פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



2
ועדת החוקה, חוק ומשפט
04/06/2024


מושב שני

פרוטוקול מס' 334
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, כ"ז באייר התשפ"ד (04 ביוני 2024), שעה 9:05

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
הכנה לקריאה שנייה ושלישית

חברי הוועדה: שמחה רוטמן – היו"ר
טלי גוטליב

גלעד סממה - עו"ד, ראש הרשות להגנת הפרטיות

ראובן אידלמן - עו"ד, היועץ המשפטי, הרשות להגנת הפרטיות

ניר גרסון - הרשות להגנת הפרטיות

נעמה גורני לר - עו"ד, המחלקה המשפטית, הרשות להגנת הפרטיות

אפרת מנדל - עו"ד, הרשות להגנת הפרטיות

דן אור-חוף - עו"ד, חבר המועצה להגנת הפרטיות

נועה גבע - עו"ד, המועצה להגנת הפרטיות

ד"ר תמר קלהורה - ממונה, ייעוץ וחקיקה, אזרחי, משרד המשפטים

עמית יוסוב עמיר - עו"ד, ייעוץ וחקיקה, משרד המשפטים

דין ליבנה - היועץ המשפטי, ועדת הבחירות המרכזית

יורם ביטון - מנהל אבטחת מידע וממונה על הגנת הפרטיות, המוסד לביטוח לאומי

מירה סלומון - עו"ד, ראש מינהל משפט וכנסת, מרכז השלטון המקומי

רחל ארידור הרשקוביץ - חוקרת, המכון הישראלי לדמוקרטיה

שחף קצלניק - עו"ד, יועץ משפטי, התאחדות התעשיינים

עדי הירשקורן קליין - עו"ד, הממונה על הגנת הפרטיות, אל על

נועה דיאמונד - עו"ד, מנחת הקליניקה לפרטיות, אוניברסיטת תל אביב

דן חי - יו"ר המרכז לחקר המידע, D.P.I. Group

גל עזורי - המרכז לחקר המידע, D.P.I. Group

אייל שגיא - עו"ד, משרד עמר, רייטר, ז'אן ושות'

ד"ר עמרי רחום טוויג - עו"ד, גוגל ישראל

דלית בן-ישראל - עו"ד, נשיץ, ברנדס, אמיר ושות'

ענר רבינוביץ׳ - מנכ"ל פרייבסי טים

איה מרקביץ' - חברת פרייבסי טים

גיא זומר - מייסד עמותת תמנון

נעמה מנחמי

איל קאופמן

אהובה שרון, חבר תרגומים


רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. יתכנו אי-דיוקים והשמטות.

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496

בוקר טוב. אנחנו דנים בהצעת חוק הגנת הפרטיות (תיקון מס' 14).

גברתי היועצת המשפטית, בבקשה.

למי שעוקב, היום אנחנו בדיון מספר 15. אנחנו חוזרים לשני נושאים שכבר דיברנו עליהם. האחד הוא הנושא של מפלגות, של החלת סמכויות יושב-ראש ועדת הבחירות על הבחירות לרשויות המקומיות שנדון בדיון הקודם אבל בעקבות בקשות של הוועדה עשינו שינויים נוספים. הנושא השני הוא שני תיקונים של סמכויות האכיפה שגם הם בעקבות הערות הוועדה בדיון הקודם.

נתחיל מהמפלגות.

בוקר טוב. אני כאן בעם השנייה בעקבות שיעורי בית. בישיבות הקודמות החליטה הוועדה להחיל את ההגנה שניתנת למפלגות בבחירות לכנסת גם על מתמודדים בבחירות ברשויות המקומיות כאשר בעקבות הערות הוועדה בישיבה הקודמת הוחלט כי ההגנה האוטומטית תחול בבחירות הכלליות לכל הרשויות המקומיות ולעומת זאת בבחירות שנערכות מעת לעת בשל פטירה, התפטרות או בנסיבות אחרות שעושים בחירות שלא במחזור הקבוע, יהיה אופט אין, כלומר, מתמודד יוכל לבקש את הגנת יושב-ראש ועדת הבחירות והיא לא תהיה אוטומטית. נתבקשנו לנסח את הדבר הזה.

יש לנו שלושה תנאים. אמרנו ש"מפקח או חוקר לא יפעיל סמכות הנתונה לו לפי סעיפים 23י(א)(4), 23יב" והוספנו את "23יד(א)(2) ו-(3)" שעוסקים בתפיסת חפץ וצו חיפוש וחדירה לחומר מחשב, וככל שיהיה לנו את צו הפסקת עיבוד נכניס כאן גם את צו הפסקת עיבוד. זה מוסכם ומובן.

בדיון הקודם דובר גם על סוגיית הפתיחה בחקירה ושם הבנתי שהגענו להסדר, ואני אשמח שתאמרו זאת לפרוטוקול, שההסדרים יהיו דומים למה שנוהגת המשטרה. למשטרה למיטב ידיעתי אין הוראה – ואם אני טועה, דין יתקן אותי – שאוסרת עליה לפתוח בחקירה בתקופת בחירות, בטח לא הוראה סטטוטורית בחוק, אבל כן יש איזשהו נוהל, הוראת התנהלות, מנהג, לא יודע באיזה סטטוס זה מוסדר, שאומר שעושים את זה בשיח, בהתייעצות עם יושב-ראש ועדת הבחירות לפני פתיחה בחקירה. יש משהו כזה?

זה לא בהתייעצות עם יושב-ראש ועדת הבחירות. יושב-ראש ועדת הבחירות אינו ממונה על רשות האכיפה אבל זה בידיעתו ובתיאום. יש רגישות מיוחדת.

זה מוסדר באיזושהי פקודת מט"ר או משהו או שזאת פשוט פרקטיקה?

זאת פרקטיקה.

מכאן קריאתי שלוחה לנסות לבקש שזה כן יוסדר באיזושהי פקודת מט"ר או בהנחיית פרקליט המדינה במובן הזה. משרד המשפטים, לתשומת ליבכם. אני כן חושב שבוודאי נושאים שקשורים לחקירה פלילית, הפרסום של פרקטיקות לא כתובות כאלה, שבמקרה הזה מבורכות, אני חושב שהן טובות ונכונות אלא שכדאי שהוא יהיה מוסדר יותר. אני מבקש שתדאגו לזה אבל ככל שיש הבנה שכשם שהמשטרה נוהגת בפתיחה בחקירה, כך תנהג גם הרשות להגנת הפרטיות, אני לא אעמוד על זה אבל אני אשמח שתאמרו את זה לפרוטוקול.

כפי שדין אמר, לא הכול מוסדר בנהלים פורמליים בעניין הזה, אבל מבחינתנו מקובל עלינו שמה שחל על המשטרה יחול גם על הרשות בהקשר הזה, גם הנחיות כאלה ואחרות שיש והצורך להתייעץ בפרקליט המדינה במקרים האלה. אנחנו מקבלים את זה שגם אם הרשות פותחת בחקירה, כפי שהמשטרה נוהגת נכון שגם הרשות תנהג כך.

בסעיף (ב) לא הכנסנו עוד שינויים. נכון?

לא. אין עוד שינויים. רק בסעיף (א).

השלב הבא הוא הניסוח - - -

הסעיף שעוסק בסמכויות בבחירות לרשות מקומית.

אם כן, נעבור על זה. יש לנו את סעיף 23יח.

עוד נראה איפה הוא ממוקם. נפרט סעיפים של כל הצעת החוק.

(1) ראש הרשות, מפקח או חוקר, לפי העניין, לא יפעילו סמכות הנתונה להם, כמפורט להלן בתקופת בחירות כלליות לכל המועצות. בסעיף זה, "סמכות", בתקופת בחירות כלליות לכל המועצות לעניין אמגר מידע אשר מתמודד בבחירות הוא בעל השליטה בו, אלא באישור יושב-ראש ועדת הבחירות האזורית.

(1) זה אותו דבר, זה קופי פייסט מסעיף 23יז(א).

סמכות לפי סעיפים 23י(א)(4), 23יב או 23יד(א)(2).

גם כאן יהיה צו הפסקת עיבוד.

(2) הטלת עיצום כספי, מסירת התראה מינהלית ומסירת הודעה על האפשרות להגיש כתב התחייבות ולהפקיד עירבון, לפי סימנים א', ב' או ג' לפרק בתקופת בחירות, בשדל הפרת הוראה מההוראות לפי חוק זה, המנויות בסעיף 23כג, הנוגעת למאגר מידע אשר מתמודד בבחירות הוא בעל השליטה בו, ושבוצעה בידיו או בידי מי שמחזיק במאגר מידע כאמור מטעמו.

נוסחת האיזון מתי ניתן אישור ומתי לא ניתן אישור. כמו בכנסת.

קבענו שזה יושב-ראש ועדת הבחירות האזורית ולא יושב-ראש ועדת הבחירות המרכזית.

נכון. דיברנו על זה.

סעיף (ב) הוא קופי פייסט.

(2) יושב ראש ועדת הבחירות האזורית לא ייתן אישור כאמור בסעיף קטן (א) אם מצא כי הפעלת הסמכות כאמור בו תפגע באופן מהותי ביכולתו של המתמודד בבחירות הנוגע בדבר להתמודד בבחירות או לנהל את הקשר עם ציבור הבוחרים, וכי עוצמת הפגיעה הצפויה כאמור עולה על הסיכון לפגיעה בפרטיות ועל הסיכון לפגיעה באינטרס הציבורי העומד בבסיס הפעלת הסמכות. יושב ראש ועדת הבחירות האזורית רשאי להתנות אישור כאמור בסעיף קטן (א) בתנאים.

(3) בטרם יינתן אישור לפי סעיף קטן (א), יבקש יושב-ראש ועדת הבחירות האזורית את עמדת המתמודד בבחירות הנוגע בדבר, אלא אם כן מצא שלא ניתן, בנסיבות העניין, לבקש את עמדתו, מטעמי דחיפות או כי יהיה בכך לסכל את מטרת הפעלת הסמכות המבוקשת. נסיבות העניין וטעמי הדחיפות יפורטו בהחלטת היושב-ראש.

שוב קופי פייסט.

את סעיף (ד) ו–(ה) הקראנו בדיון הקודם ועכשיו אנחנו צריכים להתייחס רק לסעיף X שבין סעיף (ה) לסעיף (ו).

(X) החליטה הרשות להפעיל סמכות כלפי מתמודד בבחירות שנערכות ביום שאינו יום הבחירות הכלליות לרשויות המקומיות בנוגע למאגר מידע שהמתמודד בבחירות הוא בעל השליטה בו, רשאי הוא לבקש שיושב ראש ועדת בחירות אזורית יקבע כי הרשות לא תפעיל את הסמכות כאמורה, בתקופת הבחירות לרשות אם מצא כי התקיים האמור בסעיף קטן (ב), או להתנות את הפעלת הסמכות בתנאים. על בקשה והחלטה כאמור יחולו הוראות סעיף זה, בשינויים המתחייבים.

זה ה-אופט אין למקרה של בחירות נקודתיות.

נכון. למעשה הוא צריך לפנות ליושב-ראש ועדת הבחירות ולבקש שיגן עליו.

והוספנו את ההגדרה בסעיף (ו): ""בחירות כלליות לרשויות" – בחירות כלליות לכל המועצות שמתקיימות לפי סעיף 4 לחוק הרשויות המקומיות (בחירות)".

"יושב ראש ועדת בחירות אזורית" –

זו בקשה נוספת של הוועדה בנוגע לסמכות מקומית. אם יש לך למשל מפלגה שמתמודדת בכמה רשויות מקומיות, הסמכות המקומית תהיה בירושלים.

נכון. אמרנו שאם המתמודד בבחירות יתמודד בבחירות לרשויות המקומיות באמצעות אזורי שיפוט שונים, יושב-ראש ועדת הבחירות האזורית שהוא שופט מכהן בבית המשפט המחוזי בירושלים, שזה בעצם אומר שכמעט כל פעם שמדובר בהפעלת סמכות על מפלגה, זה יהיה בירושלים.

מפלגה ארצית שמתמודדת.

זה יהיה בדרך כלל בירושלים. מתמודדים על ראשות עיר, זה יהיה תמיד מקומי. רשימות, זה תלוי בשאלה מטעם מי הן פועלות.

(1) מתחילת תקופת הבחירות הכלליות לרשויות ועד יום הגשת הרשימות.

(1) מפלגה כהגדרתה בחוק הרשויות המקומיות (בחירות).

(2) סיעה של מועצה יוצאת, כמשמעותה בסעיף 25 לחוק הרשויות המקומיות (בחירות).

(3) מי שזכאי לפי החלופה שבפסקה (1) להגדרת נציג רשימת מועמדים שבסעיף 16(א)(1) לחוק הרשויות המקומיות (בחירות), לקבל מידע פנקס, והמידע נמסר לו לפי סעיף 16(ג) לחוק האמור.

זה מי שמצהיר על כוונתו להתמודד?

כן. כפי שאמרנו בישיבה הקודמת, בניגוד לכנסת - לכנסת רק מפלגות יכולות להתמודד – ברשויות המקומיות יש לך כמה שחקנים שיכולים להתמודד ואחד מהם אלה קבוצות בוחרים.

מה ההבדל בין (ד) ל-(ג)?

מועצות אזוריות וראשי מועצות.

(4) מי שזכאי לפי סעיף 5ב(א)(1) לחוק המועצות האזוריות (בחירת ראש המועצה), התשמ"ח-1958, לקבל מידע פנקס, והמידע נמסר לו לפי הסעיף האמור.

איך אנחנו מתמודדים עם סוגיית האזור? ביום הבחירות הכלליות מתנהלות בחירות במקביל ביהודה ושומרון. הן מתנהלות מכוח התקנון שהוא קופי פייסט. איך אנחנו מחילים את זה? זה יתוקן בתקנות.

זה יתוקן.

אני מדבר מבחינת ההגדרות. ההגדרות שלהם, אני לא יכול בתקנון – זה בכל מקרה לא אני עושה אלא האלוף יעשה את זה – להטיל מגבלה על הסמכות של ראש הרשות להגנת הפרטיות לפתוח בחקירה או לנקוט הליכים. צריך כאן או הפניה או מנגנון או אמירה כללית על בחירות באזור או בתיקון לחוק. איך אתה עושה את זה?

איך שאנחנו עושים את זה בבחירות לכנסת ובבחירות לרשויות המקומיות.

בבחירות לכנסת אין לך בעיה במקרה הזה כי הבחירות לכנסת לא מוסדרות בתקנון. אני אומר מבחינת הפרסונות המוגנות.

חוק דרכי תעמולה למשל כן מעוגן בתקנון. החלתו מעוגנת בתקנון. אותו הדבר כנראה נעשה כאן. מיד לאחר שיחוקק החוק נפנה ליועץ המשפטי באיו"ש.

אבל היועץ המשפטי באיו"ש לא יכול בתקנון להגביל את סמכותה של הרשות להגנת הפרטיות לפתוח בחקירה.

הסמכות של ראש הרשות להגנת הפרטיות לגבי האזור תעוגן בתקנון. הוא ימונה גם לפי התקנון.

לא, לא.

זה מה שקורה היום.

לא. היום רוצה הרשות להגנת הפרטיות לעשות ביקורת על אדם שגר ביהודה ושומרון. למיטב הבנתי היא מוסמכת לא מכוח התקנון.

זאת שאלה נכבדה, מכוח מה נעשה הליך אכיפה בעניין הזה. שוב, אני לא יודע אם אנחנו צריכים עכשיו אבל חוק הגנת הפרטיות לא חל כפי שהוא.

אבל יש לו פרסונלי והפרסונות, אזרחי מדינת ישראל, הוא חל עליהם. כאן אני נותן אקסמפשן לבן אדם שהסיבה שאני נותן לו אקסמפשן היא כי הוא נציג בבחירות. אני כן חושב שאפשר לשים כאן איזשהו קולב ולומר או בבחירות דומות המתנהלות באזור או משהו כזה. כי אחרת כפי שיוגדר בתחיקת הביטחון. צריך לחשוב איך עושים את זה.

אני יכול לומר לך שבנוגע לחיקוקים אחרים שנוגעים לבחירות, למשל חוק דרכי תעמולה, עשינו אותו דבר.

דין, אני מבין את התשובה שלך אבל הסיבה היחידה שאתה בכלל עושה רגולציית בחירות ביהודה ושומרון היא מכוח התקנון. זאת אומרת, התקנון מעניק לך את הסמכות והתקנון מגביל לך את הסמכות או מגדיר לך את הסמכות. במקרה הזה הסמכות שלהם לא נובעת מהתקנון. לכן התקנון לא יוכל להגביל את הסמכות שלהם, ככל שיש להם. אני לא דן כרגע בשאלה. התקנון ביהודה ושומרון לא יוכל להגביל את הסמכות שלהם ולהכניס הגדרות.

זאת בעיה ניסוחית. תחשבו עליה ותציעו פתרון. זה ניסוחי. אני לא רואה כאן משהו מהותי כי כולנו מסכימים שמשתתפים בבחירות ומפלגות בישראל זכאיות לזה. צריך כאן לחשוב איך ניסוחית רשימת מועמדים או מועמד לראשות מועצה אזורית ביהודה ושומרון שמחזיק בסופו של דבר מידע על אזרחי מדינת ישראל ויש לי אינטרס שתגנו ויש לי אינטרס שתעשו פיקוח, יהיו לו את אותן הגנות. צריך למצוא לזה את הפתרון. אפשר לומר מי שזכאי לקבל רשימות מועמדים לפי דין אחר או משהו כזה. זה אומר לעשות את הקולב. תחשבו על הניסוח, תתייעצו על זה אבל לדעתי זה יפתור את הבעיה.

