פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



2
ועדת החוקה, חוק ומשפט
14/07/2024





מושב שני



פרוטוקול מס' 383
מישיבת ועדת החוקה, חוק ומשפט
יום ראשון, ח' בתמוז התשפ"ד (14 ביולי 2024), שעה 13:00

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022

חברי הוועדה: שמחה רוטמן – היו"ר

גלעד סממה - עו"ד, יו"ר, הרשות להגנת הפרטיות, משרד המשפטים

ראובן אידלמן - יועץ משפטי, הרשות להגנת הפרטיות, משרד המשפטים

ניר גרסון

עו"ד, סגן יועמ"ש, הרשות להגנת הפרטיות, משרד המשפטים

לינא כמאל טרודי - עו"ד, ממונה על אכיפה מנהלית, הרשות להגנת הפרטיות, משרד המשפטים

עמית יוסוב עמיר - עו"ד, ייעוץ וחקיקה, משרד המשפטים

לירון מאוטנר לוגסי

עו"ד, ראש תחום משפט ציבורי, מחלקת ייעוץ וחקיקה, משרד המשפטים

שירה גרטנברג - עו"ד, ייעוץ וחקיקה, משרד המשפטים

דן אור חוף - חבר המועצה, המועצה להגנת הפרטיות

יעקב עוז - עו"ד, יו"ר ועדת הסייבר והפרטיות, להב- לשכת ארגוני העצמאים והעסקים בישראל

שחף קצלניק - עו"ד, יועץ משפטי, התאחדות התעשיינים

ד"ר רחל ארידור הרשקוביץ - עו"ד, חוקרת, המכון הישראלי לדמוקרטיה.

ד"ר עמרי רחום טוויג - שותף, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל

דלית בן ישראל - עו"ד, מנהלת IT ופרטיות, שותפה, משרד נשיץ ברנדס אמיר ושות'

איה מרקוביץ - עו"ד, Privacy Director, חברת PrivacyTeam

ענר רבינוביץ' - מנכ"ל, חברת מנכ״ל PrivacyTeam

אייל שגיא - עו"ד, משרד AYR

ליאור אתגר - עו"ד, מנהל מחלקת פרטיות, משרד ארדינסט

נחלה רחמני - רכזת פרלמנטרית בוועדה

הודיה שאול - רכזת פרלמנטרית בוועדה

רס"ן רפי סלמה - יועמ"ש תקשורת ותקשור, פרקליטות צבאית, צה"ל

הילה בוסקילה - עו"ד, צוות חקיקה ומזכירויות, הנהלת בתי המשפט

נעמה מנחמי

איה פרידמן, איטייפ

רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.


הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496

שבנו. אני מתפלא שלא הייתם פה בנושא הקריטי לפרטיותם של אזרחי מדינת ישראל, נתוני תקשורת. אני בטוח שהייתם במתח, זה אושר בקריאה הראשונה. דיברנו על מודל עיצומים, חזרתם עם סכומים של זעיר וקטן?

כן, בהחלט. ראשית, אנחנו מסכימים להצעה של היעוץ המשפטי, להעלות את עסק זעיר ל-4 מיליון.

או-קיי.

עסק קטן עד 10 מיליון ועסק זעיר עד 4 מיליון. שנית, מכיוון שגם בין 10 מיליון ל-5 מיליון יש הבדל, כפי שאדוני ציין וזה כאילו אותה קטגוריה אז אנחנו מציעים לקבוע הפחתה של עד 2% לעסק זעיר ועד 3% לעסק קטן. זאת אומרת, לקחת את ה-5% ולקבוע הפחתות משמעותיות יותר לעסקים קטנים וזעירים. תקרות במקום מספרים.

במקום להסתבך.

התקרה הכללית היא 5% אז תהיה תקרה לעסק קטן של עד 3% ותקרה לעסק זעיר עד 2% ואז זה יהיה באופן יחסי לגובה המחזור.

חבל שלא דיברתם על זה בהפסקה. אני חייב לומר שאני לא ממש הצלחתי להבין את ואיך זה עוזר.

הרעיון הוא שבמקום להתדיין על סכומים ספציפיים שיהיו קצת קטנים מידי לגדולים וקצת גדולים מידי לקטנים, להשתמש במנגנון - - -

זאת אומרת שכל פעם שמישהו הוא עסק קטן אז גובה לא תהיה תקרה לגובה הקנס אלא התקרה תהיה 2% ו-3%?

כן, להתאים את המספרים.

כן, במקום 5% כמו לשאר העסקים, לקטנים וזעירים יהיו שיעורים נמוכים יותר, באופן יחסי לעצמם.

אני מציעה שנחשוב על זה קצת כי אני שומעת את זה רק עכשיו וחבל.

בסדר, חשבנו על זה עכשיו.

בסדר. חשבתם על זה עכשיו וחבל שלא הייתם בשיח ביניכם עכשיו. אני חייב לומר שאני לא כל כך מבין את הרציונל, להפך. אם אנחנו מדברים על גודל העסק אז דווקא אחוז מסוים זה משהו שהוא שוויוני. ממילא, ככול שהעסק יותר קטן הוא יותר קטן.

לעומת זאת, לא נתתם מענה לצורך במניעת הפרה יעילה. להפך, הקטנתם את התקרות לעסק קטן, הם יגיעו אליהם הרבה יותר מהר ובאותה שנייה העסקים הקטנים – שהם הבטן הרכה שלנו – יקבלו צ'ק פתוח. לכן, אני לא כל כך מצליח להבין את הרציונל של ההצעה.

אולי הם יסבירו את הרציונל של ההצעה שלהם.

אדוני ביקש לקבוע תקרות בסכומים שמפורטים פה ואז עלתה האפשרות אולי להעלות אותם קצת. אנחנו חשבנו שאם עסק הוא ברף העליון של עסק קטן, נגיד מחזור הכנסות של 10 מיליון שקלים, אז אנחנו רוצים סכום שמתאים לגודל של העסק הזה.

לעומת זאת, אם הוא ברף הנמוך של 4 מיליון אז אותו סכום יראה גבוה לאחד ולשני יראה נמוך. לכן אמרנו שבמקום לקבוע מחיר fixed, נקבע את זה גם כן כאחוז. הצענו להפחית, בהתאם לרוח - - -

ואז יהיה אפשר להטיל שתי קנסות, לצורך העניין?

לא. ההצעה שלנו היא שבמקום לקבוע את התקרות שמופיעות עכשיו בסעיף 4 - - -

הבנתי. זאת אומרת, מאחר והתקרה הכללית היא 5% אז עסק קטן יוכל לקבל שתי קנסות. כלומר, עסק זעיר כי הוא יקבל שתיים ועוד שתיים ואז יגיע ל-4%? אני לא מבין את ההצעה.

לא, הוא יוכל לבקש הפחתה כוללת עד 2%.

לא. מה שהצענו זה שלגבי עסקים קטנים וזעירים, במקום הרף של 5% יהיה רף - - -

5% יהיה 2% או 3% בהתאמה.

כן.

כן. גם, באופן כולל.

ולא תהיה תקרה לכל - - -

זה נותן מענה למה שהטריד את אדוני, שיש הבדל בין עסק של 5 מיליון לעסק של 10 מיליון ועם זה אנחנו מתקדמים.

אנחנו צריכים לחשוב על זה כי זה שינוי של כל מודל ההפחתה.

זה שינוי. תעשייה, לכם זה נראה הגיוני? אני לא הצלחתי להבין.

למה לתת את ההקלה הכפולה הזאת? זה לא ברור.

אנחנו חושבים הפוך, לקחת תקרה אחת שיכולה להיות נמוכה מידי לעסקים יותר גדולים או אולי גבוהה מידי לעסקים יותר קטנים - - -

זה אחוז, זה באופן יחסי לגודל.

אנחנו מציעים אחוז שהוא בגודל יחסי לגודל, התקרות שהן סכום fixed הן לא יחסיות לגודל.

אבל הן בכל מקרה כפופות ל-5%.

אבל הסכומים שאנחנו מציעים הם מתחת ל-5%. הלכנו עם אותו כיוון וגם את האחוזים אנחנו - - -

אדוני הציע תקרות מעבר ל-5%. כלומר, ה-5% זה הפחתה מסוג אחד ואתה הצעת גם תקרות שהן בדרך כלל יותר נמוכות.

נכון אבל בואו נדבר פרקטית כי אנחנו מדברים באוויר על אחוזים. עסק קטן עשה הפרה שעליה הוא חייב ברישום ואצלו הקנס הוא מינימום 150 אלף, נכון? זה מה שרשמנו, 150 אלף כי הוא עסק קטן.

גם data broker.

גם data broker קטן, כן. הוא עסק קטן, 10 מיליון.

לא 150 אלף.

<< יור >

150 אלף.

לפי התיקון?

שנייה, בהתחלה 150 אלף. יכול להיות שאחרי כל ההפחתות, בגלל שזו פעם ראשונה והוא מתנהג טוב אז הפחתתם לו את זה ב-70%, הוא ניצל את כל ההפחתות המקסימליות. עכשיו הוא קיבל 45 אלף שקלים. אם 45 אלף שקלים זה 5% אז מה הסכום של המחזור שלו?

5% ממה? מ-10 מיליון?

לא.

נניח שהוא עסק של 8 מיליון שקלים, כמה זה 5% מזה?

400 אלף.

400 אלף, אז הוא עמוק בפנים אחרי כל ההפחתות ואין בעיה. אם הוא עשה הפרה מהסוג - - -

לא אבל יש עוד הפחתה.

אין לו עוד הפחתה עכשיו.

יש תקרה. מה היחס בין ה-5% לתקרה?

חכי שנייה, בואי נניח שלא יצרתי בכלל את ההפחתה. אם הוא עשה הפרה על מאגר מידע של 100 אלף אנשים, כפול 4 שקלים לכל נושא מידע אז הוא קיבל 400 אלף וזהו. אתם לא תוכלו להטיל עליו עוד שום עיצום כספי באותה שנה, נכון? כי 400 אלף זה המחזור שלו, מצד ה-5%.

אנחנו אמרנו שזאת לא מציאות טובה. למה זאת לא מציאות טובה? כי זה אומר שבעל עסק של 8 מיליון עם מאגר קטן יחסית של 100 אלף, שיעבור את ה-400 אלף שקלים בקנסות, אז לא יהיה לכם יותר מה לעשות איתו. מה שנקרא, בשנה הקרובה הוא כבר תרם במשרד ולכן יהיה cap על ההפרה הראשונה.

אנחנו אמרנו שבמקום לעשות את הדבר הזה, בואו נייצר תקרה נפרדת על כל הפרה כדי שלא יהיה מצב שריבוי הפרות הוא משתלם. זאת הסיבה היחידה לייצור את הקנס המקסימלי של עסק קטן. אנחנו רוצים שיהיה הבדל בין הפרה אחת לחמש הפרות באורח החיים ובמעשים של העסק הקטן של ה-8 מיליון שקלים.

לכן אמרנו שיש תקרה של הפרה. אם קיבלת הפרה אחת אז המקסימום שתשלם לפי פרק מסוים יהיה 100 אלף שקלים. למה? כדי שלא יהיה מצב שאם הפרת הפרה אחת אז כבר ישר תעשה 500 הפרות, זה הרציונל. ככול שאתם תקטינו, העסקים הקטנים יודו לכם וגם אני אודה לכם אבל אתם תייצרו הפרות יעילות כל הזמן.

גם בהצעה שלך אתה מייצר הפרות יעילות.

לא, לא נכון.

בגלל שאתה אומר שאתה לוקח את הגבוהה מבניהם.

לא, אני אומר שכשנקטתם נגדו הליך, המקסימום שהוא יוכל לקבל על ההפרה זה נניח, 100 אלף ברף הזה של העסק הקטן ואז אתם תגידו לו שאם הוא מפר עכשיו עוד הפרה, יש לו עוד מה להפסיד.

באותה שנה אני אוכל להטיל עליו שוב?

למה לא? לא באותו הליך אבל באותה שנה כן. תוכלו להגיד לו "אדוני, עכשיו יש לך הפרה נמשכת ועכשיו תתקן". יש לכם עניין של חזרה למוטב אבל אם הגעתם ל-cap שלו אחרי ההפרה הראשונה אז נגמר האירוע ואין לו יותר מה לדבר איתכם השנה.

הטקסט שמונח עכשיו הוא גם עם cap שנתי.

קודם כול, ה-cap של ה-5% הוא שנתי.

התקרות.

לא אבל לפי מה שכתוב כרגע, גם הסכומים הם שנתיים.

התקרות הן שנתיות?

אנחנו הבנו את זה אחרת, לא כמו שאדוני אומר עכשיו.

אני לא הבנתי את זה.

ככה כתבנו אבל אפשר לשנות.

או-קיי, טוב שאדוני מבהיר כי זה מה שהבנו.

לא, אני לא הבנתי את זה ככה. לא, לכן אמרתי שהרציונל הוא - - -

מאה אחוז.

זה הליך אחד.

אין בעיה.

כשתעשו ביקורת אצל בן אדם תחשבו על ההפרה החוזרת.

בסדר, אדוני.

זאת הסיבה שהצענו, חשבתנו שזאת הייתה הכוונה.

יש לנו אינטרס להפריד הליכים.

הלוואי והיה להם אינטרס להפריד הליכים.

לא, יש להם אינטרס להפריד הליכים ככה כדי לייצר קנסות גבוהים יותר.

זה לא יהיה הרבה יותר גבוה כי יש את ה-cap.

אין cap, אתה עכשיו אמרת.

5% זה cap קשיח.

פר הליך?

לא, ה-5% הוא שנתי.

מה זאת אומרת?

5% הוא שנתי, לא משנה מה. לא עוברים את ה-5% שנתי, הרציונל הוא שלא תגיע ל-cap השנתי שלך אחר הפרה אחת וייגמר האירוע.

מה זאת אומרת, להפריד הליכים? מצאת עשר הפרות, הגשת לגבי חמש, שמרת וחיכית - - -

אני לא חייב לחפש עשרה - - -

או-קיי, אדוני. אנחנו הבנו.

זה מה שקורה בפועל.

אם אלה הפרות שהרשות הייתה מודעת אליהן או הייתה יכולה להיות מודעת אליהן - - -

לא משנה, אם זה 5% אני מבין.

לא משנה, הוא מבין. ה-cap של 5% הוא cap שנתי כללי וזה cap של הפרה. האם הם ינקטו חמישה הליכים? שינקטו חמישה הליכים במקרים המתאימים. זה בשיקול הדעת שלהם אבל יכול להיות שהפרה אחת מתבררת בקלות רבה והשנייה דורשת דו-שלבי אז זה בסדר גמור ואין לי בעיה. הרציונל הוא שהם לא יירו את כל הכדורים שבמחסנית שלהם, בפעם הראשונה שהם נוגעים בעסק.

אז לאור ההבהרה של אדוני על כך שזה לא שנתי – ואז גם צריך לתקן את זה בטקסט – מבחינתנו, אפשר לחלופין ללכת במודל הזה ולהכפיל את הסכומים כפי שאדוני הציע וללכת לפי הגבוה. יש שני דברים. הראשון זה להכפיל את הסכומים שכתובים פה. העלנו עסק זעיר ל-4 מיליון, אנחנו מכפילים את הסכומים שכתובים כאן והולכים לפי הגבוה.

מכפילים בין זעיר לקטן?

לא.

ההצעה שלי הייתה - - -

מה ששלחתי לכם.

אולי נעבור שוב על הסכומים?

באיזה עמוד אנחנו?

78.

75.

ההצעה שלי הייתה הפחתה בשל מחזור עסקאות, לעניין הפרות המנויות בסעיף קטן (א) זה 20,40 לעניין הפרות המנויות בסעיף קטן (ב) זה 20,40, 50,100, ו-70,140. מאחר ואנחנו התקרבנו יותר לזה שהעוסק הקטן והעוסק הזעיר הם בערך פי שתיים אחד מהשני במחזור אז לכן העיצום לעסק קטן צריך להיות פי שתיים מהעיצום לעסק זעיר.

אדוני מציע שעל סעיף קטן (ב) זה יהיה יותר נמוך ממה שכתוב כאן? כי כתוב 30,50, אדוני מציע 20,40?

לא, 20,40, 20,40.

כתוב 30,50.

איפה?

לא, הייתה טעות והיא עודכנה.

20,40, 20,40, 50,100 ו-70,140 ואותו דבר גם לתקנות הגישור. איפה שזה 20,30 זה יהיה 20,40 ואיפה שזה 50,70 זה יהיה 50,100.

או-קיי. לגבי סעיף (ג) אנחנו חושבים שהסכומים - - - סעיף (ג) זה ההפרות החמורות יותר, אי מינוי ממונה אבטחת מידע, אי-מינוי DPO וצמידות מטרה. כל זה ביחד זה תחת אותה תקרה?

זה 50,100.

אנחנו חושבים שזה צריך להיות יותר גבוה מזה.

יותר מ-50?

100 ו-250.

לא. אני חושב שלעוסק זעיר 100 זה בלתי אפשרי. כמה זה 5% מעוסק של 4 מיליון?

250.

200.

אז 100 זה אומר שסיימת את כל המכסה שלך.

לא, 2.5%.

זה 2.5%.

2.5%, אדוני.

זה חצי מהמכסה.

זה עסק ברף הגבוה.

זה אם הוא הכי גבוה, אם הוא 2 מיליון?

לכן הצענו את האחוז.

בגלל זה הצענו את האחוז.

בדיוק בגלל זה.

אני חושב שאתם טועים, עזבו. אני משאיר את זה.

אבל לצרף את שלשת הקבוצות ביחד לתקרה אחת - - -

זה לא עניין של שלשת הקבוצות ביחד. שוב, אני נתתי לכם את הנושא של ההפרה והבנתי שמלכתחילה, שהנוסח לא היה מספיק בהיר. זאת אומרת, כאשר אתם עושים ביקורת ומצאתם אצל אדם חמש הפרות שונות, אם תנקטו נגדו חמישה הליכים שונים אז בעקרון, התקרה היא פר הליך אבל ברציונל, אני מצפה שלא תעשו את זה.

