חומר רקע
1
07
יוני2023
י"ח סיון תשפ"ג
לכבוד
יו"ר ועדת החוקה, חוק ומשפט
חבר הכנסת שמחה רוטמן
כנסת ישראל
,.א.נ
:הנדון 'הצעת חוק הגנת הפרטיות (תיקון מס14
), התשפ"ב-
2022
ביום
13.06.23
תקיים וועדת החוקה, חוק ומשפט של הכנסת שבראשותך דיון בהצעת חוק הגנת
'הפרטיות (תיקון מס14
), התשפ"ב–
2022
" :(להלן תיקון14
)"
.
בחוות דעתנו, המצורפות למסמך
זה, מהתאריכים17.11.2021
,
12.05.2022
, ו –
03.06.2022
, הערנו בהרחבה על התיקונים
המוצעים בחוק וה " :קשיים שהם מעוררים (להלן חוות הדעת "). במסמך זה נבקש רק להדגיש
.בקצרה חלק מהנושאים המפורטים בהרחבה בחוות הדעת הללו
1.
קבלת תיקון14
כלשונו, ללא תיקון לדין המהותי, תכביד באופן בלתי סביר על
.התעשייה
-
הגברת חוסר הוודאות עקב הגדרות
:שאינן תואמות לדין הבינלאומי
חוסר התאימות
בהגדרות הקבועות בחוק הגנת הפרטיות, התשמ"א–
1981
" :(להלן חוק הגנת
הפרטיות ") ואלו המוצעות בתיקון14
עם החקיקה הבינלאומית, ובעיקר עם החקיקה
האירופאית, ה-
GDPR, מקשה על הבנת הדרישות השונות וציות להן
ויובל בהשקעת
.משאבים כלכליים ואנושיים מיותרים
-
צמ צום
חובת רישום:
המדובר בחובה ארכאית, שהמשך שימורה מכביד על התעשייה
.שלא לצורך
-
הותרת פגיעה בפרטיות כתלויה בהסכמת נושא המידע בלבד:
תלות חזקה מידי בדרישת
ההסכמה, בעולם שבו מידע אישי מעובד בדרכים שונות ולמטרות שאת חלקן לא ניתן
לצפות מראש בעת ההסכמה, היא בעיית
ית , מעניקה תחושה מזויפת של הגנה על
הפרטיות, וחוסמת בפני חברות מישראל אפשרויות עיבוד מידע הנתונות בידי חברות
.אחרות המכירות בבסיסים לגיטימיים אחרים לעיבוד מידע
2
2.
חיזוק הזכות לפרטיות והרשות להגנת הפרטיות
אינו מספק
-
העיצומים הכספיים לא יובילו לחיזוק ממשי לזכות לפרטיות
בהיעדר הוספת זכויות
מהותיות לנושא המידע:
תיקון14
אינו מרחיב את אגד הזכויות המהותיות הנתון לנושא
המידע כגון זכות החזרה מהסכמה, זהות המחיקה, זהות הניוד וזכות הסירוב בנסיבות
,מסוימות. כתוצאה
ההפרות בגינן יוטל עיצום כספי אינן משקפות את חשיבות הז כות
לפרטיות והיבטיה מבחינת נושא המידע והסיכונים לפרטיות עקב עיבוד מידע בהיקפים
.ובאופנים המבוצעים כיום ויבוצעו בעתיד1
,בנוסף מדרג העיצום הכספי תלוי בכמות
נושאי המידע במאגר המידע ובשאלה האם יש במאגר מידע בעל רגישות מיוחדת. בכך
מתעלם תיקון14
ממצבים שבהם הכ מות המספרית של נושאי המידע אינה רלוונטית
לחומרת ההפרה. התמקדות זו במספר נושאי המידע מונעת מהרשות שיקול דעת ויכולת
להטיל עיצומים כספיים שמטרתם לא רק עונשית אלא הרתעתית.
-
חוסר בחובות מקדימות לפגיעה בפרטיות:
תיקון14
אינו מטיל חובה על בעל מאגר מידע
לבצע תסקיר פגיעה בפרטיות, אלא מסתפק בקיומה של חובה זו ביחס לבעלי מאגר מידע
.בסיכון גבוה מכוח תקנות אבטחת מידע2
לדעתנו מדובר בחסר משמעותי. הטלת חובה
,לבצע סקר סיכונים לפגיעה בפרטיות וחובת היוועצות עם הרשות להגנת הפרטיות
בדומה לזו הקבועה ב-
GDPR, במקרים בהם צפויה
פגיעה חמורה בזכות להגנת הפרטיות
יוביל להטמעת חשיבות הזכות לפרטיות בקרב מפתחי טכנולוגיה כבר משלביה
הראשונים, יחזק את הרשות להגנת הפרטיות כגוף המוביל בנושא ויבטל את הצורך
.בחובת רישום
-
היעדר סמכות לשיתוף פעולה עם רשויות חוץ :פגיעה בפרטיות היא חוצת גבולות. ע ל
מנת לאפשר לרשות להגנת הפרטיות לבצע חקירה מקיפה ולהעניק בידה סמכויות אכיפה
1
מתוך25
הפרות המנויות בסעיף23
כג המוצע בתיקון14
,
4
מתוכן עוסקות בהפרות הנוגעות לרישום
מאגר מידע, חובה שממילא אמורה להיות מצומצמת לפי תיקון14
,
3
עוסקות בהוראות הנוגעות למסירת
מידע מאת גופים ציבוריים,
5
,נוגעות לנושאים הקשורים במאגרי מידע המשמשים לדיוור ישיר1
עוסקת
,באי שיתוף פעולה עם חוקר מטעם הרשות להגנת הפרטיות1
,בהפרת הוראה להפסקת הפרה5
בהפרת
זכות נושא המידע להודעה, לת ,יקון או לעיון2
בהפרת הוראות הקשורות באבטחת מידע, ו-
3
בהפרת
.עיקרון צמידות המטרה
2
תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז–
2017
.
3
אמיתיות יש צורך להסדיר את שיתוף הפעולה שהיא יכולה לבצע עם רשויות מקבילות
.ממדינות אחרות
-
יחסי הכוחות למול מערך הסייבר :
תיקון14
מכפיף את הרשות להגנת הפרטיות למערך
.הסייבר בכל הנוגע לנושאי אבטחת מידע .הגנת הפרטיות והגנת סייבר הן אחיות תאומות
לא ניתן להבטיח את האחת ללא הבטחת רעותה. משום כך יחסי הכוחות בין הרשות
להגנת הפרטיות לבין מערך הסייבר צריכים להיות מוסדרים במפורש בחוק.
3.
היעדר התייחסות לפטור לגופי ביטחון
חוק הגנת הפרטיות מעניק פטור רחב למדי מאחריות בגין פגיעה בפרטיות לגופי ביטחון. פרשת
השימוש שעשתה המשטרה ברוגלות מעקב מדגיש את הצורך להתייחס לנושא זה ולהסדירו
.בהתאם לטכנולוגיות הקיימות כיום
סיכום
תיקון14
אינו מצביע על השינוי המצופה והנחוץ במדיניות משרד המשפטים ובקידום תיקון חוק
הגנת הפרטיות והתאמתו לימנו. להפך, השינוי בשיטת הטלאים נותר המדיניות השלטת, ולא רק
שהוא טומן בחובו סכנות לבעיות פרשנויות ולסתירות, הוא גם לא הוכיח את עצמו ככלי הנכון או
המתאים לשינוי חקיק
ת הגנת הפרטיות במדינת ישראל מאז שנת
2011
. במקום להשחית את זמנה
של וועדת החוקה, חוק ומשפט של הכנסת בדיונים הנוגעים לתיקון14
הגיעה העת להציג תיקון
משולב הכולל גם תיקון לדין המהותי ומביא עמו בשורה אמיתית ומשמעותית להגנת הפרטיות
.בישראל
נשמח לעמוד לרשותכם בכ ,ל עניין שיידרש
בכבוד ובברכה
,ד"ר רחל ארידור הרשקוביץ
ד"ר תהילה שוורץ אלטשולר
התוכנית לדמוקרטיה בעידן המידע, המכון הישראלי לדמוקרטיה
4
:מצ"ב
-
חוות דעת המכון הישראלי לדמוקרטיה בנושא הצעת חוק הגנת הפרטיות (תיקון14
,)
התשפ"א–
2021
שאושרה בוועדת השרים ביום7
בנובמבר2021
, מיום17.11.2021
.
-
חוות דעת המכון הישראלי לדמוקרטיה בנושא הצעת חוק הגנת הפרטיות (תיקון14
,)
התשפ"ב–
2022
(להלן: "תיקון14
)"
–
סעיפי ההגדרות, מיום12.05.2022
.
-
חוות דעת המכון הישראלי לדמוקרטיה
בנושא הצעת חוק הגנת הפ רטיות (תיקון14
,)
תה שפ"ב–
2022
(להלן: "תיקון14
)"
–
חובת רישום, עיקרון צמידות המטרה ואבטחת
,מידע מיום
03.06.2022
.
:העתק
.)עו"ד אביטל סומפולינסקי, משנה ליועמ"ש (ציבורי חוקתי
עו"ד אייל זנדברג, ראש תחום משפט ציבורי, מחלקת ייעוץ וחקיקה–
משרד .המשפטים
עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות.
1
2022 יוני 03
לכבוד
ח"כ גלעד קריב, יו"ר ועדת החוקה , חוק ומשפט
חברי ועדת החוקה , חוק ומשפט של הכנסת
הנ :דון
הצעת חוק הגנת ה פרטיות (תיקון14), ה תשפ"ב–
2022
(להלן: "תיקון14
)"
–
חובת
,רישום עיקרון צמידות המטרה ואבטחת מידע
1.
חובת רישום
בסעיף4
לת
זכי
ר מוצע לת
קן את סעי ף8
לחוק העיקר
י ולצמצם את חובת הרישום הקבוע
ה
בו
כיום כך שזו תחול רק על מאגרי מידע המכי לים מידע בעל רגישות מיוחדת על500,000
נושאי
מידע ומעלה או מידע על100,000
נושאי מידע ומעלה ושמתקיי
ם בו
בנוסף אחד מהתנאים
( :הבאים1
)המאגר מכיל מ
ידע שלא נמסר על ידי או בהסכמת נושאי המידע( ;
2
)
המאגר הוא של
גוף ציבורי( ; או3
)המטרה העיקרית של המ
אגר היא א
יסוף מידע
לצורך מסירתו לאחר כדרך
עיסוק, לרבות שירותי דיוור ישיר .
לפ
י דברי ההסבר,
צמצום
חובת הרישום עש נ ה
במטרה
להבטיח
"שהפעילות ה רגולטורית תתמקד
במאג רים המציבים איומים מ
שמעותיים לפרטיו ת ובפעולות פיקוח ואכיפה המבוססות על
הסמכויות המו
צ"עות1 קי בת ון14
.
הצורך
בתיקון
חובת הרישום עלה כבר בשנת2007
במסקנות
וועדת שופמן נוכח
ה
ספקות שהתעוררו לאורך השנים באשר לאפקטיבי ות של דרישת הרישום
והרלבנטיות שלה למציאו
ת הטכנ
ולוגית והיקף הנרחב של מאגרי המידע ש ל ימינו וכן על בסיס
ההבנה שהיא אינה מהווה כלי אכיפה משמע.ותי בידי הרשם2 צ מצום חובת הרישום אף הוצע
כבר בשנ ת2012
בתזכיר שהגיש משרד המשפטים בנ .ושא3
1
תיקון14
,
'עמ420
.
2 הצוות לבחינ
ת החקיקה בתחום מאגרי המידע, דין וח
שבון (י נואר2007
,)
'עמ24
" :[להלן
ועדת שופמן ]"
אולם מאז מסקנות וועדת שופמן בשנת2007
חל ף למעלה מעשור במהלכו התעצמו יכולות
איסוף ועיבו
ד מ
ידע לבלי
.היכר
מקור
ה של חובת הרישום,
שבעבר היתה נהוגה גם במדינות
האיחוד האירופי,
היה למנוע
קיומם של מא גרי מידע סודיים. אולם עם השנים חלחלה ההבנה
שאין
בחובת הרי
שום כדי להבטיח א
ת מעורבותם של נושאי המידע ומודעותם לזכ ויותיהם בכל
הקשו
ר למידע האי .שי עליהם4 שמ
ום כך, מדינות רבות אשר עידכנו
את חקיקת הגנת הפרטיות
שלהן השמיטו את .חובת הרישום לחלוטין5
ואולם על אף חלוף השנים והעובדה שחובת הרישום הפכה בימנו לאות מתה, משרד המש פטים
לא מציע
לבטלה כלי
ל אל
א רק לצמצ
מה
. זאת משום של
גישת הגורמים המקצועיים ברשות לה גנת
הפרטיות יש
חשיבות בשי
מורה של חו בת
הרישום ביחס למאגרי מידע המהווים את הסי כון הגדול
.ביותר לפרטיות נטען ש שימור ,חובת הרישום ,במתכונתה המצומצמת
י תן בידי הרשות להגנת
הפרטיות מידע על הטכנולוגיות החדשות בתחום ויאפשר לה להיות עם "יד על הדופק" בכל
הקשור לפיתוחן של טכנולוג .יות מסכנות פרטיות על
אף שזו מטרה חשובה
ביות ,ר ניתן להשיגה
בד
רכים אחרות
, ש אינן מטילות מעמסה בירוקרטית כבדה כל כך על התעשייה ושפגיעתן בחופש
העיסוק פחותה .
,לפיכך
אנו סבור
ות ששימור חובת הרישום, אף במתכונתה המצומצמת ,מוטע
ה :
א.
לדעתנו חובת הרישום היא
.חובה ארכאית וביטולה עדיף על צמצומה
בשנ ים האחרונות
ה
תפתחה פרקט "יקה לפיה חובת הרישום היא "תיאורטית
ואולם הות
רת חובת ה רישום
ב
דרך הזאת ת
שיב את הצו .רך לטפל בה אל מרכז השולחן
ב.
צמצום חובת הרישום עשוי להיות מהלך למראית ע
ין בלבד וזאת משום שת יקוני
ההגדר
ות מרח;יבים במקביל את החובה (למשל: הגדרת מידע
הגדרת מאגר מידע
וצמצום משמעותי של חריג .)שם מען ודרכי התקשרות
3 תז כ
יר חו
ק הגנת הפרטיות (לצמ
צום חובת הרישום וקביעת חובה לקיום סדרי ניהול וכללי עבודה
ו
לתיעודם במס מכים), התשע"ב-
2012
.
4
y and User Control in the Age of
Big Data for All: Privac
Omer Tene & Jules Polonetsky,
Analytics, 11 NW. J. TECH & INTELL. PROP. 240, 267 (2013)
.
5 להרחבה ראו ס
קירת
המשפט המשווה בכל הנוגע לחובת ה"רישום המובאת ב נספח
א'
" למכתב
.זה
ג.
מ
סקיר
ת משפט
משווה ב-
56
מדינ
ות ,
6
עולה כי ב-
31
מ הן
אין חובת רישו ם כלל. חלקן
ביטלו את חובת הרישום עם התאמת חקיקת הפרטיות במדינה ל-
GDPR
.
4
מד ינות
מטילות
חובת רישום
,או יידוע על בעלי שליטה או מעבדים של מאגרי מידע ציבוריים5
מדינות מחייבות בהע ברת פרטי קצין הגנת
הפרטיות באר גון לרשות להגנת ,הפרטיות7 ו-
5
מדינות נוספות מחייבות ה
יוועצות או יידוע הרשות להגנת
הפרטיות במקרה שסקר
סיכונים מעורר חשש לפגי עה בפרטיות או כאשר מדובר בעיבוד מידע רגיש או מידע
.הדרוש לצרכיי אכיפה8
באנגליה בוטלה חובת הרישום
ובמקומ
ה הוטל
ה
על בעל שליטה
במידע חוב ת תש
לום שנתי קבו
ע לרשות להגנת הפרטיו
ת .
9 חוק הגנת הפ
רט יות שנכנס
לתו קפו בינואר2020
במדינת קליפורניה שבארה"ב מחייב
סוחרי מידע (
Data Brokers
)
( ברישום ובתשלום מס מידי שנה אצל התובע הכלליAttorney General). סוחרי מידע
מוגדרים בחוק כעסקים שאוספים במודע מידע
אישי
על
לקוחות נושאי
מידע שאין להם
איתם
מערכת יחסים ישי
רה ., ומוכרים אותו לצדדים שלישיים10
המסקנה המתבקשת מסקירת המשפט המשווה
א הי שאין עוד מקום לחו בת רישום
גורפת וכן אין מקום לחובת ריש ום המבוססת על מספר נושאי המידע. בחלק מהמדינות
שהתירו ממד מסוים של ח
ובת רישום ה
התמקדות א
ינה בחובת רישום פורמלית אל א
בהבטחה שמתקיימים התנאים
להגנת הפר
טי
ות, למשל באמצעות דרישת מינוי קצי ן
הגנת פרטיות. באחר ות המדדים
הרלו
ונטי
ים
הם סוג המידע (למשל מידע רגיש), מידת
הסכנה הנשקפת לזכות לפרטיות כתוצאה מעיבודו ואופי בעל השליטה במידע ,(למשל
ההתי
יחסות לסו .)חרי מידע בקליפורניה
ד.
קבי עת אמת המידה המספרית .היא שרירותית דרישת הסף של100,00
נושאי מידע
ל תחולתה של חובת
ה
רישום
ל מ ע
אגר י מידע הכוללים
ע מיד
ושל500,000
נ
ושאי מי דע
6 ה
סקירה במלוא "ה מוצגת ב נספח
א'
." למכתב זה
7
( בהתאם לסעיף7
)
37
ל-
GDPR
.
8 בהתא ם לסעיף36
ל-
GDPR
.
9
nd Information) Regulation 2018
otection (Charges a
The Data Pr
.
עם זאת, ארגונים שנרשמו
ק ודם לכן לפי חובת הרישום שהיתה נהוגה לפי הData Protection Act 1998
אי נם חייבים בתשלום. כמו
כן הוחרגו מח
ובת הת
שלום מעבדי מידע על חברי הפרלמנ .טThe Data Protection Regulation
(Charges and Information) (Amendment) Regulations 2019
.
10
798.99.82
California Civil Code §1
.
California Consumer Privacy Act, Assembly Bill No. 1202
(Sep. 13, 2019)
.
על מאגרי מידע הכוללים מידע בעל רגישות מיוחדת והנימוק לפיו חובת הרישום מוחלת
באופן זה רק על
מאגרי ה
מידע המ הווים
את הסי כון הגדול ביותר לפרטיות,
.לא ברורה לנו
ל
טעמנו, מאגר מידע המכיל
, ל
משל,
מידע
ל בע רגי שות מיוחדת
או מידע
שנאסף ללא
הס
כמת
נושא המידע מהווה פגיעה חמורה בפרטיות שיש לנקוט פיקוח ואכיפה
מחמירים נגדה אף אם מדובר במאגר המכיל מידע על מספר נמוך יותר של נושאי
המיד .ע
יתרה מכך, ב
ימנו טכנולוגיות איסוף המידע זולו ת וזמינות ולכן ,חברות רבות
לרבות עס
קים קטנ
ים, עשו יים
לה חזיק מאגרי מידע
על
למעלה מ100,000
.נושאי מידע
כתוצאה, צמצום חו
בת הרישום לא יהיה משמעותי
.כלל ועיקר
החברות והרשות להגנת
הפרטיות
ידרשו להשקיע
ן זמ וכסף בבחינ
ת ההתאמה לד רישות הרגולטוריות הצורניות
של חובת
הרישום במקום לעסוק ב
הגנה המהותית על הזכות לפרטי.ות
ה.
תכליות הותרת חובת הרישו
ם בגרסה מצומצמת הן, להבנ תנו, (
1
)יצירת שי ח בין בעל
מאגר המידע לרשם מאגרי המידע אשר לכאורה יאפשר בהמ
שך בירור סוגי ות שונות
ואכיפת הוראות החוק; (
2
)
הנעת תהליכי בדיקה פנימיים בתוך הארגון טרם הרישום: על
הארגון לבחון מהו ה
מידע הנאסף על ידו, לאיזו מטרה, כיצ
ד נשמר ולכמה זמן; ו- (
3
)
שמירת הרשות להגנת הפרטיות מעודכנת בנוגע לקיומן של טכנולוגיות חדשות ועם "יד
על הדופק" בנוגע להופעתן של טכנולוגיות חדש.ות מסכנות פרטיות לטעמנ
ו,
חובת
הרי שום אינה הכלי המתאים או היעיל להשגת תכליות
חשוב ות
אלו
והשימוש בה לצורך
הגשמתן
אינו מידתי ,. ראשית ניתן לממש תכליות אלו באופן יעיל יותר באמצעות חיזוק
הזכויות הניתנות ל
נושאי המידע ,
חיזוק סמכויות האכיפה והפיקוח של הרשות להגנת
הפרטיות וכן מתן כלי פיקוח מתאימים לציבור (למשל באמצעות הגשת תובענות
יי.)צוגיות בנ
וסף ,
חובת הרישום לא תוביל להטמעת חשיבת פרטיות בקרב מפתחי
הטכנולוגיה כבר משלב
י הפיתוח הראשונים וכן לא ת יתן בידי הרשות להגנת הפרטיות
זמן
התראה מספק בנוגע לטכנולוגיות מסכנו ת פרטיות חדשות. זאת משום
שחובת
הרישום היא חובה טכנית בעיקרה ואינה מ חייבת את
מפתחי הטכנו
לוגיה לקיים
בדק
בית מעמיק בנוגע ל
השפעת הטכנולוגיה שיש בדעתם לפת ח על הזכות לפרטיות כבר
משלבי הפיתוח הראשוניים. בנוסף, חובת הרישום מוחלת לפי
א :מת מידה מספרית
100,000
נושאי מידע בנוגע למאגר מידע
, ו-
500,000
כאשר המדובר
במאגר המ כיל
במידע בעל רגישות מ .יוחדת
כלומ
ר, ה טכנולוגיה החדשה ומסכנת הפרטיות שרשות
להגנת הפרטיות מבקשת להתעדכן לגביה באמצעות חובת הרישום תפות ח עד לשלבי
האחרונים, תפעל
, תא סוף ותעבד מידע על בין100,000
ל-
500,000
נושאי מידע עד
ש .דבר קיומה יגיעה לידיעת הרשות
לטעמ ,נו
ב עולם דיגיטלי
שבו מידע אישי נאג
ם
,ונשמר כעניין שבשגרה
יש לעגן בחוק
מערך כלים חלופי להגנת הפרטיות במי
דע אישי שי
י
תן מענ
ה מקיף
ומדויק יותר להגנת
פרטיות מאשר חובת רישום מאגרי מי דע שהיא בעיקרה נטל
ר
גולטורי מיותר .
השגת
המטרה החשובה של מודעות הרשות להגנת הפרטיות
לקיומן של טכנולוגיות ח
דש ות
ומסכנו
ת פרטי
ות כבר בשלביהן הראשוניים
, והט
מעת חשיב ה מגינת פרטיות בקרב
מפתחי טכנולוגיה כבר בשלבי הפיתוח הראשוניים שלה תושג באמצעות הטלת חובת
עריכת תסקיר השפעה על הפרטיות וחובת היוועצות עם הרשות להגנת הפרטיות
בהתאם לתוצאות התסקי ר, כפי
שקבוע ב
תקנות ההגנה על מי דע האירופאיות (ה–
"
GDPR
.)"
11
2.
תסקיר השפעה על הפרטיות וחובת היוועצות
החובה לע
רוך סקר סיכ ונים
לפגיעה בפרטיות קיימת כיום חלקית–
בתקנות אבטחת מידע–
ומוגבלת
אך ורק למאגרי מידע שנ .דרשת בהם רמת אבטחה גבוהה12
ב-
GDPR
, לעומת זאת, מוטלת החובה לערוך סקר סיכונים לפגיעה בפרטיות על כל בעל שליטה
במידע
במידה ש
סביר מאד ש
עיבוד המידע על ידו יוביל
,לסיכון זכויותיו וחירויותיו של אדם
,בהתחשב באופי
בהיקף, בהקשר ובמטרה של עיבוד המידע האישי .
הסעיף מפרט רשימה
פ תוחה של מקרים שנדרשת בהם עריכת סקר :סיכונים לפגיעה בפרטיות (
1) הע רכה שיטתית
ומקיפ
ה של מאפיינ
י האי ,שיות של נושא המידע, המבוססת על עיבוד אוטומטי, לרבות פרופיילינג
ואשר על בסיסה מתקבלות החלטות בעלות השלכות משפטיות א ו השלכות משמעותיות ברמה
דומה על נושא המיד ( ;ע2
( ;) עיבוד בהיקף נרחב של מידע רגיש3
) ניטור שיטתי ובהיקף נרחב של
אזורים ציבוריים.
13
לצד החו בה לבצע
סקר
סיכונים מ
טיל ה-
GDPR
על בעל שליטה במידע חובה להיוועץ עם הרשות
להגנת הפרטיות
לפני התחלת עיבוד המ ידע במידה שסקר הסיכונים מצביע על קיומו של סיכון
11
סעי פים36
-
5
3
וסעיף הקדמה1
9
ל–
GDPR
.
12
סעיף5
.(ג) לתקנות אבטחת מידע
13
סעיף35
ל-
GDPR
.
גדול לזכויות נושא המידע בהיעדר נקיטת אמצעי .ם מתאימים למיזעור הסיכון ,בבקשת ההיוועצות
על בעל השליטה במי
דע לספק לרש
ו
ת להגנת הפרטיות,, בין השאר
מידע בנוגע למטרת העיבוד
ואמצעי העיבוד, האמצעים שבכוונתו לנקוט לשם
,הגנה על זכויות נושאי המידע
תו צאות סקר
הסיכונים שערך, ופרטי ה .קשר עם הממונה על הגנת הפרטיות בארגון
הרשות ,, בתגובה צריכה
ל
השיב לבקשת ההיוועצו
ת בתוך מספר
שבועות ובתשובתה היא יכולה לממש כל אחת
מהסמכויות הנתונות לה לפי החוק, לרבות להודיע על ה פרה, לדרוש מידע נוסף
או להתחיל
.בחקירה14
הש ילוב של
החובה
לערוך סקר סיכונים לפגיעה בפרטיות לצד חובת היוועצות עם הרשות
במקרים בהם תוצאות הסקר מצביעות על פוטנציא
ל פגיעה חמו רה בפרטיות מבטיח את הטמעת
חשי בות
הזכות לפרטיות והצורך להגן עליה בקרב מ
פתחי ט כנולוגיות כבר בשלבי הפי תוח
הראשוניים של הטכנולוגיה .
15
בנוסף, חובת ה
היוועצות מ אפשרת לרשות להגנת הפרטיות לקבל
לידה מידע מלא בנוגע לטכנולוגיה החדשה והעיבוד ה צפוי של מידע עוד בטרם ה
חל .בדר ך זו
יכולה הרשות להגנת הפרטיות לייעצץ
ולתת בידי מפתחי הטכנולוגיה כלים לש מירה על הפרטיות
.לצד חדשנות טכנולוגית
הניסיון האירופאי מלמד ש מרבית החברות עושות כל שלאל ידן על מנת
ל
אמץ אמצעים למיזעור ה
סיכון לפגיעה בזכויות ובחירויות של אדם וזאת על מנת להימנע מפני יה
להיוועצות עם נציבות ה פרטיות והפניית זרקור הרשות לפעולתן. ב דרך זו מושגת המטרה
החשובה והרצויה ביותר–
הגברת הגנת הפרטיות באמצעות כלל משפטי המוביל לשינוי
התנהגו
ת השחקנים בשוק ללא מעורבו .ת ישירה של הרגולטור
לפיכך, אנו מציעות כחלופה לצמצום חובת הרי
שום
, להוס
יף לתי קון14
שתי חובות: חובת עריכת
תסקיר השפעה על הפרטיות וחוב ת היוועצות עם הרשות
להגנת הפרטיות .
