פרוטוקול של ישיבת ועדה
הכנסת העשרים-וחמש
הכנסת
101
ועדת החוקה, חוק ומשפט
23/06/2024
מושב שני
פרוטוקול מס' 351
מישיבת ועדת החוקה, חוק ומשפט
יום ראשון, י"ז בסיון התשפ"ד (23 ביוני 2024), שעה 12:00
ישיבת ועדה של הכנסת ה-25 מתאריך 23/06/2024
חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024
פרוטוקול
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
מוזמנים
¶
סוריא בשארה
–
עו"ד, ייעוץ וחקיקה, פלילי, משרד המשפטים
עמית יוסוב עמיר - עו"ד, ייעוץ וחקיקה, משרד המשפטים
שירה גרטנברג - עו"ד, ייעוץ וחקיקה, משרד המשפטים
לירון מאוטנר לוגסי - עו"ד, ראש תחום משפט ציבורי, מחלקת ייעוץ וחקיקה, משרד המשפטים
גלעד סממה - עו"ד, יו"ר, הרשות להגנת הפרטיות, משרד המשפטים
ראובן אידלמן - יועץ משפטי, הרשות להגנת הפרטיות, משרד המשפטים
ניר גרסון - עו"ד, סגן יועמ"ש, הרשות להגנת הפרטיות, משרד המשפטים
חמדת קב - עו"ד, יועצת משפטית, משרד הבריאות
מירה סלומון - ראש מנהל משפט וכנסת, מרכז השלטון המקומי
ד"ר רחל ארידור הרשקוביץ - עו"ד, חוקרת, המכון הישראלי לדמוקרטיה
ד"ר דן חי - ראש המרכז לחקר המידע DPI ויו"ר הוועדה להגנת הפרטיות בלשכת עורכי הדין
ענר רבינוביץ' - מנכ"ל, חברת מנכ״ל Privacy Team
איה מרקביץ' - עו"ד, Privacy Director, חברת Privacy Team
ד"ר עמרי רחום טוויג - שותף, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל
דלית בן ישראל - עו"ד, שותפה, ראש תחום פרטיות
ליאור אתגר - עו"ד, שותף, ראש מחלקת הגנת פרטיות, משרד ארדינסט
אייל שגיא - עו"ד, שותף, משרד AYR
רישום פרלמנטרי
¶
איה פרידמן, איטייפ
רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
¶
בוקר טוב לכולם, מזמן לא דנו על הגנת פרטיות. PrivacyTeam חזרו, אתם לא יודעים כמה חסרתם בפעם הקודמת. איפה היינו?
נעמה מנחמי
¶
נראה לי שעכשיו אנחנו סוף-סוף נגיע לדיון חוזר בעבירות שלא הספקנו להגיע אליו בדיון הקודם. זה סעיף 23מז, אני חושבת שהוא נשאר כפי שהוא היה בדיון הקודם. בהטיית ראש הרשות, מפקח או ממוחא חיצוני, היה חסר לנו מומחה חיצוני ואני חושבת שהוועדה עדיין לא הכריעה בנושא של שלוש שנים או שנתיים.
נעמה מנחמי
¶
יש לה שתי נסיבות. "כלל פרטים שאינם נכונים בבקשה לרישום מאגר מידע שהוגשה לפי סעיף 9 או בהודעה על שינוי בפרטים המנויים בסעיף 9ב או בהודעה לפי סעיף 18ג(1)".
נעמה מנחמי
¶
זה תיקון שהוועדה עשתה בפעם הקודמת, או "מסר פרטים שאינם נכונים במענה לדרישה של מפקח לפי סעיף 23יא(1)(1) עד (3) או של מומחה חיצוני לפי סעיף 23טז(ו)".
היו"ר שמחה רוטמן
¶
כן, מאיפה הגעתם לשלוש? אני מתאר לעצמי שהרוב בכל מקרה יהיה בעיצום כספי אבל למה שלוש ולא שנתיים או שנה כמו בדוגמאות המעודכנות יותר?
היו"ר שמחה רוטמן
¶
רק רגע. נא לרשום בפרוטוקול, יושב-ראש הוועדה הכניס את האצבע לפיו והרים אותה באוויר.
היו"ר שמחה רוטמן
¶
הבנתי. אני פשוט שוקל רפורמה להבניית שיקול הדעת בענישה של ועדות בכנסת ושל משרדי ממשלה אחרי שזה כל כך הצליח אצל שופטים. ננסה להבין איך אנחנו קובעים עונשים ועל בסיס מה. טוב שנתיים אז שנתיים, זה דומה למה שכבר קיים. בסדר.
נעמה מנחמי
¶
הקראנו כבר את התיקונים שהוועדה עשתה בהמשך הסעיף. הסעיף הבא זה 23מט והוא חוזר לוועדה בעקבות שינויים.
פנייה לקבלת מידע תוך מסירת פרטים לא נכונים
במקום "במרמה".
23 מט
הפונה לאדם לקבלת מידע לשם עיבודו במאגר מידע ומוסר לו פרטים שאינם נכונים בניגוד לסעיף 11, בכוונה להטעות למסור את המידע, דינו – מאסר שלוש שנים;
אני חושבת שזה מפשט את הסעיף לעומת מה שהיה בוועדה. ניסנו לעשות את ההפשטה הזאת מאז הדיון הקודם. אנחנו מזכירים שיש קבלת דבר במרמה בסעיף 415 לחוק העונשין שעדיין שריר וקיים אבל הוא כנראה לא יטופל על ידי חוקרי הרשות להגנת הפרטיות ככול שיהיה צורך.
נעמה מנחמי
¶
בסדר גמור.
שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר
23 נ
נדמה לי שלא היו שינויים אבל בואו נקריא אותו.
נעמה מנחמי
¶
עיבוד מידע ממאגר מידע בלא הרשאה
23 נא.
המעבד מידע אישי ממאגר מידע, בלא הרשאה של או מאת בעל השליטה במאגר, בניגוד להוראות סעיף 8(א2), דינו – מאסר שלוש שנים.
הסעיפים הקטנים השתנו אבל כרגע, אנחנו מבינים את זה.
נעמה מנחמי
¶
לא. היה לנו דיון על השאלה של איפה עובר הרף והאם הסעיף הזה מייצג גם גניבת מאגר אבל דברים קלים יותר ואני חושבת שהייתה בקשה של עמרי רחום – נדמה לי – לנסות להבהיר שזה לא כל שימוש הכי קטן שהוא קצת שונה מההרשאה. לכן, הורדנו את "בחריגה מהרשאה כאמור".
עמית יוסוב עמיר
¶
לא, סעיף 2(9). פה אנחנו מדברים על שימוש בלא הרשאה. הנורמה דורשת להשתמש עם הרשאה ובהתאם להרשאה והעבירה הפלילית פה מדברת על מישהו שעיבד מידע בלא הרשאה בכלל. ויתרנו על "בחריגה מהרשאה" כי אלו באמת מקרים יותר עמומים שאולי לא מתאימים למשפט.
היו"ר שמחה רוטמן
¶
אתה אומר שבשנייה שאתה כותב "ללא הרשאה" זאת הבחנה קצת משונה כי בסופו של דבר, אתה שואל מה ההבדל בין העדר הרשאה לחריגה מהרשאה. יש לי הרשאה לעשות א' ואין לי הרשאה לעשות ב' אז האם זה חריגה מהרשאה או בלא הרשאה?
נעמה מנחמי
¶
אני חושבת שהכוונה הייתה בשוליים של אותה הרשאה בסיסית. כלומר, היית אמור לעשות א' ועשית ב'.
סוריא בשארה
¶
הורדנו את החריגה מההרשאה כדי לייצר יותר בהירות והכוונה היא שאם החריגה מההרשאה ממש מובהקת וניתן לאבחן אותה כהעדר הרשאה, רק אז תחול העבירה הפלילית אבל השארנו את החריגה מההרשאה לגבי העיצום הכספי. זאת אומרת, המקרים העמומים שיכול להיות שיש בהם חריגה מהרשאה ולא נכנסים לעבירה הפלילית, יטופלו בעיצומים.
היו"ר שמחה רוטמן
¶
הבנתי אבל אני חייב לומר שאני נכוויתי מהלשונות העמומות הללו סביב פרשת הפגסוס. לא כדאי לקרוא לזה פגסוס אלא מה שמכונה פרשת הרוגלות. היה דיון מאוד ארוך ומעמיק – שבעיניי היה מצחיק – על השאלה האם קיבלו מידע ללא צו או שקיבלו מידע בחריגה מצו.
אני אמרתי שאין דבר כזה. אם קיבלתם צו האזנת סתר ולקחתם מידע שאתם לא יכולים לקחת בתוך חוק האזנת סתר אז פעלתם בניגוד לחוק, לא פעלתם בחריגה מהרשאה. אין דבר כזה. זה היה הדיון, על זה היה הוויכוח וזאת הייתה עמדת משרד המשפטים. אם קיבלתי צו להאזין לפלוני והאזנתי לאלמוני, במקרה הזה לא לאלמוני אלא השתמשתי בצו של ההאזנה די לקבל מהטלפון שלו דברים שבכלל לא קשורים להאזנת סתר אז זה רק בחריגה מצו, זה לא "ללא צו".
לא, זה ללא צו כי לא קיבלת צו למשהו שבית המשפט לא מוסמך לתת עליו צו. המשחק הזה בין ללא צו לבין חריגה מהרשאה משאיר שיקול דעת עמום בעבירות פליליות. אני אומר שהכוונה ב-"ללא הרשאה" זה שלא קיבלת הרשאה. אם קיבלת הרשאה לעשות פעולת עיבוד מסוימת ועשית פעולת עיבוד אחרת אז את פעולת העיבוד האחרת עשית ללא השראה, לא בחריגה מהרשאה.
זה נכון שיש זוטי דברים ואלה הגנת רחבות אבל עשית את זה ללא הרשאה. לכן, כשאתם אומרים לי שאתם משאירים את זה בעיצום, אני דווקא מוטרד מהעמימות הזאת. בסופו של דבר, השאלה היא תמיד בינארית. הורשת לעשות את הפעולה שעשית או לא הורשת לעשות את הפעולה שעשית. זאת לא שאלה של חריגה או "ללא השראה", אין הבדל בין התחומים האלה. זה מה שרצית להגיד כשהצבעת או שרצית להגיד משהו אחר?
איה מרקביץ'
¶
איה מרקביץ', חברת PrivcyTeam. כמו שהוזכר בתחילת הדיון, אנחנו החמצנו את הדיון הקודם ורציתי להחזיר אותנו לסעיף שוויתרנו עליו, סעיף 23נ בגלל שהכנסנו סעיף אחר, 8א(1) כמדומני.
איה מרקביץ'
¶
ברור, בגלל זה אני אומרת שאני עושה צעד אחורה ולא מדברת על העבירה. אם נדבר על זה אחרי זה, נדבר אחרי זה אבל רק רציתי להבהיר שזה עניין שאנחנו חושבים שחשוב ללבן אותו.
איה מרקביץ'
¶
סבבה. להבנתנו, אנחנו חושבים שהנוסח שהתקבל בסוף הדיון הקודם הוא "לא יעבד אדם מידע במאגר מידע אלא למטרת המאגר שנקבעה כדין" הוא מאוד בעייתי. אם הוויתור על סעיפים אחרים הוא מתוך הישענות על זה אז אנחנו חושבים שראוי לדבר על זה בנפרד.
היו"ר שמחה רוטמן
¶
אני לא מצליח להבין את ההבדל בין ההגדרה של "חריגה מהרשאה" ו-"ללא הרשאה". בעבירה פלילית אני בוודאי לא מצליח להבין ובעיצום כספי זה צריך להיות ברור לא פחות ואולי אפילו יותר מאשר בעבירה פלילית.
עמית יוסוב עמיר
¶
האמירה שלנו היא כזאת, במשפט הפלילי עמימות פועלת לטובת הנאשם ובאופן כללי, המטרה שלנו היא לעשות את זה כמה שיותר ודאי. לכן, אנחנו מעוניינים לצמצם את רוחב העבירה הפלילית.
עמית יוסוב עמיר
¶
כנראה שיכולנו להגיע לאותה תוצאה גם אם היינו משאירים את הנוסח העמום אבל לא רצינו להשאיר עוד נוסח עמום. זאת אומרת, המשפט הפלילי צריך להיות הכי - - -
היו"ר שמחה רוטמן
¶
בסדר גמור. אז תעשו בעיצום הכספי קיפול ואנחנו נדבר על זה כי גם בעיצום הכספי אני לא רוצה עמימות. זאת אומרת, אני רוצה לדעת האם כשמישהו פועל בחריגה מהרשאה הוא נחשב ללא הרשאה או שהוא נחשב בחריגה מהרשאה ומה זה אומר.
נעמה מנחמי
¶
מסירת מידע מגוף ציבורי
23 נב.
גוף ציבורי שהוא תאגיד, עובד של גוף ציבורי או מי שפועל מטעם הגוף הציבורי, המוסר מידע שחל איסור על העברתו, לפי הוראות סעיף 23ב במטרה שגורם שאינו מוסמך לקבל את המידע יעבדו, דינו – מאסר שלוש שנים; לעניין זה, "גוף ציבורי" – כהגדרתו בסעיף 23."
ראובן אידלמן
¶
בדיון הקודם אדוני ביקש להוסיף כאן גם כוונה אז זה "במטרה שגורם שאינו מוסמך לקבל את המידע יעבדו" ויש כאן גם הבהרה או מגבלה נוספת על כך שחל איסור על העברתו. יש כאן שני צמצומים.
ראובן אידלמן
¶
זה כדי שיהיה ברור שזה רק על מידע שחל איסור על העברתו ולא מידע שאפשר להעביר אותו לפי פרק ד', למשל, בין גופים ציבוריים או משהו כזה. דיברנו על זה בדיון הקודם אבל הסעיף הזה מכוון למצבים שבהם מוציאים מידע - - -
עמית יוסוב עמיר
¶
בסדר, רק חשוב להבהיר לפרוטוקול שיש מקרים פרטניים שבהם חוק ספציפי מתיר את ההעברה וכמובן שבמקרה כזה, העבירה הפלילית לא תחול.
היו"ר שמחה רוטמן
¶
אני מבין אבל הסעיף בחוק אומר "המוסר מידע שחל איסור על העברתו לפי הוראות סעיף 23ב.
היו"ר שמחה רוטמן
¶
אם האיסור שחל פה הוא איסור מכוח חוק אחר אז על פניו – זה נכון שסעיף 23ב לא יתיר – אז על פניו - - -
ראובן אידלמן
¶
23ב קובע איסור קטגורי ואז החריגים לו הם חוק אחר שמאפשר או הסדר של העברה בין גופים שבפרק ד'. אם שניהם לא חלים ועדיין המידע הועבר החוצה - - -
ד"ר דן חי
¶
ד"ר דן חי, DPI group. סעיף 16 קובע עונש של חמש שנים על עבירה מאוד דומה, לא ראוי שזה יהיה אחיד?
עמית יוסוב עמיר
¶
אבל יש שם הדלפה מכוונת של מאגר המידע. פה אנחנו מדברים על משהו שהוא גם חמור אבל זה לא בדיוק זה.
היו"ר שמחה רוטמן
¶
לא אבל סעיף 16 זה גילוי מידע. כן, לכאורה הוא באמת משונה כי הוא אומר שזה גילוי מידע - - --
היו"ר שמחה רוטמן
¶
לא, אבל זה גם לא רק לצורך עיבוד. זאת אומרת, אם אני יושב-ראש על מאגר ואני קראתי במאגר שלפלוני אלמוני יש מחלה גנטית נדירה ואני לא מעביר את זה לצורך עיבוד במקום אחר אלא אני מסתכל ומספר לבת זוגתו שיש לו מחלה גנטית חמורה. זה גילוי אבל זה לאו דווקא לצורך עיבוד.
עמית יוסוב עמיר
¶
אנחנו לא מבטלים את תחולת סעיף 16, אנחנו בסך הכול אומרים שזה סעיף ספציפי לגופים ציבוריים ולא מתקיים בו הרכיב - - -
היו"ר שמחה רוטמן
¶
הרעיון בו זה הנושא של העברת המידע לצורך עיבוד. זאת אומרת, העברת מידע ב-bulk. בסעיף 16 יש פגיעה פרטנית ונקודתית בחובת סודיות והיא לאו דווקא - - -
היו"ר שמחה רוטמן
¶
היא לא חייבת אבל הסיטואציה שעולה לראש זה באמת עובד רשות המיסים שמספר על שומת המס שלך, כמה הרווחת ומאיזה יעד וזה נקודתי, בלי קשר לשאלת העיבוד ובלי קשר לשאלת המסה. כאשר יש גוף ציבורי שמעביר לגוף ציבורי אחר או לגורם אחר בניגוד לחוק אז זה לצורך עיבוד.
עמית יוסוב עמיר
¶
שזה בכלל לא לצורך ביצוע עבודתו, חוק זה או צו בית משפט. זאת אומרת שזה לחלוטין - - -
עמית יוסוב עמיר
¶
לא אבל זה לא רכיב נדרש ביסודות העבירה שאנחנו מציעים כאן. זאת אומרת, אין את רכיב החומרה הנוסף שכן מופיע בסעיף 16 ולכן סעיף 16 הוא יותר חמור.
היו"ר שמחה רוטמן
¶
לא, לא נכון. לצורך העניין, היה את הסיפור על עובד רשות המיסים שהגדיל ראש. היה עובד של רשות המיסים שהגדיל ראש והחליט שהוא עושה חקירות עצמאיות. הוא ישב על מאגרי המידע של רשות המיסים והחליט לחפש כל מיני עברייני מס. אמרו לו שזה לא התפקיד שלו ועשו לו 16? או שעשו לו סעיף אחר? הוא אמר שזה לא לצורך ביצוע עבודתך.
לעומת זאת, יכול להיות מצב בו בן אדם עושה out sourcing לצורך ביצוע העבודה שלו אבל הוא מעביר את המידע בניגוד לנהלים לחברה חיצונית. הוא העביר את המידע לצורך ביצוע עבודתו ואולי אפילו בתחום סמכויותיו אבל הוא לא עשה את זה בהתאם להוראות החוק אז זה עדיין חושף אותו לעבירה מאוד רצינית כי הוא נתן למישהו אחר לעבד מידע למרות שזה לצורך ביצוע עבודה והכוונות טובות מאוד ולא בשביל להפר סודיות. הוא לא התכוון שהמידע ידלוף, הוא פשוט החליט שהוא מעביר את המידע לגוף ציבורי אחר או לספק חיצוני בניגוד לחוק.
עמית יוסוב עמיר
¶
מבחינתנו, זה לשיקול דעת הוועדה. זאת סוגייה של גובה הענישה ורמת הענישה. אנחנו העצנו שלוש שנים אבל אם הוועדה סבורה - - - יש הבדל בין שני הסעיפים, הם לא מכסים את אותו הדבר. דיברנו על זה גם בדיון הקודם, בסעיף 16 יש את ההגנה של "לצורך ביצוע עבודתו" וכאן אותה. יש הבדל ויש צורך בשני הסעיפים בנפרד אבל מבחינת רמת הענישה, זה מה שהוועדה סוברת.
