חומר רקע
1
15
במר
ס
2022
י"ד באייר התשפ"ב
אל
: חברי ועדת החוקה, חוק ומשפט
מאת: הייעוץ המשפטי לוועדה
'מסמך הכנה מס2
מטעם הייעוץ המשפטי לוועדה–
לדיון הקבוע ביום16.5.22
ב הצעת חוק הגנת
'הפרטיות (תיקון מס14), התשפ"ב–
2022
– מונחים והגדרות:
סעיף1
להצעת החוק- שינוי מונ
חים ", והגדרת "ממונה
"שינוי מונחים
1.בחוק הגנת הפרטיות ,התשמ"א–
1981
1 (להלן – החוק העיקרי ,)בכל מקום –
(1)
במקום "פנקס "יבוא "מרשם;"
(2)
במקום "בפנקס "יבוא "במרשם;"
(3)
במקום "מהפנקס "יבוא "מהמרשם;"
(4)
במקום "הרשם "יבוא "הממונה;"
(5)
במק
ום "לרשם "יבוא "לממונה;"
(6)
במקום "בעל מאגר מידע "יבוא "בעל שליטה במאגר מידע;"
(7)
במקום "בעל מאגר המידע "יבוא "בעל השליטה במאגר המידע;"
(8)
במקום "מבעל מאגר מידע "יבוא "מבעל השליטה במאגר מידע;"
(9)
במקום "מבעל מאגר המידע "יבוא "מבעל השליטה במ
אגר המידע;"
(
10
)
במקום "לבעל מאגר המידע "יבוא "לבעל השליטה במאגר המידע;"
(
11
)
במקום "לבעל המאגר "יבוא "לבעל השליטה במאגר."
"
תיקון סעיף7
3.
(2)
אחרי ההגדרה "אבטחת מידע "יבוא:
""בעל שליטה במאגר מידע "
– מי שקובע ,לבדו או יחד עם אחר ,את מטרות
עיבו
ד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר
מידע או שבעל תפקיד בו הוסמך לכך כאמור;";
1 ס
"ח התשמ"א, עמ '
128
'; התשע"ז, עמ986
.
2
"הממונה על הגנת מידע" ,"הממונה "
–
מי שמתקיימים בו תנאי הכשירות
להתמנות לשופט של בית משפט מחוזי והממשלה מינתה אותו,
בהודעה ברשומות ,לפקח על הגנת המידע במאגרי דע מי לפי הוראות
חוק זה;";
סעיף1
לתיקון
מציע
שינוי של שלושה
מונחים ": מ"פנקס" ל"מרשם" מ"הרשם" לממונה" ומ"בעל מאגר מידע
"ל"בעל שליטה במאגר מידע .
מאחר שמונחים אלו שזורים כבר היום במקומות שונים בחוק, מוצע להחליף את
המונחים בכל מקום בו הם מופיעים
על הטיותיהם הש
ונות.
,בנוסף
מוצעות, ב סעיף3 לתיקון,
הגדרות חדשות
"ל"ממונה, על אבטחת המידע" ול
בעל שליטה במאגר מידע ."
1.
""פנקס –
>
""מרשם –
ההוראה העיקרית הנוגעת לפנקס, הוא ניהולו של פנקס מאגרי המידע
על ידי
הרשם , המוסדר בסעיף12
לחוק. לצידו קובע סעיף8 יא סור על ניהולו או
חז ה קתו של מאגר מידע החייב
ברישום אלא אם הוא נרשם בפנקס .
צירוף
סעיפים אלו
עם
סמכותו של הרשם
להתלות את תוקפו של
הרישום בפנקס או לבטל את הרישום
אם בוצעו הפרות של הוראות החוק מצד בעל מאגר המידע
(סעיף10
)
מהווה לכאורה מעין "צו סגירה מינהלי" למאגר מידע.
יצוין כי
ב פועל הרישום של
מאגר
י מידע בפנקס
הוא
חלקי ביותר
ויש
כוונה לצמצ
ם
את חובת הרישום
באופן רשמי ,במסגרת התיקון המוצע .
עוד
נציין כי ככלל, הרישום (בפנקס או במרשם בכלל) הוא נושא שראוי
שהוועדה תיתן עליו את דעתה ,בין
היתר בשים לב לכך שחובת הרישום ,ובהתאם
""המרשם
ו
"מא גר
מידע "אינם מונחים שמאפיינים את
תקנות ה-
GDPR
או חוקי פרטיות עדכניים במרבית מדינות המערב ;
:לדיון
-
האם בשים לב לכך
ש בהצעה מוצע לצמצם את חובת הרישום ואולי אף לבטלה בעתיד הלא רחוק, יש
הצדקה לשינוי המונח "פנקס" למרשם? הן מאחר שהשימוש ב מונח
מרשם במקום פנקס ד ווקא מלמד
על הרחבה מסוימת והן מאחר ששינוי המושג יצור חוסר הלימה עם מופעים של המונח בדין, לדוגמא
בתקנה64
ל
תקנות שירות נתוני אשראי
, תשס"ד-
2004
,ת קנות הגנת הפרטיות (תנאי החזקת מידע
ושמירתו וסדרי העברת מידע בין גופים ציבוריים
), תשמ"ו-
1986
;תק
נות חתימה אלקטרונ
ית
(רישום
גורם מאשר וניהולו), תשס"ב-
2001
; תקנה4 בכללי נתוני אשראי (רישוי לשכות
), תשע"ז-
2017
. זאת
.לצד פסקי דין בנושא יצוין כי בשל חוסר ההלימה שיוצר תיקון המונח "ממונה" מוצע בתיקון להחליף
את המונח "הממונה על אבטחת מידע" לאחראי על אבטחת המידע, אך לטעמנו דוו קא הצורך בשינוי
.הגדרות שכבר נקלטו ונעשה בהן שימוש עלול ליצור בלבול נוסף
2.
""הרשם –
>
""הממונה –
כיום מופיע בחוק המונח "הרשם" בהוראות שונות המסדירות את תפקידיו
וסמכויותיו, ב
עיקר ב הקשרי רישום מאגר (סעיפים10
ו-
12
.)לחוק לצד שינוי המונח ""הרשם "ל"ממונה
מוצע לה
חליף גם את תוכן ההגדרה, כך שההגדרה החדשה תגדיר,, כך על פי דברי ההסבר
בצורה מדויקת
יותר
את
תפקידו של הרשם ו
ה סמכויות
הנוספות שמוצע להקנות לו לפי הצעת החוק – מ"
ניהול פנקס מאגרי
3
המידע"
,כעולה מההגדרה
,היום
ל "פיקוח על הגנת המידע"במאגרי מידע
, הבא
ה
לידי ביטוי
בת
חום
הפיקוח ,הבירור והאכיפה המנהלית והפלילית . בהתאם מוצע לשנות גם את תנאי ההסמכה ולקבוע כי
.הממונה יהיה מי שמתקיימים בו תנאי הכשירות לשופט של בית משפט מחוזי
במקום -
""רשם-
מי שמתקיימים בו תנאי הכשירות למינוי
שופט של בית משפט השלום ,, והממשלה מינתה אותו
בהו ,דעה ברשומות
לנהל את פנקס מאגרי מידע
(להלן-
הפנקס) כאמור בסעיף12
;
יוגדר :
""הממונה על הגנת המידע", "הממונה– מי שמתקיימים בו תנאי הכשירות להתמנות
לשופט של בית משפט
מחוזי ,והממשלה מינתה אותו, בהודעה ברשומות
לפקח על הגנת המידע במאגרי מידע לפי הוראות חוק ז
ה;"
לדיון :
-
קיים חשש כי המונח המוצע ""ממונה" או "הממונה על הגנת מידע ,שמתייחס לגורם הציבורי
,הממשלתי, האמון על אכיפת החוק במאגרי המידע
עלול ליצור בלבול עם מונחים אחרים בחוק
המתארים בעלי תפקידים פרטיים ובפרט עם המונח"ממונה על אבטחה" " או
ממונה ", לפי סעיף17
ב
לחוק ,
" עם המונח
ממונה על הגנת הפרטיות "ב
הצע
ו ת
והשיח של הרשות ביחס ל
ממונה פרטיות ארגוני
(
'הגורם בארגון שתפקידו להביא להפנמה של עקרונות ושיקולי פרטיות בתהליכי עבודה בארגון וכו ) וכן
המונח"ממונה הגנת מידע" –
התרגום המקובל למונחData Protection Officer
שכל חברה ישראלית
( החבה בציות לתקנות הגנת הפרטיות של האיחוד האירופאי
ה“GDPR”) נדרשת למנות
(סעיף37
ל-
GDPR
.
האם לא ניתן לשנות את המונח
הקיים,
""הרשם, ל מונח""ראש הרשות להגנת הפרטיות
או "מנהל
הרשות להגנת הפרטיות"
? או?מונח אחר
מונח זה ישקף
א,ת תפקידיו וסמכויותיו
כמו גם את היותו
,ראש לרשות הרגולטורית האמונה על נושאי הפרטיות
אך ימנע בלבול באשר לזהות בעל התפקיד
.וסמכויותיו
:הצעה חלופית
"ראש הרשות להגנת הפרטיות", ראש הרשות
/ מנהל הרשות –
מי שהממשלה מינתה אותו בהודעה ברשומות לעמוד
בראש הרשות להגנת הפרטיות ו שמתקיימים
בו תנאי הכשירות להתמנות
לשופט של בית משפט מחוזי והממשלה
,מינתה אותו, בהודעה ברשומות
לפקח על הגנת המידע במאגרי מידע לפי הוראות חוק זה;"
3.
