חומר רקע

PDF 18,559 תווים המסמך המקורי ↗
עמית דת , שותף .טל03-6941320 .פקס03-6091116 [email protected] לכבוד יוני2023 חה"כ שמחה רוטמן , יו"ר הוועדה עו"ד ד"ר גור בליי, היועץ המשפטי ועדת החוקה, חוק ומשפט של הכנסת ,שלום רב :הנדון עמדת התאחדות התעשיינים- תיקון חוק הגנת הפרטיות ,בשם מרשתנו, התאחדות התעשיינים בישראל הננו מתכבדים להגיש את התייחסות ה של ההתאחדות להצעת חוק הגנת הפרטיות, התשמ"א- 1981 (תיקון14 ) (להלן: "הצעת החוק" או "התזכיר" ו- ,)"החוק העיקרי", בהתאמה בה נפרט את עמדת ה והערותי ה המרכזיות ביחס להסדרים המוצעים בתזכיר וכן, הצ .עות לתיקון התזכיר 1. הגדרות 1.1 . "הגדרת "מחזיק על פי דברי ה ה סבר לתזכיר החוק , ההגדרה של "מחזיק" הורחבה, כך שגם מי שהתקשר עם בעל שליטה במאגר מידע למתן שירות ל בעל השליטה ,או למתן שירות מטעם בעל השליטה ,וקיבל ממנו הרשאה במסגרת ההתקשרות, לעשות שימוש במידע שבמאגר לצורך מתן השירות .ייחשב כמחזיק יובהר כי משמעות סעיף זה לגופים גדולים היא שגם ספקים שונים, שיתכן שהשימוש שהם רשאים לעשות במאגר הינו מוגבל ביותר, יוגדרו כ"מחזיק" ויח ולו עליהם כל חובות המחזיק הקבועות בחוק. מכאן, שבעלי השליטה יאלצו להשקיע תשומות רבות לצורך אכיפה ופיקוח על עמידת הספקים בדרישות שונות, הנדרשות ממחזיקי מאגרי מידע לפי החוק , על אף ש בפועל אין צורך ש כולם יהיו מחויבים לאותה רמה של זהירות או אחריות. לדוגמא, בעת ה תקשרות עם ספקים קטנים שמבצעים פעולות שוטפות כגון שליחויות, התקנות, ספקי שירותי רווחה להם נדרש להעביר רשומות חלקיות מתוך המאגר לצורך מתן השירות(כגון שם וטלפון בלבד) , .קיים קושי רב בהחלת מלוא דרישות הדין בהתאם לכך, נראה כי רצוי כי הגדרה לא תכלול תנאי הכרחי של מתן שירותים לבעל השליטה במאגר מידע ו תתחשב בהיקף השימוש במידע, אופי ההתקשרות, רגישות המידע וכן, בשאלה האם נעשה שימוש בפועל במידע . לפיכך, רצוי למצוא את הדרך ל כך שהגורמים המשתמשים במידע יסווגו על פי ,תדירות ,היקף סוג ורמת השימוש שהם עו שים במאגר, כך שחובות המחזיק .יחולו עליהם רק כאשר תהיה הצדקה עניינית לכך 2 1.2 . "הגדרת "מידע ,בהתאם להצעת החוק הורחב היקף הגדרת "מידע", כך שיחול על כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מזהה ביומטרי, מספר .זהות או כל נתון מזהה ייחודי אחר להלן מספר הערות בקשר עם ההגדרה: 1.2.1 . נדרשת הבהרה בקשר ל"אמצעים הס בירים" הנזכרים בהגדרה לצורך אבחון הנתונים הניתנים לזיהוי, או לכל הפחות להבהיר מהם הפרמטרים הנדרשים אשר .באמצעותם ניתן להפוך נתון למזוהה כמו כן, נדרשת הבהרה לגבי צורות עיבוד הכוללת אנונימיזציה או פסאודונימיזציה של המידע והאם מידע שעובד בצורה הזו .ייכנס תחת ההגדרה 1.2.2 . כמו כן, נבקש להוסיף כי ה"אמצעים הסבירים" יהיו רק אלו ש ברשותו של בעל השליטה במאגר מידע או המחזיק, כך שאלו לא יוחזקו בגדר מי שיש בידיהם מידע שניתן לזיהוי באמצעים שייתכן שנחשבים כסבירים במגזרים מסוימים, אך אינם נמצאים ברשותם בפועל . 