עמית יוסוב עמיר
¶
אני מציע שממש לא כי בסופו של דבר, סעיף 16 במקרה הקשה שלו, יכול לדבר על עובד שמדליף מאגר מידע שלם ופוגע במאות אלפי או מיליוני אזרחים. אני מציע לא לגעת בסעיף 16 כי במקרים הקשים והחמורים - - -
סוריא בשארה
¶
אני חושבת שיכול להיות שיש חפיפה בין שני הסעיפים האלה. הרשות תצטרך לפרסם נהלים לגבי מתי היא אוכפת את סעיף 16 ומתי היא אוכפת את סעיף 23נב.
נעמה מנחמי
¶
יש לי שאלה אחרונה. "במטרה של גורם שאינו מוסמך לקבל את המידע, יעבדו", פרקטית, איך אני מוכיחה את זה שמי שאני מוסרת לו את המידע אני גם מתכוונת שהוא יעבד אותו?
עמית יוסוב עמיר
¶
למשל, אם הוא כתב מייל למישהו אחר שאומר "אני רוצה שזה וזה יעבד אותו". כמו שמוכחים דברים במשפט הפלילי.
היו"ר שמחה רוטמן
¶
לדעתי, הסעיף פה פותר את הבעיה שדובר עליה בתחילת הדיונים. נאמר פה מה קורה אם רוצים להעביר מידע לטובת התממה. אני מעביר את המידע שלא במטרה שיעבדו אותו אלא להפך, אני מעביר אותו כדי שיהפוך אותו ללא מידע. אני מעביר אותו כדי שהוא יתמים את המידע וימחק ממנו את המידע הרלוונטי, אני לא רוצה שהוא יאחסן אותו אלא אני רוצה שהוא יעשה התממה. לכאורה, על פניו הוא לא ייכנס בזה.
זאת הבנתי אבל אם אני טועה, אנא אמרו לפרוטוקול. יכול להיות שזה לא בסדר כי הייתי צריך לעשות את זה בהתאם לנהלים אבל לא התכוונתי שהוא יאחסן מידע ולא התכוונתי שהוא יעבד מידע אסור.
ראובן אידלמן
¶
זה גם כנראה יהיה גורם שהוא מורשה. פה כתוב "לגורם שאינו מוסמך". מישהו שפועל מטעמי כנראה ייפול בעניין הזה של "לא מורשה".
עמית יוסוב עמיר
¶
מידע מותמם הוא לא מידע אם הוא באמת מותמם. הפעולה יכולה להיחשב עיבוד אבל זה תלוי באיזו פעולה מפעילים בשביל זה. אני מציע לא להיכנס דווקא לזה.
היו"ר שמחה רוטמן
¶
נניח שאני מעביר את כל המחשבים הישנים שלי לקבלן גריסה ולא התכוונתי שהוא יעבד אותם אלא התכוונתי שהוא יגרוס את כל הדיסק און קיי שלי ואז הוא לקח את המידע והתחיל לעבור עליו. זה לא בסדר ופעלתי בניגוד לנהלי אבטחת המידע שלי אבל אני התכוונתי שהוא יגרוס את המחשבים, לא התכוונתי שהוא יעבד את המידע שבהם.
היו"ר שמחה רוטמן
¶
יש משהו שהבטחתי בדיון הקודם שהוא אמנם קצת בחריגה מהדיון הקודם שהיה פה היום אבל אני אומר את זה כאן לשם ההרמוניה החקיקתית. בזמן שאנחנו יושבים פה ומחוקקים את חוק הגנת הפרטיות, כמה שעות קודם ישבו אצלי בצו איסור הלבנת הון ודורשים שכל נש"פ וכל מפעיל שירותי תשלום, יחזיק מאגר מידע עם צילומי תעודות הזהות משני הצדדים של אזרחי מדינת ישראל בכדי לעמוד בחובות לפי צו איסור הלבנת הון ואין שם שום privacy by design.
אני מציע שממשלת ישראל תיקח ייעוץ אבטחה ופרטיות לפני שהיא מביאה לי צו איסור הלבנת הון. אני ביקשתי שבדיון הבא יביאו את חוות הדעת של הרשות להגנת הפרטיות ושל הסייבר כי אני חושב שזה חושף את מדינת ישראל לאיומי פרטיות וסייבר שאין בהם צורך ואפשר למצוא להם פתרון אחר.
ככלל, אנחנו מייצרים פה חובות שבדין להחזיק כל מיני מידעים שלא צריך או שאפשר לצמצם. אפשר לדרוש שיחזיקו רק הארד קופי או כל מיני דברים כאלה. מכאן בקשתי שלוחה לתשומת לב של הנוגעים בדבר.
נעמה מנחמי
¶
טוב. היו כאן כמה בקשות של הוועדה. הראשונה היא להבהיר שאותו צו הפסקה שהתייחסנו אליו בסיפה של סעיף קטן (א) - - -
נעמה מנחמי
¶
כן. הוספנו גם את 23ב וגם רצינו להבהיר שאותו צו הפסקה לא יינתן במסגרת אותן 48 שעות או באותו הסדר של לפני שמיעת - - -
היו"ר שמחה רוטמן
¶
בסדר אז אלה השינויים שהכנסנו בסעיף הזה. א', הוספנו את 23ב. ב', ייצרנו שני סוגי צווים, צו הפסקה או צו הפסקת עיבדו וצו מחיקה ובנוסף, הוספנו שבית המשפט - - -
עמית יוסוב עמיר
¶
אדוני, אני רק רוצה להבהיר שצו מחיקה הוא לא סוג נוסף אלא תת-סוג של הפסקה כי כל ההוראות פה מדברות על צו הפסקה.
היו"ר שמחה רוטמן
¶
נכון, בסדר גמור. הוספנו את 23ב, הוספנו את הנושא שצריך לשים לב לחופש ביטוי שעלול להיגרע ממתן הצו והגדרנו שב-48 שעות כשנותנים צו במעמד צד אחד אז לא יכולים לתת צו מחיקה אלא יכולים לתת רק צו הפסקת עיבוד או צו הפסקה אחר.
נעמה מנחמי
¶
נכון. שני דברים נוספים, אחד מהם זה שהכנסנו לתוך שיקול דעת בית המשפט את הבחינה של יסוד סביר להניח כי מתבצעת או עמדת להתבצע במאגר במידע הפרה של הסעיפים הרלוונטיים והייתה לנו גם בקשה של הוועדה להתייחסות לאיזה - - -
עמית יוסוב עמיר
¶
אחרי שמגדירים צו הפסקה "וכן יכול הוא להוראות" אז אולי "במסגרת צו כאמור יכול הוא ההוראות".
היו"ר שמחה רוטמן
¶
בסדר. לעקרון הזה הסכמנו. יוגדר שצו מחיקה הוא סוג של צו הפסקת עיבוד, בסדר גמור. לגבי איך עושים את זה מבחינת הנוסח, הכול בסדר.
עמית יוסוב עמיר
¶
מבחינת סדרי הדין, אנחנו מביאים פה את העמדה של המומחים בנושא לעניין סדרי דין אצלנו. באופן עקרוני לא מקובל להפנות לתקנות ספציפיות. גם בפסיקה וגם בספרות יש קביעות מפורשות שבמקרה שעוד לא נקבעו סדרי דין ספציפיים, מה שיחול זה תקנות סדר הדין האזרחי וגם לא כל כך מקובל להפנות בחקיקה ראשית לתקנות מסוימות כי אחר כך יכולות להיות כל מיני בעיות בתחום.
עמית יוסוב עמיר
¶
אנחנו מעדיפים שלא יצוינו תקנות בכלל. אם צריך לציין תקנות אז יש לנו איזושהי העדפה אבל מבחינתנו, ברירת המחדל הראשונה היא לא לציין מה קורה עד הפעלת סמכות הרשות – שמופיעה פה – לקבוע סדרי דין ואנחנו מבינים שככה מקובל בהרבה מאוד דברי חקיקה אחרים ושיש הלכה מסודרת בנושא שבמקרה כזה חלות סדר הדין האזרחי.
היו"ר שמחה רוטמן
¶
אבל תקנות סדר הדין האזרחי לא כל כך נותנת מענה לבקשה של רשות, תקנות סדר הדין האזרחי לא מותאמות לפנייה מטעם רשות. על פניו, זה היה יכול להיות אבל היה יותר מתאים להפנות פה לסדר דין פלילי מאשר לסדר דין אזרחי.
ראובן אידלמן
¶
אם הוועדה סבורה שצריך להפנות אז מה שהכי דומה זה תקנות האזרחות, סדרי דין בבקשה לביטול אזרחות. זה הליך שהמדינה יוזמת בבית המשפט. נכון שזה הליך שהוא בנושא אחר אבל מבחינת סדרי הדין, זה הכי דומה במטריה. שוב, מה שעמית אמר זאת העמדה אבל אם הוועדה סבורה שצריך להפנות בכל זאת אז אלה התקנות הכי דומות והכי הגיוני שהן יחולו בתקופת הביניים. גם כשאנחנו נבוא לכתוב סדרי דין, אנחנו נסתכל עליהן.
ראובן אידלמן
¶
בגלל שהוועדה הוסיפה שהתקנות הן באישור הוועדה אז אנחנו קצת תלויים בלוחות הזמנים של הוועדה.
ראובן אידלמן
¶
אם הוועדה סבורה שצריך לכתוב אז מהותית, ההעדפה שלנו היא שתהיה הפניה לסדרי הדין בבקשה לביטול אזרחות.
היו"ר שמחה רוטמן
¶
בסדר, אני דווקא מכיר את התקנות האלה והן נראות לי מתאימות למטריה אבל השאלה היא אם נכתוב אותן במפורש או נכתוב בהליכים דומים. אני לא יודע, אפשר להגיד "נהוג בהליכים דומים ולהשאיר לפרוטוקול את זה שאנחנו מתכוונים לתקנות האזרחות אם לא רוצים להפנות בחוק לתקנות של חוק אחר.
ד"ר עמרי רחום טוויג
¶
יש את עניין ההגנות שדיברנו עליו גם בדיון הקודם ואמרנו שנקבל התייחסות אם רשות סעיף 18 חל גם על הליכים מנהליים באופן רוחבי או לא.
עמית יוסוב עמיר
¶
אני אומר שלעניין הנוסח אנחנו נסכם עם הייעוץ המשפטי לוועדה ובמהות, התשובה היא חד-משמעית כן. הפרות לפי סעיף (2) בכלל ופה ההפרה הספציפית שאנחנו מדברים עליה היא הפרת סעיף (2)(9), נכללת תחת - - -
היו"ר שמחה רוטמן
¶
לשאלה ניתנו שתי תשובות סותרות בדיון הקודם. כתוב ב-18 "בהליך אזרחי או פלילי" ולא כתוב "הליך מנהלי" ועלה השאלה האם ההגנות האלה חלות גם בהליך מנהלי. דהיינו, אם בן אדם עובר על הוראות סעיף 23ב.
היו"ר שמחה רוטמן
¶
הוא אמר על (2)(9) שכן ואנחנו מתקדמים שלב. הוא אמר שזה עניין של נוסח ואני שואל לעניין 23ב.
עמית יוסוב עמיר
¶
רגע, שנייה. התשובה היא לגבי סעיף (2) כן ולגבי 23 לא. התשובה היא שיש הגדרה, סעיף (2) מגדיר פגיעה בפרטיות ובסעיף (18), ההגנות חלות על פגיעה בפרטיות כהגדרתה בסעיף (2). זה היסוד של - - -
עמית יוסוב עמיר
¶
הסיפור המנהלי הוא דבר שצריך לפתור ברמת הנוסח אבל להגיד פתאום שכל הפרקים ב' ו-ד' שהם לא פרקים לפי סעיף - - -
היו"ר שמחה רוטמן
¶
אני שואל שאלה מאוד פשוטה. אתה לחשת לי באוזן סוד וסיפרת לי על משהו שמתרחש אצלך ברשות להגנה על הפרטיות או במשרד המשפטים שמזעזע את אמות הסיפים, כחושף שחיתויות ואני אמרתי לך "תודה שהסבת את זה לתשומת ליבי, אני אטפל בזה".
המידע הזה הוא מידע אישי שמסרת לי כי מה שסיפרת לי נוגע למידע פרטי שמוחזק בידי הרשות להגנת הפרטיות או בידי משרד המשפטים ואתה מסרת לי את המידע הזה כדי לחשוף שחיתות במטרה כשרה. חלות עליך ההגנות של סעיף 18, נכון? על פניו, אם אני מבין נכון יש לך חובה מוסרית לעשות את זה.
היו"ר שמחה רוטמן
¶
מצוין. המידע שאתה העברת לי הוא לא רק אישי אלא אתה גם הודעת לי שבמשרד המשפטים – אני סתם מתפרע – מחזיקים מאגר מידע. אתה יודע מה, לא משרד המשפטים, בואו נניח שזה הגנת בתי המשפט – זאת סתם דוגמה מהעבר – שמחזיקים מאגר מידע סופר רגיש על מלא שופטים כולל הערכות פסיכולוגיות עליהם.
נניח שאתה הבאת לי את המידע הזה כחושף שחיתויות ולא זאת בלבד אלא אתה חושף שחיתות שאותו מאגר מידע סופר רגיש שאסור בכלל להחזיק אותו גם לא נרשם בדין, בימים שעוד הייתה קיימת חובת רישום כדין ואז אני אומר לך "תקשיב, אתה מעלה טענה מאוד חמורה. אתה בטוח שזה נכון?"
ואתה אומר לי "כן, הנה תראה" ואתה מראה לי את מאגר המידע או אפילו שולח לי אותו.
על זה שאתה העברת לי את המידע הרגיש מתוך המאגר כדי לשכנע אותי, חל (2)(9) אבל על זה שאתה העברת לי את המידע מהמאגר כדי להראות לי את זה, אתה עשית שימוש שלא למטרה שלשמה נמסר או בניגוד למטרה או בניגוד לסעיף 23 ולא חלות עליך ההגנות כי זה 23. האם זה נראה לך הגיוני? לי זה לא נראה הגיוני.
התיאור הפנטסטי הזה איננו תיאור דמיוני כלל ועיקר כי בדיוק בדרך הזאת קיבלתי את המידע של מאגר יהלום מאיזשהו מישהו שהדליף לי אותו והבאתי אותו במעטפה סגורה לשופט בית המשפט המחוזי שיעתור כי עד אז כולם הכחישו את קיומו. הדבר הזה כבר קרה ועכשיו אתה מספר לי שאותו אדם שמסר לי את מאגר המידע בקובץ אקסל, לא חלות עליו ההגנות לפי סעיף 18 אבל אם הוא הדפיס לי אותו ונתן לי אותו ביד אז כן חלות עליו ההגנות כי זה עיבוד מידע וזה לא עיבוד מידע.
אני אומר שאם חלות עליו ההגנות במקרה א' אז חלות עליו גם במקרה ב' ואם לא חלות עליו במקרה א' אז לא חלות עליו במקרה ב'. השכל הישר אומר שאין הבדל. כל הדברים האלה הם מעשה שהיה, זה דוקומנטרי.
עמית יוסוב עמיר
¶
אולי גם עליהן נחיל את ההגנות לפי חוק הגנת הפרטיות? על כל חוק העונשין צריכות לחול ההגנות לפי חוק הגנת הפרטיות כי העבירה של מסירת ידיעות היא גם - - - אם עובד ציבור מסר מידע אולי זאת גם עבירה לפי חוק העונשין.
בסופו של דבר, המחוקק מצא את פרק א' כדי לאזן עם הגנות וזה מודל חריג בספר החוקים הישראלי. זה אולי דומה רק לחוק איסור לשון הרע.
היו"ר שמחה רוטמן
¶
אבל כל הסיבה שייצרתי את כל ההוראות האלה זה כדי להגן על רציונל הפרטיות, אחרת זה לא מעניין אותי.
ד"ר דן חי
¶
המקרה הזה הוא טעות היסטורית. בהצעת החוק הראשונה היה את הפרקים א', ג' ו-ה' והוסיפו את פרק ב' ברגע האחרון, פחות מחודש לפי שהחוק עבר – אני מדבר על 1981 – אז לא תיקנו את הכותרת של סעיף ההגנות אבל אני לא חושב שמישהו התכוון שההגנות לא יחולו על פרק ב'.
ראובן אידלמן
¶
הנושא הזה ליווה אותנו לכל אורך הדיונים בהצעת החוק. אנחנו אמרנו כאן בהרבה מאוד הקשרים שההגנות לא חלות בפרק ב'. אני אחזיר אותנו לדיונים על צמידות המטרה, חלק מההסדרים שהוועדה קבעה הם בראי ההבנה – שעד עכשיו לפחות, לא הייתה במחלוקת – שההגנות לא חלות על פרק ב'.
מכיוון שהשאלה של אדוני נוגעת לסעיף הספציפי הזה, כאן צריך קודם כול להשתכנע שיש הפרה או שעומדת להתבצע הפרה.
היו"ר שמחה רוטמן
¶
אני לא רוצה שזה יחול על פרק ב', אני רק רוצה שזאת תהיה הגנה טובה במשפט פלילי, אזרחי ומנהלי. אני לא רוצה שזה יחול על פרק ב'.
היו"ר שמחה רוטמן
¶
מצוין, בסעיף 18 יהיה כתוב "פלילי, אזרחי ומנהלי" ואנחנו ממשיכים. דן, אם אין מחלוקת אז אין מחלוקת. אני לא רוצה לריב על דברים שאין עליהם מחלוקת.
היו"ר שמחה רוטמן
¶
אחרי שאמרנו שאנחנו לא רוצים לריב על דברים? ניתן לבית המשפט לשבור את הראש על האירוע הזה. אני חושב שצריך שיהיה כתוב "פלילי, אזרחי ומנהלי" ואם חושבים שזה לא משום פגיעה בפרטיות אז בסדר, תתווכחו על זה אחר כך.
אני לא חושב שיש הבדל אם אני מעביר פתק, קובץ אקסל או אימייל לעניין תום הלב. אני לא רואה הבדל ואני חושב שצריך שהרציונל של סעיף 18 צריכים לחול בין אם אני מקבל אימייל ובין אם אני מקבל פתק.
היו"ר שמחה רוטמן
¶
די. אני לא מביע שום עמדה לגבי פרק ב'. אני מביע את הרצון שבסעיף 18 יהיה כתוב "פלילי, אזרחי ומנהלי", זה הכול. אני לא מביע עמדה על פרק ב', לא מביע עמדה על פרשנויות שונות לסעיפים שונים בפרק ב', הרציונל שלהם או צמידות המטרה שלהם. אני לא מתעסק בזה. אני רק אומר שבסעיף 18 יהיה כתוב "פלילי, אזרחי ומנהלי".
