חומר רקע

PDF 27,051 תווים המסמך המקורי ↗
1 ט' בשבט ,התשפ"ד( 19 בינואר2024 ) אל : חברי ועדת החוקה, חוק ומשפט מאת: הייעוץ המשפטי לוועדה מסמך הכנה מטעם הייעוץ המשפטי לוועדה– 'לדיון מס6 ב 'הצעת חוק הגנת הפרטיות (תיקון מס14 ,) "התשפ ג– 2023 (חלק1 – סעיפים8 עד12 ו- 16 עד17א:) ( סיכום הדיון הקודם10.1.24 :) [בצהוב– ]הצעות נוספות לתיקונים/ נושאים שנותרו לבדיקה  ב"הגדרה "מידע בעל רגישות מיוחדת ( אושרו פרטים6) "מידע על עברו הפלילי של אדם" ו- ( 10 ) מידע על ( נתוני שכר ועל פעילותו הפיננסית של אדם" ונמחק פרט11 "... ) "הרגלי צריכה  פרט( 13 ) הוחזר בנסיבות של מידע שעיבודו מבוצע בנסיבות ייחודיות :מחוץ לישראל " מידע נוסף אחר שקבע שר המשפטים, בצו / בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א- 2001 / בתוספת הראשונה ,באישור ועדת החוקה , חוק ומשפט ובלבד שהוא מידע המצוי במאגר מידע בישראל שהועבר אליו מחוץ לגבולות המדינה ושבמקום שממנו הועבר חל ות על מידע מסוגו הוראות דין מיוחדות ביחס לדין החל על מידע אחר" : משרד המשפטים מבקש לדון פעם נוספת בהוספת הוראת השעה: "יראו מידע שנקבע כמידע רגיש לפי פרט2 להגדרה "מידע רגיש" בסעיף7 לחוק העיקרי כמידע בעל ]."רגישות מיוחדת; שר המשפטים, באישור ועדת החוקה, רשאי לבטל קביעה זו  ( נותרו פתוחים פרטים5) ו-(7 :) (5) הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכות אישיות באמצעי שמיועד לביצוע הערכה של מאפייני אישיות מהותיים, ובכלל זה קווי אופי, יכולות קוגנטיביות ויכולות תפקוד בעבודה או בלימודים ; "לעניין זה, "גורם מקצועי- מי שכדרך עיסוק מחווה דעתו על אישיותו של אדם; (7) נתוני מיקום ותעבורה כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– ,)נתוני תקשורת התשס"ח- 2007 ונתוני מיקום ונתונים אודות מיקומו של אדם ( שיש בהם כדי ללמד על מידע לפי פרטים1 ) ( עד6 ( ) או8 ( ) עד9 ;)בבדיקה  אושרו ההגדרות ה באות )(הגדרת עיבוד ושימוש אוחדו : - בעל שליטה במאגר מידע– מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל לעבד מידע ב .מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור - מחזיק, לעניין מאגר מידע– גורם חיצוני לבעל השליטה ה מעבד מידע עבור ו. - עיבוד ,שימוש – עיבוד– איסוף, או שימוש ,כל פעולה שמבוצעת על מידע אישי לרבות קבלה, איסוף ,אחסון, העתקה שימוש , עיון, גילוי, חשיפה, העברה, מסירה או מתן גישה. - "הוצע לבטל את הגדרת "מנהל מאגר- .בבדיקה  נדונו ואושרו שינויים ב סעיפים 8 עד12 לחוק (נוסח משולב מצורף למסמך זה) וסעיף29 להצעת החוק (הוראת )מעבר לעניין מאגרים רשומים שלא יהיו חייבים עוד בחובת רישום : - סעיף9 – אושר בנוסח שהונח בפני הוועדה, למעט העברת הבקשה לרישום ו עדכונה לרשות (ולא לראש )הרשות ; - סעיף29 – .אושר בנוסח הצעת החוק - סעיף12 – .)אושר כנוסח מסמך ההכנה, למעט המילה "נגיש" בסיפא של סעיף (א 2 נושאים ל דיון21.1.24 : מוצעים לדיון נוסף סעיפים8 , 10 ו- 11 )(חובת מבקש מידע וכן נושא דרישת ההסכמה כתנאי לאיסוף מידע 8 . רישום מאגר מידע והשימוש בו ניהול מאגר מידע, עיבוד מידע חוקי והודעה על מאגר מידע נוסח ה ממשל ה לסעיף קטן (א1 :) (א1 ) ( 1 ) בעל שליטה במאגר מידע לא יעבד מידע במאגר מידע][ולא ירשה לאחר לעבד עבורו מידע במאגר מידע אם המידע האישי ,הכלול בו נוצר, התקבל נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע . ( 2 ) נמסר המידע מגורם אחר ובעל השליטה לא ידע ו לא היה עליו לדעת כי המוסר פעל בניגוד לדין, לא יישא בעל השליטה באחריות לפי סעיף זה ;לעיבוד מידע שבוצע לפני שידע או שהיה עליו לדעת כאמור ( 3 ) ( היתה הפרת הדין קלת ערך בנסיבות הענין והמידע נמסר כאמור בסעיף קטן2 ( ) לא יחול סעיף קטן1 ) .