חומר רקע

PDF 21,416 תווים המסמך המקורי ↗
1 ה' בטבת ,התשפ"ד17 בדצמבר 2023 אל : חברי ועדת החוקה, חוק ומשפט מאת: הייעוץ המשפטי לוועדה מסמך הכנה מטעם הייעוץ המשפטי לוועדה– 'הצעת חוק הגנת הפרטיות (תיקון מס14 "), התשפ ג– 2023 ( הגדרות- המשך): סיכום הדיון הקודם ( 11.12.23 ) : - הגדר ת ""מידע" עודכנה להגדרה מידע אישי " והותאמה לנוסח ה- GDPR :. הנוסח שאושר "מידע אישי " – ;נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי ,אדם הניתן לזיהוי הוא מי שניתן לזהותו, במאמץ סביר במישרין או בעקיפין באמצעים סבירים לרבות ובכלל זה באמצעות מזהה ,כמו שם מספר זהות, מזהה ביומטרי , נתוני מיקום, מזהה מקוון , .או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי או הכלכלי, התרבותי או החברתי - " הוסכם להשמיט את הביטוי ידיעה על ענייניו הפרטיים של אדם " למעט בפרק הפרטיות הקלאסית (ש ייתכן ש)עניינו ייבחן בהמשך, בשים לב להוראות המהותיות שיתווספו לחוק. - " הגדרת מאגר מידע" :אושרה בנוסח המצ"ב ""מאגר מידע - אוסף נתוני פרטי מידע, המוחזק באמצעי מגנטי או אופטי דיגיטלי והמיועד לעיבוד ממוחשב , למעט– ( 1 ) אוסף לשימוש אישי שאינו למטרות עסק; או ( 2 ) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף לגבי אותם בני אדם; נושאי הדיון ליום11.12.23 : " "מידע בעל רגישות מיוחדת ""מידע רגיש– ( 1 ) ;נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו ( 2 ) מידע ששר המשפטים קבע בצו, באישור ועדת החוקה ;חוק ומשפט של הכנסת, שהוא מידע רגיש ""מידע בעל רגישות מיוחדת– כל אחד מאלה: ( 1 ) ;מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד ( 2 ) מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ "ו– 1996 ; ( 3 ) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א– 2000 ; ( 4 ) מידע על אודות;דעותיו הפוליטיות או אמונותיו של אדם ( 5 ) מידע על אודות עברו הפלילי של אדם; 2 ( 6 ) נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח– 2007 , לגבי ;אדם ( 7 ) ;מזהה ביומטרי ( 8 ) מידע ע;ל מוצאו של אדם ( 9 ) מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחיבויותיו הכלכליות ומידת עמידתו בהן; ( 10 ) ( הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים1 ( ) עד8 ;) ( 11 ) ;מידע שחלה עליו חובת סודיות שנקבעה בדין ( 12 ) מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת;החוק חוק ומשפט של הכנסת מוצע להחליף את ההגדרה של "מידע רגיש" בחוק ולהחליפה בהגדרה "מידע בעל רגישות מיוחדת " המונה11 סוגי ( מידע ו .)בנוסף הסמכה של השר לקבוע סוגים נוספים המשמעות של מידע בעל רגישות מיוחדת נוגעת, לפי הצעת תיקון 14 , לחובת ה רישום ולגובה העיצום הכספי שיושת , אך למיטב הבנתנו המשמעויות העיקריות של ההגדרה, צפויות להתברר במסגרת תיקון15 ,אשר עתיד ל קבוע תנאים לעיבוד מידע , לרבות מידע בעל רגישות מיוחדת וייתכן שאף נסיבות בהן לא יהיה ניתן לעבד מידע כאמור . במקרים אלו יש להניח כי "תהיה משמעות לשאלה אם מידע הוא "רגיל או "בעל רגישות מיוחדת" לעניין ההוראות .