פרוטוקול של ישיבת ועדה
הכנסת העשרים-וחמש
הכנסת
35
ועדת החוקה, חוק ומשפט
21/01/2024
מושב שני
פרוטוקול מס' 233
מישיבת ועדת החוקה, חוק ומשפט
יום ראשון, י"א בשבט התשפ"ד (21 בינואר 2024), שעה 12:00
ישיבת ועדה של הכנסת ה-25 מתאריך 21/01/2024
חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024
פרוטוקול
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
מוזמנים
¶
שירה גרטנברג - ייעוץ וחקיקה, משרד המשפטים
עמית יוסוב עמיר - עו"ד במחלקת ייעוץ וחקיקה, משרד המשפטים
לירון מאוטנר לוגסי - עו"ד, משרד המשפטים
גלעד סממה - ראש הרשות, הרשות להגנת הפרטיות
לינא כמאל טרודי - הממונה על האכיפה המנהלית, הרשות להגנת הפרטיות
רביד פטל - הממונה על מערך פיקוח הרוחב, הרשות להגנת הפרטיות
ניר גרסון - ס' מנהל מחלקת יעוץ משפטי ואסדרה, הרשות להגנת הפרטיות
דן אור-חוף - חבר המועצה, הרשות להגנת הפרטיות
ראובן אידלמן - יועמ"ש, הרשות להגנת הפרטיות
רחל ארידור הרשקוביץ - חוקרת, המכון הישראלי לדמוקרטיה
עמית זילברג - יו"ר העמותה למלחמה בספאם
שחף קצלניק - יועץ משפטי, התאחדות התעשיינים
נועה דיאמונד - מנחת הקליניקה לפרטיות, אוניברסיטאות ומוסדות אקדמים
ליאור אתגר - שותף, ראש מחלקת הגנת הפרטיות
דלית בן-ישראל - שותפה ראש תחום פרטיות
איה מרקביץ - Privacy Director בחברת PrivacyTeam
ענר רבינוביץ׳ - מנכ״ל
עמרי רחום טוויג - שותף, מחלקת סייבר וטכנולוגיות מידע
אייל שגיא - שותף
רישום פרלמנטרי
¶
הדס צנוירט
רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
¶
שלום רב, אני מתכבד לפתוח את ישיבת הוועדה. על סדר-היום: הצעת חוק הגנת הפרטיות (תיקון מס' 14). מאחר שזה הדיון הפומבי הראון היום, נזכיר את חלל צה"ל אוריאל אביעד שעל נפילתו שמענו הבוקר. נשלח מפה ניחום למשפחה והחלמה לפצועים. נקווה שזה לבל יהא עלינו הרגל חלילה וחס. אנו צריכים לוודא שזה לא יקרה עוד.
אני מזכיר, כמו בכל תחילת דיון בתיקון מס' 14 שאנו מנהלים את הדיון בתיקון נס' 14 גם בזמן המלחמה לבקשת המל"ל לאור ההשלכות שיש לתיקון הזה על ביטחון המידע של אזרחי מדינת ישראל והאפשרות להתמודד עם מתקפות הסייבר ואובדן המידע.
אנו נתחיל – אני מזכיר שיש בקשה לדון בסמכויות, אני מודע לה. מהיכרותי את הדנ"א של הדיונים זה לא יהיה יעיל. אני מכיר את האילוצים. כל הזמן נחזור אחורה ונשאל איך יעשו שימוש בסמכויות האלה ונצטרך – לפעמים יש דרך קצרה או ארוכה, ארוכה או קצרה. זה לא דבר שניתן לעשות, בטח בשלב שבו אנו נמצאים. נתאמץ כמה שניתן. מה שיהיה יהיה מה שנקרא. גברתי היועצת המשפטית, תזכירי לנו איפה אנחנו.
נעמה מנחמי
¶
אנו עדיין עם כמה נושאים מההגדרות שנשארו פתוחים. פרט 13 של מידע בעל רגישות מיוחדת – פעם אחרונה הוועדה דנה בפרט הזה, ובין היתר סברה שכן נכון להכניסו בסופו של דבר, ולהקנות לשר המשפטים סמכות באישור ועדת החוקה להוסיף עוד נושאים שייחשבו מידע בעל רגישות מיוחדת. הנוסח המוצע בפני הוועדה - אפשר לחשוב אם אנו עושים את זה כצו, תקנות, תוספת. בדיון הקודם הייתה מחשבה על לעשות זאת כתוספת. למרות הוספת הצו, משרד המשפטים כן מבקש מהוועדה לשקול שוב נושא של הוספת הוראת השעה בנוסף כדי- -
נעמה מנחמי
¶
דנו בסעיף 8, ביחס לעיבוד מידע שנוצר, התקבל, נצבר וכו' בניגוד להוראות החוק. אני כן רציתי לדייק קצת את הנושא של מהן הוראות החוק בהקשר הזה. יש פה שתי שאלות לגבי הסעיף הזה: אחת, למה הממשלה בחרה כסעיף הגנות, רק את הגנת השוק. אולי נדייק זאת ולא למשל הגנות נוספות שנמצאות בסעיף 18 יחד עם הוראת לא ידע ולא יכול היה לדעת. שאלה נוספת עוסקת בשאלה, מהן הוראות החוק שבגללן המידע הכלול התקבל, נצבר או נאסף בניגוד להוראות החוק. מהן הוראות החוק שאותן עשויים להפר במצב כזה.
עמית יוסוב עמיר
¶
שלום, קודם כל, לשאלה השנייה, הוראות החוק הזה או חוקים אחרים שמסדירים עיבוד מידע הן הוראות מהותיות שקובעות איסור על פעולה מסוימת כאשר המידע נאסף או נצבר או נוצר תוך הפרה שלהם. ההוראות יכולות להיות ההוראות המהותיות של פגיעה בפרטיות לפי סעיף 2 שעליהם חלות ההגנות לפי סעיף 18. יכולות להיות הוראות בפרק ב עצמו למשל סעיף 11 מתן הודאה או סעיף 13, פחות רלוונטי, או סעיף 14, מתן זכות תיקון. יכול להיות הוראות חלק ד' - העברת מידע בין גופים ציבוריים אם נעשתה שלא כדין. יכולות להיות הוראות אחרות – חוק שירות המידע פיננסי, חוק נתוני אשראי שקובעות לדוגמה – יש עוד כל מיני הוראות בספר החוקים שקובעות הוראות בעניין מידע והפרה שלהן, צבירת מאגר ומידע תוך הפרת ההוראות האלה נכנסת לגדר הסעיף כאן.
נעמה מנחמי
¶
השאלה שלי, כמה מסך המאגרים היום נצברים, נאספים או מתקבלים, בשים לב נגיד להוראות סעיף 11 שעליו דיברת לעומת המאגרים שחל רק כאשר יש פנייה לקבלת המידע? וכמה מהמאגרים נאספים, נצברים וכו' בלי שנעשית פנייה היום? האם אנחנו – סליחה על השאלה - לא קצת עובדים על 5% או 10% של מאגרי המידע כשרוב מאגרי המידע בכלל לא נכנסים תחת הדרישות של החוק כי החוק לא מתייחס אליהן?
עמית יוסוב עמיר
¶
קודם כל, אזכיר את המקום שבו אנו נמצאים מבחינת הדיון. בדיון הקודם, למיטב זיכרוני, סוכם נוסח, שכבר נדון בישיבות מוקדמות יותר, תוך שהממשלה התבקשה להוריד את נושא המחזיק, מתוך תפיסה שהוצגה פה על ידי מספר גורמים שיושבים גם אתנו היום, לגבי היחסים בין בעל שליטה במאגר מידע למחזיק בו וחלוקת התפקידים המקובלת ביניהם.
היו"ר שמחה רוטמן
¶
דיברנו על 11, והתחלנו לדבר על 12. סעיף 11 - דנו בדיון בפעם הקודמת, לגבי איך פונים לפי סעיף 11, מה המטרה שלשמה מבוקש המידע ונחיצותו למטרה וכו'. השאלה שנעמה מתייחסת אליה – דיברנו על זה, אבל המאגרים היום בעצם, רוב המידע שמוחזק בהם, ודיברנו על זה גם בדיון לפני שבועיים, הרבה מאוד מאגרים, לא נעשתה מעולם פנייה לאדם בעניינם לטובת החזקתו במאגר או העיבוד. ואז נשאלת השאלה, כשאנו מדייקים פה את ההגדרה, מה גודל הקבוצה. על מי אנו מתכוונים בפנייה וממילא כשעברנו ממודל, מהדיון הקודם לחובת רישום, עברנו לחובת יידוע או חובות אחרות, והורדנו את חובת הרישום, האם באנו ואמרנו: כל מאגר שלא נעשתה בעניינו פנייה, שזה אולי רוב המאגרים, הם גם לא פנו בעניינם, הם גם לא רשומים בשום מקום, גם לכאורה פעם ראשונה שנידרש בעניינם תהיה השאלה האם המידע שאצלם נאסף, נאסף בניגוד לדין? ואז ממילא מרכז הכובד של החקיקה בגלל השינויים שעשינו בדיון הקודם עובר לסעיף האופרטיבי 8. לכן אמרתי שאני לא רוצה לעבור לסעיפים הנישתיים או העיצומיים כי תמיד נחזור לסעיף 8, ונשאל עצמנו: פעם החזקת מאגר בלי רישום – ידעתי לבוא אליך בטענות. ניסית לרשום מאגר לשיקול דעתו של ראש הרשות, הוא עברייני, אז לא יכולת לרשום והיה נטל, היה עליך להראות שמותר לך לאסוף את המידע. ועכשיו הפוך – הנטל עובר אליכם ואל מחזיקי המאגר אם צריכים לדווח על דברים מסוימים, לשאול מה ההוראות האופרטיביות. עכשיו אני צריך לשאול עצמי, כשאומרים: אסור לעבד מידע אישי אם הוא נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד כל מידע, נשאלת השאלה האם כשאספתי מידע לפי סעיף 2 שאיכשהו צלחתי את ההגנות של סעיף 2, בשנייה שעשיתי זאת, ברטרו, לפני, תוך כדי, אומר לי שמותר לי עכשיו להקים מאגר מידע בלי שום פנייה לנושא המידע? למשל, נניח שעכשיו יש המון מידע אישי ורגיש, שנאסף ונצבר כדין אצל לצורך העניין מפקד כוחות חילוץ והצלה של עוטף עזה. יש לו. ויכול להיות שהוא בן אדם עם חוש היסטורי ועשה יומן ורשם כל בוקר או כל שעה: היום הייתי בבית של משפחת זאת וזאת, ראיתי כך וכך, והיה שם כך וכך ורשם את הדברים לעצמו. לכאורה זה מטרה לגיטימית. המידע נחשף אליו במסגרת תפקידו. הוא לא יגלה אותו כרגע לאף אחד אחר שלא מוסמך לדעת או אולי מותר לו לספר את הדברים – לא יודע אם מותר לו לפרסם אותם ברבים – אך מותר לו לספר אותם לאנשים אחרים. לא יודע. צבר זאת באופן כשר. עכשיו השאלה אם מקים מאגר מידע לטובת ההנצחה של אירועי 7.10 ומעלה את כל המידע שצבר כדין, בהנחה שצבר כדין, צילם ברשות הרבים, יש לו מטרה כשרה, לפי סעיף 2. ועכשיו מעלה אותו למאגר מידע. האם עצם הדיגיטציה של המידע הזה מייצרת לי קפיצת מדרגה, או אם אני צלחתי את סעיף 2 אני בסדר גמור ולא חלות עליי מלבד חובות אבטחת מידע לא צריך לפנות לאנשים, לא צריך לבקש רשות ויכול לייצר מאגר מידע על כל משפחות עוטף עזה, שיישב אצלי? קראתי בשבת על מישהו שבנה מאגר על הנופלים והחטופים כנושא שמעניין אותו, אסף את המידע ממקורות גלויים, מידע שפורסם ברבים, ועכשיו אני יכול להכניס שם ולדעת פחות או יותר בדיוק מה קרה לו או לה בעוטף. האם זה בסדר? האם זה לגיטימי? האם צריך הגנה? לא יודע.
עמית יוסוב עמיר
¶
התשובה הקראה היא כן אך אפרט מן הסתם. הסעיף הזה לא נועד ליצור איסורים חדשים יש מאין, כלומר אנו לא מבקשים פה במסגרת התיקון הזה, שלא נועד לשנות את דיני עיבוד המידע בכללותם בחוק הישראלי, לא מבקשים פה עכשיו לקבוע איסורים שלא קיימים בדין כיום לגבי פעולות ספציפיות שנוגעות לעיבוד מידע אך הן ספציפיות ומוגדרות בחוק במפורט. כלומר אם יש פעולה ספציפית שאוסרת על דרך של איסוף, ייצור, צבירת מידע, היא רלוונטית לעניין הסעיף הזה. אם אין שום פעולה כזו - לגבי גופים פרטיים; גופים ציבוריים צריכים לפעול מכוח סמכות, יש חוקיות המינהל אבל לגבי גופים פרטיים מה שלא נאסר מותר.
היו"ר שמחה רוטמן
¶
נקודה חשובה. אתה אומר חוקיות המינהל אבל אם היא הספיקה לי כדי לצלוח את סעיף 2, אני לא צריך עוד הסמכה כדי להקים מאגר מידע?
היו"ר שמחה רוטמן
¶
אתה לא יכול לומר לי את זה, כי המבחן החוקתי לצורך העניין הוא סעיף 2. אם אני צלחתי את הפגיעה בפרטיות לפי סעיף 2, העובדה שאני מקים מאגר מידע ומעביר את היומן בכתב יד שלי ליומן ממוחשב, לא מגדיל את הפגיעה החוקתית, או שכן, ואם כן, איפה הסעיף שאומר את זה?
ניר גרסון
¶
בחוקי היסוד. לפי חוק הגנת הפרטיות עצמו אתה עובר את המסוכה של סעיף 2 אם אתה לא מפר אחת מהחלופות שלו אבל על גופים ציבוריים יש עוד מסוכה שבפרוזדור- -
היו"ר שמחה רוטמן
¶
באמת? בחוק היסוד? סעיף 7 ו-8 לחוק היסוד אומר שכשאדם פרטי עושה דיגיטציה של מידע שהיה אצלו בכתב יד זה פגיעה בפרטיות, אבל כשרשות שלטונית עושה שימוחש, יש פגיעה בפרטיות או אין פגיעה בפרטיות? אני מאוד בעד פרשנות מרחיבה לחוקי היסוד אבל לא מצליח להבין איך הכנסת את זה. אני חייב לומר, כשרשות שלטונית אומרת לי שהיא לוקחת ברצינות חוק יסוד, אני כבר מבסוט כי יש רשויות ששוכחות לפעמים לעשות זאת. זרמנו. יש חשיבות לחוקי יסוד. איפה זה כתוב?
עמית יוסוב עמיר
¶
ברשותך אשיב קודם לשאלה הקונקרטית לסעיף 8א שבפנינו. בסופו של דבר התשובה החד משמעית היא שהסעיף הזה לא יוצר ולא נועד ליצור שום איסור עצמאי עודף על משהו שלא נאסר בחוק אחר.
היו"ר שמחה רוטמן
¶
קיבלתי את התשובה הזאת. בהקשר לזה שתי שאלות: אחת, אם זה המצב, איפה הקולב שעליו אתם תולים את האקסטרה לייר הזה של הרשות הציבורית? אם אנו בעולם של או יש פגיעה בפרטיות או אין לא, והמבחן לפגיעה בפרטיות הוא לא בסעיף 2 כי את 2 צלחתי – איפה כן נמצא? ושאלה שנייה, איפה נכנס לאירוע הזה עיקרון צמידות המטרה? כלומר יכול להיות מצב שמסרתי מידע למטרה מסוימת אבל אם היית מודיע לי שאתה עושה ממנו מאגר מידע שכל אחד יוכל לעשות עליו חיפוש בגוגל, הייתי אומר לך: זה לא המטרה שלשמה נמסר. כלומר האם זה לא דבר שיכול לייצר לי - או צמידות המטרה או הסכמה או יש תפיסה שהם עצמם מייצרים לי קאט?