נבדוק את זה גם מול היועץ המשפטי באיו"ש.

(2) החל מיום הגשת רשימת המועמדים – רשימת מועמדים בבחירות למועצה של רשות מקומית ומועמד לראש רשות מקומית וכן מי שהגיש את רשימת המועמדים או הצעת המועמד, למעט קבוצה של בוחרים.

לקבוצה של בוחרים, אין להם את ההגנה כביכול.

נכון, כי אלה סתם אנשים שחתמו למועמד. הם כבר לא רלוונטיים יותר מהרגע שהוא מועמד.

נכון.

את מועמד' בבחירות, הורדנו. למה הורדנו?

כי הכנסנו אותו להגדרות למעלה.

"תקופת הבחירות הכלליות לרשויות" – תקופה שתחילתה ביום ה-101 שלפני יום הבחירות שלפי סעיף 4 לחוק הרשויות הקומיות (בחירות) וסיומה ביום ה-14 שלאחר יום הבחירות.

את זה עשינו דומה לארצי.

זהה.

בסדר. סיימנו?

כן.

מי היה מאמין.

הקליניקה לפרטיות, אוניברסיטת תל אביב. אני רוצה להתייחס בקצרה למנגנון ה-אופט אין כפי שהוא כונה כאן. אנחנו סבורים שהמנגנון שמופיע בסעיף (ב) וחוזר על עצמו כמה פעמים, הוא לא מספק, הוא לא יוצר את האיזון הנדרש והוא לא מגן כנדרש על הזכות לפרטיות משום שאם בהגדרה הפגיעה בזכות הפרטיות מטרתה לנהל קשר עם ציבור הבוחרים או להתמודד בבחירות, הסעיף יוצר לנו קבוצה ריקה. זאת משום שתמיד יוכלו לומר שיש כאן פגיעה מהותית בזכות להתמודד בבחירות, בהתמודדות בבחירות ובקשר עם הבוחרים. לדעתנו הסעיף לא אפקטיבי.

זאת שאלה כללית על ההסדר. זה לא על התוספות ולא על ה-אופט אין ולא על ה-אופט אאוט כי ה-אופט אין, להפך, הוא מצמצם את החשש שאת מדברת עליו. היום ההצעה הממשלתית דיברה על אופט אאוט. אנחנו אמרנו שזה אופט. דווקא ה-אופט אין מצמצם את הבעיה שאת מדברת עליה אבל הבעיה קיימת, היא בעיה על ההסדר הממשלתי ולא בעיה של ה-אופט אין או ה-אופט אאוט.

על הנייר היא פותרת אבל לדעתנו תמיד הפגיעה בפרטיות תהיה למטרות שמנויות בסעיף (ב).

אני מבין את הביקורת שלך ואני אומר שהביקורת שלך דווקא על המנגנון של ה-אופט אאוט היא יותר חזקה מאשר על ה-אופט אין כי ה-אופט אין הוא מצומצם יותר מאשר ה-אופט אאוט. בסדר, הביקורת היא על ההסדר הממשלתי ולא על השינויים שנעשו כאן ויש בה ממש ויש בה הגיון. זה מצד אחד ומצד שני גם בסוגיית דרכי תעמולה ומימון אנחנו מבחינים בין הפסקת העבירה במקרים מסוימים לבין החקירה, העיצומים וכדומה כי אנחנו מבינים שלפעמים גם כאשר מפלגה שבמטרה להשפיע עושה פאוול מסיבות כאלה ואחרות, הנזק שבהליכי האכיפה עולה על התועלת והאינטרס המדינתי. אנחנו מבינים את זה. גם בתחומים אחרים של מימון בחירות. הרי גם במימון בחירות דוח מבקר על התנהלותם של המועמדים במפלגות מוגש בדרך כלל חצי שנה אחרי הבחירות ואם הוא מאוד רחב לפעמים נפתחות חקירות פליליות וכדומה. למיטב ידיעתי אין לזה תקדים שהתחילו חקירות פליליות על מימון והגישו כתבי אישום על מימון בחירות בזמן מערכת בחירות. אני חושב שתמיד זה בא רטרו.

למעט מקרה אחד שאני זוכר אבל הוא חריג במיוחד ולא צריך לדבר עליו.

אלה דברים סופר נדירים, מתוך הבנה שזה האיזון הנדרש כי הסיטואציה בה אנחנו צריכים לבחור את ה-לסר אוף טו איוולס, כי הממונים הרבה פעמים הם גם גורמים שנתונים ללחצים פוליטיים. הם גופי מדינה ולכן יש את ה-באפר של יושב-ראש ועדת הבחירות. כאן, בניגוד למקרים אחרים שמראש נבנתה מערכת שבכלל זה לא פרקטי ולא ריאלי, כן אפשר לעשות את זה בתקופת בחירות עם שיקול דעת של יושב-ראש ועדת הבחירות. האם זה טיעון רלוונטי? ודאי שהנחת העבודה היא שבזמן מערכת בחירות כל מה שמפלגה עושה, זה כדי להשיג עוד בוחרים. זאת הנחת העבודה והשאלה היא האיזון והמידתיות. מי שמוסמך להחליט בדבר הזה זה יושב-ראש ועדת הבחירות שהוא הגורם הנטרלי שהמדינה הפקידה על ניהול מערכת הבחירות כולל האיזונים שלהם. הוא עושה את אותם דברים בדרכי תעמולה. גם אז הוא שוקל את הפעלת הסמכות שלו לצווי מניעה וכדומה על הפגיעה בהליך הבחירות, הנזק למפלגות והם השקיעו בקמפיין כזה וכזה. הוא שוקל את הדברים האלה, מקבל את ההחלטות, נכונות או לא נכונות אבל הוא האיש. כנ"ל, כמו שאמרנו על כל מיני הפרות אחרות. זה האירוע. אלה האיזונים. אין לי מישהו אחר שיעשה את האיזונים האלה.

אני חושבת שבפועל זה לא יקרה.

אני אומר שדווקא במקרה הזה של הפרטיות, בניגוד לדברים אחרים, אני חושב ששם המנגנון הזה הוא מנגנון שיהיה יותר בגדר המאפשר כי כשאין את ה-באפר הזה, כמו שאומרים, למרות שלא כתוב בשום מקום שלא פותחים בחקירות בתקופת בחירות, בפועל הולכים על ביצים וחוששים ונזהרים. כאן נוצר המנגנון. אם ירצו לפתוח, יהיה להם את דרך המלך לעשות את זה. יבחרו לעשות או לא יבחרו לעשות, בלי לפגוע חלילה ברשות להגנת הפרטיות, יש להם גם היום סמכות לעשות הרבה מאוד ומשיקולים אחרים של עומס אכיפה וכדומה הם לא עושים או לא עושים את הכול. מתעדפים. זו המציאות, אילוצי המציאות אבל אילוצי המציאות, לא הסעיף הזה יפגע בהם. אילוצי מציאות הם אילוצי מציאות.

יש עוד מישהו שרוצה להתייחס לפרק הזה של הבחירות לפני שאנחנו מתקדמים?

מרכז השלטון המקומי. האמת היא שקיבלנו ייצוג כל כך יפה בוועדה, גם מהיועץ המשפטי של ועדת הבחירות, גם מיושב-ראש הוועדה ולכן במצב הנוכחי כל המוסיף גורע.

שאלת הרשויות המקומיות באזור והמועמדים נדונה. אנחנו גם נעשה את הבירור שלנו איך אפשר יהיה לייצר פתרון בעניין.

לסעיף 23Xא, בתקופת בחירות כלליות. כתוב במקום לרשות מקומית, לכל המועצות, אבל זה לא לכל המועצות. אלה בחירות כלליות לרשויות המקומיות. אחר כך יש הגדרה של בחירות כלליות לרשויות המקומיות. למה זה לכל המועצות?

זה פשוט עניין של ניסוח.

אלה בחירות כלליות לרשויות.

זה צריך להיות אותו הדבר.

כן. בחירות כלליות לרשויות.

הגענו למצב שזו ההערה שיש לי לנוסח.

מצוין. סיימנו את פרק הבחירות. תודה.

הנושא הבא שלנו הוא סמכויות אכיפה. שני דברים אנחנו מבקשים לחדד בהמשך לדיון הקודם. בסעיף 23יד, סמכויות אכיפה, סעיף קטן (ב), הייתה בקשה של הממשלה לחזור ולהוסיף בחזרה את סעיף 32 שנשמט בטעות. כתבנו 31 ו-32(א) עד 42 והוראות הפרק הרביעי. הוראות הפרק הרביעי לא כוללות את הסעיף הזה וזה חסר. אנחנו מחליפים ל-31 עד 42 ו-45 וסעיף 32 נמצא למטה, זה הסעיף שעוסק בסמכות לתפוס חפצים. הנוסח בפני הוועדה.

הנושא הנוסף שהיה בפני הוועדה בדיון הקודם בנושא הזה היה סמכות העיכוב. כאן יש שני סעיפים כאשר אחד ביחס לחשוד ואחד ביחס לעד. הוועדה ביקשה מהממשלה לשקול פעם נוספת האם היא זקוקה בהכרח לנושא של עיכוב עד והממשלה החליטה לוותר על הסעיף.

תמסרי לטלי את תודתנו.

ביחס לסעיף (ג), הנושא של עיכוב חשוד, בגלל הדיון שהיה, רצינו רק להביא את זה לאשרור הוועדה כדי שלא ייווצר חשש לעניין האישור של הסעיף הזה.

לחשוד כן, ולעד לא.

כן. אלה שני התיקונים לפרק הזה.

באיזה סעיף זה?

סעיף (ג) הוא לגבי החשוד וסעיף (ד) הוא לגבי העד.

אם כן, סעיף (ד) ירד.

כן.

הנושא הבא הוא נושא ההתיישנות המקוצרת ואני מזכירה שגם בדיון הקודם ביקשנו הערות מהציבור בנושא הזה.

אגב, אם יש כאן אנשים שלא היו בכל הדיונים ורוצים לדבר, אנחנו פחות פורמליסטיים אבל כדאי להירשם. לא כולם היו כאן בכל הדיונים. בדיון מספר 15 הפסקנו להיות פורמליסטיים.

בדיון הקודם ביקשנו הערות מהציבור בנושא הזה של ביטול ההתיישנות המקוצרת. הערות כתובות למיטב ידיעתי לא קיבלנו. כן היו שתי ישיבות, נקרא להן שיתוף ציבור, שמיעת ציבור.

ההצעה כאן הייתה להפוך את ההתיישנות דומה לשאר הדברים. היו לכם שיחות.

כן. רק נציין שזאת התיישנות בנושא של תביעה אזרחית שהיום לפי חוק הגנת הפרטיות מצומצמת לשנתיים ובעצם אנחנו מציעים לבטל את הסעיף כך שתחול ההתיישנות הרגילה שבמדינת ישראל היא שבע שנים. כן הצענו סעיף תחולה כך שהוא יחול רק ביחס למעשים או מחדלים שקרו מיום תחילת החוק ולא אחורה.

לא להחיות תביעות שכבר מתו.

יותר מזה. לא רק שאנחנו לא מציעים להחיות תביעות שכבר מתו, אנחנו גם לא מציעים להאריך התיישנות של תביעות של תביעות שעדיין לא מתו אבל כבר קרו.

עניין הארכת תקופת ההתיישנות, ההבדל בין הארכה לבין זה, ניהלנו דיון ארוך. אפשר לעשות קופי פייסט ולהצמיד. כאן אנחנו לא עושים לא את זה ולא את זה ואנחנו רק אומרים דברים שיקרו מכאן ולהבא, ההתיישנות עליהם תהיה. מכאן ולהבא, הכוונה מיום תחילת החוק.

לא להשאיר את הנושא ריק מהעבר, עשינו מחקר קטן למה זה נקבע לשנתיים. דוח ועדת כהן, הוועדה המכינה של חוק הגנת הפרטיות, שהמליצה על חקיקתו, אומר שראוי שזאת תהיה תקופה קצרה כי אדם שנפגע בפרטיות, אם הוא לא הגיב תוך שנתיים, כנראה שזה לא באמת פוגע בו. הוועדה אמרה שזה גם ראוי בגלל בעיות של ראיות בתחום ולא כתבו מה רלוונטי היום. הם אמרו שזו אחת הדרכים להבטיח איזון בין הזכויות הפרטיות לזכויות אחרות. ניסינו לחשוב על ההיגיון מאחורי זה ואני חושב שאף אחד מהם לא עומד היום ולכן אני חושב שבסך הכול ההצעה שעומדת על השולחן היא נכונה.

גם אני חקרתי פעם את השאלה למה זה נקבע לשנתיים. ועדת כהן היא ועדה שישבה בסוף שנות ה-70 והיא ניסחה את חוק הגנת הפרטיות המקורי. אולי זה ממחיש שוב את הצורך בתיקון החקיקה החשוב הזה. צריך לומר שהוועדה עסקה במה שנקרא הפרטיות הקלאסית ולא בפרטיות במאגרי מידע. כמובן גם כל הטכנולוגיה אז הייתה אחרת ואותם שיקולים, כפי שד"ר דן חי ציין נזכרים בדוח, מתייחסים לפרק א' של החוק, עולם הפרטיות הקלאסית שבין אדם לחברו, נקרא לזה כך, ובאמת פחות למטריה של מאגרי מידע כפי שאנחנו עוסקים בה בחקיקה הזאת.

אני הייתי מציע להזיז את הביטול או לחכות עם הביטול עד תיקון 15. הסיבה היא שהיום מבחינת הפרטיות מהותית במאגרי מידע באופן ספציפי, אנחנו עובדים עם המון תושב"ע, עם פרשנות שהיא מתגלגלת ומשתנה לאור השפעות מאירופה בלי שבעצם יש איזשהו שינוי בחוק המהותי. אם תקופת התיישנות היא שבע שנים, מאוד קשה לכלכל את צעדיך לגוף בלי שיש כללים מאוד ברורים. בתיקון 15 אמורה להיות מסגרת יותר ברורה של מה צריך לעשות ואז יותר הגיוני לחזור לגוף ולומר שכך היית אמור להתנהג. הייתי מייעץ ללקוח לפני חמש שנים, זה לא מה שאני מייעץ לו היום בגלל דברים שהם למעשה שינויי פרשנות. ברגע שיהיה כתוב יותר, יהיה יותר הגיוני.

המכון הישראלי לדמוקרטיה. אני מסכימה עם הצעת הוועדה אבל כן יש לי התלבטות בדיוק בגלל היעדר התיקונים לדין המהותי שאין בתיקון 14. ברגע שאין לי בסיסי עיבוד וזכויות נוספות כמו חזרה מהסכמה ומטרות דומות, החוק כרגע עומד רק על הסכמה והפרשנות שלה. הארכת תקופת ההתיישנות לטעמי היא מאוד נכונה לגבי כל פרק א'. לגבי פרק ב', כרגע היא עשויה להיות בעייתית כמו שעורך דין שגיא מתאר אבל היא על עבירות כמו עוולה - עיון, תיקון, נתתי הסכמה או לא נתתי הסכמה – וכאן זה לב הבעיה כי זאת פרשנות מאוד מאוד מרחיבה וקלוקלת.

אני חושבת שלגבי סעיף תחולה, מה שאולי אפשר לחשוב זה לעשות תחולה נדחית לגבי פרק ב', לגבי עבירות של עיבוד ולעשות את זה אולי בעוד שנה או שנתיים בהנחה שעד אז יגיע תיקון 15. אני רוצה להישאר אופטימית. אם לא, להגיד שזה מה שיש, זה יחול וזהו.

אני שואל מה ההבדל שאתם רואים בין זה לצורך העניין לבין תביעת רשלנות רפואית. הרי גם ברשלנות רפואית כל התורה שנבנתה, תורה שבעל פה, דברים התווספו, פסיקה, הולדה בעוולה, מה זאת הסכמה והסכמה מדעת – אולי דווקא העובדה שהתביעות האלה, שהיום עד שאתה מבין שקרה לך משהו, אתה כבר לא יכול להגיש את התביעה, אולי זה מה שיפתח את התחום וייצר הלכות יותר רציניות ויותר חזקות ואנחנו דווקא עושים את מה שאנחנו מנסים לייצר.

