חומר רקע

PDF 16,024 תווים המסמך המקורי ↗
19 פברואר2023 לכבוד ח"כ יולי אדלשטיין יו"ר וועדת החוץ והביטחון של הכנסת עו"ד מירי פרנקל שור, יועצת משפטית, וועדת החוץ והביטחון של הכנסת ירושלים הנ :דון הצעת חוק סמכויות לאיסוף ואבחון של נתו ני נוסע ים הנכנסים ל ישראל או ה יוצאים מ מנה , התש פ"ב- 2022 הצעת חו ק סמ כו יות לאיסוף ואבחון של נתוני נוסעים הנכנסים לישראל א ו ה יוצאים מ מנה , התשפ"ב– 2022 " :(להלן הצעת החוק)" נועד ה לה סדיר בחקיקה את חובת חברות התעופה להעביר לידי רשויות המדינה המתאימות במדינות היעד נתוניAPI ו- PNR " :(להלן נ ת וני נוסעים ") אודות ה נוסעים ו אנשי ה צוות בכל טיסה בהתאם ל אמנ ת שיקגו של האו"ם , ואת השימוש שתעשה המדינה במידע אישי מזוהה זה. 1 לצד מנגנוני הפרט יות החשובים והחיוניים המוצעים בהצעת החוק , היא מעורר ת חששות מ שמעותיים בנוגע להיקף השימושים ש מבקשת המדינה לעשות במידע אישי הה ו מז, המגיע .לידיה בכפייה על חששות אלה נבקש לה צביע בחוות ה דעת . 1. שימוש רחב במידע אישי מזהה שנאסף בכפייה בעידן הנוכחי קיימים הרבה מאד מאגרי מידע בידי המדינה ובידי חברות מסחריות, וקל מאד .להצליב ולשלב מידעים ממאגרים שונים קלות זו יוצרת בידי המחזיק במ ידע כוח רב שבצידו פיתוי לעשות שימושי ם שונים במיד ע ע ל מנת לחשוף, לגלות ולה בין נושאים .שונים ומגוונים ,עם זאת יש לזכור שלשימוש במידע יש מחיר הבא לידי ביטוי בפגיעה בפרטיות, בפגיעה באוטונ ומיה של הפרט ובסופו של דבר ב יסודות עליהם מושתת המשטר הדמוקרטי. משום כך, י ש להיזהר מפני ההתאהבות בכוח ובאפשרוי ו ת האין סופיו ת שמעניק ות הגישה והשליטה בכמויות עצומות של .מידע אישי הבנה זו היא ש צ ריכה לשמש כבסיס לבחינת השימוש בנתוני הנוסעים המוצע ב הצעת החוק . ה צעת ה חוק מגדיר ה ב אופן רחב מאד את מטרות השימוש, אופי השימוש והגופי ם המוסמכים לעשות שימוש בנתוני נוסעי ם ובכך יא מב ה איתה סכנ ה משמעותית ל פגיעה ב ז כות לפרטיות . 1 tion, International Standards and he Convention on International Civil Avia Annex 9 to t 2017) , Oct. Edt. th ICAO, Chapter 9 (5 Recommended Practices . 1.1 . מטרות השימוש בא מנ ת שיקגו הוגדרה מטרת שימוש רחבה – לאפשר לכל מדינה לגבש תמונת מצב בנוגע לנכנסים לשטחה. 2 ב ארצות ה ברית מוסמכת רשות המכס לשתף את נתוני הנוסעים ששלפה עם רשויות פד רליות אחרות לצרכיי הגנה על הביטחון הלאומי או בהתאם להוראות חוק א חרות . 3 ב איחוד האירופי השימוש בנתונ י נוסעים מוגבל למטרת מניעה, גילוי, חקירה ואכיפה של עבירות טרור ופשעים חמ .ורים4 הצעת החוק מציג ה בנק מטרות רחב יותר מזה הקבוע בארה"ב ובאיחוד האירופי אשר כולל , ,למשל גם מאבק בהגירה בלתי חוקית והג נה על בריאות הציבור, החי ו הצומח. אף שבד ברי ס הה בר מכירים בשוני משמעותי זה לא מוצג בהם הסבר מניח את הדעת להרח .