חומר רקע
______________________________________________________________
צוות פרטיות בע"מ
m. +972.505.900828 e. [email protected] w. www.privacyteam.com
מגדל אלון1
.(ק21
), יגאל אלון94
, תל אביב
| כ"ד באדר א' התשפ"ד4
במרץ2024
לכבוד
יו"ר ועדת החוקה, חוק ומשפט
חבר הכנסת שמחה רוטמן
כנסת ישראל
,.א.נ
:הנדון 'הצעת חוק הגנת הפרטיות (תיקון מס14), התשפ"ב-
2022
–
הצעת משרד המשפטים לתיקון
נוסח
סעיפים10ב ו-
23
()כג(ד1
)
ביום5.3.2024
תקיים"( ועדת החוקה, חוק ומשפט של הכנסת שבראשותך
הוועדה ") דיון בהצעה לתיקון
"( החוק שבנדון תיקון14
"" ו
החוק ", בהתאמה). לקראת דיון זה, נבקש להציג את עמדתנו ביחס להצעת משרד
המשפטים מיום6.2.2024
לתיקון נוסח סעיפים10ב ו-
23
()כג(ד1
"( ) לחוק
הצעת משרד המשפטים .)"
בתמצית, עמדתנו היא שנוסחו העמום של האיסור המוצע על עיבוד מידע ממאגר מידע "שלא למטרה
שלשמה נמסר", מותיר חלל פרשני עצום שלרשות להגנת הפרטיות אין ולא ראוי שתהיה סמכות למלאו
בהיעדר בסיסים חוקיים לעיבוד מידע אישי בחוק המסמיך. מתן הגנות בידי ה"פוגע" לא תרפא את ה יעדרם
של בסיסים חוקיים כאמור, וממילא, אין מקום להטיל על המחזיק במאגר אחריות לעיבוד מידע בהתאם
למטרה שלא הוא קבע, ושאין להניח שהייתה ידועה לו.. להלן נפרט ונבהיר את כוונת הדברים
1.
על פי הצעת משרד
,המשפטים במקום הנוסח שהוצע בתיקון
14
לסעיפים
10ב ו-
23
()כג(ד1
) יבוא
הנוסח
:הבא
"
10
.ב
(א) לא יעבד בעל שליטה במאגר מידע או מחזיק במאגר מידע ממאגר מידע, שלא למטרה
.שלשמה נמסר, ולא ירשה לאחר מטעמו לעבד מידע כאמור
(ב) במשפט פלילי או אזרחי בגין הפרת סעיף זה תהא זו הגנה טובה אם התקיים האמור
בסעיף18
".
"
23
.כג
(ד) מי שהפר הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי הממונה להטיל עליו
:עיצום כספי לפי הוראות פרק זה בשיעור של פי ארבעה מהסכום הבסיסי
(1
) בעל שליטה במאגר מידע או מחזיק במאגר שעיבד מידע ממאגר
,מידע שלא
למטרה
שלשמה
,נמסר או שהרשה לאחר מטעמו לעבד מידע כאמור שלא למטרה
שלשמה
,נמסר
בניגוד להוראות סעיף
10
;ב לעניין זה יחולו
ההגנות בסעיף
18
בשינויים
:הבאים
בסעיף קטן
18
(
2
) למעט המילים 'בתום
'לב ובפסקה
)(ב למעט המילים
,'מוסרית
".'חברתית
2.
הטלת
אחריות על המחזיק לעיבוד המידע בהתאם למטרה שגויה
:מעיקרא כפי שצוין לא אחת בדיוני
הוועדה
בתיקון
14
,
לא
ניתן
להטיל על המחזיק אחריות
להיבטים הנוגעים לעיבוד המידע
שאינם
,בשליטתו
וממילא
2
אינם
.בידיעתו
,בענייננו קביעת מטרות עיבוד המידע היא היסוד המרכזי בהגדרת תיקון
14
למונח "בעל שליטה
במאגר
,"מידע ואילו
""מחזיק מוגדר בהבחנה ממנו כמי שהתקשר עם בעל השליטה במאגר מידע לשם
מתן
שירות
,לאחרון וקיבל ממנו הרשאה לעבד מידע שבמאגר לצורך מתן
.השירות הבחנה זו ניכרת גם
בתקנות
הגנת הפרטיות (אבטחת
,)מידע התשע"ז-
2017
"(תקנות אבט"מ,)"
שלפיהן על בעל המאגר להגדיר
במסמך
הגדרות מאגר את מטרות השימוש
,במידע אך המחזיק פטור מכך
'(ר תקנות 2
()(א2
) ו-
19
.))(א
3.