""בעל מאגר מידע–
>
""בעל שליטה במאגר מידע –
המונח "בעל מאגר מידע" אינו מוגדר כיום בחוק, אך
.מופיע בו מספר רב של פעמים
מאח ר שבהצעת החוק מוצע לקבוע לראשונה הגדרה לעניין בעל שליטה, יש
.מקום לדון בהחלפת המונח במסגרת הדיון בהגדרה עצמה
סעיפים2 ו-
3 להצעת החוק: תיקוני הגדרות ב
סעיפי
ם 3 ו-
7 לחוק הגדרת מונחים ו הגדרות
4
תיקון סעיף 3
2.בסעיף 3 לחוק העיקרי –
(1)
במקום ההגדרה "מחזי
ק ,לעניין מאגר מידע "יבוא:
""מחזיק ,"לעניין מאגר מידע –
מי שהתקשר עם בעל שליטה במאגר מידע
למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה,
וקיבל מבעל השליטה במאגר המידע ,במסגרת ההתקשרות ,הרשאה
לעשות שימוש במידע שבמאגר לצורך מתן השירות;";
(2)
בה
גדרה "שימוש ,"אחרי "לרבות "יבוא "אחסון."
תיקון סעיף 7
3.בסעיף 7 לחוק העיקרי –
(1)
ברישה ,במקום "ובפרק ד "'יבוא "ובפרקים ד 'עד ד'4
;"
?'האם ניתן להחיל את ההגדרות גם ביחס לפרק ה
(2)
אחרי ההגדרה "אבטחת מידע "יבוא:
""בעל שליטה במאגר מידע "
– מי ש
קובע ,לבדו או יחד עם אחר ,את מטרות
עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר
מידע או שבעל תפקיד בו הוסמך לכך כאמור;";
(3)
במקום ההגדרות "מאגר מידע" ,"מידע "ו"מידע רגיש "יבוא:
""מאגר מידע "
–
אוסף פרטי מידע המוחזק באמצעי דיגיטלי ,למעט או
סף
לשימוש אישי שאינו למטרות עסק;
"מזהה ביומטרי "
– נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו ,או
אמצעי ביומטרי שניתן להפיק ממנו נתון כאמור ;לעניין זה" ,ביומטרי"
–
מאפיין אנושי ,פיזיולוגי או התנהגותי ,ייחודי ,הניתן למדידה
ממוחשבת;
"מידע "
–
נתון ה
נוגע לאדם מזוהה ,או לאדם הניתן לזיהוי ,במישרין או
בעקיפין ,באמצעים סבירים ,לרבות מזהה ביומטרי ,מספר זהות או כל
נתון מזהה ייחודי אחר;
"מידע בעל רגישות מיוחדת "
– כל אחד מאלה:
(1)
מידע על צנעת חייו האישיים של אדם ,לרבות התנהגותו ברשות
היחיד;
5
(2)
מידע רפואי כהגדרתו בחוק זכויות החולה ,התשנ"ו–
1996
2;
(3)
מידע גנטי כהגדרתו בחוק מידע גנטי ,התשס"א–
2000
3;
(4)
מידע על אודות דעותיו הפוליטיות או אמונותיו של אדם;
(5)
מידע על אודות עברו הפלילי של אדם;
(6)
נתוני מיקום ונתוני תעבורה ,כהגדר
תם בחוק סדר הדין הפלילי
(סמכויות אכיפה – נתוני תקשורת ,)התשס"ח–
2007
4 ,לגבי אדם;
(7)
מזהה ביומטרי;
(8)
מידע על מוצאו של אדם;
(9)
מידע על נכסיו של אדם ,חובותיו והתחייבויותיו הכלכליות,
מצבו הכלכלי או שינוי בו ,יכולתו לעמוד בהתחייבויותיו הכלכלי
ות
ומידת עמידתו בהן;
(
10
)
הרגלי צריכה של אדם ,שיש בהם כדי ללמד על מידע לפי פרטים
(1
)עד (8
;)
(
11
)
מידע שחלה עליו חובת סודיות שנקבעה בדין;
(
12
)
מידע נוסף שקבע שר המשפטים ,בצו ,באישור ועדת החוקה
חוק ומשפט של הכנסת;
"הממונה על הגנת מידע ,"
"הממונה "
–
מי שמתקיימים בו תנאי הכשירות
להתמנות לשופט של בית משפט מחוזי והממשלה מינתה אותו,
בהודעה ברשומות ,לפקח על הגנת המידע במאגרי מידע לפי הוראות
חוק זה;";
מונחים
והגדרות
בחוק, ר
קע ומטרות תיקוני ההגדרות :
מרבית ה הגדרות
ב חוק הגנת הפרטיות הן הגדרות
ישנ ות ולא מעודכנות. חוסר העדכון הביא עם השנים לצד
קשיים פרשניים בדין המקומי גם לחוסר בה רמוניה עם חקיקת פרטיות בעולם ובפרט עם
ה-
GDPR
,
שהוראותיה מהוות .סטנדרט עולמי לחקיקת פרטיות מאחר ,שחברות וגופים רבים כיום הם בינלאומיים חוסר
2 ס '"ח התשנ"ו, עמ327
.
3 ס '"ח התשס"א, עמ62
.
4 ס '"ח התשס"ח, עמ72
.
6
ההרמוניה מעלה באופן משמעותי את הע
לות הרגולטורית
ומחייב עמידה בדין .כפול על כן מן הראוי שהשאיפה
להאחדה או הרמוניה עם הדין הבינלאומי תהיה אחת ממטרותיה של הצעת החוק ותנחה את שיקולי הוועדה
.בדונה בהגדרות
מטרה נוספת שראוי לוועדה להתייחס אליה הוא פישוטו של החוק וארגונו באופן מיטבי וקל לקריאה.
בהקשר
זה נציין כי
אחד הנושאים שנדרש בהם פישוט הוא נושא ההגדרות .
בחוק כיום ארבעה סעיפים שונים שעניינם
הגדרות: סעיף3
, שכותרתו""הגדרת מונחים ,מתייחס, ככלל,
למונחים
ש רלוונטיים
לכל החוק ו-3
סעיפי
"הגדרות"
נוספים ובהם
הגדרות ש
רלוונטיות לפרקים ספציפיים
:בחוק ס עיף7
מתייחס ככלל להגדרות של פרק
ב' "מאגרי מידע"
ובאמצעות הפניה נוספת גם להגדרות'פרק ד "מסירת מידע או ידיעות מאת גופים ציבוריים",
סעיף17
ג כולל הגדרות למונחים הרלוונטיים לסימן ב' בפרק ב', וסעיף23
"מגדיר את המונח "גוף ציבורי
.הרלוונטי לפרק ד' לחוק
למרות
ש ההגדרות מייצרות לכאורה הבחנה מכוונת בין סעיפי הגדרות כלליים והגדרות הרלוונטיות לפרקים
מסוימים, הגדרה זו גם יוצרת קושי בקריאת החוק ובהאחדתו, בפרט מתוך מבט צופה עתיד. כך לדוגמא יש
להניח כי י
י ווצר קושי כאשר תתבקש הרחבת סעיף2 (נסיבות המהוות פגיעה בפרטיות)
גם להפרות המנויות
בפרקים אחרים היוצרים פגיעה בפרטיות .
,מאחר שאיחוד ההגדרות עלול לייצר קושי מבחינת הפניות לחוק אנו
.סבורים כי נושא זה מצריך ליבוי נוסף ומציעים לעת עתה לדון בהגדרות גופן, תוך בקשה לבחינת הנושא בהמשך
ההגדרות
אותן מוצע להוסיף או לתקן מסודרות
על
פי סדר הא"ב
, ואולם התייחסותנו תהיה ע ל פי קיבוצן של
ההגדות לפי
נושאים .
,"מידע""מאגר מידע ,
""מזהה ביומטרי,
""מידע בעל רגישות מיוחדת וידיעה על ענייניו הפרטיים של אדם–
מוצע להחליף את ההגדרות "מאגר מידע" ו"מידע" בהגדרות חלופיות וכן להחליף את ההגדרה "מידע רג "יש
."בהגדרה "מידע בעל רגישות מיוחדת ההגדרות האמורות מצויות בסעיף7
,
ומתייחסות
ל הגדרות פרק ב' ופרק
'ד ועל פי ההצעה גם להגדרות פרק ד1` עד ד4`
:
""מידע
""מידע - נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, ד עותיו
;ואמונתו
""מידע–
נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מזהה
;ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר
ההגדרה "מידע" מהווה את אבן היסוד להגנת הפרטיות במאגרים ממוחשבים .