בה זו5 יתרה מכך, לפי דברי ההסבר מטרות השימוש המו גדרות ב הצעת ה חוק מצויות בהלימה עם המסגרת הכלל ית שב ,הנחיות ארגון התעופה הבנלאומיICAO ,. אולם בחינה מע מיקה של מטרות השי מוש המ וגד רות בס עיף12 )(א הל צעת ה ח מ וק למדת על מסגרת שימושים רחבה יותר אף מזו המוצעת .באמנת שיקגו של האו"ם ,ראשית לא ברורה לנו ההבחנה בין "זיהוי, מניעה, סיכול, חקירה או העמ דה לדין של חבר י ארגון טרור , פעילות טרור או ע בירת טרור", שבסעיף12 )(א ( 1 ) ל הצעת ה חוק , לב ין ה מ טרה של "א בטחת התעופה האזרחית אל ישראל וממנה, ובכלל זה הגנ ה על ביטחונם של הנו סעים מישראל ואליה פני איומים ביטחוניים" ש ב סעיף12 )(א( 2 ) ל הצעת ה קוח. ל .דעתנו, מדובר בכפילות מיותרת ת שני , על אף צמצומה של רשימת העבירות שזיהויין, מניעתן, סיכו לן או חקירתן הוא אחת מהמטרות ה מנויות בסעיף12 )(א( 3) ל הצעת ה חוק מזו שהוצעה בתזכי ר , עדיין מדובר ברשימה רחבה מידי לדעתנו .כך, למשל, מדוע נדרש ים נתו ני הנו סעים לשם מניע ה או סיכול עבירות הנוגעות לה עתקה, מכירה, יבוא או החזק ה של יצירה המוגנת בזכות י וצרים לפי חוק ז כויות יוצרים, תשס"ח– 2007 ? עבירות של מרמ ה, זיוף, אי גי לוי מידע ופרסום מידע מטעה בידי נושא משרה בכיר בתאגיד , היזק בזדון לנכס או מכירה, קנייה, פירוק או הרכבה של רכב גנוב לפי חוק העונשין, התשל"ז– 1977 ? 2 d tion, International Standards an ntion on International Civil Avia Annex 9 to the Conve , Oct. 2017) Edt. th apter 9 (5 ICAO, Ch ommended Practices Rec . 3 ל פי החוק ,בארה"ב מחוייבות חברות תעופה , כבר משנת2012 ,ל התמשק עם מערכות המידע של רשות המכס על מנת ש זו תוכל, לפי ,שיקול דעתה להת חבר למערכות המידע של חברת התעופה על מנת לשלוף מהן נתוני נוסעים מסוי ימים . נתוני נוסעים אלו כולל ים את זהות הנוסע ו תוכנית הנסיעה ש לו , ובלבד שמדובר בנתונים שחברת התעופה אוספת ממילא במסגרת פעילותה הרגילה באמצעות מערכת דיגיטלית ל איסוף נת וניPNR . :ראו49 U. S. Code §44909 – Passenger manifests ; 19 CFR § 122.49d – Passenger Name Record (PNR) information . 4 ראו ; and of the Council of 27 April rliament a P European the Directive (EU) 2016/681 of 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime ; . 5 סעיף12 )(א ל הצעת החוק ודברי ההסבר לסעיף . נדרשת בחינה מע מיקה של רשימת העבירות שבתוס פת החמישית צהל עת ה חוק וצמצו ם משמעותי שלה אך ורק ל גילוי ולסיכול עבירות שיש בי נן לבין נתוני הנוס .עים קשר ברור ומובהק 1.2 . אופי השימוש נתוני הנוסעים י י שמרו במאגר נתוני הנוסעים ו ניתן יה יה ל עבדם לצורך "הערכה" או מענה ."