ישיבת ועדה של הכנסת ה-25 מתאריך 04/06/2024

חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024

פרוטוקול

 
פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



2
ועדת החוקה, חוק ומשפט
04/06/2024


מושב שני
פרוטוקול מס' 336
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, כ"ז באייר התשפ"ד (04 ביוני 2024), שעה 12:51
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
נכחו
חברי הוועדה: שמחה רוטמן – היו"ר
מוזמנים
גלעד סממה - עו"ד, ראש הרשות להגנת הפרטיות

ראובן אידלמן - עו"ד, היועץ המשפטי, הרשות להגנת הפרטיות

ניר גרסון - עו"ד, הרשות להגנת הפרטיות

נעמה גורני לר - עו"ד, המחלקה המשפטית, הרשות להגנת הפרטיות

דן אור-חוף - עו"ד, הרשות להגנת הפרטיות

נועה גבע - עו"ד, הרשות להגנת הפרטיות

עמית יוסוב עמיר - עו"ד, ייעוץ וחקיקה, משרד המשפטים

מירה סלומון - עו"ד, ראש מינהל משפט וכנסת, מרכז השלטון המקומי

יורם ביטון - מנהל אבטחת מידע והגנת הפרטיות, המוסד לביטוח לאומי

ד"ר רחל ארידור הרשקוביץ' - חוקרת, המכון הישראלי לדמוקרטיה

שחף קצלניק - עו"ד, ייעוץ משפטי, התאחדות התעשיינים

עדי הירשקורן קליין - עו"ד, הממונה על הגנת הפרטיות. אל על

נועה דיאמונד - עו"ד, מנחת הקליניקה לפרטיות, אוניברסיטת תל אביב

אייל שגיא - עו"ד, משרד עמר, רייטר, ז'אן ושות'

ד"ר עמרי רחום טוויג - עו"ד, גוגל ישראל

דלית בן ישראל - עו"ד, משרד נשיץ, ברנדס, אמיר ושות'

ענר רבינוביץ' - מנכ"ל חברת פרייבסי טים

איה מרקוביץ' - חברת פרייבסי טים

ד"ר דן חי - יו"ר המרכז לחקר המידע האישי, D.P.I. Group

גל עזורי - המרכז לחקר המידע האישי, D.P.I. Group

גיא זומר - מייסד עמותת תמנון

מור שוהם - אח של החטוף טל שוהם, משפחות החטופים

גיל דיקמן - בן דוד של החטופה כרמל גת, משפחות החטופים
ייעוץ משפטי
נעמה מנחמי
סגן מנהל הוועדה
אלירן כהן
רכזי תחום פרלמנטרי
אבירן יחזקאל
הודיה שאול
רישום פרלמנטרי
אהובה שרון, חבר תרגומים
רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. יתכנו אי-דיוקים והשמטות.

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
צוהריים טובים. חזרנו לדיון על הצעת חוק הגנת הפרטיות (תיקון מס' 14).
מור שוהם
אני אח של טל שוהם שנחטף מקיבוץ בארי יחד עם אשתו ושני הילדים הקטנים שחזרו אחרי 50 ימים. אתם כאן דנים בנושא חוק הגנת הפרטיות ואני רוצה להזכיר לכולנו שיש לנו 124 חטופים שנמצאים בשבי ואין להם פרטיות, שהבנות נאנסות יום-יום, שהגברים עוברים התעללויות יום -יום וגם היום, כאשר אנחנו מדברים על החוק הזה, חשוב שנזכור אותם.

ברשותך, חבר הכנסת רוטמן, אני רוצה לפנות אליך באופן אישי. אנחנו יודעים שיש הצעת נתניהו על השולחן. יש משוואה מאוד פשוטה. אי אפשר לשנות את העובדות למרות שהן לא נעימות. אי הסכמה לעסקת נתניהו כרגע זה גזר דין מוות לחטופים. אתה בחור חובש כיפה, אתה בחור יהודי. היהודים מקדשים את החיים. רוטמן, אני מבקש ממך, תצא ותגיד שאתה בעד עסקת נתניהו ואתה בעד להציל את אח שלי. תסתכל לי בעיניים ותגיד לי, רוטמן, שאתה בעד להציל את אח שלי. כל אמירה כזאת או אחרת נגד העסקה הזאת קובעת גזר דין מוות לאח שלי.

אני מבקש ממך, כאן בוועדה הזאת תגיד לנו שאתה תתמוך בעסקה שתעבור בקבינט, עסקת נתניהו. בבקשה רוטמן, אל תפספס את ההזדמנות הזאת. תזכור שאנחנו שונים מהמזרח התיכון שנות אור כי אנחנו מקדשים את החיים והם מקדשים את המוות וראינו רק אתמול מה קרה שנהרגו לנו ארבעה מבוגרים, מקימי ארץ ישראל. נהרגו, לא נרצחו. נהרגו בזמן פעילות כוחות צה"ל בחאן יונס. חיילי צה"ל עושים הכול אבל כששולחים אותם לשטח כזה שנמצאים בו חטופים, שרוצחי אדם טרוריסטים מחזיקים בהם, אז הם ייהרגו ולא יהיה לנו סיכוי.

אנחנו יהודים רוטמן. תזכור את זה. תודה.
גיל דיקמן
יש לך תגובה לשאלה שלו?
היו"ר שמחה רוטמן
את עמדותיי בנושא אמרתי ואני אומר בצורה ברורה. אני לא נכנס חלילה וחס. אני חושב שהפרס הגדול ביותר שאפשר להעניק לאותם רוצחים מתועבים זה שנריב בינינו. המחלוקת כפי שאתה יודע, דיברנו ארוכות גם בינינו, אין שום ספק בעולם ברצון ובמחויבות של איש, אני לא חושב שיש בנושא הזה מחלוקת, הרצון והמחויבות להשבת החטופים. יש כן מחלוקת בשאלה מה הדרך הנכונה והטובה ביותר להביא את התוצאה הזאת. אני לא נכנס לוויכוח על הגדרה של עסקת נתניהו או לא עסקת נתניהו. בדברים האלה אמרתי את מה שיש לי לומר, גם כתבתי את מה שיש לי לומר. אני לא מתחבא מאחורי דבר. אני סבור וזו עמדתי שלמעשה כל המשא ומתן שמנוהל עם הארגון הזה רק מרחיק את היום שבו ישוחררו החטופים, רק מסכן את חייהם ולכן אני סבור שרק פעולה צבאית ולחץ צבאי הם הדרך להשיב את החטופים. זו עמדתי וזו דעתי.

חלילה וחס, זה אסור בשום פנים ואופן, שהדיון הזה יהפוך להיות דיון בשאלה למי אכפת מחיי החטופים ולמי לא, כי אני לא חושב שזה הדיון. אני חושב שיש מחלוקת אמיתית וכנה. אני לא חושב שאנשים שנמצאים בצד השני של המתרס לעמדתי עושים זאת כי לא אכפת להם מחיי חיילים או לא אכפת להם מחיי הישראלים או מחיי החטופים הבאים אלא זו הערכה שונה של הסיכונים והסיכויים. מחלוקת לגיטימית בכל מקום ובכל סיטואציה וגם בנושא כזה.

אני מקווה שלא משנה מה תהיה ההכרעה, נמשיך ונדע לנהל את הדיונים גם לגבי ההכרעה הזאת וגם לגבי הכרעות אחרות שעוד נכונו לנו במדינת ישראל בדרך שמכבדת את הדין. לזה אני יכול לקוות ולהתפלל.
מור שוהם
אני רק רוצה שתזכור שכאשר אתה מתבטא נגד, מהרגע הזה ואילך אם לא תהיה עסקה ויקרה משהו לחטופים – הדם על הידיים שלך. תזכור את זה.
היו"ר שמחה רוטמן
תודה רבה. שיהיו בשורות טובות לכולנו, במיוחד לחטופים ולבני משפחותיהם.
גיל דיקמן
אני אשמח להוסיף אחרי דברים חזקים מאוד של מור. אתה מדבר על מחלוקת להצלת חיי החטופים כאילו זה משהו גדול כזה. הייתה הזדמנות להציל את חיים, את עמירם ואת יורם. את שלושתם. הייתה הזדמנות ספציפית להציל אותם, אבל החליטו ללכת בדרך אחרת מתוך אמונה שלחץ צבאי יביא חטופים. אפשר לומר היום בבירור שלחץ צבאי הביא למותם. אמר את זה במילים די ברורות דובר צה"ל. אנחנו נשמע את זה במילים ברורות יותר. אני מאוד מקווה שכאשר יגיעו העובדות האלה, ייפול כאן איזשהו אסימון לגבי זה. אלה היו מבוגרים שאפשר היה להציל אותם ואין ספק בכך. הצלתם הייתה על הפרק וזה היה יכול לקרות.

שמעתי את יושב-ראש המפלגה שלך מדבר אתמול במאהל הגבורה על כך שיש מטרות נעלות עבורן יש לנו את הזכות להקריב חיים כאן בישראל. אפשר להגיד על זה כל מה שרוצים אבל להקריב חיים זאת זכות ולא חובה. אדם צריך להחליט על זה בעצמו ושתהיה לו את הזכות. זה מה שעושים אנשים שמסכנים את חייהם כשהם יוצאים לקרב. זה לא מה שעשה חיים פרי, זה לא מה שעשה יורם מצגר ולא מה שעשה עמירם קופר. אנחנו שללנו מהם לא רק את הזכות לפרטיות אלא גם את הזכות הבסיסית להחליט על חייהם. הפכנו אותה לחובה. לא הם בחרו להקריב את חייהם ואין דמיון בין הדברים האלה.
היו"ר שמחה רוטמן
מי שפגע בחייהם ובפרטיות, וחשוב שאת זה אף פעם לא נשכח, זה החמאס. אני חושב שה חשוב מאוד ולגיטימי מאוד להפעיל לחץ על מקבלי ההחלטות מנקודת מבט זו או נקודת מבט אחרת. זאת זכות, זאת חובה לנו להקשיב לנו, זאת זכות שלכם לעשות את זה, אני מכבד את זה באמת עד אין קץ, אבל אני חושב שחשוב שכולנו נזכור שמי שחטף, מי שאחראי לחייהם, מי שאחראי למותם – זה החמאס ולא ממשלת ישראל.
גיל דיקמן
חבר הכנסת שמחה רוטמן, אני מצאתי את דודה שלי נחטפת בסרטון ב-7 באוקטובר בשעה 15:00 אחר הצוהריים. אני רואה את הסרטון הזה כל לילה בסיוטים שלי. אני רואה את המחבל שלוקח אותה. אני לא יודע איך נראה המחבל שלקח את הבת שלה אבל אני יודע איך נראה המחבל שלקח אותה. אני גם יודע איך היא נראתה דקות ספורות אחרי שרצחו אותה כי גם את הסרטון הזה ראיתי. גם הבת שלה ראתה. היא הייתה שם במכונית ועברה ליד. זה הדבר היחיד שהיא יודעת. אנחנו לעולם לא נשכח את מה שעשו לנו חמאס, אנחנו לעולם לא נשכח את זה שחמאס הוא זה שחטף אותן, אנחנו לעולם לא נשכח את זה שמדינת ישראל, המדינה של דודה שלי כנרת ושל הבת שלה כרמל, לא הייתה שם כדי להגן עליהן מפני זה. חמאס הוא אויב מר ואנחנו לעולם לא נשכח את מה שהוא עשה לנו ולעולם לא נשכח את זה שהם בידיים של החמאס.

האסון שלנו והניצחון של סינוואר יהיה כשאנחנו נפסיק להאמין שהמדינה שלנו מסוגלת לבחור נכון. החלום שלו הוא שאנחנו נהפוך לחברה שמקריבה את חייה האנשים שלה, שבוגרת בחיי האנשים שלה. חיים פרי, עמירם קופר, יורם מצגר, שלושתם – יש סרטונים שלהם מהשבי מסתכלים בעיניים ומתחננים שנציל אותם. אף אחד לא צריך לתסרט את זה את זה. זה לא טרור פסיכולוגי. אלה שלושה אנשים שהתחננו על חייהם ואנחנו הסתכלנו והפנינו עורף. הפנינו להם עורף, בלי לדבר על זה שהלחץ הצבאי הוא זה שהביא למותם. הפנינו להם עורף. יכולנו להציל אותם וקיבלנו החלטה אחרת. להתכחש לזה, לא יהפוך את זה לפחות אמיתי. חייבים להבין את זה כי את השלושה האלה מאוחר להציל אבל במותם ציוו לנו את העסקה. במותם הם ציוו לנו את היכולת להציל את החיים של אחרים, אלה שעדיין לא מאוחר להציל.

אני אומר כאן משהו שאני לא יודע אם כולם יודעים. בקרוב מאוד אנחנו נקבל עוד הודעות כאלה ואנחנו חייבים לדעת, להבין, להסתכל על עצמנו ולשאול את עצמנו האם ידינו שפכו את הדם הזה. התשובה היא כן. התשובה היא כן, כן, כי אפשר היה להציל אותם. ואז יהיו כאן דיונים באיזה מחיר, במחיר כזה או במחיר כזה. ידינו שפכו את הדם הזה והן ישפכו כאן עוד דם אם לא נקבל את ההחלטה הנכונה שיש לה רוב עצום גם בבית הזה, גם בממשלה, גם בקבינט וגם בעם ישראל והיא להציל חיים קודם כל. אנחנו הולכים בכיוון לא נכון. הכיוון שרצח את חיים פרי, את עמירם קופר ואת יורם מצגר ועוד שמות שאני לא אומר עכשיו אבל אני יודע אותם, אנשים שהיו בחיים ולא הצלנו. יכול להיות שגם אתה יודע אותם ואנחנו עכשיו לא אומרים.