אני מצפה שבביקורת הזאת תטילו עליו את העיצום הגבוה מבניהם. אם הוא עשה הפרה לפי חמישה פרקים ובפרק הגבוה זה 50 או 70 אז באותה פעם, תטילו לפי 70 ובפעם הבאה תחזרו אליו.

אבל באותו פרק - - -

זה לא קשור לשאלה אם זה באותו פרק או לא.

המשמעות היא שעסק קטן - - -

זאת אומרת שהוא יכול לעשות עשר הפרות או הפרה אחת והעיצום יהיה אותו עיצום.

אני אומר שהבחירה שלכם לנקוט חמישה הליכים או לנקוט הליך אחד זאת בחירה שהיא בידיים ובשיקול הדעת של הרשות. יש לכם cap שנתי של 5% ואותו אם לא תעברו בכל מקרה. אתם יכולים להחליט שאתם רוצים לעשות חמישה הליכים אם יהיה לכם שיקול דעת ענייני.

תוציאו נוהל שקובע מתי תנקטו הליך אחד ומתי חמישה. יכול להיות שאחד יהיה דו שלבי ואחד לא וזה בתאריכים שונים, אני לא יודע אבל באותה הודעת חיוב, המקסימום שאתם תוכלו לתת לעסק זעיר בהודעת חיוב זה 70 אלף, גם אם הוא הפר לפי שישה פרקים.

השאלה היא האם לאור הגדלת - - -

לא. לשאלתך, התשובה היא לא.

גם לעסק קטן שמוגדר החל מ-4 מיליון?

לעסק קטן הגדלתי.

זה אומר שהוא מגיע מקסימום ל-100 אלף. קטגוריית ההפרה - - -

לא, 140.

לא, הקטגוריה האחרונה היא רק על אי-שיתוף פעולה עם הרשות.

נכון אז 100 אלף.

זה קצת זניח, זה בעצם 100 אלף.

חברים, לעסק קטן, 100 אלף נבוט אדיר על הראש. מישהו מכם חטף פעם עיצום כספי של 100 אלף? אני לא מבין על מה אתם מדברים איתי. אתם יודעים מה זה עיצום של 100 אלף שקלים לעסק קטן?

גם אין לנו מחזור הכנסות של 10 מיליון שקלים בשנה.

תתחילו לעבוד.

זה שלעסק יש מחזור הכנסות - - -

עם הדבר הזה יהיה לכם מחזור כספי מאוד גדול. בכלל לא דיברנו על איך קובעים מחזור של גוף ציבורי.

אני חושב שזה התקציב של הגוף הציבורי.

מחזור הוצאות זה לא מחזור הכנסות. הבעיה היא שגופים ציבוריים נמדדים לפי ההוצאות שלהם ולא לפי ההכנסות שלהם.

אני חושב שבאמת כדאי להגיד את זה לפרוטוקול. זה צריך להיות לפי התקציב של הגוף הציבורי, זה ייחשב מחזור ההכנסות שלו.

כן, זה נכון.

בסדר גמור. אם אנחנו כבר בענייני עיצומים כספיים, אולי נעבור על תקנות אבטחת מידע?

שנייה. סיימנו את הפרק?

אני חושבת שכן.

אמן כן יהי רצון. רמות אבטחה. תגידי את מה שאת רוצה על DPO. את רוצה שאני אגיד?

רצית שאני אתקן את הסיפור של המפלגות?

כן.

התבקשנו לערוך בדיקה חוזרת לגבי התיקון שאדוני החליט עליו בנושא המפלגות, לגבי ההגדרות. התיקון צריך לחול גם על סיעה וגם על מפלגה, כהגדרתה בחוק הבחירות המקומי.

כלומר, על כל 1א, נכון? בהגדרה של מועמד לבחירות לרשות מקומית, "1א מפלגה כהגדרתה בחוק לרשויות המקומיות, בחירות וסיעה של הכנסת"?

ברשותך, עוד שנייה אהיה איתך. כן.

בסדר. בקשר ל-DPO, אנחנו כבר דיברנו על זה וסגרנו שהדבר הזה ייעשה. כדי להתחיל אכיפה בנושא הזה אז יהיה צורך בצו באישור הוועדה. דיברנו על השיקולים שיעמדו אל מול עייני ואל מול עייני הוועדה, ככול שאני לא אהיה פה ואני מקווה שהם יקשיבו לי.

אבל אתה רוצה לכלול את השיקולים בתוך התקנה?

את חושבת שצריך לכלול את השיקולים בפנים? "השר רשאי להורות בצו שיתחילו לאכוף אם נוכח כי - - -" או שנשאיר את זה פתוח כי זה בשיקול דעת הוועדה? אומר לפרוטוקול מה שיקול דעת הוועדה הנכון בעייני, בתור כוונת המחוקק בהקשר הזה וגם לשר, בשאלה אם להחיל.

כמו שאמרתי, זה גם הנושא של התקדמות בפיתוח התורה. הרעיון הוא שבסופו של דבר, תיקון מספר 15 יגיע מתישהו. ככול שיש יותר נושאים מהותיים של בסיסי עיבוד - - - כרגע זה מתפתח בצורה של תורה שבעל פה ולא תורה שבכתב. ככול שזה שם ויש ל-DPO יותר במה לעסוק אז הנטייה היא לתת ל-DPO את האכיפה. ככול שזה נשאר בגדר ליודעי חן בלבד, אני לא רואה סיבה לדבר הזה.

הכיוון השני הוא בנושא של מוכנות השוק לספק את הצורך הזה ב-DPO כשיש בזה היקף. הדבר השלישי הוא שתביאו את נתוני האכיפה שלכם, כמו שאמרתי. תראו שבגופים שלדעתכם היה צריך למנות DPO, באופן עקבי ושיטתי יש מתאם בין העובדה שאין DPO לבין הפרות אחרות או לחילופין, אם אנחנו רואים שאין מתאם וגם גופים עם DPO מפירים את חובות העיון בדיוק באותה צורה כמו גופים בלי DPO.

אני לא אומר עכשיו את מלוא השיקולים, זאת רקמה פתוחה אבל אני כן חושב שבלי הדברים האלה, אנחנו מרמים את עצמנו. זה כאילו שעבר זמן אז אולי ניתן DPO. האינטרס, המבורך בפני עצמו, בוודאי לא יכול להיות שיהיו יותר DPO במדינת ישראל כי זה יקל על עבודת הרשות. זה שיקול אבל זה לא השיקול היחיד ואולי אפילו לא העיקרי.

תקנות אבטחת מידע?

תקנות אבטחת מידע.

היו לנו הרבה מאוד תיקונים שהוועדה ביקשה בדיון הקודם, שעשינו ורצינו לחזור אליהם כדי לוודא אותם מול הוועדה ואגב כך, רצינו לחדד קצת יותר, לשפר ולתקן את ההגדרות של הגורמים השונים ושל מה הם המאגרים השונים שחלות עליהם תקנות אבטחת מידע.

התחלנו לעסוק בזה בסוף הדיון הקודם ואחד הדברים שהוועדה ביקשה זה שההגדרה של "מאגר המנוהל בידי יחיד", תהיה "אדם וקרובו, אדם ובא כוחו, שותפים בשותפות, חברה וחבר בני אדם" זה בעצם מחברת מעטים אבל זה נאמר באופן כללי. זאת ההגדרה של יחיד בחברת מעטים, האם זה מה שהוועדה רוצה?

בתקנות אבטחת מידע יש מאגר המנוהל בידי יחיד אז הרעיון הוא שעסק משפחתי שמוחזק בשותפות חצי, חצי על ידי אדם ובת הזוג שלו או אדם וילדיו, עדיין אמור להיחשב יחיד בהקשר הזה. למרות שעל פי הכללים, הוא מספר בני אדם.

אז אולי נקריא את יתר ההגדרות.

לגבי הגדרת יחיד, אני לא מבין מה זה אומר. שותפים בשותפות אני מבין אבל בשותפות של 100 שותפים, לא צריכים להתייחס לכולם כיחיד ואני לא מבין את הכוונה של הסיפה של חברה וחבר בני אדם ומה ההקשר.

בסדר, זה לאישור והחלטת הוועדה.

הכוונה היא שאם יש לך ישות אחת שמחזיקה. אם הישות הזאת היא חברה, זה לא נחשב? כלומר, אם זה חברת יחיד, זה לא נחשב?

לא.

לא הבנתי, אם זה חברת בת של חברה?

נניח.

זה לא נחשב. זה מאגר המנוהל בידי יחיד? לא.

יכול להיות לגבי חברת בת אבל מה אם זאת חברת יחיד?

לא, אבל - - -

שנייה, לפני שאנחנו מתפלפלים עם ההגדרות, בואו נדבר על המהות.

אז צריך לכתוב פרט יחיד.

שנייה, אני שואל. אם זו חברת יחיד?

לא, כתבנו.

אם זה מה שנקרא, חברת מעטים?

כתוב שזה מאגר שמנוהל בידי יחיד וזה מאגר שבעל השליטה בו הוא יחיד או תאגיד בבעלות יחיד. זאת אומרת, זה יכול להיות גם חברת בת של תאגיד בבעלות יחיד אבל לא כל חברת בת של כל - - -

נכון, אני מסכים ששותפים בשותפות לא צריכים להיות פה וגם חברה בחבר בני אדם.

בסדר גמור, אז אדם וקרובו, אדם ובא כוחו - - -

אדם וקרובו ואדם ובא כוחו, כן עדיין יחשבו יחיד.

לא, סליחה. למה בעצם אדם ובא כוחו? אדם וקרובו זה ברור אבל למה בא כוחו?

אם אתה ממנה נאמן?

אז הוא נחשף - - -

אז או שהוא נחשב כמוני - - -

אבל הוא לא מחזיק בזה לאינטרס שלו. בסופו של דבר, אם בחברה יש שני מורשי חתימה, האחד הוא האדם עצמו והשני הוא הנאמן שלו בנאמנות עיוורת והחתימה של השני מוקפאת או שלא מוקפאת אבל עדיין, בסופו של דבר הוא פועל מכוחו.

אבל הבעלים הקנייני הוא האדם.

אבל הוא פועל מכוחו. גם אם משום מה, החברה רשומה על ידי שני אנשים. זה מקרה מאוד נדיר אבל הרעיון באדם ובא כוחו הוא שאדם לא מייפה כוח של הרבה מאוד אנשים אבל לפעמים יכולה להיות סיטואציה כשיש אדם ובא כוחו, יש אדם ונאמן שלו או שיש אדם ומיופה כוח שלו. בא כוחו פועל עבורו גם אם משום מה, הוא רשום בתור בעל שליטה בתאגיד.

אז רק אוודא, בהגדרת יחיד נותרנו רק עם "אדם וקרובו, אדם ובא כוחו" וכל הסיפה נמחקה?

כן, נכון.

נכון.

במקום אחר הגדרנו את "קרובו" אבל פה לא.

אני חושבת שהקראנו את זה בסוף הדיון הקודם ואיכשהו זה נמחק.

כן, הקראנו.

זה היה הורה, הורה וכל ההגדרה ששם.

הרעיון הוא שחברה משפחתית לא - - -

אני חושבת שאפשר להשתמש באותה הגדרה של קרוב שנמצאת בניגוד עניינים של החוקרים החיצוניים.

זאת הגדרה מאוד רחבה.

אם אתם רוצים, אפשר לצמצם אותה.

לא, זה בסדר.

מה שהקראנו בפעם הקודמת.

מה שהקראנו בפעם הקודמת.

בסופו של דבר הרעיון הוא שמתייחסים לעסק קטן, משפחתי של קרובי משפחה כיחיד. אלה לא האנשים שאותם אנחנו מנסים לתפוס ברמה הגבוהה יותר.

בסדר.

טוב, זה התיקון. מה יש חוץ מזה?

בואו נקרא את ההגדרות כי לא הספקנו לקרוא אותן בפעם הקודמת.


"גורם חיצוני" – כמשמעותו בתקנה 15(א) לתקנות;

"מאגר המנוהל בידי יחיד" – מאגר מידע שבעל השליטה בו הוא יחיד או תאגיד בבעלות יחיד או שני יחידים, ושלכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש ובאפשרותם לעשות בו שימוש, ולמעט מאגרי מידע כמפורט להלן :



יחיד צריך להיות בהגדרה אחרת, ב-(י).

כן, נעביר אותו.

זה צריך להיות לפני, בין (ג) ל-(י).


1. מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתם בסעיף 17ג;

ההגדרה של שירותי דיוור ישיר עברה לסעיף 3, לא?

נכון.

זה תיקון נוסח.

כן, כל ההפניות של הסעיפים יתוקנו ברגע שיהיה לנו - - -

לא צריך "כהגדרתה".

1. מאגר מידע יש בו מידע על אודות 10,000 אנשים ומעלה;

1. מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית;

"מאגר שחלה עליו רמת האבטחה הבסיסית" – מאגר מידע שאינו מאגר המנוהל בידי יחיד שמתקיימים בו כל אלה:

1. מטרתו העיקרית אינה איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתם בסעיף 17ג;

1. בעל השליטה במאגר המידע אינו גוף ציבורי כהגדרתו בסעיף 23;

1. אם יש במאגר מידע רגיש במיוחד מתקיים בו גם אחד מאלה:

1. מספר בעלי ההרשאה למאגר אצל בעל השליטה אינו עולה על עשרה;

1. המאגר כולל מידע רגיש במיוחד רק על אודות המועסקים אצל בעל השליטה או הספקים שלו, הוא משמש למטרות ניהול העסק בלבד והוא מהסוגים שלהלן בלבד:

1. מידע ביומטרי כאמור בפסקה (4) להגדרה "מידע רגיש במיוחד" שהוא תמונת פנים בלבד;

1. מידע רפואי, מידע על עבר פלילי, נתוני תקשורת ומידע כלכלי;

1. מידע על צנעת חייו של העובד או של בן זוגו, והוא נובע מרישום שמסר המועסק;


"מאגר שחלה עליו רמת האבטחה הבינונית" – מאגר שאינו מאגר מידע המנוהל על ידי יחיד ואינו מאגר שחלה עליו רמת האבטחה הגבוהה ומתקיים בו אחד מאלה:

1. מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתם בסעיף 17ג;

1. בעל השליטה בו הוא גוף ציבורי כהגדרתו בסעיף 23 לחוק;

במאגר מידע רגיש במיוחד, למעט מידע רגיש במיוחד המוחרג בפסקה (3)(ב) להגדרה "מאגר שחלה עליו רמת האבטחה הבסיסית";



מישהו יודע לקרוא את זה? זה תשבץ, זה פסיכומטרי.

סודוקו.

"מאגר שחלה עליו רמת האבטחה הגבוהה" – מאגר שמתקיים בו אחד מאלה:

1. מאגר מידע כאמור בפרט (1)(1) או (1)(3) להגדרה "מאגר מידע שחלה עליו רמת האבטחה הבינונית" שמספר בעלי ההרשאה אצל בעל השליטה בו עולה על 100

אני חושב שזה זז.

כן, זה כנראה זז.

תיקון הסעיפים בהתאם, בסדר?


או שיש בו מידע על אודות100,000 בני אדם ומעלה;

1. מאגר מידע שיש בו מזהים ביומטריים של 100,000 בני אדם ומעלה;

"התקנות" – תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז – 2017.



מיכל, שימי לב שפה לא מחקתי לך. צריך לרשום גם את הדברים שאני מסכים לגביהם.

יש למישהו הערות?

התגעגעתי למיכל.

חסר לי פה משהו שדיברנו עליו בדיון הקודם לגבי הערכות אישיות. דיברנו על זה בדיון הראשון וזה פשוט נעלם מכאן. זה לא נחשב מידע - - -

תחת 3(ב)?

(ב)(3), כן.

(3)(ב).

(3)(ב), סליחה.

האם הערכת אישיות של עובד נחשבת - - -

בדיוק.

אחרת כל מאגרי העובדים יהיו- - -

הכוונה היא להערכה שהממונה עליו רשם עליו שהוא כזה או כזה.

רק אם זה נעשה על ידי אדם שזה עיסוקו. כלומר, אם אתם מחזיקים - - -

שנייה, איפה את רושמת הערכת עובד? איך את מגדירה הערכת עובד?

אבל הערכת עובד זה לא בן אדם שהעיסוק שלו - - -

שנייה, הבוס שלו - - -

אולי אני אקריא את ההגדרה?

דייקנו את ההגדרה של הערכת אישיות.

ההגדרה של הערכת אישיות תחת הגדרת מידע רגיש אומרת שזה צריך להיות מידע שנאסף על ידי - - -

פילת וכאלה, לא של הבוס.

בדיוק, אז זה לא חל עליו.

בואו נקריא מעמוד 8, פסקה 8 למעלה בהגדרת מידע רגיש במיוחד.


(8) הערכת אישיות שנערכה מטעם גורם מקצועי שכדרך עיסוק מחווה דעתו על אישיותו של אדם או באמצעי שמיועד לביצוע הערכה של מאפייני אישיות מהותיים, ובכלל זה קווי אופי, יכולת שכלית ויכולת תפקוד בעבודה או בלימודים;




כלומר, אם זה הבוס - - -

אבל אם זה ממונה משאבי אנוש של הגוף שאומר שהעובד הזה הוא טמבל אז לכאורה, להגיד שעובד מסוים הוא טמבל זה נכנס לפה. מנהל כוח האדם בארגון זה מישהו שבתפקידו לספק מידע לגבי מי עובד טמבל ומי עובד לא טמבל.

מה אם גוגל מחזיקה עכשיו - - -

שנייה. אני חושב שמן הראוי שזה מה שממונה על כוח אדם יעשה.

אבל גם בלי זה, יש את זה בהגדרה בתיק העובד כי כשאתה שולח מועמד למבחנים חיצונים ואז הוא הופך להיות עובד, כל המידע שלו כמועמד נכנס לתיק עובד.

נכון ואז ממילא - - -

ואז זה לא ייכנס לזה.

זה יהיה כל מאגרי העובדים בישראל.

כל מאגרי העובדים יהפכו להיות בדרגה הזאת.

זה לא קיים היום.

