פרוטוקול של ישיבת ועדה
הכנסת העשרים-וחמש
הכנסת
171
ועדת החוקה, חוק ומשפט
30/06/2024
מושב שני
פרוטוקול מס' 359
מישיבת ועדת החוקה, חוק ומשפט
יום ראשון, כ"ד בסיון התשפ"ד (30 ביוני 2024), שעה 9:00
ישיבת ועדה של הכנסת ה-25 מתאריך 30/06/2024
חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024
פרוטוקול
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
מוזמנים
¶
עמית יוסוב עמיר - עו"ד, ייעוץ וחקיקה, משרד המשפטים
סוריא בשארה - עו"ד, ייעוץ וחקיקה, פלילי, משרד המשפטים
לירון מאוטנר לוגסי - עו"ד, ראש תחום משפט ציבורי, מחלקת ייעוץ וחקיקה, משרד המשפטים
גלעד סממה - עו"ד, יו"ר, הרשות להגנת הפרטיות, משרד המשפטים
ראובן אידלמן - יועץ משפטי, הרשות להגנת הפרטיות, משרד המשפטים
ניר גרסון - עו"ד, סגן יועמ"ש, הרשות להגנת הפרטיות, משרד המשפטים
נעמה גורני לר - עו"ד, המחלקה המשפטית, הרשות להגנת הפרטיות, משרד המשפטים
מיכל בלאו אור - יועצת משפטית, היחידה הממונה על יישומים ביומטריים, מערך הסייבר הלאומי
ד"ר רחל ארידור הרשקוביץ - עו"ד, חוקרת, המכון הישראלי לדמוקרטיה
שחף קצלניק - עו"ד, יועץ משפטי, התאחדות התעשיינים
ענר רבינוביץ' - מנכ"ל, חברת מנכ״ל PrivacyTeam
איה מרקביץ' - עו"ד, Privacy Director, חברת PrivacyTeam
ד"ר עמרי רחום טוויג - שותף, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל
יעקב עוז - יו"ר ועדת הסייבר והפרטיות, להב- לשכת ארגוני העצמאים והעסקים בישראל
אייל שגיא - עו"ד, שותף, משרד AYR
רישום פרלמנטרי
¶
איה פרידמן, איטייפ
רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
¶
בוקר טוב. כולנו קיבלנו אתמול בערב את הבשורה הקשה על יאיר ויקיר שנפלו ואני שולח מכאן תנחומים למשפחות ובמיוחד לשירית שהיא חלק מהנוף האנושי של הכנסת והיא דודה של אחד הנופלים. אנחנו מתפללים כולנו שהשם יאמר די לצרותינו.
בשבת קראנו את פרשת "שלח" על ההתמודדות של עם ישראל עם האויבים ואת התשובה הנחושה של יהושוע וכלה שרוחך אחרת הייתה עמם, "טובה הארץ מאוד מאוד, עלה נעלה וירשנו אותה כי יכול נוכל לה". האמונה הזאת ביכולת ובסייעתא דשמיא שתבוא לכוחותינו ולחיילנו מלווה אותנו עד ימינו אלה. בעזרת השם עלה נעלה וירשנו אותה.
אנחנו בעניין הצעת חוק הגנת הפרטיות ויש רק עוד שתיים או שלוש ישיבות. סתם. אני בהחלט מקווה שהיום אנחנו נתקדם בצורה משמעותית לקראת סיום הכנת הצעת החוק הזאת. גברתי היועצת המשפטית, בבקשה.
נעמה מנחמי
¶
בוקר טוב. לבקשת הממשלה, אנחנו נתחיל עם סעיף 15א רבא, פיצויים ללא הוכחת נזק. עשינו כמה שינויים מאז הפעם הקודמת, בעיקר דייקנו את הסעיף והוספנו לו עוד מדרגה של הודעה בהרבה מהמקרים כך שכל אחד מהסעיפים צריך עכשיו הודעה נוספת לבעל השליטה או המחזיק או שתהיה איזושהי פנייה ראשונית, כמו בקשה לזכות טיעון. נקרא אותם?
נעמה מנחמי
¶
(1) הפר בעל שליטה במאגר מידע או מחזיק, לפי העניין, הוראה מההוראות המפורטות להלן, רשאי בית המשפט לפסוק, בשל אותה הפרה, פיצויים שאינם תלויים בנזק (בסעיף זה – פיצויים לדוגמה), בסכום שלא יעלה על 10,000 שקלים חדשים:
(1) לא רשם בעל שליטה מאגר מידע החייב ברישום לפי סעיף ,8 בו מצוי מידע אודות אדם, וחלפו 90 יום מיום שפנה האדם לבעל השליטה במאגר המידע בדרישה לרשום את המאגר;
(2) פנה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע לפי סעיף (11) או סעיף 23ד(א) לפי העניין, מבלי שמסר הודעה כדרישת אותו סעיף, וחלפו 30 יום מיום שפנה האדם ל בעל השליטה במאגר המידע בדרישה להודיע לו כאמור.
(3) לא אפשר לאדם שביקש לעיין במידע שעליו, המוחזק במאגר המידע, לעיין במידע, בניגוד לסעיפים 13 או 13א, לפי העניין, במועד ובדרך שנקבעה בתקנות.
(4) הסכים לבקשה לתיקון או מחיקת מידע שאינו נכון, ברור או מעודכן, אך לא ביצע את השינויים הנדרשים במידע שברשותו, או לא הודיע עליהם לכל מי שקיבל ממנו את המידע בתקופה הקבועה בתקנות, בניגוד להוראות סעיף 14(א);
(5) לא הודיע לאדם שביקש לתקן או למחוק מידע שעליו, שאינו נכון, שלום או ברור, על סירובו למלא את הבקשה, בדרך שנקבעה בתקנות, בניגוד להוראה סעיף 14(א).
(6) לא הודיע בעל שליטה במאגר מידע לראש הרשות לפי סעיף 23ד(ג) על קבלה דרך קבע של מידע, הכולל מידע אישי אודות אדם, שנאגר במאגר מידע, וחלפו 30 יום מיום שפנה האדם לבעל השליטה במאגר המידע בדרישה להודיע כאמור.
אני אשמח אם הממשלה - - -
נעמה מנחמי
¶
כן, זה היה 6. אני אשמח אם הממשלה תבהיר איך אדם יכול לדעת שהתקיימו הנסיבות כאן.
(2) בבואו לקבוע את גובה הפיצויים לדוגמה, יתחשב בית המשפט, בין השאר, בשיקולים המפורטים להלן, ולא יתחשב בגובה הנזק שנגרם לנפגע כתוצאה מביצוע ההפרה:
(1) עידוד התובע למימוש זכויותיו;
(2) היקף ההפרה וחומרתה;
(3) התנהגות המפר, נסיבותיו האישיות ויכולתו הכלכלית, וכן סנקציות נוספות או תשלום נוסף שהוחלו על המפר ביחס לאותן נסיבות.
(3) אין בהוראות סעיף קטן זה כדי לגרוע מהאפשרות לנהל הליך פלילי, ככל שההפרה מהווה גם עבירה פלילית, או לגרוע מזכותו של התובע לתבוע כל סעד אחר לפי פקודת הנזיקין, בשל אותה הפרה, ואולם לא יקבל אדם פיצוי לדוגמה לפי סעיף זה, בשל אותו מעשה או מחדל יותר מפעם אחת.
היו"ר שמחה רוטמן
¶
טוב. אני אבקש במסגרת סעיפי הדיווח שיהיה לנו דיווח מפורט על הדבר הזה ועל התביעות הללו מהנהלת בתי המשפט כדי שנוכל לעקוב אחרי היישום של החוק הזה.
היו"ר שמחה רוטמן
¶
יש מישהו שרוצה להתייחס? לי הרוב נראה יחסית פשוט חוץ מהנושא של 6. א', על עצם הצורך ב-6 ו-ב', על השאלה הפרקטית. עצם הצורך ב-6 זאת אומרת, שהוא קצת דומה ל-1. בעקרון, אני רציתי שהפיצויים ללא הוכחת נזק יהיו במישור שבין אדם לחברו ולא מול הרשות.
1 הוא מול הרשות. זאת אומרת, זה הרישום אבל כאשר מדובר על גוף ציבורי או ב-data brokers אז ללא הרישום הבסיסי הזה, אי-אפשר בכלל להתחיל ולכן, כן יש פה איזשהו כלי. הרישום פה נועד לטובתי בשביל לדעת איזו רשות ציבורית מחזיקה עלי מידע, למי אני פונה לתקן אותו, מה אני עושה וכדומה אז כשמדובר באנשים שחובת הרישום חלה לגביהם, זאת זכות היסוד שלי. אם אני לא אטיל עליה את האפשרות לתבוע בנפרד אז אני בעצם אעודד את כל האנשים לא לרשום ואז אני לא אוכל להתקדם מולם לשלב הבא ולכן זה נשאר. שאר הדברים, 2, 3, 4, ו-5 הם באמת יותר בעניין בין אדם לחברו ו-6 זה שוב חוזר לבין אדם לרשות ולכן צריך לדבר על הרציונל של ההודעה ועל האופן בו זה יתגלה.
עמית יוסוב עמיר
¶
בוקר טוב. עמית יוסוב עמיר, משרד המשפטים. צריך להקדים ולומר שהסעיף הזה הוסף לבקשת הייעוץ המשפטי של הוועדה כאמצעי נוסף - - -
עמית יוסוב עמיר
¶
הוועדה באמצעות הייעוץ המפשטי לוועדה, כאמצעי נוסף לאכיפת הוראות סעיף 23ד רבא שעוסקת בחובות הנלוות להעברת מידע בין גופים ציבוריים. מבחינה עניינת, הקשר הוא מאוד אדוק, בין חובת הרישום - - -
עמית יוסוב עמיר
¶
כן, אני אומר שסעיף 6 בעצם מצטרף לרישום. מה שקורה זה שההודעה לפי סעיף 23ד(ג) מועברת לרשות להגנת הפרטיות והיא מצרפת את פרט המידע הזה - - -
היו"ר שמחה רוטמן
¶
זאת אומרת, ם אני מסתכל במרשם ואני לא רואה שזה נרשם אז אני יכול להניח בקלות שמעבירים עלי מידע ולא מסרו את ההודעה.
עמית יוסוב עמיר
¶
אולי אני אקריא את הסעיף. "גוף ציבורי המקבל דרך קבע מידע בהתאם לסעיף 23ג רבתי והמידע נאגר במאגר מידע, יודיע על כך – היום זה לרשם אבל זה יהיה הרשות להגנת הפרטיות – והעובדה הזאת תיכלל בפרטי רשימת מאגרי המידע לפי סעיף 12". ההודעה הזאת נכללת - - -
היו"ר שמחה רוטמן
¶
נכון אבל בשביל זה יש את "יום שפנה אדם לבעל השליטה במאגר המידע בבקשה להודיע". יש פה צורך בפנייה ואז ממילא, הוא יבוא ויגיד "שלחתי לרשם אבל אני לא יודע. הם ישנים שם ולא מתקנים את המרשם, האתר שלהם נפל או שהכלב אכל להם את המחברת. לא אכפת לי אבל מצורף בזה העתק ההודעה שמסרתי ולכן אני בסדר ואני לא אחטוף את התביעה הזאת. אני כרשות עשיתי את זה וזה שהם לא רשמו או לא עדכנו את המאגר זו באמת בעיה שלהם אבל זה לא משהו שבשליטתי". מהבחינה הזאת אני לא מוטרד כי יש פה את ה-30 יום. עוד הערות לסעיף זה?
ענר רבינוביץ
¶
ענר רבינוביץ, Privacy Team. לעניין ההפרה שקשורה לבקשות עיון במידע ב-3, התקנות עיון במידע לא עובדות היום. כלומר, הן די שבורות. יש שם איזשהו ארכאי שמבקש המידע נדרש למלא וזה לא הולם את הפרקטיקה העולמית וגם בארץ, מבחינת ההיענות לבקשות עיון מידע.
אתה בעצם מסכן כאן ארגונים בכך שהם חשופים לפיצויים ללא הוכחת נזק, אפילו שהם עומדים בסטנדרט הגלובלי, רק כי הן לא עם התקנות העתיקות האלה. השאלה היא אם יש כוונה לתקן את תקנות עיון מידע כדי להביא אותן - - -
ניר גרסון
¶
ניר גרסון מהרשות להגנת הפרטיות. התקנות הן אכן מיושנות ותהיה כוונה לתקן אותן אבל כיום, הן דווקא מיטיבות עם בעלי המאגרים.
ניר גרסון
¶
הן מאפשרות להם לצאת ליידי חובה. הם יכולים לדרוש ממבקש העיון לפי נוסח התקנות "להתייצב אצלם במשרד". הן מיטיבות ומקלות על המפוקחים.
ענר רבינוביץ
¶
הן מקשות מהבחינה של הטופס הזה. כלומר, הקריטריונים או איך שהבקשה צריכה להראות ואיך שצריכים לענות לבקשה.
היו"ר שמחה רוטמן
¶
לא, אני מסכים עם מה שנאמר פה. הדרישות פה מקשות על מבקש המידע. אני לא אוהב אותן ואני מסכים איתך אבל אין פה הוראה שמגבילה את מסירת המידע כמו "תעביר לי אותה ככה ולא באימייל", לפחות לא להבנתי.
אם תוגש תביעה על הנושא זה גם יהיה חוסר תום לב קיצוני וגם בן אדם יגיד "קיבלתי את זה באימייל אבל עשו לי את זה לפי טופס מספר זה וזה". מה שכן, דווקא מקבלי הדרישה – רובם יהיו גופים ציבוריים, מן הסתם – יבואו ויגידו "הנה הטופס", "לא מילאת", "כן מילאת". אם כבר, הטענה היא הפוכה. זה מקשה על מקבלי המידע וזה מאפשר לייצר כל מיני קשיים פרוצדורליים.
היו"ר שמחה רוטמן
¶
מקשה שלא צורך, חד וחלק. ענר, תפנה אותי לאיזו הוראה בתקנות שלדעתך מקשה על הארגון שנותן את המידע. מכאן בקשתי שלוחה לתקן את התקנות.
איה מרקביץ'
¶
יש פה גם עניין של העדר של דברים ולא רק סעיפים שהם בעייתיים. יש לכם ב-GDPR וגם בתקנות הגישור, סיבות שבגינן בעל השליטה היה יכול לסרב ואין לנו פה כמעט שום דבר מהדברים האלה, לא סוד מסחרי, לא זכויות של צדדים שלישיים וכלל העיפרון הכחול לא נמצא פה.
אם אדם רוצה לעיין במידע שלו - - - תחשבו על הקלטה של שיחה שנזכרים בה אנשים אחרים שאולי לא רלוונטיים אליו. יש כל מיני היבטים שמקשים עלינו להפעיל את זה גם מהצד של הארגון ולא רק מהצד של מבקש המידע.
עמית יוסוב עמיר
¶
רק אדייק, התנאים המהותיים לעיון לא קבועים בתקנות, הם קבועים בחוק. יש הסדר בסעיפים 13ג, ג(1), (ה). אפשר לדבר על ההסדרים אבל - - -
היו"ר שמחה רוטמן
¶
כתוב "בעל מאגר רשאי שלא למסור למבקש מידע המתייחס למצבו הרפואי או הנפשי, לסכן את חייו - - - מסר מידע בניגוד לחיסיון על פי כל דין" יש את הוראות עיון במידע שאיננו בהחזקה. אני מסכים שהייתי רוצה הסדר עיון וזכות להישכח. אלו כל מיני דברים שלא היינו רוצים לשמור לתיקון 15, היינו רוצים שזה יגיע עכשיו אבל זה לא מגיע עכשיו.
על פניו, ההסדרים המהותיים כוללים את המחויבויות, את הפתורים ואת האופן שבו זה מתפרש בפסיקה. אני לא משנה את הדיון המהותי, הדבר היחיד הוא שהנושא של "במועד ובדרך שנקבעה בתקנות" זו הוראה לטובת מחזקי מאגרי המידע. זה אפילו בצורה קיצונית, יותר ממה שהם צריכים. ההסדרים המהותיים לא שם והם גם לא אמורים להיות קבועים בתקנות, הם באמת אמורים להיות קבועים בחוק.
איה מרקביץ'
¶
אפשר גם לתקן את החוק אבל העניין של הטופס נראה כמו דבר טיפשי ואתם מציגים את זה כאילו הוא מיטיב עם הארגון אבל אם את מסתכלת על הטופס שאת צריכה לתת לנושא המידע למלא וצריך לכתוב בו את שם המאגר ומעמנו, "אני החתום מטה", תעודת זהות, שם האב, מענים, מיקוד, "סבור מהנימוקים הבאים כי הנתונים על אודותי מצויים בהחזקתכם, נקודתיים" ולפרט אותם ואז צריך לכתוב בתוך הטופס איזה מידע, אישיותי, מעמדי האישי, צנעת אישיותי וכולי. אלה הקטגוריות שהחלפנו אותן עכשיו בהגדרה אחרת לגבי מה הוא מידע אישי.
עמית יוסוב עמיר
¶
יש תיקון מהותי להגדרה של מה הוא מידע בחוק אז מן הסתם היא משפיעה גם על התקנות. שוב, אלה טפסים מיושנים אבל הדין הכללי, אופן הפרשנות והיחס בין חוקים לתקנות נותן לדברים האלה מענה.
היו"ר שמחה רוטמן
¶
בסדר, אני מבין. כאמור, מכאן בקשתי שתתקנו את התקנות בהקדם שלוחה אבל כרגע זה זה. אחרי תיקון החוק אתם מן הסתם תצטרכו לעשות התאמות בעוד כמה תקנות ויגיעו לפה סטים. בסדר גמור.
כרגע זה לא. להפך, זה מקל מאוד על בעל מאגר שלא ירצה לתת מידע לטרטר את הבן אדם. זה לצערי אבל אני לא רוצה לעשות את זה במסגרת חקיקה על תקנות כשאני רוצה שיתקנו את זה בתקנות אבל על פניו, התקנות האלה מאוד מקלות על מאגר לא לקבל את אותה תביעה אישית שאנחנו ייצרנו פה.
