פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



35
ועדת החוקה, חוק ומשפט
21/01/2024


מושב שני

פרוטוקול מס' 233
מישיבת ועדת החוקה, חוק ומשפט
יום ראשון, י"א בשבט התשפ"ד (21 בינואר 2024), שעה 12:00


סדר היום:
 << הצח >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022 << הצח >>   


נכחו:
חברי הוועדה: 
שמחה רוטמן – היו"ר


מוזמנים: 
	שירה גרטנברג
	–
	ייעוץ וחקיקה, משרד המשפטים

	עמית יוסוב עמיר
	–
	עו"ד במחלקת ייעוץ וחקיקה, משרד המשפטים

	לירון מאוטנר לוגסי
	–
	עו"ד, משרד המשפטים

	גלעד סממה
	–
	ראש הרשות, הרשות להגנת הפרטיות

	לינא כמאל טרודי
	–
	הממונה על האכיפה המנהלית, הרשות להגנת הפרטיות

	רביד פטל
	–
	הממונה על מערך פיקוח הרוחב, הרשות להגנת הפרטיות

	ניר גרסון
	–
	ס' מנהל מחלקת יעוץ משפטי ואסדרה, הרשות להגנת הפרטיות

	דן אור-חוף
	–
	חבר המועצה, הרשות להגנת הפרטיות

	ראובן אידלמן
	–
	יועמ"ש, הרשות להגנת הפרטיות

	רחל ארידור הרשקוביץ
	–
	חוקרת, המכון הישראלי לדמוקרטיה

	עמית זילברג
	–
	יו"ר העמותה למלחמה בספאם

	שחף קצלניק
	–
	יועץ משפטי, התאחדות התעשיינים

	נועה דיאמונד
	–
	מנחת הקליניקה לפרטיות, אוניברסיטאות ומוסדות אקדמים

	ליאור אתגר
	–
	שותף, ראש מחלקת הגנת הפרטיות 

	דלית בן-ישראל
	–
	שותפה ראש תחום פרטיות 

	איה מרקביץ
	–
	Privacy Director בחברת PrivacyTeam 

	ענר רבינוביץ׳
	–
	מנכ״ל 

	עמרי רחום טוויג
	–
	שותף, מחלקת סייבר וטכנולוגיות מידע

	אייל שגיא
	–
	שותף 




מוזמנים באמצעים דיגיטליים: 
	מירה סלומון
	–
	ראש מינהל משפט וכנסת, מרכז השלטון המקומי




ייעוץ משפטי: 
נעמה מנחמי 

מנהל הוועדה:
איל קופמן

רישום פרלמנטרי:
הדס צנוירט

רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.

 << נושא >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022,  מ/1496 << נושא >>   


 << יור >> היו"ר שמחה רוטמן: << יור >>   

שלום רב, אני מתכבד לפתוח את ישיבת הוועדה. על סדר-היום: הצעת חוק הגנת הפרטיות (תיקון מס' 14). מאחר שזה הדיון הפומבי הראון היום, נזכיר את חלל צה"ל אוריאל אביעד שעל נפילתו שמענו הבוקר. נשלח מפה ניחום למשפחה והחלמה לפצועים. נקווה שזה לבל יהא עלינו הרגל חלילה וחס. אנו צריכים לוודא שזה לא יקרה עוד. 

אני מזכיר, כמו בכל תחילת דיון בתיקון מס' 14 שאנו מנהלים את הדיון בתיקון נס' 14 גם בזמן המלחמה לבקשת המל"ל לאור ההשלכות שיש לתיקון הזה על ביטחון המידע של אזרחי מדינת ישראל והאפשרות להתמודד עם מתקפות הסייבר ואובדן המידע.

אנו נתחיל – אני מזכיר שיש בקשה לדון בסמכויות, אני מודע לה. מהיכרותי את הדנ"א של הדיונים זה לא יהיה יעיל. אני מכיר את האילוצים. כל הזמן נחזור אחורה ונשאל איך יעשו שימוש בסמכויות האלה ונצטרך – לפעמים יש דרך קצרה או ארוכה, ארוכה או קצרה. זה לא דבר שניתן לעשות, בטח בשלב שבו אנו נמצאים. נתאמץ כמה שניתן. מה שיהיה יהיה מה שנקרא. גברתי היועצת המשפטית, תזכירי לנו איפה אנחנו.

 << דובר >> נעמה מנחמי: << דובר >>   

אנו עדיין עם כמה נושאים מההגדרות שנשארו פתוחים. פרט 13 של מידע בעל רגישות מיוחדת – פעם אחרונה הוועדה דנה בפרט הזה, ובין היתר סברה שכן נכון להכניסו בסופו של דבר, ולהקנות לשר המשפטים סמכות באישור ועדת החוקה להוסיף עוד נושאים שייחשבו מידע בעל רגישות מיוחדת. הנוסח המוצע בפני הוועדה - אפשר לחשוב אם אנו עושים את זה כצו, תקנות, תוספת. בדיון הקודם הייתה מחשבה על לעשות זאת כתוספת. למרות הוספת הצו, משרד המשפטים כן מבקש מהוועדה לשקול שוב נושא של הוספת הוראת השעה בנוסף כדי- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה נושא שאותו באמת לא חייבים לעשות היום. נשמור אותו לפעם הבאה.

<< דובר >> נעמה מנחמי: << דובר >>   

בסדר. אותו דבר אתה רוצה לגבי מבחני אישיות מהותיים?

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כן. מנהל מאגר – מבין שעדיין אין תשובה. נתונים אודות מיקום - גם עדיין אין תשובה. 

<< דובר >> נעמה מנחמי: << דובר >>   

דנו בסעיף 8, ביחס לעיבוד מידע שנוצר, התקבל, נצבר וכו' בניגוד להוראות החוק. אני כן רציתי לדייק קצת את הנושא של מהן הוראות החוק בהקשר הזה. יש פה שתי שאלות לגבי הסעיף הזה: אחת, למה הממשלה בחרה כסעיף הגנות, רק את הגנת השוק. אולי נדייק זאת ולא למשל הגנות נוספות שנמצאות בסעיף 18 יחד עם הוראת לא ידע ולא יכול היה לדעת. שאלה נוספת עוסקת בשאלה, מהן הוראות החוק שבגללן המידע הכלול התקבל, נצבר או נאסף בניגוד להוראות החוק. מהן הוראות החוק שאותן עשויים להפר במצב כזה.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

שלום, קודם כל, לשאלה השנייה, הוראות החוק הזה או חוקים אחרים שמסדירים עיבוד מידע הן הוראות מהותיות שקובעות איסור על פעולה מסוימת כאשר המידע נאסף או נצבר או נוצר תוך הפרה שלהם. ההוראות יכולות להיות ההוראות המהותיות של פגיעה בפרטיות לפי סעיף 2 שעליהם חלות ההגנות לפי סעיף 18. יכולות להיות הוראות בפרק ב עצמו למשל סעיף 11 מתן הודאה או סעיף 13, פחות רלוונטי, או סעיף 14, מתן זכות תיקון. יכול להיות הוראות חלק ד' - העברת מידע בין גופים ציבוריים אם נעשתה שלא כדין. יכולות להיות הוראות אחרות – חוק שירות המידע פיננסי, חוק נתוני אשראי שקובעות לדוגמה – יש עוד כל מיני הוראות בספר החוקים שקובעות הוראות בעניין מידע והפרה שלהן, צבירת מאגר ומידע תוך הפרת ההוראות האלה נכנסת לגדר הסעיף כאן.

<< דובר >> נעמה מנחמי: << דובר >>   

השאלה שלי, כמה מסך המאגרים היום נצברים, נאספים או מתקבלים, בשים לב נגיד להוראות סעיף 11 שעליו דיברת לעומת המאגרים שחל רק כאשר יש פנייה לקבלת המידע? וכמה מהמאגרים נאספים, נצברים וכו' בלי שנעשית פנייה היום? האם אנחנו – סליחה על השאלה - לא קצת עובדים על 5% או 10% של מאגרי המידע כשרוב מאגרי המידע בכלל לא נכנסים תחת הדרישות של החוק כי החוק לא מתייחס אליהן?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

קודם כל, אזכיר את המקום שבו אנו נמצאים מבחינת הדיון. בדיון הקודם, למיטב זיכרוני, סוכם נוסח, שכבר נדון בישיבות מוקדמות יותר, תוך שהממשלה התבקשה להוריד את נושא המחזיק, מתוך תפיסה שהוצגה פה על ידי מספר גורמים שיושבים גם אתנו היום, לגבי היחסים בין בעל שליטה במאגר מידע למחזיק בו וחלוקת התפקידים המקובלת ביניהם.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה ברור. אני רוצה לנסות להבין. באיזה סעיף עצרנו בפעם הקודמת?

<< דובר >> נעמה מנחמי: << דובר >>   

11, נדמה לי היה לנו גם 12.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

דיברנו על 11, והתחלנו לדבר על 12. סעיף 11 - דנו בדיון בפעם הקודמת, לגבי איך פונים לפי סעיף 11, מה המטרה שלשמה מבוקש המידע ונחיצותו למטרה וכו'. השאלה שנעמה מתייחסת אליה – דיברנו על זה, אבל המאגרים היום בעצם, רוב המידע שמוחזק בהם, ודיברנו על זה גם בדיון לפני שבועיים, הרבה מאוד מאגרים, לא נעשתה מעולם פנייה לאדם בעניינם לטובת החזקתו במאגר או העיבוד. ואז נשאלת השאלה, כשאנו מדייקים פה את ההגדרה, מה גודל הקבוצה. על מי אנו מתכוונים בפנייה וממילא כשעברנו ממודל, מהדיון הקודם לחובת רישום, עברנו לחובת יידוע או חובות אחרות, והורדנו את חובת הרישום, האם באנו ואמרנו: כל מאגר שלא נעשתה בעניינו פנייה, שזה אולי רוב המאגרים, הם גם לא פנו בעניינם, הם גם לא רשומים בשום מקום, גם לכאורה פעם ראשונה שנידרש בעניינם תהיה השאלה האם המידע שאצלם נאסף, נאסף בניגוד לדין? ואז ממילא מרכז הכובד של החקיקה בגלל השינויים שעשינו בדיון הקודם עובר לסעיף האופרטיבי 8. לכן אמרתי שאני לא רוצה לעבור לסעיפים הנישתיים או העיצומיים כי תמיד נחזור לסעיף 8, ונשאל עצמנו: פעם החזקת מאגר בלי רישום – ידעתי לבוא אליך בטענות. ניסית לרשום מאגר לשיקול דעתו של ראש הרשות, הוא עברייני, אז לא יכולת לרשום והיה נטל, היה עליך להראות שמותר לך לאסוף את המידע. ועכשיו הפוך – הנטל עובר אליכם ואל מחזיקי המאגר אם צריכים לדווח על דברים מסוימים, לשאול מה ההוראות האופרטיביות. עכשיו אני צריך לשאול עצמי, כשאומרים: אסור לעבד מידע אישי אם הוא נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד כל מידע, נשאלת השאלה האם כשאספתי מידע לפי סעיף 2 שאיכשהו צלחתי את ההגנות של סעיף 2, בשנייה שעשיתי זאת, ברטרו, לפני, תוך כדי, אומר לי שמותר לי עכשיו להקים מאגר מידע בלי שום פנייה לנושא המידע? למשל, נניח שעכשיו יש המון מידע אישי ורגיש, שנאסף ונצבר כדין אצל לצורך העניין מפקד כוחות חילוץ והצלה של עוטף עזה. יש לו. ויכול להיות שהוא בן אדם עם חוש היסטורי ועשה יומן ורשם כל בוקר או כל שעה: היום הייתי בבית של משפחת זאת וזאת, ראיתי כך וכך, והיה שם כך וכך ורשם את הדברים לעצמו. לכאורה זה מטרה לגיטימית. המידע נחשף אליו במסגרת תפקידו. הוא לא יגלה אותו כרגע לאף אחד אחר שלא מוסמך לדעת או אולי מותר לו לספר את הדברים – לא יודע אם מותר לו לפרסם אותם ברבים – אך מותר לו לספר אותם לאנשים אחרים. לא יודע. צבר זאת באופן כשר. עכשיו השאלה אם מקים מאגר מידע לטובת ההנצחה של אירועי 7.10 ומעלה את כל המידע שצבר כדין, בהנחה שצבר כדין, צילם ברשות הרבים, יש לו מטרה כשרה, לפי סעיף 2. ועכשיו מעלה אותו למאגר מידע. האם עצם הדיגיטציה של המידע הזה מייצרת לי קפיצת מדרגה, או אם אני צלחתי את סעיף 2 אני בסדר גמור ולא חלות עליי מלבד חובות אבטחת מידע לא צריך לפנות לאנשים, לא צריך לבקש רשות ויכול לייצר מאגר מידע על כל משפחות עוטף עזה, שיישב אצלי? קראתי בשבת על מישהו שבנה מאגר על הנופלים והחטופים כנושא שמעניין אותו, אסף את המידע ממקורות גלויים, מידע שפורסם ברבים, ועכשיו אני יכול להכניס שם ולדעת פחות או יותר בדיוק מה קרה לו או לה בעוטף. האם זה בסדר? האם זה לגיטימי? האם צריך הגנה? לא יודע.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

התשובה הקראה היא כן אך אפרט מן הסתם. הסעיף הזה לא נועד ליצור איסורים חדשים יש מאין, כלומר אנו לא מבקשים פה במסגרת התיקון הזה, שלא נועד לשנות את דיני עיבוד המידע בכללותם בחוק הישראלי, לא מבקשים פה עכשיו לקבוע איסורים שלא קיימים בדין כיום לגבי פעולות ספציפיות שנוגעות לעיבוד מידע אך הן ספציפיות ומוגדרות בחוק במפורט. כלומר אם יש פעולה ספציפית שאוסרת על דרך של איסוף, ייצור, צבירת מידע, היא רלוונטית לעניין הסעיף הזה. אם אין שום פעולה כזו - לגבי גופים פרטיים; גופים ציבוריים צריכים לפעול מכוח סמכות, יש חוקיות המינהל אבל לגבי גופים פרטיים מה שלא נאסר מותר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

נקודה חשובה. אתה אומר חוקיות המינהל אבל אם היא הספיקה לי כדי לצלוח את סעיף 2, אני לא צריך עוד הסמכה כדי להקים מאגר מידע?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

גופים ציבוריים זה יותר מסובך.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

למה?

<< דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

לפי החוק הזה התשובה היא כן. יש גם השלב החוקתי.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אתה לא יכול לומר לי את זה, כי המבחן החוקתי לצורך העניין הוא סעיף 2. אם אני צלחתי את הפגיעה בפרטיות לפי סעיף 2, העובדה שאני מקים מאגר מידע ומעביר את היומן בכתב יד שלי ליומן ממוחשב, לא מגדיל את הפגיעה החוקתית, או שכן, ואם כן, איפה הסעיף שאומר את זה?

 << אורח >> ניר גרסון: << אורח >>   

במאגרים של גופים פרטיים יש עוד שכבה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

איפה היא כתובה?

<< אורח >> ניר גרסון: << אורח >>   

בחוקי היסוד. לפי חוק הגנת הפרטיות עצמו אתה עובר את המסוכה של סעיף 2 אם אתה לא מפר אחת מהחלופות שלו אבל על גופים ציבוריים יש עוד מסוכה שבפרוזדור- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

איפה היא כתובה?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

בחוק היסוד. סיף 7 בצירוף סעיף 8 לחוק כבוד האדם וחירותו.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

באמת? בחוק היסוד? סעיף 7 ו-8 לחוק היסוד אומר שכשאדם פרטי עושה דיגיטציה של מידע שהיה אצלו בכתב יד זה פגיעה בפרטיות, אבל כשרשות שלטונית עושה שימוחש, יש פגיעה בפרטיות או אין פגיעה בפרטיות? אני מאוד בעד פרשנות מרחיבה לחוקי היסוד אבל לא מצליח להבין איך הכנסת את זה. אני חייב לומר, כשרשות שלטונית אומרת לי שהיא לוקחת ברצינות חוק יסוד, אני כבר מבסוט כי יש רשויות ששוכחות לפעמים לעשות זאת. זרמנו. יש חשיבות לחוקי יסוד. איפה זה כתוב?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

ברשותך אשיב קודם לשאלה הקונקרטית לסעיף 8א שבפנינו. בסופו של דבר התשובה החד משמעית היא שהסעיף הזה לא יוצר ולא נועד ליצור שום איסור עצמאי עודף על משהו שלא נאסר בחוק אחר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

קיבלתי את התשובה הזאת. בהקשר לזה שתי שאלות: אחת, אם זה המצב, איפה הקולב שעליו אתם תולים את האקסטרה לייר הזה של הרשות הציבורית? אם אנו בעולם של או יש פגיעה בפרטיות או אין לא, והמבחן לפגיעה בפרטיות הוא לא בסעיף 2 כי את 2 צלחתי – איפה כן נמצא? ושאלה שנייה, איפה נכנס לאירוע הזה עיקרון צמידות המטרה? כלומר יכול להיות מצב שמסרתי מידע למטרה מסוימת אבל אם היית מודיע לי שאתה עושה ממנו מאגר מידע שכל אחד יוכל לעשות עליו חיפוש בגוגל, הייתי אומר לך: זה לא המטרה שלשמה נמסר. כלומר האם זה לא דבר שיכול לייצר לי - או צמידות המטרה או הסכמה או יש תפיסה שהם עצמם מייצרים לי קאט?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

עיקרון צמידות המטרה מופיע בחוק היום. אין כוונה לשנותו. יש התאמה למאגרי מידע שאמורה להיות בסעיף 10ב. ביקשנו לדלג בגלל סוגיה אכיפתית כלשהי. כמובן נביא לוועדה נוסח מסודר ומוצע מטעמנו. לצורך העניין התשובה הקצרה היא שעיקרון תקינות המטרה ודאי אמור לחול. פשוט לא 8א אלא סעיף אחר, 10ב.

<< דובר >> ראובן אידלמן: << דובר >>   

גם סעיף 2(9) לחוק הגנת הפרטיות. מי שעושה מה שאדוני תיאר הוא סעיף 2(9) לחוק הגנת הפרטיות ולכן לא צולח סעיף 2.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כלומר אתה אומר: אם לקחתי את המידע ונתנו לי אותו למטרה אחת ואני החלטתי לעשות לו מאגר מידע לטובת תיעוד האירוע, אז אני לא צולח את 2(9).

<< דובר >> ראובן אידלמן: << דובר >>   

חד משמעית זו הפרה של הסעיף הזה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כי לשיטתכם מאגר מידע הוא מטרה בפני עצמה.

