ישיבת ועדה של הכנסת ה-25 מתאריך 23/06/2024

חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024

פרוטוקול

 
פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



101
ועדת החוקה, חוק ומשפט
23/06/2024


מושב שני


פרוטוקול מס' 351
מישיבת ועדת החוקה, חוק ומשפט
יום ראשון, י"ז בסיון התשפ"ד (23 ביוני 2024), שעה 12:00
סדר היום
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
נכחו
חברי הוועדה: שמחה רוטמן – היו"ר
מוזמנים
סוריא בשארה

עו"ד, ייעוץ וחקיקה, פלילי, משרד המשפטים

עמית יוסוב עמיר - עו"ד, ייעוץ וחקיקה, משרד המשפטים

שירה גרטנברג - עו"ד, ייעוץ וחקיקה, משרד המשפטים

לירון מאוטנר לוגסי - עו"ד, ראש תחום משפט ציבורי, מחלקת ייעוץ וחקיקה, משרד המשפטים

גלעד סממה - עו"ד, יו"ר, הרשות להגנת הפרטיות, משרד המשפטים

ראובן אידלמן - יועץ משפטי, הרשות להגנת הפרטיות, משרד המשפטים

ניר גרסון - עו"ד, סגן יועמ"ש, הרשות להגנת הפרטיות, משרד המשפטים

חמדת קב - עו"ד, יועצת משפטית, משרד הבריאות

מירה סלומון - ראש מנהל משפט וכנסת, מרכז השלטון המקומי

ד"ר רחל ארידור הרשקוביץ - עו"ד, חוקרת, המכון הישראלי לדמוקרטיה

ד"ר דן חי - ראש המרכז לחקר המידע DPI ויו"ר הוועדה להגנת הפרטיות בלשכת עורכי הדין

ענר רבינוביץ' - מנכ"ל, חברת מנכ״ל Privacy Team

איה מרקביץ' - עו"ד, Privacy Director, חברת Privacy Team

ד"ר עמרי רחום טוויג - שותף, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל

דלית בן ישראל - עו"ד, שותפה, ראש תחום פרטיות

ליאור אתגר - עו"ד, שותף, ראש מחלקת הגנת פרטיות, משרד ארדינסט

אייל שגיא - עו"ד, שותף, משרד AYR
משתתפים באמצעים מקוונים
נועה גבע - עו"ד, המועצה להגנת הפרטיות, משרד המשפטים
ייעוץ משפטי
נעמה מנחמי
אביה קירשנבאום לייבנר
מנהל הוועדה
איל קופמן
רישום פרלמנטרי
איה פרידמן, איטייפ


רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.


הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496
היו"ר שמחה רוטמן
בוקר טוב לכולם, מזמן לא דנו על הגנת פרטיות. PrivacyTeam חזרו, אתם לא יודעים כמה חסרתם בפעם הקודמת. איפה היינו?
נעמה מנחמי
נראה לי שעכשיו אנחנו סוף-סוף נגיע לדיון חוזר בעבירות שלא הספקנו להגיע אליו בדיון הקודם. זה סעיף 23מז, אני חושבת שהוא נשאר כפי שהוא היה בדיון הקודם. בהטיית ראש הרשות, מפקח או ממוחא חיצוני, היה חסר לנו מומחה חיצוני ואני חושבת שהוועדה עדיין לא הכריעה בנושא של שלוש שנים או שנתיים.
היו"ר שמחה רוטמן
זאת עבירה חדשה, נכון?
נעמה מנחמי
זאת עבירה - - -
ראובן אידלמן
כן.
נעמה מנחמי
כן. יש לנו כאן שתי נסיבות של העבירה הזאת.
ראובן אידלמן
אלו סמכויות שלא מוסדרות היום בחוק אז בוודאי לגבי חוקר יש גם עבירה חדשה.
היו"ר שמחה רוטמן
ודאי.
נעמה מנחמי
יש לה שתי נסיבות. "כלל פרטים שאינם נכונים בבקשה לרישום מאגר מידע שהוגשה לפי סעיף 9 או בהודעה על שינוי בפרטים המנויים בסעיף 9ב או בהודעה לפי סעיף 18ג(1)".
אביה קירשנבאום לייבנר
זה צריך להיות 8.
נעמה מנחמי
זה תיקון שהוועדה עשתה בפעם הקודמת, או "מסר פרטים שאינם נכונים במענה לדרישה של מפקח לפי סעיף 23יא(1)(1) עד (3) או של מומחה חיצוני לפי סעיף 23טז(ו)".
היו"ר שמחה רוטמן
הממשלה ביקשה פה שלוש שנים?
עמית יוסוב עמיר
כן.
היו"ר שמחה רוטמן
שם ותפקיד לפרוטוקול.
עמית יוסוב עמיר
צוהריים טובים, עמית יוסוב עמיר ממשרד המשפטים.
נעמה מנחמי
אני חושבת שמהמיני-מחקר שעשינו, לא ראינו הרבה עבירות דומות של שלוש שנים.
היו"ר שמחה רוטמן
כן, מאיפה הגעתם לשלוש? אני מתאר לעצמי שהרוב בכל מקרה יהיה בעיצום כספי אבל למה שלוש ולא שנתיים או שנה כמו בדוגמאות המעודכנות יותר?
סוריא בשארה
אפשר גם שנתיים. סוריא בשארה, ייעוץ וחקיקה, פלילי.
היו"ר שמחה רוטמן
אפשר גם שנתיים. אפשר גם שנה? אני צריך להבין מה הטווח. מאיפה אנחנו מגיעים לזה?
ראובן אידלמן
לא, אבל לפי הדוגמאות - - -
סוריא בשארה
יש גם שנה בדוגמאות.
היו"ר שמחה רוטמן
רק רגע. נא לרשום בפרוטוקול, יושב-ראש הוועדה הכניס את האצבע לפיו והרים אותה באוויר.
ראובן אידלמן
לא אבל לגבי שנתיים, בכל זאת יש פה כמה דוגמאות.
היו"ר שמחה רוטמן
נכון, יש. אני פשוט אומר שזה - - -
ראובן אידלמן
לגבי שנתיים אין לנו התנגדות אבל אנחנו מבקשים לא פחות משנתיים.
סוריא בשארה
השארנו את זה לשיקול דעת הוועדה.
היו"ר שמחה רוטמן
הבנתי. אני פשוט שוקל רפורמה להבניית שיקול הדעת בענישה של ועדות בכנסת ושל משרדי ממשלה אחרי שזה כל כך הצליח אצל שופטים. ננסה להבין איך אנחנו קובעים עונשים ועל בסיס מה. טוב שנתיים אז שנתיים, זה דומה למה שכבר קיים. בסדר.
נעמה מנחמי
הקראנו כבר את התיקונים שהוועדה עשתה בהמשך הסעיף. הסעיף הבא זה 23מט והוא חוזר לוועדה בעקבות שינויים.

פנייה לקבלת מידע תוך מסירת פרטים לא נכונים





במקום "במרמה".


23 מט
הפונה לאדם לקבלת מידע לשם עיבודו במאגר מידע ומוסר לו פרטים שאינם נכונים בניגוד לסעיף 11, בכוונה להטעות למסור את המידע, דינו – מאסר שלוש שנים;



אני חושבת שזה מפשט את הסעיף לעומת מה שהיה בוועדה. ניסנו לעשות את ההפשטה הזאת מאז הדיון הקודם. אנחנו מזכירים שיש קבלת דבר במרמה בסעיף 415 לחוק העונשין שעדיין שריר וקיים אבל הוא כנראה לא יטופל על ידי חוקרי הרשות להגנת הפרטיות ככול שיהיה צורך.
היו"ר שמחה רוטמן
או-קיי, הניסוח החדש טוב לי.
נעמה מנחמי
בסדר גמור.

שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר
23 נ




נדמה לי שלא היו שינויים אבל בואו נקריא אותו.
עמית יוסוב עמיר
לא, זה הסעיף שאנחנו מבקשים לוותר עליו לאור ההחלטה - - -
היו"ר שמחה רוטמן
אז הוא לא יהיה?
נעמה מנחמי
הסעיף יורד, כן.
היו"ר שמחה רוטמן
23נא?
נעמה מנחמי
עיבוד מידע ממאגר מידע בלא הרשאה
23 נא.
המעבד מידע אישי ממאגר מידע, בלא הרשאה של או מאת בעל השליטה במאגר, בניגוד להוראות סעיף 8(א2), דינו – מאסר שלוש שנים.



הסעיפים הקטנים השתנו אבל כרגע, אנחנו מבינים את זה.
היו"ר שמחה רוטמן
זה גניבת מאגר? לא הבנתי.
נעמה מנחמי
לא. היה לנו דיון על השאלה של איפה עובר הרף והאם הסעיף הזה מייצג גם גניבת מאגר אבל דברים קלים יותר ואני חושבת שהייתה בקשה של עמרי רחום – נדמה לי – לנסות להבהיר שזה לא כל שימוש הכי קטן שהוא קצת שונה מההרשאה. לכן, הורדנו את "בחריגה מהרשאה כאמור".
עמית יוסוב עמיר
רק להבהיר, יכול להיות שגניבת מאגר טופלה גם על ידי שימוש שלא למטרה.
היו"ר שמחה רוטמן
שימוש שלא למטרה הורדנו.
עמית יוסוב עמיר
לא, סעיף 2(9). פה אנחנו מדברים על שימוש בלא הרשאה. הנורמה דורשת להשתמש עם הרשאה ובהתאם להרשאה והעבירה הפלילית פה מדברת על מישהו שעיבד מידע בלא הרשאה בכלל. ויתרנו על "בחריגה מהרשאה" כי אלו באמת מקרים יותר עמומים שאולי לא מתאימים למשפט.
היו"ר שמחה רוטמן
אתה אומר שבשנייה שאתה כותב "ללא הרשאה" זאת הבחנה קצת משונה כי בסופו של דבר, אתה שואל מה ההבדל בין העדר הרשאה לחריגה מהרשאה. יש לי הרשאה לעשות א' ואין לי הרשאה לעשות ב' אז האם זה חריגה מהרשאה או בלא הרשאה?
נעמה מנחמי
אני חושבת שהכוונה הייתה בשוליים של אותה הרשאה בסיסית. כלומר, היית אמור לעשות א' ועשית ב'.
היו"ר שמחה רוטמן
אבל זאת עבירה פלילית, אי-אפשר להשאיר אותה עמומה ככה.
נעמה מנחמי
לא, זה דווקא בגלל שלא רצינו שייכנסו מצבים עמומים.
היו"ר שמחה רוטמן
אבל כשאתה כותב "בלא הרשאה" אז - - -
סוריא בשארה
הורדנו את החריגה מההרשאה כדי לייצר יותר בהירות והכוונה היא שאם החריגה מההרשאה ממש מובהקת וניתן לאבחן אותה כהעדר הרשאה, רק אז תחול העבירה הפלילית אבל השארנו את החריגה מההרשאה לגבי העיצום הכספי. זאת אומרת, המקרים העמומים שיכול להיות שיש בהם חריגה מהרשאה ולא נכנסים לעבירה הפלילית, יטופלו בעיצומים.
היו"ר שמחה רוטמן
הבנתי אבל אני חייב לומר שאני נכוויתי מהלשונות העמומות הללו סביב פרשת הפגסוס. לא כדאי לקרוא לזה פגסוס אלא מה שמכונה פרשת הרוגלות. היה דיון מאוד ארוך ומעמיק – שבעיניי היה מצחיק – על השאלה האם קיבלו מידע ללא צו או שקיבלו מידע בחריגה מצו.

אני אמרתי שאין דבר כזה. אם קיבלתם צו האזנת סתר ולקחתם מידע שאתם לא יכולים לקחת בתוך חוק האזנת סתר אז פעלתם בניגוד לחוק, לא פעלתם בחריגה מהרשאה. אין דבר כזה. זה היה הדיון, על זה היה הוויכוח וזאת הייתה עמדת משרד המשפטים. אם קיבלתי צו להאזין לפלוני והאזנתי לאלמוני, במקרה הזה לא לאלמוני אלא השתמשתי בצו של ההאזנה די לקבל מהטלפון שלו דברים שבכלל לא קשורים להאזנת סתר אז זה רק בחריגה מצו, זה לא "ללא צו".

לא, זה ללא צו כי לא קיבלת צו למשהו שבית המשפט לא מוסמך לתת עליו צו. המשחק הזה בין ללא צו לבין חריגה מהרשאה משאיר שיקול דעת עמום בעבירות פליליות. אני אומר שהכוונה ב-"ללא הרשאה" זה שלא קיבלת הרשאה. אם קיבלת הרשאה לעשות פעולת עיבוד מסוימת ועשית פעולת עיבוד אחרת אז את פעולת העיבוד האחרת עשית ללא השראה, לא בחריגה מהרשאה.

זה נכון שיש זוטי דברים ואלה הגנת רחבות אבל עשית את זה ללא הרשאה. לכן, כשאתם אומרים לי שאתם משאירים את זה בעיצום, אני דווקא מוטרד מהעמימות הזאת. בסופו של דבר, השאלה היא תמיד בינארית. הורשת לעשות את הפעולה שעשית או לא הורשת לעשות את הפעולה שעשית. זאת לא שאלה של חריגה או "ללא השראה", אין הבדל בין התחומים האלה. זה מה שרצית להגיד כשהצבעת או שרצית להגיד משהו אחר?
איה מרקביץ'
משהו אחר.
היו"ר שמחה רוטמן
בבקשה.
איה מרקביץ'
סליחה אם אני מחזירה אותנו צעד אחורה.
היו"ר שמחה רוטמן
שם ותפקיד לפרוטוקול.
איה מרקביץ'
איה מרקביץ', חברת PrivcyTeam. כמו שהוזכר בתחילת הדיון, אנחנו החמצנו את הדיון הקודם ורציתי להחזיר אותנו לסעיף שוויתרנו עליו, סעיף 23נ בגלל שהכנסנו סעיף אחר, 8א(1) כמדומני.
עמית יוסוב עמיר
לא, לא. אנחנו פשוט מוותרים על - - -
ראובן אידלמן
אנחנו נשארים עם סעיפי צמידות המטרה הקיימים, 2(9) ו-8ב. זאת הסיבה ש-23נ לא נכנס.
איה מרקביץ'
8ב שהוגדר כ-"לא יעבד אדם - - -
עמית יוסוב עמיר
לא, אבל לא הצענו עבירה פלילית על הסעיף הזה.
איה מרקביץ'
ברור.
עמית יוסוב עמיר
אנחנו בסעיפי עבירה פלילית.
איה מרקביץ'
ברור, בגלל זה אני אומרת שאני עושה צעד אחורה ולא מדברת על העבירה. אם נדבר על זה אחרי זה, נדבר אחרי זה אבל רק רציתי להבהיר שזה עניין שאנחנו חושבים שחשוב ללבן אותו.
עמית יוסוב עמיר
זה ילובן אבל אנחנו באמצע דיון אחר.
היו"ר שמחה רוטמן
בסדר. אני יודע שאיה מדברת בקצרה אז אני אבין את השאלה שלה ואדע מתי הזמן לדון בה.
איה מרקביץ'
סבבה. להבנתנו, אנחנו חושבים שהנוסח שהתקבל בסוף הדיון הקודם הוא "לא יעבד אדם מידע במאגר מידע אלא למטרת המאגר שנקבעה כדין" הוא מאוד בעייתי. אם הוויתור על סעיפים אחרים הוא מתוך הישענות על זה אז אנחנו חושבים שראוי לדבר על זה בנפרד.
היו"ר שמחה רוטמן
טוב אז אולי כשנסיים את העבירות, אם יהיה לנו קצת זמן אז אנחנו נחזור לזה.
איה מרקביץ'
תודה.
היו"ר שמחה רוטמן
אבל אנחנו דווקא ליבנו את הסעיף הזה באריכות בפעם הקודמת.
איה מרקביץ'
אנחנו צפינו בדיון ויש לנו כמה הערות בהמשך אליו.
היו"ר שמחה רוטמן
בסדר אז אחר כך. אתה רוצה לדבר על זה?
גלעד סממה
לא, אני רק אומר שגם לנו יש הרבה הערות על כל מיני דברים.
היו"ר שמחה רוטמן
בסדר.
גלעד סממה
יש גם סופיות הדיון באיזשהו שלב.
היו"ר שמחה רוטמן
בסדר.
איה מרקביץ'
אני לא בטוחה שהייתי אומרת את זה דווקא.
היו"ר שמחה רוטמן
די. אפשר להתקדם? תודה. נשמע, יהיה בסדר והכול טוב.
נעמה מנחמי
אתה רצית להתייחס לעניין של החריגה?
היו"ר שמחה רוטמן
אני לא מצליח להבין את ההבדל בין ההגדרה של "חריגה מהרשאה" ו-"ללא הרשאה". בעבירה פלילית אני בוודאי לא מצליח להבין ובעיצום כספי זה צריך להיות ברור לא פחות ואולי אפילו יותר מאשר בעבירה פלילית.
עמית יוסוב עמיר
האמירה שלנו היא כזאת, במשפט הפלילי עמימות פועלת לטובת הנאשם ובאופן כללי, המטרה שלנו היא לעשות את זה כמה שיותר ודאי. לכן, אנחנו מעוניינים לצמצם את רוחב העבירה הפלילית.
היו"ר שמחה רוטמן
לעומת עיצום כספי שפועל לרעתו ולכן אנחנו רוצים להרחיב את זה.
עמית יוסוב עמיר
לא. שנייה.
היו"ר שמחה רוטמן
סליחה על הציניות.
עמית יוסוב עמיר
אנחנו בנוסח עצמו.
ראובן אידלמן
עוד לא הגענו לסעיף העיצום הזה.
עמית יוסוב עמיר
כנראה שיכולנו להגיע לאותה תוצאה גם אם היינו משאירים את הנוסח העמום אבל לא רצינו להשאיר עוד נוסח עמום. זאת אומרת, המשפט הפלילי צריך להיות הכי - - -
היו"ר שמחה רוטמן
ברור. ללא הרשאה.
עמית יוסוב עמיר
שאפשר ואנחנו מציעים "ללא הרשאה".
היו"ר שמחה רוטמן
בסדר גמור. אז תעשו בעיצום הכספי קיפול ואנחנו נדבר על זה כי גם בעיצום הכספי אני לא רוצה עמימות. זאת אומרת, אני רוצה לדעת האם כשמישהו פועל בחריגה מהרשאה הוא נחשב ללא הרשאה או שהוא נחשב בחריגה מהרשאה ומה זה אומר.
עמית יוסוב עמיר
העניין הוא שיש דבר כזה בחריגה מהרשאה, זה הרשות לעשות א' כשאני עושה ב'.
היו"ר שמחה רוטמן
זה ללא הרשאה, זה לא חריגה מהרשאה. זה ללא הרשאה.
עמית יוסוב עמיר
אני מציע שנדבר על זה - - -
היו"ר שמחה רוטמן
בסדר, נמשיך אחר כך.
נעמה מנחמי
מסירת מידע מגוף ציבורי
23 נב.
גוף ציבורי שהוא תאגיד, עובד של גוף ציבורי או מי שפועל מטעם הגוף הציבורי, המוסר מידע שחל איסור על העברתו, לפי הוראות סעיף 23ב במטרה שגורם שאינו מוסמך לקבל את המידע יעבדו, דינו – מאסר שלוש שנים; לעניין זה, "גוף ציבורי" – כהגדרתו בסעיף 23."
ראובן אידלמן
בדיון הקודם אדוני ביקש להוסיף כאן גם כוונה אז זה "במטרה שגורם שאינו מוסמך לקבל את המידע יעבדו" ויש כאן גם הבהרה או מגבלה נוספת על כך שחל איסור על העברתו. יש כאן שני צמצומים.
היו"ר שמחה רוטמן
אבל חל איסור על העברתו - - -
ראובן אידלמן
זה כדי שיהיה ברור שזה רק על מידע שחל איסור על העברתו ולא מידע שאפשר להעביר אותו לפי פרק ד', למשל, בין גופים ציבוריים או משהו כזה. דיברנו על זה בדיון הקודם אבל הסעיף הזה מכוון למצבים שבהם מוציאים מידע - - -
היו"ר שמחה רוטמן
שחל איסור על העברתו לפי הוראות סעיף 23ב?
ראובן אידלמן
כן.
נעמה מנחמי
כן.
עמית יוסוב עמיר
שחל איסור על העברתו באופן כללי. יש כל מיני חוקים - - -
היו"ר שמחה רוטמן
לא אבל זה לא מה שכתוב. מה שכתוב זה שחל איסור על העברתו לפי הוראות סעיף 23ב.
עמית יוסוב עמיר
בסדר, רק חשוב להבהיר לפרוטוקול שיש מקרים פרטניים שבהם חוק ספציפי מתיר את ההעברה וכמובן שבמקרה כזה, העבירה הפלילית לא תחול.
היו"ר שמחה רוטמן
אני מבין אבל הסעיף בחוק אומר "המוסר מידע שחל איסור על העברתו לפי הוראות סעיף 23ב.
עמית יוסוב עמיר
נכון.
היו"ר שמחה רוטמן
אם האיסור שחל פה הוא איסור מכוח חוק אחר אז על פניו – זה נכון שסעיף 23ב לא יתיר – אז על פניו - - -
עמית יוסוב עמיר
אני מדבר על היתר מכוח חוק אחר, לא איסור מכוח חוק אחר.
ראובן אידלמן
23ב קובע איסור קטגורי ואז החריגים לו הם חוק אחר שמאפשר או הסדר של העברה בין גופים שבפרק ד'. אם שניהם לא חלים ועדיין המידע הועבר החוצה - - -
היו"ר שמחה רוטמן
מובן.
עמית יוסוב עמיר
זאת תהיה עבירה.
ד"ר דן חי
יש לי שאלת תם.
היו"ר שמחה רוטמן
שם ותפקיד לפרוטוקול.
ד"ר דן חי
ד"ר דן חי, DPI group. סעיף 16 קובע עונש של חמש שנים על עבירה מאוד דומה, לא ראוי שזה יהיה אחיד?
היו"ר שמחה רוטמן
איזה סעיף 16?
ד"ר דן חי
16 לחוק הגנת הפרטיות.
עמית יוסוב עמיר
הסעיפים מובחנים ביניהם. סעיף 16 חל במצבים יותר קיצוניים. יש שם רכיב - - -
היו"ר שמחה רוטמן
חובת סודיות שנקבעה בדין.
עמית יוסוב עמיר
כן.
ד"ר דן חי
כן אבל הוא יכול להעביר מסמכים וזה גם מה שקורה כאן.
עמית יוסוב עמיר
אבל יש שם הדלפה מכוונת של מאגר המידע. פה אנחנו מדברים על משהו שהוא גם חמור אבל זה לא בדיוק זה.
ד"ר דן חי
או-קיי.
היו"ר שמחה רוטמן
שנייה, סעיף 16 - - -
ראובן אידלמן
סברנו שאפשר להסתפק פה בשלוש שנים, אנחנו לא ביקשנו חמש שנים.
היו"ר שמחה רוטמן
לא אבל סעיף 16 זה גילוי מידע. כן, לכאורה הוא באמת משונה כי הוא אומר שזה גילוי מידע - - --
ד"ר דן חי
הוא רחב יותר אבל הוא מכסה גם את הסעיף - - -
עמית יוסוב עמיר
אבל זה לא לצורך ביצוע עבודתו או ביצוע חוק זה.
היו"ר שמחה רוטמן
לא, אבל זה גם לא רק לצורך עיבוד. זאת אומרת, אם אני יושב-ראש על מאגר ואני קראתי במאגר שלפלוני אלמוני יש מחלה גנטית נדירה ואני לא מעביר את זה לצורך עיבוד במקום אחר אלא אני מסתכל ומספר לבת זוגתו שיש לו מחלה גנטית חמורה. זה גילוי אבל זה לאו דווקא לצורך עיבוד.
ד"ר דן חי
כן. נגיד, עובד רשות המיסים שהדליף קטעים מהמאגר.
עמית יוסוב עמיר
אנחנו לא מבטלים את תחולת סעיף 16, אנחנו בסך הכול אומרים שזה סעיף ספציפי לגופים ציבוריים ולא מתקיים בו הרכיב - - -
היו"ר שמחה רוטמן
הרעיון בו זה הנושא של העברת המידע לצורך עיבוד. זאת אומרת, העברת מידע ב-bulk. בסעיף 16 יש פגיעה פרטנית ונקודתית בחובת סודיות והיא לאו דווקא - - -
עמית יוסוב עמיר
היא לא חייבת להיות נקודתית.
היו"ר שמחה רוטמן
היא לא חייבת אבל הסיטואציה שעולה לראש זה באמת עובד רשות המיסים שמספר על שומת המס שלך, כמה הרווחת ומאיזה יעד וזה נקודתי, בלי קשר לשאלת העיבוד ובלי קשר לשאלת המסה. כאשר יש גוף ציבורי שמעביר לגוף ציבורי אחר או לגורם אחר בניגוד לחוק אז זה לצורך עיבוד.
ד"ר דן חי
השאלה היא אם זה נכון שזה יהיה פחות, זאת הייתה השאלה שלי. זה יכול גם להיות חמש שנים.
עמית יוסוב עמיר
קודם כול, אנחנו הצענו שלוש.
היו"ר שמחה רוטמן
נכון. הוא שואל למה אתה מייצר אי-קונסיסטנטיות כשבסעיף 16 זה שלוש.
עמית יוסוב עמיר
כי בסעיף 16 יש רכיב חומרה מרכזי נוסף שלא מופיע פה.
היו"ר שמחה רוטמן
מה הוא?
עמית יוסוב עמיר
שזה בכלל לא לצורך ביצוע עבודתו, חוק זה או צו בית משפט. זאת אומרת שזה לחלוטין - - -
נעמה מנחמי
אבל גם בסעיף 23ב זה לא ברור שהוא עשה את זה דווקא - - -
עמית יוסוב עמיר
לא אבל זה לא רכיב נדרש ביסודות העבירה שאנחנו מציעים כאן. זאת אומרת, אין את רכיב החומרה הנוסף שכן מופיע בסעיף 16 ולכן סעיף 16 הוא יותר חמור.
נעמה מנחמי
כן אבל יש להניח שהוא מתקיים.
היו"ר שמחה רוטמן
לא, לא נכון. לצורך העניין, היה את הסיפור על עובד רשות המיסים שהגדיל ראש. היה עובד של רשות המיסים שהגדיל ראש והחליט שהוא עושה חקירות עצמאיות. הוא ישב על מאגרי המידע של רשות המיסים והחליט לחפש כל מיני עברייני מס. אמרו לו שזה לא התפקיד שלו ועשו לו 16? או שעשו לו סעיף אחר? הוא אמר שזה לא לצורך ביצוע עבודתך.

