פרוטוקול של ישיבת ועדה
הכנסת העשרים-וחמש
הכנסת
54
ועדת החוקה, חוק ומשפט
20/02/2024
מושב שני
פרוטוקול מס' 265
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, י"א באדר התשפ"ד (20 בפברואר 2024), שעה 11:50
ישיבת ועדה של הכנסת ה-25 מתאריך 20/02/2024
חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024
ח"כים נוכחים
פרוטוקול
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
מוזמנים
¶
גלעד סממה - מנהל הרשות להגנת הפרטיות, לשכת ראש הרשות, משרד המשפטים
עמית יוסוב עמיר - עו"ד במחלקת ייעוץ וחקיקה, משרד המשפטים
לירון מאוטנר לוגסי - עו"ד, משרד המשפטים
שירה גרטנברג - ייעוץ וחקיקה, משרד המשפטים
נ' - משרד ראש הממשלה
מ' - משרד ראש הממשלה
מיכאל גלר - יועמ''ש מחלקת בינה מלאכותית, משרד הביטחון
ישי יודקביץ - ממונה משפטי לחקיקה ביועמ"ש, משרד הביטחון
רפי סלמה - יועמ''ש תקשורת ותקשוב בפצ''ר, משרד הביטחון
חי מסיקה - רע״ן אד״ם, משרד הביטחון
דפנה יפרח - יועמ"ש אטוו"ב מ"י, המשרד לביטחון לאומי
נילי קהלני - ממונה מאגרי מידע מ"י, המשרד לביטחון לאומי
נעמה גורני לר - המחלקה המשפטית, הרשות להגנת הפרטיות
לינא כמאל טרודי - הממונה על האכיפה המנהלית, הרשות להגנת הפרטיות
ראובן אידלמן - היועץ המשפטי, הרשות להגנת הפרטיות
נועה גבע - עו"ד, הרשות להגנת הפרטיות
ניר גרסון - הרשות להגנת הפרטיות
עינת יוסוב - עו"ד, איגוד הבנקים בישראל
שחף קצלניק - יועץ משפטי, התאחדות התעשיינים
עדי בן חורין - יועצת משפטית, מערך הסייבר הלאומי
עמרי רחום טוויג - שותף, מחלקת סייבר וטכנולוגיות מידע
ענר רבינוביץ׳ - מנכ״ל
איה מרקביץ - Privacy Director בחברת PrivacyTeam
אייל שגיא - שותף במשרד עו"ד AYR
רישום פרלמנטרי
¶
שרון רפאלי, אושרה עצידה
רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
היו"ר שמחה רוטמן
¶
צהריים טובים, רבותיי, אנחנו בעניין הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ד-2022. תודה רבה לכל חברי הכנסת. אנחנו היום עוסקים - -
נעמה מנחמי
¶
בפרק ד'2 – פיקוח ובירור מנהלי בגופים ביטחוניים. אולי בינתיים משרד המשפטים יציג לנו את הרציונל של הפרק.
עמית יוסוב עמיר
¶
בוקר טוב, עמית יוסוב עמיר ממשרד המשפטים. הפרק יוצר הסדר מיוחד וגם חדשני בהפעלת סמכויות הפיקוח בגופים ביטחוניים שמפורטים בפרק. הרציונל כאן הוא כפול: היום יש סמכויות פיקוח כלליות לפי חוק הגנת הפרטיות לרשות להגנת הפרטיות בכל גוף עם חריג מצומצם לעניין כניסה פיזית לגופים ביטחוניים. עקרונית יש סמכות. מעשית, מן הסתם, פיקוח בגופים ביטחוניים רגישים זאת פעולה לא פשוטה בהיבט סיווג ומידור ובהיבט של הפרעה לפעילות מבצעית שוטפת של גופי הביטחון. על רגל אחת ההסדר המוצע מבקש מצד אחד לצמצם במידת מה את סמכויות הרשות להגנת הפרטיות כך שהפיקוח לא יופעל ישירות באמצעותה, אלא באמצעות ממונה פנימי שיהיה בכל אחד ואחד מהגופים, ומצד שני בפועל אנחנו מניחים שההסדר הזה יוכל להגביר משמעותית את הפיקוח דה-פקטו בתוך הגופים הביטחוניים מאחר שבכל אחד מהם יהיה בעל תפקיד שהוא עובד הארגון, והוא בעל הסיווג המתאים ובמבנה הארגוני הוא מורשה לקבל כל מידע שהוא זקוק לו בארגון, ולכן יוכל להיות פיקוח הלכה למעשה בכל אותם גופים ביטחוניים כדי לוודא שהם עומדים בהוראות חוק הגנת הפרטיות והתקנות לפיו.
היו"ר שמחה רוטמן
¶
אז בעצם אנחנו אומרים שכל גוף כזה ימנה אדם לתפקיד המפקח. זה לבו של ההסדר ויש פה תנאי כשירות ומה המפקח אמור לעשות.
נעמה מנחמי
¶
נכון. כשבחלק מהגופים הגדולים זה יהיה מישהו שזה כל תפקידו. לדוגמה, אני מניחה שבצה"ל זה יהיה אדם שזה יהיה התפקיד שלו.
היו"ר שמחה רוטמן
¶
אני תהיתי לעצמי אם בצה"ל מפקח פרטיות אחד זה לא קצת בדיחה מבחינת יכולות כוחות השוני בין הגופים, כמות מאגרי המידע. צה"ל זה מגה אימפריה לעומת, בפן כוח האדם, המוסד. אני לא יודע, אבל לפי פרסומים זרים נראה לי שיש במוסד פחות אנשים מאשר חיילי צה"ל; וכל מיני מפעלים, גופים וכדומה – רשות להגנה על עדים שיש עליה חובות סודיות מאוד משמעותיות, אבל מבחינת היקפי המידע, ביזורם אני מניח שכל מאגרי המידע של רשות להגנה על עדים נמצאים במקום אחד פחות או יותר. אני חושב על המסכן שימונה להיות המפקח על הפרטיות של צה"ל. אין פה שום יחס גודל. כנ"ל משטרה, שב"ס – אני לא רוצה לפגוע, פשוט צה"ל הוא הגוף הכי גדול.
ראובן אידלמן
¶
אני היועץ המשפטי של הרשות להגנת הפרטיות. אני מסב את תשומת הלב שיש סעיף מאוד חשוב בתוך ההסדר שאומר שהגוף הביטחוני יעמיד לרשות המפקח הפנימי אמצעים נאותים הדרושים למילוי תפקידו. זה חלק מהמענה. תכף נגיע לזה כשנצלול לתוך הטקסט, אבל זה חלק מהמענה למה שמטריד את אדוני בהקשר הזה.
גלעד סממה
¶
אני ראש הרשות להגנת הפרטיות. רק עוד מילה אחת – זה מנגנון. לא מדובר דווקא על אדם שיעמוד בפני עצמו כי מטבע הדברים קיומם של מנגנונים הגוף הביטחוני אמור לספק לאותו ממונה הגנת הפרטיות או מפקח הפרטיות את האמצעים שזה גם המשאבים לייצר את הפיקוח האפקטיבי.
"גוף ביטחוני" – אחד מאלה
¶
(1) משטרת ישראל;
(2) צבא ההגנה לישראל;
(3) שירות הביטחון הכללי;
(4) המוסד למודיעין ולתפקידים מיוחדים;
(5) מערך הסייבר הלאומי כהגדרתו בחוק להסדרת הביטחון בגופים ציבוריים;
(6) הרשות להגנה על עדים;
(7) שירות בתי הסוהר;
(8) משרד הביטחון ויחידות הסמך שלו וכן המלמ"ב – הממונה על הביטחון במערכת הביטחון;
(9) יחידות ויחידות סמך של משרד ראש הממשלה, שעיקר פעילותן בתחום ביטחון המדינה;
(10) מפעלים הנכללים בצו שהוציא שר הביטחון לפי פרט (3) בתוספת הראשונה לחוק להסדרת הביטחון בגופים ציבוריים, ואשר שר הביטחון הודיע עליהם לשר;
(11) גוף אחר שקבע שר הביטחון, בצו, בהסכמת שר המשפטים ובאישור ועדה משותפת לוועדת החוקה ולוועדת חוץ ובטחון של הכנסת.
(ב)
הוראות סימנים ב' ו־ג' בפרק ד'1 לא יחולו על גופים ביטחוניים, והפיקוח והבירור המינהלי בגופים ביטחוניים יבוצעו לפי הוראות פרק זה.
(ג) שר הביטחון, בהסכמת שר המשפטים, רשאי שלא לכלול בפרסום ברשומות של צו כאמור בפסקה (11) להגדרה "גוף ביטחוני" שבסעיף קטן (א), את שמו של גוף שלגביו הוצא הצו האמור, מטעמים של שמירה על ביטחון המדינה, ואולם הנוסח המלא של הצו, הכולל את שמו של הגוף האמור, יופקד אצל שר המשפטים."
היו"ר שמחה רוטמן
¶
תודה לייעוץ המשפטי של הוועדה על המסמך. אני רואה בעיה מסוימת בהרחבה הגדולה של הגופים. זאת אומרת משרד הביטחון ויחידות סמך – מובן עד רמה מסוימת; צה"ל – מובן; יחידות ויחידות סמך של משרד ראש הממשלה שעיקרן פעילותן בתחום ביטחון המדינה – בסדר; מוסד – בסדר; סייבר – בסדר. בסופו של דבר כשמוסיפים פה גוף כמו משטרת ישראל, מצד אחד זה מכסה דברים כי גם למשטרה יש יחידות חשאיות, סודיות ומידוריות וכל הדברים האלה, וגם עניין של גוף היררכי עם פיקוד – יש לזה משמעות. מצד שני, אם ייכנס למאגר המרשם הפלילי שוטר בניגוד להנחיות – אף אחד לא יפקח עליו מלבד הגורם הפנים-משטרתי? זאת הרחבה דרסטית. אני רוצה להניח, ויכול להיות שאני טועה, שהגורמים הביטחוניים של הצה"ל – בסדר; הגורמים של חיילים – אנחנו יודעים שלחייל מעצם טבעו וחלק מהיותו הכוח הלוחם – זכויותיו גם בחוק היסוד נשמרות עם מנגנון שונה בשים לב לזה שהוא משרת בכוח הביטחון. אבל צה"ל הוא קצת חריג כי רובנו מתגייסים – השאלה אם אנחנו בקמפיין או לא בקמפיין – אבל אין סיבה בעולם שרוב שאר הגופים האחרים יחזיקו עליי מידע כאזרח רגיל שאיננו עוסק בטרור או שאני עובד של הגופים האלה. לא אמור להיות ממשק איתם; לשב"כ – שימו בצד את אירוע השב"כ. שב"ס, משטרה אמורים להחזיק מידע על הרבה מאוד אנשים, אזרחי מדינת ישראל, אפילו לא עם כתם כלשהו. כשאני מגיש תלונה למשטרה המשטרה מחזיקה את המידע לגביי; כשאני מוזמן כעד על איזו עבירה – לא חשוד בכלום, אבל מוזמן לחקירה כעד כאזרח טוב; כשתיק עליי נסגר מחוסר אשמה. אני אפילו לא מדבר על אמצעי surveillance הכלליים שזה מעורר בעיה אחרת – עין הנץ ושות'. בסופו של דבר אני אומר למשטרת ישראל שכל נושא הפרטיות של כל אזרחי המדינה שאתם באים איתם במגע – חבר'ה, you’re on your own – בהצלחה. אתם מפקחים על עצמכם, אתם הסנקציה על עצמכם, אתם הבוס של עצמכם. גם שב"ס במידה מסוימת – שוב, כשמדובר על פרטי אסירים וסוהרים – אני לא אומר שזה בסדר, אבל זאת איזושהי רמה – המידע לגבי מי שביקר אסיר מסוים, עורכי דין, חיסיון עורך דין לקוח שיכול להיות באירוע הזה. עומדים הגופים האלה והדלת ננעלת. כלומר אני אפילו לא אוכל להתלונן אם הצילום שלי ייחשף ברבים כאשר אני ביקרתי במתקן שב"ס בתפקידי כמבקר רשמי, אני אוכל לבוא לשב"ס ולהגיד להם, מה קרה, לא אבטחתם את המידע כמו שצריך. הם יגידו לי, בסדר, דבר עם האיש שלנו.
ראובן אידלמן
¶
אני מניח שהמשטרה תכף תרצה להתייחס. אני רק רוצה להגיד שאנחנו רואים בהסדר הזה כלי להעלאת רמת הגנת הפרטיות בגופים הללו. בסוף יש אדם שתפקידו הוא הגנת הפרטיות בגופים הללו. לגבי יכולת הפיקוח כתוב בטקסט של החוק שהוא פועל לפי הנחיות של ראש הרשות, ולכן בפרקטיקה יש אדם שהרשות יכולה להפעיל אותו באופן תדיר וקבוע. כמובן, צריך להיות חשד להפרות פרטיות בכל אחד מהגופים האלה, והעובדה שיש הסדר כזה והוא מתואם עם הגופים מייצר מנגנון שעל-פניו הוא הרבה יותר יעיל גם ביחס למצב היום שלכאורה הסמכות היא כללית, אבל תדירות הפיקוח היא נמוכה. אני יכול להגיד שהכוונה שלנו ברשות היא שיהיה אדם ברשות שזה תפקידו, וזה גם בדיוני התקציב שלנו מול משרד המשפטים. האדם הזה יעמוד בקשר עם הממונים הפנימיים בגופים הביטחוניים ומפעיל אותם במידת הצורך.
לעניין היכולת להגיש תלונה – מה שאדוני אמר – כל אזרח יכול להגיש תלונה לרשות להגנת הפרטיות, והיא תפעיל את המפקח הפנימי לבירור העניין. היכולת הזאת קבועה במפורש בחוק. לכן מבחינתנו יש שני ההיבטים: מצד אחד היכולת להפעיל סמכויות ישירות קצת מתרחקת, ומצד שני בפרקטיקה יש כאן הסדר שהפוטנציאל שלו להעלות את רמת ההגנה על הפרטיות הוא מבחינתנו מאוד גדול. אני מניח שגם המשטרה תרצה להגיב.
היו"ר שמחה רוטמן
¶
אני רק אומר שהממונה או המפקח זה הסדר אחד שאפשר לדבר עליו, והוא לא בהכרח שולל סמכויות פיקוח ובקרה אחרות.
ראובן אידלמן
¶
אגב, בדרישות שקבענו בהצעת החוק הממשלתית הוא צריך להיות שתי דרגות מתחת לראש הארגון, זאת אומרת זה אדם בכיר בארגון גם ביכולת ההשפעה בתוך הארגון, כמובן. כלומר החלטות חשובות שהארגון מקבל על עיבוד מידע, כמו למשל האיכונים בתקופת הקורונה – אם יש אדם שזה תפקידו בארגון זה קול משמעותי בתוך הארגון כשמעצבים את ההסדרים, זה אדם בכיר.
היו"ר שמחה רוטמן
¶
אני אומר: הסדר המפקח – סמכויותיו, מקומו בהיררכיה – הוא שאלה אחת; שלילת סמכויות הפיקוח של הרשות היא שאלה שנייה. הם לא בהכרח בלינקייג'. זאת אומרת יש לכם גם היום ממונה אבטחת מידע בכל מיני גופים או ממונה על הפרטיות בגופים ממשלתיים וזה לא שולל לכם את סמכויות הפיקוח. גם רשות מקומית אמורה לטפל בפרטיות שלה באמצעות מינוי ממונה. כנ"ל אגב, בנושא חופש המידע: יש ממונה חופש מידע בגוף ויש נציבות חופש המידע. אין נציבות, הם יחידה ממשלתית אבל הם רוצים להיות נציבות, והם צודקים, לדעתי. במדינות אחרות יש נציבות ועדיין יש ממונה שהוא לא כפוף לרשות אבל הוא הרפרנט בחוק. יש להבדיל אלף אלפי הבדלות – יש יועצים משפטיים. זאת אומרת העובדה שיש יועץ משפטי לגוף שהוא כפוף מקצועית ליועץ המשפטי לממשלה – לא שולל. צריך לשלול אבל לא שולל את סמכויות היועץ המשפטי לממשלה.
ראובן אידלמן
¶
פה כתוב שהוא פועל לפי הנחיות הרשות. זה קצת שונה מיועץ משפטי. יועץ משפטי כפוף ליועץ המשפטי לממשלה אבל כאן הזיקה יותר הדוקה, והרשות אמורה להפעיל את האדם.
היו"ר שמחה רוטמן
¶
ראובן, הרשה לי, אתה יודע טוב מאוד מה זה אומר הכפיפות המקצועית של יועץ משפטי במשרד ממשלתי ליועץ המשפטי לממשלה.
ראובן אידלמן
¶
בסדר. רק לעניין הסנקציה בסוף – אין שינוי. זאת אומרת הטקסט המוצע קובע במפורש שכל הסנקציות עומדות לרשות, אותן סנקציות שיש היום.
היו"ר שמחה רוטמן
¶
בסדר, תכף נגיע לזה. אבל צריך לדבר על זה שבעל תפקיד בארגון יגיד לך תטיל סנקציות. אתה תהיה עיוור – אתה לא תוכל להטיל סנקציות בלי הגורם הפנימי.
דפנה יפרח
¶
שלום. אני היועצת המשפטית של אגף הטכנולוגיה והתקשוב במשטרת ישראל. אני רשמתי לי פה נקודה ראשונה בדיוק מה שאמר פה ראובן. אני בשונה מאדוני היושב-ראש חושבת שהמנגנון המוצע לא רק לא מפחית, אלא בהחלט מוסיף רובד נוסף. כלומר לא נשללת סמכותה של הרשות להגנת הפרטיות לפקח על המשטרה, אלא יהיה גורם פנימי שמכין תכנית עבודה ייעודית למשטרה, מכיר את המערכות המשטרתיות, עורך מיפוי, מכיר את השימושים, מכיר את בעלי התפקידים, יש לו יכולת פיקוח גבוהה בהרבה, בעיניי, מאשר לכל גורם חיצוני אחר. זאת אומרת העובדה שיש מפקח פנימי, גם אנחנו רואים בה מדרג גבוה - -
היו"ר שמחה רוטמן
¶
בזה אין מחלוקת. גם אם תרצי לא תצליחי להכניס סיכה ביני לבין ראובן בעניין הזה. גם אני מסכים עם ראובן שהחלק הזה בהחלט משדרג. השאלה היא השלילה של הסמכויות האחרות.