אנחנו חייבים לשנות כיון וללכת על עסקה שתציל חיים גם אלה לא יהיו החיים של כרמל שיינצלו, גם אם זה אומר היא תצטרך לחכות, אפשר להציל חיים של אנשים שעכשיו נמצאים בחיים ושמחכים לנו שנציל אותם. הם תולים בנו את המבט הזה. הם לא בחרו להקריב את החיים שלהם. תציל אותם בבקשה. תודה.
היו"ר שמחה רוטמן
תודה רבה. אני חוזר על התפילה והבקשה.
מור שוהם
הוא סומך על כך שלא תרצה שידיך יהיו מגואלות בדם.
היו"ר שמחה רוטמן
אני לא חושב שאנחנו צריכים לספק לאויב שלנו בוויכוחים שלנו על השאלה מי אשם במעשים שהוא עושה אבל זה דיון אחר.
גיל דיקמן
אנחנו מספקים את זה לאויב שלנו כשאנחנו לא מצילים את החטופים שלנו שהם בשבי. כל עוד הם בשבי, הוויכוחים האלה יימשכו כי האמת הזאת תימשך והאמת היא שהם מאבדים את חייהם שם ואין דרך להתכחש לזה. אנחנו יכולים להסיט מבט, אנחנו יכולים לשקר לעצמנו אבל הסיפור יהיה לא הוויכוח. הוויכוח הוא על האמת. זאת האמת. האמת היא שהם מתים שם. האמת היא שהם בסכנת חיים שם כל רגע. את הדבר הזה אי אפשר להכחיש. אי אפשר להתעלם מזה. הבעיה היא לא הוויכוח אלא הבעיה היא שהם מתים. זאת הבעיה וזאת בעיה גדולה מאוד.
היו"ר שמחה רוטמן
אני סבור שמדינת ישראל עושה - - -
גיל דיקמן
הוויכוח שלנו הוא בעיה גדולה יותר מאשר המוות שלהם? זה מה שאתה אומר?
היו"ר שמחה רוטמן
אני חושב שמה שאני אומר הוא מאוד ברור. אתה לא חייב להסכים איתי וזה בסדר, אבל מה אני אומר הוא מאוד ברור. אני באמת אומר. אני לא חושב שהוויכוח הזה מועיל לאיש. אני סבור שמדינת ישראל מחויבת ועושה את המקסימום כדי לשחרר כמה שיותר חטופים כמה שיותר מהר. אני סבור – וזו עמדתי ואני חושב שיש טעם לקיים את הדיון העובדתי וגם חלק ממנו, כמו שאתה מבין וגם אתה אמרת, אי אפשר להגיד וזה לא ממש משנה – שהפעולות שלפעמים עולות בתפיסה מסוימת או במראית מסוימת כביכול מקדמות הצלה, בעיניי מרחיקות הצלה, מסכנות גם את חייהם של החטופים שנותרים בשבי, גם את החטופים חס וחלילה הבאים שגם הם לא בחרו להיות החטופים הבאים. זה שאנחנו לא יודעים את שמותם לא הופך אותם לפחות אמיתיים.
גיל דיקמן
הם כן פחות אמיתיים. הם כרגע לא בשבי. זה מה שהופך אותך לפחות אמיתיים. כרגע יש חטופים אמיתיים בשבי ואלה לא החטופים הדמיוניים שעוד לא נחטפו. יש הבדל.
היו"ר שמחה רוטמן
אבל אני אומר את דעתי. אני חושב שהמחויבות של מדינת ישראל, לא רוצה לנקוב בשמות, הופרה לאותם חטופים שהיום בשבי, לא ב-7 באוקטובר. לאותם חטופים אמיתיים, המחויבות של מדינת ישראל לא הופרה ב-7 באוקטובר אלא היא הופרה עת שחררנו את סינוואר מהכלא.
גיל דיקמן
ממש לא.
היו"ר שמחה רוטמן
זו דעתי. אתה יכול לא להסכים איתה, זה בסדר. אני יודע, זה בטוח, שלמרות שאנחנו לא מסכימים, אני לפחות מאוד מעריך ואוהב אותך.
גיל דיקמן
גם אני.
היו"ר שמחה רוטמן
אני סבור שהמחויבות של מדינת ישראל הופרה כאשר שחררנו את סינוואר ואת המפלצות האחרות שחטפו את כל המשפחה שלך ופגעו בקרובי המשפחה שלי. אני חושב שאז הפרנו את המחויבות אליהם ואני חושב שהעובדה שאנחנו הפרנו את המחויבות הזאת מחייבת אותנו לא לעשות את זה שוב. לא לייצר את החטופים הבאים. גם לא לפגוע בחטופים הקיימים. אני חושב שעצם המשא ומתן שאנחנו מנהלים וניהלנו פגע בחטופים הקיימים, פגע בחטופים הנוכחיים.

זו עמדתי. אתה יודע, אני דיברת איתך על זה ארוכות ואני אמשיך לדבר איתך על זה ארוכות באמת באהבה ובהערכה. אני לא חושב חס ושלום לרגע שהמחלוקת הזאת בינינו נובעת מזה שלך לא אכפת מהחטופים הבאים או מהחטופים הנוכחים.
גיל דיקמן
המחלוקת הזאת או הוויכוח הזה, לא הוא מה שמסכן את החטופים וגם את זה חשוב להבין.
היו"ר שמחה רוטמן
מחלוקת לא מסכנת.
גיל דיקמן
אנחנו יהודים וישראלים. הוויכוח, הפולמוס, הוא הדבר הכי יהודי שיכול היות. אם לא היינו מתווכחים על הדבר הזה, בוודאי במהלך מלחמה, היינו הולכים למקומות מאוד מאוד רעים. זה דבר יהודי וגם פדיון שבויים. בוודאי שיש כאן פיקוח נפש של אנשים. כרמל חיה, הנה, אני אומר את זה, אני אומר דברים שאנחנו לא תמיד אומרים. כרמל בחיים, היא בחיים עכשיו, היא בחיים כמו שחיים פרי היה בחיים ועכשיו החיים שלה בסכנה. כל רגע זה יכול להיגמר. זה מה שאומרים בפדיון שבוים במצב של פיקוח נפש. אנחנו חייבים להציל את מי שאפשר.
היו"ר שמחה רוטמן
אני חושב באמת ובתמים, אני מקווה שאתה מאמין לכנותי, ואני מקווה שכרמל גם חיה, גם תישאר חיה וגם תינצל בעזרת השם במהרה, ואני מקווה, אני חושב שעמדתי מקרבת את היום הזה יותר מאשר עמדות אחרות שהוצגו. אתה יכול לחשוב שאני טועה, אתה יכול לחשוב שאני צודק. זה בסדר גמור. אני מסכים איתך לחלוטין. לא הוויכוח בינינו מסכן את חייה. בזה אני מסכים איתך לחלוטין כי אני חושב שככל שהוויכוח בינינו מתנהל בדרך שבה הוא מתנהל, ואני חושב שהוא מתנהל בסדר גמור, גם עם הדברים הקשים שנאמרו אני יודע לחיות, קשה, אבל אנחנו יודעים לחיות עם המציאות, וכמו שאתה יודע, דיברתי איתך על זה במשך תקופה מאוד ארוכה – גם אני עם קרוב משפחה שהוגדר כחטוף – והמחלוקת הזאת היא מחלוקת לשם שמיים, טוב שנשמיע אותה, טוב שתנסו לשכנע, טוב שאני אנסה לשכנע, כל אחד יעשה כמיטב יכולתו והבנתו מתוך המחויבות העמוקה של כולנו להשבתם של החטופים, לדאגה שלא יהיו חטופים נוספים, לניצחון במלחמה, לכל המשימות. לכולנו יש אחריות כל אחד לפי דרגתו, לשותפות ונמשיך להתווכח וזה בסדר ועל חלק מהדברים נישאר חלוקים ועל חלק מהדברים נסכים. גם על מה שלא נסכים, בסופו של דבר נעשה את זה ביחד.
גיל דיקמן
בהקשר הזה, הדבר האחרון שאני אומר, גיסתה של כרמל – ירדן רומן – שוחררה מהשבי. המפלגה שלך בסופו של דבר הצביעה בעד. אני לא אדרוש ממך להתחייב על זה עכשיו. אני אגיד לך שאנחנו כמשפחות, אנחנו כעם ישראל מסתכלים עליכם, על הציונות הדתית, לא על אף אחד אחר, עליכם, יודעים שכאשר זה יגיע להצלת חיים, אתם תקבלו את ההחלטה הנכונה.
היו"ר שמחה רוטמן
בעזרת השם, מתפללים שהשם ינחה את כולנו, גם את מפלגת הציונות הדתית וגם את המפלגות האחרות בדרך הנכונה. תודה.

הפסקה לשתיים-שלוש דקות.

(הישיבה נפסקה בשעה 13:10 ונתחדשה בשעה 13:13.)
היו"ר שמחה רוטמן
במעבר חד מאוד. בואו נשאיר את הנושא עליו דיברנו בתחילת הישיבה ואני מבין איזשהו שיח. בסופו שלדבר, כאשר אנחנו מסתכלים על חבות ועל נקודת המוצע, בעצם מטרת הצעת החוק מבחינתנו, מבחינתי, אני מניח שגם מבחינת כל הנוכחים כאן, היא להגביר את הגנה על הפרטיות במדינת ישראל. עשינו את זה בכל מיני תחומים. חובות שעד היום היו חובות על הנייר בלבד, קיבלו לצידם עיצום כספי או כל מיני מנגנונים אחרים לטובת הגברת האכיפה. חובות שלא היו קיימים, חלקם יצרנו, חידדנו, דיברנו.