בדיוק כאן ההתלבטות. הנסיבה היחידה שאני חושבת שלי יש את ההתלבטות, זה בגלל שאנחנו כן עושים כאן שינויים לגבי ההגדרות של מהו עיבוד ומהו מידע. התחולה אולי - שאני מקווה שתהיה אכיפה יותר גדולה והבנה יותר טובה של מתי יש פגיעה בפרטיות – להעמיד את הכול על הסכמה, זה עשוי - - -

זה שהחוק כולו טוב במובן הזה שיש בו חוסרים רבים, לא נראה לי שיש כאן מחלוקת. אחת הבעיות בביקורת שיש עלי, על הביקורת שלי על מערכת המשפט היא שאנשים חושבים שאני אומר שלא צריך. אני חושב שבית המשפט אמור לייצר לנו דווקא בתחומים האלו הלכות, ודאות משפטית, הלכות מחייבות של העליון. זה המוצר הציבורי שבית המשפט אמור לייצר לנו. הטענה שלי היא שהיכן שהוא צריך לייצר, הוא לא מייצר והיכן שהוא לא צריך לייצר, הוא מייצר. כלומר, הוויכוח הוא לא אם הוא מייצר אלא אם הוא עושה את זה בתחומים הנכונים. כל ייצור ההלכות ייעשה סביב המשקפיים של העיצומים הכספיים – ואגב, שם לוחות הזמנים הם אחרים – וההליכים ושם ייווצרו כל ההלכות שעם כל הכבוד בסופו של דבר מי שייצר את ההלכות תהיה הרשות להגנת הפרטיות על בסיס מדיניות האכיפה שלה ומתי בא לה לסגת ומתי לא בא לה לסגת. זה חשוב, זה טוב אבל זה מוגבל מאוד. לעומת זאת הנפגעים האמיתיים, הציבור, בין אם באמצעות תביעות גדולות, בין אם תובענות ייצוגיות, כל מה שלא יהיה – שם זה דבר שדוחף הרבה מאוד את התחום בעולם, זה יצא חסר. כמה זמן יש לכם להגיש עיצומים כספיים?

שנה וחצי לפי מה שהוועדה סיכמה.

שנה וחצי מרגע שנודע לכם.

כן.

אבל לא מרגע ביצוע.

נכון.

גם מרוץ התיישנות.

מרוץ התיישנות, מאוד קשה לדעת באזרחי לדעת מתי היה הדבר, מתי נודע לך, מתי לא. אתם כרשות מינהלית, יש לכם חזקה, לא ידעתם קודם. המציאות היא קצת שונה. זה שנה וחצי ואז יש הליכים וההליכים יכולים להימשך עוד זמן וגם יהיו עתירות. הכול ייבחן בשאלה האם הוא הפעיל את שיקול הדעת שלו באופן סביר או לא, במקום בבחינה לגופה, האם הייתה פגיעה, לא הייתה פגיעה, יש פיצוי או אין פיצוי, דה -נובו, על ידי בית משפט שייצר לי הלכה בעליון. זאת קצת אוטופיה. הלוואי שזה היה עובד כמו שצריך.

גוגל ישראל. לגבי עניין הדה-נובו, לגבי ייצוג הלכות, בדיון שהיה לגבי יכולת הערעור ועוד נשאר פתוח על סוגיית העיצומים הכספיים, אני חושב שהחשיבה הייתה לייצר דיון מהותי גם בדיון בבתי משפט על העיצומים הכספיים.

נכון, אתה צודק, אבל אני ריאלי. אני יודע איך בית משפט בדרך כלל מתערב בעיצומים כספיים.

אגב, יש מקומות אחרים בעולם כמו באירופה למשל שהדיון המשפטי המהותי נגרר מהליכים רגולטוריים ולא מהליכים פרטיים.

בסדר, אבל אנחנו לא חדשים במדינה.

צריך לזכור שבדין הפלילי ההתיישנות היא שונה.

אמת אבל כמה הליכים פליליים מנהלים בשנה? כמה מתאימים לפלילי?

אני אומר שהטענה שלהם, כמה שאולי יש בה איזשהו חן, היא לא עומדת מול הדין הפלילי.

בסדר, נכון, אבל זה אירוע.

אני רוצה להתייחס לשתי נקודות. בתי המשפט עדיין עובדים גם בתביעות ייצוגיות ולמרות שלא תוקן חוק תובענות ייצוגיות, יש הרבה תביעות בפרטיות.

זה בדרך. זה יגיע לפני תיקון 15.

כנראה. יש הליכים ויש גם הלכות. ספציפית לגבי התקופה, אני חייב לומר שכעורך דין פרטי אני חצוי. כעורך דין שמטפל בתובענות ייצוגיות, שבע שנים - יותר איום על לקוחות, יבואו יותר, ייזהרו יותר, יופי. אבל עיקר העבודה שלי היא ייעוץ ובייעוץ אני מנסה תמיד לראות מה יבוא כי אני מסתכל קדימה. אני יכול להגיד פחות או יותר שאני יכול להסתכל שנתיים קדימה, שלוש שנים קדימה, לאן הדברים הולכים כדי להתכונן. אם היום אני צריך לחשוב שתתנהגו היום, הרי יש אלמנט הרתעתי בתובענות ייצוגיות ובכלל בתביעות - - -

רגע. אירוע תובענות ייצוגיות הוא - - -

אני מדבר על עוולת הרשלנות כמכווינה התנהגות. אנחנו זוכרים את אירוע המקרר. יש תפקיד כזה. אני חושב שהיום אני יכול בגדול לומר ללקוחות שבשנתיים הקרובות, בשלוש השנים הקרובות, תעשו כך, זה בסדר. לבוא ולהגיד שזה יהיה לכם טוב, ההתנהגות הזאת עוד שבע שנים - - -

אתה צודק, אבל - סליחה שאני אומר - לצורך העניין היית, לא אתה אישית אבל עורכי דין העוסקים בתחום, מפונק כשהיו לך שנתיים עת עורכי הדין שעוסקים ברשלנות רפואית, היו להם שבע שנים ולפעמים אפילו יותר כי כשעוסקים ברשלנות רפואית של קטינים זה שבע שנים פלוס 18 ולא נראה לי שזה פגע בפרנסה של עורכי הדין. העניין כאן הוא לא הפרנסה לא של עורכי הדין ולא של היועצים אלא העניין כאן הוא באמת השאלה למה שבן אדם שנפגעת זכותו לשלמות גופו יש לו שבע שנים ונפגעת זכותו לפרטיות, הוא עומד עם הלשון בחוץ אחרי שנתיים.

עוד משהו בנושא הזה? הנוסח יישאר כפי שרשום כאן. "סעיף 26 לחוק העיקרי – בטל". זה סעיף שקובע את ההתיישנות המקוצרת ו"הביטול של סעיף 26 לחוק העיקרי בסעיף X לחוק זה יחול לעניין מעשה או אירוע שנעשה או אירע לאחר יום התחילה".

אולי כשנחזור לזה אני עדיין לא סגרתי דלת לגבי עילות התביעה החדשות שאנחנו מייצרים כאן. זאת אומרת, התביעות האישיות ללא הוכחת נזק שעליהן אני עדיין שוקל לייצר או משהו יותר מקוצר או איזה פיילוט כדי כן לא לייצר סיטואציה שמצד אחד עקרון השמרנות, לנסות לא לעשות זעזוע גדול מדיי, כאשר גם ייצרתי כאן תביעות חדשות לגמרי ללא הוכחת נזק וגם בלי ההתיישנות ואז לך תראה שבעוד שבע שנים שמרת את ההודעה שבן אדם שמסרת לו את המידע לגביו. זה נטל קצת כבד.

לגבי התביעות החדשות שייצרנו עכשיו כאן, אני עדיין בסימן שאלה. לגבי שאר התביעות, פרק א' ופרק ב', אני לא רוצה לייצר כאן את הדיפרנציאציה.

DPO, ממונה על הגנת הפרטיות.

DPO, כאן יש לי מחאה גדולה על השימוש בשפה העברית והאנגלית. מה ראשי התיבות של DPO?

... פרוטקשן...

איך אומרים את זה בעברית?

ממונה הגנת פרטיות.

לא. ממונה אבטחת מידע.

לא. הגנת מידע.

פרוטקשן אפשר לתרגם גם לאבטחה וגם להבנה.

לא.

בכל מקרה זאת לא פרטיות. המילה פרייבסי, היית חושב שה-P זה פרייבסי אך לא.

המילה פרייבסי לא מופיעה ב-GDPR.

לא, כאן יש הבדל בין האירופאים לאמריקאים. בארצות הברית זה נקרא CPO צ'יף פרייבסי אופיסר. אם כן, יש ויש. זה לא ש-DPO זה בכל העולם.

אנחנו רוצים להתחבר למונחים שיש בחוק שלנו.

ה-DPO, תרגום מילולי מביא אותנו לממונה אבטחת מידע.

הגנת מידע.

הגנת מידע ולא הגנת פרטיות. לכן ה-DPO מוחה. אקדמיה, אנא הושיעו.

ה-GDPR עוסק רק במחקר. הוא בכלל לא עוסק בפרטיות. אין את המילה פרטיות.

אנחנו כן עוסקים בפרטיות.

לכן לא כדאי להשתמש בביטוי DPO.

זה נכון.

אתה יכול לומר שזה דאטה פרייבסי אופיסר.

זה עדיין DPO.

ממונה על הגנת הפרטיות. אנא, הורידו את ביטוי ה-DPO מהחוק. הוא לא יופיע בנוסח.

בוקר טוב. משרד המשפטים. קודם כל, רק לומר כאמירת פתיחה קצת מאוחרת אבל חשוב להודות לוועדה ולייעוץ המשפטי של הוועדה על המשך הדיונים והקדשת הזמן והמאמצים לחקיקה החשובה הזאת. אין ספק שנעשתה הרבה עבודה ויש עוד עבודה לפנינו, אבל בהחלט אני חושב שאפשר כבר לראות את ההתקדמות.

לגופו של עניין. אנחנו כאן מגיעים להצעה להוסיף רכיב חדש שלא הופיע בהצעת החוק הממשלתית. היא תוכננה לעלות בתיקון 15 שנזכר כאן קודם. הטריגר או המניע המיידי להצעה להוסיף אותו הייתה הכוונה של הוועדה לבטל את תפקיד מנהל מאגר המידע. אנחנו עושים כאן איזשהו טרייד אוף. זאת אומרת, לוקחים תפקיד שבאמת היה קיים בדין הישראלי ולא קיים ב-GDPR ובדינים מתקדמים אחרים ומחליפים אותו בבעל תפקיד שאכן קיים ב-GDPR קודם כל ובעוד דינים של מדינות שונות כאשר הראייה הכללית היא שבעל התפקיד הזה הוא גורם בתוך הארגון הפרטי, הציבורי, שמקדיש את פעולתו לתחום הגנת המידע והגנת הפרטיות. בניגוד למנהל מאגר המידע שאותו מוצע להסיר מהחוק למעט לגבי גופים ציבוריים, על בעל התפקיד הזה לא מוצע להטיל עליו אחריות אישית אלא מוצע להטיל עליו תפקידים כאורגן, כגוף בתוך בעל השליטה או המחזיק במאגר המידע שיפעל לטובת ההגנה על הפרטיות בתוך הארגון.

בהצעת החוק בנוסח שלפנינו יש שלושה סעיפים. סעיף אחד קובע את המקרים בהם תקום חובה למנות ממונה הגנת פרטיות בארגון, הסעיף השני מדבר על התפקידים של ממונה הגנת הפרטיות והסעיף השלישי מדבר על תנאי הכשירות למלא את התפקיד.

אתם רוצים לומר כמה דברים בהתחלה, לפני שנעבור על הסעיפים?

נראה לי שכדאי לקיים איזשהו דיון.

שני דברים. ראיתי שכתוב במסמך ההכנה שהשאלה אם משאירים את הממונה על הבטחת מידע עדיין נמצאת בדיון אבל עמית אמר כרגע - - -

אני דיברתי על מנהל מאגר מידע.

מנהל המאגר. יש כאן שלוש פונקציות, שתיים קיימות ואחת שאנחנו מדברים עליה. מנהל מאגר – במסגרת העיצומים דיברנו על זה הרבה – הוא פונקציה שלאף אחד לא ברור מה מטרתו. יש את ממונה אבטחת המידע ויש את ממונה הגנת הפרטיות ואני לא אומר DPO.

ממונה אבטחת מידע, אם אני מבינה נכון, נשאר. זה לא שהממונה הגנה על הפרטיות מחליף אותו.

יכול להיות שהתנאים למינוי משתנים.

ההצעה המקורית שאנחנו הגשנו לוועדה הייתה לבטל את ממונה אבטחת המידע. קיימנו בשיתוף עם הייעוץ המשפטי לוועדה שני מפגשים של שיתוף ציבור ושמיעת הדעות השונות. אפשר לומר ששמענו דעה – יגידו כאן האנשים בעצמם – די נחרצת שלא נכון לבטל את התפקיד הזה.

למה חשבתם לבטל את התפקיד?

אני רוצה לומר כמה מילים.

אתה יכול לענות לי על זה?

אני אענה. אני אנסה לסכם את הדיונים וגם את החשיבה. בגדול, אני חייב לומר שעצם החובה למנות בעל תפקיד מסוים היא חובה משונה מבחינה רגולטורית. היא חובה משונה כי אני אומר שאתה חייב לעמוד במשימה מסוימת. כאשר אנחנו עובדים עם גופים ציבוריים, אנחנו רגילים לזה. חובה על השוק הפרטי היא משונה ולכן אני אומר במישור הרגולציה. גוף ציבורי, אנחנו יודעים שבסופו של דבר אם אין מישהו שהוא האבא של נושא, הנושא לא מטופל. ברשות מקומית או במשרד ממשלתי צריך שיהיה ממונה על חופש מידע , צריך שיהיה ממונה על הגנת הפרטיות וצריך שיהיו כל מיני ממונים כדי שיהיה אבא לאירוע. בגוף פרטי, אני מטיל עליך את החובות המהותיות הרגולטוריות, אני אומר שתדאג למידע שלך שלא ידלוף ותוודא. אתה רוצה לעשות את זה עם מחלקה שלמה, בסדר.

מה זה ענייננו?

בדיוק. זה מצד אחד. מצד שני החובה הזאת לא מוטלת על כל אחד. היום אותה חובה של אבטחת מידע, ממונה אבטחת מידע, לא מוטלת על כל מי שמחזיק מאגר מידע. אלה באמת רק שחקנים מסוימים שיש לנו עליהם רגולציה כבדה יותר, גופים שבעולם הפרטי הייתי קורא להם גופים דו-מהותיים, זאת אומרת שמחזיקים גם מסות של מידע. בעולם הפרטיות בכלל הרבה מאוד פעמים ההגנה שאנחנו זקוקים לה אל מול גופים פרטים היא לא פחותה מההגנה שאנחנו זקוקים לה אל מול המדינה. לצורך העניין גוגל ופייסבוק מחזיקים יותר מידע על אזרחי מדינת ישראל מאשר רוב משרדי הממשלה. קודם החזירו אותנו ללימודי המשפטים לפסק דין בש והמקרר, בהקשר הזה זה פסק הדין על חברת חשמל, על הגוף הדו-מרותי, על קסטנבאום.

אנחנו לא שם.

בעולם הפרטיות אנחנו כן שם.

בסדר, אז בוא נתקדם. למה אני כמחוקקת צריכה לחרוג ממנהגי ולהתייחס לזה.

זה קיים היום בסעיף בחוק.

זאת השאלה.

אני חושב שהסברתי עכשיו את התשובה. התשובה היא שבנושא מידע ובנושא פרטיות, התפיסה היא שהמידע שמוחזק גם על ידי גופים פרטים - אז קודם כל החובה הזאת קבועה בחוק לגבי גופים ציבוריים ואני מניח שלזה את לא מתנגדת.

גוף ציבור, נגיד. גוף ציבורי, אנחנו במישור אחד. גוף פרטי, אנחנו במישור אחר. תסביר לי למה. לא קלטתי. גם אם לא הסברת בשנייה הראשונה, סימן שגם אתה לא נעול על זה.

לא. 17(ב), מי ממונה. "הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה ממונה על אבטחת מידע". זה החוק הקיים, סעיף 17(ב). גוף ציבורי כהגדרתו בסעיף 23 – על זה אין ויכוח. בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי – התפיסה היא שהגופים האלה, התפיסה של החוק הקים - - -

יוצרים סיכון יותר גבוה לפרטיות.

זו חובה שממילא קיימת ברגולציה הענפית.

אם היא קיימת, למה אתה צריך לתייג אותה כך?

שאלה טובה אבל זה חוק ישן.

תפנה אותי ותאמר לי היכן זה קיים.

אני חושבת שהסיבה שזה קיים כאן - - -

אם אמרו לי משהו, אני בודקת.

הרלוונטי היחידי שהוא לא גוף עם רגולציה כבדה מלכתחילה או גוף ציבורי ומחזיק בחמישה מאגרי מידע החייבים ברישום.

זה יחייב אותו?

החוק.

כל החוקים בישראל פשוט מופלאים ואני לא יכולה לעמוד בפניהם. מה זה קשור? אני שואלת. לא תמיד היית יושב-ראש ועדת חוקה, היו כאן כל מיני יושבי-ראש.

אבל אני עניתי. את לא רוצה את התשובה, זה בסדר. את אומרת שהרציונל של בסיס החוק - - -

בסיס הרציונל. לא הבנתי.

אני אומר שמי שמחזיק בחמישה מאגרי מידע החייבים ברישום.

זה הגבול? חמישה?

זה מה שכתוב היום בחוק.

מי הגה את זה?

המחוקק. את רוצה תשובה או את רוצה לשאול? את רוצה לשאול, תשאלי ותסיימי את השאלה ואני אענה.