3.
איסור שימוש וניהול מאגר מידע סעיפים8
,א10ב ו-
10
ג לתיקון14
3.1
.
סעיף8א )(א
המוצע בת
י קון14
14
סעיף36
ל-
GDPR
.
15
layered explanations from algorithmic
-
Multi
o Malgieri,
Gianclaudi
minski &
ot E. Ka
Marg
impact assessments in the GDPR, Proceedings of the 2020 Conference on Fairness,
Accountability, and Transparency 68-79 (Jan. 2020)
.
,לא ינהל אדם ולא יחזיק מאגר מידע אם המידע הכלול בו נוצר
התקבל, נצבר או
נאסף בני
גוד לחוק ז
ה או בניגו ד להוראות כל דין
המסדיר עיבוד מידע, אלא אם כן המידע נמ ,סר לו בהתאם לדין
לא היה עליו לדעת על אי החוקיות כאמור ובנסיב ות העניין
הפ
גיעה בפרטיות היא קלת ע
ר .ך
המדובר בהוראה ה קובעת איסור
לנהל או להחזיק מ
אגר מידע אם המידע הכלול בו "נוצ ,ר
התקבל
, נצ
בר או נ
אסף ." בניגוד להוראות חוק הגנת הפרטיות או דין אחר
ד לצ האיסור מופ יעה
הגנ ה המורכבת משלושה תנאים מצטברים:
(1
)
המידע נמסר לו בהתאם ל ;דין
(2
)
לא היה עליו לדעת על אי החוקיו
ת כאמור ;
(3
)
.ובנסיבות העניין הפגיעה היא קלת ערך
,עם זאת
ה
איסור מצומ
צ ם
רק "ל"ניהול"ול"החזקה
של"מאגר ע מיד".
"פעולות "ניהול" ו"החזקה
אינן מוגדרות ב חוק או בתיקון14
.
אלו מגדירים בעלי תפקידים– "
."מנהל מאגר מידע" ו"מחזיק
"מנהל מ "אגר
מוג דר בסעיף7 לחוק כ"מנהל פעי
ל של גוף שבבעלותו או בהחז קתו מאגר מידע או
"מי שמנהל כאמור הסמיכו לעניין זה .יעסב ף2
לתיקון14
מוצ ע לתקן את הגדר "ת המונח "מחזיק
שבסעיף3
לחוק ולקבוע ש"מחזיק, לעני ין מאגר מידע" הוא "מי שהתקשר עם בעל שליטה
במאגר מי
דע למתן שיר
ות לבעל השליטה או למ
תן שירות מטע
ם בעל השליטה , וקיבל מבעל
השליטה במאגר המידע, במסגרת הה
תקשרות, הרשאה לעשות שימוש ב
מידע שבמאגר לצור ך
מת
ן השיר ".ות
לפי דברי ההסבר האיסור המוצע מיועד להבהיר שאין לנהל או להחזיק מאגר מידע בנסיבות
המצויינות בסעיף בלא קשר ל
תחולת חו
בת הרישו ם על המאגר ולהפעלת סמכות
הנתונה בידי
הרש ם לפי סעיף10
()(א1) לחוק לסרב לרשום מאגר מידע
. עוד מובהר בדברי הה
בס ר שהאיסור
מתייחס
רק לשלב האיסוף
של המידע, עוד בטרם נעשה בו שימוש, ובכך
משלים את האיסור
הקי
ים על שימוש במידע בני
גוד
למטרה שלשמה נמסר בסעיף2
(
9
) לחוק ואלו המוצעים בסעי פים
10
ב ו-
10ג לתיק ון14
.
16
נוכח התיקונים המוצעים בתיקון14
והוספ ת הגדרת "בעל שליטה במאגר
מידע" מתעורר ה חשש
שהור את סעיף8
)א(א
ה אינ
ה חל
על בעל שליטה במאגר מידע וכן אינ
ה מונע
ת
שימוש או עיבוד
.של המידע הכלול במאגר המידע
לכ
אורה בעל שליטה במאגר מידע אי נו מנוע
למ קבוע את
מטרותיו של מאגר מידע שהמידע הכלול בו נאסף בניגוד להוראות החוק או דין אחר העוסק
בע
יבוד מידע. באשר ל
שי
מוש במידע ממאגר המידע , פעולה זו
אסור
ה רק אם נעש
ת ה בחריגה
מ
המטרה
לפי סעיף2
(
9
)
לחוק
ו-
10
ב המוצע בתיקון14
או בחריגה מהרשאה לפ י סעיף10
ג
המוצע בת יקון14
.
ר מו
כבו
ת זו בהב
נת ההוראה הקב ועה בסעיף8א(א) נובעת משימור התיבה "מאג"ר מידע
בתיקון
14
ובהיע דר התייחסות
ישי .רה למהן הפעולות שמותר או אסור לעשות במידע עצמו
דרך המלך להוס
פת איסור מקיף
אשר יחול על כל ,מי שעלול לפגוע בפרטיות ללא קשר לתפקיד
א ותו הוא ממלא, ומבלי
דח ליי
את האיסור
לפעולה מסוימת במידע ,
מה שמחייב קביעת הוראות
ספציפיות לסוגי פעו
לות שונ,ים היא על ידי תיק ון סעיף1 לחוק :
בחוק הגנת הפרטיות, התשמ"א–
1981
(לה לן–
החוק העיקרי), בסעיף1
,
לאחר המילים "ללא
" הסכמתו" יבוא, לפ."י הוראות חוק זה
תיקון שכזה ייתר את הצ
ורך לנסות ולהקיף את כל מגוון הפעולות שנעשות או עשויות להיעש ות
במידע שלא
בהתאם לחוק
ויחול גם על פגיעה שלא לפי הוראות חוק זה בפר .טיות הקלאסית
באש
ר ל
רצון
להחריג
עיבודי מידע הנעשים לפי
דברי חקיקה אחרים כגון"
חקיקה מגזרית בנושא
מידע רפואי, פיננסי או אחר, וכן ח קיקה המיוחדת לנושא
או למאג
ר מסוים כגון ח וק המאגר
הביומטרי", ניתן להוסיף
בסיפא, לאח" ר המילים לפי הוראות חוק זה" את המילים "או
דין
אחר
המסדיר עיבוד מידע"
כפי שמופיע בסעיף8
(א) המוצע בתיקון14
.
באשר לשני התנאים המצטברים ה
נוספים מהם מורכבת ה
ה גנה שבסעיף8
א(א) ל
דע תנו מקומן
בסעיף ה
הגנו
ת. אין מקום שכל אחד יעשה דין לעצמו ויכריע האם עומד בקיומם ש ל התנאים
16
תיקו ן14
', בעמ431
.
המצטברים אם לאו. נושא זה צריך להיש
קל כחלק מהגנה בהליך מינהלי או פלילי
בהתאם
להגדרת
.העבירות וההפרות בחוק
3.2
. סעי ף8
)א(ב
לתיקון14
מצא הממונה כי אדם
הל ינ או החזיק מאגר מ
ידע בניגוד להורא ות
סעיף קטן (א) (בסעיף קטן זה–
)הפרה , רשאי הוא להודיע לו
שמ
עשיו מ הווים הפרה ולהורות לו להפסיק את ההפרה בתוך
.תקופה שיורה
סעיף8
)א(ב , בשילוב עם הוראת סעיף23
()כג(ג1
)לעניין העיצומים ה
כספ,יים מבטיח ים הטלת
כפל העיצום הכספי
על הפרה במעשה ולא .הפרה במחדל המדובר
במטרה ר
אויה ונכונה
ויש
להחילה
, לדעתנו
, באו
פ ן רחב על פגיעות
מתמש כות אחרות בפרטיות, ולא רק על ניהול או החזקת
מאגר מידע בני גוד להוראות החוק או הדין. לו סעיף2 לחוק הגנת הפרטיות היה מעו דכן אף הוא
במסגרת תיקון14, קל היה לה
פ
נות להפרה של סעיפי חוק ספציפים שראוי
שהענישה ב גינם
תעשה רק במידה וההפרה התרחשה במעשה ולא במ
חדל. בהיע דר תיקון כאמור, יש לדעתנו
להח
יל את הוראת סעי ף8א(ב) על כל פגיעה בפרטיות ולהותיר שיקול דעת ל ראש הרשות להגנת
הפרטיות ל
וח של הודע ות הפרה כתנאי להטלת העיצום הכס
פ
י. לפיכך, אנו מצי
ע ו ת לתקן את
הוראת סע יף8
" א(ב) כך שבמקום
מצא הממונה כי א
ד ם ניהל
או החזיק מאגר מידע ב ניגוד
להוראות סעיף קט )ן (א
", יבוא "מצא הממונה כי אדם פגע בפרטיות זולתו בניגוד להורא ת סעיף1
."לחוק
3.3
.
סעיף10
ב לתיקון14
לא ישת
מש בע
ל שליטה במאגר מידע או מחז
י ,ק במאגר, במידע
לר
בות ידיע
ה על ענייני ו הפרטים של אדם אף שאינה בגדר מי ,דע
ממאגר מידע, שלא למטרה שלשמה
נמסרו, ולא ירשה לאחר
מטעמו לעש .ות שימוש במידע או בידיעה כאמור
לפי דברי ההסבר, סעיף10ב מעגן מסגרת רחבה לעיקרון צמידו
ת המטרה . עיקרון זה מעוגן כיום
בשני מק
ו
מות בחוק הגנת הפרט :יות
(1
)
בסעיף2
(
9) לחו
ק הגנת הפרטיות , לפיו"שימוש בידיעה על ענייניו הפרטיים של אדם או
מסירתה לאחר, שלא למטרה שלשמה נמסרה"
., מהווה פגיעה בפרטיות
(2
)
בסעיף8(ב) המ
צ
מצם את עיקרו
ן צמידות המטרה לשימוש במידע ממאג
רי מידע
החייבי .ם ברישום מאחר ועיקרון
צ
מידות המטרה אי
נו ת לוי בהיותו של מאגר מידע מאגר
שחלה
עליו חובת
רישום, אלא חל על כלל מאגרי המידע, מוצע
בתיקון14
לבטל סעיף
.זה לחלוטין17
עיקרון צמידות המטרה המוצע בסעיף10
ב לתיקון14
מעגן איסור כל לי על שימוש במידע ממאגר
מידע של א למטרה לשמה
נמסר המידע וח ל גם
ע" ל
ענייניו הפרטיי,ם של אדם
אף שאינם בגדר
"מידע .
בכך מרחיב סעיף10
ב את
עיקרון צמידות המטרה הקבוע בסע יף2
(
9
) לחוק לכל מידע
ממאגר מ
ידע, ולא רק ל .""ידיעה על ענייניו הפרטיים של אדם
אולם, המונח י "יד עה על ענייניו הפרטיים של אדם" א
ו ינ
.מוגדרת בחוק הפסיקה קבעה כי
יש
לפרש את המונח
"ידיעה על ענייניו ה פרטיים של אדם" בסעי ף2
(
9
)
בהתאם למכלול הנתונים
הרלוונטיים ותוך
מחוייבות להגנה על יכולתו של האדם לקיי ם את האוטונומיה שלו ואת המרחב
".הפרטי הנתון לו18
באופן זה נפסק כי כתובתו של אדם ומ
ספר הטל פון הנייד שלו הם בגדר
ענייניו ה
פ .רטים של אדם19
נוכ
ח הה
גדרה הרחבה המוצ
עת ל"מידע" ב תיקון14
,
20
כ"נתון הנוגע
ל
אדם מזוהה
, א
ו לאדם הניתן ל
זיהוי, במישרין או בעקיפין , באמצעים סבירים, לרבות מזהה
"ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר , נדמה כי" שהמונח
מידע" ה מוצע בתיקון14
מכיל בתוכה גם את
הפרשנות שניתנה
בפ
סי קה
למונח "ידיעה ע
ל עניי "ניו הפרטיים של אדם או ,
לכל הפחו ת, המדובר במונחים.חופפים
מ
אחר ועיקרון צמידות המטרה הוא עיקרון ח
וש ב, יש בעיננו חשיבות לעיגונו בסעיף10
ב בנפרד
ממופעי הפגיעה בפרטיות
שבסעיף2 ל .חוק עם ז את, ל
דעתנו , נוכח העובדה שההגדרה החדשה
של "מידע" המוצעת בתיקון14
מכי לה
בתוכה את התיבה "יד ,"יעה על ענייניו הפרטיים של אדם
17
תיקון14
', עמ28
4
.
18
עע"מ05
/
9341
התנועה
לחו
פש המידע נ' רשות ה
חברות הממשלתית (פורסם בנבו ,
15.05.2009
), פסקה23
לפסק הג י ן; ע"א439/88
רשם מ אגרי
המידע נ
' ונטורה(, פ"ד מח3
)
808
(
1994
.)
19
ראו עע"מ0/13
282
רוזנברג נ' רשות הא
כיפה והגבייה
, סז(
1
)
1
14
20
; עת"מ19
-
01
-
67403
הר שמ
ש נ' הממונה על ח
וק חופש המידע ברשות המיסים
,(פורסם בנבו07.04.2019
.)
20
סעיף3
(
3
) לתיקון14, התיקון המוצ
ע לגדרת "מידע" שבסעי ף7
.לחוק
סעיף10ב בא במקומו
של סעיף2
(
9
)אות
ו י ש לבטל על מנת לא ליצור בחוק חזרה מיותרת
.העלולה להוביל לקשיים פרשניים
,זאת ועוד בהינתן ש
המונח "ידיעה על ענייניו הפרטיים של אדם" נכלל בגדר מידע
או לפחות זהה
"להגדרת המונח "מידע ,
משמעות " המילים
לרבות ידיע ה
על ענייניו ה
פרטים של אדם אף שאי
נ ה
בגדר מי,דע
" שב סעיף
10
ב
המוצע אינ בר ה
ורה וי
ש לדעתנו למחוק .ן
בנוס ,ף מאחר ולא ניתן לצפות מראש
ובמדו
יק
את טווח המטרות של עיבוד
ה מידע האישי
שנאסף
ומתוך הבנת הצורך של תעשיית עיבוד המידע האישי לאפשר לעצמה מרחב פעולה להתפת חות
ולחד
שנות , יש לאפשר גם עיבוד למטרה
ד
ומה לפי מבחנים ה
דומים במהות ם להסדר ה קבוע
בסעיפים5
(
1) ו-
6
(
4) ל-
GDPR
.
בדרך זו
ימנע ה שימוש בהגדרת מטר ה כוללנית, מעורפלת וגורפת
של מטרת עיבוד המידע (ל
משל)", "לכל מטרה חוקית
, אך ייווצ
ר
איזון נכון וראוי בין הצורך
בבהירות ו
בשקיפות
כלפי נושאי המידע מבחינת מטרות
ע
יבוד המידע האישי עליהם לבין ההכר ח
לא פשר
מרחב פעולה להתפתחות ול.חדשנות
לפיכך אנו מציעות
להוסי נוס ב ף
ח ס עיף10
ב המוצע" לאחר המילים שלא למטרה שלשמה
,נמסרו"
את המילים "או למטרה
הדומה למטרה שלשמה נאסף או נמסר המידע". ובסי פא של
ה
סעיף להוסיף א
ת מבחני המטרה הדומ
ה
:בזו הלשון
"וא בב
ו לבחון את קיומה ש
ל מטרה דומה כאמור, ישק ול בעל שליטה
,במידע, בין השאר :את אלה
(1
) הק
שר
בין המטרה לשמה נאסף או נמסר המידע לבין
מטרת העיבוד או השימוש שהוא מבקש ;לבצע
(2
) הנסיבות שבהן נאסף המידע
, קיומה של מערכ ת יחסים
בין נושא המידע לבין ב
על השליטה מא ב
גר ה מידע ואת
ציפייתו ה
סבירה של נו שא המידע בנוגע לעיבוד או
לשימוש נוסף
ב
מידע
, מעבר למטרה לשמ
ה נאס ף או
;נמסר
(3
)
האם המידע כולל מידע
ב על
רגיש ות מיוחדת ;
(4
)
השלכות אפשריות של העיבוד או השימוש
הנוסף ש הוא
".מבקש לבצע
3.4
. סעי ף
10ג תי ל קון14
"
)(א
לא ישתמש אדם במידע, לר
ת בו י יד
עה על ענייני ו הפרטיים
של
אדם אף שאינה בגדר מידע, ממאגר מידע, בלא הרשאה
מאת בעל השליטה במאגר המי
דע או בחריגה מהרשאה כאמור;
)(ב לא יחזיק אדם במידע או בידיעה על ענייניו הפרטיים של
אדם, ממאגר מידע, בלא הרשאה של בעל הש
ליטה במ אגר
המידע או בחריגה מהרשא
ה כאמו
ר ;
,לעניין זה "הח
זקה "
–
למעט
החזקה בא
קראי ובת".ום לב
ראשית, בהתאם להערותינו בסעיף2.3
לעיל
לעניין המ " ונח
ידעה על ענייניו הפרטיים של אדם
אף שאינה בגדר מידע"
,
יש לדעתנו למחוק מילים אלו גם מלשון
סעי
פים קטנים (א) ו-(ב) בסע יף
10ג.
בנוסף, יש לתת את הדעת ל
כך ש
ן ס ו לש עיף10ג(א) או
סרת רק על שימ
וש במיד ע ממאגר המידע
בלא הר
שאה, א
ך מתירה לעשות עיבוד כאמור. דרך המלך ל ת קן זאת היא על ידי בחירה במונח
אחד כולל למכלול הפעולות
שניתן לעשות במידע איש י, כפי שהערנו
כבר ביחס למונח ים
""שימוש" ו
עי
בוד" ב חוות דעת נו מיום16.5.22
.
כמו
כ
ן, ה
ר שאה יכולה שתינתן על
ידי "בעל הש
ליטה במאגר המ ידע" בהתאם להגדרת המונח
""מחזיק המוצעת בתיקון14
.
21
אולם, הרשאה יכולה להינתן גם על ידי "מחזיק" בהתאם להגדרת
המונח "בעל הרשאה" ב.תקנות אבטחת מידע22
האם ""בעל הרשאה
ש
עושה א
ו יעשה
שימוש
במיד
ע ממאגר המידע בהרשאתו של מחזיק , יחשב כמפר הו
ראה זו? האם הר שאה כללית של
בעל שליטה במאגר מידע למחזיק להעניק הרשאות לצדדים ש לשיים מספיקה כדי להימנע
מהפרת האיסו ר הקבוע בסעיף10
?)ג(א העיסוק בשאלות פרשניות אלו מהווה מעמ
סה על
חברות
מתעשיית המידע
בישראל , בעיקר אלו העושות את ראשית צעדי
ה
ן בתעשייה ואינן
בעלות כיסים
עמ
וקי
ם ל
יוע
צים משפטיים .
21
סעיף2
לתיקון14
.
22
תקנה1
לתקנות הג
נת הפרטי ות (אבטחת מידע), תשע"ז–
2017
: "בעל הרשא ה" מוגדר כ"יחיד
אשר יש לו כישה לאח
ד מאלה על פי הרש ."אתו של בעל המאגר או המחזיק
באשר לסעיף10
" ג(ב), הפועל "החזיק
או המילה "החז
קה" אינ ם מוגדרים בחוק ויש להניח
"שנגזרים מהגדרת בעל התפקיד "מחזיק
ש בסעיף3
לחוק הגנת הפרטיות וה תיקון
ה מוצע לה
בתי קון4
1 .
23
ואו,לם מחזיק, לפי ההגדרה המוצעת, ה
ו
א מי שקיבל מבעל השליטה במאגר ה מידע
"הרשאה לעשות שימוש במידע שבמאגר" במסגרת הת קשרות עם בעל
השליטה במ
ידע
ולצורך
מתן שירות מ .טעם בעל השליטה או עבורו
נוכח הגדר
ה
זו לא ברור במה שונה "פעולת ה"החזקה
בלא הרשאה
ש ף סעי
10
)ג(ב מבק
ש לא
סור
משימוש במידע ממאגר מידע בלא הר
ש אה האסור על
פי סעיף10ג(א) המו
צע.
סעיף
10ג ב מהותו בא להצביע על פגיעות אפשריות
בפרטיות שמוצד
ק לה
פעיל בגי נן את סמכות
.האכיפה המינהלית של הממונה24
הקשיים הפרשניים שמעור
ר
סעיף10
,ג, על שני סעיפיו
מובילים, ל
דעתנו,
למסקנה שע
דיף לתק ן את
מופעי הפגיעה בפרטיות שבסעי
ף
2
לחוק על פני
הוספת סעיפים
כדוגמת
סעיף10
.ג באופן זה ירוכזו כל מופעי הפגיעה בפרטיות במקום אחד
ותוג .בר הבהירות באשר ל
תוכן מופעי הפגיעה בפרטיו ת, ניתן להוסיף לסעיף2
לחוק הגנת הוראה
מצומצמת המאג דת את מהות סעיף10ג ולפיה
"שימוש או ע יבוד מידע ממאגר מידע בלא
רה שאה מבעל המאגר או מהמחזיק
מהווה פג
יעה
בפרטיות". אולם, לדעתנו , על מנת ליצור
הוראה אחת
רחבה וברורה שניתן להח
יל ה בהרחבה על פגיעה בפרטיות עקב שימוש או עיבוד
,מידע
עדיף
להוסיף לסעיף2
הוראה לפיה "שימוש או עיבוד מידע
על אוד
ות אדם
שלא לפי
הוראו
ת חוק זה או דין אחר המסדיר עיבוד מידע
" מהווה פג
י
עה בפ.רטיות
באשר לסיפא של סעיף10ג(ב) לפיה "החזקה" אינ
ה כוללת מצבים בהם
נעשתה באקראי או
,בתום לב
המדובר בהגנות ומקומן בסעיף ההגנות ולא כאן
. לא זו א ,ף זו
החוק כולל כבר היום
הגנת תום לב מפורטת בסעיף18
(
2
.)
4.
אבטחת מידע
סעיף9 לת יקון14
מציע
להוסיף לסעיף17
לחוק
ה
גנת הפ
רטיות ס
ע יף קטן
נוסף
:שלשונו
23
סעיף2
לתיקון14
.
24
ראו סעיף23
()כג(ד2) לעניין הפרת סעי
ף
10
ג(א) וסעיף23
(כג()ד3
* לעניין
הפרת סעיף10
)ג(ב
לתיקו ן14
.
( )"ב1) הש
ר רשאי
לקבוע הוראות לעניין האחריות לאבטחת המידע הקבועה
בסעיף קטן (א) ובסעיף17
)ב(ב , ובכלל זה היקפה והחובותך הכלולות בה, וכן
לעניין דרכי אבטחת המידע כאמור, ב
ין השאר ב :עניינים אלה
(א)
;הגנה פיזית ולוגית על המאגר
(ב)
סדרי
הניהול וכללי העבודה במאגר המידע ובקשר אליו, לרבות
ל
עניין קביעה של הגבלות על גישה של מועסקי .ם למידע
(
2
)
(בתקנות לפי פסקה1
)
, יכול שייקבעו הוראות שונות לגבי מאגרים בעלי
.מאפיינים שונים
(
3
) תקנות לפי פסק( ה1) י
ותקנו בהסכמת ר
אש הממ שלה, ולעניין תקנות
כאמ
ור שיח ולו על גופים המנויים בפרטים2
ו-
3
בתוספת הראשונה לח וק
להסדרת הביטחון בגופים ציבוריים, התשנ"ח–
1998
(להלן–
חוק להסדרת
)הביטחון בגופים ציבוריים–
גם
בהתייעצות עם שר הביטחון."
לפי דברי ה
ה
סבר, לצד ההסמכ
ה הכללי
ת שבסע יף36
לח ,וק
התיקון המוצע בסעיף9 ל תיקון14
יו מ
עד ל הסמיך את השר
לקבוע תקנות
בנושא
ספציפי ש אה ל חריות לאבטחת מידע, ואלו ייקבעו
בהסכמת ראש הממשלה הממונה על תחום הגנת הסייבר ועל מערך הסייבר הלאומי ועל שירות
.הביטחון הכללי
,ראשית יש ל
תת א
ת הדעת לכך ש
הגדרת "אבט "חת מידע
ב סעיף7
לחוק הגנת הפרטיות היא
חסרה
. "אבטחת מידע" מוגדרת כ"הגנה על שלמות המידע או הגנה
,על המידע מפני חשיפה
שימוש או העתקה, והכ ".ל ללא רשות כדין "שלמות המידע" מוגדרת בסעיף7
לחוק הגנת
הפרטיות כ"זהות הנתונים במאגר מידע למק
ו,ר שממנו נשאבו בלא שש ונו, נמסרו או הושמדו
ללא רשות
."כדין
מודל "אבטח"ת המידע
המקובל בעולם
ובת עשייה
מבוסס על משולש
CIA (Confidentiality,
Integrity, Availability
)
: סודיות, נכונות וזמינות המידע. שלושת יסודות אלו נדרשים על מנת
להבטיח שהגישה אל המידע תוגבל רק למי שהורשה לכך .
,אולם ההגד
רה הקיימת
בסעיף7
לחוק הגנת הפרטיות כיום חס רה במובהק את יסוד
"זמינות" המידע, וג ם"יסוד "נכונות
המידע
אינו נמצא בשל .מותו לפיכך, ועל מנת להתאים את הגדרות המונחים בחוק ביש ראל לאלו
,המקובלות בעולם"יש לדעתנו לתקן את הגדרת "אבטחת מידע
בסעיף7
לחוק ה גנת הפר טיות
ולעדכנה ל ,"הגנה על נכונות המידע
סודיותו, זמ
ינותו או שלמותו". באותו האופן יש
לדעתנו לתקן
את הגד "רת "שלמות המידע
ל"שמירה על מהימ נות ודיוק המידע במהלך עיבודו, בלא ששונה או
הושמד, שלא לפי הוראו
ת הדין". הגדרה זו תואמת את ה שימוש הגובר
ב
מונח "שלמות ה
ימ "דע
(
data integrity
)
בהקשרים של מחשוב ענן ומכשירי טכנו
לוגיה מסוג האינ טרנט של הדברים
ותשקף את הח
שיבות שבשמ
ירה על מה
ימנות ודיוק המידע בעת השימוש בו ועיבודו .
)באשר לתוספת סעיף קטן (ב לסעיף17
כמוצע בסעיף9
לתיקון14
, זו לדעתנו מיות רת. במידה
שר
וצים להדגיש ש
לשר סמכ
ות לקבוע תקנות גם בנ ושא אבטחת מידע, ניתן להוסיף זאת לסעיף
36
המונה רשימה פתוחה של נושאים בהם מורשה השר להתקין תקנות. אם בנו שא אחריות
לאבטחת מידע נדרשת גם הסכמתו של ראש הממשלה לתקנות, ניתן ל עגן זאת גם ב כן סעיף36
.