שתיקבענה בהקשר זה נציין כי פרק ההגדרות של הGDPR- לא כולל הגדרה של מידע בעל רגישות מיוחדת, אך סעיף9(1) ל- GDPR .קובע קטגוריות מיוחדות של מידע אישי שעיבודו אסור, אלא בנסיבות מסוימות סעיף זה כולל חלק מסוגי ה מידע שב הגדרה המוצעת : Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. תשומת הלב של הוועדה כי ככל שההגדרה של מידע בעל רגישות מיוחדת רחבה יותר, יהיה קשה יותר להחיל ביחס לפרטים שמוגנים בה הגנות רחבות יותר, ולהיפך– ככל שההגדרה תהיה יותר רחבה– עומק ההגנה שניתן להחיל ביחס .אליה יהיה רב יותר (1) ;מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד הפרט הראשון בהגדרה המוצעת מחליף חלק ניכר של ה הגדרה ה קודמת, ,נתונים על אישיותו של אדם, צנעת אישותו: בפסיקה ניתנה" לביטוי צנעת חייו האישיים של אדם" משמעות רחבה. כך לדוגמא נקבע כי פרסום הדמיות ממוחשבות של עיצוב פנים הבית ,של אדם, ללא הסכמתו מהווה פגיעה בצנעת חייו האישיים ( באותו מקרה פרסם אדריכל את הדמיות עיצוב הבית של לקוח) . בית המשפט הדגיש כי למרות שההדמיות הן ממוחשבות, הרי ש חשיפת חללים אישיים בבית, כגון חדר השינה וחדר הרחצה ,יש בה ם כדי להעיד על אורחות החיים ,ואף ללמד על התנהגות ברשות היחיד (ע" א1697/11 א. גוטסמן אדריכלות בע"מ נ' אריה ורדי) . הובהר כי אין צורך בחציית רף גבוה ביותר של אינטימיות– דוגמת עניינים הקשורים בעברו המיני של אדם– על מנת להוכיח פגיעה ב"צנעת "החיים האישיים. 3 ב- GDPR ,, כאמור ניתן למצוא הגדרה הנוגעת ל : data concerning a natural person’s sex life or sexual orientation . יוער כי בהצעה הושמטו הבי טוי ים "אישיותו של אדם" "ו"צנעת אישיותו במסגרת הדיונים בכנסת ה- 24 ביקשה הוועדה להוסיף התייחסות לנושא זה( . ראו פרט5 .) החדש שלהלן (2) מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ "ו– 1996 ; .מידע המתייחס למצב בריאותו של אדם בדיוני ועדת החוקה של הכנסת ה- 24 עמדה הוועדה על כך שפרשנות זו מצומצמת יותר מהנוסח הנוכחי (מידע על "מצב בריאותו,)" מאחר שחוק זכויות החולה מגדיר מידע רפואי בהקשר של יחסי מטפל-מטופל: " מידע המתייחס באופן ישיר למצב בריאותו הגופני או הנפשי של מטופל או לטיפול הרפואי בו" . מהדיון עלה כי ההפניה לחוק זכויות החולה נעשתה כדי להבהיר ש הכוונה היא גם ל מידע נפשי, אך זאת .מבלי לציין זאת באופן ישיר ב- GDPR ההגדרה רחבה וכוללת : data concerning health . בפרט35 ל- recital הובהר : "Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. 2This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council¹ to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test." (3) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א– 2000 ; הפרט ""מידע גנטי הוא פרט חדש ביחס להגדרות הקודמות . בהצעת החוק מוצע להפנות להגדרת :חוק מידע גנטי ""מידע גנטי- ;מידע הנובע מבדיקה גנטית בrticle 4(13) A ל- GDPR המונח מתייחס למידע הנוגע לתכונות גנטיות שמספקות אינפורמציה ייחודית על הפיזיולוגיה או הבריאות של נושא המידע ושנובעות מניתוח של דגימה ביולוגית : personal genetic data' means ch