יהפכו להיות בינוני.

זה לא המצב היום.

לנו אין התנגדות.

אנחנו מסכימים לתוספת הזאת.

בסדר. לכאורה, אנחנו נותנים ביומטרי ומידע על צנעת חייו, יש שם דברים מאוד רציניים.

בסדר, אין בעיה.

מאגר מועמדים הוא חלק ממאגר העובדים.

במובן מסוים, גם אמונה דתית במובן של השתייכות דתית. יום המנוחה השבועי של עובד מתועד על פי החוק בישראל.

כן, הוא גם שם.

אני חושבת שצריך להכניס גם את זה.

נכון.

אבל פרט ליהודים, יום המנוחה לא אומר בהכרח - - -

לא אבל בן אדם הוא מוסלמי?

זה לא אוטומטי. רק ליהודים - - -

לא אבל אני רושם לעצמי האם אדם הוא מוסלמי או לא.

לא, אתה רושם איזה יום מנוחה הוא בחר.

לא, אני רושם מוסלמי.

פרט ליהודים שלגביהם פקודת סדרי שלטון ומשפט אומרת, אצל שאר העובדים הבחירה לא אומרת בהכרח על דתם. כל אחד יכול לבחור מה שהוא רוצה.

יכול להיות אבל השאלה היא - - -

בפרקטיקה - - -

הבחירה בהחלט יכולה להעיד.

בקיצור, פסקה (7) המעידה על אודות דעותיו הפוליטיות ואמונותיו של אדם?

לא, רק על אמונותיו הדתיות.

רק על אמונותיו הדתיות.

לא פוליטיות, כמובן.

לא פוליטי, חלילה וחס.

בסדר גמור, עוד הערות?

רק בקידום שופטים יודעים מה הדעות הפוליטיות, לא בשום תפקיד אחר במדינה.

אני באתי לבאס. אני רוצה לשאול שאלה בשביל להכניס לפרוטוקול.

כולנו באנו לבאס.

כן. זאת לא הצעה לנוסח ואני לא יודעת איך לפתור את זה אבל אני רוצה להציג בעיה ולקוות שאולי נוכל להכניס לפרוטוקול את הכוונה של הרשות כשהיא באה לאכוף את רמות האבטחה האלה, כשהיא בוחנת את רמת האבטחה שחלה על מחזיק. אנחנו לא מסתכלים עכשיו על המועסקים שלו, לא על הספקים שלו ולא על מטרתו העיקרית של המאגר שנועד לדיוור ישיר ולסוחרי מידע.

אם כמו שאמרת דלית, הוא נגזרת - - - אז השאלה היא אם אני מחזיק ואני נותנת שירות למספר בעלי שליה במאגרים והמוצר והשירות שלי הם מסוג שאני לא יודעת מראש איזה מידע יש בתוך המערכת, שמועבד מן המאגר של כל אחד מבעלי השליטה, כמה מורשי גישה יש לו ואיך אני סופרת אותם. אני לא הולכת להכניס את זה לתוך ההסכם אלא אם כן אני עובדת רק בישראל ואין לי שום לקוחות בחו"ל.

זאת שאלה שלא נובעת משום שינוי שנעשה פה.

נכון. ניר, אני מסכימה איתך.

אני לא חושב שאפשר פה - - -

יש עכשיו סנקציות ואנחנו קופצים מבסיסית לבינונית פי 20 ומבינונית לגבוהה אנחנו קופצים פי 4 אז זה חשוב לדעת.

גם לפי ה-GDPR, זה לא חידוש שיש פרטים על נושאי מידע - - -

חשוב לי לדעת איך אתם מפעילים את שיקול הדעת.

איה, יש לי הצעה פרקטית. תכתבי בהסכם שאת נותנת רמת אבטחה בינונית ומי שיש לו בעיה עם זה יגיד לך.

אז עכשיו לקחתי על עצמי את הסיכון.

טוב, נדבר על זה בהמשך.

חברים, ביום אחר. זה לישיבה המרתונית הבאה.

רק שיגידו איך הם מתכוונים ליישם את זה.

זאת לא חוות דעת מקדמית אבל - - -

אני מבינה שזה אבוד. בקיצור, לכו תדעו.

נכון.

תודה.

נכון, זה חלק מהבעיה. עשינו את זה?

כבר עברנו על התקנות האלה ואני לא מעוניינת לקרוא אותן שוב.

אין אף אחד בעולם שמעוניין לקרוא אותן, אני לא חושב שמי שכתב אותן היה מעוניין לקרוא אותן ואם הוא היה מעוניין לקרוא אותן הן בטח היו נראות אחרות.

יש מצב. שימו לב שהוספנו פה את טור ו' לטובת ההצגה הוויזואלית אבל דה-פאקטו, לא יהיה כי זה הכפלה של טור ה' אז בנוסח עצמו כבר מופיע שבמאגר שמעל מיליון, יש הכפלה אוטומטית של טור ה'. אציין כמה ניואנסים ספציפיים שעלו והם ממורקרים בצהוב והערות נוסח שתוכלו לקרוא ואם יהיה לכם הערות, אתם מוזמנים להעיר. לא נקרא את ההערות הנוסח, אבל אתם מוזמנים.

בפסקה (4) אני חושבת שהייתה לנו שאלה לגבי יחיד, אם גם אמור לחול סכום של 1,000 שקלים של עיצום כספי לגבי הגנת מערכות.

בעל שליטה במאגר מידע, מחזיק במאגר מידע שלא הבטיח כי המערכות המפורטות בתקנה 5(א)(1) לתקנות יישמרו במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, באופן התואם את אופי פעילות המאגר ורגישות המידע בו







כשזה "אופי התואם את פעילות" אז לא צריך התראה מנהלית במצב כזה? האם הסעיף הזה הוא במסגרת נוהל ההתראה? ואני חושבת שהוועדה התבטאה לגבי ההחלה של - - -

כן, זה בעצם אומר שבמאגר של יחיד אז צריך לנעול את הבית. לא יודע.

זאת תקנה שלא חלה על יחיד.

היא לא חלה אז אין אותה על יחיד ולעניין "אופן התואם את אופי פעילות המאגר ורגישות המידע בו", זה לא קצת עמום? אנחנו לא בנוהל התראה שם?

יש נוהל התראה על זה?

לדעתי אנחנו אמורים להיות שם בנוהל התראה.

אולי תגידו לנו איזה פסקאות מגיעות בנוהל התראה ונסמן לנו אותן? זה יעזור.

זה לא בנוהל התראה.

זה לא צריך להיות בנוהל התראה, עכשיו שאנחנו מסתכלים על זה?

לא.

למה?

לשיטתנו, לא.

איך אתם יודעים? איך אני אמור לדעת אם מה שאני עושה תואם את אופי פעילות המאגר או רגישות המידע בו?

בהקשר הזה, גם פרט (34) הוא באותו הגיון.

זאת תקנה (5)(א)(1), לתקנות בהתאם להוראות תקנה (6)(א).

גם פרט (34) זה באותו הגיון. זה גם ב"לא אמצעים מתאימים".

כשנגיע ל-(34) תגיד לנו.

זה כן (5), זאת טעות טכנית. זה לא (5)(א), זה 6(א).

יש בלבול בטופס.

אז זה כן חל על יחיד.

אבטחה פיזית זאת חובה שכן חלה על יחיד ולכן העיצום הוא כמו העיצום על רמת האבטחה הבסיסית. זאת הפרה של תקנה (6)(א).

ולעניין "אופן התואם את אופי פעילות המאגר או רגישות המידע בו", איך אני יודע מה תואם ומה לא תואם כשאני עושה את זה? שלושה מנועלים? שתי מנועלים? קודם? זיהוי רשתית?

אז תכניסו את זה לנוהל התראה.

אפשר להסיר את "באופן תואם".

ברור ואז איך תטילו את העיצום?

זה נוסח התקנות.

אני יודע, זה רק אומר שזאת תקנה שלא מתאימה להיות בלי התראה.

התקנות לא נמצאות לפתחם אבל העיצומים כן.

זה צריך להיות בנוהל התראה, זה הוכרע. אני לא ניסחתי את התקנות אז אתם לא יכולים לבוא אלי בתקנות, חברים. אם אני הייתי מנסח אותן זה בטח היה פי שלוש עמודים.

מה הוחלט?

התראה.

אתה מחיל את העיצום הכספי על יחיד?

אם התקנות חלות היום על יחיד אז כן אבל אותו דבר, בנוהל התראה.

בסדר גמור. ב-(10) נצטרך לפתור את זה שמתוכן (ג) לא חל על מאגרים ברמת האבטחה הבינונית, למיטב ידעתי. יש שם (א) (ב) ו-(ג) ואני חושבת ש-(ג) לא חל על רמת האבטחה הבינונית. בעצם, יחיד ובינונית.

לא, אולי בסיסי ויחיד?

לא, אני חושבת שאולי גם על בינונית. תבדקו את זה באיה, את רוצה להסביר את ההערה שלך לגבי (ב)?

תקנה 18ב מתחילה במילים הבאות, "במאגר שחלה עליו רמת האבטחה הגבוהה" הוא לא חל על בסיסית ולא על בינונית. זהו.

לא, הייתה לך הערה לגבי המחזיק בסעיף קטן (ב).

אז לפי התקנות, לא צריך לעשות בבסיסי ובבינוני?

לא.

בסעיף קטן (ב) זה האנומליה של ההגדרת מנהל המאגר שעכשיו שינינו אותה כך שזה בעל שליטה במאגר, אלא אם כן זה גוף ציבורי ואז זה מנכ"ל הגוף או מי שהסמיך אותו. מישהו מקשיב לי? ברגע שאנחנו מחליפים את מנהל המאגר בבעל שליטה נוצרת האנומליה הזאת כי לפי תקנה 18א - - -

תקנה 18א אומרת שמאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יקבע בעל המאגר במסמך.

ואז מה הוא קובע במאגר? סעיף קטן (2) מתוך 18א זה נהלים לאבטחת שחזור הנתונים כאמור בתקנה 17ב ובלבד שביצוע השחזור יהיה באישור מנהל המאגר. מכיוון שאנחנו מציבים בתוך מנהל המאגר את בעל השליטה אז אם המאגר הוא של מחזיק - - -

לא, ההגדרה לא שונתה לבעל מאגר.

לא.

מנהל המאגר? מנהל המאגר הוחלף לבעל שליטה.

קודם כול, לפי הניסוח תקנה 18 באמת לא חלה על בסיסי ובינוני.

18ב.

18א חלה.

תקריאי שוב את 18א.

"במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה".

אז זה לא חל על בסיסי ויחיד.

נכון.

אז צריך להוריד את הבסיסי ב-18, לא חל בבסיסי נוהל אבטחה.

בהמשך ב-18ב, זה חל רק על מאגר מידע שחלה עליו רמת האבטחה הגבוהה.

שם אני בכלל לא רואה סכומים.

לא, כי הכול נכנס תחת 10, אתה איחדת את כולם.

איחדתי את כולם.

כן ואז נוצר לנו הקושי הזה.

הבנתי.

טוב, אנחנו ננסה למצוא לו פתרון.

אבל זה לא מופיע פה. אין פה סכום על יחיד ובסיסי אז אני לא רואה את הקושי.

נכון כי אין חוק.

לא, אבל גם הבינוני - - -

בסדר, אז הוא לא הפר.

לא, על בינוני זה כן חל.

אבל 18ב לא חל על בינוני.

בסדר, 18ב לא חל על בינוני. מה שאיה אומרת זה שמנהל המאגר - - -

מכיוון שמי שצריך בפועל לקבוע את אופן השחזור הוא מנהל המאגר ומנהל המאגר מעכשיו הוא בעל השליטה - - -

הוא צריך לאשר, לא לקבוע.

בסדר, זה פשוט לא עובד עם מחזיקים של הרבה בעלי שליטה במאגרים שיש להם נוהל גיבויי ושחזור גיבויים רוחביים אז הם לא יכולים לקבל הוראות באופן פרטני מכל בעל שליטה על אופן שחזור הנתונים.

ממשלה, מה עושים עם זה? יש לכם הצעה?

לעדכן את התקנות.

איה הציעה נוסח, תראו אם זה מתחבר ונותן לכם פתרון.

איפה הנוסח?

בעמוד 7 ב-(ב).

זה לא מדהים אבל זה ככה בתקנות.

המסמך מעודכן מאתמול.

"קבע במסמך את העניינים האמורים"?

כן.

זה באישור ההנהלה הבכירה במקום באישור מנהל המאגר.

זה בסדר? זה מקובל עליכם?

\
זה לא תואם את ההוראה הנורמטיבית.

כן, אי-אפשר להכניס פה לנורמטיבית.

כן אבל ההוראה הנורמטיבית מייצרת פה באג יותר גדול, במובן מסוים אז צריך לחשוב מה עושים.

שינינו את ההגדרות מייצר מצב כאילו המחזיק צריך לקבל אישור של בעל השליטה.

אפשר לעשות את זה וכשתתקנו את תקנות אבטחת מידע אז תעשו כמו זה ואפשר להשאיר את ההוראה הנורמטיבית אבל אתם יוצרים פה באג די גדול.

למה לא פשוט "קבע במסמך"? ממילא, בעל השליטה פה הוא מחזיק לפי העניין.

אפשר פשוט להעתיק את ההוראה בלי אישור של מנהל המאגר.

בדיוק, את ההוראה האופרטיבית הוא קבע במסמך.

עצם זה שהוא קבע את הנהלים ואז זה על החלק - - -

על קביעת הנהלים.

אבל כשכתוב "המנהלים המנויים בניגוד להוראות התקנה האמורה" , זה לא מחיל את כל התוכן שלו?

על קביעת הנהלים. לא.

בלי החלק של האישור.

המינוח יהיה - - - אנחנו מדברים על (ב) או על (ד)?

זה 10(ב).

"שלא עשה אחד מאלה" זה לא קבע.

אז למה המילה "לא" ירדה?

כי זה נמצא ברישה.

לא קבע נהלים לאבטחת שחזור הנתונים כאמור.

לא קבע נהלים.

בדיוק.

בלי הפנייה לסעיף.

אני שואלת שאלת הבהרה כי אני לא מכירה את איך שהנוסחות עובדת. כשכתוב "בניגוד להוראות התקנה האמורה" זה לא מייבא את כל התוכן שלה?

אז אנחנו מורידים את המילים "בניגוד להוראות התקנה האמורה". "לא כלל בנוהל אבטחה פרטים לעניין גיבוי".

או-קיי, תודה.

טוב, תיישרו את זה עם סוריא.

מה עוד? סקר סיכונים.

בפסקה 14 הוספנו "לרבות סוגי המידע השונים הכלולים במאגר המידע לפי תקנת משנה (3), בשים לב לרשימת סוגי המידע המהווים מידע רגיש במיוחד לפי סעיף 3 לחוק;". זאת גם הערה שקיבלנו מאיה. את רוצה להסביר אותה?

14 מדבר על הכנת מסמך הגדרות מאגר. כרגע, הוא מפנה לרשימת סוגי המידע בתוספת הראשונה לתקנות ומכיוון שמבחינה מהותית, עכשיו החלפנו את זה למידע רגיש במיוחד אז אולי נכון - - -

אז אנחנו מפנים לחוק?

כן.

כן.

בסדר.

אנחנו לא איתכם. נעמה, תסבירי שוב.

הגדרות מאגר צריך להתייחס לסוגי המידע שבמאגר בשים לב למידע. אנחנו בפרט 14 בתחתית עמוד 7.

במקום לתוספת, מפנים להגדרות של מידע רגיש בחוק, בסדר?

אחרת יש פער בין מה מוגדר כמידע בתוספת לתקנות לבין מה שמוגדר כמידע רגיש במיוחד.

כן ואז באופן מוזר, מסמך הגדרות מאגר יתייחס למשהו שאנחנו לא מסתכלים עליו באופן נורמטיבי.

זה לא ישקף את המצב הנורמטיבי החדש.

אז אתה מתקן אותם דרך החוק.

בסדר?

בסדר, זה מקובל עלינו. אפשר להתקדם.

לגבי פרט 16, יש לנו הערה של הנוסחות. כתוב "לא בחן או תיעד את הבחינה" ובתקנה 2ג יש לנו רק את הבחינה. איפה נמצא התיעוד?

אנחנו הוספנו את זה כי רצינו שתהיה אינדיקציה.

לא, זאת תקנה 2ג.

חסרה לי הפנייה.

זאת הייתה תוספת של היושב-ראש.

התיעוד נמצא במסמך הגדרות מאגר. במסמך הגדרות מאגר בסעיף האחרון, אתה אמור לתעד אם עשית או לא עשית בחינה.

לא, יש חובת תיעוד כללית בסעיף 19ב.

שיש לה הפרה נפרדת. במקרה הזה היושב-ראש עדכן - - -

במקרה הזה הם איחדו.

לא היה את זה בסעיף הספציפי הזה.

בסדר, אנחנו נוסיף את ההפניה ל-19ב.

ל-19ב איפה? בחוק או בתקנות? בתקנות.

אז רק אוודא, זה "שלא בחן או תיעד", נכון?

שלא בחן או תיעד את הבחינה ואנחנו נוסיף את ההפנייה הנכונה גם ל-19ב.

בסדר.

בפרט 17 יש בקשה של הממשלה להעלות את הסכומים אז הממשלה תסביר.

בהתאם לאיזונים שנעשו בדיון הקודם כאשר על חלק מההפרות נקבע שלא יהיה עיצום כספי בכלל ועל חלק נקבע שיהיה נוהל התראה, אנחנו עשינו קריאה מחודשת של הכול ויש כמה הפרות שלשיטתנו, הן החמורות ביותר וסברנו שבמסגרת האיזון, נכון להעלות לגביהם את סכומי העיצום וזה אחד מהם.

מדובר כאן על מצב בו אין נוהל בכלל, ההפרה היא גוף שאינו מחזיק נוהל אבטחת מידע בכלל ולכן סברנו שראוי להעלות כאן את סכומי העיצום למדרגה הגבוהה יותר. זאת הבקשה שלנו ושוב, בדברים אחרים אין עיצום בעקבות החלטות הוועדה.

