חומר רקע
1
י"ח
,בכסלו התשפ"ד30
בנובמבר2023
אל
: חברי ועדת החוקה, חוק ומשפט
מאת: הייעוץ המשפטי לוועדה
מסמך הכנה מטעם הייעוץ המשפטי לוועדה–
'הצעת חוק הגנת הפרטיות (תיקון מס14
"), התשפ
ג–
2023
(
'מסמך מס1):
תמצית הצעת החוק והחלת רציפות
על שולח
ן ועדת החוקה , חוק ומשפט
מונחת הצעת
'חוק הגנת הפרטיות (תיקון מס14
"), התשפ
ג–
2023
ובה מספר
תיקונים בחוק הגנת הפרטיות
, התשמ"א–
1981
(להלן–
חוק הגנת הפרטיות). חלקה העיקרי של ההצעה הוא בשיפור
והגברת
יכולות הפיקוח והאכיפה של
הרשות להגנת הפרטיות
, ביחס ל הוראות
ה חוק הנוגעות לפרטיות.במאגרי מידע
על
פי המוצע, הרשות תקבל סמכויות נוספות לפיקוח שוטף ולבירור מינהלי;
ייקבע מנגנון אכיפה מינהלי (עיצומים
)כספיים ויעוגנו בחוק, סמכויות
חקירה פלילית שנתונות כיום לרשות מכוח הסמכה של השר לביטחון הפנים . תיקון
מוצע נוסף הוא התאמת חלק מה
מונחים שבחוק
וחלק מההסדרים בו להתפתחויות הטכנולוגיות, החברתיות
והמשקיות שהתרחשו מאז
נחקק החוק לפני ארבעים שנה .
.בנוסף מוצע צמצום של חובת הרישום
ועדת החוקה, חוק ומשפט של הכנסת, החלה את דיוניה בהצעת החוק בכנסת ה-
24
אך הספיקה לקיים רק מספר
ישיבות בודדות טרם פיזור הכנסת. בכנסת הנוכחית או שרה החלטת רציפות על הצעת החוק ובידי הוועדה אפשרות
לאמץ את החלטות הוועדה בכנסת הקודמת או לשנות מהן .
במסמך שלפניכם נ ציג
את ה רקע
ה
כללי להצעת החוק , לרבות הבסיס התיאורטי של הזכות לפרטיות והאתגרים
,שניצבים בפני מימושה היום; נבקש לתאר
באופן תמציתי, נושאים כלליים לדיון ביחס להצעת החוק
ונציין מהן
החלטות הוועדה מהכנסת ה-
24
., כאמור
יוער, כי בימים אלו שוקדים משרד המשפטים והרשות על הצעת חוק נוספת
(תיקון15
)לחוק
שלהבנתנו עיקריה
.תיקונים מהותיים לחוק הגנת הפרטיות
הזכות לפרטיות,
חוק הגנת הפרטיות והרשות להגנת הפרטיות
הזכות לפרטיות
הזכות
לפרטיות היא זכות
אדם
חוקתית המעוגנת בסעיף7
.לחוק יסוד: כבוד האדם וחירותו קיימות מספר הגדרות
.לזכות כאשר אחת המקובלות נוגעת ליכולתו של אדם לשלוט במרחב הפיזי או הוירטואלי לגביו הזכות לפרטיות
נחשבת ככזו החלה על
שלושה תחומים: ה מרחב
ה
פיזי ;פ
רסום מידע פרטי אודות האדם
; ו היכולת לשמור על ,אנונימיות
בנסיבות רגילות.
הזכות לפרטיות נחשבת ל
זכות אדם טבעית ,
,הנדרשת לאדם, בין היתר
לצורך פיתוח
ומימוש
אישיותו כפרט ; לצורך
פיתוח וכינון אינטימיות ביחסים בינאישיים ו
אמון
ביחסים
מקצועיים
)(רופא, עו"ד
; ולצורך
הגנה מפני השלטון
והגנה על ההליך הדמוקרטי. הפרטיות מהווה
גם
שער ובסיס לזכויות נוספות אחרות
ובפרט
לחופש ה
ביטוי, כמגן מפני
אפליה.
,בנוסף הפרטיות
נחשבת ערך דמוקרטי ,
.בהיותה גבול ובלם ביחס לכוחה של המדינה על אזרחיה
2
אתגריה העכש
י וי ו ם
של הזכות לפרטיות נובעים מה
התפתחויות הטכנולוגיות של איסוף ,איגום
, הצלבה ועיבוד מידע ,
שהתרחבו והתפתחו מאוד בעש
ו
ר האחרון
ההופכים את היכולת להשיג מידע פרטי לשאלה של
רצון
, אפשרות חוקית
ו
עלות ולא של יכולת .
חוק הגנת הפרטיות והרשות להגנת הפרטיות
חוק הגנת הפרטיות, התשמ"א–
1981
בנוי חמישה פ
רקים :
,'פרק א האיסורים הבסיסיים על פגיעה בפרטיות- קובע את האיסור לפגוע בפרטיותו של אדם
ללא הסכמתו וכן
קובע כי פגיעה בפרטיות מהווה עוולה אזרחית ,ובנסיבות מסוימות גם עבירה פלילית. בפרק רשימת
מעשים המהווים
פגיעה בפרטיות , כגון
האזנה אסורה על פי חוק
או צילום
אדם כשהוא ברשות היחיד;
'פרק ב ,פרטיות במאגרי מידע (
Data protection
)
-
בפרק הסדרה של חובות בעל מאגר מידע והסדרת פנקס המאגרים
.וניהולו
,'פרק ג
הגנות -
;הגנות ופטור מאחריות פלילית, נטלי הוכחה והקלות בגזירת דין
,'פרק ד
מסירת מידע או ידיעות מאת גופים ציבוריים
;ובין גופים ציבוריים
'פרק ה,, שונות
עוסק במגוון עניינים, ובהם ,התיישנות, תחולת החוק על המדינה קביעת ,פיצויים בלא הוכחת נזק וכן
.אחריות של מפרסמים, מדפיסים ומפיצים
מכח החוק הותקנו מספר קבצי תקנות
ובהם תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–
2017
(להלן–
תקנות
)אבטחת מידע,
שמטרתן
וזיח ק ההגנה על המידע האישי
בהתאם להיקף המידע האישי שמנוהל בהן
.ולמידת רגישותו
בנוסף, לאחרונה אישרה ועדת החוקה, את תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור
הכלכלי
האירופי,)
התשפ"ג-
2023
,
ובהן זכויות ביחס למאגרי מידע שיש בהם מידע המגיע ממדינות האזור הכלכלי
.האירופי
ה תקנות הותקנו
כחלק ממהלך ש
מטרתו שימור מעמד התאימות לדיני ה פרטיות ועיבוד
ה מידע החלים באיזור
הכלכלי האירופי, ה-
General Data Protection Regulation (EU)
(ל
הלן ה-
"
GDPR
")
שנדרש לצורך המשך
קיומם של קשרי מסחר
והעברת מידע שוטפים
בין מדינות האזור הכלכלי האירופי
ו
בין ישראל .