<< דובר >> ראובן אידלמן: << דובר >>   

לא. אדוני תיאר קודם מצב שאני מפרסם בלי שמי שמסר לי את המידע יודע שאני מפרסם.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אף אחד לא מסר לי את המידע. אספתי אותו. 


 << אורח >> עמית יוסוב עמיר: << אורח >>   

אם בגלל צמידות המטרה- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אז אין עליית מדרגה מהקמת מאגר. למה לרשות ציבורית יש, כפי שהוא אמר?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

זו לא המצאה שאנו ממציאים פה עכשיו.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לא טענתי זאת. איך אני יוצא ראש? אני ראש רשות ציבורית.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

צריך לומר שרשות ציבורית – אנו צריכים להצדיק את פרנסתנו כיועצים משפטיים. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כולנו.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

הפגיעה בזכות החוקתית לפרטיות היא יותר רחבה במובנים מסוימים מההגנה החוקית בחוק הגנת הפרטיות עצמו שהוא די כזואיסטי. סעיף 2 מסדיר- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אתה לא חושב שצריך דבר כזה צריך לפרוט פה? כי כשאני אומר: אני רוצה רשות ציבורית ורוצה מאגר – אני עירייה, ואני רוצה להקים מאגר. אתה תגיד לי שאינך נותן לי לרשום אותו כי אתה חושב שאני פוגע בפרטיות יותר מדי לפי מבחן אחר. אני אומר לך: אם הייתי חברה פרטית, היה מותר לי לעשות זאת כי אני מכוסה לפי סעיף 2 על כל סייגיו והגדרותיו אבל בגלל שאני רשות ציבורית אתה אומר לי שאני כן פוגע בפרטיות שאני מאגר אבל אם אני עושה את זה במחברת הקטנה של הפקיד בכניסה לשעה - לא פוגע בפרטיות? מאיפה אני שואב את כל הדברים האלה?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

שוב, העיקרון הבסיסי הוא חוקיות המינהל. כלומר המצב המשפטי של גוף פרטי ושל גוף ציבורי הוא הפוך. גוף פרטי מותר לו לעשות כל מה שלא נאסר עליו במפורש. גוף ציבורי אסור לו לעשות כל מה שלא הוסמך עליו.

<< דובר >> ראובן אידלמן: << דובר >>   

חובת מידתיות. זה ההבדל.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מאגר מידע זה מידתיות?

<< דובר >> ראובן אידלמן: << דובר >>   

איסוף מידע, פגיעה בפרטיות יכולה להיות כזו שאינה מידתית. לכן רשות ציבורית שפוגעת בפרטיות לרבות בדרך איסוף מידע שאינו מידתי, כן זה הדלתא בין החוק לחוק היסוד כי כידוע כל הרשויות הציבוריות כפופות לחובת המידתיות ולחוק היסוד. כך גם לפי הפסיקה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה שלפי הפסיקה כל פגיעה בפרטיות של רשות ציבורית חייבת להיות מידתית זה ברור. זה נכון גם לגבי סעיף 2. אני שואל, איפה האמירה שבשנייה – אני אספר בצורה פשוטה.

<< דובר >> ראובן אידלמן: << דובר >>   

עצם ההעברה למאגר לא בהכרח- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל אני שם את השסתום על רשות ציבורית בעצם ההעברה למאגר. אז שואל את עצמי, מתי את הפנקס של הפקיד תאשרו להקים מאגר מידע ולהעבירו דיגיטציה ומתי לא, ושואל מאיפה תדעו להפעיל את המבחנים מתי זה נותן אקסטרה ומתי לא, והתשובה: תקרא סעיף 7, 8 לחוק ותבין ואני קורא ולא מבין.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

לא. אנו מדברים על הסמכות - לא להקים מאגר מידע. נכון שיש בכל מיני מקומות בספר החוקים סמכות להקים מאגר מידע. לא בכך מדובר. הסמכות היא מה שנתן המחוקק לאותו עניין. אם המחוקק נתן סמכות לאיסוף מידע, אפשר גם להקים כנראה את מאגר המידע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כל מקום שיש סמכות לרשות להקים מאגר?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

לא. זה עניין של הסמכות הספציפית שניתנה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

בבקשה.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

תודה. אני רוצה להמשיך את הדברים של אדוני ולהפנות זרקור לא רק לרשויות ציבוריות אלא גם לחברות פרטיות. סעיף 8א מדיר שינה מעיניי, כי אני חושבת שהבעיות שיגרום - הן גדולות מאוד, ולא חייבים להיכנס אליהן. אסביר. 

הסעיף אומר, שכאמור לא יעבד מידע אלא אם כן זה לא לפי חוק זה. אני רוצה לחשוב על מצבים ויש כאלה רבים שבהם נאסף ומעובד מידע וזה לא נופך לגדר סעיף 2 כי אספתי את זה לא ישירות מנושא המידע. עשיתי סקרייפינג מאתר אינטרנט כלשהו, אני לוקחת את המידע, ולא עושה בילוש או התחקות, ולא הודעתי על מטרה אבל הגדרתי אותה לכתחילה בצורה מאוד רחבה שזה עושים היום ואיני יודעת לפי הסעף הזה מה מותר ומה אסור לפי החוק. כל מה שאני יודעה, שהחוק נותן לרשם סמכויות להפרות. החוק דורש ממני לעמוד באבטחת המידע, דורש ממני לתת חובת הודעה - ואיני צריכה לתת אותה כרגע. דורש רישום או דיווח אם אני נופלת לזה. ובגדול יש לי גם זכות תיעוד או זכות תיקון וזהו. ואז יבוא הרשם, ויחליט שמה שעשיתי לא יודעת למה, כי הוא מפרש בהרחבה את החוק – יש פה סמכות מאוד מעורפלת, והוא יגיד לי שזו הפרה למשל אם אני עמותה, לפי מה שיש בפייסבוק על מי שמתנדב לעשות קטיף בחקלאות גיבשתי מאגר מידע של אנשים שמתנדבים. לקחתי את מאגר המידע הזה, והצלחתי לעשות בו שם וטלפון וכתובת אימייל ומקום מגורים או מקום שהתנדבו בו, איגדתי, ועכשיו אני רוצה לעשות בו שימוש, למשל מוכרת אותו לעמותה אחרת שפונה לקבלת תרומות לתושבי העוטף. אין לי פה בילוש או התחקות, אני עומדת במטרה לא צריכה לתת הודעה. לכאורה הכול מותר, אם אני מבינה. אני לא עושה שום דבר מנוגד לחוק. 

יש לזה כמה משמעויות. אחת, שהגנת הפרטיות די נמוכה כי הכול מותר כי לא כתוב לי שזה אסור. שתיים, שיש לי סמכות של ראש הרשות או של הרשות שאני לא יודעת לשם מה מפעיל אותה מעבר לתקנות אבטחת מידע, דיווח או רישום וחובת הודעה וזכויות תיקון ועיון. אז המשמעות של הסעיף הזה יוצרת יותר חוסר מאשר יתרון, מבחינת הגנת הפרטיות. יש פה יותר ערפול מאשר תוכן. וכל עוד לא שמים בסיסים לגיטימיים וזכויות מהותיות, שלפיהם אפשר לדעת גם בשוק הפרטי מה מותר ומה אסור, איני רואה סיבה, להכניס את הסעיף הזה. אם התכנסנו פה לבקשת המל"ל כדי לתת אפשרות להילחם בכל מתקפות הסייבר, נוריד את הסעיף הזה או ניתן לו תחולה מותנית עד שתכניסו בסיסים לגיטימיים וזכויות מהותיות, ונמשיך הלאה עם סעיפי האכיפה המינהלית. כי פה ניתנת סמכות אכיפה מינהלית, ואם אני ממשיכה את השאלה השנייה של היועצת המשפטית לממשלה לגבי ההגנות, יש לי פה מצב שיש לי אכיפה מינהלית, שלא יהיו לי אותם – אם אני לא נופלת ל-2, לא יהיו לי אותן הגנות שיש לי ב-18. יהיו לי פחות הגנות. עדיף במקום את המצב המאוד בעייתי הזה לשים בצד ולומר: כל עוד אין לנו בסיסים לגיטימיים וזכויות מהותיות, אנו מוותרים. 

<< אורח >> ניר גרסון: << אורח >>   

לא הצלחתי להבין אם ד"ר ארידור חוששת שהסמכות הזו רחבה מדי או צרה מדי. היא אמורה להיות מופעלת במנגנון דו שלבי. הרשם זה לא מעורפל. רק במקרה שיש הוראת חוק שעוצרת פעולה, ראש הרשות, הרשות הורה- - -

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

אני חוששת משני דברים: שהכול מותר, ומתי - - - 

<< אורח >> ניר גרסון: << אורח >>   

לא הכול מותר.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

אנחנו בשנת 24'. יש הרבה עבירות שלא נצפו בשנת 81' כשסעיף 2 נוסח.

<< אורח >> ניר גרסון: << אורח >>   

אז המסקנה שלך לוותר על הכול?

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

להפך – שתכניסו בסיסים לגיטימיים וזכויות מהותיות או שתוותרו על זה כרגע עד שתכניסו בסיסים לגיטימיים וזכויות מהותיות.


 << אורח >> ניר גרסון: << אורח >>   

לא נוכל אפילו לומר לבעל מאגר שמפר את חוק ידע גנטי, נגיד. בעל מאגר שמפר חוק מידע גנטי- -

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

אז תכניסו סעיף הפרה ספציפי של- -

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אני חושב שצריך התייחסות מתודולוגית לתשובה. קצת קשה להבין את ההערה על כל היבטיה. אבל יש לנו פה סעיף שהיה קשור לעניין הרישום ועכשיו מנותק ממנו. המטרה היא לא להעניק סמכויות לרשם אלא להפחית מסמכויות ראש הרשות המקרה הזה. כלומר מקום שעד היום פשוט לא היה רושם את המאגר והיה חל איסור להפעילו, היום בעקבות צמצום חובת הרישום, לא תהיה סמכות כזו. לא ניתנת אף סמכות להחליט על משהו פתאום שאינו חוקי או כן חוקי. יש פה מבחן מאוד ברור. אם יש הוראת חוק אחרת, ספציפית, שמפרים אותה, הסעיף הזה חל. אם אין הוראת חוק אחרת שחלה, אין שום סמכות.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

מצוין. זה רק אומר שזה לא הגנת פרטיות. זה אולי הרשות לאבטחת מידע כרגע אבל כל השאר זה משחק בנדמה לי.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אנו לא מציעים כרגע בתיקון הזה של חוק הגנת הפרטיות, בניגוד לתיקון הבא שדיברנו רבות על הכנתו ועל הצורך בו ואיננו חולקים עליו. אנו מודעים לפער בעניין הזה אבל בסוף יש מטרה לחוק. אחת המטרות לחוק מלבד המטרה החשובה והמרכזית של חיזוק סמכויות האכיפה לרבות אולי בעיקר בהקשר של אבטחת מידע, היא צמצום הנטל הרגולטורי והפחתה משמעותית מאוד של חובת הרישום. הפחתת חובת הרישום מביאה לכך שאותו סעיף שאמרת שהרשם לא ירשום מאגר אם המידע בו נאסף או נצבר באופן לא חוקי, היא צריכה להפוך לחובה עצמאית.

<< דובר >> נעמה מנחמי: << דובר >>   

אבל אתה מחיל את ההוראה הזאת מ-0. קודם חובת הרישום הייתה מ-10,000.


 << דובר >> ראובן אידלמן: << דובר >>   

חובת הרישום הייתה על כל מאגר שיש בו מידע רגיש. הגדרה של מידע רגיש היא כמעט צמודה להגדרה של מידע רגיל. חובת הרישום במצב הקיים חלה על כל מאגר ידע כמעט. אין שום אפשרות לצמצם את חובת הרישום באופן שבו הוועדה רוצה, בלי להשאיר את הסעיף הזה כהוראה נורמטיבית. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

שנייה. אני לא אומר להוריד את הסעיף הזה. אני כן אומר, שאני חייב להבין. אם העמדה היא שלצורך החזקת מידע על אודותיי נדרשת הסמכה – שיהיה כתוב. אם העמדה היא שלצורך החזקת מידע על אודותיי נדרש קבלת המידע בצמוד למטרה שלשמה נמסר - שזה יהיה כתוב. לא על דרך ההפניה, לא על דרך הוראות חוק זה. אם מותר להחזיק מידע בלי הסכמה אודותיי, שזה המצב כרגע, ומותר להחזיק מידע על אודותיי אולי – איני יודע – בלי צמידות מטרה או עם צמידות מטרה, אבל המטרה לפעמים היא אמורפית, ויכול להיות שלעניין דבר מסוים זה ייחשב צמוד מטרה ולעניין אחר לא – אני בבעיה.

<< דובר >> ראובן אידלמן: << דובר >>   

זה מעוגן בסעיף 2(9), ואם יש הסמכה בחוק, אין צורך. זה או בהסכמה או בהסמכה בחוק.

<< דובר >> נעמה מנחמי: << דובר >>   

בעצם אתה אומר שהיום אפשר לאסוף מידע או בהסכמה- - -

 << אורח >> עמית יוסוב עמיר: << אורח >>   

לא.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

הוא אמר את זה.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אין אמירה כזאת.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אשמח לשמוע את ראובן. אני ניסיתי להבין.

<< דובר >> ראובן אידלמן: << דובר >>   

בהתאם למצב המשפטי היום, ככלל, כשיש פגיעה בפרטיות, לפי חוק הגנת הפרטיות, נדרשת הסכמה, לפי סעיף 2. כשאין פגיעה בפרטיות, לא נדרש דבר. כשיש פגיעה בפרטיות, במרבית המצבים ייכללו בפגיעה בפרטיות.  נדרשת הסמכה. לחלופין אם יש הסמכה בחוק לעשות זאת, לא נדרש.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני שואל, גוף פרטי, שאוסף מידע, ולא קיבל הסכמה, ולא עובד מכוח סמכות בחוק, כי הוא גוף פרטי, אין לו הסמכה בחוק, האם הוא- -

 << אורח >> עמית יוסוב עמיר: << אורח >>   

השאלה אם פגע בפרטיות לפי סעיף 2 או לא. אנו לא יוצרים פה הסדר כולל חדש יש מאין על עיבוד מידע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אנחנו עושים ככה.

<< דובר >> נעמה מנחמי: << דובר >>   

סעיף 2 הוא מאוד מצומצם שאני מניחה שגם פורש בצמצום-  -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

רוצה להבין מה מותר לי ומה לא.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

מה שמותר לך לעשות הוא כל מה שלא נאסר בסעיף 2 או בחיקוק ספציפי אחר.

<< דובר >> נעמה מנחמי: << דובר >>   

כלומר מותר לי לאסוף מידע כל עוד לא הגעתי לרף של בילוש שמטריד בן אדם.

<< דובר >> ראובן אידלמן: << דובר >>   

כל עוד אף אחד מהחלופות- - 

<< דובר >> נעמה מנחמי: << דובר >>   

שהיא מאוד מצומצמת, מותר לי לאסוף מידע, למכור אותו, ואני יכולה לשים עכשיו בפתח הבית שלי מצלמה ביומטרית ולמכור את המידע הביומטרי הזה?

<< דובר >> ראובן אידלמן: << דובר >>   

אני לא בטוח שסיטואציות כאלה לא פוגעות בפרטיות לפי סעיף 2. 

<< דובר >> נעמה מנחמי: << דובר >>   

למה?

 << דובר >> ראובן אידלמן: << דובר >>   

אבל אם אין פגיעה בפרטיות, אפשר. אפשר להתחיל לנתח את המצבים האלה אחד לאחד ולהסביר למה בחלקם יש פגיעה. אם תרצו, אפשר לעשות את זה. לגמרי, זה נכון. אם אין פגיעה בפרטיות לפי סעיף 2. אנו עושים את זה ביום-יום.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

הבעיה היחידה – אתה צודק שאפשר לנתח את המצבים האלה עד דק. הבעיה הגדולה היא שעד כה השאלות האלה נשאלו על ידכם בשלב הרישום. עכשיו השאלות האלה יעלו ברמת העיצומים הכספיים.

 << דובר >> ראובן אידלמן: << דובר >>   

לא ישירות.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני מחוקק חוק, וקיבלתי פנייה מהקהל אנונימי – אגב, אני רוצה לברך את ראש הרשות להגנת הפרטיות גלעד סממה ובכלל את מדינת ישראל שקיבלנו- - - לתקופה הקרובה לפחות, אני מקווה.

 << אורח >> גלעד סממה: << אורח >>   

אפילו כתבתי דברים כדי שיהיו ברורים, כי ממש לא השלמנו את המשימה. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

רוצה לחכות עם זה לחלק השני?

 << אורח >> גלעד סממה: << אורח >>   

כן. אומר רק בשורה – אנו לא יכולים עדיין לנוח על- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לא מכיר את הביטוי לנוח על זרי הדפנה או לנוח בכלל. מי שקרא את הדוח מבין בדיוק- - -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

למה מה שאנו עושים עכשיו חשוב. אתן לך אחר כך. 

ראובן, אני עכשיו לוקח, כפי שדיברנו בדיונים הקודמים, את המצלמה שמצלמת את המרחב הציבורי ומשדרת לייב מהכותל ושם עליה אלגוריתם. המידע פורסם לרבים ואני אוסף מידע מסודר ביומטרי על כל מבקרי הכותל, כמה מיליונים בשנה. המאגר הזה מכיל מידע רגיש, בעל רגישות מיוחדת, על הרבה מאוד אנשים. מפעיל עליו כל מיני איגודים, על בסיס זה מוכר להם כל מיני דברים, מעביר אותו הלאה, מוכר אותו הלאה וכל זה בלי שאף אחד מנושאי המידע אי פעם נתן לי את הסמכתו ולכן אין הסמכה, או ידע שאני מחזיק את המאגר הזה עליו. שאלה לגבי המטרה, והשאלה לגבי המטרה או שאלה לגבי ההסכמה שלא בדיוק זהות אבל יכולות להיות, עלול בסופו של דבר לבוא אליי גלעד ולומר לי: אתה מפר את סעיף 2, בגלל שהמטרה שלשמה נמסר המידע, זה לא כדי שיעשו עליו מאגר ביומטרי. זה שאדם הלך ברחוב ומסר תמונתו לרשות הרבים – לא התכוון שיצלמו אותו. או אפשרות אחרת – שיגיד: ההסכמה שמתבטאת בזה שאדם נכנס לכותל ויירשם שם: דע לך שהכותל מצולם לייב כדי שכולם ירגישו טוב שהם רואים את הכותל 24 שעות ביממה ההסכמה שלו בכניסה לכותל אינה מספיקה לטובת השימוש שאתה עושה. שתי האפשרויות קיימות. השאלה היא האם המקום הנכון לבחון את השאלה הזו על ההסמכה והמטרה היא אגב העיצום הכספי השמן?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אנו לא בעיצום הכספי.

