פרוטוקול של ישיבת ועדה


הכנסת



89
ועדת החוקה, חוק ומשפט
14/07/2024


הכנסת העשרים-וחמש
מושב שני




פרוטוקול מס' 381
מישיבת ועדת החוקה, חוק ומשפט
יום ראשון, ח' בתמוז התשפ"ד (14 ביולי 2024), שעה 9:00

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022

חברי הוועדה: שמחה רוטמן – היו"ר

עמית יוסוב עמיר - עו"ד, ייעוץ וחקיקה, משרד המשפטים

לירון מאוטנר לוגסי - עו"ד, ייעוץ וחקיקה, משרד המשפטים

שירה גרטנברג - עו"ד, ייעוץ וחקיקה, משרד המשפטים

ישי יודקביץ' - ממונה משפטי לחקיקה, יועמ"ש, משרד הביטחון

רס"ן רפי סלמה - עו"ד, יועמ"ש תקשורת ותקשוב, פצ"ר , משרד הביטחון

רב-כלאי חגית פרידמן - יועמ"ש, חטיבת הטכנולוגיות, שב"ס, המשרד לביטחון לאומי

רפ"ק ליאורה סולטן - ראש תחום חקיקה ומשפט, משטרת ישראל, המשרד לביטחון לאומי

פקד שני לביא - קמ"ד אח"מ, מ"י, המשרד לביטחון לאומי

שרון רובינשטיין צמח - עו"ד, ע' משפטית ליועמ"ש, המשרד לביטחון לאומי

חמדה קב - עו"ד, ייעוץ משפטי, משרד הבריאות

גלעד סממה - ראש הרשות להגנת הפרטיות, הרשות להגנת הפרטיות

ליאור אתגר - עו"ד, משרד ארדינסט, שותף, ראש מחלקת הגנת הפרטיות

ניר גרסון - עו"ד, הרשות להגנת הפרטיות

ראובן אידלמן - עו"ד, הרשות להגנת הפרטיות

דן אור-חוף - עו"ד, חבר המועצה, המועצה להגנת הפרטיות

שחף קצלניק - עו"ד, יועץ משפטי שדלן, התאחדות התעשיינים

ד"ר רחל ארידור הרשקוביץ - חוקרת, המכון הישראלי לדמוקרטיה

מירב ולדמן - עו"ד, יועמ"ש, איגוד לשכות המסחר

יוגב עזרא - חבר ועד מנהל, העמותה למלחמה בספאם

ענת יוסוב - עו"ד, איגוד הבנקים בישראל

יעקב עוז להב - עו"ד, לשכת ארגוני העצמאיים, להב

ענר רבינוביץ' - מנכ"ל, חברת Privacy Team

גנ"ם מוטי קוסקס - רמ"ח, הגנת סייבר, שירות בתי הסוהר

חגית פרידמן - עו"ד, יועמ"ש חטיבת הטכנולוגיה, שירות בתי הסוהר

מיכל בלאו אור - עו"ד, ייעוץ משפטי, מערך הסייבר הלאומי

עו"ד נעמה מנחמי

אבירן יחזקאל - רכז פרלמנטרי
רונית גל – דוברת הוועדה

מעיין שבתאי, איטייפ



רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.


































הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022

בוקר טוב. ראשית אשלח מכאן ברכות לחיילי ולוחמי צה"ל ולמדינת ישראל על האירוע בשבת, אני מקווה שנשמע שהצליח אף יותר משכבר שמענו. אין לי יד ורגל בנושא אך אני שולח מכאן איחולי החלמה לנשיא לשעבר טראמפ על ניסיון התנקשות שהתרחש הלילה. רפואה שלמה ומידה כנגד שנאה ורשעות, אין מילים אחרות לניסיון שכזה לפגוע במנהיג פוליטי.

אנחנו בעניין חוק הגנת הפרטיות, דיון מספר?

19.

19. אני מקווה שבאמת עכשיו נסיים. תודה לייעוץ המשפטי של הוועדה מנעמה, על מסמך העבודה לדיון היום. אנחנו העברנו את החוק הזה דיאטה הפוכה, הוא נכנס לפה רזה ויצא מפה עב כרס. אני מקווה שהיום את מה שבצהוב נהפוך ללבן ושחור ונגיע לקראת הנוסח הסופי לקריאה השנייה והשלישית, לכן הקדשנו את היום. נעמה את רוצה להתחיל?

יש לנו כמה נושאים שזקוקים ליותר טיפול ויתר המסמך זקוק לנגיעות למיניהן. כדאי שנתחיל דווקא עם הנושאים שזקוקים לטיפול לעומק יותר והראשון שבהם זה המודל העיצומי, עמוד 43.

כן, 43. נקריא ונדון תוך כדי.

ההגדרות שבהתחלה שם יעברו לחוק, לפרק הסיפה הגדרות של החוק, סעיף 3. נתחיל מ-(א).

עיצום כספי
23כג.
(א)

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי בסכום של 150,000 שקלים חדשים ואם היה במאגר המידע מידע אישי על אודות 1,000,000 בני אדם ומעלה, רשאי ראש הרשות להטיל עליו את כפל הסכום:





(1)

ניהל או החזיק מאגר מידע החייב ברישום בלי שנרשם, שלא בהתאם להוראות סעיף 8א(ב);



אנחנו נפצל את סעיף 8 ולכן זה למעשה יהיה 8א(ב).





כלל פרטים שאינם נכונים בבקשה לרישום מאגר מידע שהוגשה לפי סעיף 9, בניגוד להוראות אותו סעיף;
לא הודיע לראש הרשות על שינוי בפרטים המנויים בסעיף 9(ב) או בפרטים שנקבעו לפי סעיף 9(ג), בניגוד להוראות סעיף 9(ד), למעט שינוי במענו של בעל השליטה במאגר המידע;




(2)
לא מסר לראש הרשות הודעה על מאגר מידע החייב בהודעה לפי סעיף 8(א)(ב) א שלא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים באותו סעיף, בניגוד להוראות אותו סעיף;

אם אפשר, בוקר טוב.

בוקר טוב.

עמית יוסוב עמיר, משרד המשפטים. להכניס עכשיו הערות קטנות לנוסח שהן לא מהותיות?

כן.

מה שהוא ממש נוסח לא חייב ועדה, כלומר אנחנו בהחלט יכולים לעשות אחרי שלב - - -

זה כן.

אם זה בוער בנשמתך.

"(2) לא מסר לראש הרשות הודעה על מאגר מידע החייב בהודעה לפי סעיף 8(ו) והעתק מסמך הגדרות המאגר". זה קבוע באותו סעיף כמובן, לא הוספנו כלום.

מה, סליחה שוב?

והעתק ממסמך הגדרות המאגר.

לא, הוא מסר הודעה אבל הוא לא מסר את ההעתק? לא הבנתי.

אנחנו מבקשים שייכתב, ל"א מסר לראש הרשות הודעה על מאגר מידע החייב בהודעה והעתק ממסמך הגדרות המאגר לפי סעיף 8(ו)". בסעיף 8(ו) כתוב שהוא צריך למסור גם את מסמך הגדרות המאגר.

השאלה אם זה שני עיצומים נפרדים או שזה אותו עיצום?

לא, עיצום אחד. אותו עיצום, אותה הפרה.

הכוונה ב-(2)?

כן, הכוונה ב-(2).

אף שאני רואה הבדל. כלומר לא רשם, לא הודיע שהוא צריך להירשם או לא הודיע, לראש הרשות אין דרך כנראה לדעת אם הוא צריך או לא צריך היה להודיע או להירשם. אבל אם הוא כבר נרשם ולא צירף את המסמך, אני רואה בזה - - -

אז תשלחו לו הודעה לצרף את המסמך, למה זה עיצום בנפרד? אם הוא לא מסר הודעה, אתם לא יודעים מה שאתם לא יודעים ואתם תמיד מגלים את זה בדיעבד ואז אתם בבעיה. אבל אם הוא מסר הודעה רק לא צירף, אז "להודעתך אדון או גברת נכבדה מאוד למכתבך שכחת לצרף". זו לא עילה לעיצום כספי, בטח שלא גדול.

אתה יכול רק להציג את עצמך בבקשה לפרוטוקול?

הוא הציג את עצמו בתחילת דבריו.

עמית יוסוב עמיר, משרד המשפטים. איך שניסחנו את סעיף 8(ו) בזמנו, כל התוכן נסמך על מסמך הגדרות המאגר, אין בהודעה הזו כלום.

זה ברור אבל באותה מידה אתה יכול לבוא ולהגיד לי שבהודעה הוא צריך לכתוב סעיף מסוים. נניח לא כתב, אתה כבר מכיר אותו. נחזור, כל הרציונל של הפרק הזה, אלה גופים שהחלנו עליהם חובות מיוחדות, רישום, הודעה וכדומה. למה החלנו עליהם את החובות האלה? כדי שאתם תכירו אותם. כי אם אתם לא תכירו אותם, אתם לא תדעו לעשות עליהם פיקוח, לא תדעו לגלות אליהם את הרגישות, לא תדעו לבדוק אותם.

אם הם מסרו מידע כוזב במסגרת הדבר הזה, לא שלחו הודעה, אז באמת הם לא נתנו לכם את האפשרות לבדוק אותם. הם שלחו הודעה אבל לא צרפו מסמך? בקשו מהם לצרף את המסמך. לא יצרפו את המסמך, יש לכם עיצומים על אי-מסירת מסמך של הבקשה, אי-שיתוף פעולה עם ביקורת. יש לכם כל מיני אמצעים.

לא צריך להכניס את זה. זה בוודאי לא בנוסח, זו הערה מאוד מהותית. אז זה לא מסר הודעה. אתה יכול להגיד מסרת הודעה אך ההודעה איננה שלמה אנא אם לא תמסור את ההודעה בהתאם לזה, נראה אותך כמי שלא מסר הודעה. תתכתבו מולו. זה לא אירוע של אפס או אחד.

עיצום כספי

23כג.
(א)
(3)
עיבד מידע אישי במאגר מידע המשמש לשירותי דיוור ישיר, בלי שהמאגר היה רשום במרשם או בלי שאחת ממטרותיו הרשומות של המאגר היא שירותי דיוור ישיר, בניגוד להוראות סעיף 17ד;




(4)
לא הודיע לראש הרשות כי הוא מקבל דרך קבע מידע אישי בהתאם להוראות סעיף 23ג והמידע נאגר במאגר מידע, בניגוד להוראות סעיף 23ד (ג).

זה למעשה.

אם אפשר להתייחס לנושא סכום העיצום כאן.

כן אין בעיה, שנייה. אלה הדוגמאות שבהן לגודל המאגר יש רלוונטיות ולכן יש שתי מדרגות פה, ויש פה הפרות שמונעות את יכולת הבקרה. רוב האנשים שהסעיף הזה חל עליהם, הם מה שנקרא, הגופים הציבוריים וסוחרי המידע. אז מעניין הסכום, מה מטריד אותך?

אשמח להתייחס, ראובן אידלמן מהרשות להגנת הפרטיות. הוועדה צמצמה את חובת הרישום משמעותית אבל מתוך כוונה שהחובה הזו תקוים בנוסחה המצומצם. ולכן כפי שאדוני ציין, מה שיש כאן אלה רק גופים גדולים ושירותי דיוור ישיר שזה כפי שאדוני אמר, מקרה פרטי של סחר במידע. כלומר, אין כאן עסקים קטנים, אין כאן גופים קטנים.

משהוועדה צמצמה את חובת הרישום, סכום העיצום צריך להיות כזה שמשקף את החומרה ואת ההרתעה שבאי-רישום למאגר או אי-מסירת הודעה לרשות על מאגר. כי יש תכליות לחובות האלה שבכל זאת הוחלט לשמר אותן ביחס לגופים הציבוריים.

סכום של 150,000 שקלים לטעמנו הוא סכום נמוך מדי והוא לא משיג את המטרות האלה של הרתעה ביחס לגופים האלה. ואלה גופים שעבורם זה לא עניין של יכולת כלכלית, נגיד זאת כך, זה לא סכום משמעותי, משווים גם לסכומים שהוועדה כבר אישרה לגבי תקנות אבטחת מידע. זה לא סכום גבוה.

אנחנו סבורים שצריך להיות 300,000 שקלים לא רק לגבי מי שמעל 1 מיליון. מאגרים מעל 1 מיליון זה מתי מעט. יש מעט מאוד מאגרים במדינת ישראל שמעל 1 מיליון.

טוב מאוד.

אולי עם הזמן האוכלוסייה תגדל ויהיו יותר, אבל זה לא נותן מבחינתנו מענה כי מעטים מאוד יפלו בזה והרוב הגדול נופלים בסכום הרגיל ואני גם אזכיר שזה סכום שאין לו מכפלות, זאת אומרת אין כאן, זה סכום קבוע.

שנייה, רחלי.

כי זו פעולה אחת כן?

ד"ר רחל ארידור הרשקוביץ, המכון הישראלי לדמוקרטיה. אני מזכירה, זה לא רק על הגופים הגדולים. יש לנו פה את חובת הדיווח שנכנסת גם כן, ושם מדובר על גופים עם מידע רגיש של מעל 100,000, זה לאו דווקא גופים מאוד גדולים.

אמת.

דבר שני, חובת הרישום היא חובה בירוקרטית, יש לכם וצריכים להיות בתיקון 15 הוראות מהותיות יותר שבהן תיבחן הגנת הפרטיות. אי אפשר לתלות בחובת הרישום את גובה הקנס הגדול פה.

עוד לפני גובה הסכום, אפשר לדבר ותכף נעשה את ההשוואות למה שהיה, למה שיהיה, למה שעכשיו. אנחנו בסופו של דבר גם לא בונים את רומא ביום אחד. אבל באופן עקרוני בואו נדבר על התרחיש. הרי אתם לא ידעתם על הגוף הזה כי הוא לא דיווח. איך נודע לכם על הגוף הזה? איך תגיעו למצב שאתם תטילו עיצום כספי על הגוף הזה? בעקבות מידע בדרך כלל, או בביקורת.

יכול להיות אירוע.

שנייה, יפה. או בביקורת שגרתית לא יודע איך תעשו, לא מאמין, קשה להאמין, בטח לא גופים ציבוריים ודאטה ברוקר, או אירוע אבטחת מידע או תלונה של מישהו שמכיר, יודע וכדומה. העיצום הזה, אני מתקשה לראות מצב שזה יהיה העיצום היחיד שמוטל על אדם. זאת אומרת הוא לא נרשם אבל חוץ מזה מרקיז הכול בסדר. אין שום בעיה.

אירוע אבטחת מידע הוא כשלעצמו מלמד בדרך כלל על סט שלם של כשלים שהיו בניהול המאגר ועל כל אחד מהם אתה יכול להטיל עיצום כספי בנוסף. את זה לכאורה, העיצום הזה בטוהרתו באמת יהיה לך רק על מישהו שהכול בסדר אצלו, רק הדואר לא עבד. זה לא הוא עושה את זה, בוא נדבר בהשוואה למה שאתם הצעתם בהצעה הממשלתית.

ההצעה הממשלתית בנויה במדרגות כאשר המדרגה הראשונה היא מדרגה של מאגר של עד 1,000 נושאי מידע, מספר האנשים, כשסכום הבסיס הוא 5,000 שקלים על מידע רגיל ו-50,000 שקלים על גמישות מיוחדת והוא עולה במכפלות של פי עשר כל - - -

עד פי 10,000 כן.

כן, כש-10,000 נושאי מידע.

רק רגע. על 100,000 זה ארבע?

כן.

מדרגה ארבע. אז קודם כל במידע רגיל.

40,000 ו-400,000.

שנייה 40 ו-400, אני נתתי 150,00 ו-300,000. כלומר, על המדרגה הראשונה נתתי הרבה יותר. כל המאגרים הקטנים שאתם אומרים רוב המאגרים הם קטנים, זה מה שנאמר הרגע על ידכם, אני הגדלתי בצורה משמעותית את הסכום לעומת מה שאתם ביקשתם בממשלתית. זה חשוב.

לא, יש לנו 400,000 אדוני, מעל 100,000 - - -

לא, אבל שוב.

אבל - - - רוצה מעל מיליון.

אז מעל 100,000.

אדוני העלה במידע הרגיל.

העליתי ויצרנו ויש כמו שאמרתי. בתרחיש הרגיל אני מתקשה לראות איך זה הקנס היחיד שאתם מטילים על מאגר מידע. זה מצב שלא יהיה ולכן אני תמיד לוקח בחשבון שהעיצום הזה הוא לא העיצום היחיד שמוטל על המאגר. הוא תמיד מתלווה לעוד משהו.

היה אירוע אבטחת מידע, אדם לא שלח לכם את המאגר, הוא לא נרשם אבל מה, מילא DPO חבל על הזמן, מושלם. הוא שומר את תקנות אבטחת המידע עד האות האחרונה. לא היה לו כלום רק לא שלח את ההודעה. זה האירוע שאתה מדבר איתי עליו?

עו"ד ניר גרסון מהרשות להגנת הפרטיות. החשש והתרחיש היותר מסתבר הוא, שבגופים האלה, גם הגופים עם חובת ההודעה, לא הרישום, שהוועדה החליטה שהם יוצרים סיכון שהוא מספיק גדול שצריך לדווח, שאם העיצום פה לא יהיה מספיק גבוה, זה יתמרץ שלא לדווח לנו כי לכל היותר יתפסו אותם.

אבל אתה לא תטיל מעולם את העיצום הכספי הזה לבד.

אבל אנחנו רוצים שהגופים האלה שהוועדה החליטה שיוצרים סיכון, לא תהיה להם הפרה יעילה שלא לדווח לנו, כי אם הם מדווחים לנו, הם רק מסתכנים שנתערב להם.

אין שום הפרה יעילה בלא לדווח.

ולכל היותר יפסידו בעיצום.

אבל זה לא יהיה העיצום הכספי היחיד במקסימום. לא יהיה לך שום מצב שזה העיצום היחיד שאתה מטיל. זה פשוט לא דבר מציאותי. זה אומר שבן אדם שאתה תגיע אליו בעקבות, כמו שאמר ראובן בצדק, אירוע אבטחת מידע, יהיה לך בהערכה זהירה שלי עם כל מה שנתתי לך פה, אם חוקר שלך או מפקח שלך, יוצא משם עם פחות מעשרה עיצומים כספיים תפטר אותו. זה אומר שהוא לא יודע את העבודה.

אבל העניין הוא, איך העיצום מתמרץ את המפוקח להתנהג מראש.

נכון.

לא בדיעבד. מראש אנחנו רוצים שידעו שלא כדאי להם להפר את חובת הדיווח על אנשים. וכך יהיה כדאי להם.

אבל אתה לא תדע לעולם. ויותר מזה אני מראה לכם איך במאגרים הנפוצים של גם עד 100,000, המאגרים הנפוצים, אני הגדלתי בצורה דרסטית בגלל מה שאתם אמרתם. הגדלתי את העניין בצורה משמעותית.

אם אני נצמד למה שאתם עשיתם, זה יהיה לכם יותר טוב? אני לא חושב שזה נכון. אתם רוצים שנעשה פה, דווקא לפרק הזה נחזור לגודל המאגר שלכם והמאגרים הקטנים עם המידע הרגיש של 2,000 איש?

אין כאן חובות למאגרים קטנים.

אבל למה? לא נכון. לא הבנתי.

כי חובת ההודעה היא רק מעל 100,000.

חובת ההודעה, אבל חובת הרישום?

גופים ציבוריים. אלה לא גופים קטנים, לא מאגרים קטנים, זה מה שאנחנו מנסים להגיד. הכול מאגרים גדולים. גם 100,000 רחל אמרה שזה לא חייב להיות גוף מאוד גדול, אני מסכים אבל זה גם לא עסק קטן. אני מניח ש-100,000 נושאי מידע - - -

לא נכון, מי שמנהל מערך דיוור ישיר, יכול להיות עסק קטן.

וגם יכול להיות עמותה.

נכון, עמותות.

שירותי דיוור ישיר כן. אבל זה לקס-ספציאלי, למי שהוועדה קבעה לכל אורך הדרך לגבי סוחרי מידע.

בסדר.

אבל אני מזכירה גם שחובת ההודעה הייתה איזושהי תוספת נוספת שאתם ביקשתם, הוועדה התחילה את הדיונים לפני שהיא חשבה שחובת הרישום היא לא נכונה יותר. ואחרי דיונים רבים הגענו לפשרה הזאת של חובת רישום מצומצמת וחובת הודעה שהיא איזשהו, נקרא לזה, שלייקס שביקשתם.

שוב, תסלחו לי, נסתכל גם שוב על הכול אחר כך כמכלול אבל לכאורה באירוע שבו אנחנו נמצאים, כמו שאתם רואים, אתם תגיעו אליו אגב דרך דברים אחרים, אתם לעולם לא תגיעו אליו בצורה ישירה. אני לא רואה סיבה שהקנס יהיה כל כך משמעותי. שהעיצום הכספי יהיה כל כך משמעותי כי הוא אף פעם לא יישב לבד.

אני מבקש רק אדוני, שאנחנו כמו שאתה אומר, נסתכל על המכלול עוד מעט.

נסתכל על המכלול, לכאורה פה הגדלתי ברוב מוחלט של המקרים, הגדלתי בצורה משמעותית את העיצום הכספי, מה שאתם ביקשתם. נתנו פה הגדלה משמעותית של העיצום הכספי ברוב מוחלט של המקרים. בואו נתקדם.

סעיף (ב). "(ב) הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות" - - -

סליחה, על ההפרות המקבילות, אין, כמעט ברובן, אין הפרות מקבילות ב-GDPR כי אין חובת הודעה ואין חובת רישום, אז אפילו קצת קשה ללמוד מה קורה ב-GDPR כי החובות האלה הן ייחודיות לדין הישראלי.

כן, אבל יש חובת עריכת תסקיר וחובה להתייעץ על תסקיר עם הרשות, שזה כמו חובת הודעה.

בסדר את זה אבל אין מה. כן.

אז בואו נכניס חובת ערכית תסקיר גם לפה ואז יהיה אפשר לעשות עליה קנס. זה יהיה רעיון מצוין.

טוב, לכן אין לי כל כך למה להשוות, יש פה איזה יצור ישראלי ייחודי. מה?

יש חובת יידוע של הפרטים של ממונה של-DPO לרשות הרלוונטית.

בסדר, זה סעיף אחר.

זה ב-GDPR.

גם אצלנו יש את זה.

אני מדבר על חובת יידוע.

גם אצלנו יש את זה, חובה לפרסם. בסדר גמור.

עיצום כספי

23כג.
(ב)

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה, בסכום של 6,000 שקלים חדשים, ואם הייתה ההפרה לגבי מידע רגיש במיוחד – בסכום של 12,000 שקלים חדשים:










(1)
סירב לאפשר לאדם שמידע אישי עליו מוחזק במאגר המידע לעיין במידע האישי שעליו, בניגוד להוראות לפי סעיף 13;




(2)
ביצע שינוי במידע האישי שברשותו בלי שהודיע עליו לכל מי שקיבל את המידע, בניגוד להוראות לפי סעיף 14(ב);




(3)
לא הודיע למבקש על סירוב לתקן מידע אישי הנמצא במאגר מידע שבבעלותו או למוחקו, בניגוד להוראות לפי סעיף 14(ג);




(4)
לא תיקן מידע אישי הנמצא במאגר מידע שבהחזקתו, בניגוד להוראות סעיף 14(ד);




(5)
לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ב), שמידע אישי המתייחס אליו יימחק ממאגר מידע המשמש לדיוור ישיר, בניגוד להוראות סעיף 17ו(ד);




(6)
לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ג), כי מידע אישי המתייחס אליו, לא יימסר לאדם, לסוג בני אדם או לאנשים מסוימים, בניגוד להוראות סעיף 17ו(ד).

זה סעיף שלמעשה מדבר על זכויות של נושאי מידע, ספציפית. אני מזכיר שבנוגע לרוב ההפרות האלה או כל ההפרות האלה, יצרנו במקביל גם עילת תביעה אישית נכון?

לרבות מהן, אני לא בטוחה שלכולן.

יצרנו עילת תביעה אישית להוכחת נזק.

בסעיף 5(א).

שבעיניי, אם אתם שואלים אותי, תגביר את ההגנה בצורה הרבה יותר משמעותית מאשר תלונה לראשות ועיצום, ותקנות הפחתה וכל זה, ולכן מבחינתי זו שכבת ההגנה המרכזית ופחות מה שאנחנו עושים פה בעיצום הכספי. הבנתי מנייר העמדה שלכם שאתם לא כל כך אוהבים את ההוראות פה, אז בואו דברו.