הרשות להגנת הפרטיות
הוקמה
בשנת
2006
בהחלטת ממשלה
4660
.
באוקטובר2022
אישרה הממשלה
את החלט
ה
1890
ה ,מקבעת את הקמת הרשות
מעגנת את עצמאות ה ומסדירה את כהונת ראש הרשות ותנאי
הכשירות לתפקיד.
,בנוסף בהחלטה מפורטים תפקידיה העיקריים של הרשות ובהם היותה אחראית על
ה פיקוח
על
מילוי הוראות חוק
הגנת הפרטיות ותקנותיו
, חקירת חשדות ל
ביצוע עבירות לפי החוק , העלאת מודעות הציבור לזכות לפרטיות, טיפול
,בפניות הציבור, פיתוח ויישום תוכניות מקצועיות והכשרה וכן
קידום וקיו ם קשרים עם רשויות וגופים מקבילים
.בעולם
3
הצעת חוק הגנת הפרטיות– תיקוני הגדרות ומונחים מוצעים
סעיף1
להצעת החוק- שינוי מונחים
וסעיף3
להצעת החוק"
החלפת ההגדרה"הרשם" ב"ממונה על אבטחת המידע"
והוספת ההגדרה"המרשם"
"שינוי מונחים
1.בחוק הגנת הפרטיות ,התשמ"א–
1981
(להלן – החוק העיקרי ,)בכל מקום –
(1)
במקום "פנקס "יבוא "מרשם;"
(2)
במקום "בפנקס "יבוא "במרשם;"
(3)
במקום "מהפנקס "יבוא "מהמרשם;"
(4)
במקום "הרשם "יבוא "הממונה ראש הרשות;"
(5)
במקום "לרשם "יבוא "לממונה
לראש הרשות;"
(6)
במקום "בעל מאגר מידע "יבוא "בעל שליטה במאגר מידע;"
(7)
במקום "בעל מאג
ר המידע "יבוא "בעל השליטה במאגר המידע;"
(8)
במקום "מבעל מאגר מידע "יבוא "מבעל השליטה במאגר מידע;"
(9)
במקום "מבעל מאגר המידע "יבוא "מבעל השליטה במאגר המידע;"
(
10
)
במקום "לבעל מאגר המידע "יבוא "לבעל השליטה במאגר המידע;"
(
11
)
במקום "לבעל המאגר "בוא י "לבעל השליטה במאגר."
"
בנוסף, ומאחר שהדברים קשורים, נקדים את המאוחר ונציין כי ב סעיף3 ל הצעה מוצע להוסיף את ההגדרה"מרשם"
ו
להחליף
את ההגדרה"הרשם"
להגדרה"
הממונה או"ראש הרשות"
:
"
"מרשם–
מרשם מאגרי המידע המנוהל על ידי
הממונה על הגנת מידע ראש הרשות לפי
סעיף12
;
ב נוסף
להחל
פת
המונח"רשם"
למונח"ראש הרשות להגנת הפרטיות" מ וצע לשנות גם את
מ
הות ההגדרה ,כך ש
במקום:
"ר "שם- מי שמתקיימים בו תנאי הכשירות למינוי שופט של בית משפט השלו ,ם
והממשלה מינתה אותו, בהודעה ברשומות ,
לנהל את
קס נפ
מאגרי מידע (להלן- ה
פנקס ) כאמור בסעיף12
;
מוצע
להגדיר: "
"הממונה על הגנת מידע", "הממונה –ראש הרשות להגנת הפרטיות, ראש הרשות –
מי שמתקיימים בו תנאי
,הכשירות להתמנות לשופט של בית משפט מחוזי והממשלה מינתה אותו, בהודעה ברשומות
לעמוד בראש
הרשות להגנת
הפרטיות ו
לפקח על הגנת המידע במאגרי מידע
לפי הוראות
וק ח
.זה
הערות ונושאים לדיון :
שינו י
המונחים המוצעים (לרבות תיקונים שאינ
ם מופיעים בהצעה ומסומנים באפור) אושר על ידי ו עדת החוקה, חוק
ומשפט בכנסת ה-
24
לרבות
ה
הבהרה
כי הממשלה מינתה את ראש הרשות לא רק"
לפקח על הגנת המידע במאגרי
המידע" א לא אף ובעיקר .לעמוד ברשות הרשות להגנת הפרטיות
4
אנו
מ
זכירים
ב כי מסגרת דיוני הוועדה נדונה גם השאלה האם אכן "יש צורך בשינוי המונח "פנקס" ל"מרשם
ו כן
בהוספת ההגדרה"מרשם"
כאשר למיטב הבנתנו יש כוונה לביטול הרישום בתיקון15
,
אולם הוועדה בחרה שלא לשנות
.בנושא זה מהצעת החוק
"ה
רשות
, הרשות להגנת הפרטיות"
""הרשות", "הרשות להגנת הפרטיות–
";הרשות להגנת הפרטיות במשרד המשפטים
בשנת2006
החליטה ממשלת ישראל על הקמת הרשות להגנת פרטיות וטכנולוגיות מידע במשרד המשפטים. ב שנת2017
'שונה שמה של הרשות ל"רשות להגנת הפרטיות" (החלטת ממשלה מס3019
מיום07.09.2017
.)למרות ש
הרשות
היא
הרגולטור לענייני פרטיות בישראל והיא זוכה בהצעת החוק למסגרת רחבה ו ניתן אף לומר
חריגה בעוצמתה,
של פיקוח
,ואכיפה היא אינה מוזכרת כלל
בחוק או בתיקון המוצע .
גם" הרשם או"הממונה
/ ראש הרשות
עומד ב"ראש יחידת
פיקוח" ולא בראש הרשות
, וה התייחסות
ליחידת הפיקוח היא רק אגב כפיפות
ה
.לו
בהקשר זה נציין כי נכון יהיה לטעמנו לקיים דיון כולל במעמדה של הרשות
, בעצמאותה ובתפקידיה.
נקודת פתיחה
לדיון זה
צ
ריך לעמדתנו
להיות בהחלטת ממשלה1890
ה ,מקבעת את הקמת הרשות
מעגנת את עצמאות ה ומסדירה את
כהונת ראש הרשות ותנאי הכשירות
לתפקיד:
1
.
(א) הרשות להגנת הפרטיות (להלן: הרשות) היא
יחידה במשרד המשפטים שבראשה עומד ראש הרשות.
)(ב
הרשות תהיה עצמאית בהפעלת הסמכויות המוקנות לראש הרשות לשם מילוי תפקידיה באמצעות עובדי הרשות
,ובהתאם להוראות כל דין ותקציב הפעילות של הרשות ינוהל בנפרד בתוך תקצ יב משרד המשפטים. מתוך כיבוד
עצמאותה של הרשות, תפעל הרשות באופן בלתי תלוי בעת הפעלת הסמכויות המוקנות לראש הרשות.