לעומת זאת, יכול להיות מצב בו בן אדם עושה out sourcing לצורך ביצוע העבודה שלו אבל הוא מעביר את המידע בניגוד לנהלים לחברה חיצונית. הוא העביר את המידע לצורך ביצוע עבודתו ואולי אפילו בתחום סמכויותיו אבל הוא לא עשה את זה בהתאם להוראות החוק אז זה עדיין חושף אותו לעבירה מאוד רצינית כי הוא נתן למישהו אחר לעבד מידע למרות שזה לצורך ביצוע עבודה והכוונות טובות מאוד ולא בשביל להפר סודיות. הוא לא התכוון שהמידע ידלוף, הוא פשוט החליט שהוא מעביר את המידע לגוף ציבורי אחר או לספק חיצוני בניגוד לחוק.
עמית יוסוב עמיר
מבחינתנו, זה לשיקול דעת הוועדה. זאת סוגייה של גובה הענישה ורמת הענישה. אנחנו העצנו שלוש שנים אבל אם הוועדה סבורה - - - יש הבדל בין שני הסעיפים, הם לא מכסים את אותו הדבר. דיברנו על זה גם בדיון הקודם, בסעיף 16 יש את ההגנה של "לצורך ביצוע עבודתו" וכאן אותה. יש הבדל ויש צורך בשני הסעיפים בנפרד אבל מבחינת רמת הענישה, זה מה שהוועדה סוברת.
סוריא בשארה
אני חושבת שאין מקום להחמיר עם העבירה החדשה.
היו"ר שמחה רוטמן
לא, בוודאי שלא אבל השאלה היא אם לא לעשות תיקון עקיף ולהנמיך ל-16.
נעמה מנחמי
לא עקיף.
היו"ר שמחה רוטמן
לא תיקון עקיף, הכוונה היא - - -
עמית יוסוב עמיר
אני מציע שממש לא כי בסופו של דבר, סעיף 16 במקרה הקשה שלו, יכול לדבר על עובד שמדליף מאגר מידע שלם ופוגע במאות אלפי או מיליוני אזרחים. אני מציע לא לגעת בסעיף 16 כי במקרים הקשים והחמורים - - -
היו"ר שמחה רוטמן
בסדר, אין לי בעיה. אני חי עם זה. הפער בין הסעיפים הובהר והוגדר.
סוריא בשארה
אני חושבת שיכול להיות שיש חפיפה בין שני הסעיפים האלה. הרשות תצטרך לפרסם נהלים לגבי מתי היא אוכפת את סעיף 16 ומתי היא אוכפת את סעיף 23נב.
היו"ר שמחה רוטמן
בסדר. סיימנו את הפרק של העבירות?
נעמה מנחמי
יש לי שאלה אחרונה. "במטרה של גורם שאינו מוסמך לקבל את המידע, יעבדו", פרקטית, איך אני מוכיחה את זה שמי שאני מוסרת לו את המידע אני גם מתכוונת שהוא יעבד אותו?
עמית יוסוב עמיר
למשל, אם הוא כתב מייל למישהו אחר שאומר "אני רוצה שזה וזה יעבד אותו". כמו שמוכחים דברים במשפט הפלילי.
היו"ר שמחה רוטמן
לדעתי, הסעיף פה פותר את הבעיה שדובר עליה בתחילת הדיונים. נאמר פה מה קורה אם רוצים להעביר מידע לטובת התממה. אני מעביר את המידע שלא במטרה שיעבדו אותו אלא להפך, אני מעביר אותו כדי שיהפוך אותו ללא מידע. אני מעביר אותו כדי שהוא יתמים את המידע וימחק ממנו את המידע הרלוונטי, אני לא רוצה שהוא יאחסן אותו אלא אני רוצה שהוא יעשה התממה. לכאורה, על פניו הוא לא ייכנס בזה.

זאת הבנתי אבל אם אני טועה, אנא אמרו לפרוטוקול. יכול להיות שזה לא בסדר כי הייתי צריך לעשות את זה בהתאם לנהלים אבל לא התכוונתי שהוא יאחסן מידע ולא התכוונתי שהוא יעבד מידע אסור.
ראובן אידלמן
זה גם כנראה יהיה גורם שהוא מורשה. פה כתוב "לגורם שאינו מוסמך". מישהו שפועל מטעמי כנראה ייפול בעניין הזה של "לא מורשה".
היו"ר שמחה רוטמן
בסדר. על פניו או לצורך ביעור - - -
עמית יוסוב עמיר
מידע מותמם הוא לא מידע אם הוא באמת מותמם. הפעולה יכולה להיחשב עיבוד אבל זה תלוי באיזו פעולה מפעילים בשביל זה. אני מציע לא להיכנס דווקא לזה.
היו"ר שמחה רוטמן
נניח שאני מעביר את כל המחשבים הישנים שלי לקבלן גריסה ולא התכוונתי שהוא יעבד אותם אלא התכוונתי שהוא יגרוס את כל הדיסק און קיי שלי ואז הוא לקח את המידע והתחיל לעבור עליו. זה לא בסדר ופעלתי בניגוד לנהלי אבטחת המידע שלי אבל אני התכוונתי שהוא יגרוס את המחשבים, לא התכוונתי שהוא יעבד את המידע שבהם.
עמית יוסוב עמיר
סעיף המטרה שהוסף לבקשת אדוני באמת מצמצם את תחולת העבירה הפלילית במקרים האלה.
היו"ר שמחה רוטמן
טוב.
נעמה מנחמי
עוד משהו על העבירות?
היו"ר שמחה רוטמן
יש משהו שהבטחתי בדיון הקודם שהוא אמנם קצת בחריגה מהדיון הקודם שהיה פה היום אבל אני אומר את זה כאן לשם ההרמוניה החקיקתית. בזמן שאנחנו יושבים פה ומחוקקים את חוק הגנת הפרטיות, כמה שעות קודם ישבו אצלי בצו איסור הלבנת הון ודורשים שכל נש"פ וכל מפעיל שירותי תשלום, יחזיק מאגר מידע עם צילומי תעודות הזהות משני הצדדים של אזרחי מדינת ישראל בכדי לעמוד בחובות לפי צו איסור הלבנת הון ואין שם שום privacy by design.

אני מציע שממשלת ישראל תיקח ייעוץ אבטחה ופרטיות לפני שהיא מביאה לי צו איסור הלבנת הון. אני ביקשתי שבדיון הבא יביאו את חוות הדעת של הרשות להגנת הפרטיות ושל הסייבר כי אני חושב שזה חושף את מדינת ישראל לאיומי פרטיות וסייבר שאין בהם צורך ואפשר למצוא להם פתרון אחר.

ככלל, אנחנו מייצרים פה חובות שבדין להחזיק כל מיני מידעים שלא צריך או שאפשר לצמצם. אפשר לדרוש שיחזיקו רק הארד קופי או כל מיני דברים כאלה. מכאן בקשתי שלוחה לתשומת לב של הנוגעים בדבר.
ראובן אידלמן
בסדר גמור.
נעמה מנחמי
צו הפסקה.
היו"ר שמחה רוטמן
צו הפסקת עיבוד.
נעמה מנחמי
צו הפסקה או צו הפסקת עיבוד?
היו"ר שמחה רוטמן
יש סלש, אני לא יודע.
ראובן אידלמן
אנחנו ביקשנו צו הפסקת עיבוד.
נעמה מנחמי
שוב, העיבוד לא מופסק, העיבוד יכול להיות מצומצם.
היו"ר שמחה רוטמן
לא, הוא גם יכול להיפסק לגמרי.
נעמה מנחמי
הוא גם יכול להיפסק לגמרי אבל אני חושבת שאולי ננסה למצוא - - -
היו"ר שמחה רוטמן
טוב, על שם הסעיף ננהל דיון בסופו אבל בואו נדבר על התיקון שנעשו.
נעמה מנחמי
אולי נצליח למצוא עם דפנה איזשהו נוסח שלא שומט את הקרקע כבר בכותרת.
ראובן אידלמן
שאלה נוספת. בסדר, זה עניין של התרעה.
נעמה מנחמי
טוב. היו כאן כמה בקשות של הוועדה. הראשונה היא להבהיר שאותו צו הפסקה שהתייחסנו אליו בסיפה של סעיף קטן (א) - - -
היו"ר שמחה רוטמן
יחול גם על חשש לסעיף 23ב שהוספנו.
נעמה מנחמי
כן. הוספנו גם את 23ב וגם רצינו להבהיר שאותו צו הפסקה לא יינתן במסגרת אותן 48 שעות או באותו הסדר של לפני שמיעת - - -
היו"ר שמחה רוטמן
צו המחיקה.
נעמה מנחמי
כן. אותו צו מחיקה.
עמית יוסוב עמיר
אני חושב שצריך להבהיר לפרוטוקול ואולי גם בנוסח שצו מחיקה זה סוג של צו הפסקה.
היו"ר שמחה רוטמן
כן.
עמית יוסוב עמיר
כי אחר כך - - -
היו"ר שמחה רוטמן
בסדר אז אלה השינויים שהכנסנו בסעיף הזה. א', הוספנו את 23ב. ב', ייצרנו שני סוגי צווים, צו הפסקה או צו הפסקת עיבדו וצו מחיקה ובנוסף, הוספנו שבית המשפט - - -
עמית יוסוב עמיר
אדוני, אני רק רוצה להבהיר שצו מחיקה הוא לא סוג נוסף אלא תת-סוג של הפסקה כי כל ההוראות פה מדברות על צו הפסקה.
היו"ר שמחה רוטמן
נכון, בסדר גמור. הוספנו את 23ב, הוספנו את הנושא שצריך לשים לב לחופש ביטוי שעלול להיגרע ממתן הצו והגדרנו שב-48 שעות כשנותנים צו במעמד צד אחד אז לא יכולים לתת צו מחיקה אלא יכולים לתת רק צו הפסקת עיבוד או צו הפסקה אחר.
נעמה מנחמי
נכון. שני דברים נוספים, אחד מהם זה שהכנסנו לתוך שיקול דעת בית המשפט את הבחינה של יסוד סביר להניח כי מתבצעת או עמדת להתבצע במאגר במידע הפרה של הסעיפים הרלוונטיים והייתה לנו גם בקשה של הוועדה להתייחסות לאיזה - - -
היו"ר שמחה רוטמן
תקנות יחולו.
נעמה מנחמי
איזה סדרי דין יחולו עד למועד - - -
היו"ר שמחה רוטמן
התקנת התקנות.
נעמה מנחמי
כן.
עמית יוסוב עמיר
לפני שאני מגיע לנקודה הזאת, יש לי הצעת נוסח לרישה.
נעמה מנחמי
עוד לא עברנו נוסח.
עמית יוסוב עמיר
בסדר, רק להגיד - - -
נעמה מנחמי
זה כנראה עוד ישתנה הרבה.
עמית יוסוב עמיר
אחרי שמגדירים צו הפסקה "וכן יכול הוא להוראות" אז אולי "במסגרת צו כאמור יכול הוא ההוראות".
היו"ר שמחה רוטמן
בסדר. לעקרון הזה הסכמנו. יוגדר שצו מחיקה הוא סוג של צו הפסקת עיבוד, בסדר גמור. לגבי איך עושים את זה מבחינת הנוסח, הכול בסדר.
נעמה מנחמי
בסדר.
עמית יוסוב עמיר
מבחינת סדרי הדין, אנחנו מביאים פה את העמדה של המומחים בנושא לעניין סדרי דין אצלנו. באופן עקרוני לא מקובל להפנות לתקנות ספציפיות. גם בפסיקה וגם בספרות יש קביעות מפורשות שבמקרה שעוד לא נקבעו סדרי דין ספציפיים, מה שיחול זה תקנות סדר הדין האזרחי וגם לא כל כך מקובל להפנות בחקיקה ראשית לתקנות מסוימות כי אחר כך יכולות להיות כל מיני בעיות בתחום.
נעמה מנחמי
אז אתם מעדיפים שבכלל לא?
עמית יוסוב עמיר
אנחנו מעדיפים שלא יצוינו תקנות בכלל. אם צריך לציין תקנות אז יש לנו איזושהי העדפה אבל מבחינתנו, ברירת המחדל הראשונה היא לא לציין מה קורה עד הפעלת סמכות הרשות – שמופיעה פה – לקבוע סדרי דין ואנחנו מבינים שככה מקובל בהרבה מאוד דברי חקיקה אחרים ושיש הלכה מסודרת בנושא שבמקרה כזה חלות סדר הדין האזרחי.
היו"ר שמחה רוטמן
תקנות סדר הדין האזרחי לא נותנות - - -
עמית יוסוב עמיר
בשינויים המחויבים, כמובן.
היו"ר שמחה רוטמן
אבל תקנות סדר הדין האזרחי לא כל כך נותנת מענה לבקשה של רשות, תקנות סדר הדין האזרחי לא מותאמות לפנייה מטעם רשות. על פניו, זה היה יכול להיות אבל היה יותר מתאים להפנות פה לסדר דין פלילי מאשר לסדר דין אזרחי.
ראובן אידלמן
אם הוועדה סבורה שצריך להפנות אז מה שהכי דומה זה תקנות האזרחות, סדרי דין בבקשה לביטול אזרחות. זה הליך שהמדינה יוזמת בבית המשפט. נכון שזה הליך שהוא בנושא אחר אבל מבחינת סדרי הדין, זה הכי דומה במטריה. שוב, מה שעמית אמר זאת העמדה אבל אם הוועדה סבורה שצריך להפנות בכל זאת אז אלה התקנות הכי דומות והכי הגיוני שהן יחולו בתקופת הביניים. גם כשאנחנו נבוא לכתוב סדרי דין, אנחנו נסתכל עליהן.
היו"ר שמחה רוטמן
זה יהיה הרפרנס שלכם.
ראובן אידלמן
בגלל שהוועדה הוסיפה שהתקנות הן באישור הוועדה אז אנחנו קצת תלויים בלוחות הזמנים של הוועדה.
היו"ר שמחה רוטמן
כן, בסדר גמור.
נעמה מנחמי
יש לי שאלה. יש עוד הוראות צווי הפסקה למיניהם בהוראות חוק אחרות ואני ששם גם יש - - -
עמית יוסוב עמיר
אבל אין כזה.
נעמה מנחמי
הבנתי.
ראובן אידלמן
אם הוועדה סבורה שצריך לכתוב אז מהותית, ההעדפה שלנו היא שתהיה הפניה לסדרי הדין בבקשה לביטול אזרחות.
היו"ר שמחה רוטמן
נחשוב על זה.
נעמה מנחמי
אולי נסגור את זה אחרי ההספקה כי אני לא הספקתי אפילו להסתכל על זה.
היו"ר שמחה רוטמן
בסדר, אני דווקא מכיר את התקנות האלה והן נראות לי מתאימות למטריה אבל השאלה היא אם נכתוב אותן במפורש או נכתוב בהליכים דומים. אני לא יודע, אפשר להגיד "נהוג בהליכים דומים ולהשאיר לפרוטוקול את זה שאנחנו מתכוונים לתקנות האזרחות אם לא רוצים להפנות בחוק לתקנות של חוק אחר.
נעמה מנחמי
בסדר, בואו נשאיר את זה בינתיים.
היו"ר שמחה רוטמן
נשאיר את זה, בסדר גמור. עוד דברים או הערות מהותיות לסעיף הזה? בבקשה.
ד"ר עמרי רחום טוויג
יש את עניין ההגנות שדיברנו עליו גם בדיון הקודם ואמרנו שנקבל התייחסות אם רשות סעיף 18 חל גם על הליכים מנהליים באופן רוחבי או לא.
היו"ר שמחה רוטמן
נכון.
ד"ר עמרי רחום טוויג
כרגע, זה לא מופיע בנוסח.
היו"ר שמחה רוטמן
אמת.
עמית יוסוב עמיר
לעניין נוסח אנחנו - - -
היו"ר שמחה רוטמן
לא, דווקא עכשיו השאלה הזאת לא הייתה שאלת נוסח.
נעמה מנחמי
היא מהותית.
עמית יוסוב עמיר
אני אומר שלעניין הנוסח אנחנו נסכם עם הייעוץ המשפטי לוועדה ובמהות, התשובה היא חד-משמעית כן. הפרות לפי סעיף (2) בכלל ופה ההפרה הספציפית שאנחנו מדברים עליה היא הפרת סעיף (2)(9), נכללת תחת - - -
נעמה מנחמי
לא, זה לא רק (2)(9).
קריאה
כן, בדיוק (2)(9).
היו"ר שמחה רוטמן
לשאלה ניתנו שתי תשובות סותרות בדיון הקודם. כתוב ב-18 "בהליך אזרחי או פלילי" ולא כתוב "הליך מנהלי" ועלה השאלה האם ההגנות האלה חלות גם בהליך מנהלי. דהיינו, אם בן אדם עובר על הוראות סעיף 23ב.
עמית יוסוב עמיר
לא, בסעיף (2), לא 23ב.
היו"ר שמחה רוטמן
לא, בסעיף (2) הוא אומר שכן.
קריאה
לא, זו כן בעיה.
היו"ר שמחה רוטמן
הוא אמר על (2)(9) שכן ואנחנו מתקדמים שלב. הוא אמר שזה עניין של נוסח ואני שואל לעניין 23ב.
עמית יוסוב עמיר
רגע, שנייה. התשובה היא לגבי סעיף (2) כן ולגבי 23 לא. התשובה היא שיש הגדרה, סעיף (2) מגדיר פגיעה בפרטיות ובסעיף (18), ההגנות חלות על פגיעה בפרטיות כהגדרתה בסעיף (2). זה היסוד של - - -
ראובן אידלמן
זאת העמדה העקבית שלנו בכל הדיונים.
נעמה מנחמי
אבל בחוק יש הרבה - - -
לירון מאוטנר
אבל זו גם הייתה השאלה.
נעמה מנחמי
בחוק יש הרבה מאוד מקומות שבהם מזכירים את המילים "פגיעה בפרטיות" לא במובן של סעיף (2).
עמית יוסוב עמיר
לא, יש מעט מאוד כאלה.
נעמה מנחמי
גם אם זה מעט מאוד, פגיעה בפרטיות לא שייכת לסעיף (2).
עמית יוסוב עמיר
הסיפור הזה עכשיו לא צריך לשנות את כל המבנה של איך בנוי חוק הגנת הפרטיות.
קריאה
זה לא הסיפור הזה עכשיו.
עמית יוסוב עמיר
הסיפור המנהלי הוא דבר שצריך לפתור ברמת הנוסח אבל להגיד פתאום שכל הפרקים ב' ו-ד' שהם לא פרקים לפי סעיף - - -
היו"ר שמחה רוטמן
אני שואל שאלה מאוד פשוטה. אתה לחשת לי באוזן סוד וסיפרת לי על משהו שמתרחש אצלך ברשות להגנה על הפרטיות או במשרד המשפטים שמזעזע את אמות הסיפים, כחושף שחיתויות ואני אמרתי לך "תודה שהסבת את זה לתשומת ליבי, אני אטפל בזה".

המידע הזה הוא מידע אישי שמסרת לי כי מה שסיפרת לי נוגע למידע פרטי שמוחזק בידי הרשות להגנת הפרטיות או בידי משרד המשפטים ואתה מסרת לי את המידע הזה כדי לחשוף שחיתות במטרה כשרה. חלות עליך ההגנות של סעיף 18, נכון? על פניו, אם אני מבין נכון יש לך חובה מוסרית לעשות את זה.
ראובן אידלמן
כל פרק א' חל. מה שאדוני מתאר זה סיטואציה של פרק א'.
היו"ר שמחה רוטמן
מצוין. המידע שאתה העברת לי הוא לא רק אישי אלא אתה גם הודעת לי שבמשרד המשפטים – אני סתם מתפרע – מחזיקים מאגר מידע. אתה יודע מה, לא משרד המשפטים, בואו נניח שזה הגנת בתי המשפט – זאת סתם דוגמה מהעבר – שמחזיקים מאגר מידע סופר רגיש על מלא שופטים כולל הערכות פסיכולוגיות עליהם.

נניח שאתה הבאת לי את המידע הזה כחושף שחיתויות ולא זאת בלבד אלא אתה חושף שחיתות שאותו מאגר מידע סופר רגיש שאסור בכלל להחזיק אותו גם לא נרשם בדין, בימים שעוד הייתה קיימת חובת רישום כדין ואז אני אומר לך "תקשיב, אתה מעלה טענה מאוד חמורה. אתה בטוח שזה נכון?"
ואתה אומר לי "כן, הנה תראה" ואתה מראה לי את מאגר המידע או אפילו שולח לי אותו.

על זה שאתה העברת לי את המידע הרגיש מתוך המאגר כדי לשכנע אותי, חל (2)(9) אבל על זה שאתה העברת לי את המידע מהמאגר כדי להראות לי את זה, אתה עשית שימוש שלא למטרה שלשמה נמסר או בניגוד למטרה או בניגוד לסעיף 23 ולא חלות עליך ההגנות כי זה 23. האם זה נראה לך הגיוני? לי זה לא נראה הגיוני.

התיאור הפנטסטי הזה איננו תיאור דמיוני כלל ועיקר כי בדיוק בדרך הזאת קיבלתי את המידע של מאגר יהלום מאיזשהו מישהו שהדליף לי אותו והבאתי אותו במעטפה סגורה לשופט בית המשפט המחוזי שיעתור כי עד אז כולם הכחישו את קיומו. הדבר הזה כבר קרה ועכשיו אתה מספר לי שאותו אדם שמסר לי את מאגר המידע בקובץ אקסל, לא חלות עליו ההגנות לפי סעיף 18 אבל אם הוא הדפיס לי אותו ונתן לי אותו ביד אז כן חלות עליו ההגנות כי זה עיבוד מידע וזה לא עיבוד מידע.
אני אומר שאם חלות עליו ההגנות במקרה א' אז חלות עליו גם במקרה ב' ואם לא חלות עליו במקרה א' אז לא חלות עליו במקרה ב'. השכל הישר אומר שאין הבדל. כל הדברים האלה הם מעשה שהיה, זה דוקומנטרי.
עמית יוסוב עמיר
יש לך עבירות מחוק העונשין על מסירת ידיעות, נכון?
היו"ר שמחה רוטמן
לא, זה הכול - - -
עמית יוסוב עמיר
אולי גם עליהן נחיל את ההגנות לפי חוק הגנת הפרטיות? על כל חוק העונשין צריכות לחול ההגנות לפי חוק הגנת הפרטיות כי העבירה של מסירת ידיעות היא גם - - - אם עובד ציבור מסר מידע אולי זאת גם עבירה לפי חוק העונשין.

בסופו של דבר, המחוקק מצא את פרק א' כדי לאזן עם הגנות וזה מודל חריג בספר החוקים הישראלי. זה אולי דומה רק לחוק איסור לשון הרע.
היו"ר שמחה רוטמן
אבל כל הסיבה שייצרתי את כל ההוראות האלה זה כדי להגן על רציונל הפרטיות, אחרת זה לא מעניין אותי.
ד"ר דן חי
המקרה הזה הוא טעות היסטורית. בהצעת החוק הראשונה היה את הפרקים א', ג' ו-ה' והוסיפו את פרק ב' ברגע האחרון, פחות מחודש לפי שהחוק עבר – אני מדבר על 1981 – אז לא תיקנו את הכותרת של סעיף ההגנות אבל אני לא חושב שמישהו התכוון שההגנות לא יחולו על פרק ב'.
ראובן אידלמן
הנושא הזה ליווה אותנו לכל אורך הדיונים בהצעת החוק. אנחנו אמרנו כאן בהרבה מאוד הקשרים שההגנות לא חלות בפרק ב'. אני אחזיר אותנו לדיונים על צמידות המטרה, חלק מההסדרים שהוועדה קבעה הם בראי ההבנה – שעד עכשיו לפחות, לא הייתה במחלוקת – שההגנות לא חלות על פרק ב'.

מכיוון שהשאלה של אדוני נוגעת לסעיף הספציפי הזה, כאן צריך קודם כול להשתכנע שיש הפרה או שעומדת להתבצע הפרה.
היו"ר שמחה רוטמן
אני לא רוצה שזה יחול על פרק ב', אני רק רוצה שזאת תהיה הגנה טובה במשפט פלילי, אזרחי ומנהלי. אני לא רוצה שזה יחול על פרק ב'.
ראובן אידלמן
או-קיי, זה מקובל עלינו.
עמית יוסוב עמיר
אני חושב שעל זה אין מחלוקת.
ראובן אידלמן
אדוני, על זה אנחנו מסכימים.
היו"ר שמחה רוטמן
אז בואו נתקן את סעיף 18 ונכתוב "פלילי, מנהלי ואזרחי". בסדר גמור, מצוין.
ד"ר דן חי
אני לא רואה סיבה שזה לא יחול על פרק ב'.
היו"ר שמחה רוטמן
למה להיכנס למריבות שאין צורך לריב אותן.
ראובן אידלמן
הצגנו את זה בכמה וכמה דיונים.
היו"ר שמחה רוטמן
מצוין, בסעיף 18 יהיה כתוב "פלילי, אזרחי ומנהלי" ואנחנו ממשיכים. דן, אם אין מחלוקת אז אין מחלוקת. אני לא רוצה לריב על דברים שאין עליהם מחלוקת.
ד"ר דן חי
אני כמעט בטוח שלהגיד שזה לא חל על פרק ב' זה סותר פסיקה.
היו"ר שמחה רוטמן
אחרי שאמרנו שאנחנו לא רוצים לריב על דברים? ניתן לבית המשפט לשבור את הראש על האירוע הזה. אני חושב שצריך שיהיה כתוב "פלילי, אזרחי ומנהלי" ואם חושבים שזה לא משום פגיעה בפרטיות אז בסדר, תתווכחו על זה אחר כך.