דפנה יפרח
¶
אז אנחנו מסכימים כולנו. זה לא רק ביניכם, זה גם אנחנו.
הניסיון להפריד בין משטרת ישראל לבין יתר גופי הביטחון הוא, בעיניי, קצת מלאכותי. אירועי 7 באוקטובר הם אירועים שמלמדים אותנו עד כמה מאגרי המידע של משטרת ישראל יחד עם גופי הביטחון שיושבים פה סביב השולחן והאינטרס לשמור על מאגרי המידע הוא זהה.
היו"ר שמחה רוטמן
¶
תעני לנו ממוקד. סליחה שאני קוטע אותך. הדברים המוסכמים, מוסכמים. בואי נתקדם. השאלה שלי היא מאוד פשוטה: ההבחנה שאני עשיתי בין משטרת ישראל ספציפית לגופים אחרים, למשל – מאגר עין הנץ. זה מאגר שפחות או יותר כל אזרחי ישראל נמצאים בו, כולל תנועות שלהם, כולל מתי הם נסעו ובאיזה כביש. אין שום גוף שלטוני אחר מהרשימה המנויה פה, אולי מלבד השב"כ – אני לא יודע – שבכלל יש רלוונטיות לסוג מידע כזה שיהיה אצלו, למיטב ידיעתי. אני מקווה שאני יודע.
דפנה יפרח
¶
אז אדוני יראה בחוק מצלמות מיוחדות את רשימת הגופים שרשאים לקבל את החומרים מעין הנץ ויבין שזה לא לגמרי - - -
היו"ר שמחה רוטמן
¶
את צודקת לחלוטין אבל בעל המאגר הוא משטרת ישראל, הוא עין הנץ. אזרח תמים ויישר דרך באופן עקרוני לא אמור להתכתב עם הרוב המוחלט של הגופים פה. עם משטרת ישראל כן – 100 שלך ובשבילך.
דפנה יפרח
¶
אבל אדוני אומר שאם יש לי מפקח פנימי משמעותו שאני לא צריכה למלא אחר הוראות החוק, וזה לא נכון.
דפנה יפרח
¶
הרי בסופו של דבר משטרת ישראל לוקחת על עצמה את החובות כמו כולם פה ומבינה את הצורך ואת החשיבות למלא אחר הוראות החוק הזה. השיטה או הדרך שבהן אנחנו נפקח על זה או נממש את החובות זה השוני.
היו"ר שמחה רוטמן
¶
אני מבין. והשאלה שלי היא למה לא שניהם? למה כאשר נפגעת הפרטיות שלי כאזרח על-ידי משטרת ישראל אני צריך ללכת למפקח הפנימי שלכם ולא לראובן.
דפנה יפרח
¶
קודם כול אם אתה נפגע כאזרח אתה יכול ללכת לראובן, ולראובן יהיה הממונה אצלנו במשטרה שעובד יחד איתו וצמוד לו בכפיפות מקצועית, וראובן יעביר אלינו ואנחנו נבדוק וכמובן גם נדווח על תוצאות הבדיקות. עדיין יש גופים במובן הזה מול הרשות להגנת הפרטיות. אנחנו לא משאירים וסוגרים את הדברים בתוך הבית. ההבדל היחיד הוא שראובן לא יחדור למחשבי המשטרה ויראה במודע או לא במודע גם את החומרים המסווגים שלנו. התפיסה שניתן להפריד בין המאגרים המסווגים ללא מסווגים היא תפיסה לא מדויקת.
דפנה יפרח
¶
אנחנו הולכים למערכות כוח האדם שלכאורה יכולים להגיד מה מסווג במערכות כוח האדם. בכוח האדם יש לנו שוטרי ימ"מ שהם מסווגים, ויש לנו צורך, חובה והכרח לשמור עליהם מסווגים. השמות שלהם נמצאים תחת מאגרי כוח אדם, ולכן כשראובן ירצה לבדוק את מאגרי כוח האדם של המשטרה אנחנו לא נוכל להפריד את כוח האדם המסווג שלנו. אני נותנת את הימ"מ כדוגמה אבל יש לנו עוד כוחות מסווגים. בסופו של דבר בתוך מערכות המשטרה יש מידע מסווג ומידע שאינו מסווג, והם לא בהכרח נשמרים בנפרד. לכן לא בהכרח ניתן יהיה לבצע הפרדה כזאת. צריך להסתכל על המשטרה כמכלול, כלל המאגרים שלנו. אין יכולת כזאת להפריד בין מידע מסווג יותר.
היו"ר שמחה רוטמן
¶
אני יכול להיות לא רגוע, אני חייב לומר לך. הרי זה בדיוק חלק מהעניין. יכול להיות שיש מאגרים "סודי ביותר" של המשטרה – בסדר; יכול להיות שיש חלקים של מאגר שהם סודיים ביותר. אגב, אני מתאר לעצמי ומקווה שלאנשים של הרשות להגנת הפרטיות יש סיווג עד רמה מסוימת. לכן סוגיות הסיווג הביטחוניות כבודן במקומן מונח. אבל אני מניח שאיתן קל יותר להתמודד. הייתי יכול לכתוב פה "משטרת ישראל" בנוגע למאגרים שמסווגים "סודי ביותר" ומעלה. הייתי פותר את הבעיה.
אני גם אומר שוב – אני מסכים שהמפקח הפנימי מעלה את הרמה. השאלה שלי היא למה לא שניהם? מדוע לבוא ולהגיד: סימנים ב' ו-ג' בפרק ד'1 לא יחולו, והפיקוח לבירור המנהלי על גופים ביטחוניים יבוצע לפי הוראות פרק זה ולא "גם לפי הוראות פרק זה". זאת אומרת יהיה לי הממונה הפנימי שיבצע את מרבית העניינים, אבל יכולות להיות כל מיני סיטואציות שדווקא הכפיפות ובוודאי ההיררכיה בגוף פיקודי – את יודעת כמה פעמים יושבים פה נציגי משטרה, ואגב, למשטרת ישראל יש תפיסה מאוד יסודית שכל מחוז בתחומו הניצב הוא פחות או יותר המלך. הוא יכול לקבוע הוראות שונות, יש כללים שונים. גם בנוגע לאישורי הפגנות יש כללים שונים כי זה עניין של חופש ביטוי. יש מדיניות ארצית אבל עדיין נותנים המון מעמד לפיקוד ולאחריות של הפיקוד, ובסופו של דבר המילה של ניצב במחוז שלו היא מאוד חשובה ומשמעותית.
דפנה יפרח
¶
אבל לא ביחס להגנת הפרטיות שפה יהיה הממונה שהוא הדירקטיבה שיושבת תחת המפכ"ל או הסמפכ"ל, והוא זה שקובע את הנהלים, מאשר אותם, מתווה את המדיניות והכול.
היו"ר שמחה רוטמן
¶
אבל אני מסביר לך שבתחומים מסוימים אפילו המפכ"ל או הסמפכ"ל עושים הסגת שיקול דעת, ואומרים: מפקד המחוז, אתה המלך, לא מתערבים לך. זאת תפיסה ארגונית חזקה מאוד במשטרה, ויש בה יתרונות.
דפנה יפרח
¶
אני לא לגמרי יורדת לסוף דעתך, אבל אני אגיד שביחס למה שהחוק הזה מבקש להסדיר בתחום הגנת הפרטיות, דווקא כאן יש לנו הסדרה מאוד נכונה בנושא הזה. כלומר אם קורה מצב, כפי שאדוני היושב-ראש מתאר, בנושא הזה זה לא יקרה כי יש פה מישהו שאחראי על התחום - -
היו"ר שמחה רוטמן
¶
שהוא לא חלק משרשרת הפיקוד, שבשנייה שהוא מציית לשרשרת הפיקוד המשטרתית התשובה שלו - -
דפנה יפרח
¶
הוא כפוף לדירקטיבה הגבוהה, למפכ"ל או לסמפכ"ל, ולא למפקדי המחוזות. הוא גוף עצמאי.
אתה אומר, למה לא גם וגם – כפי שאני קוראת את הסעיף הזה אני חושבת שבמובן מסוים זה כן גם וגם, כי זה לא שהמפקח הפנימי עושה עבודה פנימית אצלו בבית וסוגר את זה בתוך הבית. בסופו של דבר הוא גם מעביר את זה לממונה, ולממונה עדיין יש סמכויות גם במקרים האלה. לכן לראות את זה כאילו הוא עצמאי וסוגר את הכול אצלנו בבית – זה לא המצב, זה לא המודל שנבחר כאן. המודל הוא כזה שכן מאפשר.
היו"ר שמחה רוטמן
¶
מה שאני אומר הוא שכל מה שהוא לא פלילי, להבנתי, בפרק הזה, מוחרג מהרשות. נכון? זאת אומרת רק תוצאות הבירור מראות משהו פלילי ראש הרשות יכול להתערב. אין עיצומים כספיים על המשטרה, ולא יהיו.
היו"ר שמחה רוטמן
¶
אז אני שוב הסברתי את ההבדל. את צודקת – בהרבה מאוד גופים אחרים הנחת העבודה שלי, כמו שגם ראינו, שהממשק של משטרת ישראל עם אזרחים הוא שונה משמעותית מכל הגופים האחרים, אפילו משב"ס. יש לשב"ס אלמנטים מסוימים דומים, אבל אפילו משב"ס הוא שונה דרסטית. כל מפגש שוטר-אזרח אמור להיות מתועד; כל צילום בעין הנץ.
שמעתי פעם סיפור מזעזע ממישהו שמישהי לא שמעה מבן הזוג שלה כמה שעות ודאגה מאוד שהוא נעדר, ואז התקשרה למשטרה, והמשטרה איתרה אותו באמצעות עין הנץ ליד הבית של המאהבת שלו. כך גילו. זה יכול להיות מצוין. כנציג מפלגת הציונות הדתית זה מצוין אם ככה נכרית את התופעה של מאהבות. אבל אני רק אומר שפרטיותו של אדם רגיל לא יכולה להיחשף בצורה כה דרסטית. לכן משטרת ישראל הוא הגוף המיוחד מאוד מכל הרשימה פה. גם ההפרות שבו הן לא רק – אני אומר שוב – אם אפשר היה לומר שמשטרת ישראל בנוגע למאגרים מודיעיניים כמו שאנחנו עושים. אבל הרישום הפלילי שאנחנו יודעים עד כמה הוא רלוונטי לכולם. אגב, הביומטרי פה? הביומטרי לא פה. אחת היחידות היותר מסווגות שיש, והיא כן כפופה אליהם.
היו"ר שמחה רוטמן
¶
נכון. אפילו שאנחנו יודעים עד כמה המידע שם נשמר ומסווג ורציני, ומכיוון שזה לא עניין ביטחוני נטו - -
דפנה יפרח
¶
- - אבל אני אומרת שוב – שאדוני יראה את הגופים הרשאים לקבל את התוצרים האלה ויבין שמשטרת ישראל היא לא הגוף הביטחוני היחיד שמחזיק במערכת הזאת.
היו"ר שמחה רוטמן
¶
לאחרונה ממש. כמה שנים אתם עושים את זה בלי הסמכה חוקית אני לא אשאל; מי היה המפקח על זה אני לא אשאל; ויותר מזה – אנחנו יודעים שיש העברת מידע בין גופים, ועדיין אנחנו יודעים שגם כאשר יש העברת מידע, למיטב ידיעתנו, יש סעיף בחוק שמי שאחראי הוא בעל המידע המקורי. נכון? זה לא נותן פטור.
דפנה יפרח
¶
אדוני, לכן אני אומרת שהחומרים שנמצאים במשטרת ישראל הם אותם חומרים שנמצאים בגופים אחרים. השימושים אמנם שונים, אבל כל אחד ותפקידו. אבל החומרים במאגרי המידע, הסיווג שלהם והצורך בשמירה עליהם הוא די דומה. אי אפשר לעשות הבחנה במשטרת ישראל כאילו אין צורך לשמור על המאגרים האלה באותה מידה.
היו"ר שמחה רוטמן
¶
אני רוצה לקוות שלא לרשות להגנה על עדים ולא למוסד למודיעין ולתפקידים מיוחדים – אלא אם כן הם חיפשו ספציפית בעין הנץ לאן נסעתי ואני לא יודע למה, זה קצת מטריד אותי בהקשרים אחרים – אין מידע לגבי. אני אזרח תמים שומר חוק ולא מעורב בשום דבר שנוגע לעניינם. לעומת זאת אם אין למשטרת ישראל מידע לגביי אני אהיה מאוד מודאג. כי למשטרת ישראל אמור להיות מידע לגבי מהרבה מאוד סיבות ומהרבה מאוד ממשקים. לכן השאלה של ההיקף היא מאוד משמעותית. אני מסכים איתך שלמשטרת ישראל יש עניין ביטחוני שצריך לתת לו מענה. אבל המשמעות היא שמכל הגופים הביטחוניים שרשומים פה משטרת ישראל היא הגוף עם היקף, מגוון וכמות מורשי הגישה – שזה גם רלוונטי – למאגר כוח האדם באכ"א. לא כל חייל יכול לגשת. ולעומת זאת להרבה מאוד מאגרים במשטרת ישראל כל שוטר תנועה או שוטר מקוף יכול לגשת.
דפנה יפרח
¶
אני רק אזכיר לאדוני שבגלל זה יש לנו במשטרת ישראל תהליך - - - תעסוקתי שתכליתו להבטיח שאנחנו עושים שימוש ראוי גם במאגרים שלנו.
היו"ר שמחה רוטמן
¶
את רוצה שאני אשאל אותך מה אחוזי הנפל בהכשרת שוטרים במדינת ישראל? כשמתחיל מחזור – כמה מועמדים יש וכמה מסיימים? בסופו של דבר הבן אדם הוא שוטר תנועה והוא יושב עם מסופון והוא יכול להכניס כל מספר רכב. נו, באמת.
היו"ר שמחה רוטמן
¶
יש לכן בקרות נפלאות – מה זה קשור? קטונתי מלזלזל בשוטרי תנועה, ועדיין כל שוטר תנועה יכול לגשת להרבה מאוד מידע; כל מוקדן או מוקדנית ב-100 יכולים לגשת להמון מידע. אני יודע שאתם עושים הכשרות – מצוין, כל הכבוד. אם לא הייתם עושים הייתי מודאג. אבל לבוא ולהגיד לי שבגלל זה ההיקף והיכולת האין סופית של פוטנציאל הנפגעים - -
דפנה יפרח
¶
תהליך התאמה תעסוקתית הוא לא הכשרה. זה תהליך שעובר ביחידת ביטחון המידע שלנו שעובדים בו מומחים וגורמי מקצוע שמאבחנים את האדם שנמצא ביחס לכל תפקיד ועוברים תהליך שאני לא מכירה כמותו בגופים אחרים. אבל כן יש לנו את זה בגלל שאנחנו מכירים בצורך לשמירת המידע ולתפקוד הראוי של השוטרים שלנו.
ראובן אידלמן
¶
ייתכן שמה שהמענה לחלק מה שמטריד את אדוני הוא בגבולות הגזרה שבין הרשות לבין המפקח הפנימי.
היו"ר שמחה רוטמן
¶
בלי לפגוע, חס וחלילה, במשטרת ישראל קשה לי מאוד ההכללה של "באותה דרך". יכול להיות שצריך לעשות התאמות בהיקף הנפגעים, היקף המידע המוחזק, היקף מספר מורשי הגישה, נקודות התורפה, פוטנציאל הנזק – כמעט בכל תחום שאני רואה. ודווקא בגלל שבגופים האחרים הכול "סודי ביותר", גם דברים שלא צריכים להיות סודיים ביותר, אני יודע שהם מאבטחים הכול. זאת אומרת לצורך העניין, המוסד, גם מה שהם מזמינים לארוחת צהריים זה מבחינתם סודי ביותר, והם מאבטחים אותו ברמה קיצונית. בצדק, לא בצדק, נכון או לא נכון – אני לא יודע. אבל כל דבר אצלם הוא "טופ סיקרט", אז אני יודע שהסכנה לדלף מידע קיימת, אבל ישמרו על המידע ברמה שהם שומרים על המידע שלהם. נכון שגם אצלם יש רמות אבל הרמה הבסיסית שלהם היא שלא מספרים לך כלום עליהם. לעומת זאת בגלל שאצלכם מעורבבים מידעים מסווגים מאוד עם מסווגים, כמו שאת אמרת, אתם לא עשיתם מאגר מיוחד לעובדי הימ"מ. דווקא בגלל זה לכאורה פוטנציאל פרצות האבטחה, פוטנציאל הנזק – הכול בסדרי גודל יותר מהגופים האחרים. צריך לתת לזה מענה. יש דמיון לצה"ל אבל צה"ל זה מגה-אירוע בנפרד. גם לצה"ל הייתה החרגה, אני לא משנה בעניינו את המצב. משטרת ישראל מבקשים ממני להוסיף שזה גם סוג של רפרנס. זאת אומרת פה מישהו מבקש להיכנס לאירוע.
עמית יוסוב עמיר
¶
אדוני, לא ברור למה הכוונה שמשטרת ישראל נוספת. דווקא מבחינת רשימת רשויות הביטחון שמופיעה בסעיף 19 לחוק הגנת הפרטיות שזה הסדר שונה, משטרת ישראל מוכיחה - -
עמית יוסוב עמיר
¶
אני אחזור על הדברים שאמרתי בהתחלה: מדובר בהסדר חדשני במידה מסוימת. עובדתית היום אין הסדר כזה. ההסדר היחיד שיש היום, משטרת ישראל מופיעה בו.
