חומר רקע
1
.2024
6.2
ישיבת שיתוף ציבור ממשלה–
מגזר פרטי בנושא ממונה הגנת פרטיות מיום29.5.24
(המשךDPO
)והתיישנות–
DPO
רחל ארידור:
מינויDPO
לא צריך לבוא במקום חובת מינויCISO
. חובת המינויCISO
צריכה להישאר כמות שהיא, אולי יש צורך
להתאים למציאות הטכנולוגית במקצת, אבל להותיר אותה ואת העידכון שלה לחוק הסייבר כי זה נושא שצריך להיות
תחת מערך הסייבר וחוק סייבר עתידי. יש טעם בהשארתה כרגע כדי שבתעשייה לא יבינו שהביטול משמעו הסדר
.שלילי
גם מחזיקים צרי כים לחוב במינויDPO
. אפשר להבחין בין מחזיקים עיוורים שרק עושים איחסון לבין השאר, ולגבי
.עיוורים להציב רף שונה על בסיס ההוראה לעניין מחזיק במאגרי מידע של בעלי שליטה שונים
עמית אשכנזי:
אני אומר את הדברים כמי שחוקר את נושא הציות לפרטיות וכמנהל מקצועי של קור
ס ממונה פרטיות של מכון מגיד ,
.מרכז פדרמן לחקר הסייבר באוניברסיטה העברית. נגיש גם עמדה כתובה
,באופן כללי הבדל מרכזי בין הדירקטיבה האירופאית על פרטיות שקדמה
ל
חקיקה החדשה, ה-
GDPR
הוא במנגנונים
שמטרתם הפנמה של הוראות החוק המהותיות . אלו באים לידי:ביטוי ב
1)
הטלת סנקציות –
הסדר זה מקביל לתפקיד של תיקון14
,(שבמובנים רבי ם ברור יותר מבחינת הכוונת
התנהגות מה- -
GDPR
כי
הוא כולל רשימה מפורטת ומדרג של הפרות.
מה שגם עונה טוב יותר על עיקרון
.)החוקיות
2)
Accountability
– חובות ניהול תקין, הכולל הוראה חדשה ב-
GDPR
, סעיף5(2)
, וכן חובות קונקרטיות יותר
,כמו עריכת תסקיר השפעה על פרטיות, עיצוב לפרטיות וכדומה. בישראל המקבילה לעניין החובות החלות
בתחום אבטחת מידע בלבד, (כלומר לא ביחס לחובות הפרטיות המהו ,)תיות
היא ב תקנות2-4
בתקנות
.אבטחת מידע
DPO
–
חשוב
מאוד לשלב תפקיד זה . לצד זאת, כדי שהוא יהיה אפקטיבי צריך להבין את חלוקת הסמכויות שלו מול
.ההנהלהDPO
בהגדרה אינו הגורם שמחליט מה עושים עם המידע, כי אחרת יהיה בניגו .ד עניינים מול התפקיד שלו
הוא אינו יושב על הכסף ואינו מחליט מה עושים במידע. לכן צריך לחשוב על יחסי הכוחות בינו לבין הנהלת המאגר
ובעל המאגר. בחוק הישראלי יש סעיף שמטיל אחריות אישית על מנהל מאגר. לדעת
י
כאשר מסתכלים על הוראות
הרגולציה האירופאית ,
DPO
הוא רק אחד .מבין האלמנטים של קידום חובות ניהול תקין בפרטיות ,יש עוד דרישות
כמוPBD, תסקיר השפעה, פיקוח על מיקור חוץ, וה-
DPO
.מחיל את כישוריו על כל דרישות אלו צריך לבחון אימוץ
משהו דומה. כרגע
מהנוסח שהופץ מתמצה תפקידו של ה-
DPO
ב הכנה של
תוכנית וייעו
ץ.
