חומר רקע
המועצה להגנת הפרטיות
יום
שני51
נובמבר0205
,לכבוד
יו"ר ועדת חוקה חוק ומשפט– חבר הכנסת גלעד קריב
חברי ועדת חוקה חוק ומשפט
כנסת ישראל
ירושלים
באמצעות דואר אלקטרוני
,נכבדינו
נושאים חסרים – תיקוני חקיקה – חוק הגנת הפרטיות :הנדון
המועצה הציבורית להגנת הפרטיות מתכבדת להגיש לו
ו עדה הנכבדה את עמדתה ביחס לנושאים שיש לשלב במהלך הנוכחי
לתיקון חוק הגנת הפרטיות, תשמ"א–
5895
("חוק הגנת הפרטיות "). עמדה זו נעשית בהתאם לבקשת
יו"ר ה
ו ועדה במהלך
,הדיון שהתקיים ביום שני9.55.0205
.
בתמצית, המועצה מברכת על המהלך החקיקתי לעדכון חוק הגנת הפרטיות
והתאמתו לאתגרים המודרניים לזכות לפרטיות .
עם זאת, המועצה מעירה שהתיקונים הנוכחיים אינם מעדכנים את ,הדין המהותי, אלא מתמקדים בהרחבת סמכויות אכיפה
.עדכון מושגים וצמצום חובת רישום מאגרי מידע לדעת המועצה התיקון המוצע הנוכחי משרת רק באופן חלקי את הטיפול
במצב החירום אותו הגדיר יו"ר הוועדה .
נושאים מהותיים רבים נותרו מחוץ להצעת החוק הנוכחית
ו טרם פורסמה טיוטת
תזכיר הכולל ת אותם (מה שמכונה: "תיקון
51
)"
. י
יקח, כך נראה, עוד זמן רב עד שתיקון זה יחוקק . המועצה
ממליצה ,כטיפול חירום, ל שלב כבר בהצעת החוק הנוכחית
שני נושאים מהותיים
שצפויים לשפר דרמטי
ת
:את אופן הטיפול במידע אישי בארגונים וגופים ציבוריים
מינוי ממונ
י
הגנת
פרטיות(
אלה הם )'שומרי הסף' של הפרטיות בארגונים
וביצוע סקרי סיכוני הגנת פרטיות (
זהו כלי
קריטי ל ניהול אחראי של
מידע אישי).
.עשרות מדינות בעולם חוקקו הוראות דומות. ישראל צריכה ללכת בעקבותיהן
רקע בקצרה
,ביום ראשון1.55.0205
אישרה ועדת השרים לענייני חקיקה את הצעת שר המשפטים, מר גדעון סער, לרפורמה בהגנת
:הפרטיות. עניינה של הרפורמה במספר תיקונים לחוק הגנת הפרטיות בשלושה נושאים(5
)
צמצום משמעותי של חובת רישום
מאגרי המידע( ;
0
)עדכון הגדרות בחוק ; ו– (3
)הרחבת סמכויות האכיפה של הרשות להגנת הפרטיות.
,ביום שני9.55.0205
התקיים דיון בוועדה הנכבדה שכותרתו: "ההגנה על הפרטיות ברשתות חברתיות עם התגברות מתקפות
הסייבר–
האם יש לישראל את הכלים המשפטיים על מנת להגן על פר
ט יות אזרחיה". במהלך הדיון, נדונה גם הרפורמה
האמורה ב .חוק יו"ר הוועדה הנכבד עמד על כך שאנו נמצאים במצב חירום בתחום ההגנה על הפרטיות ולפיכך יש לנקוט
באמצעי חירום .
.במסגרת הדיון ביקש יו"ר הוועדה מחברי המועצה להגיש נייר עמדה בנושא הנושאים שחסרים בהצעת החוק הנוכחית
עמדת המועצה
המועצה הציבורית להגנת הפרטיות היא גוף סטטוטורי. היא מייעצת לשר המשפטים בנושאי
הגנת מידע ו פרטיות ומביעה את
עמדתה בהליכי חקיקה ראשית ומשנית, גם בפני
משרדי ממשלה נוספים ו:ועדות הכנסת. לפרטים נוספים על המועצה, ראו
https://www.gov.il/he/Departments/units/privacy_protection_council
המועצה
מ סכימה עם תפיסת החירום שהציג יו"ר הוועדה
הנכבד
:וסבורה כך
5.
המועצה מברכת על הרפורמה . חוק הגנת הפרטיות טעון עדכון כדי להגן טוב יותר על הזכות החוקתית לפרטיות, לשפר
את אופן ניהול המידע האישי ולהפחית סיכונים הכרוכים בכך, הן לפרט והן לארגונים, חברות ומוסדות ממשל המנהלים
.מאגרי מידע
המועצה הציבורית להגנת הפרטיות
2
0.
