כנסת פתוחה

הגנת הפרטיות בעידן המידע












2
ועדת חוקה, חוק ומשפט
11.4.2005
הכנסת השש-עשרה נוסח לא מתוקן
מושב שלישי


פרוטוקול מס' 466
מישיבת ועדת החוקה, חוק ומשפט
יום שני, ב' בניסן התשס"ה (11 באפריל 2005), שעה 10:00

יום עיון בנושא: הגנת הפרטיות בעידן המידע

חברי הוועדה: מיכאל איתן-היו"ר
זהבה גלאון
אתי לבני

ד"ר מיכאל בירנהק הפקולטה למשפטים, אוניברסיטת חיפה
יעקב וילון,עו"ד אחראי על מחקר, משרד המשפטים
רבקי דב"ש,עו"ד משרד המשפטים
אמי פלמור,עו"ד מנהלת מח' החנינות, משרד המשפטים
יוספה טפיירו רשמת מאגרי מידע, משרד המשפטים
נחמן ליס משרד המשפטים
בנציון הכהן משרד המשפטים
סנ"צ רונה קדמי עוזרת ליועץ המשפטי של המשטרה
סנ"צ אבי נבון ר' יחידת ביטחון שדה, המשרד לביטחון פנים
בתיה ארטמן,עו"ד משרד הרווחה
ציון כספי סמנכ"ל אכיפה וגביה, הנהלת בתי המשפט
רות הורן,עו"ד יועמ"ש, המוסד לביטוח לאומי
בובי פנדריך מנהל היחידה לאבטחת מידע, המוסד לביטוח
לאומי
יעל שביט סמנכ"לית, רשות המסים
ריקי אביב אחראית על פרוייקט אביב מטעם חברת
HP
מור חסון פרוייקט אביב מטעם חברת HP
זאב סגל פרוייקט אביב מטעם חברת HP
דנה לבב פרוייקט אביב מטעם חברת HP
חיים קלוגמן,עו"ד יו"ר המועצה להגנת הפרטיות
אייל לוגסטרן בנק מזרחי
חנניה כפרי בנק לאומי
ד"ר אליהו וינטראוב בנק דיסקונט
אורנה ואגו,עו"ד בנק ישראל
אבנר פינצ'וק,עו"ד האגודה לזכויות האזרח
שירלי רביב,עו"ד מחלקה משפטית, חברת מירס

אפרת רוזן

דורית ואג

יפעת שפרכר

הגנת הפרטיות בעידן המידע

בוקר טוב, אני שמח לפתוח את יום העיון בנושא הגנת הפרטיות בעידן המידע. יום העיון הזה, שהוא בעצם בנוי על האורחים שלנו, בא כיוזמה של ועדת החוקה, חוק ומשפט בעקבות בקשה של הממשלה שוועדת חוקה תאשר צווים ותקנות בעניין הגנת הפרטיות בכל מה שקשור לתנאי אחזקת המידע והעברתו בין גופים ציבוריים. במהלך הדיון שהתפתח בעקבות בקשת הממשלה לאשר את התקנות האלו, שמתי לב שהממשלה נוגעת בצרכים שלה בכל מה שקשור למידע. יש לה נגישות ויש לה צרכים לייעל את עבודתה. זה מעמיד אותה במצב שהיא מועדת לפורענות בכל מה שקשור להגנה על זכויות האזרח והפרט.

אנחנו כמדינה ליבראלית רואים את האזרח כאדם שבכל מקום שבו הוא נע הוא נע עם איזו שהיא חומת שריון שכוללת את האוטונומיה שלו, שעליה הוא לא ויתר, הוא לא יוותר ושכולם מחויבים לשמור עליה. לפעמים, בנסיבות חריגות, יש חדירות גם לתחום האוטונומיה הזאת. במקרה הקיצוני ביותר אנחנו יודעים שאנחנו פוגעים לפעמים בגופות על ידי חדירה, על ידי כליאה. כשמדובר על התייחסות לאדם, הכלל הבסיסי הוא שאנחנו שומרים וחייבים להיות לא רק פסיביים ולא לפגוע, אלא לקיים שמירה הדוקה על כך שכל אדם יוכל לזכות לאותו מרחב מוגן שאיתו הוא נע בכל מקום שהוא הולך.

השאלות שהתעוררו בעידן של היום שבו יש מצב של הצלבות מידע, של יכולת בעזרת הטכנולוגיה לרכז את המידע, להעביר אותו ממהירות למקום למקום, לנתח אותו, למיין אותו ולהסיק מסקנות שהמוח האנושי לבדו לא יכול היה לעשות עד עכשיו, היו בקשר לשמירה על אותה אוטונומיה שכוללת את הפרטיות של האדם, את הרצון שלו לשמור לעצמו לא רק מבחינה פיזית אלא גם מבחינה נפשית את המידע שנוגע עצמו.

בישיבה בחודש נובמבר שנה שעברה ביקשתי להקפיא את הדיון ולקבוע את יום העיון הזה. אני רוצה לציין שמי שדירבן אותי לכך היתה האגודה לזכויות האזרח. היא זאת שבעצם מייצגת את האינטרס של האזרחים מול האינטרס של הממשלה, שגם היא מייצגת את האזרחים אבל מזווית ראייה שונה, עם סדרי עדיפויות ונקודת הסתכלות שונה לחלוטין.

אנחנו מדברים היום על העברת מידע בין גופים ציבוריים, אבל לא רק. בדיונים האחרים שאנחנו מקיימים על נושא החוקה אנחנו שואלים את עצמנו אם החוקה מיועדת להגן ולדון במערכת היחסים שבין הפרט למוסדות השילטון בינם לבין עצמם, או אם היא צריכה לטפל גם ביחסים בין תאגידים לפרטים. במידה מסויימת תאגיד הוא אחד הפרטים בתוך החברה, אבל במציאות, מבחינה פרקטית, מה שקורה היום זה שהתאגידים הגדולים שיכולים לצבור מידע הופכים להיות בעלי עוצמה לא פחותה מעוצמות ממשליות שהממשלה יכולה לרכז בידיה.

יום העיון יתחלק לשני גושים מרכזיים. הדגש הראשון יהיה על העברת המידע בין גופים ציבוריים, והדגש השני ידון בהיבטים של פיקוח על מאגרי מידע והגנה על פרטיות בעידן המידע, שזה דבר שלא קשור בהכרח לגופים ציבוריים.

אני הגשתי הצעת חוק, שבמסגרתה ביקשתי שחוק הגנת הפרטיות יהיה מלווה גם בהקמת מערך הרבה יותר יעיל מבחינת יכולת האכיפה והפיקוח של הגורמים המופקדים מטעם הממשלה על ההגנה, בין השאר הקמת משרד הרבה יותר יעיל של ממונה לפיקוח בדרגה של שופט בית משפט מחוזי. הוא יהיה מי שממונה וישגיח על הפעילויות של העברת מידע, אולי גם להרחיב את הפונקציה של רשמת מאגרי המידע. דיברנו על זה לא פעם בעבר. הרושם הוא שאנשים לא מודעים לבעיה הזאת, לכן גם הציבור כולו לא כל כך נותן גיבוי ואין לחץ פוליטי על הממשלה. אני הגשתי הצעת חוק בעניין הזה. הממשלה דחתה את הצעת החוק, אבל אני לא הרמתי ידיים. אולי אחת המטרות תהיה לקבל גיבוי ויותר תוקף על מנת לשים את הנושא הזה בסדר עדיפויות יותר נכון מבחינת עמדתו של משרד המשפטים. יתכן מאוד שעל פי הגיבוי שנקבל כאן מהגופים השונים נחליט כיצד להתקדם ולנסות פעם נוספת להבקיע את החומה הממשלתית על מנת שינתן משקל ראוי למה שאנחנו רואים כחשוב, שזה הגנה על פרטיות ועל המידע שקשור באדם.

יש נושאים שהחשיבות שלהם היא מעבר למקרה אחד או שניים או שלושה. מישהו יכול לשאול אותי: תגיד לי, מיכאל, על כמה מקרים שמעת שהנושא הזה קיבל איזו שהיא כותרת בעיתון? אני יכול להגיד שאלה לא בדיוק נושאים שעולים לכותרות. גם כשיש כותרת כזאת או אחרת, היא לא מופיעה בתדירות. זה מסוג התופעות שכאשר זה כבר מופיע, זה מטיל מורא על ציבור ענק. אתה לא צריך להיפגע אישית מריצה לפרטיות שלך על מנת להרגיש לא נוח, מספיק שאתה שומע שיש תופעות כאלו או שנעשה שימוש באיזה שהוא מקום במדינה. עדיף שניתן לאזרחי ישראל את ההגנה המרבית, נשתדל ליצור מספיק מנגנונים על מנת שהאזרחים יוכלו לחיות בשקט נפשי שיש מי שמקפידים על הפרטיות שלהם, על המאגרים שבהם נמצאים מידעים שונים שנוגעים להם, מידעים שצריכים לאפשר לממשלה למלא את תפקידה כהלכה על מנת לשרת את האזרח, כשהשימוש שנעשה במידע הזה הוא אך ורק לאותן מטרות ובכפוף לכך שהעדיפות הראשונה היא שמירה על פרטיותו של האזרח.

אני מזמין את עו"ד חיים קלוגמן, יושב-ראש המועצה להגנת הפרטיות, לספר לנו קצת על נסיבות חקיקתו של חוק הגנת הפרטיות, על פעילות המועצה, וכיצד הדברים נראים מנקודת הראות שלו. הוא בעצם האחראי הרשמי לכך שנישן בשקט . האם אנחנו יכולים לישון בשקט?

אני יותר מתחבר לסייפה של דבריך מאשר לנושא הספציפי של העברת מידע בין גופים ציבוריים. אני לא מכיר את ההצעה שלך, אבל הכיוון שלה והרוח נשמעים כמו דברים שנאמרו לא פעם בוועדת חוקה. הגנת הפרטיות בחקיקה הישראלית היא תקווה שטרם התגשמה.

בשנות ה-70 חדרה ההכרה בקהילייה המשפטית שהמצב הלא נורמלי שבו אזרח בישראל מוגן כאשר אתה שורט לו את ידו או כאשר אתה שורט לו את מכוניתו אבל לא כאשר אתה "שורט" את נפשו וכבודו חייב תיקון. זה היה מצב שנבע מההתפתחות של מאות השנים האחרונות, שהתחילו להכיר בערך של שמירה מפני פגיעה בכבודו באמצעות חדירה לצנעת חייו האישיים. זה לא היה מוכר. הגנת הפרטיות לא היתה מוכרת וידועה בעולם עד למאות השנים האחרונות. כרגע היא הפכה לבעיה שבשום פנים ואופן אי אפשר להתעלם ממנה.

בשנת 1974 מינה שר המשפטים את ועדת השופט קהן, שהשתתפו בה קלינגופר, אהרון ברק, אמנון גולדנברג, רות גבינסון ונחום רקובר. לי היה הכבוד לרכז אותה. הוועדה שמעה גורמים שונים. היה מדהים לראות מה קרה לאנשים. אנשים חשבו שהבעיה תיפתר תוך חודש או חודשיים בישיבות הוועדה, אבל פתאום התגלה עולם מבהיל. תוך שנתיים, לאחר שימוע הגורמים השונים, הגישה הוועדה את המלצותיה לחוקק חוק. הוועדה אמרה שהיא לא תתייחס לנושא של מאגרי מידע, שהיא תעשה את זה ועדה נפרדת.

בשנת 1980 הונחה על שולחן הכנסת הצעת חוק, שהיתה בעיקרה מבוססת על המלצות ועדת קהן. היו אז ימים טובים מאוד לוועדת חוקה, כי התיאום בין חברי הוועדה היה מעולה, החלטות התקבלו כמעט פה אחד, לא היו מרידות והסתייגויות גדולות. הוועדה קמה ואמרה שהיא לא תעביר את החוק הזה בלי פרק על מאגרי מידע. הוקם צוות בראשותו של יושב-ראש הוועדה, דוד גלס. תוך תקופה די קצרה הוכן הפרק המפורסם, שהוא פרק ב' לחוק הגנת הפרטיות.

העקרונות שנקבעו בפרק הנוסף היו עקרונות חשובים. נקבע שיש לנהוג בישראל על פי המודל האירופאי, לא על פי המודל של ארצות הברית. בארצות הברית מה שחוגג זה חופש המסחר, כלומר תן לאנשים להרוויח, תן לכלכלה לפרוח, אל תכניס הגבלות בנושא הזה. הגישה האירופית, שיותר מקפידה בנושא הזה של הגנת הפרטיות, התקבלה. לא הולכים על פי הרעיון האמריקני על הסדרים וולונטריים תוך התייחסות למגזר הציבורי, אלא נקבע כי מאגרי מידע טעונים פיקוח, טעונים רישום ואבטחה, איסוף מידע ושימוש בו טעון הסכמה, מוטלות חובות ומגבלות על מנהלי ומחזיקי מאגרי מידע. נקבעה הרחבת תחולת החוק על כל סוגי מאגרי המידע הממוחשבים, שהסתבר לנו אחר כך שזאת הייתה הגזמה לנוכח זה שלכל ילד היה מאגר מידע על הכיתה. זה תוקן. נקבע שפגיעה הינה עבירה פלילית וגם עוולה בנזיקין. הוקמה רשות של רשם מאגרי המידע לפי הדוגמה האירופאית, ונקבעה זכות לאדם לעיין במידע ואפשרות לדאוג לנכונותו. המידע לא רץ לבד.

החוק התקבל בחודש מרס 1981 בכנסת. מאז הוא תוקן לעניין מסירת מידע לגופים ציבוריים. בעקבות ועדה שעמדתי בראשה, הוכנס הנושא הזה של פרופיל ציבורי שמסתבר כיום שהוא לא עונה לעניין. ב1996 עודכן פרק מאגרי המידע, והותאם למציאות המשתנה בתחום זה.

שתי מטרות עיקריות היו למחוקקי החוק. המטרה הראשונה הייתה לקבוע נורמה של התנהגות שתכבד את זכותו של האדם למתוח קו בין האני שלו, בין האוהל שעליו דיבר יושב-ראש הוועדה לחברה, כדי שלא יפגעו בכבודו, כדי שלא ישפילו אותו ברבים, וכדי שלא יבוזה ולא ייפגע בדימויו העצמי. לאדם יש בעניינים האלה רגישות אדירה. כל עוד הוא לא נפגע אישית הנושא לא מעניין אותו כי זה שייך למישהו אחר, כי זאת פגיעה במישהו אחר. אולי מעניין אותו כאשר מדובר בעפרה חזה או במישהו אחר שמביא את זה לעין הציבורית, אבל כל עוד הוא לא נפגע הוא יושב בשקט. יש כאלה שנפגעו מהנושא של הגיל. הייתה גברת בתל-אביב שהנושא הזה גרם לה לנזק פסיכולוגי, היא היתה צריכה להגיע לפסיכיאטר. היא הגיעה גם לבית המשפט. הנושא הזה נדון בבית המשפט. עניין של גיל, שהיום כל כך מזלזלים בו, הוא דבר שברצונו של האדם לשמור לעצמו, שלא לדבר על דברים יותר אישיים מאשר גיל.

בזמנו זה היה בפנקס הבוחרים.

פנקס הבוחרים זה אחד מאבי אבות הצרות שלנו, משום שפנקס הבוחרים נתן את המפתח להרבה מאוד מאגרים.

הגיל יצא.

