פרוטוקול של ישיבת ועדה
הכנסת העשרים-וחמש
הכנסת
171
ועדת החוקה, חוק ומשפט
30/06/2024
מושב שני
פרוטוקול מס' 359
מישיבת ועדת החוקה, חוק ומשפט
יום ראשון, כ"ד בסיון התשפ"ד (30 ביוני 2024), שעה 9:00
ישיבת ועדה של הכנסת ה-25 מתאריך 30/06/2024
חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024
פרוטוקול
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
מוזמנים
¶
עמית יוסוב עמיר - עו"ד, ייעוץ וחקיקה, משרד המשפטים
סוריא בשארה - עו"ד, ייעוץ וחקיקה, פלילי, משרד המשפטים
לירון מאוטנר לוגסי - עו"ד, ראש תחום משפט ציבורי, מחלקת ייעוץ וחקיקה, משרד המשפטים
גלעד סממה - עו"ד, יו"ר, הרשות להגנת הפרטיות, משרד המשפטים
ראובן אידלמן - יועץ משפטי, הרשות להגנת הפרטיות, משרד המשפטים
ניר גרסון - עו"ד, סגן יועמ"ש, הרשות להגנת הפרטיות, משרד המשפטים
נעמה גורני לר - עו"ד, המחלקה המשפטית, הרשות להגנת הפרטיות, משרד המשפטים
מיכל בלאו אור - יועצת משפטית, היחידה הממונה על יישומים ביומטריים, מערך הסייבר הלאומי
ד"ר רחל ארידור הרשקוביץ - עו"ד, חוקרת, המכון הישראלי לדמוקרטיה
שחף קצלניק - עו"ד, יועץ משפטי, התאחדות התעשיינים
ענר רבינוביץ' - מנכ"ל, חברת מנכ״ל PrivacyTeam
איה מרקביץ' - עו"ד, Privacy Director, חברת PrivacyTeam
ד"ר עמרי רחום טוויג - שותף, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל
יעקב עוז - יו"ר ועדת הסייבר והפרטיות, להב- לשכת ארגוני העצמאים והעסקים בישראל
אייל שגיא - עו"ד, שותף, משרד AYR
רישום פרלמנטרי
¶
איה פרידמן, איטייפ
רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
¶
בוקר טוב. כולנו קיבלנו אתמול בערב את הבשורה הקשה על יאיר ויקיר שנפלו ואני שולח מכאן תנחומים למשפחות ובמיוחד לשירית שהיא חלק מהנוף האנושי של הכנסת והיא דודה של אחד הנופלים. אנחנו מתפללים כולנו שהשם יאמר די לצרותינו.
בשבת קראנו את פרשת "שלח" על ההתמודדות של עם ישראל עם האויבים ואת התשובה הנחושה של יהושוע וכלה שרוחך אחרת הייתה עמם, "טובה הארץ מאוד מאוד, עלה נעלה וירשנו אותה כי יכול נוכל לה". האמונה הזאת ביכולת ובסייעתא דשמיא שתבוא לכוחותינו ולחיילנו מלווה אותנו עד ימינו אלה. בעזרת השם עלה נעלה וירשנו אותה.
אנחנו בעניין הצעת חוק הגנת הפרטיות ויש רק עוד שתיים או שלוש ישיבות. סתם. אני בהחלט מקווה שהיום אנחנו נתקדם בצורה משמעותית לקראת סיום הכנת הצעת החוק הזאת. גברתי היועצת המשפטית, בבקשה.
נעמה מנחמי
¶
בוקר טוב. לבקשת הממשלה, אנחנו נתחיל עם סעיף 15א רבא, פיצויים ללא הוכחת נזק. עשינו כמה שינויים מאז הפעם הקודמת, בעיקר דייקנו את הסעיף והוספנו לו עוד מדרגה של הודעה בהרבה מהמקרים כך שכל אחד מהסעיפים צריך עכשיו הודעה נוספת לבעל השליטה או המחזיק או שתהיה איזושהי פנייה ראשונית, כמו בקשה לזכות טיעון. נקרא אותם?
נעמה מנחמי
¶
(1) הפר בעל שליטה במאגר מידע או מחזיק, לפי העניין, הוראה מההוראות המפורטות להלן, רשאי בית המשפט לפסוק, בשל אותה הפרה, פיצויים שאינם תלויים בנזק (בסעיף זה – פיצויים לדוגמה), בסכום שלא יעלה על 10,000 שקלים חדשים:
(1) לא רשם בעל שליטה מאגר מידע החייב ברישום לפי סעיף ,8 בו מצוי מידע אודות אדם, וחלפו 90 יום מיום שפנה האדם לבעל השליטה במאגר המידע בדרישה לרשום את המאגר;
(2) פנה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע לפי סעיף (11) או סעיף 23ד(א) לפי העניין, מבלי שמסר הודעה כדרישת אותו סעיף, וחלפו 30 יום מיום שפנה האדם ל בעל השליטה במאגר המידע בדרישה להודיע לו כאמור.
(3) לא אפשר לאדם שביקש לעיין במידע שעליו, המוחזק במאגר המידע, לעיין במידע, בניגוד לסעיפים 13 או 13א, לפי העניין, במועד ובדרך שנקבעה בתקנות.
(4) הסכים לבקשה לתיקון או מחיקת מידע שאינו נכון, ברור או מעודכן, אך לא ביצע את השינויים הנדרשים במידע שברשותו, או לא הודיע עליהם לכל מי שקיבל ממנו את המידע בתקופה הקבועה בתקנות, בניגוד להוראות סעיף 14(א);
(5) לא הודיע לאדם שביקש לתקן או למחוק מידע שעליו, שאינו נכון, שלום או ברור, על סירובו למלא את הבקשה, בדרך שנקבעה בתקנות, בניגוד להוראה סעיף 14(א).
(6) לא הודיע בעל שליטה במאגר מידע לראש הרשות לפי סעיף 23ד(ג) על קבלה דרך קבע של מידע, הכולל מידע אישי אודות אדם, שנאגר במאגר מידע, וחלפו 30 יום מיום שפנה האדם לבעל השליטה במאגר המידע בדרישה להודיע כאמור.
אני אשמח אם הממשלה - - -
נעמה מנחמי
¶
כן, זה היה 6. אני אשמח אם הממשלה תבהיר איך אדם יכול לדעת שהתקיימו הנסיבות כאן.
(2) בבואו לקבוע את גובה הפיצויים לדוגמה, יתחשב בית המשפט, בין השאר, בשיקולים המפורטים להלן, ולא יתחשב בגובה הנזק שנגרם לנפגע כתוצאה מביצוע ההפרה:
(1) עידוד התובע למימוש זכויותיו;
(2) היקף ההפרה וחומרתה;
(3) התנהגות המפר, נסיבותיו האישיות ויכולתו הכלכלית, וכן סנקציות נוספות או תשלום נוסף שהוחלו על המפר ביחס לאותן נסיבות.
(3) אין בהוראות סעיף קטן זה כדי לגרוע מהאפשרות לנהל הליך פלילי, ככל שההפרה מהווה גם עבירה פלילית, או לגרוע מזכותו של התובע לתבוע כל סעד אחר לפי פקודת הנזיקין, בשל אותה הפרה, ואולם לא יקבל אדם פיצוי לדוגמה לפי סעיף זה, בשל אותו מעשה או מחדל יותר מפעם אחת.
היו"ר שמחה רוטמן
¶
טוב. אני אבקש במסגרת סעיפי הדיווח שיהיה לנו דיווח מפורט על הדבר הזה ועל התביעות הללו מהנהלת בתי המשפט כדי שנוכל לעקוב אחרי היישום של החוק הזה.
היו"ר שמחה רוטמן
¶
יש מישהו שרוצה להתייחס? לי הרוב נראה יחסית פשוט חוץ מהנושא של 6. א', על עצם הצורך ב-6 ו-ב', על השאלה הפרקטית. עצם הצורך ב-6 זאת אומרת, שהוא קצת דומה ל-1. בעקרון, אני רציתי שהפיצויים ללא הוכחת נזק יהיו במישור שבין אדם לחברו ולא מול הרשות.
1 הוא מול הרשות. זאת אומרת, זה הרישום אבל כאשר מדובר על גוף ציבורי או ב-data brokers אז ללא הרישום הבסיסי הזה, אי-אפשר בכלל להתחיל ולכן, כן יש פה איזשהו כלי. הרישום פה נועד לטובתי בשביל לדעת איזו רשות ציבורית מחזיקה עלי מידע, למי אני פונה לתקן אותו, מה אני עושה וכדומה אז כשמדובר באנשים שחובת הרישום חלה לגביהם, זאת זכות היסוד שלי. אם אני לא אטיל עליה את האפשרות לתבוע בנפרד אז אני בעצם אעודד את כל האנשים לא לרשום ואז אני לא אוכל להתקדם מולם לשלב הבא ולכן זה נשאר. שאר הדברים, 2, 3, 4, ו-5 הם באמת יותר בעניין בין אדם לחברו ו-6 זה שוב חוזר לבין אדם לרשות ולכן צריך לדבר על הרציונל של ההודעה ועל האופן בו זה יתגלה.
עמית יוסוב עמיר
¶
בוקר טוב. עמית יוסוב עמיר, משרד המשפטים. צריך להקדים ולומר שהסעיף הזה הוסף לבקשת הייעוץ המשפטי של הוועדה כאמצעי נוסף - - -
עמית יוסוב עמיר
¶
הוועדה באמצעות הייעוץ המפשטי לוועדה, כאמצעי נוסף לאכיפת הוראות סעיף 23ד רבא שעוסקת בחובות הנלוות להעברת מידע בין גופים ציבוריים. מבחינה עניינת, הקשר הוא מאוד אדוק, בין חובת הרישום - - -
עמית יוסוב עמיר
¶
כן, אני אומר שסעיף 6 בעצם מצטרף לרישום. מה שקורה זה שההודעה לפי סעיף 23ד(ג) מועברת לרשות להגנת הפרטיות והיא מצרפת את פרט המידע הזה - - -
היו"ר שמחה רוטמן
¶
זאת אומרת, ם אני מסתכל במרשם ואני לא רואה שזה נרשם אז אני יכול להניח בקלות שמעבירים עלי מידע ולא מסרו את ההודעה.
עמית יוסוב עמיר
¶
אולי אני אקריא את הסעיף. "גוף ציבורי המקבל דרך קבע מידע בהתאם לסעיף 23ג רבתי והמידע נאגר במאגר מידע, יודיע על כך – היום זה לרשם אבל זה יהיה הרשות להגנת הפרטיות – והעובדה הזאת תיכלל בפרטי רשימת מאגרי המידע לפי סעיף 12". ההודעה הזאת נכללת - - -
היו"ר שמחה רוטמן
¶
נכון אבל בשביל זה יש את "יום שפנה אדם לבעל השליטה במאגר המידע בבקשה להודיע". יש פה צורך בפנייה ואז ממילא, הוא יבוא ויגיד "שלחתי לרשם אבל אני לא יודע. הם ישנים שם ולא מתקנים את המרשם, האתר שלהם נפל או שהכלב אכל להם את המחברת. לא אכפת לי אבל מצורף בזה העתק ההודעה שמסרתי ולכן אני בסדר ואני לא אחטוף את התביעה הזאת. אני כרשות עשיתי את זה וזה שהם לא רשמו או לא עדכנו את המאגר זו באמת בעיה שלהם אבל זה לא משהו שבשליטתי". מהבחינה הזאת אני לא מוטרד כי יש פה את ה-30 יום. עוד הערות לסעיף זה?
ענר רבינוביץ
¶
ענר רבינוביץ, Privacy Team. לעניין ההפרה שקשורה לבקשות עיון במידע ב-3, התקנות עיון במידע לא עובדות היום. כלומר, הן די שבורות. יש שם איזשהו ארכאי שמבקש המידע נדרש למלא וזה לא הולם את הפרקטיקה העולמית וגם בארץ, מבחינת ההיענות לבקשות עיון מידע.
אתה בעצם מסכן כאן ארגונים בכך שהם חשופים לפיצויים ללא הוכחת נזק, אפילו שהם עומדים בסטנדרט הגלובלי, רק כי הן לא עם התקנות העתיקות האלה. השאלה היא אם יש כוונה לתקן את תקנות עיון מידע כדי להביא אותן - - -
ניר גרסון
¶
ניר גרסון מהרשות להגנת הפרטיות. התקנות הן אכן מיושנות ותהיה כוונה לתקן אותן אבל כיום, הן דווקא מיטיבות עם בעלי המאגרים.
ניר גרסון
¶
הן מאפשרות להם לצאת ליידי חובה. הם יכולים לדרוש ממבקש העיון לפי נוסח התקנות "להתייצב אצלם במשרד". הן מיטיבות ומקלות על המפוקחים.
ענר רבינוביץ
¶
הן מקשות מהבחינה של הטופס הזה. כלומר, הקריטריונים או איך שהבקשה צריכה להראות ואיך שצריכים לענות לבקשה.
היו"ר שמחה רוטמן
¶
לא, אני מסכים עם מה שנאמר פה. הדרישות פה מקשות על מבקש המידע. אני לא אוהב אותן ואני מסכים איתך אבל אין פה הוראה שמגבילה את מסירת המידע כמו "תעביר לי אותה ככה ולא באימייל", לפחות לא להבנתי.
אם תוגש תביעה על הנושא זה גם יהיה חוסר תום לב קיצוני וגם בן אדם יגיד "קיבלתי את זה באימייל אבל עשו לי את זה לפי טופס מספר זה וזה". מה שכן, דווקא מקבלי הדרישה – רובם יהיו גופים ציבוריים, מן הסתם – יבואו ויגידו "הנה הטופס", "לא מילאת", "כן מילאת". אם כבר, הטענה היא הפוכה. זה מקשה על מקבלי המידע וזה מאפשר לייצר כל מיני קשיים פרוצדורליים.
היו"ר שמחה רוטמן
¶
מקשה שלא צורך, חד וחלק. ענר, תפנה אותי לאיזו הוראה בתקנות שלדעתך מקשה על הארגון שנותן את המידע. מכאן בקשתי שלוחה לתקן את התקנות.
איה מרקביץ'
¶
יש פה גם עניין של העדר של דברים ולא רק סעיפים שהם בעייתיים. יש לכם ב-GDPR וגם בתקנות הגישור, סיבות שבגינן בעל השליטה היה יכול לסרב ואין לנו פה כמעט שום דבר מהדברים האלה, לא סוד מסחרי, לא זכויות של צדדים שלישיים וכלל העיפרון הכחול לא נמצא פה.
אם אדם רוצה לעיין במידע שלו - - - תחשבו על הקלטה של שיחה שנזכרים בה אנשים אחרים שאולי לא רלוונטיים אליו. יש כל מיני היבטים שמקשים עלינו להפעיל את זה גם מהצד של הארגון ולא רק מהצד של מבקש המידע.
עמית יוסוב עמיר
¶
רק אדייק, התנאים המהותיים לעיון לא קבועים בתקנות, הם קבועים בחוק. יש הסדר בסעיפים 13ג, ג(1), (ה). אפשר לדבר על ההסדרים אבל - - -
היו"ר שמחה רוטמן
¶
כתוב "בעל מאגר רשאי שלא למסור למבקש מידע המתייחס למצבו הרפואי או הנפשי, לסכן את חייו - - - מסר מידע בניגוד לחיסיון על פי כל דין" יש את הוראות עיון במידע שאיננו בהחזקה. אני מסכים שהייתי רוצה הסדר עיון וזכות להישכח. אלו כל מיני דברים שלא היינו רוצים לשמור לתיקון 15, היינו רוצים שזה יגיע עכשיו אבל זה לא מגיע עכשיו.
על פניו, ההסדרים המהותיים כוללים את המחויבויות, את הפתורים ואת האופן שבו זה מתפרש בפסיקה. אני לא משנה את הדיון המהותי, הדבר היחיד הוא שהנושא של "במועד ובדרך שנקבעה בתקנות" זו הוראה לטובת מחזקי מאגרי המידע. זה אפילו בצורה קיצונית, יותר ממה שהם צריכים. ההסדרים המהותיים לא שם והם גם לא אמורים להיות קבועים בתקנות, הם באמת אמורים להיות קבועים בחוק.
איה מרקביץ'
¶
אפשר גם לתקן את החוק אבל העניין של הטופס נראה כמו דבר טיפשי ואתם מציגים את זה כאילו הוא מיטיב עם הארגון אבל אם את מסתכלת על הטופס שאת צריכה לתת לנושא המידע למלא וצריך לכתוב בו את שם המאגר ומעמנו, "אני החתום מטה", תעודת זהות, שם האב, מענים, מיקוד, "סבור מהנימוקים הבאים כי הנתונים על אודותי מצויים בהחזקתכם, נקודתיים" ולפרט אותם ואז צריך לכתוב בתוך הטופס איזה מידע, אישיותי, מעמדי האישי, צנעת אישיותי וכולי. אלה הקטגוריות שהחלפנו אותן עכשיו בהגדרה אחרת לגבי מה הוא מידע אישי.
עמית יוסוב עמיר
¶
יש תיקון מהותי להגדרה של מה הוא מידע בחוק אז מן הסתם היא משפיעה גם על התקנות. שוב, אלה טפסים מיושנים אבל הדין הכללי, אופן הפרשנות והיחס בין חוקים לתקנות נותן לדברים האלה מענה.
היו"ר שמחה רוטמן
¶
בסדר, אני מבין. כאמור, מכאן בקשתי שתתקנו את התקנות בהקדם שלוחה אבל כרגע זה זה. אחרי תיקון החוק אתם מן הסתם תצטרכו לעשות התאמות בעוד כמה תקנות ויגיעו לפה סטים. בסדר גמור.
כרגע זה לא. להפך, זה מקל מאוד על בעל מאגר שלא ירצה לתת מידע לטרטר את הבן אדם. זה לצערי אבל אני לא רוצה לעשות את זה במסגרת חקיקה על תקנות כשאני רוצה שיתקנו את זה בתקנות אבל על פניו, התקנות האלה מאוד מקלות על מאגר לא לקבל את אותה תביעה אישית שאנחנו ייצרנו פה.
איה מרקביץ'
¶
אומר רק דבר אחרון לעניין הזה. אולי לפחות בסעיף שמאפשר להגיש תביעה לפיצויים ללא הוכחת נזק אז שהחובה הזאת תחול על בעל שליטה במאגר ולא על מחזיק או בעל שליטה לפי העניין כדי שיהיה ברור שמי שמצופה ממנו לענות על בקשות כאלה בעל זה השליטה - - -
עמית יוסוב עמיר
¶
זה לפי העניין. יש הסבר מפורט בסעיפים 13 ו-13א רבתי של סדר הפעולות בין בעל השליטה למחזיק, המחוקק נדרש לזה. אם אני פונה למחזיק אז המחזיק צריך להפנות אותי לבעל השליטה. הדברים ברורים.
עמית יוסוב עמיר
¶
אנחנו מפנים פה להסדרים ב-13 ו-13א ודווקא בעניין הזה הם מסדרים בדיוק את היחסים בין בעל השליטה למחזיק. אני לא מציע דווקא אגב הפיצויים ללא הוכחת נזק, אנחנו נתחיל להתערב בהסדר שקבוע פה.
היו"ר שמחה רוטמן
¶
אנחנו דיברנו על זה רבות. "פנה המבקש תחילה למחזיק, יודיע לו המחזיק אם הוא מחזיק מידע עליו וכן את שם בעל מאגר המידע ואת מענו". דיברנו על כך שבכלל לא תמיד המחזיק יודע על מי הוא מחזיק. להפך, לפעמים יש לנו אינטרס שהמחזיק לא ידע על מי הוא מחזיק. פה אנחנו לא מבקשים מהמחזיק נהלים של אבטחת מידע, אנחנו מבקשים מהמחזיק לשבת ולקרוא את המאגר ולהבין האם מאגר המידע שייך וזאת בעיה. זאת בעיה לא פשוטה.
יכול להיות שבהמשך צריך לתקן את סעיף 13 ו-13א אבל כמו שאמרתי, זה כרגע לא הנושא. אני לא מדבר כרגע על תיקון החוק, אני מדבר כרגע על השאלה על מי אני רוצה להטיל פה חובה מאוד ספציפית שבאה ואומרת שאם אתה בעל שליטה במאגר ויש בן אדם שמבקש ממך את המידע אז החובה מוטל עליך. אם אתה רוצה לעשות את זה באמצעות מחזיק או באמצעות מישהו אחר אז תעשה את זה באמצעות מי שאתה רוצה אבל החובה מוטלת עליך.
האם תהיה זו טענת הגנת תקפה אם בעל השליטה יבוא ויגיד "אני הורתי למחזיק במכתב והמחזיק גנב לי את המאגר ולכן אני לא - - -"? בסדר גמור אבל החובה על מסירת המידע מתאימה לבעל השליטה, היא לא מתאימה למחזיק לפי העניין. לכן, כן כדאי שסעיף 3 יחול על בעל שליטה.
ניר גרסון
¶
כלומר, אדוני אומר שבמצב שבו המחזיק לא שועה לבקשתו של בעל המאגר למסור את המידע אז בעצם בתביעה הנגזרת הוא גלגל את זה - - -
היו"ר שמחה רוטמן
¶
כן. הוא נתן את ההוראה אז הוא בסדר. אם המחזיק גנב לו את המאגר, מה אתה רוצה ממנו? הוא פעל בהתאם לחובתו.
נעמה מנחמי
¶
הסעיף הבא הוא סעיף 23טז1, הסתייעות במומחה חיצוני. זה בעמוד 3 למסמך ההכנה. אנחנו נקרא אותו כי יש לנו כמה שינויים בו, אלו שני דברים שנשארו מהדיונים הקודמים. נושא אחד הוא נושא שהטריד אותנו מאוד וזה הנושא של סודיות, בפרט בעקבות הדיון אז אנחנו ננסה לצמצמם את הדיון.
שני דברים הפריעו לנו, אחד מהם זה הנושא של צינון לאחר פרישה וזה נוגע לגופים שאותו מומחה חיצוני פיקח עליהם. הנושא השני שהטריד אותנו מאוד היה הידע שאותו מומחה חיצוני יוצא איתו ומחזיק במוחו. כלומר, מעבר לידיעה או איזשהו מסמך שהוא יכול להעביר או לא להעביר, הטרידה אותנו שאלת הידע, ה-know how שהוא למד על חברת שהוא היה מעורב בפיקוח או בבירור המנהלי שלהן.
ההצעה של הממשלה בעקבות הבקשות שלנו בנושא היא להוסיף סעיף שההשראה לו היא בסעיף 58 לחוק הפיקוח על מעונות היום והוא מופיע במסמך ההכנה בסעיף קטן (ג). אנחנו נקרא את הכול או שאתם רוצים להתמקד?
נעמה מנחמי
¶
בסדר.
(ה) מומחה חיצוני שהגיע אליו מידע לפי הוראות סעיף זה תוך כדי מילוי תפקידו או במהלך עבודתו, ישמרנו בסוד, לא יגלה אותו לאחר ולא יעשה בו כל שימוש
זה החלק העיקרי
אלא לפי הוראות חוק זה או חיקוק אחר או לפי צו של בית משפט.
זה הכול. זה כמעט אחד לאחד אותו סעיף 58 לחוק המעונות. אפשר גם לחשוב על תיקון של סעיף 16 שעוסק בחובת סודיות בחוק ואגב כך, אולי לצרף לשם את הממונה על הגנת הפרטיות, שאני לא בטוחה שהוא תמיד מוגדר כאחד הגורמים שקיים לגביהם סעיף 16.
עמית יוסוב עמיר
¶
רק אבהיר כדי שלא ניפול לדיונים מיותרים על סעיף 16. סעיף 16 הוא בכל מקרה לא רלוונטי לעניינו ולא ייתן מענה כי הוא חל על מידע כהגדרתו, ועכשיו בתיקון החדש "מידע אישי", הוא מגן על הזכות לפרטיות של נושאיו.
היו"ר שמחה רוטמן
¶
אני חושב שהנוסח של (ה) הוא טוב, הוא נותן מענה בלי לגעת כרגע ב-16. יש למישהו הערות? מצוין.
נעמה מנחמי
¶
סעיף (ד) כבר אושר בוועדה אבל אולי נמשיך ממה שהיה (ה) והפך להיות (ז).
(ז) דינו של מומחה חיצוני כדין עובדי המדינה לעניין ההוראות הנוגעות לעובדי הציבור בחוק העונשין, התשל"ז –1977 (להלן – חוק העונשין) וההוראות בחוק שירות הציבור (מתנות), התש"ם – 1979.
בפעמים הקודמות היו לנו דיונים על עוד שני חוקים, משמעת ולפי מה שמסרה לנו הממשלה, זה ככול הנראה פחות רלוונטי כי זה עוסק בהגנה על עובדים שנמצאים בהליכים פליליים והיה לנו את סיפור הסינון שהממשלה ביקשה להוסיף אולי - - - היא ביקשה שלא להוסיף ממש בחוק אבל כן אולי - - -
נעמה מנחמי
¶
בסדר גמור.
(ח) ראש הרשות רשאי לתת למי שמתקיימים בו כל אלה אישור לשמש מומחה חיצוני:
הקראנו את זה בפעם הקודמת.
נעמה מנחמי
¶
זה בעל ידע, מומחיות ולא הורשע בעבירה שמפאת חומרתה או נסיבותיה אינו ראוי לשמש מומחה חיצוני. אני חושבת שהיה גם את נושא המב"דים נכון? אבל גם בהקשר הזה.
נעמה מנחמי
¶
רק רציתי להבהיר שהנושא של מב"דים הוא בסעיף קטן (ט), הוא כתוב קצת שונה אבל מבחינה מהותית זה אותו דבר. הסעיף שעוד לא אישרנו זה סעיף (י).
(י)(1) לא ימונה למומחה חיצוני ולא יכהן כמומחה חיצוני כאמור מי שבשל כהונתו יימצא באופן תדיר, במצב של ניגוד עניינים;
(2) מומחה חיצוני לא יטפל במסגרת תפקידו בנושא שהטיפול בו ]עלול לגרום] יגרום לו להימצא במצב של ניגוד עניינים;
(3) נודע למומחה חיצוני כי הוא עלול להימצא במצב של ניגוד עניינים כאמור בפסקאות (1) או (2) יודיע על כך בהקדם האפשרי לראש הרשות.
היו"ר שמחה רוטמן
¶
ב-(2) זה "יגרום לו", ב-(3) זה "עלול" ואז ממילא, אם זה "יגרום" זה קטגורי, אם זה "עלול לגרום" אז הוא מודיע לראש הרשות ואז ראש הרשות יחליט מה עושים, מן הסתם.
נעמה מנחמי
¶
או-קיי, אז נשאיר "יגרום".
(יא) הודעה על אישור לשמש מומחה חיצוני [ורשימת המומחים החיצוניים המעודכנת] תפורסם באתר האינטרנט של הרשות.
(יב) בסעיף זה –
"בן משפחה" – בן זוג, הורה, הורה הורה , בן או בת ובני זוגם, אח או אחות וילדיהם, חם, חמות, נכד או נכדה, לרבות קרוב כאמור שהוא שלוב [חורג];
"בעל עניין" – כהגדרתו בחוק ניירות ערך, התשכ"ח 1968;
"טיפול" – לרבות קבלת החלטה, העלאת נושא לדיון, נוכחות בדיון, השתתפות בדיון או בהצבעה, או עיסוק בנושא מחוץ לדיון;
"ניגוד עניינים", של מומחה חיצוני
נעמה מנחמי
¶
הקראתי כבר את ניגוד עניינים?
של מומחה חיצוני – ניגוד עניינים בין מילוי תפקידו לבין עניין אישי או תפקיד אחר, שלו או של קרובו;
הנה הקרוב. עוד שנייה נגיע למשפחה.
"קרוב" – כל אחד מאלה
¶
(1) בן משפחה של מומחה חיצוני;
(2) אדם שלמומחה החיצוני יש עניין במצבו הכלכלי;
(3) תאגיד שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה (2), הם בעלי עניין בו;
(4) גוף שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה (2) הם מנהלים או עובדים אחראים בו.
הסעיף הזה התבקש לבקשת הממשלה מכיוון שמאז שהוגשה הצעת החוק, המודל של נושא הניגוד עניינים עודכן וזה המודל החדש של החקיקה בנושא ניגוד עניינים.
היו"ר שמחה רוטמן
¶
טוב. נראה לי שבמדינת ישראל ניגוד עניינים זה לנשום עם ההגדרות הרחבות האלה. הערות? יאללה, נתקדם.
נעמה מנחמי
¶
מהפעם הקודמת נותר לנו "הסתייעות במי שאינו עובד המדינה לשם פיקוח רוחב". שינינו את הדברים קצת מבחינת ניסוח אבל נשאר לנו סעיף קטן (ג) שזה "על גורם מסייע יחולו הוראות סעיפים קטנים - - - בשינויים המחויבים".
אותם סעיפים שהקראנו עכשיו לגבי המומחה החיצוני, יחולו גם לעניין אותו מפקח רוחב.
היו"ר שמחה רוטמן
¶
אני רק אומר שבשנייה שהפיקוח הוא פיקוח רוחב רוחבי למדינה אז למי אין - - - מחר הם יעשו פיקוח רוחב על מגזר עורכי דין או רואי חשבון. למי אין מישהו שבכל ההגדרה הזאת של קרוב או משהו שהוא עורך דין, רואה חשבון או איש הייטק? זה כולם בהגדרות המאוד רחבות האלה.
ראובן אידלמן
¶
למזלנו, יש מגבלות תקציב אז זאת עדיין תהיה רשימה של גופים. זה יכול להיות 80 משרדי רואי חשבון או משרדי עורכי דין, זה לא יהיה 1,000.
היו"ר שמחה רוטמן
¶
בסדר, אבל בפיקוח רוחב אנחנו לא נכנסים לקישקעס של העסק ומאגר המידע שלו באותה רמה של מומחה חיצוני ולכן, להחיל את זה באותה רמה זה נראה קצת מרחיק לכת.
היו"ר שמחה רוטמן
¶
לא, אני מסכים אבל בפיקוח רוחב השאלות הן שאלות מאוד נרחבות. אנחנו מאוד דאגנו מהמומחה החיצוני שבאמת יש לו ידע מתאים על מערכת מאוד מסוימת, הוא נכנס פנימה, צולל ויודע את כל הסודות המסחריים, על מי הם מחזיקים ועל מי הם לא מחזיקים אז זה משהו אחד.
פיקוח רוחב זה משהו הרבה יותר רחב. המילים "בשינויים המחויבים" יכולה לכסות על זה אבל לפחות ברמת הבהרת כוונתי, אני לא מתכנן שבשנייה שיש מישהו בדרגה של נכד או בן דוד - - -
היו"ר שמחה רוטמן
¶
לא יודע, אז הוא מנוע מלעשות בפיקוח הרוחב. כלומר, שזה לא יהיה ברמה הזאת. אם אתה שולח להשלמות ספציפיות אז אל תשלח אותו למשרד של אח שלו.
נעמה מנחמי
¶
בכל מקרה, יש עוד כמה סעיפים בחוק והשאלה היא ביחס לאיזה מהם - - - אני רואה שזה קצת מורכב, אולי פשוט נציע לוועדה לגבי איזה סעיפים.
היו"ר שמחה רוטמן
¶
יכול להיות שהמילים "בשינויים המחויבים" מכסות את זה. אני נותן פה הערה פרשנית לפעול פה בשכל.
היו"ר שמחה רוטמן
¶
(י), (יא), (יב), כן. (י) זה לא ימנה מי שעשוי להיות בניגוד עניינים, (יא) זה הנושא של פרסום, (יב) זה ההגדרות של קרובי משפחה.