ובכל מקרה לא יתכן שיו
ת קנו תקנות שלא יועברו
לאישור ועד
ת הח .וק, חוק ומשפט של הכנסת
ך יכ לפ
, אנ ו מציעות למחוק את התיקון המוצע בסעיף9
לתיקון14
וב מקומות להוסיף לסעיף36
לחוק הגנת הפרטיות( , לאחר סעיף קטן1
:)
"(
1
)א
הוראו ת
לעניין האחריות לאבטחת המידע ,
ובכלל זה היקפה והחובותך
הכלולות בה, וכן לעניין דרכי א בטחת המידע
כאמ
ור, בין השאר ב :עניינים אלה
)(א
הגנ;ה פיזית ולוגית על המאגר
)(ב
סדרי הניהול וכללי העבו דה במאגר
המידע ובקשר אליו, לרבות לעניין קביעה של הגבלות על גישה של מועסקי ם
.למידע תקנות בנושא זה
יותקנו בהסכמת ראש הממשלה, ולעניין תקנו ת
כאמ ור שיחולו
על גופי
ם המנויים בפרט ים2
ו-
3
בתוספת הראשונה לחוק
להסדר ת הביטחון בגופים ציבוריים, התשנ"ח–
1998
(להלן– חו ק להסדרת
)הביטחון בגופים ציבוריים–
גם
בהתייעצות עם שר הביטחון.
5.
סיכום תמצית הערותינו
1.
יש למחוק את חובת הרישום המצומצמת המוצעת בסעיף4
לתזכיר המתקן את סעיף8
לח .וק
2. יש להוס יף לתיקון14
הור
אות ב
דבר חובת עריכ ת תסקיר השפעה על הפרטיות וחובת
היוועצות עם הרשות לה .גנת הפרטיות במקרים מסויימים
3.
יש למחוק את סעיף8
א(א) המוצע ובמקומו לתקן את סעיף1 לחוק כ ך ש לאח ר
המיל ים
"ללא הסכמ" תו" יבוא ,
לפי הוראות חוק זה או לפי
דין אחר המסד
יר עיבוד מידע."
4.
יש לתקן את סעיף8
א(ב) כך שיחול על כל
פגיע.ה בפרטיות לפי הוראות החוק
לפיכך
" במקום הרישא
"מצא הממונה כי א
םד ניהל
או החזיק מאגר מידע בניגוד להוראות סעיף
)קטן (א
", יבוא "מצא הממונה כי אדם פגע בפרטיות ז
ולתו בניגוד להורא ת סעיף1
."לחוק
5.
יש
למחו
ק את ה
מונח "ידיעה על ענייניו הפרטי "ים של אדם אף שאינה בגדר מידע
מסעיפים10
,ב
10ג(א) ו-
10
.)ג(ב
6.
יש למחוק את סעיף2
(
9
) לחוק
ו
להוסי ב ף נוסח
המוצע ל סעיף10
ב לתיקון14
לאחר
" המילים,שלא למטרה שלשמה נמסרו"
את המילים "או למ טרה הדומה למטרה
שלשמה נאסף או נמסר המידע"
. ובסיפא של הסעיף להוסיף את מבחני
המטרה הדומ ה
:בזו הלשון
"בבואו לבחון את קיומה של מט רה דומה כאמור, ישקול בעל שליטה
,במידע, בין השאר :את אלה
(1
)
הקשר בין המטרה לשמה נאסף או נמסר המידע
לבין מטרת העיבוד
או
השימוש
שהוא מב קש ;לבצע
(2
)
הנסיבות שבהן נאסף המידע
, קיומה ש ל מערכת יחסים בין נושא
המידע לבין
בעל השליטה מא ב
גר ה מידע ואת ציפייתו הסבירה של
נושא ה מידע בנוגע לעיבוד או לשימוש נוסף
ב
מידע , מעבר למטרה
לשמ ;ה נאסף או נמסר
(3
)
האם המידע כולל מידע
ב על
רגיש ות מיוחדת ;
(4
)
השל כות אפשריות של העי בוד או השימוש
הנוסף ש הוא מבקש
".לבצע
7. יש ל מחוק את סעיף10ל ג ו הוסיף סעיף2
(
12
)
:בזו הלשון "שימוש או עיבוד מידע על
אודות אדם שלא
לפי הוראות חוק זה או דין אחר המסדיר עיבוד מידע"
.
8.
יש לתקן את הגדרת המונח "אבטחת מידע" בסעיף7
:לחוק ולהחליפה בהגדרה הבאה
"הגנה על
נכונות המ ,ידע
סודי,ותו
"זמינותו או שלמותו .
9. יש לתקן את הגדרת "שלמות המידע" ב סעיף7
:לחוק ולהחליפה בהגדרה הבאה
"שמירה על מהימ
נות
ודיוק המידע במהלך עיבודו, בלא ששונה או הושמד, שלא לפי
הוראו"ת הדין.
10
. יש למחוק את ה תיקון המוצע בסעיף9
לתיקון14
ולהוסיף לסעיף36
חוק ל , אחרי פסקה
(
1
)
את הסעיף "(
1
)א
הוראו ת
לעניין האחריות לאבטחת המידע ,ובכלל
זה היקפה
והחובותך הכלולות בה, וכן לעניין דרכי אבטח ת המידע
כאמור, בין השאר ב:עניינים אלה
)(א;הגנה פיזית ולוגית על המאגר
)(ב
סדרי
הניהול וכללי העבודה במאגר המידע ובקשר
אליו, לרבות ל
עניין קביעה של הגב
לות על גישה של מועסקי ם .למידע תקנות בנושא זה
יותקנו בהסכמ ת ראש הממשלה, ולעניין תקנו
ת כאמ
ור שיחולו על גופים ה מנויים
בפרטים2 ו-
3
בתוספת הראשונה לחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח–
1998
(להלן–
חוק )להסדרת הביטחון בגופים ציבוריים–
גם בהתייעצות עם שר
הביטחון .
בכ
בוד וב
ב
רכה
ד"ר רחל ארידו ,ר הרשקוביץ
ד"ר ת הילה שוורץ אלטשולר
התוכנית לדמוקרטיה בעידן המי דע
ה
מכון הישראלי לדמוקרטיה
סנ פח
א '
: חובת רישום
סקירת משפט מ שווה
מדינה חובת רישום
החוק החל
אנגולה
האישי
המידע
לסוג
בהתאם
המע ובד, ארגון צריך לספק הודעה
מוקדמת לרשות הגנת הפרטי ות או
לקבל את אישורה לפני עיבוד
המ .ידע האישי
Data Protection Law, 2011; the
Electronic Communications and
Information
Society
Services
Law, 2011; the Protection of
Information
Systems
and
Networks Law, 2017
ארגנטינה
חובת רישום על כל מאגרי המידע
הפרטיים ו
הציבוריים שמטר תם
.אספקת מידע
The Personal Data Protection
Law, 2000
אוסטרליה אין חו
ב ת רישום . חקיק ה פדרלית, מד .ינתית ומחוזית
The Federal Privacy Act 1988,
amended
2012;
Australian
Privacy Principles (APPs)
.
אוסט
ריה
אין חובת רישום .
חקיקה תואמתGDPR
:
The Data
Protection
Amendment
Act
2018; The Privacy Deregulation
Act 2018
בחריין אין חוב ת
רישום .
Personal Data Protection 2018
,
נכנס לתוקף באוגו סט2019
ב
לרוס
אין חובת רישום כתנאי לאיסוף אוThe
Law
on
Information,
Informatisation and Information
מדינה חובת רישום
החוק החל
.עיבוד מידע אישי
מ ערכות מידע ממשלתיים, אף אם
אינם אוספים או מעבדים מ ידע
אישי, חייב ים ברישום שכן הוקמו
.או נרכשו מכספי הממשל
לפי החוק הקיים ארגון המחזיק
ב
מערכת מידע שמ טרתה עיבוד
מ
ידע א
ישי חייב להוד יע לרשות
האח ראית על הת נאים הטכניים
.שנוקט לאבטחת מידע
Protection, 2008; the Law on
Population Register, 2008
.
בהליכי חקיקהLaw on Personal
Data
שיהיה החוק
הראשון הייעוד י
לאסדרת ההג
נה על
.מידע אישי
בלגיה בוטלה
חובת הייד וע על פעולות
,עיבוד מידע אישי. במגזר הציבורי
מי שמעבד מ ידע אישי למטרות
שירותי אכיפה
מחויב
לפרסם
פרוטוקול
המפרט את העברת
המידע לגוף ממשלתי א ו פרטי
בהת בסס על אינטרס הציבור
ב .ציות לחוק
חקיקה ת
ו אמתGDPR
:
The Data
Protection Act, 2018; The Data
Protection Authority Act, 2017
.
ברמודה אין חובת רישום
The
Personal
Information
Protection Act 2016
, נכנס לתוקפו
ב2018
בוליביה אין ח
ובת ר
ישום
Bill of Personal Data Protection;
מדינה חובת רישום
החוק החל
The Political Constitution of the
Plurinational State of Bolivia, in
Article N°130
.
בוסניה
והרצגובינה
חובת רישום המוטלת על כל מי
שמעבד מידע אישי
The
Law
on
Protection
of
Personal Data, 2006
.
ברז
יל אין חובת רי
שום
Brazilian
General
Data
Protection Law, 2018
. זו חקיקת
הגנת הפרטיות
ה
מקיפה הראשונה
.במדינה
ב
ולגריה חובת ריש ום
בעל שליטה בו טלה
עם תיק ון החוק ברוח הGDPR
.
קיימת חובה לרשום בעל שליטה
במידע ו מעבד שמינו קצין הגנת
פרטיות, רישום גופים מאושרים
ו רישוםcode of conduct
.
חקיקה תואמ ת את הGDPR
.
The
Personal Data Protection Act
2002, amended 2019
.
קנדה
אין .חובת רישום
יש כ28
חוקים
פדר
ליי ם
, מחוז יים
.ומקומיים להגנה על פרטיות במידע
העיקרי והפדרלי שבהם
Personal
Information
Protection
and
Electronic Document Act, 2000
.
צ'ילה חובת ריש ום על מאגרי מידע
ציבוריים
Personal Data Protection Law,
1999
וכן חוקיים ייעוד יי ם
למשל
מדינה חובת רישום
החוק החל
לתחום הבנ
קאות והאשראי .
קרואטי
ה
.אין חובת רישום מאגרי מידע
רק חובות לפי הGDPR
למשל
לר .ישום קצין הגנת מידע
חקיקה תואמתGDPR
:
The Act on
the
Implementation
of
the
GDPR, 2018
. חקיקה נוספת בנוגע
למידע רפואי משנת2019
.
קפר
סין י
אין חובת רישום מאגרי מידע. רק
חובה לפי הGDPR
לרישו ם קציני
הג .נת פרטיות
תואמת
חקיקה GDPR
:
The
Protection of Physical Persons
Against
the
Processing
of
Personal
Data
and
Free
Movement of such Data Law,
2018
צ'כיה אין חובת רישום מאגרי מידע
חקיקה תואמת
GDPR
:
The Czech
Act on Personal Data Processing,
2019
דנמרק
עיבו די המידע הבאים דורשים
:אישור רשות הגנת הפרטיות
-
עיבוד מידע אישי על ידי ארגון
פרטי המביא לחשיפה מוצא אתני
או גזעי, דעות
פוליטיות, אמונה
דתי ת או פילוסופית, חברות בארגון
עובדים, עיבוד מידע גנט
י,
ביומטרי
לשם
גילוי ייחוד יות של אדם, עיבוד
חקיקה תואמתGDPR
:
The Danish
Act on Data Protection, 2018
.
מדינה חובת רישום
החוק החל
מידע רפואי א
ו מידע הנו גע לחיי
המין או נטייה מינית של אדם
.לצורך אינטרס הציבור
העברה של קטיגוריות ייחודיות של
שעובדו
אישי,
מידע
במקור
למטרות מחקר מדעי, אם עיבוד
המידע עומד להיעשות מחוץ
לגבולות האיחוד האי
רופי או ע
ומ ד
להתפרסם בכ .תב עת ידוע
עיבוד מידע אישי ע ל ידי בעל
של
יטה פרטי ב מטרה להזהיר עסק
אחר מפני כניסה לעסקה או
העסקה של אדם, ב מטרה לנצל
את המידע על מצבו הפיננסי של
אדם למטרות מ סחריות ומתן
אש
ראי או לשם יצירת ריש ום מידע
.משפטי
מצרים
מעבד או בעל שליטה במידע
חייבים לקב ל רישיון מהרשות
להגנת הפרטיות לפני שמבצעים
,איסוף
אחסון , העברה או עיבוד של
,מידע אישי בפורמט אלקטרוני
מיד ע רגיש או לשם
פעיל ות שיווק
Personal Data Protection Law,
2020
מדינה חובת רישום
החוק החל
אינטרנט .י
אסטוניה חוב ת
רישום בוטלה עם אימוץ
החק יקה תואמתGDPR
.
ח קיקה תואמתGDPR
:
Personal
Data
Protection
Act,
2018;
Personal
Data
Protection
Implementation Act, 2019
.
פינלנד
דרישות הרישום בוטלו עם חקיקת
החוק ברוח הGDPR
.
חקיקה תואמתGDPR
:
The Data
Protection Act, 2019; The Act on
Electronic
Communication
Services 2014; the Act on the
Protection of Privacy in Working
Life, 2004; the Act on Processing
of Personal Data in Criminal
Cases, 2019; The Working Life
Act
.
צרפת בוט לו חובות הרישום. נדרש רק
שכל מעבד ובעל שליטה במידע
י חזיקו תיעוד ש ל המידע כפי
שנדרש בעבר במסגרת דרישת
.רישום
עיבוד סו גי המידע האישי הבאים
מחייבים קבלת אישור הרשות
להגנת הפר:טיות
חקיקה תואמ תGDPR
.
מדינה חובת רישום
החוק החל
( עיבוד מספר זיהויsocial
security number)
.
עיבוד מידע איש
י בשם או לטובת
המדינ ה כחלק מסמכותה של
רשות ציבורית, עיבוד מידע גנטי או
ב יומטרי הנחוץ
לשם זיהוי א ו
אימות זהות של הפ .רט
עיבוד מ
ידע אישי ב שם המדינה או
ע"י הנוגע לביטחון המדינה או
למטר מניעת
של
ה
,עבירות
חקירתם, או אכיפת ענישה בגין
עבירות פליליו .ת
גרמניה אין
.חובת רישום
חקיקה תואמתGDPR
:
German
Federal Data Protection Act,
2017
, נכנ ס לתוקף במאי2018
.
גניאה חוב
ת רישום על
כל מי שמבקש
.לעבד מידע אישי
Data Protection Act, 2012
גיברלטר
בעל שליטה במידע המעבד מידע
אישי חייב ברי שום אצל הרשות
.להגנת הפרטיות
Data Protection Act 2004
יוון אין חובת רישום חקיקה תוא
מ תGDPR
:
The Greek
מדינה חובת רישום
החוק החל
Law, 2019
.
הונג קונג אי ן חובת רישום
. עם זאת ל רשות
להגנת הפרטיות הסמכות לקבוע
קבוצות של מעבדי מידע שח ייבים
ברישום. הרשות הציע
ה
שקבוצות
אלו יהיו המגזר ה ,ציבורי, בנקים
וחברות
ביטוח
חברות
טלקומוניקציה
וארגונים עם מאגרי
מידע גדולים. נכון לע
כ שיו הצעת
הרשו
ת לא התקב.לה
The Personal Data (Privacy)
Ordinance,
1996,
amended
2013
.
הונגריה
.אין חובת רישום
חקיקה ת ואמתGDPR
.
איסלנד
על בעל שליטה במידע להיוועץ
ולק בל אישור מראש
של הר שות
להגנת הפרטי ות בכל הקשור
לעיבוד מידע לצורך ביצוע משימה
לטובת אי נ
טרס הציבור, ל הגנה
סוציאלי.ת ולבריאות הציבור
חקיקה תואמ תGDPR
:
The Act on
Data
Protection
and
the
Processing of Personal Data,
2018
.
הודו אין חובת רישום
Information
Technology
Act,
2000; Information Technology
(Reasonable Security Practice
and Procedures and Sensitive
Personal Data or Information
Rules, 2011
. הצעת חוק
מקיפה יותר
מדינה חובת רישום
החוק החל
להגנת הפרטיות נדונה בבית הנמוך
בפרלמנט בדצמ בר2019
אך טרם
.התקבלה
אירלנד אין חובה לרשום מאג .רי מידע
יש ח ובה
לרשום קציני הגנת
.פרטיות בחברה
חקיקה התואמת לGDPR
:
The Irish
Data Protection Act 2018
.
אי טליה אין חובת רישו
ם חקיקה תואמ ת את הGDPR
.
יפן אין חובת רישום
The Act on the Protection of
Personal
Information
2003,
amended 2017
.
קזחסטן אי
ן חובת רישום
Personal Data and Its Protection,
2013
קניה
במידע
שליטה
ובעל
מעבד
מחויב
י
ם בר
ישום ברשו ת הגנת
הפרטי
ות. לרשות הגנת הפר טיות
הסמכות
לקבוע כללי ם לחובת
באופי
בהתבסס
הרישום
התעשייה, כמות המידע המעובד
והאם המידע המעובד הוא מידע
.רגיש
The Data Protection Act, 2019
לטביה
עם חקיקת חוק תואםGDPR
תואמת
חקיקה GDPR
:
The
מדינה חובת רישום
החוק החל
.בוטלה חובת הרישום
Personal Data Processing Law,
2018
.
מרוקו
חובה ליידע
את הרשות ל הגנת
הפרטיות על כל עיבוד מידע אישי
אלא אם כן עיבוד המיד ע נופל
.לאחד החריגים הקבועים בחוק
עיבוד מידע רגיש, מידע על פ
עיל ות
בלתי מוסרית או חו קית, על עבירות
מנהליות, מידע על מצב האשראי
או חדלות
פירעון, חייב באישור
מקדים
.של הרשות
Personal Data Protection Law,
2005
.
מלזיה
הבאים
המידע
בעלי
קבוצות
חייבות ברישום מ:ידי שנה
בנ
תקשורת, ומוסדות
קים
פיננסיים, ביטוח, בר ,יאות, תיירות
תחבורה, חינוך, מכירה
,ישירה
,משפטיים
שירותים ,ביקורת
,וארכיטקטורה
הנדסה
,נדל"ן
משכנתא
ות והלוואת ה .ון
Personal Data Protection Act
2010
,
נכנס לתוקף ב2013
. זהו חוק
.הגנת הפרטיות הראשון במדינה
מלטה
חובה על מעבד מידע להיוועץ
הרשו
אישור
ולקבל להגנת
ת
הפרטיו ל ת
פני עיבוד מידע למ טרות
חקיקה תואמתGDPR
:
Data
Protection Act 2018
.
מדינה חובת רישום
החוק החל
אינטרס הציבור כאשר המידע
,המעובד הוא מידע גנטי
,ביומטרי
מידע הנוגע לבריא ות למטרות
מחקר
סטט
יסטי או מדעי , או
קטיגו ריות מיוחדות של מידע
הקשורות בשירותי
.סוציאליים
מקסיקו אין
.חובת רישום
The
Federal
Law
on
the
Protection of Personal Data held
by Private Parties, 2010
.
דבר י
חקיקה נוספ ים חלים על הרשות
ה מבצעת ועל עי
בוד מידע א ישי באופן
.אוטומטי
הולנד
.אין חובת רישום
חקיקה תואמת
GDPR
.
The Dutch
GDPR Implementation Act, 2018
ני
ו זילנד אין חו
בת ריש .ום
The Privacy Act 2020
נכנס לתוקפו
בדצמבר2020
.
נורבגיה
ח אין
ובת רישום חקי תואמת
קה GDPR
:
The
Norwegian Personal Data Act,
2018
.
פיליפינים חובת רישום מאג רי מידע חלה על
מעבד או בעל שליטה במידע
המקיימים את אחד מהתנאים
The Data Protection Act of 2012
מדינה חובת רישום
החוק החל
:הבאים
מעסיקים
לפחות250
עוב .דים
עיבוד המידע כו לל מידע רגיש על
לפחות1000
.נושאי מידע
סביר שעיבוד
ה
מידע יסכן זכו יות
וחירויות יסוד של נושאי המי .דע
עיבוד ה מידע אינו .מקרי
פולין עם תיקון
החקיקה והתאמתה ל
GDPR
בוטלה חובת הדיווח על
עיבוד .מידע אישי
יק חק ה תואמתGDPR
.
פו רטוגל
עם התאמת החקיקה לGDPR
.בוטלה חובת הרישום
י חק קה תואמתGDPR
.
רומניה ח
ובות הרישום והדיוו ח לרשות
להגנ הפרטיות
ת עם
בוטלו
התאמת החקיקה לGDPR
.
חקיקה תואמתGDPR
.
סינג
פור
אין חובת רישום. הרשות להגנת
הפ
רטיות מעודדת אבל
רישום
קציני ה .גנת פרטיות
The Personal Data Protection
Act of 2012
סלובקיה
אין חובת
.רישום חקיקה
תואמתGDPR
.
מדינה חובת רישום
החוק החל
דרום
אפריקה
חוב ה לרשום את ק צין הגנת
ה
פרט .יות בארגון
חובה לקבל אישור מהרשות ל
ה גנת
הפרטיות לפ ני עיבוד מידע אישי
בקטיגוריות הקבועות בחוק כמו
מיד
ע רגיש, כאשר מ ידע על
קטינים מועבר לעיבוד במקום
.שאינו מספק הגנת פרטיות נאותה
The
Protection
of
Personal
Information Act
, נכנס לת וקפו ביולי
2020
.
דרום
קוריאה
.חובת רישום על מוסדות ציבור
Personal Information Protection
Act, 2011
.
ספרד אין חובת רישום חקי קה תואמתGDPR
.
Spanish
Fundamental
Law
on
Data
Protection and digital rights
guarantee, 2018
.
שבד יה
אין חובת .רישום חקיקה תואמ תGDPR
:
The Data
Protection Act, 2018; The Data
Protection Ordinance 2018;
ו
חקיקה ייחודים למגזרים מסוימי ם כמו
הבריאות, הפיננסי , הסביבה, החינ ,וך
.תקשורת
תאילנד
.אין חובת רישום
The Personal Data Protection
Act 2019. החקיקה ה יא ברוח ה
מדינה חובת רישום
החוק החל
GDPR
.
אוקראינה חוב
ת הרישום בוט לה בשנת2014
.
קיימת חובת הודעה על עיבוד מידע
אישי העלול לסכן זכוי ות וחירויות
.של נושאי המידע
The Law on Personal Data
Protection,
2010,
amended
2012, 2014
.
אנגליה
חובת הרישום בוטלה בחוק משנת
2018
.ב מקום מוטל על בעל
שליטה במ ידע לשלם
מידי שנה
Data Protection Fee
אל א אם כן
.הוחרגו במפורש מהתשלום
חקיקה תואמתGDPR
:
The Data
Protection Act 2018
.
קליפורניה
ארה"ב
חובת רי
שום על סוחרי מ( ידעdata
brokersה
) כעסקים
מוגדרים
שאוספים במודע מידע אישי על
לקוחות נו
אי ש
מידע שאין להם
איתם מער ,כת יחסים ישירה
ומ
וכרים אותו ל
צדדים שליש יים
California Consumer Privacy Act
of 2018
נכנס לתוקף
בינואר2020
1
1
12
מאי2022
לכבוד
ומשפט חוק ,החוקה ועדת ר"יו ,קריב גלעד כ"ח
הכנסת של ומשפט חוק ,החוקה ועדת חברי
:הנדון הצעת חוק הגנת הפרטיות )תיקון14
(, התשפ"ב–
2022
)להלן: "תיקון14
("
–
סעיפי
הגדרות
חוק הגנת הפרטיות, התשמ"א–
1981
" :)להלן החוק "( הוא חוק מיושן שאינו הולם מענה נותן
ל
סוגיית הפרטיות במידע ול אסדרת השימוש הנרחב שנעשה במידע אישי בעת הנוכחית, ואינו
משקף באופן מתאים את מעמדה של הזכות לפרטיות כזכות חוקתית המעוגנת בחוק -
יסוד: כבוד
.האדם וחירותו. תיקון החוק באופן מקיף ויסודי הוא כורח המציאות ונדרש מזה מספר שנים לכן
.אנו מברכות על כך שסוף סוף הדבר מגיע לשולחנה של הוועדה
ואולם, תיקון14
משקף את מדיניות התיקון בשיטת הטלאים, הנשענים זה על זה וחלוף הזמן בין
קשיים בחובו וטומן משמעותיים בחוסרים לוקה הוא .האחר של להצגתו האחד של קבלתו
פרשניים. משכך, תיקון14
אינו מעניק מ ענה מספק הגנת חוק של ויסודי מקיף בתיקון לצורך
.הפרטיות ואיננו רפורמה משמעותית כשהוא עומד בפני עצמו
,הצגתו ואופני סוגיות שלל על ,מידע .גבולות חוצת היא במידע לפרטיות הזכות על ההגנה סוגיית
מועבר על גבי רשת האינרטנט ללא הגבלה גיאוגרפית כזו או אחרת. עיבוד מידע שמקורו בנושאי
מידע במדינה זרה יכול שיעשה בישראל ולהיפך. עם חקיקת תקנות הגנת הפרטיות של האיחוד
) האירופאיGeneral Data Protection Regulation, “GDPR”
(
של עולמית כלל מגמה החלה
התאמת הדינים המקומיים במדינות האיחוד האירופי ומחוצה לו ל -
GDPR
. זאת על מנת להבטיח
שהש מקומיות לחברות ולהקנות מדינה בכל המקומית התעשייה בפני חסום יהיה לא האירופי וק
בסיס שווה לתחרות בשווקי המידע שהינם שווקים בינלאומיים ומהווים את הגלגלים העיקריים
,להנעת כלכלת העולם כיום. עד כה12
,מדינות מחוץ לאיחוד האירופי ובניהן ברזיל, קנדה, צ'ילה
הודו, יפ ן, ניגריה, דרום קוריאה, שוויץ, תאילנד, תורכיה, והמדינות קליפורניה וניו יורק שבארה"ב
הפרטיות הגנת בחקיקת מרכזיים היבטים להתאים מנת על מקיף חקיקה שינוי מבצעות או ביצעו
.המקומית לזו האירופאית
לצערנו, חוק הגנת הפרטיות בישראל אינו תואם ואף שונה בחלקו באופן מהו תי מדינים מרכזיים
הנהוגים במדינות אחרות. תיקון14
השלכות לכך יש .וכלל כלל מספק באופן זאת משנה אינו
כלכליות משמעותיות על תעשיית ההיי -
ובמדינות בישראל הפועלת ישראלית חברה .בישראל טק
נוספות בעולם נדרשת להתאים את אופן פעולתה לדינים הנהוגים בכל אחת ואחת מהמדינות
חלים אשר הפעולה באותה אלא ,מדינה בכל שונות פעולות בביצוע מדובר אין .פועלת היא בהן
.עליה הדינים הנוהגים בישראל ובמדינה הזרה בה מתרחשת הפעולה על גבי רשת האינטרנט
נדרשות ישראליות שחברות לכך מוביל בעולם הנהוגים לדינים בישראל החוק של ההתאמה חוסר
2
להשקיע משאבים הגנת שבחוק והדרישות המונחים את לפרש מנת על רבים ופיננסיים אנושיים
שכל לוודא מנת על אחרות במדינות הדינים ולדרישות למונחים להתאימם ולנסות הפרטיות
באותה בישראל הדין את מפרות ואינן הזרים לחוקים בהתאם נעשית במידע מבצעות שהן פעולה
העת. הדבר מהווה מעמסה כלכלית מש
מעותית על יכולתן העתידית של תעשיית היי-
טק
.הישראלית להתחרות כשווה בשווקים האירופאיים בעיקר ובשווקים הבינלאומיים בכלל
לפיכך, העיקרון המנחה בבחינת תיקון14
ואימוצו צריך להיות התאמת הגדרותיו ודרישותיו
העיקריות, ככל הניתן, ולצד התאמתן לתנאי הארץ ותושביה, לאלו
,אחרות במדינות הנהוגות
בעיקר ל -
GDPR
.אשר הפך להיות החוק המנחה במישור הבינלאומי1
,זאת הבינו רבות מדינות
בתוך לחלוטין חדש מקיף פרטיות הגנת חוק או מקיפים תיקונים לחוקק והצליחו מותניים שינסו
זמן קצר. לא ברור למה מדינת ישראל מתעקשת מזה מספר שנים רב להותיר על כ הגנת חוק נו
פרטיות מיושן ולהמשיך לנסות לתקנו מזה למעלה מעשור באופן שאינו נותן מענה מלא לצרכיי
.התעשייה המקומית
במסמך זה נמקד את הערותינו המהותיות
בנושא סעיפי ההגדרות המוצעים בת יקון14
מנת על
להביא בפני ועדת החוקה, חוק ומשפט של הכנסת הצעת חוק אשר תכלול את המינימום
ההכרחי לעידכון חוק הגנת הפרטיות הקיים ולמיזעור הפגיעה האפשרית בתעשיית היי -
טק
בישראל כתוצאה מאי התאמתו ארוכת השנים לדיני הגנת הפרטיות במדינות אחרות, בעיקר לאלו
.הנהוגים במדינות החברות באיחוד האירופי
1.