אז ראשית מדובר כאן בזכויות מהותיות. זכות העיון היא זכות אדם מהותית בחוק הגנת הפרטיות. גם היחס אליה בעולם, באירופה, הוא יחס משמעותי מאוד. אני יכול להגיד שבתהליך ההתאמה נשאלנו רבות מאוד על איך הזכות הזו מיושמת, על איך הזכות הזו מיושמת בגופים ביטחוניים, למשל. זו זכות משמעותית מאוד כאן בחוק, ויתר ההסדרים מתייחסים לזכות לבקש את תיקון המידע לאחר שאדם ביקש לעיין כשזכות העיון היא גם פתח למימוש אחרי זה, זכות המחיקה או זכות התיקון.

היום הרשות להגנת הפרטיות במצב המשפטי הקיים, רשאית להטיל קנס מנהלי של 15,000 שקלים על ההפרות הללו. למעשה ההצעה כאן היא להפחית את הסכומים. זו לא התכלית שלשמה הוועדה הזו הקדישה את כל הזמן הזה לתיקון 14. זו תוצאה פשוט לא סבירה, גם כאן הקנס, אין כאן מכפלות.

למה, ודאי שיש מכפלות.

זו הפרה בודדת.

בוודאי שיש מכפלות, אלה עבירות שלפי טבען הן במכפלות.

לא, לפי טבען, האכיפה בהן, מהפרקטיקה של הרשות, זו תלונה מסוימת על חברת ביטוח מסוימת שלא אפשרה לי לעיין ולא סביר שחברת הביטוח הזו, יהיה עליה קנס של 6,000 שקלים. זה גם לא מרתיע לפחות מה שיש לנו היום.

רק שנייה.

זה לא רציני - - -

רק רגע. קודם כל זה כן במכפלות. אתה יכול לבוא ולהגיד שבפרקטיקה שלכם היום לא מוגשות תלונות למכפלות, תכף נשמע מה מוגש היום ומה לא וכמה זה נאכף היום. אבל בוודאי שזה במכפלות. ויותר מזה, בשנייה שאתם מקבלים תלונה, ואנחנו גם נותנים לכם את הפרסום, פרסום העיצומים הכספיים. בשנייה שחברה - - -

הפרסום גם קיים היום אדוני, גם הפרסום וגם הקנס של 15,000 שקלים פרטני לאדם, ללא הפחתות.

אין ספק. אז זו בדיוק השאלה, בסופו של דבר גופים, בוודאי גופים עסקיים עובדים בשאלת חשיפה, עובדים כמה הם חשופים, וקנס מנהלי אתה לא יכול למיטב ידיעתי. גם אם תקבל 20 תלונות על חברה אחת אתה לא תוכל להטיל יותר מקנס מנהלי אחד.

לא. על כל הפרה.

כמה תלונות ביטלתם?

אני אתן את הנתונים אבל אדוני, זכות העיון זו זכות שהאדם פונה לבעל המאגר באופן עצמאי ולאחר שהוא פנה ולא קיבל את זכות העיון אז הוא פונה לרשות, ותרשה לי אדוני אם אנשים מתקשים לפנות לרשות, לא כי יש קושי בלשלוח מייל, הם בוודאי לא ירוצו לבתי משפט בתביעה אישית.

תרשה לי אדוני, כאחד שהיה ראש הסיוע המשפטי ומכיר קצת חסמים בדרך לערכאות משפטיות, הפתרון לא יהיה בתביעות אישיות. לא יהיה שם פתרון.

אני חולק עליך.

יש לי כמה שנים ניסיון בזה.

בסדר אבל החשיפה היא מאד נדירה כולל החשיפה לפרסום. כולל האלמנט הפרסומי.

אדוני יש לי בפרקטיקה שלי, יש לי כמה שנים של הבנה בחסמים של אוכלוסייה להגיע לערכאות משפטיות.

חוק הספאם עם 1,000 פיצוי אישי, אפקטיבי פי אלף יותר 1,000 בקרות שלכם.

כמה זמן לפני שהיה חוק הספאם הייתה לכם אפשרות להטיל הפרות לפי החוק שלכם של 15,000 שקלים על הפרות של מאגרי דיוור ישיר?

רגע, אז אדוני ביקשת נתונים אז אני נותן את הנתונים. במהלך השנים היו לנו מאות פניות בנושא זכות העיון. כשאני אומר מאות פניות על כל פנייה אני מכפיל את זה כ-1,000 או 2,000 איש שלא פנו אלינו ולא מיצו את זכויותיהם. חד משמעית אלה הנתונים ממי שמכיר חסמים של אנשים בלהגיע בין אם זה לגופי ממשלה ובין אם זה לערכאות משפטיות, אלה הנתונים. אנחנו לא רוצים שאנשים יגיעו אלינו, אנחנו רוצים שהגופים, בעיקר הגדולים יתנו את זכות העיון ושלא יצטרכו להגיע אלינו. אם הסכומים האלה הסכומים שעכשיו אנחנו - - -

מתוך מאות פניות כאלה, כמה קנסות הטלתם?

עם הסכומים האלה אדוני לא יממשו את זכויותיהם, יטרטרו את האזרח ולא יאפשרו לו למצות את הזכויות.

גלעד, מתוך מאות פניות שקיבלתם ושיש לכם סמכות להטיל קנס מנהלי של 15,000 שקלים.

ברגע שאנחנו פנינו פתרנו אדוני, ברוב מוחלט מאוד ברגע שאנחנו פנינו.

פתרתם את הבעיה.

פתרנו את הבעיה. במאות פניות.

בלי עיצום כספי ובלי קנס.

רגע, במאות פניות. אבל אדוני אני לא רוצה שיגיעו אלינו זה בדיוק העניין. מי שפנה אלינו, - - - רק שנייה אני מבקש שלא להפריע. מי שפנה אלינו, אדוני, זה אומר שעוד 1,000 אחרים לא פנו אלינו ולא מימשו את הזכות שלהם. כי הגופים לא מספיק מורתעים. העיצום הזה היום, 15,000 שקלים.

לא, זה לא בגלל הכסף.

רק שנייה - - -

אני לא מסכים איתך, גלעד, אני לא מסכים איתך בכלל. אם יש לך מאות פניות, כמה, אני שואל בפעם השלישית. כמה קנסות מנהליים הטלת בשנה האחרונה? - - - לא, זו שאלה פשוטה. גלעד. כמה קנסות מנהליים הטלת בשנה האחרונה? אני יודע למה אני שואל.

בשנה האחרונה לא הטלנו.

בשנתיים האחרונות בשלוש שנים האחרונות?

אז אני רוצה לתת הנתונים.

אני רוצה לדעת כמה קנסות מנהליים הטלת.

אני רוצה לתת את הנתונים, אנחנו הטלנו שני קנסות בנושא עיון.

באילו שנים?

אחורה, עשור.

הבנתי.

אבל - - -

גלעד, אז זה מה שגורם לזה שאין הרתעה ובצדק, אתה צודק לחלוטין לכן אתה מבקש עיצום כספי. כי הליך של קנס הוא הליך מורכב, הוא הליך קשה. אחר כך קל מאוד לדחות אותו עד אין-סוף ולבקש להישפט ולבלבל את השכל. הוא הליך מאוד קשה.

ההליך של עיצום כספי הוא הרבה יותר קל ולכן ככל שיהיה לך אותו אתה תוכל להטיל על מאות פניות, תוכל להטיל מאות עיצומים וזה יהיה לך הרבה יותר קל להוציא אותו לפועל ולכן אני נותן לך אותו. אבל לא גובה הסכום של 15,000 שקלים או של 10,000 שקלים או 6,000 שקלים הוא מה שגרם לאי-הרתעה. מה שגרם לאי-הרתעה זה שאתם, שיש לכם סמכות של 15,000, לא עשיתם בה שימוש. למה לא עשיתם בה שימוש? אני לא מאשים אתכם כי זה קנס מנהלי וזה קשה לעשות שימוש, אני ממיר לכם את זה בעיצום כספי.

גם פתרנו חלק גדול - - -

מה?

גם פתרנו חלק גדול מהקנסות.

אבל לא, ועכשיו כשזה עיצום כספי אתם לא תפתרו? לא. אתם תטילו עיצום כספי.

אבל הסכום צריך להרתיע.

הסכום מרתיע כאשר עושים בו שימוש, והוא לא מרתיע גם אם הוא 200,000 שקלים ואתה לא תעשה בו שימוש אז הוא לא ירתיע אף אחד. אנחנו מכירים, יש לנו דיונים פה על הרתעה מכאן ועד עונה חדשה כשיושבים פה אנשים אחרים מהייעוץ המשפטי. כולל החמרה, כולל עונש מינימום, את כל הדברים האלה אנחנו יודעים, עכשיו מה שמרתיע זה הסיכוי להיתפס ולא גובה הקנס או גובה העיצום.

לא נכון אדוני.

הדבר היחיד בעיצום כספי זה מה שנקרא הפרה יעילה.

הסכומים האלה זו הפרה יעילה, חד-משמעית.

חד וחלק לא.

חד-משמעית אדוני.

אז הסברת לי ש-15,000 זה לא יעיל.

לא, שוב - - -

15.000, לא?

אדוני אני רוצה רגע את הנתונים היבשים. אנחנו כרגע מוסמכים לתת קנס של 15,000 שקלים ללא הפחתות על הפרה בודדת.

ולא עשיתם את זה אף פעם.

רק רגע, אדוני.

בסטטיסטיקה זה נחשב אף פעם.

רק רגע אדוני, מאות פניות מגיעות אלינו, זה אומר שאנשים לא מצליחים לעיין במידע שלהם. אלה הנתונים כפי שהם. ביקשת נתונים.

אבל הנתונים האלה רק מראים את מה שאני אומר לך.

שנייה אדוני. אנחנו פתרנו את רוב רובם.

מצוין.

על כל אדם שפונה אלינו יש 1,000 אנשים שלא פונים אלינו ולא ממצים את הזכויות שלהם.

אבל גם לא יהיה לך עיצום כספי עליהם. זה לא רלוונטי מה שאתה אומר. סליחה.

האנשים, אני רוצה - - -

טוב, גלעד, הנקודה ברורה.

רגע, אני רוצה שהגופים הגדולים יבינו שאם הם לא, אם הם פונים כאזרח, אזרח שפונה אליהם והם לא נותנים לו את זכות העיון, יש דלתה בין אותו אזרח שפונה ולא מקבל את זכות העיון, לבין אותו אזרח שכן פונה אחר כך גם לרשות. יש שם דלתה גדולה מאוד ואלה האנשים שלא ממצים את הזכויות שלהם, ואני רוצה שהגופים הגדולים ידעו שהם יצטרכו לתת את המידע לאזרחים שמבקשים אותו.

גלעד, אתה יודע מה הבעיה?

עוד משהו אדוני.

אתה יודע מה הבעיה?

מה הבעיה?

שהעיצום הכספי כפי שאתם מבקשים אותו לא מבדיל בין גוף גדול לגוף קטן, אחד. שניים.

מה? אנחנו ביקשנו - - -

שנייה, לא. אתה לא ביקשת. אתה ביקשת גודל מאגר, אין שום קשר לגודל מאגר. סליחה, הוא לא מבדיל בין גוף גדול או גוף קטן. הוא לא מבדיל בין גוף שלא ענה בגלל שהעובד שלו היה במילואים ולכן העובד שאחראי לזה לא טיפל בפנייה, או ששכח או שהזניח וזה קרה חד פעמי ובדרך כלל הוא בסדר, לבין מישהו שזה אצלו שיטתי.

אבל יש לנו שיקול דעת פה אדוני.

יפה, נכון, יש שיקול דעת.

אנחנו מראים לך שיש לנו כאן שיקול דעת.

אבל בעיצומים אין שיקול דעת.

בעיצומים אני לא רוצה שיהיה לך שיקול דעת.

אנחנו במהלך הבדיקה, אני מצטער. נעמה.

בעיצומים אין שיקול דעת, אתה - - -

במהלך הבדיקה יש שיקול דעת, אני מצטער להגיד לכם.

גלעד, אבל במהלך הבדיקה אתה תגלה האם יש נוהל מסודר לזה, כמה פניות כאלה היו, כמה פניות טופלו, כמה לא, ואז המספרים מהר מאוד יגיעו למכפלות.

אבל אדוני זה לא יגיע למכפלות כי צריך את הפנייה של האזרח שהוא פונה לגוף, ואני לא יכול לדעת - - -

אז לא הבנתי, איך תפעיל שיקול דעת, איך אתה תבדיל? - - - גלעד, אני שואל אותך שאלה.

אנחנו לא יכולים לדעת.

קיבלת תלונה על חברת ביטוח. איך אתה יודע האם היא עונה לכולם כמו שצריך ורק אחד נפל בין הכיסאות או שזה שיטתי אצלה. אתה אומר שאתה רוצה להפעיל שיקול דעת, איך תפעיל את שיקול הדעת הזה, איך תדע?

לא, אני לא אמרתי את זה.

לא, אבל אני רוצה שתפעיל שיקול דעת כזה.

בפועל זו אכיפה שנעשית על פי תלונות קונקרטיות, אנחנו אומרים את זה כבר כמה דיונים, זה לא אבטחת מידע.

זו תלונה קונקרטית אדוני.

מאותן מאות תלונות. יש לכם שחקנים חוזרים? אני שואל.

מעט מאוד. מעט מאוד. קודם אדוני דיבר על אבטחת מידע, לא התווכחנו עם אדוני לגבי אבטחת מידע, זה לא המקרה.

טוב, אני אומר לכם כך.

אדוני עוד מילה.

להפחית את הסכום שיש היום.

זה לא מפחית את הסכום שיש היום. סליחה, שוב, בואו נבדוק שוב מה היה בממשלתית.

הצעת החוק הממשלתית, הגענו ל-1.6 מיליון.

לא נכון.

למה לא?

כי אם זה מאגר קטן אצלכם, אם אני הפרתי זכות פרטנית של אדם במאגר קטן?

בוא ניתן את המספרים. אין בעיה אני מוכן ללכת לפי הממשלתית אדוני. הממשלתית הזאת הייתה גם בפני פורומים בין-לאומיים, אנחנו יודעים איך מתייחסים לזכות הזו במקומות אחרים ואנחנו לא יכולים להרשות את זה לעצמנו.

הממשלתית במאגר הכי קטן הייתה 5,000 ו-50,000.

5,000.

ו-50,000.

50,000 על מידע בעל רגישות, אבל הוועדה מציעה 12,000 על מידע בעל רגישות.

שנייה, אז 5,000 אבל - - -

5,000 על מידע רגיל, 50,000 לזה - - - רק שנייה אני רוצה לסיים. מדובר כאן במאגר עד 1,000 אנשים.

מה זה משנה?

רגע, כשאנחנו מגיעים למיליון - - -

מה זה משנה גודל המאגר?

כשאנחנו מגיעים למיליון אדוני, אנחנו ב-1.6.

אבל מה זה משנה גודל המאגר. רק רגע, מומחים פה מהעולם. כמה ב-GDPR יש על הפרות כאלו? אתם יודעים, אתם מכירים? תבדקו כמה יש ב-GDPR. אם אנחנו מדברים על השוואה בין-לאומית ומה הוצג בפורומים, על הפרה מהסוג הזה, כמה נותנים ב-GDPR? בארצות GDPR כמובן, כל אחד עושה לעצמו.

לכל מדינה יש מדיניות אחרת.

כמה הסכומים בערך? בואו תנו דוגמאות. מדינות שהן אבן ראשה של הגנת פרטיות.

אדוני, רק שנייה אדוני, כי טעיתי כאן בסכום.

20 מיליון או 4%.

רק תציג את עצמך בבקשה.

20 מיליון או 4%. אדוני, גם זה לפי הגבוה.

לא נכון, זו אמירה, מה שאמרת עכשיו היא אמירה לא נכונה חד וחלק.

אדוני, לפי הגבוה.

מה שאמרת עכשיו זו אמירה לא נכונה. אני רוצה לדעת אם אני עכשיו מתלונן לרגולטור באנגליה על כך שלא נתנו לי זכות עיון ואני שואל את מומחי הגנת הפרטיות שלי מה החשיפה שלי. כמה אני אקבל על זה שלא נתתי זכות עיון לבן אדם שפנה אליי?

ד"ר רחל ארידור הרשקוביץ, המכון הישראלי לדמוקרטיה. אני מסתכלת באתר של GDPR שמסכם את הקנסות שניתנו, זכות העיון ב-GDPR סעיף 15. זכות העיון לבדה, רוב הקנסות שיש פה הן בין 600 ל-1,500 יש גם 3,000 יורו. כאשר יש אחד בספרד שמצאתי בינתיים, מדובר על 10,000 יורו.

הקנסות היותר גבוהים הם בדרך כלל הפרות של כמה זכויות. שם מגיעים לסכומים יותר גבוהים אבל מדובר על הפרה של מספר זכויות ביחד של נושאי דאטה.

כלומר זכות עיון כשזה שיטתי, כשזה במכפלות.

אבל שם GDPR, כמה הוא מתיר?

רק רגע אני מנסה להבין, היא נותנת לי תשובה, אני מנסה להבין את התשובה. - - -

האם ראית את ההפרות שנותנות 2 מיליון יורו למשל? - - -

רק רגע, סליחה אני מדבר עכשיו על זה, על הפרה של זכות עיון פרטנית, על זה אני מדבר לא על שום דבר אחר. באחרים נתתי לכם סכומים גם הצעתי לכם אפילו סכומים יותר גבוהים בהרבה, זה לא משנה. אני מדבר על נושא דאטה ספציפי שהופרה זכות העיון שלו, או הזכות לשינוי שלו.

מה שמצאתי ובדקתי, יש כמובן סכומים גבוהים אבל יש לך את הסעיפים על מה הם מפרים. על הפרה רק של זכות עיון הכי גבוה שמצאתי זה רק בספרד 10,000, רוב הסכומים הם יותר נמוכים, הם נעים מ-600 בנמוך, עד 3,000 לגבוה. בינתיים לא מצאתי בסקירה שלי יותר גבוה.

שזה מתכתב יחסית עם מה שאנחנו פה.

יש סכומים הרבה יותר גבוהים כאשר מדובר בהפרה של כמה סעיפים.

ושם גם אני נותן.

או של כמה מזכויות נושאי דאטה, אם זו זכות התיקון, זכות היידוע, דברים כאלה, או שזה צריך להיות הפרה - - -

ואז זה בא במכפלות.

זה לא מכפלות. GDPR לא מדבר על מכפלות. ב-GDPR הזכויות של נושאי הדאטה הנחשבות בשכבה השנייה המחמירה יותר של הקנסות, שאפשר שהסכום הוא המירבי שאפשר להטיל עליהם כאשר כל רשות מפעילה שיקול דעת.

אבל פה אין לנו קאפ. הקאפ שלנו זה רק תקנות ההפחתה ו-5% מהמחזור.

נכון, לכל רשות - - - זה מודל שונה.

זאת אומרת, מישהו שיפר זכויות נושאי דאטה של 1,000 איש, יקבל פה 6 מיליון שקלים קנס. נכון? לפי החשבון שלי. 6,000 כפול 1,000.

איך אנחנו בודקים 1,000 אנשים, אני לא מצליח להבין.

לא הבנתי.

כי זה לא דבר שקורה בפרקטיקה.

למה לא?

כי זה לא.

לא הבנתי, למה זה לא קורה?

שוב, אדם פונה למאגר - - -

אבל אם אין תרחיש כזה, הכול תקין.

אם אדם לא מפר זכויות של 1,000 איש, זה בסדר.

הכול לא תקין, זה בדיוק מה שאני אומר, הגופים הגדולים לא נותנים זכות עיון, מאות אנשים מגיעים אלינו, אלפי אנשים לא מגיעים אלינו.

אבל מי שלא מגיע, לא מגיע. גם שם אין להם יכולת להטיל קנסות על מי שלא מגיע. אין רגולטורים שיש להם יכולת להגיש קנסות על מה שלא מגיע.

דן אור-חוף, המועצה להגנת הפרטיות. בהקשר של ההשוואה ל-GDPR. באתרGDPR Enforcement tracker האתר הזה לא אתר ממשלתי רשמי אז צריך לקחת בחשבון את הנקודה הזו והוא גם לא בהכרח מציג את הכול, הוא כן מפנה להחלטות עצמן. הפרות של מאמר 15, אותו סעיף שמעגן את זכות העיון.

ב-GDPR יש מנעד רחב של קנסות. אני מסתכל עכשיו על החלטה של הרשות האיטלקית על 42,000 יורו, ומצד שני יש באמת החלטות של אלפי יורו בודדים כך שיש מנעד רחב. אני לא בטוח שאפשר ללמוד מזה. אנחנו לא יודעים.

אבל השאלה היא באמת נושא המכפלה.

בנקודה מהותית, אדוני, אני מסתכל על זה אולי בראייה שונה משל הרשות, שונה מהיכולת של הרשות לאכוף תלונה או לטפל בה, אלא איך ארגון באמת תופס את ההפרה הזו בפועל. כי ביום-יום זה מה שיכריע.

הרשות תגיע למספר מאוד מוגבל של בעלי שליטה או של מחזיקים. ואני חושש אדוני שהסכומים הללו באינטראקציה הפנימית בתוך הארגון, הם לא יהיו טריגר די חזק לעשות את העבודה כמו שצריך. זה החשש. הסכומים האלה אולי לא משדרים מספיק את הצורך ושוב מדובר בזכות העיון - - -

שוב, אבל איך אתה מבדיל לי בין זכות עיון שהופרה בצורה נקודתית. הרי פה זה באמת אירוע פרטני, זה לא אירוע של כלל המאגר. אדם פנה, יכול להיות כמו שאמרתי, יש לו שני עובדים שעוסקים בנושא הזה, אחת בחופשת לידה ואחד במילואים או להיפך. אני לא יודע מה קרה. השאלה היא איך אני מבדיל בין עסק שבסך הכול הוא בסדר והייתה לו הפרה נקודתית לבין מפר סדרתי.

אם אני עובד בסכום בסיס יחסית נמוך, לא מאוד נמוך כמו שאנחנו רואים פה מהקנסות שמוטלים בפועל, הוא לא מאוד נמוך, הוא סכום בסיס יחסית נמוך, אבל המכפלות הן אפשריות וכשיושבים ועושים ביקורת ואומרים "בואו תראו לי כמה מיילים לבקשת תיקונים קיבלתם וכמה תיקנתם בפועל ואיך פעלתם", ואתה מייצר ביקורת כשאתה יושב על הדאטה של הבן אדם, אתה יכול לגלות מספר רב של מקרים.

השאלה היא איך אתה מבדיל בין זה לזה ברמת העיצום הכספי, שבהגדרתו הוא פחות שיקול דעת. הרי כל הבעיה שלי היא שב-GDPR לגופי האכיפה יש יותר שיקול דעת. פה הם לא רוצים את שיקול הדעת מצד אחד, ולכן הם מבקשים שאני אייצר להם קנסות טיפשיים כביכול. מצד שני אין לי דרך להבדיל בין עסק הקטן לעסק הגדול, בין מפר גדול למפר קטן.

אבל לעסק הקטן הבאנו פתרון, הבאנו רשת ביטחון אחרת, אדוני.

של תקנות ההפחתה.

לא, תקנות ההפחתה חלות על כולם, אדוני.

אני יודע. הבנתי, לא זלזלתי בזה, רציתי להבין שלזה אתה מתכוון.

אדוני 6,000 ו-12,000 על זה חלות גם ההפחתה. אנחנו לא נגיע אפילו לסכומים האלה. ברוב המקרים 50% ירדו.

ובהפרה החוזרת יהיו פי שתיים. יש גם וגם.

אבל הסכומים בפני עצמם הם סכומים הרבה יותר נמוכים אם תשים לב להצעת החוק הממשלתית.

הטיעונים נשמעו.

אדוני, אם אפשר אולי להוסיף. שוב, נקודת המבט שלי היא לא נקודת המבט של האינטראקציה של אותו בעל שליטה במאגר עם הרשות. זה יקרה.

אלא פנים ארגונית, הבנתי.

זה יקרה מעט. ובהקשר הזה אני חושש שארגון יחליט שהסיכוי שיבואו ויתפסו אותו זה אולי יהיה לגבי תלונה אחת ובנקודה אחת ובעיניי זה לא מרתיע. אני רק אומר גם בהשוואה, זאת אומרת בעיניי, יכול להיות בהקשר של אולי אי-רישום מאגר מידע, שזה גורם אולי יותר הליכי באופי שלו. זה נשמע, יש עוד קצת איזון בעניין הזה.

אני מסכים.

