חומר רקע

PDF 27,420 תווים המסמך המקורי ↗
1 כ"א ב סיון התשפ"ד 27 ביוני 2024 אל : חברי ועדת החוקה, חוק ומשפט מאת: הייעוץ המשפטי לוועדה מסמך הכנה מטעם הייעוץ המשפטי לוועדה– 'לדיון מס18 'בהצעת חוק הגנת הפרטיות (תיקון מס 14), התשפ"ג– 2023 (חלק שני) : 'פרק ד3 ( : אמצעי אכיפה מינהליים :'סימן א עיצו ם כספי); תקנות ההפחתה ; עיצומים כספיים בגין הפרת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג- 2023 . פרק ד'3 :אמצעי אכיפה מינהליים : סימן א': עיצום כספי (המשך מ 'דיון מס12 ) השוואה לעיצום כספי באיחוד האירופי 'באיחוד האירופאי נציבויות הפרטיות רשאיות (ס58(2)(i) ל- GDPR ,) להטיל קנס מינהלי בנוסף, או במקום אמצעים אחרים שהיא מוסמכת להטיל לפי סעיף58 (סעיף58(2) ( סעיפים קטנים (a - (h ( ) וj ): למשל צו הפסקת הפרה, הוראות לתקן את עיבוד המידע על מנת לציית ל - GDPR , צו זמני או מוחלט המגביל את עיבוד המידע או אוסר אות .ו לחלוטין), בהתאם לנסיבותיו של כל מקרה התנאים לבחירה בהטלת קנס מבין שאר סמכויות הענישה שבידי הרשות האחראית ולקביעת סכום הקנס המינהלי מנוי ים ב סעיף83 ל- GDPR . הבחינה נעשית ב כל מקרה לגופו , כאשר תחילה על הרשות להכריע האם הקנס הוא האמצעי הראוי, ואם כן- עליה לבחון את הסכום הנכון. המסקנות בכל קריטריון ביחס לשאלת עצם הבחירה בקנס יכולות לשמש גם לקביעת סכום הקנס (ראו גם הקווים המנחים משנת2017 שלWP29 ( להלן– ה קווים)המנחים , 'בעמ6-7 ) : - העיקרון הראשון '(ס83(1) ) הוא שעל הקנסות להיות יעילים ,מידתיים ומרתיעים בהתאם לנסיבותיו של כל .מקרה - בנוסף ,סעיף 83 (2 ) מציג רשימת קריטריונים סטטוטוריים שעל הרשות המדינתית לשקול בבואה לקבוע את סכום הקנס המינהלי :בכל מקרה (1) אופי ,חומרה ומשך ההפרה ,תוך התחשבות באופי או במטרה של העיבוד הנוגע בדבר וגם במספר נושאי ה מידע שנפגעו ורמת הנזק שנגרם להם: לפי ה קווים המנחים ,בעמ ' 9-11 ,יש לשקול את מספר נושאי המידע בשילוב עם בחינת ההשפעה עליהם ,. כמו כן יש להביא בחשבון את מספר נושאי המידע כדי לזהות האם מדובר באירוע חד פעמי או סימפטום להפרה מערכתית או היעדר שגרה הולמת . במסגרת המטרה יש .לבחון את הספציפיות של המטרה והתאמת השימוש להגשמת המטרה על הרשות האחראית להביא בחשבון גם את הנזק ,אם נגרם ,לנושאי המידע . משך ההפרה מהווה שיקול חשוב שכן יש בו כדי להעיד על התנהגות מכוונת מצד בעל השליטה במידע, אי נקיטת אמצעים מניעתיים או חוסר יכולת להטמיע .אמצעים טכניים או ארגוניים מתאימים 2 (2) אופייה המכוון או הרשלני של ההפרה: לפי הקווים המנ חים, בעמ ' 11 , ה כוונה כוללת גם מודעות וגם רצון ביחס ליסודות העבירה .הפרה הנעשית בכוונה מתוך זלזול בהוראות החוק נחשבת חמורה יותר מרשלנות . על הרשות האחראית לבחון את עובדות ההפרה על מנת להגיע למסקנה האם נעשתה מתוך כוונה או .רשלנות. על מחזיק ובעל שליטה האחריות לאמץ מתווה ואמצעים המתאימים לאופי ולמורכבות עסקיהם .משום כך, טענות בדבר היעדר משאבים לא יתקבלו כהצדקה למעשה או מחדל שהוביל להפרה (3) כל פ עולה שנקט בעל השליטה או המעבד למיזעור הנזק שנגרם לנושאי המידע: לפי ה קווים המנחים , בעמ ' 12, כאשר מכלול השיקולים האחרים מצביעים על שוויון בשיקולים האם להטיל או לא להט ,יל קנס לשאלת נקיטת אמצעים למזעור הנזק יש לתת משקל מכריע. כן יש מקום לגלות גמישות בסכום הקנס .