חומר רקע

PDF 44,054 תווים המסמך המקורי ↗
1 2022 יוני 03 לכבוד ח"כ גלעד קריב, יו"ר ועדת החוקה , חוק ומשפט חברי ועדת החוקה , חוק ומשפט של הכנסת הנ :דון הצעת חוק הגנת ה פרטיות (תיקון14), ה תשפ"ב– 2022 (להלן: "תיקון14 )" – חובת ,רישום עיקרון צמידות המטרה ואבטחת מידע 1. חובת רישום בסעיף4 לת זכי ר מוצע לת קן את סעי ף8 לחוק העיקר י ולצמצם את חובת הרישום הקבוע ה בו כיום כך שזו תחול רק על מאגרי מידע המכי לים מידע בעל רגישות מיוחדת על500,000 נושאי מידע ומעלה או מידע על100,000 נושאי מידע ומעלה ושמתקיי ם בו בנוסף אחד מהתנאים ( :הבאים1 )המאגר מכיל מ ידע שלא נמסר על ידי או בהסכמת נושאי המידע( ; 2 ) המאגר הוא של גוף ציבורי( ; או3 )המטרה העיקרית של המ אגר היא א יסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר . לפ י דברי ההסבר, צמצום חובת הרישום עש נ ה במטרה להבטיח "שהפעילות ה רגולטורית תתמקד במאג רים המציבים איומים מ שמעותיים לפרטיו ת ובפעולות פיקוח ואכיפה המבוססות על הסמכויות המו צ"עות1 קי בת ון14 . הצורך בתיקון חובת הרישום עלה כבר בשנת2007 במסקנות וועדת שופמן נוכח ה ספקות שהתעוררו לאורך השנים באשר לאפקטיבי ות של דרישת הרישום והרלבנטיות שלה למציאו ת הטכנ ולוגית והיקף הנרחב של מאגרי המידע ש ל ימינו וכן על בסיס ההבנה שהיא אינה מהווה כלי אכיפה משמע.ותי בידי הרשם2 צ מצום חובת הרישום אף הוצע כבר בשנ ת2012 בתזכיר שהגיש משרד המשפטים בנ .ושא3 1 תיקון14 , 'עמ420 . 2 הצוות לבחינ ת החקיקה בתחום מאגרי המידע, דין וח שבון (י נואר2007 ,) 'עמ24 " :[להלן ועדת שופמן ]" אולם מאז מסקנות וועדת שופמן בשנת2007 חל ף למעלה מעשור במהלכו התעצמו יכולות איסוף ועיבו ד מ ידע לבלי .היכר מקור ה של חובת הרישום, שבעבר היתה נהוגה גם במדינות האיחוד האירופי, היה למנוע קיומם של מא גרי מידע סודיים. אולם עם השנים חלחלה ההבנה שאין בחובת הרי שום כדי להבטיח א ת מעורבותם של נושאי המידע ומודעותם לזכ ויותיהם בכל הקשו ר למידע האי .שי עליהם4 שמ ום כך, מדינות רבות אשר עידכנו את חקיקת הגנת הפרטיות שלהן השמיטו את .חובת הרישום לחלוטין5 ואולם על אף חלוף השנים והעובדה שחובת הרישום הפכה בימנו לאות מתה, משרד המש פטים לא מציע לבטלה כלי ל אל א רק לצמצ מה . זאת משום של גישת הגורמים המקצועיים ברשות לה גנת הפרטיות יש חשיבות בשי מורה של חו בת הרישום ביחס למאגרי מידע המהווים את הסי כון הגדול .ביותר לפרטיות נטען ש שימור ,חובת הרישום ,במתכונתה המצומצמת י תן בידי הרשות להגנת הפרטיות מידע על הטכנולוגיות החדשות בתחום ויאפשר לה להיות עם "יד על הדופק" בכל הקשור לפיתוחן של טכנולוג .יות מסכנות פרטיות על אף שזו מטרה חשובה ביות ,ר ניתן להשיגה בד רכים אחרות , ש אינן מטילות מעמסה בירוקרטית כבדה כל כך על התעשייה ושפגיעתן בחופש העיסוק פחותה . ,לפיכך אנו סבור ות ששימור חובת הרישום, אף במתכונתה המצומצמת ,מוטע ה : א. לדעתנו חובת הרישום היא .חובה ארכאית וביטולה עדיף על צמצומה בשנ ים האחרונות ה תפתחה פרקט "יקה לפיה חובת הרישום היא "תיאורטית ואולם הות רת חובת ה רישום ב דרך הזאת ת שיב את הצו .רך לטפל בה אל מרכז השולחן ב. צמצום חובת הרישום עשוי להיות מהלך למראית ע ין בלבד וזאת משום שת יקוני ההגדר ות מרח;יבים במקביל את החובה (למשל: הגדרת מידע הגדרת מאגר מידע וצמצום משמעותי של חריג .)שם מען ודרכי התקשרות 3 תז כ יר חו ק הגנת הפרטיות (לצמ צום חובת הרישום וקביעת חובה לקיום סדרי ניהול וכללי עבודה ו לתיעודם במס מכים), התשע"ב- 2012 . 4 y and User Control in the Age of Big Data for All: Privac Omer Tene & Jules Polonetsky, Analytics, 11 NW. J. TECH & INTELL. PROP. 240, 267 (2013) . 5 להרחבה ראו ס קירת המשפט המשווה בכל הנוגע לחובת ה"רישום המובאת ב נספח א' " למכתב .זה ג. מ סקיר ת משפט משווה ב- 56 מדינ ות , 6 עולה כי ב- 31 מ הן אין חובת רישו ם כלל. חלקן ביטלו את חובת הרישום עם התאמת חקיקת הפרטיות במדינה ל- GDPR . 4 מד ינות מטילות חובת רישום ,או יידוע על בעלי שליטה או מעבדים של מאגרי מידע ציבוריים5 מדינות מחייבות בהע ברת פרטי קצין הגנת הפרטיות באר גון לרשות להגנת ,הפרטיות7 ו- 5 מדינות נוספות מחייבות ה יוועצות או יידוע הרשות להגנת הפרטיות במקרה שסקר סיכונים מעורר חשש לפגי עה בפרטיות או כאשר מדובר בעיבוד מידע רגיש או מידע .הדרוש לצרכיי אכיפה8 באנגליה בוטלה חובת הרישום ובמקומ ה הוטל ה על בעל שליטה במידע חוב ת תש לום שנתי קבו ע לרשות להגנת הפרטיו ת . 9 חוק הגנת הפ רט יות שנכנס לתו קפו בינואר2020 במדינת קליפורניה שבארה"ב מחייב סוחרי מידע ( Data Brokers ) ( ברישום ובתשלום מס מידי שנה אצל התובע הכלליAttorney General). סוחרי מידע מוגדרים בחוק כעסקים שאוספים במודע מידע אישי על לקוחות נושאי מידע שאין להם איתם מערכת יחסים ישי רה ., ומוכרים אותו לצדדים שלישיים10 המסקנה המתבקשת מסקירת המשפט המשווה א הי שאין עוד מקום לחו בת רישום גורפת וכן אין מקום לחובת ריש ום המבוססת על מספר נושאי המידע. בחלק מהמדינות שהתירו ממד מסוים של ח ובת רישום ה התמקדות א ינה בחובת רישום פורמלית אל א בהבטחה שמתקיימים התנאים להגנת הפר טי ות, למשל באמצעות דרישת מינוי קצי ן הגנת פרטיות. באחר ות המדדים הרלו ונטי ים הם סוג המידע (למשל מידע רגיש), מידת הסכנה הנשקפת לזכות לפרטיות כתוצאה מעיבודו ואופי בעל השליטה במידע ,(למשל ההתי יחסות לסו .)חרי מידע בקליפורניה ד. קבי עת אמת המידה המספרית .היא שרירותית דרישת הסף של100,00 נושאי מידע ל תחולתה של חובת ה רישום ל מ ע אגר י מידע הכוללים ע מיד ושל500,000 נ ושאי מי דע 6 ה סקירה במלוא "ה מוצגת ב נספח א' ." למכתב זה 7 ( בהתאם לסעיף7 ) 37 ל- GDPR . 8 בהתא ם לסעיף36 ל- GDPR . 