ריבוי סעיפי הגדרות
סעיף3 לחוק
, שכותרתו "הגדרת
,בנוסף .החוק לכל הרלוונטים למונחים הגדרות כולל ,"מונחים
כולל החוק שלושה סעיפי הגדרות נוספים: סעיף7
למונחים הגדרות וכולל "הגדרות" שכתורתו ,
הרלוונטים לפרקים ב' ו -
ד' לחוק, סעיף17
בפרק 'ב לסימן הרלוונטיים למונחים הגדרות הכולל ג
ב', וסעיף23
" המגדיר את המונח .גוף ציבורי" הרלוונטי לפרק ד' לחוק
בתיקון14
מוצע לתקן את הגדרת המונח "מחזיק" שבסעיף3
לחוק וכן להוסיף בסעיף7
לחוק
הגדרות למונחים "בעל שליטה במידע", "מאגר מידע" מזהה ביומטרי", "מידע", "מידע בעל
רגישות מיוחדת", "הממונה על הגנת מידע", "מפלגה", "מרשם", "עיב ."בחירות תקופת"ו "וד2
שנוסף פרק לכל כאשר ,הטלאים בשיטת ההיסטורי התיקון את משקף ההגדרות סעיפי פיצול
על ועיבוייה הזו ההיסטורית החלוקה להותרת העיקריים הנימוקים .ייעודיים הגדרות סעיפי נוספו
לסעיף מונחים הוספת ידי7
:הם לחוק
)
1
(
המונחים שתיקון14
מבקש להוסיף עוסק ,רלוונטיים ולכן במידע בפרטיות רק ים
'ד עד 'וד ב לפרקים ,לכאורה4
.לחוק
1
, AJIL
The GDPR as Global Data Protection Regulation
Cedric Ryngaert & Mistale Taylor,
Unbound, 114, 5-9 (2020)
.
2 הערותינו לעניין המונחים "מפלגה" ו"תקופ ת בחירות" ימסרו לקראת הדיון בוועדת החוקה, חוק
ומשפט של הכנסת, בנושא תיקון14
.ותעמולת הבחירות והמפלגות
3
)
2
(
כבכל חוק קיים, שינוי מיקום תוכן סעיף מסויים עלול לגרום לבלבול בחוקים אחרים
בלבול למנוע מנת על מרובה חקיקה עבודת ויחייבו בחוק מסוימים לסעיפים המפנים
.שכזה
.אלו טענות לקבל בידנו אין
חוק זאת .בעולם אחרים פרטיות חוקי למול השוואתית בראייה מוזר עוף אכן הוא הפרטיות הגנת
,אולם .אחד חקיקה בדבר במידע ופרטיות הקלאסית הפרטיות נושאי את משלב שהוא משום
'הטענה שהמונחים רלוונטיים רק לפרקים ב' וד' עד ד4
לחוק אינה צופה פני עתיד ואינה
מתייחסת לתיקון14
כאל
.הפרטיות הגנת חוק לעדכון מקיפה מרפורמה חלק
כתוצאה מהתיקון
בשיטת הטלאים, נדמה כי המונחים ששונו או הוספו רלוונטים רק לפרקים שתיקון14
.עוסק בהם
,אולם צריכים אלו מונחים ,הפרטיות הגנת בחוק להתרחש שצריכה הרפורמה של כוללת בראייה
להיות ויהיו רלוונטים לסעיפים נוס .פים בחוק למשל, כבר היום סעיף2
לחוק המגדיר מהי פגיעה
בפרטיות פגיעה לצד הקלאסית בפרטיות פגיעה אירועי בחובה כולל לחוק 'א בפרק ומצוי בפרטיות
"במידע. בעתיד, יש לקוות, הסעיף יעודכן כך שיכלול גם אירועי פגיעה בפרטיות כתוצאה מ"עיבוד
ו"שימוש" במידע. אולם, המונח "ש ימוש" מוגדר רק בסעיף3
לחוק והמונח "עיבוד" מוגדר רק
בסעיף7
'כרלוונטי רק לפרקים ב' וד' עד ד4
.
גם את הנימוק השני לפיו איחוד כלל סעיפי ההגדרות לכדי סעיף אחד, הוא סעיף3
לעבודת יוביל ,
חקיקה מרובה, אין בידנו לקבל. מסריקת מופעי חוק הגנת הפרטיות בחוקים אחרים נ
מצא שכ -
103
חוקים ותקנות מאזכרים את חוק הגנת הפרטיות, מתוכם רק46
מפנים תקנות או חוקים
.לסעיף ספציפי לשם הגדרת מונח מסוים3
משום כך, לדעתנו יש לאחד את כלל המונחים המופיעים בחוק הגנת הפרטיות לסעיף3
בחוק או
לכל הפחות לכלול את המונחים, שתיקונם או הוספתם מוצעת
בתיקון14
, לסעיף3
.לחוק
2.
""הרשם", "הממונה" ו"הרשות להגנת הפרטיות
בתיקון14
מוצע "מידע הגנת על הממונה" במונח "המידע מאגרי רשם" המונח את להחליף
לו הנחונות הסמכויות ואת הרשם של תפקידו את יותר מדויקת בצורה מתאר" שהאחרון בנימוק
."לפי הצעת החוק4
המונח "רשם" א ו "רשם מאגרי המידע" הוא אכן מונח ארכאי שיש בו כדי לצמצם את סמכויותיו
של בעל התפקיד. לכך אין עוד מקום, בעיקר נוכח ההצעה לצמצם את חובת הרישום בתיקון14
.
5
משרעת את הולם באופן ישקף אשר אחר במונח "רשם" המונח את להחליף היוזמה ,כך משום
תפקידיו וסמכויותיו היא מבור .כת
,אולם, לדעתנו מונחים עם בלבול ליצור עלול "מידע הגנת על הממונה" או "ממונה" המונח
הפרטיות הגנת בחוק עתה כבר הקיימים אחרים :
3
" סריקת מופעי "חוק הגנת הפרטיות" בחוקים ובתקנות מצורפת כנספח א ." למכתב זה
4
תיקון14
, בעמוד423
.
5
סעיף4
לתיקון14
, תיקון סעיף8
.לחוק
4
-
המונח "ממונה על אבטחה" או "ממונה", לפי סעיף17
ב לחוק. ההצעה בתיקון14
להחליף את המונח "ממונה על אבטחת מידע" במונח "אחראי על הגנת "מידע6
היא
.לדעתנו תיקון מאולץ
-
עקרונות של להפנמה להביא" שתפקידו ,"ממונה" או "פרטיות הגנת על ממונה" המונח
ושיקולי פרטיות בתהליכי העבודה בארגון, ולסייע לארגון במימוש אחריותו וחובותיו לפי
.דיני הגנת הפרטיות", ושמינוי מומלץ לפי הרשות להגנת הפרטיות7
-
המונח
ממו ) מידע הגנת נהData Protection Officer
החבה ישראלית חברה שכל (
) בציות לתקנות הגנת הפרטיות של האיחוד האירופאיGeneral Data Protection
Regulation, “GDPR”
.למנות נדרשת (
8
הגנת ממונה" ,"האבטחה על ממונה" המונחים בין ההבחנה את לחדד כדי ,לדעתנו ,לפיכך
פרטיות" ו"ממו נה הגנת מידע", אשר משקפים בעלי תפקידים בארגון האמונים על יישומו של חוק
הממשלה ידי על הממונה ,ציבורי תפקיד בעל שהוא ,"הרשם" לבין ,בחברה הפרטיות הגנת
ומוענקות לו בחוק וכן לפי תיקון14
,מגוון סמכויות פיקוח ואכיפה ראש" המונח את להעדיף יש
."הרשות להגנת הפרטיות מונח זה ישקף בצורה הנכונה והמקיפה ביותר את משרעת תפקידיו
וסמכויותיו, וימנע בלבול וחוסר הבנה באשר לזהות בעל התפקיד וסמכויותיו .
על המופקדת ועצמאית אחידה ,אחת רשות של מלאה תמונה הציבור בעיני לגבש מנת על ,בנוסף
בדיני הנחוצה מהרפורמה וכחלק ,בישראל הפרטיות הגנת
הגנת הפרטיות, שתיקון14
מתיימר
להציג ולהיות חוד החנית שלה, יש לדעתנו להוסיף בסעיף3
להגנת רשות"ל ברורה הגדרה
."הפרטיות
במשרד מידע וטכנולוגיות פרטיות להגנת משפטית רשות הקמת על החליטה ישראל ממשלת
המשפטים בהחלטה בשנת2006
.
9
בשנת2017
החליטה הממשלה לשנות את הרשות של שמה
."הפרטיות להגנת רשות"ל ומידע טכנולוגיה ,למשפט10
מתפקדת הפרטיות להגנת הרשות
"כרגולטור הפועל להגנה על זכות היסוד לפרטיות ולהגנת מידע אישי בישראל... לתכלית זו
מפעילה רגולציה, לרבות אכיפה מנהלית ופלילית, על כלל הגופים בישראל–
פרטיים, עסקיים
וציבור".יים, המחזיקים או המעבדים מידע אישי דיגיטלי11
למרות כל זאת, הרשות עצמה כלל
אינה מוזכרת בחוק או בתיקון14
יחידת ראש"ב רק עומד "הממונה" .עצמה של כצל אלא
"פיקוח12
ישירות הכפופים לעובדים מצומצמת הפרטיות להגנת הרשות לעובדי וההתייחסות
.לממונה13
המדובר, לדעתנו, בלא של ותפקידיה משקלה לצמצום להביא כדי בה שיש קונה
לסעיף להוסיף מציעות אנו ,כך משום .הפרטיות להגנת הרשות3
:בחוק את ההגדרה הבאה
6 תיקון סעיף
17
ב המוצע בסעיף11
לתיקון14
.
7
מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו–
,טיוטה להערות / התייחסות מאת הציבור
הרשות להגנת הפרטיות )
29.10.20
.(
8
סעיף37
ל -
GDPR
.
9
'החלטת ממשלה מס4660
) מיום כ"ג בסיוון התשס"ו19
ביוני2006
.(
10
'החלטת ממשלה מס3019
מ יום07.09.2017
.
11
"אודות הרשות", אתר הרשות להגנת הפרטיות
page
-
landing
-
https://www.gov.il/he/departments/the_privacy_protection_authority/govil
.
12
סעיף7
לתיקון14
, תיקון סעיף10
.)ה( בחוק הגנת הפרטיות
13
ראו, למשל, סעיף23
מו המוצע בתיקון14
. בדברי ההסבר לסעיף מוסבר שעובד בכיר הכפוף
.ישירות לממונה הוא עובד הרשות להגנת הפרטיות
5
"
הפרטיות להגנת הרשות" ,"
הרשות "
–
";המשפטים במשרד הפרטיות להגנת הרשות
בהתאם יש לתקן גם את ההגדרה המוצעת ל"ממונה על הגנת מידע" כך שת שקף את תפקידו
כראש הרשות להגנת הפרטיות ולא רק כמי שמופקד על הפיקוח "על הגנת המידע במאגרי מידע
.";זה חוק הוראות לפי14
כרשות הפרטיות להגנת הרשות של בחוק לעיגונה גם יתרמו אלו תיקונים
עצמאית, שהינה אחד מהתנאים החשובים להכרהה בתאימות הדין בישראלי ל -
GDPR
.
15
3.
"מידע"", "מידע בעל רגישות מיוחדת" ו"מאגר מידע
3.1
.
"מידע"
אנו מברכות על
ה שינוי המוצע ,"מידע" להגדרת16
ש העתק נתוני שבעידן ההבנה את משקף
מתחולת להוציאו כדי המידע בהתממת די אין נתונים להצלבת המתקדמות הטכנולוגיות והיכולות
.החוק אלא יש לאמץ מבחן סבירות הזיהוי
עם זאת, הסי פא של ההגדרה–
"אחר ייחודי מזהה נתון כל או זהות מספר ,ביומטרי מזהה לרבות"
עשויה ליצור קושי פרשני. ראשית, היא עשויה לעורר את השאלה מדוע דווקא את נתונים אלו
בחר המחוקק לציין ולא אחרים והאם יש חשיבות לבחירה זו. שנית, "מזהה ייחודי אחר" עשוי
לכלול נתונים כגון כ תובתIP
., שאין הצדקה להכלילם בגדר מידע. לפיכך, עדיף לדעתנו להשמיטה
בנוסף, ראוי לדעתנו להסביר בדברי ההסבר מהו מבחן האמצעים הסבירים שיש לדעת המחוקק
זה בהקשר .אדם של זיהויו את לאפשר כדי מסוים נתון בידי יש האם השאלה בבחינת לאמץ
מתאים, לדעתנו, מבחן "הפורץ המתע) "נייןmotivated intruder
(
נבחנת ולפיו באנגליה הנהוג
השאלה האם אדם בעל יכולות רגילות, שיש לו גישה למשאבי מידע מתאימים, כגון מידע
,כאמור גישה לו להיות שצפויה או ,בספריות או ציבוריים מידע במאגרי ,באינטרנט המתפרסם
עושה שימוש בטכניקות מחקר רגילות, ויש לו מוטיב .זאת לעשות יצליח ,מסוים אדם לזהות ציה17
3.2
.
"מיוחדת רגישות בעל מידע"
"רגיש מידע" המונח להגדרת כחלופה "מיוחדת רגישות בעל מידע" למונח המוצעת ההגדרה
בסעיף7
.לחוק היא חשובה בדברי ההסבר בתיקון14
כוללת "רגיש מידע" הגדרת שכיום הודגש
בהגדר הכלולים הפרטים כל את כמעט"
.שולית היא המונחים בין ההבחנה כן ועל ,"מידע" ת
לפיכך, הוצע בתיקון14
.מיוחדת רגישות בעיבודם שיש מידע פרטי רשימת לכלול18
עם זאת, לטעמנו , חלק מפרטי המידע המופיעים בהגדרה מנוסחים בצמצום וחלק באופן רחב
מידי מה שעלול להקשות, בסופו של יום, על יישומה המעשי של הקב יעה כי פריט המידע הוא
.מיוחדת רגישות בעל
14
ראו ההגדרה המוצעת בסעיף3
לתיקון14
, התיקונים המוצעים לסעיף7
.בחוק הגנת הפרטיות
15
להרחבה בעניין חשיבות עצמאות הרשות והתיקונים הנדרשים לשם כך ראו רחל ארידור
,הרשקוביץ ותהילה שוורץ אלטשולר ,הצעת חוק הגנת הפרטיות, התשע"ט114-116
)יוני2019
.(
16
סעיף3
)
3
( לתיקון14
, תיקון הגדרת "מידע" בסעיף7
.לחוק הגנת הפרטיות
17
Chapter 2: How do we ensure anonymization is
er’s Office,
Information Commission
effective? (October 2020)
.
18
תיקון14
דברי ההסבר להגדרת "מידע בעל רגישות מיוחדת" בעמוד427
.
6
על מנת לקבוע שפריט מידע כלשהו הוא בבחינת "מידע בעל רגישות מיוחדת" יש לבחון מהי
נפקותה של הגדרה זו. נכון להיום, רגישותו של מידע היא מדד לרמת האבטחה שיש לנקוט
,לגביו19
לעניין חובת הרישום ולעניין גובה העיצום הכספי. לדע תנו, לבד מרמת האבטחה
הנדרשת, הנפקויות המוצעות בתיקון14
הן שוליות. בראש ובראשונה, ובדומה לקבוע ב -
GDPR
,
שמותר לשימושים ביחס משמעות בעלת להיות צריכה מיוחדת רגישות בעל כמידע מידע הגדרת
יהיה לעשות במידע שכזה וכיצד. זאת כפי שאף נאמר בדברי ההסבר בתיקון14, אך לא
בא לידי
ביטוי בנוסח החוק המוצע בו. מבלי להתייחס בשלב זה לחסר משמעותי זה בתיקון14
, ובהנחה
שחסר זה יתוקן בעתיד הקרוב על מנת ליצור באמת הגנת בדיני ומשמעותית מקיפה רפורמה
,הפרטיות הכללת פרטי מידע בגדר "מידע בעל רגישות מיוחדת" צריכה להיעשות בפינצטה
בהתאם לבחי על חמורות מגבלות בהטלת או באיסור הוא הציבור שאינטרס מידע סוג זהו האם נה
.השימוש בו
להן נפרט את פרטי המידע הכלולים בהגדרה המוצעת ל"מידע בעל רגישות מיוחדת" בתיקון14
:הגדרתם את לשנות מקום לדעתנו יש ואשר
1
(
"מידע על צנעת חייו האישיים של אדם, לרבות ."היחיד ברשות התנהגותו
הביטוי
""צנעת חייו האישיים
מופיע בחוק
הגנת הפרטיות בסעיף2
)
11
( : "פרסומו
של עניין הנוגע
לצנעת חייו האישיים של אדם, לרבות עב רו המיני ..." מהווה.פגיעה בפרטיות
המשפט בית
העליון הכיר בכך שמדובר בביטוי עמום, אך הבהיר שאין מדובר אך ורק בעניינים הרף את החוצים
הגבוה ביותר של אינטימיות, כגון עברו המיני של אדם. באותה פרשה הכיר בית המשפט העליון
גש ם מידע הקשור בביתו של אדם
החוצה רף מסוים של אינטימיות של ביתו פנים צילום למשל ,
,אדם
."עשוי לבוא בגדרי המונח "צנעת חייו האישיים20
הביטוי"צנעת חייו האישיים" נכלל בגדר מידע רגיש לראשונה בתקנות אבטחת מידע ,
21
אולם
משמעותו לא מוסברת בדברי ההס .בר22
בהנחה שמשמעות ה
מונח זהה ל
משמעות ו בסעיף
2
)
11( לחוק הגנת הפרטיות, הרי שנראה שמ
דובר בצמצום היקף המידע הרגיש לעומת ה הגדרה
אותה הסעיף המוצע בתיקון14
מבקש להחליף. בעי
קר
נתונים"ל התייחסות כאן בהגדרה חסרה
ר כמידע "אדם של אישיותו על
גיש. ל
טעמנו המדובר בחס של אישיותו על נתונים .לתקנו שיש ר
,אדם למשל נקודות
מרכזיו ת
על אישיותו
של עובד
שמציין מעסיק
ו ,
או אדם כוח בחברת מראיינת
או במכון מ ,יון על מועמד לתפקיד מסוים הם מידע רגיש שיש בו כדי להעיד על אופיו של אדם
.נפשו ונבכיי
2
(
"מידע רפואי כנגדרתו בחוק זכויות החולה, התשנ"ו -
1996
";
"מידע רפואי" מוגדר בחוק זכויות החולה, התשנ"ו–
1996
" :)להלן החולה זכויות חוק "( כ"מידע
.";המתייחס באופן ישיר למצב בריאותו הגופני או הנפשי של מטופל או לטיפול הרפואי בו
לרבות" מוגדר "רפואי טיפול" ."רפואי טיפול המקבל או המבקש וכל חולה"כ מוגדר "מטופל"
פעולות אי."בחון רפואי, טיפול רפואי מונע, טיפול פסיכולוגי או טיפול סיעודי23
19
זאת לפי תקנות הגנת הפרטיות )אבטחת מידע(, תשע"ז–
2017
.
20
ע"א1679/11
א. גוטמ 'ן אדריכלות בע"מ ואח' נ
ורדי ) , פורסם בנבו23.01.13
.(
21
.פרטי המידע המנויים כמידע רגיש בתוספת הראשונה לתקנות אבטחת מידע
22
תקנות הגנת הפרטיות )אבטחות מידע(, התשע"ו–
2016
.
23
סעיף2
בחוק זכויות החולה, התשנ"ו–
1996
.
7
המונח להגדרת בהפניה שהבחירה ,הוסבר "מיוחדת רגישות בעל מידע" להגדרת ההסבר בדברי
"מידע רפואי" בחוק זכויות החולה נועדה על מנת להבהיר, שמידע רפואי כולל מידע גם על מצבו
הנפשי של אדם, ולא רק על מצ.בו הרפואי24
,אולם ההפניה להגדרת המונח בחוק זכויות החולה
,מובילה לצמצום פרטי המידע על מצב בריאותי או נפשי לאלו הנובעים מטיפול רפואי, סיעודי
פסיכולוגי או רפואי מונע. כתוצאה, אין הגדרה זו כוללת פרטי מידע רפואי, שאינם נובעים מטיפול
.כלשהו
למשל, מידע על רקע משפ ,השד בסרטן חלו אישה של ודודתה שאמה העובדה כגון חתי
הוא מידע שעשוי להיות בעל חשיבות בבחינת מצבה הבריאותי של אותה האישה, אך אינו נובע
ללמד יכולה רבות שנים במשך אסבסט ליצור במפעל עבד או עישן שאדם העובדה .בה מטיפול
על מצבו הבריאותו, אך אינה נובעת מטיפול בו. כך
,למשל) אדם של מגוריו מקום על מידע גם
אדם שגר בעיר צ'רנוביל( או מוצאו האתני עשוי להצביע על מחלות אופיניות אפשריות, אך אינו
אדם של חיפוש שאילתות גם העתק נתוני בעידן ,ועוד זאת .האדם באותו רפואי לטיפול קשור
במנוע חיפוש עשויות להצביע על מצבו הבריאותי, אך כמובן
.שאינן נובעות מטיפול רפואי בו25
נציין עוד שהגדרת מידע בריאותי ב -
GDPR
,, בחוק הפרטיות באוסטרליה
אינה מוגבלת למידע
.המידע בנושא פסיכולוגי או סיעודי ,רפואי מטיפול הנובע26
"לפיכך, אנו מציעות לכלול בהגדרת "מידע בעל רגישות מיוחדת -
"מידע על מצבו הבריאותי או
הנפשי
."אדם של
3
(
"נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי )סמכויות אכיפה–
נתוני תקשורת(, התשס"ח–
2007
";אדם לגבי ,
כשלעצמם נתוני מיקום ונתוני תעבורה רגישות בעל מידע בהכרח אינם אך ,אישי מידע הם
,מיוחדת
אלא אם כן יש בהם כדי ללמד , למשל , על מצבו הכל של הנפשי או הבריאותי ,האישי ,כלי
אדם.
27
לפיכך, לדעתנו, יש לשנות את ההגדרה כך שתחול רק על נתוני מיקום ונתוני תעבורה
"שיש בהם כדי ללמד על
מ ) פרטים לפי ידע1
) ( עד5( ו -)
8
) ( עד11
.(
24
תיקון14
, בעמוד427
.
25
, NYTimes (June 7, 2016)
Microsoft Finds Cancer Clues in Search Queries
John Markoff,
.
26
סעיף4
)
14( ל -
GDPR
:
‘data concerning health’ means personal data related to the physical or mental health of a
natural person, including the provision of health care services, which reveal information
about his or her health status` .
סעיף6FA
ל–
Privacy Act 1988
:באוסטרליה
The following is health information:
(a) Information or an opinion about:
(i) the health, including an illness, disability or injury, (at any time) of an individual; or
(ii) an individual’s expressed wishes about the future provision of health services to
the individual; or
(iii) a health service provided, or to be provided, to an individual;
that is also personal information;
(b)
27
,כך, למשל
ב תחקיר שנערך לפני מספר שנים על ידי עיתונאי הניו יורק טיימס, למשל, נמצא שעל ידי
מעקב על נתוני מיקום מותממים ניתן לזהות את נושא המידע ואף לגלות עליו פרטי מידע אישיים כגון הרגלי
הבילוי והפנאי שלו, ביקור בקל י
ניקות לקבלת טיפול רפואי או במפגשי אלכוהוליסטי
ם אנונימ.יים
:ראו
8
4
(
";אדם של מוצאו על מידע"
מדברי ההסבר עולה שמידע על מוצאו של אדם הוסף "לנוכח ההבנה
יש כזה מידע שבעיבוד
."רגישות מיוחדת" עוד צוין כי הכוונה היא גם ל"השתייכות לאומית28
גם כאן, ועל מנת למנוע
של הלאומי או האתני מוצאו"ל היא שהכוונה במדויק לקבוע ,לדעתנו ,עדיף ,פרשניים קשיים
אדם" ולא להשאיר זאת לפרשנות בתי המשפט בעתיד. נציין עוד שב -
GDPR
ע מדובר ל מידע
.אתני או גזעי של אדם29
5
(
,בו שינוי או הכלכלי מצבו ,הכלכליות והתחייבויותיו חובותיו ,אדם של נכסיו על מידע"
";בהן עמידתו ומידת הכלכליות בהתחייבויותיו לעמוד יכולתו
אין אחידות בעולם בהתייחסות למידע על מצבו הכלכלי של אדם כאל מידע רגיש. המדובר
בשאלה ערכית המת
בססת על התפיסות המקובלות בחברה באותה המדינה. ב -
GDPR
אין מידע
כלכלי נחשב מידע רגיש כלל. באוסטרליה התקיימו דיונים בנושא ונציבות הפרטיות החליטה
לבסוף שאין להתייחס למידע על מצבו הכלכלי של אדם כאל מידע רגיש. זאת מכמה סיבות: מידע
כלכלי נדרש לשם ביוצע פעולות ועסק אות שגרתיות והגדרתו כמידע רגיש תכביד על ביצוען; מידע
.כלכלי זוקק רמת אבטחת מידע גבוהה וזו מוסדרת ומובטחת גם מבלי להגדירו כמידע רגיש30
.רגיש כמידע אדם של הכלכלי מצבו על מידע מוגדר ,זאת לעומת ,בקנדה
בישראל, נוטות הדעות להתייחס למידע על מצב כלכלי כמידע בעל רג ,אולם .מיוחדת ישות
הניסוח המוצע בתיקון14
עורר את החשש שגם מידע פחות בחשיבותו, כמו, למשל, רשימת
החיובים במכולת השכונתית, עשוי להיחשב כמידע בעל רגישות מיוחדת המחייב את מחזיקו
בחובות מוגברות לפי החוק, כמו, למשל, חובת רישום וחובות מכוח תקנות אבטחת מידע. לפיכך ,
הפרטיות להגנת לרשות דעת שיקול ולהותיר "כלכלי מצב" במונח שימוש לעשות לדעתנו עדיף
.זה למונח ומאוזן מדויק תוכן לצקת המשפט ולבתי
3.3
.
