חומר רקע
כ' כסלו, תשפ"ד
3
,דצמבר2023
:לכבוד
חבר הכנסת
שמחה רוטמן ,
יושב ראש ועדת חוקה, חוק ומשפט
,מכובדי
:הנדון 'הערות נשיאות המגזר העסקי להצעת חוק הגנת הפרטיות (תיקון מס14
,)
התשפ"א-
2021
בשם" :נשיאות המגזר העסקי (להלן
הנשיאות "), הרינו מתכבדים לפנות אליכם בעניין
'הצעת חוק הגנת הפרטיות (תיקון מס14), התשפ"א-
2021
" :(להלן
הצעת החוק)"
.
הנשיאות הינה "ארגון גג" המאגד ומייצג את האינטרסים המשותפים של המעסיקים
המרכזיים במשק–
שנים
עשר
ארגוני
:המגזר העסקי
התאחדות המלאכה והתעשייה
בישראל, איגוד חברות הביטוח, להב -
לשכת ארגוני העצמאים בישראל, התאחדות תעשייני
היהלומים בישראל, איגוד הבנקים בישראל, התאחדות המלונות בישראל, ארגון חברות
,האבטחה בישראל ,התאחדות חברות הניקיון בישראל ,התאחדות האיכרים בישראל
ארגון חברות לאספקת משאבי אנוש בישראל, התאחדות ענף הקולנוע ואיגוד בתי
.ההשקעות
הנשיאות
מברכת על הצעת
ה חוק ורואה בה כלי משמעותי וחשוב להגנה על פרטיותם של
,תושבי ישראל ולהתאמת החקיקה בישראל למגמות העולמיות בתחום זה. יחד עם זאת
להצעת החוק שבנדון ישנן השפעות רוחב על כלל העסקים בישראל וישנם
מספר נושאים ,
,כפי שמפורט להלן ה מחייבים לטעמנו
בחינה מחודשת .
:ואלה הנקודות שיש לבחון מחדש ולשנות לטעמנו בהצעת החוק
"הגדרת "מחזיק
1.
במסגרת הצעת החוק הורחבה
ההגדר
ת
""מחזיק
באופן
שגם מי שהתקשר עם בעל
שליטה במאגר מידע למתן שירות לו
מטעמו , וקיבל הרשאה לעשות שימוש במידע
שבמאגר לצורך מתן השירות
.במסגרת ההתקשרות, ייחשב כמחזיק
2.
,לפי ההגדרה החדשה
ספקים שונים, שיתכן שהשימוש שהם רשאים לעשות במאגר
"הינו מוגבל ביותר, יוגדרו כ"מחזיק על כל
חובות
שנובעות מכך.
עסקים
יאלצו
להקדיש וליישם תשומות רבות לחיוב הספקים בדרישות שונות, הנדרשות ממחזיקי
.מאגרי מידע, על אף שלא כולם ידרשו לאותה רמה של זהירות או אחריות
3.
לטעמנו, נכון יותר לשנות את ההגדרה באופן שבו גורמים
ש משתמשים במידע יסווגו
על פי
סוג ורמת השימוש
שהם עושים במאגר, כך שחובות המחזיק יחולו עליהם רק
.כאשר תהיה הצדקה עניינית לכך
כמו כן, לטעמנו יש לשנות את ההגדרה לכזו שתקח
.בחשבון את רגישות המידע, היקף השימוש בו ואופי ההתקשרות
4.
בכל מקרה, לאור שינוי תחולת מחזיק בהתאם להגדרה החדשה, יהיה צורך לאפשר
תחולה מאוחרת
של הסעיפים הנוגעים לדבר, על מנת לאפשר לגורמים השונים להיערך
להשלמת התהליכים הנדרשים לבחינת והתאמת ההסכמים המשפטיים מול הגורמים
.הרלוונטיים, בעקבות עדכון ההגדרה
"הגדרת "מידע
5.