פרט 17.

אנחנו מדברים על הנוהל עצמו, נכון?

כן, על בניית נוהל אבטחה.

רק הנוהל?

כן.

הכנת נוהל הבטחת - - -

עצם קיומו של נוהל.

לא אם אני עושה את כל הדברים בפועל.

הסעיף הבא מדבר על דברים שצריכים להיכנס לנוהל.

מתי יהיה לך הפרה לבד על עצם נוהל ולא על פרטיו?

אתה שואל האם יש ארגונים שמקיימים את הוראות אבטחת המידע ואין להם נוהל כזה? יש כאלה מקרים.

לא, לא.

וגם הפוך.

וגם הפוך.

גם הפוך, כן.

אין כאן כפל מבצעים. אם הוא לא הכין אז הוא לא יוכל לקבל גם לפי 18.

18 מדבר על הפרטים של הנוהל.

אם אני לא טועה, יש לנו את סעיף 23מב שאומר שעל מעשה או מחדל אחד - - -

על מעשה אחד יש הפרה אחת.

לא יכולות להיות יותר ממספר הפרות. כלומר, יכול להיות שיש לך כמה מעשים או כמה מחדלים שקשורים אחד לשני אבל זה לא אותו אחד.

בדיוק אבל כל מחדל הוא מעשה. זאת נקודה חשובה שעלתה גם בדיון הקודם ואומר את זה שוב לפרוטוקול, כל מחדל הוא מעשה בפני עצמו.

אבל אם בכלל לא החזקתי נוהל אז אי-אפשר גם להגיד לי גם על זה שאין לי נוהל וגם על זה שלא קבעתי בנוהל איקס.

אי-אפשר, נכון.

במקרה הזה כן אבל אני רוצה שניזהר מלהגיד את זה כאמירה גורפת. מה שאמרת עכשיו הוא נכון אבל כל מחדל הוא מעשה בפני עצמו.

בראייה הזאת, אם ארגון קיים כל נהלי אבטחת מידע מילה במילה אבל הוא לא עשה נוהל אז זה משהו שהוא ברמה הגבוהה - - -

זה משהו שהוא בכלל ריאלי?

הוא יקבל עיצום של 340 אלף שקלים?

זה ריאלי שמישהו יקיים את כל ההוראות בלי לכתוב נוהל?

כן, כן.

כן.

התשובה היא כן, חד-משמעית.

זה גם קורה בפועל הרבה.

מי שמחזיק מאגר מידע של מיליון אנשים אז כדאי שהוא יכין נוהל אבטחת מידע.

אין ספק, אין ויכוח על זה.

זה שכדאי שהוא יעשה את זאת בכלל לא השאלה, השאלה היא אם הקנס על זה צריך להיות 160 אלף, 320 אלף או 640 אלף.

מבחינתנו, זאת הפרה שהיא ברף הגבוה ביותר. הגשנו סקירה לוועדה לגבי סכומי העיצומים שמקובלים וגם בדיון הקודם הייתה הבנה שהסכומים שמוצעים כאן היו מלכתחילה, נמוכים בחלקם ולכן בהפרות ברף הגבוה ביותר - - -

יש הפרה כזאת ב-GDPR?

אין התייחסות.

אין את הרזולוציה הזאת ב-GDPR.

ב-GDPR יש הפרה כללית של חובת אבטחת המידע כחובה כללית עקרונית.

ומה הקנס שם?

לא, אבל זה מאוד רחב - - -

זה 4%.

הדרישות הישראליות הן ייחודיות.

אבל זה לא עם שיקול דעת.

כן אבל בפועל, הקנסות המוטלות על אבטחת מידע מכוח ה-GDPR הן מאוד גבוהות. הגשנו סקירה לוועדה בעניין.

נכון אבל בדרך כלל זה על אירועי אבטחה.

זה לא על טופס.

זה לא על אי-קיום הנוהל.

מה זאת אומרת, לא על טופס? זה בהחלט יכול להיות גם על טופס.

לא, זה בדרך כלל על אירועי אבטחה ועל פריצות.

בואו נדבר על כל המכלול.

אי-הכנת נוהל אבטחה זה לא פרוצדורה של טופס, זה עניין מהותי.

אני מבין שקיים סקר סיכונים - - - סליחה. אני רואה שגם על סקר סיכונים את מבקשים את אותו דבר וגם על מבדקי חדירות.

כן, אלה ההפרות החמורות ביותר.

לא אבל מבדק חדירות זה בהחלט משהו שהוא ברף הגבוהה.

זה משהו אחר.

גם על דיווח לרשות על אירוע אבטחת מידע. בחרנו ארבעה - - -

אני חושב שמבין הארבעה שכתבתם, על שלושה זה הגיוני אבל על זה, זה לא הגיוני. אני אתן לכם על מבדקי החדירות, סקר הסיכונים והדיווח ועל זה אני משאיר מה שהיה שזה 2,000, 80, 160 ו-300.

לא 80, 2,000, 40, 160 ו-300.

2,000, 40 אלף, 160 ו-320.

בסדר, אדוני. בואו נתקדם.

ב-19 אתה מאשר את ההגדלה של הסכומים?

כן. אמרתי כבר על העבירות האחרות.

או-קיי.

מה זה 28?

לפני 28 יש את 22. אני חושבת שיישום נוהל התראות הגישה - - -

כן, גם נוהל התראה. כל מה שמופיע פה.

שנייה. אם אני לא טועה, הוועדה לא אישרה את יישום נוהל הרשאות הגישה לגבי יחיד ויש כאן בקשה של הממשלה כן להחיל את זה לגבי יחיד. האם אני טועה? מה שבצהוב פה זה דיון חוזר בהחלטות הקודמות של הוועדה, שלא להחיל את התקנות האלה לגבי יחידים. זה גם 22, יישום נוהל הרשאות גישה וגם 22א, יישום נוהל הרשאות הגישה ביחס לבעל הרשאה שסיים את תפקידו.

זאת הוראה שהיא כולה תחת נוהל התראה.

ומכיוון שהרחבנו מאוד את הגדרת מאגר המנוהל בידי יחיד, זה כבר הופך להיות יותר אקוטי שכן תהיה איזושהי סנקציה. אנחנו הרחבנו מאוד.

בני זוג שמנהלים ביחד, לא בטוח אבל זאת אפשרות.

לשיטתנו, זאת חובה בסיסית שראוי להחיל אותה תחת נוהל התראה.

אני אציין שזה מה שהוועדה אישרה בפעם שעברה. כלומר, בלי היחיד.

כן, בייחוד שנוהל הרשאות גישה זה דבר שבפני עצמו, קצת משונה להגיד ליחיד כי אצל יחיד יישום הנוהל - - - אגב, יש חובה לנוהל ביחיד?

כן.

יש חובה לנוהל ביחיד?

לא על אבטחת מידע.

לא, נוהל הרשאות גישה.

לא.

לא, אז אני לא יכול לבקש ליישם. תורידו את היחיד, זה לא רלוונטי. אני מבין ומעריך את הרצון אך לא. 28.

רגע, זאת חובה שחלה. החובה היא בתקנה 9א וזאת חובה שחלה על יחידים, אחרת לא היינו מבקשים את זה. אני רוצה להעמיד את הדברים על דיוקם.

בסדר, יכול להיות.

זה לא שאין חובה אבל הוועדה, תחת נוהל התראה, קבעה שלא יהיה עיצום על יחיד ואנחנו חשבנו שאין מקום פה להבחנה הזאת.

בסדר, אני נשארתי בדעתי. אפשר להמשיך.

לא חייבים נוהל בשביל זה.

נשארתי בעמדתי, לא ליחיד. אפשר להמשיך.

אייל שגיא, עורך דין. אם ממשיכים הלאה אז לפני שמגיעים ל-28, יש שינוי ב-24ג. אולי אני טועה אבל לפי מיטב זכרוני, כשדובר על העיצום על אי-שמירת נתוני גיבוי, נותני log in, דובר על עיצום על כך שלא שמר שנה ולא שמר שנתיים.

נכון, זאת טעות. אני לא יודעת למה.

או-קיי.

כן, אמרנו ש-24 זה - - -

נכון, זה אמור להיות 12 חודשים.

אני רק רוצה לוודא שבפרטים 19 ו-20 שזה סקר סיכונים ומבדקי חדירות, הוועדה אישרה את הכפלת הסכומים.

כן. 28 - - -

28 זה פרט שאושר בפעם הקודמת.

תיעוד אירוע.

אני לא הייתי בטוחה אם הוועדה אישרה או לא ולכן החזרתי את זה לוועדה.

אושר.

אני לא זכרתי שזה לא אושר.

האמת היא שזה אושר ללא דיון.

גם לא היינו בטוחים לגבי היחיד אז אולי הוועדה פשוט תחליט שוב בנושא.

אדוני, זה אושר.

אני לא יודעת אם זה אושר או לא.

אני לא זוכר סיבה שזה לא יאושר על היחיד. אין סיבה שלא. דיווח לרשות אודות אירוע אבטחה חמור נתתי לכם.

כן.

בסדר. אני לא דן מחדש במחיקה של אחסן נייד.

איפה זה?

31.

31 לא, או-קיי.

33.

אנחנו מבקשים להציג את עמדנו לגבי 33 ולהגיד למה אנחנו חושבים שכן צריך להיות פה עיצום גם על יחיד בנושא עדכון מערכות המאגר, על אף שזה עיצום נמוך של 2,000 שקלים, אנחנו בהחלט רואים בו חשיבות.

עורכת דין לינא כמאל, אמונה על אכיפה מנהלית. מערכות המאגר זה כל מה שמתחבר למאגר המידע, גם המערכות הבסיסיות ביותר. לכן, גם במאגר המנוהל על ידי יחיד, אי-העדכון שלהן זאת יכולה להיות פרצת אבטחה גדולה ולכן צריך להטיל עיצום כספי.

העובדה שהמאגר מנוהל על ידי יחיד אינה אומרת שאין סכנה לאבטחת המידע וללא אבטחה ואי-עדכון מערכות ומערכות שהן לא מעודכנות מהוות סיכון מידי לדלף מידע. לכן, גם כשזה מנוהל על ידי יחיד הוא חייב לקבל את האחריות ועיצום כספי כשהוא לא מעדכן מערכות מאגר.

נעמה?

רק שאלתי אם לא נדרש נוהל התראה, לפחות לגבי יחיד.

למה?

למה? ההוראה פה היא ברורה, תעדכן.

אתה צריך לעדכן.

זה לעדכן את העדכונים של יצרן התוכנה.

יצרן התוכנה אומר לך לעדכן אז תעדכן.

זה נורא פשוט.

זה משהו שהוא באינטרס העסקי של כל ארגון, גם אם הוא מנוהל על ידי יחיד.

שוב, הנחת העבודה היא שיחיד פחות מכיר את הנהלים, האבטחה ואת העדכון.

אבל זה דבר שהוא חייב להכיר.

הוא בעסק ויש גם אינטרס עסקי לנהל את זה באופן מאובטח, אחרת אתה לא תוכל לעבוד עם המערכות שלך והן יגיעו ל-end of life בסוף אז אתה לא תוכל להמשיך לנהל את העסק, זה win-win בשבילם.

תוך כמה זמן? אם יוצא עדכון מחר בבוקר, תוך כמה לא יהיה קנס? כמה זמן יש לי לעדכן אותו? יום, יומיים, כמה זמן?

לא, זה כבר שאלות - - -

זה כבר שאלות של יישום.

אלה שאלות חשובות כי את רוצה לתת קנס.

הוא מדבר על יחידים.

אני מדבר על מאגר יחיד.

מה ההבדל?

אני מוכן בנוהל התראה או בכלל לא, איך שאתם רוצים. לבחירתכם, או בנוהל התראה או לא בכלל בגלל שבסופו של דבר, היכולת של יחיד לדעת ולהתעדכן במתי יצא עדכון ומתי לי - - -

זה אוטומטי.

זה לא אוטומטי.

הוא מקבל עדכון מהיצרנים.

זה לא אוטומטי ובטח שלא במערכות יותר מורכבות. להפך, יש לי אינטרס שהוא ישמור את המערכות שלו אוף-ליין ואז זה לא מתעדכן אוטומטית.

אדוני, זה לא מדויק. רוב החברות וכל היצרנים של התוכנות והמערכות, שולחות עדכונים באופן שוטף לכל הלקוחות.

אני מחזיק את המאגר שלי על המחשב הנייד שלי, אני מתחבר אותו בדרך מאוד מסוימת ואני לא רוצה שהוא יהיה מחובר לאינטרנט כל הזמן באופן שוטף, ששם הוא יתעדכן באופן אוטומטי תמיד והאיש מחשבים שלי מגיע פעם בחצי שנה לביקורת ואני לא מתעסק בזה ולא מבין בזה כלום כי אני עסק קטן ומשפחתי. האם יש בזה פרצת אבטחה? נכון, יש בזה פרצת אבטחה - - -

גדולה מאוד.

אבל בצד השני יש פרצת רגולציה אז זה נוהל התראה או כלום. זה הוכרע וזה הכול.

אבל להבהיר שנוהל ההתראה הוא רק ליחיד.

כן.

לגבי יחיד, כן. בפרט 20 יש טעות בסכום, אפשר לתקן אותה? זה בעמודה השמאלית ביותר. זה צריך להיות 640.

ממילא העמודה הזאת יורדת.

למען הסדר הטוב.

היא יורדת. מה רצית לומר על 34?

הזיכרון שלי היה שסכום שפרט 34 יהיה תחת נוהל התראה או - - - מכיוון שכתוב שם "בלא התקנת אמצעי הגנה מתאימים" אז זה שוב אותו רעיון כמו פרט 22.

נכון.

אז או שזה יהיה כל אמצעי הגנה בכלל או נוהל התראה.

נכון כי מה זה אמצעי הגנה מתאימים? זה VPN? זה Firewall?

זה בדיוק אותו רעיון כמו 9א.

למיטב ידעתי, זה פרט שאושר.

כן אבל דיברנו על זה. אם הלשון של זה - - -

אולי אפשר להוריד את המילה "מתאימים" ואז זה יהיה "ללא התקנת אמצעי הגנה".

כן.

אם זה אמצעי הגנה בכלל אז זה בסדר.

לא כלל, "בלא התקנת אמצעי הגנה". המילה כלל יוצרת כאן מורכבות שאנחנו לא רוצים להיכנס אליה כי אחרת אפשר לטעון שזה כל דבר.

המורכבות צריכה לפעול לטובת הבן אדם שיודע שאם הוא שם מערכת הגנה כלשהי אז הוא מכוסה ולא יחטוף את העיצום. יכול להיות שזה לא בסדר ואנחנו רוצים שהוא יהיה יותר מאובטח אבל אתה לא יכול לייצר עמימות בעיצום כספי.

לא, אבל שלא ישים קמע ויגיד שזה אמצעי הגנה.

אז עדיף נוהל התראה כדי שזה יהיה משהו יותר קונקרטי.

זה צריך להיות אמצעי הגנה.

היה פעם קמע לגלישה באינטרנט, בזה האתר לא יבוא חייזר.

ניר, עדיף שתעשו נוהל התראה ואז תוכלו לתת הוראה - - -

לא, לא.

לא, לא.

לא.

איך שאתם רוצים.

אנחנו מציעים "בלא התקנת אמצעי הגנה".

אני חושב שכולכם מפספסים פה הזדמנות עסקית. אתם בונים קורסים ל-DPO, אני הולך לייצר קמעות. נראה לי שקמע יותר יועיל נגד ביקורות שלכם מאשר נגד פרצות אבטחה.

למה שלא יהיה נוהל התראה בהקשר הזה?

זאת הפרה חמורה ואנחנו - - -

איך זה קשור לחמורה? בסדר, לא משנה.

המענה לעמימות ניתן בהצעה שהצענו, "לא נקט אמצעי הגנה". יש פה מספיק דברים שעברו - - -

זה לא עונה על השאלה, למה לא נוהל התראה?

"ללא שנקט אמצעי הגנה", או-קיי.

בפרט 37, יש לנו בקשה להעלות את הסכומים, נכון?

כן.

אני חושבת שזה איחוד של סעיף נוסף.

אני זוכר שדיברנו על זה שזה - - - עניין שלא דן בדוחות הביקורת? מה? לא הבנתי מה הולך פה.

אדוני ביקש לאחד כמה הפרות.

זה איחוד של עוד הפרה.

ביקורת תקופתית שצריך לערוך אחת לשנתיים וזה אכן גם מההפרות החמורות ביותר, כפי שאנחנו תופסים אותן. התקנות עצמן מפרידות בין ערכית הביקורת לבין דיון בדוחות הביקורות ובחינת הצורך ואדוני ביקש לאחד ביניהם כדי שהעיצום יהיה אחד ולא יהיה כפל גם על זה שלא קיימת וגם על זה שלא דנת.

כן.

לכן, כל ההפרות של תקנה 16 אוחדו תחת נוסח אחד.

כן אבל במובן מסוים, אתם מבקשים בתמורה להעלות עכשיו את הסכומים.

נכון.

אין תמורה, אנחנו לא עושים סחר.

לא, אנחנו מבקשים גם בגלל שזה מההפרות החמורות ביותר.

בסדר אבל זאת לא ההפרה החמורה ביותר, יחסית לדברים האחרים שהעלנו להם.

זאת חובה של אחת לשנתיים.

לא, זה כמו הנוהל. תשאירי את זה כמו שזה היה, 40 ו-160.

יש לי נקודה לחדד. לא מצוין כאן ההקשר של סעיף 16ד לגבי בעל מאגר ברמת האבטחה הגבוהה. זאת אומרת, אם הוא עשה סקר סיכונים הוא פתור מביקורת כזאת.

סליחה, דן אור. זה בנורמה, לא צריך לכתוב את זה אם הוא פתור.

בסדר, השארנו את זה ככה.

לכאורה, אם הוא עשה סקר סיכונים ולא עשה ביקורת אז הוא - - -

זה בסדר, אז הוא פתור.

אז הוא פתור, הוא לא הפר את ההוראה.

הוא לא הפר.

טוב, בסדר גמור.

הוא כן הפר את 16.