"מידע מאגר"
בתיקון14
בסעיף "מידע מאגר" הגדרת את להחליף מוצע7
:לחוק בהגדרה הבאה
""מאגר מידע– אוסף פרטי מידע המוחזק באמצעי דיגי טלי, למעט אוסף לשימוש
.";עסק למטרות שאינו אישי
מיותרת היא שלטעמנו ,חובה .הרישום לחובת ביחס היא כיום "מידע מאגר" המונח נפקות
והעיסוק בצמצומה כמוצע בתיקון14
הוא בזבוז זמנה של הכנסת. לדעתנו, ועל אף העומס
בעבודת החקיקה ששינוי זה יגרור, יש לוותר על המונח "מאג את ולהחיל והגדרתו "מידע ר
בדיני משמעותית מרפורמה מצופה כך .הוא באשר אישי מידע כל על הפרטיות הגנת חוק הוראות
הגנת הפרטיות. כך מקובל גם בחקיקה האירופאית החדשה להגנת מידע, ה -
GDPR
.
4.
"בעל שליטה ב מאגר"מידע" ו"מחזיק
Stuart A. Thompson & Charlie Warzel, Twelve Million Phones, One Dataset, Zero Privacy,
The NYTimes (Dec. 19, 2019)
.
28
תיקון14
, בעמוד427
.
29
סעיף9
)
1( ל -
GDPR
.
30
Australian Law Reform Commission, Sensitive Information (Aug. 6, 2010)
.
9
בתיקון14
מוצע להוסיף את המונח "בעל שליטה במאג ר מידע" שמוגדר כ"מי שקובע, לבדו או
יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע
.";כאמור לכך הוסמך בו תפקיד שבעל או31
,המדובר בהגדרה חשובה
אך לטעמנו חסרה
ואף
טומנת בחובה סכנה להרחבה גדולה מידי של הגופים שיוכרו כ"בעל שליט"ה במאגר מידע .
סכנת הרחבת הגדרת "בעל שליטה במאגר מידע" טמונה גם בהגדרה המוצעת בתיקון14
למונח
"מחזיק" בסעיף3
לחוק הגנת הפרטיות. זו מציבה שלושה תנאים מצטברים להיותו של אדם או
:"מחזיק" גוף
1
(
""מי שהתקשר עם בעל שליטה במאגר מידע
2
(
"למתן שירות לבעל השליטה או למתן
"שירות מטעם בעל השליטה
3
(
שימוש לעשות הרשאה ,ההתקשרות במסגרת ,המידע במאגר השליטה מבעל וקיבל"
"השירות מתן לצורך שבמאגר במידע
ההגדרה המוצעת חשובה ומשקפת את ההבנה שהוראות החוק צריכות לחול על השימוש במידע
ללא קשר לאופן איגומו. עם זאת, לדעתנו
, טמונות בהגדרה המוצע ת מספר בעיות פרשניות
.העלולות להוביל לקושי ביישומה ולצמצום תחולתה
,ראשית ההגדרה המוצעת במסגרת ייעשה המידע שבמאגר במידע שהשימוש מחייבת
מתחולתה ההגדרה מוציאה זה באופן .מטעמו או השליטה לבעל שירות מתן ולצורך ההתקשרות
מקרים בהם בעל שליטה במאגר המידע מתיר לאחר במסגרת שלא המידע במאגר שימוש לעשות
,שלו עצמאי מחקר לצרכיי ,שימוש העושה באקדמיה חוקר ,למשל .עבורו או מטעמו שירות מתן
עם אחד בקנה עולה המחקר .בו השליטה בעל הוא הבריאות שמשרד ,מידע ממאגר במידע
מטרת מאגר המידע לשמש, בין השאר, למחקר אקדמי, כפי שקבע משרד הבריאות
כבעל
למשרד שירות מספק לא אך הבריאות משרד מטעם פועל החוקר ,כלומר .במאגר השליטה
הבריאות או מטעמו. לדעתנו, הטענה כי צמצום זה הוא לטובה כיוון שמוביל לכך שאותו חוקר
יתר "מידע במאגר שליטה בעל" הגדרת הרחבת .נכונה אינה מידע במאגר שליטה כבעל יחשב
על המידה אינה רצ .ויה
,אכן סעיף4 )
7( ל-
GDPR
") "מגדיר "בעל שליטה במידעcontroller
"( כמי שמקיים שני תנאים
) :מצטברים1
( קובע את מטרת עיבוד המידע )ה"למה"(; ו -)
2
( קובע את האמצעים לעיבוד המידע
)ה"איך"(. מאז חקיקת ה -
GDPR
פורשו דרישות אלו מספר פעמים בהקשר של בעלי שליטה
") במשותףjoint controllers
באמצעי השליטה לדרישת פחותה חשיבות המייחס באופן ("
העיבוד לעומת המשקל שניתן לרמת השליטה במטרת העיבוד. על כך נמתחת ביקורת לא מעטה
בנימוק שהיא עלולה להוביל למצב אבסורדי במסגרתו גם מי שאינו שולט באמצעי העיבוד ואף אין
בידו גישה למידע האישי עשוי לפי עליו המוטלת באחריות ולשאת במידע שליטה כבעל להיחשב
ה -
GDPR
.
גם בישראל, ההגדרה המוצעת בתיקון14
ל"בעל שליטה במאגר מידע" עשויה להוביל למצבים
לו אין ואף יבוצע העיבוד כיצד קובע אינו אך ,העיבוד מטרת על רק ששולט מי בהם אבסורדים
גישה למידע המעובד, עשוי להיחשב כ"בעל שליטה במאגר מידע". במצב זה הוא עשוי לחוב
.בחובת רישום וידרש לתת מענה לפניות של נושאי מידע בנוגע לזכות העיון והתיקון
31
סעיף3
לתיקון14
, התיקון המוצע לסעיף7
.בחוק הגנת הפרטיות
10
,כך, למשל
כאשר חברת היי -
טק מגדירה את מטרות מאגר המידע–
גיוס מועמדים מקצועיים
בתחום מסוים בעלי מספר שנ ות ניסיון וכד'. אולם חברת כוח האדם היא שמחזיקה במאגר מידע
של מועמדים פוטנציאליים שמטרתו, מבחינת חברת כוח האדם, היא מציאת התאמה בין
המועמדים לדרישות חברות היי -טק השונות. במצב זה, הגדרת חברת היי -
טק כבעל השליטה
במאגר שבידי חברת כוח האדם שאין לה אליו כלל גישה היא בעייתית בלשון המעטה. נושא מידע
מתקין בביתו מערכת חכמה לשליטה במערכת החשמל בביתו המאפשרת שליטה מרחוק
מעבדת המערכת ומעבדת אוספת פעולתה לצורך .החשמלי והדוד חשמליים תריסים ,בתאורה
מידע אישי על אורחות החיים בבית. עם התקנת המערכת בביתו נושא המידע עצמו הוא שק ובע
את מטרת עיבוד המידע -
.השימוש נוחות את ולהגביר העודפת החשמל צריכת את למזער
התמקדות אך ורק במידת השליטה ב"מטרות עיבוד המידע" מובילה לכך שנושא המידע עצמו
את קובע אינו הוא ,הנאסף האישי למידע גישה לו שאין אף על זאת במידע השליטה כבעל יחשב
אופני העיבוד שלו ו
אין ביכולתו לעמוד בדרישות המוטלות על בעל שליטה במידע ב -
GDPR
.
32
בנוסף, הרחבת הגדרת "בעל שליטה במאגר מידע" לכל מי ששולט במטרת העיבוד עשויה להביא
לקשיי אכיפה משמעותיים. הניסיון האירופי מוכיח שבעלי שליטה במידע "אמיתיים", כלומר אלו
הקובעים הן את מטרת העיבוד והן
את אופניו, אלו שיש להם גישה בפועל למידע האישי, נוטים
לתוות רשת של גורמים הקובעים את מטרת עיבוד המידע. באופן זה גורמים רבים אחרים
נחשבים כ"בעלי שליטה במידע" והרשויות האחראיות מתקשות לאכוף את דרישות ה -
GDPR
."ביחס לבעלי השליטה ה"אמיתיים33
לבסוף, חשוב להבין -
לפניות הכתובת הוא .המאגר של הפנים הוא "מידע במאגר שליטה בעל"
נושאי המידע בכל הקשור למימוש זכויותיהם. קביעת הגדרה המובילה לכך שמפר רב של גורמים
של בסופו ,ותוביל זכויותיהם את לממש המידע נושאי על תקשה "במאגר שליטה בעל"כ יגדרו
.לפרטיות הזכות להחלשת ,דבר
בה
תייחס לחוק הפרטיות בקליפורניה הוצע להכריע האם גורם מסוים הוא בעל שליטה במידע34
) :בהתאם למידת הכרעתו בנושאים הבאים1
) ;שיאסף המידע מה (
2
( למה ישמש המידע
) ;שייאסף3
) ;יישמר המידע זמן כמה למשך (
4
הגורם לעובדי מחוץ למידע הגישה מורשה הם מי (
עצמו. בכך באה לידי בי טוי ההבנה שהשליטה באמצעי או דרכיי העיבוד אינה באה לידי ביטוי רק
.בקביעת התוכנה המסוימת עמה יעשה העיבוד35
32
Michele Finck, Cobwebs of control: the two imaginations of the data controller in EU law,
11(4) International Data Privacy Law 333 (2021)
.
33
e data controller in EU law,
Michele Finck, Cobwebs of control: the two imaginations of th
11(4) International Data Privacy Law 333 (2021)
.
34
ב -
California Consumer Privacy Act (“CCPA”)
המונח הואBusiness
. ראו סעיף1798.40(c)
ל–
CCPA
.
35
8)
CCPA FAQs: Does the CCPA have data “controllers” and “Processors”? (19.12.2001
. יש
"ש לצייןbusiness
" לפי הCCPA
הוא גם מי שעומד בדרישות נוספות הקשורות בגובה הריווח השנתי
או גודל מאגר המידע שלגביו הוא מקבל החלטות בנוגע למטרות ולאמצעי העיבוד. ראו סעיף
1798.140(c)
לCCPA
.
11
משום כך, י ש
להוסיף
להגדרה המוצעת בתיקון14
"ל
בעל שליטה במאגר המידע את גם "
הדרישה שיהא זה מי
שקובע לא רק את מטרות עיבוד המידע אלא גם את האמצעים או הדרכי ם
לעשות כן או לפחות את אמצעי העיבוד המרכזיים .
עוד נציין,
שהגדרת "בעל שליטה במאגר מידע" עשויה לייתר את הצורך בהגדרת "מנהל מאגר
"מידע,
שבסעיף7
לחוק בהחזקתו או שבבעלותו גוף של פעיל מנהל"כ המוגדר ,הפרטיות הגנת
.";מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה
הותרת המונח "מנהל מאגר מידע" אף
.עשויה ליצור כפילויות וקשיים פרשניים ראשית, מדובר בבעל תפקיד שאינו מוכר בחוקי פרטיות
במדינות אחרות כדוגמת ה -
GDPR
. בנוסף, גם בתיקון14
עצמו לא ברור מתי מנהל מאגר המידע
שקול בסמכויותיו והאחריות המוטלת עליו לבעל השליטה במאגר המ ידע או למחזיק, ובאילו
נסיבות פטור מאחריות כאמור. כך, למשל, סעיף23
)(ד)כג1
( המוצע בתיקון14
, קובע ששימוש
עיצום להטיל הרשות סמכות שבצידה הפרה הוא ,נמסר לשמה למטרה שלא מידע ממאגר במידע
כספי על בעל השליטה במאגר המידע או המחזיק, אך אינו מאזכר את מנהל מאגר המידע .
להצרת להביא עלול אשר ההתקשרות מיסוד להתנתק יש לדעתנו ,"מחזיק" להגדרת באשר
ההגדרה כך שלא תכלול כל מי שלא נעשתה עמו התקשרות מסודרת. הגדרת מחזיק צריכה לחול
.על כל מי שמבצע עיבוד מידע עבור בעל השליטה במידע או לפי הוראותיו
כמו כן, יש לתת את הדעת גם לאי ההתאמה בין ההגדרה המוצעת בתיקון14
ל"מחזיק" לבין
הגדרת "בעל הרשאה" בתקנות אבטחת מידע. "בעל הרשאה" מוגדר כ"יחיד אשר יש לו גישה
."המחזיק או המאגר בעל של הרשאתו פי על מאלה לאחד36
כלומר, לצד "מחזיק", שלפי תיקון
14
חייב בהתקשרות לצורך מתן שירות לבעל השליטה ב מאגר המידע או מטעמו כתנאי לשימוש
במידע שבמאגר המידע, יכול בעל הרשאה לקבל "גישה", שהיקפה המדויק לא ברור, למידע
.שבמאגר המידע רק מכורח "הרשאה" מטעם בעל השליטה במאגר המידע
משום כך, ועל מנת להימנע מחוסר בהירות זו והקשיים הפרשניים הנלווים בה, להימנע מהרחבה
יתר
על המידה של הגורמים העשויים להיחשב כ"בעל שליטה במאגר מידע" ולהגביר את תאימות
הדין בישראל עם החקיקה הבינלאומית ובעיקר עם ה -
GDPR
,
37
"מוצע לפשט את הגדרת "מחזיק
ולקבוע שמדובר ב"אדם המורשה על ידי בעל מאגר המידע לעבד או להשתמש במאגר מידע
."עבורו או מטעמו
,בנוסף
לצורך רמיזה משום בה יש כי לדעתנו ומטעה בעייתית היא "מחזיק" במונח השימוש
מוצע לפיכך .הפרטיות להגנת הרשות הבהרת לפי הכוונה אינה שזו אף ,המאגר של בהחזקה
.להחליף את המונח "מחזיק" במונח "מעבד" המוכר גם בחקיקה הזרה
5.
"עיבוד"ו "שימוש"
ההרחבה המוצעת בסעיף2 )
2( לתי קון14
למונח "שימוש" שבסעיף3 לחוק,
המונח הוספת לצד
"עיבוד" כמוצע בסעיף3
)
4
( לתיקון14
מנת ועל לטעמנו ,זאת עם .וחיוניים חשובים תיקונים הן
למנוע כפילויות ושאלות פרשניות מיותרות עדיף "לעשות שימוש במונח אחד, הוא המונח "עיבוד
במטרה לחדד את ההבחנה בין המונח השג) ור לפעולות המבוצעות על ידי משתמשי הקצהend
user
.( לבין הפעולות הנעשות במידע אישי
36
תקנה1
לתקנות הגנת הפרטיות )אבטחת מידע(, תשע"ז–
2017
.
37
ס עיף4
)
8( ל -
GDPR
, הגדרתprocessor
.
12
הגדרת המונח "עיבוד" צריכה להיות מקיפה, לכלול את כל הפעולות שניתן לעשות במידע אישי
" בעולם דיגיטלי, ולהיות בהלימה עם הגדרה המונחprocessing
" בסעיף4
)
2( ל -
GDPR
,לפיכך .
אנו
מציעו
ת
:להגדיר "עיבוד" כרשימה סגורה של שלושה סוגי פעולות במידע אישי
)"
1
( איסוף או תיעוד של מידע אישי בכל דרך, לרבות צילום, הקלטה, העתקה או השגת
;אליו גישה
)
2
( ארגון, החזקה או אחסון של מידע אישי, לרבות הבנייה, שינוי, אחזור, ניתוח, איגום או
;הצלבה
)
3( גילוי או פ .";הציבור לרשות העמדה או מכירה ,העברה לרבות ,אישי מידע של רסום
הגדרה זו עיוורת למרחב שבו הפעולה מתרחשת, ועל כן גם צילום במרחב הציבורי ייחשב עיבוד
של מידע אישי. כן תאפשר
הגדרה זו הבנה ברורה יותר של סוגי השימושים תוך הדגשה שמדובר
.שונים פעולות בטיפוסי
לחיל
ופין, לכל הפחות ניתן ל מונח מהגדרת ולהימנע "שימוש" להגדרת האיסוף פעולת את הוסיף
."שימוש"ו "עיבוד" המונחים בין ברורות אינן לה וההצדקות שגבולותיה הבחנה גם ועמו נוסף
הדוגמאות למצבים בהם מבוצע איסוף בלבד של מידע שאין בו פגיעה בפרטיות הן מצומצמות
ואיזוטריות ואין ,, לדעתנו, מקום להתוות את דבר החקיקה כולו לפיהן. יתרה מכך נוצרה עתה כבר
שאלה פרשנית - לפי התיקון המוצע:
בסעיף12
לתיקון14
,
הוספת סעיף23
)(י)א4
( לחוק
העיקרי, מוענקת ל מפקח הסמכות להיכנס למקום שיש לו יסוד סביר להניח שנעשה בו שימוש
במאגר מידע. לפי ההגדרות המו צעות בתיקון14
, אין למפקח סמכות להיכנס למקום בו נעשה רק
."שימוש" הגדרת תחת לא אך "עיבוד" הגדרת תחת הנכלל ,מידע איסוף
6.
סיכום תמצית הערותינו
1.
העיקרון המנחה בבחינת תיקון14
ודרישותיו הגדרותיו התאמת להיות צריך ואימוצו
העיקריות, ככל הניתן ולצד התאמתן לתנאי הארץ במדינות הנהוגות לאלו ,ותושביה
אחרות, בעיקר ל -
GDPR
.אשר הפך להיות החוק המנחה במישור הבינלאומי38
להתאמה
שכזו השלכות ומשמעויות כלכליות חשובות על עתיד תעשיית היי -
.טק הישראלית
2.
יש לאחד את כלל המונחים המופיעים בחוק הגנת הפרטיות לסעיף3
לכל או בחוק
הפחות לכלול את המונחים, שתיקונם או הוספתם מוצעת בתיקון14
, לסעיף3
.לחוק
3.
,"הפרטיות להגנת הרשות ראש" במונח "מידע הגנת על הממונה" המונח החלפת
להגנת הרשות ראש" ההגדרת ותיקון "הפרטיות להגנת הרשות" למונח ההגדרה הוספת
.בהתאם "הפרטיות
4. בהגדרת "מידע" יש להשמיט את הסיפא: "לרבות מ זהה ביומטרי, מספר זהות או כל נתון
בהתאם "הסבירים אמצעים"ה למבחן הסבר ההסבר בדברי ולהוסיף "אחר ייחודי מזהה
.למבחן הפורץ המתעניין הבריטי
5.
"מיוחדת רגישות בעל מידע" הגדרת
38
, AJIL
The GDPR as Global Data Protection Regulation
Cedric Ryngaert & Mistale Taylor,
Unbound, 114, 5-9 (2020)
.
13
5.1
.
יש לתקן את הגדרת "מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו
"ברשות היחיד
כך .אדם של אישיותו על נתונים גם בנוסף שיכלול
5.2
.
החולה זכויות בחוק המונח להגדרת בדומה "רפואי מידע" להגדרת מקום אין
המצמצת את היקף המידע הרפ מוצע .רפואי טיפול כדי תוך הנלמד לזה רק ואי
."אדם של הנפשי או הבריאותי מצבו על מידע"ל ההגדרה את לתקן
5.3
.
בעל כמידע שיחשבו ביומטרי ומזהה והתעבורה המיקום נתוני את לצמצם יש
) פרטים לפי מידע על ללמד כדי בהם שיש" לאלו רק מיוחדת רגישות1
) ( עד5( ו-
)
8
) ( עד11
."(
5.4
. יש לת קן את המונח "מידע על מוצאו של אדם" ל"מידע על מוצאו האתני או הלאומי
."אדם של
5.5
.
" במקום
הכלכלי מצבו ,הכלכליות והתחייבויותיו חובותיו ,אדם של נכסיו על מידע
לכתוב יש ";בהן עמידתו ומידת הכלכליות בהתחייבויותיו לעמוד יכולתו ,בו שינוי או
."כלכלי מצב"
6. יש למחוק את המ ."מידע מאגר" ונח
7.
בהגדרת "בעל שליטה במאגר מידע" יש להוסיף שהמדובר גם במי שקובע את האמצעים
.או הדרכים לעבד מידע. במקביל יש למחוק את הגדרת "מנהל מאגר" בחוק
8.
על המורשה אדם"ל ההגדרה את ולתקן "מעבד" במונח "מחזיק" המונח את להחליף יש
ידי בעל מאגר המידע לפעול מטעמ"ו בעיבוד ובשימוש במידע אישי.
9.
רשימה שתשקף כך "עיבוד" המונח הגדרת את מחדש ולהגדיר "שימוש" את למחוק יש
.והפצה ניתוח ,איסוף :במידע פעולות סוגי שלושה של סגורה
בכבוד ובברכה
,ד"ר רחל ארידור הרשקוביץ
אלטשולר שוורץ תהילה ר"ד
התוכנית לדמוקרטיה בעידן המידע
המכון ה
ישראלי לדמוקרטיה
14
אחרים ובתקנות בחוקים "הפרטיות הגנת חוק" מופעי סריקת :'א נספח
החוק שם
ההפניה סעיף
ההפניה תוכן
1
ו"תשע ,לילדים אומנה חוק -
2016
2
הגנת חוק" הגדרת
."הפרטיות
22
(א)
להגדרת הפנייה
""הרשם בסעיף7
.הפרטיות הגנת לחוק
49
)()א5
,(
49
)()ד6
(
הפנ להגדרת ייה
בחוק "מידע מאגר"
.הפרטיות הגנת
2
חוק איסור הלבנת הון, תש"ס-
2000
30
פרק להוראות הפנייה
.לחוק 'ד
39
תיקון סעיף13
()ה
.הפרטיות הגנת לחוק
3
לענינים משפט בתי חוק
מינהליים, תש"ס-
2000
28
של החלטה"ל הפניה
הגנת חוק לפי הרשם
."הפרטיות
4
הבחי חוק נוסח] לכנסת רות
משולב[, תשכ"ט -
1969
39
(ה)
רשם" להגדרת הפניה
"המידע מאגרי
הגנת חוק"ב כהגדרתו
."הפרטיות
5
נוסח] הלאומי הביטוח חוק
משולב[, תשנ"ה -
1995
295
(ה)ב
סעיף להוראת הפנייה
23
הגנת בחוק ז
הפרטיות
6
ז"תשכ ,לפועל ההוצאה חוק-
1967
6
(ד)
להוראות הפנייה
לעניין המידע אבטחת
.הפרטיות הגנת בחוק
7
)(א)א2
(
גוף" להגדרת הפנייה
הגנת בחוק "ציבורי
הפרטיות
15
החוק שם
ההפניה סעיף
ההפניה תוכן
7
,שואה לניצולי הטבות חוק
ז"תשס -
2007
2)ב2
(
להוראות הפנייה
מידע אבטחת לעניין
הפרטיות הגנת בחוק
8
חוק הטיס, תשע"א -
2011
118
)()ד2
(
לפגיעה הפנייה
בפרטיות
בחו כמשמעותה"
ק
."הפרטיות הגנת
9
138
)()ג1
(
לפגיעה הפנייה
בפרטיות
בחוק כמשמעותה"
."הפרטיות הגנת
10
זיהוי אמצעי הכללת חוק
ביומטריים זיהוי ונתוני ביומטריים
,במסמכי זיהוי ובמאגר מידע
ע"תש -
2009
2
חוק" המונח הגדרת
"הפרטיות הגנת
2
"רשם" הגדרת
כהגדרתו בסעיף7
לחוק הג הפרטיות נת
6
)()א8
(
ב"ציבורי גוף" הגדרת
בסעיף23
לחוק
הפרטיות הגנת
12
פרק להוראות הפנייה
הגנת לחוק 'ד
הפרטיות
25
לחוק כללית הפנייה
הפרטיות הגנת
11
לביטחון הארצית המועצה חוק
א"תשע ,תזונתי -
2011
17
)()ב2
(
להגדרת הפנייה
""מידע בסעיף7
הפרטיות הגנת לחוק
12
חוק המועצה לגיל הרך, תשע"ז-
2017
11
(ב)
להגדרת הפנייה
""מידע בסעיף7
16
החוק שם
ההפניה סעיף
ההפניה תוכן
הפרטיות הגנת לחוק
13
ה"תשנ ,המחשבים חוק -
1995
6
)()א6
(
לפגיעה הפנייה
בפרטיות כהגדרתה
בסעיף2
הגנת לחוק
הפרטיות
14
,קנסות לגביית המרכז חוק
ה"תשנ ,והוצאות אגרות -
1995
1
"מידע מאגר" הגדרת
כמשמעותו בחוק
הפרטיות הגנת
15
בייעוץ העיסוק הסדרת חוק
השקעות בשיווק ,השקעות
ובניהול תיקי השקעות, תשנ"ה -
1995
19
(ב)
חוק להוראות הפנייה
לעניין הפרטיות הגנת
.סודיות חובת
16
,המינהליות העבירות חוק
ו"תשמ -
1985
תוספת ראשונה
הגנת לחוק הפנייה
הפרטיות
17
חוק הר לבטיחות הלאומית שות
בדרכים, תשס"ו -
2006
36
"מידע"ל הפנייה
כהגדרתו בסעיף7
לחוק הגנת הפרטיות .