,בהתאם היות שהמחזיק אינו אחראי לקביעת מטרות
,העיבוד ואין להניח שה"מטרה שלשמה
"נמסר המידע
במקור מצויה
,בידיעתו אין
להטיל עליו כל אחריות לעיבוד מידע שחורג מהמטרות
שקבע
בעל השליטה
.במאגר
תחת
,זאת יש להסתפק בהוראות סעיפים
10
)ג(א -
)(ב ו-
23
()כד(ד2
)-(3
) לתיקון
14
, שעוסקות באיסור שימוש
או החזקה במידע ממאגר בלא הרשאה או בחריגה
מהרשאה של בעל השליטה
,במאגר ושמכוחן ניתן להטיל
על המחזיק
וכל מי
מטעמו אחריות ישירה להפרה כאמור ועיצום כספי
.בגינה לעניין זה
'ר גם תקנה
15
()(א2
))(א לתקנות
,אבט"מ שלפיה הסכם מיקור
חוץ
בין בעל מאג
ר לגורם
חיצוני
(לרבות
)מחזיק
יפרט
את
"מטרות השימוש המותרות
][במידע לצורכי ההתקשרות" (להבדיל ממטרות
.)המסירה
4.
בהקשר זה יוער שתחת ה-
GDPR
, שהצורך בהתאמת תיקון
14
להוראותיו מנחה את דיוני הוועדה
,מראשיתם
בעל השליטה (ה-
controller
) נושא באחריות בלעדית לעיבוד בהתאם לעקרון הגבלת המטרה (
purpose
limitation
) ורק עליו ניתן להטיל סנקציות בגין
,הפרתו ואילו המחזיק (ה-
processor
) אחראי לעיבוד המידע
בהתאם להרשאה שקיבל מבעל השליטה
–
ויהיה כפוף לסנקציות בהקשר הנדון רק היכן שחרג מאותה
הרשאה
'(ר
GDPR
83(5)(a)
,
5(2)
,
5(1)(b)
Article
; והשוו ל-
83(4)(a)
,
29
Article
.)
5.
האיסור על עיבוד מידע "שלא למטרה שלשמה
"נמסר משנה
מהותית את המצב
:הקיים בהצעת
משרד
המשפטים נטען
כי "השינויים בס"ק
)(א ביחס
לנוסח הצעת החוק הממשלתית נועדו להתאים
את
נוסחו
להגדרות החדשות בחוק
'ל'מידע
,'ו'עיבוד ללא שינויים במהות
,"הסעיף וכי "סעיף
10ב מעתיק למעשה את
ההוראה המהותית שבסעיף 2
(
9
) בפרק
'א
,לחוק שעניינה פגיעה בפרטיות בדרך של שימוש בידיעה אודות
ענייניו הפרטיים של אדם שלא למטרה שלשמה
,נמסרה
אל תוך פרק מאגרי המידע
(פרק
,)ב
ומחיל את האיסור
הקבוע כבר כיום בחוק על
,''עיבוד
''מידע ו'מאגר
".'מידע
בכל
,הכבוד עמדתנו היא
שסעיף
10
)ב(א לתיקון
14
, בין בנוסחו המקורי ובין בנוסחו המתוקן
,כמוצע
משנה
מהותית את טיבו של ההסדר
.הקיים
6.
מאליו יובן שהעתקת הוראת סעיף
2
(
9
) לחוק מפרק הפרטיות
"ה"קלאסית אל פרק מאגרי
,המידע כרוכה
בקפיצה דרמטית בהיקף תחולתה משעה שהיא
מוחלת
על המונחים
,""עיבוד
""מידע ו"מאגר
"מידע –
כפי
הגדרתם המורחבת בתיקון
14
, בהתאמה למציאות הטכנולוגית של
2024
.
,זאת להבדיל משימוש בידיעה
על
ענייניו הפרטיים של אדם למטרה חורגת בעת חקיקת סעיף 2
(
9
) לחוק ב-
1981
.
7.
