חומר רקע

PDF 31,216 תווים המסמך המקורי ↗
1 ,י"ג בטבת התשפ"ד25 בדצמבר2023 אל : חברי ועדת החוקה, חוק ומשפט מאת: הייעוץ המשפטי לוועדה מסמך הכנה מטעם הייעוץ המשפטי לוועדה– 'הצעת חוק הגנת הפרטיות (תיקון מס14 "), התשפ ג– 2023 (ח לק2 - רישום מאגר ו סעיפים8א ו- 10ב:) רישום מאגרי מידע– צמצום חובת הרישום סעיפים8 , 9 , 10 ו- 12 לחוק קובעים את ההוראות המרכזיות הנוגעות לרישום מאגרים. סעיף12 קובע את ההוראה :המרכזית ביחס לפנקס ולרישום מאגרי מידע " 12 . פנקס מרשם מאגרי מידע )(א הרשם הממונה ראש הרשות ינהל פנקס מרשם .מאגרי מידע אשר יהיה פתוח לעיונו של הציבור )(ב ה פנקס מרשם יכיל את הפרטים לרישום מאגר המידע כאמור בסעיף9 . )(ג על אף הוראות סעיפים קטנים (א) ו- ,)(ב במאגר של רשות בטחון, הפרטים המפורטים בסעיף9 ()(ב3 ( ,) 4 ) ו-( 5 .) לא יהיו פתוחים לעיונו של הציבור" למיטב הבנ תנו, מטרתה המקורית של חובת רישום מאגרי המידע, הייתה לשקף לציבור היכן קיימים מאגרי מידע .ולשמש כלי אכיפה לרגולטור באמצעות סמכותו להימנע או לבטל רישום של מאגר ב- 1996 צומצמה חובת רישום המאגרים וכיום היא חלה על חמש קטגוריות של מאגרים: מאגר שמספר נושאי המידע בו מעל10,000 ;; מאגר שיש בו "מידע רגיש"; מאגר הכולל מידע על נושאי מידע שלא הסכימו למסירה .מאגר המשמש ל"דיוור ישיר" ומאגר של גוף ציבורי מהלך הצמצום המוצע בהצע ת החוק שלפנינו מהווה מעין "פעימה שנייה" בדרך, ככל הנראה, לביטול רישום מאגרי המידע בתיקון15 . על פי המוצע, חובת הרישום תחול על מאגרים שיש בהם מידע על100,000 נושאי מידע ומעלה אם מתקיים במאגר :בנוסף אחד מהתנאים הבאים (1 ) המאגר מכיל מידע שלא נמסר על ידי או בהסכמת נושאי המידע ; (2 ) המאגר הוא של גוף ציבורי ; או (3 ) המטרה העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק ., לרבות שירותי דיוור ישיר " בנוסף תחול חובת רישום גם על מאגרים שבהם מידע בעל רגישות מיוחדת", ביחס ל- 500,000 נושאי מידע או .יותר ביחס למאגרים אלו תחול חובת "יידוע" אם יש בהם מידע ביחס ל- 100,000 .נושאי מידע : לעניין זה ""דיוור ישיר – " פניה אישית לאדם, בהתבסס על השתייכותו לקבוצת אוכלוסין, שנקבעה על פי איפיון אחד או יותר של בני אדם ששמותיהם כלולים במאגר מידע;" "שירותי דיוור ישיר" – מתן שירותי דיוור ישיר לאחרים בדרך של העברת רשימות, מדבקות או נתונים בכל "אמצעי שהוא. יוער, כי בפועל כבר שנים שהחובה לרישום מאגר מידע אינה נאכפת. כבר בדוח מבקר המדינה לשנת2014 (דוח64 )ג 2 מצא המבקר ש ,רק שיעור זניח מכלל מאגרי המידע שבישראל החייבים ברישום אכן רשומים . שעיקר הרישום מבוצע במיקור חוץ ולא כולל אפילו בחינה של נכונות המידע הכלול בו (ולכן הוא עלול להטעות את הציבור); שמאחר אי ש- ,רישום מאגר מידע החייב ברישום הוא עבירה פלילית (שעונשה עד שנת מאסר), ... אנשים פרטיים, עמותות תאגידים וכן גופים ציבוריים שלא רשמו מאגרי מידע החייבים ברישום לפי המצב החוקי כיום, הם לכאורה בחזקת עבריינים , אף שלתפיסת משרד המשפטים אין הצדקה עניינית להחיל על חלקם חובת רישום. לבסוף ציין המבקר כי למרות שיש הסכמה לתועלת מעטה ברישום, בשים לב לאי- ,תיקון הוראות החוק ממשיכה רמו"ט (כיום הרש ות להגנת הפרטיות) להשקיע הן משאבי כוח אדם והן משאבים תקציביים לטיפול ברישום הקבוע בחוק , ובכך נגרעים .משאבים מפעולות הפיקוח על קיום הוראות החוק המהותיות עוד יצוין כי במרבית המדינות בעולם ובפרט באירופה אין חובת רישום. במדינות בהן מתקיימת החובה היא קבועה כמע ט בכל המקרים באופן איכותי (מאגר ציבורי או מאגר "סוחרי מידע") ובמדינות אחרות קיימות חובות אחרות שמחליפות את חובת הרישום– גם במקרים אלו באופן איכותי . כך לדוגמא חמש מדינות מחייבות העברת פרטי קצין הגנת הפרטיות בארגון לרשות להגנת הפרטיות וחמש מדינות אחרות מחיי בות היוועצות או יידוע הרשות להגנת הפרטיות במקרה שסקר סיכונים מעורר חשש לפגיעה בפרטיות או כאשר מדובר בעיבוד מידע רגיש או מידע .