איה מרקביץ'
¶
אומר רק דבר אחרון לעניין הזה. אולי לפחות בסעיף שמאפשר להגיש תביעה לפיצויים ללא הוכחת נזק אז שהחובה הזאת תחול על בעל שליטה במאגר ולא על מחזיק או בעל שליטה לפי העניין כדי שיהיה ברור שמי שמצופה ממנו לענות על בקשות כאלה בעל זה השליטה - - -
עמית יוסוב עמיר
¶
זה לפי העניין. יש הסבר מפורט בסעיפים 13 ו-13א רבתי של סדר הפעולות בין בעל השליטה למחזיק, המחוקק נדרש לזה. אם אני פונה למחזיק אז המחזיק צריך להפנות אותי לבעל השליטה. הדברים ברורים.
עמית יוסוב עמיר
¶
אנחנו מפנים פה להסדרים ב-13 ו-13א ודווקא בעניין הזה הם מסדרים בדיוק את היחסים בין בעל השליטה למחזיק. אני לא מציע דווקא אגב הפיצויים ללא הוכחת נזק, אנחנו נתחיל להתערב בהסדר שקבוע פה.
היו"ר שמחה רוטמן
¶
אנחנו דיברנו על זה רבות. "פנה המבקש תחילה למחזיק, יודיע לו המחזיק אם הוא מחזיק מידע עליו וכן את שם בעל מאגר המידע ואת מענו". דיברנו על כך שבכלל לא תמיד המחזיק יודע על מי הוא מחזיק. להפך, לפעמים יש לנו אינטרס שהמחזיק לא ידע על מי הוא מחזיק. פה אנחנו לא מבקשים מהמחזיק נהלים של אבטחת מידע, אנחנו מבקשים מהמחזיק לשבת ולקרוא את המאגר ולהבין האם מאגר המידע שייך וזאת בעיה. זאת בעיה לא פשוטה.
יכול להיות שבהמשך צריך לתקן את סעיף 13 ו-13א אבל כמו שאמרתי, זה כרגע לא הנושא. אני לא מדבר כרגע על תיקון החוק, אני מדבר כרגע על השאלה על מי אני רוצה להטיל פה חובה מאוד ספציפית שבאה ואומרת שאם אתה בעל שליטה במאגר ויש בן אדם שמבקש ממך את המידע אז החובה מוטל עליך. אם אתה רוצה לעשות את זה באמצעות מחזיק או באמצעות מישהו אחר אז תעשה את זה באמצעות מי שאתה רוצה אבל החובה מוטלת עליך.
האם תהיה זו טענת הגנת תקפה אם בעל השליטה יבוא ויגיד "אני הורתי למחזיק במכתב והמחזיק גנב לי את המאגר ולכן אני לא - - -"? בסדר גמור אבל החובה על מסירת המידע מתאימה לבעל השליטה, היא לא מתאימה למחזיק לפי העניין. לכן, כן כדאי שסעיף 3 יחול על בעל שליטה.
ניר גרסון
¶
כלומר, אדוני אומר שבמצב שבו המחזיק לא שועה לבקשתו של בעל המאגר למסור את המידע אז בעצם בתביעה הנגזרת הוא גלגל את זה - - -
היו"ר שמחה רוטמן
¶
כן. הוא נתן את ההוראה אז הוא בסדר. אם המחזיק גנב לו את המאגר, מה אתה רוצה ממנו? הוא פעל בהתאם לחובתו.
נעמה מנחמי
¶
הסעיף הבא הוא סעיף 23טז1, הסתייעות במומחה חיצוני. זה בעמוד 3 למסמך ההכנה. אנחנו נקרא אותו כי יש לנו כמה שינויים בו, אלו שני דברים שנשארו מהדיונים הקודמים. נושא אחד הוא נושא שהטריד אותנו מאוד וזה הנושא של סודיות, בפרט בעקבות הדיון אז אנחנו ננסה לצמצמם את הדיון.
שני דברים הפריעו לנו, אחד מהם זה הנושא של צינון לאחר פרישה וזה נוגע לגופים שאותו מומחה חיצוני פיקח עליהם. הנושא השני שהטריד אותנו מאוד היה הידע שאותו מומחה חיצוני יוצא איתו ומחזיק במוחו. כלומר, מעבר לידיעה או איזשהו מסמך שהוא יכול להעביר או לא להעביר, הטרידה אותנו שאלת הידע, ה-know how שהוא למד על חברת שהוא היה מעורב בפיקוח או בבירור המנהלי שלהן.
ההצעה של הממשלה בעקבות הבקשות שלנו בנושא היא להוסיף סעיף שההשראה לו היא בסעיף 58 לחוק הפיקוח על מעונות היום והוא מופיע במסמך ההכנה בסעיף קטן (ג). אנחנו נקרא את הכול או שאתם רוצים להתמקד?
נעמה מנחמי
¶
בסדר.
(ה) מומחה חיצוני שהגיע אליו מידע לפי הוראות סעיף זה תוך כדי מילוי תפקידו או במהלך עבודתו, ישמרנו בסוד, לא יגלה אותו לאחר ולא יעשה בו כל שימוש
זה החלק העיקרי
אלא לפי הוראות חוק זה או חיקוק אחר או לפי צו של בית משפט.
זה הכול. זה כמעט אחד לאחד אותו סעיף 58 לחוק המעונות. אפשר גם לחשוב על תיקון של סעיף 16 שעוסק בחובת סודיות בחוק ואגב כך, אולי לצרף לשם את הממונה על הגנת הפרטיות, שאני לא בטוחה שהוא תמיד מוגדר כאחד הגורמים שקיים לגביהם סעיף 16.
עמית יוסוב עמיר
¶
רק אבהיר כדי שלא ניפול לדיונים מיותרים על סעיף 16. סעיף 16 הוא בכל מקרה לא רלוונטי לעניינו ולא ייתן מענה כי הוא חל על מידע כהגדרתו, ועכשיו בתיקון החדש "מידע אישי", הוא מגן על הזכות לפרטיות של נושאיו.
היו"ר שמחה רוטמן
¶
אני חושב שהנוסח של (ה) הוא טוב, הוא נותן מענה בלי לגעת כרגע ב-16. יש למישהו הערות? מצוין.
נעמה מנחמי
¶
סעיף (ד) כבר אושר בוועדה אבל אולי נמשיך ממה שהיה (ה) והפך להיות (ז).
(ז) דינו של מומחה חיצוני כדין עובדי המדינה לעניין ההוראות הנוגעות לעובדי הציבור בחוק העונשין, התשל"ז –1977 (להלן – חוק העונשין) וההוראות בחוק שירות הציבור (מתנות), התש"ם – 1979.
בפעמים הקודמות היו לנו דיונים על עוד שני חוקים, משמעת ולפי מה שמסרה לנו הממשלה, זה ככול הנראה פחות רלוונטי כי זה עוסק בהגנה על עובדים שנמצאים בהליכים פליליים והיה לנו את סיפור הסינון שהממשלה ביקשה להוסיף אולי - - - היא ביקשה שלא להוסיף ממש בחוק אבל כן אולי - - -
נעמה מנחמי
¶
בסדר גמור.
(ח) ראש הרשות רשאי לתת למי שמתקיימים בו כל אלה אישור לשמש מומחה חיצוני:
הקראנו את זה בפעם הקודמת.
נעמה מנחמי
¶
זה בעל ידע, מומחיות ולא הורשע בעבירה שמפאת חומרתה או נסיבותיה אינו ראוי לשמש מומחה חיצוני. אני חושבת שהיה גם את נושא המב"דים נכון? אבל גם בהקשר הזה.
נעמה מנחמי
¶
רק רציתי להבהיר שהנושא של מב"דים הוא בסעיף קטן (ט), הוא כתוב קצת שונה אבל מבחינה מהותית זה אותו דבר. הסעיף שעוד לא אישרנו זה סעיף (י).
(י)(1) לא ימונה למומחה חיצוני ולא יכהן כמומחה חיצוני כאמור מי שבשל כהונתו יימצא באופן תדיר, במצב של ניגוד עניינים;
(2) מומחה חיצוני לא יטפל במסגרת תפקידו בנושא שהטיפול בו ]עלול לגרום] יגרום לו להימצא במצב של ניגוד עניינים;
(3) נודע למומחה חיצוני כי הוא עלול להימצא במצב של ניגוד עניינים כאמור בפסקאות (1) או (2) יודיע על כך בהקדם האפשרי לראש הרשות.
היו"ר שמחה רוטמן
¶
ב-(2) זה "יגרום לו", ב-(3) זה "עלול" ואז ממילא, אם זה "יגרום" זה קטגורי, אם זה "עלול לגרום" אז הוא מודיע לראש הרשות ואז ראש הרשות יחליט מה עושים, מן הסתם.
נעמה מנחמי
¶
או-קיי, אז נשאיר "יגרום".
(יא) הודעה על אישור לשמש מומחה חיצוני [ורשימת המומחים החיצוניים המעודכנת] תפורסם באתר האינטרנט של הרשות.
(יב) בסעיף זה –
"בן משפחה" – בן זוג, הורה, הורה הורה , בן או בת ובני זוגם, אח או אחות וילדיהם, חם, חמות, נכד או נכדה, לרבות קרוב כאמור שהוא שלוב [חורג];
"בעל עניין" – כהגדרתו בחוק ניירות ערך, התשכ"ח 1968;
"טיפול" – לרבות קבלת החלטה, העלאת נושא לדיון, נוכחות בדיון, השתתפות בדיון או בהצבעה, או עיסוק בנושא מחוץ לדיון;
"ניגוד עניינים", של מומחה חיצוני
נעמה מנחמי
¶
הקראתי כבר את ניגוד עניינים?
של מומחה חיצוני – ניגוד עניינים בין מילוי תפקידו לבין עניין אישי או תפקיד אחר, שלו או של קרובו;
הנה הקרוב. עוד שנייה נגיע למשפחה.
"קרוב" – כל אחד מאלה
¶
(1) בן משפחה של מומחה חיצוני;
(2) אדם שלמומחה החיצוני יש עניין במצבו הכלכלי;
(3) תאגיד שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה (2), הם בעלי עניין בו;
(4) גוף שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה (2) הם מנהלים או עובדים אחראים בו.
הסעיף הזה התבקש לבקשת הממשלה מכיוון שמאז שהוגשה הצעת החוק, המודל של נושא הניגוד עניינים עודכן וזה המודל החדש של החקיקה בנושא ניגוד עניינים.
היו"ר שמחה רוטמן
¶
טוב. נראה לי שבמדינת ישראל ניגוד עניינים זה לנשום עם ההגדרות הרחבות האלה. הערות? יאללה, נתקדם.
נעמה מנחמי
¶
מהפעם הקודמת נותר לנו "הסתייעות במי שאינו עובד המדינה לשם פיקוח רוחב". שינינו את הדברים קצת מבחינת ניסוח אבל נשאר לנו סעיף קטן (ג) שזה "על גורם מסייע יחולו הוראות סעיפים קטנים - - - בשינויים המחויבים".
אותם סעיפים שהקראנו עכשיו לגבי המומחה החיצוני, יחולו גם לעניין אותו מפקח רוחב.
היו"ר שמחה רוטמן
¶
אני רק אומר שבשנייה שהפיקוח הוא פיקוח רוחב רוחבי למדינה אז למי אין - - - מחר הם יעשו פיקוח רוחב על מגזר עורכי דין או רואי חשבון. למי אין מישהו שבכל ההגדרה הזאת של קרוב או משהו שהוא עורך דין, רואה חשבון או איש הייטק? זה כולם בהגדרות המאוד רחבות האלה.
ראובן אידלמן
¶
למזלנו, יש מגבלות תקציב אז זאת עדיין תהיה רשימה של גופים. זה יכול להיות 80 משרדי רואי חשבון או משרדי עורכי דין, זה לא יהיה 1,000.
היו"ר שמחה רוטמן
¶
בסדר, אבל בפיקוח רוחב אנחנו לא נכנסים לקישקעס של העסק ומאגר המידע שלו באותה רמה של מומחה חיצוני ולכן, להחיל את זה באותה רמה זה נראה קצת מרחיק לכת.
היו"ר שמחה רוטמן
¶
לא, אני מסכים אבל בפיקוח רוחב השאלות הן שאלות מאוד נרחבות. אנחנו מאוד דאגנו מהמומחה החיצוני שבאמת יש לו ידע מתאים על מערכת מאוד מסוימת, הוא נכנס פנימה, צולל ויודע את כל הסודות המסחריים, על מי הם מחזיקים ועל מי הם לא מחזיקים אז זה משהו אחד.
פיקוח רוחב זה משהו הרבה יותר רחב. המילים "בשינויים המחויבים" יכולה לכסות על זה אבל לפחות ברמת הבהרת כוונתי, אני לא מתכנן שבשנייה שיש מישהו בדרגה של נכד או בן דוד - - -
היו"ר שמחה רוטמן
¶
לא יודע, אז הוא מנוע מלעשות בפיקוח הרוחב. כלומר, שזה לא יהיה ברמה הזאת. אם אתה שולח להשלמות ספציפיות אז אל תשלח אותו למשרד של אח שלו.
נעמה מנחמי
¶
בכל מקרה, יש עוד כמה סעיפים בחוק והשאלה היא ביחס לאיזה מהם - - - אני רואה שזה קצת מורכב, אולי פשוט נציע לוועדה לגבי איזה סעיפים.
היו"ר שמחה רוטמן
¶
יכול להיות שהמילים "בשינויים המחויבים" מכסות את זה. אני נותן פה הערה פרשנית לפעול פה בשכל.
היו"ר שמחה רוטמן
¶
(י), (יא), (יב), כן. (י) זה לא ימנה מי שעשוי להיות בניגוד עניינים, (יא) זה הנושא של פרסום, (יב) זה ההגדרות של קרובי משפחה.
ראובן אידלמן
¶
הפרסום דווקא פחות מתאים גם בהיבט של מה שקורה היום. היום, אנחנו לא מפרסמים את רשימת משרדי רואי החשבון שמסייעים בהליך פיקוח הרוחב.
ראובן אידלמן
¶
כשאדם מקבל הודעה אז זה מצוין בהודעה, "יעמוד איתך בקשר משרד כך וכך" אבל אנחנו לא מפרסמים מראש רשימה של כל המשרדים שאנחנו עובדים איתם.
ראובן אידלמן
¶
זאת שאלה של מכרז. יש מכרז שנעשה פה, אנחנו לא בוחרים. יש הליך מכרזי מאוד מקיף ובסוף ההליך הזה אנחנו בוחרים משרדי רואי חשבון.
היו"ר שמחה רוטמן
¶
אני לא רואה סיבה שלא יהיה בדיוק בגלל ניגוד העניינים. נניח שאני שם לב שאיזה משרד רואי חשבון זכה במכרז ופתאום כל הגופים שהסתכסכו איתו ופתאום כל הגופים שהסתכסכו איתו מקבלים פתאום פיקוחי רוחב. לא יודע, אני לא רואה בעיה שזה יפורסם.
ראובן אידלמן
¶
אני לא יודע, צריך להבהיר את זה שזה חלק מ-"בשינויים המחויבים". אולי צריך להבהיר את זה בטקסט.
היו"ר שמחה רוטמן
¶
משרד, זה יכול להיות אדם פרטי. אני לא מתערב לכם באופן. אתם קיבלתם רשות להסתייע במי שאינו עובד המדינה, זה גורם מסייע. תפרסמו באתר רשימה של הגורמים המסייעים שאנחנו מסתייעים בהם בפיקוחי רוחב.
נעמה מנחמי
¶
אני מניחה שגם הסעיפים שעוסקים במי רשאי לשמש כמומחה – כלומר "לא הורשע בעבירה" אז זה (ח2) ו-(ט) – הם גם רלוונטיים.
היו"ר שמחה רוטמן
¶
כל (ח) ו-(ט), הכול רלוונטי. שוב, "בשינויים המחויבים" בסופו של דבר, הפרשנות של "בשינויים המחויבים" זאת פרשנות שלהם אבל לכאורה, כל הסעיף הזה מתאים.
ראובן אידלמן
¶
מכיוון שיש כאן הסדר מקיף, גם לעניין המומחים החיצוניים בתחום אבטחת המידע וגם לעניין פיקוחי הרוחב, אנחנו חוזרים על בקשתנו מהוועדה מהדיונים הראשונים לבטל את סעיף 10ז לחוק הקיים שקובע שדין הרשם ומי שפועל מטעמו כדין עובד המדינה.
זאת הייתה העמדה שלנו מלכתחילה בהצעת החוק הממשלתית. זה סעיף שהוא ארכאי והוא צריך להתבטל ומכיוון שגם יצרנו כאן הסדר מקיף לשני הדברים האלה אז אנחנו חושבים שזה מחזק את זה שאין צורך בסעיף גורף בעניין הזה.
נעמה מנחמי
¶
אני רוצה להתייחס לדבר אחד. עד שהגעתם אלינו וגילנו שיש את כל נושא פיקוחי הרוחב שלא מוסדר כסעיף נפרד אז הסעיף היחיד שהחזיק איזשהו משהו לגביהם היה אותו סעיף קטן (ז) שציינת עכשיו.
מאחר ויש לנו כאן שני סעיפים שהם מאוד קונקרטיים אז אולי אפשר להחריג כמובן. מי שיש לגביו הסדר ספציפי אז זה הגיוני אבל אם אתם מעסיקים עכשיו עוד גורם שהוא לא אחד מהשניים האלה ואין לגביו הסדר ספציפי אז כן הייתי רוצה שיחול משהו.
נעמה מנחמי
¶
למיטב זכרוני, אפילו אמרתם שיש לכם עוד גורם שעוזר לכם במסגרת ההליכים הפלילים ואותו לא הזכרנו.
היו"ר שמחה רוטמן
¶
בסדר אבל למה שלא יחולו עליו הכללים של עובד המדינה בהקשר הזה, על מי שפועל מטעם הרשם לעניין שמירת סודיות או מתנות. לא יודע. בוא נניח שהוא לא מפעיל סמכות מול אזרח או לא בא בקשר עם אזרח אבל לך יש יועץ קבוע שמועסק במכרז שהוא לא עובד מדינה והוא יושב אצלך ומנהל לך את רישום המאגר. לכאורה, צריכים לחול עליו אותם דינים של עובד מדינה גם אם הוא ממכרז חיצוני.
