חומר רקע

PDF 29,969 תווים המסמך המקורי ↗
רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E ועדת הגנת הפרטיות ת"א, כ"ז בכסלו התשפ"ד 10/12/2023 MG580399 לכבוד חה "כ שמחה רוטמן יו"ר ועדת חוקה, חוק ומשפט כנסת ישראל מכובדי, :הנדון "הגדרת "מידע- הצעת חוק הגנת הפרטיות (תיקון 'מס 14), התשפ"ב- 2022 נייר עמדה בהמשך" לדיון שנערך בוועדה הנכבדה במסגרת דיון בנושא הצעת החוק שבנדון (להלן הצעת החוק )" ביום4.12.2023 , להלן התייחסות לשאלת ההגדרה למונח "מידע" בהצעת החוק והצעה לתיקון :הגדרה זו כדלקמן א. ההצעה במסגרת הצעת החוק 1. חוק הגנת הפרטיות, התשמ"א- 1981 " (להלן החוק הנוכחי )" קובע במסגרת סעיף7 ,לחוק :הגדרה למונח "מידע" כדלקמן "מידע – " נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו." 2. הצעת החוק, במסגרת הנוסח האחרון שהובא בפני הוועדה הנכבדה במכתב הייעוץ המשפטי לוועד ה מיום30.11.2023, מציע ה כי הגדרת המונח "מידע" בסעיף7 לחוק הנוכחי :תשונה ותקבע כדלקמן " "מידע– " ,נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי, במישרין או בעקיפין בא מצעים סבירים, לרבות מזהה ,ביומטרי מספר זהות או כל נתון מזהה ייחודי אחר; " ב. ההצעה לשינוי רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E 3. הננו מ ציעים :לתקן את ההצעה האחרונה שהייתה מונחת בפני הוועדה לנוסח דלקמן " "מידע– נתון ה מאפיין ,אדם מזוהה, או אדם הניתן לזיהוי, במישרין או בעקיפין באמצעים סבירים, לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר; המילה "מאפיין" היא השינוי ביחס להגדרה שהובאה בפני הוועדה והיא מחליפה את ."המילה "הנוגע 4. :בנוסף הננו מציעים להוסיף לחוק הגדרה נוספת כדלקמן ""מידע מוביל- מידע שאינו מאפיין אדם כשהוא לעצמו אך עלול לאפיין אדם, בדרך החיבור למידע "או מידע מוביל אחר 5. תוספת נוספת שנציע להוסיף לחוק הינה כי לא חר סעיף8. (ב) יבוא סעיף8.(ב1 ) בנוסח :כדלקמן ,הוראות החוק לא יחולו על שימוש במידע מוביל ובלבד שלא יהיה בו כדי להפכו למידע .כהגדרתו בחוק ג. רקע משפטי להצעה 6. באירופה כל מידע מזוהה או כזה ש ניתן לזיהוי על אדם ללא כל ה בחנה, יהווה מידע אישי כהגדרתו ב תקנות הגנת המידע האירופ יות א ( GDPR ) אשר נכנסו לתוקף בחודש מאי2018 " (להלן התקנות האירופאיו ת)" , 1 המגדירות מידע אישי כמידע המזוהה או ניתן לזיהוי על אדם טבעי. השקפה זו רווחת גם אצל חוקרים רבים בתחום בעולם ו.בארץ2 כ פי ש נבקש להראות להלן, אנ ו סבור ים כי הגדרה לפיה כל נתון הנוגע לאדם מזוהה או לאדם ה ניתן לזיהוי הינו מידע אישי, מתעלמת מטיבו של המידע, מכירה ב כך ש מידע העשוי להוביל למידע אישי הינו מידע אישי בפני עצמו ויוצרת הגדרה רחבה מאוד למידע אישי, הגדרה שאינה נקייה מספק וכזו היכולה להכביד וליצור קושי רב בפני גורמים המבקשים לע בד 1 Parliament and od The Council of 27 April 2016 (on the Regulation (EU) 2016/679 of The European protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)), 206 J.O. (L 119/1) :(להלן התקנות האירופיות אוGDPR ) ; תקנה4(1) לתקנות האירופיות : "'personal data' means any information relating to an identified or identifiable natural person ('data subject'); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person" . 