חומר רקע

PDF 6,060 תווים המסמך המקורי ↗
1 ז ' שבט תשפ"ב 9 ינואר2022 לכבוד ועדת חוקה, חוק ומשפט של הכנסת :הנדון עמדת הרשות להגנת הפרטיות בנוגע ל הצעת חוק הדיוור הדיגיטלי 1. לבקשת יו"ר הוועדה, מוגשת להלן עמדת הרשות להגנת הפרטיות ביחס ל )פרק ב' (דיוור דיגיטלי מתוך הצעת חוק התכנית הכלכלית (תיקוני חקיקה ליישום המדיניות הכלכלית לשנות התקציב 2021 ו- 2022), התשפ"א- 2021 :(להלן הצעת החוק ), שפוצלה מתוך חוק ההסדרים ונדונה בימים אלו בפני ה וועדה בהכנה לקריאה שניה ושלישית. 2. בפתח הדברים נציין, כי על אף שישנם מספר היבטים בהצעת החוק ובאופן יישומה שלגביהם סבורה הרשות כי נדרשים מנגנונים משלימים על מנת ל צמצם את פוטנציאל הפגיעה בפרטיותם של תושבי ישראל , הרשות אינה מתנגדת לקידום הצעת החוק, וערה לחשיבותה ולתועלת הגלומה בה עבור הציבור והגופים הציבוריים .כאחד 3. הצעת החוק מבקשת לחייב כל תושב שגילו מעל16 שנים למסור לפקיד הרישום את מענו הדיגיטלי, הכו לל כתובת דוא"ל ומספר טלפון נייד. נקודת המוצא היא שמדובר בנתונים אישיים על אדם , המוגנים על פי חוק ה גנת הפרטיות, התשמ"א- 1981 :(להלן חוק הגנת הפרטיות) . בהתאם לפסיקת בית המשפט , מספר טלפון נייד מצוי בליבת ענייניו הפרטיים של אדם כמשמעותם בחוק הגנת הפרטיות (ראו עת"מ67403-01-19 הר שמש נ' הממונה על חוק חופש המידע ברשות המיסים ( 7.5.19 ) . פסק הדין אושר על ידי בית המשפט העליון ב מסגרת עע"מ 4086/19 הר שמש נ' הממונה על חוק חופש המידע ברשות המיסים ( 11.11.19 )). כתובת דוא"ל עשויה אף היא לעלות כדי "מידע" המוגן על ידי חוק הגנת הפרטיות , בפרט במקרים בהם ניתן להסיק ממנה מידע נוסף על אדם, כגון הכשרתו המקצועית, מעמדו האישי וכיוצא.באלה1 יצוין, כי גם על פי הפרשנות שניתנה בדיני האיחוד האירופי, הוכרה כתובת דוא"ל כ- personal data . 2 1 לעניין זה ראו גילוי הדעת של הרשות להגנת הפרטיות"?""האם אוסף של שמות וכתובות דוא"ל מהווה "מאגר מידע (נובמבר2018 .)גילוי הדעת זמין כאן. 2 The Court of Justice of the European Union, Court of First Instance (Third Chamber), case T-194/04, Bavarian Lager v. Commission, para. 104 (2007) .Regulation (EU) 2016/679 (GDPR), Article 4 & Recital 30. 2 4. משכך, א ין חולק כי חקיקה המחייבת כל תושב למסור לרשות האוכלוסין את מספר הטלפון ,הנייד שלו ואת כתובת הדוא"ל האישית שבשימושו לצורך העברתם לשורה ארוכה של גופים ציבוריים המנויים בתוספת הראשונה ובתוספת השניה להצעת החוק– היא חקיקה שיש בה מימד של פגיעה בפרטיות ,ביחס לכל תושבי מדינת ישראל. ,זאת ב פרט בהתחשב בכך שהצעת החוק מסמיכה את רשות האוכלוסין לדרוש ולקבל את המען הדיגיטלי ממאגרי מידע המצויים בשורה של גופ ים ממשלתיים אחרים , אף ללא הסכמת התושב עצמו (סעיף18 )(א) המוצע בחוק מרשם האוכלוסין. 5. יצוין, כי בהצעת החוק קיימים מספר מנגנונים שבכוחם להקהות את הפגיעה בפרטיות. כך למשל, גוף ציבורי מחויב למחוק בתום השימוש את פרטי המען הדיגיטלי שהועברו אליו לצורך שליחת מסר אל קטרוני, ואינו רשאי לשמור אותם אלא ו לצ רכי תיעוד או אם הדבר נדרש מ סיבות טכנולוגי ו ת או בנסיבות מיוחדות אחרות (סעיף3 .)ג(ד) להצעת החוק הוראה נוספת היא זו המאפ שרת לתושב להודיע לפקיד הרישום כי הוא מסרב לקבל למענו הדיגיטלי מסרים מגופים ציבוריים (סעיף5א המוצע בחו.)