חומר רקע

PDF 13,227 תווים המסמך המקורי ↗
1 14 בפברו אר2022 י"ג באדר 'א התשפ"ב אל : חברי ועדת החוקה, חוק ומשפט מאת: הייעוץ המשפטי לוועדה מסמך הכנה מטעם הייעוץ המשפטי לוועדה– 'הצעת חוק הגנת הפרטיות (תיקון מס14), התשפ"ב– 2022 : תמצית הצעת החוק על שולחנה של ועדת החוקה , חוק ומשפט 'מונחת הצעת חוק הגנת הפרטיות (תיקון מס14), התשפ"ב– 2022 הכוללת מספר תיקונים משמעותיים בחוק הגנת הפרטיות , התשמ"א– 1981 . מטר ת ו של ,התיקון כך ,על פי דברי ההסבר להתאים את חוק הגנת הפרטיות לאתגרים העכשוו י ים בהגנה על מידע אישי במאגרי מידע .התיק ו ן העיקרי ב הצעה עניינו בשיפור והגברת יכולות הפיקוח והאכיפה ש ל הרשות להגנת הפרטיות , ביחס ל הוראות ה.חוק הנוגעות לפרטיות במאגרי מידע על פי המוצע, הרשות תקבל סמכויות נוספות ל פיקוח שוטף ול בירור מינהלי , ייקבע נג מנ ון אכיפה מינהלי וכן יינתנו לרשות, בחוק, סמכ ויות לניהול חקירה .פלילית תיקון מוצע נוסף הוא התאמת חלק מה מונחים שבחוק ו חלק מ ההסדרים בו ,להתפתחויות הטכנולוגיות החברתיות והמשקיות שהתרחשו מאז נחקק החוק לפני ארבעים שנה . תיקון מוצע נוסף הוא צמצום היקף חובת הרישום הרשמית של מאגר המידע בפנקס מאגרי המידע . במסמך שלפניכם נ ציג את ה רקע ה כללי להצעת החוק , לרבות הבסיס התיאורטי של הזכות לפרטיות ו ה אתגרי ם שניצבים בפני מימושה היום וכן ,נבקש לתאר באופן תמציתי, נושאים כלליים לדיון ביחס להצעת החוק. בהמשך ,למסמך זה ולקראת דיוני הוועדה הבאים נצר ף מסמכי הכנה נוספים שיתייחסו באופן מפורט ל הסדרים ול סעיפים הספציפיים שבהצעת החוק . הזכות לפרטיות וחוק הגנת הפרטיות – רקע הזכות לפרטיות הזכות לפרטיות היא זכות אדם חוקתית המעוגנת בסעיף7 .לחוק יסוד: כבוד האדם וחירותו ה זכות לפרטיות, ,כך על פי אחת ההגדרות המקובלות היא זכותו של אדם למרחב פיזי או וירטואלי הנתון לשליטתו. בבסיס הזכות ההכרה כי ישנם תחומים בחיי האדם שאינ ם אמורים להיות חשופים , ללא הסכמתו .המפורשת של אדם הזכות לפרטיות נחשבת כזכות המאפשרת ,מניעת גישה לא רצויה לאדם ביחס ל שלושה תחומים– חדירה למרחב פיזי )(לדוגמא צנעת הגוף ומניעת כניסה לא מורשית לרשות היחיד ;פרטיות ביחס לפ רסום מידע פרטי אודות האדם ;ו אנונימיות, כלומר זכותו של אדם, בנסיבות רגילות, שלא יסירו מעליו את מסכת האנונימיות העוטפת אותו בחיי היום יום . הזכות לפרטיות נחשבת ל זכות אדם טבעית , מקובל בכתיבה בעניין זה לייחס לה משמעות בהיבטים שונים בחייו של אדם ובכלל זה לצורך פיתוח ומימוש אישיותו כפרט ; לצורך פיתוח וכינון אינטימיות ביחסים בינאישיים ו אמון ביחסים מקצועיים (רופא, עו"ד) ; ולצורך הגנה מפני השלטון והגנה על ההליך הדמוקרטי. הפרטיות גם מהווה שער ובסיס לזכויות נוספות אחרות ובפרט ל חופש ביטוי, לרבות היכולת להיבלע בהמון ה הפגנה וכ מגן מפני אפליה. הפרטיות מהווה גם ערך דמוקרטי , ומ שקפת את גבול הכוח שבין המדינה ל .