועים, מקווים שלא נצטרך להתעורר לבקרים כאלו ומשפחות לא יאבדו את יקיריהן, יקירינו, יקירי האומה כולה שמוסרים את נפשם למען זה שנוכל לשבת פה ולהתעסק בדברים שהם כמובן חשובים.
כמו בפתיחת כל ישיבה, אני מזכיר שלמרות שהכותרת של הדיון פה איננה כוללת את המילים "חרבות ברזל", אנחנו מנהלים את הדיון הזה לבקשת המל"ל. זה להבנה של החשיבות של קיום הדיונים האלו גם בתקופת הלחימה. ועדיין, המעבר הזה הוא קשה, המעבר הזה של לפתוח בוקר בידיעה שכזו ולצלול לתוך פרטי פרטים של סעיפי חוק שלא מתחברים למציאות הקשה שאנחנו שרויים בה.
אנחנו מקווים מאוד שהמציאות תשתנה, תשונה, בהתאם ובהקדם, על ידי חיילינו, מפקדינו הגיבורים, כדי שאת דיוני החקיקה בנושא הזה ובכל נושא אחר נקיים באווירה אחרת, בעזרת השם, בקרוב.
אנחנו בעניין חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022. גברתי היועצת המשפטית, את רוצה להזכיר איפה אנחנו נמצאים?
נעמה מנחמי
¶
אנחנו סיימנו את הדיון הקודם בעיקר עם סיום הגדרות. התחלנו לדבר על חובת רישום. אבל נשארו עוד כמה הצעות לתיקונים סביב ההגדרות שאושרו או נדונו, חלק אושרו, חלק נדונו.
היו"ר שמחה רוטמן
¶
נעבור עליהן בזריזות, נגיד כמה מילים ובהתאם נמשיך. נעבור הגדרה-הגדרה. אנחנו עובדים בצמוד למסמך הכנה של הייעוץ המשפטי, מ-7 בינואר 2024, ותודה לנעמה על הכנתו.
על הגדרה (1) כבר עברנו, היא לא חדשה.
מה שמסומן בצהוב, הגדרה (5), בעניין הערכת אישיות. דיברנו על הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכות אישיות. התוספת שהוצעה:
"לעניין זה, "גורם מקצועי" – מי שכדרך עיסוק מחווה דעתו על אישיותו של אדם".
את רוצה להתייחס לזה, להערה זו?
אלן יוסף
¶
גם לזה. היינו רוצים לחדד מעט את ההגדרה של גורם מקצועי. לדעתנו, היום הגורם המקצועי מעט רחב, להגביל את זה לאיזשהו תחום הכשרה. לדוגמה, גורם שבהתאם להכשרתו מחווה דעתו על אישיותו של אדם.
זאת אומרת, שזה יהיה קצת יותר חד ערכי.
היו"ר שמחה רוטמן
¶
זה קצת משונה שאנחנו דורשים רמה מסוימת של מקצועיות מאדם, ופחות מ-AI. כלומר, מה רמת המקצועיות של ה-AI? זה קצת קשור.
אני חייב לומר: הערכת אישיות – אני הייתי נותן פה הגדרה מהותית. אני לא כל-כך אוהב את ההגדרה הזאת מה זה הערכת אישיות ולא אכפת לי כל-כך מי מבצע אותה. אני לא כל-כך מקבל את האמירה. אני לא כל-כך יודע להגדיר מה זה גורם. יש פה הערה: מורה, מפקד בצבא, מנהל בעבודה – האם זה נחשב? לא נחשב? אינני יודע. אבל אין הגדרה מהותית של מה זה הערכת אישיות. האם מישהו שאומר עליי "הוא טיפש" – זאת הערכת אישיות? האם מישהו שאומר עליי "שתיקתו רועמת" – זאת הערכת אישיות? אני לא יודע. אני באמת לא יודע.
ולכן צריך להגדיר פה מה זה הערכת אישיות, איפה זה עובר. מה שעשינו, ניסינו לעקוף את זה דרך "הגורם". כלומר, אנחנו לא יודעים מה זה הערכת אישיות, אבל עם גורם מקצועי שכדרך עיסוק מחוות דעתו על אישיותו של אדם זה הופך את זה להערכת אישיות, בלי הגדרה מהותית. זה קצת קשה לי.
עמית יוסוב עמיר
¶
קודם כל, אני מזכיר שמידע על אישיותו של אדם היום מוגדר בחוק מידע רגיש. המטרה, גם במסגרת הצעת החוק וגם בדיונים פה בוועדה והקו הברור של הוועדה, היא לצמצם ולדייק.
לצד זאת, כמובן שהאמירה, באופן עקרוני, מהי אישיות של אדם, אכן היא אמירה עם עמימות מסוימת ואכן הכוונה היא לדייק את האמירה באמצעות הפנייה לגורם.
עמית יוסוב עמיר
¶
בדיון האחרון אדוני ביקש לחדד את זהותו של אותו גורם מקצועי. עלו פה שאלות ותהיות לגבי השאלה - - -
היו"ר שמחה רוטמן
¶
אני לא בא בטענות על מה שעשיתם. אני רק אומר שבסופו של דבר אנחנו צריכים להסתכל על זה ככולל. אני מבין את הרצון להפנות לגורם מקצועי. בשנייה שנגיע לעולם ה-AI, אמצעי שמיועד לביצוע הערכות אישיות, שאלת המקצועיות שלו או לא מקצועיות שלא – מה זה, רמה מסוימת של אלגוריתם?
עמית יוסוב עמיר
¶
לא. אני אבהיר. המטרה פה היא לא לדון ברמת המקצועיות של המעריך, אלא בעובדה שיש לנו פה מסד נתונים מסודר.
היו"ר שמחה רוטמן
¶
אני קורא את החוק, בסופו של דבר צריך ליישם אותו. אני שמתי ברשת משחק סודוקו ושמתי עליו בוט של ה-AI שלפיו אני יודע שבן אדם שפותר את הסודוקו תוך x זמן הוא יותר אינטליגנט, מאשר בן אדם שפותר את הסודוקו תוך פחות זמן או בן אדם שמראש רואה סודוקו ובורח מזה ואני מבין מזה שהוא טמבל לגמרי. בסדר? לפי זה ה-AI מסווג את האנשים שעושים את הסודוקו.
זה נחשב? זה לא נחשב? אינטליגנציה זאת אישיות או מצב פסיכולוגי? אני לא יודע.
עמית יוסוב עמיר
¶
באופן עקרוני התשובה היא כן. זאת אומרת, אם ה-AI הזה אמור עכשיו למסד רישום של המשתמשים במשחק – הם נכנסו לשעשוע רגעי, למשחק הסודוקו, ועכשיו יושב - - -
היו"ר שמחה רוטמן
¶
ולכן אני אומר שכדאי אולי לתת רשימת מכולת, של אינטליגנציה, מצב רגשי וכדומה. אני פותח את זה, אני לא יודע. אני רק אומר שכרגע ההגדרה היא מאוד טאוטולוגית. אם אני הייתי גם הולך לכיוון של עורכת הדין אלן יוסף, אני לא יודע. השאלה אם הפנייה לגורם מקצועי סגור היא לא ארכאית קצת, כאשר אנחנו מכניסים פה גם את הגורם של ה-AI.
אני צריך לדעת בצורה יחסית בהירה, או בחקיקה או בהנחיות. כאשר אני מושיב AI לגלות מהירות תגובה או אינטליגנציה ברמה מסוימת, זה לא נחשב הערכת אישיות? אולי כן? אני לא יודע. וכשאני הולך לבדוק מצב רגשי, נפשי, אבל אל מול שמחה, לא יודע, זה כן או לא? אני לא יודע.
אם היית משאיר לי גורם מקצועי, אז הייתי יודע, כי בדרך כלל אם בעל מקצוע כבר טרח ועסק בנושא, סימן שזה מספיק רגיש. אבל בשנייה שאני מוסיף לי פה הנושא של "האמצעי שמיועד לביצוע הערכות אישיות", קרי ה-AI, אני לא יודע מה זה כולל.
ליאור אתגר
¶
אני חושב שצריך להתמקד פה באינטרס המוגן. אנחנו מדברים פה על תחום ההשמה. אולי צריך פשוט להוסיף בסוף המשפט "לצורך השמה מקצועית" או "לצורך השמה תעסוקתית", לדעתי זה ימקד את ההגדרה הזאת למקום הנכון.
ניר גרסון
¶
לא רק, כי השמה זה אחד מהתחומים. מה עם חיתום? מה עם פרסום ממוקד? לא הייתי הולך לכיוון הזה.
ד"ר עמרי רחום טוויג
¶
אני חייב להגיד שהסוגיות שאנחנו מדברים עליהן כאינטרס מוגן עכשיו, נפרד, הן כבר סוגיות שעוסקות אולי בפרופיילינג או בדברים אחרים. זה כבר לא סוג המידע. זה כבר סוג שימוש במידע. גם ב-GDPR ובמקומות אחרים זה מוגדר לא כמידע.
היו"ר שמחה רוטמן
¶
אני חושב שהוא צודק. אני לא רוצה להתעכב על זה יותר מדי היום. אני לא חושב שהביטוי "אינטרס מוגן" מתאים פה, תנסו קצת למפות לאיזה סוג אלגוריתמים שפועלים היום בשוק אתם התכוונתם, או שאנחנו מצטמצמים לגורם מקצועי שעושה את זה ואז זה יותר קל לי. גם אם אני לא מקבל שאת זה צריך לעשות גורם מקצועי ולכתוב בדיוק "בעל תעודת MA מאוניברסיטה מוכרת", בסדר, אבל אני כן יודע שאם הושבת על זה גורם, בעל מקצוע, כנראה שזה מספיק חשוב לך ורגיש לך, ואני יכול להסתדר עם זה כי אני מבין מה זה אומר.
בשנייה שזה נכנס לעולם ה-AI והערכות שכאלה, אני צריך לדעת איזה AI נחשב רגיש ואיזה AI לא נחשב רגיש. ושם ההגדרה צריכה להיות קצת יותר חתוכה.
ד"ר עמרי רחום טוויג
¶
אני מציע לקחת בחשבון גם את ההבחנה בין דעות לעובדות, כמו שאמר אדוני. זאת אומרת, זה שמישהו מסוים, אפילו שעושה את זה כדרך עיסוק במקום עבודה, חושב שאדם לא חכם או לא נחמד חברתית – זאת לא הערכת אישיות, זאת דעה.
דן אור-חוף
¶
אני רוצה להצביע על נקודה שהיא אולי רגישה בהקשר הזה, לדוגמה על הפרשה הידועה של קיימברידג אנליטיקה, חברות שעוסקות במה שנקרא פסיכוגרפיה של אנשים, ניתוח פסיכולוגי של אישיות כדי שאחר כך אפשר יהיה להשתמש בו לצורך מניפולציות כאלה או אחרות, על דעת קהל ועל קבלת החלטות של אנשים.
היו"ר שמחה רוטמן
¶
כן, אבל אני מניח שזה ייפול על פרט (4): "מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם או השקפת עולמו".
היו"ר שמחה רוטמן
¶
אני מסכים, אם רוצים להכניס פה AI, חייבים פה מיקוד הגדרה. אם מדובר על גורמי מקצוע – גורם מקצוע. גם אם הוא לא יהיה במאה אחוז חתוך ויהיו כתובים בו המילים "לרבות" או "כדומה", אבל שיהיה איזשהו רפרנס.
אתם מבקשים להוסיף
¶
"או מידע על היותו של אדם נפגע אלימות או תקיפה מינית או על השתייכותו לאוכלוסיות בזנות".
"תקיפה מינית והשתייכותו לאוכלוסיות בזנות" – זה בתוך פרט (1), אני לא רואה בזה שום צורך.
לגבי "מידע על היותו של אדם נפגע אלימות" – תעלה השאלה למה דווקא נפגע אלימות, למה לא נפגע עבירה בכלל. אני לא יודע למה אנחנו צריכים. כלומר, "תקיפה מינית והשתייכותו לאוכלוסיות בזנות" – זה צנעת אישותו. זה הארדקור פרט (1). אני לא צריך לייצר לזה עוד רובריקה.
לגבי "היותו של אדם נפגע אלימות" – בעיניי זה מיותר. אם רוצים, אפשר לעשות "מידע על אודות עברו הפלילי של אדם, לרבות היותו נפגע עבירה" – ואז זה לא קשור לאלימות. "לרבות היותו נפגע עבירה" – טיפה רחב מדי. לא רואה את האינטרס המוגן, גם לא על אלימות, כי מה ההבדל בין אם פרצו אליי הביתה או הרביצו לי מכות ברחוב? מהבחינה הזאת נפגע עבירה באותה מידה. ואם זה מידע מוגן – מידע מוגן. הנושא של המיני שאני מבין שהוא יותר רגיש, בהארדקור, הוא קיים ב-(1), על השולחן, לא צריך אותו במיוחד.
אני הייתי מוותר בכלל, משאיר את "מידע על אודות עברו הפלילי של אדם", בלי להוסיף נפגע עבירה ונפגע אלימות. אם ישכנעו אותי פה מסביב לשולחן שצריך להכניס את נפגע עבירה, אוסיף את זה. אבל אני לא רואה סיבה אמיתית. זה רחב מדי. כל עבירה שהיא קשורה למשהו מיני ורגיש, היא נמצאת בתוך סעיף (1), על פניו, בדלת הראשית, לא צריך להכניס אותה בדלת האחורית.
מבחינתי, את (6) נשאיר כמו שהוא, בלי התוספת בצהוב. יש הערות לזה?
ראובן אידלמן
¶
אנחנו חשבנו שיש בכל זאת קבוצה של נפגעי עבירה שלא נכנסים לתוך סעיף (1) כמו שהוא עכשיו, ולכן כן ראינו ערך בתוספת הזאת. ההצעה לגבי נפגע עבירה יכולה לתת מענה.
ראובן אידלמן
¶
לכן פה הצענו קצת לצמצם, לנפגע אלימות. וגם, העניין הוא שנפגע עבירה – זה יכול להיכנס למהי כן עבירה או לא. אנחנו כתבנו נפגע אלימות. המטרה הייתה שזה יהיה משהו קצת יותר רחב, בלי צורך לברר עכשיו אם זו הייתה עבירה או לא, לצורך הדבר הזה.
יש גם עמותות שמחזיקות מידע על האוכלוסיות האלה. זה לא בהכרח ייכנס לתוך צנעת חיי המשפחה ודברים כאלה. חשוב שהמאגרים האלה יהיו ברמת ההגנה הגבוהה ביותר.
היו"ר שמחה רוטמן
¶
זה שבן אדם הותקף בהפגנה על ידי שוטר, זה מידע אישי. אבל להגיד לך שהוא מאוד רגיש? יכול להיות שאם אני אדע באיזה הפגנה זה היה, זה יהיה מידע על נטייתו הפוליטית.
היו"ר שמחה רוטמן
¶
במחילה, אני הייתי מוריד את זה לגמרי. נשאיר "מידע על אודות עברו הפלילי של אדם", מה שהיה. הנושאים, שאני באמת מבין את הרגישות שלהם, נמצאים ב-(1), מכוסים לדעתי.
ואת הנושאים שהם שאר העבירות – לפעמים יכולות להיות עבירות רכוש שהן מאוד רגישות ועבירות אלימות שהן בכלל לא רגישות. לא הייתי נכנס לרזולוציה הזאת.
הסעיף הבא שבו יש לנו תיקון – (10).
ד"ר עמרי רחום טוויג
¶
אבל אם יורשה לי בכל זאת אמירה קטנה על סעיף (7). סוגיה טכנית, אני לא חושב שהיא במחלוקת גם לפי משרד המשפטים, לפי מה שהיה בפרוטוקול.
הרישה עוסקת בנתוני מיקום ותעבורה כהגדרתם בחוק סדר הדין הפלילי, וזה דיון שדנו בו גם חברים פה מסביב לשולחן. ההגדרה של נתוני תעבורה בחוק סדר הדין הפלילי אינה מוגבלת רק למנוי, כלומר מי שמקבל שירותים מספק מורשה או לספק מורשה. היא כוללת גם נתונים על מתקן בזק, שזה מונח אגנוסטי לחלוטין. ולכן בפועל, בהגדרה כמו שהיא עכשיו, תיכנס כל כתובת IP שנאספה, גם בלי קשר לחוק נתוני תקשורת ולא על ידי ספק מורשה.
אנחנו מציעים לחדד שנתוני מיקום ותעבורה לגבי מנוי או שנאספו על ידי ספק מורשה. רק כדי לחדד, ההבנה שלנו הייתה, גם לפרוטוקול לדעתי, על ידי נציגי משרד המשפטים - - -
ד"ר עמרי רחום טוויג
¶
לא, לא, אני מדבר על הרישה שעוסקת בנתוני מיקום ותעבורה. נתוני מיקום מוגדרים בחוק סדר הדין הפלילי ונתוני תעבורה מוגדרים בחוק סדר הדין הפלילי.
ד"ר עמרי רחום טוויג
¶
נתוני מיקום מוגדרים כנתונים על מנוי, כלומר מי שיש לו יחסים מול ספק מורשה, שזה בסדר.
נתוני תעבורה מוגדרים לעניין מנוי, מתקן בזק, מקום או מועד מסוימים – ולכן הם מנותקים ממערכת היחסים שבין מנוי לספק מורשה. נתוני תעבורה לגבי מתקן בזק כוללים כל כתובת IP. כתובת IP היא לא "מידע בעל רגישות מיוחדת", בכל הכבוד.
היו"ר שמחה רוטמן
¶
לא. אם אתה בא ואומר "שמחה רוטמן השתמש במכשיר שלו דרך IP מסוים, ביום מסוים, בשעה מסוימת" – זה בהחלט יכול להיות מידע רגיש.
היו"ר שמחה רוטמן
¶
זה נתון תעבורה. זה כמו שאתה יכול להגיד "למה זה משנה לי אם אני יודע באיזה תא סלולרי השתמשת".
ד"ר עמרי רחום טוויג
¶
לא, כי כתובת IP מזהה הרבה פחות מדויק מבחינת מיקום מתא סלולרי. אין בכלל דמיון בין הדברים.
היו"ר שמחה רוטמן
¶
אני לא בטוח. לא, לא. זה לא תמיד. בוא תסכים איתי שאם אני ב-IP של הכנסת, בגלל שאני מתחבר ל-Wi-Fi בכנסת, או שאני נמצא בתא סלולרי בשטח של 20 קילומטר מרובע, הכנסת זה מקום קצת יותר מדויק מאשר 20 קילומטר מרובע שאני יודע שהתחברתי לתא סלולרי מסוים.
היו"ר שמחה רוטמן
¶
אתה צודק. מה שאמרת נכון. בשנייה שכתובת ה-IP לא משויכת לאדם מזוהה או ניתן לזיהוי - -
ד"ר עמרי רחום טוויג
¶
היא יכולה להיות משויכת לאדם, אבל אני לא בהכרח יודע איפה המיקום של כתובת ה-IP הזאת בנקודה מסוימת. ההגדרה של נתוני תעבורה לא עוסקת בשאלה האם הם מעידים על מיקום או לא.
אני שוב מחדד. הרציונל ברישה, וזה גם היה הרציונל של משרד המשפטים, לכסות - - -
ד"ר עמרי רחום טוויג
¶
יש לנו את הסיפה שהיא מוגבלת, שזה בסדר. הסיפה אומרת "נתון אודות מיקום של אדם". אם הוא יכול להעיד על דברים אחרים, בסדר. אם כתובת IP - - -
ענר רבינוביץ׳
¶
אני מזכיר שהמטרה של כל סוגי המידע הרגישים כאן, כל הסוגים האלה אמורים להיות אינהרנטית רגישים. כלומר, לא שייתכנו מצבים שבהם הוא רגיש.