18
לביטחון הלאומית הרשות חוק
ז"תשע ,קהילתי -
2017
14
(א)
"מידע"ל הפנייה
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
19
ו"תשט ,הצבאי השיפוט חוק-
1955
שלישית תוספת הפנייה לעבירו לפי ת
סעיף2
הגנת לחוק
הפרטיות
20
ג"תשי ,התקנים חוק -
1953
8
,ד10
(ב)
"מידע"ל הפנייה
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
21
,חוק חדלות פירעון ושיקום כלכלי
ח"תשע -
2018
104
)()ב3
(א)(
גוף" להגדרת הפנייה
הגנת בחוק "ציבורי
הפרטיות
22
חוק חופש המידע, תשנ"ח -
1998
9
(א)
)
3
(
מהווה שגילויו מידע
בפרטיות פגיעה
17
החוק שם
ההפניה סעיף
ההפניה תוכן
הגנת בחוק כהגדרתה
הפרטיות
16
להוראות הפנייה
סעיפים14
ו -
15
הפרטיות הגנת לחוק
23
,אלקטרונית חתימה חוק
תשס"א -
2001
11
)()א4
(
מאגר"ל הפנייה
בחוק כהגדרתו "מידע
הפרטיות הגנת
24
ה"תשמ ,התקציב יסודות חוק -
1985
33
(ג)
הפני "מידע"ל יה
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
33ג
יהווה שלא פרסום
הפרה של הוראות
הפרטיות הגנת חוק
25
ט"תשס ,עדים על להגנה חוק -
2008
39
לסעיף עקיף תיקון
19
הגנת לחוק (ג)
הפרטיות
26
,חוק למניעת הטרדה מינית
תשנ"ח -
1998
5
(א)
לפגיעה הפנייה
לפי במזיד בפרטיות
סעיף5
הגנת לחוק
הפרטיות
27
,במזומן השימוש לצמצום חוק
ח"תשע -
2018
1
הגנת חוק הגדרת
הפרטיות
28
א"תשס ,גנטי מידע חוק -
2000
2
הגנת חוק הגדרת
הפרטיות
6
)()א4
(
הגנת חוק לפי הפרה
הפרטיות
17
בחוק כהגדרתו מידע
הפרטיות הגנת
18
החוק שם
ההפניה סעיף
ההפניה תוכן
31
כהגדרתו "ציבורי גוף"
בסעיף23
לחוק
הפרטיות הגנת
35
(א)
יחולו מידע מאגר על
הגנת חוק הוראות
הפרטיות
29
,מאיימת הטרדה מניעת חוק
תשס"ב -
2001
4
(ג)
להגנות הפנייה
בסעיף18
לחוק
הפרטיות הגנת
30
התנועה גודש להפחתת מס חוק
באזור גוש דן, תשפ"ב -
2021
24
)
5
(
בחוק כהגדרתו מידע
הפרטיות הגנת
31
חוק מ
ס ערך מוסף, תשל"ו-
1975
75
(א)א
כהגדרתו מידע מאגר
הפרטיות הגנת בחוק
32
חוק מרשם האוכלוסין, תשכ"ה -
1965
29
(ג)א
מידע אבטחת ממונה
כמשמעותו בסעיף
17ב
הגנת לחוק
הפרטיות
29
(י)א
לגוף מידע מסירת
ד פרק לפי ציבורי
הפרטיות הגנת לחוק
33
,עצם מוח תורמי מרשם חוק
תש
ע"א -
2011
10
(ג)
לפי רשם הגדרת
סעיף7
הגנת לחוק
הפרטיות
34
ח"תשכ ,ערך ניירות חוק -
1968
44יא3
(ג)
לפי רשם הגדרת
סעיף7
הגנת לחוק
הפרטיות
35
ו"תשע ,אשראי נתוני חוק -
2016
2
לפי רשם הגדרת
סעיף7
הגנת לחוק
הפרטיות
7
,
9
חוק לפי מידע מאגר
19
החוק שם
ההפניה סעיף
ההפניה תוכן
הפרטיות הגנת
18
(ב)
לפי הוראות יישום
חוק הגנת הפרטיות
מאגר ניהול בנושא
מידע
59
לפי מידע העברת
הגנת לחוק ד פרק
הפרטיות
61
מידע מאגר רישום
הגנת חוק לפי
הפרטיות
110
(א)
נזק הוכחת ללא פיצוי
לפי סעיף29
(ב)א
הפרטיות הגנת לחוק
36
ח נוסח] הפלילי הדין סדר וק
ב"תשמ ,[משולב -
1982
230
(ו)י
פרק להוראות הפנייה
הגנת לחוק ד
הפרטיות
,'תוספת ראשונה א
) סעיף ,ב חלק24
(
לפי בפרטיות פגיעה
סעיף5
הגנת לחוק
הפרטיות
) תוספת שניה12
(
הגנת חוק לפי עבירות
הפרטיות
37
תאונות לנפגעי פיצויים חוק
ה"תשל ,דרכים -
1975
12
(ג)ה
מידע כהגדרתו
בסעיף7
לחו ק
38
לתוקף כניסה מועד קביעת חוק
ארוז מזון סימון הוראות של
ה"תשע ,מראש -
2014
9
,()ד11
,()ה11
(ו)
מידע כהגדרתו
בסעיף7
לחוק
39
ז"תשי ,הנדסי ציוד רישום חוק -
1957
8א
מידע מאגר
כמשמעותו בחוק
הפרטיות הגנת
20
החוק שם
ההפניה סעיף
ההפניה תוכן
40
עם לאנשים זכויות שוויון חוק
מוגבלות, תשנ"ח -
1998
9
(ו)ד
מידע מאגר
כמשמעותו בחוק
הפרטיות הגנת
41
חוק שיווי זכויות האשה, תשי"א-
1951
6ג1)ב1
)(
4
(
לפי הודעה מסירת
סעיף11
הגנת לחוק
הפרטיות
6ג1)ב1
)(
6
(
מידע במאגר שימוש
פרק להוראות בניגוד
הגנת לחוק ד
הפרטיות
42
ז"תשע ,אזרחי שירות חוק -
2017
30
(ג)
אין בהוראות ה סעיף
סמכויות לעניין
לגרוע כדי הפיקוח
הגנת חוק מהוראות
הפרטיות
55
)
13
(
מידע מאגר
כמשמעותו בחוק
הפרטיות הגנת
43
ח ,[משולב נוסח] בטחון שירות וק
ו"תשמ -
1986
49
(ב)ד
המידע מאגרי רשם
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
49
,(ה)ב49
(ב)ו
מידע כהגדרתו
בסעיף7
לחוק
49
(ג)ו
לפי מידע מסירת
לחוק ד פרק הוראות
הפרטיות הגנת
44
ט"תשי ,התעסוקה שירות חוק -
1959
63
)(א)א2
(
מידע אבטחת
הגנת בחוק כהגדרתה
הפרטיות
45
,פיננסי מידע שירות חוק
ב"תשפ -
2021
1
מידע אבטחת
כהגדרתה בסעיף7
21
החוק שם
ההפניה סעיף
ההפניה תוכן
הפרטיות הגנת לחוק
31
(א)
אירוע אבטחה חמור
כמשמע ותו בהוראת
סעיף36
הגנת לחוק
הפרטיות
31
(א)
רשם כהגדרתו בסעיף
7
הגנת לחוק
הפרטיות
46
ע"תש ,ביציות תרומת חוק -
2010
32
,()ג35
(ב)
תעשה מידע העברת
חוק הוראות לפי
הפרטיות הגנת
40
שלא מידע העברת
ד פרק הוראות לפי
הפרטיות הגנת לחוק
47
'פקודת בריאות העם מס40
'לש
1940
29
(א)ג
מידע אבטחת
כהגדרתה בסעיף7
הפרטיות הגנת לחוק
48
נוסח] והיצוא היבוא פקודת
חדש[, תשל"ט -
1979
2
(ב)יד
הרשם כהגדרתו
בסעיף7
הגנת לחוק
הפרטיות
49
נוסח] הסטטיסטיקה פקודת
ב"תשל ,[חדש -
1972
18
)
3
(א)(
כהגדרתו מידע
בסעיף7
הגנת לחוק
הפרטיות
50
פקוד [ת התעבורה ]נוסח חדש
16
יב
לפי מידע שמירת
כדי בה אין הפקודה
חוק בהוראות לפגוע
הפרטיות הגנת
82
כהגדרתו מידע מאגר
בסעיף7
הגנת לחוק
הפרטיות
22
החוק שם
ההפניה סעיף
ההפניה תוכן
51
[חדש נוסח] הכנסה מס פקודת
141
(ב)א
כהגדרתו מידע מאגר
הפרטיות הגנת בחוק
141
(ג)א
הרשם כהגדרתו
בסעיף7
לחוק הג נת
הפרטיות
141
(יב)א
כהגדרתו מידע
בסעיף7
הגנת לחוק
הפרטיות
52
נוסח] הברזל מסילות פקודת
ב"תשל ,[חדש -
1972
46
)(לא)ד4
(
בפרטיות פגיעה
כמשמעותה בחוק
הפרטיות הגנת
53
פ נוסח] הרגל פשיטת קודת
ם"תש ,[חדש -
1980
17
(ג)
כמשמעותו ציבורי גוף
הפרטיות הגנת בחוק
54
,(חוק הבנקאות )שירות ללקוח
א"תשמ -
1981
7
(ג)ד
הסעיף בהוראות אין
בהוראות לפגוע כדי
הפרטיות הגנת חוק
55
תיקוני) הכלכלית ההתייעלות חוק
הכלכלית התכנית ליישום חקיקה
לשנים2009
ו -
2010(, תשס"ט -
2009
93
)()א10
(
כהגדרתו מידע
בסעיף7
הגנת לחוק
הפרטיות
56
חוק הנו ,(והשגחה טיפול) ער
ך"תש -
1960
24ג
להגנות הפנייה
שבסעיף18
לחוק
הפרטיות הגנת
57
המדינה במשק הסדרים חוק
ט"תשמ ,(חקיקה תיקוני)
-
1989
17ג1
)()א4
(
של הפרטיים ענייניו
כמשמעותם אדם
הפרטיות הגנת בחוק
58
שירותים על הפיקוח חוק
ומערכת שיווק ,ייעוץ) פיננסיים
סלי ה"תשס ,(פנסיוניים קה-
2005
31
)ב6
(
הרשם כהגדרתו
בסעיף7
הגנת לחוק
הפרטיות
23
החוק שם
ההפניה סעיף
ההפניה תוכן
59
המקומיות הרשויות חוק
ה"תשכ ,(בחירות)
-
1965
16
(ה)
הרשם כהגדרתו
בסעיף7
הגנת לחוק
הפרטיות
60
נגיף) כלכלי לסיוע התכנית חוק
הקורונה החדש–
מענק חד-
ותיקוני שעה הוראת) (פעמי
חקיקה(, תש"ף-
2020
10
(א)
מבלי מידע העברת
פרק בהוראות לגרוע
הגנת לחוק ד
הפרטיות
61
רצועת בדבר ההסכם יישום חוק
עזה ואזור יריחו )הסדרים
תיקוני) (שונות והוראות כלכליים
חקיקה(, תשנ"ה -
1994
53
תיקון עקיף לסעיף23
הפרטיות הגנת בחוק
62
ולצמצום התחרות להגברת חוק
הריכוזיות בשוק
הבנקאות
,(חקיקה תיקוני) בישראל
ז"תשע -
2017
11
(ג)
בהתאם הסכמה
הגנת חוק להוראות
הפרטיות
12
)()ה1
(
כהגדרתו מידע
בסעיף7
הגנת לחוק
הפרטיות
63
,העובדים של להשתתפותם חוק
תפקיד ובעלי המשרה נושאי
אחרים בשירות הציבורי,
בצעדים
לייצוב המצב הפיסקלי במדינה
במהלך
השנים2013
ו -
2014
()הוראת שעה,
ג"תשע -
2013
11
כהגדרתו מידע
בסעיף7
הגנת לחוק
הפרטיות
64
תעסוקה לעידוד מענק חוק
)הוראת שעה–
הקורונה נגיף
ף"תש ,(החדש -
2020
13
(א)
לפי מידע העברת
לחוק ד פרק הוראות
הפרטיות הגנת
65
השואה נספי של נכסים חוק
)השבה ליורשים והקדש ה
למטרות סיוע והנצחה(, תשס"ו-
2006
59
)()ח4
(
כהגדרתו מידע
בסעיף7
הגנת לחוק
הפרטיות
24
החוק שם
ההפניה סעיף
ההפניה תוכן
66
חוק סמכויות מיוחדות
הקורונה נגיף עם להתמודדות
ף"תש ,(שעה הוראת) החדש-
2020
22כה
"מחזיק"ו "מאגר בעל"
כמשמעותם בחוק
הפרטיות הגנת
22כו
בהתאם אבטחה
הגנת חוק להוראות
הפרטי ות
67
תקנות ההוצאה לפועל, תש"ם-
1979
6
(ג)
מידע אבטחת הוראות
הגנת חוק לפי
הפרטיות
80א
יחולו מידע מסירת על
הגנת חוק הוראות
הפרטיות
68
זיהוי אמצעי הכללת תקנות
ביומטריים זיהוי ונתוני ביומטריים
,במסמכי זיהוי ובמאגר מידע
תשע"א -
2011
1
)()ב2
(
הגדרת "גוף ציבו "רי
בסעיף23
לחוק
הפרטיות הגנת
12
אבטחת על ממונה
מידע לפי סעיף17
ב
הפרטיות הגנת לחוק
69
תקנות העיצובים, תשע"ט -
2019
83
(ג)
כהגדרתו מידע
בסעיף7
הגנת לחוק
הפרטיות
70
תקנות התעבורה, תשכ"א -
1961
585ב
המידע מאגרי רשם
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
71
ט"תשנ ,המידע חופש תקנות-
1999
6
)
12
(
הרשום מידע מאגר
הגנת חוק לפי
הפרטיות
72
וקידום שילוב של לעידוד קנות
התאמת ושל בעבודה נשים של
מקומות עבודה לנשים, תשע"ד-
8
,()ב14
(ב)
כהגדרתו מידע
בסעיף7
הגנת לחוק
25
החוק שם
ההפניה סעיף
ההפניה תוכן
2013
הפרטיות
14
(ב)
מידע אבטחת
לפי סודיות ושמירת
סעיפים16
ו -
17
הפרטיות הגנת לחוק
73
מסירת ,האוכלוסין מרשם תקנות
מכוח הפועל לגוף רישום פרטי
חיקוק(, תשס"ט -
2009
1
"מידע מאגר מנהל"
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
74
,אשראי נתוני שירות תקנות
תשס"ד -
2004
64
)
5
(
רישום על אישור
המידע מאגרי בפנקס
הגנת חוק לפי
הפרטיות
75
ממלכתי בריאות ביטוח תקנות
)הגשת דוח(, תשע"ג -
2013
4
)
2
(
לאחר מידע העברת
רשם עם היוועצות
שמונה המידע מאגרי
הגנת חוק לפי
הפרטיות
76
ממלכתי בריאות ביטוח תקנות
,(מידע ומסירת איכות מדדי)
תשע"ב -
2012
3
(ב)
לאחר מידע העברת
רשם עם היוועצות
שמונה המידע מאגרי
לפי הגנת חוק
הפרטיות
77
ממלכתי בריאות ביטוח תקנות
ביטוח דמי מתשלום פטור)
בריאות לתורם איבר(, תשע"ב-
2012
3
(ב)
לפי מידע העברת
לחוק ד פרק הוראות
הפרטיות הגנת
78
תקנות ביטוח רכב מנועי )הקמה
וניהול של מאגרי מידע(, תשס"ד-
2004
7
)
5
(
מידע מאגר רישום
הגנת חוק לפי
הפרטיות
3
)()א3
,(
4
)()א2
(
כהגדרתו מידע
בסעיף7
הגנת לחוק
הפרטיות
26
החוק שם
ההפניה סעיף
ההפניה תוכן
9
(ב)
ביטחון רשות
כהגדרתה בסעיף19
הפרטיות הגנת לחוק
79
בחומר עיון) הארכיונים תקנות
ארכיוני המופקד בגנזך(, תש"ע-
2010
8
)()ב2
,(
9
(ד)
בפרטיות פגיעה
כמשמעותה בחוק
הפרטיות הגנת
80
תקנות הגשת) הלאומי הביטוח
,(תשלומה ואופן לגמלה תביעה
תשנ"ח -
1998
5
(ג)
"מידע מאגר"
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
81
מפני הציבור על הגנה תקנות
ביצוע עבירות מין )תנאי קבלה
ותקן מטופלים של ושהייה
עובדים במרכז מורשה(, תשע"ד-
2014
8
(ד)
מידע ואבטחת ניהול
לפי חוק ה גנת
הפרטיות
82
אבטחת) הפרטיות הגנת תקנות
ז"תשע ,(מידע -
2017
1
"אבטחה על ממונה"
כמשמעותו בסעיף
17
הגנת לחוק ב
הפרטיות
ראשונה תוספת
ותוספת שנייה
"ציבורי גוף"
כמשמעותו בסעיף23
הפרטיות הגנת לחוק
83
תקנות הגנת הפרטיות )תנאי
וסדרי ושמירתו מידע החזקת
העברת גופים בין מידע
ו"תשמ ,(ציבוריים -
1986
1
,"מידע אבטחת"
,"מידע מאגר"
,"רשם" ,"מידע"
"מידע שלמות"
כהגדרתם בסעיף7
הפרטיות הגנת לחוק
1
כהגדרתו "ציבורי גוף"
בסעיף23
לחוק
הפרטיות הגנת
1
"עודף מידע"
כהגדרתו בסעיף23
ה
27
החוק שם
ההפניה סעיף
ההפניה תוכן
הפרטיות הגנת לחוק
1
אבטחת ממונה"
מידע " לפי סעיף17
ב
הפרטיות הגנת לחוק
1
כמשמעותו "פנקס"
בסעיף12
לחוק
הפרטיות הגנת
1
כהגדרתו "שימוש"
בסעיף3
הגנת לחוק
הפרטיות
84
תנאים) הפרטיות הגנת תקנות
בערעור הדין וסדרי במידע לעיון
על סירוב לבקשת עיון(, תשמ"א-
1981
שנייה תוספת
כהגדרתו מידע
בסעיף7
לח הגנת וק
הפרטיות
85
ואימות עדכון) המפלגות קנות
פרטים מזהים של חברי מפלגה
בבחירות האוכלוסין ממרשם
מקדימות(, תשע"ה -
2014
1
המידע מאגרי רשם
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
86
,קנסות לגביית המרכז תקנות
מידע קבלת) והוצאות אגרות
ג"תשס ,(מס רשות מאת -
2003
4
)
(א
חוק לפי מידע העברת
הפרטיות הגנת
87
ותקנת הפלילי המרשם תקנות
לחוקר מידע מסירת) השבים
מדעי(, תשמ"ו -
1986
10
סודיות חובת הפרת
כמשמעותה בחוק
הפרטיות הגנת
88
משיטי) (ימאים) הספנות תקנות
ח"תשנ ,(קטנים שיט כלי -
1998
15
(א)ד
כהגדרתו מידע מאגר
בחוק הגנת הפרטי ות
89
מרשם מתן) הרוקחים תקנות
,(בידי רוקח בעל הרשאה אישית
תשע"ד -
2014
1
רשם כהגדרתו בסעיף
7
הגנת לחוק
הפרטיות
28
החוק שם
ההפניה סעיף
ההפניה תוכן
90
,(תכשירים) הרוקחים תקנות
ו"תשמ -
1986
26
יב
לפי בפרטיות פגיעה
הגנת חוק הוראות
הפרטיות
91
הפעלת) התעבורה תקנות
מקומית רשות בידי מצלמות
תי לשם כדין שלא שימוש עוד
,(ציבורית תחבורה בנתיב
ז"תשע -
2016
11
(א)
רשם כהגדרתו בסעיף
7
הגנת לחוק
הפרטיות
92
כללים) התקציב יסודות תקנות
,(בריאות תאגיד לפעולת
תשס"ב -
2002
14
(ב)
כהגדרתו מידע
בסעיף7
הגנת לחוק
הפרטיות
93
רישיון) היריה כלי תקנות
ממוחשב(, תשס"ט -
2008
2
מידע אבטחת
חוק להוראות בהתאם
הפרטיות הגנת
94
ת שיעור להגדלת קנות
העבודה בכוח ההשתתפות
מענק) חברתיים פערים ולצמצום
מהמוסד מידע העברת) (עבודה
לביטוח לאומי(, תשס"ח -
2008
1
(ד)א
"מידע מאגר"
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
95
תקנות מידע גנטי )עריכת בד יקה
תיעוד ,משפחה לקשרי גנטית
ושמירת תוצאותיה(, תש"ע-
2010
1
)
1
(
"מידע מאגר"
הגנת בחוק כהגדרתו
הפרטיות
96
ישראל מקרקעי מינהל תקנות
ד"תשס ,(אגרות)
-
2004
1
"ציבורי גוף"
כמשמעותו בחוק
הפרטיות הגנת
97
ישראל מקרקעי מינהל תקנות
ד"תשס ,(המידע מאגר)
-
2004
1
"מנהל
"מאגר
כהגדרתו בסעיף7
הפרטיות הגנת לחוק
98
תקנות מסילות הברזל )דרישה
לנוסע מוגדל חיוב לתשלום
ברכבת מקומית(, תשע"א -
2011
5
(א)
בהתאם מרשם ניהול
הגנת חוק לדרישות
הפרטיות
29
החוק שם
ההפניה סעיף
ההפניה תוכן
99
תקופת) האוכלוסין מרשם תקנות
תעודות של תוקפן ופקיעת תוקפן
ב"תשע ,(זהות -
2012
1
"ג כהגדרתו "ציבורי וף
בסעיף23
לחוק
הפרטיות הגנת
100
עם לאנשים זכויות שוויון תקנות
מוגבלות )מסירת מידע ועיבודו
,(הייצוג ביעד עמידה לצורך
ח"תשע -
2017
1
"מאגר מידע", "מנהל
כהגדרתם "מאדר
בסעיף7
הגנת לחוק
הפרטיות
101
כ (ללי הבחירות )דרכי תעמולה
)שידורי תעמולה אזורי ברדיו
,(המקומיות לרשויות בבחירות
תשנ"ח -
1998
2
איסור שידור תשדיר
או עבירה בו שיש
הגנת חוק לפי עוולה
הפרטיות
102
עיון) לכנסת הבחירות כללי
ח"תשע ,(בחירות בחומר -
2018
6
(ב)
לפי בפרטיות פגיעה
סעיף2
)
9
(
8
בפרטיות פגיעה
כמשמעותה בחוק
הפרטיות הגנת
103
כמות קביעת) המים כללי
מוכרת(, תשע"ו -
2016
1
כהגדרתו "ציבורי גוף"
בסעיף23
לחוק
הפרטיות הגנת
17
נובמבר2021
לכבוד
ד"ר אביחי מנדלבליט, היועץ המשפטי לממשלה
(עו"ד איל זנדברג, ראש תחום, מחלקת יעוץ וחקיקה )ציבורי חוקתי
המשפטים משרד
רחוב סלאח אל דין29
ירושלים
:הנדון 'טיוטת הצעת חוק הגנת הפרטיות )תיקון מס14
(, התשפ"א–
2021
שאושרה בוועדת
ביום השרים7
בנובמבר2021
א .
הקדמה
בתאריך04.11.21
פורסם סדר יום לישיבת ועדת השרים לענייני חקיקה שתוכננה להתקיים ביום
,ראשון07.11.21
'. סדר היום כלל את טיוטת חוק הגנת הפרטיות )תיקון מס14
(, התשפ"א2021
" :)להלן תיקון14"( שהוגשה ע"י שר המשפטים. וועדת השרים אישרה את תיקון
14
.
תיקון14
'מבוסס ברובו על טיוטת חוק הגנת הפרטיות )תיקון מס13
ף"התש ,(אכיפה סמכויות) (
–
2020
" :)להלן תיקון13
"(, שהוגשה בתאריך29.07.20
שר י"ע חקיקה לענייני השרים לוועדת
המשפטים. תיקון13
מבוסס ברובו על הצעת חוק שפורסמה לראשונה בשנת2011
)ה"ח–
הממשלה ,
627
, מיום16
בנובמבר2011
( ובשנית בתחילת שנת2018
)ה"ח–
,הממשלה
1206
, מיום27
בפברואר2018
( '(. כן הוא מבוסס על תזכיר חוק הגנת הפרטיות )תיקון מס
)הגדרות וצמצום חובת הרישום(, התש"ף-
2020
" :להלן)תזכיר הרישום משרד שפרסם ("
המשפטים ביום23.07.21. תזכיר הרי (... 'שום ברובו על תזכיר חוק הגנת הפרטיות )תיקון מס
,(במסמכים ולתיעודם עבודה וכללי ניהול סדרי לקיום חובה וקביעת הרישום חובת צמצום)
התשע"ב–
2012
.
נקדים ונאמר: עצם פרסום תיקון14
הוא צעד חשוב והכרחי. חוק הגנת הפרטיות, התשמ"א–
1981
)להלן: "החוק העיקרי"( בנ וסחו כיום מיושן ואינו תואם את המציאות של ימינו
החוק תיקון ,כך משום .אינטנסיבי ובאופן גדולים בהיקפים אישי מידע באיסוף המאופיינת
.נדרש בהקדם האפשרי וכל פעולה הננקטת לשם כך מבורכת
ואולם, הבשורה הגדולה שבתזכיר ובתיקון14
אינה בשינויים המוצעים בהם. אלו הוצגו ב עיקרם
כבר בשנים2011
ו2012
ולצערנו .מרחיבה עומק עבודת משקפים אינם הנוספים התיקונים
החידוש הגדול הוא דווקא בהודעת משרד המשפטים שתזכיר שלישי הכולל תיקונים לבסיסים
להתפרסם ואמור בקנה נמצא המידע נושא זכויות ולאגד אישי מידע לעיבוד המותרים המשפטיים
.בהמשך השנה נציין שבשורה זו הוצגה עוד בתיקון13
שהוצג בוועדת השרים בסוף יולי2020
,
,ומאז אנו ממתינים לאותו תזכיר מדובר. לפיכך
תיקון14
משקפים מדיניות לתיקון ושיפור הגנת
הזכות לפרטיות במדינת ישראל באמצעות טלאים הנשענים זה על זה וחלוף הזמן בין קבלתו
הא של להצגתו האחד של .חר
בעל סחיר לנכס האישי המידע הפיכת לנוכח לפרטיות הזכות של הגוברת חשיבותה ,לדעתנו
,"החדש הנפט" אפילו המכונה ,רב ערך1
מחייבת לשנות מן היסוד את חוק הגנת הפרטיות
בישראל במהלך מרכזי, מהיר ויחיד. אי -
אפשר לספק הגנה ברמה נאותה לזכות היסוד לפרטיות
באמצעות תיקוני המותאם מיושן חוק על נשענים ואשר טלאי על טלאי בשיטת חקיקה
.למציאות בדרך של פרשנות יצירתית
לצד עמדתנו זו נפרט להלן את הערותינו המהותיות על תיקון14
ונדגיש את הקשיים הפרשניים
.הנובעים מעבודת הטלאים ואת החוסרים המשמעותיים הקיימים בו
ב .
הערות מהותיות בנוגע לתיקון
14
)
1
(
ההגדרות שינוי
)א ( "
מחזיק ": התיקון המוצע בסעיף2 )
1
( לתיקון14
להגדרת המונח "מחזיק" בסעיף3
השימוש על לחול צריכות החוק שהוראות ההבנה את ומשקף ביותר חשוב העיקרי בחוק
ועלולה מסורבלת המוצעת ההגדרה לדעתנו ,זאת עם .איגומו לאופן קשר ללא במידע
להוביל לקושי פרשני ב השליטה לבעל שירות למתן ההתקשרות מסגרת מהי שאלה
את לפשט יש ,לדעתנו ,לפיכך ."מחזיק" להגדרת הנחוצה מטעמו או המידע במאגר
ההגדרה ולקבוע כי "מחזיק" הוא "אדם המורשה על ידי בעל מאגר המידע לפעול מטעמו
סעיף את אף תואמת זו הגדרה ."אישי במידע ובשימוש בעיבוד4)א( ל -
GDPR
.
)ב (
"
שימוש ": ההרחבה המוצעת בסעיף2 )
2
( לתיקון14
למונח "שימוש" שבסעיף3
לחוק
לצד הוספת המונח "עיבוד" כמוצע בסעיף3
)
4
( לתיקון14
.וחיוניים חשובים תיקונים הן
את להוסיף עדיף מיותרות פרשניות ושאלות כפילויות למנוע מנת ועל לטעמנו ,זאת עם
פעולת האיסוף להגדרת "שימו הבחנה גם ועמו נוסף מונח מהגדרת ולהימנע "ש
נוצרה עתה כבר ."שימוש"ו "עיבוד" המונחים בין ברורות אינן לה וההצדקות שגבולותיה
שאלה פרשנית -
לפי התיקון המוצע בסעיף12
לתיקון14
,
הוספת סעיף23
)(י)א4
(
לחוק העיקרי– למפקח הסמכות להיכנס למקום שיש לו יסוד סביר להניח ש בו נעשה
שימוש במאגר מידע. לפי ההגדרות המוצעות בתיקון14
להיכנס סמכות למפקח אין ,
הגדרת תחת לא אך "עיבוד" הגדרת תחת הנכלל ,מידע איסוף רק נעשה בו למקום
"שימוש". יש לציין שגם סעיף4
)
2( ל -
GDPR
מצויות בתזכיר המוצעות שההגדרות
בהלימה עמו, כפי שמצויין בדברי ההסבר לת
זכיר,
את המאגד אחד במונח שימוש עושה
מכלול הפעולות שניתן לעשות במידע אישי– "
processing
."