,שהרי הוראות פרק
'ב לחוק יחולו מעתה
על כל אדם או ארגון
,המעבד שלא לשימוש אישי שאינו
למטרות
,עסק נתונים דיגיטליים לגבי אנשים
הניתנים לזיהוי באמצעים
;סבירים
,קרי על רובו המכריע של
המשק
.הישראלי בשילוב עם
כוונתה המבורכת
של הוועדה לצמצם את
חובת הרישום של
מאגרי מידע כך
שתחול
על
גופים ציבוריים וסוחרי מידע
,בלבד המשמעות היא שלאחר תיקון
14
, יחול פרק
'ב לא על ציבור מפוקחים מוגדר
,אלא הלכה
,למעשה על הציבור
.הרחב
,לכן והיות
שמשרד המשפטים מבקש
""לייבא לפרק
'ב את
איסור
3
העיבוד למטרה חורגת כהוראה שבצדה עיצום כספי (וזאת בשיעור המרבי
–
פי ארבעה מהסכום
,)הבסיסי
חיוני לעמוד על כך שנוסח סעיף
10ב המוצע מפר את התנאי שקבע משרד המשפטים
,עצמו
:ולפיו
"ההפרות שבשלן מופעלת אכיפה חלופית הן רק הפרות שקל ופשוט להיווכח בקיומן... הפרות אלה
אינן מחייבות בירור עובדתי מורכב, ויתר על כן –
אינן דורשות בירור של יסוד נפשי שאינו רלוונטי
בהקשר של הוכחת הפרת ההוראות הרגולטוריות." (משרד המשפטים–
ייעוץ וחקיקה (המחלקה
למ ,)שפט פלילי "עיגון אכיפה חלופית בחקיקה–
"עקרונות מנחים (
2018
'), ע4
.)
8.
לא ברור כיצד התיבה "שלא למטרה שלשמה
"נמסר תפורש
במסגרת משטר מאגרי
:המידע אם
תועתק
מסעיף 2
(
9
)
לחוק
אל סעיף
10ב
כנוסחו
,המוצע לא ברור כיצד זו תפורש בידי הרשות להגנת הפרטיות ובתי
,המשפט ולא כל שכן על ידי הציבור
.הרחב
,שהרי
בהקשר
זה לא ברור מאת מי ואל מי
""נמסר
,המידע
ובפרט
במקרים שבהם מידע דיגיטלי נצבר עצמונית או נוצר בדרך של
,היסק אנושי או ממוחשב .
9.
ראשית, כפי שהבהירו נציגי משרד המשפטים בדיון הוועדה מיום
9.1.2024
, דרישת ההסכמה לפי פרק
'א
לחוק (שבו ממוקם סעיף 2
(
9
))
לא חלה על כל עיבוד מידע במאגר מידע לפי פרק
,'ב אלא רק היכן שעיבוד
כאמור
בא בגדר אחד מ-
11
המצבים שפרק
'א לחוק מאפיין כ"פגיעה
."בפרטיות
,בנוסף
כפי שצוין בדיון
הוועדה
מיום
21.1.2024
, גם לחובת
היידוע שבסעיף
11
לחוק דהיום (תחת פרק
)ב׳, לפיו יש לתת לנושא
המידע
הודעה המפרטת את המטרה שלשמה
מבוקש
,המידע אין תחולה
בכל המקרים הרבים שבהם המידע
נאסף
אל מאגר המידע שלא ישירות מנושא המידע
'(ר פרוטוקול הדיון הנ"ל,
'בעמ
13
.)
,משמע כל אימת שמידע
נאסף למאגר
)(כדין שלא בהסכמה שניתנה
על יסוד הודעה המפרטת את מטרת העיבוד – לכאורה
לא תהיה
בנמצא "השרשרת
"הראייתית לזיהוי ה"מטרה שלשמה
"נמסר
,המידע שעמדה לנגד עיני
מחוקק פרק
'א
.לחוק
10
.