give of a natural person whi relating to the inherited or acquired genetic characteristics data result, in unique information about the physiology or the health of that natural person and which . particular, from an analysis of a biological sample from the natural person in question פרט 34 ל- recital : ( 34 ) relating to the inherited or Genetic data should be defined as personal data which result from the analysis of a biological of a natural person acquired genetic characteristics sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or from the analysis of another element enabling equivalent or ribonucleic acid (RNA) analysis, information to be obtained . כלומר, ב- GDPR יש הנחה כי תיתכן למידה של תכונות גנטיות גם ממידע שאינו .מופק מדגימה גנטית שעליו ראוי להגן (4) מידע על אודות דעותיו הפוליטיות , או אמונותיו][הדתיות של אדם [או השקפת עולמו]; כיום קובע החוק כי "דעותיו ואמונותיו" של אדם הן מידע רגיש . בהצעת החוק מוצע לצמצם את ההגנה ל" דעות פוליטיות." ביחס ל הגנה על אומונותיו של אדם – בדיוני הוועדה הובהר כי הכוונה של גורמי המקצוע בממשלה היא 4 הן לאמונות דתיות ו הן לאמונות המהוות .השקפת עולם נציין כי ה- GDPR ,מתייחס לדעות פוליטיות אמונות דתיות או אמונות פילוסופיות : religious or philosophical beliefs , political opinions . בדיוני ועדת החוקה בכנסת ה- 24 .הוועדה הביעה עמדתה כי ההגדרה רחבה ביותר ונדרש צמצומה בהתאם, מוצע נוסח מצומצם יותר מההגדרה המקורית- " מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם או השקפת עולמ."ו (5) הערכת אישיות שנערכה מטעם גורם מקצועי או .באמצעי שמיועד לביצוע הערכות אישיות בדיוני הוועדה בכנסת ה- 24 עלה מהציבור קושי הנוגע לבחינת קווי אישיות (על ידי גורמי מקצוע– כמו מפקדים בצבא, מורים וכו') וכן ניתוחי אישיות שלAI – .בין היתר לצרכי שיווק. בהתאם לכך מוצע הנוסח שלעיל (6) מידע על אודות עברו הפלילי של אדם; ( 5 )(7) נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח– - 2007 ;, לגבי אדם נתוני מיקום ונתוני תעבורה הם נתונים שעיקר ההגנה לגביהם נובעת מהיותם מידע שניתן להפיק מ מנו מידעים ( אחרים כגון נט .)יה מינית או מצב בריאותי בשל כך הכירו הן המחוקק והן י בת המשפט בקשר ההדוק בין הפגיעה בזכות לפרטיות ובין נתוני מיקום(סעיפים 1 ו-3 ל חוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת) , התשס"ח- 2007 ; בג"ץ6732/20 האגודה לזכויות האזרח נ' הכנסת)(איכוני השב"כ ופסקה17 לפסק הדין בעניין רע"א2404/21 ( פלונית נ' פלוני22.7.21 ) " 17 . ...