2 כך,, למשל מגדיר מיכאל,בירנהק " "פרטיות: תמונת מצב משפט, חברה ותרבות ב: מן הפרט אל הכלל: פרטיות וחברת מעקב9 , 11 (מיכאל בירנהק עורך2019 ) : ,)"כאשר המידע מתייחס לבני אדם (להבדיל מתאגידים, למשל והוא מזהה אותם במישרין או בעקיפין, נאמ"'ר שמדובר ב'מידע אישי. רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E " מידע ולפתח פיתוחים טכנולוגיים מתקדמים המבוססים על מידע (להלן מעבדי המידע)" ,. מידע אישי יהיה שייך לאדם אחד בלבד3 אך נבקש להציע כי רק מידע המזהה או ניתן לזיהוי , המאפיין אדם הוא מידע אישי. מידע שלא יענה על כך, גם אם הוא מוביל או עשוי להוביל למידע אישי, וג ם אם צירופו יחד לפיסות מידע אחרות יגבשו יחד חלק ממידע אישי, לא יהיה בפני עצמו מידע אישי ולא יהווה "מידע" כהגדרתו בחוק .נ ציע להלן לכנות מידע כזה בצירוף המילים ""מידע מוביל וליתן לו הגדרה נפרדת בחוק , היינו, מידע ש אינו מהווה מידע אישי ,כשלעצמו אלא רק פוטנציאל של הובלה ליצירת מידע אישי, אם ב דרך החיבור למידע אחר שיענה על ההגדרה שנגדיר כפי שמוצע לעיל "כ מידע," ואם ב דרך הצירוף למידעים אחרים אשר ירכיבו יחדיו תמונת פאזל שתהווה מידע אישי על מושא ( המידעdata subject .) 4 נציע לקבוע בחוק כי על שימוש במידע מוביל שיכול לגרום לכך שיצורף אליו מידע אחר שיהפכו ל- "מידע", יחולו הוראות החוק בדיוק כפי שהן חלות על .מידע 7. ,לשם הדיון, נדגים את האמור באמצעות מידע על מושא מידע שאין בו כל ייחוד. למשל העובדה שלאדם מינוי בחברה סלולרית מסוימ ת. האם יש בכך מידע אישי? הרי כיום לכל אדם נורמטיבי יש מינוי בחברה סלולרית, וכל עוד אין זו חברה– שעצם המינוי של אדם עליה מאפיין אותו– נניח חברה הפתוחה לחיבור רק לעשירון העליון, אם הייתה כזו, הרי .שאין בעובדת קיומו של מינוי לאותה חברה כדי לומר על האדם דבר דוגמה מורכבת יותר היא מספר כרטיס האשראי של אדם. אין בו כדי לאפיין אדם בדבר. ייתכן שבזכות המספר ,הזה ניתן יהיה להגיע לפירוט הקניות של אותו אדם אלא ש המספר בפני עצמו יהיה לכל .היותר מידע מוביל ולא מידע אשר אומר משהו על אותו אדם בפני עצמו5 כך גם מספר חשבון הבנ.ק של אדם6 בית הדין הארצי לעבודה דן בנושא ייחודיות המידע בעניין נבות- 3 להגדרה הקובעת כי מידע אישי הוא כל מידע על אדם שניתן לזיהוי באמצעים סבירים, ראו אמל ג'בארין "המידע "הוא עלינו, אך האם הוא שלנו? הכרעה מנקודת מבט כלכלית מחקרי משפט כז79 ( 2011 ): "הגדרה זו מעוררת בעיה במצבים שבהם מידע איננו מתייחס אך ורק לאדם בודד... כך, למשל, מידע גנטי- אישי על אודות אדם מסוים הוא גם מידע גנטי- ."אישי על אודות בני משפחתו 4 ,דן חי המידע האישי כקניין , "חיבור לשם קבלת התואר "דוקטור למשפטים (. Ph.D ,) בית ספר הארי רדזינר למשפטים, אוניברסיטת רייכמן , (דצמבר20203 ) " (להלן דן חי, המידע האישי כקניין)" ', בעמ151 . 5 ההתלבטות בשאלה אם פרטי כרטיס האשראי של אדם הם חלק מענייניו הפרטיים שלו, כהגדרתם בחוק הגנת )הפרטיות, כפי שנראה בהמשך, העסיקה שני בתי משפט שלום. בת"א (שלום ת"א27045-11-11 'ינוסוב נ פלאפון תקשורת בע"מ ', פס33 (נבו14.5.2014), סבר בית המשפט כי דינו של מספר כר טיס האשראי של אדם )'כדין מספר חשבון הבנק שלו, ושניהם נכללים בענייניו הפרטיים של אדם. בת"א (שלום חי30085-03-15 כהן נ' חברת פרטנר תקשורת בע"מ ', פס12 (נבו23.6.2016 ). בעניין זה ניסתה הנתבעת ניסתה לחייב את התובע בכרטיס האשראי שלו אך לטענתו לא הייתה לה זכות ל .חייב אותו וכי ניסיון זו פוגע בזכות הפרטיות שלו השופט גולדקורן דחה את טענתו של התובע וקבע: "סבורני כי בהקשר העובדתי של המקרה הנוכחי, אין לראות בשימוש שביקשה הנתבעת לעשות בהרשאה לחיוב כרטיס האשראי של התובע כ'שימוש בידיעה על ענייניו הפרטיים'. ארבעה טעמים לדב ר: הידיעה על נתוני כרטיס האשראי של התובע נמסרה לנתבעת על- ידי התובע עצמו; השימוש שביקשה הנתבעת לעשות בידיעה נותר בד' אמות של יחסי התובע והנתבעת; השימוש בידיעה אינו פוגע ברציונל של הגנת הפרטיות, שהינו זכותו של אדם 'להיעזב לנפשו'; אין בשימוש אלמנט של הבכת התו בע". הנימוקים האמורים עשויים, לכאורה, להטעות, כי מהם עולה שמספר כרטיס האשראי הוא חלק מענייניו הפרטיים של אדם. עם זאת דומה שבית המשפט סבר כי השימוש בפרטי האשראי במקרה הנוכחי לא היה למטרה שונה מזו שלה נמסרו הפרטים, ולא כי הפרטים בפני עצמם הם חלק מענייניו הפר.