כאשר ננקטו אמצעים מתאימים למזעור הנזק (4) מידת האחריות של בעל השליטה או המעבד בהתחשב באמצעים הטכניים והארגוניים שננקטו על ידם לפי ס 25 ו - 32 ל- GDPR ;)(עיצוב לפרטיות, ועיצוב לאבטחת מידע ה קווים המנחים ,בעמ ' 13 , מבהירים כי יש להתחשב גם בשאלה האם רוטינות שגרתיות או מדיניות שגרתית היו ידועות ויושמו ברמת הניהול של הארגון '(לפי ס24 ל- GDPR .) (5) כל הפרה קודמת של בעל השליטה או המחזיק: לפי ה קווים המנחים , בעמ ' 14 הבחינה היא כפולה : האם בוצעה אותה הפרה והאם בוצעה הפרה באותו האופן (למשל חוסר ידיעה מספקת של מדיניות קיימת של .)הארגון (6) מידת שיתוף הפעולה עם הרשות האחראית לשם תיקון ההפרה או מיזעור תוצאותיה הרעות: לפי ה קווים המנחים , בעמ ' 14, לרוב שיקול זה יהיה בעל משקל בעת קביעת סכום ההפרה ולא בשאלה האם יש להט יל .קנס או אמצעי ענישה אחרים אולם, כאשר בזכות שיתוף הפעולה עם הרשות האחראית מוזערה הפגיעה .בנושאי המידע יבוא שיקול זה בחשבון גם בשאלת עצם הטלת הקנס על פני אמצעי ענישה אחרים עם זאת מובהר שאין לתת משקל מיוחד כאשר מדובר בשיתוף פעולה שבעל השליטה או המעבד מחו יבים בו לפי ה- GDPR .ממילא (7) קטיגוריות המידע האישי שנפגעו עקב ההפרה: במסגרת זו על הרשות האחראית לבחון, לפי ה קווים המנחים , בעמ ' 14, האם נחשף מידע בעל רגישות מיוחדת, הא ם המידע היה מידע מזוהה באופן ישיר, האם העיבוד היה של מידע שהפצתו תגרום לנזק מידע או למצוקה לנושא המידע (אף אם אין מדובר במידע .רגיש), האם המידע היה זמין באופן מיידי וישיר ללא הגנה טכנולוגית או הצפנה (8) האופן בו נודע לרשות האחראית על ההפרה ,בייחוד האם ובאיזה היקף בעל השליטה או המעבד הודיעו על ההפרה: לפי ה קווים המנחים ,בעמ ' 15 , כאשר דבר ההפרה נודע לרשות האחראית מבעל השליטה בהתאם לחובת היידוע הקבועה ב- GDPR לא ינתן מש .קל לקריטריון זה (9) האם אמצעי אכיפה מינהליים המנויים בסעיף58 (2) ל - GDPR ננקטו בעבר נגד בעל השליטה או המחזיק בגין אותה הפרה והאם בעל השליטה או המעבד ציית לאמצעים אלו . ( 10 ) ציות לקוד התנהגות מאושר או מנגנון מאושר (לפי הוראות 40 ו- 42 ל- GDPR ) : לפי ה קווים המנחים , בעמ ' 15, כאשר מדובר בהפרה הנובעת מהפרה של הוראה בקוד התנהגות , הרשות האחראית יכולה להניח שהגוף המעניק את האישורים בהתבסס על אותו קוד התנהגות יפעל נגד ההפרה ולהביא שיקול זה בחשבון 3 .בבחינה האם קנס מינהלי הוא האמצעי היעיל, המידתי וההתרעתי המתאים בנוסף, אי ציות לקוד .התנהגות יכול להשליך על היותה של ההפרה מכוונת ( 11 ) כל שיקול אחר מחמיר או מקל החל בנסיבות העניין כגון הטבות כספיות שהו שגו ,או הפסדים שנמנעו במישרין או בעקיפין, מההפרה: לפי ה קווים המנחים ,בעמ ' 16 , במסגרת זו הרשות האחראית יכולה להביא בחשבון את ה רווח שנבע מההפרה. רווח מההפרה יכול להיות בעל משקל רב לשאלה האם להטיל .קנס או אמצעי ענישה אחרים וכן על גובה הקנס ( 12 ) כאשר המפר הם אנשים טבעיים שאינםundertaking , על הרשות האחראית לבחון תחילה האם קנס הוא האמצעי המתאים בהתאם לשיקולים שלהלן. אם קבעה שקנס הוא אכן האמצעי המתאים עליה לבחון הקנס שיוטל יטיל נטל לא מידתי על האדם. בבחינה זו עליה להביא בחשבון בקביעת סכום הקנס את רמת ההכנסה הכללית שלהם במדינה הרלוונטית כמו גם את המצב הכלכלי של האדם בבחינת הסכום המתאים של הקנס (ס' הקדמה150 ,ה קווים המנחים , 'בעמ 9 .) ( 13 ) במקרה שבעל השליטה או המעבד הפרו בכוונה מספר הוראות ב- GDPR ,במסגרת אותן פעולות עיבוד 'סכום הקנס הכולל לא יעלה על הסכום הנקוב בגין ההפרה החמורה ביותר (ס83 (3 .)) כלומר גם הפרות שסכום העיבוד המקסימלי שלהן היה רק10 מיליון יורו עשויות להיות מחויבות בקנס בסכום גובה מכך ( לפי הוראה זו ה קווים המנחים , 'בעמ 9 .) גובה הקנס בהפרות חמורות במיוחד קבוע בסעיף83 (5 ) והוא עד20 מיליון יורו או במקרה שלundertaking (מפורש ככל התארגנות למטרות רווח) עד4% מסך המחזור העולמי השנתי בשנת הכספים הקודמת, הגבוה מבין .