עמית יוסוב עמיר
¶
עוד שנייה הרשות תתייחס אבל צריך לתת את התמונה הרחבה. הרשות להגנת הפרטיות לא ממש המציאה את נושא מיקור החוץ בשירות הציבורי, יש כללים והלכות בנושא. זאת אומרת, מתי מותר להסתייע בלי הסמכה כאשר מדובר בהסתייעות ללא אצילת שיקול הדעת, מתי יש הפרה של שיקול דעת מהותי ועד ללא הסמכה בחוק כמו שמופיע כאן לגבי אותם תפקידים מסוימים. אי-אפשר להאציל את הפעולה על גורם חיצוני שהוא לא מעובדי המדינה, סתם כך.
עמית יוסוב עמיר
¶
כן אבל המבחן הוא לא הגעה או אי-הגעה לחומרים רגישים. אני שוב פעם אומר שיש הרבה מאוד גופים וזאת בעצם המשמעות של מחזיק, מחזיק של גוף ציבורי עשוי להגיע לחומרים הרגישים בלי קשר לרשות להגנת הפרטיות. זאת גם אסדרה מאוד גורפת. ראינו עכשיו גורם פרטי שנתנו לו סמכות שלטונית של דרישת ידיעות ומסכמים ותפרנו לו הסדר מיוחד שהוא לא מחיל עליו את כל הכללים של עובדי המדינה אלא כללים מסוימים שרלוונטיים.
הסעיף הכללי בחקיקה הישנה לוקח כל מיני יועצים שאין להם שום סמכות שלטונית ומחיל עליהם הסדר שהוא יותר רחב מההסדר המפורט ומצומצם שקבענו פה לגבי מי שנתנו לו סמכות שלטונית.
היו"ר שמחה רוטמן
¶
בסדר. אני לא מחיל עליהם שום הסדר כי לכאורה, אני משאיר את המצב הקיים לגביהם אבל אני לא יכול אפילו לחזות את הכול. מחר בבוקר יהיה מומחה AI, אני לא יודע מה העתיד צופן לנו. פה ניתחנו שני סוגים של אנשים בעלי תפקידים שפועלים מטעם הרשם, מה צריך להם ומה לא צריך להם.
אתם צודקים. פעם הבאה, אתם תרצו להשתמש בגורם אחר ואז נעשה את אותו fine tuning אבל כל זמן שאני לא עושה fine tuning אני צריך איזושהי סמיכה רחבה. אני לא רוצה להוריד משהו ואני גם לא משנה את המצב, אני משאיר את המצב כמו שהוא. מה שהיה להם עד היום זה מה שיהיה וכמו שזה פורש עד היום, זה יפורש מכאן ולהבא אבל אני לא רוצה לייצר מצב – דווקא בגלל ההיקף הנרחב של רגולטור של כל המשק – ואני לא רוצה לקנות חתול בשק בהקשר הזה.
אני מעדיף להשאיר את זה וברור שיש פה הסדר שלילי. פה במקרה הזה יש הסדר שלילי. זאת אומרת, ברור שאם יש הוראה ספציפית שאומרת על עובדים שמי שפועל מטעם הרשם, יראו אותו כדין עובד המדינה וזה לא מפורט אז אני לא יודע איך זה מתפרש אבל פה עשיתי את זה ספציפית והחלתי את זה ספציפית לגבי שני סוגים אז זה חל עליהם ולא חל עליהם הסעיף הכללי.
ראובן אידלמן
¶
אני חושב שאולי בכל זאת צריך לכל הפחות להחריג בטקסט את ההסדרים כי אחרת זה מאיין את ההסדרים המורכבים והטובים שהוועדה יצרה כאן לגבי העובדים האלה.
ראובן אידלמן
¶
אולי רק להבהיר. למשל, יכולה להיות טענה שחוק המשמעת חל כי דינם כדין עובדי המדינה בעוד שאנחנו הצגנו טעמים טובים בישיבות ההכנה למה לא נכון להחיל את חוק המשמעת.
היו"ר שמחה רוטמן
¶
אפשר להוסיף שם משפט "כל עוד לא נקבע אחרת בחוק, מי שפועל מטעם הזה דינו כדין עובד המדינה".
ראובן אידלמן
¶
אחד הרעיונות שאדוני העלה בדיון הקודם בנושא הזה היה פשוט לכתוב בחוק שזה ייקבע בהסכם. הצענו נוסח בעניין הזה ומבחינתו זה מקובל.
ראובן אידלמן
¶
אנחנו הצענו לכתוב "בהתקשרות עם ממוחה חיצוני, יקבעו תנאים בעניין ההגבלות שיחולו עליו לאחר סיום ההתקשרות". ברור שזה מחייב לקבוע את זה וזה גם על דעת נציבות שירות המדינה. עשינו עבודה בעניין הזה.
היו"ר שמחה רוטמן
¶
זה נראה הגיוני, בסדר גמור. הערות לפרק זה? אפשר להתקדם. אני לא יודע אם אין לכם הערות או שפשוט עייפתי אתכם בכל הדיונים הקודמים.
נעמה מנחמי
¶
בסדר גמור. בנושא העיצומים יש לנו עוד שני מסמכים. הראשון זה מסמך המודל שכולל גם את תקנות ההפרטה ובסופו גם את תקנות הגישור או בשמן המלא "הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי" ויש לנו עוד מסמך אחד בנושא תקנות אבטחת מידע. אולי נתחיל מהמודל?
ראובן אידלמן
¶
אנחנו מבקשים להציג את המודל. מכיוון שזה מודל חדש שכתבנו בעקבות הערות הוועדה, אנחנו מבקשים להציג אותו בצורה מסודרת. יש לנו מצגת אז נשמח אם אפשר לקבל כמה דקות להציג את הרעיון המסדר בצורה מסדרת ואז נצלול לתוך הטקסט.
ראובן אידלמן
¶
המודל שהופיע בהצעת החוק הממשלתית הונח בפני הוועדה וההערה המרכזית של הוועדה בדיון הקודם בנושא הזה הייתה שהמודל קובע מדרגות באופן גורף על כל ההפרות של החוק לפי גודל המאגר, גם אם יש מידע בעל רגישות מיוחדת או לא וגם לפי גודל המאגר.
אדוני, בדיון הקודם עברנו ואתה סימנת במפורש על אילו הפרות מבחינתך ראוי שהמכפלות בהן יהיו לפי גודל המאגר ואיזה לא. זה מה שהנחה אותנו בבניית המודל החדש. חילקנו בין הפרות שאנחנו קוראים להן "הפרות פרטניות" ואלה הפרות שהמכפלות בהן לא צריכות להיות תלויות בגודל המאגר, לבין הפרות שחלות על כל המאגר, בדומה להפרות בתחום אבטחת המידע, למשל.
אני מזכיר שבנושא אבטחת מידע, היה מקובל על הוועדה שגודל המאגר הוא כן פרמטר רלוונטי כי זה חל על כל המאגר. קודם כול, מבחינת הסכומים שינינו גם את הסכומים מכיוון שכל המדרגות והמכפלות הן אחרות. אנחנו מציעים שהסכום הבסיסי יהיה 40 אלף למידע רגיש ו-80 אלף למידע בעל רגישות מיוחדת ולגבי גופים קטנים יותר – אם תרצו, עסקים קטנים שבהם פחות מ-1,000 נושאי מידע – הצענו סכומים מוקטנים.
ראובן אידלמן
¶
לא, בסדר. אנחנו מסתכלים על הסכום הבסיסי. מקודם, כל הסכומים היו לפי גודל מאגר. המטרה הייתה לייצור פה הסדר ספציפי, זה נכון שהוא לפי גודל מאגר. אנחנו סבורים שלא נכון להיכנס מלכתחילה לשאלה של מחזור העסקאות של העסק, יש את זה בתקנות ההפחתה.
אם עסק רוצה לטעון להפחתה על בסיס מחזור העסקאות אז זה קיים שם אבל מכיוון שהרשות להגנת הפרטיות – אולי בשונה מגופים כמו רשות לניירות ערך – לא עוסקת בעניינים של מחזור עסקאות ושל דו"חות חשבוניים אז אנחנו חושבים שההבחנה הרלוונטית צריכה להיות על פי המטריה שלנו שבה יש לנו מומחיות וזה באמת גודל המאגר ולא מחזור העסקאות של אותו העסק.
אם זה נטען במסגרת בקשה להפחתה אז זה דבר אחר אבל אנחנו לא חשבנו שבכל תיק, צריך להיכנס לשאלה של מחזור עסקאות. זה לא הביזנס שלנו, לא המומחיות שלנו ואנחנו חושבים שזה לא נכון מבחינת האינטרס הציבורי.
ראובן אידלמן
¶
תכף נפרט אבל אני רק אזכיר שהגשנו לוועדה גם סקירה משווה בדיון הראשון שעסק בעיצומים לתקנות אבטחת מידע. הגשנו סקירה משווה של היקפי העיצומים שמוטלים במדינות ה-GDPR ובמדינות נוספות שיש בהן חקיקת פרטיות מודרנית וכפי שהוועדה התרשמה, הסכומים שם הם הרבה יותר גבוהים. זאת אומרת, מוטלים עיצומים במיליוני יורו, גם על ענייני אבטחת מידע. יש לנו פירוט עם לינקים להחלטות ויש לי כאן עוד עותק עם אדוני ירצה לראות שוב אבל הוועדה התרשמה מזה בפעם הקודמת.
בשקף הבא הקבוצה הראשונה זו הקבוצה של ההפרות הפרטניות ועל פניו, היא באמת לא קשורה לכל המאגר. זאת אומרת, זה סירוב למתן זכות עיון, אי-ביצוע תיקון, עניינים שקשורים לדיוור ישיר – למשל, מחיקה ממאגר דיוור ישיר. יש זכות מחיקה ממאגר דיוור ישיר, להבדיל מזכות מחיקה כללית – או בקשת נושא מידע שהמידע עליו בדיוור ישיר לא יימסר.
אלה דברים שאנחנו כוללים אותם בקבוצת ההפרות הפרטניות. יש שאלה לגבי ההפרות של סעיף (11) וזאת שאלה שהתחדדה גם בדיון הקודם בנושא הזה וגם פה אדוני קצת התלבט בעניין הזה בפעם הקודמת. האם ההפרה לפי סעיף (11) היא הפרה פרטנית או שהיא הפרה שנוגעת לכל גודל המאגר?
ההצעה שלנו זה הפתרון שהגענו אליו פה וזה לעשות הפרדה. כשההפרה היא ביחס לכמות לא ענקית אז זאת תהיה הפרה פרטנית עם הפרות של מכפלות פרטניות. בדרך כלל, ההפרה על סעיף (11) תהיה הודעה גנרית, למשל במדיניות הפרטיות באתר והיא יכולה לפנות למאות אלפי אנשים ואם לא נמסר שם כל המידע שצריך להימסר אז זה כתלות בכמות האנשים שמסרו מידע באתר הזה, אנחנו נוכל לקבוע - - -
היו"ר שמחה רוטמן
¶
על הקבוצה של הפרטניות שאינן נוגעות לכלל המידע במאגר, גובה העיצום הוא הסכום הבסיסי שגם קשור לגודל המאגר אז מה עשינו בזה?
היו"ר שמחה רוטמן
¶
זה לא קשור לגוף קטן. גם חנות שכונתית קטנה מגיעה מאוד מהר ל-1,000 נושאי מידע. גם למכולת שכונתית בשכונה בתל אביב יש יותר מ-1,000 לקוחות בחודש, אני מקווה לטובתה וגם למשרד עורכי דין קטן.
תכף נדבר על ההפרות ואתה תציג את זה אבל הפירוש של הפרות פרטניות שאינן נוגעות לכלל המידע במאגר, זה שאינן נוגעות לכלל המידע במאגר. למה שגובה העיצום בהם יהיה שונה אם ההפרה נעשתה במאגר שיש בו 3,000 אנשים או שהיא נעשתה במאגר שיש בו 1,000 אנשים?
אנחנו תכף נדבר על אם צריך לעשות לפי גודל העסק או לא צריך אבל מה הרלוונטיות של כמות האנשים שאני מחזיק אצלי במאגר לשאלה של "לא תיקנתי מידע על פי הנחיית בעל השליטה או בית המשפט? היה לי פסק דין של בית משפט, נקודתי למחזיק שבא ואמר לו לעשות משהו. למה שזה יעניין אותו כמה עוד מידעים אחרים יש במאגר שלגביהם לא בוצעה ההפרה?
ראובן אידלמן
¶
מבחינתנו, אנחנו מוכנים להוריד את המדרגה הנמוכה יותר ולהישאר רק עם מדרגה שהיא לא תלויה בגודל מאגר. הרעיון היה לתת מענה לגופים קטנים וזה המענה שחשבנו לתת.
ראובן אידלמן
¶
מבחינתנו, אפשר להישאר רק עם סכום אחיד. מכיוון שבדיון הקודם אדוני סבר שזה לא צריך להיות קשור לגודל מאגר אז ההכפלה שאנחנו מציעים ביחס לקבוצה הזאת היא לגבי מפר שיטתי.
בתוך אותו הליך אכיפה, אם נמצאו לגביו כמה הפרות של החוק – אלו יכולות להיות כמה הפרות בקבוצה הזאת או כמה הפרות בקבוצה אחרת – אז חשבנו שכן צריכות להיות מכפלות. למרות שזאת הפרה נקודתית לזכות עיון, אם זה מפר שיטתי שנתפס על שורה של הפרות שיטתיות אז העיצום יהיה גבוהה יותר. זאת התפיסה שלנו כי אחרת יוצא שאין מכפלות בכלל וחברה מאוד גדולה, בסדר גודל של Amazon, יכולה לסיים עם עיצום מאוד נמוך על הפרות של - - -
היו"ר שמחה רוטמן
¶
אם Amazon עשתה את ההפרה הזאת במאגר מאוד קטן של מספר האנשים שרכשו את הספר "כיצד לרכוש ידידים והשפעה בחברה".
היו"ר שמחה רוטמן
¶
הם עשו מאגר נפרד כי הם גילו שהאנשים האלה הם אנשים נורא מסכנים שמחפשים ספר משנות ה-50 או ה-60, הם לא מעודכנים והם outdated ולכן הם רוצים לשווק להם עובדים זרים מהפיליפינים. זה מאוד ממוקד ומפולח, המאגר הוא נורא אבל הוא מוחזק על ידי Amazon. אתה שם לב שאתה בעצמך הולך לטיעון של החברה הגדולה וההרתעה ואז כל פעם אתה חוזר לגודל המאגר.
נניח ש-Amazon זכתה במכרז של אנשים שחולים בסרטן מח העצם מסוג מאוד נדיר בישראל ויש שם 20 אנשים. אתה רוצה קנס על זה אז מה זה קשור לשאלה? אני רוצה שזה יהיה מאוד חמור ואם בן אדם רוצה לטעון שאין לו את הסרטן הזה והם סתם מחזיקים עליו את המידע אז השאלה של גודל המאגר היא פשוט לא רלוונטית. אתה בעצמך הלכת למקום של גודל החברה.
ראובן אידלמן
¶
ביחס למקרה קצה. ההצעה כאן היא ביחס למקרה קצת כדי להחריג עסקים קטנים כי אנחנו יודעים - - -
ראובן אידלמן
¶
בואו נעבור לקבוצה השנייה. הקבוצה השנייה היא הפרות שנוגעות לכלל המידע במאגר והפילוח הזה הוא לפי מעבר שעשינו ביחד עם אדוני בדיון הקודם כשעברנו סעיף, סעיף. הנקודה הראשונה היא עיצום דו-שלבי וזה אותו סעיף שאוסר על איסוף מידע שלא כדין.
הנקודה השנייה קשורה לדיונים שלנו על צמידות המטרה, זה מה שאדוני קרא לו "ההפרה הרישומית של צמידות המטרה". אנחנו תכף נגיע להפרות אחרות בהקשר הזה. אי-מינוי ממונה אבטחת מידע, אי-מינוי ממונה הגנת פרטיות, ניהול מאגר שאינו רשום, אי-מסירת פרטים במאגר שאינו רשום, אלה הכול הפרות שבדיון הקודם אדוני סבר שהן קשורות לגודל המאגר.
בשקף הבא יש לנו גם כן את סעיף (11) אבל כשההפרה היא ביחס למעל 1,000 אנשים, זה לא לפי גודל המאגר אלא ביחס לכמות האנשים שנעשתה ביחס אליהם ההפרה. זאת ההבחנה בסעיף (11). יש כאן שורה של הפרות שנוגעות לפרק ד2, להעברת מידע בין גופים ציבוריים, אי-מסירת הודעה לרשות ואי קיום רישום ויש כאן מספר הפרות שנוגעות לדיוור ישיר – אולי נצלול אחר כך בתוך הטקסט להפרות עצמן. לא נתעכב עליהן עכשיו, זה רק כדי להבין את הרעיון המסדר.
הנקודה האחרונה היא אי-שיתוף פעולה בתוך הליך אכיפה של רשות. גם כאן אנחנו חשבנו שאי-מסירת מסמך או עותק - - - גוף שמסרב זה משהו שחשבנו שהוא כן צריך להיות קשור לגודל המאגר.
בשקף הבא יש לנו את הקבוצה של צמידות המטרה והסיבה שהגדרנו אותה כאן בנפרד היא שמלכתחילה העיצום בה הוא גבוה יותר וכך גם הגדרנו בהצעת החוק הממשלתית. אני מזכיר שאלה ההפרות החמורות ביותר של החוק וזאת גם הסיבה שהתעכבנו עליהן רבות בדיוני הוועדה.
הרשימה שיש כאן היא של ההפרות שהוועדה כבר אישרה ברמה המהותית אפילו שהנוסח עוד לא סגור. גם ההפרות האלה הן בקבוצה של אלה שתלויות בגודל המאגר אבל הן מתחילות בעיצום שמלכתחילה הוא פי ארבע מהסכום הבסיסי.
המכפלות ביחס לכל הקבוצה הזאת שקשורה לגודל המאגר היא עד 100 אלף, סכום בסיסי. מעל 100 אלף, פי שתיים. מעל 500 אלף, פי ארבע. מעל מיליון, פי שמונה. זה המודל ואני חושב שהוא לא מודל מאוד מורכב. אני חייב לומר שהוא היה קצת יותר מורכב ואנחנו פישטנו אותו לאורך הדרך, גם בישיבות שלנו עם הייעוץ המשפטי. אני חושב שעכשיו הוא יחסית פשוט. יש שתי קבוצות ושני עקרונות, הפרות פרטניות שלא הולכות לפי גודל המאגר וקבוצה של הפרות שכן הולכת לפי גודל המאגר.
