חומר רקע
1
י"ג
בטבת ,התשפ"ד25
בדצמבר
2023
אל
: חברי ועדת החוקה, חוק ומשפט
מאת: הייעוץ המשפטי לוועדה
מסמך הכנה מטעם הייעוץ המשפטי לוועדה–
'הצעת חוק הגנת הפרטיות (תיקון מס14
"), התשפ
ג–
2023
(
חלק1 - המשך הגדרות):
סיכום הדיון הקודם (
.23
.12
17
)
:
החל הדיון
בהגדרה
:""מידע בעל רגישות מיוחדת
( פרט1
)
–
מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד שבהצעת החוק הוחלף על ידי הוועדה
בפרט
"
"צנעת אישותו של אדם או נטייתו המינית
( פרט2) – מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ"ו–
1996
; הוחלף על ידי הוועדה בפרט
"מידע המתייחס למצב
"בריאותו של אדם
( פרט3) – "מידע גנטי כהגדרתו בחוק מידע גנטי , התשס"א–
אושר
( פרט4) –
"מידע על אודות דעותיו הפוליטיות או אמונותיו של אדם" הוחלף ב"
מידע על אודות דעותיו הפוליטיות, אמונותיו
.הדתיות של אדם או השקפת עולמו
( פרט6
) – מידע על אודות עברו הפלילי של אדם – אושר
( פרט7) –
"נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח-
2007
,
" לגבי אדם" הוחלפה בהגדרה נתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה–
,)נתוני תקשורת
התשס"ח-
2007
( , לגבי אדם ונתוני מיקום שיש בהם כדי ללמד על מידע לפי פרטים1
( ) עד6
( ) או8
( ) עד9
")
( פרט8
)
–
מזהה ביומטרי–
טרם הושלם הדיון בפרט זה, אך"אושרה ההגדרה "מזהה ביומטרי –
"
נתון ביומטרי
"המשמש לזיהוי אדם או לאימות זהותו, או אמצעי זיהוי ביומטרי שניתן להפיק ממנו נתון כאמור; לעניין זה "ביומטרי
– מאפיין אנושי, פיסיולוגי או התנהגותי ייחודי, הניתן למדידה ממוחשבת"
נושאי
הדיון ליום.23
.12
26
:
"
"מידע בעל רגישות מיוחדת – המשך הדיון
בירוק– י פר טים שהוכרעו
בוועדה.
בצהוב–
פריטים שטרם הוכרעו או פריטים
שדולגו וטרם נדונו
.או שהממשלה מבקשת בחינה נוספת בעניינם
""מידע רגיש–
(
1
)
נתונים על אישיותו של אדם, צנעת אישותו, מצב;בריאותו, מצבו הכלכלי, דעותיו ואמונתו
(
2
)
;מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש
2
""מידע בעל רגישות מיוחדת–
:כל אחד מאלה
(
1
)
...
מוצע להחליף את ההגדרה של "מידע רגיש" בחוק ולהחליפה בהגדרה "מידע בעל רגישות מיוחדת :"
פרק ההגדרות של הGDPR-
לא כולל הגדרה של מידע בעל רגישות מיוחדת, אך סעיף9(1) ל-
GDPR
קובע קטגוריות
.מיוחדות של מידע אישי שעיבודו אסור, אלא בנסיבות מסוימות סעיף זה
כולל
חלק מסוגי ה מידע
שב
הגדרה המוצעת :
Processing of personal data revealing racial or ethnic origin, political opinions, religious or
philosophical beliefs, or trade union membership, and the processing of genetic data, biometric
data for the purpose of uniquely identifying a natural person, data concerning health or data
concerning a natural person’s sex life or sexual orientation shall be prohibited.