על פי הצעת החוק
"הגדרת "מידע הורחבה וחלה
על כל נתון הנוגע לאדם מזוהה, או
לאדם הניתן לזיהוי, לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר
(חלף נוסח ההגדרה הקבוע כיום בחוק, ומתייחס למידע כ-"
נתונים על אישיותו של
אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו
המקצועית, דעותיו ואמונתו .)", וההבחנה הספציפית הנוגעת למידע רגיש
6.
הרחבת תחולת ההגדרה והתאמתה להגדרות מתקדמות של מידע אישי ,הינה מבורכת
ותסייע בהתאמת תחולת החוק לתפיסות המקובלות כיום בפסיקה בישראל ולתפיסה
.המקובלת בעולם, כפי שתואר בהרחבה בדברי ההסבר להצעת החוק
7.
יחד עם זאת, אנו סבורים כי נדרשת התאמה של הסעיפים העוסקים באמצעי
האכיפה להגדרה החדשה ., כפי שיפורט להלן
8.
ראשית, יש להבהיר מהם""אמצעים הסבירים
הנזכרים בהגדרה לצורך אבחון
הנתונים הניתנים לזיהוי, או לכל הפחות להבהיר מהם הפרמטרי
ם
הנדרשים אשר
.באמצעותם ניתן להפוך נתון למזוהה
9.
,שנית סעיפים10ב. ו-
10ג להצעת החוק
מתייחסים לאיסורים שנקבעו על בעל שליטה
במאגר מידע או מחזיק בו. סעיפים אלו מחילים" את תחולת האיסור גם על ידיעה על
ענייניו הפרטיים של אדם".
כך סעיף10
" ב. קובע כי לא ישתמש בעל שליטה במאגר מידע או מחזיק בו, במידע או
בידיעה על ענייניו הפרטיים של אדם, ממאגר מידע, שלא למטרה שלשמה נמסרו ,
....
.."
וסעיף10
" ג. מוסיף כי לא ישתמש אדם במידע או בידיעה על ענייניו הפרטים של
אדם, ממאגר מידע, בלא הרשאה של בעל השליטה במאגר המידע, או בחריגה
מהרשאה כאמור ."
10
.
"לאור הרחבת הגדרת "מידע , הרי שכל ידיעה על ענייניו הפרטים של אדם נכללת
ממילא בהגדרה זו .
לפיכך, מוצע להשמיט את ההתייחסות ל"ידיעה על ענייניו
.הפרטיים של אדם" מהסעיפים האמורים ולכלול בהם התייחסות ל"מידע" בלבד
11
.
" מקורו של המונח ידיעה על ענייניו הפרטים של אדם "
בסעיף2 (9
) לחוק הקיים
":המגדיר פגיעה בפרטיות, בין היתר, כ שימוש בידיעה על ענייניו הפרטים של אדם
או מסירתה לאחר, שלא למטרה שלשמה נמסרה ". נוסח זה רלוונטי לעניינו, לאור
ההגדרה הקיימת כעת בחוק (טרם השלמת תהליכי החקיקה ביחס ל ,)הצעת החוק
.המגדירה מידע באופן מצומצם לרשימה סגורה של סוגי נתונים
12
.
ניסוח זה מעורר בעיה חריפה, ובמיוחד לאור סעיף23
()כב(ד1
)להצעת החוק, על פיו
רשאי הממונה להטיל עיצום כספי על בעל שליטה או מחזיק במאגר מידע שהשתמש
,במידע או ידיעה של ענייניו הפרטים של אדם
אף שאינה בגדר מידע , שלא למטרה
.לשמה היא נמסרה
13
.
כך, היכולת להטיל עיצום כספי על הפרה זו, שממילא מהווה הפרה של הדין הקבוע
למאגרי המידע, היא בגדר סנקציה כפולה על הפרה אחת, שהרי התוצאה של הניסוח
בהצעת החוק היא, שלרוב הפרה של דיני מאגרי המידע יהווה הפרה של סעיף2
.לחוק
זאת ועוד, על פי הצעת החוק לממונה הסמכות להטיל עקב הפרה את הרף העליון של
.גובה העיצום הכספי
14
.