שנית, משטר מאגרי המידע שבחוק מציע ריבוי מקורות לאיתור המטרה שלשמה המידע
,""נמסר שכלל לא
ברור כיצד יש להכריע
.ביניהם
:למשל
)(א "המטרה
אשר לשמה מבוקש
"המידע ו/או "מטרות
המסירה
[לצדדים
,"]שלישיים אם וככל שפורטו בהודעה לנושא המידע לפי סעיף
11
(
2
)-(
3
)
;לחוק
)(ב "תיאור מטרות
השימוש
"במידע במסגרת מסמך הגדרות מאגר (תקנה 2
()(א2
)
לתקנות
;)אבט"מ
)(ג לגבי עיבוד מידע
מכוח
חובה
חוקית – המטרה העולה מתכלית הדין
;הרלוונטי
)(ד לגבי מאגרים החייבים ברישום
או ביידוע – "מטרות
הקמת
"המאגר
ו/או "המטרות שלהן נועד
,"המידע
כפי שיפורטו בבק
שה לרישום
או בהודעה שתוגש לרשות
,(בהתאמה סעיף
9
()(א2
) לחוק וסעיף
8(ג1
()
8
) המוצע לפי נוסח משרד המשפטים מיום
9.1.2024
;)
)(ה
המטרה או המטרות שתבחר הרשות להגנת הפרטיות
לרשום
,במרשם אם תיווכח כי "הדבר הולם את
פעילות
המאגר הלכה
"למעשה (סעיף
10
()(א2
)
.)לחוק
11
. על רקע
,זה
מובן שסעיף
10ב המוצע רחוק מלהיות
מסוג ההוראות שקל ופשוט להיווכח
.בהפרתן
,בהתאם
קשה להלום שפרשנות
התיבה המוקשית "שלא למטרה שלשמה נמסר
"][המידע
תימסר בידי
הרשות להגנת
הפרטיות לצורך הטלת עיצומים
.כספיים
,למעשה העמימות הפרשנית שבה לוקה הסעיף מעוררת ספקות
גם
באשר להפעלת סמכויות הבירור והפיקוח המינהלי של הרשות במקרה של חשש
.להפרתו
,לכאורה
מסקנה
אחרת
תבוא בסתירה לעקרון חוקיות
,המינהל שלפיו רשות מינהלית
לא מוסמכת
לפעול אלא בגדר הסמכות
שהקנה לה
.המחוקק
,בענייננו פעילות האכיפה של הרשות כלפי בעלי
שליטה במאג
רים כרוכה
בפגיעה
ב
זכויות יסוד חוקתיות
–
חופש העיסוק והזכות לקניין;
,בהתאם אין להסמיכה לכך אלא ביחס להוראות
4
נורמטיביות ברמת מפורשות
,גבוהה המעוגנות בחקיקה
.ראשית
,זאת בהינתן שרמת מפורשות גבוהה ביחס
למופעי עקרון הגבלת המטרה שבחוק לא תגרע מהגנת הזכות לפרטיות אלא רק תעצים
,אותה ויפה
שעה
אחת
.קודם
12
.
את סעיף
10ב המוצע לא ניתן לאכוף בהיעדר בסיסים חוקיים
:לעיבוד האיסור על עיבוד מידע "שלא למטרה
שלשמה
,"נמסר מובא בסעיף
10ב ללא כל קביעה נורמטיבית שלפיה יוכל הציבור
לדעת מתי תהיה
מטרת
העיבוד מותרת ומתי
.אסורה כפועל יוצא
,מכך
גם פעילות העיבוד הפלילית המובהקת ביותר תהיה כשרה כל
עוד היא תואמת ל"מטרה שלשמה
"נמסר המידע
.במקור על בעיה זו עמד בית המשפט העליון עוד בעניין רע"פ
8464/14
מדינת ישראל
'נ ניר עזרא (
15.12.2015
.)
מקרה זה עסק בצעיר שביקש ברשת פרטי
חשבונות
,בנק השתמש במידע שקיבל לגניבת כספים מאותם
,חשבונות
והורש
ע (בין
)היתר בעבירה
לפי סעיף 8
)(ב
לחוק דהיום (שימוש במידע שבמאגר החייב ברישום שלא למטרה שלשמה הוקם
.)המאגר בית המשפט
זיכה
אותו מעבירה זו בנימוק
,הבא המובא
'בפס כד -כה לפסק
דינו של המשנה לנשיאה
,דאז השופט
:רובינשטיין
"דומה, כי חוק הגנת הפרטיות לא נועד מעיקרא לטיפול במצבים דוגמת המקרה שבפנינו, וניסיון
להחילו 'בכוח' על הסיטואציה אינו עולה בקנה אחד עם יסודות דיני .העונשין; והוא מאולץ במידה רבה
לשם המחשה נשאל מה משמעותו של סעיף8
(ב) בנידון דידן. ...עזרא השתמש בנתונים שברשותו
לשם המטרה שלשמה נאספו–
גניבת כספים; דומני, כי יש בכך כדי להמחיש את הדיסוננס בין
תכלית העבירה למעשיו. ...אין חולק כי מעשיו של עזרא חמורים ו'פלי ליים' באופיים; אך חוששני כי
התשובה ההולמת כלפיהם אינה מצויה בחוק הגנת הפרטיות במתכונתו הנוכחית... נציגי המדינה
מסרו לנו, כי הם שוקדים זה זמן מה על תיקון החוק, כך שיחול גם על מעשי
ם
.כמעשיו של עזרא
".סבורני, כי תהיה זו התפתחות ראויה
13
. נזכיר שתחת ה-
GDPR
, עקרון הגבלת המטרה אינו מוגבל למטרת
""מסירה מסתורית כזו או
,אחרת אלא חל
כבר למן שלב
""איסוף
,המידע ולפיו על המידע להיאסף מלכתחילה למטרות
,מוגדרות מפורשות
,ולגיטימיות
ואין לעבדו מעבר לכך באופן שאינו תואם למטרות אלה
'(ר
GDPR
5(1)(b)
Article
.)
