פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



171
ועדת החוקה, חוק ומשפט
30/06/2024


מושב שני



פרוטוקול מס' 359
מישיבת ועדת החוקה, חוק ומשפט
יום ראשון, כ"ד בסיון התשפ"ד (30 ביוני 2024), שעה 9:00

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022

חברי הוועדה: שמחה רוטמן – היו"ר

עמית יוסוב עמיר - עו"ד, ייעוץ וחקיקה, משרד המשפטים

סוריא בשארה - עו"ד, ייעוץ וחקיקה, פלילי, משרד המשפטים

לירון מאוטנר לוגסי - עו"ד, ראש תחום משפט ציבורי, מחלקת ייעוץ וחקיקה, משרד המשפטים

גלעד סממה - עו"ד, יו"ר, הרשות להגנת הפרטיות, משרד המשפטים

ראובן אידלמן - יועץ משפטי, הרשות להגנת הפרטיות, משרד המשפטים

ניר גרסון - עו"ד, סגן יועמ"ש, הרשות להגנת הפרטיות, משרד המשפטים

נעמה גורני לר - עו"ד, המחלקה המשפטית, הרשות להגנת הפרטיות, משרד המשפטים

מיכל בלאו אור - יועצת משפטית, היחידה הממונה על יישומים ביומטריים, מערך הסייבר הלאומי

ד"ר רחל ארידור הרשקוביץ - עו"ד, חוקרת, המכון הישראלי לדמוקרטיה

שחף קצלניק - עו"ד, יועץ משפטי, התאחדות התעשיינים

ענר רבינוביץ' - מנכ"ל, חברת מנכ״ל PrivacyTeam

איה מרקביץ' - עו"ד, Privacy Director, חברת PrivacyTeam

ד"ר עמרי רחום טוויג - שותף, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל

יעקב עוז - יו"ר ועדת הסייבר והפרטיות, להב- לשכת ארגוני העצמאים והעסקים בישראל

אייל שגיא - עו"ד, שותף, משרד AYR

נעמה מנחמי

איל קופמן

אבירן יחזקאל

איה פרידמן, איטייפ

רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496

בוקר טוב. כולנו קיבלנו אתמול בערב את הבשורה הקשה על יאיר ויקיר שנפלו ואני שולח מכאן תנחומים למשפחות ובמיוחד לשירית שהיא חלק מהנוף האנושי של הכנסת והיא דודה של אחד הנופלים. אנחנו מתפללים כולנו שהשם יאמר די לצרותינו.

בשבת קראנו את פרשת "שלח" על ההתמודדות של עם ישראל עם האויבים ואת התשובה הנחושה של יהושוע וכלה שרוחך אחרת הייתה עמם, "טובה הארץ מאוד מאוד, עלה נעלה וירשנו אותה כי יכול נוכל לה". האמונה הזאת ביכולת ובסייעתא דשמיא שתבוא לכוחותינו ולחיילנו מלווה אותנו עד ימינו אלה. בעזרת השם עלה נעלה וירשנו אותה.

אנחנו בעניין הצעת חוק הגנת הפרטיות ויש רק עוד שתיים או שלוש ישיבות. סתם. אני בהחלט מקווה שהיום אנחנו נתקדם בצורה משמעותית לקראת סיום הכנת הצעת החוק הזאת. גברתי היועצת המשפטית, בבקשה.

בוקר טוב. לבקשת הממשלה, אנחנו נתחיל עם סעיף 15א רבא, פיצויים ללא הוכחת נזק. עשינו כמה שינויים מאז הפעם הקודמת, בעיקר דייקנו את הסעיף והוספנו לו עוד מדרגה של הודעה בהרבה מהמקרים כך שכל אחד מהסעיפים צריך עכשיו הודעה נוספת לבעל השליטה או המחזיק או שתהיה איזושהי פנייה ראשונית, כמו בקשה לזכות טיעון. נקרא אותם?

כן.

(1) הפר בעל שליטה במאגר מידע או מחזיק, לפי העניין, הוראה מההוראות המפורטות להלן, רשאי בית המשפט לפסוק, בשל אותה הפרה, פיצויים שאינם תלויים בנזק (בסעיף זה – פיצויים לדוגמה), בסכום שלא יעלה על 10,000 שקלים חדשים:




(1) לא רשם בעל שליטה מאגר מידע החייב ברישום לפי סעיף ,8 בו מצוי מידע אודות אדם, וחלפו 90 יום מיום שפנה האדם לבעל השליטה במאגר המידע בדרישה לרשום את המאגר;

(2) פנה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע לפי סעיף (11) או סעיף 23ד(א) לפי העניין, מבלי שמסר הודעה כדרישת אותו סעיף, וחלפו 30 יום מיום שפנה האדם ל בעל השליטה במאגר המידע בדרישה להודיע לו כאמור.

(3) לא אפשר לאדם שביקש לעיין במידע שעליו, המוחזק במאגר המידע, לעיין במידע, בניגוד לסעיפים 13 או 13א, לפי העניין, במועד ובדרך שנקבעה בתקנות.

(4) הסכים לבקשה לתיקון או מחיקת מידע שאינו נכון, ברור או מעודכן, אך לא ביצע את השינויים הנדרשים במידע שברשותו, או לא הודיע עליהם לכל מי שקיבל ממנו את המידע בתקופה הקבועה בתקנות, בניגוד להוראות סעיף 14(א);

(5) לא הודיע לאדם שביקש לתקן או למחוק מידע שעליו, שאינו נכון, שלום או ברור, על סירובו למלא את הבקשה, בדרך שנקבעה בתקנות, בניגוד להוראה סעיף 14(א).

(6) לא הודיע בעל שליטה במאגר מידע לראש הרשות לפי סעיף 23ד(ג) על קבלה דרך קבע של מידע, הכולל מידע אישי אודות אדם, שנאגר במאגר מידע, וחלפו 30 יום מיום שפנה האדם לבעל השליטה במאגר המידע בדרישה להודיע כאמור.



אני אשמח אם הממשלה - - -

זה 6?

כן, זה היה 6. אני אשמח אם הממשלה תבהיר איך אדם יכול לדעת שהתקיימו הנסיבות כאן.



(2) בבואו לקבוע את גובה הפיצויים לדוגמה, יתחשב בית המשפט, בין השאר, בשיקולים המפורטים להלן, ולא יתחשב בגובה הנזק שנגרם לנפגע כתוצאה מביצוע ההפרה:







(1) עידוד התובע למימוש זכויותיו;

(2) היקף ההפרה וחומרתה;

(3) התנהגות המפר, נסיבותיו האישיות ויכולתו הכלכלית, וכן סנקציות נוספות או תשלום נוסף שהוחלו על המפר ביחס לאותן נסיבות.

(3) אין בהוראות סעיף קטן זה כדי לגרוע מהאפשרות לנהל הליך פלילי, ככל שההפרה מהווה גם עבירה פלילית, או לגרוע מזכותו של התובע לתבוע כל סעד אחר לפי פקודת הנזיקין, בשל אותה הפרה, ואולם לא יקבל אדם פיצוי לדוגמה לפי סעיף זה, בשל אותו מעשה או מחדל יותר מפעם אחת.

טוב. אני אבקש במסגרת סעיפי הדיווח שיהיה לנו דיווח מפורט על הדבר הזה ועל התביעות הללו מהנהלת בתי המשפט כדי שנוכל לעקוב אחרי היישום של החוק הזה.

רשמתי.

יש מישהו שרוצה להתייחס? לי הרוב נראה יחסית פשוט חוץ מהנושא של 6. א', על עצם הצורך ב-6 ו-ב', על השאלה הפרקטית. עצם הצורך ב-6 זאת אומרת, שהוא קצת דומה ל-1. בעקרון, אני רציתי שהפיצויים ללא הוכחת נזק יהיו במישור שבין אדם לחברו ולא מול הרשות.

1 הוא מול הרשות. זאת אומרת, זה הרישום אבל כאשר מדובר על גוף ציבורי או ב-data brokers אז ללא הרישום הבסיסי הזה, אי-אפשר בכלל להתחיל ולכן, כן יש פה איזשהו כלי. הרישום פה נועד לטובתי בשביל לדעת איזו רשות ציבורית מחזיקה עלי מידע, למי אני פונה לתקן אותו, מה אני עושה וכדומה אז כשמדובר באנשים שחובת הרישום חלה לגביהם, זאת זכות היסוד שלי. אם אני לא אטיל עליה את האפשרות לתבוע בנפרד אז אני בעצם אעודד את כל האנשים לא לרשום ואז אני לא אוכל להתקדם מולם לשלב הבא ולכן זה נשאר. שאר הדברים, 2, 3, 4, ו-5 הם באמת יותר בעניין בין אדם לחברו ו-6 זה שוב חוזר לבין אדם לרשות ולכן צריך לדבר על הרציונל של ההודעה ועל האופן בו זה יתגלה.

בוקר טוב. עמית יוסוב עמיר, משרד המשפטים. צריך להקדים ולומר שהסעיף הזה הוסף לבקשת הייעוץ המשפטי של הוועדה כאמצעי נוסף - - -

הוועדה. היועצת המשפטית סייעה מאוד.

הוועדה באמצעות הייעוץ המפשטי לוועדה, כאמצעי נוסף לאכיפת הוראות סעיף 23ד רבא שעוסקת בחובות הנלוות להעברת מידע בין גופים ציבוריים. מבחינה עניינת, הקשר הוא מאוד אדוק, בין חובת הרישום - - -

לרישום זה ברור, אני שואל על 6.

כן, אני אומר שסעיף 6 בעצם מצטרף לרישום. מה שקורה זה שההודעה לפי סעיף 23ד(ג) מועברת לרשות להגנת הפרטיות והיא מצרפת את פרט המידע הזה - - -

למרשם.

על כך שמועבר מידע, למרשם, שמתפרסם.

אז זה בעצם מקרה פרטי של המרשם?

כן.

עכשיו, איך אני אדע?

אתה תראה אם זה פורסם במרשם או לא פורסם במרשם.

לא, לא הבנתי.

את ההודעה הזאת - - -

הודעה כזאת אתה חייב לפרסם במרשם?

כן.

זאת אומרת, ם אני מסתכל במרשם ואני לא רואה שזה נרשם אז אני יכול להניח בקלות שמעבירים עלי מידע ולא מסרו את ההודעה.

אולי אני אקריא את הסעיף. "גוף ציבורי המקבל דרך קבע מידע בהתאם לסעיף 23ג רבתי והמידע נאגר במאגר מידע, יודיע על כך – היום זה לרשם אבל זה יהיה הרשות להגנת הפרטיות – והעובדה הזאת תיכלל בפרטי רשימת מאגרי המידע לפי סעיף 12". ההודעה הזאת נכללת - - -

הבנתי, הידיעה שלי שהוא לא עשה את זה היא מכך שזה לא רשום.

כלומר, לפחות תיאורטית, כן יכול להיות מצב שבו אדם רשם או פנה לרשות לרשום וזה לא - - -

נכון אבל בשביל זה יש את "יום שפנה אדם לבעל השליטה במאגר המידע בבקשה להודיע". יש פה צורך בפנייה ואז ממילא, הוא יבוא ויגיד "שלחתי לרשם אבל אני לא יודע. הם ישנים שם ולא מתקנים את המרשם, האתר שלהם נפל או שהכלב אכל להם את המחברת. לא אכפת לי אבל מצורף בזה העתק ההודעה שמסרתי ולכן אני בסדר ואני לא אחטוף את התביעה הזאת. אני כרשות עשיתי את זה וזה שהם לא רשמו או לא עדכנו את המאגר זו באמת בעיה שלהם אבל זה לא משהו שבשליטתי". מהבחינה הזאת אני לא מוטרד כי יש פה את ה-30 יום. עוד הערות לסעיף זה?

ענר רבינוביץ, Privacy Team. לעניין ההפרה שקשורה לבקשות עיון במידע ב-3, התקנות עיון במידע לא עובדות היום. כלומר, הן די שבורות. יש שם איזשהו ארכאי שמבקש המידע נדרש למלא וזה לא הולם את הפרקטיקה העולמית וגם בארץ, מבחינת ההיענות לבקשות עיון מידע.

אתה בעצם מסכן כאן ארגונים בכך שהם חשופים לפיצויים ללא הוכחת נזק, אפילו שהם עומדים בסטנדרט הגלובלי, רק כי הן לא עם התקנות העתיקות האלה. השאלה היא אם יש כוונה לתקן את תקנות עיון מידע כדי להביא אותן - - -

יש לנו את הנוסח של התקנות?

כן.

עוד שנייה נראה אותן.

ניר גרסון מהרשות להגנת הפרטיות. התקנות הן אכן מיושנות ותהיה כוונה לתקן אותן אבל כיום, הן דווקא מיטיבות עם בעלי המאגרים.

אני לא מסכים.

הן מאפשרות להם לצאת ליידי חובה. הם יכולים לדרוש ממבקש העיון לפי נוסח התקנות "להתייצב אצלם במשרד". הן מיטיבות ומקלות על המפוקחים.

כן אבל יש גם את הפסיקה וגם את ההבהרה של הרשות מ-2017.

התקנות לא מקשות, הן אכן דורשות עדכון, אין ספק אבל - - -

הן מקשות מהבחינה של הטופס הזה. כלומר, הקריטריונים או איך שהבקשה צריכה להראות ואיך שצריכים לענות לבקשה.

לא, אני מסכים עם מה שנאמר פה. הדרישות פה מקשות על מבקש המידע. אני לא אוהב אותן ואני מסכים איתך אבל אין פה הוראה שמגבילה את מסירת המידע כמו "תעביר לי אותה ככה ולא באימייל", לפחות לא להבנתי.

אם תוגש תביעה על הנושא זה גם יהיה חוסר תום לב קיצוני וגם בן אדם יגיד "קיבלתי את זה באימייל אבל עשו לי את זה לפי טופס מספר זה וזה". מה שכן, דווקא מקבלי הדרישה – רובם יהיו גופים ציבוריים, מן הסתם – יבואו ויגידו "הנה הטופס", "לא מילאת", "כן מילאת". אם כבר, הטענה היא הפוכה. זה מקשה על מקבלי המידע וזה מאפשר לייצר כל מיני קשיים פרוצדורליים.

מקשה שלא לצורך.

מקשה שלא צורך, חד וחלק. ענר, תפנה אותי לאיזו הוראה בתקנות שלדעתך מקשה על הארגון שנותן את המידע. מכאן בקשתי שלוחה לתקן את התקנות.

הדבר ידוע.

שהן יהיו פחות ארכאיות.

שיהיו נגישות לאזרח שמבקש לעיין במידע.

נכון אבל אם תפנה אותי לאיזה סעיף פה שלדעתך מקשה על מוסר המידע - - -

איה מרקביץ, PrivacyTeam.

בוקר טוב, איה.

יש פה גם עניין של העדר של דברים ולא רק סעיפים שהם בעייתיים. יש לכם ב-GDPR וגם בתקנות הגישור, סיבות שבגינן בעל השליטה היה יכול לסרב ואין לנו פה כמעט שום דבר מהדברים האלה, לא סוד מסחרי, לא זכויות של צדדים שלישיים וכלל העיפרון הכחול לא נמצא פה.

אם אדם רוצה לעיין במידע שלו - - - תחשבו על הקלטה של שיחה שנזכרים בה אנשים אחרים שאולי לא רלוונטיים אליו. יש כל מיני היבטים שמקשים עלינו להפעיל את זה גם מהצד של הארגון ולא רק מהצד של מבקש המידע.

רק אדייק, התנאים המהותיים לעיון לא קבועים בתקנות, הם קבועים בחוק. יש הסדר בסעיפים 13ג, ג(1), (ה). אפשר לדבר על ההסדרים אבל - - -

כתוב "בעל מאגר רשאי שלא למסור למבקש מידע המתייחס למצבו הרפואי או הנפשי, לסכן את חייו - - - מסר מידע בניגוד לחיסיון על פי כל דין" יש את הוראות עיון במידע שאיננו בהחזקה. אני מסכים שהייתי רוצה הסדר עיון וזכות להישכח. אלו כל מיני דברים שלא היינו רוצים לשמור לתיקון 15, היינו רוצים שזה יגיע עכשיו אבל זה לא מגיע עכשיו.

על פניו, ההסדרים המהותיים כוללים את המחויבויות, את הפתורים ואת האופן שבו זה מתפרש בפסיקה. אני לא משנה את הדיון המהותי, הדבר היחיד הוא שהנושא של "במועד ובדרך שנקבעה בתקנות" זו הוראה לטובת מחזקי מאגרי המידע. זה אפילו בצורה קיצונית, יותר ממה שהם צריכים. ההסדרים המהותיים לא שם והם גם לא אמורים להיות קבועים בתקנות, הם באמת אמורים להיות קבועים בחוק.

אפשר גם לתקן את החוק אבל העניין של הטופס נראה כמו דבר טיפשי ואתם מציגים את זה כאילו הוא מיטיב עם הארגון אבל אם את מסתכלת על הטופס שאת צריכה לתת לנושא המידע למלא וצריך לכתוב בו את שם המאגר ומעמנו, "אני החתום מטה", תעודת זהות, שם האב, מענים, מיקוד, "סבור מהנימוקים הבאים כי הנתונים על אודותי מצויים בהחזקתכם, נקודתיים" ולפרט אותם ואז צריך לכתוב בתוך הטופס איזה מידע, אישיותי, מעמדי האישי, צנעת אישיותי וכולי. אלה הקטגוריות שהחלפנו אותן עכשיו בהגדרה אחרת לגבי מה הוא מידע אישי.

יש תיקון מהותי להגדרה של מה הוא מידע בחוק אז מן הסתם היא משפיעה גם על התקנות. שוב, אלה טפסים מיושנים אבל הדין הכללי, אופן הפרשנות והיחס בין חוקים לתקנות נותן לדברים האלה מענה.

בסדר, אני מבין. כאמור, מכאן בקשתי שתתקנו את התקנות בהקדם שלוחה אבל כרגע זה זה. אחרי תיקון החוק אתם מן הסתם תצטרכו לעשות התאמות בעוד כמה תקנות ויגיעו לפה סטים. בסדר גמור.
כרגע זה לא. להפך, זה מקל מאוד על בעל מאגר שלא ירצה לתת מידע לטרטר את הבן אדם. זה לצערי אבל אני לא רוצה לעשות את זה במסגרת חקיקה על תקנות כשאני רוצה שיתקנו את זה בתקנות אבל על פניו, התקנות האלה מאוד מקלות על מאגר לא לקבל את אותה תביעה אישית שאנחנו ייצרנו פה.

אומר רק דבר אחרון לעניין הזה. אולי לפחות בסעיף שמאפשר להגיש תביעה לפיצויים ללא הוכחת נזק אז שהחובה הזאת תחול על בעל שליטה במאגר ולא על מחזיק או בעל שליטה לפי העניין כדי שיהיה ברור שמי שמצופה ממנו לענות על בקשות כאלה בעל זה השליטה - - -

כן.

לא, יש פשוט - - -

שנייה.

זה לפי העניין. יש הסבר מפורט בסעיפים 13 ו-13א רבתי של סדר הפעולות בין בעל השליטה למחזיק, המחוקק נדרש לזה. אם אני פונה למחזיק אז המחזיק צריך להפנות אותי לבעל השליטה. הדברים ברורים.

כן, הוא גם לא אמור למסור את המידע אלא הוא אמור להפנות לבעל השליטה, זאת חובתו.

בתקנות הוא יכול גם - - -

לא, אז אם בעל השליטה מורה לו - - -

אם בעל השליטה מורה לו אז זה שוב בעל השליטה.

אנחנו מפנים פה להסדרים ב-13 ו-13א ודווקא בעניין הזה הם מסדרים בדיוק את היחסים בין בעל השליטה למחזיק. אני לא מציע דווקא אגב הפיצויים ללא הוכחת נזק, אנחנו נתחיל להתערב בהסדר שקבוע פה.

אנחנו דיברנו על זה רבות. "פנה המבקש תחילה למחזיק, יודיע לו המחזיק אם הוא מחזיק מידע עליו וכן את שם בעל מאגר המידע ואת מענו". דיברנו על כך שבכלל לא תמיד המחזיק יודע על מי הוא מחזיק. להפך, לפעמים יש לנו אינטרס שהמחזיק לא ידע על מי הוא מחזיק. פה אנחנו לא מבקשים מהמחזיק נהלים של אבטחת מידע, אנחנו מבקשים מהמחזיק לשבת ולקרוא את המאגר ולהבין האם מאגר המידע שייך וזאת בעיה. זאת בעיה לא פשוטה.

יכול להיות שבהמשך צריך לתקן את סעיף 13 ו-13א אבל כמו שאמרתי, זה כרגע לא הנושא. אני לא מדבר כרגע על תיקון החוק, אני מדבר כרגע על השאלה על מי אני רוצה להטיל פה חובה מאוד ספציפית שבאה ואומרת שאם אתה בעל שליטה במאגר ויש בן אדם שמבקש ממך את המידע אז החובה מוטל עליך. אם אתה רוצה לעשות את זה באמצעות מחזיק או באמצעות מישהו אחר אז תעשה את זה באמצעות מי שאתה רוצה אבל החובה מוטלת עליך.

האם תהיה זו טענת הגנת תקפה אם בעל השליטה יבוא ויגיד "אני הורתי למחזיק במכתב והמחזיק גנב לי את המאגר ולכן אני לא - - -"? בסדר גמור אבל החובה על מסירת המידע מתאימה לבעל השליטה, היא לא מתאימה למחזיק לפי העניין. לכן, כן כדאי שסעיף 3 יחול על בעל שליטה.

כלומר, אדוני אומר שבמצב שבו המחזיק לא שועה לבקשתו של בעל המאגר למסור את המידע אז בעצם בתביעה הנגזרת הוא גלגל את זה - - -

כן. הוא נתן את ההוראה אז הוא בסדר. אם המחזיק גנב לו את המאגר, מה אתה רוצה ממנו? הוא פעל בהתאם לחובתו.

בסדר.

כן, אני מסכים ש-3 צריך להיות על בעל שליטה ולא על מחזיק.

בסדר. חוץ מזה סיימנו, נכון? יש עוד משהו? אפשר להתקדם.

הסעיף הבא הוא סעיף 23טז1, הסתייעות במומחה חיצוני. זה בעמוד 3 למסמך ההכנה. אנחנו נקרא אותו כי יש לנו כמה שינויים בו, אלו שני דברים שנשארו מהדיונים הקודמים. נושא אחד הוא נושא שהטריד אותנו מאוד וזה הנושא של סודיות, בפרט בעקבות הדיון אז אנחנו ננסה לצמצמם את הדיון.

שני דברים הפריעו לנו, אחד מהם זה הנושא של צינון לאחר פרישה וזה נוגע לגופים שאותו מומחה חיצוני פיקח עליהם. הנושא השני שהטריד אותנו מאוד היה הידע שאותו מומחה חיצוני יוצא איתו ומחזיק במוחו. כלומר, מעבר לידיעה או איזשהו מסמך שהוא יכול להעביר או לא להעביר, הטרידה אותנו שאלת הידע, ה-know how שהוא למד על חברת שהוא היה מעורב בפיקוח או בבירור המנהלי שלהן.

ההצעה של הממשלה בעקבות הבקשות שלנו בנושא היא להוסיף סעיף שההשראה לו היא בסעיף 58 לחוק הפיקוח על מעונות היום והוא מופיע במסמך ההכנה בסעיף קטן (ג). אנחנו נקרא את הכול או שאתם רוצים להתמקד?

סיימנו את ההקראה הזאת?

אלה תיקונים.

נדמה לי שזה סעיף קטן (ה).

כן. זה סעיף קטן (ה), השאלה היא אם אנחנו רוצים לעבור על כל הסעיף או להתמקד ב-(ה).

לדעתי כבר עשינו את 23טז1, לא?

נכון, אנחנו בעצם חוזרים לנקודה הזאת.

אז בואי נדבר רק על הנושא החדש, לא צריך פה הקראה חוזרת לדעתי.

בסדר גמור. בכל מקרה, כן יש לנו ב-(ג) את נושא דרישת ידיעה או מסמך.

אני זוכר את הסעיף הזה.

בסדר.



(ה) מומחה חיצוני שהגיע אליו מידע לפי הוראות סעיף זה תוך כדי מילוי תפקידו או במהלך עבודתו, ישמרנו בסוד, לא יגלה אותו לאחר ולא יעשה בו כל שימוש






זה החלק העיקרי



אלא לפי הוראות חוק זה או חיקוק אחר או לפי צו של בית משפט.







זה הכול. זה כמעט אחד לאחד אותו סעיף 58 לחוק המעונות. אפשר גם לחשוב על תיקון של סעיף 16 שעוסק בחובת סודיות בחוק ואגב כך, אולי לצרף לשם את הממונה על הגנת הפרטיות, שאני לא בטוחה שהוא תמיד מוגדר כאחד הגורמים שקיים לגביהם סעיף 16.

לא אבל ממונה - - -

עובד, ממונה, מחזיק.

כמנהל או מחזיק.

"עובד, מנהל, מחזיק של מאגר מידע".

רק אבהיר כדי שלא ניפול לדיונים מיותרים על סעיף 16. סעיף 16 הוא בכל מקרה לא רלוונטי לעניינו ולא ייתן מענה כי הוא חל על מידע כהגדרתו, ועכשיו בתיקון החדש "מידע אישי", הוא מגן על הזכות לפרטיות של נושאיו.

כן, נכון.

או-קיי, בסדר.

אני חושב שהנוסח של (ה) הוא טוב, הוא נותן מענה בלי לגעת כרגע ב-16. יש למישהו הערות? מצוין.

סעיף (ד) כבר אושר בוועדה אבל אולי נמשיך ממה שהיה (ה) והפך להיות (ז).