היו"ר שמחה רוטמן
¶
אני מדבר על הצעות העבר מתיקון 12. בסדר, לא משנה. נכון להיום יש לכם סמכויות פיקוח על משטרת ישראל?
ראובן אידלמן
¶
יש סייג היום שאומר שכדי להיכנס פיזית למקום צריכות להיות תקנות. כיוון שהתקנות האלה לא הותקנו אז דה-פקטו זה מצריך הסכמה היום לכניסה למקום למי שמוגדר כרשות ביטחון. אבל סמכויות באופן מהותי – כן – יש היום על כל המשק, כולל על הגופים הביטחוניים.
היו"ר שמחה רוטמן
¶
אני רואה פוטנציאל שיפור אבל אני מודאג מהבקרה הפנימית של משטרת ישראל, עיין ערך נושא שאנחנו עדיין מחכים לוועדת החקירה שהוקמה – פרשת הרוגלות שבה כולל הליכי הבקרה של הרכש, של הייעוץ המשפטי ושל כל הגורמים הרלוונטיים.
היו"ר שמחה רוטמן
¶
בזמן אמת אחרי שזה נחשף 8-7 שנים יותר מאוחר אחרי שאף אחד לא עלה על זה לא ברכש ולא בשימוש.
היו"ר שמחה רוטמן
¶
אז אני כן יודע כי עשינו על זה המון דיונים. ייאמר לזכותם שאחרי שהעניין נחשף בכלכליסט באמת עשו עבודה מאוד יפה. עד שזה נחשף בכלכליסט אפילו במשטרה לא ידעו מה הם עושים במובן הזה שהם עושים משהו לא חוקי. לכן לא רוצה לבאס אבל זה שבמקרה אחד המקרים החמורים ביותר בתולדות מדינת ישראל, לדעתי, בתחום הגנת הפרטיות על האזנות סתר – המשטרה לא קיבלה תעודת הצטיינות בנושא הזה וגם לא משרד המשפטים. זה בסדר, אתם בחברה טובה. לכן למשרד המשפטים אני מתנגד שלא יהיו סמכויות לאכיפה.
נעמה מנחמי
¶
סעיף 23יט – מינוי מפקח פרטיות בגוף ביטחוני.
"(א) ראש גוף ביטחוני, בהתייעצות עם ראש הרשות, ימנה אדם לתפקיד מפקח פרטיות בגוף הביטחוני (בפרק זה – המפקח הפנימי), בהתאם לתנאי כשירות והכשרה שיורה עליהם ראש הרשות, בהתייעצות עם ראש הגוף הביטחוני".
היו"ר שמחה רוטמן
¶
תנאי כשירות והכשרה – לא ברור לי מה עושה הגוף הביטחוני באירוע. זאת אומרת תנאי כשירות והכשרה של מפקח פרטיות – צריכים לדעת נטו את ענייני הפרטיות. למה אני צריך להתייעץ עם הגוף הביטחוני? מהם תנאי הכשירות וההכשרה? ברור שאני מבין את עניין המינוי עצמו – מי מתאים ספציפית. אבל תנאי כשירות והכשרה?
ראובן אידלמן
¶
כיוון שזה חל על הרבה גופים שכל אחד מהם עם מאפיינים שונים ותנאי הכשירות יכולים להיות קצת מותאמים – אתה יודע מה, אולי אני אתמקד בהכשרה ולא בכשירות – עם ניואנסים מסוימים שמותאמים לאופי הגוף הספציפי מבין רשימת הגופים האלה אז יש התייעצות. כהליך מנהלי תקין זה נכון שיש שיח עם הגוף גם לגבי תנאי הכשירות ועכשיו המילה האחרונה היא של הרשות. זאת החלטה של הרשות בהתייעצות עם הגוף. זה האיזון. יש לנו ניסיון עם זה בחוק אחר.
היו"ר שמחה רוטמן
¶
אבל יהיו תנאי כשירות והכשרה שונים למפקח על הפרטיות של המלמ"ב למול המפקח על הפרטיות של השב"כ?
היו"ר שמחה רוטמן
¶
למה שיהיו תנאי כשירות והכשרה שונים לכל גוף? הרי העניין הוא היכולות שלו בתחום הגנת הפרטיות. אני יכול לחשוב על דוגמאות רלוונטיות אבל למה אתם התכוונתם?
נעמה מנחמי
¶
צד שני של השאלה הזאת היא האם אין רף מינימום שאנחנו צריכים שהוא יהיה אובייקטיבי? כאן זה נראה שזה נקבע ממקרה למקרה – האם לא צריכים להיות קריטריונים ברורים, קבועים ושקופים?
ניר גרסון
¶
אני מהרשות להגנת הפרטיות. ההחלטה היא שלנו ויש גם אינטרס שזה יהיה גם בן אדם עם ידע מתאים ועם כישורים מתאימים. לא בטוח שיהיה הבדל בין ההכשרה הנדרשת, אבל ייתכן שכן כי יהיו ניואנסים שונים בסוג מערכות שארגונים משתמשים בהם, סוג המידע, סוג העיבודים שעושים. למשל, בחוק ה-PNR היה דגש על דברים מסוימים. יכול להיות שבשב"כ ובמוסד יהיה דגש אחר. שוב, לא בטוח שיהיה הבדל, אנחנו מחליטים. לדעתי, זה הסדר מאוזן שנשמע כל גוף על הצרכים שלו ונחליט לפי התכלית שאנחנו רואים.
ראובן אידלמן
¶
למשל יכול להיות גוף שמחזיק יותר מידע ביומטרי, ואז הדגש צריך להיות גם בנושא ההכשרה. ויכול להיות גוף שאין לו מידע ביומטרי בכלל. בוודאי שזה דבר שנכון לעשות בשיח עם הגוף הביטחוני והמילה האחרונה היא של הרשות.
נעמה מנחמי
¶
אבל אפשר, לדוגמה, להגדיר שבגופים שיש בהם אלמנטים של מידע ביומטרי יחולו גם תנאי הכשירות או ההכשרה הבאים.
ראובן אידלמן
¶
אנחנו רוצים לקבוע את זה בחוק. אני פשוט לא משוכנע שזה מסוג הדברים שקובעים בחוק. זה סעיף די מקובל בעניין כשירות והכשרה.
גלעד סממה
¶
אדוני, עכשיו יש לנו ניסיון טוב עם המנגנון הזה בחוק של ה-PNR של הפטור מוויזות לארצות-הברית. יש לו שם מורכב שאני לא זוכר. אבל יש מנגנון כזה, ויש מאפיינים שונים כשאתה עובד מול גוף כזה או אחר.
נעמה מנחמי
¶
(ב) המפקח הפנימי ימונה לתקופת כהונה אחת בלבד שלא תעלה על שבע שנים.
ההצעה שלנו היא גם להגביל את המינימום והצענו "ולא תפחת משלוש", אבל זה בשיח עם הגופים. בדרך כלל תקופות כהונה הן קבועות באופן חד-ערכי. לדוגמה, מבקר השב"כ ממונה לתקופת כהונה אחת של חמש שנים, גם הממונה על שוק ההון וגם בוועדות ערר. כלומר בדרך כלל אנחנו מכירים תקופות שתחומות גם מלמעלה וגם מלמטה, זאת אומרת קבועות בצורה יחידה. בכל מקרה אנחנו לא חושבים שיכול להיות מצב שבו תקופת הכהונה לא מוגדרת מלמטה ואז זה גם יכול להיות מעין תפקיד שנשאר למישהו חצי שנה או שנה אז בוא נמלא את הפלסתר הזה.
היו"ר שמחה רוטמן
¶
אני לא מייצר לו עצמאות כי כתוב: "לא תופסק כהונתו של המפקח הפנימי והוא לא יועבר מתפקידו אלא בהתייעצות עם ראש הרשות". אגב, לא צריך לכתוב את זה כי חוק הפרשנות אומר שאם המינוי שלו הוא בהתייעצות אז כך גם הפסקת כהונתו.
היו"ר שמחה רוטמן
¶
אבל מאחר שלא כתוב פה עילות הפסקת כהונה הפירוש הוא שאפשר להפסיק את כהונתו. מאחר שאנחנו עוסקים בגוף ביטחוני הסיבות יכולות להיות גם מגוונות ולפעמים גם חסויות. לכן בסופו של דבר גם אם נכתוב עדיין כתבנו הסדר שהוא ממונה לתקופה אחת אבל ניתן להפסיק את כהונתו בהתייעצות. אז לא יצרתי לו אי תלות. לכן ההוראה הזאת היא חסרת משמעות. אם אתם רוצים לכתוב רשימת עילות סגורה להפסקת כהונה אני לא בטוח שזה חכם לעשות את זה בגופים ביטחוניים כי יכולות להיות הרבה מאוד סיבות להפסקת כהונה. אבל בסופו של דבר ההוראה פה היא ריקה, ולהפך – אני רואה יתרון גדול שאם יש בן אדם שכבר צבר מומחיות ומכיר את הארגון, ומעבר לזה – גם שיקולי סיווג – אני מגדיל את מספר שומרי הסוד. אם אתה מהנהן לפחות תגיד לפרוטוקול שלפחות יהיה ברור שאני לא אומר פה דברים על דעת עצמי.
חי מסיקה
¶
נכון. אני רע"ן מערכות מידע באכ"א. היום אני גם ממונה הגנת הפרטיות בין שאר תפקידיי. אני מסכים - -
חי מסיקה
¶
לא, ההבנה היא שנצטרך גוף שלם שינהל את כל האירוע הזה. אם מסתכלים אפילו קדימה זה מקביל לעולם ביטחון השדה בצה"ל. זה מערך רחב הרבה יותר. בדיוק דיברנו בינינו ששבע שנים בגוף גדול כל כך כמו צה"ל בעולם תוכן ייעודי, אם אני מסתכל אובייקטיבית, נראה לי שלצה"ל נכון להביא מישהו מבחוץ שיהיה אזרח עובד צה"ל מומחה, ולכן להגביל אותו בשבע שנים זה בעייתי.
היו"ר שמחה רוטמן
¶
בוודאי כאשר אנחנו עוסקים בגופים ביטחוניים צה"ל זה אירוע אחר. זה לא בן אדם, זה מערך. ואז נשאלת השאלה למה דווקא את הראש אני מעיף כשהסגן שלו יכול להישאר לנצח, שזה בכלל בעיות בקדנציות. בסופו של דבר זה הופך את הסגן לראש האמיתי ואת - - - למעלה. זאת בכלל סיטואציה מצחיקה. אבל נניח שאחד הגופים הקטנים יותר שלא מנויים פה – זה אומר שתהיה יחידה חסויה מאוד שכל שבע שנים אני צריך להוסיף לה שומר סוד שגם אסור לו לעשות עוד דברים אחרים. אז אני מגדיל מאוד את מספר האנשים שחשופים לחומר מאוד מסווג ללא צורך אמיתי כאשר עדיף לי שבן אדם שצבר את המומחיות ונמצא במקום יישאר ממונה לנצח, ואם יהיה לך בעיות איתו תבקש להדיח אותו.
עמית יוסוב עמיר
¶
אני מבקש להבהיר שבהצעת החוק הממשלתית לא מוצע לאסור לחלוטין מילוי תפקידים אחרים, מוצע לאסור מילוי תפקידים שעלולים להעמיד את המפקח הפנימי בניגוד עניינים. כמובן, בגופים גדולים לא סביר שיהיו למפקח הפנימי עוד תפקידים אבל במפעלים קטנים יכול להיות שכן.
היו"ר שמחה רוטמן
¶
הוא גם יוכל להיות אחראי להגשת התה ועל ניקיון המשרד, אבל הוא לא יוכל להיות אחראי על שמירת המידע בוודאי בגופים שאחראים לשמירת מידע. תראה לי את העובד של המוסד שלא אחראי על שמירת המידע שצריך לפקח עליו שלא יזלוג. זה קצת קבוצה ריקה. ברמת התאוריה הכללית זה רלוונטי, זה לא באמת.
רפי סלמה
¶
לגבי תקופה של שבע שנים – זה איזון שהממשלה החליטה עליו. הוא גם לא הומצא לצורך החוק הזה. יש הרבה מאוד בעלי תפקידים שנקצבה להם תקופה, גם בצה"ל, למשל. נציב קבילות חיילים, כהונתו נקצבה לשבע שנים. לכן זה איזון שמשמר מצד אחד את העצמאות של אותו בעל תפקיד ומצד שני מאפשר לו לצבור את אותה מומחיות.
רפי סלמה
¶
זה 543 לחוק השיפוט הצבאי – אני לא רואה פה עילות הדחה. רק עניין של מינוי והגבלת תקופת אי מינוי.
היו"ר שמחה רוטמן
¶
לא יודע לגבי נציב קבילות. לגבי הרבה נציבים אחרים שיש להם עצמאות יש רשימה של עילות הדחה סגורות ומנגנונים ש"לא תופסק כהונתו, אלא"; פה אין רשימה סגורה, ואני גם לא חושב שצריך.
רפי סלמה
¶
אם אדוני רוצה עצמאות הוא חייב דווקא לקצוב את הזמן, אחרת זה יוצר הסתאבות מסוימת של בעל התפקיד.
היו"ר שמחה רוטמן
¶
א', הנציב ממונה מחוץ להיררכיה הצבאית, ופה זה לא מחוץ להיררכיה הצבאית. מי שממנה פה זה הרמטכ"ל, ואת הנציב ממנה שר הביטחון באישור ועדת חוץ וביטחון.
היו"ר שמחה רוטמן
¶
זה מה שאני אומר. יש לו הוראה שכמו שופט במילוי תפקידו אין עליו, אלא מרות הדין. במשרות שיפוטיות יש כללים אחרים כמו שאנחנו יודעים – חלקם טובים, חלקם פחות, אבל יש. לדעתי, זה לא דומה, אבל בוודאי בחלק מהגופים לא הייתי רוצה שכל הזמן ייכנסו סתם עוד שומרי סוד. זאת בעיה במידור, בעיה בביטחון. יכול להיות שלמשטרת ישראל זה נכון ולצה"ל זה נכון, אבל אני לא בטוח שזה נכון לרשות להגנה על עדים. כמה אנשים אני רוצה שיהיו חשופים למידע של אשתו של ראש המאפיה ואיפה היא מוחבאת. עכשיו הוספתי עוד בן אדם וכל שבע שנים או שלוש שנים הוספתי עוד בן אדם.
רחל ארידור בזום רוצה להתייחס, בבקשה.
רחל ארידור הרשקוביץ
¶
תודה רבה. ראשית אני רוצה להתנצל ולהגיד שאני מאוד מצטערת שאני לא יכולה להגיע היום פיזית לדיון. אני עם שפעת ולא רציתי להדביק. רציתי לחזור אחורה ולהוסיף על דבריו של אדוני לגבי הצורך בהידוק רשימת הגופים, או יותר נכון, הידוק היחידות או מאגרי המידע בהיעדר פיקוח מטעם הרשות. לצד הדברים הנכונים מאוד שאדוני אמר על המשטרה צריך גם לחשוב על הגופים הנוספים שרשומים שם, למשל, מפעלים ששר הביטחון יציין בצו. אנחנו לא יודעים מהם אבל יכול להיות שהם מפעלי תעשייה שיש בהם מאגרי המידע של העובדים או מאגרים נוספים שאין בהם עניין ביטחוני בהכרח או שצריך לעשות הבחנה מאוד טובה בין המידע המסווג למידע הלא מסווג. סך הכול הרשות להגנת הפרטיות בתיקון הזה עומדת לקבל סמכות פיקוח ובירור מינהלי שלא היו לה קודם מתוך מטרה לשפר את הגנת הפרטיות. לכן ברור שכל תוספת כזאת תשפר את הגנת הפרטיות, אבל צריך להבין שצריך להחיל אותה על כל מי שרק אפשר כדי לשפר את הגנת הפרטיות. לכן צריך לבדוק את הרציונל הביטחוני ביחס למאגרי המידע בכל אחד מהגופים ולא לקבל הצהרה גורפת שעדיף שלא ייכנסו כי אולי הם ייחשפו למידע המסווג.
רחל ארידור הרשקוביץ
¶
פרקטית, לדעתי, משרד המשפטים צריך לשבת עם הרשות להגנת הפרטיות והגופים - - - ולא לצאת מנקודת הנחה שצריך להכליל את כולם, אלא צריך, למשל במשטרה, לחשוב מהן היחידות שאחראיות על מידע מסווג. למשל במפעלים שעליהם מדובר – מהם היחידות שעליהם הומצא הסיכון הביטחוני אם הרשות תיכנס אליו. פטור גורף מכניסה של הרשות לגוף לעשות עליו פיקוח ובירור מנהלי, המשמעות של זה היא הפחתת הגנת הפרטיות. אמנם יהיה מפקח פנימי שזה טוב יותר מה"אין" של קודם, אבל זה גם לא מדויק שאין. יש ממונה על הגנת הפרטיות. אז, לדעתי, צריך לעשות חשיבה מחדש וצמצום של ההגדרה של כל אחד ואחד מהגופים.
היו"ר שמחה רוטמן
¶
מאחר שאני מסכים איתך אני לא אתווכח איתך. את סעיף ב' הייתי מוריד. לדעתי, זה לא נדרש. נראה לי שבחלק הוא מזיק ובחלק הוא יהיה אות מתה. אני אפילו לא חושב שנכון בגוף היררכי שיש בן אדם שאי אפשר לגעת בו. זה גם לא נכון, החוק לא נותן את זה, אבל אפילו ברמה הזאת.
עמית יוסוב עמיר
¶
אמור להיות פה איזון: מצד אחד יש פה תקופת כהונה אחת. כלומר אדם יודע מראש למה הוא מונה. כידוע, יש הבדל בין אי מינוי או אי הארכת מינוי לבין החלטה להפסיק כהונה באמצע. הנטל הוא שונה על מי שמפסיק את הכהונה. יש פה חובת התייעצות עם ראש הרשות שבוודאי ביחס לממלא תפקידים בגופים ביטחוניים זה עניין חריג. לבטל לחלוטין את הסעיף – לדעתי, זה פוגע בעצמאות בעל התפקיד.