(
2
)(1)
;מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד צנעת אישותו של אדם או נטייתו המינית
הפרט הראשון בהגדרה המוצעת מחליף חלק ניכר של
ה הגדרה
ה
קודמת,
נתונים על אישיותו של אדם, צנעת,אישותו:
יצוין כי
בפסיקה , בהקשר סעיף2,
ניתנה" לביטוי
צנעת חייו האישיים של אדם"
משמעות רחבה. כך לדוגמא
נקבע כי
פרסום
הדמיות ממוחשבות של עיצוב פנים הבית ,של אדם, ללא הסכמתו מהווה פגיעה בצנעת חייו
האישיים .
בית המשפט הדגיש כי למרות שההדמיות הן
ממוחשבות, הרי ש
חשיפת
חללים אישיים בבית, כגון חדר
השינה וחדר הרחצה ,יש בה
ם
כדי להעיד על אורחות החיים ,ואף ללמד
על התנהגות ברשות היחיד (ע"
א1697/11
א. גוטסמן אדריכלות בע"מ נ' אריה ורדי) .
הובהר כי
אין צורך בחציית
רף גבוה ביותר של אינטימיות–
דוגמת
עניינים הקשורים בעברו המינ י של אדם–
"על מנת להוכיח פגיעה ב"צנעת החיים האישיים.
ב-
GDPR
,, כאמור ניתן למצוא הגדרה הנוגעת ל :
data concerning a natural person’s sex life or sexual
orientation
.
בעקבות הדיון, ובשים לב ל כוונה המוצהרת של
הוועדה
לצמצם את ההגדרה, ומנגד החשיבות שרואה הממשלה
בפרט זה כמצוי
בליבת הזכות החוקתית והחוקית לפרטיות
" :מבקשת הממשלה להציע נוסח ביניים מידע על צנעת
חייו האישיים של אדם."". כלומר, ללא התוספת של "לרבות התנהגותו ברשות היחיד
(
3
)(2) מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ
"ו–
1996
; מידע המתייחס
.למצב בריאותו של אדם
הנוסח אותו אישרה הוועדה הוא, כאמור, רחב יותר מנוסח ההצעה, שהתייחס למידע רפואי בהקשר של יחסי
מטפל-מטופל: "
מידע המתייחס
באופן ישיר
למצב בריאותו הגופני או הנפשי
של מטופל או לטיפול הרפואי בו"
.
ב-
GDPR
ההגדרה רחבה וכוללת :
data concerning health
.
בפרט35
ל-
recital
הובהר :
"Personal data concerning health should include all data pertaining to the health status of a data
subject which reveal information relating to the past, current or future physical or mental health
status of the data subject. 2This includes information about the natural person collected in the
course of the registration for, or the provision of, health care services as referred to in Directive
2011/24/EU of the European Parliament and of the Council¹ to that natural person; a number, symbol
or particular assigned to a natural person to uniquely identify the natural person for health purposes;
information derived from the testing or examination of a body part or bodily substance, including
3
from genetic data and biological samples; and any information on, for example, a disease, disability,
disease risk, medical history, clinical treatment or the physiological or biomedical state of the data
subject independent of its source, for example from a physician or other health professional, a
hospital, a medical device or an in vitro diagnostic test."
(1)(3)
מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–
2000
;
הפרט
""מידע גנטי
הוא פרט חדש ביחס להגדרות הקודמות . בהצעת החוק מוצע להפנות להגדרת :חוק מידע גנטי
""מידע גנטי- מידע הנובע מבדיקה
;גנטית
בrticle 4(13)
A
ל-
GDPR
המונח
מתייחס למידע הנוגע
לתכונות גנטיות
שמספקות אינפורמציה ייחודית על
הפיזיולוגיה או הבריאות של נושא המידע ושנובעות מניתוח של
דגימה ביולוגית :
personal
genetic data' means
of a natural person which give
characteristics
relating to the inherited or acquired genetic
data
result, in
unique information about the physiology or the health of that natural person and which
.