ד"ר רחל ארידור הרשקוביץ
¶
ד"ר רחל ארידור הרשקוביץ מהמכון הישראלי לדמוקרטיה. לאורך כל הדרך נאמר שמהות התיקון היא להעצים את הרשות להגנת הפרטיות ולתת בידיה סמכויות עם שייניים משמעותיות שמותאמות לעידן שלנו היום.
ככול שחולף הזמן ואנחנו מבינים איך עובד בפועל השימוש במאגר, אני חושבת שצריכה לחלחל ההבנה שהמודל הזה הוא לא מודל מתאים וסכומי העיצומים הם נמוכים מידי. אני מבינה שאתם לא רגילים לעשות משהו שהוא לא לפי מספר נושאי המידע אבל יש לנו רשויות להגנת פרטיות ברחבי העולם שמתייחסות למספר נושאי המידע כאחד השיקולים אבל זה רק אחד השיקולים, יש להם הרבה שיקולים אחרים, סכומי העיצומים הם הרבה יותר גבוהים וכן, במקרים מסוימים מתייחסים להכנסה השנתית של התאגיד או קבוצת חברות.
אני לא מבינה למה הרשות להגנת הפרטיות לא יכולה להגיד "עד עכשיו עשינו א' אבל מעכשיו אנחנו מבינים שאנחנו צריכים לצמוח, לקבל סמכויות אכיפה משמעותית יותר ולשנות את המודל הזה באופן שיתאים אותו למה שרואים באירופה, למשל.
ד"ר רחל ארידור הרשקוביץ
¶
אף אחד אחר פה לא יגיד, הם כולם מרוצים מגובה העיצומים. כשהתעשייה שותקת, צריכים להיות מודאגים.
ראובן אידלמן
¶
אולי נתייחס למה שעלה? קודם כול, אני רוצה להזכיר שוב שלגבי תקנות אבטחת מידע, הוועדה קיבלה את העמדה העקרונית שלנו שהמדרגות צריכות להיות לפי רמות האבטחה ורמות האבטחה נגזרות מגודל המאגר.
ראובן אידלמן
¶
יש לנו בסיס ואז השאלה היא אם יש שיקולים מהותיים להבחנה בין הפרות אבטחת מידע לבין ההפרות שנוגעות לגודל המאגר כאן. אני לא מדבר על הפרטניות, אנחנו חושבים - - -
היו"ר שמחה רוטמן
¶
בואו נעבור שלב, שלב. ראשית לגבי ההשוואה לאיחוד האירופי, אני מאוד מקווה שיום אחד אנחנו נגיע לשם אבל יש גם את הנושא של בסיסי העיבוד שאנחנו מדברים עליהם כל הזמן - - - יש עוד מנגנונים שמייצרים ולכן, אני אומר את זה כסוג של אמצע.
מצד אחד, אני לא מתרגש כשאומרים לי "תראה כמה עיצומים נותנים באיחוד האירופי" כי יש הרבה יותר בסיסי עיבוד ואפשרויות הגנה. בעזרת השם, כשיהיו פה בסיסי עיבוד אז באמת יכול להיות שיהיה יותר קל לבוא ולדרוש יותר כי בסופו של דבר, מה שאתה נותן זה מה שאתה מקבל בהקשר הזה.
מהצד השני, ההשוואה היא לאיזו מידת שיקול דעת. ככול שאני מגדיל את העיצום בצורה הזאת אז אני מעניק יותר שיקול דעת לרשות כי אין בסיסי עיבוד אז אני מפחד לתת את הסכומים הגדולים האלה ואת היכולות.
כלומר, זה נכון גם מבחינת מה מותר למשק וגם נכון מבחינת מה אסור למשק ומה מעצים את שיקול הדעת שבידי הרשות. הטיעון הזה עובד לשני הכיוונים ולכן אני שם אותו בצד לשנייה. אני כן אומר דבר אחד, בהפרות שהן נקודתיות – מה שנקרא, פרטניות – העיצום צריך להיות מנותק מגודל המאגר, נקודה וסוף פסוק. זה לא יכול להיות "סכום בסיסי" ולא סכום לא בסיסי, זה פשוט צריך להיות מנותק.
פה אני מתחבר מאוד להערה של רחל. באופן טבעי, אם אנחנו עוסקים בנושאי מידע אז במאגרים גדולים המכפלות יהיו מאוד גדולות אבל כן בעיצום. אפילו ברמת העיצום. אפשר לחדד את העניין אבל בואו ניקח את הדוגמה של "סירב לאפשר לאדם שמידע עליו מוחזק במאגר מידע לעיין במידע שעליו". זה יכול להיות למישהו שמחזיק מאגר מידע מאוד גדול ויכול להיות שהוא קיבל אלפי פניות ולא נתן לעיין אז אם יהיה לי סכום בסיסי שהוא אפילו נמוך, נניח 1,000 שקלים אז אני אגיע למיליון שקלים כי הוא לא נתן ל-1,000 נושאי מידע לעיין במידע שלהם.
היו"ר שמחה רוטמן
¶
אבל אנחנו עוד לא בשלב הפרקטיקה. בשביל הפרקטיקה אני נתתי את התביעות האישיות ושם בן אדם חשוף לעשרת אלפים על כל מקרה פרטני.
היו"ר שמחה רוטמן
¶
שנייה, אני הבאתי דוגמה אחת. "פנייה לאדם לשם החזקתו או שימוש במאגר מידע מבלי שמסר לו הודעה כנדרש", זה נכון שאם זה יהיה אתר אינטרנט אז זאת פנייה אחת. אני מסכים שאם בן אדם פרסם הועדה לכלל הציבור אז זאת פנייה אחת אבל אם אני שלחתי מייל ל-20 אלף אנשים אז שלחתי 20 אלף פניות ולכן, גם אם העיצום הכספי על כל פנייה הוא נמוך, עדיין צריך להכפיל אותו ב-20 אלף כי יש פה 20 אלף אנשים שקיבלו פנייה ואתה שלחת ל-20 אלף אנשים פנייה. העובדה שלחצת Enter פעם אחת לא משנה, אתה עשית 20 אלף פעולות.
כאשר הפוקוס – איזה פרק זה הפרק של הפניות הפרטניות? – הוא נושא המידע, זאת אומרת האנשים שקיבלו פנייה, שלחת להם פנייה, לא הודעת להם או שלא תיקנת מידע נוגע לגביהם באופן גורף אז אתם תמצאו הרבה מאוד הפרות במאגר גדול ובדרך הטבע, פחות הפרות במאגר קטן ולכן, פעולת ההכפלה החשבונית לא מפחידה אותי.
אם כתוצאה מזה, זה יגרום לזה שבמאגר גדול שנמצא בידיים של Amazon אתה תגיע לקנס של 50 מיליון בגלל שהקנס הבסיסי הוא 50 שקלים אבל זה נעשה על מיליון אנשים אז לא אכפת לי. לעומת זאת במאגר הקטן, גם אם הוא עשה את ההפרה הזאת לגבי 3- אנשים או 100 אנשים והקנס יהיה קטן בסיסית אז זה לא יפגע.
אני חושב שהפרטניות צריכות להיות מנותקות לחלוטין מגודל המאגר. אפשר להתווכח לגבי מה צריך להיות שם ומה לא צריך להיות שם. יכול להיות שיש שם דברים שאנחנו שמנו אותם בפרטניות וזאת טעות ויכול להיות שיש דברים שאנחנו שמנו בכלליות והם אמורים להיות בפרטניות אבל אני הייתי רוצה שהקנס בפרטניות שעוסקות בנושאי מידע, יהיה אפילו נמוך יותר אבל עם האפשרות להכפיל לפי נושאי המידע ואז באופן טבעי התוצאה היא שמי שהוא עבריין שיטתי ומחזיק מאגר מידע גדול אז העיצום הכספי עליו יהיה גדול משמעותית מאשר למישהו שהוא קטן.
אין לי אינטרס מוגן וזה בלי שאני שולח אתכם בשלב של הפרטני - - - יכול להיות עסק קטן שמחזיק מאגר מידע מאוד גדול ומאוד רגיש והוא יפר הרבה מאוד פעמים אז זה שהוא עסק קטן או לא עסק קטן זה לא פחות מטריד אותי, בהקשר הפרטני. לכן הפרטניות צריכות להיות מנותקות לחלוטין. צריך שיהיה סכום בסיסי שנקבע לפרק הפרטני ולדעתי הוא יכול להיות הרבה יותר קטן ומה שיעשה שם את הקסם זה המכפלות שהן לפי נושאי מידע וזה באמת יותר בקו שרחל מדברת עליו.
עמית יוסוב עמיר
¶
אפשר שנייה להתייחס מתודולוגית? המומחית לנושא ההפרות ועיצומים כספיים באופן כללי נמצאת כרגע בדיון מקביל בוועדה אחרת והיא תצטרף אלינו עוד מעט. אגיד שבאופן עקרוני, יש את ההבחנה בין מעשים שונים לאותו מעשה.
היו"ר שמחה רוטמן
¶
והיה טרם יקראו ואני אענה, עוד הם מדברים ואני אשמע. דיברנו על העיצומים הכספיים, אמרו שהמומחית נמצאת מחוץ לחדר ואז בדיוק נכנסת.
עמית יוסוב עמיר
¶
באופן עקרוני, האמירה פה נוגעת לשאלה האם מעשה אחד שנעשה כלפי קבוצה גדולה של אנשים כמו למשל, שליחת הודעה לפי סעיף (11) שלא בהתאם להוראות החוק, יכול להיחשב כמעשה אחד שיהיה עליו עיצום אחד או שורה של מעשים כמספר המפרים. לדעתי, יש פה קושי לראות אלא אם כן - - -
היו"ר שמחה רוטמן
¶
בהבחנה שאני עשיתי אמרתי שלפעמים (11) - - - אני מדבר ספציפית על (11) אבל אם אנחנו בסדר עם כל שאר הסעיפים ורק על (11) זה מפריע לכם אז אנחנו נדבר עוד שנייה.
היו"ר שמחה רוטמן
¶
יכול להיות. המקרה הקלאסי יכול להיות בסעיף (ב)(1), נניח. "פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף (11) ובלבד שההפרה נעשתה ביחס למספר בני אדם שאינו עולה על 1,000", את זה אתם הכנסתם.
אני אמרתי שיש הבדל בין מצב שבו פניתי לאדם בפירוש ששמתי אתר אינטרנט. שמתי טופס ולא רשמתי שם את מה שאני צריך לרשום שם ואז לכאורה, זה מעשה אחד. אם מלא אנשים באו ומילאו את הטפסים אז אני מבין שעדיין - - -
זה גם יכול להיות לפעמים משהו שבן אדם עושה בטעות. אני העליתי טופס, ביקשתי שאנשים ירשמו פרטים וחשבתי שיפנו 20 אנשים ואז איזה אושיית רשת שיתף את זה אצלו ופתאום הגיעו אלי מיליון אנשים. אני לא חשבתי שאני פונה לכל כך הרבה אנשים, אני פניתי באתר ייעודי של מומחים למשהו כי רציתי לאסוף פרטים בשביל לעשות כנס – זאת הפרה זעירה בנסיבות העניין – לא ידעתי אז לא שמתי שם את כל הדיסקליימרים שאני צריך לשים ופתאום זה התפוצץ כי מישהו שיתף ואז אני מגלה שנשיא ארצות הברית, נשיא רוסיה וכולם ביחד שיתפו את זה וזה הגיע למיליארד צפיות וכך למעשה, פניתי בלי לדעת למיליוני אנשים ואספתי מידע שאסור היה לי לאסוף ממילוני אנשים.
זה אירוע אחד ויש הבדל בינו לבין אירוע בו אני שלחתי אימייל עם פנייה לרשימה של מיליון אנשים. אני אומר שאם אני שלחתי אימייל למיליון אנשים אז אני עשיתי מיליון הפרות, לא עשיתי הפרה אחת. העובדה שלחצתי Enter פעם אחת לא משנה את זה שעשיתי מיליון הפרות. אם העליתי אתר זה נכון שהפרתי פעם אחת גם כתוצאה מזה באו אלי מיליון.
זאת הבחנה שלדעתי קיימת ולכן בשנייה שאני אומר שעל מעשה אחד כזה אני עושה קנס קטן, גם אם אני עושה "פנייה לאדם לקבלת מידע לשם החזקתו או שימוש במאגר מידע" אז אם שלחתי את האימייל עם הפנייה ל-1,000 אנשים, אני אקבל את הקנס כפול 1,000 כי פניתי ל-1,000 אנשים, לא פניתי לאדם אחד. אם העליתי אותו באתר אז אני אהיה בבעיה כי פניתי לציבור לא מסוים של אנשים ואני לא אוכל לעשות את המכפלות. זאת הטענה שלי וחיכו שתבואי.
סוריא בשארה
¶
אני חושבת שמבחינה נורמטיבית, בדרך כלל כשמדברים על הפרה אחת מדברים על המסכת העובדתית האחת. זאת אומרת, המעשה שמהווה הפרה. אני חושבת שמבחינה נורמטיבית זה לא באמת נכון להבחין בין שני המקרים שתיארת כי גם הפנייה לרשימת תפוצה נעשית בלחיצת כפתור וגם למי שמפרסם טופס באינטרנט, יש ציפייה שייכנסו לטופס הזה מיליוני אנשים.
היו"ר שמחה רוטמן
¶
נכון אבל זאת פנייה אחת לא מסוימת. זאת פניה אחת לא מסוימת וזאת פניה מסוימת ל-1,000 אנשים. לגבי זה שזה נעשה בלחיצת כפתור אחת, בלחיצת כפתור אחת אפשר גם לזרוק פצצת אטום. זה שזה לחיצת כפתור לא הופך את זה למעשה - - -
גם לירות ירייה בודדת ברובה וגם לזרוק פצצת אטום זה לחיצה אחת ועדיין ברור שמי ששולח פצצת אטום במקום שגרים בו מיליון אנשים התכוון להרוג מיליון אנשים ולעומת זאת, מי שלחץ על כדור אחד וכתוצאה מזה - - - את יודעת מה? לחץ על כפתור הרבה יותר גדול בלי לשים לב וזה יצא אוטומט וירה בהרבה מאוד אנשים זה עדיין מעשה אחד אבל אם הוא שלח בלחיצת כפתור אחת הרבה מאוד יריות בודדות אז זה הרבה מאוד.
זה ההבדל בין פרסום לקהל לא מסוים לבין פנייה ל-1,000 אנשים מסוימים מאוד. אם צריך, אני מכון גם להבהיר את זה. אני חושב שפנייה מהסוג הראשון, אולי באמת תהיה תלויה בשאלת התוצאה. איזה מאגר נוצר לי כתוצאה מזה? אם פרסמתי באתר אינטרנט - - -
סוריא בשארה
¶
לכן אני חשבתי שזאת שאלה נורמטיבית במובן שצריך יהיה להבהיר בנוסח החוק שאם הפנייה הייתה לא מסוימת אז מספר ההפרות ייחשב בהתאם לאנשים שבאמת שיתפו - - -
היו"ר שמחה רוטמן
¶
יכול להיות אבל אז אני יכול לבוא ולהגיד שאז אני עושה סכום fixed שהוא פונקציה של גודל מאגר ואני יכול להבין את זה. אני יכול להגיד שאם כתוצאה מזה שאתה פרסמת גוגל-דוקס, נוצר לך מאגר של 50 אלף אנשים אבל פרסמת אותו פעם אחת אז בסיטואציה הזאת אני מבין את גודל המאגר. במאגר קטן אתה תקבל סכום בסיסי, במאגר גדול אתה תקבל סכום בסיסי שתיים וזה בסדר גמור. אני מבין את העניין כי אתה עשית פעולה אחת. אם פנית ל-50 אלף אנשים באמצעות מייל, סמס, וואטספ או בדרך אחרת אז יהיו לך 50 אלף הפרות קטנות.
היו"ר שמחה רוטמן
¶
זה לא מדויק כי לעוקבים ברשת חברתית - - - אלא אם כן אתה סגור רק לעוקבים וגם עם עוקבים, לא כל העוקבים רואים ואפשר שישתפו את זה.
איה מרקביץ'
¶
אני מסתכלת על סעיף (11) מול שתי הדוגמאות שאנחנו דנים בהן כאן, "פנייה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע". זאת חייבת להיות פנייה מסוימת. אני הייתי מעדיפה שסעיף (11) יהיה מנוסח אחרת ודיברנו על זה בעבר. היה עדיף שיהיה בו - - -
ראובן אידלמן
¶
בוודאי שהוא חל. הרוב המכריע של הפניות הן לא מסוימות, זאת הודעה שאדם מפרסם במדיניות הפרטיות שלו, למשל באתר.
ראובן אידלמן
¶
ואז זה לכל מי שנכנס לאתר. זה בוודאי לא פנייה לאדם מסוים, זאת פנייה לציבור הרחב וזה הרוב המוחלט של המצבים בסעיף (11).
ראובן אידלמן
¶
אני אומר את זה לפרוטוקול כדי שלא ישתמע חלילה שסעיף (11) לא חל במצב הזה ואני לא חושב - - -
ראובן אידלמן
¶
אדוני, אנחנו חושבים שהפתרון הכי אלגנטי יהיה להעביר את סעיף (11) לקבוצת ההפרות שתלויות בגודל המאגר.
ראובן אידלמן
¶
זה נראה לנו גם מבחינת הפרקטיקה של יכולת ההוכחה למי בקבוצה הראשונה ומי בקבוצה השנייה, שאדוני ציין. לדעתנו זה יהיה יותר פשוט.
היו"ר שמחה רוטמן
¶
אני לא נכנס לוויכוח של הסיטואציה של פנייה באתר. אני נוטה לחשוב שאתה צודק אבל אני לא נכנס לוויכוח הזה כרגע. ברור לך שפנייה פרטנית לאדם היא לא תלויה בגודל המאגר. זה ברור שאם הוא פנה בדיסקליימר שלו באתר שמופנה כלפי כולי עלמא אז אני מבין את הצורך ביחס לגודל המאגר. אבל אם עשיתי פנייה פרטנית לאדם?