התפיסה שעמדה בבסיס החוק אז שבאה המדינה בהתחלה ואמרה שהיא רוצה לבטל את זה. זאת אומרת, היא אמרה בהצעה הממשלתית שהיא רוצה – שוב, לגבי גופים ציבורים זה לא יבוטל בכל מקרה מסיבות אחרות כי יש רגולציה פנימית ממשלתית, אבל לגבי מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף 8, אמרה הממשלה שמבחינתה היא מוכנה לבטל. האמירה שבאה בשיתוף ציבור, למה? כי באמת מדובר בעוד שלייקעס ובעוד חגורה וזה דבר די משונה מלכתחילה. אנחנו מראש בהליך החקיקה כאן הורדנו בצורה משמעותית את הגופים החייבים ברישום ולכן היום מי אלה בעצם הגופים החייבים ברישום?

לכן, בלי שאני נוגע בסעיף הזה בכלל, החובה הרגולטורית של סעיף 1 פחות או יותר נעלמה. למה? בלי שאני נוגע בחוק. אני לא צריך לתקן את סעיף 17 עכשיו כי מי חייב היום ברישום מאגרי מידע? גופים ציבוריים וממילא נכנסים דרך סעיף 2 והיחידים שלא, אלה ה-דאטה ברוקר וה-דאטה ברוקר מתוך אותה הנחה שאני מחייב אותם ברישום וגם ה-דאטה ברוקר שמחזיק רק מאגר אחד לא מחויב. זה שהוא יעשה את זה בכל מקרה כי הוא חייב בגלל ה-GDPR או חייב בגלל הגופים האלה, זה עניין אחר אבל אמיתית הסעיף הזה היום למעשה כמעט רוקן מתוכנו כתוכן חדש, מלבד לעניין הגופים הציבוריים שאני כן חושב שצריכים שיהיה להם ממונה אבטחה ואני כן רוצה עליהם את החובה הרגולטורית הזאת. הסעיף כמעט רוקן מתוכנו.

האמירה שנאמרה בשיתוף ציבור, ואני חושב שהיא נכונה, שבעצם למרות שסעיף (א1) למעשה הפך כמעט לקבוצה או מאוד מאוד קטנה או קבוצה שאנחנו בכל מקרה נתפסת דרך מקומות אחרים, לביטול הסעיף יש שדר מאוד בעייתי, כאילו למדינת ישראל, גם כלפי חוץ, כל האירוע שאנחנו מחוקקים את החוק הזה עכשיו זה בין היתר איך מדינת ישראל נתפסת בעולם כמגינה על הפרטיות גם מעבר למה שהיא עושה בפועל ואנחנו בהחלט משדרגים את ההגנה בחוק. זה לא רק עניין של יחסי ציבור אבל ביטול הסעיף הזה, הכותרת שתצא יש לה פגיעה במעמדה של מדינת ישראל וגם בשדר אל מול השוק של הרשות להגנת הפרטיות שתשמעו חבר'ה, הגנת מידע כבר לא חשובה לנו. זה האירוע.

אני רוצה לומר לך ולפרוטוקול. שמעתי, הקשבתי ואפילו לא הפרעתי לך כמו שאתה אוהב. אני חייבת להגיד שאם הממשלה ביקשה - אני לא מאמינה שאני מחזקת את הרעיון של ממשלה כזו כמחוקקת – בעיניי להטיל את החבות הזאת על חמישה מאגרי מידע, לדעתי לא סתם הממשלה ביקשה להוריד את זה. זה לא עומד בקריטריונים של חקיקה. אנחנו מתערבים כאן יותר מדיי, מטילים כאן חבות על השוק הפרטי בעיניי באופן לא מתאים, עם כל הכבוד זה שאמרו לכם שכן, אמרו לכם שלא, יש כאן הוראת חוק שעומדת על תילה, קבועה כיום אבל אתם מחוקקים משהו ומתקנים משהו, צריך להיות לזה רעיון במסגרת הגיונית. למה שנטיל את החבות הזאת על בעל חמישה מאגרי מידע? למה חמישה ולא שבעה? למה חמישה ולא שלושה? סתם לצורך העניין. כאשר זה השוק הציבורי, כאשר אלה בעלי עניין ובעלי סיכון גדול יותר לפגיעה בפרטיות כמו הבנקים למיניהם - ואגב, לא העברת לו בוואטסאפ מה שאמרת שתעביר לי, על החיתוך החקיקתי – בהקשר הזה למה צריך להשאיר את זה? חמישה מאגרי מידע, זה מה שיוצר, זה מה שמחזק את הגנת הפרטיות של ישראל? לא. אגב, חלים עליהם האיסורים העקרוניים הרגילים. הוראות החוק חלות ממילא.

זאת עמדתי שלא תתקבל. כולם מרותקים מהחוק הזה ובאים לוועדה הזאת מכל שאר הוועדות. עוד מעט אני הולכת, יש לי חוץ וביטחון, לשמחתך. אתה חייב להתחיל את הוועדות בשעה 11:00 ואז יהיה לך שקט גמור.

אם משאירים את הסעיף, יש שם חוסר בהירות לגבי חמישה מאגרים. בפרקטיקה הכוונה היא חמישה מאגרים של אחרים ולא של הגוף הזה.

נכון. בדיוק. זה נתון לפרשנות.

זה על מחזיק.

זה גם היה. זו הייתה הכוונה. ההגדרה החדשה של מחזיק היא מי שמחזיק עבור אחר. השאלה האם מחזיק עבור אחר יודע האם המאגר חייב ברישום או לא וזו שאלה שמוטלת בספק. דנו בזה גם קודם לכן. לכן אולי בעל שליטה במאגר שחייב ברישום, למשל דאטה ברוקרס זה יותר הגיוני שהם ימנו.

יכול להיות. נחשוב על זה. זו הערה נכונה. תחשבו על זה. דיברנו על זה. אגב, זה נכון לגבי כמעט כל החבויות של מחזיק. זה לאו דווקא לגבי החבות הזאת. אתה יכול לומר שאת הטופס שבו בן אדם שולח תרשום ותצהיר שזה לא חייב ברישום. יש דרך להעביר אחריות בחוק הגנת הפרטיות, גם ב-GDPR.

החובה של המחזיק תהיה חובה של מי שמחזיק מטעמו.

על בעל השליטה אנחנו מטילים חבויות אחרות, חבויות של תקנות אבטחת מידע, עיצומים כספיים, כל האירוע. המחזיק הוא אירוע נפרד.

ההערה היא חשובה והיא נכונה רוחבית. כאן היא באה לידי ביטוי בצורה מיוחדת. מבחינתי זה רק מחדד כמה הקבוצה הזאת היא כמעט קבוצה ריקה.

המועצה להגנת הפרטיות. נמצאת איתי גם עורכת דין נועה גבע מהמועצה. אדוני, המועצה מברכת על המהלך הזה של הוספת חובת מינוי ממונה על הגנת פרטיות כבר בתיקון 14. זה נושא שהמועצה כבר הביעה את דעתה בעבר בנושא הזה והיא סבורה שיש צורך אמיתי לא רק בעניין של חובת המינוי אלא לעשות את זה כבר עכשיו ולא לחכות לתיקון 15 לחוק. הצורך בתפקיד הזה נובע מזה שיש הכרח שגופים שמנהלים מידע ובמיוחד הגופים האלה שמנהלים מידע בהיקף גדול וברגישות גבוהה, תהיה להם גם הסדרה פנימית וזה גם מתוך ההבנה שהמודל המודרני הנכון להסדרה של מידע אישי דורש לא רק אכיפה חיצונית אלא גופים פנימיים או סמכות פנימית שתבצע את המוטל על הארגון, בין אם הוא בעל מאגר או מחזיק מאגר בנושא הזה של הגנת מידע אישי ופרטיות.

אנחנו לא ממציאים את הגלגל בנושא הזה. אנחנו מיישרים הלכה למעשה קו עם חלק גדול מאוד מהחקיקה המודרנית בעולם בתחום הזה שתופסת את התפקיד הזה כתפקיד הכרחי.

לפי ה-GDPR קיימת חובה למנות ממונה על הפרטיות?

אמת, ולא רק לפי ה-GDPR אלא בהתאם לכמה עשרות חוקים מודרניים בנושא הזה בעולם. זה לא רק האיחוד האירופי. אנחנו בהחלט מיישרים קו בנושא הזה.

זאת חובה או בסט פרקטיס?

חובה. בארצות הברית, היא אולי עולם בפני עצמו, יש שם חובות ספציפיות סגמנטליות. זה מוסדר בצורה אחרת אבל בארצות הברית, אולי להבדיל מהתרבות הישראלית, הרבה מאוד חברות בצורה וולונטרית אכן מינו CPO כאלה, צ'יפ פרייבסי אופיסרס. אני לא בטוח שזה משהו שאפשר לקוות לו גם מבחינתנו אבל בהחלט בעשרות מדינות בעולם שחוקקו חוקים מודרניים בנושא הזה - - -

אתה אומר להשאיר.

זה לא להשאיר. זה משהו חדש.

אני יוצאת לוועדה אחרת והסעיף הזה הוא הסעיף היחיד שיש לי איתו קושי. לכן אני מציקה לכם. לשיטתכם אתם לא סומכים על מחזיק חמישה מאגרי מידע שהוא בעצמו ידאג לממונה. זה מה שאתה אומר לי? אתה רוצה להשאיר את הסעיף הזה כי אתה אומר שאתה בעצם לא סומך על הגוף הפרטי הזה שיעשה את זה באופן וולונטרי.

זאת הצעה של הרשות למנות ממונה והרבה גופים לא מינו.

הצעה היא הצעה. היא לא מחייבת. זאת עדיין לא סיבה. אני רוצה להבין למה זה לא בוטל. זה קיים בחוק, זאת הוראה קיימת, אני רק באתי להקשות.

להבהיר לגברתי שכרגע מה שעורך-דין אור-חוף מדבר עליו, זאת חובת ממונה שהתנאים הם קצת שונים. זה ללא התנאים.

אני יודעת. אנחנו לא שם. אני יודעת שאני גורמת לכם לכאב ראש, אבל זה משהו שאני לא יכולה לעקוב בדיעבד ולכן אני רוצה להבין את העניין הזה. לכם הכול ברור. אני כאן מחויבת לאנשים ששואלים את השאלות האלה ואני השופר שלהם, אז קחו אוויר ותספרו עד חמש. אני רוצה להבין האם העובדה שאנחנו לא מסירים את חובת מינוי ממונה לבעל חמישה מאגרי מידע זה כי אתה לא סומך עליהם שהם יעשו את זה באופן וולונטרי? זה הרעיון?

ההצעה להוסיף את חובת מינוי ממונה הגנת פרטיות לחוק הגנת הפרטיות - - -

זה כבר קיים.

לא נכון.

טלי, אולי תתני לו לענות?

מה שקיים בחוק, זה ממונה אבטחת מידע ומה שמוצע כרגע זה ממונה הגנת פרטיות. אלה תפקידים נפרדים ושונים בתכלית. כרגע על הפרק זה הוספה של חובת מינוי ממונה הגנת פרטיות לחוק והמטרה של החובה הזאת היא שלארגונים מסוימים שהם אלה שיוצרים את הסיכון היותר גבוה, אנחנו נדרוש מהם למנות ממונה מהסוג הזה, סמכות מהסוג הזה, בין היתר גם כדי להעלות את הנושא לסדר עדיפות גבוה בניהול הסיכונים הארגוניים של החברות האלה וגם כדי להחליף - וזאת גם עמדת המועצה – את התפקיד הארכאי מהגדרה מאוד מעורפלת של מנהל מאגר שלדעת המועצה אנחנו צריכים להיפרד ממנו לשלום ולהחליף אותו בתפקיד המודרני שהוא ממונה הגנת פרטיות והוא התפקיד שנדרש על מנת שאותם ארגונים שמבצעים רמת סיכון גבוהה, תהיה להם סמכות מודרנית עם הגדרת תפקיד מסודרת ועם הוראות.

זה לגבי ממונה הגנת הפרטיות. טלי שואלת אותך מה עמדתך לגבי ביטול החובה של 17(ב), החובה הקיימת, לממונה אבטחת מידע. לא לעניין ממונה הגנת פרט.

העמדה של המועצה להגנת הפרטיות היא קודם כל שצריך לעשות הבחנה בין ממונה הגנת הפרטיות לממונה אבטחת מידע. כמו שאמרתי קודם, אלה שני תפקידים שונים בתכלית, עם ייעוד שונה, עם הכשרה מקצועית אחרת. מהבחינה הזאת בעינינו חובת מינוי ממונה אבטחת מידע היא חובה נכונה, היא קיימת בחוק, יש הכרח גם בראייה של הפרקטיקה, חברות שמשתמשות בתפקיד כזה וממנות לתפקיד כזה מנהלות את אבטחת המידע שלהן בצור היותר טובה, בוודאי בעידן כזה שבו אנחנו נמצאים כאשר כל השוק הישראלי נמצא תחת מתקפות סייבר מסיביות. אם אנחנו נבטל את התפקיד הזה, אנחנו בעצם משדרים אולי משהו הפוך ממה שאנחנו רוצים מהסיבה לשמה התכנסנו כדי לדון בתיקון 14 וזה כדי לחזק את היבטי אבטחת המידע בארגונים פרטיים כציבוריים.

מהבחינה הזאת אנחנו סבורים שהתפקיד הזה לא צריך להתבטל והוא צריך להישאר בנפרד משאלת מינוי ממונה הגנת פרטיות. אנחנו חושבים שהעניין הזה של איזון, של העובדה הזאת שהחוק כפי שהוא כיום, קבע איזון בהתחשב בעובדה הזאת שמינוי ממונה אבטחת מידע זה נטל כלכלי ולכן הוא קבע מגבלות מסוימות. מי הם הגופים שצריכים למנות – אפשר בהחלט לדון אם הסף הקיים היום הוא הסף הנכון אבל ההיגיון כתפיסתית שאנחנו רוצים לחייב גופים שיוצרים את הסיכון הגדול יותר למנות ממונה אבטחת מידע, בהחלט אנחנו תומכים בזה ותומכים בזה שזה יישאר.

אתה שוכנעת לגבי החמישה מאגרים?

נראה לי שכדאי שנצלול לפרטים כי בסופו השטן בהקשר הזה, או לא השטן, נמצא בפרטים. זאת אומרת, השאלה על מי מוטלת החובה הזאת.

אם אפשר להזכיר לוועדה את השתלשלות העניינים.

נכון להיום הרגולציה הישראלית מטילה חובות למנות שני בעלי תפקידים - אם אני טועה, יתקנו אותי – מנהל וממונה אבטחת מידע. מנהל אנחנו מבטלים. מורידים. לא יהיה מנהל. מבחינתי זאת רגולציה מאוד משמעותית וחשובה ואני מברך על כך שכולם כאן מסביב לשולחן מסכימים על כך. זאת הייתה רגולציה בעיניי מיותרת לחלוטין. הביטול לא היה בהצעת החוק הממשלתית והבשורה שיצאה מכאן, מהוועדה היא שחובת מינוי המנהל, אנחנו מורידים לחלוטין. זאת דה-רגולציה אחת.

דה-רגולציה שנייה היא שהחובה למינוי ממונה אבטחת מידע מכוח סעיף 17 יורדת משמעותית ולא בגלל שאנחנו מתקנים את סעיף 17, בהנחה שההצעה הזאת התגבשנו בה ותישאר, אלא בגלל הדה-רגולציה השנייה שהבאנו כאן בוועדה שהיא ביטול חובת הרישום הגורפת.

לגבי זה אני מזכיר לוועדה שהיו כאן כמה דיונים לגבי השינוי הזה שגם הוא תוצאה של צמצום משמעותי של חובת הרישום עליו החליטה הוועדה.

נכון.

הייתה כאן הצעה, דווקא של הוועדה, לשנות קצת את המבחנים שקבועים ב-17(ב).

כאשר נגיע לשם נגיע. יכול להיות שמה שנקרא במונחי דה-רגולציה נתנו מיליון וניקח בחזרה חצי מיליון או 100,000. אין ספק שהצמצום יהיה דרסטי. יכול להיות שנצמצם במעט את הצמצום כשנגיע לסעיף הזה אבל הצמצום הוא צמצום דרסטי. חשוב שטלי תבין את זה כי מה שהיא מעלה, בוודאי עולם הדה-רגולציה, אני לחלוטין מסכים איתה. אני מעדיף כמה שפחות רגולציה על עסקים שהיא לא נצרכת ומשרתת באופן ישיר את מטרות הרגולציה. בדרך כלל אני לא אומר לעסקים תמנו בעל תפקיד. אני אומר להם תעמדו בחובה המהותית ואם אתם לא תעמדו בחובה המהותית, תחטפו. תכף נדבר על זה גם בעולם של מה המשמעות או הסנקציה לעניין ממונה הגנת פרטיות.

ממונה הגנת פרטיות שהתכנון של רשות להגנת הפרטיות והתכנון העולמי בהקשר הזה, מה שקורה ב-GDPR, בחקיקות המודרניות וכדומה, זה לחייב קבוצות מסוימות בממונה הגנת פרטיות, שזה משהו שונה מממונה אבטחת מידע. הוא כאילו עוד יותר עוסק כקצין ציוד, כמו שאנחנו מחייבים בנקים וגופים גדולים.

לא. נדבר עליו אחר כך.

נדבר עליו אחר כך.

לא קצין ציוד כמו מישהו שירים למעלה את ההגנה על הפרטיות ולא רק ברמה המינימלית של ציוד.

