חומר רקע

PDF 5,760 תווים המסמך המקורי ↗
10.12.23 כ"ז כסלו ה'תשפ"ד מר גור בליי, עו"ד היועץ המשפטי לוועדת החוקה, חוק ומשפט כנסת ישראל קריית בן גוריון ירושלים 9195016 באמצעות דוא"ל ח.נ, הנדון: נייר עמדה מטעם חברת Microsoft Corporation ) "מיקרוסופט"( לגבי הצעת חוק הגנת הפרטיות )תיקון מס' 14 (, התשפ"ב- 2022 1. הקדמה מיקרוסופט מברכת על יוזמת החקיקה לעדכן את חוק הגנת הפרטיות, תשמ״א- 1981 במסגרת הצעת חוק הגנת הפרטיות )תיקון מס' 14 (, התשפ"ב- 2022 )להלן: "תיקון 14 "( ומתכבדת לקחת חלק בתהליך זה. ככלל, דיני הגנת פרטיות מתקדמים הם תנאי הכרחי ליכולת של מדינה לקחת חלק בפעילות הכלכלית המודרנית הגלובלית, שבימינו מבוססת ברובה על עיבודי מידע ושיתופי פעולה בינלאומיים. משכך, מיקרוסופט סבורה כי חקיקת פרטיות מתקדמת היא דבר ראוי ונדרש במיוחד למדינת ישראל, המכונה בעולם "Start-up Nation " ומאופיינת באוריינטציה טכנולוגית וביזמות. למיקרוסופט הערכה מיוחדת לכלכלה הישראלית ולתעשיית ההייטק הישראלית. מיקרוסופט ישראל, יחד עם מרכז הפיתוח שלה בישראל )שפועל בישראל החל משנת 1991 (, מעסיקה אלפי עובדים בישראל בסניפים השונים בהרצליה, חיפה, תל-אביב, נצרת, ירושלים ובאר שבע ולאחרונה אף השיקה מרכז נתונים ענני )Data Center ( בישראל. על כן, מיקרוסופט שמחה לקחת חלק בתהליך החקיקה בישראל ולתרום במסגרתו מהידע והניסיון הרב שצברה מפועלה הגלובלי בתחום עיבוד המידע והגנת הפרטיות, בהמשך להשתתפותה בדיונים בכנסת הקודמת )עמדת מיקרוסופט שהוגשה אז – רצ"ב(. מדברי משרד המשפטים בדיון האחרון, עולה כי במקביל לתיקון 14 נעשית עבודה על תיקון 15 , שצפוי להיות משמעותי ומקיף יותר. מיקרוסופט תתייחס במסמך זה רק לנושאים שצפויים לעלות בדיונים הקרובים, אף כי היא תשמח לראות תיקון מקיף ויסודי לחוק הגנת הפרטיות. באופן ספציפי, נתייחס במסמך זה להגדרות המוצעות למונחים "עיבוד" ו"מחזיק", וכן לסעיף 10ב המוצע שעוסק בצמידות מטרה. 2. הגדרת המונח "עיבוד" ה- GDPR , שהינו דבר החקיקה המשפיע ביותר היום בתחום הגנת המידע, משתמש במונח "עיבוד" (“processing”) לציון כל השימושים במידע, כולל איסוף, שמירה ועיבוד. אנו חושבים שנכון יהיה להתאים את דיני הפרטיות בישראל עד כמה שאפשר למונחים הקיימים ב- GDPR . החשיבות בתאימות המונחים עולה במפורש בדברי ההסבר לתיקון 14 )עמוד 423 (, והיא מהווה חלק חשוב בהרמוניזציה הרחבה יותר של חקיקת פרטיות בעולם. הרמוניה חקיקתית מקלה על פעילותן השוטפת של חברות גלובליות בישראל ובכך מקלה גם על כניסתן של חברות אלו לישראל ולהתקשרותן עם חברות וגופים ישראלים. תיקון 14 מציע להוסיף לחוק את המונח "עיבוד", שיוגדר כ"איסוף או שימוש", במקביל להגדרה הקיימת היום בחוק, למונח "שימוש" – "לרבות גילוי, העברה ומסירה", לה מספר מופעים בחוק. לדעתנו, השארת שני המונחים במקביל עלולה ליצור בלבול וחוסר אחידות ובנוסף לכך, הסעיפים שחלים על "שימוש" בחוק לא יחולו על איסוף של מידע. על כן, מיקרוסופט מציעה להשתמש, בדומה ל- GDPR , במונח "עיבוד" לכל סוגי השימושים. 