היו"ר שמחה רוטמן
¶
לא, אתם עשיתם את זה פעמיים. פעם אחת עשיתם את זה לגבי כמות ההפרות ופעם שנייה עשיתם את זה לגבי גודל העיצום הכספי, שגם הוא תלוי בגודל המאגר.
עמית יוסוב עמיר
¶
לא, אדוני. זה ספציפית לעניין סעיף 11. מה שהצענו זה שפנייה לעד 1,000 אנשים תהיה בהפרות הפרטניות ושוב פעם, ההנחה הייתה הפוכה.
היו"ר שמחה רוטמן
¶
אם אני רוצה לפרסם בעמוד הטוויטר שלי פנייה לקבלת מידע מאנשים, אני מפרסם לינק לגוגל-דוקס וככה אני אוסף מידע על אנשים. "אם אתם רוצים לספר לי על כל עוולות הרשות להגנת הפרטיות או כל רשות אחרת אז אנא כתבו לי", ככה אני אוסף מידע על אנשים ואני משתמש במידע הזה לצרכי בין אם זה כן בסדר, לא בסדר, שלחתי הודעה, לא שלחתי הודעה או ההודעה לא בסדר. האם זה נחשב שפניתי ל-1,000 אנשים או שזה נחשב שפניתי לפחות מ-1,000 אנשים? זה תלוי בכמות העוקבים שיש לי?
היו"ר שמחה רוטמן
¶
אבל האם מסירת המידע היא לפי הפנייה או לפי המסירה? אני פניתי לקהל בלתי מסוים של אנשים, לא פניתי ל-1,000 אנשים אז איך את מסווג אותי? אתה לא יכול לייצר לי עיצום כספי כשאני לא יודע למה אני חשוף?
היו"ר שמחה רוטמן
¶
אני פניתי פעם אחת לבן אדם אחד. יותר מזה, מה אם אני עשיתי את זה במסר אישי למישהו והוא שיתף את זה, כולל צילום מסך של ה-QR שעושה את זה?
ד"ר עמרי רחום טוויג
¶
עורך דין, ד"ר עומרי רחום טוויג מגוגל ישראל. אני חושב שבהקשר הספציפי של סעיף (11), הזכות המהותית המגולמת היא למי שמסר מידע על בסיס המידע, לא למי שלא מסר. אם הפנייה הגיעה למיליון אנשים ומתוכם רק שניים מסרו את המידע, גם אם הפנייה היא שקרית לחלוטין או לא מגלמת - - - בפועל עם המידע אז אותם 900,998 אנשים שלא מסרו מידע לא נפגעו מהפעולה.
ד"ר עמרי רחום טוויג
¶
אני חושב שזאת מהות הזכות. זאת זכות נושא מידע שהופך להיות נושא מידע כשהוא מוסר את המידע.
ד"ר עמרי רחום טוויג
¶
הוא מפתח את החובה בפנייה אבל האינטרס המוגן והפגיעה במקרה של הפרה של החובה, תלויה באנשים שמסרו את המידע על בסיס הפנייה.
היו"ר שמחה רוטמן
¶
זה לא קשור כרגע לעבירה. השאלה היא לא רק - - - אם האדם מסר מידע וקיבלתי מידע במרמה, נניח שאמרתי לך משהו ועל בסיס זה מסרת לי מידע, זאת הפרה מאוד חמורה והיא בהקשר אחר. פה הנושא הוא שההודעה לא נמסה כמו שצריך. הבעיה שלי היא שאנשים אוספים מידע בצורה מאוד רחבה, big data, ומנסים שוב ושוב. יכול להיות שהם יצליחו בניסיון העשירי אבל עצם המציאות של הטורפים שמסתובבים ומנסים לאסוף מידע בניגוד לחוק, היא המציאות שסעיף (11) בא למנוע. זה לא רק בן אדם שמסר מידע תחת - - -
ד"ר עמרי רחום טוויג
¶
אני לא חושב שזאת המהות של סעיף (11) ואני גם לא בטוח שזה מה שהרשות חושבת לגבי המהות של סעיף (11).
לירון מאוטנר לוגסי
¶
לירון מאוטנר, משרד המשפטים. אנחנו מסכימים עם הפרשנות של היו"ר, אנחנו לא מסתכלים רק על השאלה אם בסוף האדם מסר בפועל ולהוכיח - - -
היו"ר שמחה רוטמן
¶
לכן, השאלה לא צריכה להיות כמה אנשים נענו לבקשה אלא השאלה אמורה להיות לכמה אנשים פניתי ואם פניתי בפנייה לא מסוימת - - - אם פניתי באימייל לכולם זה משהו אחד אבל אם פניתי בפנייה לא מסוימת כמו באתר או ברשת חברתית אז זה מעשה אחד ובמקרה כזה, אני מוכן להניח שאם עשיתי את כדי - - -
היו"ר שמחה רוטמן
¶
או להעשיר מאגר מידע קיים שלי, שהוא כבר קיים וגדול או כדי לייצר מאגר מידע חדש ואז זה יכול להיות לפי השאלה של כמה הנבתי מהאירוע הזה כאשר נעשתה פנייה אחת אבל אם נעשתה פנייה פרטנית, בין אם זה באימייל או בדרכים אחרות אז זה לפי מספר האנשים אליהם פניתי ואז ההפרה היא פנייה. במצב כזה, מבחינתי שהקנס יהיה 50 שקלים אבל שיהיה 50 שקלים כפול מספר האנשים שפניתי אליהם ואז אם בן אדם פנה למיליון יהיה לו 50 מיליון.
עמית יוסוב עמיר
¶
את הקונסטרוקציה הזאת מאוד קשה ליישם במודל העיצומים ולכן אנחנו מבקשים שחוץ מהפנייה הפרטנית לאדם אחד – שאז באמת אפשר להכפיל – אז שההפרה הזאת תהיה תלויה בגודל המאגר.
היו"ר שמחה רוטמן
¶
או-קיי, זה לא שונה משמעותית ממה שאני אומר. אני רק אומר שמבחינתי, הפניות הפרטניות צריכות להיות בפרק א' ופנייה לציבור בלתי מסוים צריכה להיות בפרק ב'.
היו"ר שמחה רוטמן
¶
תכף נדבר על הגודל. בכל מקרה, בכל פרק א' אני לא מקבל את העיצום לפי גודל מאגר, צריך לייצר סכום בסיסי אחר.
היו"ר שמחה רוטמן
¶
שאר הסעיפים, הסירוב, ביצוע שינוי בלי להודיע, לא הודיע למבקש על סירוב לתקן מידע המצוי, לא תיקן מידע המצוי במאגר מידע שבאחזקתו, לא נענה לדרישתו של אדם בהתאם לסעיף (17)(ו) - - -
היו"ר שמחה רוטמן
¶
בואו נעשה את זה ואז נדבר על גובה העיצום ועל המכפלות. אני נוטה לחשוב שדווקא בגלל שהמאפיינים פה הם מאוד פרטניים, אני הייתי רוצה סכום שיהיה קל להכפיל – אולי לייצר cap – ואז אנחנו באמת נתכתב עם מספר נושאי המידע שנפגעו ולא נייצר סכום שמלכתחילה הוא כל כך גדול ואז אין טעם להכפיל אותו וממילא, אז לא עשינו כלום.
היו"ר שמחה רוטמן
¶
כשאתם עושים פיקוח, אתם נכנסים לחומר המחשב ורואים שהבן אדם שלח 50 אלף אימיילים אז אתם יודעים שהוא שלח 50 אלף אימיילים.
ראובן אידלמן
¶
אבל רוב האכיפה בנושאים האלה היא על פי תלונות. כמו שאדוני אמר, אלו זכויות של אדם שנפגעות.
היו"ר שמחה רוטמן
¶
אבל כשמדובר בתלונה של אדם פרטני, אני נוטה לחשוב שזה יוביל אתכם להליך פיקוח ואז אתם תגלו שזה לא מקרה אחד – כמו עם שלשת הפעמים שלכם – וזה נעשה שיטתי ואז אנחנו באירוע אחר, או שהבן אדם יגיש גם תביעה אישית ויקבל 10 אלפים שקלים ללא הוכחת נזק וזה ייתן לו מענה פרטני יותר טוב ממכם.
ראובן אידלמן
¶
אדוני, יש לנו תיקים על זכות עיון בחברות ביטוח. אלה גופים גדולים לכל הדעות. לא מעט אנשים פונים אלינו ומבקשים מידע מחברת הביטוח או מבנק ולא מקבלים אבל זה נקודתי. אלה יכולות להיות חמש תלונות על חמש חברות ביטוח וארבע תלונות על ארבעה בנקים.
היו"ר שמחה רוטמן
¶
נכון אבל אתם תעשו הליך פיקוח על חברת ביטוח ותשאלו אותה "כמה בקשות עיון הגשתם?", הם מסודרים ומתועדים אז הם יראו לכם שהם קיבלו 50 אלף פניות, 100 אלף פניות או 20 אלף פניות והם לא ענו לאף אחת מהם כי זה שיטתי אצלם ואז אתם תגידו להם "20 אלף, 1,000 שקלים לכל פניה, 20 מיליון שקלים. נעים מאוד חברים". אתם תדעו לעשות את זה וזה הרבה יותר הגיוני מאשר שאתם תבוא ותגידו "או-קיי, אז תשלמו 40 אלף שקלים".
גלעד סממה
¶
רגע, אני רוצה להגיד כי בסופו של דבר, יש נסיבות לכל בקשה לעיון. לחשוב כרגע שכשמגיעה לרשות תלונה על כך שנושא מידע מסוים לא קיבל את זכות העיון ואחר כך אנחנו נחפור לתוך אותה חברה על כל אותן בקשות ונבדוק את הנסיבות הענייניות או לא לאי-מתן או מתן של זכות עיון של אנשים אחרים זה אירוע אכיפה של - - -
נעמה מנחמי
¶
יש כאן בעיה. אתם באים ואומרים שיש לכם קושי אכיפתי ולכן, אתם תתנו קנס מאוד גדול שלא בהכרח משקף את העוולה, ההפרה או הנזק שנגרם. באמת יכול להיות שיש כאן רק נושא מידע אחד - - -
היו"ר שמחה רוטמן
¶
אם זו מדיניות אז יהיה יותר מהפרה אחת. אני חושש בעיקר שדווקא הקטנים יותר, יהיה להם יותר קשה להתגונן ודווקא לגדולים יותר יהיה יותר קל לבלבל ולהגיד שלא פנו בהתאם לתקנות והתוצאה תהיה חוסר מידתיות קיצונית באכיפה. לכן, אני רוצה שהפרה שהיא פרטנית אז הקנס עליה יהיה פרטני וגובה הקנס יהיה בהתאם למספר ההפרות כאשר אני אומר – ואני צריך להגדיר את זה בצורה כזאת – שאדם שלא נתן זכות עיון ל-20 אלף אנשים, יקבל 20 אלף כפול הסכום הבסיסי. אין לי בעיה.
היו"ר שמחה רוטמן
¶
אחרי הפעם הראשונה שאתה תטיל עיצום כספי של 20 מיליון שקלים, אתה תקבל ממשרד האוצר את כל התקציבים שאתה צריך ואת התקנים בשביל לעשות את האכיפה כמו שצריך. גלעד, אני אומר לך את זה ברצינות.
גלעד סממה
¶
או שאחרי עשרה מקרים ראשונים שאנחנו לא נצליח להגיע לאותם 20 אלף אנשים ואנחנו נטיל קנס מאוד קטן - - -
היו"ר שמחה רוטמן
¶
אני לא מסכים איתך. אני חושב שכאשר הבעיה היא פרטנית אז המענה צריך להיות התביעות האישיות יותר מאשר העיצומים הכספיים ואני רוצה לדחוף לשם.
ענר רבינוביץ
¶
אדוני, כרגע כתוב "הפר אדם הוראה מהוראות לפי חוק זה" וזה צריך להיות "בעל שליטה", בסעיף קטן (ב).
נעמה מנחמי
¶
עמוד 3 במסמך ההכנה. אנחנו נתחיל לקרוא בהתאם להערות שניתנו עוד קודם לדיון של הוועדה ונראה איך אנחנו מתקדמים משם.
נעמה מנחמי
¶
במקרה שלנו זה מידע שאינו רגיש במיוחד.
"הסכום הבסיסי"
בואו נתחיל מסעיף קטן (ב) ונראה איך מתגלגלים עם יתר הסכומים.
"הסכום בסיסי" לעניין הפרה לפי סעיף קטן (ב)
(1)
(א) במאגר מידע שיש בו רק מידע רגיל – 5,000 שקלים חדשים;
(2) במאגר מידע שיש גם מידע רגיש במיוחד – 20,000 שקלים חדשים;
נעמה מנחמי
¶
נכון. ההצעה של הממשלה הייתה לפי גודל המאגר ולפי בקשת הממשלה אנחנו הורדנו את האפשרות השנייה והשארנו רק - - -
היו"ר שמחה רוטמן
¶
בואו נראה איך זה חי. הנושא של מאגר המידע שיש בו רק מידע רגיל או מאגר המידע שיש בו רק מידע רגיש - - -
היו"ר שמחה רוטמן
¶
בואו נניח שיש מאגר עם מידע רגיש במיוחד אבל הוא ביקש לשנות את שם המשפחה שלו שהתחלף, הוא שינה את שם המשפחה שלו והוא אמר ששם המשפחה שלו לא מעודכן ומבקש שישנו אותו. הוא לא ביקש את שינוי המידע הרגיש במיוחד, הוא ביקש את שינוי המידע שלא רגיש במאגר.
היו"ר שמחה רוטמן
¶
אם הוא פנה ואמר "אל תכתוב עלי שאני ימני כי אני לא ימני, אני שמאלני" אז זה עניין של דעה פוליטית וזה רגיש במיוחד וזאת בקשה שמצדיקה את השינוי הזה אבל אם הוא אמר "הכול נכון, אלו באמת עמדותיי הפוליטיות וזה המחלות שיש לי אבל טעית בשם שלי" אז זה לא מידע רגיש.
נעמה מנחמי
¶
עוד שנייה נדבר על "בעל שליטה".
(ב) הפר אדם הוראה מהוראות לפי חוק זה בקשר למאגר מידע, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בשיעור הסכום הבסיסי:
(1) פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף 11
האם אנחנו רוצים גם את הסיפה?
היו"ר שמחה רוטמן
¶
בעייני, סעיף (1) צריך להיות לפי פנייה לאדם ולהחריג ממנו את הבלתי מסוים ואז הפנייה לציבור בלתי מסוים באמת תהיה בפרק אחר.
היו"ר שמחה רוטמן
¶
תכף נדבר על המהות. הרעיון שלי פה הוא שבאמת מדובר ב-head hunting. פניתי ממוקד לאדם מסוים – שוב, או במייל רחב אבל זה עדיין ממוקד – ולא מסרתי לו הודעה כנדרש בסעיף (11) ואז ממילא, אני לא רוצה גם את הסיומת "ההפרה נעשתה ביחס למספר בני אדם שאינו עולה על 1,000" כי הפנייה היא פרטנית.
הציפייה שלי היא שנייצר פה מנגנון שאומר שאם פנית ל-50 אלף אנשים אז הסכום הבסיסי שאתה יכול לתת פה הוא עד פי 50 אלף. ברמת הפרט, פנית להרבה מאוד אנשים, לא נתת להם הודעה כנדרש אז אתה תהיה חשוף לקנס בהתאם למספר האנשים אליהם פנית במכפלה. יכול להיות שצריך לייצר cap, יכול להיות שצריך cap לפי גודל עסק אבל בגדול, במכפלות.
ד"ר עמרי רחום טוויג
¶
יש לי רק שאלה טכנית. אני מבין את המהות ואני מבין את ההבדל בין פנייה של head hunting לבין פנייה רו7חבית אבל ניקח לדוגמה, חברת ביטוח שיש לה סל מבוטחים שכבר נתנו להם פנייה ועכשיו החברה החליטה שהיא צריכה עוד מידע על המבוטחים אז היא פונה בפנייה אחת במייל.
היו"ר שמחה רוטמן
¶
כי באנר זה לא לרמה מסוימת וזאת פנייה פרטנית להרבה מאוד אנשים. קיבלתי אלי פנייה שעומדת בניגוד לחוק ולפני שאתה שולח פנייה להרבה מאוד אנשים ממוקדים ומפולחים אז תוודא שאתה עומד בתנאי החוק.
שחף קצלניק
¶
כן אבל אם אני חנות מכולת ואני שולח ל-100 הלקוחות שלי את ההודעה הזאת במייל זה לא שהפרתי את הדין 100 פעמים.
היו"ר שמחה רוטמן
¶
אני חושב שמה שמעוות לנו קצת את התמונה זה גובה הקנס. זאת אומרת, קשה מאוד להגיד שאם אנחנו נמצאים על מאגר מידע רגיש במיוחד – ביטוח זה מאגר מידע רגיש במיוחד – אז תעשה 20 אלף כפול מיליון והגעת לסכומי עתק שהם כמעט לא רלוונטיים לשום דבר. זה נכון ואני רוצה שאחר כך נפתח סבב לעניין הגובה.
אני הייתי חושב שכאשר אנחנו עוסקים בעולם הפניות הפרטניות, יכול להיות שצריך לקבוע איזשהו סכום מינימום כדי שהם לא יתעסקו עם עיצום כספי של 50 שקלים אבל בגדול, הייתי אומר כן, אפילו ברמה של 50 או 100 שקלים לפנייה ואז אתה מייצר מצב שאם פנית למיליון אנשים אז יהיה לך 50 מיליון.
יכול להיות שצריך להגיד "אולם, לא פחות מ-1,000" או לא פחות מ-2,000 כדי שבאמת לא יהיה מצב שאם שלחת ל-100 אנשים אז לא הגעת לכלום אבל על פניו, זה נראה לי מאוד הגיוני שאם פנית למיליון אנשים לקבלת מידע וניסית את מזלך כדי לקבל מידע שאסור לך לקבל אז תהיה חשוף לקנס מאוד גבוה.
ניר גרסון
¶
אתה גם הפעלת שיקול דעת, יכולת לבחור לשלוח את הפנייה רק ל-10,000 לקוחות והחלטת ל-100 אלף.