חובת מינוי DPO עד היום וגם אם אנחנו מסתכלים לאחור, מבחינת מה שרצתה הממשלה מלכתחילה, לא הייתה קיימת. מבחינת הממשלה, הממשלה הייתה יכולה לחיות עם סיטואציה בה אין DPO בכלל עד תיקון 15. שדרגנו את זה. אמרנו, לא, יהיו גופים שיהיה להם DPO חובה ולגבי השוק הפרטי אני כן נוטה לבוא ולומר איך שלא תנוסח החובה, אני חושב שככל שננסח את החובה בצורה HU,R – דיברנו קודם עמומה אל מול חדה, דובר על שרירותית אל מול זה, אני גם רוצה להוסיף עוד נדבך לאירוע, תואם GDPR או לא תואם GDPR, כלומר, יותר דומה לניסוחים העולמיים ויש לזה יתרון בפני עצמו, לעומת הסנקציה שאני יכול לנשום איתה ומה שנקרא בתיקון 15, אולי תוסיפו את העיצום הכספי כתיקון. כאן תהיה יותר אכיפה רק על רגולציה רכה. אני יותר חי עם זה טוב.
ראובן אידלמן
השאלה אם תהיה חובה. אני רוצה להבין למה אדוני מכוון. חובה ללא סנקציה או שמלכתחילה גם לא תהיה חובה על המגזר הפרטי? זה קצת פספוס.
היו"ר שמחה רוטמן
אני אומר לא. חובה שמנוסחת בצורה מהותית כהגדרתה של איה או בצורת GDPR אם תרצו, מנוסחת בצורה יותר עמומה ובגלל שהיא מנוסחת בצורה יותר עמומה - כלומר, בכל השוק הפרטי, עזבו לרגע את השוק הממשלתי – היא לא כל כך מתאימה לאכיפה בצורה של עיצום כספי והיא כן מתאימה לשני דברים כאשר האחד הוא הפחתות. זאת אומרת, אם הרשות תחשוב שפלוני אלמוני פירש נכונה את המקרה הזה, זאת לא זכות קנויה אבל כן מינה DPO, כן עשה זה וזה והוא עשה הפרה אחרת, זה אחד מהשיקולים להפחתה כי הוא בסך הכול כן יישם את החובה הזאת. זה במסגרת תקנות ההפחתה. ודבר שני, מאחר והחובה מנוסחת בצורה עמומה, בדומה לחובה לא לנהוג ברשלנות, שגם היא מנוסחת עמומה בפקודת הנזיקין, חובת תום הלב שגם היא מוגדרת בצורה עמומה בדיני החוזים, אגב הכרעה שיפוטית שיבוא בית משפט ויאמר שאתה ברשלנות רבתי כי גופים כמוך בכל העולם וגם בישראל לעניין תקנות ההפחתה של הרשות להגנת הפרטיות, הם אמורים למנות DPO, אתה גם לא מינית DPO וגם היה לך דלף מידע וגם העלית לאינטרנט את הפרטים של סוכנות האימוץ הבינלאומית שלך. תהיה או העברת חובה חקוקה או סטנדרט של עוולת הרשלנות, בהתאם לכללים הרגילים.
ראובן אידלמן
אבל שתהיה חובה.
היו"ר שמחה רוטמן
כן. החובה והיא תנוסח בצורה יותר דומה לצורה שהציעו קודם ענר ואיה. סיכמנו שאתם משלימים אחד לשני את המשפטים.
דן חי
אם הולכים על חובה עמומה, הייתי מציע גם לאפשר להגיש בקשה לרשות לקבל פטור. אז מי שירצה ממש להיות ברור לעצמו, תהיה לו דרך לעשות את זה.
היו"ר שמחה רוטמן
אני לא צריך לעשות את זה כי יש את המנגנון של חוות דעת מקדימה. אם מישהו ירצה לדעת האם גוף חייב במינוי DPO, כשאין חוות דעת מקדימה יכולה הרשות בהתאם לכללים שלה. יצרנו לה את המנגנון. כמו שכל דבר בחוק, הם יכולים לעשות בחוות הדעת המקדימה. אני לא צריך לייצר לזה סעיף מיוחד. הם יציעו ואני מניח שלגבי תקנות ההפחתה, ככל שיתקדם הזמן, הם יוציאו גייד ליינס. שוב, אני לא רוצה להלחיץ אותם בזה ואני לא רואה סיבה להלחיץ אותם בזה. חזקה עליהם שיעשו את מלאכתם.
דן חי
אנחנו הרי חיים את השוק, אנחנו חיים אותו ביום יום, כשהדברים הם עמומים או ניתנים לשיקול דעת, שיקול הדעת לרוב הולך לקולה פנימית. הגוף יאמר לעצמו שאם זה כך, אני לא צריך למנות. כשאפיינו את תקנת אבטחת מידע שאל מישהו למה הן כל כך מפורטות, למה הן אומרות ממש אחד לאחד מה לעשות ואז אמרו שישראל יכולה לתת לגופים להחליט איך לקיים את החובה להבטיח את המידע. צריך להגיד להם את זה אחד לאחד. אני חושב שגם כאן.
היו"ר שמחה רוטמן
מאחר ולא אני חוקקתי את תקנות אבטחת מידע, אני לא אומר לך מה אני חושב עליהן. אני לא מסכים לגישה הזאת. אני חושב שאנחנו מייצרים את תרבות הראש הקטן באמצעות אמירה כזאת ודווקא חובות עמומות בטח ובטח שיש לצידן חשש מתביעה לא קטנה על רשלנות או על הפרת חובה חקוקה, יגדרו את הסיכונים, מה גם שרוב הגופים הגדולים בכל מקרה עובדים עם איזשהו לקוח אירופאי ובכל מקרה הם מתמודדים עם ה-GDPR באיזושהי דרך ושם להבנתי החובה מנוסחת בצורה תכליתית או כל שם אחר. לכן אני אומר שדווקא מהבחינה הזאת אני חושב, גם אדוני ראש הרשות גם לטובת אנשי ה-GDPR שיקראו את החוק, אם הם יראו הגדרת DPO שתלויה בשרירותיות, הם ישאלו בצדק מה אתם רוצים. אם הם יראו את הנוסח שבסופו של דבר הוא תרגום כזה או אחר של הנוסח של ה-GDPR, הם יגידו שהם הבינו.
ראובן אידלמן
החשש שלנו בפער התרבותי כאן הוא שבאירופה, אם יש ספק, ממנים.
עמית יוסוב עמיר
השאלה אם אדוני יהיה מוכן לשקול כי בכל זאת מאחר שבאמת לעמימות הזאת יש מחירים. זאת אומרת, אפשר איכשהו לחשוב על הסדר היברידי שאומר שמצד אחד יש את ההסדרה העמומה, תואמת ה-GDPR שהיא התאמה מהותית של החובה אבל מצד שני כן יש איזה שהם רפים מינימליים לגבי המקרים הקשים החמורים.
היו"ר שמחה רוטמן
אני אומר לך שאתה מקבל כוח ליד, מה אתה מביא אותו אלי? באמת. אני אומר לך שאתה תכתוב בגייד ליין שלך של ההפחתות שאנחנו ככלל נראה גוף שמנהל 200,000 נושאי מידע, אתם רוצים במקרים, תפנו חוות דעת מקדימות. הכוח אצלך, בידיים שלך. אני רק אומר לך שאתה לא תקבל ממני את הנבוט הגדול בשביל עיצום כספי אלא או במסגרת תקנות ההפחתות וממילא כשאתה תקבע את ה-בסט פרקטיסיס אנחנו יודעים שהם ישמשו כטיעון בהליך המשפטי. עזוב אותי עכשיו. אני נותן לך את הגמישות. ככל שאני לא בא אליך עם עיצום כספי ביד, נותן לך את הגמישות, תלמד מהשוק, תקבל, תראה אם עובד או לא עובד.
דן חי
התוצאה תהיה שרוב הגופים לא ימנו.
היו"ר שמחה רוטמן
אני לא מסכים איתך. אני אומר שוב שקודם כל גופים ציבוריים - - -
דן חי
הם באמון.
היו"ר שמחה רוטמן
לא. הם לא באמון.
דן חי
אני מדבר על האמון.
היו"ר שמחה רוטמן
אני אומר בוא נראה. אני גם אומר שוב שבסופו של דבר העמדה של הממשלה, העמדה של תומכי ה-DPO כאן, תסתכלו ממה היינו וזה גם נאמר כאן בדיון. בסופו של דבר זה משהו שמדינתי ישראל חשבה שהיא יכולה להסתדר בלעדיו בשנתיים-שלוש הקרובות. מי אמר כאן שנה-שנתיים עד תיקון 15? אני אומר ב-10 השנים הקרובות. מדינת ישראל חשבה שהיא יכולה להסתדר בלי DPO לאזרחים. עכשיו אנחנו אומרים כן DPO אבל רך עם אכיפה רכה. עכשיו אנחנו כבר האויב בשל הטוב הוא הטוב מאוד. אומרים שלא ימנו מספיק ולגופים ציבוריים כן DPO. אלמלא עבודת הוועדה כאן וכולם מסביב לשולחן, היינו בלי DPO עכשיו במשך עשור. אם כן בואו נראה לאן התקדמנו.
נועה גבע
עוד הצעה אפשרית. לגבי הנושא הזה של הסנקציה כדי לא להוציא את כל העוקץ מהתיקון, חשבנו על עוד אפשרות של כן לקבוע סנקציה על הרף הנמוך של העיצום. זאת אומרת שבכל זאת הגופים ירגישו שיש כאן איזושהי אכיפה אבל על הרף הנמוך. זאת אומרת, זה משהו שלא מערער עכשיו גוף כזה בצורה קריטית.
היו"ר שמחה רוטמן
עזבי. באמת אני אומר שאני לא מקבל את התזה הזאת על כך שבישראל כולם עבריינים. לא מקבל. מצטער. אני אומר שנעשה טסט. דווקא מקרה טסט מצוין. אתם תבואו עם תיקון 15, תראו שזה לא עובד, תקבעו כללים, הכול בסדר. יהיה לכם ללמוד מהשוק קדימה ואחור, כבר תהיה פסיקה, תיקון 15 יתוקן.
דן חי
אולי אפשר סנקציה רק אחרי שיהיו תביעות מהרשות.
היו"ר שמחה רוטמן
זה כבר דובר. אז אני בעצם אומר לרשות שהיא זאת שקובעת את הסנקציה. לא רוצה את זה. אני לא חושב שזה נכון.
גלעד סממה
אני רוצה לראות אם הבנתי את המנגנון שאדוני מציע שבינתיים מתנגן לי כמנגנון רטרו. בעצם תצא הנחיה של ראש הרשות באשר לאותם קריטריונים.
היו"ר שמחה רוטמן
תקנות הפחתה.
גלעד סממה
לא. תיקוני הפחתה, אלה הפחתה של עיצומים.
היו"ר שמחה רוטמן
נכון.
גלעד סממה
תצא הנחיה של הרשות שאומרת מה הם הקריטריונים המהותיים למינוי.
היו"ר שמחה רוטמן
לא. הקריטריונים המהותיים יהיו בחוק.
גלעד סממה
מה הם?
היו"ר שמחה רוטמן
תן לי רגע את הנוסח. בגדול תרגום של ה-GDPR והם יהיו בחוק. בסעיף 17ב1 יהיה כתוב: "הגופים האמורים להלן חייבים במינוי ממונה על הגנת הפרטיות: גוף ציבורי כהגדרתי בסעיף 23 למעט גוף ביטחוני כהגדרתו בסעיף 23יח"
רחל ארידור הרשקוביץ'
אדוני, אפשר להגיד מה הגופים שחייבים ברישום. למעט גוף ביטחוני.
היו"ר שמחה רוטמן
הגופים שחייבים ברישום, בסדר. נכון. למעט גוף ביטחוני.
נועה ברודסקי לוי
לא בטוח. אני חושבת שלראש הרשות יש סמכות להורות על רישום.
היו"ר שמחה רוטמן
לא. מי שחייב רישום, יהיה חייב גם ב-PDO. עם זה אני יכול לחיות. זה אומר כל הגופים הציבוריים וזה אומר ה-דאטה ברוקרס. זה בתור התחלה, סעיף 1. זה תנאי טכני. נקרא לו תנאי טיפש.

תנאי שני הוא בעל שליטה או מחזיק במאגר מידע, המחזיקים עבור האמורים בסעיף (1). זאת אומרת, הגופים הציבורים, כלומר, החייבים ברישום והמחזיקים של חייבים ברישום, כדי לוודא שאנחנו משמרים את הרציונלים שכאן. נניח. שוב, זו טיוטה ראשונית.

איה, מה שהעברת, מה שכתוב כאן זה תרגום של ה-GDPR פחות או יותר?
איה מרקוביץ'
כן.
היו"ר שמחה רוטמן
כאשר ליבת הפעילות של בעל השליטה או המחזיק במאגר כוללת מידע שלפי טיבו, היקפו ומטרותיו מצריך ניטור שיטתי ונמשך שנושא מידה בקנה מידה רחב. פחות או יותר תרגום של ה-GDPR? כן. נעבוד קצת על התרגום והניסוח.

כאשר ליבת הפעילות של בעל השליטה או המחזיק במאגר כוללת עיבוד בקנה מידה רחב של מידע בעל רגישות מיוחדת.

אם כן, יש כאן רגישות מיוחדת ויש כאן מידע רחב אבל המבחן המהותי הוא ליבת הפעילות. מבחן ליבת הפעילות.
עמית יוסוב עמיר
מבחן מאוד בעייתי.
היו"ר שמחה רוטמן
מבחן סופר בעייתי.
עמית יוסוב עמיר
לא רק מהבחינה הזאת ההוא עמום כי אם יש לך גוף מאוד גדול ומרכזי - משרד החינוך הוא גוף ציבורי, סתם כדי לתת אותו כדוגמה - מה ליבת הפעילות של משרד החינוך? לחנך את ילדי ישראל.
היו"ר שמחה רוטמן
אבל הוא גוף ציבורי.
עמית יוסוב עמיר
גוף פרטי, לימוד אקסטרני. חברה פרטית שעושה לימוד אקסטרני. מה ליבת פעילותה? חינוך ילדי ישראל. היא לא עוקבת אחרי אנשים. מה ה-סייד אפקט של הפעילות? עיבוד רחב היקף - - -
ראובן אידלמן
לדוגמה בית חולים.
היו"ר שמחה רוטמן
בית חולים הוא גוף ציבורי.
ראובן אידלמן
לא חייב להיות. רוב בתי החולים הם לא גופים ציבוריים.
היו"ר שמחה רוטמן
אני כלל לא בטוח אבל רגע.
נועה דיאמונד
יכוך להיות שאנחנו צריכים לחשוב על מהו גוף ציבורי לעניין הזה.
היו"ר שמחה רוטמן
רק רגע. סליחה, אבל אני חולק עליכם. בית חולים, בהגדרה ליבת פעילותו כוללת עיבוד בקנה מידה רחב של מידע בעל רגישות מיוחדת. אגב, שוב, זו לא הגדרה. מה שיפה בהגדרה הזאת שהיא הגדרה בינלאומית. אתם טוענים ברצינות שלפי ה-GDPF בית חולים לא נכנס שם? אף אחד לא טוען את זה.
נועה דיאמונד
בית חולים הוא בהנחיה ראשונה בכל ההנחיות.
היו"ר שמחה רוטמן
זו הדוגמה הקלאסית. אין בית חולים בלי עיבוד של מידע בעל רגישות מיוחדת. לכן ליבת הפעילות של בית חולים כוללת בתוכה עיבוד. מה שנחמד בהגדרה הזאת זה שבסופו של דבר – אתם גם יכולים ללמוד מהפסיקה הבינלאומית, מהגופים הבינלאומיים כי זה מושג קיים.

אתם כן צודקים כי תמיד יבוא הישראלי המתחכם ויגיד לכם שהוא לא שם. מצוין. ראשית, מן הסתם תוכלו גם להטיל עליו עיצומים על דברים אחרים כי אם הוא נודניק, הוא נודניק. אז תגידו לו שבגלל שהוא מתחכם, גם לא עושים לו את ההפחתה. הדבר השני הוא שאותו מתחכם, בגלל שאתם כתבתם ב-בסט פרקטיסים שלכם דוגמאות, הוא יחטוף תביעות אזרחיות, תביעות ייצוגיות ותביעות מן הגורן ומן היקב וגם הארכתי לו עכשיו בגלל הדבר הזה את ההתיישנות לשבע שנים. אני חושב שהצענו את המטריה בצורה משמעותית.