הדרוש לצרכיי אכיפה להשלמת התמונה יוער, כי הממשלה הביעה את כוונתה לבטל את הרישום בתיקון15 , ולהחליפו בחובת מינוי קצין הגנת פרטיות בארגון וחובת עריכת תסקיר השפעה על הפרטיות וחובת היוועצות עם הרשות להגנת הפרטיות בהתאם לתוצאות התסקיר, כפי שקבוע ב- GDPR . נוסח משולב ע ם התיקונים המוצעים לסעיפים9 עד12 ( לא כולל סעיף10ג) 8 . רישום מאגר מידע והשימוש בו )(א :לא ינהל אדם ולא יחזיק מאגר מידע החייב ברישום לפי סעיף זה, אלא אם כן התקיים אחד מאלה ( 1 ) המאגר נרשם ב פנקס מרשם; ( 2 ) הוגשה בקשה לרישום המאגר והתקיימו הוראות סעיף10(ב1 ) לפי הוראות סעיף9 ו הממונה וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום המאגר; ( 3 ) המאגר חייב ברישום לפי סעיף קטן (ה) והוראת הרשם הממונה ראש הרשות כללה הרשאה לניהול .והחזקה של המאגר עד רישומו )(ב לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה.שלשמה הוקם המאגר)(ג בעל שליטה ב מאגר מידע חייב ברישום בפנקס במרשם ועל בעל ה שליטה ב:מאגר לרשמו אם נתקיים בו אחד מאלה ( 1 ) מספר האנשים שמידע עליהם נמצא במאגר עולה על10,000 ; ( 2 ) ;יש במאגר מידע רגיש ( 3 ) המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם ;או בהסכמתם למאגר זה ( 4 ) המאגר הוא של גוף ציבורי כהגדרתו בסעיף23 ; ( 5 ) המאגר משמש לשירותי דיוור ישיר כאמור בסעיף17 .ג ( 1 ) המאגר כולל מידע על אודות100,000 :אנשים או יותר ומתקיים לגביו אחד מאלה (א) המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה ; ( (ב) המאגר הוא של גוף ציבורי כאמור בפסקה1) להגדרה "גוף ציבורי " שבסעיף23 ; )(ג מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר כהגדרתם בסעיף17 ;ג ( 2 ) המאגר כולל מידע בעל רגישות מיוחדת על אודות500,000 .אנשים או יותר (ג1 ) בעל שליטה במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות100,000 עד500,000 אנשים, ושלא חלה עליו 3 חובת רישום לפי סעיף קטן (ג), חייב למסור לממונה את הפרטים המנויים בסעיף9 )(ב( 1 ) ( )ד הוראת סעיף סעיפים קטן קטנים)(ג ו-(ג1 ) לא תחול יחולו על מאגר שאין בו אלא מידע שפורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים על- .פי סמכות כדין )(ה הרשם הממונה רשאי, מטעמים מיוחדים שיירשמו, להורות על קיום חובת רישום לגבי כי מאגר מידע מסוים שלא חלה עליו הפטור מ )חובת רישום לפי סעיפים קטנים (ג או - )(ד יהיה חייב ברישום, אם שוכנע כי הדבר דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע, או להורות כי מאגר מידע מסוים החייב ברישום לפי סעיף קטן (ג) יהיה פטור מרישום כאמור, אם שוכנע כי הר ישום אינו דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע ; הוראה כאמור תומצא לבעל ה שליטה ב מאגר ובה יפרט הרשם הממונה .הוראות לענין ניהול ואחזקת המאגר עד לרישומו ותפורסם באתר האינטרנט של הממונה ראש הרשות. 8 א. "איסור ניהול או החזקת מאגר מידע הכולל מידע שנוצר או נאסף שלא כדין )(א לא ינהל אדם ולא יחזיק מאגר מידע אם המידע הכלול בו נוצר, התקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע ,אלא אם כן המידע נמסר לו בהתאם לסמכות ל כדין , לא היה עליו לדעת על אי־ החוקיות .כאמור ובנסיבות העניין הפגיעה בפרטיות היא קלת ערך )(ב מצא הממונה כי אדם ניהל או החזיק מאגר מידע בניגוד להוראות סעיף קטן (א) (בסעיף קטן זה – הפרה ,)רשאי הוא להודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק את ההפרה בתוך תקופה שיורה". 9. בקשה לרישום )(א בקשה לרישום מאגר מידע תוגש לרשם לממונה לראש הרשות. )(ב בקשה לרישום מאגר מידע תפרט את– ( 1 ) זהות בעל מאגר המידע, המחזיק במאגר בעל השליטה במאגר המידע;ומנהל המאגר, ומעניהם בישראל ( 1 )א ;סוג השירות שנותן המחזיק במאגר המידע לבעל השליטה בו ( 2 ) ;מטרות הקמת מאגר המידע והמטרות שלהן נועד המידע ( 3 ) ;סוגי המידע שייכללו במאגר ( 4 ) ;פרטים בדבר העברת מידע מחוץ לגבולות המדינה ( 5 ) פרטים בדבר קבלת מידע, דרך קבע, מגוף ציבורי כהגדרתו בסעיף23 , שם הגוף הציבורי מוסר המידע .ומהות המידע הנמסר, למעט פרטים הנמסרים בהסכמת מי שהמידע על אודותיו )(ג שר המשפטים רשאי לקבוע בתקנות]?[באישור ועדת החוקה .