אזרחיה 2 אתגריה העכשווים של הזכות נובעים מההתפתחויות הטכנולוגיות, בפרט של העשור האחרון, בו התפתחו מאוד יכולות ופרקטיקות משמעותיות של איסוף ,איגום ועיבוד מידע . איסוף רחב של מידע מתרחש הן באופן מכוון )(לדוגמא באמצעות מצלמות אבטחה או המאגר הביומטרי והן כפועל יוצא של שימוש ים (כגון""עוגיות באתרי אינטרנט , נתוני איכון סלולרי, תשלומים בכרטיס אשראי או אפליקציית תשלום וכ יו צא באלו ;) יכולת האיגום ה גבוהה של ה מידע היא פועל יוצא של עלויות איחסון המידע ה אפסיות בעולם דיגיטלי ;ויכולת העיבוד הגבוהה היא פועל יוצא מ קיומו של ,מידע זמין רב אודות כל אדם ושל ,התפתחויות טכנולוגיות ספציפיות כגון תוכנות לזיהוי פנים או יכולות הפקת מידע רפואי וגנטי, לרבות באמצעות קרובי משפחה של האדם שאותו מ בקשים לזהות ; לשלוש היכולות הללו מצטרפת יכולת הה צלבה של מאגרים שונים ואמצעים שונים – ,קיומו של מידע כל כך רב הופך פעמים רבות את השאלה של הפרטיות משאלה של אפשרות לשאלה של רצון ו עלות . במילים אחרות, במובן ,מסוים ניתן להשיג כיום כמעט כל מידע על כל אדם , ככל שיוקדשו לכך האמצעים המתאימים . ב איחוד האירופאי הביאו שינויים אלו להרחבה ואימוץ של הסדרי פרטיות ועיבוד מידע חדשים ומעודכנים, ה- General Data Protection Regulation (EU) (להלן ה- " GDPR )" הקובעים סטנדרטים ש בהם נדרשות לעמוד מדינות האיחוד האירופאי .ביחס לאיסוף, עיבוד ושימוש במידע מדינות המבקשות לקיים קשרים עם האיחוד האירופי הכוללים העברת מידע , ,דוגמת ישראל ואף בריטניה שלאחר ההיפרדות מהאיחוד נדרשות ל קבל אישור תאימות ל- GDPR וזאת כדי לאפשר קשרי מסחר והעברת מידע שוטפים. .באיחוד האירופאי מבצעים מזה מספר שנים בדיקה מחודשת של התאימות שניתנה למדינות מחוץ לאיחוד ישראל נמצאת כבר מספר שנים בתהליך לבחינ ה מח ודשת של התאימות, כאשר ההכרעה ב בחינה זו נדחית מדי .פעם מטעמים שונים משכך התאמת החוק ל- GDPR ו חידוש ה תאימות האירופאית ה ם מהאתגרים והיעדים של הצעת החוק. חוק הגנת הפרטיות והרשות להגנת הפרטיות חוק הגנת הפרטיות, התשמ"א– 1981 , דבר החקיקה העיקרי בקשר לזכות לפרטיות, נחקק בשנת1981 ו מאז תוקן שני תיקונים משמעותיים בלבד (בשנת1985 ובשנת1996 .) למעט שני תיקונים אלו לא בוצעו בחוק תיקונים משמעותיים , משכך ניכר חסר משמעותי בחוק וב כלים ל יישומו . החוק בנוי חמישה פרקים: ,'פרק א האיסורים הבסיסיים על פגיעה ב פרטיות- קובע את האיסור לפגוע בפרטיותו של אדם ללא הסכמתו וכן קובע כי פגיעה בפרטיות מהווה עוולה אזרחית ,ובנסיבות מסוימות גם עבירה פלילית. בפרק רשימת מעשים המהוו י ם פגיעה בפרטיות , כגון האזנה אסורה על פי חוק או צילום אדם כשהוא ברשות היחיד; 'פרק ב ,פרטיות במאגרי מידע ( Data protection ) - בפרק הגדרה של מאגר מידע, הסדרה של חובות מסוימות 'של בעל מאגר מידע והסדרת פנקס המאגרים וניהולו. סימן ב לפרק זה עוסק ב מאגרים המשמשים ל דיוור ישיר; ,'פרק ג הגנות - הגנות ופטור מאחריות פלילית, נטלי הוכחה והקלות בגז י ;רת דין ,'פרק ד מסירת מידע או ידיעות מאת גופים ציבוריים ;ובין גופים ציבוריים 'פרק ה,, שונות עוסק במגוון עניינים, ובהם התיישנות ,, תחולת החוק על המדינה קביעת פיצויים בלא הוכחת ,נזק וכן אחריות של מפרסמים, מדפיסים ומפיצים . 