זאת אומרת זה סכום אחד של מאות אלפי שקלים.

אבל מצד שני האמירה הייתה שמכיוון שצמצמנו, אבל זה, בניגוד לקנס של 150,000 שקלים שהוא חל רק על גופים ציבוריים או על המקצועיים, שאנחנו רוצים עליהם עין צופייה כי אצלם גם עיקר הסכנה. הקנסות האלה חלים באמת גם על המאגר הכי קטן.

את זה אפשר לעשות.

זה לא רק תקנות הפחתה.

לא, שמנו תקרה לעסקים זעירים ועסקים קטנים אדוני. אלה לא תקנות הפחתה, כאן יש רשת הגנה נוספת.

הבנתי. אבל גלעד שמעתי. בניגוד לדיונים קודמים, אתם אפילו רשמתם את הדברים מראש אז לא צריך לחזור עליהם בחמש הדגשות.

גם לנו מותר.

אני שומע אבל האמירה נאמרה.

אדוני, אולי בנוסף, אפשר ליצור יותר גדול בין המאגרים שהם לא רגישים, למאגרים רגישים. גם בהיבט הזה.

כאשר אנחנו עוסקים בזכותו של נושא מידע, עצם העובדה שהוא כבר עשה את הפנייה, זה מראה משהו. לי בכלל, קשה לי עם ההבחנה בין מידע רגיש למידע לא רגיש, כי כאשר אני כבר פניתי, זה סימן שעבורי זה רגיש, לא משנה ההגדרה החוקית.

אני אתן דוגמא מהחיים האישיים. במסגרת המאבק של כל מיני אנשים וגופים למען דמוקרטיה ושיח פתוח וחופשי בחברה הישראלית, הם מזינים את הפרטים האישיים שלי לכל מיני אתרים באינטרנט שיפנו אלי וכך אני מקבל כל מיני הצעות, "השארת לנו פרטים לטובת רכישת וילה", ופה יש גם כל מיני מצבים רפואיים שהם טוענים שיש לי ואני מקבל כל הזמן פניות וטלפונים מאנשים שחוזרים אליי.

אני לא יודע אם יש לדיני הגנת הפרטיות מה לעשות כנגד, כי בעלי העסקים פה הם מאוד תמימים. אבל לצורך העניין כאשר מתקשר אליי אותו בעל עסק ואני אומר לו שהכניסו את הפרטים שלי אליו בטעות, ושימחק אותי ממאגריו, לכאורה עשיתי פה את הפנייה ואם הוא מפר אותה, עכשיו הוא באמת - - - הפרט לא רגיש אבל בוודאי שעבורי זה רגיש כי אני כל הזמן אני מקבל טלפונים וזה מציק לי נכון? זו המטרה. זה לא באמת מציק לי אבל הם עושים את זה כדי להציק לי.

אם טרחתי להתקשר אליו או לשלוח לו הודעת ואטסאפ או לשלוח לו מכתב רשום ולהגיד לו "אנא מחק אותי ממאגריך", סימן שלי זה חשוב. לא משנה אם רשמו אותי ב-fake למאגר של רכישת דירה שלכאורה, עלול גם לעלות לכדי מידע רגיש, או בטענה שיש לי סרטן שלב ארבע ואני מבקש תרופות בנושא הזה, שזה מידע רגיש במיוחד. מה זה משנה? מבחינתי מציק לי אותו דבר ואני מבקש שימחקו אותו דבר, מה זה משנה? לכן ההבחנה הזאת פחות חשובה בעיניי.

אם החוק היה קובע אמת מידה אובייקטיבית לגבי מתי מידע הוא רגיש או לא, הייתי מסכים איתך - - -

לא, אבל אמת המידה פה היא שנעשתה פנייה פרטנית וזה אומר שאמת המידה היא שהאדם עצמו, נושא המידע, פנה וביקש וסימן שעבורו זה חשוב. לכן ההבחנה בין שתי הרמות בעיניי בעייתית מלכתחילה. כן?

עו"ד ליאור אתגר ממשרד ארדינסט. אמת המידה היא בוודאי לא רגישותו של המידע כי אם אדם באמת פנה, חזקה שאנחנו צריכים להתייחס אליו והעיצום הכספי צריך לבוא על אי-מענה לאותו אדם שפנה. זה לא משנה לרגע מה התוכן.

אני מודה שזה פתח להרבה "הטרלות" מצד כל מיני אנשים, עובדים לשעבר. כמו בחוק הספאם יהיו הרבה מאוד מתלונני שווא, יהיו כאלה, אבל הם לא יבואו לרשות בשלב ראשון, הם קודם כל ילכו לחברות, יהיה מאזן אימה, "אם לא תענו לי אני אלך לרשות".

אבל לטובת אותם אנשים שאנחנו רוצים להגן עליהם, זו טובת האינטרס הציבורי שאדם יוכל לפנות, לקבל את המידע שיש בעבורו. אנחנו חייבים שהקנס הזה יהיה קנס בעלות הולמת, שיגרום לתאגיד לפעול, אחרת יתעלמו מזה. גם בספאם יש תעריף, אומנם, מאוד נמוך אבל כמות ההודעות יכולה להצטבר לסכום משמעותי.

גם כאן אני יוצא מתוך נקודת הנחה שחברת ביטוח שמפרה זכות עיון, עושה את זה לא לאדם אחד ולא לשניים.

נכון, אז פה בדיוק רציתי לומר שצריך להיות לנו איזשהו מנגנון שעושה הבחנה בין היחיד שפנה ובגלל הפנייה הספציפית שלו הארגון קיבל קנס, לבין זכות הציבור. יש לנו את זה גם בתקנות אחרות שמדברות על מצב למשל לא עמדתי בסעיף 11 כי אני לא פרסמתי מדיניות פרטיות, איך אני סופר את מספר האנשים שנפגעו? אני עושה איזושהי הערכה מסוימת של כמה אנשים נכנסו בממוצע חודשי, נגיד לאתר. אנחנו נמצאים בפינה. אבל צריך לעשות הבחנה בין שני הדברים האלה.

טוב בסדר, לא נצא מזה. הטיעונים נשמעו, בואו נמשיך בינתיים.

אני רק רוצה להגיד עוד מילה אחת, סליחה. בהצעת החוק הממשלתית אנחנו התבלבלנו קודם עם סעיף אחר. לכל זכויות נושא מידע זה כפל הקנס, למעשה. אנחנו מתחילים כשזה מידע רגיש, במאגרים הכי קטנים של 1,000 ב-100,000 שקלים עיצום. אנחנו מגיעים עד 1.6 מיליון שקלים. זו הצעת החוק הממשלתית.

בסדר, אז הגזמתם מאוד בהצעת החוק הממשלתית. שוב, בהשוואה לעיצומים שמתקיימים. - - - תן לי מקרה אחד - - - לא גלעד, יש לי חברים ב-GDPR, תן לי מקרה אחד שהפרת זכות עיון הביאה לקנס של 1.6 מילון שקלים. תן לי מקרה אחד. - - -

אני מבקש לסיים את האמירה.

די, מספיק. כן.

הצעת החוק הממשלתית מדברת, כשמדובר במידע רגיש במאגרים הקטנים מ-100,000 ואז יש מקפצות עד מעל 1 מיליון, שזה מאגר של 1 מיליון, מעל 1 מיליון, 1.6 מיליון שקלים. הצעת החוק הזו לא עברה.

הבנתי. אז אתם ביקשתם עיצום כספי מופרך, ואני לא אתן לכם.

בסדר גמור, הצעת החוק הזו לא עברה בקלות גם בתוך משרדי הממשלה. זה לא ששלחנו את זה וכולם אישרו.

גלעד הכול בסדר, אתה רוצה שנסיים היום? הנקודות ברורות. בהינתן העובדה שמאות פניות התקבלו ושני קנסות הוטלו בעשורים האחרונים אני מציע שנתכתב במשהו עם המציאות. וכמו שאמרתי, אם תביא לי מדינה אחת ב-GDPR שהטילה על הפרה של סעיף 15, 1.6 מיליון שקלים על מקרה בודד, מה שאתה רוצה. קח, קיבלת. - - -

אבל היו כאן 10,000 יורו, זה גם לא קרוב.

היה 10,000 והיה גם 600. אז מה, זה משחק? אני לא מבין, אנחנו משחקים פה עכשיו?

רגע, צריך לזכור שבמודל GDPR יש שיקול דעת. יכול להיות שזה היה מקרה באמת מאוד חמור של מישהו שבמשך שנה - - -

סליחה, לפי המקרים שלנו אין שיקול דעת?

לא, אין לכם שיקול דעת. בעיצום כספי שיקול דעת.

היו לנו מאות פניות ולא נתנו קנס, אז למה אין שיקול דעת?

טוב, הנקודה ברורה.

אין לכם שיקול דעת, באמת. בעיצום כספי לא אמור להיות לכם שיקול דעת. אם אתם מפעילים שיקול דעת, יש פה בעיה.

הדבר היחיד שאני מוכן לשמוע פה, הנושא של ההבחנה בין מידע רגיש למידע לא רגיש, בנושא של פנייה הוא דבר משונה קצת. כי אדם פונה וזה אכפת לו, סימן שזה אכפת לו וזה נעשה אגב בפנייה פרטנית.

אני לוקח בחשבון שכן יש תקנות הפחתה שיורידו לכולם והן חלות גם על כולם. ומצד שני גלעד, יש גם כפל להפרות חוזרות. יש גם וגם. יש פה איזה איזון, אני לא רוצה לצמצם את ההגנה שיש היום, אתם טוענים שהיום יש 15. שוב, אתם לא עושים בזה שימוש.

אדוני איזה כפל יש להפרות חוזרות? אין לנו.

יש. הפרה חוזרת.

במודל של העיצומים הכספיים על הפרה חוזרת ועל הפרה נמשכת, יש לכם קנסות נוספים. סכומים נוספים.

אבל לא כפל.

למה? הפרה חוזרת זה כפל.

בסדר, זו כל הפרה נפרדת, חדשה למעשה.

מה?

זה לא גבוה יותר, אין מכפלות.

יש פה מכפלות, אמרנו את זה. יש פה מכפלות. במאות פניות שלכם יש חוזרות, אני יודע שיש חוזרות ואם אין אז יהיו חוזרות. זה אומר שזה יהיה כפול ומשולש ומרובע וזה אומר שאם אתם תיכנסו ותעשו ביקורת ואתם תגלו שבאופן שיטתי הוא לא עושה את זה, אתם תוכלו להתאים מכפלות עוד יותר גדולות כי זו הפרה פרטנית, זו לא הפרה של המאגר.- - -

אני לא רוצה להוריד כביכול את רמת ההגנה ממה שקבענו היום ולכן בלי הבחנה בין רגיש ללא רגיש, נעשה פה 15,000 שקלים.

אדוני, אבל גם היום 15,000 שקלים, זה ללא הבחנה.

אני יודע. וזה גם ללא כפל.

מה זאת אומרת "ללא כפל"? אם יש מספר אנשים, יש כפל. כן, אדוני.

לא, אבל זו לא הפרה חוזרת. אין הפרה חוזרת ואין הפרה נמשכת. יש, אתם לא עשיתם את זה. באמת חברים, אתם לא עשיתם את זה. - - - אני לא מוריד בכלל, אני מעלה.

אנחנו באנו להגיד שאנחנו מורידים.

אין בעיה, אז אני לא רוצה להוריד חלילה. הפרק הזה יוצא מעיצומים כספיים, תמשיכו בקנסות, לא רוצה לפגוע. אין בעיה, אין עיצומים כספיים על הפרק הזה. אתה לא רוצה שאני אפגע? חס ושלום גם אני לא רוצה לפגוע במצב ההגנה הקיים הנפלא שלכם.

היום אני אוריד את הפרק הזה תמשיכו עם קנסות מנהליים. אני האחרון שרוצה לפגוע ואתם יכולים לעשות כפל ואתם יכולים לעשות מה שאתם רוצים. אני אשאיר לכם את זה. זה מה שאתם רוצים? אני אשאיר. מספיק, אנחנו לא יכולים לערבב את כולם על האירוע.

יש פה עיצום כספי שהליך ההטלה שלו הוא הרבה יותר קל, הרבה פחות קשה לעמוד מולו. אני מאוד מקווה שאם אתם מקבלים מאות פניות אז יהיו, לא יודע אם מאות אבל יהיו עשרות. בוודאי של עיצומים כספיים, תוכלו לעבוד עם זה. הוספנו את מנגנון ההגנה של התביעות האישיות.

מדובר פה בנושא מידע יחיד שיש לו תלונה על זה שלא קיבל מענה. לא לצמצם את האירוע הזה כשאתם תעשו ביקורת אתם תגלו שאם היו יותר כאלה, תהיו במכפלות. וכן, זה יהיה במכפלות וחברה גדולה, חברת ביטוח וחברה זו וזו, חברה כזו תגיע מהר מאוד כמו שאמרתי, אתם תעשו ביקורת ותגלו שאותה חברה עשתה את זה ל-1,000 נושאי מידע, אתם תגיעו ל-15 מיליון שקלים קנס. לפי הסעיף הזה, לפי הפרק הזה. 15 מיליון קנס. אני לא מבין מה אתם רוצים. זה לא מגביל אתכם בכלל.

עיצום כספי

23כג.
(ג)

הפר בעל שליטה במאגר מידע או מחזיק במאגר הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה, בסכום המכפלה של 50 שקלים חדשים במספר הפניות או הדרישות כמפורט להלן, ואם הייתה ההפרה לגבי מידע רגיש במיוחד – בסכום המכפלה של 100 שקלים חדשים במספר הפניות או הדרישות ובלבד שלא יוטל בשנה אחת, עיצום כספי בסכום קטן מ-10,000 שקלים חדשים, בשל הפרה לפי סעיף קטן זה על בעל שליטה במאגר מידע או על מחזיק במאגר מידע;

עכשיו פה ההפרות -

עיצום כספי

23כג.

(1)
פנה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף 11;




(2)
פנה לאדם בדיוור ישיר. שלא בהתאם להוראות סעיף 17ו(א);




(3)
בעל שליטה במאגר מידע שלא פירט, על דרישת מידע אישי, כי הוא מוסר דרך קבע מידע בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(א);




"לעניין סעיף קטן זה יראו כל פנייה או דרישה כמעשה נפרד. הפר בעל", זה כבר הסעיף הבא. פה כאמור הסכום כביכול הבדיד הוא קטן אבל אפילו 100 פניות שנעשות מביאות אותנו ויש פה סכום מינימום של 10,000 שקלים, אין פחות מסכום מסוים. גם על פנייה בודדת הקנס הוא 10,000 שקלים ולמעשה 100 הפניות הראשונות באותו מחיר. אם אתה מפר, תפר כבר על 100. אבל מאחר שאנחנו עוסקים במאגרי מידע אני מניח שאפילו גודלם הבסיסי הקטן הסביר, נניח 20,000-30,000 אנשים במאגר זה גודל קטן יחסית.

כשאנחנו עוסקים ב-30,000 אנשים אנחנו מכפילים אותם ישר ל-3 מיליון שקלים. זה סכום משמעותי ביותר, אין לו קאפ בהקשר הזה. הקאפ שלו זה לפי תקנות ההפחתה, לפי גודל העסק, לפי 5% מהמחזור וכדומה אבל אין לו קאפ ומדובר בעיניי בפגם בהגנה משמעותית מאוד על נושא המידע, והסכום הבסיסי הזה בהחלט מזניק את ההגנה ואת היעדר הפרה יעילה בהקשר הזה בתחום העיצום הכספי. אתם רוצים להתייחס לפרק הזה?

כן, נשמח. אני כרגע משאיר את עניין הסכומים פה לגלעד להתייחס אחריי. רק לעניין המודל, קיימנו עליו עוד איזושהי חשיבה לאחר הדיון האחרון שבו נקבעה התייחסות לכל הפרה כמעשה נפרד, לא שיש לנו איזו בעיה עקרונית עם הקביעה הזאת אבל אחר כך הרצפה, כלומר, הסכום - - -

הרצפה נמוכה לכם מדי.

לא, אמרתי, אני לא מתייחס לסכומים, את זה אני משאיר לגלעד. האמירה "אחת לשנה" מכניסה פה בעיות במודל ובדרך החישוב. זאת אומרת, השאלה היא אם לומר שיתייחסו, הרי אין פה, זה סעיף של מכפלות. כלומר להישאר עם המודל הקלאסי של העיצומים, להגיד שהמכפלות ייחשבו לפי ההפרה ושפשוט פר הפרה לא יינתן סכום מתחת לסכום הרצפה שייקבע, בלי האמירה שכל פנייה היא מעשה נפרד.

למה לא?

כי ברוב המקרים אלה אירועים המוניים, זאת אומרת אדם לא עושה דיוור ישיר על פרט מידע בודד. הוא עושה דיוור ישיר על מאות אלפים.

נכון ולכן הקנס שלו יהיה 50 כפול - - -

אין מחלוקת, זו לא מחלוקת על כמות, אני אקריא את הנוסח המעט שונה שאנחנו מציעים, אולי זה יבהיר.

אנחנו רוצים להגיע לאותה תוצאה של המכפלה כפול אדם, פשוט בדרך אחרת כי היא יותר פשוטה לנו לחישוב בגלל העניין השנתי.

הסייג שאנחנו מציעים הוא, "בלבד שלא יוטל סכום קטן ממה שייקבע", כרגע לפי הצעת ועדה "10,000 שקלים חדשים בשל הפרה לפי סעיף קטן זה", ואני מוריד את האמירה בסוף שאומרת שכל פנייה היא מעשה נפרד. שוב, מתוך התפיסה גם שבפועל באותה לחיצת כפתור כנראה יישלחו עשרות, מאות, אלפי פניות במקביל.

הבנתי איך הניסוח עוזר לכם.

"(ג) הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה, בסכום המכפלה של 50 שקלים חדשים במספר הפניות או הדרישות כמפורט להלן, ואם הייתה ההפרה לגבי מידע רגיש במיוחד – בסכום המכפלה של 100 שקלים חדשים במספר הפניות או הדרישות, ובלבד שלא יוטל", ואני מוריד פה "בשנה אחת", "סכום קטן מ-10,000 שקלים חדשים, בשל הפרה לפי סעיף קטן זה". זאת ההצעה.

אתה מגיע לאותה תוצאה. שהמינימום זה למעשה 10,000 שקלים, מתייחסים לכל זה כאחד אבל דרך החישוב של הטלת העיצום היא מכפלה של 50,000 שקלים.

אבל המכפלות, זה בנוסח, אז מה, לא הבנתי.

פשוט החידוד הזה שרואים כל מעשה כנפרד, יוצר לנו בעיה עם זה שלא יוטל בשנה אחת עיצום נמוך מ-10,000. אנחנו לא רוצים לספור את זה לפי שנה. רוצים פשוט להסתכל על - - -

אבל נניח מאגר דיוור ישיר ששולח ספאם פעם בשבוע, אבל לאותה קבוצה של אנשים, נניח שמישהו ביקש את ההוראה, ירד אבל כתוב שם בתוך הודעת הספאם לא מצוין מה שצריך להיות מצוין בהתאם להוראת החוק הזה. הוא שלח למעשה לאותו בן אדם 50 פעמים בשנה. כל אחת מהן זו פנייה נפרדת, לשיטתכם? איך אתם תספרו לו את הקנסות? הוא שלח ל-10,000 איש ברשימה. לפי השיטה שלי - - -

לפי השיטה שלך רואים בזה 10,000 הפרות, ואנחנו מציעים שיראו בזה הפרה אחת כלפי 10,000 אנשים.

התוצאה הכלכלית היא אותה תוצאה.

התוצאה היא אותה תוצאה.

נכון, רק הסיפור הזה של לחשב אחר כך בשנה אחת, זה לא מתאים למודל.

אני מבין למה להוריד את המילה "בשנה". בסדר גמור, התקרות של השנה הן יותר מתאימות להפחתה מאשר לסיפור הזה של הטלת הקנס. אני מבין ואפשר להוריד את המילה "בשנה אחת", אפשר להשאיר את הזה, אבל למה "על כל פנייה ודרישה כמעשה נפרד", הפרשנות שלכם זה שכל לחיצה על 10,000 שווה מעשה אחד?

מעשה אחד אבל תהיה פה את המכפלה.

הבנתי. אפשר באמת להוריד את המילים האלה.

לא, אבל המכפלה תהיה לפי כמות האנשים שאליהם נעשתה הפנייה, זה מה - - -

כן, זה נשאר.

זה הנוסח שהקראתי.

אפשר להוריד את המילים "בשנה אחת".

"ובלבד שלא יוטל עיצום כספי בסכום קטן מ-10,000 שקלים חדשים, בשל הפרה לפי סעיף קטן זה על בעל שליטה במאגר מידע או על מחזיק במאגר מידע".

הנושא של שנה אחת באמת יותר רלוונטי לתקנות ההפחתה ולא לפה. לא הבנתי למה אתם רוצים להוריד את המילים "לעניין סעיף קטן זה יראו כל פנייה או דרישה כמעשה נפרד", מה הוא מפריע לכם, אבל לא רואה את המהות.

אני רק מבהיר שוב גם לפרוטוקול, הכוונה שאנחנו מורידים, שאם מישהו שלח בלחיצת כפתור אחת 10,000 מיילים, נתייחס לזה.

אז אולי כדאי לכתוב "לעניין סעיף קטן זה יראו כל פנייה או דרישה לאדם אחד כמעשה נפרד".

לא, שנייה. אני לא רוצה לגרום לתוצאה לא סבירה כי אם יש לי 10,000 מינימום ואז אני מתייחס לכל אחד כמעשה נפרד, המטרה שלי - - -

לא.

רגע, שנייה אדוני, רק להשלים את המשפט, אני לא חושב שיש לנו מחלוקת. אני מוריד את הסעיף הזה כי אחרת, אם המינימום הוא 10,000 ופנייה לכל אדם היא מעשה נפרד אז 1,000 כפול 10,000.

לא זאת לא הכוונה.

נכון זאת לא הכוונה ולכן אנחנו מציעים להוריד אותה.

הבנתי, בסדר. לא אכפת לי. לא מפריע לי.

עכשיו אני מעביר לגלעד.

את נושא הסכומים אני הבנתי שאתם ביקשתם. בואו נתקתק. ביקשתם שלעיקרון אין לכם בעיה, יש לכם בעיה לזה שסכום התקרה הוא נמוך מדי. שהסכום התקרה כלפי מטה.

הרצפה נמוכה.

הרצפה. אין שום בעיה. לא, אתם צודקים. אני מקבל. זה אכן נמוך מדי 10,000 ביחס לזה. הרצפות שמופיעות גם בתקנות ההפחתה. 10,000 שוב, אני מבין גם לפני הפחתות אחרי הפחתות. אתם ביקשתם 40, 40 זה קצת גבוה מדי לרצפה שכזאת אבל אם אנחנו מדברים, קודם דיברנו ש-100 נושאי מידע זה המינימום.

אפשר להעלות את זה למשהו שמתכתב עם מה שיש לנו פה. אפשר להעלות את זה ל-30. כי 30 אחרי הפחתות, אחרי זה, יגיע למשהו סביר. אני מקבל שהרצפה פה היא נמוכה מדי.

האם הרצפה חלה גם על העסקים הקטנים?

לא, בלי קשר לתקנות ההפחתה.

תקנות ההפחתה מדברות על תקרות. הן לא מדברות על רצפות. אז האם אתה רוצה - - -

זה לא משנה, כי אם אותו בעל עסק קטן קיבל פה בעיצום הכספי 30,000 והתקרה שלו מכיוון שהוא עסק זעיר, היא 20,000 שקלים, הוא ישלם 20,000 שקלים. זה גובר.

אבל אם הוא שלח לאדם אחד, והרצפה שלו - - -

זה לא אכפת לי, זה לא משנה לי. כי האירוע הזה אף פעם לא חל על אחד, אבל זה בכלל לא אירוע שמעצם טבעו הוא אחד. אבל אם קבעתי לו את התקרה וקבעתי לו את ההפחתות וכל זה, אני חי עם זה, זה לא מפריע לי.

אם אפשר להסביר מה בסוף הוחלט כי לא הבנו.

הסעיף נשאר כמו שהוא עם שינויי נוסח שהם מבקשים ובמקום רצפה של 10,000, הרצפה היא 30,000.

שחף קצלניק, התאחדות התעשיינים. המשמעות, ההקשר הפרקטי של זה, שעסק קטן, לא זעיר, אבל קטן - - -

לא, אבל תקרות של עסק קטן נמצאות בתקנות ההפחתה.

לא זעיר, עסק קטן, יכול לשלוח 10,000 הודעות כאלה.

