ישיבת ועדה של הכנסת ה-25 מתאריך 05/03/2024

חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024

פרוטוקול

 
פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



125
ועדת החוקה, חוק ומשפט
05/03/2024


מושב שני




פרוטוקול מס' 276
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, כ"ה באדר התשפ"ד (05 במרץ 2024), שעה 10:00
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022 (מ/1496)
נכחו
חברי הוועדה: שמחה רוטמן – היו"ר
מוזמנים
עמית יוסוב עמיר - עו"ד במחלקת ייעוץ וחקיקה, משרד המשפטים

שירה גרטנברג - ייעוץ וחקיקה, משרד המשפטים

סוריא בשארה - ייעוץ וחקיקה פלילי, משרד המשפטים

רס"ן רפי סלמה - יועמ"ש תקשורת ותקשוב, משרד הביטחון

ראובן אידלמן - היועץ המשפטי, הרשות להגנת הפרטיות

לינא כמאל טרודי - הממונה על האכיפה המנהלית, הרשות להגנת הפרטיות

נעמה גורני לר - המחלקה המשפטית, הרשות להגנת הפרטיות

יורם ביטון - ממונה אבטחת מידע, סייבר והגנת הפרטיות, המוסד לביטוח לאומי

קרן גל-און - סגנית יועמ"ש מערך הסייבר, מערך הסייבר הלאומי

מירה סלומון - ראש מינהל משפט וכנסת, מרכז השלטון המקומי

נועה דיאמונד - עו"ד, מנחת הקליניקה לפרטיות, אוניברסיטת ת"א

רחל ארידור הרשקוביץ - חוקרת, המכון הישראלי לדמוקרטיה

שחף קצלניק - יועץ משפטי, התאחדות התעשיינים

יעקב עוז - יו״ר ועדת סייבר ופרטיות, להב-לשכת ארגוני העצמאים והעסקים בישראל

לירון בנדק - יועמ"ש, נשיאות המגזר העסקי

טל מימרן - ראש תכנית המחקר, תכלית-המכון למדיניות ישראלית

גלעד גנדלמן - רכז קשרי ממשל, תכלית-המכון למדיניות ישראלית

אייל שגיא - שותף, משרד עו"ד עמר רייטר ז'אן

ענר רבינוביץ׳ - מנכ"ל חברת privacy team

ליאור אתגר - שותף, ראש מחלקת הגנת הפרטיות, משרד עו"ד אדרינסט

עמרי רחום טוויג - שותף, מחלקת סייבר וטכנולוגיות מידע FBC & Co

איה מרקביץ - Privacy Director בחברת Privacy Team

אסף הראל - עו"ד, חבר המועצה הציבורית להגנת הפרטיות
משתתפים באמצעים מקוונים
גלעד סממה - ראש הרשות להגנת הפרטיות

צחי שלום - ראש מינהל טכנולוגיות דיגיטליות, מרכז השלטון המקומי
ייעוץ משפטי
נעמה מנחמי
אביה קירשנבוים ליבנר
מנהל הוועדה
אלירן כהן
רישום פרלמנטרי
סמדר לביא, חבר תרגומים


רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
בוקר טוב. אנחנו בעניין הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022. נעמה, ספרי לנו איפה אנחנו.
נעמה מנחמי
אנחנו מתחילים את טבלת העיצומים הכספיים שעוסקת בתקנות אבטחת המידע שמתייחסות לסעיף 23כג(ה) בהצעת החוק. הוספת התוספת היא סעיף 17 להצעת החוק והיא תגיע אחרי סעיף 37 לחוק העיקרי. אולי הממשלה תרצה להציג קצת.
ראובן אידלמן
שלום, בוקר טוב. יש כאן עניין קצת של טכניקת חקיקה במובן הזה שיש טבלה מפורטת שמפרטת את החובות לפי תקנות הגנת הפרטיות (אבטחת מידע). אלה לא חובות חדשות, התקנות האלה הותקנו בשנת 2017 על ידי שרת המשפטים דאז איילת שקד, הם אושרו על ידי ועדת החוקה של הכנסת ה-19 ונכנסו לתוקף בשנת 2018.
היו"ר שמחה רוטמן
הכנסת ה-20, לא?
ראובן אידלמן
אולי 20.
היו"ר שמחה רוטמן
איילת שקד הייתה בכנסת ה-20.
ראובן אידלמן
הכנסת שכיהנה בשנת 2017.
היו"ר שמחה רוטמן
ככה גילית אותי שאני זוכר כנסות לפי מספרים, הבן אדם היחיד שעושה את זה.
ראובן אידלמן
אחרי דיונים שהיו כאן בוועדה, חשוב להגיד שהתקנות גם עברו סבב של שימוע ציבורי לפני הנחתן ותהליך חקיקה מעמיק. התקנות האלה הן תקנות מקיפות, הן רגולציה מקיפה בתחום של אבטחת מידע ואפשר להגיד גם הגנת סייבר. למעשה הרגולציה המרכזית, אולי היחידה, שקיימת בישראל בתחום הזה.

התקנות הן בתוקף בשש השנים האחרונות, זאת אומרת המשק עובד איתן, הרשות להגנת הפרטיות עובדת איתן והמהלך שאנחנו מבקשים לעשות כאן הוא לקבוע סנקציה בגין הפרת התקנות. הסנקציה כמובן צריכה להיקבע בחקיקה ולא בתקנות ולכן המהלך הזה הוא מהלך משלים להתקנת התקנות אי אז בשנת 2017, אבל החובות כשלעצמן הן לא חובות חדשות.

יש ניואנסים מסוימים במסגרת עבודת ההכנה שנעשתה גם בתוך הממשלה וגם למול הייעוץ המשפטי של הוועדה, יש ניואנסים מסוימים בין החובות בתקנות לבין החובות כפי שהן כתובות כאן בטבלה, הניואנסים האלה נסובים בעיקר סביב העובדה שהעיצום הכספי צריך להיות מוטל על הוראות שהן ברורות מבחינת המפוקח ובמקום שבו אנחנו חשבנו שההוראה מותירה מקום מסוים של עמימות אז ניסחנו את החובה כאן בטבלה בצורה ברורה יותר. מהותית כאן אין שינויים מהותיים בחובות, כלומר שהחובה קיימת בלי קשר לשאלת העיצום הכספי וכמובן שלא הוספנו חובות על החובות שקבועות בתקנות אבטחת מידע.

אני אומר שוב, הסיבה שיש טבלה ארוכה כזאת שלוקחת הרבה עמודים בהצעת החוק היא עניין של טכניקת חקירה בעיקרו. מבחינתנו אפשר לעבור לטקסט עצמו.
נעמה מנחמי
אז נתחיל. יש לנו כאן טבלה. צד ימין של הטבלה זה נוסח של הצעת החוק ובצד שמאל הערות, הסברים וציטוטים מהתקנות הרלוונטיות.



בתוספת זו -



"גורם חיצוני" כמשמעותו בתקנה 15(א) לתקנות;



הכוונה היא לא בדיוק אותו גורם חיצוני שיש לנו בחוק, זה יותר רחב ממחזיק בחוק.
היו"ר שמחה רוטמן
מה השימוש בהגדרה הזאת? התקנה מדברת על בעל מאגר מתקשר עם גורם חיצוני לצורך קבלת שירות הכרוך במתן גישה למאגר המידע. זה לא מחזיק?
עמית יוסוב עמיר
מדובר בוודאי במחזיק, יש עוד כמה סוגים של בעלי תפקידים שגם אם הם לא מחזיקים הם נכנסים בגדר התקנה. התקנה הרלוונטית היא תקנה 15 לתקנות אבטחת מידע, הרשות אולי תפרט.
ראובן אידלמן
התפיסה לגבי מחזיק, וזה קצת נדון כאן בוועדה בהקשר להגדרת מחזיק, היא שזה מישהו שעושה שימוש ושיש לו גישה מתמשכת למאגר המידע, הוא פועל עבור בעל המאגר ויש לו גישה מתמשכת למאגר המידע. גורם חיצוני יכול להיות גם מישהו שניתנת לו גישה חד פעמית, למשל לצורך תיקון תקלה או משהו כזה. הוא עדיין יכול להיחשב גורם חיצוני ואז כיוון שהוא כן מקבל גישה למאגר המידע וזה מייצר סיכוני אבטחה, מישהו שניתנת לו גישה למאגר לצורך תיקונים כאלה ואחרים, זה מייצר סיכוני אבטחה, יש צורך לקבוע איתו את ההסכם שקבוע בתקנה 15. תקנה 15 היא תקנה מאוד מרכזית, היא מסדירה את מערכת היחסים בין בעל המאגר למחזיק וקובעת איזה חובות חוזיות צריכות להיקבע.
היו"ר שמחה רוטמן
לגורם החיצוני.
ראובן אידלמן
כן, נכון, לגורם החיצוני כהגדרתו, אבל בגדול דיברנו הרבה כאן ובכלל צריך להגיד שאנחנו בעולם של מחזיקים. כמעט לכל בעל מאגר יש איזה שהוא מחזיק שהוא חלק מתפעול המערכות שלו והוא מקבל גם גישה למאגר המידע, ומה שמסדיר איזה הוראות חוזיות צריכות להיקבע במערכת היחסים הזאת היא תקנה 15 שמפרטת את העניין הזה. אני מניח שנגיע אליה גם בהמשך כאן. נכון שהיא נוקטת במושג רחב יותר של גורם חיצוני, שזה גם מישהו שמקבל גישה לצורך העניין נקודתית למאגר המידע ולא רק פועל דרך קבע עבור בעל המאגר.
נעמה מנחמי
"מאגר המנוהל בידי יחיד" , "מאגרים שחלה עליהם רמת האבטחה הבסיסית", "מאגרים שחלה עליהם רמת האבטחה הבינונית" ו"מאגרים שחלה עליהם רמת האבטחה הגבוהה" – כהגדרתם בתקנות;



יש כאן מחשבה שאולי צריך להשאיר באוויר, האם אנחנו רוצים את ההגדרות האלה באמת בתקנות, האם אפשר אולי להעלות אותם לרמת החוק, אבל אולי קצת תפרטו מה זה כל אחד מהקריטריונים האלה.
ראובן אידלמן
מטבע הדברים, אמרנו תקנות אבטחת מידע, זאת הרגולציה במדינת ישראל בתחום אבטחת המידע. יש בהן הרבה חובות, אבל הן בנויות בצורה של מדרג מבחינת סוג בעלי המאגרים בניתוח של מהי רמת האבטחה הנדרשת. הכי בסיסי זה מאגר שמנוהל על ידי יחיד כשמוגדר שיחיד לצורך העניין יכול להיות גם מקרה שיש בני בעלי הרשאה, עד שני בעלי הרשאה במאגר המידע. עליו יש הכי פחות חובות, אחריו יש מאגרים - - -
נעמה מנחמי
אני מבקשת להתעכב. אני חושבת שמבחינת הרשות גם כשיש שניים ואפילו שלושה בעלי גישה למידע זה עדיין יכול להיחשב מאגר המנוהל על ידי יחיד, אבל מבחינת הוראות התקנות כרגע מאגר מנוהל על ידי יחיד, להבנתי, תקן אותי אם אני טועה, הוא מאגר שמנהל יחיד או תאגיד בבעלות יחיד. כלומר אם זה תאגיד בבעלות שניים כבר, אז גם אם יש רק שני בעלי גישה להרשאות לכאורה זה לא נכנס לתוך מאגר המנוהל בידי יחיד.
ראובן אידלמן
התקנה מכוונת לתאגיד שהוא מין חברת אני, חברה שמנוהלת על ידי אדם אחד ועדיין יכולה להיות רשומה כחברה, כתאגיד, בהחלט, אבל יש כאן גם התייחסות לנושא בעלי ההרשאה. אם עובדים איתו עוד שני בעלי הרשאה נוספים מלבדו זה עדיין יכול להיחשב מאגר שמנוהל על ידי יחיד, אבל כן, זה נכון, לשון התקנה בהחלט מדברת על תאגיד שהוא בבעלות יחיד. זה הנוסח של התקנה, אנחנו לא מבקשים לעשות שינוי בעניין הזה, זה הנורמה היום.
נעמה מנחמי
אני מבינה, אני כן רוצה להפנות את תשומת לב הוועדה לזה שבמשך הרבה מאוד שנים לא ניתן היה במדינת ישראל לרשום תאגיד של יחיד ולכן היה נוהג שבו מראש רושמים את התאגיד כך שהוא חל לפחות על שני אנשים. לכן לפחות העסקים הוותיקים במדינת ישראל זה אולי עסקים קטנים, אולי הם עסקים שלא מקבלים ייעוץ משפטי שוטף, לכאורה זה לא יחול עליהם כשזה מנוסח כך.

כדי להיכנס לתוך הרובריקה של מאגר המנוהל על ידי יחיד צריכים להתקיים שני דברים, האחד זה שהמאגר הוא בבעלות יחיד, והשני, שיש עד שלושה בעלי הרשאה. אני אומרת שבפועל במדינת ישראל במשך הרבה מאוד שנים לא ניתן היה לרשום מאגר המנוהל בידי יחיד והיה צורך לרשום לפחות מניה אחת על שם אדם נוסף.
היו"ר שמחה רוטמן
למה? חברת יחיד יש במדינת ישראל כבר הרבה שנים.
נעמה מנחמי
יש הרבה שנים, אבל חברות ותיקות קטנות ללא ייעוץ משפטי רשומות עדיין עם לפחות שני בעלים. גם אם בפועל מנהל את זה באמת בן אדם אחד, אבל החברה היא כן תאגיד בבעלות שניים.
היו"ר שמחה רוטמן
גם מה זה רלוונטי כל כך כמה אנשים בבעלות החברה? נניח שיש 20 בעלי מניות, אבל יש, אנחנו יודעים, אנחנו בעולם של חברות, בעל שליטה אחד שהוא גם הדירקטור והוא נתן מניה לבן משפחה, לצורך העניין, מניות שאינן מקנות שליטה או חלוקה ברווחים. תאגידים שהם לא חברות בורסאיות מותר לעשות הפרדה בין סוגי המניות, אפשר לעשות מניות ש – למה זה משנה בעלות התאגיד?
עמית יוסוב עמיר
המטרה הייתה פה, לדעתי, כשקבעו את תקנות אבטחת מידע באמת לתת פטור לגופים שהם קטנים ולא שהם מרובי בעלי מניות. בעצם אלה הגדרות עזר שהן הגדרות מתקנות אבטחת מידע ואולי נוכל קצת להתקדם איתן ולהגיע להפרות.
היו"ר שמחה רוטמן
אין בעיה, נתקדם, אני מציף, יותר נכון נעמה הציפה את זה, אבל אני חושב שהנקודה היא כזאת, התקנות כבודן במקומן מונח, נוסחו כפי שנוסחו, בסדר גמור, בסופו של דבר זה קצת דומה לתהליך שאנחנו עושים פה בוועדה כשאנחנו מאפשרים לעיריות להפוך עבירות שבחוקי העזר שלהן, להפוך אותן לחוקי קנס, לעבירות משפט, ואז אנחנו מבינים, גם אתם מבינים, שזה שיש משהו שכתוב בתקנה שנוסחה כהוראה כללית או כל מיני סיבות, אבל לא היה בצידה קנס אכיף, עם אכיפה יעילה ומהירה.

אנשים סמכו על כך, כלומר גם בתהליך הערות הציבור לתקנות, כשאין בצידן של התקנות שוט יעיל לאכיפה אז אני אומר: יאללה, מה אכפת לי אם יש לי זה? כשאני אבוא לבית משפט שיחליטו משום מה ברשות להגנת הפרטיות ללכת על החנות שלי ויגידו לי שאני לא נחשב תאגיד בבעלות יחיד כי מתוך הון מניות של 1,000 מניות יש מניה אחת לסבתא שרשמתי, בגלל שרשמתי את החברה בימים שעוד אי אפשר היה אחרת, ויגידו לי שאני לא באמת תאגיד בבעלות יחיד, אז אני אסביר לשופט שזה פיקציה, עם כל הכבוד תרדו ממני ויכול להיות שאני אפילו לא אצטרך להגיע לשופט כי כבר בשלב השימוע יבינו ברשות להגנת הפרטיות שלא שווה מולי את התהליך כי אני אנצח בסוף כי הם סתם מתקטננים איתי ואני באמת יחיד. למרות אותה מניה של הסבתא אני לא קונגלומרט כמו שאני נראה.

אבל כשאנחנו הופכים את העניין ועכשיו אני מתמודד לא עם בית משפט או עם בן אדם אלא שופט אוטומטי שולל לי רישיון, אז השופט האוטומטי הזה ששולל לי רישיון, אני עומד מולו חסר אונים ולך תוכיח שאין לך אחות או במקרה הזה סבתא שנתת לה מניה. לכן הרבה מאוד פעמים כאשר אנחנו עושים את המעבר הזה מהוראה של חוק עזר או תקנה להוראה שעוברת, נטל הראיה בהקשר הזה עובר, אז אנחנו מגלים שהגדרות שהתאימו לנו לצורך הפעלה על ידי שופט שאיננו אוטומטי לא מתאים לשופט אוטומטי של העיצומים הכספיים.

לכן צריך להסתכל על ההגדרות. מתחברת לזה הבעיה שבסופו של דבר אנחנו פה בחקיקה ראשית, אמנם תוספת אך עדיין חקיקה ראשית. אני מאוד מקווה שהתקנות יעברו תיקונים והתאמות ואז אנחנו נמצא את עצמנו בבעיה כי כשתתקנו את התקנות התוספת לא תתעדכן אוטומטית.
עמית יוסוב עמיר
לא, זה יהיה חייב להיות תיקון משולב.
היו"ר שמחה רוטמן
זה יהיה תיקון חקיקה? תיקון תקנות?
ראובן אידלמן
תוספת זה שר באישור ועדת חוקה. זה תיקון משולב.
היו"ר שמחה רוטמן
בסדר, אבל אני עדיין אומר שאני עדיין לא יודע בדיוק במה תשמש ההגדרה, העובדה שיש הגדרה מסוימת בתקנות שלא העירו לגביה, כן העירו לגביה, כי לא היה למישהו אכפת, בעולם העיצומים הכספיים צריך לחשוב על זה מחדש ויכול להיות שזה אומר שיהיה כתוב למשל מאגר המנוהל בידי יחיד כהגדרתם בתקנות בחוק, אולם לעניין הזה חברת מעטים לא תיחשב תאגיד זה וזה. אפשר לעשות את זה, זה דבר שהוא אפשרי. יכול להיות שזה גם דבר נכון וצריך לעשות את החשיבה הזאת, לדעת למי אנחנו תופרים את הסנקציה.
ראובן אידלמן
אני אשמח להתייחס. ראשית, אני חושב שבהליך התקנת התקנות ההנחה הייתה שתהיה סנקציה, אני לא חושב שמישהו חשב שלא תהיה סנקציה. הצעת חוק הגנת הפרטיות שכוללת סנקציות כבר הייתה באותו זמן בעולם.
היו"ר שמחה רוטמן
ודאי, אבל הבנת מה ההבדל בין סנקציה של עיצום מנהלי לסנקציה של שופט שאיננו אוטומטי.
ראובן אידלמן
נכון. מבחינת המדרג של התקנות, הקפיצה הגדולה קורית לא פה, היא קורית בין רמת האבטחה הבסיסית לבין רמת האבטחה הבינונית. יש מאגר המנוהל על ידי יחיד, הרמה הנמוכה ביותר, מעליה רמת אבטחה בסיסית והדלתא ביניהם זה מה שדיברנו כאן, זה האם זה יחיד, תיכף נדבר על מהי רמת אבטחה בסיסית, אחר כך מבחינת הקפיצה המשמעותית בחובות זה כבר רמת אבטחה בינונית ומעליה גבוהה.
היו"ר שמחה רוטמן
שוב, המכולת של שמעון מהשכונה, המכולת הזאת שהיא חברה שיש בה שני בעלי מניות, הוא ואשתו, האם היא זכאית לרמה א', רמה ב' או רמה ג'?
ראובן אידלמן
זאת ההבחנה החשובה שנועדה שהחובות המשמעותיות של התקנות לא יחולו על עסקים קטנים. אם יש לו עד עשרה מורשי גישה הוא יהיה ברמת האבטחה הבסיסית ומבחינת החובות, החובות הן בהחלט הרבה יותר מצומצמות. אם יש לו שני בעלי מניות הוא לא יחיד, אבל הוא עדיין ברמת אבטחה בסיסית. זה קצת מעל יחיד.
היו"ר שמחה רוטמן
יש לזה הצדקה?
ראובן אידלמן
זאת ההבחנה שנעשתה.
היו"ר שמחה רוטמן
זאת ההבחנה של התקנות, השאלה אם יש בזה הצדקה. שוב, ברמת העיצומים הכספיים גם ברמת האוטומטיזם בהקשר הזה הוא לא רק לרעת אותו בעל מכולת אלא גם לרעתכם כי גם לכם, כשאתם מחויבים לתת איזה שהיא רמת עיצום כספי בסכום מסוים. יכול להיות שאפשר לעשות בקשות להפחתה וכל מיני כאלה, אבל בסופו של דבר אתם – וזה ייצור אפקט מצנן גם עליכם כי נניח שאנחנו קבענו למאגר המנוהל בידי יחיד עיצום כספי בהפרה מסוימת של 500 שקל ולרמת אבטחה בסיסית זה 10,000 שקל, והמכולת של שמעון ובת זוגו לא מוצדק ולכן אתם לא תטילו עליו גם לא את ה-500.
ראובן אידלמן
גם העיצום של רמת אבטחה בסיסית הוא עיצום מאוד מאוד נמוך, כפי שאדוני יראה, מדובר על 1,000 או 2,000 שקלים. זה לא החידוד החשוב.
היו"ר שמחה רוטמן
וליחיד?
ראובן אידלמן
היחיד לצורך העניין, איפה שהחובות חלות עליו הוא כפוף לאותו עיצום, אבל זה 2,000-1,000 שקלים.
היו"ר שמחה רוטמן
אבל חלות עליו פחות חובות.
ראובן אידלמן
חלות עליו מלכתחילה פחות חובות, איפה הקפיצה? בבינונית. תיכף נגיע להבחנה בין הבסיסית לבינונית.
היו"ר שמחה רוטמן
מה שאני אומר זה נקודה שיהיה לנו לטיפול. העובדה שהגדרת מאגר המנוהל בידי יחיד היא בתקנות כפי שהיא לא תכבול אותנו בשיקול הדעת לשאלה, יכול להיות שאנחנו נגדיר שלעניין עיצומים, לעניין חובות ברי אכיפה מאגר המנוהל על ידי יחיד יהיה לרבות – שוב, אתם תחליטו שהייתה את הפרת האבטחה החמורה שמצדיקה את האכיפה הפלילית גם על חנות המכולת של שמעון ובת זוגו? בסדר גמור, זכותכם, אני לא שולל את זה ממכם, אבל להליך המנהלי זה לא יתאים.
ראובן אידלמן
רק צריך להגיד, אין הבדל. מבחינת גובה העיצום אין הבדל בין יחיד לבין בסיסית.
היו"ר שמחה רוטמן
אבל יש פחות חובות.
ראובן אידלמן
יש קצת פחות חובות.
היו"ר שמחה רוטמן
תיכף נדבר על זה.
ראובן אידלמן
אחרי מאגר המנוהל על ידי יחיד אנחנו מגיעים לרמת אבטחה בסיסית, שגם כאן אנחנו מדברים על עסקים קטנים כשהדגש הוא על מי שיש לו עד עשרה מורשי גישה אלא אם הוא סוחר מידע, זה מושג שדנו בו לא מעט מידע, אלא אם הוא סוחר מידע או שהוא גוף ציבורי. קשה לחשוב על גוף ציבורי עם פחות מעשרה מורשי גישה, אבל הוא תמיד יהיה ברמת האבטחה הבסיסית.
היו"ר שמחה רוטמן
שתי היחידות המיוחדות של הביטחון שיש להן מעט עובדים.
ראובן אידלמן
בעצם יש פה קפיצה גדולה גם מבחינת החובות שחלות, החובות המשמעותיות של התקנות, סקר סיכונים, מבדקי חדירות, הדברים שגם הנטל שבצדם הוא הרבה יותר גדול, לא חלות על מי שברמת האבטחה הבסיסית. מסמך ההכנה פורט את זה בצורה מאוד מפורטת, איזה חובות חלות על כל אחת מהקטגוריות, אבל צריך להגיד שגם בסכום העיצום, וזה הדגש של הדיון היום, העיצומים הכספיים לכל אורך התקנות על מישהו ברמת אבטחה בסיסית הם 1,000 או 2,000 שקלים.

מי שברמת אבטחה בינונית, פה כבר יש קפיצה משמעותית יותר, גם בחובות וגם בגובה העיצום, וההנחה שלנו שאלה לא יהיו עסקים קטנים. אני אמרתי כאן ביותר מדיון אחד, האכיפה שלנו גם לא ממוקדת לגבי עסקים קטנים, אנחנו מסתכלים על חברות בינוניות ומעלה גם מבחינת היקף המידע שהם מחזיקים. המעבר בין רמת אבטחה בסיסית לרמת אבטחה בינונית הוא לפי סוגי המידע. בגדול גוף ציבורי הוא תמיד ברמת אבטחה בינונית, כך גם סוחרי מידע, ואז האבחנה המרכזית היא לפי סוגי המידע שם המחזיקים.

התוספת הראשונה לתקנות אבטחת מידע, ויש את זה גם במסמך ההכנה, מפרטת איזה סוגי מידע מכניסים אותך לרמת האבטחה הבסיסית. נכון שעשינו פה התאמות מה ייחשב כמידע בעל רגישות מיוחדת והדבר הזה יצריך גם התאמה של התוספת לתקנות במובן של מה מכניס אותך לרמת האבטחה הבינונית.
היו"ר שמחה רוטמן
זאת אומרת אתם תצטרכו להביא תיקון לתקנות ששואב את הגדרות החוק לסעיף - - -
נעמה מנחמי
לחלופין יכול להיות שבאמת נכון להגדיר את ההגדרות האלה כבר בחוק ואז זה יהיה יותר פשוט.
ראובן אידלמן
יש לנו כוונה בהחלט, מבחינתי, ברגע שהחקיקה הזאת תסתיים ותאושר בקריאה שנייה ושלישית להניח על שולחנו של השר תיקון לתקנות אבטחת מידע שעושה את ההתאמה הזאת. זו בוודאי התאמה שצריכה להיות בין מה שייקבע פה ב - - -
היו"ר שמחה רוטמן
זאת אומרת שמה שאנחנו קבענו שהוא מידע בעל רגישות מיוחדת, הוא יהיה - - -
ראובן אידלמן
זה טעון אישור הוועדה כמובן, זה יחזור לוועדה. אבל אנחנו בהחלט מתכוונים להניח על שולחנו של השר.
היו"ר שמחה רוטמן
זאת אומרת שבעצם בסופו של דבר אמורה להיות חפיפה, דהיינו שמה שאנחנו מגדירים בחוק כמידע בעל רגישות מיוחדת, עם כל התיקונים שעשינו להגדרות ושהתווכחנו עליהן, הוא יישאב כמו שהוא לתוך התקנות ומאגר מידע שמחזיק את המידע הזה הוא יהיה תמיד בבינוני, אלא אם כן הוא מנוהל על ידי יחיד?
ראובן אידלמן
לא, אלא אם יש בו עד עשרה מורשי גישה. יש עוד חריג מסוים שאולי לא שווה יותר מדי להתעכב עליו שאומר שאם אתה מחזיק תמונות למשל רק של העובדים, אז גם אז אתה תהיה ברמת אבטחה בסיסית, כי תמונות לכאורה מכניס אותך כבר לסוגי המידע - - -
עמית יוסוב עמיר
אבל זה היה עם ההגדרה העדכנית.
ראובן אידלמן
אבל זה חריג שאולי הוא פחות – זה נכון, אלא אם יש לך עד עשרה מורשי גישה, לא מנוהל על ידי יחיד. זה הדבר המרכזי.
היו"ר שמחה רוטמן
כן, אבל כמו שאמרנו, לכל מאגר שמכבד את עצמו יש עשרה מורשי גישה.
ראובן אידלמן
בעסקים קטנים אני לא חושב.
היו"ר שמחה רוטמן
לא עסקים קטנים.
ראובן אידלמן
הכוונה היא להחריג עסקים קטנים, זאת התכלית. יכול להיות שיהיו ניואנסים מסוימים שאנחנו נחשוב שלעניין רמת האבטחה צריך לקבוע קצת אחרת, אבל זה יובא לאישור הוועדה, בסוף הדבר הזה יחזור לדיון בוועדה, אבל ככלל כן, צריך יהיה לקחת את מידע בעל רגישות מיוחדת ובהחלט יש כוונה להניח את זה על שולחנו של השר. ברור לנו שההתאמה הזאת נדרשת ומהבחינה הזאת אני חושב שאין צורך להתעכב על מה כרגע הם סוגי המידע שמכניסים אותך לרמת אבטחה בינונית כי ממילא בוועדה נקבע משהו אחר לעניין זה והיו לנו הרבה דיונים בעניין הזה.
היו"ר שמחה רוטמן
כי זה בעצם יהיה הדבק-העתק.
ראובן אידלמן
ויש את שני החריגים שאמרנו עליהם, האחד זה לעניין תמונות פנים של עובדים בלבד. יש איזה שהיא אמירה שהמידע משמש ל - - -
היו"ר שמחה רוטמן
השאלה אם אתם לא חושבים שכדאי ולו רק משיקולי זמן כן לפחות חלק מההוראות האלה או את הגדרות המאגרים לעשות בחקיקה ואז לתקן את התקנות על דרך ההפניה. דהיינו לבוא ולהגיד שהגדרה של מאגר כזה וכזה מופיעה בחקיקה, רמת אבטחה בסיסית, רמת אבטחה זה, ואנחנו בתקנות אבטחת מידע אומרים לכם מה אתם צריכים לעשות בכל מאגר.

עצם החלוקה הזאת, גם ולו רק מטעמי זמן והתאמות. אבל גם אמיתית התהליך פה הוא די משונה, שאנחנו נחוקק חקיקה שתהיה חסרת משמעות עד שהתקנות יתוקנו כי אי אפשר יהיה לעבוד איתה כי יהיו סתירות ביניהם. אפשר להגדיר את המאגר, אפשר להגדיר את סוגי המאגרים, את רמות האבטחה של המאגרים בחקיקה, גם אם רוצים אגב בתוספת. אני לא רוצה לייצר את זה עד כדי כך כבול שנגיע למסקנה בעוד שנתיים-שלוש שמידע על נכסיו של אדם, חובותיו - - -
ראובן אידלמן
או איזה סוג מידע חדש שאנחנו לא רוצים לדמיין אותו.
היו"ר שמחה רוטמן
אז אפשר לעשות את זה הגדרת מאגרים בתוספת. שאת הגדרת המאגרים, רמות האבטחה, אפשר לעשות בתוספת, אבל עדיין שההגדרה תהיה ישירה בחוק כדי שאנחנו נדע על מה אנחנו מצביעים, בוודאי בשלב העיצומים הכספיים כי בעצם מה שיקרה פה, אנחנו נעשה את העיצומים הכספיים אבל עד שיתוקנו התקנות אתם לא תוכלו לעשות איתם שום דבר. לא יודע כמה זמן ייקח לתקן את התקנות. הרי כל החשש והסיבה שאנחנו ממהרים והסיבה שאנחנו פועלים פה עכשיו זה כי הזמן דוחק, אז תתניעו תהליך של תיקון תקנות שלכו תדעו כמה זמן הוא ייקח?
ראובן אידלמן
גלעד סממה, ראש הרשות מבקש להגיד משהו. הוא בזום.
היו"ר שמחה רוטמן
בבקשה, גלעד.
גלעד סממה
רציתי להגיד משהו שכבר התקדמתם ממנו, אבל בסדר, רציתי פשוט לחזק את מה שראובן מקודם אמר בנושא שאכן נביא תקנות שהמטרה שלהם לעשות את ההתאמה לכל מה שעשינו עד כה בוועדה. אני שומע את מה שהיושב ראש אומר כרגע ואני לא משוכנע שירדתי לסוף דעתו, כלומר אני לא בטוח שעד כה צריך את ההתאמה הזו רק כדי להפעיל את כל העיצומים של החקיקה שכרגע אנחנו מעבירים. אולי פספסתי כאן.
היו"ר שמחה רוטמן
אני אומר, לצורך העניין אם אני בחקיקה קבעתי שמידע בעל רגישות מיוחדת הוא לא מה שהתקנות קובעות אלא פחות או יותר, זה לא משנה כרגע, ולכן הגדרת מאגר עם אבטחה בינונית היא שונה ממה שאני כמחוקק רציתי, אתה תאכוף חובות על אבטחה בינונית על מישהו שהוא מבחינתי לא צריך להיות בבינוני? לא מתאים, זה לא הגיוני. אני אפילו לא מדבר על כל מיני דברים אחרים שיכולים לייצר סתירות רגולטוריות אחרות, אפילו לדוגמה הזאת שממנה התעוררנו. אם אני לא חושב שצריך לאבטח מידע על נכסיו של אדם, זו אחת מההגדרות ששינינו, כי אני לא חושב שזה מידע בעל רגישות מיוחדת, אתה תכליל לי אותו כמאגר בינוני ותטיל עליו עיצומים כשאני בכלל לא חושב שהוא צריך להיות מאובטח ברמה הזאת, הוא בסיסי לגמרי, זה מידע כללי.
גלעד סממה
אני מבין את מה שאדוני אומר, לכן אנחנו גם אמרנו שמבחינתנו אנחנו נעשה את ה – אתה בעצם מציע שאנחנו נעשה את המהלך הזה תוך כדי.
היו"ר שמחה רוטמן
יש שתי אפשרויות שאני יודע לעשות בהקשר הזה, אפשרות אחת היא באמת לקבוע את הגדרות המאגרים עצמם כבר עכשיו על דרך ההפניה, לקבוע אותם בתוספת, ואחר כך שהתקנות יתייחסו אליהן, אבל שיהיה ברור שהנוסח הקובע כרגע זה נוסח התוספת ולא נוסח התקנות, שזה אפשרות אחת. אפשרות שנייה זה טכניקה חקיקתית אחרת, שאנחנו נעשה פה עכשיו את כל העבודה אבל יהיה מאוד ברור שביום אישור הצעת החוק לקריאה שנייה ושלישית פה בוועדה אנחנו גם מצביעים על התקנות ועל שינוי התוספת, ככל שהם יהיו.