הפגיעה הטמונה ב גילוי נתוני מיקום ללא הסכמתו של מושא האיכון, באה לידי ביטוי, בעיקרו של דבר, בעצם חשיפת תנועותיו של הפרט והיותן מושא לתשומת לבו של אדם אחר ... כמו כן, נתוני מיקום עשויים ללמד רבות על אורחות חייו ומאפייניו של מושאם, כך שחשיפתם לזולת עשויה אף להסב לו נזקים של ממש במגוון תחומים". במסגרת דיוני הוועדה בכנסת ה- 24 נבחן צמצום ההגדרה לנתוני מיקום שיש באפשרותם לגלות מידע נוסף , אלא שלא ברור אם הגדרה זו ישימה, שכן על פניו לא נית ן לדעת אילו מידעים מגלים נתוני מיקום. בנוסף, עולה שאלה האם אין בנתוני איכון כשלעצמם גם להוות מידע רגיש נוכח הפיכת הפרט, כאמור, למושא לתשומת ליבו של אדם אחר . בנוסף הוועדה עמדה על הצורך שלא להגביל את התחולה של מידע בעל רגישות מיוחדת רק לנתוני מיקום בהתאם לחוק התקשורת , אלא לנתונים המעידים על מיקומו של אדם בכלל. לאור הערות הוועדה מוצע נוסח חלופי :"נ תוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח- 2007 , לגבי אדם ונתוני מיקום, למעט נתון יחיד לעניין נושא מידע שאין בו כדי ללמד על מידע ( לפי פרטים1 ( ) עד6 ( ) או8 ( ) עד9 ") . (8) ;מזהה ביומטרי "מזהה ביומטרי– נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו, או אמצעי ][זיהוי ביומטרי שניתן להפיק ממנו נתון כאמור; לעניין זה ""ביומטרי– מאפיין אנושי, פיסיולוגי או התנהגותי ייחודי, הניתן למדידה מ מ"וחשבת 5 ההגדרה המוצעת מבוססת על ההגדרות הקבועות בחוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע– 2009 : " "נתוני זיהוי ביומטריים – נתונים ביומטריים שהופקו,מאמצעי זיהוי ביומטריים וניתן לעשות בהם שימוש לצורך זיהוי או אימות זהותו של אדם באופן ממוחשב או ממוחשב בחלקו; "אמצעי זיהוי ביומטריים " – " הם תמונת תווי הפנים ותמונות שתי טביעות האצבעות המורות של אדם, שניתן להפיק מהן נתוני זיהוי ביומטריים; בסעיף4( 14 )לGDPR- "מוגדר "מידע ביומטרי : ‘biometric data’ means personal data resulting from specific technical processing relating to the " confirm the of a natural person, which allow or physiological or behavioural characteristics physical, " , such as facial images or dactyloscopic data; of that natural person unique identification מידע אישי הנוצר מעיבוד טכני ספציפי והקשור למאפיין פיזי, פסיכולוגי או הת,נהגותי של אדם שמאפשר או מאשר את הזיהוי הייחודי של אותו אדם .. למשל תמונת תווי פנים או טביעות אצבע בדיון האחרון בהצעה ביקשה הוועדה מגורמי המקצוע בממשלה להתייחס לקושי הנובע מכך שכיום כל מאגר תמונות או מאגר הקלטות שירות לקוחות הוא למעשה מאגר של מזהה ביומטרי בדרגת רגישות מיוחדת מצד אחד .ובשימוש נפוץ ( 6 )(9) מידע ע ל מוצאו של אדם או השתייכותו הלאומית; הגדרה זו אינה נמצאת כיום בחוק או בתקנות אבטחת מידע בו- GDPR :מופיעה הגדרה מצומצמת ביחס למוצא " racial or ethnic origin ." עם זאת עמדת גורמי המקצוע בממשלה היא כי הניסיון מלמד שהפליה על רקע מוצאו של אדם אינה נדירה ועל כן נכון יהיה להוסיף התייחסות גם למוצא , אלא שיש לבחון אם הגדרה זו אינה רחבה מדי .הוועדה בכנסת ה- 24 .טרם החליטה בעניין זה ( 10 ) מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחיבויותיו הכלכליות ומידת עמידתו בהן; מידע על נכסיו של אדם, חובותיו או התחייבויותיו הכלכליות, מידת עמידתו ויכולתו ";לעמוד בהן, ושיש בהם ללמד על מצבו הכלכלי או שינוי מהותי בו ה- GDPR, החוק בבריטניה , בקליפורניה ובאוסטרליה ם אינ מתייחס ים למידע בנוגע למצבו הכלכלי של אדם .)