(ז) דינו של מומחה חיצוני כדין עובדי המדינה לעניין ההוראות הנוגעות לעובדי הציבור בחוק העונשין, התשל"ז –1977 (להלן – חוק העונשין) וההוראות בחוק שירות הציבור (מתנות), התש"ם – 1979.



בפעמים הקודמות היו לנו דיונים על עוד שני חוקים, משמעת ולפי מה שמסרה לנו הממשלה, זה ככול הנראה פחות רלוונטי כי זה עוסק בהגנה על עובדים שנמצאים בהליכים פליליים והיה לנו את סיפור הסינון שהממשלה ביקשה להוסיף אולי - - - היא ביקשה שלא להוסיף ממש בחוק אבל כן אולי - - -

שזה יהיה בחוזים.

שזה יהיה בחוזה. אם הוועדה תרצה אז אנחנו גם נכתוב סעיף שמבהיר שזה צריך להיות בחוזה.

תכף נדבר על זה. בואו נסיים את זה ואז נראה אם עושים את זה בחוזה.

בסדר גמור.


(ח) ראש הרשות רשאי לתת למי שמתקיימים בו כל אלה אישור לשמש מומחה חיצוני:



הקראנו את זה בפעם הקודמת.

הקראנו.

זה בעל ידע, מומחיות ולא הורשע בעבירה שמפאת חומרתה או נסיבותיה אינו ראוי לשמש מומחה חיצוני. אני חושבת שהיה גם את נושא המב"דים נכון? אבל גם בהקשר הזה.

כבר נתנו לזה מענה. לדעתי, הקראנו את זה כבר.

כן, קראנו את זה.

זה פשוט היה לפני הרבה זמן אז עשיתי ריענון.

בסדר גמור. י1 הוא החדש?

רק רציתי להבהיר שהנושא של מב"דים הוא בסעיף קטן (ט), הוא כתוב קצת שונה אבל מבחינה מהותית זה אותו דבר. הסעיף שעוד לא אישרנו זה סעיף (י).



(י)(1) לא ימונה למומחה חיצוני ולא יכהן כמומחה חיצוני כאמור מי שבשל כהונתו יימצא באופן תדיר, במצב של ניגוד עניינים;

(2) מומחה חיצוני לא יטפל במסגרת תפקידו בנושא שהטיפול בו ]עלול לגרום] יגרום לו להימצא במצב של ניגוד עניינים;

(3) נודע למומחה חיצוני כי הוא עלול להימצא במצב של ניגוד עניינים כאמור בפסקאות (1) או (2) יודיע על כך בהקדם האפשרי לראש הרשות.

ב-(2) זה "יגרום לו", ב-(3) זה "עלול" ואז ממילא, אם זה "יגרום" זה קטגורי, אם זה "עלול לגרום" אז הוא מודיע לראש הרשות ואז ראש הרשות יחליט מה עושים, מן הסתם.

או-קיי, אז נשאיר "יגרום".



(יא) הודעה על אישור לשמש מומחה חיצוני [ורשימת המומחים החיצוניים המעודכנת] תפורסם באתר האינטרנט של הרשות.

(יב) בסעיף זה –

"בן משפחה" – בן זוג, הורה, הורה הורה , בן או בת ובני זוגם, אח או אחות וילדיהם, חם, חמות, נכד או נכדה, לרבות קרוב כאמור שהוא שלוב [חורג];

"בעל עניין" – כהגדרתו בחוק ניירות ערך, התשכ"ח 1968;

"טיפול" – לרבות קבלת החלטה, העלאת נושא לדיון, נוכחות בדיון, השתתפות בדיון או בהצבעה, או עיסוק בנושא מחוץ לדיון;

"ניגוד עניינים", של מומחה חיצוני

איפה משתמשים בבן משפחה בכל ההגדרה היפה הזאת של קרוב?

משתמשים, אני בדקתי את זה לאחרונה. אנחנו עוד מעט נגיע לזה.

הקראתי כבר את ניגוד עניינים?



של מומחה חיצוני – ניגוד עניינים בין מילוי תפקידו לבין עניין אישי או תפקיד אחר, שלו או של קרובו;



הנה הקרוב. עוד שנייה נגיע למשפחה.

(1) בן משפחה של מומחה חיצוני;

(2) אדם שלמומחה החיצוני יש עניין במצבו הכלכלי;

(3) תאגיד שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה (2), הם בעלי עניין בו;

(4) גוף שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה (2) הם מנהלים או עובדים אחראים בו.




הסעיף הזה התבקש לבקשת הממשלה מכיוון שמאז שהוגשה הצעת החוק, המודל של נושא הניגוד עניינים עודכן וזה המודל החדש של החקיקה בנושא ניגוד עניינים.

טוב. נראה לי שבמדינת ישראל ניגוד עניינים זה לנשום עם ההגדרות הרחבות האלה. הערות? יאללה, נתקדם.

מהפעם הקודמת נותר לנו "הסתייעות במי שאינו עובד המדינה לשם פיקוח רוחב". שינינו את הדברים קצת מבחינת ניסוח אבל נשאר לנו סעיף קטן (ג) שזה "על גורם מסייע יחולו הוראות סעיפים קטנים - - - בשינויים המחויבים".

אותם סעיפים שהקראנו עכשיו לגבי המומחה החיצוני, יחולו גם לעניין אותו מפקח רוחב.

אני רק אומר שבשנייה שהפיקוח הוא פיקוח רוחב רוחבי למדינה אז למי אין - - - מחר הם יעשו פיקוח רוחב על מגזר עורכי דין או רואי חשבון. למי אין מישהו שבכל ההגדרה הזאת של קרוב או משהו שהוא עורך דין, רואה חשבון או איש הייטק? זה כולם בהגדרות המאוד רחבות האלה.

הציגו פה נתונים.

למזלנו, יש מגבלות תקציב אז זאת עדיין תהיה רשימה של גופים. זה יכול להיות 80 משרדי רואי חשבון או משרדי עורכי דין, זה לא יהיה 1,000.

בסדר, אבל בפיקוח רוחב אנחנו לא נכנסים לקישקעס של העסק ומאגר המידע שלו באותה רמה של מומחה חיצוני ולכן, להחיל את זה באותה רמה זה נראה קצת מרחיק לכת.

אבל ניגוד עניינים - - -

אנחנו לא יזמנו את זה.

אם נושא פיקוח הרוחב הוא במשרד של אח או של מישהו שיש לו - - -

לא, אני מסכים אבל בפיקוח רוחב השאלות הן שאלות מאוד נרחבות. אנחנו מאוד דאגנו מהמומחה החיצוני שבאמת יש לו ידע מתאים על מערכת מאוד מסוימת, הוא נכנס פנימה, צולל ויודע את כל הסודות המסחריים, על מי הם מחזיקים ועל מי הם לא מחזיקים אז זה משהו אחד.

פיקוח רוחב זה משהו הרבה יותר רחב. המילים "בשינויים המחויבים" יכולה לכסות על זה אבל לפחות ברמת הבהרת כוונתי, אני לא מתכנן שבשנייה שיש מישהו בדרגה של נכד או בן דוד - - -

ברור.

לא יודע, אז הוא מנוע מלעשות בפיקוח הרוחב. כלומר, שזה לא יהיה ברמה הזאת. אם אתה שולח להשלמות ספציפיות אז אל תשלח אותו למשרד של אח שלו.

ברור.

אבל זה לא כמו מומחה חיצוני ששם צריכה להיות מניעות מוחלטת.

נכון מאוד.

בכל מקרה, יש עוד כמה סעיפים בחוק והשאלה היא ביחס לאיזה מהם - - - אני רואה שזה קצת מורכב, אולי פשוט נציע לוועדה לגבי איזה סעיפים.

התחלנו ב-"בשינויים המחויבים" - - -

יכול להיות שהמילים "בשינויים המחויבים" מכסות את זה. אני נותן פה הערה פרשנית לפעול פה בשכל.

אז בואו נסגור את הסעיף הזה, אני לא מציע שנחזור אליו.

זה במסגרת ההפעלה של הרשות.

כן.

מאה אחוז.

אפשר בכל זאת לסכם את הנקודה? אני חושב שזה אפשרי.

הנה, סיכמנו.

בסדר.

אז (י), (יא), (יב) בשינויים המחויבים?

(י), (יא), (יב), כן. (י) זה לא ימנה מי שעשוי להיות בניגוד עניינים, (יא) זה הנושא של פרסום, (יב) זה ההגדרות של קרובי משפחה.

למה פרסום? מה זה רלוונטי?

הפרסום דווקא פחות מתאים גם בהיבט של מה שקורה היום. היום, אנחנו לא מפרסמים את רשימת משרדי רואי החשבון שמסייעים בהליך פיקוח הרוחב.

למה?

כשאדם מקבל הודעה אז זה מצוין בהודעה, "יעמוד איתך בקשר משרד כך וכך" אבל אנחנו לא מפרסמים מראש רשימה של כל המשרדים שאנחנו עובדים איתם.

למה לא?

אם אפשר לא לכלול את הסעיף הזה, אנחנו נעדיף.

אבל למה לא בעצם? אולי יש איזשהו ניגוד עניינים אינהרנטי או איזשהו קושי?

מה המניעה לפרסם עם מי אתם עובדים?

את המפקחים אתה מפרסם.

זאת שאלה של מכרז. יש מכרז שנעשה פה, אנחנו לא בוחרים. יש הליך מכרזי מאוד מקיף ובסוף ההליך הזה אנחנו בוחרים משרדי רואי חשבון.

אני לא רואה סיבה שלא יהיה בדיוק בגלל ניגוד העניינים. נניח שאני שם לב שאיזה משרד רואי חשבון זכה במכרז ופתאום כל הגופים שהסתכסכו איתו ופתאום כל הגופים שהסתכסכו איתו מקבלים פתאום פיקוחי רוחב. לא יודע, אני לא רואה בעיה שזה יפורסם.

גם אם אנחנו מפרסמים את המשרד אז הרשימה של האנשים עצמם בתוך המשרד זה - - -

לא, לא האנשים. לא צריך את האנשים, עד כאן.

אני לא יודע, צריך להבהיר את זה שזה חלק מ-"בשינויים המחויבים". אולי צריך להבהיר את זה בטקסט.

בכל מקרה אתם מסתייעים במשרד.

במשרד, בדיוק.

משרד, זה יכול להיות אדם פרטי. אני לא מתערב לכם באופן. אתם קיבלתם רשות להסתייע במי שאינו עובד המדינה, זה גורם מסייע. תפרסמו באתר רשימה של הגורמים המסייעים שאנחנו מסתייעים בהם בפיקוחי רוחב.

אני מניחה שגם הסעיפים שעוסקים במי רשאי לשמש כמומחה – כלומר "לא הורשע בעבירה" אז זה (ח2) ו-(ט) – הם גם רלוונטיים.

לא, כל (ח).

כל (ח)?

כל (ח) ו-(ט), הכול רלוונטי. שוב, "בשינויים המחויבים" בסופו של דבר, הפרשנות של "בשינויים המחויבים" זאת פרשנות שלהם אבל לכאורה, כל הסעיף הזה מתאים.

בסדר. אני מניחה שגם הנושא של - - -

סודיות.

סודיות והנושא של הפעלת שיקול דעת, נדמה לי שלזה יש כבר - - -

לא, על הפעלת שיקול דעת עשינו הסדר ספציפי.

נכון.

כבר יש לנו ספציפי. אז רק - - -

סודיות.

הם גם לא מפעילים סמכות.

אבל סודיות כן.

כן.

בסדר, יאללה.

מכיוון שיש כאן הסדר מקיף, גם לעניין המומחים החיצוניים בתחום אבטחת המידע וגם לעניין פיקוחי הרוחב, אנחנו חוזרים על בקשתנו מהוועדה מהדיונים הראשונים לבטל את סעיף 10ז לחוק הקיים שקובע שדין הרשם ומי שפועל מטעמו כדין עובד המדינה.

זאת הייתה העמדה שלנו מלכתחילה בהצעת החוק הממשלתית. זה סעיף שהוא ארכאי והוא צריך להתבטל ומכיוון שגם יצרנו כאן הסדר מקיף לשני הדברים האלה אז אנחנו חושבים שזה מחזק את זה שאין צורך בסעיף גורף בעניין הזה.

אני חושבת דווקא שמאחר - - -

אני רק אגיד שזאת גם עמדת המחלקה הפלילית בייעוץ וחקיקה, זה לא רק עניין של הרשות.

אני רוצה להתייחס לדבר אחד. עד שהגעתם אלינו וגילנו שיש את כל נושא פיקוחי הרוחב שלא מוסדר כסעיף נפרד אז הסעיף היחיד שהחזיק איזשהו משהו לגביהם היה אותו סעיף קטן (ז) שציינת עכשיו.

מאחר ויש לנו כאן שני סעיפים שהם מאוד קונקרטיים אז אולי אפשר להחריג כמובן. מי שיש לגביו הסדר ספציפי אז זה הגיוני אבל אם אתם מעסיקים עכשיו עוד גורם שהוא לא אחד מהשניים האלה ואין לגביו הסדר ספציפי אז כן הייתי רוצה שיחול משהו.

למשל, יועץ חיצוני שלא עושה פיקוח.

למיטב זכרוני, אפילו אמרתם שיש לכם עוד גורם שעוזר לכם במסגרת ההליכים הפלילים ואותו לא הזכרנו.

לא, הוא לא מפעיל סמכויות. כל הגורמים האחרים - - -

זה לא משנה.

לא, אבל התנאים אמורים לחול עליו.

אולי יהיו גם בעתיד אבל הם לא מפעילים סמכויות.

בסדר אבל למה שלא יחולו עליו הכללים של עובד המדינה בהקשר הזה, על מי שפועל מטעם הרשם לעניין שמירת סודיות או מתנות. לא יודע. בוא נניח שהוא לא מפעיל סמכות מול אזרח או לא בא בקשר עם אזרח אבל לך יש יועץ קבוע שמועסק במכרז שהוא לא עובד מדינה והוא יושב אצלך ומנהל לך את רישום המאגר. לכאורה, צריכים לחול עליו אותם דינים של עובד מדינה גם אם הוא ממכרז חיצוני.

עוד שנייה הרשות תתייחס אבל צריך לתת את התמונה הרחבה. הרשות להגנת הפרטיות לא ממש המציאה את נושא מיקור החוץ בשירות הציבורי, יש כללים והלכות בנושא. זאת אומרת, מתי מותר להסתייע בלי הסמכה כאשר מדובר בהסתייעות ללא אצילת שיקול הדעת, מתי יש הפרה של שיקול דעת מהותי ועד ללא הסמכה בחוק כמו שמופיע כאן לגבי אותם תפקידים מסוימים. אי-אפשר להאציל את הפעולה על גורם חיצוני שהוא לא מעובדי המדינה, סתם כך.

עמית, הבעיה היא לא רק ההפעלה של סמכויות, זה מה שקרה במקרה כאן.

אפשר לסיים את המשפט? אני לא בטוח שזה מה שקרה כאן.

הם לא קיבלו סמכויות אבל הם כן ראו והגיעו להרבה חומרים מאוד רגישים בלי אסדרה.

כן אבל המבחן הוא לא הגעה או אי-הגעה לחומרים רגישים. אני שוב פעם אומר שיש הרבה מאוד גופים וזאת בעצם המשמעות של מחזיק, מחזיק של גוף ציבורי עשוי להגיע לחומרים הרגישים בלי קשר לרשות להגנת הפרטיות. זאת גם אסדרה מאוד גורפת. ראינו עכשיו גורם פרטי שנתנו לו סמכות שלטונית של דרישת ידיעות ומסכמים ותפרנו לו הסדר מיוחד שהוא לא מחיל עליו את כל הכללים של עובדי המדינה אלא כללים מסוימים שרלוונטיים.

הסעיף הכללי בחקיקה הישנה לוקח כל מיני יועצים שאין להם שום סמכות שלטונית ומחיל עליהם הסדר שהוא יותר רחב מההסדר המפורט ומצומצם שקבענו פה לגבי מי שנתנו לו סמכות שלטונית.

בסדר. אני לא מחיל עליהם שום הסדר כי לכאורה, אני משאיר את המצב הקיים לגביהם אבל אני לא יכול אפילו לחזות את הכול. מחר בבוקר יהיה מומחה AI, אני לא יודע מה העתיד צופן לנו. פה ניתחנו שני סוגים של אנשים בעלי תפקידים שפועלים מטעם הרשם, מה צריך להם ומה לא צריך להם.

אתם צודקים. פעם הבאה, אתם תרצו להשתמש בגורם אחר ואז נעשה את אותו fine tuning אבל כל זמן שאני לא עושה fine tuning אני צריך איזושהי סמיכה רחבה. אני לא רוצה להוריד משהו ואני גם לא משנה את המצב, אני משאיר את המצב כמו שהוא. מה שהיה להם עד היום זה מה שיהיה וכמו שזה פורש עד היום, זה יפורש מכאן ולהבא אבל אני לא רוצה לייצר מצב – דווקא בגלל ההיקף הנרחב של רגולטור של כל המשק – ואני לא רוצה לקנות חתול בשק בהקשר הזה.

אני מעדיף להשאיר את זה וברור שיש פה הסדר שלילי. פה במקרה הזה יש הסדר שלילי. זאת אומרת, ברור שאם יש הוראה ספציפית שאומרת על עובדים שמי שפועל מטעם הרשם, יראו אותו כדין עובד המדינה וזה לא מפורט אז אני לא יודע איך זה מתפרש אבל פה עשיתי את זה ספציפית והחלתי את זה ספציפית לגבי שני סוגים אז זה חל עליהם ולא חל עליהם הסעיף הכללי.

אני חושב שאולי בכל זאת צריך לכל הפחות להחריג בטקסט את ההסדרים כי אחרת זה מאיין את ההסדרים המורכבים והטובים שהוועדה יצרה כאן לגבי העובדים האלה.

אני לא חושב שזה מאיין.

אולי רק להבהיר. למשל, יכולה להיות טענה שחוק המשמעת חל כי דינם כדין עובדי המדינה בעוד שאנחנו הצגנו טעמים טובים בישיבות ההכנה למה לא נכון להחיל את חוק המשמעת.

כן.

אולי להחריג במפורש את שני סוגי העובדים.

כל עוד לא נקבע אחרת בחוק.

כן.

אפשר להוסיף שם משפט "כל עוד לא נקבע אחרת בחוק, מי שפועל מטעם הזה דינו כדין עובד המדינה".

בסדר. אני רק מזכירה לוועדה שטרם נסגר הנושא של סעיף שמפנה לחובה לייצר הסדר פרישה.

כן. לעניין הצינון - - -

אחד הרעיונות שאדוני העלה בדיון הקודם בנושא הזה היה פשוט לכתוב בחוק שזה ייקבע בהסכם. הצענו נוסח בעניין הזה ומבחינתו זה מקובל.

יש נוסח? איפה הוא?

הוא לא כאן אבל אני יכול להקריא אותו אם צריך.

או-קיי, תגיד מה הנוסח.

אנחנו הצענו לכתוב "בהתקשרות עם ממוחה חיצוני, יקבעו תנאים בעניין ההגבלות שיחולו עליו לאחר סיום ההתקשרות". ברור שזה מחייב לקבוע את זה וזה גם על דעת נציבות שירות המדינה. עשינו עבודה בעניין הזה.

זה נראה הגיוני, בסדר גמור. הערות לפרק זה? אפשר להתקדם. אני לא יודע אם אין לכם הערות או שפשוט עייפתי אתכם בכל הדיונים הקודמים.

סעיף הדיווח?

נחכה עם הדיווח לסוף.

בסדר גמור. בנושא העיצומים יש לנו עוד שני מסמכים. הראשון זה מסמך המודל שכולל גם את תקנות ההפרטה ובסופו גם את תקנות הגישור או בשמן המלא "הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי" ויש לנו עוד מסמך אחד בנושא תקנות אבטחת מידע. אולי נתחיל מהמודל?

אנחנו מבקשים להציג את המודל. מכיוון שזה מודל חדש שכתבנו בעקבות הערות הוועדה, אנחנו מבקשים להציג אותו בצורה מסודרת. יש לנו מצגת אז נשמח אם אפשר לקבל כמה דקות להציג את הרעיון המסדר בצורה מסדרת ואז נצלול לתוך הטקסט.

או-קיי.

(הצגת מצגת(

המודל שהופיע בהצעת החוק הממשלתית הונח בפני הוועדה וההערה המרכזית של הוועדה בדיון הקודם בנושא הזה הייתה שהמודל קובע מדרגות באופן גורף על כל ההפרות של החוק לפי גודל המאגר, גם אם יש מידע בעל רגישות מיוחדת או לא וגם לפי גודל המאגר.

אדוני, בדיון הקודם עברנו ואתה סימנת במפורש על אילו הפרות מבחינתך ראוי שהמכפלות בהן יהיו לפי גודל המאגר ואיזה לא. זה מה שהנחה אותנו בבניית המודל החדש. חילקנו בין הפרות שאנחנו קוראים להן "הפרות פרטניות" ואלה הפרות שהמכפלות בהן לא צריכות להיות תלויות בגודל המאגר, לבין הפרות שחלות על כל המאגר, בדומה להפרות בתחום אבטחת המידע, למשל.

אני מזכיר שבנושא אבטחת מידע, היה מקובל על הוועדה שגודל המאגר הוא כן פרמטר רלוונטי כי זה חל על כל המאגר. קודם כול, מבחינת הסכומים שינינו גם את הסכומים מכיוון שכל המדרגות והמכפלות הן אחרות. אנחנו מציעים שהסכום הבסיסי יהיה 40 אלף למידע רגיש ו-80 אלף למידע בעל רגישות מיוחדת ולגבי גופים קטנים יותר – אם תרצו, עסקים קטנים שבהם פחות מ-1,000 נושאי מידע – הצענו סכומים מוקטנים.

כן אבל כבר הסכום הבסיסי הוא לפי גודל מאגר.

לא, בסדר. אנחנו מסתכלים על הסכום הבסיסי. מקודם, כל הסכומים היו לפי גודל מאגר. המטרה הייתה לייצור פה הסדר ספציפי, זה נכון שהוא לפי גודל מאגר. אנחנו סבורים שלא נכון להיכנס מלכתחילה לשאלה של מחזור העסקאות של העסק, יש את זה בתקנות ההפחתה.

אם עסק רוצה לטעון להפחתה על בסיס מחזור העסקאות אז זה קיים שם אבל מכיוון שהרשות להגנת הפרטיות – אולי בשונה מגופים כמו רשות לניירות ערך – לא עוסקת בעניינים של מחזור עסקאות ושל דו"חות חשבוניים אז אנחנו חושבים שההבחנה הרלוונטית צריכה להיות על פי המטריה שלנו שבה יש לנו מומחיות וזה באמת גודל המאגר ולא מחזור העסקאות של אותו העסק.

אם זה נטען במסגרת בקשה להפחתה אז זה דבר אחר אבל אנחנו לא חשבנו שבכל תיק, צריך להיכנס לשאלה של מחזור עסקאות. זה לא הביזנס שלנו, לא המומחיות שלנו ואנחנו חושבים שזה לא נכון מבחינת האינטרס הציבורי.

טוב.

תכף נפרט אבל אני רק אזכיר שהגשנו לוועדה גם סקירה משווה בדיון הראשון שעסק בעיצומים לתקנות אבטחת מידע. הגשנו סקירה משווה של היקפי העיצומים שמוטלים במדינות ה-GDPR ובמדינות נוספות שיש בהן חקיקת פרטיות מודרנית וכפי שהוועדה התרשמה, הסכומים שם הם הרבה יותר גבוהים. זאת אומרת, מוטלים עיצומים במיליוני יורו, גם על ענייני אבטחת מידע. יש לנו פירוט עם לינקים להחלטות ויש לי כאן עוד עותק עם אדוני ירצה לראות שוב אבל הוועדה התרשמה מזה בפעם הקודמת.

בשקף הבא הקבוצה הראשונה זו הקבוצה של ההפרות הפרטניות ועל פניו, היא באמת לא קשורה לכל המאגר. זאת אומרת, זה סירוב למתן זכות עיון, אי-ביצוע תיקון, עניינים שקשורים לדיוור ישיר – למשל, מחיקה ממאגר דיוור ישיר. יש זכות מחיקה ממאגר דיוור ישיר, להבדיל מזכות מחיקה כללית – או בקשת נושא מידע שהמידע עליו בדיוור ישיר לא יימסר.

אלה דברים שאנחנו כוללים אותם בקבוצת ההפרות הפרטניות. יש שאלה לגבי ההפרות של סעיף (11) וזאת שאלה שהתחדדה גם בדיון הקודם בנושא הזה וגם פה אדוני קצת התלבט בעניין הזה בפעם הקודמת. האם ההפרה לפי סעיף (11) היא הפרה פרטנית או שהיא הפרה שנוגעת לכל גודל המאגר?

ההצעה שלנו זה הפתרון שהגענו אליו פה וזה לעשות הפרדה. כשההפרה היא ביחס לכמות לא ענקית אז זאת תהיה הפרה פרטנית עם הפרות של מכפלות פרטניות. בדרך כלל, ההפרה על סעיף (11) תהיה הודעה גנרית, למשל במדיניות הפרטיות באתר והיא יכולה לפנות למאות אלפי אנשים ואם לא נמסר שם כל המידע שצריך להימסר אז זה כתלות בכמות האנשים שמסרו מידע באתר הזה, אנחנו נוכל לקבוע - - -

את גובה העיצום.

על בסיס זה לכמה אנשים בוצעה הפרה.

על הקבוצה של הפרטניות שאינן נוגעות לכלל המידע במאגר, גובה העיצום הוא הסכום הבסיסי שגם קשור לגודל המאגר אז מה עשינו בזה?

רק ביחס לגופים מאוד קטנים.