היו"ר שמחה רוטמן
¶
אסור לך כי אתה לא מסרת הודעה כנדרש. אני חי עם זה ואנחנו תכף נדבר על גובה הסכומים, המכפלות, מינימום, cap למעלה ו-cap למטה, מה שאני חושב שיכול להרגיע הרבה מאוד מהחששות אבל קודם כול נדבר על המהות. בעייני, המהות היא נכונה.
היו"ר שמחה רוטמן
¶
המהות ברורה מבחינתי. פה אני חושב שצריך לייצר cap למטה ואולי cap לפי גודל עסקים למעלה או במסגרת תקנות ההפחתה.
גלעד סממה
¶
אדוני, אני מציע שאם מדברים על המהות אז נסיים עם המהות ואחרי זה נלך לתקנות ההפחתה שגם שם זה מהות.
היו"ר שמחה רוטמן
¶
בסדר, פה המהות היא פנייה פרטנית כניסוחה שנוסח ושם זה לא תלות בגודל המאגר אבל זה כן תלוי בשאלה אם ביקשת לקבל מידע רגיש או מידע לא רגיש. כלומר, רגיש במיוחד או לא רגיש במיוחד אבל לא בגודל המאגר.
נעמה מנחמי
¶
(2) סירב לאפשר לאדם שמידע עליו מוחזק במאגר מידע לעיין במידע שעליו, בניגוד להוראות לפי סעיף 13;
(3) ביצע שינוי במידע שברשותו בלי שהודיע עליו לכל מי שקיבל את המידע, בניגוד להוראות לפי סעיף 14(ב);
(4) לא הודיע למבקש על סירוב לתקן מידע המצוי במאגר מידע שבבעלותו או למוחקו, בניגוד להוראות לפי סעיף 14(ג);
(5) לא תיקן מידע המצוי במאגר מידע שבהחזקתו, בניגוד להוראות סעיף 14(ד);
(6) לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ב), שמידע המתייחס אליו יימחק ממאגר מידע המשמש לדיוור ישיר, בניגוד להוראות סעיף 17ו(ד);
(7) לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ג), כי מידע המתייחס אליו, לא יימסר לאדם, לסוג בני אדם או לבני אדם מסוימים, בניגוד להוראות סעיף 17ו(ד).
היו"ר שמחה רוטמן
¶
לגבי (6) ו-(7) אני כן חושב שסוג מאגר המידע הוא רלוונטי, לגבי השאר רק המידע משנה ולא סוג המאגר. זאת אומרת, לגבי (6) ו-(7) אם זה מאגר דיוור ישיר שהמאגר עצמו רגיש במיוחד כמו כלל האנשים שיש להם סרטן מסוג מסוים ואני שולח אליו מידע ובן אדם מבקש להימחק מזה למרות שבקשת המחיקה היא לא מידע רגיש בפני עצמה. אני לא רוצה להיות רשום כחלק ממאגר הדיוור הזה או על דעות פוליטיות אז אני יכול להבין ששם סוג מאגר המידע הוא רלוונטי אבל בשאר הדברים זה עניין של המידע עצמו.
ניר גרסון
¶
קודם כול, אפשר לעשות הבחנה לזה בטקסט אבל גם בסוגים האחרים, אם אתה מבקש לעיין בפריט שלא רגיש במאגר ששאר המידע רגיש בו ולתקן אז קשה להבחין כי גם הפריט שלכאורה לא רגיש כשלעצמו, משפיע.
הרי, פונים אליך רופאים או שמסיקים מסקנה עליך ממכלול פרטי המידע או שדות המידע במאגר. לכן, ההבחנה הזאת היא מלאכותית משהו ואי-אפשר לעשות את ההבחנה הזאת
היו"ר שמחה רוטמן
¶
אני לא חושב כי אני מסתכל על מידת הפגיעה שנוצרת כאשר מוחזר עליך מידע לא נכון רגיש או מידע לא נכון לא רגיש.
היו"ר שמחה רוטמן
¶
לא, מידע זה מידע רגיש. "לא תיקן מידע" זה שונה אם המידע שלא תיקנת הוא רגיש או לא רגיש אבל השאלה היא לא מה אתה עוד מחזיק במאגר. ב-(5) השאלה הרלוונטית היא איזה מידע ביקשת לתקן או איזה מידע היית צריך לתקן וב-(6) או ב-(7) מעניין אותי המאגר כמכלול כי אנחנו במאגר הדיוור הישיר של האנשים עם המוגבלות הזאת, לצורך העניין.
היו"ר שמחה רוטמן
¶
ב-(6) וב-(7) זה יהיה עם פונקציה של המאגר, בשאר הסעיפים זה יהיה פונקציה של המידע המתבקש עצמו.
היו"ר שמחה רוטמן
¶
אם ביקשתי מידע לא רגיש במסגרת הטופס של 11 - - - של (1) אז הדרגה של לא רגיש תחול עלי, אם ביקשתי מידע רגיש אז - - -
איה מרקביץ'
¶
נעמה, לפני שעוברים הלאה יש את ההערה של חברי לגבי "בעל שליטה", שזה לא יהיה "כל אדם", זה התקבל? אנחנו לא בטוחים?
היו"ר שמחה רוטמן
¶
למה? מתי זה יחול על מחזיק? באיזה תרחיש זה יחול על מחזיק? אני אשאל אחרת, באיזה תרחיש אנחנו חושבים שזה צריך לחול?
ראובן אידלמן
¶
בכל המצבים שבהם החוק מטיל את החובה על מחזיק, בוודאי. איפה שהחוק מטיל את החובה על מחזיק והחובה הופרה אז בוודאי שאפשר - - -
ראובן אידלמן
¶
אפשר להטיל את העיצום הכספי גם על מחזיק. אני מזכיר שגם בתקנות אבטחת מידע כל החובות חלות על מחזיקים ולאורך כל הטבלה יש לנו מחזיקים.
היו"ר שמחה רוטמן
¶
אבטחת מידע זה לא הפרטני, דווקא השוק. אנחנו בפרטני כרגע ולהפך, בפרטני אני רוצה למקד את האירוע. אני לא רוצה להרחיב את האירוע בפרטני.
ראובן אידלמן
¶
למשל בסעיף קטן (5), "לא תיקן מידע המצוי במאגר מידע שבהחזקתו" זה סעיף שמכוון ממש למחזיק, בניגוד להוראת סעיף 14(ד) זה מצב שבו בעל השליטה הורה לו לתקן והוא לא תיקן.
עמית יוסוב עמיר
¶
אני רק מציע שלא נעשה פה תיקונים עקיפים של הסעיפים, לא תיקונים עקיפים אבל בסוף, יש את ההוראות הנורמטיביות בחוק. אפשר להטיל עיצום רק על מי שיכול להפר אותם, נכון? רק הוא מפר. יש הוראות ספציפיות - - -
היו"ר שמחה רוטמן
¶
אני מסכים אבל אומר שוב, אני לא מתקן את ההוראות הנורמטיביות, מה שחל בנורמטיבי חל בנורמטיבי. אני דן בשאלה איפה אני נותן את כלי האכיפה של עיצום כספי. ב-(5) שכנעתם וזה בסדר גמור, (5) צריך מחזיק אבל השאלה היא האם אני רוצה בשאר הסעיפים - - - החשיפה לעיצום כספי היא דבר - - -
איה מרקביץ'
¶
סעיף קטן (1) בראש ובראשונה. הפנייה לאדם לקבלת מידע רק עם הודעה לפי סעיף (11) וזה לא ברור בסעיף (11) שזו צריכה להיות החובה של בעל השליטה במאגר מבחינה מהותית. זה צריך להיות מבחינת איך שזה בחו"ל, ב-GDPR ה-controller אחראי לזה.
היו"ר שמחה רוטמן
¶
ב-(ב) יהיה כתוב "הפר בעל שליטה או מחזיק הוראה מהוראות לפי חוק זה בקשר למאגר מידע, רשאי ראש הרשות".
היו"ר שמחה רוטמן
¶
חברים, תודה רבה. עיצום כספי קם כאשר יש הפרה של הסעיף. אם מחזיק לא יכול להפר את סעיף (11) אז אי-אפשר יהיה להטיל עליו עיצום כספי.
היו"ר שמחה רוטמן
¶
לא נכון. אם המחזיק עשה את הפנייה לקבלת מידע לשם החזקתו ולא מסר את ההודעה כנדרש אז יכול להיות שהאחריות תחול גם על המחזיק כי הוא עשה את הפנייה.
היו"ר שמחה רוטמן
¶
אם המחזיק עשה את הפנייה, אם המחזיק לא עשה את הפנייה אז מה אתם רוצים? אם המחזיק עשה את הפנייה אז זה כן צריך לחול עליו, נכון?
שחף קצלניק
¶
אנחנו צריכים להניח שאם מחזיק עשה את הפנייה, הוא עושה אותה על פי ההנחיות של בעל השליטה. זה כל הרעיון של מחזיק.
ענר רבינוביץ
¶
לא, אדוני. זה לא ברור ואנחנו מטילים פה עיצום על גופים שלא יודעים אם החובה חלה עליהם או לא.
היו"ר שמחה רוטמן
¶
ענר, אם הגופים לא יודעים אז יצרנו להם את הכלי של חוות דעת מקדמית. חברים, אני חייב לומר שאני מקבל המון הערות אבל הנושא הזה הוא מאוד פשוט. יש פה איסור לפנות לאדם לקבל מידע לשם החזקתו או להשתמש בו למאגר מידע בלי למסור הודעה כנדרש בסעיף 11?
היו"ר שמחה רוטמן
¶
אדם ביצע את זה. אם הוא ביצע את זה והוא מחזיק או בעל שליטה אז זה יחול עליו ואם הוא לא ביצע את זה אז זה לא יחול עליו. עכשיו אתם אומרים לי שזה לא יכול להתבצע על ידי מחזיק במקרה הפרטני?
היו"ר שמחה רוטמן
¶
סליחה. אני קורה את סעיף (11) וכתוב בו "פנייה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה". מי שמבצע את הפנייה, יהיה אשר יהיה מעמדו, תפקידו או חייו, מחויב בסעיף (11). את העיצום הכספי - - -
היו"ר שמחה רוטמן
¶
מי שמבצע את הפנייה. כאשר את מבצע את הפנייה, חובתך לוודא שאתה עומד בהוראות סעיף (11). לא מעניין אותי - - -
היו"ר שמחה רוטמן
¶
סליחה. מי שמבצע את הפנייה, חלות עליו החובות לפי סעיף (11). אני והרשות – יותר נכון, הרשות ואני כי אני יותר מנומס – מחילים את העיצום הכספי רק על מחזיק או בעל השליטה. האם יכול להיות שפנייה לפי סעיף (11) תתבצע על ידי מישהו שאיננו מחזיק או בעל שליטה? כן. האם הוא יפר את הוראות סעיף (11) אם הוא יעשה את הפנייה הזאת? כן. האם נטיל עליו עיצום כספי? לא. למה? כי העיצום הכספי מצומצם למחזיק או בעל שליטה שיבצע את הדבר הזה.
אם המחזיק יפנה בניגוד לסעיף (11) אז הוא יהיה חשוף, אם בעל השליטה יפנה בניגוד לסעיף (11) אז הוא יהיה חשוף, אם מישהו אחר שהוא לא מחזיק ולא בעל השליטה יעשה את הפנייה אז הוא לא יהיה חשוף לעיצום כספי.
היו"ר שמחה רוטמן
¶
לא, לא. אני מקבל את ההצעה שאנחנו נדון בו אחר כך, אחרי שנראה את ההפחתות והכול. נעשה את החשיבה על הסכומים בצורה מסודרת מלמעלה.
היו"ר שמחה רוטמן
¶
זה יהיה תלוי במשהו אחר. בסעיף (א) זה הוכרע מבחינתי – תכף נדבר על גובה הסכומים כי זאת שאלה אחרת – שהסכומים של העיצומים הכספיים בסעיף (ב) לא יהיו תלויים בגודל המאגר, נקודה, סוף פסוק. הם יהיו לפי נושאי מידע, לא בסכום הבסיסי ולא בשום דרך אחרת. כל סעיף (ב) יהיה לפי נושאי מידע.
לגבי מכפלות, סכומים, הפחותות ו- cap אנחנו נדבר אבל הסכום הבסיסי של סעיף (ב) הוא סכום בסיסי fixed לפי נושאי מידע וההבדל שלו הוא רק בשאלת רגישות המידע. יהיה סכום בסיסי (א) וסכום בסיסי (ב) לפי מידע רגיש או מאגר מידע רגיש אבל לא יהיה לפי גודל מאגר. עכשיו אנחנו עוברים ל-(ג).
נעמה מנחמי
¶
ביחס להפרות שב-(ג) הצעת הממשלה, ככול שאני מבינה אותה, היא לעשות מדרגות לפי גודל המאגר והן עד 100 אלף, 100 אלף עד 500 אלף, 500 אלף עד מיליון ומעל.
נעמה מנחמי
¶
בסדר. אפשרות נוספת שהייתה יכולה להיות על השולחן הייתה ללכת לפי גובה המחזור כפי שנעשה ב-GDPR. אני חושבת שהאפשרות השלישית מתייחסת במובן מסוים לחשש שהעלתה הרשות שהיא תצטרך להתחיל לבדוק לגבי כל אחד את המחזור ואת הציציות שלו כדי לדעת כמה בדיוק היא יכולה לתת לו מבחינת סכומי עיצום הכספי. אני מציעה לעשות את זה לפי גדול העסק.
כבר יש לנו בחוק חובת מכרזים הגדרות ברורות לגודל עסק זעיר, עסק קטן, עסק בינוני ומן הסתם גם עסק גדול. אפשר לחשוב גם על חוקים אחרים להפנות אליהם אם יש הגדרה שהרשות חושבת שהיא טובה יותר אבל הרעיון שעומד מאחורי הדבר הזה הוא בהתייחסות לעמדה שהציגה הוועדה שאין בהכרח קשר ישיר בין גודל העסק לגודל המאגר.
אני מזכירה שסכומי העיצום הכספי אמורים להתייחס להחזרה לציות. ככול שאתה יותר גדול מבחינה פיננסית, אתה תצטרך - - -
ראובן אידלמן
¶
זה גם לפי מחזור עסקאות, אני לא כל כך מבין. ההגדרות בחוק חובות מכרזים היא לפי מחזור עסקאות אז אני לא בטוח שהבנתי את ההבדל בין זה לבין האופציה הראשונה.
היו"ר שמחה רוטמן
¶
קודם דובר על אחוז מגובה המחזור. כשמדובר על קנס שהוא אחוז מגובה המחזור, כמו ב-GDPR, אז אתה צריך לקחת דו"ח רואה חשבון, גובה מחזור, כזה וכזה, אחוז כזה, שלוש אחוז כזה וזה פרטני. לדעת באיזה רובריקה אתה זה הרבה יותר פשוט וזה לא גובה הקנס בהתאם לגובה המחזור.
נעמה מנחמי
¶
תגיד לו "אני מגדיר אותך כעסק בינוני" אם זה לא נכון אז חלק מהטיעונים שלו לעניין העיצום הכספי יהיה להביא לך את הדוחות ולהראות לך שהוא בעצם עסק קטן.
היו"ר שמחה רוטמן
¶
חברים, שנייה. יש לי הצעה. קודם כול נעבור על ההפרות ונראה האם הן מתאימות. מה הרציונל לגודל מאגר והאם הוא קיים. אני מסכים שיש הפרות שלהן גודל המאגר הוא רלוונטי. צריך לדבר על זה אבל במה שגודל המאגר הוא לא כל הרציונל אלא השבה לציות אז צריך לתת לזה מענה. יכול להיות שהמענה יהיה תקנות הפחתה. יכול להיות שהמענה יהיה גובה. יכול להיות שזה יהיה לפי גודל העוסק. יכולים להיות כל מיני מענים אבל בואו נדבר קודם על ההפרות לגופן.
נעמה מנחמי
¶
כן.
הוראה בקשר למאגר מידע, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי בשיעור הסכום המנוי בפסקה (א)(2):
נחזור לסכום אחר כך.
(1) בעל שליטה במאגר מידע או מחזיק שהפר הוראה של ראש הרשות להפסיק הפרה בשל עיבוד מידע אישי שנוצר, התקבל, נצבר או נאסף, בניגוד להוראות סעיף 8(א1);
עמית יוסוב עמיר
¶
לא. לסעיף שיסמיך. כרגע הצענו נוסח לוועדה. יהיה פה איזשהו סעיף שבו מסמיכים את ראש הרשות להודיע על הפסקת ההפרה.
היו"ר שמחה רוטמן
¶
פה לכאורה, באמת יש פונקציה של גודל המאגר. גודל המאגר שלגביו מופרת הוראה זה אמור להיות רלוונטי במשהו אבל לצד הפונקציה הזאת אני חושב שהמשקל הכבד ביותר הוא שאלת ההפרה היעילה.
כלומר, אם יש לי מאגר מידע שהחזקתו מייצרת לי הכנסה של 3 מיליון שקלים בחודש כי אני מאגר פרסום של משהו והמאגר הזה הוא מאוד גדול או מאוד קטן – לא משנה מה גודלו אבל הוא מייצר לי הכנסה בשיעור ניכר – ואתה אומר לי למחוק אותו או שיהיה לי עיצום כספי, זה לא יעניין אותי.
בעולם טהור, ההכנסה מופקת מהמאגר, אם אני לא יודע לעשות את זה אז גודל העסק כפרוקסי. זה פי אלף יותר רלוונטי לי מאשר גודל המאגר.
ראובן אידלמן
¶
אדוני, זה היקף ההפרה. אתה אוסף מידע שלא כדין אז השאלה היא כמה מידע אספת ועיבדת שלא כדין. בעייני, זה דווקא מאוד טריוויאלי כי זאת ההפרה.
היו"ר שמחה רוטמן
¶
לכן המשפט הראשון שלי היה שאתה צודק, המשפט השני שלי היה שאתה טועה. לא, סתם. המשפט הראשון שלי היה שאתה הראשון שלי היה שאתה צודק והמשפט השני שלי היה שאתה לא צודק מספיק. זאת אומרת, בוודאי זה צריך להיות פונקציה שהסכום הבסיסי שלה תלוי בגודל המאגר אבל הוא לא יכול להיות תלוי רק בגודל המאגר.
