חומר רקע

PDF 5,817 תווים המסמך המקורי ↗
תðהמועצה להג הפרטיות יום שישי21 יðיו2024 ,לכבוד יו"ר ועדת חוקה חוק ומשפט– סתðחבר הכ שמחה רוטמן חברי ועדת חוקה חוק ומשפט סת ישראלðכ ירושלים יðבאמצעות דואר אלקטרו ,וðכבדיð :דוןðה תיקון14 לח ת הפרטיותðוק הג – ת פרטיותðה הגðוי ממוðמי– כספי ועיצום ויðאים למיðת ת הפרטיות מתכבדת להגיש לוðהמועצה הציבורית להג ו כבדה את עמדתה ביחסðעדה ה דון כדלקמðושא שבðל :ן ת הפרטיות במסגרת תיקוןðה הגðוי ממוðהמועצה הביעה את דעתה באופן עקבי בדבר החשיבות של שילוב הוראות בדבר מי 14 ת הפרטיות, במקום להמתין לתיקוןðלחוק הג15 ותם למהלך חשובðכוð לחוק, ומברכת את הוועדה ומשרד המשפטים על .זה יðממו תðהג פרטיות הם שומרי הסף של הפרטיו ת שביכולתם אלה והם האמיתיים ויð. הם מחוללי השי לשפר יםðלגרום לארגו .ים הכרוכים בכךðוהגי השימוש שלהם במידע אישי ולהפחית את הסיכוð את מה שלðתפקידם המרכזי הוא להביא להפ .הפרטיות תðי הגðות ושיקולי פרטיות בתהליכי העבודה בארגון, ולסייע לארגון במימוש אחריותו וחובותיו לפי דיðעקרו שילוב ויðחובת המי ת הפרטיותðה הגðשל ממו בחוק הישראלי בעשרות האישי המידע תðית בתחום הגðמיישרת קו עם חקיקה מודר .בעולם ותðמדי וסח המוצעðת פרטיות, בהתייחס לðה הגðוי ממוðאים למיðוגעים לתðושאים הð המועצה מפרטת להלן את עמדתה בשלושה 'לקראת דיון מס17 בתיקון14 ת הפרטיות, הקבוע ליוםðלחוק הג23.6.2024 . 1 . בעמדת תומכת המועצה משרד המשפטים ויð, לפיה יש להטיל עיצום כספי על אי מי ת פרטיותðה הגðממו שיאומץ ומציעה המודל הדו - ותחת כלל כזה במקרה כספי עיצום להטיל שלא הוועדה ר"יו שהצעת סבורה המועצה .העיצום להטלת שלבי ה, עלולהðה ממוðזאת לאפשר הפחתה בעיצום הכספי אם המפר מי יים, באופן שיðלהפוך את החובה לחסרת שי גרום לכך ים לאייש את התפקיד על אף שהחוקðשלא יהיה תמריץ מספק לארגו מחייב אותם לעשות זאת - זאת בדומה לרמת הציות הבלתי מספקת שחלה כיום בישראל וגעðב ל יתר ה ת הפרטיותðחובות בתחום הג , בהיעדר סמכויות אכיפה .לצידן וי מהðאי המיðוי עם ייבוא תðאי הטלת עיצום כספי יחד עם מרכיב העמימות שבחובת המי– GDPR י ביא לתוצאה .ויðהמחלישה את האפקטיביות שבחובת המי 2 . עיקרי עיסוק להיות צריך הפרטיות תðה הגðוי ממוðאי למיðהת הכולל עיבוד מידע ולא שעיבוד המידע הוא העיסוק העיקרי הðשל הגוף הממ. ב סעיף17ב1)3 ( במסגרת 'מס לדיון הðמסמך ההכ17 בתיקון14 ת הפרטיותðלחוק הג ההדגשה) כך כתבð :(וðשל "בעל שליטה או מחזיק במאגר מידע שעיסוקו העיקרי כולל/הוא פעולות עיבוד מידע אשר שים, ובכלל זה מעקב אוðיטור שוטף ושיטתי של אð וכח טיבן, היקפן או מטרתן מחייבותð ה מידה משמעותיðהגותו, מיקומו או פעולותיו של אדם, בקðהתחקות שיטתית אחר הת. " המועצה סבורה שה וסחð כוðה ן הזה במקרה הוא ."