שנייה, איפה תקנות ההפחתה?

יכול לשלוח 10,000 הודעות כאלה ולקבל, אם נניח שזה מידע רגיש זה יהיה 1 מיליון שקל קנס.

שוב, יש לו תקרה.

לא עוסק זעיר, מדבר על עסק קטן.

גם לעוסק קטן יש תקרה.

גם אם הוא שלח פעם אחת. אני יודע.

גם לעוסק קטן יש תקרה, וגם יש תקרה של 5% כללי. קאפ כללי.

המשמעות של זה, שאם אני עוסק קטן, שלחתי הודעה שבה שכחתי לכתוב את הכתובת שלי, כי זה מה שרשום פה, 17ו(א), את הכתובת שכחתי לרשום, זה הקנס שאני אמור לקבל. על הודעה אחת ששלחתי ל-10,000 איש מהמאגר שלי.

אז התשובה היא כאמור, יש תקנות הפחתה. וזה חלק מהדיון של תקנות הפחתה, מה בא קודם ומה בא אחר כך והגישה שלי לא מוצאת כל כך חן בעיני מנהלי הרשות. אבל המקסימום מתחיל משם, אבל לא משנה.

יש תקנות הפחתה שיכולות להביא אותך עד ל-70% מגובה הקנס, בלי קשר לגודל העסק שלך. כלומר, קבעתי פה 30,000, אתה תרד ל-10,000 או פחות מ-10,000, רק על ההתנהגות הטובה שאתה פועל בסדר וכל זה, ירד לך 70% מגובה הקנס.

לא הבנתי את החישוב כי אנחנו ב-1 מיליון. אם ירדתי ב-30% אנחנו ב-300,000. אם שלחתי ל-10,000 איש, אני במיליון. לא? למה לא? לא, עסק קטן. עסק קטן, לא עסק זעיר.

שנייה, יש תקרה לעסק קטן, אתה כל הזמן אומר את זה.

מה התקרה שלו? אבל התקרה של העסק הקטן היא לא 10,000 שקלים והיא לא 50,000 שקלים.

איפה תקנות ההפחתה?

עמוד 78. אנחנו בסעיף (ג) אז לעניין סעיף (ג).

78. קודם כל הפחתה, עסק זעיר זה 20, 30. אנחנו ב-(ג) עכשיו, נכון?

(ג) זה 50 ו-70.

50 ו-70 בסדר? עכשיו, התקרה שלך היא 70.

לכל הודעה.

לא לכל הודעה.

אתם הורדתם את המילה "לשנה".

לא, זה לא קשור. לא בהפחתות הרי אמרנו במפורש, הפחתות הולכות לשנה. ומכיוון שהתקרה לעסקים קטנים היא שנתית, וזה דבר שאנחנו נדבר עליו כשנעסוק בתקנות ההפחתה, אבל נניח שאתה חייב בקנס מסוים, 1 מיליון שקלים, מפחיתים לך אותו ל-70 בתור התחלה, נדבר אחר כך על מה בא קודם ומה אחר כך, כדי שלא יהיה מצב שבשנייה שעשית הפרה אחת כבר מותר לך להתפרע כל השנה, חשבתי שצריך לעשות את זה הפוך ממה שהוצע בהתחלה. 70, וממנו מתחילים לגזור לך את ההפחתות, כלומר ב-70 יתחילו את ההפחתות. אם יהיו לך עוד הפרות, זה יגדל.

התקרה השנתית שלך היא 70,000. אבל בסדר זה דיון שנעשה על ההפחתות, נעשה את החשבונות שם אבל בכל מקרה יש לך שם את ההגנה הזו ויש את ההגנה הנוספת של 5% ממחזור עסקאות. תלוי מה גודל העסק שלך, מה גודל המחזור, בקיצור אנחנו דואגים לזה אבל באופן עקרוני הדאגה הבסיסית היא שאנשים לא יפעלו בניגוד לחוק. טוב, אז דיברנו על זה, העלינו ל-30.

עיצום כספי

23כג.
(ד)

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום של 2 שקלים לכל אדם שמידע אישי על אודותיו נמצא במאגר המידע, ואם היה המידע האישי במאגר המידע מידע רגיש במיוחד–בסכום של 4 שקלים לכל אדם, ובלבד שלא יוטל על בעל שליטה במאגר מידע או מחזיק במאגר עיצום כספי בסכום קטן מ-200,000 שקלים חדשים:




(1)
פנה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף 11 והפנייה נעשתה לקבוצה בלתי מסוימת של בני אדם, בניגוד להוראות הסעיף האמור;




(2)
לא מינה ממונה על אבטחת מידע, בניגוד להוראות סעיף 17ב(א);




(3)
לא מינה ממונה על הגנת הפרטיות, בניגוד להוראות סעיף 17ב1(א)(1) או (2);



(3) זה סוחרי מידע וציבוריים.




(4)
עיבד מידע אישי במאגר מידע המשמש לשירותי דיוור ישיר, בלי שיש בידו רישום המציין את המקור שממנו קיבל כל אוסף נתונים המשמש לצורך מאגר המידע ומועד קבלתו וכן רישום המציין למי מסר כל אוסף נתונים כאמור, בניגוד להוראות סעיף 17ה;

בסעיף זה, (4), הראו את גודל המאגר כגודל אוסף הנתונים שבו התקיימה ההפרה. שיובהר שאם יש מאגר מידע שמורכב מכמה אוספי מידע וההפרה בוצעה רק לגבי אוסף מידע אחד, לא נסתכל על גודל המאגר הכללי, אלא על גודל האוסף.

(5)
בעל שליטה במאגר מידע שלא קיים רישום של המידע שמסר בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(ב);



גם כאן לפי אוסף הנתונים או לא?

כן, של המידע שמסר גם כאן גודל המידע שנמסר. אם מתוך מאגר של 1 מיליון מסרת מידע על 10,000 איש, גודל המאגר הוא 10,000, הוא לא היה 1 מיליון. ומה זה "לעניין סעיף קטן זה"?

יש כאן התייחסות. אולי הממשלה תסביר את התוספת הזאת?

כן, זה איזשהו שריד של הגדרת מזהה ביומטרי שדיברנו עליה בדיונים הראשונים, אנחנו לא מבקשים לפתוח אותה. מה שקורה פה למעשה, שההגדרה הבסיסית של מזהה ביומטרי, שהוא כן מידע בעל רגישות מיוחדת או מידע רגיש במיוחד, נחשב רגיש במיוחד אם הוא משמש או נועד לשמש לזיהוי ביומטרי בפועל.

כאן, ובעוד מקום שנגיע אליו בהמשך, ההפרה היא שהוא לא מינה ממונה אבטחת מידע. אם הוא לא מינה ממונה אבטחת מידע, יש סכנה לדלף המאגר שברגע שהמאגר דולף, השאלה למה הוא משמש או מיועד לשמש על ידי בעל השליטה במאגר לא משנה, כי אם הוא יגיע לידיים הלא נכונות, הוא ישמש למה שהעבריין שהשיג את המידע יחליט לעשות בו שימוש.

לכן כדי להגביר את ההגנה על מאגרים ביומטריים בסדר גודל משמעותי מעל 100,000 שקלים בתיאום עם הממונה על היישומים הביומטריים, אנחנו מבקשים שיראו במקרה הזה את ההפרה ככזאת שבוצעה ביחס למאגר בעל רגישות מיוחדת.

אבקש להתייחס גם פה לעניין הסכומים.

ההבדל מבחינתכם שזה 2 שקלים ולא 4 שקלים, זה ההבדל?

גובה העיצום בסופו של דבר נותן ביטוי - - -

שוב, הצורך למנוע דלף מידע הוא למנוע דלף מידע. זה גם הולך וגדל, הרבה מאוד מאגרים יכולים להיחשב כמכילים מידע ביומטרי ככל שהביומטריה מתקדמת, המאגרים רבים יותר. כפי שאמרתי, לכאורה מאגר שידורים של ערוץ הכנסת מכיל מידע ביומטרי על יותר מ-100,000 אנשים.

הוא מועמד לעיון לציבור כדין, זה לא עניין של דלף.

אם הוא מועמד לעיון לציבור כדין וזה לא עניין של דלף, למה אני כל כך דואג מדלף ממאגר שלא מועמד לעיון לציבור כדין כי יש בו מעל 100,000 איש? אפילו תמונה של הפגנה היא ברזולוציה די גבוהה, ויכולה להיכנס לבד למאגר הזה ועם כל הכבוד, זה נראה לי מרחיק לכת כך או כך, להגדיר שממילא זה מאגר מידע שיש בו מעל 100,000 איש ביומטרי, לא ידוע, זה נראה לי קצת מרחיק לכת.

נציגת הממונה על היישומים הביומטריים מבקשת לעלות מהזום.

בסדר גמור, היא תוכל לדבר על זה אחר כך, אבל בסדר, בוא נדבר על הסכומים.

היא רוצה להתייחס לזה. אם אפשר להעלות אותה.

תעלו אותה לזום בבקשה.

מיכל בלאו. עו"ד מיכל בלאו.

כי אין גבול, אני כשאני בונה את המאגר שלי, זה לא שימש, זה לא משמש, בהתאם לזה אני בונה את רמות האבטחה, בהתאם לזה אני בונה את רמות הסיכון. דלף מידע יכול לשמש לכל דבר, לא רק של ביומטרי. גם מידע על טלפונים של אנשים, כשהם במסה מספיק גדולה יכול להיות איום סייבר מספיק גדול לכן יש פה איזו רגישות לביומטרי אבל בעידן של היום הכול הוא ביומטרי כבר. כן?

שלום. דיברנו על זה בעבר - - -

מיכל, רק תציגי את עצמך בבקשה.

כן. סליחה. מיכל בלאו אור, עו"ד במערך הסייבר הלאומי, אני מייצגת את היחידה, ממונה לזיהוי ביומטרי. דיברנו בנושא של ההגדרות בדיוק על הסוגיה הזו של מידע ביומטרי. תהיה הפרדה בין כל מידע ביומטרי לבין מידע בעל רגישות מיוחדת ואמרנו שכאשר מדובר על שימוש במידע ביומטרי ליישום ביומטרי או לצורך העניין השוואה ביומטרית, יראו בכך מידע בעל רגישות מיוחדת. אבל ככל שמדובר על מאגרים גדולים, 100,000 זה הרף הנכון והמתאים ליתר החקיקה. גם מידע ביומטרי שאינו משמש או אינו מיועד לשמש להשוואה ביומטרית, הוא מידע רגיש במיוחד ונכון לקבוע את היישום הכספי בהתאם.

גם בהקשר הזה בדיוק כמו שאמר עמית, לבוא ולהגיד שכל מידע יכול לדלוף, זה לא מתאים כי מידע ביומטרי הוא מידע חד-ערכי אודות אדם וצריך לדאוג שהוא לא ידלוף גם אם מדובר במאגר שאינו משמש לזיהוי ביומטרי.

זה בדיוק מה שאנחנו מחפשים לעשות. אנחנו ביקשנו לעשות אותה בדיוק בשני מקומות מסוימים שעליהם דיברנו גם בעבר גם ביחס למימון אבטחת מידע גם - - - שתראו בהמשך וכמובן בתקנות שאני יודעת שנדון בנפרד.

שמעתי שמועה שאפילו הקצב שבו אדם מקליד על מקלדת יכול לשמש לזהות אותו באופן ביומטרי. האומנם?

יש כל מיני מיידעים ביומטריים ויכול להיות שבעתיד יהיו יותר.

נכון, ולכן בעצם הטענה שלי שכמעט כל מידע שאנחנו לא יכולים לדמיין אותו כרגע, בשנייה שהוא עוסק ב-100,000 איש, יכול לשמש ביומטרי.

אם זו האמירה, אני לא בטוחה שזה נכון, אבל אפשר גם להגיד "מידע ביומטרי שכולל תמונות פנים", כי מטביעות אצבע קשה לדמיין סיבה לאסוף טביעות אצבע שלא למטרה של השוואה. לפחות שזה יהיה נכון - - -

למעט התמונות פנים? כי כמו שאמרתי, כל צילום של רחוב ממוצע בישראל הופך להיות מאגר ביומטרי.

כן, אבל אם דורסים ולא יוצרים מאגר של 100,000 אנשים זה דבר אחד, אבל אם כן, אז זה נכון כי אין עיצום מוגבר גם אם זה צילום - - -

וכל הקלטה של המרחב הציבורי? הרי גם קול הוא מאפיין ביומטרי. כל מאגר שיחות טלפון גם אם הוא לא עוסק במידע רגיש, אלא הפשוט ביותר, הקלטה למען שיפור השירות לשירות הכי בנאלי שיש, שעצם העובדה שאדם פונה לשירות הזה, לא הופכת את זה למשהו רגיש במיוחד, כל מאגר הקלטת שיחות הוא מאגר ביומטרי.

אגב, שיחות טלפון זה דבר רגיש בהחלט, גם כשהשיחה לא אמורה להיות רגישה - - -

אבל גם אם אני לא, כל הקלטה של התנהגותו של אדם בכל דרך שהיא, כל רישום, כמו שאמרתי, גם קצב הקלדה, זה ביומטרי. באיזשהו שלב יתפתחו גם טכנולוגיות של זיהוי על פי תנוך האוזן. זה לא רק עניין של רשתית או פנים.

בסדר, אבל צריך להבין שהטכנולוגיה מתפתחת ויש יכולות כאלה, זה יכול לשמש לגורמים הלא נכונים - - -

ברור שזה יכול לשמש, אבל השאלה היא לא מה זה יכול לשמש, השאלה, כבעל מאגר, מה מבחינתי הפרה יעילה והפרה לא יעילה.

אבל ברגע שיש דלף מידע, זה לא משנה מה יש במאגר.

נכון, אז ברגע שיש דלף מידע, צריך לטפל בדלף מידע. אבל עכשיו השאלה היא לא אם יש דלף מידע או אין. השאלה אם אני מגדיל את סכום העיצום הכספי בגלל שיש משהו שלא אגרתי אותו בשביל ביומטרי ולא תכננתי להשתמש בביומטרי, אבל אפשר להשתמש בו תיאורטית לביומטרי.

נכון, ראוי שהעיצום הכספי יהיה יותר גדול כדי שיגביר את אבטחת המידע באותו מאגר. זה נדון בעת שדיברנו על ההגדרות - - -

נכון, גם אז זה היה נראה משונה, את צודקת. זה נדון גם אז.

אני דווקא הייתי בתחושה שאתם, אפילו יש כמה מהגורמים שמייצגים את החברות הפרטיות או את הגורמים הפרטיים שגם הבינו את הנושא והיו איתנו באותו אירוע לכל הפחות - - -

טוב. תודה. מישהו רוצה להתייחס לזה? כן רחל.

אני יודעת שהעמדה שלי אולי לא מקובלת פה אבל בהתחשב בזה שהטכנולוגיה רק הולכת ומתפתחת, הסכנה רק הולכת ועולה. אנחנו רואים גם מאגרי מידע שחשבנו שהם חסרי ערך, ועושים בהם שימושים מאוד בעייתיים. לכן, מבחינת הצורך במינוי ממונה אבטחת מידע והקנס הגבוה עליו, זה נכנס לרובריקה המוצדקת של גם חובת מינוי וגם הקנס הגבוה יותר.

דן אור-חוף, המועצה להגנת הפרטיות. אני הראשון לומר שההבחנה בין מידע רגיש למידע לא רגיש היא הבחנה אולי ארכאית ואולי חבל שהיא נמצאת בחוק שלנו כי עניין של רגישות היא תלויית הקשר. אולי אפרופו הדוגמה שנתת בעניין של זכות העיון.

מידע ביומטרי הוא לא מיוחד בהקשר הזה, כך אני חושב. יש עוד הרבה מאוד סוגים של מיידעים שבנסיבות מסוימות יכולים להיות מאוד רגישים וכמובן שהחוק צריך לתת מענה לזה על מנת שתהיה הגנה טובה והולמת למידע, על כל סוגיו ולא רק למידע ביומטרי.

ענר רבינוביץ' מחברת Privacy Team, הוזכר כאן בדיונים קודמים המונח "סופיות הדיון". לפני הרבה דיונים סגרנו כבר את ההגדרה של מה זה מידע ביומטרי תחת - - -

כן, אבל היא השאירה את הקולב הזה. לזכותה ייאמר שאכן היא השאירה את הקולב הזה.

ואז בעצם כאן אנחנו באים להתעלם מההגדרה הזו. אמרנו שם מידע שמשמש למטרות האלה

משמש או מיועד לזה, כן. טוב, בעניין הסכומים.

ההפרות כאן הן הפרות חמורות לכל הדעות, עם ממינוי אבטחת מידע, עם מינוי DPO למי שחייב. הפרות סעיף 11. בהינתן ההפרות החמורות האלה אנחנו חושבים שרצפה של 20,000 שקלים היא רצפה נמוכה מאוד. אנחנו מבקשים להעלות את הרצפה ל-100,000 שקלים כאן. יהיו כאן, יכולים להיות כאן גופים, עכשיו נכון שזה מכפלות לפי כמות נושאי המידע ואנחנו, היינו צריכים הרבה דיונים בשביל לקבל - - -

המאגר הכי קטן, אתה כבר מגיע לשם.

אבל יכול להיות פה מאגר קטן למשל שחייב במינוי ממונה אבטחת מידע. אני מזכיר למשל חברה שעוסקת בדירוג והארכה של אשראי חייבת במינוי ממונה אבטחת מידע גם במאגר קטן. גם ב-DPO יכולים להיות גופים קטנים שייפלו לתוך החובה הזאת ואם הם לא יעשו את זה, הם יכולים להיות צפויים ל-20,000 שקלים והפרות כאלה, זה לא עיצום נמוך.

לא נכון. האנשים האלה המידע שאצלם הוא מידע רגיש במיוחד. ולכן המכפלות הן שמונה.

4 אדוני, שמונה זה בקטגוריה הבאה. כאן זה שניים וארבע.

סליחה, שניים וארבע. 10,000 אנשים אנחנו ב-40,000, כשאנחנו 10,000 שזה כלום. זה מאגר באמת קטן. אף אחד לא עושה מאגר מידע על 10,000 איש. זה מספר מאוד קטן. אבל מה זה 10,000 אנשים, באמת זה כלום.

הפרות סעיף 11 יכולות להיות גם-100,000 אנשים.

בסדר, מלבד הרצפה?

זו ההערה היחידה שלנו על הסכומים.

אז נראה לי שנעלה גם פה את הרצפה ל-30 כמו בקודם. גם בקודם העלנו, 30 זה הגיוני.

זו קטגוריה יותר חמורה אדוני. גם לפי ההתייחסות של הוועדה.

בסדר, שומע. נעשה את זה, נשאיר 20,000 ונעשה את זה כשמדובר במידע רגיש במיוחד, נעשה את זה 40,000. נעשה רצפה של 40,000 למידע רגיש במיוחד ו-20,000 למידע רגיל, שגם הרצפות יהיו במכפלה. 20 ו-40.

שוב, אדוני, אני מזכיר, שגם פה יש לנו את ההפחתות, אנחנו אחרי הפחתות יכולים להגיע ל-70%, העילות שאנחנו הוספנו להפחתות. כלומר אנחנו באנו - - -

אבל המאגר הכי קטן אתה תגיע פה למיליונים, באמת.

עדיין אנחנו חושבים שנכון להעלות עוד.

תקשיב אני רק אומר לך. מה שאתה עושה, אבל אתה לא מסתכל על התמונה הגדולה. אתה רב על כל פינה, אתה רב על העצים ואתה מפספס את היער.

אדוני אני לא מסכים איתך. הינה, תסתכל בבקשה.

זה אפילו לא השיקול שהחוק לא יעבור. אנחנו לא נספיק אבל אתה רב על כל פינה, והתוצאה של הדבר הזה שבעסקים הזעירים אתה לעולם לא תטיל כלום ובשנייה שהם הפרו את ההפרה הכי קטנה שלך יהיה להם כרטיס חופשי ליציאה. כי כשאתה רוצה להגביר ב-70% מהתקיפות זה בעסקים הקטנים ואתה מעלה את הרצפות, התוצאה היא שהעסק הזעיר, הרצפה שלו לא תהיה משמעותית בכלל כי הוא אוטומטית ביום הראשון - - -

אדוני לעסקים הקטנים והזעירים נתנו רשת ביטחון אחרת. ולכן אני לא מסכים עם זה.

אבל אני מסביר לך שככל שהקנס שאתה מייצר, שהעיצום הכספי שאתה מייצר הוא גדול יותר, אתה תגיע לרשת הביטחון מהר יותר ותהפוך להפרה יעילה את כל ההפרות. זה מה שאני מנסה להסביר לך. עדיף לך שבעסק הקטן, אם הוא מפר הוא לא יגיד "אני כבר בכל מקרה את הקנס שלי השנה שילמתי, אני אעשה מה שאני רוצה". זה לא אינטרס שלך, זה לא אינטרס של המשק.

אתה מתעקש על משהו לא מתאים. הגדולים בכל מקרה תגיע לסכומים הרבה יותר גדולים אבל אם זה כל כך חשוב לך אני אתן לך, אני פשוט חושב שאתה מפספס, אני אומר לך בכנות. בוא נמשיך. אז 20 ו-40, אפשר לחיות עם זה. יש פה שאלת העיצום הדו שלבי על הממונה הגנת פרטיות לאלו שהם לא עמדת הברוקרס ולא גופים ציבוריים. דיברנו על זה כבר ארוכות.

דיברנו על זה מספר פעמים, אדוני. העמדה שלנו שלכל הפחות אנחנו חושבים שאם כבר עשינו מהלך שהוא מאוד משמעותי ונשאר כמובן כוח לוועדה למהלך, עדיין אם אנחנו רוצים להביא לציות וגם אנחנו חושבים שהתפקיד הזה בתוך הארגונים, תפקיד שגם יסייע להם בעמידה לציות לחוק ולהוראותיו וגם ימנע חשיפה. - - -

שנייה, מי היום חייב בדבר הזה? מי חייב היום בממונה על הגנת פרטיות? שאלה קצרה. לפי הצעת החוק היום.

גופים ציבוריים.

לא, הם רוצים גם עוד, יש עוד. גופים ציבוריים, עמדת הברוקר, גופים החייבים ברישום ומה?

והדרישות המהותיות.

הדרישות המהותית הן? כמה עסקים להערכתכם, כמה גופים ועסקים נכנסים לתוך האירוע להערכתכם במשק הישראלי?

מאות אם לא אלפי עסקים.

אלפי עסקים. יש בכלל DPO בארץ שיכולים לתת מענה בדבר הזה?

יש יותר קורסי DPO מאשר DPO בפועל, אדוני.

הרשות, לא רק הרשות, הרבה גורמים, הרשות תורמת לזה להכשרה רחבה, קורסים, השתלמויות בחסות הרשות, שלא בחסות הרשות. השוק מתפתח מאוד ובקצב מהיר.

השוק מתפתח, אני לא יכול לתת לכם עיצום כספי על משהו שבן אדם כיום לא יכול לקיים. זה לא עובד בכלל.

אפשר, אבל יש שירותים חיצוניים באמת.

לא, אני לא יכול לתת לכם עיצום כספי על משהו שאנשים לא יכולים לתת ואני מניח שגם הגופים החייבים ברישום והמאגרים החייבים ברישום וכל אלה, הם כרגע נמצאים. אני מציע שאת החובה הזאת תכללו בתיקון 15, תביאו את זה. או תעשו לזה תכולת נדחית שעוד שלוש או ארבע שנים זה ייכנס לתוקף.

אני לא רואה איך אתם יכולים להטיל את זה, איך אנחנו יכולים להטיל את זה מחר בבוקר. זה בעיניי לא הגיוני בכלל. אין אנשים בשוק שיכולים לתת את זה, אני מטיל בום על הרבה מאוד עסקים שאין להם יכולת להתמודד עם זה ואני אומר להם אתם חשופים ועוד לקנס, למעשה, גם אם דו-שלבי, אבל שיכול להיות גם של מיליונים. אתם לא אמרתם את זה הפרת רישום של קנס אחד. זה קנס לפי גודל המאגר שיכול להיות של מיליונים, בלי תקרה, כאשר לא בטוח שיש בכלל בשוק את האנשים שיכולים לתת את המענה לזה.

אדוני אפשר להציע תכולה נדחית של שנתיים ועיצום דו-שלבי?

זה גם אחרי שמקבלים הוראה מהרשות, זה לא גוף שתופסים אותו "על חם". חשוב להגיד.

בדיוק, זה כן מביא, ומצד שני זה נותן תוקף מאוד משמעותי להצעה של הוועדה.