האם לעומת חובת מינוי DPO כללית זה פחות טוב או יותר טוב? יכול להיות שאני מסכים איתכם שזה פחות טוב. האם כאשר אני מייצר חובה רגולטורית חדשה שלא הייתה עד היום ובמקום לקבוע לה מבחן שרירותי שהוא קיים רק בישראל, אני משתמש במבחן מהותי שקיים בכל העולם ויפורש בצורה דומה בכל העולם והכול טוב יותר, רק מה, אני לא נותן לכם את הכלי של העיצום הכספי על הכלל ואני אומר לכם שתשמרו אותו או לתיקון חקיקה עתידי או לתיקון 15, אם תראו שאין ציות – ואז כאילו מי ישמע, עד עכשיו לא היה כלום. לכן אני אומר שזה צעד ביניים ונראה לי שאפשר לחיות איתו.
נועה דיאמונד
אני רוצה להוסיף בהמשך למה שנחמד בהצעה הזאת. זה מתקשר לזה ש-DPO הוא תפקיד מהותי לפרטיות. לא תפקיד טכני. לכן המבחנים צריכים להיות מבחנים מהותיים של הסיכונים לפרטיות וההצעה הזאת שמבוססת על ה-GDPR היא נכונה כי היא מסתכלת על הסיכונים שהם לא רק שמורים למספר נושאי המידע.
היו"ר שמחה רוטמן
בסדר. אנחנו עוד נחשוב על זה בהמשך. תודה רבה. נראה לי שאנחנו מוסכמים. אני אומר שזה הכיוון. נראה לי שנתקדם להמשך. אני אומר שגוף ציבורי, סגרנו. חובת רישום – חובת רישום וכל המבחנים האחרים. אגב, אני אומר שמי שמחזיק במאגרי מידע שונים של כמה בעלי שליטה, לדעתי הוגדר אוטומטית. כמעט אוטומטית. למה? כי בליבת הפעילות שלו יש נושא מידע בקנה מידה רחב וזה כמעט תמיד. היו מקרים הבודדים שלא, אז לא.
עמרי רחום טוויג
קנה מידה רחב זה רגישות מיוחדת.
היו"ר שמחה רוטמן
לא.
עמרי רחום טוויג
ו-... מוניטורינג זה לגבי - - -
היו"ר שמחה רוטמן
למוניטורינג, נכון, בסדר.
עמית יוסוב עמיר
נציע נוסח אבל אם אפשר לבקש לחזור לוועדה.
היו"ר שמחה רוטמן
אין בעיה. בסדר גמור. בואו בינתיים נמשיך ונראה מה אנחנו יכולים לסגור מהסעיפים האלה. אני אומר שהשורה התחתונה היא שחובה - מוסכם שתהיה, גוף ציבורי או גופים החייבים ברישום – מוסכם שיהיה, לגבי סעיפים (1), (2) ו-(4) – לגביהם כרגע הנוסח הוא מה שאתם מציעים ואני לא משנה אותו. כרגע הנוסח שלכם הוא הנוסח שלכם. הכלל טכני ואני מציע, כרגע נוסח היושב-ראש, הכלל המהותי בניסוח דומה לניסוח שהוקרא כאן קודם.
ראובן אידלמן
לצבור כל התנאים שבסעיף ה-GDPR אחד לאחד.
היו"ר שמחה רוטמן
כן. תרגום של הסעיף. תרגום בשינויים המחויבים.
עמית יוסוב עמיר
מבחינת הסמכות להטיל עיצום - - -
היו"ר שמחה רוטמן
תכף נגיע לעיצומים. אני אומר שעל אלו שהם כקליר קט אין לי בעיה שתטילו, גוף ציבורי או דאטה ברוקרס כי אז החובה היא קליר קט ואין לי בעיה שתטילו עיצום כספי קליר קט. כאשר החובה מנוסחת בצורה עמומה, בעיניי המנגנון צריך להיות בשלב הנוכחי רק בתקנות הפחתה. דהיינו, אם על הגוף הזה מוטל עיצום כספי מסיבות אחרות, אתם זכאים להפחית לו אם הוא מינה DPO לפי הסעיף הזה. כלומר, זה יהיה לשיקול לקולה, שהוא בסדר באירוע הזה. אני באמת רוצצה אכיפה הכי רכה שאפשר לדבר הזה דווקא בגלל שמדובר באכיפה חדשה. אני אומר כאן לפרוטוקול שאני חושב שדבר נכון וחשוב, כשתביאו את תיקון 15 או אם תראו בעוד שנתיים, שלוש, ארבע כי 15 עוד לא מוכן שדרושה כאן העצמת האכיפה וכבר יצאו גייד ליינס, אז יהיה לנו עם מה לעבוד. אבל כרגע בעיניי זה חדש מדיי. חדש מדיי לשוק להביא גם את ההוראה המהותית וגם את הנבוט על הראש.
ראובן אידלמן
לגבי סוגיית ההפחתה, אולי נכון כשנדון בתקנות ההפחתה ואדוני יראה את כל התמונה, יש שם לא מעט עילות אחרות ואנחנו לא רוצים שמרוב עצים לא יראו את היער. כדאי להראות את כל התמונה. שיקול הדעת שם הוא גם כן לא כזה.
היו"ר שמחה רוטמן
כשנגיע לגשר, נפוצץ אותו.
מירה סלומון
גם אני אומרת למען הסדר הטוב שאנחנו מתכוונים לפנות למשרד הפנים בעניין הזה כיוון שיש כאן בכל זאת מינו סטטוטורי, גם אם זה במיקור חוץ, גם אם זה לא בהעסקה ישירה. יש לנו עכשיו מטלה חדשה ואנחנו הולכים להיכנס לזה. משרד הפנים לא היה מעורב בעניין הזה מלכתחילה כשהוחלט להוציא משרה כזאת, אבל בסדר.
עמית יוסוב עמיר
אפרופו משרה, חשוב לי לומר לפרוטוקול בהמשך לשיחות שהיו - - -
היו"ר שמחה רוטמן
עוד לא דיברנו על ניגודי העניינים, נוסף על התפקיד או לא נוסף עליו.
עמית יוסוב עמיר
אבל חשוב לומר לפרוטוקול שאין כוונה, לפחות מצדנו ולא שמעתי מאף אחד אחר, לדרוש איזושהי חובה למשרה מלאה או משהו כזה. זה תפקיד שצריך למלא בהיקף שנדרש.
היו"ר שמחה רוטמן
חובות מהותיות שאתם צריכים לעשות אלא שהיה לכם בן אדם ספציפי שזה עליו.
מירה סלומון
בוא נדבר על מועצה מקומית כמו מטולה עם היקף התושבים שלה, עם מספר העובדים שיש אצלה ועם היכולת שלה לארגן.
רחל ארידור הרשקוביץ'
בואי נדבר על הפרות הפרטיות שיש בידי מועצות מקומיות שיכולות להרשות להם מידע רגיש מטורף והן נמצאות בדוחות מבקר המדינה שנה מדי שנה על כך שהן לא מגינות על הפרטיות.
מירה סלומון
יושב-ראש הוועדה גם דיבר בעבר על ככל שקהילה יותר קטנה, מה הציפייה שיש לפרטיות שם. הדברים הם לא כאלה ברורים בשאלה הזאת.
רחל ארידור הרשקוביץ'
הציפייה לפרטיות זאת פרטיות בתוך היישוב.
מירה סלומון
למען הפרוטוקול, אמרתי את זה בסוג של חיוך. בכל זאת ועדיין אם יש בעיה בפרטיות צריך לייצר לזה משאבים כדי לפתור אותה ולא להנחית משהו שהן לא יכולות לקיים.
היו"ר שמחה רוטמן
בסופו של דבר האם ועד מקומי שהוא רשמית יכול להיחשב כגוף ציבורי, האם מה שהוא מחזיק בלי קשר לגודל המאגר, האם הוא יהיה צריך או לא יהיה צריך, על פניו כן, פרקטית אף אחד לא עושה את זה ואני מניח שגם לא יאכפו את זה כאשר מדובר בגוף מאוד קטן. מה עושים עם זה, האם זה נוסף על תפקיד או לא נוסף על תפקיד. ועד מקומי עם 20 תושבים, יש לי תחושה שהוא לא יהיה בראש סדר העדיפויות והוא בדרך כלל גם לא מחזיק מידע כל כך רגיש.
גלעד סממה
לכן עמית הקדים ואמר. אנחנו מבינים שיש עיריות גדולות שהן חזקות ואת הבינוניות שיש להן את היכולות. אגב, זה גם במשק הפרטי. גם שם יש עסקים קטנים ובינוניים ויש עסקים גדולים. אנחנו מבינים את זה ולכן אנחנו אומרים שאין דרישה שזה יהיה תפקיד שעומד בפני עצמו בכל רגע ובכל סיטואציה. זה תלו בהיקף של הפעילות, בעיבוד המידע וכולי.
היו"ר שמחה רוטמן
בסדר. כאשר נגיע לניגודי עניינים, אני חושב שם זה המקום לדון בזה.
מירה סלומון
למען הסדר הטוב, אנחנו עוסקים בנושא.
היו"ר שמחה רוטמן
ממשיכים בסעיף (ב).

(ב) שר המשפטים רשאי לקבוע, באישור ועדת החוקה, סוגים נוספים של גופים עליהם תחול חובת מינוי ממונה על הגנת הפרטיות.

אני דווקא לא בטוח שהוא מתייתר. אני אומר שדווקא בגלל שהחובה היא עמומה, יכול להיות מצב שתהיה אי בהירות בשוק ותהיה על זה פסיקה הזויה שהרשות להגנת הפרטיות תרצה להתייחס אליה שבית חולים רק במדינת ישראל איכשהו, כי נפלת על איזה שופט שלא הבין את המטריה, לא צריך להחזיק. השר כן יוכל להוציא ולומר במפורש בית חולים, ברחל בתך הקטנה ובאישור ועדה. נראה לי שזה הגיוני, לא?
נעמה מנחמי
הייתי מציעה שנעשה את זה בתוספת ובתיקוני תוספת בצו.
היו"ר שמחה רוטמן
בסדר.
נעמה מנחמי
כדי שהחוק יכיל את כל הוראותיו. כאשר אדם קורא את החוק ככל שניתן, למעט מקרים ספציפיים, יש הסדר שלם שהולכים איתו לתקנות – שזה לא יתחיל להתברבר בין חלק בחוק וחלק בתקנות.
היו"ר שמחה רוטמן
במקום סוגים נוספים הייתי אומר יכול לקבוע דברים שיראו בהם כאילו מתקיים. הוראת סעיף 2. זאת אומרת, לא נוספים. ברור שאם לא מתקיימים התנאים המהותיים, אני לא רוצה שהוא יכניס אותם לשם. אני רק אומר שהוא קובע בצו. חבר'ה, על בית חולים אין ויכוח שמתקיים תנאי 2, זה מבהיר. הוא לא מוסיף כללים מהותיים.
ראובן אידלמן
שלא ישתמע שאי אפשר בפרשנות לקבוע שעל גופים מסוימים זה חל או לא.
היו"ר שמחה רוטמן
אני אומר שהוא קובע חזקה.
ראובן אידלמן
זאת כן גם שאלה פרשנית.
היו"ר שמחה רוטמן
אני הסברתי שהוא קובע. מבלי לגרוע מזה הוא יוכל להוסיף רשימה ולומר בית חולים, אל תתווכחו איתי האם ליבת פעילותו היא כזו וכזו.
דן אור-חוף
מילה לגבי הפרשנות. הרגולטורים באירופה הוציאו כבר ב-2017 הנחיות שמפרשות מה זה ליבת העיסוק ומדברים על כך שליבת העיסוק, הכוונה היא שהעיסוק במידע, עיבוד המידע, הוא חלק בלתי נפרד מהפעילות העסקית או מהשירותים שהחברה נותנת והם נותנים בית חולים כדוגמה. מהבחינה הזאת דווקא אולי במובן העמום לגבי המונח העמום הזה הם עשו אולי קצת יותר צדק.
היו"ר שמחה רוטמן
תשקלו בניסוח אם כבר הובהר באמצעות, לא ב-GDPR אלא בהנחיות על פי ה-GDPR וקל יותר לתרגם את השפה, יכול להיות שעדיף לקחת את ההנחיות לפי ה-GDPR ולתרגם לעברית ולא את ה-GDPR העמום.
דן אור-חוף
אולי כדאי להתייחס גם להנחיות בניסוח הזה.
היו"ר שמחה רוטמן
אם יש מונחים שהם באנגלית מתרגמים עמום ליבת פעילות. זה עניין ניסוחי. ההבנה ברורה. העניין הניסוחי, יעבדו על הניסוח.
דן אור-חוף
הנקודה הנוספת היא שאם אנחנו כבר עושים יישור קו עם ה-GDPR, צריך לזכור שגם ה-GDPR היה חדש כשהוא חוקק ונכנס לתוקף. הקנס בגין אי מינוי DPO לפי ה-GDPR הוא 10 מיליון יורו. המחשבה שחברתי מהמועצה עורכת דין נועה גבע הציעה להציע אולי עיצום כספי נמוך שיהיה בו אפקט הרתעתי אבל שלא יתעלמו ממנו, מהחובה הזאת, אני חושב שהוא כן עושה שכל.
היו"ר שמחה רוטמן
רומא לא נבנתה ביום אחד, ואלו שבנו אותה – הפרטיות שלהם לא כל כך נשמרה. בואו נתקדם.

17ב2 תפקידי הממונה

(1) הממונה על הגנת הפרטיות יפעל להבטחת קיום ההוראות לפי החוק על ידי בעל השליטה או המחזיק ולקידום השמירה על הפרטיות ואבטחת המידע במאגרי המידע, ובכלל זה:

(1) ישמש סמכות מקצועית ומוקד ידע, ייעץ להנהלת הגוף ולעובדיו, יכין תכנית הדרכה ויפקח על ביצועה.

(2) יכין תכנית לבקרה שוטפת על העמידה בהוראות החוק וההוראות לפיו ביחס למאגרי מידע, יוודא את ביצועה על ידי בעל שליטה או המחזיק, ידווח להנהלת הגוף על ממצאיו ויציע הצעות לתיקון הליקויים.

הוא קצת מזכיר לי את הממונה פרטיות של הגופים הביטחוניים.
עמית יוסוב עמיר
לא בכדי. יש הבדלים. סמכות פיקוח.
היו"ר שמחה רוטמן
אני רק בודק. הניסוחים הם זהים? יכול להיות שכדאי להשתמש כמה שאפשר באותו ניסוח. לא להמציא מחדש את הגלגל. לא בכל. יש דברים מיוחדים. מה שאפשר אותו ניסוח, יש לנו סעיפי חוק שונים, אם הכוונה היא אותה כוונה, לאחד את הניסוח. אני לא קובע כרגע מה הנוסח היותר נכון אבל שתהיה אחידות ניסוח כי בסופו של דבר תהיה פסיקה ואז תהיה לנו פרשנות ולא יתחילו להתפלפל על ההבדלים בנוסחים כאשר אנחנו לא מתכוונים להבדלים. שההבדלים יהיו עם מודעות.
דן אור-חוף
זה לא אותו הדבר.
עמית יוסוב עמיר
אני הייתי מציע, עד שסגרנו את הנושא של הגופים, להשאיר שם. שם הוא מפקח. הוא ממלא את התפקידים של המפקחים של הרשות. בסוף כאן אנחנו מסתכלים גם על ה-GDPR ושם זה הסדר עצמאי בדין הישראלי.
היו"ר שמחה רוטמן
אני מסכים. לא אמרתי קופי פייסט לכל אבל יש כאן כמה תתי-סעיפים ואם יש תתי-סעיפים שיכולים להשתמש באותה שפה, יש לזה יתרון ניסוחי חקיקתי. צריך להכיר בזה.

(3) יוודא קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר שעריכתם נדרשת בהתאם להוראות לפי סעיפים 17(ב) ו-36, שיובאו לאישור הנהלת הגוף.

(4) יטפל בפניות של נושאי מידע ביחס לעיבוד מידע אודותיהם או למימוש זכויותיהם על פי החוק לרבות בקשות לעיון במידע או לתיקונו. פרטי הקשר על הממונה על הגנת הפרטיות יפורסמו לציבור באופן נגיש ופשוט.

(5) ישמש איש קשר עם הרשות.

