חומר רקע
[Document title]
1
9 ביוני
2022
'י באייר התשפ"ב
אל :חברי ועדת החוקה ,חוק ומשפט
מאת: הייעוץ המשפטי לוועדה
'מסמך הכנה מס3
מטעם הייעוץ המשפטי לוועדה–
לדיון הקבוע ביום12.6.22
ב הצעת חוק הגנת הפרטיות
'(תיקון מס14), התשפ"ב–
2022
:מונחים והגדרות (המשך ,)
צמצום
חובת רישום, איסורים ביחס למאגרים:
מסמך זה חופף במידה מסוימת את חלק ההגדרות במסמך ההכנה לדיון שהתקיים ביום16.5.22
. מטבע
.הדברים, ההתייחסות לנושאים שנדונו כבר בוועדה (גם אם טרם הוכרעו) צומצמה
סעיפים2 ו-
3 להצעת החוק: תיקוני הגדרות ב
סעיפי
ם 3 ו-
7 לחוק הגדרת מונחים ו הגדרות
ב סעיף3
להצעת החוק (סעיף7
)לחוק
( אושר פרט1)
:
תיקון סעיף 7
3.בסעיף 7 לחו
ק העיקרי –
(1)
ברישה ,במקום "ובפרק ד "'יבוא "ו
בפרקים ד 'עד ד'4
'ובפרק ה;"
ה וועדה
קיימה דיון בהגדרות המוצעות ל "מאגר מידע" ו"מידע" וכן
החל הדיון ביחס ל הגדרה"
מידע בעל רגישות
"מיוחדת המוצעת .
ההגדרות מתייחסות
ל'פרק ב' ופרק ד ועל פי ההצעה גם להגדרות פרק ד1` עד ד4`לו
פרק ה.
נ וכח חשיבות ההגדרות"מידע" ו"מאגר מידע" נביא שוב את הנוסח שאושר להלן :
""מידע–
נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מזהה
ביומטרי, מס;פר זהות או כל נתון מזהה ייחודי אחר
במסגרת הדיון צוין כי ההגדרה החדשה משקפת את התפיסה לפיה הגנת מידע מחייבת התיחסות לאפשרויות
האיג
ו ם והסקה של מידע הנובע ממידע אחר. בנוסף נבחנו הביטויים "הנוגע"; "הניתן לזיהוי" ו"באמצעים
."סבירים
נדונה
השאלה
האם להשמיט או ל מקם באופן נפרד את הסיפא "לרבות מזהה ביומטרי, מספר זהות
."או כל נתון מזהה ייחודי אחר
נוכח השינוי
התבקשה התייחסות הממשלה ל ביטוי"ענייניו
הפרטיים של
אדם"
ובפרט לביטוי זה, כפי שהוא מופיע בהצעת החוק (סעיפים10ב ו-
10
)ג לדוגמא.
התייחסות לביטוי
מובאת בהמשך המסמך .
""מאגר מידע–
אוסף פרטי
מידע המוחזק באמצעי דיגיטלי, למעט
;אוסף לשימוש אישי שאינו למטרות עסק
הוועדה דנה ,בהגדרה המוצעת לרבות בביטול ההחרגה
למאגר של שם ודרכי התקשרות,
וזאת לאור השיפור
ביכולת לעבד מידע ,
.לנתחו ולהצליב סוגי מידע שונים
ה החרגה
שמוצע להותיר
היא "אוסף
לשימוש אישי
שאינו
"למטרות עסק
, כאשר
למיטב ידיעתנו"אין פסיקה משמעותית ביחס ל
שימוש איש"י. ב-
GDPR
ה החרגה
מתייחסת ל
פעילויות אישיות במסגרת אישית או ביתית :
Article 2(c): By a natural person in the course
of a purely personal or household activity
. המפורש ב-
Recital
כחל:על"Correspondence and the
holding of addresses, or social networking and online activity undertaken within the context of such
activities.
.
נציין כי החריג
כפי שהוא נתפס על ידי הרשות, אינו חל על רשימות של ועד ים כמו ועד .הבית או ועד בית הספר
[Document title]
2
"
"מידע בעל רגישות מיוחדת
""מידע רגיש–
(
1
)
נתונים על אישיותו של אדם, צנעת אישותו, מצב;בריאותו, מצבו הכלכלי, דעותיו ואמונתו
(
2
)
;מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש
""מידע בעל רגישות מיוחדת– כל אחד מאלה:
(
1
)
;מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד
(
2
)
מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ
"ו–
1996
;
(
3
)
מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–
2000
;
(
4
)
;מידע על אודות דעותיו הפוליטיות או אמונותיו של אדם
(
5
)
;מידע על אודות עברו הפלילי של אדם
(
6
)
נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה– נתוני תקשורת), התשס"ח–
2007
, לגבי
;אדם
(
7
)
;מזהה ביומטרי
(
8
)
מידע
ע;ל מוצאו של אדם
(
9
)
מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחיבויותיו הכלכליות
ומידת עמידתו בהן;
(
10
)
( הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים1
( ) עד8
) ;
(
11
)
מידע ש;חלה עליו חובת סודיות שנקבעה בדין
(
12
)
;מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוק חוק ומשפט של הכנסת
ה הגדרה המוצעת רלוונטית לעניין חובת הרישום ולעניין גובה העיצום הכספי שיושת בשל הפרות הקבועות
'בסימן א' לפרק ד3
המוצע (פי10
"מסכום העיצום הכספי של "מידע רגיל( ). בדיון הקודם16.5.22
)
אישרה
הוועדה "את החלפת המונח "מידע רגיש" ל"מידע בעל רגישות מיוחדת אך טרם
סיימה
לדון
בתוכן ה
הגדרה .
רשימ
ת הנושאים שמוצע להגדירם כ "מידע רגיש", דומה לרשימה המנויה בתוספת הראשונה לתקנות הגנת
הפרטיות (אבטחת מידע), התשע"ז–
2017
, שעניינה מאגרי מידע שחלה עליהם רמת האבטחה
הבינונית . נוסח
חלק מהפריטים חופף במידה מסוימת את הפריטים המנויים
ב סעיף9(1) ל-
GDPR
שעניינו סוגי מידע שעיבודם
אסור, אלא בנסיבות:מסוימות,
political opinions
,
racial or ethnic origin
Processing of personal data revealing
etric data
biom
,
genetic data
, and the processing of
trade union membership
, or
religious or philosophical beliefs
natural
a
concerning
or data
health
concerning
data
for the purpose of uniquely identifying a natural person,
shall be prohibited.
person’s sex life or sexual orientation
:רשימת הנושאים המוצעים
(1) מידע על צנעת חייו האישיים של אדם, לרבות /ובכלל זה
;התנהגותו ברשות היחיד
ה
וועדה טרם סיימה את הדיון בסעיף זה. ה ובהר כי בפסיקה ניתנה משמעות רחבה לביטוי "צנעת חייו
האישיים של אדם" (ע"א1697/11
), גוטסמן אדריכלות בע"מ נ' אריה ורדי וכן הובהר כי לפי הפסיקה אין
הכרח לחצות "רף גבוה ביותר של אינטימיות–
דוגמת עניינ ים הקשורים בעברו המיני של אדם". וזאת
בניגוד להגדרה המצמצמת של ה-
GDPR
שנוגעת באופן פרטני ב :
data concerning a natural person’s
sex life or sexual orientation
.
.טרם הוכרע."בפרט ביחס לביטוי "צנעת חייו האישיים של אדם
[Document title]
3
(
*
)קווי אישיות
בנוסף
הוועדה ביקשה התיי חסות לשאלה אם קווי אישיותו של אדם (בפרט לכאלו העולים מתוך הערכות
עובדים, חוות דעת מפקדים בצבא או בארגונים דומים
, כמו גם אתרי היכרויות או אתרי המלצות למיניהן )
"אינם נחשבים "מידע בעל רגישות מיוחדת?