לאור האמור, לא ברור מדוע הצעת החוק מונעת שימוש בידיעות שאינן מהוות ואינן
נכללות בהגדרה החדשה והרחבה של מידע. בוודאי שלא ברור מדוע שימוש בידיעה
.שאינו מידע, יגרור אחריו את העיצום הכספי הגבוה ביותר
15
.
מעבר לכך, סעיף23נ ,. להצעת החוק קובע כי בעל שליטה במאגר מידע או מחזיק בו
המשתמש במידע או בידיעה על ענייניו הפרטים של אדם או מרשה לאחר להשתמש
במידע או ידיעה כאמור, דינו כדין הפוגע במזיד בפרטיות זולתו. עבירה, שעל פי סעיף
5
,לחוק דינה מאסר5
שנים.
16
. סעיף זה, הגורר סנקציה פלילית חמורה, מנוסח בכלליות ואינו נהיר כלל-
שכן בשל
ההגדרות החדשות
לא ברור מה נכלל תחת ידיעה על ענייניו הפרטים של אדם . ניסוח
.לא בהיר זה מהווה פגיעה קשה בעקרון בחוקיות
17
.
ככל שסעיף העונשין יוותר בנוסחו, יש לעדכן את הסעיף שיציין באופן מפורט את
הנסיבות העובדתיות לקביעת העבירה וכן את היסוד הנפשי הנדרש בהם. בנוסף, יש
להוסיף לסעיף דרישת יסוד נפשי של כוונת זדון. הסעיף קובע עונש חמור של5
שנות
מאסר, ואנו סוברים כי אין להטיל עונש כ .ה חמור במקרה בו לא קיימת כוונה פלילית
18
.
לאור האמור, לעמדתנו, יש להסיר מהצעת החוק את כלל האזכורים של המונח
"ידיעה על ענייניו הפרטים של אדם ", ולהותיר את ההתייחסות של הצעת החוק
למונח "מידע", על פי הגדרתו החדשה והרחבה .
19
.
על מנת לייצר אחידות, נמליץ כי במסגרת עדכון החוק, יעודכן גם סעיף9(2
) לחוק
הקיים ברוח הדברים, כך שיקבע כי שימוש
במידע
או מסירתו לאחר, שלא למטרה
לשמו נמסר, יהווה פגיעה בפרטיות (ללא התייחסות לידיעה על ענייניו הפרטים של
.)אדם, אשר, לאור ההגדרה החדשה של מידע, כלל לא ברור כעת מה הם
20
.
שלישית, סעיף10
,ג להצעת החוק המצוטט לעיל
מבצר את שליטתם של תאגידי-
ענק
בינלאומיים במידע על ידי כך שהוא מקנה להם, כ בעלי
ה
שליטה במאגרי מידע,
זכות
להתנגד לשימוש במידע מהם. כך, לדוגמה, כל חיפוש מידע באינטרנט לצורך הערכת
סיכונים, עלול לחייב לא רק את הסכמת נושא המידע אלא גם את הסכמת האתרים
שבהם יכול להימצא מידע–
בעיקר מנועי-
.חיפוש בינלאומיים ורשתות חברתיות
לטעמנו ריכוז זה של כוח בידי תאגידי הענק הוא בלתי רצוי ובלתי ראוי ויש לתקן את
.הסעיף כך שלא תינתן להם שליטה זו
מאגרי מידע
21
. ראשית
, החוק הקיים קובע בנוסחו הנוכחי חובה רחבה של רישום מאגרי מידע .
במהלך
השנים התעוררו ספקות בעניין יעילותה ומידת התאמתה למציאות הטכנולוגית
.הנוכחית
22
.