1.2.3 . ב הצעת החוק התווספו סעיפים10 ב. ו- 10 ג. המתייחסים לאיסורים שנקבעו על בעל שליטה במאגר מידע או המחזיק בו. על אף ההגדרה החדשה והרחבה מאוד למונח "מידע", מחילים סעיפים אלו את תחולת האיסור גם על "ידיעה על ענייניו הפרטיים ."של אדם עם הרח"בת הגדרת "מידע, קשה לעלות על הדעת דוגמה לידיעה על .ענייניו הפרטים של אדם שאינו מהווה מידע 1.2.4 . נראה כי לא קיימת הצדקה לניסוח החוק באופן הכולל גם התייחסות למידע וגם .התייחסות לידיעה על ענייניו הפרטים של אדם, שאינם מהווים מידע לא ברור מדוע הצעת החוק מונעת שימו ש בידיעות שאינן מהוות ""מידע ואינן נכללות בהגדרה החדשה והרחבה של"מידע ". בוודאי שלא ברור מדוע שימוש בידיעה שאינ ה בגדר מידע, יגרור אחריו את העיצום הכספי הגבוה ביותר , על אחת כמה וכמה כאשר מדובר במונח עמום שנתון לפרשנויות שונות. ,לפיכך עמדתנו היא ש יש להסיר ,"מהצעת החוק את כלל האזכורים של המונח "ידיעה על ענייניו הפרטים של אדם ולהותיר את ההתייחסות של הצעת החוק למונח "מידע", על פי הגדרתו החדשה .והרחבה 1.3 . "הגדרת "מידע בעל רגישות מיוחדת הצעת החוק מציעה בסעיף2 (4) לתזכיר לבטל את המונח "מידע רגיש" ולהחליפו במ ונח "מידע בעל רגישות מיוחדת" הכוללת רשימה לא סגורה של סוגי מידע. לצד זאת, בקביעת גובה סכום ,הקנסות שיוטלו על מפרים הצעת החוק מבחינה בין מאגרי מידע הכוללים מידע בלבד לבין ,מאגרי מידע הכוללים מידע בעל רגישות מיוחדת. כמו כן אבחנה זו מהווה את אחד התנאים להטלת חובת רישום מאגר מידע. אנו סבורים כי ההגדרה החדשה למונח "מידע בעל רגישות "מיוחדת רחבה מידי ומובילה לאי ודאות. בשל ההשלכות לגבי גובה סכום הקנסות וחובת רישום מאגר המידע נראה כי רצוי להגביל את ההגדרה לסוגי מידע מסוימים שיש לראות בהם רגישים, ול מחוק מספר תת סעיפים שלטעמנו הם כוללניים, רחבים וניתנים לפרשנות רחבה. לדוגמא , אנו סבורים כי יש למחוק את ף סעי ( קטן1 ) הכולל מידע על "צנעת חייו האישים של 3 "אדם, לרבות התנהגותו ברשות היחיד ואת( סעיף קטן12 ) שכולל "מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החו"קה חוק ומשפט של הכנסת . כמו כן, אנו מציעים להוסיף הבהרה כי ההגדרה מתייחסת רק למידע תחת כל אחת מן הקטגוריות ככל שהוא מתייחס לאדם שניתן לזיהוי באמצעים סבירים המצויים ברשותו של בעל השליטה במאגר מידע או .מחזיק בו זאת ועוד, אנו מציעים ל הוסיף החרגות לכל אחת מ הקטגוריות כך שמידע שנשמר עקב דרישה חוקית במסגרת יחסי עבודה לא יכנס תחת הי ,, שכן אם לא יתווסף חריג כאמור כל עסק בישראל יחזיק מידע בעל רגישות מיוחדת לפחות לגבי עו בדיו . 