פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



2
ועדת החוקה, חוק ומשפט
04/06/2024


מושב שני

פרוטוקול מס' 334
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, כ"ז באייר התשפ"ד (04 ביוני 2024), שעה 9:05

סדר היום:
 << הצח >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022 << הצח >> 
הכנה לקריאה שנייה ושלישית

נכחו:
חברי הוועדה: 
שמחה רוטמן – היו"ר
טלי גוטליב

מוזמנים: 
	גלעד סממה
	–
	עו"ד, ראש הרשות להגנת הפרטיות

	ראובן אידלמן
	–
	עו"ד, היועץ המשפטי, הרשות להגנת הפרטיות

	ניר גרסון
	–
	הרשות להגנת הפרטיות

	נעמה גורני לר
	–
	עו"ד, המחלקה המשפטית, הרשות להגנת הפרטיות

	אפרת מנדל
	–
	עו"ד, הרשות להגנת הפרטיות

	דן אור-חוף
	–
	עו"ד, חבר המועצה להגנת הפרטיות

	נועה גבע
	–
	עו"ד, המועצה להגנת הפרטיות

	ד"ר תמר קלהורה
	–
	ממונה, ייעוץ וחקיקה, אזרחי, משרד המשפטים

	עמית יוסוב עמיר
	–
	עו"ד, ייעוץ וחקיקה, משרד המשפטים

	דין ליבנה
	–
	היועץ המשפטי, ועדת הבחירות המרכזית

	יורם ביטון
	–
	מנהל אבטחת מידע וממונה על הגנת הפרטיות, המוסד לביטוח לאומי

	מירה סלומון
	–
	עו"ד, ראש מינהל משפט וכנסת, מרכז השלטון המקומי

	רחל ארידור הרשקוביץ
	–
	חוקרת, המכון הישראלי לדמוקרטיה

	שחף קצלניק
	–
	עו"ד, יועץ משפטי, התאחדות התעשיינים

	עדי הירשקורן קליין
	–
	עו"ד, הממונה על הגנת הפרטיות, אל על

	נועה דיאמונד
	–
	עו"ד, מנחת הקליניקה לפרטיות, אוניברסיטת תל אביב

	דן חי
	–
	יו"ר המרכז לחקר המידע, D.P.I. Group

	גל עזורי
	–
	המרכז לחקר המידע, D.P.I. Group

	אייל שגיא
	–
	עו"ד, משרד עמר, רייטר, ז'אן ושות'

	ד"ר עמרי רחום טוויג
	–
	עו"ד, גוגל ישראל

	דלית בן-ישראל
	–
	עו"ד, נשיץ, ברנדס, אמיר ושות'

	ענר רבינוביץ׳
	–
	מנכ"ל פרייבסי טים

	איה מרקביץ'
	–
	חברת פרייבסי טים

	גיא זומר
	–
	מייסד עמותת תמנון



ייעוץ משפטי: 
נעמה מנחמי

מנהל הוועדה:
איל קאופמן

רישום פרלמנטרי:
אהובה שרון, חבר תרגומים


רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. יתכנו אי-דיוקים והשמטות.

<< נושא >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496 << נושא >> 


 << יור >> היו"ר שמחה רוטמן: << יור >> 

בוקר טוב. אנחנו דנים בהצעת חוק הגנת הפרטיות (תיקון מס' 14).

גברתי היועצת המשפטית, בבקשה.

 << דובר >> נעמה מנחמי: << דובר >> 

למי שעוקב, היום אנחנו בדיון מספר 15. אנחנו חוזרים לשני נושאים שכבר דיברנו עליהם. האחד הוא הנושא של מפלגות, של החלת סמכויות יושב-ראש ועדת הבחירות על הבחירות לרשויות המקומיות שנדון בדיון הקודם אבל בעקבות בקשות של הוועדה עשינו שינויים נוספים. הנושא השני הוא שני תיקונים של סמכויות האכיפה שגם הם בעקבות הערות הוועדה בדיון הקודם.

נתחיל מהמפלגות. 

 << אורח >> דין ליבנה: << אורח >> 

בוקר טוב. אני כאן בעם השנייה בעקבות שיעורי בית. בישיבות הקודמות החליטה הוועדה להחיל את ההגנה שניתנת למפלגות בבחירות לכנסת גם על מתמודדים בבחירות ברשויות המקומיות כאשר בעקבות הערות הוועדה בישיבה הקודמת הוחלט כי ההגנה האוטומטית תחול בבחירות הכלליות לכל הרשויות המקומיות ולעומת זאת בבחירות שנערכות מעת לעת בשל פטירה, התפטרות או בנסיבות אחרות שעושים בחירות שלא במחזור הקבוע, יהיה אופט אין, כלומר, מתמודד יוכל לבקש את הגנת יושב-ראש ועדת הבחירות והיא לא תהיה אוטומטית. נתבקשנו לנסח את הדבר הזה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

יש לנו שלושה תנאים. אמרנו ש"מפקח או חוקר לא יפעיל סמכות הנתונה לו לפי סעיפים 23י(א)(4), 23יב" והוספנו את "23יד(א)(2) ו-(3)" שעוסקים בתפיסת חפץ וצו חיפוש וחדירה לחומר מחשב, וככל שיהיה לנו את צו הפסקת עיבוד נכניס כאן גם את צו הפסקת עיבוד. זה מוסכם ומובן.

בדיון הקודם דובר גם על סוגיית הפתיחה בחקירה ושם הבנתי שהגענו להסדר, ואני אשמח שתאמרו זאת לפרוטוקול, שההסדרים יהיו דומים למה שנוהגת המשטרה. למשטרה למיטב ידיעתי אין הוראה – ואם אני טועה, דין יתקן אותי – שאוסרת עליה לפתוח בחקירה בתקופת בחירות, בטח לא הוראה סטטוטורית בחוק, אבל כן יש איזשהו נוהל, הוראת התנהלות, מנהג, לא יודע באיזה סטטוס זה מוסדר, שאומר שעושים את זה בשיח, בהתייעצות עם יושב-ראש ועדת הבחירות לפני פתיחה בחקירה. יש משהו כזה?

 << אורח >> דין ליבנה: << אורח >> 

זה לא בהתייעצות עם יושב-ראש ועדת הבחירות. יושב-ראש ועדת הבחירות אינו ממונה על רשות האכיפה אבל זה בידיעתו ובתיאום. יש רגישות מיוחדת.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה מוסדר באיזושהי פקודת מט"ר או משהו או שזאת פשוט פרקטיקה?

 << אורח >> דין ליבנה: << אורח >> 

זאת פרקטיקה. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

מכאן קריאתי שלוחה לנסות לבקש שזה כן יוסדר באיזושהי פקודת מט"ר או בהנחיית פרקליט המדינה במובן הזה. משרד המשפטים, לתשומת ליבכם. אני כן חושב שבוודאי נושאים שקשורים לחקירה פלילית, הפרסום של פרקטיקות לא כתובות כאלה, שבמקרה הזה מבורכות, אני חושב שהן טובות ונכונות אלא שכדאי שהוא יהיה מוסדר יותר. אני מבקש שתדאגו לזה אבל ככל שיש הבנה שכשם שהמשטרה נוהגת בפתיחה בחקירה, כך תנהג גם הרשות להגנת הפרטיות, אני לא אעמוד על זה אבל אני אשמח שתאמרו את זה לפרוטוקול. 

 << אורח >> ראובן אידלמן: << אורח >> 

כפי שדין אמר, לא הכול מוסדר בנהלים פורמליים בעניין הזה, אבל מבחינתנו מקובל עלינו שמה שחל על המשטרה יחול גם על הרשות בהקשר הזה, גם הנחיות כאלה ואחרות שיש והצורך להתייעץ בפרקליט המדינה במקרים האלה. אנחנו מקבלים את זה שגם אם הרשות פותחת בחקירה, כפי שהמשטרה נוהגת נכון שגם הרשות תנהג כך. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בסעיף (ב) לא הכנסנו עוד שינויים. נכון?

 << דובר >> נעמה מנחמי: << דובר >> 

לא. אין עוד שינויים. רק בסעיף (א).

 << יור >> היו"ר שמחה רוטמן: << יור >> 

השלב הבא הוא הניסוח - - -

 << דובר >> נעמה מנחמי: << דובר >> 

הסעיף שעוסק בסמכויות בבחירות לרשות מקומית.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אם כן, נעבור על זה. יש לנו את סעיף 23יח.

 << דובר >> נעמה מנחמי: << דובר >> 

עוד נראה איפה הוא ממוקם. נפרט סעיפים של כל הצעת החוק.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

(1) ראש הרשות, מפקח או חוקר, לפי העניין, לא יפעילו סמכות הנתונה להם, כמפורט להלן בתקופת בחירות כלליות לכל המועצות. בסעיף זה, "סמכות", בתקופת בחירות כלליות לכל המועצות לעניין אמגר מידע אשר מתמודד בבחירות הוא בעל השליטה בו, אלא באישור יושב-ראש ועדת הבחירות האזורית.

(1) זה אותו דבר, זה קופי פייסט מסעיף 23יז(א). 

סמכות לפי סעיפים 23י(א)(4), 23יב או 23יד(א)(2).

גם כאן יהיה צו הפסקת עיבוד.

(2) הטלת עיצום כספי, מסירת התראה מינהלית ומסירת הודעה על האפשרות להגיש כתב התחייבות ולהפקיד עירבון, לפי סימנים א', ב' או ג' לפרק בתקופת בחירות, בשדל הפרת הוראה מההוראות לפי חוק זה, המנויות בסעיף 23כג, הנוגעת למאגר מידע אשר מתמודד בבחירות הוא בעל השליטה בו, ושבוצעה בידיו או בידי מי שמחזיק במאגר מידע כאמור מטעמו.

 << אורח >> דין ליבנה: << אורח >> 

נוסחת האיזון מתי ניתן אישור ומתי לא ניתן אישור. כמו בכנסת. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

קבענו שזה יושב-ראש ועדת הבחירות האזורית ולא יושב-ראש ועדת הבחירות המרכזית.

 << דובר >> נעמה מנחמי: << דובר >> 

נכון. דיברנו על זה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

סעיף (ב) הוא קופי פייסט.

(2) יושב ראש ועדת הבחירות האזורית לא ייתן אישור כאמור בסעיף קטן (א) אם מצא כי הפעלת הסמכות כאמור בו תפגע באופן מהותי ביכולתו של המתמודד בבחירות הנוגע בדבר להתמודד בבחירות או לנהל את הקשר עם ציבור הבוחרים, וכי עוצמת הפגיעה הצפויה כאמור עולה על הסיכון לפגיעה בפרטיות ועל הסיכון לפגיעה באינטרס הציבורי העומד בבסיס הפעלת הסמכות. יושב ראש ועדת הבחירות האזורית רשאי להתנות אישור כאמור בסעיף קטן (א) בתנאים.

(3) בטרם יינתן אישור לפי סעיף קטן (א), יבקש יושב-ראש ועדת הבחירות האזורית את עמדת המתמודד בבחירות הנוגע בדבר, אלא אם כן מצא שלא ניתן, בנסיבות העניין, לבקש את עמדתו, מטעמי דחיפות או כי יהיה בכך לסכל את מטרת הפעלת הסמכות המבוקשת. נסיבות העניין וטעמי הדחיפות יפורטו בהחלטת היושב-ראש.

שוב קופי פייסט.

את סעיף (ד) ו–(ה) הקראנו בדיון הקודם ועכשיו אנחנו צריכים להתייחס רק לסעיף X שבין סעיף (ה) לסעיף (ו).

(X)	החליטה הרשות להפעיל סמכות כלפי מתמודד בבחירות שנערכות ביום שאינו יום הבחירות הכלליות לרשויות המקומיות בנוגע למאגר מידע שהמתמודד בבחירות הוא בעל השליטה בו, רשאי הוא לבקש שיושב ראש ועדת בחירות אזורית יקבע כי הרשות לא תפעיל את הסמכות כאמורה, בתקופת הבחירות לרשות אם מצא כי התקיים האמור בסעיף קטן (ב), או להתנות את הפעלת הסמכות בתנאים. על בקשה והחלטה כאמור יחולו הוראות סעיף זה, בשינויים המתחייבים.

זה ה-אופט אין למקרה של בחירות נקודתיות. 

 << אורח >> דין ליבנה: << אורח >> 

נכון. למעשה הוא צריך לפנות ליושב-ראש ועדת הבחירות ולבקש שיגן עליו.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

והוספנו את ההגדרה בסעיף (ו): ""בחירות כלליות לרשויות" – בחירות כלליות לכל המועצות שמתקיימות לפי סעיף 4 לחוק הרשויות המקומיות (בחירות)".

"יושב ראש ועדת בחירות אזורית" – 

 << אורח >> דין ליבנה: << אורח >> 

זו בקשה נוספת של הוועדה בנוגע לסמכות מקומית. אם יש לך למשל מפלגה שמתמודדת בכמה רשויות מקומיות, הסמכות המקומית תהיה בירושלים.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

נכון. אמרנו שאם המתמודד בבחירות יתמודד בבחירות לרשויות המקומיות באמצעות אזורי שיפוט שונים, יושב-ראש ועדת הבחירות האזורית שהוא שופט מכהן בבית המשפט המחוזי בירושלים, שזה בעצם אומר שכמעט כל פעם שמדובר בהפעלת סמכות על מפלגה, זה יהיה בירושלים.

 << אורח >> דין ליבנה: << אורח >> 

מפלגה ארצית שמתמודדת.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

 זה יהיה בדרך כלל בירושלים. מתמודדים על ראשות עיר, זה יהיה תמיד מקומי. רשימות, זה תלוי בשאלה מטעם מי הן פועלות.
 
"מתמודד בבחירות" – אחד מאלה:

(1) מתחילת תקופת הבחירות הכלליות לרשויות ועד יום הגשת הרשימות.

(1) מפלגה כהגדרתה בחוק הרשויות המקומיות (בחירות).

(2) סיעה של מועצה יוצאת, כמשמעותה בסעיף 25 לחוק הרשויות המקומיות (בחירות).

(3) מי שזכאי לפי החלופה שבפסקה (1) להגדרת נציג רשימת מועמדים שבסעיף 16(א)(1) לחוק הרשויות המקומיות (בחירות), לקבל מידע פנקס, והמידע נמסר לו לפי סעיף 16(ג) לחוק האמור.

זה מי שמצהיר על כוונתו להתמודד?

 << אורח >> דין ליבנה: << אורח >> 

כן. כפי שאמרנו בישיבה הקודמת, בניגוד לכנסת - לכנסת רק מפלגות יכולות להתמודד – ברשויות המקומיות יש לך כמה שחקנים שיכולים להתמודד ואחד מהם אלה קבוצות בוחרים. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

מה ההבדל בין (ד) ל-(ג)?

 << אורח >> דין ליבנה: << אורח >> 

מועצות אזוריות וראשי מועצות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

(4) מי שזכאי לפי סעיף 5ב(א)(1) לחוק המועצות האזוריות (בחירת ראש המועצה), התשמ"ח-1958, לקבל מידע פנקס, והמידע נמסר לו לפי הסעיף האמור.

איך אנחנו מתמודדים עם סוגיית האזור? ביום הבחירות הכלליות מתנהלות בחירות במקביל ביהודה ושומרון. הן מתנהלות מכוח התקנון שהוא קופי פייסט. איך אנחנו מחילים את זה? זה יתוקן בתקנות.

 << אורח >> דין ליבנה: << אורח >> 

זה יתוקן.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני מדבר מבחינת ההגדרות. ההגדרות שלהם, אני לא יכול בתקנון – זה בכל מקרה לא אני עושה אלא האלוף יעשה את זה – להטיל מגבלה על הסמכות של ראש הרשות להגנת הפרטיות לפתוח בחקירה או לנקוט הליכים. צריך כאן או הפניה או מנגנון או אמירה כללית על בחירות באזור או בתיקון לחוק. איך אתה עושה את זה? 

 << אורח >> דין ליבנה: << אורח >> 

איך שאנחנו עושים את זה בבחירות לכנסת ובבחירות לרשויות המקומיות. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בבחירות לכנסת אין לך בעיה במקרה הזה כי הבחירות לכנסת לא מוסדרות בתקנון. אני אומר מבחינת הפרסונות המוגנות. 

 << אורח >> דין ליבנה: << אורח >> 

חוק דרכי תעמולה למשל כן מעוגן בתקנון. החלתו מעוגנת בתקנון. אותו הדבר כנראה נעשה כאן. מיד לאחר שיחוקק החוק נפנה ליועץ המשפטי באיו"ש.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל היועץ המשפטי באיו"ש לא יכול בתקנון להגביל את סמכותה של הרשות להגנת הפרטיות לפתוח בחקירה.

 << אורח >> דין ליבנה: << אורח >> 

הסמכות של ראש הרשות להגנת הפרטיות לגבי האזור תעוגן בתקנון. הוא ימונה גם לפי התקנון.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא, לא. 

 << אורח >> דין ליבנה: << אורח >> 

זה מה שקורה היום.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא. היום רוצה הרשות להגנת הפרטיות לעשות ביקורת על אדם שגר ביהודה ושומרון. למיטב הבנתי היא מוסמכת לא מכוח התקנון. 

 << אורח >> ראובן אידלמן: << אורח >> 

זאת שאלה נכבדה, מכוח מה נעשה הליך אכיפה בעניין הזה. שוב, אני לא יודע אם אנחנו צריכים עכשיו אבל חוק הגנת הפרטיות לא חל כפי שהוא.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל יש לו פרסונלי והפרסונות, אזרחי מדינת ישראל, הוא חל עליהם. כאן אני נותן אקסמפשן לבן אדם שהסיבה שאני נותן לו אקסמפשן היא כי הוא נציג בבחירות. אני כן חושב שאפשר לשים כאן איזשהו קולב ולומר או בבחירות דומות המתנהלות באזור או משהו כזה. כי אחרת כפי שיוגדר בתחיקת הביטחון. צריך לחשוב איך עושים את זה.

 << אורח >> דין ליבנה: << אורח >> 

אני יכול לומר לך שבנוגע לחיקוקים אחרים שנוגעים לבחירות, למשל חוק דרכי תעמולה, עשינו אותו דבר. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

דין, אני מבין את התשובה שלך אבל הסיבה היחידה שאתה בכלל עושה רגולציית בחירות ביהודה ושומרון היא מכוח התקנון. זאת אומרת, התקנון מעניק לך את הסמכות והתקנון מגביל לך את הסמכות או מגדיר לך את הסמכות. במקרה הזה הסמכות שלהם לא נובעת מהתקנון. לכן התקנון לא יוכל להגביל את הסמכות שלהם, ככל שיש להם. אני לא דן כרגע בשאלה. התקנון ביהודה ושומרון לא יוכל להגביל את הסמכות שלהם ולהכניס הגדרות.