בהתאם מוצע על ידי הממשלה
: "הערכ
ת אישיות
שנערכה על ידי גורם
מקצועי"
לדיון –
?האם הערכה שמבוצעת על ידי מעסיק או מפקד נכללת בהגדרה
האם הערכת אישיות שעושה חברה על משתמשים בשירותיה, לצורך התאמת פרסומות ממוקדות אישיות
?אינה צריכה להיכלל במידע בעל רגישות מיוחדת
(2) מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ
"ו–
1996
;
בהצ עת החוק
מוצע להחליף את ה
מונח "מצב בריאותו" הקבוע כיום
,בחוק ל
נוסח ה
הגדרה שבנדון.
הנוסח
מצומצם ביחס ל
נוסח שב" תקנות אבטחת המידע
מידע רפואי או מידע על מצבו הנפשי של אד
ם" ו לנוסח
ב-
GDPR
: ,
data concerning health
,
וזאת
הן בכך ש
ההפניה ל
הגדרה שב חוק
זכ ויות החולה(מי דע
המתייחס באופן ישיר למצב בריאותו הגופני או הנפשי של מטופל או לטיפול הרפואי בו )
מייחסת את רגישות
המידע רק
למידע המתייחס באופן
ישיר
.למצב הרפואי
והן מאחר ,ש ההגדרה חלה בהקשר של
יחסי מטפל-
מטופל
, וזאת למרות שמידע רפואי רלוונטי גם מחוץ למערכת היחסים המסוימת"
.
:הצעה חלופית"
מידע המתייחס
באופן ישיר ל
מצב בריאות
ו של אדם"
(3) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א–
2000
;
הפרט
""מידע גנטי
הוא פרט חדש בחוק ,
אך מופיע באותו נוסח בתקנות אבטחת
ה
מידע .ב
חוק מידע גנטי ,
ההגדרה""מידע גנטי היא "מידע הנובע מבדיקה גנטית"
;
ב-
PR
GD
פרשנות המונח היא ביחס ל מידע הנוגע
לתכונות גנטיות
שמספקות אינפורמציה ייחודית על
הפיזיולוגיה או הבריאות של נושא המידע וש נובעות מניתוח של
דגימה ביולוגית מrticle 4(13):
A
: '
genetic
of a
cteristics
relating to the inherited or acquired genetic chara
personal data
data' means
natural person which give unique information about the physiology or the health of that natural
result, in particular, from an analysis of a biological sample from the
person and which
.
natural person in question
ו
כן מ פרט34
ל-
recital
:
(
34
)
relating to the
Genetic data should be defined as personal data
which result from the
of a natural person
inherited or acquired genetic characteristics
analysis of a biological sample from the natural person in question, in particular chromosomal,
or from the analysis of
bonucleic acid (DNA) or ribonucleic acid (RNA) analysis,
deoxyri
another element enabling equivalent information to be obtained
.
כלומר, ב-
GDPR
הה
נחה כי תיתכן למידה של תכונות גנטיות גם ממידע שאינו מופק מדגימה גנטית
שעליו
ראוי להגן
. נוכח האמור, ה אם ההפניה לחוק מידע גנטי אינה מצמצמת?מדי
(4)
מידע על[אודות]
;דעותיו הפוליטיות או אמונותיו של אדם
בהגדרה הנוכחית
לש "מידע רגיש" "דעותיו ואמונות
יו" של אדם .
" בהגדרה בתקנות אבטחת המידע מידע
על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם "
בהגדרה המוצעת מוצע לצמצם את ההגנה כך
" ש"דעות" יהיו מידע רגיש רק אם הן
דעות פוליטיות"
בדומה להגדרה בתקנות, אך לעומת זאת מוצע
להרחיב את ההגדרה של אמונות לכל אמונ
ותיו של אדם.
[Document title]
4
נציין כי
ה-
GDPR
,מתייחס לדעות פוליטיות
אמונות דתיות או אמונות פילוסופיות :
,
political opinions
religious or philosophical beliefs
;
)בארה"ב (קליפורניה לדוגמא–
דעות
פוליטי
ות כלל אינן
נחשבות
ל.חלק מהמידע הרגיש
הוועדה הביעה עמדתה כי ההגדרה רחבה ביותר ונדרש צמצומה.
הממשלה מבקשת להמשיך ולהשתמש במונח,
וזאת מאחר שהמונח כבר קיים כיום בסעיף7 לחוק
בהגדרה
"מידע" ("
נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו
,המקצועית
דעותיו ואמונתו);
אגב כך הבהירה הממשלה כי
הי א מפרשת את הביטוי "אמונות" ככולל גם
.השקפת עולם של אדם ולא רק אמונות דתיות
ככל שהוועדה מעוניינת בהרחבה זו מוצע נוסח של "מידע על
דעותיו הפוליטיות , אמונתו של אדם או
השקפת עול
מו .
(5)
מידע על[אודות]
;עברו הפלילי של אדם
ההגדרה המוצעת זהה להגדרות "מידע על אודות ע
ברו הפלילי של אדם" שבתקנות אבטחת המידע. גם ב-
GDPR
.חלה התייחסות למידע פלילי כנתון האסור לעיבוד אלא בנסיבות מסוימות
(
6
)
נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה–
,)נתוני תקשורת
התשס"ח–
2007
;, לגבי אדם
בתקנות אבטחת מידע מופי )עה ההגדרה "(ו
נתוני תקשורת
כהגדרתם בחוק סדר הדין הפלילי (סמכויות
אכיפה– נתוני תקשורת), התשס"ח-
2007
.
"נתוני תקשורת
–
"
נתוני
מיקום , נתוני
מנוי
או נתוני
תעבורה
, והכל למעט תוכנו של מסר בזק;
"נתוני מיקום –
" נתוני איכון של ציוד קצה הנמצא ברשות מנוי;"
"נתוני ת
עבורה",
לעניין מנוי, מיתקן בזק, מקום או מועד מסוימים– כל אחד מאלה:
(1) סוג מסר הבזק;
(2
)נתונים מזהים של מיתקן בזק שהוא מקור מסר הבזק, יעדו או מצוי בנתיבו;
(3) נתונים מזהים של המנוי שהוא מקור מסר הבזק או יעדו;
(4
)מועד השידור או הקבלה של מסר הבזק;
(5
)משך מסר הבזק, נפחו או היקפו;
במסמך הקודם
'(מסמך הכנה מס2)
הבהרנו את חשיבות הנתונים–
הן נוכח היכולת להפיק מהם מידע נוסף
.והן נוכח תחושת המעקב שאלו מייצרים
ה וועדה עמדה על הצורך שלא להגביל את התחולה של מידע בעל
רגישות מיוחדת רק
ל נתוני מיקום
בהתאם ל
חוק התקשורת , אלא להתייחס לנתונים המעידים על מיקומו
של אדם בכלל.
הממשלה קיבלה את ההערה ומבקשת לבחון נוסח שלא יהיה רחב מדי ובפרט לא יכלול מידע
נקודתי חד-
.פעמי
:נוסח חלופי
נתוני מיקום,
למעט נתון יחיד לעניין נושא מידע שאין בו כדי ללמד ][באופן ישיר על מידע
( לפי פרטים1
)
( עד8) ונתוני תעבורה .
(
7
)
;מזהה ביומטרי
"מזהה ביומטרי–
נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו, או אמצעי ][זיהוי
ביומטרי
שניתן להפיק
ממנו נתון כאמור; לעניין זה ""ביומטרי– מאפיין אנושי, פיסיולוגי או התנהגותי ייחודי, הניתן למדידה מ
מ"וחשבת
ההגדרה :"מידע ביומטרי" בתקנות אבטחת מידע והשוואתה להגדרה "מזהה ביומטרי" המוצעת
"
מידע ][מזהה
ביומטרי
–
" מידע
][נתון ביומטרי המשמש לזיהוי אדם
[או לאימות זהותו או אמצעי זיהוי ביומטרי שניתן
]להפיק ממנו נתון כאמור ,
,שהוא מאפיין אנושי פיזיולוגי[
או ]התנהגותי
ייחודי, ה
ניתן למדידה ממוחשבת;
[Document title]
5
ההגדרות הרלוונטיות מ חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר
מידע, תש"ע-
2009
:
"
"נתוני זיהוי ביומטריים –
נתונים ביומטריים שהופקו,מאמצעי זיהוי ביומטריים
וניתן לעשות בהם שימוש
לצורך זיהוי או אימות זהות
ו של אדם באופן ממוחשב או ממוחשב בחלקו;
"אמצעי זיהוי ביומטריים "
–
" הם תמונת תווי הפנים ותמונות שתי טביעות האצבעות המורות של אדם, שניתן
להפיק מהן
נתוני זיהוי ביומטריים;
ב סעיף4(
14
)ל-
GDPR
מוגדר "מידע ביומטרי" כ "
מידע אישי
הנוצר מ עיבוד טכני ספציפי
ו
הקשור למאפ יין
פיזי, פסיכולוגי או התנהגותי של אדם, שמאפשר או מאשר
את ה זיהוי
ה
ייחודי של אותו אדם .