1.4 . "הגדרת "מזהה ביומטרי התזכיר מציע לקבוע מונח חדש – ""מזהה ביומטרי– אשר יכלול כל נתון ביומטרי המשמש ,לזיהוי אדם או לאימות זהותו או אמצעי ביומטרי שניתן להפיק ממנו נתון כאמור . הגדרה רחבה זו עשויה לכלול גם פלטי עיבוד של נתונים ביומטריים גולמיים או פלט גיבוב ( hash ) של נתונים ביומטריים. לכן, נראה כי יהיה רצוי לתקן את הסעיף כך שיתייחס רק לנתונים ביומטרי י ם המשמשים בפועל את בעל השליטה במאגר מידע או את המחזיק בו לזיהוי או אימות אדם, או שניתן לחלץ מהם .נתונים כאלה על ידי שימוש באמצעים סבירים 1.5 . "הגדרת "שימוש המונח החדש ל"שימוש" תחת סעיף1(2 ) להצעת החוק אינו כולל איסוף מידע, זאת לצד הוספת המונח "עיבוד" תחת סעיף2(6 ) להצעת החוק הכולל תחתיו איסוף מידע. ההבדלים שיוצרת הצעת החוק בין ההגדרות של "שימוש" ו"עיבוד" מובילים לבלבול רב ולאי ודאות לרבות ביחס להגדרה של מיהו "מחזיק". בנוסף, היא מובילה לאי התאמה בין החוק לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז- 2017 ("תקנות אבטחת מידע "). עניין זה תואם גם את הוראות ה- GDPR אשר כולל תחת מונח ה- processing את המונחים שימוש ועיבוד ואת מכלול הפעולות .תחתיהם כמו כן, אנו מציעים להחריג "מהמונח "שימוש שימוש ים זמני ים וארעי ים ב נתונים, וזאת בכדי להבחין ולצמצם את התחולה על גופים שעושים שימוש זמני וארעי במאגר מידע, כך שלא יהיו כפופים להוראות הדין רק בשל התקשרות עם בעל השליטה במאגר המידע או למענו. ההחרגה מוצעת על רקע הטעם כי קיימים שימושים במיד ע הנעשים כחלק מתהליכים טכנולוגיים אוטומטיים שמטרתם היחידה היא לאפשר העברה של מידע בין צדדים ברשת תקשורת, על ידי גורם ביניים, או ביצוע של הליך טכנולוגי במסגרתו המידע אינו קריא. כאמור, אין לטעמנו כל .הצדקה עניינית לקביעה גורפת כזו 2. איסור ניהול או החזקת מאגר מידע הכולל מידע שנוצר או נאסף שלא דין במסגרת סעיף8א לחוק העיקרי התווסף סעיף המתייחס לניהול חוקי של מאגר, הקובע הפרה במקרה בו אדם מנהל או מחזיק מאגר מידע שהמידע הכלול בו נוצר, נתקבל, נצבר או נאסף בניגוד לחוק או בניגוד להוראות כל דין המסדיר עיבוד מידע. נוסח הסעיף אינו ברור, ולא ניתן להבין ממנו במפורש למה הכוונה באיסוף מ ידע בניגוד לחוק. נציין כי קיימת חשיבות גדולה .להבהרת נוסח הסעיף, וזאת לאור העיצומים הכספים והענישה שנקבעו בהצעת החוק על מנת 4 להימנע מסוגיות פרשניות אנו סבורים כי יהיה נכון לתקן את סעיף1 לחוק העיקרי ולקבוע שפגיעה בפרטיותו של אדם תעשה רק לפי הוראות חוק הגנת .הפרטיות 3. קביעת בסיסים חוקיים נוספים לעיבוד מידע תזכיר החוק מבקש להתאים את החקיקה הישראלית לחקיקה הנהוגה בעולם בכלל ובאירופה בפרט. ואולם מדובר באימוץ חלקי וחסר ,, כך שבעוד שהוחמרו למשל אמצעי האכיפה והענישה לא הורחבו הבסיסים החוקיים הנוספים לעיבוד מידע כפי שקיים כדוגמא בGDPR- . 3.1 ,הדין הנוהג בישראל בנושא בסיסיים חוקיים לעיבוד מידע אישי הינו מצומצם יתר על המידה וכן לוקה באי בהירות. חקיקה מקבילה בעולם בשנים האחרונות קובעת מספר רב יותר של בסיסים חוקיים לעיבוד מידע אישי, אשר לוקחים בחשבון את הצרכים והאינטרסים הלגיט .