טיים של אדם 6 דעה אחרת עולה מפרסום של הרשות להגנת הפרטיות: גילוי דעת : מהם "מידע" ו"ידיעה על ענייניו הפרטיים ( של אדם" בחוק הגנת הפרטיות20.12.2022 '). בעמ2-3 למסמך מנמקת הרשות כי מספר חשבון בנק נמנה על רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E פיקל. השאלה שעמדה שם לדיון הייתה אם בחשיפת רשימת מטופלים של רופא שיניים יש פגיעה של ממש בפרטיות המטופלים, ואם העובדה שהם מטופלים של רופא שיניים מסוים היא חלק מענייניו הפרטיים של אדם, כפי שמונח זה מוגדר בחוק ה נוכחי . הנשיא מנחם גולדברג קבע שם כי" גילוי דבר היותו של פלוני ברשימת המטופלים של רופא שיניים – אף אם נניח שיש בכך פגיעה בפרטיותו– הפגיעה מזערית ביותר, שהרי כל אדם הינו בגדר 'מטופל' אצל רופא שיניים מעת לעת, ובדרך כלל אין בכך כדי לחשוף ,לגביו דבר מעבר להיותו 'לקוח' של אותו רופא, בדומה ללקוחות כל עסק אחר". 7 בית הדין הארצי לעבודה קבע למעשה שהעובדה שלאדם יש רופא שיניים ו זהותו של אותו רופא אינה מידע ,אישי, כי אין בה כדי להצביע במשהו על אותו אדם. מכאן, אנו מציעים כי מידע מסוג זה .כזה שאין בו כדי לאפיין במשהו אדם בפני עצמו, אינו מידע אישי 8. מידע אישי ,, אם כן הוא מידע ה קשור או מתייחס אל אדם ספציפי ,אחד, מושא המידע וכן כזה ה מזהה או מאפיין אותו .באופן ייחודי, שונה מהכלל ב תקופה שסימנה את פיתחו של העידן הטכנולוגי, הלכו ההגדרות ודרכי המיון של המידע אל עבר שאלת מידת רגישות המידע. חוקרים רבים ניסו אז לאפיין את המונח "מידע אישי", מתוך הבנת הסכנה הטמונה במאגרי נתונים כבר בתחילת דרכם. אך כאמור, חוקרים אלה סיווגו את המידע האישי לפי רמת רגישות המידע, בתקופה שבה עיקר מאגרי המידע בכל מדינה היו בחזקת הממשל. בין ההגדרות הראשונות ניתן לציין את זו שלComber שסיווג את המידע האישי לשלו:ש קטגוריות8 ( מידע חסויconfidential ) שבחוק קיים איסור לחשיפתו; מידע מוגבל ( restricted ) שנדרש לעבור שלושה (( מבחנים1 ( ;) יכול לסייע לזיהוי הפרט2 ) לגרום לנזק ( ;כלכלי, להטריד וליצור וסטיגמה לאדם3 ) לגרום לנזק לא הכרחי בזכות קניינית של אותו אדם, כדי לקבוע אם( מדובר במידע שניתן לחשיפה; ומידע בלתי מסווגunclassified ) שאינו מוגבל ואינו חסוי ולכן חשיפתו מותרת. במקביל לכך, יש מי שסיווג את רגישות .המידע האישי תוך חלוקה לארבע קבוצות9 לפי סיווג זה, קיים "מידע אישי- "ציבורי המתייחס למידע אישי שניתן למצוא במאגרי מידע וברשימות, כמו למשל ספרים ביוגרפיים על אדם; ישנו "מידע מפורסם" שעל אף שמו, מתייחס למידע זמין שקיים על אדם במאגרי מידע אך הוא לא נחשף, כאשר ההבדל בין מידע ציבורי למידע מפורסם נ מדד בשאלה אם הפרט לא מודע למידע המפורסם או שמדובר במידע שלא ידוע לציבור; "מידע רשימת הדברים העונה להגדרה" "ענייניו הפרטיים של אדם בח וק הגנת הפרטיות ובהמשך מוסיפה כי יחשב גם"מידע " כהגדרתו בחוק . הרשות מסבירה: "במקרים בהם הנתון המזהה עשוי לשמש "מפתח", המאפשר גישה למידע על אודות אדם, אף הוא יהיה בגדר מידע". הרשות למעשה מגדירה את המידע כמידע מוביל, שפני עצמו איננו מידע ולמעשה מחזקת את המסק.נה שבספר זה, אולי מבלי להתכוון לכך 7 /דב"ע (ארצי) נז3- 102 נבות- פיקל– ריכטר , פד"ע לב460 ', פס15 ( 1997 .) 