רק שאני לא יודע אם אני רוצה להחזיק את הכול בן ערובה לדבר הזה, לכן הדרך הראשונה היא זו שהוצעה על ידי, אבל על פניו סיטואציה שבה אני מייצר פה חובות רגולטוריות שאמורות להיאכף בתקנות אבל ההגדרות הבסיסיות כבר השתנו על ידי, כולל הגנות, כולל התאמות, כולל התאמות ל-GDPR, לא יודע, זה ייצר אפקט מאוד בעייתי לתת לך את הסמכויות.
ראובן אידלמן
זו שאלה כבדת משקל, אני מציע שאנחנו נעשה התייעצות פנימית ונשיב לוועדה. אני חושב שההצעה ברורה.
היו"ר שמחה רוטמן
בסדר גמור. בסופו של דבר כל המלל הארוך הזה, אמנית הקיצור, נעמה, כתבה את זה במשפט בשורת הסיכום של העמודה הזאת בטבלה: כיצד תובטח ההאחדה בין ההגדרות בתקנות ובין מונחי החוק. זו המשמעות במשפט אחד. זו המשמעות של תשעה קבין, שאני צריך תשעה קבין בשביל משפט אחד שלה.
ראובן אידלמן
מחזיק את המרובה.
היו"ר שמחה רוטמן
המועט המחזיק את המרובה.
נעמה מנחמי
אבל הייתי צריכה שלושה עמודים קודם.
ראובן אידלמן
אז דיברנו על איך נכנסים לרמת אבטחה בינונית, אמרנו או סוגי המידע האלה, או גוף ציבורי, או סוחר מידע, ואחר כך מעליו יש את רמת האבטחה הגבוהה, שזה מרב החובות. הכניסה לרמת האבטחה הגבוהה היא דרך שני שערים, או 100,000 נושאי מידע, או 100 מורשי גישה וזה כשמלכתחילה אתה צריך להיות כמובן ברמת אבטחה בינונית. רק מי שהוא בבינונית יכול להיות בגבוהה, אם יש לו או 100,000 נושאי מידע או 100 מורשי גישה.

זאת פירמידת החובות של תקנות אבטחת מידע, וגם מטבע הדברים העיצומים בנויים באותו מדרג במובן הזה שהעיצום על רמת האבטחה הגבוהה הוא הכי גבוה, אחר כך רמת אבטחה בינונית והאחרון זה רמת אבטחה בסיסית שזה באמת עיצום מאוד מאוד נמוך.
היו"ר שמחה רוטמן
ואת שאלת ההאחדה אנחנו בינתיים משאירים פתוחה.
נעמה מנחמי
בסוף עמוד 3, "התקנות" – תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. ואז הגענו לטבלה בעמוד 9. עד כאן היה איזה שהוא פירוט של מה הן התקנות שחלות והחובות שחלות על כל אחד מסוגי המאגרים, למי שזמנו בידו ורוצה לקרוא.

אבל אני רוצה לציין שמרחפות מעלינו עוד כמה תקנות שרלוונטיות לכל החוק וגם לתוספת אז תקנה 19 זה חובות בעל מאגר שחלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולה. אלה תקנות שאנחנו לא ניגע בהן ישירות.
היו"ר שמחה רוטמן
כן, על מנהל המאגר.
נעמה מנחמי
על מאגר המאגר ועל המחזיק - - -
היו"ר שמחה רוטמן
מחזיק זה מחזיק. שוב, ההגדרה של מחזיק בתקנות תואמת להגדרה של מחזיק אצלנו?
ראובן אידלמן
כן, ודאי. אין הגדרה בתקנות למחזיק, זה שואב מהחוק. זו ברירת המחדל תמיד בתקנות.
היו"ר שמחה רוטמן
ולגבי מנהל מאגר, זה מונח לדיון נפרד, אבל על פניו אני חושב שאנחנו צריכים לחשוב מה אנחנו עושים איתו כי אין לו תפקידים מיוחדים חוץ משחובות שחלות על אחרים חלות גם עליו.
ראובן אידלמן
יש לו קצת תפקידים בתקנות אבל זה באמת לדיון נפרד.
היו"ר שמחה רוטמן
להיות הבוס של זה שאחראי עליו.
ראובן אידלמן
ועוד איזה שהיא חובה מסוימת לגבי שחזור נהלים.
נעמה מנחמי
תקנה נוספת שנמצאת איתנו, מרחפת מעל, ולא רק הנושא הזה זה תקנה 20, סמכויות הרשם. הרשם רשאי אם קיימים טעמים שמצדיקים זאת לפטור מאגר מסוים מחובות - - -
היו"ר שמחה רוטמן
לא ביטלנו את הגדרת רשם?
נעמה מנחמי
נכון, סמכויות ראש הרשות.
היו"ר שמחה רוטמן
אבל זה בתקנות. עוד חלק מההתאמות שתצטרכו לבצע.
נעמה מנחמי
זה דווקא מאוד ברור שראש הרשות והרשם זה אותה הגדרה.
היו"ר שמחה רוטמן
את עושה לי פרשנות תכליתית עכשיו?
נעמה מנחמי
חס וחלילה.
היו"ר שמחה רוטמן
אפרופים. סוס שהוא מכונה, רשם שהוא ראש רשות. נו אופנס, גלעד.
נעמה מנחמי
אני אתחיל מחדש. ראש הרשות רשאי אם ראה כי קיימים טעמים שמצדיקים זאת לפטור מאגר מסוים מחובות אבטחת מידע לפי תקנות אלה או להחיל על מאגר מסוים חובות לפי תקנות אלה, כולן או חלקן, לפי נסיבות העניין, ובין השאר בהתחשב בגודל המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר ומספר בעלי ההרשאות בו.

כלומר כן יש אפשרות לראש הרשות להעביר מקטגוריה לקטגוריה גם מי שבאופן רשמי חלה עליו קטגוריה מסוימת. האמת היא שכתבתי לי את השאלות לדיון אז אני אשמח לשמוע אם באמת יצא לכם להשתמש בדבר הזה, בתקנה הזאת, אם אתם מכירים שימוש בה.
ראובן אידלמן
אז אני אגיד קודם שיש המשך לתקנה 20, יש גם את תקנה 20(ב) שאומרת שאם יש איזה שהיא רגולציה של רגולטור אחר שעוסקת גם באבטחת מידע, והיום יש לא מעט כאלה, למשל בעולם הבנקים או חברות הביטוח יש רגולציית אבטחת מידע גם של הרגולטורים הייעודיים שלהם, אז אנחנו יכולים לקבוע שמי שעומד ברגולציה ההיא אנחנו רואים אותו גם כמי שעומד בתקנות אבטחת מידע. בעניין הזה יש כמה הנחיות של הרשות שיצאו מאז שנכנסו התקנות.
היו"ר שמחה רוטמן
לא, אבל זה פטור, פטור לא מטריד אותי. אתה אומר שברגולציה של המפקח על הבנקים אני עוזב אותך, זה פטור, אבל זה לא החלה אלא שוב אותו בעל מכולת, אגב רק בגלל שקוראים לך ראובן קוראים לו שמעון, שיהיה לך ברור, ברירת המחדל שלי הייתה לקרוא לו ראובן, אז אותו בעל חנות יכול לקבל דרישה מהרשם להחיל על מאגר המידע שלו את רמת האבטחה הגבוהה כי אחת, שתיים, שלוש. זה לא פטור, זה החלה. אז נעשה דבר כזה אי פעם?
ראובן אידלמן
השימוש הזה לא נעשה, של החלת חובות מעבר לחובות שקבועות בתקנות מכוח תקנה 20(א) לא נעשה.
היו"ר שמחה רוטמן
לא מעבר למה שכתוב בתקנות, להעביר מקטגוריה לקטגוריה.
ראובן אידלמן
כן, לא נעשה. החלה לא נעשתה.
נעמה מנחמי
תקנה 25, יחס לחיקוקים אחרים, התקנות האלה יחולו נוסף על הוראות בעניין אבטחת מידע בחיקוקים אחרים, זולת אם יש סתירה ביניהם.

נתחיל את התקנות. יש לנו חמישה טורים. טור א' זה ההפרה. במקור טור ב' וטור שהפך להיות ה' היו ביחד, פיצלתי אותם כי אני חושבת שזה קצת יותר מפשט לאנשים שקוראים את התקנות, הם יודעים באיזה תקנה הם ואז הם רואים הרבה יותר פשוט מה חל עליהם ומה לא. לכן טור ב' הוא רק מאגר שחלה עליו רמת האבטחה הבסיסית, טור ג', מאגר שחלה עליו רמת האבטחה הבינונית, טור ד' מאגר שחלה עליו רמת האבטחה הגבוהה, וכמו שאמרתי קודם, טור ה', מאגר המנוהל בידי יחיד. מאחר שיצא שההוראות די ארוכות חשבנו שנכון לתת להם כותרות כדי שיהיה קל לקרוא אותן ולכן אתם תראו שלאור כל התקנות אתם תראו שיש כותרת לכל הפרה כזאת.

טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(1) ניגוד עניינים של ממונה אבטחת מידע, בעל שליטה במאגר מידע החב במינוי ממונה אבטחת מידע לפי סעיף 17ב, מחזיק במאגר כאמור או מנהל מאגר כאמור, שהממונה על אבטחה במאגר מילא תפקיד נוסף בו שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידו כממונה על אבטחה במאגר, בניגוד להוראות תקנה 3(4) לתקנות, או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות








התקנה שדיברנו עליה כמרחפת על כולם שזה רלוונטי לנושא של מחזיק.
ראובן אידלמן
אולי נעיר בעניין הזה שיש סמכות, עוד לא הגענו למודל העיצומים הסטנדרטי, שיש אותו בתיקון 14 ובכל חקיקה שיש בה עיצומים כספיים, אבל אחד הסעיפים שם הוא סעיף שמסמיך אותנו לקבוע נוהל למקרים שבהם תינתן התראה. הנוהל הזה הוא באישור היועצת המשפטית לממשלה, או המשנה ליועצת המשפטית לממשלה.

העלינו לאתר הוועדה את טיוטת הנוהל שאנחנו מתכוונים לגבוה והנוהל הזה אומר שיהיו תקנות מסוימות שההפרה הראשונה שלהם תהיה בהתראה, לא מיד נטיל עיצום כספי והתקנה הזאת היא אחד מהם, זאת אומרת אם גילינו שאגב הליך אכיפה שממונה אבטחת המידע נמצא בניגוד עניינים למרות האיסור שיש עליו בתקנות, פה תהיה התראה ואם אוו מפוקח משמר את ניגוד העניינים הזה אחרי שהרשות אמרה לו במפורש שהוא לא יכול להיות בניגוד עניינים אז בשלב הבא אפשר יהיה להטיל עליו עיצום. יש עוד כמה תקנות כאלה שהן כפופות להתראה בהפרה ראשונה, ניגע בהן בהמשך.
היו"ר שמחה רוטמן
גם פה, שוב, אני מאוד לא אוהב את מנהל המאגר. אין לי שום דבר אישי נגד מנהל מאגר, להיפך, אני בעדו, אני לא מבין.
ראובן אידלמן
הסיבה שזה כתוב כאן, דיברנו על זה, זה חלק מהאחריות האישית, אבל אפשר להשאיר את זה לדיון.
היו"ר שמחה רוטמן
נשאיר את זה לדיון. זה מסומן בצהוב. לפעמים כל המוסיף גורע. יש אחריות מתחלקת, חושבים שמוסיפים עוד מישהו לאחריות, בסופו של דבר פחות אנשים דואגים לזה, בסופו של דבר יש גורם אחד שהוא אחראי, שהוא בעל השליטה ויש גורם שני שהוא המחזיק. כל הפונקציות האחרות, אם אדם מטיל עליהם אחריות אז זה מסיר או מצמצם את האחריות של האחרים. זה מוסיף לכם אולי עוד כתובת לשלוח אליה את העיצום הכספי, אבל זה לא משפר בעיניי את רמת האבטחה.
עמית יוסוב עמיר
אני חושב שזה חוזר בכל התקנות.
היו"ר שמחה רוטמן
נכון, לכן אם תודיעו עכשיו שאתם מורידים את זה אתם תחסכו לי את הכול.
עמית יוסוב עמיר
אולי אפשר לומר שהנושא יידון ונעמה הציבה בכל מקום - - -
נעמה מנחמי
כדי שנזכור אחר כך איפה להוריד.
היו"ר שמחה רוטמן
כדי שנשים לב.
ליאור אתגר
אם אפשר לחזק את אדוני היושב ראש, אנחנו סבורים שבעולם הפרקטי התפקיד של מנהל מאגר, בוא נגיד במקרה הטוב אפשר לקרוא לו אדמיניסטרטור. בסוף תורת האורגנים מוכרת לכולנו, יש נושא משרה, ממילא אם מישהו פישל בענק אז הוא יהיה אחד מנושאי המשרה, אי אפשר יהיה להטיל את כל כובד המשקל על מנהל שברוב המקרים הוא לא מנהל מאוד בכיר בארגון ויכול להיות שהאופרציה שלו באמת לא עבדה כמו שצריך, אבל זה אמור להיסגר ברמה ארגונית ויש לנו בשביל זה את תורת האורגנים ואנחנו לא זקוקים לעוד פונקציה.
היו"ר שמחה רוטמן
טוב. אז הנה, הצבת לנו את הכול ואנחנו פשוט נגיד שם קוד, קוד צהוב.
ענר רבינוביץ׳
אנחנו כאן בשולחן קצת מבולבלים לגבי איזה מצבים יש של ניגוד עניינים יש אצל מנהל אבטחה, אצל CISO. ניסינו לחשוב על דוגמאות ואני לא מצליח. אני אשמח לדעת.
היו"ר שמחה רוטמן
זו שאלה על התקנות או שאלה על העיצומים.
ענר רבינוביץ׳
גם וגם, כי מכאן אם אנחנו באים להסדיר כאן התנהגות אנחנו רוצים לדעת איך להתנהג או ממה להימנע וכרגע זה לא ברור.
היו"ר שמחה רוטמן
ממונה על אבטחת מידע שהוא גם לצורך העניין המשתמש?
קריאה
הוא לא יכול להיות מנהל IT.
ראובן אידלמן
למשל אמרנו שהמנמ"ר של החברה לא יכול להיות. זה גם מפורסם באתר הרשות.
היו"ר שמחה רוטמן
למה?
ענר רבינוביץ׳
כיצד להיות מנמ"ר סותר את הערך של אבטחת מידע בארגון?
היו"ר שמחה רוטמן
תפתחו את ראשי התיבות מנמ"ר.
ענר רבינוביץ׳
מנהל מערכות מידע.
ראובן אידלמן
הוא מנהל הטכנולוגיה, מנהל מערכות המידע של הארגון, הוא כאילו הגורם הטכנולוגי הבכיר של הארגון.
היו"ר שמחה רוטמן
למה הוא לא יכול להיות?
ראובן אידלמן
אבל כן אמרנו גם במה שפרסמנו באתר שלנו, שזה יכול לייצר חשש לניגוד עניינים. אם ממונה האבטחה כפוף למנמ"ר אז צריך לייצר לו אי תלות נפרדת כיוון שהוא אחראי על אינטרס מסוים. מנמ"ר מקדם אינטרס אחד של החברה, ממונה אבטחה אחראי על אינטרס אחר, יכולה להיות התנגשות בעניין.
היו"ר שמחה רוטמן
באמת לא ברור לי. מה האינטרס של מנמ"ר?
ליאור אתגר
אם אפשר להוסיף, לא שאני יותר מדי מבין בעולמות ה-CISO, אבל גם DPO, ב-GDPR, צריך להיות לו אי תלות.
היו"ר שמחה רוטמן
אנחנו נעשה פה כלל, כל ראשי תיבות חייבים לומר.
ליאור אתגר
גם ממונה הגנת פרטיות לפי ה-General Data Protection Regulation צריך להיות באי תלות, וגם מעולמות ה-CISO, אותו מנהל הגנת סייבר או מנהל אבטחה, גם תקני האבטחה דורשים שהוא יהיה בעל אי תלות, ואני חושב, אם אפשר לתרום לדיון, שיש ניגוד אינטרסים בסיסי כי מנהל מערכות מידע הוא בדרך כלל זה שאמון על התקציב ועל האופרציה והרבה פעמים זה יכול לא לבוא לו באינטרסים שלו להשקיע עוד כסף ועוד מערכת הגנה כי יש לו אינטרסים אחרים בארגון ובשביל זה צריך מישהו שיש לו דעה מקצועית ושברוב המקרים אותו -CISO הוא בכלל גורם חיצוני.
ענר רבינוביץ׳
אפשר להתווכח אם אותו מנמ"ר שאחראי על התקציב ואחראי על אבטחה, זה דווקא מתמרץ אותו להשקיע חלק מהתקציב באבטחה. או שכן או שלא, אבל שוב, אם אנחנו יוצרים כאן כלל מאוד עמום עם סנקציות בצדו.
לינא כמאל טרודי
ברשותכם אני ארחיב. המנמ"ר הוא זה שיושב על התקציב, זה נכון, אבל מצד שני יש לו אינטרס שיביא את הקדמה הטכנולוגית, לשדרג את היכולת של העובדים לעבוד בצורה נוחה יותר, להביא להם עוד מוצרים שיכולים לשפר את הארגון מבחינה טכנולוגית, בעוד שה-CISO הוא אמנם בעד טכנולוגיה, אבל הוא זה ששם את הברקסים בפועל כי כל פעם שמציעים לו הצעה הוא אומר: שנייה, אבל זה יכול להוות סכנה, אז אנחנו צריכים עוד בקרות מפצות או צריכים עוד טכנולוגיה, הפתרון כשלעצמו הוא לא מספיק טוב, צריך לשים עוד פילטרים, צריך להביא עוד טכנולוגיה מסוימת, לעשות הקשחה פה ושם. כל דבר כזה מוסיף עוד עלויות, מוסיף עוד גורמים שצריך להתעסק איתם, לשנות את טבלת הסיכומים שהארגון אמור לנהל אותה. אז ברגע שאני מכניס עוד גורם שהוא כפוף לזה ששם את הברז לכסף תחת ה-CISO, אז ה-CISO כל הזמן יגיד: שנייה, אני בעצם חושש לתפקידי, אני נראה זה שהוא תמיד אנטי, אז אף אחד לא רוצה לקדם לי שום כלום ולכן אני גם איישר קו עם המנמ"ר.
ראובן אידלמן
בכל אופן יש כאן התראה, הפרה ראשונה כאן היא בהתראה, זה חלק מהמענה אולי לשאלות ואפשר לעתור כמובן גם נגד ההחלטה הראשונה של הרשות. אם הרשות קובעת שממונה האבטחה פה הוא בחשש לניגוד עניינים אז בגלל זה - - -
היו"ר שמחה רוטמן
יש לי שאלה, בביקורות שלכם, הרי יש לכם גם ביקורות רוחב וגם ביקורות עומק וגם ביקורות שטח - - -
לינא כמאל טרודי
רוב ממוני אבטחת מידע הם CISO כשלעצמם, בין אם זה אאוט סורסינג ובין אם זה - - -
היו"ר שמחה רוטמן
וזה לא טוב?
לינא כמאל טרודי
לא, הם חייבים להיות מנותקים מהמנמ"ר. זה החיצוני, הם צריכים להיות חיצוני שלא כפוף למנמ"ר.
היו"ר שמחה רוטמן
אבל היום, כאשר אתם עושים ביקורת, כמה ריג'קטים מגיעים לכם על התקנה הזאת שאתם אומרים שהבן אדם בניגוד עניינים, ממונה אבטחת מידע שלכם הוא בניגוד עניינים? מה המצב בשוק היום? בשביל זה אתם עושים רוחב, שאלונים, עניינים, אם זה גזרה שאין הציבור יכול לעמוד בה, אם אתם מוציאים את זה לכולם, אם זה לא קורה אף פעם. לא יודע.
ענר רבינוביץ׳
בשטח מנהלי אבטחה רבים כפופים ל-CIO, למנמ"רים, ולפי מה שתיארתם ניגוד העניינים הזה, שלטענתכם קיים אצל מנמ"ר, הוא קיים גם אצל מנכ"ל, הוא קיים גם אצל סמנכ"ל תפעול, הוא קיים אצל כל ההנהלה של החברה, אז למי ה-CISO מדווח? לדירקטוריון?
לינא כמאל טרודי
הוא מדווח להנהלה. באופן כללי ה-CISO חייב לדווח להנהלה.
ענר רבינוביץ׳
לא, אז הוא לא. במציאות אין מצב כזה. יש להם - - -
היו"ר שמחה רוטמן
ה-CISO אמור לדווח לדירקטוריון?
לינא כמאל טרודי
הוא חייב להנהלת החברה.
היו"ר שמחה רוטמן
לא הבנתי. בסופו של דבר, הנהלה לא הנהלה, זה יכול להיות עוסק מורשה, לא בכל מקום יש דירקטוריון, בסופו של דבר יכול להיות חברת יחיד או אין דירקטוריון בכלל, יש בן אדם אחד שהוא בעל השליטה במאגר, שהוא הבוס. אני לא מכיר הנהלה. הנהלה לא מופיעה לא בחוק ולא בתקנות.
ראובן אידלמן
אין חובה למנות ממונה. אדוני, אני מזכיר את הדיון מהדיון הקודם בסעיף 17ב שקובע מתי יש חובה למנות ממונה אבטחת מידע, אין חובה על עסקים קטנים.
היו"ר שמחה רוטמן
עזוב אותי מעסק קטן, יכול להיות עסק גדול בלי דירקטוריון.
לינא כמאל טרודי
אבל הוא לא צריך ממונה אבטחת מידע.
היו"ר שמחה רוטמן
למה הוא לא חייב ממונה אבטחת מידע?
ענר רבינוביץ׳
זה לא מדויק, זה לא נכון גם, אפשר למנות - - -
ראובן אידלמן
קודם כל התקנה גם מדברת על המקרים - - -
היו"ר שמחה רוטמן
בואו נחדד את העניין. לא מעניין אותי המבנה התאגידי, הוא לא מופיע בחוק ולא בתקנות, בסופו של דבר יש בעל מאגר, לבעל המאגר יש הגדרה, זה לא הדירקטוריון.
לינא כמאל טרודי
נכון, זה ההנהלה.
ענר רבינוביץ׳
לא, בעל המאגר זה החברה.
היו"ר שמחה רוטמן
אם תראי לי את המילה הנהלה בחוק או בתקנות, מה שאת רוצה, אני משלם כגודל העיצום הכספי הגבוה ביותר מבין ה – אין הנהלה. יש בעל שליטה במאגר ויש מחזיק, זה האנשים שאנחנו מכירים. יש לנו דיון על מנהל מאגר, גם פרסונה, בשר ודם. בסופו של דבר יש לי מישהו שהוא בעל מאגר של דיוור ישיר ומה לעשות, אללה ירחמו, הוא יחיד, יכול להיות כזה דבר, יחיד שהוא בעל מאגר לדיוור ישיר?
ראובן אידלמן
כן.
היו"ר שמחה רוטמן
באיזה רמת אבטחה הוא יהיה? כי הרי זה מוחרג, דיוור ישיר מוחרג מהכול, נכון? או שלא? אם זה יחיד שמחזיק מאגר?
ראובן אידלמן
אם הוא דיוור ישיר אז הוא יהיה ברמת אבטחה בינונית.
היו"ר שמחה רוטמן
לפחות, אלא אם כן הוא מחזיק עוד מידעים. אז הוא יהיה מינימום בינונית, הוא חייב למנות ממונה אבטחת מידע ב-17ב?
ראובן אידלמן
לא, זה חובה שונה ב-17ב. 17ב עוד לא סוכם בוועדה, אבל החובה היום בסעיף 17ב לחוק מדברת על מחזיקים ועל סוגים מסוימים של גופים כמו בנקים, חברות ביטוח. זו חובה שהיא לא כרוכה כרגע ברמת האבטחה, זה שני דברים שונים. והיא גם לא מדברת על דיוור ישיר. מי שחייב למנות לפי 17ב היום זה גוף ציבורי, מי שמחזיק בחמישה מאגרים שחייבים ברישום או בנק, חברת ביטוח או חברה שעוסקת בדירוג אשראי.
היו"ר שמחה רוטמן
גוף ציבורי הכי קל לי. יש לי גוף ציבורי, אין לי דירקטוריון, אין לי הנהלה בגוף ציבורי, יש לי מנכ"ל, למנכ"ל יש תלות או אין תלות? הוא בניגוד עניינים או לא בניגוד עניינים? המנמ"ר כפוף לו או לא כפוף לו? ראש העיר?
ראובן אידלמן
כולם תחת ראש העיר.
היו"ר שמחה רוטמן
יפה, אז הוא בניגוד עניינים בגלל זה?
ראובן אידלמן
לא.
היו"ר שמחה רוטמן
לראש העיר מותר להיות בעצמו מומחה אבטחת המידע? לא, כי יש לו תלות עם עצמו? הרי הוא מדווח לו. מה שאני מנסה לומר, שהדיווח להנהלה כבודו במקומו מונח, אני לא מכיר אותו לא מהתקנות ולא מהחוק. אם הדבר הזה, וזה שאלתי אתכם, כמה מהביקורות שלכם, כמה פעמים מצאתם ניגוד עניינים, האם חוות הדעת שלכם שהוא כן יהיה כפוף למנמ"ר או לא כפוף למנמ"ר זה נטל רגולטורי מיותר? ושוב אני מדגיש ומחדד, העובדה שעד עכשיו הייתה לכם חוות דעת שאומרת שאסור שהוא יהיה כפוף למנמ"ר.
ראובן אידלמן
עם חריג, שאפשר לייצר לו אי תלות.
היו"ר שמחה רוטמן
עם חריגים. אני רק אומר, זה דבר שהוא מעצם טיבו מאוד מאוד קשה ללכת איתו לעיצום כספי, כי בראייה שיש משהו שנתון לפרשנות אז אחת משתיים, או שזה דרך לצדק לעשירים, כי דווקא אני צופה המון קנסות של 1,000 ואפס קנסות של 80,000 שקל. למה? כי מי שיחטוף קנס של 80,000 שקל יש לו את עורך הדין המוכשר פה שיושב, יש פה כמה, שיגיד לכם שחוות הדעת שלכם היא לא נכונה ולכן הוא לא ישלם את ה-80,000 שקל ויסביר לכם למה אי התלות שלכם היא לא אי תלות, ומי שיקבל את ההתראה, הנטל הרגולטורי שאתם תטילו דווקא על בעלי העסקים היותר קטנים שיחטפו את ה-1,000 שקל, הם עכשיו יצטרכו לייצר משרה נוספת או גורם חיצוני שהוא לא באמת כפוף למנמ"ר, או כפוף למנמ"ר רק בימים שני ושלישי ולא אחרי הצהריים.

זו הבעיה בחובה רגולטורית שהיא לא חדה וברורה, שהיא לא אפס או אחד. לא מינית מנהל? בסדר, חטפת. כן נתת, לא נתת. ניגוד עניינים זה מושג שכל כך הרבה קולמוסין נשתברו עליו, ואם הייתי רוצה הייתי שואל האם נשיא בית משפט עליון מותר לו לשבת בישיבה שדנה במינוי נשיא בית משפט עליון? יש שתי חוות דעת סותרות בנושא הזה ספציפית. לא יודע, על זה לתת עיצום כספי?
ראובן אידלמן
אני אשמח להתייחס. ראשית בגלל מה שאדוני אמר בסוף, זה מההוראות שאמרנו שהעבירה הראשונה תהיה בהתראה ואז אפשר לתקוף, כמו שאדוני אמר, את ההחלטה שלנו שיש בכלל ניגוד עניינים.
היו"ר שמחה רוטמן
שוב, תמחק את הטור של ה-80 וה-20 ותשים רק את הטור של ה-1,000, מסיבה מאוד פשוטה, כי מי שיחטוף 80 יתקוף ומי שיחטוף 1,000 לא יתקוף וישלם.
ראובן אידלמן
לא, עוד לפני שלב העיצום.
היו"ר שמחה רוטמן
כמה עולה להגיש עתירה מנהלית נגד ההחלטה שלך? זה וואחד קנס, זה קנס יותר גדול.
ראובן אידלמן
רגע, אני רוצה להגיד משהו נוסף. הכוונה היא, וזה נאמר גם על ידי עו"ד ליאור אתגר, לייצר בעל תפקיד, וזה קצת דומה גם לתכליות מהבחינה הזאת של ממונה הגנת פרטיות בארגונים, זה מאוד מקובל ברגולציות פרטיות, לייצר בעל תפקיד שיש לו אי תלות מסוימת, יש לו ערוץ ישיר להנהלה, הוא חייב לפי התקנות, והעיצום כאן הוא על ניגוד עניינים אז אנחנו מסתובבים סביב החובה הזאת, אבל תקנה 3 פורטת את כל התפקידים של ממונה אבטחת מידע, הוא למשל חייב להביא לאישור בעל המאגר נוהל. זאת אומרת זה כן אדם שאמור לעבוד מול ההנהלה, ואז אמרנו, במקרה שהוא למשל כפוף למנמ"ר - - -
היו"ר שמחה רוטמן
בעל המאגר זה לא הנהלה, תפסיק להשתמש בביטוי הנהלה, אני לא יודע מה זה הנהלה. איפה כתוב שבעל מאגר זה הנהלה?
ראובן אידלמן
לא כתוב.
היו"ר שמחה רוטמן
אז בעל מאגר.
ראובן אידלמן
אבל בתפיסה שלנו הוא אדם שאמור לעבוד מול ההנהלה, כך אנחנו מפרשים את ההוראות האלה. לא אמרנו שזה אסור, אמרנו שאם הוא כפוף למנמ"ר או אם הוא המנמ"ר עצמו, יכולה להיות גם סיטואציה כזאת, אז צריך לייצר לו איזה שהיא אי תלות בכובע הזה שלו. זאת האמירה. אבל בכל אופן אם יהיו שאלות של - - -
היו"ר שמחה רוטמן
מה שקורה פה, זה מונחים של משפט מנהלי כשגם במשפט המנהלי אף אחד לא מבין מה הם אומרים ואורך ידם כאורך ידו של כותב חוות הדעת, לעשות על זה עיצום כספי זה בעיניי דבר משונה מאוד. לצורך העניין אפילו יותר קל לי אם הייתי נותן לך, אם היה לך, אני לא יודע, אולי יש לך, אני לא מספיק בקי בתקנות, סמכות לתת הוראה לבצע פעולה מסוימת, למנות מישהו אחר, להסיר ניגוד עניינים, זה לא בדרך ההתראה המנהלית, ואז יש את הפרת הוראה שלך אז קל לי לעשות את זה, הפר הוראה שנתן ראש רשות ספציפית לזה וזה, אז אני יודע להגיד נתת הוראה, אפשר לתקוף את ההוראה.