כאל מידע רגיש (או מידע האסור לעיבוד אלא בנסיבות מיוחדות באוסטרליה לדוגמא החליטה נציבות הפרטיות שאין להתייחס למידע על מצבו הכלכלי של אדם כאל מידע רגיש מ'מס סיבות ובפרט מאחר ש מידע כלכלי נדרש לשם ביצ ו ע פעולות ועסקאות שגרתיות והגד רתו כמידע רגיש תכביד על ביצוען , ומאחר ש מידע כלכלי דורש ממילא רמת אבטחת מידע גבוהה ה מוסדרת ומובטח ת ברגולציה לנותני אשראי גם מבלי להגדירו כמידע רגיש ( Australian Law Reform Commission, Sensitive Information (Aug. 6, 2010) ). ."בקנדה ישנה התייחסות ל"מידע פיננסי נציין כי בחוק.הגנת הפרטיות בנוסחו כיום מוגדר "מצבו הכלכלי" של אדם כמידע רגיש מאז נחקק חוק הגנת הפרטיות נקבעו מספר הסדרים פרטניים מחמירים הנוגעים לסוגים מסוימים של מידע על מצבו הכלכלי של אדם ובהם ,חוק נתוני אשראי ה תשע"ו- 2016, ו ,חוק שירות מידע פיננסי ה תשפ"ב- 2021 . 6 מוצע לשקול להוסיף הגדרה ל"נכס". הגדרה מוצעת בעקבות שיח עם גורמי המקצוע בממשלה- ""נכס– ,מקרקעין ."מיטלטלין או זכויות ( 7 )( 11 ) הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים( 1 ( ) עד8 ) ( 1 ( ,) 2 ( ) או4 ); פרט10 ( , שעניינו הרגלי צריכה של אדם מבקש להגן על מידע לפי פרטים1 ( ) עד8 .) ואין בו כשלעצמו משום רגישות מוצע לעיל נוסח מצומצם יותר. נציין כי בתקנות אבטחת המידע יש הפניה ל הרגלי צריכה שיש בהם כדי ללמד על "אישיותו של אדם ,אמונתו או דעותיו." ( 8 )( 12 ) מידע שחלה עליו חובת סודיות שנקבעה בדין; ( 13 ) ;מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוק חוק ומשפט של הכנסת לדיון :  האם פרט המידע הזה אכן נדרש , האם נעשה בו שימוש ?  ככל שהוועדה סבורה כי נכון להוסיף את הפרט– מוצע לשקול לעשות כן בדרך של תוספת– כך שכל הפרטים .המהווים מידע בעל רגישות מיוחדת יופיעו בחוק עצמו "בעל שליטה במידע" ו "מחזיק", לעניין מאגר מידע ", שימוש ועיבוד – ""בעל שליטה במאגר מידע תיקון סעיף7 3. (2) אחרי ההגדרה "אבטחת מידע "יבוא: ""בעל שליטה במאגר מידע " – מי שקובע ,לבדו או יחד עם אחר ,את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור;"; כאמור, בהצעת החוק (סעיף1 )להצעה מוצע להחליף את המונח ""בעל מאגר מידע במונח ""בעל שליטה במאגר מידע . בסעיף3 ( מוצע להוסיף הגדרה חדשה של בעל שליטה במאגר מידע בנוסח החוק הנוכחי אין הגדרה של "בעל מאגר "מידע אלא יש ציון של חובותיו של בעל מאגר מידע לעניין רישום, אבטחת מידע ו ביחס ל זכויות נושאי המידע, כגון מתן זכות עיון). ההגדרה המוצעת מבטא ת ה דגשה של אלמנט השליטה במטרות עיבוד המידע ובהיבטים המרכזיים הנוגעים לאופן העיבוד של המידע, תוך צמצום הדגש שניתן בנוסח כיום לאלמנט הבעלות הקניינית על המאגר. שינוי זה הולם את המונח המקביל בתקנות האירופיות בדבר הגנת מידע, ה- Controller המעוגן בסעיף4(7) ל- GDPR : " 'Controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law.". 7 בניגוד ל- GDPR בהגדרה המוצעת אין דרישה ל שליטה באמצעי עיבוד המידע . זאת כדי למנוע מצב בו העדר השליטה על האמצעים או פיצול (לרבות פיצול מכוון ומאולץ )יביא ל קושי בהצבעה על בעל ה .