הוא לא הפר כי אם 16 מפנה לשם והוא פטור או שיש סעיף אחר שפוטר אותו ואם יש סעיף אחר בחוק שפוטר אותו אז הוא לא הפר.

נאמר לפרוטוקול.

אם יש סעיף שאומר "במקרה כזה וכזה, אתה לא חייב ב-16" אז הוא יגיד "אני לא חייב ב-16. מה אתם רוצים? לא הפרתי את 16 כי אני לא חייב ב-16".

לגבי פרט 38 יש נקודה שמסומנת בצהוב ואנחנו מבקשים כן להתעכב עליה. פרט 38 זה העיצום על תקנה 15 שהיא אולי התקנה הכי משמעותית לגבי החובות של - - -

עוד לא פגשתי תקנה שאתם לא אמרתם עליה שהיא אולי הכי משמעותית.

בגלל זה הם אומרים אולי.

חובות הפיקוח של בעל המאגר על המחזיק. מלכתחילה העיצום הכספי כאן צומצם כך שהוא חל בנוגע לאמצעי הפיקוח והבקרה ולא ביחס לחובות אחרות שיש לבעל המאגר, היא מפרטת בדיוק מה צריך להיות בהסכם בין בעל המאגר למחזיק וכולי.

הוועדה ביקשה להשמיט כאן את החלק שמדבר על ההיקף הנדרש, בשים לב לסיכונים האמורים, מפאת העמימות. אנחנו מבקשים שלא ייכתב "לא נקט כל אמצעי בקרה" אלא ייכתב "לא נקט אמצעי בקרה ופיקוח", אחרת - - -

לא.

אני רוצה להסביר.

אני הבנתי. דווקא בגלל שאתה מסביר לי - - -

אפשר מאוד בקלות - - -

עכשיו שכנעת אותי שאני צריך להוסיף גם בצד השני את הביטוי "כלל". דווקא בגלל שאתה מסביר לי, ראובן. אני אומר לך בכנות. אני לא יכול לתת לעיצום כספי אי-וודאות ולכן המילים "כל" ו-"כלל" מייצרות לי וודאות. אם בן אדם הזניח את חובות, אתם מטילים עליו עיצום כספי.

אם בן אדם לא הזניח את חובתו אלא יש לכם איתו ויכוח על השאלה אם הוא עשה מספיק או לא עשה מספיק אז אני נתתים לכם כלים אחרים? אני נתתי לכם צו הפסקת עיבוד, נתתי לכם את מה שאתם רוצים אבל עיצום כספי זה דבר שצריך להיות חד ובור עם clear cut או שיהיה נוהל התראה. אם אתם רוצים נוהל התראה אז אפשר נוהל התראה, הכול בסדר.

לא, אנחנו לא מבקשים שזה יהיה בנוהל התראה.

בסדר אז לכן מופיעה המילה "כל" וגם איפה ששכחנו להוסיף, תוסיפי את זה. עצם העובדה שאתה מדבר איתי על זה, מטרידה אותי.

טוב, דיווח?

נעשה הפסקה של חמש דקות לפני דיווח.


(הישיבה נפסקה בשעה 14:07 ונתחדשה בשעה 14:12.)

תוך כדי ההפסקה התעדכנתי שהיה פיגוע בצומת ניר צבי ויש פצועים שמאושפזים בבית חולים אז נגיד פרק תהילים לרפואתם.

"שיר המעלות ממעמקים קראתיך יהוה, אדני שמעה בקולי תהיינה אזניך קשבות לקול תחנוני. אם עונות תשמר יה אדני מי יעמד. כי עמך הסליחה למען תורא. קויתי יהוה קותה נפשי ולדברו הוחלתי. נפשי לאדני משמרים לבקר שמרים לבקר. יחל ישראל אל יהוה כי עם יהוה החסד והרבה עמו פדות והוא יפדה את ישראל מכל עונתיו". שיהיה פרק תהילים זה לרפואתם והצלחת כוחות הביטחון במניעת פיגועים בכלל ובפרט. נחזור לענייננו.

יש לנו היום בחוק את סעיף 10א רבא הידוע שעוסק בדו"ח הגנה על הפרטיות עם איזשהו הסדר שבו הרשות מגישה את הדו"ח. בעצם במובן מסוים, מי שמגיש את הדו"ח זה המועצה להגנת הפרטיות עם הערותיה על הדו"ח שהוכן על ידי הרשות.

כמסקנת עבר, חשבנו אולי להוסיף איזשהו מועד שבו הרשות צריכה להעביר את הדו"ח למועצה כמו חודש לפני או משהו כזה. היא תעביר עד 1 במרס והיא תעביר עד 1 באפריל. דבר שני הוא שחשבנו לפרט את הנושאים שבהם יעסוק הדו"ח.

הפירוט הוא מאוד ארוך אבל הוועדה יכולה להחליט להוריד מהדברים. זו רשות שיש להם הרבה מאוד סמכויות במגוון מאוד רחב אז אני חושבת שצריך להסתכל על הדיווח הזה גם כהכנה לתיקון 15, במובן מסוים. אנחנו כן רוצים לשמוע ויכול מאוד להיות שהסכומים שתציגו יהיו נמוכים מידי ואגב הדיווחים, יהיה צריך לתקן, לשנות או להוסיף.

בסדר גמור.

זאת ההצעה לוועדה.

אפשר להתייחס ברמה הכללית לפני שאנחנו צוללים?

כן.

ראשית, סעיף הדיווח המוצע מחזיק שלושה עמודים פה - - -

שניים וחצי.

זה סעיף דיווח חריג מאוד ויוצא דופן.

אתה לא ראית את הדיווח שאנחנו דיברנו עליו לפני שנייה על נתוני תקשורת בלבד.

נכון.

רק על הסמכויות לפי חוק נתוני תקשורת. אני לא יודע אם ראית איך נראה הדיווח שהתבקש בהסכמה מלאה של כל הסופים והוא עבר פה בשריקה. בעשר דקות אישרנו אותו בוועדה.

משאמרתי את זה, עם חלק גדול מהדברים אין לנו בעיה, יש דברים מסוים שכן יש לנו ועליהם אנחנו נרצה להתעכב.

כמה עיצום כספי הוועדה מטילה על הרשות אם היא לא מדווחת? איך זה עובד? סליחה, זה בצחוק.

אם היא מאחרת בהגשת הדו"ח. כמה זה היה, שנה וחצי? שנתיים? דו"ח 2022 הוגש כבר בשנת 2024.

לא, בסוף 2023.

לא, זה הוגש ב-2024.

אחרי שקראנו את זה, קצת נחנקנו והיינו צריכים לנשום עמוק אז קראנו שוב לעומק - - -

זה לא נורא.

קראנו שוב לעומק ועם הרבה מהדברים פה אין לנו בעיה, אבל בכל זאת כשאנחנו עוברים על זה אני רוצה שהוועדה - - -

אין שום בעיה.

רגע. אני רוצה לומר לגבי המועדים, מכיוון שיש כאן הרבה מאוד שיעורי בית שנוספים לרשות, אנחנו מבקשים לדחות את מועדי ההגשה ושבמקום 1 באפריל זה יהיה 1 ביולי וחודש לפני כן למועצה, לזה אין לנו התנגדות.

1 ביולי זה הגיוני.

מניסיון, לוקח זמן להכין את הדו"ח הזה ולאסוף את הנתונים.

מה השם המלא של הרשות?

הרשות להגנת הפרטיות.

הרשות להגנת הפרטיות.

ולפני זה? איך קראו לה פעם?

רמו"ט.

רמו"ט. הרשות למשפט טכנולוגיה ומידע.

השאלה היא אם אתם איבדתם את הטכנולוגיה בדרך.

לא, לא. יש כאן הרבה עבודה - - -

האם יחד עם שינוי השם, איבדתם גם את הטכנולוגיה כי למעשה, בהכנה נכונה של המערכות זאת אמורה להיות הפקה בלחיצת כפתור.

לא, יש הרבה מאוד טקסט. הדו"חות שלנו מאוד מפורטים. אני אומר את זה מניסיון של כמה שנים.

אני יודע.

אפשר להתווכח על המועדים אבל אני כן חושבת שהכוונה היא לא שב-1 בפברואר תתחילו לעבוד על הדו"ח, שלא לומר ב-1 במאי.

בכלל ב-1 במאי אסור להתחיל לעבוד.

אני חושבת שהדו"ח הזה אמור לכוון אתכם – כולי תקווה – לעבוד בשיטה שבה אתם יודעים מה קורה ברשות כל הזמן ולא עושים בחינה אחורה, שנה וחצי אחרי. אני מאוד מקווה.

בסדר, בואו נעבור על הפרטים ותגידו אם יש משהו שנראה לכם בעייתי בדיווח.

אבל לעניין סעיף הדיווח, אם זה מקובל על אדוני, אני מבקש אם אפשר שזה יהיה 1 ביולי וחודש לפני כן - - -

בואו נעבור על הפרטים ואז לפי הפרטים נראה מה מורכב בלהוציא אותם מיד ב-1 בינואר. יש דברים שאולי דורשים טיפה יותר פירוט אבל - - -

אנחנו כותבים דו"ח, זה לא רק מהמערכת. אדוני אולי צריך לראות את הדו"חות שלנו, זה הרבה טקסט.

אני רואה.

זאת עבודת כתיבה משמעותית.

אנחנו מבקשים פחות טקסט ויותר נתונים, אני חושבת שזאת המטרה.

בדיוק.

לא, בסוף יוצא דו"ח אחד. אנחנו לא מכינים כמה דו"חות.

בסדר, אני רק אומר שיש דיווח נתונים ויש הכנת דו"ח שנתי.

יכול להיות שצריך לפצל אותם.

יכול להיות.

אגיד עוד מילה עקרונית קצרה לגבי הנושא הזה. הרשות בהחלט עבדה קשה על הדו"חות והמועצה עבדה קשה כדי לבקר את הרשות והיו לא מעט דיונים אבל בסופו של דבר, היו לא מעט דו"חות לאורך השנים שעברו ולא נעשה איתם שום דבר. אני חושב שיש חשיבות וראוי שייקבע שוועדת החוקה תדון בדו"ח הזה ותקיים דיון מיוחד בדו"ח הזה כדי שיהיה לו אפקט.

נכון. באופן עקרוני, ועדת החוקה ברשות היושב-ראש הנוכחי, שברה את שיאי דיוני הפיקוח הנהוגים בוועדת חוקה בכמה וכמה עשרות אחוזים, אם לא במאות. נראה לי שכל מי שליווה אותנו בדיונים יודע שהפרטיות יקרה לליבי באופן ספציפי.

הסיבה שאני מבקש דיווחים היא כדי שנעשה בהם דיון. במקרה הזה, השנה קיימנו למעלה מ-19 דיונים בנושא פרטיות אז היה קצת קשה להקדיש בנפרד דיון רק לטובת פיקוח אבל אני מניח שבשנים שיהיה פחות עומס של חקיקת פרטיות אז יהיה יותר זמן לעשות פיקוח פרטיות וככול שהמידע יהיה יותר רלוונטי – כמו שנבנה עכשיו – אז הדיון יהיה יותר אקטואלי.

זאת אמירה לפרוטוקול, גם לדורות הבאים של הוועדה הזאת - - -

בוודאי.

על החשיבות הגדולה שבקיום דיון בדו"ח של הרשות.

בוודאי, אין ספק בכלל. נעבור ואני אקריא כי אז גם אשים לב, את יודעת מה כתבת.


1.
נתונים אודות בקשות לרישום מאגרים והודעה על מאגרים החייבים בחובת הודעה, בחלוקה לפי זהות בעל השליטה, לרבות בחלוקה לפי גופים ציבוריים ומשרדי ממשלה וגורמים פרטיים, ובכלל זאת:

אנחנו יודעים שמשרדי ממשלה הם גופים ציבוריים. אנחנו מודעים לזה וננסח את זה בהתאם כך שזה יהיה ברור אבל אני חושבת שהוועדה מעוניינת – לפחות עד כמה שהבנתי את רוח הוועדה עד כה –בחיתוך הזה שבין גופים ציבוריים לבין גופים שהם ממשרדי הממשלה.

הצענו "משרדי ממשלה וגופים ציבורים אחרים".

כן.

בסדר, אין בעיה.

אני לא מבקש ממכם לדעת כמה כבר נרשמו אלא כמה הוגשו השנה כי אני יכול להיכנס למאגר שלכם ולהסתכל בעצמי כמה נרשמו.

כן, זה ברור.

אבל מטבע הדברים אנחנו גם נכלול את זה.

אז נכתוב "באותה שנה".

כן, בשנת הדו"ח.

1. כמה בקשות לרישום מאגרי מידע הוגשו לרשות להגנת הפרטיות לפי סעיף 88(ג) וכמה בקשות סורבו או שרישומם הושהה לפי סעיף 10(א) והסיבות לסירוב או להשהיה.

1. לכמה מאגרי מידע, החייבים ברישום לפי סעיף א(ג), ניתן פטור מרישום לפי סעיף 8(ה);

1. רישומם של כמה מאגרי מידע הותלה או בוטל על ידי ראש הרשות להגנת הפרטיות לפי סעיף 10(ו);

1. כמה מאגרי מידע דווחו לרשות להגנת הפרטיות לפי סעיף 8(ג1) ועל כמה מבעלי השליטה או המחזיקים של המאגרים הללו בוצע פיקוח או בירור מינהלי לאחר הגשת ההודעה;



זאת ההודעה של ה-100 אלף?

נכון.

למרות שפה "בוצע פיקוח או בירור מנהלי לאחר הגשת ההודעה" זה לא בהכרח באותה שנה. נניח, אם מישהו הגיש בדצמבר - - -

נכון.

אפשר להגיד "בשנה שלאחר הגשת ההודעה".

בשנה שלאחר הגשת ההודעה, כי זה יכול לחרוג משנת הדיווח.

אתה רוצה להוריד את זה?

לא, "בוצע פיקוח או בירור מנהלי בשנה לאחר הגשת ההודעה".


1.
נתונים אודות פיקוח והבירור המינהלי שביצעה הרשות בשנה הקודמת, בחלוקה לפי זהות בעל השליטה, לרבות בחלוקה לפי משרדי ממשלה, גופים ציבוריים וגורמים פרטיים, ובכלל זאת:

1. כמה פיקוחי רוחב התקיימו לפי סעיף 23טז;

1. כמה אירועי בירור מינהלי נפתחו לפי החלטת מפקח שיש חשד סביר לביצועה של הפרה, לפי סעיף 23יא1(1);

כאן יש לנו הערה. אין בעיה עם "כמה פניות ציבור או תלונות הוגשו לרשות" כי זה מספר כולל שאין בעיה לייצר אותו. לא כל הדברים הם ביחס להפרות, לפעמים יש אלינו פניות על שאלות של פרשנות ויש אלינו כל מיני סוגים של פניות.

אין לכם חלוקה?

זאת חלוקה שמאוד מכבידה - - -

לדעתי, יש לכם אותה אפילו בדו"ח הקיים.

זה מאוד מכביד לעשות את ההבחנה של כמה מהתלונות עוסקות בהפרות וכמה לא. בזמן אמת אנחנו מחליטים וכמובן שלגבי תלונה ביחס להפרה, אנחנו בוחנים אפשרות של אכיפה אבל בשביל להגיד בסוף שנה צריך לקרוא עוד פעם את כל התלונות. אני אומר לכם מהפרקטיקה.

לא, לא צריך לקרוא. צריך למלא - - -

מראש.

מראש תמלאו האם התלונה היא אודות הפרה או שזה משהו אחר.

זאת הבחנה שהיא - - -

אני ניסיתי להיענות לבקשות ולמשאלות של הוועדה, אגב הדיונים. אחד הדברים שהטרידו את הוועדה אלה הפרות של הגופים הממשלתיים ושל הגופים הציבוריים. לא נוכל באמת להפיק ידע מהמידע לגבי כמה פיקוח נעשו ברשויות הציבוריות אם לא נדע כמה תלונות היו.

כמה תלונות על הפרות היו. אתם צריכים לסווג את התלונות כדי לדעת כמה תלונות הן על הפרות וכמה זה תלונות - - -

אם לא היו בכלל תלונות - - -

איפה חוות הדעת המקדמיות? אני לא ראיתי אותן.

אני חושבת שנגמר לי המקום.

אין חובת דיווח של קיימת פה, זה בסדר.

לא, אני לא רואה שיש חוות דעת מקדמיות.

מרוב עצים.

לדעתי, זה לא נכנס.

צריך להוסיף?

כן כי לצורך העניין, פניות ציבור שהן בקשה לחוות דעת מקדמית - - -

השאלה היא אם אפשר לכתוב "כמה פניות ציבור או תלונות הוגשו לרשות" בלי להיכנס - - -

לא, אני רוצה לדעת כמה פניות ציבור הן בקשר לחוות דעת מקדמיות.

לא, בסדר.

כמה פניות ציבור הן ביחס לתלונות על הפרות וכמה זה סתם פניות של מה שלומכם.

לזה אין בעיה, ראובן התייחס - - -

או-קיי, אז כמה פניות ציבור בחלוקה לחוות דעת מקדמיות?

על הפרות.

לא, חוות דעת מקדמיות צריכות להיות בסעיף נפרד.

זה סעיף נפרד.

אין לנו התנגדות לחוות דעת מקדמיות.

חוות דעת מקדמיות זה בנפרד. כמה תלונות הוגשו לרשות ביחס להפרות של חוק הגנת הפרטיות?

בלי פניות ציבור?

פניות ציבור רגילות שאינן תלונות פחות מעניינות אותי.

בסדר, זה לא מעניין. "כמה תלונות הוגשו לרשות ביחס להפרות של חוק הגנת הפרטיות".

כמה בקשות לחוות דעת מקדמיות הוגשו.

הוספתי.

וכמה חוות דעת ניתנו, באותו סעיף. תפני לסעיפים הרלוונטיים.