אבל לבוא ולהגיד על ניגוד עניינים התראה מנהלית ואני לא מסכים איתך ואז אתה מעמיד בעל עסק בפני הבחירה, נניח שמדובר בלהעסיק עוד אדם, להעסיק עוד אדם יש לזה עלות של כמה? מאות אלפי שקלים בשנה יכול להיות גם, אבל גם אם אתה בגוף קטן ואתה עושה כמשהו נוסף על תפקיד ואתה לוקח מישהו חיצוני ואתה משלם לו חוזה שנתי של 100,000 שקל, כי מצאת מישהו באמת שובר שוק, אז אתה מעמיד אותי בסיטואציה שאני צריך או לקחת מישהו חיצוני ב-100,000 שקל, או להגיש נגדך עתירה ב-100,000, מישהו פה מגיש עתירות בפחות מ-100,000 שקל? אתם לא חייבים להגיד, או לשלם 1,000 שקל ותעזוב אותי. על מה? על זה שאני לא מסכים איתך בכלל.
ליאור אתגר
אם אפשר להציע פשרה מסוימת, כי הנושא של אי תלות של ממונה על אבטחה יחזור אלינו בנושא של ממונה הגנת פרטיות. הנושא הזה הוא חשוב לארגונים ואני מסכים עם אדוני שבסוף ההיבט הזה פוגע בארגונים קטנים שממילא ידם אינה משגת וממילא זה גם לא קורה שם בפועל. אולי צריך להוריד את הסנקציות מהמדרגה הנמוכה ולהשאיר אותה אך ורק בגבוהה, כי שם הם כן ימצאו את הדרך. גם אם המנמ"ר הוא ה-CISO הם עדיין ימצאו דרך בנוהל להגדיר שיש לו זכות לתת את הדין בפני ועדת ביקורת אם זה חברה ציבורית או יתר פורום חברי ההנהלה ולא הממונה הישיר של המנמ"ר, ימצאו את הדרך לעשות את זה. בארגונים קטנים כנראה שאין טעם להטיל סנקציות בגלל שההוראה הזאת כנראה כבדה על הציבור.
היו"ר שמחה רוטמן
אז ההצעה שלך להוריד את ה-1,000 ואת ה-20,000 ולהשאיר רק את ה-80,000?
ליאור אתגר
כן, הייתי משאיר את הגבוהה.
נעמה מנחמי
מה חושבת על זה הממשלה?
ראובן אידלמן
גם על ההצעה של אדוני קודם, זו גם אופציה, לעשות שתהיה הוראה שאתה נמצא בניגוד עניינים ואנחנו מורים לך להפסיק להפר את התקנה.
היו"ר שמחה רוטמן
לא, זה דומה להתראה מנהלית.
ראובן אידלמן
נדמה לי שאדוני הציע את זה.
שחף קצלניק
אבל עצם ההצעה של לבוא ולהגיד שאנחנו ניתן לך הוראה שאתה נמצא בניגוד עניינים - - -
היו"ר שמחה רוטמן
לא, אני אמרתי שהמנגנון של ההתראה המנהלית זה למעשה המנגנון, להגיד אתה בניגוד עניינים.
שחף קצלניק
ההגדרה הזאת לבוא ולהגיד לעסק קטן שהוא בניגוד עניינים כשבן אדם מארגן את הכול.
היו"ר שמחה רוטמן
אני מסכים איתך, אני מעדיף שלא, אבל אני באמת מתאר לעצמי שאם תהיה סיטואציה כזאת יהיו לכם דברים אחרים לתפוס אותו עליהם, אתם לא תצטרכו את זה רק על הנושא של ניגוד עניינים, אז בעיניי ההוראה מיותרת. כן יכולה להיות סיטואציה עם הוראה בתפירה ספציפית ואז אני כבר יצאתי מהעולם של השופט האוטומטי שדיברנו עליו, כי כן הייתה פה איזה שהיא הוראה ספציפית של הרשם על מקרה מסוים שזה כבר הניב X תוצאות וזה וזה, זה לא עכשיו הוראות כלליות, זו הוראה פרטנית ספציפית לגוף מסוים, גם אם הוא עסק קטן, זה יכול להיות עסק קטן אבל אם יתגלה לי בעסק הקטן הזה שהיעדר אי התלות של ממונה אבטחת מידע הוביל לזה שאותו עסק קטן שמחזיק במידע האימוץ על הילדים של ראשי המוסד זלג לאירנים, אז ואללה, אז יכול להיות שכדאי בכל זאת לעשות את זה.
שחף קצלניק
אבל לשיטת הרשות עצם העובדה שאני מכהן בשני תפקידים או שיכול להיות להם איזה שהיא בעיה זה כבר ניגוד עניינים.
היו"ר שמחה רוטמן
אבל זה יהיה תפיסת הרשות.
שחף קצלניק
אבל העסק הקטן לא יאתגר אותם.
היו"ר שמחה רוטמן
לכן ההבדל בין תפיסת הרשות כפי שבאה לידי ביטוי בגילוי דעת מספר זה וזה וזה שזה לא וזה כרגע כן ואני לא רוצה את זה, לבין הוראה ספציפית של ראש הרשות לגוף מסוים לפי סעיף 20, לא יודע, שאומר: נתתי לך הוראה ספציפית בהקשר שלך אחרי שכבר קרה לך X, Y ו-Z עם החלטה מנומקת ועכשיו אתה מפר אותה, אז על הפרת ההוראה הזאת יש עיצום כספי. זו הוראה כללית כזאת.
שחף קצלניק
אוקיי, אבל בהוראה כזאת צריך איזה שהוא קשר ספציפי ישיר.
היו"ר שמחה רוטמן
נכון, ואם זה לא ימצא חן בעיניך וכבר עשו את הרזולוציה ואת ה-dig in לדבר הזה וזה מה שהגיעו במסקנה אז על זה כן תעתור, אבל לא על הוראה כללית שהשוק לא יודע לחיות איתה שכן תהיה כפוף ל-DPO או כל מיני שמות וראשי תיבות שאני לא מבין.
ראובן אידלמן
אין לנו התנגדות להשאיר את העיצום על האבטחה הגבוהה, אם זה משהו שמקובל על הוועדה.
היו"ר שמחה רוטמן
טוב, פשרה מפא"יניקית הולמת.
קריאה
זה לא פתר את הבעיה.
היו"ר שמחה רוטמן
זה קצת פתר את הבעיה, אבל שנייה. צחי שלום, מרכז השלטון המקומי.
צחי שלום
בוקר טוב ליושב ראש ולחברים. אני רוצה לשים זרקור על ההקשחה וההתנהגות של כפיפות והפחד מכפיפות למנמ"ר. אני אצייר איזה שהיא תמונת מצב של מה קורה ברשויות. אני חושב שמישהו כבר אמר את זה, אבל ברשויות יש לנו מגבלות מאוד גדולות תקציביות. ההנחה היא שהמנמ"ר הוא בעל אינטרס סותר למנהל אבטחת המידע היא הנחה שגויה כי בסיכומו של דבר בעולמנו כשיש אירוע סייבר מי שמנהל את האירוע בסוף וחוטף מההנהלה ומתעסק עם זה ביום יום הוא בעצם המנמ"ר, הוא לא ה-CISO. מנכ"ל הרשות לא מכיר את ה-CISO, הוא לא מכיר אותו, הוא לא מדבר איתו ביום יום, הוא לא מסוגל להתמודד עם הקיצורים או צורת הדיבור שלו והמנמ"ר הוא זה שבעצם זה שלוקח את האחריות.

בתוך העולם הזה של הנחה בסיסית שיש סתירה בין המנמ"ר לבין ה-CISO היא הנחה ישנה ושגויה כי האינטרס של שני הגופים האלה הוא להעלות את המודעות. כשאני בא ואומר כזה דבר, ה-CISO יהיה כפוף למנכ"ל, ה-CISO מגיע למנכ"ל ואומר לו: צריך אחת, שתיים, שלוש וארבע, המנכ"ל לא מבין בזה, הוא לא יודע, הוא לא יודע להגיד, הסתירה הפנימית בין הצרכים והתפקידים לא מתבטלת, אלא מתחדדת, היא נהיית עוד הרבה יותר גרועה כי למנכ"ל יש את המסגרת הארגונית שלו שהוא צריך לנהל והמנמ"ר מבין את זה ומסביר למנכ"ל את הצרכים.

כשהכפיפות והאחריות היא בתוך הבית, בתוך עולם מערכות המידע, בתוך ההבנה שצריך לעשות את הדברים, וזו ההבנה שהיום קורית ברשויות, ואני חושב בהמון גופים שהם מצומצמים בכוח אדם, זה שהמנמ"ר מוביל גם את עולם אבטחת המידע, הוא לוקח את זה בחשבון בתוך התהליכים שלו והוא גם לוקח חלק מהאחריות הזאת. בסוף בבעיות הוא יתמודד והוא יצטרך לתת את התשובות לארגון על למה הארגון מושבת.

אתם יכולים לראות את זה בכל האירועים האחרונים שקרו, בסוף מי שעומד בחזית ומטפל ועושה זה המנמ"ר ולא ה-CISO כשברור שצריך להקצות לזה משאבים נוספים. אם אנחנו נסתכל בהכרחה של רשות קטנה, להכריח אותה לקחת גם מנמ"ר, גם CISO וחס וחלילה גם DPO, שאין לנו את זה אפילו בספר התפקידים, בעצם כל הכסף יילך על משכורות והוא לא יילך על כלים ותהליכים לבצע.

אני כן מבקש לשנות את ההגדרה הזאת שיש כפילות או התנגדות או התנגשות בין שני התפקידים האלה ולאפשר למנמ"ר להיות CISO ו/או לחילופין כפיפות. אפשר לבצע איזה שהוא מהלך של תהליך, הצגה, ברור שכל בעל תפקיד ברשות מציג תוכנית עבודה והיא מאושרת על ידי תקציב ומאושרת על ידי מנכ"ל וכו' וכו'. את אותם תנאים שה-CISO לכאורה אמור לעשות בצורה עצמאית המנמ"ר יכול לעשות את זה באותה דרך וגם לציין: לא קיבלתי או לא יכול לעסוק בפני ההנהלה. זה התהליך ואי אפשר לעשות את ההפרדה המכנית הזאת בין שני התפקידים האלה שמתקיימים כתף אל כתף ובעצם מתבצעים לפעמים על ידי אותו בן אדם למרות שנדרשים אחרת.
היו"ר שמחה רוטמן
ודווקא לפי מה שאני מבין אתם נכנסים לגדר של הקנס הגדול.
צחי שלום
בדיוק. עוד לפני הקנס, היושב ראש, זה תהליך מבנה ארגוני שונה. להביא CISO לרשות זה קריעת ים סוף, להביא מנמ"ר לרשות, יש לנו בסך הכול 70 מנמ"רים.
היו"ר שמחה רוטמן
להביא CISO לרשות נשמע כמו קמפיין בחירות, תביאו את סיסו לרשות.
צחי שלום
רשויות יוצאות בארבעה, חמישה ושישה מכרזים ולא מצליחים להביא בגלל העלויות, עזוב רגע בהעסקה אלא בגלל עלויות, אבל עושים את המאמצים ועושים את זה. כשאנחנו נאפשר למנמ"ר להיות נקרא לזה דו כובעי, גם CISO וגם מנמ"ר, אנחנו נפנה את התקציבים הנדרשים לעולם הזה של ביצוע הפעולות בפועל וככה נגביר את אבטחת המידע ולא נקטין אותה. אין יותר את הסתירה הזאת, אין מנמ"ר היום שלא מבין את הצורך באבטחת מידע שזה חלק עיקרי. הרי הוא יעמוד בראש, הראש שלו על הגרדום, לא של ה-CISO, אם משהו יקרה.
ראובן אידלמן
בהקשר לשאלה של אדוני, לגבי רשויות מקומיות, אמרנו עיצום פה רק על רמת אבטחה גבוהה, גבוהה זה מי שיש לו מעל 100,000 נושאי מידע או 100 מורשי גישה. להבנתי, צחי יגיד אם המצב שונה, רוב הרשויות - - -
היו"ר שמחה רוטמן
כמה רשויות מקומיות יש במדינת ישראל שיש בהן מעל 100,000 נושאי מידע
צחי שלום
אני אתייחס רגע למספרים. מאוד פשוט, הרבה רשויות. למה? כי יש מאגרים, נגיד מאגר חינוך או רווחה שבו יש לך נתונים של 30,000 תושבים, יש לך את הנתונים הילד או שני ילדים ושני הורים והגעת ל-100,000 בקלות. אנחנו יודעים שאנחנו במאגרים הגבוהים וברור לנו ואנחנו מתנהגים בצורה הולמת ומנסים מאוד.
היו"ר שמחה רוטמן
חוץ מזה גם יש להם תושבים לשעבר. גם אם בכל רגע נתון יש לעיר 50,000 תושבים, יש לה 100,000 תושבים במאגר כי היא מחזיקה מידע על תושבים קודמים, הנחות ארנונה שהיו להם, מי עזב, מי נכנס, מי יצא.
ענר רבינוביץ׳
בעלי עסקים, ספקים של העירייה, בעלי עסקים מקומיים שהם לא תושבים.
צחי שלום
יש הרבה, כמעט כל מאגר של רשות הוא ברמה הגבוהה.
היו"ר שמחה רוטמן
נושא ניגוד העניינים שהוא נושא מעצם טיבו שדורש הפעלת שיקול דעת, ואתם בכל מקרה עושים אותו בהתראה, יכול להיות שהוא מתאים לא לאכיפת עיצומים. יהיה לכם מקרה קיצון תגישו עליו הליכים אחרים.
ראובן אידלמן
אני מציע שנחזיר תשובה לוועדה בהמשך.
היו"ר שמחה רוטמן
טוב, בסדר גמור. לאט לאט מהגדרה להגדרה אנחנו – הדיון הזה הוא לא רק אליו, חשוב שתבינו את הראש של הוועדה, עיצום כספי צריך להיות בדברים שהם קליר קאט, בדברים שקל להפעיל אותם. נכון שהתראה מנהלית זה שלב ביניים כזה שהוא מיועד למקרי הקצה, אני חושב שניגוד העניינים הוא פחות מקרה קצה שצריך להיות בחוץ.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(2) מבנה מאגר ומערכותיו: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא החזיק מסמך מעודכן של מבנה מאגר המידע או רשימת מצאי מעודכנת של מערכות המאגר בהתאם להוראות תקנה 5(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;
היו"ר שמחה רוטמן
זה נראה הגיוני ודי קליר קאט, יש מסמך/אין מסמך, מעודכן. כן?
שחף קצלניק
אין בעיה עם זה שצריך להחזיק מסמך מעודכן, אין ויכוח על זה, אבל אולי צריך לתת איזה שהוא buffer של זמן כי יש דברים שקורים תוך כדי. מספיק שעכשיו איזה מידע עכשיו שנאסף לפעילות חדשה עוד לא עודכן אצל הרשם או שעוד לא נכנס לתוך המסמך הזה.
היו"ר שמחה רוטמן
לא, זה לא אצל הרשם, ביטלנו בחובת הרישום.
שחף קצלניק
צודק. המסמך שלנו עוד טרם עודכן כי זה נמצא בחברה גדולה באיזה שהיא חטיבה ולא עודכן בתוך המסמך עצמו ורק מחר בבוקר יעודכן והרשות תגיע היום והמסמך - - -
היו"ר שמחה רוטמן
מה רמת העדכון?
ראובן אידלמן
אבל זה רק פעם בשנה.
היו"ר שמחה רוטמן
מה שכתוב פה, איפה כתוב מתי צריך לעדכן? יש משהו על סקר סיכונים שזה 18 חודש, אבל זה לא קשור לעדכון המסמך.
שחף קצלניק
הדרישה היא לעדכון, אם יש לך מידע עודף, זה לא הדרישה לעדכון אם יש מידע שנכנס. זה לא אותו דבר. זה שני דברים שונים.
היו"ר שמחה רוטמן
התקנתי אנטי וירוס אני צריך מיד לעדכן את המסמך?
קריאה
אנחנו בתקנה 2, זה אחת לשנה.
שחף קצלניק
לא, זה לא קשור לתקנה 2.
היו"ר שמחה רוטמן
זה מסמך הגדרות.
ראובן אידלמן
החובה המהותית היא בתקנה 5(א), אבל התשובה, אני חושב שזה מה שאני אומר, שהרשות צריכה לפעול בסבירות. אם אתמול משהו השתנה - - -
שחף קצלניק
אבל אף אחד לא יבין אם זה אתמול קרה, למה לא לתת איזה שהוא buffer כזה אפילו ברמת ה-30 יום, זה משהו שהוא הגיוני בתוך חברה.
נעמה מנחמי
ממתי?
שחף קצלניק
מרגע שנוצרה הפעילות, מרגע שנוצר השינוי.
היו"ר שמחה רוטמן
עדכנתי אנטי וירוס. לכאורה במבנה מאגר, לפי מה שרשום פה, מערכות התוכנה משמשות להפעלת מאגר המידע, לניהול המאגר ותחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו. הורדתי עדכון גרסה אחרון, בארגונים גדולים עדכון גרסה זה עניין שלוקח כמה ימים ובודקים ועושים שנייה ב-sandbox וכל הדברים שעושים. עשו את זה, מה הגדרת מעודכן? שוב, אתם רוצים סבירות? זה סטנדרט סביר?
קריאה
אנטי וירוס מתעדכן כמה פעמים ביום.
ראובן אידלמן
אפשר לקבוע 30 יום.
ענר רבינוביץ׳
30 יום זה קצר מדי. מה סביר? קחו בחשבון, ארגונים שרוכשים עכשיו מערכת חדשה או בוחנים מערכת, עושה POC, proof of concept, הוכחת היתכנות של המערכת שהיא לעניין ושהיא טובה לנו. POC'יז כאלה יכולים לקחת כמה חודשים. בתקופה הזו אני לא חושב שזה נכון לעדכן את רשימת המצאי ואז להחזיר משם. חצי שנה בעיניי זה סביר, אם אתם חושבים שזה מופרך אפשר לנהל על זה משא ומתן.
היו"ר שמחה רוטמן
לא יודע, חצי שנה נשמע לי, באמת עדיף להשאיר זמן סביר. יכול להיות שכשתבוא ותגיד לי, בהבנה המועטה שלי בנושא, שלא עדכנת את המסמך במה שאני עושה ב- proof of concept, זה כרגע בבדיקה, זה עוד לא נחשב, זה עוד לא פה, ואז לא יטילו עליך את הקנס, בסדר גמור, אבל ברור שעדכון של מערכת שהוא לא בטסט, אלא זה עדכון מערכת אמיתי, חצי שנה זה המון זמן לעדכן, זה נצח, זה מונע באופן אפקטיבי את היכולת שלהם לעשות ביקורת, זה ודאי לא מתאים חצי שנה. זה שלטסט זה לא מתאים, בסדר, אז תגיד שזה רק טסט, תסביר להם למה זה לא שם, כי זה רק טסט ותשכנע אותם לא להטיל עליך את הקנס. לא על בסיס החריג הזה נבנה את הכלל.
ליאור אתגר
יכול להיות שמאחר שמדובר במסמך שזה לא התקנת המערכת עצמה אלא זה מסמך של קומפליינס, האינטרוול לא יכול להיות 30 יום, זה יותר מדי קצר. רבעון נגיד זה נשמע משהו הגיוני, בדרך כלל ארגונים מתנהלים ברמה כזאת.
היו"ר שמחה רוטמן
הרעיון הוא שמנהל מאגר או ממונה אבטחת מידע במאגר או כל הגורמים האלה מעדכן מסמכים כאלה כחלק משגרת העבודה שלו, זה לא דבר שצריך לקחת זמן לעדכון. אם אתם מסכימים איתי תגידו בקול, לא רק תהנהנו. שגרת העבודה, הוראות הקבע למנמ"ר או ל-CISO או לכל אחד מהאנשים הקודמים שהזכרנו צריכות להיות: אתה מעדכן את הדבר הזה והזה, צ'ק ליסט, סיימת התקנה, קיבלת successful ואתה הולך למסמך ומעדכן. סתם בניהול תקין של מאגר, אתה לא מחכה, לא חצי שנה ולא 30 יום, גם 30 יום נשמע לי הרבה מדי, אבל לעניין קנס אני כן מבין כשאני בא ואומר בסדר, יש זמן סביר. אבל בבסט פרקטיס זה צריך להיות מעודכן און ליין.
ענר רבינוביץ׳
לא תמיד זה עובד ככה. זה הרבה יותר מאתגר ממה שזה נשמע. זה נשמע רק ללכת לאיזה אקסל ולהוסיף שורה.
היו"ר שמחה רוטמן
לא, ברור לי שזה מאתגר.
ענר רבינוביץ׳
וזה גם לוקח זמן.
היו"ר שמחה רוטמן
וברור לי שאם אתה לא מכניס דבר כזה לשגרת עבודה אז מהר מאוד 30 יום גם לא יספיקו לך.
שחף קצלניק
זה יכול להיכנס לשגרת עבודה, כי ארגונים גדולים כן מכניסים את הדברים האלה בתוכנית, אז איזה שהוא פרק זמן סביר יכול לשמש פה כאיזה שהוא בסיס.
היו"ר שמחה רוטמן
אז נשאיר את זה לסבירות. אני לא אכתוב כלום ונשאיר את זה לסבירות, אם זה המצב. קשה לי עם 30 יום כי אני לא חושב שמסמך כזה – זה להיפך, זה ייצר הרעה של סטנדרט האבטחה.
שחף קצלניק
הסבירות זה חוסר ודאות.
היו"ר שמחה רוטמן
נכון, חוסר ודאות מייצר דווקא אפקט טוב, כי יכול להיות שבמקרה הספציפי שלך יש לך צידוק סביר למה חיכית יומיים ותיפול על איזה עובד רשע של רשות להגנת הפרטיות, לא שיש היום כזה, אבל יום אחד ימנו מישהו שהוא עובד רשע והוא יטיל עליך את הקנס ואתה תהיה בבעיה, מצד שני זה ייצר אצלך קומפליינס. אם יהיה לך כתוב בהוראות 30 יום אז שגרת העבודה תהיה תעדכן תוך 30 יום מה שיגרום לזה שזה לא יעודכן אף פעם. לכן אי הוודאות בהקשר הזה היא לא באג, היא פיצ'ר.
שחף קצלניק
אבל איפה ה- bufferשל הסבירות?
היו"ר שמחה רוטמן
היופי בסבירות זה שלא צריך לכתוב אותה. יותר מזה, אם אתה כותב אותה מבטלים לך אותה, אבל אם אתה לא כותב אותה אז היא נשארת. סבירות זה משהו שהוא כמו – באחד מהספרים של דאגלס אדמס יש דבר שנקרא שדה בעיה של מישהו אחר, שכשמשהו מכוסה בשדה בעיה של מישהו אחר אף אחד לא רואה אותו. סבירות היא דומה לזה, אם אתה מסתכל עליה אתה לא רואה אותה.
שחף קצלניק
אני חושב שההוראה הזאת היא מאוד מפורשת. בסוף אם אני לא מחזיק מסמך מעודכן הרשות בקלות תבוא ותגיד שהמסמך לא מעודכן, זה לא כל כך מעניין למה.
היו"ר שמחה רוטמן
בסדר, אז היא תבוא עם עיצום כספי ואתה תגיש עתירה.
שחף קצלניק
אבל עוד פעם, מי יגיש עתירה?
היו"ר שמחה רוטמן
שוב, יגידו עדכנת ורואים את ה – הרי יש לוגים לכל מערכת, אתה יכול להגיד: לא עדכנתי את זה כי שלשום עדכנתי את האנטי וירוס ועדיין לא עדכנתי את זה כי יש לי עוד מחשב אחד במחלקת זה שעדיין האנטי וירוס אצלו לא קיבל את האוקיי, לכן לא עדכנתי כשהמערכת עברה את האנטי וירוס הזה. אז הם לא יטילו.
שחף קצלניק
מה זה הם לא יטילו?
היו"ר שמחה רוטמן
זה סבירות, ככה עובדת סבירות.
שחף קצלניק
אבל ההוראה נורא נורא מפורשת, ההוראה אומרת שאם אני לא - - -
היו"ר שמחה רוטמן
נכון, אבל כל עיצום כספי יכול להיות בחוסר סבירות.
שחף קצלניק
אבל העסקים הקטנים לא ינסו לאתגר, זה לא יקרה. למה לא לקבוע את זה?
היו"ר שמחה רוטמן
שוב, אני מסביר לך למה לא לקבוע, כי לקבוע זמן, כי אמיתית כמו בכל מילוי חובה פרק הזמן פה הוא זמן סביר, אמיתית, במילוי חובה. אם עדכנת אנטי וירוס בעירייה קטנה שהממונה אבטחת מידע עובד ברבע משרה ומגיע פעם בשבוע, אז הוא סיים את ההתקנה ביום חמישי בערב והוא לא עדכן את זה עד שהוא חזר שבוע אחרי, ביום חמישי, אז זה זמן סביר וזה הגיוני והמסמך שלו מעודכן נכון ללפני שבוע והוא לא יחטוף את הקנס. אבל אם אתה בחברה שיש בה עשרה אנשים שעובדים רק על זה ומעדכנים את כולם, שם עיכוב של יומיים זה לא סביר, לעומת זאת יש מקום שעיכוב של 30 יום, ואם אתה עושה טסט גם חצי שנה, זה כן עיכוב סביר. אני לא יכול לכתוב את כל המקרים האלה, אני לא יכול לתת זמן.
שחף קצלניק
אם המערכת שעכשיו הכנסתי לארגון לא כתובה בתוך המסמך זה עכשיו משהו שישנה ומגיע לי עליו לקבל קנס? זו המהות של הסעיף הזה? אם עכשיו לא כתבתי מערכת שמגנה, אבל היא קיימת.
היו"ר שמחה רוטמן
לא יודע. אני בהחלט פתוח לטענות על זה שתקנה 5 היא תקנה לא טובה.
שחף קצלניק
לא, היא תקנה בסדר גמור, צריך להיות מסמך כזה, אבל זה שעכשיו לא הכנסתי מערכת שמגנה על הארגון שלי, אני הכנסת להיותי מערכת שפועלת, אבל לא כתבתי אותה במסמך זה הקנס?
היו"ר שמחה רוטמן
מה תכלית תקנה 5?
שחף קצלניק
התכלית של תקנה 5 באה להראות שבאופן קבוע יש לי מסמך שאני יודע שלפיו פועל המאגר שלי והמערכות שלי, אבל לבוא ולהגיד שבגלל שלא כתבתי את המערכת הזאת לפני יומיים, שבוע, 30 יום, על זה אני צריך לקבל קנס?
היו"ר שמחה רוטמן
זה אומר שאתה לא עובד נכון.
שחף קצלניק
למה?
ענר רבינוביץ׳
זו חובה בסיסית מאוד שיהיה מיפוי של המערכת. הסבירות לא קיימת שם כי זה מנוסח באופן שהוא אובייקטיבי ולא סובייקטיבי.
היו"ר שמחה רוטמן
לא, כשאתה אומר מעודכן - - -
ענר רבינוביץ׳
אתה אומר שמעודכן יכול להיות נכון לשבוע, אבל זה לא עולה מהתקנה.
היו"ר שמחה רוטמן
המילה מעודכן באופן מובהק היא מילה יחסית. לא צריך לרדת למכניקת הקוונטים כדי לדעת שאין רגע בדיד בזמן, זה רק ברזולוציות מאוד נמוכות. מעודכן למתי? המילה מעודכן תמיד עונה מעודכן למתי, מעודכן ליום, מעודכן לשבוע, מעודכן לשעה. אתה עוסק במערכות מידע, כשאתה שואל: הורדת את כל העדכונים של חומת האש? אתה אומר כן, אבל לא הורדת עדכון בשנתיים האחרונות, זה נחשב שאתה מעודכן? לא, אבל יש בחומרות מסוימות, להגיד שאני מחזיק חומרה מעודכנת, שנתיים זה כן פרק זמן. מה זה מעודכן?
ענר רבינוביץ׳
נכון למצב העובדתי האחרון זה מעודכן.
היו"ר שמחה רוטמן
לא.
ענר רבינוביץ׳
באנגלית up to date, עד לתאריך זה.
היו"ר שמחה רוטמן
Up to date, what date? זאת אומרת שאם לקח לך זמן ללכת מהמחשב הזה למחשב הזה שפה אתה עשית את עבודת ההתקנה ופה מוחזק המסמך לטובת הבקרה, אז בזמן זה הזה שלך לא היה מעודכן. זו אמירה שהיא נכונה עובדתית והיא חסרת כל משמעות כי ברור לכולם שאתה מנהל המערכת המוכשר והמוצלח ביותר ולכן אתה מעדכן בזמן סביר. זו המשמעות של המילה מעודכן.
ליאור אתגר
בסוף מדובר בסנקציה, בסוף צריך לתת הנחיה לארגון.
ענר רבינוביץ׳
עדיף לקבוע פרק זמן שאפילו אפשר להתווכח עליו מאשר שיהיה פתוח.
ראובן אידלמן
לא, ההנחיה לארגון לא משתנה, אנחנו לא משנים את החובות שבתקנות, אנחנו מדברים על עיצום כספי. ההנחיה לארגון היא לפי החובות שבתקנות. זו הבחנה שתלווה אותנו לאורך כל הדרך.
ליאור אתגר
אני מבין, אבל התקנה לא אומרת והסנקציה מכוונת התנהגות.
ענר רבינוביץ׳
ההפרה יכולה להיות ארגון שלא עלה בידו למסור רשימה מעודכנת על פי דרישת הרשות תוך X ימים, אז הוא מפר.
עמית יוסוב עמיר
אבל התכלית היא לא למסור לרשות, התכלית היא שהוא יחזיק את המידע מעודכן כדי שהוא יידע להתמודד עם סיכוני אבטחה.
שחף קצלניק
אתה צודק, אבל, אדוני, גם התקנות עצמן קובעות חובת עדכון למידע שהוא קצת יותר חשוב מזה, למידע עודף ב-12 חודשים. אז למה חובת המסמך לא יכולה להיקבע לאיזה שהיא תקופה סבירה? זה פשוט לא הגיוני. להגיד שחובת מסמך גוברת על חובת מידע בארגון זה - - -
היו"ר שמחה רוטמן
לא הבנתי, זה לא קשור אחד בשני.
שחף קצלניק
זה קשור מאוד, כי הארגונים נדרשים לעשות חובה אחת ל-12 חודשים כדי לבדוק אם המידע מעודכן או אם המידע עודף, אז לעשות מסמך אני לא יכול לקבוע תקופה מסוימת?
ליאור אתגר
במצב אמיתי מתי תיכנס הרשות לתמונה? אם עכשיו יהיה אירוע אבטחה אז הם יבואו ויבדקו את כל הדברים הרלוונטיים ואז הם יגידו מה, המסמך לא עודכן בשבועיים האחרונים. מה ההיגיון?
היו"ר שמחה רוטמן
לא, הרעיון הוא שמגיע מפקח אליך לעסק ואומר: תראה לי בבקשה את המסמך 'הגדרות אבטחה' או איך שהוא נקרא.
ליאור אתגר
רשימת מצאי.
היו"ר שמחה רוטמן
מבנה מאגר ורשימת מצאי מעודכנת, תראה לי בבקשה את מבנה המאגר ואת רשימת המצאי המעודכנת ואני מסתכל כי אמור להיות כתוב שם תאריך העדכון האחרון של המסמך ושרשימת המצאי זה חלק מהמסמך ואני מגלה שתאריך העדכון האחרון הוא מלפני שנה. האם לפני שנה זה אומר שאתה מעודכן או לא מעודכן? תלוי. אין לזה תשובה. אם לפני שבוע עשית שינוי דרסטי במערכת אז אתה לא מעודכן, גם אם זה שבוע, ואם עדכנת אנטי וירוס, אז אתה לא באמת לא מעודכן. אתה אומר שזה נתון לשיקול דעת, ברור.
ליאור אתגר
אם לא שינית כלום אחרי שנה, לא עשית שום שינוי, אבל זה סביר מאוד והגיוני שאתה תעשה איזה שהוא רביו מסוים על המערכות ואחרי שנה אתה, בצורה הגיונית, גם אם לא שינית כלום, תעדכן את התאריך של המסמך כי בדקת את זה.
היו"ר שמחה רוטמן
למה? אם לא חל שום שינוי? אני לא צריך לעדכן.
ליאור אתגר
אתה צריך לבדוק את זה.
היו"ר שמחה רוטמן
אבל אסור יהיה לי לשנות את המסמך.
ליאור אתגר
אבל הסנקציה מכווינה התנהגות.
ראובן אידלמן
אנחנו מסכימים מאה אחוז עם מה שאדוני אמר.
היו"ר שמחה רוטמן
אני אומר ככה, בסופו של דבר הגדרת העדכון היא בתקנה, האם משהו נחשב מעודכן לצרכי התקנה או לא נחשב לצרכי התקנה, זה בוודאי שונה ממקרה למקרה, זה בוודאי לא פרק זמן. יכול להיות שככל שיהיה יותר שימוש בהנחיות האלה, יכול להיות שכן צריך יהיה לקבוע, גם כדי להרגיל את השוק, שבשנה הראשונה מוציאים רק התראות מנהליות, אני לא יודע, יהיו מנהלי אכיפה של הרשות, לאט לאט יתווסף ויגידו שכשעושים טסט אז זה אם לא עדכנתם. כל הדברים האלה הם בשיקול דעת הרשות להפעלת הסמכות, אבל להגיד שמסמך הוא מעודכן או לא מעודכן, בסופו של דבר בכל מקרה נקודתי, וזה ההבדל בין ניגוד עניינים לבין מה שקורה פה, כי בכל מקרה נקודתי שנעלה פה מאוד מאוד יכול להיות שכל הנוכחים פה יסכימו שזה לא נקרא מעודכן.

לא תהיה מחלוקת בכלל. לא נמצא מחלוקות. תמיד יהיה את מקרי השוליים, אבל ברוב המוחלט, במסה המוחלטת של המקרים לא תהיה מחלוקת מסביב לשולחן הזה או מסביב לאף שולחן אחר להגיד, שמע, אתה החלפת את כל הקונסטרוקציה לפני חודש ולא כתבת מילה על זה במסמך עדכון, המאגר המסמך שלך לא מעודכן, אפילו שזה רק חודש, ולעומת זאת עדכנת אנטי וירוס ולא שמת, זה בסדר. לכולם יהיה ברור שזה נחשב מעודכן וזה נחשב הבסט פרקטיס. זה התעשייה יודעת.