particular, from an analysis of a biological sample from the natural person in question
פרט
34
ל-
recital
:
(
34
)
relating to the inherited or
Genetic data should be defined as personal data
which result from the analysis of a biological
of a natural person
acquired genetic characteristics
sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA)
or from the analysis of another element enabling equivalent
or ribonucleic acid (RNA) analysis,
information to be obtained
. כלומר, ב-
GDPR
יש הנחה כי תיתכן למידה של תכונות גנטיות גם ממידע שאינו
.מופק מדגימה גנטית שעליו ראוי להגן
(2)(4)
מידע
על אודות דעותיו הפוליטיות ,
אמונותיו
הדתיות של אדם או השקפת עולמו;
כיום קובע החוק כי "דעותיו ואמונותיו" של אדם הן מידע רגיש .
בהצעת החוק מוצע לצמצם את ההגנה
ל"
דעות
פוליטיות."
ביחס ל הגנה על
אומונותיו של אדם –
בדיוני הוועדה הובהר כי הכוונה של גורמי המקצוע בממשלה היא
הן
לאמונות דתיות ו הן לאמונות המהוות .השקפת עולם נציין כי ה-
GDPR
,מתייחס לדעות פוליטיות
אמונות דתיות
או אמונות פילוסופיות :
religious or philosophical beliefs
,
political opinions
.
(5)
הערכת אישיות שנערכה מטעם גורם מקצועי או .באמצעי שמיועד לביצוע הערכות אישיות
בדיוני הוועדה בכנסת ה-
24
עלה מהציבור קושי הנוגע לבחינת קווי אישיות (על ידי גורמי מקצוע–
כמו מפקדים
בצבא, מורים וכו') וכן ניתוחי אישיות שלAI
–
בין היתר לצרכי שיווק. בהתאם לכך
ה .וצע הנוסח שלעיל
(3)(6)
מידע על אודות עברו הפלילי של אדם;
(4)(7)
נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח–
-
2007
;, לגבי אדם
נתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח-
2007
( , לגבי אדם ונתוני מיקום שיש בהם כדי ללמד על מידע לפי פרטים1
( ) עד6
( ) או8
( ) עד9
")
בעקבות דיון הוועדה בנושא ובשים לב להחלטת הוועדה, מבקשת הממשלה להציע נוסח חליפי, המבקש ל החזיר
את ההגנה על נתוני המיקום לפי חוק נתוני תקשורת . לעמדת הממשלה זהו עניין מגודר המופיע כבר בחקיקה
ובהצעת החוק הממשלתית, ושכשלעצמו לא אמור,, לעמדת הממשלה
.לעורר מחלוקת
4
"נתוני מיקום ותעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח-
2007
,
לגבי אדם, ונתוני מיקום שיש בהם כדי ללמד( על מידע לפי פרטים1
( ) עד6
( ) או8
( ) עד9
.")