ההגדרה הקיימת בחוק
משקפת
תפיסה
מיושנת ו ,לפיה רק סוגי מידע מסוימים ראויים להגנה. ואולם כיום ברור כי חלק משמעותי ביותר מהגנת
מידע הוא דווקא
ההגנה מ איגום והסקה של מידע
הנובע
"משילוב של פרטי מידע, לרבות פרטי מידע "תמימים
.שמצטרפים לכדי "פאזל" או מאפשרים גילויו של פרט אחר כך לדוגמא, מס פר זהות ותאריך ההנפקה של תעודת
הזהות עשויים להיות מספיקים לקבלת סיסמה למידע רפואי או לגישה למידע או לפעולות פיננסיו ת. גם מידע
7
,"תמים" על קשר משפחתי
עשוי לאפשר הסקת מסקנות על מצב בריאותי או פיננסי
של נושא המידע אך גם של
משפחתו .
ההגדה המוצעת משקפת את התפיסה .החדשה
יצוין כי בשל החסר בהגדר
ה
הקיימת נקטו בתי המשפט בשנים האחרונות בפרשנות מרחיבה לעניין סוגי הנתונים
.הנכללים במסגרת "מידע" ובפרט לעניין היכולת לייצר קשר בין נתונים אלה לבין אדם מזוהה גם הרשות להגנת
הפרטיות הוציאה" טיוטת
גילוי דעת"
" מרחיב בנושא
מידע" ו
"י"דיעה על ענייניו הפרטיים של אדם
להערות
הציבור .
ההגדרה המוצעת
נת עג מ
את
הפרשנות הרחבה שננקטה
על ידי בתי המשפט או הרשות במסגרת ביצוע
סמכויותיה
עד כה .
בהמשך להערה ביחס לתאימות הבינלאומית נציין כי ההגדרה המוצעת תואמת ככלל את התפיסה המקובלת
בעולם ובפרט את הה גדרה של "מידע אישי" כפי שהיא מעוגנת בסעיף4(1) ל-
GDPR
:
‘personal data’ means any information relating to an identified or identifiable natural person
(‘data subject’); an identifiable natural person is one who can be identified, directly or
indirectly, in particular by reference to an identifier such as a name, an identification number,
location data, an online identifier or to one or more factors specific to the physical, physiological,
genetic, mental, economic, cultural or social identity of that natural person;
מידע לפי הצעת החוק מידע אישי ב-
GDPR
,נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי
כל מידע המתייחס לאדם מזוהה או לאדם שניתן
לזיהוי
,במישרין או בעקיפין באופן ישיר או עקיף
,באמצעים סבירים
לרבות מזהה ביומטרי, מספר זהות או כל נתון
מזהה ייחודי
;אחר
בפרט ב אמצעות שם, מספר מזהה, מידע אודות
מיקום, ו-
, an online identifier
" ,כלומר
עקבות
דיגיטליים" שאדם משאיר על ידי שימוש באינטרנט ,
לרבות שם המשתמש ברשת החברתית או המזהה
שניתן למכשיר בו הוא עושה שימוש כדי לגלוש
באינטרנט
ומועבר למפרסמים על מנת שיוכלו לשלוח
למכשיר
פרסומות מותאמות אישית,
,או מאפיין פיזי
.פסיכולוגי, גנטי, נפשי, כלכלי ותרבותי
מהם
אמצעים סבירים לזיהוי אדם ?
בהצעת החוק
מוצע להוסיף את הביטוי "אמצעים סבירים", אשר אינו מהווה חלק מההגדרה שלpersonal data
ב-
GDPR
(אלא בא לידי ביטוי
ב-
Recitals, שניתן לראות ב ו מעין הקדמה או
דברי הסבר .)
על פניו המשמעות
היא כי אין להתייחס ליכולת זיהוי הנובעת רק מיכולת תיאורטית המחייבת אמצעים מתוחכמים במיוחד
.)(לדוגמא יכולות ביון או יכולות עיבוד של מדינה
מאידך, על מנת להיכנס לגדרי ההגדרה אין חובה כי יכולת
הזיהוי תהיה ישירה, כ
ך שי
יתכן, לדוגמא, שמידע מזוהה לצורך החוק יכול להיות גם ביחס ל אנשים המופיעים
במאגר מידע
מ ,מצלמות אבטחה באופן בלתי מזוהה שאותם ניתן לזהות .באמצעות הצלבה למאגרי מיקום
8
מבחן
האמצעים הסבירים ב-
GDPR
, כאמור, ב Recitals-
במסגרת השאלה מהו אדם הניתן לזיהוי. על פי דברי
ה הסבר השאלה האם פרט ניתן לזיהוי מחייבת בחינה של האמצעים שסביר שייעשה בהם שימוש, תוך לקיחה
:בחשבון של הזמן והעלות הנדרשים לצורך כך, של הטכנולוגיות הזמינות וכן של ההתפתחויות הטכנלוגיות
)26(
The principles of data protection should apply to any information concerning an identified
or identifiable natural person. Personal data which have undergone 8seudonymization, which
could be attributed to a natural person by the use of additional information should be considered
to be information on an identifiable natural person. To determine whether a natural person is
identifiable, account should be taken of all the means reasonably likely to be used, such as
singling out, either by the controller or by another person to identify the natural person directly or
indirectly. To ascertain whether means are reasonably likely to be used to identify the natural
person, account should be taken of all objective factors, such as the costs of and the amount
of time required for identification, taking into consideration the available technology at the
time of the processing and technological developments. The principles of data protection
should therefore not apply to anonymous information, namely information which does not relate
to an identified or identifiable natural person or to personal data rendered anonymous in such a
manner that the data subject is not or no longer identifiable. This Regulation does not therefore
concern the processing of such anonymous information, including for statistical or research
purposes.
בחוק הבריטי מ ופיע ניסוח זהה
ל
ניסוחו של הסעיף ב-
GDPR. פרשנות ה"מונח המקביל ל
אמצעים הסבירים"
:ניתנה במסמך הנחיות/ גילוי דעת של הרשותInformation Commissioner’s Office, Chapter 2: How do
we ensure anonymization is effective? (October 2020)
. המבחן המתואר בחוות הדעת הוא
מב חן "הפורץ
"המתעניין–
ולפיו האם אדם בעל יכולות רגילות, שיש לו גישה למשאבי מידע מתאימים, כגון מידע המתפרסם
,באינטרנט, במאגרי מידע ציבוריים או בספריות,או שצפויה להיות לו גישה כאמור
עושה שימוש בטכניקות
מחקר רגילות, ויש לו מוטיבציה לזהות אדם מסוים, יצליח
לקשר בין המידע למושא המידע.
לדיון:
(1)
האם נכון למקם את הביטוי""אמצעים סבירים כחלק מההגדרה
או שנכון יהיה להתייחס לביטוי בהוראה
אחרת בחוק?
(2)
חרף המלצתנו הכללית לשאוף לדמיון גבוה ככל הניתן להסדרים ב-
GDPR
,
נבקש לחדד את ההבהרה של
הסיפא– האם נדרשת הסיפא "לרבות מזהה ב
יומטרי, מספר זהות או כל נתון מזהה ייחודי אחר"
והאם
?נכון למקם את הסיפא במסגרת ההגדרה
נבהיר כי לעמדת הרשות המצוין בסיפא אינו רק פירוט אלא
קביעה כי גם"המפתחות"
(כמו מספר תעודת זהות–
המאפשר גישה למידע נוסף אך שכשלעצמו אין בו
)מידע
ה ם כלשעצמם
נחשבים "מידע".
,עם זאת
נוכח סגנון הכתיבה המקוצר (בניגוד ל-
GDPR
)
האם נכון
למק
ם את ה
סיפא כחלק מההגדרה או שמא ניתן להגדירה (
אולי לצד
דוגמאות נוספות),
במסגרת סעיף
?פרטני
9
(3)
נראה כי הביטוי"ענייניו הפרטיים של אדם" ב סעיף2, כמו גם במקומות אחרים בחוק
,ובהצעת החוק
תואם
במידה רבה
את הביטוי "מידע" המוצע . האם עדיין יש לביטוי זה מקום? מה ההבחנה בין הביטוי ובין
""מידע?
:הצעה חלופית
""מידע–
,נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי, במישרין או בעקיפין[באמצעים סבירים
]]?[
,לרבות מזהה
ביומטרי ,מספר זהות או כל נתון מזהה ייחודי אחר;
"מאגר מידע"
""מאגר מידע -
אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט–
(
1
)
אוסף לשימוש אישי שאינו למטרות עסק; או
(
2
)
אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם
ששמותיהם
;כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף
""מאגר מידע–
אוסף פרטי
מידע המוחזק באמצעי דיגיטלי, למעט
;אוסף לשימוש אישי שאינו למטרות עסק
כללי -
בהגדרה המוצעת מספר שינויים המבטאים את ההתפתחויות הטכנולוגיות ובכלל זאת החלפת אופן
ההחזקה של פרטי המידע להחזקה באמצעי דיגיטלי
ו הורדת
התנאי
" לפיו המאגר
מיו
עד לעיבוד מחשב", ו
כן
ביטול ההחרגה למאגרים
שכוללים רק שמות, מענים ודרכי התקשרות מההגדרה של מאגר מ
ידע , כך שלמעשה
כיום גם רשימת עובדים מהווה מאגר מידע אם היא ערוכה באופן דיגיטלי .