2
.תפקידי הרשות הם בין היתר אלו:
)(א
ל
פקח על מילוי הוראות חוק הגנת הפרטיות, התשמ"א-
1981
והתקנות שלפיו ביחס למאגרי מידע.
)(ב
ל חקור
חשדות
,לביצוע עבירות לפי חוק הגנת הפרטיות
התשמ"א-
1981
ביחס למאגרי מידע בהתאם לסמכויותיה
על פי דין.
)(ג
להעלות את המודעות בציבור לזכות לפרטיות במאגרי מידע ,, לערך ההגנה על הפרטיות ולחשיבותו בעידן המידע
באמצעות חינוך, הדרכה והסברה.
)(ד
לטפל בפניות ציבו ר
שיש בהן ממש בעניין פגיעה בנושאי מידע לפי חוק הגנת הפרטיות, התשמ"א-
1981
.
)(ה
לפתח וליישם תוכניות מקצועיות והכשרות בתחומי פעילותה.
)(ו
לקדם ולקיים קשרים עם גופים מקבילים בעולם ובמסגרת פורומים בין-לאומיים שבהם משתתפים גופים מקבילים.
)(ז
לבצע את סמכ
ויות רשם הגורמים המאשרים לפי חוק חתימה אלקטרונית, התשס"א-
2001
.
3
.
)(א
'בהמשך להחלטות הממשלה מס4660
מיום19.1.2006
'ומס3543
מיום11.2.2018
, לקבוע כי תנאי הכשירות
למינוי כראש הרשות יהיו כדלקמן:
(1)
מי שמתקיימים בו תנאי הכשירות להתמנות כשופט של בית
המשפט המחוזי.
(2)
לא ימונה לראש הרשות מי שהורשע בעבירה פלילית או בעבירת משמעת שמפאת מהותה, חומרתה או נסיבותיה
אין הוא ראוי לכהן כראש הרשות, או שהוגש נגדו כתב אישום או קובלנה בעבירה כאמור וטרם ניתן פסק דין סופי בעניינו.
)(ב יובהר, כי בהתאם להחלטת ממשלה
'מס4470
מיום8.2.2009
,
ראש הרשות ימונה לתקופת כהונה אחת בת שש
שנים.
כן אנו סבורים כי יש מקום לבחון הסדרים נוספים של הקמת רשויות
ו
גופים דומים מקבילים.
גורמי המקצוע
ב ממשלה
ביקשו זמן נוסף
להיערך ל
מתן עמדתם בנושא זה
ועל כן בשלב זה טרם
וצ מ
ע נוסח .
5
סעיף 2 ו-
3 להצעת החוק – תיקון מונחים והגדרות
בסעיפים3 ו-
7 לחוק
בחוק
שני סעיפי הגדרות עיקריים :
-
בסעיף3 –
הגדרות מונחים
החלות על כלל החוק ובהן "אדם", "הסכמה", "מחזיק", "פרס
ום", "צילום" ו-
.""שימוש
מתוכן מוצע לתקן את ההגדרות "מחזיק" ו-
.""שימוש
-
בסעיף7
'(הממוקם בפרק ב') הגדרות החלות נכון להיום על פרק ב 'וד בלבד ושמוצע להחילן בנוסף על פרקים
'ד1
'עד ד4
(ובעקבות המלצתנו–
גם 'על פרק ה– כלומר על כלל החוק למעט פרק הפרטיות הקלאסית
)(א
ועל
פרק ההגנות
)(ג)
.
בסעיף מצויות ,"ההגדרות "אבטחת מידע", "מאגר מידע", "מידע", "מידע רגיש", "רשם
.""מנהל מאגר" ו"שלמות מידע
מוצע לתקן את הגדרת "מידע", "מאגר מידע", "מידע רגיש" ו-
"רשם" ולהוסיף את ההגדרות "בעל שליטה
,"במאגר מידע", "מזהה ביומטרי", "מפלגה
.""מרשם", "עיבוד" ו"תקופת בחירות
מטעמי
נוחות
תיקוני ההגדרות המוצעות בסעיפים3 ו-
7
מובאים להלן לפי ההקשר(ולא לפי סדר הא-
)ב .
בנוסף אנו
ממליצים שתיקוני ההגדרות "מפלגה" ו-
""תקופת בחירות ידונו יחד עם הסעיפים הרלוונטיים להן . עוד אנו מציעים
להוסיף הגדרה של "וע"דת החוקה, חוק ומשפט.
,"מידע""מאגר מידע ,ידיעה על ענייניו הפרטיים של אדם ,
""מידע בעל רגישות מיוחדת
"ו"מזהה ביומטרי
מוצע להחליף את ההגדרות "מאגר מידע" ו"מידע" בהגדרות חלופיות וכן להחליף את ההגדרה "מידע רגיש" בהגדרה
.""מידע בעל רגישות מיוחדת ,כאמור ההגדרות האמורות מצויות בסעיף7
'ומתייחסות להגדרות פרק ב' ופרק ד ,
ופרקים
ד1` עד ד4`
שבהצעה, ומומלץ להחילן גם על'פרק ה :
תיקון סעיף 7
3.בסעיף 7 לחוק העיקרי –
(1)
ברישה ,במקום "ובפרק ד "'יבוא "ו
בפרקים ד 'עד ד'4
'ובפרק ה;"
""מידע", "ידיעה על ענייניו הפרטיים של אדם
""מידע -
נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב;בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו
""מידע–
,נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מזהה ביומטרי
;מספר זהות או כל נתון מזהה ייחודי אחר
ההגדרה "מידע" מהווה את אבן היסוד להגנת הפרטיות במאג
רים ממוחשבים . ההגדרה המוצעת מחליפה הגדרה
ה משקפת תפיסה
מיושנת ו
לפיה רק סוגי מידע מסוימים ראויים להגנה ,
לתפיסה המבקשת להגן
מ איגום והסקה של
מידע
הנובע
."משילוב של פרטי מידע, לרבות פרטי מידע "תמימים
ועדת החוקה אישרה בכנסת ה-
24
את .הצעת התיקון
במסגרת הדיון נ
ב "חנו הביטויים "הנוגע"; "הניתן לזיהוי
."ו"באמצעים סבירים ביחס לביטוי "באמצעים סבירים" הובהר כי הביטוי
מתייחס
למידע שיכול להשיג אדם בעל
,יכולות רגילות, שיש לו גישה למשאבי מידע מתאימים(במאגרי מידע ציבוריים או בספריות)
,
או שצפויה להיות לו
,גישה כאמור ש
עושה שי
מוש בטכניקות מחקר רגילות .יצוין כי ב
מסמך הנחיות/ גילוי דעת של הרשות בבריטניה :
Information Commissioner’s Office, Chapter 2: How do we ensure anonymization is effective? )October
6
2020)
) קיימת גם התייחסות לקיומה של
מוטיבציה לזהות אדם מסוים.
