חומר רקע
______________________________________________________________
צוות פרטיות בע"מ
M. +972.505.900828 E. [email protected] W. www.privacyteam.com
מגדל אלון1
.(ק21
), יגאל אלון94, תל אביב
"ז כ באייר
| התשפ"ד4
ב
יוני
2024
לכבוד
יו"ר ועדת החוקה, חוק ומשפט
חבר הכנסת שמחה רוטמן
כנסת ישראל
,.א.נ
:הנדון 'הצעת חוק הגנת הפרטיות (תיקון מס14
), התשפ"ב-
2022
–
הצעת משרד המשפטים לעניין מינוי ממונה
על
הגנת הפרטיות בארגון
לקראת הדיון ביום4.6.2024
בו ועדת החוקה, חוק ומשפט של הכנסת שבראשותך בהצעה לתיקון
ה"( חוק שבנדון תיקון14
"" ו
החוק)", בהתאמה ,
נבקש להציג את עיקרי עמדתנו ביחס לנוסח
סעיפים17ב1
עד17ב3
לתיקון14, שעניינם ב
חובת מינוי ממונה על הגנת הפרטיות
"(ממונה)"
,
,תפקידיו .כישוריו ועצמאותו
,בתמצית אנו סבורים שהיוזמה להכניס את ההסדר האמור לתיקון14
,היא ברוכה. עם זאת
בהינתן שתפקיד ה-
Data Protection Officer
"(
DPO
") התבסס היטב באיחוד האירופי
ובמדינות נוספות בש
מונה
השנים שחלפו מאז
חקיקת ה-
GDPR
, ראוי ונכון לאמץ בחוק הסדר
קרוב ככל האפשר
למקבילו האירופי ,
תוך מתן משקל הולם לפרשנות הרגולטורית ולניסיון
המעשי שנצבר בקרב המשמשים בתפקיד כבר
כ יום. זאת, חלף קביעת הסדר שרירותי
ופרגמנטרי שעלול
לחבל
ב הגשמת התכליות החשובות שלשמן .נועד להלן נפרט ונבהיר את
.כוונת הדברים
1.
התנאים לתחולת חובת המינוי
,שרירותיים מוקשים וחוטאים
:לעיקר
1.1
. המקרים המנויים בסעיף
17ב1
)(א תולים את החובה למנות ממונה במספרים שרירותיים
של
נושאי מידע ושל
,מאגרים אף ו מועדים לעמימות פרשנית עקב השימוש במונח
""מאגר . הרתיעה
ממונחי השסתום של ה-
GDPR
בהקשר זה מובנת מנקודת המבט של ודאות משפטית
ויכולת
,אכיפה אך ההתמקדות באלה מחמיצ ה את הע
יקר : מינוי שמקדם ציות
"ו"אחריותיות
לעניין
הגנת המידע בארגונים שעיקר פעילותם כרוך אינהרנטית בסיכון מוגבר
.לפרטיות
1.2
. לצד גופים
,ציבוריים ההסדר
המקביל ב-
GDPR
מתמקד בבעלי
שליטה ומעבדים ש
בליבת
פעילותם מצוי עיבוד מידע רגיש במיוחד או ניטור שיטתי ונמשך של נושאי
,מידע בהיקף רחב .