כמה אירועי בירור מינהלי נפתחו לפי החלטת מפקח שיש יסוד סביר להניח כי ביצועה של הפרה, לפי סעיף 23יא1(1);

1. בכמה מקרים נפתחו אירועי חקירה פלילית ובכמה מקרים נפתחו בירורים מינהליים לפי החלטת ראש הרשות עקב חשד סביר לביצוע מעשה או מחדל לפי סעיף 23יג2(א);

זה הסעיף שמאפשר לו להחליט בין מנהלי לפלילי.

כמה מאירועי הבירור המנהלי שנפתחו כאמור בפסקה (3), הועברו לחקירה פלילית, בהחלטת ראש הרשות להגנת הפרטיות בשל קביעת עבירות חדשות לפי סעיף 23יג(ב) - - -

גם כאן, מפאת החשש להכבדה, אבקש לאחד את (ב) ו-(ג) לכמה אירועי בירור מנהלי נפתחו. החלוקה הזאת היא חלוקה מלאכותית. כל תלונה שנכנסת ומעלה חשד להפרה, נבחנת האפשרות האם היא מתאימה לפלילי או למנהלי.

לא, אבל כמה מהן עברו לפלילי?

אין הבדל בפרקטיקה בין (ב) ל-(ג).

אבל כמה מהן עברו לפלילי?

אין בעיה לומר כמה עברו לפלילי אבל יש כאן הבחנה ברישה של סעיף (ג), כמה אירועי מנהליים נפתחו באופן כללי וכמה בירורים מנהליים נפתחו כשיש גם חשד לפלילי ואני אומר שזה כמעט - - -

אני חושב שזאת הערה נכונה.

בכמעט כל הדברים נבחנת גם האפשרות הזאת.

אני חושב שאפשר לכתוב כמה בירורים מנהליים היו וכמה בירורים מנהליים הפכו לפלילי, לא?

אני לא יודעת.

למה לא?

עבירות פליליות דורשות כוונה ודורשות - - -

את צריכה לעשות שיקול דעת.

בסדר גמור אבל מה שמעניין אותי לדעת זה כמה חקירות פליליות נפתחו, כמה מהן נפתחו ישר כחקירה פלילית וכמה מהן עברו ממסלול הבירור המנהלי, זה מה שמעניין אותי. פחות מעניין אותי האם הם חשבו בזמן הבירור המנהלי האם יש לו פוטנציאל פלילי או לא, יותר מעניין אותי כמה חקירות פליליות נפתחו, כמה מהן נפתחו ישירות כפליליות וכמה מהן הומרו מתהליך אחר. זה נראה לי הגיוני.

זה בסדר.

מופיע לי כמה פלילי יש? הנה, כן. בסעיף (4) יהיה כתוב - - -

אני לא יודעת. זה נראה לי מוזר שכל החלטה על הפרה, שוקלים גם הליך פלילי.

לא, לא אכפת לי אבל השאלה היא למה זה מעניין אותי.

לא שקלו או כן שקלו, בסופו של דבר אכפת לי מה הם החליטו, לא מה הם שקלו. מה שהם שקלו , הם שקלו אבל אם אני יודע שמתוך 100 בירורים מנהליים, עשרה נהיו פלילים אז אני יודע כמה פליליים וכמה נפתחו כפלילים ראשונית.

אז (ג) צריך להתחיל מכמה מאירועי הבירור המנהלי שנפתחו הומרו לחקירה פלילית, זה רק החלק השני של (ג).

לא, זה כמה חקירות פליליות.

לא, כמה בירורים מנהליים יש.

אבל חקירות פליליות זה בהמשך, לא? יש סעיף נפרד.

יש לך בהמשך.

בירור מנהלי יש לך ב-(ב), ב-(ג) יש לך כמה חקירות פליליות וכמה מהן התחילו כהליך בירור מנהלי.

מה ה יחס בין (ג) ל-(4)? לכאורה, את צריכה את זה ב-(4).

כן, בדיוק. זה נתונים על האכיפה הפלילית.

אפשר להעביר את זה לשם.

אני חושב שהמדד פה הוא כמה אירועי בירור מנהלי נפתחו ובכמה מקרים הם הומרו לפלילי.

כמה הומרו, כן.

אפשר לכתוב את זה כבר פה בתוך הפרק של הבירורים המנהליים.

אני חושבת שזה יותר קשור לפלילי.

זה נכון אבל זה רלוונטי גם פה. בכל מקרה, הם יבקשו את זה פה ואני יודע לעשות את פעולת החיסור.

נעמה, ממילא את תראי את מה שהומר גם בנתונים של האכיפה הפלילית אבל ממה שאני מבין, את רוצה לדעת על הליך שהתחיל בתוך המנהלי והומר אז את תראי את זה. נניח, יהיה מספר של - - -

יהיו 1,000 פלילי ומתוכם 100 - - -

שלושה הומרו לפלילי ואת תראי גם את הנתונים של הפלילי ממילא בפלילי.

1. כמה צווי חיפוש וחדירה לחומר מחשב התבקשו מבית המשפט על ידי מפקח בהליך בירור מינהלי לפי סעיף 23יב(א);

זאת חובה שנדמית לנו מאוד חריגה כחובת דיווח, כמה צווי חיפוש וחדירה לחומר מחשב התבקשו מבית משפט זה - - -

כמה אנשים יש להם חיפוש וחדירה לחומר מחשב בהליך מנהלי? בדיוק.

למיטב ידעתי, אתם הגוף היחיד.

יש. יש כל שנה. האם זה המונים? לא בהכרח.

בהליך מנהלי?

יש.

איפה? לאיזה גופים יש את זה?

אתה מתכוון לגופים אחרים שיש להם את זה. בסדר אבל גם ביחס לגופים שיש להם סמכויות כאלה בפלילי - - -

אני מזכיר לך שלפני שנייה וחצי אנחנו עשינו כאן דיון על נתוני תקשורת כדי שיספרו לי כמה ביקשו, מאיזה גוף ובאיזה פירוט סעיפי עבירה. אני חושב שזה לא מופרך בכלל.

טוב.

אני אפילו הייתי אומר "כמה התבקשו וכמה ניתנו". אני לא יודע, נעמה מאוד קלה על ההדק איתכם.

לא, זה דיווח על צווים שיפוטיים.

אני רוצה את זה בכתב.

נעמה היא ממש רחומה וחנונה. אני לא יודע מה קרה לה. מה עשיתם לה כשלא הייתי פה?

זה בגלל שאני חולה.

כמה ניתנו זה דיווח על החלטות שיפוטיות.

נכון אבל אתם הנמען של ההחלטות השיפוטיות. גם צווי חיפוש וחדירה לחומר - - - זה גם הדיווח שנותנים לי לגבי האזנות סתר. כמה ביקשתם וכמה קיבלתם, ככה מבקשים אז אני לא מבין במה אתם מיוחדים. האזנות סתר מביאים לי ואומרים "ביקשנו מבית משפט X ונתנו לנו Y או נתנו לנו X כפול שתיים, כמו שבדרך כלל קורה. אין סיבה שלא יהיה וככה נראה כמה אתם - - -

אין לנו מניעה אדוני, זה בסדר.

בסדר גמור. מה הם מגבלות הפרישה שנקבעו למומחים החיצוניים?

זאת סוגייה שלא שייכת לדו"ח שנתי.

אין בעיה, נדון בה כשנדון - - -

לא, למה לדון בה?

היא לחלוטין לא שייכת לדיווח שנתי.

זה קורה פעם - - -

איך זה ייכנס לדיווח שנתי? אני מסכים.

בסדר, אין בעיה. זה ירד מדיווח שנתי ונדון בזה בהמשך.



1. כמה תלונות הוגשו לראש הרשות - - - מפעולה של מומחה חיצוני

כאן יש את משך זמן המענה הממוצע - - -

שנייה.


כמה מהן נמצאו על ידי ראש הרשות להגנת הפרטיות כמוצדקות, משך זמן המענה הממוצע לתלונה ומשך זמן המענה הארוך ביותר;

לפי מה שהוועדה קבעה, אנחנו צריכים לענות תוך 45 ימים. האם צריך דיווח על משך זמן המענה הממוצע לתלונה? עם כל הרישה אין לנו בעיה עד המילה מוצדקות אבל האם צריך למסור לוועדה את משך זמן המענה הממוצע כאשר בחוק כתוב שאנחנו צריכים לענות תוך 45 ימים?

זה בנוסח?

חזקה עלינו שאנחנו פועלים על פי סד הזמנים שקבוע בחוק.

אדוני, צריך להוריד את המשפט האחרון, "משך זמן המענה הממוצע".

בסדר, זה ירד.

עד המילה "כמוצדקות". זהו, יש סד זמנים קבעו בחוק ופועלים על פיו.

טוב, מה שאתה רוצה.

אני לא אריב איתכם על זה.

לא על זה.

(3)
נתונים אודות האכיפה המינהלית שביצעה הרשות בשנה הקודמת, בחלוקה לפי זהות בעל השליטה, לרבות בחלוקה לפי משרדי ממשלה, גופים ציבוריים וגורמים פרטיים, ובכלל זאת:

1. כמה התראות מינהליות ניתנו לפי סעיף 23לג; ביחס לכמה מהן הוגשה בקשה לביטול לפי סעיף 23לד, ומה היו תוצאות הבקשה;

1. בכמה מקרים מסר ראש הרשות להגנת הפרטיות למפר הודעה על אפשרות להגיש לו כתב התחייבות ולהפקיד עירבון במקום להטיל עיצום כספי לפי סעיף 23לו, ובכמה מקרים הגיש המפר כתב התחייבות והפקיד עירבון לפי סעיף 23לז(ג);

1. מה היה סך העיצומים הכספיים שהוטלו לפי סעיף 23כג; מה היה גובה העיצום הממוצע שהוטל; מה היה סכום העיצום הגבוה ביותר שהוטל וסכום העיצום הנמוך ביותר שהוטל;

1. בכמה מקרים ביקשו המפרים לממש את זכות הטיעון הנתונה להם בסעיף 23כה בנוגע לכוונת חיוב להטיל עליהם עיצום כספי; מה היה משך הזמן הממוצע ל מימוש זכות טיעון;

גם כאן אנחנו חושבים שמשך הזמן הממוצע לא צריך להיות חלק מהדיווח.

למה?

דווקא שם יכולה להיות הערכה.

זה גם תלוי בתפוקה.

נכון אבל לגן דווקא הנתונים הממוצעים הם חשובים. אל תיתנו לי אחד אבל תיתנו זמן ממוצע כי אני רוצה לדעת כמה זמן לוקח הליך מהרגע שהוא מתחיל עד הרגע שהוא מסתיים ואני לא סופר - - -

אדוני קצב לנו זמנים.

אני קצבתי לכם זמנים אבל כפוף להערכות.

אדוני קצב לנו שנה וחצי לכל ההליך.

לא, אם הוא מבקש ערכאה כדי להביא עוד מסמכים? שנה וחצי זה שנה וחצי אבל אני לא יודע מה הזמן הממוצע. שנה וחצי זה זמן מקסימום, אתה צודק אבל אני לא יודע מה הזמן הממוצע מהרגע שאדם הפר.

אבל פה זה רק לעניין מימוש זכות הטיעון, זה לא זמן ממוצע של הליך.

אבל אני יודע לעשות פעולות חשבונאיות פשוטות.

יתר הזמנים הם די fixed אז בהנחה שמה שהוא - - -

בסדר, צריך את זה.



1. בכמה מקרים בהם הוגשה הודעת חיוב, לא הוטל עיצום כספי ומה היו הטעמים לאי הטלת העיצום הכספי;

1. בכמה מקרים מתוך המקרים בהם נקבע כי התקיימה הפרה הופחת העיצום הכספי לפי סעיף 23כו; בכמה הפחתות הופחת סכום העיצום כך שעלה על האחוז המרבי המותר ממחזור העסקאות של הגוף לפי התוספת החמישית או בשל כך - - - תקרת העיצום של עסק זעיר או קטן;

1. מה הפרות חוזרות אירעו? כמה מתוכן התרחשו לאחר מסירת התראה מנהלית למפר לפי סעיף 23לו, וכמה מתוכן אירעו לאחר הגשת כתב התחייבות והפקדת עירבון לפי סעיף 23לט(א);

(ז1) כמה הפרות נמשכות אירעו?

1. כמה ערעורים הוגשו על החלטות ראש הרשות להגנת הפרטיות להטיל עיצום כספי, התראה מנהלית או כתב התחייבות ועירבון לפי פרק ד' 3, בכמה מהן עוכב ביצוע החלטת ראש הרשות, בכמה מהן התקבל הערעור;

1. בכמה מקרים לא פורסם עיצום כספי ביחס לתאגיד ובכמה מקרים פורסם עיצום כספי שניתן ליחיד או לתאגיד המנוהל בידי יחיד לפי סעיף 23ב(ג);



(4)
נתונים אודות האכיפה הפלילית שביצעה הרשות בשנה הקודמת, בחלוקה לפי זהות בעל השליטה, לרבות בחלוקה לפי משרדי ממשלה, גופים ציבוריים אחרים וגורמים פרטיים, ובכלל זאת:

1. כמה חקירות נפתחו על ידי חוקר בשל יסוד סביר לחשד שנעברה עבירה לפי סעיף 2(9) בנסיבות ובצירוף סעיף (5) או לפי פרקים ב' או ד' 4, לפי סעיף 23יד(א)(1) או



פשוט נכתוב בחלוקה לסעיפים. במקום להגיד כמה - - -

בסדר.

כמה חקירות נפתחו בחלוקה לסעיפים שבגינן נפתחה ההפרה.






בכמה מתיקי החקירה הוגשו כתבי אישום; בכמה מתיקי החקירה הוגשה כתב אישום לפי סעיף 21

אני רוצה להעיר שזה דיווח על פעילות של הפרקליטות ולא של של הרשות.

זה נכון אבל אתם מפרסמים את זה גם בדו"חות שלכם היום.

אנחנו לא נושאים באחריות לעניין הגשת כתבי האישום. כמובן שאנחנו מביאים את תיקי החקירה אבל זאת פררוגטיבה מלאה כפי - - -

ראובן, גם היום אתם מציינים את זה בדו"חות שלכם. אתם בעצמכם מציינים כמה כתבי אישום הוגשו וכמה - - -

מכיוון שדיווח הוא לא רק דיווח, דיווח הוא גם דין וחשבון מהותי אז אני אומר שזה דיווח על פעילות של הפרקליטות, לא של הרשות.

נכון אבל איך אני אדע שאתם אמרתם שאתם רוצים להגיש כתב אישום ב-30 מקרים אבל הוגשו רק שניים?

אנחנו מדווחים על זה.

מצוין.

אדוני, אנחנו מדווחים על זה גם היום אבל מה שראובן אומר זה שאנחנו לא אחראיים על האם - - -

נרשם.

בסדר, אתם גם לא אחראיים על ההרשאה ולא על העונש.

נכון.

זה לא במגרש שלנו.

נכון ועדיין תדווחו.


(ג) בכמה מתיקי החקירה לעיל שהוגש כתב אישום לפי סעיף 21 הסתיים ההליך בהרשעה, ומה היה העונש בכל אחד מהמקרים

לעניין סעיפים (ו) עד (ז), מבחינת הנוסח "כמה הפרות חוזרות אירעו וכמה הפרות נמשכות אירעו" אולי עדיף "נמצאו על ידי הרשות" או "נקבעו על ידי הרשות"?

בסדר, זה עדיין לא עבר נוסחות וזה יעבור.

(5)
נתונים אודות פעולות אכיפה שביצעה הרשות בתקופות בחירות, ובכלל זאת:

1. כמה בקשות לאישור הפעלת סמכות מפקח או חוקר בתקופת בחירות כלליות הוגשו ליו"ר ועדת הבחירות המרכזית לפי סעיף 23יז1(א) וכמה מהן התקבלו ובכמה מהן קבע היו"ר תנאים;

1. כמה בקשות לאישור הפעלת סמכות מפקח או חוקר בתקופת בחירות לרשויות הוגשו ליו"ר ועדת הבחירות האזורית

או.

עכשיו נוסף לנו גם המרכזית.

או המרכזית לפי סעיף 23יז1(א), וכמה מהן התקבלו ובכמה מהן קבע היו"ר תנאים.



לא יאוחר מ-



עכשיו התאריך.

לא, זה דיווח אחר.

לגבי הדיווח האחר, ערכנו בדיקה גם מול הנהלת בתי המשפט בנושא. אחר כך, לעניין פרטי הדיווח שנרצה להתייחס אליהם אבל מבחינת אופן ההתנהלות בתיאום איתם, אנחנו נבקש שהדיווח יועבר גם הוא על ידי הרשות, במסגרת אותם דיווחים, על סמך הנתונים שיימסרו מהנהלת בתי המשפט לרשות.

אנחנו הצינור.

או-קיי.

עכשיו למהות. המהות היא שהנהלת בתי המשפט תדע לדווח את העילה לפי סעיף 15א וגם זה על סמך הנתונים שיזנו את הצדדים.

כן.

רמת הדיוק תהיה בהתאם למה שהצדדים יזינו. לגבי התוצאות של ההליך, האמירה שלהם היא שאין להם יכולות לדווח באופן רוחבי על תוצאות כל ההליכים לפי הסעיפים האלה. זאת עמדתם ואם צריך, אפשר להעלות אותם פה בזום.

למה הם לא יכולים לדווח?

לפי מה שנמסר לנו, אין להם יכולות לעשות פילוח מחשובי ממוכן של הדבר הזה. הם יכולים לדווח כמה תביעות הוגשו והם יכולים להוסיף פרט שידע לסווג לפי מה שאנשים סיווגו.

איפה זומר שיראה להם איך מלבישים מערכת דאטה על נט המשפט?

אפשר להעלות אותם.

אפשר להעלות אותם בזום.

כן, תעלו אותם. אין בעיה, זה מאוד פשוט הם לא צריכים לפלח, שייצרפו לדו"ח את כל פסקי הדין בנושא. בסדר, אנחנו נקרא.

שלום רב לוועדה. לפי ההצעה, הדיווח מבקש להתייחס לעילות התביעה, לנזקים, לסעדים שמבוקשים ולתוצאות פסקי הדין. מדובר בפרטים שכדי לחלץ אותם, אנחנו צריכים לפרמט את כתבי הטענות שהוגשו על ידי הצדדים ואת ההחלטות הסופיות ולתת את הנתונים האלה לאחר שהם חולצו או פורמטו מתוך כתבי הטענות.

