חומר רקע

PDF 30,348 תווים המסמך המקורי ↗
ט"ז כסלו, תשפ"ד 29 ,נובמבר2023 לכבוד ח"כ שמחה רוטמן, יו"ר ועדת החוקה, חוק ומשפט חברי ועדת החוקה, חוק ומשפט של הכנסת :הנדון( הצעת חוק הגנת הפרטיות תיקון14 "), התשפ ב – 2 202 (להלן : "תיקון14 " ) ביום4 ב דצמבר 2023 י תקיים בוועדת החוקה , חוק ומשפט של הכנסת דיון .בנושא שבנדון המדובר ב הצעת חוק לתיקון חוק הגנת הפרטיות , התשמ"א– 1981 " :(להלן חוק הגנת הפרטיות,)" שנדונה כבר בכנס ה ת קודמ ת. כפי שטענו בדיוני ם הקודמים ש קיימה וועדת החוקה , חוק ומשפט של הכנסת ב נושא ,ת יקון14 חייב,, לדעתנו לבוא במשולב עם תיקון לדין המהותי בח וק הגנת הפרטיות והתאמתו לעידן הנו .כחי ולחקיקה הבינלאומית בתחום עמדנו על כך כבר בחוות דעתנו הקודמות ועל כן אין מקום ל.חזור על כך כאן1 מלחמת "חרבות ברזל" שאנו מצויים ,לצערנו בעיצומה הת אפיינה, מתחילתה גם ב"ממד רביעי", כ לומר במתקפות במרחב הסייבר ובניסיונות לגרום לדלף מידע פרטי ולהשתמש בו כנגד אזרחי ישראל. לפיכך, חשיבות הגנת הפרטיות לצד הגנת הסייב ר, והחוסרים המשמעותיים הקיימים בתחום זה בחקיקה, התחזקה .מאד ל הלן יובאו הערותינו בנוגע לתו כ ן תיקון14 .המוצע 1. הגדר ות 1.1 . הגדרת""מידע : אנו מברכות על ה שינוי המוצע להגדרת "מ "ידע , 2 ש משקף את ההבנה שבעידן נתוני העתק והי כולות הטכנ ולוגיות המ תקדמות להצ לבת נתונים אין די בהתממת המידע כד י להוציאו מתחולת החוק אלא יש לאמץ .מבחן סבירות הזיהוי ,עם זאת מהדיון שה קת יים בוועדת החוקה ביום16 במאי2022 עלה הח שש ש הסי פא של ההגדר ה – "לרבות מזהה בי,ומטרי מספר ז הות או כל נתון "מזהה ייחודי אחר עשויה להביא להרחבת הגדרת "מידע" יתר על המידה ולכלול גם נתונים 1 להרחבה בנוגע לעמדתנו ולנימוקים לה ראו חוות דעת המכון הישראלי לדמוקרטיה בנושא הצעת חוק 'הגנת הפרטיות (תיקון מס14 ) , התשפ"ב– 2022 , מיום3 ,ביוני 2023 צ המ ורפת למסמך זה כ נספח א . 2 סעיף3 ( 3 ) לתיקון14 , תיקון הגדרת "מידע" בסעיף7 לחוק ה.גנת הפרטיות ש אינם צריכים להיכלל בה. לדעתנו, ובהמשך ל דברים שנאמרו ב א ותו ה דיון בוועדת החוקה , הדרך הראויה לפתרון קושי זה היא ב אמ ,צעות הבהרה בדברי ההסבר או בגילוי דע ת מט עם הרשות להגנת הפרטיו ת, מה ו מב .חן האמצעים הסבירים בהקשר זה מתאים, לדעתנו, מבחן "הפורץ המתע "ניין( motivated intruder ) הנהוג באנגליה ולפיו נבחנת השאלה ה אם אדם בעל יכולות רגילות, שיש לו גישה למ שאבי מידע מתאי מים, כ גון מידע המתפרסם באינטרנט, במאגרי מידע ציב ורי ,ים או בספריות, או שצפויה להיות לו גישה כאמור עושה שימוש ב ,טכניקות מחקר רגילות ויש לו מוטיב ציה ל זהות אדם מסוים ., יצליח לעשות זאת3 1.2 . "הגדרת "מאגר מידע בתיקון14 מוצע להחליף את הגדרת "מאגר מידע" הקיימת בסעיף7 לחוק הגנת ה פרטיות בהגדרה חדשה הקובעת ש "מאגר מידע" הוא "אוסף פרט י מידע המוחזק באמצעי דיגיטלי, למעט אוסף לשימו ש אישי שאינו למטרות עסק ." המדובר אומנם בהגדרה עדכנית יות ר , אולם היא "משמרת את תבנית "מאגר מידע .המדובר בהתייחסות ארכאית ל הגנת מידע שהינה בעלת משמעויות .מרחיקות לכת ,כך, למשל בדיונים בוועדת החוקה, חוק ומשפט ב כנסת הקודמת נטען ש הגדרת "מידע בעל רגישות מי "וחדת רחבה מידי ועלולה להוביל להרחבת יתר של ההגבלות על .בעל שליטה במאגר מידע ומחזיק4 כ אשר חובות אלו תלויות בהגדרת "מאגר מידע" הרי שברגע שפריט מידע אחד במאגר יוכר"כ מידע בעל רגישות מיוחדת " יש בו כדי לצבוע את כלל מאגר המידע ולחייב את בעל ה שלי טה בו או המחזיק בחובות מוגברות ב יחס לכל .פרטי המידע שבמאגר מדובר בהרחבה הע לולה לה ,טיל נטל כבד על תעשיית טכנולוגיות המידע שלא לצורך. זאת ועוד ב- GDPR ובחקיקה ברוחו במדינות אח רות ויתרו על הגדרת "מאגר מידע" וממקדים את החובות , האיסורים וה מגבלות לפי פר .טי המידע עצמם לטעמנו זו ה מדיניו ת הרא ויה ו משום כך יש למחוק כליל את הגדרת "מאגר מידע" מחוק הגנת הפרטיות, על אף העומס בעבודת ה חקיקה ששינוי זה יגרור. מחיקה זו עולה בקנה א ח ד עם המל ,צתנו המפורטת בסעיף3 להלן, למחוק כליל את חובת הר.