9 nd Information) Regulation 2018 otection (Charges a The Data Pr . עם זאת, ארגונים שנרשמו ק ודם לכן לפי חובת הרישום שהיתה נהוגה לפי הData Protection Act 1998 אי נם חייבים בתשלום. כמו כן הוחרגו מח ובת הת שלום מעבדי מידע על חברי הפרלמנ .טThe Data Protection Regulation (Charges and Information) (Amendment) Regulations 2019 . 10 798.99.82 California Civil Code §1 . California Consumer Privacy Act, Assembly Bill No. 1202 (Sep. 13, 2019) . על מאגרי מידע הכוללים מידע בעל רגישות מיוחדת והנימוק לפיו חובת הרישום מוחלת באופן זה רק על מאגרי ה מידע המ הווים את הסי כון הגדול ביותר לפרטיות, .לא ברורה לנו ל טעמנו, מאגר מידע המכיל , ל משל, מידע ל בע רגי שות מיוחדת או מידע שנאסף ללא הס כמת נושא המידע מהווה פגיעה חמורה בפרטיות שיש לנקוט פיקוח ואכיפה מחמירים נגדה אף אם מדובר במאגר המכיל מידע על מספר נמוך יותר של נושאי המיד .ע יתרה מכך, ב ימנו טכנולוגיות איסוף המידע זולו ת וזמינות ולכן ,חברות רבות לרבות עס קים קטנ ים, עשו יים לה חזיק מאגרי מידע על למעלה מ100,000 .נושאי מידע כתוצאה, צמצום חו בת הרישום לא יהיה משמעותי .כלל ועיקר החברות והרשות להגנת הפרטיות ידרשו להשקיע ן זמ וכסף בבחינ ת ההתאמה לד רישות הרגולטוריות הצורניות של חובת הרישום במקום לעסוק ב הגנה המהותית על הזכות לפרטי.ות ה. תכליות הותרת חובת הרישו ם בגרסה מצומצמת הן, להבנ תנו, ( 1 )יצירת שי ח בין בעל מאגר המידע לרשם מאגרי המידע אשר לכאורה יאפשר בהמ שך בירור סוגי ות שונות ואכיפת הוראות החוק; ( 2 ) הנעת תהליכי בדיקה פנימיים בתוך הארגון טרם הרישום: על הארגון לבחון מהו ה מידע הנאסף על ידו, לאיזו מטרה, כיצ ד נשמר ולכמה זמן; ו- ( 3 ) שמירת הרשות להגנת הפרטיות מעודכנת בנוגע לקיומן של טכנולוגיות חדשות ועם "יד על הדופק" בנוגע להופעתן של טכנולוגיות חדש.ות מסכנות פרטיות לטעמנ ו, חובת הרי שום אינה הכלי המתאים או היעיל להשגת תכליות חשוב ות אלו והשימוש בה לצורך הגשמתן אינו מידתי ,. ראשית ניתן לממש תכליות אלו באופן יעיל יותר באמצעות חיזוק הזכויות הניתנות ל נושאי המידע , חיזוק סמכויות האכיפה והפיקוח של הרשות להגנת הפרטיות וכן מתן כלי פיקוח מתאימים לציבור (למשל באמצעות הגשת תובענות יי.)צוגיות בנ וסף , חובת הרישום לא תוביל להטמעת חשיבת פרטיות בקרב מפתחי הטכנולוגיה כבר משלב י הפיתוח הראשונים וכן לא ת יתן בידי הרשות להגנת הפרטיות זמן התראה מספק בנוגע לטכנולוגיות מסכנו ת פרטיות חדשות. זאת משום שחובת הרישום היא חובה טכנית בעיקרה ואינה מ חייבת את מפתחי הטכנו לוגיה לקיים בדק בית מעמיק בנוגע ל השפעת הטכנולוגיה שיש בדעתם לפת ח על הזכות לפרטיות כבר משלבי הפיתוח הראשוניים. בנוסף, חובת הרישום מוחלת לפי א :מת מידה מספרית 100,000 נושאי מידע בנוגע למאגר מידע , ו- 500,000 כאשר המדובר במאגר המ כיל במידע בעל רגישות מ .יוחדת כלומ ר, ה טכנולוגיה החדשה ומסכנת הפרטיות שרשות להגנת הפרטיות מבקשת להתעדכן לגביה באמצעות חובת הרישום תפות ח עד לשלבי האחרונים, תפעל , תא סוף ותעבד מידע על בין100,000 ל- 500,000 נושאי מידע עד ש .דבר קיומה יגיעה לידיעת הרשות לטעמ ,נו ב עולם דיגיטלי שבו מידע אישי נאג ם ,ונשמר כעניין שבשגרה יש לעגן בחוק מערך כלים חלופי להגנת הפרטיות במי דע אישי שי י תן מענ ה מקיף ומדויק יותר להגנת פרטיות מאשר חובת רישום מאגרי מי דע שהיא בעיקרה נטל ר גולטורי מיותר . השגת המטרה החשובה של מודעות הרשות להגנת הפרטיות לקיומן של טכנולוגיות ח דש ות ומסכנו ת פרטי ות כבר בשלביהן הראשוניים , והט מעת חשיב ה מגינת פרטיות בקרב מפתחי טכנולוגיה כבר בשלבי הפיתוח הראשוניים שלה תושג באמצעות הטלת חובת עריכת תסקיר השפעה על הפרטיות וחובת היוועצות עם הרשות להגנת הפרטיות בהתאם לתוצאות התסקי ר, כפי שקבוע ב תקנות ההגנה על מי דע האירופאיות (ה– " GDPR .)" 11 2. תסקיר השפעה על הפרטיות וחובת היוועצות החובה לע רוך סקר סיכ ונים לפגיעה בפרטיות קיימת כיום חלקית– בתקנות אבטחת מידע– ומוגבלת אך ורק למאגרי מידע שנ .דרשת בהם רמת אבטחה גבוהה12 ב- GDPR , לעומת זאת, מוטלת החובה לערוך סקר סיכונים לפגיעה בפרטיות על כל בעל שליטה במידע במידה ש סביר מאד ש עיבוד המידע על ידו יוביל ,לסיכון זכויותיו וחירויותיו של אדם ,בהתחשב באופי בהיקף, בהקשר ובמטרה של עיבוד המידע האישי . הסעיף מפרט רשימה פ תוחה של מקרים שנדרשת בהם עריכת סקר :סיכונים לפגיעה בפרטיות ( 1) הע רכה שיטתית ומקיפ ה של מאפיינ י האי ,שיות של נושא המידע, המבוססת על עיבוד אוטומטי, לרבות פרופיילינג ואשר על בסיסה מתקבלות החלטות בעלות השלכות משפטיות א ו השלכות משמעותיות ברמה דומה על נושא המיד ( ;ע2 ( ;) עיבוד בהיקף נרחב של מידע רגיש3 ) ניטור שיטתי ובהיקף נרחב של אזורים ציבוריים. 13 לצד החו בה לבצע סקר סיכונים מ טיל ה- GDPR על בעל שליטה במידע חובה להיוועץ עם הרשות להגנת הפרטיות לפני התחלת עיבוד המ ידע במידה שסקר הסיכונים מצביע על קיומו של סיכון 11 סעי פים36 - 5 3 וסעיף הקדמה1 9 ל– GDPR . 12 סעיף5 .(ג) לתקנות אבטחת מידע 13 סעיף35 ל- GDPR . גדול לזכויות נושא המידע בהיעדר נקיטת אמצעי .ם מתאימים למיזעור הסיכון ,בבקשת ההיוועצות על בעל השליטה במי דע לספק לרש ו ת להגנת הפרטיות,, בין השאר מידע בנוגע למטרת העיבוד ואמצעי העיבוד, האמצעים שבכוונתו לנקוט לשם ,הגנה על זכויות נושאי המידע תו צאות סקר הסיכונים שערך, ופרטי ה .קשר עם הממונה על הגנת הפרטיות בארגון הרשות ,, בתגובה צריכה ל השיב לבקשת ההיוועצו ת בתוך מספר שבועות ובתשובתה היא יכולה לממש כל אחת מהסמכויות הנתונות לה לפי החוק, לרבות להודיע על ה פרה, לדרוש מידע נוסף או להתחיל .בחקירה14 הש ילוב של החובה לערוך סקר סיכונים לפגיעה בפרטיות לצד חובת היוועצות עם הרשות במקרים בהם תוצאות הסקר מצביעות על פוטנציא ל פגיעה חמו רה בפרטיות מבטיח את הטמעת חשי בות הזכות לפרטיות והצורך להגן עליה בקרב מ פתחי ט כנולוגיות כבר בשלבי הפי תוח הראשוניים של הטכנולוגיה . 