(להרחבה ראו סעיף4(1) ל-
GDPR
ו-
סעיף26
ל-
recital
.)
ביחס ל "סיפא "לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר הובהר כי זה אינו רק פירוט אלא
הבהרה ש
גם "המפתחות" (כמו מספר תעודת זהות) כ
ש."לעצמם נחשבים "מידע
נוכח הרחבת הביטוי "מידע" ובהסכמת גורמי המקצוע בממשלה הח ליטה
הוועדה בכנסת ה-
24
להשמיט את הביטוי
"ידיעה על ענייניו הפרטיים של אדם במרבית מופעיו, בחוק ובהצעת החוק, למעט בסעיף2(9) לחוק .
שכן ביטוי
זה
"הופיע בהקשר של הרחבת המונח "מידע על "ידיעה על ענייניו הפרטיים של דם א אף שאינה בגדר מידע"
.
יוער, כי
ביטוי זה אכן ז( כה לפרשנות מרחיבה ראו לעניין זה ע"א439/88
רשם מאגרי מידע נ' ונטורה, פ"ד מח(3
)
808
בו נקבע
יצ כי רוף המילים "עניניו הפרטיים של אדם", לצורך פרוש הביטוי בסעיף2(9) לחוק כוללת "כ ל מידע הקשור לחייו
הפרטיים של
אותו אדם , לרבות שמו, כתובתו, מספר הטלפון שלו, מקום עבודתו, זהות חבריו, יחסיו עם אשתו ויתר
"חברי משפחתו וכדומה .
עוד יצוין כי
ב עע"מ9341/05
( התנועה לחופש המידע נ' רשות החברות הממשלתיות2009
)
נקבע כי"את תוכנו של הביטוי ידיעה על ענייניו הפרטיים של אדם יש לצק ת בכל מקרה בהתאם למכלול הנתונים
הרלוונטיים .", ותוך מחויבות להגנה על יכולתו של האדם לקיים את האוטונומיה שלו ואת המרחב הפרטי הנתון לו
"מאגר מידע"
""מאגר מידע -
אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט–
(
1
)
אוסף לשימוש אישי שאינו למטרות עסק; או
(
2
)
אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם
;כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף
""מאגר מידע–
אוסף פרטי
מידע המוחזק באמצעי דיגיטלי, למעט
;אוסף לשימוש אישי שאינו למטרות עסק
ה הגדרה
המוצעת מבטאת
את ההתפתחויות הטכנולוגיות ובכלל זאת את ביטול ההחרגה
של
מאגרים שכוללים רק
שמות ו
דרכי התקשרות,
וזאת
בשל הת
פיסה ש
אין כמעט מאגרי מידע שלא מייצרים אפיון שיש בו פגיעה בפרטיות
.לגבי מי ששמותיהם כלולים במאגר
בהצעת החוק החרגה של אוסף פרטים לשימוש אישי , כאשר למיטב ידיעתנו אין בפסיקה הכרעות מהותיות ביחס
לביטוי זה.
נציין כי החריג כפי שהוא נתפס על ידי הרשות, אינו חל על רשימות של ועדים כמו ועד הבית או ועד בית
הספר
, ונראה כי הפרשנות של הביטוי "שימוש אישי" היא פרשנות צרה.
נציין כי
ב-
GDPR
ההחרגה מתייחסת
לפעילויות אישיות במסגרת אישית או ביתית
personal
Article 2(c): By a natural person in the course of a purely
tivity
or household ac. המפורש ב-
Recital
כחל על:
"Correspondence and the holding of addresses, or social
networking and online activity undertaken within the context of such activities.
.
עוד יצוין כי ב-
GDPR
."אין התייחסות ל"מאגרי מידע" וההגנה מוענקת לכל "מידע אישי
למיטב הבנתנו גורמי
המקצוע ב
ממשלה מעוניינ
ים להמשיך ולהשתמש בביטוי "מאגר מידע" מאחר ש
לעמדת
ם שינויו יחייב שינוי לכל אור כו
של
החוק , וכן
יחייב שינוי בשורה של חיקוקים אחרים המתייחסים למאגרי מידע מסוגים מסוימים .על פי
גורמי
המקצוע בממשלה אין צורך בביטוי"מידע" בהכרח, ש כן שני פריטים ומעלה יכולים להיחשב"
מאגר "מידע לעניין
.הוראות החוק,מאידך
החשש ביחס
להמשך השימוש ב ביטוי"מאגר מידע"
הוא
ב החלת חובות מוגברות ביחס לכל
ה ,פריטים שבמאגר מסוים
בש ל אחסנתו המשותפת עם פריטים
מסוימים שמחייבים את אותה חובה מוגברת .
7
"
"מידע בעל רגישות מיוחדת
""מידע רגיש–
(
1
)
;נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו
(
2
)
מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של ה;כנסת, שהוא מידע רגיש
""מידע בעל רגישות מיוחדת– כל אחד מאלה:
(
1
)
;מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד
(
2
) מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ
"ו–
1996
;
(
3
) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–
2000
;
(
4
)
מידע על אודות דעותיו הפוליטיות;או אמונותיו של אדם
(
5
) מידע על אודות עברו הפלילי של אדם;
(
6
)
נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה–
נתוני
תקשורת), התשס"ח–
2007
, לגבי
;אדם
(
7
)
;מזהה ביומטרי
(
8
)
מידע
ע;ל מוצאו של אדם
(
9
) מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות , מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחיבויותיו
הכלכליות ומידת עמידתו בהן;
(
10
)
( הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים1
( ) עד8
;)
(
11
)
;מידע שחלה עליו חובת סודיות שנקבעה בדין
(
12
)
מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוק חוק ומשפט של הכנסת;
מוצע להחליף את ההגדרה של "מידע רגיש" בחוק ולהחליפה בהגדרה "מידע בעל רגישות מיוחדת " המונה11
סוגי
מיד( ו ע .)בנוסף הסמכה של השר לקבוע סוגים נוספים המשמעות של מידע בעל רגישות מיוחדת נוגעת, לפי הצעת תיקון
14
,
לחובת
ה
רישום ולגובה העיצום הכספי שיושת , אך
למיטב הבנתנו
המשמעויות העיקריות של ההגדרה, צפויות
להתברר במסגרת תיקון15
,אשר עתיד לקבוע תנאים לעיבוד מידע
, ל רבות מידע בעל רגישות מיוחדת וייתכן שאף
נסיבות בהן לא יהיה ניתן לעבד מידע כאמור . במקרים אלו יש להניח כי "תהיה משמעות לשאלה אם מידע הוא "רגיל
או "בעל רגישות מיוחדת" לעניין ההוראות
.שתיקבענה
בהקשר זה נציין כי
פרק ההגדרות של הGDPR-
לא כולל
הגדרה של מידע בעל רג ישות מיוחדת, אך סעיף9(1) ל-
GDPR
.קובע קטגוריות מיוחדות של מידע אישי שעיבודו אסור, אלא בנסיבות מסוימות סעיף זה
כולל
חלק מסוגי ה מידע
שב
הגדרה המוצעת :
Processing of personal data revealing racial or ethnic origin, political opinions, religious or
philosophical beliefs, or trade union membership, and the processing of genetic data, biometric
data for the purpose of uniquely identifying a natural person, data concerning health or data
concerning a natural person’s sex life or sexual orientation shall be prohibited.