 << דובר >> ראובן אידלמן: << דובר >>   

יש פה הוראה דו שלבית. אין פה עיצום כספי ישיר. יש פה קודם כל מודיעין שיש הפרה, ואז בעל המאגר יכול לטעון את כל הטענות שאדוני אמר עכשיו ולהסביר למה אין הפרה של סעיף 2. זה בסדר גמור. לא מוטל עליו עדיין עיצום כספי, רק אם בסופו של דבר ראש הרשות לא השתכנע, אתה עדיין מפר את החוק והוא ממשיך להפר את ההוראה של הרשות להפסיק את ההפרה הזאת רק בשלב השני אפשר להטיל עליו עיצום כספי. בדיוק בגלל מה שאדוני אמר, נבנה פה עיצום כספי דו שלבי כדי שכל הטענות האלה, וכולן ראויות להתברר, יוכלו להתברר בשלב שלפני העיצום הכספי. זה המענה שלנו לעניין הזה, על דעת המחלקה הפלילית בייעוץ וחקיקה האמונה על נושא העיצומים הכספיים. כל הנושאים האלה צריכים להתברר כפי שאדוני אמר, וכפי שאדוני אמר קודם לכן, זה העברה גיאוגרפית מהרישום, שלב הפרה רולינג לכך שהשוק מתנהל לפי החוק ואם אנו מגלים שיש יסוד להפרת החוק ואנו קובעים שיש פה הפרה כל הטענות האלה עולות אבל לא בפרה רולינג בשלב הרישום.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל ההפרה במקרה הזה היא לא של תקנות אבטחת מידע שבזה אתם מוקד הידע והגוף שהייתי רוצה שיהיה אחראי. היא לא ההפרה של מסירה לאחר עם מסירת המסמכים הנכונים ועיבוד מותר או אסור או התממה וכל הנושאים האלה אלא בשאלת פרשנות הפסיכולוגית של מושג ההסמכה. שם אני יותר בבעיה. כי שם- -

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אנו לא משנים בכלום- - -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אחרים יגידו שאתם משנים. לא אני.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

בסוף יש הסדר היום שקיים מזה עשרות שנים.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

שלא עובד.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

עובד.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כן? כמה אחוז ממאגרי המידע הקיימים במדינת ישראל רשומים אצלך?

 << דובר >> נעמה מנחמי: << דובר >>   

אם אין רישום כי רק 3% או 4% נרשמים, אני לא בטוחה שאפשר לומר שזה עובד.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

לא בענייני אכיפה כרגע. אנו מדברים על הדין המהותי. השאלה בסוף האם המידע נצבר או נאסף או נצבר שלא כדין, אנו לא ממציאים אותה פה עכשיו. בסופו של דבר באותם מקרים שהם הרבה פחות ממה שהיום חובת הרישום, שהרשם יגיד למישהו: אני תופס אותך כמפר – בוא טען את טענותיך, הרי גם כמה שחובת הרישום היום נאכפת או לא, בטוח היא יותר רחבה מפעולות פיקוח ספציפיות של הרשות. אנו לא פה משנים את המצב הקיים. 

בגלל ההערות הנכונות מאוד שנשמעות מצד המכון הישראלי לדמוקרטיה ואחרים, חשוב לומר. לא באה הממשלה לפה בתפיסה זחוחה שאומרת: כל דיני עיבוד המידע טובים, נמשיך ונתקדם כך עוד עשרות שנים. ישבנו פה בדיון פתיחה, הצגנו את מה שמוכר לאדוני, תיקון 14, לצידו תיקון 15 מתוך התפיסה שצריך לשנות את דיני עיבוד המידע בכללותם ולאפשר עוד בסיסי עיבוד מידע ולצידם לקבוע את הכלל הגדול שאומר: אם אין לך בסיסי חוקי לעיבוד מידע, אתה לא מעבד את המידע. מטבע הדברים אי אפשר לקבוע את הכלל האחד מבלי לקבוע את הכלל האחר. לכן פה חשוב לנו לומר – במקרה זה אנו לא משנים לא את הדין ולא את מצבו המשפטי של תאגיד או גוף כזה או אחר שהוא מראש היה - אם פעל כדין והרשם שהיום הופך להיות ראש הרשות לא אמר לו אחרת – הכול בסדר. אם הרשם, היום הופך להיות ראש הרשות, אמר לו: לדעתי אתה אוסף את המידע למאגר מידע שלך שלא כדין, ואז במצב המשפטי כמו שהוא היום אומר: אני לא רושם את מאגר המידע שלך, המצב החדש אומר: אני מורה לך להפסיק את ההפרה, מתחילה הידיינות בדיוק באותם סעיפים, באותן עילות, שעומדות אותן הגנות לפי החלקים השונים בחוק הגנת הפרטיות. אנו לא משנים את הנושא הזה. אנו לא אומרים שלא נדרש בו שינוי. נדרש בו שינוי. הוא שינוי יסודי, מהותי, וצריך תיקון לחקיקה הגדול שיסדיר את בסיסי עיבוד המידע והתכליות התואמות, ולצידם את כל הזכויות החשובות והמהותיות שמוקנות לנושאי המידע ואת כל חובות האחריות על מעבדי המידע, וזאת חבילה גדולה ומכובדת של הוראות חקיקה שיצטרכו להידון כמקשה אחת. אנו כרגע לא מציעים לשנות זאת.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

בבקשה.

 << אורח >> איה מרקביץ: << אורח >>   

נכון שההצעה הנוכחית לא משנה מלשון החוק. הבעיה היא שאומנם העיצום הכספי לא נהיה צמוד לקביעת- - - אבל קורה צעד אחד אחר כך. ניתנת הוראה, התרה מינהלית, כל צעד אחר שנקבע בתיקון 14, בסופו של דבר נגיע למצב שהרשות מסתכלת על פעילות עיבוד מסוימת, לא כפופה לסעיף 2 כי לא נופלת בתוך 11 מקרים של פגיעה בפרטיות, אין חובה לבקש הסכמה, אין בסיס חוקי אחר שקיים בחוק ועכשיו הרשות נדרשת לפרש האם הפעילות היא מפרה או לא. אולי הרשות תגיד: יש פה הפרה של עיקרון צמידות המטרה כי אנו רואים פה מידע למשל בדוגמה של היושב-ראש, שחייל בעזה אסף מידע לשימושו הפרטי, ואחרי זה אמר: אני רוצה להפוך את זה לפומבי, שם זה באינטרנט, הנה רשומון של מה קורה בעזה – מתוך הרבה מידע אישי של חיילים, של עזתיים, של אחרים. בעצם מאיפה מגיעה פגיעה שיש פה הפרה של המטרה? המידע לא נמסר אז אין פה סעיף 2(9) כלשונו. אין לנו דרך לעקוב אחר התהליך הזה. כאילו אנו מקנים את הסמכות לרשות להחליט מה המטרה לכתחילה ומתי היא מופעלת. נכון שזה לא מהמצב החוקי היום, אבל עכשיו זה מלווה בסנקציות מאוד כבדות כולל הסנקציה הפשוטה של לומר: הפעילות הזו מפרה, תפסיקו אותה. זה משבש מאוד דרמטי.

ואם יורשה לי להוסיף דוגמה מחיי היום יום, לא כל המקרים הכי טיפוסיים ורגילים של עיבוד מידע בחיי השוק והמשק היום בכלל נכנסים לסעיף 2, ולכן אין דרך בכלל להסדירם. למשל המקרה הזה. מעסיק שנותן לעובדים שלו מכשירים, תוכנות, מחשב וכל דבר אחר, ומבצע ניטור על המחשב הזה כדי להגן על אינטרסים עסקיים מקובלים, לגיטימיים, ברורים. נגיד מידע של לקוחות שיש בתוכו מידע רגיש, בין אם פרטי ובין עם רגישות מסחרית אחרת. המידע הזה לא נאסף ישירות מהעובד. המכשיר שלו מנוטר אז אנו לא נופלים לחובת ההודעה לפי סעיף 11. אין פה פנייה לאדם בבקשה לקבל מידע כדי לנהל ולהחזיק אותו בתוך מאגר. זה יושב על המחשב שלו. זה אוסף נתונים מהמכשיר עצמו, נתוני שימוש. זה לא בילוש והתחקות שמהווים הטרדה או הטרדה אחרת כי אם אני לא מודעת לזה שהמחשב שלי מנוטר זה לא מטריד אותי. זה לא נופל לצילום ברשות יחיד. זה לא יהיה הפרת חובת סודיות מכוח הדין. אני לא מצליחה לראות איך זה נכנס לאף אחד מהמקרים בסעיף 2 שמהווים פגיעה בפרטיות, ואם המקרה הזה כן נראה לכם נכנס יש הרבה מקרים אחרים שבהם אתם פונים לצד שלישי כדי לאסוף מידע על האדם ולא פונים אליו פה, ואין לנו חובה לקבוע בסיס חוקי. בסוף אנו נשארים במצב שאין למי שרוצה לעבד את המידע באופן חוקי שום דרך לדעת איך להכווין את ההתנהגות שלו לפי החוק דהיום ואנו נותנים את כל הסמכות לרשות להפעיל שיקול דעת.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מבחינה זו צודקים ברשות להגנת הפרטיות שאומרים: סופו של דבר, על מה שאת אומרת, נתנו לך רגולציה עצמית עד שתיתקעי בקיר, מה שלא היה לך עד היום. זה לא חסר בסיס, הטענה הזאת. אפשר להתווכח אם מספיק טובה או לא. אם צריך יותר.

 << דובר_המשך >> איה מרקביץ: << דובר_המשך >>   

יוכלו לומר לי- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

יכולים לעשות זאת גם היום והיום היו תופסים אותך על עצם הקמת המאגר עוד לפני השאלה מה עשית בו. הם יגידו לך: לא רשמת. על זה הורדנו אותם מהראש שלך, על לא רשמת, ועכשיו אם יחשבו שמה שעשית במאגר לא בסדר ישלחו לך התרעה ויגידו: לדעתנו את אוספת מידע שלא כחוק.



<< דובר >> נעמה מנחמי: << דובר >>   

דווקא זה יהפוך את האכיפה שלהם להרבה יותר אפקטיבית. עכשיו הם מקבלים דיווח מסודר של כל מאגר מעל 100,000 איש שאומר מה בדיוק הם עושים ואיזה שימוש, מה המטרות. הרבה יותר קל להבין את זה ולאכוף את זה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה לא באג. זה פיצ'ר.

<< דובר >> נעמה מנחמי: << דובר >>   

בסדר זה פיצ'ר אבל הפיצ'ר הזה אי אפשר לומר שלא משנים פה את הדין.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אף אחד לא אמר את זה.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

בדקתי. התרעה מינהלית היא סמכות שברשות – לא חובה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לא הגענו לזה.

 << דובר >> ראובן אידלמן: << דובר >>   

מודל העיצום הכספי בתוך תיקון 14 על סעיף 8א הוא מודל דו שנתי. מדבר ספציפית על סעיף 8א, ולא בכדי בגלל הדברים שהועלו.

<< אורח >> רחל ארידור הרשקוביץ: << אורח >>   

חברה פרטית שהיא לא גוגל אלא משהו יותר קטן ישראלי מקבל הודעה שהרשות מתחילה בהליך הפרה עליו. יש לזה משמעויות מבחינת גיוסי כספים או קרנות הון סיכון שיתמכו בו. מבחינת המשך העיבוד – יש לנו כעת שעת כושר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

שנייה. אנו מאוד רוצים את הנוספים. אני רק אומר, עדיין, לכל גורם יכולה להיות האפשרות לפנות לפרה רולינג, כל מיני דברים זה אפשרי. אבל קודם כל צריך להבין מה קרה פה. במילים שלי, לטובת הדיון, אני מציג את העמדה בקיצוניות, נא לרשום לפרוטוקול. לא להיעלב, גלעד, היה לנו פה פיראט בשם הרשות להגנת  הפרטיות שהחליט מה הוא רוצה. במקרה הקיצוני היה יכול להחליט: לא רושם לך את המאגר, תוקע אותך, עושה מה בראש שלו. אומר: אמשיך להיות פיראט, קצת פחות, אבל אהיה פיראט לא בשלב הראשוני שגובה ממך דמי מעבר בשנייה שאתה רוצה לעבור אלא רק אם אחשוד בך באופן מיוחד, אבל עדיין אני שאחליט בשאלה מהי הסמכה ומהי מטרה לפי כללים שרק אני קובע, אבל עכשיו יהיה לך קצת יותר קל להתמודד מולי. פעם לא היית יכול להתחיל לעבוד בלעדיי. עכשיו אתה יכול. פעם לא היה לך הליך התרעה - היום יש לך, וגם יש לך עליי איזה ערעור לבית משפט ומנגנון מובנה וגידור סיכון. כלומר גם מי שתפס את הרשות כשרירותית לחלוטין ולא מפעילה שום שיקול דעת מובנה ובעייתי, גם מי שתפס אותה כך, עכשיו הקהינו קצת את שיניה. את אומרת שצריך יותר לעשות זאת במובן הזה. מצד שני, חיזקנו אותה במובן הזה שכשהיא סוגרת - יש לזה גם משמעות. עד כה תיאור לא הגון של הרשות להגנת הפרטיות אבל לטובת קטגורו של השטן.

 << דובר >> ראובן אידלמן: << דובר >>   

לעניין הפרה רולינג שאדוני הזכיר, הרשות עונה על אלפיים פניות ציבור לשנה.

<< דובר >> נעמה מנחמי: << דובר >>   

כמה מהן פרה רולינג?

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

יש לנו אלפיים פניות כולל בשאלות משפטיות. לא צריך כותרת של פרה רולינג.

<< דובר >> נעמה מנחמי: << דובר >>   

כמה בשאלות משפטיות? הרבה מהפניות- -

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

מאות רבות של פניות. אנו עונים כל הזמן.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

יש פה נקודה שיש לתת לה מענה. אל"ף יכול להיות פרה רולינג. יותר מזה, עד היום – במידה מסוימת באנו להקל וקצת הקשינו. עד היום רציתי פרה רולינג – באתי לרישום מאגר. אמרתם לי: לא – היה לי מנגנון לערעור על זה שאתם לא רושמים אותי. על פרה רולינג אין לי מנגנון ערעור מיוחד והדרך היחידה שלי לערער היא לחטוף ולהתווכח. זה נקודה- -

 << אורח >> ניר גרסון: << אורח >>   

לפי המנגנון החדש תהיה אפשרות לערור עתירה מינהלית, על הוראה להפסיק- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה לא אותו דבר. אני רוצה את המאגר שלי שיושב על המצלמה של הכותל. פעם הייתי אומר לכם: אני הולך להקים מאגר כזה, הייתם מסרבים, הייתי הולך לבית משפט על זה. הייתה לי אפשרות לתקוף אתכם שם. אני לא יכול לתקוף אתכם על הלא שלכם. הדרך היחידה שלי לתקוף את התזה שלכם – לעשות בניגוד לעמדתכם, לחכות שתפתחו נגדי הליך הפרה ואז ללכת עליכם לבית משפט. בהקשר הזה קצת מקשה עליי.

 << דובר_המשך >> ניר גרסון: << דובר_המשך >>   

אדוני אומר שצריך לחזור לרישום.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

צריך למצוא פתרונות לזה, אבל זו בעיה.

 << דובר_המשך >> ניר גרסון: << דובר_המשך >>   

בדוגמת הפיראט שלך אדוני, הסעיף שאנו מציעים, הרשות לא מקבלת קארד בלאנש.

 << אורח >> גלעד סממה: << אורח >>   

אדוני, כל ארגון שמעוניין בכך מוזמן לפנות לרישום. אם זה המנגנון שיסייע- - -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כרגע לא עשינו זאת בחוק. בבקשה. זה סוג של הצעה לפתרון.

 << אורח >> ענר רבינוביץ׳: << אורח >>   

היו פה קודם שאין פה הרחבה של הסמכות אבל יש פה, שהיום לא קיימת. כלומר שהרשות לגבי הפרות של סעיף 2 פתאום כן יכולה לנקוט בעיצומים. כיום הפרק הזה לא בסמכות.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

להבנתי לא. למה - עיצומים – עיצומים. לא היה עיצומים – מנגנון. לצורך העניין ניהול מאגר ללא רישום, אם היום היית פונה ומבקש לרשום מאגר שלדעת הרשם, מפר סעיף 2, לא היו נותנים לך לרשום. הייתה לך עבירה פלילית, קנס מינהלי. זה היה על הפרה של מאגר מידע שמחזיק מאגר מידע בניגוד להוראות סעיף 2. 

 << אורח >> ניר גרסון: << אורח >>   

וגם אחרי התיקון המוצע זה יהיה הפרה של סעיף 8א.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

נכון. זה מטריד אותי, אבל המצב היום היה שאם היית מנסה לרשום מאגר שלדעת הרשם מפר את סעיף 2, הרשם היה אומר לך: לא מרשה לך לרשום ואם היית בכל זאת רושם או מראש לא רושם כי לא שואל אותו – היה נוקט נגדך סנקציה פלילית עם אחריות קפידה על ניהול מאגר לא רשום או על זה שלא רשמת או על זה שפעלת בניגוד לרישום.

 << אורח >> ענר רבינוביץ׳: << אורח >>   

עד היום ההגדרה של מאגר מידע ושל מידע הייתה מאוד מצומצמת כך ש - רשימה סגורה, מצומצמת. הרשות ניסתה להרחיב אותה. לסגור את ההסבר – נאמר פה קודם לגבי הסכמה מדעת, לגבי הבעיה שהרשות תחליט בדיעבד מהי המטרה, תחליט מה זה מדעת. עד היום היא לא נדרשה לזה, וכשהיא נדרשה, היא או בתי משפט נמנעו מזה ובצדק. אין לנו בסיסים חוקיים אחרים. אנחנו צריכים אותם – אחרת הכול נתון בשיקול הדעת של הרשות.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מסכים איתך. זה מצב גרוע אבל איך זה שונה מהמצב היום?

 << דובר_המשך >> ענר רבינוביץ׳: << דובר_המשך >>   

שהרשות יכולה כן לתקוף אותי לפי הפרות של סעיף 2 שהיום לא יכולה לעשות זאת אגב מה שנטען. העיצום הכספי הוא מה שמשנה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

חברים, הנקודה ברורה. הוצע פה חלק מהדברים שנרשום בצד למשל רישום וולונטרי מי שמבקש פרה רולינג ורוצה לתקוף אותו. זה נותן מענה למשהו.


 << אורח >> עמרי רחום טוויג: << אורח >>   

כשרשות מינהלית נותנת החלטה, גם אם בבקשה מקדימה כשההסדר הזה מוסדר בחוק- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל לא מוסדר בחוק.