3. הגדרת המונח "מחזיק" תיקון 14 מציע לעדכן את המונח "מחזיק" באופן הבא – במקום "מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש" יבוא "מי שהתקשר עם בעל שליטה במאגר מידע למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה, וקיבל מבעל השליטה במאגר המידע, במסגרת ההתקשרות, הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות". הגדרה זו סבוכה לעומת הגדרת המונח “processor” ב- GDPR : ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller. אנו סבורים כי צריך להסתפק בהגדרה הקצרה יותר של הGDPR -. די בכך שהמחזיק פועל מטעם בעל השליטה, ואין צורך להעמיס דרישות נוספות, שעלולות לגרום לבעיות לא צפויות ושאין להן מענה בדין האירופי ממנו אפשר יהיה ללמוד, כמו יצירת מעמד של "מחזיק שאינו מחזיק". 4. עקרון צמידות המטרה במסגרת תיקון 14 מוצע להוסיף את סעיף 10ב לחוק, בנוסח הבא: "לא ישתמש בעל שליטה במאגר מידע או מחזיק במאגר, במידע, לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע, ממאגר מידע, שלא למטרה שלשמה נמסרו, ולא ירשה לאחר מטעמו לעשות שימוש במידע או בידיעה כאמור". עקרון צמידות המטרה הוא עקרון יסוד בדיני הגנת הפרטיות, אך ראוי לוודא כי הוא לא מהווה מכשול להתקדמות העסקית והמדעית. בניגוד לסעיף 10ב המוצע )וסעיף 2)9( הקיים כבר בחוק(, המתמקד במטרה לשמה נמסר המידע, הGDPR- קובע כי צמידות המטרה הוא עקרון לפיו מידע יעובד למטרות קבועות, ברורות ולגיטימיות ולא יעובד למטרות נוספות באופן שאינו תואם עם המטרות האמורות. במילים אחרות, הGDPR- מאפשר גמישות בשימוש, כל עוד השימוש מוגדר, ברור ולגיטימי ותואם את המטרה לשמה הוא נמסר. כך, לדוגמא, על פי ה- GDPR , אתר אינטרנט יכול להשתמש במידע שנאסף מהמבקרים בו גם למטרות אבטחת מידע, בלי שהוא צריך לבקש לצורך כך הסכמה. כך הדבר גם לגבי מידע היסטורי שנאסף במאגרים של חברות ותיקות ויכול לשמש למטרות חדשות וראויות, כמו מחקרים מדעיים, בלי לדאוג שמא בעת איסוף המידע במקור לא התקבלה הסמכה מספקת לשימוש זה. נזכיר כי תיקון 14 מבקש לקבוע ביחד עם סעיף 10ב החדש גם סנקציות )כולל פליליות(. משמעות הדבר היא כי כל חריגה, ראויה, נדרשת, הולמת, יעילה ומתבקשת ככל שתהיה – תחייב הסכמה, הסכמה שבמקרים רבים אי אפשר להשיגה בדיעבד. המשמעות היא ירידה לטמיון של מידע רב המצוי במאגרים קיימים, תוך פגיעה בשימושים לגיטימיים ונדרשים כמו מחקר. המצב המוצע בעייתי עד כדי כך, שאפילו פעילות תומכת פרטיות כהתממה עלולה להיתפס כחורגת מעקרון צמידות המטרה באופן שלפי תיקון 14 אף עלולה להטיל חבות פלילית. לאור האמור, מיקרוסופט ממליצה לנסח את סעיף 10ב על פי המתאר של ה- GDPR , ואם לא, אז יש לכל הפחות להוסיף לנוסח המוצע אפשרות להשתמש במידע שימושים משניים, כל עוד הם סבירים ותואמים למטרת האיסוף המקורית. קבלת תיקון 14 בנוסחו הנוכחי, בו מורחבות סמכויות הרשות, הסנקציות ואמצעי האכיפה שלה מצד אחד, ללא הוספת בסיסים חוקיים בינתיים מלבד הסכמה, וללא גמישות בעקרון צמידות המטרה, מצד שני - תיצור הסדר שעלול להכביד באופן משמעותי על המשק הישראלי. 5. סיכום מיקרוסופט סבורה כי יש לשנות את הגדרת המונחים "עיבוד" ו"מחזיק" באופן שתואר לעיל, וכן לתקן את נוסח סעיף 10ב המוצע, כך שיכלול התייחסות למטרה תואמת לזו שבגינה נמסר המידע. מיקרוסופט מעריכה את ההזדמנות להשתתף בתהליך המודרניזציה של חקיקת הפרטיות של ישראל ותשמח להרחיב על הנושאים שפורטו לעיל ככל שיידרש. בברכה, חברת מיקרוסופט ישראל בע"מ