ראובן אידלמן
¶
הפרסום דווקא פחות מתאים גם בהיבט של מה שקורה היום. היום, אנחנו לא מפרסמים את רשימת משרדי רואי החשבון שמסייעים בהליך פיקוח הרוחב.
ראובן אידלמן
¶
כשאדם מקבל הודעה אז זה מצוין בהודעה, "יעמוד איתך בקשר משרד כך וכך" אבל אנחנו לא מפרסמים מראש רשימה של כל המשרדים שאנחנו עובדים איתם.
ראובן אידלמן
¶
זאת שאלה של מכרז. יש מכרז שנעשה פה, אנחנו לא בוחרים. יש הליך מכרזי מאוד מקיף ובסוף ההליך הזה אנחנו בוחרים משרדי רואי חשבון.
היו"ר שמחה רוטמן
¶
אני לא רואה סיבה שלא יהיה בדיוק בגלל ניגוד העניינים. נניח שאני שם לב שאיזה משרד רואי חשבון זכה במכרז ופתאום כל הגופים שהסתכסכו איתו ופתאום כל הגופים שהסתכסכו איתו מקבלים פתאום פיקוחי רוחב. לא יודע, אני לא רואה בעיה שזה יפורסם.
ראובן אידלמן
¶
אני לא יודע, צריך להבהיר את זה שזה חלק מ-"בשינויים המחויבים". אולי צריך להבהיר את זה בטקסט.
היו"ר שמחה רוטמן
¶
משרד, זה יכול להיות אדם פרטי. אני לא מתערב לכם באופן. אתם קיבלתם רשות להסתייע במי שאינו עובד המדינה, זה גורם מסייע. תפרסמו באתר רשימה של הגורמים המסייעים שאנחנו מסתייעים בהם בפיקוחי רוחב.
נעמה מנחמי
¶
אני מניחה שגם הסעיפים שעוסקים במי רשאי לשמש כמומחה – כלומר "לא הורשע בעבירה" אז זה (ח2) ו-(ט) – הם גם רלוונטיים.
היו"ר שמחה רוטמן
¶
כל (ח) ו-(ט), הכול רלוונטי. שוב, "בשינויים המחויבים" בסופו של דבר, הפרשנות של "בשינויים המחויבים" זאת פרשנות שלהם אבל לכאורה, כל הסעיף הזה מתאים.
ראובן אידלמן
¶
מכיוון שיש כאן הסדר מקיף, גם לעניין המומחים החיצוניים בתחום אבטחת המידע וגם לעניין פיקוחי הרוחב, אנחנו חוזרים על בקשתנו מהוועדה מהדיונים הראשונים לבטל את סעיף 10ז לחוק הקיים שקובע שדין הרשם ומי שפועל מטעמו כדין עובד המדינה.
זאת הייתה העמדה שלנו מלכתחילה בהצעת החוק הממשלתית. זה סעיף שהוא ארכאי והוא צריך להתבטל ומכיוון שגם יצרנו כאן הסדר מקיף לשני הדברים האלה אז אנחנו חושבים שזה מחזק את זה שאין צורך בסעיף גורף בעניין הזה.
נעמה מנחמי
¶
אני רוצה להתייחס לדבר אחד. עד שהגעתם אלינו וגילנו שיש את כל נושא פיקוחי הרוחב שלא מוסדר כסעיף נפרד אז הסעיף היחיד שהחזיק איזשהו משהו לגביהם היה אותו סעיף קטן (ז) שציינת עכשיו.
מאחר ויש לנו כאן שני סעיפים שהם מאוד קונקרטיים אז אולי אפשר להחריג כמובן. מי שיש לגביו הסדר ספציפי אז זה הגיוני אבל אם אתם מעסיקים עכשיו עוד גורם שהוא לא אחד מהשניים האלה ואין לגביו הסדר ספציפי אז כן הייתי רוצה שיחול משהו.
נעמה מנחמי
¶
למיטב זכרוני, אפילו אמרתם שיש לכם עוד גורם שעוזר לכם במסגרת ההליכים הפלילים ואותו לא הזכרנו.
היו"ר שמחה רוטמן
¶
בסדר אבל למה שלא יחולו עליו הכללים של עובד המדינה בהקשר הזה, על מי שפועל מטעם הרשם לעניין שמירת סודיות או מתנות. לא יודע. בוא נניח שהוא לא מפעיל סמכות מול אזרח או לא בא בקשר עם אזרח אבל לך יש יועץ קבוע שמועסק במכרז שהוא לא עובד מדינה והוא יושב אצלך ומנהל לך את רישום המאגר. לכאורה, צריכים לחול עליו אותם דינים של עובד מדינה גם אם הוא ממכרז חיצוני.
עמית יוסוב עמיר
¶
עוד שנייה הרשות תתייחס אבל צריך לתת את התמונה הרחבה. הרשות להגנת הפרטיות לא ממש המציאה את נושא מיקור החוץ בשירות הציבורי, יש כללים והלכות בנושא. זאת אומרת, מתי מותר להסתייע בלי הסמכה כאשר מדובר בהסתייעות ללא אצילת שיקול הדעת, מתי יש הפרה של שיקול דעת מהותי ועד ללא הסמכה בחוק כמו שמופיע כאן לגבי אותם תפקידים מסוימים. אי-אפשר להאציל את הפעולה על גורם חיצוני שהוא לא מעובדי המדינה, סתם כך.
עמית יוסוב עמיר
¶
כן אבל המבחן הוא לא הגעה או אי-הגעה לחומרים רגישים. אני שוב פעם אומר שיש הרבה מאוד גופים וזאת בעצם המשמעות של מחזיק, מחזיק של גוף ציבורי עשוי להגיע לחומרים הרגישים בלי קשר לרשות להגנת הפרטיות. זאת גם אסדרה מאוד גורפת. ראינו עכשיו גורם פרטי שנתנו לו סמכות שלטונית של דרישת ידיעות ומסכמים ותפרנו לו הסדר מיוחד שהוא לא מחיל עליו את כל הכללים של עובדי המדינה אלא כללים מסוימים שרלוונטיים.
הסעיף הכללי בחקיקה הישנה לוקח כל מיני יועצים שאין להם שום סמכות שלטונית ומחיל עליהם הסדר שהוא יותר רחב מההסדר המפורט ומצומצם שקבענו פה לגבי מי שנתנו לו סמכות שלטונית.
היו"ר שמחה רוטמן
¶
בסדר. אני לא מחיל עליהם שום הסדר כי לכאורה, אני משאיר את המצב הקיים לגביהם אבל אני לא יכול אפילו לחזות את הכול. מחר בבוקר יהיה מומחה AI, אני לא יודע מה העתיד צופן לנו. פה ניתחנו שני סוגים של אנשים בעלי תפקידים שפועלים מטעם הרשם, מה צריך להם ומה לא צריך להם.
אתם צודקים. פעם הבאה, אתם תרצו להשתמש בגורם אחר ואז נעשה את אותו fine tuning אבל כל זמן שאני לא עושה fine tuning אני צריך איזושהי סמיכה רחבה. אני לא רוצה להוריד משהו ואני גם לא משנה את המצב, אני משאיר את המצב כמו שהוא. מה שהיה להם עד היום זה מה שיהיה וכמו שזה פורש עד היום, זה יפורש מכאן ולהבא אבל אני לא רוצה לייצר מצב – דווקא בגלל ההיקף הנרחב של רגולטור של כל המשק – ואני לא רוצה לקנות חתול בשק בהקשר הזה.
אני מעדיף להשאיר את זה וברור שיש פה הסדר שלילי. פה במקרה הזה יש הסדר שלילי. זאת אומרת, ברור שאם יש הוראה ספציפית שאומרת על עובדים שמי שפועל מטעם הרשם, יראו אותו כדין עובד המדינה וזה לא מפורט אז אני לא יודע איך זה מתפרש אבל פה עשיתי את זה ספציפית והחלתי את זה ספציפית לגבי שני סוגים אז זה חל עליהם ולא חל עליהם הסעיף הכללי.
ראובן אידלמן
¶
אני חושב שאולי בכל זאת צריך לכל הפחות להחריג בטקסט את ההסדרים כי אחרת זה מאיין את ההסדרים המורכבים והטובים שהוועדה יצרה כאן לגבי העובדים האלה.
ראובן אידלמן
¶
אולי רק להבהיר. למשל, יכולה להיות טענה שחוק המשמעת חל כי דינם כדין עובדי המדינה בעוד שאנחנו הצגנו טעמים טובים בישיבות ההכנה למה לא נכון להחיל את חוק המשמעת.
היו"ר שמחה רוטמן
¶
אפשר להוסיף שם משפט "כל עוד לא נקבע אחרת בחוק, מי שפועל מטעם הזה דינו כדין עובד המדינה".
ראובן אידלמן
¶
אחד הרעיונות שאדוני העלה בדיון הקודם בנושא הזה היה פשוט לכתוב בחוק שזה ייקבע בהסכם. הצענו נוסח בעניין הזה ומבחינתו זה מקובל.
ראובן אידלמן
¶
אנחנו הצענו לכתוב "בהתקשרות עם ממוחה חיצוני, יקבעו תנאים בעניין ההגבלות שיחולו עליו לאחר סיום ההתקשרות". ברור שזה מחייב לקבוע את זה וזה גם על דעת נציבות שירות המדינה. עשינו עבודה בעניין הזה.
היו"ר שמחה רוטמן
¶
זה נראה הגיוני, בסדר גמור. הערות לפרק זה? אפשר להתקדם. אני לא יודע אם אין לכם הערות או שפשוט עייפתי אתכם בכל הדיונים הקודמים.
נעמה מנחמי
¶
בסדר גמור. בנושא העיצומים יש לנו עוד שני מסמכים. הראשון זה מסמך המודל שכולל גם את תקנות ההפרטה ובסופו גם את תקנות הגישור או בשמן המלא "הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי" ויש לנו עוד מסמך אחד בנושא תקנות אבטחת מידע. אולי נתחיל מהמודל?
ראובן אידלמן
¶
אנחנו מבקשים להציג את המודל. מכיוון שזה מודל חדש שכתבנו בעקבות הערות הוועדה, אנחנו מבקשים להציג אותו בצורה מסודרת. יש לנו מצגת אז נשמח אם אפשר לקבל כמה דקות להציג את הרעיון המסדר בצורה מסדרת ואז נצלול לתוך הטקסט.
ראובן אידלמן
¶
המודל שהופיע בהצעת החוק הממשלתית הונח בפני הוועדה וההערה המרכזית של הוועדה בדיון הקודם בנושא הזה הייתה שהמודל קובע מדרגות באופן גורף על כל ההפרות של החוק לפי גודל המאגר, גם אם יש מידע בעל רגישות מיוחדת או לא וגם לפי גודל המאגר.
אדוני, בדיון הקודם עברנו ואתה סימנת במפורש על אילו הפרות מבחינתך ראוי שהמכפלות בהן יהיו לפי גודל המאגר ואיזה לא. זה מה שהנחה אותנו בבניית המודל החדש. חילקנו בין הפרות שאנחנו קוראים להן "הפרות פרטניות" ואלה הפרות שהמכפלות בהן לא צריכות להיות תלויות בגודל המאגר, לבין הפרות שחלות על כל המאגר, בדומה להפרות בתחום אבטחת המידע, למשל.
אני מזכיר שבנושא אבטחת מידע, היה מקובל על הוועדה שגודל המאגר הוא כן פרמטר רלוונטי כי זה חל על כל המאגר. קודם כול, מבחינת הסכומים שינינו גם את הסכומים מכיוון שכל המדרגות והמכפלות הן אחרות. אנחנו מציעים שהסכום הבסיסי יהיה 40 אלף למידע רגיש ו-80 אלף למידע בעל רגישות מיוחדת ולגבי גופים קטנים יותר – אם תרצו, עסקים קטנים שבהם פחות מ-1,000 נושאי מידע – הצענו סכומים מוקטנים.
ראובן אידלמן
¶
לא, בסדר. אנחנו מסתכלים על הסכום הבסיסי. מקודם, כל הסכומים היו לפי גודל מאגר. המטרה הייתה לייצור פה הסדר ספציפי, זה נכון שהוא לפי גודל מאגר. אנחנו סבורים שלא נכון להיכנס מלכתחילה לשאלה של מחזור העסקאות של העסק, יש את זה בתקנות ההפחתה.
אם עסק רוצה לטעון להפחתה על בסיס מחזור העסקאות אז זה קיים שם אבל מכיוון שהרשות להגנת הפרטיות – אולי בשונה מגופים כמו רשות לניירות ערך – לא עוסקת בעניינים של מחזור עסקאות ושל דו"חות חשבוניים אז אנחנו חושבים שההבחנה הרלוונטית צריכה להיות על פי המטריה שלנו שבה יש לנו מומחיות וזה באמת גודל המאגר ולא מחזור העסקאות של אותו העסק.
אם זה נטען במסגרת בקשה להפחתה אז זה דבר אחר אבל אנחנו לא חשבנו שבכל תיק, צריך להיכנס לשאלה של מחזור עסקאות. זה לא הביזנס שלנו, לא המומחיות שלנו ואנחנו חושבים שזה לא נכון מבחינת האינטרס הציבורי.
ראובן אידלמן
¶
תכף נפרט אבל אני רק אזכיר שהגשנו לוועדה גם סקירה משווה בדיון הראשון שעסק בעיצומים לתקנות אבטחת מידע. הגשנו סקירה משווה של היקפי העיצומים שמוטלים במדינות ה-GDPR ובמדינות נוספות שיש בהן חקיקת פרטיות מודרנית וכפי שהוועדה התרשמה, הסכומים שם הם הרבה יותר גבוהים. זאת אומרת, מוטלים עיצומים במיליוני יורו, גם על ענייני אבטחת מידע. יש לנו פירוט עם לינקים להחלטות ויש לי כאן עוד עותק עם אדוני ירצה לראות שוב אבל הוועדה התרשמה מזה בפעם הקודמת.
בשקף הבא הקבוצה הראשונה זו הקבוצה של ההפרות הפרטניות ועל פניו, היא באמת לא קשורה לכל המאגר. זאת אומרת, זה סירוב למתן זכות עיון, אי-ביצוע תיקון, עניינים שקשורים לדיוור ישיר – למשל, מחיקה ממאגר דיוור ישיר. יש זכות מחיקה ממאגר דיוור ישיר, להבדיל מזכות מחיקה כללית – או בקשת נושא מידע שהמידע עליו בדיוור ישיר לא יימסר.
אלה דברים שאנחנו כוללים אותם בקבוצת ההפרות הפרטניות. יש שאלה לגבי ההפרות של סעיף (11) וזאת שאלה שהתחדדה גם בדיון הקודם בנושא הזה וגם פה אדוני קצת התלבט בעניין הזה בפעם הקודמת. האם ההפרה לפי סעיף (11) היא הפרה פרטנית או שהיא הפרה שנוגעת לכל גודל המאגר?
ההצעה שלנו זה הפתרון שהגענו אליו פה וזה לעשות הפרדה. כשההפרה היא ביחס לכמות לא ענקית אז זאת תהיה הפרה פרטנית עם הפרות של מכפלות פרטניות. בדרך כלל, ההפרה על סעיף (11) תהיה הודעה גנרית, למשל במדיניות הפרטיות באתר והיא יכולה לפנות למאות אלפי אנשים ואם לא נמסר שם כל המידע שצריך להימסר אז זה כתלות בכמות האנשים שמסרו מידע באתר הזה, אנחנו נוכל לקבוע - - -
היו"ר שמחה רוטמן
¶
על הקבוצה של הפרטניות שאינן נוגעות לכלל המידע במאגר, גובה העיצום הוא הסכום הבסיסי שגם קשור לגודל המאגר אז מה עשינו בזה?
היו"ר שמחה רוטמן
¶
זה לא קשור לגוף קטן. גם חנות שכונתית קטנה מגיעה מאוד מהר ל-1,000 נושאי מידע. גם למכולת שכונתית בשכונה בתל אביב יש יותר מ-1,000 לקוחות בחודש, אני מקווה לטובתה וגם למשרד עורכי דין קטן.
תכף נדבר על ההפרות ואתה תציג את זה אבל הפירוש של הפרות פרטניות שאינן נוגעות לכלל המידע במאגר, זה שאינן נוגעות לכלל המידע במאגר. למה שגובה העיצום בהם יהיה שונה אם ההפרה נעשתה במאגר שיש בו 3,000 אנשים או שהיא נעשתה במאגר שיש בו 1,000 אנשים?
אנחנו תכף נדבר על אם צריך לעשות לפי גודל העסק או לא צריך אבל מה הרלוונטיות של כמות האנשים שאני מחזיק אצלי במאגר לשאלה של "לא תיקנתי מידע על פי הנחיית בעל השליטה או בית המשפט? היה לי פסק דין של בית משפט, נקודתי למחזיק שבא ואמר לו לעשות משהו. למה שזה יעניין אותו כמה עוד מידעים אחרים יש במאגר שלגביהם לא בוצעה ההפרה?
ראובן אידלמן
¶
מבחינתנו, אנחנו מוכנים להוריד את המדרגה הנמוכה יותר ולהישאר רק עם מדרגה שהיא לא תלויה בגודל מאגר. הרעיון היה לתת מענה לגופים קטנים וזה המענה שחשבנו לתת.
ראובן אידלמן
¶
מבחינתנו, אפשר להישאר רק עם סכום אחיד. מכיוון שבדיון הקודם אדוני סבר שזה לא צריך להיות קשור לגודל מאגר אז ההכפלה שאנחנו מציעים ביחס לקבוצה הזאת היא לגבי מפר שיטתי.
בתוך אותו הליך אכיפה, אם נמצאו לגביו כמה הפרות של החוק – אלו יכולות להיות כמה הפרות בקבוצה הזאת או כמה הפרות בקבוצה אחרת – אז חשבנו שכן צריכות להיות מכפלות. למרות שזאת הפרה נקודתית לזכות עיון, אם זה מפר שיטתי שנתפס על שורה של הפרות שיטתיות אז העיצום יהיה גבוהה יותר. זאת התפיסה שלנו כי אחרת יוצא שאין מכפלות בכלל וחברה מאוד גדולה, בסדר גודל של Amazon, יכולה לסיים עם עיצום מאוד נמוך על הפרות של - - -
היו"ר שמחה רוטמן
¶
אם Amazon עשתה את ההפרה הזאת במאגר מאוד קטן של מספר האנשים שרכשו את הספר "כיצד לרכוש ידידים והשפעה בחברה".
היו"ר שמחה רוטמן
¶
הם עשו מאגר נפרד כי הם גילו שהאנשים האלה הם אנשים נורא מסכנים שמחפשים ספר משנות ה-50 או ה-60, הם לא מעודכנים והם outdated ולכן הם רוצים לשווק להם עובדים זרים מהפיליפינים. זה מאוד ממוקד ומפולח, המאגר הוא נורא אבל הוא מוחזק על ידי Amazon. אתה שם לב שאתה בעצמך הולך לטיעון של החברה הגדולה וההרתעה ואז כל פעם אתה חוזר לגודל המאגר.
נניח ש-Amazon זכתה במכרז של אנשים שחולים בסרטן מח העצם מסוג מאוד נדיר בישראל ויש שם 20 אנשים. אתה רוצה קנס על זה אז מה זה קשור לשאלה? אני רוצה שזה יהיה מאוד חמור ואם בן אדם רוצה לטעון שאין לו את הסרטן הזה והם סתם מחזיקים עליו את המידע אז השאלה של גודל המאגר היא פשוט לא רלוונטית. אתה בעצמך הלכת למקום של גודל החברה.
ראובן אידלמן
¶
ביחס למקרה קצה. ההצעה כאן היא ביחס למקרה קצת כדי להחריג עסקים קטנים כי אנחנו יודעים - - -
ראובן אידלמן
¶
בואו נעבור לקבוצה השנייה. הקבוצה השנייה היא הפרות שנוגעות לכלל המידע במאגר והפילוח הזה הוא לפי מעבר שעשינו ביחד עם אדוני בדיון הקודם כשעברנו סעיף, סעיף. הנקודה הראשונה היא עיצום דו-שלבי וזה אותו סעיף שאוסר על איסוף מידע שלא כדין.
הנקודה השנייה קשורה לדיונים שלנו על צמידות המטרה, זה מה שאדוני קרא לו "ההפרה הרישומית של צמידות המטרה". אנחנו תכף נגיע להפרות אחרות בהקשר הזה. אי-מינוי ממונה אבטחת מידע, אי-מינוי ממונה הגנת פרטיות, ניהול מאגר שאינו רשום, אי-מסירת פרטים במאגר שאינו רשום, אלה הכול הפרות שבדיון הקודם אדוני סבר שהן קשורות לגודל המאגר.
בשקף הבא יש לנו גם כן את סעיף (11) אבל כשההפרה היא ביחס למעל 1,000 אנשים, זה לא לפי גודל המאגר אלא ביחס לכמות האנשים שנעשתה ביחס אליהם ההפרה. זאת ההבחנה בסעיף (11). יש כאן שורה של הפרות שנוגעות לפרק ד2, להעברת מידע בין גופים ציבוריים, אי-מסירת הודעה לרשות ואי קיום רישום ויש כאן מספר הפרות שנוגעות לדיוור ישיר – אולי נצלול אחר כך בתוך הטקסט להפרות עצמן. לא נתעכב עליהן עכשיו, זה רק כדי להבין את הרעיון המסדר.
הנקודה האחרונה היא אי-שיתוף פעולה בתוך הליך אכיפה של רשות. גם כאן אנחנו חשבנו שאי-מסירת מסמך או עותק - - - גוף שמסרב זה משהו שחשבנו שהוא כן צריך להיות קשור לגודל המאגר.
בשקף הבא יש לנו את הקבוצה של צמידות המטרה והסיבה שהגדרנו אותה כאן בנפרד היא שמלכתחילה העיצום בה הוא גבוה יותר וכך גם הגדרנו בהצעת החוק הממשלתית. אני מזכיר שאלה ההפרות החמורות ביותר של החוק וזאת גם הסיבה שהתעכבנו עליהן רבות בדיוני הוועדה.
הרשימה שיש כאן היא של ההפרות שהוועדה כבר אישרה ברמה המהותית אפילו שהנוסח עוד לא סגור. גם ההפרות האלה הן בקבוצה של אלה שתלויות בגודל המאגר אבל הן מתחילות בעיצום שמלכתחילה הוא פי ארבע מהסכום הבסיסי.
המכפלות ביחס לכל הקבוצה הזאת שקשורה לגודל המאגר היא עד 100 אלף, סכום בסיסי. מעל 100 אלף, פי שתיים. מעל 500 אלף, פי ארבע. מעל מיליון, פי שמונה. זה המודל ואני חושב שהוא לא מודל מאוד מורכב. אני חייב לומר שהוא היה קצת יותר מורכב ואנחנו פישטנו אותו לאורך הדרך, גם בישיבות שלנו עם הייעוץ המשפטי. אני חושב שעכשיו הוא יחסית פשוט. יש שתי קבוצות ושני עקרונות, הפרות פרטניות שלא הולכות לפי גודל המאגר וקבוצה של הפרות שכן הולכת לפי גודל המאגר.
ד"ר רחל ארידור הרשקוביץ
¶
ד"ר רחל ארידור הרשקוביץ מהמכון הישראלי לדמוקרטיה. לאורך כל הדרך נאמר שמהות התיקון היא להעצים את הרשות להגנת הפרטיות ולתת בידיה סמכויות עם שייניים משמעותיות שמותאמות לעידן שלנו היום.
ככול שחולף הזמן ואנחנו מבינים איך עובד בפועל השימוש במאגר, אני חושבת שצריכה לחלחל ההבנה שהמודל הזה הוא לא מודל מתאים וסכומי העיצומים הם נמוכים מידי. אני מבינה שאתם לא רגילים לעשות משהו שהוא לא לפי מספר נושאי המידע אבל יש לנו רשויות להגנת פרטיות ברחבי העולם שמתייחסות למספר נושאי המידע כאחד השיקולים אבל זה רק אחד השיקולים, יש להם הרבה שיקולים אחרים, סכומי העיצומים הם הרבה יותר גבוהים וכן, במקרים מסוימים מתייחסים להכנסה השנתית של התאגיד או קבוצת חברות.
אני לא מבינה למה הרשות להגנת הפרטיות לא יכולה להגיד "עד עכשיו עשינו א' אבל מעכשיו אנחנו מבינים שאנחנו צריכים לצמוח, לקבל סמכויות אכיפה משמעותית יותר ולשנות את המודל הזה באופן שיתאים אותו למה שרואים באירופה, למשל.
ד"ר רחל ארידור הרשקוביץ
¶
אף אחד אחר פה לא יגיד, הם כולם מרוצים מגובה העיצומים. כשהתעשייה שותקת, צריכים להיות מודאגים.
ראובן אידלמן
¶
אולי נתייחס למה שעלה? קודם כול, אני רוצה להזכיר שוב שלגבי תקנות אבטחת מידע, הוועדה קיבלה את העמדה העקרונית שלנו שהמדרגות צריכות להיות לפי רמות האבטחה ורמות האבטחה נגזרות מגודל המאגר.
ראובן אידלמן
¶
יש לנו בסיס ואז השאלה היא אם יש שיקולים מהותיים להבחנה בין הפרות אבטחת מידע לבין ההפרות שנוגעות לגודל המאגר כאן. אני לא מדבר על הפרטניות, אנחנו חושבים - - -
היו"ר שמחה רוטמן
¶
בואו נעבור שלב, שלב. ראשית לגבי ההשוואה לאיחוד האירופי, אני מאוד מקווה שיום אחד אנחנו נגיע לשם אבל יש גם את הנושא של בסיסי העיבוד שאנחנו מדברים עליהם כל הזמן - - - יש עוד מנגנונים שמייצרים ולכן, אני אומר את זה כסוג של אמצע.
מצד אחד, אני לא מתרגש כשאומרים לי "תראה כמה עיצומים נותנים באיחוד האירופי" כי יש הרבה יותר בסיסי עיבוד ואפשרויות הגנה. בעזרת השם, כשיהיו פה בסיסי עיבוד אז באמת יכול להיות שיהיה יותר קל לבוא ולדרוש יותר כי בסופו של דבר, מה שאתה נותן זה מה שאתה מקבל בהקשר הזה.
מהצד השני, ההשוואה היא לאיזו מידת שיקול דעת. ככול שאני מגדיל את העיצום בצורה הזאת אז אני מעניק יותר שיקול דעת לרשות כי אין בסיסי עיבוד אז אני מפחד לתת את הסכומים הגדולים האלה ואת היכולות.
כלומר, זה נכון גם מבחינת מה מותר למשק וגם נכון מבחינת מה אסור למשק ומה מעצים את שיקול הדעת שבידי הרשות. הטיעון הזה עובד לשני הכיוונים ולכן אני שם אותו בצד לשנייה. אני כן אומר דבר אחד, בהפרות שהן נקודתיות – מה שנקרא, פרטניות – העיצום צריך להיות מנותק מגודל המאגר, נקודה וסוף פסוק. זה לא יכול להיות "סכום בסיסי" ולא סכום לא בסיסי, זה פשוט צריך להיות מנותק.
פה אני מתחבר מאוד להערה של רחל. באופן טבעי, אם אנחנו עוסקים בנושאי מידע אז במאגרים גדולים המכפלות יהיו מאוד גדולות אבל כן בעיצום. אפילו ברמת העיצום. אפשר לחדד את העניין אבל בואו ניקח את הדוגמה של "סירב לאפשר לאדם שמידע עליו מוחזק במאגר מידע לעיין במידע שעליו". זה יכול להיות למישהו שמחזיק מאגר מידע מאוד גדול ויכול להיות שהוא קיבל אלפי פניות ולא נתן לעיין אז אם יהיה לי סכום בסיסי שהוא אפילו נמוך, נניח 1,000 שקלים אז אני אגיע למיליון שקלים כי הוא לא נתן ל-1,000 נושאי מידע לעיין במידע שלהם.
היו"ר שמחה רוטמן
¶
אבל אנחנו עוד לא בשלב הפרקטיקה. בשביל הפרקטיקה אני נתתי את התביעות האישיות ושם בן אדם חשוף לעשרת אלפים על כל מקרה פרטני.
היו"ר שמחה רוטמן
¶
שנייה, אני הבאתי דוגמה אחת. "פנייה לאדם לשם החזקתו או שימוש במאגר מידע מבלי שמסר לו הודעה כנדרש", זה נכון שאם זה יהיה אתר אינטרנט אז זאת פנייה אחת. אני מסכים שאם בן אדם פרסם הועדה לכלל הציבור אז זאת פנייה אחת אבל אם אני שלחתי מייל ל-20 אלף אנשים אז שלחתי 20 אלף פניות ולכן, גם אם העיצום הכספי על כל פנייה הוא נמוך, עדיין צריך להכפיל אותו ב-20 אלף כי יש פה 20 אלף אנשים שקיבלו פנייה ואתה שלחת ל-20 אלף אנשים פנייה. העובדה שלחצת Enter פעם אחת לא משנה, אתה עשית 20 אלף פעולות.
כאשר הפוקוס – איזה פרק זה הפרק של הפניות הפרטניות? – הוא נושא המידע, זאת אומרת האנשים שקיבלו פנייה, שלחת להם פנייה, לא הודעת להם או שלא תיקנת מידע נוגע לגביהם באופן גורף אז אתם תמצאו הרבה מאוד הפרות במאגר גדול ובדרך הטבע, פחות הפרות במאגר קטן ולכן, פעולת ההכפלה החשבונית לא מפחידה אותי.
אם כתוצאה מזה, זה יגרום לזה שבמאגר גדול שנמצא בידיים של Amazon אתה תגיע לקנס של 50 מיליון בגלל שהקנס הבסיסי הוא 50 שקלים אבל זה נעשה על מיליון אנשים אז לא אכפת לי. לעומת זאת במאגר הקטן, גם אם הוא עשה את ההפרה הזאת לגבי 3- אנשים או 100 אנשים והקנס יהיה קטן בסיסית אז זה לא יפגע.
אני חושב שהפרטניות צריכות להיות מנותקות לחלוטין מגודל המאגר. אפשר להתווכח לגבי מה צריך להיות שם ומה לא צריך להיות שם. יכול להיות שיש שם דברים שאנחנו שמנו אותם בפרטניות וזאת טעות ויכול להיות שיש דברים שאנחנו שמנו בכלליות והם אמורים להיות בפרטניות אבל אני הייתי רוצה שהקנס בפרטניות שעוסקות בנושאי מידע, יהיה אפילו נמוך יותר אבל עם האפשרות להכפיל לפי נושאי המידע ואז באופן טבעי התוצאה היא שמי שהוא עבריין שיטתי ומחזיק מאגר מידע גדול אז העיצום הכספי עליו יהיה גדול משמעותית מאשר למישהו שהוא קטן.
אין לי אינטרס מוגן וזה בלי שאני שולח אתכם בשלב של הפרטני - - - יכול להיות עסק קטן שמחזיק מאגר מידע מאוד גדול ומאוד רגיש והוא יפר הרבה מאוד פעמים אז זה שהוא עסק קטן או לא עסק קטן זה לא פחות מטריד אותי, בהקשר הפרטני. לכן הפרטניות צריכות להיות מנותקות לחלוטין. צריך שיהיה סכום בסיסי שנקבע לפרק הפרטני ולדעתי הוא יכול להיות הרבה יותר קטן ומה שיעשה שם את הקסם זה המכפלות שהן לפי נושאי מידע וזה באמת יותר בקו שרחל מדברת עליו.
עמית יוסוב עמיר
¶
אפשר שנייה להתייחס מתודולוגית? המומחית לנושא ההפרות ועיצומים כספיים באופן כללי נמצאת כרגע בדיון מקביל בוועדה אחרת והיא תצטרף אלינו עוד מעט. אגיד שבאופן עקרוני, יש את ההבחנה בין מעשים שונים לאותו מעשה.