 << אורח >> עמרי רחום טוויג: << אורח >>   

היה דיון באחד הדיונים הקודמים- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לכן אמרתי – אפשרות אחת היא מיסוד נושא הפרה רולינג כולל עתירה על הפרה רולינג. אפשרות שנייה, רישום וולונטרי שזה המקבילה של פרה רולינג.


 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

פרה רולינג מניב עתירה מינהלית על החלטותיו בהגדרה. זה קורה גם בהקשרים אחרים.

<< דובר >> נעמה מנחמי: << דובר >>   

לגבי סעיף 8 רצינו לחדד את השאלה של ההגנות, כלומר האם סעיף 8 נכון להוסיף לו רק את ההגנה או נכון לייבא חלק מההגנות של 18 במיוחד עכשיו כשהבאנו את סעיף 2 לתוך מאגרי המידע. אתה בטח תגיד שככל שהבאנו את סעיף 2, הבאנו גם את 18.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

הנושא נדון בישיבה הקודמת. סעיף 18 לא חל על פרק ב. הוא חל על הפרת החוק. אם הפרת החוק וההוראה לפי חוק זה היא הפרה של סעיף 2, לסעיף 2 יש ההגנות לפי סעיף 18. לכן לא צריך להביא אותם לכאן.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

ההגנה של סעיף 18 על סעיף 2, לפי סעיף 2ד, היא פי אלף יותר רחבה ממה שאתה נתת בסעיף 8א2.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

זה במצטבר. שני דברים נפרדים. חשוב להבהיר לפרוטוקול. חשבתי שהנושא הזה כבר נדון.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני לא זוכר שדיברנו על תחולת 18.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

נדון. זו האמירה - אם אני בעל שליטה במאגר מידע, מפר לכאורה את אחת מהוראות סעיף 2, עומדות לו ההגנות לפי סעיף 18. אם הגנה אכן עמדה במבחנים הפנימיים של סעיף ההגנות אז הוא מוגן והאיסור בסעיף 18 כאן לא יחול. אם ההגנה לפי סעיף 2 לא עמדה לו, גם כאן לא תעמוד לו.

<< דובר >> נעמה מנחמי: << דובר >>   

יש לי שאלה. אם אני עיתונאי ויש לו מאגר שהשגתי תוך כדי בילוש כלומר אני נכנסת לסעיף 2 ואיתו נכנסת להגנות של חובה מקצועית – אני מסודרת. אבל אם אני עושה זאת בלי להגיע לרמת בילוש והטרדה אלא סתם מארגנת לי מאגר מידע ולא נכנס לרף של סעיף 2, אז אין לי הגנות.

 << אורח >> עמרי רחום טוויג: << אורח >>   

אבל גם אין הפרה, כי עיבוד מידע כשלעצמו לא דורש שום בסיס חוקי.

 << דובר >> נעמה מנחמי: << דובר >>   

זה גם חלק מהבעיה שלנו.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

אם כל הרעיון הוא שאם אני נכנסת לסעיף 2 יש לי ההגנות בסעיף 18, ואם אני לא נכנסת לסעיף 2, אין הפרה, על מה חלות ההגנות שאתם מציעים? 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

שאלה טובה. זה סעיף קלאסי של הגנת שוק, לצורך העניין בלי קשר להגנות – לא תמיד ההגנות עומדות. ההגנה הספציפית פה היא הגנת שוק לגורם אחר שקיבל את המידע. לא למפר. אדם א' הפר סעיף 2, או חוקים אחרים שאין להם הגנות. חוק שירותי מידע פיננסי – אין שם בגנות. יש הרבה דברי חקיקה שלא נקבעו בהן הגנות. הוא הפר. גם אם הפר את סעיף 2 לא עומדת לו הגנה. עכשיו הוא מעביר אליי את המידע. אני לא יודע ולא היה עליי לדעת על ההפרה אז אני מוגן מהפרת ההוראה- - - להחזיק את המידע שהתקבל, נצבר או נאסף.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לא הבנתי כלום.

 << דובר >> ראובן אידלמן: << דובר >>   

ההגנה בסעיף קטן (2) מיועדת לא לפוגע- - -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני מבין אבל על זה אמרו חז"לינו לא תהא כהנת כפונדקית, דהיינו לא ייתכן שההגנה על הצד השני בתום לב תהיה פחותה מההגנה על מי שאסף את המידע.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

לא, זה מצטבר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה לא מצטבר בכלל כי אם אני מחזיק מידע פרטי, הוא הגיע אליי שלא כדין כי אני אספתי אותו, אתה אומר – חל סעיף 18. יכול להיות. מה סעיף 18 אומר – אם לא ידעתי ולא היה עליי לדעת את אפשרות הפגיעה בפרטיות, אני מוגן. בנוסף, יש לי רשימה ארוכה של הגנות. כלומר אותה הגנה שכתבת לצד ג', חלה על צד ב'.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

היא מהותית.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

גם פה זה תום לב. אתה אומר – הוא לא ידע ולא היה עליו לדעת, אבל היה חסר תום לב.

 << דובר >> ראובן אידלמן: << דובר >>   

על זה שמישהו אחר פגע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

שנייה. אשאל לפרוטוקול – האם סעיף 2 חל על אדם שלא ידע ולא היה עליו לדעת אבל פועל בחוסר תום לב לעניין הפגיעה בפרטיות?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

הוא קודם צריך לפגוע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל אתה עושה הסוף מההתחלה. 

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

לא. ננסה להסביר שוב. נכשלנו בהסברנו. קודם כל, בשביל שסעיף 8א המוצע ייכנס לתוקף קודם כל צריכה להיות פגיעה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

הייתה פגיעה בפרטיות. גלעד פגע בפרטיות שלי, בלש אחריי, וגילה בדיוק, עשה רישום מתי אני מגרד באוזן ימין. זה מאוד מטריד אותי – הפרה של הפרטיות. אני בא אליו בטענות. הוא אומר לי: לא ידעתי שאתה רגיש לגירודים באוזן ימין. לא חשבתי שזה עלול להטריד אותך. פעלתי בתום לב, לא ידעתי ולא היה עליי לדעת. גלעד מוגן. איזה כיף לו. אתה אומר – מאחר שגלעד מוגן, גם מי שמקבל ממנו את המידע מוגן באותה מידה. נניח שגלעד לא היה תום לב וידע שאוזן ימין שלי מאוד רגיש אצלי שאוספים את המידע מתי אני מגרד אותה. אבל העביר את המידע לראובן, וראובן לא ידע ולא היה עליו לדעת שהנושא אצלי ממש בילוש והתחקות או חשב שגלעד כן חשב שלא יודע שזה בתום לב והיה עליו לדעת. רחמים גם לא ידע. אחרי שראובן לא ידע הוא גם מוגן. אתה לא צריך תום לב. גם אם אתה חסר תום לב. מה קורה אם אתה עושה את זה לא בתום לב אלא במציאות שמוטלת עליך חובה חוקית, מוסרית, חברתית או מקצועית לעשותה? כלומר לגלעד אין חובה חוקית, מוסרית או חוקית לעשות זאת אבל לך יש ראובן. אז אתה מוגן או לא?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

לא.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

למה? גלעד בא בלי חובה חוקית, אסף את המידע על אוזן ימין שלי, אבל לראובן יש עניין חוקי לדעת למה חשוב לי.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

מוזמן לאסוף את המידע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אסף את המידע מגלעד, אז הוא לא מוגן. מה ההיגיון?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

כי המטרה פה היא לא להכשיר איסופי מידע לא חוקיים אלא להגן על מי שלא ידע ולא היה עליו לדעת שמישהו אחר עשה משהו לא חוקי. אם הוא יודע על הפרת חוקיות, יש פה עניין בסיסי. נעשתה פעולה לא חוקית. צריך להפסיק אותה. לא להמשיך לצבור ולאסוף אותה. אחר כך יש - מה קרה בדיעבד עם המאגר. אם עכשיו לראובן יש הגנה משל עצמו, הוא יכול להפעיל אותה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מאחר שסעיף 18 מאוד-מאוד רחב, ומאפשר למעשה תוך ביצוע עיסוקו של פוגע כדין ובמהלך עבודתו רגיל לאסוף מידע, שזה כמעט כל היושבים פה.

 << אורח >> ניר גרסון: << אורח >>   

לא, לא כך זה פורש בפסיקה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל הוא חל על 2. העסק שלי הוא לאסוף מידע על כל המבקרים בכותל. אני מוכר את המידע הזה לסינים. מזה אני מתפרנס. נשאלת השאלה אחרי שאני מעבד להם את המידע כמו שצריך ומחבר לעוד מאגרי מידע שאספתי ועשיתי סקריפינג ויש לי מאגר מידע מטויב של כל אדם, גם היכן גר, תעודת הזהות וגם מתי ביקר בכותל פלוס ביומטרי. זה העסק שלי. אספתי את המידע בעצמי, לבד. אני מוגן לפי סעיף 18.

 << אורח >> ניר גרסון: << אורח >>   

לא בטוח. זה לא כך פורש בפסיקה. מהלך עבודה רגיל לא נותן קארד בלאנש אלא עבודה לפי כללי אתיקה מקובלים וכו'. לא בהכרח מוגן.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

המילה לא בהכרח מלחיצה אותי.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

יש הרבה מאוד פסיקה על סעיף 18. אנחנו פה בעולם- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כל הדיון היפה שאנו מנהלים פה כמעט שעה, ואני רואה את חוסר הסבלנות המוצדק של גלעד בעצם קיומו, רק מראה כמה אנו מסבכים את עצמנו בזה שאנו לא עובדים בדרך המלך. אנו לוקחים את סעיף 2, מלבישים עליו את סעיף 18, אומרים שזה חל על מי שאוסף את המידע אבל לא חל על מי שמעבד את המידע, ומי שמקבל את המידע ומי שלא, ואז אם ידע על זה ולא ידע- -

 << אורח >> ניר גרסון: << אורח >>   

ההפרות של 2 חלות גם אם ידע, מי שמקבל.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל אני לא יודע אם מתקיימות ההגנות של 18. אני חושב ש-2 הופר אבל לא יודע שההגנות לא התקיימו, אז אתה מנסה להלביש לי את הידיעה על ההגנות? זה לא תום לב? האם יש הבדל בין מה שכלול ב-2 למה שכלול ב-18 מבחינת כללי הידיעה? אתם מבינים? אנחנו מעקמים את כל העולם, העיקר לא לעשות עבודה מסודרת. התוצאה, שיש לי פה חמישה מקרים, שעד עכשיו לא הבנתי - עלו לאורך כל הדרך פה כמה מקרים שאני לא הבנתי מה אני כבעל מאגר מידע אמור לעשות. מה אני צריך לברר כדי לדעת שהכול בסדר? האם אני צריך לדעת שפלוני אלמוני אומר לי: אספתי מלא מידע אבל אני עיתונאי ואז ממילא מותר לי פחות או יותר לעשות מה בראש שלי.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

לא מדויק.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

בפועל מצד פסיקת בית המשפט פחות או יותר, יש הרבה הגנות, ולכן אם עיתונאי מעביר לי את המידע גם אם הוא המידע הכי רגיש שיש אני לא צריך שום הסכמה ושום צמידות מטרה. או כן. לא יודע. וכל האירוע הזה, ולא צריך ליידע, ולא צריך – טוב שהורדנו את ה- - - וכל זה, ואז אני שואל את עצמי, 18 חל על 2, אז לא חל סעיף 8א או כן חל סעיף 8א ואז ההתרעה ומה ידעת ולא ידעת. זה נורא מסורבל.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

אנחנו הולכים בצדק לנקודות הקצה יש היגיון מסוים.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה מה ששאלה אותך נעמה. אם אנו אומרים שרוב מוחלט של מאגרי המידע לא מתקבל המידע מהאדם עצמו- - 

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

לא כל הוראות הדין מסתכמות בסעיף 2 לחוק הגנת הפרטיות. יש חוק שירות המידע פיננסים. מגדיר שימושים מותרים ואסורים במידע פיננסי, על ידי גופים שמוסדרים בחוק. יש חוק נתוני אשראי, הוא מגדיר שימושים מותרים על ידי גופים- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אז אתה אומר שאם מעבירים לא מכשיר. חשוב מאוד.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

חוק זכויות החולה שמסדיר מטפלים ומוסדות רפואיים. יש שורה ארוכה של דברי חקיקה. ההגנות אי אפשר סתם להחיל.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אתה מצפה מכל מי שמקבל דאטא בייס שיצטרך לעשות בדיוק את הניתוח הזה. זה מה שאתה מצפה.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

יש סיבה שיש פה אגף מסוים שלא כל הזמן קופץ – בסוף אנחנו לא ממציאים פה. גופים שמייצגים חברות עסקיות. אני חוזר, ברור שהרעיון בעצם לאסדר כל מיני מקרים של עיבוד מידע, שנורמטיבית חברתית אנו חושבים שראוי אך לא נכנס לסעיף 2 לחוק הגנת הפרטיות כאפשרי, לאסדר את כולו – בין השרא עיתונות אבל שורה ארוכה של דברים אחרים - התגוננות בהליכים משפטיים, הגנה על מערכות המידע של העסק, כל הדברים האלה לעגן אותם דרך ההגנות, שזה מה שהמחוקק בחר – המציאות הטכנולוגית והכלכלית והחברתית של ימינו, זה לא הפתרון המוצלח ביותר בלשון המעטה. לכן צריך שינוי יסודי בעניין הזה. אנו עמלים מאוד לשם כך. זו התשובה האמיתית. רק להבהיר – החלופה של לומר: נחיל את ההגנות על עוד סעיף – מה זה משנה, סעיף יותר או פחות? זה משנה מאוד כי הרופא שיש בידיו מידע רפואי או המוסד הפיננסי שמחזיק את המידע הפיננסי שלנו לפי חוק שירותי מידע פיננסי בשום פנים ואופן לא ילך לסעיפי ההגנות ויגיד: יש לי עניין אישי כשר אז אני מפר פה חוק שירותי מידע פיננסי.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כי זה חוק אחר. אבל מי שלא יהיה במסגרת החוק הזה- - 

<< דובר >> נעמה מנחמי: << דובר >>   

אפשר להפריד בין הגנות שקשורות להפרת החוק הזה והגנות- -

 << דובר >> ראובן אידלמן: << דובר >>   

העיצום הכספי הוא בהליך דו שלבי. כל ההגנות צריכות להיטען בשלב הראשון. השאלה אם בכלל הייתה הפרה. תבוא רשות ותגיד – אנו קודם כל מבקשים מסמכים, אחר כך שולחים מכתב הפרה לכאורה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

התשובה ברורה. זה שאנו עוברים, זה לא אומר שזנחנו את הדיון. אנו עדיין מוטרדים, וזה כל הזמן מלווה אותנו לאורך כל הסעיפים.

 << אורח >> עמית זילברג: << אורח >>   

ההגדרה של מאגרי מידע הייתה אוסף של כל מידע על אדם. עכשיו החזירו את זה שזה לא כולל שם, כתובת, טלפון, מייל וכו' כפי שהיו"ר אמר – רוצה לאגד מאגר ביומטרי. על אותו עיקרון. הבעיה היום שאם אני רוצה – אני מדבר על סעיף ההגדרות. אם אני רוצה ללכת בתור עסק מסחרי או אדם פרטי, ולגנוב מאגר מידע שכולל רק שם ושם משפחה וטלפון, ולהפיץ את המידע שלי כך או אחרת, כאזרח שמופיע במאגר הזה אין לי שום סמכות לפנות אליהם ולומר לרשם שמפרים בכלל את החוק כי זה לא נחשב מאגר מידע. אם אנו רוצים להתאים עצמנו ל-GDPR ההגדרות התואמות הן כל מידע על אדם.

 << אורח >> שחף קצלניק: << אורח >>   

אבל החוק היום אומר משהו אחר. דיברנו על זה לפני כשני דיונים. הטוב זה לכל מי- - -

<< דובר >> נעמה מנחמי: << דובר >>   

אתה מדבר על ההגדרה של מאגר מידע.

 << אורח >> עמית זילברג: << אורח >>   

כן, על 14. ההגדרה של מאגר מידע הייתה אוסף של כל מידע על אדם.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

למעט היה. היה בלמעט.

 << אורח >> שחף קצלניק: << אורח >>   

אדוני היושב-ראש ביקש מעבר לזה, שאם יש הנחיה של הרשות - גילוי דעת, שמדבר על כתובות מייל שגם לא ייחשב כחלק ממאגר מידע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

נכון.

 << אורח >> עמית זילברג: << אורח >>   

פה הבעיה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

שם, מען ודרכי התקשרות לא היה מאגר מידע עד היום.

 << דובר_המשך >> עמית זילברג: << דובר_המשך >>   

צריך להיות.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כבודו יודע להציע הצעת חוק.

 << דובר_המשך >> עמית זילברג: << דובר_המשך >>   

אוסף של כל מידע על אדם. 

 << אורח >> שחף קצלניק: << אורח >>   

למעט- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

הנוסח החוקי נכון להיום, למיטב הבנתי – מאגר מידע, אוסף נתוני מידע המוצג באמצעי מגנטי אופטי ומיועד לעיבוד ממוחשב למעט – 1. אוסף לשימוש אישי שאינו למטרות עסק או אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני אדם ששמותיהם כלולים בו ובלבד שלבעל האוסף או לתאגיד שבשליטתו אין אוסף נוסף ואנו הוספנו את המילים: לגבי אותם בני אדם, כלומר נכון להיום, בחוק, מאגר של שם, אימייל, כי זו דרך התקשרות, טלפון, שזה דרך התקשרות, אינו מאגר מידע לפי החוק. זה המצב היום.

 << דובר_המשך >> שחף קצלניק: << דובר_המשך >>   

יש כרגע - - - שכן משנה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כשלעצמו אלא אם כן אני רשום שם למעלה: אוסף האנשים שהם סרטן או אוסף האנשים שהם עברייני מין. 

 << דובר_המשך >> שחף קצלניק: << דובר_המשך >>   

תושבי ירושלים.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה לא פגיעה בפרטיות כי זה דרכי מען.

 << דובר_המשך >> שחף קצלניק: << דובר_המשך >>   

אבל זה מייחד אוכלוסייה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אם זה מייחד אוכלוסייה אז כן. גם מאגר תפוצה באימייל של הקרן לפיצוי נפגעי גזזת – כן. כי הוא מהווה פגיעה בפרטיות. אבל אם זה לא הקרן לפיצוי נפגעי גזזת אז לא. שאלה מצוינת, רק לא החוק. לא רלוונטי.

