חומר רקע

PDF 30,420 תווים המסמך המקורי ↗
1 י "ד באדר ב ' ( התשפ"ד24 במרץ 2024 ) אל : חברי ועדת החוקה, חוק ומשפט מאת: הייעוץ המשפטי לוועדה מסמך הכנה מטעם הייעוץ המשפטי לוועדה– 'לדיון מס10 בהצעת חוק הגנת הפרטיות (תיקון 'מס14 "), התשפ ג – 2023 :) סעיפים10ב , 17 ב וחוות דעת מקדמית סעיף10ב – עקרון צמידות המטרה (1 )ההצעה הממשלתית : ביום6.2.2024 העבירה הממשלה בקשה להחליף את נוסח הצעת החוק הממשלתית לנוסח הבא , המובא, לשם הנוחות בעקוב אחר שינויים ביחס לנוסח המקורי : " 10 .ב )(א לא ישתמש יעבד בעל שליטה במאגר מידע או מחזיק במאגר מידע , ממאגר ב מידע, לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע, ממאגר מידע ,שלא למטרה שלשמה נמסר ו, ולא ירשה לאחר מטעמו לעשות שימוש ב לעבד מידע או בידיעה.כאמור" )(ב במשפט פלילי או אזרחי בגין הפרת סעיף זה תהא זו הגנה טובה אם התקיים האמור בסעיף18 . בנוסף , וכמהלך משלים מבקשת הממשלה לשנות את סעיף23 ()כג(ד1 ) המוצע כדלקמן : )"(ד מי שהפר הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי הממונה להטיל עליו עיצום כספי לפי הוראות פ:רק זה בשיעור של פי ארבעה מהסכום הבסיסי (1) בעל שליטה במאגר מידע או מחזיק במאגר שהשתמש במידע שעיבד מידע , לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע (בפרק זה – )ידיעה על ענייניו הפרטיים של אדם , ממאגר מידע, שלא למטרה שלשמה נמסר ו , או שהרשה לאחר מטעמו להשתמש במידע או בידיעה כאמור לעבד מידע כאמור שלא למטרה שלשמה נמסר ו , בניגוד להוראות10 ;ב לעניין זה יחולו ההגנות כאמור בסעיף18 (2 ) ."למעט המילים "בתום לב" ובפסקה (ב) למעט המילים "מוסרית, חברתית כלומר, הממשלה מבקשת לצמצם את סעיף10 ב ביחס למשפט פלילי או אזרחי– כך שיחולו עליו הגנות סעיף18 . ביחס להליך המינהלי של עיצומים כספיים מבקשת הממשלה להסתפק רק בהגנות סעיף18 (2 ), בו נסיבות מסוימו ת שבהן הפגיעה ארעה בתום לב. זאת תוך צמצום18 (2) )(ב הפגיעה נעשתה בנסיבות שבהן היתה מוטלת על הפוגע חובה חוקית או מקצועית לעשותה. ללא ההגנות של חובה מוסרית ו חברתית . לצורך הנוחות- להלן סעיפים18 לחוק הגנת הפרטיות וסעיף15 לחוק איסור לשון הרע אליו מפנה סעיף18 : " 18 .הגנות מה הן במשפט פלילי או אזרחי בשל פגיעה בפרטיות תהא זו הגנה טובה אם נתקיימה אחת מאלה: (1) הפגיעה נעשתה בדרך של פרסום שהוא מוגן לפי סעיף13 לחוק איסור לשון הרע, התשכ"ה- 1965 ; (2) הנתבע או הנאשם עשה את הפגיעה בתום לב באחת הנסיבות האלה: )(א הוא לא ידע ולא היה עליו לדעת על אפשרות הפגיעה בפרטיות; )(ב ,הפגיעה נעשתה בנסיבות שבהן היתה מוטלת על הפוגע חובה חוקית מוסרית, חברתית או מקצועית לעשותה; )(ג הפגיעה נע שתה לשם הגנה על ענין אישי כשר של הפוגע; )(ד הפגיעה נעשתה תוך ביצוע עיסוקו של הפוגע כדין ובמהלך עבודתו הרגיל, ובלבד שלא נעשתה דרך פרסום ברבים; )(ה הפגיעה היתה בדרך של צילום, או בדרך של פרסום תצלום, שנעשה ברשות הרבים ודמות הנפגע מופיעה בו באקראי; 2 )(ו( הפגיעה נעשתה בדרך של פרסום שהוא מוגן לפי פסקאות4 ( ) עד11 ) לסעיף15 ,לחוק איסור לשון הרע התשכ"ה- 1965 ]; [ראו להלן (3) בפגיעה היה ענין ציבורי המצדיק אותה בנסיבות הענין, ובלבד שאם היתה הפגיעה בדרך של פרסום– הפרסום לא היה כוזב. " " חוק איסור לשון הרע- הגנת תום לב 15 . במשפט פלילי או אזרחי בשל לשון הרע תהא זאת הגנה טובה אם הנאשם או הנתבע עשה את הפרסום בתום לב באחת הנסיבות האלו: (1) הוא לא ידע ולא היה חייב לדעת על קיום הנפגע או על הנסיבות