15 בנוסף, חובת ה היוועצות מ אפשרת לרשות להגנת הפרטיות לקבל לידה מידע מלא בנוגע לטכנולוגיה החדשה והעיבוד ה צפוי של מידע עוד בטרם ה חל .בדר ך זו יכולה הרשות להגנת הפרטיות לייעצץ ולתת בידי מפתחי הטכנולוגיה כלים לש מירה על הפרטיות .לצד חדשנות טכנולוגית הניסיון האירופאי מלמד ש מרבית החברות עושות כל שלאל ידן על מנת ל אמץ אמצעים למיזעור ה סיכון לפגיעה בזכויות ובחירויות של אדם וזאת על מנת להימנע מפני יה להיוועצות עם נציבות ה פרטיות והפניית זרקור הרשות לפעולתן. ב דרך זו מושגת המטרה החשובה והרצויה ביותר– הגברת הגנת הפרטיות באמצעות כלל משפטי המוביל לשינוי התנהגו ת השחקנים בשוק ללא מעורבו .ת ישירה של הרגולטור לפיכך, אנו מציעות כחלופה לצמצום חובת הרי שום , להוס יף לתי קון14 שתי חובות: חובת עריכת תסקיר השפעה על הפרטיות וחוב ת היוועצות עם הרשות להגנת הפרטיות . 3. איסור שימוש וניהול מאגר מידע סעיפים8 ,א10ב ו- 10 ג לתיקון14 3.1 . סעיף8א )(א המוצע בת י קון14 14 סעיף36 ל- GDPR . 15 layered explanations from algorithmic - Multi o Malgieri, Gianclaudi minski & ot E. Ka Marg impact assessments in the GDPR, Proceedings of the 2020 Conference on Fairness, Accountability, and Transparency 68-79 (Jan. 2020) . ,לא ינהל אדם ולא יחזיק מאגר מידע אם המידע הכלול בו נוצר התקבל, נצבר או נאסף בני גוד לחוק ז ה או בניגו ד להוראות כל דין המסדיר עיבוד מידע, אלא אם כן המידע נמ ,סר לו בהתאם לדין לא היה עליו לדעת על אי החוקיות כאמור ובנסיב ות העניין הפ גיעה בפרטיות היא קלת ע ר .ך המדובר בהוראה ה קובעת איסור לנהל או להחזיק מ אגר מידע אם המידע הכלול בו "נוצ ,ר התקבל , נצ בר או נ אסף ." בניגוד להוראות חוק הגנת הפרטיות או דין אחר ד לצ האיסור מופ יעה הגנ ה המורכבת משלושה תנאים מצטברים: (1 ) המידע נמסר לו בהתאם ל ;דין (2 ) לא היה עליו לדעת על אי החוקיו ת כאמור ; (3 ) .ובנסיבות העניין הפגיעה היא קלת ערך ,עם זאת ה איסור מצומ צ ם רק "ל"ניהול"ול"החזקה של"מאגר ע מיד". "פעולות "ניהול" ו"החזקה אינן מוגדרות ב חוק או בתיקון14 . אלו מגדירים בעלי תפקידים– " ."מנהל מאגר מידע" ו"מחזיק "מנהל מ "אגר מוג דר בסעיף7 לחוק כ"מנהל פעי ל של גוף שבבעלותו או בהחז קתו מאגר מידע או "מי שמנהל כאמור הסמיכו לעניין זה .יעסב ף2 לתיקון14 מוצ ע לתקן את הגדר "ת המונח "מחזיק שבסעיף3 לחוק ולקבוע ש"מחזיק, לעני ין מאגר מידע" הוא "מי שהתקשר עם בעל שליטה במאגר מי דע למתן שיר ות לבעל השליטה או למ תן שירות מטע ם בעל השליטה , וקיבל מבעל השליטה במאגר המידע, במסגרת הה תקשרות, הרשאה לעשות שימוש ב מידע שבמאגר לצור ך מת ן השיר ".ות לפי דברי ההסבר האיסור המוצע מיועד להבהיר שאין לנהל או להחזיק מאגר מידע בנסיבות המצויינות בסעיף בלא קשר ל תחולת חו בת הרישו ם על המאגר ולהפעלת סמכות הנתונה בידי הרש ם לפי סעיף10 ()(א1) לחוק לסרב לרשום מאגר מידע . עוד מובהר בדברי הה בס ר שהאיסור מתייחס רק לשלב האיסוף של המידע, עוד בטרם נעשה בו שימוש, ובכך משלים את האיסור הקי ים על שימוש במידע בני גוד למטרה שלשמה נמסר בסעיף2 ( 9 ) לחוק ואלו המוצעים בסעי פים 10 ב ו- 10ג לתיק ון14 . 16 נוכח התיקונים המוצעים בתיקון14 והוספ ת הגדרת "בעל שליטה במאגר מידע" מתעורר ה חשש שהור את סעיף8 )א(א ה אינ ה חל על בעל שליטה במאגר מידע וכן אינ ה מונע ת שימוש או עיבוד .של המידע הכלול במאגר המידע לכ אורה בעל שליטה במאגר מידע אי נו מנוע למ קבוע את מטרותיו של מאגר מידע שהמידע הכלול בו נאסף בניגוד להוראות החוק או דין אחר העוסק בע יבוד מידע. באשר ל שי מוש במידע ממאגר המידע , פעולה זו אסור ה רק אם נעש ת ה בחריגה מ המטרה לפי סעיף2 ( 9 ) לחוק ו- 10 ב המוצע בתיקון14 או בחריגה מהרשאה לפ י סעיף10 ג המוצע בת יקון14 . ר מו כבו ת זו בהב נת ההוראה הקב ועה בסעיף8א(א) נובעת משימור התיבה "מאג"ר מידע בתיקון 14 ובהיע דר התייחסות ישי .רה למהן הפעולות שמותר או אסור לעשות במידע עצמו דרך המלך להוס פת איסור מקיף אשר יחול על כל ,מי שעלול לפגוע בפרטיות ללא קשר לתפקיד א ותו הוא ממלא, ומבלי דח ליי את האיסור לפעולה מסוימת במידע , מה שמחייב קביעת הוראות ספציפיות לסוגי פעו לות שונ,ים היא על ידי תיק ון סעיף1 לחוק : בחוק הגנת הפרטיות, התשמ"א– 1981 (לה לן– החוק העיקרי), בסעיף1 , לאחר המילים "ללא " הסכמתו" יבוא, לפ."י הוראות חוק זה תיקון שכזה ייתר את הצ ורך לנסות ולהקיף את כל מגוון הפעולות שנעשות או עשויות להיעש ות במידע שלא בהתאם לחוק ויחול גם על פגיעה שלא לפי הוראות חוק זה בפר .טיות הקלאסית באש ר ל רצון להחריג עיבודי מידע הנעשים לפי דברי חקיקה אחרים כגון" חקיקה מגזרית בנושא מידע רפואי, פיננסי או אחר, וכן ח קיקה המיוחדת לנושא או למאג ר מסוים כגון ח וק המאגר הביומטרי", ניתן להוסיף בסיפא, לאח" ר המילים לפי הוראות חוק זה" את המילים "או דין אחר המסדיר עיבוד מידע" כפי שמופיע בסעיף8 (א) המוצע בתיקון14 . באשר לשני התנאים המצטברים ה נוספים מהם מורכבת ה ה גנה שבסעיף8 א(א) ל דע תנו מקומן בסעיף ה הגנו ת. אין מקום שכל אחד יעשה דין לעצמו ויכריע האם עומד בקיומם ש ל התנאים 16 תיקו ן14 ', בעמ431 . המצטברים אם לאו. נושא זה צריך להיש קל כחלק מהגנה בהליך מינהלי או פלילי בהתאם להגדרת .העבירות וההפרות בחוק 3.2 . סעי ף8 )א(ב לתיקון14 מצא הממונה כי אדם הל ינ או החזיק מאגר מ ידע בניגוד להורא ות סעיף קטן (א) (בסעיף קטן זה– )הפרה , רשאי הוא להודיע לו שמ עשיו מ הווים הפרה ולהורות לו להפסיק את ההפרה בתוך .תקופה שיורה סעיף8 )א(ב , בשילוב עם הוראת סעיף23 ()כג(ג1 )לעניין העיצומים ה כספ,יים מבטיח ים הטלת כפל העיצום הכספי על הפרה במעשה ולא .