עמית יוסוב עמיר
¶
גם הוצג לנו בדיון המקדים שיש קדנציות בגופי הביטחון השונים שהן קצרות משמעותית משבע שנים. לכן העובדה שאדם ממלא תפקיד במשך שנתיים - -
היו"ר שמחה רוטמן
¶
אתה יודע מה הבעיה? יש כל מיני גופי ביטחון שאני לא יכול לשאול אותם אם יש להם קדנציות או לא כי אני בכלל לא יודע על קיומם. אבל "לא תופסק כהונתו של המפקח הפנימי והוא לא יועבר מתפקידו אלא בהתייעצות עם ראש הרשות" נותן הגנה. אפשר להגיד: "ימונה לתקופה - -". אבל שוב, זה חסר משמעות להגיד "לא תופחת משלוש" – ואז אחרי שנה, מה? ירצו להדיח אותו ונגיד להם "לא"?
נעמה מנחמי
¶
ההוראה לגבי 7-3 היא הוראת המינוי. ממנים אותך עכשיו לשלוש, לארבע, לשבע שנים. אם רוצים להפסיק את כהונתך או אתה רוצה להפסיק את כהונתך קודם – זה כבר עניין אחר. אבל המינוי מלכתחילה הוא לאיקס שנים, כפי שקבע אותו גוף. כלומר השארנו את זה פתוח בגלל השונות בין הגופים, אבל הרעיון הכללי – ואפשר לחשוב גם על שונות בין הנסיבות, כלומר רוצים למנות מישהו שנשארו לו עוד ארבע שנים עד הפנסיה. אז אין טעם למנות אותו לחמש שנים. אבל אני לא בטוחה שההפסקה מתנגשת עם ההוראה הזאת.
היו"ר שמחה רוטמן
¶
אני לא יודע מה להגיד לכם – אני לא אוהב את הסעיף הזה (ב) מהסיבות שהסברתי. אולי כדאי שאיזה גוף ביטחון ידבר על זה, אבל על פניו, לדעתי, זה מגדיל, בטח המגבלה לאחת בלבד. אתם רוצים להגיד שהוא ימונה לתקופה בין שלוש לשבע שנים – זה בסדר; אבל אני לא רואה שום סיבה בעולם שאני אכריח גוף ביטחוני להוסיף עוד שותף סוד כשאין טעם ענייני בדבר הזה.
מ’
¶
אני יועצת משפטית בשירות הביטחון הכללי. רק לעניין הזה – שלוש שנים מינימום זה דבר שלא היה בהצעת החוק הממשלתית. נאמר פה גם קודם – התוצר של הפרק הזה הוא איזון בין הצרכים של גופי הביטחון לבין הגנת הפרטיות, ולכן לכל אורך הסעיף הזה שזורות התייעצויות עם ראש הארגון. גם הממונה כפוף לראש הארגון. לא הבאנו בפניו את תקופת המינימום. נדרשת גמישות גם לראש הארגון בהיבט הזה. אז אין לנו הערות לתקופת כהונה אחת, ובלבד שלא תעלה על שבע שנים כמו שהיה בנוסח הממשלתי, אבל לתקופת מינימום של שלוש שנים הדבר הזה צריך לחזור אלינו לראש הארגון כדי לברר האם זה מקובל.
אמרת קודם שהבעיה היא בין שלוש לבין שבע. כלומר המינימום יהיה שלוש. אבל המינימום הזה - -
היו"ר שמחה רוטמן
¶
זה כבר כן מפריע לי ברמת הגנת הפרטיות. כי ראש ארגון שימנה ממונה פרטיות כל חודשיים זה יפגע בעבודתו בצורה ניכרת. אני לא חושד.
מ’
¶
לא אמרתי שאתה חושד במשהו וגם לא התחלתי להגיד את זה. אבל מבחינתנו ראש הארגון יכול להחליט האם הממונה הפנימי הוא תפקיד ייעודי או נוסף לתפקיד. אני שמה את זה רגע בצד – איזשהו תקן נפרד. האוצר לא הבטיח לאף גוף ביטחוני עוד תקן למינוי, ולכן יש אילוצים מאילוצים שונים לראשי ארגוני הביטחון במינוי של ממונה פנימי להגנת הפרטיות. אני לא אומרת שנתנגד לשלוש שנים, אני אומרת שהדבר הזה עלה בדיונים ביומיים האחרונים, ולכן מחובתנו לחזור - - - ולבדוק את הדבר הזה.
היו"ר שמחה רוטמן
¶
אוקיי, תעשו בדיקה. כרגע מה שהייתי רוצה בנוסח הוועדה: "מפקח פנימי ימונה לתקופת כהונה שלא תעלה על שבע שנים ולא תפחת משלוש שנים" – הייתי רוצה ניסוח כזה.
"לא תופסק כהונתו של המפקח הפנימי והוא לא יועבר מתפקידו אלא בהתייעצות עם ראש הרשות". אבל את תקופת כהונה אחת בלבד צריך להוריד גם מסיבות ביטחוניות וגם בגלל ידע ארגוני.
רשות הגנת הפרטיות, אנחנו גילינו פה בדיונים שמשרד הפנים עובד עם מערכת שיש איזה בן אדם אחד ורבע מכיר. זה בכלל לא קשור לעניין ביטחוני. אגב, זה מגן עליה מפריצות כי כל הזמן צריך לכתוב להם ב-assembler 01, כנראה – אני לא יודע. אבל זה עובד בדטה בייס שיטה מאוד משונה – יש לה מומחה ייעודי, בן אדם כבר יודע, למד והכיר, ואנחנו נגיד לו "לא" – לממונה הגנת הפרטיות אי אפשר להאריך את הכהונה כי כתוב "אחת בלבד".
עמית יוסוב עמיר
¶
אם מוסכם על אדוני העיקרון של תקופת כהונה של שלוש עד שבע שנים אז העובדה אם זאת תקופת כהונה אחת או שתי תקופות לא מתייחסת להגבלה המרבית.
היו"ר שמחה רוטמן
¶
נכון. אלא רק עניין של צפי. כמו שאמרתי וגם חידדה נעמה – זה לא מונע הדחה. הוא ידיח בהתייעצות עם ראש הרשות גם בתוך שלוש או שבע שנים. אבל זה נותן צפי – אל תמנה בן אדם שהוא בן 67 בתפקיד אחרון, ואני נותן לו עכשיו שנה, וכל פעם תופס את העובד הכי מבוגר בגוף ומחליף אותו כדי שנוסף לתפקיד ו"בסדר, נפנק אותך".
מ’
¶
ראש הארגון מוגבל ברשימת האנשים שהוא יכול למנות אותם. יש פה עוד מגבלות כאלה ואחרות וצריך לקחת את זה בחשבון מול הגמישות של הגוף הביטחוני.
היו"ר שמחה רוטמן
¶
לא, להפך. אני אומר – החלטת למנות לשלוש שנים – תמנה לשלוש שנים מסיבותיך שלך. תחליט אחרי שלוש שנים שאתה רוצה עוד תקופת כהונה – תמנה. אבל תמנה לעוד שלוש שנים. תן איזשהו עוגן. להבדיל נגיד בנק ישראל – מי לנו גדול – פחות או יותר עם הכי הרבה עצמאות בעולם, יש לו חמש שנים ואפשר לעשות עוד חמש שנים. אז זה מוגבל, אבל עדיין לא הגבלנו אבל אמרנו שאם ממנים אותו ממנים לחמש שנים. אי אפשר למנות נגיד ליום.
עמית יוסוב עמיר
¶
רק צריך לומר שהאפשרות למנות לשלוש שנים ואחר כך לעוד שלוש שנים – יש פה פגיעה מסוימת בעצמאות.
היו"ר שמחה רוטמן
¶
נכון. מצד שני "לא תופסק כהונתו של המפקח הפנימי והוא לא יועבר מתפקידו, אלא בהתייעצות עם ראש הרשות" זאת פגיעה - - -
היו"ר שמחה רוטמן
¶
יש לי הצעה טובה יותר: נוסיף את זה פה – "המפקח הפנימי ימונה לתקופת כהונה שתיקבע על-ידי ראש הרשות בהתייעצות עם ראש הגוף הביטחוני". ואז כמו שאתה קובע תנאי כשירות והכשרה ותוקף תקופת הכהונה תתפרו לכל גוף ביטחוני בהתייעצות עם ראש הרשות מה הקדנציה שמתאימה לו. ואז תגיעו למסקנה שבצה"ל מספיק שבע שנים או חמש בדומה לנציב הקבילות משום-מה, שזה הגוף שהחלטתם לדמות לו אז תעשו. תבואו לראש השב"כ והוא יגיד לכם, חבר'ה, אצלנו אנשים מחליפים תפקיד כל שנתיים, כל שלוש שנים, והסבבים הם כך וכך, ואני רוצה שזה יהיה שנתיים. תתייעצו, תקבעו את הכשירות וההכשרה ואת האורך. אבל עדיין אני רוצה שתהיה אפשרות להשאיר את האדם למנות אותו עוד כדי שלא יהיה מצב שאנחנו מכריחים את הגוף להחליף ולהוסיף שומרי סוד.
היו"ר שמחה רוטמן
¶
נכון, בסדר. הם יענו גם על זה וגם על אופציה א' ואופציה ב': אופציה א' – לקבוע בחקיקה בין שלוש לשבע; אגב, אז אני לא צריך שלא תעלה על שבע. אני עושה שלא תפחת משלוש, בלי "שלא תעלה על".
אז אופציה אחת זה שאני קובע אורך מינימלי של שלוש שנים וימנו ל-14, 15 שנה, מצדי אין בעיה; אפשרות שנייה שאני משאיר גם את המינימום וגם את המקסימום כמו בתנאי כשירות והכשרה שייקבעו לכל גוף. אלה שתי האפשרויות – תגידו מבחינתכם מה אתם מעדיפים.
רפי סלמה
¶
אם זה בתנאי כשירות והכשרה זה נותן את הווטו לרשות. אמנם צריך להתייעץ איתנו אבל עדיין זה לא מאפשר לנו מקום למשא ומתן.
היו"ר שמחה רוטמן
¶
כרגע אתם יוצאים מווטו של המחוקק שעומד כרגע על שלוש או שבע לאופציה שיהיה בהסכמה איתכם או בהתייעצות איתכם פר-גוף. נראה לי שאני משפר את מצבכם.
רפי סלמה
¶
לא נראה לי כי הקדנציות בצה"ל קצרות. אני לא יודע מה בגופים אחרים – בין שנתיים לשלוש. בשיח המקדים התכוונו - -
היו"ר שמחה רוטמן
¶
אז אני מאפשר את זה. כרגע המחוקק נתן שבע שנים בנוסח החוק שאתם כבר הסכמתם לו. לא מסתדר איתכם בכלל.
רפי סלמה
¶
הסכמנו שלא תעלה על שבע אבל לא דיברנו על מינימום. ואם אנחנו רוצים שגם המינימום ייקבע על-ידי הרשות לכאורה הרשות יכולה לקבוע גם שבע שנים.
היו"ר שמחה רוטמן
¶
אז תענו לשתי האופציות. לדעתי, צריך לקבוע פה מינימום של שלוש שנים. יכול להיות שאפשר להפחית משלוש השנים האלה בהסכמה של ראש הרשות, אבל אני מקבל את ההערה שלעשות פחות משלוש שנים זה קצת צחוק מהעבודה.
היו"ר שמחה רוטמן
¶
זה מה שאמרתי – שלוש שנים מינימום. יש כאלה שאומרים ששלוש שנים זה יותר מידי עבורם אז אפשר לאפשר לראש הרשות להחליט את זה.
היו"ר שמחה רוטמן
¶
אני אומר – תענו לשני הנוסחים לדיון הבא ונחליט מה מתאים. אני לא רוצה לפתוח את ההתייעצות עם גופי הביטחון כאן.
נעמה מנחמי
¶
(ג) לא תופסק כהונתו של המפקח הפנימי והוא לא יועבר מתפקידו אלא בהתייעצות עם ראש הרשות.
(ד) המפקח הפנימי יהיה עובד הגוף הביטחוני הכפוף ישירות לראש הגוף הביטחוני, או לעובד בכיר בגוף הביטחוני הכפוף ישירות לראש הגוף הביטחוני, והוא יונחה מקצועית בידי ראש הרשות.
(ה) המפקח הפנימי לא ימלא תפקיד נוסף ולא יעסוק בעיסוק נוסף, העלולים להעמיד אותו בחשש לניגוד עניינים במילוי תפקידו לפי פרק זה.
(ו) הגוף הביטחוני יעמיד לרשות המפקח הפנימי אמצעים נאותים הדרושים למילוי תפקידו לפי פרק זה."
בהמשך להערה של אדוני קודם לגבי ניגוד עניינים אתה רוצה אולי שבמצבים מסוימים הרשות תוכל לאשר את זה חרף ניגוד עניינים בגופים מאוד קטנים ובסיטואציות מסוימות?
ראובן אידלמן
¶
אנחנו לא רואים נכון לקבוע את זה בחוק. כמובן, יכול להיות שיח עם הרשות בעניינים האלה. גם היום פונים אלינו לפעמים בשאלה האם, למשל, זה שם ממונה אבטחת מידע בגוף כשהוא כפוף למנמ"ר או לא כפוף אליו. אלה פניות שגרתיות שאנחנו מקבלים. אני מניח שגם פה יש שיח כזה. זה שיח ברמת ההתייעצות. אני לא רואה צורך לקבוע את זה בחוק.
עמית יוסוב עמיר
¶
ברמה המהותית לא אמורה להיות פעולה בניגוד עניינים. זה כלל הרבה יותר גדול מהעיקרון שקבוע פה.
היו"ר שמחה רוטמן
¶
שאלה: בלי לתת הרבה פרטים – מה הגוף הכי קטן בפרסונל מכל הגופים שאנחנו עוסקים בהם? שלושה אנשים, חמישה אנשים, עשרה אנשים, 20 איש, 100 איש? יחידת הסמך הכי נידחת שיש.
היו"ר שמחה רוטמן
¶
זה הכי קטן. אתם מבינים שבגוף של 100 אנשים יכול להיווצר מצב שאין תקן פנוי שלא עוסק בכלל בנושא של אבטחת מידע, שהוא אמור לפקח על אבטחת המידע של עצמו או של ניגוד העניינים הכי פשוט שיש. השאלה היא האם אנחנו יכולים לאפשר התייעצות – זאת השאלה של היועצת. אני לא בטוח שכדאי להכניס את זה לחקיקה, אני בטוח שימצאו פתרון, אני רק אומר שכשנסלול את הדרך הזאת יעשו בה שימוש. עדיף שיהיה כלל כללי שאומר שלא ותהיה עצימת עיניים מכוונת. אבל אני אומר – קחו את זה בחשבון.
הסעיף הבא
¶
23כ.
"המפקח הפנימי יפקח על יישום הוראות החוק בגוף הביטחוני ויקיים בקרה על ביצוען, ובין השאר –
(1) יכין תוכנית עבודה שנתית שתובא לאישור ראש הגוף הביטחוני וראש הרשות, לפיקוח על קיום הוראות החוק ולבירור הפרות של הוראה מההוראות לפי חוק זה, כאמור בסעיף 23כג;
(2) יבדוק את נוהלי הגוף הביטחוני ומדיניותו בתחום הפרטיות ועמידתם בהוראות הדין;
(3) יברר / יבדוק קיומן של הפרות של הוראות לפי חוק זה המנויות בסעיף 23כג [סעיף ההפרות בפרק העיצומים הכספיים], בהתאם להנחיות ראש הרשות;
(4) ידווח לראש הרשות בלא דיחוי, בכפוף להוראות ההתאמה הביטחונית והמידור החלות על הגוף הביטחוני, על ממצאים של פעולות הפיקוח, הבדיקה והבירור שביצע;
(5) יקיים בקרה על אופן תיקון ליקויים שהתגלו בממצאי הפיקוח והבירור;
(6) יקיים הכשרה והדרכה של עובדי הגוף בנושאי פרטיות;
(7) יגיש לראש הגוף ולראש הרשות דין וחשבון שנתי על אופן ביצוע תוכנית הפיקוח והבדיקה ועל קיום הוראות הדין בגוף הביטחוני."
יש אפשרות לברר או לבדוק. רצינו להסב את תשומת הלב של הוועדה שהכוונה היא לא לאותו בירור מנהלי, נכון?
נעמה מנחמי
¶
אז יכול להיות שנחליט לבדוק ויכול להיות שנמצא לזה משמעות אחרת, אבל הכוונה היא לא לאותו בירור מנהלי.
עמית יוסוב עמיר
¶
הסמכות היחידה הייחודית בפרק הבירור המנהלי שלא מוקנית פה במפורש זה לקבל צו לחדירה לחומר מחשב.
מ’
¶
דין זה משהו הרבה יותר רחב ופחות מוגדר. תוכלו להסביר את ההבדל הזה? לתפיסתנו, אנחנו אומרים פה שהממונה הפנימי יהיה אחראי על ההפרות מכוח החוק. ברגע שאת אומרת "הדין" הדבר הזה הוא די - -
נעמה מנחמי
¶
אז אם אנחנו רואים הפרה של החוק לתיקון פקודת המשטרה מס' 40 שעוסק במצלמות המיוחדות אז אין לוsay לגבי זה? הוא לא אמור לבדוק שהמשטרה - -
נעמה מנחמי
¶
אנחנו בכוונה החלפנו את המילה "חוק" ל"דין" כדי להחיל את התקנות וגם חוקים נוספים שאותו גוף כפוף אליהם שיש בהן הוראות פרטיות.
היו"ר שמחה רוטמן
¶
לא הבנתי – אתם מבינים את המילה "החוק" כעוסק רק בחוק זה? המילה "החוק" זה חוק באופן כללי.