שמהן משתמעת לשון הרע או התייחסותה לנפגע כאמור בסעיף3; (2) היחסים שבינו לבין האדם שאליו הופנה הפרסום הטילו עליו חובה חוקית, מוסרית או חברתית לעשות אותו פרסום; (3) הפרסום נעשה לשם הגנה על ענין אישי כשר של הנאשם או הנתבע, של האדם שאליו הופנה הפרסום או של מי שאותו אדם מעונין בו ענין אישי כשר; (4) הפרסום היה הבעת דעה על התנהגות הנפגע בתפקיד שיפוטי, רשמי או ציבורי, בשירות ציבורי או בקשר לענין ציבורי, או על אפיו, עברו, מעשיו או דעותיו של הנפגע במידה שהם נתגלו באותה התנהגות; (5) הפרסום היה הבעת דעה על התנהגות הנפגע – )(א כבעל דין, כבא כוחו של בעל- דין א ו כעד בישיבה פומבית של דיון כאמור בסעיף13 ( 5 ), ובלבד שהפרסום לא נאסר לפי סעיף21 , או )(ב כאדם שענינו משמש נושא לחקירה, כבא כוחו של אדם כזה או כעד בישיבה פומבית של ועדת חקירה כאמור בסעיף13 (6), או על אפיו, עברו, מעשיו או דעותיו של הנפגע במידה שהם נתגלו באות ה התנהגות; (6) הפרסום היה בקורת על יצירה ספרותית, מדעית, אמנותית או אחרת שהנפגע פרסם או הציג ברבים, או על פעולה שעשה בפומבי, ובמידה שהדבר כרוך בבקורת כזאת– הבעת דעה על אפיו, עברו, מעשיו או דעותיו של הנפגע במידה שהם נתגלו באותה יצירה או פעולה; (7) הפרסום ה יה הבעת דעה על התנהגותו או אפיו של הנפגע בענין שבו הנאשם או הנתבע ממונה על הנפגע, מכוח דין או חוזה, והפרסום היה מוצדק על ידי היותו ממונה כאמור; (8) הפרסום היה בהגשת תלונה על הנפגע בענין שבו האדם שאליו הוגשה התלונה ממונה על הנפגע, מכוח דין או חוזה, או תלונ ה שהוגשה לרשות המוסמכת לקבל תלונות על הנפגע או לחקור בענין המשמש נושא התלונה ואולם אין בהוראה זו כדי להקנות הגנה על פרסום אחר של התלונה, של דבר הגשתה או של תכנה; (9) הפרסום היה דין וחשבון נכון והוגן על אסיפה פומבית או על אסיפה או ישיבה של תאגיד שלציבור הית ה גישה אליה, והיה בפרסומו ענין ציבורי; (10) הפרסום לא נעשה אלא כדי לגנות או להכחיש לשון הרע שפורסמה קודם לכן; (11) הפרסום לא היה אלא מסירת ידיעה לעורך אמצעי תקשורת או לנציגו כדי שיבחן שאלת פרסומה באמצעי התקשורת; (12) הפרסום נעשה בשידור רדיו או טלוויזיה שלא הוקלט מראש והנאשם או הנתבע הוא מי שאחראי לפי סעיף11 והוא לא ידע ולא יכול היה לדעת על הכוונה לפרסם לשון הרע. " (2 ) סקירה ודיון : כללי – עקרון צמידות המטרה, המובא לידי ביטוי בסעיף10 .ב הוא עקרון חשוב בדיני הגנת הפרטיות ה הצעה הממשלתית מעלה אף היא מספר קשיים ושאלות כללים ובה ם האם הנזק מ הח ,לת העקרון באופן דווקני טרם נוסחו עקרונות העיבוד המותר , ו ללא עיבוד ים למטרות תואמות או הגדרת סוגים מסוימים של עיבודים מותרים (כגון התממה או חיוב תשלום ) אינ ו עולה ?על התועלת שאלה נוספת היא האם העקרון כפי שהוגדר לא יחסום עיבודים ראויים 3 וחשובים מצד אחד אך גם,, במקביל י חזק פרקטיקות לא ראויות של הגדרת מטרות עיבוד רחבות ומעורפלות ? זאת דווקא בניגוד לאופן המצומצם והתחום (בפרט מבחינת זמ נים ) בו נדרשות מטרות עיבוד המידע ב- GDPR להיות מנוסחות ? לצד שאלות כלליות אלו , מעלה הצעת ה חוק גם קשיים ושאלות פרט :ניים (א) מהו המשמעות של ה גנה על "מ ידע" להב דיל מ הגנה על "שימוש בידיעה על ענייניו הפרט יים של אדם ?" (ב) האם נכון להגביל את העיבוד רק ל מטרות שלשמן נמסר המידע , כמוצע בהצעת הח וק? (ג) מה ה השלכות של ה הפניה לסעיף18 (סעיף ההגנות) ביחס להפרה לפי סעיף10ב ?, ולהפרה זו בלבד (ד) האם ההגנות המוצעות מסעיף18 ?