לא, זה לא קשור לגוף קטן. נו, באמת.

זה לא שהמדרגה - - -

זה לא קשור לגוף קטן. גם חנות שכונתית קטנה מגיעה מאוד מהר ל-1,000 נושאי מידע. גם למכולת שכונתית בשכונה בתל אביב יש יותר מ-1,000 לקוחות בחודש, אני מקווה לטובתה וגם למשרד עורכי דין קטן.

תכף נדבר על ההפרות ואתה תציג את זה אבל הפירוש של הפרות פרטניות שאינן נוגעות לכלל המידע במאגר, זה שאינן נוגעות לכלל המידע במאגר. למה שגובה העיצום בהם יהיה שונה אם ההפרה נעשתה במאגר שיש בו 3,000 אנשים או שהיא נעשתה במאגר שיש בו 1,000 אנשים?

אנחנו תכף נדבר על אם צריך לעשות לפי גודל העסק או לא צריך אבל מה הרלוונטיות של כמות האנשים שאני מחזיק אצלי במאגר לשאלה של "לא תיקנתי מידע על פי הנחיית בעל השליטה או בית המשפט? היה לי פסק דין של בית משפט, נקודתי למחזיק שבא ואמר לו לעשות משהו. למה שזה יעניין אותו כמה עוד מידעים אחרים יש במאגר שלגביהם לא בוצעה ההפרה?

יש לנו מענה.

מבחינתנו, אנחנו מוכנים להוריד את המדרגה הנמוכה יותר ולהישאר רק עם מדרגה שהיא לא תלויה בגודל מאגר. הרעיון היה לתת מענה לגופים קטנים וזה המענה שחשבנו לתת.

טוב.

מבחינתנו, אפשר להישאר רק עם סכום אחיד. מכיוון שבדיון הקודם אדוני סבר שזה לא צריך להיות קשור לגודל מאגר אז ההכפלה שאנחנו מציעים ביחס לקבוצה הזאת היא לגבי מפר שיטתי.

בתוך אותו הליך אכיפה, אם נמצאו לגביו כמה הפרות של החוק – אלו יכולות להיות כמה הפרות בקבוצה הזאת או כמה הפרות בקבוצה אחרת – אז חשבנו שכן צריכות להיות מכפלות. למרות שזאת הפרה נקודתית לזכות עיון, אם זה מפר שיטתי שנתפס על שורה של הפרות שיטתיות אז העיצום יהיה גבוהה יותר. זאת התפיסה שלנו כי אחרת יוצא שאין מכפלות בכלל וחברה מאוד גדולה, בסדר גודל של Amazon, יכולה לסיים עם עיצום מאוד נמוך על הפרות של - - -

אם Amazon עשתה את ההפרה הזאת במאגר מאוד קטן של מספר האנשים שרכשו את הספר "כיצד לרכוש ידידים והשפעה בחברה".

לא, זאת שאלה של איך מגדירים מאגר.

הם עשו מאגר נפרד כי הם גילו שהאנשים האלה הם אנשים נורא מסכנים שמחפשים ספר משנות ה-50 או ה-60, הם לא מעודכנים והם outdated ולכן הם רוצים לשווק להם עובדים זרים מהפיליפינים. זה מאוד ממוקד ומפולח, המאגר הוא נורא אבל הוא מוחזק על ידי Amazon. אתה שם לב שאתה בעצמך הולך לטיעון של החברה הגדולה וההרתעה ואז כל פעם אתה חוזר לגודל המאגר.

נניח ש-Amazon זכתה במכרז של אנשים שחולים בסרטן מח העצם מסוג מאוד נדיר בישראל ויש שם 20 אנשים. אתה רוצה קנס על זה אז מה זה קשור לשאלה? אני רוצה שזה יהיה מאוד חמור ואם בן אדם רוצה לטעון שאין לו את הסרטן הזה והם סתם מחזיקים עליו את המידע אז השאלה של גודל המאגר היא פשוט לא רלוונטית. אתה בעצמך הלכת למקום של גודל החברה.

ביחס למקרה קצה. ההצעה כאן היא ביחס למקרה קצת כדי להחריג עסקים קטנים כי אנחנו יודעים - - -

אבל זה לא קשור לעסק קטן. טוב, בסדר.

בואו נעבור לקבוצה השנייה. הקבוצה השנייה היא הפרות שנוגעות לכלל המידע במאגר והפילוח הזה הוא לפי מעבר שעשינו ביחד עם אדוני בדיון הקודם כשעברנו סעיף, סעיף. הנקודה הראשונה היא עיצום דו-שלבי וזה אותו סעיף שאוסר על איסוף מידע שלא כדין.

הנקודה השנייה קשורה לדיונים שלנו על צמידות המטרה, זה מה שאדוני קרא לו "ההפרה הרישומית של צמידות המטרה". אנחנו תכף נגיע להפרות אחרות בהקשר הזה. אי-מינוי ממונה אבטחת מידע, אי-מינוי ממונה הגנת פרטיות, ניהול מאגר שאינו רשום, אי-מסירת פרטים במאגר שאינו רשום, אלה הכול הפרות שבדיון הקודם אדוני סבר שהן קשורות לגודל המאגר.

בשקף הבא יש לנו גם כן את סעיף (11) אבל כשההפרה היא ביחס למעל 1,000 אנשים, זה לא לפי גודל המאגר אלא ביחס לכמות האנשים שנעשתה ביחס אליהם ההפרה. זאת ההבחנה בסעיף (11). יש כאן שורה של הפרות שנוגעות לפרק ד2, להעברת מידע בין גופים ציבוריים, אי-מסירת הודעה לרשות ואי קיום רישום ויש כאן מספר הפרות שנוגעות לדיוור ישיר – אולי נצלול אחר כך בתוך הטקסט להפרות עצמן. לא נתעכב עליהן עכשיו, זה רק כדי להבין את הרעיון המסדר.

הנקודה האחרונה היא אי-שיתוף פעולה בתוך הליך אכיפה של רשות. גם כאן אנחנו חשבנו שאי-מסירת מסמך או עותק - - - גוף שמסרב זה משהו שחשבנו שהוא כן צריך להיות קשור לגודל המאגר.

בשקף הבא יש לנו את הקבוצה של צמידות המטרה והסיבה שהגדרנו אותה כאן בנפרד היא שמלכתחילה העיצום בה הוא גבוה יותר וכך גם הגדרנו בהצעת החוק הממשלתית. אני מזכיר שאלה ההפרות החמורות ביותר של החוק וזאת גם הסיבה שהתעכבנו עליהן רבות בדיוני הוועדה.

הרשימה שיש כאן היא של ההפרות שהוועדה כבר אישרה ברמה המהותית אפילו שהנוסח עוד לא סגור. גם ההפרות האלה הן בקבוצה של אלה שתלויות בגודל המאגר אבל הן מתחילות בעיצום שמלכתחילה הוא פי ארבע מהסכום הבסיסי.

המכפלות ביחס לכל הקבוצה הזאת שקשורה לגודל המאגר היא עד 100 אלף, סכום בסיסי. מעל 100 אלף, פי שתיים. מעל 500 אלף, פי ארבע. מעל מיליון, פי שמונה. זה המודל ואני חושב שהוא לא מודל מאוד מורכב. אני חייב לומר שהוא היה קצת יותר מורכב ואנחנו פישטנו אותו לאורך הדרך, גם בישיבות שלנו עם הייעוץ המשפטי. אני חושב שעכשיו הוא יחסית פשוט. יש שתי קבוצות ושני עקרונות, הפרות פרטניות שלא הולכות לפי גודל המאגר וקבוצה של הפרות שכן הולכת לפי גודל המאגר.

או-קיי.

אפשר לצלול לטקסט מבחינתנו.

בבקשה.

ד"ר רחל ארידור הרשקוביץ מהמכון הישראלי לדמוקרטיה. לאורך כל הדרך נאמר שמהות התיקון היא להעצים את הרשות להגנת הפרטיות ולתת בידיה סמכויות עם שייניים משמעותיות שמותאמות לעידן שלנו היום.

ככול שחולף הזמן ואנחנו מבינים איך עובד בפועל השימוש במאגר, אני חושבת שצריכה לחלחל ההבנה שהמודל הזה הוא לא מודל מתאים וסכומי העיצומים הם נמוכים מידי. אני מבינה שאתם לא רגילים לעשות משהו שהוא לא לפי מספר נושאי המידע אבל יש לנו רשויות להגנת פרטיות ברחבי העולם שמתייחסות למספר נושאי המידע כאחד השיקולים אבל זה רק אחד השיקולים, יש להם הרבה שיקולים אחרים, סכומי העיצומים הם הרבה יותר גבוהים וכן, במקרים מסוימים מתייחסים להכנסה השנתית של התאגיד או קבוצת חברות.

אני לא מבינה למה הרשות להגנת הפרטיות לא יכולה להגיד "עד עכשיו עשינו א' אבל מעכשיו אנחנו מבינים שאנחנו צריכים לצמוח, לקבל סמכויות אכיפה משמעותית יותר ולשנות את המודל הזה באופן שיתאים אותו למה שרואים באירופה, למשל.

עוד?

אף אחד אחר פה לא יגיד, הם כולם מרוצים מגובה העיצומים. כשהתעשייה שותקת, צריכים להיות מודאגים.

אני תומכת.

אולי נתייחס למה שעלה? קודם כול, אני רוצה להזכיר שוב שלגבי תקנות אבטחת מידע, הוועדה קיבלה את העמדה העקרונית שלנו שהמדרגות צריכות להיות לפי רמות האבטחה ורמות האבטחה נגזרות מגודל המאגר.

גם. גם מגודל המאגר. זה נכון ולכן - - -

יש לנו בסיס ואז השאלה היא אם יש שיקולים מהותיים להבחנה בין הפרות אבטחת מידע לבין ההפרות שנוגעות לגודל המאגר כאן. אני לא מדבר על הפרטניות, אנחנו חושבים - - -

בואו נעבור שלב, שלב. ראשית לגבי ההשוואה לאיחוד האירופי, אני מאוד מקווה שיום אחד אנחנו נגיע לשם אבל יש גם את הנושא של בסיסי העיבוד שאנחנו מדברים עליהם כל הזמן - - - יש עוד מנגנונים שמייצרים ולכן, אני אומר את זה כסוג של אמצע.

מצד אחד, אני לא מתרגש כשאומרים לי "תראה כמה עיצומים נותנים באיחוד האירופי" כי יש הרבה יותר בסיסי עיבוד ואפשרויות הגנה. בעזרת השם, כשיהיו פה בסיסי עיבוד אז באמת יכול להיות שיהיה יותר קל לבוא ולדרוש יותר כי בסופו של דבר, מה שאתה נותן זה מה שאתה מקבל בהקשר הזה.

מהצד השני, ההשוואה היא לאיזו מידת שיקול דעת. ככול שאני מגדיל את העיצום בצורה הזאת אז אני מעניק יותר שיקול דעת לרשות כי אין בסיסי עיבוד אז אני מפחד לתת את הסכומים הגדולים האלה ואת היכולות.

כלומר, זה נכון גם מבחינת מה מותר למשק וגם נכון מבחינת מה אסור למשק ומה מעצים את שיקול הדעת שבידי הרשות. הטיעון הזה עובד לשני הכיוונים ולכן אני שם אותו בצד לשנייה. אני כן אומר דבר אחד, בהפרות שהן נקודתיות – מה שנקרא, פרטניות – העיצום צריך להיות מנותק מגודל המאגר, נקודה וסוף פסוק. זה לא יכול להיות "סכום בסיסי" ולא סכום לא בסיסי, זה פשוט צריך להיות מנותק.

פה אני מתחבר מאוד להערה של רחל. באופן טבעי, אם אנחנו עוסקים בנושאי מידע אז במאגרים גדולים המכפלות יהיו מאוד גדולות אבל כן בעיצום. אפילו ברמת העיצום. אפשר לחדד את העניין אבל בואו ניקח את הדוגמה של "סירב לאפשר לאדם שמידע עליו מוחזק במאגר מידע לעיין במידע שעליו". זה יכול להיות למישהו שמחזיק מאגר מידע מאוד גדול ויכול להיות שהוא קיבל אלפי פניות ולא נתן לעיין אז אם יהיה לי סכום בסיסי שהוא אפילו נמוך, נניח 1,000 שקלים אז אני אגיע למיליון שקלים כי הוא לא נתן ל-1,000 נושאי מידע לעיין במידע שלהם.

בפרקטיקה, לא כל כך.

שנייה, אנחנו עוד לפני שלב הפרקטיקה.

אבל אנחנו עוסקים באכיפה של - - -

אבל אנחנו עוד לא בשלב הפרקטיקה. בשביל הפרקטיקה אני נתתי את התביעות האישיות ושם בן אדם חשוף לעשרת אלפים על כל מקרה פרטני.

מבחינת יכולת האכיפה שלנו.

שנייה, אני הבאתי דוגמה אחת. "פנייה לאדם לשם החזקתו או שימוש במאגר מידע מבלי שמסר לו הודעה כנדרש", זה נכון שאם זה יהיה אתר אינטרנט אז זאת פנייה אחת. אני מסכים שאם בן אדם פרסם הועדה לכלל הציבור אז זאת פנייה אחת אבל אם אני שלחתי מייל ל-20 אלף אנשים אז שלחתי 20 אלף פניות ולכן, גם אם העיצום הכספי על כל פנייה הוא נמוך, עדיין צריך להכפיל אותו ב-20 אלף כי יש פה 20 אלף אנשים שקיבלו פנייה ואתה שלחת ל-20 אלף אנשים פנייה. העובדה שלחצת Enter פעם אחת לא משנה, אתה עשית 20 אלף פעולות.

כאשר הפוקוס – איזה פרק זה הפרק של הפניות הפרטניות? – הוא נושא המידע, זאת אומרת האנשים שקיבלו פנייה, שלחת להם פנייה, לא הודעת להם או שלא תיקנת מידע נוגע לגביהם באופן גורף אז אתם תמצאו הרבה מאוד הפרות במאגר גדול ובדרך הטבע, פחות הפרות במאגר קטן ולכן, פעולת ההכפלה החשבונית לא מפחידה אותי.

אם כתוצאה מזה, זה יגרום לזה שבמאגר גדול שנמצא בידיים של Amazon אתה תגיע לקנס של 50 מיליון בגלל שהקנס הבסיסי הוא 50 שקלים אבל זה נעשה על מיליון אנשים אז לא אכפת לי. לעומת זאת במאגר הקטן, גם אם הוא עשה את ההפרה הזאת לגבי 3- אנשים או 100 אנשים והקנס יהיה קטן בסיסית אז זה לא יפגע.

אני חושב שהפרטניות צריכות להיות מנותקות לחלוטין מגודל המאגר. אפשר להתווכח לגבי מה צריך להיות שם ומה לא צריך להיות שם. יכול להיות שיש שם דברים שאנחנו שמנו אותם בפרטניות וזאת טעות ויכול להיות שיש דברים שאנחנו שמנו בכלליות והם אמורים להיות בפרטניות אבל אני הייתי רוצה שהקנס בפרטניות שעוסקות בנושאי מידע, יהיה אפילו נמוך יותר אבל עם האפשרות להכפיל לפי נושאי המידע ואז באופן טבעי התוצאה היא שמי שהוא עבריין שיטתי ומחזיק מאגר מידע גדול אז העיצום הכספי עליו יהיה גדול משמעותית מאשר למישהו שהוא קטן.

אין לי אינטרס מוגן וזה בלי שאני שולח אתכם בשלב של הפרטני - - - יכול להיות עסק קטן שמחזיק מאגר מידע מאוד גדול ומאוד רגיש והוא יפר הרבה מאוד פעמים אז זה שהוא עסק קטן או לא עסק קטן זה לא פחות מטריד אותי, בהקשר הפרטני. לכן הפרטניות צריכות להיות מנותקות לחלוטין. צריך שיהיה סכום בסיסי שנקבע לפרק הפרטני ולדעתי הוא יכול להיות הרבה יותר קטן ומה שיעשה שם את הקסם זה המכפלות שהן לפי נושאי מידע וזה באמת יותר בקו שרחל מדברת עליו.

העניין הוא שבפרקטיקה של האכיפה - - -

אפשר שנייה להתייחס מתודולוגית? המומחית לנושא ההפרות ועיצומים כספיים באופן כללי נמצאת כרגע בדיון מקביל בוועדה אחרת והיא תצטרף אלינו עוד מעט. אגיד שבאופן עקרוני, יש את ההבחנה בין מעשים שונים לאותו מעשה.

נראה לי שדיברו עלייך.

אני אעזור לסוריא להיכנס לדיון.

והיה טרם יקראו ואני אענה, עוד הם מדברים ואני אשמע. דיברנו על העיצומים הכספיים, אמרו שהמומחית נמצאת מחוץ לחדר ואז בדיוק נכנסת.

לא הגזימו כלל.

באופן עקרוני, האמירה פה נוגעת לשאלה האם מעשה אחד שנעשה כלפי קבוצה גדולה של אנשים כמו למשל, שליחת הודעה לפי סעיף (11) שלא בהתאם להוראות החוק, יכול להיחשב כמעשה אחד שיהיה עליו עיצום אחד או שורה של מעשים כמספר המפרים. לדעתי, יש פה קושי לראות אלא אם כן - - -

בהבחנה שאני עשיתי אמרתי שלפעמים (11) - - - אני מדבר ספציפית על (11) אבל אם אנחנו בסדר עם כל שאר הסעיפים ורק על (11) זה מפריע לכם אז אנחנו נדבר עוד שנייה.

זה מתעורר בעיקר ביחס לסעיף (11) ולכן גם מצאנו פתרון ל-(11).

בסדר אז יכול להיות ש-(11) הוא יצור משונה שהוא באמצע.

או שהוא צריך להיות בקבוצה הכללית.

יכול להיות. המקרה הקלאסי יכול להיות בסעיף (ב)(1), נניח. "פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף (11) ובלבד שההפרה נעשתה ביחס למספר בני אדם שאינו עולה על 1,000", את זה אתם הכנסתם.

אני אמרתי שיש הבדל בין מצב שבו פניתי לאדם בפירוש ששמתי אתר אינטרנט. שמתי טופס ולא רשמתי שם את מה שאני צריך לרשום שם ואז לכאורה, זה מעשה אחד. אם מלא אנשים באו ומילאו את הטפסים אז אני מבין שעדיין - - -

זה גם יכול להיות לפעמים משהו שבן אדם עושה בטעות. אני העליתי טופס, ביקשתי שאנשים ירשמו פרטים וחשבתי שיפנו 20 אנשים ואז איזה אושיית רשת שיתף את זה אצלו ופתאום הגיעו אלי מיליון אנשים. אני לא חשבתי שאני פונה לכל כך הרבה אנשים, אני פניתי באתר ייעודי של מומחים למשהו כי רציתי לאסוף פרטים בשביל לעשות כנס – זאת הפרה זעירה בנסיבות העניין – לא ידעתי אז לא שמתי שם את כל הדיסקליימרים שאני צריך לשים ופתאום זה התפוצץ כי מישהו שיתף ואז אני מגלה שנשיא ארצות הברית, נשיא רוסיה וכולם ביחד שיתפו את זה וזה הגיע למיליארד צפיות וכך למעשה, פניתי בלי לדעת למיליוני אנשים ואספתי מידע שאסור היה לי לאסוף ממילוני אנשים.

זה אירוע אחד ויש הבדל בינו לבין אירוע בו אני שלחתי אימייל עם פנייה לרשימה של מיליון אנשים. אני אומר שאם אני שלחתי אימייל למיליון אנשים אז אני עשיתי מיליון הפרות, לא עשיתי הפרה אחת. העובדה שלחצתי Enter פעם אחת לא משנה את זה שעשיתי מיליון הפרות. אם העליתי אתר זה נכון שהפרתי פעם אחת גם כתוצאה מזה באו אלי מיליון.

זאת הבחנה שלדעתי קיימת ולכן בשנייה שאני אומר שעל מעשה אחד כזה אני עושה קנס קטן, גם אם אני עושה "פנייה לאדם לקבלת מידע לשם החזקתו או שימוש במאגר מידע" אז אם שלחתי את האימייל עם הפנייה ל-1,000 אנשים, אני אקבל את הקנס כפול 1,000 כי פניתי ל-1,000 אנשים, לא פניתי לאדם אחד. אם העליתי אותו באתר אז אני אהיה בבעיה כי פניתי לציבור לא מסוים של אנשים ואני לא אוכל לעשות את המכפלות. זאת הטענה שלי וחיכו שתבואי.

אני חושבת שמבחינה נורמטיבית, בדרך כלל כשמדברים על הפרה אחת מדברים על המסכת העובדתית האחת. זאת אומרת, המעשה שמהווה הפרה. אני חושבת שמבחינה נורמטיבית זה לא באמת נכון להבחין בין שני המקרים שתיארת כי גם הפנייה לרשימת תפוצה נעשית בלחיצת כפתור וגם למי שמפרסם טופס באינטרנט, יש ציפייה שייכנסו לטופס הזה מיליוני אנשים.

לא.

באמת?

לא תמיד. לא.

זאת פנייה לא מסוימת.

נכון אבל זאת פנייה אחת לא מסוימת. זאת פניה אחת לא מסוימת וזאת פניה מסוימת ל-1,000 אנשים. לגבי זה שזה נעשה בלחיצת כפתור אחת, בלחיצת כפתור אחת אפשר גם לזרוק פצצת אטום. זה שזה לחיצת כפתור לא הופך את זה למעשה - - -

גם לירות ירייה בודדת ברובה וגם לזרוק פצצת אטום זה לחיצה אחת ועדיין ברור שמי ששולח פצצת אטום במקום שגרים בו מיליון אנשים התכוון להרוג מיליון אנשים ולעומת זאת, מי שלחץ על כדור אחד וכתוצאה מזה - - - את יודעת מה? לחץ על כפתור הרבה יותר גדול בלי לשים לב וזה יצא אוטומט וירה בהרבה מאוד אנשים זה עדיין מעשה אחד אבל אם הוא שלח בלחיצת כפתור אחת הרבה מאוד יריות בודדות אז זה הרבה מאוד.

זה ההבדל בין פרסום לקהל לא מסוים לבין פנייה ל-1,000 אנשים מסוימים מאוד. אם צריך, אני מכון גם להבהיר את זה. אני חושב שפנייה מהסוג הראשון, אולי באמת תהיה תלויה בשאלת התוצאה. איזה מאגר נוצר לי כתוצאה מזה? אם פרסמתי באתר אינטרנט - - -

נכון, לכן אני חושבת - - -

אבל אם אני פניתי ל-50 אלף אנשים אז תטיל עלי 50 אלף קנסות בסכומים נמוכים.

לכן אני חשבתי שזאת שאלה נורמטיבית במובן שצריך יהיה להבהיר בנוסח החוק שאם הפנייה הייתה לא מסוימת אז מספר ההפרות ייחשב בהתאם לאנשים שבאמת שיתפו - - -

לא, הפוך.

שהזינו את פרטיהם.

שהזינו את פרטיהם.

מספר האנשים שמסרו מידע. אולי לרשום שזה בעקבות ההודעה השגויה הזאת.

ואז מי שמפרסם הודעה כזאת יודע מראש - - -

יכול להיות אבל אז אני יכול לבוא ולהגיד שאז אני עושה סכום fixed שהוא פונקציה של גודל מאגר ואני יכול להבין את זה. אני יכול להגיד שאם כתוצאה מזה שאתה פרסמת גוגל-דוקס, נוצר לך מאגר של 50 אלף אנשים אבל פרסמת אותו פעם אחת אז בסיטואציה הזאת אני מבין את גודל המאגר. במאגר קטן אתה תקבל סכום בסיסי, במאגר גדול אתה תקבל סכום בסיסי שתיים וזה בסדר גמור. אני מבין את העניין כי אתה עשית פעולה אחת. אם פנית ל-50 אלף אנשים באמצעות מייל, סמס, וואטספ או בדרך אחרת אז יהיו לך 50 אלף הפרות קטנות.

או לעוקבים שלך ברשת חברתית.

זה לא מדויק כי לעוקבים ברשת חברתית - - - אלא אם כן אתה סגור רק לעוקבים וגם עם עוקבים, לא כל העוקבים רואים ואפשר שישתפו את זה.

אפשר לשאול שאלה הבהרה בבקשה?

כן.

אני מסתכלת על סעיף (11) מול שתי הדוגמאות שאנחנו דנים בהן כאן, "פנייה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע". זאת חייבת להיות פנייה מסוימת. אני הייתי מעדיפה שסעיף (11) יהיה מנוסח אחרת ודיברנו על זה בעבר. היה עדיף שיהיה בו - - -

רוב הפניות הן לא מסוימות.

לכן סעיף (11) לא חל.

בוודאי שהוא חל. הרוב המכריע של הפניות הן לא מסוימות, זאת הודעה שאדם מפרסם במדיניות הפרטיות שלו, למשל באתר.

אני מסכימה אבל זה לא מה שכתוב בסעיף (11).

ואז זה לכל מי שנכנס לאתר. זה בוודאי לא פנייה לאדם מסוים, זאת פנייה לציבור הרחב וזה הרוב המוחלט של המצבים בסעיף (11).

נכון, זה לא משתקף בחוק וזאת בעיה.

אני אומר את זה לפרוטוקול כדי שלא ישתמע חלילה שסעיף (11) לא חל במצב הזה ואני לא חושב - - -

הוא צריך לחול וצריך לנסח אותו אחרת אבל כמו שהוא כתוב היום זה "פנייה לאדם לקבל מידע".

הוא חד-משמעית חל. סעיף (11) חל. חוקים יודעים לקבל פרשנות עם עדכונים לטכנולוגיה.

אדוני, אנחנו חושבים שהפתרון הכי אלגנטי יהיה להעביר את סעיף (11) לקבוצת ההפרות שתלויות בגודל המאגר.

