פרוטוקול של ישיבת ועדה

הכנסת העשרים-וארבע

הכנסת



3
ועדת החוקה, חוק ומשפט
16/05/2022


מושב שני



פרוטוקול מס' 267
מישיבת ועדת החוקה, חוק ומשפט
יום שני, ט"ו באייר התשפ"ב (16 במאי 2022), שעה 11:45



סדר היום:
 << הצח >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב–2022 << הצח >>   


נכחו:
חברי הוועדה: 
גלעד קריב – היו"ר
גבי לסקי  –  מ"מ היו"ר
זאב בנימין בגין
ענבר בזק
אורי מקלב


חברי הכנסת:
שמחה רוטמן


מוזמנים: 
	איל זנדברג
	–
	ראש תחום משפט ציבורי, מח' ייעוץ וחקיקה, משרד המשפטים

	מיכל אברהם
	–
	מחלקת ייעוץ וחקיקה, משרד המשפטים

	ליאת בן מאיר שלום
	–
	ייעוץ משפטי לממשלה, משרד המשפטים

	אגת גרוסמן
	–
	מתמחה, משרד המשפטים

	לירון הופפלד
	–
	המחלקה המשפטית, הרשות להגנת הפרטיות

	ניר גרסון
	–
	ס. ראש מחלקת יעוץ משפטי ואסדרה, הרשות להגנת הפרטיות

	גלעד סממה
	–
	ראש הרשות, הרשות להגנת הפרטיות

	לוטם הכהן
	–
	מתמחה, הרשות להגנת הפרטיות

	יהונתן קלינגר
	–
	משפטי, התנועה לזכויות דיגיטליות

	רחל ארידור הרשקוביץ
	–
	חוקרת, המכון הישראלי לדמוקרטיה

	לירון בנדק
	–
	עו"ד, נשיאות המגזר העסקי

	יעקב עוז
	–
	עו"ד, נשיאות המגזר העסקי

	אייל פרובלר
	–
	יועץ משפטי, התאחדות התעשיינים

	רועי סננס
	–
	חבר ועדת הגנת הפרטיות, לשכת עורכי הדין

	דן חי
	–
	יו"ר ועדת הגנת הפרטיות, לשכת עורכי הדין

	רועי גולדשמידט
	–
	מרכז מחקר ומידע, הכנסת

	אסף גלעד
	–
	שדלן, יועץ משפטי בחברת לושה

	אלי כהן קגן
	–
	שדלן, יועץ משפטי, חברת לושה

	חיים רביה
	–
	שדלן, עו"ד

	שקד פלדמן יפתח
	–
	שדלן

	אייל רועי שגיא
	–
	שדלן, עו"ד, (עמר רייטר ז'אן שוכטוביץ ושות'), מייצג/ת את מיקרוסופט ישראל בע"מ






ייעוץ משפטי: 
נעמה מנחמי

מנהל הוועדה:
איל קופמן

רישום פרלמנטרי:
אסתר מימון



<< נושא >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב–2022,  מ/1496 << נושא >>   


 << יור >> היו"ר גלעד קריב: << יור >>   

מכובדיי, צוהריים טובים לכולם, אני מתנצל על האיחור. אנחנו בדיון שני בהצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב–2022. קיימנו דיון פתיחה בהצעת החוק. כפי שאנחנו אמרנו, אנחנו מתכוונים מהדיון הזה והלאה לעסוק בפרטי ההצעה ולהתקדם בה ולא לחזור הדיון החשוב שקיימנו, אבל הוא היה דיון פתיחה עקרוני ורעיוני.

 חבריי וחברותיי, אני רוצה לומר את הדבר הבא בפתח הדברים: המטרה שלנו היא לקדם את החקיקה הזאת. זמן רב מדי הבית הזה לא שדרג את החקיקה הקיימת בתחום הגנת הפרטיות. ניתן לקיים דיון רעיוני-תאורתי, שנגענו בו קצת בדיון פתיחה, האם במצב הנוכחי, גם לאור העובדה שהזכות הזאת נהנית היום ממעמד חוקתי והחוק חוקק לפני חוק-היסוד וגם לאור העובדה שזה אחד מהתחומים הדינמיים ביותר בעולם המשפט לאור ההתפתחויות הטכנולוגיות שמקיפות אותנו – ניתן היה לקיים דיון רעיוני האם נכון היה ללכת פה בצעדים או בקפיצות, האם נכון ללכת בשיטה של תיקונים או להתיישב על המדוכה ולחוקק מחדש את חוק הגנת הפרטיות במלאת 41 שנים לחקיקתו. הדיון הזה הוא דיון ראוי, הוא דיון חשוב, אבל כרגע הוא לא הדיון הרלוונטי, כי אין לנו אלא את הצעת החוק הממשלתית שעברה בקריאה הראשונה, וזה המסלול שהבית הזה התווה בפנינו בעצם אישור הצעת החוק בקריאה ראשונה, ולכן אנחנו נמצאים בשיג ושיח עם הרשות המבצעת, שזאת הייתה החלטתה, ואנחנו נתקדם עם תיקון 14.

הדבר איננו אומר שאגב תיקון 14 אנחנו לא צריכים לחשוב, כוועדה, מתוך דיאלוג גם עם הרשות המבצעת וגם עם גורמים נוספים. יש לנו פה מועצה סטטוטורית, יש רשות שראוי לבצר את מעמדה, אבל היא רשות במעמד עצמאי מסוים, שהוא מעמד מסוים של הבעת דעה עצמאית, יש את החברה האזרחית, יש את המרחב העסקי. ההליכה שלנו לתיקון 14 לא אומרת בהכרח שאנחנו לא מחויבים לחשוב האם אגב הטיפול בהצעת החוק הממשלתית לא ראוי להכניס דברים נוספים, בין אם מקורם בעבודה של החברה האזרחית, ואנחנו מכירים עבודה אינטנסיבית של המכון הישראלי לדמוקרטיה וגורמים אחרים, יש הצעת חוק פרטית שהונחה על שולחן הכנסת, ששקדו עליה כאן בוועדה, קודמי בתפקיד שקד עליה, אני הנחתי אותה על שולחן הכנסת, אבל מאחוריה יש עבודה משמעותית של הייעוץ המשפטי. צריך לחשוב מה ניתן להוסיף לתיקון.

שלושה דברים מרכזיים צריכים להדריך אותנו בשאלה הזאת האם יש מקום להוסיף דברים. השיקול הראשון הוא הרצון שלנו לסיים את החקיקה. החקיקה הזאת, אפשר לתלות עליה עוד הרבה מאוד דברים ולגלות שבין אם בקשר לנסיבות הפוליטיות הנוכחיות וגם אם לא היה שעון חול פוליטי מסוים, אנחנו יכולים להיתקע פה גם שנתיים-שלוש. צריך לקדם שדרוג של חקיקת הפרטיות, אז כל הזמן נעשה שיקולים של עלות אל מול תועלת בהוספת דברים.

הדבר השני שצריך לחשוב זה על הקוהרנטיות של תיקון מס' 14. ופה אני מסתכל בייחוד לחבריי מן הרשות המבצעת. התיקון מתמקד בהענקת כלי אכיפה שכולנו חושבים שצריך להעמיד אותם או את חלקם. כלי האכיפה חייבים להיות מתוך דיאלוג עם הדברים שאנחנו מבקשים לאכוף, והתופעות שאנחנו מבקשים לשרש, ובהחלט יכול להיות שתיקון 14 בעצמו וסעיפיו מחייבים אותנו רגע להסתכל גם על דברים נוספים, כדי לראות שלא תצא תקלה מתחת ידינו. ואני אומר את זה לא ברמה התיאורטית. יש דברים שמחייבים רגע לצאת מתיקון 14 ולראות את ההגדרות המהותיות של המחוקק, שלגביהן מתבקשת החמרת אכיפה.

והדבר האחרון שנשקול זה באמת האם יש דברים שאנחנו חושבים שיש חשיבות מאוד גדולה לקדם כרגע, ואנחנו לא יכולים להמתין איתם לתיקון מס' 15. וגם כאן חשוב לי לומר: יש המון דברים שאפשר להוסיף, צריך לבחור במשורה את אותם דברים שבעינינו באמת חשוב מאוד להוסיף בעת הזאת להגנת הפרטיות, ויש רעיונות מרעיונות שונים. אני מזכיר שכבר היום מונחות על שולחן הכנסת הצעות חוק פרטיות, שחלקן גם מתכתבות עם רעיונות שנידונים בממשלה, מתובענות ייצוגיות ועד מהלכים אחרים בתחום הפרטיות, וצריך לשאול האם יש משהו שהוא חשוב.

נקודת המוצא שלי, ובזה אני מסיים את דבריי, היא שאחרי תיקון מס' 14 מגיע תיקון מס' 15, אבל יש עוד נקודת מוצא, שבין תיקון 14 לבין תיקון 15 יעבור זמן רב, כי אלה החיים בבית הזה ואלה החיים במסדרונות הממשלה. אז המחשבה או נקודת המוצא לא צריכה להיות שגמרנו את תיקון 14 ומיד מתחילים בתיקון 15. אין מה לחשוב על פער הזמנים, יהיה ככל הנראה פער זמנים גדול, ולכן מה שלשיטתנו נחוץ לעשות עכשיו, טוב לעשות במסגרת תיקון 14, בכפוף להיתכנות החקיקה והשלמת המעשה.

מכיוון שמדובר בהצעת חוק ממשלתית, הממשלה כמובן תציג את סעיפי הצעת החוק. הדיון היום יתמקד. אנחנו הולכים פה על פי הסדר. אנחנו פותחים בסעיפי ההגדרות. אנחנו נראה בהמשך האם אנחנו נצמדים דווקא לסדר הטקסטואלי של החקיקה או מבצעים קפיצות בין הנושאים. היום לפחות נלך על הסדר.

כבר עכשיו נקבעה סדרת דיונים, כרגע היא קבועה אחת לשבועיים, אבל בכוונתי להאיץ אותה. נראה האם ההצעה תהיה בדיונים יותר תכופים או פשוט בדיונים יותר ארוכים. עוד נחליט. תהיה פה הרבה מאוד עבודה בין הדיונים ונצטרך להגיע להבנות ולהסכמות.

אלה דברי הפתיחה שלי. גברתי היועצת המשפטית, את רוצה לומר דבר מה בפתיחה?

 << דובר >> נעמה מנחמי: << דובר >>   

לא. פשוט נתחיל.

 << דובר >> נעמה מנחמי: << דובר >>   


סעיף 1 להצעת החוק זה סעיף של שינוי מונחים.

	1. 	בחוק	הגנת הפרטיות, התשמ״א–1981 (להלן – החוק העיקרי), בכל מקום –
		(1)	במקום ״פנקס״ יבוא ״מרשם״;
		(2)	במקום ״בפנקס״ יבוא ״במרשם״;
		(3)	במקום ״מהפנקס״ יבוא ״מהמרשם״;
		(4)	במקום ״הרשם״ יבוא ״הממונה״;
		(5)	במקום ״לרשם״ יבוא ״לממונה״;
		(6)	במקום ״בעל מאגר מידע״ יבוא ״בעל שליטה במאגר מידע״;
		(7)	במקום ״בעל מאגר המידע״ יבוא ״בעל השליטה במאגר המידע״;
		(8)	במקום ״מבעל מאגר מידע״ יבוא ״מבעל השליטה במאגר מידע״;
		(9)	במקום ״מבעל מאגר המידע״ יבוא ״מבעל השליטה במאגר המידע״;
		(10)	במקום ״לבעל מאגר המידע״ יבוא ״לבעל השליטה במאגר המידע״;
		(11)	במקום ״לבעל המאגר״ יבוא ״לבעל השליטה במאגר״.״

אלה תיקוני המונחים. רק כדי שתהיה לנו תמונה כוללת, אני אקרא גם את ההגדרות של "בעל שליטה במאגר מידע" ו"הממונה על הגנת המידע", שנמצאים במסגרת תקנה 3, בתיקוני סעיף 7.

תיקון סעיף 7 – 3(2) אחרי ההגדרה "אבטחת מידע" יבוא: ""בעל שליטה במאגר מידע" – מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור;" 

"הממונה על הגנת מידע", "הממונה" – מי שמתקיימים בו תנאי הכשירות להתמנות לשופט של בית משפט מחוזי והממשלה מינתה אותו, בהודעה ברשומות, לפקח על הגנת המידע במאגרי מידע לפי הוראות חוק זה;"

 << יור >> היו"ר גלעד קריב: << יור >>   

תודה. מי המציג?

 << אורח >> איל זנדברג: << אורח >>   

צוהריים טובים. תודה רבה לוועדה, ליושב-ראש על זימון הישיבה, וגם על האמירה החשובה לנו על התדירות ועל הקצב הצפוי של הדיונים. אנחנו כאן כדי לסייע לוועדה, כדי לעבוד, כדי להשלים את החקיקה, וחשוב לי גם לומר שאנחנו באים בלב פתוח ונפש חפצה. יש פה הצעה ממשלתית, והדברים נאמרו גם בדיון המוקדם, יהיו רעיונות, תוספות, גריעות, שיפורים, בסוף הוועדה מחוקקת. יש עמדה ממשלתית, אבל אנחנו כצוות מקצועי באים לסייע בהקשר הזה. תודה רבה גם לייעוץ המשפטי של הוועדה, לנעמה על עבודה מאוד מפורטת ועבודת הרקע.

אנחנו פותחים בסעיפי ההגדרות, שהם סעיפים בחלקם טכניים, בחלקם מהותיים. אני לא אעבור על כל מילה ומילה. אם אנחנו מתחילים בהגדרות האלה חשוב לי לומר, ששינויים בהגדרות תמיד צריך, כמו בכל חקיקה, לבחון לאור המשמעות המהותית שלכם, זאת אומרת, כשקוראים חוק הכלל הוא שאתה קורא קודם את סעיף 2 ואילך, ואז חוזר לסעיף ההגדרות, כי ההגדרה אמורה לשרת בהקשר מסוים. כשההגדרה עומדת לכשעצמה, לפעמים היא מאבדת ממשמעותה או נראית קצת משונה, ובכל זאת ההגדרות בחוק הזה הן הגדרות חשובות.

אנחנו מייצרים כמה שינויים ושכלולים, נקרא לזה, בהגדרות בסיס. אני לא יודע כמה קדימה אנחנו הולכים עם הסעיפים כרגע. את קראת עד סעיף 3 - - -

 << דובר >> נעמה מנחמי: << דובר >>   

קראתי רק את סעיף 1, וכדי שהוא יהיה שלם, קראתי גם את ההגדרות של "בעל שליטה במאגר מידע" ו"הממונה על הגנת המידע".

 << אורח >> איל זנדברג: << אורח >>   

אני אציג כללי, ואז נעביר אלייך את השרביט לשאול את השאלות שגם עלו על הכתב. אנחנו מנסים להבהיר כמה מושגי יסוד, צמד מושגים. יש לנו את המחזיק ובעל השליטה במאגר המידע. המושג עצמו של מאגר מידע עדיין ימשיך ויהיה איתנו. אני מבין שגם על זה יש דיונים, והיו לנו התלבטויות, אבל אנחנו חושבים עדיין שמאגר מידע בהגדרתו המחודשת, המעודכנת, תשמש אותנו כבסיס שאליו אנחנו מתייחסים, וביחס למאגר מידע יש שני גורמים: יש מי שהוא בעל השליטה במאגר המידע ויש מי שהוא מחזיק במאגר המידע.

החיים מלמדים – אני מתאר את זה בצורה מאוד מאוד קצרה, וככל שנדרש, נפרט עוד, ברוח דברי היושב-ראש בפתיחה, שננסה לצלול ישר לעניינים עצמם – שבעל השליטה במובן הרגיל הוא אותה חברה ששולטת במאגר המידע, היא מנהלת, היא מרוויחה את הרווח העסקי או מה שזה לא יהיה – אם זה גוף ציבורי הוא מנהל אותו – אבל הרבה פעמים חברות אחרות או גורמים אחרים, יש להם גישה למידע, הם מחזיקים את המאגר עבור בעל השליטה, ולכן גם על המחזיק וגם על בעל השליטה, שני הגורמים האלה, אנחנו צריכים להטיל, ונראה את זה בהמשך הדרך, חובות או אחריות לפי ההקשר ולפי הצורך.

 << דובר >> גבי לסקי (מרצ): << דובר >>   

כלומר, גם אם נניח בשירותי ענן, יש לי מאגר ששמור שם, זה גם מתייחס לזה?

 << אורח >> איל זנדברג: << אורח >>   

אנחנו מנסים לכסות בהגדרות – ושוב כשנגיע להוראות האופרטיביות זה יהיה יותר ברור. אני חברה עסקית לצורך העניין, ויש לי את מאגר הלקוחות שלי, אבל אני חברה עסקית שמוכרת כוסות תה, אז אני לא טובה בניהול המאגר, אז אני שוכרת שירותים של חברה אחרת שתנהל לי את עניין המידע עצמו.

 << דובר >> גבי לסקי (מרצ): << דובר >>   

אני מנסה להבין לגבי השרתים שלי בחברה מסוימת בחו"ל.

 << אורח >> איל זנדברג: << אורח >>   

השרתים זה שאלה אחרת של כמה שליטה יש לך בשרת, כי את יכולה להחזיק פיזית אצל גורם שאין לו שום נגיעה למידע אלא רק נותן לך את המעטפת הטכנולוגית, ואת יכולה להעביר את המידע למי שאכן עוסק במידע עצמו, והוא עושה את זה עבורך. ואם אנחנו מסתכלים על התמונה הכוללת, יכול להיות שיש גם עובדים בתוך החברה, שהיא מלכתחילה בעלת השליטה, שהם מורשי גישה למידע. הם לא מחזיקים, הם מורשי גישה, ואז צריך גם מעולם של אבטחת מידע וגם סעיפים שנגיע אליהם כדי להסדיר גם את ההרשאה. אבל הרעיון בהגדרות פה – שוב, זה שלב של הגדרות שהן קצת כרגע מנותקות מהקשר – לכסות ולהגדיר בצורה מדויקת יותר, בראייה כמובן מה שקורה בעולם, מה שקורה בעולם העסקי, במציאות שלנו, של הגורמים השונים שיש להם זיקות שונות.

 << יור >> היו"ר גלעד קריב: << יור >>   

אנחנו רושמים לפנינו את הצורך במהלך החקיקה לעמוד על זה שאנחנו נותנים מענה גם למי שקובע, כמו שכתוב פה, את המטרות, וגם למי שבסופו של דבר מאחסן את המידע, למרות שהוא לא בעל המידע – מעניק שירות של אחסון המידע – ובמהלך החקיקה אתם תצטרכו להוביל אותנו דרך ההגדרות.

 << אורח >> איל זנדברג: << אורח >>   

לעמוד על ההגדרות וגם על הנפקויות של ההגדרות, כי שוב, בהגדרות כשלעצמן יהיו הרבה מאוד שאלות. התחלנו בסעיף ההגדרות, ואני מנסה להתקדם בכיוון הזה. 

אני הולך צעד קדימה לעוד הגדרות ונוגע בהגדרות המשמעותיות. ההגדרה של מידע מקבלת כאן גם טיפול משמעותי. כמובן מידע הוא המושג הכי משמעותי בחוק הזה. באופן אמיתי אנחנו משקפים להבנתנו - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

זה לא בסעיף הזה. זה בתיקון סעיף 7, שנגיע אליו עוד מעט.

 << אורח >> איל זנדברג: << אורח >>   

אנחנו כבר בסעיף 3 להצעת החוק, שהוא תיקון של סעיף 7.

 << יור >> היו"ר גלעד קריב: << יור >>   

דיברת על סעיף 1 להצעת החוק, שזה שינוי המונחים. יש כמה שאלות שהיועצת המשפטית פירטה במסמך ההכנה. תיכף נגיע לזה. דיברנו בסעיף 3 להצעה על נושא הגדרה של בעל שליטה במאגר מידע. לא התייחסת לנושא הממונה על הגנת המידע. 