המועצה רואה בדאגה את העדרן של הוראות מהותיות
בתיקון הנוכחי
והותרתן ל"תיקון51" שתזכי ר בעניינו עוד טרם
פורסם. הוראות אלה כוללות לדוגמה, הרחבת הבסיסים החוקיים לעיבוד מידע אישי, עדכון
ה זכויות
המסורות לפרט ,
העברת מידע לחו"ל, ביצוע סקרי סיכונים, חובת מינוי ממונה הגנת פרטיות, חובת הצגת מדיניות פרטיות והגנה על זכויות
נוספות המתעדכנות תדיר בחקיקה הבינלאומית .
יש לקבוע אותן בחוק, או לעדכן
הוראות קיימות אך מיושנות
.בעניינן
3.
המועצה מבקשת לשלב הוראות חירום .
תיקון51
ידרוש עוד עבודה רבה וההתכנות לחקיקתו במהלך0200
.איננה ריאלית
לנוכח מצב החירום בשל
ריבוי התקפות הסייבר והסיכונים ההולכים וגדלים למידע אישי ,
המועצה סבורה שיש להוסיף
.להצעות החוק הנוכחיות שני נושאים: מינוי ממונה על הגנת הפרטיות וביצוע סקר סיכוני פרטיות
ממונה הגנת הפרטיות–
?מדוע הוא נדרש ומה הוא יועיל
אחד הנושאים בהם רואה המועצה חשיבות-על להגנה הפרטיות, במובן הרחב והעמוק , הוא מינוי ממונה
הגנה על הפרטיות
בארגו.נים ציבוריים ופרטיים
ממוני הגנת פרטיות
הם שומרי הסף של הפרטיו
ת . הם מחוללי השינוי האמיתיים והם אלה שביכולתם לגרום לארגונים לשפר
.את נוהגי השימוש שלהם במידע אישי ולהפחית את הסיכונים הכרוכים בכך
תפקיד
ם
המרכזי הוא להביא להפנמה של
.עקרונות ושיקולי פרטיות בתהליכי העבודה בארגון, ולסייע לארגון במימוש אחריותו וחובותיו לפי דיני הגנת הפרטיות
מדינות רבות
מחייבות מינוי ממוני הגנת פרטיות
,ובכללן: כלל מדינות האיחוד האירופי ,אוסטרליה, ברמודה, ברזיל, קנדה
,סין
קולומ ,ביה, מצרים, גאנה
מאוריציו
ס
, מקסיקו, ניו-
,זילנד ,ניגריה, פיליפינים, רוסיה, סן מרינו, סרביה, סינגפור דרום
,אפריקה, דרום קוריאה, תאילנד, אוגנדה, אוקראינה, איחוד האמירויות, בריטניה ארה"ב (מידע רפואי וחקיקה ורגולציה
)של רשויות ממשל ואורוגוואי1 .
בחקיקה
הישראלית הוכנסה חובה למינוי ממונה הגנת הפרטיות בחוק נתוני אשראי , תשע"ו-
0252
(
בהתאם להמלצת
)המועצה וב
חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, תש"ע-
0228
.
,בנוסף
הרשות להגנת הפרטיות פרסמה באוקטובר0202
טיוטת המלצה למנ
ות ממוני הגנת פרטיות2
,. בפועל למעט שני החריגים
,הנ"ל אין ממוני הגנת פרטיות במשרדי ממשלה ויש מעט מאד ממוני הגנת פרטיות בשוק הפרטי
ש .מונו וולונטרית ,לכן
המועצה סבורה ש הותרת מינוי ממוני הגנת פרטיות בגדר המלצה בלבד הוכחה
כ
בלתי מספקת .
,המועצה סבורה כי זהו מודל ראוי
ה
מתפתח בכל העולם ואשר יש ל שלבו בדין הישראלי, בדגש על גופים המחזיקים מאגרי
.מידע גדולים ורגישים המועצה ממליצה לשלב בהצעת החוק הנוכחית גם חובת מינוי ממונה פרטיות בארגונים ציבוריים
ו פרטיים
המחזיקים ב
מידע אישי, ב
התאם ל תנאים.שייקבעו בחוק לחובת המינוי תצטרף הגדרת תפקיד.
3
יצירת חובה
בחוק למינוי ממונה הגנת פרטיות תאפשר גם
לרשות להגנת הפרטיות למלא את תפקידה תוך יישום מדיניות
,מושכלת ולפיה היא משקיעה את משאביה בעיקר באסדרה של נושאים עקרוניים בעלי השפעה רוחבית על כלל המשק במבט
""על , כך שתוכל לבחור על פי הצורך
והעניי
ן
.בירורים פרטניים, במסגרת חקיקה, הנחיות או אכיפה
סקר סיכוני הגנת פרטיות–
מהו ומדוע הוא
חיוני ?
סקר סיכוני הגנת פרטיות (בלעז–
Privacy Impact Assessment
אוData Protection Impact Assessment
)
הוא תהליך
שנועד לסייע לארגון
לאתר , להעריך ולנהל סיכונים לפרטיות בפרויקטים או פעילויות עסקיות וארגוניות אחרות הכוללות
.עיבוד מידע אישי
ביצוע הסקר אף מאפשר לארגון לתכנן פעילויות, מוצרים ושירותים לפי כללי הגנת פרטיות, בהתאם לעקרון
העיצוב לפרטיות(Privacy by Design)
4 .