ה-
CISO
הוא תפקיד המקביל לממונה הגנת פרטיות אבל בעולם הסייבר
. בקומת המשילות יש ציפייה שה-
CISO
יהיה
המתווך המקצועי של סיכוני האבטחה אל ההנהלה אבל יש רמה גוברת של נורמות, בעיקר בארה"ב, שמצפה
מההנ
ה לה לקיים דיון, להקצות לCISO
משאבים ולגבות את כל פעילותו בתח .ום הגנת הפרטיות אלמנטים אלה
.קשורים יותר לממשל תאגידי ואחריות הנהלה מאשר לתחום המקצועי אפשר לראות דוגמא ליישום דומה לכך בגילוי
הדעת של הרשות להגנת הפרטיות לעניין אחריות הדירקטוריון לסיכוני סייבר. הרעיון הוא לא להשאיר את הCISO
.כעלה תאנה
בעיני תפקיד מנהל .המאגר הוא דווקא חידוש של החוק הישראלי שמדבר גם על הפרסונה, המנהל של המאגר
המציאות שבה בפועל מנהל המאגר הוא טייטל שהפוטנציאל שלו להפנמה של חובות לפי החוק לא ממוצה, לא מעידה
על כך שזה נכשל. ניתן לראות ברגולציות מקבילות הסדרה של אחריות הנהלה, תנאי כשירות של מנהל ועוד אלמנטים
.שממנפים את האחריות הניהולית לקידום הפנמה של הנושאים הנדרשים
לדעתי ברור שמנהל מאגר ו-
DPO
אלה שני תפקידים שונים, כי ה-
DPO
נועד להגן על פרטיות ומנהל מאגר אחראי
.לכלל התהליכים
בקשר לאופן הגדרת תפקידי ממונה הפרטיות, מציע
השוואה למול תפקידי ממונה הגנת פרטיות בגוף ביטחוני .
2
האתגר הוא כיצד להפ
וך את ה-
DPO
לדמות משמעותית מבלי לייצר ריחוק ונ .יכור בינו לבין התהליכים הארגונים
,לנוכח השלב שבו הדיון נמצא מוצע להשתמש בהסדר הנוכחי של העיצומים מינהליים ולקבוע הפחתת קנס לארגון
שעומד בדרישות
משילות מידע ל
הגנת הפרטיות של האירופים (הפרשנות המקובלת של ה-
ICO
–
מדיניות ברמת
ההנהלה, מסמכים, תהליכים בגינם עושים עיצוב לפרטיות, להסמיך את הרשות להגנת הפרטיות להגדיר את הדרישות
בצורה דינמית. צריך להיות בדומה לעולם הcompliance
)מדיני התאגידים .
כלל כזה מסמן לשוק את הנורמה הרצויה, ויש לו ערך גם בלי שיושם בפיקוח קונקרטי . כמוDPO
, כלל כזה מביא
.לשיפור ההפנמה ללא תלות ישירה במדיניות הפיקוח של הרשות
מציע
את
התיקו
נים הקונקרט
י ים
ה
באים :
(1) הרחבת תפקידיו של ה-
DPO
;ככל שניתן כולל היבטים של עיצוב לפרטיות ותסקיר השפעה על פרטיות
(2
) לקבוע הפחתת העיצומים
ש יוכל לקבל
ארגון שיש בו תוכנית פרטיות וש ל-
DPO
יש את הכלים המתאימים לביצוע
תפקידיו, באופן ה .תואם את הדרישות האירופיות
סבור
ש
יש להשאיר את הגדרת "מנהל המאגר" כאחראי על ההחלטות לעניין הפעולות המתבצעות במאגר,
אבל
ש יש
לתת סימנים לעניין האחריות של ההנהלה לפעולות שנעשות במאגר מידע. צריך להכניס חובות ניהוליות לבעל המאגר
(בסגנון תקנה2
לתקנות אבטחת מידע בראי הפרטיות). צריך את התפקידים של ההנהלה בהיבטים האחריותיים של
.עיבוד מידע
אופציה שננקטה
בעבר היא הגדרת "כתב המינוי ש ל מנהל המאגר" באופן שיהיה ברור שמנהל מאגר הוא הנציג של
ההנהלה ליישום היבטי הפרטיות. כתב המינוי הוא המקום שבו ההנהלה מקנה את הסמכות לטפל בנושא, וגם מחייבת
.גורמים אחרים במדרג הארגוני להתייחס למנהל המאגר כדי לממש את אחריותו
נועה דיאמונד :
מסכימה בנושא הפרדת
.התפקידים בין ממונה אבטחת מידע לממונה הגנת פרטיות החסרונות באיחוד התפקידים
.עולים על היתרונות הכלכליים שבאיחוד התפקידים
.ההפרדה מתחייבת גם בהקשר של הפרטיות המהותית לפי פרק א לחוק
פרק א לחוק צריך להיות גם תחת סמכותו שלDPO
.