זאת בעיה ניסוחית. תחשבו עליה ותציעו פתרון. זה ניסוחי. אני לא רואה כאן משהו מהותי כי כולנו מסכימים שמשתתפים בבחירות ומפלגות בישראל זכאיות לזה. צריך כאן לחשוב איך ניסוחית רשימת מועמדים או מועמד לראשות מועצה אזורית ביהודה ושומרון שמחזיק בסופו של דבר מידע על אזרחי מדינת ישראל ויש לי אינטרס שתגנו ויש לי אינטרס שתעשו פיקוח, יהיו לו את אותן הגנות. צריך למצוא לזה את הפתרון. אפשר לומר מי שזכאי לקבל רשימות מועמדים לפי דין אחר או משהו כזה. זה אומר לעשות את הקולב. תחשבו על הניסוח, תתייעצו על זה אבל לדעתי זה יפתור את הבעיה.

 << אורח >> דין ליבנה: << אורח >> 

נבדוק את זה גם מול היועץ המשפטי באיו"ש.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

(2) החל מיום הגשת רשימת המועמדים – רשימת מועמדים בבחירות למועצה של רשות מקומית ומועמד לראש רשות מקומית וכן מי שהגיש את רשימת המועמדים או הצעת המועמד, למעט קבוצה של בוחרים.

לקבוצה של בוחרים, אין להם את ההגנה כביכול.

 << אורח >> דין ליבנה: << אורח >> 

נכון, כי אלה סתם אנשים שחתמו למועמד. הם כבר לא רלוונטיים יותר מהרגע שהוא מועמד.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

נכון. 

את מועמד' בבחירות, הורדנו. למה הורדנו?

 << אורח >> דין ליבנה: << אורח >> 

כי הכנסנו אותו להגדרות למעלה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

"תקופת הבחירות הכלליות לרשויות" – תקופה שתחילתה ביום ה-101 שלפני יום הבחירות שלפי סעיף 4 לחוק הרשויות הקומיות (בחירות) וסיומה ביום ה-14 שלאחר יום הבחירות.

את זה עשינו דומה לארצי.

 << אורח >> דין ליבנה: << אורח >> 

זהה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בסדר. סיימנו?

 << אורח >> דין ליבנה: << אורח >> 

כן.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

מי היה מאמין. 

 << אורח >> נועה דיאמונד: << אורח >> 

הקליניקה לפרטיות, אוניברסיטת תל אביב. אני רוצה להתייחס בקצרה למנגנון ה-אופט אין כפי שהוא כונה כאן. אנחנו סבורים שהמנגנון שמופיע בסעיף (ב) וחוזר על עצמו כמה פעמים, הוא לא מספק, הוא לא יוצר את האיזון הנדרש והוא לא מגן כנדרש על הזכות לפרטיות משום שאם בהגדרה הפגיעה בזכות הפרטיות מטרתה לנהל קשר עם ציבור הבוחרים או להתמודד בבחירות, הסעיף יוצר לנו קבוצה ריקה. זאת משום שתמיד יוכלו לומר שיש כאן פגיעה מהותית בזכות להתמודד בבחירות, בהתמודדות בבחירות ובקשר עם הבוחרים. לדעתנו הסעיף לא אפקטיבי.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זאת שאלה כללית על ההסדר. זה לא על התוספות ולא על ה-אופט אין ולא על ה-אופט אאוט כי ה-אופט אין, להפך, הוא מצמצם את החשש שאת מדברת עליו. היום ההצעה הממשלתית דיברה על אופט אאוט. אנחנו אמרנו שזה אופט. דווקא ה-אופט אין מצמצם את הבעיה שאת מדברת עליה אבל הבעיה קיימת, היא בעיה על ההסדר הממשלתי ולא בעיה של ה-אופט אין או ה-אופט אאוט. 

 << אורח >> נועה דיאמונד: << אורח >> 

על הנייר היא פותרת אבל לדעתנו תמיד הפגיעה בפרטיות תהיה למטרות שמנויות בסעיף (ב).

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני מבין את הביקורת שלך ואני אומר שהביקורת שלך דווקא על המנגנון של ה-אופט אאוט היא יותר חזקה מאשר על ה-אופט אין כי ה-אופט אין הוא מצומצם יותר מאשר ה-אופט אאוט. בסדר, הביקורת היא על ההסדר הממשלתי ולא על השינויים שנעשו כאן ויש בה ממש ויש בה הגיון. זה מצד אחד ומצד שני גם בסוגיית דרכי תעמולה ומימון אנחנו מבחינים בין הפסקת העבירה במקרים מסוימים לבין החקירה, העיצומים וכדומה כי אנחנו מבינים שלפעמים גם כאשר מפלגה שבמטרה להשפיע עושה פאוול מסיבות כאלה ואחרות, הנזק שבהליכי האכיפה עולה על התועלת והאינטרס המדינתי. אנחנו מבינים את זה. גם בתחומים אחרים של מימון בחירות. הרי גם במימון בחירות דוח מבקר על התנהלותם של המועמדים במפלגות מוגש בדרך כלל חצי שנה אחרי הבחירות ואם הוא מאוד רחב לפעמים נפתחות חקירות פליליות וכדומה. למיטב ידיעתי אין לזה תקדים שהתחילו חקירות פליליות על מימון והגישו כתבי אישום על מימון בחירות בזמן מערכת בחירות. אני חושב שתמיד זה בא רטרו. 

 << אורח >> דין ליבנה: << אורח >> 

למעט מקרה אחד שאני זוכר אבל הוא חריג במיוחד ולא צריך לדבר עליו.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אלה דברים סופר נדירים, מתוך הבנה שזה האיזון הנדרש כי הסיטואציה בה אנחנו צריכים לבחור את ה-לסר אוף טו איוולס, כי הממונים הרבה פעמים הם גם גורמים שנתונים ללחצים פוליטיים. הם גופי מדינה ולכן יש את ה-באפר של יושב-ראש ועדת הבחירות. כאן, בניגוד למקרים אחרים שמראש נבנתה מערכת שבכלל זה לא פרקטי ולא ריאלי, כן אפשר לעשות את זה בתקופת בחירות עם שיקול דעת של יושב-ראש ועדת הבחירות. האם זה טיעון רלוונטי? ודאי שהנחת העבודה היא שבזמן מערכת בחירות כל מה שמפלגה עושה, זה כדי להשיג עוד בוחרים. זאת הנחת העבודה והשאלה היא האיזון והמידתיות. מי שמוסמך להחליט בדבר הזה זה יושב-ראש ועדת הבחירות שהוא הגורם הנטרלי שהמדינה הפקידה על ניהול מערכת הבחירות כולל האיזונים שלהם. הוא עושה את אותם דברים בדרכי תעמולה. גם אז הוא שוקל את הפעלת הסמכות שלו לצווי מניעה וכדומה על הפגיעה בהליך הבחירות, הנזק למפלגות והם השקיעו בקמפיין כזה וכזה. הוא שוקל את הדברים האלה, מקבל את ההחלטות, נכונות או לא נכונות אבל הוא האיש. כנ"ל, כמו שאמרנו על כל מיני הפרות אחרות. זה האירוע. אלה האיזונים. אין לי מישהו אחר שיעשה את האיזונים האלה.

 << אורח >> נועה דיאמונד: << אורח >> 

אני חושבת שבפועל זה לא יקרה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני אומר שדווקא במקרה הזה של הפרטיות, בניגוד לדברים אחרים, אני חושב ששם המנגנון הזה הוא מנגנון שיהיה יותר בגדר המאפשר כי כשאין את ה-באפר הזה, כמו שאומרים, למרות שלא כתוב בשום מקום שלא פותחים בחקירות בתקופת בחירות, בפועל הולכים על ביצים וחוששים ונזהרים. כאן נוצר המנגנון. אם ירצו לפתוח, יהיה להם את דרך המלך לעשות את זה. יבחרו לעשות או לא יבחרו לעשות, בלי לפגוע חלילה ברשות להגנת הפרטיות, יש להם גם היום סמכות לעשות הרבה מאוד ומשיקולים אחרים של עומס אכיפה וכדומה הם לא עושים או לא עושים את הכול. מתעדפים. זו המציאות, אילוצי המציאות אבל אילוצי המציאות, לא הסעיף הזה יפגע בהם. אילוצי מציאות הם אילוצי מציאות. 

יש עוד מישהו שרוצה להתייחס לפרק הזה של הבחירות לפני שאנחנו מתקדמים?

 << אורח >> מירה סלומון: << אורח >> 

מרכז השלטון המקומי. האמת היא שקיבלנו ייצוג כל כך יפה בוועדה, גם מהיועץ המשפטי של ועדת הבחירות, גם מיושב-ראש הוועדה ולכן במצב הנוכחי כל המוסיף גורע. 

שאלת הרשויות המקומיות באזור והמועמדים נדונה. אנחנו גם נעשה את הבירור שלנו איך אפשר יהיה לייצר פתרון בעניין. 

לסעיף 23Xא, בתקופת בחירות כלליות. כתוב במקום לרשות מקומית, לכל המועצות, אבל זה לא לכל המועצות. אלה בחירות כלליות לרשויות המקומיות. אחר כך יש הגדרה של בחירות כלליות לרשויות המקומיות. למה זה לכל המועצות?

 << אורח >> דין ליבנה: << אורח >> 

זה פשוט עניין של ניסוח. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אלה בחירות כלליות לרשויות.

 << אורח >> דין ליבנה: << אורח >> 

זה צריך להיות אותו הדבר.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

כן. בחירות כלליות לרשויות. 

 << אורח >> מירה סלומון: << אורח >> 

הגענו למצב שזו ההערה שיש לי לנוסח. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

מצוין. סיימנו את פרק הבחירות. תודה. 

 << דובר >> נעמה מנחמי: << דובר >> 

הנושא הבא שלנו הוא סמכויות אכיפה. שני דברים אנחנו מבקשים לחדד בהמשך לדיון הקודם. בסעיף 23יד, סמכויות אכיפה, סעיף קטן (ב), הייתה בקשה של הממשלה לחזור ולהוסיף בחזרה את סעיף 32 שנשמט בטעות. כתבנו 31 ו-32(א) עד 42 והוראות הפרק הרביעי. הוראות הפרק הרביעי לא כוללות את הסעיף הזה וזה חסר. אנחנו מחליפים ל-31 עד 42 ו-45 וסעיף 32 נמצא למטה, זה הסעיף שעוסק בסמכות לתפוס חפצים. הנוסח בפני הוועדה.

הנושא הנוסף שהיה בפני הוועדה בדיון הקודם בנושא הזה היה סמכות העיכוב. כאן יש שני סעיפים כאשר אחד ביחס לחשוד ואחד ביחס לעד. הוועדה ביקשה מהממשלה לשקול פעם נוספת האם היא זקוקה בהכרח לנושא של עיכוב עד והממשלה החליטה לוותר על הסעיף. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

תמסרי לטלי את תודתנו.

 << דובר >> נעמה מנחמי: << דובר >> 

ביחס לסעיף (ג), הנושא של עיכוב חשוד, בגלל הדיון שהיה, רצינו רק להביא את זה לאשרור הוועדה כדי שלא ייווצר חשש לעניין האישור של הסעיף הזה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לחשוד כן, ולעד לא.

 << דובר >> נעמה מנחמי: << דובר >> 

כן. אלה שני התיקונים לפרק הזה. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

באיזה סעיף זה?

 << דובר >> נעמה מנחמי: << דובר >> 

סעיף (ג) הוא לגבי החשוד וסעיף (ד) הוא לגבי העד.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אם כן, סעיף (ד) ירד.

 << דובר >> נעמה מנחמי: << דובר >> 

כן.

הנושא הבא הוא נושא ההתיישנות המקוצרת ואני מזכירה שגם בדיון הקודם ביקשנו הערות מהציבור בנושא הזה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אגב, אם יש כאן אנשים שלא היו בכל הדיונים ורוצים לדבר, אנחנו פחות פורמליסטיים אבל כדאי להירשם. לא כולם היו כאן בכל הדיונים. בדיון מספר 15 הפסקנו להיות פורמליסטיים.

 << דובר >> נעמה מנחמי: << דובר >> 

בדיון הקודם ביקשנו הערות מהציבור בנושא הזה של ביטול ההתיישנות המקוצרת. הערות כתובות למיטב ידיעתי לא קיבלנו. כן היו שתי ישיבות, נקרא להן שיתוף ציבור, שמיעת ציבור. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

ההצעה כאן הייתה להפוך את ההתיישנות דומה לשאר הדברים. היו לכם שיחות.

 << דובר >> נעמה מנחמי: << דובר >> 

כן. רק נציין שזאת התיישנות בנושא של תביעה אזרחית שהיום לפי חוק הגנת הפרטיות מצומצמת לשנתיים ובעצם אנחנו מציעים לבטל את הסעיף כך שתחול ההתיישנות הרגילה שבמדינת ישראל היא שבע שנים. כן הצענו סעיף תחולה כך שהוא יחול רק ביחס למעשים או מחדלים שקרו מיום תחילת החוק ולא אחורה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא להחיות תביעות שכבר מתו.

 << דובר >> נעמה מנחמי: << דובר >> 

יותר מזה. לא רק שאנחנו לא מציעים להחיות תביעות שכבר מתו, אנחנו גם לא מציעים להאריך התיישנות של תביעות של תביעות שעדיין לא מתו אבל כבר קרו.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

עניין הארכת תקופת ההתיישנות, ההבדל בין הארכה לבין זה, ניהלנו דיון ארוך. אפשר לעשות קופי פייסט ולהצמיד. כאן אנחנו לא עושים לא את זה ולא את זה ואנחנו רק אומרים דברים שיקרו מכאן ולהבא, ההתיישנות עליהם תהיה. מכאן ולהבא, הכוונה מיום תחילת החוק. 

 << אורח >> דן חי: << אורח >> 

לא להשאיר את הנושא ריק מהעבר, עשינו מחקר קטן למה זה נקבע לשנתיים. דוח ועדת כהן, הוועדה המכינה של חוק הגנת הפרטיות, שהמליצה על חקיקתו, אומר שראוי שזאת תהיה תקופה קצרה כי אדם שנפגע בפרטיות, אם הוא לא הגיב תוך שנתיים, כנראה שזה לא באמת פוגע בו. הוועדה אמרה שזה גם ראוי בגלל בעיות של ראיות בתחום ולא כתבו מה רלוונטי היום. הם אמרו שזו אחת הדרכים להבטיח איזון בין הזכויות הפרטיות לזכויות אחרות. ניסינו לחשוב על ההיגיון מאחורי זה ואני חושב שאף אחד מהם לא עומד היום ולכן אני חושב שבסך הכול ההצעה שעומדת על השולחן היא נכונה.

 << אורח >> ראובן אידלמן: << אורח >> 

גם אני חקרתי פעם את השאלה למה זה נקבע לשנתיים. ועדת כהן היא ועדה שישבה בסוף שנות ה-70 והיא ניסחה את חוק הגנת הפרטיות המקורי. אולי זה ממחיש שוב את הצורך בתיקון החקיקה החשוב הזה. צריך לומר שהוועדה עסקה במה שנקרא הפרטיות הקלאסית ולא בפרטיות במאגרי מידע. כמובן גם כל הטכנולוגיה אז הייתה אחרת ואותם שיקולים, כפי שד"ר דן חי ציין נזכרים בדוח, מתייחסים לפרק א' של החוק, עולם הפרטיות הקלאסית שבין אדם לחברו, נקרא לזה כך, ובאמת פחות למטריה של מאגרי מידע כפי שאנחנו עוסקים בה בחקיקה הזאת. 

 << אורח >> אייל שגיא: << אורח >> 

אני הייתי מציע להזיז את הביטול או לחכות עם הביטול עד תיקון 15. הסיבה היא שהיום מבחינת הפרטיות מהותית במאגרי מידע באופן ספציפי, אנחנו עובדים עם המון תושב"ע, עם פרשנות שהיא מתגלגלת ומשתנה לאור השפעות מאירופה בלי שבעצם יש איזשהו שינוי בחוק המהותי. אם תקופת התיישנות היא שבע שנים, מאוד קשה לכלכל את צעדיך לגוף בלי שיש כללים מאוד ברורים. בתיקון 15 אמורה להיות מסגרת יותר ברורה של מה צריך לעשות ואז יותר הגיוני לחזור לגוף ולומר שכך היית אמור להתנהג. הייתי מייעץ ללקוח לפני חמש שנים, זה לא מה שאני מייעץ לו היום בגלל דברים שהם למעשה שינויי פרשנות. ברגע שיהיה כתוב יותר, יהיה יותר הגיוני.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >> 

המכון הישראלי לדמוקרטיה. אני מסכימה עם הצעת הוועדה אבל כן יש לי התלבטות בדיוק בגלל היעדר התיקונים לדין המהותי שאין בתיקון 14. ברגע שאין לי בסיסי עיבוד וזכויות נוספות כמו חזרה מהסכמה ומטרות דומות, החוק כרגע עומד רק על הסכמה והפרשנות שלה. הארכת תקופת ההתיישנות לטעמי היא מאוד נכונה לגבי כל פרק א'. לגבי פרק ב', כרגע היא עשויה להיות בעייתית כמו שעורך דין שגיא מתאר אבל היא על עבירות כמו עוולה - עיון, תיקון, נתתי הסכמה או לא נתתי הסכמה – וכאן זה לב הבעיה כי זאת פרשנות מאוד מאוד מרחיבה וקלוקלת. 

אני חושבת שלגבי סעיף תחולה, מה שאולי אפשר לחשוב זה לעשות תחולה נדחית לגבי פרק ב', לגבי עבירות של עיבוד ולעשות את זה אולי בעוד שנה או שנתיים בהנחה שעד אז יגיע תיקון 15. אני רוצה להישאר אופטימית. אם לא, להגיד שזה מה שיש, זה יחול וזהו. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני שואל מה ההבדל שאתם רואים בין זה לצורך העניין לבין תביעת רשלנות רפואית. הרי גם ברשלנות רפואית כל התורה שנבנתה, תורה שבעל פה, דברים התווספו, פסיקה, הולדה בעוולה, מה זאת הסכמה והסכמה מדעת – אולי דווקא העובדה שהתביעות האלה, שהיום עד שאתה מבין שקרה לך משהו, אתה כבר לא יכול להגיש את התביעה, אולי זה מה שיפתח את התחום וייצר הלכות יותר רציניות ויותר חזקות ואנחנו דווקא עושים את מה שאנחנו מנסים לייצר.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >> 

בדיוק כאן ההתלבטות. הנסיבה היחידה שאני חושבת שלי יש את ההתלבטות, זה בגלל שאנחנו כן עושים כאן שינויים לגבי ההגדרות של מהו עיבוד ומהו מידע. התחולה אולי - שאני מקווה שתהיה אכיפה יותר גדולה והבנה יותר טובה של מתי יש פגיעה בפרטיות – להעמיד את הכול על הסכמה, זה עשוי - - -

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה שהחוק כולו טוב במובן הזה שיש בו חוסרים רבים, לא נראה לי שיש כאן מחלוקת. אחת הבעיות בביקורת שיש עלי, על הביקורת שלי על מערכת המשפט היא שאנשים חושבים שאני אומר שלא צריך. אני חושב שבית המשפט אמור לייצר לנו דווקא בתחומים האלו הלכות, ודאות משפטית, הלכות מחייבות של העליון. זה המוצר הציבורי שבית המשפט אמור לייצר לנו. הטענה שלי היא שהיכן שהוא צריך לייצר, הוא לא מייצר והיכן שהוא לא צריך לייצר, הוא מייצר. כלומר, הוויכוח הוא לא אם הוא מייצר אלא אם הוא עושה את זה בתחומים הנכונים. כל ייצור ההלכות ייעשה סביב המשקפיים של העיצומים הכספיים – ואגב, שם לוחות הזמנים הם אחרים – וההליכים ושם ייווצרו כל ההלכות שעם כל הכבוד בסופו של דבר מי שייצר את ההלכות תהיה הרשות להגנת הפרטיות על בסיס מדיניות האכיפה שלה ומתי בא לה לסגת ומתי לא בא לה לסגת. זה חשוב, זה טוב אבל זה מוגבל מאוד. לעומת זאת הנפגעים האמיתיים, הציבור, בין אם באמצעות תביעות גדולות, בין אם תובענות ייצוגיות, כל מה שלא יהיה – שם זה דבר שדוחף הרבה מאוד את התחום בעולם, זה יצא חסר. כמה זמן יש לכם להגיש עיצומים כספיים?