המטרה השנייה היא לספק את הכלים בחקיקה לגבי אכיפה והגנה על האדם שנפגע. מה הם הכלים? כולנו יודעים שכלים לאכיפה ולהגנה על האדם שנפגע בחדירה לפרטיותו חייבים להתקיים. לדעתי לא צלחה דרכו של חוק הגנת הפרטיות בהשגת שתי המטרות. המטרה הראשונה משום קיומם של כוחות בעלי השפעה חזקה על המחוקק, והמטרה השנייה היא מחמת העדר הקצאת האמצעים התקציביים על ידי המדינה לאורך כל השנים מאז חקיקת החוק. התופעה הזאת לא חדשה. אנחנו נתקלים בסדר עדיפות תקציבי שהוא בתחתית התחתיות, הרבה פחות מהרבה נושאים שהם בתחומי הפוליטיקה. ההסבר שנתתי קודם לגבי זה שכל עוד זה לא פוגע בי זה גם לא מעניין אותי נכון גם לגבי אנשינו באוצר.

ההכרה בנורמה הזאת של התנהגות בעניינים שמקדשים את צנעת חייו של אדם, בעניינים האינטימיים באה לקבוע איזו שהיא איכות חיים. אם מערכת חייו של האזרח: סודותיו, העניינים שבינו לאחרים, מצב בריאותו, אורחות חייו, כישוריו, תדמיתו הופכים להיות נחלת הרבים, זאת אינה איכות חיים ראויה. כשהאזרח נתון לבילוש אחריו, או שעליו לנהל מערכת חיים תחת פיקוח אלקטרוני בלתי פוסק – מחשבים, מצלמות מעקב, מאגרי טביעות אצבעות, דנ"א, קשתית של העין, כרטיס זיהוי אלקטרוני, מכשירי זיהוי אוטומטיים בכבישי אגרה - זה מביא אותו למצב של חוסר שליטה בפרטיותו. אם במאמצים שלנו נצליח להעביר בחוק הגבלות שלא ייחצו ללא הסכמת האזרח, נוכל להביא לכך שהוא יחיה באיכות חיים ראויה.

חוסר הרצון הזה להכיר בנורמה של כיבוד צנעת הפרט נתגלה מיד עם פרסום הצעת החוק בשנת 1980. ראש החץ התוקפני ביותר נשלח על ידי התקשורת. היא דרשה את אי החלת החוק על העיתונות, דבר שהיום נראה לנו דרישה מוגזמת. אורי אבנרי צעק שהדבר הזה יביא לפגיעה בחופש העיתונות. משלחת של מועצת העיתונות, אשר הופיעה בפני ועדת קהן, נכשלה ולא שיכנעה את הוועדה בדרישה. הוועדה קבעה, למעט עמדת יחיד של ד"ר קלינג, שניתן לפרסם פרסום שיש בו עניין ציבורי המצדיק בנסיבות העניין את הפגיעה בפרטיות. היא אמרה שיש מדינות שזאת ההגנה שניתנת לעיתונות, רק העיתונות צריכה לדאוג שהפגיעה היא בפרסום של עניין ציבורי. לא רכילות ציבורית, אלא יש עניין ציבורי אמיתי.

עם פירסום הנוסח הכחול היתה סידרה של מפגשים מרתוניים של המשלחת המכובדת הזאת עם שר המשפטים דאז, שמואל תמיר, במגמה להסיר את החשש לפגיעה בעבודת העיתונות. בעקבות הדיונים האלה שונה נוסח הצעת החוק, והוא לא דומה למה שהיה בכחול. מי שמסתכל על הנוסח בכחול, יראה שיש בו כמה שינויים מאוד יפים שנמחקו. בדברי ההסבר כתוב שבמרבית הארצות שבהן חוקקו חוקים האוסרים פגיעה בפרטיות, לא הוגדר המונח פרטיות מפאת הקושי במתן הגדרה ברורה וממצה לביטוי הזה. קביעת תחומי הזכאות לפרטיות הושארה לפסיקה שתיקבע במרוצת השנים בבתי המשפט. הפרטיות משתנה. הפרטיות לפני 20 שנה זאת לא אותה הפרטיות היום. אפשר לראות את חוף הים בתל-אביב לפני 50 ,60 שנה לעומת חוף הים היום.

החוק המוצע נקט בשיטה הזאת וקבע פגיעה בפרטיות..הכוונה היתה לומר : ראו, זאת פגיעה בפרטיות שאנחנו יודעים אותה, אבל אנחנו נותיר בידי בית המשפט לפסוק ולהחליט מה נתחדש ומה מתקיים בנושא הזה. העיקרון הזה הוא הראשון שנפל באותם הדיונים. המילה "לרבות" נמחקה. פגיעה בפרטיות צומצמה למקרים המפורטים בחוק. הפירוט הוא ממצה, אין אפשרות להוסיף תביעות ודרכים שלא הוסדרו בחוק. זה שינוי רציני מאוד. הוחלט שהחוק לא יוחל על תאגיד, שיחול רק על אדם. הוחלט שיבוטל האיסור על קריאת מכתב או כתב שלא נועדו לפרסום או שימוש בשמו, כינוי או קולו של אדם לפעילות מדינית. הובהר שלא תהיה זכות פנייה אזרחית או פלילית לפי החוק בשל פגיעה שאין בה ממש. ההגנה שנקבעה לאמצעי התקשורת בסעיף ההגנות, שנקבעה כהגנה מסויגת בתום לב, נהפכה להגנה בלתי מסויגת. נוספה הגנה למקרים שבהם הייתה חובה מוסרית או חברתית. עד היום אנחנו לא יודעים איך לאכול את זה. אמצעי התקשורת הסכימו להוספת פיסקה שמופיעה בסעיף 11, שאוסרת פרסומו של עניין הנוגע לצנעת חייו האישיים של אדם או למצב בריאותו, התנהגותו ברשות היחיד.

כיום התקשורת שקטה. אם אתם שמים לב, אין לנו טענות של התקשורת, של עורכי העיתונים על חוק הגנת הפרטיות. התקשורת מסתדרת מאוד יפה עם חוק הגנת הפרטיות. כפי שניסיתי להסביר, זה לא פלא כי הדרישות המרכזיות של התקשורת נתקבלו. מי שהיום משפיע על המחוקק, מי שהיום תפס את ראש החץ זה בעלי המאגרים הגדולים, מעצמות הסלולארי, גורמי התחככות העוסקים במעקבים אחרינו אישית, ועולם האינטרנט שלשמחתנו מתפתח מאוד יפה. אם אתייחס לדוגמאות ספציפיות, אז נראה את הלחץ לעניין חוק שירות נתוני אשראי , הלחץ בעניין הסלולארי לעניין שירותים מבוססי מקום.

מה שמחליש את החוק זה שהציבור לא מודע לסכנות שאורבות לו כאשר הוא מזלזל בשמירה על מידע פרטי: אותה יולדת שנכנס לבית היולדות ותמורת כמה טיטולים מוסרת פרטים אודותיה ואודות התינוק, או אדם שמזלזל בשמירה על מפתחות מאגרי מידע. מפתחות זה העניין של תעודת הזהות, שהיא באופן טבעי המפתח למאגרים הגדולים הציבוריים כמו הביטוח הלאומי, מס הכנסה. דבר נוסף שמחליש את החוק זה רשויות המדינה שלא מקדישות אמצעים בסיסיים לאכיפת הגנת הפרטיות, תוך הסבר שהדבר נובע מחוסר תקציב, ובעיקר ההסבר שקיימות בעיות בטחון דחופות יותר.

ב12.3.2001 נערך בכנסת דיון בהצעה לסדר היום של חברת הכנסת גוז'נסקי על סחר במידע ועל הצורך באבטחת מאגרי מידע. התקבלה הצעת סיכום שאומרת: "הכנסת רואה בשמירת הפרטיות את אחד ההיבטים החשובים של זכויות האדם והאזרח. דווקא בעידן התפוצצות המידע וריבוי מאגרי המידע המוחזקים בידי גורמים ציבוריים ופרטיים, שרי המשפטים וביטחון הפנים נדרשים ליישם בצורה נמרצת את חוק הגנת הפרטיות ותקנותיו, לרבות רישום מאגרי המידע ואיסור הסחר במידע. שר המשפטים ידווח לכנסת על הצעדים שנקט תוך 3 חודשים". השאלה הרטורית היא מה וכמה נעשה בעניין הזה מאז.

אנחנו לא יכולים לזלזל באתגר ובבעייתיות של העניין. כל פעם שאנחנו סותמים פירצה בנושא הזה של הגנת הפרטיות, אנחנו מגלים למחרת בעיה חדשה מורכבת יותר. כולנו מודעים לבעיית איסוף מידע על ידי אגירת השימוש, כלומר שאתה יודע בדיוק איפה מצ'וטט המשתמש, או הבעיה של הפינגר באי-מייל. עד היום אין בנמצא שום אמצעי למניעת הפגיעות האלה באמצעות האינטרנט. זה לא יהיה קל לחשוב על זה. יש כאלה שמנסים לפתור את הבעיה, רק צריך לעזור להם. גורם אחר, שהוא לגיטימי מאוד, זה גופי המודיעין, בפרט אחרי מה שקרה בארצות הברית. אנחנו יודעים על פעילות מכשיר האקלון, שלו שותפים השירותים החשאיים של ארצות הברית, בריטניה, קנדה, אוסטרליה וניו-זילנד. זאת מערכת שמסוגלת לקלוט ולעבד סוגים שונים של מעברי מידע, שיחות טלפון, סלולאר, סיבים אופטיים, דואר אלקטרוני, אינטרנט, שירותי לווין. המערכת מסוגלת לאסוף כ3 מיליארד התקשרויות ביממה. כל מה שחשש אונ'ול כבר קיים, אנחנו רק תלויים ברצון הטוב של מי שמחזיק אותו.

יש את העניין של המאגר הגנטי. כל חשוד בעבירה בבריטניה של מעל ל-3 חודשי מאסר נכנס למאגר הגנטי ולא יוצא משם יותר. אם הוא מזוכה או לא, זה לא רלוונטי. מסתבר שהדבר הזה הביא ל40 אלף פיענוחי עבירות במשך שנה. איך ניתן לבוא ולהתווכח עם הצלחה כזאת? גם בדיונים במועצה נסינו לתרום לכך שיהיו תקנות, שיהיו אמצעי אבטחה כדי שהנושא יהיה תחת בקרה.

ישנה היום את בעיית הזיהוי בעקבות 11 בספטמבר. אמצעי הזיהוי כוללים מאגרים על פי זיהוי של מאפיינים של כף יד, עין או קול. זה נראה מבחינת הפרטיות מאיים, זה נראה חמור. אין לנו אלא להצטרף לקריאת המועצה להגנת הפרטיות בהערותיה לוועדת חוקה ביום 14.4.2004. המועצה קוראת לממשלה להקצות את האמצעים הנדרשים לנושא הגנת הפרטיות, ולהתוות תוכנית מעשית לטיפול בנושאים הדחופים הבאים: 1. מניעת הפגיעה בפרטיות ממאגרים של רשויות השלטון 2. הגנה על פרטיות בעידן מלחמה בטרור 3. הגנה על פרטיות בסחר אלקטרוני ובאינטרנט 4. אכיפה על הגנת הפרטיות בהעברת מידע בין מדינות. 5. הגנה על הפרטיות בעולם הפיזי שמחוץ לתחום המידע האלקטרוני 6. הגנה על הפרטיות בהקשר לאמצעי זיהוי ואימות מתקדמים 7. קביעת דרכים, נוהל ומסגרת להפעלה עניינית ויעילה של היחידה לרישום מאגרי מידע. נדמה לי שעל ידי כך שנעשה כולנו משהו בכיוון הזה אנחנו נתקדם בכיוון הנכון.

אני מקווה שיש כאן איזו שהיא הסכמה לגבי הכוונות והרצון של כולם לקדם את נושא הגנת הפרטיות, בין אם הם בגופים של NGO, בין אם מדובר בגופים מהמגזר הפרטי והאקדמאי ובין אם אלה גופים ממשלתיים. יש מחלוקות רבות לגבי הדרך שבה צריך להגן על הפרטיות. יש כאן אנשים שנפגשים בפורומים שונים. יש עבודה שנעשית. יש מחלוקות, ראוי שיהיו. למדינה במאגריה יש מצד אחד את היכולות להגיע ולקבל מידע רב, ומצד שני יש עליה פיקוח הדוק לא פחות – מבקר המדינה, חוקי היסוד שחלים עליה, הציבור, בין אם זה בעיתונות ובין אם זה באינטרנט.

גופים פרטיים, שעליהם יתמקדו יותר בחצי השני של היום, יותר חופשיים מהביקורת הזאת. המידע שנאסף הוא בכמות לא פחותה, לפעמים אפילו הרבה יותר. יש מעקב לגבי התנועות שלי, אם זה בכביש 6, אם זה בכספומטים, אם זה בטלפונים הסלולאריים. שלא ישתמע מדברי שלא צריכה להיות ביקורת על המדינה. צריכה להיות, היא תהיה וחשוב שתהיה.

חלק גדול מהגופים מקבלים את המידע שלהם מגורמי הממשל.

אני חושבת שזאת הכללה. יש מידע רב שנאסף באופן פרטי על ידי חברות עסקיות.

אנחנו שומעים על מקרים שזולג מידע ממשרדים ממשלתיים ומגיע לגופים פרטיים שעושים בזה שימוש מסחרי.

העברת מידע שלא כדין היא עבירה פלילית. מנסים לטפל בה בין באמצעים פליליים ובין באמצעים משמעתיים. אני לא אגיד שהמערכת הרמטית, כי שום מערכת היא לא הרמטית. אם היינו חושבים ככה, אז כנראה שגם לא היינו כאן.

נושא של העברת מידע בין גופים ציבוריים מוסדר בפרק ד' לחוק הגנת הפרטיות. מדובר בהסדר כללי. יש הרבה הסדרים ספציפיים אחרים, ראו לדוגמה את חוק המרשם הפלילי. לא מדובר רק במאגרים, אלא גם במידע בכלל. למפקח על הביטוח ולמפקח על הבנק יש אפשרות לקבל מסמכים רבים, כאשר על המסמכים האלה חלים סעיפי סודיות. כמובן שהם מגלמים בתוכם הרבה סודות מסחריים של אותם גופים שהעבירו את המידע לאותם מפקחים.

אני לא אדבר על ההסדרים הספציפיים, אני אדבר רק על ההסדר הכללי. הכלל בפרק ד', כפי שמעוגן בסעיף 23ב, קובע שמסירת מידע אסורה, למעט במספר חריגים. החריג הראשון הוא שהמידע פורסם לרבים על פי סמכות בדין. יש מידע שמפורסם באורך קבע, כמו לדוגמה מרשם המשכונות, טאבו, מינהל מקרקעי ישראל. זה מאגר שהוא נגיש לציבור. אלמלא היה הסדר ספציפי, אסור היה לגוף הציבורי למסור את המידע. האפשרות השנייה היא שהאדם אשר המידע התייחס אליו נתן את הסכמתו למסירה, שזה כלל מרכזי בכל מה שקשור להגנת הפרטיות. אני זכאית לוותר על פרטיותי. לכל אחד יש תפיסה שונה של פרטיות. החריג השלישי שמסירת המידע או קבלתו נעשו על ידי רשות ביטחון. דובר על חריג שנמצא בסעיף 23ב(ב). גם כאן יש חריג: ובלבד שמסירת המידע או קבלתה לא נאסרה בחיקוק. סעיף סודיות ספציפי גובר. רשויות הביטחון לפי חוק הגנת הפרטיות הן המשטרה, הצבא, השב"כ והמוסד. הן יצטרכו להתכבד וללכת לבית משפט ולהוציא צו במידה והדבר אפשרי. החריג האחרון שעליו מתרכז היום זה הנושא של מסירת מידע בין גופים ציבוריים. צריך לעמוד בדרישות של סעיף 23ג לחוק.