ישום 1.3 . :"הגדרת "מידע בעל רגישות מיוחדת בהיעדר תיקון לדין המהותי, נפקות הגדרתו של מידע כ"מידע בעל רגישות מיוחדת" מוגבלת ל חובת הרישו ם , לגובה העיצ ום הכספי ולרמת האבטחה הנדרשת. אולם, בבחינת המידע הנמנה על הגדרת "מידע ב על רגישות מי וחדת" יש לתת את הדעת לכך ש הגדרה זו צריכה לה יות משמעותית לשאלת השימושים המותרים במידע האישי ואופן ביצועם. נכון להיום, היעדר התייחסות זו מהווה חסר משמעותי בתיקון14 . עם זאת, בכל מקרה הכללת פריט מידע בגדר 3 is anonymization w do we ensure pter 2: Ho Cha s Office, ’ er nformation Commission I effective? (October 2020) . 4 ראו למשל הערות המשתתפים בדיון בוועדת חוקה מיום12 ביוני2022 .לעניין הגדרת מידע כלכלי 'פרוטוקול מס298 מישיבה ועדת החוקה, חוק ומש ,פט, יום ראשון י"ג בסיו( ן התשפ"ב12 ביוני2022 ,) שעה11:00, בעמ ' 39 - 50 . "מידע בעל רגישות מיוחדת" צריכה להיעשות בפינצ טה בהתאם לבחינה האם זהו סוג מידע שקיים אינטרס ציבורי באיסור או בהטלת מגבלות חמו רות על עיבודו. להלן נפרט את עמדתנו ביחס לפרטי המידע הנכללים בהגדרת "מידע בעל רגישות מיוחד "ת : 1.3.1 . "מידע על צנעת חייו האישיים של אדם, לרבות התנה ."גותו ברשות היחיד לטעמנו הגדרה זו חס רה התייחסות ל"נתונ"ים על אישיותו של אדם , המנויים ב הגדרת "מידע רגיש" בסעי ף7 לחוק הגנת הפרטיות אותה באה הגדרת "מידע בעל רגישות מיוחדת" להחליף . הכוונה היא למידע, ש יש בו כדי ל העיד על אופיו של אדם ונבכיי נפשו, שהוסר, שלא לצורך ,לדעתנו מההגדרה המוצעת ל"מידע "בעל רגישות מיוחדת .על כלל תתי סעיפיה בדיו ן בוועדה החוקה מיום12 ביוני2022 הציע משרד המשפטים ל מלא חסר זה על ידי הוספ ת המשפט "הערכת אישי תו ."שנערכה על ידי גורם מקצועי5 הובהר ש מטרת מ שרד המשפטים היא למנוע הרחבה יתר על המידה של נתוני האישיות שי חשבו "מידע בעל רגי שות מיו חדת" אלא להגבילם רק לנתונים שגורם מקצועי כפסי כולוג הגדירו ככאלו. הצעה זו לא באה לידי ביטוי בנוסח העומ ד עתה בפני הוועדה ולעמדתנו טוב שכך. כפי שאמרנו גם אז, הגבלת נתונ י האיש יות לאלו שהוגדרו ככאלו על ידי גורם מקצועי מהווה התעלמות מגורמים שאינם אנשי מקצוע מתחום בריאות הנפש ש מחווים דעתם לג בי אופיו של אדם וכן מהטכנולוגיה הקיימת המאפשרת באמצעות בינה מלאכותית להפיק.תובנות בנוגע למאפייני האישיות הכמוסים והרגישים ביותר של האדם למשל , קביעה שעובד אינו מתמודד עם לחץ או נוטה להתרג ,ז באמצעות טכנו לוגיית מעקב אחר עו בדים המשלבת בינה מ לאכותית, או תלמיד תיכון שהמורה למתמטיקה כות בת בתיקו האישי שהוא שקרן ומניפו.לטיבי מ שום כך, לדעתנו יש להוסיף להגדרה הקיימת את התיבה המוכרת מהחוק כי ום– "נתו נים ."על אישיותו של אדם 1.3.2 . "מידע רפואי כהגדרתו בחוק זכויות החולה , התשנ"ו– 96 19 " . ההפניה להג דרת ה מונח "מידע רפואי" בחוק ז כויות החולה מובילה בפועל לצמצום פרטי המידע הנכללים בו לאלו הנובעים מטיפול רפואי, סיעודי, פסיכולוגי או טיפול מונע. כתוצאה, לא נכללים בהגדר ה פרט י מידע רפואי שאינם נובעים מטיפול כלשהו. למשל, מידע על ר קע משפחתי כגון קרבה ראשונ ,ה לחולות בסרטן השד מידע על היסטורי ש ה ל עישון, עבודה במפעל אס בסט, מקום ,מגורים גיאוגרפי (למשל ,)בסמוך לגורמי זיהום מוכרים או מוצא אתני אשר י ש בהם חשיבות בבחינת מצב ו הרפואי של נו שא המידע ואף להצביע על מחלות אפשריות ; מידע רפואי הנאסף באמצעות י שומוני כוש ר ושעונים חכמים או מידע המופק בהתבסס על ש אילתות חיפוש של אדם במ נוע חיפוש . בדיו ן בוועדת החוקה מיום12 ביוני2022 הציע משרד המשפטים הגדרה חדשה למונח "מידע רפואי" כמידע המתייחס אב ופן ישיר למצב ברי.אותו הגופני או הנפשי של אדם הגדרה זו אינה 5 'פרוטוקול מס98 2 מישיבה ועדת החוקה, חוק ומש( פט, יום ראשון, י"ג בסיון התשפ"ב12 ביוני2022 ,) שעה11:00, בעמ ' 3-7 . מופיעה בנוסח העומד עתה בפ ני הוועדה , וגם הוא דרש הבהרה מטעם הרשות להגנת הפרטיות נוכח הפרשנות המצומצמת .