8 ONFERENCE C ): ALL (F '69 AFIPS , Management of Confidential Information Edward V. Comber, PROCEEDING 135 (1969) . 9 (L. Ellis ed., The Committees on Privacy and RACTICALITY P O T TEPS S – OMPUTER C RIVACY AND THE P Public Welfare of the British Computer Society 1972) . רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E אישי חסוי" המתייחס למידע אישי שידוע וזמין לפרט אך הוא בדרך כלל לא זמין במאגרי מידע; ו"מידע סודי" שמתייחס למידע שאינו ניתן לצפייה במאגרי מידע והוא נאסף על .ידי רשויות המדינה 9. לצד כל האמור, עם ההתקדמות הטכנולוגית מאז אותן הגדרות אל עידן ה- Big Data , עלה הצורך במציאת דרך איכותית יותר להגדיר את המידע ולסווגו, דרך שתתאים לאתגרים של מאגרי המידע הקיימים, תתמודד עימם ועם שימושם על ידי מספר רב בהרבה של שחקנים שמעוניינים במידע; עלה צורך ברג ,ולציה שתדרג מידע לפי רמת הרגישות שלו ותתמודד עם קשיים רבים שעולים עקב טשטוש הגבולות בזירה הטכנולוגית. לכן, עלתה הטענה כי הרגולציה צריכה להתמקד בעיבוד מאגרי המידע, בשימוש ובחשיפה של המידע .האישי על הפרט10 10 . ההגדרה השכיחה בעידן הבינה המלאכותית , כפי שמכונה העש,ור השלישי למאה הנוכחית היא אומנם זו המתייחסת למידע אישי שקשור או מזהה אדם טבעי, אך לצידה צמחה גישה נוספת שמתבססת על התוצאה ורואה את עולם הפרטיות והמידע האישי .בפרספקטיבה של ניהול סיכונים גישה זו מספקת מענה מותאם יותר לתקופה, ביחס לגישות הישנות, בכך שבעזרת ה ניתן לבחון בצורה איכותית יותר אם ראוי שמידע מסוים יוגדר כמידע אישי. בהקשר זה ניתן לציין אתOhm , שהציע מבחן לבחינת הפגיעה בפרטיות של המידע האישי, כך שבבחינת סיכון העברת המידע מגורם מסוים יש לבחון את דרך הטיפול במידע, כמות המידע המועבר, המניע של המחזיק במא ,גר לשתף במידע האמינות של אותו מוסד, וכן אם המידע הועבר בצורה פרטית, כמו למשל בין חברות מסחריות, או באופן פומבי, כמו במאגרי מידע שקופים .לציבור שהרשויות מפרסמות בתוך כך, הוא מזהיר מפני בעיית הזיהוי החוזר שדורשת מהמחוקק להגדיר את המונח מידע אישי, כך שניתן י היה לבחון ולאזן מבחינת עלות- תועלת את הפגיעה בפרט עם .הסיכון לזיהוי חוזר11 כחלק מכך, אף הוצעו מודלים מטעם הסוכנות האירופית לאבטחת ( מידעENISA ) לקביעת מידת הסיכון בהתאם להפרה ולנזק התוצאתי שנגרם למושא .המידע12 11 . בישראל נמתחה ביקורת על אי- הבהירות של הגדרת המידע האישי בחוק הגנת הפרטיות כבר בשנת2007 , במסגרת דו״ח שהגיש צוות במשרד המשפטים לבחינת החקיקה בתחום מאגרי המידע בראשות המשנה ליועץ המשפטי לממשלה לענייני חקיקה דאז, יהושע 10 Protecting 'privacy' through control of 'personal' data processing: A Flawed Karen McCullagh, Approach, 23 INT'L REV. L. COMP. & TECH. 13 (2009) . 11 , 57 Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization Paul Ohm, UCLA L. REV. 1701 (2010) . 12 (Dec. 2017) ROCESSING P ATA D ERSONAL P ECURITY OF S ANDBOOK ON H ENISA, . רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E .שופמן13 המסקנות בדו"ח הציעו לשנות את הגדרת המונח "מידע" שבסעיף7 לחוק הנוכחי למונח "מידע א ישי", ולהגדיר אותו ככל מידע על אודות אדם מזוהה או הניתן לזיהוי באמצעים סבירים , הצעה שלמעשה אומצה במסגרת הצעת החוק . בהתאם, גם המכון הישראלי לדמוקרטיה הציע, כמה שנים מאוחר יותר, לאמץ הגדרה דומה כחלק .מהצעתם לחוק הגנת פרטיות מעודכן14 בהמשך לכך, הציע טנא שלושה עקרונות לקביעת מסגרת חוקית להגנת הפרטיות. לדידו, המסגרת החוקית צריכה להעצים את הפרט באמצעות, למשל, הענקת זכות בחירה אמיתית, להימנע מהבחנות דיכוטומיות ולהתבסס על סיווג בהתאם לסיכון אפשרות הפגיעה בפרטיות, והכול בהתאם לגישה הרווחת ,במדינות אירופה. נוסף על כך לדעת טנא, האסדרה צריכה לשמור על עקרונות משפטיים ניטרליים מבחינה טכנולוגית, עקב השינויים הטכנולוגיים המאפשרים מהירות וגמישות .