למה שלא תביאו את זה בתיקון 15? כן יעקב?

אני יעקב עוז, להב, הלשכה לארגוני העצמאים. אני בכלל רוצה להתכתב גם עם אמירה מאוד כללית, יש פה אנשים שאומרים ובצדק, לפעמים זה נגד האינטרס ואת האינטרסים כרגע מנקים. ממונה הגנת פרטיות הוא לא יכול להיות מובחן במגזרים שתיארנו קודם במעבדי מידע, מי שמחזיק בדאטאות הגדולות מהמגזר הציבורי. זה שומר סף שאנחנו רואים אותו היום מתפקד וגורם בדיוק להגשמת מטרות החוק ולא צריך לחכות לתיקון 15 כי המאגרים והסכנות למאגרים לא מחכים לתיקון 15, עודנו מדברים.

בנוסף אני רוצה להגיש בקשת עיון חוזר לאדוני בהחלטת הקנס. מאוד חשוב ולא סתם עמיתי עו"ד אתגר אמר 4% מיד. כי GDPR נתפס כ-2% ו-10 מיליון יורו כי 4% ו-20 מיליון יורו לא סתם, וזה דבר שהוא - - -

על מה?

אני מדבר על הקנסות, אני חוזר רגע לאחור, אנחנו לא יכולים.

הוועדה הציעה מודל של שיקול דעת, הם לא רצו. אי אפשר גם וגם.

אי אפשר בלי שיקול דעת.

גם אם אנחנו לא נכנסים כרגע לסוגית שיקול הדעת, ההרתעה, ואני מדבר על אוכלוסייה שגם אמרתי לכם את זה גם בשיחות מקצועיות פרטיות. אי אפשר, אנחנו כל הזמן מתריעים ואומרים תיקון 14 ואחריו תיקון 15, יביא עיצומים משמעותיים, יביא הרתעה משמעותית.

ההרתעה חייבת להיות הרתעה מאוזנת, לא הרתעת יתר ולא הרתעת חסר ולכן אי אפשר להבחין במאגר שמי שמנהל אותו הוא הבעלים שמחזיק בו הוא סקטור פרטי, לסקטור ציבורי. זה אותו מאגר, זה בסוף אותו אזרח ישראלי או אזרחית ישראלית שאנחנו צריכים לשמור עליהם באמצעות DPO ואני מאוד מסכים עם ההצעה של הממשלה של משרד המשפטים, גם אם אני צריך לתת לזה תחולה נדחית, זה בסדר גמור. זה לא יכול - - -

אני מוכן בלי שום בעיה לכלול גם מי שמחזיק מאגר או גוף ציבורי, לדעתי הוא כלול. לכן את הנושא הזה, מי שמחזיק עבור גוף ציבורי הוא בעסק בכל מקרה כבר עכשיו, לא צריך לדבר עליו וזה קנס מאוד משמעותי וגדול והוא אפקטיבי במכפלות שעליהן אנחנו עליהם מדברים.

אני דווקא דן בשאלה האם לאור אמינות הכלל הרי יצרנו לכל השאר הסדר אמון, ועיצום כספי, וחייב דו שלבי אין בכלל חיה כזאת בלי דו-שלבי וחובה כמו שאני אומר, אני לא יודע אם מחר בבוקר יבוא הבן אדם שרוצה את ההיענות והוא לא יכול כי אין DPO כמו שאמרו, יש פה יותר קורסים מאשר DPO.

זה זמני.

בסדר, זה זמני. יש לי הצעה כזאת. מאחר ואין פה אף אחד אחר אז ההצעה תהיה החלטת הוועדה, עם מישהו אחר היינו מתווכחים. אנחנו נעשה את זה תחולה נדחית אבל בשביל לעצור את התחולה הנדחית צריך החלטה אופרטיבית. ההחלטה האופרטיבית תהיה שיבואו לפה ויגידו שיש מספיק DPO בארץ, שיבואו עם הנתונים, שיבואו עם הכללים.

כלומר כרגע עשינו את החובה, לא עשינו עליו את הכלל, תבואו עוד שנתיים עוד שלוש, יבוא השר בצו ויבטל את המורטוריום הזה של אי אכיפה, שלפני האכיפה של דבר זה צריך אישור של הוועדה. ואז אם נראה שיש, מה טוב. אם אין אני באמת לא יכול להפיל כזה דבר על השוק הפרטי.

אדוני מוטרד מזה שלא יהיו מספיק DPO בשוק ואז בעצם לא יישאר - - -

אני מוטרד גם מזה שהחובה לא מספיק ברורה, גם מכמה וכמה דברים שדיברנו עליהם, שהוראת השעה מוארכת אוטומטית אלא אם כן השר נתן צו באישור הוועדה שמפסיקה את הוראת השעה. כלומר תהיה פה הוראה שיש פה עיצום דו-שלבי. ההוראה בחוק, יש פה עיצום דו-שלבי למי שזה חל עליו. העיצום הדו-שלבי, הוראת השעה שמפקיעה אותו.

הוראת השעה מוארכת אוטומטית אלא אם כן. זאת אומרת כדי להפסיק את הוראת השעה יבוא השר לוועדת חוקה ויגיד עשינו, בדקנו, ראינו שיש מספיקDPO בשוק, ראינו שהשוק כבר התחיל להפנים את זה לא התחיל להפנים את זה, אני מבקש שהוראת השעה לא תוארך. אפשר לעשות את זה.

מבחינה ניסוחית במקום מודל של הוראת שעה, פשוט להגיד שהשר רשאי בצו אישור ועדה, לקבוע - - -

נוסח אני לא, אני מדבר על מהות.

אולי נשמע שנייה אחת. אני רק רוצה להגיד דבר אחד. היו לנו כמה דיונים על הנושא הזה ואני מרגישה שאנחנו לא נסיים את החוק הזה לעולם אם כל דבר אנחנו נפתח עכשיו בפעם השלישית והרביעית.

אבל רשמנו את זה כאן לדיון.

כי הם הכריחו אותי להכניס את זה.

היושב-ראש אמר שאנחנו יכולים להעלות את זה.

לא, אמרנו את זה, בסדר שנייה, רק רגע.

יש גם עניין של לדון בדברים אגב הדיון בהם ולא אגב עיצום על הדיון.

אני יודע, אבל פה ספציפית, החובה נקבעה כבר. את החובה קבענו. אמרנו שלשאלת העיצום נדון בעיצום, זה נכון שאמרנו את זה. יכול להיות שזו הייתה טעות בניהול שלי אבל אמרנו את זה. מאז אספנו נתונים שטוב שאספנו כולל כמה DPO יש בשוק ששאלתי וביררתי. כן, בבקשה ענר.

התבלבלנו פה עם הביצה או התרנגולת. ב-GDPR כשקבעו את החובה למנות DPO, באירופה לא היה כבר את צי DPO שרק חיכו שתבוא רגולציה ותיתן לנו אותה.

אתה צודק, אבל הליכי שיתוף הציבור שעשו לפני שקבעו את החובה הזו, מה שאנחנו לא עשינו פה. אנחנו הוספנו את זה בתיקון 14 בלי שזה הופיע בהצעת החוק הממשלתית. הליכי שיתוף הציבור נתנו שנים למשק להתארגן.

רק אני אבהיר. תחולה נדחית זה רעיון טוב, בעיניי שנה ולא שנתיים כי השוק ערוך יותר ממה שאדוני חושב.

ממה שאני חושב, לא, אז לא אכפת לי אבל - - -

שניים, אנחנו צריכים באמת לעודד את השוק לציית.

אבל בגלל זה יש פה קבוצות די משמעותיות בשוק, שבכל מקרה זה יחול עליהן במיידי. שוב, יש פה קבוצות.

כן אבל רוב הקבוצות יש להן כבר היום DPO. לרוב החברות הגדולות כבר יש DPO כבר היום, יש אנשים שממונים לעניין הזה ואין ספק בכלל שדחיית התחולה בעוד שנה נוספת עשויה לפגום גם ביכולת לאכוף. גם בכוונה של המחוקק, הכוונה של הממשלה היא ליצור אכיפה יעילה.

וליצור ארכה מתמשכת וחוזרת עד שהשר יבוא בפני הוועדה, זה לא יעבוד. זה פשוט לא יקרה לעולם אז איבדנו את כל מה שהשגנו בתיקון הזה בעיניי.

אני ממש מסכים.

בסדר אבל הוא לא שומע.

בסדר, גם החובות המהותיות כמה נתפסות.

אני מסכים פה עם ענר, אנחנו ממש פוגעים ביכולת לפקח על השוק. כל הרעיון של ממונה על הגנת הפרטיות היה להגדיל את הפיקוח ואנחנו דוחים ודוחים את זה.

אנחנו לא דוחים, שוב.

והשוק לדעתי כבר היום, יש בו הרבה מאוד יועצים משפטיים שיש להם הבנה - - -

חברים, העניין הוא מאוד פשוט. הדרך היחידה שאנחנו נוכל לנהל את הדיון הזה ולסיים היום זה אם אנשים לא יחזרו על טיעונים שנאמרו כשדנו בנושא לגופו. אפשר להחזיר, להזכיר, לשים קולב. לא צריך לפתוח הכול שוב. הדברים נאמרו, נדונו עד דק. יש בעיה שאני רואה שהיא בלייצר חובה כמו שאמרתי, שאין בסיסי עיבוד, כל הדברים האלה קיימים, זו בעיה שדיברנו עליה.

התורה שבעל פה שתיווצר פה בפרק זמן משמעותי ושנה זה מעט מדי, של מי קיבל פנייה מהרשות, ואגב להכניס את DPO בתור מנגנון הגנה, דהיינו אם פעלת ועשו עליך ביקורת אחרת ויש לךDPO ואתה עומד בדרישות החוק הכלכלי אז זה חלק מהשיקולים להפחתה זה גם מאוד משמעותי.

לכן כאשר בן אדם יודע שאם יש לו DPO הקנס שלו יופחת ב-30% כי הוא מציית לשאר ההוראות החוק, אז זה שווה יותר מאשר רק עיצום כספי רק על DPO כי יש פה דברים אחרים. יש לזה גם משמעות. ולכן זה לא שזה חסר משמעות, זה לא שאם יש עיצום כספי שבן רגע נולד ובן רגע קם ונהיה אז כל התיקון לחוק חסר משמעות. בואו נרגיע את הטרמינולוגיה האפוקליפטית פה.

יש פה בשורה גדולה וחשובה, יש פה גופים שזה מתחיל כבר מחר בבוקר כולל עם אכיפה. יש פה גופים שבכל מקרה צריך מודל דו-שלבי שאין פה בסיסי עיבוד, נהיה כולנו חכמים יותר אם בעוד שנתיים או שלוש נשב פה ונחליט שלפני שמתחילים לאכוף את הדבר הזה אנחנו רואים איך השוק התייחס לתיקון מספר 14.

אני מקווה שעד אז יבוא תיקון 15, לפחות ברמת הזה, ויהיה אפשר לשלב את זה שם. אם לא, אז אנחנו נהיה יותר חכמים לראות גם איזה גופים קיבלו את הדרישה, איך הרשות מפרשת בביקורות עומק שלה, היא זיהתה שלא היה DPO בגופים האלה והאלה, אנחנו נהיה יותר חכמים.

אדוני אם כבר, בשביל שלא נצטרך לשבת פה עוד שלוש שנים אנחנו או הנכדים שלנו כשיגיע תיקון 15, ישבו פה, יש לקבוע מועד שבו זה יתחיל לחול, אם לשיטת השר או הוועדה באותו מועד זה עדיין מוקדם מדי, שהם אז יאריכו את זה, אבל שלא תהיה הארכה אוטומטית כל פעם. כי אז זה פשוט לא ייכנס לתוקף לעולם.

טוב, אני לא. אני אומר את זה בתחולה נדחית כמו שאמרתי וכדי להפעיל את זה צריך יהיה צו באישור. להפעיל את העיצום הכספי פה יהיה צריך באישור וועדה.

אבל אני מציעה שהוועדה לא תבחן את הנושא של כמה DPO יש בארץ.

בוודאי שלא. נסתכל על המכלול כמו שאמרתי. לא רק השאלה כמה DPO יש בשטח.

זהו, אין תמריץ למנות אותו. אין תמריץ בכלל לאנשים - - -

זה לא נכון מה שאתה אומר, במחילה. בוודאי שיש תמריץ כי א' הפרת חוב החקוקה לא נולדה אתמול שלשום. זה אחד. שניים.

אז אתה אומר שבמקום שהם יקבלו את הסעד שלהם תחת החוק עצמו, שילכו לחוק פקודת הנזיקין?

לא.

ענר, תראה, הסעיף הזה הוא סעיף שבאמת, והיושב-ראש גם ציין את זה בעבר. זה סעיף שהוספנו במסגרת תיקון 14, ניסינו לעשות את המרב כדי שהסעיף הזה יהיה מיטבי וניסינו לשמוע את הציבור. ועדיין מבחינת הליכי החקיקה הייתי יותר שמחה אם הוא היה נמצא בהצעת חוק ממשלתית. אנחנו מנסים לייצר פה איזשהו איזון.

שוב, בתחילה נדחה את זה, נכון, אבל שזה יהיה אירוע מתגלגל עד שנקבל אישור שר פלוס ועדה, זה לעולם לא יקרה.

אם אפשר, הצעתו של אדוני, אנחנו יכולים לחיות אתה, קביעה בעצם של עיצום, כמובן עיצום דו-שלבי עם תחולה נדחית של שנתיים. אני מאוד מאמין ביכולת שלנו גם מול שר המשפטים וגם מול הוועדה לעשות את הפעולה הזו. אני אישית חושב שלא צריך את כל המנגנון הזה. צריך נניח ללכת לתחולה נדחית של שנתיים, כמובן עיצום דו-שלבי אבל אנחנו לא מתנגדים.

אני אישית חושב שדיברנו על זה. כאשר מייצרים DPO כשאין את החובות המהותיות ואין לו - - - שעליו צריך להפעיל את הזה, וכל מה שיש לנו בסופו של דבר זה שהוא יהיה מומחה לפרשנות של הנהלים של רשות להגנת הפרטיות, צריך לתת לשוק איך לחיות עם זה.

אדוני, DPO לא עושה רק פרשנות לחוק הגנת הפרטיות ותקנות. DPO נמצא בארגונים וחלות עליו גם רגולציות נוספות מגזריות וכך הלאה והוא גם מתכתב עם עיבוד מידע והעברת מידע גם מחוץ לגבולות המדינה. ל-DPO יש תחולה רחבה מאוד, ולפי דעתי ואני לא מסכים פה עם ראש הרשות, ודווקא כן מסכים עם ענר, שנה, במצב שאנחנו נמצאים בו שים לב, אנחנו כל פעם מדברים - - -

תודה.

אם אני יכול רק לסיים משפט ולומר, שנה זה זמן נכון, ונוח גם ליישום הזה כדי לחזור.

כרגע הסעיף הזה, האכיפה שלו לא תוכל להתבצע אלא בצו אישור ועדה. לא שנה, שנתיים, ולא שלוש. צו באישור ועדה זה כדי לאכוף את העיצום הכספי על אלה שהם לא מנהלים את המאגרים הציבוריים, לכן אני לא שם, תבואו עוד חצי שנה תשכנעו אותי, אם יהיו נתונים וזה, למה לא? תבואו תגידו שלא, שלוש שנים. אני רק אומר לכם מה אני אבקש, ואני אומר את זה גם לטובת העתיד והפרוטוקול.

אני רוצה לדעת שגם ההיענות הזאת אפשרית מבחינת השוק, וגם שאלה של מספר DPO וכמה יש, זה נושא אחד שהוא מאוד חשוב, שאני לא דורש היענות שלא תיתכן, זה אחת. שתיים, אני מציע שאתם תבואו לאותו דיון, אם בדקנו בביקורות רוחב כך וכך וראינו שכך וכך עסקים שלפרשנותנו היו צריכים DPO, מפרשים את החוק בצורה לא טובה ולכן אנחנו צריכים - - - כלומר, תראו איזו עבודה אתם עשיתם בנושא.

זה לא יהיה על בסיס של "טוב, חלפה שנה, בואו נעשה", ולכן אני לא קובע פה לוחות זמנים כי אני רוצה שאתם תבואו לוועדה ואתם תראו מה מידת ההיענות שיש לדבר הזה נכון להיום. בכמה מהעסקים שחשבתם שצריך DPO מונוDPO , בכמה לא. וכן אנחנו נכניס את DPO לטובת כמה עיצומים כספיים שנתתם הפחתתם, כי אם כן מינו DPOכי הם כן פעלו כמו שחשבתם, ואחר כך אנחנו נראה את הצורך, את היכולת את האפשרות ואת הכלים. זה ידרוש צו באישור ועדה לדבר הזה.

אני מציע לא להבנות את השיקולים בתוך החוק, נכון? זאת אומרת רק לוודא, נראה לי כמו שנעמה אמרה יש מגוון של שיקולים שהוועדה - - -

זה מגוון, אני אמרתי מה שעניין אותי. אם אני יושב פה, זה מה שמעניין אותי. יושב-ראש ועדה אחר, יכול להיות שיעניינו אותו דברים אחרים.

פשוט לקבוע שהשר רשאי בצו אישור ועדה לקבוע.

מאחר שזה משהו חדש, אנחנו נחשוב על זה בהפסקה ונראה.

בכל מקרה תהיה פה הפסקה שבה אנחנו מגבירים את הפיקוח על הגנת הפרטיות באמצעות צו נתוני תקשורת כמו שאתם יודעים, שאנחנו נעשה את זה בדיון קצר ובזמן הזה תוכלו. טוב, בואו נתקדם.

עיצום כספי
23כג.
(ה)

הפר בעל שליטה במאגר מידע או מחזיק במאגר הוראה מההוראות לפי חוק זה, כמפורט להן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום של 4 שקלים לכל אדם שמידע אישי על אודותיו נמצא במאגר המידע, ואם היה המידע האישי במאגר המידע מידע רגיש במיוחד – בסכום של 8 שקלים לכל אדם, ובלבד שלא יוטל על בעל שליטה במאגר מידע או מחזיק במאגר עיצום כספי בסכום הקטן מ-200,000 שקלים חדשים:










(1)
הפר הוראה להפסקת הפרה שנתן לו ראש הרשות לפי סעיף 6גא;




(2)
הפר הוראה להפסקת הפרה שנתן לו ראש הרשות לפי סעיף 6ג(ב) ;




(3)
עיבד מידע אישי במאגר מידע למטרה שאינה כדין, אלא אם כן העיבוד נעשה רק בניגוד להוראות סעיף 2, בניגוד להוראות סעיף 8(ב);

מה זה הניסוח הזה "העיבוד נעשה רק בניגוד להוראות סעיף 2, בניגוד להוראות סעיף 8(ב)".
זו שלילה כפולה.

כן, כי אדוני ביקש ובהתאם פיצלנו.

בסדר אבל צריך לנסח את זה בצורה שתהיה ברורה, אלא אם כן מדובר רק בהפרה בניגוד לסעיף 8(ב).

לא, הפוך. בכל מקרה זו הפרה לפי סעיף 8(ב). העניין הוא שסעיף 8(ב) אוסר על עיבוד מידע למטרה שנקבעה שלא כדין, ואם הדין הוא סעיף 2 אז אנחנו הולכים לעיצום הדו-שלבי, זו המשמעות של ההוראה.

בקיצור, צריך או לפצל לשם את הסעיף או לעשות את זה בצורה שזה יהיה בניסוח היותר נכון, כי הניסוח הזה הוא בעייתי.

עיצום כספי
23כג.

(4)
עיבד מידע אישי בלא הרשאה של בעל השליטה במאגר המידע, או בחריגה מהרשאה כאמור, בניגוד להוראות סעיף 8(ג);




(5)
בעל שליטה שמסר מידע מאת גוף ציבורי, בניגוד להוראות סעיף 23ב, מבלי שהתקיימו הוראות סעיפים 23ג.



ההערה לגבי בעל השליטה היא הערה של הממשלה, אני לא בטוחה שנכון להפעיל את זה רק לבעל שליטה, אני לא כל כך מבינה למה מחזיק לא רלוונטי כאן גם אבל אולי הממשלה תסביר, וגם יש לנו כאן.

בשניהם אני לא מקבל את זה. את הנושא של הביומטרי אני מוריד בשניהם. מצטער, סליחה מיכל.

ההוראה זו הוראה מהותית שחלה על גופים ציבוריים, האיסור הוא על גוף ציבורי למסור את המידע.

ואם אני מחזיק של גוף ציבורי?

אז האיסור הוא על הגוף הציבורי, עדיין למסור את המידע. אם אני מחזיק ומסרתי בלי הרשאה מבעל השליטה יש כבר הפרות ועבירות אחרות שעוסקות בזה.

זה (4) כביכול. זה ייכנס ל-(4) מבחינתכם?

כן.

בסדר גמור.

המאגרים הביומטריים?

לזה אין הערות? פה אתם לא מתלוננים שנתתי לכם רצפה נמוכה מדי או גבוהה מדי? פה נתתי לכם הרבה יותר ממה שביקשתם בחלק גדול מהמאגרים, ואת זה אתם לא סופרים.

אני כן רוצה להגיד לגבי (1) ו-(2) שהפרת הוראה להפסקת הפרה בהחלט, יש לנו כבר איזשהו תהליך, "עיבד מידע אישי במידע בלא הרשאה של בעל השליטה או בחריגה מההרשאה", במיוחד חריגה מההרשאה, זה כן משהו שמרגיש אולי שיש לגביו איזה קושי. אם יש לוועדה רצון להתייחס לזה.

אני מבין שהמצב שאנחנו מדברים עליו זה סוג של גניבת מאגר, וזה לא מעשה. אומנם, אנחנו בעולם העיצומים הכספיים אבל למעשה זה בהחלט זה ברמת הפלילי.

יש עוד הערות ל-(ה)?

עיצום כספי

23כג.
(ו)

עיבד בעל שליטה במאגר מידע או מחזיק במאגר מידע מידע אישי שלא בהתאם למטרה שנקבע לו, בניגוד להוראות סעיף 8(ב), בנסיבות שבהן ניתן היה לקבוע כדין מטרה כאמור, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בשיעור הקבוע בפרט (15) לתוספת השלישית.





(ז)

לא מסר בעל שליטה במאגר מידע או מחזיק במאגר מסמך או עותק מחומר מחשב למפקח בניגוד להוראות סעיף 23י(א)(2) או (3), רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בשיעור של 300,000 שקלים חדשים.










(ח)




הפר בעל שליטה במאגר מידע או מחזיק במאגר הוראה מהוראות התקנות שנקבעו לפי סעיף 36, כמפורט בטור א' לתוספת השלישית, החלה עליו, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום הקבוע לגביו בטור ב', בטור ג', בטור ד' או בטור ה' לצד אותה הוראה, לפי העניין ואם היה מאגר המידע מאגר שחלה עליו רמת האבטחה הגבוהה בתוספת האמורה, ויש בו מידע על אודות 1,000,000 בני אדם ומעלה, רשאי ראש הרשות להטיל עליו כפל הסכום הקבוע בטור ה' לצד אותה הוראה.



כלומר, אלה מגה-מאגרים שדיברנו עליהם בתקנות אבטחת מידע.

עיצום כספי
23כג.
(ט)
(1)
הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מהוראות התקנות שנקבעו בתוספת הרביעית (תקנות הגישור), כמפורט בטור א' (פסקאות (1) עד (4) בחלק הראשון לתוספת הרביעית, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום הקבוע בטור ב' לצד אותה הוראה.

רק מבחינת נוסח, כבר אין שם חלק א' וחלק ב' בתוספת.

יהיה.

פסקאות (1) עד (4) זה נכון.

יכול להיות שיהיה אבל לא משנה, זה באמת עניין של נוסח.

הכוונה ברורה.

אם אתם רוצים אז יהיה, יקראו לו חלק א'.

זה עניין נוסח.

זה עניין נוסח, בסדר. (2) הפרות, החלק השני שזה (5) עד (8).

עיצום כספי
23כג.
(ט)
(2)
מצא ראש הרשות כי בעל שליטה במאגר מידע או מחזיק במאגר מידע הפר הוראה מהוראות התקנות שנקבעו לפי סעיף 36, כמפורט בטור א' לחלק השני בתוספת הרביעית (תקנות הגישור). פסקאות (5) עד (8), רשאי ראש הרשות להודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק את ההפרה בתוך תקופה שיורה; לא הפסיק בעל השליטה במאגר המידע או המחזיק במאגר המידע את ההפרה בניגוד להוראות ראש הרשות כאמור, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה, בסכום הקבוע בטור ב' לצד אותה הוראה.