3 מכח החוק הותקנו מ ספר קבצי תקנות וביניהם תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז– 2017 (להלן– )תקנות אבטחת מידע . תקנות אלה הן תקנות מקיפות יחסית שנועדו לחזק את ההגנה על המידע האישי באמצעות קביע ה של רמת אבטחת מידע ,נדרשת בהתאם להיקף המידע האישי שמנוהל בהן ולמידת רגישותו . בשנת 2006 הוקמה ,בהחלטת ממשלה 4660 ,ר שות משפטית לטכנולוגיות מידע והגנה על הפרטיות במשרד המשפטים (רמו"ט). בשנת2017 שינתה הרשות את שמה לרשות להגנת הפרטיות (להלן– "הרשות" , "הרשות להגנת הפרטיות") .הרשות היא הגוף המסדיר, המפקח והאוכף את האיסורים הקבועים ב חקיקת הפרטיות ו היא ה גוף המומחה לטיפול בתחום ההגנה על מידע אישי במאגרי מידע דיגיטליים והתוויית מדיניות ההגנה על המידע .האישי בישראל .בתוך המסגרת המנהלית של הרשות פועל רשם מאגרי המידע שהוא בעל הסמכות הסטטוטורית עיקרי הצעת החוק הצעת החוק כוללת ,, כאמור שלושה תיקונים עיקריים – ת יקון מונחי יסוד ;צמצום חובת הרישום; ו הרחבת סמכויות הפיקוח, הבירור מינהלי והאכ יפה הפלילית: תיקון מונחי יסוד מונחי היסוד העיקריים אותם מוצע לתקן הם ההגדרות של"מידע" , ""מחזיק וכן של "מידע בעל רגישות "מיוחדת. ,בנוסף מוצע להוסיף הגדרה של"בעל שליטה במאגר מידע" . ש ,ינויי ההגדרות צפויים, ככלל להרחיב את תחולת החוק ו לדייקה. ."תיקון נוסף הוא החלפת התואר "רשם מאגרי המידע" ל"ממונה על הגנת המידע צמצום חובת ה ר ישום כיום חלה חובת רישום על מאגר שמספר נושאי המידע בו מעל10,000 , מאגר שיש בו"מידע רגיש" וכן על מאגר הכולל מידע על נושאי מידע שלא הסכימו למסירה, מאגר המשמש ל"דיוור ישיר" ומאגרים של גופים ציבורי.ים על פי המוצע ת חול חובת הרישום על מאגרי מידע שנאסף בהם "מידע בעל רגישות מיוחדת" , על פי הגדרתו ,המוצעת ביחס ל- 500,000 נושאי מידע או יותר. בנוסף, ביחס למאגרים ש דרך ניהולם, מטרתם או אופן איסוף המידע שנאגר בהם יוצרים כלשעצמם רגישות מיוחדת ,)(לדוגמא מאגר של גוף ציבורי או איסוף בלא הסכמה מוצע להחיל חובת רישום אם המאגרים כוללים למעלה מ- 100,000 נושאי מידע . יצוין כי בפועל חובת הרישום של מאגרי המידע מיושמת כיום בצורה חלקית בלבד. אכיפה מוצע לחזק את יכולות הפיקוח ו האכיפה של הרשות ב ראשה עומד הרשם ("הממונה" לפי הצעת החוק) באמצעות הקניית סמכויות למפקחי ולחוקרי הרשות ; להוסיף סנקציות מנהליות נוספות ;ו להרחיב את כלי ה אכיפה ה פלילית .נציין כי כבר היום יש לרשות סמכויות פיקוח (מכוח החוק) וסמכויות חקירה פלילית (באמצעות הסמכת )השר לביטחון הפנים . בנוסף יש לרשות סמכויות מינהליות (החל בהתליית תוקף רישום המאגר, דרך הטלת קנס )מינהלי בגין חלק מהפרות החוק, ולבסוף אכיפה פלילית, ואולם "סט הכלים" והסמכויות המוצעים ה וא סט רחב .