עמית יוסוב עמיר
¶
עיקרון צמידות המטרה מופיע בחוק היום. אין כוונה לשנותו. יש התאמה למאגרי מידע שאמורה להיות בסעיף 10ב. ביקשנו לדלג בגלל סוגיה אכיפתית כלשהי. כמובן נביא לוועדה נוסח מסודר ומוצע מטעמנו. לצורך העניין התשובה הקצרה היא שעיקרון תקינות המטרה ודאי אמור לחול. פשוט לא 8א אלא סעיף אחר, 10ב.
ראובן אידלמן
¶
גם סעיף 2(9) לחוק הגנת הפרטיות. מי שעושה מה שאדוני תיאר הוא סעיף 2(9) לחוק הגנת הפרטיות ולכן לא צולח סעיף 2.
היו"ר שמחה רוטמן
¶
כלומר אתה אומר: אם לקחתי את המידע ונתנו לי אותו למטרה אחת ואני החלטתי לעשות לו מאגר מידע לטובת תיעוד האירוע, אז אני לא צולח את 2(9).
עמית יוסוב עמיר
¶
הפגיעה בזכות החוקתית לפרטיות היא יותר רחבה במובנים מסוימים מההגנה החוקית בחוק הגנת הפרטיות עצמו שהוא די כזואיסטי. סעיף 2 מסדיר- -
היו"ר שמחה רוטמן
¶
אתה לא חושב שצריך דבר כזה צריך לפרוט פה? כי כשאני אומר: אני רוצה רשות ציבורית ורוצה מאגר – אני עירייה, ואני רוצה להקים מאגר. אתה תגיד לי שאינך נותן לי לרשום אותו כי אתה חושב שאני פוגע בפרטיות יותר מדי לפי מבחן אחר. אני אומר לך: אם הייתי חברה פרטית, היה מותר לי לעשות זאת כי אני מכוסה לפי סעיף 2 על כל סייגיו והגדרותיו אבל בגלל שאני רשות ציבורית אתה אומר לי שאני כן פוגע בפרטיות שאני מאגר אבל אם אני עושה את זה במחברת הקטנה של הפקיד בכניסה לשעה - לא פוגע בפרטיות? מאיפה אני שואב את כל הדברים האלה?
עמית יוסוב עמיר
¶
שוב, העיקרון הבסיסי הוא חוקיות המינהל. כלומר המצב המשפטי של גוף פרטי ושל גוף ציבורי הוא הפוך. גוף פרטי מותר לו לעשות כל מה שלא נאסר עליו במפורש. גוף ציבורי אסור לו לעשות כל מה שלא הוסמך עליו.
ראובן אידלמן
¶
איסוף מידע, פגיעה בפרטיות יכולה להיות כזו שאינה מידתית. לכן רשות ציבורית שפוגעת בפרטיות לרבות בדרך איסוף מידע שאינו מידתי, כן זה הדלתא בין החוק לחוק היסוד כי כידוע כל הרשויות הציבוריות כפופות לחובת המידתיות ולחוק היסוד. כך גם לפי הפסיקה.
היו"ר שמחה רוטמן
¶
זה שלפי הפסיקה כל פגיעה בפרטיות של רשות ציבורית חייבת להיות מידתית זה ברור. זה נכון גם לגבי סעיף 2. אני שואל, איפה האמירה שבשנייה – אני אספר בצורה פשוטה.
היו"ר שמחה רוטמן
¶
אבל אני שם את השסתום על רשות ציבורית בעצם ההעברה למאגר. אז שואל את עצמי, מתי את הפנקס של הפקיד תאשרו להקים מאגר מידע ולהעבירו דיגיטציה ומתי לא, ושואל מאיפה תדעו להפעיל את המבחנים מתי זה נותן אקסטרה ומתי לא, והתשובה: תקרא סעיף 7, 8 לחוק ותבין ואני קורא ולא מבין.
עמית יוסוב עמיר
¶
לא. אנו מדברים על הסמכות - לא להקים מאגר מידע. נכון שיש בכל מיני מקומות בספר החוקים סמכות להקים מאגר מידע. לא בכך מדובר. הסמכות היא מה שנתן המחוקק לאותו עניין. אם המחוקק נתן סמכות לאיסוף מידע, אפשר גם להקים כנראה את מאגר המידע.
רחל ארידור הרשקוביץ
¶
תודה. אני רוצה להמשיך את הדברים של אדוני ולהפנות זרקור לא רק לרשויות ציבוריות אלא גם לחברות פרטיות. סעיף 8א מדיר שינה מעיניי, כי אני חושבת שהבעיות שיגרום - הן גדולות מאוד, ולא חייבים להיכנס אליהן. אסביר.
הסעיף אומר, שכאמור לא יעבד מידע אלא אם כן זה לא לפי חוק זה. אני רוצה לחשוב על מצבים ויש כאלה רבים שבהם נאסף ומעובד מידע וזה לא נופך לגדר סעיף 2 כי אספתי את זה לא ישירות מנושא המידע. עשיתי סקרייפינג מאתר אינטרנט כלשהו, אני לוקחת את המידע, ולא עושה בילוש או התחקות, ולא הודעתי על מטרה אבל הגדרתי אותה לכתחילה בצורה מאוד רחבה שזה עושים היום ואיני יודעת לפי הסעף הזה מה מותר ומה אסור לפי החוק. כל מה שאני יודעה, שהחוק נותן לרשם סמכויות להפרות. החוק דורש ממני לעמוד באבטחת המידע, דורש ממני לתת חובת הודעה - ואיני צריכה לתת אותה כרגע. דורש רישום או דיווח אם אני נופלת לזה. ובגדול יש לי גם זכות תיעוד או זכות תיקון וזהו. ואז יבוא הרשם, ויחליט שמה שעשיתי לא יודעת למה, כי הוא מפרש בהרחבה את החוק – יש פה סמכות מאוד מעורפלת, והוא יגיד לי שזו הפרה למשל אם אני עמותה, לפי מה שיש בפייסבוק על מי שמתנדב לעשות קטיף בחקלאות גיבשתי מאגר מידע של אנשים שמתנדבים. לקחתי את מאגר המידע הזה, והצלחתי לעשות בו שם וטלפון וכתובת אימייל ומקום מגורים או מקום שהתנדבו בו, איגדתי, ועכשיו אני רוצה לעשות בו שימוש, למשל מוכרת אותו לעמותה אחרת שפונה לקבלת תרומות לתושבי העוטף. אין לי פה בילוש או התחקות, אני עומדת במטרה לא צריכה לתת הודעה. לכאורה הכול מותר, אם אני מבינה. אני לא עושה שום דבר מנוגד לחוק.
יש לזה כמה משמעויות. אחת, שהגנת הפרטיות די נמוכה כי הכול מותר כי לא כתוב לי שזה אסור. שתיים, שיש לי סמכות של ראש הרשות או של הרשות שאני לא יודעת לשם מה מפעיל אותה מעבר לתקנות אבטחת מידע, דיווח או רישום וחובת הודעה וזכויות תיקון ועיון. אז המשמעות של הסעיף הזה יוצרת יותר חוסר מאשר יתרון, מבחינת הגנת הפרטיות. יש פה יותר ערפול מאשר תוכן. וכל עוד לא שמים בסיסים לגיטימיים וזכויות מהותיות, שלפיהם אפשר לדעת גם בשוק הפרטי מה מותר ומה אסור, איני רואה סיבה, להכניס את הסעיף הזה. אם התכנסנו פה לבקשת המל"ל כדי לתת אפשרות להילחם בכל מתקפות הסייבר, נוריד את הסעיף הזה או ניתן לו תחולה מותנית עד שתכניסו בסיסים לגיטימיים וזכויות מהותיות, ונמשיך הלאה עם סעיפי האכיפה המינהלית. כי פה ניתנת סמכות אכיפה מינהלית, ואם אני ממשיכה את השאלה השנייה של היועצת המשפטית לממשלה לגבי ההגנות, יש לי פה מצב שיש לי אכיפה מינהלית, שלא יהיו לי אותם – אם אני לא נופלת ל-2, לא יהיו לי אותן הגנות שיש לי ב-18. יהיו לי פחות הגנות. עדיף במקום את המצב המאוד בעייתי הזה לשים בצד ולומר: כל עוד אין לנו בסיסים לגיטימיים וזכויות מהותיות, אנו מוותרים.
ניר גרסון
¶
לא הצלחתי להבין אם ד"ר ארידור חוששת שהסמכות הזו רחבה מדי או צרה מדי. היא אמורה להיות מופעלת במנגנון דו שלבי. הרשם זה לא מעורפל. רק במקרה שיש הוראת חוק שעוצרת פעולה, ראש הרשות, הרשות הורה- - -
רחל ארידור הרשקוביץ
¶
להפך – שתכניסו בסיסים לגיטימיים וזכויות מהותיות או שתוותרו על זה כרגע עד שתכניסו בסיסים לגיטימיים וזכויות מהותיות.
עמית יוסוב עמיר
¶
אני חושב שצריך התייחסות מתודולוגית לתשובה. קצת קשה להבין את ההערה על כל היבטיה. אבל יש לנו פה סעיף שהיה קשור לעניין הרישום ועכשיו מנותק ממנו. המטרה היא לא להעניק סמכויות לרשם אלא להפחית מסמכויות ראש הרשות המקרה הזה. כלומר מקום שעד היום פשוט לא היה רושם את המאגר והיה חל איסור להפעילו, היום בעקבות צמצום חובת הרישום, לא תהיה סמכות כזו. לא ניתנת אף סמכות להחליט על משהו פתאום שאינו חוקי או כן חוקי. יש פה מבחן מאוד ברור. אם יש הוראת חוק אחרת, ספציפית, שמפרים אותה, הסעיף הזה חל. אם אין הוראת חוק אחרת שחלה, אין שום סמכות.
רחל ארידור הרשקוביץ
¶
מצוין. זה רק אומר שזה לא הגנת פרטיות. זה אולי הרשות לאבטחת מידע כרגע אבל כל השאר זה משחק בנדמה לי.
עמית יוסוב עמיר
¶
אנו לא מציעים כרגע בתיקון הזה של חוק הגנת הפרטיות, בניגוד לתיקון הבא שדיברנו רבות על הכנתו ועל הצורך בו ואיננו חולקים עליו. אנו מודעים לפער בעניין הזה אבל בסוף יש מטרה לחוק. אחת המטרות לחוק מלבד המטרה החשובה והמרכזית של חיזוק סמכויות האכיפה לרבות אולי בעיקר בהקשר של אבטחת מידע, היא צמצום הנטל הרגולטורי והפחתה משמעותית מאוד של חובת הרישום. הפחתת חובת הרישום מביאה לכך שאותו סעיף שאמרת שהרשם לא ירשום מאגר אם המידע בו נאסף או נצבר באופן לא חוקי, היא צריכה להפוך לחובה עצמאית.
ראובן אידלמן
¶
חובת הרישום הייתה על כל מאגר שיש בו מידע רגיש. הגדרה של מידע רגיש היא כמעט צמודה להגדרה של מידע רגיל. חובת הרישום במצב הקיים חלה על כל מאגר ידע כמעט. אין שום אפשרות לצמצם את חובת הרישום באופן שבו הוועדה רוצה, בלי להשאיר את הסעיף הזה כהוראה נורמטיבית.
היו"ר שמחה רוטמן
¶
שנייה. אני לא אומר להוריד את הסעיף הזה. אני כן אומר, שאני חייב להבין. אם העמדה היא שלצורך החזקת מידע על אודותיי נדרשת הסמכה – שיהיה כתוב. אם העמדה היא שלצורך החזקת מידע על אודותיי נדרש קבלת המידע בצמוד למטרה שלשמה נמסר - שזה יהיה כתוב. לא על דרך ההפניה, לא על דרך הוראות חוק זה. אם מותר להחזיק מידע בלי הסכמה אודותיי, שזה המצב כרגע, ומותר להחזיק מידע על אודותיי אולי – איני יודע – בלי צמידות מטרה או עם צמידות מטרה, אבל המטרה לפעמים היא אמורפית, ויכול להיות שלעניין דבר מסוים זה ייחשב צמוד מטרה ולעניין אחר לא – אני בבעיה.
ראובן אידלמן
¶
בהתאם למצב המשפטי היום, ככלל, כשיש פגיעה בפרטיות, לפי חוק הגנת הפרטיות, נדרשת הסכמה, לפי סעיף 2. כשאין פגיעה בפרטיות, לא נדרש דבר. כשיש פגיעה בפרטיות, במרבית המצבים ייכללו בפגיעה בפרטיות. נדרשת הסמכה. לחלופין אם יש הסמכה בחוק לעשות זאת, לא נדרש.
היו"ר שמחה רוטמן
¶
אני שואל, גוף פרטי, שאוסף מידע, ולא קיבל הסכמה, ולא עובד מכוח סמכות בחוק, כי הוא גוף פרטי, אין לו הסמכה בחוק, האם הוא- -
עמית יוסוב עמיר
¶
השאלה אם פגע בפרטיות לפי סעיף 2 או לא. אנו לא יוצרים פה הסדר כולל חדש יש מאין על עיבוד מידע.
נעמה מנחמי
¶
שהיא מאוד מצומצמת, מותר לי לאסוף מידע, למכור אותו, ואני יכולה לשים עכשיו בפתח הבית שלי מצלמה ביומטרית ולמכור את המידע הביומטרי הזה?
ראובן אידלמן
¶
אבל אם אין פגיעה בפרטיות, אפשר. אפשר להתחיל לנתח את המצבים האלה אחד לאחד ולהסביר למה בחלקם יש פגיעה. אם תרצו, אפשר לעשות את זה. לגמרי, זה נכון. אם אין פגיעה בפרטיות לפי סעיף 2. אנו עושים את זה ביום-יום.
היו"ר שמחה רוטמן
¶
הבעיה היחידה – אתה צודק שאפשר לנתח את המצבים האלה עד דק. הבעיה הגדולה היא שעד כה השאלות האלה נשאלו על ידכם בשלב הרישום. עכשיו השאלות האלה יעלו ברמת העיצומים הכספיים.
היו"ר שמחה רוטמן
¶
אני מחוקק חוק, וקיבלתי פנייה מהקהל אנונימי – אגב, אני רוצה לברך את ראש הרשות להגנת הפרטיות גלעד סממה ובכלל את מדינת ישראל שקיבלנו- - - לתקופה הקרובה לפחות, אני מקווה.
היו"ר שמחה רוטמן
¶
לא מכיר את הביטוי לנוח על זרי הדפנה או לנוח בכלל. מי שקרא את הדוח מבין בדיוק- - -
היו"ר שמחה רוטמן
¶
למה מה שאנו עושים עכשיו חשוב. אתן לך אחר כך.
ראובן, אני עכשיו לוקח, כפי שדיברנו בדיונים הקודמים, את המצלמה שמצלמת את המרחב הציבורי ומשדרת לייב מהכותל ושם עליה אלגוריתם. המידע פורסם לרבים ואני אוסף מידע מסודר ביומטרי על כל מבקרי הכותל, כמה מיליונים בשנה. המאגר הזה מכיל מידע רגיש, בעל רגישות מיוחדת, על הרבה מאוד אנשים. מפעיל עליו כל מיני איגודים, על בסיס זה מוכר להם כל מיני דברים, מעביר אותו הלאה, מוכר אותו הלאה וכל זה בלי שאף אחד מנושאי המידע אי פעם נתן לי את הסמכתו ולכן אין הסמכה, או ידע שאני מחזיק את המאגר הזה עליו. שאלה לגבי המטרה, והשאלה לגבי המטרה או שאלה לגבי ההסכמה שלא בדיוק זהות אבל יכולות להיות, עלול בסופו של דבר לבוא אליי גלעד ולומר לי: אתה מפר את סעיף 2, בגלל שהמטרה שלשמה נמסר המידע, זה לא כדי שיעשו עליו מאגר ביומטרי. זה שאדם הלך ברחוב ומסר תמונתו לרשות הרבים – לא התכוון שיצלמו אותו. או אפשרות אחרת – שיגיד: ההסכמה שמתבטאת בזה שאדם נכנס לכותל ויירשם שם: דע לך שהכותל מצולם לייב כדי שכולם ירגישו טוב שהם רואים את הכותל 24 שעות ביממה ההסכמה שלו בכניסה לכותל אינה מספיקה לטובת השימוש שאתה עושה. שתי האפשרויות קיימות. השאלה היא האם המקום הנכון לבחון את השאלה הזו על ההסמכה והמטרה היא אגב העיצום הכספי השמן?