אני לא חושב שיש הבדל אם אני מעביר פתק, קובץ אקסל או אימייל לעניין תום הלב. אני לא רואה הבדל ואני חושב שצריך שהרציונל של סעיף 18 צריכים לחול בין אם אני מקבל אימייל ובין אם אני מקבל פתק.
עמית יוסוב עמיר
אין לנו התנגדות לנוסח שמציע אדוני.
היו"ר שמחה רוטמן
מצוין.
עמית יוסוב עמיר
אנחנו רק נשארים עם עמדתנו על ההבחנה בין הפרקים.
היו"ר שמחה רוטמן
אז הכול בסדר.
ראובן אידלמן
שההגנות לא חלות - - -
גלעד סממה
לא, יושב-ראש הוועדה לא חושב ככה.
היו"ר שמחה רוטמן
די. אני לא מביע שום עמדה לגבי פרק ב'. אני מביע את הרצון שבסעיף 18 יהיה כתוב "פלילי, אזרחי ומנהלי", זה הכול. אני לא מביע עמדה על פרק ב', לא מביע עמדה על פרשנויות שונות לסעיפים שונים בפרק ב', הרציונל שלהם או צמידות המטרה שלהם. אני לא מתעסק בזה. אני רק אומר שבסעיף 18 יהיה כתוב "פלילי, אזרחי ומנהלי".
עמית יוסוב עמיר
אנחנו לא מתנגדים.
איה מרקביץ'
אבל זה בגין פגיעה בפרטיות אז האם ההגדרה תלויה בסעיף (2)?
היו"ר שמחה רוטמן
אני עוד מעט תולש שערות. חברים.
נעמה מנחמי
אבל היא צודקת.
היו"ר שמחה רוטמן
אני יודע שהיא צודקת אבל אני לא יכול לפתור את כל בעיות העולם. אני חושב שההגדרה "פלילי, אזרחי ומנהלי" היא מספיק רחבה כדי לגרום לזה שיטענו הטוענים את מה שהם רוצים לטעון. אני לא עוסק בשאלה האם זאת טעות היסטורית שזה לא חל על פרק ב' או שנכתב פרק ב'. איני מכריע בכך ואני משאיר את העיסוק וההכרעה בסוגייה הזאת לתיקון מספר 15.

אני כן חושב שזה לא הגיוני שמישהו יהיה פתור מפלילי ופתור מאזרחי באירוע מסוים ובמנהלי, יוכלו להיכנס בו. האם אפשר יהיה להיכנס בו? האם הפרה של הוראות עיבוד בניגוד לדין היא אסורה בגלל שדין כולל בתוכו את סעיף (2)(9) או לא בעיבוד בניגוד לדין? השארתי מקום לחברי להתגדר.
קריאה
לפרשנות שיפוטית.
היו"ר שמחה רוטמן
בקעה להתגדר בהם.
ענר רבינוביץ'
אדוני, בגלל שההגנות מתרכזות בפגיעה בפרטיות אז אנחנו כן תקועים רק עם מה שתחת סעיף (9)(2).
היו"ר שמחה רוטמן
אני לא מסכים איתך כי אני חושב שההחלטה - - - מה הנוסח של סעיף 18? אתה מכריח אותי בכל זאת להתעכב על זה ואני לא רוצה.
איל קופמן
חברים, תציגו את עצמכם. את מכירים וכולם מכירים אבל הציבור לא והפרוטוקול לא.
קריאה
17 דיונים, כל העולם כבר מכיר.
איל קופמן
אל תחשוב.
ענר רבינוביץ'
ענר רבינוביץ' מחברת Privacy Team.
היו"ר שמחה רוטמן
האם כאשר אדם מעבד מידע ללא הרשאה זה נחשב פגיעה בפרטיות או שזה נחשב רק עיבוד ללא הרשאה והאם אותו מעשה ראוי להגנה חלקית או מלאה? אני לא רוצה להכריע בזה. ברור לכולנו שסוגיית העיבוד ללא הרשאה גם כאשר אין בה משום פגיעה בפרטיות, היא מעוררת בעיות אחרות.

לעומת זאת, כאשר הבעיה היחידה בעיבוד ללא הרשאה היא הפגיעה בפרטיות אז ברור לכולנו שיחולו ההגנות של פגיעה בפרטיות ויש מקרים אחרים. העברת מידע ושימוש בו שלא למטרה שלשמה הוא נמסר, יכול להיות בו משום פגיעה בפרטיות.

נניח שאני מעביר את מאגר המידע הזה למישהו שזכאי על פי דין לדעת את המידע הזה אז אין בעיה של פגיעה בפרטיות כי המידע היה יכול להיות מועבר אליו אבל זה עדיין מידע בניגוד למטרה שלשמה הוא נמסר. אין פגיעה בפרטיות וזה מקרה טהור, האם יש מקרה ביניים? בוודאי שכן. יהיו צריכים לבדוק מה היא הסוגייה הדומיננטית בכל סוגייה אבל לכולם ברור שיש מקרים שבהם אין פגיעה בפרטיות. באי-עמידה באבטחת מידע בסעיף 17, לא נעשתה פגיעה בפרטיות באותו אירוע.
ד"ר דן חי
אלא אם כן המידע לא דלף.
היו"ר שמחה רוטמן
אם המידע דלף אבל המידע לא דלף באותו מקרה תיאורטי עליו אנחנו מדברים. לא נעשתה פגיעה בפרטיות אבל הוא לא שם firewall. אז האם בגלל שהוא לא שם firewall והוא בן אדם שיש לו מטרה אישית כשרה או כל מיני דברים אחרים של סעיף 18 - - - זה לא קשור אחד לשני, זה פשוט נותן error. זה לא רלוונטי.
קריאה
זה לא רלוונטי.
היו"ר שמחה רוטמן
כאשר העברת המידע נוגעת בפרטיות אז בוודאי שזה כן רלוונטי. מה היסוד הדומיננטי בכל אירוע, יכריע מי שצריך להכריע.
עמית יוסוב עמיר
אני מבקש מאדוני לחזור לאמירה על כך שלא משנים את המצב לגבי פרק ב'.
היו"ר שמחה רוטמן
אני לא עוסק בנושא פרק ב'.
ענר רבינוביץ'
אבל שינינו את המצב כי עכשיו לרשות יש סמכות על (2)(9) ולפני כן לא היה לה.
היו"ר שמחה רוטמן
אבל אין מחלוקת שב-(2)(9) יש פטור.
ענר רבינוביץ'
אין מחלוקת לגבי (2)(9)- - - שינויים במקומות שנוחים.
היו"ר שמחה רוטמן
לא, לא. על (2)(9) הבהרנו שגם במנהלי זה חל. על זה אין ויכוח וגם הרשות לא מתווכחת על זה.
ענר רבינוביץ'
למה שיתווכחו? זה לטובת - - -
היו"ר שמחה רוטמן
עד עכשיו, לגבי הספק הפרשני שכמה אנשים פה דיברו עליו שמדבר על אזרחי או פלילי ולא מדבר על מנהלי, הייתה יכולה להיות סיטואציה שהיו אומרים לך ב-(2)(9) שזה בסדר אבל במנהלי ההגנות שלך לא רלוונטיות. אז לא, במנהלי ההגנות שלך כן רלוונטיות.

מה קורה לגבי מקרה שבו הפגיעה בפרטיות נעשתה בדרך של שימוש בידיעה שלא למטרה שלשמה היא נמסרה?
קריאה
לא שינינו את המצב.
היו"ר שמחה רוטמן
לא יודע. אני לא רוצה להכריע ואני לא רואה סיבה להכריע בזה. אני אומר שבטוח יש מקרים שבהם האירוע הוא פגיע בפרטיות פר אקסלנס, בטוח שיש מקרים שבהם האירוע הוא בכלל לא פגיעה בפרטיות אלא הפרת הוראות המאגרים, יש מקרי ביניים ובהם, ידון מי שרוצה לדון.
איה מרקביץ'
אדוני, אפשר להגיב ספציפית לעניין הסעיף הזה של צו הפסקת העיבוד או שם פחות מפחיד שיעלה בדעתנו בהמשך?
היו"ר שמחה רוטמן
תודה שאת מחזירה אותנו לנושא.
איה מרקביץ'
אני חושבת שלדבר הספציפי שאנחנו מדברים עליו עכשיו, יש משמעות גם לעניין באילו הפרות תקום הסמכות להטיל או לבקש צו הפסקת עיבוד. תתקנו אותי אם אני טועה או לא מבינה נכון את הסעיפים שמנויים פה בסעיף קטן (א) כי הנוסח המשולב הוא לא לפני.
גלעד סממה
אדוני, גם זה נסגר כבר בדיון הקודם. אני לא מצליח להבין למה פותחים עוד פעם נושאים שנסגרו.
היו"ר שמחה רוטמן
מה? מה נסגר?
איה מרקביץ'
אני מנסה להבין על מה שמדובר. אפשר להגיד את ההערה לפני שמתווכחים על סופיות הדיון?
גלעד סממה
אלו נושאים שכבר נסגרו בפעם הקודמת. זה לא ייתכן שבגלל שלא היית בדיון אז עכשיו אנחנו צריכים לדון בזה עוד פעם.
עמית יוסוב עמיר
גלעד, בדיון הקודם כשנאמר שנעביר נוסח אז זה לא סופיות הדיון.
היו"ר שמחה רוטמן
די.
נעמה מנחמי
די, זה לא מתאים כי הממשלה באה פעם אחר פעם ומבקשת - - -
גלעד סממה
כשאתם אומרים "נעביר נוסח" אז לא נגמר הדיון.
נעמה מנחמי
לחזור לדיונים שכבר נסגרו אבל כשיש מישהו אחר שמבקש - - -
היו"ר שמחה רוטמן
חברים, אני לא צריך עזרה בניהול הדיון. אני מנסה להבין את הסוגייה ואני חושבת שאנחנו עומדים בזמנים אז הכול בסדר. בואו נשמע מה האירוע, אני לא הצלחתי להבין.
איה מרקביץ'
רק רציתי לדעת שאני מבינה נכון את הסעיף שמתקיימת בו הסמכות לבקש מבית המשפט צו הפסקת עיבוד. כשיש בסעיפים (2)(9) שימוש בידיעה שלא למטרה לשמה נמסרה בפרק א'. ב-8א(1) זה עיבוד בניגוד לדין.
גלעד סממה
זה סעיף שנדון כבר.
איה מרקביץ'
אני שואלת מה - - -
גלעד סממה
- - - התקבל ונצבר.
היו"ר שמחה רוטמן
אני מבין. אני יכול לנסח את השאלה עבורך ואם אני טועה אז תתקני אותי? ברשותך, היא שואלת כזה דבר - - -
גלעד סממה
שתתייחס בסוף.
היו"ר שמחה רוטמן
לא, אבל זה קשור ואני חושב שהשיא דווקא מתכוונת למה שדיברנו עליו עכשיו ולא למה שדיברנו עליו בדיון הקודם. לפחות ככה אני הבנתי את שאלתה אבל נראה לי שהדרך קצת ארוכה מידי אז נעשה את זה פשוט. אני רשם של הרשות להגנת הפרטיות, מזהה שבמאגר מסוים עומדת להתבצע שימוש בידע שלא למטרה שלשמע נמסר. זה (2)(9) הכי טהור ונקי עכשיו, נכון? זה שימוש בידיעה שלא למטרה שלשמה נמסרה הכי נקי שיש, אבל אני כרשות חושבת שאמנם הולכים להשתמש במאגר המידע שם אבל הולכים להשתמש בזה תוך כדי ביצוע עיסוקו של הפוגע כדין ובמהלך עבודתו.
איה מרקביץ'
לא, דווקא לא.
היו"ר שמחה רוטמן
או בדרך של פרסום שהוא מוגן לפי סעיף 13 לחוק איסור לשון הרע. זה מה שהתכוונת אליו או שלא?
איה מרקביץ'
לא, אפשר גם לדבר על זה אבל רציתי להגיד משהו לפני ההגנות. אני מסתכלת על הסעיפים ועל ההפרות שבהם מתקיימת הסמכות לבקש צו הפסקת עיבוד מבית המשפט והם סעיפי מהות עמומים. אנחנו כולנו מבינים את זה.
עמית יוסוב עמיר
לא, הם לא סעיפי מהות עמומים. אלה סעיפים שהוועדה דנה בהם ואישרה אותם. הם פשוט נכתבו בתמצית ובמסמך ההכנה לא כתבו את כל הסעיף הארוך.
איה מרקביץ'
אני יודעת מה הסעיף המלא. אני מתייחסת לעמימות המקורית. "לא יעבד אדם מידע במאגר מידע אלא למטרת המאגר שנקבעה כדין", סעיף 8(א)(1).
היו"ר שמחה רוטמן
נכון.
איה מרקביץ'
נכון? למה אדם ולא בעל שליטה אחראי על צמידות המטרה? מה זה מידע במאגר מידע שאסור לו לעבד ומה זה מטרת המאגר?
גלעד סממה
זה סעיף שסגרנו בדיון הקודם.
איה מרקביץ'
אני יודעת, אני חוזרת לזה לרגע כי אני חושבת שיש פה בעיה שהיא מעבר לבעיה בסעיף שאפשר לדבר עליו בנפרד. אמנם זה בצו בית משפט אבל כמה סמכות כל כך פוגענית להפסקת עיבוד מוחלטת או חלקית בתנאים? צריך לחשוב מה זה אומר בהמשך ישיר למה שדיברנו עכשיו על כך שבית המשפט יפרש.
היו"ר שמחה רוטמן
אבל אנחנו הבהרנו את הסוגייה.
איה מרקביץ'
אני רוצה להדגיש כי לקראת הדיון הזה אני התכוננתי וקראתי כל מיני פסקי דין שכבר ראיתי בעבר וחזרתי לפרוטוקולים מ-2007 שדיברו על ההסכמה מדעת והדבר שחוזר לאורך כל ההיסטוריה החקיקתית של החוק הזה הוא שאנחנו שוב ושוב – בוועדה הזאת ובקודמותיה – תולים את יהבנו בבית המשפט שיפרש ומשאירים את הנורמה עמומה ואז כשאתם קוראים את הפסיקה - - -
עמית יוסוב עמיר
לא. אנחנו - - -
איה מרקביץ'
אתם מגלים שהדברים נשארים לא ברורים.
גלעד סממה
הממשלה הבינה את העניין. אני רק אומר שאני מרגיש שאנחנו באיזה - - -
היו"ר שמחה רוטמן
יכול להיות שאת לא אוהבת את ההגדרה של8א(1). בסדר, זה יכול להיות.
איה מרקביץ'
אני לא אוהבת שבית המשפט יחליט ושאנחנו נתלים בו וזה העניין.
גלעד סממה
זה סעיף שנדון שלוש פעמים.
היו"ר שמחה רוטמן
זה סעיף שדנו בו ארוכות ואני כן חושב שהגענו פה לנוסח טוב. יש בו עמימות מסוימת אבל הבנו באיזה מקרים מדובר ויש פה גם את הפרוטוקולים ואת המקרים שעליהם דובר. זה סעיף 8א(1). עכשיו השאלה היא כיצד ה דבר הזה יתפרש בפסיקת בית המשפט ביציר החדש של צו הפסקת עיבוד, צו הפסקה או צו מחיקה.

אין מה לעשות, הדברים האלה יפורשו בסופו של דבר בהתאם, בפסיקה. אנחנו לא יכולים לחשוב על כל המקרים בחקיקה, אנחנו מחוקקים מאחורי מסך בערות. זה חלק מהאינהרנטיות של זה. אבל מעבר לסעיף 8א(1) שאת לא אוהבת את הניסוח שלו, אני חושב שאנחנו יודעים על מה מדובר בסעיפים האחרים פה ואם הרשות יודעת או חושבת שבמאגר הולכת להתבצע הפרה אז שתפנה לבית המשפט ותנסה לשכנע בזה. זה לא שונה מכל דבר אחר.
איה מרקביץ'
זה שונה ממה שקורה בחו"ל כי כשאתה בודק מתי רשויות משתמשות בסמכות הדרקונית מאוד של processing ban, להפסיק לעבד את המידע חלקית בתנאים או באופן מלא אז קודם כול, תמיד יש תהליך דו-שלבי וזה נכון לכל ההפרות, לא רק לצו. תמיד רשות צריכה לנמק והיא תמיד צריכה לתת הזדמנות לתקן.
ראובן אידלמן
הסמכות בחו"ל היא סמכות של הרגולטור. אנחנו הגשנו סקירה - - -
עמית יוסוב עמיר
של הרגולטור, אנחנו הלכנו לבית משפט.
ראובן אידלמן
הגשנו סקירה משווה לוועדה לגבי הסמכות הזאת.
איה מרקביץ'
קראתי את הסקירה שלכם ואני מתייחסת אליה.
ראובן אידלמן
אנחנו הלכנו לחומרה, הלכנו לצו שיפוטי.
היו"ר שמחה רוטמן
פה הוא צודק.
איה מרקביץ'
אני יודעת, הלכתי לבדוק.
ראובן אידלמן
אז איך אפשר להגיד שזה יותר מחמיר מאשר בחו"ל?
איה מרקביץ'
אני מתייחסת לזה.
עמית יוסוב עמיר
איך אפשר לומר שזה יותר?
איה מרקביץ'
כי הלכתי לראות את הסקירה שלכם כדי להבין מה יש במקור ואני מתייחסת לבדיקת ההמשך שעשיתי.
גלעד סממה
האם את מסכימה שהסמכות תהיה של הרגולטור?
ראובן אידלמן
זה צו שיפוטי.
גלעד סממה
אני שואל שאלה.
איה מרקביץ'
אני אישית? בכיף אבל תביא את כל הסעיפים שיש לך ב-GDPR.
גלעד סממה
מצוין.
איה מרקביץ'
שמת לב מה חסר לך פה? אם אתה בודק בחוק הבריטי שהפניתם אליו בסעיף של הסמכות לתת צו הפסקת עיבוד, יש לך את כל הסעיפים שאין אצלנו.
גלעד סממה
בסדר, אז אנחנו יותר זהירים לגבי המשק ממך, כנראה.
היו"ר שמחה רוטמן
אני חייב לומר שפה אני לא מקבל את הטענה. אני חושב שאנחנו שמנו פה יותר הגבלה על הרשות מאשר במקומות אחרים. תחשבי שבמדינה אחרת נניח בבלגיה, רשות הגנת פרטיות תיתן לבן אדם צו הספקת עיבוד - - -

לא משנה כרגע איזה הליך קדם מנהלי הם יעשו אצלם וגם פה אני לא אוסר עליהם לעשות תהליך קדם מנהלי לפני פנייה לערכאות או התראה, שיעשו מה שהם רוצים. הם יכולים לעשות מה שהם רוצים בכדי לגשת לבית המשפט עם תיק שהם בטוחים בו, זה עניין שלהם ולא שלי אבל הם ניגשו לבית משפט ואני הכרחתי אותם להוכיח דה נובו לבית משפט את האירוע, כולל זה שהם יצטרכו להראות וכולל את זה שהוספנו שבין הדברים שבית המשפט בודק זה שיש יסוד סביר להניח. הוא לא מניח שבגלל שהם חושבים שיש יסוד סביר אז יש יסוד סביר, את זה אנחנו הוספנו פה בוועדה בדיון הקודם.
איה מרקביץ'
זה מצוין אבל יש לך בעיה עם הנורמה עצמה.
היו"ר שמחה רוטמן
רק רגע.
איה מרקביץ'
גם אם יש יסוד סביר להניח, כשנורמה לא ברורה מתקיימת - - -
היו"ר שמחה רוטמן
בסדר אבל גם ב-GDPR הנורמה לא מאוד ברורה. הנורמות הן לא ברורות והן מתפרשות בהחלטות של רשות. פה הן מתפרשות בהחלטה של בית משפט אז הם יצטרכו לבוא עם זה לבית משפט. תחשבי שאותה רשות בבלגיה תיתן את הצו ומישהו יעתור נגדה לבית המשפט לעניינים מנהליים בבלגיה אז הוא כבר נמצא בעמדת נחיתות יותר מאשר מה שאני נותן לו פה.

אני מתאר לעצמי ששם גם יש חזקת תקינות מנהלית של הרשות והוא צריך להראות שהיא פעלה שלא כדין. פה, הרשות צריכה להראות שהיא פעלה כדין כדי לקבל מבית המשפט את הצו הזה. כלומר, הפכתי פה את הנטל.
ראובן אידלמן
זאת לא ביקורת שיפוטית.
איה מרקביץ'
איך אני משכנעת את בית המשפט שהנורמה לא מתקיימת כשהיא לא ברורה?
היו"ר שמחה רוטמן
אבל שוב, אם זה היה רשם?
איה מרקביץ'
אין לי על מה להסתמך.
היו"ר שמחה רוטמן
אבל אם זה היה הרשם?
איה מרקביץ'
אין לי על מה להסתמך כארגון - - - אותו דבר, יש בעיה עם זה שאין את הנורמה.
קריאה
מה לא ברור? יש הוראת דין אחרת מפורשת.
היו"ר שמחה רוטמן
טוב, בסדר.
איה מרקביץ'
מה שחסר זו מטרה ספציפית, מפורשת, לגיטימית, מה זה אומר ולשים חוקים.
היו"ר שמחה רוטמן
בסדר.
ראובן אידלמן
כפי שאדוני אמר בצדק, זאת לא ביקורת שיפוטית. בית המשפט הוא בעל הסמכות והוא דן דה נובו.
היו"ר שמחה רוטמן
תחשבי על אותו אדם שהפסיד בבית המשפט לעני ינים מנהליים שם אז זהו, נגמר לו האירוע.
איה מרקביץ'
אני מבינה את העקרון שהוא במצב יותר טוב משם במובן הזה שעשינו איזשהו פיצוי אבל הבעיה היא שבסוף, בבסיס – אנחנו כולנו עוסקים בתחום אז אנחנו יודעים מה קורה כשאנחנו קוראים פסיקה ותופסים את הראש – שופטים לא מבינים את הדין כי הם לא עוסקים בזה ביום-יום ומבחינה סוציולוגית הם כנראה לא ממוקמים במקום עם הכי הרבה אוריינות דיגיטלית ובגיל שמתאים או בקרבה לתעשייה ועסקים בשביל לדעת.
ראובן אידלמן
אז בואו נפתור את זה גם בחקיקה, נפתור הכול בחקיקה.
איה מרקביץ'
איך לגשת למציאות - - -
היו"ר שמחה רוטמן
אולי נעשה כאן תיקון עקיף לוועדה לבחירת שופטים. אני מאוד אשמח. אני אומר שאין ספק שיש בעיה עם זה ששופטים הם ללא אוריינות דיגיטלית אבל - - -
עמית יוסוב עמיר
צריך להקים בית משפט טכנולוגי.
היו"ר שמחה רוטמן
אתה יודע שאני אהיה פרטנר לכל בית משפט שיקום וייקח סמכות מבית המשפט הנוכחי ובכל זאת אני אומר שאני חושב שמבחינת האיזונים, ייצרנו פה משהו שהוא הרבה יותר מאוזן. אני חושב שהסעיפים שעל הפרתם אנחנו מדברים, הם יותר בהירים ונהירים מהמצב הקיים. בכל סעיף שבו נגענו, הבהרנו את המצב לעומת המצב הנוהג היום.

בשנייה שהורדנו את חובת הרישום, הגדרנו את מטרת המאגר שהוגדרה כדין וכל עמימות בהקשר הזה תקשה עליהם את החיים כי פעם, הסמכות לרישום מאגר והפרשנות שלהם של הביטוי "כדין לרישום מאגר" הייתה כולה בין אוזניו של הרשם והיום אם הם ירצו לעשות משהו, הם יצטרכו לפנות לבית משפט ולשכנע אותם שזה לא כדין. הנטל עליהם הוא לא פשוט בכלל.

את אומרת שיכול להיות שהיה עדיף שנעבור כבר לתיקון 15 והכול נכון אבל אנחנו לא יכולים לחזור לזה כל פעם.
איה מרקביץ'
נכון אבל כשאנחנו הולכים להבהרה של הגדרת הרשות או ההפרה שהיא הכי מהותית מבחינתנו כיום, כי חסר לנו את עקרונות העיבוד והבסיסים החוקיים אז אנחנו נמצאים במקום שבו באמת מאוד חשוב שהדבר הזה יוסדר אבל לא בצורה בה לא ברור מה היא הנורמה. המטרה שלשמה הוקם - - -
היו"ר שמחה רוטמן
טוב. אין את "המטרה שלשמה הוקם". הורדתי את זה.
איה מרקביץ'
לא, "למטרה שנקבעה כדין", נכון?
היו"ר שמחה רוטמן
נכון.
איה מרקביץ'
ראיתי את ההקלטה אתמול ולהבנתי, בדיון אתמול אמרתם שמדובר במטרה שלא סותרת דין חיצוני לחוק הגנת הפרטיות. אני צודקת?
היו"ר שמחה רוטמן
גם, בין היתר וגם את חוק הגנת הפרטיות. בסדר, הנקודה ברורה. אני מצטער. יש עוד דבר בסעיף הזה או שסיימנו?
נעמה מנחמי
אני חושבת שסיימנו.
ד"ר עמרי רחום טוויג
סליחה, יש לי עניין מאוד קטן.
היו"ר שמחה רוטמן
סלחתי כדבריך.
ד"ר עמרי רחום טוויג
אני ד"ר עמרי רחום טוויג מטעם גוגל ישראל. הבהרנו את עניין תחולת ההגנות והכול בסדר אבל בכל זאת יש עניין ניסוחי. כשבית המפשט שוקל אם יש יסוד סביר להניח כי מתבצעת הפרה של סעיף אז ההפרה מתקיימת לפני קיומה של הגנה. הגנה היא תמיד אחרי קיומה של הפרה, הגנה לא נכנסת לתוקף לפני שיש קיומה של הפרה אז לכן צריך להבהיר כאן " ולא מצא שמתקיימת הגנה בעניין" כי אחרת זה פשוט מרוקן את זה מתוכן לחלוטין.
ראובן אידלמן
זאת שאלה שנבחנת במסגרת השאלה אם יש הפרה או אין הפרה?
קריאה
זאת שאלה ניסוחית. לא, ביחס לסעיפים שלגביהם יש הגנות.
ד"ר עמרי רחום טוויג
זה לא נכון.
ראובן אידלמן
אני לא חוזר לדיון הקודם.
ד"ר עמרי רחום טוויג
ראובן, אני גם לא חוזר.
ראובן אידלמן
זה אינהרנטי בתוך השאלה אם יש הפרה או לא.
היו"ר שמחה רוטמן
האמירה שנאמרה גם על הסעיף הזה וגם כשנתקן את סעיף 18 ונוסיף "או מנהלי", היא מספיק ברורה כדי שאם יש הפרה ויש עליה הגנה אז זאת לא באמת הפרה. כמו שבן אדם שמרביץ למישהו בהגנה עצמית אז הוא לא באמת תקף אותו. הוא לא תקף אותו וזאת הגנה עצמית אלא הוא לא תקף.
ד"ר עמרי רחום טוויג
אני מסכים במהות, כמובן אבל אני חושב שכעניין דוקטרינרי משפטי כן יש הבדל. אם זה נאמר לפרוטוקול והובהר אז זה בסדר גמור.
היו"ר שמחה רוטמן
אני חושב שזה מאוד ברור. בסדר גמור.
נעמה מנחמי
הנושא הבא הוא ממונה על הגנת הפרטיות.
היו"ר שמחה רוטמן
אחרי סעיף 17 בתוך החוק העיקרי. כן, מה עשינו פה?
נעמה מנחמי
כל מיני שינויים.
היו"ר שמחה רוטמן
מצוין.
נעמה מנחמי
להזכירך, בדיון הקודם של הוועדה היו שני סעיפים שהיו ברורים יותר לוועדה וזה הנושא של גוף ציבורי למעט אותו גוף ביטחוני שממילא יש עליו איזשהו פיקוח DPO אינהרנטי וכן הוספנו הבהרה שזה "או מחזיק במאגר מידע כאמור", ואותו בעל שליטה או מחזיק במאגר מידע שהמטרה העיקרית שלהם היא איסוף, לרבות שירותי דיוור ישיר ובלבד שיש מעל 100 אלף נושאי מידע.