)ג(
"בעל שליטה במאגר מידע "": ההגדרה המוצעת למונח "בעל שליטה במאגר מידע
בסעיף3
)
2
( לתיקון14
במאגר שליטה שבעל להוסיף יש .חסרה לטעמנו אך ,חשובה
המידע הוא מי שקובע לא רק את מ או האמצעים את גם אלא המידע עיבוד טרות
סעיף עם ההלימה את גם תגביר זו תוספת .כן לעשות הדרכים4
)
7( ל -
GDPR
.
מנהל" בהגדרת הצורך את לייתר עשויה "מידע במאגר שליטה בעל" שהגדרת נציין עוד
מאגר מידע" שבסעיף7
עשויה אף "מידע מאגר מנהל" המונח הותרת .העיקרי לחוק
1
(May 6,
CONOMIST
E
HE
T
,
The World’s Most Valuable Resource is no longer Oil, but Data
2017)
.
ליצור כפילויות וקשיים פרשניים. אולם, מאחר ותיקון14
יראו כיצד ברור ולא חלקי הינו
תהליך של בסופו ומחזיק מידע במאגר שליטה בעל וחובות המידע נושאי זכויות
בכלל האם כרגע ברור לא המשפטים משרד ידי על המוצעת הטלאים בשיטת התיקונים
.יש צורך בהבחנה בין שני המונחים
)ד(
"מאגר מי
דע עוד צורך אין ולפיכך הרישום חובת את לחלוטין לבטל יש לטעמנו :"
בהגדרת המונח "מאגר מידע" המופיע בסעיף7
לחוק העקרי והשינוי המוצע לו בסעיף
)
3
)(
3
( לתיקון14
.
)ה ( "מידע :"
אנו מברכות על השינוי המוצע בסעיף3 )
3
"מידע" המונח להגדרת לתזכיר (
בסעיף7
לחוק העיקרי, המשקף הטכנולוגיות והיכולות העתק נתוני שבעידן ההבנה את
אלא החוק מתחולת להוציאו כדי המידע בהתממת די אין נתונים להצלבת המתקדמות
.יש לאמץ מבחן סבירות הזיהוי
)ו (
"
מיוחדת רגישות בעל מידע "מיוחדת רגישות בעל מידע" למונח המוצעת ההגדרה :"
בסעיף3 )
3
המונח להגדרת כחלופה לתזכיר (
"מידע רגיש" בסעיף7
היא העיקרי לחוק
ונתוני תעבורה נתוני"ל ההתייחסות את לתקן יש לטעמנו ,זאת עם .וחשובה מקיפה
מיקום" ולהוסיף שמדובר בנתונים "שיש בהם כדי ללמד על אחד מסוגי המידע המנויים
בנתוני אין שכשלעצמם משום זאת ."מיוחדת רגישות בעל מידע" הגדרת תחת
התעבורה
,הכלכלי מצבו על למשל ללמד כדי בהם יש כן אם אלא רגיש מידע להוות כדי
.אדם של הנפשי או הבריאותי ,האישי2
)
2
( חובת הרישום
בסעיף4
לתיקון14
מוצע לתקן את סעיף8
לחוק העיקרי ולצמצם את חובת הרישום הקבועה בו
כיום כך שזו תחול רק על מאגרי מידע המכילים מידע על100,000
נ ושאי מידע ומעלה ושמתקיים
) :בהם בנוסף אחד מהתנאים הבאים1
( המאגר מכיל מידע שלא נמסר על ידי או בהסכמת נושאי
) ;המידע2
) ;( המאגר הוא של גוף ציבורי3
( המטרה העיקרית של המאגר היא איסוף מידע לצורך
מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר; או על מאגרי מידע המכילים מידע בעל
על מיוחדת רגישות500,000
.ויותר מידע נושאי
לפי דברי ההסבר לתיקון14
לאורך שהתעוררו הספקות בעקבות נעשה הרישום חובת צמצום
השנים באשר לאפקטיביות של דרישת הרישום והרלבנטיות שלה למציאות הטכנולוגית והיקף
הנרחב של מאגרי המידע של ימינו וכן על בסי ס ההבנה שהיא אינה מהווה כלי אכיפה משמעותי
2
,כך, למשל
בתחקיר שנערך
לפני מספר שנים על ידי עיתונאי הניו יורק טיימס, למשל, נמצא שעל ידי
מעקב על נתוני מיקום מותממים ניתן לז הות את נושא המידע ואף לגלות עליו פרטי מידע אישיים כגון הרגלי
הבילוי והפנאי שלו, ביקור בקל י
ניקות לקבלת טיפול רפואי או במפגשי אלכוהוליסטי
ם
.אנונימיים
:ראו
Stuart A. Thompson & Charlie Warzel, Twelve Million Phones, One Dataset, Zero Privacy,
The NYTimes (Dec. 19, 2019)
.
בידי הרשם. למסקנות אלו הגיע כבר וועדת שופמן בשנת2007
3
והיא יושמה כאמור בשנת2012
.בנושא המשפטים משרד שהגיש בתזכיר4
מקורה של חובת הרישום, שבעבר היתה נהוגה גם במדינות האיחוד האירופי, היה למנוע קיומם
של מאגרי מידע ס את להבטיח כדי הרישום בחובת שאין ההבנה חלחלה השנים עם אולם .ודיים
.מעורבותם של נושאי המידע ומודעותם לזכויותיהם בכל הקשור למידע האישי עליהם5
המשפטים משרד ,מתה לאות בימנו הפכה הרישום שחובת והעובדה השנים חלוף אף על ואולם
לא מציע לבטלה כליל אלא רק לצמצמה. זאת להגנת ברשות המקצועיים הגורמים שלגישת משום
הגדול הסיכון את המהווים מידע למאגרי ביחס הרישום חובת של בשימורה חשיבות יש הפרטיות
:מוטעית בגישה מדובר כי סבורים אנו .לפרטיות ביותר
א.
האחרונות בשנים .צמצומה על עדיף וביטולה ארכאית חובה היא הרישום חובת לדעתנו
התפתחה פר הרישום חובת הותרת ואולם "תיאורטית" היא הרישום חובת לפיה קטיקה
.השולחן מרכז אל בה לטפל הצורך את תשיב הזאת בדרך
ב.
קביעת אמת המידה של100,00
נושאי מידע או500,000
בעל במידע מדובר כאשר
הרישום חובת לפיו והנימוק ,הרישום חובת של לתחולתה סף כדרישת מיוחדת רגישות
מוח לא ,לפרטיות ביותר הגדול הסיכון את המהווים המידע מאגרי על רק זה באופן לת
מידע או מיוחדת רגישות בעל מידע ,למשל ,המכיל מידע מאגר ,לטעמנו .לנו ברורה
שנאסף ללא הסכמת נושא המידע מהווה פגיעה חמורה בפרטיות שיש לנקוט פיקוח
ואכיפה מחמירים נגדה אף אם מדובר במאגר המכי של יותר נמוך מספר על מידע ל
כבר אם .סבירה בלתי לנו נראית המספרית החלוקה עצם כי נציין עוד .המידע נושאי
היינו מצפות שמאגר מידע המכיל מידע בעל רגישות מיוחדת י
י מספרי סף לתנאי דרש
.מיוחדת רגישות בעל מידע כולל שאינו מידע מאגר של מזה יותר נמוך
סעי הוספת כי נוסיף ף8)ג1
( לחוק הקיים, כמוצע בסעיף4
)
5
( לתיקון14
,
בעל המחייב
אודות על מיוחדות רגישות בעל מידע כולל אך ברישום חייב שאינו מידע במאגר שליטה
100,000
עד500,000
חלופה כמעין ומענו זהותו על פרטים לממונה למסור אנשים
לדרישת הרישום נראית בעיננו תמוה ומעין חצי חובת רישו .מעשית נפקות לה שאין ם
ג.
שתיקוני משום וזאת בלבד עין למראית מהלך להיות עשוי הרישום חובת צמצום
.ההגדרות מרחיבים במקביל את החובה
ד.
בסעיף7
לתיקון14
ההסבר דברי לפי .המידע מאגר לרישום הזמנים סד את לבטל מוצע
אשר בחוק היום הקבועה המחדל ברירת היפוך היא הביטול מטרת
ניהול על אוסרת
חובת של בטלותה בדבר התפיסה את מחזק הזמנים סד ביטול ,אולם .לרישומו עד מאגר
הרישום. זאת משום שהמחוקק בעצמו אינו טורח כלל לחייב את הממונה לעבוד ביעילות
3
הצוות לבחינת החקיקה בתחום מאגרי המידע, דין וחשבון )ינואר2007
'(, עמ24
" :]להלן
ועדת שופמן ["
4
תזכיר חוק הגנת הפרטיות )לצמצום חובת הרישום וקביעת חובה לקיום סדרי ניהול וכללי עבודה
ולתיעודם במסמכים(, התשע"ב -
2012
.
5
Big Data for All: Privacy and User Control in the Age of
y,
Omer Tene & Jules Polonetsk
Analytics, 11 NW. J. TECH & INTELL. PROP. 240, 267 (2013)
.
את לשלח נדרש האחרון זה .מידע מאגר ברישום שנדרש מי כלפי אחריותיות ולגלות
בקשתו על פני המים מ אחר לעקוב עליו וכיצד לתשובה לצפות עליו מתי כלל לדעת בלי
אישורה או הבקשה הגשת המידע במאגר השליטה בעל מבחינת ,בפועל אולם .אישורה
אושרה בטרם עוד המידע מאגר את ולנהל להמשיך לו מתיר המחוקק שכן ,רלוונטי אינו
.לרישום בקשתו
ה.
מסקירת משפט משווה ב -
56
מדינות עולה כי
ב -
31
חלקן .כלל רישום חובת אין מהן
ביטלו את חובת הרישום עם התאמת חקיקת הפרטיות במדינה ל -
GDPR
.
4
מדינות
,מטילות חובת רישום או יידוע על בעלי שליטה או מעבדים של מאגרי מידע ציבוריים 5
,הפרטיות להגנת לרשות בארגון הפרטיות הגנת קצין פרטי בהעברת מחייבות מדינות6 ו -
5
מ שסקר במקרה הפרטיות להגנת הרשות יידוע או היוועצות מחייבות נוספות דינות
מידע או רגיש מידע בעיבוד מדובר כאשר או בפרטיות לפגיעה חשש מעורר סיכונים
.הדרוש לצרכיי אכיפה7
שליטה בעל על הוטלה ובמקומה הרישום חובת בוטלה באנגליה
במידע חובת תשלום שנתי קבוע לרשות להגנת ה
פרטיות .
8
שנכנס הפרטיות הגנת חוק
לתוקפו בינואר2020
) מידע סוחרי מחייב ב"שבארה קליפורניה במדינתData Brokers
(
) ברישום ובתשלום מס מידי שנה אצל התובע הכלליAttorney General(. סוחרי מידע
להם שאין מידע נושאי לקוחות על אישי מידע במודע שאוספים כעסקים בחוק מוגדרים
.שלישיים לצדדים אותו ומוכרים ,ישירה יחסים מערכת איתם9
לחובת מקום אין וכן גורפת רישום לחובת מקום עוד שאין הינה המתבקשת המסקנה
רישום המבוססת על מספר נושאי המידע. בחלק מהמדינות שהתירו מ
י של מסוים מד
חובת רישום ההתמקדות אינה בחובת
רישום פורמלית אלא בהבטחה שמתקי ימים
באחרות .פרטיות הגנת קצין מינוי דרישת באמצעות למשל ,הפרטיות להגנת התנאים
לזכות הנשקפת הסכנה מידת ,(רגיש מידע למשל) המידע סוג הם הרלוונטיים המדדים
מידע לסוחרי ההתייחסות ,למשל) במידע השליטה בעל ואופי מעיבודו כתוצאה לפרטיות
.(בקליפורניה
,לטעמנו
בעולם דיגי
טלי שבו מידע אישי נאגם
ונשמר כעניין שבשגרה, יש לעגן בחוק
להגנת יותר ומדויק מקיף מענה שייתן אישי במידע הפרטיות להגנת חלופי כלים מערך
פרטיות מאשר חובת רישום מאגרי מידע שהיא בעיקרה נטל רגולטורי מיותר. באיחוד
האירופי, לדוגמא, בחרו לדרוש יידוע של הרשות להגנת הפ זהותו בדבר האחראית רטיות
6
) בהתאם לסעיף7
(
37
ל-
GDPR
.
7 בהת אם לסעיף36
ל -
GDPR
.
8
The Data Protection (Charges and Information) Regulation 2018. עם זאת, ארגונים
שנרשמו
קודם לכן לפי חובת הרישום שהיתה נהוגה לפי הData Protection Act 1998
אינם חייבים בתשלום. כמו
.כן הוחרגו מחובת התשלום מעבדי מידע על חברי הפרלמנטThe Data Protection Regulation
(Charges and Information) (Amendment) Regulations 2019
.
9
l Code §1798.99.82
California Civi
.
California Consumer Privacy Act, Assembly Bill No. 1202
(Sep. 13, 2019)
.
בכל אותה שמייצג כמי בחברה הפרטיות הגנת על הממונה עם הקשר יצירת ודרכי
הקשור לאכיפת הוראות ה תקנות ההגנה על מידע האירופאיות )ה– "
GDPR
.("
10
פירוט סקירת המשפט המשווה מוצג .הדעת לחוות 'א בנספח
)
3
(
ביטול עיקרון צמידות המטרה והחלופה המוצעת
לו
בתיקון13
בסעיף4
)
3
( לתיקון14
מוצע לבטל את סעיף8
צמידות עיקרון את המעגן העיקרי לחוק (ב)
המטרה לצד סעיף2 )
9
של בהיותו תלוי אינו המטרה צמידות שעיקרון בנימוק זאת .העיקרי לחוק (
מאגר מידע כפוף לחובת רישום ובכל מקרה עיקרון צמידות המטרה מורחב מוצע בתיקון13
.
אר שית, שוב שיטת התיקון בטלאים עלולה ליצור מצב בו סעיף8
אולם יבוטל העיקרי לחוק (ב)
,תיקון נוסף לדין המהותי טרם יכנס לתוקפו. בנוסף סעיף10
ב
המוצע ב סעיף8
לתיקון14
,
מגביל
את השימוש במידע אך ורק למטרה לשמה נמסר, ואינו מאמץ מבחנים ל"מטרה דומה" בדומה
לקבוע בסעיף6
)
4( ל -
GDPR
.
לדעתנו, הסתפקות בדרישה שהשימוש והעיבוד במידע יעשה אך ורק למטרה לשמה נאסף או
על .המידע לנושא ברור ובלתי כוללני ,רחב באופן הראשונית המטרה הגדרת להמשך יובילו נמסר
כך הפרטיות הגנת חוק את לתקן יש לפרטיות הזכות על בהגנה אמיתי לשינוי להביא מנת
שהגדרת
טמ רת השימוש והעיבוד הראשונית תהיה ברורה ומדויקת ולא תתאפשר הגדרה
יכולתם לחוסר בנוגע מידע מאגר בעלי של לחששות מענה לתת מנת על ,אולם .ורחבה כוללנית
יש ,מראש ידם על שנאסף במידע לעשות יהיה שניתן השימושים מכלול את מראש לצפות
לאפשר שימוש ועיבוד מידע אישי גם למטר
ה
דומה בהתאם לסט מבחנים ברורים. כך, שימוש
יתאפשר לא הראשונית למטרה דומות ואינן המידע איסוף בעת לצפותן היה ניתן שלא למטרות
אחר מותר משפטי בסיס על או המידע מנושא נוספת הסכמה יקבל המידע מאגר בעל אם אלא
לשימוש ולעיבוד מידע, במידה שיוגדרו כאלה בתיקון המהותי העת
יד .י
)
4
(
חוקי בניהול חיוב
בסעיף5
לתיקון14
מוצע להוסיף את סעיף8
א לחוק העיקרי האוסר על אדם לנהל או להחזיק
כל להוראות" או העיקרי לחוק בניגוד "נאסף או נצבר ,נתקבל ,נוצר" שבו המידע אם מידע מאגר
דין המסדיר עיבוד מידע". לפי דברי ההסבר האיסור המוצע אמור להוות בסיס
למנגנון האכיפה
החלופית המבוססת על עיצומים כספיים המוצעת בתיקון13
.
,אולם .לפרטיות הזכות על ההגנה להגברת חיובי צעד ומהווה חשוב הוא המוצע האיסור פניו על
הגדרת הותרת ,למשל .מעטות לא פרשניות סוגיות בסעיף טמונות הנוכחי שבניסוחו נראה
"מנהל מאגר מידע" בסעיף7 וחל ק העיקרי וההגדרה המוצעת ל"בעל שליטה מאגר מידע" בסעיף
3
)
2
( לתיקון14
עלולות להוביל למצב שבו בעל שליטה במאגר מידע אינו כפוף להוראות סעיף זה
אלא אם כן הוא הוסמך בחיקוק לנהל את מאגר המידע. זאת משום שלכאורה פעולת הניהול
ייחודית ל"מנהל מאגר מידע" ואילו פעולת ה
חה זקה ייחודית ל"מחזיק". פרשנות שכזו היא
.פרשנות בעייתית ועלולה לרוקן את החיוב בניהול חוקי מתוכן מעשי ואמיתי
10
סעיף37
)
7
( ל–
GDPR
.
פעולת העיקרי לחוק כיום המבוקשים התיקונים ובהינתן זה סעיף לפי האם ברור לא ,בנוסף
הפצה, גילוי, או ארגון בניגוד להוראות החוק מותרות אם המידע במאגר "נו
רצ , נתקבל, נצבר או
נאסף" בהתאם להוראות החוק. כלומר ייחוד האיסור רק לפעולות שתכליתן איסוף המידע
.מאפשר לכאורה להמשיך להחזיק מאגר מידע אף אם נעשה בו שימוש שאינו בגדר החוק
על מנת להימנע מסוגיות פרשניות אלו לחזק את ההגנה על הזכות לפרטיות וליצור בסיסים
לאכיפה
לח ופית עדיף לדעתנו לתקן את סעיף1
אדם של בפרטיותו שפגיעה ולקבוע העיקרי לחוק
יכולה להיעשות רק לפי הוראות חוק הגנת הפרטיות. בדרך זו גם יתקבל תיקון מהותי משמעותי
.שיביא להפסקת ההישענות על הסכמתו של אדם כמכשירה מלאה ויחידה של פגיעה בפרטיות
שינוי זה אף יהיה בהל
ימ
ה עם ה -
GDPR
.
)
5
(
המידע לאבטחת אחריות
בסעיף9
לתיקון14
מוצע להוסיף את סעיף17
)ב( לחוק העיקרי אשר יסמיך את השר לקבוע
דרכי לעניין בה הכלולות והחובות היקפה זה ובכלל ... המידע לאבטחת האחריות לעניין הוראות"
אבטחת המידע כאמור...". לפי דבר
י ההסבר הוראה זו באה בנוסף
לסעיף36
לחוק העיקרי
המסמיך את השר לקבוע תקנות בכל עניין הנוגע בביצועו של החוק העיקרי ובכלל זה תנאי
החזקת המידע ושמירתו ואשר מכוחו הותקנו תקנו הגנת הפרטיות )אבטחת מידע(, תשע"ז–
2017
. לטעמנו, נוכח סעיף36
לחוק הקיים, התוספת המוצעת בתזכיר14
מיותרת ונראה כ י
מטרתה רק להכפיף את קביעת התקנות לעניין אבטחת מידע לאישור ראש הממשלה, ובפועל
אחיות הן סייבר והגנת הפרטיות הגנת .ההסבר בדברי מוסבר שאף כפי הסייבר מערך לאישור
הרשות בין הכוחות יחסי כך משום .רעותה הבטחת ללא האחת את להבטיח ניתן לא .תאומות
להגנת הפרטיות לבין מ
רע ך הסייבר צריכים להיות מוסדרים במפורש בחוק ולא בדרך עקיפה
המכפיפה בפועל את השר האחראי להגנת הפרטיות לראש מערך הסייבר. הכפפה זו רק תוביל
.לאי התקנת תקנות הנדרשות במועדן יש לעגן בחוק את הקביעה לפיה נוהל הפיקוח ביחס לגופי
ביטחון
צריך להיקבע
בהסכמה בין הרשות
מל .ערך
)
6
(
נלוות עבירות חקירת
תיקון13
הסמכות את ידו על שהוסמך בכיר למפקח או הפרטיות להגנת הרשות לראש העניק
לעסוק גם בעבירות נלוות. הכוונה היא לעבירות המתגלות אגב החקירה בעבירה העיקרית לפי
חוק הגנת הפרטיות ואשר גופי החקירה האחרים לא יפתחו בדרך כלל בחקירה נפרד ת
בגינן
בחקירת גם לעסוק הפרטיות להגנת מהרשות מפקח הסמכת .לציבור עניין או זמן חוסר מפאת
סעיף כך .ההרתעה את ומגבירה מקיפה אכיפה מאפשרת הנלוות העבירות23
יג)א( ו–
)ג( לתיקון
13
אפשרו להפעיל את סמכויות האכיפה והעיכוב גם ביחס לעבירות לפי סעיפים242
,
244
,
245
,
246
ו249
לחוק העונשין, התשל"ז–
1977
.
סעיף23
טו המוצע בתיקון14
נלוות לעבירות ביחס גם אכיפה לסמכויות זו הרשאה כולל אינו
.ובכך פוגם בהשגת חקירה מלאה והרתעה גבוהה יותר
)
7
(
הכספי העיצום
סעיף23
כב המוצע בתיקון14
מציג מודל להטלת עיצום כספי בתגובה להפרות שונות המנ
ו י ות
בסעיף. הסעיף מבוסס וזהה ברובו לסעיף שהוצע בנושא אי אז בשנת2011
בתיקון13
ומציג
באופן ברור את הבעייתיות וחוסר ההתאמה של תיקון בשיטת הטלאים בהתבסס על תיקון שאולי
.עשור לפני ונכון מתאים היה
ראשית, מדרג העיצום הכספי תלוי בכמות נושאי המידע במאגר המידע וב
אש לה האם יש במאגר
מידע בעל רגישות מיוחדת. בכך מתעלם תיקון14
ממצבים שבהם הכמות המספרית של נושאי
מהרשות מונעת המידע נושאי במספר זו התמקדות .ההפרה לחומרת רלוונטית אינה המידע
באקלים .הרתעתית אלא עונשית רק לא שמטרתם כספיים עיצומים להטיל ויכולת דעת שיקול
הנוכחי
המשתמשים לפרטיות ביחס זלזול מפגינים במידע שליטה ובעלי אתרים מפעילי בו
אשר משמעותי בשינוי צורך יש ,נרחבות כופר מתקפות של הגוברת התדירות ונוכח בשירותיהם
יביא לשינוי בתפיסת חשיבות הגנת הפרטיות. שינו כאמור יכול להתאפשר רק אם העיצום הכספי
יהא משמעותי בגובהו וב
סנ יבות הטלתו. את זאת המודל הנוכחי המוצע בתיקון14
.כלל לא משיג
את משקפות אינן כספי עיצום יוטל בגינן ההפרות המהותי לדין תיקון בהיעדר ,מזאת יתרה
חשיבות הזכות לפרטיות והיבטיה מבחינת נושא המידע והסיכונים לפרטיות עקב עיבוד מידע
בהיקפים ובאופנים המבוצעים כיום ו
בי וצעו בעתיד. מתוך20
הפרות המנויות בסעיף23
כב
המוצע
בתיקון14
,
5
מתוכן עוסקות בהפרות הנוגעות לרישום מאגר מידע, חובה שממילא אמורה
להיות מצומצמת לפי תיקון14
,
3
,ציבוריים גופים מאת מידע למסירת הנוגעות בהוראות עוסקות
ו -
6
לד המשמשים מידע במאגרי הקשורים לנושאים נוגעות
וי לא כלל שלטעמנו סוגיה .ישיר ור
.צריכה להיות מוסדרת במסגרת חוק הגנת פרטיות, אלא בחקיקה ייעודית העוסקת בדיוור ישיר
.ההוראות הנוגעות לזכויות נושא המידע מצומצמות לזכות העיון והתיקון ולעיקרון צמידות המטרה
לטעמנו עדיף לאמץ מודל להטלת עיצום כספי המבוסס על הורא
תו סימן א בפרק ה1
הגנת לחוק
הצרכן, התשמ"א -
1981
מינהלית אכיפה לסמכות ביותר העדכני העכשווי המודל את המעגן ,
האפשריות ההפרות ומספר אופי מבחינת רב דמיון בעלי שהם הצרכן הגנת של בהקשרים
לפגיעות אפשריות בזכות לפרטיות. ההפרות בגינן יוטל עיצום כספי צריכות להיות מעוד נכ ות
.ומותאמות לתיקון המשמעותי הדרוש לדין המהותי
בנוסף, לדעתנו כדאי לאמץ הוראה הד
מו ה לזו הקבועה בסעיף22
אשר הצרכן הגנת לחוק ד
מאפשרת הטלת עיצום כספי בסכום גבוה מן הסכום הקבוע להפרה כאשר מדובר בנסיבות
מחמירות. בדרך זו אפשר להקשיח את הענישה המינהלית לא רק כא
שר
של גדול במספר מדובר
נושאי מידע שעלולים להיפגע או כאשר מדובר במידע רגיש–
בלי לאמץ את ההסדר המסורבל
'המוצע בהצ"ח תיקון מס13
.באשר לסכום הבסיסי ולכפולותיו
)
8
(
מאסר ועונשי עבירות
סעיף23
מה המוצע בתיקון14
מטיל עונש מאסר של6
הרשות לראש המפריע כל על חודשים
להג
נת
הפרטיות, לחוקר או למפקח מטעמו, במילוי תפקידו. סעיף23
)מו1
( ו–
)
2
עונש מטיל (
מאסר של3
שנים על מי שמחסיר או כולל פרטים לא נכונים בבקשה לרישום מתוך כוונה
.להטעות. לטעמנו מדובר בהוראות רחבות ומעורפלות יתר על המידה
סעיף23
מז לתיקון14
מטיל עונש מאסר של3
ינש לשם מידע לקבלת לאדם שפונה מי על ם
החזקתו או שימוש בו מבלי שמסר לו הודעה לפי סעיף11
לחוק העיקרי ובכוונה לקבל את המידע
במרמה. זאת על אף העובדה שבהיעדר עידכון לדין המהותי, סעיף11
אינו מכיל את ההוראות
.הנדרשות למתן הודעה טרם עיבוד מידע
סעיף23מח קובע כי ב
על
שליטה במאגר מידע או מחזיק בו החורגים מעיקרון צמידות המטרה
הזכות על ההגנה את המקשיחה בהוראה המדובר ,לכאורה .בפרטיות במזיד כפוגעים יחשבו
לפרטיות. אולם, בניסוח הנוכחי של עיקרון צמידות המטרה ינקטו בעלי שליטה במאגר מידע
מט של ומעורפלת רחבה בהגדרה בו ומחזיקים
רת
.תועלת לחסר זה סעיף יהפוך וכך השימוש
אנו מברכות על ההצעה בסעיף13
לתיקון14
למחוק את סעיף31
משום זאת .העיקרי לחוק א
הפלילית האחריות שבשמירת הכפול הסיכון את מגבירה קפידה אחריות בעניין הוראה שהותרת
לפי סעיף23
מג המוצע בתיקון14
וכן אין הוראה דומה בדברי חקיקה אחר בשנים שילבו אשר ים
האחרונו ההגבלים חוק או הצרכן הגנת חוק ,למשל ,כמו מינהלית לאכיפה בנוגע הוראות ת
.העסקיים
ג .