את ההפרה עשית לגבי מספר נושאי המידע שבמאגר וזה בסדר גמור בהחלט, זה השלב הראשון. השלב השני הוא שאם אתה עסק גדול והעיצום הכספי שלך הוא נמוך מידי ואם אתה עסק קטן אז אני עושה ל הרתעת יתר.
הרתעת יתר פחות מטרידה אותי בהקשר הזה כי אני באמת רוצה שעסק קטן שמחזיק את הדבר הזה ימחק אותו כמה שיותר מהר ואם זה יגרום לו להתחסל אז מצוין.
היו"ר שמחה רוטמן
¶
יש פה אלמנט אחד. אין פה אלמנט של נושאי מידע ספציפיים מלבד הנושא הסטטיסטי. זה בוודאי לא מתאים לפרטני, זה נכון שזה כן מתאים לגודל מאגר אבל רק גודל מאגר זה לא מספיק. בואו נתקדם.
נעמה מנחמי
¶
(2) בעל שליטה במאגר מידע או מחזיק ש עיבד מידע אישי במאגר מידע, שלא בהתאם למטרה שנקבעה לו, ובלבד שניתן היה לקבוע כדין מטרה כאמור, בניגוד להוראות סעיף 8(ב);
זה אותו עניין רישומי, כפי שאתה קראת לו בזמנו.
עמית יוסוב עמיר
¶
הפרה של עקרון צמידות המטרה, סעיף 8(ב) בנסיבה הקלה יחסית שבה השימוש הוא בניגוד למטרה אבל היה ניתן לקבוע מטרה אחרת כדין.
היו"ר שמחה רוטמן
¶
אני מסכים. אני מסכים אבל אני רק תוהה לעצמי אם בהפרת רישום גודל המאגר הוא שיקול רלוונטי.
היו"ר שמחה רוטמן
¶
שנייה. בדיון הקודם אני אמרתי שזה לא פרטני, אני לא בטוח שהגעתי ישר למסקנה שזה תלוי בגודל המאגר. אמרתי שזה לא עניין של נושא מידע פרטני אז בוודאי שזה לא מתאים לחלק ג', השאלה היא אם זה מתאים לחלק ג'.
היו"ר שמחה רוטמן
¶
אני אומר שפה למשל, זה טהור לפי גודל עסק. פה זה באמת טהור לפי גודל עסק, זה בכלל לא מעניין אותי מה גודל המאגר. הייתי יכול לשנות את הגדרת המאגר, מה יש לי פה? יש לי פה התרשלות בניהול הספרים שלי ולהתרשלות בניהול הספרים שלי, פונקציית ההפרה היעילה והפונקציה הרלוונטית היא השאלה כמה כסך היה עולה לי לקחת את יועץ הפרטיות הנכון ולכן, גודל העסק הוא הדבר הרלוונטי וגודל המאגר פחות. אני לא אומר שהוא לא רלוונטי בכלל אבל זה לא כובד המשקל.
ניר גרסון
¶
הוא רלוונטי. זאת לא רק התרשלות שהיא בעלת השלכה פנים עסקית, יש לזה גם השלכה על יכולתנו לעשות רגולציה וגם על ניהול תקין. חלק מניהול תקין זה לתעד בדיוק מה אתה - - -
היו"ר שמחה רוטמן
¶
אבל כל הטענה היא שהייתי יכול לקבוע את המאגר הזה כדין אז אני לא יוצר סיכון יותר גבוה.
היו"ר שמחה רוטמן
¶
אני הפרתי את הוראת הרישום. אני מסכים שאם זה היה בעולם התקנות היינו אומרים רמת אבטחה בסיסית או גבוהה, זה יותר שם. גם שם יצרנו את המנגנונים האלה כי זה לא באמת תלוי בגודל המאגר או רק בגודל המאגר ולמעשה, גודל המאגר הוא אחד השיקולים הכי פחות רלוונטיים להפרה.
איה מרקביץ'
¶
בהמשך למה שאדוני אמר עכשיו, כמו שאני קוראת את הסעיף המבלבל מאוד הזה – אם לא היינו יושבים פה בשלושה דיונים ועם הפרוטוקולים מול העיניים אז היה קשה להבין אותו – אם כוונתו היא שבעל השליטה במאגר לא עדכן את המטרה במסמך הגדרות מאגר אז יש לנו כבר את העיצום הזה על תקנות אבטחת מידע, נכון?
היו"ר שמחה רוטמן
¶
זה נכון שנושא תקנות אבטחת המידע זוכה להפרות משלו. כאן, מוקד ההפרה הוא לא בשאלה אם עדכנת את מטרות המאגר אלא שעיבדת בניגוד למטרות הרשומות.
היו"ר שמחה רוטמן
¶
לפעמים זה יהיה אלה שרשמתי לעצמי ולפעמם זה יהיה במאגר מידע החייב ברישום שנרשם גם - - - לפעמים זה יהיה שחוק רשם לי. לכן, הפונקציה פה היא שלא יכולתי - - -
תהיה איתי שנייה. בואו נניח שבמסמך מטרות המאגר, אני שיניתי את מטרות המאגר ואסור היה לעשות את זה. הקמתי מאגר וכתבתי שם שמטרת מאגר המידע הוא - - -
היו"ר שמחה רוטמן
¶
נגיע לזה בהמשך, נכון. סליחה, זה לא ב-(1). אבל מבחינת תקנות הפרה ואבטחת מידע לא הפרתי כי רשמתי שהמטרה שלי היא להתחקות בשביל להעביר פרטי מידע של אזרחי מדינת ישראל לאיראנים. רשמתי את זה.
ד"ר עמרי רחום טוויג
¶
אין ספק. אדוני, אתה צודק לחלוטין אבל אני אגיד שני דברים. אחד זה שכל עניין רישום מסמך הגדרות המאמרים שנכנס דרך תקנות אבטחת מידע היה אמור להיות במהות בגוף החוק ולא בתקנות אבטחת מידע. מסמך הגדרות מאגרים זה לא נושא של אבטחת מידע זה נושא של תיעוד ניהול של המידע מהמאגר.
היו"ר שמחה רוטמן
¶
תפנה אותי לאיזה מקרה אתה מתכוון שיהיה מכוסה בתקנות אבטחת מידע ואתם תגידו לי מה הדלתא.
ד"ר עמרי רחום טוויג
¶
אני לא מדבר על מאגר שחייב רישום, אני מדבר על מאגר שלא חייב ברישום. תמיד תהיה גם הפרה של מסמך הגדרות המאגרים של אותה הפרה מהסעיף.
עמית יוסוב עמיר
¶
בלי השאלה ההיסטורית, צופה פני עתיד, אנחנו מקבלים את ההערה במובן הזה שאכן, לא אמור להיות פה כפל עיצום ולכן - - -
היו"ר שמחה רוטמן
¶
השאלה היא לא אם יהיה כפל עיצום, אני שואל שאלה מאוד מחודדת. מתי תהיה סיטואציה של ההפרה של הסעיף המקביל בתקנות אבטחת מידע – שעליו כבר עשינו את ה-fine tuning והגדרנו את גודל המאגר ורמות האבטחה – והוא לא ייכנס לפה.
עמית יוסוב עמיר
¶
זה לא המוקד של תקנות אבטחת מידע, זה נזכר שם. שינוי מהותי שמצריך את שינוי הגדרות המאגר לפי תקנות האבטחה יכול בהחלט - - -
עמית יוסוב עמיר
¶
שנייה, אדוני. זה עניין מהותי. בסופו של דבר, כמו שאדוני עמד על זה באופן שהוא נכון לעניות דעתי, הסיפור של מטרת השימוש נכנס גם דרך תקנות אבטחת מידע אבל מרכז הכובד שלו הוא לא תקנות אבטחת מידע.
עמית יוסוב עמיר
¶
מצד שני, אנחנו מתקבלים את ההערה שאין מקום שיהיו שני עיצומים לכן אני מציע שפה בפרט 15 בתוספת - - -
היו"ר שמחה רוטמן
¶
אני מציע אחרת. אני מציע שנכתוב שקנס לפי סעיף (2) הזה, יוטל בהתאם להוראות 14, 15. פשוט לעשות את הלינקג' הזה.
ראובן אידלמן
¶
לא, לא. אני רוצה לדבר על האופציה הזאת כי יש עוד משהו שצריך להיות לנגד עניינו פה. לפי איך שפרק הסמכויות בנוי, כפי שאושר על ידי הוועדה, יש שורה של סעיפים שמפנים לסעיף הזה, סעיף 23כג ואומרים שהרשות יכולה לפתוח בהליך בירור מנהלי רק ביחס להפרות שניתן להטיל עליהן עיצום כספי. אפשר להפעיל את המפקח הפנימי בגופים ביטחוניים, רק ביחס להפרות שניתן להטיל עליהן עיצום כספי.
ראובן אידלמן
¶
מכיוון שהוועדה קיימה כמה דיונים על צמידות המטרה, אני מציע לא לתלות את כל הדבר הזה בתוך תקנות אבטחת מידע ושכן תהיה הפרה - - -
היו"ר שמחה רוטמן
¶
אין לי בעיה שתוסיף "עיצום כספי לפי סעיף זה יוטל בהתאם להוראות" ותעשה לינקג' ל-14, 15.
היו"ר שמחה רוטמן
¶
הוא לא יהיה בתוך פרק ג' כי הוא פונקציה שכבר יצרנו לו את המדרגות ואני לא רוצה לייצר לו מדרגות נפרדות, אני לא רוצה לייצר סתירה ואני לא רוצה לייצר פורום שופינג. על ההפרה לפי סעיף (ג)(2) – שיזוז אולי לסעיף (ד) או לסעיף (ה) – יוטלו עיצומים בהתאם להוראות, עם הפנייה ל-14, 15 שבתוספת.
היו"ר שמחה רוטמן
¶
נכון, בסדר.
(3) בעל שליטה במאגר מידע שניהל או החזיק מאגר מידע החייב ברישום מבלי שהוגשה בקשה לרישומו בהתאם להוראות סעיף 8(ג) או שכלל פרטים שאינם נכונים בבקשה לרישום או שלא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים בסעיף 9(ב)(1) עד (4), למעט שינוי במענו של בעל השליטה במאגר המידע או שינוי בפרטים שנקבעו לפי סעיף 9(ג), בניגוד להוראות סעיף 9(ד).
זה נכון שלזה יש לינקג' גם לגודל המאגר וגם להיות המאגר רגיש או לא רגיש. גם פה, רוב הגופים הם גופים ציבורים ולכן ממילא הם כולם ייכנס לעסק גדול מאוד ולכן, גודל העסק פחות רלוונטי. זה רלוונטי ל-data brokers וגם שם, זה אמור להיות כן רלוונטי לגודל העסק מבחינת ההפרה היעילה אז זאת אותה הערה כמו בפעם הקודמת. אני כן מבין את הלינקג' לגודל המאגר.
(4) בעל שליטה במאגר מידע שלא מסר לרשות הודעה בקשר למאגר מידע החייב בהודעה לרשות, בניגוד להוראות סעיף 8(ג1)(1) או שלא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים בסעיף 9(ב)(1) עד (4) למעט שינוי במענו של בעל השליטה במאגר המידע או שינוי בפרטים שנקבעו לפי סעיף 9(ג), בניגוד להוראות סעיף 9(ד);
מי זה?
נעמה מנחמי
¶
לא, לא. האמת היא שאם זה ככה אז זאת לא הכוונה. אני חושבת שהכוונה ב-(4) הייתה לשמר אותו כחובת רישום ו-(5) - - -
ראובן אידלמן
¶
מאגרים מעל 100 אלף נושאי מידע בעל רגישות מיוחדת. זה ההסדר שהוועדה אישרה, שאין רישום אבל יש חובת הודעה.
היו"ר שמחה רוטמן
¶
סליחה, פה מלכתחילה כדי להיכנס לזה אתה צריך להיות בעל 100 אלף עם מאגר ולכן הדיפרנציאציה היחידה שרלוונטית זה גודל העסק.
ראובן אידלמן
¶
לא, רגע. יכול להיות 100 אלף ויכול להיות מאגר של 2 מיליון. אם לא הודעת על מאגר של 2 מיליון אז זה יותר חמור מאשר אם לא הודעת על מאגר של 100 אלף. כן, בהחלט. כמו ברישום.
נעמה מנחמי
¶
(5) פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף 11, ובלבד שההפרה נעשתה ביחס ליותר
היו"ר שמחה רוטמן
¶
"פנה לציבור בלתי מסוים לצורך איסוף מידע במאגר מידע". פה גוגל המאגר הוא כן רלוונטי כאמור.
עמית יוסוב עמיר
¶
פה זה הסעיף שביקשנו מהוועדה גם בנוסחים. צורת ההכפלה לא משנה אבל הבקשה הייתה להתייחס למאגרים גדולים של מעל 100 אלף מזהים ביומטריים, בעיקר תמונות, כמאגרים בעלי רגישות מיוחדת לעניין גובה העיצום.
אני מזכיר לוועדה את תקציר הפרקים הקודמים. מה שקרה זה שהוועדה החליטה להגדיר "מידע רגיש" בהקשר של מידע ביומטרי שמשמש או נועד לשמש - - -
עמית יוסוב עמיר
¶
נציגי הממונה על היישומים הביומטריים ביקשו לחדד ולהבהיר שכאשר מדובר במאגרים גדולים של מזהים ביומטריים אז בחשש לדליפה של מאגרים כאלה, זה כבר לא משנה מה הייתה הכוונה של בעל השליטה או המחזיק המקוריים ומה הם תכננו לעשות.
אם הם לא מינו ממונה אבטחת מידע ואחר כך המאגר דלף אז הכוונות של מי שגנב את המאגר הן כבר לא ידועות לנו וסיכוי סביר שהוא כן יעשה שימוש ביומטרי ולכן בהקשר הזה ספציפית, מבקשים להתייחס למאגרים של מזהים ביומטריים של מעל 100 אלף אנשים כמאגרים ברמת רגישות מיוחדת.
נעמה מנחמי
¶
אני לא בטוחה שנכון לכתוב את זה כאן אבל אנחנו נשמח להסמכה של הוועדה, ככול שהיא מעוניינת בכך - - -
מיכל בלאו אור
¶
מיכל בלאו אור ממערך הסייבר הלאומי. אני יועצת משפטית ליחידה הממונה על יישומים ביומטריים. כמו שעמית אמר, דיברנו על כך בפעם הקודמת. ברגע שיש מאגר מידע שהוא מזהה ביומטרי של מעל 100 אלף, הרגישות היא גבוהה וזה מאגר אסטרטגי. לכן, בכל מה שקשור להיבטים של אבטחת מידע או הגנת סייבר, אנחנו חושבים שזה צריך להיות זהה עבור שני המאגרים וזה נכון גם לממונה אבטחת מידע בהקשר הזה וגם לתקנות אבטחת מידע שנדון בהם בהמשך.
עלו מחשבות בנושא גם לעניין של חריגה מהרשאה וחריגה מהמטרה אבל בגלל האופן שבו נראה כרגע שהמודל הולך אז ירדנו מזה. כמובן שצריך לראות לאן אנחנו מתכנסים גם בהקשר הזה כי גם בחריגה מהרשאה יש משמעות לנושא של מאגר ביומטרי.
היו"ר שמחה רוטמן
¶
טוב. ממונה אבטחת מידע זה בהגדרת מאגר - - - לדרגות הקנסות אנחנו ניתן לזה מענה. זה באמת לא פה אבל אין בעיה.
(7) בעל שליטה או מחזיק שלא מינה ממונה על הגנת הפרטיות, בניגוד להוראות סעיף 17ב1;
היו"ר שמחה רוטמן
¶
בעייני, זה באמת בגדר סדק כי הנושא הזה נדון יחסית בהרחבה בפעם הקודמת. אני מציע שנשאיר את זה כנקודה לדיון בסוף. ככול שחשבתי יותר על עמדתי בדיון הקודם, השתכנעתי שאני צודק וזה לא קורה לי הרבה.
ראובן אידלמן
¶
רק יהיה צריך לחדד אחר כך פה בטקסט את הסעיפים הספציפיים של גופים ציבורים שיש עליהם את העיצום, לפי מה שיוחלט.
היו"ר שמחה רוטמן
¶
אלה שחייבים ברישום, בוודאי ולגבי השאר האמירה נאמרה ואני אהיה פתוח לשמוע טיעונים בנושא הזה בסוף הדיון היום, בעזרת השם אם נצליח להתקדם.
(8) בעל שליטה או מחזיק שניהל או החזיק מאגר מידע המשמש לשירותי דיוור ישיר, מבלי שהמאגר היה רשום במרשם
הוא צריך מרשם?
היו"ר שמחה רוטמן
¶
זה בהגדרה, או-קיי.
או מבלי שאחת ממטרותיו הרשומות של מאגר המידע היא שירותי דיוור ישיר, בניגוד להוראות סעיף 17ד;
התוספת הזאת עדיין נצרכת?
ראובן אידלמן
¶
יש כאן חובה ספציפית, לא רק לרשום אלא גם לרשום את המטרות האלה כדי שהציבור ידע שזה מאגר לשירותי דיוור.
היו"ר שמחה רוטמן
¶
הבנתי, בסדר גמור. גם כאן גודל המאגר הוא רלוונטי וגם גודל העסק.
(9) בעל שליטה במאגר מידע או מחזיק שניהל או החזיק מאגר מידע המשמש לשירותי דיוור ישיר, בלי שיש בידו רישום המציין את המקור שממנו קיבל כל אוסף נתונים המשמש לצורך מאגר המידע ומועד קבלתו וכן למי מסר כל אוסף נתונים כאמור, בניגוד להוראות סעיף 17ה;
פה גודל המאגר הוא קצת פחות רלוונטי, מה גם שיכולים - - -
היו"ר שמחה רוטמן
¶
גודל המאגר הוא יותר רלוונטי? למה? לא, יכול להיות שגודל המאגר שלי הוא 2 מיליון אבל יש לי מקור מידע של 10,000. השאלה היא גודל מקור המידע, לא גודל המאגר הכללי שלי. לי יש מאגר שירותי דיוור גדול מאוד והייתי בסך הכול מאוד מסודר חוץ מאשר לגבי 10,000 אנשים שלא שמרתי לגביהם את המקור שממנו קיבלתי את אוסף הנתונים הזה.