שהוצעה לו בדיון על ידי באת כוח משרד הבריאות עו"ד טליה אגמון6 1.3.3 . "נתוני מיקום ונתוני,תעבורה כה גדר תם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח– 2007 , לגבי.אדם " כש לעצמם נתוני מיקום ונת וני תעבורה הם מידע אישי, אך א ינם בהכרח מידע בעל רגישו ת מיוחדת, אלא אם כן יש בהם כדי ללמד , למ של , על מצבו הכל ,כלי, האישי הבריאותי או הנפ שי של אדם. 7 ,לפיכך לד ע תנו, יש לשנות א ת ההגדרה כך שתחול רק על נתוני מיקום ונתוני תעבורה "שיש ב הם כדי ללמד על מ ידע לפי פרטים ( 1 ) עד ( 5) ו-( 8 ( ) עד11 ). ל דעתנו , אף שלא ניתן לדעת מראש אילו מידעים מגלים נתוני מיקום, ההפניה לפרטי מידע אלו המ הו וים מידע בעל רגישות .מיוחדת, מספקת את ההגנה המתאימה בדיו ן בוועדת החוקה מיום12 ,ביוני2022 הוצ גה ה גדרה חלופ ית המב חינה בין נתוני מיקום לנתוני תעבורה ומוציאה מתחולתה גם נתון מיקום יחיד: "נתוני מיקום, למעט נתון יחיד לעניין נושא מידע שאין בו כדי ללמד באופן ישיר על מידע לפי פרטים1 עד8 ."ונתוני תעבורה8 הגדרה זו לא הוצ גה בנוסח העומד עתה בפני הוועדה ובכל מקרה אין בה כדי לצ מצמם במ ידה מספ קת את היקף המידע שיחשב כבעל רגישות מיוחדת . מ שום כך אנו סבורות שיש להכפיף הן נתוני מיקום והן נתוני תעבורה, בין אם מדובר בנתון יחיד ובין אם לאו, לאלו שיש בהם כדי ללמד על מידע ל פי פרטי ם ( 1 ) עד ( 5) ו- ( 8 ( ) עד11 ). 1.4 . ה גדרת "שי:"מוש" ו"עיבוד ל פי תיקון 14 המוצע, להגדרת שי מוש , המופיעה בסעיף3 לחוק הגנת הפרטיות ועל כן חלה על כולו, יוסף גם "א חסון", ו בנוסף תת ווסף בסעיף7 לחוק הגנת הפרטיות הגדרת המו "נח "עיבוד "שיוגדר כ"איסוף או שימוש , ויחול רק ע ל הנושאים הקשורים בפרטיות במידע . 9 משמעות התיקון המוצע היא קיומם של שני מונחים שונים .לתיאור מגוון הפעולות שניתן לעשות במידע אישי ,יתרה מכך המונח "עיבוד" הוא המונח ה מופיע ב- GDPR ( processor) ולפיכ ך במרבית החקיקה במדינו ת העולם המע רבי בעקבות "אפקט ב ריסל". ואולם , משמעות המונח "עיבוד" בחקיקה 6 'פרוטוקול מס298 מישיבה ועדת החוקה, חוק ומש( פט, יום ראשון, י"ג בסיון התשפ"ב12 ביוני2022 ,) שעה11:00, בעמ ' 9-12 . 7 ,כך ,למשל ב תחקיר שנערך לפני מספר שני ם על ידי עיתונאי הניו יורק טיימס, למשל, נמצא שע ל ידי מעקב על נתוני מיקום מותממים ניתן לז הות א ת נושא המ ידע ואף לגלות עליו פרטי מידע אישי ים כגון הרג לי הבילוי והפנאי שלו, ביקור ב קל י ניקות לקבל ת טיפול רפואי או במפגשי אלכוה וליסטי ם אנונימ.יים :ראו Stuart A. Thompson & Charlie Warzel, Twelve Million Phones, One Dataset, Zero Privacy, The NYTimes (Dec. 19, 2019) . 8 'פרוטוקול מס298 מישיבה ועדת החוקה, חוק ומש( פט, יום ראשון, י"ג בסיון התשפ"ב12 ביוני2022 ,) שעה11:00, בעמ ' 34-38 . 9 סעיף3 לתיקון14 , תיקונים לסעיף7 .בחוק הגנת הפרטיות ה בינלאומית רחבה יותר וכו ללת כל פעולה המבוצעת במידע אישי או בצבר של מידע אישי , בין אם באמצעים אוטומטי ,ים ובין אם לאו, לרבות איסוף, תיעוד, ארגון, הבנייה, אחסון, אדפטציה או שינוי אחזור, יי עוץ, שימוש, גילוי בדרך של העברה, הפ צה או העמדה לציבור בדרך אחרת, יישור או .שילוב, הריסה, מחיקה או השמדה10 השונ י במשמעות הניתנת לא ותו המונח בחקיקה הבינלאומית ובחוק בישראל, בעיקר בתחום של טכנולוגיות מידע שהפעלתן והשימוש בהן הוא ,חוצה גבולות, הוא בעייתי מטיל נ טל כבד על מעבדי המידע בישראל , ועלול להוביל לבלבול .וקשיים פרשניים כב ר עתה נראה שהשימוש בשני מונ חים שונים עלול ליצור קשיים פרש ניים. כך, למשל, בהגדרה המוצעת בתיקון14 "ל"מחזיק בסעיף3 לחוק הגנת הפרטיות מופיע המונח "שימוש" בלבד. לפי ההגדרות ה מוצעות בתיקון14 המשתמעות היא שמי שקיבל הראשה מבעל השליטה במאגר "מידע לאסוף מידע אישי בלבד אינו "מחזיק ול פיכך ל א ישא בחובות המו ת טלו ."