היו"ר שמחה רוטמן
¶
אני יודע שהיא צודקת אבל אני לא יכול לפתור את כל בעיות העולם. אני חושב שההגדרה "פלילי, אזרחי ומנהלי" היא מספיק רחבה כדי לגרום לזה שיטענו הטוענים את מה שהם רוצים לטעון. אני לא עוסק בשאלה האם זאת טעות היסטורית שזה לא חל על פרק ב' או שנכתב פרק ב'. איני מכריע בכך ואני משאיר את העיסוק וההכרעה בסוגייה הזאת לתיקון מספר 15.
אני כן חושב שזה לא הגיוני שמישהו יהיה פתור מפלילי ופתור מאזרחי באירוע מסוים ובמנהלי, יוכלו להיכנס בו. האם אפשר יהיה להיכנס בו? האם הפרה של הוראות עיבוד בניגוד לדין היא אסורה בגלל שדין כולל בתוכו את סעיף (2)(9) או לא בעיבוד בניגוד לדין? השארתי מקום לחברי להתגדר.
ענר רבינוביץ'
¶
אדוני, בגלל שההגנות מתרכזות בפגיעה בפרטיות אז אנחנו כן תקועים רק עם מה שתחת סעיף (9)(2).
היו"ר שמחה רוטמן
¶
אני לא מסכים איתך כי אני חושב שההחלטה - - - מה הנוסח של סעיף 18? אתה מכריח אותי בכל זאת להתעכב על זה ואני לא רוצה.
היו"ר שמחה רוטמן
¶
האם כאשר אדם מעבד מידע ללא הרשאה זה נחשב פגיעה בפרטיות או שזה נחשב רק עיבוד ללא הרשאה והאם אותו מעשה ראוי להגנה חלקית או מלאה? אני לא רוצה להכריע בזה. ברור לכולנו שסוגיית העיבוד ללא הרשאה גם כאשר אין בה משום פגיעה בפרטיות, היא מעוררת בעיות אחרות.
לעומת זאת, כאשר הבעיה היחידה בעיבוד ללא הרשאה היא הפגיעה בפרטיות אז ברור לכולנו שיחולו ההגנות של פגיעה בפרטיות ויש מקרים אחרים. העברת מידע ושימוש בו שלא למטרה שלשמה הוא נמסר, יכול להיות בו משום פגיעה בפרטיות.
נניח שאני מעביר את מאגר המידע הזה למישהו שזכאי על פי דין לדעת את המידע הזה אז אין בעיה של פגיעה בפרטיות כי המידע היה יכול להיות מועבר אליו אבל זה עדיין מידע בניגוד למטרה שלשמה הוא נמסר. אין פגיעה בפרטיות וזה מקרה טהור, האם יש מקרה ביניים? בוודאי שכן. יהיו צריכים לבדוק מה היא הסוגייה הדומיננטית בכל סוגייה אבל לכולם ברור שיש מקרים שבהם אין פגיעה בפרטיות. באי-עמידה באבטחת מידע בסעיף 17, לא נעשתה פגיעה בפרטיות באותו אירוע.
היו"ר שמחה רוטמן
¶
אם המידע דלף אבל המידע לא דלף באותו מקרה תיאורטי עליו אנחנו מדברים. לא נעשתה פגיעה בפרטיות אבל הוא לא שם firewall. אז האם בגלל שהוא לא שם firewall והוא בן אדם שיש לו מטרה אישית כשרה או כל מיני דברים אחרים של סעיף 18 - - - זה לא קשור אחד לשני, זה פשוט נותן error. זה לא רלוונטי.
היו"ר שמחה רוטמן
¶
כאשר העברת המידע נוגעת בפרטיות אז בוודאי שזה כן רלוונטי. מה היסוד הדומיננטי בכל אירוע, יכריע מי שצריך להכריע.
היו"ר שמחה רוטמן
¶
לא, לא. על (2)(9) הבהרנו שגם במנהלי זה חל. על זה אין ויכוח וגם הרשות לא מתווכחת על זה.
היו"ר שמחה רוטמן
¶
עד עכשיו, לגבי הספק הפרשני שכמה אנשים פה דיברו עליו שמדבר על אזרחי או פלילי ולא מדבר על מנהלי, הייתה יכולה להיות סיטואציה שהיו אומרים לך ב-(2)(9) שזה בסדר אבל במנהלי ההגנות שלך לא רלוונטיות. אז לא, במנהלי ההגנות שלך כן רלוונטיות.
מה קורה לגבי מקרה שבו הפגיעה בפרטיות נעשתה בדרך של שימוש בידיעה שלא למטרה שלשמה היא נמסרה?
היו"ר שמחה רוטמן
¶
לא יודע. אני לא רוצה להכריע ואני לא רואה סיבה להכריע בזה. אני אומר שבטוח יש מקרים שבהם האירוע הוא פגיע בפרטיות פר אקסלנס, בטוח שיש מקרים שבהם האירוע הוא בכלל לא פגיעה בפרטיות אלא הפרת הוראות המאגרים, יש מקרי ביניים ובהם, ידון מי שרוצה לדון.
איה מרקביץ'
¶
אדוני, אפשר להגיב ספציפית לעניין הסעיף הזה של צו הפסקת העיבוד או שם פחות מפחיד שיעלה בדעתנו בהמשך?
איה מרקביץ'
¶
אני חושבת שלדבר הספציפי שאנחנו מדברים עליו עכשיו, יש משמעות גם לעניין באילו הפרות תקום הסמכות להטיל או לבקש צו הפסקת עיבוד. תתקנו אותי אם אני טועה או לא מבינה נכון את הסעיפים שמנויים פה בסעיף קטן (א) כי הנוסח המשולב הוא לא לפני.
גלעד סממה
¶
אלו נושאים שכבר נסגרו בפעם הקודמת. זה לא ייתכן שבגלל שלא היית בדיון אז עכשיו אנחנו צריכים לדון בזה עוד פעם.
היו"ר שמחה רוטמן
¶
חברים, אני לא צריך עזרה בניהול הדיון. אני מנסה להבין את הסוגייה ואני חושבת שאנחנו עומדים בזמנים אז הכול בסדר. בואו נשמע מה האירוע, אני לא הצלחתי להבין.
איה מרקביץ'
¶
רק רציתי לדעת שאני מבינה נכון את הסעיף שמתקיימת בו הסמכות לבקש מבית המשפט צו הפסקת עיבוד. כשיש בסעיפים (2)(9) שימוש בידיעה שלא למטרה לשמה נמסרה בפרק א'. ב-8א(1) זה עיבוד בניגוד לדין.
היו"ר שמחה רוטמן
¶
אני מבין. אני יכול לנסח את השאלה עבורך ואם אני טועה אז תתקני אותי? ברשותך, היא שואלת כזה דבר - - -
היו"ר שמחה רוטמן
¶
לא, אבל זה קשור ואני חושב שהשיא דווקא מתכוונת למה שדיברנו עליו עכשיו ולא למה שדיברנו עליו בדיון הקודם. לפחות ככה אני הבנתי את שאלתה אבל נראה לי שהדרך קצת ארוכה מידי אז נעשה את זה פשוט. אני רשם של הרשות להגנת הפרטיות, מזהה שבמאגר מסוים עומדת להתבצע שימוש בידע שלא למטרה שלשמע נמסר. זה (2)(9) הכי טהור ונקי עכשיו, נכון? זה שימוש בידיעה שלא למטרה שלשמה נמסרה הכי נקי שיש, אבל אני כרשות חושבת שאמנם הולכים להשתמש במאגר המידע שם אבל הולכים להשתמש בזה תוך כדי ביצוע עיסוקו של הפוגע כדין ובמהלך עבודתו.
היו"ר שמחה רוטמן
¶
או בדרך של פרסום שהוא מוגן לפי סעיף 13 לחוק איסור לשון הרע. זה מה שהתכוונת אליו או שלא?
איה מרקביץ'
¶
לא, אפשר גם לדבר על זה אבל רציתי להגיד משהו לפני ההגנות. אני מסתכלת על הסעיפים ועל ההפרות שבהם מתקיימת הסמכות לבקש צו הפסקת עיבוד מבית המשפט והם סעיפי מהות עמומים. אנחנו כולנו מבינים את זה.
עמית יוסוב עמיר
¶
לא, הם לא סעיפי מהות עמומים. אלה סעיפים שהוועדה דנה בהם ואישרה אותם. הם פשוט נכתבו בתמצית ובמסמך ההכנה לא כתבו את כל הסעיף הארוך.
איה מרקביץ'
¶
אני יודעת מה הסעיף המלא. אני מתייחסת לעמימות המקורית. "לא יעבד אדם מידע במאגר מידע אלא למטרת המאגר שנקבעה כדין", סעיף 8(א)(1).
איה מרקביץ'
¶
נכון? למה אדם ולא בעל שליטה אחראי על צמידות המטרה? מה זה מידע במאגר מידע שאסור לו לעבד ומה זה מטרת המאגר?
איה מרקביץ'
¶
אני יודעת, אני חוזרת לזה לרגע כי אני חושבת שיש פה בעיה שהיא מעבר לבעיה בסעיף שאפשר לדבר עליו בנפרד. אמנם זה בצו בית משפט אבל כמה סמכות כל כך פוגענית להפסקת עיבוד מוחלטת או חלקית בתנאים? צריך לחשוב מה זה אומר בהמשך ישיר למה שדיברנו עכשיו על כך שבית המשפט יפרש.
איה מרקביץ'
¶
אני רוצה להדגיש כי לקראת הדיון הזה אני התכוננתי וקראתי כל מיני פסקי דין שכבר ראיתי בעבר וחזרתי לפרוטוקולים מ-2007 שדיברו על ההסכמה מדעת והדבר שחוזר לאורך כל ההיסטוריה החקיקתית של החוק הזה הוא שאנחנו שוב ושוב – בוועדה הזאת ובקודמותיה – תולים את יהבנו בבית המשפט שיפרש ומשאירים את הנורמה עמומה ואז כשאתם קוראים את הפסיקה - - -
היו"ר שמחה רוטמן
¶
זה סעיף שדנו בו ארוכות ואני כן חושב שהגענו פה לנוסח טוב. יש בו עמימות מסוימת אבל הבנו באיזה מקרים מדובר ויש פה גם את הפרוטוקולים ואת המקרים שעליהם דובר. זה סעיף 8א(1). עכשיו השאלה היא כיצד ה דבר הזה יתפרש בפסיקת בית המשפט ביציר החדש של צו הפסקת עיבוד, צו הפסקה או צו מחיקה.
אין מה לעשות, הדברים האלה יפורשו בסופו של דבר בהתאם, בפסיקה. אנחנו לא יכולים לחשוב על כל המקרים בחקיקה, אנחנו מחוקקים מאחורי מסך בערות. זה חלק מהאינהרנטיות של זה. אבל מעבר לסעיף 8א(1) שאת לא אוהבת את הניסוח שלו, אני חושב שאנחנו יודעים על מה מדובר בסעיפים האחרים פה ואם הרשות יודעת או חושבת שבמאגר הולכת להתבצע הפרה אז שתפנה לבית המשפט ותנסה לשכנע בזה. זה לא שונה מכל דבר אחר.
איה מרקביץ'
¶
זה שונה ממה שקורה בחו"ל כי כשאתה בודק מתי רשויות משתמשות בסמכות הדרקונית מאוד של processing ban, להפסיק לעבד את המידע חלקית בתנאים או באופן מלא אז קודם כול, תמיד יש תהליך דו-שלבי וזה נכון לכל ההפרות, לא רק לצו. תמיד רשות צריכה לנמק והיא תמיד צריכה לתת הזדמנות לתקן.
איה מרקביץ'
¶
שמת לב מה חסר לך פה? אם אתה בודק בחוק הבריטי שהפניתם אליו בסעיף של הסמכות לתת צו הפסקת עיבוד, יש לך את כל הסעיפים שאין אצלנו.
היו"ר שמחה רוטמן
¶
אני חייב לומר שפה אני לא מקבל את הטענה. אני חושב שאנחנו שמנו פה יותר הגבלה על הרשות מאשר במקומות אחרים. תחשבי שבמדינה אחרת נניח בבלגיה, רשות הגנת פרטיות תיתן לבן אדם צו הספקת עיבוד - - -
לא משנה כרגע איזה הליך קדם מנהלי הם יעשו אצלם וגם פה אני לא אוסר עליהם לעשות תהליך קדם מנהלי לפני פנייה לערכאות או התראה, שיעשו מה שהם רוצים. הם יכולים לעשות מה שהם רוצים בכדי לגשת לבית המשפט עם תיק שהם בטוחים בו, זה עניין שלהם ולא שלי אבל הם ניגשו לבית משפט ואני הכרחתי אותם להוכיח דה נובו לבית משפט את האירוע, כולל זה שהם יצטרכו להראות וכולל את זה שהוספנו שבין הדברים שבית המשפט בודק זה שיש יסוד סביר להניח. הוא לא מניח שבגלל שהם חושבים שיש יסוד סביר אז יש יסוד סביר, את זה אנחנו הוספנו פה בוועדה בדיון הקודם.
היו"ר שמחה רוטמן
¶
בסדר אבל גם ב-GDPR הנורמה לא מאוד ברורה. הנורמות הן לא ברורות והן מתפרשות בהחלטות של רשות. פה הן מתפרשות בהחלטה של בית משפט אז הם יצטרכו לבוא עם זה לבית משפט. תחשבי שאותה רשות בבלגיה תיתן את הצו ומישהו יעתור נגדה לבית המשפט לעניינים מנהליים בבלגיה אז הוא כבר נמצא בעמדת נחיתות יותר מאשר מה שאני נותן לו פה.
אני מתאר לעצמי ששם גם יש חזקת תקינות מנהלית של הרשות והוא צריך להראות שהיא פעלה שלא כדין. פה, הרשות צריכה להראות שהיא פעלה כדין כדי לקבל מבית המשפט את הצו הזה. כלומר, הפכתי פה את הנטל.
ראובן אידלמן
¶
כפי שאדוני אמר בצדק, זאת לא ביקורת שיפוטית. בית המשפט הוא בעל הסמכות והוא דן דה נובו.
איה מרקביץ'
¶
אני מבינה את העקרון שהוא במצב יותר טוב משם במובן הזה שעשינו איזשהו פיצוי אבל הבעיה היא שבסוף, בבסיס – אנחנו כולנו עוסקים בתחום אז אנחנו יודעים מה קורה כשאנחנו קוראים פסיקה ותופסים את הראש – שופטים לא מבינים את הדין כי הם לא עוסקים בזה ביום-יום ומבחינה סוציולוגית הם כנראה לא ממוקמים במקום עם הכי הרבה אוריינות דיגיטלית ובגיל שמתאים או בקרבה לתעשייה ועסקים בשביל לדעת.
היו"ר שמחה רוטמן
¶
אולי נעשה כאן תיקון עקיף לוועדה לבחירת שופטים. אני מאוד אשמח. אני אומר שאין ספק שיש בעיה עם זה ששופטים הם ללא אוריינות דיגיטלית אבל - - -
היו"ר שמחה רוטמן
¶
אתה יודע שאני אהיה פרטנר לכל בית משפט שיקום וייקח סמכות מבית המשפט הנוכחי ובכל זאת אני אומר שאני חושב שמבחינת האיזונים, ייצרנו פה משהו שהוא הרבה יותר מאוזן. אני חושב שהסעיפים שעל הפרתם אנחנו מדברים, הם יותר בהירים ונהירים מהמצב הקיים. בכל סעיף שבו נגענו, הבהרנו את המצב לעומת המצב הנוהג היום.
בשנייה שהורדנו את חובת הרישום, הגדרנו את מטרת המאגר שהוגדרה כדין וכל עמימות בהקשר הזה תקשה עליהם את החיים כי פעם, הסמכות לרישום מאגר והפרשנות שלהם של הביטוי "כדין לרישום מאגר" הייתה כולה בין אוזניו של הרשם והיום אם הם ירצו לעשות משהו, הם יצטרכו לפנות לבית משפט ולשכנע אותם שזה לא כדין. הנטל עליהם הוא לא פשוט בכלל.
את אומרת שיכול להיות שהיה עדיף שנעבור כבר לתיקון 15 והכול נכון אבל אנחנו לא יכולים לחזור לזה כל פעם.
איה מרקביץ'
¶
נכון אבל כשאנחנו הולכים להבהרה של הגדרת הרשות או ההפרה שהיא הכי מהותית מבחינתנו כיום, כי חסר לנו את עקרונות העיבוד והבסיסים החוקיים אז אנחנו נמצאים במקום שבו באמת מאוד חשוב שהדבר הזה יוסדר אבל לא בצורה בה לא ברור מה היא הנורמה. המטרה שלשמה הוקם - - -
איה מרקביץ'
¶
ראיתי את ההקלטה אתמול ולהבנתי, בדיון אתמול אמרתם שמדובר במטרה שלא סותרת דין חיצוני לחוק הגנת הפרטיות. אני צודקת?
היו"ר שמחה רוטמן
¶
גם, בין היתר וגם את חוק הגנת הפרטיות. בסדר, הנקודה ברורה. אני מצטער. יש עוד דבר בסעיף הזה או שסיימנו?
ד"ר עמרי רחום טוויג
¶
אני ד"ר עמרי רחום טוויג מטעם גוגל ישראל. הבהרנו את עניין תחולת ההגנות והכול בסדר אבל בכל זאת יש עניין ניסוחי. כשבית המפשט שוקל אם יש יסוד סביר להניח כי מתבצעת הפרה של סעיף אז ההפרה מתקיימת לפני קיומה של הגנה. הגנה היא תמיד אחרי קיומה של הפרה, הגנה לא נכנסת לתוקף לפני שיש קיומה של הפרה אז לכן צריך להבהיר כאן " ולא מצא שמתקיימת הגנה בעניין" כי אחרת זה פשוט מרוקן את זה מתוכן לחלוטין.
היו"ר שמחה רוטמן
¶
האמירה שנאמרה גם על הסעיף הזה וגם כשנתקן את סעיף 18 ונוסיף "או מנהלי", היא מספיק ברורה כדי שאם יש הפרה ויש עליה הגנה אז זאת לא באמת הפרה. כמו שבן אדם שמרביץ למישהו בהגנה עצמית אז הוא לא באמת תקף אותו. הוא לא תקף אותו וזאת הגנה עצמית אלא הוא לא תקף.
ד"ר עמרי רחום טוויג
¶
אני מסכים במהות, כמובן אבל אני חושב שכעניין דוקטרינרי משפטי כן יש הבדל. אם זה נאמר לפרוטוקול והובהר אז זה בסדר גמור.
נעמה מנחמי
¶
להזכירך, בדיון הקודם של הוועדה היו שני סעיפים שהיו ברורים יותר לוועדה וזה הנושא של גוף ציבורי למעט אותו גוף ביטחוני שממילא יש עליו איזשהו פיקוח DPO אינהרנטי וכן הוספנו הבהרה שזה "או מחזיק במאגר מידע כאמור", ואותו בעל שליטה או מחזיק במאגר מידע שהמטרה העיקרית שלהם היא איסוף, לרבות שירותי דיוור ישיר ובלבד שיש מעל 100 אלף נושאי מידע.