ענר רבינוביץ׳
¶
ולכן, אם נוכל להחיל את הסיפה על הכול, גם על נתוני התעבורה, אני חושב שזה ירגיע כאן את כל היושבים מסביב לשולחן.
ד"ר עמרי רחום טוויג
¶
אבל החשש פה הוא ביג דאטה. נתוני מיקום ותעבורה של ספק תקשורת – החשש אצלם הוא הביג דאטה.
ליאור אתגר
¶
אנחנו מדברים על נתונים עצמם, על התוכן עצמו. כל עוד יש לנו את הסיפה, שזה מאפשר לנו לתת אינדיקציה של איכות – זה לא כל נתון, זה רק "אם יש בו כדי להעיד" – זה אומר שאנחנו במקום טוב. זה לא כל נתון, לא כל GPS.
היו"ר שמחה רוטמן
¶
חברים, אם אנחנו נחזור כל פעם להגדרות, לא נסיים לעולם. גם דיברנו על זה.
אתם רוצים להתייחס לזה בקצרה, במשפט, ולסגור את האירוע?
עמית יוסוב עמיר
¶
רק נאמר שבסוף יש פה הגדרות משורשרות – בחוק נתוני תקשורת, בחוק התקשורת (בזק ושידורים). יש פה הגדרות מאוד בסיסיות, אנחנו לא חושבים שצריך עכשיו להיכנס.
ד"ר עמרי רחום טוויג
¶
כן, נתוני תעבורה שנאספו על ידי ספק מורשה. כל המונחים מוגדרים, אתם לא צריכים להוסיף עוד הגדרות. "נתוני מיקום ותעבורה שנאספו על ידי ספק מורשה, כהגדרתם בחוק".
היו"ר שמחה רוטמן
¶
אני מבין מה הוא אומר, כי מקורם של נתוני מיקום יכול להיות גם לא מספק מורשה, אלא למשל מהסלולר שלי או מתוכנת צד ג'.
ד"ר עמרי רחום טוויג
¶
או מחברת טוסטרים שאוספת. חברת E-commerce שמכרה טוסטר ואספה את כתובת ה-IP של מי שקנה את הטוסטר. כרגע זה נכנס להגדרה של נתוני תעבורה – וזו לא המטרה.
לירון מאוטנר לוגסי
¶
אבל ההגדרה של נתוני תעבורה היא יותר רחבה מזה. היא כוללת את כל המטא-דאטה ביחס לנתונים האלה.
ד"ר עמרי רחום טוויג
¶
כל עוד זה רק לגבי מנוי, בסדר, כי מנוי הוא מי שיש לו יחסים מול ספק תקשורת. אנחנו התחלנו את כל הדיון בנתוני מיקום כשנתוני מיקום הם לא מידע רגיש.
היו"ר שמחה רוטמן
¶
אני מוצא טעם בהערתו. תחשבו על זה לפעם הבאה, אני לא רוצה עכשיו. ככל שאתם יכולים לתת לזה מענה בהגדרה לפעם הבאה. אני חושב שיש היגיון במה שהוא אומר. אני מבין גם את - - - הנוספים, אני בעד שזה יהיה יותר חתוך, שזה יכלול את מה שאנחנו רוצים.
(13) – את אומרת שגם כאן משהו התווסף?
נעמה מנחמי
¶
כן. הוועדה החליטה למחוק את פרט (13). משרד המשפטים רוצה להסב את תשומת ליבנו לכך שמאחר שהוא נמחק נדרשת הוראת מעבר בשים לב לתקנות הגישור.
עמית יוסוב עמיר
¶
בין השאר, בהתאם להגדרה היום של "מידע רגיש" נקבעו עוד שני פרטים של מידע כמידע רגיש רק לעניין מידע שהתקנות חלות עליו.
עמית יוסוב עמיר
¶
שתיים, חברות בארגון עובדים. בישראל הנושאים האלה הם תלויי תרבות והיסטוריה, בישראל חברות בארגון עובדים לא נחשבת מידע רגיש. באיחוד האירופי זה מידע שהוא נחשב מאוד רגיש ומופיע ב-GDPR כמידע בקטגוריות המיוחדות.
עמית יוסוב עמיר
¶
כרגע תקנות הגישור לעניין המידע שהן חלות עליו, מידע שמגיע מהאיחוד האירופי, קובעות שהמידע ייחשב למידע רגיש. כשאנחנו מבטלים את האפשרות - - -
היו"ר שמחה רוטמן
¶
התקנות לא מחייבות שמידע יוגדר כמידע רגיש, שזה נפקא מינה לעניין העיצומים. ברור שזה מידע אישי, נכון? אין ספק שזה מידע אישי.
ראובן אידלמן
¶
אדוני, זה בגלל שמבטלים על ההסמכה. הוועדה ביקשה לבטל את ההסמכה של השר לקבוע סוגים נוספים, ואז, מבחינה משפטית, זה שומט אוטומטית את הצו של שר המשפטים – במקרה הזה תקנות – שהגדיר סוגים כמידע רגיש. זו דרישה מפורשת של האיחוד האירופי, להגדיר מידע שמגיע מהאיחוד האירופי על חברות בארגון עובדים כמידע רגיש.
היו"ר שמחה רוטמן
¶
יש לי הצעה אולי, אבל אחרת. אם מה שאנחנו רוצים זה לייצר תאימות, ומחר בבוקר באיחוד האירופי יקבעו משהו נוסף כמידע רגיש, וכדי לשמר את התאימות, אתם הכנסתם פה איזו שמיכה רחבה שמאפשרת צ'ק פתוח לשר.
היו"ר שמחה רוטמן
¶
צ'ק פתוח לשר באישור הוועדה. אבל אני חושב שאולי כדאי להכניס הוראה, סעיף, במקום סעיף של שר באישור, כלומר לייצר פה את התנאי המהותי, אפילו להשאיר את שר המשפטים באישור ועדת החוקה, על מידע שהגיע ממדינה אחרת שמוגדר על פי דיני אותה מדינה כמידע רגיש, שהוא רשאי להגדיר אותו כמידע רגיש.
כלומר, לייצר את המבחן המהותי הזה שאתם מדברים עליו, שאני מבין אותו, הוא משמר תאימות. אבל לא ששר המשפטים יוכל מחר בבוקר להחליט לגבי כל מידע שהוא מידע רגיש, אלא שהוא יוכל לקבוע על מידע שמגיע ממדינה אחרת שעל פי דיני אותה מדינה הוא מידע רגיש, הוא יוכל לקבוע שהוא ייחשב מידע רגיש לעניין חוק זה. ואז זה סעיף הסמכה – כי מחר בבוקר באיחוד האירופי יחליטו שצבע שיער, זה רגיש, לא יודע.
גלעד סממה
¶
אפשר כמובן לעשות את זה. אני רק אומר, גם אמרתי את זה בדיון הקודם, שבסופו של דבר אנחנו לא יכולים לחזות כל דבר. ואני מבין גם את הצורך אולי של יו"ר הוועדה שבכל דבר מהותי אנחנו נעבור את מסלול החקיקה הרגיל.
גלעד סממה
¶
אין בעיה. אני רק עוד פעם אומר שאני חושב, כמודל, שבסופו של דבר אנחנו גם מדברים על חקיקה שיש לה הקשרים של טכנולוגיה. לעשות את כל המהלך, כל פעם, בגלל פריט כזה או אחר - - -
היו"ר שמחה רוטמן
¶
בסדר, זה טיעון להשאיר את סעיף (13) בצורתו המקורית שאני לא בעדו. אני אומר: "שר המשפטים רשאי, באישור ועדת החוקה, לקבוע כמידע שהגיע" – ואם אתם צריכים הוראת מעבר של התקנות שאושרו כבר, זה בהוראת מעבר.
עמית יוסוב עמיר
¶
אני רק אומר לפרוטוקול, רק לדייק. ההגדרה בדין האירופי היא לא "רגישות מיוחדת", אלא "special categories". זאת אומרת, נצטרך למצוא נוסח שיתאים.
היו"ר שמחה רוטמן
¶
בסדר גמור, זה חלק מההתאמה.
(10) "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם" – שעל זה דיברנו בפעם הקודמת.
עמית יוסוב עמיר
¶
אנחנו מחפשים לדייק ולהסביר מה בדיוק הרגיש. אנחנו מצמצמים מהמצב הכלכלי באופן כללי. יש מצב כלכלי ספציפי, שהוא לא משתקף רק בנתונים הפיננסיים, שאנחנו חושבים שהמידע עליו הוא מאוד רגיש מבחינת תפיסות חברתיות מקובלות, של מה רגיש בעיני אנשים.
בסופו של דבר, יש פה החלטה ערכית.
היו"ר שמחה רוטמן
¶
אני לא יודע. "מחוסר אמצעים" – זה מושג מאוד רחב. אין לי כסף ללמבורגיני – אני מחוסר אמצעים? זה מושג סופר רחב.
לירון מאוטנר לוגסי
¶
אנחנו ניסינו לכוון למעגלי עוני, נזקקות. פשוט מצאנו בחקיקה את השימוש במונח הזה, "מחוסר אמצעים". אנחנו גם יכולים לחשוב על מונח אחר. אבל כן חשבנו על כל העמותות.
היו"ר שמחה רוטמן
¶
אני לא אוהב את זה, כי זה קצת כמו שדובר מקודם על ההבדל בין דעה לעובדה. "מחוסר אמצעים" – זאת דעה. יש "איזהו עשיר השמח בחלקו". יש אנשים שהם "אין עני אלא בדעת". זה יכול להיות כל מיני דברים. יש הרבה מאוד אנשים שהם מתחת לקו העוני. יש חברות שבהן זה כמעט 100% מהאנשים. זה הופך את זה למשהו שהוא מאוד ביישובים מסוימים בארץ, כל יישוב שהוא סוציו-אקונומי נמוך.
זה מאוד רחב, זה לא באמת רגיש ברמה הזאת. אני חושב שכאשר מדובר על evidence, על עובדות, נתון על פעילות פיננסית, למשל על בן אדם שמרוויח 50% משכר המינימום, זה נתון רגיש כי אני יודע בדיוק את המשכורת של האיש. אבל להגיד "מחוסר אמצעים" או "עני"? בבחירה ערכית, כשאתה הופך את זה לרגיש – אתה הופך את זה לרגיש, אתה מייצר אמירה עם אלמנט של גנאי. בתחומי המשפט העברי – "יפה עניות לישראל". לא בטוח שזה דבר שהייתי רוצה להכניס פה כמושג.
אייל שגיא
¶
ההתייחסות למצב לא טוב נותנת את הקונטקסט. כמו שגם אמרנו לגבי בריאות: גם בריא – זה מצב בריאותי. לא לזאת הכוונה. וזה כן מכווין את ההגדרה לכיוון של מצב כלכלי. לא סתם, לא נטול קונטקסט, אלא משהו יותר ספציפי.
מירה סלומון
¶
אנחנו דווקא מסכימים עם יושב-ראש הוועדה, שהיותו של אדם מחוסר אמצעים זה משהו שהוא יותר מדי מעורפל. מחוסר אמצעים – זה לא יכול לרכוש דירה ולכן נמצא במחיר למשתכן; מחוסר אמצעים – זה זכאי לדיור בהישג יד כי הוא לא יכול - - -
היו"ר שמחה רוטמן
¶
אני אגיד יותר מזה, בהמשך למה שמירה אומרת. לצורך העניין, מרכז השלטון המקומי, עירייה, אוספת מידע, מקבלת תלושי שכר, ובסופו של דבר נותנת הנחה בארנונה, לפעמים על בסיס מצב כלכלי.
היו"ר שמחה רוטמן
¶
אני רוצה שהם יושיבו בן אדם שיגיע למסקנה, על בסיס נתונים שיש לו, שאדם הוא מחוסר אמצעים. שירשמו עליו "הוא מחוסר אמצעים" – ולא יאגרו את כל המידע, אלא להפך, ימחקו את כל המידע. מאגר המידע של מקבלי ההנחות בארנונה יכלול שהוא מקבל הנחה בארנונה כמחוסר אמצעים. הם לא ישמרו את המידע הרחב ביותר שעל בסיסו הם הגיעו להערכה הזאת, אלא הם העריכו אותו כמחוסר אמצעים ומחקו את כל המידע האחר.
ואז הם ירדו ברמת האבטחה וירדו ברמת הצורך לזה. וככה אני אומר: חבר'ה, הכול אותו דבר. ברגע שהגדרתם אותו "מחוסר אמצעים", כבר תשמרו עליו את התלושים, כבר תשמרו את המידע, תשמרו את חשבון הבנק שלו – וזה כי הכול באותה רמה. אני מייצר פה גם תמריץ שלילי לעניין המאגר.
זאת סתם דוגמה שעלתה לי בגלל שראיתי את מירה. מירה בכלל מביאה לי השראה, תמיד, מתחום השלטון המקומי. עכשיו היא לא תסכים איתי, כדי להראות שלא צדקתי.
מירה סלומון
¶
אבל באמת אנחנו לא מסכימים על הנקודה הזאת. כשמדובר ב"הנחת נזקק", כך קוראים לזה בנוסח, בתקנות ההנחה מארנונה, ראוי לשמור את התיעוד שהוביל למתן ההנחה כדי למנוע חשש לחוסר טוהר המידות או לקושי.
היו"ר שמחה רוטמן
¶
אחד תאבטחו מאוד ואחד לא. אחרת אתם תיתנו לכל עובד גישה להכול – כי זה כבר הכול רגיש.
היו"ר שמחה רוטמן
¶
לא, לא. "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם" – נשאיר את זה ככה, בלי תוספות.
"הרגלי צריכה" – הורדנו, מצוין.
עכשיו עוד הגדרות שהצריך היה להתקדם לגביהן: "בעל שליטה במאגר מידע".
היו"ר שמחה רוטמן
¶
במקום המילה "לנהל" – "לעבד".
"מחזיק" – אמרנו, בעקבות הערות בדיון – "גורם חיצוני לבעל השליטה המעבד מידע עבורו".
ד"ר רחל ארידור הרשקוביץ
¶
לא ברורה לי המשמעות של "גורם חיצוני". האם זה כולל גם חברת בת, למשל? ב-GDPR למשל יש הגדרה של צד שלישי. לא ברור לי למה צריך לומר "גורם חיצוני". למה אי-אפשר להגיד "מי שמעבד מידע עבור בעל השליטה"? למעט עובדים.
ד"ר רחל ארידור הרשקוביץ
¶
נכון, אבל "גורם חיצוני" מכניס עוד בעיות. אם יש חברת בת שמעבדת עבור החברה, האם זה "גורם חיצוני" או לא?
היו"ר שמחה רוטמן
¶
ואם לא, תגידי שהוא הבעלים. אני חושב שדנו בשאלה למה ההגדרות האלו. כל הגדרה מייצרת איזושהי מורכבות. אני חושב שזה איזושהי נקודת האמצע נכונה.
היו"ר שמחה רוטמן
¶
אני זוכר. אני מבין את הדבר, אבל זה סוג של מסקנה מהדיון הקודם.
"עיבוד" – כל פעולה שמבוצעת על מידע אישי לרבות קבלה, איסוף, העתקה, שימוש, עיון, חשיפה, או מתן גישה; ואז, "שימוש" – כולל בתוכו דברים אחרים שהם מילים נרדפות.
היו"ר שמחה רוטמן
¶
אני רק מזהיר שמי שמתנדב למשוך את הקש הקצר כדי להתייחס להגדרה הזאת, יצטרך להסביר לי מה ההבדל בין "גילוי" לבין "חשיפה". רק נתתי פרומו.
היו"ר שמחה רוטמן
¶
אחר כך יגידו שאני מהלך אימים על עובדי ציבור, שהם צריכים להסביר מה ההבדל בין "גילוי" לבין "חשיפה".
עמית יוסוב עמיר
¶
השאלה היא טובה, לעניות דעתי זה אכן עניין של התלבטות. זה עניין נוסחי. בסופו של דבר אנחנו אומרים "כל פעולה". כשאומרים "כל פעולה" – הכוונה לכל פעולה.
עמית יוסוב עמיר
¶
יש לזה כמה סיבות חצי קזואיסטיות. קודם כל, אני מזכיר שיש לנו את הפרק הראשון, לכאורה היה אפשר להבדיל בין הפרק הראשון לפרקים הבאים. בסוף, המילה "שימוש" – היא מילה שימושית. גם בהגדרה של processing ב-GSPR אחת מהמילים שבהן משתמשים כדי להגדיר זה "use". זאת אומרת, קצת קשה להתנתק לחלוטין.
עמית יוסוב עמיר
¶
סיבה נוספת, שהיא גם קצת קזואיסטית, אבל היא חשובה ומרכזית, שכרגע תקנות אבטחת מידע משתמשות במילה "שימוש". המטרה היא להבהיר. בסוף, אין פה משמעות נורמטיבית עמוקה. כל פעולה זה עיבוד. אבל אנחנו לא רוצים שייווצרו כל מיני פערים נוסחיים, כל מיני שאלות.
היו"ר שמחה רוטמן
¶
יש לי הצעה ניסוחית: תכתבו "עיבוד או שימוש – כל פעולה שמבוצעת על מידע אישי לרבות קבלה, איסוף, העתקה, עיון, חשיפה, גילוי, העברה, מסירה, או מתן גישה". זאת אומרת, הכול נכנס להגדרה "עיבוד או שימוש".
אלא אם כן ההגדרה הזאת לא טובה, ואז המילים שמשתמשים ב"שימוש" ילכו לאיבוד. אני פשוט חושב שאנחנו משחקים במילים, זה מאוד משעשע.
היו"ר שמחה רוטמן
¶
בסדר, אז ההגדרה תהיה: "עיבוד או שימוש", זה המושג. עיבוד שווה שימוש. אין הבדל בין עיבוד לשימוש.
היו"ר שמחה רוטמן
¶
מה ההבדל בין "איסוף" ל"אחסון"? איך אני אוסף משהו בלי לאחסן אותו? או מאחסן משהו בלי לאסוף אותו?
היו"ר שמחה רוטמן
¶
אנחנו יכולים לעשות את זה על כל מילה, זה נורא כיף. הינה, תראו, שמישהו יסביר לי מה ההבדל בין "קבלה", "איסוף" לבין "אחסון"; מה ההבדל בין "גילוי" לבין "חשיפה או מתן גישה"; מה ההבדל בין "העברה ומסירה" לבין "העתקה".
עמית יוסוב עמיר
¶
שלב האיסוף. יש הוראות ספציפיות שמתייחסות לשלב האיסוף של מידע, שה"שימוש" לא חל עליהן. ה"שימוש" חל רק אחרי שאספת את המידע. אחרי שאספת את המידע, מה מותר לך לעשות? הדבר הראשון – אחסון, זה הדבר המיידי שקורה אחרי.
אבל התיבה "שימוש" לא מתייחסת - - -
היו"ר שמחה רוטמן
¶
אין לי בעיה, אני לא אמרתי לך שאסור לך לאסוף. אני רק אומר שהכול נחשב שימוש ועיבוד.