מספיקות נבקש ל הרחיב בשאלות אלו להלן, כמו גם ל בחון מספר הצע ות חלופיות , שעלו בין הית ר , במסמכי העמדה שהוגשו ל וועדה מטעם גורמים שונים ( ( ראו סעיף3 )) : (א) מה המשמעות של ה גנה על "מ ידע" להב דיל מ הגנה על "שימוש בידיעה על ענייניו הפרט יים של אדם ?" ב הוראות הנוגעות לצמידות המטרה בחוק כיום ישנם ביטויים שונים ביחס לתוכן המוגן– ענייניו הפרטיים של :אדם, ומידע בסעיף2 . פגיעה בפרטיות היא אחת מאלה: " (9) שימוש בידיעה על עניניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה;" ב סעיף8 )(ב הה תייחס ות היא "ל מידע " :" לא ישתמש אדם במידע ,שבמאגר מידע החייב ברישום לפי סעיף זה אלא מטרה שלשמה הוקם המאגר. אף סעיף11 שעניינו חובת יידוע בפניה לאדם"משתמש בביטוי "מידע ; בפועל, במישור המינהלי, נעשה להבנתנו שימוש בה וראות סעיף2 (9 ) בשילוב עם סעיף8 )(ב וזאת בין היתר נוכח מגבלות יהן של חלק מההוראות (לדוגמא– כאש ר )המידע לא נמסר או כאשר אין רישום של מאגר , כך שבפועל יש בקביעת סעיף10 ."ב באופן ישיר הרחבה של תוכן הסעיף מ"ידיעה על ענייניו הפרטיים של אדם" למידע " גם ההגדרה של "מידע לפי החוק הקיים מצומצמת יותר וכ וללת " ,נתונים על אישיותו של אדם, מעמדו האישי ,צנעת אישותו, מצב בריאותו, מצבו הכלכלי הכשרתו המקצועית, דעותיו ואמ ונתו " , בעוד ש "מידע " לפי הצעת החוק הוא כל נתון מזהה . זאת ועוד, להבנתנו עצם קיומה של אכיפה אפקטיבית ומעודכנת מהווה כשלעצמ ה עליית ,מדרגה וזאת המונח "מידע" אינו רחב באו פן משמעותי מ "יד י "עה על ענייניו הפרטיים של אדם. ( ב) האם נכון להגביל את העיבוד רק ל מטרות שלשמן נמסר המידע ? להבנתנו בהעדר בסיסי עיבוד או אפשרות לעבד מידע למטרות תואמות (בדומה ל - GDPR ) אין אפשרות לעשות עיבוד נוסף במידע, אלא באמצעות בקשה מחודשת של הסכמת נושא המידע או דרך ההגנות, לרבות ביחס להתממה או לאבטחת מידע ואף לשינוי בטכנולוגיה , גם כאשר נושא המידע נותן את הסכמתו לשינוי העיבוד .בעקבות התפתחויות טכנולוגיות זאת נוכח פרשנות :הרשות ביחס לאיסור על שימוש למטרות דומות "הסכמה כללית לשינוי מהותי בטכנולוגיה שיהיה בעל השפעה על פרטיות לא יכולה להוות הסכמה מספקת . לפיכך ראוי כי כל שינוי מהותי בסוג או בזהות הטכנולוגיות בהן נעשה שימוש במסגרת אמצעי התשלום המתקדמים, יוצג למשתמשים לצו רך קבלת הסכמה אקטיבית מחודשת מטעמם, לרבות תוך פירוט המשמעויות וההשלכות האפשריות של השינוי על פרטיותם" . 1 לדיון : - מה דין עיבודו"של מידע שלא "נמסר , וגם לא "נוצר, התקבל, נצבר או נאסף" כלשון סעיף8(א1 ) ?הא ם ומדוע יש הבדל בהגנות"ביחס למידע "שנמסר" לעומת מידע "שנוצר, התקבל, נצבר או נאסף (כאשר 1 https://www.gov.il/BlobFolder/reports/payment_app_privacy/he/PRIVACY_APP_PAYMENT.pdf 4 להבנתנו האחרון נופל לגדר סעיף2 (9 ) ולכן זוכה לכל הגנות סעיף18) בעוד שמידע שנמסר - לא ? - האם מצופה מ עסק לצפות מראש את כל מטרות המאגר שלהן ידרש בעתיד ? האם צפיה זו סבירה גם ביחס לעסקים קטנים או בינוניים או עסקים בראשית דרכ ם ? האם אין הדבר סותר את הנחיות ה- GDPR לקביעת ?הגדרות מצומצמות ותחומות בזמן הקרוב - האם ניתן להטיל אחריות על המחזיק לעבד על פי המטרה? בהקשר זה יש להבחין בין " מחזיק "מיודע הפועל מטעם בעל השליטה לפי מטרותיו ובין מחזיק "טיפש" שאינו מכיר את תוכן המידע והוא רק מאחסן .את המידע. ביחס למחזיק "טיפש" לא ברורה האפשרות להחיל את החובה ביחס אליו - ביחס לדרישת ההסכמה ובהנחה כי אכן נדרשת הסכמה ביחס לעיבוד במאגרי מידע (למעט בקשר לסעיף 2(9 ) – )ראו לעניין זה סעיף (ג) שלהלן למסמך ההכנה – האם ההסכמה נדרשת ב אופן מפורש ואף ב אמצעותopt in ? ?