 << אורח >> עמית זילברג: << אורח >>   

זה היה במאגר מידע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

פרק שעוסק בדיוור ישיר. אנחנו לא שם. נמשיך. הנקודות נרשמו. יש פה דברים שאי אפשר לפתור אלא אם כן – אני מקווה שהדבר הזה נישאר פתוחים אליו. ננסה בכל זאת לייבא לפחות תחילתו של תיקון 15 לתוך תיקון 14 כי בלי זה אנו מאוד מתקשים, אבל גם אם לא נעשה זאת, הלקח מפה הוא להסדיר נושא פרה רולינג או ערעור על פרה רולינג כי בלי זה אנחנו מייצרים פה פגיעה כמעט בלתי נסבלת.

 << דובר >> ראובן אידלמן: << דובר >>   

ראש הרשות הציע רישום וולונטרי.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

שזה סוג של פרה רולינג. אני לא בטוח שזה נכון כי אז אתה אומר לאדם: אם אתה רוצה פרה רולינג, תירשם, שזה פוגע בו בהקשרים אחרים. לא בטוח שרישום וולונטרי זה הכלי אבל פרה רולינג זה מנגנון אולי קצת יותר עם פרק זמן מסוים. יש לחשוב על זה ולתת לזה מענה. בבקשה.

 << אורח >> דן אור-חוף: << אורח >>   

אני רוצה להעיר מילה לתשומת הלב בעקבות הדיון. אני חושב שכל עוד לא יהיו לנו עיבודי מידע נוספים ותיקון 15, ההוספה של סעיפים 1 ו-2 בסעיף 8 וההפניה להגנות של סעיף 18 יוצרות אולי מכניזם אחר לעניין ההגנות האלה. עד היום ההגנות האלה למעט מקרים ספציפיים אולי של עיתונאים או אחרים שפורשו בפסיקה במידה רבה של צמצום, ההגנות הללו כרגע הן הדבר הכי קרוב שיש לנו לבסיסי עיבוד מידע אח. עניין אישי כשר אולי הכי קרוב שלנו לאינטרס הלגיטימי שיש בבסיסי העיבוד ב-GPDR ואני חושב שיש מקום אולי ואם אנו משאירים את המכניזם הזה עם ההוראה של סעיף 1 וההגנה של סעיף 2, צריך אולי גם לקחת בחשבון, שנדרשת פה פרשנות אחרת ממה שהייתה עד היום להגנות של סעיף 18.

<< דובר >> נעמה מנחמי: << דובר >>   

אני לא בטוחה שהוועדה אימצה את ההצעה הזו של ההגנות. דן העיר, שככל שהוועדה תאמץ את החלופה הנוספת עם ההגנות, של הוספת עניין אישי כשר וחובה חוקית או מקצועית – הוא אומר שזה הדבר הכי קרוב שיש לנו לבסיסי עיבוד. במצב זה הוא מקווה שתהיה פרשנות מאוד מרחיבה.

 << דובר_המשך >> דן אור-חוף: << דובר_המשך >>   

זה מחייב פרשנות אחרת, מאוזנת יותר שרואה בהגנה הזו לא כמקרה קיצון.

<< דובר >> נעמה מנחמי: << דובר >>   

זה קצת רתימת העגלה.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

לא הבנתי שהחלופה הזו התקבלה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לא התקבל כלום. היא עדיין בגדר חלופה.

 << דובר >> ראובן אידלמן: << דובר >>   

עמדתנו שאין מקום להכניס את ההגנות ספציפית בטקסט כפי שמוצע פה תחת הכותרת חלופה נוספת. הסברנו איפה ההגנות נכנסות בבחינה האם הופר סעיף 2. לכן עמדתנו שצריך להישאר עם הנוסח הראשון.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

להבנתכם מה הדלתא המעשית בין לעשות את החלופה הנוספת לבין להשאיר את המצב, מה ייכנס ומה ייפול בין החלופה הזאת?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

יש פה צ'רי פיקינג מבין ההגנות הקיימות. הסברתי, אולי באריכות רבה מדי, למה אני חושב שזה רעיון לא טוב להחיל את ההגנות ישירות אבל מה שקורה פה, מתבצעת פעילות לא חוקית של איסוף מידע, אין לה הגנות, ואז יוצרים על בסיסה מאגר מידע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אם המידע נאסף שלא כדין, וידעת זאת, תגיד: במקרה כזה אין בעיה, שום הגנות לא יחולו עליך. זה לא. יש המון מקרים שבהם השאלה האם המידע נאסף או לא נאסף שלא כדין היא לא קליר קאט. לחילופין, המידע יכול להיות שתייאסף כדין אבל עיבודו ייעשה שלא כדין. ניקח את המקרה של המידע נאסף באופן מותמם, לקחנו המון מאגרי מידע מותממים שכל מאגר מידע בפני עצמו היה מותר להחזיק אותו ואפילו לא היה בגדר מאגר מידע כי לא כלל פרטים מזהים, ואני באמצעי טכנולוגי יצרתי את מאגר המידע באמצעות עיבוד – אספתי המון מידע שנאסף כדין. כל אחת מפעולות האיסוף שעשיתי היו כדין. הפעלתי עליו רברס אינג'נירינג מאוד חכם.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

אנו לא בסעיף הזה כי המידע נצבר, נאסף כדין. עכשיו שימוש. אתה ב-2(9) או ב-10ב. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מה?

 << דובר >> ראובן אידלמן: << דובר >>   

אנו בוחנים פה רק את חוקיות האיסוף.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לא. נוצר זה לא איסוף. אני יצרתי אותו.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

שנייה. אם אתה עומד להפר דין בפעולת עיבוד שלך, המידע כבר לא בלשון עבר. אתה אומר: אני רוצה לבחון אם פעולת עיבוד שלי חוקית או לא – זה לא הסעיף הזה. יש סעיף ספציפי שאוסר, נגיד 2(9) או 10ב שייקבע. לא משנה. זה לא הסעיף הזה. צריך סעיף עצמאי.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כלומר מבחינתכם סעיף 8א עוסק רק במידע שנאסף בניגוד לחוק.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

סעיף חוק אחר שיצירת המאגר הפרה. לא הסעיף הזה. הסעיף הזה נכנס לתוקף. התחלתי את הדברים ויש לסיימם – הסעיף הזה נכנס לתוקף קר אם יש סעיף אחר או בחוק הזה או בחוק אחר שאוסר על פעולה מסוימת ואני מפר את הסעיף הזה.

 << דובר >> ראובן אידלמן: << דובר >>   

בשלב היצירה, האיסוף או הקבלה.

<< דובר >> נעמה מנחמי: << דובר >>   

כלומר יש לנו כרגע לגישתכם, סעיף אחד בחוק, שעוסק במתי אסור לי לעשות משהו וזה קשור לשאלת הדרך שבה אספתי את המידע. כלומר אם רק אספתי שלא כדין – יש עליי איסורים אבל כל היתר- -

 << אורח >> עמרי רחום טוויג: << אורח >>   

אספתי כי מישהו אחר עשה פעולה. סעיף 8א מתייחס למצב שבו לפני הקמת מאגר המידע הייתה פעולה שלא כדין. לא עצם הקמת המאגר.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

צריך להפר כדי לאסוף, לקבל או ליצור את המידע במאגר – צריך להפר סעיף אחר. אם יש סעיף אחר שהפרתי. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני משאיר את זה כרגע. מקווה שלא נצטרך לחזור לזה.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

רק מסומן בצהוב במסמך ההכנה - חוזר לדיון הקודם – זה כמעט תוספת טכנית. בגלל שהורדנו את המחזיק, לפעמים בעל השליטה לא עושה פעולה בעצמו שהיא בגדר עיבוד. רק מרשה למחזיק לעבד. הורדנו את האחריות מהמחזיק. פה אנו אומרים לבעל השליטה: לא תרשה למחזיק גם לעבד כדי לא ליצור פה לקונה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

נמשיכה.

<< דובר >> נעמה מנחמי: << דובר >>   

היה לנו סעיף ההפרה שתואם. אפשר לדון בזה במסגרת סעיפי ההפרה או עכשיו.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

הוא היה סעיף קטן (ד) של אותו סעיף וביקשת להעביר אותו. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מצא ראש הרשות כי אדם בעל שליטה מעבד מידע או מתיר לאחר לעבד מידע עבורו, עיבד מידע במאגר מידע בניגוד להוראות סעיף זה, 8א, רשאי הוא להודיע לו שמעשיו מהווים הפרה של סעיף זה ולהורות לו ולמחזיק במאגר המידע להפסיק את ההפרה בתוך תקופה שיורה.

<< דובר >> נעמה מנחמי: << דובר >>   

יש פה שאלה, האם מורים לו להפסיק את ההפרה או מורים לו להפסיק את עיבוד המידע. יכול להיות שההפרה שלי זה שלא ניתנה הודעה נגיד.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

בהתאם להפרה.

<< דובר >> נעמה מנחמי: << דובר >>   

ואז הפסקת ההפרה היא ליידע. אבל הממשלה הציעה את הנוסח של הפסיק את עיבוד המידע.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

יש פה שני נוסחים. ההפרה הוגדרה – ההפסקה היא של עיבוד המידע במאגר בלי שההפרה תוקנה. שוב, אני מזכיר, הייתה לנו ההגנה של פגיעה קלה.

<< דובר >> נעמה מנחמי: << דובר >>   

אבל זה נוסח שאתם העברתם. הוא אמר: רשאי הוא להודיע לו שעיבוד המידע כאמור מהווה הפרה של סעיף זה ולהורות לו ולמחזיק במאגר המידע להפסיק את עיבוד המידע. אני שואלת, האם התכוונתם לגרום לו להפסיק את עיבוד המידע או לגרום לו להפסיק את ההפרה או לגרום לו להפסיק את עיבוד המידע עד תיקון ההפרה? כל אחת מהאפשרויות האלה שונה.

 << אורח >> ניר גרסון: << אורח >>   

זה עשוי לכלול גם הפסקת עיבוד מידע, אבל אם ניתן להפסיק את ההפרה - אבל עשוי בהחלט לכולל הפסקה- - 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אקרא את הנוסח שהצענו: מצא ראש הרשות בעל שליטה מעבד מידע או מתיר לאחר לעבד מידע עבורו בניגוד להוראות סעיף זה, רשאי הוא להודיע לו שעיבוד המידע כאמור מהווה הפרה של סעיף זה ולהורות לו ולמחזיק במאגר המידע להפסיק את עיבוד המידע בתוך תקופה שיורה.

 << דובר >> נעמה מנחמי: << דובר >>   

הנוסח שהצעת מורה להפסיק את כל העיבוד, ואני שואלת, האם נדרש – זה ניואנס שאולי כדאי להוסיף כי כתוב פה.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

הכלל הוא בסעיף קטן (1) עליו דיברנו עכשיו בשעה האחרונה.

<< דובר >> נעמה מנחמי: << דובר >>   

האם אפשר פשוט לכתוב להורות לו להפסיק את ההפרה או את עיבוד?

 << יור >> היו"ר שמחה רוטמן: << יור >>   

התשובה היא הנוסח הוא להפסיק את ההפרה, לא את ההפסקה של עיבוד המידע כי יכול להיות שהפסקת ההפרה לא קשורה לעיבוד המידע. יכול להיות שזה חיצוני לעיבוד המידע. יכול להיות שמצב שאגיד לך: אסור לך לאחסן את המידע הזה ללא הסכמתם של עשרת נושאי המידע האלה. תרים אליהם טלפון, יאשרו לך – תוכל להחזיק את המידע. הרמת הטלפון היא עיבוד מידע? הפסקת עיבוד מידע? לא. המידע מעובד, ואמר אומר לו: אם תביא לי את ההסכמה של כל עשרת נושאי המידע האלה בתוך איקס זמן, הכול בסדר. אז זה הפרה.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

אולי להפסיק את עיבוד המידע- - -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

יכול להיות שעיבוד המידע עצמו יהווה הפרה ויכול להיות שלא.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אני מציע ללכת פה עם ההצעה של המכון הישראלי לדמוקרטיה. תיקון ההפרה זה יותר נכון כי לפעמים זה לא רק הפסקה אלא גם תיקון רטרואקטיבי – יש לחזור לנושא המידע ולבקש הסכמה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

תיקון ההפרה. בסדר.

<< דובר >> נעמה מנחמי: << דובר >>   

אבל באיזה נסיבות יורה לו לתקן את ההפרה?

 << יור >> היו"ר שמחה רוטמן: << יור >>   

ראש הרשות מצא, כי בעל שליטה במאגר מפר הוראות סעיף זה – רשאי הוא להודיע לו שמעשיו מהווים הפרה של סעיף זה ולהורות לו להפסיק את ההפרה.

<< דובר >> נעמה מנחמי: << דובר >>   

אני חושבת שזה מתכתב עם 3.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לתקן את ההפרה.



<< דובר >> נעמה מנחמי: << דובר >>   

סעיף 3 אומר שהייתה הפרת הדין והמידע נמסר וכו'. אפשר: לא יחול סעיף קטן (1) אף לאחר שבעל השליטה או מחזיק- - - היה עליו לדעת. כלומר אם ראש הרשות סבור שהפרת הדין אכן קלת דעת, בעצם לא יחייב אותו לתקן את ההפרה.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

זה שני דברים שונים. יש שתי אפשרויות: אל"ף, אם יש הפרה קלה של מישהו אחר זה סעיף קטן (3) אבל אנחנו - יכול להיות בעל השליטה עצמו. חידד פה אדוני היושב-ראש נכון, שאפשר לתת הזדמנות לתקן את ההפרה נגיד על דרך קבלת ההסכמה. זה לא חל רק על הנסיבות שבהן חל סעיף קטן (3) כי יכול להיות גם בעל השליטה עצמו, לא רק גורם אחר ולא רק אם ההפרה היא קלת ערך. לכן אני חושב שהנוסח שהוצע פה- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

תיקון ההפרה. בסדר גמור. הוראה למחזיק תהיה – תמחק, כי הוא לא יכול לתקן א ההפרה. אולי כן.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

תלוי בנסיבות.

<< דובר >> נעמה מנחמי: << דובר >>   

עוד דבר שהיה בדיון הקודם – חובת ההודעה. היו הערות רבות של הוועדה ביחס לנוסח שהציעה הממשלה. הממשלה מציעה כאן נוסח חדש. לא כתבתי שזה ממשלתי כי בנוסח הממשלתי היה כתוב מועד ספציפי של ימים. חשבתי שלא מאוד מוצלח, אבל זה ככלל הנוסח הממשלתי למעט ההצעה שלי, במקום להודיע על זהות בעל השליטה ומענו בישראל לכתוב את דרכי ההתקשרות עימו אלא אם יש עניין ספציפי במען שלו? האם המען הוא לצורך התקשרות או לצורך אחר? כי דרך ההתקשרות של אדם הרבה פעמים אימייל והמען משתנה והאימייל לא.

 << דובר >> ראובן אידלמן: << דובר >>   

אין לנו התנגדות.

<< דובר >> נעמה מנחמי: << דובר >>   

יצטרכו פחות לעדכן אתכם על שינויי מען. נקרא את זה, כי זה נוסח חדש. אנו בחובת הודעה, להבדיל מחובת הרישום.

(1) בעל שליטה במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות 100,000 אנשים או יותר, ושלא חלה עליו חובת רישום לפי סעיף קטן (ג), חייב למסור לרשות – אני מציעה, במקום ראש הרשות - בתוך X ימים מהתקיימות התנאי האמור הודעה על זהות בעל השליטה ודרכי ההתקשרות עמו וכן עותק ממסמך הגדרות המאגר שעריכתו נדרשת בהתאם להוראות סעיפים 17(ב) ו-36; היה שינוי בזהות בעל השליטה או דרכי ההתקשרות עמו או שינוי המחייב עדכון של מסמך הגדרות המאגר או שהופסקה פעילותו של המאגר – יודיע בעל השליטה לרשות על השינוי האמור בתוך X ימים מיום השינוי או הפסקת הפעילות לפי העניין.    

(2) השר, באישור ועדת החוקה, רשאי לפטור מחובת היידוע סוגים של מאגרי מידע או סוגים של בעלי שליטה וכן רשאי הוא לקבוע הוראות לעניין אופן ההודעה לפי סעיף קטן זה;

הכוונה לגבי אופן ההודעה – למיטב זיכרוני, הוועדה לא רצתה את אישור הוועדה לאותו עניין, ואם זה לא ברור נבהיר את זה בנוסח, אלא אם כן הוועדה תקבע אחרת.

לגבי מספר הימים, חשבתי ש-30 ימים זמן סביר להודעות כאלה.

 << דובר >> ראובן אידלמן: << דובר >>   

ההצעה שלנו הייתה לפרק זמן קצר יותר, ל-14 ימים. השאלה מה עמדת הוועדה. נזכיר – בדיון הקודם הייתה רשימה ארוכה יותר של דברים שחשבנו שנכון שיימסרו במסגרת ההודעה הזאת. בסופו של דבר בעקבות ההערות שנשמעו פה צמצמנו את זה רק למסמך הגדרות המאגר ודרכי התקשרות.

אחדד, אולי לא הבנתי את הכוונה. אנו רוצים שזה יהיה המען ודרכי התקשרות ביחד למקרה שנרצה להגיע אל המקום ספציפית, שנראה לנכון.

<< דובר >> נעמה מנחמי: << דובר >>   

כשאדם עובר כתובת, המטרה שלי הייתה שלא יצטרך להודיע לך כל פעם. כשאדם עובר כתובת, יש לו רשימה מאוד ארוכה של משימות שצריך לעשות ולאו דווקא יזכור. מאחר שאני צופה שבסוף הדרך יהיה לנו עיצום כספי על זה ששכח להודיע לך על זה שעובר כתובת אני מנסה לצמצם את מספר המפגשים או דרישות הדיווח שהן לא מאסט. אם אתה אומר לי: לא אצליח לקבל את המען הזה בשום דרך אחרת, יכול להיות שכן נכון.

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

מאחר שמדובר על גופים שמחזיקים מידע על מעל 100,000 איש, ההנחה שלנו היא שלא מדובר בעסקים קטנים וכמובן גם לא באנשים פרטיים ולכן יש להניח ששינויי המען יהיו פחות תכופים ככל שמדובר בחברות גדולות או אולי לכל הפחות חברות בינוניות גדולות. אנו כן רואים בזה ערך למקרה שנצטרך להגיע למקום. זה חלק מהסמכויות שלנו. אז משצמצמנו וצמצמנו אנו רואים ערך בנושא המען. אפשר להוסיף את דרכי ההתקשרות – לזה אין מניעה. לעניין פרק הזמן ההצעה שלנו הייתה 14 יום אבל הוועדה - - -

 << אורח >> ליאור אתגר: << אורח >>   

לעניין לקוחות גדולים למשל מהמגזר הפרטי שיש להם מעל 100,000 לקוחות, לא בהכרח שמשנים מען פיזית אבל לפעמים משנים את המען כי עושים שינויים אדמיניסטרטיביים אז אם אפשר לצמצם את זה ולאשר דרכי התקשרות – יהיה יותר יעיל לנו וגם בהיבט של מספר הימים, 14 יום זה פרק זמן יחסית קצר. אולי כדאי כפי שיקבע השר או כפי שהרשות תקבע, אבל פרק זמן שלא יעלה על, לצורך העניין. אנו חושבים שזה פרק זמן יחסית קצר.