ניר גרסון
¶
אבל יש גם שאלה של למי מסרת. זאת הליבה של סוחר מידע, שיהיה לו רישום למי הוא מסר כדי שאפשר יהיה להתקות ולתקן.
היו"ר שמחה רוטמן
¶
אני מבין אבל ההפרה לא בהכרח תלויה בגודל המאגר אלא בגודל הנתח של המידע שמסרת. אני מחזיק מאגר של מיליון אנשים אבל הפרתי לגבי שלושה. זה כמובן מקרה קיצון אבל לכן אני לא אומר שגודל המאגר הוא לא רלוונטי, אני רק אומר שבניגוד להפרה הראשונה ששם גודל המאגר הוא כמעט השיקול היחיד, פה, בנוגע לאיסוף המידע - - -
יכול להיות שקיבלתי מקור מידע אחד, עשיתי אגרגציה מהרבה מקומות ואין לי את מקור המידע שממנו הסקתי את מקור המידע הקטן לתוך המאגר הגדול שלי אז אני אהיה חשוף לקנס אבל לא לפי גודל המידע שלא קיבלתי אלא לגודל המאגר הכללי שלי שזה פחות רלוונטי. זה מה שאמרתי ואני חושב שזה די טריוויאלי.
לשאלתי שכתובה פה לדיון, האם יש דרך להכשיר מאגר שאבדו ביחס אליו פרטי המידע? אני מניח שהעסקים הגדולים מנהלים רישום מסודר או שלא ואז זאת בעיה מסוג אחר אבל נניח שאני בניתי מאגר לצורך דיוור ישיר של העסק שלי והבן אדם שהקים לי את המאגר ובנה לי אותו פוטר, התפטר, ברח או נטש לחו"ל ולקח איתו את הדיסק און קיי עם כל התיעוד.
האם התרופה היחידה שיש לי עכשיו זה למחוק את המאגר שלי, כי אין לי את הרישום של ממי קיבלתי כל נתח של מידע מתוך מאגר הדיוור הישיר שלי? האם זאת הפרה שניתנת לתיקון או שזה מעוות לא יכול לתקון וחסרון לא יכול להימנות?
היו"ר שמחה רוטמן
¶
לא, לא. אתה מדבר איתי על השאלה האם התקבלה הסכמה או לא התקבלה הסכמה וזאת שאלה אחת. אם לא התקבלה הסכמה אז אפשר לרפא את זה, אפשר להגיד "פניתי לכולם ואני מוחק את מי שלא יאשר או שלא אשתמש במידע עד שהוא יאשר", יש לי את היכולת להיעצר. פה, יש לי - - -
ניר גרסון
¶
אדוני, העניין הוא שזה סוחר מידע, זה לא האינסטלטור הקטן. דווקא בגלל הסכנה וכי זה הביזנס שלו אז מצפים מראש - - -
היו"ר שמחה רוטמן
¶
הכול ברור, זה הביזנס שלו ודווקא בגלל שזה הביזנס שלו אז השאלה היא לא עכשיו שאלת ההסכמה אלא זה שאין לו את הרישום המציין אז האם זאת הפרה נמשכת שתרופתה היחידה היא מחיקת המאגר. אני לא אומר שלא, יכול להיות שאתם צודקים וזה מה שצריך להיות אני פשוט אומר שזאת שאלה שאני לא ידעתי לתת לה תשובה. יש פה מומחי פרטיות.
ניר גרסון
¶
אדוני, זה מקרה שמזכיר מקרים שהם כמו נזק ראייתי בנזיקין. סוחר המידע הזה הוא זה שייצר את - - -
ניר גרסון
¶
אז הוא צריך לנקוט - - - אנחנו גם מכווינים את השוק. מטרתנו היא להגן על הפרטיות, מי שהוא סוחר מידע, מטרתו לסוחר במידע. הוא מרכז מידע מאוד רגיש אז שיתכבד וישמור גיבוי - - - אלו באמת דוגמאות אזוטריות.
ד"ר רחל ארידור הרשקוביץ
¶
זאת דוגמה לחסר שקיים בחוק, אין בו בסיסים לגיטימיים ואין בו אפשרות של פנייה כאשר אתה לא - - -
ד"ר רחל ארידור הרשקוביץ
¶
כי הפתרון שהם נותנים זה או שאתה תפנה לקבל הסכמה או שתמחק את המאגר, כרגע אין אופציה אחרת בחוק - - -
עמית יוסוב עמיר
¶
הסיפור פה הוא שיש מאגרים מאוד מסוימים שהמחוקק כבר מזה שנים אמר - - - אותם צריך להסדיר. ברור שלא נדרשת הסכמה לגבי כל פרט מידע פה אבל בגלל הרגישות ובגלל הסיכון המוסרי באיסוף של כל מיני מאגרי מידע שלא כדין - - -
עמית יוסוב עמיר
¶
לא אמרנו שלא. הסיכון המוסרי לאסוף אותם שלא כדין, אני לא אומר שהמאגרים עצמם הם שלא כדין, חס וחלילה. יש פה חובת תיעוד, חובת שמירת מסמכים.
היו"ר שמחה רוטמן
¶
אני מבין ואני יודע שהפרת חובת תיעוד והפרת חובת ששמירת מסמכים מקשה על האכיפה, אני יודע הכול אבל השאלה היא - - -
ניר גרסון
¶
נכון והאמת היא שזה מקרה חריג שבחריגים. במקרה הגרוע, כנראה יצטרך גוף כזה למחוק חלק קטן ומסוים מהמאגר, זה לא - - -
היו"ר שמחה רוטמן
¶
זה רק מחזק את האמירה שלי שהפונקציה היא לא גודל המאגר אלא מספר נושאי המידע שלגביהם אין את התיעוד הזה. זה רק מחזק את האמירה שזה לא עניין של גודל המאגר. זאת תשובה לגיטימית ובמציאות החוקית הקיימת במדינת ישראל, נראה לי שזאת התשובה הנכונה. דווקא השאלה הזאת מחדדת שכאן, גודל המאגר הוא פחות הפונקציה אלא מספר נושאי המידע.
היו"ר שמחה רוטמן
¶
לא, אני לא חושב שזה מתאים ל-ב' אבל אני חושב שזה לא מתאים ל-ג'. תכף נדבר על הרובריקה הזאת ואיפה זה יהיה אבל זה לא גודל המאגר, זה לא הפונקציה היחידה פה ואפילו לא גודל העסק.
(10) בעל שליטה במאגר מידע או מחזיק שפנה לאדם בדיוור ישיר שלא בהתאם להוראות סעיף 17ו(א) לחוק;
על פניו, זה לגמרי צריך להיות ב-א', בחלק ב'.
ראובן אידלמן
¶
לא כי דיוור ישיר יכול להיות לקבוצה, יש הגדרות לדיוור ישיר בחוק. העניין של דיוור ישיר זה יכול להיות לקבוצה בעלת מאפיינים מסוימים.
ד"ר עמרי רחום טוויג
¶
הרעיון בדיוור ישיר בהגדרה הנוכחית שלו בדין הישראלי – שהיא עם בעיותיה – זה התייחסות לא פרטנית לאדם, זה בדיוק הרעיון.
היו"ר שמחה רוטמן
¶
בסדר, אני חושב שפה הרבה יותר רלוונטי לי לכמה אנשים פניתי. פה זה פי אלף יותר רלוונטי מאשר מה גודל המאגר שלי. אמת?
שחף קצלניק
¶
זאת פנייה רנדומלית כי זה תלוי באיזה סיווג הכנסתי אותם. זה יכול להיות שפעם הרציונל נשאר אותו רציונל והקבוצה תשתנה לך. למה זה משנה? עוד פעם?
שחף קצלניק
¶
הסיווג שאני עושה כדי לייצור profiling יכול לייצור לי קבוצה אחת של עשרה אנשים וקבוצה אחת של 100 אלף אנשים אבל הרציונל שלי בפנייה הוא אותו רציונל. אני רוצה לפנות לקבוצה מסוימת אז מה זה משנה לי כמה - - -
היו"ר שמחה רוטמן
¶
נו, השאלה היא כמה אנשים קיבלו פנייה בניגוד לחוק. השאלה היא לא כמה אנשים יש לך מתוך המאגר שממנו גזרת. אתה גזרת מתוך מאגר של מיליון, פנית ל-100 או ל-100 אלף. ביצעת 100 אלף הפרות או שביצעת 100 הפרות, יכול להיות שזה בלחיצת כפתור אחת אבל ביצעת מספר הפרות כי יותר נושאי מידע קיבלו ממך פנייה.
היו"ר שמחה רוטמן
¶
או-קיי. אז שאלת גודל המאגר היא לא רלוונטית, אני נוטה לחשוב שזה באמת דומה יותר לפנייה.
ראובן אידלמן
¶
רק לוודא שהבנתי, המשמעות היא שזה בקבוצת ההפרות הפרטניות וסופרים הפרות פר כמות האנשים שאליהם נעשתה הפנייה?
ראובן אידלמן
¶
אם אנחנו מעבירים את זה, זה שאנחנו סופרים פר כמות האנשים אליהם נעשתה הפנייה זאת סוגייה משמעותית. בסדר.
היו"ר שמחה רוטמן
¶
שוב, זה יכול להיות פר 1,000 אבל אנחנו נחליט שה-sweet spot זה 1,000 פונים, לא יודע. אבל הרעיון הוא שהשאלה היא כמה אנשים קיבלו את הפנייה ולא מה גודל המאגר שלי.
היו"ר שמחה רוטמן
¶
לא מדויק, אם יש לך מאגר גדול ועשית - - - פילוחים אז יכול להיות שבסוף זה יצא קבוצה של אחד או שניים.
היו"ר שמחה רוטמן
¶
יכול להיות שאתה הרצת את הפילוחים וביקשת לפנות רק לאנשים ג'ינג'ים עם משקפיים סגולות ויוצא שזה קבוצה של אחד או קבוצה ריקה.
היו"ר שמחה רוטמן
¶
נכון.
(11) בעל שליטה שלא פירט, על דרישת מידע, כי הוא מוסר דרך קבע מידע בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(א);
זה גופים ציבוריים?
ראובן אידלמן
¶
כאן יש שלוש הפרות של גופים ציבוריים שקשורים להעברות מידע של גופים ציבוריים ולכן זה לא עניין של עסק, כמובן.
היו"ר שמחה רוטמן
¶
אבל דרישת מידע פה זה של הגוף הציבורי לדרישת מידע פרטנית. הרי, גוף ציבורי לא מעלה באינטרנט בקשה לקבלת מידע, נכון? אלא אם כן זה - - -
היו"ר שמחה רוטמן
¶
סעיף (11) "בעל שליטה שלא פירט, על דרישת מידע, כי הוא מוסר דרך קבע מידע בהתאם לסעיף 23ג בניגוד להוראות 23ד(א)", לכאורה, זאת בקשה לקבלת מידע פרטנית.
היו"ר שמחה רוטמן
¶
אז גם זה צריך להיות ברובריקה ב-ב' כי זה לא תלוי בגודל המאגר שלי. זה לא אמור להיות תלוי גודל המאגר בכלל. נכון?
ראובן אידלמן
¶
אולי צריך לחזור לדרישה המהותית. הדרישה המהותית ב-23ד(א) אומרת "גוף ציבורי שמוסר דרך קבע מידע לגוף אחר לפי 23ג, יפרט עובדה זו, על כל דרישת מידע בהתאם לחוק".
היו"ר שמחה רוטמן
¶
זה (11), בסדר. זה מובן, זה כמו סעיף (11).
(12) בעל שליטה שלא קיים רישום של המידע שמסר בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(ב);
זה רישום פנים - - -
היו"ר שמחה רוטמן
¶
בין גופים ציבוריים. גם פה, גודל המאגר שלו פחות רלוונטי, יותר משנה גודל ה-bulk שהוא העביר.
ראובן אידלמן
¶
הוא בדרך כלל מוסר כל מיני סוגים של מידע קודם כל, זה עניין של רישום פנימי. הסעיף הזה מדבר על חובת רישום פנימית.
ראובן אידלמן
¶
כי זה לפי גודל הגוף הציבורי וכמה העברות הוא עושה, זאת התפיסה. זה בוודאי לא עניין של גודל עסק.
היו"ר שמחה רוטמן
¶
לא, גודל עיבוד המידע הוא גם לא רלוונטי כי יכול להיות שיש לה מאגר מידע מאוד גדול אבל היא מעבירה רק bulk מאוד קטן שהיא לא רשמה אותו. זה יותר דומה ל-(9) בהקשר הזה כי לא מעניין אותי גודל המאגר הכללי. אם היא לא רשמה את זה שהיא העבירה מיליון אנשים זה משהו אחד, אם היא לא רשמה שהיא העבירה 10,000 - - - זה מספר נושאי המידע שביחס אליהם התבצעה ההפרה, זה לא גודל המאגר.
היו"ר שמחה רוטמן
¶
לא, זה לא. כי הרציונל הוא הפרט הנפגע ופה הפרט לא בהכרח נפגע בכלל. זה רק עניין של רשמו או לא רשמו, זה לא שיש יותר פגיעה ביותר אנשים פרטניים בגלל שהוא לא רשם את זה ב-bulk.
היו"ר שמחה רוטמן
¶
נכון, לכן זאת רובריקה שלישית.
(13) בעל שליטה שלא הודיע לראש הרשות כי הוא מקבל דרך קבע מידע בהתאם לסעיף 23ג והמידע נאגר במאגר מידע, בניגוד להוראות סעיף 23ד(ג);
זו הפרת חובת רישום קלאסית.
היו"ר שמחה רוטמן
¶
אז פה זה כן גודל המאגר שהוא אוגר כתוצאה מזה אבל שוב, זה פחות גודל המאגר שברשותו. פה תהיה חפיפה בין גודל המאגר לבין גודל המידע שקיבלת.
היו"ר שמחה רוטמן
¶
לכן, זאת לא בעיה בשבילי. זה יכול להיות פה או פה כי זה יושב-ראש באותו מקום.
(14) בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר
הורדה את "מנהל מאגר", נכון?
נעמה מנחמי
¶
לא, אנחנו שינינו את ההגדרה - - - מרוקנת אותו מתוכן אבל היא עדיין קיימת ורלוונטית בעיקר - - -
היו"ר שמחה רוטמן
¶
הורדנו.
(15) בעל שליטה במאגר מידע או מחזיק במאגר שלא מסר למפקח מסמך או עותק מחומר מחשב, בניגוד להוראות סעיף 23י(א)(2) או (3);
לא ברור לי בכלל למה גודל המאגר רלוונטי לסיפור הזה.
ראובן אידלמן
¶
נכון שזה פחות מובהק אבל צריך איכשהו לסווג את זה. כן צריך לתת מכפלות גם ביחס לגודל מאגר.
היו"ר שמחה רוטמן
¶
לא צריך - - - לפי גודל עסק. גודל המאגר לא רלוונטי בכלל. בן אדם כבר קיבל פנייה ישירה ממכם למסור מידע והוא מסרב למסור את המידע אז מה זה מעניין מבחינת איזה רציונל, השאלה אם הוא מחזיק מאגר של 100 אלף אנשים או מאגר של 10,000 אנשים אם הוא מסרב לפנייה שלכם?
ניר גרסון
¶
לא אבל בכל זאת יש הבדל. האם לא עשוי להיות הבדל כשמדובר בארגון עם מחזור של 2.80 שקלים - - -
ניר גרסון
¶
לא, לא. רגע. אני אומר שגם אם הארגון הוא קטן מאוד והמחזור שלו הוא שקל ו-80 אגורות אבל הוא מחזיק את כל מרשם האוכלוסין, 10 מיליון אנשים עם מידע מאוד רגיש, זה לא יותר חמור?
היו"ר שמחה רוטמן
¶
לא. מה שחמור זה שהוא קיבל ממך פנייה חוקית והוא מסרב לפנייה החוקית שלך. מבחינתי, תעצור אותו. לדעתי גם נתתי לך סמכויות לגרור אותו לתחנת משטרה בכל מיני סיטואציות. זה לא קשור לגודל מאגר.
ניר גרסון
¶
יש יותר דמיון לרישום מבחינת רגולציה. כשהמאגר מאוד גדול ומאוד רגיש אז הנזק על סיכול הרגולציה - - -
היו"ר שמחה רוטמן
¶
חובה רגולטורית לרישום היא דבר אחד אבל כאשר כבר יש אירוע פרטני של פנייה פרטנית ואתם כבר נכנסתם אליו לעסק לבקש מסמך והוא לא נתן לכם אז גודל המאגר הוא לא הפונקציה, מה שרלוונטי זה גודל העסק, אני מסכים. מה שרלוונטי זה זה, לא רלוונטי מה גודל המאגר שהוא מחזיק.
היו"ר שמחה רוטמן
¶
אין פה שום פגיעה בפרטיות, הוא מתנהל למופת, המאגר מידע שלו מאובטח כמו פורט נוקס אבל אתה לא באת לו בטוב אז הוא לא מסר את המסמך. לא באת לו טוב בעין, המפקח שלך עיצבן אותו ובסוף, אחרי שהטלת עליו את העיצום הזה והוא מסר לך את המסמכים, אתה גילית שבאמת לא דלף משם אפילו לא פירור. מה שהוא עשה זה שהוא פשוט לא מסר לך את המידע וזה לא בסדר, זה חמור מאוד אבל מה הקשר לגודל המאגר?
גלעד סממה
¶
ואם הטלתי עליו את העיצום הזה ובסופו של דבר, אני לא יכול לנהל עכשיו את הליך הפיקוח שלי על מאגר שהוא מאגר - - -
היו"ר שמחה רוטמן
¶
תוציא לו צו הפסקת עיבוד. מה הקשר בין גובה העיצום לגודל המאגר? אני לא מצליח להבין. אם שי לו הפרות הבטחת מידע אחרות אז תטיל עליו אלף עיצומים אחרים אבל פה מדובר רק על אי-מסירת המסמך.
היו"ר שמחה רוטמן
¶
לא, אין לזה שום משמעות. סליחה. מצטער, לא השתכנעתי. זה צריך להיות אך ורק בהתאם לגודל עסק, גודל המאגר לא רלוונטי בכלל.
גלעד סממה
¶