אף לאחר שבעל השליטה או המחזיק ידע או היה עליו לדעת :)חלופה נוספת (איסור כללי לעיבוד מידע בניגוד לחוק אך מנגד הרחבת סעיף ההגנות (א1 ) ( 1 )עיבוד מידע אישי אסור אם המידע האישי ,הכלול בו נוצר, התקבל נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע . ( 2 ) ,נעשה עיבוד המידע בנסיבות שבהן היתה מוטלת על המעבד חובה חוקית מוסרית או מקצועית לעשותה או שהעיבוד נעשה לשם הגנה על ענין אישי כשר של המעבד או בנסיבות בהן המידע נמסר מגורם אחר ובעל השליטה לא ידע ו לא היה עליו לדעת כי המוסר פעל בניגוד לחוק זה או בניגוד להוראות כל דין ל המסדיר עיבוד מידע, לא יישא בעל השליטה או המחזיק באחריות ,לפי סעיף זה ואם נמסר המידע כאמור ( בפסקה1 ) – לא יישא בעל השליטה או המחזיק באחריות;לעיבוד מידע שבוצע לפני שידע או שהיה עליו לדעת כאמור ( 3 ) היתה הפרת הדין קלת ערך בנסיבות הענין והמידע נמסר כאמור בפסקה ( 2 ( ) לא יחול סעיף קטן1 ) אף לאחר .שבעל השליטה או המחזיק ידע או היה עליו לדעת לדיון : (1) למה הכוונה בביטוי "בניגוד לחוק זה"? מה ן ההוראות הכלולות בחוק כיום ביחס לעיבוד מידע ? (2) הגנות סעיף18 , האם אינן חלות מאליהן על האיסור? האם נדרשת אליהן הפניה? האם נדרשת התייחסות ?במישור המינהלי "במשפט פלילי , מינהלי :או אזרחי בשל פגיעה בפרטיות תהא זו הגנה טובה אם נתקיימה אחת מאלה ( 1 )הפגיעה נעשתה בדרך של פרסום שהוא מוגן לפי סעיף13 לחוק איסור לשון הרע, התשכ"ה- 1965 ; (2) הנתבע או הנאשם עשה את הפגיעה בתום לב באחת הנסיבות האלה: )(א הוא לא ידע ולא היה עליו לדעת על אפשרות הפגיעה בפרטיות; )(ב הפגיעה / עיבוד המידע נעשתה בנסיבות שבהן היתה מוטלת על הפוגע ח ובה חוקית, מוסרית, חברתית או מקצועית לעשותה; )(ג הפגיעה נעשתה לשם הגנה על ענין אישי כשר של הפוגע; )(ד הפגיעה נעשתה תוך ביצוע עיסוקו של הפוגע כדין ובמהלך עבודתו הרגיל, ובלבד שלא נעשתה דרך פרסום ברבים; )(ה הפגיעה היתה בדרך של צילום, או בדרך של פרסום תצלום, שנעשה ברשות הרבים ודמות הנפגע מופיעה בו באקראי;" )סעיף ההפרה התואם (יידון וימוקם בפרק ההפרות מצא ראש הרשות כי אדם בעל שליטה[ מעבד מידע :ממ או מתיר לאחר לעבד מידע עבורו] עיבד מידע ב מאגר מידע בניגוד להוראות סעיף זה (בסעיף קטן זה– )הפרה , רשאי הוא להודיע לו שמעשיו מהווים הפרה[ :ממ שעיבוד המידע ]כאמור מהווה הפרה של סעיף זה ולהורות לו ולמחזיק במאגר המידע להפסיק את ההפרה[ממ: עיבוד המידע ]בתוך 3 תקופה שיורה. "(א2 ) לא ישתמש יעבד אדם ב מידע אישי ,לרבות ,ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע ,ממאגר מידע בלא הרשאה מאת בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור "; לעניין סעיף זה "עיבוד– למעט אחסון באקרא י ובתום לב." )(ב לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה שלשמה הוקם המאגר. )(ג לא יעבד אדם בעל שליטה מידע אישי ב מאגר מידע ולא י רשה לאחר לעבד עבורו מידע כאמור , אם המאגר הוא אחד מאלה , אלא אם המאגר נרשם במרשם או ש הוגשה בקשה לרישו מו לפי הוראות סעיף9 [ וחלפו30 ימים] וראש הרשות לא הודיע למבקש על סירובו לרשום את המאגר או על השהיית רישום המאגר: (1) מטרתו העיקרית של המאגר היא איסוף מידע אישי לצורך מסירתו לאחר כדרך עיסוק או בתמורה , לרבות שיר ותי דיוור ישיר כהגדרתם ב סעיף17ג ובמאגר למעלה מ- 10,000 נושאי מידע; (2) בעל השליטה ב ,מאגר המידע, הוא גוף ציבורי( כאמור בפסקה1 ) להגדרה "גוף ציבורי" שבסעיף23 , למעט מאגר מידע הכולל מידע על עובדי הגוף הציבור בלבד . הצעה לחובת ה ה :ודעה (ג1 ) ( 1 )בעל שליטה במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות 100,000 אנשים או יותר ,ושלא