בנוסף, הסיפור של שינוי המחייב עדכון. זה לא לגמרי טריוויאלי. יש מקרים - אפשר להתווכח על זה, אם השינוי היה מחייב עדכון או לא. נשמח שתבהירו על מה חשבתם כשדיברתם על זה.

 << דובר >> ראובן אידלמן: << דובר >>   

אנו צמודים להוראות מתי מתקנים את מסמך הגדרות המאגר, קבועה בתקנות הגנת הפרטיות אבטחת מידע, ואנו צמודים לחובת העדכון שם. לא מייצרים פה חובת עדכון נוספת. כשצריך לעדכן את מסמך הגדרות המאגר לפי התקנות, אז גם צריך ליידע. 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

כך מקובל להפנות, מאחר שלא מפנים בחוק ישירות לתקנות. זאת התקנה.

 << אורח >> ליאור אתגר: << אורח >>   

נשמח שיהיה כתוב- - - כי האינטרוול של השינוי- - 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

זה כתוב. - - - דרכי ההתקשרות עימו או שינוי המחייב עדכון של מסמך הגדרות המאגר - - -

 << אורח >> עמרי רחום טוויג: << אורח >>   

כאמור בסעיפים 17ב ו-36. תבהירו את זה.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

נכון. זה הושמט. אקריא מהנוסח שלי. וכן על כל שינוי בפרט מהפרטים האמורים או על שינוי במסמך הגדרות המאגר המתחייב בהתאם להוראות האמורות. מפנה לסעיף המסמיך לקביעת תקנות אבטחת מידע. תודה על ההערה.

 << אורח >> ליאור אתגר: << אורח >>   

בתקנות כתוב שינוי משמעותי. אפשר להתבסס על זה.

<< דובר >> נעמה מנחמי: << דובר >>  

לכן כתבנו שינוי המחייב עדכון.


 << אורח >> עמית יוסוב עמיר: << אורח >>   

בהתאם להוראות האמורות – שיהיה ברור שאנו הולכים אחרי החובה בתקנות ולא- - -

 << אורח >> עמרי רחום טוויג: << אורח >>   

לגבי מסמך הגדרות המאגרים. דיברנו על זה אני חושב בדיון הקודם, רשימה ארוכה של הפרטים שהוצעה בתחילה. מסמך הגדרות המאגרים כולל גם מידע על הסיכונים שחלים על המאגר ודרכי התמודדות איתם. אני חושב, שאולי לא נכון שמידע כזה יסתובב בהיקפים גדולים, או לכל הפחות לפחות לא דרכי ההתמודדות עם הסיכונים. כיוון שיש פה היבטי אבטחת מידע, אני מציע לחשוב על זה. 

<< דובר >> נעמה מנחמי: << דובר >>   

מציעה להוסיף לרשימת הסיכונים את העובדה שהמידע הזה נשלח כרגע במייל.

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

בדיוק. לכן אני אומר. 

 << דובר >> ראובן אידלמן: << דובר >>   

הרשות להגנת הפרטיות מקבלת כדבר שבשגרה מסמכים בנוגע לאבטחת מידע כחלק משלל הליכי האכיפה ומאות אירועי אבטחת המידע שמטפלת בהם בשנה. זה דבר שגרתי לגמרי. יש לזכור שאנו מטפלים בדלפים ובאירועים שקורים בזמן אמת כך שאין פה סיכון יתר מעצם העברת המידע. זה חלק ממסמך הגדרות המאגר. דובר על זה בדיון הקודם שמסמך הגדרות המאגר זו דרישה- -

<< דובר >> נעמה מנחמי: << דובר >>   

איך המסמך הזה מגיע אליכם? במייל? העדכון.

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

אני מניח שניצור ממשק באתר.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

מניח שניצור ממשק מאובטח שמאפשר את זה. ברור.

<< דובר >> נעמה מנחמי: << דובר >>   

זה לא ברור. זה גם עלה בפעם הקודמת.

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

יהיה ממשק באתר לגבי היידוע. לגיטימי שיהיה ממשק מאובטח. בסדר. לא צריך להירשם בחוק אבל בסדר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מועדים? 14 יום קצר מדי?

 << אורח >> ליאור אתגר: << אורח >>   

30 זה סביר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

30. 

 << אורח >> גלעד סממה: << אורח >>   

כשנגיע לעיצומים נהיה יותר נחרצים. 

<< דובר >> נעמה מנחמי: << דובר >>   

התחלנו גם את סעיף 10. דיברנו על 10(1). דיברנו על מועדים. עלה הנושא של 60 יום.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לא הבנתי. לכם ייקח 60 יום לרשום אבל רציתם שיגישו לכם מסמכים תוך 14 יום? איך זה עובד?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

זה רק לשליחה, הדיוור, יהיה להם 30 יום.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה שנתתי להם 30 אתם לא יכולים להיבנות מזה. 30 זה ממני.

 << אורח >> ליאור אתגר: << אורח >>   

אתם יורדים ל-4% מהמאגרים שיש לכם היום ומצפים ל-60 ימים. תהיה לכם מעט מאוד עבודה.

 << אורח >> ניר גרסון: << אורח >>   

העיבודים הולכים ונעשים מורכבים יותר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני לא דן בשאלת פרק הזמנים כרגע. סתם אומר, לרשום במאגר בתוך 90, 60 או 30, כשאנו מבקשים מאחרים להביא דברים תוך 14 יום זה קצת משונה, בהתחשב בעובדה, שלדעתי, כל רשות שלטונית במדינת ישראל שמקבלת בקשה לעשות שימוש בסמכויותיה לפי חוק לתיקון סדרי המינהל החלטות והנמקות, התשי"א, אם אני זוכר נכון, צריכה תוך 45 יום להיענות. בתקשי"ר זה 14 יום. בחוק זה 45 יום. פעם היה שלושה חודשים. 60 יום לרשום במאגר בעידן הטכנולוגי של ימינו – מבין שזה מעורר שאלות ואת מבקשים המשכים ופינג פונגים – אני מבין, אבל 60 יום זה המון-המון זמן. המון. 

 << אורח >> ניר גרסון: << אורח >>   

בעולם של היום שבו מדווחים לנו ובמקרים שנותרו עדיין יוגשו בקשות רישום כדי שנבדוק, בעולם שבו העיבודים הופכים מאוד מורכבים גם אחרי שכל המידע היה בעיבודי דין מורכבים, שמערבים כל מיני אלגוריתמים של בינה מלאכותית, ייתכן מאוד שייקח יותר זמן.

 << אורח >> אייל שגיא: << אורח >>   

באילת כבר הייתם? אנחנו בינה מלאכותית, יש מאגרים פשוטים.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

יש לי שאלה אחרת. כאשר עד היום, כשלא נרשם מאגר, הוא לא היה יכול לפעול. זה היה הכלל. עכשיו אנחנו אומרים: יש חובת רישום, והרבה מאוד מאגרים, אין חובת רישום ומתחילים לפעול מיידית. השאלה האם כשהמאגר שלי הופך להיות מאגר חייב ברישום ונניח שלא חיכיתי לא את ה-14 יום ולא את ה-30 יום באדיבות היושב-ראש אלא מייד באותו יום שלחתי, האם זה אומר שעכשיו אסור לי לפעול כי עברתי את ה-100,000? מתי חייבים רישום?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

התשובה היא לא.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

סליחה, לא 100,000. גוף ציבורי – אני סומך עליהם. אני מדבר על במאגר למעלה מ-10,000 נושאי מידע של הדאטא ברוקרס. יש לו 9,900 נושאי מידע. אתמול בבוקר עבר את 10,000. שלח לכם מייד עם מעברו את הבקשה. האם הוא יוכל להמשיך ולעבוד עד שאתם תואילו בטובכם לרשום את המאגר או הוא כרגע בהולד ולא יכול לעבוד?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

יוכל להמשיך לעבוד.

<< דובר >> נעמה מנחמי: << דובר >>   

כי כתוב ב-ג: או שהוגשה בקשה – לא יעבד אלא אם כן נרשם, או שהוגשה בקשה לפי הוראות סעיף 9 וחלפו 30 ימים מציעה להוסיף וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום מאגר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כלומר כדי שאתם תוכלו לעצור אותי את הדאטא ברוקר מלפעול, אתם צריכים תוך 30 יום – יש פה לימבו, מה קורה באותם 30 יום.

<< דובר >> נעמה מנחמי: << דובר >>   

אפשר להוריד.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אם הגשתי בקשה לרישום, לי מותר לעבוד עד שתעשו לי סטופ. קחו שנתיים, מה אכפת לי? 

<< דובר >> נעמה מנחמי: << דובר >>   

ומה קורה אם אחרי שנתיים דופקים על הדלת?

 << יור >> היו"ר שמחה רוטמן: << יור >>   

יכולים לעשות זאת גם אם לא נרשמתי. קודם כל, על ג1 אם פעלתי כדת וכדין, ביקשתי בקשה לרישום, אני עובד. אתם תגידו לי סטופ, בין אם רשמתי את המאגר, בין אם לא רשמתי. אם אתם חושבים שזה הפרה שנתיים אחרי, אתם יכולים לומר לי. נכון שביקשתי מכם פרה רולינג ועוד נדבר על הסעיף של פרה רולינג. אבל בינתיים מותר לי לעבוד עד שתעשו לי סטופ. עד פה הכול בסדר. הגוף הציבורי שמבקש לרשום, לכאורה גם אם מגיש את הבקשה לרישום – הוא מסודר. יכול לפעול. אותו דבר. אז למה אני צריך מגבלת זמן עליכם?

 << אורח >> ניר גרסון: << אורח >>   

לכן חשבנו שאין צורך כי בחוק הקיים היום מי שמגיש בקשת רישום, חלפו 90 יום ושתקנו, גם אם לא רשמנו יכול לפעול. אבל כיוון ששינינו את הפרדיגמה, ברגע שהגיש את הבקשה יכול להמשיך לפעול, לא היה רלוונטי משך עצמו בגלל מה שאדוני אמר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אמרתי – לכאורה יכול לתת לכם כמה שאתם רוצים אבל זה משנה את  הדיפולט, כלומר יכול להיות מצב שאחרי שנתיים שאני עובד בנחת, פתאום מצאתם את הבקשה שהגשתי לפני שנתיים והחלטתם לעבוד עליה ואומרים לי: לא רושם אותך, ובאותה שנייה אני צריך למחוק את המאגר. אסור לי לקיים אותו.

 << אורח >> ניר גרסון: << אורח >>   

ממילא הנטל עלינו בחלוף שנתיים יהיה הרבה יותר גדול.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

ובחלוף 30 יום?

 << אורח >> גלעד סממה: << אורח >>   

אמרנו, הצענו 60 ימים שזה זמן מספק בשבילנו.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני חושב לרשום אותו במאגר, ולא צריך בכלל לרשום זמנים. צריך לרשום את הזמנים בסעיף ג, שזה אומר נגיד את הזמן שאחרי 60 יום משנה את ברירת המחדל. אחרי 60 יום לא תוכלו להגיד: לא רושמים אותך ואסור לך לעשות את זה – תצטרכו לנקוט הליך הפרה.

 << אורח >> גלעד סממה: << אורח >>   

מקובל.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

תרשמו מתי שבא לכם, אבל אם לא תודיעו תוך 60 יום שאתם לא רושמים, אתם בבעיה.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

רק מבחינת הנוסח אני לא בטוח שהמקום שבו מוצע להכניס את זה, תהיה התוצאה שלו.

<< דובר >> נעמה מנחמי: << דובר >>   

אולי בסוף. אולי: וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית הרישום במאגר – או שחלפו 60 יום.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

בתוך 60 ימים.

<< דובר >> נעמה מנחמי: << דובר >>   

נכון. לא הודיע למבקש בתוך 60 ימים. עדיין לא בטוחה שזה יושב מספיק טוב אבל הבנו את הרעיון. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

ואולם אם דרש ראש הרשות ממגיש הבקשה מידע ופרטים נוספים, לא יובא במניין התקופה כאמור פרק הזמן שעד להגשת מידע ופרטים כאמור. כי זה יכול להיות לנצח.

 << דובר >> ראובן אידלמן: << דובר >>   

זה מתייתר לאור העובדה שלא קובעים פרק זמן.

<< דובר >> נעמה מנחמי: << דובר >>   

א1 אתה רוצה להוריד את הזמנים?

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כן.

<< דובר >> נעמה מנחמי: << דובר >>   

אבל אם אני לא נמצאת בכלל ב-ג?

 << יור >> היו"ר שמחה רוטמן: << יור >>   

את לא רושמת בכלל. אם תחשבו שצריך להשעות את הרישום, מותר לכם. השאלה אם זה לא ידחוף אתכם דווקא להשעות.

 << דובר >> ראובן אידלמן: << דובר >>   

אם הכנסנו את 60 הימים למעלה, זה כן נדרש, כי אחרת יכול להיות שאנו מבקשים מידע נוסף והוא לוקח את הזמן אז ברור שמירוץ 60 הימים לא ממשיך לרוץ בזמן שאנו מחכים ממנו לעוד פרטים. לכן נועד הסעיף הזה. אם הכנסנו למעלה את 60 הימים, את החריג צריך להכניס למעלה. צריך להיות צמוד לאיפה שפרק הזמן מופיע. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

ראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום המאגר או דרש פרטים נוספים. אפשר להכניס את זה גם למעלה. או דרש ממנו פרטים נוספים בתוך אותם 60 יום.

<< דובר >> נעמה מנחמי: << דובר >>   

זה הופך את זה ליותר מסורבל.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

יכול להיות. הרעיון מובן. הבעיה שלי – אם דרשו פרטים נוספים – זה מייצר פרק זמן מאוד ארוך, אבל בזמן הזה- -



<< דובר >> נעמה מנחמי: << דובר >>   

לא עצם זה שביקשו פרטים נוספים. זה שביקשו פרטים נוספים - מאריך את התקופה עד שענו על הפרטים.

 << דובר >> ראובן אידלמן: << דובר >>   

צריך לסרב.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

נכון. וחלפה התקופה האמורה בסעיף 10א1. יהיה 60 יום, ואולם – וכו' – לא יבוא במניין. זה שואב את הסעיף.

 << אורח >> גלעד סממה: << אורח >>   

לגבי השר באישור ועדת חוקה – הסיפא: וכן רשאי לקבוע הוראות לעניין - אופן ההודעה. חובת ההודעה, ג1(2). רשאי לפטור זה באישור ועדת חוקה.

<< דובר >> נעמה מנחמי: << דובר >>   

נכון. אופן ההודעה – לא באישור ועדת חוקה. אם זה לא מספיק ברור- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

הופכים את הסדר.

<< דובר >> נעמה מנחמי: << דובר >>   

אמרתי את זה כשהקראתי את זה. זו הכוונה. זה יהודק.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מצוין. ראש הרשות רשאי לרשום מטרה שונה מזו שפורטה בבקשה, לרשום מספר מטרות למאגר, או להורות על רישום המאגר כמספר מאגרים. ראש הרשות לא יסרב לרשום את מאגר המידע לפי פסקה (1) ולא יפעיל סמכויותיו לפי פסקה (2), אלא לאחר שנתן למבקש הזדמנות לטעון את טענותיו. 

 << דובר >> ראובן אידלמן: << דובר >>   

אלה סעיפים שנדונו בפעם הקודמת. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

(ב3)  ראש הרשות ימחק רישומו של מאגר מידע מהמרשם, אם הודיע לו בעל השליטה במאגר שהמידע שבאותו מאגר בוער או שהועבר למאגר רשום אחר ואינו קיים עוד או שאינו מחויב עוד ברישום. 

<< דובר >> נעמה מנחמי: << דובר >>   

הדיון שהיה פה בפעם הקודמת על מצב שבו יש לנו שני מאגרים שמאוחדים לאחד, והראשון לא מבואר אלא פשוט מועבר. נהדק את זה בנוסח אבל זו הייתה הכוונה. 

11, בהמשך לדיון שהיה כאן קודם, איני בטוחה שכרגע – הותרת סעיף 8א כפי שהוא מחייב בהכרח סעיף 11 כפי שהוא. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

פניה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע תלווה בהודעה  שיצויינו בה –

<< דובר >> נעמה מנחמי: << דובר >>   

אפשר גם להחיל את חובת היידוע בלי קשר לפנייה לאותו אדם לקבלת המידע תוך לעשות את זה בדומה ל-GDPR ותוך הוראת מעבר שאומרת שהסעיף לא יחול נגיד על עיבוד – שמידע שהתקבל או נאסף לפני תחילת חוק זה. הרעיון הוא שאם אתה מתחיל עכשיו עיבוד מידע או אוסף עיבוד מידע חדש, תדאג להודיע את זה לאנשים.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כלומר אני במצלמת הכותל שלי צריך לשלוח הודעות לכולם.

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

או לשים פלקט שאומר: כאן מצולם מידע שאחר כך אני מוכר במסגרת הפרויקט שיש לי למבקרי הכותל. הרעיון הוא ליידע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

ב-GDPR להבנתי זה לא רק ישירות מול נושא המידע. זה גם מול מי שממנו קיבלת את המידע.

 << אורח >> עמרי רחום טוויג: << אורח >>   

- - - חובה עקיפה אבל שוב, זה חובה מהותית של חובות שלא קיימות. למשל, האם חלה על אותו אדם חובה חוקית למסור את המידע או מסירת המידע תלויה ברצונו ובהסכמתו? דיברנו פה על מקרים שבהם איסוף מידע לא ישאיר מידע כהגדרתו בפרק ב' יכול להיות פטור מהסכמה לחלוטין אז על מה בדיוק איידע?

 << אורח >> ניר גרסון: << אורח >>   

גם ביל הסכמה. יש ערך ליידע.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

צריך ליידע- - -

 << אורח >> עמרי רחום טוויג: << אורח >>   

ב-GDPR מיידעים על הבסיס החוקי שעל בסיסו מעובד המידע, שיכול להיות דברים רבים שאינם הסכמה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל עדיין צריך ליידע את נושא המידע.

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

אבל יש בסיסים חוקיים רחבים שמאפשרים לעבד את המידע בנסיבות שעדיין- - -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

זה גם פה.