8
תשומת הלב של הוועדה כי ככל שההגדרה של מידע בעל רגישות מיוחדת רחבה יותר, יהיה קשה יותר להחיל ביחס
לפרטים שמוגנים בה הגנות רחבות יותר, ולהיפך–
ככל שההגדרה תהיה יותר רחבה–
עומק ההגנה שניתן להחיל ביחס
.אליה יהיה רב יותר
(1) מידע על צנעת חייו האישיים של אדם, לר;בות התנהגותו ברשות היחיד
הפרט הראשון בהגדרה המוצעת מחליף חלק ניכר של
ה הגדרה
ה
קודמת,
,נתונים על אישיותו של אדם, צנעת אישותו:
בפסיקה ניתנה" לביטוי
צנעת חייו האישיים של אדם"
משמעות רחבה. כך לדוגמא נקבע כי
פרסום
הדמיות
ממוחשבות של עיצוב פנים הבית של אדם, ללא ,הסכמתו מהווה פגיעה
בצנעת חייו האישיים (
באותו מקרה
פרסם אדריכל את הדמיות עיצוב הבית של לקוח) .
בית המשפט הדגיש כי למרות שההדמיות הן
ממוחשבות,
הרי
ש
חשיפת חללים אישיים בבית, כגון חדר השינה וחדר הרחצה ,יש בה
ם
כדי להעיד על אורחות החיים ,ואף ללמד
על התנהגות ברשו
ת היחיד (ע"
א1697/11
א. גוטסמן אדריכלות בע"מ נ' אריה ורדי) .
הובהר כי אין צורך
בחציית
רף גבוה ביותר של אינטימיות–
דוגמת עניינים הקשורים בעברו המיני של אדם–
על מנת להוכיח פגיעה ב"צנעת
"החיים האישיים.
ב-
GDPR
,, כאמור ניתן למצוא הגדרה הנוגעת ל :
data concerning a natural person’s sex life or sexual
orientation
.
יוער כי בהצעה
הושמטו הבי
טוי
ים "אישיותו של אדם"
"ו"צנעת אישיותו
במסגרת הדיונים בכנסת
ה-
24
ביקשה הוועדה להוסיף
התייחסות לנושא זה( . ראו פרט5
.) החדש שלהלן
(2) מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ
"ו–
96
19
;
.מידע המתייחס למצב בריאותו של אדם
בדיוני ועדת החוקה של הכנסת ה-
24
עמדה הוועדה על כך שפרשנות זו מצומצמת יותר מהנוסח הנוכחי (מידע על
"מצב בריאותו,)"
מאחר שחוק זכויות החולה מגדיר מידע רפואי
בהקשר של יחסי מטפל-מטופל: "
מידע המתייחס
באופן ישיר למצב בריאותו ה גופני או הנפשי
של מטופל או לטיפול הרפואי בו"
. מהדיון עלה כי ההפניה לחוק
זכויות החולה נעשתה כדי להבהיר
ש הכוונה
היא גם ל
מידע נפשי,
אך זאת .מבלי לציין זאת באופן ישיר
ב-
GDPR
ההגדרה רחבה וכוללת :
data concerning health
.
בפרט35
ל-
recital
הובהר :
"Personal data concerning health should include all data pertaining to the health status of a data
subject which reveal information relating to the past, current or future physical or mental health
status of the data subject. 2This includes information about the natural person collected in the
course of the registration for, or the provision of, health care services as referred to in Directive
2011/24/EU of the European Parliament and of the Council¹ to that natural person; a number, symbol
or particular assigned to a natural person to uniquely identify the natural person for health purposes;
information derived from the testing or examination of a body part or bodily substance, including
from genetic data and biological samples; and any information on, for example, a disease, disability,
disease risk, medical history, clinical treatment or the physiological or biomedical state of the data
subject independent of its source, for example from a physician or other health professional, a
hospital, a medical device or an in vitro diagnostic test."
(3) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–
2000
;
הפרט
""מידע גנטי
הוא פרט חדש ביחס להגדרות הקודמות . בהצעת החוק מוצע להפנות להגדרת :חוק מידע גנטי
""מידע גנטי-
;מידע הנובע מבדיקה גנטית
9
בrticle 4(13)
A
ל-
GDPR
המונח מתייחס למידע הנ וגע
לתכונות גנטיות
שמספקות אינפורמציה ייחודית על
הפיזיולוגיה או הבריאות של נושא המידע ושנובעות מניתוח של
דגימה ביולוגית :
personal
genetic data' means
of a natural person which give
relating to the inherited or acquired genetic characteristics
data
result, in
nformation about the physiology or the health of that natural person and which
unique i
.
particular, from an analysis of a biological sample from the natural person in question
פרט
34
ל-
recital
:
(
34
)
ng to the inherited or
relati
Genetic data should be defined as personal data
which result from the analysis of a biological
of a natural person
acquired genetic characteristics
sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA)
or from the analysis of another element enabling equivalent
,
or ribonucleic acid (RNA) analysis
information to be obtained
. כלומר, ב-
GDPR
יש הנחה כי תיתכן למידה של תכונות גנטיות גם ממידע שאינו
.מופק מדגימה גנטית שעליו ראוי להגן
(4) מידע על אודות דעותיו הפוליטיות , או
אמונותיו][הדתיות של אדם [או השקפת עולמו];
כיום קובע החוק כי "דעותיו ואמונותיו" של אדם הן מידע רגיש .
בהצעת החוק
מו צע לצמצם את ההגנה
ל"
דעות
פוליטיות."
ביחס ל הגנה על
אומונותיו של אדם –
בדיוני הוועדה הובהר כי הכוונה של גורמי המקצוע בממשלה היא
הן
לאמונות דתיות ו הן לאמונות המהוות .השקפת עולם נציין כי ה-
GDPR
,מתייחס לדעות פוליטיות
אמונות דתיות
או אמונות פילוסופיות :
religious or philosophical beliefs
,
al opinions
politic
.