טוב, יכול להיות.

זה נראה לנו גם מבחינת הפרקטיקה של יכולת ההוכחה למי בקבוצה הראשונה ומי בקבוצה השנייה, שאדוני ציין. לדעתנו זה יהיה יותר פשוט.

אני לא נכנס לוויכוח של הסיטואציה של פנייה באתר. אני נוטה לחשוב שאתה צודק אבל אני לא נכנס לוויכוח הזה כרגע. ברור לך שפנייה פרטנית לאדם היא לא תלויה בגודל המאגר. זה ברור שאם הוא פנה בדיסקליימר שלו באתר שמופנה כלפי כולי עלמא אז אני מבין את הצורך ביחס לגודל המאגר. אבל אם עשיתי פנייה פרטנית לאדם?

אפשר לקבוע שני עיצומים שונים.

אדוני, זה הנוסח שאנחנו הצענו.

לא, זה לא נכון.

אפילו הגדלנו עד 1,000 אנשים.

אבל זאת אומרת שהגדרתם את זה בגודל המאגר ואני אומר שזה לא קשור לגודל המאגר.

לא, לא.

לא, אדוני. זה לא מה שהצענו.

לא, אתם עשיתם את זה פעמיים. פעם אחת עשיתם את זה לגבי כמות ההפרות ופעם שנייה עשיתם את זה לגבי גודל העיצום הכספי, שגם הוא תלוי בגודל המאגר.

לא, אדוני. זה ספציפית לעניין סעיף 11. מה שהצענו זה שפנייה לעד 1,000 אנשים תהיה בהפרות הפרטניות ושוב פעם, ההנחה הייתה הפוכה.

אז איך מסווג פנייה באתר, היא עד 1,000 אנשים או מעל 1,000 אנשים?

השאלה היא על גודל - - -

אם אני רוצה לפרסם בעמוד הטוויטר שלי פנייה לקבלת מידע מאנשים, אני מפרסם לינק לגוגל-דוקס וככה אני אוסף מידע על אנשים. "אם אתם רוצים לספר לי על כל עוולות הרשות להגנת הפרטיות או כל רשות אחרת אז אנא כתבו לי", ככה אני אוסף מידע על אנשים ואני משתמש במידע הזה לצרכי בין אם זה כן בסדר, לא בסדר, שלחתי הודעה, לא שלחתי הודעה או ההודעה לא בסדר. האם זה נחשב שפניתי ל-1,000 אנשים או שזה נחשב שפניתי לפחות מ-1,000 אנשים? זה תלוי בכמות העוקבים שיש לי?

לא, בכמה אנשים מסרו מידע על בסיס ההודעה.

אבל האם מסירת המידע היא לפי הפנייה או לפי המסירה? אני פניתי לקהל בלתי מסוים של אנשים, לא פניתי ל-1,000 אנשים אז איך את מסווג אותי? אתה לא יכול לייצר לי עיצום כספי כשאני לא יודע למה אני חשוף?

ההפרה היא על הפנייה, היא לא על - - -.

אני פניתי פעם אחת לבן אדם אחד. יותר מזה, מה אם אני עשיתי את זה במסר אישי למישהו והוא שיתף את זה, כולל צילום מסך של ה-QR שעושה את זה?

עורך דין, ד"ר עומרי רחום טוויג מגוגל ישראל. אני חושב שבהקשר הספציפי של סעיף (11), הזכות המהותית המגולמת היא למי שמסר מידע על בסיס המידע, לא למי שלא מסר. אם הפנייה הגיעה למיליון אנשים ומתוכם רק שניים מסרו את המידע, גם אם הפנייה היא שקרית לחלוטין או לא מגלמת - - - בפועל עם המידע אז אותם 900,998 אנשים שלא מסרו מידע לא נפגעו מהפעולה.

אני לא בטוחה.

אני חושב שזאת מהות הזכות. זאת זכות נושא מידע שהופך להיות נושא מידע כשהוא מוסר את המידע.

קודם כול, לא כך מנוסח סעיף 11.

לא. מה זאת אומרת, לא ככה מנוסח?

זה פונה.

הוא מפתח את החובה בפנייה אבל האינטרס המוגן והפגיעה במקרה של הפרה של החובה, תלויה באנשים שמסרו את המידע על בסיס הפנייה.

זה נראה לי כמו ניסיון שלא הצליח אבל עדיין יש פה פגיעה.

לא, זה לא רק זה. האינטרס שלי הוא - - -

גם על עבירת ניסיון - - -

קודם כול, זאת לא עבירה.

זה לא קשור כרגע לעבירה. השאלה היא לא רק - - - אם האדם מסר מידע וקיבלתי מידע במרמה, נניח שאמרתי לך משהו ועל בסיס זה מסרת לי מידע, זאת הפרה מאוד חמורה והיא בהקשר אחר. פה הנושא הוא שההודעה לא נמסה כמו שצריך. הבעיה שלי היא שאנשים אוספים מידע בצורה מאוד רחבה, big data, ומנסים שוב ושוב. יכול להיות שהם יצליחו בניסיון העשירי אבל עצם המציאות של הטורפים שמסתובבים ומנסים לאסוף מידע בניגוד לחוק, היא המציאות שסעיף (11) בא למנוע. זה לא רק בן אדם שמסר מידע תחת - - -

אני לא חושב.

מסירת מידע תחת מידע שקרי זה כבר קבלת דבר במרמה וזו באמת עבירה פלילית.

אני לא חושב שזאת המהות של סעיף (11) ואני גם לא בטוח שזה מה שהרשות חושבת לגבי המהות של סעיף (11).

נראה לי שכן.

לירון מאוטנר, משרד המשפטים. אנחנו מסכימים עם הפרשנות של היו"ר, אנחנו לא מסתכלים רק על השאלה אם בסוף האדם מסר בפועל ולהוכיח - - -

לכן, השאלה לא צריכה להיות כמה אנשים נענו לבקשה אלא השאלה אמורה להיות לכמה אנשים פניתי ואם פניתי בפנייה לא מסוימת - - - אם פניתי באימייל לכולם זה משהו אחד אבל אם פניתי בפנייה לא מסוימת כמו באתר או ברשת חברתית אז זה מעשה אחד ובמקרה כזה, אני מוכן להניח שאם עשיתי את כדי - - -

זה לפי גודל.

או להעשיר מאגר מידע קיים שלי, שהוא כבר קיים וגדול או כדי לייצר מאגר מידע חדש ואז זה יכול להיות לפי השאלה של כמה הנבתי מהאירוע הזה כאשר נעשתה פנייה אחת אבל אם נעשתה פנייה פרטנית, בין אם זה באימייל או בדרכים אחרות אז זה לפי מספר האנשים אליהם פניתי ואז ההפרה היא פנייה. במצב כזה, מבחינתי שהקנס יהיה 50 שקלים אבל שיהיה 50 שקלים כפול מספר האנשים שפניתי אליהם ואז אם בן אדם פנה למיליון יהיה לו 50 מיליון.

את הקונסטרוקציה הזאת מאוד קשה ליישם במודל העיצומים ולכן אנחנו מבקשים שחוץ מהפנייה הפרטנית לאדם אחד – שאז באמת אפשר להכפיל – אז שההפרה הזאת תהיה תלויה בגודל המאגר.

בגודל המאגר?

כן.

כן.

או-קיי, זה לא שונה משמעותית ממה שאני אומר. אני רק אומר שמבחינתי, הפניות הפרטניות צריכות להיות בפרק א' ופנייה לציבור בלתי מסוים צריכה להיות בפרק ב'.

אז זה בעצם להבחין ביניהן בטקסט.

לייצר שתי הפרות.

כן, שתי הפרות שונות.

תכף נדבר על הגודל. בכל מקרה, בכל פרק א' אני לא מקבל את העיצום לפי גודל מאגר, צריך לייצר סכום בסיסי אחר.

אם סיימנו לגבי סעיף (11) אני אגיד בעניין הזה שבפועל - - -

שאר הסעיפים, הסירוב, ביצוע שינוי בלי להודיע, לא הודיע למבקש על סירוב לתקן מידע המצוי, לא תיקן מידע המצוי במאגר מידע שבאחזקתו, לא נענה לדרישתו של אדם בהתאם לסעיף (17)(ו) - - -

לא עברנו עליהם עדיין.

אז כדאי שנעבור עליהם.

אולי כדאי לעשות את זה בנחת.

בואו נעשה את זה ואז נדבר על גובה העיצום ועל המכפלות. אני נוטה לחשוב שדווקא בגלל שהמאפיינים פה הם מאוד פרטניים, אני הייתי רוצה סכום שיהיה קל להכפיל – אולי לייצר cap – ואז אנחנו באמת נתכתב עם מספר נושאי המידע שנפגעו ולא נייצר סכום שמלכתחילה הוא כל כך גדול ואז אין טעם להכפיל אותו וממילא, אז לא עשינו כלום.

בפועל, לא באים אלינו 100 אנשים שהופרה זכות העיון במידע - - -

לא באים אליכם 100 אבל כשאתם עושים פיקוח - - -

גם לא 20, באים אלינו נקודתית.

כשאתם עושים פיקוח, אתם נכנסים לחומר המחשב ורואים שהבן אדם שלח 50 אלף אימיילים אז אתם יודעים שהוא שלח 50 אלף אימיילים.

אבל רוב האכיפה בנושאים האלה היא על פי תלונות. כמו שאדוני אמר, אלו זכויות של אדם שנפגעות.

אבל כשמדובר בתלונה של אדם פרטני, אני נוטה לחשוב שזה יוביל אתכם להליך פיקוח ואז אתם תגלו שזה לא מקרה אחד – כמו עם שלשת הפעמים שלכם – וזה נעשה שיטתי ואז אנחנו באירוע אחר, או שהבן אדם יגיש גם תביעה אישית ויקבל 10 אלפים שקלים ללא הוכחת נזק וזה ייתן לו מענה פרטני יותר טוב ממכם.

העיצום שלנו הוא יותר משמעותי, בוודאי ביחס לחברה גדולה.

אבל הוא לא מקבל מזה שקל.

הוא לא מקבל מזה כלום.

אדוני, יש לנו תיקים על זכות עיון בחברות ביטוח. אלה גופים גדולים לכל הדעות. לא מעט אנשים פונים אלינו ומבקשים מידע מחברת הביטוח או מבנק ולא מקבלים אבל זה נקודתי. אלה יכולות להיות חמש תלונות על חמש חברות ביטוח וארבע תלונות על ארבעה בנקים.

נכון אבל אתם תעשו הליך פיקוח על חברת ביטוח ותשאלו אותה "כמה בקשות עיון הגשתם?", הם מסודרים ומתועדים אז הם יראו לכם שהם קיבלו 50 אלף פניות, 100 אלף פניות או 20 אלף פניות והם לא ענו לאף אחת מהם כי זה שיטתי אצלם ואז אתם תגידו להם "20 אלף, 1,000 שקלים לכל פניה, 20 מיליון שקלים. נעים מאוד חברים". אתם תדעו לעשות את זה וזה הרבה יותר הגיוני מאשר שאתם תבוא ותגידו "או-קיי, אז תשלמו 40 אלף שקלים".

אדוני, אני חייב להגיד שבפרקטיקה זה לא באמת עובד ככה כי היכולת להוכיח עכשיו - - -

אז יכול להיות שצריך לתקן את הפרקטיקה.

רגע, אני רוצה להגיד כי בסופו של דבר, יש נסיבות לכל בקשה לעיון. לחשוב כרגע שכשמגיעה לרשות תלונה על כך שנושא מידע מסוים לא קיבל את זכות העיון ואחר כך אנחנו נחפור לתוך אותה חברה על כל אותן בקשות ונבדוק את הנסיבות הענייניות או לא לאי-מתן או מתן של זכות עיון של אנשים אחרים זה אירוע אכיפה של - - -

אני מסכים ולכן במקרים כאלה - - -

בואו נגיד את האמת, בכלים פרקטיים אנחנו לא נגיע אליו.

אני מסכים.

לא נצליח להגיע אליו וזה לא רק אנחנו, זה גם רשויות אחרות כי זה נורא קשה.

יש כאן בעיה. אתם באים ואומרים שיש לכם קושי אכיפתי ולכן, אתם תתנו קנס מאוד גדול שלא בהכרח משקף את העוולה, ההפרה או הנזק שנגרם. באמת יכול להיות שיש כאן רק נושא מידע אחד - - -

שהתפקשש להם במייל.

שהתפקשש להם במייל. הייתה פקידה מחליפה או שהיה - - -

בסדר, בואו נתקדם. אנחנו ניהלנו את הדיון הזה.

הניסיון שלנו מראה שבמדיניות של זכות העיון היא מדיניות.

בואו נתקדם.

זה לא מקרה.

אם זו מדיניות אז יהיה יותר מהפרה אחת. אני חושש בעיקר שדווקא הקטנים יותר, יהיה להם יותר קשה להתגונן ודווקא לגדולים יותר יהיה יותר קל לבלבל ולהגיד שלא פנו בהתאם לתקנות והתוצאה תהיה חוסר מידתיות קיצונית באכיפה. לכן, אני רוצה שהפרה שהיא פרטנית אז הקנס עליה יהיה פרטני וגובה הקנס יהיה בהתאם למספר ההפרות כאשר אני אומר – ואני צריך להגדיר את זה בצורה כזאת – שאדם שלא נתן זכות עיון ל-20 אלף אנשים, יקבל 20 אלף כפול הסכום הבסיסי. אין לי בעיה.

שוב עולה השאלה - - -

איך תזהה את זה?

איך נזהה את הדבר הזה כשזה פרטני?

אחרי הפעם הראשונה שאתה תטיל עיצום כספי של 20 מיליון שקלים, אתה תקבל ממשרד האוצר את כל התקציבים שאתה צריך ואת התקנים בשביל לעשות את האכיפה כמו שצריך. גלעד, אני אומר לך את זה ברצינות.

או שאחרי עשרה מקרים ראשונים שאנחנו לא נצליח להגיע לאותם 20 אלף אנשים ואנחנו נטיל קנס מאוד קטן - - -

רק על הקטנים.

אז אנחנו רק נעודד חברות אחרות להמשיך במדיניות הזאת.

אני לא מסכים איתך. אני חושב שכאשר הבעיה היא פרטנית אז המענה צריך להיות התביעות האישיות יותר מאשר העיצומים הכספיים ואני רוצה לדחוף לשם.

אדוני, התביעות האישיות זה לשלוח - - -

בסדר. יש לי דה ז'ה וו מהוויכוח הזה. בואו נתחיל.

אדוני, כרגע כתוב "הפר אדם הוראה מהוראות לפי חוק זה" וזה צריך להיות "בעל שליטה", בסעיף קטן (ב).

הכול זה בעל שליטה?

לא בטוח. אם לא ניתנה זכות עיון, האם אנחנו צריכים שזה יהיה רק - - -

בכל מקרה זה לא "אדם".

נכון.

טוב, נתחיל.

סעיף 3 למסמך ההכנה.

עמוד 3.

עמוד 3 במסמך ההכנה. אנחנו נתחיל לקרוא בהתאם להערות שניתנו עוד קודם לדיון של הוועדה ונראה איך אנחנו מתקדמים משם.

אין כאן את הסכומים שאנחנו הצענו. אנחנו שלחנו מסמך נפרד לוועדה.

אני יודע, הוא נמצא אל מול עינינו ואנחנו עובדים מול שניהם.

מאה אחוז, תודה.

עיצום כספי
23כג.
(1) בסעיף זה –






"מידע רגיל" – מידע שאינו רגיש במיוחד

אולי נקרא לו מידע אדיש? כי הוא לא רגיש במיוחד.

אני חושב שיש עכשיו הצעה בנוסח.

לא, סתם.

כן, כבר תיקנתי את זה לפי ההצעה של הניסוח "מידע רגיש במיוחד".

מידע שאינו רגיש במיוחד.

במקרה שלנו זה מידע שאינו רגיש במיוחד.





"הסכום הבסיסי"



בואו נתחיל מסעיף קטן (ב) ונראה איך מתגלגלים עם יתר הסכומים.





"הסכום בסיסי" לעניין הפרה לפי סעיף קטן (ב)







(1)
(א) במאגר מידע שיש בו רק מידע רגיל – 5,000 שקלים חדשים;

(2) במאגר מידע שיש גם מידע רגיש במיוחד – 20,000 שקלים חדשים;

לאיזה פרק זה?

זה לפרק ההפרות - - -

לפרק הפרטני.

נכון. ההצעה של הממשלה הייתה לפי גודל המאגר ולפי בקשת הממשלה אנחנו הורדנו את האפשרות השנייה והשארנו רק - - -

רק לפי - - -

זה 5,000 או 20 אלף שקלים לפי ההפרה.

זאת לא הצעת הממשלה.

לא, הצעת הוועדה.

סליחה, כן.

אנחנו סבורים שצריך להשאיר.

בואו נעבור לסעיף קטן (ב).

בואו נראה איך זה חי. הנושא של מאגר המידע שיש בו רק מידע רגיל או מאגר המידע שיש בו רק מידע רגיש - - -

כן, אפשר לנסח את זה.

זה לא אודות המידע.

אפשר לכתוב את זה, "אודות מידע".

בואו נניח שיש מאגר עם מידע רגיש במיוחד אבל הוא ביקש לשנות את שם המשפחה שלו שהתחלף, הוא שינה את שם המשפחה שלו והוא אמר ששם המשפחה שלו לא מעודכן ומבקש שישנו אותו. הוא לא ביקש את שינוי המידע הרגיש במיוחד, הוא ביקש את שינוי המידע שלא רגיש במאגר.

בסדר גמור, בלי המאגר.

השאלה היא על פרט המידע, זה לא שאלה של מאגר.

או-קיי.

אם הוא פנה ואמר "אל תכתוב עלי שאני ימני כי אני לא ימני, אני שמאלני" אז זה עניין של דעה פוליטית וזה רגיש במיוחד וזאת בקשה שמצדיקה את השינוי הזה אבל אם הוא אמר "הכול נכון, אלו באמת עמדותיי הפוליטיות וזה המחלות שיש לי אבל טעית בשם שלי" אז זה לא מידע רגיש.

יש כל מיני מקרים יותר קשים כמו דיוור ישיר.

בואו נתחיל לקרוא את (ב) ונראה איך זה מתכתב.

או-קיי, תכף נראה. נעבור פרט, פרט אבל צריך לעשות לזה fine tuning.

אני מדלגת לסעיף קטן (ב) בעמוד 4.

צריך לדבר על גובה הסכום כי אם אנחנו הולכים לעולם של מכפלות אז צריך להתייחס לזה.

עוד שנייה נדבר על "בעל שליטה".





(ב) הפר אדם הוראה מהוראות לפי חוק זה בקשר למאגר מידע, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בשיעור הסכום הבסיסי:






(1) פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף 11



האם אנחנו רוצים גם את הסיפה?

בעייני, סעיף (1) צריך להיות לפי פנייה לאדם ולהחריג ממנו את הבלתי מסוים ואז הפנייה לציבור בלתי מסוים באמת תהיה בפרק אחר.

אולי "פנה לאדם באופן ישיר"?

פנייה ישירה לאדם? איזה מינוח - - -

ישיר זה תמיד, אולי פרטני.

תכף נעבוד על הניסוח אבל בואו נסכים על המהות.

כן, בואו נעבור על הניסוח בנפרד.

תכף נדבר על המהות. הרעיון שלי פה הוא שבאמת מדובר ב-head hunting. פניתי ממוקד לאדם מסוים – שוב, או במייל רחב אבל זה עדיין ממוקד – ולא מסרתי לו הודעה כנדרש בסעיף (11) ואז ממילא, אני לא רוצה גם את הסיומת "ההפרה נעשתה ביחס למספר בני אדם שאינו עולה על 1,000" כי הפנייה היא פרטנית.

הציפייה שלי היא שנייצר פה מנגנון שאומר שאם פנית ל-50 אלף אנשים אז הסכום הבסיסי שאתה יכול לתת פה הוא עד פי 50 אלף. ברמת הפרט, פנית להרבה מאוד אנשים, לא נתת להם הודעה כנדרש אז אתה תהיה חשוף לקנס בהתאם למספר האנשים אליהם פנית במכפלה. יכול להיות שצריך לייצר cap, יכול להיות שצריך cap לפי גודל עסק אבל בגדול, במכפלות.

אני מציע שאנחנו נעביר נוסח בעניין הזה כי זה מאוד חשוב אז יצטרכו לדייק את זה.

או-קיי אבל בואו נדבר על המהות לפני הנוסח.

יש לי רק שאלה טכנית. אני מבין את המהות ואני מבין את ההבדל בין פנייה של head hunting לבין פנייה רו7חבית אבל ניקח לדוגמה, חברת ביטוח שיש לה סל מבוטחים שכבר נתנו להם פנייה ועכשיו החברה החליטה שהיא צריכה עוד מידע על המבוטחים אז היא פונה בפנייה אחת במייל.

לכלל המבוטחים שלה.

לכלל המבוטחים שלה. זה head hunting?

כן. לא, זו פנייה פרטנית להרבה מאוד אנשים. זה המודל שיש לי בראש, כן.

במה זה שונה מבאנר שיקפוץ באתר האינטרנט שלה שאומר - - -

כי באנר זה לא לרמה מסוימת וזאת פנייה פרטנית להרבה מאוד אנשים. קיבלתי אלי פנייה שעומדת בניגוד לחוק ולפני שאתה שולח פנייה להרבה מאוד אנשים ממוקדים ומפולחים אז תוודא שאתה עומד בתנאי החוק.

אדוני, אתה מחפש הפרה שיטתית וזאת לא הפרה שיטתית.

לא, על הפרה שיטתית יהיה כפל קנס או דברים כאלה.

כן אבל אם אני חנות מכולת ואני שולח ל-100 הלקוחות שלי את ההודעה הזאת במייל זה לא שהפרתי את הדין 100 פעמים.

זה כן.

לא, זה לא , כי הרציונל הוא אותו רציונל הרי, היסוד הנפשי שלי הוא אותו דבר.

אבל אנחנו לא בעולם של יסוד נפשי.

נכון.

אני חושב שמה שמעוות לנו קצת את התמונה זה גובה הקנס. זאת אומרת, קשה מאוד להגיד שאם אנחנו נמצאים על מאגר מידע רגיש במיוחד – ביטוח זה מאגר מידע רגיש במיוחד – אז תעשה 20 אלף כפול מיליון והגעת לסכומי עתק שהם כמעט לא רלוונטיים לשום דבר. זה נכון ואני רוצה שאחר כך נפתח סבב לעניין הגובה.

אני הייתי חושב שכאשר אנחנו עוסקים בעולם הפניות הפרטניות, יכול להיות שצריך לקבוע איזשהו סכום מינימום כדי שהם לא יתעסקו עם עיצום כספי של 50 שקלים אבל בגדול, הייתי אומר כן, אפילו ברמה של 50 או 100 שקלים לפנייה ואז אתה מייצר מצב שאם פנית למיליון אנשים אז יהיה לך 50 מיליון.

יכול להיות שצריך להגיד "אולם, לא פחות מ-1,000" או לא פחות מ-2,000 כדי שבאמת לא יהיה מצב שאם שלחת ל-100 אנשים אז לא הגעת לכלום אבל על פניו, זה נראה לי מאוד הגיוני שאם פנית למיליון אנשים לקבלת מידע וניסית את מזלך כדי לקבל מידע שאסור לך לקבל אז תהיה חשוף לקנס מאוד גבוה.

אתה גם הפעלת שיקול דעת, יכולת לבחור לשלוח את הפנייה רק ל-10,000 לקוחות והחלטת ל-100 אלף.

סעיף (11) לא עוסק בשאלה אם אסור לך או מותר לך לקבל אותו, הוא מכריע - - -

נכון אבל עשית - - -

אסור לך לקבל אותו.

אסור לך כי אתה לא מסרת הודעה כנדרש. אני חי עם זה ואנחנו תכף נדבר על גובה הסכומים, המכפלות, מינימום, cap למעלה ו-cap למטה, מה שאני חושב שיכול להרגיע הרבה מאוד מהחששות אבל קודם כול נדבר על המהות. בעייני, המהות היא נכונה.

גם אצלנו זה חשוב.

גם אצלכם גובה הסכום הוא חשוב. כן, שקל. אתם רוצים לדבר על זה עכשיו?

לא, בואו נדבר על המהות.

המהות ברורה מבחינתי. פה אני חושב שצריך לייצר cap למטה ואולי cap לפי גודל עסקים למעלה או במסגרת תקנות ההפחתה.

אדוני, אני מציע שאם מדברים על המהות אז נסיים עם המהות ואחרי זה נלך לתקנות ההפחתה שגם שם זה מהות.

נכון. יאללה, בואו נתקדם.

כדי שנראה את כל התמונה המלאה ולא נמצא את עצמנו במצב שבו אנחנו מורידים - - -

בסדר, פה המהות היא פנייה פרטנית כניסוחה שנוסח ושם זה לא תלות בגודל המאגר אבל זה כן תלוי בשאלה אם ביקשת לקבל מידע רגיש או מידע לא רגיש. כלומר, רגיש במיוחד או לא רגיש במיוחד אבל לא בגודל המאגר.

(2) סירב לאפשר לאדם שמידע עליו מוחזק במאגר מידע לעיין במידע שעליו, בניגוד להוראות לפי סעיף 13;

(3) ביצע שינוי במידע שברשותו בלי שהודיע עליו לכל מי שקיבל את המידע, בניגוד להוראות לפי סעיף 14(ב);

(4) לא הודיע למבקש על סירוב לתקן מידע המצוי במאגר מידע שבבעלותו או למוחקו, בניגוד להוראות לפי סעיף 14(ג);

(5) לא תיקן מידע המצוי במאגר מידע שבהחזקתו, בניגוד להוראות סעיף 14(ד);

(6) לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ב), שמידע המתייחס אליו יימחק ממאגר מידע המשמש לדיוור ישיר, בניגוד להוראות סעיף 17ו(ד);

(7) לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ג), כי מידע המתייחס אליו, לא יימסר לאדם, לסוג בני אדם או לבני אדם מסוימים, בניגוד להוראות סעיף 17ו(ד).