 << אורח >> ראובן אידלמן: << אורח >> 

שנה וחצי לפי מה שהוועדה סיכמה. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

שנה וחצי מרגע שנודע לכם. 

 << אורח >> ראובן אידלמן: << אורח >> 

כן.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל לא מרגע ביצוע. 

 << אורח >> ראובן אידלמן: << אורח >> 

נכון.

 << אורח >> קריאה: << אורח >> 

גם מרוץ התיישנות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

מרוץ התיישנות, מאוד קשה לדעת באזרחי לדעת מתי היה הדבר, מתי נודע לך, מתי לא. אתם כרשות מינהלית, יש לכם חזקה, לא ידעתם קודם. המציאות היא קצת שונה. זה שנה וחצי ואז יש הליכים וההליכים יכולים להימשך עוד זמן וגם יהיו עתירות. הכול ייבחן בשאלה האם הוא הפעיל את שיקול הדעת שלו באופן סביר או לא, במקום בבחינה לגופה, האם הייתה פגיעה, לא הייתה פגיעה, יש פיצוי או אין פיצוי, דה -נובו, על ידי בית משפט שייצר לי הלכה בעליון. זאת קצת אוטופיה. הלוואי שזה היה עובד כמו שצריך.

 << אורח >> עמרי רחום טוויג: << אורח >> 

גוגל ישראל. לגבי עניין הדה-נובו, לגבי ייצוג הלכות, בדיון שהיה לגבי יכולת הערעור ועוד נשאר פתוח על סוגיית העיצומים הכספיים, אני חושב שהחשיבה הייתה לייצר דיון מהותי גם בדיון בבתי משפט על העיצומים הכספיים. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

נכון, אתה צודק, אבל אני ריאלי. אני יודע איך בית משפט בדרך כלל מתערב בעיצומים כספיים. 

 << אורח >> עמרי רחום טוויג: << אורח >> 

אגב, יש מקומות אחרים בעולם כמו באירופה למשל שהדיון המשפטי המהותי נגרר מהליכים רגולטוריים ולא מהליכים פרטיים. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בסדר, אבל אנחנו לא חדשים במדינה. 

 << אורח >> דן חי: << אורח >> 

צריך לזכור שבדין הפלילי ההתיישנות היא שונה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אמת אבל כמה הליכים פליליים מנהלים בשנה? כמה מתאימים לפלילי?

 << אורח >> דן חי: << אורח >> 

אני אומר שהטענה שלהם, כמה שאולי יש בה איזשהו חן, היא לא עומדת מול הדין הפלילי. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בסדר, נכון, אבל זה אירוע. 

 << אורח >> אייל שגיא: << אורח >> 

אני רוצה להתייחס לשתי נקודות. בתי המשפט עדיין עובדים גם בתביעות ייצוגיות ולמרות שלא תוקן חוק תובענות ייצוגיות, יש הרבה תביעות בפרטיות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה בדרך. זה יגיע לפני תיקון 15.

 << אורח >> אייל שגיא: << אורח >> 

כנראה. יש הליכים ויש גם הלכות. ספציפית לגבי התקופה, אני חייב לומר שכעורך דין פרטי אני חצוי. כעורך דין שמטפל בתובענות ייצוגיות, שבע שנים - יותר איום על לקוחות, יבואו יותר, ייזהרו יותר, יופי. אבל עיקר העבודה שלי היא ייעוץ ובייעוץ אני מנסה תמיד לראות מה יבוא כי אני מסתכל קדימה. אני יכול להגיד פחות או יותר שאני יכול להסתכל שנתיים קדימה, שלוש שנים קדימה, לאן הדברים הולכים כדי להתכונן. אם היום אני צריך לחשוב שתתנהגו היום, הרי יש אלמנט הרתעתי בתובענות ייצוגיות ובכלל בתביעות - - -

 << יור >> היו"ר שמחה רוטמן: << יור >> 

רגע. אירוע תובענות ייצוגיות הוא - - -

 << אורח >> אייל שגיא: << אורח >> 

אני מדבר על עוולת הרשלנות כמכווינה התנהגות. אנחנו זוכרים את אירוע המקרר. יש תפקיד כזה. אני חושב שהיום אני יכול בגדול לומר ללקוחות שבשנתיים הקרובות, בשלוש השנים הקרובות, תעשו כך, זה בסדר. לבוא ולהגיד שזה יהיה לכם טוב, ההתנהגות הזאת עוד שבע שנים - - -

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אתה צודק, אבל - סליחה שאני אומר - לצורך העניין היית, לא אתה אישית אבל עורכי דין העוסקים בתחום, מפונק כשהיו לך שנתיים עת עורכי הדין שעוסקים ברשלנות רפואית, היו להם שבע שנים ולפעמים אפילו יותר כי כשעוסקים ברשלנות רפואית של קטינים זה שבע שנים פלוס 18 ולא נראה לי שזה פגע בפרנסה של עורכי הדין. העניין כאן הוא לא הפרנסה לא של עורכי הדין ולא של היועצים אלא העניין כאן הוא באמת השאלה למה שבן אדם שנפגעת זכותו לשלמות גופו יש לו שבע שנים ונפגעת זכותו לפרטיות, הוא עומד עם הלשון בחוץ אחרי שנתיים.

עוד משהו בנושא הזה? הנוסח יישאר כפי שרשום כאן. "סעיף 26 לחוק העיקרי – בטל". זה סעיף שקובע את ההתיישנות המקוצרת ו"הביטול של סעיף 26 לחוק העיקרי בסעיף X לחוק זה יחול לעניין מעשה או אירוע שנעשה או אירע לאחר יום התחילה".

אולי כשנחזור לזה אני עדיין לא סגרתי דלת לגבי עילות התביעה החדשות שאנחנו מייצרים כאן. זאת אומרת, התביעות האישיות ללא הוכחת נזק שעליהן אני עדיין שוקל לייצר או משהו יותר מקוצר או איזה פיילוט כדי כן לא לייצר סיטואציה שמצד אחד עקרון השמרנות, לנסות לא לעשות זעזוע גדול מדיי, כאשר גם ייצרתי כאן תביעות חדשות לגמרי ללא הוכחת נזק וגם בלי ההתיישנות ואז לך תראה שבעוד שבע שנים שמרת את ההודעה שבן אדם שמסרת לו את המידע לגביו. זה נטל קצת כבד.

לגבי התביעות החדשות שייצרנו עכשיו כאן, אני עדיין בסימן שאלה. לגבי שאר התביעות, פרק א' ופרק ב', אני לא רוצה לייצר כאן את הדיפרנציאציה. 

 << דובר >> נעמה מנחמי: << דובר >> 

DPO, ממונה על הגנת הפרטיות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

DPO, כאן יש לי מחאה גדולה על השימוש בשפה העברית והאנגלית. מה ראשי התיבות של DPO?

 << אורח >> קריאה: << אורח >> 

... פרוטקשן...

 << יור >> היו"ר שמחה רוטמן: << יור >> 

איך אומרים את זה בעברית?

 << אורח >> קריאה: << אורח >> 

ממונה הגנת פרטיות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא. ממונה אבטחת מידע.

 << אורח >> קריאה: << אורח >> 

לא. הגנת מידע. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

פרוטקשן אפשר לתרגם גם לאבטחה וגם להבנה.

 << אורח >> קריאה: << אורח >> 

לא. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בכל מקרה זאת לא פרטיות. המילה פרייבסי, היית חושב שה-P זה פרייבסי אך לא. 


 << אורח >> ענר רבינוביץ׳: << אורח >> 

המילה פרייבסי לא מופיעה ב-GDPR.

 << אורח >> ראובן אידלמן: << אורח >> 

לא, כאן יש הבדל בין האירופאים לאמריקאים. בארצות הברית זה נקרא 	CPO צ'יף פרייבסי אופיסר. אם כן, יש ויש. זה לא ש-DPO זה בכל העולם.

אנחנו רוצים להתחבר למונחים שיש בחוק שלנו. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

ה-DPO, תרגום מילולי מביא אותנו לממונה אבטחת מידע.

 << אורח >> ראובן אידלמן: << אורח >> 

הגנת מידע.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הגנת מידע ולא הגנת פרטיות. לכן ה-DPO מוחה. אקדמיה, אנא הושיעו. 

 << אורח >> דן חי: << אורח >> 

ה-GDPR עוסק רק במחקר. הוא בכלל לא עוסק בפרטיות. אין את המילה פרטיות.

 << אורח >> ראובן אידלמן: << אורח >> 

אנחנו כן עוסקים בפרטיות. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לכן לא כדאי להשתמש בביטוי DPO.

 << אורח >> דן חי: << אורח >> 

זה נכון.

 << אורח >> קריאה: << אורח >> 

אתה יכול לומר שזה דאטה פרייבסי אופיסר.

 << אורח >> קריאה: << אורח >> 

זה עדיין DPO.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

ממונה על הגנת הפרטיות. אנא, הורידו את ביטוי ה-DPO מהחוק. הוא לא יופיע בנוסח. 

 << אורח >> עמית יוסוב עמיר: << אורח >> 

בוקר טוב. משרד המשפטים. קודם כל, רק לומר כאמירת פתיחה קצת מאוחרת אבל חשוב להודות לוועדה ולייעוץ המשפטי של הוועדה על המשך הדיונים והקדשת הזמן והמאמצים לחקיקה החשובה הזאת. אין ספק שנעשתה הרבה עבודה ויש עוד עבודה לפנינו, אבל בהחלט אני חושב שאפשר כבר לראות את ההתקדמות.

לגופו של עניין. אנחנו כאן מגיעים להצעה להוסיף רכיב חדש שלא הופיע בהצעת החוק הממשלתית. היא תוכננה לעלות בתיקון 15 שנזכר כאן קודם. הטריגר או המניע המיידי להצעה להוסיף אותו הייתה הכוונה של הוועדה לבטל את תפקיד מנהל מאגר המידע. אנחנו עושים כאן איזשהו טרייד אוף. זאת אומרת, לוקחים תפקיד שבאמת היה קיים בדין הישראלי ולא קיים ב-GDPR ובדינים מתקדמים אחרים ומחליפים אותו בבעל תפקיד שאכן קיים ב-GDPR קודם כל ובעוד דינים של מדינות שונות כאשר הראייה הכללית היא שבעל התפקיד הזה הוא גורם בתוך הארגון הפרטי, הציבורי, שמקדיש את פעולתו לתחום הגנת המידע והגנת הפרטיות. בניגוד למנהל מאגר המידע שאותו מוצע להסיר מהחוק למעט לגבי גופים ציבוריים, על בעל התפקיד הזה לא מוצע להטיל עליו אחריות אישית אלא מוצע להטיל עליו תפקידים כאורגן, כגוף בתוך בעל השליטה או המחזיק במאגר המידע שיפעל לטובת ההגנה על הפרטיות בתוך הארגון. 

בהצעת החוק בנוסח שלפנינו יש שלושה סעיפים. סעיף אחד קובע את המקרים בהם תקום חובה למנות ממונה הגנת פרטיות בארגון, הסעיף השני מדבר על התפקידים של ממונה הגנת הפרטיות והסעיף השלישי מדבר על תנאי הכשירות למלא את התפקיד. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אתם רוצים לומר כמה דברים בהתחלה, לפני שנעבור על הסעיפים?


 << דובר >> נעמה מנחמי: << דובר >> 

נראה לי שכדאי לקיים איזשהו דיון. 

 << אורח >> רחל ארידור הרשקוביץ: << אורח >> 

שני דברים. ראיתי שכתוב במסמך ההכנה שהשאלה אם משאירים את הממונה על הבטחת מידע עדיין נמצאת בדיון אבל עמית אמר כרגע - - -

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אני דיברתי על מנהל מאגר מידע.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

מנהל המאגר. יש כאן שלוש פונקציות, שתיים קיימות ואחת שאנחנו מדברים עליה. מנהל מאגר – במסגרת העיצומים דיברנו על זה הרבה – הוא פונקציה שלאף אחד לא ברור מה מטרתו. יש את ממונה אבטחת המידע ויש את ממונה הגנת הפרטיות ואני לא אומר DPO.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >> 

ממונה אבטחת מידע, אם אני מבינה נכון, נשאר. זה לא שהממונה הגנה על הפרטיות מחליף אותו.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

יכול להיות שהתנאים למינוי משתנים. 

 << אורח >> עמית יוסוב עמיר: << אורח >> 

ההצעה המקורית שאנחנו הגשנו לוועדה הייתה לבטל את ממונה אבטחת המידע. קיימנו בשיתוף עם הייעוץ המשפטי לוועדה שני מפגשים של שיתוף ציבור ושמיעת הדעות השונות. אפשר לומר ששמענו דעה – יגידו כאן האנשים בעצמם – די נחרצת שלא נכון לבטל את התפקיד הזה. 

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

למה חשבתם לבטל את התפקיד?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני רוצה לומר כמה מילים.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

אתה יכול לענות לי על זה?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני אענה. אני אנסה לסכם את הדיונים וגם את החשיבה. בגדול, אני חייב לומר שעצם החובה למנות בעל תפקיד מסוים היא חובה משונה מבחינה רגולטורית. היא חובה משונה כי אני אומר שאתה חייב לעמוד במשימה מסוימת. כאשר אנחנו עובדים עם גופים ציבוריים, אנחנו רגילים לזה. חובה על השוק הפרטי היא משונה ולכן אני אומר במישור הרגולציה. גוף ציבורי, אנחנו יודעים שבסופו של דבר אם אין מישהו שהוא האבא של נושא, הנושא לא מטופל. ברשות מקומית או במשרד ממשלתי צריך שיהיה ממונה על חופש מידע , צריך שיהיה ממונה על הגנת הפרטיות וצריך שיהיו כל מיני ממונים כדי שיהיה אבא לאירוע. בגוף פרטי, אני מטיל עליך את החובות המהותיות הרגולטוריות, אני אומר שתדאג למידע שלך שלא ידלוף ותוודא. אתה רוצה לעשות את זה עם מחלקה שלמה, בסדר.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

מה זה ענייננו?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בדיוק. זה מצד אחד. מצד שני החובה הזאת לא מוטלת על כל אחד. היום אותה חובה של אבטחת מידע, ממונה אבטחת מידע, לא מוטלת על כל מי שמחזיק מאגר מידע. אלה באמת רק שחקנים מסוימים שיש לנו עליהם רגולציה כבדה יותר, גופים שבעולם הפרטי הייתי קורא להם גופים דו-מהותיים, זאת אומרת שמחזיקים גם מסות של מידע. בעולם הפרטיות בכלל הרבה מאוד פעמים ההגנה שאנחנו זקוקים לה אל מול גופים פרטים היא לא פחותה מההגנה שאנחנו זקוקים לה אל מול המדינה. לצורך העניין גוגל ופייסבוק מחזיקים יותר מידע על אזרחי מדינת ישראל מאשר רוב משרדי הממשלה. קודם החזירו אותנו ללימודי המשפטים לפסק דין בש והמקרר, בהקשר הזה זה פסק הדין על חברת חשמל, על הגוף הדו-מרותי, על קסטנבאום. 

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

אנחנו לא שם.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בעולם הפרטיות אנחנו כן שם.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

בסדר, אז בוא נתקדם. למה אני כמחוקקת צריכה לחרוג ממנהגי ולהתייחס לזה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה קיים היום בסעיף בחוק. 

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

זאת השאלה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני חושב שהסברתי עכשיו את התשובה. התשובה היא שבנושא מידע ובנושא פרטיות, התפיסה היא שהמידע שמוחזק גם על ידי גופים פרטים - אז קודם כל החובה הזאת קבועה בחוק לגבי גופים ציבוריים ואני מניח שלזה את לא מתנגדת.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

גוף ציבור, נגיד. גוף ציבורי, אנחנו במישור אחד. גוף פרטי, אנחנו במישור אחר. תסביר לי למה. לא קלטתי. גם אם לא הסברת בשנייה הראשונה, סימן שגם אתה לא נעול על זה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא. 17(ב), מי ממונה. "הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה ממונה על אבטחת מידע". זה החוק הקיים, סעיף 17(ב). גוף ציבורי כהגדרתו בסעיף 23 – על זה אין ויכוח. בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי – התפיסה היא שהגופים האלה, התפיסה של החוק הקים - - -

 << אורח >> קריאה: << אורח >> 

יוצרים סיכון יותר גבוה לפרטיות.

 << אורח >> עמרי רחום טוויג: << אורח >> 

זו חובה שממילא קיימת ברגולציה הענפית.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

אם היא קיימת, למה אתה צריך לתייג אותה כך?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

שאלה טובה אבל זה חוק ישן.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

תפנה אותי ותאמר לי היכן זה קיים.

 << דובר >> נעמה מנחמי: << דובר >> 

אני חושבת שהסיבה שזה קיים כאן - - -

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

אם אמרו לי משהו, אני בודקת. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הרלוונטי היחידי שהוא לא גוף עם רגולציה כבדה מלכתחילה או גוף ציבורי ומחזיק בחמישה מאגרי מידע החייבים ברישום.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

זה יחייב אותו?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

החוק. 

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

כל החוקים בישראל פשוט מופלאים ואני לא יכולה לעמוד בפניהם. מה זה קשור? אני שואלת. לא תמיד היית יושב-ראש ועדת חוקה, היו כאן כל מיני יושבי-ראש.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל אני עניתי. את לא רוצה את התשובה, זה בסדר. את אומרת שהרציונל של בסיס החוק - - -

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

בסיס הרציונל. לא הבנתי.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני אומר שמי שמחזיק בחמישה מאגרי מידע החייבים ברישום.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

זה הגבול? חמישה?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה מה שכתוב היום בחוק.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

מי הגה את זה? 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

המחוקק. את רוצה תשובה או את רוצה לשאול? את רוצה לשאול, תשאלי ותסיימי את השאלה ואני אענה. 