השניים ב הפרות הנחשבות חמורות פחות 'המפורטות בס83 (4 ) הקנס הוא עד10 מיליון יורו או במקרה של undertaking , עד2% .מסך ההכנסות השנתי העולמי בשנת הכספים הקודמת, הגבוה מבין השניים פרק ד'3 :אמצעי אכיפה מינהליים סימן א :'הטלת עיצום כספי עיצום כספי 23כג . )(א בסעיף זה – "מידע רגיל " – מידע שאינו רגיש במיוחד מידע בעל רגישות מיוחדת ; "הסכום הבסיסי"/ )לעניין הפרה לפי סעיף קטן (ב – סכום כמפורט להלן , לפי העניין : (1) )(א ב מאגר מידע שיש בו רק מידע רגיל – 5,000 ;שקלים חדשים )(ב ב מאגר מידע שיש בו גם מידע רגיש במיוחד – 20,000 שקלים ;חדשים 4 הצע ת הממשל ה : (1) לעניין הפרה בקשר למאגר מידע הכולל מידע על מספר אנשים שאינו עולה על1,000 ושיש בו רק מידע רגיל– 5,000 שקלים חדשים; ואם יש בו גם מידע בעל רגישות מיוחדת– 20,000 ;שקלים חדשים (2) לעניין הפרה בקשר למאגר מידע הכולל מידע על מספר אנשים שעולה על1,000 ושיש בו רק מידע רגיל– 40,000 שקלים חדשים; ואם יש בו גם מידע בעל רגישות מיוחדת– 80,000 ;שקלים חדשים (2) לעניין הפרה לפי סעיף (ג) – ( )א עו ל סק פטור/ זעיר – ... שקלים חדשים ; עוסק פטור: מחזור העסקאות השנתי הצפוי לא עולה על הסכום הקבוע לאותה שנה, כפי שקבוע בהוראות חוק המע"מ לעניין עוסק ( פטור כ- 0,000 12 ש"ח) . העסק אינו נמנה על העיסוקים המפורטים בתקנה13 לתקנות מס ערך מוסף (רישום), הקו בעת סוגי עיסוק :המחייבים פתיחת תיק עוסק מורשה (למשל, מקצועות חופשיים )עורכי דין, רואי חשבון ואחרים. - עסק זעי ר [משרד הכל ]כלה - עסק שיש בו יש עד4 עובדים ומחזור ה מכירות של ו עד מיליון₪ . )(ב לע סק קט ן– ... שקלים חדשים; עסק קטן הוא עסק בו5 עד20 עובדים ומחזור מכירות של עד20 מיליון₪ . (ג) לע סק בינוני – ... שקלים חדשים; מ- 11 עד100 עובדים ומחזור מכירות של עד100 מיליון שח. (ד) לע סק גדול – ... שקלים חדשים; )(ה עוסק מו רשה או גו ף ציבורי– לפי אות ם קריטריו .נים (3) לעניין הפרה לפי סעיף (ד) – כפל/ פי ארבע מ הסכומים האמורים ב פסקה (2 .) )(ב הפר אדם הוראה מהוראות לפי חוק זה בקשר למאגר מידע, כמפורט להלן , לפי העניין , רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בשיעור הסכום :הבסיסי 5 (1) פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף11 , ובלבד שההפרה נעשתה ביחס למספר בני אדם שאינו עולה על1,000 . (2) ,סירב לאפשר לאדם שמידע עליו מוחזק במאגר מידע לעיין במידע שעליו בניגוד להוראות לפי סעיף13 ; (3) ,ביצע שינוי במידע שברשותו בלי שהודיע עליו לכל מי שקיבל את המידע בניגוד להוראות לפי סעיף14 ;)(ב (4) לא הודיע למבקש על סירוב לתקן מידע המצוי במאגר מידע שבבעלותו או למוחקו, בניגוד להוראות לפי סעיף14 ;)(ג (5) לא תיקן מידע המצוי במאגר מידע שבהחזקתו, בניגוד להוראות סעיף 14 ;)(ד (6) לא נענה לדרישתו של אדם בהתאם לסעיף17 ו(ב), שמידע המתייחס אליו יימחק ממאגר מידע המשמש לדיוור ישיר, בניגוד להוראות סעיף17 )ו(ד; (7) לא נענה לדרישתו של אדם בהתאם לסעיף17 ,ו(ג), כי מידע המתייחס אליו לא יימסר לאדם, לסוג בני אדם או לאנשים לבני אדם מסוימים, בניגוד להוראות סעיף17 .)