נכון, אבל אני אומר שבעולם הישראלי, הדבר הכי דומה לזה זה קצין ציוד בבנק. נכון להיום אין לנו את הדבר הזה. זה הכי דומה. אני משתדל להשתמש במסגרות הקיימות. כמובן אתם צודקים שהוא עולה.

ממונה הגנת הפרטיות הוא מה שבמידה מסוימת צמצמנו את חובת המנהל, צמצמנו את חובת ממונה אבטחת מידע, אחד בישיר ואחד בעקיף, ואנחנו מוסיפים את מה שהממשלה תכננה לעשות בתיקון 15. אנחנו מקדימים את זה. הגענו למסקנה שכחלק מההגנה המשופרת על הפרטיות שאנחנו רוצים לעשות בשביל תיקון מספר 14, גם מהשוק זה בא ואנחנו מנסים לייצר איזשהו גישור בין מה שקורה בסופו של דבר בנושא הגנת הפרטיות ואני חושב שלעתים הרגולציה הבינלאומית היא שיקול בפני עצמו. זאת אומרת, אם במדינת ישראל חובה מסוימת לא קיימת, זה עלול לפגוע במעמדה של ישראל. זה פעם אחת ופעם שנייה, זה עלול להזרים לתוך מדינת ישראל את העבריינים. זאת אומרת, האנשים שרוצים לעבור על חוקי הגנת הפרטיות ובאירופה ובארצות הברית לא נותנים להם – ישתמשו בישראל כחצר האחורית של הגנת הפרטיות וזה גם יוציא את שמנו לרעה בעולם וגם יפגע בשוק.

כמובן יישור קו עם הסטנדרטים המובילים. מעבר לכל מה שציינת, גם מסייעים לקשרי המסחר והכלכלה הישראלית בהעברות מידע.

נכון. אמת. לכן אני מברך את הממשלה שהסכימה להקדים בהקשר הזה את ה-DPO מתיקון 15 לתיקון 14.

עד כאן תקציר הפרקים הקודמים בעניין ה-DPO. אני כן אומר שנצטרך לחשוב על זה בעולם הסנקציות. זאת אומרת, האם אנחנו הולכים למקום שמינוי DPO הוא חובה, בסדר גמור, נכון, השאלה האם אי מינוי DPO זו הפרה, זה עיצום כספי, או - שמעתי שעלה רעיון - זה סוג של מגן ולא חרב. צריך לחשוב במישור הסנקציות. נדבר על זה עת נגיע להמשך.

הערות כלליות לפני שנתחיל לקרוא את הפרק ונעבור סעיף-סעיף.

אנחנו מתנגדים לקביעת כל כך הרבה תפקידים סטטוטוריים שבמידה מסוימת הם גם חופפים זה את זה. אנחנו לא רואים שום סיבה במנהל מאגר במידה מסוימת.

אבל מנהל הורדנו.

אני מדברת בשם גוף ציבורי.

בגוף ציבורי מנהל הוא לא גוף נוסף.

בכל גוף זה לא היה גוף נוסף. מנהל מאגר מידע היום הוא עובד הארגון.

אבל אני אומר הוא לא בעל תפקיד נוסף במובן הזה שבחברה תורת האורגנים אומרת לי שלא צריך למנות בעל תפקיד. הסיבה היחידה שחייבו אותי למנות בעל תפקיד באמת הייתה נטל רגולטורי. בגוף ציבורי לכאורה, השר, ראש העיר, ראש הרשות הרלוונטית, הוא הגורם האחראי אלא שאנחנו יודעים שבגוף ציבורי זה לא האדם, זה לא ראש הרשות. השר לא אחראי למאגרי המידע של משרד המשפטים או של משרד הפנים אלא יש מנהל מאגר. צריך שיהיה מנהל מאגר. לכן אני אומר שבגופים ציבוריים זה בגלל תורת האורגנים השונה ולא בגלל הנטל הרגולטורי.

אני אומרת שיש כאן כמה וכמה תפקידים שהם יכולים להצטמצם כאשר מדובר ברשויות מקומיות. מנהל מאגר, אני לא חושבת שיש היום טעם בסעיף הזה, בטח ובטח לא כאשר מדובר במחזיק. כבר דיברנו על כך כמה פעמים, על השאלה בין בעל מידע לבין מחזיק.

אני מקריאה הגדרת מנהל מאגר מחוק הגנת הפרטיות: "מנהל פעיל של גוף שבבעלותו, באחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה". כידוע ברשויות המקומיות יש הסדרים מאוד ברורים לגבי מי מנהל מידעים. מנהל מאגר במקרים שאנחנו מכירים, ממש נלקח מאוד ברצינות. יש גם אחריות שיש עם זה. אין באמת סיבה להתייחס למנהל מאגר.

לגבי ממונה אבטחת מידע וממונה על הגנת הפרטיות. מדברים כאן על שני תפקידים סטטוטוריים שעכשיו עומדים להיקבע.

אחד קיים. רק אחד עומד להיקבע.

נכון. אחד מצטמצם במידה מסוימת.

לא, לכם לא מצטמצם. בגופים ציבוריים הנושא של ממונה אבטחת מידע לא יצטמצם. הוספנו DPO.

היא אומרת מה שתאמר רשות מקומית.

הגדרת מנהל מאגר בגוף ציבורי, לפי התיקונים עליהם דיברנו, "ולעניין גוף ציבורי המנהל הכללי של גוף שבבעלותו או באחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו". אני לא מחייב אתכם למנות מנהל מאגר. אני פשוט אומר שאם המנהל הכללי לוקח אחריות על המאגר, הוא בתורת האורגנים הפנימית של הגוף הציבורי יהיה אחראי. אם הוא לא לוקח אחריות על המאגר והוא ממנה בעל תפקיד, הוא נפטר כביכול מאחריותו. זאת לא חובה למנות מנהל מאגר אלא אם אני לא מבין את התקנות.

האם מאגר יכול להיות גם אחד מהתפקידים האלה? ממונה אבטחת מידע יכול להיות גם מנהל מאגר?

תכף נדבר על זה. אני רק אומר שמנהל מאגר, אני לא רואה בחוק – אולי אני טועה – ואין לכם חובה למנות מנהל מאגר.

אני חושבת שיש פתרון לזה. הסיבה היחידה שמשרד המשפטים רוצה להשאיר את מנהל המאגר, זה בגלל תקנה 18א(2) לתקנות אבטחת מידע. אני מציעה לתקן את תקנה 18א(2) לתקנות אבטחת מידע ולהכניס בתוכה שביצוע השחזור יהיה באישור בעל השליטה במאגר המידע או בגוף ציבורי המנהל הכללי של גוף שבבעלותו או באחזקתו מאגר מידע. אז תורידו מנהל מאגר מהחוק.

כמו שאמר היושב-ראש, יש הבדל בין גופים פרטיים לגופים ציבוריים.

איפה הגדרת מנהל בחוק?

סעיף 7.

הצענו לוועדה הגדרה מדויקת.

הם הציעו להגדיר אותו כ"מנהל הכללי של גוף שבהובלתו או באחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה לעניין גוף ציבורי".

חוץ מתקנות אבטחת מידע, לגופים ציבוריים יש גם את תקנות הגנת הפרטיות בעניין העברת מידע בין גופים ציבוריים. יש שם יותר ארוך שעוד רגע אני אקריא אותו. שם גם יש תפקיד חשוב למנהל מאגר מידע בהעברת מידע בין גופים ציבוריים. זאת פונקציה שקיימת רק בגופים ציבוריים ושם זה מהותי ולא טכני.

הכול בסדר אבל לכאורה גם שם, אם אנחנו מתקנים את ההגדרה כמו שאנחנו מתקנים, מי שיהיו עליו החובות והחבויות לפי העברות מידע לפי סעיף 23 והתקנות לפיו, יהיה מנכ"ל הרשות.

אם לא מינה. כן.

אם הוא לא מינה. אני לא מחייב אתכם למנות. אם הוא לא רוצה למנות, הוא הגורם. אני לא מטיל עליכם את החובה למנות מנהל. אם אתם רוצים למנות מנהל, בסדר. בגוף ציבורי בלי הגדרת מנהל, אין לי בעל מאגר.

גם ברשות המקומית.

גם ברשות המקומית. מי בעל המאגר?

כאשר מדובר ברשות מקומית, יש סעיף בחוק שמדבר על כך שהרשות המקומית פועלת באמצעות ראש הרשות. זה שמטילים את זה על המנכ"ל כברירת מחדל - - -

רשות מקומית, היא אומרת כאן משהו עמוק.

אתם רוצים שיהיה כתוב לעניין גוף ציבורי, מנכ"ל. לעניין רשות מקומית, ראש רשות או מישהו שמונה על ידו?

לא.

זה לא מפריע לי.

לרשויות יש מנכ"ל או מזכיר, לא? מנכ"ל זה לא דווקא במובן ההגדרה.

אין דבר כזה רשות שפועלת בלי מנכ"ל. זה תפקיד סטטוטורי.

ואם אין?

טלי, אין דבר כזה.

מותר לי לשאול. אני רוצה לשאול. ואם אין? ואם יש לי ממלא מקום?

בשאלה של ממונה אבטחת מידע וממונה הגנת הפרטיות, ממונה הגנת הפרטיות לא היה קיים עד היום. אנחנו מצאנו כמה וכמה בעיות. קיימנו שיח גם עם הרשות להגנת הפרטיות בנושא, שאלות של כפיפות בתוך המבנה הארגוני של הרשות המקומית וטענות לניגודי עניינים עם הכפיפות הזו מול מנהל מערכות המידע. אנחנו שוב אומרים שאנחנו מוסיפים כאן עוד תפקיד, חשוב ככל שיהיה, אין לצדו תקציב, אין לצדו הסדרה, יש לנו רשויות מקומיות גדולות, יש לנו רשויות מקומיות קטנות, היכולת שלהן להיערך לדבר הזה והעיצומים הכספיים שיוטלו עליהן אם הן לא ייערכו.

נראה לי שאנחנו נדבר על זה בסעיף שיעסוק בכפיפויות ובניגודי העניינים. נקודה חשובה מאוד.

נצא לכמה דקות הפסקה ונתחיל את ההקראה בשעה 10:30.

(הישיבה נפסקה בשעה 10:26 ונתחדשה בשעה 10:30.)

אנחנו מחדשים את הישיבה.

אנחנו בסעיף 17ב1. סעיף חדש.

17ב1 חובת מינוי ממונה על הגנת הפרטיות

(1) הגופים המפורטים להלן חייבים במינוי ממונה על הגנת הפרטיות:

(1) בעל שליטה או מחזיק במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות 200,000 אנשים או יותר.

(2) מי שמחזיק במאגרי מידע שונים של חמישה בעלי שליטה שונים או יותר.

(3) גוף ציבורי כהגדרתו בסעיף 23, למעט גוף ביטחוני כהגדרתו בסעיף 23יח.

אנחנו עובדים עם גוף ציבורי רק בסעיף 23?

בחוק יש שתי עבירות או אפילו שלוש של גוף ציבורי. אנחנו מכוונים לזאת שבסעיף 23.

לדעתי זאת הגדרה. יש גוף ביטחוני.

נכון. יש גוף ביטחוני.

גוף ביטחוני כהגדרתו בסעיף 23יח. לא הבנתי. בסעיף 17, כאשר מדברים על גוף ציבורי, מפנים להגדרת סעיף 23?

כן.

כך זה עכשיו?

כן.

אנחנו עושים סדר בהגדרות.

כן.

ההגדרה היחידה שנשארה בסעיף המקורי שלה. יתר ההגדרות באמת קובצו.

יש שם עניין של מהות שקשור לפרק ד', שם היא נמצאת.

בסדר.

(4) בעל שליטה במאגר מידע הכולל מידע על אודות 100,000 אנשים או יותר ומתקיים בו אחד מאלה:

(1) המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה.

(ב) מטרתו העיקרית של המאגר היא איסוף מידע אישי לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתו בסעיף 3.

(2) שר המשפטים רשאי לקבוע, באישור ועדת החוקה, סוגים נוספים של גופים עליהם תחול חובת מינוי ממונה על הגנת הפרטיות.

אני חושב שזו הערה נכונה גם לגבי מה שאמרנו קודם לגבי מחזיק, גם לגבי ממונה אבטחת מידע וגם לגבי ממונה הגנת פרטיות. האמירה בעל שליטה או מחזיק מייצרת סיטואציה על מאגר אחד ואמרו חז"ל שברירת השותפים איננה קרה ואיננה חמה, לא קרירה ולא חמימה. זאת אומרת, כמו שהגששים, חכמינו האחרים לפחות חלקם זיכרונם לברכה אמרו שבסוף יוצא הטעם של קורס. בואו נתאר, לפחות ברמת התיאוריה, את הסיטואציה של מאגר מידע אחד על 200,000 אנשים. יש לו מנהל ויש לו מחזיק והם שני אנשים שונים. שני גופים שונים.

בעל שליטה.

לא מנהל. צודקים, הורדנו מנהל. בעל שליטה. אם הוא גוף ציבורי, יש לנו מנהל.

מנהל זה יחיד, זה שחקן אחר. בעל שליטה.

עירייה שיש לה מעל 200,000 תושבים, יש לה מאגר מידע על פרטי התושבים לטובת ארנונה, חינוך, בריאות וכולי. כרגע בעל השליטה היא הרשות ויש לה את המנהל, שזה המנכ"ל או מי מטעמו, יש את ממונה אבטחת המידע ויש את ממונה הגנת הפרטיות כאשר ממונה אבטחת המידע וממונה הגנת הפרטיות, יש לי שניים, ויש לי את המחזיק. אני סופר את בעלי התפקידים.

מנהל מערכות מידע.

מנהל מערכות מידע לא בחוק. אני לא מכיר.

מנהל מערכות המידע הוא כן תפקיד רלוונטי לסוגייה הזאת.

אבל הוא לא בעל סמכות סטוטורית. אני מדבר כרגע על בעלי הסמכות הסטטוטוריים שבסופו של דבר אתם תצטרכו להחליט האם הם עמדו בחובתם הסטטוטורית, האם הם עשו או לא עשו. שוב, בואו נספור עם האצבעות כדי שלא נתבלבל. בעל השליטה, בהקשר הזה הרשות.

בעל השליטה הוא האישיות המשפטית. הארגון.

הרשות. עיריית תל אביב. עיריית תל אביב היא בעל השליטה, מנהל המאגר שהוא או מנכ"ל או מי מטעמו, ממונה הגנת הפרטיות וממונה אבטחת מידע, מחזיק וממונה הגנת הפרטיות ואבטחת מידע אצל המחזיק.

ומנהל מאגר מידע כל עוד לא ירד מהמחזיק.

כבר ספרתי מנהל מאגר מידע. שבעה גורמים.

לא. מנהל מאגר מידע של המחזיק כל עוד לא ירד מהמחזיק.

ירד מהמחזיק מנהל מאגר. אין מנהל מאגר.

זה כמו לספור יחד בננות ותפוחים.

למה?

כי יש לך את הארגונים ויש לך את מי שאחראי בתוכם. לספור את החברה או את עיריית תל אביב יחד עם - - -

אתה אומר שש ולא שבע.

חמש.

למה חמש?

כי ספרת גם את המחזיק.

המחזיק זאת חברה.

נכון. זאת חברה. זה לא בעל התפקיד בתוך החברה. ספרת גם את החברה וגם את המחזיק.

אבל המחזיק הוא אישיות שנושאת אחריות על פי חוק.

אבל זו חברה נפרדת.

חברה נפרדת. אנחנו מדברים על חברה נפרדת. אנחנו מדברים על זה שבאופן הגיוני עיריית תל אביב, אני לא בדקתי, אני מעריך, משתמשת בחברה חיצונית לטובת ניהול מאגר התושבים כי היא יודעת שיש אנשים שזאת המומחיות שלהם.

אבל זה לא בעל תפקיד שנוצרת חובה למנותו.

אני אומר שכרגע בשנייה שעיריית תל אביב קיבלה החלטה אחת והיא לא לנהל בעצמה את המאגר לא להחזיק בעצמה את המאגר, היא קיבלה החלטה אחת שהיא החלטה די הגיונית וסבירה בנסיבות העניין, בשנייה שהיא עשתה את זה - בנושאים מסוימים יש שישה אנשים כי בוא נניח שראש הרשות באמת לא יתעסק בנושא.

חמישה.

לא חמישה. איך חמישה?

כי המחזיק הוא לא איש. המחזיק הוא גוף.

זאת חברה.

גוף שיש עליו אחריות. הוא חברה פרטית. הוא בן אדם. יש עליו אחריות על פי חוק.

לא. ב-99 אחוזים מהמקרים הוא לא בן אדם אלא הוא חברה.

הוא חברה ואז על החברה יש אחריות. הוא אישיות משפטית שאתם רוצים להטיל עליו עיצום כספי. חבר'ה, אתם רוצים להוריד אותם מעיצומים כספיים, בואו נסגור את האירוע. אני אומר שבסופו של דבר הוא אישיות משפטית ששם את צווארו על האירוע.

אנחנו לא מחפשים עוד אנשים להטיל עליהם אחריות.

אני מקצין. אתם לא מחפשים אנשים.

אפילו הצענו פוזיטיבית הורדת אחריות מאנשים הספציפיים.