(8)
;מזהה ביומטרי
"מזהה ביומטרי–
נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו, או אמצעי זיהוי ביומטרי שניתן להפיק ממנו
"נתון כאמור; לעניין זה "ביומטרי–
"מאפיין אנושי, פיסיולוגי או התנהגותי ייחודי, הניתן למדידה ממוחשבת
ההגדרה המוצעת מבוססת על ההגדרות הקבועות בחוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים
במסמכי זיהוי ובמאגר מידע, התש"ע–
2009
:
"
"נתוני זיהוי ביומטריים –
נתונים ביומטריים שהופקו,מאמצעי זיהוי ביומטריים
וניתן לעשות בהם שימוש לצורך
זיהוי או אימות זהותו של אדם באופן ממוחשב או ממוחשב בחלקו;
"אמצעי זיהוי ביומטריים "
–
" הם תמונת תווי הפנים ותמונות שתי טביעות האצבעות המורות של אדם, שניתן להפיק
מהן
נתוני זיהוי ביומטריים;
בסעיף4(
14
)לGDPR-
"מוגדר "מידע ביומטרי :
‘biometric data’ means personal data resulting from specific technical processing relating to the
"
confirm the
of a natural person, which allow or
physical, physiological or behavioural characteristics
"
, such as facial images or dactyloscopic data;
of that natural person
unique identification
מידע אישי הנוצר מעיבוד,טכני ספציפי והקשור למאפיין פיזי, פסיכולוגי או התנהגותי של אדם
שמאפשר או מאשר
את הזיהוי הייחודי של אותו אדם .. למשל תמונת תווי פנים או טביעות אצבע
בדיון האחרון( אושרה ההגדרה "מזהה ביומטרי". ביחס לפרט8
)- ו הו עדה אישרה ביקשה הוועדה לשנות את נוסחו
כך שלא יחול על אמצעי ביומטרי שאינו משמש או מיועד לשמש לזיהוי ביומטרי, ותוך התייחסות למאגרי מידע
.גדולים
הממשלה מבקשת
להביא בפני הו
ו:עדה את ההצעה הבאה
"מזהה ביומטרי".המשמש או המיועד לשמש לזיהוי אדם או לאימות זהותו באופן ממוחשב
הממשלה מציינת בהקשר זה כי ל הבנת גורמי המקצוע בממשלה, זיהוי ביומטרי כרוך מעצם טיבו בהפקת נתון
ביומטרי, כך שהנוסח המוצע חל על כל נתון ביומטרי, כפי שב
י
קשה לקבוע הו
ו.עדה
בנוסף מציינת הממשלה כבר
כע ת כי תבקש מהוועדה לקבוע ,בפרק העיצומים
ביחס ל ,הפרות ספציפיות הנוגעות בעיקר לאבטחת מידע כי גובה
העיצום ביחס למאגרים של אמצעים ביומטריים של מעל100,000
נושאי מידע,
יהיה כמו ביחס למאגרים בעלי
.רגישות מיוחדת
המו
עצה הציבורית להגנת הפרטיות מציעה נוסח חלופי:
5
"נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו או אמצעי זיהוי ביומטרי שנעשה בו שימוש לשם הפקת
נתון כאמור, או שהוא מיועד להפקת נתון כאמור."
(
4
)(9)
מידע
ע
ל מוצאו של אדם או השתייכותו הלאומית;
הגדרה זו אינה
נמצאת כיום בחוק או בתקנות אבטחת מידע בו-
GDPR
:מופיעה הגדרה מצומצמת ביחס למוצא
"
racial or ethnic origin
."
עם זאת עמדת
גורמי המקצוע בממשלה
היא כי הניסיון מלמד שהפליה על רקע מוצאו
של אדם
אינה נדירה ועל כן נכון יהיה להוסיף התייחסות גם למוצא , אלא שיש לבחון אם הגדרה זו אינה רחבה
מדי .הוועדה בכנסת ה-
24
.טרם החליטה בעניין זה
(
10
)
מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחיבויותיו
הכלכליות ומידת עמידתו בהן;
מידע על נכסיו של אדם, חובותיו או התחייבויותיו הכלכליות, מידת עמידתו ויכולתו
";לעמוד בהן, ושיש בהם ללמד על מצבו הכלכלי או שינוי מהותי בו
ה-
GDPR, החוק בבריטניה
, בקליפורניה ובאוסטרליה ם אינ מתייחס
ים
למידע בנוגע למצבו הכלכלי של אדם
.)כאל מידע רגיש (או מידע האסור לעיבוד אלא בנסיבות מיוחדות
באוסטרליה לדוגמא החליטה נציבות הפרטיות
שאין להתייחס למידע על מצבו הכלכלי של אדם כאל מידע רגיש מ'מס סיבות ובפרט מאחר ש מידע כלכלי נדרש
לשם ביצ
ו
ע פעולות ועסקאות שגרתיות והגד
רתו כמידע רגיש תכביד על ביצוען
, ומאחר ש מידע כלכלי
דורש ממילא
רמת אבטחת מידע גבוהה
ה
מוסדרת ומובטח ת ברגולציה לנותני אשראי
גם מבלי להגדירו כמידע רגיש (
Australian
Law Reform Commission, Sensitive Information (Aug. 6, 2010)
).