זה למעשה העיצום הדו-שלבי של חלק מתקנות הוראות הגישור.

עיצום כספי
23כג.
(י)
(1)
נמסרה למחזיק במאגר מידע דרישת תשלום בשל הפרת הוראה כאמור בסעיף קטן (ח) (תקנות אבטחת מידע), יודיע על כך ראש הרשות לבעל השליטה במאגר המידע בצירוף העתק מדרישת התשלום שנמסרה למחזיק, ויורה לבעל השליטה במאגר לפעול להפסקת ההפרה בידי המחזיק, והכול בתוך תקופה, כפי שיורה ראש הרשות.




(2)
לא הופסקה ההפרה כאמור בפסקה (1) ולא ביצע בעל השליטה במאגר מידע את שדרש ממנו ראש הרשות לשם הפסקת ההפרה, רשאי ראש הרשות למסור לו הודעה על כוונת חיוב כאמור בסעיף 23כג בשל אותה הפרה, ויחולו לגבי בעל השליטה במאגר המידע לעניין אותה הפרה, בשינויים המחויבים, ההוראות לפי סימן זה, כאילו הוא היה המפר; סכום העיצום הכספי שיוטל על בעל השליטה במאגר המידע בשל הפרה כאמור יהיה הסכום שניתן להטיל על המחזיק בשל אותה הפרה.



זהו, עד כאן.

יש הערות בקשר לזה?

אולי כל עוד שזה טרי, נעבור גם על תקנות ההפחתה כדי שנסגור כבר את נושא העיצומים?

כן. מבחינת סכומים.

תקנות ההפחתה.

הגענו לאיזון שהרגיע אותך קצת, גלעד?

לגבי ההפרות הפרטניות - לא.

לא נורא.

לא, זה נורא, אדוני.

ויתרנו על 100,000 שם.

בעניין שני דברים שעדיין מטרידים אותי. אחד זה ההפרות הפרטניות שאדוני העלה ל-15,000 שקלים אבל אני עדיין לא זה, וגם הייתה לנו גם את הרצפה ביחס לממונה אבטחת מידע וכדומה. אז אני אשמח בהפסקה שיש לנו, לעשות.

זה סופיות הדיון, תגיד עכשיו או לנצח החזק את אמירתך, כמו שאומרים.

אז אם אנחנו רוצים לסיים את זה עכשיו, אז בוא.

סיימנו.

אז אני עדיין חושב אדוני, שבייחוד בהפרות הפרטניות אנחנו - - -

בסדר, הגענו פה וגם שאלנו את הסכומים כמה נהוג, בשנייה שהעלנו את הסכום של 15,000 שקלים, יחסית למה שנהוג על הפרה מהסוג הזה בארצות GDPR אנחנו ברף הגבוה יחסית של מה שנהוג, הגבוה.

להערכתי הנמוך ביחס, גם אם אני מאזן בין מה שרחל אמרה 42,000 יורו שניתנו במקרה.

42,000 יורו נתנו במקרה של קטין.

מה היה המקרה של 42,000 יורו בבקשה?

לפי מה שקראתי במהירות, זה היה מקרה של הפרת זכות עיון כלפי קטין, של מוסד בנקאי שהתמשכה.

כלומר זה היה כמה פעמים.

פשוט לא נתנו מענה.

כמה וכמה פעמים.

אולי אדוני, לא 42,000 יורו אבל אנחנו מדברים, לא יכול להיראות במספר הזה 6,000 אנחנו לא מדברים על 15,000 שקלים.

לא, זה כבר העלינו.

לא יכולים להיראות, וההבחנה הזו בין המידע למידע רגיש.

במרבית המקרים כמה היה שם? אילו מספרים היו שם?

בין מאות יורו לאלפי יורו בודדים.

בסדר, אז אני חי עם זה בשלום. סופיות הדיון. עכשיו אנחנו בתקנות ההפחתה.

אז אני מבקש אולי אדוני, אם נזכיר לכולנו אחרי תקנות ההפחתה. אנחנו מציעים כאן 15,000 שקלים כשהיום אין תקנות הפחתה וכאן יש תקנות הפחתה וזה יכול להוריד את העיצום לכדי אלפים בודדים. זה מספר מאוד נמוך.

בסדר, נשמע, דנו והחלנו. סדר היום הוא כזה, מתי הישיבה שלנו הבאה?

12:30.

בשעה 12:30 יש לנו הפסקה שמיועדת להיות חצי שעה אפילו פחות, בנוגע להגברת ההגנה לחוק נתוני תקשורת. הצעת חוק שאני מתאר שנוגעת לחלק מהאנשים שפה, השבת חובת הדיווח לכנסת שהייתה בהתחלה, כוחה של הוראת שעה.

הייתה שם הוראת שעה שפקעה עצמונית ולכן אין מי שמפקח על נתוני תקשורת ואת זה אנחנו מחזירים. הצעת חוק שזכתה לתמיכתם של חברי כנסת, קואליציה, אופוזיציה, מכל המפלגות, הצעת חוק שלי ובעזרת השם, אנחנו נכין אותה לקריאה ראשונה בזמן די קצר כי היא די פשוטה.

ב-12:00 נצא להפסקה עבור כולם, וב-13:00 נשוב ונתכנס, אחרי הפסקה לכולם.

לפני סכומי ההפחתה יש את נושא תקנות הגישור או סכומים על תקנות הגישור, אני רק מבקש לוודא. יש כאן במסמך שהופץ, את הסכומים שהם צמודים לסכומים ביחס להפרות הפרטניות וזה לפי העניין. אני מבקש רק שאת העדכונים שעשינו עכשיו בדיון ביחס לסכומים של החוק נעשה בהתאמה גם בתקנות הגישור, זה רק לסכם את העניין הזה, כל ההעלאות, הרצפות שהועלו והסכומים הפרטניים שהועלו - - -

בסדר שנייה, תכף, אבל זו התאמת נוסח. בסדר גמור. טוב, אנחנו עוברים לתקנות ההפחתה, נכון?

לא, אם יש לנו זמן, נעבור לתקנות הגישור, נוודא את הסכומים ונמשיך לתקנות ההפחתה, נעשה לפי הסדר. עמוד 76.

עמוד 76, כן.

הנה טור א', סליחה, חלק ראשון.

טור א'
(1)
בעל שליטה במאגר מידע שלא הודיע בכתב לנושא המידע על החלטתו בבקשה לפי הוראות תקנה 3(א).

זה 15 בלי הבחנה בין סוג המידע.

טור א'
(2)
בעל שליטה במאגר מידע אשר לא הפעיל כל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד וכולי.



קראנו את זה כבר בעבר, אני מקצרת.

רק מה שצריך לתקן פה, הגדלנו מ-20 ל-30 נכון? זה לא פחות מ-30.

לא, סליחה. הרצפה כאן היא 20,000 למידע רגיל ו-40,000 למידע רגיש.

נכון, עשינו 20 ו-40. קאפ של לא יותר מ-4 מיליון, אני מבין שירדנו ממנו? ירדנו ממנו גם ברגיל, נרד ממנו גם פה.

אין פה תקרה כללית. התקרות הן רק לעסקים קטנים וזעירים.

שב"ס? על זה? שירות בתי הסוהר? טוב אז תעלו אותה. שירות בתי הסוהר יש להם מעמד-על כאן בוועדה. שלום.

רק תציגו את עצמכם.

לצערי אתם לא מקבלים מספיק מידע מהאיחוד האירופי. כן?

בוקר טוב, מוטי רמ"ח הגנת סייבר, שב"ס.

עו"ד חגית פרידמן יועמ"ש חטיבת הטכנולוגיה.

כן.

תודה על זכות הדיבור, דיברנו, ונציע שיכניסו את שב"ס כרשות הביטחון. אומנם זה לא קשור בקשר הדוק למה שדיברנו כרגע אבל יש קשר מכיוון שחל עלינו רישום מאגרים וכפי שהצגנו לרשות הגנת הפרטיות אנחנו חשופים לפגיעה, לחשיפה של דרכי פעולה, ולכן אנחנו מבקשים שתינתן לנו ההגנה שניתנת לרשות ביטחון. אנחנו לא כמו משטרת ישראל ושב"ס ולא נצטרך לרשום - - -

ושיהיה לכם את הממונה ואת כל ההסדר, זה מה שרציתם?

לא, זה לא קשור, בהסדר הם פה מבקשים.

אתם לא בהסדר? לא הבנתי. הם כן בהסדר.

הם בהסדר. רגע, אולי אני אסביר?

מה הם רוצים?

הם מדברים פה על נושא לחלוטין לא קשור, על סעיף שלא נפתח בכלל בחוק. בעבר היו פניות של השר שלהם בנושא, קיבלו תשובות משרי המשפטים לדורותיהם, ובמקום להמשיך את העבודה - - -

מה, אני לא רוצה כרגע את המטה דאטה.

סעיף 19.

כרגע אתה נותן לי מטה דאטה, תן לי בבקשה את המידע עצמו, מה הם רוצים.

להכניס אותם לרשימה שנמצאת בסעיף 19 בכלל, שלא דנו בו, הוא לא קשור בכלל לנושא ואני באמת מבקש מהוועדה, זה נושא להמשך הדיונים הממשלתיים הפנימיים, זה חורג מכל המדיניות הממשלתית ואין שום מקום לפתיחה של הדבר הזה עכשיו.

הם רוצים להיכנס ל-19ג?

כן.

נכון - - -

תן לי להבין מה הם רוצים, לפני שאגיד למה לא. לא הבנתי למה הם באים עכשיו.
מוקו

יש לקונה בהגדרה של שב"ס לאורך כל החוק. אנחנו בסך הכול מנסים ליישר את ההגדרות של שב"ס ביחס לכל סעיפי החוק, זה הכול. רק לעשות סדר, לא משהו שונה, לא משהו חדש ולא משהו לא מקובל.

טוב, אני רק חייב לומר. יש לי תחושה, חלילה וחס, אני גם מברך אתכם על שהתחלתם לעבוד יותר כרשות מודיעין, הקמתם שם מחלקה מיוחדת לעניין מודיעין וזה בהחלט חשוב. אומנם, הצעת החוק הזו התפרשה רבות מעבר למה שהיא הייתה בקריאה הראשונה, אבל זה ספציפית, עומד לגדר נושא חדש.

אני לא יכול להוסיף את זה להצעת החוק כי זה נושא ש"טוען ברכה" לעצמו. אני בהחלט מקווה שבמסגרת - - - תביאו חוק ספציפי או מטעמכם כמשרד, או במסגרת הכנה לתיקון 15 תוסיפו אותם, יש חברי כנסת שמציעים הצעות חוק פרטיות שונות לטובת כל מיני דברים. גם זאת דרך אבל זה נושא חדש לחוק, אנחנו לא נוגעים בסעיף הזה בכלל. הוא חורג ממה שאנחנו יכולים לעשות פה במסגרת דיוני הוועדה, צר לי.

תודה.

תודה. טוב, בואו נמשיך.

טור א'
(3)
בעל שליטה במאגר מידע אשר לא הפעיל כל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן וכולי.



אותם סכומים למיטב הבנתי, אלא אם כן - - -

כמו סעיף (2).

כן.

עם אותן תקרות. תקרות ורצפות. כן.

(4) זה אותו דבר, בעל שליטה במאגר מידע אשר מצא, בין השאר על סמך - - -

קראנו את זה כבר, לא?

נכון, אבל אנחנו - - -

בסדר, אז (4) רק עדכון התקרה. (5), שזו בקשה למחיקת מידע. אבל למה זה לא פרטני? זה לא פרטני, זו מחיקה כללית כזאת? למה פה התקרות הן - - -

זה עניין של הפרה, אלה הוראות הפרה.

אני מבין, אבל זו בקשה כתובה למחיקת מידע זה יותר דומה לכאורה לטור א' ל-(1) מאשר לשאר, לא? כי זה פרטני.

זה אחרי שראש הרשות כבר הוראה להם להפסיק הפרה.

לא. זו הודעה מאת ראש הרשות, הבנתי.

זו הפרה של הוראת ראש הרשות.

הבנתי, בסדר. זה (4)(8) ולא פחות מ-200,000.

(6) אותו הדבר "בעל שליטה במאגר מידע אשר מצא, כי במאגר המידע מוחזק מידע שאינו נחוץ".

(4)(8) כנ"ל, אותו הדבר ואותה רצפה של 200,000. בסדר גמור. הפחתות. אבל אני כן אעשה הפסקה של 3 דקות. עד 11:05.


(הישיבה נפסקה בשעה 11:01 ונתחדשה בשעה 11:06.)

הפחתות. ראש הרשות.

הפחתות עמוד 78.

אומר לפרוטוקול, לגבי אופן חישוב העיצומים ביחס לתקנות הגישור. נבהיר שהנוסחה הזו מתייחסת שלמשל 4 שקלים ו-8 שקלים לכל נושא מידע, היא מתייחסת בעצם לגודל המאגר ולא לכמות האנשים שלגביהם נעשתה ההפרה. כי זה לא 4 שקלים לבן אחד לאדם שלא נתנה לו זכות המחיקה, אלא החישוב הוא לפי גודל המאגר כפי שנעשה ביחס להפרות החוק שהן לפי גודל המאגר - - -

אמת אבל - - -

רגע, לא כתוב בטקסט.

אבל אם ההודעה שניתנה לגבי ראש הרשות על מאגר, כמו שאמרנו שיכול להיות שחלקו הגיע ממדינה אירופית וחלקו לא, ועל החלק שהגיע מהמדינה האירופית נתן ראש הרשות את ההוראה למחוק, בחלק כזה גודל מאגר הוא הגודל שלגביו ניתנה הוראת המחיקה, לא גודל המאגר הכללי.

חשוב שזה יהיה ברור. כלומר, זה לא "אני בודק את גודל המאגר". אם במאגר שיש בו 1 מיליון נושאי מידע רק לגבי 100,000 ניתנה הוראת המחיקה, המאגר הוא הגודל שעליו ניתנה הוראת המחיקה, לא גודל המאגר.

המאגר שלגביו ניתנה, כי הוראת המחיקה יכולה להיות על פרט נושא מידע אחד. כאשר ראש הרשות נותן הוראת מחיקה, הוא צריך להגדיר ביחס לאיזה מאגר ניתנה ההוראה.

אני יודע, אבל אם יש לי מאגר שיש בו 1 מיליון נושאי מידע אבל רק לגבי עשרה מהם יש הפרה כי רק עשרה מהם הגיעו מאירופה, אנחנו בתקנות הגישור. כל השאר הם ישראלים. אני זוכר שאמרתי, כן אני יודע. ראה כאילו אמרת את מה שאתה רוצה לומר, ועדיין הוראת מחיקה ניתנה לגבי עשרה מהם כי לגבי השאר עמדנו בחובות אותו אדם. כן, יחול רק על ההסרה. לא יהיה שהמאגר הוא של 1 מיליון.

אבל סכום העיצום לא - - -

לא, כי יש שם לא פחות מ-200,000.

אתם הבאתם סכומים הרבה יותר נמוכים לתקנות הגישור.

הוויכוח פה, יש לך פחות מ-200,000 אבל בסופו של דבר זה לא גודל המאגר. זה גודל הבנק שעליו ניתנה הוראת המחיקה. טוב, הפחתה.

רגע, הוראת המחיקה או הוראה של ראש הרשות?

ההוראות הרלוונטיות, כן. ראש הרשות יפחית, או רשאי להפחית.

בזמנו בדיון הקודם אמרת שאתה מבקש שזה יהיה יפחית אבל גם זו הפרשנות של משרד המשפטים.

אבל הנוסח המקובל הוא - - -

למיטב הבנתי הם לא מתנגדים מהותית.

בדקנו שוב עם המומחים לנושא. העמדה צריך להיות רשאי.

ראש הרשות.

פעם שעברה אמרתם שזה בסדר.

לכן אני אומר שבדקנו.

זה לא קריטי, זו שאלה של מה שתחליט נעמה.

לא, הוועדה צריכה להחליט.

אני מחליט שמה שאת תחליטי מקובל עליי.

זו חריגה מהתבנית הממשלתית.

זה כבר מזמן בחריגה מהתבנית הממשלתית.

איסור האצלות.

עוד מעט נגיע להאצלות.

תכף נגיע להאצלות. חכה. החלטתי - "ראש הרשות יפחית למפר את סכום העיצום הכספי, בהתקיים" - - -

רק האמירה היא ככלל המדיניות, גם החד-משמעית שצריך להפעיל את הנושאים האלה באופן שוויוני ואחיד. מקרים באמת קשים כמו שלמשל נעמה עלתה עליהם, על גוף שהוא חסר הכנסות או משהו כזה, צריך להשאיר איזושהי מידה, ולו קטנה מאוד, של שיקול דעת. ולכן אנחנו רוצים להישאר עם התבנית.

אבל דווקא המקרה שאני תיארתי הוא מקרה שבו אתה רוצה להפחית יותר, לא מקרה שאתה לא רוצה להפחית.

לא, מקרה שיש לגוף הון אבל אין לו הכנסות, ואז לכאורה הסכום שלו יהיה אפס.

זה הדבר היחיד ששם מעורר בעיה. נדבר עליו ספציפית, כל השאר צריך להיות הפחתה. שם באמת מה קורה שלכאורה, יש גופים שגובה הקנס שלהם הוא אפס?

הטיעון היחיד שיכולתי אולי לחשוב עליו, הוא - - -

"יושב ראש הוועדה יפחית את הדיון בנוגע לראש הרשות", יפחית.

הפחתה בשל התנהגות המפר
1.

ראש הרשות יפחית/רשאי להפחית למפר את סכום העיצום הכספי, בהתקיים נסיבה מהנסיבות כמפורט בפסקאות שלהלן ובשיעור כמפורט לצדה:



(1)
בשלוש השנים שקדמו להפרת ההוראה שבשלה מוטל על המפר עיצום כספי, לא הוטל עליו עיצום כספי או אמצעי אכיפה מינהלית לפי פרק ד3 לחוק, בשל הפרת אותה הוראה–10%, ואם, בחמש השנים שקדמו להפרה, לא הוטל על המפר עיצום כספי או אמצעי אכיפה מינהלית כאמור בשל הפרת כל הוראה לפי החוק–20%;



כלומר 10% זו אותה הפרה, 20% זה בכלל "ילד טוב", אגב, "לא הוטל על המפר", בסדר.



(2)
המפר הפסיק את ההפרה מיוזמתו ודיווח עליה לראש הרשות – 30%;



(3)
המפר נקט פעולות למניעת הישנות ההפרה ולהקטנת הנזק, להנחת דעתו של ראש הרשות – 20%;



(4)
פיצוי שנפסק/ששולם לחובת המפר/שנפסק וששולם בגין אותן נסיבות/הפרות –בשיעור שלא יעלה על 30%.



אז אלה ההפחתות הפשוטות יחסית. השאלה היחידה שנשארה פה בעצם לדיון זה (4). כאשר יש מצב שמפר קיבל לפי, או שאמרנו שהוא לפי התביעות האישיות שאמרנו שנעשה או שהוא פיצה אותו בגין תובענה אחרת, תביעה אזרחית, תביעה עם הוכחת נזק, יכולים להיות לו כל מיני מצבים.

לפעמים על אותה הפרה, בוודאי בבין-לאומיים. יכול להיות שהוא כבר נקנס במדינה אחרת. השאלה אם גם לזה אתם מתכוונים, אני לא יודע אם אתם רוצים להתייחס לזה. יכול להיות מצב שיש מאגר בין-לאומי שעליו ארצותGDPR הטילו עיצום של 3 מיליון דולר או 3 מיליון יורו ופתאום עכשיו אתה אומר לו שמעתי שגם אתה וגם אני מוסיף לך משלי, אז זה בוודאי שיקול להפחתה. האם צריך להיות ששולם או שזה נפסק?

רגע, אנחנו לא רוצים לעודד בהכרח סיום ההליך בבית המשפט. אם מישהו הגיש תביעה ואז שולם ולא נפסק, כלומר הגיעו לפשרה, או לפני שהוא הגיש תביעה, הוא פנה לחברה והחברה אמרה לו "לפני שאתה מגיש תביעה, הנה קח פיצוי", האם במצב כזה אנחנו רוצים לעודד את שני הצדדים ללכת לבית המשפט?

לא, ולכן "שנפסק" אני לא מת על זה. "ששולם" זה בוודאי הגיוני. "ו/או", שיהיה "או". כי בשנייה שנפסק בבית משפט פיצוי, אני לא נכנס לתחרות מי יגבה קודם. יכול להיות שאתם תגבו קודם, יכול להיות - - -

אבל אם הוא לא שילם?

מה?

אבל אם הוא לא מציית?

ואם הוא לא ישלם גם לכם את העיצום הכספי? מה זה קשור? כי אם לצורך העניין הוא קיבל פיצוי כספי בבית משפט 10,000 שקלים. ואתם על ההפרה הזאת מטילים גם עוד 15,000 שקלים ובסופו של דבר זו תחרות בין הכיס הפרטי של מי שממש נפגע כתוצאה מההפרה, לביניכם. למה שאתם תנצחו? בסופו של דבר זה עוד לא נקבע אבל למה שתנצחו את היחיד, שזכותו ממש נפגעה?

אבל אני לא מצליחה להבין למה זו תחרות.

כי תמיד עסק, יכול להיות שכבר לקחתם לו 5% מההכנסות והוא בפשיטת רגל, אז יש לו עדיפות.

ב-15,000 שקלים הוא יהיה בפשיטת רגל?

לא 15,000 אבל זה יכול להיות הרבה.

רגע, שנייה. בקריאה נוספת של הדבר הזה מה שמפריע לי יותר זה לא זה. אלא שאנחנו מדברים פה על בשיעור שלא יעלה על 30%, אבל 30% לכאורה מהעיצום הכספי. וזה צריך להיות אולי אפילו יותר אבל מהסכום שנפסק לו אולי דרך, כלומר - - -

לא, אבל ברור, יש פה שיקול.

תחשוב שיש לך עכשיו עיצום כספי על 1 מיליון שקלים, אבל הוא - - -

הוא כבר שילם בתביעה ייצוגית 4 מיליון שקלים.

לא, או להיפך. אולי יש לך עכשיו סכום של מיליון שקלים והוא שילם קודם 10,000 שקלים לפי 15א.

לכן זה שיעור שלא יעלה.

לכן זה שיעור "שלא יעלה על", לא "בשיעור של 30%".

זה שיעור שלא יעלה על. זה באמת ה"שפיל" שלהם. אני מבין. זה בסדר.

יש פה שיקול דעת, מתקשר להכרעה הקודמת של הוועדה, חייב להיות פה שיקול דעת כי יש פה הרבה תתי-מקרים.

בסדר, נכון. השיקול דעת מופיע פה בשיעור המילים "שלא יעלה". ופה מופיע שיקול הדעת שלכם.

בדיון הקודם התחלנו לדבר על ההבדל הזה בין "נפסק" ל"שולם", ואמרת שיהיה "רשאי להפחית" ואנחנו נחליט מתי להתחשב בזה ומתי לא.

על (3), ולכן המילים "שלא יעלה", ב-(4) זה שיקול דעת. ב-(3) לצורך העניין, זה 20% שטוח, אין שם "שיעור שלא יעלה", נכון?

להנחת דעתו של ראש הרשות.

נכון, יש שם שיקול דעת אם, אבל אם הוא נקט את הפעולה. אם הוא הפסיק את ההפרה מיוזמתו ודיווח עליה אין לך שם יכולת לתת לו 10%. זה 30% הוא דיווח. שטוח. בנושא של כמה להתחשב במה ששילם לאחר, קחו בחשבון גם שם בשיקול הדעת שלכם, אם הוא שילם את זה בפועל או מה הסיכוי שהוא ישלם את זה בפועל. אין לי בעיה קחו את זה לשיקול הדעת שלכם אבל יש לכם של 30%, לכן אני לא דואג אם שילם בפועל או לא שילם בפועל.

שתי הערות נוספות לעניין הזה. אחד, אולי צריך להבהיר שזו פסיקה - - -

"שנפסק או שולם"?

לא, אבל צריך להבהיר שזו פסיקה של ערכאה שיפוטית.

שנפסק על ידי ערכאה שיפוטית, אבל מה עם ערכאה שיפוטית זרה? הבנתי מה הוא אומר.

יכולה להיות ערכאה שיפוטית זרה ולכן "נפסק ושולם".

נפסק או שולם.

גם ה"שולם" צריך להיות בעקבות פסיקה.