התפיסה שעמדה בבסיס החוק אז שבאה המדינה בהתחלה ואמרה שהיא רוצה לבטל את זה. זאת אומרת, היא אמרה בהצעה הממשלתית שהיא רוצה – שוב, לגבי גופים ציבורים זה לא יבוטל בכל מקרה מסיבות אחרות כי יש רגולציה פנימית ממשלתית, אבל לגבי מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף 8, אמרה הממשלה שמבחינתה היא מוכנה לבטל. האמירה שבאה בשיתוף ציבור, למה? כי באמת מדובר בעוד שלייקעס ובעוד חגורה וזה דבר די משונה מלכתחילה. אנחנו מראש בהליך החקיקה כאן הורדנו בצורה משמעותית את הגופים החייבים ברישום ולכן היום מי אלה בעצם הגופים החייבים ברישום?

לכן, בלי שאני נוגע בסעיף הזה בכלל, החובה הרגולטורית של סעיף 1 פחות או יותר נעלמה. למה? בלי שאני נוגע בחוק. אני לא צריך לתקן את סעיף 17 עכשיו כי מי חייב היום ברישום מאגרי מידע? גופים ציבוריים וממילא נכנסים דרך סעיף 2 והיחידים שלא, אלה ה-דאטה ברוקר וה-דאטה ברוקר מתוך אותה הנחה שאני מחייב אותם ברישום וגם ה-דאטה ברוקר שמחזיק רק מאגר אחד לא מחויב. זה שהוא יעשה את זה בכל מקרה כי הוא חייב בגלל ה-GDPR או חייב בגלל הגופים האלה, זה עניין אחר אבל אמיתית הסעיף הזה היום למעשה כמעט רוקן מתוכנו כתוכן חדש, מלבד לעניין הגופים הציבוריים שאני כן חושב שצריכים שיהיה להם ממונה אבטחה ואני כן רוצה עליהם את החובה הרגולטורית הזאת. הסעיף כמעט רוקן מתוכנו.

האמירה שנאמרה בשיתוף ציבור, ואני חושב שהיא נכונה, שבעצם למרות שסעיף (א1) למעשה הפך כמעט לקבוצה או מאוד מאוד קטנה או קבוצה שאנחנו בכל מקרה נתפסת דרך מקומות אחרים, לביטול הסעיף יש שדר מאוד בעייתי, כאילו למדינת ישראל, גם כלפי חוץ, כל האירוע שאנחנו מחוקקים את החוק הזה עכשיו זה בין היתר איך מדינת ישראל נתפסת בעולם כמגינה על הפרטיות גם מעבר למה שהיא עושה בפועל ואנחנו בהחלט משדרגים את ההגנה בחוק. זה לא רק עניין של יחסי ציבור אבל ביטול הסעיף הזה, הכותרת שתצא יש לה פגיעה במעמדה של מדינת ישראל וגם בשדר אל מול השוק של הרשות להגנת הפרטיות שתשמעו חבר'ה, הגנת מידע כבר לא חשובה לנו. זה האירוע.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

אני רוצה לומר לך ולפרוטוקול. שמעתי, הקשבתי ואפילו לא הפרעתי לך כמו שאתה אוהב. אני חייבת להגיד שאם הממשלה ביקשה - אני לא מאמינה שאני מחזקת את הרעיון של ממשלה כזו כמחוקקת – בעיניי להטיל את החבות הזאת על חמישה מאגרי מידע, לדעתי לא סתם הממשלה ביקשה להוריד את זה. זה לא עומד בקריטריונים של חקיקה. אנחנו מתערבים כאן יותר מדיי, מטילים כאן חבות על השוק הפרטי בעיניי באופן לא מתאים, עם כל הכבוד זה שאמרו לכם שכן, אמרו לכם שלא, יש כאן הוראת חוק שעומדת על תילה, קבועה כיום אבל אתם מחוקקים משהו ומתקנים משהו, צריך להיות לזה רעיון במסגרת הגיונית. למה שנטיל את החבות הזאת על בעל חמישה מאגרי מידע? למה חמישה ולא שבעה? למה חמישה ולא שלושה? סתם לצורך העניין. כאשר זה השוק הציבורי, כאשר אלה בעלי עניין ובעלי סיכון גדול יותר לפגיעה בפרטיות כמו הבנקים למיניהם - ואגב, לא העברת לו בוואטסאפ מה שאמרת שתעביר לי, על החיתוך החקיקתי – בהקשר הזה למה צריך להשאיר את זה? חמישה מאגרי מידע, זה מה שיוצר, זה מה שמחזק את הגנת הפרטיות של ישראל? לא. אגב, חלים עליהם האיסורים העקרוניים הרגילים. הוראות החוק חלות ממילא.

זאת עמדתי שלא תתקבל. כולם מרותקים מהחוק הזה ובאים לוועדה הזאת מכל שאר הוועדות. עוד מעט אני הולכת, יש לי חוץ וביטחון, לשמחתך. אתה חייב להתחיל את הוועדות בשעה 11:00 ואז יהיה לך שקט גמור.

 << אורח >> דן חי: << אורח >> 

אם משאירים את הסעיף, יש שם חוסר בהירות לגבי חמישה מאגרים. בפרקטיקה הכוונה היא חמישה מאגרים של אחרים ולא של הגוף הזה.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

נכון. בדיוק. זה נתון לפרשנות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה על מחזיק.


 << אורח >> עמרי רחום טוויג: << אורח >> 

זה גם היה. זו הייתה הכוונה. ההגדרה החדשה של מחזיק היא מי שמחזיק עבור אחר. השאלה האם מחזיק עבור אחר יודע האם המאגר חייב ברישום או לא וזו שאלה שמוטלת בספק. דנו בזה גם קודם לכן. לכן אולי בעל שליטה במאגר שחייב ברישום, למשל דאטה ברוקרס זה יותר הגיוני שהם ימנו.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

יכול להיות. נחשוב על זה. זו הערה נכונה. תחשבו על זה. דיברנו על זה. אגב, זה נכון לגבי כמעט כל החבויות של מחזיק. זה לאו דווקא לגבי החבות הזאת. אתה יכול לומר שאת הטופס שבו בן אדם שולח תרשום ותצהיר שזה לא חייב ברישום. יש דרך להעביר אחריות בחוק הגנת הפרטיות, גם ב-GDPR.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

החובה של המחזיק תהיה חובה של מי שמחזיק מטעמו. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

על בעל השליטה אנחנו מטילים חבויות אחרות, חבויות של תקנות אבטחת מידע, עיצומים כספיים, כל האירוע. המחזיק הוא אירוע נפרד.

ההערה היא חשובה והיא נכונה רוחבית. כאן היא באה לידי ביטוי בצורה מיוחדת. מבחינתי זה רק מחדד כמה הקבוצה הזאת היא כמעט קבוצה ריקה.

 << אורח >> דן אור-חוף: << אורח >> 

המועצה להגנת הפרטיות. נמצאת איתי גם עורכת דין נועה גבע מהמועצה. אדוני, המועצה מברכת על המהלך הזה של הוספת חובת מינוי ממונה על הגנת פרטיות כבר בתיקון 14. זה נושא שהמועצה כבר הביעה את דעתה בעבר בנושא הזה והיא סבורה שיש צורך אמיתי לא רק בעניין של חובת המינוי אלא לעשות את זה כבר עכשיו ולא לחכות לתיקון 15 לחוק. הצורך בתפקיד הזה נובע מזה שיש הכרח שגופים שמנהלים מידע ובמיוחד הגופים האלה שמנהלים מידע בהיקף גדול וברגישות גבוהה, תהיה להם גם הסדרה פנימית וזה גם מתוך ההבנה שהמודל המודרני הנכון להסדרה של מידע אישי דורש לא רק אכיפה חיצונית אלא גופים פנימיים או סמכות פנימית שתבצע את המוטל על הארגון, בין אם הוא בעל מאגר או מחזיק מאגר בנושא הזה של הגנת מידע אישי ופרטיות.

אנחנו לא ממציאים את הגלגל בנושא הזה. אנחנו מיישרים הלכה למעשה קו עם חלק גדול מאוד מהחקיקה המודרנית בעולם בתחום הזה שתופסת את התפקיד הזה כתפקיד הכרחי.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לפי ה-GDPR קיימת חובה למנות ממונה על הפרטיות?

 << אורח >> דן אור-חוף: << אורח >> 

אמת, ולא רק לפי ה-GDPR אלא בהתאם לכמה עשרות חוקים מודרניים בנושא הזה בעולם. זה לא רק האיחוד האירופי. אנחנו בהחלט מיישרים קו בנושא הזה. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זאת חובה או בסט פרקטיס?

 << אורח >> דן אור-חוף: << אורח >> 

חובה. בארצות הברית, היא אולי עולם בפני עצמו, יש שם חובות ספציפיות סגמנטליות. זה מוסדר בצורה אחרת אבל בארצות הברית, אולי להבדיל מהתרבות הישראלית, הרבה מאוד חברות בצורה וולונטרית אכן מינו CPO כאלה, צ'יפ פרייבסי אופיסרס. אני לא בטוח שזה משהו שאפשר לקוות לו גם מבחינתנו אבל בהחלט בעשרות מדינות בעולם שחוקקו חוקים מודרניים בנושא הזה - - -

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

אתה אומר להשאיר.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה לא להשאיר. זה משהו חדש. 

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

אני יוצאת לוועדה אחרת והסעיף הזה הוא הסעיף היחיד שיש לי איתו קושי. לכן אני מציקה לכם. לשיטתכם אתם לא סומכים על מחזיק חמישה מאגרי מידע שהוא בעצמו ידאג לממונה. זה מה שאתה אומר לי? אתה רוצה להשאיר את הסעיף הזה כי אתה אומר שאתה בעצם לא סומך על הגוף הפרטי הזה שיעשה את זה באופן וולונטרי.

 << אורח >> קריאה: << אורח >> 

זאת הצעה של הרשות למנות ממונה והרבה גופים לא מינו.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

הצעה היא הצעה. היא לא מחייבת. זאת עדיין לא סיבה. אני רוצה להבין למה זה לא בוטל. זה קיים בחוק, זאת הוראה קיימת, אני רק באתי להקשות.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

להבהיר לגברתי שכרגע מה שעורך-דין אור-חוף מדבר עליו, זאת חובת ממונה שהתנאים הם קצת שונים. זה ללא התנאים. 

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

אני יודעת. אנחנו לא שם. אני יודעת שאני גורמת לכם לכאב ראש, אבל זה משהו שאני לא יכולה לעקוב בדיעבד ולכן אני רוצה להבין את העניין הזה. לכם הכול ברור. אני כאן מחויבת לאנשים ששואלים את השאלות האלה ואני השופר שלהם, אז קחו אוויר ותספרו עד חמש. אני רוצה להבין האם העובדה שאנחנו לא מסירים את חובת מינוי ממונה לבעל חמישה מאגרי מידע זה כי אתה לא סומך עליהם שהם יעשו את זה באופן וולונטרי? זה הרעיון?

 << אורח >> דן אור-חוף: << אורח >> 

ההצעה להוסיף את חובת מינוי ממונה הגנת פרטיות לחוק הגנת הפרטיות - - -

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

זה כבר קיים.

 << אורח >> דן אור-חוף: << אורח >> 

לא נכון.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

טלי, אולי תתני לו לענות?

 << אורח >> דן אור-חוף: << אורח >> 

מה שקיים בחוק, זה ממונה אבטחת מידע ומה שמוצע כרגע זה ממונה הגנת פרטיות. אלה תפקידים נפרדים ושונים בתכלית. כרגע על הפרק זה הוספה של חובת מינוי ממונה הגנת פרטיות לחוק והמטרה של החובה הזאת היא שלארגונים מסוימים שהם אלה שיוצרים את הסיכון היותר גבוה, אנחנו נדרוש מהם למנות ממונה מהסוג הזה, סמכות מהסוג הזה, בין היתר גם כדי להעלות את הנושא לסדר עדיפות גבוה בניהול הסיכונים הארגוניים של החברות האלה וגם כדי להחליף - וזאת גם עמדת המועצה – את התפקיד הארכאי מהגדרה מאוד מעורפלת של מנהל מאגר שלדעת המועצה אנחנו צריכים להיפרד ממנו לשלום ולהחליף אותו בתפקיד המודרני שהוא ממונה הגנת פרטיות והוא התפקיד שנדרש על מנת שאותם ארגונים שמבצעים רמת סיכון גבוהה, תהיה להם סמכות מודרנית עם הגדרת תפקיד מסודרת ועם הוראות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה לגבי ממונה הגנת הפרטיות. טלי שואלת אותך מה עמדתך לגבי ביטול החובה של 17(ב), החובה הקיימת, לממונה אבטחת מידע. לא לעניין ממונה הגנת פרט.

 << אורח >> דן אור-חוף: << אורח >> 

העמדה של המועצה להגנת הפרטיות היא קודם כל שצריך לעשות הבחנה בין ממונה הגנת הפרטיות לממונה אבטחת מידע. כמו שאמרתי קודם, אלה שני תפקידים שונים בתכלית, עם ייעוד שונה, עם הכשרה מקצועית אחרת. מהבחינה הזאת בעינינו חובת מינוי ממונה אבטחת מידע היא חובה נכונה, היא קיימת בחוק, יש הכרח גם בראייה של הפרקטיקה, חברות שמשתמשות בתפקיד כזה וממנות לתפקיד כזה מנהלות את אבטחת המידע שלהן בצור היותר טובה, בוודאי בעידן כזה שבו אנחנו נמצאים כאשר כל השוק הישראלי נמצא תחת מתקפות סייבר מסיביות. אם אנחנו נבטל את התפקיד הזה, אנחנו בעצם משדרים אולי משהו הפוך ממה שאנחנו רוצים מהסיבה לשמה התכנסנו כדי לדון בתיקון 14 וזה כדי לחזק את היבטי אבטחת המידע בארגונים פרטיים כציבוריים.

מהבחינה הזאת אנחנו סבורים שהתפקיד הזה לא צריך להתבטל והוא צריך להישאר בנפרד משאלת מינוי ממונה הגנת פרטיות. אנחנו חושבים שהעניין הזה של איזון, של העובדה הזאת שהחוק כפי שהוא כיום, קבע איזון בהתחשב בעובדה הזאת שמינוי ממונה אבטחת מידע זה נטל כלכלי ולכן הוא קבע מגבלות מסוימות. מי הם הגופים שצריכים למנות – אפשר בהחלט לדון אם הסף הקיים היום הוא הסף הנכון אבל ההיגיון כתפיסתית שאנחנו רוצים לחייב גופים שיוצרים את הסיכון הגדול יותר למנות ממונה אבטחת מידע, בהחלט אנחנו תומכים בזה ותומכים בזה שזה יישאר.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אתה שוכנעת לגבי החמישה מאגרים?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

נראה לי שכדאי שנצלול לפרטים כי בסופו השטן בהקשר הזה, או לא השטן, נמצא בפרטים. זאת אומרת, השאלה על מי מוטלת החובה הזאת.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אם אפשר להזכיר לוועדה את השתלשלות העניינים.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

נכון להיום הרגולציה הישראלית מטילה חובות למנות שני בעלי תפקידים - אם אני טועה, יתקנו אותי – מנהל וממונה אבטחת מידע. מנהל אנחנו מבטלים. מורידים. לא יהיה מנהל. מבחינתי זאת רגולציה מאוד משמעותית וחשובה ואני מברך על כך שכולם כאן מסביב לשולחן מסכימים על כך. זאת הייתה רגולציה בעיניי מיותרת לחלוטין. הביטול לא היה בהצעת החוק הממשלתית והבשורה שיצאה מכאן, מהוועדה היא שחובת מינוי המנהל, אנחנו מורידים לחלוטין. זאת דה-רגולציה אחת. 

דה-רגולציה שנייה היא שהחובה למינוי ממונה אבטחת מידע מכוח סעיף 17 יורדת משמעותית ולא בגלל שאנחנו מתקנים את סעיף 17, בהנחה שההצעה הזאת התגבשנו בה ותישאר, אלא בגלל הדה-רגולציה השנייה שהבאנו כאן בוועדה שהיא ביטול חובת הרישום הגורפת.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

לגבי זה אני מזכיר לוועדה שהיו כאן כמה דיונים לגבי השינוי הזה שגם הוא תוצאה של צמצום משמעותי של חובת הרישום עליו החליטה הוועדה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

נכון.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

הייתה כאן הצעה, דווקא של הוועדה, לשנות קצת את המבחנים שקבועים ב-17(ב).

 << יור >> היו"ר שמחה רוטמן: << יור >> 

כאשר נגיע לשם נגיע. יכול להיות שמה שנקרא במונחי דה-רגולציה נתנו מיליון וניקח בחזרה חצי מיליון או 100,000. אין ספק שהצמצום יהיה דרסטי. יכול להיות שנצמצם במעט את הצמצום כשנגיע לסעיף הזה אבל הצמצום הוא צמצום דרסטי. חשוב שטלי תבין את זה כי מה שהיא מעלה, בוודאי עולם הדה-רגולציה, אני לחלוטין מסכים איתה. אני מעדיף כמה שפחות רגולציה על עסקים שהיא לא נצרכת ומשרתת באופן ישיר את מטרות הרגולציה. בדרך כלל אני לא אומר לעסקים תמנו בעל תפקיד. אני אומר להם תעמדו בחובה המהותית ואם אתם לא תעמדו בחובה המהותית, תחטפו. תכף נדבר על זה גם בעולם של מה המשמעות או הסנקציה לעניין ממונה הגנת פרטיות.

ממונה הגנת פרטיות שהתכנון של רשות להגנת הפרטיות והתכנון העולמי בהקשר הזה, מה שקורה ב-GDPR, בחקיקות המודרניות וכדומה, זה לחייב קבוצות מסוימות בממונה הגנת פרטיות, שזה משהו שונה מממונה אבטחת מידע. הוא כאילו עוד יותר עוסק כקצין ציוד, כמו שאנחנו מחייבים בנקים וגופים גדולים. 


 << אורח >> ניר גרסון: << אורח >> 

לא. נדבר עליו אחר כך.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

נדבר עליו אחר כך. 

 << אורח >> ניר גרסון: << אורח >> 

לא קצין ציוד כמו מישהו שירים למעלה את ההגנה על הפרטיות ולא רק ברמה המינימלית של ציוד.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

נכון, אבל אני אומר שבעולם הישראלי, הדבר הכי דומה לזה זה קצין ציוד בבנק. נכון להיום אין לנו את הדבר הזה. זה הכי דומה. אני משתדל להשתמש במסגרות הקיימות. כמובן אתם צודקים שהוא עולה.

ממונה הגנת הפרטיות הוא מה שבמידה מסוימת צמצמנו את חובת המנהל, צמצמנו את חובת ממונה אבטחת מידע, אחד בישיר ואחד בעקיף, ואנחנו מוסיפים את מה שהממשלה תכננה לעשות בתיקון 15. אנחנו מקדימים את זה. הגענו למסקנה שכחלק מההגנה המשופרת על הפרטיות שאנחנו רוצים לעשות בשביל תיקון מספר 14, גם מהשוק זה בא ואנחנו מנסים לייצר איזשהו גישור בין מה שקורה בסופו של דבר בנושא הגנת הפרטיות ואני חושב שלעתים הרגולציה הבינלאומית היא שיקול בפני עצמו. זאת אומרת, אם במדינת ישראל חובה מסוימת לא קיימת, זה עלול לפגוע במעמדה של ישראל. זה פעם אחת ופעם שנייה, זה עלול להזרים לתוך מדינת ישראל את העבריינים. זאת אומרת, האנשים שרוצים לעבור על חוקי הגנת הפרטיות ובאירופה ובארצות הברית לא נותנים להם – ישתמשו בישראל כחצר האחורית של הגנת הפרטיות וזה גם יוציא את שמנו לרעה בעולם וגם יפגע בשוק.