למשל תמונת
.תווי פנים או טביעות אצבע
בדיון האחרון החלה הוועדה לדון בנושא, וביקשה מהממשלה להתייחס לקושי הנובע מכך שכיום כל מא גר
תמונות הוא למעשה מאגר של מזהה ביומטרי בדר
גת רגישות מיוחדת מצד אחד ובשימוש נפוץ
(לרבות
להגנה על מערכות) מהצד השני .
בהקשר זה נציין כי ביחס לתמונות הערכת הסיכון והרגישות יכולה להיות
מיוחסת למספר פרמטרים כמו "מספר התמונות, יסוד ההסכמה, הניהול, האם נעשה יישום ביומטרי
.בתמונות והאם מדובר במאגר ציבורי
חרף הקושי הנובע מרוחב היריעה של כל מזהה ביומטרי, לרבות תמונות כ"מידע בעל רגישות מיוחדת" לעת
.עתה מבקשת הממשלה להשאיר את הנוסח הנוכחי
(
8
)
מידע
ע;ל מוצאו של אדם
ב-
GDPR
מופיעה הגדרה ביחס למוצא, אלא שזו מצומצ
מ
ת יחסית: "
racial or ethnic origin
" בעוד
שההצעה הנ .וכחית רחבה
לעמדת משרד המשפטים הגדרה זו תכלול, לדוגמא, גם
.אילן יוחסין
הוועדה טרם דנה בסעיף זה.
לדיון :
?מהו החשש אותו מוצע למנוע באמצעות צירוף פרט זה לרשימת הפרטים בעלי הרגישות המיוחדת
האם אין חשש לפרשנות מרחיבה מדי של המונח מוצא ?", לדוגמא "עיר מגורים
ה אם לא ניתן לצמצם את
?הביטוי באופן שייקלע לחשש שהוא מגלם? לדוגמא אפליה על רקע מוצא אתני
הצעה חלופית:
;מידע על מוצאו האתני או השתייכותו הלאומית של אדם
(
9
)
מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד
בהתחיבויו;תיו הכלכליות ומידת עמידתו בהן
.ההגדרה זהה להגדרה המקבילה בתקנות אבטחת המידע
כאמור במסמך ההכנה הקודם ה-
GDPR
אינו
מתייחס למידע בנוגע למצבו הכלכ
ל
י של אדם כאל מידע רגיש
(או מידע האסור לעיבוד אלא בנסיבות
)מיוחדות
וכך גם החוק בבריטניה ובאוסטרליה , בין היתר מאחר
ש
מידע כלכלי נדרש לשם ביצ
ו ע פעולות
ועסקאות שגרתיות והגד
רתו כמידע רגיש תכביד על ביצוען
, ומאחר ש מידע כלכלי
דורש ממילא
רמת אבטחת
מידע גבוהה
ה מוסדרת ומובטחת ברגולציה לנותני אשראי
גם מבלי להגדירו כמידע רגיש (
Australian Law
Reform Commission, Sensitive Information (Aug. 6, 2010)
).
לדיון :
ו מה
?החשש האם המידע הכלכלי ראוי להגנה מיוחדת והאם הוא ראוי להגנה מיוחדת בכל מופע המלמד
על ה מצב
ה כלכלי או
די במצב כלכלי שלילי ?
נציין כי
מדובר בהחלטה ערכית
וכי להבנתנו ראשית יש לבחון אם בכלל נדרש ונכון להתייחס למידע כלכלי
כמידע בע
ל רגישות מיוחדת .
ככל שהוועדה סבורה כי נכון להותיר מידע כלכלי, מוצע
נוסח חלופי התואם את עמדת ה:)ממשלה "
מידע
על מצבו הכלכלי של אדם, וכן נכסים, חובות או התחייבויות שיש בהם כדי להעיד על מצבו הכלכלי
על יכולתו
לעמוד בהתחייבויותיו
או מידת
עמידתו בהן;"
[Document title]
6
(
10
)
הרגלי צרי( כה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים1
( ) עד8
) ;
בתקנות אבטחת המידע
מפנות התקנות גם ל ,הרגלי צריכה שיש בהם כדי ללמד על "אישיותו של אדם
."אמונתו או דעותיו
לדיון :
(1)
האם ההפניה העקיפה לנושאים אחרים נדרשת? האם היא אינה מייצרת הסדר שלילי ביחס למידע א ח
?המלמד באופן עקיף על מידע בעל רגישות מיוחדת
(2)
"האם צריכה של אדם שאינה "הרגל
(מוצר רפואי חד-
)פעמי אינה יכולה ללמד על הפרטים האמורים
?באופן דומה
(
11
) מידע שחלה עליו חובת סודיות שנקבעה בדין;
(
12
)מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוק ,ה
חוק ומשפ;ט של הכנסת
לדיון :
?האם פרט המידע הזה אכן נדרש מתי נעשה שימוש ב
הסדר הנוכחי הקיים או ב?הסדרים דומים
לסיכום הדיון בהגדרה זו נצ
י ין כי ראוי לטעמנו לבחון לדייק את ההגדרה ולהבהיר אם יש כוונה להגן על
המידעים בעלי הרגישות המיוחדת גם כאשר הם נלמדים באופן עקיף– לדוגמא , אמונתו של אדם או מצבו
הרפואי העולה באופן עקיף
מתמונות אבטחה
או להבהיר, כפי שנעשה ביחס למידע רפואי, כי מדובר במידע
.ישיר בלבד
צמצום ההגדרה מידע רפואי לנתונים ישירים על מצבו הבריאותי של אדם– עלול לייצר הסדר שליל י לכל יתר
הסעיפים וליצור מצב בו
כל מידע מוביל למידע אחר ואין מאגר שאינו בעל רגישות מיוחדת, למעט מאגרים
.בגין מידע רפואי
הגדרות סעיף7
:"בעל שליטה במידע" ו
"מחזיק", לעניין מאגר מידע –
""בעל שליטה במאגר מידע
תיקון סעיף 7
3.
(2)
אחרי ההגדרה "אבטחת מידע "יבוא:
""בעל שליטה במאגר מידע "
–
מי שקובע ,לבדו או יחד עם אחר ,את
מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק
לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור;";
כאמור, בהצעת החוק (סעיף1
)להצעה
מוצע להחליף את המונח
""בעל מאגר מידע
במונח
"בעל שליטה במאגר
"מידע ו .להגדירו
המונח "בעל מאגר מידע" אינו מוגדר כיום בחוק
הגם שהוא מופיע
בו פעמים
רבות-
בקשר
לחובות המוטלות על בעל המאגר(רישום ,
אבטחת המידע שבמאגר וחובות
ביחס לנושאי המידע,
כגון מתן זכות
עיון במידע וחובת הזד
הות).
ההגדרה המוצעת, "מי שקובע ,לבדו או יחד עם אחר ,את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך
בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור";
מבטא
ת ה דגשה של אלמנט השליטה במטרות
עיבוד המידע ובהיבטים המרכזיים הנוגעים לאופן העיבוד של המידע, תו ך צמצום הדגש שניתן בנוסח כיום
,לאלמנט הבעלות הקניינית על המאגר. שינוי זה הולם את המונח המקביל בתקנות האירופיות בדבר הגנת מידע
ה-
Controller
המעוגן בסעיף4(7) ל-
GDPR
:
" 'Controller’ means the natural or legal person, public authority, agency or other body
which, alone or jointly with others, determines the purposes and means of the
processing of personal data; where the purposes and means of such processing are
determined by Union or Member State law, the controller or the specific criteria for its
nomination may be provided for by Union or Member State law.".