היו"ר שמחה רוטמן
¶
כרגע הצעתי שיהיה "עיבוד או שימוש", תכניסו את כל ההגדרות פנימה. כשניתקל באיזושהי הוראה בחוק או בתקנות אבטחת מידע או בתקנות הגישור, או בכל דבר חקיקה אחר שנראה לכם שדורש את ההבחנה בין "גילוי" לבין "חשיפה"; בין "העברה" לבין "העתקה"; לבין "אחסון" לעומת "איסוף" – אנחנו נעבד ונשתמש בהגדרות בצורה שונה.
דן אור-חוף
¶
מספר נקודות. קודם כל, בהקשר הטכני אכן יש מצבים ויש שירותים שאוספים מידע אבל לא שומרים אותו, כי יש תהליכים של איסוף מידע שבהם המידע מרובד על גבי מה שנקרא זיכרון נדיף. המידע לא נשמר, אבל הוא כן נאסף.
דן אור-חוף
¶
אדוני, אבל באופן כללי אני חושב שאנחנו מנסים לחסוך כאן בלבול ותלי תלים של פרשנויות לגבי הבדלים בין "עיבוד" ל"שימוש", כשלטעמנו אין צורך אמיתי בזה. אם ההגדרה עכשיו של "עיבוד" כוללת בתוכה "שימוש", שזה אכן מונח שגור בתקנות אבטחת המידע, אז אני לא רואה פה מקום לאיזושהי בעייתיות.
היו"ר שמחה רוטמן
¶
אגב, אפשר לעשות את מה שנעשה בחלק מדברי חקיקה, לכתוב "עיבוד לרבות שימוש, שימוש לרבות עיבוד" – ואז זה נפלא לגמרי.
היו"ר שמחה רוטמן
¶
אני לא יכול לכתוב לכם הוראה שבכל מקום שכתוב בתקנות זה וזה, במסגרת הזו, יוחלף "שימוש" ב"עיבוד?
ד"ר רחל ארידור הרשקוביץ
¶
אבל ממילא צריך לשנות את התקנות. אמרתם בעצמכם בדיון הקודם שתקנות אבטחת מידע יעברו שינוי בהתאם לשינויים פה.
היו"ר שמחה רוטמן
¶
תביאו עם סיום החקיקה לאישור הוועדה. אני אומר באמת, אם זה רק החלפת מונחים, יש חוקים של החלפת מונחים. בכל מקום בחיקוק שרשום בתוספת שכתובה המילה "שימוש", היא תוחלף במילה "עיבוד" – וסגרנו את הסיפור. עושים את זה, עשו את זה ויעשו את זה.
היו"ר שמחה רוטמן
¶
אני לא מכיר. ואני אגיד לך יותר מזה. לא רק שאני לא מכיר, מאחר ועיבוד הוא לרבות שימוש – זה בכל מקרה לא משנה.
היו"ר שמחה רוטמן
¶
יושבים פה מספיק אנשים, מוח קולקטיבי מאוד גדול. אנא, אם יש לכם מידע הנוגע לדבר הזה, גם תשתמשו בו וגם תעבירו אותו אלינו. וגם תגלו אותו. וגם תחשפו אותו.
ד"ר רחל ארידור הרשקוביץ
¶
אם יש הוראות שהן מתייחסות לפעולה ספציפית מתוך הפעולות של השימוש, אפשר לחשוב אם נכון – ובחלק מהמקרים נכון – להטיל אותן דווקא על הגוף. נגיד, בעל השליטה במידע ימסור הודעה ולא מי שאוסף.
היו"ר שמחה רוטמן
¶
טוב, בסדר, אני אחיה עם זה. אני חייב לומר שהאקדמיה ללשון העברית ניצלה פה מאירוע מאוד קשה, שלא הייתה צריכה להסביר את ההבדל בין גילוי לבין חשיפה.
היו"ר שמחה רוטמן
¶
כן, כן.
"אבטחת מידע – הגנה על שלמות המידע, או הגנה על המידע מפני עיבוד והכל ללא רשות כדין".
"מנהל מאגר – המנהל הכללי של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה".
אלן יוסף
¶
היה לנו דיון ארוך בדיון הקודם. אנחנו באמת צריכים את "מנהל המאגר"? זאת באמת פונקציה נדרשת היום? בסוף זה בן אדם בשר ודם שלוקח אחריות אישית בנסיבות האלה. יש לנו את בעל השליטה, הוא אחראי על אבטחת המידע. המנכ"ל, בין כל הדברים שיש לו, הוא אחראי מעצם התפקיד שלו. השאלה למה אנחנו צריכים פה את ההגדרה הזאת של מנהל מאגר.
ומעבר לזה, עוד דבר מהשטח. מאוד קשה למנות מנהלי מאגרים.
היו"ר שמחה רוטמן
¶
הם קוראים לזה "הרתעה", אבל תכלס רוצים להפחיד אנשים – ואז נשאל מה ההבדל בין "גילוי" ו"חשיפה" לבין הפחדה והרתעה.
אלן יוסף
¶
הרעיון הוא שבסוף צריך להתחבר לשטח. וכדי שהדברים האלה, שאבטחת מידע באמת - - - כמו שצריך, צריך להטיל את האחריות על בעל המאגר. הוא זה שאחראי, עם האנשים הרלוונטיים.
דלית בן-ישראל
¶
אם אפשר רק להוסיף. בפועל, היום בארגונים, בעיקר בגדולים, החובות של מנהל המאגר מתבצעות דה-פקטו על ידי של אוסף אנשים בארגון ולא על ידי בן אדם אחד. את ההרשאות אולי קובע מנהל המאגר, אבל באבטחת המידע מתעסק ה- CISO– ממונה אבטחת מידע.
בניגוד לממונה אבטחת מידע שבתקנות אבטחת מידע הוגדרו לו חובות ספציפיות ויש היום רשימה מה באחריותו, וזה גם די אינהרנטי - - -
דלית בן-ישראל
¶
לממונה הוגדרו תפקידים בצורה מדויקת יותר, כדי שיהיה ברור על מה הוא אחראי. למנהל אין כזה.
ניר גרסון
¶
בתקנות העברת מידע בין גופים ציבוריים יש לו כמה תפקידים. יש לו גם כל מיני אזכורים והפניות בחקיקה חיצונית. לא אכנס לזה.
ניר גרסון
¶
למה זה נדרש? בחברה או בגוף ציבורי יש אחריות לאישיות המשפטית הכללית. אבל אם אין, פעמים רבות, כחלק - - -
היו"ר שמחה רוטמן
¶
אבל זו תורת האורגנים הרגילה. למה אתם צריכים? למה אין את ההגדרה הזאת בחוקים אחרים שמטילים אחריות על תאגידים? יש תורת האורגנים. כאשר אני מטיל אחריות פלילית על תאגיד, זה חל על האורגנים שלו בצורה כזאת, בצורה אחרת, לפי מבחנים שנקבעו בפסיקה, בדין הפלילי, בדין המינהלי, בדין האזרחי.
למה בנושא אבטחת מידע או מאגר מידע אני צריך לייצר איזו חיה מיוחדת של אחריות כזאת?
היו"ר שמחה רוטמן
¶
אני חושב שעצם כמות הזמן שאנחנו משקיעים בחוק הגנת הפרטיות, מעידה על-כך שנושא הפרטיות הוא קרוב לליבי, שאני מאוד מעריך וחושב שהוא חשוב. אף אחד לא יכול להאשים אותי שאני מזלזל בנושא הפרטיות.
אני תוהה למה הפרטיות של מאגר מידע היא נושא שאליו אני צריך לייצר דמויות ספציפיות, בניגוד לכללי התאגידים הרגילים, אבל אם בן אדם מחזיק פסולת רדיואקטיבית של כור אטומי – לא.
ניר גרסון
¶
אדוני, התשובה היא שקיים קונצנזוס שהאחריותיות – חלוקת תפקידים בתוך הארגון ועוד כל מיני דברים שהם כלולים באחריותיות – היא כשלעצמה ערובה טובה מאוד לשמירה על רמה מינימלית של ציות או אפילו להעלאה שלה.
בעולם שבו אין חובה שיהיה ממונה על אבטחת מידע בארגון, רק לקבוצה מאוד קטנה, אין חובה ל-DPO עדיין, לממונה פרטיות, אין חובה להרבה דברים אחרים שקיימים ברגולציה בעולם, בדין הקיים שלנו - - -
היו"ר שמחה רוטמן
¶
אבל אני הבנתי. אני מבין את הרצון לבוא ולהגיד: "תשמע, אתה כראש ארגון, בשנייה שאתה לא מבין בזה, תיקח בעל מקצוע שייקח ממך את האחריות". זה מייצר באמת אחריותיות ברמה מסוימת. זה גורם למינוי של בעלי מקצוע עם יכולות, עם כוחות, עם סמכויות, עם הבנות. מעמיד את הגורם הממונה על אבטחת מידע באיזושהי עמדת כוח מול הארגון להגיד: "חברים, אני מוכן לקחת את האחריות. אבל אם אתם לא מקשיבים לי ולא עושים את זה ולא קונים את הציוד הזה והזה ולא קונים את הפיירוול לדגם הזה והזה – אני לא מוכן לקחת אחריות, המזכירות לא תשלם". זה עושה משהו.
אתם לא עושים את זה. אתם כותבים בתקנות שהחובות החלות בתקנות האלה על בעל מאגר מידע, יחולו גם על מנהל המאגר.
ראובן אידלמן
¶
אדוני, אנחנו בעולם של מגפת מתקפות סייבר. נתחבר רגע, נחזור שנייה ללמה אנחנו דנים בזה בעת הנוכחית. בעידן כזה, אחריות אישית למנהל המאגר – ופה הגדרנו שזה המנהל של החברה לתחום אבטחת המידע כפי שנקבע בסעיף 17 – היא דבר חשוב מאוד - -
היו"ר שמחה רוטמן
¶
אבל אם היא מתחלקת, אמרו חז"לנו: "קידרא דבי שותפי – לא חמימי ולא קרירי". כשיש הרבה שאחראים על התבשיל, התבשיל יוצא לא קר ולא חם.
היו"ר שמחה רוטמן
¶
אני איתך. אבל אז אתה חייב להגיד, לצד האמירה של מנהל מאגר, שאם מינית מנהל מאגר שהוא כשיר לתפקידו, שיש לו שתי ידיים, שני רגליים, שתי אוזניים, הוא יודע לשמור על מאגר המידע במידה הנדרשת – אז הוא אחראי ולא אתה.
אתה לא יכול לבוא ולהגיד שאתה רוצה שיהיה גורם אחראי - - -
ניר גרסון
¶
אדוני, סליחה שאני קוטע, אולי יש פה משהו לא ברור. ההגדרה בחוק אומרת שמנהל המאגר הוא או המנהל או המנכ"ל או מי שהוא מינה. אם הוא מינה, האחריות יורדת מהמנכ"ל. זה מה שכתוב.
היו"ר שמחה רוטמן
¶
מאחר שלא ביטלנו את תורת האורגנים הרגילה, אז כאשר תוטל האחריות על התאגיד, היא תוטל גם על האנשים – דרך התאגיד.
ליאור אתגר
¶
אני חושב שאדוני צודק. אני חושב שהסיפור הזה של מנהל מאגר הוא ארכאי, הוא מעולם שבו לא היה עדיין DPO. כמי שמייצג אותם פה בכיסא, אנחנו מדברים היום על ארגונים שלא מבינים, הרבה ארגונים מהשוק הפרטי לא יודעים מה זה מנהל מאגר.
אתה בא למנהל HR ואתה אומר לו "אתה מנהל המאגר". אוקיי, בשביל רישום המאגר אנחנו צריכים למנות אותו. להטיל אחריות – אין לזה שום משמעות, ממילא מי שיהיה אחראי על זה בארגון זה מנכ"ל או נושא משרה אחר, הוא יישא באחריות האישית.
אין לזה משמעות. אני חושב שעדיף למקד את האחריות בנושא המשרה. אני חושב שצריך למקד את ההטלה של סמכויות נוספות על DPO. זה הרבה יותר נכון מקצועית, זה הרבה יותר נכון עניינית.
ענר רבינוביץ׳
¶
יש הרבה בלבול בין אחריות לבין אחריותיות שהוזכרה כאן. באמת, ב-,GDPR כמו שעמרי אמר הרגע, ל-DPO יש אחריות לניטור, לוודא שעומדים בהוראות החוק. אבל אין חשיפה אישית, אלא אם התרשל. אני חושב שזה נכון גם לגבי הרמת המסך או ללכת אחרי תורת האורגנים שהוזכרה כאן קודם.
כלומר, אני לא רואה למה במקרים האלה נדרשת כאן האחריות הפלילית או האזרחית האישית.
ניר גרסון
¶
סליחה, עוד הבהרה חשובה. זו טעות נפוצה. אין על מנהל המאגר אחריות פלילית. האחריות היא באבטחת מידע.
דן אור-חוף
¶
קודם כל, אם היינו במצב האוטופי שהיינו דנים היום גם בתיקון 15 ולא 14, יכול להיות שלא היה שום צורך בכלל לדבר על הפונקציה הזאת של מנהל מאגר, שאולי מקומה בדפי ההיסטוריה. אבל אם אנחנו כבר משאירים את המונח הזה "מנהל מאגר", כל עוד אין תיקון 15, יש מקום ליצוק בו תוכן אמיתי ולא איזו מעין הגדרה כזאת שהיא לא אומרת שום דבר הלכה למעשה.
אם יש מנהל מאגר והוא פונקציה חשובה, ואולי צריכה להיות לו איזושהי רמה של אחריות, אז צריך להיות כתוב בתוך ההגדרה שיש לו אחריות לעניינים או לציות של בעל השליטה במאגר לדין, לדיני הגנת הפרטיות. זה צריך להיות כתוב בתוך ההגדרה הזאת.
עמית יוסוב עמיר
¶
אולי רק נגיד שוב פעם. קודם כל, יש תפקידים ספציפיים בתקנות אבטחת מידע, יש תפקידים ספציפיים וחשובים בתקנות העברת מידע בין גופים ציבוריים, למנהל. צריך בסוף דמות מרכזית.
היו"ר שמחה רוטמן
¶
בואו נמפה שנייה את הדעות שמסביב לשולחן. אין ספק שחשוב לדבר על מנהל מאגר בגופים ציבוריים. כלומר, תאורטית, בלי לפגוע באיש, העובדה שמי שעומדת בראש מערכת בתי המשפט בישראל הייתה נשיאת העליון, בכל זאת, לבקש ממנה להיות אחראית למאגר של מועמדים לשפיטה, בגלל שהוא מתנהל בהנהלת בתי המשפט? אני פשוט מזכיר את הליכי האכיפה שהיו ברשות להגנת הפרטיות. גם אם המידע שנאסף שם לא נרשם כדין, אני לא הייתי מצפה מנשיאת העליון שהיא תתעסק ברישום המאגר או בפיקוח על אבטחת המידע שלו, למרות שרסמית היא עומדת בראש הגוף. נניח, בהקשר הזה.
בגופים ציבוריים הפער הזה הוא מאוד משמעותי. לכן, כשרושמים את המאגר של גוף ציבורי צריך להגיד: הגוף הציבורי הוא יהיה משרד – הנהלת בתי המשפט, בית המשפט העליון או משרד המשפטים, לפי העניין; אבל מנהל המאגר הספציפי הזה – זה לא המנכ"ל של המשרד, אין לך מה לבלבל את השכל לאף אחד חוץ ממנהל המאגר הספציפי הזה. למעשה, מאחר שאנחנו עוסקים בגוף ציבורי, ככל הנראה שיהיה גם די חסר משמעות לפתוח בהליכי הפרה נגד שר או מנכ"ל, כי גם לא תטילו שם קנסות מינהליים כל-כך, זה חסר משמעות. לכן באמת חשוב לדעת מי האדם שרלוונטי לגבי גוף ציבורי.
כאשר אנחנו עוסקים בגופים עסקיים, פרטיים, כל האירוע הרבה יותר משונה. בדרך כלל לא חסרים לכם אנשים לדבר, למעט אם מדובר בחברה שהתאגדה באיי קיימן. להפך, תהיה לכם בעיה על מי לא להטיל את האחריות, כי יש לכם כל מיני גופים ואורגנים, יש לכם דירקטורים, יש לכם בעלי מניות, יש לכם בעלי שליטה, יש לכם מנכ"ל. יש לכם, לפי הכללים הרגילים של תאגידים.
מירה, את רוצה שגם לגבי רשויות מקומיות יהיה ברור שהן גוף ציבורי? את יודעת שבשנייה שאת מרימה את היד, אני חייב לעצור הכול ולתת לך לדבר.
מירה סלומון
¶
ברשויות מקומיות החשיבות למנהלי מאגרים היא בכך שמאגר של הרווחה הוא לא מאגר של החינוך, הוא לא מאגר של - - -
מירה סלומון
¶
הלוואי שיכולנו לומר ששם לא יהיו סנקציות מינהליות כנגד הרשויות המקומיות, שזו תהיה אותה הנחה של יושב-ראש הוועדה. הלוואי שיכולנו לומר את אותו הדבר. אבל - - -
היו"ר שמחה רוטמן
¶
אנחנו נדבר על זה בפרק האכיפה.
בגוף ציבורי אני מבין את הצורך במנהל, כי תורת האורגנים לא עובדת כמו שצריך בגופים ציבוריים. בגופים פרטיים, בעיניי זה – שוב, כל ההוראות בחוק שאני רואה לא מייחדות את עצמן למנהל, אלא מלבד העובדה של למצוא עוד מישהו, להטיל עליו או לחפש אותו.
היו"ר שמחה רוטמן
¶
כן, תעשו על זה שיעורי בית. אם תראו לי שזאת פרקטיקה נפוצה בדברי חקיקה, שמחפשים, כמו שדיברנו על פסולת גרעינית ששם כן רוצים לחפש אנשים ספציפיים ולהדביק להם את העניין, אז אני אדבר. אבל לדעתי אין סיבה שהפרטיות תקבל את הדבר הזה.
מירה סלומון
¶
ידוע, קראנו את הנושא. יש לא הרבה רשויות מקומיות שבהן אין מנהל כללי. יש מזכיר. אז מנהל כללי או מקביל או - - -
היו"ר שמחה רוטמן
¶
אני אומר שוב. בעיניי, תתמקדו בגוף ציבורי וכאשר מדובר בגוף פרטי תייצרו איזשהו לינקג'.
ד"ר עמרי רחום טוויג
¶
לא, הוא כפוף ל - - -
אין חובות בתקנות אבטחת מידע שמוטלות באופן ספציפי על מנהל. אין.
עמית יוסוב עמיר
¶
בוא נתחיל להקריא את התקנה 3(1) לתקנות אבטחת מידע:
"ממונה אבטחת מידע יהיה כפוף ישירות למנהל מאגר המידע".
היו"ר שמחה רוטמן
¶
שנייה. תודה. רק רגע.
"ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל פעיל של בעל המאגר או המחזיק בו או לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר".
היו"ר שמחה רוטמן
¶
"3(3) הממונה יכין תוכנית לבקרה שוטפת, יבצע אותה ויודיע לבעל מאגר המידע ולמנהל המאגר על ממצאיו".
זאת אומרת – זאת סמכות מקבילה. הלאה.
"18(א)(2) נהלים, להבטחת שחזור הנתונים כאמור בתקנה 17(ב), ובלבד שביצוע השחזור יהיה באישור מנהל המאגר".
לא רואה סיבה שזה יהיה דווקא מנהל ולא בעל המאגר.
"19(א) החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר – שזה שוב פעם מייצר את המקבילות – ולמעט החובות הקבועות בתקנות 2 ו-15(א) הן יחולו גם על מחזיק המאגר".
זהו, זה כל "מנהל המאגר" בתקנות אבטחת מידע.