שליטה במאגר מידע נוסח זה הוא במובן מסוים מסקנה מקושי שזוהה ב הגדרה שב- GDPR לפיה בעל השליטה הוא מי שיש לו שליטה במטרות העיבוד וכן באמצעי העיבוד (לדוגמא האלגוריתם, ההחלטה על הצלבה עם מאגר אחר, שימוש ב- AI .)'וכו ""מחזיק , לעניין מאגר מידע "תיקון סעיף 3 2.בסעיף 3 לחוק העיקרי – (1) במקום ההגדרה "מחזיק ,לעניין מאגר מידע "יבוא: ";"מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש ""מחזיק ,"לעניין מאגר מידע – מי שהתקשר עם בעל שליטה במאגר מידע למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה ,וקיבל מבעל השליטה במאגר המידע ,במסגרת ההתקשרות ,הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות;"; על פי ההגדרה המוצעת המחזיק מתאפיין ב :שני אלו (1) התקשרות עם בעל השליטה במאגר המידע – א. למתן שירות ל בעל השליטה או ב. למתן שירות מטעם ;בעל השליטה (2) קבלת הרשאה לעשות שימוש במידע שבמאגר + + מסגרת התקשרות לצורך מתן השירות . ההגדרה החדשה מחדדת את ההבחנה " הקיימת בין בעל שליטה במאגר מידע "", "מחזיק ו-"מורשה גישה למאגר מידע". מ כן ובהר ש ההחזקה לא חייבת להיות פיזית, וכי דרך איגום המידע אינה רלוונטית לתחול ת.הוראות החוק ,אם כן מוצעים שלושה בעלי תפקידים: בעל השליטה במידע, המחזיק ובעל הרשאה למאגר מידע: בעל השליטה במאגר מידע )(הצעת חוק הגנת הפרטיות מחזיק )(הצעת חוק הגנת הפרטיות בעל הרשאה למאגר מידע ))(תקנות הגנת הפרטיות (אבטחת מידע "בעל שליטה במאגר מידע " – מי שקובע ,לבדו או יחד עם אחר ,את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור"; "מחזיק ,"לעניין מאגר מידע – מי שהתקשר עם בעל שליטה במאגר מידע למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה , וקיבל מבעל השליטה במאגר המידע ,במסגרת ההתקשרות , הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות;"; "בעל הרשאה – " יחיד אשר יש לו גישה לאחד מאלה על פי הרשאתו של בעל המאגר או המחזיק: ( 1 )מידע מהמאגר; (2) מערכות המאגר; (3) מידע או רכיב הנדרש לצורך הפעלת המאגר או לצורך גישה אליו. 8 לדוגמא: חוקר המקבל הרשאה למאגר ; לשימושו רפואיים נתונים גורם המקבל נתח ממאגר (לדוגמא מפלגה )ממאגר הבוחרים– הוא "בעל שליטה במאגר" בנגזרת שקיבל לשימושו. לדוגמא: קבלן המבצע מחקר עבור תאגיד או חברה המנפיקה תלושי שכר עבור משרד ממשלתי על אף האמור, מחזיק שאינו יחיד או יחיד שקיבל גישה על פי הרשאה של מחזיק, לא ייחשב כבעל הרשאה של בעל המאגר; לדוגמא: שליח של וולט שיש לו גישה לכתובות או עובד שניתנה לו הרשאת גישה .למידע מהמאגר ככלל ניתן לומר ש רבות "מהחובות ומהסנקציות המוטלות על "בעל השליטה במאגר מידע בקשר עם אבטחת המידע .מוטלות במקביל ובאופן דומה גם על המחזיק יצוין כי ב- GDPR אין משטר של"מאגרי מידע" ועל כן הגדר ת "מחזיק" לא רלוונטית .ב- GDPR נעשה שימוש בהגדרהprocessor "המתורגמת להגדרת "מעבד (סעיף4(8 :)) which means a natural or legal person, public authority, agency or other body processor’ ' processes personal data on behalf of the controller; לדיון: מה התועלת בהגדרה המוצעת", "מחזיק לעומת"מעבד" (שב- GDPR ) ?