,בנוסף צריך להתייחס בחוק
לשיניים של ה-
DPO
.בתוך הארגון לפרט
הקשרים בהם חובה לקבל את עמדת ה-
DPO
או מתי חובה לנמק למה לא מקבלים את עמדת ה-
DPO
.
:נועה גבע המועצה להגנת הפרטיות
הגדרת רף חובת המינוי–
1)
גוף ציבורי
2)
בעלי שליטה בלפחות100,000
נושאי מידע שליבת הפעילות של הארגון היא עיבוד מיד ע או מעקב או ניטור
.שיטתי ושוטף, וכך יחריג גופים קטנים
3)
מחזיק שמבצע עיבוד בקנה מידה מספיק גדול–
בוודאי מודע לכך ולכן חב במינויDPO
.
סבורים שDPO
.צריך לעסוק גם בחובות לפי פרק א לחוק
אין מקום להטלת אחריות אישית עלDPO
. ו זה
.גורם יותר מפקח וביצועי וצריך לבצע את ההבחנות לגביו
לגבי תנאי הכשירות ודרישת הבחינות–
רוצים למצוא דרך להסמיך את הרשות לקבוע הנחיות מדוייקות יותר מאחר
.ומדובר בנושא דינמי
ככל שהחוק יכלול את הכלים שיש להעניק ל-
DPO
כך יפחת הסיכוי שימנוDPO
"טמבל"
.
אייל
שגיא
לא לוותר עלCISO
אלא להוסיף לצד מינויDPO
.ולהרחיב את חובת המינוי לגביו
יש היזהר מפיתוח או חיזוק קו שלDPO
"טמבל"
והפתרון יכול להיות הטלת האחריות על הארגון (פסה"ד בעניין
.)הורביץ
3
האחריות צריכה להיות לא על ה-
DPO. הגורם הבכיר בחברה צריך להיות אחראי וה
וא לא ה-
DPO
כי תפקידו של ה-
DPO
הוא
ל .בקר סבור שאם האחריות תהיה על ההנהלה- מ י שמרגיש אחראי לא ימנהDPO
.טמבל כי זה יחזור אליו
האחריות
צריכה להיות של
.בעל המאגר
ער לקושי ב חובת מינוי סטטוטורית של שני בע"ת(
DPO
וCISO
)
והפתרון הוא הסתמכות על גורמים חיצוניים לארגון
.מקצועיים .כך שכל גורם יפעל בארגון מספר מסוים של שעות בחודש
:איה מרקביץ
לא ברור ?בשביל מה להשאיר את מנהל המאגר? איך זה אמור להיראות בפועל
בפועל "מאגר מידע" הוא מונח פיקטיבי. יש בארגון אוסף נתונים שמעובדים. מח פשים איפה יש מאגר מידע כהגדרתו
בחוק ואז מוצאים פונקציונר מסכן שיכול לענות על ההגדרה של מנהל מאגר. לגופו של עניין זה רק מישהו שרושמים
אותו בטופס רישום מאגר והוא חותם על כמה דברים בטופס שנדרש לפי תקנות אבטחת מידע. התפקיד הזה לא אומר
.את מה שחושבים שעושה כרגע
אם בכלל .צריך להגדיר אותו בהתאם לפונקציות שחושבים שהוא צריך למלא
דלית בן ישראל
אין היום בחוק הגדרה של מהי הפונקציונאליות של מנהל מאגר למעט האחריות המשפטית. התפקיד שלו כרגע זה
לעשות הרבה דברים שאנשים אחרים בארגון אמורים לעשות, למשלCISO. בפועל יש מישהו אח ר שאחראי והם אינם
מדווחים
ל
מנהל המאגר .