 << אורח >> גלעד סממה: << אורח >> 

כמובן יישור קו עם הסטנדרטים המובילים. מעבר לכל מה שציינת, גם מסייעים לקשרי המסחר והכלכלה הישראלית בהעברות מידע.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

	נכון. אמת. לכן אני מברך את הממשלה שהסכימה להקדים בהקשר הזה את ה-DPO מתיקון 15 לתיקון 14.

עד כאן תקציר הפרקים הקודמים בעניין ה-DPO. אני כן אומר שנצטרך לחשוב על זה בעולם הסנקציות. זאת אומרת, האם אנחנו הולכים למקום שמינוי DPO הוא חובה, בסדר גמור, נכון, השאלה האם אי מינוי DPO זו הפרה, זה עיצום כספי, או - שמעתי שעלה רעיון - זה סוג של מגן ולא חרב. צריך לחשוב במישור הסנקציות. נדבר על זה עת נגיע להמשך. 

הערות כלליות לפני שנתחיל לקרוא את הפרק ונעבור סעיף-סעיף.

 << אורח >> מירה סלומון: << אורח >> 

אנחנו מתנגדים לקביעת כל כך הרבה תפקידים סטטוטוריים שבמידה מסוימת הם גם חופפים זה את זה. אנחנו לא רואים שום סיבה במנהל מאגר במידה מסוימת.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל מנהל הורדנו.

 << אורח >> מירה סלומון: << אורח >> 

אני מדברת בשם גוף ציבורי.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בגוף ציבורי מנהל הוא לא גוף נוסף. 

 << אורח >> עמרי רחום טוויג: << אורח >> 

בכל גוף זה לא היה גוף נוסף. מנהל מאגר מידע היום הוא עובד הארגון.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל אני אומר הוא לא בעל תפקיד נוסף במובן הזה שבחברה תורת האורגנים אומרת לי שלא צריך למנות בעל תפקיד. הסיבה היחידה שחייבו אותי למנות בעל תפקיד באמת הייתה נטל רגולטורי. בגוף ציבורי לכאורה, השר, ראש העיר, ראש הרשות הרלוונטית, הוא הגורם האחראי אלא שאנחנו יודעים שבגוף ציבורי זה לא האדם, זה לא ראש הרשות. השר לא אחראי למאגרי המידע של משרד המשפטים או של משרד הפנים אלא יש מנהל מאגר. צריך שיהיה מנהל מאגר. לכן אני אומר שבגופים ציבוריים זה בגלל תורת האורגנים השונה ולא בגלל הנטל הרגולטורי. 

 << אורח >> מירה סלומון: << אורח >> 

אני אומרת שיש כאן כמה וכמה תפקידים שהם יכולים להצטמצם כאשר מדובר ברשויות מקומיות. מנהל מאגר, אני לא חושבת שיש היום טעם בסעיף הזה, בטח ובטח לא כאשר מדובר במחזיק. כבר דיברנו על כך כמה פעמים, על השאלה בין בעל מידע לבין מחזיק.

אני מקריאה הגדרת מנהל מאגר מחוק הגנת הפרטיות: "מנהל פעיל של גוף שבבעלותו, באחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה". כידוע ברשויות המקומיות יש הסדרים מאוד ברורים לגבי מי מנהל מידעים. מנהל מאגר במקרים שאנחנו מכירים, ממש נלקח מאוד ברצינות. יש גם אחריות שיש עם זה. אין באמת סיבה להתייחס למנהל מאגר.

לגבי ממונה אבטחת מידע וממונה על הגנת הפרטיות. מדברים כאן על שני תפקידים סטטוטוריים שעכשיו עומדים להיקבע. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אחד קיים. רק אחד עומד להיקבע.

 << אורח >> מירה סלומון: << אורח >> 

נכון. אחד מצטמצם במידה מסוימת.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא, לכם לא מצטמצם. בגופים ציבוריים הנושא של ממונה אבטחת מידע לא יצטמצם. הוספנו DPO.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

היא אומרת מה שתאמר רשות מקומית.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הגדרת מנהל מאגר בגוף ציבורי, לפי התיקונים עליהם דיברנו, "ולעניין גוף ציבורי המנהל הכללי של גוף שבבעלותו או באחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו". אני לא מחייב אתכם למנות מנהל מאגר. אני פשוט אומר שאם המנהל הכללי לוקח אחריות על המאגר, הוא בתורת האורגנים הפנימית של הגוף הציבורי יהיה אחראי. אם הוא לא לוקח אחריות על המאגר והוא ממנה בעל תפקיד, הוא נפטר כביכול מאחריותו. זאת לא חובה למנות מנהל מאגר אלא אם אני לא מבין את התקנות.

 << אורח >> מירה סלומון: << אורח >> 

האם מאגר יכול להיות גם אחד מהתפקידים האלה? ממונה אבטחת מידע יכול להיות גם מנהל מאגר?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

תכף נדבר על זה. אני רק אומר שמנהל מאגר, אני לא רואה בחוק – אולי אני טועה – ואין לכם חובה למנות מנהל מאגר.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >> 

אני חושבת שיש פתרון לזה. הסיבה היחידה שמשרד המשפטים רוצה להשאיר את מנהל המאגר, זה בגלל תקנה 18א(2) לתקנות אבטחת מידע. אני מציעה לתקן את תקנה 18א(2) לתקנות אבטחת מידע ולהכניס בתוכה שביצוע השחזור יהיה באישור בעל השליטה במאגר המידע או בגוף ציבורי המנהל הכללי של גוף שבבעלותו או באחזקתו מאגר מידע. אז תורידו מנהל מאגר מהחוק.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

כמו שאמר היושב-ראש, יש הבדל בין גופים פרטיים לגופים ציבוריים. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

איפה הגדרת מנהל בחוק?

 << אורח >> קריאה: << אורח >> 

סעיף 7.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

הצענו לוועדה הגדרה מדויקת. 

 << אורח >> רחל ארידור הרשקוביץ: << אורח >> 

הם הציעו להגדיר אותו כ"מנהל הכללי של גוף שבהובלתו או באחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה לעניין גוף ציבורי".

 << אורח >> עמית יוסוב עמיר: << אורח >> 

חוץ מתקנות אבטחת מידע, לגופים ציבוריים יש גם את תקנות הגנת הפרטיות בעניין העברת מידע בין גופים ציבוריים. יש שם יותר ארוך שעוד רגע אני אקריא אותו. שם גם יש תפקיד חשוב למנהל מאגר מידע בהעברת מידע בין גופים ציבוריים. זאת פונקציה שקיימת רק בגופים ציבוריים ושם זה מהותי ולא טכני. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הכול בסדר אבל לכאורה גם שם, אם אנחנו מתקנים את ההגדרה כמו שאנחנו מתקנים, מי שיהיו עליו החובות והחבויות לפי העברות מידע לפי סעיף 23 והתקנות לפיו, יהיה מנכ"ל הרשות.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אם לא מינה. כן. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אם הוא לא מינה. אני לא מחייב אתכם למנות. אם הוא לא רוצה למנות, הוא הגורם. אני לא מטיל עליכם את החובה למנות מנהל. אם אתם רוצים למנות מנהל, בסדר. בגוף ציבורי בלי הגדרת מנהל, אין לי בעל מאגר.

 << אורח >> מירה סלומון: << אורח >> 

גם ברשות המקומית.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

גם ברשות המקומית. מי בעל המאגר? 

 << אורח >> מירה סלומון: << אורח >> 

כאשר מדובר ברשות מקומית, יש סעיף בחוק שמדבר על כך שהרשות המקומית פועלת באמצעות ראש הרשות. זה שמטילים את זה על המנכ"ל כברירת מחדל - - -

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

רשות מקומית, היא אומרת כאן משהו עמוק.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אתם רוצים שיהיה כתוב לעניין גוף ציבורי, מנכ"ל. לעניין רשות מקומית, ראש רשות או מישהו שמונה על ידו?

 << אורח >> מירה סלומון: << אורח >> 

לא.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה לא מפריע לי.

 << אורח >> קריאה: << אורח >> 

לרשויות יש מנכ"ל או מזכיר, לא? מנכ"ל זה לא דווקא במובן ההגדרה. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אין דבר כזה רשות שפועלת בלי מנכ"ל. זה תפקיד סטטוטורי.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

ואם אין?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

טלי, אין דבר כזה.

 << דובר >> טלי גוטליב (הליכוד): << דובר >> 

מותר לי לשאול. אני רוצה לשאול. ואם אין? ואם יש לי ממלא מקום?

 << אורח >> מירה סלומון: << אורח >> 

בשאלה של ממונה אבטחת מידע וממונה הגנת הפרטיות, ממונה הגנת הפרטיות לא היה קיים עד היום. אנחנו מצאנו כמה וכמה בעיות. קיימנו שיח גם עם הרשות להגנת הפרטיות בנושא, שאלות של כפיפות בתוך המבנה הארגוני של הרשות המקומית וטענות לניגודי עניינים עם הכפיפות הזו מול מנהל מערכות המידע. אנחנו שוב אומרים שאנחנו מוסיפים כאן עוד תפקיד, חשוב ככל שיהיה, אין לצדו תקציב, אין לצדו הסדרה, יש לנו רשויות מקומיות גדולות, יש לנו רשויות מקומיות קטנות, היכולת שלהן להיערך לדבר הזה והעיצומים הכספיים שיוטלו עליהן אם הן לא ייערכו.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

נראה לי שאנחנו נדבר על זה בסעיף שיעסוק בכפיפויות ובניגודי העניינים. נקודה חשובה מאוד.

נצא לכמה דקות הפסקה ונתחיל את ההקראה בשעה 10:30.

 << הפסקה >> (הישיבה נפסקה בשעה 10:26 ונתחדשה בשעה 10:30.) << הפסקה >> 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אנחנו מחדשים את הישיבה.

אנחנו בסעיף 17ב1. סעיף חדש.

17ב1	חובת מינוי ממונה על הגנת הפרטיות

(1) הגופים המפורטים להלן חייבים במינוי ממונה על הגנת הפרטיות:

(1) בעל שליטה או מחזיק במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות 200,000 אנשים או יותר.

(2) מי שמחזיק במאגרי מידע שונים של חמישה בעלי שליטה שונים או יותר.

(3) גוף ציבורי כהגדרתו בסעיף 23, למעט גוף ביטחוני כהגדרתו בסעיף 23יח.

אנחנו עובדים עם גוף ציבורי רק בסעיף 23?

 << דובר >> נעמה מנחמי: << דובר >> 

בחוק יש שתי עבירות או אפילו שלוש של גוף ציבורי. אנחנו מכוונים לזאת שבסעיף 23.

 << אורח >> קריאה: << אורח >> 

לדעתי זאת הגדרה. יש גוף ביטחוני.

 << דובר >> נעמה מנחמי: << דובר >> 

נכון. יש גוף ביטחוני.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

גוף ביטחוני כהגדרתו בסעיף 23יח. לא הבנתי. בסעיף 17, כאשר מדברים על גוף ציבורי, מפנים להגדרת סעיף 23?

 << אורח >> קריאה: << אורח >> 

כן. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

כך זה עכשיו?

 << אורח >> קריאה: << אורח >> 

כן. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אנחנו עושים סדר בהגדרות.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

כן. 

 << דובר >> נעמה מנחמי: << דובר >> 

ההגדרה היחידה שנשארה בסעיף המקורי שלה. יתר ההגדרות באמת קובצו.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

יש שם עניין של מהות שקשור לפרק ד', שם היא נמצאת.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בסדר.

(4) בעל שליטה במאגר מידע הכולל מידע על אודות 100,000 אנשים או יותר ומתקיים בו אחד מאלה:

(1) המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה.

(ב)	מטרתו העיקרית של המאגר היא איסוף מידע אישי לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתו בסעיף 3.

(2) שר המשפטים רשאי לקבוע, באישור ועדת החוקה, סוגים נוספים של גופים עליהם תחול חובת מינוי ממונה על הגנת הפרטיות.

אני חושב שזו הערה נכונה גם לגבי מה שאמרנו קודם לגבי מחזיק, גם לגבי ממונה אבטחת מידע וגם לגבי ממונה הגנת פרטיות. האמירה בעל שליטה או מחזיק מייצרת סיטואציה על מאגר אחד ואמרו חז"ל שברירת השותפים איננה קרה ואיננה חמה, לא קרירה ולא חמימה. זאת אומרת, כמו שהגששים, חכמינו האחרים לפחות חלקם זיכרונם לברכה אמרו שבסוף יוצא הטעם של קורס. בואו נתאר, לפחות ברמת התיאוריה, את הסיטואציה של מאגר מידע אחד על 200,000 אנשים. יש לו מנהל ויש לו מחזיק והם שני אנשים שונים. שני גופים שונים. 

 << אורח >> עמית יוסוב עמיר: << אורח >> 

בעל שליטה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא מנהל. צודקים, הורדנו מנהל. בעל שליטה. אם הוא גוף ציבורי, יש לנו מנהל.

 << אורח >> ניר גרסון: << אורח >> 

מנהל זה יחיד, זה שחקן אחר. בעל שליטה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

עירייה שיש לה מעל 200,000 תושבים, יש לה מאגר מידע על פרטי התושבים לטובת ארנונה, חינוך, בריאות וכולי. כרגע בעל השליטה היא הרשות ויש לה את המנהל, שזה המנכ"ל או מי מטעמו, יש את ממונה אבטחת המידע ויש את ממונה הגנת הפרטיות כאשר ממונה אבטחת המידע וממונה הגנת הפרטיות, יש לי שניים, ויש לי את המחזיק. אני סופר את בעלי התפקידים. 

 << אורח >> מירה סלומון: << אורח >> 

מנהל מערכות מידע.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

מנהל מערכות מידע לא בחוק. אני לא מכיר. 

 << אורח >> מירה סלומון: << אורח >> 

מנהל מערכות המידע הוא כן תפקיד רלוונטי לסוגייה הזאת.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל הוא לא בעל סמכות סטוטורית. אני מדבר כרגע על בעלי הסמכות הסטטוטוריים שבסופו של דבר אתם תצטרכו להחליט האם הם עמדו בחובתם הסטטוטורית, האם הם עשו או לא עשו. שוב, בואו נספור עם האצבעות כדי שלא נתבלבל. בעל השליטה, בהקשר הזה הרשות.

 << אורח >> ניר גרסון: << אורח >> 

בעל השליטה הוא האישיות המשפטית. הארגון.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הרשות. עיריית תל אביב. עיריית תל אביב היא בעל השליטה, מנהל המאגר שהוא או מנכ"ל או מי מטעמו, ממונה הגנת הפרטיות וממונה אבטחת מידע, מחזיק וממונה הגנת הפרטיות ואבטחת מידע אצל המחזיק. 

 << אורח >> מירה סלומון: << אורח >> 

ומנהל מאגר מידע כל עוד לא ירד מהמחזיק.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

כבר ספרתי מנהל מאגר מידע. שבעה גורמים.

 << אורח >> מירה סלומון: << אורח >> 

לא. מנהל מאגר מידע של המחזיק כל עוד לא ירד מהמחזיק.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

ירד מהמחזיק מנהל מאגר. אין מנהל מאגר.


 << אורח >> ניר גרסון: << אורח >> 

זה כמו לספור יחד בננות ותפוחים.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

למה?


 << אורח >> ניר גרסון: << אורח >> 

כי יש לך את הארגונים ויש לך את מי שאחראי בתוכם. לספור את החברה או את עיריית תל אביב יחד עם - - -

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אתה אומר שש ולא שבע. 

 << אורח >> ניר גרסון: << אורח >> 

חמש.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

למה חמש?


 << אורח >> עמית יוסוב עמיר: << אורח >> 

כי ספרת גם את המחזיק. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

המחזיק זאת חברה. 


 << אורח >> עמית יוסוב עמיר: << אורח >> 

נכון. זאת חברה. זה לא בעל התפקיד בתוך החברה. ספרת גם את החברה וגם את המחזיק.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל המחזיק הוא אישיות שנושאת אחריות על פי חוק. 


 << אורח >> נועה גבע: << אורח >> 

אבל זו חברה נפרדת. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

חברה נפרדת. אנחנו מדברים על חברה נפרדת. אנחנו מדברים על זה שבאופן הגיוני עיריית תל אביב, אני לא בדקתי, אני מעריך, משתמשת בחברה חיצונית לטובת ניהול מאגר התושבים כי היא יודעת שיש אנשים שזאת המומחיות שלהם.

 << אורח >> ניר גרסון: << אורח >> 

אבל זה לא בעל תפקיד שנוצרת חובה למנותו.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני אומר שכרגע בשנייה שעיריית תל אביב קיבלה החלטה אחת והיא לא לנהל בעצמה את המאגר לא להחזיק בעצמה את המאגר, היא קיבלה החלטה אחת שהיא החלטה די הגיונית וסבירה בנסיבות העניין, בשנייה שהיא עשתה את זה - בנושאים מסוימים יש שישה אנשים כי בוא נניח שראש הרשות באמת לא יתעסק בנושא.


 << אורח >> עמית יוסוב עמיר: << אורח >> 

חמישה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא חמישה. איך חמישה?

 << אורח >> עמית יוסוב עמיר: << אורח >> 

כי המחזיק הוא לא איש. המחזיק הוא גוף.

 << אורח >> קריאה: << אורח >> 

זאת חברה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

גוף שיש עליו אחריות. הוא חברה פרטית. הוא בן אדם. יש עליו אחריות על פי חוק.

 << אורח >> ניר גרסון: << אורח >> 

לא. ב-99 אחוזים מהמקרים הוא לא בן אדם אלא הוא חברה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הוא חברה ואז על החברה יש אחריות. הוא אישיות משפטית שאתם רוצים להטיל עליו עיצום כספי. חבר'ה, אתם רוצים להוריד אותם מעיצומים כספיים, בואו נסגור את האירוע. אני אומר שבסופו של דבר הוא אישיות משפטית ששם את צווארו על האירוע.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אנחנו לא מחפשים עוד אנשים להטיל עליהם אחריות. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני מקצין. אתם לא מחפשים אנשים.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אפילו הצענו פוזיטיבית הורדת אחריות מאנשים הספציפיים.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל עדיין אני אומר שבסופו של דבר יש כאן שישה גורמים או שבעה, תלוי איך סופרים, שישה או חמישה, זה לא משנה, שעוסקים באותה סוגייה ובייחוד בשאלה בין המחזיק לבעלים. זה כפל תפקידים של אנשים שהגדרת התפקיד שלהם היא בדיוק אותו הדבר. זאת אומרת, ממונה אבטחת מידע צריך לדאוג לאבטחת המידע. יכול להיות שיש לו את הפרקטיס שלו ויש לו את הפרקטיס שלו והממונה על הגנת הפרטיות כנ"ל. 