[Document title]
7
בהגדרה המוצעת
אין דרישה ל
שליטה באמצעי עיבוד המידע
ה . ה
שמט
ה
אינה מקרית והיא נועדה למנוע מצב בו
העדר השליטה על האמצעים או פיצול (לרבות פיצול מכוון ומאולץ
) יביא ל קושי בהצבעה על בעל
ה שליטה במאגר
.מידע
לדיון :
(1)
כאמור, ב-
GDPR
""בעל שליטה במאגר מידע הוא מי שיש לו שליטה במטרות העיבוד וכן באמצעי העיבוד
(
לדוגמא
ה ,אלגוריתם
ה
החלטה על הצלבה עם מאגר אחר, שימוש ב-
AI
'וכו)
. האם הסרת דרישת השליטה
?באמצעים אינה יוצרת קשיים? מה הניסיון האירופאי עם המבחן הכפול
(2)
ב נוסח המוצע
התייחסות ל "מטרות עיבוד השליטה" כסממן
ל
שליטה במידע. הא ם ישנם אלמנטים נוספים
שמבטאים שליטה , כגון מי שבכוחו לתת הרשאה
לשימוש במידע לאחר , האם מתן הרשאה לאחר נכללת
תחת קביעת
המטרות ?
לאיזו קטגוריה ייכנס מי שבכוחו לתת הרשאה
לשימוש ?
(3)
לאיזו קטגוריה ייכנס מ
י ששולט באמצעים ובדרכי העיבוד אך לא במטרותיו ?
""מחזיק
"תיקון סעיף 3
2.בסעיף 3 לחוק העיקרי –
(1)
ב
מקום ההגדרה "מחזיק ,לעניין מאגר מידע "יבוא:
";"מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש
""מחזיק ,"לעניין מאגר מידע – מי שהתקשר עם בעל שליטה במאגר מידע
למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה,
וקיבל מבעל השליטה במאגר המידע ,במסגרת ההתקשרות,
הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות;";
על פי ההגדרה המוצעת
המחזיק מתאפיין
ב :שני אלו
(1)
התקשרות עם בעל השליטה במאגר המידע –
א.
למתן שירות
ל
בעל השליטה
או
ב.
למתן שירות
מטעם
;בעל השליטה
(2)
קבלת
הרשאה לעשות שימוש במידע שבמאגר
+
מסגרת ה + תקשרות
לצורך מתן השירות .
בהגדרה ו המ צעת הושם דגש על ההתקשרות עם בעל השליטה
לצורך מתן שירות לבעל השליטה או מטעמו . לפי
דברי ההסבר ההגדרה החדשה מחדדת את
ההבחנה
" הקיימת בין
בעל שליטה במאגר מידע "", "מחזיק
ו-
"מורשה גישה למאגר מידע".
כן הובהר
ש
ההחזקה
לא חייבת
להיות פיזית, וכי
דרך איגום המידע אינה
רלוונטית לתחול ת.הוראות החוק
מוצעים שלושה בעלי תפקידים: בעל השליטה במידע, המחזיק ובעל הרשאה למאגר מידע
בעל השליטה במאגר מידע
)(הצעת חוק הגנת הפרטיות
מחזיק
(הצעת חוק הגנת
)הפרטיות
בעל הרשאה למאגר מידע
(תקנות הגנת הפרטי))ות (אבטחת מידע
"בעל שליטה במאגר מידע "
–
מי
שקובע ,לבדו או יחד עם אחר ,את
מטרות עיבוד המידע שבמאגר המידע
או גוף שהוסמך בחיקוק לנהל מאגר
מידע או שבעל תפקיד בו הוסמך לכך
כאמור";
"מחזיק ,"לעניין מאגר מידע
–
מי שהתקשר עם בעל
שליטה במאגר מידע למתן
שירות לבעל השליטה או
למתן שירות מטעם בעל
השליטה
,וקיבל מבעל
השליטה במאגר המידע ,
במסגרת ההתקשרות ,
הרשאה לעשות שימ
וש
"בעל הרשאה
–
" יחיד
אשר
יש לו גישה
לאחד
מאלה על פי הרשאתו של בעל המאגר או
המחזיק:
(
1
)מידע מהמאגר;
(2)
מערכות המאגר;
(3)
מידע או רכיב הנדרש לצורך הפעלת
המאגר או לצורך גישה אליו.
[Document title]
8
לדוגמא: חוקר המקבל הרשאה למאגר
; לשימושו
רפואיים
נתונים גורם
המקבל נתח ממאגר
(לדוגמא מפלגה
)ממאגר הבוחרים–
הוא
"בעל שליטה
במאגר" בנגזרת שקיבל לשימושו.
במידע שבמאגר לצורך מתן
השירות;";
לדוגמא: קבלן המבצע מחקר
עבור תאגיד
על אף האמור, מחזיק שאינו יחיד או יחיד
שקיבל גישה על פי הרשאה של מחזיק, לא
ייחשב כבעל הרשאה של בעל המאגר;
לדוגמא: שליח של וולט שיש לו גישה לכתובות
ככלל ניתן לומר ש
רבות
"מהחובות ומהסנקציות המוטלות על "בעל השליטה במאגר מידע בקשר עם אבטחת
המידע
מוטלות במקביל ובאו.פן דומה גם על המחזיק
ב-
GDPR
אין משטר של"מאגרי מידע" ועל כן הגדר
ת "מחזיק" לא רלוונטית .ב-
GDPR
נעשה שימוש בהגדרה
processor
"המתורגמת להגדרת "מעבד (סעיף4(8
:))
which
means a natural or legal person, public authority, agency or other body
processor’
'
sses personal data on behalf of the controller;
proce
לדיון:
מה התועלת בהגדרה
המוצעת
לעומת"מעבד" (שב-
GDPR
)
?האם אין בכך כדי לייצר בלבול עם החזקה פיזית ?
נציין כי
הביטוי "מחזיק" מופיע כיום בחוק ב-
24
מופעים , כאשר6 מתוכן הן במשמעות הפועל מחזיק ו-5
מהן
במשמעות של שם עצם , אך במשמעות
שונה מהמשמעות הרגילה של מחזיק., לפי ההגדרה
האם ההגדרה
"מחזיק)" (שם עצם והפועל "מחזיק" או "יחזיק" אינ
ם
?מייצרת קשיים פרשניים האם לא נכון יותר להשתמש
?"בביטוי "מעבד
ראו לדוגמא סעיף13
:א לחוק
13א.
בלי לגרוע מהוראות סעיף13
–
(1)
בעל מאגר ,מידע
המחזיק
( אותו אצל אחר בסעיף זה–
המחזיק), יפנה את המבקש אל
המחזיק ,, תוך ציון מענו
ויורה
למחזיק
, בכתב, לאפשר למבקש את העיון;
(2)
פנה המבקש תחילה
למחזיק , יודיע לו המחזיק אם הוא
מחזיק מידע עליו, וכן את שם בעל מאגר המידע ואת מענו.
""מפלגה
ו-
"
""תקופת בחירות–
הגדרות אלו יידונו בצמוד לפרק הרלוונטי
"עיבוד" ו-"שימוש "
(2)
בהגדרה "שימוש ,"אחרי "לרבות "יבוא "אחסון"."
"שימוש –
לרבות ,אחסון.גילוי, העברה ומסירה
"""עיבוד–
]איסוף או שימוש [שימוש=אחסון, גילוי, העברה ומסירה
"תיקון ההגדרה "שימוש –
ב הגדרה המוצעת החדשה של "שימוש" הבהרה מפורשות שגם
אחסון המידע
שבמאגר
מבלי להוציא אותו החוצה
, ומבלי שהדבר מלווה בפעולות נ,וספות יחשב שימוש במידע . זאת בשל
יכולת העיבוד הגבוהה ופוטנציאל ההצלה והחשיפה של מידע מעצם איחסונו .
יצוין כי אין מדובר ברשימה סגורה
של פעולות הנכנסות תחת ההגדרה "שימוש" וכי גם פעולות כמו החזקה, עיון, ארגון, תיקון, השלמה, אחזור
ומחיקה נכנסות תחת ההגדרה .