ימיים של ארגונים המנהלים מאגרי מידע ו/או מעבדים מידע אישי 3.2 כך, בין היתר, ה - GDPR :האירופאי, קובע מספר בסיסים חוקיים לעיבוד מידע אישי, ובניהם הסכמה; צורך בעיבוד המידע לשם ביצוע חוזה מול נושא המידע או במסגרת צעדים לקראת כריתת חוזה עם נושא המידע; עמידה בחובה חוקית שחלה על הארגון שמעבד את המידע; הגנה על האינטרסים החיוניים של נושא המידע או אדם אחר; העיבוד נדרש במסגרת האינטרס הציבורי או הסמכה שניתנת לארגון שמעבד את המידע בדין; ואינטרס לגיטימי של הארגון המעבד את המידע או של צד שלישי, כאשר אלו אינם נסוגים מפני האינטרסים החיוניים .וזכויותיהם של נושאי מידע 3.3 כך גם, ה- CCPA הקליפורני, קובע כי ניתן לעבד מידע אישי באופן חוקי למטרה עסקית ( Business Purpose ), שהינה הצורך של מעבד המידע או נותן שירותים מטעמו להשתמש במידע אישי באופן מידתי למטרות תפעוליות של העסק, לרבות ניטור של האינטראקציה בין נושא המידע לבין העסק (מדידת יעילות פרסום לדוגמה), למטרות אבטחת ,מידע של החברה .איתור ותיקון תקלות, למטרות מו"פ פנימיים של החברה, ועוד 3.4 במצב דברים בו הבסיס החוקי היחידי בדין הנוהג הינו הסכמה, לצד הרחבת עקרון צמידות המטרה כפי שמציע תזכיר החוק, נוצר אבסורד בו ארגון המעבד מידע אינו רשאי לעשות שימוש במידע אפילו למטרות כגו ן אבטחת השירותים והמערכות של העסק, או לשם הגנה על טענות ,משפטיות של החברה. מצב זה אינו מתאים למציאות החברתית והכלכלית בישראל להתקדמות הטכנולוגיה, וכן אינו עומד בקנה אחד עם הדינים המתקדמים הנהוגים בעולם .בנושא זה 3.5 לאור האמור לעיל, עמדתנו הינה כי יש להרחיב, ב תזכיר זה, את הבסיסים החוקיים המנויים במפורש בחוק, כך שיכללו בסיסים נוספים כמקובל בעולם, ובפרט בסיסים הנוגעים .לאינטרסים הלגיטימיים של מעבד המידע ומי מטעמו 3.6 כמו כן, התיקון המוצע בסעיף10 ב(א) לחוק העיקרי מגביל את השימוש במידע אך ורק למטרה לשמה נמסר, ואינו מאמ ץ מבחנים ל"מטרה דומה" בדומה לקבוע ב- GDPR . עניין זה, כמו גם המשך הישענות על בסיס חוקי יחיד לאיסוף מידע, מטילים על בעלי השליטה במידע או המחזיקים בו קושי ממשי לצפות מראש את מכלול השימושים המדויקים שלשמם נאסף המידע, ויוצר ים תלות חזקה בהסכמה ספציפית ורחבה של נו שאי המידע. על כן, מוצע לאמץ 5 תחת סעיף10 ב(א) לחוק הסדר חוקי דומה לזה המופיע ב- GDPR , כך שככל שהשימוש שיעשה על ידי בעל השליטה או המחזיק במידע יחרוג מן ההסכמה של נושא המידע, הוא עדיין יהיה מותר כאשר הוא תואם את המטרה הראשונית שלשמה נאסף המידע. בחינת תאימות המ ,טרות תעשה תוך התחשבות בקריטריונים מסוימים כמו בחינת הקשר בין המטרות, הראשונית .והחדשה, בחינת הקשר האיסוף והנסיבות וכדומה 4. ביטול תפקיד מנהל מאגר מידע 4.1 החוק הישראלי, בשונה מחקיקה מקבילה ומודרנית יותר בעולם, קובע את תפקיד מנהל מאגר המידע, ומטיל על מנהל המאגר חובות שונות, אחריות אישית ו סנקציות אישיות. עוד קובע החוק כיום את תפקיד "ממונה אבטחת המידע", כתפקיד מרכזי בארגון אשר חולש על כלל תהליכי עיבוד המידע ואבטחתו .