<< דובר >> נעמה מנחמי: << דובר >>   

נעשה הפוך – מתי אינך מיידע?

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

לפי ה-GDPR – קודם כל, יש חריגים. תכף נדבר עליהם. אני מדבר על הכלל. תוכן היידוע.

<< דובר >> נעמה מנחמי: << דובר >>   

עוד שנייה נדבר על התוכן. מתי אתה לא מיידע?

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

יש פטורים שחלקם כתובים פה. למשל אם זה בלתי אפשרי או יש נטל בלתי סביר. זה לא כתוב פה כי פה יש דרישה כפולה – גם בלתי אפשרי וגם זה למטרת ארחוב.

<< דובר >> נעמה מנחמי: << דובר >>   

אלא אם מתן ההודעה כנדרש היה בלתי אפשרי או דורש מאמץ בלתי סביר.

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

והעיבוד נעדה. ה-ו לא קיים ב-GDPR. או שהעיבוד נעשה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

בסדר.

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

ויש חריג נוסף ב-GDPR שנמצא גם בתקנות הרישוי, ששם יש חובת יידוע עקיפה שמגיע מהאיחוד האירופי – שזה מצב שבו בעל השליטה במאגר יש לו יסוד סביר להניח שנושא המידע כבר יודע את זה כי קיבל את היידוע הזה ממישהו אחר בשלב מוקדם יותר. חשוב שיהיה פה. יש את זה גם בתקנות הגישור.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

יש לומר, ההצעה כשלעצמה מבורכת, אבל זה עניין מאוד גדול ומורכב. אני מניח שחברות שעושות את זה ממילא, - - - הנטל הרגולטורי עליהן פחות משמעותי מהוספת ההוראה. חברות אחרות אנו דנו בזה בתקנות הגישור לגבי חברות שלא מותאמות היום.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מוצע לכן הוראות המעבר.

<< דובר >> נעמה מנחמי: << דובר >>   

אפשר הוראת מעבר או בתחילה נדחית של שנתיים כדי לתת לרשות שהות מספקת ליידע את החברות.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

אחד הדברים שנכנסו בתקנות הגישור, ומתוכננים לתיקון 15, בהחלט נדרשנו לנושא. גם בתקנות הגישור יש הוראה הרבה יותר ארוכה של חריגים. יש לזכור גם גופים ביטחוניים וגופים ציבוריים אחרים. יש חובות סודיות, כל הסיפור העיתונאי. אם רוצים להיכנס לדיון בסעיף כזה, יש לפרוס יריעה רחבה לגבי השיקולים שאמורים להיכנס פה לעניין החריגים. זה לא שיש לנו התנגדות עקרונית כאמור. עיקר הנטל פה הוא על המשק אבל אם רוצים, צריך להציע נוסח מסודר ולהיכנס פה לדיון כי החריגים לא יכולים לעמוד כשלעצמם. למשל, ברור שגופי הביטחון לא יכולים לעמוד בזה. גם גופים ציבוריים אחרים.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

השאלה היא למה לא לקחת את מה שיש לנו בתקנות הגישור ולהעלות אותו לרמת החקיקה לכולם? עשינו בגישור, החלנו את זה – אמרנו: באותו מאגר לא יהיו דרגים. השאלה, האם לא הגיע הזמן לצעד נוסף ולקחת בגדול מה שיש בתקנות הגישור?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

אין מניעה עקרונית אבל גם אין התנגדות עקרונית.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

את אותו מנגנון, של רשאי לפטור מחובת היידוע לרשם, אפשר לעשות מנגנון דומה לפטור מחובת היידוע לאזרח, נקודתית.

 << אורח >> עמרי רחום טוויג: << אורח >>   

ואם אפשר לשקול את עניין התחולה הנדחית. זה יקרב אותנו יותר לתיקון 15.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לדיון הבא נכין הצעה בנושא הזה. כרגע אני חושב, שכדאי שנהיה באירוע של אנו מדברים על מי שפונה, כדי שזה יהיה הנוסח שכרגע אנו עליו. מבקש שלדיון הבא תכינו נוסח שמבוסס פחות או יותר על תקנות הגישור, ונכין אותו.

<< דובר >> נעמה מנחמי: << דובר >>   

10ב הממשלה ביקשה לדחות. אנו מגיעים ל-17.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

רק אם אפשר בסעיף 10 נראה שנשמטה איזו פסוקית, 10ו, הערה מהדיון הקודם של מרכז השלטון המקומי, בשאלה מה קורה אם ההפרדה היא בידי – הצענו להוסיף, סימנת בצהוב.

<< דובר >> נעמה מנחמי: << דובר >>   

חסרים לנו השלטון המקומי.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מירה בזום. אנו לא יכולים להסתדר בלי מירה אפילו לא לרגע אחד. אם היא לא פה, היא בזום.

<< דובר >> נעמה מנחמי: << דובר >>   

היה קושי שהעלו הרשויות המקומיות שעלול להיווצר מצב, שבו הם לא יוכלו להמשיך לפעול כי עוצרים להם את המאגר, ואז הרשות והממשלה התבקשו להציע נוסח והם הציעו לפתור את הקושי בהוספת הביטוי: אם שוכנע כי הדבר נדרש בנסיבות העניין כלומר כדי שהרשם יוכל להפעיל את האכיפה שלו – לא אכיפה. את התליית הרישום בצורה רכה יותר.

 << אורח >> ניר גרסון: << אורח >>   

זה לא אכיפה.

 << דובר >> נעמה מנחמי: << דובר >>   

נכון.

 << אורח >> מירה סלומון: << אורח >>   

כפי שציינו, הבעיה היא שהסעיף הזה כן אכיפתי, כי בא יחד עם הסעיף שאוסר על שימוש במידע ללא מאגר מידע רשום כשמדובר ברשות מקומית. לכן ביטול הרישום, הוא דה פקטו מהווה איסור השימוש במידע. כאשר מדובר ברשות מקומית, שהמידע דרוש לה לצורך התושבים שלה, לצורך מתן שירות לתושבים, מי שנפגע זה לא הרשות המקומית עצמה. היא לא סוחרת מידע. היא לא עושה הון מהמידע הזה. מי שנפגע זה צדדי ג' שהיכולת של הרשות לתת להם שירותים נפגע. לכן בטח ובטח כשמדובר במחזיק שפועל שלא כדין, וכשהרשות המקומית עשתה כל שביכולתה לטפל בבעיה, להשאיר את הסעיף כפי שהוא ולומר: אם זה דרוש לדעת הרשות להגנת הפרטיות לדעתנו זה לא מספק. 

אנו חושבים שזה לא מהווה איזון נכון בין השיקולים במקרה שמדובר ברשות מקומית דווקא כי הסעיף הזה הוא כן סנקציה, כן אכיפתי. הוא לא נקרא לבדו. נקרא יחד עם איסור לעשות שימוש במאגר המידע.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אולי חשוב להבהיר ואולי יפיס את דעת מרכז השלטון המקומי – בעצם יש קשר ישיר בין הדברים. העובדה שהדבר נדרש בנסיבות העניין מלמדת קודם כל שהוא מועיל, כלומר ברור שאם בעל השליטה עשה ככל יכולתו למנוע את ההפרה, וההפרה היא אצל המחזיק, וההתליה ממילא מופנית לבעל השליטה ולא למחזיק, ההתליה לא דרושה בנסיבות העניין. כלומר דרוש בנסיבות העניין מכיל בתוכו גם את העיקרון הבסיסי שזה מועיל. אם בעל השליטה עשה כל שביכולתו, וההפרה היא אצל המחזיק, לצורך העניין בעל השליטה יורה למחזיק להפסיק, ואז אנו הולכים לעולמות העיבוד ללא הרשאה.

 << אורח >> מירה סלומון: << אורח >>   

הבעיה שיש פה גם התליה וגם ביטול. הרעיון בהתליה לתקופה מסוימת, עד שהרשות המקומית מחליפה מחזיק, כמובן לא יכולה לעשות משהו בקשר למחזיק שעשה שימוש שלא כדין במידע שלה, למעט חילוט ערבויות, פיצויים מוסכמים וכדומה, אבל יש הבדל בין התליה לביטול והסעיף הזה לא מבחין בשום צורה בין התליה של המאגר לביטול מוחלט שלו, גם התליה – לאיזה פרק זמן, מה קורה במצב כזה לתושבים שצריכים את המידע הזה, כשהרשות צריכה מידע כדי לתת להם שירותים. האמירות שחשובות לפרוטוקול – אני לא מזלזלת לשנייה במה שאומר נציג משרד המשפטים לפרוטוקול לגבי האופן שבו עושים שימוש בביטוי הדרוש אבל האמירות פה לא מובנות שיקול דעת, לא קובעות פרק זמן, לא מייצרות ידיעה במצב שהוא – שוב, בשונה מסחר במידע שבו הכיס של הסוכן נפגע, פה הפגיעה היא בצדדי ג'. דווקא בציבור ולפעמים בציבור חלש. יותר צריך את המידע הזה ושהרשות המקומית תעשה בו שימוש. שמים הכול יחד באותן אמירות ואומרים: ככל שהדבר דרוש נסמוך על מנהל הרשות. אין לנו דבר נגד מנהל הרשות הנוכחי אבל החוק לא מתייחס לפרסונה ספציפית.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מה ההצעה?

 << דובר_המשך >> מירה סלומון: << דובר_המשך >>   

אנו חושבים שכשמדובר ברשות מקומית, קודם כל אי אפשר לדבר על ביטול של הרישום, ביטול של המאגר. כאשר מדובר בהתליה, יש להבהיר שההתליה היא לצורך תיקון ולא לצורך מחיקה מוחלטת או חוס יכולת לעשות שימוש אלא להבהיר שזו הכוונה – להתלות את הרישום כדי שאפשר יהיה לעשות תיקון של הדברים. ושוב, בהבחנה ממצב של מחזיק או בעל שליטה, מאגר מידע שאינו רשות מקומי. גוף ציבורי לא אכנס. בטח לא רשות מקומית.

 << דובר >> ראובן אידלמן: << דובר >>   

דובר על כך בהרחבה בדיון הקודם. היה דיון ארוך סביב הנושא הזה. גם לפי עמדת הוועדה הרישום נדרש בפרט לגבי גופים ציבוריים. לגבי גופים ציבוריים, למשל משרדי ממשלה, היכולת להטיל עיצום כספי הרבה יותר נמוכה. הסעיף הזה, שהוא סעיף שנעשה בו שימוש במקרים מאוד חריגים, ייעשה בו שימוש במקרים מאוד חריגים, נדרש ככלי אפקטיבי דווקא לפעמים מול רשויות ציבוריות שאין מולן כלי אפקטיבי אחר, במקרה שההפרה ממשיכה. הדוגמה שנתתי פעם קודמת היא במקרה של דלף מידע שהמידע האישי על אזרחי ישראל ממשיך למשל לדלוף ופרטיותם ממשיכה להיפגע, ויש התנהלות שלנו מול אותו גוף ציבורי וההפרה לא נפסקת, זה יכול להיות מקרה מתאים ליישום הכלי הזה. הייתי רוצה להאמין שלא נגיע לזה – לא עם משרדי ממשלה ולא עם רשויות מקומיות אבל הכלי הזה שהוא בחוק החדש, לא סעיף חדש, נועד כאמצעי חריג בדיוק לאותם מקום ששום אמצעי אחר לא יכול להיות אפקטיבי. הוספנו פה ריכוך מסוים בעקבות הדיון של הפעם הקודמת, שאומר שנפעיל את זה כשהדבר נדרש במקרה הספציפי כלומר נדרש להפסקת ההפרה. אני רוצה להניח שרשות מקומית - זה לא קורה ביום הראשון. יש פה תהליך שלם וגם כתוח שצריך לאפשר להם להשמיע טענותיהם וכו'. אני רוצה להאמין שלא נגיע למצב הזה אבל אם תהיה רשות מקומית שתצפצף במירכאות או גם גוף ממשלתי על הוראות של הרשות וכתוצאה מזה מידע ממשיך לדלוף החוצה והפרטיות ממשיכה להיפגע, יכול להיות מקרה מתאים לעשות שימוש בסעיף הזה. זה מקרה חריג. התוצאה של זה תהיה כפי שמירה אמרה שאי אפשר יהיה להשתמש במאגר המידע על כל המשתמע וזה כל היעילות שלו.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

השאלה היא האם השכנוע שהדבר נדרש בנסיבות העניין הוא החסם מפני התוצאות הקשות לרשות? אני אומר: האחריות של הרשות לתת הנחות לנכים שזקוקים להנחה בארנונה תלויה בשיקול הדעת של ראש הרשות להגנת הפרטיות? זה קצת קשה. לא שיש לי פתרון טוב יותר כרגע. אבל זה קצת קשה.

 << אורח >> מירה סלומון: << אורח >>   

אנו כבר רואים, שגם הרשות מתייחסת לכלי הזה כסנקציה. עובדה היא שהיועץ המשפטי לרשות להגנת הפרטיות מתייחס לזה בכפיפה אחת עם הסנקציות והעיצומים הכספיים כלומר גם הוא מבין שמדובר פה במכשיר לביצוע אכיפה כלפי גוף שלא עומד בתנאים. כפי שאמר אדוני, ביחס לסעיף 8, אותו דבר נכון ביחס לסעיף 10א. ההפרה רחבה מאוד. ההפרה של דיני הגנת הפרטיות בלי הסבר קלה כבחמורה, קטנה כגדולה, דין כזה או דין אחר, הכול  מאוד תלוי- -

 << דובר >> ראובן אידלמן: << דובר >>   

זה כלי להפסקת הפרה. זה לא סנקציה. כך זה גם מנוסח.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

שאתם לא יכולים לעשות את זה באמצעות כלי אחר?

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

מול גופים ציבוריים היכולת מאוד מוגבלת. זו האמת. הוועדה סברה, שנדרש רישום על גופים ציבוריים על אותן תכליות.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מה זה נותן? נניח שלא מירה אלא חלק ממיוצגיה יקבלו את המכתב שלכם שאומר: מאגר המידע שלכם אסור בשימוש, ויתייקו אותו באדיקות בפח האשפה וימשיכו לעשות מה שעושים. מה תעשו? כלום. מה זה נותן לכם יותר ממה שיש לכם היום?

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

קודם כל יש פה קביעה- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

את הקביעה הזו אתם יכולים לעשות באמצעות הטלת עיצום כספי על עיריית מעלה – מי אוהב להשתמש בשם הזה? עמית. נווה חמציצים. אתם תטילו עליהם מכתב שהם פועלים בניגוד לחוק. מה משנה אם תודיעו לכם שהמאגר מבוטל רישומו? איך זה שונה מאשר ששלחתם להם מכתב, ופרסמתם באתר הרשות ושלחתם את זה בהודעות דוברות ופרסמתם שהרשות הודיעה לנווה חמציצים שמאגר הזה שלהם אסור בשימוש והטילה עליהם עיצום כספי של 500,000 שקל? במה החיים שלכם שונים יום למחרת?

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

משפטית – דיברנו על זה הרבה בדיון הקודם. יש הבדל בין הסעיף הזה לקביעת הפרה כי הסעיף הזה אומר שהמאגר הזה, שיכול להיות מאגר שמשמש, ואפשר לחשוב על גוף ממשלתי בהקשר הזה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אין בעיה. הממשלה אני פחות דואג. הם חזקים מולכם.

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

המשמעות תהיה שמשפטית אסור לעבד מידע במאגר הזה. זה גם לפי סעיף 10ב2. יש פה איסור נורמטיבי חזק יותר מעצם ההפרה. לכן זה נדרש וצמוד לרישום.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל אסור לעבד מידע שהושג שלא כדין לצורך העניין. גם אם ההוראה הנורמטיבית הזו קיימת. יש מחלוקת ביניכם לעירייה לגבי 8א, האם הסעיף הזה חל או לא. העירייה אומרת שלא חל, אתם אומרים שכן. תטילו עליהם עיצום כספי, יריבו אתכם בבית משפט, לא יריבו, ילכו אתכם ליועץ המשפטי, יביאו אתכם לוועדת הכנסת וישאלו למה אתם כאלה. יעשו מה שרוצים. אתם אמרתם: שיגעתם לנו את השכל – לא רק שאנו מטילים עליכם עיצום כספי שלא הקשבתם לנו וגררתם אותנו לבית משפט – אנו אומרים לכם: אין מאגר. הם ממשיכים לצפצף עליכם. מה קורה?

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

זה מסלול מקביל מאשר הטלת עיצום כספי. זה לא סנקציה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

עזוב אותי השמות. איך החיים שלך שונים למחרת?

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

מה נעשה בשלב הבא, אם נשלח פקחים לסגור פיזית.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

יש לכם סמכות?

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

יש לנו סמכות להגיע למקום – ודאי, ואם יש לנו יסוד סביר להניח שהופר החוק אנו יכולים להוציא צו תפיסה מבית המשפט ואפשר גם לתפוס שרתים. רוצה להאמין שלא נגיע לזה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אתם יכולים לעשות את זה גם אם לא סגרתם את המאגר. השאלה מה מוסיף לכם הדרג הזה.

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

משפטית יש חשיבות גדולה מאוד לזה שיש פה קביעה שהמאגר הזה בלתי חוקי, ומרגע זה אסור לעבד בו מידע. זו החשיבות של הסעיף הזה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל אם הוא כן חוקי?

 << דובר >> ראובן אידלמן: << דובר >>   

 אבל אני רוצה להאמין שרשות ציבורית תייחס משקל לזה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

היא תייחס משקל למכתב ההפרה שלכם, ההתרעה המינהלית שלכם.

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

זה לא אותו דבר. היא לא תהיה עבריינית עד הסוף ראש בקיר לא משנה מה. משפטית יש פה מדרגה נוספת שאומרת: המאגר הזה שבאמצעותו הרשות המקומית משרתת- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

בדיוק כשאנו מגלים שהיועץ המשפטי של משרד האוצר חושב שלא צריך להגיש תקציב בזמן לפי חוק יסוד, אתה חושב שרשות מינהלית לא תהיה עבריינית.

 << אורח >> מירה סלומון: << אורח >>   

גם אם היא תהיה עבריינית, בסופו של יום הגורם שנפגע כתוצאה מההתנהלות הזו, מהעובדה שלא מאפשרים לרשות- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לא מצליח להבין מה הדלתא עבורכם. לא מצליח להבין מה אתם מתרגשים. אם אתם מצפצפים על התרעה מינהלית – צפצפו גם על זה ואם אתם מתרגשים מזה – תתרגשו גם מזה. לא מבין על מה אנו רבים פה.