ק מרשם האוכלוסין אולם, במקרה כזה עדיין יהיה הגוף הציבורי רשאי לשלוח לו מסרים המזהירים אותו בעניין ה עלול לסכן את שלומו או ביטחונו של אדם (סעיף3 ()ג(ב1 )) להצעת החוק. 6. בשני היבטים מרכזיים סבורה הרשות כי נדרשים מנגנונים משלימים על מנת להבטיח את ההגנה על פרטיותם של תושבי ישראל בעת הפעלת מנגנון הדיוור הדיגיטלי ה מוצע במסגרת הצעת ה חוק– ,האחד אבטחת המידע של המענים הדיגיטליים בעת העברתם מרשות האוכלוסין לכלל הגופים הציבוריים; ו ,השני קביעת כללים ברורים לגבי אופן הדיוור של מסרים דיגיטליים המכי ים ל מידע אישי רגיש ע ל אודות התושב, באופן שיאפשר ככלל את גישתו למידע רק בכפוף לתהליך הזדהות. 7. בהיבט אבטחת המידע - הצעת החוק אמנם כוללת הוראה המתנה את משלוח המסר בכך שהוא נשלח באופן מאובטח, תוך נקיטת אמצעי הגנה סבירים בנסיבות העניין מפני פגיעה או שיבוש בתהליך שליחתו, בשים לב לר גישות המידע הכלול במסר ותוך התחשבות בנוחות השימוש של הנמען (סעיף3 ()ג(א1 ))(ג) להצעת החוק ; וכוללת תנאי נוסף ו לפי הגוף הציבורי נקט אמצעי הגנה סבירים בנסיבות העניין כדי להבטיח שתוכן המסר לא ישתנה מעת שליחתו ועד קבלתו אצל הנמען (סעיף3 ()ג(א1 .))(ד) להצעת החוק 8. אולם, לעמדת הרשות להגנת הפרטיות לא די בהוראות אלו, ויש להוסיף מנגנונים משלימים לצורך אבטחת המידע של המענים הדיגיטליים בעת העברתם מ רשות האוכלוסין לכלל הגופים הציבוריים , שלכל הפחות לגבי חלקם ניתן לומר כי רמת אבטחת המידע בהם אינה הולמת את הדרישות המחייבות הקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז- 2017 . 3 3 לעניין ראו את דוח ממצאי הליך פיקוח הרוחב שערכה הרשות להגנת הפ רטיות בקרב70 ,רשויות מקומיות המחזיקות מידע על למעלה מ-5 ,מיליון תושבים אשר פורסם בנובמבר2021 . במסגרת הליך הפיקוח נמצא כי כמחצית מהרשויות ( שנבדקו48% .) עמדו ברמה נמוכה בהוראות החוק והתקנות בתחום אבטחת המידע הדוח זמין כאן. 3 זאת, על מנת לצמצם את הסיכון לדלף מידע ולזליגת המענים הדיגיטליים, הכוללים כאמור .מידע המוגן על פי חוק הגנת הפרטיות 9. הרשות נוטלת חלק בימים אלו בדיונים הפנים- ממשלתיים בנוגע לעיצוב המנגנונים המשלימים בתח ום אבטחת המידע של המענים הדיגיטליים, ובהם נדונה בין היתר השאלה היכן יש לעגן מנגנונים אלו .נכון ל עת ,הזו דיונים אלו .טרם נשלמו 10 . בהיבט אופן הדיוור של מסרים המכילים מידע אישי רגיש – עמדת הרשות היא שיש לקבוע כללים ברורים לגבי אופן הדיוור של מסרים דיגיטליים המכיל ים מידע אישי רגיש על אודות .התושב, באופן שיאפשר ככלל את גישתו למידע רק בכפוף לתהליך הזדהות הנושא מצוי בימים אלו בדיונים פנים-ממשלתיים, כחלק מעבודת הצוות הבינמשרדי בעניין מדיניות הדיוור 'הממשלתית, שהוקם בהחלטת הממשלה מס225 מיום1.8.21 . הרשות לוקחת חלק בדי וני הצוות, שטרם נשלמו בסוגיה זו, ובין היתר נדונה בהם השאלה היכן יש לעגן את הכללים בעניין .זה 11 . הרשות ל הגנת הפרטיות עומדת לרשות הוועדה בכל הדרוש במסגרת הליך הכנתה של הצעת החוק לקריאה שניה ושלישית, ותוכל לסייע ולתרום ממומחיותה בכל היבט הנוגע להסדרי הפרטיו.ת ואבטחת המידע הנוגעים להצעת החוק או לאופן יישומה ,בברכה ראובן אידלמן, עו"ד מנהל המחלקה המשפטית העתק: ג מר לעד סממה, ראש הרש ות להגנת הפרטיות