לגבי (6) ו-(7) אני כן חושב שסוג מאגר המידע הוא רלוונטי, לגבי השאר רק המידע משנה ולא סוג המאגר. זאת אומרת, לגבי (6) ו-(7) אם זה מאגר דיוור ישיר שהמאגר עצמו רגיש במיוחד כמו כלל האנשים שיש להם סרטן מסוג מסוים ואני שולח אליו מידע ובן אדם מבקש להימחק מזה למרות שבקשת המחיקה היא לא מידע רגיש בפני עצמה. אני לא רוצה להיות רשום כחלק ממאגר הדיוור הזה או על דעות פוליטיות אז אני יכול להבין ששם סוג מאגר המידע הוא רלוונטי אבל בשאר הדברים זה עניין של המידע עצמו.

קודם כול, אפשר לעשות הבחנה לזה בטקסט אבל גם בסוגים האחרים, אם אתה מבקש לעיין בפריט שלא רגיש במאגר ששאר המידע רגיש בו ולתקן אז קשה להבחין כי גם הפריט שלכאורה לא רגיש כשלעצמו, משפיע.

הרי, פונים אליך רופאים או שמסיקים מסקנה עליך ממכלול פרטי המידע או שדות המידע במאגר. לכן, ההבחנה הזאת היא מלאכותית משהו ואי-אפשר לעשות את ההבחנה הזאת

אני לא חושב כי אני מסתכל על מידת הפגיעה שנוצרת כאשר מוחזר עליך מידע לא נכון רגיש או מידע לא נכון לא רגיש.

אדוני, אז למה זה לא רלוונטי – סתם לדוגמה – לסעיף קטן (5)? אני לא מצליח - - -

לא, מידע זה מידע רגיש. "לא תיקן מידע" זה שונה אם המידע שלא תיקנת הוא רגיש או לא רגיש אבל השאלה היא לא מה אתה עוד מחזיק במאגר. ב-(5) השאלה הרלוונטית היא איזה מידע ביקשת לתקן או איזה מידע היית צריך לתקן וב-(6) או ב-(7) מעניין אותי המאגר כמכלול כי אנחנו במאגר הדיוור הישיר של האנשים עם המוגבלות הזאת, לצורך העניין.

צריך שבטקסט זה יהיה - - -

צריך לתת לזה מענה בטקסט.

זה מקובל, רק מה שאדוני אמר על (6) ו-(7) צריך להופיע בטקסט.

כן. נעמה, את איתנו?

כן.

ב-(6) וב-(7) זה יהיה עם פונקציה של המאגר, בשאר הסעיפים זה יהיה פונקציה של המידע המתבקש עצמו.

כן.

אם ביקשתי מידע לא רגיש במסגרת הטופס של 11 - - - של (1) אז הדרגה של לא רגיש תחול עלי, אם ביקשתי מידע רגיש אז - - -

רק אגיד לפרוטוקול שזה ביחס לסוג המידע שלגביו נעשתה ההפרה, לזה אדוני מכוון?

כן.

נעמה, לפני שעוברים הלאה יש את ההערה של חברי לגבי "בעל שליטה", שזה לא יהיה "כל אדם", זה התקבל? אנחנו לא בטוחים?

בואו נעשה הפוך, האם הרשות חושבת שבאחד מהסעיפים הקטנים שהקראנו עכשיו - - -

זה חל לא רק על בעל שליטה.

זה חל לא רק על בעל שליטה?

בעל שליטה או מחזיק.

למה? מתי זה יחול על מחזיק? באיזה תרחיש זה יחול על מחזיק? אני אשאל אחרת, באיזה תרחיש אנחנו חושבים שזה צריך לחול?

בכל המצבים שבהם החוק מטיל את החובה על מחזיק, בוודאי. איפה שהחוק מטיל את החובה על מחזיק והחובה הופרה אז בוודאי שאפשר - - -

לא, אבל אז זה לא אדם.

אפשר להטיל את העיצום הכספי גם על מחזיק. אני מזכיר שגם בתקנות אבטחת מידע כל החובות חלות על מחזיקים ולאורך כל הטבלה יש לנו מחזיקים.

אבטחת מידע זה לא הפרטני, דווקא השוק. אנחנו בפרטני כרגע ולהפך, בפרטני אני רוצה למקד את האירוע. אני לא רוצה להרחיב את האירוע בפרטני.

למשל בסעיף קטן (5), "לא תיקן מידע המצוי במאגר מידע שבהחזקתו" זה סעיף שמכוון ממש למחזיק, בניגוד להוראת סעיף 14(ד) זה מצב שבו בעל השליטה הורה לו לתקן והוא לא תיקן.

או-קיי.

להבדיל.

אז (5) חל על מחזיק.

גם לגבי זכות טיעון.

לא, בזכות טיעון אני רוצה אבא אחד. יש לי אינטרס לאבא אחד.

בסוף אנחנו הולכים לפי החובות המהותיות - - -

זה לא צריך להיות שהמחזיק ייתן את המידע.

אני לא רוצה שמחזיק ייתן זכויות מידע.

אני רק מציע שלא נעשה פה תיקונים עקיפים של הסעיפים, לא תיקונים עקיפים אבל בסוף, יש את ההוראות הנורמטיביות בחוק. אפשר להטיל עיצום רק על מי שיכול להפר אותם, נכון? רק הוא מפר. יש הוראות ספציפיות - - -

שנייה. לא נתתי לך עיצום על כל הוראות החוק.

בסדר, רק ההוראות שכתובות פה.

אני מסכים אבל אומר שוב, אני לא מתקן את ההוראות הנורמטיביות, מה שחל בנורמטיבי חל בנורמטיבי. אני דן בשאלה איפה אני נותן את כלי האכיפה של עיצום כספי. ב-(5) שכנעתם וזה בסדר גמור, (5) צריך מחזיק אבל השאלה היא האם אני רוצה בשאר הסעיפים - - - החשיפה לעיצום כספי היא דבר - - -

אדוני, יש היום קנס מנהלי על ההוראות האלה, זה לא שאנחנו נמצאים באיזושהי סיטואציה - - -

אז תמשיכו עם זה.

לא, אני שוב אומר, זה לא כלי - - - אנחנו לא באים לשנות את - - -

הבנתי. בסדר, מה שלא חל על מחזיק, לא חל על מחזיק ומה שיחול על מחזיק חל על מחזיק.

אבל יש כאן דברים שהם לא ברורים.

עכשיו אני הופך את השאלה אלייך, מאיזה תרחיש את חוששת?

סעיף קטן (1) בראש ובראשונה. הפנייה לאדם לקבלת מידע רק עם הודעה לפי סעיף (11) וזה לא ברור בסעיף (11) שזו צריכה להיות החובה של בעל השליטה במאגר מבחינה מהותית. זה צריך להיות מבחינת איך שזה בחו"ל, ב-GDPR ה-controller אחראי לזה.

לא, איה. כתוב כנדרש בסעיף (11).

אבל בסעיף (11) כתוב "פנה אדם".

בדיוק.

אז זה לא פותר את הבעיה.

לא הבנתי.

העיצום לא אמור לחול על אדם, נכון?

נכון.

רק על בעל שליטה, אני מסכימה שצריך לתקן.

בעל שליטה או מחזיק.

נכון, צריך שהנוסח ישקף את זה.

ב-(ב) יהיה כתוב "הפר בעל שליטה או מחזיק הוראה מהוראות לפי חוק זה בקשר למאגר מידע, רשאי ראש הרשות".

כן, זה בסדר.

בקשר לפרט.

כן, דיברנו על זה בקשר למידע או למאגר מידע.

אבל זה לא פותר סעיפים בחוק שמדברים על אדם אבל מתכוונים לבעל שליטה.

אבל מפנים ממילא לסעיפים בחוק.

אבל זה לא משנה, העיצום הכספי מוגדר למחזיק או לבעל שליטה.

כן אבל סעיף המקור לא מבחין ביניהם.

נכון.

סעיף (11) למשל.

טוב מאוד, מה הבעיה? למה זה מפריע לי?

איך מחזיק יכול להפר אותו?

אם הוא לא מפר אז הוא לא מפר והוא לא יחטוף את הקנס. אני לא מבין מה אתה רוצה?

אנחנו לא רוצים בהמשך בחירה - - -

אבל זה לא הדיון שאנחנו נמצאים בו.

לא הבנתי, אם הוא לא מפר אותו - - -

אדוני, אני לא מצליח להבין מה הדיון.

אני גם לא מבין. אם הוא לא מפר אז הוא לא מפר.

אנחנו לא בסעיף (11) ולא בסעיף (10).

אני לא מבין מה אתה רוצה.

הסכמנו לשנות ברישה - - -

החובה לא אמורה - - -

חברים, תודה רבה. עיצום כספי קם כאשר יש הפרה של הסעיף. אם מחזיק לא יכול להפר את סעיף (11) אז אי-אפשר יהיה להטיל עליו עיצום כספי.

הוא יכול לפנות ישירות לבעל שליטה.

נו, די.

אבל האחריות צריכה להיות - - -

אנחנו לא דנים כרגע בסעיף (11). זה הכול.

דווקא כן, אין ברירה.

לא נכון. אם המחזיק עשה את הפנייה לקבלת מידע לשם החזקתו ולא מסר את ההודעה כנדרש אז יכול להיות שהאחריות תחול גם על המחזיק כי הוא עשה את הפנייה.

אבל אם הוא לא?

אם המחזיק עשה את הפנייה, אם המחזיק לא עשה את הפנייה אז מה אתם רוצים? אם המחזיק עשה את הפנייה אז זה כן צריך לחול עליו, נכון?

לא.

לא? לא צריך לחול עליו? הוא יפנה לאדם לקבל מידע ולא תחול עליו האחריות.

אדוני - - - בעל השליטה שמטעמו הוא פעל.

אנחנו צריכים להניח שאם מחזיק עשה את הפנייה, הוא עושה אותה על פי ההנחיות של בעל השליטה. זה כל הרעיון של מחזיק.

כל השיח בכלל לא - - -

בסדר, הכול ברור.

לא, אדוני. זה לא ברור ואנחנו מטילים פה עיצום על גופים שלא יודעים אם החובה חלה עליהם או לא.

אדוני, זה שיח שהמטרה שלו היא לקחת אחר כך דבר הסבר - - -

לא, לא. גלעד.

ופרוטוקולים. זה לא מקובל.

גלעד, הכול ברור.

אדוני, יש פה עיצום שמוטל על גופים שלא יודעים אם הסעיף חל עליהם או לא.

ענר, אם הגופים לא יודעים אז יצרנו להם את הכלי של חוות דעת מקדמית. חברים, אני חייב לומר שאני מקבל המון הערות אבל הנושא הזה הוא מאוד פשוט. יש פה איסור לפנות לאדם לקבל מידע לשם החזקתו או להשתמש בו למאגר מידע בלי למסור הודעה כנדרש בסעיף 11?

כן.

אדם ביצע את זה. אם הוא ביצע את זה והוא מחזיק או בעל שליטה אז זה יחול עליו ואם הוא לא ביצע את זה אז זה לא יחול עליו. עכשיו אתם אומרים לי שזה לא יכול להתבצע על ידי מחזיק במקרה הפרטני?

לא, זה לא מה שאנחנו אומרים.

אתם אומרים לי שזה לא אמור? אז זה תיקון סעיף (11).

לא, זה לא מה שאנחנו אומרים.

אם זה מתבצע על ידי המחזיק אז משמע שבעל השליטה הורה לו בדיוק מה לומר.

סליחה. אני קורה את סעיף (11) וכתוב בו "פנייה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה". מי שמבצע את הפנייה, יהיה אשר יהיה מעמדו, תפקידו או חייו, מחויב בסעיף (11). את העיצום הכספי - - -

הוא שלוח של בעל השליטה.

מי שמבצע את הפנייה. כאשר את מבצע את הפנייה, חובתך לוודא שאתה עומד בהוראות סעיף (11). לא מעניין אותי - - -

מי אחראי על זה שהמטרות שכתובות בהודעה נכונות?

סליחה. מי שמבצע את הפנייה, חלות עליו החובות לפי סעיף (11). אני והרשות – יותר נכון, הרשות ואני כי אני יותר מנומס – מחילים את העיצום הכספי רק על מחזיק או בעל השליטה. האם יכול להיות שפנייה לפי סעיף (11) תתבצע על ידי מישהו שאיננו מחזיק או בעל שליטה? כן. האם הוא יפר את הוראות סעיף (11) אם הוא יעשה את הפנייה הזאת? כן. האם נטיל עליו עיצום כספי? לא. למה? כי העיצום הכספי מצומצם למחזיק או בעל שליטה שיבצע את הדבר הזה.

אם המחזיק יפנה בניגוד לסעיף (11) אז הוא יהיה חשוף, אם בעל השליטה יפנה בניגוד לסעיף (11) אז הוא יהיה חשוף, אם מישהו אחר שהוא לא מחזיק ולא בעל השליטה יעשה את הפנייה אז הוא לא יהיה חשוף לעיצום כספי.

מה זה יהיה שהוא לא מחזיק ולא בעל שליטה? איזה קבוצה שלישית יש? אין.

זה לא צריך להיות על המחזיק, עזבי את הקבוצה השלישית.

לא אבל אין קבוצה שלישית.

אנחנו לא דנים בזה כרגע.

אם אין זה מצוין, זאת קבוצה ריקה. נפלא.

אבל השארנו פה בעיה שהיא במהות.

נכון, יכול להיות שיש בסעיף (11) בעיה מהותית אבל אני לא מתקן אותו עכשיו.

נכון, אנחנו לא מתקנים עכשיו כל דבר ועניין. אפשר להציע הצעות חוק נוספות.

אם אתם רוצים ללכת אחרי זה על צמידות מטרה והמטרה יכולה להיות בא לידי מחזיק - - -

רבותי, בואו נתקדם.

האם הוועדה רוצה לדון בסכום עכשיו?

לא, לא. אני מקבל את ההצעה שאנחנו נדון בו אחר כך, אחרי שנראה את ההפחתות והכול. נעשה את החשיבה על הסכומים בצורה מסודרת מלמעלה.

בסדר גמור. אם כך נעבור ל-(ג).

ל-(ג). וב-(ג) הסכום הבסיסי יהיה שונה, ככול הנראה.

נכון.

כי הוא כן יהיה תלוי בגובה המאגר.

נכון.

המכפלות. או הסכום הבסיסי או המכפלות, זה תלוי. אנחנו הצענו סכום - - -

זה יהיה תלוי במשהו אחר. בסעיף (א) זה הוכרע מבחינתי – תכף נדבר על גובה הסכומים כי זאת שאלה אחרת – שהסכומים של העיצומים הכספיים בסעיף (ב) לא יהיו תלויים בגודל המאגר, נקודה, סוף פסוק. הם יהיו לפי נושאי מידע, לא בסכום הבסיסי ולא בשום דרך אחרת. כל סעיף (ב) יהיה לפי נושאי מידע.

לגבי מכפלות, סכומים, הפחותות ו- cap אנחנו נדבר אבל הסכום הבסיסי של סעיף (ב) הוא סכום בסיסי fixed לפי נושאי מידע וההבדל שלו הוא רק בשאלת רגישות המידע. יהיה סכום בסיסי (א) וסכום בסיסי (ב) לפי מידע רגיש או מאגר מידע רגיש אבל לא יהיה לפי גודל מאגר. עכשיו אנחנו עוברים ל-(ג).

ביחס להפרות שב-(ג) הצעת הממשלה, ככול שאני מבינה אותה, היא לעשות מדרגות לפי גודל המאגר והן עד 100 אלף, 100 אלף עד 500 אלף, 500 אלף עד מיליון ומעל.

ומעל מיליון.

ומעל מיליון.

כן, כפי שהצגנו במצגת.

בסדר. אפשרות נוספת שהייתה יכולה להיות על השולחן הייתה ללכת לפי גובה המחזור כפי שנעשה ב-GDPR. אני חושבת שהאפשרות השלישית מתייחסת במובן מסוים לחשש שהעלתה הרשות שהיא תצטרך להתחיל לבדוק לגבי כל אחד את המחזור ואת הציציות שלו כדי לדעת כמה בדיוק היא יכולה לתת לו מבחינת סכומי עיצום הכספי. אני מציעה לעשות את זה לפי גדול העסק.

כבר יש לנו בחוק חובת מכרזים הגדרות ברורות לגודל עסק זעיר, עסק קטן, עסק בינוני ומן הסתם גם עסק גדול. אפשר לחשוב גם על חוקים אחרים להפנות אליהם אם יש הגדרה שהרשות חושבת שהיא טובה יותר אבל הרעיון שעומד מאחורי הדבר הזה הוא בהתייחסות לעמדה שהציגה הוועדה שאין בהכרח קשר ישיר בין גודל העסק לגודל המאגר.

אני מזכירה שסכומי העיצום הכספי אמורים להתייחס להחזרה לציות. ככול שאתה יותר גדול מבחינה פיננסית, אתה תצטרך - - -

לא מבחינת גודל המאגר.

כן, לא מבחינת גודל המאגר.

זאת אומרת, הרציונל של החזרה לציות - - -

זה גם לפי מחזור עסקאות, אני לא כל כך מבין. ההגדרות בחוק חובות מכרזים היא לפי מחזור עסקאות אז אני לא בטוח שהבנתי את ההבדל בין זה לבין האופציה הראשונה.

ההבדל הוא שאתה לא צריך לבדוק את המחזור העסקי הספציפי של אותה חברה.

אלא איך הוא מוגדר.

אתה רק צריך לדעת האם היא נמצאת ברובריקה אחת, שתיים, שלוש או ארבע.

זה אומר לקרוא דוחות חשבונאים.

לא, לא נכון.

לא, ממש לא.

קודם דובר על אחוז מגובה המחזור. כשמדובר על קנס שהוא אחוז מגובה המחזור, כמו ב-GDPR, אז אתה צריך לקחת דו"ח רואה חשבון, גובה מחזור, כזה וכזה, אחוז כזה, שלוש אחוז כזה וזה פרטני. לדעת באיזה רובריקה אתה זה הרבה יותר פשוט וזה לא גובה הקנס בהתאם לגובה המחזור.

גם יותר מזה - - -

אבל יש לי הצעה.

שנייה, אומר עוד דבר אחד. יותר מזה, כשאתה תשלח לו את הכוונה על עיצום כספי אתה תגיד לו.

תגיד לו לסמן בווי איפה הוא.

תגיד לו "אני מגדיר אותך כעסק בינוני" אם זה לא נכון אז חלק מהטיעונים שלו לעניין העיצום הכספי יהיה להביא לך את הדוחות ולהראות לך שהוא בעצם עסק קטן.

כן, זה לא גובה הקנס כנגזרת של גובה מחזור.

נטל ההוכחה הוא על הרשות, הוא לא על הגוף.

לא, לא נכון.

זה לא עניין של נטל. לא נכון, לא במנהלי אבל זה לא משנה.

מה הבעיה שהנטל על הרשות? אתם רוצים את העיצומים.

יש לי הצעה, בואו נעבור - - -

אנחנו רוצים לייעל את הרשות.

אבל הרשות לא תהיה יעילה אם היא אומרת על כל דבר שהיא לא יכולה לעשות אותו.

חברים, שנייה. יש לי הצעה. קודם כול נעבור על ההפרות ונראה האם הן מתאימות. מה הרציונל לגודל מאגר והאם הוא קיים. אני מסכים שיש הפרות שלהן גודל המאגר הוא רלוונטי. צריך לדבר על זה אבל במה שגודל המאגר הוא לא כל הרציונל אלא השבה לציות אז צריך לתת לזה מענה. יכול להיות שהמענה יהיה תקנות הפחתה. יכול להיות שהמענה יהיה גובה. יכול להיות שזה יהיה לפי גודל העוסק. יכולים להיות כל מיני מענים אבל בואו נדבר קודם על ההפרות לגופן.

זה מה שהצענו, אדוני.

יכולות גם להיות נסיבות מחמירות למספר הנפגעים, זה גם יכול להיות.

נכון.

בסדר, התחלנו לדבר על המהות קודם.

בואו נדבר על המהות ואחר כך על הסכומים והחלוקות.

(3) הפר אדם



זה גם יהיה "בעל שליטה" ועוד מעט תתייחסו לזה.

עכשיו אנחנו ב-"בעל שליטה או מחזיק" שוב. כן, "הפר בעל שליטה או מחזיק".

כן.




הוראה בקשר למאגר מידע, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי בשיעור הסכום המנוי בפסקה (א)(2):


נחזור לסכום אחר כך.





(1) בעל שליטה במאגר מידע או מחזיק שהפר הוראה של ראש הרשות להפסיק הפרה בשל עיבוד מידע אישי שנוצר, התקבל, נצבר או נאסף, בניגוד להוראות סעיף 8(א1);

מבחינת הנוסח, פה צריכה להיות אחר כך הפנייה לסעיף - - -

להוראות סעיף 8(א1), לא?

לא. לסעיף שיסמיך. כרגע הצענו נוסח לוועדה. יהיה פה איזשהו סעיף שבו מסמיכים את ראש הרשות להודיע על הפסקת ההפרה.

מסמיכים את ראש הרשות לתת את אותה התראה.

להורות על הפסקת ההפרה.

עוד אין לנו את הסעיף הזה?

העברנו הצעת נוסח לוועדה אבל זה היה ממש במסוך לדיון.

טוב.

אני יכול להקריא הצעה.

פה לכאורה, באמת יש פונקציה של גודל המאגר. גודל המאגר שלגביו מופרת הוראה זה אמור להיות רלוונטי במשהו אבל לצד הפונקציה הזאת אני חושב שהמשקל הכבד ביותר הוא שאלת ההפרה היעילה.

כלומר, אם יש לי מאגר מידע שהחזקתו מייצרת לי הכנסה של 3 מיליון שקלים בחודש כי אני מאגר פרסום של משהו והמאגר הזה הוא מאוד גדול או מאוד קטן – לא משנה מה גודלו אבל הוא מייצר לי הכנסה בשיעור ניכר – ואתה אומר לי למחוק אותו או שיהיה לי עיצום כספי, זה לא יעניין אותי.

בעולם טהור, ההכנסה מופקת מהמאגר, אם אני לא יודע לעשות את זה אז גודל העסק כפרוקסי. זה פי אלף יותר רלוונטי לי מאשר גודל המאגר.

אדוני, זה היקף ההפרה. אתה אוסף מידע שלא כדין אז השאלה היא כמה מידע אספת ועיבדת שלא כדין. בעייני, זה דווקא מאוד טריוויאלי כי זאת ההפרה.

לכן המשפט הראשון שלי היה שאתה צודק, המשפט השני שלי היה שאתה טועה. לא, סתם. המשפט הראשון שלי היה שאתה הראשון שלי היה שאתה צודק והמשפט השני שלי היה שאתה לא צודק מספיק. זאת אומרת, בוודאי זה צריך להיות פונקציה שהסכום הבסיסי שלה תלוי בגודל המאגר אבל הוא לא יכול להיות תלוי רק בגודל המאגר.

את ההפרה עשית לגבי מספר נושאי המידע שבמאגר וזה בסדר גמור בהחלט, זה השלב הראשון. השלב השני הוא שאם אתה עסק גדול והעיצום הכספי שלך הוא נמוך מידי ואם אתה עסק קטן אז אני עושה ל הרתעת יתר.

הרתעת יתר פחות מטרידה אותי בהקשר הזה כי אני באמת רוצה שעסק קטן שמחזיק את הדבר הזה ימחק אותו כמה שיותר מהר ואם זה יגרום לו להתחסל אז מצוין.

וזה גם עיצום דו-שלבי, אדוני.

זה עיצום דו-שלבי, נכון.

ויש גם תקנות הפחתה.

יש תקנות הפחתה.

אולי צריך תקנות הגדלה.

או-קיי, בסדר.

כמה טענות אפשר לטעון בשלב הראשון של העיצום הדו-שלבי.

יש פה אלמנט אחד. אין פה אלמנט של נושאי מידע ספציפיים מלבד הנושא הסטטיסטי. זה בוודאי לא מתאים לפרטני, זה נכון שזה כן מתאים לגודל מאגר אבל רק גודל מאגר זה לא מספיק. בואו נתקדם.

(2) בעל שליטה במאגר מידע או מחזיק ש עיבד מידע אישי במאגר מידע, שלא בהתאם למטרה שנקבעה לו, ובלבד שניתן היה לקבוע כדין מטרה כאמור, בניגוד להוראות סעיף 8(ב);



זה אותו עניין רישומי, כפי שאתה קראת לו בזמנו.

זאת הפרה - - -

הפרה של עקרון צמידות המטרה, סעיף 8(ב) בנסיבה הקלה יחסית שבה השימוש הוא בניגוד למטרה אבל היה ניתן לקבוע מטרה אחרת כדין.

זאת בעצם הפרת רישום.

כן, בהתאם לבקשתו של אדוני הפרדנו בין ההפרה הזאת להפרות יותר חמורות בהמשך.

אני מסכים. אני מסכים אבל אני רק תוהה לעצמי אם בהפרת רישום גודל המאגר הוא שיקול רלוונטי.

בדיון הקודם אדוני סבר שכן וגם לגבי אי-רישום מאגר.