בארגון 4.2 לדידנו יש לבטל את תפקיד מנהל מאגר המידע בחוק, ולהסתפק בתפקיד ממונה אבטחת המידע בלבד, וז את מכוון שתפקיד זה אינו הולם את המערך הארגוני, ואף אינו מקדם את האינטרס אותו הוא מיועד, לאמור– .קידום ההגנה על פרטיות ואבטחת מידע בחברה 4.3 בנוסף, מניסיוננו נציין כי קיים קושי רב ביותר המוטל על חברות וארגונים בכל הקשור למינוי מנהלי מאגרי מידע בחברה. בשונה מתפ קיד הממונה על אבטחת מידע, אשר הינו גורם בעל ידע ומומחיות ספציפיים הכרוכים במילוי חובותיו מכוח הדין, תפקיד מנהל מאגר המידע אינו מצריך מיומנות מיוחדת לתחום זה, ולעיתים בעל התפקיד אשר מופנה למילוי התפקיד אינו בעל מומחיות או ידע טכנולוגיים או משפטיים אשר רלוונ .טיים להגנת פרטיות ואבטחת מידע עובדים ומנהלים רבים מביעים התנגדות חריפה ואף סירוב קטגורי לקבל על עצמם את תפקיד מנהל מאגר המידע, זאת, בין היתר, לאור האחריות האישית שמוטלת בחוק על מנהלי מאגרי מידע והעדר ההגדרות הברורות ביחס לתפקידו . דבר זה מטיל נטל רב ובלתי .מידתי על ארגונים 5. שינוי תפקיד "אחראי אבטחת מידע" ל- "אחראי על הגנת "מידע בעקבות שינוי שם הרשם ל"ממונה", ובכדי למנוע בלבול בין התפקידים של הרשם ושם הממונה כפי שהוא כיום, התזכיר מציע לשנות את שם תפקיד "ממונה על אבטחת מידע" ל - .""אחראי על הגנת מידע עניין ההבהרה מובן לגמרי, אלא שלא ברור מדברי ההסבר לתזכיר מדוע השינוי כולל גם החלפת ת פקיד בין "אבטחת מידע" ל"הגנת מידע" ויותר מכך, קשה לומר מהי ההשלכה של התיקון האמור שכן הצעת החוק אינה כוללת הרחבת סמכויות או תפקידי הממונה על אבטחת מידע. לפיכך, אנו חוששים כי שינוי השם יגרום לרשות להגנת הפרטיות להטלת תפקידים וסמכויות חדשות שלא קבועות בחוק כ יום וזאת רק על בסיס ,ההרחבה הלשונית שנעשתה בהצעת החוק. נראה כי ראוי יהיה לתקן את שמו של הממונה כך שייקרא "אחראי על אבטחת מידע", שינוי זה מספק לטעמנו בכדי לקיים את ההבחנה שהצעת החוק .ניסה לקבוע 6 6. סמכויות פיקוח הצעת החוק מרחיבה בסמכויות המסורות למפקח ולחוקר, באופן שנראה לעיתים ככזה שאינו מאוזן ומידתי ביחס לחשדות שעשויים להיחקר על יד יה ,ם לגביהם לא קיים רף של חשד סביר . אנו סבורים שראוי שסמכויות אלה יהיו מותנות ברף ראייתי או בקיום עילות מסוימות או בהוצאת צו שיפוטי . כך, לדוגמה, על פי סעיף23י להצעת החוק ב סמכות המפקח לדרוש מכל אדם את פרטיו המזהים, וכן מכל אדם הנוגע בדבר למסור לו עותק מחומר מחשב הכולל נתוני מערכת (אף שלכאורה מידע כזה לא אמור לכלול מידע אישי) או מידע מדגמי. נראה כי רצוי ש חדירה כזו לפרטיות( ככל שהדבר נוגע לאדם פרטי) או פגיעה שאינה מ י דתית(בישו ת שאינה אדם פרטי) , אם תעשה, תותנה ברף ראייתי או בקיום תנאים מסוימים או בקבלת .