חומר רקע

PDF 9,476 תווים המסמך המקורי ↗
1 ועדת הגנת הפרטיות :יו"ר הוועדה :סגן :ממונה עו"ד דן חי עו"ד גיא שמואלי עו"ד שרה אליהו יצחקוב ,ת"א י"א באייר התש פ"ב 12/05/2022 לכבוד ח"כ גלעד קריב יו"ר ועדת חוקה חוק ומשפט הכנסת ירושלים ,מכובדי שלום רב :הנדון הצעת 'חוק הגנת הפרטיות (תיקון מס14 ), התש "ב פ – 2 202 נייר עמדה הננו מתכבדים להעביר בזאת את הערות ועדת הגנת הפרטיות של לשכת עורכי הדין (להלן "הו ועדה )" " להצעת החוק שבנדון (להלן הצעת החוק:") כדלקמן :בקצירת האומר  וה ועדה מברכת על היוזמה לתיקון חוק הגנת הפרטיות והתאמתו למציאות הדינמית והמתפתחת בעולם הפרטיות והטכנולוגיה. הננו תקווה כי הצעת החוק תקודם.  ברמה העקרונית סבורה הוועדה כי חוק הגנת הפרטיות הוא חוק ישן שאינו מעודכן לעידן הנוכחי ולהתפתחות הטכנולוגית, בעיקר בראי י ה של התפתחות הטכנולוגיות ועולם ה" ביג דאטה" . מכאן מברכת, כאמור, הוועדה על הצעת החוק הנוכחית . בתקווה שאישורה יביא לקיומו של חוק הגנת פרטיות חדש התואם את המציאות כיום, צופה פני עתיד ו עולה בקנה אחד עם רוח החקיקה הבינלאומית דוגמת תקנות המידע האירופאיות ו תקנות הגנת פרטיות הצרכן הקליפורניות. 2 ה ערותינו א. רישום מאגרי מידע 1. ה חוק המוצע מצמצם את חובת רישום מאגרי המידע, כך שתחול רק על מאגרים שיש בהם מידע אודות100,000 אנשים ומעלה ור ק אם מתקיימים אחד מהפרטים:הבאים - /המאגר כולל מידע על אנשים, בעוד שהמידע לא נמסר על ידם /מטעמם בהסכמתם למאגר .המדובר - .מאגר של גוף ציבורי - מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות .שירותי דיוור ישיר - קיים בו מידע בעל רגישות מיוחדת על500,000 אנשים או יותר. 2. בהתאם להלך הרוח בחקיקה העולמית המגוונת, דוגמת תקנות הגנת המידע האירופיות המאוזכרת בהקשר זה בהצעת החוק, עמדת הוועדה לעניין צמצום חובת רישום מאגרי המידע היא חיובית, אך מאמינה כי זו אינה מספקת. לעמדת הוועדה, הדבר הר או י לעשות הינו לנהוג באופן דומה לחקיקה האירופית ולבטל )(ללא תלות במספר נושאי המידע במאגר את חובת רישום מאגרי המידע, תוך התמקדות בהסדרה עצמית של מאגרי המידע בהתאם להוראות חוק הגנת הפרטיות האחרות, ותקנותיו, בפרט תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז- 2017 " (להלן תקנות האב טחה)" ותקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א- 2001 . 3. לעמדת הוועדה, הדבר י הלום את אופיו המהיר של השוק וישרת את תכלית הצעת החוק בעניין זה – התאמת הרשות להגנת הפרטיות לעידן הדיגיטל י תוך ייעול תפקודה והנגשת שירותיה ל ציבור הרחב. ב. מינוי ממונה אבטחת מידע החוק מחייב כיום מינוי ממונה אבטחת מידע (או "אחראי על הגנת מידע" כהגדרת תפקידו בנוסח )המוצע בין היתר בארגונים המחזיקים מעל חמישה מאגרי מידע. צמצום חובת הרישום (בה )תומכת הוועדה תוביל, לכאורה, לביטול חובה זו ובכך עלולה להיפגע משמעותית אבטחת המידע .של גופים אלו ובמידע המאוחסן במאגריהם. השינוי בחוק אינו מסדיר נושא זה ממילא, חובת מינוי ממונה אבטחה אין בה כדי לכסות על הפער הקיים בתקן בדמות ממונה פרטיות, אשר יהא אחראי על שגרת השימוש ב מידע אישי, בין אם תחת מאגר רשום ובין אם לאו. לפיכך, מוצע לעדכן .