אין לנו אפשרות תפעולית. כלומר, האפשרות היחידה לעשות את זה, זה באמצעות גורם אנושי שיקרא את כתבי הטענות ויחלץ את הפרטים האלה.

הבנתי. לגבי תביעות, כל מה שאתם צריכים לעשות זה לייצר רובריקה של תביעות לפי סעיף זה וזה ואז כשבן אדם מסמן בנט המשפט לפי מה הוא מגיש - - - אם מישהו סימן משהו לא נכון אני לא אבוא אליכם בטענות אבל קודם כול, יש את מי שסימן תביעות ללא הוכחת נזק וזה ברובריקה של ההגשה אז אין בעיה.

לגבי ההחלטות, תעבירו לרשות את כל ההחלטות שינתנו בתיקים. הם מאוד ישמחו לקראו. תעבירו את פסקי הדין.

לא, הם יחלצו מתוך פסק הדין מה סכום - - -

לא, שיעבירו את פסקי הדין.

מי יעביר? ההנהלה תקרא?

תצרפו לדו"ח את כל פסקי הדין שניתנו, כן.

\לימאאת כל פסקי הדין?

כן, שקיפות. אני לא מבין את האירוע. חברים, אתם לא יודעים לתת פסק דין של כמה נפסק? זה סכום. בסופו של דבר, יש סכום.

לא, לפעמים יש כמה עילות. זה יותר מורכב.

אין כמה עילות.

זה מורכב, זה כן מצריך עבודה.

לא, אני לא מבין.

אלה עבודות מחקר אקדמי מתוך פסקי דין כי עכשיו יש כמה עילות ובית המשפט קבע ככה - - -

ייקח כמה שנים להזמין מהממ"מ.

אם רוצים לצרף את כל פסקי הדין - - -

אז נצרף.

אני חושבת שאם יהיו מעט אז אנחנו נוכל למצוא את פסקי הדין האלה ואם יהיו הרבה אז ממילא, זה לא יהיה ניתן לפענוח.

הנוסח שאנחנו הצענה זה "כמה תביעות הוגשו לבית המשפט בתביעה לפיצוי" - - -

איפה זומר כשצריך אותו?

"בתביעה לפיצוי ללא הוכחת נזק".

"ללא הוכחת נזק לפי סעיף 15א, בהתאם לנתון שנמסר לראש הרשות מהנהלת בתי המשפט".

אתם יכולים להגיד בכמה כבר ניתנו פסקי דין או את מספרי ההליך? תביאו רשימה של כל מספרי ההליך, שתהיה בדו"ח. זה שקיפות הדיון.

השאלה מופנית אלינו?

כן, זה מופנה אליכם.

\

סליחה, אפשר לחזור עליה?

תביאו בדו"ח רשימה של כל מספרי ההליך?

מספרי ההליך לפי מה, אדוני?

מספר של כל הליך שנפתח בתביעה לפיצוי ללא הוכחת נזק, לפי סעיף 15א.

אבל אפשר לעשות חיפוש של זה בנט המשפט.

אי-אפשר.

למה?

כי לא הכול עולה לנבו וחלק זה החלטות פתקית. אני רוצה רשימה של מספרי ההליך.

כתבי הטענות לא בנבו.

כתבי הטענות לא בנבו.

אני לא בטוחה שהדבר אפשרי מבחינה מחשובית.

זה אפשרי. תסמכי עלי שזה אפשרי.

אני לא יודעת שזה אפשרי אז אצטרך לבדוק את זה. אני לא התכוננתי לשאלה הזאת בדיון.

בסדר, זה אפשרי. מספרי הליך. עד הנוסח יש לכם אפשרות לצעוק "מרסי".

בכפוף לזה שיש להם את האפשרות.

נו באמת, יש להם את האפשרות. אני אלמד אותם איך לעשות את זה.

אז רק צריך להבהיר בטקסט ולציין שהדיווח הוא כפי שהוא נמסר מהנהלת בתי המשפט. זה משהו שחשוב לנו שיהיה כתוב בנוסח כי אין לנו את האפשרות לייצר את הנתונים האלה בעצמנו.

כן, אין לנו יכולת להפיק את זה.

בסדר גמור. דבר אחרון, היו לנו ערעורים למיניהם. הוועדה רוצה לדעת גם על צו הפסקת עיבוד - - -

כן.

ועל קביעות הפרה לפי סעיף 6ג.

התשובה היא כן. בקשות לצו הפסקת עיבוד ותוצאותיהן. הוראה לפי כמה פעמים ניתנה ההוראה והפסקת העיבוד לפי - - -

סעיף 6ג.

הכוונה היא להוראה על הפסקת הפרה של הרשות.

הפסקת הפרה לפי סעיף 6ג.

הפסקת הפרה של הרשות וצו הפסקת עיבוד.

פלוס כמה ערעורים הוגשו.

עתירות.

שם זה עתירות.

ערעורים.

לא, על צו הפסקת עיבוד זה הליך.

על צו הפסקת עיבוד זה עתירה ועל הוראה על הפסקת הפרה זה ערור.

בואו לא נקדים את המאוחר. אנחנו ביקשנו דיון בנושא אז בואו נדון בו ואז נחליט.

יש לנו דיון סוער בנושא.

ניסינו להכניס את זה דרך הדיווח, למה אתם מפריעים?

לא, לא.

זה כבר נכנס.

אני חוזר על בקשתנו על מועד הגשת הדו"ח. מכיוון שהוועדה אישרה את כל שלשת העמודים של הדיווח - - -

לא נכון, אני הורדתי לכם. למה אתה כזה?

זה שניים וחצי.

אבל עכשיו הוספת.

אבל הורדתי חלק מהדברים, את מה שצריך.

אנחנו מבקשים שמועד הגשת הדו"ח יהיה 1 ביולי. זה חשוב ומניסיון - - -

עד 1 ביוני, בסדר.

יש לי כמה שנים וזה לוקח הרבה זמן.

אבל אז אתם צריכים לעבור ידנית על כל פסקי הדין שניתנו.

אז זה 1 ביולי של עוד שנתיים.

רגע, יולי או יוני?

יולי.

הם ביוני והם ביולי.

הפוך.

הם ביוני והם ביולי.

לא, הוא עשה בסדר.

דן, אתה המועצה, לא?

נכון, הוא עשה בסדר.

מה שלא יקרה במאי.

יכול להיות שאנחנו נעביר את הסעיף מ-10א ונמצא לו מקום קצת יותר חינני.

את צריכה למצוא לו הרבה מקום חינני.

אולי תעשה את זה בתוספת. טוב, חברים. שינוי פרטי הדיווח בצו, אפשר לכתוב שהשר יכול בצו, באישור ועדת חוקה, להוסיף עוד פרטים לדיווח. אפשר להתקדם, בבקשה?

אני חושבת שעברנו על הדברים העיקריים.

עכשיו יש לנו עוללות.

כן, עכשיו עוללות.

לא, יש נושא מרכזי.

מה מרכזי?

סוגיית הערכאה.

חשבנו שנעשה את זה אגב הדיונים.

נכון.

אז נתחיל מההתחלה.

נתחיל מההתחלה, נתקדם לאמצע ונמשיך לכיוון הסוף.

הגדרת מונחים - - -

נעמה, את צריכה חמש דקות הפסקה?

לא. בהגדרת "אדם" אנחנו מוסיפים עוד כמה סעיפים שנכון להחריג בהם תאגיד מההגדרה של אדם. זה 8ה ו-8ו ואני חושבת שעלתה שאלה גם לגבי 11 ו-16. אתם רוצים להציץ על זה? 11 זה הפנייה לאדם ו-16 זה הסודיות.

16 חלה על כל אדם וגם לתאגיד אסור להפר את הסודיות.

או-קיי, אז לא 16. 11, פנייה לכל אדם?

פנייה לאדם לקבלת מידע אישי, כן אדם זה למעט תאגיד בקבלת מידע אישי.

או-קיי, אז נוסיף גם את 11.

רק רגע, פנייה לאדם לקבלת מידע אישי זה כוונה למידע הנוגע אליו או לפנייה לקבלת מידע הנוגע לאחר?

זה גם יכול להיות אם הוא האפוטרופוס של מישהו.

אז זה יכול להיות גם תאגיד.

נכון.

טוב, אז נשאיר. בלי 11.

למה זה הנימוק ללא להחריג תאגיד מהגדרת אדם בסעיף 11?

אם הכוונה היא לפנייה לאדם בנוגע למידע אישי אודותיו אז זה רק אדם אמיתי, אדם פיזי אבל אם זה לשם קבלת מידע אישי, למשל אפוטרופוס אז זה יכול להיות תאגיד אפוטרופסות.

אז אתה פונה לאדם והאפוטרופוס שלו עונה.

לא, אני פונה לתאגיד האפוטרופסות שימסור את המידע האישי בנוגע לאדם.

אם זאת פנייה בלתי מסוימת?

לא, היא מסוימת מאוד, זה לתאגיד אפוטרופסות. יכול להיות מצב בו אני פונה לחברה כדי לקבל מידע אישי על בעל המניות, נכון? יכולה להיות סיטואציה כזאת. למה לא?

אבל אז סעיף 11 לא חל.

אז סעיף 11 לא אמור - - -

למה הוא לא חל?

כי אני לא פונה אליו.

לכן אני שאלתי האם הפנייה לאדם לקבלת מידע אישי, פירושה שאתה פונה לאדם לקבל מידע רק אודותיו.

כן, זאת ההבנה שלנו.

ממשלה?

זה סעיף שבכלל לא שינינו, זה הנוסח היום שבתוקף.

בסדר אבל האם צריך לעשות שינוי?

ההבנה היא שזה רק מידע אישי אודות האדם? יכול להיות שכדאי להוסיף את המילה "אודותיו" כדי להבהיר ואז אפשר להחריג משם את התאגיד.

לא אבל אם אני פונה - - -

לא אז זה לא האדם ומידע אישי אודותיו. כדאי להוסיף את המילה "אודותיו".

לא אבל אנחנו לא רוצים לצמצם ככה את - - -

זה לא מצמצם, לכן שאלתי.

אם פניתי לבן משפחה? זה לא - - -

אימרזה לא מצמצם, זה מבהיר.

זה סעיף מצמצם שצריך לחשוב עליו לפני זה.

למה אנחנו צריכים לנהל את השיחה הזאת עכשיו?

או-קיי, אנחנו לא מנהלים את השיחה אז אני לא מצמצם תאגיד.

לא.

לא.

טוב.

הגדרת הרשות שונתה.

"הרשות, הרשות להגנת הפרטיות" – הרשות להגנת הפרטיות שהוקמה ופועלת על פי החלטות הממשלה מס׳ 4660 מיום 19 בינואר 2006, מס׳ 4820 מיום 28 ביוני 2012, מס׳ 3019 מיום 7 בספטמבר 2017 והחלטת הממשלה מס׳ 1890 מיום 2 באוקטובר 2022 שנוסחה מובא בתוספת;

אנחנו נקרא עכשיו את הנוסח.

זה נוסח משולב של כל ההחלטות?

לא, רק האחרונה.

זו האחרונה.

שמתי רק את האחרונה. צריך את הכול?

לא, את האחרונה.

האחרונה מפנה לקודמות ולכן, אין צורך. עמוד 74, מיד אחרי סעיף התחילה הישן של החוק המקורי.

נוסח החלטת הממשלה להגדרת הרשות, הרשות להגנת הפרטיות

עצמאות הרשות להגנת הפרטיות ותיקון החלטת ממשלה

בהמשך להחלטות הממשלה מס' 4660 מיום 19 בינואר 2006, מס' 4820 מיום 28 ביוני 2012 ומס' 3019 מיום 7 בספטמבר 2017:

1. (א) הרשות להגנת הפרטיות (להלן: הרשות) היא יחידה במשרד המשפטים שבראשה עומד ראש הרשות.
(ב) רשות תהיה עצמאית בהפעלת הסמכויות המוקנות לראש הרשות לשם מילוי תפקידיה באמצעות עובדי הרשות ובהתאם להוראות כל דין, ותקציב הפעילות של הרשות ינוהל בנפרד בתוך תקציב משרד המשפטים. מתוך כיבוד עצמאותה של הרשות, תפעל הרשות באופן בלתי תלוי בעת הפעלת הסמכויות המוקנות לראש הרשות.


1. תפקידי הרשות הם בין היתר אלו:
1. לפקח על מילוי הוראות חוק הגנת הפרטיות, התשמ"א -1981 והתקנות שלפיו ביחס למאגרי מידע.
1. לחקור חשדות לביצוע עבירות לפי חוק הגנת הפרטיות, התשמ"א -1981 ביחס למאגרי מידע בהתאם לסמכויותיה על פי דין.
1. להעלות את המודעות בציבור לזכות לפרטיות במאגרי מידע, לערך ההגנה על הפרטיות ולחשיבותו בעידן המידע, באמצעות חינוך, הדרכה והסברה.
1. לטפל בפניות ציבור שיש בהן ממש בעניין פגיעה בנושאי מידע לפי חוק הגנת הפרטיות, התשמ"א -1981.
1. לפתח וליישם תוכניות מקצועיות והכשרות בתחומי פעילותה.
1. לקדם ולקיים קשרים עם גופים מקבילים בעולם ובמסגרת פורומים בין-לאומיים שבהם משתתפים גופים מקבילים.
1. לבצע את סמכויות רשם הגורמים המאשרים לפי חוק חתימה אלקטרונית, התשס"א - 2001.


1. (א) בהמשך להחלטות הממשלה מס' 4660 מיום 19.1.2006 ומס 3542 מיום 11.2.2018, לקבוע כי תנאי הכשירות למינוי כראש הרשות יהיו כדלקמן:

1. מי שמתקיימים בו תנאי הכשירות להתמנות כשופט של בית המשפט המחוזי;
1. לא ימונה לראש הרשות מי שהורשע בעבירה פלילית או בעבירת משמעת שמפאת מהותה, חומרתה או נסיבותיה אין הוא ראוי לכהן כראש הרשות, או שהוגש נגדו כתב אישום או קובלנה בעבירה כאמור וטרם ניתן פסק דין סופי בעניינו.
(ב) יובהר, כי בהתאם להחלטת ממשלה מס' 4470 מיום 8.2.2009, ראש הרשות ימונה לתקופת כהונה אחת בת שש שנים.


1. לתקן את החלטת הממשלה מס' 4660 מיום 19.1.2006 ולקבוע כי:
1. הממשלה תמנה את ראש הרשות בהודעה ברשומות כרשם לעניין סעיף 7 לחוק הגנת הפרטיות, התשמ"א – 1981.
1. שר המשפטים ימנה את ראש הרשות כרשם לעניין סעיף 9 לחוק חתימה אלקטרונית, התשס"א – 2001.

יש פה כמה דברים שכבר נהיו לא רלוונטיים.

כן, נכון.

לכאורה, סעיף 4 כבר לא רלוונטי. אנחנו החלפנו את המילה רשם בחוק, ממילא.

כן.

אתם רוצים שנוריד את סעיף 4?

הטקסט של ההחלטה - - -

אני לא רוצה להתעסק עם זה.

היא מפנה לטקסט של ההחלטה.

אנחנו לא מתעסקים בטקסט של ההחלטה למרות שיש בו כמה דברים שהם כבר לא בשימוש. אני מעיר את זה גם לגבי הכלל שיש אצלי בוועדה שאני לא מתעסק בנושא של הגשת כתב אישום או קובלנה. מאותה סיבה אני לא נוגע בזה, למרות שיש מה שנקרא under protest אבל זה הנוסח של ההחלטה, על יתרונותיה וחסרונותיה.

אנחנו חשבנו שהדבר הנכון הוא להסדיר את ההתייחסות של הרשות בתיקון 15 אבל החלטות הממשלה היו מקובלות עלינו ותואמו איתנו.

בסדר גמור. אני מבין אבל צריך לייצר איכשהו מנגנון כדי שבמידה וההחלטת הזאת של הממשלה תשתנה בהמשך אז הממשלה תוכל בצו לשנות את התוספת. זאת אומרת, יכולה להיות סיטואציה שבה הממשלה תחליט מחר בבוקר שתקופת הכהונה היא לא שש שנים אלא חמש שנים אז צריך לייצר את המנגנון שבו הממשלה רשאית בצו, באישור ועדת החוקה, לתקן את התוספת בהתאם להחלטות הממשלה.

אני חושבת שאם נצטרך לשנות - - -

אז זה יהיה שינוי חקיקה?

כן, הממשלה לא יכולה לתקן את החוק.

לא, בצו כמו - - - אפשר לשנות כל תוספת בצו באישור ועדה. אם אתם לא רוצים אז לא צריך.

לא.

מבחינתנו - - -

אז לא ניגע, זה יהיה תיקון חקיקה.

יהיה תיקון חקיקה.

או-קיי, בסדר גמור.

טוב. יש לנו איזשהו ניואנס במאגר מידע.


"מאגר מידע" – אוסף פרטי מידע אישי המוחזק באמצעי דיגיטלי, למעט אחד מאלה:

1. אוסף לשימוש אישי שאינו למטרות עסק;

1. אוסף הכולל רק שם, מען ודרכי התקשרות



יש כאן הצעה להוסיף "לגבי 10,000 נושאי מידע או פחות שכשלעצמו אינו יוצר אפיון לגבי בני האדם - - -"

של מי ההצעה הזאת?

של כל מי - - - יש לה תמיכה.

אני אשמח להציג אותה וכל מי שרוצה לקחת עליה בעלות, מוזמן.

בסדר אבל תיתן לי לסיים.

אני פשוט רוצה לדעת למי אני מפרק - - - סתם, אני רוצה להקשיב.

לא, יש כאן היגיון מסוים. בבקשה.