ההגדרה של הממונה, רק לצורך הפרוטוקול, הכוונה כרגע מי שמכהן גם כראש הרשות.

 << קריאה >> קריאה: << קריאה >>   

הרשם.

 << אורח >> איל זנדברג: << אורח >>   

נכון. זה שינוי טכני. אין פה - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

אנחנו רוצים להעלות על זה שאלה. אני עובר על מסמך ההכנה, בסעיף 2 להצעת החוק, יש לנו את ההגדרה של מחזיק. רק שנבין, המחזיק זה מה שהתייחסה אליו חברתנו גבי לסקי, אותו גורם שמחזיק בידיו את המידע כמתן שירות לבעל השליטה.

 << אורח >> איל זנדברג: << אורח >>   

נכון, ובלבד שיש לו גם הרשאה לעשות שימוש במידע למען אותו מתן שירות. בגדול, זה התיאור.

 << יור >> היו"ר גלעד קריב: << יור >>   

זה פשוט ההבחנה בין שאתה שולט במאגר לבין החברה שמאחסנת.

 << קריאה >> קריאה: << קריאה >>   

הקבלן.

 << אורח >> איל זנדברג: << אורח >>   

או שמבצע עיבודי מידע ממש, למשל חברה שמספקת שירותי עיבוד לחברה שמייצרת - - -

 << דובר >> זאב בנימין בגין (תקווה חדשה): << דובר >>   

זה לא בעל השרת עצמו. השרת במובן הזה הוא כלי הקיבול.

 << אורח >> איל זנדברג: << אורח >>   

אם הוא רק כלי קיבול, כנראה שהוא - - -

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

הוא גם נותן השירות הזה. זה טווח של דברים. הניסיון שלנו לעדכן את ההגדרות מתייחס לתפיסות שכבר קיימות בחוק. הוא מדבר על הבנה בסיסית של מה זה מידע, ואחר כך מה זה מידע בעל רגישות מיוחדת. הוא מדבר על בעלי התפקידים שכבר קיימים היום בחוק. אלה בעלי התפקידים שהיום מוטלות עליהם החובות בחוק, ולפי החוק בתקנות. בעל השליטה, שהיום קוראים לו "בעל מאגר המידע", ואנחנו משנים את שמו ל"בעל השליטה", הוא בעל התפקיד המרכזי שעליו מוטלות רוב החובות בחוק, ולפי החוק בתקנות, והמחזיק, כפי שאיל מתאר.

 << יור >> היו"ר גלעד קריב: << יור >>   

לפני שניכנס לסעיף 3 של הגדרת המידע, אני רוצה לגבי העניין של מחזיק, ממונה, ההערות שרשמת, היועצת המשפטית, שנברר אותן. אני מבקש, חברת הכנסת לסקי, שתשבי במקומי לכמה רגעים ונתייחס לסוגיה הזאת, ואז נגיע להגדרת המידע.

 << מנהל >> (היו"ר גבי לסקי, 12:08) << מנהל >>   

 << דובר >> נעמה מנחמי: << דובר >>   

עוד לפני ההגדרה של "מחזיק" ו"בעל שליטה במאגר מידע", אני כן מבקשת להחזיר אתכם למונחים. יש לנו כאן שני שינויי מונחים שהייתי רוצה שהוועדה תתעכב עליהם. הראשון זה מפנקס למרשם. אני מודה שזה לא נראה לי הדבר הכי קריטי, אבל אני שואלת אם זה המקום עכשיו לעשות את השינוי, כשברקע אנחנו מדברים כל הזמן על צמצום וביטול חובת הרישום. דווקא ההגדרה של העברה מפנקס למרשם מרגישה במובן מסוים שינוי נוסח שהוא הפוך למגמה. אני מודה שזה פחות מפריע לי מבין המונחים. 

המונח שיש לי איתו את הקושי הכי גדול זה דווקא המונח של "הממונה". כבר היום יש לנו בדברי החקיקה שרלוונטיים לפרטיות הרבה מאוד מונחים שכבר כוללים את המונח "ממונה", שמתייחסים לגורמים הפרטיים, לגורמי השטח, לגורמים בחברות שנקראים "ממוני אבטחת מידע" למיניהם. כלומר, במילים אחרות, השם כבר תפוס. ואתם מציעים עכשיו לקרוא לרשם "הממונה", ובשביל לעשות את זה אז מי שכבר תפס את השם, להחליף את השם שלו לשם אחר. אני חושבת שזה עלול ליצור הרבה מאוד בלבול. ההצעה הזאת היא מסובכת דיה וארוכה דיה, והתחום לא קל, מספיק בשביל שלא נקשה עליו עוד יותר. האם אנחנו יכולים במקום "הממונה" לקרוא לאותה דמות ציבורית, לא פרטית, להשאיר אותו כ"ראש הרשות", "מנהל הרשות", יהא שמו אשר יהא, אבל בואו לא נקרא לו "הממונה"?

 << אורח >> איל זנדברג: << אורח >>   

שעון החול שהזכיר יושב-ראש הוועדה אולי מחייב אותנו. סוגיה כזאת, אני לא בטוח שיש עליה איזה עמדה עקרונית, ואולי שווה לא לייחד לה את הזמן של חברי הכנסת והוועדה. זה עניין קטן.  בעיקרון זה נראה לנו כיוון אפשרי, למרות שאני מודה שאני לא מסכים עם הטיעונים. אני לא חושב שזה יוצר בלבול, אני לא חושב שזה מעורר איזה קושי היום להבין, והממונה ממונה דווקא בגלל שהוא מופיע בחקיקה רוחבית. "ממונה" זה מושג רלוונטי ומתאים. עם זאת, אמרתי לכם, אנחנו באים ברצון להתקדם. זה נראה נקודה שאפשר לסגור אותה ואפשר לתאם אותה אולי בחוק. חבל לקיים על זה, ולו אפילו עשר דקות או רבע שעה של דיון בוועדה על השאלה איך יכונה אותו ראש רשות. אין פה מחלוקת עמוקה על התוצאה.

 << אורח >> גלעד סממה: << אורח >>   

ו"ראש רשות" ולא "מנהל רשות".

 << יור >> היו"ר גבי לסקי: << יור >>   

אני יכולה לרשום שתבואו בדין ודברים כדי להגיע ספציפית לשם.

 << דובר >> נעמה מנחמי: << דובר >>   

הדברים לא נולדו אתמול. רוב ההערות שלי הן הערות בנות חודש עד שבועיים, ואנחנו נמצאים כאן בדיון ועדה, ואנחנו רוצים ככל שניתן, כמובן לא תמיד ניתן, אבל ככל שניתן אנחנו רוצים לסגור דברים ולהתקדם הלאה, ולהשאיר כמה שפחות נקודות פתוחות.

 << אורח >> איל זנדברג: << אורח >>   

לכן אמרתי שאנחנו נוקטים עמדה חיובית בעניין הזה. גם אם הנימוקים לא הכרחיים לעניינו לצורך הפרוטוקול, על התוצאה אפשר להסכים.

 << אורח >> גלעד סממה: << אורח >>   

התוצאה היא "ראש רשות".

 << דובר >> נעמה מנחמי: << דובר >>   

תודה רבה.

 << אורח >> איל זנדברג: << אורח >>   

העניין הוא, וצריך לומר גם לפרוטוקול, שהרשות כרשות לא מוגדרת היום, וזה מחייב עוד כמה שינויים. לא הכרחי השינוי הזה. 

 << יור >> היו"ר גבי לסקי: << יור >>   

לאור העמדה הזאת של המשרד אני מסכימה שאפשר לקיים דיון כדי לסגור את השם. אני לא רואה שתהיה פה בעיה לסגור את הנושא.

 << דובר >> נעמה מנחמי: << דובר >>   

עכשיו כשסיכמנו שזה "ראש רשות", ואני מודה לכם על שיתוף הפעולה, האם אפשר להוסיף – אם תסתכלו בהצעה החלופית שלי בעמ' 3 - - -

 << אורח >> גלעד סממה: << אורח >>   

"הרשות".

 << דובר >> נעמה מנחמי: << דובר >>   

כן, "ראש הרשות", אבל ראש הרשות להגנת הפרטיות וראש הרשות, אבל אני מציעה גם להוסיף "מי שהממשלה מינתה אותו בהודעה ברשומות לעמוד בראש הרשות להגנת הפרטיות ושמתקיימים בו תנאי הכשירות". האם גם החלק הזה להגדרה רלוונטי לכם? מקובל עליכם?

 << אורח >> גלעד סממה: << אורח >>   

לפרוטוקול – מהנהנים.

 << יור >> היו"ר גבי לסקי: << יור >>   

יש כאן הסכמה על ההצעה של היועצת המשפטית גם בעניין הסעיף הזה של הרחבה או של תיקון של ההגדרה של "ראש הרשות". תודה.

 << דובר >> נעמה מנחמי: << דובר >>   

שוב, רק בשביל לסגור את ההגדרות, אמרתי שזה לא נראה לי קריטי הפנקס והמרשם, אני חושבת שזה קצת מיותר לאור מה שאנחנו צופים, אבל זה לא נראה לי קריטי מספיק בשביל להתעקש על זה, לכן אם אתם מעוניינים בתיקון, אני אשאיר את זה כך. כן רציתי להגיד לפרוטוקול שלפחות אנחנו לא רואים בזה אמירה לעניין הרחבה, צמצום וכו'.

 << אורח >> איל זנדברג: << אורח >>   

שינוי טכני. עושים מה שמקובל בחקיקה. אין פה שום הרחבה.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

זה שינוי טכני, רק מעודכן יותר.

 << יור >> היו"ר גבי לסקי: << יור >>   

נרשם לפרוטוקול שאין פה הרחבה. נמשיך לסעיף 3.

 << דובר >> נעמה מנחמי: << דובר >>   

לעניין "בעל מאגר מידע", ל"בעל שליטה במאגר מידע", עצם השינוי של המונח הוא בסדר מבחינתי. לעניין ההגדרה אני חושבת שנכון להגיע אחרי שנהיה בשלב מהו מידע, שזה אבן היסוד של החוק.

לטובת הפרוטוקול אנחנו כן צריכים לקרוא את הסעיפים, לכן אני אקרא אותם במהירות ואז נוכל להמשיך לדון.

	תיקון סעיף 3
	2.	
	בסעיף 3 לחוק העיקרי –

	
	
	(1)	במקום ההגדרה "מחזיק, לעניין מאגר מידע" יבוא:

	
	
	
	""מחזיק", לעניין מאגר מידע – מי שהתקשר עם בעל שליטה במאגר מידע למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה, וקיבל מבעל השליטה במאגר המידע, במסגרת ההתקשרות, הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות;";

	
	
	(2)	בהגדרה "שימוש", אחרי "לרבות" יבוא "אחסון".

	תיקון סעיף 7
	3.	
	בסעיף 7 לחוק העיקרי –

	
	
	(1)	ברישה, במקום "ובפרק ד'" יבוא "ובפרקים ד' עד ד'4";

	
	
	(2)	אחרי ההגדרה "אבטחת מידע" יבוא:

	
	
	
	""בעל שליטה במאגר מידע" – מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור;";

	
	
	(3)	במקום ההגדרות "מאגר מידע", "מידע" ו"מידע רגיש" יבוא:

	
	
	
	""מאגר מידע" – אוסף פרטי מידע המוחזק באמצעי דיגיטלי, למעט אוסף לשימוש אישי שאינו למטרות עסק;

	
	
	
	"מזהה ביומטרי" – נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו, או אמצעי ביומטרי שניתן להפיק ממנו נתון כאמור; לעניין זה, "ביומטרי" – מאפיין אנושי, פיזיולוגי או התנהגותי, ייחודי, הניתן למדידה ממוחשבת;

	
	
	
	"מידע" – נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר;

	
	
	
	"מידע בעל רגישות מיוחדת" – כל אחד מאלה:

	
	
	
	
	(1)	מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד;

	
	
	
	
	(2)	מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ"ו–1996‏;

	
	
	
	
	(3)	מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–2000‏;

	
	
	
	
	(4)	מידע על אודות דעותיו הפוליטיות או אמונותיו של אדם;

	
	
	
	
	(5)	מידע על אודות עברו הפלילי של אדם;

	
	
	
	
	(6)	נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח–2007‏, לגבי אדם;

	
	
	
	
	(7)	מזהה ביומטרי;

	
	
	
	
	(8)	מידע על מוצאו של אדם;

	
	
	
	
	(9)	מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכליות ומידת עמידתו בהן;

	 
	
	
	
	(10)	הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים (1) עד (8);

	
	
	
	
	(11)	מידע שחלה עליו חובת סודיות שנקבעה בדין;

	
	
	
	
	(12)	מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוקה חוק ומשפט של הכנסת;


ההגדרה האחרונה "הממונה על הגנת מידע", "הממונה", שבה כבר דנו, ולכן אין צורך לקרוא.

 << יור >> היו"ר גבי לסקי: << יור >>   

משרד המשפטים, האם יש לכם משהו שאתם רוצים להגיד על ההגדרות?

 << דובר >> נעמה מנחמי: << דובר >>   

זה כללי. אולי נתחיל מ"מידע" ומ"מאגר נתונים".

 << אורח >> איל זנדברג: << אורח >>   

בואו נשמע ונתקדם הכי מהר. אולי נשמע את ההערות.

 << דובר >> נעמה מנחמי: << דובר >>   

ההגדרה הראשונה היא הגדרה של "מידע", והיא פה לפניכם בעמ' 6 למסמך ההכנה. יש כבר כמה נקודות במסמך ההכנה, בין היתר לעניין "אמצעים סבירים", והשאלה אם כדאי את הסיפא או לא.

 << יור >> היו"ר גבי לסקי: << יור >>   

תציגו את ההיגיון של התיקון, ואז ההערות של הייעוץ המשפטי.

 << אורח >> איל זנדברג: << אורח >>   

ההגדרה של "מידע" מנסה בהקשר הזה להסתכל על העולם וליישר קו גם עם מה שמקובל בעולם וגם עם מה שאפשר להגיד למעשה שהפרשנות במדינת ישראל של הדין בידי בית המשפט, וגם הפרשנות של הרשות שאוכפת ומיישמת את הוראות החוק וגם הפרשנות שלנו בממשלה, כשאנחנו מיישמים את הוראות החוק במתן ייעוץ משפטי פנימי לממשלה – כל הרעיונות האלה היום הם חלק מהדין ואנחנו משקפים כאן בצורה ברורה. כמובן זה יהיה כתוב עלי ספר, אז צריך לדייק בכל מילה.

הרעיון הוא שמידע שהוא המידע האישי שאליו הצעת החוק מתייחסת הוא נתון שמתייחס לאדם מזוהה, והנושא של הזיהוי מאוד מאוד חשוב, כי אם הנתון לא מתייחס לאדם מזוהה, אז המידע לא אישי ואין לנו אותו אינטרס ציבורי או זכות אדם שעומדת מאחורי, וכל המבנה של החוק לא מתקיים, אבל אם יש נתון שמתייחס לאדם מזוהה, הוא מתייחס אליו, הוא ייחודי לגביו, לא אמירה כללית סטטיסטית, אז אנחנו רוצים לתפוס אותו מלכתחילה בהגדרה, גם אם אחר כך נסתכל בהוראות אופרטיביות ויהיו הוראות שונות כאלה ואחרות. אולי יהיו חריגים, אולי יהיו סייגים, אולי יהיו דרגות שונות של רגישות של מידע, אבל בבסיס זה הוא המידע. 

הנקודות החשובות מבחינת הוועדה או שכדאי לשים לב אליהן זה "הניתן לזיהוי", שזאת נקודה חשובה, זאת אומרת, יש "מזוהה", ויש "ניתן לזיהוי", שזה רכיב שמופיע לא רק בחקיקה האירופית שנהוג להזכיר פה, והיא באמת עבורנו אמת מידה שאנחנו מתייחסים אליה, אלא בחקיקה של הגנת פרטיות בעולם בכלל בהרבה מאוד מקומות. אז "מזוהה" או "ניתן לזיהוי". 

הוספנו אמירה כדי שיהיה ברור בצורה מפורשת, שהניתן לזיהוי זה במישרין או בעקיפין, כלומר, המטרה שלנו בסופו של דבר זה הרי להגן על מידע אישי, להגן על פרטיות של אנשים, אז גם אם מידע לא מזוהה, שיש שם של אדם ואז כתוב את המצב הבריאותי שלו, המזוהה זה הברור, אבל במציאות הרבה פעמים המידע לא מופיע כך בשדות מסודרים ומאוד יפים, אלא מידע בדרך עקיפה יכול להיות מזוהה. עקיפה יכולה להיות מאוד עקיפה או לא מאוד עקיפה, אבל לא רק מידע שבאופן ישיר מזוהה ייחשב למידע, כי אחרת לא נשיג שום דבר בעולם המודרני שבו היכולת להסיק מידע ממידע היא זו שמשרתת או פועלת בהרבה מאוד הקשרים, בטכנולוגיה, בעסקים, גם בממשלה. ואז השאלה היא, מה זה "בעקיפין"? איך הוא ניתן לזיהוי? כי ברור שמזוהה זה מה שרואים על פני השטח יחסית או על פני הדברים. "ניתן לזיהוי" יכולים להגיד שזה כבר יותר רחוק. אז אנחנו אומרים "ניתן לזיהוי במישרין או בעקיפין באמצעים סבירים", וגם זה מושג – אני מבין שיש הערות – אפשר לדבר איך לדייק אותו. אולי נבהיר אותו, אבל זה מושג שגם קנה לו אחיזה בפסיקה בישראל, ובעיקר הוא מופיע בעולם, ואני רוצה עליו לעמוד לרגע.

אם יש לי שני פרטי מידע, שעל פני הדברים אינם מזוהים. יש אמירה, השם שלי איל, ומופיע איזה פריט או באותו מאגר, או במאגר אחר, או במאגר בחברה אחרת, שהזיקה הישירה ביניהם לא קיימת. לכאורה כשאתה מסתכל על מאגר מידע א', אתה רואה רק את השם איל. במקום אחר אתה רואה פרטים על המין, הגיל שלי, מקום המגורים שלי ברכישות שרכשתי.

 << דובר >> זאב בנימין בגין (תקווה חדשה): << דובר >>   

בלי שם.

 << אורח >> איל זנדברג: << אורח >>   

בלי שם. מה זה אומר? ההגדרה מדברת על כך שהמידע לא מזוהה, אבל הוא ניתן לזיהוי. איך הוא ניתן לזיהוי?

 << דובר >> זאב בנימין בגין (תקווה חדשה): << דובר >>   

השיוך שלו לפלוני לא מזוהה.

 << אורח >> איל זנדברג: << אורח >>   

נכון. המידע כשלעצמו, כשמסתכלים עליו, הוא לא מזוהה, אלא שמה שיחול מבחינת ההגדרה בהקשר הזה, וצריך לבדוק, האם הוא ניתן לזיהוי.

 << דובר >> זאב בנימין בגין (תקווה חדשה): << דובר >>   

ניתן לזיהוי עם פלוני, לשייך אותו.

 << אורח >> איל זנדברג: << אורח >>   

נכון. ניתן לזיהוי לאדם מסוים. חבר הכנסת בגין צודק. על דרך הקיצור "הניתן לזיהוי", הכוונה היא ניתן לזיהוי, כלומר, בהתייחס לאדם מסוים, ייחודי, אדם בשר ודם, שהוא האדם שעל זכויותיו אנחנו רוצים להגן. זה הרעיון המסדר. תמיד צריך לזכור.

 << יור >> היו"ר גבי לסקי: << יור >>   

עו"ד זנדברג, יש לי שאלה ספציפית בעניין הזה. למשל, אנחנו יודעים שיש חברות אינטרנט שאוספות מידע על ההעדפות שלנו וכו'. יש לי את היוזר ניים שלי בפייסבוק או מה שלא יהיה, מצד אחד, ומצד שני הם אוספים את הרכישות שלי או מה שלא יהיה, כשזה בנפרד. אתה אומר שאנחנו מתייחסים לזה שהם יכולים לזהות כדי לשלוח לי אחר כך מידע כלכלי או פרסומות או כל מיני דברים כאלה?