אז יהיו מקרים עמומים, זה נכון, אבל זה לא המסה, לעומת ניגוד עניינים שמעצם טיבו הוא מושג עמום מאוד, בניגוד למעודכן שעל כל ניגוד עניינים אפילו כשזה אז אומרים כן, נכון, אבל ההגדרה עצמה היא מאוד מאוד עמומה. מעודכן זה מעודכן, אנחנו יודעים מה זה אומר מעודכן בעולם המחשבים, אנחנו יודעים מה זה אומר מעודכן בעולם הפרטיות, אנחנו יודעים שבתחומים מסוימים – וזה נכון שזה שונה מתעשייה לתעשייה, וזה נכון שבתעשייה של אבטחת מידע, דאטה ברוקר או מישהו שהוא ברמת סיכון מאוד מאוד גבוהה, אם הוא לא עדכן את המערכת שלו ל- firewallהמעודכן, אם יצאה התראת יום אפס – איך קוראים לזה?
קריאה
.Zero day attack
היו"ר שמחה רוטמן
יצאה על זה התראה לפני יום, אז יש מקרים שבהם אם לא תיקנת אותם אתה רשלן ויש מקרים שבהם אם לא תיקנת אותם, בסדר, חיכית לעדכון השבועי של מערכת ההפעלה, תלוי מה אתה מחזיק במאגר המידע שלך, אבל אני אדע להגיד לך, ואתה כמומחה אבטחה ואתה כעורך דין תוכל לבוא ולהגיד לבן אדם, תשמע, אתה לא עדכנת את המערכת כך וכך זמן, אתה רשלן. למרות שאני לא כותב לך כל כמה זמן צריך לעשות מערכת הפעלה, לא כתבתי את זה, אבל לכולם ברור שמערכת מידע שמחזיקה מאגר מידע מאוד מאוד רגיש, אם היא לא מעדכנת בפרצה שהתפרסמה כבר בכל הרשת שאפשר לגנוב את המידע שלך אז אתה רשלן. בסדר, אני חי בשלום עם הסעיף הזה.
יורם ביטון
יורם ביטון, הביטוח הלאומי, ממונה אבטחת מידע והגנת פרטיות.
היו"ר שמחה רוטמן
להלן החשוד המיידי. בצחוק.
יורם ביטון
עדכניות של firewalls או כאלה דברים לאו דווקא מצביעה או מונעת עניין של דלף מידע. הרבה פעמים אתה יכול להיות up to date אבל אם יש הרשאה לא מתאימה - - -
היו"ר שמחה רוטמן
ברור, הבאתי דוגמה. זו הדוגמה.
יורם ביטון
זה לא אומר שזה העניין, העדכניות.
היו"ר שמחה רוטמן
אני אומר, כאן ספציפית הסעיף הזה עוסק בעדכניות של מבנה מערכת, נכון שאם יש מורשי גישה שעשו זה זו תקלת אבטחה מסוג אחר, אולי נגיע אליה אחר כך, אבל עכשיו אנחנו מדברים על עדכניות של מבנה מערכת ועל זה מדובר ועדכניות היא עדכניות.

אז את (2) השארנו, מבחינת הסכומים תגידו לי אתם, אתם תעשייה, אתם יודעים מה נראה הגיוני, מה לא נראה הגיוני, מה מרתיע, מה לא מרתיע, מה מעודד הפרה יעילה, מה לא מעודד הפרה יעילה. אני חושב שכשמדובר במסמך אז כמעט אין הפרה יעילה, זאת אומרת העלות של עדכון מסמך היא לא תייצר הפרה יעילה בסכומים פה.
יעקב עוז
אדוני כל הזמן מכוון לשטח, אז אני אגיד לך מהשטח, עם קצת לסבך את העניין, תקנה 16 באותן תקנות קובעת שהביקורת הפנימית או החיצונית ליישום התקנות הללו תתקיים כל 24 חודשים. מה יבדקו בביקורת הפנימית מביקורת לביקורת, שהמסמך מעודכן ל-24 חודשים לאחור?
קריאה
לא, ממש לא, זאת לא הכוונה בכלל.
היו"ר שמחה רוטמן
לא הבנתי.
יעקב עוז
הוא קובע שזו אותה נקודת זמן, זאת אומרת שאם אני עושה ביקורת בחלוף 24 חודשים אז אני קובע שזה מעודכן לפי אותה נקודת זמן? ואם אני קובע שלפני שנה מסמך מעודכן זה בסדר, כביקורת?
היו"ר שמחה רוטמן
מה זה קשור?
יעקב עוז
אני אסביר מה זה קשור. מבחינת ביקורת פנימית שמבוצעת גם בעודנו מדברים - - -
היו"ר שמחה רוטמן
אבל זה לאו דווקא פנימית. זה פנימית או חיצונית.
יעקב עוז
ביקורת פנימית או חיצונית לעמידה בתקנות, בין היתר.
היו"ר שמחה רוטמן
אבל כאשר נעשית ביקורת הביקורת תמיד נכונה לזמן הביקורת. אגב לפעמים אפשר גם לבדוק אותה רטרו.
יעקב עוז
מה אני בודק? אם המסמך מעודכן?
היו"ר שמחה רוטמן
גם שהמסמך מעודכן, אבל מעבר לזה הוא יבוא ויגיד שהוא מצפה, אם יש פה מבקרים פנימיים או חיצוניים אז עמם הסליחה, אבל אני מצפה שהוא יגיד: אתה עדכנת את ה- firewallבחודש ינואר, אבל מסמך העדכון קרה רק בחודש אפריל וזה יותר מדי זמן לעדכן מסמך על עדכון firewall לדעתי. אז הוא יוכל לבדוק את זה והוא ייתן לו את הדוח הזה פעם ב-24 חודש, אבל זה לא קשור אחד לשני.
יעקב עוז
אני לא מדבר על מועד הביקורת, אני אומר מה הביקורת נדרשת לבדוק כדי לעמוד בתקנות אלו, זו לשון התקנה.
היו"ר שמחה רוטמן
שבעל המאגר מחזיק מעודכן ואז היא יכולה להגיד לו: ב-24 החודשים האחרונים, מתוכם רק 22 חודשים היית מעודכן, חודשיים לא היית מעודכן. זו דוגמה לביקורת שתבדוק את הדבר הזה.
יעקב עוז
ולכן אנחנו לא קובעים מועד הגדרה לתקנה 5, מועד הגדרה של מבנה המאגר, או מועד התיקוף של הגדרת המאגר, אלא זה הארגון קובע שזה בדיוק מה שמבוצע וזו החלטה של הארגון.
היו"ר שמחה רוטמן
או שהארגון קובע, או שהביקורת שלו קובעת.
יעקב עוז
כשאני אומר הארגון זה הביקורת.
ראובן אידלמן
ליאור הסביר את זה קודם, תלוי בשינויים שנעשו או לא נעשו. בדיוק כפי שהיו"ר הסביר קודם.
היו"ר שמחה רוטמן
אני אומר שוב, אני לא רואה את הסתירה או את הבעיה בין איך שעובדת ביקורת פנימית. במהלך ה-24 חודש האלה או לא במהלך ה-24 חודש יגיע אליהם המפקח של הרשות להגנת הפרטיות ויגיד לו: אדוני היקר, המסמך שלך לא מעודכן, קבל קנס, ותתווכח איתו האם זה לגיטימי או סביר לא לעדכן הגדרות מאגר אחרי שהחלפת את כל המבנה לפני שנתיים. לא יודע, תתווכח איתו על זה. אבל על פניו זה תנאי בסיסי להפעלת סמכות.
יעקב עוז
זה בדיוק מה שיקרה, אני אתווכח איתו על זה.
היו"ר שמחה רוטמן
אני בטוח שאתה תעשה את זה, אבל יכול להיות שהם יהיו צודקים או טועים, אבל אי אפשר לחוקק את השכל הישר.
יעקב עוז
אפשר להתייעץ עם ממונה אבטחה שיש לו אי תלות?
היו"ר שמחה רוטמן
רק בתנאי שאין לו ניגוד עניינים. לסכומים לא נרשמו פה הערות.
נעמה מנחמי
האמת שאולי כן צריך להתעכב על הסכומים, אני חושבת שהרשות רצתה לדבר על הסכומים.
ראובן אידלמן
אני רק אגיד שהגשנו לוועדה סקירה משווה של סכומי הקנסות המקובלים, אני לא יודע אם יש את זה לאדוני, אני יכול לתת לו עותק, של מה שמקובל בשורה ארוכה של מדינות, גם באיחוד האירופי וגם מחוץ לאיחוד האירופי, כולל דוגמאות לגובה קנסות שמוטלים. זה כמובן לא רק אבטחת מידע, אלא גם הוראות מהותיות של פרטיות, אבל רצינו שתהיה לוועדה איזה שהיא תמונה לגבי מה הנורמה המקובלת במדינות שבהן יש חקיקת פרטיות מודרנית, נגיד ככה. אלה המדינות שגם סימנו, כולל מדינות מחוץ לאיחוד האירופי שיש להן חקיקת פרטיות מודרנית, ברזיל, אוסטרליה, שוויץ וכו'.
היו"ר שמחה רוטמן
איפה הקנס של ה-10 מיליון אירו? יש לי את הטבלה, אני שואל איפה פה בטבלה 10 מיליון אירו.
ראובן אידלמן
בהמשך יש דוגמאות מצד שמאל של הקנסות שהוטלו בפועל, בחלק מהמקרים הם יותר גבוהים מ-10 מיליון.
היו"ר שמחה רוטמן
לא, או 2% מהמחזור. אני מסתכל ואני רואה קנסות מאוד מאוד מאוד גבוהים, אני רואה את זה כקנס מקסימלי, בחלק מהמקומות כתוב שזה לפי הגבוה מביניהם, בחלק מהמקומות אני רואה שזה לא לפי הגבוה מביניהם, כלומר אחוזים ממחזור, אבל בכל מקרה אני רואה סכומים משמעותית יותר גבוהים ממה שיש פה בישראל בכמעט כל המקומות, בכל הדוגמאות, אבל אני רואה גם קישור לגובה מחזור.

אצלנו עשינו את זה באמצעות רמת אבטחה, אבל לא בהכרח עסק עם רמת אבטחה גבוהה הוא גדול ולא בהכרח עסק עם רמת אבטחה נמוכה הוא קטן. זאת אומרת יכולה להיות לי חברת ענק שהמאגר שהיא מחזיקה שבו הופרה ההוראה הוא מאגר בעל רמת אבטחה נמוכה, בסיסית, ויכולה להיות חברה קטנה שמחזיקה את המידע הכי סופר רגיש שבעולם שניגשים אליו הרבה מאוד אנשים, אבל זה בן אדם שמריץ את זה מהגראז' שלו.
ראובן אידלמן
בשיטה הישראלית מקובל ככלל לתת ביטוי לשיקולים האלה במסגרת תקנות הפחתה.
סוריא בשארה
תקנות ההפחתה באמת באו לתת ביטוי למצבים שלא ראוי למצות את מלוא חומרת הדין עם המפר ולאפשר סכומים מופחתים בהתחשב בנסיבות מסוימות ובתבנית החקיקה של התקנות יש סעיף שמתייחס למחזור מכירות של המפר. המטרה של הסעיף הזה היא לא להטיל עיצום גבוה מדי.
היו"ר שמחה רוטמן
אבל זה לא נותן מענה לצד השני.
סוריא בשארה
נכון, כלומר ככל שהעסק יותר גדול - - -
היו"ר שמחה רוטמן
משום מה לדיון הזה גוגל לא הגיעו, אבל אני מניח ש-80,000 שקל לגוגל לא ממש מפריע להם.
ראובן אידלמן
חלק מהשיקולים האלה מגולמים גם בהבחנה בין רמת אבטחה בסיסית לבינונית, מה שדיברנו קודם. בגדול עסקים קטנים שיש בהם עד עשרה מורשי גישה ממילא יהיו ברמת אבטחה בסיסית, סכומים מאוד מאוד נמוכים. מי שיש מעל עשרה מורשי גישה ומחזיק סוגי מידע רגיש וזה אז הוא לא ייחשב - - -
היו"ר שמחה רוטמן
שוב, עמותה קטנה שעוסקת באימוץ של ילדים חולי סרטן, יש להם גם אימוץ, גם ילדים וגם מצב רפואי, אני יכול לחשוב על עוד כמה, שסבלו, שהם גם קורבנות עבירה עם רישום פלילי. המידע שלהם סופר סופר רגיש, אם יש להם פחות מעשרה מורשי גישה נניח שהם – אבל זו בדיוק הבעיה, יש להם פחות מעשרה מורשי גישה רשומים, למעשה דלף מאגר המידע שלהם לאינטרנט אז יש להם עכשיו 9 מיליארד מורשי גישה.
ראובן אידלמן
זה מקרה שיכול להצדיק את הפעלת הסמכות שדיברנו עליה קודם, הסמכות שלנו להורות שהחובה תחול - - -
היו"ר שמחה רוטמן
אבל זה רק רטרו. בסופו של דבר הם לא עמדו ברמת אבטחת מידע, אפילו לא הנמוכה ביותר, אבל כל זה נותן מענה לבעיות המינימום, להפחתות. בסופו של דבר אחת מהשאלות ששאלתי על הסכומים זה הפרה יעילה, האם העלות כשאני חברה גדולה שמחזיקה הרבה מאגרי מידע או מחזיקה מאגר מידע מאוד מורכב או כל זה, העלות של לשמור את מאגר המידע מעודכן הופכת להיות יותר ויותר גדולה כי למבנה המערכת אני צריך להושיב שלושה מהנדסים במשך חודשיים שיכתבו לי את מבנה המערכת כי זה לא משהו פשוט ו-80,000 שקל קנס כשאני נתפס זה יאללה בקטנה, זה cost of doing business.
ראובן אידלמן
זה פר הפרה.
היו"ר שמחה רוטמן
פר הפרה, המסמך לא מעודכן.
קריאה
איך אתה סופר את ההפרות?
היו"ר שמחה רוטמן
אתם תטילו הפרה כל יום, כל יומיים, כל שלושה?
ראובן אידלמן
זה מצטבר לכמה הפרות. אם הוא לא עומד בכמה תקנות.
היו"ר שמחה רוטמן
לא, אני מדבר כרגע ספציפית האם אני מביא את צוות שלושה המהנדסים שכל אחד מהם מגיש לי תג מחיר נורא נורא שמן, האם אני מביא אותם פעם בשבוע, כמו שצריך נניח, פעם בחודש או פעם בשנה? אם אני נתפס לא מעודכן, ההבדל בין זה וזה וזה הוא הרבה יותר מ-80,000 שקל. שוב, התעשייה, אני מרגיש שאני אומר את מה שאתם הייתם צריכים לומר, כי אני לא יודע.
קריאה
אמרנו את זה, זה בדיוק מתקשר לעניין.
היו"ר שמחה רוטמן
לא, על הפרה יעילה, אני שאלתי אתכם על הסכומים.
אייל שגיא
אחת, צריך להודות, הסכומים נמוכים. אני אומר את זה בתור עורך דין שעובד בתעשייה.
היו"ר שמחה רוטמן
בתור עורך דין שרוצה שיבואו אליו לערער על גובה הסכום. סתם, אני צוחק.
אייל שגיא
הסכום באופן אבסולוטי בהינתן הפעילות. זה אחת. הדבר השני הוא שחברות גדולות במקרים רבים מפחדות יותר דווקא מהתביעות הייצוגיות ומהשיימינג, מעצם זה שהרשות תפרסם שהייתה בעיה, אבל ספציפית לתהייה של אדוני להפרה יעילה, חברה גדולה לא תחליט את זה כי זה לתעד כוונה להפר עם השלכות, זה לא יקרה. אבל אני מסכים שהסכום נמוך.
היו"ר שמחה רוטמן
השאלה אם לא צריך לרף הגבוה, או לייצר עוד איזה רף, להוסיף רובריקה של עסק גדול ממש עם אחוזים, בדומה לדוגמאות שהבאתם בסקירה המשווה באירופה, עם קנס מקסימלי, קנס מינימלי, לא יודע, השאלה אם זה מתאים לכל סוגי ההפרות, להפרות מסוימות כן, להפרות מסוימות לא, אבל על פניו בטבלה המשווה שאתם מביאים כמעט אין מקום שבו הסכומים הם כל כך נמוכים.
ליאור אתגר
אני מצטרף לחברי אייל שדיבר על הסכומים הנמוכים, בצורה אבסולוטית, אני רק מוסיף לדיון שאולי שווה להשוות לחקיקה אחרת שעוסקת באירועי סייבר, למשל הפרות של המשרד להגנת הסביבה, הפיקוח על הבנקים או הפיקוח על הביטוח. אפשר לראות פחות או יותר את הסכומים שם ולראות אינדיקציה להשוואה.
ראובן אידלמן
אנחנו יכולים להציע איזה שהיא הצעה בכיוון שאדוני אמר.
רחל ארידור הרשקוביץ
בחוק הגנת הצרכן יש סעיף שמאפשר לממונה להטיל עיצום גבוה יותר בנסיבות מחמירות. יש לו שיקול דעת שבנוי לפי מתווה שהוא יכול בנסיבות מסוימות שמצדיקות הטלת עיצום כספי גבוה יותר להטיל אותו. יכול להיות שזה הכיוון שצריך לאמץ גם פה.
ענר רבינוביץ׳
רק רציתי להוסיף לעניין גובה הקנסות לעומת מדינות אחרות, ובמיוחד אירופה, אמנם המקסימום באירופה הוא גבוה משמעותית ממה שמוצע כאן, אבל קנסות רבים מוטלים על אלפי יורו בודדים, תלוי במקרה. רואים במדינות שונות שזו מדיניות האכיפה שם. בספרד ראינו את זה למשל במשך שנים, קנסות של 1,000, 2,000, 3,000 יורו, טפטופים כאלה לעסקים.
היו"ר שמחה רוטמן
לא, ברור שלא לבטל את הרמות הנמוכות, השאלה, שוב, אם גוגל קיבלה אי פעם קנס של 1,000 יורו, או של 10,000 יורו ואמרה, ואללה.
סוריא בשארה
צריך לקחת בחשבון שהסכומים לפי מבנה האכיפה של מודל העיצומים הכספיים הוא סכום פיקס, הדרך להפחית אותו היא רק תקנות ההפחתה. אני לא יודע אם באירופה זה סכום מקסימום ויש לרשויות שם שיקול דעת.
היו"ר שמחה רוטמן
זה מה שרחל הציעה, לייצר מנגנון דומה בנסיבות - - -
רחל ארידור הרשקוביץ
הצענו גם נוסח בהצעה שלנו מ-2019, אפשר לעיין בנוסח שם.
מירה סלומון
ההצעה שיושב ראש הוועדה הציע שמתייחסת להרתעה ביחס לגוף היא הצעה יותר נכונה לדעתנו, כיוון שיש עסק כמו גוגל שהוא ברמת האבטחה הגבוהה ביותר שנדרשת ובאמת כדי להרתיע אותו אולי צריך איזה שהוא סכום יותר משמעותי שהופך את זה למשהו שהוא מרתיע. לעומתו רשות מקומית שיכולה להיות ברמת האבטחה הגבוהה ביותר, לא בגלל שזה העיסוק שלה, לא בגלל שהיא מרוויחה מהמידע, אלא בגלל שמטבע הדברים היא מקבלת את המידעים האלה כדי לתת שירות לתושבים, העיצום הכספי שקבוע כרגע יכול להיות בהחלט מאוד מרתיע כשמדובר בה. לכן ההצעה שיושב ראש הוועדה הציע שמתייחסת לפוטנציאל ההתרעה הוא יותר נכון אולי.
לירון בנדק
אני חושבת הפוך ממה שחושבים פה. ה-80,000 שקל הוא מאוד מרתיע, זה גם יפורסם, תבוא על זה ייצוגית. לבוא להטיל את זה, להגיד כי גוף כזה או אחר, שלא לדבר על רשות מקומית - - -
היו"ר שמחה רוטמן
מה ייצוגית? מי יתבע ייצוגית על מסמך עדכון אבטחת מידע?
קריאה
יתבעו.
לירון בנדק
קודם כל לא דובר רק על זה, דובר על אחוזים.
היו"ר שמחה רוטמן
לכן אמרתי שצריך לחשוב על סעיף סעיף.
לירון בנדק
אבל ייצוגית נגד ביטוח זה דבר ראשון שעושים.
היו"ר שמחה רוטמן
יכול להיות, אבל יש פה סעיפים, שזה נכון, זה גם קשור אולי להתיישנות, קשור לתביעות אזרחיות, קשור לדברים אחרים שנדבר עליהם, אבל ברור שדווקא ההפרות היתומות, אני מתקשה לראות את התובענה הייצוגית על לא החזקת מסמך הגדרות מאגר מעודכן. הכול יכול להיות, שערי בית המשפט לא ננעלו.
לירון בנדק
אבל למה צריך על זה אחוזים מהמחזור? אם לא החזקת מסמך וזה באמת - - -
היו"ר שמחה רוטמן
שוב, כמו שאמרתי, יכול מאוד להיות מצב שהעלות של חברה גדולה שמרוויחה הרבה מאוד מזה, שהיא צריכה להחזיק מבנה מערכת, יום עבודה של מהנדסי המערכת שיכינו לה את המסמך המעודכן, שוב, תגידו לי אתם, אנשי השטח, כמה עולה לעדכן מסמך כזה אחרי תיקון מערכת גדול? אחרי שדרוג מערכת? אני לא יודע, אתם יודעים להגיד לי. כלול במחיר, כמה זה אחוזים, אחת לכמה זמן? לא יודע, כמה העלות של זה?
ענר רבינוביץ׳
הפרה יעילה, אני לא חושב שזה שיקול שינחה ארגונים כמו פשוט שזה לא מרגיש משהו שהאימפקט האמיתי שלו על פרטיות, על אבטחה, מצדיק את ההשקעה, אם אני מתעלם רגע מקנסות. אם הקנסות זו הסיבה היחידה שאני עושה משהו זה דרך מאוד גרועה לרתום ארגונים להגנה על משהו.
לירון בנדק
ו-80,000 שקל זה לא מספיק?
אייל שגיא
אבל יש לזה סליפ סייד, כי אם האכיפה קלה זה משדר שהכלל לא חשוב.
היו"ר שמחה רוטמן
יש לי איזה שהיא תחושת בטן שיש כאן אנשים שהכלל הזה לא מאוד חשוב, המסמך המעודכן. אני לא יודע למה.
ענר רבינוביץ׳
אני יכול לומר את זה במפורש, אני חושב ביחס לחובות אחרות - - -
היו"ר שמחה רוטמן
לא, ודאי שביחס לחובות אחרות, אבל דווקא בגלל שלסעיף הזה מצד אחד, לצורך הבסט פרקטיס ולצורך היכולת של הרשות לעשות את עבודתה הוא סעיף מאוד חשוב, שכשמגיע מפקח, זה כלי הפיקוח המרכזי של הרשות, להבנתי.
ענר רבינוביץ׳
נכון.
שחף קצלניק
אם היא תקבל אותו נגיד אחרי חמישה ימים היא לא תוכל לעשות את העבודה שלה?
היו"ר שמחה רוטמן
לא, כי בחמישה הימים האלה כבר אפשר יהיה למחוק את כל התקלות שקרו לך במאגר.
שחף קצלניק
אנחנו לא מדברים על אם יש לך איזה תופעות - - -
היו"ר שמחה רוטמן
לא יודע, זה חלק מהעניין.
ענר רבינוביץ׳
למשל פיקוחי רוחב שנעשה בהם שימוש לפעמים כהכוונת התנהגות, כדי להזכיר לארגונים - - -
היו"ר שמחה רוטמן
בסדר, פיקוח הרוחב הוא לא בעיה.
ענר רבינוביץ׳
יש לנו בטבלה שלוש מדרגות של גובה עיצומים, אולי באמת נראה אם - - -
היו"ר שמחה רוטמן
בואו נמשיך, נשים את זה בראש. אני כן אומר שדווקא בהפרות שעליהן הסיכוי שיתבעו ייצוגית הוא יותר קטן מכל מיני סיבות, או בהפרות שבהן דווקא כשהקבוצה היא קטנה לא מתאים ייצוגית ודווקא יכול להיות המידע הכי רגיש, שוב, אותה עמותה דמיונית שמאמצת ילדים נפגעי עבירה שיש להם רישום פלילי. אז אין מי שיתבע שם ייצוגית, אבל דווקא שם הם מרוויחים הרבה מהסחר בבני אדם שהם עושים. אז לא יודע.
לירון בנדק
אבל, אדוני, בסופו של דבר אתה רוצה לקבוע אחוז על מחזור החברה?
היו"ר שמחה רוטמן
אני לא רוצה לקבוע כלום. אני מחכה להצעה מהרשות. אני רק אומר שכשאני מסתכל על הסקירה המשווה שהכינה הרשות אני רואה שבהרבה מאוד מקומות קובעים קנס או אחוז מסוים מהמחזור לפי הגבוה. זו הטבלה המשווה שהוגשה לוועדה ואני אומר מה שעובד בגרמניה וצרפת ואיטליה ופורטוגל ועוד ועוד יכול להיות שהוא צריך לעבוד גם בישראל.
ענר רבינוביץ׳
שם זה לא על הפרות כאלה.
היו"ר שמחה רוטמן
אני לא יודע, בשביל זה שלחנו את ראש הרשות לחו"ל שיבדוק ויחזור להגיד לנו.
נעמה מנחמי
רק לטובת הפרוטוקול והכלל, אתה רוצה להרחיב על ההבדל בין – המשפט האחרון שאמרת.
ענר רבינוביץ׳
קודם כל ב-GDPR אין רמת פירוט כזו. יש לנו סעיף אחד שמדבר על דרישות סקריורטי מאוד כלליות, לפי עקרונות ולא ממש פרטי פרטים, וכשרואים את האכיפה בנושאים האלה וכל הקנסות הגבוהים האלה, אני חושב שרובם אם לא כולם בכלל לא קשורים לסוגיות האלה, או של ניהול ניירת, ואני בכוונה אומר את זה בטון הציני הזה, כי אני חושב שמדובר כאן בעיקר בניהול ניירת ולא בניהול של אבטחה או של פרטיות מהותית. הקנסות הם לא על דברים כאלה והם לא על עבירות טכניות שכאלה, אלה קנסות על דברים שהם ברומה של פרטיות, של בסיסי עיבוד, של שקיפות כלפי נושאי מידע, לעתים גם בגין דאטה ברידג', אבל - - -
היו"ר שמחה רוטמן
למה? אני רואה בטבלה שלהם - - -
נעמה מנחמי
כן, אבל זה החריג.
היו"ר שמחה רוטמן
אבל זה החריג האיחוד האירופי. אי עריכת תסקיר השפעה, אי שמירת תיעוד של פעולות עיבוד, אי מינוי ממונה הגנת פרטיות.
ענר רבינוביץ׳
נכון, מינוי DPO זו דרישה מהותית.
היו"ר שמחה רוטמן
לא, אבל שמירת תיעוד של פעולות תיעוד?
ענר רבינוביץ׳
זה ה-ROPA, זה ה-records of processing activities, שזה הרבה יותר מרשימת המצאי מערכות הזו.
היו"ר שמחה רוטמן
למה? אבל גם אירלנד מפנה ל-83.4 ב-GDPR.
ענר רבינוביץ׳
זו הפרת GDPR, פשוט הקנסות או בכלל הליכי האכיפה בנושאים האלה, לא שומעים עליהם או שהקנסות הם זניחים אם בכלל מוטלים כי גם שם יודעים שזה פחות חשוב. הם מסתכלים על הפרטיות המהותית, לא הטכנית. נכון, יש הפרה ואפשר להטיל סנקציה בגין הפרה של דרישה טכנית, אבל זה לא העיקר וזה לא העיקר גם של האוכפים שם. וכאן, בגלל שיש את רמת הפירוט של התקנות ורמת הפירוט פר הפרה/סנקציה, זה יוצר כאן איזה שהוא חוסר פרופורציה מאוד זועק.
היו"ר שמחה רוטמן
אתה אומר שזה בפרקטיקה, כי 83.4 כולל בתוכו גם חובות טכניות. אתה אומר שבפרקטיקה לא מטילים את הקנסות הגבוהים על הדבר הזה.
ראובן אידלמן
הדוגמאות שהבאנו כאן, גם מגרמניה וגם מבריטניה, יש כאן קנסות של מיליונים רבים על אבטחת מידע.
היו"ר שמחה רוטמן
זה לא אומר כלום 'על אבטחת מידע'.
ראובן אידלמן
הדיון הוא דיון יותר כללי, הוא לא בהכרח עכשיו על תקנה 5(א).
היו"ר שמחה רוטמן
נכון, אבל אני כן מבקש, אולי לפעם הבאה, ספציפית האם יש דוגמאות, כי שוב, אני מבין את הרצון של עמידה בתקנה 5, מצד שני אם בפועל בכל העולם על תקנה 5 או שאין קנסות או שיש קנסות אך לא מטילים אותם, אז – כלומר צריך כאן לא רק לא in the books - - -
ראובן אידלמן
זו חובה מאוד ספציפית, אבל ננסה לעשות את הבדיקה הזאת.
היו"ר שמחה רוטמן
בסדר.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(3) מסירת פרטי מאגר ורשימת מצאי לפי צורך: בעל שליטה במאגר מידע מחזיק במאגר כאמור או מנהל מאגר כאמור שלא שמר את המסמך המעודכן של מבנה מאגר המידע או את רשימת המצאי בהתאם להוראות תקנה 5(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;
היו"ר שמחה רוטמן
מי שלא החזיק ולא שמר? לא הבנתי.
נעמה מנחמי
לא, בעל שליטה במאגר מידע או מחזיק במאגר מידע כאמור או מנהל שלא שמר את המסמך המעודכן של מבנה מאגר המידע או את רשימת המצאי בהתאם להוראות תקנה 5(ב), שאומרת שהמסמך המעודכן של מבנה מאגר המידע ורשימת המצאי יישמרו כך שפרטים מהם יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם.
ראובן אידלמן
הרשאות גישה ביחס למסמך הזה שהוא חושף את כל הקרביים של הארגון. זאת התפיסה.
היו"ר שמחה רוטמן
מה אומרים? לא אומרים? אפשר להמשיך?
ליאור אתגר
השאלה אם הסנקציה צריכה להינתן כנגד אי העדכון של המסמך או כנגד האופרציה.
היו"ר שמחה רוטמן
לא, פה זה לא אופרציה ולא עדכון, פה זה לצורך העניין נתתי גישה, העליתי את המסמך הזה לאינטרנט.
נעמה מנחמי
האם לא צריך כי יש שם מידע רגיש? או יש שם מידע שעשוי לחשוף? בוא נניח שמבחינה מהותית אין במסמך הזה משהו שחושף או קשה או בעייתי ועדיף לי אפילו שכל הארגון יידע איך נראה מסמך המאגר.
לינא כמאל טרודי
המסמך הזה כולל גם תרשים רשת. אני מזכירה לכם שבתקנה 5(א) זה כולל תרשים רשת, כלומר מערכות מאגר המידע, למי הן מתחברות, למי הן מתממשקות, איזה מנגנוני הגנה, מי מתחבר.
היו"ר שמחה רוטמן
כלומר זה מסמך רגיש?
לינא כמאל טרודי
מאוד רגיש, חשיפתו יכולה להביא לכל אחד לדעת איפה החולשות ו - - -
היו"ר שמחה רוטמן
איפה המסמך הזה נמצא היום?
לינא כמאל טרודי
היום הוא אמור להיות שמור במקום שמור שרק בעלי הרשאה, בין אם זה צוות הפיתוח הספציפי למקומות מסוימים, CISO מכיר את זה, ממש יודעים שהוא חייב להישמר שרק בעלי הרשאה ומי שצריך את המידע הזה לצורך ביצוע תפקיד ספציפי יכול לדעת את זה. למשל צוות פיתוח לא צריך לדעת את כל תרשים הרשת אלא אם הוא מפתח משהו שיכול להשפיע על כל הרשת, אבל אם הוא רק עושה עכשיו מיגרציה לענן אז הוא כן חייב להבין את הכול, אבל עובד בתוך הארגון לא צריך לדעת את כל תרשים הרשת, הוא גם לא צריך לדעת איזה מערכות הגנה נמצאות ואיזה מערכות התראות נמצאות. הוא לא חייב לדעת את הדברים האלה. זו המטרה, בעצם לא לחשוף מסמך שחושף את כל הרכיבים הרגישים של הארגון, את כל היבטי אבטחת המידע שלו.
ענר רבינוביץ׳
סליחה, אבל זה מוזר לי שאנחנו צריכים שארגון יצטרך להצדיק בפני הרשות או שרשות תבוא ותגיד לו למי היה צריך לתת גישה או למי לא מגיע גישה למסמך כזה.
לינא כמאל טרודי
זה קורה לא מעט.
ענר רבינוביץ׳
זה לא אומר שזה נכון.
לינא כמאל טרודי
כשאנחנו מגיעים לאירועים של אבטחת מידע, כשתרשים הרשת היה חשוף בפני עובד חיצוני שבכלל לא היה צריך לקבל את זה ומשם התחיל כל האירוע. זה קורה וזה לא משהו שהוא תלוש מהמציאות. העובדה שהמסמך הזה כן חשוף בפני מי שאינו יודע להגן עליו, הוא לא צריך להכיר אותו והוא יכול אחר כך דרכו לגרום לאירוע, זה קורה. זה לא תלוש מהמציאות.
שחף קצלניק
אז הקנס פה הוא על ההחלטה אם שיקול הדעת של החברה נכון או לא. זה בעצם הקנס.
לינא כמאל טרודי
על השמירה, עצם העובדה שאתה שומר את הפרטים האלה.
שחף קצלניק
לא, זה על עצם ההחלטה שלי, האם היא נחשפה - - -
היו"ר שמחה רוטמן
יש פה שאלה של ההיקף הנדרש. המונח של ההיקף הנדרש הוא קצת יותר דומה לניגוד עניינים מאשר למעודכן. בינתיים היו לנו שתי דוגמאות למונחים.
ראובן אידלמן
החברה קובעת מה ההיקף. הם בלבד.
ראובן אידלמן
הרשות באה ואומרת שהיא לא הייתה צריכה, אם חברה רוצה לחשוף עכשיו בפני משקיעים.
נעמה מנחמי
לא, זה לא בהיקף שקבעה החברה, זה בהיקף הנדרש, שזה שני דברים שונים.
לינא כמאל טרודי
לצורך ביצוע התפקיד.
שחף קצלניק
אבל החברה צריכה לקבוע את זה. אם החברה קבעה את לא יכולה להגיד אחר כך מה שקבעת הוא לא נכון. החברה קבעה את זה, יש לה מומחה אבטחה משלה, היא תקבע אם זה נכון או לא, אין לך יכולת להטיל סנקציה.
ראובן אידלמן
החברה קובעת מי האנשים והיא צריכה לדאוג שהאנשים האלה בלבד חשופים למסמך, זה הכול.
שחף קצלניק
אין בעיה, אבל זה לא מה שכתוב פה.
ליאור אתגר
ראובן, זה לא מה שכתוב פה. השאלה אם בוחנים את שיקול הדעת, האם נכנסים פנימה לתוך הזה או שיש פה הגנת business judgement rule, זאת השאלה.
היו"ר שמחה רוטמן
בואו נגיד על מה אנחנו מסכימים ומה הבעיה פה. ברור שאם חברה פלונית עשתה בדיקה וקבעה שמורשי הגישה למסמך הזה הם ראובן, שמעון ולוי בתוך החברה והיא לא הקפידה על הכללים למרות שכתוב במסמך בצורה מאוד ברורה שרק ראובן, שמעון ולוי שלחו את זה בזימון לכל בעלי המניות. בסדר גמור, ברור לי שהייתה פה פעולה בניגוד לחובה, ברור לי שהיה פה כשל אבטחה וברור לי שאפשר להטיל עליו קנס, אין סיבה שלא, אבל לא כך מנוסח העיצום. אם החברה קבעה לפי איזה מפרט שהיא קבעה ולא עמדה במה שנקבע על ידה, זו ההפרה. זה לא מה שכתוב. זה המקרה, רק שזה לא מה שכתוב. מה זה תקנה 19(א)?
נעמה מנחמי
19(א) זו התקנה שמחילה את הכול על המחזיק.
היו"ר שמחה רוטמן
בהתאם להוראות שנקבע, על ידי התאגיד או על ידי מנהל המאגר, בהתאם לתקנה 5(ב) לתקנות. כלומר אני , מנהל המאגר או המחזיק, אני קראתי את תקנה 5(ב) לתקנות, החלטתי שזה אומר בארגון שלי ראובן, שמעון ולוי ובכל זאת למרות שעשיתי את זה וכתבתי במפורש שהמסמך הזה יישמר בסוד ורק ראובן, שמעון ולוי נתתי אותו גם ליהודה, יששכר וזבולון. בסדר גמור, זה לגיטימי, לזה כולם מסכימים שמגיע קנס, אבל לא שאתה תעשה בחינה של שיקול הדעת העסקי שלי או הניהולי שלי למה נתת ללוי, לוי הוא בכלל ה-DPO או ה-CISO או ה-POC, אני לא יודע, הוא משהו.
ראובן אידלמן
אפשר להכניס את החידוד הזה מבחינתנו. אין התנגדות.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(4) הגנת מערכות: בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר שלא הבטיח כי המערכות המפורטות בתקנה 5(א)(1) לתקנות יישמרו במקום מוגן בהתאם להוראות תקנה 6(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;
היו"ר שמחה רוטמן
זה לכאורה אותו דבר.
ראובן אידלמן
זו חובת אבטחה פיזית.
היו"ר שמחה רוטמן
אבל גם האבטחה הפיזית, לצורך העניין ההחלטה האם אני שם שם שני מנעולים, מחסום ביומטרי או קורא טביעות אצבע ורשתית וקוד שהוא תאריך הלידה של הילדים שלי, זה החלטה ניהולית. שוב, זה הוראות לפי, כלומר החלטתי שהסרבר צריך לשבת מאחורי שני מנעולים ושמתי אותו רק מאחורי מנעול אחד.
ראובן אידלמן
יש כאן רכיב אובייקטיבי קצת יותר, כי כתוב מקום מוגן שמונע חדירה וכניסה אליו בלא הרשאה, זה עניין אובייקטיבי. בתוך הדבר הזה, נכון, בעל המאגר קובע איך הוא מייצר את הסיטואציה.
היו"ר שמחה רוטמן
הבעיה שלי זה 'והתואם את אופי פעילות המאגר'. השאלה היא איך עושים את זה כי 'התואם' זה האלמנט שעליו צריך להיות הוראות לפי וה'מוגן' המונע כניסה ללא הרשאה, אני מסכים איתך, זה שחור לבן, או שאפשר או שאי אפשר. זה אותו סוג תיקון.
נעמה מנחמי
רק תשומת הלב שכאן זה תקנה שחלה גם על יחיד.
היו"ר שמחה רוטמן
על מאגר יחיד?
ראובן אידלמן
זה אבטחה פיזית על כל מי שמחזיק במידע אישי.
נעמה מנחמי
אני לא מתנגדת, אני רק מציינת את זה שהצטרף אלינו עכשיו בטבלה גם היחיד.
ראובן אידלמן
סעיף (5).
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(5) בקרה ותיעוד כניסה לאתרים: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא נקט אמצעים לבקרה ולתיעוד בהתאם להוראות תקנה 6(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;