הוועדה השאירה לממשלה להציעה איזושהי הצעה רכה יותר או משהו שהוא קצת יותר כללי לגבי נסיבות נוספות ואלו פסקאות 3 ו-4 לאותו סעיף. אנחנו נקרא אותם ונדבר עליהם.


3. בעל שליטה או מחזיק במאגר מידע שהעיסוק העיקרי כולל – או הוא – פעולות עיבוד מידע שלנוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם בקנה מידה משמעותי.



4. בעל שליטה או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בקנה מידה משמעותי, לרבות בנק, חברת ביטוח, מוסד למתן אשראי, חוקר פרטי, מוסד רפואי.



אלה ההצעות של הוועדה ודוגמאות שהתבקשו על ידי היושב-ראש. אפשר לדבר עליהן ולחשוב איזה מהן נכון להוסיף ואיזה לא. אלה דוגמאות שחשבנו שכדאי לדון בהן.
היו"ר שמחה רוטמן
לא דיברנו על - - - מוסד רפואי, כן.
נעמה מנחמי
כן. לעניין סעיפים 3 ו-4 - - - קנה מידה משמעותי בין השאר בשים לב למספר בני האדם שמעובד מידע לגביהם, היקף המידע וסוג המידע המעובד, משך ותדירות פעולות העיבוד, משך שמירת המידע והתחום הגאוגרפי של פעולות העיבוד.

זו הייתה ההצעה. ההצעה המקורית של הוועדה הייתה אולי לעשות איזושהי תוספת אבל אני חושבת שזה - - -
היו"ר שמחה רוטמן
אני חושב שאם זה עובד עם הנוסח של 3 ו-4 עכשיו, זה דווקא יותר טוב.
נעמה מנחמי
או-קיי. היו לנו עוד כמה הערות קטנות שהגיעו אבל אולי מי שהעביר אותן יציין אותן.
היו"ר שמחה רוטמן
כן.
דלית בן ישראל
דלית בן ישראל, עורכת דין. לגבי סעיף 3, אני חושבת שבאופן שהוא מנוסח עכשיו הוא לא מוסיף הרבה על סעיף 2 כי חוץ מ-data brokers אני לא חושבת שיש מישהו שהעיסוק העיקרי שלו הוא פעולות עיבוד מידע. פעולת עיבוד המידע היא תמיד נלווית ל-business של הארגון.
היו"ר שמחה רוטמן
לא, זה כולל.
קריאה
זה כולל.
דלית בן ישראל
יש פה "כולל והוא".
היו"ר שמחה רוטמן
לצורך העניין, חברת סלולר.
דלית בן ישראל
העיסוק שלה הוא לא עיבוד המידע.
היו"ר שמחה רוטמן
נכון אבל העיסוק שלה כולל - - -
דלית בן ישראל
עיבוד המידע הוא - - -
היו"ר שמחה רוטמן
שנייה. העיסוק העיקרי שלה כולל עיבוד מידע שהיקפו או מטרתו מחייב ניטור שוטף ושיטתי של אנשים ובכלל זה מעקב. חברת סלולר נכנסת ל-3.
דלית בן ישראל
העיסוק העיקרי שלה הוא מתן שירותי סלולר שכרוכים - - -
היו"ר שמחה רוטמן
אבל הוא כולל.
דלית בן ישראל
אני מדברת על הנוסח, הנוסח הוא בעייתי.
היו"ר שמחה רוטמן
אבל המילה היא "כולל" ולא "הוא".
דלית בן ישראל
אני חושבת שצריך להגיד שה-business שלה כרוך בעיבוד מידע.
היו"ר שמחה רוטמן
כרוך או כולל.
דלית בן ישראל
מהמילה "כולל" משתמע שה-business הוא עיבוד המידע וה-business הוא שירותי סלולר שכרוכים בעיבוד מידע.
היו"ר שמחה רוטמן
זה נראה לי עניין ניסוחי.
נעמה מנחמי
בסדר.
היו"ר שמחה רוטמן
הכוונה ברורה. חברת סלולר נכנסת ב-3 ולא נכנסת ב-2.
דלית בן ישראל
כן, נכון.
היו"ר שמחה רוטמן
זאת הכוונה פה בסעיף. האם זה צריך להיות "כולל", "כרוך" או "הוא"? "הוא" אני חושב שזה באמת לא נכון.
דלית בן ישראל
כדי שלא ישתמע שהפעולה עצמה היא פעולת העיבוד.
היו"ר שמחה רוטמן
מובן.
דלית בן ישראל
העיבוד הוא נלווה לעיסוק.
נעמה מנחמי
יש הערה שאיה העבירה, במקום העיסוק העיקרי זה יהיה "פעולותיו העיקריות"?
היו"ר שמחה רוטמן
לא. עיסוקו העיקרי.
דלית בן ישראל
אבל בדוגמה, עיסוקו העיקרי זה מתן שירותי סלולר.
היו"ר שמחה רוטמן
בסדר חברים, שנייה. הבנתי ואני אומר "עיסוקו העיקרי כולל או כרוך בפעולות עיבוד מידע". אני חושב שהביטוי "כולל או כרוך" מכסה לנו גם את זה וגם את זה.
ד"ר דן חי
מועדון לקוחות של רשת סופרמרקט נכנס לזה?
היו"ר שמחה רוטמן
מועדון, אם זה בקנה מידה משמעותי אז כן.
עמית יוסוב עמיר
כן.
שירה גרטנברג
ההצעה היא לכתוב "כולל או כרוך"?
היו"ר שמחה רוטמן
כן, כולל או כרוך.
ליאור אתגר
ליאור אתגר, עורך דין משרד ארדינסט. כמי שמייצג הרבה חברות בגופים פרטיים, אנחנו רואים שהסעיף הזה יחייב הרבה מאוד שאלות בנוגע לרף בגלל שזה סעיף שהוא לא סעיף מספרי. יש יתרון במעבר למשטר כזה וזה יותר דומה גם ל-GDPR אבל הבעיה היא בפרשנות של קנה מידע משמעותי. אנחנו ניתקל בבעיה הזאת.

אני מסכים עם מה שהיושב-ראש אמר לגבי ההוראות. מדובר בפעולה שכרוכה, מבחינת עיבוד המידע, לא רק הניטור וצריך לציין את זה. מבחינת 4, אני חושב שזה נכון להוסיף את כל הרשימה היפה שיש שם וזה טוב שיש קטגוריות ספציפית – מה שאין ב-GDPR כי שם זה יוצר בעיות אחרות – אבל הרשימה הזאת לא מספיק ברורה.

למשל, מוסדות פיננסיים, גופים שיש להם רישיון של נותן שירותים פיננסים נכנסים או לא? היושב-ראש, אתה ציינת מקודם את הנושא של בעל רישיון נש"פ ואני חושב שזה רף נמוך מידי. צריך לקבוע את הרף במקום הגיוני.
היו"ר שמחה רוטמן
קודם כול, אלו דוגמאות כמובן. "לרבות" זה דוגמאות. תמיד כשעושים רשימה כזאת של דוגמאות אז צריך לעצור באיזשהו שלב אחרת אתה יכול להגדיל את זה באופן אין-סופי. אני חושב שנתנו שם מגוון יחסית רחב ולא התכוונו להמעיט מאיש. הביטוי הממעיט העיקרי הוא "קנה מידה משמעותי".

דהיינו, צ'יינג' שיש לו 20 לקוחות לא יהיה שם, ככול הנראה. צ'יינג' שיהפוך להיות רשת ארצית שכוללת בתוכה הרבה מאוד אנשים, כן יהיה שם. זה הביטוי של "קנה מידה משמעותי". גם בנק שכונתי, ככול שיום אחד באמת תהיה פה תחרותית אמיתית בשוק זה אז בנק בעל סניף אחד שיש לו 200 לקוחות גם לא יהיה פה, ככול הנראה. שוב, קנה המידה המשמעותי מחייב את כולם. אם יטילו עליהם חובות מכוח רגולציה אחרת למנות את הדברים האלה אז שיעשו את זה אבל זה לא מפה.
איה מרקביץ'
אנחנו יכולים להתייחס לרשימה?
היו"ר שמחה רוטמן
עוד שנייה. נאסוף את כולם ואז יהיה אפשר.
ד"ר דן חי
אני חושב שההתייחסות למחזיק היא רחבה מידי כי לפעמים מחזיק יכול להחזיק רק חלק מאוד קטן מהמאגר ואין לזה התייחסות.
קריאה
ב-1 ו-2.
ד"ר דן חי
כן.
היו"ר שמחה רוטמן
אז זה כנראה לא יהיה משמעותי.
ד"ר דן חי
לא, הוא יכול להחזיק מעמד שעושים בו עיבוד משמעותי אבל הוא יחזיק רק פיסה מאוד קטנה ממנו שהיא לא משמעותית.
היו"ר שמחה רוטמן
אם הוא מחזיק רק פיסה קטנה ממנו אז - - - אמרנו שמאגר מידע זאת הגדרה פלואידית אז הוא לא מחזיק את מאגר המידע המשמעותי.
ד"ר עמרי רחום טוויג
לעניין הזה, בפסקאות 3 ו-4 נראה לי זה בסדר גמור גם לגבי מחזיקים. זה באמת עקרון מהותי והוא מאפשר למחזיק להבין מה סוג העיבוד שהוא עושה. בעייני, ההצעה להוסיף מחזיק בפסקאות 1 ו-2, היא בעייתית. ראיתי שגם המועצה להגנת הפרטיות - - -
היו"ר שמחה רוטמן
כן, נועה גבע מהמועצה להגנת הפרטיות נמצאת פה בזום ותכף נשמע גם אותה.
ד"ר עמרי רחום טוויג
היא בזום? זהו. ראיתי שהם לא מסביב לשולחן אז אמרתי שראיתי גם נייר עמדה שלהם. אני חושב שדיברנו על זה בדיונים הקודמים. כשאנחנו מדברים על הנטל על המחזיק לברר את מאפייני הלקוח שלו - - -
היו"ר שמחה רוטמן
דיברנו על זה.
ד"ר עמרי רחום טוויג
אז אם אנחנו רוצים להכניס מחזיקים, הכנסנו אותם יפה בפסקאות 3 ו-4 לגבי סוג העיבוד שהם עושים וסוג הטכנולוגיה שהם מפעלים. זה הוגן וגם ב-GDPR זה ככה. בפסקאות 1 ו-2 אני חושב שזה לא נדרש, זה מכביד יתר על המידע ויכביד על הרבה ארגונים להבין מי נמצא בצד השני.

זה יעשה אחד משניים, אפשרות אחת היא שזה יחייב את כל השוק של מי שמחזיק במאגר מידע למנות DPO ליתר ביטחון כי הוא פשוט לא יודע ואני לא חושב שזו המהות או המטרה, לייצר חובה רוחבית.
היו"ר שמחה רוטמן
אני חושב שאם אתה מחזיק מאגר מידע של גוף ציבורי אז אתה אמור לדעת שאתה מחזיק מאגר מידע של גוף ציבורי.
ד"ר עמרי רחום טוויג
לא בהכרח. שוב, לגופים ציבוריים יש צו, זה לא רק - - -
היו"ר שמחה רוטמן
אבל אם אתה מחזיק את המאגר מידע של גוף ציבורי אז מין הסתם אמור להיות לך חוזה מול הגוף הציבורי.
ד"ר עמרי רחום טוויג
בהחלט אבל זה לא רק גוף ציבורי כמו שאני חושב עליו כמו רשויות שלטוניות, יש הגדרה קצת יותר רחבה למי הוא גוף ציבורי ובמיוחד בפסקה 2. מטרתו העיקרית של הלקוח שלי היא לבצע שירותי דיוור ישיר אז - - -
היו"ר שמחה רוטמן
כן, לגבי 2 אני יותר שומע את ההערה הזאת. לגבי גוף ציבורי, פחות אבל בסדר. כן?
ליאור אתגר
אפשר להגיד עוד תוספת לגבי סעיף קטן (ב)? אני לא מוצא סיבה לעשות דבר כזה. אם לא מדובר במאגר מידע רשום שאותו עשינו כבר במקום אחרים לגמרי אז למה שנדווח לרשות על הדבר הזה?
היו"ר שמחה רוטמן
תכף. עוד לא הגענו ל-(ב).
נעמה מנחמי
הייתה כאן שאלה שאולי היא די קשורה לנוסח אבל אנחנו כן נשמח לציין אותה. אפרופו רישום, במקור הוועדה אמרה שהיא מבקשת להחיל את מה שהוא היום 1 ו-2 על גוף החייב ברישום והממשלה ביקשה לכתוב ברחל בתך הקטנה את הגופים המנויים שם.
היו"ר שמחה רוטמן
טוב.
נעמה מנחמי
אנחנו עדיין צריכים לראות מה עושים עם זה כי זה עלול להביא למצב שבו יתר ההוראות יתפצלו.
היו"ר שמחה רוטמן
מחובות הרישום, בסדר. כן.
חמדת קב
עורכת הדין חמדת קב משרד הבריאות. העמדה שלנו מתואמת גם עם ייעוץ וחקיקה. ברצוננו לצמצם את המונח "מוסד רפואי" לקופות חולים ובתי חולים כי אחרת יוצא מצב שחמישה אנשים בקליניקה יהיו מחויבים למנות ממונה על הגנת הפרטיות.
היו"ר שמחה רוטמן
מה ההגדרה של מוסד רפואי?
חמדת קב
היא רחבה מאוד.
חמדת קב
איפה היא מוגדרת?
עמית יוסוב עמיר
היא מוגדרת בחוק זכויות החולה ומפנה להגדרות משנה, זאת באמת הגדרה מאוד רחבה של מוסד רפואי.
היו"ר שמחה רוטמן
או-קיי. מאחר וזה קזואיסטי, אין לי בעיה. בית חולים או קופת חולים זה בסדר.
ד"ר רחל ארידור הרשקוביץ
זה לא דומה ל-"כפוף לקנה מידה משמעותי"?
היו"ר שמחה רוטמן
זה כפוף אבל למה לייצר אי-בהירות? אנחנו בקזואיסטי אז למה להשתמש בהגדרת תפוסה בחוק? אפשר לכתוב בית חולים.
עמית יוסוב עמיר
ההגדרה של מוסד רפואי, בית חולים או מרפאה.
היו"ר שמחה רוטמן
נכון.
ליאור אתגר
דווקא יכול להיות ש-"המוסיף באופן משמעותי" עושה את העבודה.
היו"ר שמחה רוטמן
מרפאה זה יכול להיות קטן וזה יכול להיות מאוד גדול.
ליאור אתגר
אבל צריך שיהיה "באופן משמעותי".
היו"ר שמחה רוטמן
כן.
ליאור אתגר
אז זו שאלה מה זה אומר כי יכול להיות שיש הרבה מטופלים באותה מרפאה.
ראובן אידלמן
צריך להגיד לפרוטוקול שהמטרה של הדוגמאות היא שלא תתעורר שאלה אם זה קנה מידה משמעותי או לא.
היו"ר שמחה רוטמן
נכון.
ראובן אידלמן
זאת אומרת, הדוגמה לא כפופה לקנה מידה משמעותי.
היו"ר שמחה רוטמן
נכון. לכן אני לא כל כך מודאג מצד אחד ומצד שני, מאחר ומה שלי היה בראש זה בית חולים כמשל וכדוגמה אז אפשר לכתוב בית חולים.
קריאה
קופת חולים לא נתפסת ברשת.
היו"ר שמחה רוטמן
אבל זו דוגמה.
קריאה
בית חולים או קופת חולים.
היו"ר שמחה רוטמן
אין בעיה, אפשר גם קופת חולים. אני רק אומר שההגדרה חלה על קופת חולים בין אם נכתוב אותה או לא נכתוב אותה. קופת חולים בהגדרה, עיסוקה העיקרי כולל או כרוך בעיבוד מידע בעל רגישות מיוחדת בקנה מידה משמעותי. אני לא צריך לכתוב "לרבות" על זה.

זה גם קופת חולים וגם בית חולים. כל קופות החולים במדינת ישראל הן בקנה מידה משמעותי, למען הסר ספק. בית חולים לא תמיד כי יש בתי חולים נורא קטנים אבל קופת חולים כתובה על השולחן חזק בחלק א'. אם כבר, אז בית חולים זאת דוגמה שמוסיפה לי קצת הבנייה. קופת חולים היא שם בהגדרה.
איה מרקביץ'
אפשר הצעה לנוסח לגבי ההסתייגות לסעיף (1) קטן? "המחזיק" כשזה גוף ציבורי.
היו"ר שמחה רוטמן
שנייה, עוד לא קיבלנו את ההערה המהותית אז איך נעשה לה ניסוח?
איה מרקביץ'
לא, הכוונה הייתה שאנחנו רוצים להוציא החוצה את "מחזיק" אז אולי אפשר להכניס אותה פנימה - - -
היו"ר שמחה רוטמן
מי אמר שאנחנו רוצים להוציא החוצה את "מחזיק"?
איה מרקביץ'
האם אנחנו רוצים? ואם כן אז אולי אפשר ככה.
היו"ר שמחה רוטמן
או-קיי. בואו נדבר על המהות ואז נראה איך אנחנו עושים את זה בנוסח.
איה מרקביץ'
אני אפסיק לעשות הקדמות ואציע את ההצעה?
היו"ר שמחה רוטמן
כן.
איה מרקביץ'
במקום לכתוב את מה שכתוב עכשיו, "בעל שליטה במאגר מידע שהוא גוף ציבורי או מחזיק", אפשר לסייג את זה ל-"או מחזיק המעבד עבור בעל שליטה כאמור, מידע אישי שעיבודו נדרש למילוי תפקידיו הציבוריים של בעל השליטה על פי דין", שזאת ההגדרה של גוף ציבורי.

זאת אומרת, המחזיק שרק מעבד את המידע שלגביו יש מלכתחילה את הסיכון בעיבוד בידי גוף ציבורי - - -
קריאה
נגיד, לא מאגר עובדים.
איה מרקביץ'
כן, בדיוק. אם המשטרה משתמשת בחילן או חשבות שכר אחרת כדי לעבד את המידע של העובדים אז שלא יהיה סיכון אחר לעומת עובדים של PrivacyTeam.
היו"ר שמחה רוטמן
אני חושב שזה כל הקסם בהגדרה של נעמה. פשוט לכתוב "במאגר מידע החייב ברישום".
קריאה
למה זה פותר את זה?
איה מרקביץ'
למה?
היו"ר שמחה רוטמן
כי למשל את מאגר העובדים, אותו גוף ציבורי לא חייב לרשום.
איה מרקביץ'
הבעיה עם מאגר זה שזה תמיד מבלבל. ה-DPO אחראי רק על המאגר שחייב ברישום?
ליאור אתגר
לא, זה רק עושה טריגר מתי הוא יהיה חייב לארגון.
ראובן אידלמן
הצד השני של זה הוא שגוף יוכל לקרוא את החוק ולדעת אם הוא חייב במינוי DPO. זה שאלה של נוסח אבל חשבנו שלמען הנגישות - - -
היו"ר שמחה רוטמן
בסדר אבל מה שאמרת עכשיו זה בדיוק "המחזיק לא יודע". מה שאמרת עכשיו זה בדיוק הטיעון ללמה לא לעשות את זה על מחזיק. כי לגוף ולבעל שליטה זה בסדר גמור. אין לי בעיה לעשות את זה לכל גוף ציבורי שמחזיק מאגר מידע אבל המחזיק לא תמיד יודע והוא בוודאי לא יודע את מטרות המאגר לצורך מסירתו לאחר כדרך עיסוקו בתמורה בשל 2.
ראובן אידלמן
אבל אם זה ב-1 הוא יודע אם הוא מחזיק של גוף ציבורי.
היו"ר שמחה רוטמן
זה מה שאמרתי.
ראובן אידלמן
כן, בסדר גמור.
ד"ר עמרי רחום טוויג
עם הסתייגות כמו שאתה אומר ראובן. יש גופים ציבוריים שזה שאלה אם הם גופים ציבוריים.
היו"ר שמחה רוטמן
בסדר אז דווקא בגלל זה, זה סיבה לבעל שליטה ולא למחזיק.
איה מרקביץ'
למען הסר ספק, ההצעה שלי לא הייתה המצאה פרי מוחי הקודח. זה היה וריאציה של מה שיש היום בחוק בבלגיה, בסלובניה ובפינלנד. שם כן יש בווריאציה מסוימת פרוססור שמעבד מידע עבור controller שהוא גוף ציבורי עם עוד כל מיני תנאים וגם יהיה חייב - - -
היו"ר שמחה רוטמן
למען הסר ספק, מעולם לא חשדנו שהצעותיך הן פרי מוחך הקודח. אנחנו מכירים אותך לא מהיום והכול בסדר.
שירה גרטנברג
לגבי החלופות בסעיפים קטנים 3 ו-4, הדוגמאות שניתנו לרבות בנק וחברת ביטוח, אנחנו סבורים שהדוגמאות יותר מתאימות דווקא בשביל להעביר את סעיף קטן (3), בייחוד בהמשך לדוגמה שהיו"ר נתן לגבי בתי החולים הקטנים.
היו"ר שמחה רוטמן
מה?
שירה גרטנברג
לרבות בנק, חברת ביטוח ובית חולים.
היו"ר שמחה רוטמן
זה ל-4 ואת אומרת שהם נכנסים ל-3?
שירה גרטנברג
אנחנו חושבים שזה נכון יותר לכלול את זה בסעיף קטן (3) כדי להבהיר פעולות עיבוד שמחייבות ניטור שוטף ושיטתי של אנשים.
היו"ר שמחה רוטמן
באמת? חברת ביטוח מנטרת באופן שוטף את התנהגותו, מקומו ופעילותיו של אדם?
ד"ר דן חי
יש ביטוחים.
היו"ר שמחה רוטמן
יש אבל זה החריג מאוד. חברת ביטוח מוכרת לי ביטוח, ביטוח חיים.
ד"ר דן חי
ביטוח רכב הוא לפעמים גם עם נתוני מיקום.
היו"ר שמחה רוטמן
לפעמים אבל זה לא בהכרח כרוך. אם כבר רוצים קזואיסטי ל-3 אז אמרנו שקזואיסטי ל-3 זה חברת סלולר, קזואיסטי ל-3 זה ספק שירות של טלפונים סלולריים.
שירה גרטנברג
בית חולים גם, למשל.
היו"ר שמחה רוטמן
בית חולים לא, לא נכון.
ניר גרסון
אדוני, המעקב זה לא זה במובן של מצלמה שמצלמת או נתוני מיקום, זה גם התחקות שיטתית אחרי התנהגותו ומה ההרגלים שלו מהמידע שיש.
היו"ר שמחה רוטמן
סליחה. עם כול הכבוד זה לא התפקיד. עיסוקו העיקרי של בית חולים איננו להתחקות באופן שיטתי אחר ההתנהגות שלי. יכול להיות שהוא יעשה את זה כפעולה נלווית.
ד"ר דן חי
לא, בית חולים זה - - -
היו"ר שמחה רוטמן
בית חולים, בוודאי שלא.
קריאה
יש חובה לעשות מוניטורינג על מטופלים.
ניר גרסון
על מאושפז אני חושב שדווקא כן.
היו"ר שמחה רוטמן
נו, באמת. זה בתחומי בית החולים אבל זו לא התחקות שיטתית אחר התנהגותו של אדם בקנה מידה משמעותי. חברים, אי-אפשר לעשות stretch לכל דבר. אני אומר שחברת סלולר, זה כן. זה ברור שאי-אפשר לבצע את העבודה של חברת סלולר מבלי לדעת איפה אני מסתובב כל הזמן.

אפילו גוגל – טוב שאתה פה – לא יכולה לעשות את רוב העבודה מבלי לעקוב ולהתחקות אחרי הרגלי החיפוש והצריכה שלי, זה חלק מהמודל העסקי שלה. פייסבוק, גוגל וכל החברות האלה נכנסות לפה אבל בתי חולים הן לא שם. חוקר פרטי היה יכול להיות וגם חוקר פרטי הוא לא בקנה מידה משמעותי.
שירה גרטנברג
עוד שתי הערות. אחת היא הערת נוסח "לרבות" משמיע שזה בעצם שונה מהכלל שמנוסח בסעיף אז אנחנו מציעים לשנות את זה ל-"ובכלל".
היו"ר שמחה רוטמן
כדוגמת, ובכלל זה.
שירה גרטנברג
כן. לגבי הדוגמאות הספציפיות, דיברנו על בתי חולים, קופות חולים, בנקים וחברות ביטוח. לגבי מוסד למתן אשראי אנחנו חושבים שצריך לחדד קצת את הניסוח. למשל, בממונה אבטחת מידע זה נוסח קצת שונה אז צריך לחשוב על לחדד את זה.