יכול להיות שנצטרך להוסיף סעיף של התאמת מונחים או שתביאו את התקנות. אני לא רואה סיבה שבגלל שמישהו בתקנות אבטחת המידע כתב משהו שאין לו התכתבות עם תיאור המציאות – חוץ מזה, או להוסיף תקנה אחת שאומרת שבכל מקום שכתוב "מנהל המאגר בגוף ציבורי" – אלו ואלו; ובכל מקום אחר שכתוב "מנהל מאגר מידע" – הכוונה תהיה לבעל המאגר. רק בגוף ציבורי אני רואה את האבטחה הזאת.
אפשר לתקן את זה דרך הגדרה, יש דרך ניסוחית לטפל בדבר הזה. אבל לא בגלל שמישהו כתב פעם "מנהל מאגר מידע" בתקנות אבטחת מידע, אני אכתוב עכשיו את כל התקנות עקום.
עמית יוסוב עמיר
¶
כאמור, יש דין מקביל, בעיקר ה-GDPR שאנחנו לומדים ממנו, עם חובת מינוי ה-DPO. אחד הדברים המרכזיים שאמורים לבוא בתיקון הבא - - -
עמית יוסוב עמיר
¶
הרעיון שצריך למנות גורם בתוך גוף עסקי – גם בתוך גוף עסקי, לא רק בתוך גוף ציבורי – שהוא אחראי על נושא הפרטיות, הוא לא זר ולא יוצא דופן בדין הישראלי.
עמית יוסוב עמיר
¶
אני אומר שלא צריך לפתוח איזשהו פער, איזשהו ארביטראז', בין העובדה שנבטל את ההסדר הישן ועוד לא נחדש את ההסדר החדש. אנחנו לא מציעים כרגע - - -
היו"ר שמחה רוטמן
¶
זה לא פותר לך את זה. לגבי גוף ציבורי – אתה תצטרך מנהל, אני חושב שזה נכון שיהיה.
לגבי גוף פרטי – יהיה בעל מאגר. ואת ההתאמות לעניין התקנות - - -
היו"ר שמחה רוטמן
¶
אני מוכן לשמוע אותך על לתת למנהל, ובלבד שאם אני כבעל מאגר מיניתי מנהל. כמו בגוף ציבורי, גם בגוף פרטי יהיה לי את אותו דבר. מיניתי בן אדם, הוא אחראי, שלום ותודה, לא רוצה להתעסק עם זה.
היו"ר שמחה רוטמן
¶
תקשיבו, אי-אפשר לבוא ולהגיד "אני חייב עוד בן אדם כדי שיהיה לי על מי להטיל עיצומים כספיים", זה בפני עצמו לא טיעון שמתכתב עם האירועים. אפשר לבוא ולהגיד לי למה, איך זה פותר.
אמרתם נכון ויפה על-כך שמיקוד האחריות באדם זה דבר חשוב. אבל מיקוד האחריות באדם אומר שאני רוצה לדעת שפעלתי כדת וכדין כאשר עמדתי בחובתי ומיניתי בן אדם טוב. אחר כך – שלום תודה, תעזבו אותי בשקט.
היו"ר שמחה רוטמן
¶
אנחנו הולכים בסיבובים. אין לו תפקידים. אין לו. עברתי איתך על התקנות, אין לו שום תפקיד חוץ מלהיות זה שהממונה מדווח לו. נו באמת, קראתי יחד איתך את התקנות, למרות ניסיונות חוזרים ונשנים להפריע לי לקרוא את התקנות.
דן אור-חוף
¶
אני מסכים עם אדוני שלמנהל מאגר מידע באמת אין תפקידים משמעותיים. זה תפקיד מאוד מעורפל. העמדה של המועצה כפי שאנחנו הגשנו לוועדה, ומשרד המשפטים בוודאי יודע את זה, היא שבוודאי בהקשר של הגנת פרטיות צריך להיות שומר סף לנושאים האלה וצריך להיות מישהו שאחראי. לאו דווקא במובן של אחריות ישירה, אלא מישהו שאחראי במובן הזה של לטפל בפועל בתוך הארגון בנושאים האלה.
ובגלל זה החשיבות, בעינינו, להתייחס לעניין של ממונה הגנת הפרטיות כבר עכשיו בתיקון 14 ולא לחכות לתיקון 15, כי זה אחד הנושאים הכי חשובים שעל הפרק, על מנת שארגונים – גם גופים ציבוריים וגם גופים פרטיים הנכונים - - -
היו"ר שמחה רוטמן
¶
אגב, הגדרת מנהל מאגר נשמרת בתיקון 15 או שמבטלים אותה שם? בתזכיר, בטיוטה, מה בכוונתכם?
עמית יוסוב עמיר
¶
הכוונה היא להחליף באמת. אבל זה בדיוק העניין: להחליף, לא לבטל לפני שמינינו מישהו חדש.
ענר רבינוביץ׳
¶
זה יכול להיות גם בעלי תפקידים אחרים. אני לא רוצה שזה יבוא במקום המנהל עם אותה הגדרה.
נעמה מנחמי
¶
נראה לי שאפשר לעבור לסעיפים 8 עד 12. התחלנו אותם קצת בדיון הקודם, התחלנו לדבר על סעיף 8(א) רבה בהצעת החוק. כדי לעשות קצת סדר, הצענו שסעיף (א) קטן בסעיף 8 יאוחד עם (ג), כי מבחינת העניין הם אותו עניין. לפני או אחרי סעיף (א) שיבוטל נכניס את סעיף (א)(1), שזה בעצם 8(א) כפי שמופיע בהצעת החוק.
לעניין 8(א), אולי משרד המשפטים ירצה להציג אותו? התחלנו לדבר עליו, מאז עשינו עוד כמה הצעות לניסוחים שאני חושבת שאולי קצת יותר הבהירו את המהות. את הניסוחים הסופיים נשאיר לנסחות, כי זה עדיין אולי לא מנוסח בצורה מספיק טובה. אבל אני חושבת שזה קצת יותר מבהיר מה המהות, במיוחד הנוסח לחלופין.
היו"ר שמחה רוטמן
¶
אני רק רוצה לומר. כשמישהו ירצה אי-פעם לצחוק על משפטנים, הוא יקריא בקול את המשפט הבא: "בהתאם לעמדת הוועדה, מוצע לשלב את הוראות סעיף קטן (א) בסעיף קטן (ג) ולהקדים את סעיפי ההוראות המהותיות: 8א רבה יהפוך ל-8(א1), 10ב רבה יהפוך ל-8(ב), 10ג רבה יהפוך ל-10(ב1). את סעיף (א) שלהלן מוצע למחוק, שכן הוראותיו שולבו בסעיף קטן (ג)".
מה שנקרא "תקציר מנהלים בהיר". עכשיו אפשר להמשיך.
עמית יוסוב עמיר
¶
היכולת לתאר באופן מילולי track changes במסמך.
אני אתייחס כרגע לנוסח שמופיע תחת "לחלופין" במסמך ההכנה של היועץ המשפטי. המטרה היא לפרט יותר כדי להבהיר בדיוק למה הכוונה. יכול להיות שזה באמת נדרש. אני מתחיל לפי סדר הסעיפים הקטנים.
אנחנו עכשיו כבר בעיבוד. הרעיון הבסיסי הוא לקבוע את האיסור על עיבוד מידע במאגר מידע שהושג שלא כדין, על כל מונחי המשנה שמשמשים כאן. זה הכלל הבסיסי, להבנתי הוא הוסכם גם בדיון הקודם. מכאן אנחנו עוברים לסוג של הגנה ספציפית לעניין הזה, סוג של תקנת השוק.
ד"ר רחל ארידור הרשקוביץ
¶
יש לי שאלה דווקא לגבי הכלל הבסיסי הזה. אני רוצה להעיר ולשמוע מה העמדה שלכם, אם אפשר. ב-GDPR האחריות היא על בעל השליטה ולא על המחזיק. המחזיק בעצם עושה את מה שבעל השליטה אומר לו. האיסור לא חל על המחזיק, אלא רק על בעל השליטה.
מה הסיבה שאתם רוצים להכניס פה את האיסור גם על המחזיק?
עמית יוסוב עמיר
¶
בגלל ההגדרה הרחבה של עיבוד ושל מחזיק. העובדה שמחזיק מעבד מידע עבור בעל שליטה, לפעמים הוא אסף בעצמו את המידע.
ניר גרסון
¶
לא, לא, עבור. אבל האמת, לא ברור לי למה יש נפקות לשאלה. אם אומרים שלא ידע ולא היה עליו לדעת, זה מוציא אותו מכלל האיסור.
עמית יוסוב עמיר
¶
אנחנו מדברים פה על סעיף של תקנת השוק, למקרים שבהם יש איזושהי הפרה של הדין במהלך מסלול חייו של המידע, אבל לצורך העניין בעל השליטה או המחזיק לא יודעים ולא היה עליהם לדעת. בשפה הנזיקית הם לא מונעי נזק הטובים ביותר, מישהו אחר אחראי לנושא.
לכן אנחנו לא חושבים שצריך ליצור כפל עוולות לגביהם. מה הכוונה? יש איזושהי עוולה, מישהו כבר הפר את הדין. הם מחזיקים במאגר, הם לא יודעים ולא היה עליהם לדעת. אנחנו לא חושבים שנכון לקבוע עכשיו עוד עוולה חדשה שהם יהיו אחראים עליה.
סעיף קטן (3) עוסק בשאלה מה גורל המידע שעכשיו נאסף, כשקרתה הפרה של הדין בעת איסופו. ופה אנחנו חוזרים לסיפור של פגיעה קלת ערך. הרעיון הוא שאם אירעה פגיעה קלת ערך – לא פגיעה משמעותית-ליבתית – בזכויות, בהוראות של הדין מחייב, הנפקות האוטומטית לא תהיה מחיקה של המאגר, שזה מדובר בסנקציה קשה, גם על גופים ציבוריים. לדוגמה, הלשכה המרכזית לסטטיסטיקה אוספת מידע, איפשהו בדרך הייתה תקלה ועכשיו פתאום צריך למחוק פרטי מידע; והן בגופים עסקיים שיכול להיות שמטה לחמם מבוסס על איסוף המידע הזה, וכאמור, הם לא אחראים באופן ישיר להפרה.
על כן, המבחן הוא פגיעה קלת ערך. אם מדובר עכשיו במאגר מידע שנגנב, אז עם כל הכבוד יש כאן פגיעה, אי-אפשר להחזיק, או שילכו ויבקשו הסכמה של נושא המידע או שיצטרכו למחוק. אי-אפשר להחזיק מאגרי מידע שעצם החזקתם היא הפרה יסודית של הדין.
עמית יוסוב עמיר
¶
אני רק אשלים את ההתייחסות לסעיף קטן (4), האפשרות של הרשות להגנת הפרטיות להודיע לאדם על הפרה של הוראות הסעיף ולהורות לו להפסיק אותה.
היו"ר שמחה רוטמן
¶
צריך יהיה לייצר להוראה הזאת מנגנוני השגה, מנגנוני התייחסות. באופן עקרוני, תאורטית, אתם יכולים להורות על מחיקה של כל מאגר בהוראה מינהלית, שזה בסדר, כי אני מזכיר לכם ש"אחסון" זה "עיבוד".
היו"ר שמחה רוטמן
¶
אם הרשות סבורה שאחסון המידע הזה והזה הוא הפרה, אתם יכולים להורות למחוק, זאת המשמעות של ההוראה. "אל תאחסן אותו יותר" – פירוש למחוק.
ניר גרסון
¶
רק לדייק. זאת לא הוראה ישירה למחיקה. זאת אמירה של הרשם "אם לא תמחק, אתה מפר את החוק". יש הבדל.
היו"ר שמחה רוטמן
¶
אני רק אומר, קחו בחשבון. לא יודע אם זה כאן או שצריך להעביר את סעיף (4) לפרק הפרה מינהלית ועיצומים, כי זה סוג של התראה לפני נקיטת צעד מסוים. זו לא הוראה עצמאית מהותית, זו הוראת הפרה.
עמית יוסוב עמיר
¶
אנחנו נגיע לזה בעיצומים הכספיים. בהתאם למודל העיצומים, מאחר שיש פה שימוש בכמה ביטויים שהם עמומים, ההוראה - - -
היו"ר שמחה רוטמן
¶
אני אומר שוב. מהותית, ההוראה חלה פה על בעל המאגר. סעיף (4) מעצם טיבו הוא סעיף של הפרה, עיצומים, התראה. לא משנה מה, הוא לא סעיף מהות, הוא לא מייצר עבורי את האיסור.
אני רק אומר שהוא לא מתאים פה, ניתן אותו במקום אחר. אני מבין את ההיגיון שבו, צריך לתת לו מענה. צריך להבין מה המשמעויות שלו, האם אפשר להשיג עליו ותוך כמה זמן. זה לפרק ההפרות והעיצומים, זה לא לפרק ההוראות המהותיות.
יש עוד הערות לסעיף זה? כן, בבקשה.
דן אור-חוף
¶
בהמשך לדבריה של ד"ר ארידור, אני רוצה להתריע כאן שהתייחסות למחזיק מאגר יוצרת הסדר שלא קיים ושיש לו השלכות פרקטיות. הלכה למעשה, כשהוראה כזאת באה ואומרת גם למחזיק מאגר "אתה צריך לוודא שאתה מנהל מאגר" או ש"המידע התקבל בהתאם לדין או שלא בניגוד להוראות הדין", ויש גם ידיעה - - -
היו"ר שמחה רוטמן
¶
שנייה, רק רגע. אני מבין מה אתה אומר. אבל בגלל ההגדרה הרחבה – יש דברים שכולנו מסכימים שחייבים להיות על המחזיק. גילוי – תמיד יהיה אצל המחזיק, נכון? איסור גילוי – מאחר שעיבוד הוא גם גילוי, נכון? אין ספק שאם הגילוי הוא בניגוד לדין, מי שיחול עליו – הכתובת זה המחזיק.
אני לא באתי ואמרתי עכשיו, הטלתי חובה – ובאמת, בסעיף (2): "נמסר המידע מגורם אחר ולא ידע ולא היה עליו לדעת כי המוסר פעל בניגוד לדין". אני כן בא ואומר שיש דברים בתוך "עיבוד" שהם בוודאי מאה אחוז אצל המחזיק. הם לא אצל בעל השליטה.
דן אור-חוף
¶
אדוני, אבל על זה קיים סעיף 16 עם חובת סודיות; ועל זה קיים סעיף 17 לגבי חובת אבטחת מידע – והכול חל על המחזיק.
היו"ר שמחה רוטמן
¶
אבל זה נחשב לעיבוד. ויותר מזה. נניח שאני קיבלתי מידע מותמם חלקית ועשיתי עליו הצלבה, בעיבוד, והפכתי אותו ללא תמים, הוצאתי אותו לתרבות רעה, עיבדתי אותו לתרבות רעה. הפעולה הזאת נעשית על ידי מחזיק, היא לא נעשית על ידי בעל שליטה.
ד"ר עמרי רחום טוויג
¶
אבל רק אם זה עבור בעל השליטה. אם המחזיק מבצע פעולה שהיא לא עבור בעל השליטה, אז הוא לא מחזיק - -
ד"ר עמרי רחום טוויג
¶
- - הוא פועל בכובעו כאדם שמעבד מידע ואז הוא יוצא מגדר הסיפור הזה. כל עוד הוא פועל כמחזיק עבור - - -
היו"ר שמחה רוטמן
¶
לא, הוא פועל כמחזיק עבור אחר, אבל הוא עשה על זה גילוי לאנשים שלא צריך, הלך ופרסם את המאגר באינטרנט.
ד"ר עמרי רחום טוויג
¶
לא, יש סעיף 10ג שיוצר הוראה מהותית, של איסור לפעול במידע בניגוד להרשאה של בעל השליטה.
היו"ר שמחה רוטמן
¶
אבל יש לפעול בניגוד להרשאה של בעל השליטה, שזה דבר אחד, ויש שאני בא ואומר לך "או שתפסיק את פעילות העיבוד" אם אנחנו מדברים עכשיו על סעיף (4) שיבוא למקום אחר.
אגב, חוץ מזה, האיסור לפעול בניגוד להוראה לא קשור לשאלת קלות הערך, לא קשור לזה האם היה צריך לדעתו או לא. זה עניין אחר.
דן אור-חוף
¶
אדוני, אם אפשר, אתן דוגמה שדנו בה במועצה. אם יש עכשיו ספק שמספק שירותי עיבוד נתונים לבית חולים – הספק הוא המחזיק, בית החולים הוא בעל השליטה. ההוראה כפי שהיא עכשיו, היא מתמרצת או דוחפת את הספק, את מעבד הנתונים, ללכת ולבדוק אצל בית החולים האם הוא אסף מידע על המטופלים – אותו מידע שהוא מעביר לספק לצורך עיבוד הנתונים – כדין.
זה לא התפקיד של המחזיק. בעל השליטה הוא זה שאחראי על זה.
דן אור-חוף
¶
כל אימת שיש חשש לניהול שלא כדין או איסוף שלא כדין, שלא נעשה על ידי הספק; או ידיעה קונסטרוקטיבית, הצל המרחף הזה, שיכול להיות שהספק צריך היה לדעת - -
דן אור-חוף
¶
- - אתה מטיל על ספקים איזושהי חובה שלא קיימת, ללכת ולעשות בדיקות נאותות לבעלי שליטה. זה לא קיים.
לירון מאוטנר לוגסי
¶
רגע, דן, אבל יש לי שאלה אליך. נניח שבית החולים אסף את המידע שלא כדין ועכשיו המחזיק מעבד אותו. לשיטתך, האם לא צריכה להיות שום חובה על המעבד להפסיק לעבד את המידע?
דן אור-חוף
¶
תהיה חובה. תהיה סמכות לרשות להורות לבית החולים להפסיק את העיבוד ובית החולים יצטרך להורות על זה לספק.
ניר גרסון
¶
עורך הדין אור-חוף, אבל אם בעל השליטה כבר קיבל את ההודעה והוא יודע, ונניח שגם המחזיק כבר יודע כי אנחנו הודענו ואמרנו לו שהמאגר הזה לא חוקי, רק שבעל השליטה עדיין לא שלח לו את ההוראה? הוא יכול להמשיך ולהפר, למרות שהוא מודע לזה שהמאגר מפר.
ענר רבינוביץ׳
¶
אני חושב שכאן הבעיה. החשבתם את זה כאשר יש את הידיעה הקונסטרוקטיבית, כאילו יש הפרה של המחזיק בכך שהוא מחזיק מאגר כזה, עוד לפני שפניתם אליו.
זה הגיוני מאוד שתוכלו לפנות ושתוכלו לחייב אותו למחוק או להפסיק עיבוד. אבל שזה לא ייחשב הפרה של המחזיק מלכתחילה.
עמית יוסוב עמיר
¶
אני מסכים עם עורך הדין אור-חוף, שככלל, לא מוטל על המחזיקים לעשות בדיקות נאותות לבעלי השליטה.
עמית יוסוב עמיר
¶
בדיוק הפוך. אני מסכים עם הגישה העקרונית שאומרת שהמחזיק לא אמור לעשות בדיקות נאותות לבעל השליטה, לכן לא עליו לדעת האם בעל השליטה אסף את המידע כדין או לא.
אבל אם הוא יודע באופן פוזיטיבי – למשל כי הרשות הודיעה לו – והוא ממשיך להחזיק - - -
היו"ר שמחה רוטמן
¶
הוא לא יודע כי הרשות הודיעה לו. הרשות הודיעה לו – לא הופך אותו לשום דבר. הוא רק יודע שהרשות רוצה לנקוט נגדו במשהו.