היו"ר שמחה רוטמן
¶
אז יש פה עניין ניסוחי. הם אומרים שאם כתובה המילה "חוק" הכוונה היא רק לחוק הגנת הפרטיות, ואם כתוב "הדין" הכוונה היא לכל חוק או חיקוק או תקנה שחלים על הנושא.
מ’
¶
זה מאוד מרחיב, אדוני. ברגע שכתוב "כל דין", זה משהו מאוד מרחיב. הדבר הזה יכול להגיע לכל מיני עניינים. כשאנחנו דיברנו על הממונה על הפיקוח הפנימי עסקנו מכוח החוק הזה בפרקים הרלוונטיים בדומה לסמכויות הפיקוח הרגילות. בסמכויות הפיקוח הרגילות כתוב שהמפקח יהיה - - -
היו"ר שמחה רוטמן
¶
הבנתי את השאלה שלך. נניח שיש פקודת מטה ארצי שעוסקת בהעברת מידע בתוך המשטרה ועל שמירת הפרטיות בתוך המשטרה – הממונה לא אמור לבדוק אותה כי זה לא חוק? אם ראש השב"כ הוציא הנחיה איך שומרים על פרטיות בשב"כ – אני לא יודע איך קוראים לנהלים שלכם, לכן השתמשתי בדוגמה של המשטרה כי אני לא יודע אם יש לכם שם מיוחד, ושם אני יודע שזה פקודת מטא"ר. אבל אצלם זה פקודת מטכ"ל.
רפי סלמה
¶
אדוני, גם במצב היום זה לא שהמשטרה - - - הייתה בודקת אם מישהו עבר על הפקודות הפנימיות של הגוף. היא מתארת סיטואציה ספציפית.
היו"ר שמחה רוטמן
¶
אבל יש תמיד פרשנות ספציפית. למשל, בנושא הרוגלות יש נהלים של האגף שעוסק ברוגלות - למי מותר – מורשי הגישה; בנוגע להאזנות סתר יש נוהל פנימי של השב"כ. אני שואל עכשיו - -
היו"ר שמחה רוטמן
¶
הנוהל הזה הוא יישום ספציפי של הוראות אבטחת מידע בנוגע לתוצרים של האזנת סתר. חלק מהנהלים האלה מאושרים על-ידי הוועדה, חלקם לא; חלקם ייעשו בהתייעצות עם ראש הרשות להגנת הפרטיות כדי לבדוק האם מדובר באבטחה ספציפית; האם לצורך העניין על תוצרי האזנת סתר שעורך השב"כ צריך שלושה מורשי גישה או עשרה מורשי גישה. זה יישום ספציפי של הוראות החוק, אבל המקור שלהם והכללים שלהם הם בנוהל פנימי של השב"כ, וטוב שזה יוסדר בנוהל פנימי של השב"כ. יותר מזה – אחד מהדברים שאני מבקש ממנו לעשות זה לבדוק את נהלי הגוף הביטחוני ולבדוק את המידה של הנהלים בהוראות החוק. ואז נשאלת השאלה האם הפרו את הנוהל שעומד בהוראות החוק – את זה אל תבדוק כי זה לא בחוק.
עדי בן חורין
¶
אני ממערך הסייבר הלאומי. החוק הזה כולו, להבנתנו, אמור לעסוק בפיקוח ואכיפה בהקשר של חוק הגנת הפרטיות.
עדי בן חורין
¶
חקיקת משנה שנובעת מהחוק הזה, אפשר לפתור את הניסוח בכך שכותבים "לפי החוק" ולא "החוק" ואז זה כולל גם תקנות ונהלים שאמורים להיות יישום של החוק הזה. אבל המילה "הדין" מרחיבה הרבה יותר; ואם יורשה לי להגיד, להבנתי, אלא אם כן יש כוונות אחרות, הכוונה לא הייתה שהמפקח בתחום הגנת הפרטיות יבחן את עמידתם של נהלי הגוף בדין שזה משהו מאוד רחב, ובדרך כלל זה משהו שהלשכה המשפטית עושה.
היו"ר שמחה רוטמן
¶
בתחום הפרטיות. אנחנו עוסקים בתחום הפרטיות. אבל למה בחוק הגנת הפרטיות? יש חוק אחר. יכול להיות חוק אחר – חוק המרשם הפלילי ותקנות השבים. זה הסדר ספציפי שעוסק באבטחת מידע ובשמירת פרטיות על מאגר מידע מאוד מסוים. היועצת המשפטית הקריאה עכשיו את החוק לתיקון פקודת המשטרה מס' 40, ויש להם חלקים שעוסקים בפרטיות. יכולה להיות סיטואציה שכתוב בחוק שיפוט הצבאי: "הסנגור ישמור על פרטיות האנשים שאיתם הוא מתייעץ", או הקטגור או התובע או שניהם או בית הדין – לא אכפת לי. האם ממונה הגנת הפרטיות של צה"ל לא יבדוק את דלף המידע שמתרחש כי זה מוסדר מכוח חוק השיפוט הצבאי? ההוראה לשמירת הפרטיות של המידיינים מוסדרת בחוק השיפוט הצבאי. אז אני מסכים שצריך לעשות פה הגדרה תכנית שאני לא אהפוך את הבן אדם הזה ליועץ המשפטי של הרשות, אז אפשר לכתוב "בתחום הפרטיות". הם אמרו את זה גם על הדוח וגם על 2 "ועמידתם בהוראות הדין הנוגעות לעניין". אבל בוודאי שהוא אמור לדעת שיש דין איך שומרים מידע והנוהל הזה לא עומד בו.
מ’
¶
אדוני, בהקשר הזה אנחנו, לפחות, מפוקחים על-ידי לא מעט גורמי פיקוח ובקרה בוועדה מיוחדת, כולל הכנסת הזאת. השאלה של גבולות הבקרה זה בסופו של דבר המפקח הפנימי אבל הוא כפוף לראש הרשות, ואני מבקשת שעל זה נערוך קודם שיח בין גופי הביטחון. זה יוצר קושי כי אנחנו לא מעט גופים שהחוק הזה חל עליהם בטרם נשיב לעניין הזה. ברגע שאתה מחליף את המילה זה יוצר פה הרחבה שיכול להיות שהיא משנה את האיזונים בין הגנת הפרטיות לבין צורכי הביטחון. אני, לפחות, מבקשת לדון על זה עם חבריי פה סביב השולחן.
רפי סלמה
¶
אחת מההפרות של הגנת הפרטיות היא, למשל, הפרה של חובת סודיות שנקבעה בדין לגבי ענייניו הפרטיים של אדם. אבל הכול נכנס דרך החוק הזה, אתה לא צריך להתפרס על חוקים אחרים. אם יש לך חובת סודיות בחוק המרשם הפלילי אז אתה נכנס לרמת הפיקוח דרך החוק הזה. לכן אין מקום להרחיב משהו שאנחנו לא יודעים עליו מראש.
היו"ר שמחה רוטמן
¶
זה לא נכון כי דווקא לגופי ביטחון יש החרגה מחוק זה וכל מיני דברים. יש החרגה בחוק זה לגבי הפגיעה בפרטיות האזרח; אין החרגה בחוק זה לגבי ההתנהלות הפנימית שלכם ואת זה אני רוצה שתבדקו. אז חובת הסודיות לא חלה לגביכם כי מותר לכם; וחובת הסודיות היא לא להעביר את המידע.
השאלה היא מאוד פשוטה
¶
לפי הכללים, כל עובד שב"כ עקרונית יכול להיות חשוף להאזנות הסתר, לפי שיקולי ראש הארגון. אבל ראש הארגון החליט שכדי להבטיח את המידע בנוהל של האזנות הסתר צריך לעשות 1, 2, 3, 4 – כנ"ל המשטרה, כנ"ל צה"ל וכל הגופים שמוסמכים – זה לא משהו מיוחד לאף גוף פה. הוא החליט שלצורך העניין מידע כזה יהיה רק לקצין בדרגת Y ולמורשי גישה – חמישה בכל הארגון; ומסתבר שנכנסו השישי והשביעי – איזה חוק הופר פה? לא הופר פה שום חוק.
היו"ר שמחה רוטמן
¶
לא, זאת פרשנות מעניינת מאוד ששמירה על מורשי הגישה בהתאם לנוהל הזה, וזה נחשב דין בר תביעה. אני יכול להגיש עכשיו תביעה כי הייתה פה הפרת חובת סודיות שנקבעה בדין. אני יכול להגיש תביעה על מה שקרה, שניגש מורשה זה ולא מורשה זה כי הופר הדין.
עמית יוסוב עמיר
¶
כדאי לחדד. יש פה שני דברים שונים: ספציפית קביעת הוראות הרשאות גישה זה אכן דין לפי חוק הגנת הפרטיות – תקנה 8 לתקנות אבטחת מידע. זאת לא הפרת חובת סודיות, זאת הפרת הוראה אחרת.
עמית יוסוב עמיר
¶
זאת לא הוראת סודיות. זאת לא חובת סודיות, זאת חובה מסוג אחר של - - - גישה. צריך להגיד שנהלים אחרים שהם לא מכוח בהכרח חוק הגנת הפרטיות ותקנותיו – תלוי לפי העניין – זאת לא פגיעה בחובת הסודיות. בדוגמה הזאת שהצבא נתן מדובר בהפרת הוראת הרשאת גישה שהיא ספציפית לפי חוק הגנת הפרטיות.
היו"ר שמחה רוטמן
¶
בסדר. אתם רוצים להגיד על זה? לא נראה לי הגיוני שזה יהיה רק חוק כזה. נראה לי שאפשר לצמצם את זה בנוגע לפרטיות. אבל מחר בבוקר יחוקקו חוק פרטיות מיוחד ואני אצטרך לתקן את החוק. זה לא נראה לי הגיוני. זה כן דבר שנוגע לפרטיות, וחוץ מזה, אפשר לחשוב מה דלתא פה. אז יהיה דוח ואתם תגידו לו, אדוני היקר, עם כל הכבוד, אתה לא הבנת נכון את הנוהל הזה והזה. אבל זה לא שיש שיניים לעניין הזה. יש שיניים להפרות של הוראות המנויות בסעיף 23כג, ותכף נדבר על זה. אבל להגיד, זה אמנם לא בחוק הפרטיות אבל העובדה – כל דוגמה שאני אתן רק תפגע, אתם יודעים את הדוגמאות יותר טוב. השלם כאן. אז זה רק יעזור לכם.
נועה גבע
¶
אני מהמועצה להגנת הפרטיות. העמדה של המועצה לאורך החקיקות השונות שמונחות חדשים לבקרים היא שכל פעם כשיש מערכת חדשה שנכנסת: עין הנץ או נתיבי תחבורה – בכל מקרה כזה היה צריך לקבוע ממונה פרטיות באותו גוף שיפקח על יישומו של אותו חוק. לכן מן הראוי שבמקום להוסיף את זה לכל חקיקה יהיה פה ממשק אחיד שיראה את הדברים מלמעלה פעם אחת. כלומר ברגע שזה נכנס מהחוק הכללי אז כל החקיקות וכל הטכנולוגיות יבואו בעתיד ותהיה כבר הפונקציה הזאת. גם מבחינת הפונקציה המקצועית שלה היא כבר שם, היא כבר מולך.
היו"ר שמחה רוטמן
¶
ומחר בבוקר נחוקק חוק נפרד משיקולינו בכנסת – חוק להסדרת השימוש ב-AI. אני צריך לעשות תיקון עקיף לחוק הגנת הפרטיות? אני אוכל להגיד שב-AI שיקולי הפרטיות הם X, Y, Z, ואני מצפה שהממונים יכירו את חוק ה-AI ויגידו, שצריך לעשות 1, 2, 3, 4 כדי לוודא על איזה דטה בייסים הוא יושב. אולי זה לא יהיה בחוק הגנת הפרטיות – אולי כן, אולי לא – אני לא יודע, אי אפשר לבנות את זה.
נעמה מנחמי
¶
סעיף 23כא – סמכויות המפקח הפנימי.
"לצורך מילוי תפקידו יהיו למפקח הפנימי הסמכויות הנתונות למפקח לפי סימן ב' לפרק ד'1, וכן תחול עליו החובה למחוק מידע מדגמי ונתוני מערכת כאמור בסעיף 23י(ג), בשינויים המחויבים."
התוספת היא בהתאמה.
היו"ר שמחה רוטמן
¶
בכל זאת זה קצת משונה שאני מטיל על גוף בתוך הרשות חובת מחיקת מידע שהרשות יכולה לשמור.
עמית יוסוב עמיר
¶
יש פה תוספת. החובה למחוק מידע מדגמי נועדה להגן על הפרטיות וגם הגוף עצמו צריך למחוק. אבל הערך המוגן פה הוא הגנת הפרטיות. לגבי התוספת של נתוני המערכת זאת באמת שאלה כי אלה נתוני המערכת של הגוף עצמו.
היו"ר שמחה רוטמן
¶
לא, אין צורך. אבל גם מידע מדגמי – הגופים אלה הרי לא מוחקים כלום אף פעם, אני מקווה.
שיירשמו, בבקשה, בפרוטוקול את החיוך של נציגת המשטרה.
נעמה מנחמי
¶
23כב – סמכויות ראש הרשות: "(א) דיווח המפקח הפנימי לראש הרשות על ממצאי פעולות פיקוח ובדיקה" – אולי במקום "בירור" – "שקיים בהתאם לסעיף 23כ וכא, רשאי ראש הרשות:
(1) להורות למפקח הפנימי לקיים פעולות, פעולות משלימות, תיקון ליקויים או פעולות נוספות;
(2) להשתמש בסמכויות המסורות לו לפי פרק ד'3 אם מצא כי הופרה הוראה מן ההוראות המנויות בסעיף 23כג.
(ב) סבר ראש הרשות כי הממצאים כאמור בסעיף קטן (א), מעלים חשד לביצוע עבירה לפי חוק זה או שנודע לו בדרך אחרת על ביצוע עבירה כאמור, יהיו נתונות לחוקר סמכויות האכיפה לפי סעיף 23יד, אלא אם כן הייתה רשות אחרת המוסמכת על-פי דין לחקור עבירות באותו גוף ביטחוני.
(ג) לא יעשה חוקר או ראש הרשות שימוש בסמכויותיו לפי פרק זה כלפי גוף ביטחוני, אלא לאחר שעבר התאמה ביטחונית כמשמעותה בסעיף 15 לחוק שירות הביטחון הכללי, התשס"ב–2002."
קודם לעניין סעיף (א): הצענו כאן נוסח חלופי שבמקום כל הרישא שבסעיף (א) יהיה: "ראש הרשות רשאי". כלומר כרגע כמו שזה כתוב לכאורה הסמכויות (1) ו-(2) נותנות בדיווח מאת המפקח הפנימי. אז נכון שהמפקח הפנימי אכן מחויב לדווח, לפי הסעיף הקודם, אבל לכאורה הסעיף כתוב כך שמה שמפעיל את ראש הרשות זה הדיווח. אני לא בטוחה שרעיונית זה נכון. לכן הצענו לחלופין ראש הרשות, וככל שזה נכתב אז יכול להיות שגם ב-(1) כדאי לכתוב - -
היו"ר שמחה רוטמן
¶
אבל סעיף (3) אומר שהוא יבדוק בהתאם להנחיות ראש הרשות. כלומר ראש הרשות יכול להנחות לבצע בדיקה לפי סעיף 23 כ(3). אחרי שיש מסקנות הוא יכול לשדרג.
נעמה מנחמי
¶
זאת שאלה לפתחה של הוועדה – האם ראש הרשות צריך להמתין כדי שידווחו לו או שהוא יבקש שידווחו לו ואז הוא יוכל לכאורה לפעול או שהוא עצמאי לפעול גם בלי הדיווח; ככל שכן גם צריך לעדכן את הנוסח כך שזה יהיה: "להורות למפקח הפנימי לקיים פעולות, לרבות פעולות משלימות, תיקון ליקויים או פעולות נוספות לפעולות שביצע המפקח הפנימי". כלומר יש פה החלטה עקרונית ובהתאם לה השינוי של הנוסח.
רפי סלמה
¶
אני אשמח להתייחס. בעיניי, התיקון הזה עושה תקלה מסוימת. יש תהליך מסוים. ראש הרשות נותן הנחיה או המפקח הפנימי באופן עצמאי עושה את הבדיקה, ואז הוא חוזר לראש הרשות ומציג לו את הממצאים. ראש הרשות יכול להחליט אחד משניים: או שתהליך הפיקוח היה מספיק טוב, ולתת עיצומים כספיים; או להראות לו תיקונים או השלמות חקירה. החלופה שאתם מציעים מאפשרת לראש הרשות לתת עיצומים כספיים בלי שהיה תהליך של פיקוח פנימי או בדיקה פנימית. אני לא חושד ברשות להגנת הפרטיות. אנחנו מדברים על ראש רשות בעוד 20, 30, 50 שנה. נקרא בכלכליסט שבגוף מסוים קרה משהו מסוים – לכאורה, החוק הזה מאפשר לו – רשאי ראש רשות להשתמש בסמכויות המסורות לו לפי פרק ד(3). לכן לא יכול להיות תהליך של קבלת החלטה על עיצומים בלי שיש דיווח של המפקח הפנימי. בשביל זה הוא קיים. אדוני מתפלא, אבל אדוני אמר לפני חמש דקות שלא צריך גם את הרישא. הרישא קיימת ב-23כ(3). אז לכן מה אנחנו מנסים לתקן פה?
היו"ר שמחה רוטמן
¶
אמרתי שני דברים: א', ראש הרשות ודאי יכול להורות למפקח לבצע בדיקה. אבל נניח שבוצעה הפרה מסוג קליר-קאט ולא נדרש בעניינה הליך בירור ובחירה, בוודאי כאשר אני רוצה להטיל את האחריות על הגוף – לא על אדם ספציפי - -
היו"ר שמחה רוטמן
¶
רק רגע. עוד לא עברנו על רשימת ההפרות הארוכה מאוד שהרשות להגנת הפרטיות כללה בפרק העיצומים הכספיים. האם אני צודק?