ו(ד (ג) הפר אדם הוראה בקשר למאגר מידע, כמפורט להלן ,רשאי ראש הרשות להטיל עליו עיצום כספי בשיעור הסכום הבסיסי המנ וי ב פסקה ()(א2): (1) בעל שליטה במאגר מידע או מחזיק שהפר הוראה של ראש הרשות להפסיק הפרה ב של עיבוד מידע אישי שנוצר, התקבל, נצבר או נאסף, , בניגוד להוראות סעיף 8 (א1) ; (2) בעל שליטה במאגר מידע או מחזיק ש עיבד מידע אישי במאגר מידע, שלא בהתאם למט רה שנקבעה לו , ובלבד ש ניתן היה לקבוע כדין מטרה כאמור , בניגוד ל הוראות סעיף 8 )(ב; (3) בעל שליטה במאגר מידע שניהל או החזיק מאגר מידע החייב ברישום מבלי ש הוגשה בקשה לרישומו שלא בהתאם להוראות סעיף8 )(ג, או לא מסר הודעה בנוגע למאגר המידע לפי סעיף8(ג1 () 1 )או שכלל פרטים שאינם נכונים בבקשה לרישום או שלא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים בסעיף 9 ()(ב1 ( ) עד4), למעט שינוי במענ ו של בעל השליטה במאגר המידע או שינוי בפרטים שנקבעו לפי סעיף 9(ג), בניגוד להוראות סעיף9 )(ד. מאגר מידע שהוגשה לפי סעיף 9 או בהודעה לפי סעיף8 ()(ג1 ;) 6 (4) בעל שליטה במאגר מידע שלא מסר לרשות הודעה בקשר למאגר מידע החייב בהודעה לרשות , בניגוד להוראות סעיף8 (ג1 () 1 ) או ש לא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים בסעיף9 ()(ב1 ( ) עד4 ,) למעט שינוי במעניהם במענו של בעל השליטה במאגר המידע בישראל או שינוי בפרטים שנקבעו לפי סעיף9 (ג), בניגוד להוראות סעיף9 ;)(ד (5) פנה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף11, ובלבד שההפרה נעשתה ביחס ל יותר מ-מספר אנשים שעולה על 1,000 בני אדם;. (6) בעל שליטה או מחזיק שלא מינה ממונה על אבטחת מידע, בניגוד להוראות סעיף17 )ב(א; (7) בעל שליטה או מחזיק שלא מינה ממונה על הגנת הפרטיות, בניגוד להוראות סעיף17 ב1 ; (8) בעל שליטה או מחזיק שניהל או החזיק מאגר מידע המשמש לשירותי ,דיוור ישיר מבלי שהמאגר היה רשום במרשם או מבלי שאחת ממטרותיו הרשומות של מאגר המידע היא שירותי דיוור ישיר, בניגוד להוראות סעיף17 ;ד " 17ד . לא ינהל אדם ולא יחזיק מאגר מידע המשמש לשירותי דיוור ישיר, אלא אם כן הוא רשום בפנקס ואחת ממטרותיו הרשומות היא שירותי דיוור." (9) בעל שליטה במאגר מידע או מחזיק שניהל או החזיק מאגר מידע המשמש לשירותי דיוור ישיר, בלי שיש בידו רישום המציין את המקור שממנו קיבל כל אוסף נתונים המשמש לצורך מאגר המידע ומועד קבלתו וכן למי מסר כל אוסף נתונים כאמור, בניגוד להוראות סעיף17 ;ה " 17ה. לא ינהל אדם ולא יחזיק מאגר מידע המשמש לשירותי דיוור ישיר, אלא אם כן יש בידו רישום המציין את המקור שממנו קיבל כל אוסף נתונים המשמש לצורך מאגר המידע ומועד קבלתו, וכן למי מסר כל אוסף נתונים כאמור. " לדיון ?: האם יש דרך להכשיר מאגר שאבדו ביחס אליו פרטי המידע 7 ( 10 ) בעל שליטה במאגר מידע או מחזיק שפנה לאדם בדיוור ישיר שלא בהתאם להוראות סעיף17 ו(א) לחוק; " 17 ו. (א) כל פניה בדיוור ישיר תכיל באופן ברור ובולט– (1) ציון כי הפניה היא בדיוור ישיר, בצירוף ציון מספר הרישום של המאגר המשמש לשירותי דיוור ישיר בפנקס מאגרי מידע; (2) ;)הודעה על זכותו של מקבל הפניה להימחק מן המאגר כאמור בסעיף קטן (ב בצירוף המען שאליו יש לפנות לצורך כך; (3) זהותו ומענו של בעל מאגר המידע שבו מ,צוי המידע שעל פיו בוצעה הפניה והמקורות שמהם קיבל בעל המאגר מידע זה. " ( 11 ) בעל שליטה שלא פירט, על דרישת מידע, כי הוא מוסר דרך קבע מידע בהתאם לסעיף23 ג, בניגוד להוראות סעיף23 ;)ד(א ( 12 ) בעל שליטה שלא קיים רישום של המידע