הוועדה השאירה לממשלה להציעה איזושהי הצעה רכה יותר או משהו שהוא קצת יותר כללי לגבי נסיבות נוספות ואלו פסקאות 3 ו-4 לאותו סעיף. אנחנו נקרא אותם ונדבר עליהם.
3. בעל שליטה או מחזיק במאגר מידע שהעיסוק העיקרי כולל – או הוא – פעולות עיבוד מידע שלנוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם בקנה מידה משמעותי.
4. בעל שליטה או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בקנה מידה משמעותי, לרבות בנק, חברת ביטוח, מוסד למתן אשראי, חוקר פרטי, מוסד רפואי.
אלה ההצעות של הוועדה ודוגמאות שהתבקשו על ידי היושב-ראש. אפשר לדבר עליהן ולחשוב איזה מהן נכון להוסיף ואיזה לא. אלה דוגמאות שחשבנו שכדאי לדון בהן.
נעמה מנחמי
¶
כן. לעניין סעיפים 3 ו-4 - - - קנה מידה משמעותי בין השאר בשים לב למספר בני האדם שמעובד מידע לגביהם, היקף המידע וסוג המידע המעובד, משך ותדירות פעולות העיבוד, משך שמירת המידע והתחום הגאוגרפי של פעולות העיבוד.
זו הייתה ההצעה. ההצעה המקורית של הוועדה הייתה אולי לעשות איזושהי תוספת אבל אני חושבת שזה - - -
דלית בן ישראל
¶
דלית בן ישראל, עורכת דין. לגבי סעיף 3, אני חושבת שבאופן שהוא מנוסח עכשיו הוא לא מוסיף הרבה על סעיף 2 כי חוץ מ-data brokers אני לא חושבת שיש מישהו שהעיסוק העיקרי שלו הוא פעולות עיבוד מידע. פעולת עיבוד המידע היא תמיד נלווית ל-business של הארגון.
היו"ר שמחה רוטמן
¶
שנייה. העיסוק העיקרי שלה כולל עיבוד מידע שהיקפו או מטרתו מחייב ניטור שוטף ושיטתי של אנשים ובכלל זה מעקב. חברת סלולר נכנסת ל-3.
דלית בן ישראל
¶
מהמילה "כולל" משתמע שה-business הוא עיבוד המידע וה-business הוא שירותי סלולר שכרוכים בעיבוד מידע.
היו"ר שמחה רוטמן
¶
זאת הכוונה פה בסעיף. האם זה צריך להיות "כולל", "כרוך" או "הוא"? "הוא" אני חושב שזה באמת לא נכון.
היו"ר שמחה רוטמן
¶
בסדר חברים, שנייה. הבנתי ואני אומר "עיסוקו העיקרי כולל או כרוך בפעולות עיבוד מידע". אני חושב שהביטוי "כולל או כרוך" מכסה לנו גם את זה וגם את זה.
ליאור אתגר
¶
ליאור אתגר, עורך דין משרד ארדינסט. כמי שמייצג הרבה חברות בגופים פרטיים, אנחנו רואים שהסעיף הזה יחייב הרבה מאוד שאלות בנוגע לרף בגלל שזה סעיף שהוא לא סעיף מספרי. יש יתרון במעבר למשטר כזה וזה יותר דומה גם ל-GDPR אבל הבעיה היא בפרשנות של קנה מידע משמעותי. אנחנו ניתקל בבעיה הזאת.
אני מסכים עם מה שהיושב-ראש אמר לגבי ההוראות. מדובר בפעולה שכרוכה, מבחינת עיבוד המידע, לא רק הניטור וצריך לציין את זה. מבחינת 4, אני חושב שזה נכון להוסיף את כל הרשימה היפה שיש שם וזה טוב שיש קטגוריות ספציפית – מה שאין ב-GDPR כי שם זה יוצר בעיות אחרות – אבל הרשימה הזאת לא מספיק ברורה.
למשל, מוסדות פיננסיים, גופים שיש להם רישיון של נותן שירותים פיננסים נכנסים או לא? היושב-ראש, אתה ציינת מקודם את הנושא של בעל רישיון נש"פ ואני חושב שזה רף נמוך מידי. צריך לקבוע את הרף במקום הגיוני.
היו"ר שמחה רוטמן
¶
קודם כול, אלו דוגמאות כמובן. "לרבות" זה דוגמאות. תמיד כשעושים רשימה כזאת של דוגמאות אז צריך לעצור באיזשהו שלב אחרת אתה יכול להגדיל את זה באופן אין-סופי. אני חושב שנתנו שם מגוון יחסית רחב ולא התכוונו להמעיט מאיש. הביטוי הממעיט העיקרי הוא "קנה מידה משמעותי".
דהיינו, צ'יינג' שיש לו 20 לקוחות לא יהיה שם, ככול הנראה. צ'יינג' שיהפוך להיות רשת ארצית שכוללת בתוכה הרבה מאוד אנשים, כן יהיה שם. זה הביטוי של "קנה מידה משמעותי". גם בנק שכונתי, ככול שיום אחד באמת תהיה פה תחרותית אמיתית בשוק זה אז בנק בעל סניף אחד שיש לו 200 לקוחות גם לא יהיה פה, ככול הנראה. שוב, קנה המידה המשמעותי מחייב את כולם. אם יטילו עליהם חובות מכוח רגולציה אחרת למנות את הדברים האלה אז שיעשו את זה אבל זה לא מפה.
ד"ר דן חי
¶
אני חושב שההתייחסות למחזיק היא רחבה מידי כי לפעמים מחזיק יכול להחזיק רק חלק מאוד קטן מהמאגר ואין לזה התייחסות.
ד"ר דן חי
¶
לא, הוא יכול להחזיק מעמד שעושים בו עיבוד משמעותי אבל הוא יחזיק רק פיסה מאוד קטנה ממנו שהיא לא משמעותית.
היו"ר שמחה רוטמן
¶
אם הוא מחזיק רק פיסה קטנה ממנו אז - - - אמרנו שמאגר מידע זאת הגדרה פלואידית אז הוא לא מחזיק את מאגר המידע המשמעותי.
ד"ר עמרי רחום טוויג
¶
לעניין הזה, בפסקאות 3 ו-4 נראה לי זה בסדר גמור גם לגבי מחזיקים. זה באמת עקרון מהותי והוא מאפשר למחזיק להבין מה סוג העיבוד שהוא עושה. בעייני, ההצעה להוסיף מחזיק בפסקאות 1 ו-2, היא בעייתית. ראיתי שגם המועצה להגנת הפרטיות - - -
ד"ר עמרי רחום טוויג
¶
היא בזום? זהו. ראיתי שהם לא מסביב לשולחן אז אמרתי שראיתי גם נייר עמדה שלהם. אני חושב שדיברנו על זה בדיונים הקודמים. כשאנחנו מדברים על הנטל על המחזיק לברר את מאפייני הלקוח שלו - - -
ד"ר עמרי רחום טוויג
¶
אז אם אנחנו רוצים להכניס מחזיקים, הכנסנו אותם יפה בפסקאות 3 ו-4 לגבי סוג העיבוד שהם עושים וסוג הטכנולוגיה שהם מפעלים. זה הוגן וגם ב-GDPR זה ככה. בפסקאות 1 ו-2 אני חושב שזה לא נדרש, זה מכביד יתר על המידע ויכביד על הרבה ארגונים להבין מי נמצא בצד השני.
זה יעשה אחד משניים, אפשרות אחת היא שזה יחייב את כל השוק של מי שמחזיק במאגר מידע למנות DPO ליתר ביטחון כי הוא פשוט לא יודע ואני לא חושב שזו המהות או המטרה, לייצר חובה רוחבית.
היו"ר שמחה רוטמן
¶
אני חושב שאם אתה מחזיק מאגר מידע של גוף ציבורי אז אתה אמור לדעת שאתה מחזיק מאגר מידע של גוף ציבורי.
היו"ר שמחה רוטמן
¶
אבל אם אתה מחזיק את המאגר מידע של גוף ציבורי אז מין הסתם אמור להיות לך חוזה מול הגוף הציבורי.
ד"ר עמרי רחום טוויג
¶
בהחלט אבל זה לא רק גוף ציבורי כמו שאני חושב עליו כמו רשויות שלטוניות, יש הגדרה קצת יותר רחבה למי הוא גוף ציבורי ובמיוחד בפסקה 2. מטרתו העיקרית של הלקוח שלי היא לבצע שירותי דיוור ישיר אז - - -
ליאור אתגר
¶
אפשר להגיד עוד תוספת לגבי סעיף קטן (ב)? אני לא מוצא סיבה לעשות דבר כזה. אם לא מדובר במאגר מידע רשום שאותו עשינו כבר במקום אחרים לגמרי אז למה שנדווח לרשות על הדבר הזה?
נעמה מנחמי
¶
הייתה כאן שאלה שאולי היא די קשורה לנוסח אבל אנחנו כן נשמח לציין אותה. אפרופו רישום, במקור הוועדה אמרה שהיא מבקשת להחיל את מה שהוא היום 1 ו-2 על גוף החייב ברישום והממשלה ביקשה לכתוב ברחל בתך הקטנה את הגופים המנויים שם.
חמדת קב
¶
עורכת הדין חמדת קב משרד הבריאות. העמדה שלנו מתואמת גם עם ייעוץ וחקיקה. ברצוננו לצמצם את המונח "מוסד רפואי" לקופות חולים ובתי חולים כי אחרת יוצא מצב שחמישה אנשים בקליניקה יהיו מחויבים למנות ממונה על הגנת הפרטיות.
עמית יוסוב עמיר
¶
היא מוגדרת בחוק זכויות החולה ומפנה להגדרות משנה, זאת באמת הגדרה מאוד רחבה של מוסד רפואי.
היו"ר שמחה רוטמן
¶
זה כפוף אבל למה לייצר אי-בהירות? אנחנו בקזואיסטי אז למה להשתמש בהגדרת תפוסה בחוק? אפשר לכתוב בית חולים.
ראובן אידלמן
¶
צריך להגיד לפרוטוקול שהמטרה של הדוגמאות היא שלא תתעורר שאלה אם זה קנה מידה משמעותי או לא.
היו"ר שמחה רוטמן
¶
נכון. לכן אני לא כל כך מודאג מצד אחד ומצד שני, מאחר ומה שלי היה בראש זה בית חולים כמשל וכדוגמה אז אפשר לכתוב בית חולים.
היו"ר שמחה רוטמן
¶
אין בעיה, אפשר גם קופת חולים. אני רק אומר שההגדרה חלה על קופת חולים בין אם נכתוב אותה או לא נכתוב אותה. קופת חולים בהגדרה, עיסוקה העיקרי כולל או כרוך בעיבוד מידע בעל רגישות מיוחדת בקנה מידה משמעותי. אני לא צריך לכתוב "לרבות" על זה.
זה גם קופת חולים וגם בית חולים. כל קופות החולים במדינת ישראל הן בקנה מידה משמעותי, למען הסר ספק. בית חולים לא תמיד כי יש בתי חולים נורא קטנים אבל קופת חולים כתובה על השולחן חזק בחלק א'. אם כבר, אז בית חולים זאת דוגמה שמוסיפה לי קצת הבנייה. קופת חולים היא שם בהגדרה.
איה מרקביץ'
¶
לא, הכוונה הייתה שאנחנו רוצים להוציא החוצה את "מחזיק" אז אולי אפשר להכניס אותה פנימה - - -
איה מרקביץ'
¶
במקום לכתוב את מה שכתוב עכשיו, "בעל שליטה במאגר מידע שהוא גוף ציבורי או מחזיק", אפשר לסייג את זה ל-"או מחזיק המעבד עבור בעל שליטה כאמור, מידע אישי שעיבודו נדרש למילוי תפקידיו הציבוריים של בעל השליטה על פי דין", שזאת ההגדרה של גוף ציבורי.
זאת אומרת, המחזיק שרק מעבד את המידע שלגביו יש מלכתחילה את הסיכון בעיבוד בידי גוף ציבורי - - -
איה מרקביץ'
¶
כן, בדיוק. אם המשטרה משתמשת בחילן או חשבות שכר אחרת כדי לעבד את המידע של העובדים אז שלא יהיה סיכון אחר לעומת עובדים של PrivacyTeam.
ראובן אידלמן
¶
הצד השני של זה הוא שגוף יוכל לקרוא את החוק ולדעת אם הוא חייב במינוי DPO. זה שאלה של נוסח אבל חשבנו שלמען הנגישות - - -
היו"ר שמחה רוטמן
¶
בסדר אבל מה שאמרת עכשיו זה בדיוק "המחזיק לא יודע". מה שאמרת עכשיו זה בדיוק הטיעון ללמה לא לעשות את זה על מחזיק. כי לגוף ולבעל שליטה זה בסדר גמור. אין לי בעיה לעשות את זה לכל גוף ציבורי שמחזיק מאגר מידע אבל המחזיק לא תמיד יודע והוא בוודאי לא יודע את מטרות המאגר לצורך מסירתו לאחר כדרך עיסוקו בתמורה בשל 2.
ד"ר עמרי רחום טוויג
¶
עם הסתייגות כמו שאתה אומר ראובן. יש גופים ציבוריים שזה שאלה אם הם גופים ציבוריים.
איה מרקביץ'
¶
למען הסר ספק, ההצעה שלי לא הייתה המצאה פרי מוחי הקודח. זה היה וריאציה של מה שיש היום בחוק בבלגיה, בסלובניה ובפינלנד. שם כן יש בווריאציה מסוימת פרוססור שמעבד מידע עבור controller שהוא גוף ציבורי עם עוד כל מיני תנאים וגם יהיה חייב - - -
היו"ר שמחה רוטמן
¶
למען הסר ספק, מעולם לא חשדנו שהצעותיך הן פרי מוחך הקודח. אנחנו מכירים אותך לא מהיום והכול בסדר.
שירה גרטנברג
¶
לגבי החלופות בסעיפים קטנים 3 ו-4, הדוגמאות שניתנו לרבות בנק וחברת ביטוח, אנחנו סבורים שהדוגמאות יותר מתאימות דווקא בשביל להעביר את סעיף קטן (3), בייחוד בהמשך לדוגמה שהיו"ר נתן לגבי בתי החולים הקטנים.
שירה גרטנברג
¶
אנחנו חושבים שזה נכון יותר לכלול את זה בסעיף קטן (3) כדי להבהיר פעולות עיבוד שמחייבות ניטור שוטף ושיטתי של אנשים.
היו"ר שמחה רוטמן
¶
לפעמים אבל זה לא בהכרח כרוך. אם כבר רוצים קזואיסטי ל-3 אז אמרנו שקזואיסטי ל-3 זה חברת סלולר, קזואיסטי ל-3 זה ספק שירות של טלפונים סלולריים.
ניר גרסון
¶
אדוני, המעקב זה לא זה במובן של מצלמה שמצלמת או נתוני מיקום, זה גם התחקות שיטתית אחרי התנהגותו ומה ההרגלים שלו מהמידע שיש.
היו"ר שמחה רוטמן
¶
סליחה. עם כול הכבוד זה לא התפקיד. עיסוקו העיקרי של בית חולים איננו להתחקות באופן שיטתי אחר ההתנהגות שלי. יכול להיות שהוא יעשה את זה כפעולה נלווית.
היו"ר שמחה רוטמן
¶
נו, באמת. זה בתחומי בית החולים אבל זו לא התחקות שיטתית אחר התנהגותו של אדם בקנה מידה משמעותי. חברים, אי-אפשר לעשות stretch לכל דבר. אני אומר שחברת סלולר, זה כן. זה ברור שאי-אפשר לבצע את העבודה של חברת סלולר מבלי לדעת איפה אני מסתובב כל הזמן.
אפילו גוגל – טוב שאתה פה – לא יכולה לעשות את רוב העבודה מבלי לעקוב ולהתחקות אחרי הרגלי החיפוש והצריכה שלי, זה חלק מהמודל העסקי שלה. פייסבוק, גוגל וכל החברות האלה נכנסות לפה אבל בתי חולים הן לא שם. חוקר פרטי היה יכול להיות וגם חוקר פרטי הוא לא בקנה מידה משמעותי.
שירה גרטנברג
¶
עוד שתי הערות. אחת היא הערת נוסח "לרבות" משמיע שזה בעצם שונה מהכלל שמנוסח בסעיף אז אנחנו מציעים לשנות את זה ל-"ובכלל".
שירה גרטנברג
¶
כן. לגבי הדוגמאות הספציפיות, דיברנו על בתי חולים, קופות חולים, בנקים וחברות ביטוח. לגבי מוסד למתן אשראי אנחנו חושבים שצריך לחדד קצת את הניסוח. למשל, בממונה אבטחת מידע זה נוסח קצת שונה אז צריך לחשוב על לחדד את זה.
לגבי חוקרים פרטיים, אנחנו חשבנו שלא נכון לכלול אותם בדוגמאות. יש גדלים שונים של משרדים וזה נראה לנו קצת מרחיב.
ראובן אידלמן
¶
הדוגמה לא כפופה. זה מה שאמרנו מקודם ואדוני הסכים. הדוגמה לא אמרוה להיות כפופה לקנה מידה משמעותי, הדוגמה נועדה כדי שלא תהיה מחלוקת אם זה קנה מידה משמעותי.
היו"ר שמחה רוטמן
¶
לא. אני אומר שוב ואפילו אמרתי את זה במיוחד לפרוטוקול, אם יקום סניף בנק שכונתי וקטן אז הוא לא יהיה באירוע. הדוגמאות הן – ואם צריך להבהיר את זה בנוסח אז צריך להבהיר את זה בנוסח – לגוף שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת.
היו"ר שמחה רוטמן
¶
בוודאי שצריך לשם כך דוגמאות כי אנשים לא יבינו לגבי בנק, שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת. מוסד רפואי - - -
היו"ר שמחה רוטמן
¶
הן מצמצמות את העמימות. יכול להיות ששווה להוסיף ל-3 "כגון חברה סלולרית או ספק שירותי חיפוש באינטרנט", כדי שיבהירו למה הכוונה, מאחר והביטוי העמום פה שדורש הבהרה זה מה זאת אומרת שהעיסוק העיקרי שלך "כולל או כרוך".
ברור שחברת data brokers נמצאת ב-2, זה מאוד ברור כי זה עיסוקה העיקרי אבל יש כל מיני חברות כמו שנאמר קודם, העיסוק העיקרי של חברת סלולר הוא לא להתחקות אחרי איפה אני נמצא אבל היא לא יכולה לבצע את עבודתה בלי התחקות ולכן זה "כולל או כרוך". זאת דוגמה אבל בוודאי שאם זה לא נעשה בקנה מידה משמעותי אז אני לא צריך את זה.