כן צריך להדגיש שזה יכול להיות גם על ארבעה עובדים.
היו"ר שמחה רוטמן
אבל את הקנס הם מחילים רק על הבינונית וגבוהה.
היו"ר שמחה רוטמן
כן, אבל, שוב, אם יש לי ארבעה עובדים בעסק אני עדיין צריכה לתעד כל פעם שהם נכנסים ויוצאים. זו המשמעות.
היו"ר שמחה רוטמן
אם את מחזיקה מאגר מידע עם אבטחה שכזו.
ליאור אתגר
יש הרבה מקרים שבהם אין בכלל משמעות לאבטחה פיזית כי המערכות יושבות בענן ואין שום דבר בתוך המשרד, הבן אדם מגיע עם הלפטופ. אין לזה הרבה משמעות, זו תקנה שהרבה פעמים אנחנו פוגשים אותה בסקרי קומפליינס שחברות מסתכלות ואומרות: מה אתם רוצים מאיתנו? אז רק צריך לקחת את זה בחשבון.
היו"ר שמחה רוטמן
חברות שלא מחזיקות את החומרה בעצמן.
ליאור אתגר
נכון, יש לא מעט כאלה.
היו"ר שמחה רוטמן
אין בעיה, אז החובות חלות על המחזיק, הכול בסדר. אז החובה הזאת היא על חוות השרתים ובחוות השרתים באמת עושים רישום מי נכנס ומי יוצא, אני מקווה.
ליאור אתגר
אבל הם לא יעשו רישום כנראה מי נכנס ויוצא ברמה גבוהה כמו שדורשים פה, באותם מקרים.
היו"ר שמחה רוטמן
בחוות שרתים לא עושים?
ליאור אתגר
לא בחוות השרתים, באותה חברה שאתה בא רק עם לפטופ, לא בטוח שיידרש.
היו"ר שמחה רוטמן
אבל פה מדובר על פיזי, אז זה בכלל לא חל עליהם.
ראובן אידלמן
גם החובה הזאת לא חלה על מי שברמת אבטחה בסיסית, אני מזכיר.
היו"ר שמחה רוטמן
לא משנה כרגע, אני מדבר גם בבינונית. מי שלא מחזיק את הפיזי החובה בתקנה לא חלה עליו, הוא לא צריך ניהול רישום על הפיזי כשהוא לא מחזיק את הפיזי.
ענר רבינוביץ׳
אני מזכיר שמאגר מידע זה קונספט, זה לא משהו פיזי.
היו"ר שמחה רוטמן
אבל התקנה היא פיזית.
ענר רבינוביץ׳
נכון, אבל אז מאגר המידע שיושב בלפטופ שלי ואני עובד מהבית אז אני עכשיו צריך לנהל לוג כניסה ויציאה מהבית?
ליאור אתגר
היושב ראש אומר שזה לא פיזי ואתה מנתח את זה תכליתית ואנחנו מסכימים, פשוט הנוסח לא אומר מה שאתה אומר. אתה נותן פרשנות תכליתית למה שבעצם אנחנו צריכים להבין.
היו"ר שמחה רוטמן
לא להעליב, אני דיברתי אליך יפה דווקא. אם אני מחזיק מאגר מידע על הלפטופ שלי אז לכאורה אני צריך להחזיק אותו נעול ולרשום מי נכנס אליי הביתה?
ראובן אידלמן
התקנה הזאת מפנה לתקנה 5(א)(1) שמדברת על המיפוי של מערכות המאגר. יש כאן שורה של דברים שנכנסים לתוך המיפוי, דיברנו קודם על סעיף המיפוי והיא מפנה לאתר שבו נמצאים כל אותם דברים שהם במיפוי.
היו"ר שמחה רוטמן
אז כל מערכת החומרה שלי, אני קיבלתי לעצמי מאגר, כל כולו יושב על מחשב אחד, לא לשימוש אישי. להיפך, זו האבטחה הכי טובה, הוא לא מחובר לכלום, הוא מחשב נייד אחד.
ראובן אידלמן
אבל החובה כאן, מי שיש לו פחות מעשרה מורשי גישה החובה הזאת לא חלה עליו, זה לא חל על מי שברמת אבטחה בסיסית, אני כל הזמן מזכיר, זה רק בינונית או גבוהה. זה לא חל על עסק קטן, זה לא חל על אדם יחיד.
היו"ר שמחה רוטמן
הקנס לא חל, ההוראה חלה.
ראובן אידלמן
לא, גם ההוראה לא חלה. בתקנה 6(ב) כתוב, חלה רק על בינונית או גבוהה, זה לא חל על אדם בודד שיש לו עסק לבד עם עצמו. אם יש לך פחות מעשרה מורשי גישה החובה הזאת לא חלה.
היו"ר שמחה רוטמן
אבל יכול להיות לי מורשי גישה מרחוק למחשב.
ליאור אתגר
נכון, 100 מורשי גישה והכול בענן.
היו"ר שמחה רוטמן
לא, בענן אין לך בעיה כי הפיזי לא אצלך.
נעמה מנחמי
אבל אם המידע שם מידע על משכורות זו רגישות מיוחדת.
ראובן אידלמן
לא משנה, פחות מעשרה מורשי גישה אנחנו ברמת אבטחה בסיסית. זה לא קשור לסוג מידע.
ענר רבינוביץ׳
אבל בהרבה ארגונים קטנים יש יותר מעשרה.
היו"ר שמחה רוטמן
אני אגיד לך שוב, אנחנו יכול להיות בעולם של גישה מרחוק. המידע הפיזי מוחזק על מחשב נייד או משרדי אחד, מוחזק שם. אפשר לגשת ולהתחבר אליו מרחוק באמצעות כל מיני מקומות.
שחף קצלניק
כולנו עושים את זה כל יום, אנחנו מתחברים למערכת שלנו כל יום, כל מי שיושב פה ממשרדי עורכי דין, כולנו יושבים פה - - -
היו"ר שמחה רוטמן
אבל המחשב הפיזי יושב במקום מאובטח.
שחף קצלניק
אבל המידע לא במחשב הפיזי, המידע הוא בשרת של המשרד.
היו"ר שמחה רוטמן
אתה יכול להגיד שהתקנה היא ארכאית, אבל התקנה לא מדברת על הענן, התקנה מדברת על מחשב פיזי, על תשתית פיזית.
שחף קצלניק
המאגר פה, הנה הוא.
ענר רבינוביץ׳
יש בו לפחות עותק זמני אם לא קבוע על המחשב.
היו"ר שמחה רוטמן
אתה לא תשתית במערכת חומרה, סוגי רכיבי תקשורת ואבטחת מידע. אתה תוכנה וממשק המשמש לתקשורת אל המערכת, הלפטופ שלך הוא (3), הוא לא (1).
קריאה
אבל הוא עדיין בפנים, כן?
היו"ר שמחה רוטמן
לא, (3) לא. רשימת המצאי, 5(א)(1) זה תשתיות מערכות חומרה, רכיבי תקשורת ואבטחת מידע. המחשב שלך הוא (3), הוא לא (1).
ענר רבינוביץ׳
והראוטר שלי?
היו"ר שמחה רוטמן
אל תתחיל. הראוטר שלך אמור להיות גם מאובטח.
ענר רבינוביץ׳
נכון, אבל אני עכשיו מנהל רשימות של הראוטרים שאצל העובדים שלי בבית?
היו"ר שמחה רוטמן
לא, הראוטר של העובדים שלך בבית הוא (3), הראוטר שלך הוא (1).
ענר רבינוביץ׳
למה? מה ההבדל?
היו"ר שמחה רוטמן
כי זה לא תוכנות ממשק המממשות לתקשורת אל מערכות המאגר ומהן.
ענר רבינוביץ׳
הראוטר הזה משמש –
היו"ר שמחה רוטמן
לגישה, אבל הוא לא (1), הוא לא תשתית מערכת חומרה, רכיבי תקשורת ואבטחת מידע של המערכת. אתה עיוור אליו, הוא לא מעניין אותך בדרך כלל, אלא אם כן שמת עליו מיוחד.
שחף קצלניק
הדיון הזה שאנחנו עושים פה עכשיו זה הדיון שכולם אחר כך עושים אותו עם הלקוחות, זה אותו דיון בדיוק.
ליאור אתגר
הבעיה אגב עם לשון התקנה, לא עם הסנקציה. צריך לציין את זה, אולי יואילו ברשות לפרש לנו את התקנה.
ראובן אידלמן
אם יש שאלה ספציפית לגבי התקנה אז אפשר לפנות לרשות. אין מחלוקת על החובה.
היו"ר שמחה רוטמן
הנה, יש מחלוקת, איפה מתחילה ונגמרת מערכת, מה הופך גרגר לערמה, איפה מתחילה ונגמרת תשתית פיזית. האם הלפטופ של שחף הוא חלק מתשתית ומערכת החומרה ולכן צריך לאבטח אותו, כי יש לו שם בפנים גישה למאגר המידע שנמצא במשרד-האם שלו או לא, האם הוא חלק מרכיבי התקשורת או לא, ואם כן הוא צריך להיות מאובטח. אם הוא לא מאובטח אפשר לחטוף קנס. בוודאי שלצורך העניין ברור לנו שכשיש לנו מערכות מאוד רגישות אז כן, אז אתה רואה שהם לא משאירים את הלפטופ בשום מקום והוא נעול, כמו שמגיעים אלינו כל מיני יחידות מסווגות והם מביאים פה לפטופ מאובטח.
לינא כמאל טרודי
אבל השאלה, הלפטופ הזה בעצם משמש להפעלת המאגר, זה משהו שצריך להיות קשור למאגר המידע.
היו"ר שמחה רוטמן
בזמן שהוא logged in הוא חלק מהמאגר, בזמן שהוא logged out הוא לא. אני לא יודע. שוב, הם טוענים שהבעיה היא בהגדרת התקנה והם צודקים. התקנה עצמה היא בעייתית, עכשיו השאלה היא בעולם המעשי איך היא תופעל. אני מוכן להניח, שוב, גם פה הפרשנות תהיה הגיונית, אני רק אומר שאם אנחנו מדברים על לתת סנקציות בצד תקנה שמראש כתובה בצורה לא מאוד בהירה ולא מאוד מותאמת לעולם המודרני זו בעיה. השאלה איפה ומתחיל ונגמר הפיזי, אני לא יודע. ואם זה מאגר מידע שכדי להתחבר אליו צריך לחבר דיסק און קי פיזי לתוך המערכת, שזה חלק מהאבטחה שלו, התקן פיזי? ההתקן הפיזי הזה הוא חלק מרכיבי התקשורת ואבטחת המידע שצריך להיות מאובטח מאחורי מנעול או לא? לא יודע. זה משהו פיזי מצד אחד שאם אתה לא מחבר ל-USB שלך אז אתה לא יכול להתחבר ואתה לא חלק מהמאגר, או כן חלק מהמאגר?
ליאור אתגר
אגב, מבחינת השוק הרבה פעמים קורה שאנחנו מפרשים את התקנה הזאת, בעדינות אמנם, אבל היישום הוא יותר הגיוני בחברות שבהן השרתים יושבים בתוך הארגון, לא רק חברות של שרתי אירוח. יש חברות כאלה, בדרך כלל יותר גדולות, גם בתעשיות יותר מסורתיות, שיש להם חדרי שרתים פיזיים ושם הכול יושב ושם באמת זה מאוד מאוד הגיוני שתהיה בקרת כניסה וגם יש שירות כזה שהכניסה נפתחת ואתה מקבל אפילו הודעת SMS ברמה של הדלת של החדר, אבל זה לא מתאים לכל חברה שאנשים פשוט מגיעים עם הלפטופ שלהם, זה פשוט לא מתאים.
לינא כמאל טרודי
אבל הכוונה של התקנה, אני חייבת להדגיש, שימו לב גם לסיפה של סעיף 6(ב) לתקנות, היא מתייחסת לנושא של גישה פיזית לאותן מערכות מידע, הכוונה היא לגשת לאותו מקום שאתה שומר את כל מערכות המאגר שלך, בין אם זה מאגר פיזי ובין אם זה שרת. אנחנו רוצים להגן על הכניסה והיציאה, למנוע את האפשרות שמישהו יגנוב את הדברים, להוציא אותם בלי הרשאה. שימו לב שהכוונה היא לאפשרות היציאה והכניסה של אותו ציוד.
היו"ר שמחה רוטמן
לא הבנתי, למה אני שומר להם על הציוד? מה אכפת לי? בן אדם רוקן את כל מאגר המידע, מה אכפת לי הציוד? זה אבטחת מחשבים?
לינא כמאל טרודי
הרבה פעמים מהגישה הפיזית, מהעובדה שאני יכולה לגשת לשרת עצמו פיזית אני - - -
היו"ר שמחה רוטמן
ברור שיכולת גישה פיזית למחשב היא כשל אבטחתי.
ראובן אידלמן
זאת התקנה הזאת. יש תקנות אחרות שעוסקות במה שאדוני אמר עכשיו, של מרחוק, נגיע לאמצעים מקובלים להגנה, יש כאן עוד הרבה תקנות. התקנה הזאת עוסקת בהיבט הגישה הפיזית, היא לא חלה על מי שיש לו פחות מעשרה מורשי גישה. ההנחה שלנו שהיא לא חלה על עסקים קטנים.
היו"ר שמחה רוטמן
אני יכול לחיות איתה. אני מבין את חוסר הבהירות שמדברים עליו, אבל בסדר, אני מניח שהזמן יעשה את שלו.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(6) ניהול כוח אדם: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור שנתן גישה למידע המצוי במאגר או ששינה את היקף ההרשאה שניתנה בלי שנקט אף/שום אמצעי סביר כאמור בתקנה 7(א) לתקנות, בניגוד להוראות אותה תקנה או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;








רצינו להבהיר שלא צריך לנקוט את כל אמצעי ה - - -
היו"ר שמחה רוטמן
התקנה אומרת כך, 'אלא אם כן נקט אמצעים סבירים המקובלים בהליכי מיון עובדים ושיבוצם כדי לברר שאין חשש כי בעל ההרשאה איננו מתאים לקבלת גישה למידע המצוי במאגר'.
ראובן אידלמן
כאן עשינו שינוי מסוים ביחס ללשון התקנה כדי שזה יותר יתאים לנושא של עיצום כספי. כתבנו, 'בלי שנקט שום אמצעי', זאת אומרת כדי לא להיכנס לשאלה מה הם אמצעים סבירים או לא, העיצום יוטל רק על מי שלא נקט שום אמצעי סביר.
היו"ר שמחה רוטמן
שהוא קיבל עובד בלי לראיין אותו?
ראובן אידלמן
כן, למשל. זאת הכוונה. יש עוד כמה מקומות שעשינו את השינוי הזה.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(7) הדרכת כוח אדם: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור שנתן לבעלי הרשאות גישה למידע ממאגר המידע או ששינה (שינוי מהותי) את היקף הרשאותיהם בלא שקיים הדרכות או בלא שמסר להם מידע בניגוד להוראות תקנה 7(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;








עם 'שינוי מהותי', בלי 'שינוי מהותי'? יש הערות לזה?
קריאה
התקנה קצת מוזרה, כלומר לעשות הדרכות על הוראות חוק לעובדים, קצת מנותק מהמציאות, אבל הדרכות אבטחה זה חשוב, הדרכות חקיקה פחות.
ראובן אידלמן
החובה הכי בסיסית שיש, חובת הדרכה על אבטחת מידע - - -
היו"ר שמחה רוטמן
לא, אבטחת מידע כן, אבל החוק והתקנות זה משהו אחר.
ליאור אתגר
אני בעד שינוי מהותי, אני חושב שזה תוספת טובה.
היו"ר שמחה רוטמן
איך תגדיר מה זה שינוי מהותי ומה זה לא שינוי מהותי?
ליאור אתגר
זה יותר קל מכל שינוי.
נעמה מנחמי
זה עדיף מכל שינוי, כרגע זה כל שינוי.
היו"ר שמחה רוטמן
טוב, אפשר. בסדר, מקבל. אני פשוט רואה כפילות, הרשאות בנושא החובות לפי החוק ותקנות אלה וימסור להם מידע על אודות חובותיהם לפי החוק ונוהל האבטחה. לא לפי התקנות? הניסוח של הלשון בתקנה מאוד משונה. אפשר להגיד על חובותיהם לפי החוק והתקנות, מנהל אבטחת המידע.
ראובן אידלמן
לפי החוק כולל גם את התקנות.
היו"ר שמחה רוטמן
יש פה שני חלקים, החלק הראשון חוק ותקנות, החלק השני אומר חוק בלי תקנות. יש פה כפילות, אני מספר להם מה אומר החוק והתקנות, גם אם זה לא רלוונטי אליהם אני אומר להם: דעו לכם שחוק הגנת הפרטיות אומר ששימוש בתמונה של מישהו כשהמאגר הוא בכלל מידע גנטי. לא יודע. אני יודע איך זה ייאכף בפועל, אני רק אומר שאם אתם כבר מביאים תקנות, כי אתם אמרתם שתביאו תקנות כדי ש – אז עריכה לשונית. זה מאוד משונה.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(8) הדרכה תקופתית: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור, שלא קיים פעילות הדרכה תקופתית לבעלי ההרשאות שלו בהתאם להוראות תקנה 7(ג) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;










תקנה 8(ג) קובעת חובת הדרכה תקופתית לפחות פעם בשנתיים. הערות? אין.

טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(9) תיעוד: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור, שלא שמר שנה לפחות את הנתונים הנצברים במסגרת יישום הוראות תקנות 6(ב), 8 עד 11, 14, 15(א)(4) ו-16 לתקנות, החלות עליו, בהתאם להוראות תקנה 17(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;
ראובן אידלמן
כאן צמצמנו לעומת החובה בתקנה. החובה המהותית בתקנה היא שמירה ל-24 חודשים, אנחנו במסגרת שיח עם הייעוץ המשפטי של הוועדה קבענו שנה, שהעיצום הכספי יהיה למי שלא שמר שנה, חצי מפרק הזמן שקבוע בתקנות.
נעמה מנחמי
הערות? לא.

טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(10) גיבוי נתוני התיעוד: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור, שלא גיבה את הנתונים שנשמרו כאמור בתקנה 17(א) לתקנות בהתאם להוראות תקנה 17(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;
היו"ר שמחה רוטמן
מה ההבדל בין לשמור לבין לגבות? כלומר אם לא גיביתי?
קריאה
לא, גיבוי זה שני עותקים לפחות.
היו"ר שמחה רוטמן
איפה גיביתי? או שיש לי את זה שנתיים אחורה או שנה, מצוין, אם אין לי, בין אם זה בגלל שלא גיביתי, מה אכפת לי? בסופו של דבר יש או אין. למה לייצר פה שני עיצומים? בסופו של דבר באתי לבן אדם ואמרתי לו: איפה הנתונים האלה? הוא אומר לי: אין לי. אני יכול לבוא אליו: למה לא גיבית? אבל אם יש לך, מה אכפת לי בגלל שגיבית או שלא גיבית, יש לך או אין לך?
נעמה גורני לר
הגיבוי נועד למקרה ש - - -
היו"ר שמחה רוטמן
אני יודע למה נועד גיבוי, השאלה היא למה יש קנס על גיבוי.
נעמה גורני לר
זה הצורך שיהיו שני עותקים, זה יהיה צורך גם של שמירה וגם של גיבוי למקרה שבו נצטרך להשתמש בגיבוי כי אין לנו יכולת לחזור למקורי, למה שאנחנו משתמשים בו ביום יום.
היו"ר שמחה רוטמן
אני יודע מה זה גיבוי, זו לא השאלה. אני יודע גם מה מטרת הגיבוי, אבל עכשיו לא השאלה היא האם אני עושה גיבוי או לא עושה גיבוי, עם עותק אחד או עם עשרה עותקים, בסופו של דבר ביום הישמע הגונג ודפיקת הדלת של מפקח הרשות להגנת הפרטיות אצלי בבית, או שיש לי את הנתונים או שאין לי את הנתונים. אם אין לי את הנתונים כי לא שמרתי אותם, תן לי קנס, אם אין לי את הנתונים כי שמרתי אותם אבל לא עשיתי גיבוי והם נמחקו, תן לי את הקנס. אם שמרתי אותם ואני נותן לך את הנתונים אבל לא עשיתי גיבוי, למה שתיתן לי על זה קנס?

בסופו של דבר הגיבוי הוא כלי שלי לוודא שביום שאתם צריכים את זה ממני יהיה לכם את זה ממני, או ביום שיקרה לי משהו יהיה לי אותם. הרי יכולה להיות סיטואציה שעשיתי גיבוי וגם הגיבוי נפל. זה גם קורה לפעמים, שהמקור נפל והגיבוי נפל, זה יכול לקרות, או שקרתה תקלה מאוד גדולה וגיבו את התקלה, זה גם קורה. אבל השאלה בסופו של דבר, כשאתה בא ומבקר, האם יש או אין. תטיל קנס, אין לך את המקור? בוא נניח שאין לי את המקור כי נמחק לי אבל יש לי את הגיבוי, אז יש לי. כאילו יש לי או אין לי? באת אליי אמרת לי: איפה המסמך? אני אומר אין מסמך, למה אין מסמך? נמחק, איפה הגיבוי? יש גיבוי, הנה הגיבוי, אז אתה נותן לי קנס לפי תקנה (א)?
ראובן אידלמן
זה דווקא די בינארי, או שיש גיבוי או שאין גיבוי.
היו"ר שמחה רוטמן
לא, אבל אין לי את המסמך.
נעמה מנחמי
השאלה היא במובן מסוים מה היחס בין שתי התקנות, האם אפשר לתת על שני הפרטים במקביל? האם אפשר לתת על היעדר – כאילו האם אפשר לתת גם על זה שלא שמרתי וגם על זה שלא גיביתי?
היו"ר שמחה רוטמן
בסופו של דבר יש או אין. אם אין זה בגלל שלא שמרתי ולא גיביתי, אם יש זה בגלל שאו ששמרתי ואז לא צריך גיבוי, או ששמרתי וגיביתי. יכול להיות שאני לא מנהל גיבויים כמו שצריך, אבל – אני פשוט אומר, לא ניהלתי גיבוי כמו שצריך, אבל יש לי, אז מה אתה רוצה?
יורם ביטון
מה שחשוב זה יכולת השחזור, לא קיום הגיבוי.
היו"ר שמחה רוטמן
אני יודע למה לעשות גיבוי, אני אעשה גיבוי כדי לא לחטוף את הקנס כי אם יימחק לי לא יהיה לי, אבל יש לי. בשורה התחתונה יש לי.
ראובן אידלמן
אלה שתי חובות שונות.
היו"ר שמחה רוטמן
אני יודע שאלה שתי חובות שונות, אבל במועד האכיפה?
ראובן אידלמן
אם השאלה היא אם אפשר יהיה להטיל עיצום על כל אחת מהן בנפרד אז התשובה היא כן, זה שתי חובות שונות שבצידה של כל אחת מהן יש עיצום נפרד. זה ההסדר המוצע.
לינא כמאל טרודי
אני רוצה להסביר את ההבדל. כשאתה שומר באופן השוטף שלך אתה מנהל סיכון מסוים, לכן יש חובות שאתה צריך לאבטח את המערכות השוטפות שלך ולכן יש את כל החובות הכלליות של שמירה של המערכות התפעוליות השוטפות. הגיבוי הוא צד אחר לאבטחת המידע והוא צריך נדבך נוסף של אבטחה ושל חובות. העובדה שאתה עכשיו שומר את התיעודים שלך באופן שוטף, יש לזה סיכון כמו כל מערכות המאגר הנוספות, כשאתה שומר את זה בגיבוי אתה יודע שאתה יכול לשחזר אותם ואז אתה עושה את הגיבוי הקר, מה שנקרא בשפה המקצועית, אז זו חובת אבטחה אחרת.
היו"ר שמחה רוטמן
אני יודע שזו חובת אבטחה אחרת, אבל בסופו של דבר אם גיביתי ואז אין לי אבל יש לי את הגיבוי, זה נחשב שיש לי?
לינא כמאל טרודי
השאלה אם אתה יכול לשחזר את הגיבוי, זו גם עוד שאלה.
היו"ר שמחה רוטמן
ואם אני לא יכול לשחזר את הגיבוי?
לינא כמאל טרודי
אז אין לך את הגיבוי.
היו"ר שמחה רוטמן
אז אין לי, לכן מה משמעות הגיבוי?
לינא כמאל טרודי
לכן ההוראה קובעת נוהל שצריך לקבוע גם את הגיבוי וגם את השחזור שלו.
היו"ר שמחה רוטמן
הנוהל מצוין, השאלה שאם מבחינתי ביום דפוק הדלת והטלת העיצום, האם השאלה שאתם תבדקו היא האם ביום שדפקתי אצלך היה לך או אצלך או עם אפשרות לשחזר, אם היה לך, מצוין, לא היה לך, בגלל א', ב', לא אכפת לי איפה הייתה נקודת הכשל, אבל אין לך בסוף, אז אין לך. השאלה אם גיבית או לא גיבית היא שאלה יפה אבל - - -
עמית יוסוב עמיר
אבל הגיבוי הוא לא לצורך הביקורת. לפי 17(א) צריכים להיות לי הנתונים, יש לי את הנתונים, עוברים לתקנה - - -
היו"ר שמחה רוטמן
האם יש לך גיבוי, לא גיביתי.
עמית יוסוב עמיר
לא גיבית, אז אתה חשוף. אם לא גיבית לפי 17(ב) למקרה שהמערכות שלך הותקפו, נמחקו לך המסמכים שאתה צריך אותם, לא בשביל הרשות, בשביל להתגונן מפני התקיפה ולהכיל אותה ולצמצם את הפגיעה, אז עכשיו אין לך אותם כי לא גיבית. אז שמרת אותם איפה שהוא, הם נמחקו עכשיו במסגרת התקיפה ועכשיו אתה עומד מול שוקת שבורה ולא יכול לצמצם את הפגיעה.
שחף קצלניק
אבל אם אנחנו מתחילים בהסברים תיאורטיים שיכולים לקרות אז גם יכול להיות שיש תקלה בגיבוי ואי אפשר להגיע אליו ויכול להיות אלף ואחד דברים, אבל בסוף - - -
עמית יוסוב עמיר
בסדר, אבל זאת התכלית של 17(ב).
שחף קצלניק
בסדר, אבל התכלית האמיתית היא להתחקות אחרי הנתונים, זאת התכלית של הסעיף הזה. אז אם יש את העותק אז יש אותו.
עמית יוסוב עמיר
לא, אבל עוד לא תקפו אותך.
היו"ר שמחה רוטמן
אבל נניח שלא שמרתי כמו שצריך, בגלל זה גם לא גיביתי, אני אקבל שני קנסות?
עמית יוסוב עמיר
זו שאלה אחרת.
היו"ר שמחה רוטמן
אז תענו לשאלה האחרת.
לינא כמאל טרודי
זה שתי חובות שונות.
היו"ר שמחה רוטמן
הבנתי, שתי חובות שונות, אני לא יכול לקיים את חובת הגיבוי אם לא עשיתי את החובה הראשונה, היא תלויה אחת בשנייה, האם אני אקבל שני קנסות?
נעמה מנחמי
אפשר לפתור את הבעיה הזאת אולי על ידי זה שנאחד אותן לפרט אחד, כלומר תיעוד וגיבוי, ואז יש - - -
היו"ר שמחה רוטמן
הפרת הוראה של סעיף 17, ואז זה קנס אחד, לא שני קנסות.
ראובן אידלמן
אפשר מבחינתנו לקבוע שאם לא שמרת העיצום יהיה על זה שלא שמרת ולא על אי הגיבוי. מבחינתנו זה בסדר.
עמית יוסוב עמיר
רק אני אגיד שיש פה עניין, יש פה שתי רמות, בכל זאת אני חושב שכן ראוי שיהיה פה מדרג, כי יש פה שתי חובות עם שתי תכליות שונות, נגיד ששמרתי חצי, אבל עדיין יש חשיבות גם לגיבוי. ברגע שהופכים את זה להפרה אחת עם עיצום אחד אז לא מבחינים בין מי שעשה לפחות חצי עבודה ומי שלא עשה בכלל עבודה.
היו"ר שמחה רוטמן
יכול להיות, אבל מהצד השני אני לא רוצה סיטואציה שמי שלא עשה בכלל עבודה יקבל גם שהוא לא שמר וגם שהוא לא גיבה את מה שהוא לא עשה. לא היה לי מה לגבות, ניסיתי, לא עבד. אין מה לגבות.
עמית יוסוב עמיר
אם הוא בכלל לא שמר - - -
היו"ר שמחה רוטמן
אז אתה תעניש אותו על זה שהוא לא גיבה את מה שהוא לא שמר? אז אין מה לגבות. אני יכול לראות סיטואציה ששמרתי אבל לא גיביתי וזה מטיל קנס, זה מוצדק, אבל אם לא שמרתי אין לי מה לגבות, מה אתה רוצה? אתה תיתן לי שני קנסות, אחד שלא שמרתי ואחד שלא גיביתי את מה שלא שמרתי?
עמית יוסוב עמיר
בסופו של דבר אפשר היה לטפל בזה בגובה העיצום.
היו"ר שמחה רוטמן
לא, אני חושב שההצעה של נעמה נכונה פה, לכתוב את שניהם באותו אחד והרעיון הוא שאין double jeopardy בהקשר הזה. אם בן אדם שמר ולא גיבה תוכלו להטיל עליו, אין בעיה. אין מצב שמישהו גיבה ולא שמר, אני מניח, אז מי ששמר ולא גיבה יהיה לכם קנס, מישהו שלא שמר יהיה קנס, וממילא מאחר שמי שלא שמר ממילא גם לא גיבה אז זה יהיה אותו קנס, לא יהיה פעמיים.
עמית יוסוב עמיר
לא יודע, צריך פה איזה שהיא דיפרנציאציה, שעל מי שלא שמר, בסדר, ברור שהוא לא יכול לגבות, אבל מי שכן שמר ולא גיבה הסכום - - -
היו"ר שמחה רוטמן
הקנס יהיה יותר נמוך?
עמית יוסוב עמיר
כן.
היו"ר שמחה רוטמן
אבל אתם קבעתם שלא. אני מוכן.
עמית יוסוב עמיר
אוקיי, אז במקום שניים אפשר לעשות שמי שלא שמר יהיה לו פי שניים הסכום, ומי ששמר אבל לא גיבה אז רק הסכום שמופיע פה.
קריאה
זה להחזיר שני קנסות.
היו"ר שמחה רוטמן
לא, אחד.

