פרוטוקול של ישיבת ועדה הכנסת 143 ועדת החוקה, חוק ומשפט 09/01/2024 הכנסת העשרים-וחמש הכנסת 22 ועדת החוקה, חוק ומשפט 09/01/2024 מושב שני פרוטוקול מס' 223 מישיבת ועדת החוקה, חוק ומשפט יום שלישי, כ"ח בטבת התשפ"ד (09 בינואר 2024), שעה 9:34 סדר היום: << הצח >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022 << הצח >> נכחו: חברי הוועדה: שמחה רוטמן – היו"ר חברי הכנסת: אחמד טיבי מוזמנים: גלעד סממה – עו"ד, מנהל הרשות להגנת הפרטיות, משרד המשפטים ראובן אידלמן – עו"ד, מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות ניר גרסון – עו"ד, סגן מנהל מחלקת ייעוץ משפטי ואסדרה, הרשות להגנת הפרטיות רביד פטל – הממונה על מערך פיקוח הרוחב, הרשות להגנת הפרטיות לינא כמאל טרודי – עו"ד, הממונה על האכיפה המינהלית, הרשות להגנת הפרטיות עמית יוסוב עמיר – עו"ד, מחלקת ייעוץ וחקיקה, משרד המשפטים לירון מאוטנר לוגסי – עו"ד, מחלקת ייעוץ וחקיקה, משרד המשפטים שירה גרטנברג – עו"ד, ייעוץ וחקיקה, משרד המשפטים דן אור-חוף – עו"ד, חבר המועצה, המועצה הציבורית להגנת הפרטיות אסף הראל – עו"ד, חבר המועצה, המועצה הציבורית להגנת הפרטיות יורם ביטון – מנהל אבטחת מידע, סייבר והגנת הפרטיות, המוסד לביטוח לאומי צחי שלום – ראש מינהל טכנולוגיות דיגיטליות ומידע, מרכז השלטון המקומי מירה סלומון – עו"ד, ראש מינהל משפט וכנסת, מרכז השלטון המקומי לירון בנדק – עו"ד, יועמ"ש נשיאות המגזר העסקי, סמנכ״ל רגולציה שחף קצלניק – עו"ד, יועץ משפטי, התאחדות התעשיינים יעקב עוז – יו"ר ועדת הסייבר והגנת הפרטיות, להב - לשכת ארגוני העצמאים והעסקים רחל ארידור הרשקוביץ – ד"ר, חוקרת, המכון הישראלי לדמוקרטיה נועה דיאמונד – עו"ד, מנחת הקליניקה לפרטיות, אוניברסיטאות ומוסדות אקדמיים יסכה בינה – עו"ד, התנועה למשילות ודמוקרטיה ד"ר עמרי רחום טוויג – עו"ד, מחלקת סייבר וטכנולוגיות מידע, גוגל ישראל ליאור אתגר – עו"ד, משרד EBN & Co אלן יוסף – עו"ד, משרד AOI דלית בן-ישראל – עו"ד, משרד נשיץ ברנדס אמיר ושות'. ענר רבינוביץ׳ – מנכ״ל, PRIVACY TEAM איה מרקביץ – עו"ד, PRIVACY TEAM אייל שגיא – עו"ד, משרד AYR - עמר רייטר ז'אן שוכטוביץ ושות' יעקב ספיר – עו"ד, אבטחת מידע משתתפים באמצעים מקוונים: ישי יודקביץ – עו"ד, ממונה משפטי לחקיקה ביועמ"ש, משרד הביטחון אפרת סוקולובר – פרויקטורית במחלקת אכיפה, הרשות להגנת הפרטיות מירב ולדמן – עו"ד, יועצת משפטית, איגוד לשכות המסחר יוגב עזרא – חבר ועד מנהל, העמותה למלחמה בספאם ענת אור-חוף – Or-Hof Law Firm יונת מנה – עו"ד, יועצת משפטית, גוגל ישראל הילה היבש – עו"ד, ייעוץ משפטי, קשרי ממשל ואחריות חברתית, מיקרוסופט ישראל ייעוץ משפטי: נעמה מנחמי אביה קירשנבוים לייבנר סגן מנהל הוועדה: אלירן כהן רכז פרלמנטרי בוועדה: אבירן יחזקאל רשם פרלמנטרי: ויקטור ינין אורי פנסירר רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות. << נושא >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496 << נושא >> << יור >> היו"ר שמחה רוטמן: << יור >> בוקר טוב. לצערי, אנחנו פותחים את היום הזה בצער, עם הודעה קשה ששמענו על סמל רועי טל, על רב סמל דוד שוורץ, רב סמל יקיר הכסטר ורב סמל גבריאל בלום, ששמענו עליהם ועל נפילתם הבוקר. אנחנו כמובן משתתפים בצער המשפחות ומאחלים החלמה לפצועים, מקווים שלא נצטרך להתעורר לבקרים כאלו ומשפחות לא יאבדו את יקיריהן, יקירינו, יקירי האומה כולה שמוסרים את נפשם למען זה שנוכל לשבת פה ולהתעסק בדברים שהם כמובן חשובים. כמו בפתיחת כל ישיבה, אני מזכיר שלמרות שהכותרת של הדיון פה איננה כוללת את המילים "חרבות ברזל", אנחנו מנהלים את הדיון הזה לבקשת המל"ל. זה להבנה של החשיבות של קיום הדיונים האלו גם בתקופת הלחימה. ועדיין, המעבר הזה הוא קשה, המעבר הזה של לפתוח בוקר בידיעה שכזו ולצלול לתוך פרטי פרטים של סעיפי חוק שלא מתחברים למציאות הקשה שאנחנו שרויים בה. אנחנו מקווים מאוד שהמציאות תשתנה, תשונה, בהתאם ובהקדם, על ידי חיילינו, מפקדינו הגיבורים, כדי שאת דיוני החקיקה בנושא הזה ובכל נושא אחר נקיים באווירה אחרת, בעזרת השם, בקרוב. אנחנו בעניין חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022. גברתי היועצת המשפטית, את רוצה להזכיר איפה אנחנו נמצאים? << דובר >> נעמה מנחמי: << דובר >> אנחנו סיימנו את הדיון הקודם בעיקר עם סיום הגדרות. התחלנו לדבר על חובת רישום. אבל נשארו עוד כמה הצעות לתיקונים סביב ההגדרות שאושרו או נדונו, חלק אושרו, חלק נדונו. << יור >> היו"ר שמחה רוטמן: << יור >> נעבור עליהן בזריזות, נגיד כמה מילים ובהתאם נמשיך. נעבור הגדרה-הגדרה. אנחנו עובדים בצמוד למסמך הכנה של הייעוץ המשפטי, מ-7 בינואר 2024, ותודה לנעמה על הכנתו. על הגדרה (1) כבר עברנו, היא לא חדשה. מה שמסומן בצהוב, הגדרה (5), בעניין הערכת אישיות. דיברנו על הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכות אישיות. התוספת שהוצעה: "לעניין זה, "גורם מקצועי" – מי שכדרך עיסוק מחווה דעתו על אישיותו של אדם". את רוצה להתייחס לזה, להערה זו? << אורח >> אלן יוסף: << אורח >> גם לזה. היינו רוצים לחדד מעט את ההגדרה של גורם מקצועי. לדעתנו, היום הגורם המקצועי מעט רחב, להגביל את זה לאיזשהו תחום הכשרה. לדוגמה, גורם שבהתאם להכשרתו מחווה דעתו על אישיותו של אדם. זאת אומרת, שזה יהיה קצת יותר חד ערכי. << יור >> היו"ר שמחה רוטמן: << יור >> זה קצת משונה שאנחנו דורשים רמה מסוימת של מקצועיות מאדם, ופחות מ-AI. כלומר, מה רמת המקצועיות של ה-AI? זה קצת קשור. אני חייב לומר: הערכת אישיות – אני הייתי נותן פה הגדרה מהותית. אני לא כל-כך אוהב את ההגדרה הזאת מה זה הערכת אישיות ולא אכפת לי כל-כך מי מבצע אותה. אני לא כל-כך מקבל את האמירה. אני לא כל-כך יודע להגדיר מה זה גורם. יש פה הערה: מורה, מפקד בצבא, מנהל בעבודה – האם זה נחשב? לא נחשב? אינני יודע. אבל אין הגדרה מהותית של מה זה הערכת אישיות. האם מישהו שאומר עליי "הוא טיפש" – זאת הערכת אישיות? האם מישהו שאומר עליי "שתיקתו רועמת" – זאת הערכת אישיות? אני לא יודע. אני באמת לא יודע. ולכן צריך להגדיר פה מה זה הערכת אישיות, איפה זה עובר. מה שעשינו, ניסינו לעקוף את זה דרך "הגורם". כלומר, אנחנו לא יודעים מה זה הערכת אישיות, אבל עם גורם מקצועי שכדרך עיסוק מחוות דעתו על אישיותו של אדם זה הופך את זה להערכת אישיות, בלי הגדרה מהותית. זה קצת קשה לי. << אורח >> ראובן אידלמן: << אורח >> - - - שזו לא אמירה בעלמא, אלא שזה משהו יותר מקיף. << אורח >> עמית יוסוב עמיר: << אורח >> קודם כל, אני מזכיר שמידע על אישיותו של אדם היום מוגדר בחוק מידע רגיש. המטרה, גם במסגרת הצעת החוק וגם בדיונים פה בוועדה והקו הברור של הוועדה, היא לצמצם ולדייק. לצד זאת, כמובן שהאמירה, באופן עקרוני, מהי אישיות של אדם, אכן היא אמירה עם עמימות מסוימת ואכן הכוונה היא לדייק את האמירה באמצעות הפנייה לגורם. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין מה התכוונתם לעשות. << אורח >> עמית יוסוב עמיר: << אורח >> בדיון האחרון אדוני ביקש לחדד את זהותו של אותו גורם מקצועי. עלו פה שאלות ותהיות לגבי השאלה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני לא בא בטענות על מה שעשיתם. אני רק אומר שבסופו של דבר אנחנו צריכים להסתכל על זה ככולל. אני מבין את הרצון להפנות לגורם מקצועי. בשנייה שנגיע לעולם ה-AI, אמצעי שמיועד לביצוע הערכות אישיות, שאלת המקצועיות שלו או לא מקצועיות שלא – מה זה, רמה מסוימת של אלגוריתם? << אורח >> עמית יוסוב עמיר: << אורח >> לא. אני אבהיר. המטרה פה היא לא לדון ברמת המקצועיות של המעריך, אלא בעובדה שיש לנו פה מסד נתונים מסודר. << יור >> היו"ר שמחה רוטמן: << יור >> שמיועד להערכות אישיות. << אורח >> עמית יוסוב עמיר: << אורח >> נכון. << יור >> היו"ר שמחה רוטמן: << יור >> אני קורא את החוק, בסופו של דבר צריך ליישם אותו. אני שמתי ברשת משחק סודוקו ושמתי עליו בוט של ה-AI שלפיו אני יודע שבן אדם שפותר את הסודוקו תוך x זמן הוא יותר אינטליגנט, מאשר בן אדם שפותר את הסודוקו תוך פחות זמן או בן אדם שמראש רואה סודוקו ובורח מזה ואני מבין מזה שהוא טמבל לגמרי. בסדר? לפי זה ה-AI מסווג את האנשים שעושים את הסודוקו. זה נחשב? זה לא נחשב? אינטליגנציה זאת אישיות או מצב פסיכולוגי? אני לא יודע. << אורח >> עמית יוסוב עמיר: << אורח >> באופן עקרוני התשובה היא כן. זאת אומרת, אם ה-AI הזה אמור עכשיו למסד רישום של המשתמשים במשחק – הם נכנסו לשעשוע רגעי, למשחק הסודוקו, ועכשיו יושב - - - << יור >> היו"ר שמחה רוטמן: << יור >> יושב עליהם ה-AI ומסווג אותם לפי רמת אינטליגנציה. << אורח >> עמית יוסוב עמיר: << אורח >> נכון. לא אומרים שזה אסור. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא טענתי שזה אסור או מותר. אני פשוט לא יודע אם אינטליגנציה זה חלק מהאישיות. << דובר >> ניר גרסון: << דובר >> כן, אדוני, כן. אני חושב שהכוונה היא למאפיינים מרכזיים או משמעותיים. << יור >> היו"ר שמחה רוטמן: << יור >> ולכן אני אומר שכדאי אולי לתת רשימת מכולת, של אינטליגנציה, מצב רגשי וכדומה. אני פותח את זה, אני לא יודע. אני רק אומר שכרגע ההגדרה היא מאוד טאוטולוגית. אם אני הייתי גם הולך לכיוון של עורכת הדין אלן יוסף, אני לא יודע. השאלה אם הפנייה לגורם מקצועי סגור היא לא ארכאית קצת, כאשר אנחנו מכניסים פה גם את הגורם של ה-AI. אני צריך לדעת בצורה יחסית בהירה, או בחקיקה או בהנחיות. כאשר אני מושיב AI לגלות מהירות תגובה או אינטליגנציה ברמה מסוימת, זה לא נחשב הערכת אישיות? אולי כן? אני לא יודע. וכשאני הולך לבדוק מצב רגשי, נפשי, אבל אל מול שמחה, לא יודע, זה כן או לא? אני לא יודע. אם היית משאיר לי גורם מקצועי, אז הייתי יודע, כי בדרך כלל אם בעל מקצוע כבר טרח ועסק בנושא, סימן שזה מספיק רגיש. אבל בשנייה שאני מוסיף לי פה הנושא של "האמצעי שמיועד לביצוע הערכות אישיות", קרי ה-AI, אני לא יודע מה זה כולל. << אורח >> ליאור אתגר: << אורח >> אני חושב שצריך להתמקד פה באינטרס המוגן. אנחנו מדברים פה על תחום ההשמה. אולי צריך פשוט להוסיף בסוף המשפט "לצורך השמה מקצועית" או "לצורך השמה תעסוקתית", לדעתי זה ימקד את ההגדרה הזאת למקום הנכון. << יור >> היו"ר שמחה רוטמן: << יור >> הרשות, זה האינטרס המוגן שלכם? << דובר >> ניר גרסון: << דובר >> לא רק, כי השמה זה אחד מהתחומים. מה עם חיתום? מה עם פרסום ממוקד? לא הייתי הולך לכיוון הזה. << אורח >> ליאור אתגר: << אורח >> הערכות אישיות זה לא המקרה של חיתום. << קריאה >> קריאות: << קריאה >> - - - << אורח >> עמית יוסוב עמיר: << אורח >> תיק אישי. << אורח >> ליאור אתגר: << אורח >> תיק אישי – יש לך בשביל זה הגדרות אחרות. << יור >> היו"ר שמחה רוטמן: << יור >> למה? אם אני רוצה לשווק תרופות נגד דיכאון? << אורח >> ליאור אתגר: << אורח >> יש לך הגדרות אחרות בשביל זה. צריכה, צרכנות. אנחנו בשלב ההגדרות, לא בשלב השימושים. << יור >> היו"ר שמחה רוטמן: << יור >> צריכה – לא עוזר לי. << אורח >> לירון מאוטנר לוגסי: << אורח >> את הצריכה הורדנו. << יור >> היו"ר שמחה רוטמן: << יור >> כן, גם הורדנו וזה גם לא עוזר. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אני חייב להגיד שהסוגיות שאנחנו מדברים עליהן כאינטרס מוגן עכשיו, נפרד, הן כבר סוגיות שעוסקות אולי בפרופיילינג או בדברים אחרים. זה כבר לא סוג המידע. זה כבר סוג שימוש במידע. גם ב-GDPR ובמקומות אחרים זה מוגדר לא כמידע. << יור >> היו"ר שמחה רוטמן: << יור >> אני חושב שהוא צודק. אני לא רוצה להתעכב על זה יותר מדי היום. אני לא חושב שהביטוי "אינטרס מוגן" מתאים פה, תנסו קצת למפות לאיזה סוג אלגוריתמים שפועלים היום בשוק אתם התכוונתם, או שאנחנו מצטמצמים לגורם מקצועי שעושה את זה ואז זה יותר קל לי. גם אם אני לא מקבל שאת זה צריך לעשות גורם מקצועי ולכתוב בדיוק "בעל תעודת MA מאוניברסיטה מוכרת", בסדר, אבל אני כן יודע שאם הושבת על זה גורם, בעל מקצוע, כנראה שזה מספיק חשוב לך ורגיש לך, ואני יכול להסתדר עם זה כי אני מבין מה זה אומר. בשנייה שזה נכנס לעולם ה-AI והערכות שכאלה, אני צריך לדעת איזה AI נחשב רגיש ואיזה AI לא נחשב רגיש. ושם ההגדרה צריכה להיות קצת יותר חתוכה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אני מציע לקחת בחשבון גם את ההבחנה בין דעות לעובדות, כמו שאמר אדוני. זאת אומרת, זה שמישהו מסוים, אפילו שעושה את זה כדרך עיסוק במקום עבודה, חושב שאדם לא חכם או לא נחמד חברתית – זאת לא הערכת אישיות, זאת דעה. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא יכול לרדת לרזולוציה הזאת. << דובר >> נעמה מנחמי: << דובר >> אבל אז ממילא זה לא גורם מקצועי. << אורח >> דן אור-חוף: << אורח >> אני רוצה להצביע על נקודה שהיא אולי רגישה בהקשר הזה, לדוגמה על הפרשה הידועה של קיימברידג אנליטיקה, חברות שעוסקות במה שנקרא פסיכוגרפיה של אנשים, ניתוח פסיכולוגי של אישיות כדי שאחר כך אפשר יהיה להשתמש בו לצורך מניפולציות כאלה או אחרות, על דעת קהל ועל קבלת החלטות של אנשים. << יור >> היו"ר שמחה רוטמן: << יור >> כן, אבל אני מניח שזה ייפול על פרט (4): "מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם או השקפת עולמו". << אורח >> דן אור-חוף: << אורח >> אדוני, זה לא בהכרח, בגלל שפסיכוגרפיה לאו דווקא נוגעת לדעה הפוליטית. << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא, זו יכולה להיות השקפת עולם. << אורח >> דן אור-חוף: << אורח >> אולי באופן כללי לדעות ואמירות. << אורח >> ליאור אתגר: << אורח >> צריך למקד את ההגדרה, מפוזר מדי. << יור >> היו"ר שמחה רוטמן: << יור >> אני מסכים, אם רוצים להכניס פה AI, חייבים פה מיקוד הגדרה. אם מדובר על גורמי מקצוע – גורם מקצוע. גם אם הוא לא יהיה במאה אחוז חתוך ויהיו כתובים בו המילים "לרבות" או "כדומה", אבל שיהיה איזשהו רפרנס. טוב, נמשיך: (6) "מידע על אודות עברו הפלילי של אדם". אתם מבקשים להוסיף: "או מידע על היותו של אדם נפגע אלימות או תקיפה מינית או על השתייכותו לאוכלוסיות בזנות". "תקיפה מינית והשתייכותו לאוכלוסיות בזנות" – זה בתוך פרט (1), אני לא רואה בזה שום צורך. לגבי "מידע על היותו של אדם נפגע אלימות" – תעלה השאלה למה דווקא נפגע אלימות, למה לא נפגע עבירה בכלל. אני לא יודע למה אנחנו צריכים. כלומר, "תקיפה מינית והשתייכותו לאוכלוסיות בזנות" – זה צנעת אישותו. זה הארדקור פרט (1). אני לא צריך לייצר לזה עוד רובריקה. לגבי "היותו של אדם נפגע אלימות" – בעיניי זה מיותר. אם רוצים, אפשר לעשות "מידע על אודות עברו הפלילי של אדם, לרבות היותו נפגע עבירה" – ואז זה לא קשור לאלימות. "לרבות היותו נפגע עבירה" – טיפה רחב מדי. לא רואה את האינטרס המוגן, גם לא על אלימות, כי מה ההבדל בין אם פרצו אליי הביתה או הרביצו לי מכות ברחוב? מהבחינה הזאת נפגע עבירה באותה מידה. ואם זה מידע מוגן – מידע מוגן. הנושא של המיני שאני מבין שהוא יותר רגיש, בהארדקור, הוא קיים ב-(1), על השולחן, לא צריך אותו במיוחד. אני הייתי מוותר בכלל, משאיר את "מידע על אודות עברו הפלילי של אדם", בלי להוסיף נפגע עבירה ונפגע אלימות. אם ישכנעו אותי פה מסביב לשולחן שצריך להכניס את נפגע עבירה, אוסיף את זה. אבל אני לא רואה סיבה אמיתית. זה רחב מדי. כל עבירה שהיא קשורה למשהו מיני ורגיש, היא נמצאת בתוך סעיף (1), על פניו, בדלת הראשית, לא צריך להכניס אותה בדלת האחורית. מבחינתי, את (6) נשאיר כמו שהוא, בלי התוספת בצהוב. יש הערות לזה? << אורח >> ראובן אידלמן: << אורח >> אנחנו חשבנו שיש בכל זאת קבוצה של נפגעי עבירה שלא נכנסים לתוך סעיף (1) כמו שהוא עכשיו, ולכן כן ראינו ערך בתוספת הזאת. ההצעה לגבי נפגע עבירה יכולה לתת מענה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל היא מאוד רחבה. << אורח >> ראובן אידלמן: << אורח >> לכן פה הצענו קצת לצמצם, לנפגע אלימות. וגם, העניין הוא שנפגע עבירה – זה יכול להיכנס למהי כן עבירה או לא. אנחנו כתבנו נפגע אלימות. המטרה הייתה שזה יהיה משהו קצת יותר רחב, בלי צורך לברר עכשיו אם זו הייתה עבירה או לא, לצורך הדבר הזה. יש גם עמותות שמחזיקות מידע על האוכלוסיות האלה. זה לא בהכרח ייכנס לתוך צנעת חיי המשפחה ודברים כאלה. חשוב שהמאגרים האלה יהיו ברמת ההגנה הגבוהה ביותר. << יור >> היו"ר שמחה רוטמן: << יור >> זה שבן אדם הותקף בהפגנה על ידי שוטר, זה מידע אישי. אבל להגיד לך שהוא מאוד רגיש? יכול להיות שאם אני אדע באיזה הפגנה זה היה, זה יהיה מידע על נטייתו הפוליטית. << אורח >> ראובן אידלמן: << אורח >> אדם יכול להיות קורבן של אלימות משטרתית גם לא בהפגנה - - << יור >> היו"ר שמחה רוטמן: << יור >> או באלימות משטרתית סתם. << אורח >> ראובן אידלמן: << אורח >> - - ואז זה אולי נהיה יותר רגיש. << יור >> היו"ר שמחה רוטמן: << יור >> במחילה, אני הייתי מוריד את זה לגמרי. נשאיר "מידע על אודות עברו הפלילי של אדם", מה שהיה. הנושאים, שאני באמת מבין את הרגישות שלהם, נמצאים ב-(1), מכוסים לדעתי. ואת הנושאים שהם שאר העבירות – לפעמים יכולות להיות עבירות רכוש שהן מאוד רגישות ועבירות אלימות שהן בכלל לא רגישות. לא הייתי נכנס לרזולוציה הזאת. הסעיף הבא שבו יש לנו תיקון – (10). << דובר >> נעמה מנחמי: << דובר >> ב-(13) יש בקשה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> גם ב-(7) יש איזשהו שינוי. << יור >> היו"ר שמחה רוטמן: << יור >> ב-(7) אין שינוי. זה מה שאמרנו בפעם הקודמת. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל אם יורשה לי בכל זאת אמירה קטנה על סעיף (7). סוגיה טכנית, אני לא חושב שהיא במחלוקת גם לפי משרד המשפטים, לפי מה שהיה בפרוטוקול. הרישה עוסקת בנתוני מיקום ותעבורה כהגדרתם בחוק סדר הדין הפלילי, וזה דיון שדנו בו גם חברים פה מסביב לשולחן. ההגדרה של נתוני תעבורה בחוק סדר הדין הפלילי אינה מוגבלת רק למנוי, כלומר מי שמקבל שירותים מספק מורשה או לספק מורשה. היא כוללת גם נתונים על מתקן בזק, שזה מונח אגנוסטי לחלוטין. ולכן בפועל, בהגדרה כמו שהיא עכשיו, תיכנס כל כתובת IP שנאספה, גם בלי קשר לחוק נתוני תקשורת ולא על ידי ספק מורשה. אנחנו מציעים לחדד שנתוני מיקום ותעבורה לגבי מנוי או שנאספו על ידי ספק מורשה. רק כדי לחדד, ההבנה שלנו הייתה, גם לפרוטוקול לדעתי, על ידי נציגי משרד המשפטים - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבל מה עם GPS? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> GPS נאסף, מה זאת אומרת? << יור >> היו"ר שמחה רוטמן: << יור >> לא, GPS לא נאסף על ידי מנוי של - - - << דובר >> ד"ר עמרי רחום טוויג: << דובר >> GPS זה לא נתון של תעבורה. << יור >> היו"ר שמחה רוטמן: << יור >> נכון, הוא "נתונים אודות מיקומו של אדם". << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, לא, אני מדבר על הרישה שעוסקת בנתוני מיקום ותעבורה. נתוני מיקום מוגדרים בחוק סדר הדין הפלילי ונתוני תעבורה מוגדרים בחוק סדר הדין הפלילי. << יור >> היו"ר שמחה רוטמן: << יור >> נכון. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> נתוני מיקום מוגדרים כנתונים על מנוי, כלומר מי שיש לו יחסים מול ספק מורשה, שזה בסדר. נתוני תעבורה מוגדרים לעניין מנוי, מתקן בזק, מקום או מועד מסוימים – ולכן הם מנותקים ממערכת היחסים שבין מנוי לספק מורשה. נתוני תעבורה לגבי מתקן בזק כוללים כל כתובת IP. כתובת IP היא לא "מידע בעל רגישות מיוחדת", בכל הכבוד. << יור >> היו"ר שמחה רוטמן: << יור >> זה נוגע ל"אדם מזוהה או אדם ניתן לזיהוי"? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> יכול, בהחלט. << יור >> היו"ר שמחה רוטמן: << יור >> לא. אם אתה בא ואומר "שמחה רוטמן השתמש במכשיר שלו דרך IP מסוים, ביום מסוים, בשעה מסוימת" – זה בהחלט יכול להיות מידע רגיש. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> למה? זה לא. אני מזכיר, הנתונים ברישה - - - << יור >> היו"ר שמחה רוטמן: << יור >> זה נתון תעבורה. זה כמו שאתה יכול להגיד "למה זה משנה לי אם אני יודע באיזה תא סלולרי השתמשת". << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, כי כתובת IP מזהה הרבה פחות מדויק מבחינת מיקום מתא סלולרי. אין בכלל דמיון בין הדברים. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא בטוח. לא, לא. זה לא תמיד. בוא תסכים איתי שאם אני ב-IP של הכנסת, בגלל שאני מתחבר ל-Wi-Fi בכנסת, או שאני נמצא בתא סלולרי בשטח של 20 קילומטר מרובע, הכנסת זה מקום קצת יותר מדויק מאשר 20 קילומטר מרובע שאני יודע שהתחברתי לתא סלולרי מסוים. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> קודם כל, אתה לא בהכרח יודע למי משויכת כתובת IP. << יור >> היו"ר שמחה רוטמן: << יור >> אתה צודק. מה שאמרת נכון. בשנייה שכתובת ה-IP לא משויכת לאדם מזוהה או ניתן לזיהוי - - << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, לא, סליחה, לא. << יור >> היו"ר שמחה רוטמן: << יור >> - - אז אני לא שם בהקשר אחר. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> היא יכולה להיות משויכת לאדם, אבל אני לא בהכרח יודע איפה המיקום של כתובת ה-IP הזאת בנקודה מסוימת. ההגדרה של נתוני תעבורה לא עוסקת בשאלה האם הם מעידים על מיקום או לא. אני שוב מחדד. הרציונל ברישה, וזה גם היה הרציונל של משרד המשפטים, לכסות - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא נכון. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> - - - על ידי ספקים מורשים בחוק התקשורת. זה פשוט מוציא את זה - - - << יור >> היו"ר שמחה רוטמן: << יור >> תכף תתייחסו לזה. אבל נתוני תקשורת? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> יש לנו את הסיפה שהיא מוגבלת, שזה בסדר. הסיפה אומרת "נתון אודות מיקום של אדם". אם הוא יכול להעיד על דברים אחרים, בסדר. אם כתובת IP - - - << יור >> היו"ר שמחה רוטמן: << יור >> "נתון מיקום תעבורה" – זה גם התקשרתי למספר פלוני או אלמוני. אבל לא משנה. << אורח >> ענר רבינוביץ׳: << אורח >> אני מזכיר שהמטרה של כל סוגי המידע הרגישים כאן, כל הסוגים האלה אמורים להיות אינהרנטית רגישים. כלומר, לא שייתכנו מצבים שבהם הוא רגיש. << יור >> היו"ר שמחה רוטמן: << יור >> אני מסכים איתך. << אורח >> ענר רבינוביץ׳: << אורח >> ולכן, אם נוכל להחיל את הסיפה על הכול, גם על נתוני התעבורה, אני חושב שזה ירגיע כאן את כל היושבים מסביב לשולחן. << יור >> היו"ר שמחה רוטמן: << יור >> שהסיפה של נתוני מיקום ותעבורה תהיה "רק אם יש בהם כדי לגלות על זה וזה"? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> גם זאת אפשרות. << אורח >> ליאור אתגר: << אורח >> נכון. אם המבחן נשאר מבחן אמיתי ולא טכני. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל החשש פה הוא ביג דאטה. נתוני מיקום ותעבורה של ספק תקשורת – החשש אצלם הוא הביג דאטה. << אורח >> ליאור אתגר: << אורח >> בסדר, אבל זה גם מוגן. זה דין אחר. << יור >> היו"ר שמחה רוטמן: << יור >> לא. איך זה מוגן? << אורח >> ליאור אתגר: << אורח >> מי שהוא ספק סלולר – זה מוגן תחת רישיון, זה עולם נפרד, זה עולם מקביל. << יור >> היו"ר שמחה רוטמן: << יור >> לא. << אורח >> ליאור אתגר: << אורח >> אנחנו מדברים על נתונים עצמם, על התוכן עצמו. כל עוד יש לנו את הסיפה, שזה מאפשר לנו לתת אינדיקציה של איכות – זה לא כל נתון, זה רק "אם יש בו כדי להעיד" – זה אומר שאנחנו במקום טוב. זה לא כל נתון, לא כל GPS. << יור >> היו"ר שמחה רוטמן: << יור >> חברים, אם אנחנו נחזור כל פעם להגדרות, לא נסיים לעולם. גם דיברנו על זה. אתם רוצים להתייחס לזה בקצרה, במשפט, ולסגור את האירוע? << אורח >> עמית יוסוב עמיר: << אורח >> רק נאמר שבסוף יש פה הגדרות משורשרות – בחוק נתוני תקשורת, בחוק התקשורת (בזק ושידורים). יש פה הגדרות מאוד בסיסיות, אנחנו לא חושבים שצריך עכשיו להיכנס. << יור >> היו"ר שמחה רוטמן: << יור >> הוא אומר שבהגדרה מאוד רחבה של זה, זה יכול גם, גם אם זה לא יושב אצל ספק תקשורת. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> כן, נתוני תעבורה שנאספו על ידי ספק מורשה. כל המונחים מוגדרים, אתם לא צריכים להוסיף עוד הגדרות. "נתוני מיקום ותעבורה שנאספו על ידי ספק מורשה, כהגדרתם בחוק". << יור >> היו"ר שמחה רוטמן: << יור >> השאלה אם זה מפריע לכם. << אורח >> עמית יוסוב עמיר: << אורח >> שוב פעם, ההגדרות פה הן משורשרות. ללכת עכשיו דווקא להגדרה של ספק מורשה? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> זאת ההגדרה בחוק - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין מה הוא אומר, כי מקורם של נתוני מיקום יכול להיות גם לא מספק מורשה, אלא למשל מהסלולר שלי או מתוכנת צד ג'. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> או מחברת טוסטרים שאוספת. חברת E-commerce שמכרה טוסטר ואספה את כתובת ה-IP של מי שקנה את הטוסטר. כרגע זה נכנס להגדרה של נתוני תעבורה – וזו לא המטרה. << יור >> היו"ר שמחה רוטמן: << יור >> כן, אני מבין על מה הוא מדבר. << אורח >> לירון מאוטנר לוגסי: << אורח >> אבל ההגדרה של נתוני תעבורה היא יותר רחבה מזה. היא כוללת את כל המטא-דאטה ביחס לנתונים האלה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> כל עוד זה רק לגבי מנוי, בסדר, כי מנוי הוא מי שיש לו יחסים מול ספק תקשורת. אנחנו התחלנו את כל הדיון בנתוני מיקום כשנתוני מיקום הם לא מידע רגיש. << יור >> היו"ר שמחה רוטמן: << יור >> אני מוצא טעם בהערתו. תחשבו על זה לפעם הבאה, אני לא רוצה עכשיו. ככל שאתם יכולים לתת לזה מענה בהגדרה לפעם הבאה. אני חושב שיש היגיון במה שהוא אומר. אני מבין גם את - - - הנוספים, אני בעד שזה יהיה יותר חתוך, שזה יכלול את מה שאנחנו רוצים. (13) – את אומרת שגם כאן משהו התווסף? << דובר >> נעמה מנחמי: << דובר >> כן. הוועדה החליטה למחוק את פרט (13). משרד המשפטים רוצה להסב את תשומת ליבנו לכך שמאחר שהוא נמחק נדרשת הוראת מעבר בשים לב לתקנות הגישור. << יור >> היו"ר שמחה רוטמן: << יור >> מה אומרות תקנות הגישור? אני יודע מה זה תקנות הגישור. מה יש שם להגדרת מידע רגיש? << אורח >> עמית יוסוב עמיר: << אורח >> בין השאר, בהתאם להגדרה היום של "מידע רגיש" נקבעו עוד שני פרטים של מידע כמידע רגיש רק לעניין מידע שהתקנות חלות עליו. << יור >> היו"ר שמחה רוטמן: << יור >> שהם? << אורח >> עמית יוסוב עמיר: << אורח >> אחד, מידע על מוצאו של אדם, שממילא אנחנו מכניסים כאן. << יור >> היו"ר שמחה רוטמן: << יור >> אז לא צריך את זה. << אורח >> עמית יוסוב עמיר: << אורח >> שתיים, חברות בארגון עובדים. בישראל הנושאים האלה הם תלויי תרבות והיסטוריה, בישראל חברות בארגון עובדים לא נחשבת מידע רגיש. באיחוד האירופי זה מידע שהוא נחשב מאוד רגיש ומופיע ב-GDPR כמידע בקטגוריות המיוחדות. << יור >> היו"ר שמחה רוטמן: << יור >> בהקשר הזה אני דווקא בעמדה של האיחוד האירופי. זה אכן מידע רגיש, לפעמים גם מביש. << אורח >> עמית יוסוב עמיר: << אורח >> כרגע תקנות הגישור לעניין המידע שהן חלות עליו, מידע שמגיע מהאיחוד האירופי, קובעות שהמידע ייחשב למידע רגיש. כשאנחנו מבטלים את האפשרות - - - << יור >> היו"ר שמחה רוטמן: << יור >> ואז? << אורח >> עמית יוסוב עמיר: << אורח >> כרגע הנפקות בחוק היא לא יותר מדי משמעותית לעניין. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא חושב שאתם צריכים את זה באמת. << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו צריכים את זה לעניין התאימות, לעניין שימור התאימות. << יור >> היו"ר שמחה רוטמן: << יור >> התקנות לא מחייבות שמידע יוגדר כמידע רגיש, שזה נפקא מינה לעניין העיצומים. ברור שזה מידע אישי, נכון? אין ספק שזה מידע אישי. << אורח >> ראובן אידלמן: << אורח >> אדוני, זה בגלל שמבטלים על ההסמכה. הוועדה ביקשה לבטל את ההסמכה של השר לקבוע סוגים נוספים, ואז, מבחינה משפטית, זה שומט אוטומטית את הצו של שר המשפטים – במקרה הזה תקנות – שהגדיר סוגים כמידע רגיש. זו דרישה מפורשת של האיחוד האירופי, להגדיר מידע שמגיע מהאיחוד האירופי על חברות בארגון עובדים כמידע רגיש. << יור >> היו"ר שמחה רוטמן: << יור >> הבנתי. להגדיר את זה כמידע רגיש דווקא? << אורח >> ראובן אידלמן: << אורח >> כן, כן. << יור >> היו"ר שמחה רוטמן: << יור >> מה אכפת להם? << אורח >> ראובן אידלמן: << אורח >> ממש מופיע בבולד מה שנקרא. << אורח >> עמית יוסוב עמיר: << אורח >> שוב פעם: התקנות נועדו כדי להבטיח את התאימות. << יור >> היו"ר שמחה רוטמן: << יור >> יש לי הצעה אולי, אבל אחרת. אם מה שאנחנו רוצים זה לייצר תאימות, ומחר בבוקר באיחוד האירופי יקבעו משהו נוסף כמידע רגיש, וכדי לשמר את התאימות, אתם הכנסתם פה איזו שמיכה רחבה שמאפשרת צ'ק פתוח לשר. << אורח >> עמית יוסוב עמיר: << אורח >> באישור הוועדה. << אורח >> גלעד סממה: << אורח >> באישור הוועדה. << יור >> היו"ר שמחה רוטמן: << יור >> צ'ק פתוח לשר באישור הוועדה. אבל אני חושב שאולי כדאי להכניס הוראה, סעיף, במקום סעיף של שר באישור, כלומר לייצר פה את התנאי המהותי, אפילו להשאיר את שר המשפטים באישור ועדת החוקה, על מידע שהגיע ממדינה אחרת שמוגדר על פי דיני אותה מדינה כמידע רגיש, שהוא רשאי להגדיר אותו כמידע רגיש. כלומר, לייצר את המבחן המהותי הזה שאתם מדברים עליו, שאני מבין אותו, הוא משמר תאימות. אבל לא ששר המשפטים יוכל מחר בבוקר להחליט לגבי כל מידע שהוא מידע רגיש, אלא שהוא יוכל לקבוע על מידע שמגיע ממדינה אחרת שעל פי דיני אותה מדינה הוא מידע רגיש, הוא יוכל לקבוע שהוא ייחשב מידע רגיש לעניין חוק זה. ואז זה סעיף הסמכה – כי מחר בבוקר באיחוד האירופי יחליטו שצבע שיער, זה רגיש, לא יודע. << אורח >> גלעד סממה: << אורח >> אפשר כמובן לעשות את זה. אני רק אומר, גם אמרתי את זה בדיון הקודם, שבסופו של דבר אנחנו לא יכולים לחזות כל דבר. ואני מבין גם את הצורך אולי של יו"ר הוועדה שבכל דבר מהותי אנחנו נעבור את מסלול החקיקה הרגיל. << יור >> היו"ר שמחה רוטמן: << יור >> לא, להפך, הצעתי פה משהו אחר. הצעתי מבחן מהותי. << אורח >> גלעד סממה: << אורח >> הצעת מבחן מהותי כדי לשמר, למשל את - - - << יור >> היו"ר שמחה רוטמן: << יור >> זה גם ישמר לך את התקנות וגם כן ייתן לך פתח אם מחר בבוקר תצטרך גישור אחר. << אורח >> גלעד סממה: << אורח >> אבל יתכן שאנחנו נצטרך להגדיר מידע רגיש לאו דווקא בעקבות - - - << יור >> היו"ר שמחה רוטמן: << יור >> אז תבוא לחקיקה. את הצ'ק הפתוח הזה אני לא אתן. << אורח >> גלעד סממה: << אורח >> אין בעיה. אני רק עוד פעם אומר שאני חושב, כמודל, שבסופו של דבר אנחנו גם מדברים על חקיקה שיש לה הקשרים של טכנולוגיה. לעשות את כל המהלך, כל פעם, בגלל פריט כזה או אחר - - - << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, זה טיעון להשאיר את סעיף (13) בצורתו המקורית שאני לא בעדו. אני אומר: "שר המשפטים רשאי, באישור ועדת החוקה, לקבוע כמידע שהגיע" – ואם אתם צריכים הוראת מעבר של התקנות שאושרו כבר, זה בהוראת מעבר. << דובר >> ניר גרסון: << דובר >> אבל זה לא דווקא מדינה אחרת, זה יכול להיות ארגון בין-לאומי. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, תנסחו את זה, אני לא רב איתכם. בסדר גמור. גם מדינות בריקס, בסדר. << אורח >> עמית יוסוב עמיר: << אורח >> אני רק אומר לפרוטוקול, רק לדייק. ההגדרה בדין האירופי היא לא "רגישות מיוחדת", אלא "special categories". זאת אומרת, נצטרך למצוא נוסח שיתאים. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור, זה חלק מההתאמה. (10) "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם" – שעל זה דיברנו בפעם הקודמת. הוספתם: "וכן עובדת היותו של אדם מחוסר אמצעים". למה? להלן סעיף גידי גוב: "אין לי כסף, אין לי". << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו מחפשים לדייק ולהסביר מה בדיוק הרגיש. אנחנו מצמצמים מהמצב הכלכלי באופן כללי. יש מצב כלכלי ספציפי, שהוא לא משתקף רק בנתונים הפיננסיים, שאנחנו חושבים שהמידע עליו הוא מאוד רגיש מבחינת תפיסות חברתיות מקובלות, של מה רגיש בעיני אנשים. בסופו של דבר, יש פה החלטה ערכית. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא יודע. "מחוסר אמצעים" – זה מושג מאוד רחב. אין לי כסף ללמבורגיני – אני מחוסר אמצעים? זה מושג סופר רחב. << אורח >> לירון מאוטנר לוגסי: << אורח >> אנחנו ניסינו לכוון למעגלי עוני, נזקקות. פשוט מצאנו בחקיקה את השימוש במונח הזה, "מחוסר אמצעים". אנחנו גם יכולים לחשוב על מונח אחר. אבל כן חשבנו על כל העמותות. