חומר רקע

PDF 15,826 תווים המסמך המקורי ↗
DPI GROUP – DATA PROTECTION INSTITUTE LTD המרכז הישראלי לחקר המידע חטיבת המחקר 20 יוני2024 לכבוד ח"כ שימחה רוטמן יו"ר ועדת חוקה חוק ומשפט כנסת ישראל מכובדי , :הנדון עמדת המרכז לחקר המידע והערותיו בנושא 'תיקון מס14 ל הצעת חוק הגנת הפרטיות, התשפ"ב- 2022 (להלן "תיקון14 )" המרכז הישראלי לחקר המידע באמצעות חטיבת המחקר שלו " (להלן המרכז לחקר המידע ,)" שהינו חלק מחברת די.פי.איי גרופ- דאטה פרוטקשן אינסטיטיוט בע"מ , מתכבד להעביר את התייחסותו ו הערותיו ביחס למספר נקודות מתוך תיקון14 , וזאת לקראת השלמת החקיקה של .הצעת החוק :מבוא ,כידוע הצעת תיקון14 אשר במקור פורס מה ברשומות בחודש ינואר2022 , נועדה להתאים את חוק הגנת הפרטיות, התשמ"א- 1981 " (להלן החוק" " או חוק הגנת הפרטיות ") למציאות ולאתגרים הקיימים בהגנה על מידע אישי בכלל וב מאגרי מידע ,בפרט ומתמקדת בשלושה נושאים ( עיקריים א( ;) פיקוח ואכיפה ב( ;) צמצום היקף חובת רישום מאגרי מידע ג ) עדכון ההגדרות שבחוק. התיקון מבקש גם להגביר את הציות לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז- 2017 " (להלן תקנות אבטחת המידע .)" המרכז לחקר המידע מבקש להדגיש בפני הוועדה הנכבדה שני נושאים מרכזיים מתוך הצעת תיקון14 ,עליה ם נדרש לתת את הדעת טרם יוסדרו במהלך החקיקה : )(א תיקון בנושא חובת מינוי ממונה על אבטחת מידע והצעת( "הסדר המחייב מינוי של "ממונה על הגנת הפרטיותDPO ) בארגונים שונים ; )(ב הצעת תיקון סעיף11 ,לחוק בנושא הרחבת חוב ו ת מבקש מידע. 2 א. חובת מינוי "ממונה אבטחת מידע" ו- ( ""ממונה על הגנת הפרטיותDPO ) 1. במסגרת תיקון14 , מוצע להטמיע הסדר שיחייב מינוי של ממונה על הגנת הפרטיות ( DPO) בארגונים שיענו ה על קריטריונים המפורטים בסעיף17ב1 (א) לתיקון14 . חובה זו תקשיח את עמדת הרשות להגנת הפרטיות בנושא1 (להלן""הרשות ו- "גילוי דעת הרשות") ., בכך שבמקום שמינוי זה יהיה וולנטרי, המינוי יעוגן בחקיקה כמינוי חובה 2. ככלל, מינוי ממונה על הגנת הפרטיות נהוג במקומות שונים בעולם. באירופה, מינוי זה מעוגן כחובה ב מסגרת תקנות ( הגנת המידע של האיחוד האירופאי להלן ה- " GDPR " או "התקנות האירופיות)" . על כן, אנחנו רואים בחובת מינוי ממונה להגנת הפרטיות כ יוזמה מבורכת המקד מת .את מדינת ישראל צעד נוסף לרף האירופאי 3. ההצעה למינוי ממונה להגנת פרטיות, נכון לשלב זה של הדיונים, אינה מבקשת להחליף את החובה הקבועה כיום למינוי ממונה על אבטחת מידע במאגר, בהתאם ל סעיף17 )ב(א .