 << אורח >> איל זנדברג: << אורח >>   

זו דוגמה אחת. אני אשלים את המשפט ואני חושב שזה ייתן תשובה. התשובה הקצרה היא: כן, זה בהחלט יכול להיות זה. אנחנו אומרים שכאשר מידע לא מזוהה על פניו, אלא שהוא ניתן לזיהוי – עולה השאלה, וכאן אני מתמודד עם שאלה שיכולה להעלות סוג של קושי, אבל צריך להתמודד איתו, למרות שזה הסטנדרט הבין-לאומי, ואני לא חושב שזה קושי אמיתי, זה רק דורש הסבר אולי כשאנחנו מציגים את ההצעה – "ניתן לזיהוי" זה תלוי בכמה מאמצים אתה משקיע. אם תבוא מדינה או סוכנות ביון או חברת טכנולוגיה מאוד מאוד גדולה, שמיליארדים בקופתה ויש לה האמצעים הטכנולוגיים, כנראה שהיא תצליח לייצר קישורים, לפצח, לפרוץ, אבל גם בלי לפרוץ, לעשות חיבורים, למצוא דפוסים כדי לקשר ולגרום לכך שמידע שעל פניו לא מזוהה, יהיה מזוהה. לעומת זאת, אם אני, שאינני מבין דבר וחצי דבר במחשבים, יכולים להראות לי שני מאגרים, אני יכול לתקתק עד מחר, אני כנראה לא אצליח לחבר את המידע. 

השאלה היא מה הוא הרף שאנחנו מצפים בסופו של דבר ממפוקחים, ממי שהוא בעל השליטה, ומי שאנחנו מטילים עליו הוראות בחוק להתייחס מתי המידע הופך ניתן לזיהוי. וזאת נקודה מאוד חשובה, כי אם הוא ניתן לזיהוי, הוא נכנס לתוך ההיכל של החוק הזה וכל החובות והמגבלות חלות. התשובה היא שאנחנו לא יודעים להגיד את זה מראש. הרי אנחנו כותבים חקיקה שהיא ניטרלית לטכנולוגיה, אנחנו לא יכולים להגדיר את זה בהשקעת זמן או בהשקעה של טכנולוגיה, כי טכנולוגיה מתפתחת, ולכן אנחנו משתמשים, כפי שאנחנו עושים לפעמים בחקיקה או כמשפטנים, מדובר על אמצעים סבירים. אני חוזר ואומר שזה גם מושג שסתום שמופיע במדינות אחרות. 

"באמצעים סבירים" זה אומר מה עומד לרשות מי שמנסה לעשות את החיבור הזה. אם זה שני מאגרים באותה חברה, שהוא רק צריך להורות למנהל מחלקה א' לתת הרשאה למנהל מחלקה ב', זה בוודאי קל, אבל גם אם זה דורש פריצה, או הפרה, או פעולות יותר מורכבות, או פעולות עיבוד שדורשות יותר מחשוב. בסופו של דבר זאת הסתכלות על מכלול הנסיבות ואם באמצעים סבירים אפשר לעשות את הזיהוי, הרי שהמידע נחשב ניתן לזיהוי לאדם מסוים, ואם הוא ניתן לזיהוי, דינו כדין מידע מזוהה, והוא המידע שעליו החוק חל. 

זה היה הסבר מעט ארוך, אבל הוא נקודת בסיס. עוד לא התייחסתי לסיפא, כי אני מניח שזה רכיב נוסף. אני יכול להתייחס גם עכשיו ל"לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר".

 << יור >> היו"ר גבי לסקי: << יור >>   

עדיין לא שמענו את ההערות של הייעוץ המשפטי, ויש הערות חשובות. לפני זה אני רוצה לשאול, ההגדרות פה הן לפרק ד', והן לא חלות על פרק ה'. אני כבר יכולה לומר שאם אנחנו כבר עושים תיקון וההגדרות לא זהות בכל החקיקה, כשיש שלנו הזדמנות לתקן, אנחנו יוצרים פה בעיה. השאלה אם אפשר יהיה גם את זה לתקן?

 << אורח >> איל זנדברג: << אורח >>   

כן. אפשר יהיה גם את זה. הסכמות מקיר לקיר.

<< יור >> היו"ר גבי לסקי: << יור >>   

כלומר, זה יחול גם על פרק ה'.

 << אורח >> איל זנדברג: << אורח >>   

כן.

 << מנהל >> (היו"ר גלעד קריב, 12:25) << מנהל >>   

 << יור >> היו"ר גלעד קריב: << יור >>   

נמשיך. איפה אנחנו?

 << דובר >> נעמה מנחמי: << דובר >>   

אנחנו נמצאים בדיון על מידע. קיבלנו הסבר כללי וממצה מהממשלה. כרגע אנחנו מתעכבים על הנושא של "אמצעים סבירים", שמתייחס לנושא של "הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים". בקצרה, לא סוכנות ביון, אבל גם לא הדיוט שלא יודע להתעסק עם מחשבים. זה משהו באמצע שהממשלה מבקשת להשאיר עמום, כדי שהחוק יוכל להתפתח עם הטכנולוגיה, כלומר, לא החוק, אלא - - -

 << אורח >> איל זנדברג: << אורח >>   

זה לפי סטנדרט עולמי. זה ממש ביטוי שמקובל בעולם.

 << אורח >> מיכל אברהם: << אורח >>   

אם אפשר להוסיף בהקשר הזה, המונח הזה נלקח גם מהפסיקה, מפסק הדין בעניין גוטסמן, וגם בחקיקה ישראל, למשל בחוק נתוני אשראי וגם חוק מס להפחתת גודש התנועה באזור גוש דן, יש ההתייחסות למאמץ הסביר בהקשר של יכולת הזיהוי.

 << יור >> היו"ר גלעד קריב: << יור >>   

אני רק אציין לטובת המשתתפים בדיון, מכיוון שאנחנו כבר בדיון בסעיפי חוק, אז אם יש הערה למי מהנוכחים לגבי סעיף מסוים וכו' – ההצהרות הכלליות תם זמנן, זה היה בדיון הקודם – אתם מוזמנים ליטול חלק בדיון לגבי הערות קונקרטיות לגבי הסעיפים השונים שאנחנו עוברים עליהם. נסיים את הסבב של ההגדרה של המידע, ואז נפתח לסבב של התייחסויות לסעיפים שהסברנו עליהם.

 << דובר >> נעמה מנחמי: << דובר >>   

איל, אולי בכל זאת תתייחס גם לסיפא.

 << אורח >> איל זנדברג: << אורח >>   

הסיפא באה להבהיר, אבל יכול להיות שיראו בזה גם סוג של הרחבה שלא היו מגיעים אליה בדרך פרשנות, והמילים הם "לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר". במציאות אנחנו חושבים על מידע כצבע עיניים, או רמת הסוכר בדם, או מה מצב חשבון הבנק של אדם, מספר הזהות כשלעצמו נשמע כאיזה משהו טכני. כמובן מזהה ביומטרי הוא לא עניין טכני. ולכן היה חשוב לנו, כדי לייצר את הבהירות ולהקדים כמה שאפשר פרשנות עתידית, לשים את הדברים על השולחן, ולהבהיר שהרכיבים האלה, שגם הם מוצאים את ביטוים ב-GDPR למיטב זיכרוני, גם הם כלולים במידע. כלומר, מזהה ביומטרי כשלעצמו או מספר זהות או נתון אחר שהוא נתון מזהה ייחודי, וחבר הכנסת בגין צודק, זה ייחודי לאותו אדם, זאת הכוונה, אולי דרך הקיצור מקצרת מדי. נתון ייחודי לאותו אדם שמקשר בין אותו אדם למידע או מה שהוא יכול לקשר לבין נתונים אחרים על אותו אדם, גם הם כלולים בהגדרת מידע, וגם הם ראויים – אחר כך נראה בהגדרות בחוק – לאותה הגנה. הם מובילים לאותה פגיעה פוטנציאלית אפשרית שמפניה החוק בא להגן.

 << דובר >> ענבר בזק (יש עתיד): << דובר >>   

גם כתובת IP זה מזהה של אדם.

 << יור >> היו"ר גלעד קריב: << יור >>   

של מחשב, לא של אדם.

 << דובר >> ענבר בזק (יש עתיד): << דובר >>   

זאת תעודת הזהות בעצם.

 << אורח >> ניר גרסון: << אורח >>   

תעודת זהות בהחלט, תלוי בנסיבות. זה עשוי להיות.

 << אורח >> איל זנדברג: << אורח >>   

כתובת IP לא תמיד ייחודית לאדם, זה למחשב או לקבוצה של מחשבים.

 << דובר >> ענבר בזק (יש עתיד): << דובר >>   

הוא ייחודי לכתובת.

<< אורח >> ליאת בן מאיר שלום: << אורח >>   

הרעיון הוא משהו שמזהה באופן ייחודי אדם. אם התיבה של אדם השמטנו וצריך לכלול אותה, אז נוסיף אותה. הרעיון הוא שאנחנו רוצים להגן על המפתחות. להגיד שגם המפתחות הייחודיים שיכולים לזהות אדם, גם הם בגדר מידע שהחוק חוסה עליו וקובע את מסגרת - - -

 << דובר >> נעמה מנחמי: << דובר >>   

השאלה שלי אגב הייתה, ואתם לא חייבים להכריע בה עכשיו, האם זה לא משהו שצריך לצאת מההגדרה ולהיכנס במקום אחר?

 << אורח >> איל זנדברג: << אורח >>   

למשל?

<< אורח >> ליאת בן מאיר שלום: << אורח >>   

להוראה אופרטיבית הכוונה? אם הוא לא יהיה חלק מהגדרת מידע, איך תוכלי אחרי זה להגדיר? אנחנו חושבים שהמפתחות צריכים להיות כלולים בהגדרת מידע. לפעמים הם נושאים על גבם מידעים נוספים. התפיסה שלנו שבדרך כלל מפתח נמצא גם עם הדבר שפותח. אנחנו חושבים שהמפתחות צריכים להיות כחלק מהגדרת מידע.

 << אורח >> איל זנדברג: << אורח >>   

הדגש הוא על מזהה ייחודי, זה לא כל מספר שמחובר לאדם. זה משהו שלא משתנה, לא מתחלף, הוא חד-חד ערכי.

 << יור >> היו"ר גלעד קריב: << יור >>   

קיבלנו את התשובות לגבי "מידע". מיד נפתח סבב התייחסויות. אתם רוצים לעבור על ההגדרה של "מידע בעל רגישות מיוחדת" לפני שנעשה סבב או שהנושא גדול?

 << אורח >> איל זנדברג: << אורח >>   

אם אדוני יציע, נעשה את זה, אבל אם יש הגדרות למידע - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

נעשה רגע עצירה לטובת הערות. יש לנו פה מספר הגדרות שכבר עברנו עליהן, גם ה"מחזיק", גם השולט.

 << דובר >> נעמה מנחמי: << דובר >>   

"המחזיק" לא עברנו עדיין כי נדון בו אחרי "מידע".

 << יור >> היו"ר גלעד קריב: << יור >>   

בדברים שפתחנו עד עכשיו נעשה סבב של הערות.

 << אורח >> אייל פרובלר: << אורח >>   

שתי הערות לנושא של "אמצעים סבירים". קודם ציינה כבוד היועצת המשפטית שהממשלה מעוניינת בעמימות, וזה הדבר שאנחנו, במגזר העסקי, הכי מפחדים ממנו, עמימות, אי-ודאות. ולכן "אמצעים סבירים" מבחינתנו זה מושג קצת בעייתי. אני חושב שגם במסמך שהכנסתם יש למשל דוגמאות מהחוק הבריטי, אם אני לא טועה, שדווקא שם כן מפרטים, יכול להיות שגם ב-GDPR. אנחנו נשמח אם המושג המעומעם הזה דווקא יהיה יותר ברור. אולי בגילוי דעת, למרות שאנחנו די מפחדים מגילויי דעת, הייתי שמח שזה יהיה בחקיקה, אבל שתהיה איזה הבטחה לאיזה פרשנות, לדוגמאות, שהציבור ידע מה זה "אמצעים סבירים". זה דבר אחד.

דבר שני, קודם ציינת "אמצעים סבירים שברשותו", אבל זה לא נמצא בנוסח. היינו שמחים אם הנוסח של הסעיף הזה היה "אמצעים סבירים המצויים ברשותו של בעל השליטה או המחזיק".

 << יור >> היו"ר גלעד קריב: << יור >>   

תרשמו לפניכם את ההערות.

 << אורח >> אסף גלעד: << אורח >>   

קראתי את כל עמדות הצדדים. יש פה הסכמה מקצה לקצה שצריך להרחיב את הבסיס לעיבוד המידע, אבל יש גם הסכמה שכנראה זה לא יעבור בתיקון הזה. ולכן אנחנו נשארים כרגע, בהנחה שכתב ההכנה הזה עובר ב-90%, אנחנו נשארים עם בעיה בשוק, בעיה של חברה כמו שלי, או חברות גיוס והשמה, או חברות למניעת הונאות ודברים אחרים, והייתי רוצה לשנות בהגדרת מידע, להחריג כמו שקיים בקנדה, באוסטרליה, בסינגפור, מידע שנוגע לעסקו של אדם. יש פה הרבה גופים שאמונים על שמירת המידע האישי במרחב האישי של הבן אדם, אבל מידע שהוא מידע עסקי, כמו למשל הטייטל, איפה אני עובד ודברים כאלה, שאין ציפייה סבירה שזה לא יהיה פתוח לציבור, במיוחד כאשר שמים את זה על כרטיסי ביקור, באתרי האינטרנט, מידע עסקי לפי דעתי זה מידע שצריך להיות מוחרג מחוק הגנת הפרטיות, גם מתוקף הציפייה וגם מתוקף העובדה שהוא פומבי.

 << דובר >> זאב בנימין בגין (תקווה חדשה): << דובר >>   

צריך להגדיר מידע עסקי.

 << יור >> היו"ר גלעד קריב: << יור >>   

תודה. נגיע לזה בסוגיית הרגישות המיוחדת.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

ההגדרה של "מידע", אני חושבת שהיא נכונה והיא צריכה להיות רחבה, היא הבסיס של מה נכנס לחוק ומה לא. "אמצעים סבירים" אומנם זה לא משהו בלשון החוק ב-GDPR וגם לדעתי לא באנגליה, אבל שם ב-GDPR יש הסבר יותר מדויק מה הכוונה באמצעים סבירים בסעיף ההקדמה. באנגליה יש את ההסבר הזה על ידי ראש הרשות לפרטיות. יכול להיות שזה מה שחסר פה. ההסבר שעו"ד זנדברג נתן לנו בעל פה צריך להירשם איפשהו, אם זה בגילוי דעת של ראש הרשות, אם זה באיזה הסבר מצורף לחקיקה, מהם אותם אמצעים סבירים או מהו המבחן או גדר המבחן שבתי המשפט וגם מי שבא לדעת אם הוא נכנס לגדר החוק או לא, יצטרך לעמוד בו.

לגבי הסיפא של ה"לרבות", נכון שב-GDPR יש תתי-סיפא, היא אפילו יותר רחבה ממה שרשום בהצעת החוק, אבל משיחות עם אנשים מהתעשייה, התיבות האלה מעוררות שאלות בעיקר לנושא של המזהה הייחודי, ויכול להיות שיש מקום לשקול דווקא להשאיר את ההגדרה של מידע עד "אמצעים סבירים", כלומר, בדיוק לשמור את מונח השסתום ואת אותה הבעת עמדה שאותם מספרים או מזהים הם כן חלק מהגדרת המידע להכניס לאותו גילוי דעת או מסמך של הרשות.

 << אורח >> דן חי: << אורח >>   

למעשה יש שתי אסכולות בעולם של הגדרת מידע: האחת היא האסכולה של ה-GDPR, והיא משתקפת בהצעה כאן. יש אסכולה שאומרת שמידע צריך להיות רק מידע שמאפיין אדם. ניתן אולי דוגמאות. יש פסיקה די ישנה של בית הדין הארצי לעבודה שאמר שזה שיודעים שלאדם יש רופא שיניים זה לא אומר עליו כלום, כי לכולם יש, או מספר חשבון בנק לא אומר עליי שום דבר, או דוגמאות דומות אחרות, וזה שאני לקוח של פלאפון ולא של פרטנר לא אומר עליי כלום. אני חושב שזאת הדרך הנכונה להגדיר מידע, אחרת אנחנו נכנסים להגדרה מאוד רחבה, והייתי משנה בהגדרה במקום "נתון הנוגע לאדם" – "נתון המאפיין אדם". 

ודבר שני, אני חושב שההערה של רחל מהמכון הישראלי לדמוקרטיה היא נכונה. אם נשארים עם הגדרה הראשונה, "נתון הנוגע", לא צריך את הפירוט בסוף, כי גם מספר תעודת זהות נוגע לאדם, במיוחד שזה נאמר כאן, אז זה יהיה גם ברור. 

עוד ההערה, אם ההגדרה נשארת כפי שהיא, אני חושב שלא יהיה נכון לשנות את ההגדרות, כמו שהוצע בדף העמדה של סעיף 2, סעיפי משנה (7), (8) ו-(9), ענייניו הפרטיים של אדם, כי אז זה יהיה מאוד רחב, ואני לא חושב שלשם אנחנו רוצים ללכת, שזה יהיה עבירה פלילית לנגוע במידע כפי ההגדרה הרחבה שלו. אז צריך כן להשאיר את ההגדרה של "ענייניו הפרטיים של אדם", שבאופן טבעי תהיה יותר מצומצמת.

 << דובר >> נעמה מנחמי: << דובר >>   

דווקא היום הפרשנות של ענייניו הפרטיים של אדם היא מאוד רחבה. דווקא העובדה שיש לנו שתי הגדרות היא קצת בעייתית. בוא נגיע לזה - - -

 << אורח >> דן חי: << אורח >>   

נכון, הפסיקה הלכה מסע מאז ונטורה, דרך עדנה ארבל באגודה לזכויות האזרח, שהיא אמרה שצריך לראות כל מקרה לגופו. זה נכון, יכול להיות שאולי מתאים לעשות הגדרה למונח הזה בחוק, אבל לא הייתי עושה הגדרה שווה לשניהם.

 << דובר >> נעמה מנחמי: << דובר >>   

בכל מקרה צריך לדבר עליו, אבל בוא נסגור קודם את הסעיף של מידע.

 << אורח >> חיים רביה: << אורח >>   

אני מסכים עם דבריו של עו"ד זנדברג, אני חושב שהתיקון של הגדרת מידע הוא מן החשובים בהצעת החוק הזאת, אבל צריך להעיר שלוש הערות חשובות בהקשר הזה. האחת היא שכמעט אין מידע הנוגע לבני אנוש שאי-אפשר לייחס אותו לאדם מזוהה. כך מגלים מחקרים. אתן שתי דוגמאות: מדינת וושינגטון בארצות-הברית כפויה מכוח חוק לשחרר מידע אנונימי כביכול של רשומות רפואיות, חוקרי אבטחה גילו כיצד הם מקשרים בין המידע האנונימי הזה לבין ידיעות עיתונאיות ומזהים בכך אנשים בשר ודם. נטפליקס שחרר מידע אנונימי כביכול על הרגלי צפייה. חוקרי אבטחה הצליבו את המידע הזה עם מידע מאתר אינטרנט של סרטים, וגילו לא רק את זהותם של האנשים, אלא גם את נטייתם הפוליטית ונטייתם המינית. אז כאשר אומרים "אמצעים סבירים", השאלה היא מה הם ייחשבו.

באופן רגיל היינו יכולים לחיות עם העמימות הזאת. אנחנו חיים עם סעיפי השסתום האלה בכל החקיקה הישראלית, אלא מה? אני מזכיר שמידע הוא רכיב חשוב מאוד בהגדרת מאגר מידע, והצעת החוק רוצה לשמור את יחידת הבסיס של מאגר מידע, את חובת הרישום שלה, לאכוף את חובת הרישום גם בקנסות, ואנחנו יוצרים אם כך עמימות ואי-בהירות בשאלה מהי יחידת הבסיס של מאגר מידע. אני מעיר את זה מפני שבעקיפין ההגדרה הזאת הנכונה, ועונה על החקיקה המודרנית, היא כשלעצמה אינדיקציה לכך שאנחנו צריכים להיפרד מיחידת הבסיס של מאגר מידע.