אם כן, קודם כל מאחר וחלק מהגופים האלה הם גופי רישום, אני חושב שכדאי שברובריקות של הרישום יהיה רשום אצלכם מי הממונה ומה מספר הטלפון שלו. נוסיף את זה לפרטי רישום. איפה אתם רושמים אותם?
ראובן אידלמן
כן, בסדר, זה להוסיף לסעיף 9 לחוק.
היו"ר שמחה רוטמן
מאחר ואנחנו עוסקים בגופים רשומים.
ראובן אידלמן
יש בזה הגיון. גם בטח אם הוא איש הקשר עם הרשות, הגיוני שהפרטים יהיו בידי הרשות.
היו"ר שמחה רוטמן
נכון. נוסיף את זה לפרטי הרישום ולפרטי הפרסום. יהיה DPO.
קריאה
גם לפרטי הפרסום?
היו"ר שמחה רוטמן
לכאורה כן כי אתם מטילים עליהם חובה לפרסם לציבור באופן נגיש ופשוט. אני חושב מה יותר נגיש ופשוט של רשות ציבורית על מאגרי מידע שלה מי ה-DPO שלה במאגר.
ראובן אידלמן
זה חל גם על המגזר הפרטי. זה לא רק על רשות ציבורית.
היו"ר שמחה רוטמן
כרגע ה-DPO חל על גופים החייבים ברישום? אז גופים החייבים ברישום, שיכללו את זה ברישום שלהם.
דלית בן ישראל
הפרקטיקה ב-GDPR היא שרושמים את זה במדיניות פרטיות. כך זה נגיש בגופים הפרטיים. זה לא מופיע באיזה מרשם רשמי.
היו"ר שמחה רוטמן
אני מבין אבל אני אומר שאין חובת רישום ב-GDPR. אצלנו יש חובת רישום לגופים ציבוריים ולדאטה ברוקרס ולכן בגופים הציבוריים ובדאטה ברוקרס שם יש חובת רישום, זה צריך להיות אחד מפרטי הרישום.
דלית בן ישראל
אגב, יש רשויות שכן מנהלות מרשם של DPO'S בחוץ לארץ.
היו"ר שמחה רוטמן
במסגרת תקנות אבטחת מידע יש חובה להודיע כל מיני דברים לרשות או שאין חובה?
ראובן אידלמן
חובה להודיע על אירוע אבטחת מידע.
היו"ר שמחה רוטמן
אבל לא על מינוי.
ראובן אידלמן
לא. יש חובה לעדכן את מסמכי הגדרות מאגרים אבל זה פנימי.
דן חי
בחוק קבענו חובת יידוע כמשלים לחובת הרישום. אפשר להכניס לשם גם את ה-DPO.
היו"ר שמחה רוטמן
חובת היידוע גם על ה-DPO. כן. באופף נגיש ופשוט, בסעיף (4) והוא יכלול אותם בכל מסמך יידוע בהתאם לסעיף זה וזה. להפנות אליו.
דן חי
ב-(2), תוכנית לבקרה, הייתי עושה תוכנית שנתית לבקרה.
היו"ר שמחה רוטמן
רגע. נחזור לסעיף. אני מפנה לסעיף 23כ. "הממונה על הגנת הפרטיות, המפקח הפנימי. יפקח על יישום הוראות החוק". זה אנחנו לא רוצים שהוא יעשה כי הוא לא מפקח.

"ויקיים בקרה על ביצוען, בין השאר – (1) יכין תוכנית לבקרה שוטפת". אנחנו לא קובעים לו שנתית כי יכול להיות שצריך יותר או צריך פחות בהתאם למאפייני הגוף. אנחנו לא אומרים לו שנתית. בגוף ביטחוני אנחנו אומרים שנתית ולכן לא מתאים לקחת את התוכנית שנתית.

"יבדוק את נהלי הגוף" – למה שם לא הכנסנו יוודא קיומם של נהלים? אני בודק את הפערים. אנחנו צריכים להתייחס אליהם. אם יהיה לנו הסבר טוב, זה יהיה מצוין. שם כתבנו "יבדוק את נהלי הגוף הביטחוני בתחום הגנת הפרטיות ועמידתם בהוראות הדין ואת מדיניות הגוף הביטחוני בתחום הגנת הפרטיות ועמידתה בהוראות החוק". זה הנוסח שכתבנו שם, בסעיף 23כ2.

כאן אנחנו אומרים ש"יוודא קיומם של נוהל הבטחת של נוהל אבטחת מידע ומסמך הגדרות המאגר שעריכתם נדרשת בהתאם להוראות לפי סעיפים 17(ב) ו-36, שיובאו לאישור הנהלת הגוף".
עמית יוסוב עמיר
הוא מוודא שיש אותם. שם המפקח מוודא את ביצוע הפעולות עצמן והוא בודק - - -
היו"ר שמחה רוטמן
השתכנעתי שזה לא מספיק דומה. קראתי עוד כמה סעיפים תוך כדי. ההתאמות שם יעשו לנו יותר בלגן מאשר סדר. אם כן, אין צורך בהתאמות. בסופו של דבר הבחינה המהותית. בסדר.

"ישמש איש קשר עם הרשות" – מה זה אומר? מה סעיף (5) אומר לגבי ישמש איש קשר עם הרשות?
ראובן אידלמן
כאשר הרשות רוצה לעשות איזשהו בירור מול הגוף הזה, היא פונה ל-DPO. כאשר מתקבלת ברשות תלונה מול הגוף הזה, היא יכולה לפנות ל-DPO. לא הכול מתחיל בהליך אכיפה. יש דברים שאנחנו עושים ברמת הבירור.
היו"ר שמחה רוטמן
אני מבין. אני מנסה להבין מה זה אומר. אתם לא יכולים לפנות לאחרים? אתם חייבים לפנות אל אחרים קודם? כשהם פונים אליכם אתם אומרים להם שאתם לא מקשיבים לפניות שלהם כי המנכ"ל שלח את זה ולא ה-DPO? מה זה אומר? מה התוכן המהותי של הביטוי הזה?
נעמה מנחמי
צריך לזכור שה-DPO הרבה פעמים – אנחנו מניחים כך – יהיה גורם חיצוני לגוף. הוא יבוא לעשות איזושהי בקרה, יהיה לו איזה קשר עם החברה אבל הוא לא יושב ממש בגוף. לכן יכול להיות שיהיו סיטואציות שדווקא נכון יותר לפנות - - -
היו"ר שמחה רוטמן
הוא לא איש הקשר המתאים.
ניר גרסון
איש קשר שלכל הפחות הרשות יכולה לפנות ישר אליו ולא דווקא למנכ"ל.
נעמה מנחמי
למה שאותו גוף לא יגדיר מי הוא איש הקשר?
גלעד סממה
אנחנו הרי רוצים שזה יהיה איש קשר מבחינה מהותית ולא שאנחנו פונים עכשיו לכל מיני.
נעמה מנחמי
חברה היא חברה שעוסקת בדאטה. יש לי גם DPO אבל אני רוצה שבמקרה שבו רשות פונה, שאני אהיה הגורם הראשון שאליו היא פונה ולא ה-DPO שנמצא אצלי פעם בשבועיים לשעתיים-שלוש. אני יכולה דווקא לראות מצב שבו החברה תחשוב, אולי החברה יודעת מה שנקרא עבור עצמה מה הכי טוב.
ענר רבינוביץ'
יש לזה פתרון בארגונים קטנים שה-DPO מאוד מאוד חלקי בהיקף התפקיד. יוצרים תיבה DPO הדומיין של החברה ובמייל הזה יכולים להיות כמה אנשים מהחברה ולא רק ה-DPO עצמו.
היו"ר שמחה רוטמן
אני פשוט מנסה להבין. השאלה מה התוכן המהותי של הסעיף הזה. זה תרגום מהמטלה של ה-GDPR.
גלעד סממה
זה נמצא ב-GDPR. זה נמצא אחד לאחד ב-GDPR.
היו"ר שמחה רוטמן
ב-GDPR יש חובה שהרשת תכיר אותו?
גלעד סממה
כן.
היו"ר שמחה רוטמן
איך הרשות מכירה את ה-GDPR?
גלעד סממה
מיידעים את הרשות.
היו"ר שמחה רוטמן
כאן אין את זה? אמרנו יפורסמו לציבור. אלה שרושמים - רושמים.
גלעד סממה
ב-GDPR גם צריך לפרסם לציבור. הגוף צריך לפרסם לציבור וצריך ליידע את הרגולטור.
היו"ר שמחה רוטמן
איפה זה? הרישום הוא רישום אבל אלו שלא חייבים ברישום? אותו בית חולים שדיברנו עליו.
גלעד סממה
אמרנו יידוע.
היו"ר שמחה רוטמן
איפה אנחנו מוסיפים את זה?
גלעד סממה
צריך להכניס את זה.
היו"ר שמחה רוטמן
יפרסמו לציבור באופן נגיש ופשוט. "פרטי הקשר של הממונה על הגנת הפרטיות יפורסמו לציבור באופן לציבור באופן נגיש ופשוט. הודעה בעניין הממונה על הגנת הפרטיות ככל שמונה תישלח לרשות".
גלעד סממה
כן. בדיוק. בנוסף גם ב-GDPR יש את האמירה שהוא משמש איש קשר עם הרשות. זה כמובן לא מונע קשר עם גורמים אחרים.
היו"ר שמחה רוטמן
מקובל. בסדר גמור. אמרתי, יש לי ערך חשוב להשתמש במונחים של ה-GDPR. זה חשוב לנו.
מירה סלומון
ובכל זאת ובהמשך למה שאמרה היועצת המשפטית לוועדה, כאשר מדובר במיקור חוץ של הממונה על הגנת הפרטיות, איך אנחנו מייצרים מצב שבו הממונה על הגנת הפרטיות גם מעדכן על הקשר והתקשורת עם הרשות גם את מי שמינה אותו מלכתחילה?
היו"ר שמחה רוטמן
באמצעות חוזה העסקה שלו. אם זה אין-האוס, כל העובדים של כל ראש רשות מעדכנים אותו על מה שצריך לעדכן אותו, כל הזמן? לא. מה ההבדל בין מיקור חוץ ללא מיקור חוץ?
מירה סלומון
נעשתה כאן פנייה, יש כאן שאלות.
היו"ר שמחה רוטמן
תעסיקי בן אדם שעושה את העבודה שלו. אני לא מבין. אם כל אחד מהעובדים שלי היה מעדכן אותי על כל פנייה שהוא מקבל, אני הייתי מפטר אותו. ברוב הדברים הם מטפלים בעצמם. הם לא מעדכנים אותי על כל פנייה שניתנת להם. מה שצריך לעדכן אותי, אם הם לא מעדכנים אותי, אני גם אפטר אותם. אני מפטר את כולם. סתם. אני אחד האנשים שמשמרים הכי הרבה את היועצים. הכול בסדר איתם.
מירה סלומון
נכנסנו לרזולוציה לשמש איש קשר עם הרשות ונתנו לו פה תפקיד. לכאורה התפקיד שלו הוא משהו שנותן לו מעמד מיוחד ויכול להיות שהוא יסבור שהוא בתפקידו הזה נותן לו שיקול דעת מאוד מאוד רציני. צריך כן לחדד כי בכל זאת אנחנו נכנסנו לרזולוציה הזו בחקיקה ראשית.
גלעד סממה
אנחנו לא קובעים בחוק את מישור היחסים בין המיקור חוץ - - -
מירה סלומון
זה לא מה שאמרתי. אמרתי שאיש קשר מטעם הגורם השולח, משהו שמבסס - - -
היו"ר שמחה רוטמן
כל רשות תגדיר לעצמה אם זה אין-אאוט.
מירה סלומון
הוא לא איש קשר שלכם שעכשיו בתקשורת איתכם. להגיד מטעם הגורם השולח או מטעם הגורם שמינה אותו, איזה משהו כדי להבהיר את חובת הנאמנות שלו לגורם ששלח אותו. כבר נכנסתם לנוסח שמדבר על לשמש איש קשר עם הרשות. איש קשר מטעם מי? איש קשר מטעם עצמו? איש קשר שממונה על הגנת הפרטיות?
קריאה
איש קשר עם הרשות.
מירה סלומון
זה מה שביקשתי.
היו"ר שמחה רוטמן
זה מובן מאליו.
מירה סלומון
לכאורה מובן מאליו. אני רוצה לדעת מה התפקיד שלו כשהוא מולכם ומה התפקיד שלו כשהוא מולי.
היו"ר שמחה רוטמן
אין שום בעיה. אין מחלוקת. אם זה מה שעוזר לך, בסדר. אני חושב שזה ברור ולא צריך. זה עניין ניסוחי. כידוע הסמכות העליונה בנושאי נוסח היא דפנה ולכן אני לא מתנגד. אם היא תגיד שזה מיותר כמו שאני חושב, אז היא תמחק את זה. אני חושב שזה ברור אבל אין בודקים מדפנה ולמעלה. כך מקובל.
מירה סלומון
זה לא העניין של נסחות.
היו"ר שמחה רוטמן
אני חושב שזה כן עניין של נסחות. בסופו של דבר גם בנושא הזה, אם דפנה תחשוב שאני טועה, היא תנצח אותי כמו תמיד.
ענר רבינוביץ'
אם אפשר לחזור לסעיף קטן (4), לנוסח של "יטפל בפניות של נושאי מידע", שיוודא טיפול או טיפול נאות בפנייה.
נעמה מנחמי
גם אני רשמתי את ההערה הזאת אצלי. ידאג לטיפול או משהו כזה. כלומר, הוא לא חייב לטפל בעצמו. ידאג לטיפול או יוודא?
ענר רבינוביץ'
יוודא.
היו"ר שמחה רוטמן
יוודא טיפול.
ענר רבינוביץ'
בסעיף הקודם היה לנו יוודא קיומם ולכן אפשר לומר שוב יוודא טיפול.
היו"ר שמחה רוטמן
יוודא טיפול בפניות. בסדר.