אבל עדיין אני אומר שבסופו של דבר יש כאן שישה גורמים או שבעה, תלוי איך סופרים, שישה או חמישה, זה לא משנה, שעוסקים באותה סוגייה ובייחוד בשאלה בין המחזיק לבעלים. זה כפל תפקידים של אנשים שהגדרת התפקיד שלהם היא בדיוק אותו הדבר. זאת אומרת, ממונה אבטחת מידע צריך לדאוג לאבטחת המידע. יכול להיות שיש לו את הפרקטיס שלו ויש לו את הפרקטיס שלו והממונה על הגנת הפרטיות כנ"ל.

לדעתי לפני בעלי התפקידים צריך ללכת צעד אחורה. סיטואציה עובדתית שעירייה או כל גוף עושה מיקור חוץ מהותי של המידע שלו לחברה חיצונית שמחזיקה את המידע ומעבדת אותו. בהתעלם רגע מבעלי התפקידים, חלק גדול מהחובות מכוח תקנות אבטחת מידע צריכות להתבצע על ידי המחזיק והגוף עצמו, בעל השליטה, צריך לפקח על המחזיק כי הוא לא מחזיק פיזית את המידע אצלו, הוא לא עושה את בדיקות החדירה, הוא לא עושה את סקרי הסיכונים אלא הוא מטיל את זה על אותו ספק. כן צריך להיות מישהו שמבין בזה אצל בעל השליטה שמפקח ולא איזשהו פקיד שמקבל איזשהו דוח שספק מיקור החוץ עשה ובכלל לא יודע להסתכל עליו. לדעתי זאת התשתית במבנה הזה של בעלי התפקידים. אם מיקור החוץ הוא מיקור חוץ מהותי, כן קריטי שלפי אותם דברים שייקבעו כאן שאצל אותו גורם של מיקור חוץ יהיה גם ממונה הגנת פרטיות שמבין בהיבטים של הגנת פרטיות ויהיה גם איש אבטחת מידע וממונה אבטחת מידע שיבין בהיבטים האלה.

זה תלוי בסיטואציה ואני מסכימה שאם יש סיטואציה שבה יש מיקור חוץ זניח שמעבירים רשימת טלפונים ושמות של אנשים כדי לשלוח להם סקר ומוחקים אותה אחרי שבוע, אז הגוף הזה גם לא ייכנס בהגדרות האלה.

הוא נכנס כרגע.

צריך לדון בתנאים.

זה מה שאנחנו עושים. כרגע הוא נכנס. מאחר ואתם מבינים בזה הרבה יותר ממני, אני סתם אומר שתעשו לי את הסימולציה של השיחה שתתנהל בחדר כאשר יושבים שני ממוני הגנת הפרטיות האם זה לא כפל תפקידים. אני אומר שתמיד אנחנו יכולים לומר בואו נשים עוד ועוד ועוד אבל השאלה אם כפל התפקידים הזה בסופו של דבר לא ייצר דווקא את ה-רייסו זה בוטם שזאת אחת הבעיות של כפל תפקידים. כלומר, הסטנדרטים של הליברל שיותר אצלם או הפחות, האם זה לא לייצר אחריות שלא מתחלקת. הכפל הזה מעורר אצלי שאלות בסיסיות שבדידותו של המנכ"ל קצת נפגמת.

חברת פרייבסי טים. אני קצת מבולבלת מהדיון עכשיו כי אני מרגישה שאנחנו לוקחים צעד אחורה ומתקדמים קצת קדימה. אמרנו שמבטלים מנהל מאגר ואז אמרנו שהוא נשאר בגוף ציבורי. לא סעיף 18 לתקנות אבטחת מידע אלא תקנות העברת מידע בין גופים ציבוריים. אם אתם לוקחים את התקנות האלה, בתקנות העברת מידע בין גופים ציבוריים, אם אני מסתכלת היכן המונח של המאגר נמצא – אם תחליף אותו בממונה אבטחת מידע, זה יהיה יותר הגיוני. יש לך מנהלי מאגר של מערכות המוסרות ומקבלות מידע דרך קבע, התקשרות להעברת המידע ביניהם וכך זה ממשיך. אלה היבטים טכניים. למה זה צריך להיות מנהל מאגר? בוא נחליף את המונח.

אני מבין את הנקודה שלך. אני רק אומר שזה לא משנה. זה הוויכוח בין שבע לשש.

אנחנו מדברים על האם יש כמות גדולה מדיי של בעלי תפקידים, ואם כן - בוא נוריד את זה שמיותר ולא נתחיל את הדיון באלה שהם חשובים.

כמו שהיושב-ראש אמר, בגוף ציבורי הוא שם.

מנהל מאגר בגוף ציבורי הוא למעשה נציג הגוף הציבורי. הוא הישות. אין לי מישהו אחר. לכן מהבחינה הזאת, בסדר.

התפקיד שלו לא מתאים.

אני מסכים איתך. נגיע לדיון.

אני רוצה לחזור לנושא הזה של מינוי או של הכפילות שאדוני דיבר עליה. אני חושב שצריך לעשות אולי הבחנה לגבי התפקיד הזה בין בעל שליטה במאגר לבין מחזיק. כאשר מדובר בבעל שליטה במאגר, יש חובות שחלות במיוחד על בעל שליטה כמו בהקשרים של וידוא קבלת הסכמות למשל, בעניינים של מתן הודעות פרטיות ודברים שהם אולי שמורים יותר לטריטוריה של בעל שליטה מאשר מחזיק. מחזיק, הכיוון הוא אולי לכוון לאלה שהנושא של ניהול מידע עבור אחרים, זה ביזנס משמעותי שלהם. זה עסק משמעותי והם מנהלים. יכול להיות שאולי מנהל רשימה אחת עבור מישהו אחר שכוללת רק שמות ומספרי טלפון, זה באמת לא משהו שמצדיק מינוי כזה אבל אם אני עושה את זה בכמות גדולה של לקוחות ויש לי תעבורה מאוד גדולה של קבצים - - -

זה סעיף (2).

יכול להיות שחמישה זה לא הנכון. אני רק אומר שאנחנו צריכים לכוון למחזיקים כאלה שיש להם עסק שמנהל כמויות משמעותיות של מידע עבור אחרים ולגביהם אולי יש משמעות יותר גדולה גם למינוי ממונה.

הבהרה של הדין, על מה אנחנו מדברים. בהמשך לדברים של עורך דין אור-חוף, החובה של המחזיק היא לא קמה כתוצאה מזה שעכשיו הוא התקשר עם העירייה ומחזיק לה את המאגר אלא רק אם הוא כשלעצמו הוא כזה – אחר כך נדבר על הקריטריונים - - -

אם הוא משרתם של הרבה אדונים.

לא, לא נכון. זה לא מה שכתוב.

אתה מדבר על אבטחת מידע. אני מדבר על הדין הקיים לגבי ממונה. הוא לא צריך רק כי הוא התקשר עם עירייה אחת להחזיק לה את המאגר.

כמה יש כאלה שמתקשרים רק עם רשות אחת?

אם יהיה לו מחזיק להרבה, זו כבר שאלה אחרת.

עצם העובדה שיש על אותו מאגר ארבעה אנשים שהם שניים פלוס שניים, זה אירוע שקשה לי איתו. קשה לי איתו כי אני מנסה לדמיין את השיחות. אפילו יהיו שבעה, לא שבעה, לא שישה ולא חמישה, אלא ארבעה אנשים, שני ממוני הגנת פרטיות ושני ממוני אבטחת מידע על אותו מאגר שיושבים ומתווכחים ביניהם. אין מנגנון הכרעה, אין מנגנון אחריות, מי פה, מי שם.

אולי משהו שיכול להסביר את העובדה תמיד יש את הכפילות הזאת. זאת אומרת, הכפילות קיימת כשזה מחויב המציאות אבל יש סיטואציות בהן בעל השליטה לא יהיה מחויב והמחזיק כן, ואגב, גם הפוך. זאת אומרת שאם יש כפילות, כשזה מחויב מהפעילות של כל אחד מהם, אבל רק שם, אז קמה ההצדקה לכך.

רק בכל הרשויות המקומיות בישראל פחות או יותר. רק בכל הגופים הציבוריים בישראל. רק שם.

דווקא שם באמת יש צורך.

אם יש צורך, אני שוב שואל. אגב, יכול להיות מצב ששניהם גופים ציבוריים - ובסופו של דבר אנחנו עוסקים בחלוקת סמכויות בגופים ציבוריים - שגם המחזיק הוא גוף ציבורי, נניח ישראל דיגיטלית, השאלה היא מה קורה אם ממונה הגנת הפרטיות של משרד המשפטים וממונה הגנת הפרטיות של ישראל דיגיטלית רבים ביניהם. מה אנחנו עושים? איפה קונים כרטיסים לקרב?

הפתרון קיים היום בתקנה 15 לתקנות אבטחת מידע שמגדיר מאוד במפורש את הסוג של ההסכם שנדרש בין שני הגופים האלה ואיך באמת בעל שליטה מכתיב את הסטנדרט שהוא נדרש לאותו מחזיק מטעמו.

בעיניי אין כאן מי גובר על מי אבל זה יותר מקרה של קנאת סופרים מרבה חכמה. זאת לא הכרעה. יש שני גופים שכל אחד מטפל בעמדה מנקודת מבט אחרת ודווקא ברוב הפעמים לא תהיה התנגשות אלא תהיה השלמה. לכן לא עולה הנחה של ויכוח.

יכול להיות.

יש לך את הסינרגיה ביניהם ויש חשיבות שיהיה גם לזה וגם לזה.

יכול להיות ותמיד בכל זאת כשאתה מזהה חפיפת גזרות, אתה מנסה להבין איפה עובר גבול הגזרה של כל גורם.

בעיניי אין כאן חפיפת גזרות ואני חושב שהכפילות הזאת זה כמו לטעון שלכל גוף יהיה עורך דין ואז יש כאן כפילויות. לא. כל אחד פועל עבור או בשם אותו ארגון, אחראי לגזרה שלו והגזרה הזו ברורה כמו שנועה אמרה קודם דרך ההסכם בין הצדדים, בהנחה שאנחנו מדברים כאן על מחזיק משהו.

ראשית, אם הייתי מחייב סטטוטורית מינוי עורך דין לגוף, הייתי שואל בדיוק את אותה שאלה. כלומר, אתה צודק, זה כמו עורך דין. אם הייתי מחייב סטטוטורית וכשאני מחייב סטטוטורית שלכל רשות מקומית יהיה יועץ משפטי – אני דן בשאלה מה היחס בין היועץ המשפטי של הרשות לבין היועץ המשפטי לממשלה. כן, כשאני מחייב סטטוטורית וזאת שאלה לא פשוטה. התובע העירוני, אני כפוף למחלקה ל-... פה אני כפוף פחות כשאני מחייב סטטוטורית גורם. לכן לבוא ולומר שזה כמו עורך דין, לא מרגיע אותי. בכלל עורכי דין לא מרגיעים אותי.

אני אסביר איך זה קורה בפועל. איה, אני, אנחנו בצוות, אנחנו DPO'S של עשרות ארגונים, אנחנו עובדים מול DPO'S בארגונים אחרים. אין את החיכוך הזה, אני לא מכיר את החיכוך הזה שתיארתם. זה לא אנחנו מתווכחים על אותן גזרות. לכל אחד ברורה האחריות, ברורים הסטנדרטים. ההסכם, אולי יש ויכוח על מה ההסכם יגיד אבל בסוף מסכימים ומתקדמים. אני חושב שאין כאן התנגשות או אינטרסים שונים ואם יש, ההסכם בסוף מכריע. כלומר, מה שחתמנו, זה מה שקובע. אני לא רואה למה העובדה שיש פה ופה DPO או סיסו, מנהל אבטחה, אמור להרתיע אותנו מחיוב המינוי.

אני כלל לא מורתע. אני בעד. אני רק מנסה להבין. שוב, תאר לי שיחה למה אני מחייב את המחזיק גם בהקשר הזה ב-DPO ואם אתה DPO של בעל השליטה – אני לא יודע לנהל את השיחה הזאת. אתם רוצים לעשות סימולציה? - ומישהו אחר כאן יהיה DPO של המחזיק, מתי הוא ייכנס לפעולה ויהיה צורך בו?

עוד לפני השיחה בין שניהם, הרי ה-DPO ובכלל בעל השליטה כשהוא מתקשר עם המחזיק, הוא סומך עליו שיש לו את כל האמצעים הדרושים לנהל את המידע ולהגן עליו כפי שצריך. לשם כך ה-DPO, מרוב שהוא עושה את העבודה כבר בתכנון המערכות, תכנון הפעילות וכולי, הייעוץ השוטף לארגון, לוודא שהוא עומד בדרישות, בין אם אלה דרישות חוקיות ובין אם אלה דרישות חוזיות, זו כבר עבודת הרקע שהוא עושה. המחזיק הפך להיות מחזיק של בעל השליטה. הוא מנטר את השימוש השוטף. אנחנו באמת עומדים במה שהתחייבנו. אנחנו עומדים בחובות החוקיות. אנחנו לא חורגים מהרשאות שניתנו לנו. אם כן, יש לו פעילות שוטפת והוא בשטח. הוא שם בארגון או מייעץ לארגון, הוא לא אצל בעל השליטה שאין לו נגיעה והוא לא רואה מה קורה ביום יום ואין לו פיקוח שוטף.

עכשיו מתהפכת השאלה. למה אני צריך אותך? אתה בהקשר הזה ה-DPO של בעל השליטה. הכנת את ההסכם, החלת את ההסכם. לצורך העניין יושבת כאן מירה וצודקת. היא אומרת שהיא תל אביב, אני צריכה לוודא – הייעוץ המשפטי, המנכ"ל, בעל השליטה, לא משנה – שלבן אדם שאני נותן לו לעשות את המאגר, יש DPO ואני צריך לוודא שבניהול השוטף שלו הוא בסדר. בשנייה שיש איזשהו DPO שלקח אחריות על האירוע מבחינת DPO, אני מילאתי את חובתי הרגולטורית. למה אני צריך DPO?

אם אתה DPO אצל בעל השליטה, אני מזכיר שבעל השליטה קובע את מטרות העיבוד ואת אמצעי העיבוד.

גם היום הוא קובע את זה. הוא כבר קבע את זה.

ההחלטות החשובות מתקבלות אצל בעל השליטה.

ההחלטות ובעצם ה-DPO מוודא שיש עמידה בעקרונות העיבוד. אמנם תיקון 15, אמרנו מתי הוא יגיע, הנכדים שלנו יחגגו אותו, אבל יגיעו אלינו בזמן כלשהו עקרונות העיבוד כפי שמקובל בחקיקה בעולם. עקרונות העיבוד, כלומר צמצום מידע, כלומר לא לשמור אותו לפרק זמן ארוך מדיי, חוקיות עיבוד המידע – כל זה רלוונטי גם בשכבת בעל השליטה ולא רק אצל המחזיק.

בוא נדבר על תקנה 15. יש היום חובת פיקוח וביקורת של בעל השליטה על המחזיק ומישהו צריך לעשות את זה בבעל השליטה והמחזיק.

היום זה על היבטים של אבטחת מידע בלבד ולא על היבטי פרטיות.

אני חושב שכאשר קוראים את תקנה 15, זה ברור שיש היררכיה ברורה בין בעל השליטה למחזיק. מי שקובע זה בעל השליטה. אם אדוני יקרא את התקנה, זה מאוד מאוד מובהק. זה פורט את זה. בעל השליטה בעצם מכתיב למחזיק את כל התנאים, באיזה תנאים הוא מרשה לו להחזיק עבורו מידע ולעבד עבורו מידע. אני מזכיר שגם בהגדרה שהוועדה קבעה למחזיק, הוא מעבד עבור מישהו אחר. זאת אומרת, הוא כפוף לחלוטין.

השאלה שלי לענר או לעמרי. אתה DPO של ארגון ואתה יודע עכשיו שאתה מעביר את זה למחזיק. אם אתה חושב שלצורך התפעול אצל המחזיק אתה צריך אקסטרה DPO ולא מסתפק במנגנון הקיים שם, תדרוש ותכניס את זה כחלק מתנאי החוזה. תאמר, חברים, אני לא מתכנן לריב עם כל קוף, אני צריך מנהל קרקס. לא יכול לריב עם כל קוף בארגון, אני צריך מישהו שינהל את הקרקס הזה ואם לא יהיה לכם DPO מסודר באירוע, אני לא חותם איתכם חוזה כדי שאני או לקחת אחריות מקצועית שלי כ-DPO של הבעלים על מאגר ספציפי. אתה חושב שאתה מסתדר בלי בגלל נסיבות העניין? אתה חושב שאתה לא צריך? למה אני מחייב אותך?

אתה צודק שיכולה להיות סיטואציה שמה שנקרא הוא בשטח והוא לא בשטח ויכול להיות שתיעזר בזה ויכול להיות שלא תיעזר בזה, אבל השאלה היא למה אני מטיל את החובה הסטטוטורית לשניים. קח אתה ותנהל את הסיכונים שלך. לשם כך מיניתי אותך, אתה DPO.

חשוב להבהיר שלא בהכרח מטילים על שניים.

לא, אתה כן בהכרח מטיל על שניים.

אדוני לקח את הדוגמה המקסימליסטית.

לא. לקחתי את הדוגמה הנפוצה. ראשית, גוף ציבורי כמעט בהגדרה - - -

בהגדרה. לא כמעט. ממש בהגדרה.