הנקודה השנייה נוגעת אכן למה שמופיע לאחר המילה "לרבות", ואני מסכים עם ד"ר ארידור, שייתכן שצריך להיפרד מן המילים הללו, מפני שזה מעורר אין-ספור שאלות. מספר תעודת זהות, טריוויאלי שייחשב למידע מזהה, אבל אנחנו עוסקים בשאלה האם מידעים טכנולוגיים ייחשבו מזהים, לא רק כתובת IP, דברים שנקראים UDID, שהוא מספר חומרה ייחודי של מכשירי טלפון סלולרי, כתובת MAC, שהוא מספר ייחודי של אמצעי המחבר לרשת. האם מאפיינים ייחודיים של מערכת מחשב יזהו אדם וכיוצא בזה? 

ככל שאנחנו משאירים את ה"לרבות" וגם ככל שלא, חשוב לשמוע את עמדת הרשות, בין אם כאן, בדברים הללו שנרשמים בפרוטוקול, ולימים משמשים אותנו, עורכי הדין, כאשר אנחנו ניגשים לפרש את החוק, ובין אם בגילוי דעת שהיא תוציא בהקדם האפשרי בהקשרים ההם.

 << דובר >> זאב בנימין בגין (תקווה חדשה): << דובר >>   

בחלק הראשון של דבריך הבאת שתי דוגמאות די מרתיעות לגבי אפשרות פענוח זהות של אנשים או נתונים עליהם. האם אני צריך להסיק מדבריך, ואני לא מומחה בתחום הזה, שאנחנו צריכים להביא בחשבון, כפי שנאמר לעתים, שהכול ניתן לגילוי בסופו של דבר ואין דבר כזה מידע חסוי? אני לא מדבר על ילדות בנות 16 שמציפות את הרשת בתמונותיהן, יותר או פחות לבושות, אני מדבר על הדברים האלה, כמו מידע רפואי. ובכל זאת, אתה לא פוסל את הצעת החוק כפי שהיא, או את האפשרות בכל זאת לשמור על זהותו של אדם או על פרטים שלו, אלה שמנויים בהצעת החוק, בסודיות.

 << אורח >> חיים רביה: << אורח >>   

ברשותך אני אשיב, לא בכשירותי כמי שמייצג את איגוד הבנקים, אלא בכשירותי כמי שעוסק בפרטיות זה יותר מ-25 שנים, ואומר כך: כל שובל של מידע שאדם משאיר אחריו, ניתן בסופו של דבר לשייך למידע, בהינתן מספיק משאבים ורצון. כך מוכיחים מחקרי אבטחה עדכניים. האם פירושו של דבר שאין לך פרטיות? לא, יש לך. תמיד השאלה מה המאמץ הנדרש כדי לזהות את המידע הזה, אילו אמצעים אתה עצמך נוקט כדי לשמור על פרטיותך וכיוצא בזה. יש הרבה מה לעשות בהקשרים האלה.

 << יור >> היו"ר גלעד קריב: << יור >>   

בבקשה, התייחסות ואנחנו ממשיכים הלאה.

 << אורח >> ניר גרסון: << אורח >>   

רק לגבי תשובה לחבר הכנסת בגין. המענה לחשש שלך מתבטא בהגדרת המידע שנוגעת לא רק ל"אדם מזוהה", אלא גם "ניתן לזיהוי". לכן אנחנו רוצים להטיל את הגנות החוק גם על מידע שניתן לזיהוי יותר בעקיפין.

 << דובר >> זאב בנימין בגין (תקווה חדשה): << דובר >>   

רק שלא נשלה את עצמנו לפי הנתונים שעכשיו שמענו.

 << אורח >> ניר גרסון: << אורח >>   

מטרת הרגולציה שלנו היא לצמצם את הסיכונים הנובעים מעיבוד מידע ממוחשב, גם מידע הניתן לזיהוי. אפשר להגיד שברמת רזולוציה מאוד גבוהה, אם מפרסמים לשוק תוצאות סטטיסטיות מאוד מצומצמות, מזה כנראה אי-אפשר לחזור אחורה ל"אדם ניתן לזיהוי".

לגבי הערות שעלו כאן. עו"ד פרובלר, לגבי "אמצעים סבירים", אנחנו לא רוצים עמימות, אבל יש ערכים ומונחים, כפי שמקובל היום בחקיקה בהרבה הקשרים, שחייבים להשתמש בהם במונח שסתום, שיקבל את המשמעות בפסיקת בתי המשפט ופרשנות, סטנדרטים מקובלים. אבטחת מידע למשל, משך שנים ארוכות, בטרם התקנת תקנות אבטחת מידע ובמידה מסוימת גם אחריהן, נחתכה לפי שהיא הייתה חובה חוקית – חוק הגנת הפרטיות – נחתכה לפי אמצעים סבירים, לפי סבירות, לפי הסטנדרט המקובל. וגם פה. 

שאלתם, אני חושב שגם אתה שאלת. אנחנו ברשות בהחלט נפרסם, אני חושב שזה גם עונה להצעה של ד"ר ארידור – הרשות בהחלט תפרסם גילוי דעת ופרשנויות שיעזרו לשוק. גילויי דעת שלנו, פסיקה של בתי המשפט ייצקו תוכן. "אמצעים סבירים" זה מונח שסתום שיש לו גבולות.

 << קריאה >> קריאה: << קריאה >>   

חשוב לי רק לציין משהו בהקשר הזה.

 << יור >> היו"ר גלעד קריב: << יור >>   

מכובדיי, אני קובע פה מסמרות לדיונים. תשובות קצרות. אנחנו הרי לא מכריעים כרגע. עלו נקודות. אנחנו כרגע אוספים, נשב אתכם אחרי זה, נחשוב. הלאה.

<< אורח >> ליאת בן מאיר שלום: << אורח >>   

אם אפשר לומר רק משפט אחד, "אמצעים סבירים" מוסיף בהירות לתיבה של "במישרין או בעקיפין". החיקוקים שהזכרתם, ה-GDPR, אין "באמצעים סבירים" שמופיע אחרי זה ב - - -. רצינו דווקא לצמצם את אי-הבהירות, מה זה "במישרין או בעקיפין".

 << אורח >> מיכל אברהם: << אורח >>   

וגם בהמשך לדוגמאות אחרות מחקיקה ממש אפילו מהעת האחרונה, למשל חוק שירות מידע פיננסי שייכנס לתוקף עוד מעט, מ-2021, שמדבר על זיהוי במאמץ סביר, לרבות בדרך של הצבת המידע אל מול מאגר מידע אחר, הזמין לגוף המחזיק במידע כאמור או מול מידע הזמין לציבור הרחב.

 << דובר >> זאב בנימין בגין (תקווה חדשה): << דובר >>   

זה באמת די עמום. "מאמץ סביר" זה מונח עמום.

 << דובר >> נעמה מנחמי: << דובר >>   

שם זה דווקא די מצמצם, כי זה מידע שזמין לאותו גוף או לציבור, אבל אם יש לי שני גופים, אולי אפילו שיש ביניהם איזה קשר - - -

 << אורח >> ניר גרסון: << אורח >>   

התפיסה היא שהרגולציות של פרק ב' חלות לא רק על מידע, להבדיל אולי מפרק א' – נדון בזה בהמשך – נכון שיש מידע שאדם מרצונו מוסר, מידע על עסקיו, כרטיס ביקור, זה לא אומר שלא צריך להגן על איסוף שלו, נגיד שימוש בו במטרה אחרת. גם אם הצגתי כרטיס ביקור שלי, אולי אני לא רוצה שחברת ביטוח תאסוף את הפרטים האלה עליי ועל עוד אנשים שהציגו כרטיסי ביקור, ותעבד אותם למאגר שיסייע בהחלטה אם כדאי לבטח אותי או לא ומה הפרמיה. זאת אומרת, גם למידע כזה יש מגבלות. לכן גם מידע כזה, גם אם הוא לא היה אולי נחשב לפגיעה בפרטיות לפי סעיף 2, יש היגיון לאבטח אותו, להטיל מגבלות מסוימות על השימוש בו וכך הלאה, לתת בו זכות עיון למשל.

 << יור >> היו"ר גלעד קריב: << יור >>   

לגבי סוגיית המאפיין למול נוגע, שהוצע פה השינוי.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

זה צמצום משמעותי.

 << אורח >> ניר גרסון: << אורח >>   

סליחה, לא הצגתי את ההקשר.

 << יור >> היו"ר גלעד קריב: << יור >>   

- - - מה אנחנו מגדירים בתוך המידע, למשל מידע עסקי או לא.

 << אורח >> ניר גרסון: << אורח >>   

אדוני, עוד נקודה אחת, דווקא היום בעולם של ניתוחים, הצלבות מידע ובינה מלאכותית,  זה גם מתכתב עם דברים שאמרו דוברים אחרים פה, כיום כמעט מכל נתון ניטרלי לכאורה, אם מצליבים אותו עם מידע ממקורות אחרים או מעבדים אותו בעיבודי בינה מלאכותית, מוצאים בו דפוסים שיכולים ללמד על מידע רגיש. אני חושב שמכאן ההגדרה הרחבה של ה-GDPR ושל רגולציות דומות בעולם, וזאת ההצדקה להגדרה הרחבה מאוד. קשה להגיד מראש מה זה מידע, כמעט בלי אפשרי, מה זה מידע שמאפיין. כל דבר עלול לאפיין.

 << אורח >> איל זנדברג: << אורח >>   

להשתמש בביטוי "מאפיין", סליחה שאני אומר, בהערכה רבה לעו"ד דן חי, זה לחוקק את העבר, לא את העתיד. המיקום שלי מאפיין אותי? זה שאני ממוקם ברח' הרצל 7, זה מאפיין אותי? זה לא מאפיין, זה הגדרה צרה, אבל ברור לנו, כמו שאמר עו"ד גרסון, המידע, העתיד הוא שהטכנולוגיה מסוגלת – תוך כדי הדיון הזה מישהו מפתח איזה אלגוריתם שמסוגל לעשות עיבוד שלא חשבנו קודם, שלוקח נתון, שהוא סתם נתון שמתקשר לאדם ומספר משהו על האדם, על המהות שלו, שעליה אנחנו רוצים להגן. לכן "מאפיין" זה מצומצם, זה אחורה, זה התעלמות מטכנולוגיה מתפתחת, זה גם לא מה שנהוג בעולם, ולכן אני חושב שזה מחטיא את המטרה.

<< אורח >> ליאת בן מאיר שלום: << אורח >>   

גם השיטה השלטת בעולם.

 << יור >> היו"ר גלעד קריב: << יור >>   

אנחנו ממשיכים הלאה.

 << דובר >> נעמה מנחמי: << דובר >>   

נעבור להגדרה המוצעת של מאגר מידע: "'מאגר מידע' – אוסף פרטי מידע המוחזק באמצעי דיגיטלי, למעט אוסף לשימוש אישי שאינו למטרות עסק."

 << אורח >> איל זנדברג: << אורח >>   

הייתה התלבטות אם לשמר את המושג של "מאגר מידע", והחלטנו שכרגע כן, לא לעבור לדיבור כללי על עיבוד מידע בכל הקשר שהוא. יכול להיות שבשלב הבא גם בזה נעשה סדר. מכיוון שאנחנו משמרים את המושג, בטח אנחנו לא מוסיפים איזה אי-בהירות לשוק. השוק מכיר את המושג הזה, עובד לפיו. כל עוד ההחלטה היא בשלב הזה, לפחות זאת ההצעה הממשלתית, לא לבטל באופן מוחלט את חובת הרישום, ואולי תרצו לשמוע גם את ראש הרשות, נציגי הרשות בהקשר של חובת הרישום, העמדה העקרונית כרגע שאנחנו מצמצמים את חובת הרישום, כדי להקל על השוק, אבל לא מבטלים אותה לחלוטין, ולכן ההגדרה של "מאגר מידע" היא הגדרה שאנחנו עדיין זקוקים לה, ולכן היא כאן.

 << יור >> היו"ר גלעד קריב: << יור >>   

האם אנחנו לא נמצאים במצב שבו אנחנו משמרים את חובת הרישום, גם אם בהיקפים הרבה יותר מצומצמים, רק על מנת לפטור את עצמנו מהצורך לעבור להגדרות שמתמקדות בעיבוד המידע האסור?

 << אורח >> איל זנדברג: << אורח >>   

הנימוק הוא לא טכני לחלוטין.

 << יור >> היו"ר גלעד קריב: << יור >>   

שום דבר פה הוא לא טכני, השאלה אם לא היה ראוי להסתער על המשימה ולעבור משפה של מאגרי מידע ושימוש בהם לשפה יותר מתקדמת היום של עיבודים מותרים ועיבודים אסורים?

 << אורח >> איל זנדברג: << אורח >>   

המשימה היא לא להתאים את המושגים. זו שאלה עקרונית. מה התכלית של הרישום? האם התכלית הזאת חשובה? האם היא מושגת באמצעים חלופיים? והאם העמדנו את האמצעים החלופיים?

 << אורח >> גלעד סממה: << אורח >>   

רק במילה אחת, הנושא הרי הוא בבחינה, אנחנו מודעים כולנו לכך שהתיקון הבא הוא תיקון 15, ואנחנו עובדים עליו במשרדי הממשלה. סברנו שצריך לצמצם את חובת הרישום, ויש כאן אגב צמצום משמעותי, אבל אנחנו עדיין לא מצויים במצב שבו שקללנו את כל המונחים של תיקון 15 כדי להגיד שיש לנו עוגן אחר שמחליף את חובת הרישום. הנושא בבחינה, אבל הכיוון הוא ברור, אנחנו מסמנים את הכיוון, אנחנו מסמנים אותה בצורה די משמעותית.

 << יור >> היו"ר גלעד קריב: << יור >>   

אני מבין שזה הכיוון, אבל היא הנותנת. האם באמת שזה הכיוון כן רומז על היבט טכני? היבט טכני יכול להיות עוד לא היה סיפק בידינו. נראה לנו תהליך פנים-ממשלתי יותר מורכב.

האם ברמת המהות, גם בהינתן הדין הישראלי אבל גם בהסתכלות על העולם שאיתו אנחנו משוחחים, מה עומד מאחורי הדרישה המהותית להישאר עם חובת רישום?

 << אורח >> איל זנדברג: << אורח >>   

אדוני, אפשר אולי להציע?

 << יור >> היו"ר גלעד קריב: << יור >>   

להציע תמיד אפשר.

 << אורח >> איל זנדברג: << אורח >>   

אנחנו בשלב ההגדרות, מתוך ההגדרה של "מאגר מידע" אנחנו מנסים לכסות סעיף שיביאו בהמשך שידבר על המהות של רישום - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

אתה מציע לנו לחכות שנגיע לסעיף שמצמצם את חובת הרישום, בסדר.

 << אורח >> איל זנדברג: << אורח >>   

אז תראו את הפרטים.

 << אורח >> מיכל אברהם: << אורח >>   

רק אם אפשר להעיר, ההגדרה של "מאגר מידע" לא נוגעת רק לחובת הרישום, היא הגדרה לכל רוחבו של החוק, ואם אתם מכוונים לאפשרות לא להשתמש במונח הזה, זה פשוט מהפכה שנכתוב הכול מחדש.

 << יור >> היו"ר גלעד קריב: << יור >>   

בסדר גמור. אנחנו מקבלים את ההצעה, ואנחנו רושמים לפנינו סביב הסיפור של צמצום חובת הרישום שנצטרך לקיים דיון מהותי. דרך אגב, אני לא אומר שנימוק טכני פסול. יכולה הרשות המבצעת לבוא ולומר שיש פה תהליך חשיבה, שהוא יותר מורחב ממה שאנחנו יכולים לבצע בשבועות הקרובים, ולכן ההצעה שלנו ללכת פה בתהליך ביניים, אבל אז צריך להבין שמדובר פה בתחנת ביניים, ולא להעמיס עליה יותר מדי דברים. למשל כשבאים ומציעים – אני רק מכין אתכם לבאות – אם אנחנו נמצאים בעידן שבו התכלית של תיקון 14 היא החרפה דרמטית של אמצעי האכיפה ושל הסנקציות, וזה נוגע בין השאר לעניין של חובת הרישום, ואנחנו נשמע שחובת הרישום היא לא דבר מאוד מהותי, יש פה דבר שצריך לחשוב עליו. סנקציות חריפות מטילים על דברים מהותיים, לא על דברים שאומרים שפשוט עוד לא הספקנו או שאנחנו לא יכולים להאיץ את התהליך וייקחו לנו עוד כמה חודשים, אבל בינתיים בואו נטפל בתיקון 14.

 << אורח >> גלעד סממה: << אורח >>   

אני רוצה להגיד, אדוני, שבעיניי זה לא עניין טכני של אנחנו עוד לא שם.

 << יור >> היו"ר גלעד קריב: << יור >>   

לא בטוח שאנחנו צריכים להיפרד מעידן חובת הרישום.

 << אורח >> גלעד סממה: << אורח >>   

ממש ככה.

 << יור >> היו"ר גלעד קריב: << יור >>   

עד כמה הנושא הזה קיים היום בעולם או עד כמה אנחנו נותרים היום בודדים בעולם בדרישת הרישום? אני רק מקדים את הבאות.

 << אורח >> דן חי: << אורח >>   

בודדים.

 << אורח >> איל זנדברג: << אורח >>   

זה נושא ראוי לדיון רק לא דרך ההגדרה, אלא במהות עצמה נדבר.

 << יור >> היו"ר גלעד קריב: << יור >>   

יש שתי שיטות בנתינת סימנים. רבי יהודה בהגדה עושה את זה אחרי הפירוט, אבל זה טעות, כל הרעיון של הסימנים זה לפטור אותנו מהחובה, אז אני נותן סימנים לפני.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

רק חשוב שלא לכרוך את הנושא של מאגר מידע - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

ראית איך אנחנו ממשיכים להתכתב על ההגדה? כורך, סימנים. רק שאף אחד לא יאמר פה דיינו בעוד שנייה.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

העניין של הישארות עם מאגר מידע זה מבנה של החוק. כך החוק בנוי, כך התקנות בנויות. רק לפני כמה שנים הוועדה הזאת אישרה תקנות של אבטחת מידע, שיש שם חובות שקשורות למיפוי של מאגרים. מכיוון שלא זיהינו איזה פער מהותי שעומד, ברגע שאנחנו נשארים עם הקונספט של מאגר מידע, לא חשבנו שצריך לגעת בזה ולעשות מהפכה נוספת שרק מבלבלת יותר.

 << אורח >> איל זנדברג: << אורח >>   

זה לא שנה הבאה, אדוני היושב-ראש, אלא הלילה הזה. זה הרציונל שלי.

 << אורח >> ניר גרסון: << אורח >>   

דבר אחרון לפני האפיקומן. אלה סוגיות נפרדות, אדוני. זה מאוד מבלבל, אבל חובת הרישום והשימוש במונח "מאגר מידע" לא תלויות. אפשר לבטל לגמרי את הרישום ולהישאר עם המונח מאגר מידע, וגם הפוך. אלה סוגיות נפרדות.

 << יור >> היו"ר גלעד קריב: << יור >>   

בסדר. רק שאלת תם. ההגדרה של "המוחזק באמצעי דיגיטלי" קיימת היום בחוק לגבי מאגר מידע?

<< אורח >> ליאת בן מאיר שלום: << אורח >>   

היום זה מוחזק באמצעי מגנטי אופטי, שזה מונח לא עדכני. "אמצעי דיגיטלי" זה המונח המותאם יותר. השמטנו איזה סייג שכלול בהגדרה.