(2) שר המשפטים, באישור ועדת החוקה, רשאי לקבוע פעולות נוספות שעל הממונה על הגנת הפרטיות לבצע לשם מילוי תפקידו, דרך כלל או בסוגים מסוימים של גופים, אם ראה כי יש בכך צורך לשם הבטחת קיום ההוראות לפי החוק בגופים שמנהלים מאגרי מידע או מחזיקים בהם.
נעמה מנחמי
אני מודה שאני לא אוהבת את הפיצול בין הוראות חוק לתקנות. כלומר, או בתקנות או בחוק אבל לא גם וגם. אני פחות אוהבת את הפיצול הזה.
ראובן אידלמן
זו דילמה שאנחנו פוגשים אותה כאן בכמה מקומות בחוק.
נעמה מנחמי
שלוש פעמים מתוך שלושה סעיפים.
ראובן אידלמן
יהיה לנו אותה גם היום בהמשך. אנחנו בחקיקה טכנולוגית וההנחה שלנו היא שיהיו דברים שקשה לדמיין אותם עכשיו כולל פעולות שראוי יהיה שאותו DPO יעשה, ורוצים לאשר איזשהו מנגנון גמישות שבכל זאת לא יצריך חקיקה בשלוש קריאות אלא צו של שר המשפטים כמובן באישור הכנסת כדי שאפשר יהיה להטיל עליו תפקיד נוסף ביחס לסוג מסוים. שוב, אנחנו כל הזמן רואים טכנולוגיות דרמטיות שנכנסות. זו בינה מלאכותית יוצרת ודברים שעד לפני שנתיים לא ידענו על קיומם. יכול להיות שיהיו דברים מסוימים שנרצה לתת.
היו"ר שמחה רוטמן
למשל לקבוע נהלים בעניין בינה מלאכותית. אני חושב שזה כלול בפנים.
נעמה מנחמי
זה כלול בפנים.
היו"ר שמחה רוטמן
אני חושב שאין בזה צורך. אני באמת אומר. אני חושב שזה שלייקעס על חגורה על שלייקעס שלעולם לא ייעשה בהם שימוש. זה לא מפריע לי כי לדעתי תישאר הוראה ריקה. זה סגנון פחות מתאים.
ראובן אידלמן
לא תמיד אפשר להעלות על הדעת מה צריך.
היו"ר שמחה רוטמן
זה נכון על כל חקיקה.
גלעד סממה
אדוני, אם אפשר את האמירה של הרשות המבצעת. אנחנו ברשות המבצעת מתלוננים המון שיש קושי לקדם סוגיות בחקיקה ראשית למרות שאתה רואה - - -
היו"ר שמחה רוטמן
גם אנחנו ברשות המחוקקת מתלוננים על כך.
גלעד סממה
העולם לצערנו רץ ואנחנו נמצאים בסיטואציות לפעמים מביכות. אני לא מדבר כרגע על הרשות להגנת הפרטיות ועל חוק הגנת הפרטיות. אנחנו לפעמים נמצאים בסיטואציות מביכות ממש שברור לכולם שצריך לעשות מהלך ואין אפשרות לעשות ואז אנחנו מוצאים את עצמנו בסיטואציות מאוד מוזרות עם פרשנויות שאתה לא רוצה שאנחנו נקבל. תנו לעשות מנגנונים גמישים.
רחל ארידור הרשקוביץ'
אבל סעיף (א) נותן לך מספיק מרחב.
היו"ר שמחה רוטמן
בדיוק.
קריאה
סעיף (א) כולל הכול.
רחל ארידור הרשקוביץ'
לאבטחת קיום הוראות לפי החוק.
היו"ר שמחה רוטמן
וקידום השמירה על הפרטיות. זה מאוד רחב ויש לך בסט פרקטיס. יש הכול.
גלעד סממה
ההערה שהערתי היא לא רק לסעיף הזה. כל סעיף אחר שאנחנו מבקשים.
היו"ר שמחה רוטמן
על כל סעיף אחר נדבר. בסעיף הזה אני לא רואה צורך.
נעמה מנחמי
יש לכם כבר ניסיון מהעולם, ניסיון של איך מפעילים את הסעיף הזה.
היו"ר שמחה רוטמן
אני אומר יותר מזה. בסופו של דבר DPO בגופים ציבוריים, היכולת שלכם להוסיף לו תפקידים, יחסית זה קל ואתה לא צריך חקיקה בשביל זה. בשביל DPO בגופים פרטיים, נניח שאתה תחליט שהוא צריך להיות מומחה ל-EI באבחת החלטה באיזושהי תקנה, אתה תפטר איקס DPOS שלא עשו את ההכרה בזה. לא נראה לי מתאים. לכן אני אומר קצת יותר אמון, קצת יותר לשחרר. אנחנו כאן בהליך שבסופו של דבר בעיניי הוא סוג של ניסיון. אנחנו מקדימים את המאוחר מתיקון 15 לתיקון 14, אנחנו עושים כאן איזושהי רגולציה רכה. לא צריך הגדרה בתקנות של תפקיד בגוף פרטי. זה אירוע משונה. באמת אירוע משונה. ההגדרות כאן הן מספיק רחבות ויש מספיק מרווח פרשני. אני לא חושב שצריך כאן חקיקה.
דלית בן ישראל
לגבי סעיף (א)(3). כתלות בשאלה אם יבוטל או לא יבוטל הממונה אבטחת מידע, ההגדרה של קיום נוהל אבטחת מידע, כאשר קיים הסעיף שיש היום בתקנה 3 לתקנות אבטחת המידע שאומר במפורש שהממונה אבטחת מידע הוא זה שצריך להכין את הנוהל. זה נראה לי בסדר שה-DPO יוודא שהנוהל קיים אבל אם תקנה 3 תתוקן ואם לא יהיה יותר מינוי של ממונה אבטחת מידע, לדעתי יהיה צריך לדייק כאן את הניסוח.
היו"ר שמחה רוטמן
שהוא צריך להכין אותו.
דלית בן ישראל
לא, להפך, שה-DPO הוא לא איש טכנולוגי, הוא לא יכול להכין את נוהל אבטחת המידע. הוא יכול לוודא שיש נוהל.
היו"ר שמחה רוטמן
הנוסח הוא בסדר.
דלית בן ישראל
אבל זה מתכתב היום עם תקנה 3. אם תקנה 3 תתוקן, צריך אולי לדייק.
נעמה מנחמי
אבל כתוב "יוודא קיומם". לא יכין.
דלית בן ישראל
ואם יש נוהל והוא נוהל מצ'וקמק? הוא וידא ויש נוהל ויש כותרות. זה כן תפקיד של ממונה אבטחת מידע.
נעמה מנחמי
אם לא כתוב שם כלום וכתוב רק כותרות, אז כנראה שאין.
היו"ר שמחה רוטמן
הנוסח בסדר.
דלית בן ישראל
צריך יהיה להסביר את הוראות המעבר ולראות שהוא לא מחליף את התפקידים.
עמית יוסוב עמיר
עוד מעט נדבר על ממונה על הבטחת מידע.
היו"ר שמחה רוטמן
יום אחד נגיע לשם.
ענר רבינוביץ'
אני אעצבן ואני שוב אחזור ל-(א). כאשר אנחנו מתמקדים שם רק חוק, אני כן מציע שזה לא יהיה רק חוק הגנת הפרטיות כי גם כאשר אנחנו מסתכלים - - -
נעמה מנחמי
לא. כתוב קיום ההוראות לפי ה - - -
היו"ר שמחה רוטמן
כתוב לקידום השמירה על הפרטיות וגם קידום השמירה על הפרטיות שזה מונח הרבה יותר גדול ועמום.
ענר רבינוביץ'
השאלה אם מבחינת הוועדה השמירה על הפרטיות מכניס גם חקיקה אחרת שעוסקת בהגנה על מידע אישי על פרטיות.
היו"ר שמחה רוטמן
חוק יסוד.
דן חי
גם בלי חובה.
היו"ר שמחה רוטמן
הוא יבטל חוקים. ממוני הגנת הפרטיות יוכלו לבטל כל חוק שנראה להם שלא עומד בכללי חוק יסוד: כבוד האדם וחירותו הקובע כי פרטיות היא ערך מוגן.
נעמה מנחמי
אם הנושא כבר עלה, אולי כדאי להדגיש שלפי הנוסח שמוצע כאן בעצם הפעולה שלו היא סביב מאגרי מידע בארגון ולא לדוגמה סביב - - -
היו"ר שמחה רוטמן
2(9).
נעמה מנחמי
נגיד.
היו"ר שמחה רוטמן
אגב, אני לא יודע.
קריאה
סעיף 8, מאגרי מידע, קושר אותנו.
היו"ר שמחה רוטמן
השאלה היא באמת אם זה רק תחום מאגרי מידע או שמירת פרטיות באופן כללי.
ענר רבינוביץ'
זה לא כתוב.
היו"ר שמחה רוטמן
לכאורה שמירת פרטיות באופן כללי ולפי החוק.
נעמה מנחמי
ואבטחת המידע בין מאגרי המידע.
היו"ר שמחה רוטמן
ואבטחת המידע במאגרי המידע. אלה שני דברים. אבטחת מידע היא לאו דווקא פרטיות. אבטחת מידע במאגרי מידע היא לאו דווקא פרטיות. היא גם פרטיות.
נעמה מנחמי
השאלה מה מתייחס לזה.
דן חי
ב-(2) כתוב "יכין תוכנית לבקרה שוטפת לעמידה בהוראות החוק".
ענר רבינוביץ'
אין הגבלה לפרק מסוים בחוק.
היו"ר שמחה רוטמן
17ב3 כישורי הממונה על הגנת הפרטיות, כפיפות והוראות נוספות

(1) הממונה על הגנת הפרטיות יהיה בעל הידע והכישורים הנדרשים לביצוע נאות של תפקידיו בגוף, ובכלל זה הבנה הולמת בנושא דיני הגנת הפרטיות – מעניין שכאן העמימות לא מפריעה לכם - טכנולוגיה ואבטחות מידע והיכרות מעמיקה עם תחומי פעילותו של הגוף ומטרותיו והבנה הולמת של הסיכונים מפעילות הגוף ומטרות העיבוד שלו.
נעמה מנחמי
כל התוספות הן הצעות שלי. אני כן הייתי רוצה כהתחלה שנדון בשאלת הטכנולוגיה, הידע הטכנולוגי הנדרש מ-DPO.
היו"ר שמחה רוטמן
הבנה הולמת עם תחומי פעילותו או של תחומי פעילותו של הגוף?
נעמה מנחמי
לא. הייתה כאן הצעה של היכרות מעמיקה. אני חושבת שאולי היכרות או הבנה הולמות יותר את הנושא מאשר היכרות מעמיקה. אני לא יודע מה זה מעמיקה.
היו"ר שמחה רוטמן
היכרות. הייתי אומר "היכרות עם תחומי פעילותו של הגוף ומטרותיו והבנה הולמת של הולמת של הסיכונים מפעילות הגוף ומטרות העיבוד שלו בשים לב לאופי העיבוד, נסיבותיו, היקפיו ומטרותיו".
עמרי רחום טוויג
בדיני הגנת פרטיות, טכנולוגיה ואבטחת מידע – דיני הפרטיות זאת הליבה של הסיפור. טכנולוגיה, קודם כל, מה זאת טכנולוגיה? אולי טכנולוגיית מידע? לא כל טכנולוגיה. אבטחת מידע, במיוחד, ותכף נדבר על זה.
היו"ר שמחה רוטמן
הכול בשים לב לאופי העיבוד, נסיבותיו, היקפו ומטרותיו. מדובר בהבנה הולמת בשים לב לאופי העיבוד, נסיבותיו, היקפו ומטרותיו. הכול בשים לב אבל ברור לכולם שלהיות DPO בבית חולים שלא יודע שבבית חולים עושים טיפולים רפואיים, גם אם הוא מומחה טכנולוגיה, זה לא מתאים. להיות DPO של דאטה ברוקר שלא יודע מה זה SQL, אכן זו הבנה הולמת בשים לב לאופי העיבוד, נסיבותיו, היקפו ומטרותיו, על הכול.
עמרי רחום טוויג
קודם כול, הסיפה צריכה להיות "והכול בשים לב".
היו"ר שמחה רוטמן
נכון. אני אומר שברור שאם אתה DPO של ארגון שכל מה שהוא עושה זה ניהול מידע בשרתים מרוחקים, אז ההבנה הטכנולוגית שנדרשת ממך היא אחרת מאשר אם אתה DPO של מטולה.
עמרי רחום טוויג
אני חושב שההתייחסות הספציפית להבנה באבטחת מידע, תכף נראה ספציפית את התפקידים של ממונה אבטחת מידע, אמרנו גם בהקשרים אחרים, יש הבדל בין שני התפקידים האלה.
היו"ר שמחה רוטמן
לא אומרים לו שידע כל אבטחת מידע. אם ממונה אבטחת המידע יגיד לך שיש לך ברידג' ואתה תרוץ לחפש במילון וובסטר מה זה אומר ברידג', אז כנראה שאתה לא עושה את העבודה שלך.
קריאה
הכוונה היא לעשות הבחנה.
דלית בן ישראל
אני חושבת שזה בעיית איך שזה מנוסח. בעיניי אבטחת מידע, זה בעייתי כפי שזה מנוסח. כתוב הבנה הולמת בדיני הגנת פרטיות, שזה כמו שעמרי אמר, הליבה. משתמע שכל שאר הפריטים בתוך הסעיף מתייחסים לאותה רמת ידע. לפי איך שזה מנוסח כרגע, בעיניי רוב ה-DPOS שאני מכירה, שעושים עבודה מצוינת, אגב, כולל אנשים שהם יוצאי רשות, אין להם הבנה באבטחת מידע ברמת הידע שיש להם בהגנת פרטיות. צריך לעשות אותו דיפרנציאציה.
היו"ר שמחה רוטמן
במחילה, אני חושב שאתם מתפלפלים כאן. כניסוח חקיקה אתם מתפלפלים כאן לחינם.
עדי הירשקורן קליין
DPO, אל על.
היו"ר שמחה רוטמן
יש לך הבנה הולמת בנושא דיני הגנת הפרטיות, טכנולוגיה ואבטחת מידע?
עדי הירשקורן קליין
בדיוק לזה אני רוצה להתייחס.
היו"ר שמחה רוטמן
יש לך הבנה בחוקה האמריקאית.
עדי הירשקורן קליין
אני חושבת שלא נכון להתייחס לזה כמקשה אחת לקישורים וגם ב-גארד זה מנוסח כך. יש כישורי ליבה שאפשר להפריד אותם של להיות אקספרט בנושא דיני הגנת הפרטיות ולהיות אקס אופישנט בהבנה של טכנולוגיה ואבטחת מידע. בסוף הדרישות מעצבות את מי אתה רוצה שיהיה בתפקיד.
היו"ר שמחה רוטמן
אבל זה שונה משמעותית בין גוף לגוף. לכן הכול בשים לב.
עדי הירשקורן קליין
בכל המקרה התפקיד, מי שממלא אותו צריך להיות - - -
נועה גבע
התפקיד שהגדרנו ל-DPO הוא קודם כל התעמקות בהיבטי הפרטיות וההיבטים האחרים הם היכרות. הם לא באותה רמת העמקה.
עדי הירשקורן קליין
זה כתוב כולם כמקשה אחת.
נועה גבע
אני יודעת. לכן אני אומרת שיש הבחנה.
עדי הירשקורן קליין
אפשר לשקול אולי לפצל את הסעיף ולהגיד מה רמת ההבנה הנדרשת בדיני הגנת הפרטיות ורמה יותר נמוכה של הבנה בטכנולוגיה.
היו"ר שמחה רוטמן
אבל הכול הולם. הכול כאן מינוח עמום. הולם בהתאם לנסיבות של אופי העיבוד, נסיבותיו, היקפו ומטרותיו. הכול הולם. אני אומר שיש מקומות שבהם עיבוד המידע מעורר המון שאלות בתחום דיני הגנת הפרטיות ומעט מאוד שאלות, מה שהוא ייתקל בו ב-DPO בתחומי אבטחת המידע והטכנולוגיה. יש מקומות כאלה. הכול שם על טייס אוטומטי על דיני הגנת הפרטיות. המידע הוא נורא נורא פשוט, אף פעם לא עלתה השאלה באותו גוף על השאלה האם דיני הגנת הפרטיות מתייחסים לאיסוף המידע שם. כל המידע שם ניתן בהסכמה. אגב, חברת אל על, אני מניח כדוגמה נכונה, הכול נמסר על ידי הנוסעים עם טופס מסודר בהסכמה לטובת הדבר הזה. עשית את זה פעם אחת, הכול זה טייס אוטומטי כי הוא לא אוסף ולא מחפש מידע מכל מיני אתרים אחרים. נניח שזה המצב. אני לא אומר שזה המצב באל על.