בדיוני ועדת החוקה בכנסת ה-
24
.הוועדה הביעה עמדתה כי ההגדרה רחבה ביותר ונדרש צמצומה בהתאם, מוצע
נוסח מצומצם יותר מההגדרה המקורית- "
מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם או
השקפת עולמ."ו
(5)
הערכת אישיות שנערכה מטעם גורם מקצועי או .באמצעי שמיועד לביצוע הערכות אישיות
בדיוני הוועדה בכנסת ה-
24
עלה מהציבור קושי הנוגע לבחינת קווי אישיות (על ידי גורמי מקצוע–
כמו מפקדים
בצבא, מורים וכו') וכן ניתוחי אישיות שלAI
–
בין היתר לצרכי שיווק. בהתאם לכך .מוצע הנוסח שלעיל
(6)
;מידע על אודות עברו הפלילי של אדם
(
5
)(7)
נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח–
-
2007
;, לגבי אדם
נתוני מיקום ונתוני תעבורה הם נתונים שעיקר ההגנה לגביהם
נובעת מהיותם מידע שניתן להפיק מ
מ נו מידעים
( אחרים
כגון נט .)יה מינית או מצב בריאותי בשל כך הכירו הן המחוקק והן
י בת
המשפט בקשר ההדוק בין הפגיעה
בזכות לפרטיות ובין נתוני מיקום(סעיפים 1 ו-3 ל
חוק סדר הדין הפלילי (סמכויות אכיפה –
נתוני תקשורת) ,
התשס"ח-
2007
;
בג"ץ6732/20
האגודה לזכויות האזרח נ' הכנסת)(איכוני השב"כ
ופסקה17
לפסק הדין בעניין
רע"א2404/21
( פלונית נ' פלוני22.7.21
) "
17
.
...הפגיעה הטמונה בג ילוי נתוני מיקום ללא הסכמתו של מושא
האיכון, באה לידי ביטוי, בעיקרו של דבר, בעצם חשיפת תנועותיו של הפרט והיותן מושא לתשומת לבו של אדם
אחר
...
כמו כן, נתוני מיקום עשויים ללמד רבות על אורחות חייו ומאפייניו של מושאם, כך שחשיפתם לזולת עשויה
אף להסב לו נזקים של
ממש במגוון תחומים".
10
במסגרת
דיוני הוועדה בכנסת ה-
24
נבחן
צמצום
ההגדרה לנתוני מיקום שיש באפשרותם לגלות מידע נוסף , אלא
שלא
ברור
אם הגדרה זו ישימה,
שכן על פניו
לא נית ן לדעת אילו מידעים מגלים נתוני מיקום. בנוסף, עולה שאלה
האם אין בנתוני איכון כשלעצמם גם להוות
מידע רגיש נוכח הפיכת
הפרט, כאמור, למושא לתשומת ליבו של אדם
אחר .
בנוסף הוועדה עמדה על הצורך שלא להגביל את התחולה של מידע בעל רגישות מיוחדת רק לנתוני מיקום
בהתאם לחוק התקשורת , אלא
לנתונים המעידים על מיקומו של אדם בכלל.
ל אור
הערות הוועדה מוצע נוסח חלופי :
"נתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה–
נתוני
תקשורת), התשס"ח-
2007
, לגבי אדם ונתוני מיקום, למעט נתון יחיד לעניין נושא מידע שאין בו כדי ללמד על מידע
( לפי פרטים1
( ) עד6
( ) או8
( ) עד9
")
.
(8)
;מזהה ביומטרי
"מזהה ביומטרי– נתון ביומטרי
המשמש לזיהוי אדם או לאימות זהותו, או אמצעי ][זיהוי
ביומטרי
שניתן להפיק ממנו נתון
כאמור; לעניין זה ""ביומטרי– מאפיין אנושי, פיסיולוגי או התנהגותי ייחודי, הניתן למדידה מ
מ"וחשבת
ההגדרה המוצעת
מבוססת על ההגדרות הקבועות בחוק הכללת אמצעי זיהוי ביומטריים ונתונ י זיהוי ביומטריים
במסמכי זיהוי ובמאגר מידע, התש"ע–
2009
:
"
"נתוני זיהוי ביומטריים –
נתונים ביומטריים שהופקו,מאמצעי זיהוי ביומטריים
וניתן לעשות בהם שימוש לצורך
זיהוי או אימות זהותו של אדם באופן ממוחשב או ממוחשב בחלקו;
"אמצעי זיהוי ביומטריים "
–
" הם
תמונת תוו י הפנים ותמונות שתי טביעות האצבעות המורות של אדם, שניתן להפיק
מהן
נתוני זיהוי ביומטריים;
בסעיף4(
14
)לGDPR-
"מוגדר "מידע ביומטרי :
‘biometric data’ means personal data resulting from specific technical processing relating to the
"
confirm the
of a natural person, which allow or
r behavioural characteristics
physical, physiological o
"
, such as facial images or dactyloscopic data;
of that natural person
unique identification
מידע אישי הנוצר מעיבוד,טכני ספציפי והקשור למאפיין פיזי, פסיכולוגי או התנהגותי של אדם
שמאפשר או מאשר
את הזיהוי הייחודי של אותו אדם .. למשל תמונת תווי פנים או טביעות אצבע
בדיון האחרון בהצעה ביקשה הוועדה מגורמי המקצוע בממשלה להתייחס לקושי הנובע מכך שכיום כל מאגר
תמונות או מאגר הקלטות שירות לקוחות הוא למעשה מאגר של מזהה ביומטרי בדרגת רגישות מ יוחדת מצד אחד
ובשימוש נפוץ .
(
6
)(9)
מידע
ע
ל מוצאו של אדם או השתייכותו הלאומית;
הגדרה זו אינה
נמצאת כיום בחוק או בתקנות אבטחת מידע בו-
GDPR
:מופיעה הגדרה מצומצמת ביחס למוצא
"
racial or ethnic origin
."
עם זאת עמדת
ג
ורמי המקצוע בממשלה היא כי ה ניסיון מלמד שהפליה על רקע מוצאו
של אדם
אינה נדירה ועל כן נכון יהיה להוסיף התייחסות גם למוצא , אלא שיש לבחון אם הגדרה זו אינה רחבה
מדי .הוועדה בכנסת ה-
24
.טרם החליטה בעניין זה
11
(
10
) מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, י כולתו לעמוד בהתחיבויותיו
הכלכליות ומידת עמידתו בהן;
מידע על נכסיו של אדם, חובותיו או התחייבויותיו הכלכליות, מידת עמידתו ויכולתו
";לעמוד בהן, ושיש בהם ללמד על מצבו הכלכלי או שינוי מהותי בו
ה-
GDPR, החוק בבריטניה והחוק באוסטרליה ם אינ מתייחס
ים למידע בנוגע למ צבו הכלכלי של אדם כאל מידע
.)רגיש (או מידע האסור לעיבוד אלא בנסיבות מיוחדות
באוסטרליה לדוגמא החליטה נציבות הפרטיות שאין
להתייחס למידע על מצבו הכלכלי של אדם כאל מידע רגיש מ'מס סיבות ובפרט מאחר ש מידע כלכלי נדרש לשם
ו ביצ
ע פעולות ועסקאות שגרתיות והגד רתו כמידע
רגיש תכביד על ביצוען
, ומאחר ש מידע כלכלי
דורש ממילא
רמת
אבטחת מידע גבוהה
ה מוסדרת ומובטחת ברגולציה לנותני אשראי
גם מבלי להגדירו כמידע רגיש (
Australian
Law Reform Commission, Sensitive Information (Aug. 6, 2010)
).