ליאור אתגר
¶
מידע ברגישות מיוחדת מדבר על סוגי המידע. תחשוב על מידע גנטי לצורך העניין, זה מידע בעל רגישות מיוחדת ויכול להיות שהוא לא נעבד בקנה מידה משמעותי. זאת רק הרחבה בדין, יכול להיות שאתה תבוא ותגיד שזה נתפס במקומות אחרים או שזה נתפס בצורך שלי לציית לדין.
היו"ר שמחה רוטמן
¶
Sweet spot של מספר, היקף, סוג, משך, תדירות, משך שמירת המידע והתחום הגאוגרפי. אנחנו מנסים ללכת פה בין הטיפות. אם אני אכתוב קזואיסטי, אני לא אכניס כלום. אם אני אכתוב עקרונות אז אני מכניס הכול. צריך למצוא ולנסות להעביר בהדרגה את החוק שלנו שהוא משנות ה-80 למשהו שהוא חי עם המונחים של ה-GDPR והמונחים של הפרקטיקה.
ענר רבינוביץ'
¶
אפשר לדון בזה בכל זאת בעניין עיסוקו העיקרי? קודם כול, זה תרגום לא נכון של המקור מה-GDPR של ה-core activities, פעילויות ליבה. אני חושב ש-"עיסוק עיקרי" נורא מגביל אותנו וגורם לנו להתפקס רק על מה שהעסק מציע, השירות או המוצר שלו אבל לא על שאר הפעילויות שהוא מבצע סביב זה וזה גם מצמצם אותנו לעסקים.
ענר רבינוביץ'
¶
האם "עיסוקו העיקרי" כולל גם פעילויות נלוות למוצר או לשירות של העסק? האם זה כולל שיווק?
היו"ר שמחה רוטמן
¶
אם אתה מועדון לקוחות של שופרסל, כמו שדיברנו מקודם, אז העיסוק העיקרי שלך הוא שיווק. בסופו של דבר, אתה עובד עבור שופרסל שהמטרה העיקרית שלו היא שיווק ובשביל לעשות את השיווק הזה אתה אוסף מידע ומתחקה אחר פעילותיהם והרגליהם של הרבה אנשים, בקנה מידה משמעותי ולכן אתה תיכנס לפה. זה כרוך או כולל.
נעמה מנחמי
¶
נניח שאיזושהי חברה נותנת שירות כלשהו – לא משנה כרגע מה השירות שלה – ואגב השירות שלה היא אוספת נתוני מיקום ואחר כך היא הולכת ומשתמשת בנתוני המיקום האלה, מוסרת את נתוני המיקום האלה כדי לסייע או למכור אותם לגוף אחר.
היו"ר שמחה רוטמן
¶
וזה לא הפעילות שלה אז אני לא יודע למה היא אוספת ובכלל יש לה בעיה עם ההסמכה לאסוף. ה-DPO שלה הוא לא הבעיה שלי אלא מה פתאום היא אוספת את המידע.
היו"ר שמחה רוטמן
¶
אבל מה ההבדל בין עיסוק לבין פעולה? חברים, אנחנו מתפלפלים פה על מילים. יותר מזה, אני הכנסתי את המילים "כולל או כרוך". דהיינו, הפעולה של שופרסל היא מכירה קמעונית? היא כוללת או כרוכה בפעולות השיווק כי זה חלק מהעניין שכולל את איסוף המידע. זה כולל וכרוך. אני חושב שאנחנו מתפלפלים לחינם.
היו"ר שמחה רוטמן
¶
אבל זה לא core activity. אם זה בלי המילה "העיקרי" אז זה לא core activity, זה activity.
איה מרקביץ'
¶
אפשר להסביר? החשש שלנו לגבי "עיסוקו" היה מתוך הכרה של הפסיקה שאני בטוחה שרובנו בחדר מכירים, כשבאים לנסות לפרש בפסיקה את המונח של "החריג להגדרת מאגר של אוסף לשימוש אישי שלא למטרות עסק".
לדוגמה, בפסק דין "ניר עזרא" ובפסקי דין לאומיים מסתכלים על עסק ואומרים שזה ארגון שפועל באופן רציף, כדי להרוויח כסף למטרות רווח ואז אתה אולי משאיר בחוץ עמותות וארגונים לתועלת הציבור.
היו"ר שמחה רוטמן
¶
כן, המילה "עיסוק חלה גם על עמותת וגם לעמותת יש עיסוק. זאת לא הפעם הראשונה שמחוקקים פה וזה לא החוק היחיד במדינה.
נועה גבע
¶
שלום לכולם ותודה על ההזדמנות להגיב. בשם המועצה, אנחנו גם מצטרפים לבקשה להוסיף את המילה "כולל" בניסוח של סעיפים קטנים (3) ו-(4). "עיסוקו העיקרי כולל עיבוד מידע" זה נראה לנו משהו שהולך אחרי הניסוח האירופאי של ה-GDPR ולכן מספק את האפשרות לכלול גם דוגמאות שניתנו באירופה כמו בית חולים שמעבד מידע אישי.
זה לא ה-core business שלו אבל כחלק נלווה מהעיסוק הרפואי שלו הוא מעבד מידע בצורה מסיבית ולכן המונח "כולל" אמור לספק פה את האפשרות להחיל גם על גופים כאלה וזה מאוד חשוב. מבחינתי, אני מברכת על ההתאמה הזאת שביצעתם.
נושא נוסף שאנחנו רוצים להדגיש מטעם המועצה – אני חוזרת לרגע לשאלת העיצומים הכספיים והאכיפה על החובה של מינוי DPO ממונה – הוא שהמועצה סבורה שהנושא הזה חייב להיות מגובה באכיפה כלשהי. הניסיון בישראל מלמד שבהעדר אכיפה – אנחנו יודעים שבשנים האחרונות אין אכיפה מנהלית בחובות הפרטיות ואין סמכויות – השוק לא מצליח לעמוד בציות לחובות האלה וזה מוכח שוב ושוב.
אנחנו סבורים שבכדי שהחובה הזאת לא תהפוך להיות אות מתה אז כדאי מאוד לגבות אותה בעיצומים כספיים ובאכיפה ולא להסתפק בכלים רכים שהוצעו קודם לכן.
הנקודה האחרונה שאני רוצה להעלות היא בנושא של "מחזיק". גם המועצה הייתה מוטרדת מההחלה האוטומטית על מחזיק בסיטואציות של רשות ציבורית, למשל. זאת אומרת, לא בכל מקרה ראוי שמחזיק יהיה כפוף לחובה אלא על פי הסטנדרטים שנקבעו בסעיפים (3) ו-(4). האם הוא באמת גוף שמצריך, מבחינת המהות של מה שהוא מחזיק, את החובה הזאת ולא אוטומטית כל מחזיק של גוף ציבורי.
יכול להיות מחזיק מאוד מינימליסטי שבאופן אוטומטי תוטל עליו החובה רק בגלל שהוא ספק של רשות ציבורית וזה נראה לנו משהו שהוא מופרז. זה הולך רחוק מידי בהיבט הזה. תודה. זהו מבחינת ההערות שלנו.
ד"ר רחל ארידור הרשקוביץ
¶
רחל ארידור הרשקוביץ, המכון הישראלי לדמוקרטיה. אני יודעת שזאת הייתה העמדה שלי בהתחלה אבל אני חושבת שהנושא של הדוגמאות לפני "קנה מידה משמעותי" זאת טעות. הסתכלתי שוב על החקיקה במדינות באירופה והדוגמאות ניתנות שם כאופציה להבהיר מה זה קנה מידה משמעותי ולא כדי להיות כפופות לקנה מידה משמעותי. לכן, אני חושבת שצריך להשאיר אותן - - - צריך להגיד קנה מידה משמעותי ולתת את הדוגמאות של המוסדות.
ד"ר רחל ארידור הרשקוביץ
¶
או-קיי, אבל יכול להיות שצריך לשקול מוסדות להשכלה גבוהה, למשל. זה לא קריטי אבל כשאני מסתכלת על הדוגמאות - - -
היו"ר שמחה רוטמן
¶
אם אנחנו כותבים פה "לרבות בנק, חברת ביטוח, מוסד למתן אשראי או בית חולים" אז זה בסדר מבחינתי שזה יהיה גם דוגמה ל-"משמעותי" וזה יחסוך את הדבר הזה כי אני לא מכיר דוגמה של בנק, חברת ביטוח, מוסד למתן אשראי או בית חולים שלא נכנסים גם להיקף המשמעותי. אם אני אכניס חוקר פרטי אז חוקר פרטי קטן לא נכנס לשם ולא כל חוקר פרטי יהיה חייב במינוי DPO.
ליאור אתגר
¶
אז תמיד יהיו שני קריטריונים, גם עיבוד מידע בעל רגישות מיוחדת וגם בהיקף משמעותי. בסוף, תמיד יש שני קריטריונים.
היו"ר שמחה רוטמן
¶
נכון אבל הדוגמאות הן לשניהם. הדוגמאות הן למקרים שבהם שני התנאים האלה מתקיימים. עוד הערות? אשמח לתשובתכם בנושא "המחזיק". אני נוטה לזה ש-1 צריך לכלול גם "מחזיק" ו-2 לא צריך לכלול "מחזיק".
שירה גרטנברג
¶
זה חשוב לנו גם מטעמים של בהירות החובה וגם משום שהחובה של הרישום היא לא משהו שהוא כרוך בחובת מינוי, הרעיון הוא האפיון המהותי של הגופים האלה. לכן, כן ראינו חשיבות בלציין את זה במפורש בחוק.
נעמה מנחמי
¶
(ב) הודעה על מינוי ממונה על הגנת הפרטיות ודרכי התקשרות עמו תישלח לרשות בתוך X ימים מיום המינוי.
חמדת קב
¶
עורכת הדין חמדת קב משרד הבריאות. יש לי הערה כללית שנוגעת למינוי ממונה הגנה על הפרטיות. קודם כול, אקדים ואומר שאנחנו מכירים בחשיבות התפקיד של ממונה על הגנת הפרטיות. עם זאת, אנחנו רוצים להציף את נושא התקציב משלוש בחינות.
משרד הבריאות אחראי על מגוון מאגרים שברור שהם נתונים תחת מידע בעל רגישות מיוחדת, היותו של משרד הבריאות מגזרי ואחראי על שלל בתי חולים והיותנו מוקד לפניות של ממונה הגנת פרטיות בבית חולים יכול לפנות אלינו כדי לשאול איך לפרש את הסעיף הזה או הזה, למשל. אני מעלה את זה פה כדי לחשוב על כך.
כשנגיע בהמשך לסעיף הסנקציות אז עצם זה שהרשות מדבררת לפני כן אם היא רואה שהיא לא מרוצה מהמונה שמונה מכל מיני בחינות אז זה מראה על הטלת הוטו והמשמעויות שיש לנו וצריך לתת את הדעת על זה מבחינת תקינה ומבחינת התקציב. אנחנו נשמח להגיע לדיון הבא עם הערכה תקציבית של מה זה אומר עבורנו.
ד"ר רחל ארידור הרשקוביץ
¶
אולי אפשר גם הערכה תקציבית של מה המשמעות של מתקפות סייבר על בתי החולים ודליפת המידע מבתי החולים במקביל?
היו"ר שמחה רוטמן
¶
אני חייב לומר שאני רוצה לקוות שיש לכם היום ממונה על הגנת הפרטיות ואם אין לכם אז יש לנו עלות תקציבית מאוד גדולה בעניין. לגבי ההודעה, היה עוד מישהו שרצה להגיב?
ליאור אתגר
¶
עורך דין ליאור אתגר ממשרד ארדינסט. אני חושב שסעיף ב' מיותר ואני חושב שאין סיבה שארגונים יתחילו לדווח אחד אחרי השני לרשות להגנת הפרטיות על משהו כזה. אם מדובר במאגר מידע רשום אז ניחא, לרשות יש היכרות עם המאגר. אם מדובר בגוף ציבורי אז ניחא, לרשות יש איזשהו אינטרס לעשות פיקוח פנימי אבל כשמדובר בגוף פרטי שמינה DPO זה יכול להיות משהו שפתאום משתנה, קדימה, אחרוה, הסירו את ה-DPO, שינו פעילות, מכרו, עשו מיזוגים ורכישות.
אני לא רואה שיש סיבה לעשות את הדיווח הזה, הוא לא משיג שום דבר וזה בסוף סתם יהיה טופס מסכן או אימייל שיצטרכו לשלוח לרשות, בכל העסקאות יסמנו שלא ביצעו את זה וזה יהיה ב-default. לפחות בעינינו, זה מיותר ולא נדרש.
שירה גרטנברג
¶
אנחנו חושבים שזה כן נדרש. חלק מהתפקידים של הממונה על הגנת הפרטיות זה להיות איש הקשר עם הרשות אז זה הגיוני שהם יצטרכו לדווח על פרטי הקשר איתו.
היו"ר שמחה רוטמן
¶
אבל את לא מתמודדת עם הטענה שאתם בכלל לא מדווחים על קיומו של המאגר אז איך תדעו - - -
גלעד סממה
¶
אם אנחנו כבר הולכים לפי ה-GDPR אז ההוראה הזאת קיימת גם לפי ה-GDPR. נכון שאנחנו הורדנו את חובת הרישום אבל אנחנו חושבים - - -
היו"ר שמחה רוטמן
¶
לא. גלעד, סליחה. פרטי הקשר של הממונה על הגנת הפרטיות – זה סעיף 17ב(2)(ד) – יפורסמו לציבור באופן נגיש ופשוט ויכללו בהודעה לפני סעיף 8(ג)(1). אם זה מאגר רשום אז אתה מקבל עליו דיווח ואם זה מאגר שהוא לא רשום אז יש חובת פרסום לציבור, בכל קיומו של המאגר כשם שהוא מפורסם.
אם אתה, כראש הרשות או עובדיך רוצים לייצור קשר אז כמו שהם יוצרים קשר עם מנהל המאגר, שפרטיו מפורסמים אז הם ייצרו קשר עם הממונה על הגנת הפרטיות שפרטיו מפורסמים. אין שום סיבה בעולם לייצר חובה רגולטורית לשלוח לך עדכון על מאגר.
כל מטרת הרישום הייתה לצמצם רגולציה ועכשיו את אומר לי שאני חייב לשלוח הודעה ואולי גם לוודא את קבלתה אחר כך כי מה זה לשלוח הודעה בלי לוודא קבלה?
ליאור אתגר
¶
מערך הסייבר יודע להגיע ל-CISO הארגוני ולא צריך לפרסם את זה בשום מקום ולא צריך לדווח לו מי ה-CISO של הארגון. אם יש אירוע אבטחה אז יודעים לדבר עם הבן אדם.
היו"ר שמחה רוטמן
¶
אני לא רואה סיבה שיהיה צריך להודיע על ממונה על הגנת הפרטיות ודרכי ההתקשרות עימו לרשות. אם זה מאגר רשום אז כן, אני בהחלט מבין. אם זה מאגר לא רשום אז זה יפורסם כרגיל. אני לא מצליח להבין.
יש אלף חובות רגולטוריות שאני צריך לעשות שאני לא צריך לעדכן אתכם כשאני מבצע אותם. תעשו ביקורת, תמצאו שלא עשיתי אותם, תטילו עלי קנס או לא, תפתחו נגדי בהליכים או לאף כמו באלף חובות רגולטוריות אחרות. למה אני צריך לדווח לכם? אני לא רואה סיבה. אפשר להוריד את זה.
איה מרקביץ'
¶
כשאנחנו אומרים "הממונה על הגנת הפרטיות יפעל להבטחת קיום ההוראות לפי החוק" ועוצרים בזה אז אנחנו משאירים בחוץ את כל דין המסדיר עיבוד מידע שהארגון שצריך להעריך אם הוא עושה את זה כדין, בסעיפים החדשים שנוספו עכשיו.
היו"ר שמחה רוטמן
¶
"ולקידום השמירה על הפרטיות ואבטחת המידע ובכלל זה" כל מיני דברים. אני לא משאיר שום דבר בחוץ.
איה מרקביץ'
¶
אני חושבת שזה מתקשר לדיונים שהיו פה עם גופים ציבוריים או גופים ביטחוניים – אני שוכחת כבר – שאמרו "רגע, אנחנו אחראיים רק על החוק שאנחנו הממונה בתוך הגוף?" ושאלה דומה יכולה להתעורר גם במגזר פרטי.
ליאור אתגר
¶
סליחה, אני עדיין סבור ששווה להוסיף נוסף ו' ובו הוראה שאומרת שהדירקטוריון מוסמך להטיל באופן ישיר לממונה דרישה לעריכת מבדק או ביקורת והממונה ידווח. עסקנו בזה בדיונים אוף-ליין ובעייני זה משהו שהוא נידרש, זה נכון לעולמות הציות וזה גם נכון לפה.
היו"ר שמחה רוטמן
¶
"ידווח להנהלת הגוף על ממצאיו, יציע הצעות לתיקון הליקויים, יוודא קיומם של נוהל אבטחת - - -"
היו"ר שמחה רוטמן
¶
הנהלה זה גם דירקטוריון. אי-אפשר לרדת לרזולוציות האלה כי יש אלף גופים, חלק מהגופים האלה הם גוף ציבורי ואין להם דירקטוריון. חברים, תפסת מרובה. במקום לשמוח על מה שיש פה אנחנו מתעסקים עכשיו בפיצולי שערות ברגלי הכינים.
ענר רבינוביץ'
¶
בכל זאת, יש לי חידוד ל-17ב2. "על ידי בעל השליטה או המחזיק בו הוא מכהן" כדי שיהיה ברור שה-DPO אחראי על הגוף שבו הוא מכהן כ-DPO ולא על המחזיקים שלו.
היו"ר שמחה רוטמן
¶
לי זה ברור, אפשר להמשיך. אני חושב שהנוסח של החוק מספיק ברור. כישורי הממונה על הגנת הפרטיות, דיווח והראות נוספות, 17ב3. "על בעל השליטה במאגר מידע או מחזיק להבטיח כי".
נעמה מנחמי
¶
יש לי תיקון של זה אבל בסדר.
כישורי הממונה על הגנת הפרטיות והוראות נוספות
17
ב3
1. הממונה על הגנת הפרטיות יהיה בעל הידע והכישורים הנדרשים לביצוע
נעמה מנחמי
¶
סליחה, תיקנו את זה עוד היום בבוקר. הייתה הצעה להבהיר שבעל השליטה במאגר המידע או המחזיק צריכים להבטיח שמתקיימים הדברים האמורים.
היו"ר שמחה רוטמן
¶
אני לא מבין את זה. הנוסח הוא מצוין. "הממונה על הגנת הפרטיות יהיה בעל הידע והכישורים הנדרשים לביצוע נאות של תפקידיו בגוף, ובכלל זה היכרות מעמיקה עם דיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת מידע".
אם בעל השליטה במאגר המידע או המחזיק יחליט שמשום מה, הוא רוצה למנות את עוזר האינסטלטור לתפקיד אז הוא לא עמד בחובתו כי הוא לא נכנס בדבר הזה. "על בעל השליטה או המחזיק להבטיח כי"? חברים, יש עברית במדינת ישראל. זאת פעם ראשונה שאנחנו מנסחים חקיקה?