כיצד האמור מסתדר עם הגדרת ההסכמה בחוק הכוללת גם הסכמה משתמעת - האם דרי שת הסכמה מתחדשת, עם כל שינוי, אינה מביאה בסופו של דבר להצפה של מידע, שהציבור אינו ?יכול להתמודד עמו ומביא להסכמה עיוורת ( ג) מה ה השלכות של ה הפניה לסעיף18 (סעיף ההגנות) ביחס להפרה לפי סעיף10ב ?, ולהפרה זו בלבד סעיף18 , סעיף ההגנות מונה שלוש הגנות עיקריות– (1 ) פרסום מוגן לפי סעיף13 לחוק איסור לשון הרע (הגנות ( ;)ספציפיות לבעלי תפקיד או פרסומים לפי דין או העתקים ממרשמים המתנהלים לפי חיקוק2 ) נסיבות ספציפיות המנויות בפסקה; ו- (3 ) עניין ציבורי המצדיק אותה בנסיבות הע )ניין, ובלבד שהפרסום (אם היה – .לא היה כוזב על פי העמדה שהוצגה במהלך הדיונים על ידי משרד המשפטים והרשות להגנת הפרטיות- ה הגנות המנויות ב סעיף 18 שייכות לפרק ה פרטיות הקלאסית ואינן חלות על פרק מאגרי המידע שכ ל עצמו , ולכן נדרשת התייחסות ל הפרה ספציפית להוראות סעיף18 ביחס לסעיף10 ב . פרשנות זו נובעת, כך להבנתנו לגישת הממשלה , מכך שסעיף18 " נפתח במילים במשפט פלילי או אזרחי בשל פגיעה בפרטיות תהא זו הגנה טובה אם נתקיימה אחת מאל ה " , ."וכן נוכח כותרתו של "פרק א': פגיעה בפרטיות לדיון : - כיצד מתיישבת פרשנות זו עם הגדרת ""מאגר מידע :בחוק הקיים "אוסף הכולל רק שם, מען ודרכי ,התקשרות שכשעצמו אינו יוצר פגיעה בפרטיות לגבי בני אדם ששמותיהם כלולים בו "... - האם אין בעמדה זו כדי להשליך על הוראות נוספות בחוק ובכללן גם סעיף19 )(ב ה קובע כי "רשות בטחון, או מי שנמנה עם עובדיה או פועל מטעמה, לא יישאו באחריות לפי חוק זה על פגיעה שנעשתה באופן סביר "במסגרת תפקידם ולשם מילויו ? האם האמור תואם את ע מדת המדינה ב " בג"ץ עין הנ ץ" ביחס להגנות הקיימות למאגר זה? ומה ביחס ל סעיף23 ו שעניינו מסירת מידע המותרת לפי החוק על ידי גופים ציבוריים ?"שגם בו נעשה שימוש בביטוי "פגיעה בפרטיות - האם אין בעמדה זו כדי להשליך גם על דרישת ההסכמה לפי סעיף1 לחוק המתייחס אף הוא לפגיעה בפרטיות– "לא יפגע ?"אדם בפרטיות זולתו ללא הסכמתו אם כך – האם יש בכלל איסורים כלשהם לעיבוד מידע ממאגרי מידע, כאשר אלו אינם עולים כדי פגיעה לפי2 (9 ?) ( ד) ה אם ההגנות המוצעות מסעיף18 מספיקות, בפרט נוכח הפרשנות שניתנת היום לדרישת ההסכמה המהווה יחד עם סעיף18 ת חליף בלעדי ל בסיס י העיבוד הלגיטימי ים ו ל ?מטרות התואמות - ?האם בתי המשפט יחילו או יגבילו את השימוש בהגנת תום הלב ביחס להתנהגות מתוכננת ( ראו ע"פ 5026/97 גלעם נ' מ"י) ? 5 - מדוע לא עדיף להגדיר מידתיו ת ונחיצות בדומה ל- GDPR ? האם תום ליבו של המפר רלוונטי לנזק שנגרם ?לאדם - האם לא נכון להפריד לא רק כעניין טכני אלא כעניין מהותי בין סעיפים9 (2) ו - 10 ב? . כאשר ביחס ל סעיף 10 ב יש מקום לשקול הורדת הוכחת תום הלב? - ""בנסיבות בהן היתה מוטלת על הפוגע חובה חוקית, מוסרית, חברתית או מקצועית לעשותה : מה הפרשנות הצפויה לנסיבות בהן מוטלת חובה חוקית?'וכו האם האמור כפוף לחובת זהירות, מידתיות או נחיצות? האם ?קיומה של חובה להעביר מידע לא עלול להוות הגנה למידע עודף שמועבר תחת אותה חובה - חובה מוסרית- האם בהעדר חובה מוסרית יימצא פתרון לנסיבות קיצוניות ודחופות, כמו איתור אדם שיש ?חשש לחייו האם נכון להסיר את החובה וכך להותיר את המסייע חשוף לתביעות ? האם עניין ציבורי שבמנוי ( בפסקה3 ?) יהיה מספק לצורך פגיעה בפרטיותו של מישהו שיש חשש לחייו - ה "ביטוי "עניין אישי כשר )(שמקורות בהגנות לשון הרע – ?