היו"ר שמחה רוטמן
¶
בר הסלטים רק נפתח.
אבל יש שם הפרות ומאגר המידע יצא. ברור שאם מאגר המידע שמוחזק בידיים של הגוף הביטחוני יצא, הגוף אחראי.
רפי סלמה
¶
בדיוק. לכן צריך לעשות את הבדיקה הזאת. אני אשאל אותך שאלה אחרת: האם יש לראש הרשות סמכות לתת עיצומים מנהליים לגופים מסחריים בלי שום הליך של בדיקה? אז אין שום סיבה לעשות את ההליך הזה על גופי ביטחון.
היו"ר שמחה רוטמן
¶
הגוף פנה לאדם לקבלת מידע לשם החזקתו. השב"כ העלה לאתר האינטרנט שלו מודעת גיוס כוח אדם ולא כלל בו את הטקסט שאומר שהפנייה הזאת היא כנדרש לפי סעיף 1, שזה הפרה לפי סעיף כלשהו. זה התפרסם באתר של השב"כ, הפנייה נעשתה. לכאורה אומר הממונה ראש הרשות, אני לא צריך לנהל הליך בירור פנימי בתוך השב"כ על השאלה מי אחראי. זאת גם לא כל כך שאלה ביטחונית כי זה התפרסם באתר האינטרנט של השב"כ.
היו"ר שמחה רוטמן
¶
יש הרבה מאוד הליכים של עיצום מנהלי. אתה בפרקליטות וזה יפה, אבל בעולם העיצומים המנהליים יש הרבה מאוד עיצומים ודווקא בגלל שזה לא ההליך הפלילי – נעשתה הפרה, אתה שולח הודעה, תבוא אחר כך לשימוע. למה אני צריך כדי לטפל בהפרת הוראת ההודעות לפי תקנות ה-adequacy של GDPR באתר של השב"כ שלא כתבו, ויש אנשים באירופה שהגישו מועמדות, ולכן יושב הבחור מהאיחוד האירופי שאומר שהאתר של השב"כ לא עומד ב-adequacy, והוא אומר לו שהוא מטיל עיצום כי האתר פרסם וזה מאוד ברור, ואתה פנית לאנשים ולא עשית את ההודעה ולא כתבת את הטקסט ואת הנוסח ולא כתבת לאנשים שהם יכולים לפנות לאדם פלוני-אלמוני. מותר לי להטיל על זה עיצום כספי, להבנתי, אלא אם כן אני טועה, כי ההפרה היא ברורה, על-פניה, ישירות; אתה רוצה לטעון שלא מגיע לך? תבוא לשימוע, הכול בסדר. אבל למה אני צריך להתחיל הליך בירור מול הממונה על זה?
ניר גרסון
¶
זה יקרה מעט מאוד פעמים אבל בתאוריה זה קיים – הכול כפוף לכך שלפני שמטילים עיצום יש חובה לתת זכות טיעון. זה תמיד.
עמית יוסוב עמיר
¶
עוד לא הגענו לסעיפים האלה אבל רק להבהיר, כמובן, גם כדי להתחיל את סעיף השימוע, סעיף 23כא - -
היו"ר שמחה רוטמן
¶
עזוב – "פנה לאדם בדיוור ישיר שלא בהתאם להוראות 117א לחוק. השב"כ פנה – שלום, תודה, יחטוף. מה קרה? לא השב"כ, צה"ל. סליחה.
רפי סלמה
¶
אני עשיתי - - - של הדף הזה. אני אזרח תמים, שלחתי לרשות והוא ראה שלא ציינתי, אבל לא גלל למטה וראה שיש כוכבית. - - - עשיתי צילום של הדף הזה. זה בדיוק הליך הבדיקה.
היו"ר שמחה רוטמן
¶
לא הבנתי. אז אני שואל אותך שאלה – אתה באמת סבור שראש הרשות יצטרך כדי לוודא שבאתר האינטרנט של צה"ל - -
היו"ר שמחה רוטמן
¶
כל הסיבה שאנחנו נותנים לו את זה היא כדי שהוא יוכל לטפל מהר עם השוט הכואב הזה של עיצומים כספיים. לא שלצה"ל יכאב שחסר לו כסף. אבל כדי שהוא יוכל ישר לבוא עם השוט הגדול – למה? הוא נכנס לאתר צה"ל ביוזמתו כי הוא החליט להתנדב למילואים, והוא נכנס ורואה, להפתעתו, שפרטי המידע של זה שהיה לפניו נרשם לאתר מופיע פתוח בגוגל דוקס דרך האתר. למה? לא יודע למה – ככה. זה ברור שיש פה הפרה שמצדיקה עיצום כספים וגם יש פה אירוע דלף מידע חמור. יש פה כל מיני דברים שצריכים לעשות. על פניו, ישלח מיד. אין פה שום דבר כי ההפרה ברורה – זה הליך החקירה.
היו"ר שמחה רוטמן
¶
אבל זה הליך מנהלי. בהליך מנהלי בניגוד להליך פלילי אתה רואה הפרה – שולח לך ואומר שאם יש לך טענות נגד הקנס שאתה חוטף עכשיו, אם תגיש אותם תוך כך וכך זמן באתר שלנו, תגיש אותם, אחרת תשלם את הקנס. ככה עובד הליך מנהלי. זה כמו שתבוא ותגיד לי ששוטר שעוצר חייל שנוסע על 100 בכביש ונותן לו קנס לא יכול לעשות את זה בלי שממונה בטיחות בדרכים של צה"ל מאשר את האירוע.
היו"ר שמחה רוטמן
¶
כשאני מצולם במצלמה אף אחד לא מדבר איתי – גם לא על-ידי עין הנץ וגם לא על-ידי מצלמות אחרות. שולחים לי את זה בדואר ואומרים לי: זה הקנס שלך. שום הליך בירור ושום נעליים. אתה שואל אותי האם זה יהיה המקרה הנפוץ – אני מאוד מקווה שלא; האם אני חושב שלחלק מהמקרים כן – כל הסיבה של העיצומים המנהליים היא בשביל האירוע הזה. אתה יכול לתהות עכשיו על החוכמה, התבונה או הצורך.
היו"ר שמחה רוטמן
¶
הסעיף לא מגביל את ראש הרשות לעשות שימוש בסמכותו כאשר יש הפרה. אתה מסכים איתי שאם באתר צה"ל יש הפרה של הוראות הנגישות הממונה יכול להגיש קנס? הוא לא צריך לברר מול גורם כי אם האתר לא מונגש אז רואים את האתר ונותנים להם עיצום כספי ומבקשים להנגיש את האתר. אתה רוצה להגיד שהליך הבירור הוא הגלישה באתר? מצוין. הליך הבירור הוא הגלישה באתר אבל ככה עובד עיצום מנהלי. אני שמח שנציג הפרקליטות מקפיד על ההליך התקין בתחום הפלילי. אבל בתחום העיצומים המנהליים ככה זה עובד. ברור שמתוך הרשימה הארוכה של ההפרות ברור שיש הפרות שאי אפשר להסתפק בגלישה באתר.
עמית יוסוב עמיר
¶
רק לגבי ההגבלה בנוסח – יש דרישה מנהלית ברורה בסעיף 23כד: "היה לממונה יסוד סביר להניח". זאת אומרת בלי יסוד סביר להניח אי אפשר לעבור לשלב השימוע.
היו"ר שמחה רוטמן
¶
אני אומר לך בצורה מאוד פשוטה: יש מאגרי מידע שחייבים רישום? אז אתה פטור ספציפית אולי מחלקם. יש מאגר מידע שאתה חייב ברישום רשות ציבורית – השארנו את חובת הרישום על רשות ציבורית? נתנו פטורים. כנראה, לרובכם זה לא רלוונטי. אבל אם לחלק מהגופים זה רלוונטי והם צריכים לרשום את המאגר, והם לא רשמו את המאגר – הליך הבירור של ראש הרשות במקרה כזה הוא להגיד, יש מאגר של פרטי המתגייסים, נניח. אני יודע שהוא קיים, אין מחלוקת. כתוב באתר של צה"ל: "פרטיך ייכנסו למאגר", כולל מי אחראי למחוק. עשיתם את כל המשימות חוץ מאחת – לא רשמתם את המאגר. איזה הליך בירור הוא צריך לעשות? לפתוח את הפנקס שלו - -
היו"ר שמחה רוטמן
¶
אבל לפתוח את הפנקס שלו ולראות שצה"ל לא רשם מאגר. פתח, ראה – שלח עיצום. מה אתה צריך? הוא צריך להתייעץ עם הממונה על זה?
רפי סלמה
¶
הוא לא צריך, הוא צריך להנחות אותו לעשות את הבירור והוא יקבל את הממצאים של הבירור, ועל סמך זה הוא יחליט את ההחלטות.
היו"ר שמחה רוטמן
¶
זה לא קיים היום. לא הבנתי. אני מסכים איתך שיש סוגים של עיצומים שלעולם לא יוכלו להיות מוטלים בלי בירור מעמיק יותר. השאלה האם אתה פועל על-פי תקנות אבטחת מידע והגרסה שיש לך של firewall מעודכנת לשנה האחרונה – כנראה, את זה אולי כן, אם זה מאגר שיש לו גישה לציבור. אבל אם זה מאגר שאין לו גישה לציבור הוא לא יוכל לעשות את זה בשבתו במשרד המשפטים באמצעות גלישה באינטרנט. אבל יש כאלה שהליך הבירור יהיה פשוט גלישה באינטרנט. והוא יכין את הדוח וישלח לך עיצום כספי, ואתה תגיד שאתה רוצה לשכנע אותו למה לא, אם תחשוב שלא, או שתשלם את העיצום ויהיו לנו פחות טנקים, והוא ייקח את זה על המצפון שלו.
מה אתה רוצה שאני אעשה? למה אתה חושב שהאתר של צה"ל לא צריך לעמוד בסטנדרט שהאתר של כל גוף אחר צריך לעמוד? אם אתה חייב לכתוב הוכחה, לכתוב טקסט מסוים, לכתוב לינק להסרה מהמייל שאתה שולח – שלחת לי הודעת ווטסאפ ולא שמת לינק הסרה. זה מאוד פשוט. הוא קיבל את זה בעצמו, הוא לא צריך לעשות עוד הליך בירור. הוא לא צריך את הממונה – למה שיטריח את הממונה על זה? הוא ישלח לך עיצום כספי.
מ’
¶
אם יורשה לי, אני שבה ואומרת את מה שאמרתי בתחילת הדברים. המנגנון הזה הוא תוצר של איזונים וגם של הבנת יחסי הגומלין בין רשויות הביטחון לבין הממונה על הפרטיות עם ראש הרשות. לכן גם נקבעו תנאי הכשירות בסעיף א'. לא סתם כתוב שם שהמפקח הפנימי יהיה עובד הגוף הביטחוני שכפוף ישירות לראש הגוף, אבל הוא יונחה מקצועית על-ידי ראש הרשות. וגם ראש הרשות אמר בתחילת דבריו שאיך שהוא רואה את הדברים האלה, שיהיה שם נציג ברשות שיהיה בקשר עם המפקחים הפנימיים. לכן הסעיף הזה גם לא חורג מההסדר הכללי שיהיה ממילא. לכן, לדעתי, ככל שזה ההסדר של הפיקוח הפנימי שמדובר על יחסים של ראש הרשות שמבקש דיווחים מהמפקח הפנימי, נכון להתחיל גם את הסעיף הזה של "דיווח המפקח הפנימי". ואני חוזרת ואומרת שראש הרשות מורשה להנחות אותו מקצועית - -
היו"ר שמחה רוטמן
¶
אם עכשיו באתר האינטרנט שלכם בהשמה וגיוס ראש הרשות מחפש קריירה חדשה, והוא נכנס פנימה ורוצה להיות ממונה אבטחת המידע שלכם בשב"כ. הוא נרשם ונכנס לטופס ורואה שאתם לא מאובטחים בהתאם לכללים – את חושבת שהוא לא יכול לפעול עצמאית? את רוצה שאני אשלול ממנו את הסמכות לעשות את זה?
היו"ר שמחה רוטמן
¶
חברים, אתם מתבלבלים בין סיטואציה של חקירה פלילית שיש אזהרה וכל מיני כללים פרוצדורליים כאלה ואחרים לבין הכלי של עיצומים מנהליים. אני לא מאמין שהפכתם אותי לאדבוקט של עיצומים מנהליים. אולי אתם תדברו?
היו"ר שמחה רוטמן
¶
גם אם הרשות תגיד אחרת קודם צריך לענות לי למה האתר של השב"כ, אם הוא לא יכתוב את הטקסט הזה והזה הוא יקבל הנחת VIP. אני לא מדבר על אבטחת המידע הפנימי שלכם, אלא השב"כ מקבל חסינות מעיצומים מנהליים אלא באישור הגוף הפנימי שלו שכפוף לראש הרשות.
היו"ר שמחה רוטמן
¶
סליחה, אין בדיקה. נגמרה הבדיקה. הבדיקה היא כשגלשתי באתר. לא צריך עוד מידע. אתם רוצים לתת טיעונים לעונש למה להפחית לכם את העיצום כי אין לכם כסף? נדבר על זה. אבל קודם כול ההפרה בוצעה. נשאל אחרת: מה יקרה אם אתה נכנס לאתר גיוס העובדים של חברת תנובה, ואתה מזהה שהם לא מסרו הודעה כנדרש בסעיף 11 שזה סעיף 23כג(2). זה טקסט מסוים שצריך לכלול באתר, אם אני זוכר נכון את החוק; ואם לא מוסרים אותו מפרים את ההוראה. העיצום הכספי על הפרת הוראה באתר תנובה יהיה – עדיין לא יודע כמה כי לא סגרנו את הסכומים. נניח 10,000 שקל. עכשיו נכנסת לאתר של השב"כ – האם אתה חושב שאתה צריך לפעול אחרת בשליחת טופס העיצום הכספי של 10,000 שקל?
ראובן אידלמן
¶
היום יש קנסות וגם על סעיף 11 יש קנס. הוא אמנם מאוד נמוך אבל לצורך הדיון זה קיים. אנחנו נשלח הודעה - -
ראובן אידלמן
¶
אני מניח שכך נפעל גם בעתיד במקרים הקלאסיים. זאת אומרת המקרים שבהם נשלח מיד הודעה על כוונת חיוב יהיו מקרים חריגים אם לא חריגים מאוד. לכן יכול להיות שהדיון עוסק במקרים מאוד חריגים ולא במצב רגיל.
היו"ר שמחה רוטמן
¶
אני שואל האם אתם רואים הצדקה עניינית אם אני מקבל מסרון מהשב"כ ולא כתוב "הסרה" או שאני מקבל מסרון מתנובה ולא מקבל "הסרה", צריך להיות כלל שונה בדרכי הפעולה שלכם כגורם חיצוני? כי לכאורה לא בשביל זה אני נותן את ההקלה לשב"כ. אני נותן הקלה לשב"כ בגלל החיסיון של המידע הפנימי, בגלל הסיווג. אבל גם השב"כ מפעיל אתר אינטרנט.
ראובן אידלמן
¶
זה נכון שלא בשביל זה נבנה ההסדר הזה. אבל בסופו של דבר כן מנגנון. מצד שני בתנובה אנחנו גם לא ממנים את ממונה להגנת הפרטיות בהתייעצות איתנו ולא קובעים את תנאי הכשירות וההכשרה.
ראובן אידלמן
¶
יש כאן הסדר כולל שבונה מערכת יחסים בין הרשות לבין הגופים הביטחוניים. במסגרת ההסדר הזה אני מניח שגם במקרה הזה נשלח קודם כול הודעה - - -
היו"ר שמחה רוטמן
¶
אבל גם לתנובה אתה אומר שקודם תשלחו הודעה. אני רק אומר שאין סיבה שהאתר של תנובה לא יקבל אותו יחס כמו האתר של שב"כ.
רפי סלמה
¶
כי המפקח הפנימי הוא בעצם חליף המפקחים של הרשות. גם ראש הרשות לא ישב על כל האתרים ויעבור על זה. הוא ייתן משימה למפקח אצלו שייתן דין וחשבון מה העלתה החקירה שלו, ואז הוא יקבל החלטה.
לכן ראש רשות כלשהו הסתכל וראה. סביר להניח שהוא לא יגיד שהוא מוציא עכשיו הודעת קנס או אפילו הודעה על תיקון – הוא יעביר את זה לטיפול של מפקח.
היו"ר שמחה רוטמן
¶
תלוי בכוח האדם שלו, אני לא מתערב לו בשיקול הדעת. אבל אני רק אומר שכל הרציונלים שבגללם אני נותן לכם מפקח - -
היו"ר שמחה רוטמן
¶
אני בכלל לא מדבר על הקלה. אני רק אומר שכל הרציונל שבגללו אני ממנה לכם מפקח ולא אומר שעובדי הרשם הרגילים יבצעו את הפיקוח זה מכיוון שיש חסם על הדבר הזה. החסם הזה קיים במקרים מסוימים ולא קיים במקרים אחרים. הוא קיים מאוד כאשר יש פיקוח פנימי. עובד של המפקח מגיע לתנובה, לאוסם או לחברת ביטוח או לכל גוף אחר להליכי פיקוח רגילים, והוא מחפש להם במחשבים ומדבר עם כל אדם ומתשאל את מי שהוא רוצה. נתנו לו אלף סמכויות לזה. ואתם אמרתם בצדק שכשעוסקים בצה"ל, בשב"כ, במוסד – עד כאן. אני לא רוצה שהדבר הזה יקרה אצלי, אני רוצה שתשאיר את זה אצלי. במקרים רגילים זה בוודאי מה שצריך להיות; השאלה היא האם זה שולל את היכולת העצמאית?