ל"שאילתה6 ,להבנתנו בעוד שמטרתה של ""שאילתה היא לאפש ר ה תמ וד ,דות עם איום ממשי מעין "פצצה מתקתק"ת, משמעותה של ""הערכה היא שימוש במ ידע אישי מ זהה , לצורך זיהוי .כללים ומאפיינים המדובר בסוג של מחקר הערכה. אין לדעתנו כל הצדקה לעשות שימוש ב נתוני הנוסעים לשם כך. מחקרי הערכה ניתנים לביצוע על בסיס מידע שאינו מזו הה ואין מקו ם לעשות ש ימוש במידע אישי ו רגיש לשם .כך בהקשר זה נצי ין גם שלא בר ורה ההבחנה בין "הערכה" לבין עיבוד נתוני נוסעים לצורך הפקת נתון סטטיסטי לפי סעיף16 () ל ה הצעת ה חוק . ,כמו כן הגדרות המונחים "הערכה" ו" "שאילתה מתבססות על מגוון פעולות הנקראות" עיבוד מ מוכן", אולם מ ונח זה אינו מ וגדר .אכן, גם ב דירקטיבה ה אירופית בנוגע לשי מוש בנתוני נוסעים נעשה שימוש במ ונח ""עיבוד.מבלי להגדירו7 "אולם, באירופה המונח "עיבוד מוכר מוגדר באופן ור בר ב- GDPR . 8 בישרא ל, לע ,ומת זאת "המונח "עיבוד לא מוזכר ב חוק הגנת הפרטיות , התשמ"א – 1981 " :(להלן חוק הגנת הפרטיות)" . לפיכ ך, על מנת ל קבוע גבולות בירורים ונדרשים למגוון הפעולות ש ניתן לעשות בנתוני הנוסעים יש הכרח בהגדרה ברורה של המונח "עי בוד." ,לדעתנו מניית הדרכים בהן יכול ל התבצע "עיבוד ממוכן" במסגרת "הערכה" כהגדרתה בסעיף1 להצעת החוק הינו מבורך, אולם אי ן בו כדי לתת מענה להבנת מ גוון הפעולות שהצעת החוק מתירה לבצע במידע אישי .במסגרת "עיבוד ממוכן" שלו 1.3 . מורש י גי ה שה ל נת וני הנוסעים לפי הצ עת החוק , הרש ות המ מונה על איחסון נתוני הנוסעים ועיבודם היא רשות המיסים. בה "יוקם "מרכז לאומי לאיבחון נתוני נוסעים " :(להלן המכר ז)" , ינוהל מאגר המידע ועובדיה יהיו ,עובדי המרכז אם כי בעת העסקתם במרכז אין הם מורש ים לעבוד בכל ת פקיד אחר ברש ות המיסים . 9 עובדי המרכז הם מורש י יש ג ה לנתוני הנוסעים לשם עיבוד .ם 6 סעיף6 1 ל הצעת ה חוק . 7 ראו and of the Council of 27 April rliament a P an Europe the rective (EU) 2016/681 of Di 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime . 8 סעיף4 ( 2 ) ל- GDPR . 9 סעיפים7 , 10 להצעת ה חוק . הבחירה ברשות המיסים ל תפקיד תמוהה ביותר. א ין מדו בר ברשות האחראית במהלך תפקידיה הרגי לים על מידע הקשור בכניסה וביצי אה לי שראל., בהגירה, או בביטחון המדינה בארה"ב הר שות האחראית לעיבוד נתוני הנוסע.ים הינה רשות המכס איח ב וד האירופי ה רשויות המורשית לעבד את נתוני הנוסעים ה ן אלו שאחראיות למניעה, חקירה ואכיפה של העבירות המנויות במטרות החוק – מניעת מע שי טרור ופשיעה חמו .