שנייה. בדיון הקודם אני אמרתי שזה לא פרטני, אני לא בטוח שהגעתי ישר למסקנה שזה תלוי בגודל המאגר. אמרתי שזה לא עניין של נושא מידע פרטני אז בוודאי שזה לא מתאים לחלק ג', השאלה היא אם זה מתאים לחלק ג'.

אנחנו חושבים שמהותית, זה יותר קרוב לזה שאין לך נוהל אבטחת מידע, למשל.

אני אומר שפה למשל, זה טהור לפי גודל עסק. פה זה באמת טהור לפי גודל עסק, זה בכלל לא מעניין אותי מה גודל המאגר. הייתי יכול לשנות את הגדרת המאגר, מה יש לי פה? יש לי פה התרשלות בניהול הספרים שלי ולהתרשלות בניהול הספרים שלי, פונקציית ההפרה היעילה והפונקציה הרלוונטית היא השאלה כמה כסך היה עולה לי לקחת את יועץ הפרטיות הנכון ולכן, גודל העסק הוא הדבר הרלוונטי וגודל המאגר פחות. אני לא אומר שהוא לא רלוונטי בכלל אבל זה לא כובד המשקל.

הוא רלוונטי. זאת לא רק התרשלות שהיא בעלת השלכה פנים עסקית, יש לזה גם השלכה על יכולתנו לעשות רגולציה וגם על ניהול תקין. חלק מניהול תקין זה לתעד בדיוק מה אתה - - -

נכון אבל אין קשר לשאלה אם יש לי 50 אלף אנשים או 100 אלף אנשים במאגר.

אתה יוצר סיכון יותר גבוה אם אתה מתנהל בצורה - - -

אבל כל הטענה היא שהייתי יכול לקבוע את המאגר הזה כדין אז אני לא יוצר סיכון יותר גבוה.

לא, לא.

אני הפרתי את הוראת הרישום. אני מסכים שאם זה היה בעולם התקנות היינו אומרים רמת אבטחה בסיסית או גבוהה, זה יותר שם. גם שם יצרנו את המנגנונים האלה כי זה לא באמת תלוי בגודל המאגר או רק בגודל המאגר ולמעשה, גודל המאגר הוא אחד השיקולים הכי פחות רלוונטיים להפרה.

זה יוצר סיכון למאגר יותר גדול ולכן יוצר סיכון יותר גדול לפרטיות, לא רק להבטחת - - -

או-קיי, לא שוכנעתי. כן?

בהמשך למה שאדוני אמר עכשיו, כמו שאני קוראת את הסעיף המבלבל מאוד הזה – אם לא היינו יושבים פה בשלושה דיונים ועם הפרוטוקולים מול העיניים אז היה קשה להבין אותו – אם כוונתו היא שבעל השליטה במאגר לא עדכן את המטרה במסמך הגדרות מאגר אז יש לנו כבר את העיצום הזה על תקנות אבטחת מידע, נכון?

כן.

אנחנו לא צריך את זה עוד פעם פה כאשר לא ברור מה כתוב.

כן, אני נוטה לחשוב שזה נכון.

זה מתלכד לחלוטין למעט סעיף (2) שהוא סעיף - - -

בלי קשר לסעיף (2), העניין הוא שפה - - -

לא, פה השאלה היא לא - - -

שימוש במידע. אנחנו לא רק בעולמות האבטחה.

לא, יש את מסמך הגדרות מאגרים.

הוא מהותי.

זה המקור גם לסעיף הזה.

לא, אבל זה לא מדויק.

יש את המסמך בראיית האבטחה ויש את המסמך בראייה - - -

זה נכון שנושא תקנות אבטחת המידע זוכה להפרות משלו. כאן, מוקד ההפרה הוא לא בשאלה אם עדכנת את מטרות המאגר אלא שעיבדת בניגוד למטרות הרשומות.

שרשמתי לעצמי.

זה אותו דבר.

לפעמים זה יהיה אלה שרשמתי לעצמי ולפעמם זה יהיה במאגר מידע החייב ברישום שנרשם גם - - - לפעמים זה יהיה שחוק רשם לי. לכן, הפונקציה פה היא שלא יכולתי - - -

תהיה איתי שנייה. בואו נניח שבמסמך מטרות המאגר, אני שיניתי את מטרות המאגר ואסור היה לעשות את זה. הקמתי מאגר וכתבתי שם שמטרת מאגר המידע הוא - - -

על זה יש לנו הפרה אחרת בהמשך.

לא, זה לא זה.

שנייה, נכון. אני בהפרה לפי (1) כי אספתי - - - לא ב-(1).

לא, זה בהמשך.

נגיע לזה בהמשך, נכון. סליחה, זה לא ב-(1). אבל מבחינת תקנות הפרה ואבטחת מידע לא הפרתי כי רשמתי שהמטרה שלי היא להתחקות בשביל להעביר פרטי מידע של אזרחי מדינת ישראל לאיראנים. רשמתי את זה.

אין ספק. אדוני, אתה צודק לחלוטין אבל אני אגיד שני דברים. אחד זה שכל עניין רישום מסמך הגדרות המאמרים שנכנס דרך תקנות אבטחת מידע היה אמור להיות במהות בגוף החוק ולא בתקנות אבטחת מידע. מסמך הגדרות מאגרים זה לא נושא של אבטחת מידע זה נושא של תיעוד ניהול של המידע מהמאגר.

אמת.

הנקודה היחידה היא שההפרה של הסעיף הזה - - -

תפנה אותי לאיזה מקרה אתה מתכוון שיהיה מכוסה בתקנות אבטחת מידע ואתם תגידו לי מה הדלתא.

ההפרה של סעיף (2) שאנחנו מדברים עליו עכשיו, כן?

כן.

אני לא מדבר על מאגר שחייב רישום, אני מדבר על מאגר שלא חייב ברישום. תמיד תהיה גם הפרה של מסמך הגדרות המאגרים של אותה הפרה מהסעיף.

נכון או לא? לא להתווכח. זה נכון או לא?

בלי השאלה ההיסטורית, צופה פני עתיד, אנחנו מקבלים את ההערה במובן הזה שאכן, לא אמור להיות פה כפל עיצום ולכן - - -

השאלה היא לא אם יהיה כפל עיצום, אני שואל שאלה מאוד מחודדת. מתי תהיה סיטואציה של ההפרה של הסעיף המקביל בתקנות אבטחת מידע – שעליו כבר עשינו את ה-fine tuning והגדרנו את גודל המאגר ורמות האבטחה – והוא לא ייכנס לפה.

זה לא המוקד של תקנות אבטחת מידע, זה נזכר שם. שינוי מהותי שמצריך את שינוי הגדרות המאגר לפי תקנות האבטחה יכול בהחלט - - -

או אי-יצירה של המסמך - - -

כן. זה יכול בהחלט להתפרש כמצריך לשנות את - - -

לאיזו הפרה אתה מתכוון?

סעיף (2).

זה נמצא גם בפרט 15.

"שלא החזיק מסמך מעודכן של מבנה מאגר המידע".

כן.

לא, זה משמך הגדרות מאגר, זה לא מסמך מבנה מאגר המידע.

כן, איפה זה?

2(2א(2).

אפשר להסתכל במסמך ההכנה השלישי.

שלישי לדיון 17. איזה פרט?

דיון 18 לדעתי.

לא.

זה פרט 15 במסמך ההכנה השני.

עדכון מסמך הגדרות מאגר. תקשיבו, שם כבר עשינו 2,000, 40 אלף, 160, 320 - - -

שנייה, אדוני. זה עניין מהותי. בסופו של דבר, כמו שאדוני עמד על זה באופן שהוא נכון לעניות דעתי, הסיפור של מטרת השימוש נכנס גם דרך תקנות אבטחת מידע אבל מרכז הכובד שלו הוא לא תקנות אבטחת מידע.

אמת.

מצד שני, אנחנו מתקבלים את ההערה שאין מקום שיהיו שני עיצומים לכן אני מציע שפה בפרט 15 בתוספת - - -

גם 14.

זה 14 ו-15.

14 זה ההכנה מלכתחילה.

כן, להחריג את הנושא של מטרת - - -

אני מציע אחרת. אני מציע שנכתוב שקנס לפי סעיף (2) הזה, יוטל בהתאם להוראות 14, 15. פשוט לעשות את הלינקג' הזה.

זה לא כל כך פשוט כי שם זה בתוספת.

או שזה מיותר לחלוטין ונוריד את זה.

לא, לא. אני רוצה לדבר על האופציה הזאת כי יש עוד משהו שצריך להיות לנגד עניינו פה. לפי איך שפרק הסמכויות בנוי, כפי שאושר על ידי הוועדה, יש שורה של סעיפים שמפנים לסעיף הזה, סעיף 23כג ואומרים שהרשות יכולה לפתוח בהליך בירור מנהלי רק ביחס להפרות שניתן להטיל עליהן עיצום כספי. אפשר להפעיל את המפקח הפנימי בגופים ביטחוניים, רק ביחס להפרות שניתן להטיל עליהן עיצום כספי.

אין בעיה.

כל דבר שאנחנו משמטים מפה, הרשות - - -

לא אבל אתה יכול להטיל על זה.

אדוני הציע להוריד את זה.

אתה יכול להטיל על זה עיצום כספי לפי הפרק השני.

מכיוון שהוועדה קיימה כמה דיונים על צמידות המטרה, אני מציע לא לתלות את כל הדבר הזה בתוך תקנות אבטחת מידע ושכן תהיה הפרה - - -

אין לי בעיה שתוסיף "עיצום כספי לפי סעיף זה יוטל בהתאם להוראות" ותעשה לינקג' ל-14, 15.

או-קיי, אבל לא נוריד את הסעיף מפה. בסדר.

לא, תעשה את הלינקג'. הוא לא צריך להיות בתוך פרק ג', תעשה אותו בפרק נפרד.

- - - שאין double jeopardy על הסעיף.

גם שאין double jeopardy וגם שנוודא שאין - - -

אני מבקש שוב פעם - - -

הוא לא יהיה בתוך פרק ג' כי הוא פונקציה שכבר יצרנו לו את המדרגות ואני לא רוצה לייצר לו מדרגות נפרדות, אני לא רוצה לייצר סתירה ואני לא רוצה לייצר פורום שופינג. על ההפרה לפי סעיף (ג)(2) – שיזוז אולי לסעיף (ד) או לסעיף (ה) – יוטלו עיצומים בהתאם להוראות, עם הפנייה ל-14, 15 שבתוספת.

טוב ואז אם הם ישתנו אנחנו נהיה קצת בבעיה.

נכון, בסדר.




(3) בעל שליטה במאגר מידע שניהל או החזיק מאגר מידע החייב ברישום מבלי שהוגשה בקשה לרישומו בהתאם להוראות סעיף 8(ג) או שכלל פרטים שאינם נכונים בבקשה לרישום או שלא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים בסעיף 9(ב)(1) עד (4), למעט שינוי במענו של בעל השליטה במאגר המידע או שינוי בפרטים שנקבעו לפי סעיף 9(ג), בניגוד להוראות סעיף 9(ד).



זה נכון שלזה יש לינקג' גם לגודל המאגר וגם להיות המאגר רגיש או לא רגיש. גם פה, רוב הגופים הם גופים ציבורים ולכן ממילא הם כולם ייכנס לעסק גדול מאוד ולכן, גודל העסק פחות רלוונטי. זה רלוונטי ל-data brokers וגם שם, זה אמור להיות כן רלוונטי לגודל העסק מבחינת ההפרה היעילה אז זאת אותה הערה כמו בפעם הקודמת. אני כן מבין את הלינקג' לגודל המאגר.





(4) בעל שליטה במאגר מידע שלא מסר לרשות הודעה בקשר למאגר מידע החייב בהודעה לרשות, בניגוד להוראות סעיף 8(ג1)(1) או שלא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים בסעיף 9(ב)(1) עד (4) למעט שינוי במענו של בעל השליטה במאגר המידע או שינוי בפרטים שנקבעו לפי סעיף 9(ג), בניגוד להוראות סעיף 9(ד);



מי זה?

זה חובת הרישום - - - 9(ג)?

חובת ההודעה שמחליפה את הרישום ביחס למאגרים עם מעל 100 אלף נושאי מידע.

לא, לא. האמת היא שאם זה ככה אז זאת לא הכוונה. אני חושבת שהכוונה ב-(4) הייתה לשמר אותו כחובת רישום ו-(5) - - -

לא, (3) זה חובת הרישום.

סעיף (3) זה חובת הרישום.

סליחה, נכון.

סעיף (3) זה חובת הרישום, (4) זה לגבי מי - - -

מי צריך להודיע את ההודעה הזאת?

מאגרים מעל 100 אלף נושאי מידע בעל רגישות מיוחדת. זה ההסדר שהוועדה אישרה, שאין רישום אבל יש חובת הודעה.

מה?

בעל שליטה.

בעל שליטה, או-קיי. (5).

פנה לאדם לקבלת - - -

סליחה, פה מלכתחילה כדי להיכנס לזה אתה צריך להיות בעל 100 אלף עם מאגר ולכן הדיפרנציאציה היחידה שרלוונטית זה גודל העסק.

נכון.

מלכתחילה אתה במאגר מידע גדול עם מידע רגיש.

לא, רגע. יכול להיות 100 אלף ויכול להיות מאגר של 2 מיליון. אם לא הודעת על מאגר של 2 מיליון אז זה יותר חמור מאשר אם לא הודעת על מאגר של 100 אלף. כן, בהחלט. כמו ברישום.

נכון.

אין הבדל מהותי בין זה לבין הרישום.

נכון אבל גם שם הנושא של גודל העסק הוא יותר רלוונטי. בסדר, (5).

(5) פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף 11, ובלבד שההפרה נעשתה ביחס ליותר

יותר מ-1,000 בני אדם, אז פה אנחנו נכניס את הפנייה הבלתי מסוימת.

דיברנו על זה.

"פנה לציבור בלתי מסוים לצורך איסוף מידע במאגר מידע". פה גוגל המאגר הוא כן רלוונטי כאמור.

אז אני מורידה את הסיפה ומשייכת את הפרט הזה לציבור בלתי מסוים?

כן.

בסדר.





(6) בעל שליטה או מחזיק שלא מינה ממונה על אבטחת מידע, בניגוד להוראות סעיף 17ב(א);

פה גודל המאגר הוא שוב רלוונטי אבל גודל העסק הרבה יותר רלוונטי, בעייני.

פה זה הסעיף שביקשנו מהוועדה גם בנוסחים. צורת ההכפלה לא משנה אבל הבקשה הייתה להתייחס למאגרים גדולים של מעל 100 אלף מזהים ביומטריים, בעיקר תמונות, כמאגרים בעלי רגישות מיוחדת לעניין גובה העיצום.

אני מזכיר לוועדה את תקציר הפרקים הקודמים. מה שקרה זה שהוועדה החליטה להגדיר "מידע רגיש" בהקשר של מידע ביומטרי שמשמש או נועד לשמש - - -

אמת.

זיהוי ביומטרי ולא עצם העובדה שיש אמצעי ביומטרי.

נכון, שאם לא כן אז כל מי שמחזיק מצלמה נחשב שהוא נכנס שם.

נציגי הממונה על היישומים הביומטריים ביקשו לחדד ולהבהיר שכאשר מדובר במאגרים גדולים של מזהים ביומטריים אז בחשש לדליפה של מאגרים כאלה, זה כבר לא משנה מה הייתה הכוונה של בעל השליטה או המחזיק המקוריים ומה הם תכננו לעשות.

אם הם לא מינו ממונה אבטחת מידע ואחר כך המאגר דלף אז הכוונות של מי שגנב את המאגר הן כבר לא ידועות לנו וסיכוי סביר שהוא כן יעשה שימוש ביומטרי ולכן בהקשר הזה ספציפית, מבקשים להתייחס למאגרים של מזהים ביומטריים של מעל 100 אלף אנשים כמאגרים ברמת רגישות מיוחדת.

אני לא - - -

שמכילים מידע בעל רגישות מיוחדת ולכן צריך לקבוע את העיצום בהתאם.

אני לא בטוחה שנכון לכתוב את זה כאן אבל אנחנו נשמח להסמכה של הוועדה, ככול שהיא מעוניינת בכך - - -

כן.

ונשלים את זה במקום הנכון.

מיכל בלאו אור ממערך הסייבר הלאומי. אני יועצת משפטית ליחידה הממונה על יישומים ביומטריים. כמו שעמית אמר, דיברנו על כך בפעם הקודמת. ברגע שיש מאגר מידע שהוא מזהה ביומטרי של מעל 100 אלף, הרגישות היא גבוהה וזה מאגר אסטרטגי. לכן, בכל מה שקשור להיבטים של אבטחת מידע או הגנת סייבר, אנחנו חושבים שזה צריך להיות זהה עבור שני המאגרים וזה נכון גם לממונה אבטחת מידע בהקשר הזה וגם לתקנות אבטחת מידע שנדון בהם בהמשך.

עלו מחשבות בנושא גם לעניין של חריגה מהרשאה וחריגה מהמטרה אבל בגלל האופן שבו נראה כרגע שהמודל הולך אז ירדנו מזה. כמובן שצריך לראות לאן אנחנו מתכנסים גם בהקשר הזה כי גם בחריגה מהרשאה יש משמעות לנושא של מאגר ביומטרי.

טוב. ממונה אבטחת מידע זה בהגדרת מאגר - - - לדרגות הקנסות אנחנו ניתן לזה מענה. זה באמת לא פה אבל אין בעיה.





(7) בעל שליטה או מחזיק שלא מינה ממונה על הגנת הפרטיות, בניגוד להוראות סעיף 17ב1;

אדוני, שם דיברנו על גופים ציבוריים לעומת המגזר - - -

יצרנו שם - - -

שם אמרנו שאנחנו עוד נדון בנושא.

השארתי לכם סדק בדלת.

כן, סדק שאנחנו מתכוונים משמש אותו, אדוני.

יש לי פוטנציאל גם לטרוק אותו אבל כן.

בהחלט, כמובן.

אני לא יודע אם עכשיו זה הזמן לדון בזה או אחר כך אבל אני רק מזכיר שיש לנו כאן עוד - - -

כן, אני זוכר.

הסוגייה של העיצום עצמו, אם הוא חד-שלבי או דו- שלבי, עצם העיצום, המשמעות והחשיבות.

בעייני, זה באמת בגדר סדק כי הנושא הזה נדון יחסית בהרחבה בפעם הקודמת. אני מציע שנשאיר את זה כנקודה לדיון בסוף. ככול שחשבתי יותר על עמדתי בדיון הקודם, השתכנעתי שאני צודק וזה לא קורה לי הרבה.

בדיון הקודם אדוני גם השתכנע שאולי נכון ללכת למודל כלשהו.

בסדר.

של עיצומים דו-שלביים ואולי חד-שלביים.

אנחנו נדבר על זה. בסדר, כרגע אנחנו משאירים את זה ואת הפירוט נתקן בהתאם ונסמן.

רק יהיה צריך לחדד אחר כך פה בטקסט את הסעיפים הספציפיים של גופים ציבורים שיש עליהם את העיצום, לפי מה שיוחלט.

גופים ציבורים וסוחרי מידע.

סוחרי מידע זה בטוח בפנים, כל היתר יהיו בדיון הבא.

אלה שחייבים ברישום, בוודאי ולגבי השאר האמירה נאמרה ואני אהיה פתוח לשמוע טיעונים בנושא הזה בסוף הדיון היום, בעזרת השם אם נצליח להתקדם.





(8) בעל שליטה או מחזיק שניהל או החזיק מאגר מידע המשמש לשירותי דיוור ישיר, מבלי שהמאגר היה רשום במרשם


הוא צריך מרשם?

כן.

כן, זה הסוחר מידע.

למה? כל מי שמחזיק מאגר מידע המשמש לשירותי דיוור ישיר?

שירותי דיוור ישיר, כן.

הוא נחשב data broker?

זו תת-קטגוריה.

זה בהגדרה, או-קיי.




או מבלי שאחת ממטרותיו הרשומות של מאגר המידע היא שירותי דיוור ישיר, בניגוד להוראות סעיף 17ד;



התוספת הזאת עדיין נצרכת?

יש כאן חובה ספציפית, לא רק לרשום אלא גם לרשום את המטרות האלה כדי שהציבור ידע שזה מאגר לשירותי דיוור.

הבנתי, בסדר גמור. גם כאן גודל המאגר הוא רלוונטי וגם גודל העסק.





(9) בעל שליטה במאגר מידע או מחזיק שניהל או החזיק מאגר מידע המשמש לשירותי דיוור ישיר, בלי שיש בידו רישום המציין את המקור שממנו קיבל כל אוסף נתונים המשמש לצורך מאגר המידע ומועד קבלתו וכן למי מסר כל אוסף נתונים כאמור, בניגוד להוראות סעיף 17ה;



פה גודל המאגר הוא קצת פחות רלוונטי, מה גם שיכולים - - -

לא, למה?

להפך.

להפך, זה דווקא - - -

גודל המאגר הוא יותר רלוונטי? למה? לא, יכול להיות שגודל המאגר שלי הוא 2 מיליון אבל יש לי מקור מידע של 10,000. השאלה היא גודל מקור המידע, לא גודל המאגר הכללי שלי. לי יש מאגר שירותי דיוור גדול מאוד והייתי בסך הכול מאוד מסודר חוץ מאשר לגבי 10,000 אנשים שלא שמרתי לגביהם את המקור שממנו קיבלתי את אוסף הנתונים הזה.

אבל יש גם שאלה של למי מסרת. זאת הליבה של סוחר מידע, שיהיה לו רישום למי הוא מסר כדי שאפשר יהיה להתקות ולתקן.

אני מבין אבל ההפרה לא בהכרח תלויה בגודל המאגר אלא בגודל הנתח של המידע שמסרת. אני מחזיק מאגר של מיליון אנשים אבל הפרתי לגבי שלושה. זה כמובן מקרה קיצון אבל לכן אני לא אומר שגודל המאגר הוא לא רלוונטי, אני רק אומר שבניגוד להפרה הראשונה ששם גודל המאגר הוא כמעט השיקול היחיד, פה, בנוגע לאיסוף המידע - - -

יכול להיות שקיבלתי מקור מידע אחד, עשיתי אגרגציה מהרבה מקומות ואין לי את מקור המידע שממנו הסקתי את מקור המידע הקטן לתוך המאגר הגדול שלי אז אני אהיה חשוף לקנס אבל לא לפי גודל המידע שלא קיבלתי אלא לגודל המאגר הכללי שלי שזה פחות רלוונטי. זה מה שאמרתי ואני חושב שזה די טריוויאלי.

לשאלתי שכתובה פה לדיון, האם יש דרך להכשיר מאגר שאבדו ביחס אליו פרטי המידע? אני מניח שהעסקים הגדולים מנהלים רישום מסודר או שלא ואז זאת בעיה מסוג אחר אבל נניח שאני בניתי מאגר לצורך דיוור ישיר של העסק שלי והבן אדם שהקים לי את המאגר ובנה לי אותו פוטר, התפטר, ברח או נטש לחו"ל ולקח איתו את הדיסק און קיי עם כל התיעוד.

האם התרופה היחידה שיש לי עכשיו זה למחוק את המאגר שלי, כי אין לי את הרישום של ממי קיבלתי כל נתח של מידע מתוך מאגר הדיוור הישיר שלי? האם זאת הפרה שניתנת לתיקון או שזה מעוות לא יכול לתקון וחסרון לא יכול להימנות?

אפשר באותה מידה לשאול מה אם לא קיבלתי הסכמה מנושאי המידע.

לא, אם לא קיבלתי הסכמה מנושאי המידע אני יכול לפנות לנושאי המידע ולבקש מהם הסכמה.

לא, אז אם הוא לא מסכים. בשביל זה נמחק את המידע?

לא, לא. אתה מדבר איתי על השאלה האם התקבלה הסכמה או לא התקבלה הסכמה וזאת שאלה אחת. אם לא התקבלה הסכמה אז אפשר לרפא את זה, אפשר להגיד "פניתי לכולם ואני מוחק את מי שלא יאשר או שלא אשתמש במידע עד שהוא יאשר", יש לי את היכולת להיעצר. פה, יש לי - - -

זה פשוט מאוד קרוב אחד לשני. זאת אומרת, איך נדע אם הוא קיבל הסכמה?

איך נדע או לא נדע זאת שאלה אחרת.

לא.

לא אבל פה - - -

הוא אומר לך "לא קיבלתי הסכמה".

מקור המידע הוא לא בהכרח נושא המידע. מקור המידע יכול להיות שונה.

מקור המידע הוא לא נושא המידע, כשמקור המידע הוא נושא המידע אז החיים שלי קלים.

אדוני, העניין הוא שזה סוחר מידע, זה לא האינסטלטור הקטן. דווקא בגלל הסכנה וכי זה הביזנס שלו אז מצפים מראש - - -

הכול ברור, זה הביזנס שלו ודווקא בגלל שזה הביזנס שלו אז השאלה היא לא עכשיו שאלת ההסכמה אלא זה שאין לו את הרישום המציין אז האם זאת הפרה נמשכת שתרופתה היחידה היא מחיקת המאגר. אני לא אומר שלא, יכול להיות שאתם צודקים וזה מה שצריך להיות אני פשוט אומר שזאת שאלה שאני לא ידעתי לתת לה תשובה. יש פה מומחי פרטיות.

כלומר, אנחנו לא ידועים מאיפה הוא קיבל את המידע?

כן.

יכול להיות שהוא קיבל את המידע ממקור שגם הוא לא ביקש את ההסכמה.

יכול להיות, אני לא יודע.

אדוני, זה מקרה שמזכיר מקרים שהם כמו נזק ראייתי בנזיקין. סוחר המידע הזה הוא זה שייצר את - - -

או שהוא יצר או שהעובד שלו שבנה לו את המאגר ברח לחו"ל.