הפרה במחדל המדובר במטרה ר אויה ונכונה ויש להחילה , לדעתנו , באו פ ן רחב על פגיעות מתמש כות אחרות בפרטיות, ולא רק על ניהול או החזקת מאגר מידע בני גוד להוראות החוק או הדין. לו סעיף2 לחוק הגנת הפרטיות היה מעו דכן אף הוא במסגרת תיקון14, קל היה לה פ נות להפרה של סעיפי חוק ספציפים שראוי שהענישה ב גינם תעשה רק במידה וההפרה התרחשה במעשה ולא במ חדל. בהיע דר תיקון כאמור, יש לדעתנו להח יל את הוראת סעי ף8א(ב) על כל פגיעה בפרטיות ולהותיר שיקול דעת ל ראש הרשות להגנת הפרטיות ל וח של הודע ות הפרה כתנאי להטלת העיצום הכס פ י. לפיכך, אנו מצי ע ו ת לתקן את הוראת סע יף8 " א(ב) כך שבמקום מצא הממונה כי א ד ם ניהל או החזיק מאגר מידע ב ניגוד להוראות סעיף קט )ן (א ", יבוא "מצא הממונה כי אדם פגע בפרטיות זולתו בניגוד להורא ת סעיף1 ."לחוק 3.3 . סעיף10 ב לתיקון14 לא ישת מש בע ל שליטה במאגר מידע או מחז י ,ק במאגר, במידע לר בות ידיע ה על ענייני ו הפרטים של אדם אף שאינה בגדר מי ,דע ממאגר מידע, שלא למטרה שלשמה נמסרו, ולא ירשה לאחר מטעמו לעש .ות שימוש במידע או בידיעה כאמור לפי דברי ההסבר, סעיף10ב מעגן מסגרת רחבה לעיקרון צמידו ת המטרה . עיקרון זה מעוגן כיום בשני מק ו מות בחוק הגנת הפרט :יות (1 ) בסעיף2 ( 9) לחו ק הגנת הפרטיות , לפיו"שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה" ., מהווה פגיעה בפרטיות (2 ) בסעיף8(ב) המ צ מצם את עיקרו ן צמידות המטרה לשימוש במידע ממאג רי מידע החייבי .ם ברישום מאחר ועיקרון צ מידות המטרה אי נו ת לוי בהיותו של מאגר מידע מאגר שחלה עליו חובת רישום, אלא חל על כלל מאגרי המידע, מוצע בתיקון14 לבטל סעיף .זה לחלוטין17 עיקרון צמידות המטרה המוצע בסעיף10 ב לתיקון14 מעגן איסור כל לי על שימוש במידע ממאגר מידע של א למטרה לשמה נמסר המידע וח ל גם ע" ל ענייניו הפרטיי,ם של אדם אף שאינם בגדר "מידע . בכך מרחיב סעיף10 ב את עיקרון צמידות המטרה הקבוע בסע יף2 ( 9 ) לחוק לכל מידע ממאגר מ ידע, ולא רק ל .""ידיעה על ענייניו הפרטיים של אדם אולם, המונח י "יד עה על ענייניו הפרטיים של אדם" א ו ינ .מוגדרת בחוק הפסיקה קבעה כי יש לפרש את המונח "ידיעה על ענייניו ה פרטיים של אדם" בסעי ף2 ( 9 ) בהתאם למכלול הנתונים הרלוונטיים ותוך מחוייבות להגנה על יכולתו של האדם לקיי ם את האוטונומיה שלו ואת המרחב ".הפרטי הנתון לו18 באופן זה נפסק כי כתובתו של אדם ומ ספר הטל פון הנייד שלו הם בגדר ענייניו ה פ .רטים של אדם19 נוכ ח הה גדרה הרחבה המוצ עת ל"מידע" ב תיקון14 , 20 כ"נתון הנוגע ל אדם מזוהה , א ו לאדם הניתן ל זיהוי, במישרין או בעקיפין , באמצעים סבירים, לרבות מזהה "ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר , נדמה כי" שהמונח מידע" ה מוצע בתיקון14 מכיל בתוכה גם את הפרשנות שניתנה בפ סי קה למונח "ידיעה ע ל עניי "ניו הפרטיים של אדם או , לכל הפחו ת, המדובר במונחים.חופפים מ אחר ועיקרון צמידות המטרה הוא עיקרון ח וש ב, יש בעיננו חשיבות לעיגונו בסעיף10 ב בנפרד ממופעי הפגיעה בפרטיות שבסעיף2 ל .חוק עם ז את, ל דעתנו , נוכח העובדה שההגדרה החדשה של "מידע" המוצעת בתיקון14 מכי לה בתוכה את התיבה "יד ,"יעה על ענייניו הפרטיים של אדם 17 תיקון14 ', עמ28 4 . 18 עע"מ05 / 9341 התנועה לחו פש המידע נ' רשות ה חברות הממשלתית (פורסם בנבו , 15.05.2009 ), פסקה23 לפסק הג י ן; ע"א439/88 רשם מ אגרי המידע נ ' ונטורה(, פ"ד מח3 ) 808 ( 1994 .) 19 ראו עע"מ0/13 282 רוזנברג נ' רשות הא כיפה והגבייה , סז( 1 ) 1 14 20 ; עת"מ19 - 01 - 67403 הר שמ ש נ' הממונה על ח וק חופש המידע ברשות המיסים ,(פורסם בנבו07.04.2019 .) 20 סעיף3 ( 3 ) לתיקון14, התיקון המוצ ע לגדרת "מידע" שבסעי ף7 .לחוק סעיף10ב בא במקומו של סעיף2 ( 9 )אות ו י ש לבטל על מנת לא ליצור בחוק חזרה מיותרת .העלולה להוביל לקשיים פרשניים ,זאת ועוד בהינתן ש המונח "ידיעה על ענייניו הפרטיים של אדם" נכלל בגדר מידע או לפחות זהה "להגדרת המונח "מידע , משמעות " המילים לרבות ידיע ה על ענייניו ה פרטים של אדם אף שאי נ ה בגדר מי,דע " שב סעיף 10 ב המוצע אינ בר ה ורה וי ש לדעתנו למחוק .ן בנוס ,ף מאחר ולא ניתן לצפות מראש ובמדו יק את טווח המטרות של עיבוד ה מידע האישי שנאסף ומתוך הבנת הצורך של תעשיית עיבוד המידע האישי לאפשר לעצמה מרחב פעולה להתפת חות ולחד שנות , יש לאפשר גם עיבוד למטרה ד ומה לפי מבחנים ה דומים במהות ם להסדר ה קבוע בסעיפים5 ( 1) ו- 6 ( 4) ל- GDPR . בדרך זו ימנע ה שימוש בהגדרת מטר ה כוללנית, מעורפלת וגורפת של מטרת עיבוד המידע (ל משל)", "לכל מטרה חוקית , אך ייווצ ר איזון נכון וראוי בין הצורך בבהירות ו בשקיפות כלפי נושאי המידע מבחינת מטרות ע יבוד המידע האישי עליהם לבין ההכר ח לא פשר מרחב פעולה להתפתחות ול.חדשנות לפיכך אנו מציעות להוסי נוס ב ף ח ס עיף10 ב המוצע" לאחר המילים שלא למטרה שלשמה ,נמסרו" את המילים "או למטרה הדומה למטרה שלשמה נאסף או נמסר המידע". ובסי פא של ה סעיף להוסיף א ת מבחני המטרה הדומ ה :בזו הלשון "וא בב ו לבחון את קיומה ש ל מטרה דומה כאמור, ישק ול בעל שליטה ,במידע, בין השאר :את אלה (1 ) הק שר בין המטרה לשמה נאסף או נמסר המידע לבין מטרת העיבוד או השימוש שהוא מבקש ;לבצע (2 ) הנסיבות שבהן נאסף המידע , קיומה של מערכ ת יחסים בין נושא המידע לבין ב על השליטה מא ב גר ה מידע ואת ציפייתו ה סבירה של נו שא המידע בנוגע לעיבוד או לשימוש נוסף ב מידע , מעבר למטרה לשמ ה נאס ף או ;נמסר (3 ) האם המידע כולל מידע ב על רגיש ות מיוחדת ; (4 ) השלכות אפשריות של העיבוד או השימוש הנוסף ש הוא ".מבקש לבצע 3.4 . סעי ף 10ג תי ל קון14 " )(א לא ישתמש אדם במידע, לר ת בו י יד עה על ענייני ו הפרטיים של אדם אף שאינה בגדר מידע, ממאגר מידע, בלא הרשאה מאת בעל השליטה במאגר המי דע או בחריגה מהרשאה כאמור; )(ב לא יחזיק אדם במידע או בידיעה על ענייניו הפרטיים של אדם, ממאגר מידע, בלא הרשאה של בעל הש ליטה במ אגר המידע או בחריגה מהרשא ה כאמו ר ; ,לעניין זה "הח זקה " – למעט החזקה בא קראי ובת".