חומר רקע

PDF 12,503 תווים המסמך המקורי ↗
DPI GROUP – DATA PROTECTION INSTITUTE LTD המרכז הישראלי לחקר המידע חטיבת המחקר 15 במאי 2024 לכבוד ח"כ שימחה רוטמן יו"ר ועדת חוקה חוק ומשפט כנסת ישראל מכובדי , :הנדון הטלת החובה למינוי ממונה על הגנת הפרטיות בארגון " חטיבת המחקר של המרכז הישראלי לחקר המידע (להלן המרכז "), שהינ ה חלק מחברת די.פי.איי גרופ- דאטה פרוטקשן אינסטיטיוט בע"מ , מתכבד ת להעביר את הערותי ה להצעה להכליל במסגרת( הצעת חוק הגנת הפרטיות 'תיקון מס 14 ), התשפ"ב- 2022 " (להלן תיקון14 )" את החובה למנות ממונה על הגנת הפרטיות בארגון :כדלקמן מבוא 1. תיקון14 אשר במקור פורסם ברשו מות בחודש ינואר2022 , נועד להתאים את חוק הגנת הפרטיות, התשמ"א- 1981 " , (להלן החוק" " או חוק הגנת הפרטיות ") למציאות הנוכחית ולאתגרים הקיימים היום בהגנה על מידע אישי ומאגרי מידע ומת מ קדת ב שלושה ( נושאים עיקריים א ) פיקוח ואכיפה; (ב ) צמצום היקף חובת רישום מאגרי מידע ; (ג ) עדכון ה הגדרות שבחוק . התיקון מבקש גם להגביר את הציות לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז- 2017 " (להלן תקנות אבטחת המידע.)" 2. במסגרת תיקון14 , מוצע להטמיע התייחסות לחובת מינוי של ממונה על הגנת הפרטיות ( DPO ) בארגונים שונים שעונים על קריטריונים המפורטים בסעיף17ב1 (א) לתיקון14 . חובה זו למעשה מקשיחה את עמדת הרשות להגנת הפרטיות , כעולה מפרסום הרשות מיום24 לינואר2022 " : "מינוי ממונה על הגנת הפרטיות בארגון ותפקידיו" (להלן גילוי 2 דעת הרשות ,)" בכך שבמקום שמינוי זה יהיה וולנ ט רי, המינוי יעוגן בחקיקה כמינוי .חובה 3. ככלל, מ ינוי מ מונה על הגנת הפרטיות נהוג במקומות שונים בעולם. באירופה, מינוי זה מעוגן כחובה ב מסגרת ת קנות ( הגנת המידע של האיחוד האירופאיGDPR ) (להלן "התקנות הא י רופיות)" . על כן, אנחנו רואים בחובת מינוי ממונה להגנת הפרטיות .כמעשה מבורך המקדם את מדינת ישראל צעד נוסף לרף האירופאי 4. ההצעה למינוי ממונה להגנת פרטיות מבקשת למעשה להחליף את החובה הקבועה נכון להיום , למינוי ממונה על אבטחת מידע במאגר הקבועה בסעיף17 .ב(א) לחוק כפי שנציג בהמשך, לטעמנו הדבר עלול לפגוע בכשירות המקצועית של הממונה על הגנת הפרטיות ולפגוע בתפקוד הארגון בנושא אבטחת המידע . בקצירת האומר 5. ההתקדמות הטכנולוגית בנושא מאגרי המידע הביאה עמה מנגנונים חדשים לעיבוד ואחסון מידע, וראוי שמנגנונים אלו יוסדרו בחקיקה. מעבר לכך, ההתקדמות הטכנולוגית והתפיסתית יצרה חסרים משפטיים רבים בהסדר הנוכחי אשר קבוע בתקנות הגנת ( הפרטיות אבטחת מידע) , תשע"ז- 2017 .) על רקע זה המרכז רואה בהצעה לתיקון14 .צעד נדרש ומבורך 6. עם זאת, כאמור, יש מקום להציע מספר תיקונים לנוסח המוצע. כך יש מקומות בהם הסעיפים בתיקון מנוסח ים בצורה כללית מדי , כאשר במספר סעיפים ישנן חובות אשר לטעמנו יש לשנות , חלק מהסעיפי ם מהותיים מאוד . בהתאם לכך, הצענו להרחיב את המפורט ב תיקון הנוכחי וזאת על- מנת לייעל את תפקיד הממונה על .הגנת הפרטיות הכל .כפי שיפורט בהרחבה להלן הממונה על הגנת הפרטיות– תפיסת תפקידו 7. חוק הגנת הפרטיות אינו מטיל כיום חובה למנות ממונה הגנ ה על .פרטיות בארגון ,הרשות להגנת הפרטיות סברה,במסגרת גילוי דעת הרשות כי ארגון המבקש להבטיח .