גוף ציבורי.

גוף ציבורי הוא בהגדרה.

תקשיב לי. גוף ציבורי בהגדרה חייב DPO אבל גוף ציבורי שמעביר למחזיק, המחזיק יהיה חייב ב-DPO רק אם יש מעל 200,000 נושאי מידע.

נכון.

לכן אני אומר את זה.

רוב הרשויות המקומיות בארץ הן עם מתחת ל-200,000 נושאי מידע.

יש הרבה מאוד רשויות מקומיות שיש להן 200,000 נושאי מידע. בוודאי שכל גוף ציבורי שהוא משרד ממשלתי מאוד מהר מגיע ל-200,000 נושאי מידע ובוודאי כמו כל גוף ציבורי, ודאי כמו המוסד לביטוח לאומי וכולי, כל הגופים הציבוריים הנורמליים הרציניים ואלו שמטרידים אותנו, יהיו צריכים שני DPO'S על מאגר מידע, כל מאגר מידע שהם מוציאים לאאוט סורסינג. כמעט כל מאגר מידע, אולי למעט מאגר העובדים שלהם.

אני אומר שאני בעד שיהיה DPO אם צריך. אני אומר מי מבחינתי שומר הסף שיחליט האם למחזיק צריך עוד אקסטרה DPO, ה-DPO של הבעלים, יחליט שצריך – יחליט. לא יחליט – לא יחליט. למה אני צריך לחייב בהגדרה שניים? הוא חושב שבניהול הסיכונים צריך אקסטרה למחזיק, חושב. אני שם שנייה בצד את מי שמחזיק חמישה מאגרי שליטה או יותר.

זה כמעט כולם.

לא, אני לא בטוח.

אותה מערכת מידע עם כביכול כמה תוכניות.

אני שם את זה בצד כי לא בטוח שזה יישאר חמש ואולי נעשה שם דיון מהותי. לא משנה כרגע.

עוד שיקולים חשובים כאן ולשאלה האם אנחנו צריכים לחייב DOO מנדטורי אצל מחזיק או וולונטרי.

לא וולונטרי. אתה דורש את זה כחייב כי אחרת אתה לא תיתן אישור, אם אתה חושב שצריך אבל אתה הבוס, אתה הראש.

אם החוק לא מחייב את המחזיק, כן נקרא לזה וולונטרי.

חוזי.

נכון. במקרים כאלה, לרוב ה-DPO הוולונטרי יהיה לו פחות כוחות, פחות סמכויות כי החוק לא נתן לו את הבשר ואת הכוח בתוך הארגון. זה דבר אחד. דבר שני, ה-DPO אצל בעל השליטה, לחשוב שבעל השליטה כארגון או שהמחלקה המשפטית שלו יכולים לדרוש כל מה שבא להם והמחזיק ייקח את זה כי הוא רוצה את הביזנס הזה, זה לא נכון. לפעמים זה קורה. אם אתה אמזון שבא להתקשר עם סטרט-אפ ישראלי, כנראה אתה כן תכופף אותו לכדי מינוי DPO גם אם לא חייב אבל לרוב אני לא יכול לחייב אותם ללבוש חולצות ורודות לעבודה כי החוק לא תומך בי בעניין הזה.

הוא גם לא יתמוך בך, בטח לא מכאן.

אני חושב שצריך לעשות הבחנה, דיברתם על זה, על כמות המאגרים שהמחזיק מחזיק כי ברגע שיש לו שני מאגרים ויותר, זה כבר אירוע.

על סעיף (2) נדבר בהמשך.

אני רוצה לדבר בכובעי כעורך דין שמייצג הרבה סוגים של מחזיקים ולאו דווקא את גוגל.

אתה מייצג יותר מחמישה?

כן. אני חושב שיש הבחנה קונספטואלית מהותית למה ובאיזה נסיבות אנחנו רוצים DPO אצל בעל שליטה במאגר שהיקף החובות עליו הוא המקסימלי. הוא קובע את מטרות עיבוד מידע, הוא קובע מה עושים עם המידע, לו האחריות האולטימטיבית לכל וכמו שראובן אמר בצדק, יש היררכיה ברורה לגבי מערך היחסים בין בעל שליטה במאגר ומחזיק לבין מצבים שבהם אלה מצבים מבודדים יותר ותחומים יותר שבהם אנחנו רוצים סטטוטורית לחייב מחזיקים למנות ממונה הגנת פרטיות. כרגע, בנוסח המוצע, אם מסתכלים על סעיפים קטנים (1) ו-(4) שהם הסעיפים המהותיים שעוסקים בסוג המאגר, הם לא עושים את ההבחנה הזאת.

לא. סעיף (4) מדבר על בעל שליטה ולא על מחזיק.

נכון. סעיף קטן (1), אבל בסוף הוא הסעיף הראשון ולא סתם. הוא לא מבחין בין השאלה אם זה בעל מאגר או מחזיק במאגר. אני חושב שקונספטואלית יותר נכון לדבר על הסעיפים המהותיים שעוסקים בבעל השליטה במאגר, מתי צריך - בגלל סוג המאגר וסוג העיבוד, סוג מטרות שימוש המידע, סוג המידע שיש במאגר – למנות ממונה הגנת פרטיות. אפשר לדון בנפרד, וזה סעיף קטן (2), ואני לא בטוח שהמספר של כמות המאגרים שמחזיקים הוא המדד. אפשר לדון בפרד, מהותית, מתי מחזיק, בגלל סוג המחזיק, יש לו חובה נפרדת למנות ממונה. אגב, ג-FDPR, כאשר מסתכלים על ההגדרות של מתי צריך למנות דאטה פרוטקשן אופיסר, לא ממונה הגנת הפרטיות, ההגדרות הן לא הגדרות כמותיות. אמנם יכולה להיות חובה גם על בעל השליטה וגם על המחזיק מטעמו, אבל השאלה היא שאלה מהותית לגבי סוג פעולות עיבוד המידע שכל אחד מהגופים עושה. יהיו מצבים שבהם רק קונטרולר חייב למנות DPO והמחזיקים שלו לא בכלל, ויהיו יכולים להיות פוטנציאלית, למרות שיש מקרים חריגים, הפוך.

לכן אני חושב שקונספטואלית נכון, בסעיף קטן (1) למחוק את המחזיק ובסעיף (2) לדון בשאלה המהותית.

אני חושבת שבעיניי זה בדיוק הפוך. במובן שזה לא נכון להסתכל כך. ברור שבעל השליטה הוא נושא ברוב האחריות ולכן גם המינוי של ה-DPO שלו הרבה יותר חשוב והמינוי של מחזיק שרק מבצע הוראות. אני לא מתכוונת לומר שהעמדה שלך היא הפוכה לעניין אלא שהדגש צריך להיות הפוך במובן שהאזור המסוכן הוא כאשר את מפקידה את המידע בידי גורם חיצוני ועכשיו המידע בחזקתו והוא, בעיקר העסק שלו, בליבת הפעילות שלו, כמו המקרים שמצוינים ב-GDPR כמעוררים סיכון מוגבר ולכן מחייבים מינוי DPO, ליבת הפעילות שלו היא לעשות את עיבוד המידע הזה בהקשרים מסוימים שאולי יותר מסוכנים. אנחנו לא הולכים לשם בהצעה בנוסח שלנו ובעיניי זה שגוי ובהקשר הספציפי של מחזיק - - -

למה? אני מנסה להבין למה.

אני כמחזיק קבלת הוראות ובהסכם כתוב שבעל השליטה במאגר אומר שאני אבצע את העיבוד במידע שלו בהתאם להוראות ההסכם, למטרות ההסכם, אך ורק לצורך קבלת השירות. מה זה אומר קבלת השירות? מה למטרת קבלת השירות? זה לא תמיד מובן מאליו - - -

גם לא תמיד בעל השליטה הוא החזק. אנחנו מניחים כאן כביכול שבעל השליטה יוכל לומר למחזיק שימנה DPO. אין לי חובה סטטוטורית על המחזיק.

שאלת מינוי ה-DPO, נאמר קודם, להלן דוגמת החולצות הוורודות. זה כבר נאמר. אני מנסה להבין למה איה אומרת את זה כי אם המחזיק פועל בחריגה מההסכם - - -

אם הוא פועל מההסכם, מי מפקח על זה?

ה-DPO.

זה לא בפנים.

לפעמים בעל השליטה נותן לו את שיקול הדעת להחליט ואז הוא לא חורג הסכם.

מי בונה את המוצר, את השירות, את הפלטפורמה, את מה שלא יהיה שהמעבד מציע מלכתחילה? אני חושבת שאולי העניין של הבלבול ואי ההבנה והפער בדיון הזה נובע מזה שחלקנו בתוך עולם של GDPR כי אנחנו חיים אותו ביום יום וחלקנו מסתכלים על זה במושגים שבאמת החוק לא מותאם וקשה לגשר על זה. כאשר מסתכלים ואומרים שקיבלת הוראות, בצעי אותן אבל יש מנעד שלם של דברים שאת צריכה לשקול וגם כשאתה מעבד, את לא עיוורת לזה שיש כאן עקרונות עיבוד ובסיסים לעיבוד, איפה הסיכונים ואיך אנחנו פוגשים אותם ולא רק במובן של דלף מידע, לא רק במובן של סיכונים נמצאים במישור של אם יש מידע שהוא נורא רגיש ויקרו דברים רעים אם הוא יזלוג החוצה בגלל ההשתמעויות של שימושים לרעה, של מה יגלו עלי. אלה האזורים היחידים בהם סיכון למידע שנמצא. זה רק אבטחת מידע והעיקר אולי של עבודה של... היא באזורים של איך מותר להשתמש במידע ואיך אסור, מה הוגן ומה לא הוגן, איך אנחנו משקפים את זה ואת כל העולם הזה של שיקולי מהות - כרגע אין לנו בחוק. לכן קשה לנו להבין מה הסיכום עם המחזיק. זה במיוחד המחזיק שצריך על עצמו את המבנה הזה שאנחנו צריכים להכניס לתוך החוק ויפה שעה אחת קודם, וכבר התחלנו בצעדים בהפרות המסוימות שהכנסנו.

אני חושבת שכאן נחשף הפער בין גוף ציבורי לבין גוף פרטי. גוף ציבורי, אין לו את מתחם שיקול הדעת של מה אפשר לעשות עם המידע בגלל שיש את עקרון חוקיות המינהל. הרשות המקומית והמחזיקים שלה לא יכולים לעשות שום דבר אלא אם יש להם הסמכה מפורשת בדין לעשות כן. במקרה הזה, לעומת גוף פרטי שבהחלט יש מה לשקול כי יש פיתוח עסקי לגביו, זה הרבה יותר רחב. השאלה היא ביחס לגוף ציבורי והשאלות של מחזיק של גוף ציבורי – לא יכול לעשות "מניפולציה" במירכאות על מידע שמגיע מהרשות המקומית כי הוא של הרשות המקומית והוא צריך לפעול בהתאם לחוק שחל על הרשות המקומית לגבי זה.

אני חושבת שכאן זה חלק מהבעיה. מסתכלים על גופים ציבוריים ועל גופים עסקיים ופרטיים אחרים או לא עסקיים, באותו אופן מסתכלים עליהם. רואים אותם כמקשה אחת ולא מייצרים הסדר מותאם אולי לפה ואולי לשם.

מנהל אבטחת מידע של ביטוח לאומי וממונה על הגנת הפרטיות. אני רוצה לעשות סדר לפחות מהצד הפרקטי. המנהל אבטחת מידע אני אחראי על המידע, על השמירה של המידע, וגם על ההגנה שלו, על ה-דאטה פרוטקשן. כממונה הגנת פרטיות אני מסתכל על המידע עצמו ואני מסתכל האם כשאני מעביר מידע לגוף ציבורי אחר, אני לא מעביר מידע עודף. אנחנו משתמשים במונח DPO והוא לא נכון לנו בדיון הזה. דאטה פרוטקשן ומנהל אבטחת מידע עושים את אותה עבודה. ממונה הגנת פרטיות מסתכל על הפרטיות ועל המידע הפרטי שמחזיק גוף על כל אדם ואדם.

אני חושב שברור לכולנו ומוסכם שחובת המינוי היא קורלטיבית לניהול סיכונים ולמידת הסיכון שמי שמעבד את המידע יוצר. אנחנו במידה מסוימת באנומליה כי בעלי שליטה, יש עליהם אולי יותר חובות אבל בסופו של דבר בעולם היום, בעולם של מיקור חוץ שחלק גדול מאוד מפעולות העיבוד נעשות על ידי ספקים, מי שמייצר בפועל הרבה פעמים את הסיכון, זה יהיה הספק, זה יהיה המחזיק ולאו דווקא בעל השליטה. מהבחינה הזאת אני חושב שבעיניי ההצמדה הזאת לעניין של עיבוד מידע על כמות גדולה של נושאי מידע היא רלוונטית גם לבעלי שליטה וגם למחזיקים וזה נושא שצריך לקחת אותו בחשבון לא רק בהקשר של בעלי שליטה. אולי זה כן צריך לפתור את הבעיה הפרקטית בזה שמחזיקים לפעמים לא יודעים מה הם מחזיקים. זה אולי נושא שצריך לקחת אותו בחשבון, שאגב, הוא לא נלקח בחשבון במסגרת ה-GDPR והוא יוצר בעיות פרקטיות בשטח. זאת נקודה לתשומת הלב.

אני אתייחס בקצרה. חשוב לי שוב לומר שכל מה שדובר כאן, זאת לא הצעה שלנו. חשוב לי להבהיר מה אנחנו כן מציעים פוזיטיבית. ההצעה שלנו, כמו שאפשר לראות בסעיפים (2) עד (4), היא לקבוע מקרים בהם בעל שליטה צריך למנות ממונה הגנת פרטיות כי במקרים שבהם מחזיק, מקרים שונים, לכל אחד יש את אמות המידה. אפשר אחר כך לדבר על המספרים, על הכמויות של כל אחד מהם. סעיף (1) מתייחס לחריג, למקרה הקצה שבו יש מאגר כל כך גדול ורגיש, יותר מ-200,000 נושאי מידע לגבי מידע בעל רגישות מיוחדת.

שזה כמעט כל דבר.

לא. אני לא חושב שזה כמעט כל דבר. גם נעשתה עבודה ורוב רובם של המאגרים בארץ הם לא שם.

כאשר דיברנו על הרגישות המיוחדת, ניסיתי לזכור מה זה מחוץ לרגישות מיוחדת.

אנחנו מדברים על 200,000. אדוני צמצם יחסית משמעותית את הגדרת מידע. יש לנו כאן 200,000. ככלל, הכיוון של אדוני הוא תואם להצעה הממשלתית.

חבריי מהרשות יתייחסו.

אחרי שעשינו את לימוד השטח, אני מבקש שתתייחסו להבחנה בין בעלים למחזיק, איך מתמודדים עם הסיטואציה של מחזיק שלא יודע מה הוא מחזיק ואנחנו לא רוצים שהוא ידע מה הוא מחזיק, אין לנו עניין מיוחד שהוא ידע מה הוא מחזיק והאם יש מקום לאבחן אחזקה שאינה אלא אחסון. בסופו של דבר, אם אנחנו מסכמים את הנקודות שעלו בדיון, מתכנסים לשאלות 1, 2 ו-3 במסמך ההכנה. כל אחד נתן את הדגשים שלו אבל בסופו של דבר אלו השאלות העיקריות שמרחפות מעל האירוע. ענית שאתה מבחינתך באירוע של סעיף (1), זה האירוע שבו לא צריכה להיות הבחנה ובשאר המקרים כן צריכה להיות הבחנה. לגבי אחזקה שאינה באחסון ולגבי מה האירוע של מחזיק – זה עלה כאן על ידי כמה אנשים - ואיך אנחנו מתמודדים עם סיטואציה שמחזיק אומר שהוא לא יודע והוא גם לא רוצה לדעת כמה אנשים יש אצלו במאגר או איזה סוגי מידע או אם מידע בעל רגישות מיוחדת או לא. אני לא רוצה לקרוא את המידע כדי לדעת האם חלה עלי חובת ה-DPO.

לגבי השאלה השלישית, מהניסיון שלנו, אני חושב שזה גם עלה מדברים שענר אמר לגבי ניסיונו מהצד העסקי, השוק מסדיר את זה. מחזיקים ידאגו לזה שבחוזים תהיה חובה כזאת בלי להיכנס לעובי הקורה לדעת בדיוק מה, אם יש להם חובה או לא. כך גם ראינו במציאות.

זה לא קורה במציאות. זה לא קורה בפרקטיקה.

האם זה קורה כיום לגבי ממונה אבטחת מידע?

לא.

השאלה לא מתעוררת היום.

למה? יש חובת רישום, איך הוא יכול לדעת?

חובת הרישום עד היום, בגלל שההגדרה של מידע רגיש הייתה כל דבר, אז כל מאגר שיש בו מידע אישי, היה חייב ברישום ולכן היית צריך רק לספור לכמה אנשים אתה נותן שירות ולא מה תוכן המאגר ולא איזה סוגי מידע. לכן השאלה הזאת לא מתעוררת היום.