חלה עליו חובת רישום לפי סעיף קטן (ג ,)חייב למסור ל ראש ה רשות בתוךX ימים מהתקיימות התנאי האמור הודעה על זהות בעל השליטה ומענו בישראל/ ודרכי ההתקשרות עמו וכן עותק ממסמך הגדרות המאגר שעריכתו נדרשת בהתאם להוראות סעיפים17(ב) ו- 36 ; היה שינוי בזהות בעל השליטה או דרכי ההתקשרות עמו או שינוי המחייב עדכון של מסמך הגדרות המאגר או שה ופסקה פעילותו של המאגר– יודיע בעל השליטה ל רשות על השינוי האמור בתוךX ימים מיום השינוי או הפסקת הפעילות לפי העניין . ( 2 ) השר,, באישור ועדת החוקה רשאי ל פטור מחובת היידוע סוגים של מאגרי מידע או סוגים של בעלי שליטה וכן רשאי הוא ל קבוע הוראות לעניין אופן ההודעה לפי סעיף קטן זה; )(ד )הוראת סעיפים קטנים (ג ו-(ג1 ) לא יחול ו על מאגר שאין בו אלא מידע שפורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים על- .פי סמכות כדין (ה) ראש,הרשות רשאי להורות כי מאגר מידע מסוים החייב ברישום לפי סעיף קטן (ג )יהיה פטור מרישום כאמור, אם שוכנע כי הרישום אינו דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע ;הוראה כאמור תומצא לבעל השליטה במאגר ותפורסם באתר האינטרנט של ראש הרשות. ----------------------------------------------------------------------------------------------------------------------------- ----------- 10. סמכויות ראש הרשות [ברישום מאגר] )(א הוגשה בקשה לרישום מאגר מידע– ( 1 ) ירשום אותו ראש הרשות ב מרשם , תוך90 30 :[ממ60 ] ימים מיום שהוגשה לו הבקשה, זולת אם היה לו יסוד סביר להניח כי המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן, או שהמידע האישי הכלול בו ,נוצר;נתקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין ואולם אם דרש ראש הרשות ממגיש הבקשה מידע ופרטים נוספים, לא יובא במניין התקופה כאמור פרק הזמן שעד להגשת מידע ופרטים כאמור. ( 2 ) ראש הרשות רשאי לרשום מטרה שונה מזו שפורטה בבקשה, לרשום מספר מטרות למאגר, או להורות 4 על רישום המאגר כמספר מאגרים , והכל אם נוכח לדעת כי הדבר הולם את פעילות המאגר הלכה;למעשה ( 3 ) ראש הרשות ( לא יסרב לרשום את מאגר המידע לפי פסקה1 ( ) ולא יפעיל סמכויותיו לפי פסקה2 ), אלא .לאחר שנתן למבקש הזדמנות לטעון את טענותיו )(ב .)(בוטל (ב1 ) לא רשם הרשם את מאגר המידע תוך90 ימים מיום שהוגשה לו הבקשה, ולא הודיע למבקש על סירובו לרשום או על השהיית הרישום מטעמים מיוחדים שיפרט בהודעתו– רשאי יהיה המבקש לנהל או להחזיק את המאגר אף שאינו .רשום (ב2 ) הודיע ראש הרשות למבקש על סירובו לרשום את מאגר המידע, או על השהיית הרישום לא יהיה המבקש רשאי לנהל או להחזיק לעבד מידע אישי ב מאגר ולא ירשה לאחר לעבד עבורו., זולת אם בית המשפט קבע אחרת (ב3 ) ראש הרשות ימחק רישומו של מאגר מידע מה מרשם , אם הודיע לו בעל ה שליטה ב מאגר שהמידע שבאותו מאגר בוער או שהועבר למאגר רשום אחר ואינו קיים עוד או שאינו מחויב עוד ברישום ;, ואימת הודעה זו בתצהיר הוחזק מאגר מידע שלא בידי בעל .מאגר המידע, תאומת ההודעה גם בתצהיר של המחזיק )(ג הרשם ראש הרש ות יפקח על מילוי הוראות חוק זה והתקנות .לפיו][יועבר מיקום ,(ד) שר המשפטים, באישור ועדת החוקה חוק ומשפט של הכנסת, יקים בצו, יחידת פיקוח שתפקח על מאגרי המידע רישומם ואבטחת המידע בהם; גודלה של היחידה יותאם לצורכי הפיקוח. ][מבוטל (ה) ו(ה1 ) – ][יידונו בהמשך ויועברו מיקום לפרק הפיקוח )(ו הפר בעל שליטה במאגר מידע או מחזיק הוראות של חוק זה או התקנות לפיו, או לא מילא אחרי דרישה שהפנה אליו ראש הרשות , רשאי ראש הרשות להתלות את תוקפו של הרישום לתקופה שיקבע או לבטל את רישומו של מאגר המידע ב מרשם , ,אם שוכנע כי הדבר נדרש בנסיבות העניין ובלבד שקודם להתליה או לביטול ניתנה לבעל השליטה או למחזיק ב מאגר .