לחוק, אלא להתווסף לה תוך ריכוך הדרישה הקבועה כיום וכפי שנתייחס להלן 4. בדיון האחרון בוועדה לא גובש הנוסח ביחס לגופים שיהיו חייבים למנות ממונה אבטח ת מידע , על-פי חוק הגנת הפרטיות , אלא נאמר כי נוסח זה יהיה מבוסס על הנוסח הקיים בתקנות הגנת המידע הארופיות בנוגע לחובת מינוי קצין הגנת פרטיות (כהגדרתו ב- GDPR ) כלהלן2 : כל אחד מהגופים הבאים יהיה מחויב למנות ממונה הגנה על הפרטיות, כאשר החובה תחול ה ן :על מי ששולט במידע והן על המחזיק בו 1. ;רשות או גוף ציבורי 2. גוף המבצע עיבוד מידע המחייב בקנה מידה רחב ניטור קבוע ושיטתי של מושאי .מידע 3. .גוף המעבד מידע רגיש בהיקף רחב המרכז לחקר המידע סבור כי הנוסח הנ"ל, המבוסס כאמור על תקנות ה- GDPR , אינו .מספק לצורכי החוק הישראלי ואינו מותאם לו. על כן הצעתנו לתיקונו כמפורט להלן א1 . חובת מינוי ממונה אבטחת מידע 5. נכון להיום, חוק הגנת הפרטיות קובע חובה למנות ממונה על אבטחת מידע בארגון :אם (1 )הארגון מחזיק בחמישה מאגרי מידע ( ;לפחות2 ) אם הגוף הוא ציבורי, בנק, חברת ביטוח, או חברה העוסקת בדירוג או בהערכה של אשראי. 6. ,כמו כן הוראות תקנה3 לתקנות אבטחת המידע מתייחסות למעמדו של ממונה אבטחת המידע בארגון, לדרישות החלות העליו וביחס אליו וכן לתפקידיו אשר כוללים: עריכת נוהל אבטחת מידע והבאתו לאישור בעל המאגר; עריכת תכנית בקרה שוטפת לעמידה ;בדרישות התקנות, ביצועה של התכנית והודעה לבעל המאגר על ממצאי יישומה משימות נוספות שהוגדרו על- .ידי בעל המאגר לצורך ביצוע התקנות 1 גילוי דעת הרשות להגנת הפרטיות מיום24.1.2022 בנושא: מינוי ממונה על הגנת הפרטיות בארגון ותפקידיו. 2 על בסיס הנדרש בסעיף37 ל- GDPR . 3 7. כעולה מדרישות התפקיד כמפורט לעיל , ניתן בבירור להסיק כי עיקר תפקידו של הממונה על אבטחת המידע כיום .מתייחס לרובד הטכנולוגי העוסק בשמירה על המידע של הארגון 8. הצעת התיקון ביחס לחובת מינוי ממונה על אבטחת מידע מתמקדת בתיקון דרישת סעיף 17 ()ב(א1 ) לחוק3 ,אשר תדרוש, על- ,פי התיקון המוצע כי : " הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה :ממונה על אבטחת מידע (1 ) מחזיק בעשרים מאגרי מידע או יותר או בחמישה מאגרי מידע או יותר של בעלי שליטה שונים; " לטעמנו, החלת חובה זו המתייחסת באופן בלעדי לכמות מאגרי המידע המצויים בחזקת הארגון, ולבעלי השליטה בהם, מבלי לתת התייחסות ראויה לאופי המידע המעובד והנשמר במסגרת מאגרי המידע כאמור, חוטאת לתכליתו של התיקון ואינה מתכתבת עם .מקורו של התיקון אשר נובע מתקנות המידע האירופאיות 9. הצעת התיקון לסעיף17 ()ב(א1), מבקשת ל הקל ביחס למצב הנוכחי העוסק בחובת המינוי של ממונה אבטחת מידע בארגון, וזאת לנוכח הדרישה החדשה למנות ממונה על הגנת .