אם רוצים להשאיר מנהל מאגר צריך לתת לו סמכויות לא רק של פיקוח אלא גם סמכויו
ת עם שיניים. מ
נ הל המאגר
.בפועל הוא שווה ערך לבעל המאגר. קיומו של מנהל מאגר לא מסיר מאחריותו של ההנהלה
לכן ביטול תפקיד
מנהל
המאגר הוא חיוני כי בסופו של
דבר התאגיד, הדירקטוריון הוא האחראי. וה-
DPO
הוא סמכות
.פיקוחית
אין הצעה למזג את התפקידים שלDPO
ו-
CISO
יש רק הצעה לבטל את המינוי הסט
ט וטורי שלCISO
ושל מנהל מאגר
ו לקבוע מינוי שלDPO
.בהתקיים תנאי סף מסוימים אם מלכתחילה לא היהCISO
כמו ב-
GDPR, לא היתה
בעיה
בתיקון המטיל חובת מינוי DPOומבטל את החובה למנות ממונה אבטחת מידע . אבל בגלל שהיתה חובת מינוי
סטטוט
ו רית
של ממונה אבטחת
מידע
הביטול שלה י
שב ח
כביטול התפקיד
בעיני התעשייה (
וחברות לא ימנו ממונה
אבטחת מידע) .
ה-
DPO
לא חייב להיות בעל ההכשרה הטכנית והוא לא מחליףCISO
.
נועה דיאמונד
השאלה אם יהיו מקרים שארגונים ידרשו למנותCISO
ולאDPO
ולהיפך. צריך
לחשוב על המטריצה הזו .
אייל שגיא
חד משמעית. מעבד גדול התפקיד הכי חשוב שיש לו זה שהמידע לא י
י
גנב ממנו וה
תפקיד ה
שני
הוא לא להשתמש
במידע בניגוד להנחיות.
על התפקיד הראשון אחראיCISO
, על השניDPO
. אם הוא רק מאחסן-
אולי לא צריךDPO
.
נועה גבע
השוני בישראל לעניין חובת מינוי סטטוטורית שלCISO
ועכשיו גם שלDPO
עשוי
להצטייר כרגולציה מחמירה
לעומת
המקובל בעולם . אבל השוני נובע מזה שבישראל
בחרו ל
שים דגש מיוחד על תחום אבטחת המידע ול
חוקק
את תקנות
אבטחת מידע ,שמגדירות סטנדרט ספציפי לאבטח
ת מידע ,בשונה מה
רגולציה העולמית .
חובת מינויCISO
מתיישבת
עם
המגמה הזו ,ששמה דגש על
.היבטי אבטחת המידע
ניר גרסון
יש נורמות מאד מפורטות ביחס לאבטחת מידע, אז הצורך במינוי רשמי שלCISO
.לכאורה פוחת
נועה גבע
סבורים שאין מקום ל
וטיב ל חובת מינויCISO
,
.שכבר קיים בארגונים רבים בישראל
אך אם בכל זאת
יוחלט לבטל
)(על פי העמדות הנ"ל– כדאי לכל הפחות לחשוב על מתן
תמריץ חיובי
לארגונים שפעלו למינוי
CISO
ויישמו תכנית
4
אבטחת מידע על ידו-
למשל
ב דרך של( הקניית חוף מבטחיםsafe harbor
)
המקימה חזקת
ציות להוראות הדין ,
בדומה להצעתו ש ל עמית אשכנזי הציע- בהפחתת קנס
/מתן התראה במקרים אלה .