הזדמנות להשמיע את טענותיו [הוועדה ביקשה התייחסות לנושא הפרה של מחזיק, שלא באישור בעל השליטה וכן התייחסות למאגרים ציבוריים הנדרשים בהמשך פעילות, אף לאחר האישור] [ )לדיון: האם נדרש ביטול הרישום או די בקביעת הפרה וקביעת התליה מינהלית (לא קשורה לרישום האם אין בכך ?כפל התליות מינהליות] )(ז דין הרשם ודין מי שפועל מטעמו כדין עובד.המדינה ][לבדיקה ----------------------------------------------------------------------------------------------------------------------------- ----------- 11 .חובת מבקש מידע )(א פניה לאדם לקבלת מידע אישי לשם עיבודו החזקתו או שימוש בו במאגר מידע תלווה בהודעה / בעל שליטה במאגר מידע המעבד מידע אישי, ימסור לנושא המידע הודעה שיצויינו בה– ( 1 ) אם חלה על אותו אדם חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו ומהי תוצאת אי ההס כמה; ( 2 ) ;המטרה אשר לשמה מבוקש המידע ( 2 )א שמו של בעל השליטה במאגר;המידע ודרכי ההתקשרות עמו ( 3 ) .למי יימסר המידע ומטרות המסירה ( 4 ) קיומה של זכות עיון במידע לפי סעיף13 לחוק וזכות ל בקש תיקון מידע לפי סעיף14 .לחוק (ב) על אף האמור ,)בסעיף קטן (א לא נאסף המידע האישי ישירות מנושא המידע– יפנה בעל השליטה ב מאגר המידע או המחזיק במידע בהודעה כאמור באותו סעיף קטן בתוך30 ימים , אלא אם מתן ההודעה כנדרש היה בלתי אפשרי או דורש ,מאמץ בלתי סביר ו ,העיבוד נעשה למטרות אירכוב שיש בו אינטרס ציבורי או למטרות מחקר מדעי, היסטורי או סטטיסטי . 5 הוראת :מעבר הוראת סעיף זה לא תחול, אלא על עיבוד של מידע שהתקבל נאסף או נצבר לאחר תחילתו של .חוק זה סעיף זה נדון במהירות בסיום הדיון הקודם. א גב הדיון המהיר לא נדון הקושי העולה מכך שחובת היידוע מוגבלת על פי הנוסח האמור רק למקרה של פניה לקבלת מידע אישי ו לכן אינו תואם את טכנולוגיות איסוף המידע האישי הקיימות כבר היום, אינו צופה פני עתיד במידה מספקת . הנוסח אף אינו תואם את הדין הבינלאומי , ובפרט את תקנה13 ו- 14 לתקנות הכלליות להגנת מידע של האיחוד האירופאי , ה- " GDPR " אשר קובעות שעל בעל השליטה במידע להודיע לנושא המידע על איסוף המידע על ידו בעת איסוף המידע, כאשר המידע האישי נאסף מנושא המידע עצמו , ובתוך חודש מקבלת המידע האישי אודות נושא המידע כאשר המידע אינו נאסף ישירות מנושא המידע .ב- GDPR מספר חריגים לחובת ההודעה, למשל כאשר המידע לא נאסף ישירות מנושא המידע ומתן ההודעה כנדרש ,הוא בלתי אפשרי או ידרוש מאמץ בלתי סביר בייחוד כאשר העיבוד נעשה למטרות אירכוב שיש בו אינטרס ציבורי, או למטרות מחקר מדעי, היסטורי או סטטיסטי ובל ב ד שננקטים אמצעי הגנה אחרים הנדרשים ב- GDPR . יוער כי נקבע שיש לפרש חריג זה בצמצום . הרחבת ההודעה והתאמתה לדין הב ין- לאומי מתחייבת בפרט מאחר שעיבוד מידע במאגרי המידע אינו כפוף לדרישת ההסכמה שבסעיף1 לוק (למעט במקרים המגיעים לכדי פגיעה בפרטיות לפי סעיף2 ), ולמעשה כמעט שאינו כפוף להוראות חוקיות כלשהן. בנסיבות אלו לא רק שלא ברור באילו נסיבות בכלל תהיה פניה לאדם לקבלת מיד ע .אישי, אלא שכלל לא ברור אם אדם יידע כי עיבוד מידע אישי אודותיו אכן מתרחש סעיפים13 ו- 14 ל- GDPR : Article 13 Information to be provided where personal data are collected from the data subject 1. Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information: (a) the identity and the contact details of the controller and, where applicable, of the controller's representative; (b) the contact details of the data protection officer, where applicable; (c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing; (d) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party; (e) the recipients or categories of recipients of the personal data, if any; (f) where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available. 