"הוספת ההגדרה "עיבוד – צרוף ההגדרות "שימוש" ו-"עיבוד" המוצעות מייצר למעשה שלוש קטגוריות :
[Document title]
9
,הראשונה
איסוף בלבד,
,השניה
שימוש (הכולל,, בין היתר אחסון,
)גילוי, העברה ומסירה, ו
השלישית עיבוד
המתייחס
ת
"הן להגדרה "איסוף" והן להגדרה "שימוש
, ו תואמת את ההגדרה בסעיף4(2) ל-
GDPR
ביחס למונח
"
Processing
" שב-
GDPR
.מ
שילוב הדברים
עולה כי ההגדרה "שימוש" אינה כוללת איסוף. מאחר שכיום
קיימים מופעים רבים למילה שימוש (הן בחוק והן בהצעת החוק). מוצע לבחון אם אין בשינוי המוצע כדי
ל
הקשות
על אכיפת הדין
ב יחס להוראות בחוק שבהן המילה"שימוש"
? מה, לדוגמא,
דינו של איסוף ללא הרשאה
?ממאגר
האם
כ אשר האיסוף הוא לפלטפורמה לא דיגיטלית האם עדיין ניתן יהיה לקבוע כי האיסור(
המתייחס
ל שימוש
בלבד )
?חל
לדיון:
(1)
?מדוע נדרשת הפרדה בין הפעולות השונות
מתי תהיה נפקות להפרדה לשני הביטויים? האם לא נכון לקבוע
הגדרה אחת הכוללת
את כל הפעולות–
בין אם תיקרא "עיבוד" ובין אם תיקרא "שימוש" (ובעדיפות
""עיבוד– בהתאם ל-
GDPR
?)
(2)
האם כל הפעולות המופיעות כיום בחוק "כשימוש" אכן מקיימות את הגדרתו, בהתאם לסעיף ? מה לגבי
סעיף2
לחוק והגדרת "מחזיק" בסעיף3
?
ביטויים בחוק–
איסוף ושימוש
בצהוב–
שימוש במובן היומיומי של המילה
בתכלת -
שימוש כהגדרתו המוצעת
בסגול –
שימוש שלהבנתנו צריך
ל
היבחן בשים לב להגדרה החדשה
איסוף/ נאסף
10
()(א1)
10
)(א
הוגשה בקשה לרישום מאגר מידע –
(
1
)
ירשום אותו הרשם בפנקס, תוך90
ימים מיום שהוגשה לו הבקשה, זולת אם היה לו יסוד
סביר להניח כי
המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן, או
שהמידע הכלול בו נתקבל, נצבר או
נאסף בניגוד לחוק זה או בניגוד להוראות כל דין;
שימוש
סעיף2
לחוק פגיעה בפרטיות היא אחת מאלה:
(
5
)
העתקת תוכן של מכתב או כתב אחר שלא נועד לפרסום, או
שימוש [עיבו]ד
בתכנו, בלי רשות
מאת הנמען או הכותב, והכל אם אין הכתב בעל ערך היסטורי ולא עברו חמש עשרה שנים ממועד
;כתיבתו לענין זה, "כתב" – לרבות מסר אלקטרוני כהגדרתו בחוק חתימה אלקטרונית, התשס"א-
2001
;
(
6
)שימוש בשם אדם, בכינויו, בתמונתו או בקולו, לשם ריווח;
(9)
שימוש [עיבוד]
בידיעה על עניניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה
נמסרה;
הממשלה מעדיפה לא להרחיב את העבירות הפליליות
סעיף3
לחוק
)(הגדרות
""מחזיק, לענין מאגר מידע–
מי ...הרשאה לעשות
שימוש [עיבוד ]במאגר;
נותר לדיון פנימי בממשלה
"שימוש][עיבוד
–
"
לרבות ,אחסון
גילוי, העברה ומסירה.
סעיף7
)(הגדרות בפרק זה ובפרק ד'–
[Document title]
10
"אבטחת מידע
–
"
,הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה
שימוש
,או העתקה
והכל ללא רשות כדין;
"מאגר מידע
–
"
אוסף נתוני
פרטי
מידע, המוחזק באמצעי דיגיטלי מגנטי או אופטי
והמיועד לע יבוד
,ממוחשב
למעט–
אוסף
לשימוש [עיבוד ]אישי שאינו למטרות עסק; או
הממשלה מסתפקת בהגדרה של הגנה מחשיפה וכן מצביעה על כך שביחס לאוסף, מובן כי מובר
.כבר בשלב שלאחר האיסוף
סעיף8
(רישום מאגר
מידע
)והשימוש בו
(ב) לא
ישתמש
אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה שלשמה
.הוקם המאגר
(ג) המאגר
משמש
לשירותי דיוור ישיר כאמור בסעיף17ג
סעיף10
סמכויות
הרשם
)(א
הוגשה בקשה לרישום מאגר מידע –
(
1
)
ירשום אותו הרשם בפנקס, תוך90
ימים מיום שהוגשה לו הבקשה, זולת אם היה לו יסוד
סביר להניח כי המאגר
משמש או על ול
לשמש
לפעולות בלתי חוקיות או כמסווה להן, או
שהמידע הכלול בו נתקבל, נצבר או
נאסף בניגוד לחוק זה או בניגוד להוראות כל דין;
(ה1
( ) על אף הוראות פסקה2
) לא ייכנס למקום כאמור
המשמש
למגורים בלבד, אלא לפי צו מאת
.שופט של בית משפט שלום
סעיף11
(חובת מבקש
)מידע
פניה לאדם לקבלת מידע לשם החזקתו או
שימוש
בו במאגר מידע תלווה בהודעה שיצויינו
בה–
...
17
דיוור
ד.
ישיר
לא ינהל אדם ולא יחזיק מאגר מידע המשמש לשירותי דיוור ישיר, אלא אם כן הוא רשום בפנקס
ואחת ממטרותיו הרשומות היא שירותי דיוור.
17
ציון
ה.
מקור המידע
לא ינהל
אדם ולא יחזיק מאגר מידע המשמש לשירותי דיוור ישיר, אלא אם כן יש בידו רישום
המציין את המקור שממנו קיבל כל אוסף נתונים המשמש לצורך מאגר המידע ומועד קבלתו, וכן
למי מסר כל אוסף נתונים כאמור.
17
ו. מחיקת
מידע ממאגר
המשמש
לדיוור ישיר
כל פניה בדיוור ישיר תכיל בא
ופן ברור ובולט–
(
1
)
ציון כי הפניה היא בדיוור ישיר, בצירוף ציון מספר הרישום של המאגר
המשמש
לשירותי דיוור
ישיר בפנקס מאגרי מידע;
...
)(ב כל אדם זכאי לדרוש, בכתב, מבעל מאגר מידע
המשמש
לדיוור ישיר, שמידע המתייחס אליו
יימחק ממאגר המידע.
)(ג ,כל אדם זכאי לדרוש בכתב, מבעל מאגר המידע
המשמש
לשירותי דיוור ישיר או מבעל מאגר
המידע שבו מצוי המידע שעל-
פיו בוצעה הפניה, כי מידע המתייחס אליו לא יימסר לאדם, לסוג בני
אדם או לאנשים מסויימים, והכל לפרק זמן מוגבל או קבוע.
סעיף23ד
של
חובותיו
גוף ציבורי
)(ד
גוף ציבורי שקיבל מ ידע בהתאם לסעיף23
ג לא יעשה בו
שימוש
אלא במסגרת הסמכויות או
התפקידים שלו.
הממשלה מצביעה על כך שקיומו של מאגר מלמד ששלב האיסוף כבר הושלם ואין צורך
.לשנות את הנוסח
23
מידע
ה.
עודף
)(ב מסירת מידע עודף לפי סעיף קטן (א) מותנית בקביעת נוהלים שיבטיחו מניעת
שימו
ש [עיבוד ]
כלשהו במידע עודף שנתקבל; נוהלים כאמור ייקבעו בתקנות וכל עוד לא נקבעו בתקנות, יקבע
הגוף המבקש נוהלים כאמור בכתב, וימציא לגוף המוסר עותק מהם, לפי דרישתו.