הנושא של סדרי העברת המידע, הטכניקה, הטפסים מוסדרים בתקנות הגנת הפרטיות. התקנות כוללות בתוכן הסדרים שונים שקשורים לניהול מאגר, ונושא של העברת מידע בין גופים ציבוריים. את התקנות האלו אנחנו רוצים לתקן. כיום האישור שניתן להעברת מידע בין גופים ציבוריים נעשה על ידי היועץ המשפטי של אותו גוף או נציגו. בתקנות כתוב שצריך להיות חתימת מורשים, אבל לא כתוב שחתימת המורשים היא מתן האישור. לכאורה מנהל המאגר חותם, אבל לא ברורה האחריות שלו לחתימה על הבקשות לקבלת מידע ועל האישורים שניתנים לו. מה בעצם יועץ משפטי צריך לבדוק כשהוא בא לאשר או לשלול העברת מידע בין גופים ציבוריים? התנאי המקדמי שהוא צריך לבדוק זה מה המעמד של הגוף שמבקש את המידע. התנאי המקדמי הוא שהוא גוף ציבורי כהגדרתו בחוק. זה יכול להיות משרד ממשלתי, מוסד ציבורי, רשויות מקומיות, וכן גופים שנקבעו בצו ששר המשפטים רשאי לקבוע, כמובן באישורה של ועדת חוקה, חוק ומשפט. נקבעו ארגונים יציגים, כמו ארגוני נכי צה"ל, קופות חולים ובתי חולים לעניין מצבו ובריאותו של חולה, וכדומה.

אנחנו נתקלים לפעמים בחוסר אבחנה בין חוק חופש המידע לחוק הגנת הפרטיות. חוק חופש המידע נועד לאפשר לאזרחים או לתושבים לקבל כל מידע שהם רוצים מידי רשויות ציבוריות אודותיהם. יש להם כל מיני חריגים, כשאחד החריגים הוא אם יש פגיעה בפרטיות. חוק חופש המידע לא נועד לשרת רשויות ציבוריות. החריגים בו הם לא רלוונטיים. לפעמים יש העברת מידע בין גופים ציבוריים גם כשיש פגיעה בפרטיות. יש צורך בשיתוף פעולה בין גופים ציבוריים, גם אם זה עלול לפגוע בפרטיות. רשות ציבורית זכאית לקבל רק מה שהוגדר לה בחוק, רק מה שהוגדר לה מבחינה חוקית. יכול להיות שיש מידע שאני כאדם פרטי זכאית לקבל אם הייתי פונה על פי חוק חופש המידע, אבל בתור עובדת מדינה אני לא זכאית אלא אם כן אני זכאית לקבל על פי פרק ד' לחוק הגנת הפרטיות. יש בלבול בנושא הזה.

רשות ציבורית זכאית לקבל רק מה שהיא זכאית לקבל לפי המטרות והסמכויות שנקבעו לה. התנאי השני הוא אם יש מניעה למסירת מידע. צריך לבדוק אם מסירת המידע לא נאסרה בחיקוק או בעקרונות של אתיקה מקצועיים, שחלקם מעוגנים בחקיקה. פרק ד' לא גובר עליהם. הדבר השלישי הוא תנאי מסירת המידע כפי שהם מופיעים בסעיף 23 (ג). סעיף 23(ג) יוצר אבחנה בתנאי מסירת המידע בין בקשות לקבלת מידע מעת משרד ממשלתי או מוסד מדינה שמופיע בסעיף קטן (2) לסעיף 23ג, לבין בקשות לקבלת מידע מגופים ציבוריים. כאשר הבקשה לקבלת מידע היא מעת משרד ממשלתי או מוסד מדינה, צריך לבחון אם מסירת המידע דרושה למטרת ביצוע כל חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו. הסמכויות שלי כמי שעובדת בייעוץ וחקיקה לא מעוגנות בחקיקה. המחלקה עצמה לא הוקמה בחקיקה, בוודאי לצורך בדיקה שלי לגבי מחלוקות בין רשויות ציבוריות. הכוונה היא לא רק לסמכויות שמעוגנות בחקיקה, אלא כשיש מטרה מסוימת חוקית של אותו גוף ציבורי גם לצורך מילוי תפקידו.

מספיק שאחד מהם הוא במסגרת תפקידו.

נכון.

זו הסמכות השיעורית של הממשלה. יש המון משרדי ממשלה שלא מעוגנים בחקיקה. כל הפעולה של משרד החוץ לא מעוגנת בחקיקה.

הסמכות הזאת פורצת את הכל.

הגיעה אלינו תלונה מארגון נכי צה"ל על כך שאגף מס הכנסה העביר מידע על כל נכי צה"ל לאגף השיקום. מבירור שערכנו התברר שהיו חשדות כנגד פחות מ40 נכי צה"ל על כך שהם מקבלים הכנסה. רצו לבדוק אם כך הדבר. אם היינו אומרים שזה רק במסגרת התפקידים של מקבל המידע, אז לכאורה מס הכנסה היה צריך להעביר את המידע לאגף השיקום. מכיוון שרצו לפגוע כמה שפחות בפרטיותם של אותם נכי צה"ל, עובד של אגף השיקום ישב עם עובד בכיר מאוד של מס הכנסה, שאל לגבי אדם X אם יש מידע או לא. לא ניתן שום פלט מעבר למידע שנדרש. ראוי היה יותר שהמידע יועבר מאגף השיקום למס הכנסה כדי שהפגיעה תהיה מזערית.

באיזו דרגה היה הפקיד שביקש את החומר?

שניהם היו מפקחים בכירים.

האם יש נוהלים לעניין הזה?

הכל נרשם. כל מידע, אפילו שלא הועבר בפלט, נרשם. אנחנו חייבים להשאיר רישום של המידע, למרות שלא מדובר במאגרי מידע. אגף השיקום לא קיבל שום מידע באופן ישיר. היה עיון במאגר המידע, אבל העיון היה רק של אגף מס הכנסה. הרבה פעמים כאשר מדברים על שיתוף בין הרשויות החשש הוא מפני מאגר אב שבו כולם תורמים את חלקם - מס הכנסה, ביטוח לאומי, משרד הפנים. אני מקווה שאנחנו מסכימים שלמדינה יש זכות לראות שמישהו מקבל גמלה שהוא צריך לקבל.

השאלה היא איך זה נעשה, האם יש בקרה.

אי אפשר למסור את המידע אם אין את התנאי שהוא לא יימסר הלאה. אגב, זה קורה הרבה פעמים בהעברת מידע בין גופים ציבוריים. אם משרד הפנים מעביר לביטוח לאומי, אחד התנאים שחותמים עליו בחוזה זה שזה לשימוש שלהם והם לא מעבירים את זה הלאה. מי שירצה את המידע יצטרך לפנות חזרה למרשם האוכלוסין. התנאים האלה שדיברתי עליהם זה כאשר המידע מתבקש ממשרד ממשלתי או ממוסד ציבורי. כאשר המידע מתבקש מכל רשות ציבורית אחרת, כמו רשות מקומית או תאגידים סטטוטוריים, אז מסירת המידע היא במסגרת הסמכויות והתפקידים של מוסר המידע. יש איזה תנאי מקדמי שאומר שזה יהיה חלק מהסמכויות והתפקידים של מוסר המידע.

התנאי הרביעי, שהוא משמעותי ועליו גם התעכבה השופטת דורנר בבג"ץ, זה הנושא של המידתיות והסבירות. היועץ המשפטי ראה לנכון לבדוק את המקרה של אגף השיקום ומס הכנסה. השאלה היא מה האמצעי. במקרה הזה זה ישיבה של פקיד מול פקיד, לא העברת מידע על כל נכי צה"ל. הדבר השני זה הסבירות. הנושא של הסבירות זה האיזון בין הפגיעה שנעשית בין העברת המידע לצורך שלו. היתה בקשה של רשות מקומית למשרד העלייה והקליטה. אני לא יודעת אם זה היה מקרי או לא, אבל זה היה חצי שנה לפני הבחירות לרשויות המקומיות. ביקשו ממשרד הקליטה את כל העולים החדשים של אותה עיר, כי ראש העיר רצה לעשות סדנת אומנים לעולים יוצרים. הנושא נפל בגלל נושא של סבירות ומידתיות. אותו ראש עיר יכול היה לפנות לעיתונות המקומית, היה יכול לצאת בשלטי חוצות, הוא לא היה צריך לפנות באופן ישיר לכל אותם עולים חדשים, שאני לא יודעת כמה מתוכם היו אומנים.

הדבר הנוסף זה בחינת אמצעי אבטחה בגוף המקבל. צריך לבחון את אמצעי המחשוב, את האמצעים הפיזיים ואת אמצעי הבקרה של אותו גוף שמקבל את המידע. זה שמשרד המשפטים זכאי לקבל מידע מהמשטרה, זה עוד לא אומר שאני כעובדת משרד המשפטים זכאית לקבל את אותו מידע. הדבר האחרון הוא בחינת הטיפול במידע. בג"ץ שהוגש נגד משרד הפנים וגופים ציבוריים ופרטיים נוספים, ביניהם ביטוח לאומי, מס הכנסה והבנקים, בחן את ההסדר של העברת מידע, או ערער על ההסדר של העברת מידע ממרשם האוכלוסין. השופטת דורנר לא מערערת על ההסדר, היא אומרת שהעברת מידע בין גופים ציבוריים נדרשת ושההסדר שקיים בחקיקה ראוי. על מה היא מערערת ומה היא דורשת מאיתנו לעשות? היא דורשת מאיתנו להגביר את הפיקוח באמצעות תקנות על היקף המידע שמועבר. היא ביקשה מאיתנו לעגן את הנושא בהנחיות ובתקנות. מבחינת הבג"ץ עמדנו. גם במס הכנסה, גם ברשות השידור וגם בביטוח לאומי הוקמו ועדות בעקבות הבג"ץ, הוסקו מסקנות ונערכו שינויים. אני חושבת שנעשתה עבודה רצינית.

למה התנגדתם להצעת החוק שלי?

אנחנו חשבנו שהבג"ץ נגע בנקודות עקרוניות. כל גוף ציבורי יהיה מחויב לפרסם רשימה של כל הגופים אליהם מועבר המידע כך שכשאני אדע שיש עלי מידע במרשם אוכלוסין, אני אדע גם למי הוא מועבר. חשבנו שכל גוף ציבורי צריך להקים ועדה, שיעמוד לרשותו מנכ"ל או סמנכ"ל. היה לנו חשוב שזה יהיה רק גורם בכיר. לא השארנו אפשרות להוריד את הדרג, למרות שהיו דרישות כאלו. הוא זה שיפקח על כל הבקשות לקבלת מידע מעת הגוף הציבורי, ועל הבקשות שהגוף הציבורי מוסר. האחריות של היועץ המשפטי ושל מנהל המאגר בעינה עומדת. יש פיקוח של המנכ"ל. יש לו ראיית רוחב על מה שקורה אצלו. הוא גם יקבע כללים לגבי הרשאות גישה.

יש היום צוות מאגרי מידע – בראשותו של המשנה ליועץ המשפטי לממשלה, מר יהושע שפמן - שבוחן את כל ההסדר של מאגרי המידע. אנחנו חושבים שהוא לא מספיק, שיש בו הרבה בעיות ושצריך לבדוק אותו. אנחנו מחכים שיהיו נקודות, כמו לדוגמה כל מה שקשור לתפקידיה של רשמת מאגרי המידע. אז יקום צוות בראשותה של דלית דרור, שהולך לבדוק ספציפית את הנושא של ההסדר של העברת מידע בין גופים ציבוריים. בפירוש יכול להיות שלא נעצור בזה. אנחנו חושבים שהתיקון שמוצע הוא תיקון טוב, אבל אנחנו חושבים שצריך לבדוק את כל ההסדר מחדש.

אני אגיד כמה מילים על המשפט הקנדי והאמריקני. אני בחרתי בשתי מדינות האלו, כי הן יותר מתרכזות בחובותיהם של הגופים הציבוריים לעומת המדינות האירופאיות שיותר מדגישות את המגזר הפרטי. ככל הידוע לי, לא נפסל עד היום אף מעבר מידע בין גופים ציבוריים על בסיס חוקתי במדינות האלו. יש חוקים מרכזיים, כמו חוק הפרטיות של 1974 בארצות הברית או החוק של 1985 בקנדה. שני החוקים דומים מאוד. בחוק יש איסור מוחלט על מעבר מידע בין גופים ציבוריים, אלא אם יש שורה של חריגים יותר ספציפיים וחריגים יותר כלליים. אין לי דעות מגובשות על מה כדאי לנו לאמץ או לא לאמץ. החריגים היותר ספציפיים מאוד דומים בשתי המדינות. אפשר להעביר מידע בין גופים ציבוריים לשם אכיפת החוק הפלילי או האזרחי, אפשר להעביר מידע בהליך משפטי שהמדינה צד בו, אפשר להעביר מידע ממשרד ממשלתי או מגוף ציבורי לרשות המחוקקת, אפשר להעביר מידע למבקר המדינה, ואפשר להעביר מידע לארכיון, מידע לשם מפקד אוכלוסייה ומידע למחקר סטטיסטי.

הכל ממשלתי?

ואז הוא מידע לא מזוהה.

אפשר להעביר מידע אם מדובר בבטיחות או בבריאות של האזרח. המצב בחריגים הכלליים יותר מסובך. אם גופים ציבוריים רוצים להעביר מידע ביניהם הדרך קלה. בארצות הברית יש שימוש שגרתי, כלומר שימוש מתאים למטרה שלשמה המידע נאסף. זה לא מגביל את השימוש בפועל. עלתה הדרישה שכל גוף ציבורי בארצות הברית חייב לדווח באופן שנתי על כל השימושים במידע ועל כל המעברים במידע אישי. בדרך כלל התארים של השימושים והמאגרים הם כלליים. ככה זה בארצות הברית.

בקנדה יש כמה חריגים מאוד כלליים. החריג הכי חשוב זה שכל גוף ציבורי יכול להעביר מידע. זה מאוד פתוח. רשות המכס בקנדה אספה מידע מטסים שחוזרים לקנדה, והעבירה את המידע למשרד שטיפל בדמי אבטלה. בית המשפט העליון אישר את הדבר על אף שלא הייתה הודעה מראש לטסים. הסמכות של המשרד שהעביר את המידע הייתה מאוד כללית. נחקק חוק שאמר שהשר רשאי להעביר מידע למטרה כלשהי או לשימוש כלשהו. גם בקנדה יש את הדרישה שכל משרד מדווח באופן שנתי על כל השימושים.

בקנדה יש רשות עצמאית להגת הפרטיות, מה שאין בארצות הברית. הפיקוח והאכיפה קצת יותר חזקים בקנדה מאשר בארצות הברית. בדרך כלל אין הרבה תביעות. רוב התביעות עולות במקרה של עובד מדינה שנפגע משימוש במידע לצורך א' או ב'. בקנדה האזרח הפרטי יכול לתבוע נגד משרד ממשלתי אם הוא רוצה גישה למידע, אבל לגבי מעבר מידע בין גופים ציבוריים הוא לא יכול לתבוע ואפילו אין לרשות העצמאית זכות לתבוע. האכיפה קצת חלשה בשתי המדינות.