2. In addition to the information referred to in paragraph 1, the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing: (a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period; (b) the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability; 6 (c) where the processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal; (d) the right to lodge a complaint with a supervisory authority; (e) whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data; (f) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. 3. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were collected, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2. 4. Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information. Article 14 Information to be provided where personal data have not been obtained from the data subject 1. Where personal data have not been obtained from the data subject, the controller shall provide the data subject with the following information: (a) the identity and the contact details of the controller and, if any, of the controller's representative; (b) the contact details of the data protection officer, where applicable; (c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing; (d) the categories of personal data concerned; (e) the recipients or categories of recipients of the personal data, where applicable; (f) where applicable, that the controller intends to transfer personal data to a recipient in a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means to obtain a copy of them or where they have been made available. 2. In addition to the information referred to in paragraph 1, the controller shall provide the data subject with the following information necessary to ensure fair and transparent processing in respect of the data subject: (a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period; (b) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party; (c) the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability; (d) where processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal; (e) the right to lodge a complaint with a supervisory authority; (f) from which source the personal data originate, and if applicable, whether it came from publicly accessible sources; (g) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. 3. The controller shall provide the information referred to in paragraphs 1 and 2: 7 (a) within a reasonable period after obtaining the personal data, but at the latest within one month, having regard to the specific circumstances in which the personal data are processed; (b) if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or (c) if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed. 4. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were obtained, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2. 