רה10 נוכח מטרות ה חוק והרציונל שבבסיסו הגיוני יותר שהרשות האחראית על שמירה ועיבוד נתוני הנוסעים תהיה רשות האוכל וסין המורגלת בנתוני מידע מסוג זה , מחזיקה במומחיות המתאימה ו מנגד אינה מחזיקה במאגרי מידע אחרים ה קשורים ל פעילות ם הכלכלית של אזרח י המדינ וא ה בסמכויות חקירה ואכיפה ב .תחום זה כרשות המיסים העובדה שרשות האוכלוסין אף הקימה בעבר ממשק טכנולוגי לאיסוף נתוני נוסעים וה חל ה באיסוף ס וג מסוים של נתוני נוסעים במסגרת פיילוט רק מחזקת את ה עמדה שהיא הרשות המתאימה להובלת .המרכז לצד רשות המיסים בתפקידה כמנהלת המרכז הלאומי לאיבחון נתוני נוסעים , מוגדרים ,השב"כ המוסד והמשטרה כרשויות מוסמכות. מ שרד התחבורה, מ שרד הברי,אות רשות הא וכלוסין וההגירה ורש ות המיסים מוגדרים כ .""רשויות מורשות רשויות מוסמכות רשאיות לה קים בחצרן העתק של מאגר נתוני הנוסעים , לעבד את המידע שבו ו להצלי ב ו עם נתונים ממאגרי המידע שברשותן. מידע שעובד יועבר למאגרי מידע של הרשות המוסמכת אם מורשה הגיש ה מוצא שתוצאת העיבוד דרושה לשם מימוש סמכוי ותיה או תפקידי של הרשות המוסמכת ולמימוש אחת מהמטרות המנויות בסעיף12 ( )א ל הצעת ה ק חו . 11 רשויות מורשות רשאיות לפנו ת למרכז בבקשה לעבד נתוני נוסעים לצורך מימוש המטר ות הקבועות בסעיף12 )(א . רשויות מורשו ת ומוסמכות רשאיות גם להעביר לידי המרכז מידע חיצוני ממאגרי מידע שברשותן לשם הצלבתו עם נתוני הנוסעים למימוש אחת מהמטרות המנויות בסעיף12 ל הצעת החוק. לעובדי המרכז ולמורשה הגיש ה ברשות שהעבירה את המידע ה חיצוני רשות לגשת גם לתוצ רי העיבוד המשלבים מידע .מנתוני הנוסעים וממידע חיצוני12 אב שר לאפשרות הרשויות המוסמכות להקים ב חצרן "שלוחה" של המאגר , המד ובר בכפילות שפשרה אינו ברור . הרשויות המוסמכות אינן כפופ ות למנגנוני הגנת הפרטיות להם כפוף המרכז או למידת השקיפות והדיווח הנדרש .ת ממנו הקמת ה"שלוחה" תאפשר בפועל מסלול עוקף המרכז , לרבות ממונה הגנת הפרטיות ב ו . בנוסף, העבר ת נתו ני הנוסעים לרשויות המורשית מהווה עקיפה של הוראות חוק הגנת הפרטיות לעניין מסירת מידע או ידיעות מאת גופים ציבוריים. המנגנון המצויין בהצעת החוק מאפשר מתן גישה לנתוני הנוסעים בתנאים מסויימים אולם לא ברור האם בנוסף עליהם חבות הרשויות המורשות גם בחובות המוטלות על יהן, למשל, לפי סע יפים23ד .לחוק הגנת הפרטיות 10 (PNR) information Name Record Passenger – 122.49d § 19 CFR ; סעיף7 ( 2 ) לrective (EU) Di 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime . 11 סימן א לפרק ה להצעת ה חוק . 12 סעיף9 (ב) ל הצעת ה חוק. התוצאה היא ש ארבע רשויו ת מוסמכות לעבד את המידע שבמאגר נתוני הנוסעים כרצונן ובחצרן וארבע נוספות מו סמ.