."בקנדה ישנה התייחסות ל"מידע פיננסי
נציין כי בחוק.הגנת הפרטיות בנוסחו כיום מוגדר "מצבו הכלכלי" של אדם כמידע רגיש
מאז נחקק חוק הגנת
הפרטיות נקבעו מספר הסדרים פרטניים מחמירים הנוגעים לסוגים מסוימים של מידע על מצבו הכלכלי של אדם
ובהם ,חוק נתוני אשראי
ה
תשע"ו-
2016, ו ,חוק שירות מידע פיננסי
ה
תשפ"ב-
2021
.
מוצע לשקול להוסיף הגדרה ל"נכס". הגדרה
מוצעת בעקבות שיח עם
גורמי המקצוע בממשלה-
""נכס–
,מקרקעין
."מיטלטלין או זכויות
(
5
)(
11
)
הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים(
1
( ) עד8
) (
1
( ,)
2
( ) או4
);
פרט10
( , שעניינו הרגלי צריכה של אדם מבקש להגן על מידע לפי פרטים1
( ) עד8
.) ואין בו כשלעצמו משום רגישות
מוצע לעיל נוסח מצומצם יותר.
נציין כי בתקנות אבטחת המידע
יש הפניה ל
הרגלי צריכה שיש בהם כדי ללמד על
"אישיותו
של אדם ,אמונתו או דעותיו."
(
6
)(
12
) מידע שחלה עליו חובת סודיות שנקבעה בדין;
(
13
)
;מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוק חוק ומשפט של הכנסת
לדיון :
האם פרט המידע הזה אכן נדרש
, האם נעשה בו שימוש עד כה?
האם נכון להוסיף אותו כל עוד תיקוניו העיקריים
?של החוק אינם בפני הוועדה וכל עוד ממילא צפויים תיקונים נוספים לחוק בשנים הקרובות
6
ככל שהוועדה סבורה כי נכון להוסיף את הפרט–
מוצע לשקול לעשות כן בדרך של תוספת–
כך שכל הפרטים
.המהווים מידע בעל רגישות מיוחדת יופיעו בחוק עצמו
"בעל שליטה במידע" ו
"מחזיק", לעניין מאגר מידע
", שימוש ועיבוד –
""בעל שליטה במאגר מידע
תיקון סעיף7
3.
(2)
אחרי ההגדרה "אבטחת מידע "יבוא:
""בעל שליטה במאגר מידע "
–
מי שקובע ,לבדו או יחד עם אחר ,את
מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק
לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור;";
כאמור, בהצעת החוק (סעיף1
)להצעה
מוצע להחליף את המונח
""בעל מאגר מידע
במונח
""בעל שליטה במאגר מידע .
בסעיף3
( מוצע להוסיף הגדרה חדשה של בעל שליטה במאגר מידע בנוסח החוק הנוכחי אין הגדרה של "בעל מאגר
"מידע
אלא יש ציון של חובותיו של בעל מאגר מידע לעניין
רישום ,
אבטחת מידע
ו
ביחס ל זכויות
נושאי המידע,
כגון
מתן זכות עיון).
ההגדרה המוצעת מבטא
ת ה דגשה של אלמנט
השליטה במטרות עיבוד המידע
ובהיבטים המרכזיים הנוגעים לאופן
העיבוד של המידע, תוך צמצום הדגש שניתן בנוסח כיום לאלמנט הבעלות הקניינית על המאגר. שינוי זה הולם את
המונח המקביל בתקנות האירופיות בדבר הגנת מידע, ה-
Controller
המעוגן בסעיף4(7) ל-
GDPR
:
" 'Controller’ means the natural or legal person, public authority, agency or other body which, alone
or jointly with others, determines the purposes and means of the processing of personal data; where
the purposes and means of such processing are determined by Union or Member State law, the
controller or the specific criteria for its nomination may be provided for by Union or Member State
law.".