עמידה בקיום הוראות החוק והתקנות מכוחו, יעשה נכון אם ימנה בעל תפקיד כזה הרשות המליצה על המינוי "על מנת להבטיח עמידה בהוראות דיני ההגנה על מידע אישי בישראל, וכדי לשפר את רמת ההגנה על הזכות לפרטיות מעבר לדרישות הבסיסיות שבדין, מומלץ למנות ממונה הגנה על הפרטיות, שיופקד על קידום הזכות לפרטיות "בארגונו :. עוד לדעת הרשות "מינוי ממונה הגנה על הפרטיות מסייע לארגון לוודא כי הוא עומד בהוראות דיני ההגנה על מידע אישי בישראל, מהווה אינדיקציה כי הארגון נקט ונוקט צעדים לצמצום הסיכון לפגיעה במידע האישי הנשמר ברשותו, וכן מאפשר ."שיתוף פעולה מיטבי עם הרשות להגנת הפרטיות 3 8. הדרישה למנות ממונה הגנ ה על פרטיות התבססה ב סעיף37 ל תקנות הגנת המידע הארופאיות (ה-" GDPR )" , אשר מחייב מינוי קצין פרטיו ת ( DPO ) בשורה של ארגונים ומונה :שורה של תפקידים המיועדים לבעל התפקיד א. מעורב ומיודע ע ל כל הסוגיות הקשורות ל עיבוד;מידע אישי בארגון ב. פיקוח על;ציות הארגון לתקנות ג. כתובת לפניית נ ושאי המידע ביחס לסוגיות הנוגעות לעיבוד הנתונים עליהם ומימוש זכויותיהם על- ;פי התקנות ד. ליידע ולייעץ לארגון באשר לחובותי ו על- ;פי התקנות והחוק המקומי ה. העלאת המו ות דע הארגונית ;להגנה על המידע האישי ו. הכשרת והדרכת הסגל המעורב בעיבודי המידע בארגון באשר להגנת המידע ; ז. עריכת אומדן השפעה של פעולות הארגון על הגנת המידע האישי שבארגון( DPIA ) .והערכת סיכונים 9. כתולדה לקביעה בתקנות הארופ א יות ולמילוי החובה הגלומה בהם, נתפס תפקיד ,הממונה על הפרטיות כאחראי על הפעלת וקיום תכנית אכיפה בארגון בתחום הפרטיות כבסיס להבטחת עמידה שוטפת של הארגון ב הוראות ה דין בתחום השמירה על המידע .האישי באותו הקשר, גם הרשות גילתה את דעתה באשר לתפקידים שיש לרכז בידי הממונה על הפרטיות,, במסגרת גילוי דעת הרשות וראתה את התפקידים המרכזיים של :בעל התפקיד כוללים את המשימות הבאות א. מעורבות בכל הליכי עיבוד המידע בארגון כדי ;להבטיח תקינותם ב. מעורבות בעיצוב מערכות מידע ותהליכי עיבוד מידע בארגון בדרך שתפחית את ;הסיכון לפרטיות ג. ניסוח נוהל הגנת הפרטיות בארגון שיעגן ויבטיח את עמידתו בהוראות החוק והתקנות ; ד. ניהול תסקיר פרטיות מחזורי בארגון שיבטיח את עמידת הארגון בכל דרישות הדין, תיקון הליקויים שיתגלו ודיווח שנתי להנהלה על ביצועו וממצאיו ; ה. ;)טיפול בפניות נושאי מידע (תלונות, בקשות עיון ותיקון ו. הנחיית ממונה אבטחת המידע בארגון לקיום הוראות הדין ; ז. איש הקשר של הארגון עם הרשות; ח. מוקד ידע בארגון ל נושא הגנת ה פרטיות, להדרכה והכוונת ההנהלה והעובדים . 10 . גילוי דעת הרשות בנושא מינוי ממונה על הגנת הפרטיות בא לאחר שהוצאה טיוטה של הפרסום, התקבלו הערות הציבור לטיוטה שהביאו לשינויים רבים בנוסח עד לפרסום גילוי הדעת .הסופי 11 . עיינ נ ו הרואות כי תפקיד הממונה על הגנת הפרטיות לא נועד להחליף את תפקיד הממונה על אבטחת המידע, כי אם להוות גורם מפקח גם עליו, ולא נועד להחליף את תפקיד ואחריות מנהל מאגר המידע. תפקיד ממונה הגנת הפרטיות שלוב עם תפקיד קצין ציות לנושא הפרטיות יחד עם הגורם שמבצע בעצמו שורה של משימות שנועדו להבטיח את 4 עמידת הארגון בדין בנושא הגנת ,הפרטיות, הגורם המקשר בין הארגון לגורמים חיצוניים החל מהרשות ועד נ ושאי המידע שהארגון מחזיק במידע אודותיהם , והכתובת הפנימית בארגון לשם .