 << אורח >> חיים רביה: << אורח >>   

השמטתם גם את "המיועד לעיבוד ממוחשב". ההגדרה הנוכחית עוסקת גם בהחזקה באמצעי מגנטי או אופטי וגם "המיועד לעיבוד ממוחשב". השמטתם את שני החלקים. ההגדרה היא "אוסף פרטי מידע", ומידע זה נתון הנוגע לאדם, אז מבחינה לשונית יש כאן בעיה. זה כמו אוסף פרטי נתונים.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

לא יכולנו להגיד עוד פעם נתון כשבמידע יש נתון.

 << אורח >> דן חי: << אורח >>   

זה צריך להיות רק מידע, בלי "אוסף פרטי".

 << אורח >> חיים רביה: << אורח >>   

לא. לא.

 << יור >> היו"ר גלעד קריב: << יור >>   

מכובדיי, אלה עניינים ניסוחיים, נטייב אותם כל עוד אנחנו מבינים את המהות. הלאה.

 << דובר >> נעמה מנחמי: << דובר >>   

רק לעניין "לשימוש אישי", אחת השאלות שלי הייתה על דברים שאולי נמצאים על איזה תפר, כמו לדוגמה אותו קובץ שעושה לעצמו ועד הבית לגבי מי שילם ומי לא שילם. אני מבינה שעמדת הרשות לעניין ועד הבית, שזה לא נכנס "לעניין אישי".

 << אורח >> ניר גרסון: << אורח >>   

לא.

 << אורח >> חיים רביה: << אורח >>   

מה לגבי ספר הטלפונים שלי בטלפון הפרטי שלי?

 << אורח >> ניר גרסון: << אורח >>   

אם הוא משמש אותך למטרות העסק שלך, אז הוא לא למטרה אישית. אם יש לך הפרדה - - -

 << אורח >> חיים רביה: << אורח >>   

אני לא מכיר מישהו שיש לו הפרדה.

 << אורח >> ניר גרסון: << אורח >>   

חלקו הוא מאגר מידע או חלק ממאגר מידע. את השמות אתה מחזיק גם במחשב. במהלך השנים לא היו לבטים או פרשנות - - -

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

- - - שקיימת בחוק היום.

 << אורח >> ניר גרסון: << אורח >>   

כן. זה חריג שקיים בחוק היום. זה חריג שקיים גם ב-GDPR. ועד בית, כל תאגיד, בית הכנסת, פעילות ציבורית לא במסגרת עמותה – כל אלה לא פעילות אישית. החריג הוא רק לגבי מידע שאוסף אדם לצורך משק הבית הפנימי שלו, התחביב שלו. ועד בית או כל התארגנות, כל מטרה מעבר לד' אמות לא נכנסת לחריג, ולכן כן נחשבת למאגר מידע.

 << אורח >> איל זנדברג: << אורח >>   

לא שינינו את החוק בהקשר הזה, רק מסיבה ניסוחית המילים האלה הוצמדו כך.

 << דובר >> נעמה מנחמי: << דובר >>   

המטרה שלי זה שחברי הוועדה יבינו את הניואנסים.

 << אורח >> דן חי: << אורח >>   

אני חושב שזה אבסורד להגיד שיש מאגר מידע בטלפון שלי, למרות שאולי זה נראה הגיוני. מה שעו"ד גרסון אמר, שזה צריך להיות בפירוש מידע אישי ולא מידע לשימוש אישי ולא מידע שהוא מאגר מידע. אני גם חושב שכדאי להתייחס לנושא הכמותי, שלא הייתה עליו אף פעם התייחסות. האם שלושה אנשים זה מאגר מידע? אין לזה גם היום התייחסות.

 << דובר >> נעמה מנחמי: << דובר >>   

נכון. ההתייחסות היא אגב חובות אחרות, חובת הרישום, אבל מאגר מידע הוא במובן מסוים כבר מהרשומה הראשונה.

 << אורח >> ניר גרסון: << אורח >>   

הוא לא. 

 << דובר >> נעמה מנחמי: << דובר >>   

אוסף, אז שניים.

 << אורח >> ניר גרסון: << אורח >>   

בדיוק. שניים.

 << דובר >> נעמה מנחמי: << דובר >>   

משניים. מאיש קשר השני שלי בטלפון.

 << אורח >> איל זנדברג: << אורח >>   

ברמה המושגית אנחנו בשלב ההגדרות. כשנעבור לסעיפים האופרטיביים, הוועדה תבחן האם ההגדרה רחבה מדי בהקשר מסוים, צרה מדי, אבל אי-אפשר ברמה המושגית לעצור את זה במספר מסוים. ברור לכולנו שאי-אפשר להגדיר את המספר הזה, רק לומר שכאשר מדובר על הטלפון שלי, אפשר לקרוא לזה "המחשב שלי". זה לא מכשיר הטלפון עם החוגה, זה מחשב שאנחנו קוראים לו במקרה "טלפון", כי חלקנו גם משתמשים בו כטלפון. יש אין-סוף שימושים אחרים, וזה מושג שיכול לבלבל קצת - -

 << אורח >> דן חי: << אורח >>   

אתם יוצרים עמימות.

 << אורח >> איל זנדברג: << אורח >>   

- - זה מחשב, לרבות כמה וכמה מצלמות, שלפעמים גם משמש לשיחות טלפון קוליות.

 << אורח >> חיים רביה: << אורח >>   

המשמעות היא שאנחנו צריכים לדוגמה לאבטח את הטלפן הפרטי שלנו.

 << יור >> היו"ר גלעד קריב: << יור >>   

בזה אנחנו נסתכל בשלב החובות, ומה מוטל בחובות. אני אומר עוד פעם, אנחנו לא יכולים ברמת החקיקה לסיים את כל תהליך ההגדרה. יש פה תפקיד לבתי המשפט ולרשות. ואני מניח שהפסיקה, אם היא תידרש לזה, היא תצטרך לתת מבחנים מתי אנחנו בטריטוריית השימוש האישי ומתי עוברים ממנה. אפשר תכלית מרכזית של המאגר, אופני שימוש מרכזיים. אי-אפשר לצאת בחקיקה ראשית - - -

 << אורח >> איל זנדברג: << אורח >>   

וזה לא חידוש.

 << אורח >> ניר גרסון: << אורח >>   

זה לא חידוש. הטלפון הוא לא המאגר, הוא פלטפורמה או מדיה שמחזיקה חלק מהמאגר, אבל חבל להיכנס לכאן.

 << יור >> היו"ר גלעד קריב: << יור >>   

לכן אנחנו ממשיכים. הלאה.

 << דובר >> נעמה מנחמי: << דובר >>   

ההגדרה שלא נכנסנו אליה, הנושא של "ידיעה על ענייניו הפרטיים של אדם", אתם רוצים לחזור אלינו עם הדבר הזה?

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

היא לא כלולה בהצעת החוק כרגע.

 << דובר >> נעמה מנחמי: << דובר >>   

היא לא כלולה בהצעת החוק, אבל היא כן כלולה כפרט, גם בחוק וגם בהצעת החוק. כלומר, המונח – נעשה בו שימוש גם בחוק וגם בהצעת החוק. הוא לא מובהר היום. אין לגביו הגדרה. במובן מסוים הוא קצת יותר חופף את ההגדרה החדשה של "מידע" לעומת הגדרת "מידע" הישנה. והם צמודים בהרבה מאוד מקומות בחקיקה. כלומר, כתוב: מידע, לרבות מידע על פרטיו האישיים.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

"לרבות ידיעה".

 << דובר >> נעמה מנחמי: << דובר >>   

שאינו עולה לכדי מידע. יש מקום אחד. ברור שהם מתכתבים האחד עם השני, חופפים. כן אבקש מכם התייחסות לנושא הזה.

 << אורח >> איל זנדברג: << אורח >>   

אני מציע שנתמקד בהגדרות שכבר קיימות, לא כי אנחנו שוללים את הרעיון, אלא כי אנחנו צריכים עוד להבשיל איתו. קיבלנו את ההערות כהכנה לדיון, וזה משהו שדורש בדיקה ונחזור אליו.

 << דובר >> נעמה מנחמי: << דובר >>   

שיבינו שלא ביטלנו את זה, אלא רק דילגנו על זה.

"מידע בעל רגישות מיוחדת" זו ההגדרה הבאה.

 << אורח >> איל זנדברג: << אורח >>   

הקראה?

 << דובר >> נעמה מנחמי: << דובר >>   

קראנו אותו קודם, כי קראתי את כל ההגדרות, אבל אולי נבקש את ההתייחסות שלכם. קשה קצת להימנע מהתחושה שיש פה הרבה מאוד מידעים, שהופכים להיות מידעים בעלי רגישות מיוחדת.

<< אורח >> מיכל אברהם: << אורח >>   

קודם כול, באופן כללי החוק הקיים נוקט במונח "מידע" ו"מידע רגיש", כאשר למעשה ההבדל בין שני המונחים הוא לא מאוד גדול. "מידע רגיש" לפי החוק הקיים לא כולל את מעמדו האישי והכשרתו המקצועית של אדם. ובתיקון 14, בהצעה שמונחת לפניכם, אנחנו מציעים לבטל את הגדרת "מידע רגיש", ובמקומה לקבוע הגדרה של "מידע בעל רגישות מיוחדת", שרובה מתבססת על הרשימה שנמצאת היום בתוספת לתקנות אבטחת מידע, וכמובן שואבת השראה מהרגולציה האירופית ה-GDPR, כמובן בהתאמות והשינויים הנדרשים. 

אני אעיר בהקשר הזה שה-GDPR קובע שסוגי מידע מסוימים, לא יתבצע בהם עיבוד. פה אנחנו מדברים על מצב אחר. אנחנו לא אומרים שאסור יהיה לעשות פעולות כאלה או אחרות, אלא אנחנו מגדירים את המידע כמידע רגיש, "מידע בעל רגישות מיוחדת", והנפקות בהקשר שלנו בהצעת החוק היא גם לגבי חובת הרישום, החל מ-500,000, ונדבר על זה בהמשך בהקשר לגובה העיצום הכספי. זה אחד הפרמטרים.

 << יור >> היו"ר גלעד קריב: << יור >>   

נגיע לזה בעיצומים הכספיים, אבל אתם צריכים להבין שככל שהרשימה פה היא רשימה יותר רחבה, הנכונות שלנו ללכת להחרפה דרמטית של העיצומים תהיה הרבה יותר מוגבלות. ויש תחושה שהלכנו ושימרנו רשימות מאוד מאוד רחבות בצד החרפת עיצומים שהיא כמעט across the board. אני מתקשה לראות על איזה מידע אתם מדברים שלא נכנס לקטגוריות של רגישות מיוחדת, אני חייב לומר. אנחנו קצת מקדימים את המאוחר, אבל אין ברירה, התיקון עוסק בעיקר באמצעי האכיפה שיש לכם, אתם מבקשים החרפה דרמטית של אמצעי האכיפה, וזה לא מתאים לרשימה ארוכה כזאת. זאת נקודה אחת. ודבר שני, אתם אומרים שזה שואב השראה מההגדרות הבין-לאומיות, הרשימה הזאת הרבה יותר מרחיבה מה-GDPR.

 << דובר >> נעמה מנחמי: << דובר >>   

יש נושאים שהיא יותר מרחיבה, כמו הנושאים הכלכליים, צריכה.

 << יור >> היו"ר גלעד קריב: << יור >>   

דעות ואמונות.

 << אורח >> חיים רביה: << אורח >>   

יש בה לפחות שישה נושאים שגם מנויים בסעיף 9 ל-GDPR.

 << יור >> היו"ר גלעד קריב: << יור >>   

אתם יוצרים מצב שכמעט כל מידע שנאסף במהלך פעילות לגיטימית ושגרתית הוא מידע בעל רגישות מיוחדת. נכון שאתם מצמצמים פה את חובת המרשם וכו', אבל אנחנו לא יכולים להתעלם מהחרפת הסנקציות. וגם מהותית, הרי אנחנו בעידן של צבירת מידע אדירת ממדים. האם בעידן כזה אפשר להישאר עם כאלה הגדרות מרחיבות ל"רגישות מיוחדת"? האם לא צריך לייצר שתי קומות?

 << אורח >> מיכל אברהם: << אורח >>   

אפשר ממש לרדת לפרטים של כל אחד מפרטי המידע שנמצאים עכשיו בהצעה שלפניכם, אבל חשוב קודם כול להגיד, כמו שאמרתי, שזה מתבסס על הרשימה של תקנות אבטחת מידע ושואב השראה מה-GDPR. ושוב, ההקשר ב-GDPR הוא שונה, כמו שאמרתי. אצלנו המשמעות היא שונה. עוד משהו שחשוב להגיד, שהקביעה מה נחשב כמידע בעל רגישות מיוחדת זו איזה קביעה שהיא ערכית. אני מניחה שאם תשאל 100 אנשים, תקבל כנראה 100 תשובות שונות או אולי קצת פחות.

 << יור >> היו"ר גלעד קריב: << יור >>   

ולכן 120 יושבים בבית הזה. זה בדיוק התפקיד שלנו. אם יש ליועצת המשפטית ולכם הצעה לגבי סדר הדיון, בבקשה, אבל אי-אפשר לוותר על הדיון הזה. כשנגיע לדבר על העיצומים, נדבר על העיצומים, האם יש היגיון בהכפלת קנסות או עיצומים כספיים פי עשרה. למה עשרה ולא חמישה? הדיון המהותי צריך להתקיים. זה אחד הדיונים החשובים של התיקון הזה. אתם בחרתם לייצר החמרה דרמטית ברמת הסנקציה בין מידע רגיל למידע בעל רגישות מיוחדת. אם לא הייתם בוחרים לעשות את זה, אולי זה היה פחות חשוב, אבל כרגע זה הופך להיות סוגיה דרמטית.

 << אורח >> מיכל אברהם: << אורח >>   

ההוראות הנורמטיביות כמובן לא משתנות, אלא הסנקציה היא זאת שמשתנה.

 << יור >> היו"ר גלעד קריב: << יור >>   

ביחסים בין מדינה לבין אזרח, הסנקציה היא לא הנספח, היא הדבר עצמו. אפשר מהיום עד מחר לכתוב הוראות נורמטיביות, אבל אם הסנקציות משקפות דבר אחר של מדרגות חומרה, אז יופי שכתבנו. מבחינת הדיון אני פתוח להצעות, אבל מדבר אחד אי-אפשר להתחמק, לא נלך להחרפת סנקציה דרמטית על מידע בעל רגישות מיוחדת מבלי לשמוע פרט-פרט. אפשר לעבור פרט-פרט, תצטרכו לנמק.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

צריך לעבור פרט-פרט, לאו דווקא לעניין העיצומים. 

 << יור >> היו"ר גלעד קריב: << יור >>   

נלך לסעיף ההגדרות. נעשה את זה עכשיו.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

השימוש בהגדרה, "בעל רגישות מיוחדת" יש לו נפקות לא רק לצורך גובה העיצומים, יש לו לפחות נפקות אחת עכשיו פה בתיקון 14, והרשימה דומה, אף שזה לא מוגדר שם כ"מידע בעל רגישות מיוחדת". כמו שציינה מיכל זה מופיע בתקנות. אנחנו כן יכולים להסביר את ההיגיון שעומד מאחורי הרשימה.

יש כאן סוגי מידע שגם המחוקק הישראלי רואה בהם כבר היום סוגי מידע רגישים. הרבה פעמים הוא ייחד להם חקיקה ייעודית, חוק זכויות החולה לעניין הגנה על מידע רפואי, חוק מידע גנטי - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

אז בואו נעבור עכשיו סעיף-סעיף. אין לנו דרך לעקוף את זה.

 << אורח >> ניר גרסון: << אורח >>   

אולי בכל זאת רק לסגור את הפינה. מבחינת נפקויות, נתחיל לדון בכל הגדרה. החוק מציע כלים לאזן כבר בהצעת החוק עצמה וגם בתקנות – לאזן את הנפקויות. השאלה היא מה הנפקות של ההגדרה. מעבר לאמירה הערכית מה הנפקות.

לגבי הרישום, גם מידע שמוגדר בעל רגישות, יהיה טעון רישום רק אם הוא מ-500,000 ומעלה. זאת אומרת, עסקים קטנים לא יגיעו. אחרי שנדון בכל הגדרה פה לגופה, לגבי הסנקציה יש גם שם גורמים, אז אולי נראה שיש צורך להשתמש או חובה עלינו לקבוע נהלים שיחייבו אותנו ללכת קודם להתראה לפני שמטילים עיצום במקרים מסוימים, יש תקנות הפחתה. אני רק מזכיר את זה לוועדה, כדי שזה יהיה לכם בראש כשאתם דנים בכל תת-הגדרה של הרשימה של רגישויות מיוחדות. 

 << אורח >> איל זנדברג: << אורח >>   

אדוני היושב-ראש, הדגשת את הסנקציות, את העיצומים, כרכיב מאוד משמעותי, על זה אני לא חולק כמובן. מבחינת הפרט זה מאוד משמעותי, ובכל זאת, הרכיב של ההוראה עצמה, מהו האיסור, מהי ההגבלה בשימוש האישי שאדם רוצה לעשות בקניין שלו, בעסקים שלו וכדומה במידע, ההגבלה עצמה חשובה לא פחות. אז אם יש מעט הגבלות, אבל מי שמפר אותן עלול להיתקל, או יכול להיות שמוטל עליו עיצום כספי גדול, אז העיצום משמעותי, אבל עדיין היקף מצומצם של הגבלות כנפקות של הגדרה מסוימת, גם זה רכיב שחייבים לשקול, לכן יש פה משולש. זה לא שני רכיבים, אלא שלושה, שגם הם חשובים.

 << יור >> היו"ר גלעד קריב: << יור >>   

בסדר גמור.

 << דובר >> נעמה מנחמי: << דובר >>   

אני רק אציין שאנחנו נמצאים במובן מסוים רק בתחילת הדרך מבחינת התיקונים המהותיים. והעובדה שכרגע אין הרבה איסורים לא אומרת שלא יהיו בסוף תיקון 15. לצד זה שאין הרבה הגבלות, אני כן חושבת שצריך לזכור שאנחנו עוד נראה הגבלות.

 << אורח >> איל זנדברג: << אורח >>   

וכל הגבלה תמיד-תמיד תוכל לחול, כן או לא, על חלק מהרכיבים של ההגדרה. אם מורידים עכשיו משהו מההגדרה, זה לא יהיה מידע רגיש. נעבור רכיב-רכיב, נסתכל על ההיבט שנקרא לו "הערכי" שמאחורי זה, אבל אם בהמשך הדרך תצוץ הגבלה בהצעת החוק הזאת, בהצעת חוק בעתיד, ויחשבו שההגבלה רלוונטית רק לפריטים האי-זוגיים ולא לזוגיים, המחוקק יוכל להחליט שכך יהיה. 

 << יור >> היו"ר גלעד קריב: << יור >>   

זה בוודאי. נצטרך בסופו של דבר ללכת בשני הנתיבים, אבל עדיין אנחנו לא יכולים להתעלם מהעובדה ש-40 שנים אחרי החוק וכך וכך שנים אחרי התקנות, עם כל הכבוד לזה שדברים מוגדרים בתקנות, אנחנו עוסקים עכשיו בחקיקה ראשית, צריך לתת את הדעת האם באמת הרשימה הזאת, האם אפשר לשים נתונים גנטיים של האדם באותו משלב נורמטיבי – תעזוב את הסנקציות – כמו אמונותיו של אדם שהרבה פעמים זה ניכר מאיך שהוא לבוש, וזה ניכר מדברים שהוא כותב ומצהיר לגבי עצמו? האם פרטים עסקיים ופרטים ביומטריים יכולים להיות באותה מדרגה?

 << אורח >> איל זנדברג: << אורח >>   

אם אדוני רוצה, נקיים את הדיון, אנחנו לפחות נשמע את ההערות, את הכיוונים, את הרוח של הוועדה, ובהתאם לזה נוכל לעשות עבודה ולחזור עם משהו יותר מדויק, אבל אנחנו צריכים לשמוע מה הכיוון. אנחנו חשבנו שהרשימה הזאת כשלעצמה, יש לה הצדקה.