שמסר בהתאם לסעיף23ג, בניגוד להוראות סעיף23 ;)ד(ב ( 13 ) בעל שליטה שלא הודיע לראש הרשות כי הוא מקבל דרך קבע מידע בהתאם לסעיף23 ג והמידע נאגר במאגר מידע, בניגוד להוראות סעיף23 ;)ד(ג ( 14 ) בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר שלא מסר למפקח מסמך או עותק מחומר מחשב, בניגוד להוראות סעיף23 ()י(א2 ( ) או3) ; הצע ת הממשל ה : היה לראש הרשות יסוד סביר להניח כי אדם הפר הוראה מההוראות המנויות בסעיפים (ב) ו-(ג), בנסיבות מחמירות רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק ....זה, ששיעורו פי שניים מסכום העיצום הכספי שניתן להטיל בשל אותה הפרה לפי סעיף. "בסעיף זה "נסיבות מחמירות- :כל אחת מאלה (1) הפרת הו()ראת סעיף קטן (ב1) או הפרת הוראות סעיף קטן (ג) הנוגעת למספר אנשים העולה על10,000 ; (2) מצא ראש הרשות כי המפר הפר שלוש הוראות שונות או יותר לפי חוק זה , למעט הפרות שהתבצעו ביחס למאגר מידע שיש בו מידע על מספר אנשים שאינו עולה על1,000 . )(ד הפר אדם הוראה בקשר למאגר מידע, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי [לפי הוראות פרק זה בסכום של פי ארבע מהסכום הבסיסי המנוי ב פסקה ()(א2)]: (1) לא פעל בהתאם להורא ות ראש הרשות להפסיק עיבוד של ידיעה על ענייניו ,הפרטיים של אדם במאגר מידע בניגוד להוראות סעיף 2 [הכוונה לעיצום הדו - ש לבי על הפרת סעיף2 .] 8 (2) עיבד מידע אישי במאגר מידע למטרה שלא כדין ,אלא אם העיבוד נעשה רק בניגוד להוראות סעיף 2 , בניגוד להוראת סעיף8 .)(ב (3) בעל שליטה במאגר מידע או מחזיק במאגר שהשתמש במידע בלא הרשאה של בעל השליטה במאגר המידע, או בחריגה מהרשאה כאמור, בניגוד להוראות סעיף8 (א2 .) הצעת המ משלה [ככל שהמודל נדחה– יש לדון גם במאגרי ם גדולים של מ]זהה ביומטרי: ( )ה )הופרה אחת מההוראות המנויות בסעיף קטן (ו )או (ז אשר התבצעה בקשר למאגר מידע שיש בו מידע על מספר אנשים העולה על100,000, רשאי ראש הרשות להטיל עליו .עיצום כספי לפי הוראות פרק זה, ששיעורו פי שניים מסכום העיצום הבסיסי לעניין סעיף ()זה, אם הופרה ההוראה המנויה בסעיף קטן (ו14), מזהה ביומטרי ייחשב כמידע בעל רגי .שות מיוחדת )(ו )הופרה הוראה מההוראות שבסעיף קטן (ו )או (ז בקשר למאגר מידע שיש בו מידע על מספר אנשים העולה על500,000, רשאי ראש הרשות להטיל עליו עיצום כספי לפי .הוראות פרק זה, ששיעורו פי ארבעה מסכום העיצום הבסיסי לעניין סעיף זה, אם הופרה ()ההוראה המנויה בסעיף קטן (ו4 1 ), מזהה ביומטרי ייחשב כמידע בעל רגישות.מיוחדת )(ז )הופרה הוראה מההוראות שבסעיף קטן (ו )או (ז בקשר למאגר מידע שיש בו מידע על מספר אנשים העולה על1,000,000, רשאי ראש הרשות להטיל עליו עיצום כספי לפי .הוראות פרק זה, ששיעורו פי שמונה מסכום העיצום הבסיסי לעניין סעיף זה, אם הופרה ההוראה המנויה בס()עיף קטן (ו14 .), מזהה ביומטרי ייחשב כמידע בעל רגישות מיוחדת תוספת הפחת ת סכומי עיצומים כספיים לפי סעיף23כח – טרם נדון הפחת ה בשל התנהגות המפר 1.הממונה ,רשאי להפחית למפר את סכום העיצום הכספי בהתקיים נסיבה מהנסיבות :כמפורט בפסקאות שלהלן ובשיעור כמפורט לצדה (1) בשלוש השנים שקדמו ,להפרת ההוראה שבשלה מוטל על המפר עיצום כספי לא הוטל עליו עיצום כספי או אמצעי אכיפה מינהלית לפי פרק ....לחוק , בשל הפרת אותה הוראה– 10% ,, ואם ,בחמש השנים שקדמו להפרה לא הוטל על המפר עיצום כספי או אמצעי אכיפה מינהלית כאמור בשל הפרת כל הוראה לפי החוק– 20% ; (2) המפר הפסיק את ההפרה מיוזמתו ודיווח עליה לממונה– 30% ; (3) המפר נקט פעולות למניעת הישנות ההפרה ולהקטנת הנזק, להנחת דעתו של הממונה– 20% . 