הסיכון המוגבר שכרוך בפעילויות אלה לא מתמצה
ב
מאפייניהן
הכמותיים:
,למשל ניטור
שיטתי ונמשך
,עלול
,מטבעו להוביל לשימוש במידע למטרות לא הוגנות שחורגות
מהציפייה
הסבירה
של נושא
,המידע וכשעיבוד
מידע
כזה
מצוי בליבת פעילותו של
,הארגון
יש
לו
תמריץ
משמעותי ותמידי
להגדיל את הערך שהוא מפיק ממנו
–
,קרי
סיכון לזליגת
.שימושים
1.3
. אין חולק שהממד הכמותי של עיבוד המידע הוא
גורם סיכון שיש לתת לו משקל
,הולם אלא
שגם
אליו מתייחס ההסדר המוצע באופן רצ ובלתי
.ממצה
,להשוואה ה
הנחי ה1 של פורום הרגולטורים
האירופיים
לעניין
תפקיד ה-
DPO
מתייחסת
למספר נושאי
המידע כמשתנה אחד בלבד מבין
ארבעה מבחנים לזיהוי עיבוד "בהיקף
"רחב
–
ואף
,זאת לא במספרים מוחלטים אלא כתלות
בהקשר (כגון חלקם היחסי בקבוצה או
האוכלוסייה
.)הרלוונטית לצד זאת נדרשים
ארגונים
באירופה לבחון גם
את ההיקף והמגוון
של סוגי המידע ה
נתונים
,לעיבוד
משך ורציפות העיבוד
(בפרט כשהמידע
נצבר והולך
ואינו
)נמחק ופריסתו הגיאוגרפית (כגון מידע הנוגע לכל
ל תושבי
המדינה לעומת תושביה של עיר
.)מסוימת
1.4
. זאת
,ועוד ההנחיה הנ"ל מדגישה שבלתי אפשרי לנקוב בכמות מדויקת של
מידע או נושאי
מידע
שתהיה קבילה בכל סיטואציה .
,למעשה בדיקתנו העלתה שמ
קרב
30
מדינות האזור הכלכלי
,האירופי לרבות חברות
,האיחוד רק בסלובניה נקבע רף
כמותי של
נושאי מידע לעניין
החובה
למנות
DPO
–
ואף
,זאת בהתקיים גורם
סיכון
נוסף (עיבוד
מכוח חובה חוקית של
מידע
אישי
הנוגע ליותר מ-
100
אלף נושאי
;מידע
,קרי כשהשליטה מופקעת מנושא
)המידע
או
כשהרף
שנקבע קטן פי
20
ממקבילו בנוסח המוצע (עיבוד קטגוריות מיוחדות של מידע אישי
בהתייחס
ליותר מ-
10,000
נושאי מידע
בחוק הס ,לובני לעומת עיבוד מידע
בעל רגישות מיוחדת
על
אודות
200
אלף אנשים
או יותר בסעיף
17
()ב(א1)
.)המוצע
1.5
. על רקע
,זה עמדתנו
היא ש
ראוי לאמץ את הקריטריונים הקבועים
ב-
GDPR
אף לעניין
תחולת החובה למנות ממונה בישראל.
,זאת חלף קביעת הסדר שאמנם יה
יה קל יותר לאכיפה,
אך עלול להחמיץ
את התכלית שלשמה
נועד
וליצור נטל
מוקשה על ארגונים שיידרשו
לנטר
כל
העת את מספר נושאי המידע
–
ורק כשיגיעו לרף
,הסטטוטורי ימנו ממונה שיידרש
בדיעבד
לעקור מהשורש פרקטיקות לקויות שניתן היה למנוע לו היה ההסדר מתמקד
.בעיקר
2.
,לטעמנו אין מקום להבחין בין בעלי שליטה במאגר ל
מחזיקים
בעניין תחולת חובת המינוי ,
משני
טעמי
ם עיקריים:
2.1
.
,ראשית למחזיק יש
תפקיד חיוני בתמיכה וסיוע
לבעל השליטה ב
ציות לחובות ה
חלות
,עליו ו יש
חשיבות
קריטית לקיומו של
ממונה
בארגון המחז יק כשמדובר בעיבוד
ים מהסוג
הכרוך
בסיכון
אינהרנטי לפרטיות.
,זאת הן
במובן של
קידום תכנון לפרטיות מלכתחילה
של המוצר
או השירות
הכרו
ך
בסיכון
,כזה והן משום שהממונה בארגון המחזיק מצוי בעמדה מיטבית לתמוך ביכולת
של
המחזיק לתת לבעל השליטה
את הסיוע
,הנדרש הודות
לשילוב
בין מומחיות
ו של הממונה
בדין ובפרקטיקה ובין היכרות
ו
המעמיקה עם
מוצרי המחזי
ק ופעולות העיבוד שלו .
2.2
.
,שנית כשעיבוד
הכרוך בסיכון כאמור מצוי בליבת פעילותו של
,המחזיק יש חשש לנזק
מוגבר
במקרה של זליגת שימושים למטרות ה
חורגות מההוראות שקיבל מבעל השליטה .