ום לב ראשית, בהתאם להערותינו בסעיף2.3 לעיל לעניין המ " ונח ידעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע" , יש לדעתנו למחוק מילים אלו גם מלשון סעי פים קטנים (א) ו-(ב) בסע יף 10ג. בנוסף, יש לתת את הדעת ל כך ש ן ס ו לש עיף10ג(א) או סרת רק על שימ וש במיד ע ממאגר המידע בלא הר שאה, א ך מתירה לעשות עיבוד כאמור. דרך המלך ל ת קן זאת היא על ידי בחירה במונח אחד כולל למכלול הפעולות שניתן לעשות במידע איש י, כפי שהערנו כבר ביחס למונח ים ""שימוש" ו עי בוד" ב חוות דעת נו מיום16.5.22 . כמו כ ן, ה ר שאה יכולה שתינתן על ידי "בעל הש ליטה במאגר המ ידע" בהתאם להגדרת המונח ""מחזיק המוצעת בתיקון14 . 21 אולם, הרשאה יכולה להינתן גם על ידי "מחזיק" בהתאם להגדרת המונח "בעל הרשאה" ב.תקנות אבטחת מידע22 האם ""בעל הרשאה ש עושה א ו יעשה שימוש במיד ע ממאגר המידע בהרשאתו של מחזיק , יחשב כמפר הו ראה זו? האם הר שאה כללית של בעל שליטה במאגר מידע למחזיק להעניק הרשאות לצדדים ש לשיים מספיקה כדי להימנע מהפרת האיסו ר הקבוע בסעיף10 ?)ג(א העיסוק בשאלות פרשניות אלו מהווה מעמ סה על חברות מתעשיית המידע בישראל , בעיקר אלו העושות את ראשית צעדי ה ן בתעשייה ואינן בעלות כיסים עמ וקי ם ל יוע צים משפטיים . 21 סעיף2 לתיקון14 . 22 תקנה1 לתקנות הג נת הפרטי ות (אבטחת מידע), תשע"ז– 2017 : "בעל הרשא ה" מוגדר כ"יחיד אשר יש לו כישה לאח ד מאלה על פי הרש ."אתו של בעל המאגר או המחזיק באשר לסעיף10 " ג(ב), הפועל "החזיק או המילה "החז קה" אינ ם מוגדרים בחוק ויש להניח "שנגזרים מהגדרת בעל התפקיד "מחזיק ש בסעיף3 לחוק הגנת הפרטיות וה תיקון ה מוצע לה בתי קון4 1 . 23 ואו,לם מחזיק, לפי ההגדרה המוצעת, ה ו א מי שקיבל מבעל השליטה במאגר ה מידע "הרשאה לעשות שימוש במידע שבמאגר" במסגרת הת קשרות עם בעל השליטה במ ידע ולצורך מתן שירות מ .טעם בעל השליטה או עבורו נוכח הגדר ה זו לא ברור במה שונה "פעולת ה"החזקה בלא הרשאה ש ף סעי 10 )ג(ב מבק ש לא סור משימוש במידע ממאגר מידע בלא הר ש אה האסור על פי סעיף10ג(א) המו צע. סעיף 10ג ב מהותו בא להצביע על פגיעות אפשריות בפרטיות שמוצד ק לה פעיל בגי נן את סמכות .האכיפה המינהלית של הממונה24 הקשיים הפרשניים שמעור ר סעיף10 ,ג, על שני סעיפיו מובילים, ל דעתנו, למסקנה שע דיף לתק ן את מופעי הפגיעה בפרטיות שבסעי ף 2 לחוק על פני הוספת סעיפים כדוגמת סעיף10 .ג באופן זה ירוכזו כל מופעי הפגיעה בפרטיות במקום אחד ותוג .בר הבהירות באשר ל תוכן מופעי הפגיעה בפרטיו ת, ניתן להוסיף לסעיף2 לחוק הגנת הוראה מצומצמת המאג דת את מהות סעיף10ג ולפיה "שימוש או ע יבוד מידע ממאגר מידע בלא רה שאה מבעל המאגר או מהמחזיק מהווה פג יעה בפרטיות". אולם, לדעתנו , על מנת ליצור הוראה אחת רחבה וברורה שניתן להח יל ה בהרחבה על פגיעה בפרטיות עקב שימוש או עיבוד ,מידע עדיף להוסיף לסעיף2 הוראה לפיה "שימוש או עיבוד מידע על אוד ות אדם שלא לפי הוראו ת חוק זה או דין אחר המסדיר עיבוד מידע " מהווה פג י עה בפ.רטיות באשר לסיפא של סעיף10ג(ב) לפיה "החזקה" אינ ה כוללת מצבים בהם נעשתה באקראי או ,בתום לב המדובר בהגנות ומקומן בסעיף ההגנות ולא כאן . לא זו א ,ף זו החוק כולל כבר היום הגנת תום לב מפורטת בסעיף18 ( 2 .) 4. אבטחת מידע סעיף9 לת יקון14 מציע להוסיף לסעיף17 לחוק ה גנת הפ רטיות ס ע יף קטן נוסף :שלשונו 23 סעיף2 לתיקון14 . 24 ראו סעיף23 ()כג(ד2) לעניין הפרת סעי ף 10 ג(א) וסעיף23 (כג()ד3 * לעניין הפרת סעיף10 )ג(ב לתיקו ן14 . ( )"ב1) הש ר רשאי לקבוע הוראות לעניין האחריות לאבטחת המידע הקבועה בסעיף קטן (א) ובסעיף17 )ב(ב , ובכלל זה היקפה והחובותך הכלולות בה, וכן לעניין דרכי אבטחת המידע כאמור, ב ין השאר ב :עניינים אלה (א) ;הגנה פיזית ולוגית על המאגר (ב) סדרי הניהול וכללי העבודה במאגר המידע ובקשר אליו, לרבות ל עניין קביעה של הגבלות על גישה של מועסקי .ם למידע ( 2 ) (בתקנות לפי פסקה1 ) , יכול שייקבעו הוראות שונות לגבי מאגרים בעלי .מאפיינים שונים ( 3 ) תקנות לפי פסק( ה1) י ותקנו בהסכמת ר אש הממ שלה, ולעניין תקנות כאמ ור שיח ולו על גופים המנויים בפרטים2 ו- 3 בתוספת הראשונה לח וק להסדרת הביטחון בגופים ציבוריים, התשנ"ח– 1998 (להלן– חוק להסדרת )הביטחון בגופים ציבוריים– גם בהתייעצות עם שר הביטחון." לפי דברי ה ה סבר, לצד ההסמכ ה הכללי ת שבסע יף36 לח ,וק התיקון המוצע בסעיף9 ל תיקון14 יו מ עד ל הסמיך את השר לקבוע תקנות בנושא ספציפי ש אה ל חריות לאבטחת מידע, ואלו ייקבעו בהסכמת ראש הממשלה הממונה על תחום הגנת הסייבר ועל מערך הסייבר הלאומי ועל שירות .הביטחון הכללי ,ראשית יש ל תת א ת הדעת לכך ש הגדרת "אבט "חת מידע ב סעיף7 לחוק הגנת הפרטיות היא חסרה . "אבטחת מידע" מוגדרת כ"הגנה על שלמות המידע או הגנה ,על המידע מפני חשיפה שימוש או העתקה, והכ ".ל ללא רשות כדין "שלמות המידע" מוגדרת בסעיף7 לחוק הגנת הפרטיות כ"זהות הנתונים במאגר מידע למק ו,ר שממנו נשאבו בלא שש ונו, נמסרו או הושמדו ללא רשות ."כדין מודל "אבטח"ת המידע המקובל בעולם ובת עשייה מבוסס על משולש CIA (Confidentiality, Integrity, Availability ) : סודיות, נכונות וזמינות המידע. שלושת יסודות אלו נדרשים על מנת להבטיח שהגישה אל המידע תוגבל רק למי שהורשה לכך . ,אולם ההגד רה הקיימת בסעיף7 לחוק הגנת הפרטיות כיום חס רה במובהק את יסוד "זמינות" המידע, וג ם"יסוד "נכונות המידע אינו נמצא בשל .