רפי סלמה
¶
- - - אתה בעצם מפקיע מהסמכויות של המפקח. הרי מה ייעשה בתהליך השימוע? אותו דבר שהיה עושה המפקח הפנימי. אתה הרי מעביר את הבעיה - -
רפי סלמה
¶
הוא ראה הפרה ועבירה והוא רוצה לקבל התייחסות. יכול להיות שגם ההתייחסות מסווגת, אז מה עשית בזה? העברת את הבעיה להליך השימוע. אתה רוצה שגם השימוע יהיה אצל המפקח הפנימי?
ראובן אידלמן
¶
חשוב לי להגיד לאדוני שלפי הסעיף שכבר קראנו קודם שאומר: "המפקח הפנימי יברר הפרות בהתאם להנחיות ראש הרשות" – מבחינתנו זה סעיף שמאפשר כל יום – אני אומר את זה כצורת ביטוי – לפנות למפקח הפנימי ולבקש ממנו לברר דברים.
היו"ר שמחה רוטמן
¶
לא, אין לך. אתה לא יכול לעלות שלב. גלשת באתר של השב"כ, ראית את פרטי המועמד הקודם בגלל כשל אבטחה סופר חמור, פנית למפקח של השב"כ שנמצא עכשיו במקרה בחופשה באיי סיישל, והוא לא עונה לך ויש הפרשי שעות. סליחה, לא באיי סיישל – ביעד לא ידוע.
גלעד סממה
¶
אדוני, אתם לא צריכים להיות מוטרדים וגם אתה, אדוני, לא צריך להיות מוטרד. הדלתא כאן היא לא מאוד גדולה כי ברוב רובם של המקרים בפרקטיקה שלנו יש הליך בירור שאנחנו צריכים לעשות שהוא לא מצלמת מהירות שמצלמת ונגמר הסיפור. אז יש כאן דלתא בטלה בשישים.
לגבי הדבר השני – בוודאי ובוודאי שראש הרשות פונה למפקח הפנימי, והוא בוודאי צריך להשיב לו, ובוודאי אנחנו לא נוכל להיות במצב שאם הוא לא משיב לו אז אתה לא יכול לעשות כלום. כאן יש טרייד-אוף הזה. אם מפקח פנימי לא משיב להנחיה של ראש רשות לברר תלונה או חשש כזה או אחר בוודאי שאנחנו צריכים אפשרות להתקדם ולא להניח לדבר למות. אני מניח שגם כל הגופים מבינים את זה, אין כאן מנגנון שהמטרה שלו שהבירור שאנחנו מבקשים לעשות יישב בצד ונחכה שמישהו ישכח ממנו. אני מניח שאף אחד כאן לא ב-state of mind הזה.
גלעד סממה
¶
לכן אני אומר שאני יכול להבין גם אם אדוני מתעקש על כך שלא נמתין לתשובה כי אם אין תשובה אז אנחנו לא יכולים להפעיל שום סמכות. זה מצב לא הגיוני וזאת גם לא הכוונה של אף אחד מהגופים כאן. מצד שני מה שהטריד חלק מהגופים, וכאן הדלתא היא לא גדולה – אני רואה במנגנון הזה מנגנון של פנייה למפקח. זה כמו שאני אפנה למפקחים שלי בתוך הרשות. כמובן, אם הם לא יבררו נוכל להתקדם ולא ניתקע. זאת בעצם הכוונה של כל הגופים כאן.
רפי סלמה
¶
אם זה החשש אז צריך, לפחות, לקבוע כתנאי סמכות עצמאית כזאת שהייתה פנייה ולא - - - אם החשש הוא מעבריינות של המפקח הפנימי – בסדר, בוא נקבע את זה. נגיד שכתנאי להפעלת סמכות עצמאית הייתה פנייה למפקח הפנימי, והוא לא בירר. את זה אני יכול לקבל.
היו"ר שמחה רוטמן
¶
אין צורך בזה. אין לי חשדנות ב-99% מהמקרים. הרשם לא יוכל, גם אם הוא מאוד רוצה להפעיל את סמכויותיו, בלי הסיוע של המפקח הפנימי. לכן ב-99% מהמקרים זה יהיה רלוונטי. לכן לדעתי, בדלתא דוגמאות של אתרים חיצוניים ששם באמת מדובר בדברים ללא הנמקה מיוחדת שבהם הוא יכול להתחיל ולסיים את האירוע בעצמו, אני לא רואה סיבה להגביל אותו. זה הכול.
ישי יודקביץ
¶
השאלה אם אתה רוצה להוסיף סעיף של חשדנות – אם המפקח הפנימי לא ענה באחוז הבודד הזה, אז כך וכך.
גלעד סממה
¶
בדלתא הזאת אני מוכן לקבל על עצמי כרשות שגם במקרים האלה נפנה. אבל, כמובן, וכאן צריך שגם הטקסט יבטא את זה, שבכל המקרים אם אנחנו מבקשים לברר משהו ומניחים אותו בצד ומזניחים אותו, אז שנוכל אחרי זמן סביר להפעיל את הסמכויות.
גלעד סממה
¶
לשני הכיוונים אנחנו מדברים. אני משקף כאן את העמדות של כל הגורמים כי בסוף אף אחד לא בא לשולחן הזה מתוך מטרה לשים חשש מסוים בצד רק כדי להגן על הגוף שלנו.
היו"ר שמחה רוטמן
¶
תציעו ניסוח לסעיף הזה שמשקף את זה, שמצד אחד הוא לא מתנה את סמכויותיו במענה לדיווח, כי אז נתנו וטו למפקח הפנימי, ומצד שני מסיר את החשש שלכם שמחר בבוקר הוא הולך לצלול ראש למאגרים הסודיים שלכם.
ראובן אידלמן
¶
הכוונה כאן היא לגופים כמו מח"ש ולא סיטואציה של המשטרה. את זה אולי צריך להבהיר, וייתכן שצריך להבהיר את זה גם בטקסט כי למשטרה, לכאורה, תמיד יש סמכות לחקור עבירות. זאת לא הייתה הכוונה כאן. הכוונה היא שבסיטואציה ספציפית שבה סמכויות החקירה הפלילית בתוך הגוף הביטחוני עצמו נתונות לגוף ספציפי באופן ייחודי, כמו למשל, מח"ש ביחס לחלק מהגופים, אז זה לא אמור להיחקר על-ידי הרשות.
גלעד סממה
¶
הנוסח לא טוב – זה חשוב להגיד. תודה על ההערה, כמובן, אנחנו צריכים לתקן את זה. זאת לא הייתה הכוונה איך שזה מתפרש, כמובן.
רפי סלמה
¶
- - - משטרה צבאית ופרקליטות צבאית שיש חקירה ואכיפה פנימית בתוך הגוף, האכיפה הפנימית לא תהיה באמצעות מורשה להגנת הפרטיות, למשל. זאת אומרת החקירה תיעשה על-ידי מצ"ח וההעמדה לדין תבוצע על-ידי התביעה הצבאית. - - - גם על הפרה של פרטיות.
היו"ר שמחה רוטמן
¶
אנחנו שמחים. אבל גם היום יש סמכות מקבילה למשטרה ולרשות על חקירות פליליות בנושא הגנת הפרטיות. יכולה להיות חקירה שמתנהלת על-ידי משטרה ויכולה להיות חקירה שמתנהלת על-ידי הרשות – חוקר עם סמכויות שוטר. למשטרה אין סמכות, לדעתי, לחקור בתוך הצבא. נכון?
היו"ר שמחה רוטמן
¶
מי שנתון לחקירת מצ"ח, אז מצ"ח היא המקבילה של המשטרה בהקשר הזה, בעיניי. היא לא בדיוק המקבילה של מח"ש.
ראובן אידלמן
¶
אני לא מסכים עם אדוני. אנחנו חוקרים רק אוכלוסייה מסוימת, אנחנו לא חוקרים אזרחים.
הכוונה היא למצ"ח או מח"ש. הכוונה היא שזה לא המשטרה. המטרה היא שעבירות פרטיות - -
ראובן אידלמן
¶
יכול להיות שצריך לכתוב: "רשות אחרת המוסמכת על-פי דין באופן ייחודי" כדי לחקור עבירות באותו גוף ביטחוני. ואז הכוונה היא למקרים כמו מצ"ח או מח"ש. המטרה היא להבהיר שזאת לא הסמכות הכללית של המשטרה שהיא נכונה לגבי רוב הגופים שנמצאים כאן. אנחנו לא בתחרות מול המשטרה בעניין הזה, כי המטרה היא שעבירות פרטיות כן ייחקרו על-ידי הרשות.
נעמה מנחמי
¶
כן.
בזה הסתיים הנושא של הגופים הביטחוניים. יש עוד סעיף שהיה ממוקם בטעות בסעיף 23יח(ב). אבל הוא לא עוסק בגופים הביטחוניים, הוא עוסק בפיקוח ובבירור מנהלי בגופים ציבוריים המנויים בתוספת החמישית לחוק הסדרת הביטחון בגופים ציבוריים. רשימת הגופים נמצאת במסמך ההכנה. מדובר בגופים שיש להם הנחיה של סייבר ופיקוח של הרשות להגנת הפרטיות. כדי למנוע כפל או סתירה בין ההנחיות או הדרישות של הגופים הוצג הצורך בנוהל. זה הנוסח המוצע וביקשנו להעביר אותו למקום נכון יותר.
אני מודה שאני לא מכירה הוראות דומות בחקיקה שבהן חוק או פיקוח לא נאכפים, ובעצם פיקוח נפסק בהוראה חוקית עד ששני גופים מנהליים יקבעו ביניהם - - - בוודאי כשאנחנו יודעים שאפילו תקנות שקובעות מועד לקביעתן בחוק והשר יביא תוך 90 ימים, גם אותן אנחנו לא מצליחים תמיד לפגוש, לפעמים אפילו במשך 20 שנה.
ראובן אידלמן
¶
אני אבהיר שבהחלט יש כוונה לגבש נוהל, והכוונה לגבש אותו עד למועד כניסת תיקון 14 לתוקף. אנחנו בהחלט מתכוונים לעבוד על זה במרץ מרגע שהליך החקיקה יושלם ועד למועד התחילה של הצעת החוק הזאת.
נעמה מנחמי
¶
אפשר להבין מה אמור להיות בנוהל הזה שבגללו 32 גופים מהחשובים במדינה לא יהיה עליהם פיקוח, והם גם יידעו שאין עליהם פיקוח בנושא פרטיות?
ראובן אידלמן
¶
בנוהל יגובש מנגנון תיאום ביחס לפעולות פיקוח שהרשות להגנת הפרטיות מבצעת כלפי הגופים האלה בדגש על תחום אבטחת המידע ששם יש גזרת חפיפה בין ההנחיה של מערך הסייבר לפי החוק להסדרת הביטחון - -
ראובן אידלמן
¶
מערך הסייבר אולי יוכל להשלים אבל זאת לא אכיפה, זאת סמכות הנחיה לפי החוק להסדרת הביטחון. לעומת זאת הרשות היא הרגולטור לפי תקנות אבטחת מידע, והיא מנחה ואוכפת בתחום הזה. הכוונה היא שיהיה נוהל שיהיה בו מנגנון איך מבוצעות פעולות האכיפה. מצדנו אפשר לבטא גם בטקסט שהנוהל הזה יגובש עד למועד - - -
עדי בן חורין
¶
הגופים האלה הם תשתיות מדינה קריטיות. אנחנו הקצין המוסמך שלהם על-פי החוק להסדרת הביטחון, ומה שמעניין אותנו זה המשך הרציפות התפקודית של הגופים האלה. מדובר בגופים שפגיעה ברציפות התפקודית שלהם עלולה להגיע עד כדי פגיעה ברציפות התפקודית של מדינת ישראל. זאת אומרת יש פה אינטרס לאומי. כמובן, ההנחיה שלנו היא בדגש על הרציפות התפקודית של מערכות המחשוב הקריטיות בארגונים האלה והתהליכים הקריטיים בארגונים האלה.
היו"ר שמחה רוטמן
¶
הרשות להגנת הפרטיות, אתם מתכננים לפגוע ברציפות התפקודית של גופים שאתם מפקחים עליהם? אז למה זה מעניין אותך?
עדי בן חורין
¶
בדיוק, זה מה שרציתי להגיד. הסיבה שהנוהל הזה והתיאום בביצוע פיקוח נדרשים היא לא מכיוון שיש כוונה שהפיקוח הזה לא יתבצע – חשוב מאוד שיתבצע פיקוח בהיבטי פרטיות גם בגופים האלה. כמו שנאמר פה, הכוונה היא שהנוהל הזה יגובש עד כניסתו לתוקף של התיקון לחוק.
היו"ר שמחה רוטמן
¶
התשובה היא לא. לא יהיה מצב בעולם שיוצא מפה חוק שאומר שבפוטנציאל אין פיקוח על מאגר המידע של רשות האוכלוסין וההגירה עד שתשבו ותדברו ביניכם או לא. זה לא הגיוני בשום צורה שהיא. כנ"ל לא רשות התקשוב הממשלתי, המערך לממשל זמין.
עדי בן חורין
¶
אדוני, אפשר להשלים? כמו שאמרתי, אין כוונה שלא יתבצע פיקוח כזה. המטרות פה הן משלימות: הבטחת הרציפות התפקודית של מערכות המחשוב והגנה על - - - והמידע.
היו"ר שמחה רוטמן
¶
אז יהיה כתוב ככה: "אופן הפעלת הסמכויות לפי סימנים ב' ו-ג' בפרק ד' - - - ייעשה בשים לב לצורך בהבטחת המשך תפקודם".
היו"ר שמחה רוטמן
¶
אין שום בעיה. אבל אני לא נותן למערך הסייבר את האפשרות לבטל את אפשרות הפיקוח על הגנת הפרטיות על מאגר המידע הכי חשוב של מדינת ישראל. זה לא הגיוני בשום צורה שהיא. ואם כן – אני רוצה לכתוב את זה לכולם. את יודעת מה יקרה עם הוואטסאפ יקרוס במדינת ישראל? את יודעת שב-7 באוקטובר הכווינו מטוסים להפציץ באמצעות וואטאספ וטלגרם? זאת תשתית חיונית. אז עכשיו יעשו פיקוח על וואטסאפ אז מה יקרה? אני אומר לך, זה לא הגיוני.
עדי בן חורין
¶
אנחנו מסכימים שהפיקוח בהיבטי הפרטיות הוא חשוב. האמירה היחידה היא שמבקשים שזה יתבצע בתיאום בשביל לוודא שאופן ביצוע הפיקוח הוא כזה שלא פוגע בהיתכנות התפקודית של הגופים האלה שבכל מדינה היא קריטית.
היו"ר שמחה רוטמן
¶
אז תעשו נוהל. אני לא מפריע לכם לעשות נוהל. אני לא מבין, סליחה על השאלה – עיריית תל-אביב לא פה, נכון? כשאתם הולכים לעשות פיקוח על עיריית תל-אביב אתם הולכים לפגוע בתפקוד שלה? לא. אז אני לא מבין את האירוע. יש פה הנחת יסוד לא ברורה שאומרת שכשעושים פיקוח פרטיות פוגעים בתפקוד של הגוף.
עדי בן חורין
¶
חלילה, זאת ממש לא הנחה. האמירה היא שכשעושים פיקוח בהיבטי פרטיות בוודאי יש פה אמצעים – ויש לזה התייחסות גם בנוסח המוצע – שנוגעים למערכות המחשוב. לכן במקומות האלה אנחנו מבקשים שיתבצע תיאום איתנו בתור הקצין המוסמך שאמון על זה.
היו"ר שמחה רוטמן
¶
אתם יכולים לבקש לבצע תיאום, זה מצוין. אגב, זה סעיף מיותר בכלל, בעיניי. כי גם בגופים שמנויים בחוק להסדרת הביטחון בגופים ציבוריים וגם בגופים שאינם מצויים שם, הפעלת פיקוח והפעלת כל סמכות שלטונית צריכה להיעשות – תאמינו או לא – באופן סביר. כמובן, גם אז אתה צריך לפעול באופן סביר, רק שאין גוף אחר שמפקח עליך על זה גם אם אתה שר ובטח אם אתה ראש הרשות להגנת הפרטיות. ועליו יש גם עוד גופים מפקחים על זה שהוא יפעל בסבירות, בדרך מקובלת, בתום לב המוגבר שחל על רשות שלטונית, ועוד כמה דברים כאלו. אבטחת הקיום - חזקה עליהם שאם הם יפקחו על משרד הפנים, משרד הפנים לא יקרוס. ואם הם לא יפקחו על משרד הפנים, או שהם יפקחו על משרד הפנים בצורה שהוא יקרוס - אוי ואבוי. יתרה מזאת, אני לא חושב שמערך הסייבר הלאומי הוא זה שאמון על אבטחת גופים שלטוניים מפני רשות הגנת הפרטיות. זה לא התפקיד שלכם. התפקיד שלכם הוא להגן מפני איומי סייבר. אלא אם כן אנחנו הולכים להגדיר את הרשות להגנת הפרטיות כאיום סייבר, וזה יכול להיות. זה שיקול. דנו על זה בעבר בישיבות הקודמות. אלא אם כן אנחנו הולכים להגדיר אותם כאיום סייבר, אז אני לא רואה שום סיבה בעולם שאתם תהיו אלו שמגינים על משרד הפנים. למשרד הפנים יש לוביסט מספיק חזק וקוראים לו "שר הפנים". הוא ירים טלפון לשר המשפטים או לגלעד ויגיד לו: הלו, הלו, הפיקוח שלך דופק לי את המאגר. אני באמת לא חושב שאתם הגוף הרלוונטי גם לרציונלים שאת מדברת עליהם. דבר אחד הוא כן רלוונטי, ועל זה דיברנו בישיבות הקודמות, שתוסיפו, בבקשה, אולי בחוק להסדרת הביטחון בגופים ציבוריים, ואת זה אולי פחות תאהב, גלעד, את הרשות להגנת הפרטיות. כי הרשות להגנת הפרטיות, במסגרת הפיקוח שלה על אלף גופים אחרים, מחזיקה המון המון מידע ותשתית חיונית, שעלולים להיות חשופים לאיומי סייבר. דיברנו איתם על זה בישיבות הקודמות. אבל זה לא קשור בכלל לאירוע הזה. זה דיון אחר שצריך לנהל אותו בזמן אחר.