ראובן אידלמן
¶
יש פה הוראה דו שלבית. אין פה עיצום כספי ישיר. יש פה קודם כל מודיעין שיש הפרה, ואז בעל המאגר יכול לטעון את כל הטענות שאדוני אמר עכשיו ולהסביר למה אין הפרה של סעיף 2. זה בסדר גמור. לא מוטל עליו עדיין עיצום כספי, רק אם בסופו של דבר ראש הרשות לא השתכנע, אתה עדיין מפר את החוק והוא ממשיך להפר את ההוראה של הרשות להפסיק את ההפרה הזאת רק בשלב השני אפשר להטיל עליו עיצום כספי. בדיוק בגלל מה שאדוני אמר, נבנה פה עיצום כספי דו שלבי כדי שכל הטענות האלה, וכולן ראויות להתברר, יוכלו להתברר בשלב שלפני העיצום הכספי. זה המענה שלנו לעניין הזה, על דעת המחלקה הפלילית בייעוץ וחקיקה האמונה על נושא העיצומים הכספיים. כל הנושאים האלה צריכים להתברר כפי שאדוני אמר, וכפי שאדוני אמר קודם לכן, זה העברה גיאוגרפית מהרישום, שלב הפרה רולינג לכך שהשוק מתנהל לפי החוק ואם אנו מגלים שיש יסוד להפרת החוק ואנו קובעים שיש פה הפרה כל הטענות האלה עולות אבל לא בפרה רולינג בשלב הרישום.
היו"ר שמחה רוטמן
¶
אבל ההפרה במקרה הזה היא לא של תקנות אבטחת מידע שבזה אתם מוקד הידע והגוף שהייתי רוצה שיהיה אחראי. היא לא ההפרה של מסירה לאחר עם מסירת המסמכים הנכונים ועיבוד מותר או אסור או התממה וכל הנושאים האלה אלא בשאלת פרשנות הפסיכולוגית של מושג ההסמכה. שם אני יותר בבעיה. כי שם- -
עמית יוסוב עמיר
¶
לא בענייני אכיפה כרגע. אנו מדברים על הדין המהותי. השאלה בסוף האם המידע נצבר או נאסף או נצבר שלא כדין, אנו לא ממציאים אותה פה עכשיו. בסופו של דבר באותם מקרים שהם הרבה פחות ממה שהיום חובת הרישום, שהרשם יגיד למישהו: אני תופס אותך כמפר – בוא טען את טענותיך, הרי גם כמה שחובת הרישום היום נאכפת או לא, בטוח היא יותר רחבה מפעולות פיקוח ספציפיות של הרשות. אנו לא פה משנים את המצב הקיים.
בגלל ההערות הנכונות מאוד שנשמעות מצד המכון הישראלי לדמוקרטיה ואחרים, חשוב לומר. לא באה הממשלה לפה בתפיסה זחוחה שאומרת: כל דיני עיבוד המידע טובים, נמשיך ונתקדם כך עוד עשרות שנים. ישבנו פה בדיון פתיחה, הצגנו את מה שמוכר לאדוני, תיקון 14, לצידו תיקון 15 מתוך התפיסה שצריך לשנות את דיני עיבוד המידע בכללותם ולאפשר עוד בסיסי עיבוד מידע ולצידם לקבוע את הכלל הגדול שאומר: אם אין לך בסיסי חוקי לעיבוד מידע, אתה לא מעבד את המידע. מטבע הדברים אי אפשר לקבוע את הכלל האחד מבלי לקבוע את הכלל האחר. לכן פה חשוב לנו לומר – במקרה זה אנו לא משנים לא את הדין ולא את מצבו המשפטי של תאגיד או גוף כזה או אחר שהוא מראש היה - אם פעל כדין והרשם שהיום הופך להיות ראש הרשות לא אמר לו אחרת – הכול בסדר. אם הרשם, היום הופך להיות ראש הרשות, אמר לו: לדעתי אתה אוסף את המידע למאגר מידע שלך שלא כדין, ואז במצב המשפטי כמו שהוא היום אומר: אני לא רושם את מאגר המידע שלך, המצב החדש אומר: אני מורה לך להפסיק את ההפרה, מתחילה הידיינות בדיוק באותם סעיפים, באותן עילות, שעומדות אותן הגנות לפי החלקים השונים בחוק הגנת הפרטיות. אנו לא משנים את הנושא הזה. אנו לא אומרים שלא נדרש בו שינוי. נדרש בו שינוי. הוא שינוי יסודי, מהותי, וצריך תיקון לחקיקה הגדול שיסדיר את בסיסי עיבוד המידע והתכליות התואמות, ולצידם את כל הזכויות החשובות והמהותיות שמוקנות לנושאי המידע ואת כל חובות האחריות על מעבדי המידע, וזאת חבילה גדולה ומכובדת של הוראות חקיקה שיצטרכו להידון כמקשה אחת. אנו כרגע לא מציעים לשנות זאת.
איה מרקביץ
¶
נכון שההצעה הנוכחית לא משנה מלשון החוק. הבעיה היא שאומנם העיצום הכספי לא נהיה צמוד לקביעת- - - אבל קורה צעד אחד אחר כך. ניתנת הוראה, התרה מינהלית, כל צעד אחר שנקבע בתיקון 14, בסופו של דבר נגיע למצב שהרשות מסתכלת על פעילות עיבוד מסוימת, לא כפופה לסעיף 2 כי לא נופלת בתוך 11 מקרים של פגיעה בפרטיות, אין חובה לבקש הסכמה, אין בסיס חוקי אחר שקיים בחוק ועכשיו הרשות נדרשת לפרש האם הפעילות היא מפרה או לא. אולי הרשות תגיד: יש פה הפרה של עיקרון צמידות המטרה כי אנו רואים פה מידע למשל בדוגמה של היושב-ראש, שחייל בעזה אסף מידע לשימושו הפרטי, ואחרי זה אמר: אני רוצה להפוך את זה לפומבי, שם זה באינטרנט, הנה רשומון של מה קורה בעזה – מתוך הרבה מידע אישי של חיילים, של עזתיים, של אחרים. בעצם מאיפה מגיעה פגיעה שיש פה הפרה של המטרה? המידע לא נמסר אז אין פה סעיף 2(9) כלשונו. אין לנו דרך לעקוב אחר התהליך הזה. כאילו אנו מקנים את הסמכות לרשות להחליט מה המטרה לכתחילה ומתי היא מופעלת. נכון שזה לא מהמצב החוקי היום, אבל עכשיו זה מלווה בסנקציות מאוד כבדות כולל הסנקציה הפשוטה של לומר: הפעילות הזו מפרה, תפסיקו אותה. זה משבש מאוד דרמטי.
ואם יורשה לי להוסיף דוגמה מחיי היום יום, לא כל המקרים הכי טיפוסיים ורגילים של עיבוד מידע בחיי השוק והמשק היום בכלל נכנסים לסעיף 2, ולכן אין דרך בכלל להסדירם. למשל המקרה הזה. מעסיק שנותן לעובדים שלו מכשירים, תוכנות, מחשב וכל דבר אחר, ומבצע ניטור על המחשב הזה כדי להגן על אינטרסים עסקיים מקובלים, לגיטימיים, ברורים. נגיד מידע של לקוחות שיש בתוכו מידע רגיש, בין אם פרטי ובין עם רגישות מסחרית אחרת. המידע הזה לא נאסף ישירות מהעובד. המכשיר שלו מנוטר אז אנו לא נופלים לחובת ההודעה לפי סעיף 11. אין פה פנייה לאדם בבקשה לקבל מידע כדי לנהל ולהחזיק אותו בתוך מאגר. זה יושב על המחשב שלו. זה אוסף נתונים מהמכשיר עצמו, נתוני שימוש. זה לא בילוש והתחקות שמהווים הטרדה או הטרדה אחרת כי אם אני לא מודעת לזה שהמחשב שלי מנוטר זה לא מטריד אותי. זה לא נופל לצילום ברשות יחיד. זה לא יהיה הפרת חובת סודיות מכוח הדין. אני לא מצליחה לראות איך זה נכנס לאף אחד מהמקרים בסעיף 2 שמהווים פגיעה בפרטיות, ואם המקרה הזה כן נראה לכם נכנס יש הרבה מקרים אחרים שבהם אתם פונים לצד שלישי כדי לאסוף מידע על האדם ולא פונים אליו פה, ואין לנו חובה לקבוע בסיס חוקי. בסוף אנו נשארים במצב שאין למי שרוצה לעבד את המידע באופן חוקי שום דרך לדעת איך להכווין את ההתנהגות שלו לפי החוק דהיום ואנו נותנים את כל הסמכות לרשות להפעיל שיקול דעת.
היו"ר שמחה רוטמן
¶
מבחינה זו צודקים ברשות להגנת הפרטיות שאומרים: סופו של דבר, על מה שאת אומרת, נתנו לך רגולציה עצמית עד שתיתקעי בקיר, מה שלא היה לך עד היום. זה לא חסר בסיס, הטענה הזאת. אפשר להתווכח אם מספיק טובה או לא. אם צריך יותר.
היו"ר שמחה רוטמן
¶
יכולים לעשות זאת גם היום והיום היו תופסים אותך על עצם הקמת המאגר עוד לפני השאלה מה עשית בו. הם יגידו לך: לא רשמת. על זה הורדנו אותם מהראש שלך, על לא רשמת, ועכשיו אם יחשבו שמה שעשית במאגר לא בסדר ישלחו לך התרעה ויגידו: לדעתנו את אוספת מידע שלא כחוק.
נעמה מנחמי
¶
דווקא זה יהפוך את האכיפה שלהם להרבה יותר אפקטיבית. עכשיו הם מקבלים דיווח מסודר של כל מאגר מעל 100,000 איש שאומר מה בדיוק הם עושים ואיזה שימוש, מה המטרות. הרבה יותר קל להבין את זה ולאכוף את זה.
ראובן אידלמן
¶
מודל העיצום הכספי בתוך תיקון 14 על סעיף 8א הוא מודל דו שנתי. מדבר ספציפית על סעיף 8א, ולא בכדי בגלל הדברים שהועלו.
רחל ארידור הרשקוביץ
¶
חברה פרטית שהיא לא גוגל אלא משהו יותר קטן ישראלי מקבל הודעה שהרשות מתחילה בהליך הפרה עליו. יש לזה משמעויות מבחינת גיוסי כספים או קרנות הון סיכון שיתמכו בו. מבחינת המשך העיבוד – יש לנו כעת שעת כושר.
היו"ר שמחה רוטמן
¶
שנייה. אנו מאוד רוצים את הנוספים. אני רק אומר, עדיין, לכל גורם יכולה להיות האפשרות לפנות לפרה רולינג, כל מיני דברים זה אפשרי. אבל קודם כל צריך להבין מה קרה פה. במילים שלי, לטובת הדיון, אני מציג את העמדה בקיצוניות, נא לרשום לפרוטוקול. לא להיעלב, גלעד, היה לנו פה פיראט בשם הרשות להגנת הפרטיות שהחליט מה הוא רוצה. במקרה הקיצוני היה יכול להחליט: לא רושם לך את המאגר, תוקע אותך, עושה מה בראש שלו. אומר: אמשיך להיות פיראט, קצת פחות, אבל אהיה פיראט לא בשלב הראשוני שגובה ממך דמי מעבר בשנייה שאתה רוצה לעבור אלא רק אם אחשוד בך באופן מיוחד, אבל עדיין אני שאחליט בשאלה מהי הסמכה ומהי מטרה לפי כללים שרק אני קובע, אבל עכשיו יהיה לך קצת יותר קל להתמודד מולי. פעם לא היית יכול להתחיל לעבוד בלעדיי. עכשיו אתה יכול. פעם לא היה לך הליך התרעה - היום יש לך, וגם יש לך עליי איזה ערעור לבית משפט ומנגנון מובנה וגידור סיכון. כלומר גם מי שתפס את הרשות כשרירותית לחלוטין ולא מפעילה שום שיקול דעת מובנה ובעייתי, גם מי שתפס אותה כך, עכשיו הקהינו קצת את שיניה. את אומרת שצריך יותר לעשות זאת במובן הזה. מצד שני, חיזקנו אותה במובן הזה שכשהיא סוגרת - יש לזה גם משמעות. עד כה תיאור לא הגון של הרשות להגנת הפרטיות אבל לטובת קטגורו של השטן.
היו"ר שמחה רוטמן
¶
יש פה נקודה שיש לתת לה מענה. אל"ף יכול להיות פרה רולינג. יותר מזה, עד היום – במידה מסוימת באנו להקל וקצת הקשינו. עד היום רציתי פרה רולינג – באתי לרישום מאגר. אמרתם לי: לא – היה לי מנגנון לערעור על זה שאתם לא רושמים אותי. על פרה רולינג אין לי מנגנון ערעור מיוחד והדרך היחידה שלי לערער היא לחטוף ולהתווכח. זה נקודה- -
היו"ר שמחה רוטמן
¶
זה לא אותו דבר. אני רוצה את המאגר שלי שיושב על המצלמה של הכותל. פעם הייתי אומר לכם: אני הולך להקים מאגר כזה, הייתם מסרבים, הייתי הולך לבית משפט על זה. הייתה לי אפשרות לתקוף אתכם שם. אני לא יכול לתקוף אתכם על הלא שלכם. הדרך היחידה שלי לתקוף את התזה שלכם – לעשות בניגוד לעמדתכם, לחכות שתפתחו נגדי הליך הפרה ואז ללכת עליכם לבית משפט. בהקשר הזה קצת מקשה עליי.
ענר רבינוביץ׳
¶
היו פה קודם שאין פה הרחבה של הסמכות אבל יש פה, שהיום לא קיימת. כלומר שהרשות לגבי הפרות של סעיף 2 פתאום כן יכולה לנקוט בעיצומים. כיום הפרק הזה לא בסמכות.
היו"ר שמחה רוטמן
¶
להבנתי לא. למה - עיצומים – עיצומים. לא היה עיצומים – מנגנון. לצורך העניין ניהול מאגר ללא רישום, אם היום היית פונה ומבקש לרשום מאגר שלדעת הרשם, מפר סעיף 2, לא היו נותנים לך לרשום. הייתה לך עבירה פלילית, קנס מינהלי. זה היה על הפרה של מאגר מידע שמחזיק מאגר מידע בניגוד להוראות סעיף 2.
היו"ר שמחה רוטמן
¶
נכון. זה מטריד אותי, אבל המצב היום היה שאם היית מנסה לרשום מאגר שלדעת הרשם מפר את סעיף 2, הרשם היה אומר לך: לא מרשה לך לרשום ואם היית בכל זאת רושם או מראש לא רושם כי לא שואל אותו – היה נוקט נגדך סנקציה פלילית עם אחריות קפידה על ניהול מאגר לא רשום או על זה שלא רשמת או על זה שפעלת בניגוד לרישום.