אז הוא צריך לנקוט - - - אנחנו גם מכווינים את השוק. מטרתנו היא להגן על הפרטיות, מי שהוא סוחר מידע, מטרתו לסוחר במידע. הוא מרכז מידע מאוד רגיש אז שיתכבד וישמור גיבוי - - - אלו באמת דוגמאות אזוטריות.

זאת דוגמה לחסר שקיים בחוק, אין בו בסיסים לגיטימיים ואין בו אפשרות של פנייה כאשר אתה לא - - -

לא, זה לא קשור לזה.

זה בדיוק קשור לזה.

לא, לא נכון.

איך זה קשור?

כי הפתרון שהם נותנים זה או שאתה תפנה לקבל הסכמה או שתמחק את המאגר, כרגע אין אופציה אחרת בחוק - - -

לא, זה גם לא מה שאמרנו.

ואנחנו לא עומדים לשנות כלום.

זה לא מה שאמרנו וזה מקרה אזוטרי.

אם זה אזוטרי או לא אזוטרי אני לא יודע, יש פה שוק שיגיד לי.

אדוני, אבל גם כשיש בסיסי מידע, זה לא אומר שתוכל - - -

אני לא מבין איך זה קשור לבסיסי מידע, באמת.

אנחנו נשמח להסביר.

הסיפור פה הוא שיש מאגרים מאוד מסוימים שהמחוקק כבר מזה שנים אמר - - - אותם צריך להסדיר. ברור שלא נדרשת הסכמה לגבי כל פרט מידע פה אבל בגלל הרגישות ובגלל הסיכון המוסרי באיסוף של כל מיני מאגרי מידע שלא כדין - - -

זה לא אסור.

מה לא מוסרי?

לא אמרנו שלא. הסיכון המוסרי לאסוף אותם שלא כדין, אני לא אומר שהמאגרים עצמם הם שלא כדין, חס וחלילה. יש פה חובת תיעוד, חובת שמירת מסמכים.

אני מבין ואני יודע שהפרת חובת תיעוד והפרת חובת ששמירת מסמכים מקשה על האכיפה, אני יודע הכול אבל השאלה היא - - -

אדוני, זה עניין מהותי.

אני מבין שזה עניין מהותי.

נכון שזה נשמע כמו פרוצדורה אבל זאת לא פרוצדורה.

לא זלזלתי בזה אפילו טיפה. אני שואל את עצמי האם יש דרך - - -

הדרך היא שידעו בהחלט שהם עלולים לאבד במובנים כאלה את מאגר המידע, כנראה.

או-קיי, שאלתי וקיבלתי תשובה. בסדר.

השוק יכווין את עצמו לא לאבד את הדברים האלה.

נכון והאמת היא שזה מקרה חריג שבחריגים. במקרה הגרוע, כנראה יצטרך גוף כזה למחוק חלק קטן ומסוים מהמאגר, זה לא - - -

זה רק מחזק.

מי שבכל המאגר שלו כולו, אין שום רישום מאיפה זה מגיע אז חזקה שהוא צריך למחוק.

זה רק מחזק את האמירה שלי שהפונקציה היא לא גודל המאגר אלא מספר נושאי המידע שלגביהם אין את התיעוד הזה. זה רק מחזק את האמירה שזה לא עניין של גודל המאגר. זאת תשובה לגיטימית ובמציאות החוקית הקיימת במדינת ישראל, נראה לי שזאת התשובה הנכונה. דווקא השאלה הזאת מחדדת שכאן, גודל המאגר הוא פחות הפונקציה אלא מספר נושאי המידע.

אז אתה רוצה להעביר את זה?

לא, אני לא חושב שזה מתאים ל-ב' אבל אני חושב שזה לא מתאים ל-ג'. תכף נדבר על הרובריקה הזאת ואיפה זה יהיה אבל זה לא גודל המאגר, זה לא הפונקציה היחידה פה ואפילו לא גודל העסק.





(10) בעל שליטה במאגר מידע או מחזיק שפנה לאדם בדיוור ישיר שלא בהתאם להוראות סעיף 17ו(א) לחוק;


על פניו, זה לגמרי צריך להיות ב-א', בחלק ב'.

האמת היא שזה מאוד דומה לסעיף (11).

נכון.

אולי אפשר לעשות פה את אותה הבחנה שעשינו ביחס ל-(11).

לא, אבל פה זה דיוור ישיר. פה זה תמיד יהיה פנייה פרטנית, זה לא הפרסום באתר.

לא כי דיוור ישיר יכול להיות לקבוצה, יש הגדרות לדיוור ישיר בחוק. העניין של דיוור ישיר זה יכול להיות לקבוצה בעלת מאפיינים מסוימים.

אני מבין אבל זה פרטני.

לא, הוא אומר שיכול להיות שאני מצליח - - -

כל הרעיון זה profiling.

זה חשוב, תחזור על הדברים.

הרעיון בדיוור ישיר בהגדרה הנוכחית שלו בדין הישראלי – שהיא עם בעיותיה – זה התייחסות לא פרטנית לאדם, זה בדיוק הרעיון.

זה אדם ששייך לקבוצה לא פרטנית.

נכון.

זאת פנייה פרטנית.

כן אבל אנחנו לא פונים אליו כי הוא - - -

בסדר, אני חושב שפה הרבה יותר רלוונטי לי לכמה אנשים פניתי. פה זה פי אלף יותר רלוונטי מאשר מה גודל המאגר שלי. אמת?

כן.

זה רנדומלי. זאת פנייה רנדומלית.

אני חושה שההבחנה שעשינו - - -

לא הבנתי, מה זה רנדומלי?

זאת פנייה רנדומלית כי זה תלוי באיזה סיווג הכנסתי אותם. זה יכול להיות שפעם הרציונל נשאר אותו רציונל והקבוצה תשתנה לך. למה זה משנה? עוד פעם?

לא הבנתי.

הסיווג שאני עושה כדי לייצור profiling יכול לייצור לי קבוצה אחת של עשרה אנשים וקבוצה אחת של 100 אלף אנשים אבל הרציונל שלי בפנייה הוא אותו רציונל. אני רוצה לפנות לקבוצה מסוימת אז מה זה משנה לי כמה - - -

נו, השאלה היא כמה אנשים קיבלו פנייה בניגוד לחוק. השאלה היא לא כמה אנשים יש לך מתוך המאגר שממנו גזרת. אתה גזרת מתוך מאגר של מיליון, פנית ל-100 או ל-100 אלף. ביצעת 100 אלף הפרות או שביצעת 100 הפרות, יכול להיות שזה בלחיצת כפתור אחת אבל ביצעת מספר הפרות כי יותר נושאי מידע קיבלו ממך פנייה.

אין לנו ויכוח על זה שהשאלה היא לא השאלה של גודל המאגר.

או-קיי. אז שאלת גודל המאגר היא לא רלוונטית, אני נוטה לחשוב שזה באמת דומה יותר לפנייה.

רק לוודא שהבנתי, המשמעות היא שזה בקבוצת ההפרות הפרטניות וסופרים הפרות פר כמות האנשים שאליהם נעשתה הפנייה?

כן. נדבר על הגודל והסכום אבל כן.

אם אנחנו מעבירים את זה, זה שאנחנו סופרים פר כמות האנשים אליהם נעשתה הפנייה זאת סוגייה משמעותית. בסדר.

שוב, זה יכול להיות פר 1,000 אבל אנחנו נחליט שה-sweet spot זה 1,000 פונים, לא יודע. אבל הרעיון הוא שהשאלה היא כמה אנשים קיבלו את הפנייה ולא מה גודל המאגר שלי.

כן אבל ההבדל הקטן הוא שפה זה בהכרח לכמה אנשים, זה אף פעם לא יהיה לאדם אחד.

נכון.

בסדר.

לא. אפשר לפנות למישהו דובר רוסית - - -

לא מדויק, אם יש לך מאגר גדול ועשית - - - פילוחים אז יכול להיות שבסוף זה יצא קבוצה של אחד או שניים.

הפנייה תהיה לאחד, יכול להיות.

- - - בכל המאגר.

יכול להיות.

בסדר גמור.

יכול להיות שאתה הרצת את הפילוחים וביקשת לפנות רק לאנשים ג'ינג'ים עם משקפיים סגולות ויוצא שזה קבוצה של אחד או קבוצה ריקה.

על פי רוב, אם חיפשתי לשלוח הודעה כזאת אז זה לא יהיה בן אדם אחד.

אם עשית את העבודה כמו שצריך, נכון.

זה לא המהות, הרי.

נכון.




(11) בעל שליטה שלא פירט, על דרישת מידע, כי הוא מוסר דרך קבע מידע בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(א);


זה גופים ציבוריים?

כאן יש שלוש הפרות של גופים ציבוריים שקשורים להעברות מידע של גופים ציבוריים ולכן זה לא עניין של עסק, כמובן.

אבל דרישת מידע פה זה של הגוף הציבורי לדרישת מידע פרטנית. הרי, גוף ציבורי לא מעלה באינטרנט בקשה לקבלת מידע, נכון? אלא אם כן זה - - -

בדרך כלל לא אבל זה יכול להיות.

RFI? איך קוראים לזה?

אני חושבת שדווקא עמית יכול לעזור לנו עם זה יותר.

פה מדובר בפנייה פרטנית לקבלת מידע.

עמית.

עמית.

אנחנו צריכים אותך.

סעיף (11) "בעל שליטה שלא פירט, על דרישת מידע, כי הוא מוסר דרך קבע מידע בהתאם לסעיף 23ג בניגוד להוראות 23ד(א)", לכאורה, זאת בקשה לקבלת מידע פרטנית.

כן. זה גם סוג של סעיף (11). כשאני מבקש את המידע אז אני צריך להודיע שהוא גם - - -

אז גם זה צריך להיות ברובריקה ב-ב' כי זה לא תלוי בגודל המאגר שלי. זה לא אמור להיות תלוי גודל המאגר בכלל. נכון?

כן. זה כמו סעיף (11), מה שנחליט על סעיף (11) צריך להיות גם פה.

"בעל שליטה שלא קיים רישום של המידע" - - -

אולי צריך לחזור לדרישה המהותית. הדרישה המהותית ב-23ד(א) אומרת "גוף ציבורי שמוסר דרך קבע מידע לגוף אחר לפי 23ג, יפרט עובדה זו, על כל דרישת מידע בהתאם לחוק".

או-קיי.

זאת אומרת, כל מידע שהוא דורש מהציבור.

כן, נכון.

ברמת הגופים הציבורים, אפשר להתנהל - - -

זה (11), בסדר. זה מובן, זה כמו סעיף (11).





(12) בעל שליטה שלא קיים רישום של המידע שמסר בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(ב);


זה רישום פנים - - -

רישום של העברות המידע שהוא עושה בין גופים ציבוריים. זה בדרך כלל העברות של - - -

בין גופים ציבוריים. גם פה, גודל המאגר שלו פחות רלוונטי, יותר משנה גודל ה-bulk שהוא העביר.

הוא בדרך כלל מוסר כל מיני סוגים של מידע קודם כל, זה עניין של רישום פנימי. הסעיף הזה מדבר על חובת רישום פנימית.

גודל המאגר משנה לי? מה גודל המאגר רלוונטי לי פה?

כי זה לפי גודל הגוף הציבורי וכמה העברות הוא עושה, זאת התפיסה. זה בוודאי לא עניין של גודל עסק.

אני מסכים שזה לא עניין של גודל עסק כי זה גוף ציבורי.

דווקא פה גודל המאגר - - -

עסק נבחן בדרך כלל לפי גובה מחזור עסקאות ומספר עובדים. נגיד, בחוק חובת המכרזים.

לא אבל מה זה משנה לי אם העירייה שהעבירה - - -

זה לא קשור. ברשות ציבורית זה לא משנה מה מספר העובדים.

אם העירייה הזאת היא עירייה קטנה או גדולה זה לא משנה לי.

רק לעניין - - -

כמה מידע היא מעבדת.

לא, גודל עיבוד המידע הוא גם לא רלוונטי כי יכול להיות שיש לה מאגר מידע מאוד גדול אבל היא מעבירה רק bulk מאוד קטן שהיא לא רשמה אותו. זה יותר דומה ל-(9) בהקשר הזה כי לא מעניין אותי גודל המאגר הכללי. אם היא לא רשמה את זה שהיא העבירה מיליון אנשים זה משהו אחד, אם היא לא רשמה שהיא העבירה 10,000 - - - זה מספר נושאי המידע שביחס אליהם התבצעה ההפרה, זה לא גודל המאגר.

נכון.

בסדר.

כן אבל זאת קטגוריה שאין לנו אז צריכים לייצור פה קטגוריה שלישית.

אנחנו נייצר אותה, זה גם ל-(9) וגם ל-(12).

היא קיימת במקבץ הקודם.

המקבץ הראשון הוא לא כי זה פרטני, פה זה לא פרטני, פה זה ב-bulk.

בסדר, אבל זה במכפלות אז מה זה משנה? זה מוביל לאותה תוצאה.

לא, זה לא. כי הרציונל הוא הפרט הנפגע ופה הפרט לא בהכרח נפגע בכלל. זה רק עניין של רשמו או לא רשמו, זה לא שיש יותר פגיעה ביותר אנשים פרטניים בגלל שהוא לא רשם את זה ב-bulk.

אני מבין אבל ברציונל - - -

לכן זה רציונל באמצע.

של לגבי כמה אנשים התבצעה ההפרה - - -

נכון, נכון. זה לפי מספר נושאי מידע, רק שזה לא פרטני.

כן, זה אותו מנגנון.

נכון, לכן זאת רובריקה שלישית.





(13) בעל שליטה שלא הודיע לראש הרשות כי הוא מקבל דרך קבע מידע בהתאם לסעיף 23ג והמידע נאגר במאגר מידע, בניגוד להוראות סעיף 23ד(ג);



זו הפרת חובת רישום קלאסית.

או-קיי, אז זה נשאר פה.

זה כמו הפרת חובת הרישום.

כן, אפשר להגיד שכן.

אז פה זה כן גודל המאגר שהוא אוגר כתוצאה מזה אבל שוב, זה פחות גודל המאגר שברשותו. פה תהיה חפיפה בין גודל המאגר לבין גודל המידע שקיבלת.

נכון.

לכן, זאת לא בעיה בשבילי. זה יכול להיות פה או פה כי זה יושב-ראש באותו מקום.





(14) בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר


הורדה את "מנהל מאגר", נכון?

כן.

הורדנו כאן?

הורדנו אותו ביחס לאבטחת מידע, פה זה משהו קצת אחר. זאת הפרה שנוגעת לשיתוף - - -

הוא עדיין קיים בהגדרה בחוק? הורדנו אותו מההגדרה בחוק. מחקנו אותו מהחוק.

לא, אנחנו שינינו את ההגדרה - - - מרוקנת אותו מתוכן אבל היא עדיין קיימת ורלוונטית בעיקר - - -

כן, נמחק.

לא, נראה לי מחקנו.

אנחנו לא - - - אמרנו שלא נכיל אחריות אישית.

אפשר להוריד, נכון?

הורדנו.





(15) בעל שליטה במאגר מידע או מחזיק במאגר שלא מסר למפקח מסמך או עותק מחומר מחשב, בניגוד להוראות סעיף 23י(א)(2) או (3);


לא ברור לי בכלל למה גודל המאגר רלוונטי לסיפור הזה.

זאת לא הפרה פרטנית, בסדר?

נכון, זה לא פרטני. אתה צודק אבל גודל המאגר לא רלוונטי.

אם אני לא טועה, בדיון הקודם אדוני סיווג את זה בקבוצה שקשורה לגודל המאגר.

לא, סיווגתי את זה כקבוצה שלא תלויה בפרטני, זה נכון.

צריך לסווג את זה איכשהו.

חזרנו לזה כבר.

נכון שזה פחות מובהק אבל צריך איכשהו לסווג את זה. כן צריך לתת מכפלות גם ביחס לגודל מאגר.

לא צריך - - - לפי גודל עסק. גודל המאגר לא רלוונטי בכלל. בן אדם כבר קיבל פנייה ישירה ממכם למסור מידע והוא מסרב למסור את המידע אז מה זה מעניין מבחינת איזה רציונל, השאלה אם הוא מחזיק מאגר של 100 אלף אנשים או מאגר של 10,000 אנשים אם הוא מסרב לפנייה שלכם?

זה הנזק, מה זאת אומרת?

מבחינת הנזק.

אין נזק בלסרב לפנייה שלכם חוץ מזה שהוא סירב לפנייה שלכם וזה נזק חמור מאוד.

אני אומר לך. הנזק הוא ליכולת סיכול הרגולציה.

סיכול הרגולציה לא תלוי בגודל המאגר.

לא אבל בכל זאת יש הבדל. האם לא עשוי להיות הבדל כשמדובר בארגון עם מחזור של 2.80 שקלים - - -

יפה מאוד. זה גודל עסק ולא גודל המאגר, יפה מאוד.

לא, לא. רגע. אני אומר שגם אם הארגון הוא קטן מאוד והמחזור שלו הוא שקל ו-80 אגורות אבל הוא מחזיק את כל מרשם האוכלוסין, 10 מיליון אנשים עם מידע מאוד רגיש, זה לא יותר חמור?

לא. מה שחמור זה שהוא קיבל ממך פנייה חוקית והוא מסרב לפנייה החוקית שלך. מבחינתי, תעצור אותו. לדעתי גם נתתי לך סמכויות לגרור אותו לתחנת משטרה בכל מיני סיטואציות. זה לא קשור לגודל מאגר.

אבל זה דומה יותר - - -

לא.

יש יותר דמיון לרישום מבחינת רגולציה. כשהמאגר מאוד גדול ומאוד רגיש אז הנזק על סיכול הרגולציה - - -

חובה רגולטורית לרישום היא דבר אחד אבל כאשר כבר יש אירוע פרטני של פנייה פרטנית ואתם כבר נכנסתם אליו לעסק לבקש מסמך והוא לא נתן לכם אז גודל המאגר הוא לא הפונקציה, מה שרלוונטי זה גודל העסק, אני מסכים. מה שרלוונטי זה זה, לא רלוונטי מה גודל המאגר שהוא מחזיק.

מבחינת החזרה לציות, אני לא בטוח שגודל - - -

החזרה לציות לא תלויה בגודל מאגר.

אבל גם לא בגודל העסק.

בוודאי שכן כי שם גובה העיצום הוא פונקציה.

לא.

לא, אבל לעניין היקף הפגיעה בפרטיות, גם את זה צריך לקחת בחשבון.

אין פה שום פגיעה בפרטיות, הוא מתנהל למופת, המאגר מידע שלו מאובטח כמו פורט נוקס אבל אתה לא באת לו בטוב אז הוא לא מסר את המסמך. לא באת לו טוב בעין, המפקח שלך עיצבן אותו ובסוף, אחרי שהטלת עליו את העיצום הזה והוא מסר לך את המסמכים, אתה גילית שבאמת לא דלף משם אפילו לא פירור. מה שהוא עשה זה שהוא פשוט לא מסר לך את המידע וזה לא בסדר, זה חמור מאוד אבל מה הקשר לגודל המאגר?

ואם הטלתי עליו את העיצום הזה ובסופו של דבר, אני לא יכול לנהל עכשיו את הליך הפיקוח שלי על מאגר שהוא מאגר - - -

של 10 מיליון אנשים.

של 10 מיליון אנשים ואני עכשיו לא יודע האם המאגר הזה מתנהל ומציית.

אי-ידיעת גודל המאגר איננה פותרת מלתת עיצום כספי שרלוונטי לאירוע.

לא, אדוני.

מה אתה רוצה ממני?

מה יוותר? שאני אלך ישר אחר כך להפסקת העיבוד?

תוציא לו צו הפסקת עיבוד. מה הקשר בין גובה העיצום לגודל המאגר? אני לא מצליח להבין. אם שי לו הפרות הבטחת מידע אחרות אז תטיל עליו אלף עיצומים אחרים אבל פה מדובר רק על אי-מסירת המסמך.

אני רואה את זה כסוג של הסתרה.

בוודאי.

יפה.

וזה מעשה מאוד חמור.

כשאתה מסתיר ביחס למאגר של 100 אנשים לבין מאגר של 10 מיליון אנשים - - -

לא רלוונטי.

יש לזה משמעות מבחינת החשיפה לפגיעה בפרטיות.

לא, אין לזה שום משמעות. סליחה. מצטער, לא השתכנעתי. זה צריך להיות אך ורק בהתאם לגודל עסק, גודל המאגר לא רלוונטי בכלל.

אני רק אומר שבמצב כזה שיש לו חשש כזה או אחר ואנחנו באים למאגר משמעותי ולא מקבלים שיתוף פעולה אז זה מיד ילך להפסקת עיבוד.

צריך להוסיף את זה.

מצוין, אז למה אתה צריך גם עיצום כספי?

רגע, אדוני. צריך להוסיף את זה לצו הפסקת עיבוד. אולי זה הפתרון, אם אדוני חושב שלא נכון לעשות פה מכפלות.

מה? לא הבנתי.

להוסיף את אי-שיתוף הפעולה עם הרשות.

לא הבנתי אותך. אם יש לך חשש סביר שמתקיימות שם הפרות אז יש לך את ההוראות, זה לא קשור לאי-מסירה או מסירת מסמך. אם יש לך חשש סביר אז יש לך חשש סביר, אם אין לך חשש סביר אז אין לך חשש סביר.

לא אם אין לי יכולת לבדוק את זה. זה בעצם מוריד - - -

אבל זה שאתה תצליח לשכנע שכתוצאה מזה שהוא מסתיר מידע או לא, זה לא קשור לגודל המאגר. שוב, גובה העיצום בהקשר הזה לא רלוונטי לגודל המאגר.

אז המסקנה היא שאין כאן מכפלה? כי אי-אפשר לספור כאן הפרות פרטניות.

נכון, זה מעשה אחד, בדיד בזמן. יכול להיות שצריך לתת לו קנס לפי גודל העסק, כמו שאמרתי. זה נראה לי הרבה יותר רלוונטי.

או עיצום בסיסי גבוה יותר.

או עיצום בסיסי גבוה יותר, הכול נכון אבל גודל המאגר הוא פשוט לא רלוונטי.

אם זה לא יהיה סכום מאוד גבוה אז כמו שנאמר בוועדה בהקשר אחר, מי שישתף פעולה איתנו יהיה שוטה.

או שאתם תיכנסו אליו, תעשו לו חיפוש בחצרים, תחרימו לו את המחשבים, תוציאו לו צו הפסקת עיבוד ועוד כל מיני דברים שהם סמכויות אדירות שנתתי לכם ביד. כל האקסטרפולציות האלה פשוט לא רלוונטיות לעובדה הבסיסית שאין קשר לגובה המאגר.

הכול יכול להיות אז תלכו ותמקדו אכיפה או שלא תמקדו אכיפה, תחרימו לו את המאגר או צו הפסקת עיבוד אבל אין קשר לגובה המאגר, זה לא מתכתב עם האירוע. טוב, אז (14) זה ברובריקה נפרדת ויכול להיות שהיא רלוונטית להפרות החמורות. יכול להיות שהיא צריכה לעבור ל-ד', אני לא אומר שלא אבל גם שם זה בלי קשר לגודל המאגר.

זה פתרון טוב.

אבל גם שם זה בלי קשר לגודל המאגר.

שנייה, מה לגבי (14)?

כרגע (14) הוא לא פה. עוד נחשוב איפה לשים אותו, זה תלוי גם בגובה העיצומים, הפחתות וכל הדברים האלה. אתם רוצים הפסקה קצרה?

בואו נמשוך עוד קצת.

מסיימים ב-14:00.

נחזור ב-12:30 ואז יהיה שעה וחצי.

היא צודקת.

נסיים את ד' ואז נצא להפסקה קצרה ונשוב בכוחות מחודשים.

ד' זה הפרות צמידות המטרה.

"הפר אדם הוראה בקשר למאגר מידע כמפורט להלן".

זה צריך להיות גם בעל שליטה או מחזיק?

(ד)
הפר בעל שליטה או מחזיק הוראה בקשר למאגר מידע, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום של



אמרנו שאת הסכומים נשאיר לאחר כך אבל כרגע זה פי ארבע מהסכום הבסיסי המנוי בפסקה (א)(2)





(1) לא פעל בהתאם להוראות ראש הרשות להפסיק עיבוד של ידיעה על ענייניו הפרטיים של אדם במאגר מידע, בניגוד להוראות סעיף 2.

במסמך שהעבירה הרשות יש לנו פה נוסח טיפה יותר עדכני, בהתאם לנוסח של סמכות ההוראה להפסקת הפרה של ראש הרשות שהצענו ואפשר להקריא אותו.

זה סעיף (ה) במסמך שהרשות העבירה.

"לא פעל בהתאם להוראות ראש הרשות להפסיק שימוש בידיעה על ענייניו הפרטיים של אדם במאגר מידע, שלא למטרה שלשמה נמסרה או להפסיק עיבוד במידע במאגר מידע למטרה שהיא פגיעה בפרטיות לפי סעיף 2, בניגוד להוראות סעיף 8(ב)".

מה ההבדל?

רק חידדנו.

לא, אני מבין אבל מה היחס בין זה לבין (ג)(1).

(ג)(1) זה כשהיה מותר כדין, לא נרשם אבל היה מותר כדין.

לא. מה זה קשור? לא הבנתי, אם זה היה מותר כדין אז למה הורתם לו להפסיק?

לא, רגע.

בדיון הקודם לגבי צמידות המטרה, אדוני עשה הבחנה בין כמה הפרות שונות.

מה הדלתא בין (ג)(1) לבין (ד)(1)?

אני זוכר את זה, אלו סעיפים שונים. במסגרת סעיף (8) יש כמה סעיפים שונים וזה הסעיף על איך המידע התקבל למאגר.

"שנוצר התקבל או נאסף".