הפרטיות בארגון, יחד עם מגמת צמצום החובות הרגולטוריות החלות על מאגרי מידע 10 . ,אולם כעולה מתקנות ה מידע האירופאיות בסעיף37 , ובהמשך לכך במסגרת גילוי דעת הרשות, תפקיד ממונה הגנת הפרטיות הינו בעצם לבצע שורה של משימות וביניהן להיות הכתובת הפנימית בארגון לשם הבטחת עמידת הארגון בדי ני הגנת הפרטיות ו השמירה על הפרטיות בפעולותיו בנוגע למידע שבשליטתו או בהחזקתו. כך, ש תפקיד הממונה על הגנת הפרטיות לא נועד להחליף את תפקיד הממונה על אבטחת המידע, כי אם להוות גורם נוסף אשר בין היתר גם מפקח עליו . החובה הקיימת כיום אשר מטילה על ארגונים מסוימים את חובת מינוי הממונה על אבטחת מידע בארגון, ובהמשך את חובת ה מינוי של ממונה הגנת הפרטיות, שאובה מתוך עקרונות ה- GDPR אשר מחילים את החובה על בעלי שליטה במאגר אשר ליבת פעילותם מורכבת מ עיבוד מידע רגיש במיוחד או ניטור שיטתי ו מת משך של נושאי מידע, בהיקף רחב . כפי שניתן לראות, המוטיב הכמותי המתייחס לכמות מאגרי המידע / כמות נושאי המידע, היא רק מוטיב אחד מתוך המקור .לחובת המינוי 11 . מהאמור עולה כי אמנם המוטיב הכמותי אשר הוביל את החובה למינוי ממונה על אבטחת מידע עד היום, הוא אמנם מוטיב חשוב ומשמעותי, אך הוא אינו המוטיב היחיד אשר יש לקחתו בחשבון, וכי נדרשת במסגרת הסעיף התייחסות גם להיבטים .המתייחסים לאופי המידע המצוי במאגרים וכן לאופן השימוש במידע זה 12 . הצעתנו בהקשר זה היא לתקן את סעיף17 ()ב(א1 :) באופן הבא 3 התיקון המוצע מתמקד כאמור רק בס"ק17 ()ב(א1 ( ) לחוק, ללא קריאה לשינוי ס"ק2) ו- (3 ) העוקבים אשר יוותרו , ,לפי הצעת התיקון ( ללא שינוי קרי– תמשיך לחול חובת מינוי מ מונה אבטחה גם ,בידי גוף ציבורי, בנק, חברת ביטוח ו.)חברה עעוסקת בדירוג או הערכת אשראי 4 " הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה ממונה על :אבטחת מידע (1 ) מחזיק בעשרים מאגרי מידע או יותר בהם מבוצע עיבוד מידע רגיש בהיקף נרחב או מחזיק ב עשרה מאגרי מידע או יותר של בעלי שליטה שונים מלבד המאגרים שהוא בעל ,השליטה בהם בהם מבוצע עיבוד מידע רגיש בהיקף נרחב" ; א2 . חובת מינוי ממונה על ת הגנ הפרטיות 13 . בהמשך לאמור לעיל, עמדתנו היא כי יש מקום לתקן את נוסח סעיף17 ב3 המתייחס לכישוריו הנדרשים של הממונה על הגנת הפרטיות בארגון כפי שיפורט להלן . 14 . הצעת נוסח סעיף17 ב3 ,העוסק בכישורי הממונה על הגנת הפרטיות דורש כי על הממונה לע הגנת הפרטיות להיות בעל הידע והכישורים המתאימים לביצוע התפקיד , ובכלל זה תוך התמצאות בהיבטים הרגולטוריים של התפקיד, וכן ב היבטים ה טכנ ולוג יי,ם תוך הבנת הכללים הקשורים לנושא תהליכים תפעוליים ו טכנו לוגיים ו אבטחת מידע. ,למעשה שני הנושאים משלימים אחד את ה אחר ולשניהם מורכבות רבה בתחומם ועל פי רוב צפוי כי יחזיקו בכל אחד מהם אנשים בעלי רקע , הכשרה ו השכלה רלבנטיים שונ ים. ואמנם לא ראוי להקים חסם אשר ימנע את ( איוש המשרה של הממונה על הפרטיות בחברהDPO ) גם בידי ,אדם אשר מומחיותו מהתחום הטכנולוגי ו אשר תפקידו ילווה באמצעות ייעוץ משפטי מקצועי או ייעוץ מתאים אחר,, משלים לצורך קיום יתר ה דרישות המתייחסות להיבטי הציות המתבקשים עבור התפקיד. 