עמית יוסוב עמיר
¶
צריך מקרה מאוד קיצוני של עצימת עיניים לגבי המחזיק כשהאחריות היא על בעל השליטה. אני אתן דוגמה. אם בהתקשרות בין בעל השליטה למחזיק הוטלו משימות מוגברות בתחום איסוף המידע על המחזיק, יכול להיות שבמקרה הזה זה מגביר את ההיתכנות שיהיה עליו לדעת.
אם הוא אוסף את המידע בעצמו עבור בעל השליטה, ולא בעל השליטה אסף את המידע.
ניר גרסון
¶
אני אתן לכם דוגמה ל"היה עליו לדעת". למשל, הרשות פרסמה גילוי דעת מפורט שמסביר שבתחום מסוים מידע עם סימנים "1, 2, 3" הוא מידע שחשוד כגנוב. זה – "היה עליו לדעת".
ניר גרסון
¶
זאת אומרת, אם בעל המאגר, בעל השליטה, הוא עברייני והוא מסרב, הוא רוצה שהמחזיק שלו ימשיך לבצע את העבירה.
ניר גרסון
¶
עם זה אני מסכים. אבל מה קורה במקרים שבהם הרשות לדוגמה פרסמה רשימה מובהקת של סימנים מחשידים?
היו"ר שמחה רוטמן
¶
טוב, חברים, אני שמעתי. יכול להיות שצריך לפתוח את זה כשנגיע לסעיפים שעוסקים בחובות מחזיק. אני מסכים שלשים את החובות האלו על המחזיק, בטח בסטנדרט הזה, זה קצת קשה, בייחוד אם לא ידע ולא היה צריך לדעת.
היו"ר שמחה רוטמן
¶
אני לא מתנגד להסדר העקרוני. אני אתנגד או אתמודד עם הבעיה של דרכי הוכחה, עם מה מייצר ידיעה. כמו שאמרתם, פנייה של הרשות מייצרת ידיעה? אתם חושבים שכן. הרשות בוודאי חושבת שכן, יש לה חזקת התקינות המינהלית שמה שהיא אומרת הוא נכון. אני לא מקבל את זה, בטח לא בעולם הפרטי. ברור שאם אני מדבר על גוף ציבורי, אז כן.
אם היה מדובר בחברה שמעבדת את המידע עבור המוסד לביטוח הלאומי או עבור המשטרה, והייתי שהרשות להגנת הפרטיות אומרת שמה שאתה עושה הוא לא בסדר, אפילו שאתה חברה פרטית חיצונית שקיבלה מאורגן של המדינה שאתה עובד עבורו", הייתי מקום קצת אחר, בלי להיכנס כרגע לשאלת מריבויות על סמכויות בתוך הממשלה. כאשר עוסקים בגוף פרטי, בוודאי שמכתב פנייה מראש הרשות איננו מייצר ידיעה. אני לא חושב שזה לגיטימי.
היו"ר שמחה רוטמן
¶
הודעה על הפרה – או שהיא נכונה או שהיא לא נכונה, או שאני אגיש עליה השגה או שאני לא אגיש עליה השגה, או שתנצחו בבית המשפט או שתפסידו בבית המשפט. אבל היא מייצרת אצלי ידיעה שמה שאני עושה הוא לא בסדר? אני לא מכיר את הכלל הזה.
עמית יוסוב עמיר
¶
רק להבהיר. ברור שאפשר להשיג ואפשר לנצח בבית המשפט. אנחנו לא בתחום המשפט הפלילי. אנחנו בתחום המשפט - - -
היו"ר שמחה רוטמן
¶
אבל המשפט המינהלי לא חל על גופים אזרחיים, עם כל הכבוד, אין חזקת התקינות המינהלית.
היו"ר שמחה רוטמן
¶
אתה אומר "אנחנו לא לוקחים להם את הדולרים, אנחנו שומרים להם על הדולרים". סליחה על האזכור של "הגששים".
היו"ר שמחה רוטמן
¶
שוב, אני מסכים. הסכמתי איתך עקרונית, שאם אני יודע שהמידע הזה הושג באופן לא חוקי, ככלל, אסור לי לעבד אותו. אבל השאלה שלי היא: איך אני אדע?
היו"ר שמחה רוטמן
¶
חברים, למיטב זכרוני אתם חושבים, אמרתם את זה גם, שצריך לעבור לעולם העיצומים. הבעיה היא שאתם מנסים גם לייצר את העיצום וגם בדין המהותי. הדין המהותי הוא אחד. הפרת הוראה חוקית זו עבירה פלילית גם בלי הדין המהותי.
היו"ר שמחה רוטמן
¶
בחוק העונשין. אם אני הייתי נותן לכם סמכות לתת הוראות, זה משהו אחד. כרגע, לא נתתי לכם סמכות לתת הוראות. סעיף (4), בעיניי, הוא סמכות לבוא ולהגיד שאתם חושבים שיש הפרה. לכן אמרתי שאנחנו נעבור אליו בחלק של ההפרות המינהליות.
אני קיבלתי את ההערה פה. אני חושב שהמחזיק לא צריך להיות פה. ככל שיש חובות על המחזיק – חריגה בפעולה מההרשאה, כל מיני דברים כאלו – שרוצים לייצר אותם כעבירה, כהפרה, בסדר גמור, אני מבין, עם הגנות אחרות, עם כללים אחרים.
אבל פה החובות צריכות להיות על בעל השליטה במאגר המידע. אפשר לכתוב שבעל שליטה במאגר מידע לא יעבד מידע ולא יעביר למחזיק לעבד מידע, ואז ממילא אתם תוכלו לתת לו הוראה להפסיק לעבד את המידע. לדעתי, זה ייצר אמירה מאוד ברורה אצל המחזיק ש"מה שאתה עושה – לא חוקי", כי נתתי הוראה לבעל שליטה שאסור לו להעביר אליך. ואז, בסעיפים העוסקים במחזיק, תעסוק בזה.
אסף הראל
¶
רציתי רק להוסיף שגם סעיף (2), האיסור על פגיעה בפרטיות, יכול לתת את המענה, כי בסופו של דבר, אם המחזיק יעבד מידע שלא למטרה שלשמה נמסר, גם שם אפשר יהיה - - -
ד"ר עמרי רחום טוויג
¶
זאת בדיוק הבעיה שאני רציתי להעלות עכשיו. אם מסתכלים על פסקה (2), שהיא פיסקת ההגנה במצבים של קבלת מידע מאחר שלא מקימה את הידיעה על אי-הפרה - - -
ד"ר עמרי רחום טוויג
¶
אתם לא מכניסים, אני מבין, אבל הסעיף (2) הזה שמנסה לייצר הגנה לפי סעיף זה, שכתוב בו "באחריות לפי סעיף זה", בסוף מרוקן מתוכן על ידי סעיף 2 לחוק הגנת הפרטיות עצמו, מכיוון שגם בעל השליטה במאגר וגם המחזיק במאגר, גם אם לא היה עליהם לדעת, אבל קיבלו מידע מגורם אחר, יכולים להיות בהפרה של סעיף 2(9).
עמית יוסוב עמיר
¶
אנחנו אמרנו את זה בדיון הקודם, הבהרנו. יש כל מיני מקורות נורמטיביים שונים שמכוחם יכולה לקום אי-החוקיות, ולכל אחד ההסדר שלו.
עמית יוסוב עמיר
¶
לא, לא, הוא לא מרוקן בכלל.
לגבי סעיף 2. יש את ההגנות שחלות על סעיף 2, שאחת מהן היא "לא ידע ולא היה עליו לדעת". כבר כתוב בחוק, לא צריך להמציא אותו עוד פעם.
ד"ר עמרי רחום טוויג
¶
אבל מה המשמעות של ההגנה? זה לא נכון. אין הגנה בסעיף 2 על "לא ידע ולא היה עליו לדעת" באופן גורף, יש שם עוד מגבלות אחרות.
היו"ר שמחה רוטמן
¶
"לא ידע ולא היה עליו לדעת", "אין אפשרות לפגיעה בפרטיות". חברים, אני לא נכנס ל-2(9). אם המחזיק השתמש במידע שלא למטרה שלשמה הוא נמסר - - -
ד"ר רחל ארידור הרשקוביץ
¶
אמרתי את זה בפעם קודמת ואני אחזור שוב פעם. אני חושבת שהסעיפים (2) ו-(3) לא צריכים להיות איפה שמדברים על הפרה. הם סעיפי הגנות והם צריכים להיות שם. ההפרה צריכה להיות הפרה. ואחר כך, כשאני אבוא לנסות להצדיק את ההפרה, אני אגיד שאת זה לא היה עליי דעת, פה יש תום לב, פה זה קלת ערך.
ברגע שקובעים בהפרה עצמה שהיא קלת ערך או שלא היה עליי לדעת, נותנים פה שיקול דעת למפר להחליט אם הוא הפר או לא הפר. זה בעייתי מבחינת הניסוח. זה לא יכול להיות באותו סעיף. זה חייב להיות כסעיף הגנות נפרד.
היו"ר שמחה רוטמן
¶
היא אומרת כזה דבר: את החובה הכללית – תכתוב פה; את (4) – בחלק של ההפרות; ואת (2) ו-(3), כסייגים ל-(4), שתכתוב בחלק של ההפרות.
כלומר, אל תיתן לבעל השליטה את האפשרות לבוא ולהגיד שהפגיעה היא קלת ערך. אתה הפרת – הפרת. זה שכתוצאה מזה זה קל ערך והרשות לא תנקוט נגדך הליכים, או שאתה תוכל לטעון שלא צריך לנקוט נגדך הליכים כי זו עבירת קלת ערך – רק מה? מאחר שאנחנו עדיין לא בעולם של בסיסי העיבוד כמו שאנחנו רוצים, זה מייצר כלל "גזירה שאין הציבור יכול לעמוד בה" והחזרנו את כל השליטה ושיקול הדעת לידיים של הרשם האם לנקוט נגדך או לא. כולכם עבריינים, ועכשיו השאלה את מי אני תופס.
ולכן, (2) ו-(3) – ופה אני חולק עליך – כן צריכים להיות פה. יום יבוא, אולי, "אל תגידו יום יבוא – הביאו את היום", יהיה עיבוד מידע, יהיו בסיסי עיבוד ואז אפשר יהיה להוסיף את (2) ו-(3). אחרת כולם עבריינים. לפי סעיף (1), בלי (2) ו-(3) – אפשר להקיף בקונצרטינה את מדינת ישראל וזהו.
היו"ר שמחה רוטמן
¶
לא, אבל השאלה שלי נוגעת לשאלה בידי מי ההגנה. האם אני עבריין – ועכשיו אתם תחליטו האם אתם משתמשים בהגנות כדי להטיל עליי; או שאני אומר לכם שאני לא עבריין כי זה קל ערך, כי לא היה עליי לדעת – ואתם גם לא תוכלו להגיד לי stop.
עמית יוסוב עמיר
¶
גם הוא צריך לדעת מה הוא עושה עם עצמו, עוד לפני שמישהו בא אליו. הוא גילה שמישהו אחר - - -
היו"ר שמחה רוטמן
¶
מובן. בסדר. יכול להיות שביום שבסיסי עיבוד יהיו יותר חדים וברורים, אפשר יהיה ללכת לקו שלך. אבל כרגע, לדעתי, כדאי לתת את הכוח לידיים של מחזיק המאגר.
שחף קצלניק
¶
יש עוד משהו אחד שרצינו להגיד. בסעיף קטן (2) אנחנו היינו מבקשים, מציעים, לשנות את המילים "נמסר המידע" ל"הגיע המידע". לא כל פעולה היא פעולה אקטיבית. לא תמיד זה נמסר המידע. המידע גם יכול להגיע לא באופן של איסוף.
היו"ר שמחה רוטמן
¶
אם אתה אספת, אתה אחראי לאיסוף. אם אתה קיבלת את המידע ממישהו אחר ולא ידעת איך נעשה האיסוף, זאת שאלה אחרת.
שחף קצלניק
¶
יש הסכמה לגבי המידע, אבל אני לא יודע אם הוא הועלה באופן חוקי או לא. לכן לא יכול להיות שזה יישאר כ"נמסר המידע". המידע הזה לא נמסר, הוא נאסף.
צריך להיות פה "הגיע המידע" אליו. ולא משנה באיזו דרך הוא הגיע. אגב, זה גם משרת את המטרה שלכם.
שחף קצלניק
¶
אבל אדוני, ההוראה אומרת "נמסר". נמסר – זה באופן אקטיבי. ההגנה לא תחול עליי, כי יגידו לי "לא נמסר לך המידע, אתה אספת אותו". זה לא אותו דבר, הפעולה היא שונה. מישהו העלה מידע לרשת, הוא לא מסר אותו ישירות אליי. הוא נתן את ההסכמה שלו, לכאורה, מידע שנחזה, ואני לקחתי אותו.
עכשיו ההגנה הזאת לא חלה עליי.
היו"ר שמחה רוטמן
¶
לקחת אותו מאחר. הוא מסר. בשנייה שהוא פרסם משהו בפומבי, בצורה שניתן לעשות עליו data scraping, הוא נמסר על ידי המחזיק בו לציבור. זה מה שהוא עשה. אז הוא נמסר, אתה אספת.
ד"ר רחל ארידור הרשקוביץ
¶
אני רוצה להעיר משהו שהוא אולי לא מקובל מבחינת החברים פה בשולחן. אבל אני באמת מנסה להבין מה האינטרס שלנו – ובדיוק השאלה הזו עוררה את זה – בתור מדינה, כשמדובר בזכות לפרטיות ולא בזכות קניינית שהיא זכות אדם, שהיא זכות יסוד, לתת הגנה של תקנת השוק? למה אני רוצה לאפשר המשך עיבודי מידע שנמסרו, הגיעו שלא כחוק, אם כביכול הפגיעה היא קלת ערך - - -
ד"ר רחל ארידור הרשקוביץ
¶
לא, אני מדברת על עצם הרעיון להכניס לזכות יסוד – שהיא זכות אדם, שהיא זכות לפרטיות – את המושג בכלל, לתת אפשרות להמשיך לעבד מידע גם אחרי שאני יודעת שהוא עובד לא כחוק.
היו"ר שמחה רוטמן
¶
הפרת הדין קלת ערך היא לאו דווקא על הפגיעה בפרטיות. הפרת הדין יכולה להיות על חוקים אחרים שעוסקים בעיבוד מידע, יכולה להיות על הנושא של החזקה. מאחר שלעיבוד הגדרה מאוד רחבה ולהפרת הדין הגדרה מאוד רחבה, בהחלט יכול להיות שתבוא מה שנקרא – נדבר על זה יום אחד – הזכות להישכח, ויבואו בנושא המידע ויגידו "תמחק אותי", ויגלו דעה שבעיניהם זה לא קל ערך, גם אם אני חושב שזה קל ערך. אז זה לא יחשב קל ערך, או שהרשות להגנת הפרטיות תחליט שהיא אוכפת את זה ותתווכח איתך על המושג קלות דרך.
אבל הפרת הדין היא לאו דווקא הפגיעה בפרטיות. היא יכולה להיות עוד דברים. הפרת הדין היא לאו דווקא הפרת חוק-יסוד: כבוד האדם וחירותו, סעיף הפרטיות שבו. היא מושג מאוד רחב.
עמית יוסוב עמיר
¶
אני חושב שצריך לדבר כאן גם על איזונים. אולי זה יפתיע, ואולי זה ישמש בעתיד לטובתנו כשנדבר גם על תיקון 15, במהרה בימינו, שגם יטיל נטל על המשק. אבל צריך לומר שאמירה אחרת, אם נגיד: "הייתה איזושהי הפרה של הדין – אסור להחזיק את המידע" – המשמעות היא שגם פגיעות יחסית קלות בזכות לפרטיות יביאו לנזק, לפעמים כבד מאוד.
נעמה מנחמי
¶
אנחנו עוברים לנושא של איסור שימוש או החזקה במידע בלא הרשאה. יש לנו כאן את ההצעה של סעיף 10ג רבה. יש לנו את הסעיף הקיים בחוק. בכל מקרה, אנחנו רוצים להכניס את זה כ-(א2). עשינו כאן שינויים.
עמית, אתה רוצה להציג אותם?
עמית יוסוב עמיר
¶
אנחנו מדברים על סעיף 10ג רבתי להצעת החוק הממשלתית, עם שני סעיפים קטנים (א) ו-(ב) שמבחינים בין שימוש במידע לבין החזקה של המידע. לאור ההגדרה החדשה והמקיפה של עיבוד, כבר אין צורך בהבחנה בין שני הסעיפים.
לכן, הנוסח המוצע שמופיע פה במסמך של הייעוץ המשפטי
¶
"לא יעבד אדם מידע אישי ממאגר מידע, בלא הרשאה מאת בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור".
עם הגנה מצומצמת מסוימת שאנחנו מציעים לעניין הספציפי הזה:
"לעניין סעיף זה "עיבוד" – למעט אחסון באקראי ובתום לב".
הכוונה היא מצד אחד להבהיר את המובן מאליו, באופן עקרוני, שמידע במאגר מידע, עיבוד שלא דורש הרשאה מבעל השליטה, אפשר לעבד אותו ללא הרשאה מבעל השליטה. מצד שני, מקרים אינצידנטליים, בעיקר בפעולה של כל מיני מערכות טכנולוגיות, כשיש אחסון לא מכוון של המידע, בגלל ההגדרה המרחיבה של "עיבוד", לא ייתפסו בגדר האיסור הזה.
דוגמה קלאסית היא אדם שקיבל דואר אלקטרוני, הוא שמור אצלו, הוא מחזיק אותו. לא הייתה לו כוונה להפר. אבל לא נדרשת כוונה בעוולות אזרחיות. לכן חשבנו שנכון להעניק פה את ההגנה הזאת.
ד"ר עמרי רחום טוויג
¶
שתי מחשבות. אחת, מכיוון שהמונח "אדם הוא לרבות תאגיד" בהקשר הזה, וזה בסדר, אבל רק אולי להבהיר שהאדם הזה הוא לא בעל השליטה עצמו. אדם, למעט בעל השליטה במאגר. בעל השליטה במאגר לא נותן הרשאות לעצמו. בעל השליטה במאגר הוא בעל השליטה במאגר.
ד"ר עמרי רחום טוויג
¶
ושתיים. ההרשאה – וזה מתכתב גם עניין האקראי ותום הלב – אולי אפשר לדבר גם על הרשאה במפורש או במשתמע. בהחלט יכולות להיות הרשאות משתמעות. הרשאה זה נשמע כמו הרשאה טכנולוגית, במובן של - - -
ד"ר עמרי רחום טוויג
¶
אני שואל, אני חושב שזה דיון ראוי לפרוטוקול, מה המשמעות להרשאה כאן. הדוגמה של דואר אלקטרוני - - -
ראובן אידלמן
¶
המונח "הרשאה" משמש גם בתקנות אבטחת מידע בצורה נרחבת. בשום מקום לא נכנסנו לרזולוציה הזאת.
ענר רבינוביץ׳
¶
הסעיף הזה מתכתב עם Article 29 GDPR. ההבדל המשמעותי ששם יש היתר נוסף לעיבוד על פי הוראות הדין. אני חושב שזה חסר כאן.