את הצעת החוק ולקבוע חובת מינוי של ממונה פרטיות בארגונים 3 ג. הגדרת בעל מאגר מידע ה צעת החוק מ שנה את שם המונח'בעל מאגר מידע ' ל- 'בעל שליטה במאגר מידע' ומגדירה אותו כ" ,מי שקובע, לבדו או יחד עם אחר את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור ". ההגדרה אינה ברורה די ה ועל פניו נראה כי גם מחלקה/יחידה בתוך ארגון עשויה להיחשב בעל שליטה ב .מאגר מידע ד. הגדרות של מידע ה צעת החוק המוצע ת מגדיר ה ."מחדש את המונח "מידע ואף טובע ת מונח חדש בדמות "מידע בעל רגישות מיוחדת" ומגדיר ה אות ו בהתאם לחקיקות הרלוונטיות לתחומים שונים . מן האמור עולה השאלה, האם רשימת ההגדרות המוצעת הינה רשימה סגורה או שמא ניתן להוסיף אליה הגדרות .נוספות,בנוסף חברים בוועדה סברו כי לא ברור האם ההגדרה החדשה מכסה גם מזהים )דיגיטליים (מקוונים באמצעות,ם, על פניו ניתן לזהות אדם מסוים, האם יש להגדיר מידע זה כמידע על פי החוק? ואם כן, האם עולה כדי מידע בעל רגיש ות מיוחדת אודות אדם . ,מן האמור עולה הת יה יה מדוע לא נעשתה התאמה ב שינוי הגדרת מידע.לדיגטציה שעולמנו עובר ה. הגדרה של אבטחת מידע ההגדרה לנושא אבטחת מידע חסרה. ההגדרה לא השתנתה במסגרת ה צעת החוק :והיא קובעת "הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין". הגדרה זו אינה נותנת מענה שלם לסוגיית אבטחת מידע שמורכבת משלושה מרכיבים .עיקריים: חיסיון/סודיות, שלמות וזמינות. בהגדרה הקיימת חסרה התייחסות למרכיב הזמינות ו. עיבוד במידע /שימוש במידע הצעת החוק אינה כוללת הגדרה חדשה למונח ""שימוש ומסתפקת בהוספת המילה ""אחסון להגדרה .יתרה מכך ,הגדרה שהוספה בהצעה הינה למונח ,""עיבוד הגדרה דלה מאוד שמפנה , למעשה ,להגדרה של ""שימוש ולהתייחסות לאיסוף מידע. להגדרת המונח שימוש חשיבות רבה ,באשר המחוקק משלב את המילה במקומות רבים בחוק ובתקנות הבאטחה .כך אין ההגדרה עוסקת בשאלה האם הפיכת מידע מזוהה לאנונימי היא בגדר שימוש ,האם צפייה במידע היא שימוש ושאלות נוספות. ההגדרה של ""עיבוד יוצאת מכאן דלה באותו אופן ולא ברור ממנה ביחס לסדרה של פעולות ,האם יהווה בגדר ""עיבוד מידע. 4 ז. מינוי מפקח בגוף ביטחוני סעיף23יט מגדיר את תנאי מינוי של מפקח בגוף ביטחוני כתנאים שיקבעו ע ל ידי הממונה וראש האגף הביטחוני. הדבר מעלה תה י יה מדוע לא ניתן להגדיר בחקיקה לכל הפחות תנאי יסוד למינוי באופן דומה לתנאי היסוד שנקבעים למינוי של מפקח בגוף שאינו גוף בטחוני. זאת כדי לוודא את התאמתו של המפק ח לתפקיד, הכה רגיש, .המדובר ח. זכות עיון סעיף23 כד עוסק בהטלת חיוב בהתאם לסעיף23 כג. הסעיף עוסק באופן הנכון להטלת חיוב על ידי הממונה, על המפר , היינו הסנקציה. על כן, לעמדת הו ,ועדה נכון יהיה לאפשר ל מפר בד בבד גם זכות עיון במידע שיש לממונה אודות הפרתו זאת כדי לאפשר לו לממש את זכות הטיעון שלו כראוי. ט. זכות טיעון סעיף23כה עוסק ב מ תן זכות טיע ון שבכתב טרם הטלת עיצום כספי על .ידי הממונה בגין הפרה ראוי יהיה לאפשר זכות טיעון זו אף בעל . פה כמו כן, ראוי יהיה להוסיף מנגנון דומה גם לסעיף 23לד שעוסק בזכות הטיעון בהקשר לה תראה .מנהלית י. זכות ערעור בהתאם לפרט28 לתוספת הראשונה לחוק בתי המשפט המנהליים, ניתן להגי ש ערעור על כל החלטת ממונה לביהמ"ש מנהלי. סביר, שכיוון שהצעת החוק מאפשרת קיומן של חלופות רבות להחלטות לממונה וכפועל יוצא פוטנציאל ערעורים גבוה. תציע הוועדה, כדי להפוך את ההליך לנגיש יותר כמו גם כדי להשיל עומס מבתי המשפט המנהליים, להקים אפשרות לערעור שבזכות ל בית המשפט השלום בעניינים מעניינם של סעיפים23 ,)כו (עיצום כספי23 ,)לד (התראה מנהלית23 לט (חילוט )עירבון ,להצעה דנן .