רבותיי, אנחנו יוצאים להפסקה נשוב ונתכנס בשעה 13:00.


(הישיבה נפסקה בשעה 12:34 ונתחדשה בשעה 13:00.)
היו"ר שמחה רוטמן
שבנו. אחרי שתיעדנו ואחרי שגיבינו. גיבוי, אמרנו. נוהל גיבוי ושחזור של נתוני אבטחה.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(11) נוהל גיבוי ושחזור של נתוני אבטחה: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור, שלא קבע במסמך את העניינים האמורים בתקנה 18(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;
ראובן אידלמן
בעניין הזה הסיכום שלנו גם מול המחלקה הפלילית בייעוץ וחקיקה, שאיתה עבדנו על נוהל ההתראה, שתהיה פה הנחיה של הרשות לגבי הנהלים הללו ואם ההנחיה תניח את דעתה של המחלקה הפלילית אז יכול להיות שלא נצטרך התראה ואם נראה שזה עדיין מותיר מקום של עמימות אז תהיה התראה על הפרה ראשונה. זו הכוונה שלנו. עד שלא הגענו למסקנה אחרת אמורה להיות פה התראה.
היו"ר שמחה רוטמן
אז יש אי גיבוי ואז אם אין נוהל לגיבוי?
עמית יוסוב עמיר
שוב פעם, אם אפשר, אני מחדד את העניין שיש הבדל בין החובה המהותית לשמור, אני מסכים שאם מישהו מראש לא שמר אז הוא גם לא יגבה וכן הלאה, אחר כך אין את חובות הגיבוי. אבל להגיד הכול – היה פה כן היגיון להגיד אם בכלל לא שמרת ואז אין לך גם מה לגבות וזה זה יותר חמור מאשר שמרת אבל לא גיבית.
היו"ר שמחה רוטמן
אני אגיד ככה, אני מבין שבשנייה שאתה נכנס למאגר אתה נכנס לביקורת, אם לא מתנהל כמו שצריך נושא נוהלי האבטחה והגיבוי שלהם והתיעוד שלהם, צריך לתת קנס. אני אומר שכן יש סיטואציה שהיה מעשה אחד שבן אדם לא עשה, זרק על כל הנושא הזה, נקודה, סוף פסוק, לא תיעד, לא גיבה, אין לו נוהל לגיבוי כי ממילא הוא לא מגבה למה הוא צריך נוהל? מה הוא יעשה עם הנוהל? ואם היה לו נוהל אז הנוהל לא גובה ולכן הוא לא שמר אותו.
עמית יוסוב עמיר
רק פה זה נתונים טיפה אחרים, זה 18(א).
היו"ר שמחה רוטמן
זה אותם נתונים, נתוני תיעוד של 17 ואז נוהל לעשות את נתוני התיעוד ושמירת הגיבוי בהתאם לנוהל לשמירת התיעוד של הנוהל. בסופו של דבר מישהו שהוראות 17 ו-18 יכול להיות מחדל אחד שהוא פשוט לא עשה. זה חמור מאוד ויכול להיות שמישהו שעד כדי כך מחזיק מאגר מידע ברמת האבטחה הגבוהה ואין לו כלום, לא מסמך, ממילא הוא גם לא שמר אותו, ממילא הוא גם לא גיבה אותו ואין לו נוהל לגבות את המסמך הלא קיים, אבל פשוט את כל הפרק הזה הוא לא עשה, אבל הוא לא עשה פעם אחת.

אני לא חושב שהוא צריך לקבל ארבעה קנסות, כי הוא לא שמר, לא גיבה את השמירה, לא היה לו נוהל והוא גם לא החזיק את הגיבוי הלא קיים בהתאם לנהלים. הוא פשוט לא עשה. לכן לאחד אותן, הפר את הוראה מהוראות 17 ו-18 יקבל קנס. אם יש מישהו שאצלו זה קולוסאלי ברמה הזאת יכול להיות שהוא מתאים לפלילי ולא לאכיפה מנהלית.
עמית יוסוב עמיר
לא, אין פה עבירה פלילית על התקנות.
היו"ר שמחה רוטמן
בסדר, יכול להיות שמן הסתם יהיו לו בעיות אחרות גם. אני לא מזלזל בזה, אני לא הופך את זה לפחות חמור, אבל לא ייתכן שבסופו של דבר הוא לא טיפל בנושא הזה, הנושא הזה אצלו לא טופל. היה לו בן אדם אחד שאחראי על הנושא הזה, כולל נוהל גיבוי ונוהל שחזור, והבן אדם הזה התרשל בתפקידו בצורה קולוסאלית, החתים כרטיס בתחילת כל יום ולא עשה שום עבודה. בסדר, חמור מאוד. הוא צריך לחטוף קנס, אבל הוא לא צריך לחטוף קנס על ארבעה סעיפים שונים, זה אותו סעיף תכלס שחילקנו אותו לארבעה תתי סעיפים.
עמית יוסוב עמיר
בעולם אבטחת המידע הנושא של לקבוע נהלים מלווה אותנו כחוט השני.
היו"ר שמחה רוטמן
הוא קריטי, אבל אין לי נוהל ולכן ממילא לפי הנוהל לא החזקתי מסמך וגם לא גיביתי וגם לא שמרתי את הגיבוי לפי הנוהל הלא קיים.
עמית יוסוב עמיר
זה לא כמו השמירה והגיבוי שאמרנו קודם. זה שלא קבעת נהלים זה כאילו לא נתת דעתך על הנושא בכלל.
היו"ר שמחה רוטמן
נכון. אני אומר שוב, לא נתתי את דעתי על הנושא בכלל. זה אומר שלא עשיתי נוהל, ממילא לא עשיתי מסמך לפי 17, ממילא גם לא גיביתי אותו, ממילא גם לא שמרתי את הגיבוי, אבל בסופו של דבר זה דבר אחד שלא עשיתי. כל התחום הזה הוזנח על ידי, יכול להיות שזה מצדיק שנעלה שלב, שנהפוך את ההפרה הזאת להפרה קולוסאלית, לעשות את הנסיבות המחמירות שדיברנו עליהן בחלק הקודם בהצעתה של – למה את מרחיקה את המיקרופון? מה, בגלל שאני אומר את מה שאת רוצה להגיד אז את מוותרת?
רחל ארידור הרשקוביץ
זה בדיוק המקרה שבו אם רואים מישהו שממש נכשל בכל מה שנדרש ממנו זה המקום לראש הרשות להפעיל את שיקול דעתו ולהפעיל נסיבות מחמירות, אבל אי אפשר לטפל בזה על ידי זה שקובעים המון המון הפרות מאוד מאוד ספציפיות ונקודתיות שאתה תיפול בהן או לא תיפול בהן, או שתיפול בכולן ביחד. החשיבה צריכה להיות יותר מערכתית מלמעלה, של יש פה מקרה מאוד חמור, אז הוא יזכה לקנס יותר גבוה. פה צריך להיות לי את שיקול הדעת.
עמית יוסוב עמיר
אבל אין שיקול לדעת לראש הרשות במודל העיצומים.
רחל ארידור הרשקוביץ
אז תכניסו אותו, יש אותו בחוק הגנת הצרכן.
היו"ר שמחה רוטמן
זו ההצעה שלה ודיברנו על זה כאחת מהאופציות שדיברנו עליהן כדי לפתור את נושא הזה. בסופו של דבר, אני לא אוהב, שוב, זה מאוד מזכיר לי את הדיונים שאנחנו מנהלים מול עיריות על צווי קנס, מאוד מזכיר בצורת החשיבה, שהם אומרים לי שהוא לא זרק את הזבל לפח המתאים לסוג הפסולת, בטח שהוא לא זרק את הזבל לפח הזה, הבן אדם הלך עם משאית מלאה בחומר רדיואקטיבי ושפך באמצע הכביש, אין שום פח שמתאים לסוג הפסולת הזו, הוא פשוט יצר אירוע אדיר. אז הם אומרים: בגלל שנוח לנו לעבוד בצורה של קנסות אנחנו נטיל עליו קנס שהוא השליך זבל מחוץ לפח לא בהתאם לסוג המחזור המתאים. זה לא, האירוע הוא שהוא שפך פסולת רדיואקטיבית באמצע הכביש.
עמית יוסוב עמיר
אפשר ללכת לכל מיני פתרונות ואפשר פתרון פה יותר פשוט, נקודתי, להגיד שיש עיצום אחד על לא שמר ולא גיבה ולא הכין נוהל, שזה נגיד פי שניים ממה שכתוב פה עכשיו, ויש עיצום אחר, שמר, אבל לא גיבה ולא הכין נוהל, על זה הסכומים שכתובים פה עכשיו.
היו"ר שמחה רוטמן
יכול להיות, אבל כל זה היה רק פרומו ל-12 שדיבר על מאגר מידע גבוה שהוא לא דאג שיישמר עותק הגיבוי של הנתונים האמורים בתקנה 18(א)(1) לתקנות של הנהלים בהתאם להוראות תקנה 18(ב) עם ה-17.
ראובן אידלמן
זה גופים גדולים שמחזיקים מידע על מעל 100,000 איש.
היו"ר שמחה רוטמן
זה מצוין, אבל אותם גופים גדולים, אם הם לא גיבו אז הם מקבלים 80,000, אם הם גיבו ולא שמרו – שוב, אנחנו הולכים - - -
ראובן אידלמן
התפיסה היא שאבטחת מידע מורכבת מהרבה פעולות קטנות. יש פה הרבה תקנות שאם מסתכלים עליהן stand alone אומרים, מה, רק על זה שלא עשיתי את זה?
היו"ר שמחה רוטמן
שוב, הפוך. אם בן אדם שמר, גיבה ויש לו נוהל, אבל הוא לא שמר את הגיבוי במקום בהתאם לנוהל – ולכן אני אומר, אם נאחד אותם לעיצום כספי אחד אז זה יהיה מישהו שעשה את ההפרה הכוללת, משהו אחד. אתם רוצים לעשות איזה שהיא חלוקה? אפשר לדבר על איזה שהיא חלוקה. אני חושב שהסיטואציה שבה בן אדם שכל תקנות 17 ו-18 הוזנחו אצלו זה חמור, זה דורש טיפול, אני לא חושב שהטיפול שזה דורש זה ארבע פעמים קנס של 80,000 שקל או של 20,000 שקל בגלל שזה הרובריקות שבתוכן אנחנו פועלים.

יכול להיות שזה מצדיק את הנסיבות החריגות שהיא מדברת עליהן, יכול להיות שזה מצדיק משהו אחר, אבל זה לא צריך לבוא במכפלות כי בסופו של דבר זה מחדל אחד. הרשלן הזה זה בסופו של דבר מחדל אחד, לפעמים הוא גם יכול להיות מרוכז אצל עובד אחד בארגון שהתפקיד שלו היה לטפל בזה והוא היה הרשלן. בסדר, תחטוף את הקנס, זה חמור, אני לא מזלזל בזה בכלל, אבל זה מחדל אחד.
נעמה מנחמי
יש לי שאלה לגבי 12, מה המטרה של הגיבוי של הנהלים?
היו"ר שמחה רוטמן
לא, זה לא גיבוי של הנהלים.
נעמה מנחמי
שלא דאג לכך שיישמר עותק הגיבוי - - -
היו"ר שמחה רוטמן
בהתאם לנהלים, זאת אומרת אם הנוהל אומר – לא.
ראובן אידלמן
של הנתונים ושל הנהלים.
לינא כמאל טרודי
מה זה נהלים? בסוף אתה צריך לדעת להתנהג בתוך סיטואציה וזה הנהלים. הנהלים זה נוהלי העבודה שלך באופן השוטף בכל מה שקשור לאבטחת המידע ומערכות המידע.
היו"ר שמחה רוטמן
לא הבנתי, הוא צריך לגבות את הנהלים לפי סעיף 18.
לינא כמאל טרודי
גם את הנהלים צריך לגבות.
ראובן אידלמן
את נוהלי השחזור.
היו"ר שמחה רוטמן
צריך לגבות את נוהלי השחזור? ואיך הוא משחזר את נוהלי הגיבוי של השחזור?
לינא כמאל טרודי
איך הוא יידע איך הוא צריך לפנות למערכת החיצונית? אני חייבת להסביר.
היו"ר שמחה רוטמן
ואם השחזור של הגיבוי נפל? סליחה, אני יודע שזה נשמע מצחיק, אבל את הנהלים של השחזור, הוא צריך לגבות אותם?
עמית יוסוב עמיר
בוא נגיד הפוך. אני מצטער שאני אומר את זה ככה בתור נציג משרד המשפטים, חסר כל הכשרה טכנולוגית, ולינא כמובן פה לתקן אותי ולדייק אותי בכל מה שאני אומר, אבל אנחנו מדברים על מקרי הקצה שתוקפים, משתלטים על המערכות, מוחקים אותן, מפעילים כופרה, נועלים את הכול - - -
היו"ר שמחה רוטמן
חמור מאוד, צריך לטפל בזה.
עמית יוסוב עמיר
כן, ואז בעל השליטה במאגר המידע או המחזיק עומדים - - -
היו"ר שמחה רוטמן
הוא צריך את נתוני האבטחה והוא צריך את גיבוי נתוני האבטחה והוא צריך לשמור את גיבוי נתוני האבטחה בהתאם לנוהל, עד כאן הכול בסדר. אני מנסה להבין איך הוא ישחזר את הנהלים, לפי איזה נוהל הוא ישחזר את הנהלים. זה כאילו מתי שהוא נשאלת השאלה, שאני מאוד אהבתי לשאול פה במשך הרבה מאוד זמן, ואני בעזרת ה' אחזור לשאול אותה ואשאל אותה בדיונים אחרים, מי ישמור על השומרים? או יותר נכון, מי יגבה את המגבים?
עמית יוסוב עמיר
מאחר שאי אפשר לקבוע פה שרשרת הוראות אין סופית מתי שהוא היא צריכה להיגמר, לכן הגענו פה רק למאגר ברמה הגבוהה, יוצרים פה עוד מדרגה של שמירת הנהלים. את זה הם יצטרכו לדעת בלי נוהל, בסדר, אבל זה לא איזה מקרה - - -
ראובן אידלמן
נוהל השחזור זה לא רק הפעולות שצריך לעשות, נוהל השחזור נדרש כדי שאפשר יהיה להוציא לפועל את השחזור.
היו"ר שמחה רוטמן
אבל איך אני יכול לשחזר את הנוהל? אולי תספרו לי איך זה עובד בפרקטיקה, התקנה הזאת? או שהיא לא עובדת בפרקטיקה?
אייל שגיא
קודם כל צריך לקחת צעד אחורה ולהגיד שאין בתקנות חובה לגבות את המידע עצמו, אז בוא נשים את כל הדברים בפרופורציה. מאגר המידע עצמו, התקנות האלה לא מבקשות לגבות, אנחנו רק על נתוני האבטחה. זה הכול.
היו"ר שמחה רוטמן
ועל הנהלים לשחזור נתוני האבטחה, שגם אותם צריך לגבות.
אייל שגיא
אני מאוד מקווה שמי שעושה גיבוי למאגר מגבה גם את הנהלים באותה מסגרת, אבל זו לא ההתייחסות.
היו"ר שמחה רוטמן
אבל איך הוא משחזר אותם? לפי איזה נוהל אני משחזר את נוהל השחזור?
אייל שגיא
בתקווה שהאנשים עדיין איתנו יודעים איפה - - -
היו"ר שמחה רוטמן
לכן אני אומר, זה מצחיק. זה מה שעושים בפועל, מגבים את נוהל השחזור? כדי לעמוד בתקנה 18(ב) הוא מגבה את הנהלים שנקבעו בהתאם לתקנה 2 שהם נהלים לאבטחת שחזור הנתונים? הוא מגבה את הנהלים לאבטחת שחזור הנתונים?
אייל שגיא
אם מישהו לא יודע להגיע לגיבוי הוא לא יידע להגיע לנוהל הגיבוי שמאפשר לשחזר את הגיבוי. לכן הגיבוי של הנוהל וההתייחסות לנוהל מצחיקה קצת, סורי.
היו"ר שמחה רוטמן
כן, זה אכן מצחיק.
לינא כמאל טרודי
זה כמו לשמור עותק של איך אתה מתפעל את מצבי החירום שלך. מה זה לשחזר גיבוי? אתה צריך להגיד איך אתה עושה את זה, נכון? אז זה העותק הנוסף שאתה שומר. זו פעולה של לשמור את הקלף שאתה צריך, כדי לדעת לתפעל את מערך הגיבוי שלך אתה שומר את הנוהל מהסיסמה הראשונה, מי ניגש, מי מה.
היו"ר שמחה רוטמן
אני שומר אותו, בוודאי, אחרת אני לא אוכל לשחזר, אבל איך אני מגבה אותו?
לינא כמאל טרודי
אתה שומר אותו בגיבוי קר אחר. בדרך כלל שומרים את זה בכספת אחרת שיש לה בעל הרשאה נוסף שזה התפקיד שלו.
שחף קצלניק
מי עושה את זה?
לינא כמאל טרודי
רוב נוהלי השחזור של מערכות בארגונים גדולים, איפה הם מאחסנים את נוהל השחזור שלהם? בתיקייה שיש לה הרשאה ספציפית.
שחף קצלניק
זה לא תיקיית גיבוי, יש תיקייה של הנהלים.
היו"ר שמחה רוטמן
ואם מחקו לך את הנהלים?
שחף קצלניק
יש גיבוי כללי, יש גיבוי של כל המערכות, אבל זה לא - - -
לינא כמאל טרודי
היא לא אמורה להיות בתוך השוטף שלה.
היו"ר שמחה רוטמן
ואיך אתה משחזר אותה, לפי איזה נוהל?
עמרי רחום טוויג
זה אבסורד. אם רוצים יכולת לשחזר, לבצע בפועל את השחזור של הנהלים, בסדר, למה זה חשוב שזה יהיה לפי הנוהל של השחזור? היכולת לשחזר היא לשחזר, אתם אומרים לגבות את הנהלים, בסדר, למה זה צריך להיות לפי הנוהל של השחזור?
ראובן אידלמן
אני חושב שקצת סטינו. הדגש של התקנה הוא לא זה, זה תקנה 18(2) והדגש שלה הוא שהשמירה של הנתונים האלה, של הגיבוי של הנתונים ושל הנהלים צריך להיות באופן שיבטיח את שלמות המידע ואת האפשרות - - -
היו"ר שמחה רוטמן
זה הבנתי.
ראובן אידלמן
זה העניין, על זה העיצום הכספי. שלא שמר בהתאם להוראות.
היו"ר שמחה רוטמן
זה באמת לופ אין סופי. זה על מה עומד הצב שעליו עומדים הפילים שעליו עומד הזה. אני לא יודע.
רפי סלמה
אני אשמח להתייחס.
היו"ר שמחה רוטמן
אני רוצה לדעת מי בצה"ל אחראי על השחזור של נוהלי השחזור. אני בטוח שיש מש"ק לעניין.
רפי סלמה
מש"ק שחזורים. עכשיו רגע ברצינות. ההסתכלות של אדוני עושה לנו קצת עוול. אתה אומר שיש מצב שבו בן אדם רשלן באופן תכליתי או באופן כללי, בסדר, ניתן לו קנס אחד. אני אומר שהגישה שלך היא זאת שגורמת לרשלנות. אם אני לא מתמרץ אדם לממש כל צעד בנפרד, אני אומר לו כדאי לך להיות רשלן כי זה לא משנה אם אתה לא עשית א' ב' ג' ד', אתה תקבל קנס אחד.
היו"ר שמחה רוטמן
לא, לכן אני אמרתי שמישהו שהתרשל על כל העניין הזה, בשביל זה ההצעה של רחל היא נכונה.
רפי סלמה
אבל זאת הדרך הקלה. הדרך הקלה היא על כל צעד שהוא לא מימש אותו לתת לו את הקנס. אתה אומר לו: אני עשיתי את הנוהל, אבל לא גיביתי אותו, אתה תשלם את אותו קנס כמו אותו אחד שלא עשה נוהל, לא גיבה אותו, לא שמר אותו.
היו"ר שמחה רוטמן
אין לי בעיה, זה ההצעה שלי. ההצעה שלי היא שאם אתה עשית מחדל אחד אתה תשלם על המחדל, אם המחדל האחד שלך הוא יותר גדול ומקיף אז יכול להיות שזה נסיבות מחמירות.
רפי סלמה
אז למה לייצר מנגנון מורכב יותר כשיש לך מנגנון ברור? אתה יודע לתמחר את המחדל שלך.
היו"ר שמחה רוטמן
אבל עשיתי מחדל אחד, לא יכולתי לשמור את עותק הגיבוי הלא קיים בהתאם לנהלים הלא קיימים ולכן אתה לא יכול להטיל עליי קנס על זה. לא יכולתי לשמור את עותק הגיבוי שלא גיביתי על פי נוהל שלא כתבתי, נכון? אז אתה לא יכול להטיל עליי קנס על זה.
ראובן אידלמן
אני מציע, אמרתי כבר שזה מהסעיפים שאמורים להיות תחת התראה בהפרה ראשונה, יכול להיות שזה הפתרון, הרשות נותנת הנחיה ואומרת לך שאתה לא פועל לפי לשון התקנה ואם אתה ממשיך להפר למרות שקיבלת הוראה מהרשות, רק אז יהיה עיצום.
היו"ר שמחה רוטמן
בגדול הכלל שלי הוא על מחדל אחד יש עיצום מנהלי אחד.
עמית יוסוב עמיר
אבל זה לא מחדל אחד.
רפי סלמה
זה לא מחדל אחד, הניסיון לצייר את זה כמחדל אחד זה לא נכון.
היו"ר שמחה רוטמן
תן לי בבקשה איך אני מגבה נוהלי אבטחה שלא כתבתי. אתה יכול לתת לי קנס שלא גיביתי נוהלי אבטחה שלא כתבתי?
רפי סלמה
אתה משווה את זה למקרה שבו כתבתי נוהל?
היו"ר שמחה רוטמן
אני לא משווה כלום לכלום.
רפי סלמה
במבחן התוצאה אתה משווה את זה למצב שכתבתי נוהל ולא גיביתי אותו.
היו"ר שמחה רוטמן
נכון.
רפי סלמה
אז לא כדאי לי כבר לכתוב נוהל, מה זה משנה? אני אקבל את אותו קנס.
היו"ר שמחה רוטמן
לכן הצעתי שהמנגנון יהיה שבמקרה שבן אדם התעלם לחלוטין, זה לא אני הצעתי, אני לא רוצה לקחת את הקרדיט, זה רחל הציעה והיא צודקת, שהמנגנון יהיה שבמקרה של הפרה רבתי שכזו זה יהיה סוג של הנסיבות, רק שאתה מנסה להגיד שמישהו שהוא רשלן רבתי כזה, או עבריין רבתי כזה, זה צריך להיות בהתאם למכפלות של אחת, שתיים, שלוש ארבע, כי יש פה ארבע הפרות שאני יכול לייצר לו, וגם הוא לא נישק את המזוזה בכניסה לחדר עם הוראות האבטחה אני אתן לו עוד קנס. זה לא עובד ככה. אני חושב שכשיש לי הפרה רבתי, יכול להיות שזה המקום לתת את הקנס הרבתי שהוא פונקציה של המחזור, שהוא פונקציה של הזה, זה המקום לעשות את זה ולא מכפלה של פי ארבעה בגלל איזה התקטננות כזאת של כמה תתי סעיפים מצאתי וההגנה אמיתית.

אם אני יודע את הכללים לגבי קנסות מתמשכים והפרות מתמשכות וכל הדברים האלה אני יכול לבוא ולהגיד: אדוני, מה אתה רוצה? אתה רוצה שאני אשים חגורה ברכב שאין בו חגורה? אין חגורה. אסור לי לנסוע ברכב בלי חגורה, אז תן לי קנס על זה שברכב אין חגורה, אתה לא יכול לבוא אליי בטענות שנסעתי ברכב בלי חגורה ולא שמתי חגורה. אין, זה לא עובד. זה לא קנס מתאים.
עמית יוסוב עמיר
אני חושב שבמקרה כזה יגידו לך שהרכב שלך לא יכול לעלות על הכביש, נסעת ברכב כזה וזה הרבה יותר חמור.
היו"ר שמחה רוטמן
כן, אין בעיה, אז תבוא ותגיד שבאמת - שוב אנחנו חוזרים להצעה של רחל.
רפי סלמה
אבל זה התמחור. יש לך ודאות.
היו"ר שמחה רוטמן
אבל אני לא רוצה לייצר ודאות, אני רוצה שאם אתה עולה על הכביש עם רכב ש – יש עבירות שבהן אתה אומר, זה כמו התמחור של נסיעה במהירות מופרזת, יש רמות מסוימות שאתה אומר, אם נסעת מ-10 קמ"ש עד 20 קמ"ש מעל המהירות המותרת אתה מקבל קנס כזה, מעל 30 קמ"ש קנס כזה, 40 קמ"ש זה, 50 קמ"ש בית משפט, שב בכלא לעשר שנים, לא יודע, אבל אתה לא ממשיך לייצר את המכפלות הטיפשות, השופט האוטומטי, אתה עובר למקום אחר.
רפי סלמה
אבל לשיטתך לנסוע ב-10 קמ"ש מעבר למותר או 50 קמ"ש זה אותו דבר. זה מה שבעצם אתה אומר.
היו"ר שמחה רוטמן
לא, להיפך, אני חוזר פעם חמישית. רחל, אולי כשאת תגידי את זה הם יקשיבו לך.
רפי סלמה
אתה נותן את שיקול הדעת לשוטר להחליט האם הוא נותן לך קנס - - -
היו"ר שמחה רוטמן
אולי את תסבירי את זה יותר טוב ממני, אבל אני חושב שאנחנו אומרים דבר דומה.
רחל ארידור הרשקוביץ
אני מסכימה עם אדוני. אני מבינה שיש פה, יכול להיות שיש לי איזה שהוא כשל בהבנה כי אני לא בן אדם טכנולוגי, אני מבינה שיש איזה שהם שלבים שחייבים לעמוד בהם בשביל לעשות אבטחת מידע, אני פשוט חושבת שאם כשלתי בהם כישלון כזה הדרך לגרום לי או לתמרץ אותי לעמוד בדרכים האלה היא לאו דווקא על ידי זה שייתנו לי קנס ועוד קנס ועוד קנס, אלא על ידי זה שאני אדע שיש פטיש מאוד מאוד גדול שאפשר להפעיל עליי.
היו"ר שמחה רוטמן
תחשוב על מאגר עם פחות מעשרה מורשי גישה אבל הוא מכיל מאגר מידע מאוד מאוד רגיש והעליתי אותו לאינטרנט, בידיעה ברורה, לא בטעות, לא דלף, לקחתי את המאגר והעליתי אותו לאינטרנט, פרסמתי אותו. אז אפשרות אחת היא לבוא ולהגיד סנקציות פליליות, גילוי, יש כל מיני כלים ללכת לי על הראש על זה שפרסמתי מאגר מידע סופר רגיש ברשת. יש דרך לעשות את זה. יבואו אליי הרשות להגנת הפרטיות ויגידו: סליחה, בשנייה שאתה העלית את זה לרשת למעשה עכשיו המאגר שלך עלה לרמת אבטחה מרבית בגלל שמורשי הגישה הם 9 מיליארד, כל משתמשי הרשת בעולם, ולכן אתה עכשיו לא אבטחת ואיפה מסמך הגדרות המאגר שלך, הלו, איפה הגיבוי של הנהלים? ואני אטיל עליך ארבעה קנסות של 80,000 שקל. זה לא הגיוני, למה? פתאום המאגר שלי הפך להיות מאגר עם 9 מיליארד נקודות גישה, אז בגלל זה עכשיו אני לא שמרתי את הגדרות הגיבוי של אבטחת המאגר.
רפי סלמה
אבל זה או שעברת או שלא עברת.
היו"ר שמחה רוטמן
קוראים לזה בשפה שלנו, 'קים ליה בדרבה מיניה', בן אדם שעשה את העבירה הגדולה אתה לא מתווכח - - -
רפי סלמה
אבל רובם לא כאלה, רובם הם דווקא מהמקום ההפוך, שכן רוצים לקיים את התקנות.
היו"ר שמחה רוטמן
מצוין, אז מישהו ששמר מתוך ארבעה הסעיפים האלה שלושה מתוך ארבעה תן לו קנס, מי ששמר שניים מתוך זה תן לו קנס.
רפי סלמה
אבל אתה אומר שזה אותו קנס.
היו"ר שמחה רוטמן
נכון.
רפי סלמה
אז מה ההיגיון בזה? לא הצלחתי להבין את ההיגיון. אתה רוצה להפעיל עליהם פטישים? אתה אומר לי או עשרה קילו או ש - - -
היו"ר שמחה רוטמן
הרעיון הוא שעל מחדל אחד משלמים קנס אחד, ואם המחדל הוא מאוד מאוד גדול תשלם קנס מאוד גדול, אין לי בעיה, אבל על מחדל אחד משלמים קנס אחד. באופן תיאורטי כל פעם שאני מחנה את הרכב שלי בלי כרטיס חניה, יכול לעמוד ליד פקח ולשים קנס של 100 שקל, ואז להגיד, רגע, הרכב פה עדיין חונה, עוד 100 שקל ועוד 100 שקל ועוד 100 שקל ועוד 100 שקל, אני עדיין חונה במקום אסור, עוד 100 שקל. זה לא עובד ככה. אתה בא ואומר, עשית מחדל אחד, החנית את הרכב במקום אסור תקבל קנס.

יש מקרים שמבקשים קנס נמשך לפי 24 שעות, יש איזה נקודות עצירה בזמן, יש כל מיני דברים כאלה, התראה, א', ב', ג', אבל בן אדם שהסיע את הרכב שלו מהגשר לתוך נהר, הרכב כבר תקוע שם, הוא לא ייצא משם, תיתן לו כל פעם קנס על העמדת רכב במקום אסור לפי סעיף 3(ג) לתקנות עזר לעיריית תל אביב, העמדת רכב וחנייתו, על זה שהרכב שלו תקוע באמצע איילון? הרכב שלו תקוע באמצע איילון והוא גם יישאר תקוע באמצע איילון, אל תחלק לו 1,000 קנסות של 100 שקל על זה שהוא העמיד במקום שיש שם אדום לבן ליד איילון. זה הרעיון. אתה יכול להגיד, כן, זה אותו קנס, לא, אני אומר שזה מתאים לקנס יותר גדול, זה המבנה שרחל מציעה.
סוריא בשארה
כשיש מחדל יותר חמור התמונה מאוד ברורה, אבל מה קורה כשיש את המחדלים הקטנים האלה ואנחנו לא באירוע שבולע את הכול? השאלה אם לא נכון על האירועים הקטנים האלה גם להטיל את הקנס? כלומר התקנות עכשיו נותנות קנס או עיצום כספי גם על הפרות שהן בדרך להפרה הגדולה, ברור שזה לא הגיוני כשיש הפרה מאוד גדולה לבוא ולהתחשבן על הקטנות, אבל מה קורה כשיש מחדלים קטנים כאלה, מה אדוני מציע?
היו"ר שמחה רוטמן
את אומרת אם יש שניים ולא את כל הארבעה, לצורך העניין? אני חושב ששאלת גובה הקנסות בעיניי, שוב, השאלה היא הנקודה בזמן זה כמה מחדלים היו. אז באמת יכול להיות מצב שהבן אדם שמר אבל לא גיבה ויש לו נוהל, אז אם אני סופר לו טכנית זה שניים. אבל אם הוא לא גיבה אני לא רוצה שהוא יקבל גם על לא גיבה וגם לא שמר את הגיבוי בהתאם לנוהל כי הגיבוי לא קיים. אני סופר מחדלים, אני לא סופר סעיפים.