על "מחזיק ,זאת ועוד ההבדל בין המונח "ש ימוש" למונח "עיבוד " הוא בפעולת ה"איסוף" שאינה מופיעה במפורש" תחת הגדרת המונח שימוש ". אנו מתקשות לראות מצבים משמעותיים בהם מבוצע "איסוף" בלבד של מידע אישי שלא נ"לוות אליו פעולות נוספות המופיעות תחת הגדרת "שימוש , כמו, למשל, אחסון , מחיקה או השמדה. הרי לא ניתן לבצע א י סוף מידע אישי מבלי לאחסנו, ואם המידע לא מאוחסן, הרי שלאחר איסוף המידע יש ל,מחוק אותו או להשמידו. לפיכך ל דעתנ ו, אף אם קיימות נסיבות, שאין אנו יכול ות להע לות על דעתנו כרגע, בהן מידע אישי רק נאסף ,אין ה ן מ שמעותיות במידה מספקת המצדיקה את ההב חנה בין המונחים ויצירת ה שונות המבלבלת בין ה .חוק בישראל לדין הנוהג לעניין עיבוד מידע אישי בשאר העולם עדיף לאח ד את ה הגדרות תחת המונח "עיבוד" המקובל בהקשרים של טכנולוגי ות מיד ע (ואף אינו יו צ "ר בלבול עם המנח "שימוש שעושה משתמש הקצה בטכ .)נולוגיות 1.5 . הגדרת" הרשות להגנת ה פרטיות" תיקון14 חסר הגדרה חשובה וחיונית ל"רשו ת להגנת הפרטיות". הרשות אינה מוזכרת בחוק או בתיקון14 אלא כצל של עצמה. "המ מונה" עומד רק ב"ראש יחידת פי קו"ח11 ו ההתייחסות ל עובדי ה רשות להגנת ה פרטיות מצומצמת ל ים בד עו ה כפו פים ישירות לממונה. 12 המדובר ,לדע תנו , בלא קו נה שיש בה כדי ל הביא לצמצום משק לה ותפקידיה של הרשות להגנת הפרטיות. משו ם כך , אנו מציעות להוסיף לסעיף3 בחוק הגדרה ברורה ל"רשות להגנת הפרטיות" שתסייע בגיבוש תמונה מלאה של רשות אחת, אחידה וע צמ אית המופקדת על הגנת הפרטיות בי שראל. 2. הוספת סמכויות לרשות להגנת הפרטיות 10 סעיף4 ( 2 ) ל- GDPR . 11 ף סעי 7 לתיקון14 , תיקון סעיף10 )(ה בחוק הגנת הפרטיות . 12 רא ו, למש ,ל סעיף23 מו המוצע ב תיקון14 . בד ברי ההסב ר לסעי ף מוסבר ש עובד בכיר הכפוף ישירות לממ ונה הוא עובד הרש .ות להגנת הפרטיות הממשלה אישרה בהח לטה מיום2 באוקטובר2022 את עצמאות הרשות ופירטה את תפקידה. 13 ראוי שרשות המבקשת לקבל לידה סמכויות אכיפה וענישה כאלו המפורטות בתיקון14 תוגדר כרשות עצמאית תוך פירוט תפקיד יה בחוק עצמו . 3. מחיקת חובת הרישום בסעיף4 לתיקון14 מוצע לתקן את חו בת הרישום ה מעוגנת ב סעיף8 לחוק הגנת הפרטיות. כפי שפירטנו בחוות דעתנו בעבר , 14 חובת הרי שום היא כיום אות מתה ואין לה מקבילה ב חקיקת הגנת המידע והפרטיות במרבית מדינות העולם אשר תיקנו את חוקיהן בעקבות אפקט בריסל. בעוד כיום אין הרשות להגנת הפרט יות, לדבריה, אוכפת את חובת הרישום, אלא רק בוחנת האם מולאה במידה שנפתחת חקירה בנוגע לפגיעה בפרטיות וש בנ א אחר, צמצומה יוביל דווקא להחייאתה ויטיל על חברות רבות נטל בירוק .רטי מיותר ,יתרה מכך חובת הרישום מאפשרת לרשות להגנת הפר טיות ולמשרד המשפטים ל הימנע מקביעת אמות מידה ברורות לנסיבות בהן א סור או מותר לפגוע בפרטיות .בדרך של עיבוד מידע ,כך במקום שהמחוקק יקבע ב חו ק אמות מידע ברורות לפגיעה מ ותרת או אסורה בפרטיות עקב ע יבוד מידע, נותר הכוח בידי ראש הר שות להגנת ה פרטיות. התיר ראש הרשות לרשום מאגר מידע– ניתן אישור ל .עיבוד המידע סירוב ראש הרשות להגנת ה פרטיות לרשום את מאגר המידע – המשמעות היא ש עיבו ד המידע שבמאגר המידע סא .ור ,בנסיבות אלו חובת הרישו ם מ אפשרת לרשות להגנת הפרטיות להחזיק בשיקול דעת רחב ובכוח ר ב תוך פגיעה משמעותית בוודאות המשפטי ת . פגיע ה אשר תוביל לכ .אוס בתעשייה זאת משום ש תשובתו של ראש רשות להגנת הפרטיות , האם ,הוא מקבל את בקשת הרישום אם לאו תתקבל רק לאחר ש נחצה תנאי הסף ל רישום מאגר המידע, כ לומר בוצע עיבוד מידע בהיקפים משמעותיים– בי ן100,000 ל– 500,000 .נושאי מידע ,כך, למשל חבר ת הזנק ש מ פתחת פלטפורמה ה מעבדת מידע על הרגלי הצריכה של משתמשי הפלטפורמה , תוכל לדעת האם הטכנולוגיה שהיא מפתחת תזכה לאישור ראש הרשות להגנת ה פרטיות אם לאו רק לאחר ש תסיים את כל הליך הפיתוח ותצבור מידע אודות הרגלי הצריכה של למעלה מ 500,000 נושאי .מידע כלומר עליה לפ עול ב חוסר ו ודאות מלא . בנסיבות אלו קשה להאמין שחברת ההז נק תצליח לגייס .כסף או תזכה לתמיכת קרנות הון סיכון על מנ ת להימנע ממצב כאוטי זה,יש לבטל את חובת הרישום לאמץ במקומה חובת עריכת תסקיר וחובת היוועצות ו כ ן כללים ב רורים לפגיעה מותרת בפרטיות בדרך ש ל עיבוד מידע, בדומה 13 החלטת מספר1890 של הממשלה מיום22 02.10.20 , עצמאות הרשות להגנת הפרטיות ותיקון החלטת .