לא נכון, ואם הוא שילם, הגיע איתו להסדר, לפני שהוא פנה לבית משפט? והוא מביא לך. הרי הוא מביא לך ואומר, "תקשיב, הבן אדם פנה אליי במכתב התראה, ריחמתי עליו שהוא לא הגיש נגדי תביעה לבית משפט, נתתי לו 10,000 שקלים ישר, ללא הוכחת נזק. ידעתי שאם הוא יתבע אותי בבית משפט הוא יקבל 10,000 ללא הוכחת נזק. נתתי לו ביוזמתי כדי לחסוך לו את האגרה ואת ההליכים", אז זה לא נחשב? בוודאי שזה נחשב לשיקול דעת שלכם.

אם סיפקתי לו עבודה, לפעמים זה תשלום בעין.

אז בשביל זה יש לכם שיקול דעת. תודה.

הערה שנייה, ב-(4) לא כתוב בנוסח, אדוני אומר שיש לנו שיקול דעת.

המילים "שלא יעלה על"?

לא. "לא יעלה על" להבנתי אומר שאין שיקול דעת, אבל שבאחוזים זה לא יכול להיות גם אם זה יותר מ-40% מהעיצום, זה לא יכול להיות יותר.

לא, ממש לא. לא הבנתי.

למשל נפסל, שולם מיליון, הקנס שמוטל כאן הוא חצי מיליון אז יפחת רק.

30% מהחצי מיליון.

אבל זה לא שיקול דעת.

אבל זה לא מראה על שיקול דעת.

עד 30%. "לא יעלה".

לא יעלה. כי המיליון הוא יותר מ-30%.

לא, אין התכתבות בין גובה הפיצוי.

אולי נכתוב "פיצוי שלא יעלה על הסכום שנפסק או ששולם בגין אותן נסיבות, בשיעור שלא יעלה על", נבהיר שגם הסכום הוא - - -

או שפה נכתוב "רשאי".

ב-(4). "ראש הרשות רשאי להפחית בשיעור שלא יעלה על 30% את גובה העיצום הכספי, תוך התחשבות בפיצוי ששולם או שנפסק בגין אותן נסיבות או הפרות".

ראש הרשות רשאי.

להפחית את העיצום הכספי בשיעור שלא יעלה על 30%, בשל פיצוי ששולם או שנפסק מחובת המפר, חובת המפר לא צריך. ששולם או שנפסק בגין אותן נסיבות או הפרות.

2. "ראה ראש הרשות, לגבי מפר שהוא יחיד, שההפרה נגרמה בשל נסיבות אישיות המצדיקות הפחתה של העיצום הכספי או שהתקיימו נסיבות" - - -

היושב-ראש, סליחה זה כן נראה לנו חשוב לחדד שזה לטובת המפר, זה לא אם מישהו אחר שילם או נפסק. הוא המפר ועליו לא רוצים להפחית אז גם עליו זה שנפסק כנגדו לשלם. או שהוא זה ששילם.

אז לכן זה בשאלות הנסיבות או ההפרות.

אם המחזיק שילם והבעל - - -

אבל אם באותה מדינה, שוב, זה בשיקול דעת חברים. אני לא יודע מה, תפעילו שיקול דעת ושתהיה לכם גם על זה עתירה מנהלית. אני לא יודע. ואם באותה מדינה אי אפשר להטיל על מחזיק אלא הטיל על מפר, אבל הוא תבע, המפר שילם ותבע את זה מהמחזיק, ואז בעצם גם המחזיק שילם? לא יודע, לא רוצה להיכנס לזה, תפעילו שיקול דעת. אותן נסיבות או הפרות.

הפחתה בשל נסיבות אישיות
2.

ראה ראש הרשות, לגבי מפר שהוא יחיד, שההפרה נגרמה בשל נסיבות אישיות המצדיקות הפחתה של העיצום הכספי או שהתקיימו נסיבות אישיות קשות המצדיקות שלא למצות את הדין עם המפר, רשאי הוא להפחית למפר את סכום העיצום הכספי המוטל על המפר בשיעור של 20%.

הפחתה בשל כמה נסיבות
3.

התקיימו לגבי מפר כמה נסיבות כאמור בסעיפים 1 ו-2 רשאי ראש הרשות להפחית למפר מסכום העיצום הכספי המוטל עליו את השיעורים המנויים לצד אותן נסיבות, במצטבר, ובלבד ששיעור ההפחתה המצטבר לא יעלה על 70% מסכום העיצום הכספי.



כדאי שוב, איכשהו להגדיר בנוסח שהכוונה היא כל פעם זה 20% מגובה העיצום הכספי, לא מגובה העיצום הכספי אחרי, שלא יהיה מצב, נגיד 20% פלוס 20%. אז זה לא 20% ואז 20% מ-80%, אלא 20%, 20, ועד שזה. שזה יהיה ברור, כי זה לא ברור כרגע. השאלה אם אתה כל פעם עושה הפחתה ממה שנשאר.

לא. זו הפחתה מהמקור.

כי כתוב "להלן" ו"בשיעור". לא, כי הרישה אומר את זה.

אפשר לכתוב בכולם, בכל אחד מהם, "20% מסכום העיצום הכספי".

"מגובה העיצום הכספי שהוטל".

אבל זה ברור מהרישה.

בסדר, אם זה ברור אז זה ברור, מצוין.

הפחתה בשל מחזור עסקאות
4.


מצא ראש הרשות, לבקשת המפר, כי המפר הוא עסק זעיר או קטן, לפי העניין, יפחית את סכום העיצום שיוטל עליו במהלך אותה שנה, בין שהופחת לפי סעיף 1 או 2 ובין שלא הופחת כאמור, כך שסכום העיצום בגין הפרות לפי כל אחת מהפסקאות המפורטות להלן, לא יעלה על הסכום המפורט לצידן;









(א)

לעניין הפרות המנויות בסעיף קטן(א) (הפרות רישום מול הרשות):




(1)
עבור עסק זעיר–20,000 שקלים חדשים.




(2)
עבור עסק קטן–30,000 שקלים חדשים.









(ב)

לעניין הפרות המנויות בסעיף קטן(ב).




(1)
עבור עסק זעיר–20,000 שקלים חדשים.




(2)
עבור עסק קטן–30,000 שקלים חדשים.









(ג)

לעניין הפרות המנויות בסעיפים קטנים (ג) עד (ה).




(1)
עבור עסק זעיר–50,000.




(2)
עבור עסק קטן–70,000









(ד)

לעניין הפרות המנויות בסעיף קטן (ז).
עבור עסק זעיר–70,000 ₪.
עבור עסק קטן–100,000 ₪.

כאן יש לנו כמה הערות.

הפחתה בשל מחזור עסקאות

(ד)

בסעיף זה-
"עסק זעיר"–מפר שמחזור העסקאות השנתי שלו בשנה שקדמה למועד ההפרה לא עלה על 2 מיליון שקלים חדשים, למעט מפר שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר.

"עסק קטן"–מפר, למעט עסק זעיר, שמחזור העסקאות השנתי שלו בשנה שקדמה למועד ההפרה עלה על 2 מיליון שקלים חדשים ולא עלה על 10 מיליון שקלים חדשים למעט מפר שמטרתו העיקרית היא איסוף מידע לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר.



שוב. נשמע אתכם קודם, בסדר.

ראשית התקרה כאן היא תקרה שנתית וכמובן אנחנו מקבלים את התפיסה שצריכה להיות תקרה לעסקים קטנים וזעירים כדי בסוף לא להקריס עסקים, אבל התקרה היא שנתית והיא מחולקת לקבוצות. ואנחנו חושבים שהתקרה צריכה להיות נפרדת לכל אחת מהקבוצות.

זאת אומרת, יש כאן איחוד קבוצות בסעיפים (ג) עד (ה) שלקבוצות שונות אנחנו חושבים שהתקרה צריכה להיות, זאת תקרה שנתית שהיא צריכה להיות בנפרד - - -

מה שאתה אומר שבן אדם שהפר גם לפי פרק ג', לפי פרק ד', פרק ה', יקבל שלוש פעמים את הקנס.

כמו לגבי שתי הקבוצות הקודמות.

ודבר שני, לעניין הסכומים, אנחנו חשבנו שהסכומים צריכים להיות 70 ו-100 ביחס לאותה קבוצה שכרגע היא מאוחדת ובעינינו צריכה להיות מפוצלת ולשקף את - - -

דבר ראשון, השאלה היא מה הרציונל של כל ההפחתות האלה. כל ההפחתות של עסק קטן וזעיר, מבחינתי יש שתי מטרות. אחת, מטרתנו בעיצומים היא להביא לציות ולא להביא לצמיתות, להרוג את העסק, כי עסק שמת לא מציית. ולכן מהבחינה הזו ושוב מהנחת העבודה שלי, שעסק שמתנהל לא בסדר אז באמת אולי הפרק של הפרת הוראה ישירה של ראש הרשות לפי זה, לפי GDPR, או תקנות, זה לא דבר שיכול להיות באופן עשיית העסקים הרגיל של העסק. עד שזה כבר דו-שלבי. פנה אליך ראש הרשות אמר לך לעשות, צפצפת עליו, זה לא חלק ממהלך העסקים של אף אחד.

אבל אני מניח שכשישבו, יפלו בביקורת על עסק קטן הוא יהיה ברוך חסרונות. תהיה לו גם הפרה של פרק א' וגם הפרה של פרק ב', ופרק ג', והוא יקבל עיצום כספי, והמטרה שלי - אני קובע את התקרות כדי לא להרוג אותו.

אז נכון שאני עושה הבדלים בגובה התקרה בכל זאת כדי לשקף את החומרה אבל עדיין עסק זעיר שיחטוף 50,000 שקלים קנס, זהו, הוא לא יכול לעמוד בו יותר, נקודה, סוף פסוק. זה פשוט לא רלוונטי לפי כמה פרקים הוא עשה את ההפרות. תיתן לו עוד, הוא פשוט ימות. לא עשית בזה שום דבר ולכן כך גם לגבי עסק קטן, 100,000 שקלים. טוב, זה "אי-מסירת מידע למפקח", אין לי אפילו זה - - -

כרגע גם ההפרות של ראש הרשות שאדוני ציין שהן חמורות, מופיעות ביחד עם - - -

שנייה, נכון.

יכול להיות שאפשר לפצל את זה אבל אז לעשות איזושהי תקרה על הכול.

התקרה של 5% תכף נדבר גם עליה. אבל באופן עקרוני זה דבר אחד. דבר שני, הנחת העבודה שלי צריכה להיות שאנחנו לא רוצים לא עסק זעיר ולא עסק קטן שעושה ריבוי הפרות. זו לא המטרה שלנו. המטרה שלנו, זה שאם הפרת משהו אחד, לא תבוא ותגיד "בכל מקרה זו התקרה שלי ולכן אני אעשה מה שאני רוצה". ולכן הסכום של התקרה נקבע לפי היגיון מסוים.

אם העיצום הכספי שמוטל על אדם בעל עסק זעיר אמור היה להגיע ל-1 מיליון שקלים, העיצום הכספי שלך יורד לפי אותו פרק, יורד ל-20,000 שקלים. בואו נדבר על (ג). העיצום הכספי יורד ל-50,000 שקלים. על 50,000 שקלים אלה, מבחינתי הייתי צריך להטיל עליך 1 מיליון, הטלתי עליך 50,000. עליהם זה סכום העיצום שממנו נגזרות כל ההפחתות.

לא כי אני רוצה לזלזל, אלא שלא יהיה מצב שעסק זעיר שהפר את פרק ג', כבר יגיד "ההפרה הכי קטנה שאני אעשה בפרק ג' כבר תעבור את כל הרף כי אני אגיע ל-2 מיליון שקלים בהפרה, זה מהר מאוד מגיע לשם, או פרק ד', או פרק ה' ואז ממילא, המקסימום שאני אשלם זה 50,000 שקלים. זהו מעכשיו אני יכול לעשות מה שאני רוצה. אני לא צריך למנות DPO ולא צריך לעשות שום דבר, הכול בסדר, כי אין לכם יותר מה לעשות לי השנה".

אז דווקא כך זה מופיע כרגע.

לא, זה לא. מה שכרגע מופיע זה א', שהוא יכול לחטוף לפי שלושה פרקים או לחטוף 150,000 שקלים, וגם הרבה מאוד פעמים, הגדרה של עסק זעיר? זה שמחזור העסקאות שלו הוא 2 מיליון שקלים. כמה זה 5% מ-2 מיליון שקלים? זאת אומרת שהוא בכל מקרה, אתה כבר מיד תגיע וזה עוד לפני הפחתות.

והדבר השני, אני לא הצלחתי להבין למה דאטה ברוקר או דיוור ישיר מבחינתכם לא יכולים להיות עסק זעיר או עסק קטן. הם עדיין יכולים להיות עסק זעיר או עסק קטן למרות שהם דאטה ברוקר.

השאלה אם ראוי שהם ייהנו מהנחה כזאת.

זו לא הנחה, מטרת העיצום הכספי זו לא הנחה. אתה לא סוחר בסוף עונה, המטרה שלך היא להביא לציות. אם תפיל לו את העסק, אין ציות. זה לא האירוע.

אבל עסק, סוחר המידע הקטן, שזה העסק שלו, מזה הוא מתפרנס הוא מראש יודע ומכיר את עצמו.

אז תטיל עליו 30 מיליון שקלים קנס.

אבל יכול להיות שהוא מחזיק מאגר של 10 מיליון שקלים.

יכול להיות הכול אבל מה זה קשור ל-3 מיליון שקלים קנס? לך תגיש נגדו כתב אישום פלילי, יש לך כלים.

לא כל דבר הוא עבירה פלילית.

אבל 3 מיליון שקלים קנס לעסק קטן, זעיר, זה יותר מאשר להיכנס לכלא לחודש.

אם אותו סוחר מידע שזה לא על הדרך, זה לא באקראי - - -

מה זה משנה, תכניס אותו לכלא. אתה מבין שקנס לעסק שמחזור העסקאות שלו הוא 2 מיליון שקלים, קנס של 3 מיליון שקלים זה יותר גרוע מחודש מאסר? אתה מבין את זה? גם משנת מאסר? יש עניין של ענישה מידתית.

זה העסק שלו, הוא מבין, מצופה ממנו.

מצופה, יש עניין של ענישה מידתית, מה לעשות.

אבל יש גם נזק, לעוצמת הנזק שהוא יכול לגרום לציבור.

נכון, אם הוא יצא לרחוב וירצח אנשים יש סיכוי שתטיל עליו פחות קנס.

אנחנו מדברים על התחום שלנו.

אני יודע, זו בדיוק הבעיה, שאתה מסתכל רק על התחום שלך. אתה לא יכול. אנחנו פה לא יכולים שעסק, שמחזור העסקאות שלו פחות מ-2 מיליון שקלים, יקבל קנס של 3 מיליון שקלים. לא יקרה. לא יצא אצלי מהוועדה. כן.

שתי נקודות אם אפשר, דן אור-חוף מהמועצה להגנת הפרטיות. אחת, כשמדובר בעוסקים זעירים יש בהחלט מקום לחשוב על לתת תקרה אחת כללית, אלא העניין שצריך לקחת בחשבון שכשיש אפילו ריבוי של הפרות אז יש גם עלויות כדי לתקן את ההפרות.

נכון.

גם זה עוד סכום וזה אולי רלוונטי באמת לעוסקים זעירים או לעסקים זעירים, אולי לא רלוונטי לעסקים קטנים בפערים האלה.

גם עסק קטן שהוא מחזור של עד 10 מיליון שקלים, הוא חוטף קנס של 100,000 שקלים או של 200,000 שקלים וחוץ מזה הוא צריך גם לתקן, וזו לא ההפרה היחידה והוא יחטוף עוד.

מאוד כואב אבל זה לאו דווקא אפוקליפטי כמו שזה יהיה לעסקים זעירים.

אבל שוב, יכול להיות שיש לו 2.5 מיליון שקלים. עסק, מחזור עם 2.5 מיליון שקלים מה זה אומר עבורו קנס של 100,000 שקלים?

כן, יכול להיות שאולי צריך לעשות הבחנות אחרות אבל אם אנחנו לוקחים את המיצוע ומן הסתם - - -

בסדר, התקרות פה הן צריכות להיות כלליות. אני כן מבין את הצורך שאם יש כמה הפרות. שוב, הנחת העבודה שלי שכאשר אתם תעשו ביקורת על עסק קטן אתם תמצאו הפרה לפי כמעט כל פרק.

לא אדוני, זו הנחה לא נכונה.

אז בוא תסביר לי איך זה יעבוד. שוב, אני לא מקבל את ההחרגה הזו, אני לא מבין את ההחרגה של למעט מפר שמטרתו העיקרית היא איסוף מידע, מה זה משנה?

כי סוחר מידע שמפר את צמידות המטרה, זו הפרה שצריכה להיות כנגדה הרתעה יעילה.

אז תוציא לו צו, תמחק לו את המאגר, זו הרתעה הכי יעילה שיש, נתתי לך את הכלי הזה. תמחק לו את המאגר. אבל זה לא הגיוני שעסק שמחזור העסקאות שלו הוא 1 מיליון שקל בשנה ישלם קנם של 10 מיליון שקלים. מה אנחנו מדברים פה.

אבל יש 5% אדוני אז זה לא יכול לקרות. יש פה את המגבלה של 5% בכל מקרה.

נכון, אם אתה אומר לי שהוא כזה נורא דאטה ברוקר שהוא גונב מידע, כן, תפסיקו לו את העיבוד, אל תלכו למסלול של עיצום כספי. הוא לא מתאים למסלול של עיצום כספי. הוא לא מתאים. עיצום כספי מטרתו שווה לציות. אתה אומר שעסק כזה אבוד דינו מוות אין לו יכולת להחזיר ציות. יכול להיות שאתה צודק, אני איתך.

בכפוף ל-5% שמזה אנחנו לא מבקשים פטור.

תכף נדבר על 5%. אבל אם הוא עכשיו בשלב הסטארט-אפ, ואין לו בכלל הכנסות?

זה סוחר מידע.

והוא עכשיו בסטארט-אפ, אין לו בכלל הכנסות. אין לו מחזור הכנסות הוא רק סטארט-אפ, הוא לא מכר בכלל מוצר אחד.

אם ההפרות שלו ממש - - -

הוא בונה עכשיו מערכת AI חדשה, הוא כרגע בשלב בטא לא מכר, יש לו אפס הכנסות.

ואם הוא בונה אותה בצורה שתגרום לנזק? - - -

נורא ואיום, תן לו צו הפסקת עיבוד, לך על הפלילי. - - -

אדוני, לא על כל הפרה אפשר להוציא צו הפסקת עיבוד.

עשינו את זה בצורה מצומצמת, אנחנו מנסים להיות מידתיים.

זה לא קשור. התכלית של תקנות ההפחתה היא תכלית ששומרת על תכלית העיצומים. תכלית העיצומים היא השווה לציות, לא גזר דין מוות לעסק. אם אתה רוצה גזר דין מוות לעסק יש עסקים שבהחלט מוצדק להוציא להם גזר דין מוות, אני אחתום איתךבשמחה על גזר הדין. נושיב אותו פה באמצע וכל אחד, יד העדים תהיה בו בראשונה ויד כולם באחרונה. אין בעיה. לא בשביל זה נועד עיצום כספי. בשביל זה נועד הפלילי, בשביל זה נועד צו הפסקת עיבוד, בשביל זה נועדו הרבה מאוד דברים אחרים. עיצום כספי לא נועד לאותם מקרים.

האם אדוני סבור שסוחר מידע, זו גזירה שווה לעומת עסקים קטנים או זעירים אחרים?

אם העסק הוא עסק קטן - - -

שעוסק - - -

מה אכפת לי במה הוא עוסק?

בוודאי שאכפת, כי הוא אמור, העסק העיקרי שלו - - -

אז אתה טוען שאם העסק העיקרי שלו הוא הפרת פרטיות עד כדי כך שמצדיקה את סגירתו, לך לצו הפסקת עיבוד, לך לפלילי, לך למה שאתה רוצה. לא עיצום כספי, אני לא דן בשאלה עכשיו לא על העסק ולא על מטרתו, אלא במה הרציונל של עיצום כספי.

אתם שכחתם לחלוטין את הרציונל של עיצום כספי וזה קיבל חיים משל עצמו. הרציונל של עיצום כספי הוא השבה לציות ומניעת הפרה יעילה. מה שאתה עושה זה לקחת עסק עם מחזור שנתי של 2 מיליון שקלים ומטיל עליו קנס של 30 מיליון שקלים. למה לא? אין קאפ.

יש את 5%.

אבל אני מסביר לכם, הקאפ של 5% לא רלוונטי כי שוב, חלק מהעסקים האלה לא יהיה להם בכלל מחזור, מה תעשה?

בסדר, זה מקרה נקודתי.

אדוני, אתה מדבר על מקרים מאוד נקודתיים.

לא, דווקא בעולם הסטארט-אפ וסוחרי המידע, זה דבר מאוד הגיוני.

ב-99.9% יהיה מחזור עסקאות. במקרים שאתה מדבר עליהם - - -

ואז מה, יהיה לך קנס של עשרה שקלים, איך תחיה עם זה?

גלעד בוא נניח לרגע, שנייה אחת. שהקאפ של 5% הוא רלוונטי, אנחנו נמצא פתרון לעסקים שאין להם מחזור עסקאות. אולי ההון שהם גייסו, נחשוב על זה שנייה. אבל בוא נניח שיש לך עכשיו הפרה קטנה יחסית לגבי עסק קטן או זעיר אפילו, שעוסק בשירותי דיוור. המשמעות היא שיהיה לך עיצום כספי מאוד גדול להטיל עליו ובפועל אתה פשוט לא תטיל עליו את זה כי אתה לא תלך ותפיל עסק על איזו הפרה קטנטונת. אתה, פשוט כי - - -

כי בקשת רצפות, וביקשת רצפה של 40,000 שקלים, ובשנייה שעשית רצפה של 40,000 שקלים בחלק, או ברצפה של 150,000 או רצפה של 300,000 שקלים בחלק, בשנייה שאתה תעשה את זה, באותה שנייה, אתה לעולם לא תטיל אותה ואתה תייצר הפרה יעילה כמו שאמרת, דווקא כי הקאפ 5%.

לכן אמרתי לך שכשאתה רב איתי על רצפות אנחנו נפגש מהר בשביעיות של תקנות ההפחתה כי אתה יצרת סיטואציה של יש הפרות של "נגעת-נסעת". כל דאטה ברוקר, בשנייה שהוא לא נרשם, אתה ב-150,000 או 300,000 וזה אומר שדאטה ברוקר קטן אוטומטית יגיד לך תשמע, כבר את 5% שלי תרמתי במשרד, אין בעיה, עולה לעשות עסקים, תטיל עלי 5% בשנה, מס לטובת רשות להגנת הפרטיות ואני אעשה מה בראש שלי. זה מה שאתה תייצר. ולעומת זאת אם אתה בא ומייצר קנס נורמלי, אז אפשר לחיות איתו.

זה קצת מזכיר גלעד, רק דבר אחרון. קצת מזכיר את הנושא של ביטול רישיון. ביטול רישיון הוא סנקציה כל כך חמורה שבדרך כלל לא עושים אותה ולכן אם אתה מקבל משהו שהוא שווה ערך לחיסול העסק אתה פשוט לא תפעיל אותו. כי אין לך הרבה שיקול דעת. בסוף אין לך הרבה שיקול דעת.

מה עם העסק שכולנו נסכים שצריך לחסל?

אז אם אתה רוצה לחסל אותו תוציא לו צו הפסיק עיבוד.

צריך להוסיף עוד עילות לצו הפסקה.

לא צריך להוסיף, אז תן לי את המקרה.

אני מבין את כוונת הוועדה שלא מקבלת את עמדתנו אבל אני לא מבין עד הסוף איך כוונת הוועדה מתבטאת בנוסח הנוכחי.

תכף נדבר על הנוסח. שנייה, קודם כל יש.

הפחתה בשל התחשבות במחזור עסקאות
(א)
מצא ראש הרשות, לבקשת המפר, שסכום העיצום הכספי המוטל על המפר, בין שהופחת לפי סעיף 1, 2, או 4 ובין שלא הופחת כאמור, עולה על 5% ממחזור העסקאות של המפר, יפחית את סכום העיצום הכספי ל-5% ממחזור העסקאות שלו.

בעצם 5% הוא קאפ על כל ההפרות לאותה שנה? אני רק מוודאת.

כן.

התשובה היא כן, רק יש בעיה של כמו שאמרנו שיש עסקים שאין להם מחזור הכנסות בכלל ואז זה מעבר חופשי מוחלט. שוב, עסקים בשלב הסטארט-אפ אין להם הכנסות. אין להם. או שגייסת הון, לקחת הלוואות, אבל אפשר לבוא ולהגיד שבכל מקרה לא יפחת מסכום מסוים.