15 . לדידנו, מטרתו של תיקון14 המוצע, בדגש על החובה למינוי ממונה על הפרטיות ,בארגונים מסוימים הינה מבורכת, וכניסתו לתוקף בוודאי תקדם שינוי חיובי בתחום ההגנה על הפרטיות בארגונים בישראל על כל רבדיו. עם זאת, ה שינויים אשר הוצעו על- ידנו לעיל יביאו לאיוש משמעותי ופרקטי יותר של משרות הממונה ו ל ייעו ל תפקיד הממונה על הגנת .הפרטיות כחלק מהארגון ב. הצעת תיקון סעיף11 לחוק, בנושא הרחבת חובות מבקש מידע 16 . חוק הגנת הפרטיות מסדיר ב מסגרת סעיף11 לחוק את חובותיו של מבקש מידע וקובע כי בפנייתו אל מושא המידע לשם קבלת מידע, עליו לציין בפני מושא המידע ש לושה נושאים: (1 ) אם חלה על אותו אדם חובה חוקית למסור את המידע או שהמסירה תלויה ברצונו והסכמתו; (2) המטרה לשמה מבוקש המידע ; (3) פירוט למי יימסר המידע .ומטרות המסירה 17 . ,כחלק מדיוני הוועדה בהצעת החוק נדונה השאלה האם די בהוראות סעיף11 המחייב פונה לקבלת מידע אישי - למסור למי שאליו פנה, כאמור, מידע כמפורט בסעיף ,. בתוך כך הצעות התיקון שהועלו ,, ועכשיו נידונות כחלק מהנוסח המעודכן של הצעת החוק :מבקשות לחייב את מבקש המידע להוסיף את הפרטים הבאים לבקשת המידע (4 ) מהי תוצאת אי ההסכמה למסור את המידע מטעמו; (5) שמו של בעל השליטה במאגר (בעל 5 המאגר) ודרכי ההתקשרות עמו; (6) קיומן של זכויות מושא המידע לעיון במידע אודותיו '(לפי ס13 'לחוק) או תיקון המידע (לפי ס לחוק14 .) נוסף על כך, ההצעות לתיקון סעיף11 מתייחסות גם למצב בו המידע לא נאסף ישירות ממושא המידע, ובמצב כזה יידרש מבעל השליטה במאגר, על- פי המוצע, לשלוח למושא המידע, בתוך30 ימים, הודעה על איסוף המידע שהצטבר אודותיו בה יפורטו כלל הפרטים הנדרשים המפורטים לעיל. אולם הסעי ף המתייחס למתואר הושמט מה נוסח ה עדכני של התיקונים לחוק כפי שהוגש לחברי הועדה, ערב ישיבת הועדה האחרונה שהתקיימה בתאריך04.06.2024 . 18 . כבר בשלב זה יודגש כי תיקונו של סעיף11 לחוק כלל לא נזכר בנוסח הצעת תיקון14 שאושרה זה מכבר ,בקריאה הראשונה שהעבירה הכנסת וכי מקורה של בקשת תיקון זו נובע מטיוטת תזכיר חוק לתיקון מספר15 בחוק אשר טרם פורסמה להערות הציבור כנדרש " (להלן תיקון15 לחוק)" . 19 . "ייבוא" תיקו נו של סעיף11 כחלק מ תיקון מס' 14 לחוק, באופן אשר יועד במקור רק עבור תיקון15 ,)(אשר טרם עבר אף קריאה ראשונה פוגע בראש ובראשונה בחברות המשק אשר נתפסו כשאינן מוכנות עבור שינוי כה משמעותי וללא פרק הזמן הראוי כדי להיערך לשינוי כה מהותי ו רוחבי , קל וחומר משלא עבר את המשוכות החקיקתיות והפרוצדוראליות הדרושות בדין ובניהול תקין . נוסף על כן, ייבואו של התיקון מעלה גם כן חשש אשר בא לידי ביטוי ב שני היבטים מרכזיים כמובהר להלן . 