9 הפחתה בשל נסיבות אישיות 2.ראה הממונה, לגבי מפר שהוא יחיד, שההפרה נגרמה בשל נסיבות אישיות המצדיקות הפחתה של העיצום הכספי או שהתקיימו נסיבות אישיות קשות המצדיקות שלא למצות את הדין עם המפר, רשאי הוא להפחית למפר את סכום העיצום הכספי המוטל על המפר בשיעור של20% . הפחתה בשל כמה נסיבות 3. התקיימו לגבי מפר כמה נסיבות כאמור בתקנות1 ו -2 רשאי הממונה להפחית למפר מסכום העיצום הכספי המוטל עליו את השיעורים המנויים לצד אותן נסיבות , במצטבר, ו בלבד ששיעור ההפחתה המצטבר לא יעלה על70% מסכום העיצום הכספי . הפחתה בשל התחשבות במחזור עסקאות 4. (א) מצא הממונה שסכום העיצום הכספי המוטל על המפר, בין שהופחת לפי תקנה 1 או2 ,ובין שלא הופחת כאמור עולה על5% ממחזור העסקאות של המפר, רשאי הוא להפחית את סכום העיצום הכספי ל - 5% ממחזור העסקאות שלו . (ב) מפר המבקש הפחתה של סכום העיצום הכספי לפי תקנה זו, יגיש לממונה אישור לעניין גובה מחזור העסקאות שלו, בתוך30 ימים ממועד מסירת ההודעה על .כוונת חיוב (ג) בתקנה זו – " אישור לעניין "גובה מחזור העסקאות– :כמפורט להלן, לפי העניין (1) לעניין מפר החייב לפי דין במינוי רואה חשבון מבקר כהגדרתו בחוק החברות , התשנ"ט- 1999 1 – אישור שנתן רואה החשבון ;המבקר (2) לעניין מפר שהוא אגודה שיתופית– אישור של מי שביקר את חשבונותיה של האגודה השיתופית לפי סעיף20 לפקודת האגודות השיתופיות2; (3) לעניין מפר אחר– אישור שנתן רואה חשבון או אישור שנתן יועץ מס מייצג כהגדרתו בחוק הסדרת העיסוק בייצוג על ידי יועצי מס ,התשס "ה - 2005 3, כי גובה מחזור העסקאות שהציג המפר תואם לאמור במסמך שהוגש ;לרשות המסים בישראל או למוסד לביטוח לאומי לפי דין " "מחזור עסקאות – מחזור עסקאות של עוסק כהגדרתו בחוק מס ערך מוסף, התשל"ו- 1975 4 , ולעניין מלכ"ר כהגדרתו בחוק האמור– מחזור כהגדרתו בתוספת השנייה לחוק העמותות, התש"ם - 1980 5 . 1 'ס"ח התשנ"ט, עמ189 . 2 חא"י, 'כרך א', עמ360 . יש לבחון האם חלופה זו רלוונטית . 3 'ס"ח התשס"ח, עמ114 . 4 'ס"ח התשל"ו, עמ52 . 5 'ס"ח התש"ם, עמ210 . .יש לבחון האם חלופה זו רלוונטית 10 לדיון – )נסיבות הפחתה אפשריות נוספות (בנוסף לנסיבות הבאות לידי ביטוי כבר במודל המוצע: (1) אופי )לא מכוון (רשלני של ההפרה. (2) .פעולות המפר לעיצוב לפרטיות, עיצוב לאבטחת מידע ומינוי ממונה הגנה על הפרטיות תוספת שלישית- סעיפי הפרה וסעיפי עיצומים בגין הפרת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג- 2023 (תקנות הגישור) – טרם נדון סעיפי הפרה לצורך הטלת עיצום דו- שלבי בגין התקנות הרלוונטיות 1. הפר אדם הוראה מהוראות התקנות שנקבעו לפי סעיף36, כמפורט 'בטור א בחלק הראשון ,לתוספת השנייה החלות עליו, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום הקבוע לגביו בטור ב' לצידה .לפי העניין 2. מצא ראש הרשות כי הפר אדם הוראה מהוראות התקנות שנקבעו לפי סעיף36 לחוק כמפורט בטור א' לחלק השני ,לתוספת השנייה החלות עליו רשאי הוא לה ודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק את ההפרה בתוך תקופה שיורה; לא הפסיק האדם את ההפרה בניגוד להוראות ראש הרשות כאמו ר, רשאי ראש הרשות להטיל עליו .