היו"ר שמחה רוטמן
¶
תיקון עקיף לתוספת החמישית להסדרת הביטחון בגופים ציבוריים. אני לא רואה שום הצדקה שהפיקוח על הפרטיות במרכז הלשכה המרכזית לסטטיסטיקה יהיה תלוי במה שאתם אומרים.
עדי בן חורין
¶
במסגרת ההנחיה המאוד מאוד צפופה וצמודה, שנעשית על בסיס מודל ייעודי בהקשר הזה להגנה על מערכות מחשוב בתשתיות מדינה קריטיות, שאנחנו מנחים על פיו, אנחנו מכירים בצורה מאוד מאוד מעמיקה, לפניי ולפנים, את מערכות המחשוב של הגופים האלה במסגרת ההנחיה. לכן, הבקשה היא שזה פשוט יתבצע בתיאום.
היו"ר שמחה רוטמן
¶
שוב, אני רוצה לקוות שכשהמפקחים של רשות הגנת הפרטיות עובדים - אם אתם רוצים שתהיה לכם רשות למסור להם מידע ולשתף מידע, ואתם צריכים סעיף מסמיך, אני מוכן לעשות את זה. או שיפעלו. אבל אני בשום פנים ואופן לא אומר בחוק שבכפוף לאיזשהו נוהל, שאני גם לא מכיר, לא יהיה פיקוח פרטיות. שימו לב איזה גופים יש פה: רשות המסים, איגוד האינטרנט הישראלי, משרד האוצר, רשות האוכלוסין וההגירה, רשות לניהול המאגר הביומטרי, רשות התקשוב הממשלתי, בנק ישראל, חברת חשמל, מגן דוד אדום, שגם יודע בדיוק איזה מחלות יש לכל אחד ואחד ועל מה הוא פונה. מדובר בתשתיות מאוד מאוד חשובות, שהפיקוח על הפרטיות שבהן תלוי באיזשהו תיאום ביניכם, שגם לא מופיע בחוק. לא יקרה, צר לי. אין לזה שום הצדקה. אגב, אני הייתי אומר שאת הסעיף הזה בכלל אפשר להוריד. אם אתם חוששים מאוד, ולגופים האלה אתם טוענים: בשים לב לחשיבות המיוחדת של המשך תפקודם - נו, מילא. אני לא חושב שצריך כי אני לא חושב שהגופים האלה יותר חשובים - - -.
האם הכנסת פה? הכנסת חייבת לתפקד. מה יקרה אם הוא יעשה ביקורת על הכנסת, והכנסת, חס ושלום, לא תתפקד? יש גופים שהרציפות שלהם היא אפילו יותר חשובה. ועדת חוץ והביטחון חייבת, ויש תמיד גם ועדת הכספים. אין ואקום. חייב בכל רגע נתון ועדת חוץ וביטחון וזה, והיה אפילו דיון להוסיף ועדת חוקה לוועדות המתמידות שחייבות להיות תמיד. זה מאוד מחמיא. הרציפות התפקודית שלנו. אי-אפשר להכריז על מצב חירום בלעדינו. האם אני אגיד לו שהוא לא יכול לעשות ביקורת על הפרטיות בכנסת אלא אם כן זה מתואם איתי? זה לא עובד ככה.
עדי בן חורין
¶
לא. אנחנו רואים חשיבות בזה שהסעיף יישאר כך שתהיה חובה ליצור נוהל שיבטיח את התיאום. אם אדוני מבקש להוריד את הסיפה - הבנתי מה עמדתו של אדוני. אבל כן נבקש שהסעיף יישאר.
עדי בן חורין
¶
רגע. יש פה התחייבות שניתנה גם על ידי הרשות להגנת הפרטיות וגם על ידינו שיהיה נוהל עד - - -
היו"ר שמחה רוטמן
¶
נפלא. לא יהיה. מ-2009 יש התחייבות שמביאים את תיקון מס' 14. שוב, מה יקרה אם לא יהיה נוהל?
היו"ר שמחה רוטמן
¶
בסדר גמור. חזקה הניתנת לסתירה. אני הייתי אומר שיש אפילו חזקה חלוטה הפוכה - אבל, בסדר - בוודאי בתחום הפרטיות. לא, לא, לא, לא - פשוט לא. אם אתם רוצים, יהיה כתוב כך: הרשות רשאית לקבוע נוהל בתיאום עם מערך הסייבר הלאומי לעניין אופן הפעלת הסמכויות. בסמכות רשות, לא בסמכות ש - - - שום דבר. בעיניי, מיותר לחלוטין. בעיניי, אתם מכניסים פה משהו שלא נצרך בכלל. אבל אני מוכן לשים את זה בתור סמכות לקבוע נוהל כדי שיהיה מותר לכם לשתף פעולה ולשתף מידע אחר כך בין הסייבר לבין הפרטיות, להכרת המערכות וכו' וכו', כדי שתגידו להם: תשמעו, הכפתור הזה הוא נורא רגיש. אל תלחצו על הכפתור האדום.
נעמה מנחמי
¶
לא. אני לא בטוחה שזה מספיק להם. אם הם רוצים, אפשר לנסח להם סעיף שיתוף פעולה והעברת מידע.
היו"ר שמחה רוטמן
¶
ברוך השם, ובשעה טובה ומוצלחת, סיימנו את הפרק הזה. אנחנו יכולים לדבר עכשיו על נושא קטן כי אני רוצה לסיים את הישיבה. האם את רוצה לדבר על תובענות ייצוגיות?
היו"ר שמחה רוטמן
¶
אז נסיים פה. חשבתי שיש הסמכה לתובענות ייצוגיות בתחום הפרטיות ושאת רוצה לדבר על זה.
נעמה מנחמי
¶
אנחנו התחלנו לדון ב-17(ב). אם אתם זוכרים, היה שם במקור נושא מינוי ממונה על אבטחה. בעבר, או כרגע, יותר נכון, מופיע בחוק שאחת הנסיבות שבהן צריך למנות ממונה אבטחה זה מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף 8. מאחר וחובת הרישום מצטמצמת בעקבות התיקון שמוצע על ידי הוועדה, היתה מחשבה שצריך לשנות את הנוסח. היה לנו גם מיני דיון על זה לפני שני דיונים או בדיון שעבר. ההצעה החדשה היא בעקבות שיח בינינו אם מחזיק בעשרים מאגרי מידע או יותר, או בחמישה מאגרי מידע או יותר, של בעלי שליטה שונים, הכוללים יחדיו מידע על אודות 200,000 אנשים או יותר, או נושאי מידע או יותר. אנחנו ננסה לסגור את ההגדרה הזו בהמשך. היתה גם עוד הצעה של הרשות להוסיף עוד, ואולי הרשות הבינה שזו גם בקשת היושב-ראש, חובת מינוי ממונה על אבטחת מידע גם בעל שליטה במאגר מידע שחייב ברישום או במסירת ההודעה לרשות לפי סעיף 8, אם יש בו מעל 200,000 איש.
נעמה מנחמי
¶
יש פה שני עניינים: עניין אחד הוא באמת הנושא של מחזיק שיש לו מאגרים של גורמים שונים או שהוא מחזיק בהרבה מאוד מאגרים, ומדובר במספר רב מאוד של נושאי מידע, שזו האופציה הראשונה.
אייל שגיא
¶
עו"ד אייל שגיא. לסעיף 17 נלווה עונש פלילי באחריות חלוטה, באחריות קפידה. יש בעיה. יש מחזיקים רבים שאין להם מושג מה המידע שיש אצלם כי הם לא מהסוג של Software as a service – כל מיני מחזיקים של אחסון. הם לא יודעים מה יש בפנים. אסור להם לדעת, אסור להם להסתכל. אבל במצב של אחריות קפידה, כשאין יסוד נפשי, מצב ידיעתם או אי ידיעתם לא משנה כלום לעניין אחריותם. זה לא מצב תקין.
עמית יוסוב עמיר
¶
סליחה, בהצעת החוק הממשלתית מוצע למחוק את העבירה לפי סעיף 31א של אחריות הקפידה על - - -
אייל שגיא
¶
אבל גם עיצום כספי על משהו שאתה לא יודע והוא לא בשליטתך, גם לא נשמע סביר. עצה: במקום לספור את כמות המאגרים ואת כמות האנשים, וכל מיני דברים שהם לא בידיעה, אולי להחליף את הסטנדרט, למשל, במחזור עסקים או משהו כזה כדי להבחין בין גופים גדולים לגופים קטנים. יש מחזיקים קטנים ויש מחזיקים שיכולים להרשות לעצמם וראוי שיפעילו ממונה אבטחה. זה נכון גם לבעלי המאגרים במצב הזה, אבל אני חושב שזה נכון בוודאי למחזיקים, ולא הספירה הזו, שלפחות כלפי מחזיקים - אין להם שמץ של מושג.
היו"ר שמחה רוטמן
¶
כולם מהנהנים, אוקיי. אני אשאל את השאלה בדרכי שלי. איך המחזיק יידע שהוא מחזיק מאגרי מידע, כמה אנשים יש בהם, בהנחה שאני לא רוצה שהוא יסתכל בהם אם הוא לא חייב?
עמית יוסוב עמיר
¶
קודם כול, הדרך הכי פשוטה, מאחר ויש סעיף כזה בחוק, וכשהמחזיק מספק שירותי אחזקה לבעלי שליטה, הוא יצטרך לקבל את הנתון הזה.
היו"ר שמחה רוטמן
¶
לא. אבל אני קיבלתי את הנתונים כשהם היו מאה, ואז העשירו והגדילו אותם, ואני בכלל לא יודע שעברתי את המאתיים. ואז אתה ואומר לי: אחריות קפידה.
היו"ר שמחה רוטמן
¶
עזוב אחריות קפידה, בלי אחריות קפידה. סתם עיצום. יתרה מזאת, כי לכאורה השאלה אם הם צריכים להיות 200,000 אישונים. כי אם אני מחזיק מאגר שהוא לא על 200,000 אישונים אלא על 100,000 איש, אבל עם מידעים שונים לגבי כל אחד מהם, אז אני לא נמצא בפנים. זאת אומרת שאני צריך לעשות גם בדיקת כפילויות בין מחזיקים כדי לדעת האם אני בעסק. זה מאוד בעייתי.
אייל שגיא
¶
למשל, ספק שמספק שירותי אחסון, והרבה פעמים האחסון גם יהיה מוצפן, ועדיף שהוא יהיה מוצפן, מקבל נפח של דאטה. מה שיכול להיות בדאטה הזה, יכול להיות מאגר מידע עם מידע אישי, וזה יכול להיות תמונות, סרטים, מידע עסקי לא מוגן בכלל, וספק האחסון לא - - -
היו"ר שמחה רוטמן
¶
אתה שואל עכשיו שאלה בכלל על אחריות של מחזיק, זה לא קשור עכשיו לממונה אבטחת מידע. כל מחזיק שיש עליו אחריות בחוק יכול להגיד אותו הדבר.
אייל שגיא
¶
קודם כול, זו סוגיה שעולה. שנית, בגלל זה אני מציע להחליף את הניתוח ממה סוג המידע שהמחזיק מחזיק למשהו יותר כללי של אחריות של מחזיק. אפילו אם השאלה היא האם יש מידע אישי במידע - כן או לא, זה כל מה שצריך לצורך העניין כדי להחליט אם על מחזיק יחולו ההוראות האלה או לא.
היו"ר שמחה רוטמן
¶
אתה כופר פה עכשיו בעצם קיומו של המושג "מחזיק". כי אם מחזיק לא יודע שהוא מחזיק מאגר מידע, איך אני מטיל עליו אחריות כללית של מחזיק? עזוב עכשיו את נושא מינוי ממונה. זה נישה של נישה של נישה. אני שואל: יש לי סעיפים אחרים בחוק שעוסקים במחזיק. אתה אומר לי: אל - - -, האם אדם שמחזיק במאגר מידע והוא לא יודע שהוא מחזיק במאגר מידע. אני מסכים איתך שאם אני מחזיק חוות שרתים, רשמית אפשר להגיד שבשרת שלי יש מאגר מידע, אפשר לטעון את הדבר הזה. אם אני לא יודע, ואני סתם מספק שירותי ענן ואתה החלטת להעלות במאגר מידע, ולקחת קובץ שהוא קובץ Database ונתת לו סיומת avi , שאני אחשוב שזה וידיאו, ובעצם נתת לי להיות מחזיק של מאגר מידע בלי שידעתי, וכשאני מנסה לצפות בזה אני רק רואה שלג, אז בסדר - הכול יכול להיות.
אייל שגיא
¶
אני אגיד לאדוני איך עושים היום מחזיקים לאור תקנות אבטחת מידע, שגם בהן יש כל מיני שאלות כמו כמה עובדים יש אצל בעל המאגר, שזה מכתיב את רמת האבטחה של המאגר. גופים זהירים מניחים שהחובה חלה עליהם כי הם לא יודעים. גופים לא זהירים יעשו מה שהם מבינים. אבל במקום לנחש, למה לא להפוך למשהו שהוא באמת קצת יותר - - -?
ראובן אידלמן
¶
אם לחזור למבנה המקורי, אפשר, מבחינתנו, לוותר על הדרישה של כמות נושאי המידע - 200,000, ולהגיד רק עשרים מאגרי מידע או חמישה מאגרי מידע של בעלי שליטה שונים. זה יותר פשוט, יותר קל. זו אחת החלופות ששקלנו בדיונים הפנימיים.
נעמה מנחמי
¶
כן, אבל אחד הדברים שהטרידו אותי, ובגלל הוספנו את מספר האנשים, זה שיהיו איזה חמישה מאגרים קטנים שאין בהם כלום, ועכשיו אני צריכה למנות ממונה.
ראובן אידלמן
¶
מחזור וכמות עובדים לא משקפים את הרגישות. זה משקף אינטרס מסוים, אבל דווקא לא את רגישות המידע, שזה מה שמנחה אותנו לכל אורך הדרך.
נעמה מנחמי
¶
לא. לו אני מחזיק, אני אגיד: אם אני על כל עשרים מאגרים צריכה למנות ממונה אבטחה, אז על 19 אני אתן מחיר X, ועל עשרים ומעלה אני אתן מחיר Y. ואז בעל השליטה, מי שמחזיק אצלו את המאגר, יגיד: אין בעיה. אני לא מחזיק אצלך - - -, הסתרה.
עמית יוסוב עמיר
¶
אני חושב שדיברנו על זה בסוף הדיון הקודם. בסוף, במיוחד כשיש מחזיקים מקצועיים, שעושים את זה כדרך עיסוק, לצורך העניין הם בשפה הנזיקית: מונע הנזק הטוב ביותר. זאת אומרת, הם המומחים. זה שישב עכשיו אצל בעל השליטה - - -
היו"ר שמחה רוטמן
¶
אני מרגיש שהסעיף הזה לא מבושל. אני כן חושב שאם אנחנו נעשה את זה על בעל שליטה במאגר, וגם אם נעשה את בעל השליטה במאגר לפי מספר נושאי המידע, כשבעל השליטה כן אמור לדעת כמה אנשים יש לו במאגר, או טיב המידע, ונגיד ממונה על כל מאגר מידע שיש בו מעל 200,000 איש, או מעל 100,000 איש עם מידע רגיש, אני לא יודע אם מספרים כאלה, אז חלק מהדברים שאותו ממונה יצטרך לבדוק זה גם מי המחזיק ומה סטנדרט האבטחה אצלו במחזיק. האחריות על בעל השליטה ולהוריד את המחזיק מהאירוע.
לירון מאוטנר לוגסי
¶
ב-GDPR, לצורך העניין, ה-DPO זה לא אותו דבר. אבל גם יש חובה על המחזיק, ולא רק על בעל השליטה, והחובה גם נגזרת מדברים שקשורים לסוג המידע שמוחזק במאגר. למשל, האם יש מידע רגיש. בסדר, זה דיון שנדבר עליו. מבחינה מהותית, גם ה-GDPR מדבר על זה שיש אחריות וחובה על המחזיק.
היו"ר שמחה רוטמן
¶
אני מבין. נדבר על זה. שוב, אני מרגיש שההסדר פה עדיין לא עושה שכל. כלומר, יש פה איזה פיצוח שצריך לעשות. אני מבין את החששות. אני חושב שצריך כן להתמקד בבעל השליטה, ללכת למודל אצלו, ולא מחזיק. או להגדיר מחזיק ולייצר לו. אני לא רוצה הוראת חוק שתחייב אותי כמחזיק להיות במעקב שוטף אחרי תוכן המידע שאני מחזיק. זה ודאי אני לא רוצה לייצר.
לירון מאוטנר לוגסי
¶
בסוף יש התקשרות בין המחזיק לבין בעל השליטה. אי-אפשר להתעלם מזה. הוא לא עיוור. יש עליו חובות שחלות עליו, ובשביל זה הוא צריך לדעת מה הוא עושה.
היו"ר שמחה רוטמן
¶
בסדר גמור. באופן עקרוני, כשאני מבקש ניסוח, אתם יכולים להציע, אבל מי שיציע את הנוסח לוועדה בסופו של דבר, תהיה היועצת המשפטית של הוועדה כי בסופו של דבר אנחנו צריכים להיות עכשיו הגורם יותר מתכלל. תציעו נוסח ואחרי זה תתאמו. בסדר, אנחנו חייבים לפצח את זה. בסדר גמור.
היו"ר שמחה רוטמן
¶
בסדר גמור.
תודה רבה לכולם. ישיבה זו נעולה. לפחות יצרנו מוטיבציה לגופי הביטחון לשבת על העיצומים.
הישיבה ננעלה בשעה 14:18.