האם אין בכך כדי לייצר בלבול עם החזקה פיזית ? נציין כי הביטוי "מחזיק" מופיע כיום בחוק ב- 24 מופעים , כאשר6 מתוכן הן במשמעות הפועל מחזיק ו-5 מהן במשמעות של שם עצם , אך במשמעות שונה מהמשמעות הרגילה של מחזיק., לפי ההגדרה האם ההגדרה"מחזיק " (שם )עצם "והפועל "מחזיק" או "יחזיק ם אינ ?מייצרת קשיים פרשניים ?"האם לא נכון יותר להשתמש בביטוי "מעבד ראו לדוגמא סעיף13 :א לחוק " בלי לגרוע מהוראות סעיף13 – (1) ,בעל מאגר מידע המחזיק ( אותו אצל אחר בסעיף זה– המחזיק), יפנה את המבקש אל המחזיק , תוך ציון מענו, ויורה למחזיק , בכתב, לאפשר למבקש את העיון; (2) פנה המבקש תחילה למחזיק , יודיע לו המחזיק אם הוא מחזיק מידע עליו, וכן את שם בעל מאגר המידע ואת מ ענו." "עיבוד" ו- ""שימוש (3) בהגדרה "שימוש ,"אחרי "לרבות "יבוא "אחסון." " שימוש – לרבות ,אחסון.גילוי, העברה ומסירה """עיבוד– איסוף או שימוש ][שימוש=אחסון, גילוי, העברה ומסירה ראשית נזכיר כי ההגדרה"שימוש" ממוקמת בסעיף3 ,, ועל כן רלוונטית לכל החוק, לרבות לחלק הפגיעה בפרטיות בעוד שההגדרה החדשה, עיבוד , רלוונטית רק לפרק .ים הנוגעים למאגרי מידע 9 ב הגדרה המוצעת החדשה של "שימוש" הבהרה מפורשות שגם אחסון המידע שבמאגר מבלי להוציא אותו החוצה , ,ומבלי שהדבר מלווה בפעולות נוספות יחשב שימוש במידע )(זאת בנוסף לגילוי, העברה ומסירה . התוספת מבטאת את החשש מיכו לת העיבוד הגבוהה כיום ופוטנציאל החשיפה של מידע מעצם אחסונו . יצוין כי אין מדובר ברשימה סגורה של פעולות הנכנסות תחת ההגדרה "שימוש" וכי גם פעולות כמו החזקה, עיון, ארגון, תיקון, השלמה, אחזור ומחיקה נכנסות תחת ההגדרה . "הוספת ההגדרה "עיבוד– צרוף ההגדרות "שימוש" ו-"עיבוד" המוצעות מייצר למעשה שלוש קטגוריות : (1) איסוף בלבד ; (2) שימוש (הכולל,, בין היתר אחסון, )גילוי, העברה ומסירה ; (3) עיבוד המתייחס ת "הן להגדרה "איסוף" והן להגדרה "שימוש , ו תואמת את ההגדרה בסעיף4(2) ל- GDPR " ביחס למונחProcessing" שב- GDPR . לדיון: (1) האם אכן נדרש הביטוי "שימוש" בנוסף למונח "עיבוד" ולא ניתן להסתפק ב"עיבוד" בדומה ל- GDPR ? מתי נדרש הביטוי"שימוש" ?ככזה דווקא ?האם קיומו של המונח "שימוש" במונח הטבעי שלו אינו יוצר בלבול כך לדוגמא– בסעיף32 לחוק שעניינו חומר אסור כראיה משתמש החוק במונח שימוש במובנו היומיומי– " חומר שהושג תוך פגיעה בפרטיות יהיה פסול לשמש ראיה בבית משפט, ללא הסכמת הנפגע, זולת אם בית המשפט התיר מטעמים שיירשמו להשתמש בחומר, או אם היו לפוגע, שהיה צד להליך, הגנה או פטור לפי חוק זה ." (2) האם בהגדרה "מחזיק, לעניין מאגר מידע" הכוונה היא אכן לשימוש בלבד, להבדיל מעיבוד– כלומר האם איסוף ללא איחסון "פ?וטר" את המחזיק מהיותו מוגדר ככזה? האם ייתכן איסוף ללא איחסון ""הוועדה– ועדת החוקה ,חוק ומשפט של הכנסת .ועדת החוקה של הכנסת היא הוועדה המאשרת את התקנות והצווים לפי החוק למרות זאת, אין הגדרה של הוועדה ועל כן יש צורך לחזור בכל איזכור של הוועדה על הביטוי " המלא ועדת החוקה ,חוק ומשפט של הכנסת ." כדי להקל .על קריאת החוק וכתיבתו, מוצע לקבוע קיצור