ענר רבינוביץ׳
¶
עד היום ההגדרה של מאגר מידע ושל מידע הייתה מאוד מצומצמת כך ש - רשימה סגורה, מצומצמת. הרשות ניסתה להרחיב אותה. לסגור את ההסבר – נאמר פה קודם לגבי הסכמה מדעת, לגבי הבעיה שהרשות תחליט בדיעבד מהי המטרה, תחליט מה זה מדעת. עד היום היא לא נדרשה לזה, וכשהיא נדרשה, היא או בתי משפט נמנעו מזה ובצדק. אין לנו בסיסים חוקיים אחרים. אנחנו צריכים אותם – אחרת הכול נתון בשיקול הדעת של הרשות.
ענר רבינוביץ׳
¶
שהרשות יכולה כן לתקוף אותי לפי הפרות של סעיף 2 שהיום לא יכולה לעשות זאת אגב מה שנטען. העיצום הכספי הוא מה שמשנה.
היו"ר שמחה רוטמן
¶
חברים, הנקודה ברורה. הוצע פה חלק מהדברים שנרשום בצד למשל רישום וולונטרי מי שמבקש פרה רולינג ורוצה לתקוף אותו. זה נותן מענה למשהו.
היו"ר שמחה רוטמן
¶
לכן אמרתי – אפשרות אחת היא מיסוד נושא הפרה רולינג כולל עתירה על הפרה רולינג. אפשרות שנייה, רישום וולונטרי שזה המקבילה של פרה רולינג.
נעמה מנחמי
¶
לגבי סעיף 8 רצינו לחדד את השאלה של ההגנות, כלומר האם סעיף 8 נכון להוסיף לו רק את ההגנה או נכון לייבא חלק מההגנות של 18 במיוחד עכשיו כשהבאנו את סעיף 2 לתוך מאגרי המידע. אתה בטח תגיד שככל שהבאנו את סעיף 2, הבאנו גם את 18.
עמית יוסוב עמיר
¶
הנושא נדון בישיבה הקודמת. סעיף 18 לא חל על פרק ב. הוא חל על הפרת החוק. אם הפרת החוק וההוראה לפי חוק זה היא הפרה של סעיף 2, לסעיף 2 יש ההגנות לפי סעיף 18. לכן לא צריך להביא אותם לכאן.
היו"ר שמחה רוטמן
¶
ההגנה של סעיף 18 על סעיף 2, לפי סעיף 2ד, היא פי אלף יותר רחבה ממה שאתה נתת בסעיף 8א2.
עמית יוסוב עמיר
¶
נדון. זו האמירה - אם אני בעל שליטה במאגר מידע, מפר לכאורה את אחת מהוראות סעיף 2, עומדות לו ההגנות לפי סעיף 18. אם הגנה אכן עמדה במבחנים הפנימיים של סעיף ההגנות אז הוא מוגן והאיסור בסעיף 18 כאן לא יחול. אם ההגנה לפי סעיף 2 לא עמדה לו, גם כאן לא תעמוד לו.
נעמה מנחמי
¶
יש לי שאלה. אם אני עיתונאי ויש לו מאגר שהשגתי תוך כדי בילוש כלומר אני נכנסת לסעיף 2 ואיתו נכנסת להגנות של חובה מקצועית – אני מסודרת. אבל אם אני עושה זאת בלי להגיע לרמת בילוש והטרדה אלא סתם מארגנת לי מאגר מידע ולא נכנס לרף של סעיף 2, אז אין לי הגנות.
רחל ארידור הרשקוביץ
¶
אם כל הרעיון הוא שאם אני נכנסת לסעיף 2 יש לי ההגנות בסעיף 18, ואם אני לא נכנסת לסעיף 2, אין הפרה, על מה חלות ההגנות שאתם מציעים?
עמית יוסוב עמיר
¶
שאלה טובה. זה סעיף קלאסי של הגנת שוק, לצורך העניין בלי קשר להגנות – לא תמיד ההגנות עומדות. ההגנה הספציפית פה היא הגנת שוק לגורם אחר שקיבל את המידע. לא למפר. אדם א' הפר סעיף 2, או חוקים אחרים שאין להם הגנות. חוק שירותי מידע פיננסי – אין שם בגנות. יש הרבה דברי חקיקה שלא נקבעו בהן הגנות. הוא הפר. גם אם הפר את סעיף 2 לא עומדת לו הגנה. עכשיו הוא מעביר אליי את המידע. אני לא יודע ולא היה עליי לדעת על ההפרה אז אני מוגן מהפרת ההוראה- - - להחזיק את המידע שהתקבל, נצבר או נאסף.
היו"ר שמחה רוטמן
¶
אני מבין אבל על זה אמרו חז"לינו לא תהא כהנת כפונדקית, דהיינו לא ייתכן שההגנה על הצד השני בתום לב תהיה פחותה מההגנה על מי שאסף את המידע.
היו"ר שמחה רוטמן
¶
זה לא מצטבר בכלל כי אם אני מחזיק מידע פרטי, הוא הגיע אליי שלא כדין כי אני אספתי אותו, אתה אומר – חל סעיף 18. יכול להיות. מה סעיף 18 אומר – אם לא ידעתי ולא היה עליי לדעת את אפשרות הפגיעה בפרטיות, אני מוגן. בנוסף, יש לי רשימה ארוכה של הגנות. כלומר אותה הגנה שכתבת לצד ג', חלה על צד ב'.
היו"ר שמחה רוטמן
¶
שנייה. אשאל לפרוטוקול – האם סעיף 2 חל על אדם שלא ידע ולא היה עליו לדעת אבל פועל בחוסר תום לב לעניין הפגיעה בפרטיות?
עמית יוסוב עמיר
¶
לא. ננסה להסביר שוב. נכשלנו בהסברנו. קודם כל, בשביל שסעיף 8א המוצע ייכנס לתוקף קודם כל צריכה להיות פגיעה.
היו"ר שמחה רוטמן
¶
הייתה פגיעה בפרטיות. גלעד פגע בפרטיות שלי, בלש אחריי, וגילה בדיוק, עשה רישום מתי אני מגרד באוזן ימין. זה מאוד מטריד אותי – הפרה של הפרטיות. אני בא אליו בטענות. הוא אומר לי: לא ידעתי שאתה רגיש לגירודים באוזן ימין. לא חשבתי שזה עלול להטריד אותך. פעלתי בתום לב, לא ידעתי ולא היה עליי לדעת. גלעד מוגן. איזה כיף לו. אתה אומר – מאחר שגלעד מוגן, גם מי שמקבל ממנו את המידע מוגן באותה מידה. נניח שגלעד לא היה תום לב וידע שאוזן ימין שלי מאוד רגיש אצלי שאוספים את המידע מתי אני מגרד אותה. אבל העביר את המידע לראובן, וראובן לא ידע ולא היה עליו לדעת שהנושא אצלי ממש בילוש והתחקות או חשב שגלעד כן חשב שלא יודע שזה בתום לב והיה עליו לדעת. רחמים גם לא ידע. אחרי שראובן לא ידע הוא גם מוגן. אתה לא צריך תום לב. גם אם אתה חסר תום לב. מה קורה אם אתה עושה את זה לא בתום לב אלא במציאות שמוטלת עליך חובה חוקית, מוסרית, חברתית או מקצועית לעשותה? כלומר לגלעד אין חובה חוקית, מוסרית או חוקית לעשות זאת אבל לך יש ראובן. אז אתה מוגן או לא?
היו"ר שמחה רוטמן
¶
למה? גלעד בא בלי חובה חוקית, אסף את המידע על אוזן ימין שלי, אבל לראובן יש עניין חוקי לדעת למה חשוב לי.
עמית יוסוב עמיר
¶
כי המטרה פה היא לא להכשיר איסופי מידע לא חוקיים אלא להגן על מי שלא ידע ולא היה עליו לדעת שמישהו אחר עשה משהו לא חוקי. אם הוא יודע על הפרת חוקיות, יש פה עניין בסיסי. נעשתה פעולה לא חוקית. צריך להפסיק אותה. לא להמשיך לצבור ולאסוף אותה. אחר כך יש - מה קרה בדיעבד עם המאגר. אם עכשיו לראובן יש הגנה משל עצמו, הוא יכול להפעיל אותה.
היו"ר שמחה רוטמן
¶
מאחר שסעיף 18 מאוד-מאוד רחב, ומאפשר למעשה תוך ביצוע עיסוקו של פוגע כדין ובמהלך עבודתו רגיל לאסוף מידע, שזה כמעט כל היושבים פה.
היו"ר שמחה רוטמן
¶
אבל הוא חל על 2. העסק שלי הוא לאסוף מידע על כל המבקרים בכותל. אני מוכר את המידע הזה לסינים. מזה אני מתפרנס. נשאלת השאלה אחרי שאני מעבד להם את המידע כמו שצריך ומחבר לעוד מאגרי מידע שאספתי ועשיתי סקריפינג ויש לי מאגר מידע מטויב של כל אדם, גם היכן גר, תעודת הזהות וגם מתי ביקר בכותל פלוס ביומטרי. זה העסק שלי. אספתי את המידע בעצמי, לבד. אני מוגן לפי סעיף 18.
ניר גרסון
¶
לא בטוח. זה לא כך פורש בפסיקה. מהלך עבודה רגיל לא נותן קארד בלאנש אלא עבודה לפי כללי אתיקה מקובלים וכו'. לא בהכרח מוגן.
היו"ר שמחה רוטמן
¶
כל הדיון היפה שאנו מנהלים פה כמעט שעה, ואני רואה את חוסר הסבלנות המוצדק של גלעד בעצם קיומו, רק מראה כמה אנו מסבכים את עצמנו בזה שאנו לא עובדים בדרך המלך. אנו לוקחים את סעיף 2, מלבישים עליו את סעיף 18, אומרים שזה חל על מי שאוסף את המידע אבל לא חל על מי שמעבד את המידע, ומי שמקבל את המידע ומי שלא, ואז אם ידע על זה ולא ידע- -
היו"ר שמחה רוטמן
¶
אבל אני לא יודע אם מתקיימות ההגנות של 18. אני חושב ש-2 הופר אבל לא יודע שההגנות לא התקיימו, אז אתה מנסה להלביש לי את הידיעה על ההגנות? זה לא תום לב? האם יש הבדל בין מה שכלול ב-2 למה שכלול ב-18 מבחינת כללי הידיעה? אתם מבינים? אנחנו מעקמים את כל העולם, העיקר לא לעשות עבודה מסודרת. התוצאה, שיש לי פה חמישה מקרים, שעד עכשיו לא הבנתי - עלו לאורך כל הדרך פה כמה מקרים שאני לא הבנתי מה אני כבעל מאגר מידע אמור לעשות. מה אני צריך לברר כדי לדעת שהכול בסדר? האם אני צריך לדעת שפלוני אלמוני אומר לי: אספתי מלא מידע אבל אני עיתונאי ואז ממילא מותר לי פחות או יותר לעשות מה בראש שלי.
היו"ר שמחה רוטמן
¶
בפועל מצד פסיקת בית המשפט פחות או יותר, יש הרבה הגנות, ולכן אם עיתונאי מעביר לי את המידע גם אם הוא המידע הכי רגיש שיש אני לא צריך שום הסכמה ושום צמידות מטרה. או כן. לא יודע. וכל האירוע הזה, ולא צריך ליידע, ולא צריך – טוב שהורדנו את ה- - - וכל זה, ואז אני שואל את עצמי, 18 חל על 2, אז לא חל סעיף 8א או כן חל סעיף 8א ואז ההתרעה ומה ידעת ולא ידעת. זה נורא מסורבל.
היו"ר שמחה רוטמן
¶
זה מה ששאלה אותך נעמה. אם אנו אומרים שרוב מוחלט של מאגרי המידע לא מתקבל המידע מהאדם עצמו- -
עמית יוסוב עמיר
¶
לא כל הוראות הדין מסתכמות בסעיף 2 לחוק הגנת הפרטיות. יש חוק שירות המידע פיננסים. מגדיר שימושים מותרים ואסורים במידע פיננסי, על ידי גופים שמוסדרים בחוק. יש חוק נתוני אשראי, הוא מגדיר שימושים מותרים על ידי גופים- -
עמית יוסוב עמיר
¶
חוק זכויות החולה שמסדיר מטפלים ומוסדות רפואיים. יש שורה ארוכה של דברי חקיקה. ההגנות אי אפשר סתם להחיל.
היו"ר שמחה רוטמן
¶
אתה מצפה מכל מי שמקבל דאטא בייס שיצטרך לעשות בדיוק את הניתוח הזה. זה מה שאתה מצפה.
עמית יוסוב עמיר
¶
יש סיבה שיש פה אגף מסוים שלא כל הזמן קופץ – בסוף אנחנו לא ממציאים פה. גופים שמייצגים חברות עסקיות. אני חוזר, ברור שהרעיון בעצם לאסדר כל מיני מקרים של עיבוד מידע, שנורמטיבית חברתית אנו חושבים שראוי אך לא נכנס לסעיף 2 לחוק הגנת הפרטיות כאפשרי, לאסדר את כולו – בין השרא עיתונות אבל שורה ארוכה של דברים אחרים - התגוננות בהליכים משפטיים, הגנה על מערכות המידע של העסק, כל הדברים האלה לעגן אותם דרך ההגנות, שזה מה שהמחוקק בחר – המציאות הטכנולוגית והכלכלית והחברתית של ימינו, זה לא הפתרון המוצלח ביותר בלשון המעטה. לכן צריך שינוי יסודי בעניין הזה. אנו עמלים מאוד לשם כך. זו התשובה האמיתית. רק להבהיר – החלופה של לומר: נחיל את ההגנות על עוד סעיף – מה זה משנה, סעיף יותר או פחות? זה משנה מאוד כי הרופא שיש בידיו מידע רפואי או המוסד הפיננסי שמחזיק את המידע הפיננסי שלנו לפי חוק שירותי מידע פיננסי בשום פנים ואופן לא ילך לסעיפי ההגנות ויגיד: יש לי עניין אישי כשר אז אני מפר פה חוק שירותי מידע פיננסי.
ראובן אידלמן
¶
העיצום הכספי הוא בהליך דו שלבי. כל ההגנות צריכות להיטען בשלב הראשון. השאלה אם בכלל הייתה הפרה. תבוא רשות ותגיד – אנו קודם כל מבקשים מסמכים, אחר כך שולחים מכתב הפרה לכאורה.
היו"ר שמחה רוטמן
¶
התשובה ברורה. זה שאנו עוברים, זה לא אומר שזנחנו את הדיון. אנו עדיין מוטרדים, וזה כל הזמן מלווה אותנו לאורך כל הסעיפים.
עמית זילברג
¶
ההגדרה של מאגרי מידע הייתה אוסף של כל מידע על אדם. עכשיו החזירו את זה שזה לא כולל שם, כתובת, טלפון, מייל וכו' כפי שהיו"ר אמר – רוצה לאגד מאגר ביומטרי. על אותו עיקרון. הבעיה היום שאם אני רוצה – אני מדבר על סעיף ההגדרות. אם אני רוצה ללכת בתור עסק מסחרי או אדם פרטי, ולגנוב מאגר מידע שכולל רק שם ושם משפחה וטלפון, ולהפיץ את המידע שלי כך או אחרת, כאזרח שמופיע במאגר הזה אין לי שום סמכות לפנות אליהם ולומר לרשם שמפרים בכלל את החוק כי זה לא נחשב מאגר מידע. אם אנו רוצים להתאים עצמנו ל-GDPR ההגדרות התואמות הן כל מידע על אדם.
שחף קצלניק
¶
אדוני היושב-ראש ביקש מעבר לזה, שאם יש הנחיה של הרשות - גילוי דעת, שמדבר על כתובות מייל שגם לא ייחשב כחלק ממאגר מידע.