פרטים נוספים שיפורטו בבקשה לרישום )(ד הבעל בעל השליטה במאגר מידע או המחזיק ב של מאגר מידע יודיע לרשם ל ממונה לראש הרשות על כל שינוי .בפרט מהפרטים המפורטים בסעיף קטן (ב) או לפי סעיף קטן (ג) ועל הפסקת פעולתו של מאגר המידע 10 . סמכויות הרשם ראש הרשות )(א הוגשה בקשה לרישום מאגר מידע– ( 1 ) ירשום אותו הרשם הממונה ראש הרשות ב פנקס מרשם , תוך90 ימים מיום שהוגשה לו הבקשה , זולת אם היה לו יסוד סביר להניח כי המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן, או שהמידע הכלול בו ,נוצר;נתקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין ( 2 ) הרשם הממונה ראש הרשות ,רשאי לרשום מטרה שונה מזו שפורטה בבקשה, לרשום מספר מטרות למאגר או להורות על הגשת מספר בקשות תחת הבקשה שהוגשה, והכל אם נוכח לדעת כי הדבר הולם את פעילות המאגר הלכה ;למעשה 4 ( 3 ) הרשם הממונה ראש הרשות ( לא יסרב לרשום את מאגר המידע לפי פסקה1 ) ולא יפעיל סמכויותיו לפי ( פסקה2 .), אלא לאחר שנתן למבקש הזדמנות לטעון את טענותיו )(ב .)(בוטל (ב1 ) לא רשם הרשם את מאגר המידע תוך90 ימים מיום שהוגשה לו הבקשה, ולא הודיע למבקש על סירובו לרשום או על השהיית הרישום מטעמים מיוחדים שיפרט בהודעתו– רשאי יהיה המבקש לנהל או להחזיק את המאגר אף שאינו .רשום (ב2 ) הודיע הרשם ממונה ראש הרשות למבקש על סירובו לרשום את מאגר המידע, או על השהיית הרישום כאמור בסעיף קטן (ב1 )מטעמים מיוחדים שיפרט בהודעתו, לא יהיה המבקש רשאי לנהל או להחזיק את המאגר, זולת אם בית .המשפט קבע אחרת (ב3 ) הרשם ה ממונה ראש הרשות ימחק רישומו של מאגר מידע מה פנקס מה מרשם , אם הודיע לו בעל ה שליטה ב מאגר שהמידע שבאותו מאגר בוער, ואימת הודעה זו בתצהיר; הוחזק מאגר מידע שלא בידי בעל השליטה ב מאגר המידע, תאומת .ההודעה גם בתצהיר של המחזיק )(ג הרשם ממונה ראש הרשות .יפקח על מילוי הוראות חוק זה והתקנות לפיו )(ד ,שר המשפטים, באישור ועדת החוקה חוק ומשפט של הכנסת, יקים בצו, יחידת פיקוח שתפקח על מאגרי המידע .רישומם ואבטחת המידע בהם; גודלה של היחידה יותאם לצורכי הפיקוח )(ה הרשם יעמוד בראש יחידת הפיקוח, והוא ימנה את המ פקחים לצורך ביצוע הפיקוח לפי חוק זה; לא יתמנה למפקח אלא מי שקיבל הכשרה מקצועית מתאימה בתחום מיחשוב ואבטחת מידע והפעלת סמכויות לפי חוק זה, ומשטרת .ישראל לא הביעה התנגדות למינויו מטעמים של שמירה על בטחון הציבור )"(ה הממונה ראש הרשות רשאי, מטעמים מיוחדים שיירשמו, להורות כי מאגר מידע מסוים שלא חלה עליו חובת רישום לפי סעיפים קטנים (ג) או (ד) יהיה חייב ברישום, אם שוכנע כי הדבר דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע, או להורות כי מאגר מידע מסוים החייב ברישום לפי סעיף קטן (ג) יהיה פטור מרישום כאמור, אם שוכנע כי הרישום אינו דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע; הוראה כאמור תומצא לבעל השליטה במאגר ".ותפורסם באתר האינטרנט של הממונה (ה1 ) לצורך ביצוע תפקידיו רשאי מפקח– ( 1 ) לדרוש ;מכל אדם הנוגע בדבר למסור לו ידיעות ומסמכים המתייחסים למאגר מידע ( 2 ) להיכנס למקום שיש לו יסוד סביר להניח כי מופעל בו מאגר מידע, לערוך בו חיפוש ולתפוס חפץ, אם שוכנע כי הדבר דרוש לשם הבטחת ביצוע חוק זה וכדי למנוע עבירה על הוראותיו; על חפץ שנתפס לפי סעיף זה יחולו הוראות פקודת סדר הדין הפלילי (מעצר וחיפוש) [נוסח חדש], תשכ"ט- 1969 ; סדרי כניסה למיתקן צבאי או למיתקן של רשות בטחון כמשמעותה בסעיף19 (ג) ייקבעו על ידי שר המשפטים בהתייעצות עם השר הממונה על רשות הבטחון, לפי הענין; בפסקה "זו, "חפץ- לרבות חומר מחשב, ופלט כהגדרתם בחוק המחשבים, תשנ"ה- 1995 ; ( 3 ) ( על אף הוראות פסקה2 ), לא ייכנס למקום כאמור המשמש למגורים בלבד, אלא לפי צו מאת שופט של בית משפט .שלום )(ו הפר מחזיק או בעל של יטה ב מאגר מידע הוראות של חוק זה או התקנות לפיו, או לא מילא אחרי דרישה שהפנה אליו הרשם ה ממונה ראש הרשות , רשאי הרשם הממונה ראש הרשות להתלות את תוקפו של הרישום לתקופה שיקבע או לבטל את רישומו של מאגר המידע ב פנקס מרשם , ובלבד שקודם להתליה או לביטול ניתנה לבעל ה שליטה ב מאגר הזדמנות להשמיע .את טענותיו )(ז דין הרשם .