לעומת זאת, יש גוף שאצלו שאלות ההסכמה, הוא צריך להיות מעודכן בעדכוני הפסיקה האחרונים בשאלה של הגדרות ההסכמה המדויקות, איך זה מוגדר באירופה וכולי. הכול בשים לב לאופי העיבוד, נסיבותיו, היקפו ומטרותיו. אני לא יכול לקבוע כללים. אני יכול להגיד שאתה צריך לדעת כלים, להבין את התחומים שלך בהתאם לאופי העיבוד, נסיבותיו, היקפו ומטרותיו.
עמרי רחום טוויג
אני רק אגיד שה-GDPR לגבי דרישות הפרופישנסי של דאטה פרוטקשן אופיסר, מדבר רק על אקספרט נולג' אוף דאטה פרוטקשן לאו אנד פרקטיסיס. לא מדבר על כשירות טכנולוגית. כמו שאדוני אומר בצדק, יש תפקידים שבהם היכולת טו בי אן אקספרט אוף דאטה פרוטקשן אין אורגניזיישן מצריך הבנה טכנולוגית גבוהה יותר, אבל זאת נגזרת של זה ולא כשירות עצמאית בתחום טכנולוגיה. הוא לא צריך להיות הנזון, IT, מיישמי אבטחת מידע בארגונים. הם לא.
היו"ר שמחה רוטמן
אבל זה לא רק דיני הגנת הפרטיות. זה גם הפרקטיס.
עמרי רחום טוויג
אין בעיה. אפשר לייתר את המקבילה, בפרטיות.
היו"ר שמחה רוטמן
שה-DPO יסונג'ר להיות אסיסו.
גלעד סממה
אם אפשר להציע: "הממונה על הגנת הפרטיות יהיה בעל כישורים (וכו') ובכלל זה היכרות מעמיקה בנושא דיני הגנת הפרטיות" ובהמשך, לגבי טכנולוגיה, "והבנה הולמת של כך וכך וכך". כלומר, אם אתם רוצים לייצר - - -, כמובן בסוף בשים לב.
היו"ר שמחה רוטמן
סבבה. הייתי עושה בנושא הגנת הפרטיות ולא דיני הגנת הפרטיות, ואני אומר למה: כדי שזה יהיה גם חוק וגם פרקטיס.
נעמה מנחמי
מוסכם.
היו"ר שמחה רוטמן
מוסכם. בסדר גמור. מצוין.

(2) שר המשפטים – נמשיך הלאה.

(3) הממונה על הגנת הפרטיות היה כפוף ישירות למנהל הכללי של בעל השליטה או המחזיק או לעובד שכפוף ישירות למנהל הכללי בהם.

בקצרה, במשפט, אני אסביר לכם למה לא. שתהיה לכם הבנה הולמת או היכרות מעמיקה עם היושב-ראש למה הוא לא ייתן לכם להסדיר את המקצוע בתקנות.
ראובן אידלמן
זה סעיף סטנדרטי.
היו"ר שמחה רוטמן
אני לא אתן לייצר מקצוע חדש ברגולציה, מקצוע בתקנות, גם לא באישור ועדת החוקה. אם תרצו יום אחד להסדיר את המקצוע, הדלת פתוחה בחקיקה ראשית. אנחנו במדינת ישראל וחופש העיסוק הוא דבר מאוד מאוד חשוב. אני לא רוצה הסדרת מקצוע, בטח לא בתקנות, בטח לא כ-בלנקט. שוב, אני מזכיר לכם שאנחנו בחובה רכה. תבואו ותגידו אתם שבעיניכם מניתי מנהל להגנת הפרטיות שכל ההכשרה שלו היא באינסטלציה, לא עשית את מלאכתך ולכן אנחנו לא נתחשב. קיבלתם את הכוח לעשות את זה בעקיפין בלי הסדרת עיסוק. תבואו ותגידו שאם מיניתם רק אינסטלטור ל-DPO אנחנו לא נעשה לכם הפחתות של העיצומים הכספיים. בלי לפגוע באינסטלטורים.
עמרי רחום טוויג
חוץ מתאגידי ביוב.
היו"ר שמחה רוטמן
גם תאגידי ביוב. זו היכרות מעמיקה מאוד אבל לא נראה לי שלזה הכוונה.

יש הערות לסעיף (ג)? שאלות?
עמרי רחום טוויג
עניין ניסוחי. למנהל הכללי של בעל השליטה או המחזיק לפי העניין, זה לא שהוא DPO של זה. שנית, יכולים להיות מצבים ושוב, אני דווקא מסתכל רוחבית בשוק, בארגונים גדולים ישראלים, אני מבין את הרציונל לקרב את ה-DPO קרוב יותר להנהלה אבל ככל שארגונים גדלים יותר, היכולת של חברי ההנהלה, שזאת המשמעות כאן. המשמעות היא שה-DPO צריך להיות כפוף ישירות לחבר או חברת הנהלה.
היו"ר שמחה רוטמן
לא. למנכ"ל.
עמרי רחום טוויג
למנכ"ל או לעובד שכפוף ישירות למנכ"ל.
היו"ר שמחה רוטמן
או לעובד שכפוף ישירות למנכ"ל. נתתי פירמידה.
עמרי רחום טוויג
הכוונה היא להיות כפוף ישירות לחבר הנהלה.
היו"ר שמחה רוטמן
לא הבנתי למה חבר הנהלה. מה זה חבר הנהלה?
עמרי רחום טוויג
לעובד שכפוף ישירות למנהל הכללי. עובד שכפוף ישירות למנהל הכללי הוא חבר הנהלה.
קריאה
זה יכול להיות היועץ המשפטי.
היו"ר שמחה רוטמן
לא הבנתי. רגע. בעברית חבר הנהלה זה בורד ממבר.
עמרי רחום טוויג
לא. זה חבר דירקטוריון. חבר הנהלה זה חבר הנהלת החברה. לא דירקטור.
היו"ר שמחה רוטמן
לא מכיר את המונח חבר הנהלה בדין הישראלי. אני לא יודע מה זה אומר.
עמרי רחום טוויג
אין מונח כזה. אני ואומר כפרקטיס.
היו"ר שמחה רוטמן
סמנכ"ל כוח אדם הוא נחשב חבר הנהלה?
עמרי רחום טוויג
סמנכ"לים הם חברי הנהלה.
היו"ר שמחה רוטמן
אני לא מכיר את המונחים, אבל בסדר.
עמרי רחום טוויג
הבעיה היא שיש ארגונים שבהם לסמנכ"ל בארגון להכפיף ישירות עובד בסדר גודל של DPO, זה לא פרקטי.
קריאה
אבל בארגון כזה דווקא הדעת נותנת שצריך להיות.
עמרי רחום טוויג
אני לא בטוח. ממש לא. אני חושב על תאגידים גדולים בעולמות הפיננסיים. יש מבנה הנהלה מאוד מסוים ואגב, יש פונקציות אחרות לארגון שאחראיות על ציות או על דברים בצורה הרבה יותר עמוקה מאשר להכפיף את זה עכשיו לסמנכ"ל המוצרים שלא תהיה לו כל יכולת אמיתית לעבוד עם זה.
גלעד סממה
אנחנו רוצים לכוון לכך שזה יהיה מישהו שמקשיבים לו בארגון. זה צריך להיות מישהו לא זוטר. אנחנו כאן שתי דרגות מתחת למנכ"ל.
היו"ר שמחה רוטמן
אני חושב שזה מספיק.
ענר רבינוביץ'
אפשר לחדד. בשביל אותם מקרים שהממונה על הגנת הפרטיות הוא חובש כמה כובעים בארגון, הוא יכול להיות גם מנהל מוצר או משהו אחר.
היו"ר שמחה רוטמן
לעניין תפקידו כ-DPO הוא יהיה כפוף. אגב, שימו לב לסתירה בין (ג) ל-(ד). ב-(ד) הממונה על הגנת הפרטיות יכול שיהיה מי שאיננו עובד הגוף.
ראובן אידלמן
עדיין הוא מדווח ישירות.
ענר רבינוביץ'
כ-DPO חיצוני אני יכול להעיד שעדיין קובעים למי מדווחים.
היו"ר שמחה רוטמן
כן, אבל אתה לא כפוף.
עמרי רחום טוויג
אולי לא כפוף, אולי ידווח ל-.
היו"ר שמחה רוטמן
המונח כפוף בדין הישראלי, בדיני עובד-מעביד, הוא לא חל על עובד חיצוני. עובד חיצוני איננו כפוף.
מירה סלומון
מיקור חוץ. אחרי הנסחות, לא יודעת.
היו"ר שמחה רוטמן
פעם אחת מאז שאני בכנסת אני לא מסכים איתה על משהו וכל מערכת היחסים נגמרה. הבנו מה קורה כאן.
ראובן אידלמן
אני מבין את הקושי שאדוני העלה אבל יש כאן הבדל מהותי. אנחנו היינו רוצים שזה יהיה מישהו שהוא בהיררכיה הארגונית.
היו"ר שמחה רוטמן
אבל הוא לא בהיררכיה הארגונית אם הוא עובד חיצוני.
ראובן אידלמן
אבל יש גם פנימי. שלא נימצא שאנחנו מורידים בדרגה את ה-DPO הפנימי בשביל הסיטואציה של מיקור חוץ. אם כאלה, ויהיו כאלה. אם הוא במיקור חוץ, הוא עדיין צריך לדווח למישהו.
היו"ר שמחה רוטמן
אין לי שום בעיה.
עמרי רחום טוויג
המילה לדווח, כמו ב-GDPR היא המילה המתאימה.
ראובן אידלמן
אבל בסעיף (ג) אנחנו מבקשים שיהיה כתוב כפוף ולא יהיה כתוב ידווח.
נעמה מנחמי
אם הוא עובד הגוף, בהנחה שהוא מדווח בענייני הגנת הפרטיות, תפקידו כ-DPO, ישירות למנכ"ל או לעובד שכפוף לו, מה הבעיה בזה?
ניר גרסון
זה לא כמו להיות כפוף. הוא יכול להיות כפוף לעובד דרג שמיני אלא שיש לו זכות לשלוח מכתבים ישירות למנכ"ל.
ראובן אידלמן
לא לשם אנחנו מכוונים.
נעמה מנחמי
יש לו קשר ישיר מול המנכ"ל.
ראובן אידלמן
אנחנו מכוונים לבכירות מסוימת בארגון.
גלעד סממה
כאשר מדובר מבחוץ במיקור חוץ, אז הדיווח הוא לכך וכך.
היו"ר שמחה רוטמן
אנחנו מכירים סיטואציה שיש עובדים מסוימים בארגון ולכן המינוח כפוף הוא בעייתי. יכולה להיות סיטואציה שעובד מסוים בארגון הוא מאוד זוטר אבל בנושאים מסוימים – סתם, נניח יועץ משפטי – הוא בכלל כפוף מקצועית ליועץ המשפטי לממשלה. הוא כלל לא כפוף למנכ"ל. אנחנו די מבינים שלמרות שבבחינת דרג, דירוג ודרגה מדובר באדם שהוא בדירוג א(1) משפטנים, והוא לא בחוזה בכירים, מינהלית הוא יכול להיות כפוף – במיוחד שאנחנו מדברים גם על גופים ציבוריים – לתת הממונה על משאבי אנוש אבל בכל הנושאים המשפטיים הוא כפוף מקצועית ליועץ המשפטי לממשלה ולכן הוא בדרגה גבוהה בהקשר הזה ואנחנו חיים עם זה. זה לא מפריע לנו. לכן אני לא מצליח להבין למה אני צריך להתערב להם בכפיפות הארגונית. אם הוא כפוף מקצועית בהקשר הזה, הוא מדווח מקצועית למנכ"ל או לדרג ב', מבחינתי משימתי הושלמה.
קריאה
המיקום בארגון, המטרה היא שיש לו דלת פתוחה, גישה ישירה.
ניר גרסון
הדיווח הוא חשוב אבל מההבנה והניסיון שלנו, זה לא מספק.
היו"ר שמחה רוטמן
ההבנה והניסיון שלכם איך שאנחנו מפעילים DPO בארץ?
ניר גרסון
מהשינויים ומשיחות שעשינו. הרי פרסמנו המלצות בנושא. שוב, ליכולת לדווח, אנחנו לא שוללים את זה. מי קובע לך את המשכורת, מי נותן לך חופשות, מי כותב לך את הדוח. הוא זה שמשפיע עליך הכי הרבה. היכולת לדווח ישירות למנכ"ל היא חשובה אבל היא לא מספיקה כדי לוודא - - -
היו"ר שמחה רוטמן
אני רוצה להסביר לך משהו. זה אומר שהממונה על הגנת הפרטיות במשרד המשפטים, אם הוא יהיה כפוף למשנה ליועץ המשפטי לממשלה, זה לא טוב. תסתכל על ההיררכיה המשרדית של משרד המשפטים. משנה ליועץ המשפטי לממשלה. זה לא טוב.
ראובן אידלמן
אבל זאת הוראה שחלה על הכול.
היו"ר שמחה רוטמן
זה לא הגיוני. אם זו הוראה שחלה, זה לא הגיוני.
טסט דרייב
אתה הרפרנט של ייעוץ וחקיקה במשרד המשפטים, למי אתה כפוף?
עמית יוסוב עמיר
ללירון מאוטנר.
היו"ר שמחה רוטמן
למי כפופה לירון מאוטנר?
עמית יוסוב עמיר
לאביטל סומפולינסקי.
היו"ר שמחה רוטמן
למי כפופה אביטל סומפולינסקי?
עמית יוסוב עמיר
ליועצת המשפטית.
היו"ר שמחה רוטמן
למי היועץ המשפטי לממשלה כפוף בהיררכיה הארגונית?
עמית יוסוב עמיר
למנכ"ל.
היו"ר שמחה רוטמן
תודה. המנכ"ל כפוף לשר. אתה לא כשיר להיות הממונה על הגנת הפרטיות של משרד המשפטים.
קריאה
נכון.
היו"ר שמחה רוטמן
זאת נראית לי הזיה.
קריאה
לא, אדוני, זאת לא הזיה.
היו"ר שמחה רוטמן
אם אני אגיד לך שבכל מקרה של אירוע של הגנת פרטיות, אתה הולך ישר למנכ"ל, אתה לא צריך לעבור את השרשרת היפה הזאת, אז ממילא למרות שלא שיניתי את הכפיפות שלך, אתה בסדר גמור.
גלעד סממה
אדוני עושה ישר פנייה לגופים הציבוריים.
היו"ר שמחה רוטמן
כי זה הגוף המרכזי.
גלעד סממה
זה דווקא יותר קל לי. זה ממש יותר קל לי כי דווקא בסוגיות שעכשיו אתה דיברת עליהן היכולת של פונקציה כזו שהיא בדרג נמוך להשפיע על מדיניות של משרד ממשלתי היא יכולת נמוכה מאוד. אני אומר את זה מתוך היכרות. להבדיל. לכן אני אומר שהפונקציה הזו אמורה להסתכל על תהליכי עיבוד המידע מלמעלה, להסתכל על איסופי המידע, על השימושים, על העיבודים, על אבטחת המידע, להשפיע על המדיניות של הארגון כולו. מהמקום הזה אתה לא יכול לעשות את זה בטח במשרדי הממשלה.
קריאה
זה לא קצין ציות.
היו"ר שמחה רוטמן
אני לא מדבר על קצין ציות.
קריאה
יש לו עצמאות. אסור לפטר אותו ואסור להעניש אותו.
היו"ר שמחה רוטמן
אני אומר את עמדתי. אני רוצה דיווח. אני לא רוצה כפיפות. אני לא יודע להתעסק עם כפיפות. אני רוצה להתעסק בדיווח או כפיפות מקצועית. אני לא חי עם כפיפות ארגונית כי בעיניי היא מיותרת. היכולת להשפיע או לא להשפיע בפוליטיקה הפנימית של משרד המשפטים, אפשר להתמודד איתה. אני חושב שלרפרנט בייעוץ וחקיקה יש יכולת אדירה להשפיע גם על המדיניות של המשרד שלו וגם על מדיניות משרדים אחרים ואפשר לקחת מקרה ואפשר לא לקחת מקרה. אני חושב שנושא הכפיפות המקצועית הוא העיקר. ברור שגורם חיצוני לפי הרציונל שלך, היכולת שלו להשפיע על מדיניות היא יותר פחותה. אם במשרד המשפטים מותר לקחת אותו כיועץ חיצוני, אם הוא לא בחוץ, יכולים לקחת אותו וזה לגיטימי, זה שהוא מומחה הגנת הפרטיות שיושב, הוא הרפרנט, הוא מכיר והוא יודע והוא לא יוכל להיות כי הוא כפוף, כפוף, כפוף – בעיניי זה לא מתאים ולא נכון.
גלעד סממה
השאיפה היא כמובן שזה לא יהיה.
היו"ר שמחה רוטמן
בואו נתקדם. אנחנו צריכים לסיים את הישיבה.
מירה סלומון
אותו גורם רפרנט - - -
היו"ר שמחה רוטמן
לא. הדיון הסתיים. האמירה נאמרה. הוחלט. נתקדם.
נעמה מנחמי
(4) הממונה על הגנת הפרטיות יכול שיהיה מי שאינו עובד הגוף.