הממשל
ה סבורה שהאיסוף אינו רלוונטי מאחר שמסירת מידע עודף הוא מאליו לאחר שלב האיסוף
[Document title]
11
29
צווים
.
נוספים
בנוסף לכל עונש וסעד אחר רשאי בית המשפט, במשפט פלילי או אזרחי בשל הפרה של הוראה
מהוראות חוק זה, לצוות כמפורט להלן, לפי הענין:
...
(
4
)
על השמדת מידע שנתקבל שלא כדין, או לאסור על
שימוש
במידע כאמור או במידע עודף
כהגדרתו בסעיף23ה, או להורות לגבי המידע כ
ל הוראה אחרת.
31
א. עונשין
בעבירות של
אחריות
קפידה
העושה אחד מאלה, דינו–
מאסר שנה:
(1)
...
מנהל או מחזיק מאגר
המשמש
לשירותי דיוור ישיר, בניגוד להוראות סעיפים17
ד עד17ו;
32
חומר פסול
לראיה
חומר שהושג תוך פגיעה בפרטיות יהיה פסול
לשמש ראיה בבית משפט, ללא ה ,סכמת הנפגע
זולת אם בית המשפט התיר מטעמים שיירשמו
להשתמש
בחומר, או אם היו לפוגע, שהיה צד
להליך, הגנה או פטור לפי חוק זה.
תוספת הגדרה מוצעת לתיקון14
:
""הרשות להגנת הפרטיות
"ה"רשות
""הרשות", "הרשות להגנת הפרטיות–
";הרשות להגנת הפרטיות במשרד המשפטים
בשנת2006
.החליטה ממשלת ישראל על הקמת הרשות להגנת פרטיות וטכנולוגיות מידע במשרד המשפטים
בשנת2017
'שונה שמה של הרשות ל"רשות להגנת הפרטיות" (החלטת ממשלה מס3019
מיום07.09.2017
.)
למרות ש
הרשות היא הרגולטור לענייני פרטיות בישראל
היא אינה מוזכרת כלל
בחוק או ב .תיקון המוצע גם
הרשם או "הממונה" כתוארו המוצע עומד ב"ראש יחידת פיקוח" ולא בראש הרשות
, וה
התייחסות לעו בדי
.הרשות היא אגב כפיפותם לו
הג דרות אלו יוצרות חוסר וודאות ואינן משקפות את תפקידיה של הרשות
ומעמדה. על כן מוצע,, לכל הפחות
."להוסיף הגדרה של "הרשות
בהקשר
זה נציין כי נכון יהיה לטעמנו לקיים דיון במעמדה של הרשות
, בעצמאותה ובתפקידיה.
הממשלה
.הבהירה כי היא מעוניינת להעביר נוסח בעניין זה
""ידיעה על ענייניו הפרטיים של אדם
כאמור, לצד ההגדרה "מידע" כמתואר להלן וכן "מידע בעל רגישות מיוחדת" קיים בחוק
וכן בהצעת החוק
גם
" שימוש בביטוי
ידיעה על ענייניו הפרטיים של אדם ."
( בדיון האחרון16.5.22
)
התבקשה הממשלה לבחון את
הצורך בביטוי זה בשים לב להרחבה ש "ל הביטוי "מידע
.או לחלופין קביעת תוכן לביטוי, בפרט בשים לב למשמעותו הפלילית, ולשימוש הרב שלו בבקשות חופש מידע
עמדת הממשלה היא שהביטוי "ידיעה על ענייניו הפרטיים של אדם" מצומצם יותר מההגדרה החדשה של המונח
"מידע". אשר על כן סבורה ה ממשלה כי ניתן להסירו ממרבית המופעים בחוק (בסעיף23
א" שכותרתו תחולה
על ידיעות ,"ובפרק הדיוור הישיר ) וכן בהצעת החוק (סעיפים10ב ו-
10ג המוצעים, ב עיצומים
ה
כספיים המוצ עים
ובהוראות העונשיות.)
לעומת זאת סבורה הממשלה כי את סעיף2(9
) לחוק נכון יהיה להשאיר וכן יהיה נכון להשאיר את הביטוי"
ידיעה
על עניניו הפרטיים של אדם
" וזאת נוכח הרצון להשתמש ב ביטוי צר יותר ביחס לעבירה פלילית (ולעומת ההגדרה
"מידע" ביחס להפרות מאות ו סוג–
.שימוש במידע שלא למטרה שלשמה נמסר
נציין כי למרות פסיקה בנושא–
התיבה "ידיעה ..." אינה מפורשת: בפס"ד ונטורה)
ע"א439/88
רשם מאגרי
מידע נ' ונטורה, פ"ד מח(3
)
808
)
העניק בית המשפט העליון
משמעות רחבה מ
אוד לביטוי ככולל "כ ל מידע
הקשור לחייו הפרטיים של אותו אדם ,, לרבות שמו, כתובתו, מספר הטלפון שלו, מקום עבודתו, זהות חבריו
"יחסיו עם אשתו ויתר חברי משפחתו וכדומה . פסק דין מעודכן יותר (משנת2009
)
קבע כי
את תוכן
הביטוי"
יש
לצקת בכל מקרה בהתאם למכלול הנתונים הרל וונטיים, ותוך מחויבות להגנה על יכולתו של האדם לקיים את
[Document title]
12
האוטונומיה שלו ואת המרחב הפרטי הנתון לו" (עע"מ9341/05
התנועה לחופש המידע נ' רשות החברות
( הממשלתיות2009
), פסקה3
.)
על הוועדה להחליט האם היא מבקשת להמשיך להסתמך על פסיקת העליון לפרשנות הביטוי או מבקשת
לקבוע
.הגדרה חדשה
רישום מאגרי מידע– צמצום חובת הרישום
מטרתה המקורית של חובת רישום מאגרי המידע, הייתה לשקף לציבור היכן קיימים מאגרי מידע ולשמש כלי
אכיפה לרגולטור בתחום
)(דרך סמכותו להימנע או לבטל רישום של מאגר .ב-
1996
צומצמה חובת רישום
המאגרים
וכיום היא
חלה על חמש קטגוריות של מאגרים: מאגר שמספר נושאי המידע בו מעל10,000
; מאגר
"שיש בו "מידע רגיש"; מאגר הכולל מידע על נושאי מידע שלא הסכימו למסירה; מאגר המשמש ל"דיוור ישיר
.ומאגר של גוף ציבורי
מהלך" הצמצום המוצע בהצעת החוק שלפנינו מהווה מעין
פעימה שנייה" בד
רך,, ככל הנראה
לביטול רישום
מאגרי המידע בעתיד : על פי המוצע חובת הרישום תחול על מאגרים שיש בהם "מידע
בעל רגישות מיוחדת"
,
ביחס
ל-
500,000
נושאי מידע או יותר או מידע על100,000
נושאי מידע ומעלה אם מתקיים במאגר בנוסף אחד
( :מהתנאים הבאים1) המאגר מכיל מידע שלא נ
מסר על ידי או בהסכמת נושאי המידע( ;
2
) המאגר הוא של
גוף ציבורי( ; או3
) המטרה העיקרית של המאגר היא
איסוף מידע לצורך מסירתו לאחר כדרך עיסוק , לרבות
.שירותי דיוור ישיר
: לעניין זה
""דיוור ישיר"–
פניה אישית לאדם, בהתבסס על השתייכותו לקבוצת אוכלוסין, שנקבעה על פי איפיון אחד
או יותר של בני אדם ששמותיהם כלולים במאגר מידע;"
"שירותי דיוור ישיר" –
מתן שירותי דיוור ישיר לאחרים בדרך של העברת רשימות, מדבקות או נתונים בכל
אמצעי שהוא".
נציין כי.בפועל כבר שנים שהחובה לרישום מאגר מידע אינה נאכפת
כבר
ב דוח מבקר המדינה לשנת2014
(דוח
64ג ) מצא
המבקר ש
רק שיעור זניח מכלל מאגרי המידע שבישראל החייבים ברישום, אכן רשומים .