נציין כי בחוק ההגנת הפרטיות בנוסחו
כיום מוגדר
."מצבו הכלכלי" של אדם כמידע רגיש
מאז נחקק חוק הגנת הפרטיות נקבעו מספר הסדרים פרטניים
מחמירים הנוגעים לסוגים מסוימים של מידע על מצבו הכלכלי של אדם ובהם ,חוק נתוני אשראי
ה
תשע"ו-
2016
,
ו ,חוק שירות מידע פיננסי
ה
תשפ"ב-
2021
.
מוצע לשקול להוסיף הגדרה ל"נכ ס". הגדרה
מוצעת בעקבות שיח עם
גורמי המקצוע בממשלה-
""נכס–
,מקרקעין
."מיטלטלין או זכויות
(
7
)(
11
)
הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים(
1
( ) עד8
) (
1
( ,)
2
( ) או4
);
פרט10
, שעניינו הרגלי צריכה של אדם( מבקש להגן על מידע לפי פרטים1
( ) עד8
.) ואין בו כשלעצמו משום רגישות
מוצע לעיל נו סח
מצומצם יותר.
נציין כי בתקנות אבטחת המידע
יש הפניה ל
הרגלי צריכה שיש בהם כדי ללמד על
"אישיותו
של אדם ,אמונתו או דעותיו."
(
8
)(
12
) מידע שחלה עליו חובת סודיות שנקבעה בדין;
(
13
) מידע נוסף שקבע
;שר המשפטים, בצו, באישור ועדת החוק חוק ומשפט של הכנסת
לדיון :
האם פרט המידע הזה אכן נדרש
, האם נעשה בו שימוש ?
ככל שהוועדה סבורה כי נכון להוסיף את הפרט–
מוצע לשקול לעשות כן בדרך של תוספת–
כך שכל הפרטים
המהווים מידע בע .ל רגישות מיוחדת יופיעו בחוק עצמו
"בעל שליטה במידע" ו
"מחזיק", לעניין מאגר מידע
", שימוש ועיבוד –
""בעל שליטה במאגר מידע
תיקון סעיף7
3.
(2)
אחרי ההגדרה "אבטחת מידע "יבוא:
""בעל שליטה במאגר מידע "
–
מי שקובע ,לבדו או יחד עם אחר ,את
מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק
לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור;";
12
כאמור, בהצעת החוק (סעיף1
)להצעה
מוצע להחליף את המונח
""בעל מאגר מידע
במונח
""בעל שליטה במאגר מידע .
בסעיף3
( מוצע להוסיף הגדרה חדשה של בעל שליטה במאגר מידע
ב נוסח
ה חוק הנוכחי אין
הגדר ה של "בעל מאגר
"מידע
אלא יש ציון של חובותיו של בעל מאגר מידע לעניין
רישום ,
אבטחת מידע
ו
ביחס ל זכויות
נושאי המידע,
כגון
מתן זכות עיון).
ההגדרה המוצעת מבטא
ת ה
דגשה של אלמנט השליטה במטרות עיבוד המידע
ובהיבטים המרכזיים הנוגעים לאופן
העיבוד של המידע, תוך צמצום הדגש שניתן בנוסח כיום לאלמנט הבעלות הקניינית על המאגר. שינוי זה הולם את
המונח המקביל בתקנות האירופיות בדבר הגנת מידע, ה-
Controller
המעוגן בסעיף4(7) ל-
GDPR
:
" 'Controller’ means the natural or legal person, public authority, agency or other body which,
alone or jointly with others, determines the purposes and means of the processing of personal
data; where the purposes and means of such processing are determined by Union or Member State
law, the controller or the specific criteria for its nomination may be provided for by Union or
Member State law.".
בניגוד
ל-
GDPR
בהגדרה המוצעת אין דרישה ל
שליטה באמצעי עיבוד המידע. ז את כדי למנוע מצב בו העדר השליטה
על האמצעים או פיצול (לרבות פיצול מכוון ומאולץ
) יביא ל קושי בהצבעה על בעל
ה .שליטה במאגר מידע נוסח זה הוא
במובן מסוים מסקנה
מקושי שזוהה
ב
הגדרה שב-
GDPR
לפיה בעל השליטה הוא
מי שיש לו שליטה
במטרות העיבוד
וכן
באמצעי העיבוד (לדוגמא האלגוריתם, ההחלטה על הצלבה עם מאגר אחר, שימוש ב-
AI
.)'וכו
""מחזיק
, לעניין מאגר מידע
"תיקון סעיף 3
2.בסעיף 3 לחוק העיקרי –
(1)
במקום ההגדרה "מחזיק ,לעניין מאגר מידע "יבוא:
";"מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש
""מחזיק ,"לעניין מאגר מידע – מי שהתקשר עם בעל של
יטה במאגר מידע למתן
שירות לבעל השליטה או למתן שירות מטעם בעל השליטה ,וקיבל מבעל
השליטה במאגר המידע ,במסגרת ההתקשרות ,הרשאה לעשות שימוש
במידע שבמאגר לצורך מתן השירות;";
על פי ההגדרה המוצעת
המחזיק מתאפיין
ב :שני אלו
(1)
התקשרות עם בעל השליטה במאגר המידע –
א.
למת ן שירות
ל
בעל השליטה
או
ב.
למתן שירות
מטעם
;בעל השליטה
(2)
קבלת
הרשאה לעשות שימוש במידע שבמאגר
+
+ מסגרת התקשרות
לצורך מתן השירות .
ההגדרה החדשה מחדדת את
ההבחנה
" הקיימת בין
בעל שליטה במאגר מידע "", "מחזיק
ו-"מורשה גישה למאגר
מידע".
מ כן ובהר
ש
ההחזקה לא חייבת להיו
ת פיזית, וכי דרך איגום המידע אינה רלוונטית לתחול ת.הוראות החוק
13
,אם כן
מוצעים שלושה בעלי תפקידים: בעל השליטה במידע, המחזיק ובעל הרשאה למאגר מידע:
בעל השליטה במאגר מידע
)(הצעת חוק הגנת הפרטיות
מחזיק
)(הצעת חוק הגנת הפרטיות
בעל הרשאה למאגר מידע
(תקנות הגנת ה))פרטיות (אבטחת מידע
"בעל שליטה במאגר מידע "
–
מי
שקובע ,לבדו או יחד עם אחר ,את
מטרות עיבוד המידע שבמאגר המידע
או גוף שהוסמך בחיקוק לנהל מאגר
מידע או שבעל תפקיד בו הוסמך לכך
כאמור";
לדוגמא: חוקר המקבל הרשאה למאגר
; לשימושו
רפואיים
נתונים גורם
המקבל נתח מ מאגר (לדוגמא מפלגה
)ממאגר הבוחרים–
הוא
"בעל שליטה
במאגר" בנגזרת שקיבל לשימושו.