ודין מי שפועל מטעמו כדין עובד המדינה 10 .א דוח הגנה על הפרטיות לא יאוחר מ- 1 באפריל בכל שנה תגיש המועצה להגנת הפרטיות לועדת החוקה חוק ומשפט של הכנסת דין וחשבון שיכין הרשם על פעולות האכיפה והפיקוח בשנה שקדמה להגשת הדוח, בצירוף הערותיה של המועצה. 5 10 ב."איסור שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר "לא ישתמש בעל שליטה במאגר מידע או מחזיק במאגר, במידע, לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע, ממאגר מידע, שלא למטרה שלשמה נמסרו, ולא ירשה לאחר מטעמו לעשות שימוש במידע או בידיעה כאמ".ור ה ערות סל עיפים8, 8א , 9 , 10 ו- 10ב הערות לסעיף8 : סעיף8 ., הוא הסעיף הפותח את פרק מאגרי המידע )סעיף קטן (א– מגדיר מהם התנאים לניהול ולאחזקה .של מאגר מידע הסעיף מתייחס רק למאגרי מידע החייבים ברישום ומגדיר את הרישום כתנאי לעיבוד המידע בהם. תשומת הלב כי חובת הרישום היא חובה בה חייב רק בעל .השליטה במאגר )סעיף קטן (ב– ס"ק זה עתיד להיות מוחלף בסעיף ייעודי נפרד, המנתק בין האיסור ובין הרישום, וקובע איסור נפרד של ניהול או אחזקה בניגוד למטרה או שלא כדין .. לכן מוצע למחקו סעיף קטן (ג) ו(ג1 ) – הגדרה של חובת הרישום. זהו הסעיף בו מוצע עיקר השינוי שבהצעת החוק. בו מוצע, כמתואר לעיל, צמצום של חובת הרישום באמצעות העלאת רף הרישום ל- 100,000 נושאי מידע. סעיף קטן (ג1 ) מתייחס לחובת ד יווח מוקדמת לחובת רישום של בעל שליטה במאגר מידע שכולל מעל100,000 איש ופחות מ- 500,000 .איש חובת הדיווח כוללת את אותם)הפרטים המנויים בסעיף (ב ()(בהצעת החוק נרשם בטעות (ב1 .) )סעיף קטן (ד– .כולל פטור מרישום על מידע שפורסם לרבים לפי סמכות )סעיף קטן (ה– עני ינו קביעת חובת רישום על ידי ראש הרשות, כאשר אין חובה כזו ומתן פטור מרישום על ידי ראש הרשות מקום בו קיימת חובה. העילות לקביעת הוראת רישום או למתן פטור הן "אם שוכנע כי הדבר דרוש לשם הבטחת קיום הוראות חוק זה" או "אם שוכנע כי הרישום אינו דרוש לשם הבטחת קיום הו .ראות חוק זה" בהתאמה :לדיון (1) האם נכון לפתוח את פרק מאגרי המידע באמצעות הוראות הנוגעות רק למאגרים החייבים ברישום, שהם חלק קטן מהמאגרים ?)(על פי ההצעה הממשלתית האם לחלופין לא ראוי כי פרק המאגרים יפתח בהוראות מהותיות ביחס לשימוש ולניהול המאגר ,? כך, לדוגמא האם לא יהיה נכון להבהיר כללים מינימליים לעיבוד, בדומה לסעיף5.1 ל- GDPR – 1. Personal data shall be: 1. processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); 2. collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’); 3. adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’); 4. accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are 6 erased or rectified without delay (‘accuracy’); 5. kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’); 6. processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’). (1) ?מהן מטרות הרישום והאם הרישום אכן מגשים את מטרותיו בפרט , כיצד חובת הרישום מבטיחה את קיום ?הוראות החוק מדוע נדרש רישום לצורך קיום הוראות החוק כאשר צפויים להצטרף כלי אכיפה רבים לשירות הרשות ? (2) ?האם רישום מאגרי המידע לא הפך לכלי רישוי כך עולה בפרט מסעיפים8 ()(א2 ,) 10 ()(א1 ,) 10(ב2) ו- 10 (ו) וכן מהצהרת הרשות עצמה (ראו לעניין זה בסעיף4.2 לדוח ה- RIA ( של הרשות2020 ): "במתכונתו זו מממש הרישום את יעודו המקורי כ- gate keeper שעוצר פעולות בלתי חוקיות ותורם רבות להעלאת הרמת הציות ."לחוק בבקשות הרישום שהגיעו לפתחו יצוין כי לקראת הדיון ביקשנו מהרשות נתונים ביחס למאגרים שביקש ו להירשם. ביחס ל- 1,084 מתוך4,396 מאגרים (כ- 25% .) נקבעו תנאים לצורך אישור בקשת הרישום (3) האם התניית רישומם של מאגרים ציבוריים רק מ- 100,000 פריטי רישום, אינה מאיינת חלק משמעותי מדי של המאגרים הציבוריים ? האם לא נכון לקבוע את רף מספרי נמוך יותר ביחס למאגרים אלו? זאת בפרט בשים לב לכך שמרבית המידע הציבורי אינו מידע שנמסר באופן וולנטרי, לכך שיש בו גם מידע רגיש ?