בתיקון חסר מה14
)
1
(
מש בסיסים ,ההסכמה תפיסת שינוי ועידכון מידע לעיבוד מותרים פטיים
בפרטיות הפגיעות רשימת
סעיף1
לחוק העיקרי מעמיד את הסכמת נושא המידע או
הנפגע ככלי היחיד להכשרת פגיעה
שונות בדרכים מעובד אישי מידע שבו בעולם ,ההסכמה בדרישת מידי חזקה תלות .בפרטיות
ולמטרות שאת חלקן לא ניתן לצפות מראש בעת ההסכמ ה, היא בעייתית. יתרה מזאת, מומחי
כמ מבצעים שאנשים עניין להיות הפכה שהסכמה כך על מלמדים התנהגותית כלכלה צוות
של בהצהרות ביטוי לידי שבאה כפי ,הפרטיות תפיסת בין פער של קיומו תוך ,מלומדה אנשים
משתמשים, לבין התנהגותם בפועל. עוד מתברר כי להסכמה לפגיעה בפרטיות יכו לות להיות
את לקבל לה מאפשרת חברתית לרשת הצטרפות ,למשל ,כך .אחרים על שליליות החצנות
רשימת אנשי הקשר של המצטרף, תיוג פנים מאפשר ללמוד על אחרים שנמצאים באותה
מאפשרת גנטי מידע למסירת הסכמה ;אתה מי לך ואומר חבריך מי לי אמור בבחינת ,תמונה
ללמוד על בני המשפחה. הת וצאה לנו אנו עדים בשנים האחרונות היא הפיכת דרישת ההסכמה
ל"מכבסה". על מנת להימנע ממצב זה ולחזק את נושאי
המידע והזכות לפרטיות יש כבר עכשיו
לשנות את סעיף1
)(לחוק העיקרי כמוצע בסעיף )ב4
ללא" המילים צמד את ולשנות ,לעיל (
הסכמתו" ל"אלא לפי הוראות חוק זה". כך יוב הר שפגיעה בפרטיות יכולה להיעשות רק בהתאם
.להוראות החוק העיקרי, כפי שיותקן
לצד תיקון זה והורדת דרישת ה כבר לקבוע יש בצדק שלא לה שניתן הרם מהמעמד הסכמה
יאפשרו אשר ,המידע נושא הסכמת גם בניהם ,מותרים משפטים בסיסים רשימת בתיקון עכשיו
שימוש במידע אישי. בדרך זו ת נושא בהסכמת רק שלא בפרטיות לפגיעה ברורה מסגרת עוגן
.המידע
בנוסף, לשם גיבוש תמונה מלאה ועדכנית של הגנה רשימת את לעדכן יש לפרטיות הזכות על
עילות הפגיעה בפרטיות הקבועה בסעיף2
לחוק העיקרי באופן שישקף גם פגיעה בפרטיות
באמצעות שימוש ועיבוד מידע אישי המאפיינת כל
כך את עידן נתוני העתק ומהווה את עיקר
.הפגיעות בפרטיות בימנו
)
2
( חיזוק אגד זכויות השליטה של נושא המידע במ עליו ידע
החוק העיקרי מכיר במספר מצומצם ביותר של זכויות המוקנות לנושא המידע במידע אישי עליו–
עיון ותיקון. ברחבי העולם, בהובלת ה -
GDPR
שבאיחוד האירופי, הורח המוקנה הזכויות אגד ב
לנושא המידע במטרה לחזק את שליטתו במידע אישי עליו. בין זכויות אלו ניתן לכלול את זכות
,החזרה מהסכמה
זכ ות ,(המחיקה )הזכות להישכח זכות הניוד והזכות להתנגד לעיבוד מידע אישי
לנושא בנוגע החלטה התקבלה כיצד הסבר לקבל הפחות לכל או אוטומטים אמצעים על המבוסס
מידע ה .העיקרי לחוק גם דומה ברוח תיקונים לכלול יש .עליו אישי מידע עיבוד על מבוססת
)
3
(
הפרטיות להגנת הרשות חיזוק
תיקון14
מיועד לחזק את סמכויות הפיקוח, החקירה והאכיפה של הרשות להגנת הפרטיות על
מנת לתת בידה כלים מתאימים להיקפם ועוצמתם של האיומים וההפרות עמם היא מתמוד דת
בקבלת האירופי האיחוד ידי על נבחן שאף ,הפרטיות להגנת הרשות לחיזוק משמעותי רכיב .כיום
החלטות בנוגע לת
אימות הדין המדינתי ל -
GDPR
משום .הפרטיות להגנת הרשות עצמאות הוא ,
כך, יש לדעתנו לקבוע כבר בתיקון14
,עצמאית רשות הינה הפרטיות להגנת הרשות כי
האחראית על תקצי בה ועל גיוס כוח האדם הנחוץ לה והכשרתו, בדומה לרשות להגבלים עסקיים
.ולרשות להגנת הצרכן ולסחר הוגן
בנוס ,כך משום .גבולות חוצות רבים במקרים הן בפרטיות לפגיעה המובילות והפרות איומים ,ף
ועל מנת להביא לייעול האכיפה ולזירוזה יש לכלול בחוק מנגנון שיאפשר לרשות לשתף
פעולה
עם רשויות חוץ למטרות חקירה ואכיפה בדומה לקבוע בחוק ניירות ערך. שיתוף פעולה שכזה הוא
קריטי לפיקו .ח ובירור אירועי פגיעה בפרטיות ואכיפת הוראות החוק העיקרי
)
4
(
ביטחון לגופי הקבוע הפטור שינוי
הענקת סמכות מעקב ופגיעה גורפת בפרטיות לרשויות ביטחון עלולה להפוך נגף לאבן
זו את תואמת הישראלי בדין הפרטיות על ההגנה שרמת בכך אירופית הכרה בפני משמעותית
.האירופית11
יתר ,ה מכך מאז חקיקת סעיף19
)ב( בשנת1981
לפרטיות והזכות החוקתית המהפכה התרחשה
עוגנה כאחת מזכויות היסוד החוקתיות בחוק -
.יסוד: כבוד האדם וחירותו
לדע יש ,כך משום תנו לעדכן את הפטור הקבוע בסעיף19
)ב( לחוק הגנת הפרטיות העיקרי
ולהכפיפו למבחן מידתיות ונחיצות לשם השגת אחת מן המטרות הבאות בלבד: הגנה על ביטחון
.החוק אכיפת או הציבור ביטחון ,המדינה
11
סמכות המעקב והפגיעה הגורפת בפרטיות על ידי ה -
NSA
בארצות ברית, כפי שנתגלה מהמסמכים
שחשף אדוארד סנ
ואו
דן, הייתה הסיבה העיקרית לביטול ה -
safe harbor
, בארצות הברית ודיונים על
ההכרה בתאימות הדין ביפן ובאנגליה עסקו בסמכות המעקב הניתנת לרשויות הביטחון בכל אחת מן
המדינות. ראוAndrew D. Murray, Data Transfers between the EU and UK Post Brexit?, 7 (3)
INTERNATIONAL DATA PRIVACY LAW 149 (2017); Claude Moraes, Motion for a Resolution to wind
up the debate on the statement by the Commission pursuant to Rule 123(2) of the Rules of
Procedure on the adequacy of the protection of personal data afforded by Japan
(2018/2979 (RSP))
;
Article 29 Data Protection Working Party, Adequate Referential
(adopted on 28 Nov. 2017, as last revised and adopted on 6 Feb. 2018)
;
Decision:
Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 Pursuant to Directive
95/46/EC of the European Parliament and of the Council on the Adequacy of the Protection
Provided by the EU-U.S. Privacy Shield (1/8/2016)
;
Data Protection Act 2018, sec. 82-113
.
בנוסף, בכל הנוגע לאכיפה מינהלית ביחס לגופי ביטחון יש לדעתנו לאמץ את מנגנון הועדה
המייעצת שכמותו הוצע בתזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע"ח-
2018
.
המדובר ב
ו
ועדה חיצונ ית מפקחת בראשות שופט בדימוס או משפטן בכיר אחר אשר תפקידה
של והביטחון החוץ לוועדת כך על ולדווח ,הביטחוני הגוף פעילות של הפרטיות היבטי על לפקח
הכנסת. חברי ה ,הפרטיות תחום עם היכרות זה ובכלל רלוונטי רקע בעלי להיות צריכים וועדה
הביטחון והטכנולוגיה. על מנת להקנו
ת לו
ו אותה להסמיך מוצע עצמאית פיקוח יכולת עדה
.מידע קבלת בסמכויות
המוצע פרטיות להגנת הרשות לראש והדיווח הפנימי הפיקוח מנגנון לצד החיצוני הפיקוח מנגנון
בתיק וחיצונית פנימית ביקורת של לקיומה האירופי האיחוד נציבות לדרישת מענה לספק עשוי ון
עצמאית על פעולות גופי ביטחון בכל הקשור להגנה על הפרטיות במידע אישי. דרישה המהווה
.אחד המדדים למידת תאימות הדין המקומי עם הדין באיחוד האירופי
ד .
סיכום
תיקון14
הוא צעד בכיוון חיובי
לתיקון חוק הגנת הפרטיות המיושן ולחיזוק סמכות הפיקוח
והאכיפה של הרשות להגנת הפרטיות. אולם זהו צעד שתחי לתו כבר בשנת2011
. כלומר, תיקון
14
הגנת חוק תיקון ובקידום המשפטים משרד במדיניות והנחוץ המצופה השינוי על מצביע אינו
הפרטיות והתאמתו לימנו. להפך, השינוי בשי טת הטלאים נותר המדיניות השלטת, ולא רק שהוא
טומן בחובו סכנות לבעיות פרשנויות ולסתירות, הוא גם לא הוכיח את עצמו ככלי הנכון או
המתאים לשינוי חקיקת הגנת הפרטיות במדינת ישראל מאז שנת2011
.
משבר הקורונה הביא להגברת השימוש האישי והמסחרי באתרי אינטרנט וי שומונים את גם ועמו
הסיכון לפרטיות המשתמשים המסכימים, לרוב מבלי להבין זאת, לעיבוד מידע אישי מסיבי
עליהם. אף שיש
בתיקון14
הגנת חוק הלימת את להגביר כדי בהם שיש נכונים תיקונים מספר
הפרטיות המיושן לעידן נתוני העתק אין בכך די. יש לפעול עכשיו ובמהירות לבצע תיקון אחיד
וש יטתי בחוק הגנת הפרטיות ואין מקום להמתנה לתזכיר שיכיל תיקונים מהותיים שיפורסם אי
מתי. העבודה צריכה להיע .קודם אחת שעה ויפה זמנית בו שות
בכבוד ובברכה
אלטשולר שוורץ תהילה ר"ד ,הרשקוביץ ארידור רחל ר"ד
התוכנית לדמוקרטיה בעידן המידע
המכון הישראלי לדמוקרטיה
נ :א ספח
פירוט סקירת המשפט המשווה בנושא )היעדר( חובת הרישום :
מדינה
רישום חובת
החל החוק
אנגולה בהתאם לס ,וג המידע האישי המעובד
ארגון צריך לספק הודעה מוקדמת
את לקבל או הפרטיות הגנת לרשות
.אישורה לפני עיבוד המידע האישי
Data Protection Law, 2011; the
Electronic
Communications
and
Information Society Services Law,
2011; the Protection of Information
Systems and Networks Law, 2017
ארגנטינה
חובת רישום על כל מאגרי המידע
שמטרתם והציבוריים הפרטיים
.מידע אספקת
The Personal Data Protection Law,
2000
אוסטרליה אין חוב .רישום ת
.חקיקה פדרלית, מדינתית ומחוזיתThe
Federal Privacy Act 1988, amended
2012; Australian Privacy Principles
(APPs)
.
אוסטריה
.רישום חובת אין
חקיקה תואמתGDPR
:
The Data
Protection Amendment Act 2018;
The Privacy Deregulation Act 2018
בחריין אין חובת.רישום
Personal Data Protection 2018
,
נכנס לתוקף באוגוסט2019
בלרוס
אין חובת רישום כתנאי לאיסוף או
ע .יבוד מידע אישי
אם אף ,ממשלתיים מידע מערכות
,אינם אוספים או מעבדים מידע אישי
נרכשו או הוקמו שכן ברישום חייבים
.הממשל מכספי
לפי החוק הקיים ארגון המחזיק
ב מערכת מידע שמטרתה עיבוד מידע
האחראית לרשות להודיע חייב אישי
לאבטחת שנוקט הטכניים התנאים על
.מידע
The
Law
on
Information,
Informatisation and Information
Protection, 2008; the Law on
Population Register, 2008
.
בהליכי חקיקהLaw on Personal Data
שיהיה החוק לאסדרת הייעודי הראשון
.אישי מידע על ההגנה
בלגיה
בוטלה חובת היידוע על פעולות עיבוד
מידע אישי. במגזר ה ציבורי, מי
שירותי למטרות אישי מידע שמעבד
פרוטוקול
לפרסם
מחויב
אכיפה
לגוף המידע העברת את המפרט
חקיקה תו אמתGDPR
:
The Data
Protection Act, 2018; The Data
Protection Authority Act, 2017
.
מדינה
רישום חובת
החל החוק
על בהתבסס פרטי או ממשלתי
.לחוק בציות הציבור אינטרס
ברמודה אין חובת ריש ום
The
Personal
Information
Protection Act 2016
ב לתוקפו נכנס ,
2018
בוליביה
רישום חובת אין
Bill of Personal Data Protection;
The Political Constitution of the
Plurinational State of Bolivia, in
Article N°130
.
בוסניה
והרצגובינה
חובת רישום המוטלת על כל מי
שמעבד מידע אישי
The Law on Protection of Personal
Data, 2006
.
ברזיל
רישום חובת אין
Brazilian General Data Protection
Law, 2018
הפרטיות הגנת חקיקת זו .
ה .מקיפה הראשונה במדינה
בולגריה
עם בוטלה שליטה בעל רישום חובת
תיקון החוק ברוח הGDPR
. קיימת
לרשום חובה
בעל שליטה במידע
,פרטיות הגנת קצין שמינו ומעבד
רישום גופים מאושרים ורישוםcode
of conduct
.
חקיקה תואמת את הGDPR
.
The
Personal Data Protection Act 2002,
amended 2019
.
קנדה
.רישום חובת אין
יש כ28
מחוזיים ,פדרליים חוקים
.ומקומיים להגנה על פרטיות במידע
ה עיקרי והפדרלי שבהםPersonal
Information
Protection
and
Electronic Document Act, 2000
.
צ'ילה חובת רישום על מאגרי מידע ציבוריים
Personal Data Protection Law, 1999
לתחום למשל ייעודיים חוקיים וכן
.הבנקאות והאשראי
קרואטיה
.מידע מאגרי רישום חובת אין
רק חובות לפי הGDPR
לרישום למשל
.מידע הגנת קצין
חקיקה תואמתGDPR
:
The Act on the
Implementation of the GDPR, 2018
.
משנת רפואי למידע בנוגע נוספת חקיקה
2019
.
קפרי
סין
רק .מידע מאגרי רישום חובת אין
חובה לפי הGDPR
קציני לרישום
חקיקה תואמתGDPR
:
The Protection
of Physical Persons Against the
מדינה
רישום חובת
החל החוק
.פרטיות הגנת
Processing of Personal Data and
Free Movement of such Data Law,
2018
צ'כיה מידע מאגרי רישום חובת אין
חקיקה תואמתGDPR
:
The Czech Act
on Personal Data Processing, 2019
דנמרק
עיבודי המידע הבאים דורשים אישור
הגנת רשות
:הפרטיות
-
פרטי ארגון ידי על אישי מידע עיבוד
,גזעי או אתני מוצא לחשיפה המביא
דעות פוליטיות, אמונה דתית או
,פילוסופית, חברות בארגון עובדים
עיבוד מידע גנטי גילוי לשם ביומטרי ,
רפואי מידע עיבוד ,אדם של ייחודיות
נטייה או המין לחיי הנוגע מידע או
מינית של אדם לצ .ורך אינטרס הציבור
של ייחודיות קטיגוריות של העברה
למטרות במקור שעובדו ,אישי מידע
מחקר מדעי, אם עיבוד המידע עומד
להיעשות מחוץ לגבולות האיחוד
האירופי או עו בכתב להתפרסם מד
.ידוע עת
שליטה בעל ידי על אישי מידע עיבוד
מפני אחר עסק להזהיר במטרה פרטי
כניסה לעסקה ,אדם של העסקה או
מצבו על המידע את לנצל במטרה
מסחריות למטרות אדם של הפיננסי
רישום יצירת לשם או אשראי ומתן
.משפטי מידע
חקיקה תואמתGDPR
:
The Danish Act
on Data Protection, 2018
.
מצרים מעבד או בעל שליטה במידע חייבים
להגנת מהרשות רישיון לקבל
הפרטיות לפני שמ ,בצעים איסוף
מידע של עיבוד או העברה ,אחסון
רגיש מידע ,אלקטרוני בפורמט אישי
.או לשם פעילות שיווק אינטרנטי
Personal Data Protection Law, 2020
אסטוניה חובת
רישום בוטלה עם אימוץ חקיקה תואמתGDPR
:
Personal Data
Protection Act, 2018; Personal Data
מדינה
רישום חובת
החל החוק
החקיקה תואמתGDPR
.
Protection
Implementation
Act,
2019
.
פינלנד
דרישות הרישום בוטלו עם חקיקת
החוק ברוח הGDPR
.
חקיקה תואמתGDPR
:
The Data
Protection Act, 2019; The Act on
Electronic Communication Services
2014; the Act on the Protection of
Privacy in Working Life, 2004; the
Act on Processing of Personal Data
in
Criminal
Cases,
2019;
The
Working Life Act
.
צרפת
שכל רק נדרש .הרישום חובות בוטלו
מעבד ובעל שליטה במידע י חזיקו
תיעוד של המידע כפי שנדרש בעבר
.במסגרת דרישת רישום
עיבוד סוגי המידע האישי הבאים
מחייבים קבלת איש להגנת הרשות ור
:הפרטיות
) עיבוד מספר זיהויsocial security
number)
.
לטובת או בשם אישי מידע עיבוד
רשות של מסמכותה כחלק המדינה
ב או גנטי מידע עיבוד ,ציבורית יומטרי
של זהות אימות או זיהוי לשם הנחוץ
.הפרט
י"ע או המדינה בשם אישי מידע עיבוד
הנוגע לביטחון המדינה
של למטרה או
אכיפת או ,חקירתם ,עבירות מניעת
.פליליות עבירות בגין ענישה
חקיקה תואמתGDPR
.
גרמניה
.רישום חובת אין
חקיקה תואמתGDPR
:
German
Federal Data Protection Act, 2017
,
נכנס לתוקף במאי2018
.
גניאה
לעבד שמבקש מי כל על רישום חובת
.מידע אישי
Data Protection Act, 2012
גיברלטר
מידע המעבד במידע שליטה בעלData Protection Act 2004
מדינה
רישום חובת
החל החוק
להגנת הרשות אצל ברישום חייב אישי
.הפרטיות
יוון
רישום חובת אין חקיקה תואמ תGDPR
:
The Greek Law,
2019
.
קונג הונג
לרשות זאת עם .רישום חובת אין
להגנת הפרטיות הסמכות לקבוע
קבוצו ת של מעבדי מידע שחייבים
אלו שקבוצות הציעה הרשות .ברישום
חברות ,בנקים ,הציבורי המגזר יהיו
וארגונים טלקומוניקציה וחברות ביטוח
עם מאגרי מידע גדולים. נכון לעכ שיו
.הצעת הרשות לא התקבלה
The
Personal
Data
(Privacy)
Ordinance, 1996, amended 2013
.
הונגריה אין חו .רישום בת חקיקה תואמתGDPR
.
איסלנד על בעל שליטה במידע להיוועץ ולקבל
להגנת הרשות של מראש אישור
הפרטיות בכל הקשור לעיבוד מידע
לצורך ביצוע משימה לטובת אינ טרס
הציבור, להגנה סוציאלית ולבריאות
.הציבור
חקיקה תואמתGDPR
:
The Act on
Data Protection and the Processing
of Personal Data, 2018
.
הודו
רישום חובת אין
Information Technology Act, 2000;
Information
Technology
(Reasonable Security Practice and
Procedures and Sensitive Personal
Data or Information Rules, 2011
.
הפרטיות להגנת יותר מקיפה חוק הצעת
נדונה בבית הנמוך בפרלמנט בדצמבר
2019
.התקבלה טרם אך
אירלנד
.מידע מאגרי לרשום חובה אין
פרטיות הגנת קציני לרשום חובה יש
.בחברה
חקיקה התואמת לGDPR
:
The Irish
Data Protection Act 2018
.
איטליה
רישום חובת אין
חקיקה תואמת את הGDPR
.
יפן
רישום חובת אין
The Act on the Protection of
Personal
Information
2003,
amended 2017
.
מדינה
רישום חובת
החל החוק
קזחסטן
רישום חובת אין
Personal Data and Its Protection,
2013
קניה מעבד ובעל שליטה במידע מחויבי ם
.הפרטיות הגנת ברשות ברישום
הסמכות הפרטיות הגנת לרשות
הרישום לחובת כללים לקבוע
,בהתבסס באופי התעשייה כמות
המידע המעובד והאם המידע המעובד
.הוא מידע רגיש
The Data Protection Act, 2019
לטביה
עם חקיקת חוק תואםGDPR
בוטלה
.הרישום חובת
חקיקה תואמתGDPR
:
The Personal
Data Processing Law, 2018
.
מרוקו
להגנת הרשות את ליידע חובה
הפרטיות על כל עיבוד מידע אישי אל א
לאחד נופל המידע עיבוד כן אם
.החריגים הקבועים בחוק
פעילות על מידע ,רגיש מידע עיבוד
בלתי מוסרית או חוקית, על עבירות
מנהליות, מידע על מצב האשראי או
חדלות פירעון, חייב באישור מקדים
.הרשות של
Personal Data Protection Law,
2005
.
מלזיה קבוצות בעלי המידע הבא ים חייבות
:שנה מידי ברישום
,פיננסיים ומוסדות בנקים ,תקשורת
,ביטוח, בריאות, תיירות, תחבורה
שירותים ,ישירה מכירה ,חינוך
הנדסה ,ביקורת ,משפטיים
,וארכיטקטורה משכנתאות ,ן"נדל
.והלוואת הון
Personal Data Protection Act 2010
,
נכנס לתוקף ב2013
הגנת חוק זהו .
הפרט .במדינה הראשון יות
מלטה
חובה על מעבד מידע להיוועץ ולקבל
לפני הפרטיות להגנת הרשות אישור
עיבוד מידע למטרות אינטרס הציבור
,גנטי מידע הוא המעובד המידע כאשר
לבריאות
הנוגע
מידע
ביומטרי,
למטרות מחקר סטטיסטי או מדעי, או
מידע
של
מיוחדות
קטיגוריות
תואמת
חקיקה GDPR
:
Data
Protection Act 2018
.
מדינה
רישום חובת
החל החוק
הקשורות בשירותי .סוציאליים
מקסיקו
.רישום חובת אין
The Federal Law on the Protection
of Personal Data held by Private
Parties, 2010
נוספים חקיקה דברי .
חלים על הרשות המבצעת ועל עיבוד
.מידע אישי באופן אוטומטי
הולנד אין חובת ר .ישום
חקיקה תואמתGDPR
.
The Dutch
GDPR Implementation Act, 2018
זילנד ניו
.רישום חובת אין
The Privacy Act 2020
לתוקפו נכנס
בדצמבר2020
.
נורבגיה אין ח רישום ובת
תואמת חקיקהGDPR
:
The Norwegian
Personal Data Act, 2018
.
פיליפינים
ח מידע מאגרי רישום חובת על לה
במידע
שליטה
בעל
או
מעבד
:המקיימים את אחד מהתנאים הבאים
לפחות מעסיקים250
.עובדים
על רגיש מידע כולל המידע עיבוד
לפחות1000
.נושאי מידע
סביר שעיבוד ה זכויות יסכן מידע
.וחירויות יסוד של נושאי המידע
.עיבוד המידע אינו מקרי
The Data Protection Act of 2012
פולין
ל והתאמתה החקיקה תיקון עם
GDPR
בוטלה חובת הדיווח על עיבוד
.מידע אישי
חקיקה תואמתGDPR
.
פורטוגל
עם התאמת החקיקה לGDPR
בוטלה
.הרישום חובת
חקי קה תואמתGDPR
.
רומניה
להגנת לרשות והדיווח הרישום חובות
הפרטיות בוטלו עם התאמת החקיקה
לGDPR
.
חקיקה תואמתGDPR
.
מדינה
רישום חובת
החל החוק
סינגפור
להגנת הרשות .רישום חובת אין
קציני רישום אבל מעודדת הפרטיות
.פרטיות הגנת
The Personal Data Protection Act of
2012
סלובקיה אין חובת .רישום חקיקה תואמתGDPR
.
דרום
אפריקה
הפרטיות הגנת קצין את לרשום חובה
.בארגון
חובה לקבל אישור מהרשו להגנת ת
הפרטיות לפני עיבוד מידע אישי
בקטיגוריות הקבועות בחוק כמו מידע
רגיש, כאשר מידע על קטינים מועבר
הגנת מספק שאינו במקום לעיבוד
.נאותה פרטיות
The
Protection
of
Personal
Information Act
, נכנס לתוקפו ביולי
2020
.
דרום
קוריאה
.חובת רישום על מוסדות ציבור
Personal Information Protection
Act, 2011
.
ספרד
רישום חובת אין
חקיקה תואמתGDPR
.
Spanish
Fundamental
Law
on
Data
Protection
and
digital
rights
guarantee, 2018
.
שבדיה
.רישום חובת אין
חקיקה תואמתGDPR
:
The Data
Protection Act, 2018; The Data
Protection Ordinance 2018;
וחקיקה
,הבריאות כמו מסוימים למגזרים ייחודים
.תקשורת ,החינוך ,הסביבה ,הפיננסי
תאילנד
.רישום חובת אין
The Personal Data Protection Act
2019
. החקיקה היא ברוח הGDPR
.
אוקראינה
חובת הרישום בוטלה בשנת2014
.
מידע עיבוד על הודעה חובת קיימת
אי של וחירויות זכויות לסכן העלול שי
.נושאי המידע
The
Law
on
Personal
Data
Protection, 2010, amended 2012,
2014
.
אנגליה
משנת בחוק בוטלה הרישום חובת
2018. ב שליטה בעל על מוטל מקום
במידע לשלם מידי שנהData
Protection Fee
אלא אם כן הוחרגו
.מהתשלום במפורש
חקיקה
תואמתGDPR
:
The Data
Protection Act 2018
.
מדינה
רישום חובת
החל החוק
קליפורניה
ארה"ב
) חובת רישום על סוחרי מידעdata
brokers
כעסקים
המוגדרים
(
על אישי מידע במודע שאוספים
לקוחות נוש איתם להם שאין מידע אי
אותו ומוכרים ,ישירה יחסים מערכת
שלישיים לצדדים
California Consumer Privacy Act of
2018
בינואר לתוקף נכנס2020