בניגוד ל-
GDPR
בהגדרה המוצעת אין דרישה ל
שליטה באמצעי עיבוד המידע . זאת כדי למנוע מצב בו העדר השליטה
על האמצעים או
פיצול (לרבות פיצול מכוון ומאולץ
) יביא ל קושי בהצבעה על בעל
ה .שליטה במאגר מידע נוסח זה הוא
במובן מסוים מסקנה מקושי שזוהה
ב
הגדרה שב-
GDPR
לפיה בעל השליטה הוא
מי שיש לו שליטה
במטרות העיבוד
וכן
באמצעי העיבוד (לדוגמא האלגוריתם, ההחלטה על הצלבה עם מאגר אחר, שימוש ב-
AI
.)'וכו
יצוין ב כי ביקורת נגד נטען כי אמצעי עיבוד המידע
המהותיים
היא תנאי מכריע ונדרש לצורך זיהוי
ב
על השליטה
וכי
ה
פרשנות של ה-
GDPR
אינה ש
ל בעל
ה שליטה חייב להיות בעל שליטה מעשית במטרות או באמצעים, אלא שיש לו
אחריות להם. לכן, גם כשמדובר בארגון שמתקשר עם ספק שיר
ות לצורך קבלת שירותי עיבוד מידע ,הארגון אחראי
על
אמצעי העיבוד–
,"ואם הם ניתנים כ"עסקת חבילהtake it or leave it
–
ואמצעי העיבוד לא מספקים את הדרישות
שלו, עליו להימנע מההתקשרות–
ולא לגלגל את האחריות.לנותן השירות
"37. Essential vs. non-essential means: The question is where to draw the line between decisions that
are reserved to the controller and decisionsthat can be left to the discretion of the processor. Decisions
on the purpose of the processing are clearly always for the controller to make." ( בעל בעניין הבחנה בין
שליטה במאגר מידע ובין מחזיק EDPB-הנחיית ה)
7
""מחזיק
, לעניין מאגר מידע
"תיקון סעיף 3
2.בסעיף 3 לחוק העיקרי –
(1)
במקום ההגדרה "מחזיק ,לעניין מאגר מידע "יבוא:
";"מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש
""מחזיק ,"לעניין מאגר מידע – מי שהתקשר עם בעל שליטה במאגר מידע למתן
שירות לבעל השליטה או למתן שירות מטעם בעל השליטה ,וקיבל מבעל
השליטה במאגר המידע ,במסגרת ההתקשרות ,הרשאה לעשות שימוש
במידע שבמאגר לצורך מתן השירות;";
על פי ההגדרה המוצעת
המחזיק מתאפיין
ב :שני אלו
(1)
התקשרות עם בעל השליטה במאגר המידע –
א.
למתן שירות
ל
בעל השליטה
או
ב.
למתן שירות
מטעם
;בעל השליטה
(2)
קבלת
הרשאה לעשות שימוש במידע שבמאגר
+
+ מסגרת התקשרות
לצורך מתן השירות .
ההגדרה החדשה מחדדת את
ההבחנה
" הקיימת בין
בעל שליטה במאגר מידע "", "מחזיק
ו-"מורשה גישה למאגר
מידע".