ממשלה 14 חוות דעת 'המכון הישראלי לדמוקרטיה בנושא הצעת חוק הגנת הפרטיות (תיקון מס14 ) , התשפ"ב– 2022 , מיום 3 ,ביוני2023 המ צ ורפת למסמך זה כ נספח א . לבסיסים הלגיטימי ים שב- GDPR . כך פועלים ב מרבית מדינות העולם, בעקבות הצור ך בתאימות עם ה- GDPR, מדו ע בישראל מתעקשים לשמר חובות אר כאיות ולהקשות על התעשייה? 4. איסור שימוש וניהול מאגר מידע 4.1 . סעיף8 א(א) המוצע בתיקון14 התיקון המוצע אוסר על "ניהול" "או "החזקה של "מאגר מיד ,"ע אם המידע הכלול בו "נוצ ,ר התקבל , נצ בר או נ אסף " בניגוד להוראות חוק ה גנת הפרטיות או דין אחר .ד לצ האיסור מופ יעה הגנ ה המורכבת מש לושה תנאים מצטברים: ( 1 ) המידע נמסר לו בהתאם ל;דין ( 2 ) לא היה עליו לדעת על אי החוקיו ת כאמור ; ו-( 3 ) .בנסיבות העניין הפגיעה היא קלת ערך בדברי ההסבר מובהר שהאיסור מתייחס רק לשלב האיסוף,של המידע עוד בטרם נעשה בו שימוש, ובכך משלים את האיסור הקי ים על שימוש במידע בני גוד למטרה שלשמה נמסר בסעיף2 ( 9 ) לחוק ואלו המוצעים בסעי פים10 ב ו- 10ג לתיק ו ן14 . 15 ,אולם"פעולות "ניהול" ו החזקה" אינן מוגדרו ת ב חוק או בתיקון14 . אלו מגדירים בעלי תפקידים– " ."מנהל מאגר מידע" ו"מחזיק ,לפיכך נראה כי האיסור האמו ר אינו חל על בעל ש ליטה במאגר מידע וכן אינ ו מונע שימוש או עיבוד של המידע הכלול במאגר .המידע לכ אורה בעל שליטה במאגר מידע אי נו מנוע מל קבוע את מטרותיו של מאגר מידע שהמידע הכלול בו נאסף בניגוד להוראות החוק או דין אחר העוסק בע יבוד מידע. באשר ל שי מוש במידע ממאגר המידע , פ עול ה זו ה ור אס רק אם נעש ת ה בחריגה מ המטרה לפי סעיף2 ( 9 ) לחוק ו- 10 ב המוצע בתיקון14 או בחריגה מהרשאה לפ י סעיף10ג המוצע בת יקון14 . ר מו כבו ת זו בהב נת ההוראה הקב ועה בסעיף8א(א) נובעת משימור התיבה "מאג"ר מידע בתיקון 14 ובהיע דר התייחסות ישי רה למהן הפעולות שמותר א ו אסור לעשו ת במידע עצמו. דרך המלך להוס פת איסור מקיף אשר יחול על כל מי שעלול לפ ,גוע בפרטיות ללא קשר לתפקיד א ותו הוא ממלא, ומבלי דח ליי את האיסור לפעולה מסו ימת במידע , מה שמחייב קביעת הוראות ספציפיות לסוגי פעו לות שונ,ים היא על ידי תיק ון סעיף1 לחוק :בחוק הגנ ת הפרטיו ת, הת שמ"א– 1981 (לה לן– החוק העיקרי), בסעיף1 , לאחר" המילים "ללא הסכמתו" יבוא, לפ."י הוראות חוק זה תיקון שכזה ייתר את הצ ורך לנסות ולהקיף את כל מגוון הפעולות שנעשות או עשויות להיעש ות במידע שלא בהתאם לחוק ויחול גם על פגיעה שלא לפי הוראות חוק זה בפר יט .ות הקלאסית אש ב ר ל רצון להחריג עיבודי מידע ה נעשים לפי דברי חקיקה אחרים כגון"חקיק ה מגזרית בנושא מידע רפואי, פיננסי או אחר, וכן ח קיקה המיוחדת לנושא או למאג ר מסוים כגון ח וק המאגר הביומטרי", ניתן להוסיף בסיפא, לאח" ר המילים לפי הוראות חוק זה" את המילים "או ן די אחר המסדיר עי בוד מידע" כפי שמופיע בסעיף8 (א) המוצע בתיקון14 . 15 תיקו ן14 , ב 'עמ431 . ל ,חילופין ניתן לייחד את הוראת הסעיף לעיבוד מידע ולקבוע כי "לא יעבד אדם מידע אם הוא נוצר, התקבל, נצבר או נאסף בניגוד לחו ק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע, אלא אם כ ."ן המידע נמסר לו בהתאם לדין באשר לשני התנאים המצטברים ה נוספים מהם מורכבת ה ה גנה שבסעיף8 א(א) ל דע ת נו מקומן בסעיף ה הגנו ת. אין מקום שכל אחד יעשה דין לעצמו ויכריע האם עומד בקיומם ש ל התנ אים המצטברים אם לאו. נושא זה צריך להיש קל כ חלק מהגנה בהליך מינהלי או פלילי בהתאם להגדרת .העבירות וההפרות בחוק 4.2 . סעי ף8 )א(ב לתיקון14 סעיף8 )א(ב , בשילוב עם הוראת סעיף23 ()כג(ג1 )לעניין העיצומים ה כספ,יים מבטיח ים הטלת כפל העיצום הכספי על הפרה במעשה ולא על הפרה במחד .