יכול להיות שעשיתי מחדל אחד, ניהלתי מאגר מידע וצפצפתי על כל הוראות החוק, כל תקנות אבטחת מידע מהתחלה ועד הסוף, לא שמרתי אפילו לא אחת מהן, אין לי מסמך הגדרות, אני בכלל לא מכיר את החוק, לא יודע את החוק. יש לי מאגר מידע שלא עשיתי לו, לא מסמך הגדרות ולא מיניתי לו DPO וה-DPO שלא מיניתי הוא גם באי תלות עם המנמ"ר שלא מיניתי, הכול ביחד, הסערה המושלמת, פשוט לא עשיתי כלום, צפצפתי על הכול. אני לא חושב שהכלי המתאים לנהל זה עכשיו לעבור על כל סעיפי התקנות ולהגיד, רק רגע, יש לי פה 17 תקנות שעברת עליהם, 80,000 כפול 17 זה הקנס שלך. אני לא חושב שזו צורת הסתכלות נכונה. יש מחדל אחד, לא ציית לחוק.
סוריא בשארה
השאלה אם לא נכון במדיניות האכיפה של הרשות, כמובן צריך להתייחס להפרות, יכול להיות שיש הפרות שהן לא קשורות אחת לשנייה בכלל, אם יש - - -
היו"ר שמחה רוטמן
נכון, המדיניות שאני מצפה זה מבחן המה לא עשית פה. אם היה לי משהו כל כך קולוסאלי, לא שמרת את המסמך הלא קיים על התשתיות שלך באופן – זה לא מתאים, זה פשוט לא מסתדר.
ראובן אידלמן
אולי נציע, בהמשך להצעה שעלתה קודם, שעל כל תקנה 18 יהיה עיצום אחד גדול בכמה מדרגות שונות.
היו"ר שמחה רוטמן
יכול להיות. זה 17 ו-18 בעצם.
ראובן אידלמן
אולי נציע משהו בכיוון הזה, נראה אם אפשר להתקדם.
היו"ר שמחה רוטמן
בסדר. בואו נמשיך.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(13) חובת תיעוד כללית: בעל שליטה במאגר מידע, מחזיק במאגר מידע כאמור או מנהל מאגר כאמור שלא תיעד באופן סביר את אופן ביצועה של פעולה שאינה יצירת מסמך, שחלה עליו חובה או אחריות לבצעה לפי תקנות, בניגוד להוראות תקנה 19(ב) לתקנות;
ראובן אידלמן
יש בתקנות חובה כללית לתעד פעולות שנעשות למעט, כדי שלא יהיה את הלופ שאדוני התייחס אליו קודם, למעט אם הפעולה היא יצירת מסמך, את זה לא צריך לתעד. הכוונה היא לפעולות הרבה יותר גדולות ומשמעותיות, תיכף ניתן כמה דוגמאות. אני רק אגיד שהתקנה הזאת גם היא כפופה להתראה בהפרה ראשונה מבחינתנו.
היו"ר שמחה רוטמן
ההוראות לעניין אופן תיעוד כאמור זה פרטני או כללי? בתקנה. תקנה 19(ב) שאומרת, 'מי שמוטלת עליו בתקנות אלה חובה או אחריות' - -
ראובן אידלמן
זה בסמכות כללית של הרשות.
היו"ר שמחה רוטמן
- - 'נדרש לתעד באופן סביר', 'הרשם רשאי לתת הוראות לעניין אופן תיעוד כאמור'.
ראובן אידלמן
לא פרסמנו הוראות בעניין, זה כללי.
נעמה גורני לר
הכוונה היא לתעד באופן סביר פעולות שהן לא מופיעות בתקנות כיצירת מסמך, החובה היא לא יצירת מסמך, כמו למשל בתקנה 2(ג) של מסמך הגדרות המאגר, בעל המאגר נדרש לבחון אחת לשנה אם המידע שהוא שומר לא רב מן הנדרש ביחס למטרות המאגר, זאת פעולה שבעל המאגר נדרש לתעד אותה. לא יצירת מסמך אלא תיעוד. אפשר לתת עוד דוגמאות. דיברנו על תקנה 7 קודם, קיום הדרכות לבעלי הרשאות טרם מתן גישה, תקנה 16(ג), בעל מאגר מידע נדרש לדון בדוחות הביקורת. אלה פעולות שצריך לתעד את הביצוע שלהן וכך אפשר לדעת אם יש עמידה בהוראות התקנות מבחינת הארגון.
היו"ר שמחה רוטמן
אני לא רוצה לשאול מה עם הגיבוי של התיעוד, אבל בסדר.
קריאה
האם לוג נחשב תיעוד כזה?
היו"ר שמחה רוטמן
לוג הוא סביר. ההתראה התראה, אבל זה קצת משונה לעשות התראה כי לא תיעדתי אז לא תיעדתי, התראה צופה פני עתיד? תתעד? זה לא התראה.
ראובן אידלמן
היא על הפרה ראשונה. אם פעם אחת הפרת בזה שלא תיעדת לא תקבל עיצום. ההפרה הבאה, אחרי שאמרו לך במפורש שזה פעולות שאתה חייב לתעד, נגיד עשית דיון על סקר סיכונים, זו הכוונה, סקר סיכונים מוצג להנהלה או היא דנה בסקר סיכונים, בפעם השנייה - - -
היו"ר שמחה רוטמן
אני מבין מה אתה אומר, אני רק אומר שהמונח בדרך כלל של – אולי אני טועה, אבל יש שני סוגים של התראות, יש התראה: תקן ליקוי, ויש התראה: תפעל מכאן ולהבא בצורה אחרת.
סוריא בשארה
אנחנו קצת מתייחסים אחרת להתראה לעומת תיקון ליקוי.
היו"ר שמחה רוטמן
אני יודע, אבל יש התראה. לצורך העניין בוא נניח שדיברנו קודם על התראה על ניגוד עניינים, שכדאי להוריד אותה, נוריד את הסעיף, אבל אם הסעיף יישאר, אז דיברנו על התראה על ניגוד עניינים, זה להגיד לו: תשמע, יש תלות בין שמעון ולוי, לכן אתה לא יכול שלוי יהיה ממונה אבטחה עד שתעשה אחת שתיים שלוש. אז ההתראה הזאת היא התראה מסוג תיקון ליקויים, דהיינו אתה מתריע, תתקן/לא תתקן תוך זמן שקבוע בהתראה תחטוף את הקנס האמיתי, אבל האירוע הוא אירוע בדיד, יש או אין ניגוד עניינים.

פה לא תיעדת עד עכשיו פעולות מסוג כזה וכזה, פעולות שכבר ביצעתי, אני לא יכול לתעד אותן עכשיו שוב, נגמר, ואין פה תיקון ליקוי, זה צופה פני עתיד. הפעולה הבאה היא פעולה בדידה, היא לא קשורה לאי התיעוד הקודם שלי, אז זו התראה מסוג אחר. צריך לשים לב לזה.
ראובן אידלמן
אבל ההנחה היא שהרשות כבר הייתה אצלך ואמרה לך שזו פעולה שאתה חייב לתעד. אם אתה ממשיך לא לתעד אחרי שהרגולטור היה אצלך ואמר לך, ההנחה היא שכן, שאתה - - -
היו"ר שמחה רוטמן
אבל אני חושב שזו פעולה דומה. גם השאלה האם זו פעולה שחייבת בתיעוד, שזו שאלה אחת, לבין האם אופן התיעוד הזה הוא סביר או לא סביר, שזה שאלה שנייה, והאם ההתראה היא על זה או על זה. זה רק בעיה של עמימות בתקנה כאשר אתה בא ואומר: על מה אתה מתריע בפניי? לא שמרתי תיעוד של סקר מסוג כזה או מסוג אחר זה משהו אחד, שמרתי אבל לא תיעדתי את זה באופן שנראה לך סביר, אתה אומר לוג לא מספיק לדבר הזה, זה צריך מסמך נפרד, זה צריך תיעוד פיזי, תשמור את זה בכספת, לא יודע. השאלה אם זה על הסביר או על איזה סוג פעולות זקוקות לתיעוד. התעשייה פה שקטה באופן חריג וזה מטריד אותי.
ראובן אידלמן
ההנחה היא שכל הפעולות שהן לא יצירת מסמך כפופות לתיעוד. זה יותר על מהו תיעוד באופן סביר, אבל זה יכול להיות גם על מה שאדוני אמר. אם יש שאלה אם הפעולה הזאת כפופה לתיעוד או לא, אז אנחנו בסיבוב הראשון מבהירים אותה ובסיבוב השני אם ממשיכים להפר אז יש עיצום כספי.
היו"ר שמחה רוטמן
אני חייב לומר, הסעיף הזה, היה נוח לי יותר אם הרשם היה נותן הוראות לעניין אופן תיעוד כאמור ואז ההפרה הייתה על הפרת הוראת הרשם. לא באופן כללי, לא על המושג סביר, או שלא שמר בכלל. לא שמר בכלל, משהו דומה למה שעשיתם בתקנה אחרת, שאמרתם לא נקט כל אמצעי, לא תיעד בכלל, בלי המילה 'סביר'. לא תיעד בכלל זה משהו אחד, או תיעד בניגוד להוראות הרשם זה משהו שני, אבל לא תיעד באופן סביר זה משהו שהוא קשה לי איתו.
ראובן אידלמן
אפשר 'לא תיעד', להוריד את 'באופן סביר' בטקסט שבטבלה.
סוריא בשארה
המטרה היא לנהל יומן של מה שעושים, נכון? אז זה מסוג הדברים שבנוהל או בהנחיות הרשות כן יכולה להסביר מה זה תיעוד סביר, למשל המועד שבו נעשתה הפעולה, סוג הפעולה.
היו"ר שמחה רוטמן
לכן אמרתי, אפשרות אחת היא, ואפשר לחבר את שתיהן, אחת היא לא תיעד בכלל, בלי המילים באופן סביר, ואפשרות שנייה זה לא תיעד בהתאם להוראות הנוהל שפורסמו על ידי הרשם. ואז הרשם רשאי לתת הוראות, פעל בניגוד להוראות הרשם שניתנו כאמור לפי סעיף 19(ב).
ראובן אידלמן
אנחנו ניתן תשובה לגבי שתי האפשרויות.
היו"ר שמחה רוטמן
טוב.
נעמה מנחמי
נשאר לדיון? נשאר פתוח?
היו"ר שמחה רוטמן
כן. (14). פעם ראשונה שהגענו לסכומים הגבוהים.
נעמה מנחמי
(14), הכנת מסמך הגדרות מאגר. אני רק רוצה להסב את תשומת הלב שזה חל על בסיסי.
היו"ר שמחה רוטמן
זה לא חל על יחיד.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(14) הכנת מסמך הגדרות מאגר: בעל שליטה במאגר מידע שלא הגדיר במסמך הגדרות המאגר את כל העניינים האמורים בתקנה 2(א) לתקנות;








אני מבקשת להפנות לפרט (7) שכולל גם שמות של מנהל המאגר, המחזיק והממונה והמנהל.
היו"ר שמחה רוטמן
אבל לפחות ב-(14) המנהל לא מופיע בצד הזה, רק בצד הזה.
נעמה מנחמי
זאת אומרת שאם התחלף לי מחזיק ושמו לא מופיע - - -
היו"ר שמחה רוטמן
לא, התחלף זה עדכון, זה (15), אנחנו עכשיו בהכנת המסמך בהתחלה.
נעמה מנחמי
נכון.
היו"ר שמחה רוטמן
אני חייב לומר, קשה לי עם היחידים פה, קשה לי עם הטור של היחידים, ויש פה שאלה מדוע נדרשים סכומים גבוהים כאשר מטרת העיצומים הכספיים היא הגעה לציות.
ראובן אידלמן
זאת חובה מאוד מאוד בסיסית, אולי הכי בסיסית בתקנות האלה, אפשר קצת להרחיב על החשיבות שלה אולי, אני מציע שלינא תרחיב קצת.
נעמה מנחמי
וכן אנחנו מקבלים הערות שרוב הסכומים פה הם נמוכים. יכול להיות שלגבי היחיד לא, אבל נראה שהווייב הכללי שקיבלנו עד עכשיו זה שהסכומים נמוכים.
לינא כמאל טרודי
התכלית של מסמך ההגדרות המאגר זה כשאתה מתחיל כבעל מאגר לנהל, לעבד, לאסוף מידע, אתה צריך להבין מה יש לך, לנהל את הסיכונים שלך, להבין מה הערך החשוב שאתה רוצה להגן עליו באבטחת מידע. אתה צריך להבין למי אתה נותן את המידע הזה, למי אתה נותן הרשאות, איך אתה מעביר את המידע, איך אתה שומר את הכול. בעצם זה מסמך הבייסיק שבבייסיק כשאתה בעל מאגר מידע, יש לך את מאגר המידע הזה ואתה חייב לדעת איך לנהל אותו. זה מסמך ניהול תקין של מי שרוצה לעבד ולשמור ולאבטח מאגרי מידע. אתה לא יכול לעבוד בלי שיש לך את מסמך הבייסיק של הנהלים של מסמך מאגר. אתה לא יודע מה יש לך, אתה לא יודע מה יגן עליו, אתה לא יודע מי ניגש אליו אז אתה לא יודע איך למנוע את הגישה אליו כשאתה צריך למנוע, אתה לא יודע איך לתעד, כאילו כל פעולה - - -
היו"ר שמחה רוטמן
יש לי שאלה, איך אני יודע כמה מורשי גישה יש למאגר שלי אם הוא לא כתוב במסמך הגדרות המאגר?
לינא כמאל טרודי
אתה צריך לדעת איך אתה מחלק את זה, לפי ההרשאות, למי אתה נותן הרשאות.
ראובן אידלמן
יש חובה לקבוע, זו תקנה שעדיין לא הגענו אליה. אתה כן ממפה פה את הסיכונים, אתה חייב למפות את הסיכונים. בהקשר למה שאדוני אמר על יחידים, צריך לחשוב גם על יחיד שהוא רופא לצורך העניין, יחידים יכולים לפעמים להחזיק מידע מאוד רגיש.
נעמה מנחמי
אני מודה שהסיפור של יחידים, אני חושבת שלא פיצחנו אותו עדיין כי בתוך היחידים יכול להיות, דווקא ביחיד יש החרגה של מקצועות עם סודיות, אבל יכול להיות אותה חנות מכולת או קפיטריה עם שלושה עובדים שהנתונים על חשבון הבנק שלהם הוא מידע בעל רגישות מיוחדת ויכולה להיות אולי מישהי שמתעסקת בכל מיני דברים מאוד רגישים, אני לא רוצה להגיד דווקא אימוץ, אבל –
היו"ר שמחה רוטמן
אימוץ ילדים קטינים נפגעי עבירה עם סרטן שהם עם רישום פלילי.
נעמה מנחמי
לא, אני לא בטוחה, יכול להיות שיש איזה אסדרת מקצוע. זה יכול להיות יועצת הנקה, אני לא בטוחה שאני נכנסת לדבר הזה, באמת יש פה מנעד מאוד מאוד גדול ואני מרגישה מאוד לא נוח עם הדבר הזה. אני מרגישה שיש לנו עדיין מנעד גדול שאנחנו לא מתייחסים אליו, בין דברים שהם אפשר להגיד חצי אזוטריים, חשבונות הבנק של שלושה עובדים באיזה קפיטריה ועד פרטים אינטימיים של נשים אצל יועצת הנקה. אני ממש מרגישה לא בנוח עם זה.
ראובן אידלמן
התפיסה אומרת שיש דברים בסיסיים שכל מי שמחזיק מידע אישי חייב לעשות, זה אחד מהם. כל מי שמחזיק במידע וזה לא משנה מה סוג העסק, אם אתה לא יודע את זה, זאת אומרת אתה לא יודע איזה מידע יש לך, מה מטרות השימוש, לא מיפית עם עצמך אפילו את הסיכונים או מה פעולות העיבוד שאתה עושה אז אתה לא יכול להחזיק מידע אישי בכלל. זאת התפיסה, זה מה שהתקנות אומרות. אין הרבה כאלה דברים שהם ממש בסיסיים שחלים על כולם. העיצום הכספי פה על יחידים ועל רמת אבטחה בסיסית הוא 2,000 שקלים.
היו"ר שמחה רוטמן
כמה יחידים נכון להיום לדעתך שמחזיקים מאגר מידע ויש להם את המסמך הזה? מה אחוזי הקומפליינס שאתה חושב שיש?
ראובן אידלמן
אני לא יודע להעריך, אני לא חושב שאנחנו יודעים להעריך, אבל האכיפה שלנו לא מתמקדת באנשים - - -
היו"ר שמחה רוטמן
אני יודע, אבל דווקא בגלל זה השאלה.
ראובן אידלמן
לא יודעים להעריך את זה.
ליאור אתגר
אם אפשר להוסיף, אני חושב ששני הדברים שנאמרו פה, אני מסכים איתך, גם מה שלינא אמרה, הרעיון הזה של מסמך הגדרות מאגר הוא מאוד מאוד בסיסי, למעשה הדרך שלנו להגדיר מאגר היא באמצעות הנייר הזה. כמו שיש מרשם בעלי מניות יש מרשם של מאגרי המידע, או מסמך מיפוי מאגרים, קוראים לזה בכל מיני דרכים.

כמו שאמרה היועצת המשפטית, לוועדה אין שום דרך לאכוף את זה על יחידים, א', מדובר בהשקעת משאבים, ו-ב', גם צריך לשאול מה התכלית, למה צריך את המסמך הזה. יחיד לא באמת צריך את המסמך הזה, הוא יודע מה יש לו, ואם הוא לא יודע מה יש לו אז מצבו גרוע מאוד, זה לא יתפוס אותו על אם הוא מחזיק טופס אקסל או טופס וורד שמכיל את כל מיפוי המאגרים. אין הרבה תועלת בהטלת סנקציה על יחיד בהקשר הזה. כן צריך לראות שהמסמך הזה הוא מפורט לפי רמת פירוט סבירה והגיונית. זה לא רק עניינים של אבטחה, זה גם עניינים של סוגי המידע, מה שיש גם ב-GDPR, הסטנדרט הוא גבוה לגבי המסמך הזה. אין טעם להשתמש בזה ליחידים, לדעתי.
היו"ר שמחה רוטמן
אני הייתי עושה ליחיד, ואולי לשתי הרמות הבסיסיות, הייתי עושה בכפוף להתראה. בייחוד שאני לא עשיתי סקר ואני לא יודע ואתם עד היום לא אכפתם אז גם אתם לא יודעים.
ראובן אידלמן
אבל זו סנקציה מאוד מאוד קלה. אני חושש שמה שאדוני מציע יתמרץ, שפשוט לא יהיה בכלל, המשמעות היא שגם רופא לא מנהל סיכונים.
היו"ר שמחה רוטמן
אני אומר לך שוב, אתה לא יודע להגיד לי היום כמה רופאים מחזיקים מסמך כזה. אני מוכן לנדב, שתעשו סקר מתקציב ההוצאות של הרשות להגנת הפרטיות, תעשו סקר ותגלו שרוב מוחלט של אנשים לא. זאת אומרת אנחנו מכניסים פה משהו חדש לשוק - - -
ראובן אידלמן
החובה היא לא חדשה.
היו"ר שמחה רוטמן
החובה היא לא חדשה, רק שאף אחד לא שם עליה עד היום. סליחה שאני אומר, כי שום דבר לא היה בצדה. במידה מסוימת אתם עושים פה התגנבות יחידים, הכנסתם תקנות שאף אחד לא התעניין בהן כי הן היו חסרות שיניים. האנשים שצריכים לציית להם מצייתים בכל מקרה ל-GDPR או לדברים אחרים כי הם בין-לאומיים, כי זה גדולים, כי הם שומרים על עצמם, כי הם בקומפליינס, כי יש להם ממשל תאגידי, כי יש להם את התקנות של הבנקים, כל הגופים שמטרידים אותנו ויש להם את ה – הם בבסט פרקטיס והיו פחות או יותר קודם אז זה לא הפריע להם, ולא הייתה סנקציה בצדם, אז אנשים לא נזעקו.
ראובן אידלמן
אבל היו הליכים וזה, אנחנו בדקנו מאות גופים במשך השנים, מאות מקרים, אי אפשר להגיד שזה - - -
היו"ר שמחה רוטמן
כמה יחידים פנו אליכם ואמרו: לא טוב לי, זה מטיל עליי נטל רגולטורי כבד. כמה עסקים קטנים? מי פה עסקים קטנים?
יעקב עוז
אני מחכה שתסיים את הסבב הזה.
היו"ר שמחה רוטמן
לא, רק אם אתה מסכים איתי.
יעקב עוז
זהו, שאני לא מסכים איתך. אז הואיל ואני לא מסכים איתך, כי אם אמרנו שאנחנו מצמצמים את חובת הרישום ואנחנו קפצנו משמחה, כי זה חשוב מאוד, כי אין בזה שום תוחלת ושום תכלית בחובת הרישום, והיה מי שאמר שאם אתה מבטל את חובת הרישום אתה מבטל בעצם את המודעות הבסיסית של עסק, יהא גודלו אשר יהא, לחובות של הגנת הפרטיות, רק מה? שזה ארכאי מאוד. מסמך הגדרת מאגר זה הבייסיק כולל בעסקים הקטנים.
היו"ר שמחה רוטמן
אני מסכים.
יעקב עוז
תשאל אותי בעסקים הקטנים, כן, מסמך הגדרת המאגר, כך אנחנו קוראים לו, זה סיפור המעשה של מאגר המידע והסיכונים שחלים עליו ולאיזה צדדי ג' אני מעביר אותו והמחזיקים שלי. זה מסמך שהוא מכונן לעסקים קטנים.
היו"ר שמחה רוטמן
אני מסכים איתך במאה אחוזים.
יעקב עוז
אז מה השאלה? אם הם מיישמים את זה? הם מיישמים את זה. מאות משרדי ביטוח ויועצי מס ורואי חשבון שלפחות אני בא במגע איתם במהלך השנה כולה, התשובה היא כן.
לירון בנדק
למה לא להכניס לעסקים הקטנים את זה לנוהל התראה?
היו"ר שמחה רוטמן
זה מה שאמרתי.
יעקב עוז
אמרנו בכפוף להתראה.
היו"ר שמחה רוטמן
אז מה אתה מתווכח איתי? זה מה שאמרתי.
יעקב עוז
אמרנו, ראובן גם אמר את זה.
היו"ר שמחה רוטמן
לא, אני אמרתי. אני התחלתי כבר להתרגז עליך שאתה לא מסכים איתי.
יעקב עוז
לא, אל תתרגז, הכול בסדר. להתראה כן. האם זה מקוים? חד משמעית כן בקרב העסקים שבאים איתנו כל הזמן במגע.
ראובן אידלמן
אני חושב שהתשובה היא, ואמרתי את זה, האכיפה של הרשות לא מתמקדת בעסקים קטנים. להכניס את זה לנוהל התראה זה קצת - - -
יעקב עוז
תפסיקו להגיד את זה בקול רם.
ראובן אידלמן
כאילו הסיכוי שנגיע פעם ראשונה לעסק קטן הוא לא גבוה, הסיכוי שנגיע פעם שנייה לעסק קטן הוא מאוד מאוד נמוך, זה קצת כמו לפטור מהחובה - - -
יעקב עוז
אני רוצה להעיר פה משהו, אתה מגיע לעסק קטן אגב אירוע אבטחת מידע, אגב אירוע סייבר, אתה מגיע לעסק קטן שבדרך כלל יהיה חלק מההשפעה בשרשרת אספקה, ואתה הגעת אליו, אתה מבקש ממנו את מסמך הגדרות המאגר בבקשה ראשונה ואנחנו גם ממציאים את זה לכם. לכן אני אומר, כן, אתה רואה עסקים קטנים כשאתה מטפל באירועים - - -
ראובן אידלמן
מעט מאוד.
יעקב עוז
מעט מאוד זה יחסי.
קריאה
ושמכינים את זה חלקם תוך כדי האירוע.
יעקב עוז
בסדר, בעניין הזה הם בסדר.
ראובן אידלמן
אז תשאל את עצמך מה הסיכוי שנגיע פעם שנייה, אם בפעם הראשונה אנחנו מגיעים מעט מאוד.
יעקב עוז
תשאל את רוברט מולר שהיה ראש ה-FBI ואמר שהסיכוי לפעם שנייה הולך וגדל.
רחל ארידור הרשקוביץ
לא הצלחתי להבין את המשמעות של הטיעון שאתם לא אוכפים לגבי הנוסח של הסעיף, אני לא הצלחתי להבין את הקשר.
ראובן אידלמן
לא, כי ההצעה של היו"ר היא שתהיה התראה, זאת אומרת שכשבאים בפעם השנייה יהיה עיצום. אני אומר שהסיכוי שאנחנו נבוא פעם שנייה הוא מאוד נמוך.
רחל ארידור הרשקוביץ
אבל אתה אומר שהסיכוי שתבואו בכלל הוא מאוד נמוך, אז בואו נוריד בכלל אכיפה נגד – אני לא מבינה את הטיעון.
יעקב עוז
אפילו אני מתנגד לזה.
היו"ר שמחה רוטמן
התראה לשתי הרמות הנמוכות. לבינוני ולגבוה אין לי בעיה, אבל לזה נוהל התראה.
ראובן אידלמן
אולי רק לגבי יחידים, אם אדוני רוצה לעשות את ההבחנה הזאת. אני מדבר על רופא, שהוא יהיה ברמת אבטחה בסיסית בדרך כלל ולא ביחיד.
היו"ר שמחה רוטמן
אני יודע ודווקא בגלל זה, אנחנו נמצאים בעולם שברור שכל האנשים שיעקב מכיר הם כבר עשו את הנוהל, כי הם מכירים את יעקב, בעצם העובדה שהם מכירים את יעקב.
יעקב עוז
רק אני לא שמעתי על זה, הכול בסדר.
היו"ר שמחה רוטמן
נוהל התראה לשתי הרמות הנמוכות.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(15) עדכון מסמך הגדרות מאגר: בעל שליטה במאגר מידע או מנהל מאגר שלא עדכן את מסמך הגדרות המאגר בהתאם להוראות תקנה 2(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;
היו"ר שמחה רוטמן
פה זה כבר הנושא של העדכון.
ראובן אידלמן
קצת כמו הדיון שהיה קודם לגבי תקנה 5(א), מסמך מעודכן. זה אותו דבר.
נעמה מנחמי
אבל אפרופו אגב הסכומים, אם לא עשיתי בכלל את המאגר?
היו"ר שמחה רוטמן
לא, אותם סכומים.
נעמה מנחמי
לא, אז אם לא עשיתי בכלל את המאגר זה 2,000, אבל אם לא עדכנתי אותו, אם שכחתי לעדכן אותו.
ראובן אידלמן
זה גם 2,000.
היו"ר שמחה רוטמן
שוב, השאלה היא האם אתה מחזיק מסמך מעודכן. אם אתה מחזיק מסמך מעודכן אז אתה מחזיק מסמך מעודכן, אם אתה לא מחזיק מסמך או שאתה לא מחזיק מסמך מעודכן, אז אתה לא מחזיק.
ראובן אידלמן
אבל כאן יש חובה לעדכן אחת לשנה.
היו"ר שמחה רוטמן
אין בעיה, לכן השאלה היא לא אם הכנת ועדכנת, אלא האם יש לך מסמך מעודכן בהתאם למועדים אחרונים בחוק. אם יש לך מסמך מעודכן, פה יש מועדים, אז פה זה עוד יותר קל.
ראובן אידלמן
בכל עת שנעשה שינוי משמעותי ובכל מקרה כל שנה. אז יש כאן אלמנט שכל פעם שנעשה שינוי משמעותי.
היו"ר שמחה רוטמן
בסדר, אז אותו דבר. אם רצית שינוי משמעותי ולא עדכנת, תבוא אליו בטענות על זה, בסדר גמור, אין בעיה, ותתווכח איתו מה זה היה שינוי משמעותי או לא שינוי משמעותי. אני מקבל את זה.
רפי סלמה
למה להתווכח? אולי שיהיה אחת לשנה וזהו.
היו"ר שמחה רוטמן
לא הבנתי.
רפי סלמה
זה נותן לך ודאות מסוימת. אתה אומר שאתה לא יודע מה זה שינוי משמעותי.
היו"ר שמחה רוטמן
לא, לא אמרתי את זה, דווקא זה בסדר לי.
רפי סלמה
אז לי זה לא בסדר. המטרה שלי לתת ודאות.
היו"ר שמחה רוטמן
לך לא יהיה עיצום כספי, לך יש ממונה פנימי, אבל רק אם באתר אינטרנט בחוץ הוא יוכל לנקוט באופן עצמאי ובהתאם לדין ושאין לו ניגוד עניינים.
רפי סלמה
נדבר על זה בדיון אחר. אבל עכשיו, אני חושב שגם לתת ודאות פה, אז אחת לשנה נראה לי בחינה נכונה.
היו"ר שמחה רוטמן
לא הבנתי, הוודאות, אתה שואל ודאות לגבי מה זה שינוי משמעותי?
קריאה
אבל למה? אם יש שינוי משמעותי צריך לעדכן אותם. אני לא רואה סיבה שלא.
נעמה מנחמי
כתוב בכל עת שנעשה שינוי משמעותי בנושאים המפורטים בתקנת משנה (א) וחוץ מזה יבחן את הצורך בעדכון - - -
היו"ר שמחה רוטמן
העברת עכשיו את מאגר המידע שלך למחזיק אתה צריך לעדכן את המסמך.
רפי סלמה
אני חוזר בי. אני חוזר להסכים עם היו"ר.
היו"ר שמחה רוטמן
מצוין. לאט לאט זה עובד, התחלתי איתך, לאט לאט זה כל השולחן, עד שכולם יסכימו איתי. לאט לאט, ביחד ננצח.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(16) בדיקת מידע עודף: בעל שליטה במאגר מידע או מנהל מאגר שלא בחן אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר, בניגוד להוראות תקנה 2(ג) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;
היו"ר שמחה רוטמן
אם הוא בדק זה 160, אם הוא בדק ולא עדכן זה 160 פלוס 80. ואם הוא לא בדק ולא תיעד? אם הוא לא תיעד את זה שהוא לא בדק?
קריאה
עדיף לו לתעד, זה יותר זול.
היו"ר שמחה רוטמן
באמת שאלה, הרי איך תדע אם הוא בדק או לא בדק? אם הוא לא תיעד?
ראובן אידלמן
נתנו את זה כדוגמה לחובת התיעוד.
היו"ר שמחה רוטמן
אז תבוא תשאל אותי אם בדקתי, אני אגיד בדקתי ולא תיעדתי, מה תעשה לי?
עמית יוסוב עמיר
הנטל על הרשות, זאת אומרת אם הרשות רוצה - - -
היו"ר שמחה רוטמן
אז איך אתה יודע שלא בדקתי? אתה רק יודע שאין תיעוד לבדיקה שלי, אבל אתה לא יודע אם בדקתי או לא בדקתי. מה, אני אגיד לך לא בדקתי ולא תיעדתי או לא תיעדתי את מה שבדקתי? אני יכול להגיד לך בדקתי ולא תיעדתי, הרי כל מה שיש לך זה תיעוד פה.
ראובן אידלמן
אם זאת הטענה אז צריך להתמודד עם הטענה הזו. אם זו תהיה הטענה.
היו"ר שמחה רוטמן
מאיפה אתה תדע שלא עשיתי משהו? כי אין לי תיעוד.
ראובן אידלמן
זאת שאלה שאנחנו שואלים והשאלה מה התשובה.
היו"ר שמחה רוטמן
אם הוא הודה, בן אדם מתחשק לו לשלם 160,000 שקל.
ראובן אידלמן
זאת חובה שהיא מאוד מאוד חשובה.
היו"ר שמחה רוטמן
בואו נסכם, אין שום דבר בתקנות אבטחת מידע לצורך דיון זה שהוא לא מאוד חשוב, כל החובות הן מאוד מאוד חשובות, כל הדיון שלנו הוא אך ורק לשאלה אחת ויחידה, איך זה יעבוד בפועל, האכיפה של החובות המאוד מאוד חשובות הללו. אין כל חולק שהכול חשוב, כולל התאריך, כולל התוספת. זה לא הדיון, אל תשכנעו אותי שהחובה הזאת היא חשובה, אני שואל את עצמי שאלה מאוד פשוטה, תבואו ותגידו לי לא עשית בדיקה, מה שנקרא זה מס פראיירים? שבן אדם שמתנדב להגיד לך שהוא לא עשה בדיקה?
עמית יוסוב עמיר
לא בהכרח עניין של פראיירים, בסוף יש חובה - - -
היו"ר שמחה רוטמן
אבל לא תיעדתי, אז אני אגיד שלא עשיתי.
נעמה מנחמי
אתה צריך לדעת להגיד שעשית ולא תיעדת.
היו"ר שמחה רוטמן
זאת אומרת מס פראיירים. באים אליי לביקורת, שואלים אותי מה עם הבדיקה השנתית על המידע העודף, אני אגיד עשיתי ולא תיעדתי, 80, לא עשיתי, 160 פלוס 80, כי גם לא עשיתי וגם לא תיעדתי.
לינא כמאל טרודי
העניין הוא לא של התיעוד, אם השתנו מטרות המאגר מן הסתם אנחנו גם נוכל לשאול - - -
היו"ר שמחה רוטמן
יש ביטוי שנקרא מס אמת? לא נראה לי שלזה התכוונו, שאתה משלם מס על זה שאתה אומר אמת. מס אמת הכוונה שהמס הוא אמיתי, פה הסיטואציה היא שהחובה היא לא קיום או אי קיום של מסמך עד עכשיו, דליפת מידע, לא דליפת מידע, אלא באמת זה מס פראיירים. אני מנסה לתאר את הסיטואציה שבה תבואו ותגידו לבן אדם – זה בעצם לא קיימתי בדיקה. לא קיימתי את הבדיקה הזאת הכוונה שלא תיעדתי אותה, כי אני יכול תמיד להגיד הסתכלתי וחשבתי האם אני מקיים פה מידע עודף? ואללה לא. איך זה ייאכף?
לינא כמאל טרודי
אני אסביר איך אנחנו אוכפים את זה. השאלה היא מטרות המאגר. אם בכל שנה אתה משנה את מטרות המאגר, נניח המאגר שלך זה לעיבוד למידה לגילאים 20 ל-40, זה השירות שאתה נותן, זו מטרת מאגר שלך, כל שנה אתה צריך לוודא שהמידע אודות אנשים מעל גיל 40 נמחק, כי זה מידע שאתה לא צריך אותו. שוב, בשים לב למטרת המאגר. אם המטרה שלך היא רק לעבד ולשמור מידע על אנשים מגיל מסוים, בעלי אופי מסוים, זו מטרת המאגר, אז הבדיקה שאתה עושה היא - - -
היו"ר שמחה רוטמן
נכון, אבל בואי נניח שבדקתי, הגעתי למסקנה שאני מחזיק מידע רב, אבל לא עשיתי עם זה שום דבר. הבחינה היא דבר אחד. את יכולה להגיד מחזיק מידע עודף, אז אני מחזיק מידע עודף, תני לי קנס שאני מחזיק מידע עודף. לא תיעדתי שבחנתי, תני לי קנס שלא תיעדתי שבחנתי, אבל הבחינה בפני עצמה במנותק מהתיעוד שלה ובמנותק מהפעולה על פיה זה – שוב פעם, זה שלייקס על חגורה על שלייקס על עוד חגורה של עוד שני שלייקסים ולכן גם הוספנו את מנהל המאגר שיהיה עוד מישהו. זה משקל עודף, זה לא מידע עודף, זה לא הגיוני. הדרך היחידה שאתם תיתנו את הקנס הזה זה אם מישהו מטומטם מספיק להגיד לכם שהוא לא בחן. קנס על טמטום, זה חשוב, זה מייצר הרתעה נגד טמטום.
קריאה
אני לא בטוח, בסופו של דבר - - -
קריאה
זה כמו אזעקה שאם הוא לא הראה תיעוד לפעולה שהייתה צריכה ל - - -
היו"ר שמחה רוטמן
אז זה סעיף אחר.
קריאה
אזעקה שלא נעשתה.
היו"ר שמחה רוטמן
אבל זה סעיף אחר, רק שזה לא בתקנות ולא בזה. חובת תיעוד, קיבלת חובת תיעוד. אתה רוצה לתת חובת תיעוד אקסטרה, חובת תיעוד של בחינת מאגר המידע אחת לשנה למידע עודף? תגיד: תיעוד רגיל לכל פעולה 80, תיעוד לזה 160, אני מבין את ההיגיון, בפועל איך שהסעיף הזה מנוסח כרגע זה קנס על טמטום. אני מאוד לא אוהב מטומטמים, אבל עד רמת ה-160,000 שקל, וגם רמת הטמטום לא תלויה בשאלה איזה עוצמת מאגר אתה מחזיק. אתה מטומטם פעם אחת, זה מחדל אחד.
ראובן אידלמן
אפשר בצורה של כמה שאלות להבין איך הבן אדם טוען שהוא בחן, הוא צריך להסביר, איזה פעולות הוא עשה בעקבות זה.
היו"ר שמחה רוטמן
הסתכלתי וחשבתי. ישבתי וחשבתי.
ראובן אידלמן
אני חושב שזה יורד לרזולוציה יותר מקצועית מזה.
נעמה מנחמי
לא, הוא יגיד שהוא ישב בישיבה והוא רשם לעצמו.
היו"ר שמחה רוטמן
ישבתי עם עצמי וזיכרון כתבתי, אני נותן שירות מגיל 20 עד 40, זה לא בסדר שאני מחזיק את אלה שהם בני 60.
ראובן אידלמן
אז יכול להיות שבמקרים מסוימים זה יספק, אני לא יודע.
היו"ר שמחה רוטמן
אבל זה לא מתאים לעיצום כספי, במקרים מסוימים יספק או לא יספק.
ראובן אידלמן
אבל האלטרנטיבה שלא תהיה אכיפה היא אלטרנטיבה קשה יותר.
היו"ר שמחה רוטמן
אבל אני לא אמרתי שלא תהיה אכיפה. הרי אם הוא לא בדק מן הסתם הוא גם לא תיעד, כי אם הוא תיעד שהוא בחן אז הוא בחן. אין סיטואציה שהוא תיעד בחינה ולא ביצע את הבחינה, נכון? כי אין לך דרך לבדוק כמה רציני הוא היה בבחינתו, זה לא דבר שאתה יכול לעשות, בטח לא ברמת העיצום הכספי. אז ממילא אתה יכול להגיד חובת תיעוד זה וזה, חובת תיעוד על בחינה של מידע עודף קנס יותר גבוה. אני יכול לחיות עם זה, אני מבין. אני לפחות מבין רציונל, מבין איך זה ייאכף.
ראובן אידלמן
לקבוע את זה בחלק של חובת התיעוד.
היו"ר שמחה רוטמן
אתה יכול להגיד על חובת תיעוד רגילה כזאת וכזאת, על חובת תיעוד של החובה לפי סעיף 2(ג), בדיקת מידע עודף, קנס יותר גבוה.
ראובן אידלמן
בסדר, מקובל.
היו"ר שמחה רוטמן
אני מבין את ההיגיון, אבל לא בחינה, על הבחינה עצמה לא יהיה שום דבר, כי זה חסר משמעות. את זה נוריד ותעשו מדרגה נוספת בתיעוד.
ראובן אידלמן
בתיעוד, כאילו חובת תיעוד ספציפית ל - - -
היו"ר שמחה רוטמן
למידע עודף, שעליו יהיה – אתם רוצים קנס יותר גבוה? שוב, אני לא יודע אם זה מתאים לזה. אגב, שם התיעוד, על איזה קבוצות אוכלוסייה זה? למשל אין תיעוד על יחידים, זה אומר שבחינה על יחידים, לא יהיה לך בחינה על יחידים, אבל יכול להיות שיש לך עוד מעט - - -
ראובן אידלמן
לא, חובת התיעוד היא על כולם.
היו"ר שמחה רוטמן
לא. (9), עיצום, אין על היחיד. וזה בסדר, אני חי עם זה. שוב, כי זה לא הגיוני. כי זו המשמעות היחידה של בחינה, זה תיעוד שבחנת. אם אמרת שבחנת בחנת. מי המש"ק שאחראי על התיעוד של הבחינה ועל הגיבוי שלו?
רפי סלמה
אני אשמור על זכות השתיקה בהקשר הזה.
היו"ר שמחה רוטמן
טוב. (17), נוהל אבטחת מידע.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(17) הכנת נוהל אבטחת מידע: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא קבע במסמך נוהל אבטחת מידע בהתאם למסמך הגדרות המאגר והתקנות (להלן – נוהל אבטחה), בניגוד להוראות תקנה 4(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בסעיף 19(א) לתקנות, לפי העניין;
היו"ר שמחה רוטמן
זה בסדר לכולם? אין הערות? טוב.
נעמה מנחמי
טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