ביותר ולכך שבעלות הרישום הבירוקרטי ממילא נושא הציבור (4) מנתונים שהעבירה הרשות עולה כי86% מהדרישות שה וצבו כתנאי לרישום מאגרים, הופעלו ביחס למאגרים שבהם פחות מ- 100,000 נושאי מידע. האם לאור האמור לא יהיה נכון יותר לצמצם את חובת ?הרישום ולהפכה לחובת יידוע, תוך הותרת חובת היידוע ביחס למספרים נמוכים יותר (5) מה צפויה להיות פרוצדורת ביטול רישום המאגרים הר שומים ? להבנתנו הרשות תמחק את המאגרים לאחר קבלת מידע נוסף על מספר נושאי המידע במאגר . הערות לסעיף8א בסעיף8 א(א) המוצע הוראה הקובעת איסור לנהל או להחזיק מאגר מידע אם המידע הכלול בו "נוצר, התקבל, נצבר או נאסף" בניגוד להוראות חוק הגנת הפרטיות או דין אחר. לצד האיסור מופיעה הגנה המורכבת משלושה תנאים :מצטברים ( 1 ) המידע נמסר לו בהתאם לדין (הכוונה ככל הנראה בהתאם;)לסמכות כדין ( 2 ) ;לא היה עליו לדעת על אי החוקיות כאמור ( 3 ) .ובנסיבות העניין הפגיעה היא קלת ערך לפי דברי ההסבר האיסור המוצע מיועד להבהיר שאין לנהל או להחזיק מאגר מידע בנסיבות המצויינות בסעיף בלא קשר לתחולת חובת הרישום על המאגר (בניגוד להסדר היום המקשר בין סירובו של הרשם לרשום את המאגר ובין האיסור על ניהולו או החזקתו). עוד מובהר שהאיסור מתייחס לשלב האיסוף של המידע, עוד טרם נעשה במאגר שימוש– כך שהוא משלים את האיסור הקיים על שימוש במידע בניגוד למטרה שלשמה נמסר בסעיף2(9 ) לחוק ואת האיסורים המוצעים בסעיפים10ב ו- 10ג ל.)הצעה (ראו להלן האיסור המוצע מתייחס ל"ניהול" ול"החזקה" של "מאגר מידע". אלא שפעולות "ניהול" ו"החזקה" אינן מוגדרות 7 בחוק או בתיקון14 (מוגדרים עיבוד, שימוש, איסוף וכו'). בנוסף מאחר שהסעיף מתייחס ל"אדם" גם לא ברור לחלוטין על מי חל האיסור. לבקשתנו להבהרה– משר ד המשפטים ציין כי הכוונה היא לבעל שליטה במאגר מידע ,ולא למנהל המאגר ואולם, יש לטעמנו להבהיר גם מהי פעולת ההחזקה. ההגנות בסעיף – חוק הגנת הפרטיות כולל סעיף הגנות כלליות (סעיף18 ) ביחס להליך הפלילי וביחס להליך האזרחי. הסעיף המוצע מייצר הגנה פרטנית לסעיף הס פציפי הזה, החל לכאורה רק בסיטואציה של ההפרה הספציפית הזו. נראה כי ההגנה נובעת מהק ושי של קביעת סנקציה של עיצום כספי (שייקבע בהמשך על ההפרה של הוראה זו) על ציבור שחלקו אינו מפוקח, שלחלקו אין שליטה או הבנה מלאה ביחס להפרה שהוא נקלע אליה . ובפרט כשחלק מההפרות י כולות להתקיים גם במחדל או בעשייה של צד שלישי (ששלח עותק של המאגר לאדם אחר, שכלל לא היה מודע לקיומו של )העותק כאשר המפר נעדר יסוד נפשי . :לדיון (1) לא ברור מי אמור לקבוע אם הפגיעה היא קלת ערך ? (2) לא ברור היחס בין הגנה זו לבין הגנות שונות בחוק? (3) מדוע היותה של פגיעה משמעותית (לא קלת ערך) משליך על עיבוד של מידע שנעשה בהתאם לדין או שבעל .מאגר המידע לא היה יכול לדעת על אי החוקיות ככל שאין כוונה להחיל, במישור האכיפה המינהלי, הגנות מהתחום הפלילי או האזרחי, יש מקום לבחון האם ההגנה המוצעת ביחס לסעיף8 .א(ב) נכונה גם ביחס להפרות אחרות :נוסח חלופי "איסור ניהול או החזקת מאגר מידע הכולל מידע שנוצר או נאסף שלא כדין 8 .א )(א בעל שליטה במאגר מידע לא ינהל אדם ו מחזיק לא יחזיק /בעל שליטה במאגר מידע או מחזיק לא י עבד ולא יעשה שימוש ב מאגר מאגר מידע אם המידע הכלול בו נוצר, התקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע, אלא אם כן המידע נמסר לו בהתאם ל סמכות ב /דין בהתאם ל ,דין לא היה עליו .לדעת על אי־החוקיות כאמור ובנסיבות העניין הפגיעה בפרטיות היא קלת ערך הודעה על הפרה )(סעיף כללי *** )(ב מצא הממונה ראש הרשות כי אדם ניהל או החזיק מאגר מידע בניגוד להוראות סעיף קטן (א) (בסעיף קטן זה– )הפרה הפר הוראה מהוראות חוק זה / לפי סעיפים8 ,א 10 ...ג ו , רשאי הוא להודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק את ההפרה ".בתוך תקופה שיורה הערות לסעיף9 סעיף9 עוסק בבקשת רישום המידע. מדובר בסעיף טכני ובו פירוט המידע אותו נדרש למסור במסגרת בקשת .הרישום ובחובה לעדכנו )סעיף קטן (א - האם לא נכון שהבקשה וההתנהלות הרישומית (סעיף קטן (א) וסעיף קטן (ד)) שהן טכניות מטבען ?יהיו מול הרשות ולא מול ראש הרשות ()סעיף קטן (ב1 )א – נוכח הבהרת המונח מחזיק והיחסים שבינו ובין בעל השליטה במאגר, מוצע להוסיף הבהרה .