 << יור >> היו"ר גלעד קריב: << יור >>   

זה אחד מהסעיפים המשמעותיים ביותר בעיניי שצריך לדון בהם לגופם של דברים. 

אני מבין שהשימוש ב-GDPR הוא שונה, אבל דווקא בגלל הדברים שאמרת, איל, שהדברים גם עומדים בפני עצמם כאמירה נורמטיבית. עד כמה המידע הזה קרוב לליבה המקודשת של פרטיותו של האדם? צריך להעלות את השאלה מה פשר הפערים בין ההגדרה שלנו, שהיא מאוד מרחיבה, לבין ההגדרה של ה-GDPR, שבכל זאת אנחנו נושאים אליו את עינינו, כאיזה קריאת כיוון מתקדמת.

<< אורח >> ליאת בן מאיר שלום: << אורח >>   

הפערים להערכתי לא מאוד גדולים. זה באמת עניין של רגישות תרבותית. באירופה למשל, הנושא של ההשתייכות לאיגוד מקצועי רגישה, אצלנו – לא. זה לא נכלל כאן. אם אתם מסתכלים על סעיף 9, עוד פעם, הוא לשימוש אחר, אבל עדיין אם מסתכלים על סעיף 9 ל-GDPR, הוא מדבר על מידע שחושף מוצא. אני לא אוהבת להגיד את זה, אנחנו ממש לא מעוניינים להכניס את המילה "גזע" שמופיעה בחיקוקי אפליה, אנחנו ממש לא מעוניינים לחזור על זה, זה לא נכון, והביטוי מוצא תופס גם את האתני וגם מעבר לזה. דעות פוליטיות, אמונות פילוסופיות או דתיות, יש להם את ה-trade union, כמו שאמרתי, החברות, והעיבוד של מידע גנטי, מידע ביומטרי, למטרה של זיהוי ייחודי של אדם, מידע הנוגע לבריאות, מידע הנוגע לחיים מיניים או נטייה מינית, ואחר כך יש בסעיף 10 גם התייחסות לעיבוד מידע שנוגע להרשעות פליליות ועבירות.

 << יור >> היו"ר גלעד קריב: << יור >>   

בסדר גמור. בואו נעבור על הסעיפים. יש פה במסמך ההכנה התייחסות.

 << דובר >> נעמה מנחמי: << דובר >>   

פרט ראשון, "מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד". באופן אירוני אנחנו דווקא מתחילים עם משהו שאולי אפשר להגיד שהוא גם מצמצם. אני רוצה להפנות את תשומת הלב של הוועדה שבנוסח הקודם היו גם נתונים על אישיותו של אדם, צנעת אישיותו ואישיותו של אדם. אולי ירחיבו לנו אנשי הרשות.

 << אורח >> ניר גרסון: << אורח >>   

בהגדרת "מידע" באופן כללי. בחוק הקיים את מתכוונת.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

יש הרבה דברים במידע רגיש, יש שם, אם אני לא טועה, את ההכשרה.

 << אורח >> מיכל אברהם: << אורח >>   

המונח "אישיותו של אדם", כמו שבאמת מופיע בחוק הקיים, אנחנו לא רואים כמו מה שעכשיו אנחנו מדברים עליו, ממש כצנעת חייו, מה שנמצא בד' אמותיו של אדם, זה יותר פרטים שהם דמוגרפיים, פרטים אישיים שנוגעים לאדם, שלא נכללים בסוג של מונח סל של פרטים שלא נכללים ביתר פרטי המידע.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

מה שבאמת מאפיין אישיות יבוא לידי ביטוי בפסקאות משנה אחרות.

 << דובר >> נעמה מנחמי: << דובר >>   

נניח אדם פותח רשימה של אנשי השכונה שלו ומסווג אותם – נחמד, פחות נחמד, מתחיל לדרג את האישיות שלהם. אני מנסה להבין מה זה אישיותו של אדם.

 << אורח >> מיכל אברהם: << אורח >>   

שוב, המונח הזה לא נמצא בתיקון 14. אני לא חושבת שמה שציינת ייחשב כמידע בעל רגישות מיוחדת.

 << דובר >> נעמה מנחמי: << דובר >>   

אני כן רוצה להסב את תשומת הלב של הוועדה. לדוגמה, מידע שנאסף באתרי היכרויות על אישיותו של אדם או על ידי אנשי צוות חינוכי, לא נחשב ברשימה הזאת, אם אני מבינה נכון.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

יש מידע שנאסף על ידי אנשי צוות חינוכי, שיכול להיות מידע - - -

 << דובר >> נעמה מנחמי: << דובר >>   

אני לא מדברת ברמה של בריאות ופסיכולוגיה, שאפשר להגדיר אותו כבריאותי.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

אז מה? שכתבו שאני לא נחמדה?

 << דובר >> נעמה מנחמי: << דובר >>   

לדוגמה, כתבו על ילד שהוא שקרן ומניפולטיבי. האם זה מקבל הגנה או לא מקבל הגנה? אני כן רוצה שחברי הוועדה ישימו לב לזה, כשאנחנו דנים במדרג של מידע כלכלי, חובותיו וכו' גם אל מול ההגדרה הזאת. כלומר, מה אנחנו כן מכניסים, לא רק מה אנחנו לא מכניסים.

 << אורח >> דן חי: << אורח >>   

צריך גם לזכור שההגדרה "צנעת חייו של אדם" זכתה לפרשנות מרחיבה בפסיקה, בפסק דין גוטסמן, אז פה אנחנו מדברים על משהו מאוד רחב. שם דיברו על ההדמיות של בית של אדם. השאלה אם זה מה שאנחנו רוצים באדם בעל רגישות מיוחדת.

 << דובר >> נעמה מנחמי: << דובר >>   

הדמיות ממוחשבות של פנים בית של אדם.

 << אורח >> חיים רביה: << אורח >>   

בהבדל מה-GDPR, שמדבר על חיי מין ונטייה מינית, זה הדבר הכי קרוב לזה, זה הרבה יותר מצומצם.

 << אורח >> איל זנדברג: << אורח >>   

יש פה הערות סותרות. היום בחוק הקיים "מידע רגיש" כולל בפריט 1 נתונים על אישיותו של אדם. המושג "אישיותו של אדם" הוא מושג לא מוצלח. החלטנו להימנע ממנו. אישיות זה personality באנגלית, ולא ברור אולי עד הסוף מה זה אומר. הערה כללית על ההרחבה – אז כאן ניסינו דווקא לדייק, לקחת מושגים יותר מקובלים, כמו "צנעת חייו האישיים" שאכן הורחב, אבל צנעת חייו זה מה שקורה בצנעת חייו. העובדה שפלוני חושב שאני כך וכך – אני לא יודע מה בחרת בדימויים שם – זה לא בהכרח מידע רגיש, ולא בהכרח צריך להגן על מה אדם חושב עליי. אם זה מידע מקצועי, ומי שכותב את ההערכה הזאת הוא פסיכולוג שניתח את האישיות שלי, כנראה זה כן ייפול בגדר הדברים, וזה לא יהיה מידע על האישיות שלי, אלא איזה מידע שייכנס בהגדרות האחרות. לכן, אם ההערה היא על "אישיות", אנחנו חושבים שעדיף שהמושג לא יהיה, הוא מוסיף עמימות ואי-בהירות, ולעומת זאת החלפנו אותו במידה מסוימת או כיסינו אותו באמצעות מושגים אחרים, ו"צנעת חייו האישיים", אני חושב שאין מחלוקת שהוא צריך להיות כאן.

 << אורח >> רחל ארידור הרשקוביץ: << אורח >>   

האמת היא, אני לא בטוחה שהנתונים על אישיותו לא חשוב שהם יהיו מידע רגיש, ואני אביא שתי דוגמאות, ותגידו לי אתם מה דעתכם. האחת זה מעסיק שנדרש בכל חצי שנה לתת חוות דעת על העובד שלו, ומציין שהעובד נוטה להתרגז, אי-אפשר לסמוך עליו במצבי לחץ. נתונים על אישיות של אדם – האם זה לא מידע רגיש?

השנייה, אני, כמייצגת חברה שרוצה לגייס עובדים, פונה למכון מיון, ומכון המיון עושה שם עריכה, שהיא לאו דווקא על ידי פסיכולוג. עושים כל מיני מבחנים, תצפיות, ובדוח של מכון המיון נכתב שהעובד, יש לו תפיסת מציאות לקויה. האם זה נתון על אישיות או שזה נכנס באחד מגדרי המידע האחרים?

 << יור >> היו"ר גלעד קריב: << יור >>   

לא את הכול נפתור עכשיו. אני חושב שדי ברור שבשוק העבודה היום, בזירות שבהן יש פערי כוחות מובנים, כמו תלמיד במוסד חינוכי, חייל בצבא, נצבר מידע שנוגע לדפוסי ההתנהגות של האדם, לתכונות אופי של האדם, שצריך לתת עליהם הגנה. יכול להיות שבין השאר לזה התכוונתם בסעיף הסל, מידע שחלה עליו חובת סודיות, אז בואו נגדיר שיש חובת סודיות של בתי ספר כלפי הנתונים האלה. יכול להיות שזאת הדרך. ולכן אני לא רוצה לתלות את העניין הזה רק על התיבה, שהיא באמת קצת פחות מוצלחת – מאפייני אישיות. אבל בסופו של דבר בתוך הרשימה הזאת אנחנו נצטרך לחשוב על המקומות האלה שבהם יש פערי כוח, שיש נטייה לצבירת מידע, ומידע שיכול להשפיע מאוד על עתידו של האדם, על רווחתו, על יכולתו למצוא עבודה וכו'. זה דבר שיצטרך לקבל איזה הגנה. אני לא יודע אם בתוך הסעיף הזה, לא נאמר "אישיות" אז נאמר "סעיפי התנהגות", יכול להיות שזה בסעיף סל אחר, אבל משהו בהגדרה יצטרך למצוא את מקומו. אני אשמח אחרי שנשמע עוד התייחסויות שתגידו מדוע בניגוד ל-GDPR לא חשבתם שיש מקום ב"לרבות" כן להתייחס להיבט של זהות מינית, דפוסי התנהגות וכו'.

 << אורח >> ניר גרסון: << אורח >>   

זה נמצא, אדוני, בקטגוריה הראשונה.

 << דובר >> נעמה מנחמי: << דובר >>   

הקטגוריה הראשונה אמורה להתכתב - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

"מידע על צנעת חייו האישיים של אדם" – ברור לי שהכוונה שלכם שזה נכנס כאן.

 << קריאה >> קריאה: << קריאה >>   

כתוב שם "לרבות", אדוני.

 << קריאה >> קריאות: << קריאה >>   

- - -

 << אורח >> אייל פרובלר: << אורח >>   

למה לא לציין כמו ב-GDPR, חיי מין וזהות מינית?

 << אורח >> חיים רביה: << אורח >>   

נטייה מינית וחיי מין, ולצמצם הכול לזה. זה אכן מידע רגיש. אחרת באמת אין מידע שנגיע בכנות למסקנה שאיננו רגיש.

 << דובר >> נעמה מנחמי: << דובר >>   

מה שבטוח ש"צנעת חייו", מובהר בפסיקה שהכוונה היא לא רק להתנהגות מינית, אז כן חשוב שיהיה ברור.

 << אורח >> איל זנדברג: << אורח >>   

- - - אם היה מבקש היושב-ראש להוסיף את זה על דרך "לרבות", אפשר בהחלט לחשוב על זה. מהותית אין כאן פער.

 << יור >> היו"ר גלעד קריב: << יור >>   

היה ברור לי שאתם חושבים שזה נמצא שם. - - - הצעה שהיא לקיצון השני. לא כל הדברים שקשורים לצנעת חיינו קשורים רק להיבט של זהות מינית או דפוסי התנהגות מינית, יש עוד הרבה מאוד עניינים של צנעת חיינו, שהם לא בהקשר הזה. 

 << אורח >> אייל פרובלר: << אורח >>   

וכולם בעלי רגישות מיוחדת, אדוני היושב-ראש?

 << יור >> היו"ר גלעד קריב: << יור >>   

אני לא יודע.

 << אורח >> אייל פרובלר: << אורח >>   

שוב, אי-אפשר לדון בזה במנותק מגובה הקנסות, שימו לב.

 << יור >> היו"ר גלעד קריב: << יור >>   

אמרתי שכאשר נגיע לגובה הקנסות, נחזור גם אחורה. הדיון שאנחנו מקיימים היום, אי-אפשר לדלג עליו. אי-אפשר לקחת את הרשימה הזאת כנתון, עכשיו בואו נדבר רק איזה עיצום מפעילים על איזה הפרה. יש פה הגדרה מאוד מאוד רחבה. יכול להיות שבסוף התהליך נגלה שאנחנו לא מצמצמים את ההגדרה הזאת, אבל אז אחת השאלות היא מה זה מידע לא רגיש אם כמעט הכול רגיש. יכול להיות שאנחנו נמצאים באותה מדרגה, בסדר.

 << אורח >> איל זנדברג: << אורח >>   

בשביל זה אנחנו מקיימים כאן את הדיון. אני מציע שנתמקד בכל פריט, במה שכתוב בו, ולא - - -

 << דובר >> נעמה מנחמי: << דובר >>   

יכול להיות שכדאי לנסות ולחשוב אם אפשר במקום לחשוב על איזה פרט נכנס או לא, על איזה מדרגים קטגורית. כלומר, אם אנחנו מסתכלים על ההגדרה "מידע רפואי", שאנחנו מתקרבים אליה, אז יש הבדל בין סכיזופרניה לבין אם מישהי בהיריון או לא.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

קשה להגיד את זה מראש.

 << אורח >> חיים רביה: << אורח >>   

הערה מתוך עיסוקי בטכנולוגיה ולאו דווקא מתוך אינטרס של הבנקים. בעבר התנהגות ברשות היחיד הייתה דבר מה שאכן טעון היה חדירה פולשנית ומציצנית במיוחד לחיים האינטימיים שלנו. אנחנו לא בעולם הזה. אנחנו בעולם של מה שנקרא "internet of things", מכשירים מחוברים. כולנו גם ברשות היחיד שלנו מנוטרים כל העת. אני משוכנע שלמרבית היושבים כאן בחדר יש לדוגמה טלוויזיה חכמה, שמנטרת את ההתנהגות שלנו. היא רואה במה אנחנו צופים, היא יודעת להציע לנו לפיכך תכנים וכיוצא בזה. להפוך את הקטגוריה הזאת של התנהגות ברשות היחיד לקטגוריה של מידע בעל רגישות מיוחדת, זה לא מתאים לימים האלה ולטכנולוגיה של הזמן הזה.

 << אורח >> דן חי: << אורח >>   

צריך גם לזכור שהמונח "רשות היחיד" זכה לפרשנות מאוד מרחיבה בפסיקה. יש את פסק הדין של הנשיא אהרון ברק בבג"ץ נגד בית הדין הרבני האזורי בנתניה, ששם הוא נתן משפט מאוד יפה בעיניי, אבל מאוד רחב להגדרה "רשות היחיד". הוא נתן שם דוגמה של תאונת דרכים, שצריכים להפשיט מישהו, והוא אומר: נוצר סביבו מעגל שהוא רשות היחיד. צריך להבין כמה זה רחב.

 << אורח >> איל זנדברג: << אורח >>   

ההערות האלה רק מחזקות לטעמי את הצורך בדבר הזה.

 << אורח >> רועי סננס: << אורח >>   

הערה אחת אחרונה, אם אפשר, זה לא רק טלוויזיות חכמות, יש גם גלישה באינטרנט.

 << אורח >> חיים רביה: << אורח >>   

הבאתי את זה כדוגמה.

 << יור >> היו"ר גלעד קריב: << יור >>   

ברור, אבל עו"ד זנדברג צודק, מכיוון שקווי הגבול בין רשות היחיד לרשות הרבים – ההבחנה הולכת ומיטשטשת. ברור שהמושג "רשות היחיד" הוא לא מושג המפתח. אז אנחנו ממירים אותו למושג "צנעת חייו האישיים" וזה יתפתח. אני לחלוטין לא מקבל את זה שהאוריינטציה היא רק של התנהגות מינית. האם כל זוג שפונה לייעוץ זוגי, עצם פנייתו לייעוץ זוגי זה דבר שיכול להתפרסם בשער בת רבים בלי סנקציה אם זה לא מידע רגיש? ודאי שזה מידע רגיש.

 << אורח >> איל זנדברג: << אורח >>   

אולי נזכיר להשלמת התמונה את סעיף 7 לחוק-יסוד: כבוד האדם וחירותו, שאומר "כל אדם זכאי לפרטיות ולצנעת חייו". המושג כבר קיים, והוא אבן יסוד בתפיסת הפרטיות שלנו, ובכל פעם כששומעים על אמירות שמתארות את הטכנולוגיה ואיך העולם השתנה, אז ככל שהאיום מחריף, התוצאה היא שצריך להגביר או לפחות כמחוקק להיות ער יותר להגנות הנדרשות כנגד האיום. אני לא חושב שהמסקנה של איום מחריף היא שאין מה לעשות, ולכן בואו נוותר על ההגנות. זו לוגיקה שאסור שהוועדה תאמץ. כיוון שהאיומים גדולים יותר גם במרחב הפרטי, ואנשים לא מודעים לכך שהם עונדים על ידם שעון שמנטר אותם, והם לא מבינים שהטלוויזיה החכמה יכולה להקליט אותם או לצלם, דווקא בגלל זה אנחנו צריכים לקבוע הגדרות יותר ברורות וכללים יותר ברורים, שיבטיחו את ההגנה על הפרטיות.

 << אורח >> ניר גרסון: << אורח >>   

אני רק מזכיר שכל התיבות האלה הן לא חידוש. הן היו בתקנות אבטחה, אבל גם בסעיף 2(11) לחוק הגנת הפרטיות. אחת העילות בפגיעה בפרטיות היא "פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד".

 << אורח >> חיים רביה: << אורח >>   

כן, אבל זה לא בהגדרת "מידע". אני רק רוצה לבקש מהוועדה לא להיבהל מטכנולוגיה. כשחברי עו"ד זנדברג מדבר על איום, הוא מדבר על זה בהקשרים של טכנולוגיה. אני לדוגמה לא מוצא איום גדול בכך שיוטיוב יודעת שאני חובב סרטי נגרות יפנית או עדכוני BBC על הנעשה באוקראינה.

 << יור >> היו"ר גלעד קריב: << יור >>   

זה נכון.

 << אורח >> איל זנדברג: << אורח >>   

בואו רק לא נכניס לי תכנים לפה. אני לא חושש מטכנולוגיה, אבל לא נהלך אימים על הוועדה ונאמר שכל אחד מהיושבים כאן נתון לאיזה מעקב ניטור טכנולוגי, במשתמע רומז, ולכן בואו לא נגן על הפרטיות. זה אני לא מוכן לקבל.

 << אורח >> חיים רביה: << אורח >>   

ודאי שנגן. רק לא נגדיר את זה כבעל רגישות מיוחדת. חלילה, לא אמרתי לא להגן.

 << יור >> היו"ר גלעד קריב: << יור >>   

אדוני, לכן אני חושב שיש חשיבות לביטוי "צנעת חייו האישיים". הסעיף לא מנוסח "מידע על חייו האישיים של האדם", כי אחרת באמת מידע על חייו האישיים כולל הכול. בסופו של דבר יש פה מושג שסתום שהפסיקה תפתח. במשפט חייבים להשתמש במבחנים של האדם הסביר. ובואו גם לא נשלה את עצמנו. אם דיברנו על סרטים, על תוכניות וכו', יש דברים שלא נוגעים לצנעת חייו של האדם, ויש דברים שכן נוגעים לצנעת חייו של האדם. והשאלה היא האם האדם הסביר, והאם הנורמה החברתית היא שהדברים האלה שייכים לדברים שאדם מצניע או לא. נגרות יפנית כנראה לא, דברים אחרים – כן.

 << דובר >> נעמה מנחמי: << דובר >>   

נעבור לפרט 2. "מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ"ו–1996‏". הערתי לעניין זה שחוק זכויות החולה, הגדרתו מפנה להקשר של מטפל-מטופל.