(18) נוהל אבטחה – הכנה, שמירה וקביעת הוראות: בעל שליטה במאגר מידע שאינו מאגר המנוהל בידי יחיד - - -








לא צריך את המאגר שמנוהל על ידי יחיד כי העברנו את זה לטבלה.

טור א' – ההפרה
טור ב'
טור ג'
טור ד'
טור ה'


- - - מחזיק במאגר כאמור או מנהל מאגר כאמור, שעשה אחת מאלה, לגבי נוהל האבטחה, בניגוד להוראה כמפורט בפסקאות משנה (א) עד (ד) שלהלן החלה עליו:






לא שמר אותו בהתאם להוראות תקנה 4 (ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין;
היו"ר שמחה רוטמן
זה שוב פעם קצת חוזר לשאלת כניסה לשיקול הדעת.
ראובן אידלמן
ושם עשינו תיקון.
היו"ר שמחה רוטמן
שם עשינו והפנינו לנוהל האבטחה, זאת אומרת שם אמרנו לא פעלת בהתאם לנוהל האבטחה, אבל פה זה עכשיו נוהל האבטחה, אנחנו קצת ברקורסיה.
ראובן אידלמן
לא, אני חושב שאפשר לעשות את אותו תיקון גם כאן. שם אמרנו בהתאם להוראות כפי שקבע בעל המאגר בהתאם לתקנה זה וזה.
היו"ר שמחה רוטמן
כן, אבל פה זה הנוהל הזה. איפה הוא קובע את ההוראות האלה? בנוהל האבטחה. פה זה נוהל האבטחה עצמו. אתה יודע מה כתוב במיליון בערך רקורסיה?
ראובן אידלמן
לא, כאן החובה היא לשמור את נוהל האבטחה.
היו"ר שמחה רוטמן
בצורה מאובטחת. איפה כתוב מי האנשים ש - - -
קריאה
לא, בצורה מאובטחת לא צריכה ל - - -
היו"ר שמחה רוטמן
לא, לא מאובטחת, פרטים ממנו יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם.
ראובן אידלמן
זו אותה הוראה בדיוק כמו שהייתה שם.
היו"ר שמחה רוטמן
אני יודע, אבל שם הפנינו ואמרנו הוראות שנקבעו – אמרנו שאתם תנסחו שם בהתאם להוראות שהוא עצמו קבע, פה הנוהל הזה, איפה הוא קובע אותם? שם, בסעיף שם, איפה הוא קובע את הנוהל?
ראובן אידלמן
לא, הוא קובע את זה בבעלי הרשאה. יש סעיף אחר שעוד לא הגענו אליו שהוא קובע את בעלי ההרשאה. זה בהתאם לבעלי ההרשאה שהוא קובע בחובה אחרת שיש לו שעוד נגיע אליה. זה לא כאן.
היו"ר שמחה רוטמן
כן? ככה זה עובד? נראה לי שהם בהלם. זה אחר, לא בנוהל האבטחה. חברים, זה טופסולוגיה שאין דברים כאלה, אני לא רוצה שום מאגר מידע אף פעם. אני חושב שזו המטרה תכלס.
קריאה
זה לא רחוק, זה בתקנה 8.
לירון בנדק
עמרי, ככה זה באירופה? ההקראה הזאת של הנוהל ולשמור אותו?
עמרי רחום טוויג
מה פתאום? אין חוקי אבטחת מידע כאלה ב - - - יש חובה כללית.
היו"ר שמחה רוטמן
אני חייב לומר, קשה לי עם זה.
לירון בנדק
אדוני, בהמשך למה שדיברנו קודם על האחוז ממחזור, כל הדברים האלה לא קיימים באירופה, לשמור את הנוהל, שגם הנוהל יהיה מאובטח והדברים האלה. בדקתי עם גוגל.
היו"ר שמחה רוטמן
אם איבדתי את הגיבוי של מי בעלי האבטחה לנוהל לאבטחה של השמירה?
נעמה מנחמי
זה לא מרגיש לכם קצת מיקרומנג'מנט?
היו"ר שמחה רוטמן
זה סופר מיקרומנג'מנט.
ראובן אידלמן
תקנות הן מאוד כאלה.
היו"ר שמחה רוטמן
זה שהתקנות הן כאלה זה מצוין, השאלה אם על כל סעיף בתוך התקנות אנחנו רוצים קנס.
קריאות
לא.
היו"ר שמחה רוטמן
מי נותן לי כן?
קריאה
גם צריך לומר שזה לא מתאים לכל סיטואציה.
לינא כמאל טרודי
אבל צריך להבין שכל סעיף בנוהל מייצר בעצמו סיכון אבטחת מידע ברגע שהוא נחשף.
היו"ר שמחה רוטמן
לא, הוא מייצר סיכון לנוהל.
לינא כמאל טרודי
לא, עצם החשיפה שלו. נוהל האבטחה הוא כשאתה נותן הוראה לעניין האבטחה הפיזית, הוראה לעניין הגישה למאגרים, איך אתה נותן, איך אתה מחלק אותם ואתה יודע כבר לזהות איפה יש חולשות. בסוף כשאני רואה את נוהל האבטחה של ארגון אני יודעת הרבה דברים.
היו"ר שמחה רוטמן
איך מתגברים על הבעיה הכה אקוטית הזאת? איזה הוראות יש לעניין שמירת נוהל האבטחה באירופה?
קריאה
לא יורדים לרזולוציה הזאת. שם זה רק מהות, אין את הדברים האלה.
ראובן אידלמן
זה לא GDPR, יש בכל מדינה רגולציית אבטחה, לכן זה לא נכון מה שנאמר כאן, שזה לא קיים באירופה. בוודאי שזה קיים, זה פשוט רגולציה שהיא נפרדת, לכן קוראים לזה רגולציית סייבר והיא מוסדרת בצורה נפרדת ועם סנקציות אחרות. ל-GDPR אין תקנות אבטחת מידע כאלה כי זה עניין מדינתי, אבל אם אדוני יראה את ההמשך של תקנה 4 ומה יש בנוהל האבטחה, אני חושב שכשקוראים את מה חייב להיות בנוהל האבטחה מבינים שנוהל האבטחה כשלעצמו הוא מסמך שאם הוא נחשף לאנשים לא מורשים זה - - -
היו"ר שמחה רוטמן
אני שואל שאלה מאוד פשוטה, שמעתי את הדיון פה, אמרתי עם כל הכבוד וזה נורא נורא מצחיק, אני את מאגר המידע שלי מעביר למדינה אחרת שפחות משגעים את השכל עם גיבויי האבטחה של נוהל שמירת מידע של ה-DPO.
קריאה
יש תקנות יצוא מ-2001 ש - - -
היו"ר שמחה רוטמן
תודה. אבל אני שואל שאלה, האם את הדף הזה של נוהל האבטחה אני צריך לשמר או שאני יכול לגרוס? מה קורה אם אני מנהל את אותו מאגר מידע בדיוק? אני עסק קטן שרוצה לנהל מאגר מידע קטן אם כי מידע רגיש, אני רופא בארה"ב ורופא בישראל או באירופה, כמה קלסרים אני צריך? יש חוק בארה"ב שהוא אחד החוקים האהובים עליי ביותר שנקרא paperwork reduction act, חוק נפלא. אגב יש להם יחידה ממשלתית מיוחדת עם טופסולוגיה משלה. אני לא צוחק. החוק הזה, paperwork reduction act, אומר שכל טופס, כל רגולציה ממשלתית שאתה מביא, אתה צריך לכתוב שם למטה כמה זמן לוקח לבן אדם רגיל למלא את הטפסים.

אני רופא ואני רוצה את המחשב שלי, שבו אני שומר את פרטי הפציינטים שלי, כמה קלסרים אני צריך למלא ואחת לכמה זמן אני צריך לעדכן אותם. האם ההוראות האלה של תקנות אבטחת מידע הן נטל רגולטורי סביר או לא סביר והאם עכשיו כשאנחנו מוסיפים עליהם את הסנקציות האם – אני מסכים שלכל אחת מהן יש ערך עצמאי והיא חשובה מאוד, אמרתי, זה הנחת מוצא, ועדיין הסנקציה הגדולה שבצדה לוקחת ומעמיסה לי על הנטל הרגולטורי דה פקטו, למרות שדה יורה הוא קיים גם היום. היום חייבים לעשות את זה, מצוין, הם לא עושים את זה ואת לא עושה איתם שום דבר ואת בעצמך הודית שאת לא אוכפת עליהם. מצוין, אז אין את הנטל הרגולטורי.
ראובן אידלמן
אוכפים.
היו"ר שמחה רוטמן
כן, אתם עושים כל הזמן ביקורות על עסקים קטנים, כל הזמן.
ראובן אידלמן
לא על עסקים קטנים, אבל על אחרים כן.
היו"ר שמחה רוטמן
רופא איפה נמצא פה?
ראובן אידלמן
רופא בודד הוא ברמת אבטחה בסיסית.
היו"ר שמחה רוטמן
אז עד היום לא יודע כמה עשיתם עליו, לא יודע אם הייתם עושים עליו מה הייתם עושים לו.
ראובן אידלמן
רוב החובות לא חלות עליו.
היו"ר שמחה רוטמן
נפלא, אבל עכשיו אני רק קורא בפרק הזה הנחמד שהוספנו עכשיו, במיוחד אם אנחנו מערבבים את כולם ביחד, ואז אני רואה שהוא צריך תיעוד כללי וגם אמרנו עכשיו שאם הוא לא יתעד את המידע העודף שלו אז הוא יהיה בקנס כפול, אז זה יהיה 2,000. זה יהיה 1,000 כי אין לו תיעוד בכלל ועוד 2,000 כי הוא לא שומר את הנוהל ועוד 2,000 כי הוא לא הכין מסמך הגדרות מאגר ועוד 2,000 כי הוא לא עדכן את מסמך המאגר שהוא לא הכין ואז הוא לא בדק את המידע העודף, וזה הורדנו כבר, ואז נוהל אבטחת מידע הוא גם לא הכין, אבל גם כשהוא הכין הוא לא עדכן והוא לא שמר עליו.

כל מה שאני אומר, בסופו של דבר האם הנטל הרגולטורי, אני מבין שאתם חושבים שהנטל הרגולטורי הזה נדרש, אני מבין אותו, עדיין בפועל לפני חקיקת החוק הזה הנטל הרגולטורי הזה הוא אות מתה ואחרי חקיקת החוק הזה הנטל הרגולטורי הזה הופך להיות וואחד נטל. אני שואל את עצמי האמנם, או הכצעקתה? האם נדרש?

אם אנחנו עוברים סעיף סעיף בכל סעיפי המיקרומנג'מנט של תקנות אבטחת מידע שהם כן עושים מיקרומנג'מנט, מאוד, האם לכל סעיף פה אנחנו צריכים להצמיד או שאנחנו יכולים לבוא ולהגיד סעיף כללי, לא קיים את הוראות תקנות אבטחת מידע, 2,000 שקל קנס וזהו? לפחות לעסקים הקטנים, לפחות לעסקים הבינוניים יהיה כל הטורים, לא קיים את הוראות תקנות אבטחת מידע באופן כללי בכפוף להתראה. ואז זה אומר שכשתואילו בטובכם לעשות ביקורת על עסק קטן תגידו לו: אתה לא עומד בתקנות אבטחת מידע, תקנות אבטחת מידע אומרות כך וכך ואז יהיה לו קומפליינס או לא יהיה לו קומפליינס. אני לא יודע, אבל זה לא הגיוני, אני חוטף חום כשאני רואה את הדבר הזה.

על פניו, כבר יש לי חסינות, אני לא יודע, אבל הייתי עורך דין, יכול להיות שהמחשב שהיה לי עונה להגדרת מאגר מידע, יכול להיות, אני לא יודע, אני לא הייתי כל כך עורך דין מאורגן, לא שמרתי, ולא היו לי הרבה לקוחות כל כך, היה לי משרד בוטיק, לא יודע, אבל אולי אני עבריין בזה שאני לא החזקתי את כל הקלסרים האלה. ואני עוד מכיר פרטיות, ואני אגיד לכם, המידע שאצלי היה סופר מאובטח, מה זה קשור? לא דלף עד היום.
ראובן אידלמן
ראש הרשות ביקש לדבר דרך הזום, אם אפשר.
גלעד סממה
אני חייב להגיד שיש לי הרבה רגעים שאני רוצה להתערב, אבל זה פשוט חסום.
היו"ר שמחה רוטמן
זה הטכנולוגיה והמשפט.
גלעד סממה
אני מבין מה שאתה אומר, אדוני היושב ראש, אבל גם אנחנו צריכים להבין, אגב זה לא רק בישראל, גם ברשויות מקבילות בחו"ל, סוגיית העסקים הקטנים היא סוגיה שיש לה חשיבות, כלומר היכולת שלנו וגם ברשויות הזרות להגיע לעסקים היא יכולת מאוד מאוד מוגבלת וברגע שאנחנו לא מצמידים לצד החובות האלה סנקציות שהן לא גבוהות, הן אפילו די זניחות, אנחנו בסופו של דבר לא נצליח להביא להפנמה של החובות האלה. אנחנו יודעים להגיד היום שאין הפנמה מספקת כאן בישראל וגם במדינות אחרות ואם אנחנו לא מצמידים לזה סנקציות מינימליות אז אנחנו לא נצליח להגיע להפנמה ואנחנו למעשה פוגעים בפרטיות.
היו"ר שמחה רוטמן
גלעד, אני מציע שנעשה איזה שהוא ברייק שיכול להיות מחזור עד 4 מיליון או משהו כזה, או ברייקים אחרים. צריך לחשוב, משאיר לתעשייה ולכם להציע. נעשה איזה ברייק ונגיד מתחת לברייק הזה יש עבירה אחת נקראת לא קיים את הוראות התקנות, בצורה הכללית ביותר, או לא קיים את מרבית הוראות התקנות, לא יודע, משהו בסגנון.

גלעד, אני חושב שגם אתה תסכים איתי שכשאתה מגיע לאותו עסק קטן ואתה מוצא אצלו תוהו ובוהו מוחלט, כי הוא לא עשה כלום, למה? כי הוא לא יודע. שוב, אותי מלפני הדיון הזה, שלא יודע ולא מבין מה אתה רוצה ממני. אני שומר, מאבטח את המידע שלי כמו בן אדם רגיל, הכול נמצא אצלי באיזה טבלת אקסל שאני לא הגדרתי אותה מאגר מידע ולא הכנתי לו מסמך ולא כלום ושמרתי את זה בטבלת אקסל, את שמות הלקוחות שלי ופרטי הקשר שלהם ועוד פרט מזהה על התיק שהפך את זה למידע סופר רגיש כי אני עורך דין בדיני משפחה, לטובת הדיון פה.

אז יש לי טבלת אקסל כזאת עם רשימת לקוחות שעל פניו היא מאגר מידע. לא הכנתי לה לא מסמך הגדרות ולא מיניתי לה ממונה אבטחה ולא עשיתי לה הערכת סיכונים ולא אבטחתי עם שני מנעולים עם ביומטרי את הכניסה לחדר שבו המחשב הנייד שלי מוחזק. לא עשיתי שום דבר, כלום, אקסל. זה הכול.
גלעד סממה
אבל יש כאלה שעושים חלק ואני לא רוצה - - -
היו"ר שמחה רוטמן
שנייה, אני רוצה שתעשה לי קומפליינס. אני רוצה שתבוא אליי ותיתן לי התראה ותגיד: תשמע, שמחה, ביקרתי אצלך ואתה משרד עורכי דין, הגיע הזמן שתתבגר, אתה לא יכול להתנהג כאילו אתה בשנות ה-70, אתה צריך לשמור על המידע של הלקוחות שלך. יש לך אחריות, האיראנים דופקים בדלת והולכים לקחת את כל המידע שלך.

בסדר, מצוין. נתתי לך את האפשרות לעשות את זה, אני נותן לך סמכויות פיקוח, תבוא אליי, תן לי התראה מנהלית, תן לי רשימת ריג'קטים, אני מיד ארים טלפון ליעקב, הוא יבוא וייתן לי הסבר איך אני מתמודד עם הריג'קטים שלך ולפעם הבאה שתבוא אני אהיה בסדר. מצוין. אני לא רוצה ולא מתכנן שאתה תבוא איתי עם רשימה, תגיד אוקיי, יש פה 17 סעיפים בתקנות אבטחת מידע ובכל אחד יש תתי סעיפים, 2,000 ו-2,000 ו-2,000 ואתה גם לא אבטחת ולא גיבית את המנעול של הצוללת הצהובה. זה אי אפשר.
גלעד סממה
אני רוצה להגיד, קודם כל בוא נדבר רגע שגם לגבי עסקים קטנים יש כאלה שמקיימים חלק מההוראות ויש כאלה, כמו שאתה אומר, שלא מקיימים כלום. אני לא רוצה להתייחס לאותם עסקים באותה צורה, כלומר מי שמקיים חלק מהחובות אני רוצה להתייחס אליו בהתאם.
היו"ר שמחה רוטמן
תן לו התראה מנהלית.
גלעד סממה
לא, אבל אנחנו כאן צריכים לקחת בחשבון, ואי אפשר להתחמק מהדבר הזה וצריך להבין את זה, היכולת שלנו להגיע, והמשק יודע את זה והעסקים יודעים את זה, היכולת שלנו להגיע לעסקים קטנים היא יכולת מאוד מאוד מאוד מוגבלת ואם העסקים הקטנים היום, שיש להם היום את החובות האלה, אם הם יודעים שכשאני אגיע אליהם, אם אני אצליח להגיע אליהם, אני בסוף רק אסיים עם התראה מנהלית אז אנחנו לא נביא להפנמה. אני אומר את זה חד משמעית.
היו"ר שמחה רוטמן
אני מבין אותך, אבל אני שואל אותך שאלה פשוטה, האם אני מצפה באמת, ואני אגיד לך יותר מזה, האם כשעשית את תהליך שיתוף ציבור על התקנות שלך ב-2017, לא אתה עשית את זה אז, אתה לא היית שם.
גלעד סממה
אני מסוף 2021.
היו"ר שמחה רוטמן
אתה התיאורטי, אתה בכובעך, עשית את תהליך שיתוף ציבור שלך ב-2017 האם באו אליך נציגי המגזר העסקי והעסקים הקטנים וזה וצעקו חמאס על כמות הרגולציה שאתה מטיל עליהם ואמרו, אדוני היקר, זה לא הגיוני שמשרד עורכי דין יצטרך להחזיק חמישה קלסרים ושלושה יועצי בטיחות והוא יצטרך גם להחזיק יועץ בטיחות בשביל שהמדפים לא יקרסו על העובדים מרוב הכובד? האם הם באו וצעקו חמאס על הדבר הזה או שהם באו ואמרו: מה זה משנה? זה תקנות בלי סנקציות, מה אכפת לי, תעשה מה שאתה רוצה. הגדולים ישמרו עליהם והקטנים, לא אכפת להם.

אני אומר לך, יכול להיות שהדרך הנכונה היא באמת שאתה תבוא ותציע בתקנות שתביא פה לוועדה אחרי החוק הזה מסלול ירוק רגולטורי ולהגיד עסק קטן צריך one pager אלא אם כן הוא מחזיק מאגר סופר רגיש כזה וזה, אבל הוא צריך one pager שכתוב שם זה והוא לא צריך את כל החובות האלה. העניין הוא שאתם יצרתם את כל החובות הרגולטוריות האלה ולאף אחד זה לא היה ממש אכפת כי אף אחד גם לא התכוון לקיים אותן ועכשיו אתם אומרים: אה, אתם זוכרים שאמרנו לכם פעם שיש חובה רגולטורית כזאת? עכשיו 160,000 שקל. בוקר טוב. זה לא עובד.
גלעד סממה
קודם כל אנחנו לא ב-160,000 שקל, כשמדובר בעסקים קטנים זה מספרים הרבה הרבה הרבה יותר נמוכים.
היו"ר שמחה רוטמן
לא, דיברנו על זה שגודל המאגר ורגישותו הוא לא בהכרח פונקציה של גודל העסק.
גלעד סממה
דבר שני, אדוני, למה צריך ללכת אחורה - - -
נעמה מנחמי
עד עשרה עובדים זה - - -
היו"ר שמחה רוטמן
עד עשרה מורשי גישה, זה לא עד עשרה עובדים. זה יכול להיות חנות אינטרנטית קטנה עם כמה שותפים.
ראובן אידלמן
זה לא לקוחות, אדוני, עשרה מורשי גישה. הכוונה היא לא ללקוחות.
היו"ר שמחה רוטמן
אני יודע מה זה מורשה גישה. אתם יודעים כמה מורשי גישה יש ליומן שלי? ואני לא קונגלומרט.
גלעד סממה
אין עשרה.
היו"ר שמחה רוטמן
לא אספר לך, יש יותר מעשרה.
גלעד סממה
אני רוצה רגע להגיד משהו. אנחנו באמת באנו עם הצעה, אני לא ישבתי והכנתי את טבלת העיצומים הזו ואת המספרים שם, אבל אני יכול להגיד לך שאני חושב שהעיצומים הם יותר נמוכים - -
היו"ר שמחה רוטמן
אז מי הכין?
גלעד סממה
- - ממה שאני מצפה בכלל שהרגולציה הזו תהיה. ולא רק זה, אחרי הדיונים אצלך, בדיונים האחרונים, המשק בעצמו ישב בחוץ ואמר לי את אותם דברים, שהעיצומים שלנו הם אפילו במקום מסוים נמוכים יותר.
נעמה מנחמי
על זה אין ויכוח.
היו"ר שמחה רוטמן
אין ויכוח. אני חושב שהעיצומים שלך, כשיושב פה, עכשיו הוא יושב פה מולי והוא לא רק מחוץ לחדר, כשיושבים פה גוגל העיצומים שלך הם מצחיקים, אבל כשיושב העסק הקטן שעד היום לא קיים אפילו לא רבע מההוראות שנתת לו והוא לא ידע שהן בכלל קיימות עליו ולמען האמת אם הוא היה יודע והייתם עושים RIA אמיתי על התקנות האלה, כמה נטל רגולטורי הן מטילות על עסק קטן.
ראובן אידלמן
חלות עליו מעט מאוד תקנות מהתקנות האלה.
גלעד סממה
אדוני, היה RIA אמיתי, היה שיתוף ציבור אמיתי. אני אומר לך את זה מתוך ידיעה, היה שם קונצנזוס. הבאנו את זה עם שרת משפטים שלא דגלה ברגולציה מכבידה על המשק, אנחנו מכירים את הדבר הזה. אני חושב שגם עסק קטן שיש לו מידע רגיש, דיברנו על רופא מקודם ואפשר לדבר על עוד כמה עסקים רגישים, אנחנו לא רודפים אחרי בעלי מכולות, אני שומע את הדוגמה הזאת כל הזמן, אבל זה לא האירוע, בסופו של דבר צריך גם לקחת בחשבון את המגבלות שלנו ויש לנו מגבלות.
היו"ר שמחה רוטמן
גלעד, אני לוקח בחשבון את המגבלות שלכם.
גלעד סממה
אם אנחנו יוצאים מהאירוע הזה כשבסופו של דבר אנחנו יכולים להגיע לעסק ורק לתת לו התראה ואחר כך להגיע אליו עוד פעם מתי שהוא, אני אומר שלא נצליח להביא להפנמה וצריך להבין שבארגונים האלה, בעסקים הקטנים האלה, יש גם מידע מאוד מאוד רגיש שיכול ממש לפגוע באנשים.
היו"ר שמחה רוטמן
אז יש לי הצעה שאני חושב שפותרת את הבעיה שאתה מדבר עליה, להגיד שאם יש לך עסק שלא עומד במרבית הוראות התקנות, צריך למצוא את הניסוח לעשות את זה, אז הוא יקבל קנס של 2,000 או אפילו קצת יותר גדול, וזה יהיה ה-קומפליינס הבסיסי לעסק הקטן וזה בסדר גמור.

לגבי הפרת ההוראות לכל השאר זה התראה ואז אתה אומר לו שעסק שהוא באמת לא מתפקד בכלל יחטוף את הקנס של ה-2,000, ואלו שמתפקדים בגדול, אבל יש להם כמה דברים שחסרים, הם יקבלו התראה לפעם הבאה, או שהם יצטרכו להגיש לך תוכנית תיקון ליקויים. לדעתי יש לך בחוק הוראה שאומרת שאתה יכול לתת – תחלק התראות פלוס תוכנית תיקון ליקויים ואז בלי הגשת תוכנית תיקון ליקויים במועד, תעשה על זה עיצום כספי. שזה יהיה בפוש ולא בפול, שאתה לא צריך לבקר אצלו בעסק עוד פעם בביקורת שגרתית, אלא באת, מצאת, נתת התראה פלוס תוכנית תיקון ליקויים ויש קנס על לא הגיש תוכנית ליקויים במועד שקבע לו הרשם.
גלעד סממה
אדוני מכיר את דעתי, אני לא שולל (נתק בזום).