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא אוהב את זה, כי זה קצת כמו שדובר מקודם על ההבדל בין דעה לעובדה. "מחוסר אמצעים" – זאת דעה. יש "איזהו עשיר השמח בחלקו". יש אנשים שהם "אין עני אלא בדעת". זה יכול להיות כל מיני דברים. יש הרבה מאוד אנשים שהם מתחת לקו העוני. יש חברות שבהן זה כמעט 100% מהאנשים. זה הופך את זה למשהו שהוא מאוד ביישובים מסוימים בארץ, כל יישוב שהוא סוציו-אקונומי נמוך. זה מאוד רחב, זה לא באמת רגיש ברמה הזאת. אני חושב שכאשר מדובר על evidence, על עובדות, נתון על פעילות פיננסית, למשל על בן אדם שמרוויח 50% משכר המינימום, זה נתון רגיש כי אני יודע בדיוק את המשכורת של האיש. אבל להגיד "מחוסר אמצעים" או "עני"? בבחירה ערכית, כשאתה הופך את זה לרגיש – אתה הופך את זה לרגיש, אתה מייצר אמירה עם אלמנט של גנאי. בתחומי המשפט העברי – "יפה עניות לישראל". לא בטוח שזה דבר שהייתי רוצה להכניס פה כמושג. << אורח >> אייל שגיא: << אורח >> יש יתרון במה שהממשלה מציעה. אני אזכיר מאיפה התחלנו. << יור >> היו"ר שמחה רוטמן: << יור >> התחלנו ממקום מאוד לא טוב. ההגדרה שם הייתה מאוד רחבה. << אורח >> אייל שגיא: << אורח >> ההתייחסות למצב לא טוב נותנת את הקונטקסט. כמו שגם אמרנו לגבי בריאות: גם בריא – זה מצב בריאותי. לא לזאת הכוונה. וזה כן מכווין את ההגדרה לכיוון של מצב כלכלי. לא סתם, לא נטול קונטקסט, אלא משהו יותר ספציפי. << יור >> היו"ר שמחה רוטמן: << יור >> לא יודע, אני מעדיף evidence ולא הערכה. << אורח >> מירה סלומון: << אורח >> אנחנו דווקא מסכימים עם יושב-ראש הוועדה, שהיותו של אדם מחוסר אמצעים זה משהו שהוא יותר מדי מעורפל. מחוסר אמצעים – זה לא יכול לרכוש דירה ולכן נמצא במחיר למשתכן; מחוסר אמצעים – זה זכאי לדיור בהישג יד כי הוא לא יכול - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני אגיד יותר מזה, בהמשך למה שמירה אומרת. לצורך העניין, מרכז השלטון המקומי, עירייה, אוספת מידע, מקבלת תלושי שכר, ובסופו של דבר נותנת הנחה בארנונה, לפעמים על בסיס מצב כלכלי. << אורח >> מירה סלומון: << אורח >> "הנחת נזקק" קוראים לזה. << יור >> היו"ר שמחה רוטמן: << יור >> אני רוצה שהם יושיבו בן אדם שיגיע למסקנה, על בסיס נתונים שיש לו, שאדם הוא מחוסר אמצעים. שירשמו עליו "הוא מחוסר אמצעים" – ולא יאגרו את כל המידע, אלא להפך, ימחקו את כל המידע. מאגר המידע של מקבלי ההנחות בארנונה יכלול שהוא מקבל הנחה בארנונה כמחוסר אמצעים. הם לא ישמרו את המידע הרחב ביותר שעל בסיסו הם הגיעו להערכה הזאת, אלא הם העריכו אותו כמחוסר אמצעים ומחקו את כל המידע האחר. ואז הם ירדו ברמת האבטחה וירדו ברמת הצורך לזה. וככה אני אומר: חבר'ה, הכול אותו דבר. ברגע שהגדרתם אותו "מחוסר אמצעים", כבר תשמרו עליו את התלושים, כבר תשמרו את המידע, תשמרו את חשבון הבנק שלו – וזה כי הכול באותה רמה. אני מייצר פה גם תמריץ שלילי לעניין המאגר. זאת סתם דוגמה שעלתה לי בגלל שראיתי את מירה. מירה בכלל מביאה לי השראה, תמיד, מתחום השלטון המקומי. עכשיו היא לא תסכים איתי, כדי להראות שלא צדקתי. << אורח >> מירה סלומון: << אורח >> אבל באמת אנחנו לא מסכימים על הנקודה הזאת. כשמדובר ב"הנחת נזקק", כך קוראים לזה בנוסח, בתקנות ההנחה מארנונה, ראוי לשמור את התיעוד שהוביל למתן ההנחה כדי למנוע חשש לחוסר טוהר המידות או לקושי. << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות, אבל תחזיקו את זה בשני מאגרים נפרדים. << אורח >> מירה סלומון: << אורח >> בדיוק. << יור >> היו"ר שמחה רוטמן: << יור >> אחד תאבטחו מאוד ואחד לא. אחרת אתם תיתנו לכל עובד גישה להכול – כי זה כבר הכול רגיש. << אורח >> ליאור אתגר: << אורח >> אפשר פשוט להפנות למונח שנקרא "מידע פיננסי" בחוק שירות מידע פיננסי - - << יור >> היו"ר שמחה רוטמן: << יור >> עזוב, נשאיר את זה כמו שזה – "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם". << אורח >> ליאור אתגר: << אורח >> - - כי הוא גם משרשר למקורות המידע. << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא. "מידע על נתוני שכר ועל פעילותו הפיננסית של אדם" – נשאיר את זה ככה, בלי תוספות. "הרגלי צריכה" – הורדנו, מצוין. עכשיו עוד הגדרות שהצריך היה להתקדם לגביהן: "בעל שליטה במאגר מידע". << דובר >> נעמה מנחמי: << דובר >> הוספנו רק "עיבוד מידע". << יור >> היו"ר שמחה רוטמן: << יור >> במקום המילה "לנהל" – "לעבד". "מחזיק" – אמרנו, בעקבות הערות בדיון – "גורם חיצוני לבעל השליטה המעבד מידע עבורו". << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> לא ברורה לי המשמעות של "גורם חיצוני". האם זה כולל גם חברת בת, למשל? ב-GDPR למשל יש הגדרה של צד שלישי. לא ברור לי למה צריך לומר "גורם חיצוני". למה אי-אפשר להגיד "מי שמעבד מידע עבור בעל השליטה"? למעט עובדים. << אורח >> עמית יוסוב עמיר: << אורח >> זה בדיוק העניין. << יור >> היו"ר שמחה רוטמן: << יור >> זה דיון ארוך שהיה פה בפעם הקודמת, את גם היית פה. << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> נכון, אבל "גורם חיצוני" מכניס עוד בעיות. אם יש חברת בת שמעבדת עבור החברה, האם זה "גורם חיצוני" או לא? << דובר >> ניר גרסון: << דובר >> גורם חיצוני. למה לא? << יור >> היו"ר שמחה רוטמן: << יור >> ואם לא, תגידי שהוא הבעלים. אני חושב שדנו בשאלה למה ההגדרות האלו. כל הגדרה מייצרת איזושהי מורכבות. אני חושב שזה איזושהי נקודת האמצע נכונה. << אורח >> ראובן אידלמן: << אורח >> הנוסח הזה נועד לתת מענה לדברים שהטרידו את אדוני. << יור >> היו"ר שמחה רוטמן: << יור >> אני זוכר. אני מבין את הדבר, אבל זה סוג של מסקנה מהדיון הקודם. "עיבוד" – כל פעולה שמבוצעת על מידע אישי לרבות קבלה, איסוף, העתקה, שימוש, עיון, חשיפה, או מתן גישה; ואז, "שימוש" – כולל בתוכו דברים אחרים שהם מילים נרדפות. << אורח >> ראובן אידלמן: << אורח >> לא, אז יש סיבה. << יור >> היו"ר שמחה רוטמן: << יור >> אני רק מזהיר שמי שמתנדב למשוך את הקש הקצר כדי להתייחס להגדרה הזאת, יצטרך להסביר לי מה ההבדל בין "גילוי" לבין "חשיפה". רק נתתי פרומו. << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו הונחינו על ידי הוועדה לקחת את ההגדרה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אחר כך יגידו שאני מהלך אימים על עובדי ציבור, שהם צריכים להסביר מה ההבדל בין "גילוי" לבין "חשיפה". << אורח >> עמית יוסוב עמיר: << אורח >> השאלה היא טובה, לעניות דעתי זה אכן עניין של התלבטות. זה עניין נוסחי. בסופו של דבר אנחנו אומרים "כל פעולה". כשאומרים "כל פעולה" – הכוונה לכל פעולה. << יור >> היו"ר שמחה רוטמן: << יור >> אז למה אנחנו צריכים את הגדרת "שימוש"? << אורח >> עמית יוסוב עמיר: << אורח >> יש לזה כמה סיבות חצי קזואיסטיות. קודם כל, אני מזכיר שיש לנו את הפרק הראשון, לכאורה היה אפשר להבדיל בין הפרק הראשון לפרקים הבאים. בסוף, המילה "שימוש" – היא מילה שימושית. גם בהגדרה של processing ב-GSPR אחת מהמילים שבהן משתמשים כדי להגדיר זה "use". זאת אומרת, קצת קשה להתנתק לחלוטין. << יור >> היו"ר שמחה רוטמן: << יור >> אין בעיה, אבל "שימוש" מופיע תחת "עיבוד". תשאירו את זה ככה וזהו. << אורח >> ראובן אידלמן: << אורח >> לא, לא, אדוני. << אורח >> עמית יוסוב עמיר: << אורח >> לא, רגע. << יור >> היו"ר שמחה רוטמן: << יור >> למה צריך הגדרה נפרדת ל"שימוש"? << אורח >> עמית יוסוב עמיר: << אורח >> סיבה נוספת, שהיא גם קצת קזואיסטית, אבל היא חשובה ומרכזית, שכרגע תקנות אבטחת מידע משתמשות במילה "שימוש". המטרה היא להבהיר. בסוף, אין פה משמעות נורמטיבית עמוקה. כל פעולה זה עיבוד. אבל אנחנו לא רוצים שייווצרו כל מיני פערים נוסחיים, כל מיני שאלות. << יור >> היו"ר שמחה רוטמן: << יור >> מה ההבדל בין "עיבוד" ל"שימוש"? << אורח >> עמית יוסוב עמיר: << אורח >> "איסוף". << יור >> היו"ר שמחה רוטמן: << יור >> אבל "שימוש" כולל "אחסון". מה ההבדל בין "אחסון" ל"איסוף"? << אורח >> עמית יוסוב עמיר: << אורח >> פעולת האיסוף עצמה, היא לא מוגדרת ב"שימוש". << יור >> היו"ר שמחה רוטמן: << יור >> יש לי הצעה ניסוחית: תכתבו "עיבוד או שימוש – כל פעולה שמבוצעת על מידע אישי לרבות קבלה, איסוף, העתקה, עיון, חשיפה, גילוי, העברה, מסירה, או מתן גישה". זאת אומרת, הכול נכנס להגדרה "עיבוד או שימוש". אלא אם כן ההגדרה הזאת לא טובה, ואז המילים שמשתמשים ב"שימוש" ילכו לאיבוד. אני פשוט חושב שאנחנו משחקים במילים, זה מאוד משעשע. << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו עדיין נצטרך את "שימוש" לפרק א'. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אז ההגדרה תהיה: "עיבוד או שימוש", זה המושג. עיבוד שווה שימוש. אין הבדל בין עיבוד לשימוש. << אורח >> עמית יוסוב עמיר: << אורח >> יש הבדל. << יור >> היו"ר שמחה רוטמן: << יור >> מה ההבדל? << אורח >> עמית יוסוב עמיר: << אורח >> שלב האיסוף. << יור >> היו"ר שמחה רוטמן: << יור >> מה ההבדל בין "איסוף" ל"אחסון"? איך אני אוסף משהו בלי לאחסן אותו? או מאחסן משהו בלי לאסוף אותו? << אורח >> מירה סלומון: << אורח >> וגם: למה "שימוש" זה "העברה ומסירה", אבל "עיבוד" זה "קבלה"? << יור >> היו"ר שמחה רוטמן: << יור >> אנחנו יכולים לעשות את זה על כל מילה, זה נורא כיף. הינה, תראו, שמישהו יסביר לי מה ההבדל בין "קבלה", "איסוף" לבין "אחסון"; מה ההבדל בין "גילוי" לבין "חשיפה או מתן גישה"; מה ההבדל בין "העברה ומסירה" לבין "העתקה". << אורח >> מירה סלומון: << אורח >> בגישה, בגישה לזה. << אורח >> עמית יוסוב עמיר: << אורח >> ברור שהכול מוחל. << יור >> היו"ר שמחה רוטמן: << יור >> יפה. מה ההבדל בין "עיבוד" ל"שימוש"? << אורח >> עמית יוסוב עמיר: << אורח >> שלב האיסוף. יש הוראות ספציפיות שמתייחסות לשלב האיסוף של מידע, שה"שימוש" לא חל עליהן. ה"שימוש" חל רק אחרי שאספת את המידע. אחרי שאספת את המידע, מה מותר לך לעשות? הדבר הראשון – אחסון, זה הדבר המיידי שקורה אחרי. אבל התיבה "שימוש" לא מתייחסת - - - << יור >> היו"ר שמחה רוטמן: << יור >> האם ניתן לאסוף מידע בלי לאחסן אותו? האם ניתן לאחסן מידע בלי לאסוף אותו? << אורח >> ראובן אידלמן: << אורח >> אבל ההסמכה בדין, למשל, היא הסמכה לאסוף. << אורח >> עמית יוסוב עמיר: << אורח >> יש הוראות נורמטיביות שונות, זה לא עניין - - - << יור >> היו"ר שמחה רוטמן: << יור >> אין לי בעיה, אני לא אמרתי לך שאסור לך לאסוף. אני רק אומר שהכול נחשב שימוש ועיבוד. << אורח >> ראובן אידלמן: << אורח >> לא, אבל זה שלב אחר בחיי - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני הבנתי. << דובר >> נעמה מנחמי: << דובר >> עמית, אולי תפנה אותנו להוראות שמטרידות אותך בעניין "איסוף"? << אורח >> עמית יוסוב עמיר: << אורח >> אני מציע שנגיע לזה בהמשך. << יור >> היו"ר שמחה רוטמן: << יור >> כרגע הצעתי שיהיה "עיבוד או שימוש", תכניסו את כל ההגדרות פנימה. כשניתקל באיזושהי הוראה בחוק או בתקנות אבטחת מידע או בתקנות הגישור, או בכל דבר חקיקה אחר שנראה לכם שדורש את ההבחנה בין "גילוי" לבין "חשיפה"; בין "העברה" לבין "העתקה"; לבין "אחסון" לעומת "איסוף" – אנחנו נעבד ונשתמש בהגדרות בצורה שונה. << אורח >> דן אור-חוף: << אורח >> מספר נקודות. קודם כל, בהקשר הטכני אכן יש מצבים ויש שירותים שאוספים מידע אבל לא שומרים אותו, כי יש תהליכים של איסוף מידע שבהם המידע מרובד על גבי מה שנקרא זיכרון נדיף. המידע לא נשמר, אבל הוא כן נאסף. << קריאה >> קריאה: << קריאה >> אז זה אחסון זמני. << אורח >> דן אור-חוף: << אורח >> זה אחסון שהוא נדיף, אין אחסון בכלל במצבים כאלה. יש רק עיבוד של מידע ומחיקתו. << יור >> היו"ר שמחה רוטמן: << יור >> כל זמן שאתה לא מנתק את השקע, הוא מאוחסן. << אורח >> דן אור-חוף: << אורח >> אדוני, אבל באופן כללי אני חושב שאנחנו מנסים לחסוך כאן בלבול ותלי תלים של פרשנויות לגבי הבדלים בין "עיבוד" ל"שימוש", כשלטעמנו אין צורך אמיתי בזה. אם ההגדרה עכשיו של "עיבוד" כוללת בתוכה "שימוש", שזה אכן מונח שגור בתקנות אבטחת המידע, אז אני לא רואה פה מקום לאיזושהי בעייתיות. << יור >> היו"ר שמחה רוטמן: << יור >> אגב, אפשר לעשות את מה שנעשה בחלק מדברי חקיקה, לכתוב "עיבוד לרבות שימוש, שימוש לרבות עיבוד" – ואז זה נפלא לגמרי. << אורח >> דן אור-חוף: << אורח >> "שימוש" זה גם חלק מהגדרת "עיבוד". << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע. << יור >> היו"ר שמחה רוטמן: << יור >> לכן אין צורך בהרחבה הזו. תנו לנו מונח אחד שיכלול הכול, keep it simple. << אורח >> ראובן אידלמן: << אורח >> אבל הצורך במונח "שימוש" - - - << יור >> היו"ר שמחה רוטמן: << יור >> הוא בגלל שכתוב לכם בתקנות אבטחת מידע "שימוש". << אורח >> ראובן אידלמן: << אורח >> לכל אורך התקנות. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא יכול לכתוב לכם הוראה שבכל מקום שכתוב בתקנות זה וזה, במסגרת הזו, יוחלף "שימוש" ב"עיבוד? << אורח >> ראובן אידלמן: << אורח >> לא, כי זה תקנות. << יור >> היו"ר שמחה רוטמן: << יור >> אפשר לשנות תקנות בחוק, תאמינו לי. << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> אבל ממילא צריך לשנות את התקנות. אמרתם בעצמכם בדיון הקודם שתקנות אבטחת מידע יעברו שינוי בהתאם לשינויים פה. << יור >> היו"ר שמחה רוטמן: << יור >> תביאו עם סיום החקיקה לאישור הוועדה. אני אומר באמת, אם זה רק החלפת מונחים, יש חוקים של החלפת מונחים. בכל מקום בחיקוק שרשום בתוספת שכתובה המילה "שימוש", היא תוחלף במילה "עיבוד" – וסגרנו את הסיפור. עושים את זה, עשו את זה ויעשו את זה. << אורח >> מירה סלומון: << אורח >> אדוני, אבל אם יש הוראות מסוימות שחלות אך ורק על "העברה ומסירה"? << יור >> היו"ר שמחה רוטמן: << יור >> יש הוראות כאלו? << אורח >> מירה סלומון: << אורח >> אני שואלת. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא מכיר. ואני אגיד לך יותר מזה. לא רק שאני לא מכיר, מאחר ועיבוד הוא לרבות שימוש – זה בכל מקרה לא משנה. << אורח >> מירה סלומון: << אורח >> אבל אם יש הוראות מסוימות שחלות אך ורק על "העברה ומסירה"? << יור >> היו"ר שמחה רוטמן: << יור >> אבל לפי ההגדרות כרגע "העברה ומסירה" נחשבות "עיבוד". << אורח >> מירה סלומון: << אורח >> נכון, אבל יכול להיות - - - אני לא יודעת. << יור >> היו"ר שמחה רוטמן: << יור >> יושבים פה מספיק אנשים, מוח קולקטיבי מאוד גדול. אנא, אם יש לכם מידע הנוגע לדבר הזה, גם תשתמשו בו וגם תעבירו אותו אלינו. וגם תגלו אותו. וגם תחשפו אותו. << אורח >> מירה סלומון: << אורח >> וגם תעבדו. << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> אם יש הוראות שהן מתייחסות לפעולה ספציפית מתוך הפעולות של השימוש, אפשר לחשוב אם נכון – ובחלק מהמקרים נכון – להטיל אותן דווקא על הגוף. נגיד, בעל השליטה במידע ימסור הודעה ולא מי שאוסף. << יור >> היו"ר שמחה רוטמן: << יור >> שום דבר ממה שאנחנו עושים פה לא מונע את האפשרות לעשות את זה. << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> ברור. זה דברים שאפשר להתמודד איתם בהמשך, ולא - - - שימור הגדרות. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור. הצעתי היא ברורה. << אורח >> עמית יוסוב עמיר: << אורח >> "עיבוד ושימוש". << יור >> היו"ר שמחה רוטמן: << יור >> או איחוד מושגים "עיבוד ושימוש" או התאמת התקנות. << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו נבקש לאמץ את החלופה הראשונה שאתה מציע. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, בסדר, אני אחיה עם זה. אני חייב לומר שהאקדמיה ללשון העברית ניצלה פה מאירוע מאוד קשה, שלא הייתה צריכה להסביר את ההבדל בין גילוי לבין חשיפה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> עוד לא הגענו להתממה, אדוני. << יור >> היו"ר שמחה רוטמן: << יור >> כן, כן. "אבטחת מידע – הגנה על שלמות המידע, או הגנה על המידע מפני עיבוד והכל ללא רשות כדין". "מנהל מאגר – המנהל הכללי של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה". << אורח >> אלן יוסף: << אורח >> היה לנו דיון ארוך בדיון הקודם. אנחנו באמת צריכים את "מנהל המאגר"? זאת באמת פונקציה נדרשת היום? בסוף זה בן אדם בשר ודם שלוקח אחריות אישית בנסיבות האלה. יש לנו את בעל השליטה, הוא אחראי על אבטחת המידע. המנכ"ל, בין כל הדברים שיש לו, הוא אחראי מעצם התפקיד שלו. השאלה למה אנחנו צריכים פה את ההגדרה הזאת של מנהל מאגר. ומעבר לזה, עוד דבר מהשטח. מאוד קשה למנות מנהלי מאגרים. << קריאה >> קריאה: << קריאה >> נכון. << אורח >> אלן יוסף: << אורח >> אנשים, וגם מנהלים, חוששים. ויש להם חשש אמיתי. << יור >> היו"ר שמחה רוטמן: << יור >> זה בדיוק מה שהם רוצים. את מציגה את זה כבאג. << קריאה >> קריאה: << קריאה >> יש אחריות תאגידית. למה? << אורח >> אלן יוסף: << אורח >> לא, אבל בסוף צריך להתחבר לשטח. << יור >> היו"ר שמחה רוטמן: << יור >> הם רוצים להפחיד אנשים. << אורח >> אלן יוסף: << אורח >> לא, אני לא חושבת שהם רוצים. << יור >> היו"ר שמחה רוטמן: << יור >> הם קוראים לזה "הרתעה", אבל תכלס רוצים להפחיד אנשים – ואז נשאל מה ההבדל בין "גילוי" ו"חשיפה" לבין הפחדה והרתעה. << אורח >> אלן יוסף: << אורח >> לא, אנחנו מכירים, אף אחד לא רוצה פה להפחיד. << יור >> היו"ר שמחה רוטמן: << יור >> להפחיד לרבות להרתיע. << אורח >> אלן יוסף: << אורח >> הרעיון הוא שבסוף צריך להתחבר לשטח. וכדי שהדברים האלה, שאבטחת מידע באמת - - - כמו שצריך, צריך להטיל את האחריות על בעל המאגר. הוא זה שאחראי, עם האנשים הרלוונטיים. << יור >> היו"ר שמחה רוטמן: << יור >> אבל הוא בכל מקרה אחראי. << קריאה >> קריאה: << קריאה >> נכון, אז למה צריך עוד אחריות? << אורח >> אלן יוסף: << אורח >> בסדר, אין בעיה, אז לא צריך. << אורח >> דלית בן-ישראל: << אורח >> אם אפשר רק להוסיף. בפועל, היום בארגונים, בעיקר בגדולים, החובות של מנהל המאגר מתבצעות דה-פקטו על ידי של אוסף אנשים בארגון ולא על ידי בן אדם אחד. את ההרשאות אולי קובע מנהל המאגר, אבל באבטחת המידע מתעסק ה- CISO– ממונה אבטחת מידע. בניגוד לממונה אבטחת מידע שבתקנות אבטחת מידע הוגדרו לו חובות ספציפיות ויש היום רשימה מה באחריותו, וזה גם די אינהרנטי - - - << יור >> היו"ר שמחה רוטמן: << יור >> למנהל כרגע יש איזשהו - - - << אורח >> דלית בן-ישראל: << אורח >> אין הגדרה בשום מקום. אין רשימת תפקידים בשום מקום. << יור >> היו"ר שמחה רוטמן: << יור >> שאלה טובה. למה נפקא מינה להגדרת מנהל? << אורח >> עמית יוסוב עמיר: << אורח >> קודם כל, האחריות היא באמת בתקנות אבטחת מידע, חד משמעית. << יור >> היו"ר שמחה רוטמן: << יור >> היא אומרת שעל ממונה אבטחת מידע. << דובר >> ניר גרסון: << דובר >> לא, היא לא רק בתקנות. << אורח >> דלית בן-ישראל: << אורח >> לממונה הוגדרו תפקידים בצורה מדויקת יותר, כדי שיהיה ברור על מה הוא אחראי. למנהל אין כזה. << דובר >> ניר גרסון: << דובר >> בואו נעשה סדר. מנהל המאגר – בחוק אין לו תפקידים. אבל יש לו אחריות על אבטחת מידע - - << קריאה >> קריאה: << קריאה >> אנחנו שואלים למה צריך. << דובר >> ניר גרסון: << דובר >> - - ויש לו גם כמה תפקידים בתקנות. << יור >> היו"ר שמחה רוטמן: << יור >> תראה, זה יותר טוב מגופים שיש להם אחריות ואין להם תפקידים. אבל עדיין - - - << דובר >> ניר גרסון: << דובר >> בחוק הגנת הפרטיות יש לו אחריות. << יור >> היו"ר שמחה רוטמן: << יור >> לא, סליחה, התכוונתי שזה יותר טוב מאנשים שיש להם תפקידים ואין להם אחריות. << דובר >> ניר גרסון: << דובר >> בתקנות העברת מידע בין גופים ציבוריים יש לו כמה תפקידים. יש לו גם כל מיני אזכורים והפניות בחקיקה חיצונית. לא אכנס לזה. << קריאה >> קריאה: << קריאה >> אז אפשר להשאיר את זה בגופים ציבוריים. << דובר >> ניר גרסון: << דובר >> למה זה נדרש? בחברה או בגוף ציבורי יש אחריות לאישיות המשפטית הכללית. אבל אם אין, פעמים רבות, כחלק - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל זו תורת האורגנים הרגילה. למה אתם צריכים? למה אין את ההגדרה הזאת בחוקים אחרים שמטילים אחריות על תאגידים? יש תורת האורגנים. כאשר אני מטיל אחריות פלילית על תאגיד, זה חל על האורגנים שלו בצורה כזאת, בצורה אחרת, לפי מבחנים שנקבעו בפסיקה, בדין הפלילי, בדין המינהלי, בדין האזרחי. למה בנושא אבטחת מידע או מאגר מידע אני צריך לייצר איזו חיה מיוחדת של אחריות כזאת? << דובר >> ניר גרסון: << דובר >> אבטחת המידע זאת אחריות. אבל מכיוון שמדובר בחובה מתמשכת, שכרוכה בהרבה תחומים - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי. וחובה לא לעשות זיהום אוויר – היא לא מתמשכת? << דובר >> ניר גרסון: << דובר >> אבל היא כרוכה, בייחוד בארגונים גדולים - - - << יור >> היו"ר שמחה רוטמן: << יור >> במה אתם שונים מתקנות אוויר נקי? << דובר >> ניר גרסון: << דובר >> אני לא יודע, כי לא מכיר את התקנות אוויר נקי. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> מפקודת הנזיקין באופן כללי. << יור >> היו"ר שמחה רוטמן: << יור >> אני חושב שעצם כמות הזמן שאנחנו משקיעים בחוק הגנת הפרטיות, מעידה על-כך שנושא הפרטיות הוא קרוב לליבי, שאני מאוד מעריך וחושב שהוא חשוב. אף אחד לא יכול להאשים אותי שאני מזלזל בנושא הפרטיות. אני תוהה למה הפרטיות של מאגר מידע היא נושא שאליו אני צריך לייצר דמויות ספציפיות, בניגוד לכללי התאגידים הרגילים, אבל אם בן אדם מחזיק פסולת רדיואקטיבית של כור אטומי – לא. << דובר >> ניר גרסון: << דובר >> אדוני, התשובה היא שקיים קונצנזוס שהאחריותיות – חלוקת תפקידים בתוך הארגון ועוד כל מיני דברים שהם כלולים באחריותיות – היא כשלעצמה ערובה טובה מאוד לשמירה על רמה מינימלית של ציות או אפילו להעלאה שלה. בעולם שבו אין חובה שיהיה ממונה על אבטחת מידע בארגון, רק לקבוצה מאוד קטנה, אין חובה ל-DPO עדיין, לממונה פרטיות, אין חובה להרבה דברים אחרים שקיימים ברגולציה בעולם, בדין הקיים שלנו - - - << יור >> היו"ר שמחה רוטמן: << יור >> בתיקון 15 יש את זה? << דובר >> ניר גרסון: << דובר >> אנחנו עוסקים בזה, כן. << יור >> היו"ר שמחה רוטמן: << יור >> אז יאללה. << דובר >> ניר גרסון: << דובר >> אבל אין עדיין. בעולם של היום - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין. << דובר >> ניר גרסון: << דובר >> אדוני, זה אמצעי מאוד חשוב. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אני הבנתי. אני מבין את הרצון לבוא ולהגיד: "תשמע, אתה כראש ארגון, בשנייה שאתה לא מבין בזה, תיקח בעל מקצוע שייקח ממך את האחריות". זה מייצר באמת אחריותיות ברמה מסוימת. זה גורם למינוי של בעלי מקצוע עם יכולות, עם כוחות, עם סמכויות, עם הבנות. מעמיד את הגורם הממונה על אבטחת מידע באיזושהי עמדת כוח מול הארגון להגיד: "חברים, אני מוכן לקחת את האחריות. אבל אם אתם לא מקשיבים לי ולא עושים את זה ולא קונים את הציוד הזה והזה ולא קונים את הפיירוול לדגם הזה והזה – אני לא מוכן לקחת אחריות, המזכירות לא תשלם". זה עושה משהו. אתם לא עושים את זה. אתם כותבים בתקנות שהחובות החלות בתקנות האלה על בעל מאגר מידע, יחולו גם על מנהל המאגר. << דובר >> ניר גרסון: << דובר >> כי החוק קובע את זה, אדוני. << אורח >> ראובן אידלמן: << אורח >> אדוני, אנחנו בעולם של מגפת מתקפות סייבר. נתחבר רגע, נחזור שנייה ללמה אנחנו דנים בזה בעת הנוכחית. בעידן כזה, אחריות אישית למנהל המאגר – ופה הגדרנו שזה המנהל של החברה לתחום אבטחת המידע כפי שנקבע בסעיף 17 – היא דבר חשוב מאוד - - << יור >> היו"ר שמחה רוטמן: << יור >> אני בעדך. << אורח >> ראובן אידלמן: << אורח >> - - כדי לקדם אבטחת מידע וסייבר במשק הישראלי. << יור >> היו"ר שמחה רוטמן: << יור >> אני בעדך. אני רק אומר שאחריות אישית כשמה כן היא. אחריות לא מתחלקת. << דובר >> ניר גרסון: << דובר >> אחריות יכולה להתחלק. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אם היא מתחלקת, אמרו חז"לנו: "קידרא דבי שותפי – לא חמימי ולא קרירי". כשיש הרבה שאחראים על התבשיל, התבשיל יוצא לא קר ולא חם. << דובר >> ניר גרסון: << דובר >> אבל היא הנותנת, זה מה שקורה בתאגיד. אדוני, בדיוק זו הבעיה. << יור >> היו"ר שמחה רוטמן: << יור >> אני איתך. אבל אז אתה חייב להגיד, לצד האמירה של מנהל מאגר, שאם מינית מנהל מאגר שהוא כשיר לתפקידו, שיש לו שתי ידיים, שני רגליים, שתי אוזניים, הוא יודע לשמור על מאגר המידע במידה הנדרשת – אז הוא אחראי ולא אתה. אתה לא יכול לבוא ולהגיד שאתה רוצה שיהיה גורם אחראי - - - << דובר >> ניר גרסון: << דובר >> אדוני, סליחה שאני קוטע, אולי יש פה משהו לא ברור. ההגדרה בחוק אומרת שמנהל המאגר הוא או המנהל או המנכ"ל או מי שהוא מינה. אם הוא מינה, האחריות יורדת מהמנכ"ל. זה מה שכתוב. << אורח >> עמית יוסוב עמיר: << אורח >> זה כתוב, חד משמעית. << יור >> היו"ר שמחה רוטמן: << יור >> לא. זה כתוב על המנהל. << קריאה >> קריאה: << קריאה >> אבל אז מה זה אומר? << יור >> היו"ר שמחה רוטמן: << יור >> זה כתוב על המנהל, אבל לא על הבעל. << דובר >> ניר גרסון: << דובר >> לא, האישיות המשפטית. << אורח >> עמית יוסוב עמיר: << אורח >> הבעל זה התאגיד. << דובר >> ניר גרסון: << דובר >> בדיוק. << יור >> היו"ר שמחה רוטמן: << יור >> אבל "הבעל" – זה יכול להיות תאגיד, זאת יכולה להיות גם פרסונה. << דובר >> ניר גרסון: << דובר >> במקרים חריגים. << יור >> היו"ר שמחה רוטמן: << יור >> מאחר שלא ביטלנו את תורת האורגנים הרגילה, אז כאשר תוטל האחריות על התאגיד, היא תוטל גם על האנשים – דרך התאגיד. << אורח >> עמית יוסוב עמיר: << אורח >> לא, הפוך. << יור >> היו"ר שמחה רוטמן: << יור >> מה הפוך? << קריאה >> קריאות: << קריאה >> - - - << אורח >> עמית יוסוב עמיר: << אורח >> אני חושב שהיחידים מחייבים את התאגיד, לא התאגיד את היחידים. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> תלוי. << יור >> היו"ר שמחה רוטמן: << יור >> תלוי, זה דו צדדי. << אורח >> ליאור אתגר: << אורח >> אני חושב שאדוני צודק. אני חושב שהסיפור הזה של מנהל מאגר הוא ארכאי, הוא מעולם שבו לא היה עדיין DPO. כמי שמייצג אותם פה בכיסא, אנחנו מדברים היום על ארגונים שלא מבינים, הרבה ארגונים מהשוק הפרטי לא יודעים מה זה מנהל מאגר. אתה בא למנהל HR ואתה אומר לו "אתה מנהל המאגר". אוקיי, בשביל רישום המאגר אנחנו צריכים למנות אותו. להטיל אחריות – אין לזה שום משמעות, ממילא מי שיהיה אחראי על זה בארגון זה מנכ"ל או נושא משרה אחר, הוא יישא באחריות האישית. אין לזה משמעות. אני חושב שעדיף למקד את האחריות בנושא המשרה. אני חושב שצריך למקד את ההטלה של סמכויות נוספות על DPO. זה הרבה יותר נכון מקצועית, זה הרבה יותר נכון עניינית. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> שאגב, ל-DPO, לפי ה- ,GDPRיש אחריות אישית. << אורח >> ענר רבינוביץ׳: << אורח >> יש הרבה בלבול בין אחריות לבין אחריותיות שהוזכרה כאן. באמת, ב-,GDPR כמו שעמרי אמר הרגע, ל-DPO יש אחריות לניטור, לוודא שעומדים בהוראות החוק. אבל אין חשיפה אישית, אלא אם התרשל. אני חושב שזה נכון גם לגבי הרמת המסך או ללכת אחרי תורת האורגנים שהוזכרה כאן קודם. כלומר, אני לא רואה למה במקרים האלה נדרשת כאן האחריות הפלילית או האזרחית האישית. << דובר >> ניר גרסון: << דובר >> סליחה, עוד הבהרה חשובה. זו טעות נפוצה. אין על מנהל המאגר אחריות פלילית. האחריות היא באבטחת מידע. << אורח >> אלן יוסף: << אורח >> סנקציות מינהליות. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> יש סנקציות מינהליות, עכשיו הן יהיו אישיות. << דובר >> ניר גרסון: << דובר >> אחריות באבטחת מידע. עשויות להיות, אבל לא פליליות, זאת טעות. << אורח >> ליאור אתגר: << אורח >> בסופו של דבר, אבטחת מידע בארגון ממילא מנוהלת על ידי גורמים אחרים. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> קנסות מינהליים על אינדיבידואל – זה לא דבר שהוא פרטי. << דובר >> ניר גרסון: << דובר >> עיצומים כספיים. << אורח >> דן אור-חוף: << אורח >> קודם כל, אם היינו במצב האוטופי שהיינו דנים היום גם בתיקון 15 ולא 14, יכול להיות שלא היה שום צורך בכלל לדבר על הפונקציה הזאת של מנהל מאגר, שאולי מקומה בדפי ההיסטוריה. אבל אם אנחנו כבר משאירים את המונח הזה "מנהל מאגר", כל עוד אין תיקון 15, יש מקום ליצוק בו תוכן אמיתי ולא איזו מעין הגדרה כזאת שהיא לא אומרת שום דבר הלכה למעשה. אם יש מנהל מאגר והוא פונקציה חשובה, ואולי צריכה להיות לו איזושהי רמה של אחריות, אז צריך להיות כתוב בתוך ההגדרה שיש לו אחריות לעניינים או לציות של בעל השליטה במאגר לדין, לדיני הגנת הפרטיות. זה צריך להיות כתוב בתוך ההגדרה הזאת. << יור >> היו"ר שמחה רוטמן: << יור >> עוד מישהו בנושא הזה? << אורח >> עמית יוסוב עמיר: << אורח >> אולי רק נגיד שוב פעם. קודם כל, יש תפקידים ספציפיים בתקנות אבטחת מידע, יש תפקידים ספציפיים וחשובים בתקנות העברת מידע בין גופים ציבוריים, למנהל. צריך בסוף דמות מרכזית. << קריאה >> קריאות: << קריאה >> - - - << יור >> היו"ר שמחה רוטמן: << יור >> בואו נמפה שנייה את הדעות שמסביב לשולחן. אין ספק שחשוב לדבר על מנהל מאגר בגופים ציבוריים. כלומר, תאורטית, בלי לפגוע באיש, העובדה שמי שעומדת בראש מערכת בתי המשפט בישראל הייתה נשיאת העליון, בכל זאת, לבקש ממנה להיות אחראית למאגר של מועמדים לשפיטה, בגלל שהוא מתנהל בהנהלת בתי המשפט? אני פשוט מזכיר את הליכי האכיפה שהיו ברשות להגנת הפרטיות. גם אם המידע שנאסף שם לא נרשם כדין, אני לא הייתי מצפה מנשיאת העליון שהיא תתעסק ברישום המאגר או בפיקוח על אבטחת המידע שלו, למרות שרסמית היא עומדת בראש הגוף. נניח, בהקשר הזה. בגופים ציבוריים הפער הזה הוא מאוד משמעותי. לכן, כשרושמים את המאגר של גוף ציבורי צריך להגיד: הגוף הציבורי הוא יהיה משרד – הנהלת בתי המשפט, בית המשפט העליון או משרד המשפטים, לפי העניין; אבל מנהל המאגר הספציפי הזה – זה לא המנכ"ל של המשרד, אין לך מה לבלבל את השכל לאף אחד חוץ ממנהל המאגר הספציפי הזה. למעשה, מאחר שאנחנו עוסקים בגוף ציבורי, ככל הנראה שיהיה גם די חסר משמעות לפתוח בהליכי הפרה נגד שר או מנכ"ל, כי גם לא תטילו שם קנסות מינהליים כל-כך, זה חסר משמעות. לכן באמת חשוב לדעת מי האדם שרלוונטי לגבי גוף ציבורי. כאשר אנחנו עוסקים בגופים עסקיים, פרטיים, כל האירוע הרבה יותר משונה. בדרך כלל לא חסרים לכם אנשים לדבר, למעט אם מדובר בחברה שהתאגדה באיי קיימן. להפך, תהיה לכם בעיה על מי לא להטיל את האחריות, כי יש לכם כל מיני גופים ואורגנים, יש לכם דירקטורים, יש לכם בעלי מניות, יש לכם בעלי שליטה, יש לכם מנכ"ל. יש לכם, לפי הכללים הרגילים של תאגידים. מירה, את רוצה שגם לגבי רשויות מקומיות יהיה ברור שהן גוף ציבורי? את יודעת שבשנייה שאת מרימה את היד, אני חייב לעצור הכול ולתת לך לדבר. << אורח >> מירה סלומון: << אורח >> ברשויות מקומיות החשיבות למנהלי מאגרים היא בכך שמאגר של הרווחה הוא לא מאגר של החינוך, הוא לא מאגר של - - - << יור >> היו"ר שמחה רוטמן: << יור >> ברור, ברור, זה נכון לכל גוף ציבורי. << אורח >> מירה סלומון: << אורח >> כן, רק חידדתי. << יור >> היו"ר שמחה רוטמן: << יור >> כן, נכון. << אורח >> מירה סלומון: << אורח >> הלוואי שיכולנו לומר ששם לא יהיו סנקציות מינהליות כנגד הרשויות המקומיות, שזו תהיה אותה הנחה של יושב-ראש הוועדה. הלוואי שיכולנו לומר את אותו הדבר. אבל - - - << יור >> היו"ר שמחה רוטמן: << יור >> אנחנו נדבר על זה בפרק האכיפה. בגוף ציבורי אני מבין את הצורך במנהל, כי תורת האורגנים לא עובדת כמו שצריך בגופים ציבוריים. בגופים פרטיים, בעיניי זה – שוב, כל ההוראות בחוק שאני רואה לא מייחדות את עצמן למנהל, אלא מלבד העובדה של למצוא עוד מישהו, להטיל עליו או לחפש אותו. << דובר >> נעמה מנחמי: << דובר >> תרצה שנעשה קצת ישיבה, נבדוק גם את תורת האורגנים? << יור >> היו"ר שמחה רוטמן: << יור >> כן, תעשו על זה שיעורי בית. אם תראו לי שזאת פרקטיקה נפוצה בדברי חקיקה, שמחפשים, כמו שדיברנו על פסולת גרעינית ששם כן רוצים לחפש אנשים ספציפיים ולהדביק להם את העניין, אז אני אדבר. אבל לדעתי אין סיבה שהפרטיות תקבל את הדבר הזה. << אורח >> מירה סלומון: << אורח >> רק עוד מילה אחת לגבי המנהל הפעיל. << יור >> היו"ר שמחה רוטמן: << יור >> אין הגדרת מנהל פעיל. << אורח >> מירה סלומון: << אורח >> ידוע, קראנו את הנושא. יש לא הרבה רשויות מקומיות שבהן אין מנהל כללי. יש מזכיר. אז מנהל כללי או מקביל או - - - << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, הם יצטרכו להתאים את כל ההגדרה הזאת. << קריאה >> קריאה: << קריאה >> - - - זה יהיה ראש הגוף הציבורי. << יור >> היו"ר שמחה רוטמן: << יור >> אני אומר שוב. בעיניי, תתמקדו בגוף ציבורי וכאשר מדובר בגוף פרטי תייצרו איזשהו לינקג'. << אורח >> לירון מאוטנר לוגסי: << אורח >> אבל לא רק מבחינת התפקידים שמוטלים עליו כרגע בתקנות אבטחת מידע. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> איזה תפקידים מוטלים על מנהל מאגר? << יור >> היו"ר שמחה רוטמן: << יור >> איזה תפקידים מוטלים על מנהל ולא מוטלים על בעל? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> מוטלים על ממונה אבטחת מידע, לא על מנהל. << אורח >> עמית יוסוב עמיר: << אורח >> לא, הממונה כפוף למנהל. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא. << אורח >> לירון מאוטנר לוגסי: << אורח >> כן. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, הוא כפוף ל - - - אין חובות בתקנות אבטחת מידע שמוטלות באופן ספציפי על מנהל. אין. << אורח >> עמית יוסוב עמיר: << אורח >> בוא נתחיל להקריא את התקנה 3(1) לתקנות אבטחת מידע: "ממונה אבטחת מידע יהיה כפוף ישירות למנהל מאגר המידע". << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, לא לריב. "ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל" - - - << דובר >> ד"ר עמרי רחום טוויג: << דובר >> זה ממונה אבטחה. << יור >> היו"ר שמחה רוטמן: << יור >> שנייה. תודה. רק רגע. "ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל פעיל של בעל המאגר או המחזיק בו או לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר". << דובר >> ד"ר עמרי רחום טוויג: << דובר >> נכון, זה לכל אחד מהם. לא חייב להיות למנהל. << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, נחת. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> סליחה. << יור >> היו"ר שמחה רוטמן: << יור >> אז עניין הכפיפות – זאת אומרת שיש את ההגדרה, זה לא מטיל עליו חובה מיוחדת. << אורח >> ראובן אידלמן: << אורח >> תקנה 18(א)(2). << יור >> היו"ר שמחה רוטמן: << יור >> "3(3) הממונה יכין תוכנית לבקרה שוטפת, יבצע אותה ויודיע לבעל מאגר המידע ולמנהל המאגר על ממצאיו". זאת אומרת – זאת סמכות מקבילה. הלאה. "18(א)(2) נהלים, להבטחת שחזור הנתונים כאמור בתקנה 17(ב), ובלבד שביצוע השחזור יהיה באישור מנהל המאגר". לא רואה סיבה שזה יהיה דווקא מנהל ולא בעל המאגר. "19(א) החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר – שזה שוב פעם מייצר את המקבילות – ולמעט החובות הקבועות בתקנות 2 ו-15(א) הן יחולו גם על מחזיק המאגר". זהו, זה כל "מנהל המאגר" בתקנות אבטחת מידע. יכול להיות שנצטרך להוסיף סעיף של התאמת מונחים או שתביאו את התקנות. אני לא רואה סיבה שבגלל שמישהו בתקנות אבטחת המידע כתב משהו שאין לו התכתבות עם תיאור המציאות – חוץ מזה, או להוסיף תקנה אחת שאומרת שבכל מקום שכתוב "מנהל המאגר בגוף ציבורי" – אלו ואלו; ובכל מקום אחר שכתוב "מנהל מאגר מידע" – הכוונה תהיה לבעל המאגר. רק בגוף ציבורי אני רואה את האבטחה הזאת. אפשר לתקן את זה דרך הגדרה, יש דרך ניסוחית לטפל בדבר הזה. אבל לא בגלל שמישהו כתב פעם "מנהל מאגר מידע" בתקנות אבטחת מידע, אני אכתוב עכשיו את כל התקנות עקום. << אורח >> עמית יוסוב עמיר: << אורח >> אדוני, אפשר רק עוד שיקול אחד? << יור >> היו"ר שמחה רוטמן: << יור >> כן. << אורח >> עמית יוסוב עמיר: << אורח >> כאמור, יש דין מקביל, בעיקר ה-GDPR שאנחנו לומדים ממנו, עם חובת מינוי ה-DPO. אחד הדברים המרכזיים שאמורים לבוא בתיקון הבא - - - << יור >> היו"ר שמחה רוטמן: << יור >> DPO – זה ממונה, נכון? << אורח >> עמית יוסוב עמיר: << אורח >> זה ממונה הגנת פרטיות. << יור >> היו"ר שמחה רוטמן: << יור >> בגוף ציבורי? << אורח >> עמית יוסוב עמיר: << אורח >> לא, בגוף פרטי. << קריאה >> קריאה: << קריאה >> - - - << יור >> היו"ר שמחה רוטמן: << יור >> אתם רוצים להביא את החובה הזאת לחקיקה? אני לא בטוח. << אורח >> עמית יוסוב עמיר: << אורח >> הרעיון שצריך למנות גורם בתוך גוף עסקי – גם בתוך גוף עסקי, לא רק בתוך גוף ציבורי – שהוא אחראי על נושא הפרטיות, הוא לא זר ולא יוצא דופן בדין הישראלי. << יור >> היו"ר שמחה רוטמן: << יור >> אני בעד. << אורח >> עמית יוסוב עמיר: << אורח >> אני אומר שלא צריך לפתוח איזשהו פער, איזשהו ארביטראז', בין העובדה שנבטל את ההסדר הישן ועוד לא נחדש את ההסדר החדש. אנחנו לא מציעים כרגע - - - << יור >> היו"ר שמחה רוטמן: << יור >> זה לא פותר לך את זה. לגבי גוף ציבורי – אתה תצטרך מנהל, אני חושב שזה נכון שיהיה. לגבי גוף פרטי – יהיה בעל מאגר. ואת ההתאמות לעניין התקנות - - - << אורח >> עמית יוסוב עמיר: << אורח >> לא, זה לא עניין של התאמות. זה עניין של אדם שיהיה אחראי. << יור >> היו"ר שמחה רוטמן: << יור >> בעל המאגר או הממונה שכפוף לו. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> זה ההסדר של DPO, אבל עוד אין כזה. << אורח >> ליאור אתגר: << אורח >> תביאו הסדר שיגדיר ממונה הגנת הפרטיות. לא צריך מנהל מאגר, מה זה הדבר הזה? << אורח >> עמית יוסוב עמיר: << אורח >> אבל אין ממונה. אדוני, אולי זה לא הובהר. אין כרגע, בחוק הנוכחי, בניגוד לדין - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני מוכן לשמוע אותך על לתת למנהל, ובלבד שאם אני כבעל מאגר מיניתי מנהל. כמו בגוף ציבורי, גם בגוף פרטי יהיה לי את אותו דבר. מיניתי בן אדם, הוא אחראי, שלום ותודה, לא רוצה להתעסק עם זה. << דובר >> ניר גרסון: << דובר >> אז התאגיד יהיה פטור? << יור >> היו"ר שמחה רוטמן: << יור >> אז אתה לא מבין - - - << אורח >> ליאור אתגר: << אורח >> אם הגדרת ממונה הגנת הפרטיות, לא צריך מנהל מאגר. אין לזה שום משמעות. << יור >> היו"ר שמחה רוטמן: << יור >> תקשיבו, אי-אפשר לבוא ולהגיד "אני חייב עוד בן אדם כדי שיהיה לי על מי להטיל עיצומים כספיים", זה בפני עצמו לא טיעון שמתכתב עם האירועים. אפשר לבוא ולהגיד לי למה, איך זה פותר. אמרתם נכון ויפה על-כך שמיקוד האחריות באדם זה דבר חשוב. אבל מיקוד האחריות באדם אומר שאני רוצה לדעת שפעלתי כדת וכדין כאשר עמדתי בחובתי ומיניתי בן אדם טוב. אחר כך – שלום תודה, תעזבו אותי בשקט. << אורח >> ראובן אידלמן: << אורח >> אפשר להסמיך אדם אחר. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל זה לא נותן לך פטור. << יור >> היו"ר שמחה רוטמן: << יור >> זה לא נותן פטור. אז מה עשיתי בזה? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> זה סתם מייצר אחריות מקבילה. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אנחנו מכירים, אנחנו הולכים בסיבובים. << אורח >> עמית יוסוב עמיר: << אורח >> גם ב-GDPR, עובדה שמונה DPO לא פורתר עכשיו << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל ל-DPO אין אחריות אישית ב-GDPR. << יור >> היו"ר שמחה רוטמן: << יור >> אבל על מנהל אתה כן מטיל אחריות אישית. << אורח >> עמית יוסוב עמיר: << אורח >> כרגע אנחנו מדברים על התפקידים. << יור >> היו"ר שמחה רוטמן: << יור >> אנחנו הולכים בסיבובים. אין לו תפקידים. אין לו. עברתי איתך על התקנות, אין לו שום תפקיד חוץ מלהיות זה שהממונה מדווח לו. נו באמת, קראתי יחד איתך את התקנות, למרות ניסיונות חוזרים ונשנים להפריע לי לקרוא את התקנות. << אורח >> דן אור-חוף: << אורח >> אני מסכים עם אדוני שלמנהל מאגר מידע באמת אין תפקידים משמעותיים. זה תפקיד מאוד מעורפל. העמדה של המועצה כפי שאנחנו הגשנו לוועדה, ומשרד המשפטים בוודאי יודע את זה, היא שבוודאי בהקשר של הגנת פרטיות צריך להיות שומר סף לנושאים האלה וצריך להיות מישהו שאחראי. לאו דווקא במובן של אחריות ישירה, אלא מישהו שאחראי במובן הזה של לטפל בפועל בתוך הארגון בנושאים האלה. ובגלל זה החשיבות, בעינינו, להתייחס לעניין של ממונה הגנת הפרטיות כבר עכשיו בתיקון 14 ולא לחכות לתיקון 15, כי זה אחד הנושאים הכי חשובים שעל הפרק, על מנת שארגונים – גם גופים ציבוריים וגם גופים פרטיים הנכונים - - - << יור >> היו"ר שמחה רוטמן: << יור >> אגב, הגדרת מנהל מאגר נשמרת בתיקון 15 או שמבטלים אותה שם? בתזכיר, בטיוטה, מה בכוונתכם? << אורח >> עמית יוסוב עמיר: << אורח >> הכוונה היא להחליף באמת. אבל זה בדיוק העניין: להחליף, לא לבטל לפני שמינינו מישהו חדש. << יור >> היו"ר שמחה רוטמן: << יור >> אז תחליפו, אבל אל תשאירו לי שרידים ארכיאולוגיים שאחר כך נתווכח. << קריאה >> קריאות: << קריאה >> תחליפו עכשיו. << אורח >> ליאור אתגר: << אורח >> תחליפו עכשיו, זה גם ככה לא פרקטי. << אורח >> ענר רבינוביץ׳: << אורח >> אדוני, רק לעניין השרידים הארכיאולוגיים האלה. << יור >> היו"ר שמחה רוטמן: << יור >> מצאת עוד שריד? << אורח >> ענר רבינוביץ׳: << אורח >> אני רק רוצה להזכיר: ה-DPO, ממונה הגנת הפרטיות, הוא לא זה שמכתיב את פעולות העיבוד. << יור >> היו"ר שמחה רוטמן: << יור >> שזה בעל השליטה. << אורח >> ענר רבינוביץ׳: << אורח >> שזה בעל השליטה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל את בעל השליטה אני לא ביטלתי. << אורח >> ענר רבינוביץ׳: << אורח >> זה יכול להיות גם בעלי תפקידים אחרים. אני לא רוצה שזה יבוא במקום המנהל עם אותה הגדרה. << יור >> היו"ר שמחה רוטמן: << יור >> הלאה, יש לנו יום ארוך, קדימה. << דובר >> נעמה מנחמי: << דובר >> נראה לי שאפשר לעבור לסעיפים 8 עד 12. התחלנו אותם קצת בדיון הקודם, התחלנו לדבר על סעיף 8(א) רבה בהצעת החוק. כדי לעשות קצת סדר, הצענו שסעיף (א) קטן בסעיף 8 יאוחד עם (ג), כי מבחינת העניין הם אותו עניין. לפני או אחרי סעיף (א) שיבוטל נכניס את סעיף (א)(1), שזה בעצם 8(א) כפי שמופיע בהצעת החוק. לעניין 8(א), אולי משרד המשפטים ירצה להציג אותו? התחלנו לדבר עליו, מאז עשינו עוד כמה הצעות לניסוחים שאני חושבת שאולי קצת יותר הבהירו את המהות. את הניסוחים הסופיים נשאיר לנסחות, כי זה עדיין אולי לא מנוסח בצורה מספיק טובה. אבל אני חושבת שזה קצת יותר מבהיר מה המהות, במיוחד הנוסח לחלופין. << יור >> היו"ר שמחה רוטמן: << יור >> אני רק רוצה לומר. כשמישהו ירצה אי-פעם לצחוק על משפטנים, הוא יקריא בקול את המשפט הבא: "בהתאם לעמדת הוועדה, מוצע לשלב את הוראות סעיף קטן (א) בסעיף קטן (ג) ולהקדים את סעיפי ההוראות המהותיות: 8א רבה יהפוך ל-8(א1), 10ב רבה יהפוך ל-8(ב), 10ג רבה יהפוך ל-10(ב1). את סעיף (א) שלהלן מוצע למחוק, שכן הוראותיו שולבו בסעיף קטן (ג)". מה שנקרא "תקציר מנהלים בהיר". עכשיו אפשר להמשיך. << דובר >> נעמה מנחמי: << דובר >> שלא תגידו שלא אמרנו. << אורח >> עמית יוסוב עמיר: << אורח >> היכולת לתאר באופן מילולי track changes במסמך. אני אתייחס כרגע לנוסח שמופיע תחת "לחלופין" במסמך ההכנה של היועץ המשפטי. המטרה היא לפרט יותר כדי להבהיר בדיוק למה הכוונה. יכול להיות שזה באמת נדרש. אני מתחיל לפי סדר הסעיפים הקטנים. אנחנו עכשיו כבר בעיבוד. הרעיון הבסיסי הוא לקבוע את האיסור על עיבוד מידע במאגר מידע שהושג שלא כדין, על כל מונחי המשנה שמשמשים כאן. זה הכלל הבסיסי, להבנתי הוא הוסכם גם בדיון הקודם. מכאן אנחנו עוברים לסוג של הגנה ספציפית לעניין הזה, סוג של תקנת השוק. << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> יש לי שאלה דווקא לגבי הכלל הבסיסי הזה. אני רוצה להעיר ולשמוע מה העמדה שלכם, אם אפשר. ב-GDPR האחריות היא על בעל השליטה ולא על המחזיק. המחזיק בעצם עושה את מה שבעל השליטה אומר לו. האיסור לא חל על המחזיק, אלא רק על בעל השליטה. מה הסיבה שאתם רוצים להכניס פה את האיסור גם על המחזיק? << אורח >> עמית יוסוב עמיר: << אורח >> בגלל ההגדרה הרחבה של עיבוד ושל מחזיק. העובדה שמחזיק מעבד מידע עבור בעל שליטה, לפעמים הוא אסף בעצמו את המידע. << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> אם הוא אסף בעצמו, הוא הופך לבעל שליטה. << אורח >> עמית יוסוב עמיר: << אורח >> לא. << דובר >> ניר גרסון: << דובר >> ב-GDPR, לא אצלנו. לא לגישתנו. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> הוא לא עשה את זה עבור בעל השליטה. אם זה מחוץ להסמכה - - - << דובר >> ניר גרסון: << דובר >> לא, לא, עבור. אבל האמת, לא ברור לי למה יש נפקות לשאלה. אם אומרים שלא ידע ולא היה עליו לדעת, זה מוציא אותו מכלל האיסור. << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> זה הסעיף הבא שאני חושבת שלא צריך להיות כאן. << יור >> היו"ר שמחה רוטמן: << יור >> רק תנו לו להציג, ואז נעשה. בבקשה. << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו מדברים פה על סעיף של תקנת השוק, למקרים שבהם יש איזושהי הפרה של הדין במהלך מסלול חייו של המידע, אבל לצורך העניין בעל השליטה או המחזיק לא יודעים ולא היה עליהם לדעת. בשפה הנזיקית הם לא מונעי נזק הטובים ביותר, מישהו אחר אחראי לנושא. לכן אנחנו לא חושבים שצריך ליצור כפל עוולות לגביהם. מה הכוונה? יש איזושהי עוולה, מישהו כבר הפר את הדין. הם מחזיקים במאגר, הם לא יודעים ולא היה עליהם לדעת. אנחנו לא חושבים שנכון לקבוע עכשיו עוד עוולה חדשה שהם יהיו אחראים עליה. סעיף קטן (3) עוסק בשאלה מה גורל המידע שעכשיו נאסף, כשקרתה הפרה של הדין בעת איסופו. ופה אנחנו חוזרים לסיפור של פגיעה קלת ערך. הרעיון הוא שאם אירעה פגיעה קלת ערך – לא פגיעה משמעותית-ליבתית – בזכויות, בהוראות של הדין מחייב, הנפקות האוטומטית לא תהיה מחיקה של המאגר, שזה מדובר בסנקציה קשה, גם על גופים ציבוריים. לדוגמה, הלשכה המרכזית לסטטיסטיקה אוספת מידע, איפשהו בדרך הייתה תקלה ועכשיו פתאום צריך למחוק פרטי מידע; והן בגופים עסקיים שיכול להיות שמטה לחמם מבוסס על איסוף המידע הזה, וכאמור, הם לא אחראים באופן ישיר להפרה. על כן, המבחן הוא פגיעה קלת ערך. אם מדובר עכשיו במאגר מידע שנגנב, אז עם כל הכבוד יש כאן פגיעה, אי-אפשר להחזיק, או שילכו ויבקשו הסכמה של נושא המידע או שיצטרכו למחוק. אי-אפשר להחזיק מאגרי מידע שעצם החזקתם היא הפרה יסודית של הדין. << יור >> היו"ר שמחה רוטמן: << יור >> במסמך ההכנה יש פה שני נוסחים. הנוסח החלופי נראה יותר בנוי לתלפיות. << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו מציעים את הנוסח הזה. הוא גובש בעצה אחת עם הייעוץ המשפטי לוועדה. << יור >> היו"ר שמחה רוטמן: << יור >> חבר הכנסת טיבי, אתה רוצה להתייחס לזה? << דובר >> אחמד טיבי (חד"ש-תע"ל): << דובר >> לא. << יור >> היו"ר שמחה רוטמן: << יור >> בבקשה. << אורח >> עמית יוסוב עמיר: << אורח >> אני רק אשלים את ההתייחסות לסעיף קטן (4), האפשרות של הרשות להגנת הפרטיות להודיע לאדם על הפרה של הוראות הסעיף ולהורות לו להפסיק אותה. << יור >> היו"ר שמחה רוטמן: << יור >> צריך יהיה לייצר להוראה הזאת מנגנוני השגה, מנגנוני התייחסות. באופן עקרוני, תאורטית, אתם יכולים להורות על מחיקה של כל מאגר בהוראה מינהלית, שזה בסדר, כי אני מזכיר לכם ש"אחסון" זה "עיבוד". << אורח >> ראובן אידלמן: << אורח >> כתוב "להפסיק את ההפרה". << יור >> היו"ר שמחה רוטמן: << יור >> אם הרשות סבורה שאחסון המידע הזה והזה הוא הפרה, אתם יכולים להורות למחוק, זאת המשמעות של ההוראה. "אל תאחסן אותו יותר" – פירוש למחוק. << דובר >> ניר גרסון: << דובר >> רק לדייק. זאת לא הוראה ישירה למחיקה. זאת אמירה של הרשם "אם לא תמחק, אתה מפר את החוק". יש הבדל. << יור >> היו"ר שמחה רוטמן: << יור >> אני רק אומר, קחו בחשבון. לא יודע אם זה כאן או שצריך להעביר את סעיף (4) לפרק הפרה מינהלית ועיצומים, כי זה סוג של התראה לפני נקיטת צעד מסוים. זו לא הוראה עצמאית מהותית, זו הוראת הפרה. << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו נגיע לזה בעיצומים הכספיים. בהתאם למודל העיצומים, מאחר שיש פה שימוש בכמה ביטויים שהם עמומים, ההוראה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אתה רוצה להיות הפרשן המוסמך של הביטויים העמומים? לא. << אורח >> עמית יוסוב עמיר: << אורח >> לא, לא, להפך. ההוראה מייצרת את הוודאות, ואז עליה אפשר להשיג שם, במודל העיצומים. << יור >> היו"ר שמחה רוטמן: << יור >> אני אומר שוב. מהותית, ההוראה חלה פה על בעל המאגר. סעיף (4) מעצם טיבו הוא סעיף של הפרה, עיצומים, התראה. לא משנה מה, הוא לא סעיף מהות, הוא לא מייצר עבורי את האיסור. אני רק אומר שהוא לא מתאים פה, ניתן אותו במקום אחר. אני מבין את ההיגיון שבו, צריך לתת לו מענה. צריך להבין מה המשמעויות שלו, האם אפשר להשיג עליו ותוך כמה זמן. זה לפרק ההפרות והעיצומים, זה לא לפרק ההוראות המהותיות. יש עוד הערות לסעיף זה? כן, בבקשה. << אורח >> דן אור-חוף: << אורח >> בהמשך לדבריה של ד"ר ארידור, אני רוצה להתריע כאן שהתייחסות למחזיק מאגר יוצרת הסדר שלא קיים ושיש לו השלכות פרקטיות. הלכה למעשה, כשהוראה כזאת באה ואומרת גם למחזיק מאגר "אתה צריך לוודא שאתה מנהל מאגר" או ש"המידע התקבל בהתאם לדין או שלא בניגוד להוראות הדין", ויש גם ידיעה - - - << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, רק רגע. אני מבין מה אתה אומר. אבל בגלל ההגדרה הרחבה – יש דברים שכולנו מסכימים שחייבים להיות על המחזיק. גילוי – תמיד יהיה אצל המחזיק, נכון? איסור גילוי – מאחר שעיבוד הוא גם גילוי, נכון? אין ספק שאם הגילוי הוא בניגוד לדין, מי שיחול עליו – הכתובת זה המחזיק. אני לא באתי ואמרתי עכשיו, הטלתי חובה – ובאמת, בסעיף (2): "נמסר המידע מגורם אחר ולא ידע ולא היה עליו לדעת כי המוסר פעל בניגוד לדין". אני כן בא ואומר שיש דברים בתוך "עיבוד" שהם בוודאי מאה אחוז אצל המחזיק. הם לא אצל בעל השליטה. << אורח >> דן אור-חוף: << אורח >> אדוני, אבל על זה קיים סעיף 16 עם חובת סודיות; ועל זה קיים סעיף 17 לגבי חובת אבטחת מידע – והכול חל על המחזיק. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה נחשב לעיבוד. ויותר מזה. נניח שאני קיבלתי מידע מותמם חלקית ועשיתי עליו הצלבה, בעיבוד, והפכתי אותו ללא תמים, הוצאתי אותו לתרבות רעה, עיבדתי אותו לתרבות רעה. הפעולה הזאת נעשית על ידי מחזיק, היא לא נעשית על ידי בעל שליטה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל רק אם זה עבור בעל השליטה. אם המחזיק מבצע פעולה שהיא לא עבור בעל השליטה, אז הוא לא מחזיק - - << אורח >> דן אור-חוף: << אורח >> הוא לא מחזיק, בדיוק. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> - - הוא פועל בכובעו כאדם שמעבד מידע ואז הוא יוצא מגדר הסיפור הזה. כל עוד הוא פועל כמחזיק עבור - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, הוא פועל כמחזיק עבור אחר, אבל הוא עשה על זה גילוי לאנשים שלא צריך, הלך ופרסם את המאגר באינטרנט. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> בשביל יש את הסעיף 10ג' המוצע. << יור >> היו"ר שמחה רוטמן: << יור >> בשביל זה יש את הסעיף עם ההוראה המהותית. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, יש סעיף 10ג שיוצר הוראה מהותית, של איסור לפעול במידע בניגוד להרשאה של בעל השליטה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל יש לפעול בניגוד להרשאה של בעל השליטה, שזה דבר אחד, ויש שאני בא ואומר לך "או שתפסיק את פעילות העיבוד" אם אנחנו מדברים עכשיו על סעיף (4) שיבוא למקום אחר. אגב, חוץ מזה, האיסור לפעול בניגוד להוראה לא קשור לשאלת קלות הערך, לא קשור לזה האם היה צריך לדעתו או לא. זה עניין אחר. << קריאה >> קריאה: << קריאה >> נכון. << יור >> היו"ר שמחה רוטמן: << יור >> אני חושב שלגיטימי שאנחנו נטיל איזשהם חובות על מחזיק שהן עצמאיות. << אורח >> דן אור-חוף: << אורח >> אדוני, אם אפשר, אתן דוגמה שדנו בה במועצה. אם יש עכשיו ספק שמספק שירותי עיבוד נתונים לבית חולים – הספק הוא המחזיק, בית החולים הוא בעל השליטה. ההוראה כפי שהיא עכשיו, היא מתמרצת או דוחפת את הספק, את מעבד הנתונים, ללכת ולבדוק אצל בית החולים האם הוא אסף מידע על המטופלים – אותו מידע שהוא מעביר לספק לצורך עיבוד הנתונים – כדין. זה לא התפקיד של המחזיק. בעל השליטה הוא זה שאחראי על זה. << יור >> היו"ר שמחה רוטמן: << יור >> יש בזה משהו. << אורח >> דן אור-חוף: << אורח >> כל אימת שיש חשש לניהול שלא כדין או איסוף שלא כדין, שלא נעשה על ידי הספק; או ידיעה קונסטרוקטיבית, הצל המרחף הזה, שיכול להיות שהספק צריך היה לדעת - - << יור >> היו"ר שמחה רוטמן: << יור >> כן, יש בזה משהו. << אורח >> דן אור-חוף: << אורח >> - - אתה מטיל על ספקים איזושהי חובה שלא קיימת, ללכת ולעשות בדיקות נאותות לבעלי שליטה. זה לא קיים. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> במיוחד כשיש "היה עליו לדעת". << אורח >> לירון מאוטנר לוגסי: << אורח >> רגע, דן, אבל יש לי שאלה אליך. נניח שבית החולים אסף את המידע שלא כדין ועכשיו המחזיק מעבד אותו. לשיטתך, האם לא צריכה להיות שום חובה על המעבד להפסיק לעבד את המידע? << אורח >> דן אור-חוף: << אורח >> תהיה חובה. תהיה סמכות לרשות להורות לבית החולים להפסיק את העיבוד ובית החולים יצטרך להורות על זה לספק. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> ומהרגע שזה הובא לספק, הספק הוא כבר לא בעל הרשאה להשתמש. << אורח >> דן אור-חוף: << אורח >> הוא עושה מה שאומרים לו לעשות. הוא לא אמור לבדוק את הדברים האלה. << דובר >> ניר גרסון: << דובר >> עורך הדין אור-חוף, אבל אם בעל השליטה כבר קיבל את ההודעה והוא יודע, ונניח שגם המחזיק כבר יודע כי אנחנו הודענו ואמרנו לו שהמאגר הזה לא חוקי, רק שבעל השליטה עדיין לא שלח לו את ההוראה? הוא יכול להמשיך ולהפר, למרות שהוא מודע לזה שהמאגר מפר. << אורח >> אלן יוסף: << אורח >> אז אפשר לתקן את זה ככה. << דובר >> ניר גרסון: << דובר >> איך? << אורח >> אלן יוסף: << אורח >> כמו שאמרת. ברגע שהוא ידע או ברגע שקיבל הוראה מהרשות. זאת אומרת, לתקן את זה - - - << קריאה >> קריאות: << קריאה >> - - - << אורח >> ענר רבינוביץ׳: << אורח >> אני חושב שכאן הבעיה. החשבתם את זה כאשר יש את הידיעה הקונסטרוקטיבית, כאילו יש הפרה של המחזיק בכך שהוא מחזיק מאגר כזה, עוד לפני שפניתם אליו. זה הגיוני מאוד שתוכלו לפנות ושתוכלו לחייב אותו למחוק או להפסיק עיבוד. אבל שזה לא ייחשב הפרה של המחזיק מלכתחילה. << אורח >> עמית יוסוב עמיר: << אורח >> אני מסכים עם עורך הדין אור-חוף, שככלל, לא מוטל על המחזיקים לעשות בדיקות נאותות לבעלי השליטה. << אורח >> אלן יוסף: << אורח >> אבל הסעיף הזה מחייב אותם. << אורח >> עמית יוסוב עמיר: << אורח >> לא, בדיוק הפוך. << אורח >> אלן יוסף: << אורח >> "היה עליו לדעת" – זה מה שמפריע לנו. << אורח >> עמית יוסוב עמיר: << אורח >> בדיוק הפוך. אני מסכים עם הגישה העקרונית שאומרת שהמחזיק לא אמור לעשות בדיקות נאותות לבעל השליטה, לכן לא עליו לדעת האם בעל השליטה אסף את המידע כדין או לא. אבל אם הוא יודע באופן פוזיטיבי – למשל כי הרשות הודיעה לו – והוא ממשיך להחזיק - - - << קריאה >> קריאות: << קריאה >> - - - << יור >> היו"ר שמחה רוטמן: << יור >> הוא לא יודע כי הרשות הודיעה לו. הרשות הודיעה לו – לא הופך אותו לשום דבר. הוא רק יודע שהרשות רוצה לנקוט נגדו במשהו. << אורח >> דלית בן-ישראל: << אורח >> אפשר לצמצם את זה רק ל"רשות הודיעה" או "בעל מאגר הודיע". << קריאה >> קריאות: << קריאה >> - - - << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, לתת לנעמה לדבר. << דובר >> נעמה מנחמי: << דובר >> באיזו סיטואציה אתה חושב שתחול על המחזיק כלל של "היה עליו לדעת"? << אורח >> עמית יוסוב עמיר: << אורח >> על המחזיק, ברוב המקרים, באמת לא עליו לדעת. << קריאה >> קריאות: << קריאה >> - - - << דובר >> נעמה מנחמי: << דובר >> שנייה, באיזו סיטואציה? << אורח >> עמית יוסוב עמיר: << אורח >> צריך מקרה מאוד קיצוני של עצימת עיניים לגבי המחזיק כשהאחריות היא על בעל השליטה. אני אתן דוגמה. אם בהתקשרות בין בעל השליטה למחזיק הוטלו משימות מוגברות בתחום איסוף המידע על המחזיק, יכול להיות שבמקרה הזה זה מגביר את ההיתכנות שיהיה עליו לדעת. אם הוא אוסף את המידע בעצמו עבור בעל השליטה, ולא בעל השליטה אסף את המידע. << אורח >> דן אור-חוף: << אורח >> תפנה לשליח, לבעל השליטה. << אורח >> עמית יוסוב עמיר: << אורח >> אבל אם הוא יודע, אם יש הפרה של הדין, אז לא מתחבאים כבר מאחורי - - - << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אז תרשמו "ידיעה בפועל", לא "היה עליו לדעת". << דובר >> ניר גרסון: << דובר >> אני אתן לכם דוגמה ל"היה עליו לדעת". למשל, הרשות פרסמה גילוי דעת מפורט שמסביר שבתחום מסוים מידע עם סימנים "1, 2, 3" הוא מידע שחשוד כגנוב. זה – "היה עליו לדעת". << אורח >> אלן יוסף: << אורח >> אבל אז זה מטיל חובה על המחזיק ללכת ולבדוק את פרטי המידע, לוודא. << אורח >> אייל שגיא: << אורח >> - - - החובה של המחזיק להודיע לבעל המאגר, ושבעל המאגר יטפל בזה. << דובר >> ניר גרסון: << דובר >> זאת אומרת, אם בעל המאגר, בעל השליטה, הוא עברייני והוא מסרב, הוא רוצה שהמחזיק שלו ימשיך לבצע את העבירה. << אורח >> אלן יוסף: << אורח >> אז שהרשות תודיע. << דובר >> ניר גרסון: << דובר >> תודיע שמה? << אורח >> אלן יוסף: << אורח >> שיש איזושהי אי-חוקיות במאגר הזה. ואז המחזיק מחויב להפסיק לעבד את המידע. << דובר >> ניר גרסון: << דובר >> עם זה אני מסכים. אבל מה קורה במקרים שבהם הרשות לדוגמה פרסמה רשימה מובהקת של סימנים מחשידים? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל זה סימנים מחשידים, זה משאיר מקום לפרשנות. << אורח >> אלן יוסף: << אורח >> אבל המחזיק לא תמיד יכול להיכנס לפרטי המידע ולבדוק את פרטי המידע. << דובר >> ניר גרסון: << דובר >> כמובן למידע שיש לו בכלל גישה. אם המידע מוצפן לגמרי, אני מציע - - - << אורח >> דלית בן-ישראל: << אורח >> תאר לך מחזיק שהוא ספק ענן. הוא יודע בכלל מה הוא מחזיק? << אורח >> אלן יוסף: << אורח >> בדיוק. << דובר >> ניר גרסון: << דובר >> אם למחזיק אין דרך בכלל הדעת - - - << אורח >> ענר רבינוביץ׳: << אורח >> לא, יש לו דרך, אבל אין לו הרשאה, כדרך עיסוקו הוא לא ניגש למידע הזה. << אורח >> אלן יוסף: << אורח >> אין לו הרשאה, הוא לא מוסמך להיכנס. << אורח >> ענר רבינוביץ׳: << אורח >> אתה מצפה כאן בכל זאת לבדיקה פרואקטיבית. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, חברים, אני שמעתי. יכול להיות שצריך לפתוח את זה כשנגיע לסעיפים שעוסקים בחובות מחזיק. אני מסכים שלשים את החובות האלו על המחזיק, בטח בסטנדרט הזה, זה קצת קשה, בייחוד אם לא ידע ולא היה צריך לדעת. << אורח >> לירון מאוטנר לוגסי: << אורח >> אני חושבת שאם הוא ידע – על זה אין מחלוקת. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> ידיעה בפועל – זה דבר אחר. << יור >> היו"ר שמחה רוטמן: << יור >> אם הוא ידע בפועל – זה בסדר. << אורח >> ענר רבינוביץ׳: << אורח >> גם לידיעה הזו יש המון ניואנסים. עדיין אין פה פסק דין חלוט. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא מתנגד להסדר העקרוני. אני אתנגד או אתמודד עם הבעיה של דרכי הוכחה, עם מה מייצר ידיעה. כמו שאמרתם, פנייה של הרשות מייצרת ידיעה? אתם חושבים שכן. הרשות בוודאי חושבת שכן, יש לה חזקת התקינות המינהלית שמה שהיא אומרת הוא נכון. אני לא מקבל את זה, בטח לא בעולם הפרטי. ברור שאם אני מדבר על גוף ציבורי, אז כן. אם היה מדובר בחברה שמעבדת את המידע עבור המוסד לביטוח הלאומי או עבור המשטרה, והייתי שהרשות להגנת הפרטיות אומרת שמה שאתה עושה הוא לא בסדר, אפילו שאתה חברה פרטית חיצונית שקיבלה מאורגן של המדינה שאתה עובד עבורו", הייתי מקום קצת אחר, בלי להיכנס כרגע לשאלת מריבויות על סמכויות בתוך הממשלה. כאשר עוסקים בגוף פרטי, בוודאי שמכתב פנייה מראש הרשות איננו מייצר ידיעה. אני לא חושב שזה לגיטימי. << אורח >> לירון מאוטנר לוגסי: << אורח >> הודעה על הפרה? << יור >> היו"ר שמחה רוטמן: << יור >> הודעה על הפרה – או שהיא נכונה או שהיא לא נכונה, או שאני אגיש עליה השגה או שאני לא אגיש עליה השגה, או שתנצחו בבית המשפט או שתפסידו בבית המשפט. אבל היא מייצרת אצלי ידיעה שמה שאני עושה הוא לא בסדר? אני לא מכיר את הכלל הזה. << אורח >> עמית יוסוב עמיר: << אורח >> רק להבהיר. ברור שאפשר להשיג ואפשר לנצח בבית המשפט. אנחנו לא בתחום המשפט הפלילי. אנחנו בתחום המשפט - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל המשפט המינהלי לא חל על גופים אזרחיים, עם כל הכבוד, אין חזקת התקינות המינהלית. << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו לא מתערבים פה. להפך, אנחנו נותנים פה הגנה. << יור >> היו"ר שמחה רוטמן: << יור >> אתה אומר "אנחנו לא לוקחים להם את הדולרים, אנחנו שומרים להם על הדולרים". סליחה על האזכור של "הגששים". << אורח >> עמית יוסוב עמיר: << אורח >> חד משמעית. עקרונית, יש כלל בסיסי שהוא מוסכם. אם המידע נאסף שלא כדין - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל איך אני אדע את זה כמחזיק? << אורח >> עמית יוסוב עמיר: << אורח >> אז אומרים, אם אתה לא יודע - - - << יור >> היו"ר שמחה רוטמן: << יור >> שוב, אני מסכים. הסכמתי איתך עקרונית, שאם אני יודע שהמידע הזה הושג באופן לא חוקי, ככלל, אסור לי לעבד אותו. אבל השאלה שלי היא: איך אני אדע? << דובר >> ניר גרסון: << דובר >> אדוני, אם יורשה לי. כשהרשות מודיעה, לדעתי אין ספק גם לגוף פרטי, למחזיק פרטי, שהוא יודע. << יור >> היו"ר שמחה רוטמן: << יור >> יודע שהרשות חושבת. << דובר >> ניר גרסון: << דובר >> נכון. אבל מה יקרה אם הרשות הודיעה והגוף הפרטי לא חושב שהרשות טועה? << יור >> היו"ר שמחה רוטמן: << יור >> אז תטילו עליו קנס. << דובר >> ניר גרסון: << דובר >> לא, הוא לא חושב אפילו שהיא טועה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אז בחלוף 45 ימים זה יהיה חלוט. << יור >> היו"ר שמחה רוטמן: << יור >> חברים, למיטב זכרוני אתם חושבים, אמרתם את זה גם, שצריך לעבור לעולם העיצומים. הבעיה היא שאתם מנסים גם לייצר את העיצום וגם בדין המהותי. הדין המהותי הוא אחד. הפרת הוראה חוקית זו עבירה פלילית גם בלי הדין המהותי. << דובר >> ניר גרסון: << דובר >> לא בהכרח. בחוק העונשין? << יור >> היו"ר שמחה רוטמן: << יור >> בחוק העונשין. אם אני הייתי נותן לכם סמכות לתת הוראות, זה משהו אחד. כרגע, לא נתתי לכם סמכות לתת הוראות. סעיף (4), בעיניי, הוא סמכות לבוא ולהגיד שאתם חושבים שיש הפרה. לכן אמרתי שאנחנו נעבור אליו בחלק של ההפרות המינהליות. אני קיבלתי את ההערה פה. אני חושב שהמחזיק לא צריך להיות פה. ככל שיש חובות על המחזיק – חריגה בפעולה מההרשאה, כל מיני דברים כאלו – שרוצים לייצר אותם כעבירה, כהפרה, בסדר גמור, אני מבין, עם הגנות אחרות, עם כללים אחרים. אבל פה החובות צריכות להיות על בעל השליטה במאגר המידע. אפשר לכתוב שבעל שליטה במאגר מידע לא יעבד מידע ולא יעביר למחזיק לעבד מידע, ואז ממילא אתם תוכלו לתת לו הוראה להפסיק לעבד את המידע. לדעתי, זה ייצר אמירה מאוד ברורה אצל המחזיק ש"מה שאתה עושה – לא חוקי", כי נתתי הוראה לבעל שליטה שאסור לו להעביר אליך. ואז, בסעיפים העוסקים במחזיק, תעסוק בזה. << אורח >> ראובן אידלמן: << אורח >> אולי "לא יעבד לרבות באמצעות מחזיק", משהו כזה. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור. עוד משהו לסעיף זה? << אורח >> אסף הראל: << אורח >> רציתי רק להוסיף שגם סעיף (2), האיסור על פגיעה בפרטיות, יכול לתת את המענה, כי בסופו של דבר, אם המחזיק יעבד מידע שלא למטרה שלשמה נמסר, גם שם אפשר יהיה - - - << דובר >> ד"ר עמרי רחום טוויג: << דובר >> זאת בדיוק הבעיה שאני רציתי להעלות עכשיו. אם מסתכלים על פסקה (2), שהיא פיסקת ההגנה במצבים של קבלת מידע מאחר שלא מקימה את הידיעה על אי-הפרה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אז גם ב-(2) צריך את המילים "או המחזיק"? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, לא, להפך, המחזיק בהחלט צריך ליהנות מההגנה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא, אנחנו לא מכניסים אותו בראש. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אתם לא מכניסים, אני מבין, אבל הסעיף (2) הזה שמנסה לייצר הגנה לפי סעיף זה, שכתוב בו "באחריות לפי סעיף זה", בסוף מרוקן מתוכן על ידי סעיף 2 לחוק הגנת הפרטיות עצמו, מכיוון שגם בעל השליטה במאגר וגם המחזיק במאגר, גם אם לא היה עליהם לדעת, אבל קיבלו מידע מגורם אחר, יכולים להיות בהפרה של סעיף 2(9). << דובר >> ניר גרסון: << דובר >> לא. << אורח >> עמית יוסוב עמיר: << אורח >> לא, רגע, שנייה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> כן. << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו אמרנו את זה בדיון הקודם, הבהרנו. יש כל מיני מקורות נורמטיביים שונים שמכוחם יכולה לקום אי-החוקיות, ולכל אחד ההסדר שלו. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל אתה מייצר פה פטור ספציפי. אבל הוא מרוקן מתוכן. << אורח >> עמית יוסוב עמיר: << אורח >> לא, לא, הוא לא מרוקן בכלל. לגבי סעיף 2. יש את ההגנות שחלות על סעיף 2, שאחת מהן היא "לא ידע ולא היה עליו לדעת". כבר כתוב בחוק, לא צריך להמציא אותו עוד פעם. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל מה המשמעות של ההגנה? זה לא נכון. אין הגנה בסעיף 2 על "לא ידע ולא היה עליו לדעת" באופן גורף, יש שם עוד מגבלות אחרות. << אורח >> עמית יוסוב עמיר: << אורח >> תום לב, בסדר. מה שאני אומר, כמו שאמרנו בדיון הקודם - - - << יור >> היו"ר שמחה רוטמן: << יור >> בסעיף 2(9) , גם בעניין ציבורי, יש שם הרבה הגנות. << אורח >> ראובן אידלמן: << אורח >> היה על זה דיון ארוך בפעם הקודמת. << אורח >> עמית יוסוב עמיר: << אורח >> נכון, בדיוק. אז אני אומר, כל הפרה של הדין - - - << יור >> היו"ר שמחה רוטמן: << יור >> "לא ידע ולא היה עליו לדעת", "אין אפשרות לפגיעה בפרטיות". חברים, אני לא נכנס ל-2(9). אם המחזיק השתמש במידע שלא למטרה שלשמה הוא נמסר - - - << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל הוא – לא היה עליו לדעת. << יור >> היו"ר שמחה רוטמן: << יור >> אז יש לו אולי גם הגנות אחרות, מה אתה רוצה ממני? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אין לו הגנות אחרות, זאת הבעיה. << אורח >> ראובן אידלמן: << אורח >> אדוני מציע ש"המחזיק" לא יהיה – לא ב-(1) ולא ב-(2)? << יור >> היו"ר שמחה רוטמן: << יור >> נכון. עוד משהו לגבי סעיף זה? << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> אמרתי את זה בפעם קודמת ואני אחזור שוב פעם. אני חושבת שהסעיפים (2) ו-(3) לא צריכים להיות איפה שמדברים על הפרה. הם סעיפי הגנות והם צריכים להיות שם. ההפרה צריכה להיות הפרה. ואחר כך, כשאני אבוא לנסות להצדיק את ההפרה, אני אגיד שאת זה לא היה עליי דעת, פה יש תום לב, פה זה קלת ערך. ברגע שקובעים בהפרה עצמה שהיא קלת ערך או שלא היה עליי לדעת, נותנים פה שיקול דעת למפר להחליט אם הוא הפר או לא הפר. זה בעייתי מבחינת הניסוח. זה לא יכול להיות באותו סעיף. זה חייב להיות כסעיף הגנות נפרד. << אורח >> עמית יוסוב עמיר: << אורח >> אני מניח שהשאלה היא לא נוסחית, אם להשאיר את זה בסעיף קטן או בסעיף ראשי. << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> לא, הוא צריך להיות בהגנות. תמצאו דרך. << אורח >> עמית יוסוב עמיר: << אורח >> אז זה הגנה, זה אחד הסעיפים. << יור >> היו"ר שמחה רוטמן: << יור >> היא אומרת כזה דבר: את החובה הכללית – תכתוב פה; את (4) – בחלק של ההפרות; ואת (2) ו-(3), כסייגים ל-(4), שתכתוב בחלק של ההפרות. כלומר, אל תיתן לבעל השליטה את האפשרות לבוא ולהגיד שהפגיעה היא קלת ערך. אתה הפרת – הפרת. זה שכתוצאה מזה זה קל ערך והרשות לא תנקוט נגדך הליכים, או שאתה תוכל לטעון שלא צריך לנקוט נגדך הליכים כי זו עבירת קלת ערך – רק מה? מאחר שאנחנו עדיין לא בעולם של בסיסי העיבוד כמו שאנחנו רוצים, זה מייצר כלל "גזירה שאין הציבור יכול לעמוד בה" והחזרנו את כל השליטה ושיקול הדעת לידיים של הרשם האם לנקוט נגדך או לא. כולכם עבריינים, ועכשיו השאלה את מי אני תופס. ולכן, (2) ו-(3) – ופה אני חולק עליך – כן צריכים להיות פה. יום יבוא, אולי, "אל תגידו יום יבוא – הביאו את היום", יהיה עיבוד מידע, יהיו בסיסי עיבוד ואז אפשר יהיה להוסיף את (2) ו-(3). אחרת כולם עבריינים. לפי סעיף (1), בלי (2) ו-(3) – אפשר להקיף בקונצרטינה את מדינת ישראל וזהו. << דובר >> נעמה מנחמי: << דובר >> יש אפשרות נוספת, להכניס את זה כסעיף הגנות, אולי 18א רבה, אבל לא משנה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבל השאלה שלי נוגעת לשאלה בידי מי ההגנה. האם אני עבריין – ועכשיו אתם תחליטו האם אתם משתמשים בהגנות כדי להטיל עליי; או שאני אומר לכם שאני לא עבריין כי זה קל ערך, כי לא היה עליי לדעת – ואתם גם לא תוכלו להגיד לי stop. << אורח >> עמית יוסוב עמיר: << אורח >> גם הוא צריך לדעת מה הוא עושה עם עצמו, עוד לפני שמישהו בא אליו. הוא גילה שמישהו אחר - - - << יור >> היו"ר שמחה רוטמן: << יור >> מובן. בסדר. יכול להיות שביום שבסיסי עיבוד יהיו יותר חדים וברורים, אפשר יהיה ללכת לקו שלך. אבל כרגע, לדעתי, כדאי לתת את הכוח לידיים של מחזיק המאגר. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> כוח שליטה. << יור >> היו"ר שמחה רוטמן: << יור >> הכוח, ברמת הניסוח, זה שיקול הדעת. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לבעל השליטה. << יור >> היו"ר שמחה רוטמן: << יור >> לבעל השליטה, כן. << אורח >> שחף קצלניק: << אורח >> יש עוד משהו אחד שרצינו להגיד. בסעיף קטן (2) אנחנו היינו מבקשים, מציעים, לשנות את המילים "נמסר המידע" ל"הגיע המידע". לא כל פעולה היא פעולה אקטיבית. לא תמיד זה נמסר המידע. המידע גם יכול להגיע לא באופן של איסוף. << יור >> היו"ר שמחה רוטמן: << יור >> נפל ממשאית? << אורח >> שחף קצלניק: << אורח >> לא נפל ממשאית, אבל ברמת האיסוף - - - << דובר >> ניר גרסון: << דובר >> אבל הבדיחה הזאת היא משמעותית. אם הוא נפל ממשאית, אז - - - << אורח >> שחף קצלניק: << אורח >> לא אמרנו שנפל ממשאית. אנחנו מדברים על - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני מבקש, לפרוטוקול: כל הבדיחות של יושב-ראש הוועדה הן משמעותיות. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> זה יהיה בתוספת לחוק, לא? << אורח >> שחף קצלניק: << אורח >> זה חידוד משמעותי לגורמים בתעשייה שיש להם את השימוש הזה. הוא לא מוסדר פה. << יור >> היו"ר שמחה רוטמן: << יור >> אתה אומר אם אני גנבתי את המידע, אם אני האקר? << אורח >> שחף קצלניק: << אורח >> לא, לא צריך להיות האקר. << יור >> היו"ר שמחה רוטמן: << יור >> אפשר לגנוב מידע גם מבלי להיות האקר אתה אומר. << אורח >> שחף קצלניק: << אורח >> אפשר לאסוף מידע באופן פסיבי, גם מבלי להיות האקר. << דובר >> ניר גרסון: << דובר >> אבל זו טבעה של תקנת השוק. אם אתה מקבל אותו מסוחר בשוק - - - << אורח >> שחף קצלניק: << אורח >> לא, אני לא מדבר על לקבל אותו מסוחר. << דובר >> ניר גרסון: << דובר >> אם אתה מוצא אותו ברחוב, אז אולי הוא נפל - - - << יור >> היו"ר שמחה רוטמן: << יור >> אם אתה אספת, אתה אחראי לאיסוף. אם אתה קיבלת את המידע ממישהו אחר ולא ידעת איך נעשה האיסוף, זאת שאלה אחרת. << אורח >> שחף קצלניק: << אורח >> אני יכול לאסוף מידע שלא נמסר. פה רשום "נמסר המידע". << דובר >> נעמה מנחמי: << דובר >> אתה יכול לתת לנו דוגמה קונקרטית? << יור >> היו"ר שמחה רוטמן: << יור >> כן, תן תיאור. << אורח >> שחף קצלניק: << אורח >> למשל data scraping. << יור >> היו"ר שמחה רוטמן: << יור >> data scraping זה נאסף. << אורח >> שחף קצלניק: << אורח >> זה לא. אבל פה רשום שהוא נמסר, לא נאסף. "נמסר המידע". ההגנה בסעיף (2) מדברת על נמסר. << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי. אתה עשית את data scraping על מידע של מישהו אחר שהוא גנב? << אורח >> שחף קצלניק: << אורח >> לפי מה שאנחנו דנים פה. << דובר >> ניר גרסון: << דובר >> רגע, אתה עשית את ה- ?data scraping << אורח >> שחף קצלניק: << אורח >> לצורך הדוגמה. << דובר >> ניר גרסון: << דובר >> אז אתה - - - << אורח >> שחף קצלניק: << אורח >> יש הסכמה לגבי המידע, אבל אני לא יודע אם הוא הועלה באופן חוקי או לא. לכן לא יכול להיות שזה יישאר כ"נמסר המידע". המידע הזה לא נמסר, הוא נאסף. צריך להיות פה "הגיע המידע" אליו. ולא משנה באיזו דרך הוא הגיע. אגב, זה גם משרת את המטרה שלכם. << דובר >> ניר גרסון: << דובר >> אבל שוב, זאת לא תקנת השוק. << אורח >> שחף קצלניק: << אורח >> מה זאת אומרת? << דובר >> ניר גרסון: << דובר >> זה לא קשור. << אורח >> שחף קצלניק: << אורח >> אני אומר לך בתור חלק מהשוק. << יור >> היו"ר שמחה רוטמן: << יור >> זה אומר "הגונב מגנב פטור". << דובר >> ניר גרסון: << דובר >> אתה אומר שבשוק שבו כולם גונבים? << אורח >> שחף קצלניק: << אורח >> לא, זאת לא גניבה. למה אתה קורא לזה גניבה? נניח שזה הועלה באופן חוקי לרשת. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> נחזה להיות ככזה. << אורח >> שחף קצלניק: << אורח >> בדיוק, נחזה להיות ככזה שהועלה באופן חוקי. אני אוסף אותו. זה לא משהו אסור. << דובר >> ניר גרסון: << דובר >> הסעיף הזה נועד למצב - - - << יור >> היו"ר שמחה רוטמן: << יור >> אז אתה אספת אותו. << אורח >> שחף קצלניק: << אורח >> אבל אדוני, ההוראה אומרת "נמסר". נמסר – זה באופן אקטיבי. ההגנה לא תחול עליי, כי יגידו לי "לא נמסר לך המידע, אתה אספת אותו". זה לא אותו דבר, הפעולה היא שונה. מישהו העלה מידע לרשת, הוא לא מסר אותו ישירות אליי. הוא נתן את ההסכמה שלו, לכאורה, מידע שנחזה, ואני לקחתי אותו. עכשיו ההגנה הזאת לא חלה עליי. << יור >> היו"ר שמחה רוטמן: << יור >> אתה לקחת אותו מאחר. << אורח >> שחף קצלניק: << אורח >> לא לקחתי אותו. << יור >> היו"ר שמחה רוטמן: << יור >> לקחת אותו מאחר. הוא מסר. בשנייה שהוא פרסם משהו בפומבי, בצורה שניתן לעשות עליו data scraping, הוא נמסר על ידי המחזיק בו לציבור. זה מה שהוא עשה. אז הוא נמסר, אתה אספת. אם נשתמש לגמרי בשורש מסירה: הוא מסר – אתה תפסת. << אורח >> שחף קצלניק: << אורח >> הוא לא מסר לי, ולכן - - - << יור >> היו"ר שמחה רוטמן: << יור >> הוא לא מסר לך, אבל הוא מסר לעולם, הוא פרסם אותו ואתה סקריפטת או סקרפת אותו. << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> אני רוצה להעיר משהו שהוא אולי לא מקובל מבחינת החברים פה בשולחן. אבל אני באמת מנסה להבין מה האינטרס שלנו – ובדיוק השאלה הזו עוררה את זה – בתור מדינה, כשמדובר בזכות לפרטיות ולא בזכות קניינית שהיא זכות אדם, שהיא זכות יסוד, לתת הגנה של תקנת השוק? למה אני רוצה לאפשר המשך עיבודי מידע שנמסרו, הגיעו שלא כחוק, אם כביכול הפגיעה היא קלת ערך - - - << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, את מדברת על פגיעה קלת ערך או על ידע או לא ידע? << דובר >> ד"ר רחל ארידור הרשקוביץ: << דובר >> לא, אני מדברת על עצם הרעיון להכניס לזכות יסוד – שהיא זכות אדם, שהיא זכות לפרטיות – את המושג בכלל, לתת אפשרות להמשיך לעבד מידע גם אחרי שאני יודעת שהוא עובד לא כחוק. << יור >> היו"ר שמחה רוטמן: << יור >> הפרת הדין קלת ערך היא לאו דווקא על הפגיעה בפרטיות. הפרת הדין יכולה להיות על חוקים אחרים שעוסקים בעיבוד מידע, יכולה להיות על הנושא של החזקה. מאחר שלעיבוד הגדרה מאוד רחבה ולהפרת הדין הגדרה מאוד רחבה, בהחלט יכול להיות שתבוא מה שנקרא – נדבר על זה יום אחד – הזכות להישכח, ויבואו בנושא המידע ויגידו "תמחק אותי", ויגלו דעה שבעיניהם זה לא קל ערך, גם אם אני חושב שזה קל ערך. אז זה לא יחשב קל ערך, או שהרשות להגנת הפרטיות תחליט שהיא אוכפת את זה ותתווכח איתך על המושג קלות דרך. אבל הפרת הדין היא לאו דווקא הפגיעה בפרטיות. היא יכולה להיות עוד דברים. הפרת הדין היא לאו דווקא הפרת חוק-יסוד: כבוד האדם וחירותו, סעיף הפרטיות שבו. היא מושג מאוד רחב. << אורח >> עמית יוסוב עמיר: << אורח >> אני חושב שצריך לדבר כאן גם על איזונים. אולי זה יפתיע, ואולי זה ישמש בעתיד לטובתנו כשנדבר גם על תיקון 15, במהרה בימינו, שגם יטיל נטל על המשק. אבל צריך לומר שאמירה אחרת, אם נגיד: "הייתה איזושהי הפרה של הדין – אסור להחזיק את המידע" – המשמעות היא שגם פגיעות יחסית קלות בזכות לפרטיות יביאו לנזק, לפעמים כבד מאוד. << קריאה >> קריאה: << קריאה >> לשימוש. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, חברים, התקדמנו. סליחה, אנחנו חייבים מתישהו. << דובר >> נעמה מנחמי: << דובר >> אנחנו עוברים לנושא של איסור שימוש או החזקה במידע בלא הרשאה. יש לנו כאן את ההצעה של סעיף 10ג רבה. יש לנו את הסעיף הקיים בחוק. בכל מקרה, אנחנו רוצים להכניס את זה כ-(א2). עשינו כאן שינויים. עמית, אתה רוצה להציג אותם? << אורח >> עמית יוסוב עמיר: << אורח >> אנחנו מדברים על סעיף 10ג רבתי להצעת החוק הממשלתית, עם שני סעיפים קטנים (א) ו-(ב) שמבחינים בין שימוש במידע לבין החזקה של המידע. לאור ההגדרה החדשה והמקיפה של עיבוד, כבר אין צורך בהבחנה בין שני הסעיפים. לכן, הנוסח המוצע שמופיע פה במסמך של הייעוץ המשפטי: "לא יעבד אדם מידע אישי ממאגר מידע, בלא הרשאה מאת בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור". עם הגנה מצומצמת מסוימת שאנחנו מציעים לעניין הספציפי הזה: "לעניין סעיף זה "עיבוד" – למעט אחסון באקראי ובתום לב". הכוונה היא מצד אחד להבהיר את המובן מאליו, באופן עקרוני, שמידע במאגר מידע, עיבוד שלא דורש הרשאה מבעל השליטה, אפשר לעבד אותו ללא הרשאה מבעל השליטה. מצד שני, מקרים אינצידנטליים, בעיקר בפעולה של כל מיני מערכות טכנולוגיות, כשיש אחסון לא מכוון של המידע, בגלל ההגדרה המרחיבה של "עיבוד", לא ייתפסו בגדר האיסור הזה. דוגמה קלאסית היא אדם שקיבל דואר אלקטרוני, הוא שמור אצלו, הוא מחזיק אותו. לא הייתה לו כוונה להפר. אבל לא נדרשת כוונה בעוולות אזרחיות. לכן חשבנו שנכון להעניק פה את ההגנה הזאת. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> שתי מחשבות. אחת, מכיוון שהמונח "אדם הוא לרבות תאגיד" בהקשר הזה, וזה בסדר, אבל רק אולי להבהיר שהאדם הזה הוא לא בעל השליטה עצמו. אדם, למעט בעל השליטה במאגר. בעל השליטה במאגר לא נותן הרשאות לעצמו. בעל השליטה במאגר הוא בעל השליטה במאגר. << יור >> היו"ר שמחה רוטמן: << יור >> מובן מאליו, לא צריך. << דובר >> ניר גרסון: << דובר >> הוא מרשה לעצמו. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> ושתיים. ההרשאה – וזה מתכתב גם עניין האקראי ותום הלב – אולי אפשר לדבר גם על הרשאה במפורש או במשתמע. בהחלט יכולות להיות הרשאות משתמעות. הרשאה זה נשמע כמו הרשאה טכנולוגית, במובן של - - - << קריאה >> קריאה: << קריאה >> לא. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אני שואל, אני חושב שזה דיון ראוי לפרוטוקול, מה המשמעות להרשאה כאן. הדוגמה של דואר אלקטרוני - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא מדובר פה בהרשאה שהוא קיבל username. << דובר >> ניר גרסון: << דובר >> לאו דווקא ייפוי כוח. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> וגם לא כתובה חתומה. << יור >> היו"ר שמחה רוטמן: << יור >> נכון. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> ולכן אני אומר. << אורח >> ראובן אידלמן: << אורח >> המונח "הרשאה" משמש גם בתקנות אבטחת מידע בצורה נרחבת. בשום מקום לא נכנסנו לרזולוציה הזאת. << יור >> היו"ר שמחה רוטמן: << יור >> ברור. לא, אין צורך, אני חושב שזה מיותר. << קריאה >> קריאה: << קריאה >> דווקא טוב לנו שזה מורחב, ההרשאה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, אני רוצה להבהיר. << אורח >> ענר רבינוביץ׳: << אורח >> הסעיף הזה מתכתב עם Article 29 GDPR. ההבדל המשמעותי ששם יש היתר נוסף לעיבוד על פי הוראות הדין. אני חושב שזה חסר כאן. << אורח >> עמית יוסוב עמיר: << אורח >> כל החוק הגנת הפרטיות חוסה תחת סעיף 35 לחוק. הוראות חוק הגנת הפרטיות לא גורעות מכל דין אחר. אם יש דין ספציפי שהתיר לעבד מידע באופן ספציפי, לפי כללי הפרשנות המקובלים בתוספת סעיף 35 הדין הספציפי גובר על הדין הכללי. << יור >> היו"ר שמחה רוטמן: << יור >> עוד משהו לסעיף זה? מצוין, הבה, נתקדם. << אורח >> עמית יוסוב עמיר: << אורח >> אולי פה אני אבקש להעיר משהו. מופיע כעת במסמך הכנה סעיף 10ב. הממשלה מבקשת לדלג כרגע על הסעיף, יש בדיקות. << יור >> היו"ר שמחה רוטמן: << יור >> מאז 2009 לא ניסחנו אותו. << אורח >> עמית יוסוב עמיר: << אורח >> לא, ניסחנו. הכוונה המרכזית שלנו היא להתאים את הוראות הדין המהותי למודל העיצומים הכספיים שיאפשר אכיפה, שזאת אולי התכלית המרכזית של כל התיקון 14. אין לנו כוונה לעורר בעיות וקשיים אחרים בתחום המותר והאסור בעיבוד מידע. << יור >> היו"ר שמחה רוטמן: << יור >> מה מותר ומה אסור בתחום עיבוד מידע? << אורח >> עמית יוסוב עמיר: << אורח >> מה שהיה מותר אתמול, יהיה מותר מחר. << יור >> היו"ר שמחה רוטמן: << יור >> סעיף שמירת דינים. << אורח >> עמית יוסוב עמיר: << אורח >> לא, זאת המטרה באופן עקרוני. באופן מעשי, יש פה שתי מערכות דינים - - - << יור >> היו"ר שמחה רוטמן: << יור >> הבעיה העקרונית ובאופן מעשי שאף אחד לא יודע מה מותר ומה אסור בתחום עיבוד המידע. ולכן אני מאחל לכם הצלחה מרובה בניסוח סעיף 8ב החדש ואני אעבור לסעיף הבא. אני מאחל לכם הצלחה באיך להגדיר את הבלתי-מוגדר. ואנחנו נעשה זאת, נגדיר את אשר לא ניתן להגדרה. כן, בבקשה. << דובר >> נעמה מנחמי: << דובר >> הגענו לחובת הרישום. כמו ציינתי מקודם, היום זה נמצא ב-8(א) וב-8(ג). 8(א) עוסק בחובת הרישום ו-(ג) עוסק בשאלה מה הנסיבות של הרישום. מבחינת העניין, חשבנו שאפשר לאחד אותם ביחד. מוצע נוסח חדש, גם בשים לב להערת הוועדה בפעם הקודמת, שביקשה לצמצם את חובת הרישום לסוחרי מידע ולמאגרים ציבוריים. אני אקריא את (ג) המחודש: "לא יעבד אדם מידע אישי במאגר מידע ולא ירשה לאחר לעבד עבורו מידע כאמור, אם המאגר הוא אחד מאלה, אלא אם המאגר נרשם במרשם או הוגשה בקשה לרישום המאגר לפי הוראות סעיף 9 וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום המאגר". ואלה התנאים: "(1) אחת ממטרותיו העיקריות של המאגר היא איסוף מידע אישי לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר – נשקול מבחינה ניסוחית את הנושא של "כהגדרתם בסעיף 17ג" – או שהמידע האישי שבמאגר נמסר או מיועד להימסר לאחר בתמורה, ובמאגר למעלה מ-10,000 נושאי מידע; (2) בעל השליטה במאגר המידע הוא גוף ציבורי, כאמור בפסקה (1) להגדרה "גוף ציבורי" שבסעיף 23, למעט מאגר מידע הכולל מידע על עובדי הגוף הציבור בלבד – זאת הצעה שלנו, כדי להוריד את המספר". אני חושבת שבמובן מסוים מטרת הרישום של גוף ציבורי היא כדי לדעת שהמאגר קיים. נראה לי שזה די ברור שלכל גוף ציבורי יש רשימת עובדים. << יור >> היו"ר שמחה רוטמן: << יור >> רק חשוב להגדיר פה. מאגר רשימת העובדים – זה ברור, מצד הרישום לא צריך, החובות המהותיות יחולו עליו בכל מקרה. הבעיה היא שהרבה מאוד פעמים גופים ציבוריים מחזיקים מאגר על עובדים, גם על עובדים לשעבר וגם על מועמדים. לכאורה זה לא נותן להם את ההגנה. נניח שאני כותב "עובדים, עובדים לשעבר, מאגר המועמדים". מאגר מועמדים לשפיטה לצורך העניין, שזאת בכלל שאלה האם המועמדים לשפיטה נחשבים לעובדים. הם לא נחשבים עובדים. אבל גם מאגר מידע – שופטים הם לא "עובדים", גם חיילי צה"ל אינם "עובדים", גם שוטרים אינם "עובדים". << דובר >> ניר גרסון: << דובר >> אדוני, דווקא במאגרים האלה יש איזו מורכבות, מעבר לעובדים סתם. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין, אתם רוצים שזה יחול עליהם. זאת אומרת, צה"ל יצטרך לרשום את המאגר של משרתי החובה ומשרתי המילואים, הוא יצטרך לרשום את זה כי הם לא עובדים שלו. אבל את האזרחים עובדי צה"ל הוא לא יצטרך לרשום. אני מחדד מה הכוונה פה בסעיף. << אורח >> ראובן אידלמן: << אורח >> אין הצדקה להקל דווקא. ראשית, כפי שאדוני יודע, אנחנו מלכתחילה הצענו חובת רישום מצומצמת יותר ביחס לגופים ציבוריים. הוועדה הרחיבה את הנושא הזה. בעניין ההבחנה שאדוני מזכיר, אנחנו לא רואים לנכון להקל דווקא עם המועמדים, לצורך העניין על קורות חיים שנשלחים. << יור >> היו"ר שמחה רוטמן: << יור >> זה לא עניין של להקל. השאלה אם רושמים אותם. << אורח >> ראובן אידלמן: << אורח >> העובדים – ההחרגה הזאת שהיא הצעת הייעוץ המשפטי לוועדה, מקובלת עלינו. << יור >> היו"ר שמחה רוטמן: << יור >> אבל המאגר על מועמדים – יצטרכו לרשום? << אורח >> ראובן אידלמן: << אורח >> כן. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור, אני בעד. << אורח >> איה מרקביץ: << אורח >> למה עברנו מ"בעל שליטה במאגר מידע" ל"אדם", בהקשר הזה? "לא יעבד אדם מידע אישי" וכו' "ולא ירשה לאחר לעבד עבורו". לא ירשה לעבד עבורו – זה אומר שאת בעלת השליטה במאגר. אולי זאת טעות ניסוח, אבל משתמע ממה שכתוב פה שעכשיו המחזיק צריך לבדוק אם יש רישום, אם יש בכלל כניסה לתנאי הסף לרישום, האם בכלל מדובר במאגר שחייב ברישום. זאת טעות? << יור >> היו"ר שמחה רוטמן: << יור >> לכאורה פה המצב קצת יותר קל, כי אם מבוקש לעבד מאגר מידע עבור סוחר מידע, תוודא שבן אדם שאתה מעבד עבורו את המידע פעל ורשם את המאגר. לא חלה עליך החובה, אבל כן תבדוק. וכנ"ל אם אתה מעבד מידע עבור גוף ציבורי. << אורח >> איה מרקביץ: << אורח >> ואם אתה נותן שירותי אחסון, למשל? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> זה יכול להיות גם אחסון בענן. איך אפשר לנהל את זה? זאת לא חובה הגיונית. << אורח >> איה מרקביץ: << אורח >> החובה צריכה להיות על בעל השליטה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> זה מאוד דומה לעניין עם המחזיק מקודם. אין היגיון בזה. החובה המהותית לרישום היא על בעל השליטה. מה זה משנה אם אדם בסוף קיבל הרשאה? "אדם" – יכול להיות גם עובד של בעל השליטה, לצורך העניין. << יור >> היו"ר שמחה רוטמן: << יור >> יש בזה משהו. << דובר >> נעמה מנחמי: << דובר >> יכול להיות שבאמת כדאי לפצל את (ג) חזרה איכשהו, ל-(1) ו-(2), כדי לחדד קצת את הרישום מול - - - << יור >> היו"ר שמחה רוטמן: << יור >> כן, שומע, אוקיי. עוד משהו, חוץ מזה? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> הערה להגדרה של אותם data brokers. ברישה, מטרותיו העיקריות זה איסוף מידע לצורך מסירתו. למה לא "מכירתו לאחר"? יש גם הגדרות בדינים אחרים, למשל ב- CCPAבקליפורניה יש הגדרה מיהו data brokerוהיא עוסקת בשאלת מכירת המידע בתמורה. זאת אומרת, זה לא סתם כל מצב שבו הוצאתי מהמאגר מידע - - - << יור >> היו"ר שמחה רוטמן: << יור >> בדרך כלל, "דרך עיסוק" – נותן משהו בתמורה. זה נועד למנוע, כי בדרך כלל בן אדם לא עושה משהו כדרך עיסוק מטוב ליבו. לכן, לעניין התמורה בדרך עיסוק מכסה את זה. זה נועד למנוע אירוע חד פעמי. זה נועד למנוע סיטואציה לכלול מישהו שעושה את זה באקראי או אגב פעולה אחרת. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל זה מעורר את השאלה מה זה אחת ממטרותיו העיקריות של המאגר. כשמנהלים מאגר או קובעים מסמך הגדרות מאגריים לא מתעדפים, אין רשימת מטרות עיקריות או מטרות משניות של המאגר. מסירה של מידע, כמו שאדוני אמר, אינצידנטלית או אולי במספרים קטנים, כחלק מעיסוק, לא בהכרח הופכת גוף להיות .data broker data broker זה גוף שכל תכליתו העסקית ומהותו הכלכלית זה מסירת מידע לאחר. היא לא אחת מהמטרות. << דובר >> נעמה מנחמי: << דובר >> בניסוח המקורי היה "המטרה העיקרית". אם אני מוסיפה עוד שתי מטרות, אז עכשיו אני בעצם פטורה מזה? << דובר >> ד"ר עמרי רחום טוויג: << דובר >> קודם כל, בהחלט יכול להיות. אני לא יודע. << אורח >> דן אור-חוף: << אורח >> אני רוצה לקרוא לילד בשמו. מסירה של מידע לאחר כדרך עיסוק, שהיא לא סחר במידע, זה בעיקרו של דבר תעשיית הפרסום האינטרנטי. זאת תעשייה שבה יש מסירת מידע ובהיקפים גדולים, כדרך עיסוק, אבל הם לא סוחרי מידע. הם לא מוכרים את המידע, אבל זה חלק מהותי מהעיסוק שלהם. וזאת שאלה עקרונית, האם אנחנו רוצים להכניס את התעשייה הזאת לגדר הגופים שצריכים לרשום את מאגרי המידע שלהם או לא - - << דובר >> ד"ר עמרי רחום טוויג: << דובר >> גם ספקי תקשורת. << אורח >> דן אור-חוף: << אורח >> - - או להשאיר את הרישום הזה רק לכאלה שממש סוחרים, מוכרים מידע במשמעות הברורה והפשוטה של העניין. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אני אקריא את ההגדרה של CCPA הקליפורנית, רק כדי שנהיה .on the same page בקליפורניה, ההגדרה של data broker היא: “as businesses that knowingly collect and sell to third parties the personal information of a consumer with whom the business does not have a direct relationship”. זה הרעיון. << דובר >> ניר גרסון: << דובר >> ומה ההגדרה של sell שם? << קריאה >> קריאות: << קריאה >> - - - << דובר >> ד"ר עמרי רחום טוויג: << דובר >> יש הגדרה. << אורח >> ליאור אתגר: << אורח >> יש הגדרה, אבל התמורה היא לא חלק ממנה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, התמורה היא בהחלט חלק ממנה. << דובר >> ניר גרסון: << דובר >> ובכל אופן, צריך לבדוק מה ההגדרה של sell, כי נדמה לי שהיא רחבה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אין בעיה. << דובר >> ניר גרסון: << דובר >> אבל בכל מקרה, גם במקרה שבו עסק מפיץ מידע לרבים, הוא לא מקבל תשלום ישיר, אבל הוא מפיק תועלת מסחרית עקיפה או ישירה, זו סיטואציה, זה תרחיש שאנחנו רוצים שההסדר יחול עליו ויש לזה כל ההצדקות. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא ברור לי. אני לא מצליח להבין. << אורח >> ראובן אידלמן: << אורח >> כפי שציינה היועצת המשפטית, בהצעת החוק הממשלתית נכתב "מטרתו העיקרית של המאגר". אנחנו הצענו את זה, אז כמובן שזאת חלופה שמקובלת עלינו, אלא אם הוועדה רוצה לכתוב את זה אחרת. אני חושב שזה נותן מענה. אגב, זה קיים היום בתקנות אבטחת מידע, זאת לא הגדרה חדשה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אגב, וגם אין פה threshold של מספר, של כמות. << יור >> היו"ר שמחה רוטמן: << יור >> לא, יש. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, זה רק לגבי החלופה בסיפה, שהיא - - - << יור >> היו"ר שמחה רוטמן: << יור >> 10,000. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אני לא בטוח אם זה חל על הכול. << יור >> היו"ר שמחה רוטמן: << יור >> כן, לדעתי ה-10,000 חל על הכול. << דובר >> ניר גרסון: << דובר >> כן. << אורח >> ראובן אידלמן: << אורח >> כן. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> 10,000 זה מספר מאוד נמוך, כהפרש עוד לרישום, בנוסח החדש. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, מבחינתי ש- data brokerיירשם מהיום הראשון, עוד לפני שהוא מתחיל. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> 10,000 – זה מידע שיש לו במאגר. זה בכלל לא אומר שהוא מסר מידע. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אם מטרתו היא – אז גם מאז שהוא מתחיל. אבל בסדר. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אבל שים לב, יש שם הגדרה נוספת: "או שהמידע האישי שבמאגר נמסר או מיועד להימסר". זה כבר לא מטרתו העיקרית. זה אומר שפשוט הפעולה הזאת קרתה, נמסר מידע מתוך המאגר. << יור >> היו"ר שמחה רוטמן: << יור >> שוב, מה ההצעה הממשלתית? תקריאו אותה. << דובר >> נעמה מנחמי: << דובר >> לחזור ל"מטרתו העיקרית"? << אורח >> ראובן אידלמן: << אורח >> כן, ההצעה הממשלתית היא: "מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק" – וההמשך שכתוב. << יור >> היו"ר שמחה רוטמן: << יור >> מצוין. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לא, אבל אז בלי הסיפה הנוספת: "או שהמידע האישי שבמאגר נמסר או מיועד להימסר לאחר". זה מחטיא את הרעיון. אם אנחנו מדברים על מטרה עיקרית – מטרה עיקרית. << קריאה >> קריאה: << קריאה >> לא, למה? << אורח >> ראובן אידלמן: << אורח >> לא, לא, בהתאם להצעה של הייעוץ המשפטי. "מיועד להימסר לאחר". << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אני מבין שזאת ההצעה. אני מסביר את הקושי שבה. << יור >> היו"ר שמחה רוטמן: << יור >> שנייה. מה הדלתה שאתה חושב? לא הבנתי. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אם אנחנו אומרים שהרציונל הוא ש"מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר", אבל אנחנו מכניסים בדלת האחורית "או שהמידע האישי שבמאגר נמסר לאחר". קרה. זו לא מטרתו. << דובר >> ניר גרסון: << דובר >> בתמורה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> אז מה? אבל זו לא מטרתו העיקרית של המאגר. << יור >> היו"ר שמחה רוטמן: << יור >> עם זה אני מסכים. הנושא של מידע שנמסר לאחר בתמורה – זאת לא המטרה העיקרית של המאגר, לא המטרה העיקרית של המוסר. זה באמת מכסה כמעט את כולם. יותר מזה. לדוגמה, אני לא ,data broker אבל אני מכרתי עסק עם רשימת לקוחות. יש לי עסק, יש לי רשימת לקוחות, יש לי מועדון לקוחות. אני מועדון לקוחות של שופרסל או של רמי לוי. אני מחליט לסגור את העסק שלי ולהעביר את מועדון הלקוחות שלי למישהו אחר. לא ,data broker לא בשביל זה הקמתי את המאגר. חשבתי שאני אנהל את מועדון הלקוחות לנצח. רק מה לעשות, נהייתי חבר הכנסת, החלטתי שלנהל מועדון לקוחות זה כבר לא בשבילי ומכרתי את המאגר למישהו אחר, כולל את כל הפעילות של המועדון עם המאגר שלו. עכשיו מאגר מידע חייב ברישום, כי הוא נמסר לאחר בתמורה. << אורח >> ראובן אידלמן: << אורח >> יש לי הצעה, כדי שיהיה ברור, הרכיב של בתמורה הוא גם צריך להיות מטרה עיקרית אם אני מבין נכון ואם לשם מכוונים. אפשר לכתוב כך, אני מקריא מההתחלה: "מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, או בתמורה, לרבות שירותי דיוור ישיר". << יור >> היו"ר שמחה רוטמן: << יור >> בלי המילים "או שהמידע". לדעתי – בסדר גמור. << קריאה >> קריאה: << קריאה >> אני מציע להחריג מקרים של עסקאות מיזוג או עסקאות מכירה וגם מקרים שבהם ה- consumer נתן את ההסכמה שלו. << יור >> היו"ר שמחה רוטמן: << יור >> זה מוחרג. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> זאת לא המטרה העיקרית. << יור >> היו"ר שמחה רוטמן: << יור >> זה מוחרג. << קריאה >> קריאה: << קריאה >> זה צריך להיות ברור. << יור >> היו"ר שמחה רוטמן: << יור >> אז אני אומר – זה מוחרג, כי אז זאת לא המטרה של המאגר. << אורח >> איה מרקביץ: << אורח >> אשמח לקבל הבהרה מחברינו במשרד המשפטים: למה הכוונה, בהקשר הזה, "לרבות שירותי דיוור ישיר"? אני קוראת במקביל את ההגדרה בחוק, של שירותי דיוור ישיר, אחד הסעיפים הארכאיים הרבים בחוק הקיים, שכתוב: "מתן שירותי דיוור ישיר לאחרים בדרך של העברת רשימות, מדבקות או נתונים בכל אמצעי שהוא". האם הכוונה שכל מי שמבצע פנייה של טלמרקטינג עבור בעל השליטה, צריך להירשם? או מי שנותן רשימה? << דובר >> ניר גרסון: << דובר >> מי שמעביר לאחר את השמות. << אורח >> עמית יוסוב עמיר: << אורח >> לא, רגע. אבל יש הגדרה לדיוור ישיר. ההגדרה, עם המדבקות, היא רק כדי להבהיר שזה לאחרים. << יור >> היו"ר שמחה רוטמן: << יור >> אם אני מעביר את המדבקות להרבה מאוד אנשים? << קריאה >> קריאות: << קריאה >> - - - << אורח >> עמית יוסוב עמיר: << אורח >> שוב פעם, ההגדרה - - - << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אני לא נכנס לזה פה, לדעתי הכוונה בסעיף הזה ברורה. הרעיון הוא שגם מי שמחזיק מיילינג ליסט – לטובת מכירת מיילינג ליסט. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> לטובת מכירה. אבל אם הוא מחזיק בזה עבור ארגון – הוא מחזיק, הוא לא בעל שליטה. << יור >> היו"ר שמחה רוטמן: << יור >> נכון. << דובר >> ניר גרסון: << דובר >> אם הוא קבלן והוא לא מעביר את השמות לבעל השליטה, אלא רק עושה בזה פעולה, אז לא. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> בסדר. אני חושב שאנחנו מציפים פה שההגדרה של שירותי דיוור של דיוור ישיר היא הגדרה - - - << אורח >> איה מרקביץ: << אורח >> לא טובה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> כולנו יודעים שהיא כבר לא עובדת היום כמו צריך. << דובר >> ניר גרסון: << דובר >> אז למען הסר ספק: שירותי דיוור ישיר – נכנס להגדרה. << דובר >> ד"ר עמרי רחום טוויג: << דובר >> נכנס להגדרה במצב שבו נותן שירותי הדיוור הישיר הוא בעל שליטה במאגר בעצמו, כי אחרת אין לו חובת רישום. << אורח >> איה מרקביץ: << אורח >> כן, בדיוק. << דובר >> ניר גרסון: << דובר >> כן, כשהוא מעביר. << אורח >> איה מרקביץ: << אורח >> יש קושי בהגדרה עצמה. ברור שזאת לא בעיה בתיקון 14, אבל דיוור ישיר מוגדר כפנייה אישית לאדם בהתבסס על השתייכותו לקבוצת אוכלוסין וכו'; ו"שירותי דיוור ישיר" – זו מתן שירותי דיוור ישיר לאחרים. << דובר >> ניר גרסון: << דובר >> אבל כמו שאמר היושב-ראש, הכוונה ברורה. << אורח >> איה מרקביץ: << אורח >> - - - << דובר >> ד"ר עמרי רחום טוויג: << דובר >> גם אם זה לפרוטוקול, חשוב להגיד את זה: בסוף, המחזיק לא חייב ברישום. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, רבותיי בואו תקדם. (ג1). << דובר >> נעמה מנחמי: << דובר >> (ג1) – זה מה שנשאר לנו מהצעת החוק המקורית, ביחס למידע בעל רגישות מיוחדת. אני ניסיתי להתאים את זה. "בעל שליטה במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות למעלה מ – הוועדה תחליט 100,000 או 500,000 – ושלא חלה עליו חובת רישום לפי סעיף קטן (ג), חייב למסור לממונה את הפרטים המנויים בסעיף 9(ב) - -". בהצעת החוק היה כתוב גם (1), אני חושבת שזאת טעות. "השר, באישור ועדת החוקה, רשאי לקבוע הוראות לעניין אופן הדיווח לפי סעיף קטן זה". << אורח >> ראובן אידלמן: << אורח >> אולי אני קצת ארחיב, כי יש לנו כאן הצעה טיפה יותר רחבה. הוועדה כיוונה לכך שביחס לכל מי שלא גוף ציבורי ואיננו data broker, תהיה חובת יידוע. << יור >> היו"ר שמחה רוטמן: << יור >> יש לי הצעה לסדר. מאחר שזה נושא שהוא פתיחת חזית שנייה בצפון, במזרח, במערב, בואו נצא להפסקה, ניתן לאנשים להתרענן לפני זה, ונשוב ונתכנס. נשוב ונתכנס בשעה 12:15. << הפסקה >> (הישיבה נפסקה בשעה 11:45 ונתחדשה בשעה 12:15) << הפסקה >> << יור >> היו"ר שמחה רוטמן: << יור >> חזרנו. לצערי, האמירה שלי מהבוקר – לא זכינו שהיא תתקיים, קיבלנו עוד בשורה קשה. המלחמה שאנחנו נלחמים לטובת מדינת ישראל, עם ישראל, ארץ ישראל, גובה מחירים שקשים מנשוא. אנחנו ננחם את המשפחות ונקווה שבאמת לא נתרגל, חס ושלום, חס ושלום. לא נקבל את זה ולא נתרגל. ה' ייקום דמם. משרד המשפטים, בבקשה. אני מתנצל על המעבר החד הזה. << אורח >> ראובן אידלמן: << אורח >> בהמשך להצעת הוועדה מהדיון הקודם להמיר את חובת הרישום ביחס לכל מאגר שאיננו של גוף ציבורי או של סוחר מידע או data broker, להמיר אותה בחובת יידוע, אנחנו מציעים מודל של חובת יידוע שחלה על מאגרים גדולים, כלומר מאגרים שמלכתחילה מעל 100,000 נושאי מידע. פירטנו במסגרת ההצעה שלנו איך אנחנו רואים את זה, היא הועברה לוועדה, מקווה שלאדוני יש את זה. אפשר גם להעביר לאדוני עותק, העברנו במסמך נפרד, הוא גם עלה לאתר הוועדה. ראשית, אנחנו מציעים, מבחינת מה שיימסר לרשות, מתוך הבנה שהמטרה היא לאפשר לרשות, באמצעות חובת היידוע, לזהות איפה יש מאגרים שמפאת רגישותם – סוג המידע שמוחזק בהם, סוג העיבוד – הם מצריכים איזושהי בחינה ספציפית יותר, בין בהליך אכיפה, בין בדרך אחרת, אבל מצריכים תשומת לב מיוחדת, בלי שזה יהיה רישום, בלי שזה יהיה פרה רולינג, כפי שאדוני הגדיר בפעם הקודמת. לצורך כך, פירטנו איזה מידע אנחנו צריכים. קודם כל, יש לנו את הפרטים - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני אקצר. בגדול, יש שם היום את הפרטים שמופיעים היום בחוק, בתוספת מסוימת. << אורח >> ראובן אידלמן: << אורח >> נכון. << יור >> היו"ר שמחה רוטמן: << יור >> אתם העברתם, זה נמצא באתר הוועדה. למי שנמצא, זה מולו. את חובת היידוע, את כל הפרטים שנמצאים היום ברישום. בנוסף, את פרט (7), שזה: "פרטים בדבר אופן קבלת ההסכמה לעיבוד המידע או מקור סמכות המתיר עיבוד כאמור, ככל שעיבוד המידע במאגר כרוך בפגיעה בפרטיות". למה אתם מוסיפים את זה? << אורח >> ראובן אידלמן: << אורח >> כי אחרת אין צורך בהסכמה או במקור סמכות. זאת אומרת, לפי המבנה שבחוק. << דובר >> ניר גרסון: << דובר >> הוא שואל על כל פריט (7), לא רק על סיפה. << אורח >> ראובן אידלמן: << אורח >> הוספנו את פריט (7), כי זה האמצעי להבין איפה – כשיש מאגר שהוא רגיש באופן מיוחד, גם כי הוא קודם כל גדול וגם מפאת - - - << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, אני מנסה להבין משהו. << אורח >> ראובן אידלמן: << אורח >> כדי להבין באיזה אופן מתקבלת ההסכמה. << יור >> היו"ר שמחה רוטמן: << יור >> כשאתם ביקשתם רישום, אנחנו הפכנו מרישום למסירת מידע. ברישום ביקשתם פריטים (1) עד (6). << אורח >> ראובן אידלמן: << אורח >> כן. << יור >> היו"ר שמחה רוטמן: << יור >> אם זה הספיק לכם לטובת רישום, למה לטובת יידוע אתם מוסיפים עוד משהו? << דובר >> ניר גרסון: << דובר >> אדוני, פעמים רבות, כשראינו שסוג המידע - - - << יור >> היו"ר שמחה רוטמן: << יור >> פעמים רבות, כשביקשתם – ביקשתם את המידע הזה? << דובר >> ניר גרסון: << דובר >> כשראינו שיש מידע - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני מסכים. והסמכות שלכם לבקש את הפרטים הכלולים ב-(7), על בסיס החלטה פרטנית, קיימת, למיטב ידיעתי. לא שולל לכם אותה, נכון? << דובר >> ניר גרסון: << דובר >> כן אדוני. << יור >> היו"ר שמחה רוטמן: << יור >> זה סעיף אחר? << דובר >> ניר גרסון: << דובר >> סמכות דרישת ידיעות ומסמכים. << יור >> היו"ר שמחה רוטמן: << יור >> מצוין. למה אתם צריכים להטיל עכשיו את המטלה הרגולטורית הזאת? כאשר עברנו ממשטר של רישום למשטר של מסירת מידע, למה באה, בצד זה, הגדלת הדרישה הרגולטורית לעניין פרט (7)? << דובר >> ניר גרסון: << דובר >> ראשית, זאת לא בדיוק הגדלת הדרישה הרגולטורית, אלא - - - << יור >> היו"ר שמחה רוטמן: << יור >> אתה טוען שזאת הפחתה? << דובר >> ניר גרסון: << דובר >> לא. לפי סעיף 11 לחוק, ממילא כל בעל מאגר היום צריך – במיוחד אם הוא אוסף את המידע ישירות מנושא המידע – להגיד לעצמו, כדי שיוכל להגיד לנושא המידע - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל הוא היה צריך להגיד לעצמו גם שלשום, ולא ביקשת את פרטי המידע האלו לטובת הרישום. למה לטובת מסירת המידע אתה דורש אותם? << דובר >> ניר גרסון: << דובר >> למה אנחנו מבקשים לצרף את זה מראש? כדי שנוכל לבור את המוץ מהתבן ולא לפנות לכל המשק לשלוח דרישת ידיעות ומסמכים. יש מטרה לדיווח. << יור >> היו"ר שמחה רוטמן: << יור >> אבל הייתה מטרה גם לרישום. אני שוב שואל, הייתה מטרה לרישום? << דובר >> ניר גרסון: << דובר >> כן, אבל - - - << יור >> היו"ר שמחה רוטמן: << יור >> כל מי שהגיש אצלכם, שעשה את הצעד המדהים הזה של בקשה לרישום, הצדיקים שבסדום שרשמו את מאגרי המידע שלהם, קיבלו מכם כעניין שבשגרה "תשלימו לי גם את (7)"? << דובר >> ניר גרסון: << דובר >> פעמים רבות כן. << יור >> היו"ר שמחה רוטמן: << יור >> ולפי מה החלטתם ממי אתם דורשים את (7) וממי לא? << דובר >> ניר גרסון: << דובר >> אני לא רוצה להגיד סתם, אבל לדעתי ברוב המקרים כן. זה אחד מהנושאים שאנחנו צריכים - - - << יור >> היו"ר שמחה רוטמן: << יור >> בהצעת החוק הממשלתית, כשנשארנו עם חובת הרישום, כללתם את פרט (7)? לא. << דובר >> ניר גרסון: << דובר >> לא. << אורח >> ראובן אידלמן: << אורח >> לא. << דובר >> ניר גרסון: << דובר >> לא בהצעת החוק, אבל זה משהו - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני מנסה להבין. את ידיעות ומסמכים אתם יכולים לדרוש על בסיס החלטה נקודתית. << אורח >> ראובן אידלמן: << אורח >> ברישום צריכים להמתין לנו. כאן אנחנו במצב אחר. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין. << אורח >> ראובן אידלמן: << אורח >> אנחנו מקבלים הרבה הודעות יידוע ואנחנו צריכים לבור את המוץ מהתבן כמו שנאמר כאן, בלי שמחכים לנו, המאגר כבר רץ ופועל. הרעיון אומר איפה אנחנו נמקד. לא נשלח דרישת ידיעות ומסמכים למאות מאגרים, אני חושב שגם אין אינטרס, כי זה כבר הליך אכיפה. המטרה היא לצמצם פתיחה בהליכי - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני רק רוצה להסביר לך משהו לגבי פריטים (1) עד (6). יש לי איזו ונדטה – אפשר לעשות על זה הערכת אישיות, עם איזה AI – נגד עורכי דין, משהו אישי כזה. אני מסתכל על (1) עד (6), ולא צריך עורך דין בשבילם. נכון שאפשר עורך דין, יש גם עורכי דין שעשו את זה. אני מסתכל על סעיף 7 – זאת חוות דעת משפטית. זה ההבדל הרגולטורי. << אורח >> ראובן אידלמן: << אורח >> זו יכולה להיות מדיניות הפרטיות. << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא. "מקור סמכות המתיר עיבוד כאמור". מי שעוסק בלכתוב לי מה מקור הסמכות – הוא גורם משפטי. << דובר >> ניר גרסון: << דובר >> אדוני, זה נוסח ההסכמה. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע, אני יודע שזה קצת old fashion לבקש ממשפטן לעסוק במקור סמכות. אבל זה לא - - - << דובר >> ניר גרסון: << דובר >> אדוני, זה נוסח ההסכמה. זאת ממש לא חייבת להיות חוות דעת. זה פרטים הכי בסיסים. אתה אוסף מידע? תציג לנו את ההסכמה, את הטקסט, את הסעיף שאתה מחתים את הלקוחות. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אתה בעצמך יודע, מחר בבוקר אתה תביא לי פרטים אחרים שלא צריך בשבילם הסכמה. וגם, היום פרטי ההסכמה היא סוגיה משפטית כבדת המשקל בשאלה מה נחשב הסכמה ומה לא נחשב הסכמה. זו הסוגיה שבשבילה צריך חוות דעת. זו הסוגיה שממנה היושבים פה מסביב לשולחן עושים את הפרנסה שלהם – וכאמור, יש לי ונדטה נגדם. אחרי שיושבים עם האנשים מספיק זמן בחדר, אתה רוצה לפגוע להם בפרנסה ואתה אומר, למה לספק להם עכשיו עוד פרנסה שיכתבו חוות דעת משפטיות האם זה נחשב הסכמה והאם זה שקרצת למצלמה לטובת ההפעלה נחשבת הסכמה, כן או לא. למה? לא דרשת את זה לרישום. לבור את המוץ מהתבן – תבור את המוץ מהתבן. אתה אומר שאני מוריד לך רגולציה. אבל לא הורדתי לך רגולציה. הוספתי לך שכל בקשת רישום – שאתה אומר שעד היום מרובם ביקשת, יכול להיות שגם זאת תקלה, אבל אני לא מתעסק בזה עכשיו, זאת לא ישיבת פיקוח על הרשות להגנת הפרטיות. אבל פרט (7), זה – "תצרף חוות דעת משפטית". זאת המשמעות. << אורח >> ראובן אידלמן: << אורח >> מקור סמכות – זה בדרך כלל פחות רלוונטי במגזר הפרטי. << יור >> היו"ר שמחה רוטמן: << יור >> נכון. << אורח >> ראובן אידלמן: << אורח >> אלה יהיו מקרים יותר ספורדיים. << יור >> היו"ר שמחה רוטמן: << יור >> נכון. << אורח >> ראובן אידלמן: << אורח >> "פרטים בדבר אופן קבלת ההסכמה" – זה יכול להיות מדיניות הפרטיות. מבחינתנו, זה בהחלט לא מצריך חוות דעת משפטית. זה להבין איך אתה, את הטופס - - - << יור >> היו"ר שמחה רוטמן: << יור >> כשאתה בהארדקור מידע שנמסר מהאדם עצמו, בהסכמה, ברמה הפשוטה ביותר, ולא עושה את הקונסטרוקציות המשפטיות המורכבות שאתם מייצרים היום בגלל שאין לנו בסיסי עיבוד, שההסכמה היא גם לא הסכמה, אז אתה צודק. כמה מאגרי מידע מתוך מאגרי המידע שאתם מדברים עליהם ושנרשמו אצלכם, הם מאגרי המידע שאנשים אשכרה נתנו הסכמה? << דובר >> ניר גרסון: << דובר >> רבים מאוד. << אורח >> ראובן אידלמן: << אורח >> במגזר הפרטי זה הכלל. << יור >> היו"ר שמחה רוטמן: << יור >> זה הכלל, אבל נתנו הסכמה במובן שלא דורש חוות דעת משפטית למה זאת הסכמה? << דובר >> ניר גרסון: << דובר >> אנחנו לא ביקשנו חוות דעת משפטית. << יור >> היו"ר שמחה רוטמן: << יור >> אתם לא ביקשתם. << דובר >> ניר גרסון: << דובר >> אדוני, אם הוועדה מבקשת לצמצם את הרישום, נסתפק בדיווח. המטרה היא בכל זאת להשאיר רמה מינימלית של הגנה על פרטיות - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני חושב ש-(3) ו-(4), והעובדה שאתה מקבל ידיעה על (3) ו-(4), ועל (6) כמובן, ו-(5), וכל מה שבקשתם ברישום – זה נותן איזושהי אפשרות למיקוד האכיפה. << דובר >> ניר גרסון: << דובר >> לא. << יור >> היו"ר שמחה רוטמן: << יור >> סעיף (7) הוא סעיף שמוסיף עלות רגולטורית לא קטנה. אתה אומר שהיום, פחות או יותר כדבר שבשגרה או כמעט כדבר שבשגרה, אתה עושה את זה בכל מקרה. אני מקווה שתפסיק. אבל כמו שאמרתי, זה לישיבת הפיקוח על הרשות להגנת הפרטיות. אני לא חושב שזה דבר נכון. זה חלק מהדבר שאנחנו מדברים עליו. אנחנו מנסים להסדיר את העניין ולא להגיד "דרישת פרטים נוספים". (מכאן אורי פנסירר) << יור >> היו"ר שמחה רוטמן: << יור >> הרבה פעמים לגופים רגולטוריים יש נטייה להשתמש בסעיפי הסל שלהם כדי לייצר מחדש את סעיפי - - -, ואני כן אומר לכם שאם אחרי חקיקת החוק ואף אוסיף לכם: נניח שתשכנעו אותי – מה שנראה לי שיש סיכוי קלוש – שכן צריך את 7 ואוסיף לכם את 7, ואז אגלה שדרך "דרישת פרטים נוספים" אתם מכניסים גם את 8 ,9 -10 כדבר שבשגרה לכולם. וכל מי שעושה את הטעות ושולח לכם מידע, אז הוא מקבל בתמורה מכתב "דרישת מסמכים נוספים" שיושב כבר על הרובריקה ויוצא אוטומט - - - << דובר >> ראובן אידלמן: << דובר >> אנחנו נימנע מזה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אני מבין. אבל כעניין היום, יש לכם את 1 עד 6, ואתם אומרים לי שכמעט לכולם אתם שולחים גם את 7. אז אני אומר – תפסיקו לשלוח לכולם על תיקונם גם את 7. תמקדו איפה שצריך למקד. אולי תשתמשו ב-AI, אולי תפעילו אכיפה עם רצת יותר אינטליגנציה מלאכותית או לא מלאכותית. ותמקדו את האכיפה. אבל אני לא רואה סיבה - - - << דובר >> ניר גרסון: << דובר >> אדוני, יהיה קשה - - - << יור >> היו"ר שמחה רוטמן: << יור >> יהיה קשה? כמה אתה מעריך שתקבל כאלו? << דובר >> ניר גרסון: << דובר >> לא, לא, רגע, סליחה, כדי שנוכל למקד את האכיפה, יהיה מאוד מאוד מועיל – אולי אפילו בלי זה יהיה קשה למקד את האכיפה – שאת הפרטים המינימליים על תוכן ההסכמה, אולי באמת סעיף כל הסמכות פחות רלוונטי למגזר הציבורי, סעיף תוכן ההסכמה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אתה – סליחה - - - << דובר >> אייל שגיא: << דובר >> חוץ מהשאלה - - - << יור >> היו"ר שמחה רוטמן: << יור >> זהו, עכשיו הסתבכתי איתו, כי אני רוצה לפגוע בפרנסה של עורכי דין. << דובר >> אייל שגיא: << דובר >> אני מקווה שהקולגות יסלחו לי על זה, אבל כל מה שאמר היושב-ראש נכון. ובטופ של זה, וההנחה בסעיף 7 היא שהדרך היחידה – קודם כל שאיסוף המידע פוגע בפרטיות, אבל אם יש לי הסכמה, אז אין פגיעה בפרטיות, אז יש פה איזה כשל לוגי, כי השגתי הסכמה, אז אין פגיעה בפרטיות. דבר שני, ההנחה היא שאם אין הסכמה, יש פגיעה בפרטיות, זה זורק לפח את כל ההגנות ל-(2)(9) בסעיף 18. כי יכול להיות שאחליט, למרות שאין לי הסכמה, שהעיבוד הוא בתום לב ונדרש לצורך ביצוע תפקידי. כל הדברים שבסעיף 18 היום מגנים על פעילות עסקית רגילה ולגיטימית, אבטחת מידע, כל הדברים האלה נעשים תחת סעיף 18, כי אני מקבל את הידיעה, את ההתחברות – חבל. << יור >> היו"ר שמחה רוטמן: << יור >> מובן. << דובר >> אייל שגיא: << דובר >> פה זה מחייב רק דרך אחת לרפא את - - - << יור >> היו"ר שמחה רוטמן: << יור >> אגיד יותר מזה, ככל שעיבוד המידע במאגר כרוך בפגיעה בפרטיות – יש פה שתי חוות דעת; אחת – האם עיבוד מידע במאגר כרוך בפגיעה בפרטיות, ויהיו כאלה שיגידו שכן, יהיו כאלה שיגידו שלא, יגידו למה לא, לא יודע. ואחרי שהגעתי למסקנה שעיבוד המידע במאגר כרוך בפגיעה פרטיות, אני צריך עוד חוות דעת משפטית, האם ההסכמה שקיבלתי מספיקה לעניין הפגיעה הפרטיות ומה מקבילית הכוחות בין טיב ההסכמה, כגודל ההסכמה, כך מיעוט הפגיעה בפרטיות וכן להפך. << דובר >> דן אור-חוף: << דובר >> אני רוצה להציע הצעת ייעול. הלכה למעשה – וזה גם לפי ההצעה של משרד המשפטים – בתוספת צריך להגיש את מסמך הגדרות המאגר. << יור >> היו"ר שמחה רוטמן: << יור >> עוד לא הגענו לשם. << דובר_המשך >> דן אור-חוף: << דובר_המשך >> אני אומר שמסמך הגדרות המאגר, הפירוט שלו, התוכן שלו, כפי שהוא קבוע בסעיף 2 בתקנות אבטחת המידע, כולל כבר את כל הפרטים שצריך. ובעצם הדרישה שקיימת בהצעה לצרף את הפרטים 1 עד 7, 1 עד 8, זה בעצם כפילות מיותרת, כשבתקנות מסמך הגדרות המאגר כבר כותב שם. במסמך הגדרות המאגר, להבדיל מסעיף 7, לא מדובר באופן ספציפי על הסכמה. << יור >> היו"ר שמחה רוטמן: << יור >> אתה מדבר על תקנות אבטחת המידע? << דובר_המשך >> דן אור-חוף: << דובר_המשך >> כן. מה שמסמך הגדרות המאגר צריך לכלול לפי סעיף 2(א)(1)לתקנות אבטחת המידע, זה תיאור כללי של פעולות האיסוף והשימוש במידע. ומן הסתם, אם הפעולות האלה כרוכות בקבלת הסכמה, זה המקום לכתוב את זה. המסמך הזה כולל כבר את הכול. כך שאם בכלל יש צידוק לעניין הזה של חובת היידוע, שזאת שאלה בפני עצמה, אז לצד חובת היידוע, מה שצריך בעיני זה פשוט לחייב בהגשת מסמך הגדרות המאגר שממילא חייבים להכין אותו, כי זו דרישת התקנות. << דובר >> ניר גרסון: << דובר >> אבל הוא לא כולל התייחסות להסכמה. << יור >> היו"ר שמחה רוטמן: << יור >> אכן, מה שהם אמרו. << דובר >> ניר גרסון: << דובר >> הוא לא כולל התייחסות להסכמה. << דובר >> דן אור-חוף: << דובר >> הוא כולל תיאור כללי של פעולות האיסוף והשימוש במידע, ולכן - - - << דובר >> קריאות: << דובר >> - - - << יור >> היו"ר שמחה רוטמן: << יור >> הוא עוסק באבטחת המידע של המאגר, הוא לא דן בשאלה איך הוא נאסף. << דובר >> דן אור-חוף: << דובר >> הוא דן בשאלה של איך אוספים את המידע. << דובר >> צחי שלום: << דובר >> זה לא אבטחת מידע, זה הגנת הפרטיות. הוא עוסק בפרטים, בסוגי המידע, בסוג נושאי המידע. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין, אני רק אומר שהוא לא דן בשאלה – האם המידע נאסף בהסכמה כן או לא. << דובר >> דן אור-חוף: << דובר >> אפשר להוסיף את זה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אנחנו לא רוצים להוסיף את זה. << דובר >> דן אור-חוף: << דובר >> אז מהבחינה הזאת אם אין צורך - - - << יור >> היו"ר שמחה רוטמן: << יור >> אם לא היה צריך את זה לתקנות אבטחת מידע, לא צריך את זה לחובת הדיווח. << דובר >> אסף הראל: << דובר >> אני חושב שבסופו של דבר, כיוון שברוב המקרים ההסכמה היא ממילא הסכמה מכללא, מה שמעניין זה האופן שבו בעל השליטה במאגר עמד בחובת היידוע שלו. ונדמה שככל שתקבלו הוכחה על אופן העמידה בחובת היידוע, זה אמור להשיג את התכלית של הבנת ההסכמה מבלי ליצור פה מורכבות משפטית של ניתוח האם זה פוגע בפרטיות או לא, האם זה כן הסכמה או לא הסכמה. << דובר >> רחל ארידור הרשקוביץ: << דובר >> אני רוצה להגיד משהו אחר, ממה שאני שומעת, ממה שהרשות אומרת, זה שהרציונל שבחובת הדיווח הוא כדי לתת להם מידע, כדי שהם יידעו איפה להפעיל את סמכויות האכיפה שלהם – בעיני זה היינו הך לרישום. בילדותי אהבתי מאוד מערכון של נתן דטנר בשם "אם יש חור בדלי", וככה אני מרגישה. אם אתם רוצים לדעת יותר טוב איך לעשות אכיפה או איך להפעיל את סמכויות האכיפה שלכם – מדינות העולם התקדמו, הם לא דורשות דיווח, הם לא דורשות רישום, הם דורשות ממונה הגנת פרטיות, הם דורשות תסקיר, וככה עושים את זה בעולם המודרני. למה אנחנו צריכים להיתקע פה עכשיו על דיון במשהו שכבר לא צריך אותו? יש חלופות טובות יותר. << יור >> היו"ר שמחה רוטמן: << יור >> אוקיי. << דובר >> עמרי רחום טוויג: << דובר >> רק אגיד את המובן מאליו, גם הדרישות הנוספות שבתוספת, פרט 8 שמפנה לתוספת הם כמובן מכבידות בהרבה, כן, על פריטים 1 עד 6, כפי שאדוני ציין. << דובר >> קריאה: << דובר >> למה? הפנייה עצמה - - - << דובר >> עמרי רחום טוויג: << דובר >> לא. אבל שיתר הדרישות. << דובר >> ראובן אידלמן: << דובר >> אולי נתייחס לדרישות שבהמשך? לדרישות שבתוספת? ברשות הוועדה, כי נמשיך רגע לדרישות הנוספות. << יור >> היו"ר שמחה רוטמן: << יור >> נמשיך לדרישות הנוספות. אני אומר שאת 7 נוריד, 8 נמשיך. << דובר >> ראובן אידלמן: << דובר >> אוקיי, הסיבה שזה מוגדר, קודם כל זה בנוי בצורה של תוספת, זה בגלל שיש הפנייה לתקנות אבטחת מידע, מחקיקה ראשית אי אפשר להפנות לתקנות, זה עניין טכני. הדרישות שמופיעות כאן זה להעביר לנו דברים שממילא בעל המאגר מחויב לעשות. << יור >> היו"ר שמחה רוטמן: << יור >> מסמך הגדרות המאגר – סבבה. << דובר >> ראובן אידלסון: << דובר >> אין כאן שום דרישה רגולטורית חדשה. << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, שנייה. << דובר >> ראובן אידלמן: << דובר >> לא, מסמך הגדרות מאגר יש חובה לעשות. הבחינה לפי תקנה 2(ג), היא חובה לבדוק אחת לשנה האם אין מידע עודף במאגר. זו חובה שקיימת היום בתקנות. << יור >> היו"ר שמחה רוטמן: << יור >> אבל מי אמר שהמידע קיים שנה? << דובר >> עמרי רחום טוויג: << דובר >> כן, היא עוד לא קיימת. << יור >> היו"ר שמחה רוטמן: << יור >> איך אני יכול ליידע אותך אם לא הייתה חובה? << דובר >> ראובן אידלמן: << דובר >> - - - אם לא הייתה חובה - - - << דובר >> קריאות: << דובר >> - - - << יור >> היו"ר שמחה רוטמן: << יור >> חברים, שנייה. << דובר >> ראובן אידלמן: << דובר >> אנחנו לא מוסיפים חובה. << יור >> היו"ר שמחה רוטמן: << יור >> רק רגע. היום, המסמכים האלו – אני צריך למסור אותם לרשות כל הזמן? << דובר >> ראובן אידלמן: << דובר >> לא. יש חובה לערוך אותם ולהחזיק אותם - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין. האם עכשיו שעברנו לחובת יידוע, אתם אמורים לקבל מהמאגרים הרשומים האלו, כל פעם שאני עורך בחינה לפי תקנת 2 (ג) לתקנות? << דובר >> ראובן אידלמן: << דובר >> לא, רק פעם אחת. << יור >> היו"ר שמחה רוטמן: << יור >> קודם כל זה לא רשום עכשיו. כרגע מה שרשום זה שבשנייה שהורדנו את חובת הרישום מאגר, הוספנו חובת יידוע, ואתם תטבעו בניירת של מסמכי בחינות אחרונות כל פעם שנערכת בחינה אתם אמורים לקבל עותק שלה. << דובר >> רחל ארידור הרשקוביץ: << דובר >> אבקש לחשוב על היבטי הגנת הסייבר, ברגע שהדברים האלה יתחילו להישלח לרשות, אלה דברים שיש בהם חולשות ברורות של מאגרים שלא כדאי שהם יסתובבו כך ברמה גבוהה. << דובר >> קריאה: << דובר >> במקרה שיסתובבו - - - << יור >> היו"ר שמחה רוטמן: << יור >> ודאי שמסתובבים. << דובר >> רחל ארידור הרשקוביץ: << דובר >> - - - אני לא יודעת כמה - - - << יור >> היו"ר שמחה רוטמן: << יור >> בוודאי שהם מסתובבים. קודם כל כרגע זה מנוסח שכל פעם חובת הרישום מתחדשת והיא לא חד פעמית בהקמת המאגר. אבל ממילא אם זה חד פעמי בהקמת המאגר, כשהקמתי מאגר, עוד אין לי בחינה אחרונה לפי 2(ג) לתקנות. כי אני לא - - - << דובר >> ראובן אידלמן: << דובר >> אדוני, זה לא בהכרח בהקמת המאגר. זה יכול להיות - - - << יור >> היו"ר שמחה רוטמן: << יור >> מתי אני אמור ליידע אתכם? << דובר >> ראובן אידלמן: << דובר >> קודם כל זאת חובה שאם זה יעבור ככה, אז החובה תחול על הרבה מאגרים קיימים – פעם ראשונה. פעם שנייה, כשמאגר מגיע אולי ל-100,000, זה אולי התסריט היותר צפוי. זה לא מאגר חדש. << יור >> היו"ר שמחה רוטמן: << יור >> אני רוצה להקים מחר בבוקר מאגר שיאגור מידע על 500,000 איש. מחר בבוקר הוא מתחיל לפעול. מאיפה יש לי את ה-500,000? קל מאוד, אני עושה scraping על 500,000 איש מחר, ומיד מתחיל לעבד את זה. אין לי בעיה להשיג את המידע. המידע יושג בקלות ממקורות גלויים, אוקיי? מסמך הגדרות מאגר, אני צריך לעצמי, בסדר גמור, אין בעיה, בהנחה שאני מעביר אותו אליכם וזה טוב שאני מעביר אותו אליכם. בעניין של סייבר וכולי, צריך להתווכח ולדון – בואו נניח שזה בסדר שאני מעביר אותו אליכם בפעם הראשונה. << דובר >> דלית בן ישראל: << דובר >> הגדרות אין בעיה. << יור >> היו"ר שמחה רוטמן: << יור >> שנייה. אני חייב לומר לכם שגם למסמך הגדרות מאגר יש בעיית סייבר. היא לא כל כך גדולה, אבל כשאתה יודע מי הם המורשים, אתה יכול לעשות עליהם את ההנדוס לאחור ולדעת את האנשים, מה השם של הכלב שלהם לפי זה ולמצוא את הסיסמה. << דובר_המשך >> דלית בן ישראל: << דובר_המשך >> לא רק זה, כי יש שם רובריקה שצריך לפרט את הסיכונים בתוך מסמך הודעות מאגר. וזה לא משהו - - - << יור >> היו"ר שמחה רוטמן: << יור >> תיקונים ואופן התמודדות. גם נכון. << דובר >> דלית בן ישראל: << דובר >> וזה לא משהו שהיום מפתחים במאגר. << יור >> היו"ר שמחה רוטמן: << יור >> אז אני אומר: רק רגע, בואו נניח שאת הבעיה של מסמך ההגדרות, ירדנו, או שנבוא ונגיד: פריטים מסוימים מתוך מסמך ההגדרות. בוא נניח שעליו התגברנו. ממצאי הבחינה האחרונה – זו ודאי בעיה, ושוב – גם היא לא קיימת, עוד לא קיים שנה, לא עשיתי שום בחינה. להפך, אתה לא רוצה שבן אדם יחכה שנה עד שהוא יירשם לך. << דובר >> ראובן אידלמן: << דובר >> אם היא לא קיימת, אין צורך להעביר. << דובר >> אייל שגיא: << דובר >> זה מעודד להגיש בקשה על היום הראשון. << יור >> היו"ר שמחה רוטמן: << יור >> על היום הראשון. ואנחנו רוצים שאנשים ייגשו ביום הראשון, זה מצוין. << דובר >> ראובן אידלמן: << דובר >> ובוודאי שמקרה רגיל לא - - - << יור >> היו"ר שמחה רוטמן: << יור >> רק רגע. סקר הסיכונים – כנ"ל. תוצאות מבדקי חדירות האחרונים – כנ"ל אותו דבר, פירוש שכשאני מקים מחר את המאגר, אין לי עוד סקר סיכונים אחרון. << דובר >> ראובן אידלמן: << דובר >> אבל יש חובה לערוך. << דובר >> עמרי רחום טוויג: << דובר >> אבל החובה היא אחת ל-18 חודשים, כן? << יור >> היו"ר שמחה רוטמן: << יור >> מתי? אבל אני רשמתי, עכשיו אין לי. דיווחתי, עכשיו אין לי. ביום הראשון להקמת המאגר דיווחתי, לא עשיתי סקר סיכונים, נכון? אני לא אמור לעשות סקר סיכונים על היום הראשון. << דובר >> ניר גרסון: << דובר >> לא, אתה אמור לעשות בסמוך להתחלת - - - << דובר >> עמרי רחום טוויג: << דובר >> איפה זה כתוב? << דובר >> ראובן אידלמן: << דובר >> זאת הפרשנות של הרשות את תקנה 5(ג) לתקנות אבטחת מידע. כתוב שכשבמאגר שהוא ברמת אבטחה גבוה – וכל המאגרים שאנחנו מדברים עליהם כאן הם נכנסים לקטגוריה הזאת, כי זה רק מאגרים בעלי מידע ורגישות מיוחדת ומעל 100,000 – בעל המאגר אחראי - - - ההנחה היא שצריך לעשות את זה בהתחלה. בוודאי לא אחרי שנה. << יור >> היו"ר שמחה רוטמן: << יור >> סליחה, ממש לא. << דובר >> ראובן אידלמן: << דובר >> זו עמדתנו. << יור >> היו"ר שמחה רוטמן: << יור >> כתוב בתקנות: אחת ל-18 חודשים לפחות. להפך, לא יכול להיות שאכין מסמך הגדרות, כל הפרשנות הפשוטה של הסעיף הזה, זה שאני מכין מסמך הגדרות ואז בסקר הסיכונים אני בודק אם אני צריך לעדכן את מסמך ההגדרות. אז אם אני אעשה את שניהם ביום הראשון, אז אני אעדכן את מסמך ההגדרות. אז אעשה את שניהם ביום הראשון, אז לא אעדכן את מסמך ההגדרות על בסיס סקר סיכונים. << דובר >> ניר גרסון: << דובר >> לא, בסקר סיכונים הבא. << יור >> היו"ר שמחה רוטמן: << יור >> זאת אומרת שאני לא עושה סקר סיכונים ביום הראשון להקמת המאגר. ביום הראשון להקמת המאגר אני רשמתי לך איזה סיכונים אני חושב שיש ומהם דרכי ההתמודדות שלי איתם. אחרי 18 חודשים אעשה סקר סיכונים או אחרי 12 חודשים. אותו דבר תוצאות מבדקי חדירות האחרונים שנערכו לפי תקנה 5(ד) לתקנות ככל שחלה חובה לעורכם. עוד לא דיברתי על סכנות הסייבר שהדבר הזה מייצר. אני אומר ולו ברמה שאני רושם בתקנות ובתוספת שתגיש מסמכים לא קיימים, שזה קצת בעיה. ולהפך, אני מייצר סיטואציה שבה בן אדם יגיד: אוקיי, אז עד שאני לא עושה סקר סיכונים, 18 חודשים אחרי הקמת המאגר, אני גם לא אדווח לכם כי אין לי מה לדווח, אז אני מחכה. וכשתשאלו אותו למה הוא לא דיווח, הוא יגיד: כי כתבתן שאני צריך להגיש סקר סיכונים, ואין לי עוד סקר סיכונים, סקר סיכונים יהיה לי רק בעוד 18 חודשים ואז אגיש לכם ואז גם אדווח לכם ואז אהיה בסדר גמור. כי אתם לא רוצים לייצר חובת רישום מתמשכת. בקיצור, אתם דורשים פה מאנשים לדווח על משהו לא קיים, שהדיווח עצמו מייצר סיכוני אבטחה רציניים. ואיסוף המידע הזה מייצר סיכוני אבטחה אצלכם. ואני לא מצליח להבין איך מצמצום חובת הרישום, רשמנו בפנינו את חובת הצמצום. << דובר >> ניר גרסון: << דובר >> אדוני, בוא נתחיל מהסוף – לגבי סיכוני סייבר שיש בעצם הדיווח לנו, יכולים להיות, זאת המומחיות שלנו, וזה גם לא משהו שממציאים. בעולם ב-GDPR החקיקה הדומה היא חובת היוועצות עם רשויות. חובת היוועצות אחרי עריכת תסקיר. היא כוללת משלוח תסקיר שכולל את סקר הסיכונים לרשויות. << דובר >> ענר רבינוביץ: << דובר >> זו רשות מאוד מצומצמת, במקרים מאוד מצומצמים, עוד יותר מצומצמים מהמקרים שבהם חובה לערוך DPIA. כלומר זה קיים. << דובר >> ניר גרסון: << דובר >> ורשויות כמונו יודעות איך להתמודד עם סיכונים. זאת המומחיות שלנו. << דובר >> ענר רבינוביץ: << דובר >> אז הליך פרה-רולינג שאני חושב שלזה חובת ההיוועצות או רשות ההיוועצות מכוונת - - - << דובר >> ניר גרסון: << דובר >> אנחנו לא מדברים על פרה רולינג עכשיו. << דובר >> ענר רבינוביץ: << דובר >> נכון, אבל זה מה שקיים בחקיקות שאתה מפנה אליהם. << דובר >> ניר גרסון: << דובר >> בכל מקרה זה רק לעניין סיכוני סקר שנעשה באמצע הדיווח, זה מקובל בעולם בהיקף - - - << יור >> היו"ר שמחה רוטמן: << יור >> עורך הדין גרסון, עוד לא התחלתי לקרוא את סעיף ב'. סעיף ב' אומר שכאשר אני רוצה לעשות את זה על מאגר מידע חדש או רגישות מיוחדת על אודות 500,000 אני צריך להעביר את זה 45 ימים לפני תחילת עיבוד המידע במאגר, שזה בכלל נפלא. << דובר >> ענר רבינוביץ: << דובר >> וגם אם אתה מחזיק, לא רק - - - << יור >> היו"ר שמחה רוטמן: << יור >> זה עזוב, זה החלק היותר פשוט. בקיצור, חברים, למעגל אין קצה. אי אפשר. אתם מבקשים מידע לא קיים 45 יום לפני שהוא בכלל לא קיים. יש פה מומחה אבטחת פרטיות, נכון? מישהו שילמד אותי איך עושים במאגר מידע חדש, כי מילא מאגר מידע שאתה אומר שעולה מ-400 ל-500, אני מבין, אבל במאגר מידע חדש, איך אני עושה מבדקי חדירות וסקר סיכונים, 45 יום לפני שאחסנתי את המידע במאגר או - - - << דובר >> ראובן אידלסון: << דובר >> ככתוב "ככל שחלה חובה לערוך". זה ברור ש-45 יום לפני עוד לא חלה החובה לערוך. לכן זה כתוב. << יור >> היו"ר שמחה רוטמן: << יור >> אבל כתוב שצריך למסור לכם את זה 45 יום לפני תחילת העיבוד. עיבוד זה גם אחסון. << דובר >> ראובן אידלמן: << דובר >> לא, אבל לגבי סקר סיכונים ומבדקי חדירות, אתה תראה שכתוב "ככל שחלה חובה לערוך". << יור >> היו"ר שמחה רוטמן: << יור >> וממצאי בחינה אחרונה? << דובר >> ראובן אידלמן: << דובר >> אז לא הייתה בחינה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אתם דורשים שאביא לכם את זה 45 יום קודם. << דובר >> ראובן אידלמן: << דובר >> אדוני, המקרה הרגיל הוא לא יהיה המקרה הזה. << יור >> היו"ר שמחה רוטמן: << יור >> חברים, שורה תחתונה: לא יכול להיות. לא יכול להיות. המטרה שלנו פה, אני נותן לציבור, לנו, את ההקלה הרגולטורית שנדרשת ואת המעבר לעולם של יידוע במקום רישוי למעשה. דרישות היידוע שאתם מבקשים הם חמורות בהרבה מדרישות הרישוי שביקשתם. לא שאני כזה מבין, יש פה מבינים יותר גדולים ממני, אבל אני לא חושב שיש להם אח ורע בעולם. << דובר >> ניר גרסון: << דובר >> יש אדוני, אפשר לפרט. חובת ההתייעצות - - - << דובר >> עמית יוסוב עמיר: << דובר >> אבל היא חלה על כל השוק. נו, באמת. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אתה אומר עכשיו על כל מי שמחזיק מאגר מידע, כל מי שמחזיק מידע בעל רגישות מיוחדת שזה פחות או יותר הכול, מעל 100,000 איש. זה כל השוק. אלה דרישות גדולות מאוד מאוד מאוד. << דובר >> ניר גרסון: << דובר >> וסליחה אדוני, באירופה יש הרי את כל מה שאין אצלנו – לא עקרונות עיבוד, לא בסיסי, לא סמכות - - - << דובר >> עמית יוסוב עמיר: << דובר >> הלוואי, הלוואי תביאו עדכון - - - << יור >> היו"ר שמחה רוטמן: << יור >> אתה פותח דלת פרוצה. << דובר >> גלעד סממה: << דובר >> אני לא מסכים שזה חל על כל השוק. כשאנחנו מדברים על רגישות מיוחדת פלוס 100,000 ומעלה, אנחנו מבינים את הכיוון שאדוני מעוניין בו. אנחנו מבינים על הפרטים של 1 עד 8, למעט 7, והפרטים האחרים בסימן שאלה. הבנו. << יור >> היו"ר שמחה רוטמן: << יור >> אתם תעשו את שיעורי הבית שלכם. אני רק אומר שאת עותק מסמך הגדרות המאגר, אני עוד מבין. << דובר >> ראובן אידלמן: << דובר >> יש עידכוני אבטחה. << יור >> היו"ר שמחה רוטמן: << יור >> יש בזה סיכונים, אבל יכול להיות שאפשר לתת לזה איזשהו מענה. שאר הדברים - - - חברים, אתם תטבעו במידע. באתם לדבר על מיקוד וכולי, אתם תטבעו במידע. במסגרת הפרטים הנוספים, תבקשו מה שאתם רוצים. תשלחו פקח שיסתכל על מה שהוא רוצה. << דובר >> דן אור-חוף: << דובר >> עוד נקודה ספציפית, זה לגבי סעיף 2 ברשימה של סוג השירות המחזיק במאגר. זה כמובן לקוח עוד מהדין - - - << יור >> היו"ר שמחה רוטמן: << יור >> איפה אנחנו? << דובר >> דן אור-חוף: << דובר >> פרט (א2), סוג השירות שנותן המחזיק במאגר לבעל השליטה בו. זה סעיף שלקוח מן הסתם מהחוק הקיים והוא נכון ל - - - << דובר >> ניר גרסון: << דובר >> סליחה דן שאני קוטע, זה התכוונו מבקשת הרישום, פרטי הבקשה, זה התיקון לחוק. למחוק את זהות המחזיק בבקשות רישום. תראה, זה בסעיף - - - << דובר >> דן אור-חוף: << דובר >> אבל גם בחובת יידוע אין לזה צורך. << דובר >> ניר גרסון: << דובר >> ואת שמות המחזיק, הבנו שיש קושי למחוק, אבל של איזה שירותים של המחזיקים. אפשר לשנות את זה לזה ל"המחזיקים" ולא "המחזיק". << יור >> היו"ר שמחה רוטמן: << יור >> איזה פעולות עיבוד אתה מבצע בעצמך ואיזה באמצעות אחר, זו הנקודה? << דובר >> ניר גרסון: << דובר >> פה יותר חשוב סוג פעולה. זו הקלה, דן. << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, בכל מקרה חשוב לי מאוד להבהיר את נושא הזמנים פה. כי אם אנחנו מייצרים פה חובת יידוע, יש פה, צריך לדעת אחת לכמה זמן. אז להגיד פעם רישום, אתה עושה פעם אחת, ואז כל פעם שיש שינוי אתה חייב לעדכן. ככה עובד רישום בדרך כלל. יידוע, אתה מיידע פעם אחת, ואז מה? ומאחר והדברים האלו לפעמים יכולים להיות דינאמיים במהלך חיי מאגר, עד עכשיו אני עשיתי את זה בעצמי, עכשיו החלטתי להעביר את זה למחזיק. עד עכשיו החלטתי שאני לא מעביר אל מחוץ למדינה, פתאום אני מחליט שאני מעביר אל מחוץ למדינה. צריך כאן לייצר איזשהו מנגנון, שוב, לשיעורי הבית שלכם, כששינוי מהותי צריך ליידע. צריך לתת לזה איזשהו מענה, אחרת אנחנו - - - קיבלתם את הערותיי, תחשבו עליהם ותגידו מה אתם רוצים. לגבי ג', ראש הרשות רשאי – על א' ו-ב', שמעתם את הערות הוועדה. ועכשיו לעניין ג' – ראש הרשות רשאי מטעמים מיוחדים שרשומים לפטור בעל - - - מאגר מחובת דיווח לפי סעיפים קטנים א' ו-ב'. למה? מתי אתם חושבים שתצטרכו את זה? << דובר >> רחל ארידור הרשקוביץ: << דובר >> איך הוא יידע את מי לפטור? << דובר >> עמרי רחום טוויג: << דובר >> לפני שהוא קיבל דיווח. << דובר >> רחל ארידור הרשקוביץ: << דובר >> הוא לא יודע עליהם, איך הוא ידע לפטור אותם. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אם אנחנו מדברים על דיווח במובן של "תעדכן כל פעם", אז זה ודאי רלוונטי. אם אנחנו מדברים על הדיווח הראשוני, באמת איך יודעים בלי לדעת? << דובר >> ניר גרסון: << דובר >> אדוני, הסעיף הזה מיועד לאפשר לנו את הגמישות להקל על סוג - - - << יור >> היו"ר שמחה רוטמן: << יור >> כלומר, אתם תוכלו להוציא אחר כך – אבל זה לא מטעמים מיוחדים של ראש מורשה, את מקל, אתה מפרסם הנחייה לשוק, אתה אומר: נניח שאתם תגיעו למסקנה אחרי שנתיים שאתם חושבים שהמספר צריך לא להיות 100,000 אלא 500,000 או 300,000. << דובר >> רחל ארידור הרשקוביץ: << דובר >> אז איפה זה? זו החלטה לצמצם את חובת הדיווח. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אתה לא יכול לתת פטור מטעמים מיוחדים שיירשמו מדיווח כשאתה לא יודע שבן אדם קיים. << דובר >> ניר גרסון: << דובר >> הכוונה היא, אם זה סוג, עמית יוכל להרחיב. זה לא - - - נמצא בסמכות הרשם, ראש הרשות. אבל גם אין לי דוגמה, האמת, אין לנו דוגמה כרגע, זה נועד לאפשר לנו את הגמישות. אתה יכול לדעת שהוא קיים בלי הדיווח המלא, אלא רק פונים ופונה בעל המאגר ומעדכן עדכון הרבה יותר קצר ומשכנע אותנו שאין צורך בדיווח. זה נועד לאפשר לנו גמישות. אם אדוני חושב שאין לזה מקום – זה רק נועד להקל על השוק, שבאמת זה לא - - - << יור >> היו"ר שמחה רוטמן: << יור >> הייתי מוכן לחשוב שיושב-ראש הרשות רשאי בהנחיות לקבוע כי סוגי מאגרי מידע מיוחדים לא יהיו חייבים בדיווח. נניח שאתם תחליטו שמידע פלילי לא צריך דיווח או שתחליטו שמידע פלילי המידע הוא 300,000. << דובר >> עמית יוסוב עמיר: << דובר >> אדוני, יש פה קושי. << יור >> היו"ר שמחה רוטמן: << יור >> סוגים מסוימים, פטורים מסוגים, אני יכול להבין. אבל פטור פרטני מטעמים מיוחדים שיירשמו, איך תעשו את זה? << דובר >> עמית יוסוב עמיר: << דובר >> הקושי שפטור מסוגים למעשה זה סוג של חקיקת משנה שמתנה לחקיקה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אם אני נותן לכם את הסמכות לזה, אז הכול בסדר, אם אני לא נותן לכם את הסמכות לזה, אז אני לא. אני לא נותן לכם את אפשרות להחמיר. אני נותן לכם אפשרות להקל על השוק אם הגעתי למסקנה שיצטברו עליכם המון דיווחים, נפרץ הסכר ופתאום אתם רואים שאתם מקבלים מיליון דיווחים שבכלל לא חשבתם שאתם צריכים לקבל, ואין לכם מה לעשות איתם והם לא מעניינים אתכם, ואתם אומרים: יאללה חבר'ה, אנחנו רוצים להודיע לכם שאם אתם מוסד פיננסי, תעזבו אותי ב"אימא שלכם", סומך מספיר על זה שאתם מפוקחים על ידי המפקח על הבנקים, לא רוצה לקבל את המידע שלכם. תעזבו אותי. וואלה בסדר. אז אני רוצה לתת לכם את הסמכות להוריד את הרגולציה הזאת, שלא ידווחו לכם פעמיים, שלא ישגעו אתכם, שלא תצטרכו להתעסק עם דיווחים מיותרים, שלא תטבעו – מוכן לתת לכם את זה. שוב, אני מבחינתי, הסיבה היחידה שאני מכניס פה חובת דיווח זה כי אתם ביקשתם. הייתם אומרים לי גם בלי דיווח, אני לא הייתי מתעקש על הדיווח הזה. אני מוכן לתת לכם את האפשרות לפטור סוגים. לפרסם ברשומות את הפטור, כדי שזה לא יהיה מפה לאוזן. לקבוע בכללים, השר. תחשבו על מנגנון, אני מבין את זה. אבל טעמים מיוחדים שיירשמו? אני לא חושב שצריך שר. אני חושב שאם אני מסמיך, ראש הרשות רשאי לפרסם סוגים מסוימים, פטורי סוג כאלו. אני מוכן לתת לכם את זה. אבל - - - << דובר >> ראובן אידלמן: << דובר >> אנחנו לא מתנגדים לוותר על הסעיף הזה. המטרה הייתה שתהיה אפשרות להקל. אבל אם הוועדה סבורה שלא - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני בעד שתקלו לסוגים ולא לפרטני, כי להקל פרטני אתם לא יכולים. אני חושב שאתם יכולים להקל פרטנית - - - << דובר >> ראובן אידלמן: << דובר >> בחוזר. << יור >> היו"ר שמחה רוטמן: << יור >> כן, בדיווחים החוזרים, כשתצטרכו לנסח סעיף לחוזר ולזה תייצרו פטור. כאילו: אוקיי, נרשמת, דיווחת – אל תשגע אותי יותר. אמרתי שאם יש שינוי מהותי בזה - - - << דובר >> נעמה מנחמי: << דובר >> יש כבר סעיף דומה בהקשר של - - - << יור >> היו"ר שמחה רוטמן: << יור >> אם הוא מעביר לעיבוד. אני יודע מהמאגר שאתה מחזיק. עכשיו כל פעם שתפעיל עיבוד חדש, אתה צריך לדווח לי? לא, לא צריך לדווח, לא יודע. אבל הם עוד לא ניסחו את הסעיף הזה, אי אפשר להתווכח עליו. << דובר >> נעמה מנחמי: << דובר >> בסעיף 9(ד), יש סעיף דומה, לגבי רישום שבו "בעל שליטה במאגר מידע ומחזיק, יודיע לראש הרשות על כל שינוי בפרט מהפרטים המפורטים בסעיף קטן ב' ולפי סעיף קטן ג', ועל הפסקת פעולתו של מאגר המידע הזה". << דובר >> עמרי רחום טוויג: << דובר >> זה לרישום, וזה מכביד בהתאם. לא ברור למה צריך את זה לגבי יידוע. << דובר >> גלעד סממה: << דובר >> בסדר, נעשה את ההתאמות לגבי - - - << דובר >> עמרי רחום טוויג: << דובר >> סליחה, לגבי היידוע השוטף, הרעיון ביידוע – למרות שאפשר היה לוותר לחלוטין גם על יידוע – היה לתת איזשהו מפתן, לסמן סט של בעלי שליטה במאגרים שהרשות אולי יש לה עניין מיוחד בהם. היא כבר נמצאת אצלם. אז למה צריך להמשיך לעדכן את זה? << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות מצב, נניח שאם אתה עושה את כל העיבוד אצלך, אתה מעורר אצלי רמת סיכון איקס, אוקיי? ואם אתה עכשיו החלטת שאתה מתחיל לעשות מיקור חוץ לכל פעולות העיבוד ל-15 גופים - - - << דובר >> עמרי רחום טוויג: << דובר >> אני מבין, אבל הרי אמרנו שלא מפרטים את מספר הגופים. << יור >> היו"ר שמחה רוטמן: << יור >> לא, ל-15, בכלל, החוצה. ולדוגמה אתה מעורר רמת סיכון זד, אני לא יודע את הכול, אבל אם החלטנו – שוב, עוד לא עברנו על הפרטים מה מדווחים ומה לא כי הם אמרו שהם יעשו על זה שיעורי בית ואנחנו נדון בזה בהמשך, לכן חבל שנדון בזה עכשיו תיאורטית. אני אומר כעניין עקרוני, עד עכשיו אתה החזקת מידע מסוג מסוים והחלטת להתרחב ולהחזיק עכשיו מידע גנטי – אז אני רוצה לדעת את זה. זה שאתה דיווחת לי פעם על מאגר, לא נותן לך עכשיו שאתה פועל בסדר. << דובר >> עמרי רחום טוויג: << דובר >> אני מבין את זה נכון, אני רק אומר שמכיוון שהכוונה הייתה להקל רגולטורית על השוק ולא לחייב כל שלושה אלא גופים מסחריים משנים כל מיני דברים בעיבוד - - - << יור >> היו"ר שמחה רוטמן: << יור >> לכן אני אמרתי כבר - - - << דובר >> ראובן אידלמן: << דובר >> זה בהחלט יכול לקרות. << דובר >> גלעד סממה: << דובר >> השאלה היא לא אם זה קורה, אלא כמה זה קורה. זה לא קורה המון. << יור >> היו"ר שמחה רוטמן: << יור >> גלעד, לכן אמרתי – כי אני לא רוצה שנדון בדבר הזה חמש פעמים, נדון בזה אחרי שהרשות תכין על זה שיעורי בית – שיהיה צריך לייצר איזשהו רף מהותי מסוים ששינוי מעליו צריך דיווח חדש. וזה כדי לא להפוך את זה מצד אחד לדיווח איטי, ולא שכל דבר - - - מצד שני, זה הם ייצרו את הרף, ואנחנו נדבר עליו כשיהיה לנו טקסט להתייחס אליו. הכול בסדר. כן הייתי רוצה שיהיה לכם את האפשרות לעשות "פטור סוג", תתייחסו לזה, ומדיווחי המשך. "השר רשאי לקבוע הוראות לעניין אופי הדיווח - - - " – בסדר, זה לא. << דובר >> נעמה מנחמי: << דובר >> אם זה השר, אז אולי גם ועדת חוקה. ודבר שני, אני רוצה להתייחס לזה ש - - - << יור >> היו"ר שמחה רוטמן: << יור >> מה, הוראות על אופן הדיווח? אם שולחים בדוא"ל או בדבר אחר? << דובר >> נעמה מנחמי: << דובר >> אני חושבת שהחיים לימדו אותנו שזה מאוד - - - << דובר >> לירון מאוטנר לוגסי: << דובר >> אנחנו חושבים שאופן הדיווח זה יחסית דבר יותר טכני. לכן זה היה נראה לי פחות מהותי לאישור הבקשה. << דובר >> נעמה מנחמי: << דובר >> נחשוב על זה. << יור >> היו"ר שמחה רוטמן: << יור >> אז אולי זה לא צריך להיות השר גם. אם זה באמת טופס, אז השאלה היא האם זה טופס מחייב או טופס לא מחייב, יש לזה כללים. << דובר >> עמית יוסוב עמיר: << דובר >> ברגע שמדובר בהוראה שמחייבת ציבור בלתי מסוים, תקנה בעלת פועל תחיקתי ולכן מקובל - - - << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אנחנו נדון בזה, נראה מה אתם רוצים שם. << דובר >> נעמה מנחמי: << דובר >> אני מציעה לחשוב על איך אנחנו עושים את זה כסעיף אחד ולא הופכים את זה, כלומר, נכנסים דרך (ג1) שנמצא שם ולא כותבים עכשיו עמוד וחצי מיוחדים לדיווח. אנחנו קצת מאבדים טיפה את - - - << יור >> היו"ר שמחה רוטמן: << יור >> עמוד וחצי זה בתוספת, סיכום דיווח עצמו הוא פה. << דובר >> נעמה מנחמי: << דובר >> כן, אבל זה אותו דיווח. << יור >> היו"ר שמחה רוטמן: << יור >> איפה חובת הרישום מופיעה? היא גם הייתה באותו - - - << דובר >> נעמה מנחמי: << דובר >> (ג) היא חובת הרישום, ו-(ג1) זה חובת הדיווח שהיא מגיעה מיד אחרי (ג), היא אמורה לפחות לעסוק באותם פריטים. גם אם יש שינוי - - - << יור >> היו"ר שמחה רוטמן: << יור >> טוב, זה ניסוחי. << דובר >> נעמה מנחמי: << דובר >> כדאי להיכנס ל-(ג1), ולא להתחיל עכשיו לכתוב את הכול מחדש. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, (ה): "הממונה רשאי מטעמים מיוחדים שיירשמו להורות כי מאגר מסוים שלא חל עליו חובת רישום יהיה חייב ברישום". << דובר >> ראובן אידלסון: << דובר >> בעצם זה סעיף שקיים גם בחוק הקיים והוא גם קיים בהצעת החוק הממשלתית, לא חידשנו בעניין הזה. שוב, כאן המטרה היא שבעצם אנחנו מקבלים במסגרת חובת היידוע מידע על מאגר שנניח מצריך תשומת לב מיוחדת, כדי שלא נהיה חייבים לנקוט תהליך אכיפה, מה שהוא לא בהכרח לטובת אותו בעל מאגר, נוכל גם לבוא ולהגיד: זה מאגר מיוחד שהוא מצריך - - - << יור >> היו"ר שמחה רוטמן: << יור >> כמובן שאנחנו כדי שלא נייצר פעולת אכיפה, נייצר פעולת אכיפה. << דובר >> עמרי רחום טוויג: << דובר >> מה יעזור הרישום בהקשר הזה? המידע כבר אצלכם. << דובר >> ראובן אידלסון: << דובר >> מוגשת בקשת רישום ואז - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא מוגשת בקשת רישום, מוגש דיווח. << דובר >> ראובן אידלמן: << דובר >> אני מבין, השאלה מה תועיל ההוראה על כך שזה מצריך רישום. כיוון שהשלב הבא יהיה בקשת רישום ואז במסגרת בקשת הרישום, הרשות יכולה כפי שהיא עושה היום להנחות את הגוף מה הוא יכול לעשות כדי לקיים את הוראות החוק בלי שזה יהיה הליך אכיפה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה ה"אמ-אמא" של הליך האכיפה. אתם אומרים לו שאסור לו להחזיק את המאגר עד שהוא מקבל מכם אישור – מה יותר אכיפה מזה? אני לא מכיר משהו שהוא יותר אכיפתי מזה, זה הכי אכיפה שיש. ואיך זה שונה מסעיף 4 אז הקודם שהיה לנו? << דובר >> ראובן אידלמן: << דובר >> הליך רישום הוא הליך - - - << יור >> היו"ר שמחה רוטמן: << יור >> רק רגע, מה ההבדל בין מה שרציתם בסעיף 4 שאומר: מצאתי, שלחת לי הודעת דיווח, ואני ראש הרשות. מצאתי שאדם מעבד מידע במאגר מידע בניגוד להוראות הסעיף, ואני מודיע לך שמעשיך מהווים הפרה ואני מורה לך להפסיק את הפרה. אתה בעצם אומר לו: לא מצאתי, אבל אני מורה לך להפסיק את ההפרה כי לא מצאתי. כי אני לא רוצה לנקוט נגדך הליך אכיפה, אז אני נוקט נגדך הליך אכיפה שאסור לך להחזיק את המאגר. << דובר >> ראובן אידלסון: << דובר >> אני מורה לך להגיש בקשת רישום. אדוני צודק שיש פה דמיון במהות, ההבדל הוא ששם זה הליך אכיפה וזה מחייב את כל השלבים של הליך אכיפה. ולצורך העניין, יש על הגוף על זה עכשיו כתם של הליך אכיפה שהרשות ניהלה נגדו. המטרה היא כאן שהוא ייצר בעצם - - - << יור >> היו"ר שמחה רוטמן: << יור >> אתה אומר: תן לי את האפשרות למחוק לך מאגר, בלי הליך אכיפה. << דובר >> ניר גרסון: << דובר >> לא, זה לא למחוק. << יור >> היו"ר שמחה רוטמן: << יור >> אז מה המשמעות של הטלת חובת רישום? << דובר >> ניר גרסון: << דובר >> פעמים רבות לפחות, יהיה מישהו שמגיש הודעה על כוונה, נכון? הפרה עוד לא בוצעה, אי אפשר אפילו להיענש, אבל אנחנו כבר רואים - - - << יור >> היו"ר שמחה רוטמן: << יור >> חובת יידוע על כוונה? << דובר >> ניר גרסון: << דובר >> חובת דיווח על הקמת מאגר. ההפרה אולי עוד צפויה. דיווח על השימושים, השימושים עוד שנה –לדוגמה, אני מתכוון לערוך עם מכשירי MRI קריאת מחשבות ולמכור את זה, כל מיני דברים מאוד מורכבים שעלולים מאוד להזיק. קודם כל ההפרה יכול להיות שהיא עדיין צפויה. דבר שני ויותר חשוב, הליך אכיפה וסנקציה זה הליך שמתנהל, הליך ממושך שמתמשך חודשים על גבי חודשים – שימוע – ורק בסופו יוטל עיצום. יכול מאוד להיות ואנחנו רואים דברים כאלה בפועל, שלארגונים מסוימים הפרה היא יעילה. ועד שלא נגמר הליך השימוע שיכול לקחת חודשים ארוכים - - - << יור >> היו"ר שמחה רוטמן: << יור >> יש לו סעד זמנים מבית משפט. << דובר >> ניר גרסון: << דובר >> לא בית משפט, קודם כל יכול להיות שהפרה יעילה. דבר שני, הכסף יוטל על העיצום, הרי זה בסופו של דבר, אין סמכות להפסיק כיבוד. הסמכות היחידה היא להתלות רישום מאגר כשיש חובה לרישום מאגר. << דובר >> עמרי רחום טוויג: << דובר >> יש לכם סמכות להורות להפסיק הפרה בהקשר של ניהול מאגר שלא כדין. << דובר >> ניר גרסון: << דובר >> להפסיק הפרה, אבל לא להפסיק את העיבוד. להפסיק הפרה שתוצאתה היא - - - << דובר >> עמרי רחום טוויג: << דובר >> אבל זאת המשמעות. << יור >> היו"ר שמחה רוטמן: << יור >> לא, להפסיק הפרה זה בדיוק בתקופה שיורד, זה מה שאמרתי לכם שאני אתן לכם. << דובר >> ניר גרסון: << דובר >> שתוצאתה עיצום. אדוני, הדבר אולי הלא פחות חשוב הוא, הכוונה להשתמש בסמכות הזאת – אין שום כוונה להשתמש באופן שגרתי. במקרים שבהם העיבוד לפי המידע שנקבל הוא כל כך מסוכן או כל כך רגיש, שמצריך שימוש ביד יותר עדינה. לתפור את חליפת הרגולציה לא באמצעות פטיש של האכיפה, אלא בלתפור את המתווה הרגולטורי, לזה נועדה בקשת רישום. << יור >> היו"ר שמחה רוטמן: << יור >> תגידו לו ש"מעשיו מהווים הפרה - - - בתוך תקופה שיורו". תורו לו שאסור לו לאסוף את המידע, כי אסור לו לאסוף את המידע ולדעתכם מדובר בהפרה. ותעשו מה שאתם רוצים עם זה. אני לא מבין - - - << דובר >> ניר גרסון: << דובר >> וגם אין אפשרות להפסיק באופן מידי, גם אם אני אענה - - - << דובר >> רחל ארידור הרשקוביץ: << דובר >> אז תוסיף - - - << יור >> היו"ר שמחה רוטמן: << יור >> אולי יום אחד, תאמינו או לא, נגיע לפרק העיצומים וההפרות, ואז תגיד: חסרה לי הסמכות הזאת והזאת. ואז אנחנו נקבע את הסמכות. וניתן לך את האפשרות, ונייצר לך מנגנונים, ונייצר לך הליך ערעור, ונייצר לך את מה שאתה רוצה, אם אתה חושב שזה נצרך. נדון בזה ונחליט. אבל אני לא הופך את זה להליך רישום, כי הליך הרישום לא מייצר כלום. מה המשמעות של הפרת תהליך הרישום? נניח שאמרת לי שאני צריך רישום. בוא נניח שאני החלטתי להקים את אותה מכונת MRI שקוראת מחשבות ומוכרת את זה לסינים. אני החלטתי. << דובר >> ניר גרסון: << דובר >> זה לא כזה דמיוני. << יור >> היו"ר שמחה רוטמן: << יור >> אגב, המחשבות שלי בשבילם זה סינית. החלטתי והקמתי את זה. ואז אתה אמרת לי: שמחה, רעיון נפלא, אני צריך בשביל זה לשבת שבעה ימים ושבעה לילות, לבנות לך את המבנה הרגולטורי, לא יודע איך להסתדר על זה. בסדר גמור. אני אומר לך שהמאגר הזה חייב רישום. אני אומר: שמעתי אותך, תודה רבה. אני אתחיל לעבוד, לא רוצה לרשום או יותר מזה, צריך רישום, אין בעיה – כשנגיע לגשר נפוצץ אותו. מה הסמכות שיש לך עלי? הפרת חובת רישום? מה זה? הפרה יעילה. עיצומים. מה יש לך להכניס אותי לכלא על הפרת חובת רישום? << דובר >> ניר גרסון: << דובר >> נכון. אבל מעבר לעיצום שהיא על הפרת חובת רישום, יהיה פה – זה דומה לפעילות שטעונה רישום בלי רישיון. זו אי חוקיות טבועה. כל העיבוד לא חוקי. זה לא שעיבדת והפרת. עצם העיבוד הוא בלתי חוקי. << יור >> היו"ר שמחה רוטמן: << יור >> אז אתה אומר שאתה רוצה לייצר לך את האפשרות לעצור עבירות פליליות כשמתחשק לך. << דובר >> עמרי רחום טוויג: << דובר >> יש לך את 8א. << דובר >> ניר גרסון: << דובר >> אדוני, הפרה מתמשכת, למיטב זכרוני, השלב המתמשך מתחיל רק משלב מתקדם בהליך - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא רוצה מתמשך ולא נעלים. << דובר >> ניר גרסון: << דובר >> אבל זאת הבעיה. << דובר >> ליאור אתגר: << דובר >> תפרסמו באתר שלכם, ותוך דקה, עשר דקות, מישהו יגיש תביעה ייצוגית. << יור >> היו"ר שמחה רוטמן: << יור >> לא, חברים. בקיצור – לא. אין לזה שום הצדקה. אתם רוצים? כשנגיע לפרק ההפרות תגידו שאתם רוצים סמכות לתפוס בעל מאגר ולתלות אותו הפוך עם הרגליים, בסדר גמור. נבדוק אם זה אפשרי, מידתי, ולראות מה עושים עם זה. << דובר >> ראובן אידלסון: << דובר >> הכוונה היא סמכות למתן הוראה מידית - - - << יור >> היו"ר שמחה רוטמן: << יור >> עכשיו הם יגידו שכבר התחייבתי לתת להם את הסמכות הזאת. << דובר >> ראובן אידלמן: << דובר >> אני מבין שזאת הצעת הוועדה, לחזור לזה בשלב ההפרות. - - - זו הוראה מידית יותר. << יור >> היו"ר שמחה רוטמן: << יור >> אני אומר שכמו שבסעיף 4 נתתי לכם אפשרות להורות להפסיק את ההפרה בתוך תקופה שונה אמרתי – בוא נדון בזה בפרק ההפרה. אם תחשבו שעצם קיומו של המאגר הוא - - - אני חושב ש-4 כבר כולל את זה. ואם תגידו שאתם צריכים אפשרות למתן צו מידי ונקבע, יכול להיות שמתן צו מידי דורש אישור מראש של בית משפט. לא יודע, אין לי מושג, אני לא רוצה לדון במשהו לפני שנדון, נשמע כשנדון בזה. אבל זה לא צריך להיות בשלב הרישום. זה לא קשור לרישום. הרישום הוא הפרה טכנית. הוא גם לא מייצר לך את מה שאתה רוצה. אני הפרתי את חובת הרישום, מה תעשה? תטיל עלי קנס. זה מה שאתה יכול בכל מקרה. << דובר >> ראובן אידלסון: << דובר >> מקובל עלינו להעלות את זה שם בשלב ההפרה. << דובר >> ניר גרסון: << דובר >> את ההצעה של יושב הראש. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אתם את הסעיף הזה תנסחו מחדש. << דובר >> נעמה מנחמי: << דובר >> "(ד) הוראות סעיפים קטנים (ג) ו-(ג1) לא יחולו על מאגר שאין בו אלא מידע שפורסם ברבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות כדין". "חובת רישום מאגר או פטור מרישום מאגר לפי החלטת ראש הרשות" – זה די דומה למה שדיברנו עכשיו, אבל כאן זה בהקשר - - - << יור >> היו"ר שמחה רוטמן: << יור >> "מידע שפורסם ברבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות" – כנראה הכוונה רק כאשר מקור המידע הוא גוף ממשלתי? << דובר >> ראובן אידלסון: << דובר >> סמכות כדין? תיאורטית יש חקיקה לא רבה שנותנת סמכויות גם לגופים פרטיים. חקיקה שקובעת רגולציה ספציפית בתחום ספציפי. << דובר >> עמרי רחום טוויג: << דובר >> למשל רשות ניירות ערך. << יור >> היו"ר שמחה רוטמן: << יור >> רשות ניירות ערך היא כדין. << דובר >> עמרי רחום טוויג: << דובר >> לא הרשות, יש חובה על גופים ציבוריים שנסחרים לפרסם מידע בדוחות כספיים, כולל מידע אישי בתוכו. << דובר >> ראובן אידלסון: << דובר >> יש גופים כמו מגן דוד אדום שיש להם חקיקה למרות שהם לא גוף ממשלתי. יש מצבים מסוימים שיש סמכות לפי דין גם לגופים פרטיים. << יור >> היו"ר שמחה רוטמן: << יור >> בקיצור, חובת הרישום לא חלות אבל החובות המהותיות חלות. כלומר שזה לא פוטר את זה מהחובות המהותיות. << דובר >> עמרי רחום טוויג: << דובר >> אלא אם יש פטור אחר בחוק. << יור >> היו"ר שמחה רוטמן: << יור >> ברור. << דובר >> ראובן אידלמן: << דובר >> זאת הוראה בחוק הקיים. אין כאן - - - << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור. הבנתי. << דובר >> נעמה מנחמי: << דובר >> הגענו לחובת רישום מאגר או פטור מרישום מאגר לפי החלטת ראש הרשות. << יור >> היו"ר שמחה רוטמן: << יור >> זה מה שאמרנו עכשיו. << דובר >> נעמה מנחמי: << דובר >> קודם אמרנו את זה בהקשר של חובת הדיווח, עכשיו זה בחובת הרישום. אני מניחה - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, זה לא אותו דבר. קודם הצעת החוק היא הצעת החוק. אבל א' על גופים ציבוריים, כי זה רלוונטי בעניין גופים ציבוריים שעליהם לא חלה חובת הדיווח - - << דובר >> ראובן אידלמן: << דובר >> משמרים את ההסדר הקיים. << יור >> היו"ר שמחה רוטמן: << יור >> - - שבאה ואומרת: מותר לך להורות. לא, אז זה לא המצב הקיים - - - << דובר >> ראובן אידלמן: << דובר >> זה רק הפטור, לא חובת - - - << יור >> היו"ר שמחה רוטמן: << יור >> כי שלא יחול עליו חובת רישום יהיה חייב ברישום – אנחנו לא מסכימים, זאת בעיה. חובת רישום של לפטור – כאשר מדובר בגופים פרטיים כפטור סוג, על זה דיברנו; כאשר מדובר על גופים ציבוריים, "זה מאגר מידע מסוים החייב ברישום יהיה פטור מרישום". זאת סמכות שקיימת היום בחוק, נכון? << דובר >> ראובן אידלמן: << דובר >> נכון. << דובר >> דן אור-חוף: << דובר >> אולי סוגים, דורשת גם בהקשר הזה. << יור >> היו"ר שמחה רוטמן: << יור >> קצת קשה לי כשאני רוצה להטיל פה חובה על רישום לגופים ציבוריים ואני אומר לך - - - פה קצת כן מתעוררת השאלה שדיברתם. << דובר >> ראובן אידלמן: << דובר >> זה גם סוחרי מידע, אני מזכיר. << יור >> היו"ר שמחה רוטמן: << יור >> וגם סוחרי מידע. נו, אבל גם סוחרי מידע, בואו נניח שיחליטו שסוחרי מידע בתחום פרסום מסוים לא דורש חובת רישום כפטור סוג. אני לא יודע אם זה כל כך מעורר אצלי התנגדות. הבעיה שלי היא ניגוד העניינים המובנה של גופים ציבוריים וקרבתם לצלחת. << דובר >> נעמה מנחמי: << דובר >> אפשר להכניס תוספת עם אישור ועדה. << דובר >> גלעד סממה: << דובר >> אפשר עם דיווח לוועדה פעם בשנה. משהו בסגנון הזה כדי לצנן. << דובר >> נעמה מנחמי: << דובר >> תוספת עם אישור ועדה. << יור >> היו"ר שמחה רוטמן: << יור >> תוספת עם אישור ועדה זה קצת הרבה. << דובר >> גלעד סממה: << דובר >> אפשר דיווח לוועדה. << יור >> היו"ר שמחה רוטמן: << יור >> דיווח על כל החלטות הפטור שניתנו לפי סעיף זה לוועדה. << דובר >> ראובן אידלמן: << דובר >> אין לנו התנגדות. << יור >> היו"ר שמחה רוטמן: << יור >> את חושבת שצריך שהפטור עצמו יהיה? << דובר >> נעמה מנחמי: << דובר >> השאלה אם הם יוכלו לדווח את זה לוועדה כאשר אולי חלק מהמאגרים הם מאגרים חסויים. << יור >> היו"ר שמחה רוטמן: << יור >> ותוספת תפתור לך את זה? << דובר >> נעמה מנחמי: << דובר >> כן, כי זה יהיה סוג ואז זה יהיה כללי יותר. << דובר >> ראובן אידלסון: << דובר >> זה לא סעיף שנעשה בו שימוש נרחב גם היום ואנחנו מעריכים שלא ייעשה בו שימוש נרחב גם מחר. זה נקודתי מאוד, זה לא - - - << יור >> היו"ר שמחה רוטמן: << יור >> דווקא דיווח לוועדה אם הוא חסוי אז מעבירים דיווח חסוי לוועדה, אז זה יותר קל. דווקא דיווח לוועדה, אם יש בו חלק חסוי, אז יש כללים איך מדווחים על מידע חסוי לוועדה. לעומת תוספת שזה הרבה יותר קשה לחסות. << דובר >> גלעד סממה: << דובר >> מבחינתנו אין בעיה. << דובר >> נעמה מנחמי: << דובר >> אז על מה הדיווח? << יור >> היו"ר שמחה רוטמן: << יור >> על החלטות שניתנו לפי סעיף זה. << דובר >> נעמה מנחמי: << דובר >> - - - גופים והסיבה לפטור? << יור >> היו"ר שמחה רוטמן: << יור >> כן, על החלטות שניתנו לפי סעיף זה. החלטות ראש הרשות לפי סעיף זה. דיווח פעם בשנה. הוראת המעבר? << דובר >> נעמה מנחמי: << דובר >> הוראת המעבר עוסקת בשאלה מה יהיה עם כל המאגרים שרשומים היום, הוראת המעבר שרשומה כאן זו הוראה מהצעת החוק, מסעיף 29 להצעה. לא נגעתי בה, אבל אני חושבת שאולי נכון אולי לחשוב עליה עכשיו שוב מחדש, בשים לב לכך שכן היה כאן צמצום נוסף שהוועדה החליטה עליו לעומת הצעת החוק. << יור >> היו"ר שמחה רוטמן: << יור >> אולי גם הרחבה. << דובר >> נעמה מנחמי: << דובר >> באיזה מובן? << יור >> היו"ר שמחה רוטמן: << יור >> של חובת רישום. << דובר >> ניר גרסון: << דובר >> לא, לא לעומת היום, לעומת - - - << דובר >> נעמה מנחמי: << דובר >> לעומת הצעת החוק. במילים אחרות, מה ייעשה במאגרים שהיום לא חייבים ברישום. << יור >> היו"ר שמחה רוטמן: << יור >> והם עדיין רשומים. << דובר >> נעמה מנחמי: << דובר >> והם עדיין רשומים. על מי חלה החובה למחוק אותם? האם במובן מסוים, האם זה על הרשות שצריכה לבדוק או על בעל המאגר שצריך לדווח לרשות. << יור >> היו"ר שמחה רוטמן: << יור >> לא מפריע לי הסעיף כמו שהוא מנוסח היום. כשרשום, לא קורה שום אסון, ואם אתה רוצה להימחק, תימחק; לא חלה עליך חובת רישום, תימחק. בכל מקרה לא תחול עליך חובת עדכון. << דובר >> ראובן אידלמן: << דובר >> מה שלא חל, לא חל. << דובר >> צחי שלום: << דובר >> למה לא רשימה אוטומטית? למה לא עדכון אוטומטי - - -עם תקרה אוטומטית. << דובר >> עמרי רחום טוויג: << דובר >> לפחות מספרית, כל מה שהוא מתחת ל-100,000 זאת פעולה קלה למחיקה. << דובר >> ניר גרסון: << דובר >> אנחנו לא יודעים מה הדברים האחרים שהשתנו, ולא תהיה עליו גם חובה לדווח. << דובר >> צחי שלום: << דובר >> אבל אם יש חובה לדווח, אז הוא ידווח. ואם הוא פטור והוא רשום אצלך, הוא יימחק. << דובר >> ראובן אידלמן: << דובר >> אנחנו לא יודעים לומר היום על כל המאגרים נכון ליום היום, 9 בינואר, האם יש להם מעל 100,000 או מתחת ל-100,000. << יור >> היו"ר שמחה רוטמן: << יור >> מה כואב לי שזה נשאר רשום שם? << דובר >> ניר גרסון: << דובר >> לא כואב כלום, זה בדיוק העניין. זה לא מטיל חובה לכשעצמו. << דובר >> דן אור-חוף: << דובר >> למה אין חובת דיווח נוספת בתוספות שם? << יור >> היו"ר שמחה רוטמן: << יור >> לא, זה לא מטיל שום חובה נוספת. מי שלא רוצה שיהיה רשום, שימחקו אותו. מי שלא אכפת לו שהוא רשום, שיישאר רשום, מה כואב לי? << דובר >> ראובן אידלמן: << דובר >> כל עוד אין חובת צידוקין? << יור >> היו"ר שמחה רוטמן: << יור >> אין חובת עדכון. << דובר >> גלעד סממה: << דובר >> להבהיר שאין חובת עדכון. << יור >> היו"ר שמחה רוטמן: << יור >> להבהיר שאין חובת עדכון וזהו. ולא תחולו לגביו החובות האמורות בסעיף זה וזה. << דובר >> נעמה מנחמי: << דובר >> צריך זמנים אולי? << יור >> היו"ר שמחה רוטמן: << יור >> יש לכם סמכות למחוק דברים מהמאגר בהתיישנות? אני מקווה שאתם תוציאו מכתב לכולם שאם הם רוצים למחוק, שיודיעו, וזהו. << דובר >> גלעד סממה: << דובר >> אין בעיה. << יור >> היו"ר שמחה רוטמן: << יור >> לא נראה שאני צריך פה - - - המרשם לא מבקש אוכל, נכון? << דובר >> דן אור-חוף: << דובר >> לא, הוא לא מבקש שום דבר לאכול, אבל רק יישארו בסופו של דבר עשרות אלפי מאגרים רשומים שלא צריך, ואם כל הכוונה שהרישום החדש והיידוע החדש ימקד את הפעילות של הרשות רק לגבי מאגרים מסוימים, זה יכול ליצור מצב שעדיין רשומים עשרות אלפי מאגרים. << יור >> היו"ר שמחה רוטמן: << יור >> אני סומך על האינטליגנציה של הרשם, ויותר מזה, יכול להיות מעניין שאם מישהו שרשום במאגר, קיבל מכתב כזה מהרשות שאומרת לו – אתה יכול להימחק, ולפי כל הרציונליים, אין שום סיבה שיהיה רשום. אז יכול להיות שיגיעו למסקנה שמדובר באדם רשלן שצריך להשגיח עליו איך הוא מנהל את מאגרי המידע שלו, ויום אחד הם גם יאכפו עליו דברים. << דובר >> דן אור-חוף: << דובר >> הם לא ישלחו "אתה יכול להימחק". << יור >> היו"ר שמחה רוטמן: << יור >> לא, זה אני - - - << דובר >> דן אור-חוף: << דובר >> הם ישלחו: הנה החוק החדש, ואם אתה לא עומד בתנאים, אז אתה יכול למחוק את המאגר. << יור >> היו"ר שמחה רוטמן: << יור >> זה מה שהם ישלחו. << דובר >> ראובן אידלמן: << דובר >> להודיע לנו. << יור >> היו"ר שמחה רוטמן: << יור >> זה מה שהם אמרו שהם ישלחו. << דובר >> ראובן אידלמן: << דובר >> זה מה שסוכם כשאתה לא עומד בתנאים ונבקש ממך. << דובר >> גלעד סממה: << דובר >> דן, אתה יכול להיות רגוע שהמסר שיועבר למשק יהיה כמה שיותר נגיש וכמה שיותר פשוט וכמה שיותר מאפשר להם גם למחוק. << יור >> היו"ר שמחה רוטמן: << יור >> יהיה "לחץ כאן למחיקה". << דובר >> גלעד סממה: << דובר >> זה לא יהיה רק "הנה החוק החדש" – שלום ולהתראות. כמו שאתה יודע, אנחנו לא כאלה. << דובר >> דן אור-חוף: << דובר >> עדיין, לא לבעלי המאגרים. << דובר >> ענר רבינוביץ: << דובר >> אם חברות לא מחויבות להודיע שהן רוצות להימחק, שאר המשק יכול להסתמך על המרשם הקיים והפומבי הזה שהוא כבר לא עדכני, שהוא אומר דברים שכבר לא נכונים. << יור >> היו"ר שמחה רוטמן: << יור >> הם יידעו באיזה תאריך נרשם האדם, אני יכול לבקש שזה יהיה בצבע אחר למי שנרשם לפני התחולה של החוק. באמת, מה אתה רוצה? בן אדם יראה מי נרשם לפני. הוא יודע מתי פעם אחרונה עודכן. רשום את זה ברובריקה במאגר, נכון? תאריך עדכון אחרון. << דובר >> ראובן אידלמן: << דובר >> לא, זה לא רשום. << יור >> היו"ר שמחה רוטמן: << יור >> לא רשום? << דובר >> ראובן אידלמן: << דובר >> לא. << יור >> היו"ר שמחה רוטמן: << יור >> למה לא רשום. << דובר >> ראובן אידלמן: << דובר >> אין תאריך הרישום של מאגר. << דובר >> ניר גרסון: << דובר >> עם תאריך עדכון? אני לא יודע, נצטרך לבדוק. << דובר >> ליאור אתגר: << דובר >> זה הפרט שחסר תמיד כשאנחנו כל פעם שואלים את השאלות האלה. זה משהו שצריך להוסיף אם כבר, לגבי התאריך. << יור >> היו"ר שמחה רוטמן: << יור >> לכאורה אמור להיות תאריך עדכון אחרון. גם בשבילכם אתם צריכים את זה. << דובר >> נעמה מנחמי: << דובר >> אפשר היום לדעת אם מאגר הוא ציבורי או לא מהמרשם? << דובר >> ראובן אידלמן: << דובר >> לפי שם בעל המאגר. << דובר >> ניר גרסון: << דובר >> אין רובריקה ספציפית. << דובר >> ראובן אידלמן: << דובר >> שהוא לא חברה בע"מ. << דובר >> נעמה מנחמי: << דובר >> זאת אומרת שאני לא יכולה לעשות חיפוש לפי מאגר ציבורי? << יור >> היו"ר שמחה רוטמן: << יור >> סוחר מידע, ציבורי או אחר? << דובר >> ראובן אידלמן: << דובר >> לא. << דובר >> ליאור אתגר: << דובר >> צריך להיות – אין. << יור >> היו"ר שמחה רוטמן: << יור >> תכף נדבר על הנגשת המידע של המאגר לציבור, אבל זה לא קשור לפה, זה קשור למשהו אחר. שוב, אנחנו לא צריכים להפוך לישיבת פיקוח על הרשות, למרות שזה בהחלט נדרש. אולי נאחד את זה עם ישיבת פיקוח על רשות החברות הממשלתיות. << דובר >> דלית בן ישראל: << דובר >> צריך אולי בהוראות מעבר כן להתייחס למאגר רשום שכן נופל בחובת הדיווח החדשה. ואז לפחות לפתור מחובת הדיווח אם הוא כבר רשום ולא מוחקים אותו, אז לא צריך כפול. זאת אומרת שלא עכשיו שבעל מאגר רשום שנופל בחובת דיווח, צריך עכשיו לשלוח את מסמך הגדרות מאגר ואת סקר הסיכונים שהוא ערך וכולי, כי לפי - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא, אבל למה את אומרת עכשיו רק, את לא יודעת מה יהיה כתוב כרגע בבקשת דיווח כי עוד לא סגרנו את זה. << דובר >> דלית בן ישראל: << דובר >> זה לא משנה – אם כבר רשמתי והמאגר רשום ואני מחליטה לא למחוק אותו? << יור >> היו"ר שמחה רוטמן: << יור >> אנחנו עוד לא יודעים מה יהיה בבקשת דיווח. << דובר >> ניר גרסון: << דובר >> וזה לא קשור. << יור >> היו"ר שמחה רוטמן: << יור >> זה לא קשור. << דובר_המשך >> דלית בן ישראל: << דובר_המשך >> אז יהיה דיווח בנוסף להליך של הרשות? << יור >> היו"ר שמחה רוטמן: << יור >> יכול מאוד להיות, אבל את שואלת אותי שאלה אחרת של הוראות המעבר; האם מי שמנהל מאגר בערב יום זה וזה, איזה הוראות דיווח יחולו עליו נכון להיום? << דובר_המשך >> דלית בן ישראל: << דובר_המשך >> אם המאגר היה חדש, הוא היה נופל רק בדיווח ולא ברישום. במצבים האלה, על זה אני מדברת. << יור >> היו"ר שמחה רוטמן: << יור >> זאת שאלה מי שמנהל מאגר החייב ברישום בערב יום התחולה. << דובר >> דלית בן ישראל: << דובר >> חייב בדיווח ו - - - << יור >> היו"ר שמחה רוטמן: << יור >> בערב יום התחולה, מי שמנהל מאגר, האם כולם עכשיו צריכים לדווח? האם הם צריכים לדווח מדורג? האם אנחנו אומרים שהם ניקוי שולחן ורק מי שמשתמש במאגר או מי שאחרי התחולה? לא יודע, זה בהוראות מעבר, נדון בזה בסעיף של הוראות מעבר. << דובר >> עמרי רחום טוויג: << דובר >> אפשר שהסדר התחילה של זה לפחות יהיה מידי של תנאי ביטול - - - << יור >> היו"ר שמחה רוטמן: << יור >> אפשר שנדון בזה כאשר נדון בזה? << דובר >> נעמה מנחמי: << דובר >> בקשה לרישום (א) "בקשה לרישום מאגר מידע תוגש" – אני קוראת את הנוסח המשולב – "לראש הרשות להגנת הפרטיות. (ב) בקשה לרישום מאגר מידע תפרט את – (1) זהות בעל השליטה במאגר המידע ומנהל המאגר" – נראה מה עושים באמת עם מנהל המאגר – "ומעניהם בישראל; (1)(א) סוג השירות שנותן המחזיק במאגר מידע לבעל השליטה בו. (2) מטרות הקמת מאגר מידע והמטרות שלהן נועד המידע; (3) סוגי המידע שיכללו במאגר; (4) פרטים בדבר העברת מידע מחוץ לגבולות המדינה; (5) פרטים בדבר קבלת מידע, דרך קבע, מגוף ציבורי כהגדרתו בסעיף 23, שם הגוף הציבורי מוסר המידע ומהות המידע הנמסר, למעט פרטים הנמסרים בהסכמת מי שהמידע על אודותיו. (ג) שר המשפטים רשאי לקבוע בתקנות באישור ועדת חוקה" – אני מציעה להוסיף – "פרטים נוספים שיפורטו בבקשה לרישום. (ד) הבעל השליטה במאגר מידע או המחזיק במאגר מידע, יודיע לראש הרשות על כל שינוי בפרט מהפרטים המפורטים בסעיף קטן (ב) או לפי סעיף קטן (ג) ועל הפסקת פעולתו של מאגר המידע". << יור >> היו"ר שמחה רוטמן: << יור >> והמחזיק שוב, איך המחזיק - - - << דובר >> עמרי רחום טוויג: << דובר >> זהו, לעניין (ד), למחוק את המחזיק. << יור >> היו"ר שמחה רוטמן: << יור >> איך הגענו למחזיק? << דובר >> ראובן אידלמן: << דובר >> אין צורך במחזיק, אפשר להוריד. << דובר >> נעמה מנחמי: << דובר >> אוקיי, אפשר להוריד. כן ב-(ד) אני מסבה את תשומת הלב שזה מפנה גם לעדכון של כתובת הזהות של בעל השליטה במאגר המידע ובעצם מחייב כל פעם שבעל השליטה במאגר מידע מחליף כתובת, להודיע לרשות. אולי אפשר לבחון את זה שוב בעיניים האלה של מה צריך באמת להודיע על איזה שינויים - - - << יור >> היו"ר שמחה רוטמן: << יור >> מחליף כתובת נסתדר, אבל אם הוא מחליף כתובת דוא"ל, אנחנו לא מקבלים. << דובר_המשך >> נעמה מנחמי: << דובר_המשך >> אם צריך את כל הפרטים להודיע לשינוי בהם. << דובר >> ראובן אידלסון: << דובר >> זה נכון להיום רק בגופים ציבוריים, אז ממילא שינוי הכתובות הם - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, וסוחרי מידע. << דובר >> נעמה מנחמי: << דובר >> לא, סוחרי מידע, אבל בסדר. << יור >> היו"ר שמחה רוטמן: << יור >> הכתובת, משרד המשפטים, צאלח א-דין. עוד מעט יהיה עדכון ואז תקבלו מלא בקשות מידע. מלא בקשות לעדכון המאגר. למה? על כל מאגר. << דובר >> נעמה מנחמי: << דובר >> יש שאלה שקצת חוזרת בהקשרים אחרים – אם נכון שמשהו שהוא יחסית טכני כמו דיווח זה משהו שצריך לדווח לראש הרשות, להבדיל מן הרשות? אני מזמינה את - - - << יור >> היו"ר שמחה רוטמן: << יור >> וכל פעם שראש הרשות מחליף כתובת, הוא צריך לעדכן את כל אנשי המאגר. << דובר >> נעמה מנחמי: << דובר >> לא, האם דברים טכניים יחסית של עדכונים ודברים כאלה, נכון לכתוב אותם בחוק כראש רשות ולא כרשות. << דובר >> עמית יוסוב עמיר: << דובר >> בדרך כלל זאת טכניקה חקיקתית, זה עניין של נוסח. בדרך כלל מקובל להטיל תפקיד או חובה על פונקציה מסוימת – ראש רשות, עובד מוסמך וכולי. << יור >> היו"ר שמחה רוטמן: << יור >> איך זה עובד בחוק ניירות ערך – לדווח לראש רשות ניירות ערך? << דובר >> עמית יוסוב עמיר: << דובר >> הרשות שם זה גוף שהוא מוצר המבנה שלו. << יור >> היו"ר שמחה רוטמן: << יור >> גם פה יש רשות. אבל דיברנו על זה שאנחנו מחכים להתייחסות שלכם איך מסדירים את המבנה של הרשות. << דובר >> עמית יוסוב עמיר: << דובר >> זה לא עניין של הקמה. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, לא מדווחים לראש הרשות בדרך כלל. אנחנו מרחמים על גלעד שהוא יתחיל לקבל מלא דיווחים במסירה אישית. << דובר >> נעמה מנחמי: << דובר >> אני חושבת שצריך לעשות מחשבת רוחב על כל החוק, לראות מה נכון לשלוח או לדווח לרשות ומה לראש הרשות. לנקות את החוק הזה קצת. << יור >> היו"ר שמחה רוטמן: << יור >> סמכויות. << דובר >> נעמה מנחמי: << דובר >> סמכויות הרשות – היום זה ברישום מאגר, עוד מעט נגיע לשאלה אם זה ברישום מאגר או לא ברישום מאגר. סמכויות ראש הרשות 10. (א) "הוגשה בקשה לרישום מאגר – (1) ירשום אותו ראש הרשות במרשם, זולת אם היה לו יסוד סביר להניח כי המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן, או שהמידע האישי הכלול בו נוצר, נתקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין; (2) ראש הרשות רשאי לרשום מטרה שונה מזו שפורטה בבקשה, לרשום מספר מטרות למאגר, או להורות על רישום המאגר כמספר מאגרים, והכל אם נוכח לדעת כי הדבר הולם את פעילות המאגר הלכה למעשה; (3) ראש הרשות לא יסרב לרשום את מאגר המידע לפי פסקה (1) ולא יפעיל סמכויותיו לפי פסקה (2), אלא לאחר שנתן למבקש הזדמנות לטעון את טענותיו". << יור >> היו"ר שמחה רוטמן: << יור >> למה הורדנו את ה"פרק הזמן"? << דובר >> רחל ארידור הרשקוביץ: << דובר >> אני גם שואלת למה הורדנו את הזמנים? << דובר >> ניר גרסון: << דובר >> כי השינוי הוא לפי הנוסח המוצע – לא צריך להמתין מראש. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אם אני סוחר מידע? << דובר >> ניר גרסון: << דובר >> אתה יוצא ידי חובתך בהגשת הבקשה. << יור >> היו"ר שמחה רוטמן: << יור >> נניח שאני סוחר מידע או שאני רשות שלטונית? << דובר >> נעמה מנחמי: << דובר >> קודם כתבנו: לא יעבד אדם במאגר וכולי, אלא אם כן הוא נרשם או שהוא הגיש בקשה לרישום ולא הודיעו לו על סירוב או על השעיה. << דובר >> ניר גרסון: << דובר >> השתנתה ברירת המחדל – מותר לך אלא אם כן אוסרים עליך. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבל השאלה היא – יכול להיות שאתם, אני כבר אתחיל לעבוד במאגר מלא זמן, ואז אתם תשלחו לי שנה אחר כך: שמע, לא בא לנו לרשום אותך. ואז פתאום חל עלי האיסור, אחרי שאני כבר שנה עובד. לכן סד הזמנים פה – נדרש פה איזשהו פרק זמן מסוים. << דובר >> ליאור אתגר: << דובר >> אפשר לעשות את זה כמו בתוכניות אופציות, שמגישים למס הכנסה, ממתינים 30 יום, ואז האפקטיב, אתה יכול להתחיל לעבוד. זה תמיד יכול לחזור אחורה הרגולטור. אבל צריך פרק זמן קצר – 90 יום זה ארוך. << דובר >> ראובן אידלמן: << דובר >> נוכל לתת תשובה בעניין הזה? << יור >> היו"ר שמחה רוטמן: << יור >> בסדר. אפשר לתקן את זה גם בסעיף השני, פשוט להגיד: וחלפו יותר מ - - - להכניס את איכות השירות כדי שאדם ידע לפחות ברמה מסוימת שנדון, כאשר בשלב מסוים אתם עוברים לשלב האכיפה ולא בשלב המניעה. << דובר >> נעמה מנחמי: << דובר >> עוד שאלה היא לכמה זמן כשמשהים את רישום המאגר, אז לכמה זמן אפשר להשהות את רישום המאגר לפני שזה נחשב הודעת סירוב רישום? << דובר >> ניר גרסון: << דובר >> כמו כל החלטה מינהלית, אני חושב שאי אפשר לקבוע מסמרות פה, זה מאוד תלוי. יכול להיות שההשהיה תהיה יום, יכול להיות שתהיה לחודשיים. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, תתייחסו גם לזה, לאיכות השירות וגם לפרק זמן שאפשר להשהות, וכולי. << דובר >> ראובן אידלסון: << דובר >> ההשהיה נועדה לסיטואציה שבה ביקשנו לקבל פרטים מסוימים, ואנחנו מבקשים כרגע להשהות את הרישום עד שנקבל את הפרטים האלה ונוכל לקבל החלטה סופית בבקשה. << דובר >> ניר גרסון: << דובר >> זה סעיף שקיים היום והוא מקובל מאוד. << דובר >> ראובן אידלסון: << דובר >> הבעיה להגביל את זה בזמן זה שאנחנו לא יודעים תוך אחרי כמה זמן יחזרו אלינו עם הפרטים שאנחנו צריכים. שוב, אנחנו עוסקים פה רק בגופים ציבוריים וסוחרי מידע. צריך לזכור, הכול פה עכשיו הרבה יותר מצומצם ואנחנו רוצים שתהיה לנו את האפשרות כרגע להגיד: עצרו, עד שנקבל את המידע הנוסף לצורך רישוי. << דובר >> רחל ארידור הרשקוביץ: << דובר >> עדיין עובדים אם זה משך זמן ארוך, אז גוף ציבורי אולי לא יוכל לתת שירות לציבור באותו זמן, או סוחר מידע יאבד כסף. עדיין ציבורי הוא - - - << דובר >> ראובן אידלמן: << דובר >> חזקה על גוף ציבורי שהוא יוכל למסור את התשובות שביקשנו. << דובר >> רחל ארידור הרשקוביץ: << דובר >> על גופים ציבוריים לא הייתי - - - << דובר >> צחי שלום: << דובר >> אתה יכול להשהות את זה לתקופה מאוד ארוכה, ואנחנו לא נותנים שירות. אני נותן לך תשובות, אתה לא מרוצה - - - - << דובר >> ראובן אידלסון: << דובר >> הוועדה הציעה שיהיה פרק זמן שבתוכו הרשות צריכה לקבל החלטה. בתוך פרק הזמן הזה, אפשר לבקש השהיה עד שנקבל תשובות כדי שנוכל לקבל החלטה. אני חושב שזה האיזון הנכון. << דובר >> נעמה מנחמי: << דובר >> בכמה מהמקרים אתם מבקשים עוד פרטים נוספים? בסדר גודל. << דובר >> ראובן אידלסון: << דובר >> אנחנו מבקשים במקרים רבים מאוד, אנחנו לא משהים לעתים קרובות. בסמכות ההשהיה אנחנו עושים שימוש די נדיר. << דובר >> צחי שלום: << דובר >> אבל סמכות ההשהיה לגוף ציבורי מקשה מתן שירות. אתה משהה אותי, מה אני עושה? אני לא נותן לתושבים, כאילו עצרתי? << דובר >> ראובן אידלסון: << דובר >> שוב, ההשהיה לא נועדה להיות משהו מתמשך, היא נועדה להיות במקום שזיהנו סיכון מיוחד - - << דובר >> צחי שלום: << דובר >> אז תגדר אותה. צריך לגדר את זה. << דובר >> ראובן אידלמן: << דובר >> - - שמצריך השהית רישום. << דובר >> ניר גרסון: << דובר >> השהייה זה – לא מסרת את כל הפרטים. אתה רשות מקומית? תפתור בקשה בצורה תקינה. << דובר >> צחי שלום: << דובר >> רשמתי, שלחתי לכם בקשה, רשמתם, לקחתם את הזמן, חזרתם אחרי שנה שלא. << דובר >> גלעד סממה: << דובר >> לא, לא אחרי שנה. << דובר >> ניר גרסון: << דובר >> זה בכלל לא - - - << דובר >> צחי שלום: << דובר >> אתה לא חוזר אחרי תקופה. אתה לא מגדיר. << דובר >> ניר גרסון: << דובר >> בכלל לא. << דובר >> צחי שלום: << דובר >> לא, הורידו את השינוי. << דובר >> ניר גרסון: << דובר >> בהליכי רישום צריך להגיש בקשה. הגשת בקשה שהיא רק כוללת כ-10% מהמידע שהחוק דורש. אנחנו לא ממשיכים את המשך הטיפול בבקשה עד שתגיש את מה שאתה צריך לפי החוק. << דובר >> צחי שלום: << דובר >> כמה זמן? << דובר >> ניר גרסון: << דובר >> תגיש. תגיש. << דובר >> צחי שלום: << דובר >> תוך כמה זמן אתה מגיב על זה? << דובר >> ניר גרסון: << דובר >> לא הבנתי. << דובר >> צחי שלום: << דובר >> הגשתי בקשה, תוך כמה זמן אתה בודק את הבקשה שלי ואומר. << דובר >> ניר גרסון: << דובר >> אני מזהה מה שחסר ומודיע לך. << דובר >> ראובן אידלמן: << דובר >> בסדר, הוועדה הציעה פרק זמן שבתוכו צריכה להתקבל ההחלטה הסופית. זה נותן מענה גם לחשש. << דובר >> צחי שלום: << דובר >> אוקיי, מחכה לעדכון. << דובר >> נעמה מנחמי: << דובר >> אפשר גם שזה יהיה משהו כמו: איקס ימים מיום שהגיעו הפרטים הנוספים שהתבקשו. נגיד, החל ולמסור דרישת מסמכים תוך 14 יום ואז עוד 30 יום מהיום שנמסרו המסמכים. << דובר >> ראובן אידלסון: << דובר >> זה רעיון מצוין, נציע נוסח בעניין הזה. << דובר >> נעמה מנחמי: << דובר >> ממשיכים ל-(ב2). (ב2) "הודיע ראש הרשות למבקש על סירובו לרשום את מאגר המידע, או על השהיית הרישום, מטעמים מיוחדים שיפרט בהודעתו, לא יהיה המבקש רשאי לעבד מידע אישי במאגר ולא ירשה לאחר לעבד עבורו, זולת אם בית המשפט קבע אחרת. בית משפט? << יור >> היו"ר שמחה רוטמן: << יור >> איזה בית משפט? ומאחר ואנחנו מתמקדים בגופים ציבוריים, אז בדרך כלל כשמדובר בגופים בתוך המדינה, בסדר, יתמודדו. מדובר ברשויות מקומיות. כשמדובר בגופים ציבוריים אחרים, אנחנו רוצים שמנגנון יישוב הסכסוכים התוך ממשלתי יהיה בית המשפט? << דובר >> ראובן אידלמן: << דובר >> זה הנוסח שמופיע בחוק הקיים. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, כי זה - - - << דובר >> ראובן אידלמן: << דובר >> לא הצענו שינוי בעניין הזה. המשמעות היא שצריך לעתור נגד ההחלטה הזאת. צריך לעתור נגד ההחלטה לסרב לרשום את המאגר. << דובר >> נעמה מנחמי: << דובר >> כלומר בעתירה מינהלית. << דובר >> ראובן אידלמן: << דובר >> ואז בית המשפט קובע אחרת. << דובר >> עמרי רחום טוויג: << דובר >> לדעתי אין הגדרה לבית משפט בחוק. << דובר >> ראובן אידלמן: << דובר >> זה כמו כל החלטה מינהלת אחרת של הרשות. אפשר לתקוף אותה בבית המשפט. << יור >> היו"ר שמחה רוטמן: << יור >> הבעיה היא שאנחנו בעולם שעכשיו מרבית הקליינטים שלכם הם גופים ציבוריים. כשקבעתי כלל עבור כל העולם ואמרתי, כשיש בעיה, תפנו לבית משפט – זה משהו אחד. עכשיו מרבית הקליינטים שלכם, זה הגופים הציבוריים. בדרך כלל אתה לא שולח גוף ציבורי, שנהנה גם הוא אגב בחזקת התקינות המינהלית, ואתה אומר לו: הרגולטור עליך לביצוע עבודתך שלך, הוא גוף ממשלתי. לא מוצא חן בעיניך? לך לבית משפט. זאת לא מציאות שאני כל כך מכיר. << דובר >> ניר גרסון: << דובר >> כן, אבל ראשית לא חייבים. הרי יש מנגנון יישוב סכסוכים. יודעים בתוך ממשלה איך לפתור. לא חייבים להגיע לבית משפט. הרי ייפתר קודם, אם נגיד טעינו, ויכפו עלינו במנגנון התוך ממשלתי אם אפשר לשנות את דעתנו, אז לא נגיע לבית משפט. דבר שני, לא כל הגופים הציבוריים הם חלק מהממשלה. יש תאגידים סטטוטוריים, ושמה דווקא בית המשפט אולי כן הערכאה המתאימה. מלכתחילה אנחנו מניחים שמול גופים ציבוריים לא נגיע - - - קיום הדין - - - לא מגיעים. באים בדברים. << דובר >> עמרי רחום טוויג: << דובר >> אז רק תוסיפו. ראש הרשות או בית משפט קבע - - - << דובר >> ראובן אידלמן: << דובר >> למעשה זה נכון גם אם זה לא יהיה כתוב. << דובר >> עמרי רחום טוויג: << דובר >> ככה אין לראש הרשות סמכות אפילו לחזור מהחלטות. << דובר >> ניר גרסון: << דובר >> לא, זה חוק הפרשנות. לגבי ראש הרשות אין צריך להעביר. << דובר >> ראובן אידלמן: << דובר >> למעשה זה נכון גם אם זה לא יהיה כתוב, כי ברור שבית המשפט יכול אם תוקפים את ההחלטה של הרשות, אז יש - - - האמת היא שאין הכרח בטקסט הזה. אני רוצה להתייחס ל"מטעמים מיוחדים שיפרט" - - - << דובר >> אייל שגיא: << דובר >> לפי סעיף 23, כל בתי החולים, האוניברסיטאות, יש הרבה גופים ציבוריים נוספים לפי הצו. הביטוי "גופים ציבוריים" הוא די הרבה יותר רחב ממה שצוין פה. << יור >> היו"ר שמחה רוטמן: << יור >> שנייה רגע, נמצא איתנו בזום, יוגב עזרא, חבר ועד המנהל למלחמה בספאם שביקש להתייחס. << דובר >> יוגב עזרא: << דובר >> שלום, דיברתם על הגדרות, ביקשתי להתייחס להגדרות. אני קופץ אחורה להגדרה של מאגר מידע. הגדרה של מאגר מידע היום בנוסח החוק שבתוקף אומרת שלא יקרא מאגר אוסף הקורא לאפשר מען בדרכי התקשרות שלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני אדם, שמותיהם הכלולים בו, ובלבד שבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף – לגבי אותם בני אדם. זה מה שיש היום בנוסח החוק שקיים היום והוא בתוקף. בהצעת החוק תיקון מס' 14, במקור מחקו את התוספת הזאת ואנחנו רצינו לברך על המחיקה, אבל באחד הדיונים הקודמים, בעצם הכניסו אותה חזרה, וכרגע בהצעת החוק שיש היום היא שוב קיימת חזרה. ובעצם גוף פרטי, חברה מסחרית שמחזיקה עלי שם, שם משפחה, כתובת, טלפון, דוא"ל, בעצם זה לא נחשב מאגר מידע. ואז לצורך העניין יש שתי בעיות או שתי דוגמאות מהחיים האישיים, אבל גם פונים אלינו לעמותה הרבה עם הבעיות האלה. אני לצורך העניין, קניתי משהו מאיזושהי חברה מסחרית בשנת 2005, עד היום החברה קיימת. קניתי, אז נתתי לה בשביל לקנות, נתתי לה שם, כתובת, שם משפחה, טלפון, דוא"ל, והיא שלחה לי את המוצר, הייתי מרוצה מהמוצר, הכול בסדר. פתאום 17 שנה אחר כך, בשנת 2022, לא היה לי שום קשר עם החברה, החברה שולחת לי פרסומת. שאלתי אותם, למה אתם שולחים לי פרסומת? הם ענו: אנחנו יכולים, אתה קנית אצלנו וכולי. אני שואל מראש, למה אתם מחזיקים את המידע עלי 17 שנים בלי שאני בכלל יודע שהחזקתם עלי מידע 17 שנים ולא נתתם לי הזדמנות לבקש למחוק את המידע מהמאגר שלכם? עכשיו בנוסח הקיים של החוק שבתוקף, יש את סעיף 17 משהו, שאומר שאם המאגר משמש לדיוור ישיר, אז אני יכול לפנות לבעל המאגר ולבקש ממנו למחוק את הפרטים שלי משם. אבל בנוסח שאתם רוצים עכשיו לתקן, זה הופך להיות בכלל לא מאגר מידע, לדוגמה, הם לא מחזיקים איזשהו מידע ביומטרי שלי, אבל מחזיקים פרטים כמו שם, כתובת, טלפון, דוא"ל וכל הדברים שהם כן מידע אישי שאני לא רוצה שהם יחזיקו. ועכשיו בעצם ביטלתם מהם את החובה בכלל שזה יהיה במאגר מידע. עכשיו אני בכלל לא יכול אפילו לבקש מהם שימחקו את המידע עלי, והם יהיו כמו ביטוח לאומי או רשות האוכלוסין שעד המוות שלי הם יחזיקו את המידע עלי. וגם ב-GDPR, אחד הסעיפים זה שלנשוא המידע – אני במקרה הזה – יש אפשרות לפנות לזה שמחזיק את המידע ולבקש למחוק אותו. אז בנוסח החוק הקיים, זה כאילו צומצם רק לאם זה משמש לדיוור ישיר, אבל בגלל שעכשיו אתם בעצם מחריגים שזה בכלל לא ייחשב במאגר מידע, אז נוסח החוק שיאושר, אם הוא יאושר כמו שהוא עכשיו, הם לא יהיו חייבים למחוק ואין לי אפילו סמכות לפנות אליהם ולבקש מהם למחוק את המידע, כי הוא כבר אפילו לא ייחשב מאגר מידע. למרות שזה מידע אישי עלי ואני רוצה שהוא יימחך, בטח בחלוף 17 שנים מאז שפניתי. << יור >> היו"ר שמחה רוטמן: << יור >> הנושא של הזכות להישכח בכלל ובמאגרי מידע של ספאם או של דיוור ישיר, זה קצת חורג כרגע מאיפה שאנחנו נמצאים. << דובר >> יוגב עזרא: << דובר >> לא, אבל אתם עכשיו בנוסח הזה, אתם קבעתם שזה לא ייחשב מאגר מידע בכלל. אז אני לא יכול בכלל לבקש להימחק. למרות שב-GDPR כן יש לי אפשרות כזאת לבקש להימחק. << יור >> היו"ר שמחה רוטמן: << יור >> יש לזה הוראות אחרות, אני לא חושב שהשאלה הזאת של הזכות להימחק או לא הזכות להימחק קשורה לאירוע הזה פה בחוק. << דובר >> ראובן אידלמן: << דובר >> אתה צודק אדוני. << דובר >> יוגב עזרא: << דובר >> ב-GDPR יש לי אפשרות לבקש להימחק. << יור >> היו"ר שמחה רוטמן: << יור >> זה נכון. ואני מאוד מקווה שאנחנו נדון בזכות להימחק ממאגרי מידע. << דובר >> ראובן אידלסון: << דובר >> זה תיקון 15. << דובר >> יוגב עזרא: << דובר >> כן, אבל פה אני אומר שיש מאגרי מידע עלי שלפי ההגדרות החדשות שלכם לא נקרא מאגר מידע, אז הוא לא נחשב מאגר מידע. << יור >> היו"ר שמחה רוטמן: << יור >> אבל יש חוק אחר בנושא הזה. יש לזה חוק ספציפי. << דובר >> ראובן אידלמן: << דובר >> חוק הספאם מאפשר וחוק התקשורת מאפשר. << דובר >> יוגב עזרא: << דובר >> אין שום חוק ספציפי. << יור >> היו"ר שמחה רוטמן: << יור >> אין שום חוק? << דובר >> יוגב עזרא: << דובר >> חוק הספאם אומר שאם - - - אני יכול לבקש - - - << דובר >> ראובן אידלמן: << דובר >> הוא מאפשר להפסיק לקבל הודעות. << דובר >> יוגב עזרא: << דובר >> אני יכול לבקש שיפסיקו לשלוח, הוא לא מאפשר לי למחוק את הפרטים עלי. חוק הגנת הפרטיות בנוסחו היום, הוא כן מאפשר לי למחוק את הפרטים עלי. בנוסח שאתם דנים עלי, הוא כבר אפילו לא מאפשר לי לבקש למחוק את הפרטים עלי. למרות שב-GDPR דווקא כן יש את האפשרות הזאת. אתם עושים את זה יותר גרוע ממה שיש את זה היום. << דובר >> ראובן אידלמן: << דובר >> זה לא מדויק. הוועדה לא עשתה שינוי בסופו של דבר בהגדרה הזאת של מאגר מידע. היא הותירה את ההגדרה הקיימת על כנה בעניין הזה שמוזכר כאן. לא נעשה כאן שינוי. << יור >> היו"ר שמחה רוטמן: << יור >> זה בדיוק מה שאמרתי. תודה. נמשיך. << דובר >> נעמה מנחמי: << דובר >> אנחנו ב-10 - - - לא, רצית להתייחס. << דובר >> ראובן אידלסון: << דובר >> עוד בעניין (ב2), יש כאן תוספת מוצעת של הוועדה להגיד שההחלטה על סירוב לרשום מאגר או השהיה, יהיה רק מטעמים מיוחדים שיפורטו. << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, דיברנו על הנושא של בית המשפט ועל הנושא של בין רשויות. מאחר ועיקר הקליינטים פה לעניין הרישום אלה גופים ציבוריים וסוחרי מידע, אז לא צריך טעמים מיוחדים. אתה מסרב לרשום, משהה את הרישום מטעמיך, זה בסדר גמור. מצד שני, אני אומר שבסופו של דבר ההוראה שאומרת שצריך ללכת לבית משפט וכאילו הופכת אתכם בעצם – כשמדובר ברשות ציבורית – לסוג של רגולטור שפסיקתו סופית. כלומר, אני לא יכול לחלוק אתכם או עליכם. גם אם אני יש לי ייעוץ משפטי עצמאי שאומר שמה שאני עושה הוא בסדר גמור משפטית, אני לא אומר שהוא בהכרח רע, אנחנו מכירים שיש כזה דבר נציבויות עצמאיות. << דובר >> ראובן אידלמן: << דובר >> גם הרשות להגנת הפרטיות נהנית ממעמד עצמאי שמעוגן בהחלטת ממשלה. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אבל יש הבדל בין מעמד שמעוגן בהחלטת ממשלה, לבין סיטואציה שבה שאני אומר: במחלוקת – אני לא מאמין בריכוזיות דווקא בהקשר הזה – בין היועץ המשפטי לממשלה לבין ראש הרשות, בעניין אופן שימוש מאגר מידע של משרד המשפטים, ראש הרשות מנצח. היועץ המשפטי לממשלה יצטרך להגיש בג"ץ או פנייה לבית משפט, כדי לעשות משהו שלפי דעתו חוקי. כי ראש הרשות הוא הגורם המחייב בהקשר הזה. אני לא אומר שזה רע בהכרח, אני לא אומר שזה טוב בהכרח, אני רק אומר שצריך לשים לב שזה מה שאנחנו עושים פה. << דובר >> עמית יוסוב עמיר: << דובר >> כמו שצוין קודם, יש הנחיה בנושא, יש מנגנון במחלוקות. << יור >> היו"ר שמחה רוטמן: << יור >> אבל הוא עצמאי. אתה לא יכול להכריע במחלוקות אם הוא עצמאי בשיקול הדעת. מנגנון הכרעה במחלוקות זה כשיש מחלוקת בין משרד האוצר למשרד לביטחון לאומי, או בין משרד הבריאות למשרד הרווחה. אם אני החלטתי שאתה עצמאי בשיקול הדעת, הוא גם לא יכול לקבל הוראה מהממשלה לכאורה, הוא לא יכול לקבל הוראה מראש הממשלה, הוא גם לא יכול לקבל הוראה מהיועץ המשפטי לממשלה. הוא עצמאי לחלוטין בשיקול הדעת שלו אם אנחנו בונים את המנגנון בצורה הזאת. ואז ממילא יכול להיווצר מצב שמאגר המתמחים של ייעוץ וחקיקה, אתה תחשוב שאסור להחזיק אותו, והיועצת המשפטית לממשלה תחשוב שמותר להחזיק אותו, ואתה מנצח. אולי צריך לתת לך את הכוח הזה, אולי לא, אני רק אומר שצריך להבין שזה מה שאנחנו עושים פה וזה משהו די משמעותי. << דובר >> עמית יוסוב עמיר: << דובר >> אני לא רואה פה הבדל בין שורה של מקרים אחרים. המנגנון הוא לאחר מחלוקות משפטיות. << יור >> היו"ר שמחה רוטמן: << יור >> אתה כפוף ליועצת המשפטית לממשלה. << דובר >> ראובן אידלמן: << דובר >> כן. << יור >> היו"ר שמחה רוטמן: << יור >> איפה זה כתוב? << דובר >> ראובן אידלסון: << דובר >> כמו כל גוף ברשות המבצעת. << יור >> היו"ר שמחה רוטמן: << יור >> ואם אני נותן לך עצמאות בשיקול הדעת שלך? << דובר >> ראובן אידלמן: << דובר >> לא, בהיבט המשפטי. עצמאות בשיקול הדעת זה דבר אחד. בהיבט המשפטי, הרשות להגנת הפרטיות, כמו כל גוף ממשלתי אחר, כפופה ליועצת המשפטית לממשלה, זה סוגיה שאיננה במחלוקת. שיקול הדעת יכול להיות שיקול הדעת באכיפה, יכול להיות דברים אחרים. אבל בעניינים משפטיים - - - << יור >> היו"ר שמחה רוטמן: << יור >> אז זה לא סמכות בידיים של ראש הרשות. << דובר >> ראובן אידלסון: << דובר >> אם הסוגיה היא משפטית, יכולה להיות מחלוקת משפטית. << יור >> היו"ר שמחה רוטמן: << יור >> אבל כל השאלות שאתה תצטרך להכריע בהן ברישום או לא רישום מאגר, אלה שאלות משפטיות. << דובר >> עמית יוסוב עמיר: << דובר >> אלה שאלות עובדתיות, איזה סוג מידע - - - << דובר >> ניר גרסון: << דובר >> אדוני, אבטחת מידע זו לא שאלה משפטית – מאובטח או לא מאובטח. אני לא חושב שליועצת המשפטית יהיה משהו וכולי – זאת שאלה טכנית, מקצועית. << דובר >> עמית יוסוב עמיר: << דובר >> צריך לעמוד על כך שחלק גדול מהגופים הציבוריים הם לא הממשלה. הסעיף הוא קודם כל לא חל רק על גופים ציבוריים, אבל גם הרבה גופים ציבוריים, חלק גדול מהגופים הציבוריים הם לא הממשלה. יש פה את נציגות המרכז לשלטון המקומי, יש מאות רשויות מקומיות, כל אחת מהן היא גוף ציבורי נפרד, הם לא כפופים ליועצת המשפטית לממשלה. << יור >> היו"ר שמחה רוטמן: << יור >> אני מזהה פה בעיה. יותר מזה, אנחנו יודעים שהגופים המועדים לפגוע בפרטיות האזרח הם דווקא גופים שהיועצת המשפטית לממשלה אחראית עליהם בדרך ישירה או עקיפה. לדוגמה, רשות האכיפה, הפרקליטות, כל דבר שקשור לנפגעי עבירה. יכול להיות שאני רוצה למנות סוג של נציב פרטיות ולתת לו סמכות. יכול להיות שזה הדבר הנכון. אני לא בא ועכשיו סתם - - - אבל הרבה מאוד מהחשודים הרגילים של פגיעה בפרטיות, הם אנשים שיש להם שיקול דעת עצמאי בהקשר הזה שהם ינצחו אותך, ראש הרשות. וזאת בעיה. בייחוד שזה ייצר את התוצאה של מה שנקרא – במקומות המועדים, אתה תקופל ותהיה חכם על חלשים בשלטון המקומי, בתי חולים, וכולי. זה חלק מהבעיה של או שאתה עצמאי או שאתה לא עצמאי. ואם אני מחליט בחקיקה לתת לך עצמאות בכל הנוגע לרישום מאגר, אז אתה לא כפוף ליועצת המשפטית לממשלה. אני לא יכול לייצר סיטואציה שהפרקליטות שהיא בעצם גוף של הייעוץ המשפטי לממשלה, יש לה מסלול עוקף לבחינת פרטיות בגלל שהיא אצל היועצת המשפטית לממשלה. זאת בעיה. זה אינהרנטי. אז אם אתה עצמאי, שוב זה קשור להגדרת הסמכות, אז אתה עצמאי בתחום של רישום מאגר מידע. אף אחד לא יכול, אלא בצו בית משפט לחייב אותך לרשום מאגר מידע. אני לא יכול לייצר מנגנון הכרעת סכסוכים ממשלתי בהקשר הזה. << דובר >> ראובן אידלמן: << דובר >> מה שאדוני אמר עכשיו זה הנוסח שעל השולחן, לא ביקשנו לשנות בעניין הזה מהנוסח הקיים בחוק. זה רלוונטי לדיון כיוון שבוועדה מצמצמת את זה לגופים - - - << יור >> היו"ר שמחה רוטמן: << יור >> רק לגופים ציבוריים. << דובר >> ראובן אידלמן: << דובר >> יכול להיות שלא צריך לעשות שום שינוי בעניין הזה, כי אין שינוי במהות של איך מטופלות בקשות רישום. << יור >> היו"ר שמחה רוטמן: << יור >> יש, בגלל שהרציונל שלי של לשחרר את כולם מחובת רישום ולהשאיר אותם רק על הגופים הציבוריים, היא מתוך הנחה שבמקרה של גופים ציבוריים יש שם לקונה; אחרת הייתי מבטל גם גופים ציבוריים, הייתי אומר שגם גופים ציבוריים אל תירשמו. הסיבה שאני רוצה רישום של גופים ציבוריים, זה כי אני יודע שגופים ציבוריים הם שור מועד. ואם אני לוקח את השור המועד - - - << דובר >> ראובן אידלמן: << דובר >> הנוסח הנוכחי אומר שכדי להתגבר על החלטה של הרשות בענייני רישום צריך לפנות לבית המשפט. אם אני מבין נכון, זה עולה בקנה אחד עם מה שמטריד את אדוני. << דובר >> גלעד סממה: << דובר >> הנוסח הנוכחי משרת את המטרה הזאת. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, לכן שאלתי איך יתנהל המנגנון. וכאשר אמרו לי שזה ילך בתוך הממשלה, בסופו של דבר לא לבית משפט אלא ליועצת המשפטית לממשלה – זאת בעיה עבורי. לכן כששאלתי וקיבלתי את התשובה הזאת, התחלתי לדאוג. << דובר >> גלעד סממה: << דובר >> אבל דווקא אם אדוני מבקש לחזק. << יור >> היו"ר שמחה רוטמן: << יור >> אני מסכים. בסדר, אבל זה בעניין מעמד הרשות. << דובר >> גלעד סממה: << דובר >> גם אם הוויכוח בסופו של דבר, כלומר, יצטרכו להניח את דעת הרשות גם בתוך ההליך הממשלתי. ויש לזה משמעות מאוד חיובית בדיוק לעניין. << יור >> היו"ר שמחה רוטמן: << יור >> היה לי חשוב להבין שזה האירוע. בסדר גמור. << דובר >> מירה סלומון: << דובר >> עצמאות שיקול הדעת של ראש הרשות להגנת הפרטיות חשובה וכבודה במקומה מונח, אבל ההבניה של שיקול הדעת הזה, בסעיף כאן, היא לא ברורה מספיק. "מטעמים מיוחדים שיפרט בהודעתו" – זה לא מספיק. << דובר >> נעמה מנחמי: << דובר >> לא, זה גם נמחק. הורדנו את זה. << דובר >> ראובן אידלמן: << דובר >> ההבניה היא בסעיף 10(א)(1). << יור >> היו"ר שמחה רוטמן: << יור >> ההבניה היא ב-10(א)(1). שם ההבניה. לכן הורדתי את הטעמים המיוחדים שנותן צ'ק פתוח. להפך, זה היה כל המוסיף גורע. הוא יוכל לסרב לכם רק אם המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה – שזה פחות רלוונטי לגוף שלטוני. וכן אם המידע האישי נתקבל, נצבר או נאסף בניגוד לחוק או בניגוד להוראות כל דין, שהוא מפקח על המידע שלכם בהוראות איסוף מידע פרטי. << דובר >> נעמה מנחמי: << דובר >> (ב3) "ראש הרשות ימחק רישומו של מאגר מידע מהמרשם, אם הודיע לו בעל השליטה במאגר שהמידע שבאותו מאגר בוער, ואימת הודעה בתצהיר; הוחזק מאגר מידע שלא בידי בעל השליטה במאגר המידע, תאומת ההודעה גם בתצהיר של המחזיק". רציתי להעלות את השאלה האם אפשר לעבור להצהרה במקום תצהיר, ואז לא צריך עורך דין ככל שאני יודעת? << דובר >> דלית בן ישראל: << דובר >> זה גם נדרש הרבה פעמים עם גורמים זרים. וזה משתרשר אחר כך לבקשה לגבי מחיקה על ידי מחזיק. ואז אתה פונה למייקרוסופט בחו"ל, מייקרוסופט בחו"ל לא תחתום על תצהיר. << דובר >> ענר רבינוביץ: << דובר >> את הבקשה הזו אפשר לדעתי להסיר, אני לא רואה שום הצדקה שמחזיק יצטרך גם למסור הצהרות. << דובר >> דלית בן ישראל: << דובר >> הוא צריך לאשר את זה לבעל המאגר. << דובר >> ענר רבינוביץ: << דובר >> הוא אחראי על זה, מה שהוא רוצה, שהוא יקבל מהמחזיק. אבל אין שום צורך שהמחזיק ימסור הצהרה או תצהיר לרשות. << דובר >> נעמה מנחמי: << דובר >> יש פה שני עניינים, אחד זה אם צריך את הסיפא "הוחזק מאגר מידע" וכולי עד "בעניין המחזיק", אתם חושבים שצריך את זה? << דובר >> ניר גרסון: << דובר >> אפשר לחשוב על זה. נחשוב על זה. צריך תצהיר אחד לפחות כי אנחנו יודעים מה ההבדל בין תצהיר להצהרה. אתם מעלים בעיות של מחזיק, שיהיה תצהיר אחד לפחות. << יור >> היו"ר שמחה רוטמן: << יור >> להוריד בכלל את התצהיר. << דובר >> ענר רבינוביץ: << דובר >> אתה צריך את בעל השליטה כי הוא גם זה ששלח את הרישום מלכתחילה. << יור >> היו"ר שמחה רוטמן: << יור >> צריך להוריד בכלל את הסיפא ולהשאיר את זה רק לבעל השליטה, שייתן תצהיר. אם הוא נותן תצהיר על בסיס זה שאושר לו על ידי המחזיק. << דובר >> דלית בן ישראל: << דובר >> גם ככה בעל השליטה מכוח תקנה 15 צריך לוודא מול המחזיק שאין יותר מידע אצל המחזיק בסוף ההתקשרות שלו. << דובר >> ראובן אידלמן: << דובר >> העניין פה הוא תצהיר בכל זאת - - - << יור >> היו"ר שמחה רוטמן: << יור >> תצהיר לעומת הצהרה, בסדר. למרות שאנחנו עוסקים ברשות ציבורית, בדרך כלל תחלופה של זה תעודת עובד ציבור זה מידע חסר משמעות לפי הכללים הרגילים. כשאנחנו עוסקים בסוחר מידע, זה תצהיר, בסדר. << דובר >> נעמה מנחמי: << דובר >> אפשר להשאיר. << יור >> היו"ר שמחה רוטמן: << יור >> אבל את הסיפא מורידים. << דובר >> דן אור-חוף: << דובר >> אולי הערה קטנה לגבי הסעיף הזה, הערה מחיי המעשה, מחיקת מאגר יכולה להיות לא רק מסיבה של מחיקת המידע בו, אלא בהרבה מקרים, כולל גם בגופים ציבוריים כמו בית חולים ואחרים, זה יכול ביעור של המאגר כתוצאה ממיזוג שלו עם מאגרים אחרים, כמו כן בשינויים מבניים, שינויים ארגוניים, תהליכי מיזוג ורכישה שקורים. ואז המידע לא נמחק, אבל את הרישום של המידע צריך למחוק כי הוא בעצם מתמזג למאגר רשום אחר. מה שאני מציע זה שכתוב שם "מידע שבאותו מאגר בוער", יהיה כתוב "לרבות בדרך של מיזוגו למאגר רשום אחר". << דובר >> ניר גרסון: << דובר >> זה לא רק מיזוגו ומחיקת וכולי, שלא יהיה כפל מקצועי. צריך לוודא שגם במיזוג חברות לא יישאר עותק. צריך לחשוב על הניסוח. << דובר >> לירון מאוטנר לוגסי: << דובר >> אם יש מיזוג, המאגר כמו שהיה קודם נפרד, בעצם מבוער, ויש מאגר חדש שאותו צריך לרשום. << דובר >> נעמה מנחמי: << דובר >> בואו נניח שיש שני מאגרים רשומים שמוזגו עכשיו, אז במקום רישום של שני מאגרים את צריכה רישום אחד. << דובר >> דן אור-חוף: << דובר >> זה לא בהכרח משנה את מערכות המידע. << דובר >> נעמה מנחמי: << דובר >> הוא בעצם אומר שהוא רוצה להודיע על הראשון שהוא כבר מוזג לתוך השני. << דובר >> ראובן אידלמן: << דובר >> אז המאגר הועבר. << דובר >> ענר רבינוביץ: << דובר >> או נרשם ברישום נפרד, ברישום אחר. << דובר >> ניר גרסון: << דובר >> אין לי התנגדות למהות, אבל צריך לדייק את הניסוח. << דובר >> נעמה מנחמי: << דובר >> כרגע נכתוב "או נרשם ברישום אחר", אבל אם יש נוסח אחר שאתם מעדיפים אז תעבירו. הגענו לנושא של הכותרת של האם זה אכן - - - סעיף 10, סמכויות ראש הרשות והאם זה ברישום מאגר או לא ברישום מאגר. סעיף (ג) נראה לי סעיף כללי שפחות מתאים לנושא של רישום דווקא, הוא משום מה נמצא באמצע ענייני רישום. סעיף (ד) הוא סעיף שלדעתי כבר לא צריך אותו לאור הפרקים הבאים שנגיע אליהם של פיקוח ואכיפה. וסעיף (ה) אני חושבת שנכון יותר להעביר אותו לאזור הפיקוח, כשנגיע אליו. << יור >> היו"ר שמחה רוטמן: << יור >> כמו בסעיף הרשות בהגדרתה - - - << דובר >> נעמה מנחמי: << דובר >> אם הייתי כותבת מחדש את הדברים, אז אולי הייתי לוקחת את סעיף (ג) קטן ושמה אותו ביחד עם הרשות, עם הקמת הרשות, תפקידי הרשות, אותו כשירות ראש הרשות שהשארנו אי שם בגלל שהוועדה לא רצתה להכניס אותו לתוך ההגדרות. אני אומרת את הדברים, אני עוד לא מציעה סעיף, אבל כן נכון לא לעשות את זה אגב הסעיף הזה ולהשאיר את הסעיף הזה כסעיף רישומי. << יור >> היו"ר שמחה רוטמן: << יור >> אמת. << דובר >> נעמה מנחמי: << דובר >> (ו) "הפר בעל שליטה במאגר מידע או מחזיק הוראות של חוק זה או התקנות לפיו, או לא מילא אחר דרישה שהפנה אליו ראש הרשות, רשאי ראש הרשות להתלות את תקפו של הרישום לתקופה שיקבע או לבטל את רישומו של מאגר המידע במרשם, ובלבד שקודם להתליה או לביטול ניתנה לבעל השליטה או למחזיק במאגר הזדמנות להשמיע את טענותיו. << דובר >> קריאה: << דובר >> מה המחזיק קשור כאן? << יור >> היו"ר שמחה רוטמן: << יור >> לא, המחזיק יכול להיות עכשיו. << דובר >> איה מרקוביץ: << דובר >> איך? מה אכפת לו שיהיה התליה של הרישום? איך הסנקציה הזאת משפיעה? למה אי מילוי של הוראה תגרום - - - << יור >> היו"ר שמחה רוטמן: << יור >> קודם כל אנחנו מדברים עכשיו על המאגרים הרשומים ומתלה את הרישום. אני לא רואה בעיה מיוחדת בסעיף הזה. מה הבעיה שאתם רואים בזה? << דובר >> איה מרקוביץ: << דובר >> הפר מחזיק במאגר הוראות של חוק או תקנות על פיו – אפשר להתלות את הרישום של המאגר, שזה בכלל שאלה שנוגעת לבעל השליטה ולא למחזיק. למה שציות לחוק או הפרתו מצד המחזיק ישפיעו על רישום של מאגר או התליתו? << יור >> היו"ר שמחה רוטמן: << יור >> כי כשאתה רושם מאגר, אתה רושם גם מי מחזיק במידע, כאילו שאתה מעביר את זה למחזיק. ולצורך העניין נניח שיש מאגר של משרד הרישוי שמוחזק על ידי חברה כלשהי שבא הרשם ועושה פיקוח על המאגר של משרד הרישוי, ואומר להם: חברים, העובדה שנתתם לחברת 'א.א.א. ובניו בע"מ' להחזיק את כל מאגר המידע על מחזיקי הרישיונות של מדינת ישראל, זה דבר מטורלל, הם עושים שם כל מיני דברים, ראינו שם חתולים מסתובבים חופשי. << דובר >> ראובן אידלסון: << דובר >> אין לנו הליך אכיפה בעניין מאגר רישיונות התליה של משרד התחבורה. << יור >> היו"ר שמחה רוטמן: << יור >> לא יודע למה בחרתי את הדוגמה הזאת. << דובר >> נעמה מנחמי: << דובר >> לא קיבל אישור במקרה? << יור >> היו"ר שמחה רוטמן: << יור >> והאמירה היא אם אתם לא מתקנים את ההפרה, אנחנו נבטל את האישור לרישום או את הרישום. ולרשות הרישוי יהיה אסור להחזיק את המאגר הזה. האם הם ישתמשו בזה כלפי רשויות ציבוריות? לא יודע, אני מקווה, לדעתי פחות מדי. בכל מקרה זו ודאי אמירה העובדה שאתם עצמכם לא מפירים, אבל העברתם את זה למחזיק שמפר את תקנות אבטחת המידע שלי, זו סיבה שאגיד לכם שאני לא אסכים לרישום המאגר. << דובר >> איה מרקוביץ: << דובר >> להבנתי אין פה בנוסח קשר ישיר בין הפרת הוראות שקשורות למידע שלגביו רוצים להתלות את הרישום או למאגר וכולי. ההתליה – אנחנו יודעים שיש עם המונח מאגר, אני יודעת שאנחנו לא רוצים לחזור לזה, אבל זאת יכולה להיות דוגמה למקרה שבו קשר קושר בין המאגר שהיא מבנה תיאורטי ולא מערכת מידע, המטרות הספציפיות, קשה לדעת איפה זה מתחיל ונגמר וכולי. הדיון כבר התקיים, אני סוגרת את הסוגריים. אבל במקרה הזה הפשוט, נגיד שהמחזיק לא נתן הודעה מתאימה לפי סעיף 11 לחוק לעובדים שלו; איך זה משפיע על המאגר שהוא צריך - - - << דובר >> עמרי רחום טוויג: << דובר >> זה צריך להיות פעולה, לפחות של המחזיק בכובעו כמחזיק ביחס למאגר הזה. כי המחזיק הוא NTT, יכול שהוא גם בעל שליטה במאגר אחר. << דובר >> איה מרקוביץ: << דובר >> אפילו מעבר לזה, אם המחזיק מפר את הוראות החוק, אפילו ביחס למידע שהמאגר שלו הוא הרלוונטי להפעלת הסנקציה בסעיף הזה. האחריות היא של בעל השליטה, לא של המחזיק, נכון? << דובר >> ראובן אידלסון: << דובר >> הסעיף הזה רלוונטי מאוד למשל באירוע אבטחת מידע או אבטחת דלף מידע. באה רשות ואומרת: יש לך המידע, והוא ממשיך לזרום החוצה, אתם צריכים לעשות א', ב', ג', ד'. ואם אנחנו רואים שהם לא עושים א', ב', ג', ד', והמידע ממשיך לזרום, והפרטיות של אזרחי ישראל נפגעת – יכולה להיות מופעלת סנקציה של התליית מאגר. זה יכול להיות רלוונטי מאוד למחזיק כי אולי הדלף הוא אצל המחזיק. זאת אומרת, שהסעיף יחול גם על סיטואציה שהמחזיק הוא זה שמפר את הדין ולא רק בעל המאגר. << דובר >> נעמה מנחמי: << דובר >> אבל למה - - - אתה צריך סעיף כזה באופן כללי. השאלה לא צריכה להיות אגב הרישום או לא רישום. << יור >> היו"ר שמחה רוטמן: << יור >> התלית מאגר רישום ואז מה? << דובר >> נעמה מנחמי: << דובר >> אתה צריך סעיף שבמקרים כאלה, במקרי חירום, יש לך אפשרות לסגור את ה"שאלטר". אבל זה לא נותן לך. << דובר >> ראובן אידלמן: << דובר >> המשמעות היא שאסור כי מתלים את הרישום, אז אסור לו לנהל או להחזיק את המאגר. זה הדין הנוכחי ואנחנו לא משנים ממנו. זאת המשמעות של התליית הרישום היום והיא נשארת ביחס לאותם מאגרים שכפופים לחובת הרישום, לכן זה נדרש. << יור >> היו"ר שמחה רוטמן: << יור >> גם אסור להפר את החוק והתקנות. אתה אומר: הפרת את החוק והתקנות, אז אבטל לך את הרישום ואז אתה תפר עוד סעיף בחוק. << דובר >> ראובן אידלמן: << דובר >> זאת סנקציה קיצונית. << יור >> היו"ר שמחה רוטמן: << יור >> לא, זה לא קיצוני, להפך, זה כלום בפיתה. << דובר >> ניר גרסון: << דובר >> אדוני, זה לא בדיוק כלום, מי שעבריין לגמרי, מאפיה, לא אכפת לו לא מזה ולא מזה. אבל יש לא מעט גופים שיש לגביהם הבדל בין שייקבע שהפרו הוראות מסוימות לבין להגיד שכל פעילותם במידע בלתי חוקית. << דובר >> עמרי רחום טוויג: << דובר >> אבל זה 8(א). 8(א) כבר נותן לכם את זה. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא מצליח להבין. אם אדם הפר את החוק והתקנות, תנקטו נגדו הליכים לפי הפרת החוק והתקנות. << דובר >> ניר גרסון: << דובר >> נגיד, מי שצריך לגשת למכרז ציבורי ויש לו - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל חוץ מסוחרי מידע, אתה מראש בגופים ציבוריים, אם הם מפרים את החוק ואת התקנות, אתה בבעיה מולם בכל מקרה. אבל התליית הרישום רק תוסיף עוד סעיף לחוק, מה העניין? אז הפרת את החוק והתקנות, ועכשיו גם הפרת גם את החוק שאסור לנהל את המאגר בלי רישום. מה ההבדל? אתה שולח לבן אדם הודעה לעירייה – בוא, בתוך הממשלה אתם אנשים מורכבים – לתאגיד עירוני, תאגיד סטטוטורי, אוקיי? פניתם ללשכת עורכי הדין ואמרתם להם: מאגר המידע שלכם לא תקין אתם מפרים את תקנות אבטחת מידע, ואתם עשיתם משהו לא בסדר. ואם אתם לא תתקנו את מיד, את ראש לשכת עורכי הדין אנחנו נטיל עליו ועל המנכ"ל שלו 300,000 בעיצומים כספיים בריבית והצמדה לפי חוק פסיקת ריבית והצמדה המעודכן. כל זה עשיתים. והוא אומר לכם: לא רוצה, כן רוצה, לא פועל מספיק מהר. עכשיו תגידו: אוקיי, עכשיו עצבנת אותי באמת. שללתי לך עכשיו את הזכות להחזיק את מאגר המידע כי התליתי לך את הרישיון. אז הוא אומר – אוקיי, ועכשיו מה? אז אני אטיל עליך בנוסף לעיצום על זה שאתה הפרת את תקנות אבטחת מידע, גם על עיצום על החזקת מידע במאגר ללא קיום חובת הרישום, וואלה. זה מה שיש לך, זה מה שעשית פה. בעיני זה מיותר. מה זה עושה? זה להיפך, הרי כל הסיבה שבגללה דרשתי את חובת הרישום זה כדי שכשאני "אגגל" בתוך המאגר שלכם, אגלה שפלוני אלמוני מחזיק. להפך, אם כבר היית אומר לכם, תוסיפו פה סנקציה. << דובר >> ניר גרסון: << דובר >> יש סנקציה אדוני. << יור >> היו"ר שמחה רוטמן: << יור >> תוסיפו פה סנקציה. << דובר >> ניר גרסון: << דובר >> אבל תהיה סנקציה על ניהול מאגר. << יור >> היו"ר שמחה רוטמן: << יור >> לא. תוסיפו פה סנקציה כמו חברה מפרת חוק. תוסיפו פה סנקציה: יהיה רשאי לאחר שהתרה לכתוב בפנקס כי המרשם זה וזה, הוא מפר את החוק. << דובר >> צחי שלום: << דובר >> במיוחד כשזה המחזיק. << דובר >> ניר גרסון: << דובר >> לא מדברים על המחזיק. << יור >> היו"ר שמחה רוטמן: << יור >> למחזיק או בעלים, מה אכפת לי, כולם. ואתה תוכל לבוא ולהגיד – תמחק אותי מהמאגר, אתה נותן לי פרס, כי כל הזמן הנודניקים האלו עם הזכות להישכח שלהם, פונים אלי כי אני גוף ציבורי, ואומרים לי: תמחק את המידע, תעדכן וכולי. בשביל שאני לא אהיה בפנקס אני מקבל פחות פניות. תרשום, ותרשום שאני מפר וכך תפתח אותי לתביעות ייצוגיות, ולתביעות אזרחיות ולכל זה. << דובר >> רחל ארידור הרשקוביץ: << דובר >> יש לזה שם, זה רגולציה דרך ביוש. << יור >> היו"ר שמחה רוטמן: << יור >> אתה בעצם אומר לי – התנהגת לא בסדר, אני מוריד לך את הביוש. זאת הסנקציה שלך. << דובר >> ניר גרסון: << דובר >> נשמח לכל סנקציה או סמכות נוספת, אבל בכל זאת יש הבדל, אולי הוא לא מספיק - - - << יור >> היו"ר שמחה רוטמן: << יור >> עכשיו הפתעת אותי, עד עכשיו חשבתי שאתם לא מחפשים סמכויות. << דובר >> ניר גרסון: << דובר >> עכשיו ברצינות, יש בכל זאת הבדל בין 8א רבתי שהוא כולל הוראה, אמירה, נורמטיבית של הרשם שפעולה מסוימת בתוך עיבוד המידע מפרה את החוק ובין אמירה שאסור לך בכלל לגעת במאגר. << יור >> היו"ר שמחה רוטמן: << יור >> מה ההבדל? אז אמרת. << דובר >> ניר גרסון: << דובר >> מבחינת חשיפה אזרחית, זה פותח לתובענות ייצוגיות פי כמה וכמה יותר גבוהה. << דובר >> צחי שלום: << דובר >> זה אותו דבר. << דובר >> ניר גרסון: << דובר >> לא, זה לא. אתה לא יכול לגשת למכרזים שדורשים ואת זה אנחנו רואים בפועל. לפעמים גופי ציבוריים או סוחרי מידע כן ניגשים בכל זאת. אם אתה לא רשום, לא תוכל לגשת למכרזים. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אם אתה רשום בתור מפר זה רלוונטי. אבל אם אתה לא רשום, אז איך אני יודע שאתה לא רשום. << דובר >> ניר גרסון: << דובר >> מה זאת אומרת? אתה לא רשום. אם הפעולה שלך טעונה רישום ואתה לא רשום, כל הפעילות שלך עבריינית, כולה. לא מאפיינים מסוימים. כל עיבוד מידע שאתה עושה הוא בלתי חוקי בעליל. << דובר >> צחי שלום: << דובר >> על המאגר הספציפי. << דובר >> ניר גרסון: << דובר >> בסדר. אבל - - - << דובר >> ראובן אידלמן: << דובר >> זה בא ביחד עם הסעיף שאומר מתי מאשרים רישום. מתי מאשרים רישום? כשהמאגר פועל כדין. אם גילינו וזה התגלה אגב הליך אכיפה, שמאגר לא פועל כדין, המשמעות היא שאנחנו יכולים להתלות את הרישום או בעצם - - - << יור >> היו"ר שמחה רוטמן: << יור >> ומה זה אומר? << דובר >> ראובן אידלמן: << דובר >> שהמאגר הוא לא חוקי ושאסור לנהל או להחזיק אותו לפי סעיף 10(ב2). << יור >> היו"ר שמחה רוטמן: << יור >> אבל הם כבר מפרים את החוק ואת התקנות, אחרת לא היית יכול לעשות להם כלום. אז הם מפרים חוק ותקנות ומה שאתה אומר להם זה "אם תפרו חוק ותקנות, אני אגיד לכם שאתם מפרים חוק ותקנות". << דובר >> ראובן אידלמן: << דובר >> ושאסור לכם לנהל או להחזיק את המאגר. זה מאוד משמעותי. << יור >> היו"ר שמחה רוטמן: << יור >> ואז מה? זה עוד קנס. אתם צריכים קופה קטנה? מה האירוע? << דובר >> ראובן אידלמן: << דובר >> לא, לא, זאת קביעה שכל זמן שממשיכים לנהל מידע במאגר, הם פועלים שלא כדין, זה מאוד משמעותי, בטח בגוף ציבורי. << דובר >> ניר גרסון: << דובר >> לא רק זה, בהקשר של הסעיף הספציפי, שהתרענו בפניהם לפי סעיף 8א רבתי אלא בכלל, זה להבנתי הניסוי הזה הרבה יותר חמור. גם מבחינה משפטית, גם מבחינת חשיפה לתביעות, גם מבחינת חיי המסחר והמעשה, זה הרבה יותר חמור. << דובר >> ראובן אידלמן: << דובר >> אדוני ראה לנכון להשאיר את חובת הרישום ביחס לגופים ציבוריים – אני אומר שלא תהיה משמעות לחובת הרישום בלי הסעיף הזה. זאת המשמעות של חובת הרישום, שברגע שגילנו שאתה מפר, מבטלים לך את הרישום. אי אפשר בלי זה, אחרת אין משמעות לחובת הרישום. זה חצי אחד שלו. אז אם הוועדה סבורה שיש ערך לחובת הרישום רק במגזר הזה, צריך לשמר את הסמכות הזו. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין מה שאתה אומר, אני רק אומר שבגוף ציבורי הנחת העבודה שאם אתה מודיע לו שהוא מפר חוק ותקנות, הוא מתקן אותם, אתה לא יכול לבוא ולהגיד לי שהוא מפר חוק ותקנות, אתה הודעת לו שהוא עושה את זה. הוא המשיך והמשיך להפר את החוק והתקנות, ואז אתה הודעות לו: עכשיו עוד יותר - - - << דובר_המשך >> ראובן אידלסון: << דובר_המשך >> כל הפעילות במאגר היא לא חוקית, שאסור לו להמשיך להפעיל את המאגר ואסור לו, כפי שצוין כאן קודם, אסור לו להמשיך לתת שירות לאזרחים. זה הכוח מול גופים ציבוריים. המשמעות היא - - - << דובר >> רחל ארידור הרשקוביץ: << דובר >> אם אני מבינה נכון, חובת הרישום מאפשרת ליצור איזשהו יקום מקביל של אכיפה מינהלית, שאני לא יודעת מתי תבחרו להגיד לו: הפרת, ואנחנו הולכים להפרות של פרק האכיפה המינהלית, ומתי תלכו להפרה של – אתם, אני מבטל לכם את הרישום. ויש לזה משמעויות מרחיקות לכת שטרם הבנתי אותם לאשורן. יש פה בעיה בעצם ההסתמכות על הרישום, זה מה שאני מנסה להגיד כל הזמן. צריך לעשות שינוי תפיסתי. ההפרות הן הפרות ויש רישום. אם אתם מתעקשים על הרישום, אז צריך לחשוב על ההפרות הספציפיות שבגינן אתם עושים הפרת רישום. << יור >> היו"ר שמחה רוטמן: << יור >> הנקודה ברורה. מירה? << דובר >> מירה סלומון: << דובר >> בהמשך למה שנאמר על ידי יושב-ראש הוועדה, וקצת על ידי נציגת המרכז לדמוקרטיה, ההיגיון המסדר הישן בעולם של לפני תיקון החקיקה הוא כזה שכל מה שלא נמצא במרשם הוא אסור, לא קיים, והפיקוח הוא בעיקר על ידי הרשות להגנת הפרטיות. ההיגיון המסדר בעולם החדש, לפחות עד כמה שאנחנו מבינים שכן השתתפנו בדיונים האלה, זה היגיון מסדר חדש במידה במובן זה שיש רק מגורמים מסוימים שבכלל חלה עליהם חובת רישום כך שמי שלא נרשם הוא כבר לא אוטומטית אמור להיות עבריין, אלא בכפוף לזה שבכלל חלה עליו חובת רישום. ומה שאומר יושב-ראש הוועדה הוא שיש את הציבור שהוא יחד עם הרשות להגנת הפרטיות, יכול לשמש כמסייע לפיקוח על הפעילות התקינה. וזה נכון לומר מה שנאמר כאן שבמובן זה שכלי האכיפה המינהליים שאתם מבקשים להוסיף בתיקון הזה – עוד נגיע אליהם, יש לנו עליהם הערות כמובן – אבל הם האכיפה. הרישום, אם אתה נמצא בפנים או לא נמצא בפנים, זה כבר לא כלי האכיפה היעיל ביותר שלכם כיוון שיש הרבה מאוד גופים שבכלל לא אמורים להיות ברישום. אם לעומת זאת, תהיה רובריקה כמו שיש ברשות התאגידים, יש חברה שהיא רשומה, יש תאגיד שהוא רשום, אבל הוא נמצא מפר וזה מובנה באדום, אז גם הציבור יכול לסייע לכם כי יש לכם את המרשם שהציבור חשוף. << דובר >> ניר גרסון: << דובר >> אי רישום זה המובנה באדום. << דובר >> מירה סלומון: << דובר >> אבל אי רישום זה לא קיים באדום, כי הציבור לא ידע. << יור >> היו"ר שמחה רוטמן: << יור >> הם יפרסמו את זה כרישום מותלה. זה עניין של איך הם יפרסמו. בסדר. רישום הוטלה בתאריך זה וזה עקב הליך הפרה. השתכנעתי, אתם צודקים. הרעיון מובן. << דובר_המשך >> מירה סלומון: << דובר_המשך >> אם זה הסתדר, גם ההיגיון המסדר שלהם – נניח. לעניין המחזיק, לא יכול להיות מצב שהפרה של המחזיק, שאני לא תמיד יכולה לשלוט בהפרה שלו, תביא לביטול או התליה של הרישום שלי. הרי המחזיק לא נרשם, הוא לא נרשם במאגר. והפעילות שלו תשליך על היכולת שלי להמשיך להישאר רשום. זה לא יכול להיות. << יור >> היו"ר שמחה רוטמן: << יור >> למה? כי רושמים רשום, סוג השירות שנותן המחזיק במאגר המידע לבעל השליטה בו. אני מזהה שאתם בשלטון המקומי נתתם לבנק אוצר השלטון המקומי - - - << דובר_המשך >> מירה סלומון: << דובר_המשך >> הוא כבר לא קיים, הוא ועד בתוך מרכנתיל. מרכנתיל מטפלת היום - - - << יור >> היו"ר שמחה רוטמן: << יור >> מצוין. גיליתי שנתתם להם כל מיני מידעים שאסור לכם לתת להם, לעשות לכם אחזקה או שנתתם להם והם עשו את זה בצורה לא תקינה. ואני מודיע לכם ולמחזיק: תשמעו, נעשית פעולת עיבוד לא תקינה במידע של אזרחי ישראל, של מרכז השלטון המקומי, שמרכז השלטון המקומי הוא בעל המאגר, והוא מעביר אותו לעיבוד. והוא דיווח לי על זה לפי סעיף 1(א) לפרטים שהוא מעביר, ואני אומר לו – אדוני היקר, המחזיק שלך מפר. ואני אומר למחזיק – דע לך, אתה מפר. ואם אתה תמשיך את ההפרה, אני אבטל את זה וזה. ואתם תוכלו לעשות אחד משני דברים: או לטפל בהפרה ואז לא תהיה התליה, או שתגידו לי – אוקיי, הבנו, הבנק הזה חסר אחריות, אנחנו נעביר את זה לאחזקה למישהו אחר, נעדכן אתכם ברישום שהעברנו את האחזקה למישהו אחר ונגמר האירוע. << דובר >> עמרי רחום טוויג: << דובר >> מאה אחוז, רק תוסיפו את האפשרות להפסיק את ההתקשרות עם המחזיק כפעולה מפצה. << דובר >> מירה סלומון: << דובר >> זה עדיין בחסר, נתת דוגמה שיש לה עדיין קשר מתמשך עם המחזיק. הקושי שלי הוא במקרים שבהם גורם אחד, תאגיד אחד, החזיק עבורי מידע, הוא זכה במכרז, סיים את תקופת ההתקשרות איתי, אני עכשיו עם מחזיק אחר. המחזיק המקורי שלי פועל בצורה לא תקינה, בשלהי - - << יור >> היו"ר שמחה רוטמן: << יור >> לא מחק את המידע בגלל ש - - - << דובר >> עמרי רחום טוויג: << דובר >> ואין לי יכולת לחפות עליו. << דובר >> מירה סלומון: << דובר >> - - ההתקשרות שלי. ואפילו במצב הזה, ואני על מעשיו ועל עוולותיו מקבלת דיווח שזה הרישום שלי. << דובר >> ניר גרסון: << דובר >> לא, זאת לא הפרשנות. << יור >> היו"ר שמחה רוטמן: << יור >> אתם תוכלו להגיד שאתם לא יכולים למלא את הדרישה, זה הכול. << דובר >> ניר גרסון: << דובר >> דבר שני, יש חובות מינימליות - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני חושב שהנקודה ברורה. אם צריך ניסוח שמאפשר את התיקון או את שעשה את אשר על ידו. בסדר. << דובר >> עמרי רחום טוויג: << דובר >> אלא אם כן בעל השליטה הפסיק את התקשרותו עם המחזיק. << דובר >> ראובן אידלסון: << דובר >> לא, אנחנו מתנגדים לתוספת כזאת. יש חובות פיקוח ברורות מאוד של בעל המאגר על המחזיק. << יור >> היו"ר שמחה רוטמן: << יור >> יש חובות פיקוח, אבל אם אין לך שליטה - - - << דובר >> ראובן אידלמן: << דובר >> זה לא משהו שצריך להעביר אותו בחקיקה. זאת טענה שיכולה לעלות בהליך ספציפי, וכמובן ניתן לזה את הדעת בהליך הספציפי. זה לא מצריך פטור בחקיקה. המחזיק הוא לא עיר מקלט. זאת נקודה רגישה מאוד. אנחנו לא מוכנים לזה. << דובר >> מירה סלומון: << דובר >> יש בנוסח שאומר שאם הפר המחזיק הוראות של החוק או התקנות או לא מילא דרישה שהופנתה אליו – אגב, אני בינתיים, פגישות שהופנו אליו, עוד עדיין לא דנו - - - << יור >> היו"ר שמחה רוטמן: << יור >> את לא רואה לפי איזה סעיף מפנים דרישה למחזיק, אבל בסדר. << דובר_המשך >> מירה סלומון: << דובר_המשך >> - - - מתבצעת, כי הרי ברור שיהיה בהמשך. אתם תעשו את הרישום שלנו. וזה לא תקין. << דובר >> ראובן אידלסון: << דובר >> זה תקין מאוד, כי בעל המאגר אחראי גם על מה שקורה אצל המחזיק. חד משמעית, בוודאי בעניין האבטחה. << דובר >> צחי שלום: << דובר >> צד - - - << דובר >> ראובן אידלמן: << דובר >> לא - - - אם המחזיק מפר וכתוצאה מזה דולף מידע ונפגעת הפרטיות של אזרחי ישראל, בעל המאגר משלם את המחיר. << דובר >> קריאות: << דובר >> - - - << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, שנייה, אין ספק שבעל המאגר משלם את המחיר. השאלה היא, האם בעל המאגר משלם את המחיר של חשיפה לתביעות? בוודאי שכן. האם הוא משלם את המחיר של סנקציות מינהליות? ודאי שכן, שום דבר פה לא נותן לו פטור. או האם הוא משלם את המחיר במובן של "אני שולל לך את הרישיון"? כאשר אני מחזיק ברכב, יש לי רישיון לרכב שבכלל מרשה לי להפעיל אותו וגם דורש שאני לא אתן לנהוג למישהו וכולי. ואם נעשית עבירה ברכב או שהרכב לא מוחזק במצב תקין, אני חשוף. הרכב שלי ביצע עבירה, חטפתי מצלמה, הבן אדם לא מוכן להעביר את הכתובת. את הקנס אני אשלם, אין בעיה. פגע במישהו אחר, הביטוח שלי ישלם. אני הרשתי לו לנהוג, בעיה שלי, לקחתי את מלוא האחריות, הכול בסדר. עכשיו נשאלת השאלה: בסדר, גיליתי שהשכן שלי שנתתי לו מדי פעם את המפתח של האוטו שינהג, גיליתי שהוא "טרבל מייקר" והוא דורס קשישות להנאתו, אז אני יותר לא נותן לו את הרכב. ואתה אומר – עכשיו אני שולל לך את הרישיון של הרכב, אפילו שאתה הראית לי שאתה לבן אדם הזה לא נותן יותר. מה אתה רוצה? << דובר >> ראובן אידלסון: << דובר >> אני יכול להגיד לפרוטוקול שאם הוא הפסיק את ההתקשרות עם אותו מחזיק סורר שמפר את החוק, הדבר הזה יילקח בחשבון בעת ההחלטה. זה במסגרת הפעלת שיקול דעת מינהלי, נראה לי מובן מאליו. << דובר >> ניר גרסון: << דובר >> זה נשמע מוזר שאתם מנסים להתחמק מאחריות. << דובר >> מירה סלומון: << דובר >> בפישוט שזה רק יילקח בחשבון, אנחנו מבקשים מהוועדה שיובהר בפירוש שזה לא צריך להילקח בחשבון, זו צריכה להיות טענת הגנה טובה. לא סתם יילקח בחשבון - - - << דובר >> ניר גרסון: << דובר >> לא, אבל מתי? הפסקתם רק אחרי שנגרם עשר פעמים נזק? אחרי שהתריעו בכם עשר פעמים או שבאמת עשיתם כל מה שאפשר כבר בפעם הראשונה? << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי, עשיתי מלא נזק – אם אני גוף ציבורי, יש לך זכות לשלול ממני את הבקשה לרישום מאגר חדש? לבוא ולהגיד: עצבנת אותי מספיק פעמים בעבר, אני לא נותן לך לרשום מאגר. איך זה עובד? מה זה קשור. << דובר >> ניר גרסון: << דובר >> יש בתקנה 15 – הרי מדובר בעיקר בהפרות אבטחה – לתקנות האבטחה את רשימת הפעולות שאתם צריכים לעשות בהתקשרות עם גורם חיצוני. מי שיעמוד בהם, כנראה - - - << דובר >> צחי שלום: << דובר >> לא, לא נכון, כי המחזיק יכול להפר את ההסכם מולי. << יור >> היו"ר שמחה רוטמן: << יור >> אתה אומר – כנראה שאתה תפעל בהתאם לחוק. << דובר >> ניר גרסון: << דובר >> סליחה, אבל אם לא עמדתם בהם - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא עמדתי, לא עמדתי - - - << דובר >> ראובן אידלמן: << דובר >> סנקציה על תקנות אבטחת מידע. << יור >> היו"ר שמחה רוטמן: << יור >> תטיל קנס. תחשוף אותי לתביעות. << דובר >> מירה סלומון: << דובר >> המשמעות - - - << יור >> היו"ר שמחה רוטמן: << יור >> עזוב שנייה, יש לי שאלה הכי פשוטה שיש – נמצאת פה נציגת השלטון המקומי, לכן טוב תמיד לקחת את הדוגמאות של עיריות, היא תמיד אוהבת שאני משתמש בהם – יש עירייה, הם נתנו לפלוני לנהל להם את המאגר, לארגון פשע שהשתמש במידע הזה, הוא זכה במכרז של העירייה בגלל שהוא בן דוד של אבו-פלוני השני שגם עמד בראשות העיר. והמשיך לתת להם את השירותים האלו תוך דליפת מידע שהגיעה לסינים, לאיראנים, לחמאס, לדאעש ולעוד כמה גופים ששכחנו, בסדר? הכי גרוע שיכול להיות, יותר גרוע מזה, לא יכול להיות מכל הבחינות שיש. והתרעתם, והגישו תביעות, ותביעות ייצוגיות ומה שאתם לא רוצים, את כל העיצומים שבעולם עשיתם. הכול לא בסדר. מכף רגל ועד ראש – אין בו מתום. ועכשיו הוא אומר לך: בסדר, הבנתי, חטפתי, שילמתי, הקמתי ועדה קרואה. עכשיו אני רוצה לרשום – מה לעשות, אני עדיין עירייה, אני עדיין חייב לבצע את תפקידי השלטוניים, ולצורך זה אני חייב לרשום מאגר מידע. עכשיו אתה תבוא ותגיד לו: אין לך רישיון לנהל מאגרי מידע יותר, אתה שור מועד. אוקיי, בסדר, אני לא אפנה זבל, אין בעיה. מה אתה רוצה ממני? << דובר >> מירה סלומון: << דובר >> לא אעניק הנחה מארנונה, כי אני לא יכול לרשום מאגר מידע. זו הנקודה. << דובר >> ניר גרסון: << דובר >> שמענו את השאלה, אני רוצה להגיב. א', אין דבר כזה, לא תוכל לנהל, את כרשות מקומית לא תוכל לנהל לנצח מאגר. אין, זה לא כתוב פה, מעולם לא היה כתוב. << יור >> היו"ר שמחה רוטמן: << יור >> השאלה אם שיקול הדעת בנושא הזה היא אצלך? התשובה היא לא. << דובר >> ניר גרסון: << דובר >> לא, רגע. דבר שני, תיארת אדוני מצב קיצוני מאוד. התשובה לזה היא שגם התליית רישום, זה לא סנקציה נוספת. יהיו סנקציות על כל הפרה. אבל גם התליית רישום היא מצב באמת קיצוני שבקיצוני, שאחרי כל המשוכות וכל הבדיקות ומתברר שאתם לא יכולים לנהל מאגר כי הנזק שאתם גורמים הוא קבוע, מתמשך, מזלזל בחובות בחוק וגורם נזק חמור, רק אז תהיה התליה. << דובר >> מירה סלומון: << דובר >> זה לעומת הנזק שנגרם מזה שאני לא יכול לנהל מאגר ולא לתת הנחה מארנונה לנזקקים. אני רשות מקומית, שוב - - - << דובר >> ניר גרסון: << דובר >> אז את מבקשת פטור מחובות מבחינה - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, תגרזן אותה על כל הפרה, כמה שאתה רוצה. << דובר >> מירה סלומון: << דובר >> אני מבקשת שתפעל בכלים אחרים כנגדי ולא תתלה לי את הרישום ולא תמנע ממני מלהחזיק מאגר. << דובר >> ראובן אידלמן: << דובר >> אין שום כוונה לעשות את מה שאדוני אמר, להגיד שיש גוף ציבורי שהוא לא מוסמך יותר לנהל מאגרי מידע. << יור >> היו"ר שמחה רוטמן: << יור >> לכן אני לא מבין למה אתם מתעקשים. << דובר >> ראובן אידלמן: << דובר >> אין מחלוקת בעניין הזה לגבי אופן הפעלת הסמכות הזאת, זה מאוד מאוד קיצוני. ואנחנו לא מתכוונים לעשות בזה שימוש תדיר, וגם הסיטואציה שמתוארת פה היא סיטואציה נקודתית שנצטרך לתת לה מענה במסגרת לוקאלית ספציפית - - - << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, שוב, הבעיה היא שאנחנו לוקחים את הסעיף בחוק שנבנה לעולם של רשם כרגולטור של השוק, והופכים אותו לסעיף שבגדול מרבית הקליינטים שלו וגם הסוחר מידע הוספנו בעקבות דיון שהיה פה, הם גופים ציבוריים. אני מבין ולהפך, אני אמרתי שאני רוצה שיהיה לו עצמאות שיקול דעת ברישום. הכול בסדר. אבל דווקא בגלל זה היכולת - - - ואני רוצה שהוא יגיד – וזה יחשוף את הרשות – אתם הפרתם, מתלה לכם את הרישום, רק מתלה, לא מוחק, כי אני לא רוצה שתמחקו, אני רוצה שיהיו לכם רובריקות במאגר שלכם, שיהיה כתוב: מאגרים שהותלו עקב הפרת חוק כך וכך. אני רוצה שתהיה לכם את האפשרות הזאת, אני חושב שזה חשוב, אני חושב שבשנייה שאתם עושים את זה, הרשות השלטונית תהיה בהפרת חובה חקוקה ולכן תחשוף את עצמה מאוד - - - וזאת תהיה סנקציה נפלאה. זה יהיה אכיפה באמצעות ביוש. זה יהיה הכול נפלא, זהב. אבל השאלה בסופו של דבר היא מתי רשות יכולה לבוא ולהגיד: חטאתי, עוויתי, פשעתי – חוזרת לשגרה. ומאחר ואנחנו עוסקים עכשיו במערכת יחסים בין רשויות, וגם האינטרס של הרשות השלטונית קיים, הוא לא האינטרס היחידי של "אל תקיים מאגר, תפשוט רגל מבחינתי, תלך לעזאזל". יש אזרחים שצריכים לקבל מענה. הדבר הזה צריך לקבל שאמירה שאם היא פועלת מעכשיו: הראה בעל מאגר כי חזר לפעול כדין, יחדש הרשם את הרישום. << דובר >> גלעד סממה: << דובר >> אדוני, ברור שאם הדברים חוזרים למסלולם, אנחנו לא נמצאים עכשיו ב - - - << יור >> היו"ר שמחה רוטמן: << יור >> אז תכתוב את זה, מה אכפת לך? << דובר >> גלעד סממה: << דובר >> מדברים כאן על כל מיני אפשרויות תיאורטיות, לא נתנו כאן באמת דוגמה אמיתית של מה שמטריד אותם, כי אין כזו. אין דוגמה כזו, אני יודע. לכן אני אומר: ברור שאם אנחנו נמצאים בסיטואציה כזו והדברים חוזרים למוטב, אז נגמר האירוע. מה, אנחנו מחפשים שלא יינתן שירות לאזרח? << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, את הנושא של ביטול הורדנו. את הנושא של התליה יש. מאחר ואמרנו שהרציונל הוא שאתם באים ואומרים: עכשיו למעשה אין לך רישיון, אין צורך בביטול. אתם צריכים מתלה, יכול להיות לאין סוף. אתם צריכים מתלה, אתם לא צריכים ביטול. ולהפך, אתם תפרסמו רישיון מותלה, ובשנייה שהרישיון הותלה, האחזקה של המידע והשימוש בו הוא אסור, הביטול לא נותן לכם כלום. אתם לא צריכים ביטול. << דובר >> ניר גרסון: << דובר >> לא בדיוק. קודם כל לא כל הגופים הם רשויות מקומיות או משרדי ממשלה שמנהלים מאגרים לפי דין. << יור >> היו"ר שמחה רוטמן: << יור >> אז תתלה ולעולם לא תחזיר. מה הסנקציה שזה מייצר לך? << דובר >> ניר גרסון: << דובר >> התליה נושאת בחובה איזה מצב שצריך להחזיר תוך זמן מותר. לפעמים הסיבות לא מאפשרות והמאגר לא כזה חיוני. יכול להיות תאגיד סטטוטורי שינהל מאגר לא חיוני בעליל. נבטל או שנבטל בתנאים. זה גם דברים שאנחנו עושים. << יור >> היו"ר שמחה רוטמן: << יור >> אוקיי. אני שואל שוב - - - << דובר >> גלעד סממה: << דובר >> אנחנו מדברים על מקרה קצה של הקצה. << יור >> היו"ר שמחה רוטמן: << יור >> אני מציע שתציעו נוסח שנותן מענה לחשש הזה. הבעיה הגדולה היא המחזיק. << דובר >> גלעד סממה: << דובר >> היום יש לנו סמכות הרבה יותר רחבה. אנחנו לא עושים כמעט שום - - - << יור >> היו"ר שמחה רוטמן: << יור >> הבעיה הגדולה היא המחזיק. וכאשר ההפרה היא של המחזיק, תנו לבן אדם את האפשרות להחליף מחזיק ולפעול. זאת הבעיה הגדולה. << דובר >> גלעד סממה: << דובר >> אם הדברים חוזרים – אין מניעה כזו. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור, מצוין. << דובר >> נעמה מנחמי: << דובר >> ב-(ז) מוצע למחוק את - - - << דובר >> יעקב ספיר: << דובר >> בנוגע לחובה של רשות מפרה של מאגר מסוים, אפשר אולי לעשות גם שתנהלו מאגר לאו דווקא של חברות רשומות שאז יקבלו את הסטטוס הזה אם זה יגיע, אלא של חברה שבכללי הגיעה לסיטואציה כזאת, כדי שזה יהיה יותר נגיש לציבור. << דובר >> נעמה מנחמי: << דובר >> מאגר מותלים? << דובר >> יעקב ספיר: << דובר >> כן. לכל הפחות שיכלול גם חברות פרטיות, לאו דווקא רשויות. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבל יש חובת רישום. אין פה - - - << דובר >> יעקב ספיר: << דובר >> כן, גם חברה שאין עליה חובת רישום. << יור >> היו"ר שמחה רוטמן: << יור >> ביטלנו את חובת הרישום. << דובר >> אייל שגיא: << דובר >> כמה התליות היו עד היום? שתיים. שתי התליות מאז - - << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אין צורך. תודה. << דובר >> יעקב ספיר: << דובר >> רגע, עוד שאלה: מבחינת המחזיק ובעל השליטה, מבחינת ה-GDPR, מה זה כולל כרגע? << דובר >> גלעד סממה: << דובר >> אלה דיונים שכבר עברנו אותם, אנחנו לא עכשיו ב - - - << יור >> היו"ר שמחה רוטמן: << יור >> רגע, למה אנחנו מוחקים את סעיף (ז), דין הרשם ודין מי שפועל מטעמו כדין עובד המדינה? << דובר >> עמית יוסוב עמיר: << דובר >> ממילא עובדי המדינה, אין צורך בהוראה. << יור >> היו"ר שמחה רוטמן: << יור >> אין מי שפועל מטעם - - - שאינו עובד מדינה? << דובר >> עמית יוסוב עמיר: << דובר >> יש הסדר לגבי עובדים שאינם עובדי מדינה. << יור >> היו"ר שמחה רוטמן: << יור >> ודינם לא כדין עובדי מדינה? << דובר >> ראובן אידלמן: << דובר >> נגיע אליו. << דובר >> עמית יוסוב עמיר: << דובר >> יש שם הסדר הרבה יותר מפורט מהוראה כללית. << דובר >> נעמה מנחמי: << דובר >> זה לגבי מה שאתם קוראים לו עובד חיצוני. עד כמה שהבנתי, הרשות נעזרת בעוד כוח אדם חוץ מאותם עובדים חיצוניים שמיועדים לפיקוח. << דובר >> ראובן אידלסון: << דובר >> הרשות מסתייעת הסתייעות טכנית – אפשר להיכנס לזה אם רוצים, זה לא חלק מתיקון 14. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אתם מורידים את מי שפועל מטעם או כעובד המדינה. << דובר >> נעמה מנחמי: << דובר >> למה זה לא חלק מתיקון 14? מכוח מה הם פועלים או לא מכוח פיקוח? << דובר >> ראובן אידלמן: << דובר >> אם הוועדה רוצה אפשר להיכנס לזה, למרות שאני לא בטוח שזה נעשה - - - << דובר >> עמית יוסוב עמיר: << דובר >> זהו, אנחנו כרגע בהוראה שבוודאי לא מבקשים יותר. אותם גורמים חיצוניים שמסייעים בוודאי אין כוונה שדינם יהיה כדין עובדי מדינה. לכן ההוראה הזאת כרגע כאן, פשוט לדעתנו היא לא נדרשת בחוק, והעמדה השנייה יש למחוק אותה. אנחנו לא מדלגים על כלום, יש הסדר מפורט על הסתייעות בגורמי חוץ. << יור >> היו"ר שמחה רוטמן: << יור >> הסתייעות או לא הסתייעות, בן אדם שפועל מטעם הרשם, האם חלים עליו הכללים, החוקים, ההגנות של עובד המדינה? האם כשאני מקלל אותו על זה שהוא מוחק לי את המאגר הזה, זה העלבת עובד ציבור? << דובר >> עמית יוסוב עמיר: << דובר >> יש סעיפים ספציפיים, עדכניים ומפורטים יותר שדנים בדיוק בזה. האמירה הכללית פה לא נדרשת לטעמנו ולכן הצענו לוותר עליה. << יור >> היו"ר שמחה רוטמן: << יור >> היא לא נדרשת כי מה שרשום בדברי ההסבר - - - << דובר >> ראובן אידלסון: << דובר >> אנחנו בדברים יותר ספציפיים. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, בסדר. << דובר >> נעמה מנחמי: << דובר >> שוב, בדברי ההסבר אתם כותבים ש"גם החוקרים והמפקחים שהממונה יכול להסמיך, צריכים להיות עובדי מדינה. לפיכך מוצע לבטל את ההוראה האמורה". << יור >> היו"ר שמחה רוטמן: << יור >> הנחת היסוד של הביטול היא שהחוקרים והמפקחים הם עובדי המדינה. << דובר >> ראובן אידלמן: << דובר >> נכון, חד משמעית. << דובר >> ניר גרסון: << דובר >> אלא אם כן יש הסדר ספציפי שתופר את הכול. << דובר >> נעמה מנחמי: << דובר >> לא, זה לא כתוב. << יור >> היו"ר שמחה רוטמן: << יור >> זה לא כתוב, אבל ה"אלא אם כן" הזה הוא בדיוק הבעיה. << דובר >> ראובן אידלמן: << דובר >> לא, לא, אין – המפקחים הם עובדי המדינה. חד משמעית. << דובר >> נעמה מנחמי: << דובר >> לא, יש את העובדים החיצוניים שהם לא עובדי המדינה. << יור >> היו"ר שמחה רוטמן: << יור >> הסעיף לא מדבר רק על חוקרים-מפקחים. הסעיף דיבר על מי שפועל מטעמו. פועל מטעמו זה מושג הרבה יותר רחב מאשר חוקרים ומפקחים. << דובר >> עמית יוסוב עמיר: << דובר >> נכון, והוא קובע שהוא דינו כדין עובד מדינה. << יור >> היו"ר שמחה רוטמן: << יור >> זה היום. << דובר >> עמית יוסוב עמיר: << דובר >> היום. << יור >> היו"ר שמחה רוטמן: << יור >> עכשיו אנחנו שוללים להם את הסטטוס הזה של עובד מדינה? << דובר >> עמית יוסוב עמיר: << דובר >> אין "להם". << יור >> היו"ר שמחה רוטמן: << יור >> יש אנשים היום שפועלים מטעמו של הרשם שהם לא עובדי מדינה? התשובה היא כן. אני היום מבטל להם - - - << דובר >> ראובן אידלמן: << דובר >> לשיטתנו לא רלוונטי, אבל אסביר: לרשות יש כמה זרועות אכיפה, יש אכיפה פלילית, אכיפה מינהלית ויש מה שנקרא פיקוח רוחב, שזו זרוע האכיפה הרכה של הרשות. הרשות שולחת שאלונים אחידים למגזרים שלמים, לדוגמה מגזר בתי האבות, מגזר בתי חולים פסיכיאטרים, מקבלת תשובות ובונה תמונת מצב מגזרית ונותנת הנחיות לתיקון ליקויים. בפורמט הזה הרשות מגיעה למאות גופים בשנה. ב-2022 – 400 גופים בעניין הזה. כיוון שיש פה אופרציה לוגיסטית משמעותית, הרשות מסתייעת בעניין הזה הסתייעות טכנית במשרדי רואי חשבון, שהם מה שנקרא "חברת השליחויות של הרשות". הם שולחים את השאלונים, הם אוספים את השאלונים, כשכל שיקול הדעת מופעל על ידי מי שמנהל את זה ברשות, מטעם הרשות. הם לא מקבלים שום החלטה במהות של הדבר הזה. אפילו בבקשת ארכה הכי קטנה – ההחלטות מתקבלות על ידי הרשות. זו הסתייעות טכנית ב-100%. הדבר הזה פועל מאז שנת 2018 באופן גלוי מאוד. אלה מאות גופים בשנה, זה ידוע מאוד במשק, בידיעת הייעוץ המשפטי לממשלה וכל גורמי בייעוץ המשפטי לממשלה שאמונים על הדבר הזה. אף אחד לא חשב שזה מצריך הסדרה ספציפית בחקיקה, ואין על זה הסדר ספציפי בתיקון 14. אמרתי שזה לא קשור לתיקון 14 במובן הזה שאנחנו לא מבקשים - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל רואה החשבון הזה, לפיקוח הרוחב הזה יש רואה חשבון שמפועל מטעם הרשם? << דובר_המשך >> ראובן אידלסון: << דובר_המשך >> בצורה של הסתייעות טכנית. << יור >> היו"ר שמחה רוטמן: << יור >> הסתייעות טכנית או לא הסתייעות טכנית, היום משרד רואי חשבון שפועל מטעם הרשם, המשרד הזה מקבל מידע ואוסף מידע; אם הוא מגלה את המידע הזה למישהו אחר, חלה עליו חוק העונשין לפי הכללים של מי שמוסר מידע, כלומר עובד ציבור שהעביר מידע? << דובר >> ראובן אידלמן: << דובר >> לא, כי הוא לא נקבע לפי חיקוק. כמו כל ספק במיקור חוץ של שירות המדינה. הוא לא שונה מספק אחר במיקור חוץ. << יור >> היו"ר שמחה רוטמן: << יור >> אבל היום החוק אומר שמי שפועל מטעמו של הרשם הוא עובד המדינה. מה שאומר שאני יכול עליו - - - עבירה של הפרת אמונים. אני יכול להגיש נגדו כתב אישום או לא יכול להגיש נגדו כתב אישום? התשובה היא על פניו שכן, כדינו כדין עובד המדינה. ואם הוא פועל מטעמו של הרשם, אני יכול להגיש עליו כתב אישום על הפרת אמונים או על גילוי בידי עובד מדינה או על שימוש לרעה בכוח המשרה, ככל שהוא עשה את זה. נכון שאתם אמרתם לו לעשות "טכני", אבל הוא פעל וחרג מסמכותו ולא רק עשה "טכני", אלא אישר ארכה בעצמו. אתה יודע מה? לא אישר ארכה בעצמו, אלא נכנס לחצרים ופעל בחריגה מסמכות. היום דינו כדין עובד המדינה ואני יכול להפעיל עליו סנקציות של עובד המדינה במידה כזו או אחרת. אני לא יודע איך זה יפעל, זה קצת עקום. אני לא יודע מי אישר את זה. אתה יודע שפה בוועדה זה שהיועץ המשפטי אישר משהו זה לא אוטומטית, לא תמיד, אומר שזה בסדר. << דובר >> ראובן אידלמן: << דובר >> אני אומר שמבחינתנו זה לא משהו שנעשה במחשכים. זה עבר את כל הפרוצדורות. << יור >> היו"ר שמחה רוטמן: << יור >> חס ושלום לעניין מחשכים. אחת הבעיות הגדולות היא שהרבה מאוד דברים שנעשים בצורה לא תקינה על ידי היועץ המשפטי לממשלה נעשים בריש גלי, זה הבעיה. במקרה הזה ספציפית, יש לי הוראת חוק שאומרת שדינו כדין עובד המדינה. ואם הוא פועל שלא כדין, לכאורה יכול להיות מצב של הפרת אמונים, של גילוי בידי עובד המדינה. יכול להיות פה סיטואציה של שוחד. מה קורה אם אני נותן לרואה חשבון, אני אומר לו – עזוב אותי מהביקורת שלך, אני לוקח אותך כריטיינר – זה שוחד? << דובר >> ראובן אידלמן: << דובר >> לא סברנו שהסעיף הזה נועד לחול על הסיטואציה הזאת. משרדי רואי החשבון האלה הם כמו כל ספק מיקור חוץ של ממשלת ישראל בין אלף ואחד הקשרים אחרים. << יור >> היו"ר שמחה רוטמן: << יור >> אבל היום החוק אומר - - - << דובר >> ראובן אידלמן: << דובר >> זה סעיף שקיים היום בחוק. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אני שואל פרשנות – יושבים פה אנשי משרד המשפטים ייעוץ וחקיקה? אתם רוצים שאזמין לדיון הבא איש פלילי של הפרקליטות? אני שואל שאלה מאוד פשוטה: האם כאשר מגיע אלי לביקורת במגזר בתי האבות, מגיע אלי משרד רואי חשבון שמחזיק תעודה שהוא פועל מטעם הרשות להגנת הפרטיות, ומתחיל לשאול שאלות קצת יותר מדי קשות ואני אומר לו – נשמה, קח צ'ק, תעשה לי ריטיינר, תבדוק את מצב הרעפים אצלי, 5,000 שקל, רק תרד ממני כי יש לי פה מאגר מידע נורא נחמד. הוא לוקח את הצ'ק והולך לדרכו שמח וטוב לב ומפסיק לשגע לי את השכל. כתוצאה מהדבר הזה האם אני יכול להעמיד אותו לדין על שוחד כדין עובד הציבור או עובד המדינה שלקח כסף לטובת משהו שקשור איכשהו לתפקידו או לסמכותו, כן או לא? היום לפי החוק על פניו כן. אני מבטל את הסעיף הזה, על פניו לא. לא יודע, כי הוא לא מפעיל סמכות שלטונית, והוא לא מיקור חוץ ולא זה וזה, ולא דינו כדין עובד המדינה. אם הוא עשה את העבודה שלו "מעאפן", האם חלה עליו חובת תום הלב המוגברת של עובדי מדינה? יש לזה אלף השלכות. אתם רוצים שאני אבטל את זה, כולל רטרו, אם אני עכשיו תביעה מתנהלת על הנושא הזה, לא יודע. אני מנסה להבין איך אתם רואים את האנשים האלו. יש נהלים לגביהם? הם חלים עליהם? מה זה עובד במיקור חוץ? יש לזה השלכות. אם הייתם אומרים לי: אנחנו לא משתמשים בכלל בגורמים שפועלים מטעמנו, אז הקבוצה הזאת הייתה קבוצה ריקה, אבל היא לא קבוצה ריקה. << דובר >> עמית יוסוב עמיר: << דובר >> כל משרד ממשלתי שאני נתקלתי בו, יש לו פעולות כאלה ואחרות שנעשות באמצעות מיקור חוץ בצורות שונות. יש דין כללי בנושא בחוק העונשין שמתייחס לעובד ציבור כשההגדרות שם נותנות מענה באופן כללי לסוגיות האלה. ההוראה הספציפית פה שמופיעה בחוק הגנת הפרטיות, יוצרת איזשהו דין ספציפי שלא נראה לנו שהוא דרוש לעניין. אין עכשיו ייחודיות במיקור חוץ שמפעילה דווקא הרשות להגנת הפרטיות ממיקור חוץ של הרבה מאוד משרדי ממשלה וגופים ציבוריים אחרים. ולכן אנחנו לא חושבים שנדרש עכשיו דווקא לעניין פעילות מסוימת של הרשות להגנת הפרטיות, שוב, חוץ מפעילות שבהמשך יש סעיפים מסוימים שמפורטים שנועדו להסדיר אותם. חוץ מהפעילות הזאת, הסתייעות של הרשות להגנת הפרטיות במיקור חוץ, ככל רשות אחרת, יש דין כללי שחל עליה. לא חשבנו שנכון להותיר הוראה בחוק שיצרה דין ספציפי דווקא לגביה. אין פה איזה עניין מיוחד. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבקש הבהרה לגבי זה לדיון הבא. אגיד לכם למה, אני רואה שהסתייעות בגורמי חוץ, אני בדרך כלל מברך מאוד על הדבר הזה. אבל כשיש פה אלמנטים שבסופו של דבר אלו יהיו הגורמים שיגידו לכם – פה תתמקדו או פה לא תתמקדו, בסופו של דבר, גם אם בעקיפין זה כן איזושהי סמכות שלטונית. זאת אומרת שאם משרד רואי החשבון מוציא לכם אמירה "הכול תקין" אז ככל הנראה בזה תם הטקס. אחרת לא הייתם לוקחים רואה חשבון, הייתם לוקחים נער שליחויות. << דובר >> ראובן אידלסון: << דובר >> לא, הם לא קובעים בשום צורה איפה הרשות הולכת לאכוף. << דובר >> ניר גרסון: << דובר >> מבחינת יכולת - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא חקירת יכולת. << דובר >> נעמה מנחמי: << דובר >> אבל יש להם 400, מטפל בזה בן אדם אחד, יש לו 400 פיקוחים בשנה. עד כמה שאני מבינה בפיקוחי הרוחב האלה אתה גם מעלה הרבה מאוד מסמכים כמו מסמך ניהול מצלמות אבטחה ומסמך ניהול מאגר ועוד מיני מסמכים. כנראה מדובר באלפי ניירות או אלפי דפים בשנה, אני בספק אם בן אדם אחד קורא אלפי מסמכים בשנה. מישהו ממקד לו ככל הנראה את הבעיות. ככל שיש איזשהו מיקוד, אני לא בטוחה שאפשר להגיד שזה נעדר כל שיקול דעת. זאת לא מכונה. << יור >> היו"ר שמחה רוטמן: << יור >> אין בעיה. בבקשה העבירו לי רשימה של ביקורות המשך שעשיתם על כאלו שרואה החשבון אמר שהכול תקין, ועל כאלו שאמרתם שהרואה חשבון שם דגל אדום ואז תגידו לי כמה בזה עשיתם פיקוח וכמה לא, ואז תגידו לי גם שזה לא ממקד. אחסוך לכם את בקשת המידע הזאת כי אתם יודעים שאני צודק, נכון? אני מוכן לקבל, אני מוכן לקרוא הרבה מסמכים. << דובר >> ראובן אידלמן: << דובר >> נמצא כאן מי שמרכז את הנושא הזה ברשות. אם הוועדה רוצה לשמוע עוד כמה דברים בעניין, היא תוכל להרחיב. << יור >> היו"ר שמחה רוטמן: << יור >> אולי לדיון הבא. הנושא הזה של הסתייעות בגורמי חוץ, אני חושב שכדאי לראות את הנהלים תעבירו לוועדה כדי שאני אבין מה זה אומר. זה קורה במקומות אחרים. זאת תהיה הכנה טובה לדיון של המפקחים החיצוניים, לא מפקחים חיצוניים, ששם כן יש סמכויות שלטוניות. << דובר >> ראובן אידלמן: << דובר >> זה משהו אחר. << יור >> היו"ר שמחה רוטמן: << יור >> זה משהו אחר, אבל בסופו של דבר יש הרבה - - - << דובר >> נעמה מנחמי: << דובר >> לגבי הבודקים החיצוניים בעמותות, הסעיף כן מתייחס לדינו של בודק חיצוני - - - כל עובד המבצע בדיקות מטעמו של אותו בודק חיצוני בעמותות, לפי סעיף זה כדין עובדי המדינה לעניין הוראות הנוגעות לעובדי הציבור בחוק העונשין. << דובר >> ראובן אידלמן: << דובר >> זה לא אותו סעיף. << יור >> היו"ר שמחה רוטמן: << יור >> ודאי שזה לא אותו סעיף. << דובר >> נעמה מנחמי: << דובר >> זה לא אותו סעיף, ברור. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אני אומר שוב, כבוגר רשם העמותות מבפנים ומבחוץ, הקטע הזה - - - היו פה דיונים גדולים מאוד על הפגיעה בזכויות כאשר בית כלא פרטי, אם היו קצת יותר מבינים כמה פגיעה מתקיימת כאשר מעבירים עמותה לביקורת עומק אצל רואה חשבון פרטי ומה ההשלכות של זה, יכול להיות שגם את זה היו מבטלים. שם הסמכויות השלטוניות הם הרבה יותר גדולות. למרות שזה הסתייעות ולמרות שכל החלטה על נטילת סמכות על - - - מתבצעת על ידי עובד, זה פי אלף יותר עם שיקול דעת מאשר סוהר בכלא מבחינת מה שיש לו ומבחינת הפיקוח השיפוטי האפשרי על זה ומבחינת חזקת התקינות המינהלית. לכן אני אומר: לאט, לאט עם הדברים האלו. אני בדרך כלל מאוד אוהב מיקורי חוץ וכולי, אבל צריך פה שמירת עין צופיה. << דובר >> ראובן אידלמן: << דובר >> נוכל להרחיב על זה בדיון הבא. << יור >> היו"ר שמחה רוטמן: << יור >> נרחיב על זה וכולי בדיון הבא. מה עוד יש לנו? << דובר >> נעמה מנחמי: << דובר >> אני מעדיפה לנסות לסיים במהירות את 11 ו-12 שעוסקים ממש ברישום, 10א הוא כזה חבק חריג. חובת מבקש המידע 11 פנייה לאדם לקבלת מידע אישי לשם עיבודו בו במאגר מידע תלווה בהודעה שיצוינו בה – (1) אם חלה על אותו אדם חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו"; אפשר להציע גם את מהי תוצאת אי ההסכמה אם הוועדה תרצה. << יור >> היו"ר שמחה רוטמן: << יור >> זה קצת כמו איום. זה לא איום, זו הבטחה. << דובר >> נעמה מנחמי: << דובר >> לא, כי אם אתה לא מסכים, אז עדיין אנחנו חייבים לתת לך את השירות. לפעמים אנשים לא מבינים שבין אם הם יסכימו ובין אם לא יסכימו, הם עדיין יקבלו את השירות. << דובר >> עמרי רחום טוויג: << דובר >> מתי? באיזה נסיבות? << יור >> היו"ר שמחה רוטמן: << יור >> באיסוף מידע ציבורי? << דובר >> עמרי רחום טוויג: << דובר >> באיסוף מידע ציבורי הוא לפי סמכות חוקית, הוא לא לפי הסכמה. רשויות ציבוריות לא אוספות מידע על בסיס הסמכות. << דובר >> נעמה מנחמי: << דובר >> לא נכון, קופת חולים יכולה להחתים אותך על הסכמה למחקר ואתה צריך לדעת שגם אם אתה לא תחתום הסכמה למחקר הזה, אז לא יקרה לך כלום. << יור >> היו"ר שמחה רוטמן: << יור >> יותר מזה, אני יכול לבוא ולהגיד: אדוני, אם תמסור לי את המידע הזה והזה, אני נותן לך כרטיס חכם ואתה תוכל לגשת למידע מהבית. אם לא תמסור, עדיין יש לך זכות לגשת למידע, רק תדע לך ששעות הקבלה אצלנו זה בין 12:00 בלילה ל-01:00 בבוקר, בימים שלישי או חמישי בחודש זוגי. יכול להיות שזה יגרום לי לשקול בהתאם ללו"ז שלי למסור את המידע או לא למסור את המידע, אבל שאדע מה זה אומר שלא מסרתי. זה לא מפריע. (2) "המטרה אשר לשמה מבוקש המידע ונחיצותו למטרה"; << דובר >> עמרי רחום טוויג: << דובר >> מה זה נחיצותו למטרה? יש דרישה לעבד מידע למטרות שלשמן הוא נמסר. נחיצות המטרה זו חובה שלא קיימת. למה זה נכנס פתאום לחובת יידוע? באיזה הקשר? << יור >> היו"ר שמחה רוטמן: << יור >> מסכים. (2) "המטרה אשר לשמה מבוקש המידע, שמו של בעל השליטה במאגר המידע ודרכי ההתקשרות עמו; (3) למי יימסר המידע ומטרות המסירה; (4) קיומה של זכות עיון במידע לפי סעיף 13 לחוק וזכות לבקש תיקון מידע לפי סעיף 14 לחוק". << דובר >> נעמה מנחמי: << דובר >> זאת הצעה כדי להתאים לתקנות הגישור. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור. << דובר >> ענר רבינוביץ: << דובר >> רק נבהיר, ב-GDPR, למי יימסר המידע, ב-GDPR מותר שזה יהיה קטגוריות של נמענים ולא שמית כל - - - אני חושב שעדיף שזה יהיה במפורש, כי אחרת תתאפשר פרשנות. << דובר >> עמרי רחום טוויג: << דובר >> בסדר, הוא מציע חידוד. << יור >> היו"ר שמחה רוטמן: << יור >> איך זה כתוב בעד אישור, גם ככה? << דובר >> עמית יוסוב עמיר: << דובר >> לא. תקנות הגישור מכניסות דרגה נוספת של חובת יידוע שבכלל לא מוצע להכניס פה כרגע, של הודעה על העברת מידע לצד שלישי. אנחנו כרגע בחובה הקיימת - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל לא שינינו. << דובר >> עמית יוסוב עמיר: << דובר >> לא שינינו. << יור >> היו"ר שמחה רוטמן: << יור >> אז לא נשנה. בסדר. אנחנו יודעים איך זה מתפרש בפועל. << דובר >> ראובן אידלמן: << דובר >> בפועל מתארים קטגוריות של - - - << יור >> היו"ר שמחה רוטמן: << יור >> מצוין, לא כדאי לשנות. << דובר >> נעמה מנחמי: << דובר >> מרשם מאגרי מידע 12 (א) "ראש הרשות ינהל מרשם מאגרי מידע אשר יהיה פתוח לעיונו של הציבור". אפשר עכשיו להוסיף חיפוש נגיש, לשיקול הוועדה. (ב) "מרשם יכיל את הפרטים לרישום מאגר המידע כאמור בסעיף 9. (ג) על אף הוראות סעיפים קטנים (א) ו-(ב), במאגר של רשות בטחון, הפרטים המפורטים בסעיף 9(ב)(3) ו-(3א), (4), ו-(5) לא יהיו פתוחים לעיונו של הציבור". רוב התיקונים הם תיקונים טכניים, רק הסיפור של הנגישות, לשיקולכם. << יור >> היו"ר שמחה רוטמן: << יור >> מה זה הנגישות? למה הכוונה? << דובר >> נעמה מנחמי: << דובר >> חשבתי שאם כבר יש מרשם, אז שהציבור יוכל לחפש בו גם. << דובר >> גלעד סממה: << דובר >> מקובל. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור. יאפשר חיפוש בפרטיו. הנגיש הזה מפנה אותנו קצת לחובה הכללית של הנגשת מידע. << דובר >> גלעד סממה: << דובר >> זה לא הנגשת אנשים עם מוגבלויות. << יור >> היו"ר שמחה רוטמן: << יור >> אתם חייבים את זה בכל מקרה. << דובר >> נעמה מנחמי: << דובר >> ויאפשר חיפוש בפרטיו – אוקיי. << יור >> היו"ר שמחה רוטמן: << יור >> אפשר חיפוש בפרטיו, בלי המילה נגיש. לא שאנחנו נגד נגישות, פשוט יש חוק אחר. << דובר >> איה מרקוביץ: << דובר >> אני יודעת שרצנו לסעיף 12, אבל נחזור רגע לסעיף 11 רק כדי להבהיר. אני בטוחה שרבים או כולם מהיושבים סביב השולחן יודעים שזה לא אחד לאחד לחובה ב-GDPR, ותהיתי למה אנחנו עושים את הסטייה במקרה הזה, כי בעצם החובה לתת הודעה חלה לפי הנוסח של הסעיף הקיים. כשפונים לאדם לקבל מידע אישי, מה קורה כשאנחנו מקבלים את המידע מגורם אחר? אין חובה - - - << יור >> היו"ר שמחה רוטמן: << יור >> עוד אין חובה לבקש, אין חובה מה תכללי בבקשה כשאת לא מדברת עם אדם. << דובר >> איה מרקוביץ: << דובר >> אז אני לא אדע שמישהו קיבל את המידע שלי, לא היה שום דרך לדעת. ואם אתה רוצה לשים את זה בצד, אז זאת שאלה של בעל שליטה ומחזיק. זאת אומרת שאם בעצם הפנייה נעשית על ידי המחזיק בעבור בעל השליטה במאגר? החובה חלה על המחזיק - - - << דובר >> דלית בן ישראל: << דובר >> זה הובהר במסמך הבהרות של הרשות לגבי סעיף 11, מתי חובה חלה על מחזיקים בכלל. ובגדול זה כשיש מטרה נוספת. << דובר >> איה מרקוביץ: << דובר >> זה לא פנייה לאדם, זה פנייה לאדם על ידי בעל השליטה או החובה חלה על בעל השליטה, אני לא יודעת איך בדיוק לנסח את זה. יש בעיה בלהתייחס לזה כאילו – פנייה לאדם ו - - -לא ברור אל מי זה. << דובר >> עמרי רחום טוויג: << דובר >> פנייה לאדם מטעם בעל השליטה. << יור >> היו"ר שמחה רוטמן: << יור >> כל מי שמבקש מידע אישי לשם עיבודו. מה אכפת לי מי הוא? << דובר >> ניר גרסון: << דובר >> במאגר מידע. כן. << דובר >> איה מרקוביץ: << דובר >> אכפת לי בגלל שהתוכן של ההודעה הוא המטרות, למי זה יימסר. אני לא יודעת, אני המחזיק. << דובר >> עמרי רחום טוויג: << דובר >> אל תפני. << יור >> היו"ר שמחה רוטמן: << יור >> אז אל תפני. << דובר >> ענר רבינוביץ: << דובר >> לשם עיבודו במאגר מידע אסור - - - << יור >> היו"ר שמחה רוטמן: << יור >> אל תפני לאדם לקבל ממנו מידע אישי, אם את לא יכולה למסור לו את המידע הזה. << דובר >> דלית בן ישראל: << דובר >> לפעמים זה המחזיק. אם את מרכז שירות טלפוני ואת עכשיו פונה לאנשים. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר. אם את פונה לבן אדם לקבל ממנו מידע אישי לשם עיבודו, תדאגי לדעת את הדברים האלה. אם את לא יודעת את הדברים האלה, את בבעיה. << דובר >> ענר רבינוביץ: << דובר >> אז זו כן חובה שהיא בעצם יותר נוקשה מזו בGDPR- שמוטלת שם רק על ה"קונטרולר". << דובר >> איה מרקוביץ: << דובר >> על מי שבאמת נושא בחובה. << יור >> היו"ר שמחה רוטמן: << יור >> מי פונה שם? << דובר >> ענר רבינוביץ: << דובר >> שם זה לא לפי הפנייה. זאת חובת יידוע כ"קונטרולר" אני מחויב ליידע את נושא המידע. << יור >> היו"ר שמחה רוטמן: << יור >> כן, את זה יש בגישור. << דובר >> עמרי רחום טוויג: << דובר >> ב-GDPR הסנקציה - - - << יור >> היו"ר שמחה רוטמן: << יור >> האם יש סיטואציה לפי ה-GDPR שבן אדם יפנה אלי לקבל מידע אישי ולא ימסור לי את המידע הזה? << דובר >> עמרי רחום טוויג: << דובר >> כן. מי שיחוב בהפרה בגין הדבר הזה הוא ה"קונטרולר". זו המשמעות. << דובר >> עמית יוסוב עמיר: << דובר >> אנחנו לא בהפרה, זו הוראה קיימת בחוק. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, לא משנה, בסדר גמור. על 12 דיברנו. << דובר >> נעמה מנחמי: << דובר >> כן. << יור >> היו"ר שמחה רוטמן: << יור >> אני רוצה שנסיים. נסיים ליום זה. התקדמנו יפה בסך הכול. על מועד הישיבה הבאה תבוא הודעה בעזרת ה'. תודה רבה לכולם. ישיבה זו נעולה. << סיום >> הישיבה ננעלה בשעה 15:44. << סיום >>