לסוג השירות שהמחזיק נותן לבעל השליטה )סעיף קטן (ג – בשים לב לקושי להוסיף פריטים נוספים בפרט כאשר אלו אינם עולים בקנה אחד עם התכוננות ל ביטול חובת הרישום וצמצום הנטל הביורוקרטי- נראה כי נכון יהיה להוסיף את הפריטים הנוספים באישורה של ועדת החוקה . הערות לסעיף10 סעיפים קטנים (א) עד (ב3) – סעיפים אלו עוסקים בסמכויות ראש הרשות (הרשם) בנושא רישום מאגר המידע– 8 חובת רישום תוך90 יום, סירוב לרשום, רישום שונה מזה שהתבקש, ותוצאות אי הרישום (המשך ניהול במקרה של אי רישום "טכני" או איסור על ניהול המאגר במקרה של אי רישום "מהותי"). וסעיף קטן (ב3 ) עוסק במחיקת .רישומו של מאגר שבוער סעיפים קטנים (ג) עד)(ד – כוללים מספר הוראות הנוגעות ליישום כלל הוראות החוק ואכיפתו– הן על ידי )הרשם והן על ידי יחידת הפיקוח. סעיף קטן (ג) עוסק בסמכות כללית לפקח על הוראות החוק. סעיף קטן (ד עניינו בהקמת יחידת הפיקוח על ידי שר המשפטים. למיטב הבנתנו אין עוד צורך בסעיף קטן זה, נוכח הסדרת .הקמתה ותפקידיה של יחידת הפיקוח בהצעת החוק הממשלתית סעיפים קטנים (ה) ו-(ה1) – עניינם ביחידת הפיקוח ובסמכויותיהם של מפקחים ביחידת הפיקוח. נראה כי גם מקומם של הסעיפים במסגרת כלל הסמכויות של יחיד ת הפיקוח (תחת הפרק שעניינו אכיפה, ולא תחת הנושא .)של רישום מאגרים הערות לסעיף10ב: איסור שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר 8. אחרי סעיף10 :א לחוק העיקרי יבוא "איסור שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר 10 .ב לא ישתמש בעל שליטה במאגר מידע או מחזיק ,במאגר, במידע ,לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע ממאגר מידע, שלא למטרה שלשמה נמסרו, ולא ירשה לאחר מטעמו .לעשות שימוש במידע או בידיעה כאמור עיקרון צמידות המטרה המוצע בסעיף10 ב מעגן איסור כללי על שימוש במידע ממאגר מידע שלא למטרה לשמה :נמסר המידע. בחוק הקיים מעוגן עקרון זה בשני מקומות (1) בסעיף2(9 ,) לחוק: "שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר שלא למטרה שלשמה נמסרה .", ומהווה פגיעה בפרטיות, שלצידה סנקציה פלילית (2) בסעיף8 (ב) הקובע: "לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, א לא למטרה שלשמה הוקם המאגר ". סעיף2(9 ) חל על ידיעה על "ענייניו הפרטיים של אדם" ולא על "מידע". סעיף8 (ב) חל על מאגרים החייבים ברישום בלבד. בסעיף מוצע לקבוע את עקרון צמידות המטרה כע קרון עצמאי ולנתקו מחובת הרישום. אנו .סבורים כי, ככלל, זהו תיקון ראוי לדיון : ההסדר ב- ) GDPR סעיפים5(1) ו- 6(4 )) מאפשר עיבוד של מידע למטרה דומה , וזאת בשל הקושי לצפות מראש ובמדויק את טווח המטרות של עיבוד המידע האישי שנאסף ומתוך ההבנה כי לתעשייה נדרש מרחב פעו לה .להתפתחות ולחדשנות קביעת הסדר של עיבוד למטרה דומה לא רק ייצור הסדר מאוזן, אלא אף ישמוט את הצידוק לכאורה לקביעת מטרות עיבוד כוללניות, מעורפלות או גורפות (כגון "לכל מטרה חוקית" או "לצרכי ?מחקר"). האם לא נכון להשתמש בהסדר דומה 5(1)Personal data shall be: 1. processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); 6(4) Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject’s consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether 9 processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia: a. any link between the purposes for which the personal data have been collected and the purposes of the intended further processing; b. the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller; c. the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10; d. the possible consequences of the intended further processing for data subjects; e. the existence of appropriate safeguards, which may include encryption or pseudonymisation. :נוסח חלופי "איסור שימוש עיבוד במידע ממאגר מידע בניגוד למטרה שלשמה נמסר 10 .