היו"ר שמחה רוטמן
¶
והיה טרם יקראו ואני אענה, עוד הם מדברים ואני אשמע. דיברנו על העיצומים הכספיים, אמרו שהמומחית נמצאת מחוץ לחדר ואז בדיוק נכנסת.
עמית יוסוב עמיר
¶
באופן עקרוני, האמירה פה נוגעת לשאלה האם מעשה אחד שנעשה כלפי קבוצה גדולה של אנשים כמו למשל, שליחת הודעה לפי סעיף (11) שלא בהתאם להוראות החוק, יכול להיחשב כמעשה אחד שיהיה עליו עיצום אחד או שורה של מעשים כמספר המפרים. לדעתי, יש פה קושי לראות אלא אם כן - - -
היו"ר שמחה רוטמן
¶
בהבחנה שאני עשיתי אמרתי שלפעמים (11) - - - אני מדבר ספציפית על (11) אבל אם אנחנו בסדר עם כל שאר הסעיפים ורק על (11) זה מפריע לכם אז אנחנו נדבר עוד שנייה.
היו"ר שמחה רוטמן
¶
יכול להיות. המקרה הקלאסי יכול להיות בסעיף (ב)(1), נניח. "פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף (11) ובלבד שההפרה נעשתה ביחס למספר בני אדם שאינו עולה על 1,000", את זה אתם הכנסתם.
אני אמרתי שיש הבדל בין מצב שבו פניתי לאדם בפירוש ששמתי אתר אינטרנט. שמתי טופס ולא רשמתי שם את מה שאני צריך לרשום שם ואז לכאורה, זה מעשה אחד. אם מלא אנשים באו ומילאו את הטפסים אז אני מבין שעדיין - - -
זה גם יכול להיות לפעמים משהו שבן אדם עושה בטעות. אני העליתי טופס, ביקשתי שאנשים ירשמו פרטים וחשבתי שיפנו 20 אנשים ואז איזה אושיית רשת שיתף את זה אצלו ופתאום הגיעו אלי מיליון אנשים. אני לא חשבתי שאני פונה לכל כך הרבה אנשים, אני פניתי באתר ייעודי של מומחים למשהו כי רציתי לאסוף פרטים בשביל לעשות כנס – זאת הפרה זעירה בנסיבות העניין – לא ידעתי אז לא שמתי שם את כל הדיסקליימרים שאני צריך לשים ופתאום זה התפוצץ כי מישהו שיתף ואז אני מגלה שנשיא ארצות הברית, נשיא רוסיה וכולם ביחד שיתפו את זה וזה הגיע למיליארד צפיות וכך למעשה, פניתי בלי לדעת למיליוני אנשים ואספתי מידע שאסור היה לי לאסוף ממילוני אנשים.
זה אירוע אחד ויש הבדל בינו לבין אירוע בו אני שלחתי אימייל עם פנייה לרשימה של מיליון אנשים. אני אומר שאם אני שלחתי אימייל למיליון אנשים אז אני עשיתי מיליון הפרות, לא עשיתי הפרה אחת. העובדה שלחצתי Enter פעם אחת לא משנה את זה שעשיתי מיליון הפרות. אם העליתי אתר זה נכון שהפרתי פעם אחת גם כתוצאה מזה באו אלי מיליון.
זאת הבחנה שלדעתי קיימת ולכן בשנייה שאני אומר שעל מעשה אחד כזה אני עושה קנס קטן, גם אם אני עושה "פנייה לאדם לקבלת מידע לשם החזקתו או שימוש במאגר מידע" אז אם שלחתי את האימייל עם הפנייה ל-1,000 אנשים, אני אקבל את הקנס כפול 1,000 כי פניתי ל-1,000 אנשים, לא פניתי לאדם אחד. אם העליתי אותו באתר אז אני אהיה בבעיה כי פניתי לציבור לא מסוים של אנשים ואני לא אוכל לעשות את המכפלות. זאת הטענה שלי וחיכו שתבואי.
סוריא בשארה
¶
אני חושבת שמבחינה נורמטיבית, בדרך כלל כשמדברים על הפרה אחת מדברים על המסכת העובדתית האחת. זאת אומרת, המעשה שמהווה הפרה. אני חושבת שמבחינה נורמטיבית זה לא באמת נכון להבחין בין שני המקרים שתיארת כי גם הפנייה לרשימת תפוצה נעשית בלחיצת כפתור וגם למי שמפרסם טופס באינטרנט, יש ציפייה שייכנסו לטופס הזה מיליוני אנשים.
היו"ר שמחה רוטמן
¶
נכון אבל זאת פנייה אחת לא מסוימת. זאת פניה אחת לא מסוימת וזאת פניה מסוימת ל-1,000 אנשים. לגבי זה שזה נעשה בלחיצת כפתור אחת, בלחיצת כפתור אחת אפשר גם לזרוק פצצת אטום. זה שזה לחיצת כפתור לא הופך את זה למעשה - - -
גם לירות ירייה בודדת ברובה וגם לזרוק פצצת אטום זה לחיצה אחת ועדיין ברור שמי ששולח פצצת אטום במקום שגרים בו מיליון אנשים התכוון להרוג מיליון אנשים ולעומת זאת, מי שלחץ על כדור אחד וכתוצאה מזה - - - את יודעת מה? לחץ על כפתור הרבה יותר גדול בלי לשים לב וזה יצא אוטומט וירה בהרבה מאוד אנשים זה עדיין מעשה אחד אבל אם הוא שלח בלחיצת כפתור אחת הרבה מאוד יריות בודדות אז זה הרבה מאוד.
זה ההבדל בין פרסום לקהל לא מסוים לבין פנייה ל-1,000 אנשים מסוימים מאוד. אם צריך, אני מכון גם להבהיר את זה. אני חושב שפנייה מהסוג הראשון, אולי באמת תהיה תלויה בשאלת התוצאה. איזה מאגר נוצר לי כתוצאה מזה? אם פרסמתי באתר אינטרנט - - -
סוריא בשארה
¶
לכן אני חשבתי שזאת שאלה נורמטיבית במובן שצריך יהיה להבהיר בנוסח החוק שאם הפנייה הייתה לא מסוימת אז מספר ההפרות ייחשב בהתאם לאנשים שבאמת שיתפו - - -
היו"ר שמחה רוטמן
¶
יכול להיות אבל אז אני יכול לבוא ולהגיד שאז אני עושה סכום fixed שהוא פונקציה של גודל מאגר ואני יכול להבין את זה. אני יכול להגיד שאם כתוצאה מזה שאתה פרסמת גוגל-דוקס, נוצר לך מאגר של 50 אלף אנשים אבל פרסמת אותו פעם אחת אז בסיטואציה הזאת אני מבין את גודל המאגר. במאגר קטן אתה תקבל סכום בסיסי, במאגר גדול אתה תקבל סכום בסיסי שתיים וזה בסדר גמור. אני מבין את העניין כי אתה עשית פעולה אחת. אם פנית ל-50 אלף אנשים באמצעות מייל, סמס, וואטספ או בדרך אחרת אז יהיו לך 50 אלף הפרות קטנות.
היו"ר שמחה רוטמן
¶
זה לא מדויק כי לעוקבים ברשת חברתית - - - אלא אם כן אתה סגור רק לעוקבים וגם עם עוקבים, לא כל העוקבים רואים ואפשר שישתפו את זה.
איה מרקביץ'
¶
אני מסתכלת על סעיף (11) מול שתי הדוגמאות שאנחנו דנים בהן כאן, "פנייה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע". זאת חייבת להיות פנייה מסוימת. אני הייתי מעדיפה שסעיף (11) יהיה מנוסח אחרת ודיברנו על זה בעבר. היה עדיף שיהיה בו - - -
ראובן אידלמן
¶
בוודאי שהוא חל. הרוב המכריע של הפניות הן לא מסוימות, זאת הודעה שאדם מפרסם במדיניות הפרטיות שלו, למשל באתר.
ראובן אידלמן
¶
ואז זה לכל מי שנכנס לאתר. זה בוודאי לא פנייה לאדם מסוים, זאת פנייה לציבור הרחב וזה הרוב המוחלט של המצבים בסעיף (11).
ראובן אידלמן
¶
אני אומר את זה לפרוטוקול כדי שלא ישתמע חלילה שסעיף (11) לא חל במצב הזה ואני לא חושב - - -
ראובן אידלמן
¶
אדוני, אנחנו חושבים שהפתרון הכי אלגנטי יהיה להעביר את סעיף (11) לקבוצת ההפרות שתלויות בגודל המאגר.
ראובן אידלמן
¶
זה נראה לנו גם מבחינת הפרקטיקה של יכולת ההוכחה למי בקבוצה הראשונה ומי בקבוצה השנייה, שאדוני ציין. לדעתנו זה יהיה יותר פשוט.
היו"ר שמחה רוטמן
¶
אני לא נכנס לוויכוח של הסיטואציה של פנייה באתר. אני נוטה לחשוב שאתה צודק אבל אני לא נכנס לוויכוח הזה כרגע. ברור לך שפנייה פרטנית לאדם היא לא תלויה בגודל המאגר. זה ברור שאם הוא פנה בדיסקליימר שלו באתר שמופנה כלפי כולי עלמא אז אני מבין את הצורך ביחס לגודל המאגר. אבל אם עשיתי פנייה פרטנית לאדם?
היו"ר שמחה רוטמן
¶
לא, אתם עשיתם את זה פעמיים. פעם אחת עשיתם את זה לגבי כמות ההפרות ופעם שנייה עשיתם את זה לגבי גודל העיצום הכספי, שגם הוא תלוי בגודל המאגר.
עמית יוסוב עמיר
¶
לא, אדוני. זה ספציפית לעניין סעיף 11. מה שהצענו זה שפנייה לעד 1,000 אנשים תהיה בהפרות הפרטניות ושוב פעם, ההנחה הייתה הפוכה.
היו"ר שמחה רוטמן
¶
אם אני רוצה לפרסם בעמוד הטוויטר שלי פנייה לקבלת מידע מאנשים, אני מפרסם לינק לגוגל-דוקס וככה אני אוסף מידע על אנשים. "אם אתם רוצים לספר לי על כל עוולות הרשות להגנת הפרטיות או כל רשות אחרת אז אנא כתבו לי", ככה אני אוסף מידע על אנשים ואני משתמש במידע הזה לצרכי בין אם זה כן בסדר, לא בסדר, שלחתי הודעה, לא שלחתי הודעה או ההודעה לא בסדר. האם זה נחשב שפניתי ל-1,000 אנשים או שזה נחשב שפניתי לפחות מ-1,000 אנשים? זה תלוי בכמות העוקבים שיש לי?
היו"ר שמחה רוטמן
¶
אבל האם מסירת המידע היא לפי הפנייה או לפי המסירה? אני פניתי לקהל בלתי מסוים של אנשים, לא פניתי ל-1,000 אנשים אז איך את מסווג אותי? אתה לא יכול לייצר לי עיצום כספי כשאני לא יודע למה אני חשוף?
היו"ר שמחה רוטמן
¶
אני פניתי פעם אחת לבן אדם אחד. יותר מזה, מה אם אני עשיתי את זה במסר אישי למישהו והוא שיתף את זה, כולל צילום מסך של ה-QR שעושה את זה?
ד"ר עמרי רחום טוויג
¶
עורך דין, ד"ר עומרי רחום טוויג מגוגל ישראל. אני חושב שבהקשר הספציפי של סעיף (11), הזכות המהותית המגולמת היא למי שמסר מידע על בסיס המידע, לא למי שלא מסר. אם הפנייה הגיעה למיליון אנשים ומתוכם רק שניים מסרו את המידע, גם אם הפנייה היא שקרית לחלוטין או לא מגלמת - - - בפועל עם המידע אז אותם 900,998 אנשים שלא מסרו מידע לא נפגעו מהפעולה.
ד"ר עמרי רחום טוויג
¶
אני חושב שזאת מהות הזכות. זאת זכות נושא מידע שהופך להיות נושא מידע כשהוא מוסר את המידע.
ד"ר עמרי רחום טוויג
¶
הוא מפתח את החובה בפנייה אבל האינטרס המוגן והפגיעה במקרה של הפרה של החובה, תלויה באנשים שמסרו את המידע על בסיס הפנייה.
היו"ר שמחה רוטמן
¶
זה לא קשור כרגע לעבירה. השאלה היא לא רק - - - אם האדם מסר מידע וקיבלתי מידע במרמה, נניח שאמרתי לך משהו ועל בסיס זה מסרת לי מידע, זאת הפרה מאוד חמורה והיא בהקשר אחר. פה הנושא הוא שההודעה לא נמסה כמו שצריך. הבעיה שלי היא שאנשים אוספים מידע בצורה מאוד רחבה, big data, ומנסים שוב ושוב. יכול להיות שהם יצליחו בניסיון העשירי אבל עצם המציאות של הטורפים שמסתובבים ומנסים לאסוף מידע בניגוד לחוק, היא המציאות שסעיף (11) בא למנוע. זה לא רק בן אדם שמסר מידע תחת - - -
ד"ר עמרי רחום טוויג
¶
אני לא חושב שזאת המהות של סעיף (11) ואני גם לא בטוח שזה מה שהרשות חושבת לגבי המהות של סעיף (11).
לירון מאוטנר לוגסי
¶
לירון מאוטנר, משרד המשפטים. אנחנו מסכימים עם הפרשנות של היו"ר, אנחנו לא מסתכלים רק על השאלה אם בסוף האדם מסר בפועל ולהוכיח - - -
היו"ר שמחה רוטמן
¶
לכן, השאלה לא צריכה להיות כמה אנשים נענו לבקשה אלא השאלה אמורה להיות לכמה אנשים פניתי ואם פניתי בפנייה לא מסוימת - - - אם פניתי באימייל לכולם זה משהו אחד אבל אם פניתי בפנייה לא מסוימת כמו באתר או ברשת חברתית אז זה מעשה אחד ובמקרה כזה, אני מוכן להניח שאם עשיתי את כדי - - -
היו"ר שמחה רוטמן
¶
או להעשיר מאגר מידע קיים שלי, שהוא כבר קיים וגדול או כדי לייצר מאגר מידע חדש ואז זה יכול להיות לפי השאלה של כמה הנבתי מהאירוע הזה כאשר נעשתה פנייה אחת אבל אם נעשתה פנייה פרטנית, בין אם זה באימייל או בדרכים אחרות אז זה לפי מספר האנשים אליהם פניתי ואז ההפרה היא פנייה. במצב כזה, מבחינתי שהקנס יהיה 50 שקלים אבל שיהיה 50 שקלים כפול מספר האנשים שפניתי אליהם ואז אם בן אדם פנה למיליון יהיה לו 50 מיליון.
עמית יוסוב עמיר
¶
את הקונסטרוקציה הזאת מאוד קשה ליישם במודל העיצומים ולכן אנחנו מבקשים שחוץ מהפנייה הפרטנית לאדם אחד – שאז באמת אפשר להכפיל – אז שההפרה הזאת תהיה תלויה בגודל המאגר.
היו"ר שמחה רוטמן
¶
או-קיי, זה לא שונה משמעותית ממה שאני אומר. אני רק אומר שמבחינתי, הפניות הפרטניות צריכות להיות בפרק א' ופנייה לציבור בלתי מסוים צריכה להיות בפרק ב'.
היו"ר שמחה רוטמן
¶
תכף נדבר על הגודל. בכל מקרה, בכל פרק א' אני לא מקבל את העיצום לפי גודל מאגר, צריך לייצר סכום בסיסי אחר.
היו"ר שמחה רוטמן
¶
שאר הסעיפים, הסירוב, ביצוע שינוי בלי להודיע, לא הודיע למבקש על סירוב לתקן מידע המצוי, לא תיקן מידע המצוי במאגר מידע שבאחזקתו, לא נענה לדרישתו של אדם בהתאם לסעיף (17)(ו) - - -
היו"ר שמחה רוטמן
¶
בואו נעשה את זה ואז נדבר על גובה העיצום ועל המכפלות. אני נוטה לחשוב שדווקא בגלל שהמאפיינים פה הם מאוד פרטניים, אני הייתי רוצה סכום שיהיה קל להכפיל – אולי לייצר cap – ואז אנחנו באמת נתכתב עם מספר נושאי המידע שנפגעו ולא נייצר סכום שמלכתחילה הוא כל כך גדול ואז אין טעם להכפיל אותו וממילא, אז לא עשינו כלום.
היו"ר שמחה רוטמן
¶
כשאתם עושים פיקוח, אתם נכנסים לחומר המחשב ורואים שהבן אדם שלח 50 אלף אימיילים אז אתם יודעים שהוא שלח 50 אלף אימיילים.
ראובן אידלמן
¶
אבל רוב האכיפה בנושאים האלה היא על פי תלונות. כמו שאדוני אמר, אלו זכויות של אדם שנפגעות.
היו"ר שמחה רוטמן
¶
אבל כשמדובר בתלונה של אדם פרטני, אני נוטה לחשוב שזה יוביל אתכם להליך פיקוח ואז אתם תגלו שזה לא מקרה אחד – כמו עם שלשת הפעמים שלכם – וזה נעשה שיטתי ואז אנחנו באירוע אחר, או שהבן אדם יגיש גם תביעה אישית ויקבל 10 אלפים שקלים ללא הוכחת נזק וזה ייתן לו מענה פרטני יותר טוב ממכם.
ראובן אידלמן
¶
אדוני, יש לנו תיקים על זכות עיון בחברות ביטוח. אלה גופים גדולים לכל הדעות. לא מעט אנשים פונים אלינו ומבקשים מידע מחברת הביטוח או מבנק ולא מקבלים אבל זה נקודתי. אלה יכולות להיות חמש תלונות על חמש חברות ביטוח וארבע תלונות על ארבעה בנקים.
היו"ר שמחה רוטמן
¶
נכון אבל אתם תעשו הליך פיקוח על חברת ביטוח ותשאלו אותה "כמה בקשות עיון הגשתם?", הם מסודרים ומתועדים אז הם יראו לכם שהם קיבלו 50 אלף פניות, 100 אלף פניות או 20 אלף פניות והם לא ענו לאף אחת מהם כי זה שיטתי אצלם ואז אתם תגידו להם "20 אלף, 1,000 שקלים לכל פניה, 20 מיליון שקלים. נעים מאוד חברים". אתם תדעו לעשות את זה וזה הרבה יותר הגיוני מאשר שאתם תבוא ותגידו "או-קיי, אז תשלמו 40 אלף שקלים".
גלעד סממה
¶
רגע, אני רוצה להגיד כי בסופו של דבר, יש נסיבות לכל בקשה לעיון. לחשוב כרגע שכשמגיעה לרשות תלונה על כך שנושא מידע מסוים לא קיבל את זכות העיון ואחר כך אנחנו נחפור לתוך אותה חברה על כל אותן בקשות ונבדוק את הנסיבות הענייניות או לא לאי-מתן או מתן של זכות עיון של אנשים אחרים זה אירוע אכיפה של - - -
נעמה מנחמי
¶
יש כאן בעיה. אתם באים ואומרים שיש לכם קושי אכיפתי ולכן, אתם תתנו קנס מאוד גדול שלא בהכרח משקף את העוולה, ההפרה או הנזק שנגרם. באמת יכול להיות שיש כאן רק נושא מידע אחד - - -
היו"ר שמחה רוטמן
¶
אם זו מדיניות אז יהיה יותר מהפרה אחת. אני חושש בעיקר שדווקא הקטנים יותר, יהיה להם יותר קשה להתגונן ודווקא לגדולים יותר יהיה יותר קל לבלבל ולהגיד שלא פנו בהתאם לתקנות והתוצאה תהיה חוסר מידתיות קיצונית באכיפה. לכן, אני רוצה שהפרה שהיא פרטנית אז הקנס עליה יהיה פרטני וגובה הקנס יהיה בהתאם למספר ההפרות כאשר אני אומר – ואני צריך להגדיר את זה בצורה כזאת – שאדם שלא נתן זכות עיון ל-20 אלף אנשים, יקבל 20 אלף כפול הסכום הבסיסי. אין לי בעיה.
היו"ר שמחה רוטמן
¶
אחרי הפעם הראשונה שאתה תטיל עיצום כספי של 20 מיליון שקלים, אתה תקבל ממשרד האוצר את כל התקציבים שאתה צריך ואת התקנים בשביל לעשות את האכיפה כמו שצריך. גלעד, אני אומר לך את זה ברצינות.
גלעד סממה
¶
או שאחרי עשרה מקרים ראשונים שאנחנו לא נצליח להגיע לאותם 20 אלף אנשים ואנחנו נטיל קנס מאוד קטן - - -
היו"ר שמחה רוטמן
¶
אני לא מסכים איתך. אני חושב שכאשר הבעיה היא פרטנית אז המענה צריך להיות התביעות האישיות יותר מאשר העיצומים הכספיים ואני רוצה לדחוף לשם.
ענר רבינוביץ
¶
אדוני, כרגע כתוב "הפר אדם הוראה מהוראות לפי חוק זה" וזה צריך להיות "בעל שליטה", בסעיף קטן (ב).
נעמה מנחמי
¶
עמוד 3 במסמך ההכנה. אנחנו נתחיל לקרוא בהתאם להערות שניתנו עוד קודם לדיון של הוועדה ונראה איך אנחנו מתקדמים משם.
נעמה מנחמי
¶
במקרה שלנו זה מידע שאינו רגיש במיוחד.
"הסכום הבסיסי"
בואו נתחיל מסעיף קטן (ב) ונראה איך מתגלגלים עם יתר הסכומים.
"הסכום בסיסי" לעניין הפרה לפי סעיף קטן (ב)
(1)
(א) במאגר מידע שיש בו רק מידע רגיל – 5,000 שקלים חדשים;
(2) במאגר מידע שיש גם מידע רגיש במיוחד – 20,000 שקלים חדשים;
נעמה מנחמי
¶
נכון. ההצעה של הממשלה הייתה לפי גודל המאגר ולפי בקשת הממשלה אנחנו הורדנו את האפשרות השנייה והשארנו רק - - -
היו"ר שמחה רוטמן
¶
בואו נראה איך זה חי. הנושא של מאגר המידע שיש בו רק מידע רגיל או מאגר המידע שיש בו רק מידע רגיש - - -
היו"ר שמחה רוטמן
¶
בואו נניח שיש מאגר עם מידע רגיש במיוחד אבל הוא ביקש לשנות את שם המשפחה שלו שהתחלף, הוא שינה את שם המשפחה שלו והוא אמר ששם המשפחה שלו לא מעודכן ומבקש שישנו אותו. הוא לא ביקש את שינוי המידע הרגיש במיוחד, הוא ביקש את שינוי המידע שלא רגיש במאגר.
היו"ר שמחה רוטמן
¶
אם הוא פנה ואמר "אל תכתוב עלי שאני ימני כי אני לא ימני, אני שמאלני" אז זה עניין של דעה פוליטית וזה רגיש במיוחד וזאת בקשה שמצדיקה את השינוי הזה אבל אם הוא אמר "הכול נכון, אלו באמת עמדותיי הפוליטיות וזה המחלות שיש לי אבל טעית בשם שלי" אז זה לא מידע רגיש.
נעמה מנחמי
¶
עוד שנייה נדבר על "בעל שליטה".
(ב) הפר אדם הוראה מהוראות לפי חוק זה בקשר למאגר מידע, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בשיעור הסכום הבסיסי:
(1) פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף 11
האם אנחנו רוצים גם את הסיפה?
היו"ר שמחה רוטמן
¶
בעייני, סעיף (1) צריך להיות לפי פנייה לאדם ולהחריג ממנו את הבלתי מסוים ואז הפנייה לציבור בלתי מסוים באמת תהיה בפרק אחר.
היו"ר שמחה רוטמן
¶
תכף נדבר על המהות. הרעיון שלי פה הוא שבאמת מדובר ב-head hunting. פניתי ממוקד לאדם מסוים – שוב, או במייל רחב אבל זה עדיין ממוקד – ולא מסרתי לו הודעה כנדרש בסעיף (11) ואז ממילא, אני לא רוצה גם את הסיומת "ההפרה נעשתה ביחס למספר בני אדם שאינו עולה על 1,000" כי הפנייה היא פרטנית.
הציפייה שלי היא שנייצר פה מנגנון שאומר שאם פנית ל-50 אלף אנשים אז הסכום הבסיסי שאתה יכול לתת פה הוא עד פי 50 אלף. ברמת הפרט, פנית להרבה מאוד אנשים, לא נתת להם הודעה כנדרש אז אתה תהיה חשוף לקנס בהתאם למספר האנשים אליהם פנית במכפלה. יכול להיות שצריך לייצר cap, יכול להיות שצריך cap לפי גודל עסק אבל בגדול, במכפלות.
ד"ר עמרי רחום טוויג
¶
יש לי רק שאלה טכנית. אני מבין את המהות ואני מבין את ההבדל בין פנייה של head hunting לבין פנייה רו7חבית אבל ניקח לדוגמה, חברת ביטוח שיש לה סל מבוטחים שכבר נתנו להם פנייה ועכשיו החברה החליטה שהיא צריכה עוד מידע על המבוטחים אז היא פונה בפנייה אחת במייל.
היו"ר שמחה רוטמן
¶
כי באנר זה לא לרמה מסוימת וזאת פנייה פרטנית להרבה מאוד אנשים. קיבלתי אלי פנייה שעומדת בניגוד לחוק ולפני שאתה שולח פנייה להרבה מאוד אנשים ממוקדים ומפולחים אז תוודא שאתה עומד בתנאי החוק.
שחף קצלניק
¶
כן אבל אם אני חנות מכולת ואני שולח ל-100 הלקוחות שלי את ההודעה הזאת במייל זה לא שהפרתי את הדין 100 פעמים.
היו"ר שמחה רוטמן
¶
אני חושב שמה שמעוות לנו קצת את התמונה זה גובה הקנס. זאת אומרת, קשה מאוד להגיד שאם אנחנו נמצאים על מאגר מידע רגיש במיוחד – ביטוח זה מאגר מידע רגיש במיוחד – אז תעשה 20 אלף כפול מיליון והגעת לסכומי עתק שהם כמעט לא רלוונטיים לשום דבר. זה נכון ואני רוצה שאחר כך נפתח סבב לעניין הגובה.
אני הייתי חושב שכאשר אנחנו עוסקים בעולם הפניות הפרטניות, יכול להיות שצריך לקבוע איזשהו סכום מינימום כדי שהם לא יתעסקו עם עיצום כספי של 50 שקלים אבל בגדול, הייתי אומר כן, אפילו ברמה של 50 או 100 שקלים לפנייה ואז אתה מייצר מצב שאם פנית למיליון אנשים אז יהיה לך 50 מיליון.
יכול להיות שצריך להגיד "אולם, לא פחות מ-1,000" או לא פחות מ-2,000 כדי שבאמת לא יהיה מצב שאם שלחת ל-100 אנשים אז לא הגעת לכלום אבל על פניו, זה נראה לי מאוד הגיוני שאם פנית למיליון אנשים לקבלת מידע וניסית את מזלך כדי לקבל מידע שאסור לך לקבל אז תהיה חשוף לקנס מאוד גבוה.
ניר גרסון
¶
אתה גם הפעלת שיקול דעת, יכולת לבחור לשלוח את הפנייה רק ל-10,000 לקוחות והחלטת ל-100 אלף.
היו"ר שמחה רוטמן
¶
אסור לך כי אתה לא מסרת הודעה כנדרש. אני חי עם זה ואנחנו תכף נדבר על גובה הסכומים, המכפלות, מינימום, cap למעלה ו-cap למטה, מה שאני חושב שיכול להרגיע הרבה מאוד מהחששות אבל קודם כול נדבר על המהות. בעייני, המהות היא נכונה.
היו"ר שמחה רוטמן
¶
המהות ברורה מבחינתי. פה אני חושב שצריך לייצר cap למטה ואולי cap לפי גודל עסקים למעלה או במסגרת תקנות ההפחתה.
גלעד סממה
¶
אדוני, אני מציע שאם מדברים על המהות אז נסיים עם המהות ואחרי זה נלך לתקנות ההפחתה שגם שם זה מהות.
היו"ר שמחה רוטמן
¶
בסדר, פה המהות היא פנייה פרטנית כניסוחה שנוסח ושם זה לא תלות בגודל המאגר אבל זה כן תלוי בשאלה אם ביקשת לקבל מידע רגיש או מידע לא רגיש. כלומר, רגיש במיוחד או לא רגיש במיוחד אבל לא בגודל המאגר.
נעמה מנחמי
¶
(2) סירב לאפשר לאדם שמידע עליו מוחזק במאגר מידע לעיין במידע שעליו, בניגוד להוראות לפי סעיף 13;
(3) ביצע שינוי במידע שברשותו בלי שהודיע עליו לכל מי שקיבל את המידע, בניגוד להוראות לפי סעיף 14(ב);
(4) לא הודיע למבקש על סירוב לתקן מידע המצוי במאגר מידע שבבעלותו או למוחקו, בניגוד להוראות לפי סעיף 14(ג);
(5) לא תיקן מידע המצוי במאגר מידע שבהחזקתו, בניגוד להוראות סעיף 14(ד);
(6) לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ב), שמידע המתייחס אליו יימחק ממאגר מידע המשמש לדיוור ישיר, בניגוד להוראות סעיף 17ו(ד);
(7) לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ג), כי מידע המתייחס אליו, לא יימסר לאדם, לסוג בני אדם או לבני אדם מסוימים, בניגוד להוראות סעיף 17ו(ד).
היו"ר שמחה רוטמן
¶
לגבי (6) ו-(7) אני כן חושב שסוג מאגר המידע הוא רלוונטי, לגבי השאר רק המידע משנה ולא סוג המאגר. זאת אומרת, לגבי (6) ו-(7) אם זה מאגר דיוור ישיר שהמאגר עצמו רגיש במיוחד כמו כלל האנשים שיש להם סרטן מסוג מסוים ואני שולח אליו מידע ובן אדם מבקש להימחק מזה למרות שבקשת המחיקה היא לא מידע רגיש בפני עצמה. אני לא רוצה להיות רשום כחלק ממאגר הדיוור הזה או על דעות פוליטיות אז אני יכול להבין ששם סוג מאגר המידע הוא רלוונטי אבל בשאר הדברים זה עניין של המידע עצמו.
ניר גרסון
¶
קודם כול, אפשר לעשות הבחנה לזה בטקסט אבל גם בסוגים האחרים, אם אתה מבקש לעיין בפריט שלא רגיש במאגר ששאר המידע רגיש בו ולתקן אז קשה להבחין כי גם הפריט שלכאורה לא רגיש כשלעצמו, משפיע.
הרי, פונים אליך רופאים או שמסיקים מסקנה עליך ממכלול פרטי המידע או שדות המידע במאגר. לכן, ההבחנה הזאת היא מלאכותית משהו ואי-אפשר לעשות את ההבחנה הזאת
היו"ר שמחה רוטמן
¶
אני לא חושב כי אני מסתכל על מידת הפגיעה שנוצרת כאשר מוחזר עליך מידע לא נכון רגיש או מידע לא נכון לא רגיש.
היו"ר שמחה רוטמן
¶
לא, מידע זה מידע רגיש. "לא תיקן מידע" זה שונה אם המידע שלא תיקנת הוא רגיש או לא רגיש אבל השאלה היא לא מה אתה עוד מחזיק במאגר. ב-(5) השאלה הרלוונטית היא איזה מידע ביקשת לתקן או איזה מידע היית צריך לתקן וב-(6) או ב-(7) מעניין אותי המאגר כמכלול כי אנחנו במאגר הדיוור הישיר של האנשים עם המוגבלות הזאת, לצורך העניין.