עמית יוסוב עמיר
¶
כל החוק הגנת הפרטיות חוסה תחת סעיף 35 לחוק. הוראות חוק הגנת הפרטיות לא גורעות מכל דין אחר. אם יש דין ספציפי שהתיר לעבד מידע באופן ספציפי, לפי כללי הפרשנות המקובלים בתוספת סעיף 35 הדין הספציפי גובר על הדין הכללי.
עמית יוסוב עמיר
¶
אולי פה אני אבקש להעיר משהו. מופיע כעת במסמך הכנה סעיף 10ב. הממשלה מבקשת לדלג כרגע על הסעיף, יש בדיקות.
עמית יוסוב עמיר
¶
לא, ניסחנו. הכוונה המרכזית שלנו היא להתאים את הוראות הדין המהותי למודל העיצומים הכספיים שיאפשר אכיפה, שזאת אולי התכלית המרכזית של כל התיקון 14. אין לנו כוונה לעורר בעיות וקשיים אחרים בתחום המותר והאסור בעיבוד מידע.
היו"ר שמחה רוטמן
¶
הבעיה העקרונית ובאופן מעשי שאף אחד לא יודע מה מותר ומה אסור בתחום עיבוד המידע. ולכן אני מאחל לכם הצלחה מרובה בניסוח סעיף 8ב החדש ואני אעבור לסעיף הבא. אני מאחל לכם הצלחה באיך להגדיר את הבלתי-מוגדר. ואנחנו נעשה זאת, נגדיר את אשר לא ניתן להגדרה.
כן, בבקשה.
נעמה מנחמי
¶
הגענו לחובת הרישום. כמו ציינתי מקודם, היום זה נמצא ב-8(א) וב-8(ג). 8(א) עוסק בחובת הרישום ו-(ג) עוסק בשאלה מה הנסיבות של הרישום. מבחינת העניין, חשבנו שאפשר לאחד אותם ביחד.
מוצע נוסח חדש, גם בשים לב להערת הוועדה בפעם הקודמת, שביקשה לצמצם את חובת הרישום לסוחרי מידע ולמאגרים ציבוריים.
אני אקריא את (ג) המחודש:
"לא יעבד אדם מידע אישי במאגר מידע ולא ירשה לאחר לעבד עבורו מידע כאמור, אם המאגר הוא אחד מאלה, אלא אם המאגר נרשם במרשם או הוגשה בקשה לרישום המאגר לפי הוראות סעיף 9 וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום המאגר".
ואלה התנאים
¶
"(1) אחת ממטרותיו העיקריות של המאגר היא איסוף מידע אישי לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר – נשקול מבחינה ניסוחית את הנושא של "כהגדרתם בסעיף 17ג" – או שהמידע האישי שבמאגר נמסר או מיועד להימסר לאחר בתמורה, ובמאגר למעלה מ-10,000 נושאי מידע;
(2) בעל השליטה במאגר המידע הוא גוף ציבורי, כאמור בפסקה (1) להגדרה "גוף ציבורי" שבסעיף 23, למעט מאגר מידע הכולל מידע על עובדי הגוף הציבור בלבד – זאת הצעה שלנו, כדי להוריד את המספר".
אני חושבת שבמובן מסוים מטרת הרישום של גוף ציבורי היא כדי לדעת שהמאגר קיים. נראה לי שזה די ברור שלכל גוף ציבורי יש רשימת עובדים.
היו"ר שמחה רוטמן
¶
רק חשוב להגדיר פה. מאגר רשימת העובדים – זה ברור, מצד הרישום לא צריך, החובות המהותיות יחולו עליו בכל מקרה. הבעיה היא שהרבה מאוד פעמים גופים ציבוריים מחזיקים מאגר על עובדים, גם על עובדים לשעבר וגם על מועמדים. לכאורה זה לא נותן להם את ההגנה.
נניח שאני כותב "עובדים, עובדים לשעבר, מאגר המועמדים". מאגר מועמדים לשפיטה לצורך העניין, שזאת בכלל שאלה האם המועמדים לשפיטה נחשבים לעובדים. הם לא נחשבים עובדים. אבל גם מאגר מידע – שופטים הם לא "עובדים", גם חיילי צה"ל אינם "עובדים", גם שוטרים אינם "עובדים".
היו"ר שמחה רוטמן
¶
אני מבין, אתם רוצים שזה יחול עליהם. זאת אומרת, צה"ל יצטרך לרשום את המאגר של משרתי החובה ומשרתי המילואים, הוא יצטרך לרשום את זה כי הם לא עובדים שלו. אבל את האזרחים עובדי צה"ל הוא לא יצטרך לרשום.
אני מחדד מה הכוונה פה בסעיף.
ראובן אידלמן
¶
אין הצדקה להקל דווקא. ראשית, כפי שאדוני יודע, אנחנו מלכתחילה הצענו חובת רישום מצומצמת יותר ביחס לגופים ציבוריים. הוועדה הרחיבה את הנושא הזה. בעניין ההבחנה שאדוני מזכיר, אנחנו לא רואים לנכון להקל דווקא עם המועמדים, לצורך העניין על קורות חיים שנשלחים.
איה מרקביץ
¶
למה עברנו מ"בעל שליטה במאגר מידע" ל"אדם", בהקשר הזה? "לא יעבד אדם מידע אישי" וכו' "ולא ירשה לאחר לעבד עבורו". לא ירשה לעבד עבורו – זה אומר שאת בעלת השליטה במאגר. אולי זאת טעות ניסוח, אבל משתמע ממה שכתוב פה שעכשיו המחזיק צריך לבדוק אם יש רישום, אם יש בכלל כניסה לתנאי הסף לרישום, האם בכלל מדובר במאגר שחייב ברישום. זאת טעות?
היו"ר שמחה רוטמן
¶
לכאורה פה המצב קצת יותר קל, כי אם מבוקש לעבד מאגר מידע עבור סוחר מידע, תוודא שבן אדם שאתה מעבד עבורו את המידע פעל ורשם את המאגר. לא חלה עליך החובה, אבל כן תבדוק.
וכנ"ל אם אתה מעבד מידע עבור גוף ציבורי.
ד"ר עמרי רחום טוויג
¶
זה מאוד דומה לעניין עם המחזיק מקודם. אין היגיון בזה. החובה המהותית לרישום היא על בעל השליטה. מה זה משנה אם אדם בסוף קיבל הרשאה? "אדם" – יכול להיות גם עובד של בעל השליטה, לצורך העניין.
נעמה מנחמי
¶
יכול להיות שבאמת כדאי לפצל את (ג) חזרה איכשהו, ל-(1) ו-(2), כדי לחדד קצת את הרישום מול - - -
ד"ר עמרי רחום טוויג
¶
הערה להגדרה של אותם data brokers. ברישה, מטרותיו העיקריות זה איסוף מידע לצורך מסירתו. למה לא "מכירתו לאחר"? יש גם הגדרות בדינים אחרים, למשל ב- CCPAבקליפורניה יש הגדרה מיהו data brokerוהיא עוסקת בשאלת מכירת המידע בתמורה.
זאת אומרת, זה לא סתם כל מצב שבו הוצאתי מהמאגר מידע - - -
היו"ר שמחה רוטמן
¶
בדרך כלל, "דרך עיסוק" – נותן משהו בתמורה. זה נועד למנוע, כי בדרך כלל בן אדם לא עושה משהו כדרך עיסוק מטוב ליבו. לכן, לעניין התמורה בדרך עיסוק מכסה את זה.
זה נועד למנוע אירוע חד פעמי. זה נועד למנוע סיטואציה לכלול מישהו שעושה את זה באקראי או אגב פעולה אחרת.
ד"ר עמרי רחום טוויג
¶
אבל זה מעורר את השאלה מה זה אחת ממטרותיו העיקריות של המאגר. כשמנהלים מאגר או קובעים מסמך הגדרות מאגריים לא מתעדפים, אין רשימת מטרות עיקריות או מטרות משניות של המאגר. מסירה של מידע, כמו שאדוני אמר, אינצידנטלית או אולי במספרים קטנים, כחלק מעיסוק, לא בהכרח הופכת גוף להיות .data broker
data broker זה גוף שכל תכליתו העסקית ומהותו הכלכלית זה מסירת מידע לאחר. היא לא אחת מהמטרות.
נעמה מנחמי
¶
בניסוח המקורי היה "המטרה העיקרית". אם אני מוסיפה עוד שתי מטרות, אז עכשיו אני בעצם פטורה מזה?
דן אור-חוף
¶
אני רוצה לקרוא לילד בשמו. מסירה של מידע לאחר כדרך עיסוק, שהיא לא סחר במידע, זה בעיקרו של דבר תעשיית הפרסום האינטרנטי. זאת תעשייה שבה יש מסירת מידע ובהיקפים גדולים, כדרך עיסוק, אבל הם לא סוחרי מידע. הם לא מוכרים את המידע, אבל זה חלק מהותי מהעיסוק שלהם.
וזאת שאלה עקרונית, האם אנחנו רוצים להכניס את התעשייה הזאת לגדר הגופים שצריכים לרשום את מאגרי המידע שלהם או לא - -
דן אור-חוף
¶
- - או להשאיר את הרישום הזה רק לכאלה שממש סוחרים, מוכרים מידע במשמעות הברורה והפשוטה של העניין.
ד"ר עמרי רחום טוויג
¶
אני אקריא את ההגדרה של CCPA הקליפורנית, רק כדי שנהיה .on the same page בקליפורניה, ההגדרה של data broker היא:
“as businesses that knowingly collect and sell to third parties the personal information of a consumer with whom the business does not have a direct relationship”.
זה הרעיון.
ניר גרסון
¶
אבל בכל מקרה, גם במקרה שבו עסק מפיץ מידע לרבים, הוא לא מקבל תשלום ישיר, אבל הוא מפיק תועלת מסחרית עקיפה או ישירה, זו סיטואציה, זה תרחיש שאנחנו רוצים שההסדר יחול עליו ויש לזה כל ההצדקות.
ראובן אידלמן
¶
כפי שציינה היועצת המשפטית, בהצעת החוק הממשלתית נכתב "מטרתו העיקרית של המאגר". אנחנו הצענו את זה, אז כמובן שזאת חלופה שמקובלת עלינו, אלא אם הוועדה רוצה לכתוב את זה אחרת. אני חושב שזה נותן מענה.
אגב, זה קיים היום בתקנות אבטחת מידע, זאת לא הגדרה חדשה.
ד"ר עמרי רחום טוויג
¶
אבל שים לב, יש שם הגדרה נוספת: "או שהמידע האישי שבמאגר נמסר או מיועד להימסר". זה כבר לא מטרתו העיקרית. זה אומר שפשוט הפעולה הזאת קרתה, נמסר מידע מתוך המאגר.
ראובן אידלמן
¶
כן, ההצעה הממשלתית היא: "מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק" – וההמשך שכתוב.
ד"ר עמרי רחום טוויג
¶
לא, אבל אז בלי הסיפה הנוספת: "או שהמידע האישי שבמאגר נמסר או מיועד להימסר לאחר". זה מחטיא את הרעיון. אם אנחנו מדברים על מטרה עיקרית – מטרה עיקרית.
ד"ר עמרי רחום טוויג
¶
אם אנחנו אומרים שהרציונל הוא ש"מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר", אבל אנחנו מכניסים בדלת האחורית "או שהמידע האישי שבמאגר נמסר לאחר".
קרה. זו לא מטרתו.
היו"ר שמחה רוטמן
¶
עם זה אני מסכים. הנושא של מידע שנמסר לאחר בתמורה – זאת לא המטרה העיקרית של המאגר, לא המטרה העיקרית של המוסר. זה באמת מכסה כמעט את כולם.
יותר מזה. לדוגמה, אני לא ,data broker אבל אני מכרתי עסק עם רשימת לקוחות. יש לי עסק, יש לי רשימת לקוחות, יש לי מועדון לקוחות. אני מועדון לקוחות של שופרסל או של רמי לוי. אני מחליט לסגור את העסק שלי ולהעביר את מועדון הלקוחות שלי למישהו אחר. לא ,data broker לא בשביל זה הקמתי את המאגר. חשבתי שאני אנהל את מועדון הלקוחות לנצח. רק מה לעשות, נהייתי חבר הכנסת, החלטתי שלנהל מועדון לקוחות זה כבר לא בשבילי ומכרתי את המאגר למישהו אחר, כולל את כל הפעילות של המועדון עם המאגר שלו.
עכשיו מאגר מידע חייב ברישום, כי הוא נמסר לאחר בתמורה.
ראובן אידלמן
¶
יש לי הצעה, כדי שיהיה ברור, הרכיב של בתמורה הוא גם צריך להיות מטרה עיקרית אם אני מבין נכון ואם לשם מכוונים. אפשר לכתוב כך, אני מקריא מההתחלה:
"מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, או בתמורה, לרבות שירותי דיוור ישיר".
קריאה
¶
אני מציע להחריג מקרים של עסקאות מיזוג או עסקאות מכירה וגם מקרים שבהם ה- consumer נתן את ההסכמה שלו.
איה מרקביץ
¶
אשמח לקבל הבהרה מחברינו במשרד המשפטים: למה הכוונה, בהקשר הזה, "לרבות שירותי דיוור ישיר"? אני קוראת במקביל את ההגדרה בחוק, של שירותי דיוור ישיר, אחד הסעיפים הארכאיים הרבים בחוק הקיים, שכתוב:
"מתן שירותי דיוור ישיר לאחרים בדרך של העברת רשימות, מדבקות או נתונים בכל אמצעי שהוא".
האם הכוונה שכל מי שמבצע פנייה של טלמרקטינג עבור בעל השליטה, צריך להירשם? או מי שנותן רשימה?
עמית יוסוב עמיר
¶
לא, רגע. אבל יש הגדרה לדיוור ישיר. ההגדרה, עם המדבקות, היא רק כדי להבהיר שזה לאחרים.
היו"ר שמחה רוטמן
¶
בסדר, אני לא נכנס לזה פה, לדעתי הכוונה בסעיף הזה ברורה. הרעיון הוא שגם מי שמחזיק מיילינג ליסט – לטובת מכירת מיילינג ליסט.
ד"ר עמרי רחום טוויג
¶
בסדר. אני חושב שאנחנו מציפים פה שההגדרה של שירותי דיוור של דיוור ישיר היא הגדרה - - -
ד"ר עמרי רחום טוויג
¶
נכנס להגדרה במצב שבו נותן שירותי הדיוור הישיר הוא בעל שליטה במאגר בעצמו, כי אחרת אין לו חובת רישום.
איה מרקביץ
¶
יש קושי בהגדרה עצמה. ברור שזאת לא בעיה בתיקון 14, אבל דיוור ישיר מוגדר כפנייה אישית לאדם בהתבסס על השתייכותו לקבוצת אוכלוסין וכו'; ו"שירותי דיוור ישיר" – זו מתן שירותי דיוור ישיר לאחרים.
נעמה מנחמי
¶
(ג1) – זה מה שנשאר לנו מהצעת החוק המקורית, ביחס למידע בעל רגישות מיוחדת. אני ניסיתי להתאים את זה.
"בעל שליטה במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות למעלה מ – הוועדה תחליט 100,000 או 500,000 – ושלא חלה עליו חובת רישום לפי סעיף קטן (ג), חייב למסור לממונה את הפרטים המנויים בסעיף 9(ב) - -".
בהצעת החוק היה כתוב גם (1), אני חושבת שזאת טעות.
"השר, באישור ועדת החוקה, רשאי לקבוע הוראות לעניין אופן הדיווח לפי סעיף קטן זה".
ראובן אידלמן
¶
אולי אני קצת ארחיב, כי יש לנו כאן הצעה טיפה יותר רחבה. הוועדה כיוונה לכך שביחס לכל מי שלא גוף ציבורי ואיננו data broker, תהיה חובת יידוע.
היו"ר שמחה רוטמן
¶
יש לי הצעה לסדר. מאחר שזה נושא שהוא פתיחת חזית שנייה בצפון, במזרח, במערב, בואו נצא להפסקה, ניתן לאנשים להתרענן לפני זה, ונשוב ונתכנס.
נשוב ונתכנס בשעה 12:15.
(הישיבה נפסקה בשעה 11:45 ונתחדשה בשעה 12:15)
היו"ר שמחה רוטמן
¶
חזרנו. לצערי, האמירה שלי מהבוקר – לא זכינו שהיא תתקיים, קיבלנו עוד בשורה קשה. המלחמה שאנחנו נלחמים לטובת מדינת ישראל, עם ישראל, ארץ ישראל, גובה מחירים שקשים מנשוא. אנחנו ננחם את המשפחות ונקווה שבאמת לא נתרגל, חס ושלום, חס ושלום. לא נקבל את זה ולא נתרגל. ה' ייקום דמם.
משרד המשפטים, בבקשה. אני מתנצל על המעבר החד הזה.
ראובן אידלמן
¶
בהמשך להצעת הוועדה מהדיון הקודם להמיר את חובת הרישום ביחס לכל מאגר שאיננו של גוף ציבורי או של סוחר מידע או data broker, להמיר אותה בחובת יידוע, אנחנו מציעים מודל של חובת יידוע שחלה על מאגרים גדולים, כלומר מאגרים שמלכתחילה מעל 100,000 נושאי מידע.
פירטנו במסגרת ההצעה שלנו איך אנחנו רואים את זה, היא הועברה לוועדה, מקווה שלאדוני יש את זה. אפשר גם להעביר לאדוני עותק, העברנו במסמך נפרד, הוא גם עלה לאתר הוועדה. ראשית, אנחנו מציעים, מבחינת מה שיימסר לרשות, מתוך הבנה שהמטרה היא לאפשר לרשות, באמצעות חובת היידוע, לזהות איפה יש מאגרים שמפאת רגישותם – סוג המידע שמוחזק בהם, סוג העיבוד – הם מצריכים איזושהי בחינה ספציפית יותר, בין בהליך אכיפה, בין בדרך אחרת, אבל מצריכים תשומת לב מיוחדת, בלי שזה יהיה רישום, בלי שזה יהיה פרה רולינג, כפי שאדוני הגדיר בפעם הקודמת.
לצורך כך, פירטנו איזה מידע אנחנו צריכים. קודם כל, יש לנו את הפרטים - - -
היו"ר שמחה רוטמן
¶
אתם העברתם, זה נמצא באתר הוועדה. למי שנמצא, זה מולו. את חובת היידוע, את כל הפרטים שנמצאים היום ברישום. בנוסף, את פרט (7), שזה:
"פרטים בדבר אופן קבלת ההסכמה לעיבוד המידע או מקור סמכות המתיר עיבוד כאמור, ככל שעיבוד המידע במאגר כרוך בפגיעה בפרטיות".
למה אתם מוסיפים את זה?
ראובן אידלמן
¶
הוספנו את פריט (7), כי זה האמצעי להבין איפה – כשיש מאגר שהוא רגיש באופן מיוחד, גם כי הוא קודם כל גדול וגם מפאת - - -
היו"ר שמחה רוטמן
¶
כשאתם ביקשתם רישום, אנחנו הפכנו מרישום למסירת מידע. ברישום ביקשתם פריטים (1) עד (6).
היו"ר שמחה רוטמן
¶
אני מסכים. והסמכות שלכם לבקש את הפרטים הכלולים ב-(7), על בסיס החלטה פרטנית, קיימת, למיטב ידיעתי. לא שולל לכם אותה, נכון?
היו"ר שמחה רוטמן
¶
מצוין. למה אתם צריכים להטיל עכשיו את המטלה הרגולטורית הזאת? כאשר עברנו ממשטר של רישום למשטר של מסירת מידע, למה באה, בצד זה, הגדלת הדרישה הרגולטורית לעניין פרט (7)?