ל המדובר במטרה ר אויה ונכונה ויש להחילה , לדעתנו , באו פ ן רחב על פגיעות מתמש כות אחרות בפרטיות, ולא רק על ניהול או החזקת מ אגר מידע בני גוד להוראות החוק או הדין. לו סעיף2 לחו ק הגנת הפרטיות היה מעו דכן אף הוא במסגרת תיקון14, קל היה לה פ נות להפרה של סעיפי חוק ספצי ם פיי שראוי שהענישה ב גינם תעשה רק במידה וההפרה התרחשה במעשה ולא במ חדל. בהיע דר תיקון כאמור, יש לדעתנו להח יל את הוראת סעי ף 8א(ב) על כל פגיעה בפרטיות ולהותיר שיקול דעת ל ראש הרשות להגנת הפרטיות ל וח של הודע ות הפרה כתנאי להטלת העיצום הכס פ י. לפיכך, אנו מצי ע ו ת לתקן את הוראת סע יף8 " א(ב) כך שבמקום מצא הממונה כי א ד ם ניהל או החזיק מאגר מידע ב ניגוד להוראות סעיף קט)ן (א ", יבוא "מצא ראש הרשות כי אדם פגע בפרטיות זולתו בניגוד להורא ת סעיף1 ."לחוק 4.3 . סעיף10 ב לתיקון14 סעיף זה אוסר על בעל שליטה במאגר מידע או מחזיק במאגר לעשות שימוש במידע , או ב" ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע", שבמאגר המידע, שלא למטרה לשמה נמסרו. המדובר בהרחבה מבורכ ת של עיקר ון צמידות המטרה . אולם, הביטוי י "יד עה על ענייניו הפרטיים של אדם" א ו ינ מוגדר .בחוק הפסיקה קבעה כי יש לפרש את ה ביטוי "ידיעה על עני יניו ה פרטיים של אדם" בסעי ף2 ( 9 ) בהתאם למכלול הנתונים הרלוונטיים ותוך מחויבות להגנה על יכולתו של האדם לקיי ם את האו טונומיה ".שלו ואת המרחב הפרטי הנתון לו16 באופן זה נפסק כי כתובתו של אדם ומ ספר הט ל פון הנייד שלו הם בגדר ענייניו ה פ .רטים של אדם17 נוכ ח הה גדרה הרחבה המוצ עת ל"מידע" ב תיקון14 , 18 כ"נתון הנוגע ל אדם מזוהה , א ו לאדם הניתן ל ,זיהוי 16 עע"מ05 / 9341 התנועה לחו פש המידע נ' רשות ה חברות הממשלתית (פורסם בנבו , 15.05.2009 ,) פסקה23 לפסק הג י ן; ע"א439/88 רשם מ אגרי המידע נ ' ונטורה(, פ"ד מח3 ) 808 ( 1994 .) 17 ראו עע"מ0/13 282 רוזנברג נ ' רשות הא כיפה והגבייה , סז( 1 ) 1 14 0 2 ; עת"מ19 - 01 - 67403 הר שמ ש נ' ה ממונה על ח וק חופש המידע ברשות המיסים ,(פורסם בנבו07.04.2019 .) 18 סעיף3 ( 3 ) לתיקון14, התיקון המוצ ע לגדרת "מידע" שבסעי ף7 .לחוק במישרין או בעקיפין , באמצעים סבירים, לר בות מזהה ביומטרי, מס פר זהות או כל נתון מזהה "ייחודי אחר , נדמה " שהמונח מידע" ה מוצע בתיקון14 מכיל בתוכ ו גם את הפרשנות שניתנה בפ סי קה למונח "ידיעה ע ל עניי"ניו הפרטיים של אדם או , לכל הפחו ת, המדובר במונחים.חופפים לפיכך, ראשית יש לבטל את סעיף2 ( 9 ) לחוק הגנת הפרטיות המגדיר "שימוש בידיעה על ענייניו של אדם או מסירתה לאחר, שלא למטרה שלשמה נמס רה " פכ גיעה בפרט יות . זאת על מנת ל א ליצור בחוק חזרה מיותרת העלולה .להוביל לקשיים פרשניים ,זאת ועוד בהינתן ש המונח "ידיעה על ענייניו הפרטיים של אדם" נכלל בגדר מידע או לפחות זהה "להגדרת המונח "מידע , משמעות " המילים לרבות ידיע ה על ענייניו ה פרטים של אדם אף שאי נ ה בגדר מי,דע " שב סעיף 10 ב המוצע אינ בר ה ורה וי ש לדעתנו למחוק.ן בנוס ף , מאחר ולא ניתן לצפות מראש ובמדו יק את טווח המטרות של עיבוד ה מידע האישי שנאסף ומתוך הבנת הצורך של תעשיית עיבוד המידע האישי לאפשר לעצמה מרחב פעולה להתפת חות ולחד שנות , יש לאפשר גם עיבוד למטרה ומה ד לפי מבחנים ה דומים במהות ם להסדר ה קבוע בסעיפים5 ( 1) ו- 6 ( 4) ל- GDPR . בדרך זו ימנע ה שימוש בהגדרת מטר ה כוללנית, מעורפלת וגורפת של מטרת עיבוד המידע (ל משל)", "לכל מטרה חוקית , אך ייווצ ר איזון נכון וראוי בין הצורך בבהירות ו בשקיפות כלפי נושאי המידע מבחינת מטרות ע יבוד המידע האישי עליהם לבין ההכר ח לא פשר מרחב פעולה להתפתחות ול חדשנו.ת לפיכך אנו מציעות להוסי נוס ב ף ח ס עיף10 ב המוצע" לאחר המילים שלא למטרה שלשמה ,נמסרו" את המילים "או למטרה הדומה למטרה שלשמה נאסף או נמסר המידע". ובסי פא של ה סעיף להוס יף א ת מבחני המטרה הדומ ה בז :ו הלשון "וא בב ו לבחון את קיומה ש ל מטרה דומה כאמור, ישק ול בעל ש ליטה ,במידע, בין השאר :את אלה (1 ) הק שר בין המטרה לשמה נאסף או נמסר המידע לבין מטרת העיבוד או השימוש שהוא מבקש ;לבצע (2 ) הנסיבות שבהן נאסף המידע , קיומה של מערכ ת יחסים בין נושא המידע לבין ב על השליטה מא ב גר ה מידע ואת ציפייתו ה סבירה של נו שא המידע בנוגע לעיבוד או לשימוש נוסף ב מידע , מעבר למטרה לשמ ה נאס ף או ;נמסר (3 ) האם המידע כולל מידע ב על רגיש ות מיוחדת ; (4 ) השלכות אפשריות של העיבוד או השימוש הנוסף ש הוא ".