היו"ר שמחה רוטמן
¶
ב-(6) וב-(7) זה יהיה עם פונקציה של המאגר, בשאר הסעיפים זה יהיה פונקציה של המידע המתבקש עצמו.
היו"ר שמחה רוטמן
¶
אם ביקשתי מידע לא רגיש במסגרת הטופס של 11 - - - של (1) אז הדרגה של לא רגיש תחול עלי, אם ביקשתי מידע רגיש אז - - -
איה מרקביץ'
¶
נעמה, לפני שעוברים הלאה יש את ההערה של חברי לגבי "בעל שליטה", שזה לא יהיה "כל אדם", זה התקבל? אנחנו לא בטוחים?
היו"ר שמחה רוטמן
¶
למה? מתי זה יחול על מחזיק? באיזה תרחיש זה יחול על מחזיק? אני אשאל אחרת, באיזה תרחיש אנחנו חושבים שזה צריך לחול?
ראובן אידלמן
¶
בכל המצבים שבהם החוק מטיל את החובה על מחזיק, בוודאי. איפה שהחוק מטיל את החובה על מחזיק והחובה הופרה אז בוודאי שאפשר - - -
ראובן אידלמן
¶
אפשר להטיל את העיצום הכספי גם על מחזיק. אני מזכיר שגם בתקנות אבטחת מידע כל החובות חלות על מחזיקים ולאורך כל הטבלה יש לנו מחזיקים.
היו"ר שמחה רוטמן
¶
אבטחת מידע זה לא הפרטני, דווקא השוק. אנחנו בפרטני כרגע ולהפך, בפרטני אני רוצה למקד את האירוע. אני לא רוצה להרחיב את האירוע בפרטני.
ראובן אידלמן
¶
למשל בסעיף קטן (5), "לא תיקן מידע המצוי במאגר מידע שבהחזקתו" זה סעיף שמכוון ממש למחזיק, בניגוד להוראת סעיף 14(ד) זה מצב שבו בעל השליטה הורה לו לתקן והוא לא תיקן.
עמית יוסוב עמיר
¶
אני רק מציע שלא נעשה פה תיקונים עקיפים של הסעיפים, לא תיקונים עקיפים אבל בסוף, יש את ההוראות הנורמטיביות בחוק. אפשר להטיל עיצום רק על מי שיכול להפר אותם, נכון? רק הוא מפר. יש הוראות ספציפיות - - -
היו"ר שמחה רוטמן
¶
אני מסכים אבל אומר שוב, אני לא מתקן את ההוראות הנורמטיביות, מה שחל בנורמטיבי חל בנורמטיבי. אני דן בשאלה איפה אני נותן את כלי האכיפה של עיצום כספי. ב-(5) שכנעתם וזה בסדר גמור, (5) צריך מחזיק אבל השאלה היא האם אני רוצה בשאר הסעיפים - - - החשיפה לעיצום כספי היא דבר - - -
איה מרקביץ'
¶
סעיף קטן (1) בראש ובראשונה. הפנייה לאדם לקבלת מידע רק עם הודעה לפי סעיף (11) וזה לא ברור בסעיף (11) שזו צריכה להיות החובה של בעל השליטה במאגר מבחינה מהותית. זה צריך להיות מבחינת איך שזה בחו"ל, ב-GDPR ה-controller אחראי לזה.
היו"ר שמחה רוטמן
¶
ב-(ב) יהיה כתוב "הפר בעל שליטה או מחזיק הוראה מהוראות לפי חוק זה בקשר למאגר מידע, רשאי ראש הרשות".
היו"ר שמחה רוטמן
¶
חברים, תודה רבה. עיצום כספי קם כאשר יש הפרה של הסעיף. אם מחזיק לא יכול להפר את סעיף (11) אז אי-אפשר יהיה להטיל עליו עיצום כספי.
היו"ר שמחה רוטמן
¶
לא נכון. אם המחזיק עשה את הפנייה לקבלת מידע לשם החזקתו ולא מסר את ההודעה כנדרש אז יכול להיות שהאחריות תחול גם על המחזיק כי הוא עשה את הפנייה.
היו"ר שמחה רוטמן
¶
אם המחזיק עשה את הפנייה, אם המחזיק לא עשה את הפנייה אז מה אתם רוצים? אם המחזיק עשה את הפנייה אז זה כן צריך לחול עליו, נכון?
שחף קצלניק
¶
אנחנו צריכים להניח שאם מחזיק עשה את הפנייה, הוא עושה אותה על פי ההנחיות של בעל השליטה. זה כל הרעיון של מחזיק.
ענר רבינוביץ
¶
לא, אדוני. זה לא ברור ואנחנו מטילים פה עיצום על גופים שלא יודעים אם החובה חלה עליהם או לא.
היו"ר שמחה רוטמן
¶
ענר, אם הגופים לא יודעים אז יצרנו להם את הכלי של חוות דעת מקדמית. חברים, אני חייב לומר שאני מקבל המון הערות אבל הנושא הזה הוא מאוד פשוט. יש פה איסור לפנות לאדם לקבל מידע לשם החזקתו או להשתמש בו למאגר מידע בלי למסור הודעה כנדרש בסעיף 11?
היו"ר שמחה רוטמן
¶
אדם ביצע את זה. אם הוא ביצע את זה והוא מחזיק או בעל שליטה אז זה יחול עליו ואם הוא לא ביצע את זה אז זה לא יחול עליו. עכשיו אתם אומרים לי שזה לא יכול להתבצע על ידי מחזיק במקרה הפרטני?
היו"ר שמחה רוטמן
¶
סליחה. אני קורה את סעיף (11) וכתוב בו "פנייה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה". מי שמבצע את הפנייה, יהיה אשר יהיה מעמדו, תפקידו או חייו, מחויב בסעיף (11). את העיצום הכספי - - -
היו"ר שמחה רוטמן
¶
מי שמבצע את הפנייה. כאשר את מבצע את הפנייה, חובתך לוודא שאתה עומד בהוראות סעיף (11). לא מעניין אותי - - -
היו"ר שמחה רוטמן
¶
סליחה. מי שמבצע את הפנייה, חלות עליו החובות לפי סעיף (11). אני והרשות – יותר נכון, הרשות ואני כי אני יותר מנומס – מחילים את העיצום הכספי רק על מחזיק או בעל השליטה. האם יכול להיות שפנייה לפי סעיף (11) תתבצע על ידי מישהו שאיננו מחזיק או בעל שליטה? כן. האם הוא יפר את הוראות סעיף (11) אם הוא יעשה את הפנייה הזאת? כן. האם נטיל עליו עיצום כספי? לא. למה? כי העיצום הכספי מצומצם למחזיק או בעל שליטה שיבצע את הדבר הזה.
אם המחזיק יפנה בניגוד לסעיף (11) אז הוא יהיה חשוף, אם בעל השליטה יפנה בניגוד לסעיף (11) אז הוא יהיה חשוף, אם מישהו אחר שהוא לא מחזיק ולא בעל השליטה יעשה את הפנייה אז הוא לא יהיה חשוף לעיצום כספי.
היו"ר שמחה רוטמן
¶
לא, לא. אני מקבל את ההצעה שאנחנו נדון בו אחר כך, אחרי שנראה את ההפחתות והכול. נעשה את החשיבה על הסכומים בצורה מסודרת מלמעלה.
היו"ר שמחה רוטמן
¶
זה יהיה תלוי במשהו אחר. בסעיף (א) זה הוכרע מבחינתי – תכף נדבר על גובה הסכומים כי זאת שאלה אחרת – שהסכומים של העיצומים הכספיים בסעיף (ב) לא יהיו תלויים בגודל המאגר, נקודה, סוף פסוק. הם יהיו לפי נושאי מידע, לא בסכום הבסיסי ולא בשום דרך אחרת. כל סעיף (ב) יהיה לפי נושאי מידע.
לגבי מכפלות, סכומים, הפחותות ו- cap אנחנו נדבר אבל הסכום הבסיסי של סעיף (ב) הוא סכום בסיסי fixed לפי נושאי מידע וההבדל שלו הוא רק בשאלת רגישות המידע. יהיה סכום בסיסי (א) וסכום בסיסי (ב) לפי מידע רגיש או מאגר מידע רגיש אבל לא יהיה לפי גודל מאגר. עכשיו אנחנו עוברים ל-(ג).
נעמה מנחמי
¶
ביחס להפרות שב-(ג) הצעת הממשלה, ככול שאני מבינה אותה, היא לעשות מדרגות לפי גודל המאגר והן עד 100 אלף, 100 אלף עד 500 אלף, 500 אלף עד מיליון ומעל.
נעמה מנחמי
¶
בסדר. אפשרות נוספת שהייתה יכולה להיות על השולחן הייתה ללכת לפי גובה המחזור כפי שנעשה ב-GDPR. אני חושבת שהאפשרות השלישית מתייחסת במובן מסוים לחשש שהעלתה הרשות שהיא תצטרך להתחיל לבדוק לגבי כל אחד את המחזור ואת הציציות שלו כדי לדעת כמה בדיוק היא יכולה לתת לו מבחינת סכומי עיצום הכספי. אני מציעה לעשות את זה לפי גדול העסק.
כבר יש לנו בחוק חובת מכרזים הגדרות ברורות לגודל עסק זעיר, עסק קטן, עסק בינוני ומן הסתם גם עסק גדול. אפשר לחשוב גם על חוקים אחרים להפנות אליהם אם יש הגדרה שהרשות חושבת שהיא טובה יותר אבל הרעיון שעומד מאחורי הדבר הזה הוא בהתייחסות לעמדה שהציגה הוועדה שאין בהכרח קשר ישיר בין גודל העסק לגודל המאגר.
אני מזכירה שסכומי העיצום הכספי אמורים להתייחס להחזרה לציות. ככול שאתה יותר גדול מבחינה פיננסית, אתה תצטרך - - -
ראובן אידלמן
¶
זה גם לפי מחזור עסקאות, אני לא כל כך מבין. ההגדרות בחוק חובות מכרזים היא לפי מחזור עסקאות אז אני לא בטוח שהבנתי את ההבדל בין זה לבין האופציה הראשונה.
היו"ר שמחה רוטמן
¶
קודם דובר על אחוז מגובה המחזור. כשמדובר על קנס שהוא אחוז מגובה המחזור, כמו ב-GDPR, אז אתה צריך לקחת דו"ח רואה חשבון, גובה מחזור, כזה וכזה, אחוז כזה, שלוש אחוז כזה וזה פרטני. לדעת באיזה רובריקה אתה זה הרבה יותר פשוט וזה לא גובה הקנס בהתאם לגובה המחזור.
נעמה מנחמי
¶
תגיד לו "אני מגדיר אותך כעסק בינוני" אם זה לא נכון אז חלק מהטיעונים שלו לעניין העיצום הכספי יהיה להביא לך את הדוחות ולהראות לך שהוא בעצם עסק קטן.
היו"ר שמחה רוטמן
¶
חברים, שנייה. יש לי הצעה. קודם כול נעבור על ההפרות ונראה האם הן מתאימות. מה הרציונל לגודל מאגר והאם הוא קיים. אני מסכים שיש הפרות שלהן גודל המאגר הוא רלוונטי. צריך לדבר על זה אבל במה שגודל המאגר הוא לא כל הרציונל אלא השבה לציות אז צריך לתת לזה מענה. יכול להיות שהמענה יהיה תקנות הפחתה. יכול להיות שהמענה יהיה גובה. יכול להיות שזה יהיה לפי גודל העוסק. יכולים להיות כל מיני מענים אבל בואו נדבר קודם על ההפרות לגופן.
נעמה מנחמי
¶
כן.
הוראה בקשר למאגר מידע, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי בשיעור הסכום המנוי בפסקה (א)(2):
נחזור לסכום אחר כך.
(1) בעל שליטה במאגר מידע או מחזיק שהפר הוראה של ראש הרשות להפסיק הפרה בשל עיבוד מידע אישי שנוצר, התקבל, נצבר או נאסף, בניגוד להוראות סעיף 8(א1);
עמית יוסוב עמיר
¶
לא. לסעיף שיסמיך. כרגע הצענו נוסח לוועדה. יהיה פה איזשהו סעיף שבו מסמיכים את ראש הרשות להודיע על הפסקת ההפרה.
היו"ר שמחה רוטמן
¶
פה לכאורה, באמת יש פונקציה של גודל המאגר. גודל המאגר שלגביו מופרת הוראה זה אמור להיות רלוונטי במשהו אבל לצד הפונקציה הזאת אני חושב שהמשקל הכבד ביותר הוא שאלת ההפרה היעילה.
כלומר, אם יש לי מאגר מידע שהחזקתו מייצרת לי הכנסה של 3 מיליון שקלים בחודש כי אני מאגר פרסום של משהו והמאגר הזה הוא מאוד גדול או מאוד קטן – לא משנה מה גודלו אבל הוא מייצר לי הכנסה בשיעור ניכר – ואתה אומר לי למחוק אותו או שיהיה לי עיצום כספי, זה לא יעניין אותי.
בעולם טהור, ההכנסה מופקת מהמאגר, אם אני לא יודע לעשות את זה אז גודל העסק כפרוקסי. זה פי אלף יותר רלוונטי לי מאשר גודל המאגר.
ראובן אידלמן
¶
אדוני, זה היקף ההפרה. אתה אוסף מידע שלא כדין אז השאלה היא כמה מידע אספת ועיבדת שלא כדין. בעייני, זה דווקא מאוד טריוויאלי כי זאת ההפרה.
היו"ר שמחה רוטמן
¶
לכן המשפט הראשון שלי היה שאתה צודק, המשפט השני שלי היה שאתה טועה. לא, סתם. המשפט הראשון שלי היה שאתה הראשון שלי היה שאתה צודק והמשפט השני שלי היה שאתה לא צודק מספיק. זאת אומרת, בוודאי זה צריך להיות פונקציה שהסכום הבסיסי שלה תלוי בגודל המאגר אבל הוא לא יכול להיות תלוי רק בגודל המאגר.
את ההפרה עשית לגבי מספר נושאי המידע שבמאגר וזה בסדר גמור בהחלט, זה השלב הראשון. השלב השני הוא שאם אתה עסק גדול והעיצום הכספי שלך הוא נמוך מידי ואם אתה עסק קטן אז אני עושה ל הרתעת יתר.
הרתעת יתר פחות מטרידה אותי בהקשר הזה כי אני באמת רוצה שעסק קטן שמחזיק את הדבר הזה ימחק אותו כמה שיותר מהר ואם זה יגרום לו להתחסל אז מצוין.
היו"ר שמחה רוטמן
¶
יש פה אלמנט אחד. אין פה אלמנט של נושאי מידע ספציפיים מלבד הנושא הסטטיסטי. זה בוודאי לא מתאים לפרטני, זה נכון שזה כן מתאים לגודל מאגר אבל רק גודל מאגר זה לא מספיק. בואו נתקדם.
נעמה מנחמי
¶
(2) בעל שליטה במאגר מידע או מחזיק ש עיבד מידע אישי במאגר מידע, שלא בהתאם למטרה שנקבעה לו, ובלבד שניתן היה לקבוע כדין מטרה כאמור, בניגוד להוראות סעיף 8(ב);
זה אותו עניין רישומי, כפי שאתה קראת לו בזמנו.
עמית יוסוב עמיר
¶
הפרה של עקרון צמידות המטרה, סעיף 8(ב) בנסיבה הקלה יחסית שבה השימוש הוא בניגוד למטרה אבל היה ניתן לקבוע מטרה אחרת כדין.
היו"ר שמחה רוטמן
¶
אני מסכים. אני מסכים אבל אני רק תוהה לעצמי אם בהפרת רישום גודל המאגר הוא שיקול רלוונטי.
היו"ר שמחה רוטמן
¶
שנייה. בדיון הקודם אני אמרתי שזה לא פרטני, אני לא בטוח שהגעתי ישר למסקנה שזה תלוי בגודל המאגר. אמרתי שזה לא עניין של נושא מידע פרטני אז בוודאי שזה לא מתאים לחלק ג', השאלה היא אם זה מתאים לחלק ג'.
היו"ר שמחה רוטמן
¶
אני אומר שפה למשל, זה טהור לפי גודל עסק. פה זה באמת טהור לפי גודל עסק, זה בכלל לא מעניין אותי מה גודל המאגר. הייתי יכול לשנות את הגדרת המאגר, מה יש לי פה? יש לי פה התרשלות בניהול הספרים שלי ולהתרשלות בניהול הספרים שלי, פונקציית ההפרה היעילה והפונקציה הרלוונטית היא השאלה כמה כסך היה עולה לי לקחת את יועץ הפרטיות הנכון ולכן, גודל העסק הוא הדבר הרלוונטי וגודל המאגר פחות. אני לא אומר שהוא לא רלוונטי בכלל אבל זה לא כובד המשקל.
ניר גרסון
¶
הוא רלוונטי. זאת לא רק התרשלות שהיא בעלת השלכה פנים עסקית, יש לזה גם השלכה על יכולתנו לעשות רגולציה וגם על ניהול תקין. חלק מניהול תקין זה לתעד בדיוק מה אתה - - -
היו"ר שמחה רוטמן
¶
אבל כל הטענה היא שהייתי יכול לקבוע את המאגר הזה כדין אז אני לא יוצר סיכון יותר גבוה.
היו"ר שמחה רוטמן
¶
אני הפרתי את הוראת הרישום. אני מסכים שאם זה היה בעולם התקנות היינו אומרים רמת אבטחה בסיסית או גבוהה, זה יותר שם. גם שם יצרנו את המנגנונים האלה כי זה לא באמת תלוי בגודל המאגר או רק בגודל המאגר ולמעשה, גודל המאגר הוא אחד השיקולים הכי פחות רלוונטיים להפרה.
איה מרקביץ'
¶
בהמשך למה שאדוני אמר עכשיו, כמו שאני קוראת את הסעיף המבלבל מאוד הזה – אם לא היינו יושבים פה בשלושה דיונים ועם הפרוטוקולים מול העיניים אז היה קשה להבין אותו – אם כוונתו היא שבעל השליטה במאגר לא עדכן את המטרה במסמך הגדרות מאגר אז יש לנו כבר את העיצום הזה על תקנות אבטחת מידע, נכון?
היו"ר שמחה רוטמן
¶
זה נכון שנושא תקנות אבטחת המידע זוכה להפרות משלו. כאן, מוקד ההפרה הוא לא בשאלה אם עדכנת את מטרות המאגר אלא שעיבדת בניגוד למטרות הרשומות.
היו"ר שמחה רוטמן
¶
לפעמים זה יהיה אלה שרשמתי לעצמי ולפעמם זה יהיה במאגר מידע החייב ברישום שנרשם גם - - - לפעמים זה יהיה שחוק רשם לי. לכן, הפונקציה פה היא שלא יכולתי - - -
תהיה איתי שנייה. בואו נניח שבמסמך מטרות המאגר, אני שיניתי את מטרות המאגר ואסור היה לעשות את זה. הקמתי מאגר וכתבתי שם שמטרת מאגר המידע הוא - - -
היו"ר שמחה רוטמן
¶
נגיע לזה בהמשך, נכון. סליחה, זה לא ב-(1). אבל מבחינת תקנות הפרה ואבטחת מידע לא הפרתי כי רשמתי שהמטרה שלי היא להתחקות בשביל להעביר פרטי מידע של אזרחי מדינת ישראל לאיראנים. רשמתי את זה.
ד"ר עמרי רחום טוויג
¶
אין ספק. אדוני, אתה צודק לחלוטין אבל אני אגיד שני דברים. אחד זה שכל עניין רישום מסמך הגדרות המאמרים שנכנס דרך תקנות אבטחת מידע היה אמור להיות במהות בגוף החוק ולא בתקנות אבטחת מידע. מסמך הגדרות מאגרים זה לא נושא של אבטחת מידע זה נושא של תיעוד ניהול של המידע מהמאגר.
היו"ר שמחה רוטמן
¶
תפנה אותי לאיזה מקרה אתה מתכוון שיהיה מכוסה בתקנות אבטחת מידע ואתם תגידו לי מה הדלתא.
ד"ר עמרי רחום טוויג
¶
אני לא מדבר על מאגר שחייב רישום, אני מדבר על מאגר שלא חייב ברישום. תמיד תהיה גם הפרה של מסמך הגדרות המאגרים של אותה הפרה מהסעיף.
עמית יוסוב עמיר
¶
בלי השאלה ההיסטורית, צופה פני עתיד, אנחנו מקבלים את ההערה במובן הזה שאכן, לא אמור להיות פה כפל עיצום ולכן - - -
היו"ר שמחה רוטמן
¶
השאלה היא לא אם יהיה כפל עיצום, אני שואל שאלה מאוד מחודדת. מתי תהיה סיטואציה של ההפרה של הסעיף המקביל בתקנות אבטחת מידע – שעליו כבר עשינו את ה-fine tuning והגדרנו את גודל המאגר ורמות האבטחה – והוא לא ייכנס לפה.
עמית יוסוב עמיר
¶
זה לא המוקד של תקנות אבטחת מידע, זה נזכר שם. שינוי מהותי שמצריך את שינוי הגדרות המאגר לפי תקנות האבטחה יכול בהחלט - - -
עמית יוסוב עמיר
¶
שנייה, אדוני. זה עניין מהותי. בסופו של דבר, כמו שאדוני עמד על זה באופן שהוא נכון לעניות דעתי, הסיפור של מטרת השימוש נכנס גם דרך תקנות אבטחת מידע אבל מרכז הכובד שלו הוא לא תקנות אבטחת מידע.
עמית יוסוב עמיר
¶
מצד שני, אנחנו מתקבלים את ההערה שאין מקום שיהיו שני עיצומים לכן אני מציע שפה בפרט 15 בתוספת - - -
היו"ר שמחה רוטמן
¶
אני מציע אחרת. אני מציע שנכתוב שקנס לפי סעיף (2) הזה, יוטל בהתאם להוראות 14, 15. פשוט לעשות את הלינקג' הזה.
ראובן אידלמן
¶
לא, לא. אני רוצה לדבר על האופציה הזאת כי יש עוד משהו שצריך להיות לנגד עניינו פה. לפי איך שפרק הסמכויות בנוי, כפי שאושר על ידי הוועדה, יש שורה של סעיפים שמפנים לסעיף הזה, סעיף 23כג ואומרים שהרשות יכולה לפתוח בהליך בירור מנהלי רק ביחס להפרות שניתן להטיל עליהן עיצום כספי. אפשר להפעיל את המפקח הפנימי בגופים ביטחוניים, רק ביחס להפרות שניתן להטיל עליהן עיצום כספי.
ראובן אידלמן
¶
מכיוון שהוועדה קיימה כמה דיונים על צמידות המטרה, אני מציע לא לתלות את כל הדבר הזה בתוך תקנות אבטחת מידע ושכן תהיה הפרה - - -
היו"ר שמחה רוטמן
¶
אין לי בעיה שתוסיף "עיצום כספי לפי סעיף זה יוטל בהתאם להוראות" ותעשה לינקג' ל-14, 15.
היו"ר שמחה רוטמן
¶
הוא לא יהיה בתוך פרק ג' כי הוא פונקציה שכבר יצרנו לו את המדרגות ואני לא רוצה לייצר לו מדרגות נפרדות, אני לא רוצה לייצר סתירה ואני לא רוצה לייצר פורום שופינג. על ההפרה לפי סעיף (ג)(2) – שיזוז אולי לסעיף (ד) או לסעיף (ה) – יוטלו עיצומים בהתאם להוראות, עם הפנייה ל-14, 15 שבתוספת.
היו"ר שמחה רוטמן
¶
נכון, בסדר.
(3) בעל שליטה במאגר מידע שניהל או החזיק מאגר מידע החייב ברישום מבלי שהוגשה בקשה לרישומו בהתאם להוראות סעיף 8(ג) או שכלל פרטים שאינם נכונים בבקשה לרישום או שלא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים בסעיף 9(ב)(1) עד (4), למעט שינוי במענו של בעל השליטה במאגר המידע או שינוי בפרטים שנקבעו לפי סעיף 9(ג), בניגוד להוראות סעיף 9(ד).
זה נכון שלזה יש לינקג' גם לגודל המאגר וגם להיות המאגר רגיש או לא רגיש. גם פה, רוב הגופים הם גופים ציבורים ולכן ממילא הם כולם ייכנס לעסק גדול מאוד ולכן, גודל העסק פחות רלוונטי. זה רלוונטי ל-data brokers וגם שם, זה אמור להיות כן רלוונטי לגודל העסק מבחינת ההפרה היעילה אז זאת אותה הערה כמו בפעם הקודמת. אני כן מבין את הלינקג' לגודל המאגר.
(4) בעל שליטה במאגר מידע שלא מסר לרשות הודעה בקשר למאגר מידע החייב בהודעה לרשות, בניגוד להוראות סעיף 8(ג1)(1) או שלא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים בסעיף 9(ב)(1) עד (4) למעט שינוי במענו של בעל השליטה במאגר המידע או שינוי בפרטים שנקבעו לפי סעיף 9(ג), בניגוד להוראות סעיף 9(ד);
מי זה?
נעמה מנחמי
¶
לא, לא. האמת היא שאם זה ככה אז זאת לא הכוונה. אני חושבת שהכוונה ב-(4) הייתה לשמר אותו כחובת רישום ו-(5) - - -
ראובן אידלמן
¶
מאגרים מעל 100 אלף נושאי מידע בעל רגישות מיוחדת. זה ההסדר שהוועדה אישרה, שאין רישום אבל יש חובת הודעה.
היו"ר שמחה רוטמן
¶
סליחה, פה מלכתחילה כדי להיכנס לזה אתה צריך להיות בעל 100 אלף עם מאגר ולכן הדיפרנציאציה היחידה שרלוונטית זה גודל העסק.
ראובן אידלמן
¶
לא, רגע. יכול להיות 100 אלף ויכול להיות מאגר של 2 מיליון. אם לא הודעת על מאגר של 2 מיליון אז זה יותר חמור מאשר אם לא הודעת על מאגר של 100 אלף. כן, בהחלט. כמו ברישום.
נעמה מנחמי
¶
(5) פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף 11, ובלבד שההפרה נעשתה ביחס ליותר
היו"ר שמחה רוטמן
¶
"פנה לציבור בלתי מסוים לצורך איסוף מידע במאגר מידע". פה גוגל המאגר הוא כן רלוונטי כאמור.
עמית יוסוב עמיר
¶
פה זה הסעיף שביקשנו מהוועדה גם בנוסחים. צורת ההכפלה לא משנה אבל הבקשה הייתה להתייחס למאגרים גדולים של מעל 100 אלף מזהים ביומטריים, בעיקר תמונות, כמאגרים בעלי רגישות מיוחדת לעניין גובה העיצום.
אני מזכיר לוועדה את תקציר הפרקים הקודמים. מה שקרה זה שהוועדה החליטה להגדיר "מידע רגיש" בהקשר של מידע ביומטרי שמשמש או נועד לשמש - - -
עמית יוסוב עמיר
¶
נציגי הממונה על היישומים הביומטריים ביקשו לחדד ולהבהיר שכאשר מדובר במאגרים גדולים של מזהים ביומטריים אז בחשש לדליפה של מאגרים כאלה, זה כבר לא משנה מה הייתה הכוונה של בעל השליטה או המחזיק המקוריים ומה הם תכננו לעשות.
אם הם לא מינו ממונה אבטחת מידע ואחר כך המאגר דלף אז הכוונות של מי שגנב את המאגר הן כבר לא ידועות לנו וסיכוי סביר שהוא כן יעשה שימוש ביומטרי ולכן בהקשר הזה ספציפית, מבקשים להתייחס למאגרים של מזהים ביומטריים של מעל 100 אלף אנשים כמאגרים ברמת רגישות מיוחדת.
נעמה מנחמי
¶
אני לא בטוחה שנכון לכתוב את זה כאן אבל אנחנו נשמח להסמכה של הוועדה, ככול שהיא מעוניינת בכך - - -
מיכל בלאו אור
¶
מיכל בלאו אור ממערך הסייבר הלאומי. אני יועצת משפטית ליחידה הממונה על יישומים ביומטריים. כמו שעמית אמר, דיברנו על כך בפעם הקודמת. ברגע שיש מאגר מידע שהוא מזהה ביומטרי של מעל 100 אלף, הרגישות היא גבוהה וזה מאגר אסטרטגי. לכן, בכל מה שקשור להיבטים של אבטחת מידע או הגנת סייבר, אנחנו חושבים שזה צריך להיות זהה עבור שני המאגרים וזה נכון גם לממונה אבטחת מידע בהקשר הזה וגם לתקנות אבטחת מידע שנדון בהם בהמשך.
עלו מחשבות בנושא גם לעניין של חריגה מהרשאה וחריגה מהמטרה אבל בגלל האופן שבו נראה כרגע שהמודל הולך אז ירדנו מזה. כמובן שצריך לראות לאן אנחנו מתכנסים גם בהקשר הזה כי גם בחריגה מהרשאה יש משמעות לנושא של מאגר ביומטרי.
היו"ר שמחה רוטמן
¶
טוב. ממונה אבטחת מידע זה בהגדרת מאגר - - - לדרגות הקנסות אנחנו ניתן לזה מענה. זה באמת לא פה אבל אין בעיה.
(7) בעל שליטה או מחזיק שלא מינה ממונה על הגנת הפרטיות, בניגוד להוראות סעיף 17ב1;
היו"ר שמחה רוטמן
¶
בעייני, זה באמת בגדר סדק כי הנושא הזה נדון יחסית בהרחבה בפעם הקודמת. אני מציע שנשאיר את זה כנקודה לדיון בסוף. ככול שחשבתי יותר על עמדתי בדיון הקודם, השתכנעתי שאני צודק וזה לא קורה לי הרבה.
ראובן אידלמן
¶
רק יהיה צריך לחדד אחר כך פה בטקסט את הסעיפים הספציפיים של גופים ציבורים שיש עליהם את העיצום, לפי מה שיוחלט.
היו"ר שמחה רוטמן
¶
אלה שחייבים ברישום, בוודאי ולגבי השאר האמירה נאמרה ואני אהיה פתוח לשמוע טיעונים בנושא הזה בסוף הדיון היום, בעזרת השם אם נצליח להתקדם.
(8) בעל שליטה או מחזיק שניהל או החזיק מאגר מידע המשמש לשירותי דיוור ישיר, מבלי שהמאגר היה רשום במרשם
הוא צריך מרשם?
היו"ר שמחה רוטמן
¶
זה בהגדרה, או-קיי.
או מבלי שאחת ממטרותיו הרשומות של מאגר המידע היא שירותי דיוור ישיר, בניגוד להוראות סעיף 17ד;
התוספת הזאת עדיין נצרכת?
ראובן אידלמן
¶
יש כאן חובה ספציפית, לא רק לרשום אלא גם לרשום את המטרות האלה כדי שהציבור ידע שזה מאגר לשירותי דיוור.
היו"ר שמחה רוטמן
¶
הבנתי, בסדר גמור. גם כאן גודל המאגר הוא רלוונטי וגם גודל העסק.
(9) בעל שליטה במאגר מידע או מחזיק שניהל או החזיק מאגר מידע המשמש לשירותי דיוור ישיר, בלי שיש בידו רישום המציין את המקור שממנו קיבל כל אוסף נתונים המשמש לצורך מאגר המידע ומועד קבלתו וכן למי מסר כל אוסף נתונים כאמור, בניגוד להוראות סעיף 17ה;
פה גודל המאגר הוא קצת פחות רלוונטי, מה גם שיכולים - - -
היו"ר שמחה רוטמן
¶
גודל המאגר הוא יותר רלוונטי? למה? לא, יכול להיות שגודל המאגר שלי הוא 2 מיליון אבל יש לי מקור מידע של 10,000. השאלה היא גודל מקור המידע, לא גודל המאגר הכללי שלי. לי יש מאגר שירותי דיוור גדול מאוד והייתי בסך הכול מאוד מסודר חוץ מאשר לגבי 10,000 אנשים שלא שמרתי לגביהם את המקור שממנו קיבלתי את אוסף הנתונים הזה.