בכפוף לשינויים המחויבים יא. פרסום העיצום הכספי סעיף23 מג להצעת החוק קובע את פרסום הטלת העיצום הכספי בדבר הפרת החוק באתר האינטרנט ל משרד המשפטי ם כדי להבטיח שקיפות. הוועדה תומכת ברציונל השקיפות אך חושבת שכדי להגן על שמו הטוב של המפר לכאורה, יש לחכות לחלוף המועד לערעור על ההחלטה או לחלופין על המועד להגשת עתירה מנהלית כנגדה , ולאפשר זכות תגובה לפרסום, כנהוג בפרסומים עיתונאיים . 5 יב. אכיפה אזרחית יעילה - ,כפי שהחוק מנוסח כיום1 אין הוא מאפשר אכיפה אזרחית יעילה. במידה ואזרח נפגע עקב שימוש במאגרי מידע שלא על פי הוראות החוק, אין הוא יכול לקבל פיצוי בשל כך, בגין הקושי הרב להוכיח את הנזק שנגרם לו. למעשה, האכיפה היחידה אשר מציע החוק הינה אכיפה מנהלית על ידי הממונה (כפי שהוא מוגדר בחוק) או אכיפה פלילית ואינו מאפשר לאזרח לקבל פיצוי על הפגיעה בפרטיותו. לא בכדי בחר המחוקק למקם את פרק מאגרי המידע בתוך חוק הגנת הפרטיות. כל הפרה של פרק זה משמעה פגיעה בפרטיותו של האזרח וראוי שתהיה כפופה גם לפיצוי אזרחי– ,נזיקי יעיל ולא רק לאכיפה מנהלית. אנו ממליצים על שתי דרכים בהן ניתן יהיה :לבצע אכיפה אזרחית יעילה ולקבל פיצוי על פי החוק א. יש לתקן את סעיף29 ()א(ב1 :) לחוק כדלהלן " לאחר המילים סעיף4 " " יבוא או סעיף31ב." בצורה כזו, יאפשר החוק לבית המשפט לפסוק פיצוי של עד50,000 ₪ מבלי שהנפגע יאלץ להוכיח נזק כלשהו. אל לנו להקל ראש בעוצמת הפגיעה בפרטיות אשר נובעת משימוש במאגרי מידע בניגוד לחוק. ישנם מאגרים הטומנים בחובם מידע רגיש עד מאוד וחשיפתו של מידע זה או שימוש בו לכל צו רך אשר אינו מהווה חלק ממטרת המאגר, מהווה פגיעה חמורה בפרטיות ומשכך, יש לאפשר את הפיצוי הסטטוטורי אשר הגדיר המחוקק .לפגיעה בפרטיות ב. נוכח היקף הפגיעה הרחב אשר עולה מעבירה על פי פרקים ב' ו– ד' לחוק ולתיקון המוצע, יש לאפשר הגשת תובענה ייצוגית אשר תאגד את כל הנ פגעים מאותה עבירה אשר ביצע אותו מעוול. על כן, יש לתקן את חוק התובענות הייצוגיות, התשס"ו– 2006 2, בתוספת השנ י יה, אחרי פרט3 1 , יבוא: "( 15 ) תביעה בעילה לפי פרקים ב ו– ד לחוק הגנת הפרטיות, תשמ"א– 1981 " סיכום א. העלנו הערות ביחס למספר סעיפים בחוק ואנו שומרים לעצמנו את הזכות להעביר הערות .מפורטות יותר לקראת הדיון שייערך ביחס לכל סעיף שייערך בהצעה שבנדון ב. נשמח אם עמדת ה וועדה .תובא בפני הוועדה הנכבדה 1 סעיף31ב .לחוק הקובע, כי עבירה על הוראות פרקים ב' או ד' לחוק הינה עוולה אזרחית 2 'ס"ח התשס"ו, עמ264 '; התשס"ח, עמ16 . 6 ג. אין חולק בדבר חשיבות התיקון המונח על שולחנה של הוועדה הנכבדה. עם ז את, טוב יהיה אם יאושר התיקון תוך התחשבות בעמדה שהבענו לעיל. באמצעות התיקונים המוצעים הדגשנו את הצורך להתייחס כראוי לזכויות מנהליות בסיסיות והנגשתן, כמו גם לחשיבות הרבה שיש לייחס להבהרת הגדרות החוק כך שיהיו מדויקות וקולחות. לבסוף הארנו את החשיבות הרבה שביכו .לת אכיפה במישור האזרחי, מלבד המישורים המנהלי והפלילי ,בכבוד רב ובברכה דן חי, עו"ד רועי סננס, עו"ד יו"ר וועדת הגנת הפרטיות חבר הוועדה :העתקים עו"ד אבי חימי, ראש לשכת עורכי הדין . .מר אורי אלפרסי, מנכ"ל לשכת עורכי הדין .חברי ועדת הגנת הפרטיות .עו"ד פינחס מיכאלי, מנהל הוועדות המקצועיות, לשכת עורכי הדין עו"ד שרה אליהו- .יצחקוב, ממונה ועדת הגנת הפרטיות, לשכת עורכי הדין