מבקש לבצע 4.4 . ף סעי 10ג תי ל קון4 1 ,ראשית בהתאם להערותינו בסעיף4.3 לעיל לעניין המ " ונח ידעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע" , יש לדעתנו למחוק מילים אלו גם מלשון סעי פים קטנים (א) ו-(ב) בסע יף 10ג. בנוסף, יש לתת את הדעת ל כך ש ן ס ו לש עיף10ג(א) או סרת רק על שימ וש במ יד ע ממאגר המידע בלא הר שאה, א ך .מתירה לעשות עיבוד כאמור כלומר, אדם יכול לאסוף מידע ממאגר מידע גם ללא הרשאה מב ע ל השלי .טה במאגר המידע או בחריגה ממנה דרך המלך ל ת קן זאת היא על ידי בחירה במונח אחד כולל למכלול הפעולות שניתן לעשות במידע איש י, כפי שהערנו ביחס למונח"ים "שימוש" ו יע"בוד בסעיף 1.4 .לעיל כמו כ ן, ה ר שאה יכולה שתינתן על ידי "בעל הש ליטה במאגר המ ידע" בהתאם להגדרת המונח ""מחזיק המוצעת בתיקון14 . 19 אולם, הרשאה יכולה להינתן גם על ידי "מחזיק" בהתאם להגדרת המונח "בעל הרשאה" ב.תקנות אבטחת מידע20 האם ""בעל הרשאה ש עושה א ו יעשה שימוש במיד ע ממאגר המידע בהרשאתו של מחזיק , יחשב כמפר הו ראה זו? האם הר שאה כללית של בעל שליטה במאגר מידע למח זיק להעניק הרשאות לצדדים ש לשיים מספיקה כדי להימנע מהפרת האיסו ר הקבוע בסעיף10 ?)ג(א העיסוק בשאלות פרשניות אלו מהווה מעמ סה על חברות מתעשיית המידע בישראל , בעיקר אלו העוש ות א ת ראשית צעדי ה ן בתעשייה ואינן בעלות כיסים עמ ם וקי יוע ל צים משפטיים . באשר לסעיף10ג(ב), הפ" ועל "החזיק או המילה "החז קה" אינ ם מוגדרים בחוק ויש להניח "שנגזרים מהגדרת בעל התפקיד "מחזיק ש בסעיף3 לחוק הגנת הפרטיות וה תיקון ה מוצע לה בתי קון4 1 . 21 ואו,לם מחזיק, לפי ההגדרה המוצעת, ה ו א מי שקיבל מבעל השליטה במאגר ה מידע "הרשאה לעשות שימוש במידע שבמאגר" במסגרת הת קשרות עם בעל השליטה במ ידע ולצורך מתן שירות מ .טעם בעל השליטה או עבורו נוכח הגדר ה זו לא ברור במה שונה "פעולת ה"החזקה בלא הרשאה ש ף סעי 10 )ג(ב מבק ש לא סור משימוש במידע מ מאגר מידע בלא הר ש אה האסור על פי סעיף10ג(א) המו צע. סעיף 10ג ב מהותו בא להצביע על פגיעות אפש ריות בפרטיות שמוצד ק לה פעיל בגי נן את סמכות האכיפה המינהלית של ראש הרשות . 22 הקשיים הפרשניים שמעור ר סעיף10 ,ג, על שני סעיפיו מובילים, ל דעתנו, למסקנה שע דיף לתק ן את מופעי הפגיעה בפרטיות שבסעי ף 2 לחוק על פני 19 סעיף2 לתיקון14 . 20 תקנה1 לתקנות הג נת הפרטי)ות (אבטחת מידע , תשע"ז– 2017 : "בעל הרשא ה" מוגד ר כ"יחיד אשר יש לו כישה לאח ד מאל ה על פי הרש ."אתו של בעל המאגר או המחזיק 21 סעיף2 לתיקון14 . 22 ראו סעיף23 ()כג(ד2) לעניין הפרת סעי ף 10 ג(א) וסעיף23 (כג ()ד3* לעניין הפרת סעיף10ג(ב) לתיקו ן 14 . הוספת סעיפים כדוגמת סעיף10 .ג באופן זה ירוכזו כל מופעי הפג יעה בפרטיות במקום אחד ותוג .בר הבהירות באשר ל תוכן מופעי הפגיעה בפרטיו ת, ניתן להוסיף לסעיף2 לחוק הגנת הפרטיות הוראה מצומצמת המאג דת את מהות סעיף10ג ולפיה "שימוש ע או יבוד מידע ממאגר מידע בלא ה ר שאה מבעל המאגר או מהמחזיק מה ווה פג יעה בפרטיות". אולם, לדעתנו , על מנת ליצור הוראה אחת רחבה וברורה שניתן להח יל ה בהרחבה על פגיעה בפרטיו ת עקב שימוש או ,עיבוד מידע עדיף להוסיף לסעיף2 הוראה לפיה "שימוש או עיבוד מידע על אוד ות אדם שלא לפי הוראו ת חוק זה או דין אחר המסדיר עיבוד מידע " מהווה פג י עה בפ.רטיות באשר לסיפא של סעיף10 ג (ב) לפיה "החזקה" אינ ה כוללת מצבים בהם נעשתה באקראי או ,בתום לב המדובר בהגנות ומקומן בסעיף ההגנות ולא כאן . לא זו א ,ף זו החוק כולל כבר היום הגנת תום לב מפורטת בסעיף18 ( 2 .) 5. ב תו ענה ייצוגית וביטל תקופת ההתיישנות מטרת ו המרכזית של תיקון14 ודחיפות חקיק תו אף בהיעד ר תיקון חיוני לדין המהותי היא חיזוק .סמכויות האכיפה, הפיקוח והענישה של הרשות להגנת הפרטיות מטרה זו נובעת מהקושי האובייקטיב י של הרשות להתמודד עם הפגיעות התכופות בזכות לפרטיות באמצעות הסמכויות המצומצמות הנתונות בידה כיום לפי חוק הגנת הפרטיות . לצד חיזוק סמכוי ות האכיפה, הפיקוח והענישה של הרגולטור האחראי, חיזוק הזכות לפרטיות ואכיפתה תושג גם באמצעות אכיפה .