ליאור אתגר
מחזק את נועה. יצירת תמריץ להבדיל מחובה סטטוטורית יתן שק"ד לתאגידים אולי למנות בפועלCISO
.
עמית אשכנזי
גילוי הדעת של הרשות ל עניין אחריות הדירקטוריון חל רק על אבטחת מידע. אם חל גם על הפרטיות המהותית אז די
.בכך
צריך להיות רובד שמדבר על הציפיות מההנהלה שהן לא ציפיות מה-
DPO
. זה צריך להיות גם בהסדרת אחריות
.המנהל כמו שיש בביטוח ובבנקאות ובני"ע
מירה סלומון
כשמדובר ברשויות מקומיות– יש הבדל בין גו
פים
שעיקר עיסוקם הוא ניתוח מידע לצרכים מסחריים לבין גופים
.שהמידע משתמש אותם לשירותים לתושבים
צריך לזכור שהאחרונים מוגבלים מבחינה כספית, ביכולת לייצר תקנים
ולגייס כוח אדם-
.בוודאי מהתחומים האלה
.לא חושבים שראוי להטיל חובות
לא חושבים שיש צו .רך במנהל מאגר ברשויות מקומיות
לא ח
ו
שבים שיש מקום לקבוע עוד משרות חובה .
מתחברים לעמדה שעלתה שמינוי ממונהDPO
.יהיה חזקה ניתנת לסתירה, מעין הגנה ויתן הפחתה בעיצומים
ענר רבינוביץ
מנהל מאגר– מיותר מכיוון שכרגע משמש מעקף לדיני החברות ולדרך הרגילה שבה מטיל ים אחריות. אין תחת דיני
הגנת הפרטיות הצדקה למעקף כללי האחריות התאגידי
י ם. בהרבה ארגונים ממנים מנהל מאגר שאין להם שום נגיעה
.לעיבוד או בקושי נגיעה למטרותיו
ביטול מנהל מאגר לא ישנה דבר לרעה במשילות המידע רק יחדד שאנשים רמי דרג לא יוכלו להתחמק מהאחריות
האינהר.נטית שיש להם כמנכ"ל חברה
חובתCISO
–
להרבה ארגונים יש כברCISO
. בזהירות מהמר ש95%
מהם מינוי בלי קשר לחוק אלא כי היה צורך
עסקי והם מבינים את החשיבות. יש מגמה דומה לגביDPO
–
או כי יש חובה בחו"ל או כי זה הדבר הנכון מבחינה
עסקית. לכן כשמגדירים את חובות המינוי לא צריך להיכנס ליותר מידי פרטים והגדרות תפקיד וסמכויות, כי ארגונים
.יודעים יותר טוב מה נכון להם מבחינה עסקית
מסכים שצריך ליצור מעמד שלDPO
ותפקיד בקווים כלליים. אבל לא לה יכנס יותר מידי לפירוט, למשל מה ההכשרה
צריכה לכלול כי יש בכך יותר סכנות מיתרונות. צריך לכלול למשל דרישות למיDPO
.מדווח
ההצעה לגבי חובת מינויDPO
של המועצה להגנת הפרטיות טובה, אבל כאשר מדובר במידע רגיש צריך להוריד את
.המספרים דרמטית
:לירון
יש צורך להגדיר
בקווים כללים מה מצפים שDPO
יעשה. כדי שלא יבואו ויגידו אח"כ שלא ברור מה התפקיד אמור
.להיות
ליאור אתגר
צריך לתת לDPO
אפשרות לדווח ישירות לדירקטוריון ולדירקטוריון לאשר את תוכנית העבודה של ה-
DPO
. כך
המעמד של ה-