עיצום כספי בסכום הנקוב בטור ב' בחלק השני לתוספת השנייה חלק ראשון ל תוספת ה שנייה ה פרה סכום העיצום הכספי (בשקלים )חדשים 'טור א 'טור ב (1) בעל שליטה במאגר מידע ש לא הודיע בכתב לנושא המידע על החלטתו בבקשה לפי הוראות תקנה3 (א) לתקנות העברת מידע מהאזור הכלכלי האירופי (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג - 2023 " :(להלן תקנות העברת מידע מהאזור הכלכלי האירופי)" , בניגוד להוראות תקנה3(ד) לתקנות ה עברת מידע מהאזור הכלכלי האירופי; הסכום הבסיסי 3 .חובת מחיקת מידע )(א בעל מאגר מידע ימחק מידע לבקשתו ה כתובה של נושא המידע בהתקיים אחד מאלה: (1) המידע נוצר, התקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין; (2) המידע אינו ,נחוץ עוד למטרות שלשמן נוצר התקבל, נצבר או נאסף. .... )(ד בעל מאגר מידע יודיע בכתב לנושא המידע על החלטתו בבקשה, במועד המוקדם האפשרי בנסיבות העניין. 11 חלק שני לתוספת השנייה (2) בעל שליטה במאגר מידע אשר לא הפעיל ,כל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן– מידע שאינו נחוץ) בניגוד להוראות תקנה 4 (א) לתקנות העברת מידע מהאזור הכלכלי האירופי; הסכום הבסיסי 4 .הגבלת החזקת מידע שאינו נחוץ )(א בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן– )מידע שאינו נחוץ. (3) בעל שליטה במאגר מידע אשר לא הפעיל ,כל מנגנון ארגוני טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן בניגוד להוראות תקנה5 (א) לתקנות העברת מידע מהאזור הכלכלי האירופי; הסכום הבסיסי 5 . חובת דיוק מידע )(א בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע ,שבמאגר המידע נכון שלם, ברור ומעודכן. (4) בעל שליטה במאגר מידע אשר מצא, בין השאר על סמך המנגנון האמור בהוראות תקנה5 (א) לתקנות העברת מידע מה אזור הכלכלי האירופי, כי במאגר המידע מוחזק ,מידע שאינו נכון, שלם, ברור או מעודכן ולא נקט כל אמצעי לצורך תיקון המידע או מחיקתו בניגוד להוראות תקנה5 )(ב לתקנות העברת מידע מהאזור הכלכלי האירופי; הסכום הבסיסי )(ב מצא בעל מאגר מידע, בין השאר, על סמך המנגנון האמור בתקנת משנה (א), כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, ינקוט אמצעים סבירים בנסיבות העניין לצורך תיקון המידע או מחיקתו. ה פרה סכום העיצום הכספי (בשקלי ם )חדשים 'טור א 'טור ב 12 (5) בעל שליטה במאגר מידע שקיבל בקשה כתובה למחיקת מידע כאמור בתקנה3 ,(א) לתקנות הגנת הפרטיות ו לא התקיימו החריגים כאמור בתקנה3 )(ב, והוא לא מחק את המידע או ביצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע, בניגוד להוראות תקנה3 (ג) לתקנות העברת מידע מהאזור הכלכלי האירופי , וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה, ולא .הפסיק את ההפרה בתקופה שהורה הסכום הבסיסי 3 .חובת מחיקת מידע )(א בעל מאגר מידע ימחק מידע לבקשתו הכתובה של נושא המידע בהתקיים אחד מאלה: (1) המידע נוצר, התקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין; (2) ,המידע אינו נחוץ עוד למטרות שלשמן נוצר התקבל, נצבר או נאסף. )(ב על אף האמור בתקנת משנה (א), בעל מאגר מידע רשאי לסרב לבקשת מחיקה אם מצא כי השימוש במידע הוא לצורך אחד מאלה, וזאת בהיקף הנחוץ והמידתי לאותו צורך: (1) מימוש חופש הביטוי, לרבות זכות הציבור לדעת; (2) מילוי חובה חוקית או ביצוע סמכות על פי דין; (3) ,הגנה על עניין ציבורי, לרבות למטרות ארכוב מחקר מדעי או מחקר סטטיסטי; (4) ניהול הליך משפטי או גביית חובות; (5) מניעת הונאה, גנבה, או מניעת פעו לות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו; (6) מימוש חובות הנובעות מהסכם בין- לאומי שממשלת ישראל היא צד לו. )(ג התקבלה בקשה כאמור