ניר גרסון
¶
לא. לפי סעיף 11 לחוק, ממילא כל בעל מאגר היום צריך – במיוחד אם הוא אוסף את המידע ישירות מנושא המידע – להגיד לעצמו, כדי שיוכל להגיד לנושא המידע - - -
היו"ר שמחה רוטמן
¶
אבל הוא היה צריך להגיד לעצמו גם שלשום, ולא ביקשת את פרטי המידע האלו לטובת הרישום. למה לטובת מסירת המידע אתה דורש אותם?
ניר גרסון
¶
למה אנחנו מבקשים לצרף את זה מראש? כדי שנוכל לבור את המוץ מהתבן ולא לפנות לכל המשק לשלוח דרישת ידיעות ומסמכים. יש מטרה לדיווח.
היו"ר שמחה רוטמן
¶
כל מי שהגיש אצלכם, שעשה את הצעד המדהים הזה של בקשה לרישום, הצדיקים שבסדום שרשמו את מאגרי המידע שלהם, קיבלו מכם כעניין שבשגרה "תשלימו לי גם את (7)"?
ראובן אידלמן
¶
אנחנו מקבלים הרבה הודעות יידוע ואנחנו צריכים לבור את המוץ מהתבן כמו שנאמר כאן, בלי שמחכים לנו, המאגר כבר רץ ופועל. הרעיון אומר איפה אנחנו נמקד. לא נשלח דרישת ידיעות ומסמכים למאות מאגרים, אני חושב שגם אין אינטרס, כי זה כבר הליך אכיפה. המטרה היא לצמצם פתיחה בהליכי - - -
היו"ר שמחה רוטמן
¶
אני רק רוצה להסביר לך משהו לגבי פריטים (1) עד (6). יש לי איזו ונדטה – אפשר לעשות על זה הערכת אישיות, עם איזה AI – נגד עורכי דין, משהו אישי כזה. אני מסתכל על (1) עד (6), ולא צריך עורך דין בשבילם. נכון שאפשר עורך דין, יש גם עורכי דין שעשו את זה.
אני מסתכל על סעיף 7 – זאת חוות דעת משפטית. זה ההבדל הרגולטורי.
היו"ר שמחה רוטמן
¶
לא, לא. "מקור סמכות המתיר עיבוד כאמור". מי שעוסק בלכתוב לי מה מקור הסמכות – הוא גורם משפטי.
היו"ר שמחה רוטמן
¶
אני יודע, אני יודע שזה קצת old fashion לבקש ממשפטן לעסוק במקור סמכות. אבל זה לא - - -
ניר גרסון
¶
אדוני, זה נוסח ההסכמה. זאת ממש לא חייבת להיות חוות דעת. זה פרטים הכי בסיסים. אתה אוסף מידע? תציג לנו את ההסכמה, את הטקסט, את הסעיף שאתה מחתים את הלקוחות.
היו"ר שמחה רוטמן
¶
אבל אתה בעצמך יודע, מחר בבוקר אתה תביא לי פרטים אחרים שלא צריך בשבילם הסכמה. וגם, היום פרטי ההסכמה היא סוגיה משפטית כבדת המשקל בשאלה מה נחשב הסכמה ומה לא נחשב הסכמה. זו הסוגיה שבשבילה צריך חוות דעת. זו הסוגיה שממנה היושבים פה מסביב לשולחן עושים את הפרנסה שלהם – וכאמור, יש לי ונדטה נגדם. אחרי שיושבים עם האנשים מספיק זמן בחדר, אתה רוצה לפגוע להם בפרנסה ואתה אומר, למה לספק להם עכשיו עוד פרנסה שיכתבו חוות דעת משפטיות האם זה נחשב הסכמה והאם זה שקרצת למצלמה לטובת ההפעלה נחשבת הסכמה, כן או לא. למה?
לא דרשת את זה לרישום. לבור את המוץ מהתבן – תבור את המוץ מהתבן. אתה אומר שאני מוריד לך רגולציה. אבל לא הורדתי לך רגולציה. הוספתי לך שכל בקשת רישום – שאתה אומר שעד היום מרובם ביקשת, יכול להיות שגם זאת תקלה, אבל אני לא מתעסק בזה עכשיו, זאת לא ישיבת פיקוח על הרשות להגנת הפרטיות.
אבל פרט (7), זה – "תצרף חוות דעת משפטית". זאת המשמעות.
ראובן אידלמן
¶
"פרטים בדבר אופן קבלת ההסכמה" – זה יכול להיות מדיניות הפרטיות. מבחינתנו, זה בהחלט לא מצריך חוות דעת משפטית. זה להבין איך אתה, את הטופס - - -
היו"ר שמחה רוטמן
¶
כשאתה בהארדקור מידע שנמסר מהאדם עצמו, בהסכמה, ברמה הפשוטה ביותר, ולא עושה את הקונסטרוקציות המשפטיות המורכבות שאתם מייצרים היום בגלל שאין לנו בסיסי עיבוד, שההסכמה היא גם לא הסכמה, אז אתה צודק.
כמה מאגרי מידע מתוך מאגרי המידע שאתם מדברים עליהם ושנרשמו אצלכם, הם מאגרי המידע שאנשים אשכרה נתנו הסכמה?
ניר גרסון
¶
אדוני, אם הוועדה מבקשת לצמצם את הרישום, נסתפק בדיווח. המטרה היא בכל זאת להשאיר רמה מינימלית של הגנה על פרטיות - - -
היו"ר שמחה רוטמן
¶
אני חושב ש-(3) ו-(4), והעובדה שאתה מקבל ידיעה על (3) ו-(4), ועל (6) כמובן, ו-(5), וכל מה שבקשתם ברישום – זה נותן איזושהי אפשרות למיקוד האכיפה.
היו"ר שמחה רוטמן
¶
סעיף (7) הוא סעיף שמוסיף עלות רגולטורית לא קטנה. אתה אומר שהיום, פחות או יותר כדבר שבשגרה או כמעט כדבר שבשגרה, אתה עושה את זה בכל מקרה. אני מקווה שתפסיק. אבל כמו שאמרתי, זה לישיבת הפיקוח על הרשות להגנת הפרטיות.
אני לא חושב שזה דבר נכון. זה חלק מהדבר שאנחנו מדברים עליו. אנחנו מנסים להסדיר את העניין ולא להגיד "דרישת פרטים נוספים".
(מכאן אורי פנסירר)
היו"ר שמחה רוטמן
¶
הרבה פעמים לגופים רגולטוריים יש נטייה להשתמש בסעיפי הסל שלהם כדי לייצר מחדש את סעיפי - - -, ואני כן אומר לכם שאם אחרי חקיקת החוק ואף אוסיף לכם: נניח שתשכנעו אותי – מה שנראה לי שיש סיכוי קלוש – שכן צריך את 7 ואוסיף לכם את 7, ואז אגלה שדרך "דרישת פרטים נוספים" אתם מכניסים גם את 8 ,9 -10 כדבר שבשגרה לכולם. וכל מי שעושה את הטעות ושולח לכם מידע, אז הוא מקבל בתמורה מכתב "דרישת מסמכים נוספים" שיושב כבר על הרובריקה ויוצא אוטומט - - -
היו"ר שמחה רוטמן
¶
לא, אני מבין. אבל כעניין היום, יש לכם את 1 עד 6, ואתם אומרים לי שכמעט לכולם אתם שולחים גם את 7. אז אני אומר – תפסיקו לשלוח לכולם על תיקונם גם את 7. תמקדו איפה שצריך למקד. אולי תשתמשו ב-AI, אולי תפעילו אכיפה עם רצת יותר אינטליגנציה מלאכותית או לא מלאכותית. ותמקדו את האכיפה. אבל אני לא רואה סיבה - - -
ניר גרסון
¶
לא, לא, רגע, סליחה, כדי שנוכל למקד את האכיפה, יהיה מאוד מאוד מועיל – אולי אפילו בלי זה יהיה קשה למקד את האכיפה – שאת הפרטים המינימליים על תוכן ההסכמה, אולי באמת סעיף כל הסמכות פחות רלוונטי למגזר הציבורי, סעיף תוכן ההסכמה.
אייל שגיא
¶
אני מקווה שהקולגות יסלחו לי על זה, אבל כל מה שאמר היושב-ראש נכון. ובטופ של זה, וההנחה בסעיף 7 היא שהדרך היחידה – קודם כל שאיסוף המידע פוגע בפרטיות, אבל אם יש לי הסכמה, אז אין פגיעה בפרטיות, אז יש פה איזה כשל לוגי, כי השגתי הסכמה, אז אין פגיעה בפרטיות. דבר שני, ההנחה היא שאם אין הסכמה, יש פגיעה בפרטיות, זה זורק לפח את כל ההגנות ל-(2)(9) בסעיף 18. כי יכול להיות שאחליט, למרות שאין לי הסכמה, שהעיבוד הוא בתום לב ונדרש לצורך ביצוע תפקידי. כל הדברים שבסעיף 18 היום מגנים על פעילות עסקית רגילה ולגיטימית, אבטחת מידע, כל הדברים האלה נעשים תחת סעיף 18, כי אני מקבל את הידיעה, את ההתחברות – חבל.
היו"ר שמחה רוטמן
¶
אגיד יותר מזה, ככל שעיבוד המידע במאגר כרוך בפגיעה בפרטיות – יש פה שתי חוות דעת; אחת – האם עיבוד מידע במאגר כרוך בפגיעה בפרטיות, ויהיו כאלה שיגידו שכן, יהיו כאלה שיגידו שלא, יגידו למה לא, לא יודע. ואחרי שהגעתי למסקנה שעיבוד המידע במאגר כרוך בפגיעה פרטיות, אני צריך עוד חוות דעת משפטית, האם ההסכמה שקיבלתי מספיקה לעניין הפגיעה הפרטיות ומה מקבילית הכוחות בין טיב ההסכמה, כגודל ההסכמה, כך מיעוט הפגיעה בפרטיות וכן להפך.
דן אור-חוף
¶
אני רוצה להציע הצעת ייעול. הלכה למעשה – וזה גם לפי ההצעה של משרד המשפטים – בתוספת צריך להגיש את מסמך הגדרות המאגר.
דן אור-חוף
¶
אני אומר שמסמך הגדרות המאגר, הפירוט שלו, התוכן שלו, כפי שהוא קבוע בסעיף 2 בתקנות אבטחת המידע, כולל כבר את כל הפרטים שצריך. ובעצם הדרישה שקיימת בהצעה לצרף את הפרטים 1 עד 7, 1 עד 8, זה בעצם כפילות מיותרת, כשבתקנות מסמך הגדרות המאגר כבר כותב שם. במסמך הגדרות המאגר, להבדיל מסעיף 7, לא מדובר באופן ספציפי על הסכמה.
דן אור-חוף
¶
כן.
מה שמסמך הגדרות המאגר צריך לכלול לפי סעיף 2(א)(1)לתקנות אבטחת המידע, זה תיאור כללי של פעולות האיסוף והשימוש במידע. ומן הסתם, אם הפעולות האלה כרוכות בקבלת הסכמה, זה המקום לכתוב את זה. המסמך הזה כולל כבר את הכול. כך שאם בכלל יש צידוק לעניין הזה של חובת היידוע, שזאת שאלה בפני עצמה, אז לצד חובת היידוע, מה שצריך בעיני זה פשוט לחייב בהגשת מסמך הגדרות המאגר שממילא חייבים להכין אותו, כי זו דרישת התקנות.
אסף הראל
¶
אני חושב שבסופו של דבר, כיוון שברוב המקרים ההסכמה היא ממילא הסכמה מכללא, מה שמעניין זה האופן שבו בעל השליטה במאגר עמד בחובת היידוע שלו. ונדמה שככל שתקבלו הוכחה על אופן העמידה בחובת היידוע, זה אמור להשיג את התכלית של הבנת ההסכמה מבלי ליצור פה מורכבות משפטית של ניתוח האם זה פוגע בפרטיות או לא, האם זה כן הסכמה או לא הסכמה.
רחל ארידור הרשקוביץ
¶
אני רוצה להגיד משהו אחר, ממה שאני שומעת, ממה שהרשות אומרת, זה שהרציונל שבחובת הדיווח הוא כדי לתת להם מידע, כדי שהם יידעו איפה להפעיל את סמכויות האכיפה שלהם – בעיני זה היינו הך לרישום. בילדותי אהבתי מאוד מערכון של נתן דטנר בשם "אם יש חור בדלי", וככה אני מרגישה. אם אתם רוצים לדעת יותר טוב איך לעשות אכיפה או איך להפעיל את סמכויות האכיפה שלכם – מדינות העולם התקדמו, הם לא דורשות דיווח, הם לא דורשות רישום, הם דורשות ממונה הגנת פרטיות, הם דורשות תסקיר, וככה עושים את זה בעולם המודרני. למה אנחנו צריכים להיתקע פה עכשיו על דיון במשהו שכבר לא צריך אותו? יש חלופות טובות יותר.
עמרי רחום טוויג
¶
רק אגיד את המובן מאליו, גם הדרישות הנוספות שבתוספת, פרט 8 שמפנה לתוספת הם כמובן מכבידות בהרבה, כן, על פריטים 1 עד 6, כפי שאדוני ציין.
ראובן אידלמן
¶
אולי נתייחס לדרישות שבהמשך? לדרישות שבתוספת? ברשות הוועדה, כי נמשיך רגע לדרישות הנוספות.
ראובן אידלמן
¶
אוקיי, הסיבה שזה מוגדר, קודם כל זה בנוי בצורה של תוספת, זה בגלל שיש הפנייה לתקנות אבטחת מידע, מחקיקה ראשית אי אפשר להפנות לתקנות, זה עניין טכני.
הדרישות שמופיעות כאן זה להעביר לנו דברים שממילא בעל המאגר מחויב לעשות.
ראובן אידלמן
¶
לא, מסמך הגדרות מאגר יש חובה לעשות. הבחינה לפי תקנה 2(ג), היא חובה לבדוק אחת לשנה האם אין מידע עודף במאגר. זו חובה שקיימת היום בתקנות.
היו"ר שמחה רוטמן
¶
אני מבין. האם עכשיו שעברנו לחובת יידוע, אתם אמורים לקבל מהמאגרים הרשומים האלו, כל פעם שאני עורך בחינה לפי תקנת 2 (ג) לתקנות?
היו"ר שמחה רוטמן
¶
קודם כל זה לא רשום עכשיו. כרגע מה שרשום זה שבשנייה שהורדנו את חובת הרישום מאגר, הוספנו חובת יידוע, ואתם תטבעו בניירת של מסמכי בחינות אחרונות כל פעם שנערכת בחינה אתם אמורים לקבל עותק שלה.
רחל ארידור הרשקוביץ
¶
אבקש לחשוב על היבטי הגנת הסייבר, ברגע שהדברים האלה יתחילו להישלח לרשות, אלה דברים שיש בהם חולשות ברורות של מאגרים שלא כדאי שהם יסתובבו כך ברמה גבוהה.
היו"ר שמחה רוטמן
¶
בוודאי שהם מסתובבים. קודם כל כרגע זה מנוסח שכל פעם חובת הרישום מתחדשת והיא לא חד פעמית בהקמת המאגר. אבל ממילא אם זה חד פעמי בהקמת המאגר, כשהקמתי מאגר, עוד אין לי בחינה אחרונה לפי 2(ג) לתקנות. כי אני לא - - -
ראובן אידלמן
¶
קודם כל זאת חובה שאם זה יעבור ככה, אז החובה תחול על הרבה מאגרים קיימים – פעם ראשונה. פעם שנייה, כשמאגר מגיע אולי ל-100,000, זה אולי התסריט היותר צפוי. זה לא מאגר חדש.
היו"ר שמחה רוטמן
¶
אני רוצה להקים מחר בבוקר מאגר שיאגור מידע על 500,000 איש. מחר בבוקר הוא מתחיל לפעול. מאיפה יש לי את ה-500,000? קל מאוד, אני עושה scraping על 500,000 איש מחר, ומיד מתחיל לעבד את זה. אין לי בעיה להשיג את המידע. המידע יושג בקלות ממקורות גלויים, אוקיי?
מסמך הגדרות מאגר, אני צריך לעצמי, בסדר גמור, אין בעיה, בהנחה שאני מעביר אותו אליכם וזה טוב שאני מעביר אותו אליכם. בעניין של סייבר וכולי, צריך להתווכח ולדון – בואו נניח שזה בסדר שאני מעביר אותו אליכם בפעם הראשונה.
היו"ר שמחה רוטמן
¶
שנייה. אני חייב לומר לכם שגם למסמך הגדרות מאגר יש בעיית סייבר. היא לא כל כך גדולה, אבל כשאתה יודע מי הם המורשים, אתה יכול לעשות עליהם את ההנדוס לאחור ולדעת את האנשים, מה השם של הכלב שלהם לפי זה ולמצוא את הסיסמה.
דלית בן ישראל
¶
לא רק זה, כי יש שם רובריקה שצריך לפרט את הסיכונים בתוך מסמך הודעות מאגר. וזה לא משהו - - -
היו"ר שמחה רוטמן
¶
אז אני אומר: רק רגע, בואו נניח שאת הבעיה של מסמך ההגדרות, ירדנו, או שנבוא ונגיד: פריטים מסוימים מתוך מסמך ההגדרות. בוא נניח שעליו התגברנו. ממצאי הבחינה האחרונה – זו ודאי בעיה, ושוב – גם היא לא קיימת, עוד לא קיים שנה, לא עשיתי שום בחינה. להפך, אתה לא רוצה שבן אדם יחכה שנה עד שהוא יירשם לך.
היו"ר שמחה רוטמן
¶
רק רגע. סקר הסיכונים – כנ"ל. תוצאות מבדקי חדירות האחרונים – כנ"ל אותו דבר, פירוש שכשאני מקים מחר את המאגר, אין לי עוד סקר סיכונים אחרון.
היו"ר שמחה רוטמן
¶
מתי? אבל אני רשמתי, עכשיו אין לי. דיווחתי, עכשיו אין לי. ביום הראשון להקמת המאגר דיווחתי, לא עשיתי סקר סיכונים, נכון? אני לא אמור לעשות סקר סיכונים על היום הראשון.
ראובן אידלמן
¶
זאת הפרשנות של הרשות את תקנה 5(ג) לתקנות אבטחת מידע. כתוב שכשבמאגר שהוא ברמת אבטחה גבוה – וכל המאגרים שאנחנו מדברים עליהם כאן הם נכנסים לקטגוריה הזאת, כי זה רק מאגרים בעלי מידע ורגישות מיוחדת ומעל 100,000 – בעל המאגר אחראי - - - ההנחה היא שצריך לעשות את זה בהתחלה. בוודאי לא אחרי שנה.
היו"ר שמחה רוטמן
¶
כתוב בתקנות: אחת ל-18 חודשים לפחות. להפך, לא יכול להיות שאכין מסמך הגדרות, כל הפרשנות הפשוטה של הסעיף הזה, זה שאני מכין מסמך הגדרות ואז בסקר הסיכונים אני בודק אם אני צריך לעדכן את מסמך ההגדרות. אז אם אני אעשה את שניהם ביום הראשון, אז אני אעדכן את מסמך ההגדרות. אז אעשה את שניהם ביום הראשון, אז לא אעדכן את מסמך ההגדרות על בסיס סקר סיכונים.