הבטחת השמירה על הפרטיות בפעולותיו 12 . כגורם המ ה ווה את המעגל השני בארגון, יש לממונה על הפרטיות אחריות, אך עליה להיות אחריות נוספת לאחריות הגורם האחראי באופן ישיר על הפעילות, החל ממנכ"ל הארגון, הגורם שאחראי על הפעילות העסקית ,הרלבנטית שעשויה לפגוע בזכות לפרטיות .מנהל מאגר המידע הרלבנטי, מנהל מערכות המידע והממונה על אבטחת המידע 13 . .על רקע האמור יובאו להלן הערותינו להצעה המונחת כעת על שולחן הוועדה הנכבדה ההערות הפרטניות 14 . סעיף17ב1 ()(א1 ) - הסעיף קובע כי בין החייבים למנות ממונה הגנת פרטיות בארגון" יהיו גם בעל שליטה או מחזיק במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות200,000 אנשים או יותר" . לדעתנו יהיה נכון לנקוב בכמות של100,000 .אנשים או יותר התוספת השנייה לתקנות אבטחת המידע קובעת כי מאגר בעל רמת אבטחה ג בוהה יהיה מאגר שיש בו מידע על אודות100,000 אנשים ויותר. מקום בו סבר המחוקק כי ראוי לסווג את המאגר ברמת אבטחה גבוהה, יהיה נכון כי הארגון בעל השליטה או המחזיק .במאגר ימנה ממונה על הגנת הפרטיות 15 . סעיף17ב1 ((א2 ) - הסעיף קובע כי בין החייבים למנות ממונה הגנת הפרטיות בארגון יהיו גם " מי שמחזיק במאגרי מידע שונים של חמישה בעלי שליטה שונים או יותר ". לטעמנו לא ברור מהנוסח שהכוונה היא למאגרים של צד שלישי בלבד. היינו שהמאגרים של הגוף עצמו אינם במנין ."המאגרים. נציע לכן בסוף הסעיף להוסיף: "מלבד המאגרים שהוא בעל השליטה בהם 16 . סעיף17 ב1 ()(א4 ) – הצע ת נו בסעיף15 לעיל מייתרת את הסעיף, אלא אם יימצא לנכון לנקוב בכמות נמוכה מ- 100,000 .מושאי מידע 17 . סעיף17ב2 )(א– הסעיף מונה את רשימת תפקידי הממונה על הפרטיות. נציע להוסיף :לרשימה " ניסוח נוהל הפרטיות בארגון שיעגן את חובת עמידתו בהוראות החוק והתקנות ." בעידן בו הפרטיות בארגון אינה מצטמצמת רק לשמירה על מאגרי המידע ואבטחת המידע, אלא גם להתנהלות הארגון בנכסים הדיגיטליים שלו, מדיניותAI ,של הארגון המצלמות בארגון ופרטיות עובדי הארגון, ראוי שהארגון יגבש לעצמו נוהל פרטיות 5 מפורט, ו כן ראוי שהממונה על הגנת הפרטיות יהיה מופקד על- כך. ההצעה מתכתבת גם עם גילוי דעת .הרשות, שגם מנתה תפקיד זה בין תפקידי הממונה על הפרטיות 18 . סעיף17ב3 - סעיף זה למעשה מבקש מהממונה לע הגנת הפרטיות להיות בעל הידע והכישורים המתאימים לביצוע התפקיד ובכלל זה - ,"הבנה הולמת בנושא דיני הגנת הפרטיות טכנולוגיה ואבטחת מידע והיכרות מעמיקה עם /תחומי פעילותו של הגוף ומטרותיו / והבנה הולמת של תחומי הפעילות של הגוף ומטרותיו ,של הסיכונים מפעילות הגוף ומטרות העיבוד שלו; שר המשפטים, באישור ועדת החוקה רשאי לקבוע בתקנות תנאים בעניין ההשכלה, ההכשרה והניסיון בהם נדרש הממונה על הגנת הפרטיות לעמוד, ובעניין התנאים להכרה בהכשרה כאמור, לרבות מעבר בחינות והשתתפות בהשתלמויות עיתיות, וכל זאת בדרך כלל או לפי סוגי המאגרים והגופים המנהלים אותם או מחזיקים בהם". לעניות דעתנו , ניתן לאפיין את הגנת המידע ב ארגון ב שני רבדים: (א ) רובד טכנ ולוגי; (ב) רובד .