בתקנת משנה (א) ומצא בעל מאגר המידע כי לא מתקיימים החריגים כאמור בתקנת משנה (ב), ימחק את המידע שבשליטתו, או יבצע פעולו ת המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע. (6) בעל שליטה במאגר מידע ,אשר מצא בין השאר על סמך המנגנון האמור בתקנה4 (א) לתקנות העברת מידע מה אזור הכלכלי האירופי, כי במאגר המידע מוחזק מידע שאינו נחוץ לפי תקנה4 ,)(א ו לא מחק את המידע האמור במועד המוקדם האפשרי בנסיבות העניין , ו לא ביצע פעולות המבטיחות שלא יתאפשר לזהות את ,נושא המידע וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה, ולא הפסיק א ת .ההפרה בתקופה שהורה הסכום הבסיסי 4 .הגבלת החזקת מידע שאינו נחוץ ,בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן– מידע )שאינו נחוץ. 13 (1) בעל שליטה במאגר מידע ש קיבל מידע ,על אודות אדם ולא הודיע לו במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי ,האירופי כנדרש בתקנת משנה6 )(א מהאזור מידע העברת לתקנות ,הכלכלי האירופי ו לא התקיימו אחת מהנסיבות הקבועות בתקנת משנה 6 (ג) לתקנות העברת מידע מהאזור הכלכלי האירופי; וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה, ולא הפסיק את .ההפרה בתקופה שהורה הסכום הבסיסי 6 .חובת יידוע )(א ,בעל מאגר מידע שקיבל מידע על אודות אדם יודיע לו, במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר בתוך חודש ממועד קבלת המידע, על כל אלה: (1) זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עימם; (2) מטרת העברת המידע; (3) סוג המידע שהועבר; (4) קיו מה של זכות מחיקה לפי תקנה2 , זכות עיון במידע לפי סעיף13 לחוק וזכות לתיקון מידע לפי סעיף14 לחוק. (2) בעל שליטה במאגר מידע שביקש להעביר את המידע שקיבל לצד שלישי ו לא הודיע על כך לנושא המידע כנדרש בתקנת משנה6 (ב) לתקנות העברת מידע מה ,אזור הכלכלי האירופי ו לא התקיימה אחת מהנסיבות הקבועות בתקנת משנה6 (ג) לתקנות העברת מידע מה אזור הכלכלי האירופי; הסכום הבסיסי )(ב ביקש בעל מאגר מידע להעביר את המידע שקיבל לצד שלישי, יודיע במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, לנושא המידע, מוקדם ככל האפשר, ולכל המאוחר עם העברת המידע, על כל אלה: (1) הזהות ופרטי ההתקשרות של הצד השלישי או סוג הגורמים השלישיים שאליהם יועבר המידע; (2) מטרת העברת המידע; (3) ס וג המידע שיועבר; (4) קיומה של זכות מחיקה לפי תקנה3 , זכות עיון במידע לפי סעיף13 לחוק וזכות לתיקון מידע לפי סעיף14 לחוק. )(ב )חובת היידוע כאמור בתקנת משנה (א) או (ב לא תחול בהתקיים אחד מאלה, וזאת בהיקף הנחוץ והמידתי בשים לב לנסיבות העניין: (1) לבעל מאגר המידע יש יסוד סביר להניח שפרטי המידע הכלולים בתקנת משנה (א) או (ב) ידועים לנושא המידע; (2) פרטי ההתקשרות של נושא המידע אינם ידועים לבעל מאגר המידע, או שיישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל מאגר המידע, והכול בשים לב לאפשרות להיעזר בגורם שממ נו הועבר המידע; (3) קיומה של חובת סודיות בדין או איסור בדין על גילוי המידע; (4) קיומה של הוראה בדין המסדירה את גילוי פרטי )המידע המפורטים בתקנת משנה (א) או (ב; (5) מימוש חובת היידוע עלול לפגוע בשלומו או 14 בחייו של אדם; (6) מימוש חובת היידוע עלול לפגוע בפ עילות עיתונאית או לחשוף את מקור המידע של פעילות עיתונאית; (7) מימוש חובת היידוע יפגע בזכויותיו של אדם במידה העולה על הפגיעה הנובעת מאי- גילוי פרטי המידע לפי תקנת משנה (א) או (ב) בנושא המידע.