זכות לפרטיות היא זכות יסוד במדינת ישראל שמקובעת בסעיף 7 לחוק היסוד. האינטרס שיש בהעברת המידע הוא אינטרס חשוב, הוא לא זכות. הוא אינטרס חשוב גם לשלטון וגם לכולנו. הוא אינטרס של יעילות כזו או אחרת כך שהשלטון יתפקד בצורה יעילה יותר. בסופו של דבר, כפי שציינה השופטת דורנר בפסק הדין של האגודה לזכויות האזרח, הנושא ייפול ויקום על שאלת המידתיות, על האמצעים שנבחרים כדי לוודא שהפגיעה בפרטיות אינה עולה על הנדרש.

נדמה לי שצריך לאבחן בין סוגים שונים של העברת מידע בין גופים ציבוריים. כאשר מדובר בהעברת מידע ממשרד ממשלתי אחד לאחר, זה לא סוף העולם כי בסופו של דבר זה אותו גוף. המצב הרבה יותר חמור ובעייתי כאשר מדובר בהעברת מידע ממשרדי ממשלה לרשויות ציבוריות, כמו למשל רשות השידור. אחד ממכתבי הברכה הראשונים שכל זוג צעיר שנישא מקבל זה מרשות השידור, מתוך הנחה שלכל זוג צעיר יש טלוויזיה. זאת בעיה של פרטיות. בעיה שנייה היא העברת מידע מגופים ציבוריים, בין אם אלה משרדי ממשלה ובין אם אלו רשויות ציבוריות לגופים פרטיים. עוד בעיה שאני חושב שהיא תופעה מתרחבת וכדאי לתת עליה את הדעת היא הנושא של מיקור חוץ. רוב העיבוד של המידע נעשה היום לא במשרדי הממשלה, אלא על ידי חברות פרטיות שמעבירים אליהן את הביצוע בפועל של הדברים האלה. שם יש פתח שצריך להשגיח עליו. הגופים הפרטיים כפופים לחובות חוזיות עם גופי השלטון. זה מקום מסוכן שממנו המידע יכול לדלוף ולפגוע בפרטיות.

להגיד ששום דבר לא קורה בכך שממשלה מעבירה בין משרדים שונים מידע, זה דבר שצריך להעביר עליו ביקורת. מדוע? הממשלה זה גוף שמונה עשרות אלפי בני אדם. אפילו אם מדברים על משרד אחד, זה עוד לא אומר שאנחנו יכולים לפזר את המידע בתוכו. הגישה כאן היא לא גישה של גוף שבתוכו המידע יכול להישאר, אלא הגישה צריכה להיות גישה דווקנית לגבי החשיפה של כל אדם ואדם.

מקובל. צריך לקבוע נהלים מפורטים, שקובעים למי יש סמכות גישה בתוך המשרד. הבעיה הזאת פחות חמורה בעיני מאשר כאשר המידע יוצא מתוך תחומי הממשלה אל הרשויות הציבוריות האחרות.

אני הצעתי שלפחות יהיה אדם שיהיה מוסמך, שתהיה לו איזו שהיא תעודה, שהפיקוח יהיה בצורה כזאת שאנשים שיטפלו במידע ידעו שיש להם אחריות. אדם שמטפל במידע ומקבל סודות של מישהו צריך להרגיש את כובד האחריות. בחלק מהמקרים צריכה להיות לו תעודת הסמכה על מנת שיוכל לקבל את זה. ברגע שהוא מקבל מינוי, הוא מקבל על עצמו גם אחריות. אם אנחנו אומרים שרק אלה ואלה רשאים להעביר, לקבל ולהחליט, אז אנחנו מסייגים את ההפצה של המידע.

נושא מיקור החוץ הוא בעיני האתגר היום בתחום המאגרים של השלטון הציבורי. יותר ויותר שירותים נעשים באמצעות חברות חיצוניות. היום מירשם האוכלוסין מעובד על ידי דיגיטל, מחר על ידי מל"ם ומחרתיים על ידי HP. כולם מחזיקים את מאגר מרשם האוכלוסין. המדינה עושה הרבה דברים באמצעות חברות פרטיות. כל השירותים של המדינה מתבססים על מאגרי מידע. צריך להיות ברור שכשהמדינה עושה באמצעות חברות היא לא מתפרקת מכל אחריותה בעניין חופש מידע. החברות הפרטיות שהמדינה עובדת באמצעותן יצטרכו לענות על בקשות למידע כמו הגוף הציבורי המקורי. גם בעניין מאגרי מידע אנחנו חייבים להסדיר את זה. יש לנו רעיון לתיקון פרק ד' בהיבט הזה של מיקור החוץ. אנחנו מכינים הנחיית יועץ משפטי לממשלה לגופים הציבוריים בעניין הזה.

ההערה שלך מעידה על כך שהבעיה לא תיפתר כל כך בקלות. מה שאת אומרת זה שלמדינה יש קושי לפקח. זה התפקיד המרכזי של המדינה. היא צריכה להיות הגורם המפקח כשהיא נותנת עבודה לגורם חיצוני. מה נשאר לה לעשות? היא כבר לא עושה את העבודה. נשאר לה רק לפקח. בארצות הברית העבודות הכי ביטחוניות, הכי סודיות נעשות בעסקים פרטיים, כשלמדינה עצמה יש מערכת בקרה ופיקוח. ככה צריך לעבוד. אני לא רוצה שישתמע שעיבוד של מאגרי מידע ועבודות, במיוחד בתחומים האלה, ייעשו על ידי הממשלה. הפיקוח של הממשלה הוא 100%, אבל העבודה עצמה יכולה להיעשות בחוץ.

באתי לפה לא כדי לדבר על העברת המידע מן המרשם הפלילי באופן הרשמי שלו, אלא כדי להביא את המצב הנתון בשטח, שהוא מצב שמתנקז למחלקת חנינות כשלנשיא המדינה יש סמכות לקצר או למחוק תקופות התיישנות שחלות על המרשם. באמצעות הפניות של האזרחים אנחנו רואים את הנזקים הגדולים ביותר שנגרמו בהגנה על הפרטיות, בהגנה על הכבוד, בהגנה על זכות חופש העיסוק לאלפי אזרחים במדינה. אני יושבת פה ומקשיבה איך אנשים רוצים להגן על הגיל שלהם, כשלא קמה צעקה על הפריצה שנוצרה בחיסיון על המרשם הפלילי.

חוק המרשם הפלילי נועד לקבוע כללים והסדרים מאוד ברורים לגבי אופן העברת המידע מן המרשם, שבוודאי כולם יסכימו כאן שהוא מן המרשמים הרגישים ביותר, הפוגעים ביותר בזכויותיו של אדם. החוק יצר הסדרים מאוד מובנים לגבי כל גוף שרשאי לתת רשיון, היתר או להסדיר איזה שהוא עניין לגבי חשיפה למידע.

לא הבנתי את הבעיה שתיארת.

לכל אדם שהורשע נרשמת במאגר ההרשעה, כאשר חלים על ההרשעה הזאת כללים לגבי מי יוכל להיחשף למידע הזה. אדם שהורשע ורוצה לקבל רשיון לנהיגה במונית, פונה למשרד התחבורה, חותם על הפנייה לקבלת הרשיון, כשמשרד התחבורה פונה למאגר המידע ומבקש לדעת אם האדם הורשע. אם הפנייה הזאת נעשית תוך 7 השנים הראשונות מהרשעה שלצידה היה עונש של מאסר על תנאי, אז מאגר המידע הפלילי מעביר למשרד התחבורה את המידע שהאדם הזה הורשע בעבירה כזאת או אחרת ונגזר עליו עונש של מאסר על תנאי. אם חלפו אותן 7 שנים שנקבעו לצורך העבירה הזאת, ישיב מאגר המידע למשרד התחבורה שהאיש לא הורשע. זאת הייתה המטרה של החוק. משחלפה התקופה שנקבעה בחוק, אדם יכול להיחשב כמי שלא הורשע לצורך קבלת אותם היתרים.

בשנת 1995 היה אדם בשם פנחס פישלר. הוא רצה להיות מנכ"ל משרד ראש הממשלה. צפו ועלו בעניינו אמירות לגבי מרשם פלילי כזה או אחר שיש לחובתו, שבגללו הוא לא יוכל לקבל את התפקיד. הוא עתר לבג"ץ. התוצאה של אותו בג"ץ הייתה שרוב עתירותיו נדחו. רק אחת התקבלה. אותה עתירה שהתקבלה אפשרה לכל אדם לא רק לעיין במרשם הפלילי שלו, אלא גם לקבל תדפיס מן המרשם. בית המשפט נתן את דעתו על השאלה.מצד אחד המשיבים אמרו שלא יעלה על הדעת לעשות את זה כי באמצעות התדפיס עוקפים את כל הוראות החוק ומאפשרים למידע החסוי הזה להתגלגל לידיו של כל אחד, ומצד שני אמר בית המשפט שזכותו של אדם לדעת על עצמו. אם הוא יבחר להעביר את המידע הזה לאדם אחר, אז זכותו לעשות את זה. התוצאה היום היא שלכל אדם שהולך לעבוד בעבודה זמנית - אם זה בחורה שהולכת לעבוד בבוטיק, בחור שרוצה לעבוד בחברת שמירה, אדם שרוצה לעבוד כפורק סחורות בסופר - אומר המעסיק להביא תדפיס מהמשטרה. זה עולה 30 שקל. המאגר הזה הוא מאגר פרוץ לכל דבר ועניין. אם אני כמנהלת מחלקת חנינות רוצה לקבל את המידע, אני צריכה לעמוד בכל הכללים שנקבעו לצורך התהליך שאני עוסקת בו. אני אקבל את המידע רק באמצעות הכללים. המידע חסום ונעול בפני כל גוף ציבורי שצריך לפעול על פיו.

זה כולל גם חשדות.

המצב הוא כל כך שערורייתי, שגם הגופים הציבוריים שאמורים לקבל את המידע על פי דין מעדיפים היום לקבל את התדפיס כי באמצעות התדפיס הם מקבלים תיקים סגורים, הם מקבלים תיקים שנמחקו באמצעות חנינות. רשות הנמלים והרכבות זה גוף מאובטח שרשאי על פי הדין לקבל מידע מסוים. אני קיבלתי הרבה מאוד פניות מאנשים באזור הדרום שלא התקבלו לעבודה כי התבקשו להביא תדפיס שחשף מידע שבכלל לא היה ראוי להילקח בחשבון. אמר לי מנהל הנמל שמה שהוא יכול לדעת הוא רוצה לדעת. הוא אמר שגם זיכוי מחמת הספק הוא רוצה לדעת. כמובן שזאת לא זכותו. האכיפה בנושא הזה היא לקויה ביותר.

אין פה בעיה של אכיפה. אני חושב שאת טועה. יש פה בעיה של קביעת סדרי עדיפויות ואיזון נכון בין שני דברים. את רוצה שיגבילו את הפרט כך שהוא לא יוכל לבקש. זאת התוצאה שאת רוצה להגיע אליה. אני לא בטוח שאני כל כך שמח לחיות במדינה שיש תיקים שבהם מנהלים עלי רישומים כשאין לי אפילו זכות לראות.

זכותך לעיין, אבל התדפיס שאתה מקבל ביד הוא תדפיס..

מי אמר שצריך לתת תדפיס?

בג"ץ פישלר קבע שצריך לתת תדפיס.

זה נראה לי עניין טכני.

זה לא עניין טכני.

זה עניין טכני. אם המחוקק ירצה לטפל בסוגייה הזאת, הוא יוכל להגיד שדרישה להצגת..

למה אתה בתור מעביד צריך לדעת מה רשום?

יכול להיות שכשאני לוקח אדם לעבוד כקופאי בבנק אני צריך להגן, או יכול להיות..

צריך להסדיר את זה באמצעות חקיקה.

זה כולל אנשים שנחקרו במשטרה והתיק נסגר מחוסר ראיות.

למה לבנק ישראל יהיה מותר לקבל את המידע ולא לקחת אנשים אלא אם הם עברו רמת בדיקה א', ולמעסיק פרטי כמו בנק הפועלים זה יהיה אסור? אני חושב שצריך לשמור על הזכות של הפרט. אם צריך לשלם עליה מחיר אחר כך, אז לפעמים אין ברירה ומשלמים. אם את אומרת שאפשר יהיה לאזן את זה בצורה יותר טובה, אז בקשה, אני מוכן שתיזמי איזו שהיא הצעה שנעביר בחקיקה.

יש הצעה שעומדת על הפרק במשרד המשפטים. נאמר לי שהאגודה לזכויות האזרח רוצה לשמר את הנושא הזה של התדפיס.

זה טבעי לגמרי, כי חשוב מאוד שהאזרח ידע מה רשום. הפחד הכי גדול הוא שחורצים גורלות על סמך מידע. אדם חי בתחושה שהוא לא יודע מה קורה. יש מקרים כאלה. יש גם טעויות. התחושה הכללית יותר חשובה מהמקרים הספציפיים. התחושה שלך שאתה יודע, שאתה יכול לבדוק מתי שאתה רוצה היא חשובה, אפילו שאתה לא מממש אותה. לעומת זאת, כשאתה חי במדינה שאומרים לך שכתוב עליך ואתה לא יכול, אפילו שזה לא מעניין אותך אתה חי רע.

הכוונה היא לא למנוע את זכות העיון, אלא לאזן. אני רוצה להביא את הדוגמה שהבאתי גם בדיון הקודם בנושא הזה, כי היא דוגמה שמאוד ממחישה את הנזקים שנגרמים. הגיעה אלינו בקשת חנינה של נער בן 16, שכשהוא היה בן 13 וחודש הוא דחף ילדה בחצר בית ספר, הפיל אותה על הרצפה, משך לה בחזייה, ובתוך התהליך הזה הוא גם נגע בחזה שלה. נפתח לו תיק בתחנת משטרה על מעשה מגונה בכוח בקטין מתחת לגיל 14. הוא הועמד לדין על התיק הזה. הוא נדון ללא הרשעה. זה פרט רישום שהיה צריך להימחק תוך 5 שנים. המקרה הזה הוא מזעזע בעיני, הוא לא היה צריך להפוך לתיק משטרתי. הילד הזה היה תלמיד מצטיין, הוא המשיך להיות תלמיד מצטיין. אחרי שהעיפו אותו מבית ספר הוא הלך לבית ספר אחר. הוא הגיע אלינו כי הצבא הודיע לו שהוא לא מגייס אותו. באמצעות התערבות שהייתה במשרד שלנו, שלא קשורה בכלל להליך החנינה, הוא גויס לצבא. שער בנפשך שהבחור הזה יסיים יום אחד את השירות הצבאי שלו, ילך לעבוד בעבודה הטיפשית ביותר, יתבקש להביא את התדפיס הזה, ואדם שאין לו שום מיומנות, שום הבנה, שום סמכות על פי דין יראה בו אדם שהורשע בביצוע מעשה מגונה בכוח בקטין מתחת לגיל 14. מי שיחזיק את התדפיס הזה ביד לא יהיה מסוגל אפילו לראות שהוא היה בן 13 בזמן ביצוע המעשה. הוא לא יבין שהוא נדון על זה ללא הרשעה.

אני מכיר את הטיעון, אבל אני לא מקבל אותו.

אני לא ארים ידיים, אני אנסה לשכנע אותך בהזדמנות אחרת. הנזקים הם עצומים.

אני מכיר את המקרים שמביאים על מנת להצדיק עוולות אחרות. את יושבת במקום שמקבל אלפים רבים של מקרים. בחרת את המקרה הגרוע ביותר.

אבל כנראה שזה לא המקרה היחיד.

אפשר להגביל מעבידים. למה אני צריך להגביל את הפרט לקבל מידע על עצמו?

צריך להגביל את המעביד.