מותו לפיכך, ועל מנת להתאים את הגדרות המונחים בחוק ביש ראל לאלו ,המקובלות בעולם"יש לדעתנו לתקן את הגדרת "אבטחת מידע בסעיף7 לחוק ה גנת הפר טיות ולעדכנה ל ,"הגנה על נכונות המידע סודיותו, זמ ינותו או שלמותו". באותו האופן יש לדעתנו לתקן את הגד "רת "שלמות המידע ל"שמירה על מהימ נות ודיוק המידע במהלך עיבודו, בלא ששונה או הושמד, שלא לפי הוראו ת הדין". הגדרה זו תואמת את ה שימוש הגובר ב מונח "שלמות ה ימ "דע ( data integrity ) בהקשרים של מחשוב ענן ומכשירי טכנו לוגיה מסוג האינ טרנט של הדברים ותשקף את הח שיבות שבשמ ירה על מה ימנות ודיוק המידע בעת השימוש בו ועיבודו . )באשר לתוספת סעיף קטן (ב לסעיף17 כמוצע בסעיף9 לתיקון14 , זו לדעתנו מיות רת. במידה שר וצים להדגיש ש לשר סמכ ות לקבוע תקנות גם בנ ושא אבטחת מידע, ניתן להוסיף זאת לסעיף 36 המונה רשימה פתוחה של נושאים בהם מורשה השר להתקין תקנות. אם בנו שא אחריות לאבטחת מידע נדרשת גם הסכמתו של ראש הממשלה לתקנות, ניתן ל עגן זאת גם ב כן סעיף36 . ובכל מקרה לא יתכן שיו ת קנו תקנות שלא יועברו לאישור ועד ת הח .וק, חוק ומשפט של הכנסת ך יכ לפ , אנ ו מציעות למחוק את התיקון המוצע בסעיף9 לתיקון14 וב מקומות להוסיף לסעיף36 לחוק הגנת הפרטיות( , לאחר סעיף קטן1 :) "( 1 )א הוראו ת לעניין האחריות לאבטחת המידע , ובכלל זה היקפה והחובותך הכלולות בה, וכן לעניין דרכי א בטחת המידע כאמ ור, בין השאר ב :עניינים אלה )(א הגנ;ה פיזית ולוגית על המאגר )(ב סדרי הניהול וכללי העבו דה במאגר המידע ובקשר אליו, לרבות לעניין קביעה של הגבלות על גישה של מועסקי ם .למידע תקנות בנושא זה יותקנו בהסכמת ראש הממשלה, ולעניין תקנו ת כאמ ור שיחולו על גופי ם המנויים בפרט ים2 ו- 3 בתוספת הראשונה לחוק להסדר ת הביטחון בגופים ציבוריים, התשנ"ח– 1998 (להלן– חו ק להסדרת )הביטחון בגופים ציבוריים– גם בהתייעצות עם שר הביטחון. 5. סיכום תמצית הערותינו 1. יש למחוק את חובת הרישום המצומצמת המוצעת בסעיף4 לתזכיר המתקן את סעיף8 לח .וק 2. יש להוס יף לתיקון14 הור אות ב דבר חובת עריכ ת תסקיר השפעה על הפרטיות וחובת היוועצות עם הרשות לה .גנת הפרטיות במקרים מסויימים 3. יש למחוק את סעיף8 א(א) המוצע ובמקומו לתקן את סעיף1 לחוק כ ך ש לאח ר המיל ים "ללא הסכמ" תו" יבוא , לפי הוראות חוק זה או לפי דין אחר המסד יר עיבוד מידע." 4. יש לתקן את סעיף8 א(ב) כך שיחול על כל פגיע.ה בפרטיות לפי הוראות החוק לפיכך " במקום הרישא "מצא הממונה כי א םד ניהל או החזיק מאגר מידע בניגוד להוראות סעיף )קטן (א ", יבוא "מצא הממונה כי אדם פגע בפרטיות ז ולתו בניגוד להורא ת סעיף1 ."לחוק 5. יש למחו ק את ה מונח "ידיעה על ענייניו הפרטי "ים של אדם אף שאינה בגדר מידע מסעיפים10 ,ב 10ג(א) ו- 10 .)ג(ב 6. יש למחוק את סעיף2 ( 9 ) לחוק ו להוסי ב ף נוסח המוצע ל סעיף10 ב לתיקון14 לאחר " המילים,שלא למטרה שלשמה נמסרו" את המילים "או למ טרה הדומה למטרה שלשמה נאסף או נמסר המידע" . ובסיפא של הסעיף להוסיף את מבחני המטרה הדומ ה :בזו הלשון "בבואו לבחון את קיומה של מט רה דומה כאמור, ישקול בעל שליטה ,במידע, בין השאר :את אלה (1 ) הקשר בין המטרה לשמה נאסף או נמסר המידע לבין מטרת העיבוד או השימוש שהוא מב קש ;לבצע (2 ) הנסיבות שבהן נאסף המידע , קיומה ש ל מערכת יחסים בין נושא המידע לבין בעל השליטה מא ב גר ה מידע ואת ציפייתו הסבירה של נושא ה מידע בנוגע לעיבוד או לשימוש נוסף ב מידע , מעבר למטרה לשמ ;ה נאסף או נמסר (3 ) האם המידע כולל מידע ב על רגיש ות מיוחדת ; (4 ) השל כות אפשריות של העי בוד או השימוש הנוסף ש הוא מבקש ".לבצע 7. יש ל מחוק את סעיף10ל ג ו הוסיף סעיף2 ( 12 ) :בזו הלשון "שימוש או עיבוד מידע על אודות אדם שלא לפי הוראות חוק זה או דין אחר המסדיר עיבוד מידע" . 8. יש לתקן את הגדרת המונח "אבטחת מידע" בסעיף7 :לחוק ולהחליפה בהגדרה הבאה "הגנה על נכונות המ ,ידע סודי,ותו "זמינותו או שלמותו . 9. יש לתקן את הגדרת "שלמות המידע" ב סעיף7 :לחוק ולהחליפה בהגדרה הבאה "שמירה על מהימ נות ודיוק המידע במהלך עיבודו, בלא ששונה או הושמד, שלא לפי הוראו"ת הדין. 10 . יש למחוק את ה תיקון המוצע בסעיף9 לתיקון14 ולהוסיף לסעיף36 חוק ל , אחרי פסקה ( 1 ) את הסעיף "( 1 )א הוראו ת לעניין האחריות לאבטחת המידע ,ובכלל זה היקפה והחובותך הכלולות בה, וכן לעניין דרכי אבטח ת המידע כאמור, בין השאר ב:עניינים אלה )(א;הגנה פיזית ולוגית על המאגר )(ב סדרי הניהול וכללי העבודה במאגר המידע ובקשר אליו, לרבות ל עניין קביעה של הגב לות על גישה של מועסקי ם .למידע תקנות בנושא זה יותקנו בהסכמ ת ראש הממשלה, ולעניין תקנו ת כאמ ור שיחולו על גופים ה מנויים בפרטים2 ו- 3 בתוספת הראשונה לחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח– 1998 (להלן– חוק )להסדרת הביטחון בגופים ציבוריים– גם בהתייעצות עם שר הביטחון . בכ בוד וב ב רכה ד"ר רחל ארידו ,ר הרשקוביץ ד"ר ת הילה שוורץ אלטשולר התוכנית לדמוקרטיה בעידן המי דע ה מכון הישראלי לדמוקרטיה סנ פח א ' : חובת רישום סקירת משפט מ שווה מדינה חובת רישום החוק החל אנגולה האישי המידע לסוג בהתאם המע ובד, ארגון צריך לספק הודעה מוקדמת לרשות הגנת הפרטי ות או לקבל את אישורה לפני עיבוד המ .ידע האישי Data Protection Law, 2011; the Electronic Communications and Information Society Services Law, 2011; the Protection of Information Systems and Networks Law, 2017 ארגנטינה חובת רישום על כל מאגרי המידע הפרטיים ו הציבוריים שמטר תם .אספקת מידע The Personal Data Protection Law, 2000 אוסטרליה אין חו ב ת רישום . חקיק ה פדרלית, מד .ינתית ומחוזית The Federal Privacy Act 1988, amended 2012; Australian Privacy Principles (APPs) . אוסט ריה אין חובת רישום . חקיקה תואמתGDPR : The Data Protection Amendment Act 2018; The Privacy Deregulation Act 2018 בחריין אין חוב ת רישום . Personal Data Protection 2018 , נכנס לתוקף באוגו סט2019 ב לרוס אין חובת רישום כתנאי לאיסוף אוThe Law on Information, Informatisation and Information מדינה חובת רישום החוק החל .