לצד עקרון זה קובע
ת ה -
DPR
G
שישה עקרונות יסוד
נוספים לעיבוד מידע
,אישי שלרובם ככולם השלכה ישירה על גדר עקרון הגבלת
,המטרה כגון העקרונות בדבר
,חוקיות
הוגנות ושקיפות ב
עיבוד מידע; צמצום המידע שמעובד למינימום הנדרש
ביחס למטרה; הגבלת משך אחסון המידע בתצורה מזהה למינימום הנדרש ביחס למטרה;
.'וכיוב חשוב לא
,פחות כדי לעמוד בחובתו לוודא שעיבוד המידע יהיה
,חוקי בעל השליטה במידע נדרש לבסס אותו על אחד
או
יותר משישה בסיסים חוקיים – בהתאם למטרה המוגבלת שלשמה
המידע יעובד
'(ר
GDPR
6
Article
;)
,למשל
קבלת הסכמת נושא המידע לעיבוד למטרה ספציפית אחת או יותר, או עיבוד שהינו הכרחי למטרת ציות לחובה
חוקית ש
חלה על בעל השליטה
.במידע
14
. מכל האמור לעיל עולה שללא בסיסים חוקיים בחוק לעיבוד מידע אישי ברוח ה-
GDPR
, עיגון עקרון הגבלת
המטרה בנוסח סעיף
10ב המוצע ירתום את העגלה לפני הסוסים וסופו לגרום נזק הרבה מעבר לכל
תועלת
שהוא עשוי
.להשיא כאשר הפרת הוראה זו כפופה לעיצום
,כספי וזאת במדרגה הגבוהה ביותר (עד
800
אלף
ש"ח להפרה
,)בודדת ניסוחה העמום
והבלתי
מובן יסחרר ויכשיל את
,השוק יפגע בוודאות המשפטית
באופן
ש
יפגע במעמדם
והשפעתם של גורמי האכיפה הפנימית ושומרי הסף בארגונים (כגון ממונה הגנת הפרטיות
והייעוץ
)המשפטי, ובד בבד אף ידלדל את כלי האכיפה העצמית ש
זמינים כיום לנושאי המידע
.בישראל
5
15
.
,לסיום
נציין
שכנגד
תוצאה
מצערת
זו,
שאנו
תקווה
שהוועדה
לא
תיתן
לא יד, לה
תועיל
החלת
הגנות
סעיף
18
לחוק
במתכונת
המצומצמת
של
סעיף
23
()כג(ד1 )
.המוצע
בשונה
מבסיסים
חוקיים
לעיבוד
לפי
ה -
GDPR
,
שאותם
מחויב
בעל
השליטה
במידע
להציג
לנושא
המידע
במסגרת
חובת
היידוע,
הגנות
סעיף
18
לחוק
אינן
נמסרות
לנושאי
המידע,
וממילא
אינן
מצטיינות
בבהירות
יתרה
(בלשון
המעטה)
ואינן
המקור
המתאים
להכשיר
מראש
פעילות
מתמשכת
של
עיבוד
מידע
אישי,
אלא
רק
למתן
הגנה
בדיעבד
בשל
הפרה
במקרה
פרט
ני
של
הליך
שיפוטי
או
מינהלי
(ר'
והשוו
לרע"א
2558/16
פלונית
נ'
קצין
התגמולים
,
פס'59
לפסק
דינה
של
השופטת
ברק
( ארז5.11.2017
.))
,בברכה
איה מרקביץ', עו"ד
מנהלת פרטיות בכירה
ענר'רבינוביץ
מנכ״ל
Privacy Team Ltd.
)(צוות פרטיות בע"מ