כפי שעולה מדברי ההסבר להצעת החוק, בשל תחולתה הרחבה, חובת הרישום ככלל
לא מהווה אמצעי פיקוח יעיל בידי רשם מאגרי המידע שכן אין לרשם יכולת מעשית
להפעיל פיקוח יעיל על מספר גדול של מאגרים. בהתאם, מוצע בהצעת החוק לצמצם
את חובת הרישום כך שתחול רק על מאגרי מידע גדו לים, אשר יש בהם מידע על
100,000
אנשים או יותר, ונוסף על כך טבועה בהם רגישות מיוחדת בשל סוג בעל
השליטה במאגר (גוף ציבורי), מטרת עיבוד המידע (איסוף מידע לצורך מסירתו לאחר
כדרך עיסוק) או אופן איסוף המידע למאגר (המידע לא נאסף מנושאי המידע או
בהסכמתם). בנוסף, מ וצע בהצעת החוק להמשיך לחייב ברישום מאגרי מידע הכוללים
"מידע בעל רגישות מיוחדת" על500,000
אנשים או יותר, ולהטיל חובת דיווח על
"פרטי יסוד" של מאגרי מידע הכוללים "מידע בעל רגישות מיוחדת" הנוגע ליותר מ -
100,000
אך פחות מ-
500,000
.אנשים
23
.
בד בבד עם הצמצום של סוגי המאגרים שעליהם תחול דרישת הרישום, הורחבו בהצעת
החוק הגדרות המונחים "מידע" ו"מאגר מידע", באופן שדווקא מרחיב את סוגי
.המאגרים שעליהם תחול הדרישה
24
.
,לפיכך נראה שעל אף הכוונה לצמצם את היקף החובה לרישום מאגרי מידע, חובת
הרישום (או למצער, חובת דיווח) תוסיף לחול, גם בהתאם להצעת החוק, על גופים
.רבים במשק, באופן היוצר לגופים אלו נטל רגולטורי שלא ברורה התועלת בצדו
,זאת
בעוד שבמישור הבינלאומי התקבלה במהלך השנים ההבנה כי מנגנון גורף של רישום
אינו יעיל, מתמקד בטפל במקום בעיקר, ואף מהרגולציה האירופאית להגנת המידע
(
GDPR
.) הושמטה חובת הדיווח על מאגרי מידע
25
.
אמנם, הוזכרה בהצעת החוק העמדה לפיה קיימת חשיבות לשמר את חובת הרישום
ביחס למאגרי מידע מסוימים היוצרים סיכון גדול ביותר לפרטיות, אולם עמדה זו לא
ה הוב רה ובכלל זה לא פורט מהי אותה חשיבות הקיימת בשימור חובה זו. חובת
הרישום מטילה כאמור
נטל משמעותי
על הגופים הנדרשים ברישום מאגר, בעוד שאין
בה כדי להשפיע על האמצעים הננקטים על-
ידי אותם גופים לצמצום הסיכונים
.לפרטיות, ואין היא ערובה למילוי אחר הוראות החוק
26
.
מעבר לכך, קיים סיכון מעצם קיומו של מרשם פומבי של כלל המאגרים הגדולים
והרגישים בישראל, שיקל על איתור יעדים פוטנציאליים למתקפות סייבר ויחשוף את
בעלי השליטה במאגרים הנ"ל (ואת האנשים שמידע אודותם מאוחסן במאגר) לסיכון
מוגבר. למותר לציין, כי הותרת חובת הרישום תו סיף לדרוש מהרשות להגנת הפרטיות
משאבים יקרים לניהול מרשם המאגרים ובדיקת בקשות הרישום והדיווחים–
משאבים שאותם ניתן לכאורה להפנות לאמצעים אפקטיביים יותר לפיקוח ואכיפה על
.קיום הוראות החוק
27
.
מטעמים אלה, מוצע לבטל באופן גורף את דרישת רישום המאגרים ולהימנע מלהטיל
חובת דיווח על מאגרי מידע .
28
. שנית ,מאגר מידע מוגדר, על פי הצעת החוק, כ-"
אוסף פרטי מידע המוחזק באמצעי
דיגיטלי, למעט אוסף לשימוש אישי שאינו למטרות עסק ". בימינו גם בידי הפרט
,יכולת ליצור מאגרי מידע גדולים, הכוללים בתוכם גם מידע בעל רגישות מיוחדת
כהגדרתו בהצעת החוק, אשר הסיכון בחשיפתו עשוי לעיתים להיות אף גבוה מסיכון
החשיפה של מאגרי מידע המנוהלים בידי גופים עסקיים גדולים, אשר על פי רוב
מצויים ממילא תחת אס ,דרה מחמירה בתחומי אבטחת המידע והגנת הפרטיות. לפיכך
לעמדתנו, ראוי לבחון האם החרגה גורפת זו של מיד
ע
שנאסף לשימוש אישי, הינה
במקומה.