על פי דברי ההסבר ביטול ההחרגה
של מאגרי שם ומען נובע מכך ש אין כמעט מאגרי מידע שלא מייצרים אפיון שיש בו פגיעה בפרטיות לגבי מי
ששמותיהם כלולים במאגר, וזאת,, כאמור נוכח השיפור ביכו
לת לעבד מידע ולנתחו ו כן להצליב סוגי מידע
.שונים
יצוין כי שבעוד שבחקיקת הגנת המידע באיחוד האירופי שקדמה ל-
GDPR
הופיע המונח "מאגר מידע" כמונח
,מרכזי מבחינת היקף ההגנה שהוענקה אז במסדרת החקיקה כיום אין עוד
ב-
GDPR
התייחסות ל"מאגרי
מידע" וההגנה מוענקת לכל "מיד."ע אישי
לשימוש אישי –
.בהצעת החוק החרגה של אוסף פרטים לשימוש אישי
למיטב ידיעתנו אין בפסיקה הכרעות מהותיות ביחס
לביטוי זה או
גילוי דעת של הרשות
(ראו התייחסות מסוימת של בית המשפט בעניין ע"פ8464/14
'ניר עזרא נ
מ"י, בו נדון הביטוי אגב ניסיון להרשעה בגניבה)באמצעות חדירה לחשבונות בנק, בעבירה של אי רישום מאגר .
ב-
GDPR
:קיימת החרגה של פעילויות אישיות
Article 2(c): By a natural person in the course of a purely personal or household activity
וב-
Recital
:
Recital 18: Not applicable to personal or household activities
(
18
)
This Regulation does not apply to the processing of personal data by a natural person in
the course of a purely personal or household activity and thus with no connection to a
10
professional or commercial activity. Personal or household activities could include
correspondence and the holding of addresses, or social networking and online activity undertaken
within the context of such activities. However, this Regulation applies to controllers or processors
which provide the means for processing personal data for such personal or household activities.
לדיון:
(1)
האם נכון להחריג מידע שאינו מוחזק באמצעי דיגיטלי כיום, כאשר היכולת לעבור בין השניים היא רבה
?וקלה
(2)
?מתי הופך מידע למידע שהוא למטרות עסק
האם אכן קיימת קורלציה בין פוטנציאל הפגיעה ובין
איסוף המידע ל ?שימוש עסקי מה לגבי גופים שאינם עסק? מה דינה של עמותה לדוגמא? או התארגנות
?אחרת?רשימות של ועד הבית לדוגמא
""ידיעה על ענייניו הפרטיים של אדם
,כאמור
לצד ה הגדרה ""מידע" כמתואר להלן וכן "מידע בעל רגישות מיוחדת קיים בחוק גם שימוש בביטוי
"ידיעה על ענייניו הפר
טיים של אדם ."
כך בסעיף2(9
) לחוק ובסעיף23
א" שכותרתו
תחולה על ידיעות " ושקובע
כי הוראות פרק
ד' שעניינן מסירת מידע בין גופים ציבוריים חלות
על ידיעות על עניניו הפרטיים של אדם, אף
שאינן בגדר מידע, כשם שהן חלות על מידע
, וכן בפרק הדיוור הישיר .
בנוסף, בהצעת החוק
הרחבה של השימוש במונח. כך מוצע להוסיף את סעיפים10ב ו-
10
ג- "איסור שימוש
במידע ממאגר מידע בניגוד למטרה שלשמה נמסר"
"ו
איסור שימוש או החזקה במידע ממאגר מידע בלא
הרשאה " הקובעים איסור על שימוש במידע וכו' "לרבות
ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר
דע מי ,ממאגר מידע"
. גם
בהמשך הצעת החוק
, ב עיצומים
ה
כספיים המוצעים בו הוראות
ה
עונש
י ות יש שימוש
.במונח
בית המשפט העליון העניק משמעות רחבה לביטוי: ב ע"א439/88
רשם מאגרי מידע נ' ונטורה, פ"ד מח(3
)
808
שם
פרש השופט
בך בהרחבה את צרוף המילים "עניניו הפרטיים של אדם", לצורך פרוש הביטוי בסעיף2 (9
)
לחוק. הפרשנות הראויה לדעתו למילים אלו כוללת "כ
ל מידע הקשור לחייו הפרטיים של אותו אדם , לרבות
שמו, כתובתו, מספר הטלפון שלו, מקום עבודתו, זהות חבריו, יחסיו עם אשתו ויתר חברי משפח"תו וכדומה .
גם בפסק דין מעודכן יותר (משנת2009
:) ניתנה לביטוי משמעות רחבה "את תוכנו של הביטוי ידיעה על ענייניו
הפרטיים של אדם יש לצקת בכל מקרה בהתאם למכלול הנתונים הרלוונטיים, ותוך מחויבות להגנה על יכולתו
של האדם לקיים את האוטונומיה שלו ואת המרחב הפרטי הנת ון לו" (עע"מ9341/05
'התנועה לחופש המידע נ
( רשות החברות הממשלתיות2009
), פסקה3
.)
:לדיון
(1)
"האם בהתחשב בהגדרה החדשה של "מידע–
?"עדיין נדרש הביטוי "ענייניו הפרטיים של אדם
(2)
"האם לא נדרשת הגדרה מפורשת של "ענייניו הפרטיים של אדם בשים לב לכך ש ההגדרה היא רכיב
מ ?שמעותי בעבירות מינהליות ובעבירות פליליות
11
"
"מידע בעל רגישות מיוחדת
""מידע רגיש–
(
1
)
;נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו
(
2
)
;מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש
"מי "דע בעל רגישות מיוחדת– כל אחד מאלה:
(
1
)
;מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד
(
2
) מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ
"ו–
1996
;
(
3
) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–
2000
;
(
4
)
;מידע על אודות דעותיו הפוליטיות או אמונותיו של אדם
(
5
)
מידע
על אודות עברו הפלילי של אדם;
(
6
)
נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה–
נתוני
תקשורת), התשס"ח–
-
2007
;, לגבי אדם
(
7
)
;מזהה ביומטרי
(
8
)
מידע
ע;ל מוצאו של אדם
(
9
) מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו , יכולתו לעמוד בהתחיבויותיו
הכלכליות ומידת עמידתו בהן;
(
10
)
( הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים1
( ) עד8
) ;
(
11
)
;מידע שחלה עליו חובת סודיות שנקבעה בדין
(
12
)
;מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוק חוק ומשפט של הכנסת
מוצע להחליף את ההגדרה של""מידע רגיש
בחוק ולהחליפה בהגדרה "מידע בעל רגישות מיוחדת" המונה11
סוגי מידע (בנוסף להסמכה של השר ל ,"קבוע סוגים נוספים). רשימה זו רחבה יותר מהמונחים ב"מידע רגיש
והיא דומה
לרשימה המנויה בתוספת הראשונה לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–
2017
, שעניינה
מאגרי מידע שחלה עליהם רמת האבטחה
הבינונית
, שזו נוסחה:
)"(א מידע על צנעת חייו האישיים של אדם, לרבות
התנהגותו ברשות היחיד;
)(ב מידע רפואי או מידע על מצבו הנפשי של אדם;
)(ג
מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א-
2000
;
)(ד
מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם;
)(ה
מידע על אודות עברו הפלילי של אדם;
)(ו
נתוני תקשורת כהגדרתם בחוק סד ר הדין הפלילי (סמכויות אכיפה–
נתוני תקשורת), התשס"ח-
2007
;
)(ז
מידע ביומטרי;
)(ח מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד
בהתחייבויותיו הכלכלי
ו
ת ומידת עמידתו בהם;
)(ט
הרגלי צריכה של אדם שיש בהם כדי ללמד
על מידע לפי פרטים (א) עד (ז) או על אישיותו של אדם, אמונתו או
דעותיו."
ההגדרה ,הנוכחית משמשת על פי הנוסח המוצע
ענ ל יין חובת הרישום (מאגרים בעלי מידע רגיש נדרשים
לרישום
מ-
k
500
נושאי מידע) וכן לעניין הגדלת 'גובה העיצום הכספי שיושת בשל הפרות הקבועות בסימן א
ל'פרק ד3
המוצע (על פי הצעת החוק מידע בעל רגישות מיוחדת מעלה פי10
.)את גובה העיצום הכספי
12
נוסח הסעיף שואב גם השראה מסעיף9(1) ל-
GDPR
שעניינה סוגי המידע שעיבודם אסור , אלא בנסיבות
המנויות בפסקה הבאה לאותו סעיף., כמובהר להלן
עם זאת יצוין
כי ב-
GDPR
אין הגדרה של
מידע רגיש או
מידע בעל רגישות מיוחדת, אלא רשימה של עיבודים אסורים או עיבודים שניתן לבצע בהתקיים נסיבות
מיוחדות , כאשר יש חפיפה מסוימת בין העיבודים האסורים ובין העיבודים שמוצע להחשיבם כמידע בעלי
רגישות מיוחדת.
Processing of personal data revealing racial or ethnic origin, political opinions,
religious or philosophical beliefs, or trade union membership, and the processing of genetic
data, biometric data for the purpose of uniquely identifying a natural person, data concerning
health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
דיון (כ
ללי):
(1)
?מה אינו נחשב מידע בעל רגישות מיוחדת
?האם הרשימה אינה "מכסה" כמעט כל סוג של מידע
(2)
?האם נוכח השאלה הראשונה, אכן יש צורך ברשימה
כאמור, ב-
GDPR
" המידע
הרגיש " הוא מידע
ש אסור
ל
עיבוד אלא בנסיבות מיוחדות.