"מחזיק ,"לעניין מאגר מידע
–
מי
שהתקשר עם בעל שליטה במאגר
מידע למתן שירות לבעל השליטה או
למתן שירות מטעם בעל השליטה ,
וקיבל מבעל השליטה במאגר
המידע
,במסגרת ההתקשרות ,
הרשאה לעשות שימוש במידע
שבמאגר לצורך מתן השירות;";
לדוגמא: קבלן המבצע מחקר עבור
תאגיד
או חברה המנפיקה תלושי
שכר עבור משרד ממשלתי
"בעל הרשאה
–
" יחיד
אשר
יש לו גישה
לאחד מאלה על פי הרשאתו של בעל המאגר
או המחזיק:
(
1
)מידע מהמאגר;
(2)
מערכות המאגר;
(3)
מידע או רכיב הנד רש לצורך הפעלת
המאגר או לצורך גישה אליו.
על אף האמור, מחזיק שאינו יחיד או יחיד
שקיבל גישה על פי הרשאה של מחזיק, לא
ייחשב כבעל הרשאה של בעל המאגר;
לדוגמא: שליח של וולט שיש לו גישה
לכתובות
או עובד שניתנה לו הרשאת גישה
.למידע מהמאגר
ככלל ניתן לומר ש
רבות מה "חובות ומהסנקציות המוטלות על "בעל השליטה במאגר מידע בקשר עם אבטחת המידע
.מוטלות במקביל ובאופן דומה גם על המחזיק
יצוין כי
ב-
GDPR
אין משטר של"מאגרי מידע" ועל כן הגדר
ת "מחזיק"
לא רלוונטית .ב-
GDPR
נעשה שימוש בהגדרהprocessor
"המתורגמת להגדרת "מעבד (סעיף4(8
))
:
which
means a natural or legal person, public authority, agency or other body
processor’
'
processes personal data on behalf of the controller;
לדיון:
מה התועלת בהגדרה
המוצעת", "מחזיק
לעומת"מעבד" (שב-
GDPR
)
?
האם אין בכך כדי לייצר בלבול עם החזקה
פיזית ?נ ציין כי
הביטוי "מחזיק" מופיע כיום בחוק ב-
24
מופעים , כאשר6 מתוכן הן במשמעות הפועל מחזיק ו-5
מהן
במשמעות של
שם עצם , אך במשמעות
שונה מהמשמעות הרגילה של מחזיק., לפי ההגדרה
האם ההגדרה"מחזיק " (שם
)עצם והפועל "מחזיק" או "יחזיק" אינ
ם
?מייצרת קשיים פרשניים
האם לא
?"נכון יותר להשתמש בביטוי "מעבד
ראו לדוגמא סעיף13
:א לחוק
"
בלי לגרוע מהוראות סעיף13
–
(1)
,בעל מאגר מידע
המחזיק
( אותו אצל אחר בסעיף זה–
המחזיק), יפנה את המבקש אל
המחזיק , תוך ציון מענו, ויורה
למחזיק
, בכתב, לאפשר למבקש את העיון;
(2)
פנה המבקש תחילה
למחז
יק , יודיע לו המחזיק אם הוא
מחזיק
מידע עליו, וכן את שם בעל מאגר המידע ואת
מ
ענו."
14
"עיבוד" ו-
""שימוש
(3) בהגדרה "שימוש ,"אחרי "לרבות "יבוא "אחסון."
"
שימוש –
לרבות ,אחסון.גילוי, העברה ומסירה
"""עיבוד– איסוף או שימוש
][שימוש=אחסון, גילוי, העברה ומסירה
ראשית נזכיר כי ההגדרה"שימוש" ממוקמת בסעי ף3
,, ועל כן רלוונטית לכל החוק, לרבות לחלק הפגיעה בפרטיות
בעוד שההגדרה החדשה, עיבוד, רלוונטית רק לפר
ק .ים הנוגעים למאגרי מידע
ב הגדרה המוצעת החדשה של "שימוש" הבהרה מפורשות שגם
אחסון המידע
שבמאגר מבלי להוציא אותו
החוצה ,
,ומבלי שהדבר מלווה בפעולות נוספות יחשב שימוש במידע
)(זאת בנוסף לגילוי, העברה ומסירה .
התוספת מבטאת
את החשש מיכו לת העיבוד הגבוהה כיום
ופוטנציאל החשיפה של מידע מעצם אחסונו .
יצוין כי אין מדובר ברשימה
סגורה של פעולות הנכנסות תחת ההגדרה "שימוש" וכי גם פעו לות כמו החזקה, עיון, ארגון, תיקון, השלמה, אחזור
ומחיקה נכנסות תחת ההגדרה .
"הוספת ההגדרה "עיבוד–
צרוף ההגדרות "שימוש" ו-"עיבוד" המוצעות מייצר למעשה שלוש קטגוריות :
(1)
איסוף בלבד ;
(2)
שימוש (הכולל,, בין היתר אחסון,
)גילוי, העברה ומסירה ;
(3)
עיבוד המתייחס
ת הן לה"גדרה "איסוף" והן להגדרה "שימוש
, ו תואמת את ההגדרה בסעיף4(2) ל-
GDPR
" ביחס למונחProcessing" שב-
GDPR
.
לדיון:
(1)
האם אכן נדרש הביטוי
"שימוש" בנוסף למונח "עיבוד" ולא ניתן להסתפק ב"עיבוד" בדומה
ל-
GDPR
?
מתי
נדרש הביטוי"שימוש"
?ככזה דווקא האם קיומו של המונח "שימו?ש" במונח הטבעי שלו אינו יוצר בלבול
כך
לדוגמא–
בסעיף32
לחוק שעניינו חומר אסור כראיה משתמש החוק במונח שימוש במובנו היומיומי– "
חומר
שהושג תוך פגיעה בפרטיות יהיה פסול
לשמש
ראיה בבית משפט, ללא הסכמת הנפגע, זולת אם בית המשפט התיר
מטעמים שיירשמו
להשתמש
,בחומר או אם היו לפוגע, שהיה צד להליך, הגנה או פטור לפי חוק זה ."
(2)
האם בהגדרה "מחזיק, לעניין מאגר מידע" הכוונה היא אכן לשימוש בלבד, להבדיל מעיבוד–
כלומר האם
?איסוף ללא איחסון "פוטר" את המחזיק מהיותו מוגדר ככזה?האם ייתכן איסוף ללא איחסון
""הוועדה– ועדת החוקה ,חוק ומשפט של הכנסת
.ועדת החוקה של הכנסת היא הוועדה המאשרת את התקנות והצווים לפי החוק למרות זאת, אין הגדרה של הוועדה
ועל כן יש צורך לחזור בכל איזכור של הוועדה" על הביטוי המלא
ועדת החוקה ,חוק ומשפט של הכנסת ."
כדי להקל
.על קריאת החוק וכתיבתו, מוצע לקבוע קיצור