 << אורח >> דלית בן-ישראל: << אורח >> 

לדעתי לפני בעלי התפקידים צריך ללכת צעד אחורה. סיטואציה עובדתית שעירייה או כל גוף עושה מיקור חוץ מהותי של המידע שלו לחברה חיצונית שמחזיקה את המידע ומעבדת אותו. בהתעלם רגע מבעלי התפקידים, חלק גדול מהחובות מכוח תקנות אבטחת מידע צריכות להתבצע על ידי המחזיק והגוף עצמו, בעל השליטה, צריך לפקח על המחזיק כי הוא לא מחזיק פיזית את המידע אצלו, הוא לא עושה את בדיקות החדירה, הוא לא עושה את סקרי הסיכונים אלא הוא מטיל את זה על אותו ספק. כן צריך להיות מישהו שמבין בזה אצל בעל השליטה שמפקח ולא איזשהו פקיד שמקבל איזשהו דוח שספק מיקור החוץ עשה ובכלל לא יודע להסתכל עליו. לדעתי זאת התשתית במבנה הזה של בעלי התפקידים. אם מיקור החוץ הוא מיקור חוץ מהותי, כן קריטי שלפי אותם דברים שייקבעו כאן שאצל אותו גורם של מיקור חוץ יהיה גם ממונה הגנת פרטיות שמבין בהיבטים של הגנת פרטיות ויהיה גם איש אבטחת מידע וממונה אבטחת מידע שיבין בהיבטים האלה.

זה תלוי בסיטואציה ואני מסכימה שאם יש סיטואציה שבה יש מיקור חוץ זניח שמעבירים רשימת טלפונים ושמות של אנשים כדי לשלוח להם סקר ומוחקים אותה אחרי שבוע, אז הגוף הזה גם לא ייכנס בהגדרות האלה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הוא נכנס כרגע.

 << אורח >> דלית בן-ישראל: << אורח >> 

צריך לדון בתנאים.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה מה שאנחנו עושים. כרגע הוא נכנס. מאחר ואתם מבינים בזה הרבה יותר ממני, אני סתם אומר שתעשו לי את הסימולציה של השיחה שתתנהל בחדר כאשר יושבים שני ממוני הגנת הפרטיות האם זה לא כפל תפקידים. אני אומר שתמיד אנחנו יכולים לומר בואו נשים עוד ועוד ועוד אבל השאלה אם כפל התפקידים הזה בסופו של דבר לא ייצר דווקא את ה-רייסו זה בוטם שזאת אחת הבעיות של כפל תפקידים. כלומר, הסטנדרטים של הליברל שיותר אצלם או הפחות, האם זה לא לייצר אחריות שלא מתחלקת. הכפל הזה מעורר אצלי שאלות בסיסיות שבדידותו של המנכ"ל קצת נפגמת.

 << אורח >> איה מרקביץ': << אורח >> 

חברת פרייבסי טים. אני קצת מבולבלת מהדיון עכשיו כי אני מרגישה שאנחנו לוקחים צעד אחורה ומתקדמים קצת קדימה. אמרנו שמבטלים מנהל מאגר ואז אמרנו שהוא נשאר בגוף ציבורי. לא סעיף 18 לתקנות אבטחת מידע אלא תקנות העברת מידע בין גופים ציבוריים. אם אתם לוקחים את התקנות האלה, בתקנות העברת מידע בין גופים ציבוריים, אם אני מסתכלת היכן המונח של המאגר נמצא – אם תחליף אותו בממונה אבטחת מידע, זה יהיה יותר הגיוני. יש לך מנהלי מאגר של מערכות המוסרות ומקבלות מידע דרך קבע, התקשרות להעברת המידע ביניהם וכך זה ממשיך. אלה היבטים טכניים. למה זה צריך להיות מנהל מאגר? בוא נחליף את המונח.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני מבין את הנקודה שלך. אני רק אומר שזה לא משנה. זה הוויכוח בין שבע לשש. 

 << אורח >> איה מרקביץ: << אורח >> 

אנחנו מדברים על האם יש כמות גדולה מדיי של בעלי תפקידים, ואם כן - בוא נוריד את זה שמיותר ולא נתחיל את הדיון באלה שהם חשובים. 

 << אורח >> עמית יוסוב עמיר: << אורח >> 

כמו שהיושב-ראש אמר, בגוף ציבורי הוא שם.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

מנהל מאגר בגוף ציבורי הוא למעשה נציג הגוף הציבורי. הוא הישות. אין לי מישהו אחר. לכן מהבחינה הזאת, בסדר.

 << אורח >> איה מרקביץ': << אורח >> 

התפקיד שלו לא מתאים.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני מסכים איתך. נגיע לדיון.

 << אורח >> דן אור-חוף: << אורח >> 

אני רוצה לחזור לנושא הזה של מינוי או של הכפילות שאדוני דיבר עליה. אני חושב שצריך לעשות אולי הבחנה לגבי התפקיד הזה בין בעל שליטה במאגר לבין מחזיק. כאשר מדובר בבעל שליטה במאגר, יש חובות שחלות במיוחד על בעל שליטה כמו בהקשרים של וידוא קבלת הסכמות למשל, בעניינים של מתן הודעות פרטיות ודברים שהם אולי שמורים יותר לטריטוריה של בעל שליטה מאשר מחזיק. מחזיק, הכיוון הוא אולי לכוון לאלה שהנושא של ניהול מידע עבור אחרים, זה ביזנס משמעותי שלהם. זה עסק משמעותי והם מנהלים. יכול להיות שאולי מנהל רשימה אחת עבור מישהו אחר שכוללת רק שמות ומספרי טלפון, זה באמת לא משהו שמצדיק מינוי כזה אבל אם אני עושה את זה בכמות גדולה של לקוחות ויש לי תעבורה מאוד גדולה של קבצים - - -

 << יור >> היו"ר שמחה רוטמן: << יור >> 

זה סעיף (2).

 << אורח >> דן אור-חוף: << אורח >> 

יכול להיות שחמישה זה לא הנכון. אני רק אומר שאנחנו צריכים לכוון למחזיקים כאלה שיש להם עסק שמנהל כמויות משמעותיות של מידע עבור אחרים ולגביהם אולי יש משמעות יותר גדולה גם למינוי ממונה.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

הבהרה של הדין, על מה אנחנו מדברים. בהמשך לדברים של עורך דין אור-חוף, החובה של המחזיק היא לא קמה כתוצאה מזה שעכשיו הוא התקשר עם העירייה ומחזיק לה את המאגר אלא רק אם הוא כשלעצמו הוא כזה – אחר כך נדבר על הקריטריונים - - -

 << אורח >> דן אור-חוף: << אורח >> 

אם הוא משרתם של הרבה אדונים.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא, לא נכון. זה לא מה שכתוב. 


 << אורח >> עמית יוסוב עמיר: << אורח >> 

אתה מדבר על אבטחת מידע. אני מדבר על הדין הקיים לגבי ממונה. הוא לא צריך רק כי הוא התקשר עם עירייה אחת להחזיק לה את המאגר.

 << אורח >> מירה סלומון: << אורח >> 

כמה יש כאלה שמתקשרים רק עם רשות אחת?

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אם יהיה לו מחזיק להרבה, זו כבר שאלה אחרת.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

עצם העובדה שיש על אותו מאגר ארבעה אנשים שהם שניים פלוס שניים, זה אירוע שקשה לי איתו. קשה לי איתו כי אני מנסה לדמיין את השיחות. אפילו יהיו שבעה, לא שבעה, לא שישה ולא חמישה, אלא ארבעה אנשים, שני ממוני הגנת פרטיות ושני ממוני אבטחת מידע על אותו מאגר שיושבים ומתווכחים ביניהם. אין מנגנון הכרעה, אין מנגנון אחריות, מי פה, מי שם. 

 << אורח >> נועה גבע: << אורח >> 

אולי משהו שיכול להסביר את העובדה תמיד יש את הכפילות הזאת. זאת אומרת, הכפילות קיימת כשזה מחויב המציאות אבל יש סיטואציות בהן בעל השליטה לא יהיה מחויב והמחזיק כן, ואגב, גם הפוך. זאת אומרת שאם יש כפילות, כשזה מחויב מהפעילות של כל אחד מהם, אבל רק שם, אז קמה ההצדקה לכך.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

רק בכל הרשויות המקומיות בישראל פחות או יותר. רק בכל הגופים הציבוריים בישראל. רק שם.

 << אורח >> נועה גבע: << אורח >> 

דווקא שם באמת יש צורך.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אם יש צורך, אני שוב שואל. אגב, יכול להיות מצב ששניהם גופים ציבוריים - ובסופו של דבר אנחנו עוסקים בחלוקת סמכויות בגופים ציבוריים - שגם המחזיק הוא גוף ציבורי, נניח ישראל דיגיטלית, השאלה היא מה קורה אם ממונה הגנת הפרטיות של משרד המשפטים וממונה הגנת הפרטיות של ישראל דיגיטלית רבים ביניהם. מה אנחנו עושים? איפה קונים כרטיסים לקרב?

 << אורח >> נועה גבע: << אורח >> 

הפתרון קיים היום בתקנה 15 לתקנות אבטחת מידע שמגדיר מאוד במפורש את הסוג של ההסכם שנדרש בין שני הגופים האלה ואיך באמת בעל שליטה מכתיב את הסטנדרט שהוא נדרש לאותו מחזיק מטעמו.

 << אורח >> קריאה: << אורח >> 

בעיניי אין כאן מי גובר על מי אבל זה יותר מקרה של קנאת סופרים מרבה חכמה. זאת לא הכרעה. יש שני גופים שכל אחד מטפל בעמדה מנקודת מבט אחרת ודווקא ברוב הפעמים לא תהיה התנגשות אלא תהיה השלמה. לכן לא עולה הנחה של ויכוח.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

יכול להיות. 

 << אורח >> קריאה: << אורח >> 

יש לך את הסינרגיה ביניהם ויש חשיבות שיהיה גם לזה וגם לזה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

יכול להיות ותמיד בכל זאת כשאתה מזהה חפיפת גזרות, אתה מנסה להבין איפה עובר גבול הגזרה של כל גורם.

 << אורח >> ענר רבינוביץ׳: << אורח >> 

בעיניי אין כאן חפיפת גזרות ואני חושב שהכפילות הזאת זה כמו לטעון שלכל גוף יהיה עורך דין ואז יש כאן כפילויות. לא. כל אחד פועל עבור או בשם אותו ארגון, אחראי לגזרה שלו והגזרה הזו ברורה כמו שנועה אמרה קודם דרך ההסכם בין הצדדים, בהנחה שאנחנו מדברים כאן על מחזיק משהו.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

ראשית, אם הייתי מחייב סטטוטורית מינוי עורך דין לגוף, הייתי שואל בדיוק את אותה שאלה. כלומר, אתה צודק, זה כמו עורך דין. אם הייתי מחייב סטטוטורית וכשאני מחייב סטטוטורית שלכל רשות מקומית יהיה יועץ משפטי – אני דן בשאלה מה היחס בין היועץ המשפטי של הרשות לבין היועץ המשפטי לממשלה. כן, כשאני מחייב סטטוטורית וזאת שאלה לא פשוטה. התובע העירוני, אני כפוף למחלקה ל-... פה אני כפוף פחות כשאני מחייב סטטוטורית גורם. לכן לבוא ולומר שזה כמו עורך דין, לא מרגיע אותי. בכלל עורכי דין לא מרגיעים אותי.

 << אורח >> ענר רבינוביץ׳: << אורח >> 

אני אסביר איך זה קורה בפועל. איה, אני, אנחנו בצוות, אנחנו DPO'S של עשרות ארגונים, אנחנו עובדים מול DPO'S בארגונים אחרים. אין את החיכוך הזה, אני לא מכיר את החיכוך הזה שתיארתם. זה לא אנחנו מתווכחים על אותן גזרות. לכל אחד ברורה האחריות, ברורים הסטנדרטים. ההסכם, אולי יש ויכוח על מה ההסכם יגיד אבל בסוף מסכימים ומתקדמים. אני חושב שאין כאן התנגשות או אינטרסים שונים ואם יש, ההסכם בסוף מכריע. כלומר, מה שחתמנו, זה מה שקובע. אני לא רואה למה העובדה שיש פה ופה DPO או סיסו, מנהל אבטחה, אמור להרתיע אותנו מחיוב המינוי.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני כלל לא מורתע. אני בעד. אני רק מנסה להבין. שוב, תאר לי שיחה למה אני מחייב את המחזיק גם בהקשר הזה ב-DPO ואם אתה DPO של בעל השליטה – אני לא יודע לנהל את השיחה הזאת. אתם רוצים לעשות סימולציה? - ומישהו אחר כאן יהיה DPO של המחזיק, מתי הוא ייכנס לפעולה ויהיה צורך בו?

 << אורח >> ענר רבינוביץ׳: << אורח >> 

עוד לפני השיחה בין שניהם, הרי ה-DPO ובכלל בעל השליטה כשהוא מתקשר עם המחזיק, הוא סומך עליו שיש לו את כל האמצעים הדרושים לנהל את המידע ולהגן עליו כפי שצריך. לשם כך ה-DPO, מרוב שהוא עושה את העבודה כבר בתכנון המערכות, תכנון הפעילות וכולי, הייעוץ השוטף לארגון, לוודא שהוא עומד בדרישות, בין אם אלה דרישות חוקיות ובין אם אלה דרישות חוזיות, זו כבר עבודת הרקע שהוא עושה. המחזיק הפך להיות מחזיק של בעל השליטה. הוא מנטר את השימוש השוטף. אנחנו באמת עומדים במה שהתחייבנו. אנחנו עומדים בחובות החוקיות. אנחנו לא חורגים מהרשאות שניתנו לנו. אם כן, יש לו פעילות שוטפת והוא בשטח. הוא שם בארגון או מייעץ לארגון, הוא לא אצל בעל השליטה שאין לו נגיעה והוא לא רואה מה קורה ביום יום ואין לו פיקוח שוטף.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

עכשיו מתהפכת השאלה. למה אני צריך אותך? אתה בהקשר הזה ה-DPO של בעל השליטה. הכנת את ההסכם, החלת את ההסכם. לצורך העניין יושבת כאן מירה וצודקת. היא אומרת שהיא תל אביב, אני צריכה לוודא – הייעוץ המשפטי, המנכ"ל, בעל השליטה, לא משנה – שלבן אדם שאני נותן לו לעשות את המאגר, יש DPO ואני צריך לוודא שבניהול השוטף שלו הוא בסדר. בשנייה שיש איזשהו DPO שלקח אחריות על האירוע מבחינת DPO, אני מילאתי את חובתי הרגולטורית. למה אני צריך DPO?

 << אורח >> ענר רבינוביץ׳: << אורח >> 

אם אתה DPO אצל בעל השליטה, אני מזכיר שבעל השליטה קובע את מטרות העיבוד ואת אמצעי העיבוד.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

גם היום הוא קובע את זה. הוא כבר קבע את זה. 

 << אורח >> קריאה: << אורח >> 

ההחלטות החשובות מתקבלות אצל בעל השליטה. 

 << אורח >> ענר רבינוביץ׳: << אורח >> 

ההחלטות ובעצם ה-DPO מוודא שיש עמידה בעקרונות העיבוד. אמנם תיקון 15, אמרנו מתי הוא יגיע, הנכדים שלנו יחגגו אותו, אבל יגיעו אלינו בזמן כלשהו עקרונות העיבוד כפי שמקובל בחקיקה בעולם. עקרונות העיבוד, כלומר צמצום מידע, כלומר לא לשמור אותו לפרק זמן ארוך מדיי, חוקיות עיבוד המידע – כל זה רלוונטי גם בשכבת בעל השליטה ולא רק אצל המחזיק.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

בוא נדבר על תקנה 15. יש היום חובת פיקוח וביקורת של בעל השליטה על המחזיק ומישהו צריך לעשות את זה בבעל השליטה והמחזיק. 


 << אורח >> עמרי רחום טוויג: << אורח >> 

היום זה על היבטים של אבטחת מידע בלבד ולא על היבטי פרטיות. 

 << אורח >> ראובן אידלמן: << אורח >> 

אני חושב שכאשר קוראים את תקנה 15, זה ברור שיש היררכיה ברורה בין בעל השליטה למחזיק. מי שקובע זה בעל השליטה. אם אדוני יקרא את התקנה, זה מאוד מאוד מובהק. זה פורט את זה. בעל השליטה בעצם מכתיב למחזיק את כל התנאים, באיזה תנאים הוא מרשה לו להחזיק עבורו מידע ולעבד עבורו מידע. אני מזכיר שגם בהגדרה שהוועדה קבעה למחזיק, הוא מעבד עבור מישהו אחר. זאת אומרת, הוא כפוף לחלוטין.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

השאלה שלי לענר או לעמרי. אתה DPO של ארגון ואתה יודע עכשיו שאתה מעביר את זה למחזיק. אם אתה חושב שלצורך התפעול אצל המחזיק אתה צריך אקסטרה DPO ולא מסתפק במנגנון הקיים שם, תדרוש ותכניס את זה כחלק מתנאי החוזה. תאמר, חברים, אני לא מתכנן לריב עם כל קוף, אני צריך מנהל קרקס. לא יכול לריב עם כל קוף בארגון, אני צריך מישהו שינהל את הקרקס הזה ואם לא יהיה לכם DPO מסודר באירוע, אני לא חותם איתכם חוזה כדי שאני או לקחת אחריות מקצועית שלי כ-DPO של הבעלים על מאגר ספציפי. אתה חושב שאתה מסתדר בלי בגלל נסיבות העניין? אתה חושב שאתה לא צריך? למה אני מחייב אותך?

אתה צודק שיכולה להיות סיטואציה שמה שנקרא הוא בשטח והוא לא בשטח ויכול להיות שתיעזר בזה ויכול להיות שלא תיעזר בזה, אבל השאלה היא למה אני מטיל את החובה הסטטוטורית לשניים. קח אתה ותנהל את הסיכונים שלך. לשם כך מיניתי אותך, אתה DPO.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

חשוב להבהיר שלא בהכרח מטילים על שניים. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא, אתה כן בהכרח מטיל על שניים.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אדוני לקח את הדוגמה המקסימליסטית.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא. לקחתי את הדוגמה הנפוצה. ראשית, גוף ציבורי כמעט בהגדרה - - -

 << אורח >> עמית יוסוב עמיר: << אורח >> 

בהגדרה. לא כמעט. ממש בהגדרה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

גוף ציבורי.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

גוף ציבורי הוא בהגדרה. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

תקשיב לי. גוף ציבורי בהגדרה חייב DPO אבל גוף ציבורי שמעביר למחזיק, המחזיק יהיה חייב ב-DPO רק אם יש מעל 200,000 נושאי מידע. 