ואולם על פי הצעת החוק הנוכחית (תיקון14
)
– עיקר
המשמעות לאיסוף
המידע האמור הוא הכפלה פי10
של גובה הקנסות שיוטלו על הפרתן של חובות ביחס למידע בעל רגישות
מיוחדת . האם לא נכון להבהיר מה יהיו האיסורים והחובות המהותיים ביחס לרשימה זו , וכך ניתן יהיה
גם לדייק אותה ?
דיון (פרטיי ה
רשימה):
(1) מידע על צנעת חייו הא;ישיים של אדם, לרבות התנהגותו ברשות היחיד
הפרט הראשון בהגדרה ה
מוצעת מחלי
ף
חלק ניכר של
ה הגדרה
ה
קודמת :
נתונים על אישיותו של אדם, צנעת
,אישותו על כן שינוי
ההגדרה מחייב בחינה הן של הפרשנות שצפויה למונח""צנעת חייו האישיים של אדם
והן לבחינת המונחים המוסרים"מההגדרה של "מידע רגיש
" ובכלל זאת נתונים על "אישיותו של אדם
"ו
צנעת אישיותו"
.
צנעת חייו האישיים של אדם – ב עא1697/11
א. גוטסמן אדריכלות בע"מ נ' אריה ורדי
נתן ביהמ"ש העליון
"פרשנות רחבה ביותר לתיבה "צנעת חייו האישיים של אדם. כך, בין היתר הכריע בית המשפט לענ יין פרסום
הדמיות ממוחש
ב ות של עיצוב פנים הבית שפרסם אדריכל שעיצב בית באתר האיטרנט שלו, חרף העדר
הסכמה מצד
לקוחו
, כי יש בפרסום כדי לפגוע בצנעת חייו האישיים . בית המשפט הדגיש כי למרות
שההדמיות היו ממוחשבות ולמרות שלא הופיעו בהן חפצים אישיים– דימיון פרטי הריהו ט וככל הדמיות
"
חושפות חללים "אישיים" בבית, כגון חדר השינה וחדר הרחצה; ויש בהן כדי להעיד על אורחות חייו של
ורדי ואף ללמד, כלשון ה סעיף, על "התנהגותו ברשות היחיד".". באותו עניין הוסיף כבוד השופט פוגלמן
והדגיש כי הוא א
ינו מקבל את הפרשנות לפיה יש הכרח לחצות רף
גבוה ביותר של אינטימיות–
דוגמת
עניינים הקשורים בעברו המיני של אדם–
"על מנת להוכיח פגיעה ב"צנעת החיים האישיים
וזאת חרף
הסיפא של סעיף2(
11
) הקובע כי פגיעה בפרטיות תהא "פרסומו של עניין הנוגע לצנעת חייו האישיים של
,אדם
לרבות עברו המיני"
.
13
ה הגדרה המוצעת
זהה
להגדרה הקבועה בתוספת הראשונה של תקנות אבטחת המידע (מאגר מידע המחייב
)רמת אבטחת גבוהה .ב-
GDPR
ניתן למצוא הגדרה הנוגעת ל :
data concerning a natural person’s
sex life or sexual orientation
.אך לא מצאנו הגדרה רחבה יותר
לדיון:
מה המשמעות של השמטת הביטוי "איש
יותו של אדם?"
יחד עם החלפת ההגדרה
"מידע רגיש" ל הגדרה
"
מידע בעל רגישות מיוחדת" מוצע להחליף את הביטויים"אישיותו של אדם" ו כן"צנעת איש
י
ותו"
בביטוי
יחיד- "
צנעת
חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד"
.
אומנם הביטוי "לרבות" מבהיר
כי אין הכוונה רק להתנ הגות של אדם ברשות היחיד והפסיקה שתוארה לעיל מבהירים כי ההגדרה אינה
מצמצמת את המונח לעניינים הנוגעים לחיי המין או לנטייתו המינית של אדם, אך, כאמור, יש לבחון מה
המשמעות של
השמטת
?"הביטוי "אישיותו של אדם
האם רשימה שעורכת מורה בדבר תכונות אופי ואישיות
של תלמיד יה )"(חרוץ, מניפולטיבי, התנהגות בריונית תיכלל
בהכרח? ומה לגבי מ אגר מידע שכונתי או
קהילתי המדרג את
אישיותם של תושבים?
מאגר מידע של
אתר הכרויות או אתר שידוכים?
האם הנזק
הפוטנציאלי מגילוי פרטים על אישיותו של אדם אינו חמור מגילוי מידע כלכלי או הרגלי צריכה המופ יעים
( בפרטים9) ו-(
10
?)
(2) מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ
"ו–
1996
;
מוצע להחליף את ה" מונח "מצב בריאותו" הקבוע כיום בהגדרת
מידע רגיש( " בחוק, בפרט2
:) המוצע"
מידע
רפוא
י
כהגדרתו
בחוק זכויות החולה"
. הגדרה זו
מצומצמת יותר מאחר שחוק זכויות החולה מגדי ר מידע
רפואי בהקשר של יחסי מטפל-
:מטופל "
מידע המתייחס באופן ישיר למצב בריאותו הגופני או הנפשי של
מטופל או לטיפול הרפואי בו"
ב-
GDPR
ההגדרה רחבה וכוללת :
data concerning health
,כך בעוד שההגדרה "מידע רפואי" מתייחסת
למצב
הבריאות של אדם שהוא מטופל– לא ב רור אם ההגדרה
תתפוס בהכרח גם
נתונים
על אדם שאינם במסגרת או אגב טיפול, הגם שיכולה להיות להם השפעה
בריאותית לאדם או לצאצאיו (כך לדוגמא נשאות למחלה גנטית שאין לה השפעה על האדם עצמו או חשיפה
לחומרים או לאירוע שאין לו עדיין משמעות אופרטיבית–
.)צלילה בקישון
לה בנתנו חלק מההפניה לחוק זכויות החולה נעשתה על מנת להבהיר כי הכוונה במידע רפואי, כוללת מידע
נפשי מבלי לציין זאת באופן ישיר אך בשל כך נוצר קושי חדש .
פירוט נוסף
לעניין מידע רפואי ב-
GDPR
ניתן למצוא בפרט35
ל-
recital
:
"Personal data concerning health should include all data pertaining to the health status of a
data subject which reveal information relating to the past, current or future physical or mental
health status of the data subject. 2This includes information about the natural person collected
in the course of the registration for, or the provision of, health care services as referred to in
Directive 2011/24/EU of the European Parliament and of the Council¹ to that natural person; a
number, symbol or particular assigned to a natural person to uniquely identify the natural
14
person for health purposes; information derived from the testing or examination of a body
part or bodily substance, including from genetic data and biological samples; and any
information on, for example, a disease, disability, disease risk, medical history, clinical
treatment or the physiological or biomedical state of the data subject independent of its
source, for example from a physician or other health professional, a hospital, a medical device
or an in vitro diagnostic test."
הצעה ח :לופית"נתונים על מצבו הבריאותי של אדם"
(3) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–
2000
;
הפרט
""מידע גנטי הוא פרט חדש. בהצעת החוק מוצע להפנות להגדרת :חוק מידע גנטי
""מידע גנטי-
;מידע הנובע מבדיקה גנטית
ב-
GDPR
הה
תייחסות למידע גנטי
, היא, כביחס לפרטים נוספי,ם
במסגרת האיסורים וההגבלות על עיבוד
מידע מסוגים שונים, ובכלל זאת
"processing of genetic data, biometric data for the purpose of
uniquely identifying a natural person"
פרשנות המונח ורוחבו נלמד מArticle 4(13):
:
'
inherited or acquired genetic
o the
personal data relating t
genetic data' means
of a natural person which give unique information about the physiology or
characteristics
the health of that natural person and which result, in particular, from an analysis of a
biological sample from the natural person in question.
ו
כן מ פרט34
ל-
recital
:
(
34
)
Genetic data should be defined as personal data relating to the inherited or acquired
genetic characteristics of a natural person which result from the analysis of a biological sample
from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or
ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent
information to be obtained.
(4)
מידע על[אודות]
;דעותיו הפוליטיות או אמונותיו של אדם
בהגדרה הנוכחית לש "מידע רגיש"
"דעותיו ואמונותיו" של אדם. בהגדרה המוצעת מוצע לצמצם את ההגנה
" כך ש"דעות" יהיו מידע רגיש רק אם הן
דעות פוליטיות."
מנגד,
מוצע
להשאיר את הביטוי "אמונותיו ", כך
שמכלל הצמצום ניתן להבין כי הכוונה ב"אמונותיו" הוא מכלול רחב יחסית של אמונות.
להשוו
אה, ה-
GDPR
מתייחס לדעות פוליטיות, אמונות דתיות או אמונות פילוסופיות :
political opinions,
religious or philosophical beliefs
;
)בארה"ב (קליפורניה לדוגמא–
דעות
פוליטי
ות כלל אינן
נחשבות
ל.חלק מהמידע הרגיש
:לדיון
(1)
האם אין דעות אחרות למעט דעות פוליטיות שראוי
?להגן עליהן
15
(2)
?האם כל אמונה היא מידע רגיש מה החשש? מדוע?