יש פה שני שינויים. לדעתי, הראשון הוא יותר חשוב והוא לגבי התוספת של 10,000 נושאי מידע או פחות. כמו שנאמר פה לא אחת, אוסף גדול מאוד של פרטים לא רגישים הופך לרגיש. פרטי קשר יכולים לשמש למתקפות סייבר או לפישינג ולכן, מכמות מסוימת – אנחנו משתמשים פה במספר טיפולוגי שמשמש אותנו גם בהקשרים אחרים בחוק – הלא-רגיש הופך לא רגיש ושאינו דרוש הסדרה, דורש הסדרה. חשבנו שכאן זה רף שנכון לקבוע אותו.

התיקון השני הוא למחוק "שיש בו פגיעה בפרטיות". זאת פשוט טעות היסטורית בחוק מאחר ופגיעה בפרטיות מוגדרת בסעיף 2 על דרך של כל מיני פעולות אז קשה לראות איך האפיון כשלעצמו, פוגע בפרטיות, הוא פשוט איפיון ולכן חשבנו שנכון למחוק את זה.

זה יכול להיות טיפולוגי רק שהטיפולוגי - - - יש עוד דעות בעד או נגד?

אולי יש בכך היגיון משתי סיבות. האחת היא בגלל שדרכי התקשרות כולל גם אימיילים שלא מפורסמים וגם מספרים חסויים שיכולים להיות במאגרים כאלה.

בסדר אבל זה לא - - -

ואז יכול להיות שדווקא למאגרים כאלה, כן צריך להתייחס כמאגרים ולהכיל עליהם את הבאות.

אני גם בעד ההצעה הזו. אני חושבת שראינו בתקופה האחרונה שיש מתקפות שמכוונות דווקא על פרטי הקשר והשמות ובהמשך, עושים איתם שימושים, אם כדי למצוא סיסמאות לדברים אחרים ואם כדי לעשות דוקסינג או כל מיני דברים כאלה. לכן, אני חושבת שיש חשיבות בהחלה של הוראות חוק הגנת הפרטיות - - -

המספר המתאים הוא 10,000?

לדעתי אפס הוא המספר המתאים, מאפס זה כבר צריך לחול אבל אם נקבע 10,000 אני בסדר עם זה. לדעתי, כל סעיף 2 הזה צריך לרדת.

אני תומכת.

אני חושב שזה קצת מרחיק לכת. המספר 10,000 נראה לי קצת קטן ויש פה גם פרטי מידע אחרים. למשל, אם אני מרפאה ואני מחזיק את זה אז אני יודע את הנושא הרפואי ואז ממילא, אני לא בעסק. קשה לי לדמיין הרבה אנשים שיהיו פה בחוץ למעט פרטי התקשרות בסיסיים. זה נראה לי קצת קטן מידי.

העובדה שרשימה של 10,000 פרטי קשר של אנשים מזוהים, לא תאובטח עכשיו כי לא תחול עליה חובת אבטחת מידע זה דבר שהוא בעצמו סיכון.

אבל זה רק שם מען ודרכי התקשרות.

היום, עם שם מען ודרכי התקשרות אפשר לעשות הרבה מאוד דברים מאוד לא טובים ואפילו מאוד מסוכנים.

עד כמה שאני זוכר, בדיונים הקודמים הייתה פה אמירה מפורשת לפרוטוקול – עברתי עליו וזה היה באחד הדיונים הראשונים – ששם מען ודרך התקשרות לא יהוו מאגר מידע.

זה החריג שמופיע ולכן אנחנו פה.

אני אעשה פה טיפולוגי אבל הטיפולוגי שעשינו זה 100 אלף. אני מסכים שאם מישהו מחזיק 100 אלף זה באמת מספר משמעותי שאפשר לעשות עליו הרבה מאוד אפיונים אבל 10,000 זה מספר קטן. אמנם לא למטרה אישית אבל בן אדם פעיל יכול לצבור 10,000 אנשים בטלפון שלו בעידן של ימינו. זה לא כל כך מופרך.

מה לגבי הפגיעה בפרטיות? אפיון גם מופיע ברשימה הזאת כלומר, זה מאפיין אותי. הפרטים שלי מופיעים אצלכם - - -

בסדר. בסוף, גם צריך שכל ישר. אי-אפשר לחוקק את השכל הישר.

לא אבל הפגיעה בפרטיות זה מה - - -

כן אבל הכוונה היא אפיון - - -

אולי נוכל למצוא משהו שלישי.

"אינו מלמד על מידע אישי אחר".

כשלעצמו אינו מלמד - - -

או מידע רגיש? לא יודע.

חסר קריטריון שלישי כי העובדה שיש נתון נוסף תמיד תהיה. גם אם יש לי אלפון contact אז יהיה לי מספר לקוח ויכול להיות לי - - --

אז מידע אישי נוסף.

כן, קריטריון שני, בטוח יהיה.

הדוגמה שהבאתי זה העובדה שבראש טבלת הנתונים הזאת כתוב "לקוחותיו של ד"ר זה וזה" כנראה נותנת מידע נוסף אפילו אם לא כתבתי לגבי כל אחד בדיוק מה הבעיה הרפואית ממה הוא סובל אלא רק את רשימת הלקוחות.

אם זה רופא משפחה אז כנראה שלא אבל אם זה רופא אורולוג או גניקולוג - - - גם גניקולוג לא כי זה רק אומר שהיא אישה.

רשימת המאושפזים בבית חולים פסיכיאטרי.

זה ודאי שכן.

אבל אם המען הוא בהתנחלות מסוימת למשל, אז זה כבר אפיון.

לא, מען זה מען.

מען זה דרכי התקשרות.

אלא אם הוא עם כולם.

מען זה דרכי התקשרות, כשלעצמו הוא לא - - -

מען כשלעצמו הוא לא אפיון נוסף.

אלא אם כולם הם מאותו מקום ואז זה כן אפיון.

לא, אז זה מען.

אבל זה מאגר של - - -

מאגר שכשלעצמו, אינו יוצר אפיון.

זה מען.

כן אבל הוא יכול ללמד על עוד דברים.

על מה? שהמען הוא מען. אם הכנתי את רשימת כל תושבי תל-אביב אז מה עשיתי בזה? כולם במען בתל-אביב וזה בסדר גמור וזה לגיטימי.

נכון אבל אם הכנת אז - - -

כל תושבי אריאל.

הרשימה של כל שפרעם, של התנחלות או משהו שהוא קצת יותר - - -

לא, לא בהכרח.

אני חושב שזאת שאלה שבאמת צריך לראות לגביה בהתאם לנסיבות.

יש בעיה עם זה.

בסדר. לכן אני אומר שאני חושב ש-100 אלף - - -

100 אלף זה יותר הגיוני.

"כשלעצמו אינו מלמד על מידע אישי נוסף" זה נשמע נכון.

כן.

או-קיי, 100 אלף ומידע אישי נוסף.

איה?

אפשר לחזור אחורה להתחלה של הגדרת מאגר מידע? יש לי הצעה קטנה. מכיוון שהמונח "מאגר" הוא הנגזרת שממנה אנחנו לוקחים את כל מבנה העיצומים – צריך להבין מתי מתחיל ונגמר המאגר – אז אם כרגע הנוסח הוא "אוסף פרטי מידע המוחזק באמצעי דיגיטלי" ואז יש את החריגים - - -

אוסף פרטי מידע אישי, לא?

אישי. כרגע רשום בלי אבל אני מניחה שזה יוסף.

זה הוסף.

מידע אישי.

סליחה, אני מסתכלת על הנוסח הישן. אני חושבת שכדאי להוסיף פה "אוסף פרטי מידע המוחזק באמצעי דיגיטלי" עם התוספת "והמעובד או המיועד לעיבוד למטרה מסוימת".

לא, לא.

או למספר מטרות קשורות.

בדיוק השתחררנו מזה.

לא, אתם צריכים להבין שאי-אפשר למצוא את המאגר אלא כנגזרת של איפה מתחילות ומסתיימות המטרות. מה המשמעות של - - -

זה מכניס אותנו לטאוטולוגיה מטורפת.

לא, אי-אפשר.

למה זה מכניס אותנו לטאוטולוגיה מטורפת?

ככה.

כי השאלה היא האם הוא מחזיק את זה למטרה מסוימת אחרת, איך אני אדע שהוא פועל בניגוד למטרה? אם הוא מוחזק לטובת ניגוד המטרה אז לאיזה מטרה זה מוחזק?

הוא קובע את המטרה.

אבל מה אם אני פועל בניגוד למטרה שלשמה החזקתי? אם אני אוסף את המידע כרגע מלכתחילה, סתם בשביל שיהיה לי מידע מבלי מטרה ספציפית בראש אז זה לא מאגר מידע?

זה כן, לא הבנתי למה זה - - -

כי זה בלי מטרה מסוימת.

מה זאת אומרת?

זה בלי מטרה.

חייבת להיות מטרה, זה מה שאני אומרת.

אני החלטתי שכל מי שעובר לידי ברחוב, אני מצלם אותו, רושם עליו ושומר את הפרטים. כרגע, אין לי מטרה, אני אוסף.

צריכה להיות לך מטרה.

אבל אין לי מטרה.

זה מה שכתוב בחוק.

לא, לא נכון.

כן.

היום לא.

בעל שליטה זה מי שקובע את המטרות.

אבל מה אם לא קבעתי את המטרה? זה בעצמו הפרה אבל זה לא הגדרת המאגר. אם לא שמתי מטרה אלא אספתי כדי שיהיה לי?

במצב כזה, אם אתה ממשיך עם ההגדרה המוצעת כאן אז זה לפי האמצעי הדיגיטלי? מה שמוחזק באמצעי הדיגיטלי זה ההגדרה?

כן, האוסף.

כן. אפ רשמתי את זה על דף נייר, זה לא ואם רשמתי את זה בטבלת אקסל, זה כן.

לא, באיזה אמצעי דיגיטלי?

דווקא פה אנחנו - - -

באותו מצע דיגיטלי יכולים להיות שלושה מאגרי מידע.

איפה מתחיל ונגמר המאגר?

אם כתבתי את זה על דף נייר, זה לא.

ברור.

אם רשמתי את זה בטבלת אקסל, זה כן.

ברור.

הכוונה היא שעל אותו מצע דיגיטלי יכולים להיות חמישה מאגרי מידע בפנים.

נכון.

בסדר.

זה המצב המשפטי הקיים.

השאלה היא למה זה "מוחזק" ולא מעובד או נשמר? מה זה מוחזק? אין הגדרה לזה.

זאת לא השאלה. השאלה קודם היא לפי מה אתה מתחיל - - -

אני הבנתי, אני שואל שאלה אחרת.

חברים, זה לא - - -

זה קריטי.

מקודם זה היה "מוחזק באמצעי מגנטי או אופטי" ועכשיו כתבנו "דיגיטלי".

ליהנקודה פה היא המכנה המשותף.

לפי מה נקבעת רמת אבטחה של מאגר שלא יודעים איפה הוא מתחיל ונגמר.

אפשר "מעובד"?

אפשר "מעובד".

אפשר "מעובד" במקום "מוחזק".

כן.

זה נכון כי "מעובד" זה כולל מאוחסן. מעובד באמצעים דיגיטליים.

אני רוצה להגיד לפרוטוקול שכשאנחנו נשארים עם העמימות הזאת, אנחנו נתונים בידי הרשות ולאיפה שהיא מחליטה לקבוע שמתחיל ונגמר המאגר שלי ורמת האבטחה שלו.

נכון, יכול להיות.

השוק לא יודע לנהל את הסיכונים שלו ולהיערך לזה.

זה המצב המשפטי הקיים בשישים שנה האחרונות.

אז לא היו לכם את הסנקציות שמשנות.

זה לא קשור רק לרשות.

חוץ מזה, אנחנו באנו לתקן.

לכן הורדתי מרוב הסנקציות את שאלה גודל המאגר.

אבל אתה נשאר עם מאגר.

אתה שינית את הגדרת המידע, שינית את הסנקציות.

הכול משתנה.

בסדר אבל אני לא יכול להגדיר מאגר לפי המטרה.

למה לא?

כי אחרת כל פעם שאני משתמש במאגר שלא לשם המטרה, בהגדרה אני בטאוטולוגיה בדיוק כמו שנאמר פה, זה נכון.

למה?

בסדר, אז יש מסמכי הגדרות מאגרים.

יש מסמכי הגדרות מאגר. בהחלט יכול להיות - - -

לפי איזה מאגר מסמך הגדרות מאגר יהיה?

איה, בהחלט יכול להיות ויכוח על מה גודל המאגר. אנחנו דיברנו על זה.

זה לא רק גודל, זה איפה הוא מתחיל ונגמר במובן הכי - - -

את מחליטה.

אני מחליטה או שאתם מחליטים?

יכול להיות גם ויכוח.

אני לא יכולה להחליט, אתם מחליטים איפה אתם מוצאים את המאגר כי זה לא כתוב בחוק.

טוב, בסדר.

עכשיו אני צריכה ללכת לבית משפט ולערער או לעתור.

זאת לא הפרקטיקה שלנו.

טוב, חברים.

במידע אישי הייתה לנו שאלה של נוסח לגבי הפיזי והיא לא כל כך מצאה את התועלת הנוספת שמעידה על הפיזי. הממשלה בכל זאת מבקשת - - -

למה התכוונתם בפיזי?

זה היה התרגום של ה-GDPR וגם פה בוועדה - - -

אחרי דיון בנושא, אדוני החליט - - -

למה אני התכוונתי בפיזי?

אתה התכוונת שאנחנו נהיה תואמים לסטנדרט.

ל-GDPR.

לסטנדרט של ה-GDPR.

זה בפני עצמו שווה, להתגבר על המעמד הנורמטיבי העליון של דפנה.

בסדר.

התשובה שצריכה להיות היא שזה בגלל שאנחנו רוצים להיצמד ככל הניתן להגדרות ה-GDPR.

טוב, בסדר.

מידע רגיש במיוחד.

אפרופו דפנה, גם פה זה עניין. הנוסח שדיברנו עליו כל הזמן וגם היה בהצעת החוק הממשלתי זה "מידע בעל רגישות מיוחדת" והוא נשמע לנו יותר נכון אפילו שזה עניין של נוסח.

הנסחית במשרד המשפטים. אמרה שזה - - -

אנחנו לא מתווכחים עם דפנה, זה הכלל שלי בחיים.

זה נראה לנו שם שהולם יותר למעמד. "מידע רגיש במיוחד" זה נוסח מוזר.

למה? קודם זה היה "מידע רגיש".

לא, אבל מורידים את מידע רגיש וקופצים ישר למידע רגיש במיוחד.

בסדר, אתה מעדיף מידע רגיש במקום מידע רגיש במיוחד?

לא, מידע רגיש - - -

טוב, חברים. מידע רגיש במיוחד, אפשר להמשיך?

לא, רגע.

זאת הערת נוסח.

שנייה אחת. בואו נשים את זה על השולחן.

זאת הגדרת ליבה.

זה מהותי.

זה אולי ההגדרה הכי קריטית פה בכל הדיון.

בואו נסגור את זה. אני חושבת שיכול להיות שיש פתרון אבל אתם תצטרכו להיות אחראים על זה שבכל מקום שמופיע בחוק "מידע רגיש במיוחד" יהיה צריך לשנות בחזרה ל-"מידע בעל רגישות מיוחדת".

אנחנו לוקחים את זה על עצמנו.

את זה אנחנו לוקחים על עצמנו.

ירשם בפרוטוקול שזה אחריות שלכם.

אין בעיה.

בסדר, אני חושבת שיהיה אפשר להתגבר על זה אם זה הסיפור.

זה לא יכול להיות "מידע בעל רגישות מיוחדת" כי המידע איננו בעלים. למען האמת – כמאמר הנביא, "ביום ההוא לא תקריאי לי עוד בעלי, תקראי לי אישי – זה מידע אישי רגיש במיוחד, הוא לא יכול להיות מידע "בעל" כי הוא לא בעל, הוא לא מחזיק בבעלות.

מה אם נקרא לו מידע אישי רגיש במיוחד?

זה סתם ארוך.

מידע רגיש במיוחד. חברים, זה הוחלט והוסכם. אפשר להמשיך.

או-קיי. במסגרת מידע רגיש במיוחד, אחת ההגדרות היא - - -

לפני אחת ההגדרות, אנחנו אמרנו שיהיה כתוב פה "מידע רגיש במיוחד, מידע אישי שהוא אחד מאלה" וכמובן שכל פרטי המידע פה הם סוגים מסוימים של מידע אישי.

אבל חלק הם תבנית שלקוחה ממקום אחר כמו מידע רפואי או מידע גנטי.

נכון.

זה מידע אישי שהוא מידע רפואי. זה בסדר, אפשר לכתוב "אישי" למעלה.

זה יפתור את שאלות הייעוץ שישאלו אותנו.

כבר עברנו את הניסוח והנוסחות ביקשו שלא נכתוב את זה ככה.

אם מהנוסחות ביקשו אז מה אכפת לכם? יאללה, זה יהיה מידע אישי. אתם יודעים שאני לא אוהב להתווכח עם דפנה.

אין בעיה, רק אבהיר לפרוטוקול שכל פרטי המידע שמתוארים פה הם כמובן מידע אישי.

הם מידע אישי, נכון.

בהחלט.

יפריע לדפנה אם נכתוב ב-3 ו-4 "מידע אישי שהוא מידע גנטי כהגדרתו בחוק מידע גנטי, מידע אישי שהוא מזהה ביומטרי"?

אני חושבת שלא.

אז נכתוב את זה כך.

בסדר. זה טוב לכם?

כן, זה בסדר גמור.

יצרתי פשרה בין הרשות לבין דפנה, אני אקח קורס גישור עוד מעט.

במסגרת המידע הרגיש במיוחד פרט (1) זה "מידע אישי על צנעת חיי המשפחה של אדם, על צנעת אישותו ועל נטייתו המינית". אולי הוועדה בכל זאת תשקול ללכת על משהו שהוא קצת יותר כמו ב-GDPR כמו "צנעת אישותו ועברו המיני" או "ונטייתו המינית"?

לא. היה לנו על זה דיונים מאוד ארוכים, זה רק מצמצם כי בסוף מה שיש לנו זה "מידע אישי על צנעת חיי המשפחה של אדם, על צנעת אישותו ועל נטייתו המינית".