,מניסיוננו
ההבחנה בין פעולות עיבוד שארגון מבצע בכובעו כמחזיק לעומת אלה שהוא מבצע כבעל
שליטה נעשית מאתגרת דווקא
כשהעיבוד הנבחן מצוי בליבת
.פעילותו
,לכן
יהיה אבסורדי
לקבוע
הסדר שב
מסגרתו תפקיד הממונה מתחיל רק ברגע שהארגון מתחיל
לבצע עיבוד למטרות
שקבע
,לעצמו ובכך מחליף
""כובע ממחזיק לבעל
.שליטה
3.
התייתרות קריטריון המינוי בגין מידע שלא נמסר על ידי/מטעם/בהסכמת נושא המידע לפי
סעיף
17
(ב1
())(א4
) :
,ראשית בהינתן לשון סעיף
11
,לחוק לא ניתן לאסוף מידע
""מידי נושא
המידע
ללא
.הסכמתו
,שנית לא ברור מה פירוש מסירת מידע
""מטעם נושא
,המידע או מדוע מקרה
זה
מוחרג ככזה שכרוך
בסיכון נמוך
.יותר שלישית
,ובעיקר דרישת ההסכמה חלה כיום רק במ
קרי איסוף
ישיר שבו חל סעיף
11
לחוק
או באלה שבאים בגדר חלופות הפגיעה בפרטיות לפי סעיף 2
לחוק .
היות
1
https://ec.europa.eu/newsroom/article29/items/612048/en
2
שבעתיד הקרוב (במסגרת תיקון
15
)לחוק צפויים לה י
קבע בחוק בסיסים
חוקיים נוספים לעיבוד מידע
מלבד
,״הסכמה״
אין
כל
הצדקה לביצור
מעמדה של ההסכמה (במפורש
או מכללא עם מסירת
)המידע
כבסיס-על שבה
י
עדרו יידרש הארגון למנות ממונה, אף אם קיים לו בסיס חוקי אחר לעיבוד .
,לטעמנו
נכון ועדיף לשקול את מקור המידע ו
מידת מודעותו של נושא המידע לאיסופו ב
מכלול
השיקולים
שהצענו בסעיף 1
,לעיל תוך התמקדות ב
סיכון המוגבר לפרטיותם של נושאי המידע, יהא
הבסיס
החוקי לעיבודו אשר
.יהא
4
.
יש להימנע מדרישות הסמכה מנדטוריות שיצרו חסם כניסה למקצוע שעודנו
:בהתהוות
,לטעמנו הנוסח המוצע בסעיף
17ב3
מעניק
משקל יתר לדרישות
פורמליות של
,השכלה
,הכשרה
בחינות והשתלמויות שבהן הממונה יידרש
.לעמוד השאיפה לאסדרה רגולטורית של תפקיד הממונה
היא מובנת
,ומבורכת אך יש להיזהר מפגיעה בחופש העיסוק של העוסקים בתחום
–
הן כיום
והן
.בעתיד
,זאת שעה שהצורך התמידי של הממונה להוסיף ולהת
מקצע ניזון ממילא מתמריצים
חזקים
שמאפיינים
שוק תחרותי
,זה שפועל בסביבה משפטית וטכנולוגית דינמית
.לעילא
,למעשה אסדרת
יתר של תנאי הכשירות עלולה לגרום יותר נזק מתועלת, הן משום שהכשרות פורמליות בידי מוסדות
אקדמיים שאושרו בידי הרשות להגנת הפרטיות
,עלולות
,מטבען
להחמיץ
את ההיבטים
הפרקטיים
של תפקיד הממונה
–
שלא ניתן להפריז
;בחשיבותם והן מאחר שבמישור
,המשפטי גם לאחר
תיקון
14
החוק נעדר היבטים מהותיים
,(תסקיר בסיסים חוקיים
,לעיבוד
עקרונות עיבוד כגון
הגבלת
המטרה
)ועוד
שבלעדיהם
-
לא
ניתן ליצוק
תוכן מלא ל תפקיד
,הממונה וממילא גם
לא להסמכות
מנדטוריות מהסוג המוצע.
,בברכה
איה מרקביץ', עו"ד
'ענר רבינוביץ
מנהלת פרטיות
בכירה מנכ״ל
PrivacyTeam Ltd.
)(צוות פרטיות בע"מ
3