 << אורח >> גלעד סממה: << אורח >>   

ההגדרה מצומצמת.

 << דובר >> נעמה מנחמי: << דובר >>   

ההגדרה מצומצמת מדי אולי. איסוף של נתונים של אדם שלא מטופל או שיש לו עבר שרלוונטי למצבו הרפואי, כמו אם הוא גדל בקרבת צ'רנוביל, דווקא לא באה לידי ביטוי בהגדרה.

 << אורח >> מיכל אברהם: << אורח >>   

רק נגיד שההפניה בפרט הזה לחוק זכויות החולה נעשתה בין היתר כי אנחנו לא רואים היום הבחנה בין מידע רפואי גופני למידע נפשי. מידע בריאותי כולל את שני המונחים האלה. וגם חוקים שמקדמים שוויון מחייבים נורמליזציה של בריאות הנפש, ולכן ההתייחסות בפרט היא על דרך ההפניה לחוק זכויות החולה. 

רציתי להעיר שההגדרה של מטופל בחוק זכויות החולה היא כן רחבה, אבל בכל מקרה שמענו את ההערות של הייעוץ המשפטי, וגם דיברנו על זה עם הייעוץ המשפטי של משרד הבריאות, ומבחינתנו מקובל לציין במקום מה שמופיע עכשיו, להתייחס ל"מידע רפואי כהגדרתו בחוק זכויות החולה, ביחס לכל אדם", זאת אומרת, לאו דווקא למטופל אגב טיפול.

 << יור >> היו"ר גלעד קריב: << יור >>   

לא יותר הגיוני לכתוב "מידע המתייחס באופן ישיר למצב בריאותי הגופני או הנפשי של אדם או לטיפול הרפואי בו"?

 << אורח >> מיכל אברהם: << אורח >>   

זה מה שאמרתי קודם, שהעמדה שלנו, גם של משרד הבריאות, שלא נכון להתייחס בחקיקה עדכנית - - -

 << דובר >> נעמה מנחמי: << דובר >>   

מה לגבי נתונים על מצבו הבריאותי של אדם, כשברור לכם שבריאותי כולל גם נפשי? כלומר, האם דווקא בגלל הסיפור של הנפשי, שאתם רואים בו כחלק מבריאותי, אנחנו צריכים להפנות להגדרה שדווקא מצמצמת?

 << יור >> היו"ר גלעד קריב: << יור >>   

יכול להיות שאני פה בתפיסת PC שונה משלכם. בעיניי, כשהמחוקק בא ואומר ברחל בתך הקטנה, שגם מצבו הנפשי של אדם ראוי להגנה, אני לא מבין מדוע יש פה פגיעה? להפך, אנחנו לא יוצרים פה הבחנה. אנחנו אומרים במפורש שאין הבחנה בין בריאות הנפש לבין בריאות הגוף.

 << אורח >> מיכל אברהם: << אורח >>   

זאת העמדה של משרד הבריאות. הכוונה היא להתייחסות ספציפית למונח הזה. מהותית ברור שההגנה חלה גם על בריאות הנפש. 

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

הם הציעו הצעה שפותרת את הבעיה.

 << דובר >> נעמה מנחמי: << דובר >>   

ויוצרת בעיה חדשה.

 << אורח >> איל זנדברג: << אורח >>   

- - - הצעה קונקרטית שאפשר להסכים עליה ברוח הדברים וברוח הדברים של משרד הבריאות.

 << דובר >> נעמה מנחמי: << דובר >>   

היא יוצרת בעיה חדשה. ההגדרה הופכת להיות מורכבת, כשלא בדיוק ברור, בטח לא לאדם שקורא את החוק, שלא ישב בדיונים, מה היא רוצה להגיד.

 << יור >> היו"ר גלעד קריב: << יור >>   

לא נתעכב על זה, ואני חייב לומר שההנחה הנורמטיבית של משרד הבריאות פה לא מקובלת עליי. אם הם רוצים להתייחס, הם מוזמנים להתייחס. עוד פעם אנחנו לא קובעים פה מסמרות, ואני גם אתן להם להשיב, אבל אני לא מוכן לקבוע פה איזה תקדים. לא שמעתי את זה בדברי חקיקה אחרים שעסקנו בהם, אמירה שיש מצב של בריאות הנפש זה פוגע במעמדם של מתמודדי הנפש. אני לא מצליח להבין את ההיגיון.

 << אורח >> ניר גרסון: << אורח >>   

אולי כדאי שמשרד הבריאות יתייחס. רק בשתי מילים, ההנחה שלהם הייתה ההבחנה בין זה לזה. המגמה היא להחזיר את הטיפול בבריאות הנפש לקהילה לא כמצורעים.

 << יור >> היו"ר גלעד קריב: << יור >>   

אני מזמין את משרד הבריאות. בבקשה, שיבטלו את האגף לנפגעי נפש ויאחדו את האגפים. שיבטלו את בתי החולים הפסיכיאטרים בישראל ויכניסו את כולם לבתי החולים הרגילים. אפשר לחשוב שזאת הזירה המרכזית לטיפול ברפורמה הנדרשת במערך בריאות הנפש. אני לא מצליח להבין.

 << אורח >> גלעד סממה: << אורח >>   

העמדה של אדוני ברורה.

 << יור >> היו"ר גלעד קריב: << יור >>   

תודה. 3.

 << דובר >> נעמה מנחמי: << דובר >>   

3. "מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–2000."

4. "מידע על אודות דעותיו הפוליטיות או אמונותיו של אדם."

 << יור >> היו"ר גלעד קריב: << יור >>   

לגבי הגנטי. מקובל עלינו?

 << דובר >> נעמה מנחמי: << דובר >>   

נראה לי שכן.

 << יור >> היו"ר גלעד קריב: << יור >>   

נדבר על "מידע אודות דעותיו הפוליטיות או אמונותיו של אדם".

 << דובר >> נעמה מנחמי: << דובר >>   

אולי רק כדי להבהיר. מה שקורה כאן בהשוואה לנוסח הקודם, זה שבמקום "דעותיו" יש "דעותיו הפוליטיות", כלומר, כאן אנחנו במובן מסוים מצמצמים. אנחנו לא עושים אותו דבר לגבי התיבה "אמונותיו של אדם", ואולי אפילו אפשר להגיד שעצם הצמצום של דעותיו הפוליטיות מעיד על זה שיש כאן הרחבה מסוימת מבחינה פרקטית על אמונותיו של אדם, בפרט גם כשאנחנו משווים. אולי רק נזכיר מה כתוב ב-GDPR, כתוב "Political opinions, religious or philosophical beliefs". יש פה משהו מאוד ספציפי.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

כי אמונות אינן רק דתיות. ב-GDPR הם התייחסו לאמונות דתיות או פילוסופיות. מה זה אמונות פילוסופיות? איזה תפיסה הוליסטית שאדם אוחז בה. היא לא חייבת להיות דווקא דתית.

 << אורח >> דן חי: << אורח >>   

תפיסת עולם.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

תפיסת עולם. בהקבלה לחיקוקי אפליה, אתם יכולים לראות שבדרך כלל יש כמובן את עניין הדת וההשתייכות לקבוצה דתית, והשקפה. עילת אפליה של השקפה, אפשר לראות את זה בחוק איסור אפליה, בחוק שוויון הזדמנויות בעבודה וכו'. התפיסה של משהו שמגדיר את האדם, מערכת אמונות הוליסטית של אדם, שהיא יכולה להיות דתית והיא יכולה להיות אחרת. דווקא התיבה "דעותיו", כמו שציינת, כלולה היום בחוק, יכולה להתפרש כאילו כל דעה שיש לי, דעה מאוד אזוטרית. 

 << אורח >> ניר גרסון: << אורח >>   

איזה צבע אני מעדיף.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

הרעיון היה דווקא ללכת על איזה מערכת אמונות לצד דעות פוליטיות. אני חושבת שזה דווקא מתכתב עם מה שקראת מסעיף 9.

 << דובר >> נעמה מנחמי: << דובר >>   

ניסיתי לחפש הגדרות של מהי אמונה לפי ויקיפדיה, לפי האקדמיה, אז באקדמיה ללשון עברית זה "קבלת עובדה כאמת בלי לבקש הוכחה", בוויקיפדיה במובן המצומצם, יש שם כמה מובנים. אחד מהם זה "תחושת נכונות של עניינים שאינם ניתנים להוכחה לוגית או אמפירית". כלומר, אני לא בטוחה שזה עונה על מה שאת הגדרת כתפיסת עולם. 

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

אני לא יודע מה כתוב בוויקיפדיה, אבל ראשית, "אמונתו" כתוב היום בחוק. שנית, מה הופך משהו מסתם דעה קטנה שלי למערכת אמונות? זה בדיוק דומה לשאלה של פרשנות של חקיקה כמו שציינתי, של חקיקות שוויון, מה נכנס בגדר השקפה. האם דעה שלי, מסוימת, נקודתית, נכנסת לשם או לא? זו שאלה פרשנית, שדרך אגב קיימת גם היום כאמור, קיימת גם ב-GDPR, קיימת גם בחיקוקי אפליה. התיבה היא תיבה קיימת. אם היה כתוב השקפה, זה היה משנה? הרעיון הוא מערכת אמונות של אדם, זאת הכוונה.

 << דובר >> נעמה מנחמי: << דובר >>   

אני לא מבינה את זה כמערכת אמונות. כלומר, מערכת אמונות אולי מתכתבת לי יותר עם משהו יותר מגובש. רק אמונה, אני לא יודעת. אני מאמינה שאם עוברים מתחת לסולם, יש לך מזל רע. אני לא יודעת אם זה נכנס או לא. האם על כל דבר כזה אני צריכה להגן עליו ברמה של רגישות מיוחדת?

 << אורח >> איל זנדברג: << אורח >>   

אני מבין שהמחלוקת פה היא על מה מחזיק המושג הזה. במהות הכוונה שלנו הייתה פה דווקא לדייק ולצמצם, תוך הסתמכות על מושגים שכבר קיימים – דרך אגב, לא חידשנו בהם – ומקובלים  בחקיקה. אני מבין שדעותיו הפוליטיות, ברור שצמצמנו, כי איש לא רוצה פה שכל דעה בכל עניין תהווה מידע רגיש. על זה אני מבין אין מחלוקת. עכשיו אנחנו מצטמצמים לשאלה של אמונה, האם המילה הנכונה כדי לתפוס את מה שרוצים זה אמונה. אנחנו סבורים שהמילה אמונה, לאור מה שהסבירה ליאת, תופסת את זה. אני לא יודע אם לכנות את זה כאמונה תפלה, אבל אמונה שאם אני אכנס ברגל ימין לוועדה, אז הדיון יסתיים בזמן זה לא אמונה, זה מושג, יש לו משמעות שתופסת דברים מסוימים, והעמדה העקרונית שלנו, כשהבעיה שלנו לא אמונה, אלא עמדה, שלא רק אמונה דתית ראויה להגנה, אלא גם אמונה אחרת, אבל אמונה זה משהו מבוסס, רחב היקף, לא משהו אזוטרי, זניח, חד-פעמי. אנחנו חושבים שהעברית תופסת את זה. אולי אם זה העניין, חבל להטריח את הוועדה, אלא אם כן יש פה הכוונה עקרונית מהותית.

 << יור >> היו"ר גלעד קריב: << יור >>   

אני רואה שפה יש פער בין ה-GDPR לבין למשל חלק מהשיטות האמריקניות.

 << אורח >> איל זנדברג: << אורח >>   

בהרבה הקשרים יכול להיות שיש פער, השאלה אם עקרונית הוועדה לא סבורה שאמונה של אדם, ודאי אמונה דתית, או אמונה אחרת - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

האם בעידן שבו אנחנו חיים בהכרח אנחנו רואים כל דפוס של כל דעה פוליטית או אמונה, להבדיל למשל מדפוסי הצבעה בבחירות וכו', כדבר שצריך להגדיר אותו כמידע רגיש?

 << אורח >> איל זנדברג: << אורח >>   

דעה פוליטית משקפת בדרך כלל הרבה מאוד משמעויות וערכים, סט של ערכים וסט של מחשבות ודעות לגבי תחומי חיים רחבים. ההצבעה כלולה בזה, אבל דעה פוליטית נראה לי משקפת את הפנימיות של האדם, את הזהות שלו, את האמונות שלו, את הערכים שלו, את ההעדפות שלו במובן מאוד עמוק.

 << אורח >> ניר גרסון: << אורח >>   

גם מבחינה פרקטית, מבחינת הפורץ המתומרץ זה מידע פוליטי. אנחנו יודעים שזה מידע מאוד רגיש, ומאוד מנסים לגנוב אותו, להשיג אותו, אז יש הצדקה להגן על זה.

 << אורח >> איל זנדברג: << אורח >>   

צמצמנו פה רק לאותה נגזרת של דעות שחשבנו שיש להן רגישות. זה מסוג הדעות שככלל ביחסי שלטון פרט, מתחרים על השלטון, זה מסוג הדברים שיש בהם רגישות ויש חשש לפגיעה.

 << דובר >> נעמה מנחמי: << דובר >>   

יש לי תחושה שזה קצת רחב מדי.

 << יור >> היו"ר גלעד קריב: << יור >>   

ההגדרה "אמונותיו". צריך לחשוב על זה.

"מידע על אודות עברו הפלילי של האדם". זה לא אמור להגיע דרך פסקה (11)? זה דורש הגדרה שעומדת בפני עצמה?

 << אורח >> מיכל אברהם: << אורח >>   

המחוקק הישראלי כבר היום רואה במידע על עברו הפלילי כמידע רגיש, לפחות בנגזרת מסוימת, אני מתכוונת כמובן לחוק המרשם הפלילי ותקנת השבים, הרציונל של ההתיישנות והמחיקה לאחר פרק זמן מסוים, ולכן ראינו לנכון לקבוע את זה.

 << יור >> היו"ר גלעד קריב: << יור >>   

להשאיר את זה כסעיף נפרד.

 << אורח >> מיכל אברהם: << אורח >>   

אגב, גם ב-GDPR, כמו הסעיף שליאת קודם קראה, סעיף 10, גם שם יש התייחסות למידע על עבר פלילי.

 << אורח >> חיים רביה: << אורח >>   

אבל זה לא מוגדר כקטגוריה מיוחדת של המידע, שהיא המקבילה של ה-GDPR למידע בעל רגישות מיוחדת, אלא שיש מגבלה על האופן שבו הוא מעובד. זה מה שאומר סעיף 10. אני חושב דווקא, בהינתן המגבלות של חוק המרשם הפלילי ותקנת השבים, בוודאי בנוסח העדכני שלו, שלמיטב זכרוני אמור להיכנס לתוקף בעוד כמה חודשים, שאפשר לוותר על זה כמידע בעל רגישות מיוחדת, ממילא הוא מוגן דיו, הן בחוק המרשם הפלילי והן בדינים אחרים.

 << יור >> היו"ר גלעד קריב: << יור >>   

מעלה פה היועצת המשפטית במסמך ההכנה שאלה על קובצי פסקי דין. אין בישראל הוראה שמחייבת מחיקת שמם של אנשים מכל פסקי הדין, רק בתחומים מסוימים, למשל משפחה.

 << אורח >> ניר גרסון: << אורח >>   

לגבי זה, שוב אנחנו קופצים שנייה לנפקויות. לגבי חובת הרישום, גם לאחר תיקון 14, אין חובת רישום על מאגר שאין בו אלא מה שהועמד לעיון הציבור על פי דין. מה שיהיה במאגרים, לא יחול עליהם. מדובר על מאגרים אחרים, שאולי לא מקפידים כל כך, אולי לא משקללים את החובה למחוק אחרי תקופה, מאגרים שיש בהם מידע מעבר למה שמותר לפרסם על פי דין. ההגדרה הזאת יותר רחבה רק מפד"י תקדין וכו'. זאת התשובה אולי.

 << יור >> היו"ר גלעד קריב: << יור >>   

המענה לזה ניתן דרך הסייגים, החריגים. השאלה אם זה לא אמור להיות במסגרת הסדרים, ויש חקיקה ספציפית שעוסקת בפרטים על עברו הפלילי של אדם.

 << אורח >> ניר גרסון: << אורח >>   

החקיקה הזאת מדברת על דברים מאוד ספציפיים, על מאגר שהמדינה מנהלת והעיון בו. עד כמה שאני מבין היא לא עוסקת במאגרים הפרטיים של כל מיני, אל רק פסקי דין, כל מיני פרטי מידע אחרים.

 << אורח >> חיים רביה: << אורח >>   

היא קובעת איסור לדרוש, היא קובעת איסור לשאול. יושב-ראש הוועדה העלה נקודה חשובה. אני מנהל מאגר של כל הפסיקה הישראלית הנוגעת לדיני מחשבים, יש שם גם פסקי דין פליליים. יוצא שאני אנהל מאגר בכל רגישות מיוחדת, רק מפני שאני מנהל - - -

 << אורח >> דן חי: << אורח >>   

יש סעיף 70ד לחוק בתי המשפט, שמתייחס לפרסום פסקי דין.

 << יור >> היו"ר גלעד קריב: << יור >>   

קיבלנו תשובה שהדרך לטפל בזה זה דרך ההחרגה של דברים מותרים.

 << אורח >> איל זנדברג: << אורח >>   

אדוני הזכיר בתחילת הדרך את אמת המידה, בהקשר הזה לפחות, של יחסי פערי כוחות, סיכונים שקיימים, אני חושב בהיבט הערכי שדנים בו עכשיו, אולי לא בקשר לנפקויות, מידע אודות עברו הפלילי של אדם – אני חושב שכולנו חיים בחברה ומבינים שזה כן דבר שהוא רגיש לאנשים, שהוא יכול לפעול כנגדם, שיש מוטיבציה, מניעים לאנשים אחרים לאגור אותם, להשתמש בהם. זה יכול להשפיע על הרבה מאוד מעגלי חיים, לא רק בעבודה ובתעסוקה שנזכרו, אלא בכל מיני הקשרים, ולכן זה מידע במהות שלו מידע רגיש. לגבי הנפקויות אפשר להתווכח, אבל אני חושב שזה עומד באמות המידה שאדוני הציג קודם.

 << דובר >> גבי לסקי (מרצ): << דובר >>   

אני מתנצלת אם אני חוזרת על דברים שנאמרו. כל הנושא של עבירות מין כלפי קטינים, בעניין הזה אפילו יש חוק של משרד הבט"פ בעניין העברת המידע לבתי ספר וכו', אבל יש גם גופים פרטיים, עמותות וכו', שעובדים עם קטינים. האם אנחנו לא רוצים איכשהו גם לאפשר לאותם גופים, שיהיה להם את המידע, על אף העבר, כשמדובר בעבר פלילי, שגופים שעובדים עם קטינים לא יעסיקו אנשים שיש להם עבר פלילי של עבירות מין כלפי קטינים?

 << אורח >> דן חי: << אורח >>   

יש את סעיף 24 לחוק הנוער שעוסק בפרסום לגבי דברים כאלה.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

חברת הכנסת לסקי, עצם האזכור של זה כמידע בעל רגישות מיוחדת, לא קובע את הנורמה לגבי היכולת או לא - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

הוא רק אומר איך אתה שומר על המידע.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

הזכרת איזה חיקוק ספציפי שנוגע למידע על עברייני מין, שהוא מסדיר את הנקודה הספציפית הזאת.

 << אורח >> דן חי: << אורח >>   

פסקה (11) תיגע בו, כי זה אסור על פי דין אחר. חוק הנוער אוסר פרסום של פרטים כאלה.

 << דובר >> גבי לסקי (מרצ): << דובר >>   

הוא לא רוצה לפרסם אותו, אבל לשמור את זה בארגון.

 << אורח >> דן חי: << אורח >>   

פסקה (11) אומרת "מידע שחלה עליו חובת סודיות שנקבעה בדין".