אנחנו לא מדברים על הצד הזה. אני רוצה להגן בכל מחיר על הזכות של הפרט לקבל. זה מה שמעניין אותי כרגע. בשאר הדברים יטפלו.

מי יטפל בהם?

אף אחד לא מטפל בהם.

אתה צריך לטפל בהם, כי זה פרוץ. ברגע שלמעביד יש את הזכות לקבל והוא דורש את זה, אז זה פוגע באותו פרט שיכול לקבל את התדפיס.

כשנגיע למעביד נדבר עליו, כרגע אנחנו מדברים על הזכות של הפרט לקבל. בזה רוצים לכרסם. זאת המטרה של הצגת הדברים כאן.

הבעיה היא שזה חרב פיפיות. ברגע שאתה מעגן את זכותו של הפרט, שאני תומכת בה כמובן, אתה..

תעזבי את זה עכשיו. אנחנו לא דנים עכשיו בחוקי עבודה או בהגנה על הפרט מפני מעבידים פרטיים. צריך לעשות את זה. אני לא מתווכח כרגע, נקיים על זה דיון. כרגע המסר שמביאים אלי אומר שאחד שהגיש בג"ץ זכה לדעת מה כותבים עליו ובעקבות זה קרה אסון לעם ישראל. את זה אני לא מוכן לקבל.

אנחנו מדברים פה על החובות שחלים על גופים ציבוריים כשהם מחזיקים מאגר מידע. מאגר מידע שנחשב לפלילי מוחזק בידי הרשות הציבורית. נקבע חוק שמסדיר במפורש מי זכאי לקבל את המידע ומי לא. אמי הציגה את הבעייתיות למרות שקיים חוק. אם דיברתי על הסדר כללי, אז פה יש הסדר ספציפי שאומר במפורש למי מותר ולמי אסור.

את טועה לחלוטין. אנחנו חיים במטריה אחרת. הפרט עולה על המדינה. את שואלת למה גוף ממשלתי צריך לעמוד במגבלות שקבועות בחוק, כשלעומתו מעביד..

תראה דוגמה של גוף ציבורי שיש לו מאגר מאוד רגיש שנקבעו לו סעיפי סודיות ספציפיים, כשבכל זאת יש דליפה, זליגה.

אין דליפה. העברה לפרט זה לא דליפה. הבעיה היא מה הפרט יעשה עם זה. ברגע שאתם אומרים לי שהעברה לפרט זאת דליפה, אתם איתי בעימות. אני לא מקבל את זה שזאת דליפה. העברה לפרט זאת העברה יותר חשובה מאשר כשאתם מעבירים ממשרד ממשלתי אחד לשני. הגנה על הפרט שייכת להגנה על הפרט, היא לא שייכת לעניין הזה של המידע. הזליגה שאתם מלינים עליה היא לא זליגה בעיני. זה שייך לתחום אחר לגמרי. זה שייך לפרט. ברגע שהוא קיבל את המידע זאת זכותו. אתם מדברים כעת על תנאים שבהם הפרט נמצא במצב נחות כי הוא צריך עבודה, ועל מנת שהוא יקבל את העבודה דורשים ממנו לעשות דברים שיש בהם משום פגיעה בכבודו. הוא צריך לקבל עבודה. עכשיו פוגעים במשהו שהוא יקר לו, שזאת הפרטיות שלו, הפרטים שנוגעים אליו. אומרים לו לתת פרטים. זה נוגע לסוגייה אחרת מאשר על מה שאנחנו מדברים. אנחנו לא מדברים כרגע על זה. אני לא מוכן לנתק את המעבר של המידע מהמדינה אל הפרט בגלל שאתם אומרים שהפרט הזה יהיה חשוף למצב נחות. הגישה הזאת היא גישה שחוזרת פעם אחר פעם. אני לא רוצה את הטובות האלו של המדינה. נגן על הפרט ועל כבודו. כשהפרט מבקש מכם את המידע אתם צריכים לתת לו. תאמינו לו שהוא יודע. אם פעם אחת הוא ישתמש בזה לרעתו, זאת זכותו לעשות זאת. כמה פעמים אתם משתמשים במידע לרעה?

אני לא נותנת מידע. אני באתי כדי לחדד את הבעייתיות ואת הצורך לאזן בין כל האינטרסים.

אני מקבל. אני בטוח שחברת הכנסת זהבה גלאון תגיש הצעת חוק. אנחנו נחשוב מה לעשות במקרים האלה. לא מזמן חברת הכנסת זהבה גלאון הגישה הצעת חוק שמגבילה מעבידים לגבי בדיקות פוליגרף.

אמר לי פה חברי שכתבו בעיתון על חיילים משוחררים שהלכו לחפש עבודה והתבקשו להביא תדפיסים שהופיעו בהם תיקים סגורים.

צריך לטפל בתופעה הזאת. נראה לי שהתופעה הזאת היא תופעה שראויה לטיפול, דיון ואולי לחקיקה, אבל היא לא קשורה בהעברת המידע לפרט.

מאגר המידע של הביטוח הלאומי הוא המאגר האזרחי הגדול ביותר, שכולל את כל תושבי המדינה שנזקקים לשירותים של המוסד בהקשרים שונים במהלך חייהם. אנחנו חושבים שהמאגר הזה כולל את המידע הרגיש ביותר, האישי שאפשר לחשוב עליו. אם אני אקח מספר קטן של דוגמאות אתם ודאי תבינו. אם המוסד לביטוח לאומי משלם קצבאות נכות, אז לצורך זה המחוקק הטיל עליו לקבוע איזה ליקויים גופניים יש לאדם ובאיזו רמה. אנחנו כמובן יודעים מה גילו של האדם, כי אחרת אי אפשר לבחון את השאלה אם הוא זכאי לקצבת זיקנה. אנחנו צריכים לדעת מי הם ילדיו, מי הוא בן זוגו, בין אם הוא נשוי לו ובין אם מדובר בידוע בציבור, משום שגם ידועים בציבור זכאים לגמלאות. אנחנו משלמים תחליף לדמי המזונות כך שאנחנו נכנסים לתחום של נושא האישות. אנחנו משלמים גמלאות לקיום בסיסי. אנחנו יודעים מתי לאדם אין הכנסה מינימאלית כדי קיום. אני התייחסתי לנושאים הקדושים ביותר בעיני הפרט, שנמצאים במאגרים של המוסד לביטוח לאומי.

חלק גדול מהמידע הוא מידע שנמסר לנו ישירות על ידי מי שמבקש את המידע או מי שאמור לשלם דמי ביטוח. חלק אחר אנחנו מקבלים מרשויות שלטון אחרות, כמובן לפי הכללים הפורמאליים של חוק הגנת הפרטיות. העובדה שאנחנו מקבלים את המידע לפי הכללים הפורמאליים וגם מוסרים אותו, לא מבטל את החשש מפני התפקיד הכבד של נאמנות על כזה מאגר מידע רגיש.

המאגר של המוסד לביטוח לאומי מהווה כתובת מאוד אטרקטיבית לבקשות לקבלת מידע של מגוון גופים שלטוניים ואחרים. בשל הרגישות של מאגר המידע הוקמו ועדות. ישנה ועדה חיצונית שבודקת בקשות של גופים חיצוניים לקבלת מידע מהמוסד. הוקמה במוסד ועדה שדנה במאגר מידע פנימי בתוך המוסד. לא כל המידע שמצוי במאגר דרוש בהכרח למילוי התפקידים של העובדים השונים. למי שממונה על בדיקת קביעה לקצבת ילדים, לא דרוש המידע על הכנסות של אותו אדם או מידע על שיעור הנכות שלו. הוועדה הפנימית דואגת לשמירה על מחיצות שלא מאפשרות למידע לעבור מתא אחד לתא השני, אלא במקרה שהתא השני צריך את המידע כדי למלא את תפקידו. הוועדה החיצונית מתייחסת לבקשות חיצוניות להעברת מידע.

הבקשות שמוגשות למוסד הן במספר אין סופי. למזלנו כמעט ואין בקשות בעלות אופי מסחרי, אם כי אני מניחה שגופים מסחריים בחוץ היו מאוד מעונינים לדעת חלק מהמידע של המוסד. גם אם אנחנו לא מקבלים בקשות מהסוג הזה, מוגשות הרבה מאוד בקשות שהוועדה העליונה מסרבת לתת אותן. לא פעם פונה אלינו רשות מקומית בבקשה לקבל שמות וכתובות לגבי נפגעי איבה. אנחנו נוהגים לסרב בעניין הזה. במקרים מסויימים אנחנו פונים לגורם הרלוונטי. גם אם הכוונה טובה וראויה, וגם אם אנחנו חושבים שאותה אוכלוסייה צריכה לקבל שירות נוסף..

נניח שעיריית ת"א מחליטה לתת לכל נפגעי האיבה פטור מארנונה, והיא מבקשת מכם לתת לה את הכתובות של נפגעי האיבה על מנת שהיא תוכל להודיע להם את זה. למה אתם לא אומרים לה לתת את הכסף ושאתם אלה שתשלחו להם את זה?

אנחנו עושים את זה פעמים רבות, אם כי הבקשות הולכות ורבות, דבר שגורם לנו למטלות מאוד כבדות. אנחנו צריכים למיין מי הפונה, מה הוא מציע, וגם לשמור על כך שהמשאבים של המוסד יופנו למטרות העיקריות שלשמם הוא קיים. במקרים שבאמת מוצדק לעשות את זה אפשרנו או סייענו להביא את המידע ליעד האוכלוסייה הרלוונטי, תוך שמירה על היכולת שלהם לבחור אם הם יהיו מעונינים לקבל את השירות.

אני מייחסת לדיון הזה חשיבות רבה, כי כמי שאחראים על מאגר מידע כל כך גדול ורגיש אנחנו מתמודדים עם החלטות לא קלות. העובדה שההתייחסות למידע אישי לא זוכה לדיון ציבורי נאות היא בעיה. פיתוח כלים חד פעמיים היא לא תרופה נכונה. זה נושא שצריך להשקיע בו מחשבה מידי פעם. גם כלים קיימים יכול שייעשה בהם שימוש לרעה. דלית דיברה על צרכים חדשים או נוהלי עבודה חדשים כמו הפרטה שמחייבים מחשבה חדשה לעניין שמירה על המידע. תפקיד חשוב לוועדה כמו הוועדה הזאת הוא להעלות את הרמה הנורמטיבית של ההתייחסות לערך של המידע הפרטי, כמו דין משמעתי על עובדי ציבור. הכלים שעומדים לרשות המוסד הם כמו כל גוף ציבורי. הביקורת הפנימית במוסד עסוקה כמעט באופן רצוף גם בבדיקה של חששות לפריצה בכללי אבטחת המידע. כלשכה משפטית אנחנו עסוקים בנושא הזה. אני מקווה שהתקנת התקנות תחדד מקצת מהכלים שיסייעו גם לנו במקרה הזה.

אני רוצה לדבר או לשים את האצבע על כמה מהבעיות שאני רואה שיש להסדר מאגרי המידע במדינת ישראל, ואולי גם להעלות כמה רעיונות לפתרון. אני רוצה לעשות את זה אגב הצגה של מחקר שנעשה במימוש קרן בורדה של פרופ' ניבה קורן, עמיתתי, ושלי. מה שרצינו לבדוק זה מה קורה בפועל עם ההסדר של רישום מאגרי מידע ועם החובות שמוטלות על מאגרי מידע בהקשר לאתרי אינטרנט. התמקדנו בשלב הראשון של המחקר באתרים ציבוריים. זאת קבוצה יותר קטנה, כשמטבע הדברים היא כפופה לחובות מוגברות מכוח המשפט הציבורי.

מה זה הגדרה של אתר ציבורי?

בשלב ראשון רצינו לראות עד כמה אתרים מצייתים לחוק הגנת הפרטיות לאו דווקא ביחס למה שעושים בפועל, אלא לעומת מה שהם אומרים שהם עושים. חלק מהחובות שמוטלות עליהם זה לומר מה הם עושים. בדקנו איזה אתרים אוספים מידע. הגדרנו באמצעות שאלון איזה אתר אוסף מידע.

מה זה נקרא מידע לצורך ההגדרה שלכם?

אתר שאתה מתבקש למלא שאלון עם שמך, פרטיך, או שבאמצעותו אתה יכול לבצע תשלום ארנונה או קנס.

זאת אומרת, זה מידע ככל שהוא מתייחס לפרט מסוים שנותן את פרטיו. אם אני מצביע בבחירות באתר מסוים, זה לא נחשב לצורך המחקר שלכם מידע כי לא הזדהיתי שם.

נכון, אם כי צריך לזכור שזה לא מאוד מסובך להגיע אליך גם אם לא הזדהית בשמך.

להגיע לאלף איש ולבדוק אם הם עשו זה לא מציאותי.

נכון, אבל אפשר לצבור מידע שלא מזהה..

אתם לצרכים שלכם התייחסתם למידע מזוהה.

כן, כפי שהוא מוגדר בחוק. השדה שאותו אנחנו בוחנים מורכב מהרבה מאוד גורמים. גורם אחד זה הגורם המשפטי, אבל כמובן גם בתי משפט. כוחות השוק הם גורם שמכתיב הרבה מאוד ממה שקורה בזירה של הפרטיות. כמובן שהטכנולוגיה מכתיבה גם. השאלה הספציפית שלנו היא מידת האפקטיביות של הכלל המשפטי הקיים, כלומר חוק הגנת הפרטיות במתכונתו הקיים.

יש גם אלמנט של הסדרה.

אני חושב שזה כר פורה בשימוש של הסדרה פרטית. את אוכלוסיית המחקר הגדרנו כאתרים ישראליים –סיומת il. זה נובע מסיבות סטטיסטיות אבל גם מסיבות משפטיות. אין ספק שאתר שהוא il כפוף למשפט הישראלי, אם כי יכולות להיות הרבה סיטואציות אחרות.

ההנחה הזאת היא הנחה מעניינת, כי אתה נותן הכרה של המשפט הישראלי לפעולה של ארגוני הרישום האמריקניים שמחליטים מי יהיה il. הם קבעו שישראל תהיה il. יש להם סוכנים, שהם גופים פרטיים בחלקם, שקובעים את המעמד המשפטי של מי שמשתמש.

זאת לא החלטה משפטית, זאת החלטה לצורך מחקר. ההנחה היא שרוב האתרים שהם il אלה גופים ישראלים. אני מתקשה לראות גוף ציבורי איטלקי שעובד תחת הסיומת il. בשלב הראשון התמקדנו בגופים ציבוריים מסיבות סטטיסטיות. מתוך שמות המתחם שרשומים אצלisoc, רק כרבע עד שליש יש להם אתרים פעילים. יש הרבה מאוד שמות מתחם, כולל שמות מתחם ציבוריים שרשומים אבל אין בהם אתרים פעילים. זה נתון שמשתנה. אנחנו התמקדנו רק בשלושה שדות של שם המתחם. בדקנו למשל את האתר של אוניברסיטת חיפה, לא את אתרי המשנה. זה נובע מסיבות סטטיסטיות. בקבוצה הראשונה יש לנו יכולת להעריך כמה אתרים כאלה יש, אבל בקבוצה השנייה אי אפשר להעריך כמה אתרים יש. הנחה נוספת, שזאת הנחה משפטית, שהפקולטה למשפטים בהיותה חלק מאוניברסיטת חיפה כפופה לאותה מסגרת ארגונית. קיבלנו עוד כמה החלטות בעניין הזה.