סעיף8א-
ניהול חוקי
29
.
במסגרת הצעת החוק התווסף סעיף המתייחס לניהול חוקי של מאגר, הקובע הפרה
במקרה בו אדם מנהל או מחזיק מאגר מידע שהמידע הכלול בו נוצר, נתקבל, נצבר או
נאסף בניגוד לחוק או בניגוד להוראות כל דין המסדיר עיבוד מידע. נוסח הסעיף אינו
ברור, ולא ניתן להבין ממנו במפורש למה
הכוונה באיסוף מידע בניגוד לחוק. נציין כי
קיימת חשיבות גדולה להבהרת נוסח הסעיף, וזאת לאור העיצומים הכספים והענישה
.שנקבעו בהצעת החוק
סמכויות פיקוח ואכיפה
30
. ראשית ,
הצעת החוק מבקשת להרחיב את סמכויות הפיקוח המוענקות למפקח
שהוסמך בהתאם להוראות החוק, ובכלל זה סמכות לדרוש מכל אדם הנוגע בדבר
למסור לו
"כל ידיעה או מסמך " וכן למסור לו עותק מחומר מחשב או מידע ,מדגמי
לשם פיקוח על ביצוע הוראות החוק–
להבדיל מנוסחו הנוכחי של החוק הקובע סמכות
" מצומצמת יותר למפקח לקבל ידיעות ומסמכים
המתייחסים למאגר מידע."
,לטעמנו
הרחבת סמכויות זו, ראוי שתותנה בהוצאת צו משפטי .
31
. שנית , לעמדתנו החלטה על יישום אמצעי אכיפה מנהליים, כפי שקבועים בהצעת
,החוק, ובראשם הטלת עיצומים כספיים ראוי כי תעשה בתיאום עם הרשות
המוסמכת/רגולטור המפקחים על התאגיד או לכל הפחות, בהתייעצות עמו .
32
. שלישית
, על-
פי הצעת החוק, הממונה על הגנת המידע (מונח שמחליף בהצעת החוק את
'רשם מאגרי המידע') רשאי להסתייע ב"עובד חיצוני" אף אם אינו עובד המדינה
.ולהעניק לו סמכויות מסוימות, לרבות סמכות דרישת מידע ומסמכים ,לטעמנו אין כל
הצדקה כי סמכויות כה נרחבות תופעלנה על -
ידי מי שכלל אינו נמנה עם עובדי
הרשות ומוצע לבטל את הסעיפים בהצעת החוק המבקשים להעניק סמכויות לעובד
חיצוני כאמור .
תחילה ותחולה
33
.
.בהצעת החוק מוצע להחיל את השינויים בחוק בתוך שישה חודשים ממועד פרסומם
נראה כי ארגונים רבים במשק יתקשו להיערך להטמעת השינויים הרבים המוצעים
בהצעת החוק בפרק זמן כה קצר. לשם השוואה, רגולציית ה-
GDPR
האירופאית
הפכה לבת -
אכיפה כשנתיים לאחר פרסומה, ואילו חוק הפרטיות של מדינת קליפורניה
(
CCPA
.) נכנס לתוקף כשנה ושלושה חודשים לאחר חקיקתו
34
.
,לפיכך, ועל מנת לאפשר למשק שהות להיערך כראוי מוצע לקבוע כי תחילתו של החוק
תהא12
חודשים ממועד פרסומו .
לסיכום, הנשיאות מברכת על הצעת החוק ורואה בה חשיבות רבה , אולם לאור הנקודות
.האמורות לעיל, יש לטעמנו מקום לעריכת שינויים מסוימים בהצעת החוק הנשיאות
.כמובן שומרת על זכותה להעלות נקודות נוספות בהמשך דיוני הועדה בהצעת החוק
,בכבוד רב
נשיאות המגזר העסקי
העתק :
חבר
י הכנסת
החברים ב
ועדת חוקה, חוק ומשפט
חברי נשיאות המגזר העסקי