מה ייחשב כעניין "אישי" של עסק ?של מאגר האם אבטחת המידע של הלקוחו ת ,, לדוגמא נחשב ת ?לעניינו האישי של העסק או דווקא לעניינם של הלקוחות - האם " הביטוי אישי " מבקש להתייחס לשתי המשמעויות האפשריות ? – הן של אינדבידואל (יחיד) והן של שייכות (של אדם עבור עצמו להבדיל מאדם .)עבור אחר - באילו נסיבות תחול ההגנה של פגיעה ש ,נעשתה תוך ביצוע עיסוקו של הפוגע כדין ובמהלך עבודתו הרגיל ובלבד שלא נעשתה דרך פרסום ברבים" ? (3 ) :הצעות חלופיות 1. הותרת סעיף10 :ב על כנו, תוך השארת הביטוי "ענייניו הפרטיים של אדם" והוספת הסכמת נושא המידע " 10 .ב )(א לא יעבד בעל שליטה במאגר מידע או מחזיק במאגר מידע ,ידיעה על ענייניו הפרטיים של אדם הכלולה במאגר מידע ,שלא למטרה שלשמה נמסר ה, ולא ירשה לאחר מטעמו אלא אם התקבלה הסכמת נושא המידע. )(ב במשפט פלילי או אזרחי בגין הפרת סעיף זה תהא זו הגנה טובה אם התקיים האמור בסעיף18 בשינויים הבאים: בסעיף קטן18 ( 2) למעט המילים בתום לב; ו בסעיף קטן18 ( 2 ))(ג. למעט המילה ""אישי" ובסופו יבוא ובלבד ש עיבוד המידע היה נחוץ ומידתי." 2. 'קביעת סעיף הגנות ייחודי לפרק ב (מבוסס על הגנות סעיף18 ) : )(ב הפגיעה עיבוד המידע, תוך הפרת הוראות פרק 'ב נעש ת ה בנסיבות שבהן היתה מוטלת על הפוגע בעל השליטה ][או המחזיק במאגר המידע ,חובה חוקית, מוסרית חברתית או מקצועית לעשותה על בד את המידע כאמור; )(ג הפגיעה 'עיבוד המידע תוך הפרת הוראות פרק ב נעשתה היה נחוץ ומידתי לשם הגנה על ענין אישי כשר של הפוגע]בעל השליטה במידע או [המחזיק; 2 ..ב התיקו נים המהותיים האמורים לעיל ובנוסף תיקון כותרת סעיף18 : במשפט פלילי , מינהלי או אזרחי בשל פגיעה בפרטיות תהא זו הגנה טובה אם נתקיימה אחת מאלה: 6 3. הצעה המשלבת מטרה תואמת מספר מטרות ספציפיות מותרות+ : "איסור שימוש עיבוד במידע ממאגר מידע בניגוד למטרה שלשמה נמסר 10 .ב )(א בעל שליטה במאגר מידע או מחזיק במאגר לא ישתמש יעבד ו בעל שליטה במאגר ,מידע או מחזיק במאגר ב מידע ,לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע , ממאגר מידע, שלא למטרה שלשמה נמסרו ולא ירשה לאחר מטעמו לעשות שימוש עיבוד .במידע או בידיעה כאמור "לעניין סעיף זה "מטרה, לרבות מטרה תואמת כן ו לצורך התממה או מחיקה של המידע". ( )ב"קיומה של מטרה תואמת כאמ ור ,תבחן בשים לב ל אלה: ( 1 )הקשר בין המטרה לשמה נאסף או נמסר המידע לבין מטרת העיבוד [או השימוש ] הדומה; ( 2 ) הנסיבות שבהן נאסף המידע, קיומה של מערכת יחסים בין נושא המידע לבין בעל השליטה במאגר המידע; ( 3 )ציפייתו ,הסבירה של נושא המידע בנוגע לעיבוד או לשימוש נוסף במידע מעבר למטרה לשמה נאסף או נמסר; ( 4 ) היותו של המידע בו נעשה העיבוד מידע בעל רגישות מיוחדת; ( 5 )השלכות אפשריות של העיבוד או השימוש הנוסף לעומת ההשלכות של העיבוד למטרה שלשמה נאסף המידע ". נוסח :)חלופי לסעיף קטן (ב )(ב מטרה תואמת היא מטרה שנושא מידע סביר היה מצפה ביחס אליה לשימוש נוסף .ושיש לעיבוד המידע ביחס אליה להשליך על נושא המידע באופן דומה ב- GDPR Art. 5 Principles relating to processing of personal data 1. Personal data shall be: (a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); (b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’); (c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’); (d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’); (e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’); (f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’). 