בפעולת המערכות בתחום15 ברוח דומה, גם שרון בר- זיו וטל ז׳רסקי תומכים באימוץ גישת הסיכון, לנוכח המגמה המסתמנת בעולם ואופיו של העידן הטכ .נולוגי הבלתי צפוי גישתם מתבססת על כך שהטלת אחריות מכוח חוק הגנת הפרטיות על אירועים בעלי סיכויי התממשות נמוכים, עלולה לגרום לפגיעה אקראית ביזמים וליצור הרתעת- יתר מפני פיתוחים חדשניים בתחום. בכך גם הם מתארים את אותו אתגר שהצעה זו באה לתת לה מענה . לכן, ראוי להגן על כך באמצעות מודל הסיכון בשילוב מנגנון ביטוחי שיפזר את .הנזק16 12 . בספרות ניתן למצוא גם כתיבה הקוראת לשנות את ההגדרה הכללית של מידע אישי, זו ,המגדירה את המידע כמידע הקשור לאדם טבעי, מזוהה או ניתן לזיהוי. כך, למשל ( ג'יאנקלאודיו מלגייריGianclaudio Malgieri ) הציע לסווג שלושה סוגים של מידע .בהתאם לעוצמת הקשר שבין המידע למושא המידע: קשר חזק, קשר בינוני וקשר חלש17 קשר חזק כהגדרתו הוא מידע אישי שנמסר ישירות מהלקוח לעסק, אשר לרוב נוצר בהליכי הרשמה או יצירת משתמש. מידע כזה ייחשב של מושא המידע כברירת מחדל, א ך 13 הצוות לבחינת החקיקה בתחום מאגרי המידע דין וחשבון (ינואר 2007 ). 14 רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר הצעת חוק הגנת הפרטיות התשע"ט- 2019 34 ( המכון הישראלי לדמוקרטיה, נ יו י2019 :) (להלן ארידור הרשקוביץ ושוורץ אלטשולר הצעת חוק הגנת הפרטיות :) ' "הגדרת מידע אישי' מחליפה את הגדרת'מידע' בסעיף7 לחוק הגנת הפרטיות ה קיים' :, הקובע כך נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו'; ההגדרה המוצעת מאמצת את מסקנות ועדת שופמן ' ואת הגדרת מידע מזוהה' ,בחוק נתוני אשראי התשע"ו- 2016 . ההגדרה גם מבקשת ליצור תאימות עם סעיף 4(1) ל- GDPR ואף מּוּכרת בחקיקה ההשוואתית (למשל סעיף 2(1) לחוק הפרטיות הקנדי ( PIPEDA )וסעיף 6(1 ) לחוק הפרטיות האוסטרלי). ההגדרה מתייחסת לנתונים בלי קשר לפורמט שהם מוצגים בו וכוללת נתונים מזהים, כמו למשל שם פרטי, שם משפחה ומספר זהות, בצד נתונים המאפשרים את זיהויו של אדם מתוך נקיטת פעולות סבירות." 15 עומר טנא "הסתכל בקנקן וראה מה יש בו :נתוני תקשורת ומידע אישי במאה העשרים ואחת" רשת משפטית: משפט וטכנולוגיית מידע 287 , 319 (משפט, חברה ותרבות, ניבה אלקין-קורן ומיכאל בירנהק עורכים2011 ) (להלן: טנא .)""נתוני תקשורת ומידע אישי 16 שרון בר-ז יו וטל ז'רסקי"פרטיות במשבר זהות: אסטרטגיות הסדרה בעידן ההתממה "משפט, חברה ותרבות ב : מן הפרט אל הכלל: פרטיות וחברת המעקב125 , 144 (מיכאל בירנהק עורך2019 .) 17 (Intellectual) Ownership of Consumers' Information: A New Property and Gianclaudio Malgieri, Taxonomy for Personal Data, 4 PRIVACY IN GERMANY 133 (2016) . רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E יתכן שאף ייחשב למידע בבעלות משותפת עם הגורם אוסף המידע; בשונה מכך, קשר בינוני מתייחס למידע על הלקוח ועל חייו שנאסף בעקיפין דרך עיבוד מידע גולמי וביצוע פרופיילינג, למשל. מידע כזה ייחשב למידע אישי בבעלותו של מושא המידע. להבדיל, קשר חלש מתייחס למידע מנובא ש ,חברות יוצרות על לקוחותיהם אך המידע אינו אמיתי בהווה כמו לדוגמה חישוב תוחלת חיים של אדם מסוים על ידי חברות הביטוח או יכולת פירעון תוך התבססות על נתוני אשראי. מלגיירי טוען שמידע כזה ייחשב למידע חדש ואף לידע עבור החברות, כאשר ללקוחות שהם מושאי המידע תהיינה ה