 << אורח >> עמית יוסוב עמיר: << אורח >> 

נכון.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לכן אני אומר את זה.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

רוב הרשויות המקומיות בארץ הן עם מתחת ל-200,000 נושאי מידע.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

יש הרבה מאוד רשויות מקומיות שיש להן 200,000 נושאי מידע. בוודאי שכל גוף ציבורי שהוא משרד ממשלתי מאוד מהר מגיע ל-200,000 נושאי מידע ובוודאי כמו כל גוף ציבורי, ודאי כמו המוסד לביטוח לאומי וכולי, כל הגופים הציבוריים הנורמליים הרציניים ואלו שמטרידים אותנו, יהיו צריכים שני DPO'S על מאגר מידע, כל מאגר מידע שהם מוציאים לאאוט סורסינג. כמעט כל מאגר מידע, אולי למעט מאגר העובדים שלהם. 

אני אומר שאני בעד שיהיה DPO אם צריך. אני אומר מי מבחינתי שומר הסף שיחליט האם למחזיק צריך עוד אקסטרה DPO, ה-DPO של הבעלים, יחליט שצריך – יחליט. לא יחליט – לא יחליט. למה אני צריך לחייב בהגדרה שניים? הוא חושב שבניהול הסיכונים צריך אקסטרה למחזיק, חושב. אני שם שנייה בצד את מי שמחזיק חמישה מאגרי שליטה או יותר. 

 << אורח >> מירה סלומון: << אורח >> 

זה כמעט כולם.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא, אני לא בטוח.

 << אורח >> מירה סלומון: << אורח >> 

אותה מערכת מידע עם כביכול כמה תוכניות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני שם את זה בצד כי לא בטוח שזה יישאר חמש ואולי נעשה שם דיון מהותי. לא משנה כרגע. 

 << אורח >> ענר רבינוביץ׳: << אורח >> 

עוד שיקולים חשובים כאן ולשאלה האם אנחנו צריכים לחייב DOO מנדטורי אצל מחזיק או וולונטרי.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא וולונטרי. אתה דורש את זה כחייב כי אחרת אתה לא תיתן אישור, אם אתה חושב שצריך אבל אתה הבוס, אתה הראש.

 << אורח >> ענר רבינוביץ׳: << אורח >> 

אם החוק לא מחייב את המחזיק, כן נקרא לזה וולונטרי. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

חוזי.

 << אורח >> ענר רבינוביץ׳: << אורח >> 

נכון. במקרים כאלה, לרוב ה-DPO הוולונטרי יהיה לו פחות כוחות, פחות סמכויות כי החוק לא נתן לו את הבשר ואת הכוח בתוך הארגון. זה דבר אחד. דבר שני, ה-DPO אצל בעל השליטה, לחשוב שבעל השליטה כארגון או שהמחלקה המשפטית שלו יכולים לדרוש כל מה שבא להם והמחזיק ייקח את זה כי הוא רוצה את הביזנס הזה, זה לא נכון. לפעמים זה קורה. אם אתה אמזון שבא להתקשר עם סטרט-אפ ישראלי, כנראה אתה כן תכופף אותו לכדי מינוי DPO גם אם לא חייב אבל לרוב אני לא יכול לחייב אותם ללבוש חולצות ורודות לעבודה כי החוק לא תומך בי בעניין הזה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הוא גם לא יתמוך בך, בטח לא מכאן. 

 << אורח >> דן חי: << אורח >> 

אני חושב שצריך לעשות הבחנה, דיברתם על זה, על כמות המאגרים שהמחזיק מחזיק כי ברגע שיש לו שני מאגרים ויותר, זה כבר אירוע.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

על סעיף (2) נדבר בהמשך.

 << אורח >> עמרי רחום טוויג: << אורח >> 

אני רוצה לדבר בכובעי כעורך דין שמייצג הרבה סוגים של מחזיקים ולאו דווקא את גוגל.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אתה מייצג יותר מחמישה?

 << אורח >> עמרי רחום טוויג: << אורח >> 

כן. אני חושב שיש הבחנה קונספטואלית מהותית למה ובאיזה נסיבות אנחנו רוצים DPO אצל בעל שליטה במאגר שהיקף החובות עליו הוא המקסימלי. הוא קובע את מטרות עיבוד מידע, הוא קובע מה עושים עם המידע, לו האחריות האולטימטיבית לכל וכמו שראובן אמר בצדק, יש היררכיה ברורה לגבי מערך היחסים בין בעל שליטה במאגר ומחזיק לבין מצבים שבהם אלה מצבים מבודדים יותר ותחומים יותר שבהם אנחנו רוצים סטטוטורית לחייב מחזיקים למנות ממונה הגנת פרטיות. כרגע, בנוסח המוצע, אם מסתכלים על סעיפים קטנים (1) ו-(4) שהם הסעיפים המהותיים שעוסקים בסוג המאגר, הם לא עושים את ההבחנה הזאת. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא. סעיף (4) מדבר על בעל שליטה ולא על מחזיק.

 << אורח >> עמרי רחום טוויג: << אורח >> 

נכון. סעיף קטן (1), אבל בסוף הוא הסעיף הראשון ולא סתם. הוא לא מבחין בין השאלה אם זה בעל מאגר או מחזיק במאגר. אני חושב שקונספטואלית יותר נכון לדבר על הסעיפים המהותיים שעוסקים בבעל השליטה במאגר, מתי צריך - בגלל סוג המאגר וסוג העיבוד, סוג מטרות שימוש המידע, סוג המידע שיש במאגר – למנות ממונה הגנת פרטיות. אפשר לדון בנפרד, וזה סעיף קטן (2), ואני לא בטוח שהמספר של כמות המאגרים שמחזיקים הוא המדד. אפשר לדון בפרד, מהותית, מתי מחזיק, בגלל סוג המחזיק, יש לו חובה נפרדת למנות ממונה. אגב, ג-FDPR, כאשר מסתכלים על ההגדרות של מתי צריך למנות דאטה פרוטקשן אופיסר, לא ממונה הגנת הפרטיות, ההגדרות הן לא הגדרות כמותיות. אמנם יכולה להיות חובה גם על בעל השליטה וגם על המחזיק מטעמו, אבל השאלה היא שאלה מהותית לגבי סוג פעולות עיבוד המידע שכל אחד מהגופים עושה. יהיו מצבים שבהם רק קונטרולר חייב למנות DPO והמחזיקים שלו לא בכלל, ויהיו יכולים להיות פוטנציאלית, למרות שיש מקרים חריגים, הפוך. 

לכן אני חושב שקונספטואלית נכון, בסעיף קטן (1) למחוק את המחזיק ובסעיף (2) לדון בשאלה המהותית.

 << אורח >> איה מרקביץ': << אורח >> 

אני חושבת שבעיניי זה בדיוק הפוך. במובן שזה לא נכון להסתכל כך. ברור שבעל השליטה הוא נושא ברוב האחריות ולכן גם המינוי של ה-DPO שלו הרבה יותר חשוב והמינוי של מחזיק שרק מבצע הוראות. אני לא מתכוונת לומר שהעמדה שלך היא הפוכה לעניין אלא שהדגש צריך להיות הפוך במובן שהאזור המסוכן הוא כאשר את מפקידה את המידע בידי גורם חיצוני ועכשיו המידע בחזקתו והוא, בעיקר העסק שלו, בליבת הפעילות שלו, כמו המקרים שמצוינים ב-GDPR כמעוררים סיכון מוגבר ולכן מחייבים מינוי DPO, ליבת הפעילות שלו היא לעשות את עיבוד המידע הזה בהקשרים מסוימים שאולי יותר מסוכנים. אנחנו לא הולכים לשם בהצעה בנוסח שלנו ובעיניי זה שגוי ובהקשר הספציפי של מחזיק - - -

 << יור >> היו"ר שמחה רוטמן: << יור >> 

למה? אני מנסה להבין למה.

 << אורח >> איה מרקביץ': << אורח >> 

אני כמחזיק קבלת הוראות ובהסכם כתוב שבעל השליטה במאגר אומר שאני אבצע את העיבוד במידע שלו בהתאם להוראות ההסכם, למטרות ההסכם, אך ורק לצורך קבלת השירות. מה זה אומר קבלת השירות? מה למטרת קבלת השירות? זה לא תמיד מובן מאליו - - -

 << אורח >> רחל ארידור הרשקוביץ: << אורח >> 

 גם לא תמיד בעל השליטה הוא החזק. אנחנו מניחים כאן כביכול שבעל השליטה יוכל לומר למחזיק שימנה DPO. אין לי חובה סטטוטורית על המחזיק.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

שאלת מינוי ה-DPO, נאמר קודם, להלן דוגמת החולצות הוורודות. זה כבר נאמר. אני מנסה להבין למה איה אומרת את זה כי אם המחזיק פועל בחריגה מההסכם - - -

 << אורח >> איה מרקביץ': << אורח >> 

אם הוא פועל מההסכם, מי מפקח על זה?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

ה-DPO.

 << אורח >> איה מרקביץ': << אורח >> 

זה לא בפנים.

 << אורח >> עמרי רחום טוויג: << אורח >> 

לפעמים בעל השליטה נותן לו את שיקול הדעת להחליט ואז הוא לא חורג הסכם.

 << אורח >> איה מרקביץ': << אורח >> 

מי בונה את המוצר, את השירות, את הפלטפורמה, את מה שלא יהיה שהמעבד מציע מלכתחילה? אני חושבת שאולי העניין של הבלבול ואי ההבנה והפער בדיון הזה נובע מזה שחלקנו בתוך עולם של GDPR כי אנחנו חיים אותו ביום יום וחלקנו מסתכלים על זה במושגים שבאמת החוק לא מותאם וקשה לגשר על זה. כאשר מסתכלים ואומרים שקיבלת הוראות, בצעי אותן אבל יש מנעד שלם של דברים שאת צריכה לשקול וגם כשאתה מעבד, את לא עיוורת לזה שיש כאן עקרונות עיבוד ובסיסים לעיבוד, איפה הסיכונים ואיך אנחנו פוגשים אותם ולא רק במובן של דלף מידע, לא רק במובן של סיכונים נמצאים במישור של אם יש מידע שהוא נורא רגיש ויקרו דברים רעים אם הוא יזלוג החוצה בגלל ההשתמעויות של שימושים לרעה, של מה יגלו עלי. אלה האזורים היחידים בהם סיכון למידע שנמצא. זה רק אבטחת מידע והעיקר אולי של עבודה של... היא באזורים של איך מותר להשתמש במידע ואיך אסור, מה הוגן ומה לא הוגן, איך אנחנו משקפים את זה ואת כל העולם הזה של שיקולי מהות - כרגע אין לנו בחוק. לכן קשה לנו להבין מה הסיכום עם המחזיק. זה במיוחד המחזיק שצריך על עצמו את המבנה הזה שאנחנו צריכים להכניס לתוך החוק ויפה שעה אחת קודם, וכבר התחלנו בצעדים בהפרות המסוימות שהכנסנו. 


 << אורח >> מירה סלומון: << אורח >> 

אני חושבת שכאן נחשף הפער בין גוף ציבורי לבין גוף פרטי. גוף ציבורי, אין לו את מתחם שיקול הדעת של מה אפשר לעשות עם המידע בגלל שיש את עקרון חוקיות המינהל. הרשות המקומית והמחזיקים שלה לא יכולים לעשות שום דבר אלא אם יש להם הסמכה מפורשת בדין לעשות כן. במקרה הזה, לעומת גוף פרטי שבהחלט יש מה לשקול כי יש פיתוח עסקי לגביו, זה הרבה יותר רחב. השאלה היא ביחס לגוף ציבורי והשאלות של מחזיק של גוף ציבורי – לא יכול לעשות "מניפולציה" במירכאות על מידע שמגיע מהרשות המקומית כי הוא של הרשות המקומית והוא צריך לפעול בהתאם לחוק שחל על הרשות המקומית לגבי זה. 

אני חושבת שכאן זה חלק מהבעיה. מסתכלים על גופים ציבוריים ועל גופים עסקיים ופרטיים אחרים או לא עסקיים, באותו אופן מסתכלים עליהם. רואים אותם כמקשה אחת ולא מייצרים הסדר מותאם אולי לפה ואולי לשם.

 << אורח >> יורם ביטון: << אורח >> 

מנהל אבטחת מידע של ביטוח לאומי וממונה על הגנת הפרטיות. אני רוצה לעשות סדר לפחות מהצד הפרקטי. המנהל אבטחת מידע אני אחראי על המידע, על השמירה של המידע, וגם על ההגנה שלו, על ה-דאטה פרוטקשן. כממונה הגנת פרטיות אני מסתכל על המידע עצמו ואני מסתכל האם כשאני מעביר מידע לגוף ציבורי אחר, אני לא מעביר מידע עודף. אנחנו משתמשים במונח DPO והוא לא נכון לנו בדיון הזה. דאטה פרוטקשן ומנהל אבטחת מידע עושים את אותה עבודה. ממונה הגנת פרטיות מסתכל על הפרטיות ועל המידע הפרטי שמחזיק גוף על כל אדם ואדם. 

 << אורח >> דן אור-חוף: << אורח >> 

אני חושב שברור לכולנו ומוסכם שחובת המינוי היא קורלטיבית לניהול סיכונים ולמידת הסיכון שמי שמעבד את המידע יוצר. אנחנו במידה מסוימת באנומליה כי בעלי שליטה, יש עליהם אולי יותר חובות אבל בסופו של דבר בעולם היום, בעולם של מיקור חוץ שחלק גדול מאוד מפעולות העיבוד נעשות על ידי ספקים, מי שמייצר בפועל הרבה פעמים את הסיכון, זה יהיה הספק, זה יהיה המחזיק ולאו דווקא בעל השליטה. מהבחינה הזאת אני חושב שבעיניי ההצמדה הזאת לעניין של עיבוד מידע על כמות גדולה של נושאי מידע היא רלוונטית גם לבעלי שליטה וגם למחזיקים וזה נושא שצריך לקחת אותו בחשבון לא רק בהקשר של בעלי שליטה. אולי זה כן צריך לפתור את הבעיה הפרקטית בזה שמחזיקים לפעמים לא יודעים מה הם מחזיקים. זה אולי נושא שצריך לקחת אותו בחשבון, שאגב, הוא לא נלקח בחשבון במסגרת ה-GDPR והוא יוצר בעיות פרקטיות בשטח. זאת נקודה לתשומת הלב.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אני אתייחס בקצרה. חשוב לי שוב לומר שכל מה שדובר כאן, זאת לא הצעה שלנו. חשוב לי להבהיר מה אנחנו כן מציעים פוזיטיבית. ההצעה שלנו, כמו שאפשר לראות בסעיפים (2) עד (4), היא לקבוע מקרים בהם בעל שליטה צריך למנות ממונה הגנת פרטיות כי במקרים שבהם מחזיק, מקרים שונים, לכל אחד יש את אמות המידה. אפשר אחר כך לדבר על המספרים, על הכמויות של כל אחד מהם. סעיף (1) מתייחס לחריג, למקרה הקצה שבו יש מאגר כל כך גדול ורגיש, יותר מ-200,000 נושאי מידע לגבי מידע בעל רגישות מיוחדת.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

שזה כמעט כל דבר.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

לא. אני לא חושב שזה כמעט כל דבר. גם נעשתה עבודה ורוב רובם של המאגרים בארץ הם לא שם. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

כאשר דיברנו על הרגישות המיוחדת, ניסיתי לזכור מה זה מחוץ לרגישות מיוחדת.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אנחנו מדברים על 200,000. אדוני צמצם יחסית משמעותית את הגדרת מידע. יש לנו כאן 200,000. ככלל, הכיוון של אדוני הוא תואם להצעה הממשלתית.

חבריי מהרשות יתייחסו.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אחרי שעשינו את לימוד השטח, אני מבקש שתתייחסו להבחנה בין בעלים למחזיק, איך מתמודדים עם הסיטואציה של מחזיק שלא יודע מה הוא מחזיק ואנחנו לא רוצים שהוא ידע מה הוא מחזיק, אין לנו עניין מיוחד שהוא ידע מה הוא מחזיק והאם יש מקום לאבחן אחזקה שאינה אלא אחסון. בסופו של דבר, אם אנחנו מסכמים את הנקודות שעלו בדיון, מתכנסים לשאלות 1, 2 ו-3 במסמך ההכנה. כל אחד נתן את הדגשים שלו אבל בסופו של דבר אלו השאלות העיקריות שמרחפות מעל האירוע. ענית שאתה מבחינתך באירוע של סעיף (1), זה האירוע שבו לא צריכה להיות הבחנה ובשאר המקרים כן צריכה להיות הבחנה. לגבי אחזקה שאינה באחסון ולגבי מה האירוע של מחזיק – זה עלה כאן על ידי כמה אנשים - ואיך אנחנו מתמודדים עם סיטואציה שמחזיק אומר שהוא לא יודע והוא גם לא רוצה לדעת כמה אנשים יש אצלו במאגר או איזה סוגי מידע או אם מידע בעל רגישות מיוחדת או לא. אני לא רוצה לקרוא את המידע כדי לדעת האם חלה עלי חובת ה-DPO.

 << אורח >> ניר גרסון: << אורח >> 

לגבי השאלה השלישית, מהניסיון שלנו, אני חושב שזה גם עלה מדברים שענר אמר לגבי ניסיונו מהצד העסקי, השוק מסדיר את זה. מחזיקים ידאגו לזה שבחוזים תהיה חובה כזאת בלי להיכנס לעובי הקורה לדעת בדיוק מה, אם יש להם חובה או לא. כך גם ראינו במציאות. 

 << אורח >> עמרי רחום טוויג: << אורח >> 

זה לא קורה במציאות. זה לא קורה בפרקטיקה. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

האם זה קורה כיום לגבי ממונה אבטחת מידע? 

 << אורח >> קריאה: << אורח >> 

לא.


 << אורח >> עמרי רחום טוויג: << אורח >> 

השאלה לא מתעוררת היום.

 << אורח >> קריאה: << אורח >> 

למה? יש חובת רישום, איך הוא יכול לדעת?

 << אורח >> עמרי רחום טוויג: << אורח >> 

חובת הרישום עד היום, בגלל שההגדרה של מידע רגיש הייתה כל דבר, אז כל מאגר שיש בו מידע אישי, היה חייב ברישום ולכן היית צריך רק לספור לכמה אנשים אתה נותן שירות ולא מה תוכן המאגר ולא איזה סוגי מידע. לכן השאלה הזאת לא מתעוררת היום. 

 << אורח >> עמית יוסוב עמיר: << אורח >> 

בסופו של דבר יש כאן איזושהי הצעה שהעלינו בפני הוועדה. יש שתי חלופות. התנאים המהותיים, אנחנו חושבים שהם טובים. ב-FDPR יש תנאים שגם צריך להיות שיח בין בעל השליטה למחזיק. הם פשוט יותר עמומים. אפרופו כל הדיונים על תיקון 15, ה-GDPR, הם חשובים, הם טובים, אבל העמימות תתגבר. היא לא תפחת כי כל הסטנדרטים שם הם סטנדרטים ולא כללים. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

השאלה אם זו עמימות קונסטרוקטיבית.