היו"ר שמחה רוטמן
¶
הנוסח החוקי נכון להיום, למיטב הבנתי – מאגר מידע, אוסף נתוני מידע המוצג באמצעי מגנטי אופטי ומיועד לעיבוד ממוחשב למעט – 1. אוסף לשימוש אישי שאינו למטרות עסק או אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני אדם ששמותיהם כלולים בו ובלבד שלבעל האוסף או לתאגיד שבשליטתו אין אוסף נוסף ואנו הוספנו את המילים: לגבי אותם בני אדם, כלומר נכון להיום, בחוק, מאגר של שם, אימייל, כי זו דרך התקשרות, טלפון, שזה דרך התקשרות, אינו מאגר מידע לפי החוק. זה המצב היום.
היו"ר שמחה רוטמן
¶
כשלעצמו אלא אם כן אני רשום שם למעלה: אוסף האנשים שהם סרטן או אוסף האנשים שהם עברייני מין.
היו"ר שמחה רוטמן
¶
אם זה מייחד אוכלוסייה אז כן. גם מאגר תפוצה באימייל של הקרן לפיצוי נפגעי גזזת – כן. כי הוא מהווה פגיעה בפרטיות. אבל אם זה לא הקרן לפיצוי נפגעי גזזת אז לא. שאלה מצוינת, רק לא החוק. לא רלוונטי.
היו"ר שמחה רוטמן
¶
פרק שעוסק בדיוור ישיר. אנחנו לא שם. נמשיך. הנקודות נרשמו. יש פה דברים שאי אפשר לפתור אלא אם כן – אני מקווה שהדבר הזה נישאר פתוחים אליו. ננסה בכל זאת לייבא לפחות תחילתו של תיקון 15 לתוך תיקון 14 כי בלי זה אנו מאוד מתקשים, אבל גם אם לא נעשה זאת, הלקח מפה הוא להסדיר נושא פרה רולינג או ערעור על פרה רולינג כי בלי זה אנחנו מייצרים פה פגיעה כמעט בלתי נסבלת.
היו"ר שמחה רוטמן
¶
שזה סוג של פרה רולינג. אני לא בטוח שזה נכון כי אז אתה אומר לאדם: אם אתה רוצה פרה רולינג, תירשם, שזה פוגע בו בהקשרים אחרים. לא בטוח שרישום וולונטרי זה הכלי אבל פרה רולינג זה מנגנון אולי קצת יותר עם פרק זמן מסוים. יש לחשוב על זה ולתת לזה מענה. בבקשה.
דן אור-חוף
¶
אני רוצה להעיר מילה לתשומת הלב בעקבות הדיון. אני חושב שכל עוד לא יהיו לנו עיבודי מידע נוספים ותיקון 15, ההוספה של סעיפים 1 ו-2 בסעיף 8 וההפניה להגנות של סעיף 18 יוצרות אולי מכניזם אחר לעניין ההגנות האלה. עד היום ההגנות האלה למעט מקרים ספציפיים אולי של עיתונאים או אחרים שפורשו בפסיקה במידה רבה של צמצום, ההגנות הללו כרגע הן הדבר הכי קרוב שיש לנו לבסיסי עיבוד מידע אח. עניין אישי כשר אולי הכי קרוב שלנו לאינטרס הלגיטימי שיש בבסיסי העיבוד ב-GPDR ואני חושב שיש מקום אולי ואם אנו משאירים את המכניזם הזה עם ההוראה של סעיף 1 וההגנה של סעיף 2, צריך אולי גם לקחת בחשבון, שנדרשת פה פרשנות אחרת ממה שהייתה עד היום להגנות של סעיף 18.
נעמה מנחמי
¶
אני לא בטוחה שהוועדה אימצה את ההצעה הזו של ההגנות. דן העיר, שככל שהוועדה תאמץ את החלופה הנוספת עם ההגנות, של הוספת עניין אישי כשר וחובה חוקית או מקצועית – הוא אומר שזה הדבר הכי קרוב שיש לנו לבסיסי עיבוד. במצב זה הוא מקווה שתהיה פרשנות מאוד מרחיבה.
ראובן אידלמן
¶
עמדתנו שאין מקום להכניס את ההגנות ספציפית בטקסט כפי שמוצע פה תחת הכותרת חלופה נוספת. הסברנו איפה ההגנות נכנסות בבחינה האם הופר סעיף 2. לכן עמדתנו שצריך להישאר עם הנוסח הראשון.
היו"ר שמחה רוטמן
¶
להבנתכם מה הדלתא המעשית בין לעשות את החלופה הנוספת לבין להשאיר את המצב, מה ייכנס ומה ייפול בין החלופה הזאת?
עמית יוסוב עמיר
¶
יש פה צ'רי פיקינג מבין ההגנות הקיימות. הסברתי, אולי באריכות רבה מדי, למה אני חושב שזה רעיון לא טוב להחיל את ההגנות ישירות אבל מה שקורה פה, מתבצעת פעילות לא חוקית של איסוף מידע, אין לה הגנות, ואז יוצרים על בסיסה מאגר מידע.
היו"ר שמחה רוטמן
¶
אם המידע נאסף שלא כדין, וידעת זאת, תגיד: במקרה כזה אין בעיה, שום הגנות לא יחולו עליך. זה לא. יש המון מקרים שבהם השאלה האם המידע נאסף או לא נאסף שלא כדין היא לא קליר קאט. לחילופין, המידע יכול להיות שתייאסף כדין אבל עיבודו ייעשה שלא כדין. ניקח את המקרה של המידע נאסף באופן מותמם, לקחנו המון מאגרי מידע מותממים שכל מאגר מידע בפני עצמו היה מותר להחזיק אותו ואפילו לא היה בגדר מאגר מידע כי לא כלל פרטים מזהים, ואני באמצעי טכנולוגי יצרתי את מאגר המידע באמצעות עיבוד – אספתי המון מידע שנאסף כדין. כל אחת מפעולות האיסוף שעשיתי היו כדין. הפעלתי עליו רברס אינג'נירינג מאוד חכם.
עמית יוסוב עמיר
¶
שנייה. אם אתה עומד להפר דין בפעולת עיבוד שלך, המידע כבר לא בלשון עבר. אתה אומר: אני רוצה לבחון אם פעולת עיבוד שלי חוקית או לא – זה לא הסעיף הזה. יש סעיף ספציפי שאוסר, נגיד 2(9) או 10ב שייקבע. לא משנה. זה לא הסעיף הזה. צריך סעיף עצמאי.
עמית יוסוב עמיר
¶
סעיף חוק אחר שיצירת המאגר הפרה. לא הסעיף הזה. הסעיף הזה נכנס לתוקף. התחלתי את הדברים ויש לסיימם – הסעיף הזה נכנס לתוקף קר אם יש סעיף אחר או בחוק הזה או בחוק אחר שאוסר על פעולה מסוימת ואני מפר את הסעיף הזה.
נעמה מנחמי
¶
כלומר יש לנו כרגע לגישתכם, סעיף אחד בחוק, שעוסק במתי אסור לי לעשות משהו וזה קשור לשאלת הדרך שבה אספתי את המידע. כלומר אם רק אספתי שלא כדין – יש עליי איסורים אבל כל היתר- -
עמרי רחום טוויג
¶
אספתי כי מישהו אחר עשה פעולה. סעיף 8א מתייחס למצב שבו לפני הקמת מאגר המידע הייתה פעולה שלא כדין. לא עצם הקמת המאגר.
עמית יוסוב עמיר
¶
צריך להפר כדי לאסוף, לקבל או ליצור את המידע במאגר – צריך להפר סעיף אחר. אם יש סעיף אחר שהפרתי.
עמית יוסוב עמיר
¶
רק מסומן בצהוב במסמך ההכנה - חוזר לדיון הקודם – זה כמעט תוספת טכנית. בגלל שהורדנו את המחזיק, לפעמים בעל השליטה לא עושה פעולה בעצמו שהיא בגדר עיבוד. רק מרשה למחזיק לעבד. הורדנו את האחריות מהמחזיק. פה אנו אומרים לבעל השליטה: לא תרשה למחזיק גם לעבד כדי לא ליצור פה לקונה.
היו"ר שמחה רוטמן
¶
מצא ראש הרשות כי אדם בעל שליטה מעבד מידע או מתיר לאחר לעבד מידע עבורו, עיבד מידע במאגר מידע בניגוד להוראות סעיף זה, 8א, רשאי הוא להודיע לו שמעשיו מהווים הפרה של סעיף זה ולהורות לו ולמחזיק במאגר המידע להפסיק את ההפרה בתוך תקופה שיורה.
נעמה מנחמי
¶
יש פה שאלה, האם מורים לו להפסיק את ההפרה או מורים לו להפסיק את עיבוד המידע. יכול להיות שההפרה שלי זה שלא ניתנה הודעה נגיד.
עמית יוסוב עמיר
¶
יש פה שני נוסחים. ההפרה הוגדרה – ההפסקה היא של עיבוד המידע במאגר בלי שההפרה תוקנה. שוב, אני מזכיר, הייתה לנו ההגנה של פגיעה קלה.
נעמה מנחמי
¶
אבל זה נוסח שאתם העברתם. הוא אמר: רשאי הוא להודיע לו שעיבוד המידע כאמור מהווה הפרה של סעיף זה ולהורות לו ולמחזיק במאגר המידע להפסיק את עיבוד המידע. אני שואלת, האם התכוונתם לגרום לו להפסיק את עיבוד המידע או לגרום לו להפסיק את ההפרה או לגרום לו להפסיק את עיבוד המידע עד תיקון ההפרה? כל אחת מהאפשרויות האלה שונה.
ניר גרסון
¶
זה עשוי לכלול גם הפסקת עיבוד מידע, אבל אם ניתן להפסיק את ההפרה - אבל עשוי בהחלט לכולל הפסקה- -
עמית יוסוב עמיר
¶
אקרא את הנוסח שהצענו: מצא ראש הרשות בעל שליטה מעבד מידע או מתיר לאחר לעבד מידע עבורו בניגוד להוראות סעיף זה, רשאי הוא להודיע לו שעיבוד המידע כאמור מהווה הפרה של סעיף זה ולהורות לו ולמחזיק במאגר המידע להפסיק את עיבוד המידע בתוך תקופה שיורה.
נעמה מנחמי
¶
הנוסח שהצעת מורה להפסיק את כל העיבוד, ואני שואלת, האם נדרש – זה ניואנס שאולי כדאי להוסיף כי כתוב פה.
היו"ר שמחה רוטמן
¶
התשובה היא הנוסח הוא להפסיק את ההפרה, לא את ההפסקה של עיבוד המידע כי יכול להיות שהפסקת ההפרה לא קשורה לעיבוד המידע. יכול להיות שזה חיצוני לעיבוד המידע. יכול להיות שמצב שאגיד לך: אסור לך לאחסן את המידע הזה ללא הסכמתם של עשרת נושאי המידע האלה. תרים אליהם טלפון, יאשרו לך – תוכל להחזיק את המידע. הרמת הטלפון היא עיבוד מידע? הפסקת עיבוד מידע? לא. המידע מעובד, ואמר אומר לו: אם תביא לי את ההסכמה של כל עשרת נושאי המידע האלה בתוך איקס זמן, הכול בסדר. אז זה הפרה.
עמית יוסוב עמיר
¶
אני מציע ללכת פה עם ההצעה של המכון הישראלי לדמוקרטיה. תיקון ההפרה זה יותר נכון כי לפעמים זה לא רק הפסקה אלא גם תיקון רטרואקטיבי – יש לחזור לנושא המידע ולבקש הסכמה.
היו"ר שמחה רוטמן
¶
ראש הרשות מצא, כי בעל שליטה במאגר מפר הוראות סעיף זה – רשאי הוא להודיע לו שמעשיו מהווים הפרה של סעיף זה ולהורות לו להפסיק את ההפרה.
נעמה מנחמי
¶
סעיף 3 אומר שהייתה הפרת הדין והמידע נמסר וכו'. אפשר: לא יחול סעיף קטן (1) אף לאחר שבעל השליטה או מחזיק- - - היה עליו לדעת. כלומר אם ראש הרשות סבור שהפרת הדין אכן קלת דעת, בעצם לא יחייב אותו לתקן את ההפרה.
עמית יוסוב עמיר
¶
זה שני דברים שונים. יש שתי אפשרויות: אל"ף, אם יש הפרה קלה של מישהו אחר זה סעיף קטן (3) אבל אנחנו - יכול להיות בעל השליטה עצמו. חידד פה אדוני היושב-ראש נכון, שאפשר לתת הזדמנות לתקן את ההפרה נגיד על דרך קבלת ההסכמה. זה לא חל רק על הנסיבות שבהן חל סעיף קטן (3) כי יכול להיות גם בעל השליטה עצמו, לא רק גורם אחר ולא רק אם ההפרה היא קלת ערך. לכן אני חושב שהנוסח שהוצע פה- -
היו"ר שמחה רוטמן
¶
תיקון ההפרה. בסדר גמור. הוראה למחזיק תהיה – תמחק, כי הוא לא יכול לתקן א ההפרה. אולי כן.
נעמה מנחמי
¶
עוד דבר שהיה בדיון הקודם – חובת ההודעה. היו הערות רבות של הוועדה ביחס לנוסח שהציעה הממשלה. הממשלה מציעה כאן נוסח חדש. לא כתבתי שזה ממשלתי כי בנוסח הממשלתי היה כתוב מועד ספציפי של ימים. חשבתי שלא מאוד מוצלח, אבל זה ככלל הנוסח הממשלתי למעט ההצעה שלי, במקום להודיע על זהות בעל השליטה ומענו בישראל לכתוב את דרכי ההתקשרות עימו אלא אם יש עניין ספציפי במען שלו? האם המען הוא לצורך התקשרות או לצורך אחר? כי דרך ההתקשרות של אדם הרבה פעמים אימייל והמען משתנה והאימייל לא.
נעמה מנחמי
¶
יצטרכו פחות לעדכן אתכם על שינויי מען. נקרא את זה, כי זה נוסח חדש. אנו בחובת הודעה, להבדיל מחובת הרישום.
(1) בעל שליטה במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות 100,000 אנשים או יותר, ושלא חלה עליו חובת רישום לפי סעיף קטן (ג), חייב למסור לרשות – אני מציעה, במקום ראש הרשות - בתוך X ימים מהתקיימות התנאי האמור הודעה על זהות בעל השליטה ודרכי ההתקשרות עמו וכן עותק ממסמך הגדרות המאגר שעריכתו נדרשת בהתאם להוראות סעיפים 17(ב) ו-36; היה שינוי בזהות בעל השליטה או דרכי ההתקשרות עמו או שינוי המחייב עדכון של מסמך הגדרות המאגר או שהופסקה פעילותו של המאגר – יודיע בעל השליטה לרשות על השינוי האמור בתוך X ימים מיום השינוי או הפסקת הפעילות לפי העניין.
(2) השר, באישור ועדת החוקה, רשאי לפטור מחובת היידוע סוגים של מאגרי מידע או סוגים של בעלי שליטה וכן רשאי הוא לקבוע הוראות לעניין אופן ההודעה לפי סעיף קטן זה;
הכוונה לגבי אופן ההודעה – למיטב זיכרוני, הוועדה לא רצתה את אישור הוועדה לאותו עניין, ואם זה לא ברור נבהיר את זה בנוסח, אלא אם כן הוועדה תקבע אחרת.
לגבי מספר הימים, חשבתי ש-30 ימים זמן סביר להודעות כאלה.
ראובן אידלמן
¶
ההצעה שלנו הייתה לפרק זמן קצר יותר, ל-14 ימים. השאלה מה עמדת הוועדה. נזכיר – בדיון הקודם הייתה רשימה ארוכה יותר של דברים שחשבנו שנכון שיימסרו במסגרת ההודעה הזאת. בסופו של דבר בעקבות ההערות שנשמעו פה צמצמנו את זה רק למסמך הגדרות המאגר ודרכי התקשרות.
אחדד, אולי לא הבנתי את הכוונה. אנו רוצים שזה יהיה המען ודרכי התקשרות ביחד למקרה שנרצה להגיע אל המקום ספציפית, שנראה לנכון.