לגבי חוקרים פרטיים, אנחנו חשבנו שלא נכון לכלול אותם בדוגמאות. יש גדלים שונים של משרדים וזה נראה לנו קצת מרחיב.
היו"ר שמחה רוטמן
לא, אבל חוקר פרטי שיעשה את זה בקנה מידה משמעותי.
שירה גרטנברג
לא, אבל אמרנו שהדוגמאות האלה לא צריכות להיות בקנה מידה משמעותי.
ראובן אידלמן
הדוגמה לא כפופה. זה מה שאמרנו מקודם ואדוני הסכים. הדוגמה לא אמרוה להיות כפופה לקנה מידה משמעותי, הדוגמה נועדה כדי שלא תהיה מחלוקת אם זה קנה מידה משמעותי.
היו"ר שמחה רוטמן
לא, ממש לא.
שירה גרטנברג
ככה מנוסח החוק.
ראובן אידלמן
ככה אנחנו ראינו את התכלית של הדוגמאות. כשדי שדוגמאות כמו בית חולים זה לא - - -
היו"ר שמחה רוטמן
לא. אני אומר שוב ואפילו אמרתי את זה במיוחד לפרוטוקול, אם יקום סניף בנק שכונתי וקטן אז הוא לא יהיה באירוע. הדוגמאות הן – ואם צריך להבהיר את זה בנוסח אז צריך להבהיר את זה בנוסח – לגוף שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת.
ניר גרסון
לשם כך לא צריך דוגמאות.
היו"ר שמחה רוטמן
בוודאי שצריך לשם כך דוגמאות כי אנשים לא יבינו לגבי בנק, שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת. מוסד רפואי - - -
קריאה
מרפאת שיניים.
היו"ר שמחה רוטמן
מרפאת שיניים קטנה - - -
ראובן אידלמן
זה פשוט משמר קצת את העמימות ואנחנו חשבנו שהדוגמאות נועדו כדי לצמצם את העמימות.
היו"ר שמחה רוטמן
הן מצמצמות את העמימות. יכול להיות ששווה להוסיף ל-3 "כגון חברה סלולרית או ספק שירותי חיפוש באינטרנט", כדי שיבהירו למה הכוונה, מאחר והביטוי העמום פה שדורש הבהרה זה מה זאת אומרת שהעיסוק העיקרי שלך "כולל או כרוך".

ברור שחברת data brokers נמצאת ב-2, זה מאוד ברור כי זה עיסוקה העיקרי אבל יש כל מיני חברות כמו שנאמר קודם, העיסוק העיקרי של חברת סלולר הוא לא להתחקות אחרי איפה אני נמצא אבל היא לא יכולה לבצע את עבודתה בלי התחקות ולכן זה "כולל או כרוך". זאת דוגמה אבל בוודאי שאם זה לא נעשה בקנה מידה משמעותי אז אני לא צריך את זה.
אייל שגיא
אייל שגיא, עורך דין. אם ככה, אני הייתי מציע להעביר את המילים "בקנה מידה משמעותי".
היו"ר שמחה רוטמן
לסוף.
אייל שגיא
לאחרי ההגדרות.
היו"ר שמחה רוטמן
"ובלבד שהפעולה נעשית בקנה מידה משמעותי", בסדר. זה ניסוחי.
ליאור אתגר
זה עדיין יוצר איזושהי בעיה מסוימת, למרות שעשינו את זה כי זה לא יוצר קטגוריות ספציפיות.
היו"ר שמחה רוטמן
נכון.
ליאור אתגר
מידע ברגישות מיוחדת מדבר על סוגי המידע. תחשוב על מידע גנטי לצורך העניין, זה מידע בעל רגישות מיוחדת ויכול להיות שהוא לא נעבד בקנה מידה משמעותי. זאת רק הרחבה בדין, יכול להיות שאתה תבוא ותגיד שזה נתפס במקומות אחרים או שזה נתפס בצורך שלי לציית לדין.
היו"ר שמחה רוטמן
לכן יש הגדרה שאומרת שקנה מידה משמעותי זה איזה sweet spot.
קריאה
היא גם וגם וגם.
היו"ר שמחה רוטמן
Sweet spot של מספר, היקף, סוג, משך, תדירות, משך שמירת המידע והתחום הגאוגרפי. אנחנו מנסים ללכת פה בין הטיפות. אם אני אכתוב קזואיסטי, אני לא אכניס כלום. אם אני אכתוב עקרונות אז אני מכניס הכול. צריך למצוא ולנסות להעביר בהדרגה את החוק שלנו שהוא משנות ה-80 למשהו שהוא חי עם המונחים של ה-GDPR והמונחים של הפרקטיקה.
ענר רבינוביץ'
אפשר לדון בזה בכל זאת בעניין עיסוקו העיקרי? קודם כול, זה תרגום לא נכון של המקור מה-GDPR של ה-core activities, פעילויות ליבה. אני חושב ש-"עיסוק עיקרי" נורא מגביל אותנו וגורם לנו להתפקס רק על מה שהעסק מציע, השירות או המוצר שלו אבל לא על שאר הפעילויות שהוא מבצע סביב זה וזה גם מצמצם אותנו לעסקים.
היו"ר שמחה רוטמן
לא הבנתי.
ענר רבינוביץ'
האם "עיסוקו העיקרי" כולל גם פעילויות נלוות למוצר או לשירות של העסק? האם זה כולל שיווק?
היו"ר שמחה רוטמן
תן דוגמא, לא שאלות תאורטיות.
ענר רבינוביץ'
פעילויות שיווקיות. האם פעילויות שיווקיות נכללות כאן, כן או לא?
היו"ר שמחה רוטמן
אם אתה מועדון לקוחות של שופרסל, כמו שדיברנו מקודם, אז העיסוק העיקרי שלך הוא שיווק. בסופו של דבר, אתה עובד עבור שופרסל שהמטרה העיקרית שלו היא שיווק ובשביל לעשות את השיווק הזה אתה אוסף מידע ומתחקה אחר פעילותיהם והרגליהם של הרבה אנשים, בקנה מידה משמעותי ולכן אתה תיכנס לפה. זה כרוך או כולל.
ענר רבינוביץ'
אז העיסוק העיקרי - - -
היו"ר שמחה רוטמן
כי העיסוק העיקרי שלך שהוא שיווק כרוך או כולל את ההתחקות.
נעמה מנחמי
לא, רגע. בואו נחשוב שנייה על - - -
ענר רבינוביץ'
אם אני רשת סופרמרקטים אז העיסוק העיקרי שלי הוא למכור מוצרים.
היו"ר שמחה רוטמן
למכור מוצרים זה שיווק.
קריאה
קמעונות זה מכירה ולוגיסטיקה אבל השיווק זה משהו שהוא נלווה.
ענר רבינוביץ'
השיווק זה פעילות נלוות.
קריאה
זה כרוך.
נעמה מנחמי
נניח שאיזושהי חברה נותנת שירות כלשהו – לא משנה כרגע מה השירות שלה – ואגב השירות שלה היא אוספת נתוני מיקום ואחר כך היא הולכת ומשתמשת בנתוני המיקום האלה, מוסרת את נתוני המיקום האלה כדי לסייע או למכור אותם לגוף אחר.
היו"ר שמחה רוטמן
אבל אם היא אוספת את המידע של המיקום סתם כי מתחשק לה - - -
נעמה מנחמי
אבל זה לא הפעילות העיקרית.
היו"ר שמחה רוטמן
וזה לא הפעילות שלה אז אני לא יודע למה היא אוספת ובכלל יש לה בעיה עם ההסמכה לאסוף. ה-DPO שלה הוא לא הבעיה שלי אלא מה פתאום היא אוספת את המידע.
ד"ר דן חי
אולי להוריד את המילה "העיקרית".
ענר רבינוביץ'
זאת אחת מהפעילויות שלה אבל לא הפעילות העיקרית שלה. זאת אחת מהפעילויות שלה.
ד"ר דן חי
אולי להוריד את המילה "העיקרית".
נעמה מנחמי
כרגע גם לא מופיע "פעילויות", מופיע "עיסוק".
ענר רבינוביץ'
עיסוקו העיקרי.
ד"ר דן חי
אולי להוריד את המילה "עיקרי". בהמשך יש - - -
קריאה
זה core activity.
קריאה
Core activity זה לא עיסוק?
היו"ר שמחה רוטמן
זה כן. Core activity זה פעילויות עיקריות.
קריאה
לא, בתרגום זה ליבה.
היו"ר שמחה רוטמן
אבל מה ההבדל בין עיסוק לבין פעולה? חברים, אנחנו מתפלפלים פה על מילים. יותר מזה, אני הכנסתי את המילים "כולל או כרוך". דהיינו, הפעולה של שופרסל היא מכירה קמעונית? היא כוללת או כרוכה בפעולות השיווק כי זה חלק מהעניין שכולל את איסוף המידע. זה כולל וכרוך. אני חושב שאנחנו מתפלפלים לחינם.
ענר רבינוביץ'
אם זה מובן לכולם כאן חוץ מלנו אז זה מעולה.
היו"ר שמחה רוטמן
בעייני, בוודאי שזה שם.
ענר רבינוביץ'
לי זה לא מספיק ברור ולכן רציתי את ההבהרה הזאת, מתוך החשש שאחר כך נצטרך להתפלפל.
היו"ר שמחה רוטמן
את רוצה "עיסוקיו העיקריים"?
ד"ר דן חי
אולי להוריד את המילה "העיקריים"?
היו"ר שמחה רוטמן
אבל זה לא core activity. אם זה בלי המילה "העיקרי" אז זה לא core activity, זה activity.
ד"ר דן חי
אז פעילויות ולא עיסוק.
איה מרקביץ'
אפשר להסביר? החשש שלנו לגבי "עיסוקו" היה מתוך הכרה של הפסיקה שאני בטוחה שרובנו בחדר מכירים, כשבאים לנסות לפרש בפסיקה את המונח של "החריג להגדרת מאגר של אוסף לשימוש אישי שלא למטרות עסק".

לדוגמה, בפסק דין "ניר עזרא" ובפסקי דין לאומיים מסתכלים על עסק ואומרים שזה ארגון שפועל באופן רציף, כדי להרוויח כסף למטרות רווח ואז אתה אולי משאיר בחוץ עמותות וארגונים לתועלת הציבור.
היו"ר שמחה רוטמן
.אבל גם לעמותה יש עיסוק עיקרי, חברים.
איה מרקביץ'
עיסוק פשוט נתפס - - -
היו"ר שמחה רוטמן
כן, המילה "עיסוק חלה גם על עמותת וגם לעמותת יש עיסוק. זאת לא הפעם הראשונה שמחוקקים פה וזה לא החוק היחיד במדינה.
ענר רבינוביץ'
"עיסוקיו" ברבים פותר את זה בעייני.
היו"ר שמחה רוטמן
"עיסוקיו העיקריים" לא מפריע לי. נעלה את נועה גבע מהמועצה להגנת הפרטיות.
נועה גבע
שלום לכולם ותודה על ההזדמנות להגיב. בשם המועצה, אנחנו גם מצטרפים לבקשה להוסיף את המילה "כולל" בניסוח של סעיפים קטנים (3) ו-(4). "עיסוקו העיקרי כולל עיבוד מידע" זה נראה לנו משהו שהולך אחרי הניסוח האירופאי של ה-GDPR ולכן מספק את האפשרות לכלול גם דוגמאות שניתנו באירופה כמו בית חולים שמעבד מידע אישי.

זה לא ה-core business שלו אבל כחלק נלווה מהעיסוק הרפואי שלו הוא מעבד מידע בצורה מסיבית ולכן המונח "כולל" אמור לספק פה את האפשרות להחיל גם על גופים כאלה וזה מאוד חשוב. מבחינתי, אני מברכת על ההתאמה הזאת שביצעתם.

נושא נוסף שאנחנו רוצים להדגיש מטעם המועצה – אני חוזרת לרגע לשאלת העיצומים הכספיים והאכיפה על החובה של מינוי DPO ממונה – הוא שהמועצה סבורה שהנושא הזה חייב להיות מגובה באכיפה כלשהי. הניסיון בישראל מלמד שבהעדר אכיפה – אנחנו יודעים שבשנים האחרונות אין אכיפה מנהלית בחובות הפרטיות ואין סמכויות – השוק לא מצליח לעמוד בציות לחובות האלה וזה מוכח שוב ושוב.

אנחנו סבורים שבכדי שהחובה הזאת לא תהפוך להיות אות מתה אז כדאי מאוד לגבות אותה בעיצומים כספיים ובאכיפה ולא להסתפק בכלים רכים שהוצעו קודם לכן.

הנקודה האחרונה שאני רוצה להעלות היא בנושא של "מחזיק". גם המועצה הייתה מוטרדת מההחלה האוטומטית על מחזיק בסיטואציות של רשות ציבורית, למשל. זאת אומרת, לא בכל מקרה ראוי שמחזיק יהיה כפוף לחובה אלא על פי הסטנדרטים שנקבעו בסעיפים (3) ו-(4). האם הוא באמת גוף שמצריך, מבחינת המהות של מה שהוא מחזיק, את החובה הזאת ולא אוטומטית כל מחזיק של גוף ציבורי.

יכול להיות מחזיק מאוד מינימליסטי שבאופן אוטומטי תוטל עליו החובה רק בגלל שהוא ספק של רשות ציבורית וזה נראה לנו משהו שהוא מופרז. זה הולך רחוק מידי בהיבט הזה. תודה. זהו מבחינת ההערות שלנו.
היו"ר שמחה רוטמן
תודה. טוב, הרשות להגנת הפרטיות? משרד המשפטים? רחל, רצית לומר עוד משהו?
ד"ר רחל ארידור הרשקוביץ
רחל ארידור הרשקוביץ, המכון הישראלי לדמוקרטיה. אני יודעת שזאת הייתה העמדה שלי בהתחלה אבל אני חושבת שהנושא של הדוגמאות לפני "קנה מידה משמעותי" זאת טעות. הסתכלתי שוב על החקיקה במדינות באירופה והדוגמאות ניתנות שם כאופציה להבהיר מה זה קנה מידה משמעותי ולא כדי להיות כפופות לקנה מידה משמעותי. לכן, אני חושבת שצריך להשאיר אותן - - - צריך להגיד קנה מידה משמעותי ולתת את הדוגמאות של המוסדות.
היו"ר שמחה רוטמן
הבנתי. במקרה כזה אני מקבל את ההערה שצריך להוריד את "חוקר פרטי".
ד"ר רחל ארידור הרשקוביץ
או-קיי, אבל יכול להיות שצריך לשקול מוסדות להשכלה גבוהה, למשל. זה לא קריטי אבל כשאני מסתכלת על הדוגמאות - - -
היו"ר שמחה רוטמן
אם אנחנו כותבים פה "לרבות בנק, חברת ביטוח, מוסד למתן אשראי או בית חולים" אז זה בסדר מבחינתי שזה יהיה גם דוגמה ל-"משמעותי" וזה יחסוך את הדבר הזה כי אני לא מכיר דוגמה של בנק, חברת ביטוח, מוסד למתן אשראי או בית חולים שלא נכנסים גם להיקף המשמעותי. אם אני אכניס חוקר פרטי אז חוקר פרטי קטן לא נכנס לשם ולא כל חוקר פרטי יהיה חייב במינוי DPO.
ראובן אידלמן
ואז הדוגמה לא כפופה לקנה מידה משמעותי.
היו"ר שמחה רוטמן
ואז הדוגמה לא כפופה. היא כן כפופה, היא פשוט לא - - -
ראובן אידלמן
אני חושב שזה עדיף.
קריאה
היא מגלמת בפני עצמה.
איה מרקביץ'
היא פשוט מבטאת את זה.
היו"ר שמחה רוטמן
היא מקיימת את הדוגמה.
ראובן אידלמן
אנחנו תומכים באפשרות הזאת.
היו"ר שמחה רוטמן
או-קיי, בסדר גמור.
ליאור אתגר
אז תמיד יהיו שני קריטריונים, גם עיבוד מידע בעל רגישות מיוחדת וגם בהיקף משמעותי. בסוף, תמיד יש שני קריטריונים.
היו"ר שמחה רוטמן
נכון אבל הדוגמאות הן לשניהם. הדוגמאות הן למקרים שבהם שני התנאים האלה מתקיימים. עוד הערות? אשמח לתשובתכם בנושא "המחזיק". אני נוטה לזה ש-1 צריך לכלול גם "מחזיק" ו-2 לא צריך לכלול "מחזיק".
שירה גרטנברג
זה מקובל עלינו.
היו"ר שמחה רוטמן
אני עדיין חושב שהיה עדיף להפנות למאגר החייב ברישום אבל אני מבין.
קריאה
את זה נעשה במסגרת הנוסח.
היו"ר שמחה רוטמן
אני חי עם זה.
שירה גרטנברג
זה חשוב לנו גם מטעמים של בהירות החובה וגם משום שהחובה של הרישום היא לא משהו שהוא כרוך בחובת מינוי, הרעיון הוא האפיון המהותי של הגופים האלה. לכן, כן ראינו חשיבות בלציין את זה במפורש בחוק.
נעמה מנחמי
(ב) הודעה על מינוי ממונה על הגנת הפרטיות ודרכי התקשרות עמו תישלח לרשות
שירה גרטנברג
רגע, נעמה. לגבי ההצעה החלופית, אנחנו לא הולכים איתה, נכון?
נעמה מנחמי
לא, אני חושבת שהוועדה הורידה אותה.
שירה גרטנברג
בסדר.
קריאה
חילופין לפסקאות.
קריאה
בלי תוספת.
נעמה מנחמי
(ב) הודעה על מינוי ממונה על הגנת הפרטיות ודרכי התקשרות עמו תישלח לרשות בתוך X ימים מיום המינוי.
היו"ר שמחה רוטמן
הערות לעניין הזה?
חמדת קב
עורכת הדין חמדת קב משרד הבריאות. יש לי הערה כללית שנוגעת למינוי ממונה הגנה על הפרטיות. קודם כול, אקדים ואומר שאנחנו מכירים בחשיבות התפקיד של ממונה על הגנת הפרטיות. עם זאת, אנחנו רוצים להציף את נושא התקציב משלוש בחינות.

משרד הבריאות אחראי על מגוון מאגרים שברור שהם נתונים תחת מידע בעל רגישות מיוחדת, היותו של משרד הבריאות מגזרי ואחראי על שלל בתי חולים והיותנו מוקד לפניות של ממונה הגנת פרטיות בבית חולים יכול לפנות אלינו כדי לשאול איך לפרש את הסעיף הזה או הזה, למשל. אני מעלה את זה פה כדי לחשוב על כך.

כשנגיע בהמשך לסעיף הסנקציות אז עצם זה שהרשות מדבררת לפני כן אם היא רואה שהיא לא מרוצה מהמונה שמונה מכל מיני בחינות אז זה מראה על הטלת הוטו והמשמעויות שיש לנו וצריך לתת את הדעת על זה מבחינת תקינה ומבחינת התקציב. אנחנו נשמח להגיע לדיון הבא עם הערכה תקציבית של מה זה אומר עבורנו.
ד"ר רחל ארידור הרשקוביץ
אולי אפשר גם הערכה תקציבית של מה המשמעות של מתקפות סייבר על בתי החולים ודליפת המידע מבתי החולים במקביל?
היו"ר שמחה רוטמן
אני חייב לומר שאני רוצה לקוות שיש לכם היום ממונה על הגנת הפרטיות ואם אין לכם אז יש לנו עלות תקציבית מאוד גדולה בעניין. לגבי ההודעה, היה עוד מישהו שרצה להגיב?
ליאור אתגר
עורך דין ליאור אתגר ממשרד ארדינסט. אני חושב שסעיף ב' מיותר ואני חושב שאין סיבה שארגונים יתחילו לדווח אחד אחרי השני לרשות להגנת הפרטיות על משהו כזה. אם מדובר במאגר מידע רשום אז ניחא, לרשות יש היכרות עם המאגר. אם מדובר בגוף ציבורי אז ניחא, לרשות יש איזשהו אינטרס לעשות פיקוח פנימי אבל כשמדובר בגוף פרטי שמינה DPO זה יכול להיות משהו שפתאום משתנה, קדימה, אחרוה, הסירו את ה-DPO, שינו פעילות, מכרו, עשו מיזוגים ורכישות.

אני לא רואה שיש סיבה לעשות את הדיווח הזה, הוא לא משיג שום דבר וזה בסוף סתם יהיה טופס מסכן או אימייל שיצטרכו לשלוח לרשות, בכל העסקאות יסמנו שלא ביצעו את זה וזה יהיה ב-default. לפחות בעינינו, זה מיותר ולא נדרש.
שירה גרטנברג
אנחנו חושבים שזה כן נדרש. חלק מהתפקידים של הממונה על הגנת הפרטיות זה להיות איש הקשר עם הרשות אז זה הגיוני שהם יצטרכו לדווח על פרטי הקשר איתו.
היו"ר שמחה רוטמן
אבל את לא מתמודדת עם הטענה שאתם בכלל לא מדווחים על קיומו של המאגר אז איך תדעו - - -
עמית יוסוב עמיר
אדוני, עדיין מדובר במאגרים שהם בעצם - - -
נעמה מנחמי
אפשר להפנות למאגרים שחייבים ברישום - - -
שירה גרטנברג
אם חלה חובה למנות DPO אז זה הגיוני להחיל עליהם חובה להודיע גם על פרטי איש הקשר.
היו"ר שמחה רוטמן
לא נכון.
קריאה
למה?
שירה גרטנברג
כי זה חלק מהתפקידים שלו.
היו"ר שמחה רוטמן
חלה עלי חובה לחגור חגורת בטיחות, אני לא חייב להודיע לשוטר שחגרתי חגורת בטיחות.
שירה גרטנברג
אבל חלק מתפקידי ה-DPO - - -
ליאור אתגר
אני אתן לכם דוגמה מהעולם היום, היום צריך לדווח על מחזיקים.
גלעד סממה
אם אנחנו כבר הולכים לפי ה-GDPR אז ההוראה הזאת קיימת גם לפי ה-GDPR. נכון שאנחנו הורדנו את חובת הרישום אבל אנחנו חושבים - - -
היו"ר שמחה רוטמן
שנייה. תעזבו שנייה את חובת הרישום, חברים. זה לא משנה.
גלעד סממה
לא, אני אומר שבעצם יש כאן ארגונים רבים - - -
היו"ר שמחה רוטמן
לא. גלעד, סליחה. פרטי הקשר של הממונה על הגנת הפרטיות – זה סעיף 17ב(2)(ד) – יפורסמו לציבור באופן נגיש ופשוט ויכללו בהודעה לפני סעיף 8(ג)(1). אם זה מאגר רשום אז אתה מקבל עליו דיווח ואם זה מאגר שהוא לא רשום אז יש חובת פרסום לציבור, בכל קיומו של המאגר כשם שהוא מפורסם.

אם אתה, כראש הרשות או עובדיך רוצים לייצור קשר אז כמו שהם יוצרים קשר עם מנהל המאגר, שפרטיו מפורסמים אז הם ייצרו קשר עם הממונה על הגנת הפרטיות שפרטיו מפורסמים. אין שום סיבה בעולם לייצר חובה רגולטורית לשלוח לך עדכון על מאגר.

כל מטרת הרישום הייתה לצמצם רגולציה ועכשיו את אומר לי שאני חייב לשלוח הודעה ואולי גם לוודא את קבלתה אחר כך כי מה זה לשלוח הודעה בלי לוודא קבלה?
קריאה
אסמכתא.
היו"ר שמחה רוטמן
אסמכתא ששלחתי ולתעד ששמרתי. יש חובה לפרסם את המאגר לציבור באופן נגיש וזהו.
דלית בן ישראל
דלית בן ישראל. אולי אפשר להוסיף לפחות רק לגבי המאגרים שיש להם חובת יידעו.
היו"ר שמחה רוטמן
אבל זה מה שאמרנו.
דלית בן ישראל
לא, לא רק הרישום.
קריאה
זה רשום ב-ד.
דלית בן ישראל
גם אלה שצריכים ליידע.
היו"ר שמחה רוטמן
8(ג)(1).
דלית בן ישראל
ואז זה חלק מהיידוע.
היו"ר שמחה רוטמן
8(ג)(1).
קריאה
זה בהמשך.
היו"ר שמחה רוטמן
נכון, לכן הסעיף הזה הוא מיותר.
ליאור אתגר
מערך הסייבר יודע להגיע ל-CISO הארגוני ולא צריך לפרסם את זה בשום מקום ולא צריך לדווח לו מי ה-CISO של הארגון. אם יש אירוע אבטחה אז יודעים לדבר עם הבן אדם.
דלית בן ישראל
זה לא אותו דבר.
היו"ר שמחה רוטמן
אני לא רואה סיבה שיהיה צריך להודיע על ממונה על הגנת הפרטיות ודרכי ההתקשרות עימו לרשות. אם זה מאגר רשום אז כן, אני בהחלט מבין. אם זה מאגר לא רשום אז זה יפורסם כרגיל. אני לא מצליח להבין.