?האם ניתן בכלל להגדיר מהי אמונה(
הגדרת אמונה
לפי
האקדמיה ללשון עברית :קבלת עּובדה כאמת בלי לבקש הוכחה ?. האם זהו מידע שראוי להגן עליו על
פי
ויקיפדיה
אמונה–
" במובן הרחב
מצב פסיכולוגי בו אדם חש כי טענה או הנחה מסוימת היא נכונה ."
ב
מובן מצומצם" :תחושת נכונות של עניינים שכלל אינם ניתנים להוכחה לוגית או אמפירית ,
גם לדעת
המאמין" )
(5)
מידע על[אודות] עבר;ו הפלילי של אדם
לדיון:
כיצד עולה "מידע על עברו הפלילי של אדם" בקנה אחד עם פומביות הדיון ו קיומם של מאגרי מידע פתוחים
לציבור של פסקי דין פליליים בעלי יכולות חיפוש ואחזור ? האם לא נדרש לדייק את ההגדרה למידע שנדון
?בדלתיים סגורות
(6) נתוני מיקום ונתוני תעבורה, כ הגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח–
-
2007
;, לגבי אדם
נציין כי נתוני מיקום ונתוני תעבורה וכן מזהה ביומטרי הם נתונים שעיקר ההגנה לגביהם אינה בשל
( חשיבותם כלשעצמם (לרוב) אלא בשל המידע הנוסף שניתן להפיק מהם ביחס למידעים אחרים
כג
ון נט יה
מינית או
מצב בריאותי) .
בשל כך הכירו בית המשפט בקשר ההדוק בין הפגיעה בזכות לפרטיות ובין נתוני
מיקום (ראו: פסקה18
לפסק דינה של הנשיאה חיות ב בג"ץ6732/20
האגודה לזכויות האזרח נ' הכנסת
(
1.3.21
) שעסק באיכוני השב"כ לצורך צמצום הידבקויות בנגיף הקורונה :
"
נתוני מיקום זוכים להגנה
( מיוחדת בחקיקה
סעיפים 1 ו-3 ל
חוק סדר הדין הפלילי (סמכויות אכיפה –
נתוני תקשורת), התשס"ח-
2007
,)
משום שניתן ללמוד מהם על קיומם של קשרים אישיים ומפגשים חברתיים (על היכולת להסיק מידע
לגבי קשרים מנתוני מיקום
"; ו פסקה17
לפסק הדין בעניין רע"א2404/21
( פלונית נ' פלוני22.7.21
) "
17
.
...הפגיעה הטמונה בגילוי נתוני מיקום ללא הסכמתו של מושא האיכון, באה ל ,ידי ביטוי, בעיקרו של דבר
בעצם חשיפת תנועותיו של הפרט והיותן מושא לתשומת לבו של אדם אחר
...
כמו כן, נתוני מיקום עשויים
ללמד רבות על אורחות חייו ומאפייניו של מושאם, כך שחשיפתם לזולת עשויה אף להסב לו נזקים של ממש
במגוון תחומים".
על כן, למרות שמדובר בפרט המת
ואר באופן רחב ביותר, אנו סבורים כי נס יון לצמצום הרשימה לנתוני
מיקום שיש באפשרותם לגלות מידע נוסף–
לא בהכרח ישים, שכן אפריורי לא ניתן לדעת אילו מידעים
.מגלים נתוני המיקום בנוסף, עולה שאלה האם אין בנתוני איכון כשלעצמם גם להוות מידע רגיש נוכח
,הפיכתו של הפרט
?כאמור, למושא לתשומת ליבו של אדם אחר
(7)
;מזהה ביומטרי
"מזהה ביומטרי–
נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו, או אמצעי ][זיהוי
ביומטרי
שניתן להפיק
ממנו נתון כאמור; לעניין זה ""ביומטרי– מאפיין אנושי, פיסיולוגי או התנהגותי ייחודי, הניתן למדידה מ
וחש מ"בת
16
מזהה ביומטרי –
מוצע .לעגן את הפרט של מזהה ביומטרי כפרט בעל רגישות מיוחדת
מוצע להגדיר מזהה
ביומטרי כנתון המשמש לזיהוי אדם או לאימות זהותו, או אמצעי שניתן להפיק ממנו נתון כאמור. ההגדרה
מבוססת על ההגדרות הקבועות בחוק הכללת אמצעי זיהוי ביומטריים ונתוני ז יהוי ביומטריים במסמכי
זיהוי ובמאגר מידע, התש"ע–
2009
:
"
אמצעי[זיהוי]
"ביומטריים–
תמונת תווי הפנים ותמונות שתי
טביעות האצבעות המורות של אדם, שניתן להפיק מהן נתוני זיהוי ביומטריים;
ב סעיף4(
14
)לGDPR-
מוגדר "מידע ביומטרי" כ
"מידע אישי
הנוצר מ
עיבוד טכני ספציפ ו י הקשור למאפיין
פיזי, פסיכולוגי או התנהגותי של אדם, שמאפשר או מאשר
את ה זיהוי
ה .ייחודי של אותו אדם למשל תמונת
.תווי פנים או טביעות אצבע
לדיון:
האם נכון להגדיר כל""מזהה ביומטרי
כמידע בעל
רגישות מיוחדת ?
,בפרט האם צריך לכלול גם אמצעים
ביומטרים
שניתן להפי
ק מהם מידע ביומטרי כמזהה ביומטרי ?
בפרט בשים לב לכך שקביעה כזו הופכת
בעידן השיפור הטכנולוגי היומיומי בו אנו חיים, כל מאגר תמונות (לרבות מאגר תמונות של
עמותה
ששומרת
תמונות של תלמידיה או של חברה ששומרת את תמונות העובדים )ל כאלו שחלות לגביהם חובות ביחס
למאגר מי
דע שיש בו מידע בעל רגישות מיוחדת?
האם מדובר בגזירה שהציבור יכול לעמוד בה? האם ניתן
לצמצם את הפער ככל שהאמצעי שמאפשר זיהוי ביומטרי (תמונות) אינו נשמר לשימוש כזה ואינו זמין לגוף
?אחר העושה בו שימוש כזה
(8)
מידע
ע;ל מוצאו של אדם
זוהי הגדרה חדשה שאינה נמצאת כיו
ם בחוק או בתקנות אבטחת מידע.
עמדת משרד המשפטים היא כי הניסיון מלמד
כי הפליה על רקע מוצאו של אדם מטה את הכף לטובת הוספתו. נציין כי
ב-
GDPR
מופיעה הגדרה
ביחס למוצא, אלא
" שזו מצומצת יחסיתracial or ethnic origin
." בעוד שההצעה הנוכחית רחבה
לדיון :
(1)
לצד החשש מא פליה על רקע מוצא, האם נכון להגדיר כל מאגר ובו התייחסות למוצא ככזה שמהווה
?מאגר בעל רגישות מיוחדת? האם ניתן לצמצם את ההגדרה
(2)
האם אין חשש לפרשנות מרחיבה מדי של המונח מוצא ?", לדוגמא "עיר מגורים האם לא ניתן לצמצם
את הביטוי באופן שייקלע לחשש שהוא מגלם? לדוגמא ?אפליה על רקע מוצא אתני
הצעה חלופית:
מידע
ע ל מוצאו האתני או השתייכותו הלאומית;של אדם
(9)
מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד
בהתחיבויותיו הכלכליות ומידת עמידתו בהן;
( פרט9) המוצע להגדרה של מידע בעל רג ישות מיוחדת הוא פרט המנוסח באופן רחב, יש לו היקף פרקטי
רחב מאוד וקיימת שאלה האם מרבית המידע שעלול להיכלל בו אכן משקף פוטנציאל פגיעה. משכך פרט
17
זה מ
ם גל
, עוד יותר מה
פרטים האחרים, עמ
דה ערכית ביחס לפרטיות בכלל , ובפרט, מטבע הדברים ביחס
.לפרטיות בהקשר הכלכלי
יצו ין כי
ה-
GDPR
אינו מתייחס למידע בנוגע למצבו הכלכ
ל
י של אדם כאל מידע רגיש
(או מידע האסור
)לעיבוד אלא בנסיבות מיוחדות
וכך גם החוק בבריטניה ובאוסטרליה .באוסטרליה התקיימו דיונים בנושא
הכללתו של מידע כלכלי כמידע בעל רגישות מיוחדת
, אלא ש
נציבות הפרטיות החליטה לבסוף
שאין
להתייחס למידע על מצבו הכלכלי של אדם כאל מידע רגיש מכמה סיבות
ובפרט
מאחר ש מידע כלכלי נדרש
לשם ביצ
ו
ע פעולות ועסקאות שגרתיות והגד
רתו כמידע רגיש תכביד על ביצוען
, ומאחר ש מידע כלכלי דורש
ממילא
רמת אבטחת מידע גבוהה
ה מוסדרת ומובטחת ברגולציה לנותני אשראי
גם מ בלי להגדירו כמידע
רגיש (
Australian Law Reform Commission, Sensitive Information (Aug. 6, 2010)
)
לדיון :
ו מה
?החשש? מדוע אנו מבקשים להגן [כמידע בעל רגישות מיוחדת] על כל מידע כלכלי האם המידע הכלכלי
ראוי להגנה מיוחדת והאם הוא ראוי להגנה מיוחדת רק כאשר הוא מיד ע בעל מאפיינים כלכליים שמלמד
על מצב כלכלי של אדם או על מצב כלכלי שלילי ?