שעיקר
הרישום מבוצע במיקור חוץ ולא כולל אפילו בחינה של נכונות המידע הכלול בו (ולכן הוא עלול להטעות את
הציבור); שמאחר ש
אי-רישום מאגר מידע החייב ברישום הוא עבירה פלילי ת (שעונשה עד שנת מאסר), ... אנשים
פרטיים, עמותות, תאגידים וכן גופים ציבוריים שלא רשמו מאגרי מידע החייבים ברישום לפי המצב החוקי
כיום, הם לכאורה בחזקת עבריינים , אף שלתפיסת משרד המשפטים אין הצדקה עניינית להחיל על חלקם חובת
.רישום לבסוף ציין המבקר כי למרות שיש
,הסכמה לתועלת מעטה ברישום
בשים לב לאי-
,תיקון הוראות החוק
ממשיכה רמו"ט להשקיע הן משאבי כוח אדם והן משאבים תקציביים לטיפול ברישום הקבוע בחוק , ובכך
.נגרעים משאבים מפעולות הפיקוח שמבצעת רמו"ט על קיום הוראות החוק המהותיות
כיום רשומים בפנקס24155
מאגרים מתוכם
17822
מאגרים פעילים ו-
6333. מתוך אלו כ-
12,400
מאגרים
.רגישים
נציין כי במרבית המדינות בעולם ובפרט באירופה אין חובת רישום או שזו בוטלה עם תיקוני חוק בשנים
האחרונות
. ב מדינות בהן מתקיימת החובה היא קבועה כמעט בכל המקרים באופן איכותי (מאגר ציבורי או
מאגר "סוחר )"י מידע ובמדינות אחרות קיימות חובות אחרות שמחליפות את חובת הרישום–
גם במקרים אלו
באופן איכותי. כך לדוגמא חמש מדינות מחייבות העברת פרטי קצין הגנת הפרטיות בארגון לרשות להגנת
הפרטיות ו חמש מדינות
אחרות מחייבות היוועצות או יידוע הרשות להגנת הפרטיות במקרה שסקר
סיכונים
.מעורר חשש לפגיעה בפרטיות או כאשר מדובר בעיבוד מידע רגיש או מידע הדרוש לצרכיי אכיפה
לדיון :
[Document title]
13
(1)
מהי מטרת רישום מאגרי המידע, על פי הרשות ?
?האם לא ניתן להגשים את התכליות באופן יעיל יותר
לדוגמא, באמצעות חיזוק הזכויות הניתנות לנושאי המידע, חיזוק סמכויות
האכיפה והפיקוח (הן של הרשות
?)הן נושאי המידע
האם חובת הרישום אינה מהווה שריד
טכני ושואב תשומות , במקום חובות אחרות
שיכוונו ויחייבו מפתחי טכנולוגיה לקיים בחינה משמעותית להשפעת הטכנולוגיה המקודמת על ידם על
?הפרטיות
(2)
האם העדרה של הבניית האסור והמותר בחוק (בני גוד לחקיקה מקבילה) בשילוב עם סמכות הרשם
(לעתיד ראש הרשות) שלא לרשום מאגרים אינה מייצרת מצב בו רשות מינהלית היא שקובעת את
,העיבודים המותרים והאסורים, באופן רטרואקטיבי, לאחר שהטכנולוגיה כבר יוצרה הושקעו בה כספים
רבים
ו
כשהי
א כבר נמצאת בשימוש ממשי? החלת חובת ר
ישום רק מ500
,אלף נושאי מידע לדוגמא בשילוב
עם העדר כללים מסדירים מהווה אסדרה בדיעבד של טכנולוגיה בשלב פעיל, אחרי שכבר הוקדשו תשומות
.רבות לפיתוחה ולהרחבת השימוש בה
(3)
מה מספר מאגרי המידע הצפויים להיות רשומים בכל אחת מהקטגוריות המוצעות למאגרי מידע החייבים
ברי
שום
? כמה מהמאגרים עולים
על100
אלף נושאי מידע וכמה מהפרטים של מידע בעל רגישות מיוחדת
עולים על500
אלף נושאי מידע ?
כמה מאגרי מידע הרשומים כיום
צפויים
להימחק מהמאגר לפי ההסדר
?המוצע ?כיצד מתעתדת הרשות לבצע את המחיקה
אנו סבורים כי טרם התקדמות עם סעיפי הצעת החוק הנוגעים לעדכון חובת הרישום והמרשם, מוטב
שהוועדה ת חליט על התקדמות :באחת מהדרכים הבאות
(1)
צמצום חובת הרישום לפי ההצעה הממשלתית .
במקרה זה
כדאי לדעתנו
לקבוע סעיף דיווח שנתי
לוועדת החוקה ביחס ליישום חובת הרישום, מחיקת מאגרים שאינם דרושים עוד
ברישום, אכיפת
הח
ובה ו התועלת שצמחה או צומחת בקשר
לרישום האמור
, מספר המאגרים שהרשם סירב לרשום .
(2)
.ביטול חובת הרישום באופן מוחלט וסופי במקרה זה נכון לשקול להוסיף הטלת חובת עריכת תסקיר
השפעה על הפרטיות וחובת היוועצות עם הרשות להגנת הפרטיות בהתאם לתוצאות התסקיר, כפי
שקבוע ב-
GDPR
;)(ראו להלן
(3)
הותרת
חובת ה
ריש ום הנוכחית
בהוראת שעה ל-
18
חודשים, מתוך כוונה להחליפה ב
הסדר שלם ה כולל
בסיסי עיבוד מידע נוספים ו
לצידם עיבודים אסורי .ם
תו ך הבהרה של הרשות כי הרשות לא תאכוף
בתקופה זו את
חובת הרישום .
הוספת סעיף8
,א10ב ו-
10
:ג
איסור ניהול או החזקת מאגר מידע הכולל מידע שנוצר או נאסף שלא כדין ,
איסור שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר ו
איסור שימוש או החזקה במידע ממאגר
מידע בלא הרשאה
שלושת הסעיפים המוצעים להלן עוסקים בשימוש אס .ור במאגר מידע8
א מתייחס למאגר מידע שנפל פגם
באיסוף המידע שבו, סעיף10
ב עוסק בשימוש בניגוד למטרת האיסוף וסעיף10
ג עוסק בשימוש בניגוד
.)להרשאה (כלומר המאגר חוקי, אך המשתמש עושה בו שימוש ללא אישור
[Document title]
14
סעיף8
:א איסור ניהול או החזקת מאגר מידע הכולל מידע שנוצר או
נאסף שלא כדין
הוספת סעיף 8א
5. אחרי סעיף 8 לחוק העיקרי יבוא:
"איסור ניהול או
החזקת מאגר מידע
הכולל מידע שנוצר או
נאסף שלא כדין
8א.
(א)
לא ינהל אדם ולא יחזיק מאגר מידע אם המידע הכלול בו נוצר ,התקבל ,נצבר
או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המס
דיר עיבוד מידע ,אלא אם כן
המידע נמסר לו בהתאם
לסמכות
לכ
דין ,לא היה עליו לדעת על אי־החוקיות כאמור
ובנסיבות העניין הפגיעה בפרטיות היא קלת ערך.
(ב)
מצא הממונה כי אדם ניהל או החזיק מאגר מידע בניגוד להוראות סעיף קטן
(א( )בסעיף קטן זה – הפרה ,)רשאי הוא להוד
יע לו שמעשיו מהווים הפרה ולהורות לו
להפסיק את ההפרה בתוך תקופה שיורה".