7 2. The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’). 6(4) Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject’s consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia: a. any link between the purposes for which the personal data have been collected and the purposes of the intended further processing; b. the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller; c. the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10; d. the possible consequences of the intended further processing for data subjects; e. the existence of appropriate safeguards, which may include encryption or pseudonymisation. Art. 23 Restrictions 1. Union or Member State law to which the data controller or processor is subject may restrict by way of a legislative measure the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard: 1. national security; 2. defence; 3. public security; 4. the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; 5. other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation matters, public health and social security; 6. the protection of judicial independence and judicial proceedings; 7. the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions; 8. a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and (g); 9. the protection of the data subject or the rights and freedoms of others; 10. the enforcement of civil law claims. 8 2. In particular, any legislative measure referred to in paragraph 1 shall contain specific provisions at least, where relevant, as to: 1. the purposes of the processing or categories of processing; 2. the categories of personal data; 3. the scope of the restrictions introduced; 4. the safeguards to prevent abuse or unlawful access or transfer; 5. the specification of the controller or categories of controllers; 6. the storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing; 7. the risks to the rights and freedoms of data subjects; and 8. the right of data subjects to be informed about the restriction, unless that may be prejudicial to the purpose of the restriction. Recital 47 EU GDPR (47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest. סעיף17 ב. ממונה על אבטחה בהמשך לצמצום חובת הרישום מוצע נוסח מתוקן לסעיף17 (ב1 :) 9 " 17 .ב )(א הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה ממונה על אבטחת מידע (להלן – :)הממונה (1 ) מחזיק בעל שליטה במאגר מידע שמעבד מידע בעל רגישות מיוחדת ממאגר מידע שמספר בעלי ה גישה בו עולה על100 / שמעבד מידע בעל רגישות מיוחדת על אודות200,000 נושאי מידע או יותר מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף8 ; (2 ) גוף ציבורי כהגדרתו בסעיף23 ; (3 ) בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי ][כדרך עיסוק (4 ) מחזיק שנותן שירות ל- X .בעלי שליטה או יותר )(ב בלי לגרוע מהוראות סעיף17 , הממונה יהיה אחראי לאבטחת המידע במאגרים המוחזקים ברשות .)הגופים כאמור בסעיף קטן (א )(ג לא ימונה כממונה מי שהורשע בעבירה שיש עמה קלון או בעבירה על .