בשלב הבא הרחבנו את המחקר לקבוצה של האתרים המסחריים. מה בדקנו? Gov.il. בדקנו את כל 67 האתרים שהיו פעילים בתקופת המחקר, שזה בשנה שעברה. Mun.il. כ50 אתרים של רשויות מקומיות היו פעילים בתקופת המחקר. בדקנו את כל הקבוצה. Ac.il הם לא גופים ציבוריים במובן הממשלתי, אבל הם כפופים למשפט הציבורי. יש כ96 בתקופה הרלוונטית. שמות מתחם שהם ac.il. מתוכם רק כמחצית – כ-48 - היו פעילים. בדקנו את כל הקבוצה. זה לא מדגם, זה ייצוג של כלל האוכלוסייה. בדקנו גם את net.il. אמנם אלה לא גופים ציבוריים, אבל אלה גופים שעובדים לפי רשיון של משרד התקשורת לאספקת שירותי אינטרנט. גם כאן כמחצית מהקבוצה היא קבוצה פעילה. בדקנו את כל הקבוצה. הרלוונטית.

חוק הגנת הפרטיות מגדיר מה הוא מאגר מידע. מאגר מידע שהוא אלקטרוני לא כולל מאגר שהוא לשימוש אישי, הוא גם לא כולל מאגר שהוא רק שם ודרכי התקשרות. סעיף 7 (ג) קובע איזה מאגרים חייבים ברישום אצל רשמת מאגר המידע.

חובה מרכזית שמוטלת על מאגרי המידע היא חובת היידוע. כאשר גורם אוסף מידע מתוך כוונה שהוא ישמש למאגר מידע קיים או עתידי, הוא צריך להודיע למושא המידע: דע לך, אזרח יקר, בכוונתי לאסוף עליך מידע. עכשיו תעשה עם המידע הזה מה שאתה רוצה. אז יחליט האזרח אם ללכת על זה או לא. אני נוטה להאמין שלקבוצה שיושבת פה אין כרטיס מועדון בסופר, כי אנחנו יודעים שהוא משמש לא רק לשם הנחה לקוטג', אלא לאיסוף מידע של הסופר. צריך לומר לאזרח כאשר הוא מתבקש למסור את המידע לשם מה ישמש המידע, והאם המידע יימסר לצדדים שלישיים.

50% מהאתרים שבדקנו אוספים מידע מסוגים שונים. מתוך 50% האלה ל-70% אין מדיניות פרטיות. הגדרנו מדיניות פרטיות בצורה הכי רחבה שרק אפשר להעלות. ל70% מהאתרים שאוספים מידע אין אף מילה על פרטיות, הם כבר מפירים את החוק. ל30% מתוך האתרים שאוספים מידע יש התייחסות לפרטיות. לפעמים זה תחת הכותרת של מדיניות פרטיות. 40% קוראים לזה תנאי שימוש, מדיניות האתר, כל מיני שמות שהקשר בינם לבין פרטיות יותר עמום. אין שום חובה לקרוא לזה מדיניות פרטיות, אבל זאת אינדיקציה לאיך שהאתרים האלה תופסים את המטריה שבה מדובר. הם לא חושבים שזה עניין של פרטיות, הם חושבים שזה עניין של תנאי שימוש. הם לא חושבים שהם עוזרים לצרכן, הם חושבים שהם עושים טובה לעצמם, מגינים על עצמם. מתוך אותם אתרים צדיקים שהייתה להם מדיניות פרטיות, ב-10% מהאתרים הקישורים לאתר לא עבדו. נניח שה עניין טכני זמני.

עוד שתי חובות שמוטלות על מאגרי מידע, שהן יותר זכויות שניתנות לנו המשתמשים – זכות העיון, שכל אזרח זכאי לעיין במידע עליו ולתקן את המידע. אם המידע שגוי – ידרוש את תיקונו, ואפילו ידרוש את מחיקתו במקרים המתאימים. מתוך האתרים הציבוריים אף אתר לא ציין את הזכות הזאת. אין חובה לציין את הזכות, אבל גם אף אתר לא אמר לאזרח: דע לך, אזרח יקר, אם יש לך בעיה אתה יכול לפנות אלינו. אני שמח מאוד שמשרד המשפטים בתסקיר שהוא הפיץ בשנה שעברה מציע לכלול בסעיף 11 גם את המידע על זכויות, כדי שנדע איזה זכויות יש לנו.

יש בחוק חובה לאבטחת מידע. בעלי מאגר מידע מתקשים עם הסעיף הזה, כי הם אומרים שהם צריכים אבטחת מידע בלי לדעת מה המדיניות. החובה ברמה הכללית קיימת.

הרבה מאוד מהאתרים שלא אוספים מידע, שאין בהם אף מילה על איסוף מידע, אומרים שיש להם מדיניות פרטיות. 70% מהם, כולל אחוז נכבד מאוד מהאתרים שלא אוספים מידע, אומרים שהם מאבטחים את המידע. מה אנחנו מפיקים מהעניין הזה? הממצא הראשון המרכזי הוא הפרה של החוק. יש מודעות נמוכה בציבור. הזכות מאוד עמומה. אנשים לא מבינים את הזכות.

הנושא המרכזי, וזה הנושא שהמחוקק יכול לתת עליו את דעתו, זה הנושא של כשל האכיפה. החוק לא רלוונטי. מה שרלוונטי זה כוחות השוק. אם הציבור דורש אבטחה, אז השוק הרלוונטי מספק אבטחה, גם אם אין לו חובה בחוק. מה אפשר לעשות? לתקן את כשל האכיפה. צריך לחזק מאוד את הבקרה של המדינה. המשמעות המעשית של זה היא להעצים את התפקיד של רשמת מאגרי המידע. צריך להחליף את זה ברשות, בנציבות, בממונה, במישהו עם הרבה יותר סמכויות. כל ההסדר של רישום מאגרי המידע הוא מגוחך, הוא מיותר. פעם אחר פעם אני שואל מה ההצדקה של הסדר רישום מאגרי המידע, ואומרים לי שכל גורם שמחזיק מאגר מידע משלם אגרה של כ-200 שקלים. מה עושים עם הכסף? עושים את רישום מאגרי המידע. זאת התשובה שאני מקבל. אני מקצין את הדברים, אבל באופן כללי זאת התשובה. גם למועצה להגנת הפרטיות אין שום סמכויות. אני חושב שצריך להעצים את המועצה בהקשר הזה.

דבר מרכזי זה אכיפה פרטית. לפני כשנה וחצי או שנתיים אחת החנויות בדיוטי- פרי הציעה שירות מצויין ללקוחות: קניתם אצלנו משהו ואיבדתם את החשבונית? יש לכם באמצעות אתר האינטרנט אמצעי לשחזר את החשבונית. מה היה צריך למסור כדי לשחזר את החשבונית שלי ולא של מישהו אחר? את מספר תעודת הזהות ואת תאריך הטיסה. קמה קול צעקה. למחרת אותו אתר שינה קצת את הנוהל שלו. בזה זה נגמר. הנזק שנגרם לכל אזרח הוא קטן. כמה נזק נגרם לי מזה שאפשר היה די בקלות להגיע למידע שלי? 10 שקלים נזק? קשה לכמת את זה. תובענה ייצוגית היא פתרון קלאסי לעניין הזה. אילו הייתה תובענה ייצוגית, למחרת ב-8:00 היו מתייצבים לפחות 5 עורכי דין בבית המשפט המחוזי בתל-אביב ומגישים בקשות לתובענה ייצוגית. ב8:30 זה היה מדווח באינטרנט, וב-9:00, כשהמנהלים היו מגיעים למשרד, הם היו קוראים את זה. ב9:05 הם היו מרימים טלפון לאנשים הרלוונטיים אצלם בארגון ושואלים אם הם בסדר בעניין הזה, וב9:30 הם כבר היו בסדר. המנגנון של תובענה ייצוגית, במיוחד כשהוא מלווה בפיצוי, היה משיג אכיפה אפקטיבית.

הוועדה התחילה לדון בהצעות חוק פרטיות שעוסקות בתובענות ייצוגיות כיוון שמשרד המשפטים מתעכב עם התסקיר שלו בעניין.

המועצה להגנת הפרטיות מנסה להציע לאתרים מדיניות פרטיות. להציע מודל מדיניות פרטיות זאת אפשרות אחת. יש גם פתרונות של הסדרה טכנולוגית. מאחר ואנחנו נמצאים בבית המחוקקים, אז נדמה לי שכדאי להתמקד בהגברת הסמכויות של רשמת מאגרי המידע. צריך לעשות רוויזיה כללית ולהעצים אותו מאוד. צריך את האכיפה הפרטית. שני הכלים האלה יעשו שמיים וארץ. ברגע שיהיה תמריץ לגורמים פרטיים, גם אם אלה עורכי דין תאבי בצע, זה ישנה את ההתייחסות של גורמים ציבוריים ופרטיים בנושא של פרטיות בכלל, ובהקשר הספציפי הזה של פרטיות באינטרנט.

השלב הבא של המחקר שלנו ממשיך לבדוק את האתרים המסחריים. אולי אני אבוא לדבר על זה בעוד שנה או שנתיים.

אני אדבר על אבטחת מאגרי מידע ממשלתיים, כשבמקרה שלנו זה המאגר של מרשם האוכלוסין של משרד הפנים. אנחנו יחידת המחשב של משרד הפנים. אנחנו עושים עבור משרד הפנים את כל מה שהם מבקשים בכל הנושא של המחשוב. כל העובדים חתומים על סודיות. עובדים שלנו לא יכולים לגשת למידע. יש נהלים מאוד סדורים בשביל להבטיח את העניין הזה.

העובדים שלכם חותמים על טפסי סודיות?

על ערמה שלמה, כולל ויתור על סודיות מבחינה בריאותית. מי שעובד חייב לחתום.

האם משרד הפנים עשה ביקורת על המסמכים שאתם החתמתם את העובדים?

הם מסרו לנו את המסמכים. זאת דוגמה מאוד סדורה לדרישות המאוד ממוקדות של משרד הפנים כלפי הספק. אני לא אדבר על כל מערכת אביב, שזה ניהול מרשם האוכלוסין, אני אדבר רק על הנישה של שירותי מרשם האוכלוסין. דרך הבג"ץ עלו כל הניואנסים: האם הגישה משוחררת, האם הגישה חופשית.

השירותים שאנחנו נותנים בתחום מרשם האוכלוסין זה העברת מידע או שירותי גישה למידע שמוגדר מראש. זה לא שמישהו יכול להיכנס בשער ולעשות מה שהוא רוצה. המידע מוגדר מראש לאותם גורמים שאושרו לגשת לצורך פעילותם. יש אישור מפורט עבור אותו משתמש למה הוא צריך להגיע. יש לנו בתוך המערכת שליטה ובקרה על האכיפה עצמה. אם גורם מסוים רשאי בתוך משרד מסוים, אז רק הוא ספציפי יכול לקבל את השירותים שהוגדרו מראש.

אין גישה בלתי מוגבלת למרשם האוכלוסין. הגישה היא על פי בקשה מפורטת לשירותים שהוגדרו מראש, בין אם זה אימות, זיהוי וכו'. לא כל משרד שלם יכול להיכנס. יש גם העברת קבצי מאגר מרשם האוכלוסין לגופים מוגדרים או לספקי שירותי צד ג'. משרד המשפטים עומד על כך שהוא רוצה קובץ שלם. השאלה היא אם כל עובד במשרד המשפטים רשאי לגשת ולקבל את כל מרשם האוכלוסין. בצבא הם מקבלים. רשויות מקבלות את המידע. צריך להחליט אם אנחנו נותנים קבצים שלמים, או שאנחנו מחליטים שרק לעובד ספציפי מותר לגשת.

מי אתם שתחליטו?

אנחנו הרשות המבצעת של משרד הפנים.

אתם פועלים על בסיס כלכלי. זה בסיס שמוביל אתכם לניגוד אינטרסים לגבי השאלות השונות. אם אתם אלה שמשפיעים על תהליך קבלת ההחלטות איך תהיה הגישה, זאת אומרת שאתם גם מחליטים שהיא תהיה דרך שאילתות.

במקרה הזה זאת לא גישה עסקית.

האם רשימת המורשים היא רשימה סודית, או שכל אחד יכול לראות אותה?

היא לא הכתובת.

אתה צריך להגיש בקשה לפי חוק חופש המידע למשרד הפנים

הייתה לנו בעיה עם הציטוטים והעובדות בבג"ץ. היה כתוב בבג"ץ שצריך לאסור על המדינה לאפשר גישה ישירה למאגר המידע על פי חוק המרשם על ידי חיבור מחשב משרד הפנים למחשבי נציבות מס הכנסה. אין חיבור ישיר של מחשב משרד הפנים למחשב נציבות מס הכנסה או ביטוח לאומי. הם מקבלים העתק של כל מרשם האוכלוסין.

אנחנו מקבלים נגזרת ממרשם האוכלוסין.

יש עניין של טכנולוגיה ומהות מבחינת שמירת הפרטיות. יש שיטה שבה אדם יושב במס הכנסה, מפעיל את המחשב שלו ויש לו אפשרות לגשת ולבצע שאילתות במאגר המידע שנמצא בחברת HP אצל הגברת אביב. לה יש יכולת לגעת בנתונים, לשנות אותם, לעשות איתם מה שהיא רוצה.

אין לי גישה.

לחברת HP אין גישה למאגר?

אין לה גישה לעדכון הנתונים. סביבת הייצור היא סביבה שלשכות משרד הפנים עובדים בה. זה מרשם האוכלוסין. אנחנו לא יכולים לעדכן נתונים או לגשת לנתונים. הנתונים מבחינתנו זאת קופסא שחורה.

איפה יושבת הקופסא השחורה הזאת?

במשרד הפנים.

מי במשרד הפנים רשאי לעדכן את הנתונים?

הפקיד. אני נותנת להם את השירותים כמו יחידת מחשב. אנחנו לא אחראים על הנתונים. הנתונים הם של משרד הפנים.

את רוצה להגיד לי שלHP אין יכולת גישה לנתונים?

אלא אם יש באג, ואז יש למתכנתים ספציפיים רשות גישה.

אתם מקבלים שכר עבור שאילתות?

יש הסכם. אני לא חושבת שצריך לדון פה על ההסכם של משרד הפנים מול חברת HP.

יש שתי גישות. יש גישה לאדם שנמצא ליד אותה קופסא שחורה שבתוכה נמצאים כל הנתונים, ויש גישה למשרדי ממשלה שיכולים להגיע לשם דרך סידור טכני ולשלוף באמצעותו שאילתות נתונים מאותו מאגר. האם אני מדייק?

כן. יש אפשרות להוציא מתוך המאגר עותק.

ואז יש לנו מאגר מידע נפרד.

אתה לא יודע מי ניגש. יש מערכת שלימה של הגנות בכדי להגן על הפרטיות.

משרד הפנים מחזיק קובץ. נניח לרגע שבא מס הכנסה ואומר שהוא רוצה לקבל העתק. האם על מס הכנסה חלים הוראות אחרות מאשר על משרד הפנים?

אתה יכול לוודא שחל על זה נוהל שלם?

בהחלט. לא אתם קבעתם את הנוהל, אלא הייעוץ המשפטי של ממשלת ישראל קבע מה צריך להיות הנוהל של ההתקשרות בין HP למשרד הפנים, איזה מסמכים יהיו, על מה תחתמו. יש כאן נוהל משפטי שנקבע על ידי הגורמים הממשלתיים.

לא רק נוהל, יש גם מנגנון שלם שמוודא שמי שצריך לגשת ניגש.

מי קבע את הנוהל הזה?

משרד הפנים.

גם משרד הפנים זה לא איזה משהו בחלל ריק. זאת מדיניות הממשלה. האם כשמשרד הפנים מעביר למס הכנסה יש לי סיבה לחשוש שבמס הכנסה יש נוהל אחר שמאפשר לכל אחד גישה?