5. Paragraphs 1 to 4 shall not apply where and insofar as: (a) the data subject already has the information; (b) the provision of such information proves impossible or would involve a disproportionate effort, in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, subject to the conditions and safeguards referred to in Article 89(1) or in so far as the obligation referred to in paragraph 1 of this Article is likely to render impossible or seriously impair the achievement of the objectives of that processing. In such cases the controller shall take appropriate measures to protect the data subject's rights and freedoms and legitimate interests, including making the information publicly available; (c) obtaining or disclosure is expressly laid down by Union or Member State law to which the controller is subject and which provides appropriate measures to protect the data subject's legitimate interests; or (d) where the personal data must remain confidential subject to an obligation of professional secrecy regulated by Union or Member State law, including a statutory obligation of secrecy. -------- ----------------------------------------------------------------------------------------------------------------------------- --- 10ב. איסור שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר [הממ' ביקשה לדחות את הדיון ]בנושא זה: " 10 ב. לא ישתמש בעל שליטה במאגר מידע או מחזיק במאגר, במידע לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע, ממאגר מידע, שלא למטרה שלשמה נמסרו, ולא ירשה .לאחר מטעמו לעשות שימוש במידע או בידיעה כאמור" סעיף זה עתיד, כך על פי הצעת החוק, להחליף את ההסד ר שבסעיף8 (ב), שאף הוא מתייחס לאיסור בהקשר עיבוד שלא למטרה (אך קושר את האיסור לחובת הרישום) מהותית. על מנת שה סעיפים המהותיים יופיעו בראשית הפרק – הצעתנו היא לקבוע את הוראת ס עיף10 ב( המוצע במקום סעיף8)(ב) שעתיד להתבטל , בשינויים המוצעים : )(ב לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה שלשמה הוקם המאגר. " 8 )(ב בעל שליטה במאגר מידע או מחזיק במאגר לא יעבד מידע אישי , ממאגר מידע, שלא למטרה שלשמה נמסר ו ולא ירשה לאחר מטעמו לעשות עיבוד ב לעבד את ה מידע או בידיעה .כאמור" עיקרון צמידות המטרה מופיע גם בסעיף 2(9 )לחוק : "שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה ל אחר ., שלא למטרה שלשמה נמסרה", מהווה פגיעה בפרטיות, שלצידה סנקציה פלילית[האם נוכח הנוסח והפסיקה הרחבים ביחס ל "ידיעה על ענייניו הפרטיים של אדם "לא ייווצ ר קושי פרשני וחוסר וודאות בת ,עשייה שיחייב פרשנות מתי להפעיל סנקציה פלילית ומתי אכיפה מינהלית?] 8 לדיון: האיסור על עיבוד שלא למטרה שלשמה נמסר הוא רזה ונכה. כיום בסיס העיבוד היחיד הוא הסכמה וקביעה זו "בשילוב עם הגדרה רחבה ביותר של המונח "הסכמה– יצרה מצב בו הציבור "מוסר הסכמתו" בהתנהגות, על בסיס מסמכי הסכמה ארוכים, לא מסוימים ולא ברורים, ותוך שהוא מאולץ לעשות כן לצו .רך קבלת השירות אף מצב בו הפרשנות שייאמצו (ובאופן חלקי– גם אימצו) בתי המשפט היא פרשנות מצומצמת יחסית מעלה קושי – ,שכן בהיעדר בסיסי עיבוד נוספים ונוכח הקושי לקבל הסכמה קיים קושי ממשי למשק לקיים פעילות משקית .ומחקרית נאותה יתר על כן, הדבר מקנה לראש הרשות ס מכות עודפת בפרשנות החוק ובפרשנות השאלה האם .