עיבוד מידע אישי מ ערכות מידע ממשלתיים, אף אם אינם אוספים או מעבדים מ ידע אישי, חייב ים ברישום שכן הוקמו .או נרכשו מכספי הממשל לפי החוק הקיים ארגון המחזיק ב מערכת מידע שמ טרתה עיבוד מ ידע א ישי חייב להוד יע לרשות האח ראית על הת נאים הטכניים .שנוקט לאבטחת מידע Protection, 2008; the Law on Population Register, 2008 . בהליכי חקיקהLaw on Personal Data שיהיה החוק הראשון הייעוד י לאסדרת ההג נה על .מידע אישי בלגיה בוטלה חובת הייד וע על פעולות ,עיבוד מידע אישי. במגזר הציבורי מי שמעבד מ ידע אישי למטרות שירותי אכיפה מחויב לפרסם פרוטוקול המפרט את העברת המידע לגוף ממשלתי א ו פרטי בהת בסס על אינטרס הציבור ב .ציות לחוק חקיקה ת ו אמתGDPR : The Data Protection Act, 2018; The Data Protection Authority Act, 2017 . ברמודה אין חובת רישום The Personal Information Protection Act 2016 , נכנס לתוקפו ב2018 בוליביה אין ח ובת ר ישום Bill of Personal Data Protection; מדינה חובת רישום החוק החל The Political Constitution of the Plurinational State of Bolivia, in Article N°130 . בוסניה והרצגובינה חובת רישום המוטלת על כל מי שמעבד מידע אישי The Law on Protection of Personal Data, 2006 . ברז יל אין חובת רי שום Brazilian General Data Protection Law, 2018 . זו חקיקת הגנת הפרטיות ה מקיפה הראשונה .במדינה ב ולגריה חובת ריש ום בעל שליטה בו טלה עם תיק ון החוק ברוח הGDPR . קיימת חובה לרשום בעל שליטה במידע ו מעבד שמינו קצין הגנת פרטיות, רישום גופים מאושרים ו רישוםcode of conduct . חקיקה תואמ ת את הGDPR . The Personal Data Protection Act 2002, amended 2019 . קנדה אין .חובת רישום יש כ28 חוקים פדר ליי ם , מחוז יים .ומקומיים להגנה על פרטיות במידע העיקרי והפדרלי שבהם Personal Information Protection and Electronic Document Act, 2000 . צ'ילה חובת ריש ום על מאגרי מידע ציבוריים Personal Data Protection Law, 1999 וכן חוקיים ייעוד יי ם למשל מדינה חובת רישום החוק החל לתחום הבנ קאות והאשראי . קרואטי ה .אין חובת רישום מאגרי מידע רק חובות לפי הGDPR למשל לר .ישום קצין הגנת מידע חקיקה תואמתGDPR : The Act on the Implementation of the GDPR, 2018 . חקיקה נוספת בנוגע למידע רפואי משנת2019 . קפר סין י אין חובת רישום מאגרי מידע. רק חובה לפי הGDPR לרישו ם קציני הג .נת פרטיות תואמת חקיקה GDPR : The Protection of Physical Persons Against the Processing of Personal Data and Free Movement of such Data Law, 2018 צ'כיה אין חובת רישום מאגרי מידע חקיקה תואמת GDPR : The Czech Act on Personal Data Processing, 2019 דנמרק עיבו די המידע הבאים דורשים :אישור רשות הגנת הפרטיות - עיבוד מידע אישי על ידי ארגון פרטי המביא לחשיפה מוצא אתני או גזעי, דעות פוליטיות, אמונה דתי ת או פילוסופית, חברות בארגון עובדים, עיבוד מידע גנט י, ביומטרי לשם גילוי ייחוד יות של אדם, עיבוד חקיקה תואמתGDPR : The Danish Act on Data Protection, 2018 . מדינה חובת רישום החוק החל מידע רפואי א ו מידע הנו גע לחיי המין או נטייה מינית של אדם .לצורך אינטרס הציבור העברה של קטיגוריות ייחודיות של שעובדו אישי, מידע במקור למטרות מחקר מדעי, אם עיבוד המידע עומד להיעשות מחוץ לגבולות האיחוד האי רופי או ע ומ ד להתפרסם בכ .תב עת ידוע עיבוד מידע אישי ע ל ידי בעל של יטה פרטי ב מטרה להזהיר עסק אחר מפני כניסה לעסקה או העסקה של אדם, ב מטרה לנצל את המידע על מצבו הפיננסי של אדם למטרות מ סחריות ומתן אש ראי או לשם יצירת ריש ום מידע .משפטי מצרים מעבד או בעל שליטה במידע חייבים לקב ל רישיון מהרשות להגנת הפרטיות לפני שמבצעים ,איסוף אחסון , העברה או עיבוד של ,מידע אישי בפורמט אלקטרוני מיד ע רגיש או לשם פעיל ות שיווק Personal Data Protection Law, 2020 מדינה חובת רישום החוק החל אינטרנט .י אסטוניה חוב ת רישום בוטלה עם אימוץ החק יקה תואמתGDPR . ח קיקה תואמתGDPR : Personal Data Protection Act, 2018; Personal Data Protection Implementation Act, 2019 . פינלנד דרישות הרישום בוטלו עם חקיקת החוק ברוח הGDPR . חקיקה תואמתGDPR : The Data Protection Act, 2019; The Act on Electronic Communication Services 2014; the Act on the Protection of Privacy in Working Life, 2004; the Act on Processing of Personal Data in Criminal Cases, 2019; The Working Life Act . צרפת בוט לו חובות הרישום. נדרש רק שכל מעבד ובעל שליטה במידע י חזיקו תיעוד ש ל המידע כפי שנדרש בעבר במסגרת דרישת .רישום עיבוד סו גי המידע האישי הבאים מחייבים קבלת אישור הרשות להגנת הפר:טיות חקיקה תואמ תGDPR . מדינה חובת רישום החוק החל ( עיבוד מספר זיהויsocial security number) . עיבוד מידע איש י בשם או לטובת המדינ ה כחלק מסמכותה של רשות ציבורית, עיבוד מידע גנטי או ב יומטרי הנחוץ לשם זיהוי א ו אימות זהות של הפ .רט עיבוד מ ידע אישי ב שם המדינה או ע"י הנוגע לביטחון המדינה או למטר מניעת של ה ,עבירות חקירתם, או אכיפת ענישה בגין עבירות פליליו .ת גרמניה אין .חובת רישום חקיקה תואמתGDPR : German Federal Data Protection Act, 2017 , נכנ ס לתוקף במאי2018 . גניאה חוב ת רישום על כל מי שמבקש .לעבד מידע אישי Data Protection Act, 2012 גיברלטר בעל שליטה במידע המעבד מידע אישי חייב ברי שום אצל הרשות .להגנת הפרטיות Data Protection Act 2004 יוון אין חובת רישום חקיקה תוא מ תGDPR : The Greek מדינה חובת רישום החוק החל Law, 2019 . הונג קונג אי ן חובת רישום . עם זאת ל רשות להגנת הפרטיות הסמכות לקבוע קבוצות של מעבדי מידע שח ייבים ברישום. הרשות הציע ה שקבוצות אלו יהיו המגזר ה ,ציבורי, בנקים וחברות ביטוח חברות טלקומוניקציה וארגונים עם מאגרי מידע גדולים. נכון לע כ שיו הצעת הרשו ת לא התקב.