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אני אומר שבסוף יהיו הרבה מאוד שאלות פרשניות. ככל שהולכים יותר לכיוון ה-GDPR יהיו יותר שאלות פרשניות ולא פחות. לגופו של עניין, צריך להיות שיח. השאלה שמונחת על השולחן הוועדה, והצענו שתי חלופות - ושוב, אני אתייחס לשאלה השלישית כפי שציינת ואחר כך אני אחזיר את רשות הדיבור לרשות – או שנניח זה יוסדר בשוק החופשי במסגרת החוזים שהם חייבים לקיים ביניהם, או שתהיה הוראה בדין שמחייבת להסדיר את הנושא בחוזה. אלה לדעתי שתי האפשרויות כדי שבעל השליטה והמחזיק ידעו האחד מה עושה השני.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

באיזה סעיף מופיעות האופציות האלה?

 << אורח >> עמית יוסוב עמיר: << אורח >> 

אין הצעת נוסח ספציפית.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני אומר שאני נוטה לחשוב שלפחות לעניין מחזיק, אם מסר בעל השליטה במאגר, אמר לו שאין לו חובה, הוא לא יודע שיש לו חובה אלא אם כן תכף נדבר בסעיף (2) על המספר.

 << אורח >> ענר רבינוביץ׳: << אורח >> 

מה שהצגת עכשיו זה חוזר לעניין המספרים. כלומר, המספרים, בעל השליטה יגיד לי שיש כאן איקס נושאי מידע. אנחנו חושבים שצריך להיפטר מהדרישה הכמותית הזאת שהיא לא הולמת את הסיכונים, לגבי בעל שליטה ומחזיק. כלומר, חובת מינוי DPO על פי מספר מסוים של נושאי מידע או סוגים מסוימים של מידע, זה יכול לשמש קריטריון בשיקולים.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

 מה אתה מציע כאן? אתה אומר לי להפוך את זה לוולונטרי? אני אעשה הערכת סיכונים האם אני צריך DPO בעצמי? מי יעשה לי את הרכת הסיכונים, ה-DPO שלא מיניתי? 

 << אורח >> ענר רבינוביץ׳: << אורח >> 

אני מציע קודם כל לקחת את המנגנון שקבוע ב-FDPR שהוא לא תלוי מספרים ובמכוון הוא לא תלוי מספרים כי גם באירופה הם הבינו כמה שנים לפנינו - - -

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בקיצור, מונחים עמומים.

 << אורח >> קריאה: << אורח >> 

עמומים לגמרי. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הבחירה שכרגע עומדת בפניי כאן בוועדה היא האם ללכת לכלל נוקשה או לכלל עמום. אתה אומר עמום, תכף נדבר על הגדרת העמום בקשר לזה. הרשות אומרת שהיא רוצה כלל נוקשה שהיא יודעת לעבוד איתו, היא יודעת לאכוף אותו, והשוק גם יודע מה לעשות איתו.

 << אורח >> איה מרקביץ': << אורח >> 

אנחנו שומרים כלל שרירותי לעומת כלל תכליתי. אפשר לקרוא לזה סמנטיקה אבל חשוב להבין מה המטרה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אין ספק שברגע שאתה קובע כלל נוקשה, יש בו מידה מסוימת של שרירותיות. זה מובן.

 << אורח >> איה מרקביץ': << אורח >> 

אבל מה התכלית של המספר הזה?

 << יור >> היו"ר שמחה רוטמן: << יור >> 

התכלית היא, כאשר אני רוצה לדעת, במיוחד כאשר מדובר במינוי בעל תפקיד שבסופו של דבר אנחנו יודעים שכשאני מנסה לחוקק כאן חוק שמוסיף תקן בשירות המדינה, מגיעים לכאן נציגי האוצר בזעקות שבר ושואלים מה אני עושה להם.

מצד אחד ברור שכלל מהותי הוא דבר חשוב ולא שרירותי כמו שאת אומרת, אבל מצד שני מישהו יצטרך לעשות את הערכת הסיכונים לפני מינוי ה-DPO והמישהו הזה הוא ה-DPO כי אין לי מישהו אחר שיעשה את זה. יש לי כאן ביצה ותרנגולת מסוימת.

 << אורח >> איה מרקביץ: << אורח >> 

איך מתמודדים איתה ב-GDPR?


 << אורח >> ענר רבינוביץ׳: << אורח >> 

קודם כל, לא בהכרח ה-DPO ישריין לעצמו את מקום העבודה אלא זה יכול להיות ייעוץ משפטי למשל.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בסדר, אבל הבנת את הנקודה.


 << אורח >> ענר רבינוביץ׳: << אורח >> 

ניתוח הסיכונים הזה, אני חושב שהוא חשוב. זה כבר מראה על רמת בשלות מסוימת שנדרשת מארגון לבצע - - -

 << יור >> היו"ר שמחה רוטמן: << יור >> 

 מבחינתך אתה אומר בואו נציע כמו שעשינו בתקנות אבטחת מידע, נוסיף סעיף דומה לזה בחקיקה ונגיד שכאשר אתה מקים מאגר מידע, למסמכי הגדרת המאגר, תוסיף ששקלת את השיקולים של ה-GDPR והחלטת לא למנות DPO. תראה לי שחשבת על זה.

 << אורח >> ענר רבינוביץ׳: << אורח >> 

אם אני ארגון שמעבד מידע אישי, אני צריך במסגרת הערכות הסיכונים שלי.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הבנתי את ההצעה. בוא נרד איתה לרמת הפרקטי. מה אתה מצפה, ככל שאנחנו מדברים על חובת מינוי DPO, ואיך אני יוצק תוכן לחובה הזאת ולא באמצעות ניסוי וטעיה או האם ב-	GDPR הטילו אי פעם קנס או משהו על זה שלא מינו DPO?

 << אורח >> קריאה: << אורח >> 

כן.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

השאלה היא האם אנחנו רוצים במציאות הרגולטורית והמשפטית של מדינת ישראל לייצר את הכלל העמום הזה, בטח לרמת העיצום הכספי שזו בעיה מסוג אחד וגם להליך השיפוטי.

 << אורח >> ענר רבינוביץ׳: << אורח >> 

לעניין העיצום הכספי אני חושב שמנגנון של התראה, כלומר, בגלל שיש כאן שאלה של פרשנות, כן יש מקום לשיח. אם הרשות חושבת שארגון שלא מן ה-DPO היה צריך שתתריע בפניו אז הוא יוכל למנות לפני שהוא חוטף את ה-כאפה הגדולה.

 << אורח >> גלעד סממה: << אורח >> 

היה צריך לפי הפרשנות שלנו.

 << אורח >> ענר רבינוביץ׳: << אורח >> 

נכון. 

 << אורח >> קריאה: << אורח >> 

לרשות יהיה שיקול דעת מוחלט לקבוע.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא מוחלט כי הוא יוכל להגיש ערעור על ההתראה הזאת. אני רק אומר שבשנייה שהמונחים האלה הם כל כך עמומים והרשות תקבל את שיקול הדעת לקבוע את החובה וגם להטיל עליה את הקנס בשלב יותר מאוחר, ומהיכרותנו את המערכת השיפוטית הישראלית לטוב ולרע, אני מתקשה לראות את השופט שיבוא ויאמר לרשות להגנת הפרטיות שהפרשנות שלה כאן בנושא הגנת הפרטיות מופרכת. זאת אומרת שאני אומר עכשיו לרשות להגנת הפרטיות שאתם תוכלו ליפול על כל בעל עסק במדינת ישראל או פחות או יותר על כל אדם במדינת ישראל לשאול אותו למה לא מינית DPO ולהגיש לו התראה ובתוך 30 ימים אותו בעל עסק חוטף צורך וצריך להוסיף תקן - כאשר אפילו אני לא יודע אם יש במדינת ישראל מספיק אנשים שמוכשרים לעשות את זה - שהוא צריך למנות כ-DPO.

אני חושב שזה היקף רגולטורי מאוד מאוד גדול. אתה אומר לי באירופה זה קיים. אני לא יודע כמה בתי המשפט שם מרוסנים וכמה הרשויות שלהם שם מרוסנות ומה הפרקטיס שם. אני מוכן להתערב שברמת החקיקה אתה אולי צודק, ברמת ה-GDPR אבל בסופו של דבר, בין אם בהנחיות ובין אם בנהלים, הם נותנים שם פרוקסיס מספריים, הם נותנים שם פרוקסיס. 

 << אורח >> ענר רבינוביץ׳: << אורח >> 

יפה, כי בדקנו ולא.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אם כן, מה הם עושים?

 << אורח >> ענר רבינוביץ׳: << אורח >> 

להפך. הם במפורש אומרים שהם נמנעים מזה בגלל שהמספר השרירותי גורם לך לפספס יותר מדיי מקרים שהיה נחוץ בהם DPO אם קבעת את הרף המספרי. לא הגיעו למספר אבל עמדו בשאר הקריטריונים.

 << אורח >> ראובן אידלמן: << אורח >> 

אבל הם מטילים עיצום בלי התראה. הם יכולים להטיל עיצום באופן ישיר.

 << אורח >> ענר רבינוביץ׳: << אורח >> 

הם יכולי לעשות באפר. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

האמת, זה קצת קשה לי. קצת קשה לי כלל עמום. אני כן הייתי חושב ללכת לכיוון הזה ואני אומר שתחשבו על זה ותעשו את השיח בזמן ההפסקה הקרובה כשאני הולך לדיון על הביטוח הלאומי. יהיה לנו זמן לחשוב על זה עד תיקון 15. יכול להיות שכן כדאי לייצר את החובה הרכה הזאת, הרכה, הקשיחה, יכול להיות שזה קצת יותר קשה מזה - וזה רעיון שהבנתי שעלה בשיח - לבוא ולומר שאני לא מייצר חובה שעצם מינוי ה-DPO, אי מינוי ה-DPO הוא העילה להטלת עיצום כספי אלא שבהינתן שאני מטיל עליך עיצום כספי מסיבות אחרות, העובדה שאתה מינית DPO או לא מינית - לא יודע מי הציע את זה – היא תהיה עילה להפחתת העיצום או להקלה בקנס או בהתחשבות או משהו כזה. הבנתי שזה עלה כהצעה. בשיח המקדים קיבלתי את זה. הבנתי שעמית הציע את זה. לא העמית הזה.


 << אורח >> ענר רבינוביץ׳: << אורח >> 

ב-GDPR הקריטריונים לא כולם עמומים. יש איזשהו בייס ליין של פעילות, סוג פעילות, עיבוד. למשל ניטור שיטתי. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

עדיין, מונחים מאוד עמומים.

 << אורח >> ראובן אידלמן: << אורח >> 

אבל קריטריון הגודל, ה-GDPR אומר לארג' סקייל אוף ספיישל קטיגורי אוף דאטה. זאת לא העילה היחידה אבל יש עילה נפרדת ב-GDPR בסעיף קטן (3) שמדבר על גוף שהוא או מחזיק או בעל שליטה, אפרופו הדיון הקודם, שניהם, שמחזיק מידע בעל רגישות מיוחדת בהיקף גדול.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >> 

מה אנחנו מפספסים? ליבת הפעילות, זה החלק החשוב.

 << אורח >> ראובן אידלמן: << אורח >> 

הגדרה של רגישות, של סיישל קטיגורי אוף דאטה מצומצמת יותר ברשימה.

 << אורח >> עמרי רחום טוויג: << אורח >> 

הגדרה של ספיישל קטיגורי שונה מזו של הניטור. 


 << אורח >> גלעד סממה: << אורח >> 

אדוני, השאלה האם לקבוע את הקריטריון בצורה מאוד מפורשת כאן בחקיקה או פשוט לתת לרשות את האפשרות לקבוע את הקריטריונים בהנחיות שלה. בעיניי זה השיח כאן.

 << אורח >> עמרי רחום טוויג: << אורח >> 

אני מתקשה להיות כזה אקטיביסט. 

 << יור >> היו"ר שמחה רוטמן: << יור >> 

בהטלת חובה רגולטורית, אני מאוד רגיש. אני מודה.


 << אורח >> גלעד סממה: << אורח >> 

אני חושב שאנחנו תרבותית, חקיקתית, חברתית לא שם.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני מסכים איתך. לכן אני חושב שההצעה שהצעתי, תנהלו עליה שיח כשנצא להפסקה, מאחר ואנחנו נמצאים ב-DPO שהוא יבוא מ-15 והוא יבוא חלקי. רפורמת מה שטוב באירופה טוב בישראל טרם הסתיימה. לכן זה יבוא חלקי. לכן אני חושב שיכול להיות שדווקא זה יכול להיות פיילוט מעניין עד תיקון 15 ויהיה לנו את הזמן ללמוד עד תיקון 15 איך זה פועל ובינתיים שהחובה הזאת משמעותה תהיה לעניין תקנות ההפחתה ולא כאיסור עצמאי.

השאלה היא האם זה משהו שאפשר לחשוב עליו כפשרת ביניים ואז ממילא השאלה של ה-DPO תעלה, בשלב הראשון בוודאי, כאשר בגופים ציבוריים היא פחות רלוונטית גם בגלל נושא העיצומים הכספיים אבל בגופים ציבוריים אני יכול לחיות עם זה וזה לא מפריע לי אבל בכל הנוגע לרגולציה לשוק הפרטי, הרגולציה כאן היא רגולציה רכה. עדיין אני אומר לך שאתה תפעיל את שיקול הדעת כמו שענר אומר לך לפי הכללים דומים ל-GDPR כאלה או אחרים, נחשוב על הניסוח - - -


 << אורח >> ענר רבינוביץ׳: << אורח >> 

לפי ההנחיות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

לא רק לפי ההנחיות. לא לפי הנחיות כאשר במובן הזה אני לא רוצה לתת לרשות את האפשרות לקבוע הנחיית חובת DPO ולאכוף אותה, להיות גם המחוקק וגם המוציא לפועל, אבל כן לומר ב-בסט פרקטיס של הרשות שארגון שנפל ברשתי מסיבות אחרות – היה בו דלף מידע מאוד משמעותי, אני עושה בו פעולות פיקוח, אני מטיל עליו עיצום כספי בגלל הפרה של הוראה אחרת – וכן מינה DPO לפי ה-בסט פרקטיסיס שלי, זה אחד מהשיקולים שאני אשקול כשאני אבוא להפחית לו את העיצום הכספי. 

אני אומר שזה משהו שייתן לנו סוג של פיילוט על תיקון מספר 15 לנסות. מצד אחד אומר יש חובה, רק שבצד החובה אין עיצום כספי, החובה מוגדרת בצורה כללית והפרתה, משמעותה, אתם תכניסו אותה להקלות. יכול להיות שהפרתה אגב תביעה, ככל שתהיה הגדרה רחבה, זה עלול להיווצר וצריך לחשוב האם אנחנו רוצים את זה או לא רוצים את זה אגב הפרת חובה חקוקה או רשלנות. זאת אומרת, אגב תביעה יבואו ויאמרו שארגון כמו שלך שליבת הפעילות שלו הוא עיבוד מידע ברמה הכי מסוכנת, הכי רגיש שיש על 500,000 אנשים, ואתה לא עמדת בסטנדרטים של הסעיף הזה לכן הפרת חובה חקוקה או שהתרשלת. אני יודע שזה משהו חדשני. 


 << אורח >> גלעד סממה: << אורח >> 

אני לא אוהב את ההסתכלות של חובת מינוי ממונה הגנת פרטיות מהפריזמה של הפרה כזו או אחרת. אני חשוב שזאת לא ראייה נכונה, בין אם אתה מפחית ובין אם לא מינית כאשר על פניו היית צריך ואז אנחנו מכפילים לך את העיצום.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני לא הצעתי את ההצעה אבל זה רעיון מעניין.


 << אורח >> גלעד סממה: << אורח >> 

אני תמיד לוקח את זה לצד השני. אני לא בטוח שההסתכלות על מינוי ממונה הגנת פרטיות מהפריזמה של הפרה, אני חושב שהוא לא תהליך נכון.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אבל למה אתה רוצה כלל מוחלט? כאשר שאלנו למה אתה רוצה כלל מוחלט במספרים, ניתחנו, למה לא ללכת לגישת ענר אלא ללכת לגישת גלעד, התשובה הייתה, ראשית, כדי שאני כרשות אדע מה אני אוכף, שנית, כדי שהשוק ידע בצורה ברורה מה אני אאכוף או מה הדרישות ממנו.


 << אורח >> ראובן אידלמן: << אורח >> 

ושלישית, כדי שיהיו ממוני הגנת פרטיות.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

ושלישית, כדי שיהיו ממוני הגנת פרטיות. 

 << אורח >> גלעד סממה: << אורח >> 

כשאמרתי חקיקתית-חברתית התכוונתי גם לדבר הזה.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

אני מסכים. ניתוח מצוין. אם כן, יש כאן שלוש סיבות. שתי הסיבות הראשונות הן פונקציה של האכיפה. הסיבה השלישית, ראשית, לגבי השחקנים המרכזיים והמסה הגדולה של הסעיף הזה, הגופים הציבוריים, אין ויכוח.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >> 

אפשר להוסיף גם דאטה ברוקרס. אין סיבה לא להוסיף.

 << יור >> היו"ר שמחה רוטמן: << יור >> 

הדאטה ברוקרס, חייבים ברישום. בסדר. אני אומר שעליהם אין ויכוח ולגביהם תהיה חובה קבועה וברורה. כלומר, יש לנו אותם. הם כבר נכנסים לנו. אני אומר שאתה צודק אבל אני אומר בוא נזכור מהיכן יצאנו. יצאנו ממקום שבכלל לא הייתה חובה כזאת. היינו מחכים עד תיקון 15 שתהיה החובה. אני אומר בוא נעשה כפיילוט מבחינתנו בלי כרגע לכתוב את זה, להגדיר את זה כפיילוט אבל לייצר את החובה הזאת לרשויות המקומיות, לגופים הציבורים, לייצר אותה בחוק. לייצר אותה לחייבים ברישום. לאחרים לעשות את זה כרגע בתור חובה קצת יותר רכה שמשמעויותיה בסעיפים (1) ו-(2) או הן או בתקנות הפחתה או רק פוסט מורטום כתביעה אחרי שמשהו קרה, ולראות מה עובד.

תבוא לתקן תיקון 15 כמו שתכננת ותעשה סקר וביקורת רוחב ותגיע למסקנה שרוב האנשים שהיה חשוב לך שיהיה DPO ממילא כבר עשו את זה ולכן אפשר להסתפק בחובה הרכה הזאת, או שאז תחזק את זה. אני חושב שכאשר אנחנו מייצרים כאן איזושהי חובה חדשה לשוק, אני מעדיף אותה מראש יותר רכה והיא יותר רכה בסנקציות. אני מאמין שאת רוב המקרים זה יפתור. 

תמשיכו בהפסקה את השיח המקצועי ביניכם. נשוב ונתכנס כאן בשעה 12:30 ונמשיך את הדיון בנושא זה. תחשבו על הדבר הזה. אני חושב שזה כיוון שמוריד הרבה מהחששות גם של השוק וגם של הרגולציה. 

ישיבה זו נעולה.


 << סיום >> הישיבה ננעלה בשעה 11:31. << סיום >>