כות לעשות זאת בתנאים המספר הרב של הרשויות מורשות הגישה למאגר נתוני הנוס עים הוא תוצא ה ישירה ש ה ל הגדרה הרחבה של מטרות ה ,שימוש במאגר. אולם יש לזכור שמדובר בשימוש ש מבקשת המדינה לעשות במידע אישי, רגיש ומזוהה, שנאסף בכפייה מ נושאי מידע למטרות שונות בתכלית מאלו המצויינות בהצעת החוק. כבכל מ אגר מידע גם כאן יש סיכוי שהמידע שבנתוני הנוסע ים י אפשר לימוד מידע אחר או נוסף, לרבות מאפיינים או דפוסי התנהגות . אולם, אין בכך כדי להצדיק את הפגיעה הח מורה והלא מיד .תית בזכות לפרטיות יש לצמצם את מטרות השימוש במאגר וב התאם ל צמצם את רשימת הרשויות מורש ו .ת הגישה אליו 1.4 . מגבלות על השימוש ב נתוני הנוסעים נתונ י הנוסעים טומנים בחובם מידע רב על מוצאו ,האתני של אדם ,גילו ,המגדר אליו משתייך מצבו הכלכלי ואורחות חייו. המדובר במידע רגי ש ומזהה ש השימוש בו צריך לה יעשות בזהירות . בדירקטיבה האירופית ,, למשל מובהר, מספר פעמים , כי אין לע בד את נתוני הנוסעים באופן העלול להביא לג ילוי מידע רגיש כגון מוצא אתני של אדם, המג דר אליו משתייך , דעותיו הפוליטיות או אמונותיו הדתיות . אם פרטי מידע כאמו ר מגיעים לידי הרשות האחראית על ניהול מאגר נוסעי הנתונים עליה למחקם במיידי. 13 ,ואולם הצעת החוק אינ ה כולל ת מגבלות על השימוש במי ג ע .רגיש כאמור הרשויות המוסמכות ו המורשות רשאיות לעבד , באמצעות מור ,שה גישה כל מידע ה ל כלו בנתוני הנוסעים כל עוד יש בכך צורך לשם מימוש המטרות המנויות בסעיף12 )(א ל הצעת חוק ה . נוכח מגוון הרשויות המוסמכות ו המ ורש ות לעבד את נתוני הנוסעים ורשימת מטרות ,השימוש הרחבה המדובר בחסר משמעותי העלול להב יא לפגיעה בלתי מידתית בזכות לפרטיות ולאפליי ה אסורה . 1.5 . זכו יות נושאי המידע לנושא המידע זכות לעיין במידע ה שמור אודותיו במאגר נתוני הנוסעים ו לבקש את תיקונו או ע .דכונו14 המדובר באגד זכויות מצומצם ., בדומה לאגד הזכויות החסר בחוק הגנת הפרטיות כיום כחלק מהענקת מעטפ ת הגנת פרטיות רחבה ראוי היה להעניק לנושא המידע ז כויות נו ספות המקובלות במדינות אחרות בעולם כחלק מאגד הזכ ויות לפרטיות. למשל, זכות המחיקה א ו הזכות להתנגד להחלטה הפוגעת בזכות משפטית של נושא המידע המתקבלת על סמך עיבו ד אוטומטי בלבד של מידע אישי . 15 13 סעיף13 ( 3 ) ל- of and of the Council rliament a P European the ive (EU) 2016/681 of rect Di 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime . 14 סעיף19 ל הצעת ה חוק . 15 זכויות אלו מוענקות למשל ב- and of the rliament a P European the 1 of rective (EU) 2016/68 Di Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime . 2. ממונה הגנת פ רטיות והרשות להגנת ה פרטיות 2.1 . כשירות ל תפקיד החיוב במינוי ממונ ה הגנת פרטיות הוא חשוב וחיוני .