 << יור >> היו"ר גלעד קריב: << יור >>   

צריך להבין את מהות הרשימה. אני חושב שההערה שנאמרה פה היא חשובה. הרשימה הזאת היא לא רשימה שאומרת מה הם מאגרי המידע שאסור לך להחזיק. מפלגות מחזיקות מאגר מידע לגבי דפוסים פוליטיים של אנשים: רשימת חברי המפלגה ואוהדי המפלגה. זה מאגר – אני לא נכנס כרגע לשאלת הגודל, מתי יש חובת רישום או לא – מותר להחזיק את המאגר הזה, אבל אומרים למפלגה: אם את רוצה שיהיה מאגר כזה, יש סטנדרט שאת צריכה לעמוד בו מבחינת אבטחת מידע, בגודל מסוים את צריכה לרשום אותו, ודעי לך שאם את לא תנהגי בו כמו שצריך, יש עיצומים מסדר גודל אחר.

 << דובר >> גבי לסקי (מרצ): << דובר >>   

ההגדרות האלה חלות רק על מאגרי מידע? הרי דיברנו על חוקים אחרים, על ההשלכות שיש גם על דברים אחרים.

 << יור >> היו"ר גלעד קריב: << יור >>   

אין בחוק איסור, לא בחוק הזה, ולדעתי גם לא בשום חוק אחר, איסור על איסוף מידע בעל רגישות מיוחדת. זה לא שיש פה איזה קביעה. יכול להיות שיש חוק שאוסר על איסוף - - -

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

לפעמים יש חיקוקים ספציפיים. 

 << יור >> היו"ר גלעד קריב: << יור >>   

אבל זה לא מכוח ההגדרה של החוק. זה לא מכוח חוק הגדרת הפרטיות.

פסקה (6).

 << דובר >> נעמה מנחמי: << דובר >>   

"נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח–2007, לגבי אדם."

 << אורח >> דן חי: << אורח >>   

"נתוני מיקום" זו הגדרה מאוד רחבה. קודם הזכירו. זה שאני נמצא במקום מסוים, זה לא אומר עליי בהכרח משהו.

 << דובר >> נעמה מנחמי: << דובר >>   

הרבה פעמים זה כן. דווקא האיסוף שלהם כן אומר עליך לא מעט. הוא גם יוצר תחושת מעקב. אפילו אם אני לא יודעת בגלל נתוני המיקום שהלכת למטפלת זוגית - - -

 << אורח >> דן חי: << אורח >>   

אז פסקה (1) לא תיתן מידע על זה, "מידע על צנעת חייו של אדם"? 

 << דובר >> נעמה מנחמי: << דובר >>   

אני אומרת שאפילו אם לא נכנסת לשם, עצם הידיעה על המסלול שלך, איפה היית בכל רגע נתון, יוצר תחושת מעקב, תחושה של חדירה אינטימית יותר, מה קורה עם בן אדם, איך הוא מבלה את שעותיו, גם אם הוא לא היה אצל פסיכולוג.

 << אורח >> איל זנדברג: << אורח >>   

אכן, כפי שיפה הציגו במסמך ההכנה של הייעוץ המשפטי, של נעמה, שגם בית המשפט עמד על זה לאחרונה, בנסיבות המוכרות לנו, שאיכון זה דבר משמעותי, וכולנו יודעים שבמציאות הרי אנחנו שם.

 << אורח >> דן חי: << אורח >>   

אנחנו לא מדברים על איכון, אנחנו מדברים על איסוף הפרטים האלה.

 << יור >> היו"ר גלעד קריב: << יור >>   

אני רוצה לשאול עוד פעם על השיטה שלכם כאן לעשות כל הזמן רפרנס לחקיקה אחרת שקיימת. אם לשיטתכם מיקום של אדם ספציפי, האמת הסיפא מיותרת, כי בעצם הגדרת המידע זה לא נתונים סטטיסטיים לגבי כמות מכוניות בנתיבי אילון. צריך להיות מידע שמאפשר זיהוי של אדם קונקרטי, אז הסיפא פה היא פחות, אלא אם אתם באים ואומרים שזה לא בסדר לעקוב אחרי אדם, אבל זה בסדר לעקוב אחרי המכונית שלו במערכת כזאת או אחרת של זיהוי מספר הרכב שלו, מבלי להתייחס להצעות קונקרטיות.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

יכול להיות נתוני תעבורה שלא יתייחסו לאדם.

 << יור >> היו"ר גלעד קריב: << יור >>   

זה עניין של הגדרות. ברגע שאת מדברת על מידע, והגדרת מידע כנתון שאת לא צריכה לחזור לגבי אדם. אבל אני שואל, למה אנחנו צריכים את הרפרנס לחוק הזה? אם מה שאנחנו רוצים לדבר עליו שמבחינה נורמטיבית איסוף נתונים לגבי איפה היה אדם ברגע מסוים, זה מידע בעל רגישות, וזו הכרעה נורמטיבית, זו צריכה להיות האמירה. אני רוצה להבין מה זה פה "נתוני תעבורה", מה זה "נתוני המיקום".

 << אורח >> ניר גרסון: << אורח >>   

"נתוני תעבורה", אדוני, אני קורא מחוק נתוני תקשורת, חוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), תשס"ח–2007 – "'נתוני מיקום' – נתוני איכון של ציוד קצה הנמצא ברשות מנוי". יש בהם רגישות מיוחדת, כי הם מתקרבים אולי אפילו לתוכן של השיחה, כי אתה יכול ללמוד מהם מי הצד שלך לשיחה, ואם זה בגלישה באינטרנט, באיזה אתר אתה גולש.

 << יור >> היו"ר גלעד קריב: << יור >>   

אם נתוני המיקום שלי הם לא כתוצאה מאיכון של מידע קצה? יש הצעת חוק כרגע לפריסת מצלמות. מה הקשר לקצה?

 << אורח >> דן חי: << אורח >>   

זה לגמרי נכון.

 << יור >> היו"ר גלעד קריב: << יור >>   

מה הקשר?

 << אורח >> איל זנדברג: << אורח >>   

זו נקודה שצריך לבדוק.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

נצטרך לחשוב על זה.

 << יור >> היו"ר גלעד קריב: << יור >>   

יש פה עניין מהותי ועניין טכני של איך עושים חקיקה. השרשורים האלה לחקיקה אחרת, שאז כשמתקנים את החקיקה הזאת, צריך לחשוב על החקיקה הזאת. יש פה אמירה נורמטיבית מה אנחנו רוצים שאנשים יבינו שהוא מידע בעל רגישות, שהוא מחייב טיפול מיוחד, תכתבו ברחל בתך הקטנה מה המידע. 

 << אורח >> ניר גרסון: << אורח >>   

זה בהחלט עניין שצריך לשקול, אדוני, אבל דווקא לגבי נתוני מיקום, הטענה אכן יותר ברורה. לגבי נתוני התעבורה, זה קצת יותר נרחב.

 << יור >> היו"ר גלעד קריב: << יור >>   

מה המהות שאתה רוצה להגן עליה כאן?

 << אורח >> ניר גרסון: << אורח >>   

בנתוני תעבורה? להגן הגנה יתרה על החשיפה עם מי אתה משוחח או עם איזה אתר. כשזה אדם זה גם רגיש. זה כבר יותר מתקרב לתוכן השיחה ולא רק למעטפת. אם זה בגלישה באינטרנט, זה יכול להיות גם מה אתה קורא. אם אתה יודע לאיזה כתובת אתה גולש, זה חושף את התוכן.  

 << יור >> היו"ר גלעד קריב: << יור >>   

לגבי מיקום אמרנו שצריך לנתק מהשאלה של מכשיר קצה. לגבי נתוני תעבורה, אני אלך קצת לכיוון השני. יש איסוף מידע תדיר על ידי ענקיות טכנולוגיה באיזה אתרים ביקרתי, כשמנוע חיפוש אחד נותן לי אפשרות לחיפוש אנונימי. רוב הביקורים שלי באתרים נרשמים אצל מנועי החיפוש שאני מחפש בהם. האם הציפייה שלכם היום, הריאלית, שאותן ענקיות טכנולוגיה שפועלות באופן גלובלי, תרשומנה במדינת ישראל מאגר מידע על הנתונים האלה?

 << אורח >> ניר גרסון: << אורח >>   

זו שאלה כמובן שהיא לא קשורה רק לקטגוריה אם זה רגיש או לא.

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

זו שאלת מידע.

 << אורח >> ניר גרסון: << אורח >>   

זו שאלה של תחולת - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

בסדר גמור. נכון, אתה צודק, יש פה שאלה של מה הגדרת המידע בכלל.

 << אורח >> ניר גרסון: << אורח >>   

סליחה, יותר נכון, אדוני, מה התחולה. עד כמה חל החוק הישראלי על גורמים בין-לאומיים. יש תפיסות. זה לא חלק מהצעת החוק הזאת.

 << יור >> היו"ר גלעד קריב: << יור >>   

ברמה הנורמטיבית לשיטתכם בכל מקום או כל גורם שבו נאסף מידע על איזה אתרים ביקרתי, כשאני יודע שזה אחד המאפיינים המרכזיים של רשת האינטרנט, בשביל זה יש לי את הפיצ'ר אם אני רוצה גלישה אנונימית, אני לא יודע כמה זה - - -

 << אורח >> ניר גרסון: << אורח >>   

ממש לא - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

לא משנה. האם מבחינתכם זה מידע שמחייב רישום? יכול להיות דרך אגב שזה בדיוק אחת הנקודות שמעידות עד כמה הדיון דרך הפריזמה של רישום מאגר מידע, כן או לא, הוא לא רלוונטי. האם אנחנו צריכים את זה?

 << אורח >> איל זנדברג: << אורח >>   

הצגת שאלה בהתחלה לגבי גופים בין-לאומיים, שזה עורר שאלה של תחולה בין-לאומית, אבל גוף ישראלי – אני שם בצד את שאלת התחולה הטריטוריאלית – המהות מעקב אחר תעבורה, איפה אדם גלש, באיזה אתרים הוא עיין, זה כמו איזה ספרים הוא קורא, איזה תוכן הוא צרך, זה כשלעצמו אכן ניסינו לכסות כאן להבנתי בסעיף הזה. זה הרעיון. אמרנו שנבדוק את הסעיף כולו, זה היה קודם לגבי האיכון. אפשר לבדוק גם לגבי זה. אבל קריאת הכיוון היא אכן כזאת.

 << יור >> היו"ר גלעד קריב: << יור >>   

אנחנו זורקים פה הרבה מאוד דברים. תמיד דיון מתחיל רחב מאוד, בסוף הוא מתכנס. אני מבין את האמירה שלכם: בואו נמתין רגע בקפיצה לדור הבא של חוק הגנת הפרטיות, שעוברים משפה של מאגרי מידע לשפה של עיבוד מידע. אני מעלה את השאלה, האם אין נקודות מסוימות, מקומות מסוימים, שבהם אתה אומר: בתיקון מס' 14 אנחנו עדיין חיים בעולם רישום מאגרי המידע ואופן ניהולם, אבל יש כל מיני תחומים שכבר ברור לנו שהשפה הזאת, זה לא שהיא פחות מתאימה, קצת אבד עליה הכלח? והשאלה שאני מעלה, האם עד רמת תיקון מס' 15 לא היה נכון לגבי דברים מאוד מסוימים, לנסות כבר את העידן החדש? תעזבו את עניין התחולה הבין-לאומית, מה המשמעות של רישום מאגר מידע וניהול מאגר מידע מן הסוג הזה של נתוני התעבורה. האם הדיון שצריך להעסיק אותנו הוא לא מתי העיבוד מותר? מתי העיבוד אסור? אני מבין שאתם לא רוצים להיכנס across the board עכשיו לעידן העיבוד המותר והעיבוד האסור, אבל האם במקומות מהסוג הזה של נתוני תעבורה, של התמודדות עם העידן של כריית הדאטא הבלתי נגמרת במרחב האינטרנטי המקוון – זה לא קורה בהרבה מקומות אחרים, זה במרחב האינטרנטי – לא היה נכון בתיקון 14 אולי לנסות להביא אותנו רגע לעידן קצת יותר מדויק, ובעניין הזה כן להיכנס כבר לעניין עיבוד מותר, עיבוד אסור? זה פשוט נראה קצת סעיף ארכאי העניין הזה. זה כאילו אנחנו אומרים: ממילא ענקיות הטכנולוגיה הן לא ישראליות, ויש סוגיה של דין בין-לאומי ותחולה, אז בואו נעצום עיניים, נאמר שנורמטיבית זה מידע בעל רגישות וצריך לרשום בעניינו מאגר, ונחיה בשלום עם זה שלא נרשמים בעניין הזה מאגרים, כי יש סוגיה של תחולה בין-לאומית. לא נרשמים בעניין הזה מאגרים. רוב הנתונים שנאספים לגבי דפוסי הגלישה שלנו והחיים שלנו במרחב המקוון לא מתכתבים עם ההוראה הזאת, הם פשוט לא נאכפים. לא יותר עדיף לעבור לעידן של עיבוד מותר, עיבוד אסור, עם המידע הזה? נקודה למחשבה.

אני חושב שהמזהה הביומטרי די ברור לנו.

 << דובר >> נעמה מנחמי: << דובר >>   

לצערי לא.

 << יור >> היו"ר גלעד קריב: << יור >>   

בואי תדברי על המזהה הביומטרי, ובזה ניפרד כידידים לשבוע הקרוב.

 << דובר >> נעמה מנחמי: << דובר >>   

אני רוצה שנייה לעשות הפרדה בין הפרט "מזהה ביומטרי", שנמצא כחלק מההגדרה של מידע בעל רגישות מיוחדת, לבין ההגדרה של מהו מזהה ביומטרי. 

כרגע בואו נניח שאנחנו לא נשנה את ההגדרה "מזהה ביומטרי", כי היא נמצאת בדברי חקיקה רבים, ויש משמעות להחזיק אותה כפי שהיא גם כאן. אבל דווקא בגלל זה אני כן קוראת לחשוב קצת על ההגדרה של מזהה ביומטרי ככזאת, ולשאול את עצמנו האם אנחנו יכולים, לא בהגדרה עצמה של מהו מזהה ביומטרי, אלא בפרט של מזהה ביומטרי, שנמצא כאחד מהפרטים של מידע בעל רגישות מיוחדת, האם שם ניתן לצמצם אותה?

אני רוצה להדגיש מה מפריע לי. מפריע לי שבעידן של היום כל תמונה היא מידע שניתן להפיק ממנה מידע ביומטרי, ולכן היא נכנסת להגדרה של מזהה ביומטרי, שבה אני לא רוצה לגעת, ולכן הדרך היחידה שלי לנסות לצמצם את זה, כדי שלא כל חברה שיש לה אתר אינטרנט עם תמונות של כמה עובדים תיכנס לתוך הדבר הזה, שקוראים לו "מידע בעל רגישות מיוחדת", לחשוב על הפרט "מזהה ביומטרי". אני חושבת שזאת גם העמדה של הרשות ליישום, כן יש פה משמעות לכמות עושה איכות, גם להבנתה. אני כן רוצה להציע לכם לחשוב קצת יותר על הפרט "מזהה ביומטרי", לא על ההגדרה.

 << אורח >> מיכל אברהם: << אורח >>   

ספציפית בהקשר של הנפקות, כי יש לנו את השאלה של הרישום וגובה העיצום. כשאנחנו מדברים על הרישום, כמו שאמרנו, התחולה היא רק לגבי 500,000 ומעלה.

 << דובר >> נעמה מנחמי: << דובר >>   

אם כבר העלית את זה, אני לא בטוחה שה-500,000 זה חיתוך נכון. מצד אחד יש לי קושי עם זה שכל אתר אינטרנט שיש בו חמש תמונות של עובדים הופך להיות מאגר בעל רגישות מיוחדת.

 << יור >> היו"ר גלעד קריב: << יור >>   

הוא לא.

 << דובר >> נעמה מנחמי: << דובר >>   

הוא לא חייב רישום, אבל הוא כן מאגר בעל רגישות מיוחדת. הוא לא חייב רישום, ואולי הוא לא ייכנס לתוך - - - 

 << יור >> היו"ר גלעד קריב: << יור >>   

היא הנותנת לגבי העניין הזה ובכלל. מכיוון שאנחנו חיים עדיין בעידן המאגרים, אז אנחנו באים ואומרים: מידע יכול להיות בעל רגישות מיוחדת מאוד מאוד מרחיקת לכת, אבל לא עברת את רף ה-500,000, שהוא די דרמטי. אז רמת ההגנה שאנחנו מעניקים לסיפור היא יותר - - -

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

רק לעניין הרישום.

 << יור >> היו"ר גלעד קריב: << יור >>   

רק לעניין הרישום, נכון. נעמה מעלה פה בצדק את השאלה. אנחנו בדיון בסוגיה הזאת האם בעידן הנוכחי צריך טביעת אצבע, כשאפשר לעשות הרתשה מתקדמת מכל תמונה שאתה מצלם בסלולרי. אני חושב שהיועצת המשפטית בצדק אומרת: האם אנחנו רוצים בהכרח שכל מקום שבו יש לנו תמונות, אז לא חמש, אז 1,000 תמונות, אוניברסיטה או מכללה שמציגות את כל התמונות של הסטודנטים – האם על כל אתר כזה אנחנו רוצים לבוא ולומר שזה אתר שיש בו מידע ביומטרי שמחייב ניהול מיוחד? זה עובד לשני הכיוונים. מה היכולת שלנו להגן באמת כשיש שם עניין של חשש של דליפה של מידע ביומטרי בהיקף גדול? מצד שני, לא להכניס כל אתר עם כמה תמונות.

 << דובר >> נעמה מנחמי: << דובר >>   

אני כן חושבת שלבוא ולהגיד "500,000", זה קצת עושה לנו עבודה קלה במובן מסוים, וזה גורם לנו לא להתמודד עם זה. ושוב, זה קצת חוזר לשאלה של היושב-ראש על המהות, על מה המגבלות לאיסופי מידע. כלומר, מצד אחד יש פה תמונות שהופכות כל מאגר ומאגר לבעל רגישות מיוחדת, מצד שני בחיים האמיתיים אנחנו רואים כל מיני איסופי מידע של מידע ביומטרי, לא רק תמונות, גם טביעות אצבע, שהם לא מטופלים. הם נשארים מתחת לרדאר, בגלל שאנחנו שמים את הרדאר ב-500,000. יש פה בעיה משני הכיוונים.

 << יור >> היו"ר גלעד קריב: << יור >>   

בגלל שאנחנו לא שואלים את השאלה מה עושים עם התמונות, אלא על עצם קיומן. אני באמת מעלה את השאלה, ובזה נסיים. לא נדון בה. נדון בפעם הבאה. האם בעידן שבו אנחנו נמצאים, שבו לכל אדם היום יש מצלמה ושמורות אצלו תמונות של מאות אם לא אלפי אנשים – אין איסור שאני אצלם את זולתי ברחוב, זה לאו דווקא אנשים שנתנו לי הסכמה – האם יש בכלל משמעות להגדרה שנשענת על האיסוף ולא על העיבוד? מה שאתם אומרים שכל טלפון נייד, יש בו היום מידע בעל רגישות מיוחדת. צילמתי 50 תמונות במרחב הציבורי.

 << אורח >> ניר גרסון: << אורח >>   

אם אתה איש פרטי זה לא יהיה מאגר, הרגולציה לא תחול, אבל השאלה מובנת.

 << יור >> היו"ר גלעד קריב: << יור >>   

אני עמותה ויצאתי וצילמתי משתתפים אצלי. 

 << אורח >> ליאת בן מאיר שלום: << אורח >>   

הבנו את ההערה. אנחנו נחשוב - - -

 << יור >> היו"ר גלעד קריב: << יור >>   

זו נקודה חשובה. מכובדיי, אנחנו חייבים לשחרר את האנשים כאן לישיבות סיעה. אתם יכולים לעשות מה שאתם רוצים, אתם לא צריכים להגיע לישיבות סיעה. אני רוצה להודות לכולם. אנחנו ניפגש בימים הקרובים להמשך. תודה לכולם.


 << סיום >> הישיבה ננעלה בשעה 14:05. << סיום >>