גנות בעולם הגנת הצרכן ולא באמצעות ההגנות על המידע האישי. גישתו המעניינת יכולה להוסיף נדבך בהבנת הגדרת המידע האישי אשר מדגישה את העובדה שמושא המידע חייב להיות במרכז. זאת בדומה לפסק הדין שניתן באנגליה בענייןDurant , 18 שבו נפסק שמידע על אודות עסקאות ,פיננסיות על אף שניתן לזהות בעזרתו את העותר אינו בגדר "מידע אישי" שלו. החשיבות של הצבת האדם במוקד קנתה לה אחיזה בפסיקה בישראל, דוגמת פסק דינה של השופטת חיות בעניין אוניברסיטת חיפה , שם קבעה שמי שמבקש להגן על פרטיותו צריך להיות .במוקד המידע19 13 . ב שונה מההגדרות שתוארו מהא מור בפסיקה הישראלית שפורטה לעיל, עולה דרך אחרת לקטלג מידע אישי. דרך זו מאמצת את ההגדרה כי מידע אישי הוא מידע המזוהה עם אדם אחד בלבד ומעניקה הגנה למידע כזה לפי תוכנו. כך ראה את הדברים ראם שגב, אשר תחילה מנתח את השאלה מהו מידע אישי ומנסה להשיב עליה כחלק מהחי פוש אחר המשמעות הנורמטיבית של מושג ,הפרטיות. הוא בוחן אילו סוגים של מידע, אם בכלל ראוי שייחשבו לפרטיים או לאישיים במובן שיש שיקול בעד הסתרתם. בהקשר זה הוא )מסביר: "התשובה על שאלה זו צריכה להינתן לאור ניתוח השיקולים בעד ונגד (ההגנה על פרטיות. לכן אין לענות על השאלה, איזה מידע נחשב פרטי, בהכרח רק לאור עמדתו של האדם הרלוונטי... עמדה אחת שוללת לחלוטין את ערכה של פרטיות במובן האמור, תוך העלאת הטענה שידיעה היא תמיד בעלת ערך חיובי עצמאי, לרבות כאשר מדובר בהשגת מידע אישי, ולכן ערכה של פרטיות, ככל שהוא קיים, אינו נו בע מהסתרה של מידע אישי ."כמטרה העומדת בפני עצמה20 בהמשך, לאחר ניתוח השאלה אם העובדה שהמידע מתועד או לא היא דרך ההבחנה הנכונה ביחס להגדרה של מידע אישי, הוא מסיק כי "נראה שראוי להסתפק בתנאי המתייחס לאופיו האישי של המידע, כבסיס למרכיב "האמור של פרטיות. 21 בדרך פרשנות זו, של הגנה על מידע לפי תוכנו, נהג המחוקק הפדרלי 18 Durant v. Financial Services Authority [2003] EWCA Civ. 1764 (Eng.) . 19 עומר טנא "הסתכל בקנקן וראה מה יש בו :נתוני תקשורת ומידע אישי במאה העשרים ואחת" רשת משפטית: משפט וטכנולוגיית מידע 287 , 319 (משפט, חברה ותרבות, ניבה אלקין- קורן ומיכאל בירנהק עורכים2011 ) (להלן: טנא "נתוני תקשורת ומידע 'אישי"), בעמ300 – 301 . 20 " שגב פרטיות – משמעותה וחשיבותה "פרטיות בעידן של שינוי 25 , 25 – 27 (תהילה שוורץ ,אלטשולר עורכת המכון הישראלי לדמוקרטיה2012 .) ראו גם פרק ג1 .במסגרת השער השלישי', בעמ 54 . 21 ,שם ב 'עמ55 . רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E ,בארצות הברית22 וכך נהג, במידה מסוימת, המחוקק בארץ כאשר קבע את דרכי הפגיעה בפרטיות בסעיף2 .של חוק הגנת הפרטיות23 14 . ( גישה שונה הציעו פול שוורץPaul Schwartz ( ) ודניאל סולובDaniel Solove ) 24 הם טענו כי הן הדרך האמריק א ית והן הדרך האירופית מגדירות את המידע האישי באופן מוטעה, ולכן הם מציעים מודל מ,שלהם להגדרת המידע האישי מודל שאותו הם כינוPII 2.0 . לפי מודל זה, יש להבחין בין שלוש קטגוריות שונות: ( מידע מזההidentified data ), מידע ( שניתן לזיהויidentifiable data ) ומידע שלא ניתן לזיהוי( non-identifiable data .) המודל מבטל את ההגדרה הדיכוטומית באמצעות קטגוריית ״המידע שניתן לזיהוי״, שבעצם כורכת בתוכה את הסיכון הגלום כדי להבחין מתי הפגיעה בפרטיות חזקה מהתועלת שהמידע יכול להניב, ועל מקרים אלה בלבד יחול ו חוקי ההגנה על המידע .