הגדרה חלופית
]?[
:
"
,מידע על מצבו הכלכלי של אדם וכן
נכסי ,ם
חובות
או התחייבויות שיש בהם כדי להעיד על מצבו הכלכלי או על
יכולתו לעמוד בהתחייבויותיו;"
(
10
) הרגלי צריכה של אדם, שיש בהם כדי לל( מד על מידע לפי פרטים1
( ) עד8
) ;
פרט10
( , שעניינו הרגלי צריכה של אדם הוא פרט שמבקש להגן על מידע לפי פרטים1
( ) עד8
) ואין בו
.כשלעצמו משום רגישות
לדיון :
(1)
( האם נדרשת הגנה ייחודית למידע לפי פרטים1
( ) עד8
) המתגלה אגב צריכה? האם אין בכך יצירת הסדר
?שלילי
(2)
ה אם צריכה של אדם שאינה "הרגל" אינה יכולה ללמד על מידע לפי פרטים אלו? לדוגמא רכישת מוצר
רפואי, הנרכש באופן חד פעמי
.בה כדי ללמד על מצב רפואי
(3)
כיצד צריכה עלולה( ללמד על פרטים5
( ) עד7
?)
הגדרה חלופית:
( צריכה של אדם שיש בה כדי ללמד על מידע לפי פרטים1
( ) עד4)
;
(
11
) מידע שחלה עליו חובת סודיות שנקבעה בדין;
(
12
)
;מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוק חוק ומשפט של הכנסת
לדיון :
?האם פרט המידע הזה אכן נדרש
18
מתי נעשה שימוש ב
הסדר הנוכחי הקיים או ב?הסדרים דומים
"בעל שליטה במידע" ו
"מחזיק", לעניין מאגר מידע –
""בעל שליטה במאגר מידע
תיקון סעיף7
3.
(2)
אחרי ההגדרה "אבטחת מידע "יבוא:
""בעל שליטה במאגר מידע "
– מי שקובע ,לבדו או יחד עם אחר ,את מטרות
עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר
מידע או שבעל תפקיד בו הוסמך לכך כאמור;";
כאמור, בהצע ת החוק (סעיף1
)להצעה
מוצע להחליף את המונח
""בעל מאגר מידע
במונח
"בעל שליטה במאגר
"מידע
וכן להגדיר מהו "בעל שליטה במאגר מידע". כאמור, גם
המונח "בעל מאגר מידע" אינו מוגדר כיום בחוק
הגם שהוא מופיע בו מספר רב של פעמים--
בקשר לחובות המוטלות על בעל המאגר לרישו ם המאגר שבבעלותו
ולאבטחת המידע שבמאגר (סעיפים8 ו-
17
לחוק) ו כן בקשר לחובות שונות המוטלות עליו ביחס לנושאי המידע
כגון מתן זכות עיון במידע וחובת ההזדהות כבעל המאגר במסגרת פניה בדיוור ישיר (סעיפים13
ו-
17
.)ו
נציין כי
בהצעת החוק מוצעות הוראות נוספות רלוונטיות לבעל השליטה במאגר המידע ובכלל זאת סנקציות מנהליות
.וענישה פלילית שניתן להשית על בעל שליטה במאגר מידע, שיידונו בהמשך
ההגדרה המוצעת, "מי שקובע ,לבדו או יחד עם אחר ,את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך
בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור";
מבטא
ת ה דגשה של אלמנט השליטה במטרות
עיבוד המידע
ובהיבטים המרכזיים הנוגעים לאופן העיבוד של המידע, תוך צמצום הדגש שניתן בנוסח כיום
,לאלמנט הבעלות הקניינית על המאגר. שינוי זה הולם את המונח המקביל בתקנות האירופיות בדבר הגנת מידע
ה-
Controller
המעוגן
בסעיף4(7) ל-
GDPR
:
" 'Controller’ means the natural or legal person, public authority, agency or other body
which, alone or jointly with others, determines the purposes and means of the
processing of personal data; where the purposes and means of such processing are
determined by Union or Member State law, the controller or the specific criteria for its
nomination may be provided for by Union or Member State law.".
כפי שניתן לראות, מתוך השוואת הנוסחים, בהגדרה המוצעת נעדרת השליטה באמצעי עיבוד המידע כאחת
ה דרישות להגדרת שליטה במאגר. השמטת השליטה באמצעי עיבוד המידע אינה מקרית והיא נועדה למנוע מצב
בו העדר השליטה על האמצעים או פיצול (לרבות פיצול מאולץ ומכוון) בין מי שקובע את המטרות ובין מי שקובע
.את האמצעים, יביא לכך שלא ניתן יהיה להצביע על בעל שליטה במאגר מידע
19
לדיון :
(1)
,כאמור ב-
GDPR
די להיכ נס להגדרה של"בעל שליטה במאגר מידע"
נדרשת שליטה לא רק במטרות העיבוד
אלא גם באמצעי העיבוד (לדוגמא
ה ,אלגוריתם
ה
החלטה על הצלבה עם מאגר אחר, שימוש ב-
AI
)
'וכו. ה אם
הסרת דרישת השליטה באמצע
ים אינה יוצרת קשיים?
מה
הניסיון האירופאי עם המבחן הכפול?
(2)
ב נוסח המוצע
התייחסות ל "מטרות עיבוד השליטה" כסממן השליטה במידע. האם ישנם אלמנטים נוספים
שמבטאים שליטה , כגון מי שבכוחו לתת הרשאה
לשימוש
?במידע לאחר האם מתן הרשאה לאחר נחשבת
?כשליטה במטרות? לאיזו קטגוריה ייכנס מי שבכוחו לתת הרשאה כאמור
(3)
ל איזו קטגוריה ייכנס
מ
י ששולט ב
אמצעים ובדרכי העיבוד אך לא במטרותיו ?
(4)
סעיף26
ל-
GDPR
מתייחס לאפשרות שלjoint controllers
ומחייב קביעה ברורה של חלוקת
,הסמכויות
האחריות והחובות של כ
ל אחד מבעלי השליטה, ביחס לדרישות החוק ולנושא
י
המידע. לעמדת הרשות אין
צורך בהסדרה נוספת ייחודית, וכל בעל שליט
ה נושא באחריות לחל ?ק היחסי שלו. האם כך
""מחזיק
"תיקון סעיף 3
2.בסעיף 3 לחוק העיקרי –
(1)
במקום ההגדרה "מחזיק ,לעניין מאגר מידע "יבוא:
";"מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש
""מחזיק ,"לעניין מאגר מידע –
מי שהתקשר עם בעל שליטה במאגר מידע
למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה,
וקיבל מבעל השליטה במאגר המידע ,במסגרת ההתקשרות ,הרשאה
לעשות שימוש במידע שבמאגר לצורך מתן השירות;";
על פי ההגדרה המוצעת
המחזיק :מתאפיין בשני אלו
(1)
התקשרות עם בעל השליטה במאגר המידע –
א.
למתן שירות
ל
בעל השליטה
או
ב.
למתן שירות
מטעם
;בעל השליטה
(2)
קבלת
הרשאה לעשות שימוש במידע שבמאגר
+
+ מסגרת התקשרות
לצורך מתן השירות .
בהגדרה החדשה של "מחזיק" הושם דגש על ההתקשרות עם בעל השליטה
לצורך מתן שירות לבעל השליטה או
מטעמו . על פי דברי ההסבר ההגדרה החדשה מחדדת את
ההבחנה הקיימ" ת בין
בעל שליטה במאגר מידע ,"
""מחזיק
ו-"מורשה גישה למאגר מידע". עוד הושם דגש על כך ש
ההחזקה לא חייבת להיות פיזית .
ביטוי
לתפיסה זו עוגן בתקנה15
א לתקנות אבטחת המידע. בנוסף, גם דרך איגום המידע אינה רלוונטית לתחולה או
.אי תחולת הוראות החוק
כלומר, למעשה מוצעות שלושה בעלי תפקידים שונים: בעל השליטה במידע, המחזיק ובעל הרשאה למאגר מידע
בעל השליטה במאגר מידע
)(הצעת חוק הגנת הפרטיות
מחזיק
)(הצעת חוק הגנת הפרטיות
בעל הרשאה למאגר מידע
))(תקנות הגנת הפרטיות (אבטחת מידע
20
"בעל שליטה במאגר מידע "
–
מי
שקובע ,לבדו או יחד עם אחר ,את
מטרות עיבוד המידע שבמאגר
המידע או גוף שהוסמך בחיקוק
לנהל מאגר מידע או שבעל תפקיד
בו הוסמך לכך כאמור";
"מחזיק ,"לעניין מאגר מידע
–
מי
שהתקשר עם בעל שליטה במאגר
מידע למתן שירות לבעל השליטה או
למתן שירות מטעם בעל השליטה ,
וקיבל מבעל השליטה במאגר המידע ,
במסגרת ההתקשרות
,הרשאה
לעשות שימוש במידע שבמאגר
לצורך מתן השירות;";
"בעל הרשאה
–
" יחיד
אשר
יש לו גישה
לאחד מאלה על פי הרשאתו של בעל
המאגר או המחזיק:
(
1
)מידע מהמאגר;
(2)
מערכות המאגר;
(3)
מידע או רכיב הנדרש לצורך הפעלת
המאגר או לצורך גישה אליו.