נעמה מנחמי
¶
כשאדם עובר כתובת, המטרה שלי הייתה שלא יצטרך להודיע לך כל פעם. כשאדם עובר כתובת, יש לו רשימה מאוד ארוכה של משימות שצריך לעשות ולאו דווקא יזכור. מאחר שאני צופה שבסוף הדרך יהיה לנו עיצום כספי על זה ששכח להודיע לך על זה שעובר כתובת אני מנסה לצמצם את מספר המפגשים או דרישות הדיווח שהן לא מאסט. אם אתה אומר לי: לא אצליח לקבל את המען הזה בשום דרך אחרת, יכול להיות שכן נכון.
ראובן אידלמן
¶
מאחר שמדובר על גופים שמחזיקים מידע על מעל 100,000 איש, ההנחה שלנו היא שלא מדובר בעסקים קטנים וכמובן גם לא באנשים פרטיים ולכן יש להניח ששינויי המען יהיו פחות תכופים ככל שמדובר בחברות גדולות או אולי לכל הפחות חברות בינוניות גדולות. אנו כן רואים בזה ערך למקרה שנצטרך להגיע למקום. זה חלק מהסמכויות שלנו. אז משצמצמנו וצמצמנו אנו רואים ערך בנושא המען. אפשר להוסיף את דרכי ההתקשרות – לזה אין מניעה. לעניין פרק הזמן ההצעה שלנו הייתה 14 יום אבל הוועדה - - -
ליאור אתגר
¶
לעניין לקוחות גדולים למשל מהמגזר הפרטי שיש להם מעל 100,000 לקוחות, לא בהכרח שמשנים מען פיזית אבל לפעמים משנים את המען כי עושים שינויים אדמיניסטרטיביים אז אם אפשר לצמצם את זה ולאשר דרכי התקשרות – יהיה יותר יעיל לנו וגם בהיבט של מספר הימים, 14 יום זה פרק זמן יחסית קצר. אולי כדאי כפי שיקבע השר או כפי שהרשות תקבע, אבל פרק זמן שלא יעלה על, לצורך העניין. אנו חושבים שזה פרק זמן יחסית קצר.
בנוסף, הסיפור של שינוי המחייב עדכון. זה לא לגמרי טריוויאלי. יש מקרים - אפשר להתווכח על זה, אם השינוי היה מחייב עדכון או לא. נשמח שתבהירו על מה חשבתם כשדיברתם על זה.
ראובן אידלמן
¶
אנו צמודים להוראות מתי מתקנים את מסמך הגדרות המאגר, קבועה בתקנות הגנת הפרטיות אבטחת מידע, ואנו צמודים לחובת העדכון שם. לא מייצרים פה חובת עדכון נוספת. כשצריך לעדכן את מסמך הגדרות המאגר לפי התקנות, אז גם צריך ליידע.
עמית יוסוב עמיר
¶
זה כתוב. - - - דרכי ההתקשרות עימו או שינוי המחייב עדכון של מסמך הגדרות המאגר - - -
עמית יוסוב עמיר
¶
נכון. זה הושמט. אקריא מהנוסח שלי. וכן על כל שינוי בפרט מהפרטים האמורים או על שינוי במסמך הגדרות המאגר המתחייב בהתאם להוראות האמורות. מפנה לסעיף המסמיך לקביעת תקנות אבטחת מידע. תודה על ההערה.
עמרי רחום טוויג
¶
לגבי מסמך הגדרות המאגרים. דיברנו על זה אני חושב בדיון הקודם, רשימה ארוכה של הפרטים שהוצעה בתחילה. מסמך הגדרות המאגרים כולל גם מידע על הסיכונים שחלים על המאגר ודרכי התמודדות איתם. אני חושב, שאולי לא נכון שמידע כזה יסתובב בהיקפים גדולים, או לכל הפחות לפחות לא דרכי ההתמודדות עם הסיכונים. כיוון שיש פה היבטי אבטחת מידע, אני מציע לחשוב על זה.
ראובן אידלמן
¶
הרשות להגנת הפרטיות מקבלת כדבר שבשגרה מסמכים בנוגע לאבטחת מידע כחלק משלל הליכי האכיפה ומאות אירועי אבטחת המידע שמטפלת בהם בשנה. זה דבר שגרתי לגמרי. יש לזכור שאנו מטפלים בדלפים ובאירועים שקורים בזמן אמת כך שאין פה סיכון יתר מעצם העברת המידע. זה חלק ממסמך הגדרות המאגר. דובר על זה בדיון הקודם שמסמך הגדרות המאגר זו דרישה- -
ראובן אידלמן
¶
יהיה ממשק באתר לגבי היידוע. לגיטימי שיהיה ממשק מאובטח. בסדר. לא צריך להירשם בחוק אבל בסדר.
היו"ר שמחה רוטמן
¶
לא הבנתי. לכם ייקח 60 יום לרשום אבל רציתם שיגישו לכם מסמכים תוך 14 יום? איך זה עובד?
היו"ר שמחה רוטמן
¶
אני לא דן בשאלת פרק הזמנים כרגע. סתם אומר, לרשום במאגר בתוך 90, 60 או 30, כשאנו מבקשים מאחרים להביא דברים תוך 14 יום זה קצת משונה, בהתחשב בעובדה, שלדעתי, כל רשות שלטונית במדינת ישראל שמקבלת בקשה לעשות שימוש בסמכויותיה לפי חוק לתיקון סדרי המינהל החלטות והנמקות, התשי"א, אם אני זוכר נכון, צריכה תוך 45 יום להיענות. בתקשי"ר זה 14 יום. בחוק זה 45 יום. פעם היה שלושה חודשים. 60 יום לרשום במאגר בעידן הטכנולוגי של ימינו – מבין שזה מעורר שאלות ואת מבקשים המשכים ופינג פונגים – אני מבין, אבל 60 יום זה המון-המון זמן. המון.
ניר גרסון
¶
בעולם של היום שבו מדווחים לנו ובמקרים שנותרו עדיין יוגשו בקשות רישום כדי שנבדוק, בעולם שבו העיבודים הופכים מאוד מורכבים גם אחרי שכל המידע היה בעיבודי דין מורכבים, שמערבים כל מיני אלגוריתמים של בינה מלאכותית, ייתכן מאוד שייקח יותר זמן.
היו"ר שמחה רוטמן
¶
יש לי שאלה אחרת. כאשר עד היום, כשלא נרשם מאגר, הוא לא היה יכול לפעול. זה היה הכלל. עכשיו אנחנו אומרים: יש חובת רישום, והרבה מאוד מאגרים, אין חובת רישום ומתחילים לפעול מיידית. השאלה האם כשהמאגר שלי הופך להיות מאגר חייב ברישום ונניח שלא חיכיתי לא את ה-14 יום ולא את ה-30 יום באדיבות היושב-ראש אלא מייד באותו יום שלחתי, האם זה אומר שעכשיו אסור לי לפעול כי עברתי את ה-100,000? מתי חייבים רישום?
היו"ר שמחה רוטמן
¶
סליחה, לא 100,000. גוף ציבורי – אני סומך עליהם. אני מדבר על במאגר למעלה מ-10,000 נושאי מידע של הדאטא ברוקרס. יש לו 9,900 נושאי מידע. אתמול בבוקר עבר את 10,000. שלח לכם מייד עם מעברו את הבקשה. האם הוא יוכל להמשיך ולעבוד עד שאתם תואילו בטובכם לרשום את המאגר או הוא כרגע בהולד ולא יכול לעבוד?
נעמה מנחמי
¶
כי כתוב ב-ג: או שהוגשה בקשה – לא יעבד אלא אם כן נרשם, או שהוגשה בקשה לפי הוראות סעיף 9 וחלפו 30 ימים מציעה להוסיף וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום מאגר.
היו"ר שמחה רוטמן
¶
כלומר כדי שאתם תוכלו לעצור אותי את הדאטא ברוקר מלפעול, אתם צריכים תוך 30 יום – יש פה לימבו, מה קורה באותם 30 יום.
היו"ר שמחה רוטמן
¶
יכולים לעשות זאת גם אם לא נרשמתי. קודם כל, על ג1 אם פעלתי כדת וכדין, ביקשתי בקשה לרישום, אני עובד. אתם תגידו לי סטופ, בין אם רשמתי את המאגר, בין אם לא רשמתי. אם אתם חושבים שזה הפרה שנתיים אחרי, אתם יכולים לומר לי. נכון שביקשתי מכם פרה רולינג ועוד נדבר על הסעיף של פרה רולינג. אבל בינתיים מותר לי לעבוד עד שתעשו לי סטופ. עד פה הכול בסדר. הגוף הציבורי שמבקש לרשום, לכאורה גם אם מגיש את הבקשה לרישום – הוא מסודר. יכול לפעול. אותו דבר. אז למה אני צריך מגבלת זמן עליכם?
ניר גרסון
¶
לכן חשבנו שאין צורך כי בחוק הקיים היום מי שמגיש בקשת רישום, חלפו 90 יום ושתקנו, גם אם לא רשמנו יכול לפעול. אבל כיוון ששינינו את הפרדיגמה, ברגע שהגיש את הבקשה יכול להמשיך לפעול, לא היה רלוונטי משך עצמו בגלל מה שאדוני אמר.
היו"ר שמחה רוטמן
¶
אמרתי – לכאורה יכול לתת לכם כמה שאתם רוצים אבל זה משנה את הדיפולט, כלומר יכול להיות מצב שאחרי שנתיים שאני עובד בנחת, פתאום מצאתם את הבקשה שהגשתי לפני שנתיים והחלטתם לעבוד עליה ואומרים לי: לא רושם אותך, ובאותה שנייה אני צריך למחוק את המאגר. אסור לי לקיים אותו.
היו"ר שמחה רוטמן
¶
אני חושב לרשום אותו במאגר, ולא צריך בכלל לרשום זמנים. צריך לרשום את הזמנים בסעיף ג, שזה אומר נגיד את הזמן שאחרי 60 יום משנה את ברירת המחדל. אחרי 60 יום לא תוכלו להגיד: לא רושמים אותך ואסור לך לעשות את זה – תצטרכו לנקוט הליך הפרה.
נעמה מנחמי
¶
אולי בסוף. אולי: וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית הרישום במאגר – או שחלפו 60 יום.
נעמה מנחמי
¶
נכון. לא הודיע למבקש בתוך 60 ימים. עדיין לא בטוחה שזה יושב מספיק טוב אבל הבנו את הרעיון.
היו"ר שמחה רוטמן
¶
ואולם אם דרש ראש הרשות ממגיש הבקשה מידע ופרטים נוספים, לא יובא במניין התקופה כאמור פרק הזמן שעד להגשת מידע ופרטים כאמור. כי זה יכול להיות לנצח.
היו"ר שמחה רוטמן
¶
את לא רושמת בכלל. אם תחשבו שצריך להשעות את הרישום, מותר לכם. השאלה אם זה לא ידחוף אתכם דווקא להשעות.
ראובן אידלמן
¶
אם הכנסנו את 60 הימים למעלה, זה כן נדרש, כי אחרת יכול להיות שאנו מבקשים מידע נוסף והוא לוקח את הזמן אז ברור שמירוץ 60 הימים לא ממשיך לרוץ בזמן שאנו מחכים ממנו לעוד פרטים. לכן נועד הסעיף הזה. אם הכנסנו למעלה את 60 הימים, את החריג צריך להכניס למעלה. צריך להיות צמוד לאיפה שפרק הזמן מופיע.
היו"ר שמחה רוטמן
¶
ראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום המאגר או דרש פרטים נוספים. אפשר להכניס את זה גם למעלה. או דרש ממנו פרטים נוספים בתוך אותם 60 יום.
היו"ר שמחה רוטמן
¶
יכול להיות. הרעיון מובן. הבעיה שלי – אם דרשו פרטים נוספים – זה מייצר פרק זמן מאוד ארוך, אבל בזמן הזה- -
נעמה מנחמי
¶
לא עצם זה שביקשו פרטים נוספים. זה שביקשו פרטים נוספים - מאריך את התקופה עד שענו על הפרטים.
היו"ר שמחה רוטמן
¶
נכון. וחלפה התקופה האמורה בסעיף 10א1. יהיה 60 יום, ואולם – וכו' – לא יבוא במניין. זה שואב את הסעיף.
גלעד סממה
¶
לגבי השר באישור ועדת חוקה – הסיפא: וכן רשאי לקבוע הוראות לעניין - אופן ההודעה. חובת ההודעה, ג1(2). רשאי לפטור זה באישור ועדת חוקה.
היו"ר שמחה רוטמן
¶
מצוין. ראש הרשות רשאי לרשום מטרה שונה מזו שפורטה בבקשה, לרשום מספר מטרות למאגר, או להורות על רישום המאגר כמספר מאגרים. ראש הרשות לא יסרב לרשום את מאגר המידע לפי פסקה (1) ולא יפעיל סמכויותיו לפי פסקה (2), אלא לאחר שנתן למבקש הזדמנות לטעון את טענותיו.
היו"ר שמחה רוטמן
¶
(ב3) ראש הרשות ימחק רישומו של מאגר מידע מהמרשם, אם הודיע לו בעל השליטה במאגר שהמידע שבאותו מאגר בוער או שהועבר למאגר רשום אחר ואינו קיים עוד או שאינו מחויב עוד ברישום.
נעמה מנחמי
¶
הדיון שהיה פה בפעם הקודמת על מצב שבו יש לנו שני מאגרים שמאוחדים לאחד, והראשון לא מבואר אלא פשוט מועבר. נהדק את זה בנוסח אבל זו הייתה הכוונה.
11, בהמשך לדיון שהיה כאן קודם, איני בטוחה שכרגע – הותרת סעיף 8א כפי שהוא מחייב בהכרח סעיף 11 כפי שהוא.
נעמה מנחמי
¶
אפשר גם להחיל את חובת היידוע בלי קשר לפנייה לאותו אדם לקבלת המידע תוך לעשות את זה בדומה ל-GDPR ותוך הוראת מעבר שאומרת שהסעיף לא יחול נגיד על עיבוד – שמידע שהתקבל או נאסף לפני תחילת חוק זה. הרעיון הוא שאם אתה מתחיל עכשיו עיבוד מידע או אוסף עיבוד מידע חדש, תדאג להודיע את זה לאנשים.
ראובן אידלמן
¶
או לשים פלקט שאומר: כאן מצולם מידע שאחר כך אני מוכר במסגרת הפרויקט שיש לי למבקרי הכותל. הרעיון הוא ליידע.
עמרי רחום טוויג
¶
- - - חובה עקיפה אבל שוב, זה חובה מהותית של חובות שלא קיימות. למשל, האם חלה על אותו אדם חובה חוקית למסור את המידע או מסירת המידע תלויה ברצונו ובהסכמתו? דיברנו פה על מקרים שבהם איסוף מידע לא ישאיר מידע כהגדרתו בפרק ב' יכול להיות פטור מהסכמה לחלוטין אז על מה בדיוק איידע?
עמרי רחום טוויג
¶
ב-GDPR מיידעים על הבסיס החוקי שעל בסיסו מעובד המידע, שיכול להיות דברים רבים שאינם הסכמה.
עמרי רחום טוויג
¶
יש פטורים שחלקם כתובים פה. למשל אם זה בלתי אפשרי או יש נטל בלתי סביר. זה לא כתוב פה כי פה יש דרישה כפולה – גם בלתי אפשרי וגם זה למטרת ארחוב.
עמרי רחום טוויג
¶
ויש חריג נוסף ב-GDPR שנמצא גם בתקנות הרישוי, ששם יש חובת יידוע עקיפה שמגיע מהאיחוד האירופי – שזה מצב שבו בעל השליטה במאגר יש לו יסוד סביר להניח שנושא המידע כבר יודע את זה כי קיבל את היידוע הזה ממישהו אחר בשלב מוקדם יותר. חשוב שיהיה פה. יש את זה גם בתקנות הגישור.