יש תקנות של העברת מידע. הגוף המקבל צריך להתחייב.

האבחנה הטכנולוגית לגבי איפה יושב החומר לא אמורה להשפיע על הבעיה שבה אנחנו דנים.

אני חולקת על זה. מי הם הגורמים שיש להם גישה למרשם האוכלוסין? יש לנו את משרד הפנים, שהוא הגורם המאשר, יש את לשכות משרד הפנים, ויש לקוחות חיצוניים שניגשים ישירות למרשם. רשת אביב היא רשת שאושרה על ידי הגורמים המוסמכים לאבטחת מידע. היא עברה את כל הדברים האלה בשביל לדעת שאין פריצות. לכל לקוח יש את הרשת שלו. הלקוח מתחבר על ידי קווי בזק, כאשר כל הלקוחות החיצוניים לא נכנסים לשרת עצמו. כל ההגנות מתבצעות על ידי שרתים, שמבצעים בדיקות כך שלא תהיה חדירה ושאף אחד שלא מורשה לא יקבל את הדלתא. יש לנו מחשב שיושב ברקע ומאזין לכל התנועות שמתבצעות ברשת, ושרת אבטחה אחר שמנתח את כל מה שקורה . אותו משתמש עושה את כל העבודה בין השרת של הWEB לבין השרת שנותן לו את השירותים. רק השרת הזה מורשה לגשת למאגר האמיתי של מרשם האוכלוסין, להביא את המידע. המידע הוא להצגה. אף אחד לא נכנס למאגר עצמו.

יש שרת רביעי?

יש. אנחנו בודקים שלא יהיו חדירות או פריצות של גורמים אחרים. יש לנו רשת לקוחות חיצוניים מנותקת מהאינטרנט שאי אפשר להיכנס אליה, ויש את המנגנון של הגבלת גישה. הקשחנו את השרת כך שהוא יכול להגיע רק לנקודות שהכתבנו לו. החשבונות הם פר משתמש, מוגדרים באופן פרטני. השימוש נבדק אחת לכמה זמן. אם אנחנו רואים שאין שינוי שחל, אז יש נוהל שאנחנו מוחקים את הגישה של אותם משתמשים. יש מדיניות של החלפת סיסמאות מאוד קשוחה. השרתים נמצאים תחת פיקוח גוף ממשלתי.

בכדי להגדיר שירות מסויים יש לנו הגדרה של לקוח. לקוח זה אישות שפונה למשרד הפנים. זה יכול להיות צה"ל, משרד ממשלה, חברות ביטוח, בנקים ומשטרה. בתוך לקוח אנחנו מזהים קבוצות. אם ניקח לקוח כמו המשטרה, אז רשב"ג 2000 זה לקוח בתוך המשטרה. מחלקה ספציפית מקבלת שירות מסויים. בתוך כל קבוצה יש רשימה שמית עם כל הפרטים של האדם שיכול לקבל שירות. יש לנו רשימה של כל השירותים שאנחנו נותנים. שירות מגדיר עם איזה input הוא ניגש ומה הנתונים שהוא מקבל כתוצאה מזה. יש לנו שירות כמו אימותים שונים. אם הבנקים ניגשים, הם צריכים לתת תעודת זהות ותאריך לידה מלא. לכל אחד ואחד מגדירים איך עושים אימות ומה התהליך. יש משרדים ממשלתיים שלפי תעודת זהות יכולים לקבל את הפרטים.

הוספת תאריך לידה זה משהו מאוחר מלפני שנתיים שלוש.

אנחנו רואים כל שירות. מישהו בקבוצה ב' לעולם לא יקבל את השירות של קבוצה א'. אנחנו יודעים על כל גישה. אנחנו יכולים לדעת עבור איזה לקוחות פקיד נכנס כדי לקבל שירות.

זה לא מעניין אותנו.

מה, אתה לא רוצה לדעת האם פקיד בנק שמורשה..?

קודם אני צריך להבין למה הבנק מקבל את המידע, מכוח מה הוא מקבל אותו, והאם יש זכות גם לגורמים אחרים לקבל. זה מה שמעניין אותנו.

אני מדברת יותר על האכיפה.

את מתעסקת במשהו שבשבילנו הוא טכני. מתוקף מה הבנקים מקבלים?

הבנקים מקבלים מידע מכוח צו איסור הלבנת הון. יש עכשיו הצעת חוק לתיקון חוק מרשם אוכלוסין, שיעלה את הסמכות ברשות להיכנס למאגרים לדרגה של חוק. זה יאפשר למשרד הפנים לתת גישה לגופים מסויימים.

כאשר חוקקו את חוק הלבנת הון היה צורך לעשות אימותים בין האנשים שפותחים חשבונות, מנהלים פעולות אל מול מרשם האוכלוסין. הנגיד הוציא צו מכוח חוק איסור הלבנת הון. מי פתח את השער של המאגר לבנקים?

הפתח החוקי נעשה דרך הצו.

עשינו פיקוח במערכת מרשם האוכלוסין. כל גוף שמעוניין לקבל נתונים ממרשם האוכלוסין ממלא טופס סטנדרטי של משרד הפנים, שנקרא טופס א', שזאת בקשה לקבל נתונים. במשרד הפנים יש פרוצדורה מסודרת אם לאשר או לא לאשר.

אתה מדבר על גופים ציבוריים.

הבנקים מקבלים כבר 10 שנים, עוד לפני שהיה חוק איסור הלבנת הון. אני לא בוכה על מה שהיה, אני רק רוצה שנלמד מזה מה קורה כשיש כזאת פריצות.

יש זכות לכל אדם שמעוניין לקבל מידע מסויים לפי חוק מרשם אוכלוסין. החידוש בבנקים זה שזה היה בצורה קווית, זאת לא הייתה פנייה פר לקוח.

אני רוצה לשמוע למה זה ניתן לבנקים ולגופים אחרים זה לא ניתן, מה הקריטריונים, מה הבקרות שהם שעושים. למי הייתה הסמכות להגיד שמיכאל איתן לא יקבל ובנק לאומי כן יקבל?

אני חושבת שראו את הבנקים כממלאי תפקיד ציבורי.

איזה עוד גופים שהם לא משרדי ממשלה מקבלים?

חברות ביטוח, מפלגות, סוכני בורסה.

המפלגות מקבלות את זה על גבי תקליטור. העתק של התקליטור הזה ניתן להוריד מהאינטרנט. לא רק זאת, אף הגדילו לעשות והשיגו את מספר הטלפון של כל המופיעים במרשם האוכלוסין ואת מספר כלי הרכב שלהם. כל החפץ יכול להוריד את זה.

נניח שיש מאגר שמפרסם את כל תעודות הזהות של מדינת ישראל, ויש מאגר אחר שבנוי לציבור שיש בו את שמות כלי הרכב, ויש מאגר שלישי שיש בו שמות של כל אוהדי מכבי תל אביב. עכשיו בא אדם ומשלב את הכל יחד. האם הפעולה הזאת חוקית?

זה מאגר לא חוקי.

אם החיפוש יהיה על פי שם, תעודת זהות וכתובת ולא על פי גוש וחלקה, אז לכאורה זה לא חוקי. רוצים להגן על הצד הכלכלי של אדם. אין ספק שמספר הפעמים שהוא יופיע בטאבו כבעלים של איזה גוש וחלקה יתנו איזו שהיא תמונה כלשהי על מצבו הכלכלי. כשיש לך גוש וחלקה, אתה לא יודע דבר על הבעלים, על המשפחה של הבעלים. אם אני ארצה לדעת כמה מגרשים יש למיקי איתן, אז יגידו לי "לא" במקום.

חוקר פרטי ישיג את המידע תוך 5 דקות.

יש חוקרים פרטיים שפועלים על פי חוק, יש כאלה שפועלים שלא על פי חוק. אם הוא משיג את זה שלא על פי חוק, אז צריך לטפל בו. השאלה היא אם מישהו ששומר חוק יכול להגיע למצב שהוא יקבל את כל הבעלויות.

צריך להבחין בין המצוי לרצוי. זה נכון שיש מאגרים שאסור שיהיו פתוחים לעיון הציבור ואנחנו יודעים שבדרכים כאלו או אחרות הם מופצים באינטרנט או חוקרים פרטיים ואנשים אחרים מגיעים אליהם. זה לא הופך את זה לחוקי. סעיף שהוא רלוונטי הוא סעיף 2(9) לחוק הגנת הפרטיות, שקובע שהעברת מידע שלא למטרה שלשמה היא נמסרה זאת עבירה פלילית. ההסדר מחייב אותנו ברישום של מאגר. הרשמת בודקת אם המטרה חוקית או לא. זה נכון שיש חור שלא בהכרח סתום מכל הכיוונים. זאת בעיה שקיימת בכל העולם. אנחנו מתייחסים אחרת לגמרי לבקשות ספציפיות לקבלת מידע ממאגרים פתוחים לבין פתיחה של כל המאגר. רשם האגודות ורשם החברות מקבלים המון בקשות לקנות את כל המאגר, אבל הבקשות נדחות.

בארצות הברית מפרסמים בגלוי כל מיני דברים כמו נדל"ן, הרשעות פליליות.

חלק מזה נובע מכך שהנושא של הגנת הפרטיות לא חל על המגזר הפרטי. אם אני כגוף פרטי אספתי מידע, אז לא חלות עלי החובות שבמדינת ישראל חלות. שם הביקורת הציבורית והאפשרות של הצרכנים להביע את עמדתם הרבה יותר חזקה, כאשר מבחינה חוקית החובות של הגנת הפרטיות חלות אך ורק על הממשל הפדראלי. המגזר הפרטי פטור.

אם המידע הזה ניתן להם, זאת אומרת שהממשל הפדראלי שיחרר את המידע.

המאגר של הרשיונות פתוח לכולם, אלא אם כן אתה אמרת מראש שאתה לא רוצה שהוא יועבר לגופים מסוימים. הגישה האמריקנית שונה. יש להם גישה אחרת בנושא הפרטיות. הלחץ הציבורי שם קיים. הלחץ הציבורי שם לא פחות משמעותי, לפעמים הוא אפילו תורם הרבה יותר מאשר ההסדרים החוקיים.

אם אי אפשר יהיה לאכוף את החוקים, אז יהיו מאגרים נוספים והמידע יהיה בחוץ. אם מי שצריך לגשת ייגש לתוך המאגרים, אז התוצאה תהיה שהמידע לא יזלוג ולא יהיו מאגרי מידע שהם העתקים של מרשם האוכלוסין.

אם לHP יש הסכם שהיא מקבלת שכר תמורת עבודתה, אז ברור שיש לה אינטרס גדול שהמאגר יישאר במקום שהיא מחוברת.

אבל לא היא זאת שקובעת.

ברור שלHP יהיה אינטרס שהכל יבוא ממרכז אחד, לא שייקחו את זה ויעתיקו.

השאלה היא אם המדינה נכנעת או לא. את זה צריך לשאול את המדינה.

אני מכבד את חברת HP, אבל היא לא הכתובת לתת המלצות איך להחזיק, איך לעשות ובאיזו שיטה לעבוד, כי היא גורם מסחרי. מי שהיה צריך להיות פה זה נציג משרד הפנים, לא הגברת אביב.

אתה צריך לראות מה אתה מעדיף, האם להוציא קבצים, או שמא לנהל את זה מרכזית. זה מה שצריך להוביל אותך. ההחלטה צריכה להיות עניינית, לא עסקית.

אני אדבר על מאגרי מידע בסקטור הפרטי. היום בשוק הפרטי ובסקטור הפרטי יש גורמים חזקים בסדר גודל שמתחיל להזכיר ממשלות.

לא חלות עליהם החובות שחלות על הממשלה.

אחת המטרות שלי בתור האגודה לזכויות האזרח היא לשכנע את בתי המשפט שצריך לבלום איפה שיש כוח. יכול להיות שיש מטרה לגיטימית שצריך להעביר מידע, אבל זה צריך להיות לפי חוק. הפרטיות היא זכות יסוד, היא מוגנת בחוק יסוד כבוד האדם וחירותו. פגיעה בזכות יסוד צריכה להיעשות רק על פי חוק, או על פי הסמכה מפורשת. באיגוד הבנקים בעתירה של האגודה לזכויות האזרח טען שהעברת המידע נעשית לצורכי מלחמה בהלבנת ההון ומכוח חוק איסור הלבנת הון. זאת הייתה הטענה. מסתבר שלפני למעלה מ-10 שנים הבנקים מחוברים למחשב משרד הפנים ומקבלים מידע. בשלב מאוחר יותר, אולי אחרי חוק איסור הלבנת הון, חוברו למחשבי משרד הפנים גם מסופי מחשב של חברות ביטוח וגופים פיננסיים אחרים. כל זה ללא היתר בדין. מה שחשוב זה שזה נעשה בלי הנחיות ובלי ביקורות של משרד הפנים לגבי מה עושים עם המידע הזה. אני מאמין שננקטו אמצעי אבטחה. אין ספק שבנקים נוקטים באמצעי אבטחה לגבי מידע בכלל, אבל אני רוצה שהקונטרול יהיה בידי מי שנותן את המידע. איגוד הבנקים טען שכשאזרח ישר נכנס לבנק ומציג את תעודת הזהות שלו, אז ממילא הוא מוותר על הפרטיות שלו, בטח בהקשר של אימות הפרטים, ושזה נעשה רק במקרים מסוימים ומוגדרים. לבסוף נאמר שגם אם יש פגיעה בפרטיות, אז זאת פגיעה קלה של מה בכך ולכן היא לא צריכה עיגון בחוק.

האגודה לזכויות האזרח רואה כמהלך דרמטי העברת נתונים בדרך קבע לגוף פרטי. אם נדרשנו לכך שכן צריכה להיות הסדרה, אז מסתבר שלא כל מה שניתן על ידי איגוד הבנקים זה מה שקורה בשטח. לפני כשנה היה כנס לשכת עורכי הדין באילת, שבו הופיע בנקאי בכיר. הוא תקף את פסק הדין שאנחנו מדברים עליו. הוא אמר שזה קושר את ידי הנושה ומקשה לאתר חייבים. יכול להיות שצריך שיהיה דיון ציבורי שבו נחליט אם אנחנו מוכנים לוותר על הפרטיות שלנו והיכן אנחנו לא מוכנים. היו בנקים שניצלו את המאגר הזה כדי לזמן לקוחות חדשים.

האגודה לזכויות האזרח או שוחרי פרטיות אחרים הם לא נגד הקידמה. אין עמדה אנכרוניסטית שכל פגיעה בפרטיות היא אסורה. אין ספק שיש אינטרסים חיוניים כבדי משקל כמו אכיפת חוק, איסור הלבנת הון. גם חיי המסחר והכלכלה הם אינטרס נכבד שצריכים לדון ולראות. יכול להיות שיש פגיעה מסוימת בפרטיות שאפשר לעשות למענה, אבל צריך להבין שיש פגיעה. צריך לחשוב על נקודת המוצא. אנחנו מתייחסים לתעודת הזהות שלנו כדבר שברור מאליו, אבל זה לא משהו שברור מאליו. המידע הזה מוחזק על ידי המדינה. אי אפשר למסור אותו לגופים פרטיים בלי דיון ציבורי, בלי חקיקה ובלי פיקוח. אני פניתי למר אליישר וביקשתי לדעת לאיזה עוד גורמים פרטיים מרשם האוכלוסין מעביר פרטים. עוד לא קיבלתי תשובה.

פנית לפי חוק חופש המידע?

הם לא עונים.

תעביר לי העתק של הפנייה.