20 . בפן הפרוצודראלי- כאמור תיקונו המוצע של סעיף11 לחוק כלל לא נזכר בנוסח הצעת 'התיקון לחוק (תיקון מס14 ) שאושרה בקריאה הראשונה שהעבירה הכנסת, ותיקונו עתה מהווה הפרה של תקנון הכנסת לפי- כך, שכן לא עבר קריאה ראשונה, בניגוד להוראות סעיף85 .(א) לתקנון הכנסת 21 . יוער כי דברי ההסבר לתיקון14 מגלים כי מטרתו "להתאים את החוק לאתגרים ."העכשוויים בהגנה על מידע אישי במאגרי מידע בכמה מישורים, השלובים אלה באלה ,כלומר תיקון זה עוסק באבטחת המידע ושיפור יכולות הפיקוח והאכיפה של הרשות להגנת הפרטיות . מנגד, המקור ממנו נגזר הצורך בתיקון סעיף11 ,לחוק מתוך תיקון מספר15 לחוק הגנת הפרטיות ,אף כפי שניתן להעריך מאיזכורו בוועדה הנכבדה– נועד לחז ק את הזכות לפרטיות במידע ולהתאים אותו לתקנות הגנת המידע הארופאיות ( GDPR .) לפיכך, העברת התיקון של סעיף11 לחוק במסגרת תיקון14 , מהווה חריגה ברורה הנושא הצעת החוק דנן (תיקון14 ,) ושילוב תיקון11 דרך "הדלת האחורית", ולא באופן בו ראוי לעבור תיקון זה , בפרט כזה בעל השלכות משמעותיות על גופים רבים במשק , אינו נכון ואינו ראוי . 22 . ,נוסף על כך כיוון שתיקון14 בנוסח שעבר את הקריאה הראשונה בכנסת לא כ ל ל כל אזכור ביחס לתיקון המבוקש עתה בסעיף11 לחוק, אזי שהתיקון גם לא עבר את הערות הציבור בהליך המקובל, ובתוך כך לא פורסם ת זכ יר .מתאים להערות הציבור ,יתרה מכך לא נערך אף הליך שימוע לא פורמאלי בקשר אליו, כפי שנערך ביחס לתיקון העוסק 6 ב חובת מינוי ממונה על פרטיו ת .בארגון יוצא אם כן, שהשתלת תיקון סעיף11 לחוק במסגרת תיקון14 , לא רק שמהווה חריגה מגדר הנושא של הצעת החוק, אלא אף מגבילה את יכולותיו של הציבור להביע הסתייגויות והתייחסויות בנושא כה מרכזי וקריטי בו עוסק התיקון המבוקש בסעיף11 לחוק . 23 . בפן המהותי- בשנת2022 הוגשה לכנסת הצעת חוק פרטית על- ידי מי שהיה אז יו"ר ועדת חוקה, ח"כ גלעד קריב- הצעת חוק הגנת הפרטיות (תיקון– חיזוק הזכות לפרטיות וההגנה עליה), התשפ"ב- 2022. ב דברי ההסבר לתיקון שהוצע שם, עלה כי התיקון המוצע בסעיף11 לחוק מבוסס , על דו"ח ועדת שופמן (להלן""דוח שופמן) . 4 אולם, בהתייחס ,לחלקו השני של התיקון המתייחס לאיסוף מידע שלא ממושא המידע באופן ישיר מרבית חברי הצוות שערכו את דוח שופמן , סב רו כי אין להטיל חובת יידוע בגין איסוף מידע באופן עקיף (קרי, אם המידע לא נאסף ישירות ממושא המידע). נוסף על כ ך , קובע הדוח כי- ,"בנוסף מובן שזכות העיון וזכות התיקון עדין עומדות לרשות מושא המידע, גם אם המידע אודותיו נאסף מצד שלישי". כלומר, מרבית חבריי הוועדה סב רו כבר אז, כי גם במצב בו המידע נאסף באופן עקיף מבלי שמושא המידע מקבל על כך הודעה, עדיין מובן לכל כי עומדות לו זכויותיו ולא נדרש ליידעו באופן אקטיבי בנוגע להן. מכך עולה גם , שאפילו ביחס לחלקו הראשון של התיקון, המתייחס להרחבת חובות היידוע של מבקש מידע , התוספת אינה בבחינת ""צו השעה, גם לא בעיני חברי הוועדה אשר על בסיסה .