ניר גרסון
¶
אבל יש גם שאלה של למי מסרת. זאת הליבה של סוחר מידע, שיהיה לו רישום למי הוא מסר כדי שאפשר יהיה להתקות ולתקן.
היו"ר שמחה רוטמן
¶
אני מבין אבל ההפרה לא בהכרח תלויה בגודל המאגר אלא בגודל הנתח של המידע שמסרת. אני מחזיק מאגר של מיליון אנשים אבל הפרתי לגבי שלושה. זה כמובן מקרה קיצון אבל לכן אני לא אומר שגודל המאגר הוא לא רלוונטי, אני רק אומר שבניגוד להפרה הראשונה ששם גודל המאגר הוא כמעט השיקול היחיד, פה, בנוגע לאיסוף המידע - - -
יכול להיות שקיבלתי מקור מידע אחד, עשיתי אגרגציה מהרבה מקומות ואין לי את מקור המידע שממנו הסקתי את מקור המידע הקטן לתוך המאגר הגדול שלי אז אני אהיה חשוף לקנס אבל לא לפי גודל המידע שלא קיבלתי אלא לגודל המאגר הכללי שלי שזה פחות רלוונטי. זה מה שאמרתי ואני חושב שזה די טריוויאלי.
לשאלתי שכתובה פה לדיון, האם יש דרך להכשיר מאגר שאבדו ביחס אליו פרטי המידע? אני מניח שהעסקים הגדולים מנהלים רישום מסודר או שלא ואז זאת בעיה מסוג אחר אבל נניח שאני בניתי מאגר לצורך דיוור ישיר של העסק שלי והבן אדם שהקים לי את המאגר ובנה לי אותו פוטר, התפטר, ברח או נטש לחו"ל ולקח איתו את הדיסק און קיי עם כל התיעוד.
האם התרופה היחידה שיש לי עכשיו זה למחוק את המאגר שלי, כי אין לי את הרישום של ממי קיבלתי כל נתח של מידע מתוך מאגר הדיוור הישיר שלי? האם זאת הפרה שניתנת לתיקון או שזה מעוות לא יכול לתקון וחסרון לא יכול להימנות?
היו"ר שמחה רוטמן
¶
לא, לא. אתה מדבר איתי על השאלה האם התקבלה הסכמה או לא התקבלה הסכמה וזאת שאלה אחת. אם לא התקבלה הסכמה אז אפשר לרפא את זה, אפשר להגיד "פניתי לכולם ואני מוחק את מי שלא יאשר או שלא אשתמש במידע עד שהוא יאשר", יש לי את היכולת להיעצר. פה, יש לי - - -
ניר גרסון
¶
אדוני, העניין הוא שזה סוחר מידע, זה לא האינסטלטור הקטן. דווקא בגלל הסכנה וכי זה הביזנס שלו אז מצפים מראש - - -
היו"ר שמחה רוטמן
¶
הכול ברור, זה הביזנס שלו ודווקא בגלל שזה הביזנס שלו אז השאלה היא לא עכשיו שאלת ההסכמה אלא זה שאין לו את הרישום המציין אז האם זאת הפרה נמשכת שתרופתה היחידה היא מחיקת המאגר. אני לא אומר שלא, יכול להיות שאתם צודקים וזה מה שצריך להיות אני פשוט אומר שזאת שאלה שאני לא ידעתי לתת לה תשובה. יש פה מומחי פרטיות.
ניר גרסון
¶
אדוני, זה מקרה שמזכיר מקרים שהם כמו נזק ראייתי בנזיקין. סוחר המידע הזה הוא זה שייצר את - - -
ניר גרסון
¶
אז הוא צריך לנקוט - - - אנחנו גם מכווינים את השוק. מטרתנו היא להגן על הפרטיות, מי שהוא סוחר מידע, מטרתו לסוחר במידע. הוא מרכז מידע מאוד רגיש אז שיתכבד וישמור גיבוי - - - אלו באמת דוגמאות אזוטריות.
ד"ר רחל ארידור הרשקוביץ
¶
זאת דוגמה לחסר שקיים בחוק, אין בו בסיסים לגיטימיים ואין בו אפשרות של פנייה כאשר אתה לא - - -
ד"ר רחל ארידור הרשקוביץ
¶
כי הפתרון שהם נותנים זה או שאתה תפנה לקבל הסכמה או שתמחק את המאגר, כרגע אין אופציה אחרת בחוק - - -
עמית יוסוב עמיר
¶
הסיפור פה הוא שיש מאגרים מאוד מסוימים שהמחוקק כבר מזה שנים אמר - - - אותם צריך להסדיר. ברור שלא נדרשת הסכמה לגבי כל פרט מידע פה אבל בגלל הרגישות ובגלל הסיכון המוסרי באיסוף של כל מיני מאגרי מידע שלא כדין - - -
עמית יוסוב עמיר
¶
לא אמרנו שלא. הסיכון המוסרי לאסוף אותם שלא כדין, אני לא אומר שהמאגרים עצמם הם שלא כדין, חס וחלילה. יש פה חובת תיעוד, חובת שמירת מסמכים.
היו"ר שמחה רוטמן
¶
אני מבין ואני יודע שהפרת חובת תיעוד והפרת חובת ששמירת מסמכים מקשה על האכיפה, אני יודע הכול אבל השאלה היא - - -
ניר גרסון
¶
נכון והאמת היא שזה מקרה חריג שבחריגים. במקרה הגרוע, כנראה יצטרך גוף כזה למחוק חלק קטן ומסוים מהמאגר, זה לא - - -
היו"ר שמחה רוטמן
¶
זה רק מחזק את האמירה שלי שהפונקציה היא לא גודל המאגר אלא מספר נושאי המידע שלגביהם אין את התיעוד הזה. זה רק מחזק את האמירה שזה לא עניין של גודל המאגר. זאת תשובה לגיטימית ובמציאות החוקית הקיימת במדינת ישראל, נראה לי שזאת התשובה הנכונה. דווקא השאלה הזאת מחדדת שכאן, גודל המאגר הוא פחות הפונקציה אלא מספר נושאי המידע.
היו"ר שמחה רוטמן
¶
לא, אני לא חושב שזה מתאים ל-ב' אבל אני חושב שזה לא מתאים ל-ג'. תכף נדבר על הרובריקה הזאת ואיפה זה יהיה אבל זה לא גודל המאגר, זה לא הפונקציה היחידה פה ואפילו לא גודל העסק.
(10) בעל שליטה במאגר מידע או מחזיק שפנה לאדם בדיוור ישיר שלא בהתאם להוראות סעיף 17ו(א) לחוק;
על פניו, זה לגמרי צריך להיות ב-א', בחלק ב'.
ראובן אידלמן
¶
לא כי דיוור ישיר יכול להיות לקבוצה, יש הגדרות לדיוור ישיר בחוק. העניין של דיוור ישיר זה יכול להיות לקבוצה בעלת מאפיינים מסוימים.
ד"ר עמרי רחום טוויג
¶
הרעיון בדיוור ישיר בהגדרה הנוכחית שלו בדין הישראלי – שהיא עם בעיותיה – זה התייחסות לא פרטנית לאדם, זה בדיוק הרעיון.
היו"ר שמחה רוטמן
¶
בסדר, אני חושב שפה הרבה יותר רלוונטי לי לכמה אנשים פניתי. פה זה פי אלף יותר רלוונטי מאשר מה גודל המאגר שלי. אמת?
שחף קצלניק
¶
זאת פנייה רנדומלית כי זה תלוי באיזה סיווג הכנסתי אותם. זה יכול להיות שפעם הרציונל נשאר אותו רציונל והקבוצה תשתנה לך. למה זה משנה? עוד פעם?
שחף קצלניק
¶
הסיווג שאני עושה כדי לייצור profiling יכול לייצור לי קבוצה אחת של עשרה אנשים וקבוצה אחת של 100 אלף אנשים אבל הרציונל שלי בפנייה הוא אותו רציונל. אני רוצה לפנות לקבוצה מסוימת אז מה זה משנה לי כמה - - -
היו"ר שמחה רוטמן
¶
נו, השאלה היא כמה אנשים קיבלו פנייה בניגוד לחוק. השאלה היא לא כמה אנשים יש לך מתוך המאגר שממנו גזרת. אתה גזרת מתוך מאגר של מיליון, פנית ל-100 או ל-100 אלף. ביצעת 100 אלף הפרות או שביצעת 100 הפרות, יכול להיות שזה בלחיצת כפתור אחת אבל ביצעת מספר הפרות כי יותר נושאי מידע קיבלו ממך פנייה.
היו"ר שמחה רוטמן
¶
או-קיי. אז שאלת גודל המאגר היא לא רלוונטית, אני נוטה לחשוב שזה באמת דומה יותר לפנייה.
ראובן אידלמן
¶
רק לוודא שהבנתי, המשמעות היא שזה בקבוצת ההפרות הפרטניות וסופרים הפרות פר כמות האנשים שאליהם נעשתה הפנייה?
ראובן אידלמן
¶
אם אנחנו מעבירים את זה, זה שאנחנו סופרים פר כמות האנשים אליהם נעשתה הפנייה זאת סוגייה משמעותית. בסדר.
היו"ר שמחה רוטמן
¶
שוב, זה יכול להיות פר 1,000 אבל אנחנו נחליט שה-sweet spot זה 1,000 פונים, לא יודע. אבל הרעיון הוא שהשאלה היא כמה אנשים קיבלו את הפנייה ולא מה גודל המאגר שלי.
היו"ר שמחה רוטמן
¶
לא מדויק, אם יש לך מאגר גדול ועשית - - - פילוחים אז יכול להיות שבסוף זה יצא קבוצה של אחד או שניים.
היו"ר שמחה רוטמן
¶
יכול להיות שאתה הרצת את הפילוחים וביקשת לפנות רק לאנשים ג'ינג'ים עם משקפיים סגולות ויוצא שזה קבוצה של אחד או קבוצה ריקה.
היו"ר שמחה רוטמן
¶
נכון.
(11) בעל שליטה שלא פירט, על דרישת מידע, כי הוא מוסר דרך קבע מידע בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(א);
זה גופים ציבוריים?
ראובן אידלמן
¶
כאן יש שלוש הפרות של גופים ציבוריים שקשורים להעברות מידע של גופים ציבוריים ולכן זה לא עניין של עסק, כמובן.
היו"ר שמחה רוטמן
¶
אבל דרישת מידע פה זה של הגוף הציבורי לדרישת מידע פרטנית. הרי, גוף ציבורי לא מעלה באינטרנט בקשה לקבלת מידע, נכון? אלא אם כן זה - - -
היו"ר שמחה רוטמן
¶
סעיף (11) "בעל שליטה שלא פירט, על דרישת מידע, כי הוא מוסר דרך קבע מידע בהתאם לסעיף 23ג בניגוד להוראות 23ד(א)", לכאורה, זאת בקשה לקבלת מידע פרטנית.
היו"ר שמחה רוטמן
¶
אז גם זה צריך להיות ברובריקה ב-ב' כי זה לא תלוי בגודל המאגר שלי. זה לא אמור להיות תלוי גודל המאגר בכלל. נכון?
ראובן אידלמן
¶
אולי צריך לחזור לדרישה המהותית. הדרישה המהותית ב-23ד(א) אומרת "גוף ציבורי שמוסר דרך קבע מידע לגוף אחר לפי 23ג, יפרט עובדה זו, על כל דרישת מידע בהתאם לחוק".
היו"ר שמחה רוטמן
¶
זה (11), בסדר. זה מובן, זה כמו סעיף (11).
(12) בעל שליטה שלא קיים רישום של המידע שמסר בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(ב);
זה רישום פנים - - -
היו"ר שמחה רוטמן
¶
בין גופים ציבוריים. גם פה, גודל המאגר שלו פחות רלוונטי, יותר משנה גודל ה-bulk שהוא העביר.
ראובן אידלמן
¶
הוא בדרך כלל מוסר כל מיני סוגים של מידע קודם כל, זה עניין של רישום פנימי. הסעיף הזה מדבר על חובת רישום פנימית.
ראובן אידלמן
¶
כי זה לפי גודל הגוף הציבורי וכמה העברות הוא עושה, זאת התפיסה. זה בוודאי לא עניין של גודל עסק.
היו"ר שמחה רוטמן
¶
לא, גודל עיבוד המידע הוא גם לא רלוונטי כי יכול להיות שיש לה מאגר מידע מאוד גדול אבל היא מעבירה רק bulk מאוד קטן שהיא לא רשמה אותו. זה יותר דומה ל-(9) בהקשר הזה כי לא מעניין אותי גודל המאגר הכללי. אם היא לא רשמה את זה שהיא העבירה מיליון אנשים זה משהו אחד, אם היא לא רשמה שהיא העבירה 10,000 - - - זה מספר נושאי המידע שביחס אליהם התבצעה ההפרה, זה לא גודל המאגר.
היו"ר שמחה רוטמן
¶
לא, זה לא. כי הרציונל הוא הפרט הנפגע ופה הפרט לא בהכרח נפגע בכלל. זה רק עניין של רשמו או לא רשמו, זה לא שיש יותר פגיעה ביותר אנשים פרטניים בגלל שהוא לא רשם את זה ב-bulk.
היו"ר שמחה רוטמן
¶
נכון, לכן זאת רובריקה שלישית.
(13) בעל שליטה שלא הודיע לראש הרשות כי הוא מקבל דרך קבע מידע בהתאם לסעיף 23ג והמידע נאגר במאגר מידע, בניגוד להוראות סעיף 23ד(ג);
זו הפרת חובת רישום קלאסית.
היו"ר שמחה רוטמן
¶
אז פה זה כן גודל המאגר שהוא אוגר כתוצאה מזה אבל שוב, זה פחות גודל המאגר שברשותו. פה תהיה חפיפה בין גודל המאגר לבין גודל המידע שקיבלת.
היו"ר שמחה רוטמן
¶
לכן, זאת לא בעיה בשבילי. זה יכול להיות פה או פה כי זה יושב-ראש באותו מקום.
(14) בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר
הורדה את "מנהל מאגר", נכון?
נעמה מנחמי
¶
לא, אנחנו שינינו את ההגדרה - - - מרוקנת אותו מתוכן אבל היא עדיין קיימת ורלוונטית בעיקר - - -
היו"ר שמחה רוטמן
¶
הורדנו.
(15) בעל שליטה במאגר מידע או מחזיק במאגר שלא מסר למפקח מסמך או עותק מחומר מחשב, בניגוד להוראות סעיף 23י(א)(2) או (3);
לא ברור לי בכלל למה גודל המאגר רלוונטי לסיפור הזה.
ראובן אידלמן
¶
נכון שזה פחות מובהק אבל צריך איכשהו לסווג את זה. כן צריך לתת מכפלות גם ביחס לגודל מאגר.
היו"ר שמחה רוטמן
¶
לא צריך - - - לפי גודל עסק. גודל המאגר לא רלוונטי בכלל. בן אדם כבר קיבל פנייה ישירה ממכם למסור מידע והוא מסרב למסור את המידע אז מה זה מעניין מבחינת איזה רציונל, השאלה אם הוא מחזיק מאגר של 100 אלף אנשים או מאגר של 10,000 אנשים אם הוא מסרב לפנייה שלכם?
ניר גרסון
¶
לא אבל בכל זאת יש הבדל. האם לא עשוי להיות הבדל כשמדובר בארגון עם מחזור של 2.80 שקלים - - -
ניר גרסון
¶
לא, לא. רגע. אני אומר שגם אם הארגון הוא קטן מאוד והמחזור שלו הוא שקל ו-80 אגורות אבל הוא מחזיק את כל מרשם האוכלוסין, 10 מיליון אנשים עם מידע מאוד רגיש, זה לא יותר חמור?
היו"ר שמחה רוטמן
¶
לא. מה שחמור זה שהוא קיבל ממך פנייה חוקית והוא מסרב לפנייה החוקית שלך. מבחינתי, תעצור אותו. לדעתי גם נתתי לך סמכויות לגרור אותו לתחנת משטרה בכל מיני סיטואציות. זה לא קשור לגודל מאגר.
ניר גרסון
¶
יש יותר דמיון לרישום מבחינת רגולציה. כשהמאגר מאוד גדול ומאוד רגיש אז הנזק על סיכול הרגולציה - - -
היו"ר שמחה רוטמן
¶
חובה רגולטורית לרישום היא דבר אחד אבל כאשר כבר יש אירוע פרטני של פנייה פרטנית ואתם כבר נכנסתם אליו לעסק לבקש מסמך והוא לא נתן לכם אז גודל המאגר הוא לא הפונקציה, מה שרלוונטי זה גודל העסק, אני מסכים. מה שרלוונטי זה זה, לא רלוונטי מה גודל המאגר שהוא מחזיק.
היו"ר שמחה רוטמן
¶
אין פה שום פגיעה בפרטיות, הוא מתנהל למופת, המאגר מידע שלו מאובטח כמו פורט נוקס אבל אתה לא באת לו בטוב אז הוא לא מסר את המסמך. לא באת לו טוב בעין, המפקח שלך עיצבן אותו ובסוף, אחרי שהטלת עליו את העיצום הזה והוא מסר לך את המסמכים, אתה גילית שבאמת לא דלף משם אפילו לא פירור. מה שהוא עשה זה שהוא פשוט לא מסר לך את המידע וזה לא בסדר, זה חמור מאוד אבל מה הקשר לגודל המאגר?
גלעד סממה
¶
ואם הטלתי עליו את העיצום הזה ובסופו של דבר, אני לא יכול לנהל עכשיו את הליך הפיקוח שלי על מאגר שהוא מאגר - - -
היו"ר שמחה רוטמן
¶
תוציא לו צו הפסקת עיבוד. מה הקשר בין גובה העיצום לגודל המאגר? אני לא מצליח להבין. אם שי לו הפרות הבטחת מידע אחרות אז תטיל עליו אלף עיצומים אחרים אבל פה מדובר רק על אי-מסירת המסמך.
היו"ר שמחה רוטמן
¶
לא, אין לזה שום משמעות. סליחה. מצטער, לא השתכנעתי. זה צריך להיות אך ורק בהתאם לגודל עסק, גודל המאגר לא רלוונטי בכלל.
גלעד סממה
¶
אני רק אומר שבמצב כזה שיש לו חשש כזה או אחר ואנחנו באים למאגר משמעותי ולא מקבלים שיתוף פעולה אז זה מיד ילך להפסקת עיבוד.
ראובן אידלמן
¶
רגע, אדוני. צריך להוסיף את זה לצו הפסקת עיבוד. אולי זה הפתרון, אם אדוני חושב שלא נכון לעשות פה מכפלות.
היו"ר שמחה רוטמן
¶
לא הבנתי אותך. אם יש לך חשש סביר שמתקיימות שם הפרות אז יש לך את ההוראות, זה לא קשור לאי-מסירה או מסירת מסמך. אם יש לך חשש סביר אז יש לך חשש סביר, אם אין לך חשש סביר אז אין לך חשש סביר.
היו"ר שמחה רוטמן
¶
אבל זה שאתה תצליח לשכנע שכתוצאה מזה שהוא מסתיר מידע או לא, זה לא קשור לגודל המאגר. שוב, גובה העיצום בהקשר הזה לא רלוונטי לגודל המאגר.
היו"ר שמחה רוטמן
¶
נכון, זה מעשה אחד, בדיד בזמן. יכול להיות שצריך לתת לו קנס לפי גודל העסק, כמו שאמרתי. זה נראה לי הרבה יותר רלוונטי.
ניר גרסון
¶
אם זה לא יהיה סכום מאוד גבוה אז כמו שנאמר בוועדה בהקשר אחר, מי שישתף פעולה איתנו יהיה שוטה.
היו"ר שמחה רוטמן
¶
או שאתם תיכנסו אליו, תעשו לו חיפוש בחצרים, תחרימו לו את המחשבים, תוציאו לו צו הפסקת עיבוד ועוד כל מיני דברים שהם סמכויות אדירות שנתתי לכם ביד. כל האקסטרפולציות האלה פשוט לא רלוונטיות לעובדה הבסיסית שאין קשר לגובה המאגר.
הכול יכול להיות אז תלכו ותמקדו אכיפה או שלא תמקדו אכיפה, תחרימו לו את המאגר או צו הפסקת עיבוד אבל אין קשר לגובה המאגר, זה לא מתכתב עם האירוע. טוב, אז (14) זה ברובריקה נפרדת ויכול להיות שהיא רלוונטית להפרות החמורות. יכול להיות שהיא צריכה לעבור ל-ד', אני לא אומר שלא אבל גם שם זה בלי קשר לגודל המאגר.
היו"ר שמחה רוטמן
¶
כרגע (14) הוא לא פה. עוד נחשוב איפה לשים אותו, זה תלוי גם בגובה העיצומים, הפחתות וכל הדברים האלה. אתם רוצים הפסקה קצרה?
היו"ר שמחה רוטמן
¶
(ד)
הפר בעל שליטה או מחזיק הוראה בקשר למאגר מידע, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום של
אמרנו שאת הסכומים נשאיר לאחר כך אבל כרגע זה פי ארבע מהסכום הבסיסי המנוי בפסקה (א)(2)
(1) לא פעל בהתאם להוראות ראש הרשות להפסיק עיבוד של ידיעה על ענייניו הפרטיים של אדם במאגר מידע, בניגוד להוראות סעיף 2.
עמית יוסוב עמיר
¶
במסמך שהעבירה הרשות יש לנו פה נוסח טיפה יותר עדכני, בהתאם לנוסח של סמכות ההוראה להפסקת הפרה של ראש הרשות שהצענו ואפשר להקריא אותו.
עמית יוסוב עמיר
¶
"לא פעל בהתאם להוראות ראש הרשות להפסיק שימוש בידיעה על ענייניו הפרטיים של אדם במאגר מידע, שלא למטרה שלשמה נמסרה או להפסיק עיבוד במידע במאגר מידע למטרה שהיא פגיעה בפרטיות לפי סעיף 2, בניגוד להוראות סעיף 8(ב)".
עמית יוסוב עמיר
¶
אני זוכר את זה, אלו סעיפים שונים. במסגרת סעיף (8) יש כמה סעיפים שונים וזה הסעיף על איך המידע התקבל למאגר.
עמית יוסוב עמיר
¶
פה אנחנו מדברים על מטרת השימוש במידע במאגר. זאת אומרת, המידע אולי התקבל כדין אבל משתמשים בו עכשיו שלא כדין. המקרה הקלאסי הוא שימוש שלא למטרה בידיעה אודות ענייניו הפרטים של אדם. אספתי אותו וקיבלתי כדין עם הסכמה - - -
היו"ר שמחה רוטמן
¶
"לא פעל בהתאם להוראות ראש הרשות להפסיק שימוש בידיעה על ענייניו הפרטיים של אדם במאגר מידע שלא למטרה שלשמה נמסרו או להפסיק עיבוד במידע במאגר מידע למטרה שהיא פגיעה בפרטיות לפי סעיף 2, בניגוד להוראות סעיף איקס, סעיף המפנה להוראה להפסקת הוראה על ידי ראש הרשות". כן, נראה לי שזה ידרוש ניסוח.
עמית יוסוב עמיר
¶
הכוונה המרכזית היא שבסופו של דבר, אנחנו מדברים על עיצום דו-שלבי כאשר מפרים את סעיף 2. ההפרה המרכזית היא כמובן הפרת סעיף 2(9) שדיברנו עליה רבות, שימוש בידיעה אודות ענייניו הפרטיים של אדם, שלא למטרה שלשמה נמסרה.
החלק השני בהפרה הוא כאשר מטרת העיבוד שנקבעה היא בעצמה פגיעה אסורה בפרטיות לפי סעיף 2. זאת אומרת, אם בילוש והתחקות אחר אדם שעלולים להטרידו זאת מטרת העיבוד שלי אז מן הסתם, כמו שאדוני קבע - - -
נעמה מנחמי
¶
רגע, החצי הראשון של המשפט הוא גם על 2(9) וגם על 8(ב) או שהוא רק על 2(9)? כי צריך להפנות, לא משנה למה.
היו"ר שמחה רוטמן
¶
כן אבל הניסוח פה הוא מאוד - - - אני הייתי אומר "עיבד מידע". זה לא לא עיבד, "עשה שימוש בידיעה על ענייניו האישיים", "עשה שימוש במאגר מידע בידיעה" - - -
היו"ר שמחה רוטמן
¶
"עיבד מידע אישי במאגר מידע למטרה של כדין, אלא אם העיבוד נעשה רק בניגוד להוראות סעיף 2, בניגוד להוראת סעיף 8(ב)". מאוד ברור. ממש לא.
ראובן אידלמן
¶
אני מסביר. בדיון הקודם אדוני סיכם את העניין, עיצום ישיר על הפרה של 8(ב) כשזאת לא הפרה של סעיף 2, זאת אומרת, לא בניגוד להסכמה או דברים כאלה. אדוני ביקש להחריג את הפרות סעיף 2 ולהגיד שצמידות מטרה בניגוד לסעיף 2 זה עיצום דו-שלבי.
אז יש לנו את אחד שהוא עיצום דו-שלבי על הפרות של סעיף 2 ויש לנו את שתיים שהוא עיצום ישיר על הפרות של צמידות מטרה שהם לא סעיף 2.
היו"ר שמחה רוטמן
¶
כן אבל בואו נדבר על האינטרס המוגן וגם על הפשטות. ראש הרשות נתן הוראה להפסיק עיבוד. הוא נתן את ההוראה הזאת שהייתה חוקית או שהייתה לא חוקית, היא נתקפה בעתירה מנהלית או שלא נתקפה בעתירה מנהלית אבל בסופו של דבר, ניתנה הוראה כדין.
נתתם הוראה להפסיק עיבוד אז למה זה מעניין אותי אם נתת את ההוראה של א' או ב'? בסופו של דבר, יש לי מאגר מידע עם איקס פרטי מידע – ופה אני כן חושב שמספר פרטי המידע הוא רלוונטי – שאתה גלעד, כראש הרשות נתת הוראה לא לעבד את המידע שבו, בין אם בגלל שהוא נוצר, נצבר או נאסף בניגוד לדין ובין אם בגלל שהוא מפר את 2(9). בסופו של דבר, העיצום פה הוא על הפרת ההוראה שלך.
היו"ר שמחה רוטמן
¶
שנייה. נתת הוראה להפסיק את העיבוד במאגר הזה כי מה שהולך שם לא חוקי. הוא יעתור נגדך או לא יעתור נגדך אבל בסופו של דבר, אני כמחזיק מאגר מתמודד עם הוראה שלך ומפר אותה. זה לא אמור לעניין אותי למה נתת את ההוראה בהקשר הזה.
יכול להיות שצריך לתת את העיצום הגבוה יותר או הנמוך יותר, אני כרגע לא יודע אם זה ב-ג' או ב-ד' אבל האינטרס המוגן הוא שכשאר אחרי כל מיצוי ההליכים הנדרש, ראש הרשות נתן הוראה להפסיק לעבד מידע במאגר מידע מסוים וצפצפו עליו אז יש עיצום. מה אכפת לי למה נתת את ההוראה?
היו"ר שמחה רוטמן
¶
תעזוב את הכסף עכשיו. אל תתווכח איתי עכשיו על הכסף, אני מדבר איתך על ניסוח ההוראה.
עמית יוסוב עמיר
¶
לא, אני מדבר על למה אכפת. אני מנסה להשיב לאדוני על השאלה "מה אכפת". כלומר, מה האינטרס המוגן פה. ברשותך, אני אקריא את הסעיף שהצענו שהוא אמור לעמוד במקור של הסעיף הזה שכרגע הוא לא בפני הוועדה ולכן לא התחלתי איתו.
עמית יוסוב עמיר
¶
כן, הוא הועבר אבל ממש בסמוך לדיון. "מצא ראש הרשות כי בעל שליטה במאגר מידע או מחזיק בו, השתמש בידיעה על ענייניו הפרטיים של אדם במאגר מידע, שלא למטרה שלשמה נמסרה, בניגוד לסעיף 2(9) או עיבד מידע במאגר מידע למטרה שהיא פגיעה בפרטיות לפי סעיף 2, בניגוד לסעיף 8(ב), רשאי הוא להודיע להם שמעשיהם מהווים הפרה ולהורות להם להפסיק אותה באופן ותוך פרק הזמן שלו".
היו"ר שמחה רוטמן
¶
על הפרת הוראת ראש הרשות, בהתאם להוראות הסעיף הזה. זה הכול. לא, חברים. העיצום שאני מוכן להטיל הוא על הפרת הוראת ראש הרשות לפי סעיף כלשהו. "עיבד מידע בניגוד להוראות ראש הרשות שניתנו לפי סעיף איקס".
היו"ר שמחה רוטמן
¶
אז אל תיתנו צווים כאלה כשזה לא חמור. מה אתה רוצה ממני? כאשר אנחנו בעולם של דו-שלבי אתם תעשו את האיזונים כמה שאתם רוצים לפני שאתם נותנים את ההוראה בין אם זה דו-שלבי, התראה, יש לו זכות טיעון, אין לו זכות טיעון, יעתור, יערער ויעשה מה שהוא רוצה. ברגע שנתתם את ההוראה אז האינטרס המוגן שלי הוא שיקבלו את הוראות שלכם.
היו"ר שמחה רוטמן
¶
ההפרה מאוד חמורה. אתה חושב ששניהם צריכים להיות ב-4? צריך למצוא באמצע פי שלוש או פי שתיים.
היו"ר שמחה רוטמן
¶
אני מסכים שגודל המאגר יכול להיות רלוונטי אבל השאלה האם זאת הוראה שניתנה בגלל שהמידע נצבר או נאסף שלא כדין או בגלל שהמידע הוא בניגוד ל-2(9), גם לא מחזיקה מים וגם מייצרת מציאות שבה כל ההוראות נוצרו שוות רק שיש שוות יותר ויש שוות פחות.
ראובן אידלמן
¶
אדוני מציע פשוט לקבץ את כל ההוראות האלה ביחד, את כל ההפרות שהן על פי הוראות ראש הרשות.
היו"ר שמחה רוטמן
¶
הפרה של הוראת ראש הרשות להפסקת - - - עיבד מידע בניגוד להוראת ראש הרשות שניתנה לפי סעיף איקס.
איה מרקביץ'
¶
האם אנחנו לא עוקפים בהכרח את צו הפסקת העיבוד שהולך דרך בית משפט כשאתם מפרשים מה היה מטרה שלא נמסרה?
איה מרקביץ'
¶
אתם מבינים עכשיו את הבעיה בסעיפים של צמידות מטרה שאינם מגדירים מה היא מטרה מותרת ואיך מזהים את המטרה המקורית?
סוריא בשארה
¶
אני חושבת שאין באמת מניעה לקחת בחשבון את חומרת ההפרה הבסיסית במסגרת קביעת העיצום על הפרת הוראת הממונה כי אם היינו בעולם שאפשר היה - - -
היו"ר שמחה רוטמן
¶
אין בעיה, אז תייצרו לי שני סעיפים של הפרת ממונה ותעשו עיצום כספי א' ועיצום כספי ב'. אני לא נכנס - - -
היו"ר שמחה רוטמן
¶
אם אתם חושבים שאתם צריכים שתי רמות אז זה בסדר, אין לי בעיה. תעשו א' ו-ב' ותגידו "הפר הוראה לפי סעיף 10(א)". לא היה 10(א) אז 11(ג)ד, זה לא מעניין אותי.