ב )(א בעל שליטה במאגר מידע או מחזיק במאגר לא ישתמש יעבד בעל שליטה במאגר ,מידע או מחזיק במאגר ב מידע ,לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע , ממאגר מידע, שלא למטרה שלשמה נמסרו ולא ירשה לאחר מטעמו לעשות שימוש עיבוד .במידע או בידיעה כאמור "לעניין סעיף זה "מטרה, לרבות מטרה דומה ו כן לצורך התממה או מחיקה של המידע". ( )ב"קיומה של מטרה דומה כאמור, תבחן בשים לב ל אלה: (1 )הקשר בין המטרה לשמה נאסף או נמסר המידע לבין מטרת העיבוד [או השימוש ] הדומה; (2) הנסיבות שבהן נאסף המידע, קיומה של מערכת יחסים בין נושא המידע לבין בעל השליטה במאגר המידע; (3 )ציפייתו הסבירה של נושא המידע בנוגע לעיבוד או לשימוש נוסף במידע, מעבר למטרה לשמה נאסף או נמסר; (4 ) היותו של המידע בו נעשה העיבוד מידע בעל רגישות מיוחדת; (5 )השלכות אפשריות של העיבוד או השימוש הנוסף לעומת ההשלכות של העיבוד למטרה שלשמה נאסף המידע". :)נוסח חלופי לסעיף קטן (ב )(ב מטרה דומה היא מטרה שנושא מידע סביר היה מצפה ביחס אליה לשימוש נוסף .ושיש לעיבוד המידע ביחס אליה להשליך על נושא המידע באופן דומה נוכח הערותינו מוצע נוסח חלופי, לסעיפים סעיף8 עד10 ב ו- 12 (לא כולל סעיף10 )א 8 . ניהול מאגר מידע, עיבוד מידע חוקי והודעה על מאגר מידע (א) בעל שליטה במאגר מידע או מחזיק י לא עבד ולא יעשה שימוש ב ,מאגר מידע אם המידע הכלול בו נוצר, התקבל נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע, אלא אם כן המידע נמסר לו בהתאם לסמכות בדין .או שלא היה עליו לדעת על אי־החוקיות כאמור [ לדיון– ה יחס עם ה הגנות הנוספות בחוק; סמכות ראש הרשות להודיע על הפרה]. 1.(ב) בעל שליטה במאגר מידע או מחזיק במאגר לא יעבד מידע, ממאגר מידע, שלא למטרה שלשמה נמסרו ולא ירשה 10 .לאחר מטעמו לעשות עיבוד במידע או בידיעה כאמור לעניין סעיף זה ""מטרה – גם למטרה דומה ו כן לצורך "התממה או מחיקה של המידע . "מטרה דומה " – מטרה שנושא מידע סביר היה מצפה כי ייעשה ביחס אליה עיבוד על פי הסכמתו לעיבוד המקורי ושיש לעיבוד המידע ביחס אליה כדי להשליך על נושא המידע באופן דומה לעיבוד של המטרה המקורית , (ג) כלל המאגר מידע על אודותX אנשים או יותר,, והתקיים אחד מאלה ימסור בעל השליטה לרשות להגנת הפרטיות הודעה על המאגר: ( 1 ;) המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה ( 2 ) מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר כהגדרתם בסעיף17 ;ג ( 3) המאגר כולל מידע בעל רגישות מיוחדת . [ :לדיון החלפ ת סעיף (ג) בחובה למינוי ממונה על הפרטיות ]וביצוע תסקיר השפעה על הפרטיות )(ד הוראת סעיפים קטנים (ג) ו-(ג1 ) לא יחולו על מאגר שאין בו אלא מידע שפורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים על- .פי סמכות כדין )(ה ,היה מאגר המידע, בשליטת גוף ציבורי( כאמור בפסקה1 ) להגדרה "גוף ציבורי" שבסעיף23 , ימסור הגוף הציבורי הודעה ל רשות על המאגר, אם המאגר כולל מידע על1,000 .אנשים או יותר 9. בקשה לרישום פרטי הודעה על מאגר מידע )(א בקשה לרישום מאגר מידע תוגש לרשם לממונה. )(ב בקשה לרישום הודעה על מאגר מידע תפרט את– ( 1 ) זהות בעל מאגר המידע, המחזיק במאגר בעל השליטה במאגר המידע ,ומנהל המאגר ומעניהם בישראל וכן זהות הממונה על הגנת הפרטיות, אם יש חובה למנותו; ( 1 )א ;סוג השירות שנותן המחזיק במאגר המידע לבעל השליטה בו ( 2 ) ;מטרות הקמת מאגר המידע והמטרות שלהן נועד המידע ( 3 ) ;סוגי המידע שייכללו במאגר ( 3 )א ... תוצאות תסקיר הגנה על הפרטיות, אם זה כולל [ לבחינה- ה וספת הוראה הנוגעת לעדכון ]התסקיר אחת למספר שנים ( 4 ) ;פרטים בדבר העברת מידע מחוץ לגבולות המדינה ( 5 ) פרטים בדבר קבלת מידע, דרך קבע, מגוף ציבורי כהגדרתו בסעיף23 , שם הגוף הציבורי מוסר .המידע ומהות המידע הנמסר, למעט פרטים הנמסרים בהסכמת מי שהמידע על אודותיו )(ג שר המשפטים רשאי לקבוע בתקנות]?[באישור ועדת החוקה .פרטים נוספים שיפורטו בבקשה לרישום )(ד הבעל בעל השליטה במאגר מידע או המחזיק ב של מאגר מיד ע יודיע לרשם ל ממונה לראש הרשות על כל שינוי .