עמית יוסוב עמיר
¶
יש לומר, ההצעה כשלעצמה מבורכת, אבל זה עניין מאוד גדול ומורכב. אני מניח שחברות שעושות את זה ממילא, - - - הנטל הרגולטורי עליהן פחות משמעותי מהוספת ההוראה. חברות אחרות אנו דנו בזה בתקנות הגישור לגבי חברות שלא מותאמות היום.
עמית יוסוב עמיר
¶
אחד הדברים שנכנסו בתקנות הגישור, ומתוכננים לתיקון 15, בהחלט נדרשנו לנושא. גם בתקנות הגישור יש הוראה הרבה יותר ארוכה של חריגים. יש לזכור גם גופים ביטחוניים וגופים ציבוריים אחרים. יש חובות סודיות, כל הסיפור העיתונאי. אם רוצים להיכנס לדיון בסעיף כזה, יש לפרוס יריעה רחבה לגבי השיקולים שאמורים להיכנס פה לעניין החריגים. זה לא שיש לנו התנגדות עקרונית כאמור. עיקר הנטל פה הוא על המשק אבל אם רוצים, צריך להציע נוסח מסודר ולהיכנס פה לדיון כי החריגים לא יכולים לעמוד כשלעצמם. למשל, ברור שגופי הביטחון לא יכולים לעמוד בזה. גם גופים ציבוריים אחרים.
היו"ר שמחה רוטמן
¶
השאלה היא למה לא לקחת את מה שיש לנו בתקנות הגישור ולהעלות אותו לרמת החקיקה לכולם? עשינו בגישור, החלנו את זה – אמרנו: באותו מאגר לא יהיו דרגים. השאלה, האם לא הגיע הזמן לצעד נוסף ולקחת בגדול מה שיש בתקנות הגישור?
היו"ר שמחה רוטמן
¶
את אותו מנגנון, של רשאי לפטור מחובת היידוע לרשם, אפשר לעשות מנגנון דומה לפטור מחובת היידוע לאזרח, נקודתית.
היו"ר שמחה רוטמן
¶
לדיון הבא נכין הצעה בנושא הזה. כרגע אני חושב, שכדאי שנהיה באירוע של אנו מדברים על מי שפונה, כדי שזה יהיה הנוסח שכרגע אנו עליו. מבקש שלדיון הבא תכינו נוסח שמבוסס פחות או יותר על תקנות הגישור, ונכין אותו.
עמית יוסוב עמיר
¶
רק אם אפשר בסעיף 10 נראה שנשמטה איזו פסוקית, 10ו, הערה מהדיון הקודם של מרכז השלטון המקומי, בשאלה מה קורה אם ההפרדה היא בידי – הצענו להוסיף, סימנת בצהוב.
היו"ר שמחה רוטמן
¶
מירה בזום. אנו לא יכולים להסתדר בלי מירה אפילו לא לרגע אחד. אם היא לא פה, היא בזום.
נעמה מנחמי
¶
היה קושי שהעלו הרשויות המקומיות שעלול להיווצר מצב, שבו הם לא יוכלו להמשיך לפעול כי עוצרים להם את המאגר, ואז הרשות והממשלה התבקשו להציע נוסח והם הציעו לפתור את הקושי בהוספת הביטוי: אם שוכנע כי הדבר נדרש בנסיבות העניין כלומר כדי שהרשם יוכל להפעיל את האכיפה שלו – לא אכיפה. את התליית הרישום בצורה רכה יותר.
מירה סלומון
¶
כפי שציינו, הבעיה היא שהסעיף הזה כן אכיפתי, כי בא יחד עם הסעיף שאוסר על שימוש במידע ללא מאגר מידע רשום כשמדובר ברשות מקומית. לכן ביטול הרישום, הוא דה פקטו מהווה איסור השימוש במידע. כאשר מדובר ברשות מקומית, שהמידע דרוש לה לצורך התושבים שלה, לצורך מתן שירות לתושבים, מי שנפגע זה לא הרשות המקומית עצמה. היא לא סוחרת מידע. היא לא עושה הון מהמידע הזה. מי שנפגע זה צדדי ג' שהיכולת של הרשות לתת להם שירותים נפגע. לכן בטח ובטח כשמדובר במחזיק שפועל שלא כדין, וכשהרשות המקומית עשתה כל שביכולתה לטפל בבעיה, להשאיר את הסעיף כפי שהוא ולומר: אם זה דרוש לדעת הרשות להגנת הפרטיות לדעתנו זה לא מספק.
אנו חושבים שזה לא מהווה איזון נכון בין השיקולים במקרה שמדובר ברשות מקומית דווקא כי הסעיף הזה הוא כן סנקציה, כן אכיפתי. הוא לא נקרא לבדו. נקרא יחד עם איסור לעשות שימוש במאגר המידע.
עמית יוסוב עמיר
¶
אולי חשוב להבהיר ואולי יפיס את דעת מרכז השלטון המקומי – בעצם יש קשר ישיר בין הדברים. העובדה שהדבר נדרש בנסיבות העניין מלמדת קודם כל שהוא מועיל, כלומר ברור שאם בעל השליטה עשה ככל יכולתו למנוע את ההפרה, וההפרה היא אצל המחזיק, וההתליה ממילא מופנית לבעל השליטה ולא למחזיק, ההתליה לא דרושה בנסיבות העניין. כלומר דרוש בנסיבות העניין מכיל בתוכו גם את העיקרון הבסיסי שזה מועיל. אם בעל השליטה עשה כל שביכולתו, וההפרה היא אצל המחזיק, לצורך העניין בעל השליטה יורה למחזיק להפסיק, ואז אנו הולכים לעולמות העיבוד ללא הרשאה.
מירה סלומון
¶
הבעיה שיש פה גם התליה וגם ביטול. הרעיון בהתליה לתקופה מסוימת, עד שהרשות המקומית מחליפה מחזיק, כמובן לא יכולה לעשות משהו בקשר למחזיק שעשה שימוש שלא כדין במידע שלה, למעט חילוט ערבויות, פיצויים מוסכמים וכדומה, אבל יש הבדל בין התליה לביטול והסעיף הזה לא מבחין בשום צורה בין התליה של המאגר לביטול מוחלט שלו, גם התליה – לאיזה פרק זמן, מה קורה במצב כזה לתושבים שצריכים את המידע הזה, כשהרשות צריכה מידע כדי לתת להם שירותים. האמירות שחשובות לפרוטוקול – אני לא מזלזלת לשנייה במה שאומר נציג משרד המשפטים לפרוטוקול לגבי האופן שבו עושים שימוש בביטוי הדרוש אבל האמירות פה לא מובנות שיקול דעת, לא קובעות פרק זמן, לא מייצרות ידיעה במצב שהוא – שוב, בשונה מסחר במידע שבו הכיס של הסוכן נפגע, פה הפגיעה היא בצדדי ג'. דווקא בציבור ולפעמים בציבור חלש. יותר צריך את המידע הזה ושהרשות המקומית תעשה בו שימוש. שמים הכול יחד באותן אמירות ואומרים: ככל שהדבר דרוש נסמוך על מנהל הרשות. אין לנו דבר נגד מנהל הרשות הנוכחי אבל החוק לא מתייחס לפרסונה ספציפית.
מירה סלומון
¶
אנו חושבים שכשמדובר ברשות מקומית, קודם כל אי אפשר לדבר על ביטול של הרישום, ביטול של המאגר. כאשר מדובר בהתליה, יש להבהיר שההתליה היא לצורך תיקון ולא לצורך מחיקה מוחלטת או חוס יכולת לעשות שימוש אלא להבהיר שזו הכוונה – להתלות את הרישום כדי שאפשר יהיה לעשות תיקון של הדברים. ושוב, בהבחנה ממצב של מחזיק או בעל שליטה, מאגר מידע שאינו רשות מקומי. גוף ציבורי לא אכנס. בטח לא רשות מקומית.
ראובן אידלמן
¶
דובר על כך בהרחבה בדיון הקודם. היה דיון ארוך סביב הנושא הזה. גם לפי עמדת הוועדה הרישום נדרש בפרט לגבי גופים ציבוריים. לגבי גופים ציבוריים, למשל משרדי ממשלה, היכולת להטיל עיצום כספי הרבה יותר נמוכה. הסעיף הזה, שהוא סעיף שנעשה בו שימוש במקרים מאוד חריגים, ייעשה בו שימוש במקרים מאוד חריגים, נדרש ככלי אפקטיבי דווקא לפעמים מול רשויות ציבוריות שאין מולן כלי אפקטיבי אחר, במקרה שההפרה ממשיכה. הדוגמה שנתתי פעם קודמת היא במקרה של דלף מידע שהמידע האישי על אזרחי ישראל ממשיך למשל לדלוף ופרטיותם ממשיכה להיפגע, ויש התנהלות שלנו מול אותו גוף ציבורי וההפרה לא נפסקת, זה יכול להיות מקרה מתאים ליישום הכלי הזה. הייתי רוצה להאמין שלא נגיע לזה – לא עם משרדי ממשלה ולא עם רשויות מקומיות אבל הכלי הזה שהוא בחוק החדש, לא סעיף חדש, נועד כאמצעי חריג בדיוק לאותם מקום ששום אמצעי אחר לא יכול להיות אפקטיבי. הוספנו פה ריכוך מסוים בעקבות הדיון של הפעם הקודמת, שאומר שנפעיל את זה כשהדבר נדרש במקרה הספציפי כלומר נדרש להפסקת ההפרה. אני רוצה להניח שרשות מקומית - זה לא קורה ביום הראשון. יש פה תהליך שלם וגם כתוח שצריך לאפשר להם להשמיע טענותיהם וכו'. אני רוצה להאמין שלא נגיע למצב הזה אבל אם תהיה רשות מקומית שתצפצף במירכאות או גם גוף ממשלתי על הוראות של הרשות וכתוצאה מזה מידע ממשיך לדלוף החוצה והפרטיות ממשיכה להיפגע, יכול להיות מקרה מתאים לעשות שימוש בסעיף הזה. זה מקרה חריג. התוצאה של זה תהיה כפי שמירה אמרה שאי אפשר יהיה להשתמש במאגר המידע על כל המשתמע וזה כל היעילות שלו.
היו"ר שמחה רוטמן
¶
השאלה היא האם השכנוע שהדבר נדרש בנסיבות העניין הוא החסם מפני התוצאות הקשות לרשות? אני אומר: האחריות של הרשות לתת הנחות לנכים שזקוקים להנחה בארנונה תלויה בשיקול הדעת של ראש הרשות להגנת הפרטיות? זה קצת קשה. לא שיש לי פתרון טוב יותר כרגע. אבל זה קצת קשה.
מירה סלומון
¶
אנו כבר רואים, שגם הרשות מתייחסת לכלי הזה כסנקציה. עובדה היא שהיועץ המשפטי לרשות להגנת הפרטיות מתייחס לזה בכפיפה אחת עם הסנקציות והעיצומים הכספיים כלומר גם הוא מבין שמדובר פה במכשיר לביצוע אכיפה כלפי גוף שלא עומד בתנאים. כפי שאמר אדוני, ביחס לסעיף 8, אותו דבר נכון ביחס לסעיף 10א. ההפרה רחבה מאוד. ההפרה של דיני הגנת הפרטיות בלי הסבר קלה כבחמורה, קטנה כגדולה, דין כזה או דין אחר, הכול מאוד תלוי- -
ראובן אידלמן
¶
מול גופים ציבוריים היכולת מאוד מוגבלת. זו האמת. הוועדה סברה, שנדרש רישום על גופים ציבוריים על אותן תכליות.
היו"ר שמחה רוטמן
¶
מה זה נותן? נניח שלא מירה אלא חלק ממיוצגיה יקבלו את המכתב שלכם שאומר: מאגר המידע שלכם אסור בשימוש, ויתייקו אותו באדיקות בפח האשפה וימשיכו לעשות מה שעושים. מה תעשו? כלום. מה זה נותן לכם יותר ממה שיש לכם היום?
היו"ר שמחה רוטמן
¶
את הקביעה הזו אתם יכולים לעשות באמצעות הטלת עיצום כספי על עיריית מעלה – מי אוהב להשתמש בשם הזה? עמית. נווה חמציצים. אתם תטילו עליהם מכתב שהם פועלים בניגוד לחוק. מה משנה אם תודיעו לכם שהמאגר מבוטל רישומו? איך זה שונה מאשר ששלחתם להם מכתב, ופרסמתם באתר הרשות ושלחתם את זה בהודעות דוברות ופרסמתם שהרשות הודיעה לנווה חמציצים שמאגר הזה שלהם אסור בשימוש והטילה עליהם עיצום כספי של 500,000 שקל? במה החיים שלכם שונים יום למחרת?
ראובן אידלמן
¶
משפטית – דיברנו על זה הרבה בדיון הקודם. יש הבדל בין הסעיף הזה לקביעת הפרה כי הסעיף הזה אומר שהמאגר הזה, שיכול להיות מאגר שמשמש, ואפשר לחשוב על גוף ממשלתי בהקשר הזה.
ראובן אידלמן
¶
המשמעות תהיה שמשפטית אסור לעבד מידע במאגר הזה. זה גם לפי סעיף 10ב2. יש פה איסור נורמטיבי חזק יותר מעצם ההפרה. לכן זה נדרש וצמוד לרישום.
היו"ר שמחה רוטמן
¶
אבל אסור לעבד מידע שהושג שלא כדין לצורך העניין. גם אם ההוראה הנורמטיבית הזו קיימת. יש מחלוקת ביניכם לעירייה לגבי 8א, האם הסעיף הזה חל או לא. העירייה אומרת שלא חל, אתם אומרים שכן. תטילו עליהם עיצום כספי, יריבו אתכם בבית משפט, לא יריבו, ילכו אתכם ליועץ המשפטי, יביאו אתכם לוועדת הכנסת וישאלו למה אתם כאלה. יעשו מה שרוצים. אתם אמרתם: שיגעתם לנו את השכל – לא רק שאנו מטילים עליכם עיצום כספי שלא הקשבתם לנו וגררתם אותנו לבית משפט – אנו אומרים לכם: אין מאגר. הם ממשיכים לצפצף עליכם. מה קורה?
ראובן אידלמן
¶
יש לנו סמכות להגיע למקום – ודאי, ואם יש לנו יסוד סביר להניח שהופר החוק אנו יכולים להוציא צו תפיסה מבית המשפט ואפשר גם לתפוס שרתים. רוצה להאמין שלא נגיע לזה.
ראובן אידלמן
¶
משפטית יש חשיבות גדולה מאוד לזה שיש פה קביעה שהמאגר הזה בלתי חוקי, ומרגע זה אסור לעבד בו מידע. זו החשיבות של הסעיף הזה.
ראובן אידלמן
¶
זה לא אותו דבר. היא לא תהיה עבריינית עד הסוף ראש בקיר לא משנה מה. משפטית יש פה מדרגה נוספת שאומרת: המאגר הזה שבאמצעותו הרשות המקומית משרתת- -
היו"ר שמחה רוטמן
¶
בדיוק כשאנו מגלים שהיועץ המשפטי של משרד האוצר חושב שלא צריך להגיש תקציב בזמן לפי חוק יסוד, אתה חושב שרשות מינהלית לא תהיה עבריינית.
מירה סלומון
¶
גם אם היא תהיה עבריינית, בסופו של יום הגורם שנפגע כתוצאה מההתנהלות הזו, מהעובדה שלא מאפשרים לרשות- -
היו"ר שמחה רוטמן
¶
לא מצליח להבין מה הדלתא עבורכם. לא מצליח להבין מה אתם מתרגשים. אם אתם מצפצפים על התרעה מינהלית – צפצפו גם על זה ואם אתם מתרגשים מזה – תתרגשו גם מזה. לא מבין על מה אנו רבים פה.
ליאור אתגר
¶
מופנה יותר לראובן – לא ברור מה התווך שבין עיבוד מידע לעיבוד מידע במאגר מידע כי כלי האכיפה שלכם הם רק סביב מאגר המידע, ומה שפה כבוד היושב-ראש מדבר והחבר'ה מהרשות המקומית – אומרים: אנו יכולים לעבד מידע. לא רשמתם מאגר המידע אבל העיבוד קיים. יש למצוא כלי לפקח על המצב הזה.