(5) בעל השליטה או המחזיק, לפי העניין, יספקו לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי תפקידו באופן נאות.
היו"ר שמחה רוטמן
זה גם המנגנון שבאמצעותו אתה תוודא שדרג 5 בהנהלה יקבל את האמצעים כולל את האפשרות להרים טלפון ללשכת המנכ"ל, אם צריך.

(6) הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף או בגוף אחר אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו.

אגב, גם זה מנגנון הגנה נוסף מפני סיטואציה שיכפיפו אותו לממונה.
ענר רבינוביץ'
לכן הכפיפות לא מתאימה כאן כי הוא לא מקבל הנחיות מקצועיות מהסמנכ"ל או המנכ"ל שהוא מדווח להם.
היו"ר שמחה רוטמן
נכון.
ענר רבינוביץ'
לכן הדיווח של זה הוא ניסוח הרבה יותר הולם.
היו"ר שמחה רוטמן
(7) מצא ראש הרשות כי ממונה על הגנת הפרטיות אינו בעל הידע והכישורים הנדרשים לביצוע נאות של תפקידיו בגוף בו הוא מכהן בהתאם לאמור בסעיף קטן (א) או מילא תפקיד נוסף או היה כפוף לנושא משרה בגוף באופן אשר היה עלול להעמידו בניגוד עניינים בניגוד לאמור בסעיף קטן (ד), רשאי הוא להודיע על כך לבעל השליטה או למחזיק הנוגע בדבר ולהורות להם על הדרך בה עליהם לתקן את הליקוי.
דן חי
אני חושב שזה בעייתי. זה גם פגיעה בחופש העיסוק וגם כבודו ביטל את הסעיף שמדבר - - -
היו"ר שמחה רוטמן
להפך. דווקא בגלל שכבודי ביטל את הסעיף הזה, הסעיף הזה הפך להיות פחות בעייתי. אם היה עיצום כספי, הייתי מבטל אותו.
דן חי
אני מדבר על כך שביטלת את ההסמכה להורות איך צריכה להיות ההכשרה. הסעיף של שר המשפטים יקבע.
היו"ר שמחה רוטמן
אנחנו יודעים שגם בתחום חופש העיסוק וגם בתחום חופש הביטוי יש הבדל בין מניעה מראש לבין מה שקורה בדיעבד. מניעה מראש, לבוא ולהגיד אתה לא כשיר, זה משהו אחד.
דן חי
גם בסעיף (ב) היה כתוב שר המשפטים רשאי לקבוע תקנות וכולי.
היו"ר שמחה רוטמן
נכון.
דן חי
לא לקבוע, יהיה להם קשה להגיד - - -
היו"ר שמחה רוטמן
לא אמרתי שיהיה להם קל. בשום פנים ואופן לא אמרתי שלרשות יהיה קל לעשות שימוש בסעיף זה.
גלעד סממה
לא רק זה. יש היכרות מעמיקה. אמרנו קודם היכרות מעמיקה על דיני הגנת הפרטיות.
היו"ר שמחה רוטמן
יש תנאים מהותיים ואני כן מאפשר להם לבוא ולהגיד שהתנאים המהותיים לא מתקיימים. מה המשמעות של האמירה הזאת? עכשיו המשמעות היא הרבה פחות ממה שהיא הייתה קודם. עוד לא הגענו לסעיף הזה אבל קודם המשמעות של הסעיף הזה הייתה ואילו כאן במסגרת התפקיד הכללי שלהם כרגולטור, לתת הנחיות לשוק לבוא ולומר שהאיש לא מתאים אלא שהם עושים את זה במקרה הפרטני. מה המשמעות של זה? עיצום כספי הם לא יכולים להטיל. הם רק יכולים להגיד לו שהוא לא ייתן לך את ההגנה מפני אי הפחתה.

תיקון הגדרה של "מנהל מאגר".

"מנהל מאגר" – בעל שליטה במאגר מידע, ולעניין גוף ציבורי המנהל הכללי של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה.

תיקון סעיף 17

בסעיף 17 לחוק העיקרי, במקום "מחזיק במאגר מידע או מנהל מאגר מידע" יבוא "ומחזיק במאגר מידע".

זה אומר שאנחנו מורידים את האחריות לאבטחת מידע ממנהל.

ביטול סעיף 17ב. אנחנו אמרנו שאנחנו לא עושים. משאירים את סעיף 17ב בנוסחו הקיים.
ראובן אידלמן
הוועדה עוד צריכה להכריע על מי תחול חובת מינוי ממונה אבטחת מידע.
היו"ר שמחה רוטמן
ממונה אבטחה.
ראובן אידלמן
ממונה אבטחת מידה. הצענו מודלים בעניין הזה. זה לא סוכם וקצת הזזנו את זה הצידה בגלל השאלה אם צריך להשאיר אותו או לא.
היו"ר שמחה רוטמן
אני בכלל לא הייתי נוגע בנוסח הסעיף בחוק. הייתי משאיר אותו כמו שהוא כיום ולא נוגע בו, לטוב ולרע. יכול להיות שנפיק לקחים, יכול להיות שנשנה אותו בעתיד. על פניו אני לא רוצה לגעת בו. חמישה מאגרי מידע חייבים ברישום.
ראובן אידלמן
חייבים ברישום.
היו"ר שמחה רוטמן
מאחר ושיניתי את חובת הרישום, צמצמתי בצורה משמעותית את משמעותו של סעיף 1 בלי לגעת בסעיף.
ראובן אידלמן
זה אומר שמחזיק של מאגרים במגזר הפרטי למעשה אין חובת מינוי ממונה אבטחה.
היו"ר שמחה רוטמן
לא מכוח הסמכות.
ראובן אידלמן
הוא לא נשאר כמו שהוא. בגלל צמצום חובת הרישום.
היו"ר שמחה רוטמן
אמרתי את זה במפורש על השולחן.
אייל שגיא
אני חושב שבעת הזו שגופים חווים גידול של 550 אחוזים במתקפות סייבר, לצמצם את חובת מינוי ממונה אבטחת מידע, זו טעות. יש גופים פרטיים רבים עם מידע רגיש. היו אירועי אבטחה ואיומים אצל מחזיקים.
היו"ר שמחה רוטמן
זה אתה אומר כאשר החובה הייתה קיימת.
אייל שגיא
הייתה קיימת. עכשיו לשלוח מסר שזה לא כזה חשוב - - -
היו"ר שמחה רוטמן
לא, אני לא שולח מסר. אני לא נוגע בסעיף הזה.
קריאה
אתה מצמצם אותו.
אייל שגיא
הייתי מציע שאפשר למנות DPO חיצוני. החשיבה של מינוי התפקיד, עוד בעל תפקיד, מכבידה אבל לדרוש את המינימום שגופים יקבלו ייעוץ באבטחת מידע, גם אם זה מישהו שיבוא פעם בחודש ויראה שהדברים מעודכנים.
היו"ר שמחה רוטמן
החובות המהותיות קיימות בתקנות אבטחת מידע, בחוק. חובת ה-DPO, הוספנו אבל חובה רכה. את חובת ממונה על האבטחה לגופי ציבורים, השארנו. לבנקים, לחברות ביטוח, חברות אשראי – השארנו. מחזיק בחמישה מאגרי מידע חייבים ברישום לפי סעיף 8 – השארנו. צמצמנו את חובת הרישום בצורה משמעותית בהקשר אחר ולכן הרבה מאוד גופים - - -
גלעד סממה
לכן סעיף 1, בגדול אפשר לומר בטל.
היו"ר שמחה רוטמן
לא, לא נכון.
גלעד סממה
אני הייתי משנה אותו.
אייל שגיא
החמישה מאגרי מידע, חייבים ברישום, היום זו חובה שהיא רלוונטית מאוד ואחרי התיקון תהיה כמעט לא רלוונטית.
היו"ר שמחה רוטמן
למה? כל מי שמחזיק במאגרי המידע של הגופים הציבוריים.
מירה סלומון
כל מערכות הליבה שלנו נכנסות כאן.
גלעד סממה
יש כאן מחזיקים רבים שלא נכנסים כרגע לפי התיקון החדש.
היו"ר שמחה רוטמן
לא הצעתם למחוק אותו? עכשיו כשאני אומר לכם שאני לא מוחק אותו, אתם מתלוננים על שאני לא מוחק אותו מספיק? אני מנסה להבין מה הולך כאן.
עמית יוסוב עמיר
בהתחלה ההצעה הממשלתית הייתה להשאיר.
היו"ר שמחה רוטמן
חברים, אני צריך ללכת. יש לי ישיבה. אתם רוצים להציע כאן משהו אחר חלופי ל-1?
גלעד סממה
יש לנו הצעה.
היו"ר שמחה רוטמן
אנחנו נדון בזה בדיון הבא.

תודה רבה. ישיבה זו נעולה.



הישיבה ננעלה בשעה 14:30.

קוד המקור של הנתונים