היו"ר שמחה רוטמן
¶
הרעיון הוא שכאשר ניתנה הוראה שכזאת, ככול שהיא חוקית, ככול שהיא לגיטימית וככול שעשינו אותה דו-שלבית מסיבותינו הטובות, בשנייה שאתה פעלת בניגוד להוראה הזאת אז צריך שיהיה לך עיצום כספי. זה מובן וזה הגיוני. העיצום הכספי הזה הוא פונקציה ואפשר גם לדבר על זה שהוא פונקציה של גודל מאגר וגודל עסק.
אתם רוצים לעשות שניים? אין בעיה, זה יהיה שניים אבל אני לא נכנס מתחת למכסה המנוע של זה. יהיה הפרת הוראת הפסקת - - - זה לא נקרא הוראת הפסקת עיבוד. השאלה היא איך תראה הוראה כזאת.
עמית יוסוב עמיר
¶
לא, אלה שני דברים שונים. פה, זה בסך הכול שהעיצום הופך מחד-שלבי לדו-שלבי כדי שיהיה אפשר - - -
היו"ר שמחה רוטמן
¶
זה מובן אבל אני שואל אותך עכשיו שאלה אחרת – יותר נכון, הם שואלים אותך שאלה אחרת ואני משמש להם כפה – נוכחת שבמאגר מידע מסוים הופרה הוראת ההסכמה ועומדת בפניך שתי אפשרויות. אפשרות אחת היא שאתה בגדרי צו הפסקת עיבוד, מותר לך לפנות לבית המשפט ולבקש הפסקת עיבוד, לרבות מחיקת המאגר כי הופרה הוראה מסוימת.
אפשרות שנייה היא ללכת למקום ולתת הוראה בהתאם לסעיף כלשהו – עוד לא נתנו לו את המספור – כדי להגיד לו להפסיק את ההפרה. מתי אתה הולך למסלול הראשון ומתי אתה הולך למסלול השני?
ראובן אידלמן
¶
אחד השיקולים בהסדר צו הפסקת עיבוד שהוועדה אישרה הוא שבית המשפט צריך לראות שאין אמצעי אחר שפגיעתו פחותה למניעת ביצוע ההפרה אז יש מדרג.
היו"ר שמחה רוטמן
¶
זאת אומרת שיש לי הגנה דיונית בבית משפט והאמצעי שפגיעתו פחותה הוא שאני אתמודד מולך.
ראובן אידלמן
¶
לא, אם אנחנו נתנו הוראה - - - כל ההסדר של צו הפסקת עיבוד נועד למצבים בהם אנחנו נותנים הוראות והמפוקח לא מקיים אותם. ברור שאנחנו קודם - - -
היו"ר שמחה רוטמן
¶
תבין שאנחנו יצרנו פה משהו מצחיק. אם אתה פונה לבית משפט כדי לבקש ממני צו הפסקה אז יש לי זכות טיעון בפני בית משפט ואתה צריך להראות שהולכת להיות הפרה, יש עליך כל מיני הליכים ונטל. להבנתי, בכל מקרה שבו אתה חושב שיש לך עילה לפנות לבית משפט, אתה יכול לתת צו שכזה שעליו אני יכול רק לעתור ואז אני במציאות משפטית מופחתת כי לך עומדת חזקת התקינות המנהלית וכל הדברים שעומדים לך - - -
היו"ר שמחה רוטמן
¶
שנייה. אם אני לא מסכים איתך בנושא הזה, אני אפילו לא יכול לגרור אותך לבית משפט בדה נובו. זאת אומרת, אני לא יכול להגיד לך להתקדם לצו הפסקת עיבוד. זאת בחירה שלך נטו וזאת חפיפה זהה של המקרים. אין מקרה שהולך לצו הפסקת עיבוד שאתה לא יכול להחליט לגביו שאתה הולך להליך המנהלי הזה קודם ואני עומד עם הלשון בחוץ.
ד"ר עמרי רחום טוויג
¶
גם אין משמעות לעיצום דו-שלבי אם בשלב הראשון אין בחינה מהותית של תקינות או נכונות ההחלטה.
ראובן אידלמן
¶
אני אזכיר למה מלכתחילה יש מצבים שהם בעיצום דו-שלבי. קודם כול, יש את הנושא של ההגנות, כל הטענות האלה הן טענות שעולות מול הרשות.
ראובן אידלמן
¶
אם רוצים לעתור אחרי זה על השלב הראשון אז עותרים על השלב הראשון אבל ככה עובדים כל הרגולטורים, אדוני. אנחנו לא ממציאים פה משהו חדש. הוראה לתיקון ליקויים או הוראה להפסיק הפרה זאת סמכות טריוויאלית לגמרי, אנחנו לא יוצרים פה משהו חדש.
היו"ר שמחה רוטמן
¶
יש הוראה להפסיק הפרה כאשר ההפרה היא ברורה ויש clear cut אבל יש מקרים שבהם ההפרה היא לא ברורה ו-clear cut.
עמית יוסוב עמיר
¶
אדוני, אפשר להסביר את הרציונלים השונים כי אני חושב שאיכשהו זה נראה כאילו הכול אותו דבר וזה בכלל לא אותו דבר, אלה שני מקרים שונים לחלוטין בפרדיגמה. אחד צופה פני עבר ואחד צופה פני עתיד.
על פניו, באירוע רגיל בו הרשות להגנת הפרטיות מצאה שנעשה שימוש שלא כדין במידע זה סותר את סעיף 2 אז זאת יכולה להיות עבירה פלילית וחל המסלול המנהלי של העיצומים. אם היא הטילה עיצום אז זה ברור שהעיבוד פה הפסיק ומדברים עכשיו על מה העיצום צופה פני עבר שהגוף צריך לשלם כדי שההפרות האלה לא יהיו יעילות. הצו השיפוטי הוא צופה פני עתיד. הוא בא לתת מענה לנושא שנדון בדיונים הראשונים של הוועדה, אם אתה זוכר.
היו"ר שמחה רוטמן
¶
אבל כבר אמרת משהו לא נכון. אין לך מה לעלות לשלב ג' כששלב א' שלך לא נכון. אם נעשו עבירות מהותיות אז תטיל עליהן את העיצום הכספי. יש לך אפשרות להטיל עיצום כספי על זה שנעשו בעבר הפרות מהותיות. אם אין לך הפרות מהותיות שנעשו בעבר אז אל תטיל עיצום כספי.
עכשיו אתה אומר משהו אחר. כאשר אני חושב שיש הפרות שהן גם נמשכות, אני נותן הוראה להפסיק מכאן ולהבא. העיצום הכספי פה הוא על הפרת ההוראה שנתת מכאן ולהבא, לא על העבר. עכשיו נשאלת השאלה לגבי זה, לא באופן כללי. לגבי זה, מה ההבדל בין מכאן ולהבא של בית משפט למקרה של מכאן ולהבא של עיצום כספי.
השאלה היא האם באמצעות מכאן ולהבא של עיצום כספי, אתה לא מייתר לי את ההליך המשפטי של צו הפסקת עבודה או צו הפסקת עיבוד. בכל מקרה שבו תבוא לצו הפסקת עיבוד ועומדות לי איקס הגנות דיוניות אז אתה תגיד "למה לי ללכת למסלול הזה?". כמעט בכל מקרה של צו הפסקת עיבוד אתה תוכל לבוא ולעשות את זה דרך ההוראה הזאת, בהליך מנהלי וזה צופה פני עתיד, זה לא צופה פני עבר.
זה לא על הפרה שכבר בוצעה, ההפרה שבוצעה ושאתה מבקש עליה את העיצום היא שאני לא מקשיב לך, שאני חולק עליך וחושב שהאנשים שנכנסו אלי לחנות כן נתנו הסכמה שאני אפנה אליהם בדיוור ישיר ואנסה לשווק להם את המשקפיים היפות שאני מוכר. יש לי איתך מחלוקת על זה ואתה אומר "מכאן ולהבא תפסיק לעשות את זה" ואני אומר "לא אבל מותר לי לעשות את זה". במקום ללכת לבית משפט ולשכנע אותי שאני טועה או לשכנע אותו שאני טועה ולתת לי צו אז אתה אומר לי "אין בעיה, אתה טועה וכל יום שאתה לא תקשיב לי זה 80 אלף שקלים".
היו"ר שמחה רוטמן
¶
הכול טוב, אני מוכן שתיתן הוראה. אני לא רוצה לקחת לך את היכולת לתת הוראה אבל אם היא הופרה לדעתך אז תלך למסלול של צו הפסקת עיבוד, אל תלך למסלול של עיצום כספי. אין לי בעיה שאתה תיתן הפרה.
היו"ר שמחה רוטמן
¶
אפשר גם לעשות אחרת. אפשר שאתם תעשו את זה בדו-שלבי, תשלחו את הדבר הזה וזה יהיה בידיים של הבן אדם אם הוא מתווכח איתכם או לא. אם לא אז יראו בשלב הראשון הזה כאילו אתה הולך לבית משפט, כאילו אתה בבקשה לצו הפסקת עבודה אבל דה נובו.
היו"ר שמחה רוטמן
¶
או ערעור דה נובו אבל לא יתכן מצב בו אם אתה הולך למסלול של צו הפסקת עבודה אז עומדת לי הגנות מסוימות ואז אתה תלך לעיצום כספי שכביכול זה הקל יותר אבל הנזק עבורי – בייחוד עם סכומי העיצומים שאתם מדברים עליהם ובייחוד אם זה פי ארבע מהסכום הבסיסי – הוא פי אלף יותר גדול מאשר אם אני אתווכח עם בית משפט על צו הפסקת עבודה או עיבוד.
היו"ר שמחה רוטמן
¶
אני אשמח שתראה לי אצל כל הרגולטורים חוק כל כך עמום שחל על כל כך הרבה אנשים שבו השאלה שהרגולטור צריך להכריע לגביה כשהוא נתן את צו הפסקת העבודה זאת שאלה של גבולות ההסכמה - - -
היו"ר שמחה רוטמן
¶
ויש התקיימות הגנות או אי-התקיימות הגנות וכל זה בהליך שחזקת התקינות המנהלית נגדי. תראה לי את זה. אולי יש אבל אני לא מכיר ולכן אני אומר שבסיטואציה שבה על הפרת ההוראה הזאת אנחנו נמצאים במסלול של עיצום כספי או ולא במסלול של ערעור דה נובו או שאם אמרתי לך לא אז אתה תחליט האם אתה הולך לבית משפט - - -
היו"ר שמחה רוטמן
¶
או לחקירה פלילית או למה שבא לך. פה בסופו של דבר, אתה מטיל עיצום כספי על הביטוי "because I said so". למה אני צריך לשלם עיצום כספי? כי אני אמרתי לך שמה שאתה עושה זה אסור, לא כי זה כתוב בחוק, לא כי יש הוראה שהיא Clear cut ולא בגלל כל המודל של עיצום כספי - - -
שחף קצלניק
¶
אתה לא יודע - - - לבצע קדימה, הוא מדבר איתך על פעולות שאתה מבצע קדימה. איך אתה יכול לדעת אם אני הולך להפר אותן?
ד"ר עמרי רחום טוויג
¶
עתירה מנהלית לא נותנת את הבירור הזה לגופים של עניין, עתירה מנהלית לא נותנת את זה.
היו"ר שמחה רוטמן
¶
טוב, חברים. הנקודה ברורה. אני חושב שעל הנושא של הפרת הוראה, דווקא בגלל הניתוח שאתה אמרת על ההבדל בין עבר לעתיד, אם מצאתם הפרות מהעבר אז תטילו עליהן עיצום כספי על העבר ואני נותן לכם יד חופשית בנושא. אם אנחנו מדברים על צופה פני עתיד זה מתכתב מאוד עם צו הפסקת עיבוד, זה לא מתכתב עם עיצומים כספיים.
ניר גרסון
¶
אם יורשה לי להתייחס להבחנה הזאת, הדו שלבי הוא רק צופה פני עתיד כדי להקל עם המפוקחים. למעשה, אלה מקרים שבהם הייתה הפרה קודם ומפאת עמימות מסוימת אז ההצעה מציעה לעשות את זה בדו-שלבי למרות שזאת הייתה אמורה להיות מלכתחילה הפרה - - -
ניר גרסון
¶
לא, אני אומר שהמנגנון הזה של דו-שלבי, נועד להקל עם המפוקחים למרות שמהותית, אלה מקרים שבהם לפי הפרשנות שלנו, זאת הייתה צריכה להיות הוראה ישירה מלכתחילה. זה צופה פני עבר אבל מכיוון שיש עמימות מסוימת אז אנחנו מבינים את המגבלות ואומרים שרק מכאן והלאה.
היו"ר שמחה רוטמן
¶
עמימות מסוימת היא לא מהותית. אם יש עמימות מסוימת זה עניין מציאותית, או שיש עמימות מסוימת או שאין עמימות מסוימת. אם יש עמימות מסוימת אתה לא עושה לי טובה שזה דו-שלבי בזה שאתה לא מטיל עלי עיצום כספי.
ראובן אידלמן
¶
כי אתה לא ישר מקבל עיצום. הוועדה פשוט מרוקנת מתוכן את יכולת האכיפה על הסעיף הכי חמור. אנחנו דיברנו על זה שוב ושוב - - -
ראובן אידלמן
¶
אני מבקש להתייחס. אנחנו התחלנו מעיצום ישיר, ירדנו לעיצום דו-שלבי שהסכמנו אליו אחרי כמה דיונים ועכשיו אנחנו נשארים בלי עיצום בכלל על ההפרה הכי חמורה של החוק. אני אומר שוב שאנחנו בהצעת חוק שתכליתה העיקרית היא לחזק את יכולת האכיפה והוועדה פשוט מרוקנת מתוכן את יכולת האכיפה של ההפרה הכי חמורה בחוק. זאת המשמעות.
היו"ר שמחה רוטמן
¶
יכול להיות שההצעה היא באמת ערעור דה נובו, זאת גם אפשרות. הכוונה היא שלא יהיה על זה רק עתירה מנהלית. יצרנו פה סיטואציה שבה גם ההחלטה של מה הדין החל, מה ההסכמה, מה ההפרה ומה תיקון ההפרה, הכול בין אוזניך, של ראש הרשות. הכול פה.
אם בסיטואציה הזאת אתה תגיד שאני אקבל צו שהוא יהיה צו מנהלי ולא צו שיפוטי – כי בצו שיפוטי יצרנו מסלול ואז ממילא, אין דו-שלבי ואין חד-שלבי. אם הפרת צו שיפוטי אז אין בעיה ואתה תקבל את החמור ביותר – אז תיתן לי את האפשרות לערער על ההודעה הזאת בלי חזקת תקינות מנהלית כשכל הטענות שמועות לי כדי שבית המשפט יבדוק את העניין מהותית ואז אין לי בעיה ואני מוכן. מי שלא יהיה לו קייס וזה נועד באמת בשביל להבחין את העמימות אז נתקדם ומי שלא אז לא.
היו"ר שמחה רוטמן
¶
חברים, יש לי הצעה. (3) זה פשוט.
(3) בעל שליטה במאגר מידע או מחזיק במאגר שהשתמש במידע בלא הרשאה של בעל השליטה במאגר המידע, או בחריגה מהרשאה כאמור, בניגוד להוראות סעיף 8(א2).
קראנו לזה "גניבת מאגר" וזה clear cut. זאת הפרה חמורה וזה הגיוני שגודל מאגר הוא רלוונטי לה.
ד"ר עמרי רחום טוויג
¶
בעל שליטה לא יכול להשתמש בלא הרשאה של בעל השליטה, זה אלוהים והסלע שהוא לא יכול להרים.
היו"ר שמחה רוטמן
¶
הסיטואציה פה היא גניבת מאגר. אם יש כמה בעלי שליטה אז זה יכול להיות אחד מהם. אם זה מישהו מטעמו של בעל השליטה אז אפשר לכתוב "בעל שליטה או מי מטעמו" אבל הרעיון פה הוא שזה סעיף גניבת המאגר שאומר שאם לקחתי מאגר מידע שלם והשתמשתי בו - - -
עמית יוסוב עמיר
¶
ההוראה הנורמטיבית היא על אדם, העיצומים תמיד מוטלים על בעל שליטה או מחזיק. אנחנו לא מטילים עיצומים על אדם - - -
עמית יוסוב עמיר
¶
נכון. אדוני, אנחנו עקרונית מסכימים אבל מעשית, מודל העיצומים לא בנוי לחול על אדם פרטי.
היו"ר שמחה רוטמן
¶
לא אבל כל אדם שגנב מאגר מידע, הוא לא בעל השליטה, הוא לא המחזיק הוא גנב את מאגר המידע.
עמית יוסוב עמיר
¶
אז פה יש את הכלי הפלילי אבל אנחנו לא יודעים להפעיל את הכלי של העיצום הכספי על אדם פרטי.
היו"ר שמחה רוטמן
¶
אבל דווקא פה זה צריך להיות אדם, בניגוד לכל הסעיפים האחרים. זה יכול להיות עובד וזה יכול להיות עובד שפוטר אבל מה שהוא עשה פה זה לקחת מאגר מידע ומחזיק אותו או משתמש בו בחריגה מהרשאה. זה יכול להיות קבלן חיצוני או DPO.
היו"ר שמחה רוטמן
¶
לכן דווקא "בעל שליטה" פחות מתאים פה. "אדם שהשתמש במידע ללא הרשאה של בעל השליטה או של המחזיק במאגר המידע או בחריגה מהרשאה כאמור, בניגוד להוראות סעיף 8(א2)".
ראובן אידלמן
¶
מה אדוני סיכם לגבי הסוגייה הקודמת? ההצעה שעל השולחן זה שבמסגרת העתירה, בית המשפט ידון דה נובו? אני רק מחדד שזה לא ערעור, זאת עתירה מנהלית - - -
ראובן אידלמן
¶
מה שלא סגרנו זה לגבי הטלת עיצום כספי, כאן אנחנו בהחלטה להורות על הפסקת הפרה ועל זה אין שאלה שזאת עתירה מנהלית כמו כל החלטה מנהלית.
היו"ר שמחה רוטמן
¶
אנחנו נדון בהמשך במינוח עתירה, עירור או מה הפרוצדורה לעשות את זה והאם זה נעשה בבית משפט שלום או בבית משפט מחוזי או בכל מקום אחר. הנושא הוא מהותי ולסעיף הזה יש הגיון רק אם כאשר האדם מקבל את ההודעה הראשונה, יש לו ערכאה שיפוטית כלשהי שאיננה הרשם ובפניה הוא יוכל לשטוח את טענותיו דה נובו.
איך זה יעשה? ערעור, עתירה, בית משפט שלום, בית משפט מחוזי או בית דין רבני, בזה אנחנו נדון בהמשך. כרגע, זאת הנקודה המהותית שחשובה. אם זה מקובל אז אפשר להתקדם. אני חושב שזה נכון.
ראובן אידלמן
¶
מבחינתי, ברור שזאת עתירה מנהלית אבל אפשר לדון בזה אחר כך. זה לא כמו עיצום כספי ששם עוד יש סוג של מחלוקת שהוועדה צריכה להידרש אליה, פה זאת החלטה מנהלית רגילה של ראש הרשות ולכן היא תמיד נתקפת בעתירה מנהלית. לאורך כל החקיקה בישראל אין משהו. אם ההצעה של אדוני היא שבית המשפט ידון - - -
היו"ר שמחה רוטמן
¶
סליחה. על החלטה שהיא שלב ראשון של עיצום כספי, יש ערעור מנהלי. ככה זה קיים כשיש דו-שלביות וההחלטה פה היא שלב א' של עיצום כספי. אני אפילו זוכר שהתמודדתי עם עיצום כספי בבית משפט שלום על החלטה על הודעה על כוונת חיוב.
היו"ר שמחה רוטמן
¶
כשאת עושה את זה בדו-שלבי אז הפירוש זה "שלחתי לך הודעה ואם אתה לא תציית לה אז אני אטיל עליך עיצום", זה משמעות העניין.
ראובן אידלמן
¶
בין כה וכה ההצעה של הוועדה היא שבית המשפט ידון לפי עילות דה נובו ולא לפי עילות הביקורת השיפוטית?
היו"ר שמחה רוטמן
¶
(2) עיבד מידע אישי במאגר מידע למטרה שלא כדין, אלא אם העיבוד נעשה רק בניגוד להוראות סעיף 2, בניגוד להוראת סעיף 8(ב).
לא, זה מתוך - - -
היו"ר שמחה רוטמן
¶
שימוש שלא למטרה כאשר הוא לא היה יכול לתקן את המטרה. זאת לא הפרה רישומית, זאת הפרה מהותית.
היו"ר שמחה רוטמן
¶
לא, דווקא זה פשוט. יש לי סיטואציה שבה בן אדם שינה את מטרות המאגר שלו ופעל בהתאם למטרות המאגר שלו אבל זה לא היה חוקי. בסיטואציה שכזאת, אני לא יודע לבוא אליו בטענות על זה שהוא לא פעל בהתאם למטרה אבל ראש הרשות יוציא לו הודעה ויגיד לו "אתה שינית את מטרות המאגר או כתבת מטרות למאגר שלך שהיה אסור לך לכתוב כי כל איסוף המידע שלך הוא בעייתי כי זה בניגוד ל-2(9)" ואז על זה יהיה ערעור דה נובו – ערעור או עתירה דה נובו, לא משנה – ועל ההפרה של זה יהיה עיצום לפי א'.
יש מקרה שבו האדם רשם את המאגר כדין והמטרות רשום כדין אבל הוא השתמש במאגר המידע למטרות שאסור לו להשתמש בהן. פה אני לא צריך לחכות שראש הרשות ייתן לו הוראה - - -
היו"ר שמחה רוטמן
¶
לא, כי הוא השתמש למטרה בניגוד למטרות המאגר. אם זאת הייתה הפרה טכנית והוא היה יכול לשנות את מטרות המאגר ופשוט לא עשה את זה אז שמנו אותו ברובריקה נפרדת אבל אם זאת באמת מטרה לא חוקית - - -
היו"ר שמחה רוטמן
¶
אני לא צריך להגיע למודל הדו-שלבי כי הוא הפר את מה שהוא כתב בעצמו. הוא כתב שמטרות המאגר הן דיוור ישיר והוא מכר את המידע לאיראנים אז אני לא צריך להתפלפל איתו אם מכירת המידע לאיראנים היא לגיטימית או לא ובגבולות ההסכמה או לא.
ד"ר עמרי רחום טוויג
¶
כלומר, זה רק כאשר יש מקור חיצוני אחר שאומר או קובע הוראת איסור שימוש במידע והיא מפורשת, היא לא שאלה.
עמית יוסוב עמיר
¶
שהן לא 2 בכלל, נכון. הוראות אחרות בדין שהן מפורשות ואוסרות על עיבוד המידע למטרה הזאת. זה לא משנה אם הוא רשם או לא רשם כי הוא לא היה יכול לרשום לפי דין. אני מזכיר לאדוני - - -
היו"ר שמחה רוטמן
¶
לא, ההנחה היא שכאשר הוא רשם הוא חשב שזה כן חוקי כי אחרת הוא לא היה רושם את זה. זאת ההנחה.
היו"ר שמחה רוטמן
¶
אבל יכולה להיות הוראה אחרת בחוק. לצורך העניין, תיקחי את מידע המרשם הפלילי. אם קיבלתי מידע מהמרשם הפלילי למטרות מסוימות אז אסור לי לעשות בו שימוש לשום מטרה אחרת וזה לא קשור להסמכה או אי-הסכמה וזה לא קשור להתפלפלות. אם הלכתי ועשיתי שימוש במטרה שלא כדין אז הפרתי גם אם רשמתי את מטרות המאגר.
היו"ר שמחה רוטמן
¶
אם ההפרה שלי היא רק זה שלא רשמתי ועדכנתי את מטרות המאגר אז זה גם דין ונתנו לזה סעיף אחד, אם ההפרה שלי היא שתיים אז הלכנו למודל הדו-שלבי ואם זה כל הפרה אחרת שהיא בניגוד לדין אז אני פה.
איה מרקביץ'
¶
סליחה אבל באיזה אופן הרשות ניצבת בעמדה עדיפה להאריך את ההפרה של דין חיצוני לעניין עיבוד של המידע?
היו"ר שמחה רוטמן
¶
אנחנו נצא להפסקה. אני ממליץ שבזמן ההפסקה תחדדו את מה שצריך חידוד ותשתמשו בזמן הזה לכל מטרה כשרה כדין אחרת, שנרשמה או שלא נרשמה. אנחנו נשוב ונתכנס בשעה 12:40 ואשמח שעד אז תלבנו בינכם את הטעון ליבון.
(הישיבה נפסקה בשעה 12:10 ונתחדשה בשעה 12:40.)
היו"ר שמחה רוטמן
¶
שבנו. השארנו לדיון את נושא הסכומים, אני מציע שנדבר על ההפחתות ואז ממילא גם הסכומים יהיו בקונטקסט הנכון.
סוריא בשארה
¶
לפני כן דיברנו על השימוש בחריגה מהרשאה ואם זה בעל שליטה או אדם ואתה אמרת שזה יכול לחול על עובד או על אדם פרטי ולא על גורם מפוקח. שוב פעם, מודל העיצומים הכספיים חל רק על גופים מפוקחים ולכן מבחינתנו, אם עובד הפר את ההרשאה ועשה שימוש ללא הרשאה זה משהו שהוא צריך להיות מנותב לפלילי. זה חלק מכל מערך האיזונים.
היו"ר שמחה רוטמן
¶
תעזבי אם הוא יהיה כתוב או לא יהיה כתוב. אחרי שהוא גנב את המאגר הוא בעל שליטה במאגר.
סוריא בשארה
¶
אפשר להבהיר שזה בעל שליטה אחר. הדוגמה שנתנו מקודם זה סוכן ביטוח שאוסף ומקים מאגר משל עצמו ללא הרשאה ועושה שימוש לאותה מטרה. זאת התנהגות שיש הצדקה להטיל עליה עיצום כספי.
ד"ר עמרי רחום טוויג
¶
אבל אז הוא פשוט מקים מאגר שלא כדין, מה המשמעות של החריגה מהרשאה כאן, אם זה של בעל שליטה אחר?
נעמה גורני לר
¶
לא, כי אולי הייתה לו הרשאה ספציפית. הייתה לו הרשאה מסוימת ובדרך לא דרך הוא השיג הרשאה רחבה יותר.
ראובן אידלמן
¶
לא, לא. זה משהו אחר. דוגמה אפשרית לסעיף הזה זה מישהו שעובד בחברת ביטוח, לוקח מידע מחברת הביטוח ואז משתמש בו כדי למכור ביטוח אז זה לא שימוש בניגוד למטרה מכיוון שהמטרה היא אותה מטרה אבל הוא חורג מההרשאה שהייתה לו בכדי לעשות שימוש אחר. זאת אחת מהסיטואציות שמכוסות בסעיף הזה ואז העיצום יוטל עליו. יכול להיות שבינתיים הוא כבר בעל שליטה במאגר חדש, בסדר? ממש לא כל קשת המקרים שהסעיף הזה מכסה נכנסים ל-8(א2).
היו"ר שמחה רוטמן
¶
כן, הבנתי. השאלה היא אם הביטוי יהיה "בעל השליטה במאגר מידע או מחזיק במאגר שהשתמש במידע בלא הרשאה או בחריגה מהרשאה כאמור, בניגוד להוראות סעיף 8(א2)". בלי המילים "של בעל השליטה"?
סוריא בשארה
¶
אני חושבת שבעל השליטה צריך לקבל ביטוי ברישה ואז זה יחול בהתאם לנסיבות או לבעל שליטה או למחזיק או בהגדרה עצמה.
היו"ר שמחה רוטמן
¶
לא אבל מהבחינה המהותית, אם אנחנו נכתוב פה אדם זה בסדר גמור. למה? כי האדם הזה הוא למעשה, בעל שליטה אז מהבחינה המהותית, דעתך צריכה להיות נוחה מהעניין. זה לא אמור להפריע לך. המינוח הזה נורא מסורבל ולכן אני מציע שיהיה כתוב "אדם שהשתמש במידע בלא הרשאה של בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור, בניגוד להוראות סעיף 8(א2)".
תופיע המילה אדם ובהגדרה, כל מי שנכנס להגדרה הזאת הוא בעל שליטה או מחזיק כי לפי הגדרות בעל שליטה ומחזיק אני לא צריך לכתוב את זה פעמיים.
היו"ר שמחה רוטמן
¶
בסדר, או-קיי. בואו נדבר עכשיו על תקנות ההפחתה ואז ממילא - - - איפה שכתבת פה תוספת זה בעצם התקנות?
נעמה מנחמי
¶
כן, מאחר שבמהלך הדיונים הייתה הצעה של הוועדה שאני חושבת שהממשלה קיבלה אותה, לשים את ההוראות שהיו אמורות להיות בתקנות ההפחתה במסגרת תוספת לחוק כדי שהחוק יוכל להיכנס לתוקף כבר - - -
היו"ר שמחה רוטמן
¶
טוב.
הפחתה בשל התנהגות המפר
1.
הממונה רשאי להפחית למפר את סכום העיצום הכספי, בהתקיים נסיבה מהנסיבות כמפורט בפסקאות שלהלן ובשיעור כמפורט לצדה:
(1) בשלוש השנים שקדמו להפרת ההוראה שבשלה מוטל על המפר עיצום כספי, לא הוטל עליו עיצום כספי או אמצעי אכיפה מינהלית לפי פרק... לחוק, בשל הפרת אותה הוראה –10%, ואם, בחמש השנים שקדמו להפרה, לא הוטל על המפר עיצום כספי או אמצעי אכיפה מינהלית כאמור בשל הפרת כל הוראה לפי החוק – 20%;
זה הפחתת ה-first strike. זה עם איזושהי תקופת התיישנות, אם זאת פעם ראשונה.
(2) המפר הפסיק את ההפרה מיוזמתו ודיווח עליה לממונה –30%;
(3) המפר נקט פעולות למניעת הישנות ההפרה ולהקטנת הנזק, להנחת דעתו של הממונה – 20%.
באיזשהו שלב אתם תצטרכו להחזיר לו כסף.
היו"ר שמחה רוטמן
¶
כן, כן.
הפחתה בשל נסיבות אישיות
2.
ראה הממונה, לגבי מפר שהוא יחיד, שההפרה נגרמה בשל נסיבות אישיות המצדיקות הפחתה של העיצום הכספי או שהתקיימו נסיבות אישיות קשות המצדיקות שלא למצות את הדין עם המפר, רשאי הוא להפחית למפר את סכום העיצום הכספי המוטל על המפר בשיעור של 20%.
הפחתה בשל כמה נסיבות
3.
התקיימו לגבי מפר כמה נסיבות כאמור בתקנות 1 ו-2 רשאי הממונה להפחית למפר מסכום העיצום הכספי המוטל עליו את השיעורים המנויים לצד אותן נסיבות, במצטבר, ובלבד ששיעור ההפחתה המצטבר לא יעלה על 70% מסכום העיצום הכספי.
היו"ר שמחה רוטמן
¶
זה כדי שלא תצטרכו להחזיר כסף, בסדר גמור. עכשיו יש מחזור עסקאות.
הפחתה בשל התחשבות במחזור עסקאות
4.
(א) מצא הממונה שסכום העיצום הכספי המוטל על המפר, בין שהופחת לפי תקנה 1 או 2 ובין שלא הופחת כאמור, עולה על 5% ממחזור העסקאות של המפר, רשאי הוא להפחית את סכום העיצום הכספי ל- 5% ממחזור העסקאות שלו.
זאת אומרת, בשביל תקנות האבטחה אתם כן יודעים לקרוא דוחות כספיים.