מ כן ובהר
ש
ההחזקה לא חייבת להיות פיזית, וכי דרך איגום המידע אינה רלוונטית לתחול ת.הוראות החוק
,אם כן
מוצעים שלושה בעלי תפקידים: בעל השליטה במידע, המחזיק ובעל הרשאה למאגר מידע:
בעל השליטה במאגר מידע
)(הצעת חוק הגנת הפרטיות
מחזיק
)(הצעת חוק הגנת הפרטיות
בעל הרשאה למאגר מידע
))(תקנות הגנת הפרטיות (אבטחת מידע
"בעל שליטה במאגר מידע "
–
מי
שקובע ,לבדו או יחד עם אחר ,את
מטרות עיבוד המידע שבמאגר המידע
או גוף שהוסמך בחיקוק לנהל מאגר
מידע או שבעל תפקיד בו הוסמך לכך
כאמור";
לדוגמא: חוקר המקבל הרשאה למאגר
; לשימושו
רפואיים
נתונים גורם
המקבל נתח ממאגר (לדוגמא מפלגה
"מחזיק ,"לעניין מאגר מידע
–
מי
שהתקשר עם בעל שליטה במאגר
מידע למתן שירות לבעל השליטה או
למתן שירות מטעם בעל השליטה ,
וקיבל מבעל השליטה במאגר
המידע
,במסגרת ההתקשרות ,
הרשאה לעשות שימוש במידע
שבמאגר לצורך מתן השירות;";
לדוגמא: קבלן המבצע מחקר עבור
תאגיד
או חברה המנפיקה תלושי
שכר עבור משרד ממשלתי
"בעל הרשאה
–
" יחיד
אשר
יש לו גישה
לאחד מאלה על פי הרשאתו של בעל המאגר
או המחזיק:
(
1
)מידע מהמאגר;
(2)
מערכות המאגר;
(3)
מידע או רכיב הנדרש לצורך הפעלת
המאגר או לצורך גישה אליו.
על אף האמור, מחזיק שאינו יחיד או יחיד
שקיבל גישה על פי הרשאה של מחזיק, לא
ייחשב כבעל הרשאה של בעל המאגר;
8
)ממאגר הבוחרים–
הוא
"בעל שליטה
במאגר" בנגזרת שקיבל לשימושו.
:לדוגמא
שליח של וולט שיש לו גישה
לכתובות
או עובד שניתנה לו הרשאת גישה
.למידע מהמאגר
ככלל ניתן לומר ש
רבות
"מהחובות ומהסנקציות המוטלות על "בעל השליטה במאגר מידע בקשר עם אבטחת המידע
.מוטלות במקביל ובאופן דומה גם על המחזיק
יצוין כי
ב-
GDPR
אין משטר של"מאגרי מידע" ועל כן הגדר
ת "מחזיק"
לא רלוונטית .ב-
GDPR
נעשה שימוש בהגדרהprocessor
"המתורגמת להגדרת "מעבד (סעיף4(8
:))
which
means a natural or legal person, public authority, agency or other body
processor’
'
processes personal data on behalf of the controller;
לדיון:
מה התועלת בהגדרה
המוצעת", "מחזיק
לעומת"מעבד" (שב-
GDPR
)
?
האם אין בכך כדי לייצר בלבול עם החזקה
פיזית ?
נציין כי
הביטוי "מחזיק" מופיע כיום בחוק ב-
24
מופעים , כאשר6 מתוכן הן במשמעות הפועל מחזיק ו-5
מהן
במשמעות של
שם עצם , אך במשמעות שונה מהמשמעות הרגילה של
מחזיק., לפי ההגדרה
האם ההגדרה"מחזיק " (שם
)עצם והפועל "מחזיק" או "יחזיק" אינ
ם
?מייצרת קשיים פרשניים ?"האם לא נכון יותר להשתמש בביטוי "מעבד
ראו לדוגמא סעיף13
:א לחוק
"
בלי לגרוע מהוראות סעיף13
–
(1)
,בעל מאגר מידע
המחזיק
( אותו אצל אחר בסעיף זה–
המחזיק), יפנה את המבקש אל
המחזיק , תוך ציון מענו, ויורה
למחזיק
, בכתב, לאפשר למבקש את העיון;
(2)
פנה המבקש תחילה
למחזיק , יודיע לו המחזיק אם הוא
מחזיק
מידע עליו, וכן את שם בעל מאגר המידע ואת
מ
ענו."