כולל"יסוח בðוסח זה אף הולם את הð - GDPR , ב– Article 37 (1)(b) "לðוסח הסעיף המוצע הð ו שאובðממ (וð)ההדגשה של : "the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale;" הפרטיות להגנת הציבורית המועצה 2 אין מדובר בכך שהעיסוק העיקרי הוא יטור שיטתי, אלא שעיבוד המידעð עיבוד המידע בדרך של באופן הזה הוא חלק פרדð בלתי חייתðמהעיסוק העיקרי. להמחשה, ראו את ה ה– European Data Protection Board ושא זהðב מ– 5.4.2017 כך מצויין שם , 1 : ‘Core activities’ can be considered as the key operations to achieve the controller’s or processor’s objectives. These also include all activities where the processing of data forms as inextricable part of the controller’s or processor’s activity. For example, processing health data, such as patient’s health records, should be considered as one of any hospital’s core activities and hospitals must therefore designate DPOs. "ל, עיסוקו העיקרי של בית חולים הוא לטפל בחוליםðכך, לפי הדוגמה ה ו עיבוד מידע בדרך שלðð, עיסוקו העיקרי אי יטור שיטתיð ותðפרד מעיסוקו העיקרי, ולכן על בית החולים למð יטור של החולים הוא חלק בלתיð . DPO . 3 . וגעת לגופים ציבוריים וסוחרי מידעðוי הðהמועצה מסתייגת מהוספת "מחזיק" לחובת המי יםðוסח של סעיפים קטð. ל 17ב1 )1 ( )גוף ציבורי( ו- )2 'י הוועדה לקראת דיון מסðח בפð( )סוחרי מידע( המו17 בתיקון14 ,ת הפרטיותðלחוק הג המתקיים ב– 23.6.2024 .הוסף גם "מחזיק". המועצה מסתייגת מההוספה הזו יציפלית )ולדוגמה בחיי המעשהðהמשמעות של ההוספה הזו היא שכל ספק של רשות ממשלתית או מו– אי סףðהצבת ת י שירותי דיוור ישירðותð ת פרטיות(, וכל ספק שלðה הגðות ממוðבכל מכרז לאספקת שירותים, שיחייב את הספק למ ת פרטיות. חלק מðה הגðוי ממוðוסוחרי מידע אחרים יחויבו במי מידע עיבוד בהם שמשולב שירותים יספקו הללו הספקים ו יוצר סיכון גבוה. לדעת המועצה, זו דרישה מופרזת העלולה ליצור הכבדת יתר. אף אין לה מקבילה בððאישי שאי– GDPR ) Article 37(1)(a . אים של ס"קðה על מחזיקים, בהתאם לתðוי הממוðלדעת המועצה, יש להותיר את הטלת חובת מי17ב1)3 ( ו– )4 ,( אים לפי הðהתואמים את הת– GDPR ,ו, בתמציתð, דהיי יטור שיטתי ושוטףðהחובה תחול על מחזיקים העוסקים ב ה מידה משמעותיðה מידה משמעותי, או מעבדים מידע אישי בעל רגישות מיוחדת בקðבק. חובה זו תחול על כלל .ים שירותים לגופים ציבוריים, לסוחרי מידע או לגופים אחרים בשוק הפרטיðותð המחזיקים, בין אם הם המועצה לעמוד ממשיכה לרשות כבדהðהוועדה ה לייעוץ וכן לעיל המפורט ושאðב וגע לקידום והשלמתðיין הðבקשר לכל דבר וע תðהכ תיקון14 ל ת הפרטיותðחוק הג יה ושלישיתðלקריאה ש . ,בכבוד רב :המועצה וחברי חברות עו"ד המועצה ר"יו ,פודמסקי אורית עðפרופ' ג'יהאד אל סא דן אור- חוף, עו"ד ד"עו ,גבע ועהð ד"ר מתן גוטמן, עו"ד אסף הראל, עו"ד ג' אלי כהןðאי- ד"עו ,קגן ד"עו ,צוקðר פיðאב :העתקים עמהð עו"ד חמי, היעוץ המשפטי לוועדת חוקה חוק ומשפטðמ הפרטיות תðעו"ד גלעד סממה, ראש הרשות להג ,עו"ד ראובן אידלמן ת הפרטיותðהיועץ המשפטי לרשות להג ר לוגסי, משרד המשפטיםðעו"ד לירון מאוט 1 Guidelines on Data Protection Officers (‘DPOs’), of Article 29 Working Party (endorsed by the European Data Protection Board during its first plenary meeting), on page 20. The guidelines are available at: https://ec.europa.eu/newsroom/just/document.cfm?doc_id=44100