ראובן אידלמן
¶
נטל ההוכחה היה עליו וזה מוסדר כאן גם מבחינת היכולת שלנו לקבל את הדוחות. אני מזכיר שאין לנו היום סמכות דרישת ידיעות ומסמכים על הדברים האלה אז זה מוסדר כאן. זה אחרת וכאן אנחנו מוכנים לקבל את זה. זה סטנדרטי וזאת תבנית שקיימת גם במקומות אחרים אז זה מקובל אלינו, על פי פנייה של המפוקח אבל לא בכל תיק ולא מתחילת התיק, אדוני. זה הבדל.
היו"ר שמחה רוטמן
¶
בסדר, אנחנו יכולים למצוא משהו ביניים. בכל מקרה, זאת הפחתה בשל התחשבות במחזור עסקאות. 5% זה לא גבוה מידי או נמוך מידי?
נעמה מנחמי
¶
אבל מחזור עסקאות לא בהכרח מלמד על הרווחים השנתיים של עסק. אני בטוחה שיש שונות מאוד גדולה - - -
נעמה מנחמי
¶
ברווחיות העסק ביחס למחזור העסקאות שלו בענפים שונים. יכול להיות שמחזור הרווחים של עסק אחד הוא 2% ממחזור העסקאות ולעסק אחר זה 20%. אולי עסק אחד הוא 0.05% ממחוזר העסקאות.
נעמה מנחמי
¶
זה נכון אבל מן הסתם, החשש שלכם צריך להיות מסטייה כלפי מטה ושלנו מסטייה כלפי מעלה. אנחנו לא היינו רוצים שעסק יתמוטט מ-5% או שזה יהיה הרווח השנתי שלו לשלוש שנים כי אני לא בטוחה שזאת הכוונה.
היו"ר שמחה רוטמן
¶
תכף נדבר על זה. מה שלא ברור לי זה האם כשכתוב "בין שהופחת ובין שלא הופחת" הכוונה היא לפני ההפחתה או אחרי ההפחתה?
היו"ר שמחה רוטמן
¶
לא, לא. בואו נניח שאנחנו צריכים להטיל על בן אדם עיצום כספי בשווי 100 אלף שקלים ומסתבר ש-100 אלף שקלים זה עובר את ה-5% שלו ובנוסף, יש לו גם עבר נקי ונסיבות אישיות אז האם אני בודק את ה-5% על גובה העיצום או רק על גובה העיצום לאחר ההפחתה?
היו"ר שמחה רוטמן
¶
טוב.
(ב) מפר המבקש הפחתה של סכום העיצום הכספי לפי תקנה זו, יגיש לממונה אישור לעניין גובה מחזור העסקאות שלו, בתוך 30 ימים ממועד מסירת ההודעה על כוונת חיוב.
(ג) בתקנה זו –
"אישור לעניין גובה מחזור העסקאות" – כמפורט להלן, לפי העניין:
(1) לעניין מפר החייב לפי דין במינוי רואה חשבון מבקר כהגדרתו בחוק החברות, התשנ"ט – 1999 – אישור שנתן רואה החשבון המבקר;
(2) לעניין מפר שהוא אגודה שיתופית – אישור של מי שביקר את חשבונותיה של האגודה השיתופית לפי סעיף 20 לפקודת האגודות השיתופיות;
(3) לעניין מפר אחר – אישור שנתן רואה חשבון או אישור שנתן יועץ מס מייצג כהגדרתו בחוק הסדרת העיסוק בייצוג על ידי יועצי מס, התשס"ה – 2005, כי גובה מחזור העסקאות שהציג המפר תואם לאמור במסמך שהוגש לרשות המסים בישראל או למוסד לביטוח לאומי לפי דין;
"מחזור עסקאות" – מחזור עסקאות של עוסק כהגדרתו בחוק מס ערך מוסף, התשל"ו – 1975, ולעניין מלכ"ר כהגדרתו בחוק האמור – מחזור כהגדרת בתוספת השנייה לחוק העמותות, התש"ם – 1980.
ראובן אידלמן
¶
מבחינתנו, המענה העיקרי לעסקים הקטנים נמצא כאן, כמובן וזה לאורך כל העיצומים. זה חל גם על התקנות, כמובן.
נעמה מנחמי
¶
אני אגיד משהו שהוא אולי מובן מאליו אבל זה הכול "רשאי". כלומר, כל סמכויות ההפחתה כאן הן בסמכות הרשות ואם הוא יתנהג לא יפה או אם הוא לך לבית משפט על אותו - - -
היו"ר שמחה רוטמן
¶
אם בן אדם כבר הראה לך שמה שאתה הטלת עליו זה מעל 5% ממחזור העסקאות, זה לא עניין של סמכות בשיקול דעת.
היו"ר שמחה רוטמן
¶
נכון, זה מה שאני אומר אבל את קצת טענת נגד עצמך עכשיו כי ככול שתלכי למקום של התחשבות בסוג העסק ולא לכיוון של מחזור עסקאות - - - בשוק קמעונות המזון אחוז רווחיות של 5% הוא דבר די נדיר. אני יודע שהממוצע בשוק הוא רווח של 2.5% מהמחזור או 2% המחזור, בוודאי בעסקים הגדולים אבל גם בקטנים, הרווחיות בקמעונות מזון היא לא גבוהה.
ניקח שוב את אותה דוגמה של בעל המכולת. בבעלי מקצעות חופשיים אחוז הרווחיות הוא בדרך כלל יותר גבוה אבל בקמעוניים וסוחרים, אחוז הרווחיות הוא יחסית נמוך. 5% זה סכום שיכול להפיל עסק כי זה כל הרווח שלו לשלוש שנים.
אם אנחנו עושים את זה 5% ממחזור עסקאות אז זה בוודאי צריך להיות סמכות חובה ואולי לייצר סמכות רשות של הפחתה בהתחשבות מחזור עסקאות פר ענף וזה יהיה בסמכות רשות אבל לדעתי זה הרבה יותר מורכב.
היו"ר שמחה רוטמן
¶
לא, אני הסברתי את הבעייתיות. אני לא הצעתי את זה. אמרתי שעל פניו, זה היה יכול להיות פתרון אבל זה באמת מורכב.
נעמה מנחמי
¶
יכול להיות שצריך להתייחס לשני פרמטרים, הגבוה מבניהם והנמוך מבניהם. כלומר, גם גובה העסקאות וגם רווח שנתי בממוצע של שלשת השנים האחרונות.
עמית יוסוב עמיר
¶
באולם הוועדה אבל לדעתי רווח זה נושא שיכול מאוד להשתנות משנה לשנה. חברה אחת מרוויחה הרבה בשנה אחת ומפסידה בשנה אחרת.
יעקב עוז
¶
עסקים גדולים או לא עסקים קטנים, זה לא - - - זה לא מדויק. אני מסכים עם עמית לעניין של השליטה בדוחות. מחזור עסקאות הוא מחזור עסקאות, התנודתיות לא צריכה להיות כזאת דרמטית למעט בתקופות כמו זאת שאנחנו נמצאים בה כעת או אחת כזאת שהייתה לפני שנתיים או שלוש, למשל. אז אני מניח שה-"יפחית" הזה יכול להיות בעייתי.
היו"ר שמחה רוטמן
¶
טוב, אני מבין. כרגע אני משאיר את זה ככה אבל אם זה 5% זה לא רשאי אלא חייב. כלומר, זה לא עניין שבשיקול דעת כי אנחנו כן מייצרים. אלה תקנות הפחתה, יש לנו חוץ מזה עוד הפחתות או שאלו כל ההפחתות שיש?
היו"ר שמחה רוטמן
¶
אין פה הפחתות בנוגע למספר נושאי המידע שנפגעו מההפרה כשאנחנו מדברים על גודל מאגר. זה מחזיר אותנו לזה שאנחנו צריכים להיכנס לדיון לגבי גודל מאגר או לא וגודל עסק או לא, בתוך התקנות עצמן ולא בתחום ההפחתה. אפשר ללכת פה לשני מודלים.
היו"ר שמחה רוטמן
¶
כהגדלה או כהקטנה, זה לא משנה. לקחנו את שיקול גודל המאגר בחלק ובחלק לא לקחנו את שיקול גודל המאגר. אנחנו יכולים להגיד שיש הפחתה שעיצום לפי פרק ב' לא יעלה על איקס לעסק קטן. אנחנו יכולים לעשות את זה כמו עם ה-5% של מחזור עסקאות.
אנחנו יכולים לעשות את זה בהפחתה וזה דווקא אמור לחסוך לכם כי אתם הסברתם שאתם לא רוצים להיכנס לגובה המחזור של האדם בשלב הטלת העיצום. בסדר, אני מקבל את הטענה הזאת. אתם אומרים שכשבן אדם מבקש את ההפחתה אז חובת הנטל היא עליו שהוא יראה לי.
אין בעיה, אני נוטה להגיע למסקנה שבהפרות לפי פרק ג', כן צריך לקחת בחשבון את גודל המאגר אבל גם צריך לקחת בחשבון את גודל העסק אז בואו נכתוב לא יותר מאשר 5% בכל מקרה וזה הפחתה בשל התחשבות במחזור עסקאות. סעיף 5 יהיה הפחתה בשל גודל עסק, הפרות לפי סעיף (ב) לעסק קטן כהגדרתו - - - לא יעלו על 3,000 להפרה או 5,000 להפרה. לא יודע, הפרות לעסק כזה לא יעלו על 20 אלף להפרה.
זאת אומרת, נייצר את זה כהפחתה ואז בן אדם יכול להגיד "חטפתי עיצום לפי הסכום הבסיסי, ארבע פעמים הסכום הבסיסי כשאני עסק קטן. בסדר, אני אראה לכם שאני עסק קטן אבל תתנו לי את ההפחתה של עסק קטן". ניתן לכם את התקנות לפי הרף הגבוה בסעיפים (ג) ו-(ד) כשאלה סכומים שכן תלויים בגודל המאגר, אבל בתקנות ההפחתה תציינו לאנשים שאם הם עסק קטן אז הסכום המקסימלי שהם יקבלו להפרה לפי ג' הוא לא 40 אלף אלא רבע או שמינית מהסכום הבסיסי.
אתה יכול לעשות את זה לפי הסכום הבסיסי ולהגיד שהסכום הבסיסי לעסק קטן הוא כזה אבל אתם אמרתם שאתם לא רוצים לזהות מה גודל העסק והמחזור שלו כשאתם מתחילים את העיצום.
ראובן אידלמן
¶
אבל למה ההסדר הנוכחי של ה-5% לא נותן מענה למה שמטריד את אדוני ביחס לעסק קטן? עסק קטן יכול להגיד "אני עסק קטן, זה מחזור העסקאות שלי והעיצום עולה על 5% ממחזור העסקאות שלי אז תפחית את זה".
גלעד סממה
¶
יכול להיות שההפחתות עצמן, עוד לפני ה-5%, יביאו אותו להפחתות שהן הרבה יותר משמעותית ונמוך יותר מה-5%.
נעמה מנחמי
¶
עסק קטן זה גם עסק של מחזור של 10 מיליון שקלים. בואו נניח שאנחנו ב-5% ממחזור העסקאות שלו.
נעמה מנחמי
¶
הן ברשות. זה אומר ש-5% ההגנה שעסק קטן מקבל זה שהעיצום הכספי שלו לא יעלה על 500 אלף שקלים? זו לא באמת הגנה. אם הוא הפר הפרה קטנה יחסית - - -
נעמה מנחמי
¶
יכול להיות שהעיצום לא גבוה ויכול להיות שהוא גבוה כי המאגר הוא גדול ואז אנחנו מגיעים - - -
היו"ר שמחה רוטמן
¶
אני דווקא אומר להפך. בואו נדבר על פרק ב' שהוא יותר פשוט ותעזבו כרגע את גודל המאגר. אני אמרתי שאני רוצה שההפרה הבסיסית בפרק ב' של שליחת פנייה במייל - - - נניח שזה 50 שקלים.
היו"ר שמחה רוטמן
¶
הפרות פרטניות. בואו נניח שזה 50 שקלים להפרה פרטנית. אם עסק קטן שלח מייל ל-50 אלף אנשים או למיליון אנשים, הוא עדיין עסק קטן והוא יהיה חשוף ל-50 מיליון כי הוא באמת שלח למיליון אנשים אימייל ואני רוצה שהעסק הגדול יהיה חשוף ל-50 מיליון. אני רוצה שאם גוגל שלחו מיליון אימיילים אז הם יהיה חשופים.
היו"ר שמחה רוטמן
¶
אבל אני חושב ש-5% זה יותר מידי, בוודאי אם זה בעניין של רווחיות. 5% זה קו שאין לעבור אותו, זה קו עליון. גם בהפרות לפי פרק א', יש פער מאוד גדול בין גודל העסק לבין גודל ההפרה שהוא חשוף אליה, בין אם זה בגלל שהוא עסק קטן שמחזיק מאגר גדול ובין אם זה עסק קטן ששלח הרבה מיילים. 5% זה קו שאין לעבור אותו.
יעקב עוז
¶
המספרים שנעמה דיברה עליהם הם בהחלט מספרים נכונים ובמקרה הזה , הוא יכול להיות כרף מקסימלי וזה בהחלט יכול להיות סכום שהוא פנטסטי.
היו"ר שמחה רוטמן
¶
השאלה היא האם אתה לא סבור שעל הפרות צריך לייצר מראש מדרגה יותר נמוכה לעסקים קטנים ובינוניים?
גלעד סממה
¶
אדוני, אגיד עוד משהו. אתה אומר שזה רף עליון ונכון, זה רף עליון. זה לא אומר שזה יהיה שם, זה יכול להיות גם 4%, 5% ו-2%. צריך לקחת גם את זה בחשבון. אנחנו עושים כאן כל מיני ספקולציות כשבסופו של דבר, המטרה שלנו היא להביא לאכיפה יעילה של חוקי הגנת הפרטיות. בהחלט יכולים להיות המון מקרים שאחרי ההפחתות, לפני ה-5%, אנחנו בכלל נהיה במקומות של 2% או 3%.
היו"ר שמחה רוטמן
¶
יכול להיות אבל אני רוצה לתת ביטוי. כשאני הולך להפרות הפרטניות וזה נושאי מידע, אני רוצה את הסכום הבסיסי קטן כדי שבאמת יהיה scalability.
עמית יוסוב עמיר
¶
אדוני, אני חושב שיש הפרה אחת שקצת משבשת לנו את כל האיזון במנגנון ולכן אנחנו מחפשים פה כל מיני - - -
עמית יוסוב עמיר
¶
אם נוציא את ההפרות של סעיף (11) ודומותיה לשנייה מהדיון אז יהיה לנו זכות עיון וזכות תיקון שאלה דברים פרטניים שקורים במשורה, ההפרות שלהם בוודאי.
היו"ר שמחה רוטמן
¶
אני זורם איתך, בואו נדבר על זכות עיון וזכות תיקון. אני מצפה שלעסק גדול יהיה את המערך הנדרש כדי שזכות העיון לא תיפגע. בעסק קטן, העלות לייצר את המערך הזה היא גדולה יותר ביחס. לכן, אם חברת ביטוח לא מעמידה בן אדם לזכות העיון אז זה דבר שאני רוצה כלפיו סובלנות הרבה יותר נמוכה. בעסק קטן, אני מבין את היכול ומצד שני, אני גם לא רוצה לייצר הפרה יעילה ולכן הסכום שונה.
גלעד סממה
¶
או-קיי. בסופו של דבר, אנחנו חושבים שיש כאן אינדיקציה מסוימת לגודל העסק ובהרבה מאוד מקרים, גם לגודל המאגר. כלומר, זה לא משהו שלא משדר אינדקציה גם לגודל העסק.
עמית יוסוב עמיר
¶
אולי נגיד את זה ככה, אם יש לך עסק מאוד קטן עם מאגר מידע ענקי אז זה אומר שזה עסק שעניינו הוא בעיבוד מידע ואז אני מצפה ממנו ליישם כלים נאותים להגנה על המידע ולעמידה בהוראות הדין, למרות שהוא עסק קטן.
שחף קצלניק
¶
למה מיליון זה הרף? זה יכול להיות גם 100 אלף. יש לי עד 20 מיליון עם 100 אלף אנשים, למה זה בעיה?
נעמה מנחמי
¶
כן, בשבע שנים האחרונות היו לך 100 אלף לקוחות, זה בערך 120 אלף לקוחות בשנה. זה לא בהכרח אומר שאתה עסק גדול שיכול להתמודד עם - - -
ד"ר רחל ארידור הרשקוביץ
¶
אני חושבת שהטענה הזאת היא לא הנכונה. הרי, אם אתה מחליט להחזיק מאגר מידע גדול אז עליך לקחת את האחריות לתחזק אותו כמו שצריך.
היו"ר שמחה רוטמן
¶
אין ספק לכן אני לא נותן פטור מתחולת החוק אבל גובה העיצום הכספי צריך לשקף את היכולת הכלכלית שלי.
שחף קצלניק
¶
בוודאי שזה חייב לשקף, אחרת מה שיקרה זה שעסק קטן שהמחזור שלו הוא מאוד נמוך ומתחם הרווחים שלו הוא 2%, יקרוס מכל עיצום כזה. זה לא הגיוני.
ד"ר רחל ארידור הרשקוביץ
¶
סכום העיצום צריך לשקף לשוק שזה לא יעיל להפר בשום מקרה ושאם אתה עסק קטן ולא כיול לקחת על עצמך את העלות הכלכלית של תחזוקת מאגר המידע כמו שצריך לפי החוק אז אל תפעל.
נעמה מנחמי
¶
רחל, פה אני לקוחת את מה שאמרת ואני צועדת עם זה עוד צעד אחד. בתקנות אבטחת מידע, אני מסכימה איתך ולכן תקנות אבטחת מידע באמת נבנו לפי גודל המאגר.
נעמה מנחמי
¶
בסדר, אם הפרתי זכות עיון ודווקא אם אני עסק קטן אז כנראה שאין לי איזשהו מערך שיודע לעשות את הדבר הזה אוטומטית אז מאוד יכול להיות שזה נפל על זה - - -
נעמה מנחמי
¶
העובד יצא לחופש ליום, היה חולה יום או יצא למילואים ליום ומי שנתן את השירות באותו שבוע לא היה הבן אדם הנכון.
גלעד סממה
¶
גם בנושא זכות העיון, אני סבור אחרת וזה מתוך הניסיון שלנו. כשיש הפרה של זכות העיון, בדרך כלל זה לא עניין נקודתי וחשוב להגיד את זה. יש מקרים וטעויות כאלה ואחרות אז שהגוף יבוא ויוכיח שזה עניין נקודתי אבל בדרך כלל זה עניין של מדיניות.
נעמה מנחמי
¶
אם עסק טעה פעם אחת או הפר הוראה פעם אחת, חזקה עליו שהוא הפר את זה המון פעמים ואני לא בטוחה שזה נכון לגבי כל דבר ובטח לא לגבי עסקים קטנים.
היו"ר שמחה רוטמן
¶
אני מבין את החשש מזה שבשלב העיצום אתם תצטרכו לדעת את גודל העסק או את גדול המחזור וכדומה. אני כן ארצה שבתקנות ההפחתה נעשה שיהיה ברור שלפי המדרגות של - - -
היו"ר שמחה רוטמן
¶
זה הגיוני שכשמופרת בקשת עיון במידע או תיקון, לא תדע הרשות ולא האדם שמתלונן מה גודל העסק. זה הגיוני ואני גם לא מצפה ממנו לדעת. זה גם הגיוני שבתקנות ההפחתה יהיה רשום שבעסק קטן - - -
אנחנו נצטרך לתת בהם סימנים כשנחזור לזה. אנחנו נייצר בתקנות ההפחתה, תקנה (5) ותקנה (6) בתוספת להפחתה שאומרת שעיצומים כספיים לפי סימן ב' לא יעלו על איקס. אנחנו תכף נעשה את המדרגות ונעשה חשיבה גם לגבי עסק בינוני ועסק גדול.
היו"ר שמחה רוטמן
¶
אתם תטילו עיצומים כספיים. יכול להיות שזה יהיה מצטבר, פי שלוש, פי ארבע או פי חמש, זה לא משנה. בסופו של דבר, הוא יגיד "הטלתם עלי עיצום כספי. אני עסק קטן, גובה הקנס שאתם צריכים להוריד אליו" - - -
גלעד סממה
¶
אדוני, המטרה היא למתוח את זה? כלומר, אם זה עסק קטן אז אנחנו יורדים ואם זה עסק יותר גדול אז אנחנו עולים מה-5%? אני מנסה להבין את זה. כמובן שאנחנו הולכים לסכום הבסיסי - - -
היו"ר שמחה רוטמן
¶
ה-5% הוא ללא שיקול דעת ו-across the board. זה לא משנה אם הוא אחרי הפחתות או לפני הפחתות.
היו"ר שמחה רוטמן
¶
לא הבנתי. כשאני רציתי לדון בנושא הזה בפרק הראשון אתה אמרת שנדבר קודם על תקנות ההפחתה, עכשיו כשאני דן בתקנות ההפחתה אתה אומר לי "אז זה אומר שגובה הסכום".
היו"ר שמחה רוטמן
¶
לכן אמרתי שזה שונה מפרק לפרק. למשל, אם בפרק ב' אנחנו אומרים שעל כל נושא מידע הבסיסי הוא קטן אבל המכפלות הן מאוד גדולות אז אני כן אגיד שעל עסק קטן לפי פרק ב', גם אם זה יהיה על 50 אלף נושאי מידע, הקנס עדיין יהיה יותר נמוך.
לעומת זאת, בעסק גדול, כל המגבלה שתהיה לו תהיה ה-5% ולא יותר אבל גם אם עסק קטן שלח 50 אלף מיילים בדיוור הישיר שלו, הוא לא יהיה חשוף ליותר מאשר איקס ואז הגבול העליון - - -
היו"ר שמחה רוטמן
¶
לא יודע. לא יודע מה הסכום. אז הגבול יהיה לפי מספר נושאי המידע והשמיים הם הגבול. אם גוגל תשלח למיליון אנשים אז היא תהיה חשופה ל-50 מיליון אבל לעסק קטן יש cap. זה הרציונל של סימן ב'.
בסימן ג' שבו עשיתי כבר איזושהי דיפרנציאציה בסיסית של גודל המאגר אז אני מניח שהסכום שקבעת שם הוא פונקציה של גודל המאגר. יכול להיות שצריך לעשות לו התאמות כי אתה עכשיו יודע שיש הפחתות אבל בגדול, אני מניח שהסכום שקבעת שם הוא הסכום לחברה הגדולה. ההפחתות שאנחנו נעשה, אנחנו נעשה לקטנים. האם כתוצאה מזה אני ארגיש יותר משוחרר להגדיל כשנדבר על הסכומים? יכול להיות.
כנ"ל כשזה פי ארבע, הרציונל הוא גודל מאגר עם הפחתות לפי גודל העסק כאשר ההנחה היא שמה שאתה קובע שם הוא הסכום מקסימום. הנחה נוספת שצריך לתת לה מענה ואני לא יודע, זה שהרבה פעמים כשאתה תיכנס לעסק לעשות ביקורת, אתה יכול לנחות עליו עם 15 הפרות, גם אם זה לא סביב אותה הפרה ואז עולה שאלה אם זה 5% לכל הפרה. אני לא יודע. אתה יכול להיכנס לעסק שמתנהל באופן לא תקין ולמצוא לו 15 הפרות ואז יש לך cap של 5% לכל עיצום וזהו, נחסל אותו טוטאלית.
סוריא בשארה
¶
סליחה, לא התכוונתי לקטוע אותך. הכוונה היא לקבוע סכום fixed לגבי העסקים הקטנים? למיטב זכרוני, ההגדרה היא - - -
סוריא בשארה
¶
אבל סכום fixed זה קצת בעייתי כי יכול להיות שיש עסקים שהם נכנסים תחת ההגדרה עסק קטן אבל יש שם טווח. אני לא זוכרת את המספרים, מ-X עד Y.
היו"ר שמחה רוטמן
¶
לא, 5% גובר על הכול. 5% זה כלל קשיח, זה גבול עליון תמיד. זה בדיוק מה שהתחלתי לדבר עליו עכשיו, צריך לתת מענה למה קורה כשיש מספר הפרות. אתה נכנסת לעסק ויש מספר הפרות אז זה cap של 5% לכל הפרה? אחרי ביקורת אחת את תיקחי מעסק 100% מהמחזור השנתי כי מצאת לו 20 הפרות?
היו"ר שמחה רוטמן
¶
אני מבין ולכן אני שואל. אם באו הפקחים של הרשות להגנת הפרטיות ומצאו 20 הפרות בעסק – בדרך כלל, כל המאגרים המאושרים דומים וכל מאגר אומלל, אומלל לפי דרכו – והגישו 20 עיצומים כספיים. אחד על זה שהוא לא ניהל מסמך על הודעות מאגר, שני על זה שהוא לא מחק מידע עודף שהוא היה צריך למחוק, שלישי על זה שהוא לא קיבל הסכמה וכן הלאה. להבנתך, אם יש לו 20 הפרות, אפשר להטיל עליו 100% מחזור שנתי?
סוריא בשארה
¶
מכיוון שאני יודעת שהרציונל של תקנה 4 זה לקבוע תקרה של 5% שהיא מקסימלית ואי-אפשר לחרוג ממנה. כל הפרשנות שלנו לגבי "רשאי" זה שתקנות ההפחתה הן מחייבות וזה "חייב" אז לפי הבנתי, זה לא יכול להיות יותר מ-5% כי המטרה היא שלא למוטט את העסק.
נעמה מנחמי
¶
סוריא, יש הוראה ספציפית שאומרת שעל מספר הפרות שהן בשל אותו מעשה, לא יוטל יותר מעיצום כספי אחד.
נעמה מנחמי
¶
רגע. מכלל ההן שומעים את הלאו. זאת אומרת, אם את מגיעה לעסק ורואה שהוא עשה כמה וכמה הפרות שלא נובעות מאותו מעשה, הוא גם לא עשה מסמך הגדרות מאגר, גם לא נתן חובת עיון וגם - - -
סוריא בשארה
¶
נכון, לכן את סוכמת את כל סכומי העיצום ומגיעה לסכום ואת הסכום הזה את משווה ל-5% ואם הסכום הזה עולה על 5% - - -
היו"ר שמחה רוטמן
¶
בחטאיי – בהקשר הזה זה לא חטאיי כי אני ייצגתי שם – היה לי בעל עסק כשהיה את חוק הספרים הידוע לשמצה, שקבע שאם את מוכר ספרים בהנחה אז אתה עבריין – כי אנחנו מדינה קומוניסטית. ברוך השם, זה בוטל – על פי החוק הזה כל מכירת ספר בהנחה שעולה על השיעור המותר בחוק היוותה הפרה. העיצום הכספי על כל הפרה היה 12 אלף.
העסק זה קיבל דרישה שאם הוא היה נענה לה הוא היה יכול להיות חשוף לעיצומים בשווי 3.2 מיליון שקלים על כל הספרים שהוא מכר בשבוע הספר בהנחה. אף אחד לא טרח לומר - - - כי כל מכירה היא אירוע בדיד, זאת הפרה בודדת. על פניו, על כל אחד מהם אפשר להטיל עליו עיצום כספי בודד.
אני גם לא רואה סמכות להפחית. אני רואה סמכות שאם בן אדם עשה ארבע הפרות, אתה צריך להטיל עליו ארבעה עיצומים ועל כל אחד מהם חלות תקנות הפחתה עצמאיות.
ד"ר עמרי רחום טוויג
¶
זה גם אחד מהדברים שנובעים מהבדל הגישה בהשוואה לאירופה, למשל. הקנסות שנקבעו שם הן up to, הם לא מתחילים מהמקסימום ויורדים אלא קובעים מה המקסימום שניתן להטיל ומשיטים שיקול דעת במרחב שבין לבין ואז במצב של ריבוי הפרות לא מגיעים ל-100% מהמחזור של עסק כי זה up to. חוץ מזה, יש עוד guide lines של הבניית שיקול דעת בהפחתות ובנסיבות שבהן - - -
ראובן אידלמן
¶
האם לאור מה שנאמר כאן על ידי סוריא, זה לא נותן מענה למה שמטריד את אדוני מבחינת העסקים הקטנים?
היו"ר שמחה רוטמן
¶
זה צעד מאוד חשוב בכיוון. אולי זה "מצא הממונה שסכום העיצומים הכספיים שהוטל על ההפר עולה על 5% משל המפר בשנה" ואז אני יודע שכל העיצומים הכספיים שתחטוף בשנה, לא יכולים לעלות על 5% מהמחזור שלך. אפשר לייצר איזשהו רף של זמן כי אחרת, מה שהיא אומרת זה הגיוני.
הגיוני שהעיצומים של הרשות להגנת הפרטיות לא ייקחו 100% ממחזור של עסק וזה מאוד הגיוני ש-5% זה קו עליון ושזה 5% מהמחזור הזה בשנה. מצד שני, אנחנו לא רוצים לייצר מצב שבו אם אתה הטלת עיצום כספי על בן אדם אז יש לו get out of jail free card להמשך השנה אבל בסדר. הוא כבר חטף את ה-5% אז תחקו לו ב-1 בינואר הבא ותטילו עליו עוד 5%.
ראובן אידלמן
¶
אנחנו היינו מעדיפים להישאר בכל זאת בתוך המסגרת הזאת ולא לייצר סכומים חדשים לפי גודל עסקים, גם כדי לפשט. לכן שאלתי אם אולי זה מספק.
היו"ר שמחה רוטמן
¶
זה לא. אני צריך לעשות הפסקה קצרה, נראה לי. אני מציע שאתם תנסו להגיע למשהו על הגודל ועל הסכומים. אני משאיל לכם את החדר. בעקרונות אני חושב שעוד יש לי איזשהו יתרון אבל בנשוא גובה הסכומים הרלוונטיים ומה מתאים לשוק, תדברו בינכם. אני אחזור עדו כמה דקות וננסה לתת לזה איזשהו מענה. כשיתקשרו אלי עוד פעם אני אצא להפסקה.
בכל מקרה, ה-cap הזה צריך להיות 5% שנתי איכשהו ובנוסף, אני כן חושב שאנחנו נצטרך להתאים לסימן ב', סימן ג' ולסימן ד' איזשהו סכום בסיסי שונה לעסקים – שזה מה שאמרתם שאתם לא רוצים – או לתת לזה מענה במסגרת ההפחתה ואז זה כן יהיה על אירוע בדיד.
זה נותן מענה למה שאתה דיברת עליו. יהיה מענה לאירוע בדיד של עסק קטן בנוגע לזכות עיון, לצורך העניין, גם אם זה הופר כלפי מספר אנשים אז זה לא יעלה על 5,000 שקלים, נניח – שוב, לגבי הסכומים חשוב לי לשמוע את האינפוט שלכם, אני סתם זורק – וסך כל העיצומים שיוטלו לא יעלה על 5% ולכן יש ערך לשני הדברים האלה.
ב-ג' נתנו סכום מיוחד לגודל מאגר גדול וגודל מאגר קטן, זה בסדר גמור. לעסק קטן, הסכומים האלה צריכים לרדת.
היו"ר שמחה רוטמן
¶
כן, הפחתה נוספת. הפחתה נוספת בגלל שאתה עסק קטן אבל פה, חובת ההוכחה היא עליך. תביא אישור שאתה עסק קטן ואז ממילא, העיצום הכספי שאתה חשוף אליו הוא פי ארבע מהסכום הבסיסי אז זה 160 אלף שקלים? מה זה שם?
היו"ר שמחה רוטמן
¶
בסדר אז זאת אומרת שאתה תמיד תעשה הפחתה ל-5% וגם 5% זה הרבה. היה לך אירוע בדיד של הפרה אז 5% ואגב, אתה מייצר גם הרתעת חסר אצלכם כי אחרי שהוא חטף את זה כבר פעם אחת אז בשאר השנה יש לו get out of jail free ticket ואת זה את גם לא רוצים.