צו שיפוטי 7. התראה מנהלית מנדטורית לפני הטלת עיצום כספי סעיף23לג לתזכיר מציע כי לממונה (כיום הרשם) תהיה הסמכות, לפני הטלת כל עיצום כספי על מפר הוראות החוק, למסור לו התראה מנהלית הכוללת זמן לתיקון ההפרה. בהתחשב בסכומי העיצומים הגבוהים שנקבעו בתזכיר, ובהעדר תקופת מעבר והתארגנות, אנו מאמינים כי מנגנון ההתראה .המנהלית צריך להיות מנדטורי, כך שיחייב את הרשות להגנת הפרטיות קודם לכל הטלת עיצום כספי 8. סכומי עיצום כספי ראשית, סעיף 23כ ג להצעת החוק מבקש להבחין בין סכומי העיצומים הכספיים שיוטלו על מפרים, כך שלגבי מאגרי מידע הכוללים מידע בעל רגישות מיוחדת שלגביהם תחול הפרה יוטלו עיצומים כספים גבוהים יותר. כפי שהוסבר לעיל, לטעמנו הגדרת המונח "מידע בעל רגישות מיוחדת" רחבה מאוד ונוטה להראות כ רשימה פתוחה. על כן, כל זמן שלא ברורה ההבחנה המדויקת בין "מידע" ל"מידע בעל "רגישות מיוחדת לא ברורה ההבחנה ופער סכומי העיצומים הגדול בין שני המקרים. לפיכך, אנו חושבים שיהיה נכון לצמצם ולהוריד את גובה סכומי העיצומים הכספיים שחלים לגבי הפרה ביחס למאגרי מידע הכ ."וללים "מידע בעל רגישות מיוחדת .שנית, הצעת החוק קובעת סכום עיצום כספי קצוב ללא מרווח תמרון שיהיה נתון להחלטת הממונה קביעת סכום קצוב שיוטל על המפר במקום רף מרבי תפקיע את יכולתו של הממונה לפעול לפי שיקול דעתו ולהתחשב בנסיבותיו של כל מקרה ומקרה. על כן, אנו מ ציעים לקבוע סכומים מרבי,ים באופן שיקנה .לממונה מרחב בהפעלת שיקול דעתו בבואו להחליט על הסכום שיוטל 9. החרגת אחריות בעל השליטה במאגר מידע במקרה של הפרה על ידי מחזיק סעיף23 כג(ו) להצעת החוק קובע את אפשרות הטלת עיצום כספי על ידי הממונה על בעל שליטה במאגר מידע במ קרה שמחזיק במאגר המידע הפר את הוראות החוק ושנשלחה לאותו מחזיק הודעת תשלום בגין הפרתו ושזו לא שולמה על ידו. העיצום הכספי שיוטל על בעל השליטה בגין ההפרה יהיה אותו הסכום שניתן יהיה להטיל על מחזיקו בשל אותו ההפרה. בעוד שאנו מאמינים שבעל השליטה אחראי במידה מסוימת למעשים ולהפרות של מחזיקים, אנו רואים לנכון ,לקבוע חריגים לחובה זה כך שתשקף את מידת הבקרה האפקטי בית שתקנות אבטחת מידע מספקות כיום לבעלי שליטה ומתוך הבנה כי .השוק מאופיין ברשת רחבה של קשרי בעלי שליטה ומחזיקים כך למשל , אין לטעמנו כל הצדקה 7 להטלת האחריות במקרה שבעל השליטה במאגר עשה כל שביכולתו להפסקת הפרתו של המחזיק. זאת ועוד, מאותן הסיבות שמנ י ,נו לעיל יש להפחית את סכום העיצום הכספי שיהיה ניתן להטיל במקרים .של אחריות בעל השליטה במאגר מידע, לרבע מסכום העיצום הכספי שניתן להטיל את המחזיק 10 . נסיבות ושיקולים להפחתת סכום עיצום כספי סעיף23 כח(ב) להצעת החוק קובע כי שר המשפטים יהיה רשאי לקבוע נסיבות ושיקולים שבשלהם יהיה ניתן להטיל עיצום כספי בסכום הנמוך מהסכומים הקבועים בחוק. אנו סבורים כי מן הראוי .שהסמכות לקביעת נסיבות ושיקולים תהיה מנדטורית כמו כן, אנו סבורים ש יהיה נכון לקבוע שכל עוד נסיבות ושיקולים לקביעת הפחתת העיצו מי ם הכספיים לא נקבעו על ידי שר המשפטים, כמו גם אימוץ נהלים על ידי הממונה בדבר הנסיבות למסירת התראה מנהלית כמפורט תחת סעיף23 ,לג במקום עיצום כספי לא ייכנסו לתוקפן ההוראות תחת סימן א' ו- 'ב 'לפרק ג3 .