פה אנחנו מדברים על מטרת השימוש במידע במאגר. זאת אומרת, המידע אולי התקבל כדין אבל משתמשים בו עכשיו שלא כדין. המקרה הקלאסי הוא שימוש שלא למטרה בידיעה אודות ענייניו הפרטים של אדם. אספתי אותו וקיבלתי כדין עם הסכמה - - -

מה שנקרא, בניגוד להסכמה.

עכשיו אני עושה שימוש למטרה אחרת.

הבנתי, או-קיי. איפה הנוסח הזה? יש לך אותו?

כן.

במסמך של הרשות.

במסמך שהרשות העבירה.

למעשה, הוא רק ההוראה המפנה, הוא צריך להיקרא עם הוראת הפסקת ההפרה שהצענו לאחרונה.

אז אולי ננצל את ההפסקה כדי לכתוב את זה בצורה בה יהיה יותר קל לקרוא?

כן.

שוב פעם, אני מציע שאם רוצים - - -

"לא פעל בהתאם להוראות ראש הרשות להפסיק שימוש בידיעה על ענייניו הפרטיים של אדם במאגר מידע שלא למטרה שלשמה נמסרו או להפסיק עיבוד במידע במאגר מידע למטרה שהיא פגיעה בפרטיות לפי סעיף 2, בניגוד להוראות סעיף איקס, סעיף המפנה להוראה להפסקת הוראה על ידי ראש הרשות". כן, נראה לי שזה ידרוש ניסוח.

בסדר, אני פשוט מציע שנקרא את זה אחרי שנקרא את סעיף הפסקת ההפרה.

אבל הכוונה פה ברורה לכולם?

לא.

לא? אז תסבירו לי בכל זאת את הכוונה, מעבר לשאלת הניסוח.

הכוונה המרכזית היא שבסופו של דבר, אנחנו מדברים על עיצום דו-שלבי כאשר מפרים את סעיף 2. ההפרה המרכזית היא כמובן הפרת סעיף 2(9) שדיברנו עליה רבות, שימוש בידיעה אודות ענייניו הפרטיים של אדם, שלא למטרה שלשמה נמסרה.

החלק השני בהפרה הוא כאשר מטרת העיבוד שנקבעה היא בעצמה פגיעה אסורה בפרטיות לפי סעיף 2. זאת אומרת, אם בילוש והתחקות אחר אדם שעלולים להטרידו זאת מטרת העיבוד שלי אז מן הסתם, כמו שאדוני קבע - - -

רגע, החצי הראשון של המשפט הוא גם על 2(9) וגם על 8(ב) או שהוא רק על 2(9)? כי צריך להפנות, לא משנה למה.

כן, החלק הראשון הוא ל-2(9) והחלק השני הוא ל-8(ב).

ל-8(ב) יש סעיף נפרד אחר כך.

או-קיי.

לא, אבל יש 8(ב) שהוא לפי סעיף 2.

כך או כך הנוסח צריך לכלול את סעיף 2(9) כדי שנדע על מה ההפרה.

זה דובר לפני שני דיונים, בדיון על צמידות המטרה.

כן אבל הניסוח פה הוא מאוד - - - אני הייתי אומר "עיבד מידע". זה לא לא עיבד, "עשה שימוש בידיעה על ענייניו האישיים", "עשה שימוש במאגר מידע בידיעה" - - -

לא, אבל זה דו-שלבי.

אני מציע קודם לקרוא את סעיף - - -

חכה עם הדו-שלבי.

לא אבל זה השלב השני, בואו נקריא את השלב הראשון.

"עיבד מידע אישי במאגר מידע למטרה של כדין, אלא אם העיבוד נעשה רק בניגוד להוראות סעיף 2, בניגוד להוראת סעיף 8(ב)". מאוד ברור. ממש לא.

לא, רגע.

זה היה בהומור כשאמרתי "ממש ברור".

רגע, בדיון הקודם בצמידות המרטה אדוני סיכם את העניין.

תעזוב את הדיון הקודם, תגיד לי מה את רוצה.

אני מסביר. בדיון הקודם אדוני סיכם את העניין, עיצום ישיר על הפרה של 8(ב) כשזאת לא הפרה של סעיף 2, זאת אומרת, לא בניגוד להסכמה או דברים כאלה. אדוני ביקש להחריג את הפרות סעיף 2 ולהגיד שצמידות מטרה בניגוד לסעיף 2 זה עיצום דו-שלבי.

אז יש לנו את אחד שהוא עיצום דו-שלבי על הפרות של סעיף 2 ויש לנו את שתיים שהוא עיצום ישיר על הפרות של צמידות מטרה שהם לא סעיף 2.

נכון.

אם אדוני זוכר, עיבוד בניגוד למטרה שנקבעה בחוק, למשל.

כן אבל בואו נדבר על האינטרס המוגן וגם על הפשטות. ראש הרשות נתן הוראה להפסיק עיבוד. הוא נתן את ההוראה הזאת שהייתה חוקית או שהייתה לא חוקית, היא נתקפה בעתירה מנהלית או שלא נתקפה בעתירה מנהלית אבל בסופו של דבר, ניתנה הוראה כדין.

נתתם הוראה להפסיק עיבוד אז למה זה מעניין אותי אם נתת את ההוראה של א' או ב'? בסופו של דבר, יש לי מאגר מידע עם איקס פרטי מידע – ופה אני כן חושב שמספר פרטי המידע הוא רלוונטי – שאתה גלעד, כראש הרשות נתת הוראה לא לעבד את המידע שבו, בין אם בגלל שהוא נוצר, נצבר או נאסף בניגוד לדין ובין אם בגלל שהוא מפר את 2(9). בסופו של דבר, העיצום פה הוא על הפרת ההוראה שלך.

רק הסעיף הראשון.

שנייה. נתת הוראה להפסיק את העיבוד במאגר הזה כי מה שהולך שם לא חוקי. הוא יעתור נגדך או לא יעתור נגדך אבל בסופו של דבר, אני כמחזיק מאגר מתמודד עם הוראה שלך ומפר אותה. זה לא אמור לעניין אותי למה נתת את ההוראה בהקשר הזה.

יכול להיות שצריך לתת את העיצום הגבוה יותר או הנמוך יותר, אני כרגע לא יודע אם זה ב-ג' או ב-ד' אבל האינטרס המוגן הוא שכשאר אחרי כל מיצוי ההליכים הנדרש, ראש הרשות נתן הוראה להפסיק לעבד מידע במאגר מידע מסוים וצפצפו עליו אז יש עיצום. מה אכפת לי למה נתת את ההוראה?

אכפת בגלל השאלה שביסוד. אנחנו הצענו שאם רוצים להחמיר את העיצום השני - - -

תעזוב את הכסף עכשיו. אל תתווכח איתי עכשיו על הכסף, אני מדבר איתך על ניסוח ההוראה.

לא, אני מדבר על למה אכפת. אני מנסה להשיב לאדוני על השאלה "מה אכפת". כלומר, מה האינטרס המוגן פה. ברשותך, אני אקריא את הסעיף שהצענו שהוא אמור לעמוד במקור של הסעיף הזה שכרגע הוא לא בפני הוועדה ולכן לא התחלתי איתו.

הוא הועבר.

כן, הוא הועבר אבל ממש בסמוך לדיון. "מצא ראש הרשות כי בעל שליטה במאגר מידע או מחזיק בו, השתמש בידיעה על ענייניו הפרטיים של אדם במאגר מידע, שלא למטרה שלשמה נמסרה, בניגוד לסעיף 2(9) או עיבד מידע במאגר מידע למטרה שהיא פגיעה בפרטיות לפי סעיף 2, בניגוד לסעיף 8(ב), רשאי הוא להודיע להם שמעשיהם מהווים הפרה ולהורות להם להפסיק אותה באופן ותוך פרק הזמן שלו".

מצוין, מי שמפר את ההוראה הזאת צריך לקבל עיצום.

עיצום, עכשיו העיצום פה הוא - - -

בלי קשר לגובהו.

על הפרת - - -

על הפרת הוראת ראש הרשות, בהתאם להוראות הסעיף הזה. זה הכול. לא, חברים. העיצום שאני מוכן להטיל הוא על הפרת הוראת ראש הרשות לפי סעיף כלשהו. "עיבד מידע בניגוד להוראות ראש הרשות שניתנו לפי סעיף איקס".

אבל אז העיצום צריך לשקף את החומרה של ההפרה, כמובן.

אז אל תיתנו צווים כאלה כשזה לא חמור. מה אתה רוצה ממני? כאשר אנחנו בעולם של דו-שלבי אתם תעשו את האיזונים כמה שאתם רוצים לפני שאתם נותנים את ההוראה בין אם זה דו-שלבי, התראה, יש לו זכות טיעון, אין לו זכות טיעון, יעתור, יערער ויעשה מה שהוא רוצה. ברגע שנתתם את ההוראה אז האינטרס המוגן שלי הוא שיקבלו את הוראות שלכם.

לא, בסדר.

אני לא רוצה להיכנס מתחת למכסה מנוע, זה לא מעניין אותי.

ומי שלא מקיים, מפר הפרה - - -

מי שלא מקיים, מפר את ההוראה.

שהיא הפרה מאוד חמורה והעיצום צריך - - -

ההפרה מאוד חמורה. אתה חושב ששניהם צריכים להיות ב-4? צריך למצוא באמצע פי שלוש או פי שתיים.

לא, אז גובה העיצום צריך לשקף את זה.

אבל גובה העיצום הוא הפרת ההוראה.

נכון.

אני מסכים שגודל המאגר יכול להיות רלוונטי אבל השאלה האם זאת הוראה שניתנה בגלל שהמידע נצבר או נאסף שלא כדין או בגלל שהמידע הוא בניגוד ל-2(9), גם לא מחזיקה מים וגם מייצרת מציאות שבה כל ההוראות נוצרו שוות רק שיש שוות יותר ויש שוות פחות.

אדוני מציע פשוט לקבץ את כל ההוראות האלה ביחד, את כל ההפרות שהן על פי הוראות ראש הרשות.

הפרה של הוראת ראש הרשות להפסקת - - - עיבד מידע בניגוד להוראת ראש הרשות שניתנה לפי סעיף איקס.

האם אנחנו לא עוקפים בהכרח את צו הפסקת העיבוד שהולך דרך בית משפט כשאתם מפרשים מה היה מטרה שלא נמסרה?

זאת הפסקת הפרה.

סליחה שאני נשמעת כמו תקליט שבור אבל זה בדיוק - - -

ההוראה כאן היא להפסיק הפרה.

איך אתה מפסיק הפרה שלא על ידי הפסקת העיבוד המפר?

הוא לא חייב.

אתה יכול להחליט להמשיך לשלם עיצומים ולהמשיך את העיבוד.

התשובה היא שאתה יכול להגיד - - -

אתם מבינים עכשיו את הבעיה בסעיפים של צמידות מטרה שאינם מגדירים מה היא מטרה מותרת ואיך מזהים את המטרה המקורית?

אנחנו נפתח עוד פעם את צמידות המטרה?

אפשר להעיר הערה?

כן.

אני חושבת שאין באמת מניעה לקחת בחשבון את חומרת ההפרה הבסיסית במסגרת קביעת העיצום על הפרת הוראת הממונה כי אם היינו בעולם שאפשר היה - - -

אין בעיה, אז תייצרו לי שני סעיפים של הפרת ממונה ותעשו עיצום כספי א' ועיצום כספי ב'. אני לא נכנס - - -

אתה מדבר מבחינה ניסוחית?

אני רוצה בהירות בעיצום כספי.

ניסוחית?

אני רוצה בהירות בעיצום כספי.

או-קיי.

אם אתם חושבים שאתם צריכים שתי רמות אז זה בסדר, אין לי בעיה. תעשו א' ו-ב' ותגידו "הפר הוראה לפי סעיף 10(א)". לא היה 10(א) אז 11(ג)ד, זה לא מעניין אותי.

חזרנו איכשהו ל10(ב).

לא אכפת לי.

אין בעיה, רק מבחינתנו הם צריכות להיכנס - - -

הרעיון הוא שכאשר ניתנה הוראה שכזאת, ככול שהיא חוקית, ככול שהיא לגיטימית וככול שעשינו אותה דו-שלבית מסיבותינו הטובות, בשנייה שאתה פעלת בניגוד להוראה הזאת אז צריך שיהיה לך עיצום כספי. זה מובן וזה הגיוני. העיצום הכספי הזה הוא פונקציה ואפשר גם לדבר על זה שהוא פונקציה של גודל מאגר וגודל עסק.

אתם רוצים לעשות שניים? אין בעיה, זה יהיה שניים אבל אני לא נכנס מתחת למכסה המנוע של זה. יהיה הפרת הוראת הפסקת - - - זה לא נקרא הוראת הפסקת עיבוד. השאלה היא איך תראה הוראה כזאת.

הפסקת הפרה. זאת הוראה להפסיק הפרה, זה לא הפסקת עיבוד.

כן, הוראה להפסיק הפרה, או שזה שימוש שלא למטרה או שימוש למטרה - - -

לפי מה אתם מפרשים את המטרה?

אני מזכיר שמלכתחילה, זה כלי רך יותר מכיוון שהוא דו-שלבי.

בסדר גמור אבל - - -

מה זה משנה?

כדי שיהיה אפשר לטעון את ההגנות וכל זה.

יש כרגע בחוק צו הפסקת עיבוד ואתם מדברים על משהו אחר, על מבנה אחר.

על צו הפסקת הפרה שלכאורה, זה גם יכול להיות הפסקת עיבוד.

זה אותו דבר, כן.

השאלה היא מתי תלכו לכיוון הזה ומתי תלכו לבית משפט לפנות לצו הפסקת עיבוד.

לא, אלה שני דברים שונים. פה, זה בסך הכול שהעיצום הופך מחד-שלבי לדו-שלבי כדי שיהיה אפשר - - -

זה מובן אבל אני שואל אותך עכשיו שאלה אחרת – יותר נכון, הם שואלים אותך שאלה אחרת ואני משמש להם כפה – נוכחת שבמאגר מידע מסוים הופרה הוראת ההסכמה ועומדת בפניך שתי אפשרויות. אפשרות אחת היא שאתה בגדרי צו הפסקת עיבוד, מותר לך לפנות לבית המשפט ולבקש הפסקת עיבוד, לרבות מחיקת המאגר כי הופרה הוראה מסוימת.

אפשרות שנייה היא ללכת למקום ולתת הוראה בהתאם לסעיף כלשהו – עוד לא נתנו לו את המספור – כדי להגיד לו להפסיק את ההפרה. מתי אתה הולך למסלול הראשון ומתי אתה הולך למסלול השני?

אחד השיקולים בהסדר צו הפסקת עיבוד שהוועדה אישרה הוא שבית המשפט צריך לראות שאין אמצעי אחר שפגיעתו פחותה למניעת ביצוע ההפרה אז יש מדרג.

אבל זאת אותה תוצאה.

אנחנו קודם ננקוט - - -

בעיניך, זה האמצעי שפגיעתו פחותה?

אם יש אמצעי שפגיעתו פחותה אז אנחנו ננקוט בו.

זאת אומרת שיש לי הגנה דיונית בבית משפט והאמצעי שפגיעתו פחותה הוא שאני אתמודד מולך.

לא, אם אנחנו נתנו הוראה - - - כל ההסדר של צו הפסקת עיבוד נועד למצבים בהם אנחנו נותנים הוראות והמפוקח לא מקיים אותם. ברור שאנחנו קודם - - -

תבין שאנחנו יצרנו פה משהו מצחיק. אם אתה פונה לבית משפט כדי לבקש ממני צו הפסקה אז יש לי זכות טיעון בפני בית משפט ואתה צריך להראות שהולכת להיות הפרה, יש עליך כל מיני הליכים ונטל. להבנתי, בכל מקרה שבו אתה חושב שיש לך עילה לפנות לבית משפט, אתה יכול לתת צו שכזה שעליו אני יכול רק לעתור ואז אני במציאות משפטית מופחתת כי לך עומדת חזקת התקינות המנהלית וכל הדברים שעומדים לך - - -

חייבים ערעור דה נובו על זה.

שנייה. אם אני לא מסכים איתך בנושא הזה, אני אפילו לא יכול לגרור אותך לבית משפט בדה נובו. זאת אומרת, אני לא יכול להגיד לך להתקדם לצו הפסקת עיבוד. זאת בחירה שלך נטו וזאת חפיפה זהה של המקרים. אין מקרה שהולך לצו הפסקת עיבוד שאתה לא יכול להחליט לגביו שאתה הולך להליך המנהלי הזה קודם ואני עומד עם הלשון בחוץ.

התכליות פה קצת שונות.

גם אין משמעות לעיצום דו-שלבי אם בשלב הראשון אין בחינה מהותית של תקינות או נכונות ההחלטה.

ברור שיש.

בטח שיש.

איך? מה יש?

לא, יש לי אפשרות לעתור.

אין לכם כלים לבדוק את זה.

זאת הטענה.

אבל העתירה היא לא מספיקה.

אני מזכיר למה מלכתחילה - - -

או לשכנע אחרת.

אני אזכיר למה מלכתחילה יש מצבים שהם בעיצום דו-שלבי. קודם כול, יש את הנושא של ההגנות, כל הטענות האלה הן טענות שעולות מול הרשות.

אבל זה לא רק מול הרשות.

אם רוצים לעתור אחרי זה על השלב הראשון אז עותרים על השלב הראשון אבל ככה עובדים כל הרגולטורים, אדוני. אנחנו לא ממציאים פה משהו חדש. הוראה לתיקון ליקויים או הוראה להפסיק הפרה זאת סמכות טריוויאלית לגמרי, אנחנו לא יוצרים פה משהו חדש.

יש הוראה להפסיק הפרה כאשר ההפרה היא ברורה ויש clear cut אבל יש מקרים שבהם ההפרה היא לא ברורה ו-clear cut.

שזה סעיף (2).

סעיף (2) למשל.

לכן אין סנקציה בשלב הראשון.

אבל צריכה להיות גם - - - נכונות ההחלטה.

לא, אין לי בעיה. אני אפילו מוכן שנבנה את זה - - -

אדוני, אפשר להסביר את הרציונלים השונים כי אני חושב שאיכשהו זה נראה כאילו הכול אותו דבר וזה בכלל לא אותו דבר, אלה שני מקרים שונים לחלוטין בפרדיגמה. אחד צופה פני עבר ואחד צופה פני עתיד.

על פניו, באירוע רגיל בו הרשות להגנת הפרטיות מצאה שנעשה שימוש שלא כדין במידע זה סותר את סעיף 2 אז זאת יכולה להיות עבירה פלילית וחל המסלול המנהלי של העיצומים. אם היא הטילה עיצום אז זה ברור שהעיבוד פה הפסיק ומדברים עכשיו על מה העיצום צופה פני עבר שהגוף צריך לשלם כדי שההפרות האלה לא יהיו יעילות. הצו השיפוטי הוא צופה פני עתיד. הוא בא לתת מענה לנושא שנדון בדיונים הראשונים של הוועדה, אם אתה זוכר.

לא, לא.

סליחה, אשמח להשלים את המשפט.

אבל כבר אמרת משהו לא נכון. אין לך מה לעלות לשלב ג' כששלב א' שלך לא נכון. אם נעשו עבירות מהותיות אז תטיל עליהן את העיצום הכספי. יש לך אפשרות להטיל עיצום כספי על זה שנעשו בעבר הפרות מהותיות. אם אין לך הפרות מהותיות שנעשו בעבר אז אל תטיל עיצום כספי.

עכשיו אתה אומר משהו אחר. כאשר אני חושב שיש הפרות שהן גם נמשכות, אני נותן הוראה להפסיק מכאן ולהבא. העיצום הכספי פה הוא על הפרת ההוראה שנתת מכאן ולהבא, לא על העבר. עכשיו נשאלת השאלה לגבי זה, לא באופן כללי. לגבי זה, מה ההבדל בין מכאן ולהבא של בית משפט למקרה של מכאן ולהבא של עיצום כספי.

השאלה היא האם באמצעות מכאן ולהבא של עיצום כספי, אתה לא מייתר לי את ההליך המשפטי של צו הפסקת עבודה או צו הפסקת עיבוד. בכל מקרה שבו תבוא לצו הפסקת עיבוד ועומדות לי איקס הגנות דיוניות אז אתה תגיד "למה לי ללכת למסלול הזה?". כמעט בכל מקרה של צו הפסקת עיבוד אתה תוכל לבוא ולעשות את זה דרך ההוראה הזאת, בהליך מנהלי וזה צופה פני עתיד, זה לא צופה פני עבר.

זה לא על הפרה שכבר בוצעה, ההפרה שבוצעה ושאתה מבקש עליה את העיצום היא שאני לא מקשיב לך, שאני חולק עליך וחושב שהאנשים שנכנסו אלי לחנות כן נתנו הסכמה שאני אפנה אליהם בדיוור ישיר ואנסה לשווק להם את המשקפיים היפות שאני מוכר. יש לי איתך מחלוקת על זה ואתה אומר "מכאן ולהבא תפסיק לעשות את זה" ואני אומר "לא אבל מותר לי לעשות את זה". במקום ללכת לבית משפט ולשכנע אותי שאני טועה או לשכנע אותו שאני טועה ולתת לי צו אז אתה אומר לי "אין בעיה, אתה טועה וכל יום שאתה לא תקשיב לי זה 80 אלף שקלים".

אבל יש לך עוד הליך נוסף נפרד על העיצום.

לא אבל אין לי הליך כי ההליך הוא מולך, מול קיר.

לא, בסדר. אפשר - - -

עתירה.

מה שאדוני אמר עכשיו זאת הסמכות הקיימת של הרשות היום. כל הליכי האכיפה - - -

לא, לא נכון. אין לי עיצום כספי על ההפרה של הדבר הזה.

נכון אבל השלב הראשון - - -

אבל אין לי עיצום כספי על הדבר הזה.

רגע, שנייה. אנחנו הגשנו - - -

הכול טוב, אני מוכן שתיתן הוראה. אני לא רוצה לקחת לך את היכולת לתת הוראה אבל אם היא הופרה לדעתך אז תלך למסלול של צו הפסקת עיבוד, אל תלך למסלול של עיצום כספי. אין לי בעיה שאתה תיתן הפרה.

זה מה שהשוק רוצה? זה הרבה יותר מחמיר.

לא נכון.

אתה לא תלך אם זה - - -

אתה תלך רק במקרים הקשים.

אם רוצים צו להפסיק את כל העבודה?

אבל זה מה שיקרה בפועל.

הליך העיצום הדו-שלבי בסך הכול אומר - - -

אפשר גם לעשות אחרת. אפשר שאתם תעשו את זה בדו-שלבי, תשלחו את הדבר הזה וזה יהיה בידיים של הבן אדם אם הוא מתווכח איתכם או לא. אם לא אז יראו בשלב הראשון הזה כאילו אתה הולך לבית משפט, כאילו אתה בבקשה לצו הפסקת עבודה אבל דה נובו.

או ערעור דה נובו.

או ערעור דה נובו אבל לא יתכן מצב בו אם אתה הולך למסלול של צו הפסקת עבודה אז עומדת לי הגנות מסוימות ואז אתה תלך לעיצום כספי שכביכול זה הקל יותר אבל הנזק עבורי – בייחוד עם סכומי העיצומים שאתם מדברים עליהם ובייחוד אם זה פי ארבע מהסכום הבסיסי – הוא פי אלף יותר גדול מאשר אם אני אתווכח עם בית משפט על צו הפסקת עבודה או עיבוד.

לכן אפשר לטעון את כל הטענות - - -

אי-אפשר לטעון את כל הטענות כי חזקת התקינות המנהלית בעיצום כספי - - -

בעתירה אי-אפשר לטעון את זה.

כאשר אתה נתת הוראה ואני מפר אותה אז אני בבעיה.

בעתירה אי-אפשר לטעון אותה, רק בערעור דה נובו.

אדוני, זה מה שיש לכל הרגולטורים, את הכלי של עיצום כספי ולא בכדי. יש מקרים - - -

אבל אין לך - - - מהותית, לא בחוק.

אני אשמח שתראה לי אצל כל הרגולטורים חוק כל כך עמום שחל על כל כך הרבה אנשים שבו השאלה שהרגולטור צריך להכריע לגביה כשהוא נתן את צו הפסקת העבודה זאת שאלה של גבולות ההסכמה - - -

שיש בו הגנות.

ויש התקיימות הגנות או אי-התקיימות הגנות וכל זה בהליך שחזקת התקינות המנהלית נגדי. תראה לי את זה. אולי יש אבל אני לא מכיר ולכן אני אומר שבסיטואציה שבה על הפרת ההוראה הזאת אנחנו נמצאים במסלול של עיצום כספי או ולא במסלול של ערעור דה נובו או שאם אמרתי לך לא אז אתה תחליט האם אתה הולך לבית משפט - - -

או לחקירה פלילית.

או לחקירה פלילית או למה שבא לך. פה בסופו של דבר, אתה מטיל עיצום כספי על הביטוי "because I said so". למה אני צריך לשלם עיצום כספי? כי אני אמרתי לך שמה שאתה עושה זה אסור, לא כי זה כתוב בחוק, לא כי יש הוראה שהיא Clear cut ולא בגלל כל המודל של עיצום כספי - - -

לא, כי זה כתוב בחוק.

לא, כתוב בחוק שאתה נותן הוראה.

אנחנו לא יכולים להמציא הוראות. לא, ההוראות חייבות להיות מבוססות.

אתה לא יודע - - - לבצע קדימה, הוא מדבר איתך על פעולות שאתה מבצע קדימה. איך אתה יכול לדעת אם אני הולך להפר אותן?

אם מפוקח חושב שטעינו אז הוא צריך לעתור לבית המשפט.

אבל אתם לא - - - אתם הרגולטור.