הוצעה ההצעה לתיקון 24 . יודגש כי לתיקון הסעיף קיימת השפעה רבה ו משמעותי ת על רוב החברות במשק, אשר החלתו בהליך בזק תטיל עליהן נטל כבד. משמעותו של תיקון הסעיף עבור אותן חברות יבוא לידי ביטוי בין היתר בצורך ב עדכון כלל המסמכים , העמודים, מסמכי המדיניות ונוסחי ההסכמות לצירוף מושאי המידע למאגרי החברה, כך שיתאימו לדרישות החדש ;ות היערכות ברמת המשאבים לפניות מרובות בזמן קצר מלקוחות אשר יקבלו את ההודעה בנוסחה החדש ;שינוי ים ארגוניים ו מבניים הכוללים גם שינוי נוסח י חותמות ,ערבות אצל בתי עסק רבים על גבי שיקים ו/או מסמכים אחרים המנוסחת בקפידה ,ובזהירות דבר אשר י ידרוש תשומות ועלויות גבוהות. 25 . לדידנו, ,תיקון שכזה אשר כרוכ ות בו התאמות ועלויות משמעותיות , ראוי שיעבור בהליך ,חוקי תקין ומסודר אשר נותן ביטוי לשיקולים כבדי משקל רבים ונוספים אשר לא קיבלו כלל ביטוי ראוי במסגרת הדיונים בוועדות עד עתה ו אף לא עברו כלל את ההליך הפרוצדוראלי הנדרש על- פי דין . 26 . לחילופין, ככל ש תיקון סעיף11 יקודם בוועדה הנכבדה למרות הכשלים המהותיים והפרוצדוראליים המנויים לעיל, לכל הפחות יש לתת את הדעת לכך שעליו לחול רק על מאגרי מידע חדשים אשר יוקמו לאחר מועד כניסת החוק לתוקף. זאת כדי למנוע מצב בו במאגר מידע אחד יהיה מידע אשר ההסכמות שהתקבלו לגביו (ההודעה הרי מבטאת 4 הצוות לבחינת החקיקה בתחום מאגרי המידע, משרד המשפטים, דין וחשבון, ינואר2007 . 7 לבסוף הסכמה) יהיו שונות. מצב אשר יקפח את מושאי המידע שהמידע אודותם נאסף .בעבר וביחס לאותו מאגר מידע 27 . עוד לחלופין, אם תיקון סעיף11 יקודם למרות האמור לעיל, מבוקש לאפשר ל חברות אשר מפעילות ממשקי שירות( דיגיטליים'כגון אפליקציות, אתרי אינטרנט וכו) לעדכן את מושאי המידע שלה ן על התוספות הנדרשות על- ,פי הסעיף המורחב באמצעות מנגנון יידוע מכללא ( בממשק הדיגיטלי קרי, ללא הכרח בקבלת הסכמה מפורשת קונקרטית ,) באופן אשר יקל ביישום דרישה מהותית זו על- אף הקשיים המובנים בה כפי שתואר .בהרחבה לעיל ג. אחרית דבר 28 . אין ספ ק כי תיקון14 לחוק הגנת הפרטיות מבורך, ויפה הייתה שעה אחת קודם להעברתו בכנסת ומכאן שהוועדה עושה בימים אלו עבודה חשובה ונכבדה. ההערות המפורטות לעיל נועדו אך לשפר את נוסחו של החוק המוצ ע . 29 . נשמח ליטול חלק בדיון ולהשמיע הערותינו אף בעל- .פה ,בכבוד רב ובברכה ד"ר דן חי, עו"ד יו"ר וראש החטיבה המחקרית DPI GROUP :העתקים 1. .חברי הוועדה 2. .מחלקת יעוץ וחקיקה, משרד המשפטים 3. הרשות להגנת הפרטיות