יותר מוצע כי הרחבת הסמכויות תיעשה באמצעות הוספת ארבעה פרקים לחוק ש עיקריהם להלן: פרק ד'1 : ס מכויות פיקוח, בירור מינהלי ואכיפה - בפרק מוצע להעניק סמכויות שונות למפקחי הרשות ולחוקרי הרשות ובכלל זה, בין היתר, דרישת הזדהות מכל אדם; הסמכות לדרוש מסמכים ומידע; סמכות תפיסה; סמכות 4 .כניסה; סמכות תפיסה וחדירה לחומרי מחשב ועוד הסמכויות מוקנות בסימנים ב' עד ד' בהתאם למסגרת בה :נעשה השימוש בסמכויות ,סמכויות במסגרת פיקוח שוטף סמכויות הבירור המנהלי (החל מקום בו היה למפקח "יסוד סביר להניח" שבוצעה הפרה של אחת מ הוראות החוק )ו סמכויות האכיפה הפלילית של חוקרי הרשות (כאשר'היה לחוקר "יסוד סביר לחשד" שנעברה עבירה לפי פרקים ב' או ד4 לחוק .) כמו כן, במסגרת הפרק מוצע להסדיר את סמכות הממונה להסתייע בעובד שאינו עובד מדינה לשם ביצוע חלק מהסמכויות וכן לקבוע הוראות הנוגעות למגבלות שיחולו על הרשות ביחס למאגר שמפלגה היא בעלת שליטה בו בתקופת בחירות . פרק 'ד2 :מודל לפיקוח ובירור מנהלי בגופים ביטחוניים - מוצע לקבוע מודל מיוחד לפיקוח ובירור מינהלי בגופים ביטחוניים ,(המשטרה הצבא ו תשעה גופים נוספים )המנויים בהצעה , אשר יפקיד סמכויות פיקוח בידי מפקח פרטיות פנימי לאותו גוף שיבצע את פעולות הפיקוח בהתאם להנחיות ה ממונה.מטעם הרשות להגנת הפרטיות פרק 'ד3 :אמצעי האכיפה המנהליים - מטרתם של אמצעי האכיפה המינהליים ו הסנקצי ות המנהלי ו ת היא הרתעתית- ,מניעתית ובפרט החזרת המפוקח לציות . במסגרת הפרק ניתנת הסמכה ל ממונה להטיל עיצום כספי בשל הפרה של הוראות החוק. מוצע כי סכום העיצום הכספי ייקבע באמצעות שקלולם של :שלושה רכיבים1 . חומרת ההפרה ; 2 ;. מספר נושאי המידע המנויים במאגר3 .מ ידת הרגישות של המידע במאגר מידע . בנוסף קובע הסימן הוראות כלליות הנוגעות לפרוצדורה של הטלת העיצום . כמו כן, במסגרת הפרק מוצעים י כל אכיפה מנהלי ים "כים ר יותר" - התראה מנהלית ו התחייבות להימנע מביצוע הפרה , לרבות באמצעות קביעת תנאים שמ טרתם תיקון הנזק או מניעת הישנות העבירה . פרק 'ד : עבירות - מוצע לקבוע בחוק עבירות חדשות- החל מ עבירה שבצידה שישה חודשי מאסר (הפרעה לעובדי הרשות במילוי תפקידם) ; דרך עבירות שבצידן עונש של שלוש שנות מאסר (הטעיית עובדי הרשות; פניה לקבלת מידע במרמה מאדם ; שימוש או החזקה במידע ממאגר מידע בלא הרשאה; ומסירת מידע מגוף ציבורי ) ועבירה ( שבצידה עונש מאסר של חמש שנות מאסר .)שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר לאור קביעת פרק העבירות מוצע ביטול סעיף31 א לחוק הקיים שעניינו ,עבירות של אחריות קפידה שמוצע להחליפן ב .הסדרים אחרים הערות ושאלות ראשוניות 1. צמצום חובת הרישום– כאמור, בהצעת החוק מוצע לצמצם את חובת רישום מאגרי המידע אולם לא לבטלה ,כליל. ואולם ,על פי הבנתנו המהלך הסופי אותו מבקשת ה ממשלה לקדם הוא ביטול מלא של חובת רישום מאגרי המידע . מוצע לוועדה לבחון האם אין מקום לבחון את ביטול החובה כבר עתה ולא במהלך דו- ?שלבי 2. המפוקחים הפוטנציאליים וחובות הרשות כלפיהם– בניגוד למרבית הרגולטורים האחרים המפקחים על מפוקחים ספציפיים בשוק מסוים ,הרשות ל הגנת הפרטיות מפקחת על כלל הציבור ומגינה מפני פגיעה בפרטיות על ידי .