"עיבוד" ו-
""שימוש
(3) בהגדרה "שימוש ,"אחרי "לרבות "יבוא "אחסון."
"
שימוש –
לרבות ,אחסון.גילוי, העברה ומסירה
"""עיבוד– איסוף או שימוש
][שימוש=אחסון, גילוי, העברה ומסירה
ראשית נזכיר כי ההגדרה"שימוש"
ממוקמת בסעיף3
,, ועל כן רלוונטית לכל החוק, לרבות לחלק הפגיעה בפרטיות
בעוד שההגדרה החדשה, עיבוד ,רלוונטית רק לפרק .ים הנוגעים למאגרי מידע
ב הגדרה המוצעת החדשה של "שימוש" הבהרה מפורשות שגם
אחסון המידע
שבמאגר
מבלי להוציא אותו החוצה ,
,ומבלי שהדבר מלווה בפעולות נוספות יחשב שימוש במידע
)(זאת בנוסף לגילוי, העברה ומסירה .
התוספת מבטאת
את החשש מיכו לת העיבוד הגבוהה כיום
ופוטנציאל החשיפה של מידע מעצם אחסונו .
יצוין כי אין מדובר ברשימה
סגורה של פעולות הנכנסות תחת ההגדרה "שימוש" וכי גם פעולות כמו החזקה, עיון, ארגון, תיקון, השלמה, אחזור
ומחיקה נכנסות תחת ההגדרה .
9
"הוספת ההגדרה "עיבוד–
צרוף ההגדרות
"שימוש" ו-"עיבוד" המוצעות מייצר למעשה שלוש קטגוריות :
(1)
איסוף בלבד ;
(2)
שימוש (הכולל,, בין היתר אחסון,
)גילוי, העברה ומסירה ;
(3)
עיבוד המתייחס
ת
"הן להגדרה "איסוף" והן להגדרה "שימוש
, ו תואמת את ההגדרה בסעיף4(2) ל-
GDPR
" ביחס למונחProcessing" שב-
GDPR
.
לדיון:
(1)
האם
אכן נדרש הביטוי
"שימוש" בנוסף למונח "עיבוד" ולא ניתן להסתפק ב"עיבוד" בדומה
ל-
GDPR
?
מתי
נדרש הביטוי"שימוש"
?ככזה דווקא
?האם קיומו של המונח "שימוש" במונח הטבעי שלו אינו יוצר בלבול
כך
לדוגמא–
בסעיף32
לחוק שעניינו חומר אסור כראיה משתמש החוק במונח שימוש במובנו היומיומי– "
חומר
שהושג תוך פגיעה בפרטיות יהיה פסול
לשמש
ראיה בבית משפט, ללא הסכמת הנפגע, זולת אם בית המשפט התיר
מטעמים שיירשמו
להשתמש בחומר, או אם היו לפוגע, שהיה צד להליך, הגנה או פטור לפי חוק זה ."
(2)
האם בהגדרה "מחזיק, לעניין מאגר מידע" הכוונה היא אכן לשימוש בלבד, להבדיל מעיבוד–
כלומר האם
?איסוף ללא איחסון "פוטר" את המחזיק מהיותו מוגדר ככזה? האם ייתכן איסוף ללא איחסון
""הוועדה– ועדת החוקה ,חוק ומשפט של הכנסת
.ועדת החוקה של הכנסת היא הוועדה המאשרת את התקנות והצווים לפי החוק למרות זאת, אין הגדרה של הוועדה
" ועל כן יש צורך לחזור בכל איזכור של הוועדה על הביטוי המלא
ועדת החוקה ,חוק ומשפט של הכנסת ."
כדי להקל
על קריאת החוק וכתיבתו, מוצע
.לקבוע קיצור