על אף האמ ור, מחזיק שאינו יחיד או יחיד
שקיבל גישה על פי הרשאה של מחזיק, לא
ייחשב כבעל הרשאה של בעל המאגר;
לדוגמא: חוקר המקבל הרשאה
למאגר נתונים רפואיים לשימושו
קבלן המבצע מחקר עבור תאגיד
לדוגמא: שליח של וולט שיש לו גישה
לכתובות
ככלל ניתן לומר ש
רבות מהחובות ומהסנ קציות המוטלות על "בעל השליטה במאגר מידע" מוטלות במקביל
ובאופן דומה גם על המחזיק. כך למשל גם המחזיק אחראי לאבטחת המידע במאגר (סעיף17
לחוק) ו צפוי להיות
ח'שוף לחלק מהעיצומים הכספיים והעונשים המוטלים לפי סעיפים ד3
'וד4
.המוצעים גם תקנה19
לתקנות
אבטחת המידע ק
ובע
ת
כי החובות החלות לפי התקנות על
בעל מאגר מידע
( יחולו גם על מחזיק המאגר למעט
החובות הקבועות בתקנות2 ו-
15
)(א), בשינויים המחויבים ולפי העניין.
ב-
GDPR
לא קיים משטר של"מאגרי מידע"
" ועל כן ההגדרה של
מחזיק "", כמו גם של "מאגר מידע פחות
.רלוונטיות
ב-
GDPR
נעשה
שימוש בהגדרהprocessor
"המתורגמת להגדרת "מעבד (סעיף4(8
:))
which
means a natural or legal person, public authority, agency or other body
processor’
'
processes personal data on behalf of the controller;
נציין כי עמדת הרשות לעניין זה היא כי
גורם ה
מקבל
נתח )ממאגר (לדוגמא מפלגה ממאגר הבוחרים–
הוא
ך הופ
להיות"בעל שליטה במאגר" בנגזרת שקיבל לשימוש
ו .לעומת זאת
כשהמשתמש הוא יחיד–
הוא אינו בעל
.מאגר (גם אם הוא קבלן) והוא נשאר בבחינת מחזיק
לדיון :
(1)
האם לא נכון להחליף את המונח"מחזיק" ב"מעבד" כדי לקרב את ההגדרות לא
לו של ה-
GDPR
?
מה
?התועלת בהגדרה מחזיק לעומת מעבד ?האם אין בכך כדי לייצר בלבול עם החזקה פיזית
(2)
נוכח ההשלכות של תחולת ההגדרה (רגולטוריות ופליליות) עולה מהשטח חשש לאי בהירות של ההגדרה
המחודשת של "מחזיק". בפרט האם ההגדרה החדשה לא תכלול גם ספקים שהשימוש שהם ר שאים לעשות
במאגר מוגבל מאוד? האם יש מקום לסווג גורמים שמשתמשים במידע לסיווגי משנה בשים לב למידת
?החשיפה ורגישות המידע
""מפלגה
ו-
"
""תקופת בחירות–
הגדרות אלו יידונו בצמוד לפרק הרלוונטי
21
"עיבוד" ו-"שימוש "
(2)
בהגדרה "שימוש ,"אחרי "לרבות "יבוא "אחסון."
"
"שימוש-
לרבות,אחסון
.גילוי, העברה ומסירה
"""עיבוד–
]איסוף או שימוש [שימוש=אחסון, גילוי, העברה ומסירה
צרוף ההגדרות "שימוש" ו-"עיבוד" המוצעות מייצר למעשה שלוש קטגוריות :
איסוף ,שימוש (הכולל,, בין היתר אחסון,
)גילוי, העברה ומסירה, ו כן
עיבוד המתייחס
ת
"הן להגדרה "איסוף
והן
."להגדרה "שימוש
ב הגדרה החדשה של"שימוש"
מוצע להבהיר מפורשות שגם
אחסון המידע
שבמאגר
מבלי להוציא אותו החוצה
יחשב שימוש במידע
, גם אם הוא אינו מלווה בפעולות נוספות וזאת נוכח יכולת העיבוד
הגבוהה ופוטנציאל
ההצלה והחשיפה של מידע מעצם איחסונו .
יצוין כי
אין מדובר
ברשימה סגורה של פעולות הנכנסות תחת
ההגדרה "שימוש" וכי גם פעולות כמו החזקה, עיון, ארגון, תיקון, השלמה, אחזור ומחיקה נכנסות תחת ההגדרה
."של "שימוש
ההגדרה של עיבוד
כורכת יחד גם את פעולת האיסוף של המידע . החלת שתי הפעולות של האיסוף והשימוש יחד
תחת הגדרה אחת הולמת את ההגדרה של המונח המקביל בסעיף4(2) ל-
GDPR
" ביחס למונחProcessing
."
לדיון:
(1)
מדוע נדרשת הפרדה בין הפעולות השונות? מתי תהיה נפקות להפרדה לשני הביטויים? האם לא נכון לקבוע
הגדרה אחת הכוללת את כל הפעולות–
בין אם תיקרא "עיבוד" ובין אם תיקרא "שימוש" (ובעד יפות
""עיבוד– בהתאם ל-
GDPR
?)
(2)
"האם ההגדרות החדשות ל"שימוש" ו"עיבוד אינן יוצרות קשיים פרשניים"ביחס להגדרה מיהו "מחזיק ?
לדוגמא-
לפי סעיף12
ל
הצעה ,
יתווסף לחוק העיקרי סעיף23
()י(א4
)
באופן המקנה למפקח סמכות להיכנס
למקום שיש לו יסוד סביר להניח שנעשה בו
שימוש
במאגר מידע. לפי ההגדרות המוצעות בתיקון14
, אין
למפקח סמכות להיכנס למקום בו נעשה רק איסוף מידע, הנכלל תחת הגדרת "עיבוד" אך לא תחת
.""שימוש
(3)
:נציין הצעה חלופית של המכון הישראלי לדמוקרטיה למונח עיבוד
(1)
איסוף או תיעוד של מידע אישי בכל דרך, לרבות צילום, הקלטה, ה
עתקה או השגת גישה אליו
(2)
ארגון, החזקה או אחסון של מידע אישי, לרבות הבנייה, שינוי, אחזור, ניתוח, איגום או הצלבה
(3)
.גילוי או פרסום של מידע אישי, לרבות העברה, מכירה או העמדה לרשות הציבור
הצעה
ל
תיקון והוספת הגדרות
שאינן מנויות בתיקון14
": הסכמה ו"הרשות להגנת הפרטיות
"הסכמה"
בהצעת :החוק שהונחה מטעם יו"ר הוועדה, חבר הכנסת קריב, הצעה לתיקון מונח ההסכמה
"בהגדרה "הסכמה–
"אחרי המילה "מדעת" יבוא "ומרצון חופשי.
22
(2)
בהגדרה "הסכמה ,"אחרי "מדעת "יבוא "ומרצון חופשי."
""הסכמה– הסכמה מדעת ומרצון חופשי;, במפורש או מכללא
על פי דברי ההסבר לה
צעת חבר הכנסת ,ההצעה לה וסיף את"דרישת ה"רצון החופשי כתנאי לתקפות ההסכמה
היא במטרה
לחזק את דרישת ההסכמה כדרישה אפקטיבית,
כמו גם
ל צורך
צמצ
ו ם השימוש הגובר בהסכמה
כדרישה צורנית
, טכנית בלבד ו כן כדי
ליצור את ההבנה שהסכמה אינה חזות הכול .
בדברי ההסבר צוין
כי הסכמ ה תיחשב לניתנת מ"רצון חופשי" כאשר מוכח שהיא ניתנה לאחר שנושא המידע
ידע והבין, או סביר שידע והבין, את מטרת הפגיעה בפרטיותו ואת מידת הפגיעה, הסיכונים הכרוכים בה
והאפשרויות העומדות
ל
פניו,
ונתן את הסכמתו מרצונו החופשי. פרשנות זו עולה בקנה אחד עם תנאיה של
דרישת ההסכמה ב-
GDPR
וכן עם חיזוק דרישת ההסכמה ותנאיה ב
פסיקה ב
ישראל המושפעת מה-
GDPR
.
יצוין, כי ההגדרה מאפשרת לב
י ת המשפט מרחב
שיקול דעת
באמצעות המונחים "מדעת" וההכרה גם בהסכמה
.מכללא
"ה"רשות
""הרשות", "הרשות להגנת הפרטיות–
";הרשות להגנת הפרטיות במשרד המשפטים
בשנת2006
.החליטה ממשלת ישראל על הקמת הרשות להגנת פרטיות וטכנולוגיות מידע במשרד המשפטים
בשנת2017
'שונה שמה של הרשות ל"רשות להגנת הפרטיות" (החלטת ממשלה מס3019
מיום07.09.2017
.)
למרות ש
הרשות היא הרגולטור לענייני פרטיות בישראל
היא אינה מוזכרת כלל
בחוק או
.בתיקון המוצע גם
הרשם או "הממונה" כתוארו המוצע עומד ב"ראש יחידת פיקוח" ולא בראש הרשות
, וה
התייחסות לעו בדי
.הרשות היא אגב כפיפותם לו
הג דרות אלו יוצרות חוסר וודאות ואינן משקפות את תפקידיה של הרשות
ומעמדה.
."על כן מוצע להוסיף הגדרה של "הרשות