היו"ר שמחה רוטמן
¶
זאת אומרת שאני לא עושה סקר סיכונים ביום הראשון להקמת המאגר. ביום הראשון להקמת המאגר אני רשמתי לך איזה סיכונים אני חושב שיש ומהם דרכי ההתמודדות שלי איתם. אחרי 18 חודשים אעשה סקר סיכונים או אחרי 12 חודשים. אותו דבר תוצאות מבדקי חדירות האחרונים שנערכו לפי תקנה 5(ד) לתקנות ככל שחלה חובה לעורכם. עוד לא דיברתי על סכנות הסייבר שהדבר הזה מייצר. אני אומר ולו ברמה שאני רושם בתקנות ובתוספת שתגיש מסמכים לא קיימים, שזה קצת בעיה. ולהפך, אני מייצר סיטואציה שבה בן אדם יגיד: אוקיי, אז עד שאני לא עושה סקר סיכונים, 18 חודשים אחרי הקמת המאגר, אני גם לא אדווח לכם כי אין לי מה לדווח, אז אני מחכה. וכשתשאלו אותו למה הוא לא דיווח, הוא יגיד: כי כתבתן שאני צריך להגיש סקר סיכונים, ואין לי עוד סקר סיכונים, סקר סיכונים יהיה לי רק בעוד 18 חודשים ואז אגיש לכם ואז גם אדווח לכם ואז אהיה בסדר גמור. כי אתם לא רוצים לייצר חובת רישום מתמשכת. בקיצור, אתם דורשים פה מאנשים לדווח על משהו לא קיים, שהדיווח עצמו מייצר סיכוני אבטחה רציניים. ואיסוף המידע הזה מייצר סיכוני אבטחה אצלכם. ואני לא מצליח להבין איך מצמצום חובת הרישום, רשמנו בפנינו את חובת הצמצום.
ניר גרסון
¶
אדוני, בוא נתחיל מהסוף – לגבי סיכוני סייבר שיש בעצם הדיווח לנו, יכולים להיות, זאת המומחיות שלנו, וזה גם לא משהו שממציאים. בעולם ב-GDPR החקיקה הדומה היא חובת היוועצות עם רשויות. חובת היוועצות אחרי עריכת תסקיר. היא כוללת משלוח תסקיר שכולל את סקר הסיכונים לרשויות.
ענר רבינוביץ
¶
זו רשות מאוד מצומצמת, במקרים מאוד מצומצמים, עוד יותר מצומצמים מהמקרים שבהם חובה לערוך DPIA. כלומר זה קיים.
היו"ר שמחה רוטמן
¶
עורך הדין גרסון, עוד לא התחלתי לקרוא את סעיף ב'. סעיף ב' אומר שכאשר אני רוצה לעשות את זה על מאגר מידע חדש או רגישות מיוחדת על אודות 500,000 אני צריך להעביר את זה 45 ימים לפני תחילת עיבוד המידע במאגר, שזה בכלל נפלא.
היו"ר שמחה רוטמן
¶
זה עזוב, זה החלק היותר פשוט. בקיצור, חברים, למעגל אין קצה. אי אפשר. אתם מבקשים מידע לא קיים 45 יום לפני שהוא בכלל לא קיים. יש פה מומחה אבטחת פרטיות, נכון? מישהו שילמד אותי איך עושים במאגר מידע חדש, כי מילא מאגר מידע שאתה אומר שעולה מ-400 ל-500, אני מבין, אבל במאגר מידע חדש, איך אני עושה מבדקי חדירות וסקר סיכונים, 45 יום לפני שאחסנתי את המידע במאגר או - - -
ראובן אידלסון
¶
ככתוב "ככל שחלה חובה לערוך". זה ברור ש-45 יום לפני עוד לא חלה החובה לערוך. לכן זה כתוב.
היו"ר שמחה רוטמן
¶
חברים, שורה תחתונה: לא יכול להיות. לא יכול להיות. המטרה שלנו פה, אני נותן לציבור, לנו, את ההקלה הרגולטורית שנדרשת ואת המעבר לעולם של יידוע במקום רישוי למעשה. דרישות היידוע שאתם מבקשים הם חמורות בהרבה מדרישות הרישוי שביקשתם. לא שאני כזה מבין, יש פה מבינים יותר גדולים ממני, אבל אני לא חושב שיש להם אח ורע בעולם.
היו"ר שמחה רוטמן
¶
אבל אתה אומר עכשיו על כל מי שמחזיק מאגר מידע, כל מי שמחזיק מידע בעל רגישות מיוחדת שזה פחות או יותר הכול, מעל 100,000 איש. זה כל השוק. אלה דרישות גדולות מאוד מאוד מאוד.
ניר גרסון
¶
וסליחה אדוני, באירופה יש הרי את כל מה שאין אצלנו – לא עקרונות עיבוד, לא בסיסי, לא סמכות - - -
גלעד סממה
¶
אני לא מסכים שזה חל על כל השוק. כשאנחנו מדברים על רגישות מיוחדת פלוס 100,000 ומעלה, אנחנו מבינים את הכיוון שאדוני מעוניין בו. אנחנו מבינים על הפרטים של 1 עד 8, למעט 7, והפרטים האחרים בסימן שאלה. הבנו.
היו"ר שמחה רוטמן
¶
אתם תעשו את שיעורי הבית שלכם. אני רק אומר שאת עותק מסמך הגדרות המאגר, אני עוד מבין.
היו"ר שמחה רוטמן
¶
יש בזה סיכונים, אבל יכול להיות שאפשר לתת לזה איזשהו מענה. שאר הדברים - - - חברים, אתם תטבעו במידע. באתם לדבר על מיקוד וכולי, אתם תטבעו במידע. במסגרת הפרטים הנוספים, תבקשו מה שאתם רוצים. תשלחו פקח שיסתכל על מה שהוא רוצה.
דן אור-חוף
¶
עוד נקודה ספציפית, זה לגבי סעיף 2 ברשימה של סוג השירות המחזיק במאגר. זה כמובן לקוח עוד מהדין - - -
דן אור-חוף
¶
פרט (א2), סוג השירות שנותן המחזיק במאגר לבעל השליטה בו. זה סעיף שלקוח מן הסתם מהחוק הקיים והוא נכון ל - - -
ניר גרסון
¶
סליחה דן שאני קוטע, זה התכוונו מבקשת הרישום, פרטי הבקשה, זה התיקון לחוק. למחוק את זהות המחזיק בבקשות רישום. תראה, זה בסעיף - - -
ניר גרסון
¶
ואת שמות המחזיק, הבנו שיש קושי למחוק, אבל של איזה שירותים של המחזיקים. אפשר לשנות את זה לזה ל"המחזיקים" ולא "המחזיק".
היו"ר שמחה רוטמן
¶
שנייה, בכל מקרה חשוב לי מאוד להבהיר את נושא הזמנים פה. כי אם אנחנו מייצרים פה חובת יידוע, יש פה, צריך לדעת אחת לכמה זמן. אז להגיד פעם רישום, אתה עושה פעם אחת, ואז כל פעם שיש שינוי אתה חייב לעדכן. ככה עובד רישום בדרך כלל. יידוע, אתה מיידע פעם אחת, ואז מה? ומאחר והדברים האלו לפעמים יכולים להיות דינאמיים במהלך חיי מאגר, עד עכשיו אני עשיתי את זה בעצמי, עכשיו החלטתי להעביר את זה למחזיק. עד עכשיו החלטתי שאני לא מעביר אל מחוץ למדינה, פתאום אני מחליט שאני מעביר אל מחוץ למדינה. צריך כאן לייצר איזשהו מנגנון, שוב, לשיעורי הבית שלכם, כששינוי מהותי צריך ליידע. צריך לתת לזה איזשהו מענה, אחרת אנחנו - - -
קיבלתם את הערותיי, תחשבו עליהם ותגידו מה אתם רוצים. לגבי ג', ראש הרשות רשאי – על א' ו-ב', שמעתם את הערות הוועדה. ועכשיו לעניין ג' – ראש הרשות רשאי מטעמים מיוחדים שרשומים לפטור בעל - - - מאגר מחובת דיווח לפי סעיפים קטנים א' ו-ב'. למה? מתי אתם חושבים שתצטרכו את זה?
היו"ר שמחה רוטמן
¶
לא, אם אנחנו מדברים על דיווח במובן של "תעדכן כל פעם", אז זה ודאי רלוונטי. אם אנחנו מדברים על הדיווח הראשוני, באמת איך יודעים בלי לדעת?
היו"ר שמחה רוטמן
¶
כלומר, אתם תוכלו להוציא אחר כך – אבל זה לא מטעמים מיוחדים של ראש מורשה, את מקל, אתה מפרסם הנחייה לשוק, אתה אומר: נניח שאתם תגיעו למסקנה אחרי שנתיים שאתם חושבים שהמספר צריך לא להיות 100,000 אלא 500,000 או 300,000.
היו"ר שמחה רוטמן
¶
אבל אתה לא יכול לתת פטור מטעמים מיוחדים שיירשמו מדיווח כשאתה לא יודע שבן אדם קיים.
ניר גרסון
¶
הכוונה היא, אם זה סוג, עמית יוכל להרחיב. זה לא - - - נמצא בסמכות הרשם, ראש הרשות. אבל גם אין לי דוגמה, האמת, אין לנו דוגמה כרגע, זה נועד לאפשר לנו את הגמישות. אתה יכול לדעת שהוא קיים בלי הדיווח המלא, אלא רק פונים ופונה בעל המאגר ומעדכן עדכון הרבה יותר קצר ומשכנע אותנו שאין צורך בדיווח. זה נועד לאפשר לנו גמישות. אם אדוני חושב שאין לזה מקום – זה רק נועד להקל על השוק, שבאמת זה לא - - -
היו"ר שמחה רוטמן
¶
הייתי מוכן לחשוב שיושב-ראש הרשות רשאי בהנחיות לקבוע כי סוגי מאגרי מידע מיוחדים לא יהיו חייבים בדיווח. נניח שאתם תחליטו שמידע פלילי לא צריך דיווח או שתחליטו שמידע פלילי המידע הוא 300,000.
היו"ר שמחה רוטמן
¶
סוגים מסוימים, פטורים מסוגים, אני יכול להבין. אבל פטור פרטני מטעמים מיוחדים שיירשמו, איך תעשו את זה?
היו"ר שמחה רוטמן
¶
אם אני נותן לכם את הסמכות לזה, אז הכול בסדר, אם אני לא נותן לכם את הסמכות לזה, אז אני לא. אני לא נותן לכם את אפשרות להחמיר. אני נותן לכם אפשרות להקל על השוק אם הגעתי למסקנה שיצטברו עליכם המון דיווחים, נפרץ הסכר ופתאום אתם רואים שאתם מקבלים מיליון דיווחים שבכלל לא חשבתם שאתם צריכים לקבל, ואין לכם מה לעשות איתם והם לא מעניינים אתכם, ואתם אומרים: יאללה חבר'ה, אנחנו רוצים להודיע לכם שאם אתם מוסד פיננסי, תעזבו אותי ב"אימא שלכם", סומך מספיר על זה שאתם מפוקחים על ידי המפקח על הבנקים, לא רוצה לקבל את המידע שלכם. תעזבו אותי. וואלה בסדר. אז אני רוצה לתת לכם את הסמכות להוריד את הרגולציה הזאת, שלא ידווחו לכם פעמיים, שלא ישגעו אתכם, שלא תצטרכו להתעסק עם דיווחים מיותרים, שלא תטבעו – מוכן לתת לכם את זה. שוב, אני מבחינתי, הסיבה היחידה שאני מכניס פה חובת דיווח זה כי אתם ביקשתם. הייתם אומרים לי גם בלי דיווח, אני לא הייתי מתעקש על הדיווח הזה.
אני מוכן לתת לכם את האפשרות לפטור סוגים. לפרסם ברשומות את הפטור, כדי שזה לא יהיה מפה לאוזן. לקבוע בכללים, השר. תחשבו על מנגנון, אני מבין את זה. אבל טעמים מיוחדים שיירשמו? אני לא חושב שצריך שר. אני חושב שאם אני מסמיך, ראש הרשות רשאי לפרסם סוגים מסוימים, פטורי סוג כאלו. אני מוכן לתת לכם את זה. אבל - - -
ראובן אידלמן
¶
אנחנו לא מתנגדים לוותר על הסעיף הזה. המטרה הייתה שתהיה אפשרות להקל. אבל אם הוועדה סבורה שלא - - -
היו"ר שמחה רוטמן
¶
אני בעד שתקלו לסוגים ולא לפרטני, כי להקל פרטני אתם לא יכולים. אני חושב שאתם יכולים להקל פרטנית - - -
היו"ר שמחה רוטמן
¶
כן, בדיווחים החוזרים, כשתצטרכו לנסח סעיף לחוזר ולזה תייצרו פטור. כאילו: אוקיי, נרשמת, דיווחת – אל תשגע אותי יותר.
אמרתי שאם יש שינוי מהותי בזה - - -
היו"ר שמחה רוטמן
¶
אם הוא מעביר לעיבוד. אני יודע מהמאגר שאתה מחזיק. עכשיו כל פעם שתפעיל עיבוד חדש, אתה צריך לדווח לי? לא, לא צריך לדווח, לא יודע. אבל הם עוד לא ניסחו את הסעיף הזה, אי אפשר להתווכח עליו.
נעמה מנחמי
¶
בסעיף 9(ד), יש סעיף דומה, לגבי רישום שבו "בעל שליטה במאגר מידע ומחזיק, יודיע לראש הרשות על כל שינוי בפרט מהפרטים המפורטים בסעיף קטן ב' ולפי סעיף קטן ג', ועל הפסקת פעולתו של מאגר המידע הזה".
עמרי רחום טוויג
¶
סליחה, לגבי היידוע השוטף, הרעיון ביידוע – למרות שאפשר היה לוותר לחלוטין גם על יידוע – היה לתת איזשהו מפתן, לסמן סט של בעלי שליטה במאגרים שהרשות אולי יש לה עניין מיוחד בהם. היא כבר נמצאת אצלם. אז למה צריך להמשיך לעדכן את זה?
היו"ר שמחה רוטמן
¶
יכול להיות מצב, נניח שאם אתה עושה את כל העיבוד אצלך, אתה מעורר אצלי רמת סיכון איקס, אוקיי? ואם אתה עכשיו החלטת שאתה מתחיל לעשות מיקור חוץ לכל פעולות העיבוד ל-15 גופים - - -
היו"ר שמחה רוטמן
¶
לא, ל-15, בכלל, החוצה. ולדוגמה אתה מעורר רמת סיכון זד, אני לא יודע את הכול, אבל אם החלטנו – שוב, עוד לא עברנו על הפרטים מה מדווחים ומה לא כי הם אמרו שהם יעשו על זה שיעורי בית ואנחנו נדון בזה בהמשך, לכן חבל שנדון בזה עכשיו תיאורטית.
אני אומר כעניין עקרוני, עד עכשיו אתה החזקת מידע מסוג מסוים והחלטת להתרחב ולהחזיק עכשיו מידע גנטי – אז אני רוצה לדעת את זה. זה שאתה דיווחת לי פעם על מאגר, לא נותן לך עכשיו שאתה פועל בסדר.
עמרי רחום טוויג
¶
אני מבין את זה נכון, אני רק אומר שמכיוון שהכוונה הייתה להקל רגולטורית על השוק ולא לחייב כל שלושה אלא גופים מסחריים משנים כל מיני דברים בעיבוד - - -
היו"ר שמחה רוטמן
¶
גלעד, לכן אמרתי – כי אני לא רוצה שנדון בדבר הזה חמש פעמים, נדון בזה אחרי שהרשות תכין על זה שיעורי בית – שיהיה צריך לייצר איזשהו רף מהותי מסוים ששינוי מעליו צריך דיווח חדש. וזה כדי לא להפוך את זה מצד אחד לדיווח איטי, ולא שכל דבר - - - מצד שני, זה הם ייצרו את הרף, ואנחנו נדבר עליו כשיהיה לנו טקסט להתייחס אליו. הכול בסדר.
כן הייתי רוצה שיהיה לכם את האפשרות לעשות "פטור סוג", תתייחסו לזה, ומדיווחי המשך. "השר רשאי לקבוע הוראות לעניין אופי הדיווח - - - " – בסדר, זה לא.
לירון מאוטנר לוגסי
¶
אנחנו חושבים שאופן הדיווח זה יחסית דבר יותר טכני. לכן זה היה נראה לי פחות מהותי לאישור הבקשה.
היו"ר שמחה רוטמן
¶
אז אולי זה לא צריך להיות השר גם. אם זה באמת טופס, אז השאלה היא האם זה טופס מחייב או טופס לא מחייב, יש לזה כללים.
עמית יוסוב עמיר
¶
ברגע שמדובר בהוראה שמחייבת ציבור בלתי מסוים, תקנה בעלת פועל תחיקתי ולכן מקובל - - -
נעמה מנחמי
¶
אני מציעה לחשוב על איך אנחנו עושים את זה כסעיף אחד ולא הופכים את זה, כלומר, נכנסים דרך (ג1) שנמצא שם ולא כותבים עכשיו עמוד וחצי מיוחדים לדיווח. אנחנו קצת מאבדים טיפה את - - -
נעמה מנחמי
¶
(ג) היא חובת הרישום, ו-(ג1) זה חובת הדיווח שהיא מגיעה מיד אחרי (ג), היא אמורה לפחות לעסוק באותם פריטים. גם אם יש שינוי - - -
היו"ר שמחה רוטמן
¶
טוב, (ה): "הממונה רשאי מטעמים מיוחדים שיירשמו להורות כי מאגר מסוים שלא חל עליו חובת רישום יהיה חייב ברישום".
ראובן אידלסון
¶
בעצם זה סעיף שקיים גם בחוק הקיים והוא גם קיים בהצעת החוק הממשלתית, לא חידשנו בעניין הזה. שוב, כאן המטרה היא שבעצם אנחנו מקבלים במסגרת חובת היידוע מידע על מאגר שנניח מצריך תשומת לב מיוחדת, כדי שלא נהיה חייבים לנקוט תהליך אכיפה, מה שהוא לא בהכרח לטובת אותו בעל מאגר, נוכל גם לבוא ולהגיד: זה מאגר מיוחד שהוא מצריך - - -
ראובן אידלמן
¶
אני מבין, השאלה מה תועיל ההוראה על כך שזה מצריך רישום. כיוון שהשלב הבא יהיה בקשת רישום ואז במסגרת בקשת הרישום, הרשות יכולה כפי שהיא עושה היום להנחות את הגוף מה הוא יכול לעשות כדי לקיים את הוראות החוק בלי שזה יהיה הליך אכיפה.
היו"ר שמחה רוטמן
¶
אבל זה ה"אמ-אמא" של הליך האכיפה. אתם אומרים לו שאסור לו להחזיק את המאגר עד שהוא מקבל מכם אישור – מה יותר אכיפה מזה? אני לא מכיר משהו שהוא יותר אכיפתי מזה, זה הכי אכיפה שיש. ואיך זה שונה מסעיף 4 אז הקודם שהיה לנו?
היו"ר שמחה רוטמן
¶
רק רגע, מה ההבדל בין מה שרציתם בסעיף 4 שאומר: מצאתי, שלחת לי הודעת דיווח, ואני ראש הרשות. מצאתי שאדם מעבד מידע במאגר מידע בניגוד להוראות הסעיף, ואני מודיע לך שמעשיך מהווים הפרה ואני מורה לך להפסיק את הפרה. אתה בעצם אומר לו: לא מצאתי, אבל אני מורה לך להפסיק את ההפרה כי לא מצאתי. כי אני לא רוצה לנקוט נגדך הליך אכיפה, אז אני נוקט נגדך הליך אכיפה שאסור לך להחזיק את המאגר.