אני מקווה שבהסדרים של העברה בין גופים ציבוריים לבין עצמם או גופים פרטיים שתהיה שקיפות. שקיפות זאת מילת מפתח. זה מידע שלנו שאנחנו רוצים לדעת מה עושים אותו.

אין ספק שהציבור צריך לדעת על העברות מידע דרך קבע ממרשם האוכלוסין או מכל גוף ציבורי אחר. גוף שמקבל דרך קבע מידע מרשות ציבורית צריך לרשום את זה בפנקס מאגרי המידע. בוודאי שבבקשה לפי חוק חופש המידע חובה להשיב לאזרח איזה מידע גוף ציבורי מעביר אחד לשני.

יש בעיה באגירת מידע בסקטור הפרטי. אני רוצה שיהיה פיקוח. האגודה לזכויות האזרח מטפלת במקרים של כל מיני שיטות של איסוף מידע, כמו הוצאת מידע במירמה מאנשים בבתי חולים. אני מתכתב בחודשים האחרונים לגבי חברת כרטיסי אשראי, שיכולה לעשות לגבינו חיתוכים. כרטיס אשראי יכול ללמד המון, שלא לדבר על הצלבות מידע.

אומרים לנו שכל מה שהשוק הפרטי רוצה זה לטובתי. זה לא נכון, משום שיש הרבה סכנות אחרות. אם כל אחד יכול בבית שלו לארגן מאגר מידע בלי פיקוח של רשמת מאגר המידע או הנציבות, אז זה לא ייגמר בזה. אני רוצה שהטכנולוגיה והרצון לייצר רווחים ומקורות חדשים לא יכתיבו את סדר היום הערכי שלנו.

דיברנו על כך שצריכים להסדיר, לעשות רגולציה של העברות המידע בתוך הסקטור הציבורי, קל וחומר לסקטור הפרטי. אני מבקש לא לסמוך על רגולציה עצמית של השוק. הניסיון האמריקני מלמד שהרגולציה הממשלתית יותר יעילה מהרגולציה העצמית של הסקטור פרטי. צריך שיהיה הסבר מפורט כדי שאנשים יבינו במה מדובר. לפעמים צריך להסביר להם את ההשלכות. צריכים להיות הסדרים זמינים וקלים ליישום, כדי שאנשים יוכלו לממש את הזכויות בהרבה יותר קלות מאשר היום. צריך להיות מפקח על פרטיות, כמו הממונה על ההגבלים העסקיים. דיברנו על זה שזה יוצר מגבלות תקציביות. מי שמפיק רווחים ממאגרי מידע, וזה בסדר להפיק לקחים, צריך לגלגל אותם על מי שמפקח. ככל שמאגר המידע גדול יותר ומצריך פיקוח גדול יותר או מעמיד סכנות יותר גדולות..

אני לא חושב שהמדינה תהיה מסוגלת לייצר את כל המקורות שנדרשים כדי לפקח על פרטיות. יש הרבה הצעות חוק פרטיות של חברי כנסת שיורדות מסדר היום בגלל התנגדות של הממשלה. אני מצר על זה. לא מדובר פה בנושא פוליטי. אני מקווה שהפעילות הפרלמנטרית לשם קידום הגנת הפרטיות תזכה לחשיפה מתאימה בתקשורת ועכב כך גם תזכה בתמיכה ובדיון ציבורי.

יש לנו מספר אפשרויות להגיב על הפרת החוק. אחת מהאפשרויות היא לקיחת המאגר, שזה נחשב לסמכות הכתר. סמכות שנייה היא התלייה של המאגרים. מי שלא משלם עד שנה צריך להיות מותלה. הקנסות המנהליים זה חידוש שמשרד המשפטים החליט כדי להקל ולייעל את הענישה באופן שלא נצטרך לעמוד בתור ולחכות לתובעים, לחוקרים, לכתב אישום. נתנו לנו את הקנסות המנהליים.

הסמכות שיש לי כראש יחידת הפיקוח דל ללכת למקום מסוים, לאסוף תלונה על יסוד שמועה ולקחת ממישהו את המאגר זה דבר שגורם לבעל המאגר לעשות 10 פעמים את החובות לפי החוק, רק שיחזירו לו את המאגר שלו. אני את התחושה כמה אדם רגיש וכמה אדם קשור למאגר המידע שלו קיבלתי כל פעם יותר, עד שהבנתי שזה אחד מהחברים הכי סודיים ורגישים. כל חברה עובדת היום עם מאגר מידע. אני מפרסמת בעיתון שחברה ידועה, בעלת מוניטין ושם נמצאה מפרה את הוראות החוק ושהפיקוח לקח את כל מאגריה והקליינטים, אבל לצערי הרב אני לא יכולה ליישם את הסמכות הזאת כי אין מי שיסחוב את מאגרי המידע. אנחנו מדברים על אכיפה אינטנסיבית שתיצור את ההרתעה, את ההטמעה, את המודעות. אני צריכה שעל פי החוק תהיה לי חברת הובלה, שיהיו לי סבלים, שיהיה לי מחסן.

את מדברת על זה שיהיה לך תקציב.

אני מדברת על תקציב לממש את הסמכות שנתן לי המחוקק על מנת לבצע את תפקידי נאמנה. מדובר בתחום שהוא לא בדיוק מהתחומים הרגילים, יעידו על כך עשרות הדיונים שנערכים בכל מיני מעגלים שונים. נותנים לי את הסמכות לקחת את המאגר, שזה אין ספק ההרתעה הגדולה ביותר, אבל לא נותנים לי כלים לקחת אותו. עו"ד יגיד ללקוח שאין לו מה לדאוג, כי לא אני ולא 6 המפקחים שיש לי ביחידה יכולים לקחת את המאגר. בקושי אנחנו יכולים לסחוב 3 ספרים ו4 ניירות. המצב מתסכל בצורה בלתי רגילה. אולי שיושב-ראש הוועדה, שהנושא של הגנת הפרטיות רגיש וחשוב לו, יגיד לי איך אני מקבלת את הכלים כדי לממש מה שהוועדה הזאת ואחר כך כנסת ישראל אישרה ונתנה לי לצורך התפקיד שלי.

פירושה של הסנקציה של התליית המאגר היא שבתקופת ההתליה אין לעשות שום שימוש מכל סוג שהוא במאגר. זאת הסנקציה הראשית לגבי הנושא של האגרות. איך אני יכולה לאכוף אחרי החלטת התלייה שנתתי ל-100 אנשים שלא שילמו את החוב שלהם ולא את האגרה לשנה הנכונה? התכלית הייתה שאני אוכל לשלוט על החלטת ההתליה. אינני יכולה לשלוט אפילו אם תהיה לי יחידה של 30 אנשים. אנחנו מדברים על חוק שאוכפים אותו ברמה ארצית.

עוד סנקציה שמסורה לי בחוק זה הקנסות המנהליים. הסכומים כל כך קטנים שלא ישיגו את המטרה של ההרתעה. אנחנו רוצים לעקור מהשורש, שזאת תמונת המראה של ביטול או מזעור העבירות לפי החוק הזה. יש קנס מינהלי. אם הקנס איננו פוגע קשות במי שהפר את החוק, אז אני שוב פעם נמצאת במצב שיש לי סנקציה.. אנחנו כל הזמן מדברים על זכות היסוד שנובעת מחוק היסוד הכי נאור של מדינת ישראל, שזה חוק יסוד כבוד האדם וחירותו, אבל הצורה שבה אנחנו אוכפים אותו היא על ידי קנס מנהלי. סנקציה נוספת שיש לי היא הגשת כתב אישום.

כנציג של יחידת הפיקוח ברשמת שמחתי לשמוע שצריך להעצים את סמכויות הפיקוח. זאת ההרגשה שלנו. אנחנו רוצים להציג כאן את הבעיות שאנחנו נתקלים בהן באכיפה. אנחנו אותה יחידה שיוצאת לשטח, נפגשת עם האנשים ומנסה לאכוף את החוק.

מדובר רק על חוק הגנת הפרטיות בהתייחס להיבט של מאגרי המידע, לא על חוק הגנת הפרטיות על כל הנורמות שקבועות בו.

יש על זה מחלוקת.

השאלה היא איך לבנות את ההמלצות שלנו: האם לקבוע פונקציה חדשה שמאגרי המידע יהיו חלק ממנה, או להרחיב אותה ולעשות אותה קצת יותר כוללנית.

בסעיף 10 (ג) כתוב כך: "הרשם יפקח על מילוי הוראות חוק זה".

נאמר "חוק זה" במקום "פרק זה".

מי אחראי על הפיקוח של החוק?

שר המשפטים.

בחוק הגנת הפרטיות יש כמה פרקים. את אומרת שנפלה טעות בלשון החוק. בסעיף שציטטה הרשמת נאמר שהרשם יפקח על הוראות חוק זה והתקנות שהותקנו על פיו. את טוענת שזאת הייתה טעות, והיה צריך להיות כתוב שרק הרשם יפקח על הוראות פרק זה והתקנות שהותקנו על פיו. מי מפקח על שאר פרקי החוק אם הפרשנות שלך, רבקי, נכונה?

לא לכל עבירה פלילית יש מפקח באמצעות החוק.

אני אלך למשטרת ישראל ואשאל אותה מתי בפעם האחרונה היא נתנה תדריך לאיזה שהוא שוטר כדי לאכוף חוק כזה, מתי היא פתחה תיק , האם אם היא בכלל מודעת לזה. יש בארץ 100 תחנות משטרה. בכמה תחנות משטרה יגידו שהם כל שבועיים עושים ביקורת, רענון? את עושה ממני צחוק? למה לפרש את החוק בצורה שעושה ממנו צחוק?

סעיפים 8-10 אומרים במפורש מה הן סמכויותיה של הרשמת. כל הסמכויות נוגעות למאגרי מידע. גם לנו יש הרבה שאלות והרבה תהיות לגבי איך החוק נאכף. אם אני אבדוק ואראה את התוצרים של יחידת הרשמת, שהם לא בהכרח תלויים בה, ואני אשאל אם היחידה של הרשמת מצדיקה את עצמה רק לפי התוצרים שלה, אני עלולה להיות בבעיה. הפרשנות הקיימת היא שהיא רשמת מאגרי מידע. יש לה הרבה תפקידים שהיא צריכה לעשות. אם רוצים להפוך את רשמת מאגרי המידע ליחידת..

אנחנו רוצים לצקת תוכן בחוק.

זו שאלה נפרדת. יכול להיות שראוי. אני לא חולקת על זה בכלל. אם השאלה היא מה הסמכויות שיש כיום לרשמת, אז התשובה ברורה.

הperformance של משרד המשפטים בסוגייה הזאת אינו מעורר השתהות.

הבעיה הראשונה היא קנס מנהלי, שהגובה שלו בהתייחס לעצמאים וחברות הוא לא משמעותי ולא מרתיע. אם תלך למשטרה ותצפה שהם יעשו חקירה, אז הם לא יבינו על מה אתה מדבר. הם לא מכירים את החוק ולא עושים כלום. כל האופציה של שימוש בכלי של אכיפה בפאן הפלילי לא קיימת בפועל.

זאת הסיבה שצריך להפריט את האכיפה וללכת לתובענה ייצוגית.

חסרה תשתית כדי לבצע את תפיסת המחשבים והתליית מאגרי המידע. החוק מחייב אבטחת מידע, אבל הוא לא הגדיר מה היא אבטחת מידע. אנחנו לא עושים מספיק פרסום של מקרים כדי שישמשו הרתעה לגופים.

כמה בפועל אכפו? כמה תיקים נפתחו בשנה האחרונה?

נפתחו הרבה מאוד תיקים.

למעלה מ100 תיקים נפתחו בשנת 2004 על עבירות שנוגעות למאגרים ולזעקת החמס של הציבור בנוגע להטרדה הבלתי נפסקת של דואר זבל.

אתם מקבלים תלונות על דואר זבל?

בוודאי.

כמה תלונות קיבלתם?

60.

כמה מתוכן נמצאו מוצדקות?

אנחנו לא רואים דואר זבל כתופעה של פגיעה בפרטיות. זה מטריד, זה ראוי להסדרה, יש תסקיר חוק של משרד התקשורת על סדר יומה של ועדת החוקה, אבל כל עוד הפנייה לאדם היא לא על סמך היותו בעל אפיון מסוים זאת לא פגיעה בפרטיות.

אבל זה ניהול מאגר מידע.

אם זה רק שם, כתובת או דרך התקשרות זה לא מאגר מידע.

אז זאת לא עבירה.

אם מדובר בדיוור ישיר או במאגר מידע כהגדרתו בחוק, אז יש לך סמכות. אם מדובר ברשימה של דרכי התקשרות שאיננה מאגר מידע, אז זה לא בסמכותך.

מה עושה את הדבר הזה בסמכותך?

זה מכניס את מאגר המידע לאמצע הבמה, כי העברות האלו של דיוור ישיר או דיוור באמצעות פקס ודואר אלקטרוני..

על איזה חוק עובר מי ששולח דואר זבל?

אם אתה מקבל כי אתה שייך לקבוצת אפיון מסויימת..

איך בדקת את זה?

זה נבדק בדיעבד. אם אנחנו רואים שאת ההודעה שקיבלת קיבלו עוד גופים ואנשים שידועים בעיסוק ובעניין שלהם, אז ברור שיש כאן פנייה על פי אפיון. נניח מישהו שולח רק לתושבי סביון, הרצליה פיתוח וכפר שמריהו.

נגד כמה מאלה הגשתם כתבי אישום?

מצאנו אחד חי וקיים. 80% מהתלונות היו עליו. בחוק שלנו אין את ההוראה שיש בחוק של פקודת העבודה, שמי שלא משתף פעולה עובר עבירה של שיבוש הליכי משפט. זה חייב להיכנס. זרקו אותנו פעמיים שלוש, עד שבסוף אחרי שכתבתי להם מה המשמעות של ההתנגדות שלהם הם קיבלו את הנייר. פעם ראשונה שיצאה החלטה לסגור את המאגר.

על מה הוא יכול לערער?

על עצם ההחלטה. הוא לא ערער. אני ספרתי את הימים כדי שההחלטה שלי תהיה חלוטה. כשהיא הייתה חלוטה, הלכתי לפרקליטות כדי שיעזרו לי לגרום להחלטה..

מה הם עשו?

הפרקליטות בת"א לא רצתה להיכנס לזה.

אפשר לבדוק את המקרה.

אני מבקש שתעשי בירור ותתני לי תגובה בכתב. המדינה מוציאה כסף על רשמת, מוציאה כסף על המשרד, על עוד 5 עובדים שעובדים, ובסוף כשמגיעים למצב שתופסים בן אדם, אז נתקלים בקיר אטום.

נושא של כוח אדם ביחידת הפיקוח זה נושא שמחייב לקחת צוות יותר מקצועי, עם הכשרות יותר ארוכות ומתאימות. דיברנו על פיקוח משטרתי לאותם מקרי פיקוח בעייתיים. נושא אחרון הוא נושא של גבייה מקצועית, שבהיקף הגבייה של האגרות מחייב טיפול מקצועי.

זה מסוג הישיבות שהן חשובות. אני לא אסכם כאן את הדיון. אני מבקש מאפרת, היועצת המשפטית שלנו, שתעבור על הפרוטוקולים שנמסרו לוועדה, ורק אז נסכם את הדיון הזה ונביא המלצות לאישור ועדת החוקה. משם נלך הלאה על מנת שההמלצות האלו יבואו לידי ביטוי, עד כמה שנוכל להשפיע על הממשלה ליישם אותן.

הישיבה ננעלה בשעה 14:30