האישי. הגדרה בעלת גמישות סמנטית וטכנולוגית 15 . הוויכוח בנושא ההגדרה הנכונה למידע אישי מצריך עיון ביקורתי , ללא ספק, ול ד עתנו הו א מוביל למסקנה כי מידע יהיה מידע אישי רק אם יהיה בכוחו ל זהות או אפיין את האדם מושא המידע. אך כאשר כל שיש בו הוא פוטנציאל של אפיון, אם נעבד אותו עם מידע אחר, הוא יהיה מידע מוביל בלבד. כאשר גם עיבוד זה לא יוליד אפיון כלשהוא, לא ייווצ ר מידע אישי וההובלה תהיה פוטנציאלית בלבד, בבחינת פוטנציאל שלא התממש. כפי שהרא נו לעיל, פריטי מידע, כגון היותו של אדם נזקק לשירות שמרבית הא וכלוסייה ,נזקקת לו, כמו רופא שיניים, לא יעלו כדי מידע אישי כי אין בהם כדי להעיד דבר על אדם גם אם נחבר פירור מידע זה עם מידע אחר. על מספר כרטיס האשראי, מנגד, נוכל לטעון כי על אף שאינו מידע אישי כי אין הוא אומר דבר על אדם, הוא יכול להיות מידע מוביל כי ייתכן שהמסר יוביל אותנו למידע על נתוני הצריכה של האוחז בו. אם נבודד את המידע האישי מכל אלה, הרי שמידע אישי אכן יהיה מידע מזהה או ניתן לזיהוי על אדם, אך גם .מידע המאפיין אותו בסוג של אפיון, שיוכל להצביע עליו במשהו הלקוח מעולם הפרטיות25 22 ראו בירנהק מרחב פרטי: הזכות לפרטיות בין משפט לטכנולוגיה 19 2 (הוצאת אוניברסיטת בר-אילן, ה תשע"א,) 'בעמ194 . 23 המחוקק הגדיר את רשימת הדרכים שייחשבו לפגיעה בפרטיות ב'ס 2 לחוק .הגנת הפרטיות ראו את התיאור של השופט הנדל ב בעת "ם ( מנהליים י- )ם28606-09-15 דרוקר נ' הממונה על חוק חופש המידע במשרד ראש הממשלה ,פס ' 11 ( נבו2.12.2015 ) ', בפס2 : "ומה היא הגדרת פגיעה בפרטיות על פי חוק הגנת הפרטיות? סעיף 2 לחוק הגנת הפרטיות, הנושא את הכותרת 'פגיעה בפרטיות מהי', מונה שורה של התנהגויות המהוות פגיעה ."בפרטיות בדומה לכך קבעה השופטת אגמון- גונן בעת "ם (מנהליים )ת"א36541-12-12 שטנגר נ' ועד מחוז תל- אביב והמרכז של לשכת עורכי הדין בישראל ( נבו25.2.2014 ), בפרק ד : "הקושי להגדיר את הזכות לפרטיות הגדרה ברורה וממצה הביא להימנעותו של המחוקק מהגדרת המונח 'פרטיות' שבחוק. תחת הגדרה פוזיטיבית בחר המחוקק בטכניקה חקיקתית של הגדרת טיפוסי מצבים שייחשבו כפגיעה בפרטיות (סעיף2 לחוק הגנת .")הפרטיות 24 ling Personal Information in the United States and Reconci Schwartz & Daniel J. Solove, aul M. P European Union, 102 CAL. L. REV. 877 (2014) . 25 ,קיים כאמור , דיון בשאלה אם מספר כרטיס ה אשראי של אדם הוא מידע אישי. לדעתי אין בו כדי לומר דבר על .אדם ולכן אינו מידע אישי ,עם זאת ב )ת"א (שלום ת"א27045-11-11 י נוסוב נ' פלאפון תקשורת בע"מ (נבו רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E כאמור, הוא צריך להיות כזה המאפיין אדם, אך כאשר יהיה בעל פוטנציאל של אפיון כזה .בחיבור עם מידע נוסף, כל עוד לא נוצר חיבור כזה, הוא יהיה מידע מוביל בלבד 16 . בדרך זו של הדגשת אפיונו של אדם הלך במידה מסוימת המחוקק הישראלי כאשר קבע את התנאים שבהם דיוור לאדם יעלה כדי דיוור ישיר שבו עוסק החו.ק26 הקביעה נעשתה 'במסגרת תיקון מס4 .לחוק הגנת הפרטיות27 המטרה שהמחוקק ראה לנגד עיניו לא .הייתה להביא להפסקת התופעה של הדיוור הישיר ואף לא להגדיר את התופעה כמטרד ,המרכיב שהמחוקק ראה בו כהפרת הזכות לפרטיות היה ההגדרה שאדם מקבל דיוור במסגרת הדיוור הישיר, בשל עצם העובדה שהוא מסווג כמי ששייך לקבוצה מסוימת בעלת .מאפיינים מסוימים, כגון מקצוע, גיל, רמת הכנסה, השתייכות דתית וכיוצא בזה28 ,זאת כמובן, אם הדבר נעשה בניגוד לרצונו. בדברי ההסבר להצעת החוק שבמסגרתה הוצע להוסיף את הסימן העוסק בדיוור הישיר לחוק, הובהר כי "הצור ך להסדיר את הנושא בהקשר זה אינו נובע דווקא מן הטרדה שבקבלת דיוור ישיר ,אלא מן הפגיעה בפרטיות שיש בסיווגו של אדם ,ללא הסכמתו ,כמי שמשתייך לסוג מסוים של אוכלוסייה ,ופרסום הדבר ברבים." 