היו"ר שמחה רוטמן
¶
ממונה צריך להחזיק בכלים האלה. אם מינית ממונה לא מתאים אז אתה לא עמדת בחובת הממונה. אם הממונה לקח תפקיד שהוא לא מתאים לו אז מה אתם רוצים? אין עליו שום חובה אחרת.
היו"ר שמחה רוטמן
¶
אבל אני לא רוצה לכתוב שבעל המאגר או המחזיק אחראיים. אני רוצה לכתוב שכשאתה ממנה, הוא צריך שיהיו לו שתי ידיים, שתי אוזניים, שתי רגליים ושהוא יהיה בן אדם. זה מה שאני צריך לכתוב, אם אין לו ידיים או רגליים אז זה סימן שלא מינית את מי שאתה צריך למנות. מינית AI.
"בעל השליטה או המחזיק, לפי העניין, יספקו לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי תפקידו באופן נאות ויוודאו שהוא מעורב, כראוי ובזמן, בכל נושא הנוגע לדיני הגנת הפרטיות".
נעמה מנחמי
¶
או לחילופין "לממונה על הגנת הפרטיות יהיו התנאים והמשאבים הדרושים למילוי תפקידו באופן נאות והוא יהיה מעורב" וכולי. השאלה היא אם אתה רוצה - - -
היו"ר שמחה רוטמן
¶
איך זה היה כתוב? "the controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data". או-קיי, אין לי בעיה עם זה.
שירה גרטנברג
¶
מבחינתנו, זה כן חשוב הנוסח של "בעל השליטה או המחזיק יספקו לממונה". דווקא כאן, כמו ב-GDPR זה כן חשוב.
ראובן אידלמן
¶
ברשות הוועדה, אנחנו מבקשים לחזור לדיון קצר על השאלה של "כפוף למנהל הכללי" או שתי דרגות מתחת למנהל הכללי.
היו"ר שמחה רוטמן
¶
אני לא מצליח להבין למה מעורבב לי בתוך הטקסט העברית והאנגלית. משהו בנוסח שמול פני הוא מאוד מבולגן.
ראובן אידלמן
¶
מכיוון שאחד הדברים שהטרידו את הוועדה בעניין הזה בדיון הקודם היה שיש DPO חיצוניים ואנחנו מכניסים הוראת כפיפות שעל פניו, היא פחות מתאימה ל-DPO חיצוני אז בהמשך מסמך ההכנה בעמוד 9 את ההצעה שלנו להפריד ולכתוב שאם הוא פנימי הוא יהיה כפוף ואם הוא חיצוני אז הוא ידווח למנהל הכללי. אנחנו בכל זאת רואים חשיבות - - -
ראובן אידלמן
¶
וההשלכות של זה על הפרטיות בארגון. בסופו של דבר, אנחנו רוצים שזה יהיה אדם שמקשיבים לו ולעניין הזה, מידת הבכירות שלו - - - אמרנו שזה לא צריך להיות המנכ"ל, זה בכל זאת יכול להיות שתי דרגות מתחת וזה עדיין קבוצה די גדולה של אנשים.
היו"ר שמחה רוטמן
¶
אני לא מתערב במנהל בממשל תאגידי, אני לא מוכן. שמעתי ולא. "הממונה על הגנת הפרטיות ידווח ישירות למנהל הכללי. הייתה לנו סימולציה ממש יפה בדיון הקודם והסברנו למה גם אתה לא כשיר להיות DPO, ראובן. בקיצור, לא.
גלעד סממה
¶
אדוני, יש לזה משמעות גם מבחינת הגופים הציבוריים, אני חושב – כאחד שמכיר קצת – שאנחנו מדברים כאן הרבה על הגופיים הציבוריים ואיך אנחנו רוצים לחזק את הגנת הפרטיות בתוך הגופים הציבוריים - - -
היו"ר שמחה רוטמן
¶
אני מבין אבל המערך שבנוי בגופים ציבוריים הוא כזה שכל השיטה הישראלית קיימת ובנוי על זה – ואם יש לנו אנשים מה-GDPR שצופים בנו אז אני מוכן להגיד את זה גם באנגלית – שיש כפיפות מקצועית לחוד וכפיפות מקצועית לחוד. לצערי, אגב.
אני מאוד הייתי רוצה שהיועצת המשפטית לממשלה תהי כפופה למנכ"ל משרד המשפטים אבל היא לא כפופה לו. מה לעשות? בהיררכיה הארגונית היא מספר שלוש.
היו"ר שמחה רוטמן
¶
יש עוד הרבה מאוד ארגונים שבהם היועץ המשפטי כפוף מקצועית ליועצת המשפטית לממשלה ולא למנכ"ל הארגון.
גלעד סממה
¶
אדוני, אני מדבר כאן על מצב שיכול להיווצר והוא לא בתאוריה, זה עלול לקרות במגוון רחב מאוד של גופים אם ימנו גורם שהוא זוטר - - -
היו"ר שמחה רוטמן
¶
אם אתה רוצה לקבוע תנאי כפיפות בגוף ציבורי אז תוציא הנחייה של ראש הרשות וחזקה על הרשויות הציבורית שיפעלו בהתאם לדין. אני אומר לך שאני לא רואה סיבה להתערב לגופים בשאלה של מי כפוף למי.
הסברתי את הדוגמה ולא סתם הבאתי את הדוגמה של משרד המשפטים. יש עוד הרבה מאוד גופים שאני מכיר ולא מכיר ואני חושב שלפעמים, בגופים מסוימים, הכפיפות הארגונית של ה-DPO באמת תתאים להיות ייעוץ המשפטי כי יש בו אלמנטים של ייעוץ משפטי ואז ממילא, הוא מתחיל אוטומטית במקום ארבע או חמש בארגון אבל אני רוצה שהוא יהיה בעל מעמד לדווח.
בשנייה שאני קובע את מעמד הדיווח שלו אז זה אומר שבדברים שקשורים לתפקידו, הוא עוקף את כל השרשרת הארגונית והוא דופק ישירות על דלתו של המנכ"ל והמנכ"ל לא אומר לו "אדוני, מה אתה עושה פה? בוא אלי דרך הבוס שלך" כי כתוב שהוא ידווח ישירות למנכ"ל.
ראובן אידלמן
¶
עובדתית, אנשים לא כל כך הולכים מעל לבוס שלהם גם אם כתוב שהם יכולים וזה החשש שלנו, אני אומר את זה בכנות.
היו"ר שמחה רוטמן
¶
אני לא יכול להתערב, אתה מבין? ולו רק בגלל העלות התקציבית. אתה יודע מה זה אומר דרגות בכירות? עזוב, אני לא יכול להתערב בזה. בייחוד לא כשזה יכול לייצר הטיה לגורם חיצוני וגורם חיצוני הוא עוד יותר נמוך בשרשרת המזון כי בסופו של דבר, הוא מתקשר מול ספק ההתקשרויות שלו.
ניסת פעם להיות גורם חיצוני שמנסה למשוך תשומת לב של מנכ"ל במשרד ממשלתי? לא, זה לא עובד ככה. עליו יש תנאים ועליו אין תנאים אז אני דווקא מעדיף שהוא יהיה in the house. זה לא מתאים. הדיווח הישר הוא דיווח ישיר וכל עובד יעשה לעצמו את שלו. בנהלים שלכם, אתם יכולים למתוח על זה ביקורת בתוך ביקורת כשתעשו ביקורת על גוף ציבורי מסוים ואתם יכולים לבוא ולהגיד "מובהר שפלוני אלמוני" - - - זה גם איש הקשר שלכם, הוא יבכה לכם. דווקא בשירות המדינה הוא יבכה לכם ויגיד לכם שלא מקשיבים לו ואז אתה תעלה לדפוק על השולחן, אני בטוח. אתה לא מתבייש.
גלעד סממה
¶
הבעיה היא שדיווח זה לא מספיק כדי להניע תהליכים לעומת בכירות אדמיניסטרטיבית היררכית מאפשרת להניע תהליכים.
דלית בן ישראל
¶
דלית בן ישראל, עורכת דין. יש לי הצעה בעניין הזה. אני חושבת שהרשות משקפת פה אלה בעיות שאני גם שומעת מהשטח מ-DPO שאומרים – תכף אנחנו נגיע לסעיף של תפקידי ה-DPO – שאין להם סמכות - - -
היו"ר שמחה רוטמן
¶
לא, אנחנו לא נגיע תכף לסעיף של תפקדי ה-DPO. אנחנו סיימנו מזמן את הסעיף של התפקידים.
דלית בן ישראל
¶
אני מסכימה, אני רק אומרת שבשרשור של הסעיפים או בסעיף הבא, הרבה פעמים יש קושי ל-DPO להפעיל סמכויות בארגון כי הוא בעצם מפקח על עולמות תוכן שהן לא בהכרח בכפיפות אליו. אולי הפתרון לזה יכול להיות להוסיף בסעיף ד' גם "סמכויות" באופן מפורש או משהו מהסוג הזה, מעבר ל-"תנאים ומשאבים" כי בפועל, מה שיוצא בהרבה מצבים - - -
איה מרקביץ'
¶
איפה את מעבירה את הגבול בין סמכות? להגיד למישהו להראות איך הוא מעבד את המידע זה דבר אחד אבל שאתה תעשה את זה - - -
דלית בן ישראל
¶
הוא אחראי לענות ל-data subject request והוא לא עובד ב-IT אז הוא לא יכול לשלוף את המידע שצריך מהמערכות בשביל למחוק, הוא צריך שתהיה לו סמכות להורות לאנשים שלא כפופים אליו לעשות את הדברים. זו בעיה פרקטית שהרבה מאוד DPO נתקלים בה.
היו"ר שמחה רוטמן
¶
לא, אז אני חוזר בי. אני חשבתי שאת מתכוונת למשהו אחר, אם זאת הכוונה שלך בסמכות אז אני לא מכניס. אני התכוונתי למשהו אחר. תקשיבו, אני לא נוגע בנוסח. די, חאלס. סופיות הדיון, כבודה במקומה מונח ולא נפגע בה. הדיווח הישיר הוא הדיווח הישיר וגלעד, לגבי הבעיות שהצגת, אני בטוח שאתה תשמח עכשיו כשאנחנו נקרא את סעיף ו'.
(ו) מצא ראש הרשות כי לממונה על הגנת הפרטיות שמונה לפי סעיף ב1(א)(1) לא ניתנו התנאים והמשאבים הדרושים למילוי תפקידו באופן נאות או כי לא היה מעורב, כראוי ובזמן, בכל נושא הנוגע לדיני הגנת הפרטיות בניגוד לאמור בסעיף קטן (ה) או שאינו בעל הידע - - - או שמילא תפקיד נוסף או היה כפוף לנושא משרה בגוף באופן אשר
שים לב.
היה עלול להעמידו בניגוד עניינים בניגוד לאמור בסעיף קטן (ה) רשאי הוא להודיע לבעל השליטה או למחזיק הנוגע בדבר שמעשיהם מהווים הפרה ולהורות להם על הדרך בה עליהם לתקן את הליקוי.
היו"ר שמחה רוטמן
¶
לא דילגנו על כלום, קראתי את (ו). את התיקון ב-(ד) קראנו וגם סיכמנו אותו. להלן היכולת שלך לבוא ולהגיד "רבותי, זה שאתם שמת את הממונה על הגנת הפרטיות במשרד שלכם בקומת המרתף עם שלושה מנעולים שנועלים אותו, מפריע לו לעשות את תפקידו ואני כממונה מתערב לכם.
שירה גרטנברג
¶
בהמשך לדברי אדוני, אין סיבה להגביל את "מצא ראש הרשות כי לממונה על הגנת הפרטיות" רק לממונים לפי סעיפים קטנים (1) ו-(2) אלא לפי כל החלופות בסעיף 17ב.
נעמה מנחמי
¶
אני רוצה להבהיר שכן הייתה החלטה של הוועדה. הוועדה כמובן יכולה לשנות את ההחלטה אבל הייתה החלטה של הוועדה בנושא הזה והיא להחיל את העיצומים הכספיים.
היו"ר שמחה רוטמן
¶
חברים, אנחנו לא בעיצומים כספיים. די, כולם פה ברפואה מתגוננת. יש כאן דברים שהולכים מתחת לפני השטח שאני לא מודע אליהם. אני לא בסעיף של עיצומים כספיים, אני עכשיו בסעיף שבה ראש הרשות עושה ביקורת בגוף או מוצא בכל דרך אחרת שלממונה אין את היכולת לעשות את העבודה שלו ומתריע בפני בעל השליטה.
האם "שמעשיו מהווים הפרה ולהורות להם על הדרך בה עליהם לתקן את הליקוי" זה הפרה של החוק ולתקן את הליקוי זה לתקן את הליקוי? האם יש בצד זה עיצום כספי, קנס מנהלי, פלילי או אזרחי? זה עניין אחר.
נעמה מנחמי
¶
לגבי העיצום הכספי, אנחנו עדיין לא עברנו על המודל של העיצום הכספי ואנחנו לא נעשה את זה עכשיו.
היו"ר שמחה רוטמן
¶
אני כן אגיד עוד לפני הפרק ואולי זה יחסוך לנו את זמן הדיון בעיצום הכספי. אני חושב שכשם שבאנו והחלנו עיצומים כספיים על דברים שהם בתוקף כבר זמן מה ויש לנו ידע ויכולת להבין איך הם מתפקדים ואיך הם קיימים – עשינו חלק מהדברים בשינויים אבל לא יצרנו משהו וישר נתנו לו את העיצום הכספי – ומאחר ואנחנו גנבנו את כל נושא ה-DPO מתיקון 15 אז אני אומר שנראה איך הוא עובד.
כן תהיה לו רלוונטיות. פעם אחת תהיה לו רלוונטיות בהפרה של הדין הכללי שמסדיר עיבוד מידע. כלומר, בסופו של דבר תוכלו לשאוב ואם תבואו ותגידו שלא מונה אז הופר החוק ויש לכם את ההפרות הרגילות אבל מעבר להפרות הרגילות - - -
היו"ר שמחה רוטמן
¶
שנייה, רק רגע. תכף נדבר על זה. אני חושב שזה יהיה בניגוד לדין אם לא מונה DPO. זה יכול להיות עיבוד בניגוד לדין.
היו"ר שמחה רוטמן
¶
זה היה המבוא, רק רגע. אני חושב שהדרך שהיא דווקא יותר מתאימה זה שאם אתם חושבים ש-8א(1) של עיבוד בניגוד לדין לעניין צו הפסקת העיבוד - - - זאת אומרת, לא לעיצום כספי אלא להגיד "אדוני, אתה מעבד מידע בניגוד לחוק". בן אדם הפר את הוראות החוק, אז הוא הפר את הוראות החוק אבל אם אתם חושבים שזה עד כדי כך שהוא מעבד בניגוד לדין – ובאמת קבענו שבניגוד לדין זה רחב, זה כל דין המסדיר עיבוד מידע ו-DPO הוא אחד מהדינים המסדירים עיבוד מידע – אז תוכלו - - -
אני לא מדבר כרגע על אם זה יהיה מספיק לעיצום כספי וצריך לדבר על זה אבל אתם תשתמשו ואני בטוח שתשתמשו בזה במסורה, למה צריך עיצום כספי?
עמית יוסוב עמיר
¶
מבחינת הנוסח, כתוב שם בתמצית "עיבוד מידע" אבל הנוסח של הסעיף המלא הוא קצת שונה. "בעל שליטה במאגר מידע לא יעבד מידע במאגר מידע ולא ירשה לאחר לעבד עבורו אם המידע האישי הכלול בו נוצר, התקבל, נצבר או נאסף בניגוד לחוק זה", וזה ממשיך.
היו"ר שמחה רוטמן
¶
כן, נכון. בסדר, אני אומר שכרגע נעשה את זה כחובה ללא עיצום כספי בצידה כי אנחנו מייצרים פה חובה חדשה.
שירה גרטנברג
¶
ההצעה שלנו היא לא עיצום כספי ישיר, ביחס לחלופות שהוספנו לפני ה-GDPR, אלא עיצום דו שלבי. כחלק מתורת העיצומים בטח אם יש פה הוראות שכוללות רקמה פתוחה, אנחנו מבינים שצריך בעניין הזה איזושהי הודעה.
היו"ר שמחה רוטמן
¶
אז אני אומר "לאלה שחייבים ברישום". אני לא מרחיב את זה לכולם, רק לאלה החייבים ברישום.
שירה גרטנברג
¶
אנחנו חושבים שדווקא בחובה מהסוג הזה שהיא חובה מאוד חשובה אז לא לכלול בצידה איזשהו כלי אכיפתי - - -
היו"ר שמחה רוטמן
¶
זה חלק בלתי נפרד עד כדי כך שלא הכנסתם אותו לחוק, עד כדי כך שאתם הבאתם לי את תיקון 14 בלעדיו.
שירה גרטנברג
¶
ההסדר הזה הובא על רקע הרצון של הוועדה לבטל את האחריות האישית של מנהל מאגר ועל הרקע הזה, אנחנו חושבים שצריך להכניס את הסדר - - -
היו"ר שמחה רוטמן
¶
בסדר, אז תחזירו את האחריות האישית למנהל מאגר. נו, באמת. זה בכלל לא מתכתב אחד עם השני.
ראובן אידלמן
¶
לגבי הגופים החייבים ברישום, מה שאדוני מציע זה עיצום כספי ישיר, אני מניח. זאת אומרת, מינה או לא מינה, נכון?
היו"ר שמחה רוטמן
¶
כן. על גופים החייבים ברישום אין לי בעיה. לא מונה, נקודה. זה clear cut וזה ברור. בכל המקרים האחרים עצם הצורך לא ברור עדיין, לא ברורים בדיוק התפקידים והאם הוא מתאים או לא מתאים. ל-1 ו-2 אין לי בעיה.
היו"ר שמחה רוטמן
¶
אם הוא מתאים או לא מתאים אבל לכאורה, בצו הפסקת עיבוד אני קיבלתי את ההערה של נעמה. אני לא חושב שזה מדויק להכניס אותו שם אבל אני כן חושב שאפשר ב-1 ו-2. ב-3 אני חושב שזה על האם מינית או לא מינית ולא על עוד פרטים. לגבי השאר כמו הציבור הרחב, בואו נראה איך מתמודדים עם החובה הזאת ואיך היא נאכפת.
אני כן חושב שלקבוע שמאגר פועל בניגוד לדין גם בגלל שהוא לא מינה DPO, חושף אותו להרבה מאוד דברים ויכול להיות שכדאי להוסיף את זה לתביעת האישית כשאנחנו מדברים בגופים פרטיים ולא לעיצומים.
שירה גרטנברג
¶
יש עם זה קושי כי בתביעות אזרחיות יכול להתעורר קושי עם להוכיח קשר סיבתי בין זה שלא מינית DPO לבין הנזק שנגרם בסופו של יום.