DPO
.יחוזק
בדומה למשל למבקר פנים–
תקשורת מול
ו .עדת ביקורת, לפי חוק החברות
.מבקר פנים נקבע בדין למשל מי יהיה הממונה הארגוני שלו. אפשר לאמץ משהו דומה
5
האמירה ש-
DPO
"יהיה כפוף "לנושא משרה בכירה-
זה לא משרה מוגדרת בחברות. הממונה הארגוני לא יכול להיות
.מי שמאשר את תוכנית העבודה
אפשר במקום תוכנית עבודה
לאשר אצל הדירקטוריון את נושאי העבודה שה-
DPO
אחראי עליהם. חושב שצריך
.מראש דיווח לדירקטוריון, בדומה לביקורת פנים
כדי שנושא
י
.המשרה יהיו אחראים הם חייבים להיות מיודעים
ענר רבינוביץ:
לא נכון
לקבוע בחוק שהדירקטוריו
ן
צריך לאשר מראש תוכנית שנתית שלDPO
. הרבה מהעבודה שלDPO
היא שוטפת
ריאקטיבית אד-
הוקית ולא ניתן להגיד לדירקטוריון באופן שוטף. אבל אפשר ונכון דיווח רבעוני על התפקוד לוועדת
הAUDIT
או וועדת המשנה של הדירקטוריון. זה גם משהו שה-
CISO
.עושה .ענר חושב שדיווח בדיעבד יותר נכון
רחל ארידור
אין מקום להשאיר ה .גדרת מנהל מאגר. האחריות תוטל על ההנהלה לפי הכללים המקובלים בדיני התאגידים
אין מקום להחריג רשויות מקומיות. ה
ן
מתעסקות בהרבה מאד מידע רגיש ואנחנו רואים בתקופה האחרונה גם כמה
.רשויות מקומיות מותקפות ולא מוגנות
חוששת מאימוץ מושגי שסתום לתנאים לקיומה של חובת המינוי בדומה ל-
GDPR
. יש חברות שעיקר העבודה שלהם
לא חייבת להיות עיבוד מידע אבל הן מעבדות הרבה מידע וצריך שימנוDPO
.
לגבי עצמאות ה-
DPO
–
חוששת מהתערבות יתר בפררוגטיבה הניהולית של המעסיק. יתכן שניתן לקבוע משהו דומה
.למה שהציעה נועה בקליניקה
נועה דיאמונד
צריך להתייחס בצורה מפורשת אלו בע"ת לא יוכלו לכהן כ-
DPO
.
לגבי עצמאות– יש עניין של איזונים עדינים. צריך להתייחס לפיטורים עקב עצם ביצוע התפקיד של ה-
DPO
. זה נגזר
למול איפה ממקמים את ה-
DPO
בארגון מבחינת היחסים שלו מול ההנהלה. יתכן שכדאי לשקול עוגנים בהם תוטל
חובת היוועצות עם ה-
DPO
., למשל בכל מקרה של קביעת מטרה חדשה באיסוף מידע ואת זה צריך לאזן למול הנושא
.של הגבלת פיטורים
איה מרקביץ
חשוב מאד לקחת מה-
GDPR
.את האלמנט של איסור מפורש על קבלת הוראות מההנהלה יש חובה על בעל שליטה
ומעבד להבטיח שה-
DPO
לא יקבל הוראות בקשר לאופן שבוע הוא מבצע את תפקידיו כ-
DPO
.
הארגון מבין ש הוא
חייב לשמוע את ה-
DPO, חובה לתעד למה לא מאמצים את חוו"ד של ה-
DPO
. ואסור שהארגון
יתערב או יתן הנחיות להתנהלות המקצועית של ה-
DPO
.