לכן, צריך שהסכום הבסיסי לעסק קטן יהיה יותר נמוך. יכול להיות שאפשר לבוא ולהגיד שהסכום הבסיסי 1%, אני לא יודע. אפשר לעשות לינקג', לעסק קטן הוא יוכל להפחית ל-1% מהמחזור בפרק ד', ל-0.5% מהמחזור את פרק ג'. אני לא יודע.
נעמה מנחמי
¶
שנייה, זה לא נותן ביטוי לחומרת ההפרת. זה כאילו כל ההפרות נהיות אותו דבר כי בסוף, כולן - - -
ראובן אידלמן
¶
אנחנו הצענו גם ב-ב' וגם ב-ג' סכום בסיסי וב-ד' פי ארבע, זאת הייתה ההצעה שלנו עם נסיבה מחמירה לגבי הפרטניות כשיש לך שלוש הפרות או יותר, שאדוני לא הכריע לגביה. זאת המכפלה כדי שבכל זאת תהיה הרתעה גם ביחס לגדולים.
היו"ר שמחה רוטמן
¶
בסדר גמור. קודם כול, בואו נסכם ביננו שהסכומים שקבועים כרגע לפי סעיף (ד) זה מכת מוות לעסק קטן. אנחנו יכולים לסכם אותם, צריך כאן סכום אחר. יעקב, עינינו נשואות אליך ושום דבר לא יעזור. מהו סכום ריאלי שיכול להיות ב-ד' כשבעצם, אני רוצה שהסכום הבסיסי ב-ד' יהיה יותר נמוך.
אנחנו לא עושים את זה בדרך של שינוי הסכום הבסיסי3 אלא בתוך תקנות ההפחתה משיקולי נוחות שלכם כדי שלעסק קטן שחוטף את הקנס הזה, יהיה רשום "אם אתה עסק קטן, דע לך שהנך זכאי לבקש הפחתה לפי זה וזה וקנס לפי פרק זה יהיה כך וכך". נטל הראייה להראות שהוא עסק קטן הוא עליו ולא עליכם. אני זורם עם זה, זה לא מפריע לי.
היו"ר שמחה רוטמן
¶
לגבי ג' כנ"ל. ד' גם לגבי בינוני יכול להיות מכת מוות אבל בוודאי לגבי עסק קטן. אני חושב שב-ג' גם צריך סכום שיביא בחשבון את הסכום הבסיסי. אני הייתי אומר של-ג' ול-ד' צריך לשנות את הסכום הבסיסי לעסק קטן. המשמעות של זה תהיה שהפרה לפי ד' - - -
היו"ר שמחה רוטמן
¶
הפרה לפי ד' תהיה פי ארבע יותר חמורה מאשר הפרה של ג' כי זה מה שקבעתם וזה בסדר אבל הסכום הבסיסי של ג' ו-ד' יהיה שונה. בעסק קטן הוא יהיה X, בעסק בינוני הוא יהיה X כפול שתיים או שלוש ובעסק גדול הוא יהיה מה שקבעתם רק שהכול ייעשה על פי תקנות ההפחתה.
היו"ר שמחה רוטמן
¶
לגבי ב', אני הייתי מקטין בצורה משמעותית את הסכום הבסיסי, מייצר את ההכפלות של נושאי המידע ומייצר cap. יכול להיות ששם ה-cap לא צריך להיות 5% אלא אפילו 1% כי זה מספיק כואב. אין לי בעיה שיהיה גם cap למטה.
היו"ר שמחה רוטמן
¶
בואו נניח שהסכום הבסיסי של הפרה לפי ב' הוא 50 שקלים. אם הפרת על 50 אלף אז אתה ב-250 אלף שקלים, נכון? שלחת את המייל הזה ל-50 אלף אנשים אז יוצא 250, אם שלחת למיליון אז אתה ב-50 מיליון.
ראובן אידלמן
¶
אולי כדאי שאדוני יראה לנגד עיניו דווקא את זכות העיון ולא את סעיף (11). אני מרגיש שסעיף (11) מבלבל פה קצת מבחינת היכולת - - -
ראובן אידלמן
¶
אדוני, זה לא עיצום סביר לזכות העיון. אנחנו כתבנו לגופים קטנים 5,000 ו-20 אלף, מתחת לזה זה לא סביר. זה אפס הרתעה. הסכומים היום הם 2,000-3,000 שקלים.
היו"ר שמחה רוטמן
¶
כל מה שדומה ל-(11). אנחנו יכולים להסכים שבסעיף (11) אפשר הסכום הבסיסי יהיה מאוד נמוך, לייצר cap למעלה ו-cap למטה ולגבי האחרים נקבע סכום אחר? אני יכול לחיות עם זה.
היו"ר שמחה רוטמן
¶
בסדר, אני שומע את מה שאתם אומרים. טוב, אנחנו יוצאים להפסקה ותמשיכו את הדיון בלעדי.
נעמה מנחמי
¶
מהדברים שעולים ב-GDPR ושעלו בוועדה, אני חושבת שאפשר לשקול את הנושא של אופן לא מכוון, רשלני של ההפרה. אפשר לשקול פעולות של המפר לעיצוב לפרטיות, עיצוב לאבטחת מידע, מינוי ממונה הגנה על הפרטיות גם אם הוא לא מחויב. אפשר לשקול מספר נמוך של נושאי מידע שביחס אליהם הייתה ההפרה ואולי אפשר לשקול גם – זה לא בדיוק נסיבות אישיות ולכן אני חושבת שזה כן נכון לחשוב על זה – התקיימות סעיף לפי סעיף 15א, פיצויים ללא הוכחת נזק.
כלומר, אם הפרו את זכות העיון של מישהו, הוא פנה לרשות והרשות הפעילה ביחס אליו עיצום כספי והוא גם עשה הליך תביעה אזרחית - - -
היו"ר שמחה רוטמן
¶
אתה מטיל עלי עיצום של 2,000, 5,000, 10,000 – איזה סכום שנעשה שם – אבל על האירוע הזה או אירוע מאוד דומה לו לפני שבועיים אני שילמתי 10,000 שקלים ללא הוכחת נזק לאדם שנפגע ממנו ובנסיבות העניין, אין צורך שתעשה לי גם עיצום כספי.
היו"ר שמחה רוטמן
¶
זה אפילו לרמה של הפחתה לאפס. זה שיקול לא להטיל בכלל או להטיל מופחת. יכול להיות שהוא לא שילם את 10,000 השקלים כי בית המשפט ריחם עליו ואמר לו לשלם רק 2,000 אז אתה תגיד "בסדר, היית חשוף לעיצום כספי של 10,000 וכבר שילמת 2,000 לאדם שהוא נשוא האירוע אז אני מטיל עליך רק עוד 8,000 או רק עוד 5,000". זה שיקול להפחתה. זה לא בגובה - - -
היו"ר שמחה רוטמן
¶
אתם תפעילו את שיקול הדעת הזה איך שאתם רוצים. אם הוא כבר הגיש הודעה לבית המשפט שבכוונתו לשלם ועדיין לא שילם, אני לא נכנס לכם לקישקעס בנושא הזה. להפך.
גלעד סממה
¶
רק שנייה, אדוני. כשאתה אומר שזה שיקול דעת על כל מצב שבו הוא חושב לעצמו שמגיעה לו הפחתה אז במקום להתעסק באכיפה, אנחנו מתעסקים בטענות שלו.
היו"ר שמחה רוטמן
¶
סליחה. גלעד, תחכה. כשהוא נותן לך נסיבות אישיות המצדיקות הפחתה של העיצום הכספי או נסיבות אישיות קשות המצדיקות שלא למצות את הדין עם המפר זאת רשימה אין סופית של דברים, הוא יכול להעלות מה שבראש שלו. זה צ'ק פתוח להעלות איזה טיעונים שהוא רוצה ואתה צריך להפחית לו עד 20%. אני אומר לך לכתוב פה "לרבות הליכים נוספים שהתקיימו בעניין".
נעמה מנחמי
¶
באותה דוגמה של (15), אם עוד לא הסתיים ההליך אז אתה בהחלט יכול להגיד לו שאתה מטיל את העיצום הכספי והוא יכול לטעון את הטענה על הכפל כשהוא מגיע להליך השני מבחינה כרונולוגית, שהוא נגיד 15(א). הוא יגיד "כבר קיבלתי על זה".
נעמה מנחמי
¶
כבר קיבלתי על זה עיצום כספי. להפך, אתה בסיטואציה שבה סביר להניח שאם תפעיל את ההליך בצורה יעילה אז אתה תהיה הראשון בזמן.
סוריא בשארה
¶
זה קצת בעייתי לגרוע מזכותו של אדם לקבל פיצוי על הפרה שנעשתה נגדו רק בגלל שאותו מפר - - -
היו"ר שמחה רוטמן
¶
בסופו של דבר, יש שיקול דעת לבית משפט שם לתת עד 10,000 פיצויים, לדוגמה. יש לו שיקולים להפחתה או אי-הפחתה בנושא הזה. מה כתבנו שם אצלו?
היו"ר שמחה רוטמן
¶
"בבואו לקבוע את גובה הפיצויים לדוגמה יתחשב בעידוד התובע למימוש זכויותיו, היקף העבירה וחומרתה, התנהגות המפר, נסיבותיו האישיות ויכולתו הכלכלית, סנקציות נוספות או תשלום נוסף שחלו על המפר ביחס לאותן נסיבות". אנחנו קבענו את זה ועכשיו אנחנו אומרים שכשיבוא בית המשפט בסוף אחרי שהוא חטף עיצום כספי על הדבר הזה אז בית המשפט ישקול את זה. אני אומר שגם הוא ישקול את זה אם כבר היה הליך אזרחי, זה הכול.
באותו אופן שבית משפט שוקל כאשר הוא מטיל פיצויים לדוגמה, שזה סכום fixed, אם הוטלו סנקציות נוספות אז גם הוא ישקול אם הוטלו סנקציות נוספות. זה הכול. מה קרה? זה הגיוני מאוד.
ניר גרסון
¶
אם יורשה לי, זה אמור להיות נכון רק ליחיד. דבר נוסף זה שצריך למנוע מצב שבו יש בכל מקרה תובענה ייצוגית והנתבע - - -
היו"ר שמחה רוטמן
¶
אני לא דיברתי על זה. אני נותן לכם אפשרות להפחית עיצום כספי כחלק משיקולי ההפחתה שלכם, תחת ה-cap של 70%. לבית המשפט אני כותב "התנהגות מפר, נסיבותיו האישיות ויכולתו הכלכלית", לכם פרעתי את יכולתו הכלכלית כי אתם לא בית משפט אז כתבתי לכם את ה-5%, לגבי נסיבותיו האישיות נתתי לכם את סעיף (2) של נסיבות אישיות, לגבי התנהגות המפר נתתי לכם את (1), (2) ו-(3) ויש סנקציות נוספות או תשלום נוסף שהוחלו על המפר ביחס לאותן נסיבות ואת זה אין לכם.
מכל הדברים שנמצאים לבית המשפט בסעיף (3), יש לכם את כולם חוץ מאחד ולכן אני רוצה להוסיף גם אותו ואני אוסיף אותו בצורה פתוחה דווקא בגלל שאין גבול.
היו"ר שמחה רוטמן
¶
"אותן נסיבות". חבר'ה, אני נותן לכם שיקול דעת, תרצו או שלא תרצו. אני לא מכריח אתכם ולא אומר לכם כמה להפחית במצב הזה. אני לא אומר לכם שההפחתה תהיה בגובה התשלום ששולם.
היו"ר שמחה רוטמן
¶
"סנקציות נוספות או תשלום נוסף שהוחלו על המפר ביחס לאותן נסיבות", זה מה שכתוב בבית משפט. אחרי "הפחתה בשל נסיבות אישיות", נוסיף עוד אחד שיהיה "הפחתה בשל סנקציות נוספות או תשלום נוסף שהוחלו על המפר ביחס לאותן נסיבות".
היו"ר שמחה רוטמן
¶
אני זורם איתכם ונותן לכם את שיקול הדעת. יכול להיות שהמדיניות שלכם עכשיו היא שזה רק על בסיס תשלום בפועל ויכול להיות שהמדיניות שלכם לא תהיה על בסיס זה. אני לא מתערב לכם בשיקול הדעת, ככול שהוא יהיה סביר. לכם לא ביטלתי את עילת הסבירות.
היו"ר שמחה רוטמן
¶
עלתה בקשה שאתם תעשו את זה בזמן שאנחנו עוברים לדבר על נושאים אחרים ונחזור לפה אחרי הישיבה הבאה. השאלה היא אם הנוכחים פה כשירים לאירוע הזה?
היו"ר שמחה רוטמן
¶
מראש, אנחנו תכננו את שהיום הזה יהיה עד שיצא עשן לבן. יש לי בשעה 14:15 ישיבה אחרת שצריכה להתנהל. מבחינתי, לא אכפת לי שתמשיכו את השיח הלא-פורמלי ונמשיך אחרי זה.
היו"ר שמחה רוטמן
¶
הודענו שזה עד 14:00 אז הודענו. בסדר. דיברנו על ההפחתות ודיברנו על זה. את "שיקולים נוספים, נושאי מידע" אני לא חושב שצריך לעשות כי כבר נתנו לזה מענה בהקשר הזה.
היו"ר שמחה רוטמן
¶
אני לא רוצה למשוך את זה. עזבו, אני לא יכול כי יש לי ישיבה אחר כך. הארכתי עכשיו ברבע שעה אז בואו נראה מה אנחנו דוחסים ב-20 דקות.
ראובן אידלמן
¶
אולי אני אגיד מילה אחת בכותרת. אני מזכיר שאלה תקנות שהוועדה הזאת אישרה. הוועדה הזאת, בכנסת הזאת באפריל 2023.
ראובן אידלמן
¶
כלומר, על מידע שלא התקבל מהאיחוד האירופי ונמצא באותו מאגר יחד עם מידע שהתקבל מהאיחוד האירופי. הדבר הזה ייכנס לתוקף ב-1 בינואר 2025. אין כאן חידוש ברמה המהותית, אלה רק סעיפי עיצום.
אנחנו הבחנו בין דברים שהם clear cut בהם אפשר להטיל עיצום ישיר – למשל, הודיע בכתב או לא הודיע בכתב – לבין עיצומים דו-שלביים שבהם יש מידה של שיקול דעת – למשל, אם היה צריך למחוק את המידע או לא – אני מציע שפשוט נעבור על הטקסט. הסכום המוצע כאן הוא הסכום הבסיסי והוא אחיד ביחס לכל ההפרות, גם הדו-שלביות וגם הישירות.
היו"ר שמחה רוטמן
¶
אין לי בעיה אם זה clear cut או לא, השאלה היא אם זה הפרות פרטניות או כלליות ואם גודל המאגר רלוונטי אליהן או לא.
ראובן אידלמן
¶
זה כמו תקנות אבטחת מידע. אנחנו הצענו לקבוע סכום fixed ולא להיכנס לשאלות האלה. אפשר להחיל את ההבחנות גם כאן אבל אולי לא חייבים. יש כאן הפרות שהן פרטניות לפי פנייה של נושאי מידע ויש דברים כמו "לא הפעיל מנגנון להבטיח שהמידע במאגר נכון, שלם, ברור ומוגן" וזה לא קשור לפנייה של נושא מידע ספציפי. אולי אפשר לעבור עליהן ולקבוע סכום fixed.
היו"ר שמחה רוטמן
¶
תעזוב שנייה את השאלה אם זה סכום fixed או לא. מעבר לשאלת הניסוח של ה-adequacy שעשינו כדי שיהיה ברור שחל אותו דין מהותי כמו באירופה וכמו ב-GDPR, אילו חובות מהותיות התקנות האלה מוספיות על מה שבדין הקיים והאם הדלתא הזאת מצדיקה את התרחיש המאוד סביר של ריבוי הפרות על מעשים מאוד דומים? מה אתם לא תתפסו בדין הקיים?
אני מזכיר לכם שנתתי לכם אמירה שאוסרת על עיבוד מידע בניגוד לדין למעט סעיף 2 והתקנות האלה הן אינן סעיף 2. לכן, למקרים הקשים יש לכם את השוט הגדול אז השאלה היא אם אנחנו צריכים לעבור ולייצר עוד הוראות ספציפיות על התקנות האלה ולהוסיף עיצומים ספציפיים?
ראובן אידלמן
¶
דבר ראשון, אנחנו בהחלט רואים את זה כמהלך משלים והכרחי למהלך התקנת התקנות מכיוון שעיצומים כספיים נקבעים בחוק ראשי. דבר שני, גם בשיח מול האיחוד האירופי – חשוב לי שאדוני ישמע – נשאלנו לגבי יכולת האכיפה של התקנות האלה.
היו"ר שמחה רוטמן
¶
אני מבין. אין בעיה אבל אני טוען להפך, אני טוען שהם נאכפים יותר מתקנות אחרות אם אני אומר לך את המצב הזה. אתה תסביר לי את הדלתאות אבל על פניו, אי-עמידה בהוראות התקנות של האיחוד האירופי של ה- adequacy, ישר מייצר לי עיצום ברמה הכי גבוהה.
עמית יוסוב עמיר
¶
אנחנו לא מדברים על עיבוד מידע בניגוד לדין, אנחנו מדברים על זכויות ספציפיות ומערכתיות של נושאי מידע.
עמית יוסוב עמיר
¶
זה לא האיסור. כשאנחנו אומרים עיבוד שלא בהתאם לדין זאת אמירה כללית וצריך להתייחס לאיזה הוראה אנחנו מתכוונים. יש הוראה אחת שמדבר על איסור לעבד מידע שנוצר, התקבל או נאסף של כדין וזה רק על שלב הקבלה.
פה הזכויות האלה כולן, מדברות על השלב שאחרי הקבלה, מסירת הודעה בעת הקבלה או פעולות אחרי הקבלה כולל זכות מחיקה, מנגנון מחיקה רוחבי ואי-שמירת מידע שאינו נדרש עוד. כלומר, אנחנו לא מדברים פה על השלב הבסיסי של חוקיות קבלת המידע ולכן, אותו סעיף כללי לא יושיע אותנו כאן, לדעתי.
היו"ר שמחה רוטמן
¶
טור א' זה בעל שליטה במאגר מידע שלא הודיע בכתב - - - אנחנו צריכים להקריא את כל התוספת?
היו"ר שמחה רוטמן
¶
סעיפי הפרה לצורך הטלת עיצום דו-שלבי בגין התקנות הרלוונטיות
1. הפר אדם הוראה מהוראות התקנות שנקבעו לפי סעיף 36, כמפורט בטור א' בחלק הראשון לתוספת השנייה, החלות עליו, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום הקבוע לגביו בטור ב' לצידה לפי העניין.
2. מצא ראש הרשות כי הפר אדם הוראה מהוראות התקנות שנקבעו לפי סעיף 36 לחוק כמפורט בטור א' לחלק השני לתוספת השנייה החלות עליו, רשאי הוא להודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק את ההפרה בתוך תקופה שיורה; לא הפסיק האדם את ההפרה בניגוד להוראות ראש הרשות כאמור, רשאי ראש הרשות להטיל עליו עיצום כספי בסכום הנקוב בטור ב' בחלק השני לתוספת השנייה.
טור א'
(1) בעל שליטה במאגר מידע שלא הודיע בכתב לנושא המידע על החלטתו בבקשה לפי הוראות תקנה 3(א) לתקנות העברת מידע מהאזור הכלכלי האירופי (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג- 2023 (להלן: "תקנות העברת מידע מהאזור הכלכלי האירופי"), בניגוד להוראות תקנה 3(ד) לתקנות העברת מידע מהאזור הכלכלי האירופי;
לי זה נשמע כמו משהו פרטני.
היו"ר שמחה רוטמן
¶
או-קיי, אז זה צריך להיות ב-ב' ובדומה לסנקציות של ב'. דהיינו, סכום בסיסי נמוך, מוכפל במספר נושאי המידע שלגביהם בוצעה ההפרה עם ה-cap של ב'.
היו"ר שמחה רוטמן
¶
אנחנו נייצר את זה מבחינה ניסוחית אבל מבחינה מהותית זה יהיה הסכום וזה יהיה ה-cap? יהיה אתגר איך לבנות את זה מבחינת הנוסח.
(2) בעל שליטה במאגר מידע אשר לא הפעיל כל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן – מידע שאינו נחוץ) בניגוד להוראות תקנה 4(א) לתקנות ת העברת מידע מהאזור הכלכלי האירופי;
לכאורה, זה תלוי בגודל המאגר ולכן זה שייך ל-ג'.
היו"ר שמחה רוטמן
¶
או-קיי, יחול עליו דין ג'.
(3) בעל שליטה במאגר מידע אשר לא הפעיל כל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן בניגוד להוראות תקנה 5(א) לתקנות העברת מידע מהאזור הכלכלי האירופי;
כנ"ל ג'.
(4) בעל שליטה במאגר מידע אשר מצא, בין השאר על סמך המנגנון האמור בהוראות תקנה 5(א) לתקנות העברת מידע מהאזור הכלכלי האירופי, כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, ולא נקט כל אמצעי לצורך תיקון המידע או מחיקתו בניגוד להוראות תקנה 5(ב) לתקנות העברת מידע מהאזור הכלכלי האירופי;
פה זה לא תלוי בגדול המאגר.
היו"ר שמחה רוטמן
¶
לא, פה זה תלוי במידע שזה חל לגביו. היה לנו את הרובריקה האמצעית הזאת שדיברנו עליה. זה כמו - - -
היו"ר שמחה רוטמן
¶
(5) בעל שליטה במאגר מידע שקיבל בקשה כתובה למחיקת מידע כאמור בתקנה 3(א) לתקנות הגנת הפרטיות, ולא התקיימו החריגים כאמור בתקנה 3(ב), והוא לא מחק את המידע או ביצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע, בניגוד להוראות תקנה 3(ג) לתקנות העברת מידע מהאזור הכלכלי האירופי, וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה, ולא הפסיק את ההפרה בתקופה שהורה.
פה הפונקציה היא מספר נושאי המידע, זה גם פרטני. זה בין פרטני - - -
היו"ר שמחה רוטמן
¶
לא, זה כמו הודעה של ראש הרשות. האינטרס שלי פה הוא שיצייתו להוראות ראש הרשות, זה פחות עניין של גודל המאגר או מספר נושאי המידע. זה נכון שיש לזה איזושהי רלוונטיות אבל בסופו של דבר, זאת הודעת ראש הרשות.
היו"ר שמחה רוטמן
¶
(6) בעל שליטה במאגר מידע אשר מצא, בין השאר על סמך המנגנון האמור בתקנה 4(א) לתקנות העברת מידע מהאזור הכלכלי האירופי, כי במאגר המידע מוחזק מידע שאינו נחוץ לפי תקנה 4(א), ולא מחק את המידע האמור במועד המוקדם האפשרי בנסיבות העניין, ולא ביצע פעולות המבטיחות שלא יתאפשר לזהות את נושא המידע, וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה, ולא הפסיק את ההפרה בתקופה שהורה.
זה שוב אותו דבר. נושא ההפרה.
(1) בעל שליטה במאגר מידע שקיבל מידע על אודות אדם ולא הודיע לו, כנדרש בתקנות משנה 6(א) לתקנות העברת מידע מהאזור הכלכלי האירופי, ולא התקיימו אחת מהנסיבות הקבועות בתקנת משנה 6(ג) לתקנות העברת מידע מהאזור הכלכלי האירופי; וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה, ולא הפסיק את ההפרה בתקופה שהורה.
כנ"ל, זה אותו דבר.
היו"ר שמחה רוטמן
¶
כולל המנגנונים כי בסופו של דבר, זאת שאלה של התקיימות התנאים המהותיים, לכן נדרשת שם ההודעה. זה אותו דבר כולל עתירת דה נובו וכל הדברים, אותו הסדר יחול על הכול.
היו"ר שמחה רוטמן
¶
(2) בעל שליטה במאגר מידע שביקש להעביר את המידע שקיבל לצד שלישי ולא הודיע על כך לנושא המידע כנדרש בתקנת משנה 6(ב) לתקנות העברת מידע מהאזור הכלכלי האירופי, ולא התקיימה אחת מהנסיבות הקבועות בתקנת משנה 6(ג) לתקנות העברת מידע מה אזור הכלכלי האירופי;
פה אין לי הודעה, נכון?
היו"ר שמחה רוטמן
¶
או-קיי, אז גם פה יהיה "וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה ולא הפסיק את ההפרה בתקופה שהורה" וגם פה כל המנגנונים האלה קיימים. יש לנו עוד משהו שנוכל לסיים בחמש דקות לדעתך?
נעמה מנחמי
¶
יש לנו כותרות של המאגרים, כולל מאגר מנוהל על ידי יחיד. לקראת הדיון היושב-ראש אמר שהוא היה מעוניין להרחיב את ההגדרה של מאגר המנוהל בידי יחיד. בפעם הקודמת דיברנו על שני יחידים ואחת ההצעות של היושב-ראש הייתה - - -
היו"ר שמחה רוטמן
¶
היו שני דברים שחשבתי על הסעיף הזה, אחד זה להחריג את הנושא של חובות סודיות או אתיקה מקצועית ושם שכנעו אותי, כולל חלק מהיושבים פה אז אם הם ירצו הם ייקחו אחריות למעשיהם. העבירו כמעט את כל המקצועות המוסדרים לעולם של מאגר רמת אבטחה בסיסית. אני השתכנעתי שזה דבר נכון אז את השינוי הזה אני לא רוצה לעשות. לגבי מאגר המנוהל על ידי יחיד, אני חשבתי שכדאי להפנות להגדרות של יחיד בדומה לחברה - - -
היו"ר שמחה רוטמן
¶
חברת מעטים. לא לגמרי חברת מעטים אבל הכוונה היא שיחיד כולל בתוכו גם את בני המשפחה. אם יש חברה משפחתית שיש לה חמישה בעלי מניות אבל זה המכולת המשפחתית אז לעניין זה, יראו ביחיד גם קרובי משפחה.
היו"ר שמחה רוטמן
¶
בכל מקרה מאזן אותה גודל המאגר, זה שהיא לא מקצוע מסודר ועוד דברים אבל במאגר יחיד הכוונה היא שאני לא מכניס לתוך הגדרת יחיד עסק משפחתי או עסק שמוחזק על ידי שלושה בני-דודים. שלושה בני-דודים הם עדיין חברת יחיד. קרובי משפחה נחשבים אדם יחיד.
היו"ר שמחה רוטמן
¶
אם הם עברו את גודל המאגר אז הם שם, אם הם במקצוע מוסדר אז הם שם אבל הבעלות של חברה - - - ההתכתבות היא עם "אדם וקרובו, אדם ובא כוחו ושותפים בשותפות נחשבים לאדם אחד לצורך הגדרת השליטה".
ניר גרסון
¶
אבל זה לא רק בעלי החברה, זה אומר שאתה גם מרחיב פה את ההרשאות ויכולים להיות עשרות בעלי הרשאה בחברה.
היו"ר שמחה רוטמן
¶
אני מבין. מה שמגביל אותי בסופו של דבר זה גודל המאגר. שים לב, "מאגר מנוהל בידי יחיד" אז יכול להיות שיהיה אפשר - - -
היו"ר שמחה רוטמן
¶
אם כל בעלי השליטה בעסק הם בעלי הגישה למאגר זה משהו אחד. הרעיון הוא שלצורך החלק הראשון של ההגדרה, הכוונה ביחיד זה גם אם בן אדם מנהל את המכולת עם אשתו. הם נחשבים מורשה גישה יחיד, לצורך העניין.
ראובן אידלמן
¶
כדי לתת מענה לעניין הזה, אנחנו הצענו "שני יחידים". ההצעה של "שני יחידים" היא הצעה שלנו בעקבות הערות מהדיון הקודם.
היו"ר שמחה רוטמן
¶
הרעיון הוא שיכול להיות שיש את הבעלים ובהגדרה יש את הנושא של הבעלות ויש את הנושא של מורשה גישה. יכול להיות עסק שהוא בבעלות של 30 אנשים אבל למאגר המידע יש שני מורשה גישה. אנחנו מערבבים בין שני הדברים.
אני אומר שבנושא הבעלות של העסק אז יחיד כהגדרתו בחברת מעטים. אדם וקרובו, אדם ובא כוחות, השותפים בשותפות נחשבים לאדם אחד לצורך הגדרה.
היו"ר שמחה רוטמן
¶
אני חושב שאני יכול להכיל את התרחיש שבו בגלל שאנשים הם הבעלים אז יש להם גישה לאירוע. אני יכול להכיל את התרחיש הזה ונראה לי גם אתם, במאגרים שהם עד 10,000 אנשים המוחזקים על ידי חברה משפחתית. אדם וקרובי משפחתו נחשבים אדם אחד.
היו"ר שמחה רוטמן
¶
רוצה שברגע שיהיו יותר משני מורשה גישה. זאת אומרת, כשיש לי חברה משפחתית של שלושה אחים אז היא אף פעם לא תהיה - - - המכולת השכונתית של שלשת האחים, בהגדרה לא תהיה עסק שמנוהל על ידי יחיד.
היו"ר שמחה רוטמן
¶
מאוד גבוה. אין ספק שכל העסקים המשפחתיים המנוהלים על ידי 20 אחים, יהיו הבטן הרכה של מדינת ישראל.
היו"ר שמחה רוטמן
¶
"ובלבד שאין יותר מאשר חמישה מורשה גישה לעסק"? אני לא חושב כי אני רוצה שעסק שמוחזק על ידי יחיד, לא ייתן יותר משני אנשים שהם מורשה גישה. אני רק אומר שבשנייה שיש לי חמישה בעלי עסק שהם חמישה אחים אז אני מצפה שלכל אחד מהם יהיה גישה למאגר המידע של העסק כי הם בעלי העסק ולכן, אני לא סופר אותם לעניין מורשה הגישה. אני סופר אדם וקרובו כאדם אחד.
יותר מזה, יש לי תחושה שהם ירשמו כמורשה גישה אחד וכולם ייכנסו עם אותה סיסמה, זה כשל אבטחתי מאוד גדול ואני לא מעודד את זה אבל אני אומר שצריך לחיות עם הפרקטיקה שבעסק קטן המוחזק על ידי יחיד אז יחיד זה גם אדם ואח שלו , יחיד זה גם אדם ואשתו ויחיד זה גם אדם והילדים שלו.
גלעד סממה
¶
אנחנו לא רוצים להנציח את הפרקטיקה היום, אנחנו רוצים לחזק את הפרקטיקה של המצב שקיים בשוק בשטח.
נעמה מנחמי
¶
אתה רוצה הגדרת קרוב כזאת כי היא קצת יותר רחבה או הגדרה של בן משפחה ממדרגה ראשונה? אנחנו נמצא לזה את הביטוי אבל האם זאת הכוונה?
היו"ר שמחה רוטמן
¶
לעניין הבעלות של העסק, אני לא רוצה את ההגדרה של קרוב של ניגוד עניינים שהיא מאוד רחבה אלא את ההגדרה הזאת שהיא מצומצמת.
היו"ר שמחה רוטמן
¶
בן-זוג, אח, אחות, הורה, הורה-הורה, צאצא, צאצאי בן הזוג או בן זוגו של כל אחד מאלה.
היו"ר שמחה רוטמן
¶
זה העסק המשפחתי. אף אחד לא יכניס מלא שותפים לעסק בשביל לעקוף את חוק הגנת הפרטיות. בואו נהיה ריאליים לגבי מה זה עסק של יחיד. אנחנו צריכים לסיים.
היו"ר שמחה רוטמן
¶
אחרי שעברנו את זה, ניפגש בפעם הבא. תבוא הודעה על המועד ואני מקווה שנהיה יותר מבושלים על העיצומים. תודה רבה לכולם, הישיבה הזאת נעולה.
הישיבה ננעלה בשעה 14:15.