היו"ר שמחה רוטמן
¶
שנייה, אני עוד לא בפתרונות. אני קודם כול אומר מה גבולות הגזרה שלי, אני לא מייצר חובה חדשה, לא ברורה ועמומה. אני אומר את מה שבקלפים לפני שנפתח אלף דיונים. אני רציתי לייצר פה משהו שהוא רקמה פתוחה יחסית, יחסית עמו ויחסית דומה למה שנהוג בעולם אבל שאין לשוק הישראלי ניסיון איתו, בטח לא עם ניסיון חובה. לייצר לזה כבר בשלב א' את העיצום הכספי והעונש זה נראה לי מוגזם ולכן אני לא רוצה לעשות את זה.
גלעד סממה
¶
אדוני, למה לא ללכת לדו-שלבי? מתוך ניסיון, כשאנחנו מייצרים את החובה הזאת ולצידה אין כלום בעצם אז - - -
היו"ר שמחה רוטמן
¶
אבל רק לגבי אם מינו או לא מינו, לא תנאי כשירות ולא כשמעשיו מהווים הפרה של "לא היה מעורב כראוי ובזמן". זה יורד לרזולוציות ממש קטנות.
גלעד סממה
¶
בסדר, אדוני. אבל עדיין צריך שיהיה משהו לצד הדבר הזה כי בסופו של דבר, אנחנו רוצים שהמנגנון הזה באמת ייכנס לשוק.
ד"ר רחל ארידור הרשקוביץ
¶
רחל ארידור הרשקוביץ מהמכון הישראלי לדמוקרטיה. אני מסכימה שזו חובה חשובה והטלת עיצום דו-שלבי בצידה נשמע כמו משהו נכון אבל מצד שני, אני חייבת לציין פה את כל הדברים שהאחרים שלא הסכמתם להכניס לתיקון הנוכחי והם דברים שהם חשובים להגנת הפרטיות כמו למדינה.
קצת קשה לי עם זה שהרשות ומשרד המשפטים מקבלים את הדרישות שלהם אבל לא מתקנים את חובת ההודעה ולא מכניסים בסיסיים ואני גם לא רואה מה יהיה האינטרס שלכם להביא אי-פעם את תיקון 15 כי קיבלתם עיצומים, הכול טוב והסמכות שלכם מלאה. אני מאוד מוטרדת.
לירון מאוטנר לוגסי
¶
אני לא חושבת שצריך לחשוד בממשלה שמרגע שהיא קיבלה את העיצומים אז תחום הגנת הפרטיות שעליה היא אמונה לא חשוב לה והיא לא רוצה לקדם אותו כשאמרנו כאן עשרות פעמים שאנחנו - - -
היו"ר שמחה רוטמן
¶
זאת לא הטענה. אני אחדד את השאלה ואהפוך אותה לשאלה היו"ר. תחום הגנת הפרטיות מאוד חשוב לאנשים שיושבים פה מסביב לשולחן מכל צדדי השולחן, אין פה שאלה ואין פה ויכוח אבל יש תפיסות שונות לגבי איך מגנים בצורה הכי טובה על הפרטיות.
עד היום, התפיסה של מדינת ישראל, הרשות להגנת הפרטיות, משרד המשפטים ועוד הייתה שהדרך הכי טובה לשמור על הגנת הפרטיות זה לתת את כל הכוח, הרגולציה ואת ההחלטה לגבי מה נכון ומה לא נכון לידיים של הרשות להגנת הפרטיות, שיכולה להתערב בשלב רישום המאגר ובעוד שלבים אחרים, יש לה כלי אכיפה ובסופו של דבר, היא הבוס.
זאת אומרת, אם אתה רוצה לדעת אם משהו פוגע או לא פוגע בפרטיות במדינת ישראל אז יש לך דרך בטוחה אחת ויחידה וזה לשאול את גלעד. זה היה מה שנקרא "תביא ונראה". עד היום זאת הייתה הגישה, אנחנו היום משנים אותה וטוב שכך. אנחנו עוברים מ-"תביא ונראה" לניסיון. הורדנו את חובת הרישום ויצרנו כל מיני מנגנונים.
אחד מהדברים המרכזיים שאמור להוריד מ-"תביא ונראה" זה מה שמכונה בסיסי עיבוד ורקמה יותר פתוחה. כאשר הגזר הוא רקמה פתוחה והמקל הוא כלים, סנקציות, צווים מצווים שונים ועיצומים כספיים אז השאלה שבהחלט במקומה היא האם התחום של בסיסי עיבוד, שהוא הגזר, לעולם לא יהיה בגלל שאת כל המקלות כבר קיבלתם לידיים שלכם. זאת שאלה לגיטימית, היא לא שאלה מופרכת.
לירון מאוטנר לוגסי
¶
אני רק רוצה להגיד משהו שאמרנו כבר מספר פעמים. הנושא של בסיסי עיבוד לא בהכרח יוצר וודאות, גם הוא מוסיף את העמימות.
לירון מאוטנר לוגסי
¶
למשל, כל מה שקשור לזכויות של נושאי מידע שקשור לתיקון של מידע והזכות להתנגד לעיבוד מידע.
היו"ר שמחה רוטמן
¶
כן, את לא בצד שלהם. את המדינה, את המפר הגדול. את לא בצד שלהם, בלי לפגוע. את המפר הגדול באירוע הזה. זאת אומרת, זה גזר לאזרחים ולך זה מקל גדול מאוד כי אם יש זכויות נושאי מידע אז מי שישלם את החשבון השמן ביותר שם זאת את כי את המדינה.
זה לא לגוגל, גוגל עומדת בזה כבר בכל מקרה בגלל ה-GDPR או מסיבות אחרות ורק בישראל אולי לא אבל מי שייחשף לראשונה לצורך לענות על השאלה "למה אתם מחזיקים עלי את המידע הזה" או "תמחקו אותו" זאת את. את המפר הגדול והכוח לתיקון 15 הוא אצלך ולכן החשש הזה או חשש במקומו, הוא לא חשש מופרך.
לירון מאוטנר לוגסי
¶
אף על פי כן ולמרות מה שאתה אומר עכשיו, עדיין הונחה טיוטת תזכיר שעבדו עליה גורמי המקצוע שחשבו שהדבר הנכון הוא לקדם את הנושא הזה.
גלעד סממה
¶
אדוני, אני רוצה להגיד עוד משהו כי אני חושב שהמוטיבציה לא לפרסם ולא לקדם היא לא ממש נכונה כי אנחנו צריכים גם להסתכל מה קורה מעבר לגבולות מדינת ישראל. אנחנו לא נוכל להחזיק את הפעילויות הבין לאומיות שלנו – אנחנו מדברים על Adequacyועל דברים אחרים – בלי שאנחנו גם מקדמים את הסוגיות האחרות כמו זכויות נושאי המידע.
בסיסי עיבוד זה דבר אחד אבל אני מדבר על זכויות נושאי המידע שכלולות בתיקון 15 שהן המקבילות גם לדינים אחרים. אנחנו נאבד את המעמד הבין לאומי שלנו וזה מעמד שאנחנו עסקנו בו עכשיו המון כדי לקדם אותם. זה שאנחנו מקדמים את תיקון 14 לא אומר שאנחנו צריכים לעצור אלא להפך. המדינה והממשלה יודעות שהסדרים רבים בתוך תיקון 15 מחויבים נוכח ההתפתחויות הבין לאומיות שלנו.
היו"ר שמחה רוטמן
¶
זה היה נכון ועדיין נכון, זה עדיין תיקון מספר 14, אנחנו נמצאים בשנת 2024. הכול נכון ועדיין, החשש הוא במקומו. סליחה שאני אומר אבל אי-אפשר לבוא ולהיעלב. אפשר להיעלב כשחושדים בי שאני חולך לרצוח מישהו כשמעולם לא רצחתי אף אחד אבל אם אני ג'ק המרטש, אני לא יכול להיעלב. אני לא משווה חלילה אבל מ-2009 עד 2024 תיקון מספר 14 לא קודם אז כשאומרים "אולי בטעות תהיה גרירת רגליים ולא יקודם חוק", זה לא חשד כל כך מופרך.
היו"ר שמחה רוטמן
¶
טוב, אז בואו נדאג שלא תהיה רציפות. כולם אשמים ובסופו של דבר, השוק סובל. אני יכול להגיד שלפחות החלק הזה בכנסת עשה הכול כדי שהוא יקודם כמה שיותר מהר. בסדר, אני בכל זאת אומר שהנושא של עיצום על 3 ו-4 עדיין מונח פה על השולחן.
החשש שעלה הוא גם חשש והוא חשש נכון. הדו-שלבי מצמצם במקצת את החשש אבל לא לגמרי. האכיפה על גופים ציבוריים ועל data brokers פחות מטרידה אותי כי הם בכל מקרה חייבים ברישום ובכל מקרה הם מכינים את הדיווח אז זה לא מדאיג אותי.
לגבי 3 ו-4, ככול שמדובר בגופים שהם ברגולציה אז יש עליהם את הרגולטור שלהם שיושב עליהם גם ככה. עמדיה בחובות הדין זה אלף בית של רגולציה ולכן אני פחות דואג לכל הגופים המפוקחים. אני דואג לגופים הקטנים שהם לא מפוקחים. אם מחר בבוקר תצא הנחייה שישללו את הרישיון של חברת כרטיסי אשראי, זה איום קצת יותר גדול מהעיצום הכספי שאתה מטיל עליהם אז אתה לא באמת צריך את זה בשביל ה-compliance כי עמידה בתנאי הדין זה אלף בית של רגולציה. החשש הוא יותר על הגופים הקטנים.
לפחות בשלב הנוכחי, אני מבקש שנשאיר את זה בלי עיצום כספי. אני לא נועל את הדלת ואולי נסגור את זה לקראת הסוף אבל כרגע נשאיר את זה בלי עיצום כספי. כמו שאמרתי, השוט הרגולטורי הרגיל שקיים עליהם הוא מספיק ורוב הגופים האלה הם גופים שמפוקחים בהקשר אחר.
היו"ר שמחה רוטמן
¶
ולא תיירות, ולא הגנת הצרכן ולא ולא - - - חלק גדול מהגופים האלה בכל מקרה יהיו חשופים כי הם בין לאומיים. יש להם DPO כי הם בין לאומיים לכן, עצם חובת מינוי ה-DPO לא באמת נזקקת ואני חושב שמה שאנחנו יוצרים פה זאת חובה חקוקה. החשיפה שלהם במקרה של זליגת מידע כלשהי, תהיה הפרת חובה חקוקה קלאסית כי הם לא מינו DPO וה-DPO נועד לשפר את ההגנה על המידע, זאת המטרה שלמה נחקק ה-DPO.
לכן מעצם קביעת החובה הזאת, בנוסף למקרים של תביעות ייצוגיות שיכולות להיות אחר כך של הפרת חובה חקוקה שנועדה להגן על אנשים והפרת סטנדרט הרשלנות, החשיפה האזרחית במקרה הזה היא מספיק גדולה. בשלב הזה, אני לא מת על הרעיון לייצר חובה רגולטורית חדשה עם סנקציות בצידה בעת ובעונה אחת עם תיקון חוק.
היו"ר שמחה רוטמן
¶
אני יודע, פתחנו כאן כבר כמה דברים של סופיות דיון ופה סופיות הדיון הייתה לפני כמה דקות ולא שלושה דיונים אחורה.
דלית בן ישראל
¶
אפשר לתת את הזוויות של איך אני חושבת שהשוק יתייחס לזה. כשיראו שיש עיצום לגבי גופים מסוימים ואין עיצום לגבי אחרים, ההתייחסות והציות יהיו בהתאם. אנחנו רואים את זה גם היום כשפונים אלינו גם גופים מחו"ל ושואלים "מה קורה אם אני לא עומד".
דלית בן ישראל
¶
אני רק אומרת שהפוקוס יהיה על דברים אחרים שעלים יש עיצום. בתיעדוף של ארגון זה יהיה בסוף.
היו"ר שמחה רוטמן
¶
אני חולק עלייך כי הגופים האלה מנהלים סיכונים והם ידעו שבשנייה שהם הפרו הוראת חוק, הם אוטומטית פתחו את עצמם להפרת חובה חקוקה, בכל מקרה של דלף מידע, מה שלא היה עד עכשיו.
היו"ר שמחה רוטמן
¶
לעומת זאת, הגופים ב-א' וב' הם גופים שאין עליהם הפרת חובה חקוקה – דווקא א' יותר – ומאוד יהיה קשה לעשות איתם עבודה כזאת. אלו גופים ציבוריים וחזקים.
דלית בן ישראל
¶
אני לא חולקת על זה שצריך לא' ו-ב' אבל אני חושבת שהמינימום של הדו-שלבי ואי-מינוי הוא חשוב לגופים הפרטיים.
דלית בן ישראל
¶
אני אגיד עוד משהו. האמירה שאומרת שגוף ישראלי שחייב חובת מינוי ב-GDPR כבר ממילא יש לו, זה לא בהכרח מדויק כי בחלק מהארגונים זה DPO רק לפעילות האירופאית, הוא לא DPO שמנהל את הפעילות הישראלית.
לירון מאוטנר
¶
מה עם האפשרות של לעשות תחילה מאוחרת לאפשרות להטיל עיצום על הסעיף הזה, גם באופן דו-שלבי?
היו"ר שמחה רוטמן
¶
אבל אני לא רוצה לייצר בעת ובעונה אחת גם חובה וגם עיצום כספי על הפרתה, שלא הייתה בתזכיר ולא הייתה בשיתוף ציבור. זה נראה רעיון טוב לאנשים שיושבים מסביב לשולחן ויש הגיון בלא לעשות את זה. יש הגיון עם דו-שלבי ועם תחולה נדחית אז יש אפשרות ואני לא נועל דלת. אני רק אומר שעל פניו, אני חושב שבשנייה שהדבר הזה מתווסף אוטומטית לתנאי רישיון לכל הגופים עם הרישיון זה כבר אירוע משמעותי מאוד.
זה משפר מאוד את המצב. בשנייה שזה חל ומייצר הפרת חובה חקוקה, הפרת סטנדרט זהירות שנקבע בחוק וחושף אותם לתביעות אזרחיות אז זה סטנדרט משמעותי מאוד. בשנייה שזה חושף אותם לביקורת ואפילו לפרסום הפרה - - - אפשר לחשוב על זה בתור פרסום הפרה, חייב DPO ולא מינה, זה פרסום הפרה בלי עיצום כספי.
היו"ר שמחה רוטמן
¶
נכון. לכן, אני חושב שהתקדמנו צעד גדול ורומא לא נבנתה ביום אחד. אני רואה בעיה בלייצר חובה כשאני עדיין לא יודע איך היא תפורש. אני לא יודע איך היא תפורש על ידי בית משפט, אני לא יודע איך היא תפורש על ידכם אז אני לא רוצה כבר לקבוע את העיצום הכספי בעניינה.
אם זה היה רק לעניין עצם המינוי, שזה א' וב-', נתתי לכם. השאלה אם אדם נכנס ב-ג' ו-ד' היא עצמה שאלה. זה נכון שהבאתי את הדוגמאות הקזואיסטיות אבל אני אטיל עיצומים כספיים רק על הדוגמאות הקזואיסטיות כי אותן כתבתי? לא, זה לא הגיוני ורובן עוברות עם רגולציה.
לירון מאוטנר
¶
זה שילוב של העמימות. לכן אנחנו הצענו בהתחלה משהו יותר מובהק אבל השילוב של העמימות יחד עם העדר העיצום - - -
היו"ר שמחה רוטמן
¶
בסדר, בואו נשאיר את זה ככה ואני לא נעלתי את הדלת לגבי זה. הנה שוב, תמיד דופקים את העיריות.
מירה סלומון
¶
מירה סלומון, מרכז השלטון המקומי. אני מזכירה שאנחנו ביקשנו את משרד הפנים בדיון הזה ואנחנו גם קבענו איתם ישיבה פנימית בסוגייה של החלת עוד תפקיד על רשות מקומית שנקבעה בחוק כחובה.
ראובן אידלמן
¶
לגבי הגופים החייבים ברישום, שלגביהם אמרנו שזה עיצום כספי ישיר, עכשיו השאלה היא על מה. לפני הנוסח שמונח כאן בפני הוועדה בעמוד 9 למסמך ההכנה, העיצום הוא על אי-מינוי או על מינוי אדם שלא מדווח ישירות למנהל הכללי או למי שכפוף אליו.
הבקשה שלנו היא להוסיף גם מקרה בו מונה אדם שהוא לא בעל הכישורים הנדרשים, הדרישות והנורמה של תחומי הידע הנדרשים.
היו"ר שמחה רוטמן
¶
שהעיצומים הכספיים יהיו גם על אי-מינוי, גם על מינוי מישהו שאיננו מדווח למנהל הכללי וגם על זה שאין לו את הידע והכישורים או שהוא ממלא תפקיד נוסף וראש הרשות נתן בעניין הזה הוראה.
ראובן אידלמן
¶
זה מופיע כעיצום ישיר. אני חושב שאדם שלא מדווח למנכ"ל זה לא עמום, זה משהו שאפשר בעיצום ישיר וכך זה גם מופיע כרגע במסמך ההכנה.
ראובן אידלמן
¶
זה די בינארי. אנחנו שולחים דרישת ידיעות ומסמכים, מקבלים תשובה וזה די ברור אם הוא מדווח למנכ"ל או לא מדווח למנכ"ל.
נעמה מנחמי
¶
נראה לי שזה בסדר אבל אולי למישהו אחר יש משהו להגיד. או-קיי, אז דיווח ומינוי זה ישיר וכל היתר יהיו בדו-שלבי.
לירון מאוטנר
¶
נעמה, התוספת הזאת היא ביחס לעיצום, לא ביחס לאפשרות לקבוע הפרה ולהורות לתקן את הליקוי, נכון? כמו שחידדנו מקודם.
היו"ר שמחה רוטמן
¶
הוא יכול להודיע לבית חולים שמעשיו מהווים הפרה ושהוא צריך לתקן את הליקוי אבל לא להטיל עיצום כספי.
אביה קירשנבאום לייבנר
¶
בהמשך לתיקונים שאנחנו עושים בסעיפי ההגדרות בחוק העיקרי, חוק הגנת הפרטיות, אז יש שלושה תיקונים מרכזיים שהם רוחביים וחוזרים על עצמם ב-35 חוקים אחרים, שאנחנו רוצים לתקן. אתם יכולים להסתכל במסמך ההכנה בחלק השני ויש גם נוסח משולב בנפרד.
אביה קירשנבאום לייבנר
¶
התיקון הראשון הוא הפניה לסעיפי ההגדרות בסעיף (3) במקום בסעיף (7), אנחנו איחדנו את שני הסעיפים בהגדרות כמו "מידע" ו-"מידע אישי" שחוזרות על עצמן.