בפרט מהפרטים המפורטים בסעיף קטן (ב) או לפי סעיף קטן (ג) ועל הפסקת פעולתו של מאגר המידע 10. סמכויות הרשם ראש הרשות ברישום מאגר )(א הוגשה בקשה לרשות הודעה לרישום על מאגר מידע– ( 1 ) ירשום אותו הרשם הממונה ראש הרשות ב פנקס מרשם , תוך90 ימים מיום שהוגשה לו הבקשה , זולת אם היה לו יסוד סביר להניח כי המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן, או שהמידע הכלול בו ,נוצר;נתקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין ( 2 ) הרשם הממונה ראש הרשות ,רשאי לרשום מטרה שונה מזו שפורטה בבקשה, לרשום מספר מטרות למאגר או להורות על הגשת מספר בקשות תחת הבקשה שהוגשה רישום המאגר כמספר מאגרים , והכל אם נוכח לדעת כי הדבר 11 ;הולם את פעילות המאגר הלכה למעשה ( 3 ) הרשם הממונה ראש הרשות לא יסרב ימנע מרישום לרשום את מאגר ה( מידע לפי פסקה1 ) ולא יפעיל ( סמכויותיו לפי פסקה2 .), אלא לאחר שנתן למבקש הזדמנות לטעון את טענותיו )(ב .)(בוטל (ב1 ) לא רשם הרשם את מאגר המידע תוך90 ימים מיום שהוגשה לו הבקשה, ולא הודיע למבקש על סירובו לרשום או על השהיית הרישום מטעמים מיוחדים שיפרט בהודעתו– רשאי יהיה המבקש לנהל או להחזיק את המאגר אף שאינו .רשום (ב2 ) הודיע הרשם למבקש על סירובו לרשום את מאגר המידע, או על השהיית הרישום כאמור בסעיף קטן (ב1 ) לא .יהיה המבקש רשאי לנהל או להחזיק את המאגר, זולת אם בית המשפט קבע אחרת (ב3 ) הרשם ה ממונה ראש הרשות ימחק רישומו של מאגר מידע מה פנקס מה מרשם , אם הודיע לו בעל ה שליטה ב מאגר שהמידע שבאותו מאגר בוער, ואימת הודעה זו בתצהיר; הוחזק מאגר מידע שלא בידי בעל השליטה ב מאגר המידע, תאומת .ההודעה גם בתצהיר של המחזיק )(ג הרשם .יפקח על מילוי הוראות חוק זה והתקנות לפיו )(ד ,שר המשפטים, באישור ועדת החוקה חוק ומשפט של הכנסת, יקים בצו, יחידת פיקוח שתפקח על מאגרי המידע רישומם ואבטחת המידע בהם; גודלה של היחידה יותאם לצורכי הפיקוח. )(ה הרשם יעמוד בראש יחידת הפיקוח, והוא ימנה את המפקחים לצורך ביצוע הפיקוח לפי חוק זה; לא יתמנה למפקח אלא מי שקיבל הכשרה מקצועית מתאימה בתחום מיחשוב ואבטחת מידע והפעלת סמכויות לפי חוק זה, ומשטרת ישראל לא הביעה התנגדות למינויו מטעמים של שמירה על בטחון הציבור. לצורך ביצוע תפקידיו רשאי מפקח– ( 1 )לדרוש מכל אדם הנוגע בדבר למסור לו ידיעות ומסמכים המתייחסים למאגר מידע; ( 2 ) להיכנס למקום שיש לו יסוד סביר להניח כי מופעל בו מאגר מידע, לערוך בו חיפוש ולתפוס חפץ, אם שוכנע כי הדבר דרוש לש ם הבטחת ביצוע חוק זה וכדי למנוע עבירה על הוראותיו; על חפץ שנתפס לפי סעיף זה יחולו הוראות פקודת סדר הדין הפלילי (מעצר וחיפוש) [נוסח חדש], התשכ"ט- 1969 ; סדרי כניסה למיתקן צבאי או למיתקן של רשות בטחון כמשמעותה בסעיף19 (ג) ייקבעו על ידי שר המשפטים בהתייעצות עם ,השר הממונה על רשות הבטחון לפי הענין; בפסקה זו, "חפץ – " לרבות חומר מחשב, ופלט כהגדרתם בחוק המחשבים, התשנ"ה- 1995 ; ( 3 ) ( על אף הוראות פסקה2 ), לא ייכנס למקום כאמור המשמש למגורים בלבד, אלא לפי צו מאת שופט של בית משפט שלום. )(ו הפר מחזיק או בעל של מאגר מידע הוראות של חוק זה או התקנות לפיו, או לא מילא אחרי דרישה שהפנה אליו הרשם , רשאי הרשם להתלות את תוקפו של הרישום לתקופה שיקבע או לבטל את רישומו של מאגר המידע בפנקס מרשם , ובלבד.שקודם להתליה או לביטול ניתנה לבעל המאגר הזדמנות להשמיע את טענותיו )(ו מצא הרשם, אף לאחר רישומו של המאגר, כי המאגר משמש לפעולות בלתי חוקיות או כמסווה להן, או שהמידע הכלול בו נוצר, נתקבל, נצבר או נאסף בניגוד ל חוק זה או בניגוד להוראות כל דין רשאי הוא להתלות את תוקפו של הרישום רישומו של המאגר לתקופה שיקבע או לבטל את רישומו של מאגר המידע ב פנקס מרשם , ובלבד שקודם להתליה או לביטול ניתנה לבעל ה שליטה ב.מאגר הזדמנות להשמיע את טענותיו )(ז דין הרשם .ודין מי שפועל מטעמו כדין עובד המדינה " 12 . פנקס מרשם מאגרי מידע )(א הרשם הממונה ראש הרשות ינהל פנקס מרשם .מאגרי מידע אשר יהיה פתוח לעיונו של הציבור )(ב ה פנקס מרשם יכיל את הפרטים לרישום מאגר המידע כאמור בסעיף9 . )(ג על אף הוראות סעיפים קטנים (א) ו- ,)(ב במאגר של רשות בטחון, הפרטים המפורטים בסעיף9 ()(ב3 ) ו-( 3 )א , ( 4) ו-( 5 .) לא יהיו פתוחים לעיונו של הציבור