ליאור אתגר
¶
אם אתה לא בהפרה של סעיף 22 לצורך העניין, אתה בעיבוד מידע שיכול לטעון: אני לא מפר שום דבר. אתה אומר: אמרת לרשום מאגר. יש פה התנגשות.
ניר גרסון
¶
בישיבה הקודמת היה על זה דיון ארוך. יש הבדל כי כשהרישום מותלה או מבוטל – גם התליה תהיה צעד אחרון – זה עוד לא קרה – הופך את העיבוד לעברייני לגמרי, ואנו באמת רוצים להאמין שגוף ציבורי גם אם היה ויכוח והפר פה ושם, לא ירצה להגיע למצב שבו הוא מוכרז כעברייני לחלוטין.
ראובן אידלמן
¶
בהצעת חוק שהתכליות שלה הן חיזוק כלי האכיפה של הרשות להגנת הפרטיות, אנו מבקשים לשמור על הסמכות הזו שהיא קיימת בחוק הקיים, והיא כלי נוסף בארגז הכלים המוגבל מול גופים ציבוריים.
מירה סלומון
¶
אבל היום יש איסור נוסף שמיתוסף במסגרת הצעת החוק – זה פעם ראשונה. פעם שנייה, הגיע הזמן שנוסחים משנת 1980 ו- יעברו עיבוד וחשיבה מחדש, כי בכל זאת יושבים בוועדה על המדוכה ומנסים להבין את המשמעויות ונוסחים שבעבר היו אולי מאוד ברורים, שנותנים סמכויות רחבות בלי לחשוב על ההשלכות והמשמעויות. ופעם שלישית, שוב, יש פה אוכלוסייה שנפגעת כתוצאה מהסנקציה הזאת. זה מתחדד עוד יותר כשהבעיה היא אצל המחזיק ולא אצל הרשות המקומית.
ניר גרסון
¶
אם הבעיה אצל המחזיק וניתקת את הקשר איתו - אמרתי הרבה פעמים – לא נתלה לך את המאגר כי לא נחוץ בנסיבות העניין, נקודה.
גלעד סממה
¶
בנוסף, מירה, דווקא כשמדברים על חקיקה ישנה שלא מעודכנת, אנו במציאות שצריך לחזק את כלי האכיפה של תחום עיבוד המידע. אנו לא צריכים להיות במקום שבו אנו אומרים: בגלל שיש רשות כזו או רשות אחרת – אנו בשיתוף פעולה מצוין אתכם ומכירים את המורכבוית של הרשויות המקומיות ופועלים בשיקול דעת מאוד גדול כדי לקחת בחשבון את הקשיים שלכם, אבל מה שאת מציעה גם לא חל רק על הרשויות המקומיות - יחול על דברים אחרים ואנו כשאנו מעדכנים חקיקה שמטרתה חיזוק- -
היו"ר שמחה רוטמן
¶
אני משאיר את זה. אני חושב ששוכנע שהדבר נדרש בנסיבת העניין לא מעלה ולא מוריד יתר מדי. לא רואה את התועלת בזה. להפך, אני לא רוצה שתיכנסו לשיקול הדעת של נסיבות העניין של כל רשות.
היו"ר שמחה רוטמן
¶
אני לא חושב שזה משנה. מה שתרצי, מפרגן לך. אני כן חושב, ובנושא הזה מה שגלעד אמר נכון – המטרה שלי בחוק הזה היא גם להגביר את הפיקוח על הרשויות השלטוניות. אני מכיר את מערך הכוחות ואת הבעיות בשלטון מרכזי מול שלטון מקומי אבל עדיין בסופו של דבר אני רוצה יותר פיקוח כלפי רשויות שלטוניות שמחזיקות מידע על אזרחים. זה אחת המטרות שלי. לצערי, עיצומים כספיים בדרך כלל פחות עובדים אל מול גופים ציבוריים. איפה אנחנו?
היו"ר שמחה רוטמן
¶
בעל שליטה במאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.
השר, בהסכמת ראש הממשלה ובאישור ועדת החוקה רשאי לקבוע הוראות לעניין האחריות לאבטחת המידע הקבועה בסעיף קטן (א) ובסעיף 17ב(ב), ובכלל זה היקפה והחובות הכלולות בה, וכן לעניין דרכי אבטחת המידע כאמור, בין השאר בעניינים אלה: הגנה פיזית ולוגית על המאגר; סדרי הניהול וכללי העבודה במאגר המידע ובקשר אליו, לרבות לעניין קביעה של הגבלות על גישה של מועסקים למידע. בתקנות לפי פסקה (1), יכול שייקבעו הוראות שונות לגבי מאגרים בעלי מאפיינים שונים. תקנות לפי פסקה (1) יחולו על גופים המנויים בפרטים 2 ו-3 בתוספת הראשונה לחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח–1998 - יותקנו בהתייעצות עם שר הביטחון."
נעמה מנחמי
¶
השינוי שעשנו פה ממורקר בצהוב, שינוים נוסחיים. העברנו את הסכמת ראש הממשלה לראש כדי שיהיה ברור.
עמית יוסוב עמיר
¶
הסעיף הזה מאגם באופן יותר מפורש את הסמכות שהופעלה כבר היום בעת קביעת תקנות אבטחת מידע. המטרה שהסמכות תהיה יותר ברורה ומפורטת. אין פה שינוי מהותי, הסמכות להתקנת התקנות. יש פה כן עיגון של החובה לקבל את הסכמת ראש המשלה כמי שממונה על מערך הסייבר הלאומי לאור הקרבה הנושאית בין נושא אבטחת מידע והגנת הסייבר וכן לעניין אותם גופים ביטחוניים שמנויים בתוספת לחוק להסדרת הביטחון, שם נדרשת גם התייעצות עם שר הביטחון.
ראובן אידלמן
¶
הגופים הם משרד הביטחון, - - - ומפעלי משרד הביטחון שמוגדרים בצו. יש לנו התייחסות אליהם בהמשך בפרק הגופים הביטחוניים – אפשר להידרש יותר לעומק שם.
נעמה מנחמי
¶
17א. מחזיק במאגרים של בעלי שליטה שונים. התיקון בסעיף א הוא נוסח והתיקון של סעיף ב – הסרתו.
ראובן אידלמן
¶
פה יש חובה רגולטורית שקיימת היום ואחרי שקראנו מחדש את החוק הגענו למסקנה שאין צורך. זה חובת לדווח לרשות על מי שמחזיק מעל חמישה מאגרי מידע. הוא צריך להעביר לרשות רשימה של מאגרי המידע שברשותו והפרטים שלהם. בחנו את זה מחדש והגענו למסקנה שזה סעיף שאינו נדרש היום. אנו מבקשים לבטלו. חובה רגולטורית שאינה נדרשת.
דן אור-חוף
¶
באותה נשימה, סעיף קטן (א) בסעיף 17א הוא במידע רבה מיותר. הרשאות גישה נקבעות ממילא במסגרת חובות אבטחת המידע שיש בתקנות, גם בחובות שבהסכם מיקור חוץ בסעיף 15 לתקנות.
היו"ר שמחה רוטמן
¶
למה הסעיף הזה קיים בנפרד? מה משמעותו? בכל מקרה כשאני מחזיק - - - גם מתקנות אבטחת מידע וגם מאחרים, הוא נקבע לפני שהיו תקנות אבטחת מידע.
היו"ר שמחה רוטמן
¶
אם מחזיק רק מאגר מידע אחד של בעל שליטה אחד, הוא חייב לוודא שרק מי שמוסמך מקבל לפי ההסכם. יש פה מכלל הן אתה שומע למה לא.
ניר גרסון
¶
לא. לגבי קבלנים או מחזיקים מקצועיים שמשרתים משרתם של הרבה אדונים, זה גם לא נטל עליהם כי זה לא העסק שלהם.
ענר רבינוביץ׳
¶
זה נטל עצום. לפרט בהסכם מול כל בעל שליטה מי המורשים אצלי שייגשו – זה נטל עצום. זה לא רק שלא מצייתים. אי אפשר לציית.
היו"ר שמחה רוטמן
¶
אתם חושבים שכשמתקשר אדם ואומר: תוסיף לי מורשה אחר, יש הסכם בכתב בין הצדדים בנושא? אולי מתועדת הפנייה, אולי אפשר רטרו לקרוא לזה הסכם בכתב. אבל נכנס לי- -
אייל שגיא
¶
פגיעה בפרטיות של כל מורשי הגישה שהפרטים שלהם עכשיו עובדים. זה גם לא נעשה בהסכם היום, זה בניהול עצמי אצל כל המחזיקים. אתה נכנס לממשק, מוסיף מורשי גישה, מוריד מורשי גישה. זה לא מתנהל ככה מ-95' כשזה נחקק. חבל.
עמית יוסוב עמיר
¶
החובה המרכזית פה - מחזיק במאגרי מידע, להבטיח את ההפרדה בין מאגרי המידע השונים שלכל אחד מבעלי השליטה תהיה גישה רק למאגר שלו, היא- -
היו"ר שמחה רוטמן
¶
מסכים איתך אבל גם אם אני מחזיק מאגר מידע של בעל שליטה אחד והוא אומר לי: את זה תדאג שהוא יראה ואת זה תדאג שהוא יראה, אני חייב אותו דבר, לפי תקנות אבטחת מידע הרגילות.
עמרי רחום טוויג
¶
והפוך. יש נותני שירותים קטנים יותר שבהם כל צוות התחזוקה של נותן השירות רשאי לקבל גישה לכל בעלי השליטה. לא סותר.
היו"ר שמחה רוטמן
¶
מהותית מיותרת. החובה הזאת קיימת גם אם זה בעל מאגר שליטה אחד. לא קשור לכמה בעלי שליטה.
היו"ר שמחה רוטמן
¶
זה רק אומר שאם יש לי הסכם ואני מחזיק כמה מאגרי מידע, אני צריך לרשום בהסכם איתך את כל המורשים אצלי – אחרת אני מפר את החוק. אתה אומר: זה לא נאכף בפועל – משהו אחר, אבל אם אני מחזיק מאגר שלך ושלו, אני צריך לרשום בהסכם עם כל אחד מכם מי מורשה לגשת לכל מאגר. זה מה שכתוב.
ראובן אידלמן
¶
כיוון שזה סעיף בחוק הקיים שלא הוצעו לגביו שינויים, אם הוועדה תרצה, מציע שנוכל בדיון הבא.
נעמה מנחמי
¶
17ב לא נדרש לנו. נדלג על התיוקנים. התיקון לא נדרש – הסעיף נדרש, כי בחרנו לא להחליף את השם של הרשם לממונה אלא לראש רשות לכן לא מבלבל אותנו לקרוא לממונה על אבטחת מידע ממונה – אפשר להשאיר את שמו ולא צריך להחליף את שמו לאחראי על הגנת- - - אין צורך ב-17ב.
ראובן אידלמן
¶
אם אפשר לבקש – הוועדה רצתה בדיון הקודם לשמוע בנושא פיקוח הרוחב של הרשות ונמצא פה הממונה על פיקוח הרוחב.
ראובן אידלמן
¶
זה לא צריך להיות ארוך אבל הוועדה ביקשה הרחבה בעניין הזה ונודה אם אפשר לעשות את זה היום ולא בדיון הבא. גם בדיון הקודם רצינו.
היו"ר שמחה רוטמן
¶
אני יודע, אבל 15:30 ונתקשה לדעתי לדון בזה וגם להתייחס לזה נקודתית. אנחנו כבר באיחור. אני יודע שהאיחור היום של השעה נבע כתוצאה מהדיון החסוי שהיה מוקדם בבוקר למטרה טובה.
היו"ר שמחה רוטמן
¶
מתנצל. אני מסכים. לדיון הבא. תזכירו לי שיהיה בפתיחת הדיון. הבטחתי לגלעד, שיהיה קצר. לכן נחזור על הברכות על ההחלטה האחרונה.
גלעד סממה
¶
תודה, אדוני. אני רוצה להתייחס להחלטה של נציבות האיחוד האירופי. רבים מברכים אותנו, אפשר היה לראות את זה גם כאן בדיון על המשימה הזו, אבל היא ממש לא הסתיימה, וכשאני אומר אותנו זה לא רק הרשות להגנת הפרטיות – זה גם ייעוץ וחקיקה, חבריי שביושבים פה ואחרים שנמצאים במשרדם כרגע והובילו עבודה משותפת יחד אתנו הרשות ועם משרדי הממשלה השונים. אנו יכולים לראות פה שרגולציה מיטבית גם מסייעת לכלכלה ומחזקת אותה. אפשר לראות את זה גם בתגובות של אנשים שנמצאים פה כשהגיבו להחלטה הזו. כאמור המשימה ממש לא הסתיימה. החלטת הנציבות תיבחן על ידי הפורומים השונים באיחוד האירופי. אנו מקווים מאוד שתיוותר על כנה. יש שני דברים ברורים מההחלטה עד כה: אחד, שאנו חייבים לסיים בדחיפות את תיקון 14 כדי להבטיח שהתהליך הזה יסתיים בהצלחה גם כשיבוא לבחינתם של פורומים אחרים באיחוד האירופי. בדוח האיחוד דאגו להדגיש זאת באופן הכי מפורש שיש. גם שלחתי לאדוני את ההתייחסות בדוח הקצר. יש בתיקון 14 רכיבים מהותיים, שעל תיקונם עומדת החלטת הנציבות, ואנו חייבים להביא את ההליך הזה לכדי סיום. הדבר הנוסף הוא, פעילות הרשות בהנחיות, האכיפה וכדומה, היוו גשר בין החוק המיושן שאנו דנים בו היום להצלחת שימור התאימות. החלטת נציבות האיחוד והתבססות על פעילות הרשות במצב בו החוק כה מיושן מדגישים כמובן את ההישג. זו מחמאה גדולה לפעילות הרשות, אך הדבר מספיק בקושי כרגע לשלב הזה. האמירה המפורשת של הצוותים המקצועיים באיחוד האירופי, שנקדם בדחיפות את תיקון 14 ותעזרו לנו לעזור לכם.
אני מזכיר כמובן את הצורך החיוני – אדוני מזכיר זאת בתחילת כל דיון – בתיקון דחוף של תיקון 14 והוא העלאת החוסן הלאומי בזירת הסייבר, דבר שבא לידי ביטוי בהתייחסות למטה ביטחון לאומי וכמובן ביתר שאת עת התחילה המלחמה. אדוני מכיר את הנתונים. משכך אדוני אני מבקש ויודע שגם הוועדה וגם אדוני משקיעים – ואני מעריך זאת מאוד – משקיעים ומושקעים בתיקון. סד הזמנים לוחץ עלינו מאוד, מקווים שנהיה מוכנים להעברה בקריאה שנייה ושלישית ממש במושב הקרוב.
גלעד סממה
¶
במושב הנוכחי כמובן, ואם יורשה לי לומר, עלינו לקחת בחשבון גם כל מיני התייחסויות שאנו עדיין נדרשים לעשות מצד יו"ר הוועדה בתוך משרדי הממשלה, וגם לקחת בחשבון את הזמן של חודש מרס עד סוף המושב הנוכחי שהוא זמן גם של מליאה, ואדוני מכיר את הדברים היטב. מודה גם ליו"ר הוועדה ולוועדה ולייעוץ המשפטי.
היו"ר שמחה רוטמן
¶
אני ממש מתנצל על הדיון היותר קצר ממה שתכננתי היום. אשתדל לפצות אתכם בשבוע שלאחר הבא – שבוע הבא איני נמצא. נאחז את השוק בקרניו, בדרך הארוכה שהיא קצרה, והקצרה שהיא ארוכה.
תודה רבה, הישיבה נעולה.
הישיבה ננעלה בשעה 15:40.