הוראות חוק זה )(ד ממונה על אבטחת מידע שאינו עובד הגוף, ימונה בהסכם בכתב. " לדיון : - סעיף קטן )(א (1) – בהתחשב בסיכוני האבטחה היום, כאשר גם גופים קטנים יכולים לעבד כמויות גדולות של מידע רגיש מאוד ולהיות חשופים לסיכוי סייבר משמעותיים, האם לא נכון להטיל חובת מינוי ממונה ?אבטחת מידע גם על בעלי שליטה במאגרי מידע שאינם מתקרבים לדרגת בנקים וכו', כפי שנדרש היום ראו הנוסח המוצע . - ( סעיף קטן א )(3) – ככ ל שמקבלים את הכלל הראשון– האם בנקים וחברות ביטוח לא נמנים ממילא בגופים שלהם מידע על200 K ?נושאי מידע האם יש צורך לציינם ב ?מפורש - ( סעיף קטן א )(3) – האם לא נכון להגביל את דירוג או הערכת האשראי לכזה המבוצע בדרך של עיסוק )(כלומר לא לצורך הערכה עצמית ? - סעיף קט ן (ב ) – האם גופים המקבלים מידע מכוח צו הגנת הפרטיות– ביחס לפרט או פרטים ספציפיים– ?נדרשים אף הם באחזקת ממונה אבטחת מידע - האם לא ראוי להבהיר כי הממונה יכול להיות גורם חיצוני )(באמצעות שכירת שירותי אבטחת מידע – זאת כדי להבטיח שממונה האבטחה אכן יהיה גורם מקצועי גם ?בגופים קטנים, וזאת מבלי להעמיס על הגוף - האם ניתן להגדיר חובת מחזיק להחזקת ממונה באמצעות מספר בעלי השליטה במידע ? לחלופין– ?באמצעות מחזור כספי/ מספר מורשי גישה כלומר– .באמצעות מידע אובייקטיבי הידוע לבעל המאגר חוות דעת מקדמית ב דיון 'מס6 בהצעת החוק ביקשה הוועדה לבחון מתן פתרונות לקשיים בפירוש והבנת החוק, בפרט בשים לב לצפי בשינויים בהוראות האכיפה של החוק. בעקבות הדיון העבירה הממשלה הצעה של רישום וולנטרי , אולם הצעה זו .נדחתה ונתבקש נוסח מתאים לחוות דעת מקדמית בעקבות שיח מקדים – הוצע נוסח על ידי הממשלה בעניין חוות דעת מקדמית :, כמובא להלן " תיקון14 – הצ עת הממשלה להסדר בעניין חוות דעת מקדמית לבקשת ועדת החוקה בדיון מיום6.2.24 (א) לבקשת בעל שליטה במאגר מידע תיתן הרשות חוות דעת מקדמית בעניין עמידת מאגר המידע בדרישות החוק .או ההוראות לפיו (ב) פניה לקבלת חוות דעת מקדמית לפי סעיף קטן (א) תכלול את כל העובדות הנדרשות לצורך מתן חוות הדעת בצירוף המסמכים הרלוונטיים, ונימוקים לצורך במתן חוות הדע .ת 10 (ג) חוות הדעת תינתן בתוך60 ימים ממועד המצאת המסמכים הרלוונטיים; ראש הרשות רשאי להאריך את .המועד מטעמים מיוחדים שיירשמו (ד) הרשות רשאית לפרסם את חוות הדעת בהסכמת הפונה; לא הסכים הפונה לפרסום חוות הדעת, רשאית .הרשות לפרסמה ללא פרטי הפונה (ה) ראש הרשות יקבע נוהל לענ ,יין אופן הגשת בקשה לחוות דעת מקדמית ונסיבות שבהן לא תינתן חוות דעת ,בהתחשב בין השאר בתקדימיותו, היקף תחולתו, השלכותיו, או קיומו של חוסר בהירות בעניין מושא הפניה .נקיון כפיו של הפונה, והליכים המתנהלים או צפויים להתנהל לפי חוק זה הנוהל יפורסם באתר האינטרנט .של הרשות (ו) החליטה הרשות שלא לתת חוות דעת בהתאם להוראות סעיף זה, תודיע על כך לפונה ב תוך 45 ימים ממועד .המצאת המסמכים הרלוונטיים " לדיון : 1. מה ההוראות הצפויות להיכלל בנוהל הרשות ביחס לאופן הגשת חוות הדעת, ונסיבות שבהן לא תינתן ?חוות דעת. מדוע לא ניתן לכלול את האמור בחקיקה 2. האם " תקדימיותו, היקף תחולתו, השלכותיו, או קיומו של חוסר בהירות בעניין מושא הפניה " לא יאפשרו לרוקן מתוכן את חובת הרשות לית ?ן חוות דעת מקדמית 3. האם לא נכון יותר להגביל כבר עתה את חוות הדעת, לדוגמא (א) ;בקשה שעניינה תיאורטי, אקדמי או מעשה עשוי (ב) ;בקשה הנגועה בחוסר ניקיון כפיים (ג) .בקשה הנוגעת להליכי אכיפה המתנהלים או העתידים להתקיים (ד) בקשה שכבר ניתנה בנסיבות זהות או דומות מאוד לחוות דעת או החלטה אחרת של הרשות שפורסמה .