ההסכמה שניתנה מספקת להבנתנו הפתרון לקושי זה טמון ביצירת בסיסי עיבוד נוספים בשילוב עם הרחבת המטרה אותה מותר לעבד , בהתאם לבסיסי העיבוד ב- GDPR. נכון להיום ה ממשל ה טרם הביאה נוסח לבסיסי העיבוד (נמסר בע"פ כי אלו צפויי ם להיות מוסדרים במסגרת תיקון15 .) ההסדר ב- ) GDPR סעיפים5(1) ו- 6(4 :)) 5(1)Personal data shall be: 2. processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); 6(4) Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject’s consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia: a. any link between the purposes for which the personal data have been collected and the purposes of the intended further processing; b. the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller; c. the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10; d. the possible consequences of the intended further processing for data subjects; e. the existence of appropriate safeguards, which may include encryption or pseudonymisation. ----------------------------------------------------------------------------------------------------------------------------- ---------- 17 . אחריות לאבטחת מידע )(א בע ל שליטה ב מאגר מידע, מחזיק במאגר מידע או מנ ה ל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר .המידע )(ב ( 1 ) השר, בהסכמת ראש ה ממשל ה [באישור ועדת החוקה רשאי לקבוע הוראות לעניין האחריות לאבטחת המידע הקבועה בסעיף קטן (א) ובסעיף17 ב(ב), ובכלל זה היקפה והחובות הכלולות בה, וכן לעניין דרכי אבטחת המידע :כאמור, בין השאר בעניינים אלה )(א ;הגנה פיזית ולוגית על המאגר 9 )(ב סדרי הניהול וכללי העבודה במאגר המידע ובקשר אליו, לרבות לעניין קביעה של הגבלות על גישה של .מועסקים למידע ( 2 ) ( בתקנות לפי פסקה1 .), יכול שייקבעו הוראות שונות לגבי מאגרים בעלי מאפיינים שונים ( 3 ) ( תקנות לפי פסקה1 ) יותקנו בהסכמת ראש ה ממשל ל ה ו עניין תקנות כאמור שיחולו על גופים המנויים ב פרטים2 ו- 3 ב תוספת הראשונה לחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח– 1998 (להלן– חוק )להסדרת הביטחון בגופים ציבוריים – גם יותקנו ".בהתייעצות עם שר הביטחון ----------------------------------------------------------------------------------------------------------------------------- ----------- 17 .א מחזיק במאגרים של בעלי ם בעלי שליטה שונים ( )א מ חזיק במאגרי מידע של בעלים בעלי שליטה שונים יבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שהו רש ו לכך במפורש בהסכם בכתב בינו לבין בעליו בעלי השליטה של ב.אותו מאגר )(ב מחזיק שברשותו חמישה מאגרי מידע לפחות, החייבים ברישום לפי סעיף8 , ימסור לרשם, מדי שנה , רשימה של מאגרי המידע שברשותו, בציון שמות בעלי המאגרים, תצהיר על כך שלגבי כל אחד מן המאגרים נקבעו הזכאים בגישה למאגר בהסכם בינו לבין הבעלים, ושמו של הממונה על האבטחה האחראי על הבטחת המידע כאמור בסעיף17 .ב 7 1 .ב ממונה על אבטחה][אין צורך בתיקון כמובהר להלן )(א הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה ממונה על אבטחת מידע (להלן- )הממונה אחראי על הגנת מידע ( 1 ) מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף8; ( 2 ) גוף ציבורי כהגדרתו בסעיף23 ; ( 3 ) .בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי )(ב בלי לגרוע מהוראות סעיף17 , הממונה האחראי על ה גנת מידע יהיה אחראי לאבטחת המידע במאגרים המוחזקים .)ברשות הגופים כאמור בסעיף קטן (א )(ג לא ימונה כממונה האחראי על הגנת מידע .מי שהורשע בעבירה שיש עמה קלון או בעבירה על הוראות חוק זה בסעיף17ב הוצעו מספר שינויים שמטרתם להחליף את הגדרת התפקיד של הממונה על אבטחה ל.אחראי על הגנת המידע נוכח שינוי הגדרת הממונה ל"ראש הרשות" ניתן להשאיר את הממונה על אבטחת מידע בשמו המקורי ולכן מתייתר התיקון המוצע לעיל.