היו"ר שמחה רוטמן
¶
אם מחר יעשו עוד איזושהי הזזה אז עדיף שזה יהיה "כהגדרתה בחוק הגנת הפרטיות" למקרה שיבנו אותו מחדש וישימו את כל ההגדרות בסעיף אחד כמו שלפעמים נוהגים לעשות במדינות משונות כאלו.
היו"ר שמחה רוטמן
¶
בסדר אבל אם יזיזו את ההדגרה מסעיף לסעיף אנחנו נצטרך לעשות עוד אלף תיקונים עקיפים, לא חרם?
אביה קירשנבאום לייבנר
¶
זה סוג התיקונים הראשון. הסוג השני הוא הגדרה של מידע שאנחנו מגדירים כמידע אישי. אנחנו בעצם מחליפים את המונח מ-"מידע" ל-"מידע אישי" ומוחקים במקומות הרלוונטיים את הביטוי "ידיעה על ענייניו הפרטיים של אדם" בגלל שינוי ההגדרה בחוק העיקרי.
התיקון השלישי הוא החלפה של המונח "רשם מאגר המידע" ב-"ראש הרשות להגנת הפרטיות", בהתאם לתיקון בחוק העיקרי, שוב. אנחנו מבקשים לפרוטוקול את הסמכת הוועדה לבצע תיקונים נוספים כאלה, ככול שיידרשו וימצאו.
אביה קירשנבאום לייבנר
¶
תודה. אני לא אקריא את הנוסח, אנחנו פשוט נעבור ברפרוף על הנוסח המשולב כדי שנראה באיזה חוקים, איזה סוג תיקון מופיע אז אתם יכולים להסתכל בנוסח המשולב. סעיף 18 מתקן את פקודת בריאות העם מספר 40 לשנת 1940. יש פה שינוי של ההפניה לסעיף הרלוונטי בחוק הגנת הפרטיות של הגדרת אבטחת מידע.
אביה קירשנבאום לייבנר
¶
או לחוק עצמו, כן. סעיף 19 מתקן את חוק התקנים, זה שוב החלפה של "מידע" ב-"מידע אישי" והתאמת ההפניה לחוק. זה חוזר על עצמו פעמיים. סעיף 20 מתקן את חוק הביטוח הלאומי ושם יש לנו גם החלפה של "מידע" ב-"מידע אישי" והפניה רלוונטית לסעיף או לחוק.
סעיף 21 מתקן את חוק רישום ציוד הנדסי התשי"ז, 1957. שוב יש לנו פה החלפה של "מידע" ב-"מידע אישי". סעיף 22 זה פקודת מס הכנסה. אני רציתי להעיר ואתם יכולים לראות בנוסח המשולב - - -
אביה קירשנבאום לייבנר
¶
יש איזושהי הערה במסמך הכנה אבל תתעלמו ממנה, היא לא מתייחסת לסעיף הזה. כאן אנחנו עושים תיקון של החלפת המונח "רשם מאגר המידע" ב-"ראש הרשות להגנת הפרטיות" ומפנים לסעיף או לחוק הרלוונטיים וגם החלפה של "מידע" ב-"מידע אישי" וגם זה חוזר על עצמו מספר פעמים.
סעיף 23 זה תיקון פקודת התעבורה, נוסח חדש. גם פה יש החלפה של ההפניה לסעיף או לחוק בחוק הגנת הפרטיות.
סעיף 24 זה פקודת העיריות וגם כאן מחליפים את ההפניות לסעיפים. יש לנו כאן גם מחיקה של הביטוי "ובכלל זה, ידיעה על ענייניו הפרטיים של אדם" שאמרנו שהוא כבר לא רלוונטי בהקשר הזה, החלפה של "מידע" ב-"מידע אישי" וגם החלפה של המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות".
סעיף 25 זה תיקון של חוק הרשויות המקומיות, בחירות, התשכ"ה, 1965. יש לנו כאן החלפה של המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות". סעיף 26 זה חוק ניירות ערך וגם פה מחליפי את "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות" ויש הפניה רלוונטית לסעיף או לחוק.
סעיף 27 זה חוק הבחירות לכנסת, נוסח משולב התשכ"ט, 1969. אנחנו מחליפים את הביטוי "רשם מאגרי המידע כהגדרתו בחוק הגנת הפרטיות" ל-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית לסעיף או לחוק.
סעיף 28 זה חוק פיצויים לנפגעי תאונות דרכים, התשל"ה, 1975 וזה גם כאן החלפה של "מידע" ב-"מידע אישי" והפניה רלוונטית לחוק.
סעיף 29 זה פקודת הסטטיסטיקה, נוסח חדש, התשל"ב, 1972. יש החלפה של "מידע" ב-"מידע אישי", הפניה רלוונטית לחוק ומחיקה של הביטוי "או ידיעה על ענייניו הפרטיים של אדם, אף שאינה בגדר מידע כאמור".
סעיף 30 זה פקודת הייבוא והייצוא, נוסח חדש, התשל"ט, 1972. מחליפים את המונח "הרשם" ב-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית.
סעיף 31 זה חוק התקשורת בזק ושידורים, התשמ"ב, 1982. מחליפים את "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה של "או ידיעות על אודות ענייניו הפרטיים של אדם גם אם אינם בגדר מידע כאמור".
סעיף 32 זה חוק יסודות התקציב. מחליפים את "מידע" ב-"מידע אישי" עם הפניה רלוונטית לחוק.
סעיף 33 זה תיקון של חוק שירות ביטחון, נוסח משולב התשמ"ו - - -
היו"ר שמחה רוטמן
¶
אפשר לתקן את כל הסעיפים האלה ולהגיד שאין קשר בין לימוד תורה בישיבה לבין פטור מצבא ולחסוך המון דיונים בוועדות אחרות. כל התיקונים הקטנים האלה הם קצת מיותרים בעייני.
אביה קירשנבאום לייבנר
¶
אנחנו מתקנים את חוק שירות ביטחון, נוסח משולב התשמ"ו, 1986 ומחליפים את המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית, החלפה של "מידע אישי" וכן מחיקת הביטוי "ידיעה על עניינו הפרטיים של אדם, אף אם אינה בגדר מידע כאמור". שוב, זה חוזר על עצמו מספר פעמים.
סעיף 34 זה תיקון של חוק בתי משפט לעניינים מנהליים, התש"ס, 2000. מחליפים את הביטוי "הרשם" ב-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית.
סעיף 35 זה תיקון של חוק הפיקוח על שירותים פיננסיים, ייעוץ, שיווק ומערכת סליקת פנסיוניים, התשס"ה, 2005. מחליפים את המונח "הרשם ב-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית וגם זה חוזר מספר פעמים.
סעיף 36 זה תיקון של חוק נכנסים של נספי השואה, השבה ליורשים והקדשה למטרות סיוע והנצחה, התשס"ו, 2006. אנחנו מחליפים את "מידע" ב-"מידע אישי" עם הפניה רלוונטית לחוק.
סעיף 37 זה חוק הרשות הלאומית לבטיחות בדרכים, התשס"ו, 2006. זה גם החלפה של "מידע" ב-"מידע אישי" והפניה רלוונטית.
סעיף 38 זה הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים, מסכי זיהוי ומאגרי מידע, התש"ע, 2009. מחליפים את המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות" וגם פה זה חוזר מספר פעמים.
סעיף 39 זה חוק מרשם תורמי מח עצם, התשע"א, 2011. אנחנו מחליפים את המונח "הרשם" ב-"ראש הרשות להגנת הפרטיות".
סעיף 40 זה חוק המועצה הארצית לביטחון תזונתי. אנחנו מחליפים את "מידע" ב-"מידע אישי" עם הפניה רלוונטית ובהתאם, מוחקים את "ידיעה על עניינו הפרטיים של אדם, אף אם אינה בגדר מידע כאמור".
סעיף 41 זה חוק קביעת מועד כניסה לתוקף של הוראות סימון מזון ארוז מראש, התשע"ה, 2014. אנחנו מחליפים את "מידע" ב-"מידע אישי" וזה גם חוזר שלוש פעמים.
סעיף 42 זה חוק אומנה לילדים, התשע"ו, 2016. אנחנו מחליפים את המונח ה-"רשם" ב-"ראש הרשות להגנת הפרטיות".
סעיף 43 זה חוק נתוני האשראי. אנחנו מחליפים את "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות" וזה חוזר מספר פעמים.
סעיף 44 זה חוק להגברת התחרות ולצמצום הריכוזיות בשוק הבנקאות בישראל, התשע"ז, 2017. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית.
סעיף 45 זה חוק המועצה לגיל הרך, התשע"ז, 2017. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה "ידיעה על עניינו הפרטיים של אדם, אף שאינה בגדר מידע כאמור".
סעיף 46 זה חוק הרשות הלאומית לביטחון קהילתי, התשע"ז, 2017. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה של הביטוי "ידיעה על עניינו הפרטיים של אדם, אף שאינם בגדר מידע כאמור".
סעיף 47 זה חוק תקשורת דיגיטלית עם גופים ציבוריים התשע"ח, 2018. כאן יש לנו תיקון נקודתי וזה משהו מרענן שלא חוזר על עצמו בלי סוף. בגלל שאנחנו מעדכנים ומוסיפים הגדרה של "מידע בעל רגישות מיוחדת" אז אנחנו בעצם מחליפים את כל ההגדרה בתוספת, מחליפים גם את "מידע" ב-"מידע אישי" ומוחקים את הביטוי "ועניינו הפרטיים של אדם, כמשמעם בחוק הגנת הפרטיות".
בשביל להבהיר, בתוספת אנחנו בעצם מפנים לחוק הגנת הפרטיות להגדרה של "מידע בעל רגישות מיוחדת". זאת אומרת, במקום מה שיש היום בפרט 1 אז כל הפסקאות האלה ימחקו ויופיע "מידע בעל רגישות מיוחדת כהגדרתו בסעיף 3 לחוק הגנת הפרטיות" או "כהגדרתו בחוק הגנת הפרטיות", איזה מהם שיסוכם מבחינת נוסח.
סעיף 48 זה תיקון של חוק עקרונות האסדרה, התשפ"ב, 2021. החלפה של "מידע" ב-"מידע אישי" על פי הפניה רלוונטית ומחיקה של "וידיעה על ענייניו הפרטיים של אדם כמשמעותה באותו חוק, אף שאינה בגדר מידע".
סעיף 49 זה חוק שירות מידע פיננסי, התשפ"ב, 2021. הפניה רלוונטית של ההגדרה "אבטחת מידע" לחוק הגנת הפרטיות והחלפה של "הרשם" ב-"ראש הרשות להגנת הפרטיות", וזה חוזר מספר פעמים.
סעיף 50 זה תיקון של חוק סמכויות לאיסוף ואבחון של נתוני נוסעים הנכנסים לישראל או היוצאים ממנה התשפ"ג, 2023. יש לנו הפניה רלוונטית של ההגדרה "מאגר מידע" לחוק הגנת הפרטיות" והחלפה של המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות". בנוסף, יש לנו גם מחיקה של הביטוי "במשרד המשפטים" שחוזר על עצמו כי בחוק היום כתוב "ראש הרשות להגנת הפרטיות במשרד המשפטים" וברגע שאנחנו מפנים להגדרה בחוק היום, היא גם ככה כוללת בתוכה את זה שזה במשרד המשפטים אז אין צורך במילים האלה.
סעיף 51 זה תיקון של חוק הסדרת העיסוק בשירותי תשלום וייזום תשלום. שוב יש הפניה רלוונטית של ההגדרה "אבטחת מידע" לחוק הגנת הפרטיות.
סעיף 52 זה תיקון של חוק הרשויות המקומיות, הקרן להרחבת ההשקעה בתושב ולהגדלת היצע הדיור, התשפ"ג, 2023. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה של הביטוי "וידיעה לענייניו הפרטיים של אדם כמשמעותה באותו חוק.
סעיף 53 זה הסעיף האחרון וזה תיקון של חוק הסמכת צבא הגנה לישראל ושירות הביטחון הכללי לביצוע חדירה לחומר מחשב המשמש להפעלת מצלמה נייחת ופעולה בו, הוראת שעה חרבות ברזל, התשפ"ד, 2023. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה של הביטוי "ובכלל זה, ידיעה על ענייניו הפרטיים של אדם כמשמעותה בחוק האמור".
יש כאן עוד חוק שיכול להיות שנצטרך לתקן במידה ויהיה תיקון כלשהו בסעיף 17ב אבל כרגע זה לא מוצע כתיקון לנוסח.
היו"ר שמחה רוטמן
¶
טוב, בסדר. זה סתם משונה. מה המשמעות של "שימוש בפרטי רישום שנמסרו לפי סעיף זה שלא למטרה שלשמה נמסרו, יהיה עוולה לפי חוק הגנת הפרטיות"? יש פה מונחים בחוק הזה שהם חסרי משמעות. עבירה לפי חוק הגנת הפרטיות, אתה אומר בחוק שמשהו יהיה עבירה לפי חוק אחר? מה הרציונל בזה?
היו"ר שמחה רוטמן
¶
לא ניכנס לזה אבל זה משונה. עכשיו הבהרנו חלק מהדברים ואני לא רוצה לייצר הוראות סותרות.
היו"ר שמחה רוטמן
¶
תבדקו את זה עם משרד הפנים בכל זאת כי יכול להיות שצריך לתקן את הפרק הזה בתיקון עיקוף כי אנחנו עשינו אנחנו עשינו פה איזשהו תיקון והדברים האלה יכולים לייצר סתירות. "שר הפנים רשאי להורות על הפסקת מסירתם", נתנו פה סמכות לשר הפנים לעשות איזשהו צו הפסקת עיבוד.
היו"ר שמחה רוטמן
¶
אני מבין אבל גם במסירה ממרשם האוכלוסין, מי הגורם המתאים לעשות את זה, אתם או שר הפנים? יש פה סמכות מקבילה. בעצם, שר הפנים מקבל פה סמכות לצו הפסקת עיבוד.
היו"ר שמחה רוטמן
¶
יש פה "שר הפנים, בהסכמת שר המשפטים באישור ועדת הפנים". הרגולטור פה מאוד משונה. אנחנו יצרנו כאן כל מיני מנגנונים אז תחשבו האם צריך לעשות פה תיקון עקיף ולעשות את זה על דרך ההפניה למנגנונים החדשים שייצרנו ולא לייצר מנגנונים כפולים וסותרים.
בסופו של דבר, בן אדם יכול לחטוף. מרשם האוכלוסין והמפלגות, בהקשר הזה, יכולים לקבל הוראות סותרות ממכם ומשר הפנים והם יעמדו בדרישות שלכם ולא יעמדו בדרישות שלו או שהם יעמדו בדרישות שלו ואתם תתנו להם דרישות סותרות. אנחנו לא אוהבים רגולציה כפולה אז תבדקו את זה לפעם הבאה.
אביה קירשנבאום לייבנר
¶
יש הערה אחת שפספסתי בהקשר של סעיף 22, תיקון של פקודת מס הכנסה, נוסח חדש, בסעיף 141א רבא, סעיף קטן (יא) פסקה 2 בעמוד 5 בנוסח המשולב. הסעיף אומר "נקבעה חובה להגשת דו"ח מקוון כאמור בפסקה ח', רשאי המנהל לקבוע הוראות ביצוע באשר לדרך הגשת הדו"ח ובלבד שההוראות לעניין ההגנה על המערכות המשמשות לאיסוף ועיבוד המידע האישי כהגדרתו בסעיף - - -" לחוק הגנת הפרטיות. הסיפה לא חשובה, העניין הוא עיבוד המידע שלא מוגדר בפקודת מס הכנסה.
אביה קירשנבאום לייבנר
¶
המונח "עיבוד" לא מוגדר בפקודת מס הכנסה ויכול להיות שאנחנו נרצה להבהיר שהעיבוד במשמעותו בפקודה לא משתנה עכשיו לאור התיקון בו אנחנו מגדירים את המונח "עיבוד" בחוק הגנת הפרטיות ויכול להיות שתידרש איזושהי הוראת שמירת דינים שאומרת שעיבוד במשמעותו לפני תיקון 14 נשאר באותה משמעות.
עמית יוסוב עמיר
¶
לגבי החוק הזה, אין בעיה אבל לגבי כל חוק שהוא, צריך לבדוק מה המשמעות של זה ולא דיברנו על זה עד כה אז אני מציע לא לקבוע מסמרות בנושא. לגבי פקודת מס הכנסה, אין שום כוונה לשנות את זה.
נעמה מנחמי
¶
לא אבל אם ניתן איזשהו רישיון, נעשה איזשהו עיבוד, ניתנה איזושהי הסכמה או שנעשה משהו לפי ההגדרה הקודמת אז אנחנו לא משנים אותה רטרואקטיבית, מה שנקבע - - -
עמית יוסוב עמיר
¶
אנחנו לא משנים שום דבר רטרואקטיבית. יש כללי פרשנות רגילים בחקיקה ואם בחוק – בטח בחוק מסגרת כמו חוק הגנת הפרטיות או חוק תשתיתי, לא מסגרת בעצם – יש הגדרה ובחוקים אחרים המונחים לא מוגדרים אז ללמוד את ההגדרות מחוק תשתיתי שכזה זה אמצעי פרשני מקובל.
אני לא אומר שזה יהיה מתאים בכל מקום ופה אנחנו אומרים באופן חד-משמעי שזה לא מתאים וזאת לא הכוונה אבל אני לא יודע אם לכתוב הוראה מפורשת על כך שזה לא משפיע על אף אחר.
ד"ר עמרי רחום טוויג
¶
אני מבין את העקרון הכללי שלא מתקנים תקנות בחקיקה ראשית אבל יש הרבה תקנות שהן לא מכוח חוק הגנת הפרטיות אלא מכוח חוקים אחרים, תקנות והוראות רגולציה של רגולטורים אחרים שמתייחסות למונחים מידע רגיש כהגדרתו היום וגם למידע ורשם מאגרי המידע, אז מה עושים עם כל אלה?
עמית יוסוב עמיר
¶
יש לזה פתרון לפי חוק הפרשנות. הולכים למונח כפי שתוקן. כלומר, אם היום כתוב "מידע רגיש" ומחר יהיה כתוב בחוק "מידע בעל רגישות מיוחדת" או "מידע רגיש במיוחד" – זה נכון גם לתיקון העקיף שעשינו עכשיו, הקראנו "מידע בעל רגישות מיוחדת" ויכול להיות שזה עוד ישתנה – אז כמובן שהולכים למונח העדכני בחקיקה הרלוונטית.
נעמה מנחמי
¶
הייתה לנו שאלה על פרסום של תאגיד, יחיד וברירת המחדל. הייתה לנו בקשה של הממשלה שלא להוריד את הפרסום וכן לשנות אולי את ברירת המחדל. הייתה גם הצעה של הממשלה שאנחנו כבר הראנו אותה ליושב-ראש הוועדה והיא לא כל כך הייתה מקובלת ולכן, ההצעה שלפניכם היא ההצעה, אני חושבת.
היו"ר שמחה רוטמן