רגולטורי ,למעשה שני ה רבדים משלימים אחד את ה אחר ולשניהם מורכבות רבה בתחומם . הרובד הטכנ ולוגי דורש י דע נרחב בתחומי הטכנולוגיה ההגנתית ע ל מערכות מידע, ידע טכני לגבי מתקפות סייבר והסיכונים הכרוכים בכך ,השלכות ה שימש ב ממשקיAI עוד ו.' לעומת ,זאת הרובד הרגולטורי דורש ידע נרחב ברגולציה הק שורה .להגנת המידע והפרטיות בפועל, מי שמממונה כיום על הרובד הטכנ ולוגי בעיקר, ה ם מנהל מערכות המידע ו / או ה ממונה לע אבטחת המידע בארגון. מינוי שהוא חובה בנסיבות מסוימות על פי סעיף17 )ב(א לחוק הגנת הפרטיות. כך לשון הסעיף : "הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה ממונה על "...אבטחת המידע ,לעומת זאת, כאמור תפקיד ממונה על הגנת הפרטיות , אמור להיות מקביל לקצין ציות (ציות ,)לדיני הפרטיות ואבטחת המידע חולש במהותו .בעיקר על הרובד הרגולטורי לפי נוסח החקיקה המוצעת , ניתן להסיק כי מתבקש לייתר את חובת מינוי הממונה על אבטחת המידע ובמקומו למנות רק את הממונה על הגנת הפרטיות אשר ייכנס גם לנעליו . פעולה זו, תדרוש למעשה מאדם אחד לשלוט היטב בשני הרבדים. דרישה שמטבע הדברים תפגע באח ד או שני הרבדים הנדרשים להגנה על ה מ ידע של הארגון, משום שידע אחד יבוא על חשבון ה אחר או שיהיה בניגוד עניינים לו . ,כמו כן ייאבד כאן גם רובד נוסף ,שצריך לגלם הממונה על הפרטיות והוא פיקוח על פעולות הגורמים הטכנולוגיים, כמו מנהל מערכות המידע והממונה על .אבטחת המידע על כן, לטעמנו יש לעגן בחקיקה את חובת מינוי הממונה על הגנת הפרטיות בנוסף לממונה אבטחת המידע, ו כן לטעמנו אין לקבוע כי הממונה על הגנת הפרטיות חייב הב נה טכנולוגית. ,לחילופין מוצע כי תוענק סמכות לממונה על הפרטיות להאציל סמכותו או להתייעץ עם גורמים מקצועיים ייעודים בארגון כך ששני הרבדים יקבלו ביטוי אמיתי ומקצועי , ללא ניגוד עניינים ותוך יישום חובות פיקוח מתאימות . 6 19 . תקנה 16 (א) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז– 2017, דורשת מבעל מאגר מידע כי ש גורם בעל הכשרה מתאימה שאינו ממונה על אבטחת המידע ,במאגר י בצע ביקורת תקופתית, אחד ל- 24 חודשים לפחות, פנימית או חיצונית בנושא אבטחת המידע במאגרי המידע של בעל המאגר/ים . על כן, נמליץ לעגן דרישה זו ב סעיף17 ב2 )(א המוצע לתיקון14 , .משום שהיא ממילא מתכתבת עם אופי התפקיד המוצע של ממונה הגנת הפרטיות סיכום 20 . מטרת ו של תיקון14 המוצע ,הינה מבורכת בדגש על החובה למינוי ממונה על ה פרטיות בארגונים מסוימים, וכניסת ו לתוקף בוודאי תקדם שינוי חיובי בתחום ההגנה על הפרטיות בארגו נים בישראל על כל רבדי ו. ה תיקון המוצע מתאים את עצמ ו לעידן הטכנולוגי שבו אנו נמצאים ובעיקר מיישר עוד קו עם ה רגולציה האירופאית והאמריקאית בנושא הציות .לרגולציית הגנת הפרטיות יישומ ו של התיקון י אפשר לארגון לפתח ובעיקר לייעל את יכולות ההגנה על המידע הרגיש ש הוא אחראי עליו מכוח החוק . 21 . ,עם זאת נראה כי יש לבצע שיפורים מסוימים ב סעיף הממונה על הגנת הפרטיות ב תיק ון 14 המוצע. השיפורים המוצעים על-יד נו יביאו לייעו ל של תפקיד הממונה להגנה על הפרטיות , להבנה מלאה של הוראות ה סעיפים ,ול צמצום אפשרות של "עיגולי פינות" מצד בעלי המא .גר 22 . נשמח להרחיב בנושא בעת הדיון בהצעת לתיקון14 .בפני הוועדה הנכבדה ,בכבוד רב ובברכה ד"ר דן חי, עו"ד יו"ר וראש החטיבה המחקרית DPI GROUP :העתקים 1. .חברי הוועדה 2. .מחלקת יעוץ וחקיקה, משרד המשפטים 3. הרשות להגנת הפרטיות