29 המחוקק אף צפה את האפשרות שהתופעה תהפוך להיות רחבה יותר ובכך להוות אף סכנה גדולה יותר לנמען, באפשרות שיהיה מדובר בפירורי מידע שיובילו למידע השלם, היינו ייצרו מידע אישי על אדם ולא יהוו כזה בפני עצמם. כך, בדבריו בכנסת בעת הצגת התיקון בחוק בקריאה ראשונה, אמר שר המשפטים באותה עת, דוד ליבאי, על :המצב שבו יכול להימצא אדם כתוצאה מהתופעה של הדיוור הישיר..."סיווג זה ,לצורך רשימות תפוצה שונות ולפי אפיונים שונים ,יכול ,בהצטברותם של הדברים ,לבנות עליו ''פרופיל שאין לאפשר פרסומו אלא בהסכמתו של אותו אדם". 30 היינו, במידע בפני עצמו לא ראה ליבאי בעיה אלא רק מאפשרות היותו מידע מוביל, כזה שבסופו של תהליך יאפשר .יצירת פאזל על האדם אשר יתחבר וייצור מידע אישי עליו 17 . במקומות נוספים בחקיקה ניתן להצביע על הגדרה של מידע ,מסוגים שונים כ כזו הרואה חשיבות גם בתוכן המידע. כך סעיף1 לחוק זכויות החולה , התשנ"ו– 1996 י מגד ר מידע רפואי: "מידע המתייחס באופן ישיר למצב בריאותו הגופני או הנפשי של מטופל או לטיפול "הרפואי בו . כפי שניתן לראות ההגדרה מתייחסת לתוכן המידע– מצב בריאותו של ;המטופל או הטיפול בו סעיף1 ל חוק שירות מידע פיננסי ,"ב פ תש ה– 2021 מגדיר "' מידע 14.5.2014 ) ', בפס33 , סבר בית המשפט כי דינו של מספר כרטיס האשראי של אדם כדין מספר חשבון הבנק שלו, ו שניהם .נכללים בענייניו הפרטיים ,לעומת זאת )'בת"א (שלום חי30085-03-15 כהן נ' חברת פרטנר תקשורת בע"מ ', פס12 (נבו23.6.2016 ) , 'בפס12 ., הסיק בית המשפט אחרת 26 ראו דן חי תורת המסר :בין דיוור ישיר ל'ספאם' 116 ( 2012 ) (להלן: חי תורת המסר). 27 'תיקון מס4 'לחוק הגנת הפרטיות, בעמ 295 – 296. ה תיקון התקבל בכנסת ב- .3.1996 12 . 28 ראו פרוטוקול ישיבה 413 של ועדת הכלכלה, הכנסת ה- 18 , 15 ( 11.1.2011 ); הנחיית רשם מאגרי מידע2/2017 "פרשנות ויישום הוראות חוק הגנת הפרטיות בעניין דיוור ישיר וש י"רותי דיוור ישיר 5 ( 21.6.2017 ). 29 'הצעת חוק הגנת הפרטיות (תיקון מס2) (מאגרי מידע), התשנ"ד– 1994, ה "ח148 . 30 ד"כ 25.1.1994 , 56 . רח' דניאל פריש10, תל- אביב64731, טל : 1-599-500-606, פקס: 03-6918696 Fax: 10 DANIEL FRISH St. TEL-AVIV 64731, Tel. 1-599-500-606 רח' שופן1 , ירושלים92190 ., טל1-599-500-606 , פקס: , Fax: 02-5610062 1-599-500-606 . TEL , 92190 JERUSALEM . CHOPIN St 1 [email protected] - http://www.israelbar.org.il : mail - E פינ נסי ' – מידע המצוי בידי מקור מידע, על אודות פעילותו הפיננסית של הלקוח אצל אותו מקור מידע, למעט מידע שנוצר על ידי מקור המידע על בסיס ניתוח הפעילות כאמו ,"ר .הגדרה שאף היא מדגישה את תוכנו של המידע 18 . הקביעה הגורפת כי כל מידע מזהה או ניתן לזיהוי על אדם יש בה, ללא ספק, כדי להקשות ללא כל צורך או הצדקה על מעבדי המידע. אימוץ ההצעה נשוא מסמך זה אומנם תביא לקביעה שונה בחוק הישראלי בהשוואה לתקנות האירופאיות, אך קביעה נכונה, עכשווית יותר וכזו, שלא יהיה זה מפתיע, לאור הקושי הרב שהגדרת מידע בתקנות ה אירופאיות מעוררת, אם אף יביא לכדי כך שהתקנות האירופאיות ימצו אותה. הצעה זו אף מבוססת .על מחקר של כארבע שנים שהציע את ההגדרות המופיעות במסמך זה31 19 . מכל האמור לעיל נבקש מהוועדה הנכבדה לאמץ להצעת החוק את הצעתנו, כפי שהיא .מפורטת בראשית מסמך זה ,בכבוד רב דן חי, עו"ד יו"ר הוועדה להגנת הפרטיות :העתקים עו"ד עמית בכר , ראש לשכת עורכי הדין . עו"ד איתי שונשיין., מנכ"ל לשכת עורכי הדין .חברי ועדת הגנת הפרטיות .עו"ד פינחס מיכאלי, מנהל הוועדות המקצועיות, לשכת עורכי הדין עו"ד שרה אליהו- .יצחקוב, ממונה ועדת הגנת הפרטיות, לשכת עורכי הדין 31 .ראו דן חי, המידע האישי כקניין