ויש לברך על כך עם זאת, לדעתנו , הוא לוקה בחסר. ר ,אשית הג דרה מינוי הממונה על הגנת הפרטיות היא הגדרה מעגלית . לפי סעיף11 )(א ל הצעת ה חוק הממונה על הגנ ת הפרטיות ימונה על ידי ראש המר כ ז לאחר היוועצות עם ראש הר שות להג נ ת הפר טיות , כאשר כללי הכשירות לתפקיד יקבעו על ידי ראש הרשות להג נת הפרטיות, בה יוועצות עם ראש ,המרכז. לדעתנו ראש הרשות להגנת הפרטיות הוא המחזיק במומחיות הנ דרשת על מנת להגדיר את תנאי הכשירות המק צועי ים ה דרושי ם לתפקיד ממונה על הגנת הפרטיות במרכז. ראש המרכז הוא המופקד על גיוס עובדים מתאימים למרכז, אולם מרגע שמועמד עומד בדרי שות ה כשירות לת פקיד עובד במרכז , ה דרישות המקצועיות למינוי כממונה הגנת הפרטיות .צריכות להיקבע על ידי ראש הרשות להגנת הפרטיות בלבד 2.2 . תפקידים נוספי ם פק ת יד הממונה על הגנת הפרטיות הוא תפקיד חשוב, חיוני ומרכז י בכל ארגון. ככזה יש להבטיח שיהיו בידו על האמצעים והמשאבי ם לבצע את תפקי דו ביעילות . לפיכך, לדעתנו, אין מקום לאפשר העסקתו של הממונה על הגנת הפרטיות בכ ל תפקיד נוסף, למעט תפקיד הממונה על פניות הציבור לפ י סעיף19 ,לחוק המוצע בתזכיר. זאת גם אם אין חשש שה תפקיד הנ וסף יעמיד את הממונה על הגנת הפרטיות בחשש לניגוד עניינים . 2.3 . עצמאות והיעדר תלות ההוראה בסעיף11 (ב) ל הצעת ה חוק לפיה כהונתו של הממונה על הגנת הפרטיות תופסק או הוא יועבר מתפקידו רק בהסכמת ראש הרש ות להגנת הפרטיות היא חשובה וי ש בה כדי להבטיח שהממונה על הגנ ת הפרטיות יבצע את תפקידיו ללא .חשש מפיטורין כמו כן, הדרישה בסעי ף 11 ( ד) ל הצעת ה חוק לפיה על המרכז להעמיד לר שות הממונה על הגנת הפרטיות א מצעים נאותים הדרושים למילוי תפקידו , היא חיונית, שכן יש בה כדי להבטיח את פניותו של הממונה על .הגנת הפרטיות לתפקיד עם זאת , לדעתנו, יש מקום לציין בנוסף גם את הצורך בה בטח ה כ י המרכז י עמיד לרשות הממונה על הגנת הפרט יות גם את האמצעים הד רושים להבטחת עצמאותו של הממונה ב .מילוי תפקידו זא ת בדומה לדרישה המקבילה ב- GDPR ובדי רקטיבה האירופית בנוגע לשימוש בנתוני נוסעים וכן כפ י שהומלץ ע ל ידי הרשות לה גנת הפרטיות בגילוי דעת בנושא. 16 ה תוספת בסעי ף11 )(ב להצעת החוק הקובעת כי הממונה יונחה מקצועית בידי רשם מ אגרי המידע הי ,א חיובית וחשובה אך אין בה כ .די לתת מענה לחוסר זה 16 ראו סעיף38 ( 3 ) ל- GDPR , וסעי ף5 ( 2 ) ל- rliament a P European the irective (EU) 2016/681 of D and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime ; ,הרשות להגנת הפרטיות מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו ( 29.10.20), בס ע יף4 . ,נשמח לעמוד לרשותכם בכל עניין שיידרש בכ בוד וב ברכה ד"ר רחל ארידו ,ר הרשקוביץ "ד ר ת הילה שו ורץ אלטשולר התוכנית לדמוקרטיה בעידן המי דע המכון ה ישרא לי לדמוקרטיה