יש אלף חובות רגולטוריות שאני צריך לעשות שאני לא צריך לעדכן אתכם כשאני מבצע אותם. תעשו ביקורת, תמצאו שלא עשיתי אותם, תטילו עלי קנס או לא, תפתחו נגדי בהליכים או לאף כמו באלף חובות רגולטוריות אחרות. למה אני צריך לדווח לכם? אני לא רואה סיבה. אפשר להוריד את זה.
נעמה מנחמי
17ב2 תפקידי הממונה על הגנת הפרטיות.
שירה גרטנברג
מתי נדבר על שאלת העיצום של אי-מינוי שהעלתה גם נועה מהמועצה להגנת הפרטיות?
היו"ר שמחה רוטמן
בהמשך, כשנגיע לאות הזאת.
שירה גרטנברג
בסדר גמור.
נעמה מנחמי
תפקידי הממונה על הגנת הפרטיות
17
ב2
הממונה על הגנת הפרטיות
היו"ר שמחה רוטמן
את זה לא שינינו.
נעמה מנחמי
נכון. האמת היא שלא.
היו"ר שמחה רוטמן
לא צריך להקריא את זה.
איה מרקביץ'
אפשר להעיר על הנוסח הזה הערה לפני שרצים?
היו"ר שמחה רוטמן
לא, אנחנו עברנו על זה כבר.
איה מרקביץ'
על מה? על 17ב2?
היו"ר שמחה רוטמן
כן, אין בזה שום שינוי מהפעם הקודמת.
איה מרקביץ'
אפשר בכל זאת להעיר בבקשה?
היו"ר שמחה רוטמן
הדיון לא יגמר לעולם.
איה מרקביץ'
זה מתקשר לדברים שנידונו וחידדו בדיון שעבר ופה חסרים.
היו"ר שמחה רוטמן
בקצרה ממש.
איה מרקביץ'
כשאנחנו אומרים "הממונה על הגנת הפרטיות יפעל להבטחת קיום ההוראות לפי החוק" ועוצרים בזה אז אנחנו משאירים בחוץ את כל דין המסדיר עיבוד מידע שהארגון שצריך להעריך אם הוא עושה את זה כדין, בסעיפים החדשים שנוספו עכשיו.
היו"ר שמחה רוטמן
"ולקידום השמירה על הפרטיות ואבטחת המידע ובכלל זה" כל מיני דברים. אני לא משאיר שום דבר בחוץ.
איה מרקביץ'
אני חושבת שזה מתקשר לדיונים שהיו פה עם גופים ציבוריים או גופים ביטחוניים – אני שוכחת כבר – שאמרו "רגע, אנחנו אחראיים רק על החוק שאנחנו הממונה בתוך הגוף?" ושאלה דומה יכולה להתעורר גם במגזר פרטי.
היו"ר שמחה רוטמן
אבל כתבנו "קידום השמירה על הפרטיות" וזה מונח מאוד רחב, הוא לא רק לחוק.
איה מרקביץ'
הגנת מידע זה לא - - -
ליאור אתגר
סליחה, אני עדיין סבור ששווה להוסיף נוסף ו' ובו הוראה שאומרת שהדירקטוריון מוסמך להטיל באופן ישיר לממונה דרישה לעריכת מבדק או ביקורת והממונה ידווח. עסקנו בזה בדיונים אוף-ליין ובעייני זה משהו שהוא נידרש, זה נכון לעולמות הציות וזה גם נכון לפה.
היו"ר שמחה רוטמן
"ידווח להנהלת הגוף על ממצאיו, יציע הצעות לתיקון הליקויים, יוודא קיומם של נוהל אבטחת - - -"
קריאה
הנהלה זה לא דירקטוריון.
היו"ר שמחה רוטמן
הנהלה זה גם דירקטוריון. אי-אפשר לרדת לרזולוציות האלה כי יש אלף גופים, חלק מהגופים האלה הם גוף ציבורי ואין להם דירקטוריון. חברים, תפסת מרובה. במקום לשמוח על מה שיש פה אנחנו מתעסקים עכשיו בפיצולי שערות ברגלי הכינים.
ענר רבינוביץ'
בכל זאת, יש לי חידוד ל-17ב2. "על ידי בעל השליטה או המחזיק בו הוא מכהן" כדי שיהיה ברור שה-DPO אחראי על הגוף שבו הוא מכהן כ-DPO ולא על המחזיקים שלו.
היו"ר שמחה רוטמן
לי זה ברור, אפשר להמשיך. אני חושב שהנוסח של החוק מספיק ברור. כישורי הממונה על הגנת הפרטיות, דיווח והראות נוספות, 17ב3. "על בעל השליטה במאגר מידע או מחזיק להבטיח כי".
נעמה מנחמי
יש לי תיקון של זה אבל בסדר.

כישורי הממונה על הגנת הפרטיות והוראות נוספות
17
ב3
1. הממונה על הגנת הפרטיות יהיה בעל הידע והכישורים הנדרשים לביצוע
היו"ר שמחה רוטמן
לא הוספת את המשפט הזה?
נעמה מנחמי
סליחה, תיקנו את זה עוד היום בבוקר. הייתה הצעה להבהיר שבעל השליטה במאגר המידע או המחזיק צריכים להבטיח שמתקיימים הדברים האמורים.
היו"ר שמחה רוטמן
אני לא מבין את זה. הנוסח הוא מצוין. "הממונה על הגנת הפרטיות יהיה בעל הידע והכישורים הנדרשים לביצוע נאות של תפקידיו בגוף, ובכלל זה היכרות מעמיקה עם דיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת מידע".

אם בעל השליטה במאגר המידע או המחזיק יחליט שמשום מה, הוא רוצה למנות את עוזר האינסטלטור לתפקיד אז הוא לא עמד בחובתו כי הוא לא נכנס בדבר הזה. "על בעל השליטה או המחזיק להבטיח כי"? חברים, יש עברית במדינת ישראל. זאת פעם ראשונה שאנחנו מנסחים חקיקה?
ענר רבינוביץ'
הכוונה כאן היא שהחובה הזאת וההפרה לא ייפלו על ה-DPO עצמו.
קריאה
זה ברור שלא.
עמית יוסוב עמיר
אין חשש כזה.
היו"ר שמחה רוטמן
חברים, יש גבול.
ענר רבינוביץ'
יש סיבה שבחקיקות אחרות ניסחו את זה ככה.
קריאה
אנחנו בחקיקה ראשית.
היו"ר שמחה רוטמן
חברים, יש גבול ובאיזשהו שלב אני מאבד סבלנות.
קריאה
אתה צודק.
היו"ר שמחה רוטמן
ממונה צריך להחזיק בכלים האלה. אם מינית ממונה לא מתאים אז אתה לא עמדת בחובת הממונה. אם הממונה לקח תפקיד שהוא לא מתאים לו אז מה אתם רוצים? אין עליו שום חובה אחרת.
ענר רבינוביץ'
כדי שלא הוא יחוב - - -
היו"ר שמחה רוטמן
אבל איפה כתוב שהוא יחוב?
עמית יוסוב עמיר
אין עליו אחריות.
היו"ר שמחה רוטמן
איפה כתוב שהוא יחוב?
ענר רבינוביץ'
כשמדברים על ההפרה - - -
עמית יוסוב עמיר
ההפרה היא של הארגון.
היו"ר שמחה רוטמן
כולם פה ברפואה מתגוננת ואי-אפשר ככה.
נעמה מנחמי
זה קשור לאיך שהנורמה נראית, כשכתוב בעל המאגר או המחזיק אחראים לדברים הבאים - - -
היו"ר שמחה רוטמן
אבל אני לא רוצה לכתוב שבעל המאגר או המחזיק אחראיים. אני רוצה לכתוב שכשאתה ממנה, הוא צריך שיהיו לו שתי ידיים, שתי אוזניים, שתי רגליים ושהוא יהיה בן אדם. זה מה שאני צריך לכתוב, אם אין לו ידיים או רגליים אז זה סימן שלא מינית את מי שאתה צריך למנות. מינית AI.

"בעל השליטה או המחזיק, לפי העניין, יספקו לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי תפקידו באופן נאות ויוודאו שהוא מעורב, כראוי ובזמן, בכל נושא הנוגע לדיני הגנת הפרטיות".
נעמה מנחמי
או לחילופין "לממונה על הגנת הפרטיות יהיו התנאים והמשאבים הדרושים למילוי תפקידו באופן נאות והוא יהיה מעורב" וכולי. השאלה היא אם אתה רוצה - - -
היו"ר שמחה רוטמן
איך זה היה כתוב? "the controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data". או-קיי, אין לי בעיה עם זה.
נעמה מנחמי
בסדר? נסגור את הנוסח כבר.
שירה גרטנברג
מה החלופה שנבחרה?
נעמה מנחמי
לא נבחרה. אנחנו נסגור את זה במסגרת - - -
היו"ר שמחה רוטמן
לא, הראשונה. אף אחד מהם לא מאוד משנים לי.
שירה גרטנברג
מבחינתנו, זה כן חשוב הנוסח של "בעל השליטה או המחזיק יספקו לממונה". דווקא כאן, כמו ב-GDPR זה כן חשוב.
היו"ר שמחה רוטמן
אין בעיה.
ראובן אידלמן
ברשות הוועדה, אנחנו מבקשים לחזור לדיון קצר על השאלה של "כפוף למנהל הכללי" או שתי דרגות מתחת למנהל הכללי.
נעמה מנחמי
שנייה, אנחנו סיימנו את הסעיף הזה?
ראובן אידלמן
זה סעיף קטן (ב), בגלל זה אני מעלה את זה עכשיו. זה נמצא כאן על אף שהטקסט שאנחנו - - -
היו"ר שמחה רוטמן
אני לא מצליח להבין למה מעורבב לי בתוך הטקסט העברית והאנגלית. משהו בנוסח שמול פני הוא מאוד מבולגן.
ראובן אידלמן
מכיוון שאחד הדברים שהטרידו את הוועדה בעניין הזה בדיון הקודם היה שיש DPO חיצוניים ואנחנו מכניסים הוראת כפיפות שעל פניו, היא פחות מתאימה ל-DPO חיצוני אז בהמשך מסמך ההכנה בעמוד 9 את ההצעה שלנו להפריד ולכתוב שאם הוא פנימי הוא יהיה כפוף ואם הוא חיצוני אז הוא ידווח למנהל הכללי. אנחנו בכל זאת רואים חשיבות - - -
גלעד סממה
מה עם סופיות הדיון?
ראובן אידלמן
אנחנו בכל זאת רואים חשיבות מבחינת הבכירות של בעל התפקיד הזה - - -
היו"ר שמחה רוטמן
לא הקשבתי להם ולכן אני גם לא אקשיב לכם.
ראובן אידלמן
וההשלכות של זה על הפרטיות בארגון. בסופו של דבר, אנחנו רוצים שזה יהיה אדם שמקשיבים לו ולעניין הזה, מידת הבכירות שלו - - - אמרנו שזה לא צריך להיות המנכ"ל, זה בכל זאת יכול להיות שתי דרגות מתחת וזה עדיין קבוצה די גדולה של אנשים.
היו"ר שמחה רוטמן
אני לא מתערב במנהל בממשל תאגידי, אני לא מוכן. שמעתי ולא. "הממונה על הגנת הפרטיות ידווח ישירות למנהל הכללי. הייתה לנו סימולציה ממש יפה בדיון הקודם והסברנו למה גם אתה לא כשיר להיות DPO, ראובן. בקיצור, לא.
גלעד סממה
אדוני, יש לזה משמעות גם מבחינת הגופים הציבוריים, אני חושב – כאחד שמכיר קצת – שאנחנו מדברים כאן הרבה על הגופיים הציבוריים ואיך אנחנו רוצים לחזק את הגנת הפרטיות בתוך הגופים הציבוריים - - -
היו"ר שמחה רוטמן
אני מבין אבל המערך שבנוי בגופים ציבוריים הוא כזה שכל השיטה הישראלית קיימת ובנוי על זה – ואם יש לנו אנשים מה-GDPR שצופים בנו אז אני מוכן להגיד את זה גם באנגלית – שיש כפיפות מקצועית לחוד וכפיפות מקצועית לחוד. לצערי, אגב.

אני מאוד הייתי רוצה שהיועצת המשפטית לממשלה תהי כפופה למנכ"ל משרד המשפטים אבל היא לא כפופה לו. מה לעשות? בהיררכיה הארגונית היא מספר שלוש.
גלעד סממה
אדוני לוקח את משרד המשפטים כדוגמה אבל יש עוד - - -
היו"ר שמחה רוטמן
יש עוד הרבה מאוד ארגונים שבהם היועץ המשפטי כפוף מקצועית ליועצת המשפטית לממשלה ולא למנכ"ל הארגון.
גלעד סממה
אדוני, אני מדבר כאן על מצב שיכול להיווצר והוא לא בתאוריה, זה עלול לקרות במגוון רחב מאוד של גופים אם ימנו גורם שהוא זוטר - - -
היו"ר שמחה רוטמן
אתה יודע מה?
גלעד סממה
גם אם הוא ידווח - - -
היו"ר שמחה רוטמן
אני מבין את מה שאתה אומר אבל אתה יודע מה הכלים שלך להתמודד עם רשות ציבורית?
גלעד סממה
אדוני, גם אם הוא ידווח למנכ"ל זה לא הקשב שאנחנו מצפים ש-DPO יקבל.
היו"ר שמחה רוטמן
אם אתה רוצה לקבוע תנאי כפיפות בגוף ציבורי אז תוציא הנחייה של ראש הרשות וחזקה על הרשויות הציבורית שיפעלו בהתאם לדין. אני אומר לך שאני לא רואה סיבה להתערב לגופים בשאלה של מי כפוף למי.

הסברתי את הדוגמה ולא סתם הבאתי את הדוגמה של משרד המשפטים. יש עוד הרבה מאוד גופים שאני מכיר ולא מכיר ואני חושב שלפעמים, בגופים מסוימים, הכפיפות הארגונית של ה-DPO באמת תתאים להיות ייעוץ המשפטי כי יש בו אלמנטים של ייעוץ משפטי ואז ממילא, הוא מתחיל אוטומטית במקום ארבע או חמש בארגון אבל אני רוצה שהוא יהיה בעל מעמד לדווח.

בשנייה שאני קובע את מעמד הדיווח שלו אז זה אומר שבדברים שקשורים לתפקידו, הוא עוקף את כל השרשרת הארגונית והוא דופק ישירות על דלתו של המנכ"ל והמנכ"ל לא אומר לו "אדוני, מה אתה עושה פה? בוא אלי דרך הבוס שלך" כי כתוב שהוא ידווח ישירות למנכ"ל.
ראובן אידלמן
השאלה היא כמה זה יקרה בפועל.
גלעד סממה
זה לא יקרה בפועל, אדוני. מזה אנחנו מוטרדים.
ראובן אידלמן
עובדתית, אנשים לא כל כך הולכים מעל לבוס שלהם גם אם כתוב שהם יכולים וזה החשש שלנו, אני אומר את זה בכנות.
גלעד סממה
זה מנגנון חדשני וזה מנגנון שהוא חשוב וכפי שכולם כאן - - -
היו"ר שמחה רוטמן
אני לא יכול להתערב, אתה מבין? ולו רק בגלל העלות התקציבית. אתה יודע מה זה אומר דרגות בכירות? עזוב, אני לא יכול להתערב בזה. בייחוד לא כשזה יכול לייצר הטיה לגורם חיצוני וגורם חיצוני הוא עוד יותר נמוך בשרשרת המזון כי בסופו של דבר, הוא מתקשר מול ספק ההתקשרויות שלו.

ניסת פעם להיות גורם חיצוני שמנסה למשוך תשומת לב של מנכ"ל במשרד ממשלתי? לא, זה לא עובד ככה. עליו יש תנאים ועליו אין תנאים אז אני דווקא מעדיף שהוא יהיה in the house. זה לא מתאים. הדיווח הישר הוא דיווח ישיר וכל עובד יעשה לעצמו את שלו. בנהלים שלכם, אתם יכולים למתוח על זה ביקורת בתוך ביקורת כשתעשו ביקורת על גוף ציבורי מסוים ואתם יכולים לבוא ולהגיד "מובהר שפלוני אלמוני" - - - זה גם איש הקשר שלכם, הוא יבכה לכם. דווקא בשירות המדינה הוא יבכה לכם ויגיד לכם שלא מקשיבים לו ואז אתה תעלה לדפוק על השולחן, אני בטוח. אתה לא מתבייש.
גלעד סממה
הבעיה היא שדיווח זה לא מספיק כדי להניע תהליכים לעומת בכירות אדמיניסטרטיבית היררכית מאפשרת להניע תהליכים.
היו"ר שמחה רוטמן
הלוואי והיה לי שקל על כל שר שמתלונן שהוא לא מצליח להניע תהליכים במשרד שלו.
דלית בן ישראל
דלית בן ישראל, עורכת דין. יש לי הצעה בעניין הזה. אני חושבת שהרשות משקפת פה אלה בעיות שאני גם שומעת מהשטח מ-DPO שאומרים – תכף אנחנו נגיע לסעיף של תפקידי ה-DPO – שאין להם סמכות - - -
היו"ר שמחה רוטמן
לא, אנחנו לא נגיע תכף לסעיף של תפקדי ה-DPO. אנחנו סיימנו מזמן את הסעיף של התפקידים.
דלית בן ישראל
אני מסכימה, אני רק אומרת שבשרשור של הסעיפים או בסעיף הבא, הרבה פעמים יש קושי ל-DPO להפעיל סמכויות בארגון כי הוא בעצם מפקח על עולמות תוכן שהן לא בהכרח בכפיפות אליו. אולי הפתרון לזה יכול להיות להוסיף בסעיף ד' גם "סמכויות" באופן מפורש או משהו מהסוג הזה, מעבר ל-"תנאים ומשאבים" כי בפועל, מה שיוצא בהרבה מצבים - - -
היו"ר שמחה רוטמן
בסדר, "את התנאים, משאבים והסמכויות".
דלית בן ישראל
לא יודעת אם זה עוזר אבל - - -
איה מרקביץ'
אפשר להתנגד? סליחה, אני מבינה את הקונספט אבל סמכויות זה ניגוד עניינים.
היו"ר שמחה רוטמן
לא.
דלית בן ישראל
לא, זה סמכות להגיד לאנשים לעשות משהו.
היו"ר שמחה רוטמן
הסמכויות הדרושות למילוי תפקידו.
נעמה מנחמי
רגע, איך זה כתוב ב-GDPR?
איה מרקביץ'
איפה את מעבירה את הגבול בין סמכות? להגיד למישהו להראות איך הוא מעבד את המידע זה דבר אחד אבל שאתה תעשה את זה - - -
דלית בן ישראל
הוא אחראי לענות ל-data subject request והוא לא עובד ב-IT אז הוא לא יכול לשלוף את המידע שצריך מהמערכות בשביל למחוק, הוא צריך שתהיה לו סמכות להורות לאנשים שלא כפופים אליו לעשות את הדברים. זו בעיה פרקטית שהרבה מאוד DPO נתקלים בה.
היו"ר שמחה רוטמן
לא, זה משהו אחר.
דלית בן ישראל
אין לו סמכות להורות לאנשים לעשות משהו.
היו"ר שמחה רוטמן
לא, אז אני חוזר בי. אני חשבתי שאת מתכוונת למשהו אחר, אם זאת הכוונה שלך בסמכות אז אני לא מכניס. אני התכוונתי למשהו אחר. תקשיבו, אני לא נוגע בנוסח. די, חאלס. סופיות הדיון, כבודה במקומה מונח ולא נפגע בה. הדיווח הישיר הוא הדיווח הישיר וגלעד, לגבי הבעיות שהצגת, אני בטוח שאתה תשמח עכשיו כשאנחנו נקרא את סעיף ו'.



(ו) מצא ראש הרשות כי לממונה על הגנת הפרטיות שמונה לפי סעיף ב1(א)(1) לא ניתנו התנאים והמשאבים הדרושים למילוי תפקידו באופן נאות או כי לא היה מעורב, כראוי ובזמן, בכל נושא הנוגע לדיני הגנת הפרטיות בניגוד לאמור בסעיף קטן (ה) או שאינו בעל הידע - - - או שמילא תפקיד נוסף או היה כפוף לנושא משרה בגוף באופן אשר



שים לב.


היה עלול להעמידו בניגוד עניינים בניגוד לאמור בסעיף קטן (ה) רשאי הוא להודיע לבעל השליטה או למחזיק הנוגע בדבר שמעשיהם מהווים הפרה ולהורות להם על הדרך בה עליהם לתקן את הליקוי.
נעמה מנחמי
דילגנו על התיקון ב-(ד).
היו"ר שמחה רוטמן
לא דילגנו על כלום, קראתי את (ו). את התיקון ב-(ד) קראנו וגם סיכמנו אותו. להלן היכולת שלך לבוא ולהגיד "רבותי, זה שאתם שמת את הממונה על הגנת הפרטיות במשרד שלכם בקומת המרתף עם שלושה מנעולים שנועלים אותו, מפריע לו לעשות את תפקידו ואני כממונה מתערב לכם.
שירה גרטנברג
בהמשך לדברי אדוני, אין סיבה להגביל את "מצא ראש הרשות כי לממונה על הגנת הפרטיות" רק לממונים לפי סעיפים קטנים (1) ו-(2) אלא לפי כל החלופות בסעיף 17ב.
קריאה
אכן, אדוני.
היו"ר שמחה רוטמן
אמת.
ראובן אידלמן
זה יכול גם על המגזר הפרטי, כמובן. זה סעיף שצריך לחול על כל הגופים.
נעמה מנחמי
אני רוצה להבהיר שכן הייתה החלטה של הוועדה. הוועדה כמובן יכולה לשנות את ההחלטה אבל הייתה החלטה של הוועדה בנושא הזה והיא להחיל את העיצומים הכספיים.
היו"ר שמחה רוטמן
אני לא דיברתי על העיצומים הכספיים כרגע.
שירה גרטנברג
שנייה, הנושא הזה עדיין - - -
היו"ר שמחה רוטמן
חברים, אנחנו לא בעיצומים כספיים. די, כולם פה ברפואה מתגוננת. יש כאן דברים שהולכים מתחת לפני השטח שאני לא מודע אליהם. אני לא בסעיף של עיצומים כספיים, אני עכשיו בסעיף שבה ראש הרשות עושה ביקורת בגוף או מוצא בכל דרך אחרת שלממונה אין את היכולת לעשות את העבודה שלו ומתריע בפני בעל השליטה.

האם "שמעשיו מהווים הפרה ולהורות להם על הדרך בה עליהם לתקן את הליקוי" זה הפרה של החוק ולתקן את הליקוי זה לתקן את הליקוי? האם יש בצד זה עיצום כספי, קנס מנהלי, פלילי או אזרחי? זה עניין אחר.
שירה גרטנברג
בסדר.
היו"ר שמחה רוטמן
עכשיו עיצום כספי.
ליאור אתגר
זה בכוונה צריך להיות (1) עד (2)?
היו"ר שמחה רוטמן
לא, אמרנו שכל ממונה על הגנת הפרטיות.
ליאור אתגר
לא, כי זה (1) עד (2).
היו"ר שמחה רוטמן
לא, זה תוקן והובהר.
נעמה מנחמי
לגבי העיצום הכספי, אנחנו עדיין לא עברנו על המודל של העיצום הכספי ואנחנו לא נעשה את זה עכשיו.
קריאה
המודל החדש.
נעמה מנחמי
המודל החדש שקיבלנו לפני שבוע בערך של עיצום כספי.
היו"ר שמחה רוטמן
אני כן אגיד עוד לפני הפרק ואולי זה יחסוך לנו את זמן הדיון בעיצום הכספי. אני חושב שכשם שבאנו והחלנו עיצומים כספיים על דברים שהם בתוקף כבר זמן מה ויש לנו ידע ויכולת להבין איך הם מתפקדים ואיך הם קיימים – עשינו חלק מהדברים בשינויים אבל לא יצרנו משהו וישר נתנו לו את העיצום הכספי – ומאחר ואנחנו גנבנו את כל נושא ה-DPO מתיקון 15 אז אני אומר שנראה איך הוא עובד.

כן תהיה לו רלוונטיות. פעם אחת תהיה לו רלוונטיות בהפרה של הדין הכללי שמסדיר עיבוד מידע. כלומר, בסופו של דבר תוכלו לשאוב ואם תבואו ותגידו שלא מונה אז הופר החוק ויש לכם את ההפרות הרגילות אבל מעבר להפרות הרגילות - - -
נעמה מנחמי
אני לא בטוחה שזה ככה.
היו"ר שמחה רוטמן
שנייה, רק רגע. תכף נדבר על זה. אני חושב שזה יהיה בניגוד לדין אם לא מונה DPO. זה יכול להיות עיבוד בניגוד לדין.
איה מרקביץ'
זאת לא הכוונה.
היו"ר שמחה רוטמן
שנייה, רק רגע. אני לא בטוח שזאת הדרך - - -
איה מרקביץ'
או-קיי, סליחה.
נעמה מנחמי
אפשר לא לקבוע.
היו"ר שמחה רוטמן
זה היה המבוא, רק רגע. אני חושב שהדרך שהיא דווקא יותר מתאימה זה שאם אתם חושבים ש-8א(1) של עיבוד בניגוד לדין לעניין צו הפסקת העיבוד - - - זאת אומרת, לא לעיצום כספי אלא להגיד "אדוני, אתה מעבד מידע בניגוד לחוק". בן אדם הפר את הוראות החוק, אז הוא הפר את הוראות החוק אבל אם אתם חושבים שזה עד כדי כך שהוא מעבד בניגוד לדין – ובאמת קבענו שבניגוד לדין זה רחב, זה כל דין המסדיר עיבוד מידע ו-DPO הוא אחד מהדינים המסדירים עיבוד מידע – אז תוכלו - - -

אני לא מדבר כרגע על אם זה יהיה מספיק לעיצום כספי וצריך לדבר על זה אבל אתם תשתמשו ואני בטוח שתשתמשו בזה במסורה, למה צריך עיצום כספי?
עמית יוסוב עמיר
מבחינת הנוסח, כתוב שם בתמצית "עיבוד מידע" אבל הנוסח של הסעיף המלא הוא קצת שונה. "בעל שליטה במאגר מידע לא יעבד מידע במאגר מידע ולא ירשה לאחר לעבד עבורו אם המידע האישי הכלול בו נוצר, התקבל, נצבר או נאסף בניגוד לחוק זה", וזה ממשיך.
היו"ר שמחה רוטמן
אם כבר, אז אולי זה יותר ב-17.
איה מרקביץ'
אין לך סעיפים בחוק שאני מכירה שהעיבוד של החוקיות שלו מותנית במינוי DPO.
היו"ר שמחה רוטמן
כן, נכון. בסדר, אני אומר שכרגע נעשה את זה כחובה ללא עיצום כספי בצידה כי אנחנו מייצרים פה חובה חדשה.
שירה גרטנברג
ההצעה שלנו היא לא עיצום כספי ישיר, ביחס לחלופות שהוספנו לפני ה-GDPR, אלא עיצום דו שלבי. כחלק מתורת העיצומים בטח אם יש פה הוראות שכוללות רקמה פתוחה, אנחנו מבינים שצריך בעניין הזה איזושהי הודעה.
היו"ר שמחה רוטמן
זה לא בשל לי, אני אומר לכם את האמת.
שירה גרטנברג
ראש הרשות מודיע לגוף שעכשיו המעשים שלו מהווים הפרה והוא צריך למנות DPO.
היו"ר שמחה רוטמן
אז אני אומר "לאלה שחייבים ברישום". אני לא מרחיב את זה לכולם, רק לאלה החייבים ברישום.
שירה גרטנברג
אנחנו חושבים שדווקא בחובה מהסוג הזה שהיא חובה מאוד חשובה אז לא לכלול בצידה איזשהו כלי אכיפתי - - -
היו"ר שמחה רוטמן
היא כל כך חשובה שבכלל לא הכנסתם אותה לחוק הפעם.
שירה גרטנברג
אבל זה בעצם חלק בלתי נפרד מההצעה.
היו"ר שמחה רוטמן
זה חלק בלתי נפרד עד כדי כך שלא הכנסתם אותו לחוק, עד כדי כך שאתם הבאתם לי את תיקון 14 בלעדיו.
שירה גרטנברג
ההסדר הזה הובא על רקע הרצון של הוועדה לבטל את האחריות האישית של מנהל מאגר ועל הרקע הזה, אנחנו חושבים שצריך להכניס את הסדר - - -
היו"ר שמחה רוטמן
בסדר, אז תחזירו את האחריות האישית למנהל מאגר. נו, באמת. זה בכלל לא מתכתב אחד עם השני.
ראובן אידלמן
לגבי הגופים החייבים ברישום, מה שאדוני מציע זה עיצום כספי ישיר, אני מניח. זאת אומרת, מינה או לא מינה, נכון?
היו"ר שמחה רוטמן
כן.
ראובן אידלמן
כי עד עכשיו אנחנו דיברנו על דו-שלבי.
היו"ר שמחה רוטמן
כן. על גופים החייבים ברישום אין לי בעיה. לא מונה, נקודה. זה clear cut וזה ברור. בכל המקרים האחרים עצם הצורך לא ברור עדיין, לא ברורים בדיוק התפקידים והאם הוא מתאים או לא מתאים. ל-1 ו-2 אין לי בעיה.
שירה גרטנברג
הצעת היו"ר זה להוסיף את זה בכל מקרה לצו הפסקת עיבוד?
היו"ר שמחה רוטמן
תכף נדבר על צו הפסקת עיבוד - - -
נעמה מנחמי
צו הפסקת עיבוד זה פשוט לא מתאים.
היו"ר שמחה רוטמן
אם הוא מתאים או לא מתאים אבל לכאורה, בצו הפסקת עיבוד אני קיבלתי את ההערה של נעמה. אני לא חושב שזה מדויק להכניס אותו שם אבל אני כן חושב שאפשר ב-1 ו-2. ב-3 אני חושב שזה על האם מינית או לא מינית ולא על עוד פרטים. לגבי השאר כמו הציבור הרחב, בואו נראה איך מתמודדים עם החובה הזאת ואיך היא נאכפת.