לגבי פיטורים וסנקציות צריך לחשוב אם כדאי לאמץ. לא כדאי להכניס יותר מידי פורמליצזיה לגבי האופן שבוDPO
.צריך לפעול
דלית בן ישראל
משילות
תאגידית בין תאגידים היא שונה. כל עוד ל-
DPO
יש יכולת ודלת פתוחה אצל המנכ"ל ויו"ר הדירקטוריון די
.בכך. לא כדאי לקבוע בחוק חובת דיווח מראש לדירקטוריון. בכל ארגון יש רמת משילות אחרת
DPO
.צריך להישמע ולהיות בכל צומת קבלת החלטות בנושא עיבוד מידע
איה מרקביץ
אין ספק שאם מנסים לקחת את מנגנון ה-
DPO
מאירופה לישראל נותנים לו תפקיד עם הרבה חוסרים כי החוק
.בישראל אינו כולל היבטים מהותיים בעיבוד מידע ובעיקר בסיסי עיבוד
אם לא מתקנים את תיקון15
מיד אחרי תיקון14
זה יהיה חור גדול. אבל כדאי לתת לשוק זמן להפנים את הסדר ה-
DPO
ולחוקק אותו כבר ב–
14
.
6
התיישנות
רחל ארידור
נכון להאריך ולהשוות לעוולות נזיקיות אחרות. אומנם בעולם יש קביעות לתקופה פחותה. למשל בגרמניה, אבל שם
זה תואם את תקופת ההתיישנות על עוולות נז
י .קיות אחרות
דלית בן ישראל
.מסובך לעשות משהו מדורג. צריך להאריך ולא להסתבך עם תקופות מדורגות
איה מרקביץ
.בעד תקופת התיישנות מדורגת בהתאם לחומרת הפגיעה בפרטיות. קיים בפורטוגל
אייל שגיא
הסטנדרט שעובדים לפיו בפרטיות משתנה כל הזמן. הפרשנות משתנה כל הזמן. תקופת התיישנות ארוכה אומרת
שיח ילו רטרואקטיבית סטנדרטים שאי אפשר היה לצפות אחורה וזה לא הוגן. תקופת התיישנות של שנתיים היא
.פרק זמן הגיוני של פרשנויות חדשות של הסכמה לעיבוד מידע7
שנים זה ארוך מידי ויש לה משמעות מבחינתdata
retention
. זה ידרוש יותרdata retention
,כדי להתמודד עם תביעות
כולל הלופ האינסופי של ה-
GDPR
כמה זמן
.יש לשמור מידע כאשר מבקשים למחוק מידע
תיקון15
אמור לעסוק בנושאים מהותיים כולל הנושא החשוב של בסיסי עיבוד ולשם מתאימה יותר הארכת תקופת
ההתיישנות. הארכה כרגע תיצור בעיות בעיקר בגלל ההישענות הבלעדית בישראל על הסכמה כבסיס
לעיבוד, לרבות
הסכמה משתמעת (בניגוד להסכמה ב-
GDPR
.)
ראובן
מה השוני בין התחום של פרטיות לבין תחומים אחרים לגביהם חלה תקופת התיישנות של7
?שנים
אייל שגיא
הארכת תקופת ההתיישנות תוביל לזילות של תביעות ייצוגיות. יהיו הרבה מאד תביעות אופורטוניסטיות. לא בהקשר
של הנגישות אלא שינוי הסטנדרט הרגולטורי ע"י ביהמ"ש תוך כדי התנהלות של תביעה ייצוגית. בפרטיות זה יהיה
.מאד בעייתי
מתמודדים עם תביעות ייצוגיות בהן יש טענות ל סטנדרטGDPR
.בהגנה ויש חוסר הבנה בתחום
איה מרקביץ
לגבי ההתיישנות–
האם הכוונה שיהיה אחיד במישור של הטלת עיצומים כספיים ועבירה נזיקית–
האם יש התיישנות
?על הסמכות של הרשות לחקור על עבירות שתוקף ההתיישנות שלה? האם יש התיישנות על ההיבט המינהלי