 << אורח >> ליאור אתגר: << אורח >>   

מופנה יותר לראובן – לא ברור מה התווך שבין עיבוד מידע לעיבוד מידע במאגר מידע כי כלי האכיפה שלכם הם רק סביב מאגר המידע, ומה שפה כבוד היושב-ראש מדבר והחבר'ה מהרשות המקומית – אומרים: אנו יכולים לעבד מידע. לא רשמתם מאגר המידע אבל העיבוד קיים. יש למצוא כלי לפקח על המצב הזה.

 << אורח >> ניר גרסון: << אורח >>   

גם אם לא רשום, קיים. זה כמו שעסק עם פעילות לא חוקית עדיין עסק.

 << אורח >> ליאור אתגר: << אורח >>   

אם אתה לא בהפרה של סעיף 22 לצורך העניין, אתה בעיבוד מידע שיכול לטעון: אני לא מפר שום דבר. אתה אומר: אמרת לרשום מאגר. יש פה התנגשות.

 << אורח >> ניר גרסון: << אורח >>   

בישיבה הקודמת היה על זה דיון ארוך. יש הבדל כי כשהרישום מותלה או מבוטל – גם התליה תהיה צעד אחרון – זה עוד לא קרה – הופך את העיבוד לעברייני לגמרי, ואנו באמת רוצים להאמין שגוף ציבורי גם אם היה ויכוח והפר פה ושם, לא ירצה להגיע למצב שבו הוא מוכרז כעברייני לחלוטין.

 << דובר >> ראובן אידלמן: << דובר >>   

בהצעת חוק שהתכליות שלה הן חיזוק כלי האכיפה של הרשות להגנת הפרטיות, אנו מבקשים לשמור על הסמכות הזו שהיא קיימת בחוק הקיים, והיא כלי נוסף בארגז הכלים המוגבל מול גופים ציבוריים.

 << אורח >> מירה סלומון: << אורח >>   

אבל היום יש איסור נוסף שמיתוסף במסגרת הצעת החוק – זה פעם ראשונה. פעם שנייה, הגיע הזמן שנוסחים משנת 1980 ו- יעברו עיבוד וחשיבה מחדש, כי בכל זאת יושבים בוועדה על המדוכה ומנסים להבין את המשמעויות ונוסחים שבעבר היו אולי מאוד ברורים, שנותנים סמכויות רחבות בלי לחשוב על ההשלכות והמשמעויות. ופעם שלישית, שוב, יש פה אוכלוסייה שנפגעת כתוצאה מהסנקציה הזאת. זה מתחדד עוד יותר כשהבעיה היא אצל המחזיק ולא אצל הרשות המקומית.

 << אורח >> ניר גרסון: << אורח >>   

אם הבעיה אצל המחזיק וניתקת את הקשר איתו - אמרתי הרבה פעמים – לא נתלה לך את המאגר כי לא נחוץ בנסיבות העניין, נקודה.

 << אורח >> גלעד סממה: << אורח >>   

בנוסף, מירה, דווקא כשמדברים על חקיקה ישנה שלא מעודכנת, אנו במציאות שצריך לחזק את כלי האכיפה של תחום עיבוד המידע. אנו לא צריכים להיות במקום שבו אנו אומרים: בגלל שיש רשות כזו או רשות אחרת – אנו בשיתוף פעולה מצוין אתכם ומכירים את המורכבוית של הרשויות המקומיות ופועלים בשיקול דעת מאוד גדול כדי לקחת בחשבון  את הקשיים שלכם, אבל מה שאת מציעה גם לא חל רק על הרשויות המקומיות - יחול על דברים אחרים ואנו כשאנו מעדכנים חקיקה שמטרתה חיזוק- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני משאיר את זה. אני חושב ששוכנע שהדבר נדרש בנסיבת העניין לא מעלה ולא מוריד יתר מדי. לא רואה את התועלת בזה. להפך, אני לא רוצה שתיכנסו לשיקול הדעת של נסיבות העניין של כל רשות.

 << אורח >> גלעד סממה: << אורח >>   

ממילא מדובר באירועים סופר חריגים.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני לא צריך את התוספת הזאת. גם לדעתי מירה לא חושבת שהיא עוזרת לה. נכון?

 << אורח >> מירה סלומון: << אורח >>   

עדיף כך בלי שום הבניה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני לא חושב שזה משנה. מה שתרצי, מפרגן לך. אני כן חושב, ובנושא הזה מה שגלעד אמר נכון – המטרה שלי בחוק הזה היא גם להגביר את הפיקוח על הרשויות השלטוניות. אני מכיר את מערך הכוחות ואת הבעיות בשלטון מרכזי מול שלטון מקומי אבל עדיין בסופו של דבר אני רוצה יותר פיקוח כלפי רשויות שלטוניות שמחזיקות מידע על אזרחים. זה אחת המטרות שלי. לצערי, עיצומים כספיים בדרך כלל פחות עובדים אל מול גופים ציבוריים. איפה אנחנו?

<< דובר >> נעמה מנחמי: << דובר >>   

17. אחריות לאבטחת מידע. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

בעל שליטה במאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.

השר, בהסכמת ראש הממשלה ובאישור ועדת החוקה רשאי לקבוע הוראות לעניין האחריות לאבטחת המידע הקבועה בסעיף קטן (א) ובסעיף 17ב(ב), ובכלל זה היקפה והחובות הכלולות בה, וכן לעניין דרכי אבטחת המידע כאמור, בין השאר בעניינים אלה: הגנה פיזית ולוגית על המאגר; סדרי הניהול וכללי העבודה במאגר המידע ובקשר אליו, לרבות לעניין קביעה של הגבלות על גישה של מועסקים למידע. בתקנות לפי פסקה (1), יכול שייקבעו הוראות שונות לגבי מאגרים בעלי מאפיינים שונים. תקנות לפי פסקה (1) יחולו על גופים המנויים בפרטים 2 ו-3 בתוספת הראשונה לחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח–1998 - יותקנו בהתייעצות עם שר הביטחון."

<< דובר >> נעמה מנחמי: << דובר >>   

השינוי שעשנו פה ממורקר בצהוב, שינוים נוסחיים. העברנו את הסכמת ראש הממשלה לראש כדי שיהיה ברור. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

יש פה הנוסח המשולב? על מי חל 17ב? 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

הסעיף הזה מאגם באופן יותר מפורש את הסמכות שהופעלה כבר היום בעת קביעת תקנות אבטחת מידע. המטרה שהסמכות תהיה יותר ברורה ומפורטת. אין פה שינוי מהותי, הסמכות להתקנת התקנות. יש פה כן עיגון של החובה לקבל את הסכמת ראש המשלה כמי שממונה על מערך הסייבר הלאומי לאור הקרבה הנושאית בין נושא אבטחת מידע והגנת הסייבר וכן לעניין אותם גופים ביטחוניים שמנויים בתוספת לחוק להסדרת הביטחון, שם נדרשת גם התייעצות עם שר הביטחון.

 << דובר >> ראובן אידלמן: << דובר >>   

הגופים הם משרד הביטחון, - - - ומפעלי משרד הביטחון שמוגדרים בצו. יש לנו התייחסות אליהם בהמשך בפרק הגופים הביטחוניים – אפשר להידרש יותר לעומק שם.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אז ראש הממשלה פה בסיפור הוא מצד הסייבר. זה הסעיף שבגלל התכנסנו.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אכיפת התקנות שכבר הותקנו, אבל המטרה היא שבספר החוקים תופיע הסמכה יותר- - 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

בסדר. 

<< דובר >> נעמה מנחמי: << דובר >>   

17א. מחזיק במאגרים של בעלי שליטה שונים. התיקון בסעיף א הוא נוסח והתיקון של סעיף ב – הסרתו.

 << דובר >> ראובן אידלמן: << דובר >>   

פה יש חובה רגולטורית שקיימת היום ואחרי שקראנו מחדש את החוק הגענו למסקנה שאין צורך. זה חובת לדווח לרשות על מי שמחזיק מעל חמישה מאגרי מידע. הוא צריך להעביר לרשות רשימה של מאגרי המידע שברשותו והפרטים שלהם. בחנו את זה מחדש והגענו למסקנה שזה סעיף שאינו נדרש היום. אנו מבקשים לבטלו. חובה רגולטורית שאינה נדרשת. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני חייב לדעת - מה העלות התקציבית שאני חוסך פה? אנחנו לקראת דיוני תקציב. 

 << אורח >> ליאור אתגר: << אורח >>   

כמות ההטרדות בנושא הייתה פשוט לא ניתנת לכימות. הנושא של מחזיקים מעולם לא טופל- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

צריך לקראת הקיצוצים הנדרשים. אגיד לבצלאל להעלות את המיסוי על מחזיקי מאגרי מידע.

 << אורח >> דן אור-חוף: << אורח >>   

באותה נשימה, סעיף קטן (א) בסעיף 17א הוא במידע רבה מיותר. הרשאות גישה נקבעות ממילא במסגרת חובות אבטחת המידע שיש בתקנות, גם בחובות שבהסכם מיקור חוץ בסעיף 15 לתקנות. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

למה הסעיף הזה קיים בנפרד? מה משמעותו? בכל מקרה כשאני מחזיק - - - גם מתקנות אבטחת מידע וגם מאחרים, הוא נקבע לפני שהיו תקנות אבטחת מידע.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אבל הוא מאוד שורשי, כי הרעיון שכשספק מחזיק מספר מאגרי מידע- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אם מחזיק רק מאגר מידע אחד של בעל שליטה אחד, הוא חייב לוודא שרק מי שמוסמך מקבל לפי ההסכם. יש פה מכלל הן אתה שומע למה לא.

 << אורח >> ניר גרסון: << אורח >>   

לא. לגבי קבלנים או מחזיקים מקצועיים שמשרתים משרתם של הרבה אדונים, זה גם לא נטל עליהם כי זה לא העסק שלהם.

 << אורח >> ענר רבינוביץ׳: << אורח >>   

זה נטל עצום. לפרט בהסכם מול כל בעל שליטה מי המורשים אצלי שייגשו – זה נטל עצום. זה לא רק שלא מצייתים. אי אפשר לציית. 

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אתם חושבים שכשמתקשר אדם ואומר: תוסיף לי מורשה אחר, יש הסכם בכתב בין הצדדים בנושא? אולי מתועדת הפנייה, אולי אפשר רטרו לקרוא לזה הסכם בכתב. אבל נכנס לי- -

 << אורח >> אייל שגיא: << אורח >>   

פגיעה בפרטיות של כל מורשי הגישה שהפרטים שלהם עכשיו עובדים. זה גם לא נעשה בהסכם היום, זה בניהול עצמי אצל כל המחזיקים. אתה נכנס לממשק, מוסיף מורשי גישה, מוריד מורשי גישה. זה לא מתנהל ככה מ-95' כשזה נחקק. חבל.

 << אורח >> ליאור אתגר: << אורח >>   

כל נושא ניהול ההרשאות היום מטופל בתקנה 15 ולא צריך לבוא לידי ביטוי באירוע הזה.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

יש בזה היגיון מסוים.

 << אורח >> עמית יוסוב עמיר: << אורח >>   

החובה המרכזית פה - מחזיק במאגרי מידע, להבטיח את ההפרדה בין מאגרי המידע השונים שלכל אחד מבעלי השליטה תהיה גישה רק למאגר שלו, היא- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מסכים איתך אבל גם אם אני מחזיק מאגר מידע של בעל שליטה אחד והוא אומר לי: את זה תדאג שהוא יראה ואת זה תדאג שהוא יראה, אני חייב אותו דבר, לפי תקנות אבטחת מידע הרגילות.

 << אורח >> עמרי רחום טוויג: << אורח >>   

והפוך. יש נותני שירותים קטנים יותר שבהם כל צוות התחזוקה של נותן השירות רשאי לקבל גישה לכל בעלי השליטה. לא סותר.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אבל זה מחייב במפורש בהסכם בכתב.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

אבל החובה פה להסכם בכתב הורחבה בתקנה 15 לכל בעלי- -

 << יור >> היו"ר שמחה רוטמן: << יור >>   

לכן אני אומר שזה מיותר.

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

אבל הרישא פה מהותית.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מהותית מיותרת. החובה הזאת קיימת גם אם זה בעל מאגר שליטה אחד. לא קשור לכמה בעלי שליטה. 

<< דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

אין פה אגב חובת הפרדה. יש פה רק חובה לקבוע מי ניגש. יכול להיות שזה כולם.

 << יור >> היו"ר שמחה רוטמן: << יור >>   


זה רק אומר שאם יש לי הסכם ואני מחזיק כמה מאגרי מידע, אני צריך לרשום בהסכם איתך את כל המורשים אצלי – אחרת אני מפר את החוק. אתה אומר: זה לא נאכף בפועל – משהו אחר, אבל אם אני מחזיק מאגר שלך ושלו, אני צריך לרשום בהסכם עם כל אחד מכם מי מורשה לגשת לכל מאגר. זה מה שכתוב.

 << דובר >> ראובן אידלמן: << דובר >>   

כיוון שזה סעיף בחוק הקיים שלא הוצעו לגביו שינויים, אם הוועדה תרצה, מציע שנוכל בדיון הבא.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מציע שנוריד אותו. 

<< דובר >> נעמה מנחמי: << דובר >>   

17ב לא נדרש לנו. נדלג על התיוקנים. התיקון לא נדרש – הסעיף נדרש, כי בחרנו לא להחליף את השם של הרשם לממונה אלא לראש רשות לכן לא מבלבל אותנו לקרוא לממונה על אבטחת מידע ממונה – אפשר להשאיר את שמו ולא צריך להחליף את שמו לאחראי על הגנת- - - אין צורך ב-17ב.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מצוין.

 << דובר >> ראובן אידלמן: << דובר >>   

אם אפשר לבקש – הוועדה רצתה בדיון הקודם לשמוע בנושא פיקוח הרוחב של הרשות ונמצא פה הממונה על פיקוח הרוחב.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

כמה זמן זה?

 << דובר_המשך >> ראובן אידלמן: << דובר_המשך >>   

זה לא צריך להיות ארוך אבל הוועדה ביקשה הרחבה בעניין הזה ונודה אם אפשר לעשות את זה היום ולא בדיון הבא. גם בדיון הקודם רצינו.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני יודע, אבל 15:30 ונתקשה לדעתי לדון בזה וגם להתייחס לזה נקודתית. אנחנו כבר באיחור. אני יודע שהאיחור היום של השעה נבע כתוצאה מהדיון החסוי שהיה מוקדם בבוקר למטרה טובה. 

<< דובר >> נעמה מנחמי: << דובר >>   

אני רוצה שיבוא לדיון הבא. רוצים לנהל על זה דיון.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

מתנצל. אני מסכים. לדיון הבא. תזכירו לי שיהיה בפתיחת הדיון. הבטחתי לגלעד, שיהיה קצר. לכן נחזור על הברכות על ההחלטה האחרונה.

 << אורח >> גלעד סממה: << אורח >>   

תודה, אדוני. אני רוצה להתייחס להחלטה של נציבות האיחוד האירופי. רבים מברכים אותנו, אפשר היה לראות את זה גם כאן בדיון על המשימה הזו, אבל היא ממש לא הסתיימה, וכשאני אומר אותנו זה לא רק הרשות להגנת הפרטיות – זה גם ייעוץ וחקיקה, חבריי שביושבים פה ואחרים שנמצאים במשרדם כרגע והובילו עבודה משותפת יחד אתנו הרשות ועם משרדי הממשלה השונים. אנו יכולים לראות פה שרגולציה מיטבית גם מסייעת לכלכלה ומחזקת אותה. אפשר לראות את זה גם בתגובות של אנשים שנמצאים פה כשהגיבו להחלטה הזו. כאמור המשימה ממש לא הסתיימה. החלטת הנציבות תיבחן על ידי הפורומים השונים באיחוד האירופי. אנו מקווים מאוד שתיוותר על כנה. יש שני דברים ברורים מההחלטה עד כה: אחד, שאנו חייבים לסיים בדחיפות את תיקון 14 כדי להבטיח שהתהליך הזה יסתיים בהצלחה גם כשיבוא לבחינתם של פורומים אחרים באיחוד האירופי. בדוח האיחוד דאגו להדגיש זאת באופן הכי מפורש שיש. גם שלחתי לאדוני את ההתייחסות בדוח הקצר. יש בתיקון 14 רכיבים מהותיים, שעל תיקונם עומדת החלטת הנציבות, ואנו חייבים להביא את ההליך הזה לכדי סיום. הדבר הנוסף הוא, פעילות הרשות בהנחיות, האכיפה וכדומה, היוו גשר בין החוק המיושן שאנו דנים בו היום להצלחת שימור התאימות. החלטת נציבות האיחוד והתבססות על פעילות הרשות במצב בו החוק כה מיושן מדגישים כמובן את ההישג. זו מחמאה גדולה לפעילות הרשות, אך הדבר מספיק בקושי כרגע לשלב הזה. האמירה המפורשת של הצוותים המקצועיים באיחוד האירופי, שנקדם בדחיפות את תיקון 14 ותעזרו לנו לעזור לכם.

אני מזכיר כמובן את הצורך החיוני – אדוני מזכיר זאת בתחילת כל דיון – בתיקון דחוף של תיקון 14 והוא העלאת החוסן הלאומי בזירת הסייבר, דבר שבא לידי ביטוי בהתייחסות למטה ביטחון לאומי וכמובן ביתר שאת עת התחילה המלחמה. אדוני מכיר את הנתונים. משכך אדוני אני מבקש ויודע שגם הוועדה וגם אדוני משקיעים – ואני מעריך זאת מאוד – משקיעים ומושקעים בתיקון. סד הזמנים לוחץ עלינו מאוד, מקווים שנהיה מוכנים להעברה בקריאה שנייה ושלישית ממש במושב הקרוב.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

ודאי. לא היה כזה דבר שעושים כל כך הרבה דיונים ארוכים.

 << דובר_המשך >> גלעד סממה: << דובר_המשך >>   

במושב הנוכחי כמובן, ואם יורשה לי לומר, עלינו לקחת בחשבון גם כל מיני התייחסויות שאנו עדיין נדרשים לעשות מצד יו"ר הוועדה בתוך משרדי הממשלה, וגם לקחת בחשבון את הזמן של חודש מרס עד סוף המושב הנוכחי שהוא זמן גם של מליאה, ואדוני מכיר את הדברים היטב. מודה גם ליו"ר הוועדה ולוועדה ולייעוץ המשפטי.

 << יור >> היו"ר שמחה רוטמן: << יור >>   

אני ממש מתנצל על הדיון היותר קצר ממה שתכננתי היום. אשתדל לפצות אתכם בשבוע שלאחר הבא – שבוע הבא איני נמצא. נאחז את השוק בקרניו, בדרך הארוכה שהיא קצרה, והקצרה שהיא ארוכה.
 
תודה רבה, הישיבה נעולה.


 << סיום >> הישיבה ננעלה בשעה 15:40. << סיום >>