אני כן חושב שלקבוע שמאגר פועל בניגוד לדין גם בגלל שהוא לא מינה DPO, חושף אותו להרבה מאוד דברים ויכול להיות שכדאי להוסיף את זה לתביעת האישית כשאנחנו מדברים בגופים פרטיים ולא לעיצומים.
שירה גרטנברג
יש עם זה קושי כי בתביעות אזרחיות יכול להתעורר קושי עם להוכיח קשר סיבתי בין זה שלא מינית DPO לבין הנזק שנגרם בסופו של יום.
היו"ר שמחה רוטמן
לא, בתביעות אישיות עשינו דברים ללא הוכחת נזק, בחוק לפחות.
שירה גרטנברג
לא אבל זה לא שם.
היו"ר שמחה רוטמן
אני לא יודע.
נעמה מנחמי
כמו שעשינו אי-קיום חובת רישום. תאורטית, אפשר.
היו"ר שמחה רוטמן
שנייה, אני עוד לא בפתרונות. אני קודם כול אומר מה גבולות הגזרה שלי, אני לא מייצר חובה חדשה, לא ברורה ועמומה. אני אומר את מה שבקלפים לפני שנפתח אלף דיונים. אני רציתי לייצר פה משהו שהוא רקמה פתוחה יחסית, יחסית עמו ויחסית דומה למה שנהוג בעולם אבל שאין לשוק הישראלי ניסיון איתו, בטח לא עם ניסיון חובה. לייצר לזה כבר בשלב א' את העיצום הכספי והעונש זה נראה לי מוגזם ולכן אני לא רוצה לעשות את זה.
גלעד סממה
אדוני, למה לא ללכת לדו-שלבי? מתוך ניסיון, כשאנחנו מייצרים את החובה הזאת ולצידה אין כלום בעצם אז - - -
היו"ר שמחה רוטמן
אתה רוצה דו-שלבי לעניין מינוי או לא מינוי?
גלעד סממה
כן, אדוני.
איה מרקביץ'
כן.
קריאה
אחרת לא יהיה מינוי.
גלעד סממה
אחרת לא ימנו.
קריאה
רק לגבי זה.
היו"ר שמחה רוטמן
אבל רק לגבי אם מינו או לא מינו, לא תנאי כשירות ולא כשמעשיו מהווים הפרה של "לא היה מעורב כראוי ובזמן". זה יורד לרזולוציות ממש קטנות.
גלעד סממה
בסדר, אדוני. אבל עדיין צריך שיהיה משהו לצד הדבר הזה כי בסופו של דבר, אנחנו רוצים שהמנגנון הזה באמת ייכנס לשוק.
היו"ר שמחה רוטמן
זה נראה לי - - -
קריאה
אם מינית משהו לא ראוי?
איה מרקביץ'
עזוב, זה נכנס בפנים.
ענר רבינוביץ'
חשוב לומר שברוב הפעמים, 3 ו-4 אלה מקרים יותר קשים מ-1 ו-2.
היו"ר שמחה רוטמן
אני מסכים.
ענר רבינוביץ'
לכן - - -
היו"ר שמחה רוטמן
אני מסכים. טוב, בסדר. אנחנו נעשה את זה על מינוי או לא מינוי.
גלעד סממה
אדוני, מה שאנחנו מציעים ל-1 ו-2 זה אולי ללכת לעיצום ישיר ול-3 ו-4 ללכת לדו-שלבי.
נעמה מנחמי
רק לגבי המינוי.
גלעד סממה
כן, לגבי המינוי.
ד"ר רחל ארידור הרשקוביץ
רחל ארידור הרשקוביץ מהמכון הישראלי לדמוקרטיה. אני מסכימה שזו חובה חשובה והטלת עיצום דו-שלבי בצידה נשמע כמו משהו נכון אבל מצד שני, אני חייבת לציין פה את כל הדברים שהאחרים שלא הסכמתם להכניס לתיקון הנוכחי והם דברים שהם חשובים להגנת הפרטיות כמו למדינה.

קצת קשה לי עם זה שהרשות ומשרד המשפטים מקבלים את הדרישות שלהם אבל לא מתקנים את חובת ההודעה ולא מכניסים בסיסיים ואני גם לא רואה מה יהיה האינטרס שלכם להביא אי-פעם את תיקון 15 כי קיבלתם עיצומים, הכול טוב והסמכות שלכם מלאה. אני מאוד מוטרדת.
לירון מאוטנר לוגסי
לענות?
היו"ר שמחה רוטמן
כדאי.
לירון מאוטנר לוגסי
לירון מאוטנר, משרד המשפטים.
היו"ר שמחה רוטמן
זאת באמת שאלה במקומה.
לירון מאוטנר לוגסי
אני לא חושבת שצריך לחשוד בממשלה שמרגע שהיא קיבלה את העיצומים אז תחום הגנת הפרטיות שעליה היא אמונה לא חשוב לה והיא לא רוצה לקדם אותו כשאמרנו כאן עשרות פעמים שאנחנו - - -
היו"ר שמחה רוטמן
זאת לא הטענה. אני אחדד את השאלה ואהפוך אותה לשאלה היו"ר. תחום הגנת הפרטיות מאוד חשוב לאנשים שיושבים פה מסביב לשולחן מכל צדדי השולחן, אין פה שאלה ואין פה ויכוח אבל יש תפיסות שונות לגבי איך מגנים בצורה הכי טובה על הפרטיות.

עד היום, התפיסה של מדינת ישראל, הרשות להגנת הפרטיות, משרד המשפטים ועוד הייתה שהדרך הכי טובה לשמור על הגנת הפרטיות זה לתת את כל הכוח, הרגולציה ואת ההחלטה לגבי מה נכון ומה לא נכון לידיים של הרשות להגנת הפרטיות, שיכולה להתערב בשלב רישום המאגר ובעוד שלבים אחרים, יש לה כלי אכיפה ובסופו של דבר, היא הבוס.

זאת אומרת, אם אתה רוצה לדעת אם משהו פוגע או לא פוגע בפרטיות במדינת ישראל אז יש לך דרך בטוחה אחת ויחידה וזה לשאול את גלעד. זה היה מה שנקרא "תביא ונראה". עד היום זאת הייתה הגישה, אנחנו היום משנים אותה וטוב שכך. אנחנו עוברים מ-"תביא ונראה" לניסיון. הורדנו את חובת הרישום ויצרנו כל מיני מנגנונים.

אחד מהדברים המרכזיים שאמור להוריד מ-"תביא ונראה" זה מה שמכונה בסיסי עיבוד ורקמה יותר פתוחה. כאשר הגזר הוא רקמה פתוחה והמקל הוא כלים, סנקציות, צווים מצווים שונים ועיצומים כספיים אז השאלה שבהחלט במקומה היא האם התחום של בסיסי עיבוד, שהוא הגזר, לעולם לא יהיה בגלל שאת כל המקלות כבר קיבלתם לידיים שלכם. זאת שאלה לגיטימית, היא לא שאלה מופרכת.
לירון מאוטנר לוגסי
אני רק רוצה להגיד משהו שאמרנו כבר מספר פעמים. הנושא של בסיסי עיבוד לא בהכרח יוצר וודאות, גם הוא מוסיף את העמימות.
היו"ר שמחה רוטמן
כן, רק שהעמימות פה היא לטובת השוק.
לירון מאוטנר לוגסי
לא בהכרח.
היו"ר שמחה רוטמן
בהקשר הזה, כן.
לירון מאוטנר לוגסי
לא בהכרח.
היו"ר שמחה רוטמן
בוודאי שכן.
לירון מאוטנר לוגסי
ה-GDPR מגיע עם כל הסלים וכל הגזרים באים יחד עם מקלות נוספים שבכלל לא נכנסו פה.
היו"ר שמחה רוטמן
איזה מקלות יש ב-GDPR שלא קיבלתם פה?
עמית יוסוב עמיר
אני אסביר.
לירון מאוטנר לוגסי
למשל, החובה לעשות תסקיר להערכת סיכונים.
קריאה
זה לא מקל.
לירון מאוטנר לוגסי
למשל, כל מה שקשור לזכויות של נושאי מידע שקשור לתיקון של מידע והזכות להתנגד לעיבוד מידע.
היו"ר שמחה רוטמן
כן, את לא בצד שלהם. את המדינה, את המפר הגדול. את לא בצד שלהם, בלי לפגוע. את המפר הגדול באירוע הזה. זאת אומרת, זה גזר לאזרחים ולך זה מקל גדול מאוד כי אם יש זכויות נושאי מידע אז מי שישלם את החשבון השמן ביותר שם זאת את כי את המדינה.

זה לא לגוגל, גוגל עומדת בזה כבר בכל מקרה בגלל ה-GDPR או מסיבות אחרות ורק בישראל אולי לא אבל מי שייחשף לראשונה לצורך לענות על השאלה "למה אתם מחזיקים עלי את המידע הזה" או "תמחקו אותו" זאת את. את המפר הגדול והכוח לתיקון 15 הוא אצלך ולכן החשש הזה או חשש במקומו, הוא לא חשש מופרך.
לירון מאוטנר לוגסי
אף על פי כן ולמרות מה שאתה אומר עכשיו, עדיין הונחה טיוטת תזכיר שעבדו עליה גורמי המקצוע שחשבו שהדבר הנכון הוא לקדם את הנושא הזה.
היו"ר שמחה רוטמן
בסדר.
ד"ר רחל ארידור הרשקוביץ
אולי נעשה תחולה נדחית עד הגשת התזכיר.
היו"ר שמחה רוטמן
התזכיר כבר הוגש.
גלעד סממה
אדוני, אני רוצה להגיד עוד משהו.
ד"ר רחל ארידור הרשקוביץ
לעיצום, התזכיר לא פורסם.
היו"ר שמחה רוטמן
לא, הוא נמצא אצל השר.
קריאה
תזכיר 15 לא פורסם.
היו"ר שמחה רוטמן
לא בגלל גורמי המקצוע, בסדר? גורמי המקצוע הביאו את הנוסח שלהם לפרסום, נכון?
קריאה
כן.
היו"ר שמחה רוטמן
בסדר, על זה אני לא בא אליהם בטענה.
גלעד סממה
אדוני, אני רוצה להגיד עוד משהו כי אני חושב שהמוטיבציה לא לפרסם ולא לקדם היא לא ממש נכונה כי אנחנו צריכים גם להסתכל מה קורה מעבר לגבולות מדינת ישראל. אנחנו לא נוכל להחזיק את הפעילויות הבין לאומיות שלנו – אנחנו מדברים על Adequacyועל דברים אחרים – בלי שאנחנו גם מקדמים את הסוגיות האחרות כמו זכויות נושאי המידע.

בסיסי עיבוד זה דבר אחד אבל אני מדבר על זכויות נושאי המידע שכלולות בתיקון 15 שהן המקבילות גם לדינים אחרים. אנחנו נאבד את המעמד הבין לאומי שלנו וזה מעמד שאנחנו עסקנו בו עכשיו המון כדי לקדם אותם. זה שאנחנו מקדמים את תיקון 14 לא אומר שאנחנו צריכים לעצור אלא להפך. המדינה והממשלה יודעות שהסדרים רבים בתוך תיקון 15 מחויבים נוכח ההתפתחויות הבין לאומיות שלנו.
היו"ר שמחה רוטמן
טוב, בסדר. זה היה נכון לתיקון מספר 14 - - -
גלעד סממה
זה עדיין נכון מאוד.
היו"ר שמחה רוטמן
זה היה נכון ועדיין נכון, זה עדיין תיקון מספר 14, אנחנו נמצאים בשנת 2024. הכול נכון ועדיין, החשש הוא במקומו. סליחה שאני אומר אבל אי-אפשר לבוא ולהיעלב. אפשר להיעלב כשחושדים בי שאני חולך לרצוח מישהו כשמעולם לא רצחתי אף אחד אבל אם אני ג'ק המרטש, אני לא יכול להיעלב. אני לא משווה חלילה אבל מ-2009 עד 2024 תיקון מספר 14 לא קודם אז כשאומרים "אולי בטעות תהיה גרירת רגליים ולא יקודם חוק", זה לא חשד כל כך מופרך.
לירון מאוטנר לוגסי
שנים רבות זה לא קודם בגלל הכנסת.
קריאה
אם תהיה רציפות פרלמנטרית - - -
היו"ר שמחה רוטמן
טוב, אז בואו נדאג שלא תהיה רציפות. כולם אשמים ובסופו של דבר, השוק סובל. אני יכול להגיד שלפחות החלק הזה בכנסת עשה הכול כדי שהוא יקודם כמה שיותר מהר. בסדר, אני בכל זאת אומר שהנושא של עיצום על 3 ו-4 עדיין מונח פה על השולחן.

החשש שעלה הוא גם חשש והוא חשש נכון. הדו-שלבי מצמצם במקצת את החשש אבל לא לגמרי. האכיפה על גופים ציבוריים ועל data brokers פחות מטרידה אותי כי הם בכל מקרה חייבים ברישום ובכל מקרה הם מכינים את הדיווח אז זה לא מדאיג אותי.

לגבי 3 ו-4, ככול שמדובר בגופים שהם ברגולציה אז יש עליהם את הרגולטור שלהם שיושב עליהם גם ככה. עמדיה בחובות הדין זה אלף בית של רגולציה ולכן אני פחות דואג לכל הגופים המפוקחים. אני דואג לגופים הקטנים שהם לא מפוקחים. אם מחר בבוקר תצא הנחייה שישללו את הרישיון של חברת כרטיסי אשראי, זה איום קצת יותר גדול מהעיצום הכספי שאתה מטיל עליהם אז אתה לא באמת צריך את זה בשביל ה-compliance כי עמידה בתנאי הדין זה אלף בית של רגולציה. החשש הוא יותר על הגופים הקטנים.

לפחות בשלב הנוכחי, אני מבקש שנשאיר את זה בלי עיצום כספי. אני לא נועל את הדלת ואולי נסגור את זה לקראת הסוף אבל כרגע נשאיר את זה בלי עיצום כספי. כמו שאמרתי, השוט הרגולטורי הרגיל שקיים עליהם הוא מספיק ורוב הגופים האלה הם גופים שמפוקחים בהקשר אחר.
ענר רבינוביץ'
זה לא נכון, אדוני.
היו"ר שמחה רוטמן
מה לא נכון?
ענר רבינוביץ'
שרוב הגופים שנכנסים ב-3 ו-4 הם גופים מפוקחים.
היו"ר שמחה רוטמן
אני אשמח שתביא לי דוגמאות.
ענר רבינוביץ'
תעשיית ההייטק בתחומים שהם לא שירותי תשלום.
היו"ר שמחה רוטמן
ולא תיירות, ולא הגנת הצרכן ולא ולא - - - חלק גדול מהגופים האלה בכל מקרה יהיו חשופים כי הם בין לאומיים. יש להם DPO כי הם בין לאומיים לכן, עצם חובת מינוי ה-DPO לא באמת נזקקת ואני חושב שמה שאנחנו יוצרים פה זאת חובה חקוקה. החשיפה שלהם במקרה של זליגת מידע כלשהי, תהיה הפרת חובה חקוקה קלאסית כי הם לא מינו DPO וה-DPO נועד לשפר את ההגנה על המידע, זאת המטרה שלמה נחקק ה-DPO.

לכן מעצם קביעת החובה הזאת, בנוסף למקרים של תביעות ייצוגיות שיכולות להיות אחר כך של הפרת חובה חקוקה שנועדה להגן על אנשים והפרת סטנדרט הרשלנות, החשיפה האזרחית במקרה הזה היא מספיק גדולה. בשלב הזה, אני לא מת על הרעיון לייצר חובה רגולטורית חדשה עם סנקציות בצידה בעת ובעונה אחת עם תיקון חוק.
גלעד סממה
בסדר. הייתה תחושה שכבר התקדמנו לדברים אחרים.
היו"ר שמחה רוטמן
אני יודע, פתחנו כאן כבר כמה דברים של סופיות דיון ופה סופיות הדיון הייתה לפני כמה דקות ולא שלושה דיונים אחורה.
דלית בן ישראל
אפשר לתת את הזוויות של איך אני חושבת שהשוק יתייחס לזה. כשיראו שיש עיצום לגבי גופים מסוימים ואין עיצום לגבי אחרים, ההתייחסות והציות יהיו בהתאם. אנחנו רואים את זה גם היום כשפונים אלינו גם גופים מחו"ל ושואלים "מה קורה אם אני לא עומד".
היו"ר שמחה רוטמן
תקשיבו, אתם דוחפים אותי לכיוון של להוריד את ה-DPO לגמרי, שיהיה ברור.
דלית בן ישראל
אני רק אומרת שהפוקוס יהיה על דברים אחרים שעלים יש עיצום. בתיעדוף של ארגון זה יהיה בסוף.
היו"ר שמחה רוטמן
אני חולק עלייך כי הגופים האלה מנהלים סיכונים והם ידעו שבשנייה שהם הפרו הוראת חוק, הם אוטומטית פתחו את עצמם להפרת חובה חקוקה, בכל מקרה של דלף מידע, מה שלא היה עד עכשיו.
קריאה
זה לא קשור לדלף מידע.
היו"ר שמחה רוטמן
לעומת זאת, הגופים ב-א' וב' הם גופים שאין עליהם הפרת חובה חקוקה – דווקא א' יותר – ומאוד יהיה קשה לעשות איתם עבודה כזאת. אלו גופים ציבוריים וחזקים.
דלית בן ישראל
אני לא חולקת על זה שצריך לא' ו-ב' אבל אני חושבת שהמינימום של הדו-שלבי ואי-מינוי הוא חשוב לגופים הפרטיים.
היו"ר שמחה רוטמן
יכול מאוד להיות.
דלית בן ישראל
אני אגיד עוד משהו. האמירה שאומרת שגוף ישראלי שחייב חובת מינוי ב-GDPR כבר ממילא יש לו, זה לא בהכרח מדויק כי בחלק מהארגונים זה DPO רק לפעילות האירופאית, הוא לא DPO שמנהל את הפעילות הישראלית.
היו"ר שמחה רוטמן
בסדר.
דלית בן ישראל
צריך לקחת גם את זה בחשבון, זו לא תשובה לעניין הזה.
לירון מאוטנר
אפשר להציע עוד הצעה אחת?
היו"ר שמחה רוטמן
כן.
לירון מאוטנר
מה עם האפשרות של לעשות תחילה מאוחרת לאפשרות להטיל עיצום על הסעיף הזה, גם באופן דו-שלבי?
היו"ר שמחה רוטמן
במועד תיקון מספר 15?
לירון מאוטנר
אני לא חושבת שתיקון 15 אומר שאנחנו לא צריכים לעשות עכשיו את ההסדר המטיבי.
היו"ר שמחה רוטמן
אני אומר שוב, ההסדר או הסדר מאוד מיטבי אבל לייצר - - -
לירון מאוטנר
אבל גם המועצה וגם כל מיני גורמים - - -
היו"ר שמחה רוטמן
אבל אני לא רוצה לייצר בעת ובעונה אחת גם חובה וגם עיצום כספי על הפרתה, שלא הייתה בתזכיר ולא הייתה בשיתוף ציבור. זה נראה רעיון טוב לאנשים שיושבים מסביב לשולחן ויש הגיון בלא לעשות את זה. יש הגיון עם דו-שלבי ועם תחולה נדחית אז יש אפשרות ואני לא נועל דלת. אני רק אומר שעל פניו, אני חושב שבשנייה שהדבר הזה מתווסף אוטומטית לתנאי רישיון לכל הגופים עם הרישיון זה כבר אירוע משמעותי מאוד.

זה משפר מאוד את המצב. בשנייה שזה חל ומייצר הפרת חובה חקוקה, הפרת סטנדרט זהירות שנקבע בחוק וחושף אותם לתביעות אזרחיות אז זה סטנדרט משמעותי מאוד. בשנייה שזה חושף אותם לביקורת ואפילו לפרסום הפרה - - - אפשר לחשוב על זה בתור פרסום הפרה, חייב DPO ולא מינה, זה פרסום הפרה בלי עיצום כספי.
ראובן אידלמן
זה לא מצריך אסדרה בחקיקה. מבחינתנו, בוודאי שזה כך.
היו"ר שמחה רוטמן
נכון. לכן, אני חושב שהתקדמנו צעד גדול ורומא לא נבנתה ביום אחד. אני רואה בעיה בלייצר חובה כשאני עדיין לא יודע איך היא תפורש. אני לא יודע איך היא תפורש על ידי בית משפט, אני לא יודע איך היא תפורש על ידכם אז אני לא רוצה כבר לקבוע את העיצום הכספי בעניינה.

אם זה היה רק לעניין עצם המינוי, שזה א' וב-', נתתי לכם. השאלה אם אדם נכנס ב-ג' ו-ד' היא עצמה שאלה. זה נכון שהבאתי את הדוגמאות הקזואיסטיות אבל אני אטיל עיצומים כספיים רק על הדוגמאות הקזואיסטיות כי אותן כתבתי? לא, זה לא הגיוני ורובן עוברות עם רגולציה.
לירון מאוטנר
זה שילוב של העמימות. לכן אנחנו הצענו בהתחלה משהו יותר מובהק אבל השילוב של העמימות יחד עם העדר העיצום - - -
היו"ר שמחה רוטמן
בסדר, בואו נשאיר את זה ככה ואני לא נעלתי את הדלת לגבי זה. הנה שוב, תמיד דופקים את העיריות.
מירה סלומון
מירה סלומון, מרכז השלטון המקומי. אני מזכירה שאנחנו ביקשנו את משרד הפנים בדיון הזה ואנחנו גם קבענו איתם ישיבה פנימית בסוגייה של החלת עוד תפקיד על רשות מקומית שנקבעה בחוק כחובה.
ראובן אידלמן
לגבי הגופים החייבים ברישום, שלגביהם אמרנו שזה עיצום כספי ישיר, עכשיו השאלה היא על מה. לפני הנוסח שמונח כאן בפני הוועדה בעמוד 9 למסמך ההכנה, העיצום הוא על אי-מינוי או על מינוי אדם שלא מדווח ישירות למנהל הכללי או למי שכפוף אליו.