1
:מקור
International Association of Privacy Professionals
(
https://iapp.org/
)
2זמינה לצפיה בכתובת:
https://www.gov.il/he/departments/publications/Call_for_bids/refrences_dpo
3
ראו להשוואה סעיפים31
עד38
ב–
2016/679
Regulation (EU)
(
GDPR
:), הזמינים לצפיה בכתובת-
https://eur
1-1-
content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e3722
-
lex.europa.eu/legal
4
:ראו: הרשות להגנת הפרטיות
עיצוב לפרטיות ו מדריך.עזר מתודולוגי לביצוע תסקיר השפעה על פרטיות
:זמינים לצפיה בכתובת
https://www.gov.il/he/departments/general/privacy_by_design
המועצה הציבורית להגנת הפרטיות
3
ההשפעה הארגונית של ביצוע סקרי סיכוני הגנת פרטיות היא דרמטית. זוהי שיטת עבודה המחייבת את הארגון לחשוב
ולהעריך
.מראש את כלל השיקולים הנוגעים לפעילויות, שירותי ומוצרי הארגון, מבעוד מועד, בצורה מסודרת ומתודולוגית
התוצאה היא הפחתה משמעותית של סיכונים הנוגעים לניהול מידע אישי ומני .עת פגיעה שלא לצורך בפרטיות
מתוך הבנת החשיבות המכרעת של ביצוע סקרי סיכונים להגנה בפועל על מידע אישי , מדינות רבות בעולם מחייבות בחוק
לבצע
ם :, ובכללן ,כלל מדינות האיחוד האירופי, ארגנטינה ,)בחריין, ארה"ב (קולורדו, וירג'יניה ורשויות פדרליות ,יפן, קניה
,)פיליפינים, קטר, קנדה (קוויבק
קונגו, הרפובליקה של צפון מקדוניה, טורקיה, איחוד האמירויות ואורוגוואי5 .
הרשות להגנת
,הפרטיות ממליצה על ביצוע סקרי סיכוני הגנת הפרטיות במדריך מעודכן שפרסמה בחודש אוגוסט0205
.
6
נכון לעת הזו, מעטים הם הארגונים ומוסדות הממשל בישראל המבצעים סקרי סיכוני הגנת פרטיות בפועל. התוצאה היא
שפעילויות רבות חדשות המשלבות עיבוד מידע אישי, מושקות ללא חשיבה מסודרת ומתכללת בנושא הגנת הפרטיות ויוצרות
עקב כך סיכון גבוה ולא מנוהל
לפגיעה בדרך של שימוש
.במידע באופן לא חוקי או בלתי מורשה ,לכן המועצה סבורה שאין די
בהמלצה לבצע סקרי סיכוני הגנת פרטיות ושיש לחייב בחוק את ביצועם.
7
לסיכום
0200
עשויה להיות שנת המפנה המיוחלת שבה יעודכן .חוק הגנת הפרטיות המועצה מסכימה להגדרת יו"ר הוועדה, לפיה
מדינת ישראל נמצאת במצב חירום בקשר עם ההגנה על הזכות החוקתית לפרטיות. מצב חירום זה מחייב לאמץ לא רק
אפשרות להטלת סנקציות נרחבות יותר, אלא הנחיה לארגונים, על כל סוגיהם, לנהל את המידע האישי שברשותם באופן
ראוי. את זאת אפש 'ר להשיג באמצעות 'בעלים ארגוני לתהליך, בדמות ממוני הגנת פרטיות ובאמצעות הבניית תהליך נכון
.לניהול מידע, בדמות סקרי סיכוני הגנת פרטיות
המועצה עומדת לרשות הוועדה הנכבדה לצורך המשך ייעוץ וקיום דיון בנושא
תיקון חוק הגנת הפרטיות .
,בכבוד רב
עו"ד אורית פודמסקי, יו"ר המועצה
חברות וחברי המועצה
:העתקים
שר המשפטים וסגן ראש הממשלה, מר גדעון סער
המשנה ליועץ המשפטי לממשלה למשפט ציבורי-חוקתי, מר רז נזרי
היועץ המשפטי לרשות להגנת הפרטיות, מר ראובן אידלמן
5מקור :
OneTrust DataGuidance
(
https://www.dataguidance.com
/(
6
https://www.gov.il/BlobFolder/rfp/dpia_guide_draft/he/privacy_survay_new.pdf
7
ראו דוגמה לאסדרה בחוק של ביצוע סקרי סיכוני הגנת פרטיות בסעיף31
ל–
GDPR
:, הזמין בכתובת -
https://eur
1
-
1
-
uri=CELEX:32016R0679&from=EN#d1e3536
content/EN/TXT/HTML/?
-
lex.europa.eu/legal