בסופו של דבר יש כאן איזושהי הצעה שהעלינו בפני הוועדה. יש שתי חלופות. התנאים המהותיים, אנחנו חושבים שהם טובים. ב-FDPR יש תנאים שגם צריך להיות שיח בין בעל השליטה למחזיק. הם פשוט יותר עמומים. אפרופו כל הדיונים על תיקון 15, ה-GDPR, הם חשובים, הם טובים, אבל העמימות תתגבר. היא לא תפחת כי כל הסטנדרטים שם הם סטנדרטים ולא כללים.

השאלה אם זו עמימות קונסטרוקטיבית.

אני אומר שבסוף יהיו הרבה מאוד שאלות פרשניות. ככל שהולכים יותר לכיוון ה-GDPR יהיו יותר שאלות פרשניות ולא פחות. לגופו של עניין, צריך להיות שיח. השאלה שמונחת על השולחן הוועדה, והצענו שתי חלופות - ושוב, אני אתייחס לשאלה השלישית כפי שציינת ואחר כך אני אחזיר את רשות הדיבור לרשות – או שנניח זה יוסדר בשוק החופשי במסגרת החוזים שהם חייבים לקיים ביניהם, או שתהיה הוראה בדין שמחייבת להסדיר את הנושא בחוזה. אלה לדעתי שתי האפשרויות כדי שבעל השליטה והמחזיק ידעו האחד מה עושה השני.

באיזה סעיף מופיעות האופציות האלה?

אין הצעת נוסח ספציפית.

אני אומר שאני נוטה לחשוב שלפחות לעניין מחזיק, אם מסר בעל השליטה במאגר, אמר לו שאין לו חובה, הוא לא יודע שיש לו חובה אלא אם כן תכף נדבר בסעיף (2) על המספר.

מה שהצגת עכשיו זה חוזר לעניין המספרים. כלומר, המספרים, בעל השליטה יגיד לי שיש כאן איקס נושאי מידע. אנחנו חושבים שצריך להיפטר מהדרישה הכמותית הזאת שהיא לא הולמת את הסיכונים, לגבי בעל שליטה ומחזיק. כלומר, חובת מינוי DPO על פי מספר מסוים של נושאי מידע או סוגים מסוימים של מידע, זה יכול לשמש קריטריון בשיקולים.

מה אתה מציע כאן? אתה אומר לי להפוך את זה לוולונטרי? אני אעשה הערכת סיכונים האם אני צריך DPO בעצמי? מי יעשה לי את הרכת הסיכונים, ה-DPO שלא מיניתי?

אני מציע קודם כל לקחת את המנגנון שקבוע ב-FDPR שהוא לא תלוי מספרים ובמכוון הוא לא תלוי מספרים כי גם באירופה הם הבינו כמה שנים לפנינו - - -

בקיצור, מונחים עמומים.

עמומים לגמרי.

הבחירה שכרגע עומדת בפניי כאן בוועדה היא האם ללכת לכלל נוקשה או לכלל עמום. אתה אומר עמום, תכף נדבר על הגדרת העמום בקשר לזה. הרשות אומרת שהיא רוצה כלל נוקשה שהיא יודעת לעבוד איתו, היא יודעת לאכוף אותו, והשוק גם יודע מה לעשות איתו.

אנחנו שומרים כלל שרירותי לעומת כלל תכליתי. אפשר לקרוא לזה סמנטיקה אבל חשוב להבין מה המטרה.

אין ספק שברגע שאתה קובע כלל נוקשה, יש בו מידה מסוימת של שרירותיות. זה מובן.

אבל מה התכלית של המספר הזה?

התכלית היא, כאשר אני רוצה לדעת, במיוחד כאשר מדובר במינוי בעל תפקיד שבסופו של דבר אנחנו יודעים שכשאני מנסה לחוקק כאן חוק שמוסיף תקן בשירות המדינה, מגיעים לכאן נציגי האוצר בזעקות שבר ושואלים מה אני עושה להם.

מצד אחד ברור שכלל מהותי הוא דבר חשוב ולא שרירותי כמו שאת אומרת, אבל מצד שני מישהו יצטרך לעשות את הערכת הסיכונים לפני מינוי ה-DPO והמישהו הזה הוא ה-DPO כי אין לי מישהו אחר שיעשה את זה. יש לי כאן ביצה ותרנגולת מסוימת.

איך מתמודדים איתה ב-GDPR?

קודם כל, לא בהכרח ה-DPO ישריין לעצמו את מקום העבודה אלא זה יכול להיות ייעוץ משפטי למשל.

בסדר, אבל הבנת את הנקודה.

ניתוח הסיכונים הזה, אני חושב שהוא חשוב. זה כבר מראה על רמת בשלות מסוימת שנדרשת מארגון לבצע - - -

מבחינתך אתה אומר בואו נציע כמו שעשינו בתקנות אבטחת מידע, נוסיף סעיף דומה לזה בחקיקה ונגיד שכאשר אתה מקים מאגר מידע, למסמכי הגדרת המאגר, תוסיף ששקלת את השיקולים של ה-GDPR והחלטת לא למנות DPO. תראה לי שחשבת על זה.

אם אני ארגון שמעבד מידע אישי, אני צריך במסגרת הערכות הסיכונים שלי.

הבנתי את ההצעה. בוא נרד איתה לרמת הפרקטי. מה אתה מצפה, ככל שאנחנו מדברים על חובת מינוי DPO, ואיך אני יוצק תוכן לחובה הזאת ולא באמצעות ניסוי וטעיה או האם ב- GDPR הטילו אי פעם קנס או משהו על זה שלא מינו DPO?

כן.

השאלה היא האם אנחנו רוצים במציאות הרגולטורית והמשפטית של מדינת ישראל לייצר את הכלל העמום הזה, בטח לרמת העיצום הכספי שזו בעיה מסוג אחד וגם להליך השיפוטי.

לעניין העיצום הכספי אני חושב שמנגנון של התראה, כלומר, בגלל שיש כאן שאלה של פרשנות, כן יש מקום לשיח. אם הרשות חושבת שארגון שלא מן ה-DPO היה צריך שתתריע בפניו אז הוא יוכל למנות לפני שהוא חוטף את ה-כאפה הגדולה.

היה צריך לפי הפרשנות שלנו.

נכון.

לרשות יהיה שיקול דעת מוחלט לקבוע.

לא מוחלט כי הוא יוכל להגיש ערעור על ההתראה הזאת. אני רק אומר שבשנייה שהמונחים האלה הם כל כך עמומים והרשות תקבל את שיקול הדעת לקבוע את החובה וגם להטיל עליה את הקנס בשלב יותר מאוחר, ומהיכרותנו את המערכת השיפוטית הישראלית לטוב ולרע, אני מתקשה לראות את השופט שיבוא ויאמר לרשות להגנת הפרטיות שהפרשנות שלה כאן בנושא הגנת הפרטיות מופרכת. זאת אומרת שאני אומר עכשיו לרשות להגנת הפרטיות שאתם תוכלו ליפול על כל בעל עסק במדינת ישראל או פחות או יותר על כל אדם במדינת ישראל לשאול אותו למה לא מינית DPO ולהגיש לו התראה ובתוך 30 ימים אותו בעל עסק חוטף צורך וצריך להוסיף תקן - כאשר אפילו אני לא יודע אם יש במדינת ישראל מספיק אנשים שמוכשרים לעשות את זה - שהוא צריך למנות כ-DPO.

אני חושב שזה היקף רגולטורי מאוד מאוד גדול. אתה אומר לי באירופה זה קיים. אני לא יודע כמה בתי המשפט שם מרוסנים וכמה הרשויות שלהם שם מרוסנות ומה הפרקטיס שם. אני מוכן להתערב שברמת החקיקה אתה אולי צודק, ברמת ה-GDPR אבל בסופו של דבר, בין אם בהנחיות ובין אם בנהלים, הם נותנים שם פרוקסיס מספריים, הם נותנים שם פרוקסיס.

יפה, כי בדקנו ולא.

אם כן, מה הם עושים?

להפך. הם במפורש אומרים שהם נמנעים מזה בגלל שהמספר השרירותי גורם לך לפספס יותר מדיי מקרים שהיה נחוץ בהם DPO אם קבעת את הרף המספרי. לא הגיעו למספר אבל עמדו בשאר הקריטריונים.

אבל הם מטילים עיצום בלי התראה. הם יכולים להטיל עיצום באופן ישיר.

הם יכולי לעשות באפר.

האמת, זה קצת קשה לי. קצת קשה לי כלל עמום. אני כן הייתי חושב ללכת לכיוון הזה ואני אומר שתחשבו על זה ותעשו את השיח בזמן ההפסקה הקרובה כשאני הולך לדיון על הביטוח הלאומי. יהיה לנו זמן לחשוב על זה עד תיקון 15. יכול להיות שכן כדאי לייצר את החובה הרכה הזאת, הרכה, הקשיחה, יכול להיות שזה קצת יותר קשה מזה - וזה רעיון שהבנתי שעלה בשיח - לבוא ולומר שאני לא מייצר חובה שעצם מינוי ה-DPO, אי מינוי ה-DPO הוא העילה להטלת עיצום כספי אלא שבהינתן שאני מטיל עליך עיצום כספי מסיבות אחרות, העובדה שאתה מינית DPO או לא מינית - לא יודע מי הציע את זה – היא תהיה עילה להפחתת העיצום או להקלה בקנס או בהתחשבות או משהו כזה. הבנתי שזה עלה כהצעה. בשיח המקדים קיבלתי את זה. הבנתי שעמית הציע את זה. לא העמית הזה.

ב-GDPR הקריטריונים לא כולם עמומים. יש איזשהו בייס ליין של פעילות, סוג פעילות, עיבוד. למשל ניטור שיטתי.

עדיין, מונחים מאוד עמומים.

אבל קריטריון הגודל, ה-GDPR אומר לארג' סקייל אוף ספיישל קטיגורי אוף דאטה. זאת לא העילה היחידה אבל יש עילה נפרדת ב-GDPR בסעיף קטן (3) שמדבר על גוף שהוא או מחזיק או בעל שליטה, אפרופו הדיון הקודם, שניהם, שמחזיק מידע בעל רגישות מיוחדת בהיקף גדול.

מה אנחנו מפספסים? ליבת הפעילות, זה החלק החשוב.

הגדרה של רגישות, של סיישל קטיגורי אוף דאטה מצומצמת יותר ברשימה.

הגדרה של ספיישל קטיגורי שונה מזו של הניטור.

אדוני, השאלה האם לקבוע את הקריטריון בצורה מאוד מפורשת כאן בחקיקה או פשוט לתת לרשות את האפשרות לקבוע את הקריטריונים בהנחיות שלה. בעיניי זה השיח כאן.

אני מתקשה להיות כזה אקטיביסט.

בהטלת חובה רגולטורית, אני מאוד רגיש. אני מודה.

אני חושב שאנחנו תרבותית, חקיקתית, חברתית לא שם.

אני מסכים איתך. לכן אני חושב שההצעה שהצעתי, תנהלו עליה שיח כשנצא להפסקה, מאחר ואנחנו נמצאים ב-DPO שהוא יבוא מ-15 והוא יבוא חלקי. רפורמת מה שטוב באירופה טוב בישראל טרם הסתיימה. לכן זה יבוא חלקי. לכן אני חושב שיכול להיות שדווקא זה יכול להיות פיילוט מעניין עד תיקון 15 ויהיה לנו את הזמן ללמוד עד תיקון 15 איך זה פועל ובינתיים שהחובה הזאת משמעותה תהיה לעניין תקנות ההפחתה ולא כאיסור עצמאי.

השאלה היא האם זה משהו שאפשר לחשוב עליו כפשרת ביניים ואז ממילא השאלה של ה-DPO תעלה, בשלב הראשון בוודאי, כאשר בגופים ציבוריים היא פחות רלוונטית גם בגלל נושא העיצומים הכספיים אבל בגופים ציבוריים אני יכול לחיות עם זה וזה לא מפריע לי אבל בכל הנוגע לרגולציה לשוק הפרטי, הרגולציה כאן היא רגולציה רכה. עדיין אני אומר לך שאתה תפעיל את שיקול הדעת כמו שענר אומר לך לפי הכללים דומים ל-GDPR כאלה או אחרים, נחשוב על הניסוח - - -

לפי ההנחיות.

לא רק לפי ההנחיות. לא לפי הנחיות כאשר במובן הזה אני לא רוצה לתת לרשות את האפשרות לקבוע הנחיית חובת DPO ולאכוף אותה, להיות גם המחוקק וגם המוציא לפועל, אבל כן לומר ב-בסט פרקטיס של הרשות שארגון שנפל ברשתי מסיבות אחרות – היה בו דלף מידע מאוד משמעותי, אני עושה בו פעולות פיקוח, אני מטיל עליו עיצום כספי בגלל הפרה של הוראה אחרת – וכן מינה DPO לפי ה-בסט פרקטיסיס שלי, זה אחד מהשיקולים שאני אשקול כשאני אבוא להפחית לו את העיצום הכספי.

אני אומר שזה משהו שייתן לנו סוג של פיילוט על תיקון מספר 15 לנסות. מצד אחד אומר יש חובה, רק שבצד החובה אין עיצום כספי, החובה מוגדרת בצורה כללית והפרתה, משמעותה, אתם תכניסו אותה להקלות. יכול להיות שהפרתה אגב תביעה, ככל שתהיה הגדרה רחבה, זה עלול להיווצר וצריך לחשוב האם אנחנו רוצים את זה או לא רוצים את זה אגב הפרת חובה חקוקה או רשלנות. זאת אומרת, אגב תביעה יבואו ויאמרו שארגון כמו שלך שליבת הפעילות שלו הוא עיבוד מידע ברמה הכי מסוכנת, הכי רגיש שיש על 500,000 אנשים, ואתה לא עמדת בסטנדרטים של הסעיף הזה לכן הפרת חובה חקוקה או שהתרשלת. אני יודע שזה משהו חדשני.

אני לא אוהב את ההסתכלות של חובת מינוי ממונה הגנת פרטיות מהפריזמה של הפרה כזו או אחרת. אני חשוב שזאת לא ראייה נכונה, בין אם אתה מפחית ובין אם לא מינית כאשר על פניו היית צריך ואז אנחנו מכפילים לך את העיצום.

אני לא הצעתי את ההצעה אבל זה רעיון מעניין.

אני תמיד לוקח את זה לצד השני. אני לא בטוח שההסתכלות על מינוי ממונה הגנת פרטיות מהפריזמה של הפרה, אני חושב שהוא לא תהליך נכון.

אבל למה אתה רוצה כלל מוחלט? כאשר שאלנו למה אתה רוצה כלל מוחלט במספרים, ניתחנו, למה לא ללכת לגישת ענר אלא ללכת לגישת גלעד, התשובה הייתה, ראשית, כדי שאני כרשות אדע מה אני אוכף, שנית, כדי שהשוק ידע בצורה ברורה מה אני אאכוף או מה הדרישות ממנו.

ושלישית, כדי שיהיו ממוני הגנת פרטיות.

ושלישית, כדי שיהיו ממוני הגנת פרטיות.

כשאמרתי חקיקתית-חברתית התכוונתי גם לדבר הזה.

אני מסכים. ניתוח מצוין. אם כן, יש כאן שלוש סיבות. שתי הסיבות הראשונות הן פונקציה של האכיפה. הסיבה השלישית, ראשית, לגבי השחקנים המרכזיים והמסה הגדולה של הסעיף הזה, הגופים הציבוריים, אין ויכוח.

אפשר להוסיף גם דאטה ברוקרס. אין סיבה לא להוסיף.

הדאטה ברוקרס, חייבים ברישום. בסדר. אני אומר שעליהם אין ויכוח ולגביהם תהיה חובה קבועה וברורה. כלומר, יש לנו אותם. הם כבר נכנסים לנו. אני אומר שאתה צודק אבל אני אומר בוא נזכור מהיכן יצאנו. יצאנו ממקום שבכלל לא הייתה חובה כזאת. היינו מחכים עד תיקון 15 שתהיה החובה. אני אומר בוא נעשה כפיילוט מבחינתנו בלי כרגע לכתוב את זה, להגדיר את זה כפיילוט אבל לייצר את החובה הזאת לרשויות המקומיות, לגופים הציבורים, לייצר אותה בחוק. לייצר אותה לחייבים ברישום. לאחרים לעשות את זה כרגע בתור חובה קצת יותר רכה שמשמעויותיה בסעיפים (1) ו-(2) או הן או בתקנות הפחתה או רק פוסט מורטום כתביעה אחרי שמשהו קרה, ולראות מה עובד.

תבוא לתקן תיקון 15 כמו שתכננת ותעשה סקר וביקורת רוחב ותגיע למסקנה שרוב האנשים שהיה חשוב לך שיהיה DPO ממילא כבר עשו את זה ולכן אפשר להסתפק בחובה הרכה הזאת, או שאז תחזק את זה. אני חושב שכאשר אנחנו מייצרים כאן איזושהי חובה חדשה לשוק, אני מעדיף אותה מראש יותר רכה והיא יותר רכה בסנקציות. אני מאמין שאת רוב המקרים זה יפתור.

תמשיכו בהפסקה את השיח המקצועי ביניכם. נשוב ונתכנס כאן בשעה 12:30 ונמשיך את הדיון בנושא זה. תחשבו על הדבר הזה. אני חושב שזה כיוון שמוריד הרבה מהחששות גם של השוק וגם של הרגולציה.

ישיבה זו נעולה.


הישיבה ננעלה בשעה 11:31.