כלומר שהסנקציה של העסק זעיר וקטן, אבל ובלבד שלא יפחת מסכום המינימום של העסק הזעיר או הקטן ולא ש-5% בא על זה, אלא ש-5% בא לפני זה. זאת אומרת שגם עסק שאין לו מחזור הכנסות בכלל, ואז הוא עונה להגדרת עסק זעיר בהגדרה. כל עסק שאין לו הכנסות בכלל עונה להגדרת עסק זעיר. אז זה לא יפחת מהסכום של העסק הזעיר, גם אם זה מתחת ל-5%.

אז רק צריך להגיד אולי במפורש שזה לגבי עסק שאין לו מחזור עסקאות.

בכלל, שזה סכום מינימום.

לא, צריך להגיד את זה בטקסט. אחרת זה יכול להתפרש לעוד סוגים של עסקים.

צריך להחליף את סדר הסעיפים.

לא הבנתי. איזה עוד סוגים? כל עסק שמחזור העסקאות שלו קטן מ-2 מיליון שקלים הוא בהגדרה עסק זעיר לפי הגדרת החוק, ולכן סכום המינימום הוא עסק זעיר. גם אחרי 5% המינימום הוא עסק זעיר.

בעצם הצעת הוועדה מבחינת הנוסח הקונקרטי.

מה?

זה אומר ש-5% לא יחול על עסק זעיר.

לא נכון. כי עסק זעיר יכול לקבל קנס של 10,000 שקלים ויש לו מחזור הכנסות של 1 מיליון, אז זה 5%, הוא היה יכול לקבל 50,000 שקלים. יש משמעות.

יש לי שאלה לגבי מחזור העסקאות.

לא, או עסק עם הכנסות מאוד נמוכות.

רק להבהיר מבחינת נוסח.

השאלה מה עסק זעיר מוגדר לפי הכנסות.

כי יש הרבה חברות דווקא בתחום המידע, כל מיני חברות AI שמגייסות הרבה מאוד הון, הן מאוד עשירות אבל אין להן מחזור עסקאות, כי הם עדיין לא מכרו שום דבר.

גיוס הון הוא לא הכנסה, זו הבעיה שאנחנו מדברים עליה.

זה למעשה מחריג אותן ככה טוטאלית.

הן מתנהלות בצורה של חברות עשירות.

בסדר, אז לכן יהיה להן את המינימום. ויהיו לכם את הכלים מולם, האחרים. כולל צו להפסקת הפרה, כולל כל מיני דברים ויהיו לכם את הכלים מולם.

אם אני מבין נכון מבחינת הנוסח, צריך להחליף את הסדר בין סעיפים 4. ל-5. שבסעיף 5. יופיע "בין שהופחת לפי סעיפים 1. או 2." ובסעיף מה שעכשיו מופיע כ-4. "בין שהופחת לפי 1, 2 או 4".

ב-4, "בין שהופחת לפי"?

מה שמופיע עכשיו הפחתה של מחזור עסקאות.

את החלק הראשון של המשפט הבנתי. על החלק השני רק תחזור. לגבי 4?

לגבי מה שעכשיו מופיע כ-4 "בין שהופחת לפי סעיפים 1. או 2". למעשה מה שמופיע עכשיו כ-5. מחזור העסקאות. אחר כך פשוט כדאי לסדר את הסעיפים כדי שיהיה יותר ברור אבל זו המשמעות.

ואז מה יצרנו למעשה?

יצרנו שקודם סופרים 5%, זה מה היו"ר הבנתי שמבקש. קודם כל בודקים שהעיצום לא עולה על 5% ומפחיתים ב-5%.

כן, ואז? הרעיון הוא שגם - - - זה לא משנה החלפת הסדר. כדאי לכתוב, "ואולם בכל מקרה לא ייקבע סכום עיצום הנמוך מהסכום שהיה מוטל על עוסק זעיר מתקרת העוסק זעיר".

מסכום התקרה. כאן זו למעשה התקרה. הרצפה של העסקים הקטנים והזעירים הופכת להיות הרצפה ביחס לעסק שאין לו מחזור עסקאות, זו המשמעות.

עכשיו, אם יורשה לי בכל זאת לעניין - - -

"בעסק שאין לו מחזור עסקאות, לא יפחת סכום העיצום הכספי מהתקרה של העוסק הזה".

אם יורשה לי בכל זאת, אני ניסית להגיד קודם לגבי האיחוד של קבוצות ג' עד ה'. אני פה שמעתי - - -

הטענה שכל הקבוצות צריכות להיות מאוחדות. זו הטענה.

אני מבין.

הטענה היא, שוב.

אם אפשר רק משפט.

כן.

אדוני אמר אני לא רוצה שמישהו ישר יגיע לתקרה ואז יהיה לו פטור מעיצום.

אמת.

להבנתי האיחוד של הקבוצות לקבוצה אחת, יוצר בדיוק את מה שאדוני ביקש להימנע ממנו, כי הרבה יותר מהר יגיעו לתקרה הזו. אם מפצלים בין הקבוצות אז עדיין האפשרות, למרות שביצע איזשהו - - -

שוב, תן לי את הסיטואציה של עוסק זעיר שביצע הפרה לפי שלושה פרקים, שהוא לא יגיע לתקרה של עוסק זעיר תוך שנייה.

נכון, לכן - - -

לכן צריך לבוא ולהגיד.

לפצל בין התקרות. כל סעיף שתהיה לו את התקרה. אם אדוני מדבר על סכומים נדבר על סכומים, אבל אם אתה מאחד את שלוש הקבוצות לתקרה אחת, ישר יגיעו לתקרה הזאת. בן רגע יגיעו לתקרה הזאת ואז בדיוק יהיה את מה שאתה מבקש להימנע ממנו.

לא הבנתי מה שאתה אומר. שוב, בן אדם הפר שלוש הפרות. מה ההבדל מבחינתי בין אדם שהפר שלוש הפרות לפי פרק ג', או בן אדם שהפר לפי פרק ג', ד' ו-ה'? מה ההבדל מבחינתי? אני שואל, הוא הפר שלוש הפרות שונות, הרי כל פרק יש בו כמה הפרות שונות.

אפשר להעלות את הסכומים.

לא אכפת לי להעלות את הסכומים, אני שואל שאלה. עשיתי ביקורת על עסק, מצאתי שהוא הפר לפי ארבע הפרות. חמש הפרות. שלוש מהן לפי אותו פרק ועוד שתיים מפרקים שונים. מה ההבדל מבחינתי, למה על שלוש שעשה לפי אותו פרק יש תקרה אחת? אין לזה היגיון.

ההיגיון הוא שאם הוא אומלל, אז הוא עשה כמה וכמה הפרות לפי כמה וכמה פרקים והוא צריך לקבל את התקרה אולי הגבוהה מכולן כי אם הוא הפר לפי פרק יותר חמור אז התקרה שלו כך. אבל בסופו של דבר בתהליך ביקורת אחד מצאתם על הבן אדם שהוא ביצע חמש הפרות. אז לכן בכל זאת אמרנו. מה ההבדל מבחינתי אם הוא ביצע את חמש ההפרות האלה מכוח פרק 1 או מכוח שלושה פרקים שונים?

בסופו של דבר הסכומים האלה נקבעו בהנחה שהקבוצות יהיו נפרדות. בסופו של דבר יש לנו פה עסק קטן עד 10 מיליון שקלים עם תקרה של 70,000 שקלים.

לא ענית לשאלתי. תן לי הסבר למה שבן אדם שביצע שלוש הפרות לפי פרק 1. לעומת שלוש הפרות משלושה פרקים שונים, פה התקרה שלו תהיה 50,000 ופה התקרה שלו תהיה 150,000, מה ההבדל?

תלוי בחומרת ההפרות.

לא תלוי בחומרת ההפרות. אני מסכים איתךשזה יהיה לפי התקרה של הפרק הגבוה מהם, זה אני מסכים. אבל אני שואל מה ההבדל מבחינתי אם הוא הפר שלוש פעמים, שלושה סעיפים שונים. הרי החלוקה לפרקים היא חלוקה מדומיינת שאנחנו עשינו פה.

אבל יש פה גם תקרות יותר גבוהות ביחס - - -

אז זה ילך לפי התקרה הגבוהה אני מסכים.

אז רגע אדוני, אז אני משנה את הערתי. אם ככה, הסכומים האלה להבנתי נקבעו פר קבוצה. אם סוכמים את כל הקבוצות ג' עד ה' ביחד, עכשיו אנחנו מגיעים לעסק קטן, מחזור של עד 10 מיליון שקלים עם תקרה של 70,000 שקלים, זה יוצא בשנייה.

אתה פעם שלישית אומר את אותו הדבר, ופעם רביעית אתה לא עונה לשאלתי.

אז אדוני צודק, זה בסדר לאחד את הקבוצות אבל אז צריך תקרה יותר גבוהה, בטח לעסקים קטנים שהם עם מחזור של עד 10 מיליון. אנחנו מגיעים לתקרה מאוד נמוכה.

אפשר לחשוב על פיצול. האמת שכשכתבתי את זה, זה לא היה מתוך אג'נדה של לאחד אותן בהכרח מבחינת הסכומים. אבל אני מודה שתוך כדי שאנחנו קוראים וחושבים על הדברים - - -

זה פחות מ-1%.

אבל זה לא משנה אם הוא עשה - - -

בסדר, אז לא נפצל אבל אז צריך תקרה יותר גבוהה אנחנו בפחות מ1% עכשיו.

יכול להיות באמת שהעניין צריך להיות לא איך זה כתוב אלא באמת איזשהו קאפ כללי על הכול. מה שכן אני במבט נוסף אני רואה שהיחס שעשינו בין עסק זעיר לעסק קטן לא תואם בהכרח את הסכומים של עסק זעיר ועסק קטן ועל זה יש לי שתי הערות.

הערה אחת זה שאני מניחה שההשראה להגדרה של עסק זעיר ועסק קטן שכתבתם נובעת מחוק חובת המכרזים. שם עסק זעיר הוא עד 2 מיליון שקלים, ועסק קטן הוא עד 20 מיליון שקלים. יכול להיות שעסק של 20 מיליון שקלים הוא גדול מדי ולכן הצענו 10 מיליון שקלים, אבל יכול להיות שעסק זעיר הוא קטן מדי במקרה שלנו, עד 2 מיליון שקלים וצריך להעלות אותו קצת, ל-4 מיליון, ואז גם היחסים בין התקרות יהיו - - -

כדאי שנעשה הכפלה. לא 30-20 אלא 40-20, ולא 70-50 אלא 100-50, ולא 100-70, אלא 140-70. זה גם יותר הגיוני מבחינת היקף הסכומים. אני באמת לא יודע למה פה זה 10 מיליון ולא 20 מיליון.

יש הגדרות שונות, נגיד אצל בנק ישראל יש גם 5 מיליון.

בסדר.

הסתכלנו בכמה מקומות. בכללי בנק ישראל זה 5 מיליון לעסק קטן.

היום 1 מיליון זה כבר לא באמת הרבה, אבל בחוק חובת מכרזים פשוט לא התעדכן שנים.

החוק עוסק במשהו אחר של התאמה של מכרזים לעסקים.

זה נכון, אבל אם אנחנו כבר 2 מיליון שקלים היום, זה לא הרבה.

זה עסק זעיר.

זה זעיר. בסדר.

אם הורדתם 20 מיליון ל-10 מיליון, אפשר גם להעלות את 2 מיליון ל-4 מיליון, כדי שזה יהיה איזשהו סכום שהוא קצת יותר משמעותי. עסק של 4 מיליון הוא לא באמת עסק גדול. גם זה יחלק נכון יותר בעיניי את 10 מיליון. במקום שזה יהיה 20%.

איפה עוד יש הפחתה לפי גודל עסק? בהגנת הצרכן יש הפחתה לפי גודל עסק?

היה לנו, באכיפה יש משהו דומה, האם השימוש הוא לשימוש ביתי? יש קריטריונים אחרים. איפה עוד ראיתם? במע"מ יש.

בבנק ישראל ראינו 5 מיליון, עסק קטן, עסק זעיר.

לא, אבל שם אלה עיצומים?

לא עיצומים, אלה עניינים אחרים.

טוב יש פה נציגי עסקים קטנים. איפה נראה לכם המדרגות צריכות לעבור? עצמאים ועסקים קטנים.

התחלנו עם 2.5 מיליון ו-10 מיליון. 2 מיליון. אני לא בטוח שהצעה של 4 מיליון יכולה לתפוס עסק זעיר, נעמה, אבל אני יכול לבדוק אצלנו.

אולי תבדוק בהפסקה.

אני יכול לבדוק בהפסקה, אצלנו בלהב.

טוב, תבדקו בהפסקה.

ההצעה האחרונה שאדוני הזכיר זה להישאר במתכונת החלוקה הנוכחית אבל להכפיל.

שזו תהיה הכפלה, זה יותר הגיוני. כי אם זה 2 מיליון ו-10 מיליון, או אפילו 2 מיליון ו-20 מיליון, אז הגיוני שזה יהיה בהכפלות.

אבל החלוקה לקבוצות היא כמו שהיא עכשיו, בטקסט שמופיע עכשיו.

מה? החלוקה לקבוצות?

החלוקה לקבוצות כפי שמופיעה בטקסט עכשיו, זה מה שאני רוצה לוודא, עם סכומים מוכפלים. מבחינתנו זה נותן מענה למה שהטריד אותנו.

חלוקה לקבוצות זה הגיוני. לגבי המעבר בין עסק זעיר וממילא גם סכום הקנסות - - -

אם אתה מגדיל לסכומים של 100 ו-200 אני ממש חושבת ש-2 מיליון חייבים לגדול.

צריך להגדיל.

מה ההצעה? 4 מיליון ו-10 מיליון, אני מנסה רגע להבין את ההצעה של 4 מיליון ו-10 מיליון.

היא אומרת 4 מיליון ו-20 מיליון?

לא. 4 מיליון ו-10 מיליון.

לא דיברתי על 20. אמרתי שבתוך החלוקה הפנימית - - -

היא מדברת על 4 מיליון ו-10 מיליון אבל תעשו לזה בהפסקה, תחזרו עם תשובה מוסכמת על זה.

רק מבחינת סכומי העיצום, אפשר רק לחזור כדי שנהיה זה, בקבוצה א'.

אבל סכומי העיצום הם פונקציה של גודל העסק, אז מה עכשיו נדבר על סכומי עיצום על בסיס מה סך גודל העסק, בחייכם. אמרתי, בסכומים שכרגע דובר עליהם של 2 מיליון ו-10 מיליון, חשבתי שהגיוני לעשות הכפלה. אם הסכומים ישתנו יכול להיות שנחשוב אחרת.

אבל כתקרה אחת.

תקרה אחת, כן.

או אפשר נגיד לחשוב על 3 מיליון ו-10 מיליון ואז שליש ושני שליש. - - -

החלוקה של התקרות שמופיעות עכשיו.

היא מחלקת את זה לקבוצות, הם רוצים תקרה לכל קבוצה.

לא. התשובה היא לא.

כמו שמופיע במסמך.

כמו שיש עכשיו, מה שמופיע, לא ישתנה. וכמו שאמרתי, אין הבדל בין מישהו שמפר משלושה פרקים שונים, לבין מי שמפר מאותו פרק. התקרה היא אותה תקרה.

אתה מדבר על תקרה אחת נכון?

כן, של הגבוה מהם.

זה לא מה שכתוב פה כרגע.

זה כן מה שכתוב כאן, לא מה שהם אמרו. זה כן מה שכתוב כאן.

יש את קבוצה א', קבוצה ב' ו- ג' עד ה'. זה מה שכתוב.

התשובה היא כזאת. אם מישהו, זה מה שיהיה. אם מישהו הפר הפרות לפי פרק א', אלה התקרות שלו. אם מישהו הפר הפרות לפי פרק ב', ג', ד', ה', אלה התקרות שלו. ואם מישהו הפר הפרה בפרק ז', אלה התקרות שלו. אם מישהו הפר הפרות מכמה פרקים שונים, תחול עליו התקרה הגבוהה יותר.

לא כמצטבר?

לא כמצטבר כי אין היגיון למצטבר דיברנו על זה, אמרתי את זה, שאלתי והסברתי, שאני לא מצליח להבין למה אם בן אדם הפר שלוש הפרות מאותו פרק זה לא יצטבר, ואם אדם הפר שלוש הפרות משלושה פרקים שונים זה כן יצטבר. אין לזה היגיון.

חשבנו שהדיון הוא רק על - - -

אבל ההיגיון הוא אותו היגיון. לא יודע מה חשבתם אבל זה ההיגיון.

אדוני, באמת צריך להסתכל פה, הגובה הכולל.

באמת, הדיון מוצה. די. צריך שיהיה היגיון ושכל. אי אפשר.

בסדר אדוני אבל המחלוקת היא לא על היגיון.

המחלוקת היא לא על ההיגיון. אם אנחנו משנים שזה לא יהיה מצטבר לפי קבוצות, צריך להעלות את התקרות. זה מה שאנחנו אומרים.

הסכמתי להעלות את התקרות, דיברתי על להעלות את התקרות, אני רק אומר שזה לא יהיה מצטבר מסיבה מאוד פשוטה, כי אין שום היגיון שזה יצטבר, ואין שום היגיון שזה יצטבר בצורה שונה כשזה מפרק לפרק.

כשצריך להעלות את התקרות אז להעלות את התקרות, תלוי בפונקציה של גודל של זה, ואנחנו נדבר אחרי ההפסקה.

טוב, סיימנו את פרק ההפחתות? אמרנו איך קובעים את ההפחתות.

הפחתה בשל התחשבות במחזור עסקאות
(ב)

אישור לעניין גובה מחזור העסקאות שלו, בתוך 30 ימים ממועד מסירת ההודעה על כוונת חיוב.


(ג)

"אישור לעניין גובה מחזור העסקאות"–כמפורט להלן, לפי העניין:



(1)
לעניין מפר החייב לפי דין במינוי רואה חשבון מבקר כהגדרתו בחוק החברות, התשנ"ט-1999 – אישור שנתן רואה החשבון המבקר;



(2)
לעניין מפר שהוא אגודה שיתופית – אישור של מי שביקר את חשבונותיה של האגודה השיתופית לפי סעיף 20 לפקודת האגודות השיתופיות;



(3)
לעניין מפר אחר–אישור שנתן רואה חשבון או אישור שנתן יועץ מס מייצג כהגדרתו בחוק הסדרת העיסוק בייצוג על ידי יועצי מס, התשס"ה-2005, כי גובה מחזור העסקאות שהציג המפר תואם לאמור במסמך שהוגש לרשות המיסים בישראל או למוסד לביטוח לאומי לפי דין;









"מחזור עסקאות" – מחזור עסקאות של עוסק כהגדרתו בחוק מס ערך מוסף, התשל"ו-1975, ולעניין מלכ"ר כהגדרתו בחוק האמור – מחזור כהגדרתו בתוספת השנייה לחוק העמותות, התש"ם-1980.

סעיף הבא שאנחנו צריכים עבודה משמעותית עליו, זה סעיף הדיווח.

את הדיווח נשאיר לאחרי ההפסקה, לא נתחיל אותו עכשיו.

אז נעבור לתוספות הנוספות?

אפשר אבל בואי נדבר על הבחירות, היה לנו שם תיקון קטן.

בסדר.

דיברנו עליו והוא לא נכנס לנוסח, אני רוצה שנשים לב אליו. איזה עמוד זה? 67. - - - אז דיברתי על זה בדיון הקודם. הפעלת סמכויות לפי דין. כל הסמכויות שהוספנו פה ולמעשה כל הסמכויות האחרות שהיו קודם נבלעו פה. אין עוד סמכויות שלא באירוע הזה, נכון? דיברנו על איזה סמכויות בתפיסת חפץ, דיברנו, הוספנו אותם - - -

רק דיברנו על זה שהחקירה לא נמצאת כאן אבל - - -

כי חקירה זה בנוהל כמו משטרה וזה.

כן, אבל אולי רק אם כבר אנחנו עוברים על פרק של הסמכויות, בעמוד 69 בסעיף (א) הוספנו גם את ראש הרשות כי לפעמים יש סמכויות שההפעלה היא לא רק על ידי מפקח או חוקר אלא גם על ידי ראש הרשות אז הוספנו גם אותו.

כנ"ל בסעיף 23יז(ז). הוספנו גם "מפקח או חוקר" ולא רק "החליט ראש הרשות" כי זה על כל הפעלת סמכות, וב-(ט) הוספנו גם, "בחירות לראשות מקומית אחרת או למועצה אזורית אחרת המתוקצבת מתקציב המדינה, למעט ועד מקומי."

עוד כמה הערות כאלה מבהירות. כשמונים את הסמכויות, כל המקומות שבהם מופיע "צו" נבקש "הגשת בקשה לצו", כי כמובן ראש הרשות החוקר המפקח, אין להם סמכות לתת צו אלא רק לבקש צו, אז "הגשת בקשה לצו" ב-(2), (4) ו-(5).

איפה זה?

ב-23יז, (2) (3).

זה גם מבהיר שהפנייה ליושב-ראש ועדת הבחירות היא לפני הגשת הבקשה, זה מחדד גם את סדר הפעולות.

הייתה בקשה שאני מעביר, היה בה טעם ולכן כדאי להכניס אותה. ברשויות המקומיות יש גורמים שחיים בתחום הלוקאלי כלומר, הם צריכים כל מועמד. הגורם הרלוונטי עבורו הוא יושב ראש ועדה אזורית. המפלגות שמעצם טבען ארציות, כדאי שלא לשלוח אותן לכל מחוז בעצמו וגם דרך מקום אחד המאגרים מוחזקים במרוכז, זו שאלה ארצית, זו שאלה עם משמעות ארצית, ולכן הבקשה היא שבמפלגות גם כאשר הבחירות הן בחירות מוניציפליות, הסמכות בכל הנוגע למפלגות תהיה אצל יושב ראש ועדת הבחירות המרכזית.

חשבתי שזה יותר נכון דווקא אחרת אבל היו מפלגות שחשבו שזה יותר טוב, אני חשבתי שזה יותר נכון להסתכל במישור הלוקאלי אבל קיבלתי את ההערה הזו ואני מוכן להתקדם אתה. אני חשבתי שזה יותר טוב לאפשר את - - - זה משהו שהוא לטובת המפלגה.

אם אתה תקבל תוצאה לא טובה עבורה ברמה המקומית אז היא תוכל ללכת לבקש להעלות את זה הלאה אבל בכל מקרה יש לה את הסמכות לבקש את זה, אבל הם ביקשו שזה יהיה מרוכז במקום אחד ואני מבין את ההיגיון כי מפלגה מעצם טבעה בבחירות מוניציפליות צריכה לנהל הליכים בהרבה מאוד מקומות והיא לא רוצה להתפזר.

אני מבין את זה. לתת לזה מענה בנוסח שכאשר מדובר במועמד בבחירות מקומיות מסוג מפלגה או שזו עשייה בכנסת, איך שזה נחשב, איך שזה מוגדר שם. והבנתי שגם - - -

"מפלגה כהגדרתה ברשויות המקומיות בחירות וסיעה של הכנסת", זו הכוונה?

לא, הכוונה רק לסיעה של הכנסת.

רק לסיעה של הכנסת.

רק סיעה של הכנסת.

כשזה סיעה של הכנסת אז זה מתנהל במרכזי.

עוד הערת נוסח כאן לחלק שבו מונים את הסמכויות ב-23יז. כתוב "(6) הודעה על הטלת עיצום כספי, לפי סעיף 23כד";

זו בעצם הודעה על הודעת חיוב.

טוב, אז פרק הבחירות המוניציפליות גם סיימנו לעבור עליו. הקראנו אותו בזמנו, רק עכשיו ראינו את התיקונים, בסדר גמור. נראה לי שנצא עכשיו להפסקה של 12:00? אני נותן לכם חצי שעה לטובת זה, יכול להיות שהישיבה של 12:30 תהיה דקות ספורות. תהיו ערוכים החל מ-12:30 וקצת, להגיע. אתן התרעה, תעקבו.

בכל מקרה אלה מכם שמעניין אותם נתוני תקשורת של מדינת ישראל ושל הכנסת, תהיה יכולת לפקח על כמה בקשות מוגשות לפי חוק נתוני תקשורת, אז אתם מוזמנים גם להיות פה בדיון. בסדר גמור, אז אנחנו יצאנו להפסקה ונשוב ונתכנס חמש דקות לאחר סיום הישיבה הבאה של 12:30. תודה רבה לכולם.

הישיבה ננעלה בשעה 11:59.