פרטית זו תתאפשר רק אם יוספו לתיקון 14 ( :שני תיקונים משמעותיים1) ב יטול המ ג בלה על תקופת ההתיישנות המונעת הגשת ת ביעה בח לוף שנתיים מיום הפגיעה; 23 ( 2 ) מתן אפשרות ג לה.שת תובענה ייצוגית בגין פגיעה בפרטיות זו מתאפשרת כיום רק אם הפגיעה בפרטיות מתקיימת במסגרת יחסי עוסק– .לקוח24 ,לטעמנו הצורך הדחוף בחיזוק סמכויות האכיפה של הרשות להגנת הפרטיות מצדיק גם את חקיקת תיקונים נקודתיים אלו כבר בתיקון14 מבלי להמתין לחקיקתו של תיקון .לדין המהותי 6. סיכום תמצית הערותינו 6.1 . יש להוסיף בדברי ההסבר למונח "מידע" או בגילוי דעת מטעם הרשות לה גנת הפרטיות הסבר למבחן ה "אמצעים הסבירים" בהתאם למבחן הפורץ המתעני.ין הבריטי 6.2 . בהגדרת "מידע בעל רגישות :"מיוחדת 6.2.1 . אין מקום ל הגדרת ""מידע רפואי בדומה להגדרת המונח בחוק זכויות החולה המצמצת את היקף המידע הרפ ואי רק לזה הנלמד תו ך כדי טיפול רפואי . מוצע ל תקן את ההגדר ה ל "מידע על מצבו הב ר יאותי או הנ ."פשי של אדם 23 סעיף26 .לחוק הגנת הפרטיות 24 ע"א4110/18 פלונית נ' ק דימה מדע-חינוך לחיים בע "מ ( 7.11.2019 .) 6.2.2 . יש ל צמצם את נתוני ה מיקו ם והתעבורה ו מזהה ביומטרי שיחשבו כמידע בעל רגישות מיו חדת רק לאלו" ( שיש בהם כדי ללמד על מידע לפי פרטים1 ) עד ( 5) ו- ( 8 ( ) עד11 )" . 6.2.3 . יש ל מחוק את המ ונח "מאגר מידע". 6.2.4 . יש למחוק את "שימוש "ולהגדיר מחד ש את ה"גדרת המונח "עיבוד. 6.3 . הגדרה בחוק שהרשות להגנת הפרטיות היא .רשות עצמאית תוך פירוט תפקידיה 6.4 . יש למחוק את חובת הרישום ולאמץ במקומה חובת עריכת תסקיר וחובת היוועצות כבר בתיקון 14 . 6.5 . יש למחוק את סעיף8 א(א) המוצע בתיקון14 ובמקומו לתקן את סעיף1 לחוק הגנת הפרט יות כ ך ש לאח ר המיל ים "ללא הסכמ" תו" יבוא , לפי הוראות חוק זה או לפי דין אחר המסד יר עיבוד מידע." לחילופין, יש לתקן את הוראת סעיף8 א(א) המוצע ולאמץ א ת הנ וסח הבא: "לא יעבד אדם מידע א ם הוא נוצר, התקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע, א לא אם כן המידע נמסר לו בהתאם ."לדין 6.6 . יש לתקן את סע יף8 (א )ב המוצע בתיקון14 כך שיחול על כל פגיע ה בפרטיות לפי .הוראות החוק " לפיכך במקום הרישא "מצא הממונה כי א םד ניהל או החזיק מאגר מידע ב )ניגוד להוראות סעיף קטן (א ", יבוא "מצא ראש הרשות כי אדם פגע בפרטיות ז ולתו בניגוד להורא ת סעיף1 ."לחוק 6.7 . יש למחו ק את ה מונח "ידיעה על ענייניו הפרטי ים "של אדם אף שאינה בגדר מידע מסעיפים10 ,ב 10ג(א) ו- 10 .)ג(ב 6.8 . יש למחוק את סעיף2 ( 9 ) לחוק ו להוסי ב ף נוסח המוצע ל סעיף10ב לתיקון14 לאחר " המילים,שלא למטרה שלשמה נמסרו" את המילים "או למ טרה הדומה למטרה שלשמה נאסף או נמסר המידע". ובסיפא של הס עיף להוסיף את מבחני המט רה הדומ ה :בזו הלשון "בבואו לבחון את קיומה של מט רה דומה כאמור, ישקול בעל שליטה ,במידע, בין השאר :את אלה (1 ) הקשר בין המטרה לשמה נאסף או נמסר המידע לבין מטרת העיבוד או השימוש שהוא מב קש ;לבצע (2 ) הנסיבות שבהן נאסף המידע , קיומה ש ל מערכת יחסים בין נושא המידע לבין בעל השליטה מא ב גר ה מידע ואת ציפייתו הסבירה של נושא ה מידע בנוגע לעיבוד או לשימוש נוסף ב מידע , מעבר למטרה לשמ ה נאסף או נמ ;סר (3 ) האם המידע כולל מידע ב על רגיש ות מיוחדת ; (4 ) השל כות אפשריות של העי בוד או השימוש הנוסף ש הוא מבקש ".לבצע 6.9 . יש ל מחוק את סעיף10ל ג ו הוסיף סעיף2 ( 12 )ב :זו הלשון "שימוש או עיבוד מידע על אודות אדם שלא לפי הוראות חוק זה או דין אחר המסדיר עיבוד מידע". 6.10 . יש למחוק את הוראת סעיף26 לחוק הגנת הפרטיות. כך הורא ת ההתיישנות שתחול היא ההוראה שקבועה בחוק ההתי י ,שנות תשי"ח– 1958 , ותעמוד על7 שנים מיום .הפגיעה בפרטיות 6.11 . יש להוסיף לתוספת השנייה לחוק תובענות יי צוגיות, התשס"ח– 2006 גם תביעה .בעלה לפי חוק הגנת הפרטיות בכ בוד וב ב רכה ד"ר ר חל ארידו ,ר הרשקוביץ ד"ר ת ה ילה שוורץ אלטשולר התוכנית לדמוקרטיה בעידן המי דע ה מכון הישראלי לדמוקרטיה