הבקשה שלנו היא להוסיף גם מקרה בו מונה אדם שהוא לא בעל הכישורים הנדרשים, הדרישות והנורמה של תחומי הידע הנדרשים.
היו"ר שמחה רוטמן
זה היה 17(3)(ב)(ו).
ראובן אידלמן
כן. שוב, אנחנו מבקשים את זה רק לגבי הגופים החייבים ברישום.
היו"ר שמחה רוטמן
אני יכול לחיות עם זה.
נעמה מנחמי
סליחה, מה?
היו"ר שמחה רוטמן
שהעיצומים הכספיים יהיו גם על אי-מינוי, גם על מינוי מישהו שאיננו מדווח למנהל הכללי וגם על זה שאין לו את הידע והכישורים או שהוא ממלא תפקיד נוסף וראש הרשות נתן בעניין הזה הוראה.
נעמה מנחמי
זאת הייתה ההצעה שלנו, אני חושבת שזה דרך 3, לא?
היו"ר שמחה רוטמן
כן. "בעל לשיטה או מחזיק שלא פעל בהתאם להוראה שנתן לו ראש הרשות לפי סעיף 17".
ראובן אידלמן
כלומר, עיצום דו-שלבי על אלה. השאלה היא אם אפשר לקבוע עיצום - - -
היו"ר שמחה רוטמן
ב-ו' אי-אפשר לעשות את זה לא דו-שלבי.
ראובן אידלמן
או-קיי, אז עיצום דו-שלבי על אלה ועיצום שייר על זה שלא מונה.
נעמה מנחמי
אז על מינוי.
ראובן אידלמן
נעמה, מישהו שלא מדווח מופיע גם בנוסח שאת מציעה?
נעמה מנחמי
כן, זה מופיע גם בזה וגם בנוסח של הוועדה.
ראובן אידלמן
זה מופיע כעיצום ישיר. אני חושב שאדם שלא מדווח למנכ"ל זה לא עמום, זה משהו שאפשר בעיצום ישיר וכך זה גם מופיע כרגע במסמך ההכנה.
היו"ר שמחה רוטמן
אבל איך תגדיר "שאיננו מדווח ישירות"?
ראובן אידלמן
זה די בינארי. אנחנו שולחים דרישת ידיעות ומסמכים, מקבלים תשובה וזה די ברור אם הוא מדווח למנכ"ל או לא מדווח למנכ"ל.
קריאה
זה עניין שחור או לבן, אדוני.
ראובן אידלמן
בעניינו, זו דווקא סוגיה בינארית שיכולה להיות מתאימה לעיצום ישיר.
נעמה מנחמי
נראה לי שזה בסדר אבל אולי למישהו אחר יש משהו להגיד. או-קיי, אז דיווח ומינוי זה ישיר וכל היתר יהיו בדו-שלבי.
ראובן אידלמן
אז בעצם, לפי הנוסח שבמסמך ההכנה, נכון?
נעמה מנחמי
בסדר.
היו"ר שמחה רוטמן
מה לגבי סכומי העיצום?
נעמה מנחמי
על זה עוד נדבר.
ראובן אידלמן
נגיע לזה בדיון על הסכומים כשנדבר על המודל העיצומים.
היו"ר שמחה רוטמן
בסדר גמור.
לירון מאוטנר
נעמה, התוספת הזאת היא ביחס לעיצום, לא ביחס לאפשרות לקבוע הפרה ולהורות לתקן את הליקוי, נכון? כמו שחידדנו מקודם.
ראובן אידלמן
כן, זה ביחס לעיצום.
נעמה מנחמי
כן.
היו"ר שמחה רוטמן
הוא יכול להודיע לבית חולים שמעשיו מהווים הפרה ושהוא צריך לתקן את הליקוי אבל לא להטיל עיצום כספי.
לירון מאוטנר
אלא אם כן נצליח לשכנע אותך בסוף.
היו"ר שמחה רוטמן
נכון.
נעמה מנחמי
אני אשמח להעביר עכשיו את הבמה והכיסא לאביה שהכינה עבורנו את התיקונים העקיפים.
אביה קירשנבאום לייבנר
בהמשך לתיקונים שאנחנו עושים בסעיפי ההגדרות בחוק העיקרי, חוק הגנת הפרטיות, אז יש שלושה תיקונים מרכזיים שהם רוחביים וחוזרים על עצמם ב-35 חוקים אחרים, שאנחנו רוצים לתקן. אתם יכולים להסתכל במסמך ההכנה בחלק השני ויש גם נוסח משולב בנפרד.
קריאה
על איזה מסמך את מסתכלת?
אביה קירשנבאום לייבנר
מסמך הכנה חלק שני.
נעמה מנחמי
יש לכם גם את הנוסח המשולב במקביל.
אביה קירשנבאום לייבנר
התיקון הראשון הוא הפניה לסעיפי ההגדרות בסעיף (3) במקום בסעיף (7), אנחנו איחדנו את שני הסעיפים בהגדרות כמו "מידע" ו-"מידע אישי" שחוזרות על עצמן.
היו"ר שמחה רוטמן
למה לא לעשות "אבטחת מידע כהגדרתה בחוק הגנת הפרטיות"?
אביה קירשנבאום לייבנר
אפשר גם אבל כיום, זה מפנה לסעיף (7) אז אנחנו מחליפים את זה לסעיף (3).
היו"ר שמחה רוטמן
אם מחר יעשו עוד איזושהי הזזה אז עדיף שזה יהיה "כהגדרתה בחוק הגנת הפרטיות" למקרה שיבנו אותו מחדש וישימו את כל ההגדרות בסעיף אחד כמו שלפעמים נוהגים לעשות במדינות משונות כאלו.
נעמה מנחמי
זה כפוף לאישור של דפנה.
היו"ר שמחה רוטמן
אז נצטרך עוד פעם לעשות - - -
נעמה מנחמי
לא, בכפוף לכך שלא תהיה התנגדות של נוסח החוק אז אפשר.
היו"ר שמחה רוטמן
אני מעדיף "כהגדרתה בחוק הגנת הפרטיות" ואם יש בעיה אז נשאיר את זה (3).
נעמה מנחמי
בסדר. אני חושבת שהכוונה היא פשוט לעזור לקורא לחפש את ההגדרה בחוק הרלוונטי.
היו"ר שמחה רוטמן
בסדר אבל אם יזיזו את ההדגרה מסעיף לסעיף אנחנו נצטרך לעשות עוד אלף תיקונים עקיפים, לא חרם?
נעמה מנחמי
נקווה שלא נצטרך.
אביה קירשנבאום לייבנר
זה סוג התיקונים הראשון. הסוג השני הוא הגדרה של מידע שאנחנו מגדירים כמידע אישי. אנחנו בעצם מחליפים את המונח מ-"מידע" ל-"מידע אישי" ומוחקים במקומות הרלוונטיים את הביטוי "ידיעה על ענייניו הפרטיים של אדם" בגלל שינוי ההגדרה בחוק העיקרי.

התיקון השלישי הוא החלפה של המונח "רשם מאגר המידע" ב-"ראש הרשות להגנת הפרטיות", בהתאם לתיקון בחוק העיקרי, שוב. אנחנו מבקשים לפרוטוקול את הסמכת הוועדה לבצע תיקונים נוספים כאלה, ככול שיידרשו וימצאו.
היו"ר שמחה רוטמן
הוסמכתם, בסדר.
נעמה מנחמי
גם בחוקים נוספים. כלומר, גם תיקונים עקיפים נוספים בחוקים אחרים.
אביה קירשנבאום לייבנר
כן.
היו"ר שמחה רוטמן
הוסמכתם.
אביה קירשנבאום לייבנר
תודה. אני לא אקריא את הנוסח, אנחנו פשוט נעבור ברפרוף על הנוסח המשולב כדי שנראה באיזה חוקים, איזה סוג תיקון מופיע אז אתם יכולים להסתכל בנוסח המשולב. סעיף 18 מתקן את פקודת בריאות העם מספר 40 לשנת 1940. יש פה שינוי של ההפניה לסעיף הרלוונטי בחוק הגנת הפרטיות של הגדרת אבטחת מידע.
היו"ר שמחה רוטמן
או שזה יפנה לחוק.
אביה קירשנבאום לייבנר
או לחוק עצמו, כן. סעיף 19 מתקן את חוק התקנים, זה שוב החלפה של "מידע" ב-"מידע אישי" והתאמת ההפניה לחוק. זה חוזר על עצמו פעמיים. סעיף 20 מתקן את חוק הביטוח הלאומי ושם יש לנו גם החלפה של "מידע" ב-"מידע אישי" והפניה רלוונטית לסעיף או לחוק.

סעיף 21 מתקן את חוק רישום ציוד הנדסי התשי"ז, 1957. שוב יש לנו פה החלפה של "מידע" ב-"מידע אישי". סעיף 22 זה פקודת מס הכנסה. אני רציתי להעיר ואתם יכולים לראות בנוסח המשולב - - -
נעמה מנחמי
אולי פשוט תקראי את מה שכתוב שם.
אביה קירשנבאום לייבנר
יש איזושהי הערה במסמך הכנה אבל תתעלמו ממנה, היא לא מתייחסת לסעיף הזה. כאן אנחנו עושים תיקון של החלפת המונח "רשם מאגר המידע" ב-"ראש הרשות להגנת הפרטיות" ומפנים לסעיף או לחוק הרלוונטיים וגם החלפה של "מידע" ב-"מידע אישי" וגם זה חוזר על עצמו מספר פעמים.

סעיף 23 זה תיקון פקודת התעבורה, נוסח חדש. גם פה יש החלפה של ההפניה לסעיף או לחוק בחוק הגנת הפרטיות.

סעיף 24 זה פקודת העיריות וגם כאן מחליפים את ההפניות לסעיפים. יש לנו כאן גם מחיקה של הביטוי "ובכלל זה, ידיעה על ענייניו הפרטיים של אדם" שאמרנו שהוא כבר לא רלוונטי בהקשר הזה, החלפה של "מידע" ב-"מידע אישי" וגם החלפה של המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות".

סעיף 25 זה תיקון של חוק הרשויות המקומיות, בחירות, התשכ"ה, 1965. יש לנו כאן החלפה של המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות". סעיף 26 זה חוק ניירות ערך וגם פה מחליפי את "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות" ויש הפניה רלוונטית לסעיף או לחוק.

סעיף 27 זה חוק הבחירות לכנסת, נוסח משולב התשכ"ט, 1969. אנחנו מחליפים את הביטוי "רשם מאגרי המידע כהגדרתו בחוק הגנת הפרטיות" ל-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית לסעיף או לחוק.

סעיף 28 זה חוק פיצויים לנפגעי תאונות דרכים, התשל"ה, 1975 וזה גם כאן החלפה של "מידע" ב-"מידע אישי" והפניה רלוונטית לחוק.

סעיף 29 זה פקודת הסטטיסטיקה, נוסח חדש, התשל"ב, 1972. יש החלפה של "מידע" ב-"מידע אישי", הפניה רלוונטית לחוק ומחיקה של הביטוי "או ידיעה על ענייניו הפרטיים של אדם, אף שאינה בגדר מידע כאמור".

סעיף 30 זה פקודת הייבוא והייצוא, נוסח חדש, התשל"ט, 1972. מחליפים את המונח "הרשם" ב-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית.

סעיף 31 זה חוק התקשורת בזק ושידורים, התשמ"ב, 1982. מחליפים את "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה של "או ידיעות על אודות ענייניו הפרטיים של אדם גם אם אינם בגדר מידע כאמור".

סעיף 32 זה חוק יסודות התקציב. מחליפים את "מידע" ב-"מידע אישי" עם הפניה רלוונטית לחוק.

סעיף 33 זה תיקון של חוק שירות ביטחון, נוסח משולב התשמ"ו - - -
היו"ר שמחה רוטמן
אפשר לתקן את כל הסעיפים האלה ולהגיד שאין קשר בין לימוד תורה בישיבה לבין פטור מצבא ולחסוך המון דיונים בוועדות אחרות. כל התיקונים הקטנים האלה הם קצת מיותרים בעייני.
קריאה
אל תיקח להם את הכיף.
אביה קירשנבאום לייבנר
אנחנו מתקנים את חוק שירות ביטחון, נוסח משולב התשמ"ו, 1986 ומחליפים את המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית, החלפה של "מידע אישי" וכן מחיקת הביטוי "ידיעה על עניינו הפרטיים של אדם, אף אם אינה בגדר מידע כאמור". שוב, זה חוזר על עצמו מספר פעמים.

סעיף 34 זה תיקון של חוק בתי משפט לעניינים מנהליים, התש"ס, 2000. מחליפים את הביטוי "הרשם" ב-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית.

סעיף 35 זה תיקון של חוק הפיקוח על שירותים פיננסיים, ייעוץ, שיווק ומערכת סליקת פנסיוניים, התשס"ה, 2005. מחליפים את המונח "הרשם ב-"ראש הרשות להגנת הפרטיות" עם הפניה רלוונטית וגם זה חוזר מספר פעמים.

סעיף 36 זה תיקון של חוק נכנסים של נספי השואה, השבה ליורשים והקדשה למטרות סיוע והנצחה, התשס"ו, 2006. אנחנו מחליפים את "מידע" ב-"מידע אישי" עם הפניה רלוונטית לחוק.

סעיף 37 זה חוק הרשות הלאומית לבטיחות בדרכים, התשס"ו, 2006. זה גם החלפה של "מידע" ב-"מידע אישי" והפניה רלוונטית.

סעיף 38 זה הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים, מסכי זיהוי ומאגרי מידע, התש"ע, 2009. מחליפים את המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות" וגם פה זה חוזר מספר פעמים.

סעיף 39 זה חוק מרשם תורמי מח עצם, התשע"א, 2011. אנחנו מחליפים את המונח "הרשם" ב-"ראש הרשות להגנת הפרטיות".
סעיף 40 זה חוק המועצה הארצית לביטחון תזונתי. אנחנו מחליפים את "מידע" ב-"מידע אישי" עם הפניה רלוונטית ובהתאם, מוחקים את "ידיעה על עניינו הפרטיים של אדם, אף אם אינה בגדר מידע כאמור".

סעיף 41 זה חוק קביעת מועד כניסה לתוקף של הוראות סימון מזון ארוז מראש, התשע"ה, 2014. אנחנו מחליפים את "מידע" ב-"מידע אישי" וזה גם חוזר שלוש פעמים.

סעיף 42 זה חוק אומנה לילדים, התשע"ו, 2016. אנחנו מחליפים את המונח ה-"רשם" ב-"ראש הרשות להגנת הפרטיות".

סעיף 43 זה חוק נתוני האשראי. אנחנו מחליפים את "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות" וזה חוזר מספר פעמים.

סעיף 44 זה חוק להגברת התחרות ולצמצום הריכוזיות בשוק הבנקאות בישראל, התשע"ז, 2017. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית.

סעיף 45 זה חוק המועצה לגיל הרך, התשע"ז, 2017. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה "ידיעה על עניינו הפרטיים של אדם, אף שאינה בגדר מידע כאמור".

סעיף 46 זה חוק הרשות הלאומית לביטחון קהילתי, התשע"ז, 2017. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה של הביטוי "ידיעה על עניינו הפרטיים של אדם, אף שאינם בגדר מידע כאמור".

סעיף 47 זה חוק תקשורת דיגיטלית עם גופים ציבוריים התשע"ח, 2018. כאן יש לנו תיקון נקודתי וזה משהו מרענן שלא חוזר על עצמו בלי סוף. בגלל שאנחנו מעדכנים ומוסיפים הגדרה של "מידע בעל רגישות מיוחדת" אז אנחנו בעצם מחליפים את כל ההגדרה בתוספת, מחליפים גם את "מידע" ב-"מידע אישי" ומוחקים את הביטוי "ועניינו הפרטיים של אדם, כמשמעם בחוק הגנת הפרטיות".

בשביל להבהיר, בתוספת אנחנו בעצם מפנים לחוק הגנת הפרטיות להגדרה של "מידע בעל רגישות מיוחדת". זאת אומרת, במקום מה שיש היום בפרט 1 אז כל הפסקאות האלה ימחקו ויופיע "מידע בעל רגישות מיוחדת כהגדרתו בסעיף 3 לחוק הגנת הפרטיות" או "כהגדרתו בחוק הגנת הפרטיות", איזה מהם שיסוכם מבחינת נוסח.

סעיף 48 זה תיקון של חוק עקרונות האסדרה, התשפ"ב, 2021. החלפה של "מידע" ב-"מידע אישי" על פי הפניה רלוונטית ומחיקה של "וידיעה על ענייניו הפרטיים של אדם כמשמעותה באותו חוק, אף שאינה בגדר מידע".

סעיף 49 זה חוק שירות מידע פיננסי, התשפ"ב, 2021. הפניה רלוונטית של ההגדרה "אבטחת מידע" לחוק הגנת הפרטיות והחלפה של "הרשם" ב-"ראש הרשות להגנת הפרטיות", וזה חוזר מספר פעמים.

סעיף 50 זה תיקון של חוק סמכויות לאיסוף ואבחון של נתוני נוסעים הנכנסים לישראל או היוצאים ממנה התשפ"ג, 2023. יש לנו הפניה רלוונטית של ההגדרה "מאגר מידע" לחוק הגנת הפרטיות" והחלפה של המונח "רשם מאגרי מידע" ב-"ראש הרשות להגנת הפרטיות". בנוסף, יש לנו גם מחיקה של הביטוי "במשרד המשפטים" שחוזר על עצמו כי בחוק היום כתוב "ראש הרשות להגנת הפרטיות במשרד המשפטים" וברגע שאנחנו מפנים להגדרה בחוק היום, היא גם ככה כוללת בתוכה את זה שזה במשרד המשפטים אז אין צורך במילים האלה.

סעיף 51 זה תיקון של חוק הסדרת העיסוק בשירותי תשלום וייזום תשלום. שוב יש הפניה רלוונטית של ההגדרה "אבטחת מידע" לחוק הגנת הפרטיות.

סעיף 52 זה תיקון של חוק הרשויות המקומיות, הקרן להרחבת ההשקעה בתושב ולהגדלת היצע הדיור, התשפ"ג, 2023. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה של הביטוי "וידיעה לענייניו הפרטיים של אדם כמשמעותה באותו חוק.

סעיף 53 זה הסעיף האחרון וזה תיקון של חוק הסמכת צבא הגנה לישראל ושירות הביטחון הכללי לביצוע חדירה לחומר מחשב המשמש להפעלת מצלמה נייחת ופעולה בו, הוראת שעה חרבות ברזל, התשפ"ד, 2023. החלפה של "מידע" ב-"מידע אישי" עם הפניה רלוונטית ומחיקה של הביטוי "ובכלל זה, ידיעה על ענייניו הפרטיים של אדם כמשמעותה בחוק האמור".

יש כאן עוד חוק שיכול להיות שנצטרך לתקן במידה ויהיה תיקון כלשהו בסעיף 17ב אבל כרגע זה לא מוצע כתיקון לנוסח.
היו"ר שמחה רוטמן
שנייה, לא הבנתי למה. איך זה כתוב היום?
אביה קירשנבאום לייבנר
איזה, החוק האחרון?
היו"ר שמחה רוטמן
חוק מרשם האוכלוסין.
אביה קירשנבאום לייבנר
כמו שזה מופיע, זה החוק.
היו"ר שמחה רוטמן
זה 17ב לחוק הגנת הפרטיות?
נעמה מנחמי
כן.
אביה קירשנבאום לייבנר
כן.
נעמה מנחמי
אם הסעיף ימחק או יקרה לו משהו - - -
היו"ר שמחה רוטמן
טוב, בסדר. זה סתם משונה. מה המשמעות של "שימוש בפרטי רישום שנמסרו לפי סעיף זה שלא למטרה שלשמה נמסרו, יהיה עוולה לפי חוק הגנת הפרטיות"? יש פה מונחים בחוק הזה שהם חסרי משמעות. עבירה לפי חוק הגנת הפרטיות, אתה אומר בחוק שמשהו יהיה עבירה לפי חוק אחר? מה הרציונל בזה?
נעמה מנחמי
אנחנו לא נכנסים לחוק האחר.
היו"ר שמחה רוטמן
לא ניכנס לזה אבל זה משונה. עכשיו הבהרנו חלק מהדברים ואני לא רוצה לייצר הוראות סותרות.
ראובן אידלמן
לא באנו עם תשובות לגבי חוקים אחרים, אדוני.
היו"ר שמחה רוטמן
תבדקו את זה עם משרד הפנים בכל זאת כי יכול להיות שצריך לתקן את הפרק הזה בתיקון עיקוף כי אנחנו עשינו אנחנו עשינו פה איזשהו תיקון והדברים האלה יכולים לייצר סתירות. "שר הפנים רשאי להורות על הפסקת מסירתם", נתנו פה סמכות לשר הפנים לעשות איזשהו צו הפסקת עיבוד.
ראובן אידלמן
,
לא, זה רק מסירה ממרשם האוכלוסין.
היו"ר שמחה רוטמן
אני מבין אבל גם במסירה ממרשם האוכלוסין, מי הגורם המתאים לעשות את זה, אתם או שר הפנים? יש פה סמכות מקבילה. בעצם, שר הפנים מקבל פה סמכות לצו הפסקת עיבוד.
ראובן אידלמן
זה לא עיבוד. זה גוף ששולט על השאלטר של עצמו. אני לא חושב שיש פה סמכות מקבילה.
היו"ר שמחה רוטמן
יש פה "שר הפנים, בהסכמת שר המשפטים באישור ועדת הפנים". הרגולטור פה מאוד משונה. אנחנו יצרנו כאן כל מיני מנגנונים אז תחשבו האם צריך לעשות פה תיקון עקיף ולעשות את זה על דרך ההפניה למנגנונים החדשים שייצרנו ולא לייצר מנגנונים כפולים וסותרים.

בסופו של דבר, בן אדם יכול לחטוף. מרשם האוכלוסין והמפלגות, בהקשר הזה, יכולים לקבל הוראות סותרות ממכם ומשר הפנים והם יעמדו בדרישות שלכם ולא יעמדו בדרישות שלו או שהם יעמדו בדרישות שלו ואתם תתנו להם דרישות סותרות. אנחנו לא אוהבים רגולציה כפולה אז תבדקו את זה לפעם הבאה.
אביה קירשנבאום לייבנר
יש הערה אחת שפספסתי בהקשר של סעיף 22, תיקון של פקודת מס הכנסה, נוסח חדש, בסעיף 141א רבא, סעיף קטן (יא) פסקה 2 בעמוד 5 בנוסח המשולב. הסעיף אומר "נקבעה חובה להגשת דו"ח מקוון כאמור בפסקה ח', רשאי המנהל לקבוע הוראות ביצוע באשר לדרך הגשת הדו"ח ובלבד שההוראות לעניין ההגנה על המערכות המשמשות לאיסוף ועיבוד המידע האישי כהגדרתו בסעיף - - -" לחוק הגנת הפרטיות. הסיפה לא חשובה, העניין הוא עיבוד המידע שלא מוגדר בפקודת מס הכנסה.
קריאה
לא. טעות.
היו"ר שמחה רוטמן
רק אני אומר cut.
קריאה
חזרנו לשידור.
קריאה
השידור נקטע כבר לפני כמה דקות.
היו"ר שמחה רוטמן
טוב, הותקפנו מסייבר.
אביה קירשנבאום לייבנר
המונח "עיבוד" לא מוגדר בפקודת מס הכנסה ויכול להיות שאנחנו נרצה להבהיר שהעיבוד במשמעותו בפקודה לא משתנה עכשיו לאור התיקון בו אנחנו מגדירים את המונח "עיבוד" בחוק הגנת הפרטיות ויכול להיות שתידרש איזושהי הוראת שמירת דינים שאומרת שעיבוד במשמעותו לפני תיקון 14 נשאר באותה משמעות.
נעמה מנחמי
באופן כללי.
אביה קירשנבאום לייבנר
כן, באופן כללי.
נעמה מנחמי
כל הדין, לא רק פה.
אביה קירשנבאום לייבנר
כן, לא רק בחוק הזה אלא בכל חוק שהוא.
עמית יוסוב עמיר
לגבי החוק הזה, אין בעיה אבל לגבי כל חוק שהוא, צריך לבדוק מה המשמעות של זה ולא דיברנו על זה עד כה אז אני מציע לא לקבוע מסמרות בנושא. לגבי פקודת מס הכנסה, אין שום כוונה לשנות את זה.
נעמה מנחמי
לא אבל אם ניתן איזשהו רישיון, נעשה איזשהו עיבוד, ניתנה איזושהי הסכמה או שנעשה משהו לפי ההגדרה הקודמת אז אנחנו לא משנים אותה רטרואקטיבית, מה שנקבע - - -
עמית יוסוב עמיר
אנחנו לא משנים שום דבר רטרואקטיבית. יש כללי פרשנות רגילים בחקיקה ואם בחוק – בטח בחוק מסגרת כמו חוק הגנת הפרטיות או חוק תשתיתי, לא מסגרת בעצם – יש הגדרה ובחוקים אחרים המונחים לא מוגדרים אז ללמוד את ההגדרות מחוק תשתיתי שכזה זה אמצעי פרשני מקובל.

אני לא אומר שזה יהיה מתאים בכל מקום ופה אנחנו אומרים באופן חד-משמעי שזה לא מתאים וזאת לא הכוונה אבל אני לא יודע אם לכתוב הוראה מפורשת על כך שזה לא משפיע על אף אחר.
היו"ר שמחה רוטמן
בסדר גמור.
נעמה מנחמי
אז תחזרו אלינו לגבי זה.
היו"ר שמחה רוטמן
טוב, יש לנו עוד שמונה דקות. אנחנו רוצים לעשות משהו?
ד"ר עמרי רחום טוויג
אפשר לשאול שאלה כללית על תיקונים עקיפים?
היו"ר שמחה רוטמן
כן.
ד"ר עמרי רחום טוויג
אני מבין את העקרון הכללי שלא מתקנים תקנות בחקיקה ראשית אבל יש הרבה תקנות שהן לא מכוח חוק הגנת הפרטיות אלא מכוח חוקים אחרים, תקנות והוראות רגולציה של רגולטורים אחרים שמתייחסות למונחים מידע רגיש כהגדרתו היום וגם למידע ורשם מאגרי המידע, אז מה עושים עם כל אלה?
היו"ר שמחה רוטמן
בעקרון, האחריות של כל גורם שיש לו באחריותו תקנון זה לבדוק את ההתאמה שלו לחוק.
עמית יוסוב עמיר
יש לזה פתרון לפי חוק הפרשנות. הולכים למונח כפי שתוקן. כלומר, אם היום כתוב "מידע רגיש" ומחר יהיה כתוב בחוק "מידע בעל רגישות מיוחדת" או "מידע רגיש במיוחד" – זה נכון גם לתיקון העקיף שעשינו עכשיו, הקראנו "מידע בעל רגישות מיוחדת" ויכול להיות שזה עוד ישתנה – אז כמובן שהולכים למונח העדכני בחקיקה הרלוונטית.
ד"ר עמרי רחום טוויג
או-קיי, הוגן למדי.
היו"ר שמחה רוטמן
או-קיי, מה עוד יש לנו שאנחנו נספיק לעשות בדקות הקרובות?
נעמה מנחמי
פרסום בעיצומים כספיים?
היו"ר שמחה רוטמן
פרסום. או-קיי, בואו נדבר על פרסום.
נעמה מנחמי
הייתה לנו שאלה על פרסום של תאגיד, יחיד וברירת המחדל. הייתה לנו בקשה של הממשלה שלא להוריד את הפרסום וכן לשנות אולי את ברירת המחדל. הייתה גם הצעה של הממשלה שאנחנו כבר הראנו אותה ליושב-ראש הוועדה והיא לא כל כך הייתה מקובלת ולכן, ההצעה שלפניכם היא ההצעה, אני חושבת.
היו"ר שמחה רוטמן