אנשים פרטיים, עסקים וגופים ציבוריים מוצע לבחון אם הכלים והמטרות שמוצע להעניק לרשות מתאימים למגוון המפוקחים הפוטנציאלי ?למשל , האם יש מקום שהרשות תוציא נהלי best practices בהתאם לסוג הגוף ,ת אשרPre-ruling ותסייע לציבור המפוקחים למלא אחר חובותיהם ? 3. עיבוי המסגרת הנורמטיבית הכוללת לפיקוח ואכיפה– פרק האכיפה כולל שורה של סמכויות המוקנות ,לרשות אך, ,לטעמנו אינו מבהיר בצורה מספקת את המסגרת הנורמטיבית הכוללת ואת זכויותיו של ה מפוקח 5 בתהליך . לדוגמא, יש לטעמנו להבהיר את היחס בין פעולות הפיקוח , הבירור והחקירה הפלילית ובפרט להבהיר כיצד ישמרו זכויות המפוקח ,החייב בשיתוף פעולה בפיקוח ב מעבר ל הליך הפלילי בו יש ל מפוקח ?זכות להימנע מהפללה עצמית 4. ההפרות והעיצום הכספי– אין חולק על כך שהפרות מהותיות של החוק ושל התקנות, שיש בהן כדי להשפיע על הזכות לפרטיות מחייבות הפעלת אמצעי אכיפה משמעותיים ויעילים, ושכלי העיצומים הכספיים הוא כלי יעיל שראוי , ככלל, להשתמש בו . ,ואולם בהצעת החוק מוקנית סמכות להטלת עיצומים על שורה של הפרות קלות יחסית?. האם אין מקום למקד את ההסדר בהפרות משמעותיות יותר כך לדוגמא מחדל של אי הודעה לממונה על שינוי בפרטים, לרבות פרטים טכניים, ביחס למאגר מידע רשום או אי הודעה על הפסקת פעילות ,של מאגר מידע מהווים הפרה שבצידה עיצום כספי בגובה ש בין5,000 ש"ח ועד800,000 ש"ח בשים לב למידת הרגישות של המידע (הגדרה רחבה ביותר) ולגוד ל המא ג.ר 5. חוסר ב תיקונים מהותיים שונים בהצעת החוק– כאמור, עיקר ההצעה נוגע לסמכויות אכיפה שונות ומקצתה .לנושא הרישום ומספר הגדרות אמנם אין מחלוקת בדבר הצורך לערוך תיקונים מהותיים בחוק המקובלים ,בחקיקה עדכנית בנושאי הפרטיות, ואולם בכוונת הממשלה להביאם לכנסת במסגרת תיקון עתידי. בכלל זה הזכות של בעל המידע לחזור ,מהסכמה הרחבת ,זכות עיון במידע עיבוי'הזכות לקבלת הסברים וכו ;הרחבת החובות של בעל השליטה במאגר מידע ומחזיקים במידע ,לרבות חובות יידוע ; הוספת בסיסי עיבוד מותרים מ עבר להסכמה והסמכה (חלק מתיקונים אלה וכן תיקונים נוספים נכללים בהצעת חוק שהונחה על שולחן הכנסת בידי יו"ר הוועדה– /פ3179/24 .) מוצע לוועדה לשקול לכלול חלק מתיקונים מהותיים אלה כבר במסגרת התיקון הנוכחי. 6. הוספת אמצעי אכיפה אזרחיים ו דרישות מתאגידים בינלאומיים גדולים– כמפורט לעיל, הצעת החוק כולל ת מגוון רחב של סמכויות אכיפה .המוקנות לרשות לצורך אכיפת האיסורים בתחום הפרטיות מוצע לשקול את הרחבת האפשרות להרחיב את האכיפה האזרחית , למשל לבחון הוספת אפשרות להגשת תביעה ייצוגית ;שעניינה הפגיעה בפרטיות הוספת חובת נציגות של בעל שליטה בישראל לבעלי מאגרים גדולים במיוחד, .דוגמת הרשתות החברתיות הפועלות בישראל ו ביטול תקופת ההתיישנות המקוצרת , בת השנתיים, הקבועה בחוק.בתביעות שעניינן פרטיות נציין כי חלק מהנושאים הועלו בשנים האחרונות בהצעות חוק פרטיות .שהונחו על שולחן הכנסת