והרשות הפנתה את הפונה להחלטה :ראו דוגמאות נוספות בחקיקה לסוגי חוות דעת חוק רישוי עסקים, תשכ"ח - 1968 6 .ה ח וות דעת מקדמית ( )א רשות הרישוי או נותן האישור יתנו , לבקשת פונה, חוות דעת מקדמית, על התאמת עסק מוצע לדרישות החוק והתקנות אשר בתחום סמכו ת ם של רשות הרישוי או נותן האישור, ועל התנאים המוקדמים שיש לקיימם לפני .שיינתן אישור, רשיון או היתר זמני, לעסק המוצע ( )ב ( 1 ) לבקשה לחוות דעת מקדמית, יצורפו המסמכים המפורטים בסעיף6 ב; ואולם רשאים רשות הרישוי או נותן האישור לפטור פונה מהגשת מסמך לפי סעיף6 ב, אם אינו דרוש למתן חוות ;הדעת המקדמית ( 2 ) רשות הרישוי או נותן האישור רשאים לדרוש מסמכים נוספים, הדרושים להם לצורך מתן .חוות הדעת המקדמית תקנות רישוי עסקים (הוראות כלליות), תשס"א - 2000 36 . א גרת חוות דעת מקדמית )(א בעד בקשv ה לחוות דעת מקדמית תשולם אגרה בסך320 .שקלים חדשים )(ב אגרה כאמור תשולם לרשות הרישוי או לאוצר המדינה, לפי הענין, כמפורט בסעיף31 .(א) לחוק חוק בתי המשפט [נוסח משולב], תשמ"ד- 1984 ועדת אתיקה 16 )ב(א נשיא בית המשפט העליון, לאחר התייעצות עם שר ,המשפטים, ימנה ועדת אתיקה בת שלושה חברים 11 והם: שופט של בית המשפט העליון, והוא יהיה היושב ראש, ושני שופטים של בתי המשפט האחרים. )(ב ועדת האתיקה תיתן חוות דעת מקדימה בעניני אתיקה של שופטים , לפי פניה של שופט או רשם שכללי האתיקה לשופטים שנקבעו לפי סעיף16א חלים עליו– בענין הנוגע אליו. )(ג חבר ועדת האתיקה ימונה לתקופה אחת של שש שנים. )(ד ועדת האתיקה תפרסם חוות דעת מקדימה שנתנה, בלא ציון שמו של מי שלגביו ניתנה חוות הדעת ופרטים מזהים אחרים, אלא אם כן החליטה אחרת. )(ה,ועדת האתיקה תקבע את נוהלי עבודתה וסדרי דיוניה ככל שלא נקבעו לפי חוק זה. כללי אתיקה לדיינים ועדת אתיקה 19 )ג. (א :נשיא בית הדין הרבני הגדול, לאחר התייעצות עם השר, ימנה ועדת אתיקה בת שלושה חברים, והם דיין של בית הדין הרבני הגדול, והוא יהיה היושב ראש, ושני דיינים של בית דין רבני אזורי. )(ב ועדת האתיקה תיתן חוות דעת מקדימה בעניני אתיקה של דיינים , לפי פניה של דיין שכללי האתיקה לדיינים שנקבעו לפי סעיף19 ב חלים עליו– בענין הנוגע אליו. )(ג חבר ועדת האתיקה ימונה לתקופה אחת של שש שנים. )(ד ועדת האתיקה תפרסם חוות דעת מקדימה שנתנה, בלא ציון שמו של מי שלגביו נית נה חוות הדעת ופרטים מזהים אחרים, אלא אם כן החליטה אחרת. )(ה ועדת האתיקה תקבע את נוהלי עבודתה וסדרי דיוניה, ככל שלא נקבעו לפי חוק זה. חוק התחרות הכלכלית, תשמ"ח- 1988 43 א. חוות דעת מקדמיות הממונה רשאי ליתן חוות דעת מקדמיות וכן לקבוע ולפרסם נוהל למתן חוות דעת כאמור; אין בהוראות סעיף זה כדי לפגוע בשיקול דעתו של הממונה אם ליתן חוות דעת מקדמית, ולענין זה רשאי הממונה להביא בחשבון גם את נסיבות המקרה ואת סדרי העדיפויות בפעילות הרשות. חוק קידום התחרות בענף המזון, תשע"ד- 2014 13 . חוות דעת מקדמיות הוראות סעיף43 א .לחוק התחרות הכלכלית יחולו, בשינויים המחויבים, לעניין סימן זה חוק לשכת עורכי הדין , תשכ"א-1 196 חוות דעת מקדימה 60 .א )(א ועדת האתיקה הארצית רשאית לתת חוות דעת מקדימה .בענייני משמעת של עורכי דין ומתמחים )(ב ועדת אתיקה מחוזית רשאית לתת חוות דעת מקדימה בענייני משמעת של עורכי דין לפי פנייה של .עורך דין הרשום באותו מחוז, בעניין הנוגע אליו )(ג .חוות דעת מקדימה של ועדת האתיקה הארצית תחייב את כל ועדות האתיקה המחוזיות