לה The Personal Data (Privacy) Ordinance, 1996, amended 2013 . הונגריה .אין חובת רישום חקיקה ת ואמתGDPR . איסלנד על בעל שליטה במידע להיוועץ ולק בל אישור מראש של הר שות להגנת הפרטי ות בכל הקשור לעיבוד מידע לצורך ביצוע משימה לטובת אי נ טרס הציבור, ל הגנה סוציאלי.ת ולבריאות הציבור חקיקה תואמ תGDPR : The Act on Data Protection and the Processing of Personal Data, 2018 . הודו אין חובת רישום Information Technology Act, 2000; Information Technology (Reasonable Security Practice and Procedures and Sensitive Personal Data or Information Rules, 2011 . הצעת חוק מקיפה יותר מדינה חובת רישום החוק החל להגנת הפרטיות נדונה בבית הנמוך בפרלמנט בדצמ בר2019 אך טרם .התקבלה אירלנד אין חובה לרשום מאג .רי מידע יש ח ובה לרשום קציני הגנת .פרטיות בחברה חקיקה התואמת לGDPR : The Irish Data Protection Act 2018 . אי טליה אין חובת רישו ם חקיקה תואמ ת את הGDPR . יפן אין חובת רישום The Act on the Protection of Personal Information 2003, amended 2017 . קזחסטן אי ן חובת רישום Personal Data and Its Protection, 2013 קניה במידע שליטה ובעל מעבד מחויב י ם בר ישום ברשו ת הגנת הפרטי ות. לרשות הגנת הפר טיות הסמכות לקבוע כללי ם לחובת באופי בהתבסס הרישום התעשייה, כמות המידע המעובד והאם המידע המעובד הוא מידע .רגיש The Data Protection Act, 2019 לטביה עם חקיקת חוק תואםGDPR תואמת חקיקה GDPR : The מדינה חובת רישום החוק החל .בוטלה חובת הרישום Personal Data Processing Law, 2018 . מרוקו חובה ליידע את הרשות ל הגנת הפרטיות על כל עיבוד מידע אישי אלא אם כן עיבוד המיד ע נופל .לאחד החריגים הקבועים בחוק עיבוד מידע רגיש, מידע על פ עיל ות בלתי מוסרית או חו קית, על עבירות מנהליות, מידע על מצב האשראי או חדלות פירעון, חייב באישור מקדים .של הרשות Personal Data Protection Law, 2005 . מלזיה הבאים המידע בעלי קבוצות חייבות ברישום מ:ידי שנה בנ תקשורת, ומוסדות קים פיננסיים, ביטוח, בר ,יאות, תיירות תחבורה, חינוך, מכירה ,ישירה ,משפטיים שירותים ,ביקורת ,וארכיטקטורה הנדסה ,נדל"ן משכנתא ות והלוואת ה .ון Personal Data Protection Act 2010 , נכנס לתוקף ב2013 . זהו חוק .הגנת הפרטיות הראשון במדינה מלטה חובה על מעבד מידע להיוועץ הרשו אישור ולקבל להגנת ת הפרטיו ל ת פני עיבוד מידע למ טרות חקיקה תואמתGDPR : Data Protection Act 2018 . מדינה חובת רישום החוק החל אינטרס הציבור כאשר המידע ,המעובד הוא מידע גנטי ,ביומטרי מידע הנוגע לבריא ות למטרות מחקר סטט יסטי או מדעי , או קטיגו ריות מיוחדות של מידע הקשורות בשירותי .סוציאליים מקסיקו אין .חובת רישום The Federal Law on the Protection of Personal Data held by Private Parties, 2010 . דבר י חקיקה נוספ ים חלים על הרשות ה מבצעת ועל עי בוד מידע א ישי באופן .אוטומטי הולנד .אין חובת רישום חקיקה תואמת GDPR . The Dutch GDPR Implementation Act, 2018 ני ו זילנד אין חו בת ריש .ום The Privacy Act 2020 נכנס לתוקפו בדצמבר2020 . נורבגיה ח אין ובת רישום חקי תואמת קה GDPR : The Norwegian Personal Data Act, 2018 . פיליפינים חובת רישום מאג רי מידע חלה על מעבד או בעל שליטה במידע המקיימים את אחד מהתנאים The Data Protection Act of 2012 מדינה חובת רישום החוק החל :הבאים מעסיקים לפחות250 עוב .דים עיבוד המידע כו לל מידע רגיש על לפחות1000 .נושאי מידע סביר שעיבוד ה מידע יסכן זכו יות וחירויות יסוד של נושאי המי .דע עיבוד ה מידע אינו .מקרי פולין עם תיקון החקיקה והתאמתה ל GDPR בוטלה חובת הדיווח על עיבוד .מידע אישי יק חק ה תואמתGDPR . פו רטוגל עם התאמת החקיקה לGDPR .בוטלה חובת הרישום י חק קה תואמתGDPR . רומניה ח ובות הרישום והדיוו ח לרשות להגנ הפרטיות ת עם בוטלו התאמת החקיקה לGDPR . חקיקה תואמתGDPR . סינג פור אין חובת רישום. הרשות להגנת הפ רטיות מעודדת אבל רישום קציני ה .גנת פרטיות The Personal Data Protection Act of 2012 סלובקיה אין חובת .רישום חקיקה תואמתGDPR . מדינה חובת רישום החוק החל דרום אפריקה חוב ה לרשום את ק צין הגנת ה פרט .יות בארגון חובה לקבל אישור מהרשות ל ה גנת הפרטיות לפ ני עיבוד מידע אישי בקטיגוריות הקבועות בחוק כמו מיד ע רגיש, כאשר מ ידע על קטינים מועבר לעיבוד במקום .שאינו מספק הגנת פרטיות נאותה The Protection of Personal Information Act , נכנס לת וקפו ביולי 2020 . דרום קוריאה .חובת רישום על מוסדות ציבור Personal Information Protection Act, 2011 . ספרד אין חובת רישום חקי קה תואמתGDPR . Spanish Fundamental Law on Data Protection and digital rights guarantee, 2018 . שבד יה אין חובת .רישום חקיקה תואמ תGDPR : The Data Protection Act, 2018; The Data Protection Ordinance 2018; ו חקיקה ייחודים למגזרים מסוימי ם כמו הבריאות, הפיננסי , הסביבה, החינ ,וך .תקשורת תאילנד .אין חובת רישום The Personal Data Protection Act 2019. החקיקה ה יא ברוח ה מדינה חובת רישום החוק החל GDPR . אוקראינה חוב ת הרישום בוט לה בשנת2014 . קיימת חובת הודעה על עיבוד מידע אישי העלול לסכן זכוי ות וחירויות .של נושאי המידע The Law on Personal Data Protection, 2010, amended 2012, 2014 . אנגליה חובת הרישום בוטלה בחוק משנת 2018 .ב מקום מוטל על בעל שליטה במ ידע לשלם מידי שנה Data Protection Fee אל א אם כן .הוחרגו במפורש מהתשלום חקיקה תואמתGDPR : The Data Protection Act 2018 . קליפורניה ארה"ב חובת רי שום על סוחרי מ( ידעdata brokersה ) כעסקים מוגדרים שאוספים במודע מידע אישי על לקוחות נו אי ש מידע שאין להם איתם מער ,כת יחסים ישירה ומ וכרים אותו ל צדדים שליש יים California Consumer Privacy Act of 2018 נכנס לתוקף בינואר2020