הקשורות לסמכות הטלת עיצומים כספיים נראה כי בעוד שהכוונה היתה להסדר מאוזן הכולל הבניה של שיקול דעת הממונה ביחס לגובה העיצומים, הרי שבפועל עלול להיווצר מצב בו השר לא יפרסם נסיבות ושיקולים מקלים, הרשות לא תאמץ נהלים בדבר מסירת הודעה מוקדמת, והתוצאה תהיה הטלת עיצומים בסכומים קצובים, ללא .כל מנגנון שיאפשר הפחתה שלהם 11 . סנקציות פליליות בלתי מידתיות סעי פים 23נ ו - 23נא להצעת החוק קובע ים עבירות פליליות ביחס לשימוש במידע ממאגר מידע בניגוד ,למטרה שלשמה נמסר ושימוש או החזקה במידע ממאגר מידע בלא הרשאה עבירות , שעל פי הצעת ה חוק, דינ ן מאסר של3 עד5 .שנים אין צורך להרחיב על ,הפגיעה בעקרון החוקיות שעלולה להיגרם עקב קביעת עבירה פלילית כה חמורה בסעיף המנוסח באופן כה כללי ומבלי שברור מה ן ,ההתנהגויות אותן היא נועדה למנוע כל זאת לאור ,עדכון והרחבת הגדרת "מידע" בהצעת החוק בנוסף לשימוש במונח "ידיעה על ענייניו הפרטים של "אדם שכבר צ ין ו על ידינו כי הוא נתון למגוון פרשנויות . אנו סבורים כי יש לעדכן את הסעיף , כך שיציין באופן מפורט את הנסיבות העובדתיות לקביעת העבירה וכן את היסוד הנפשי הנדרש , .של כוונת זדון ,כמו כן הסעיף קובע עונש חמור של 3 עד 5 שנות מאסר, ואנו ס ב ורים כי אין להטיל עונש כה חמ ור .במקרה בו לא קיימת כוונה פלילית נציין, כי הטלת סנקציות פליליות בנוגע לעבירות המנויות בסעיפים אלה הינה בלתי מידתית ואינה .עומדת בקנה אחד עם המקובל בעולם בחקיקה מקבילה ,כך לדוגמה ביחס ל הפרת החובה ל שימוש או החזקה במידע ממאגר מידע לפי הרשאה של בעל השליטה במאגר מידע , אין הצדקה בהטלת סנקציה פלילית של 3 .שנות מאסר 8 12 . הגבלת פרסום סעיף23 מג להצעת החוק קובע חובת פרסום כוללנית של הממונה לגבי כל הפרות החוק שיעשו על ידי בעל השליטה במאגר או המחזיק. לטעמנו אין הצדקה ממשית לפגיעה כה נרחבת במוניטין של המפרי ם וכל פרסום כזה צריך לכלול התייחסות והתחשבות בסוג המידע שלגביו התבצעו ההפרות, מהות ההפרה ומידת חומרתה. לטעמנו, יש להגביל את חובת פרסום זו רק להוראות שהפרתן עשויה לפגוע באופן ישיר ב .נושאי המידע 13 . עובד חיצוני סעיפים23 ,י23יב ו23יד ל הצעת החוק קובעים כי הממונה יהיה רשאי להאציל סמכויות מסוימות .לנותני שירותים חיצוניים שאינם עובדי הרשות, ובלבד שלא יואצלו סמכויות הכרוכות בשיקול דעת אנו סבורים כי מדובר בסמכות חריגה ובהתחשב ברגישותם של הליכי ה אכיפה הנדונים . על כן, אנו מציעים להגביל הוראה זו למינימום הנדרש ולהבהיר מפורשות את החרגת אצילת סמכויות שבשיקול .דעת נשמח להרחיב בכל עניין ולעמוד לרשות הוועדה לצורך המשך דיון בסוגיות שהועלו במסמך זה על ידי התאחדות התעשיינים בישראל. ,בכבוד רב עמית דת , עו"ד פישר 'ושות ( FBC & Co. )