ב סעיף8
א(א) המוצע הוראה הקובעת ,איסור לנהל או להחזיק מאגר מידע אם המידע הכלול בו "נוצר, התקבל
נצבר או נאסף" בניגוד להוראות חוק הגנת הפרטיות או דין אחר. לצד האיסור מופיעה הגנה המורכבת משלושה
:תנאים מצטברים
(
1
) המידע נמסר לו בהתאם לדין
)(הכוונה ככל הנראה בהתאם לסמכות כדין;
(
2
)
;לא היה עליו לדעת על אי החוקיות כאמור
(
3
)
.ובנסיבות העניין הפגיעה היא קלת ערך
לפי דברי ההסבר האיסור המוצע מיועד להבהיר שאין לנהל או להחזיק מאגר מידע בנסיבות המצויינות בסעיף
בלא קשר לתחולת חובת הרישום
על המאגר (בניגוד להסדר היום המקשר בין סירובו של הרשם לרשום את
המאגר ובין האיסור על ניהולו או החזקתו). עוד מובהר שהאיסור מתייחס לשלב האיסוף של המידע, עוד טרם
נעשה במאגר שימוש–
כך שהוא משלים את האיסור הקיים על שימוש במידע בניגוד ל מטרה שלשמה נמסר
בסעיף2(9
) לחוק ואת האיסורים המוצעים בסעיפים10ב ו-
10
.)ג להצעה (ראו להלן
נציין עוד כי האיסור
המוצע מתייחס ל .""ניהול" ול"החזקה" של "מאגר מידע
אלא ש "פעולות "ניהול" ו"החזקה
אינן מוגדרות בחוק או בתיקון14
.)'(מוגדרים עיבוד, שימוש, איסוף וכו
בנו סף "מאחר שהסעיף מתייחס ל"אדם
גם לא ברור לחלוטין על מי חל האיסור. לבקשתנו להבהרה–
משרד המשפטים ציין כי הכוונה היא ל בעל
שליטה במאגר מידע ולא למנהל המאגר ,ואולם, יש לטעמנו להבהיר גם מהי פעולת ההחזקה.
ההגנות בסעיף –
חוק הגנת הפרטיות כולל סעיף הגנות כלליות (סעיף18) ב יחס להליך הפלילי וביחס להליך
האזרחי. הסעיף המוצע מייצר הגנה פרטנית לסעיף הספציפי הזה, הנובע מה קושי של קביעת סנקציה של עיצום
כספי (שייקבע בהמשך על ההפרה של הוראה זו) על ציבור שחלקו אינו מפוקח ,
שלחלקו אין שליטה או הבנה
מלאה ביחס להפרה שהוא נקלע אליה
, ושחלק מ ההפרות יכולות להתקיים גם במחדל או בעשייה של צד שלישי
)(ששלח עותק של המאגר לאדם אחר, שכלל לא היה מודע לקיומו של העותק
כאשר המפר נעדר יסוד נפשי .
לדיון:
(1)
?מי יקבע אם הפגיעה היא קלת ערך או לא
(2)
ההסדר הנוגע להודעה של ראש הרשות על הפרה, עשוי להיות רלוונטי גם להפרות נוספות שיש בהן יסוד
נפשי מסוים, לדוגמא בסעיף10ג(ב) מוצע שההפרה לא תחול במקרה של "החז
קה באקראי ובתום לב ."
[Document title]
15
האם לא נכון לקבוע סעיף כללי שיחול במקרים אלו או לחלופין לנסות לאחד את ההגנות האזרחיות
.יחד עם ההפרות המינהליות
:נוסח חלופי
"איסור ניהול או
החזקת מאגר מידע
הכולל מידע שנוצר או
נאסף שלא כדין
8א.
(א)
בעל שליטה במאגר מידע
לא ינהל אדם ו מחזיק
לא יחזיק מאגר מידע אם
המידע הכלול בו נו
צר ,התקבל ,נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל
דין המסדיר עיבוד מידע ,אלא אם כן המידע נמסר לו בהתאם ל
סמכות ב /דין
בהתאם
דין ל ,לא היה עליו לדעת על אי־החוקיות כאמור ובנסיבות העניין הפגיעה בפרטיות
היא קלת ערך.
הודעה על הפרה
)(סעיף כללי
***
(ב)
צא מ הממונה
ראש הרשות
כי אדם ניהל או החזיק מאגר מידע בניגוד להוראות
סעיף קטן (א( )בסעיף קטן זה – הפרה)
הפר הוראה מהוראות
חוק זה / לפי סעיפים8
,א
10
...ג ו ,רשאי הוא להודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק את ההפרה
בתוך תקופה שיורה".
8
.הוספת סעיפים
10ב ו־10ג:
סעיף10
:ב
איסור שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר
8.
אחרי סעיף
10א לחוק העיקרי יבוא:
"איסור שימוש במידע
ממאגר מידע בניגוד
למטרה שלשמה נמסר
10ב. לא ישתמש בעל שליטה במאגר מידע או מחזיק במאגר ,במידע,
לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע,
ממאגר מידע ,שלא למטרה שלשמה נמסרו ,ולא ירשה לאחר מטעמו
לעשות שימוש במידע או בידיעה כאמור.
עיקרון צמידות המטרה המוצע בסעיף10
ב מעגן איסור כללי על שימוש במידע ממאגר מידע שלא למטרה
לשמה נמסר המידע.
בחוק הקיים מעוגן עקרון זה
בשני מקומ:ות
(1)
בסעיף2(9
,) לחוק: "שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר שלא למטרה
שלשמה נמסרה
", ומהווה פגיעה בפרטיות
, שלצידה סנקציה פלילית .
(2)
בסעיף8
(ב) הקובע: "לא ישתמש אדם במידע שבמאגר מידע
החייב ברישום לפי סעיף זה, א לא למטרה
שלשמה הוקם המאגר ".
סעיף 2(9) חל על ידיעה על "ענייניו הפרט ."יים של אדם" ולא על "מידע סעיף8(ב) חל על מאגרים ה חייבים
ברישום
.בלבד בסעיף.מוצע לקבוע את עקרון צמידות המטרה כעקרון עצמאי ולנתקו מחובת הרישום
אנו
,סבורים כי
ככלל , זהו
תיקון
.ראוי
לדיון :
הה סדר
ב-
) GDPR
סעיפים5(1) ו-
6(4) )
מאפשר
עיבוד של מידע למטרה דומה , וזאת בשל הקושי לצפות מראש
ובמדויק את טווח המטרות של עיבוד המידע האישי שנאסף ומתוך ההבנה כי לתעשייה נדרש מרחב פעולה
.להתפתחות ולחדשנות קביעת הסדר של עיבוד למטרה דומה לא רק ייצור הסדר מאוזן, אלא אף ישמוט את
הצידוק לכאורה לקב
יעת מטרות עיבוד כוללניות, מעורפלות או גורפות
(כגון "לכל מטרה חוקית" או "לצרכי
.)"מחקר ?האם לא נכון להשתמש בהסדר דומה
[Document title]
16
5(1)Personal data shall be:
1. processed lawfully, fairly and in a transparent manner in relation to the data subject
(‘lawfulness, fairness and transparency’);
6(4) Where the processing for a purpose other than that for which the personal data have been
collected is not based on the data subject’s consent or on a Union or Member State law which
constitutes a necessary and proportionate measure in a democratic society to safeguard the
objectives referred to in Article 23(1), the controller shall, in order to ascertain whether
processing for another purpose is compatible with the purpose for which the personal
data are initially collected, take into account, inter alia:
a. any link between the purposes for which the personal data have been collected and the
purposes of the intended further processing;
b. the context in which the personal data have been collected, in particular regarding the
relationship between data subjects and the controller;
c. the nature of the personal data, in particular whether special categories of personal data
are processed, pursuant to Article 9, or whether personal data related to criminal
convictions and offences are processed, pursuant to Article 10;
d. the possible consequences of the intended further processing for data subjects;
e. the existence of appropriate safeguards, which may include encryption or
pseudonymisation.
:נוסח חלופי
"איסור שימוש
עיבוד
במידע ממאגר מידע
בניגוד למטרה שלשמה
נמסר
10ב.
)(א
בעל שליטה במאגר מידע או מחזיק
במאגר
לא ישתמש יעבד בעל שליטה במאגר
מידע או מחזיק במאגר, ב
מידע ,לרבות ידיעה על ענייניו הפרטיים של אדם אף
שאינה בגדר מידע ,ממאגר מידע ,שלא למטרה שלשמה נמסר
ו ולא ירשה לאחר
מטעמו לעשות שימוש עיבוד במידע או בידיעה כאמור.
לעניין סעיף זה"מטרה",
לרבות מטרה דומה ו לצורך התממה או מחיקה של
המידע".
)(ב"קיומה של מטרה דומה כא ,מור
תבחן בשי
ם לב ל:אלה
(1
)
הקשר בין המטרה לשמה נאסף או נמסר המידע לבין מטרת העיבוד[או
השימוש] הדומה;
(2) הנסיבות שבהן נאסף המידע, קיומה של מערכת יחסים בין נושא המידע
לבין בעל השליטה במאגר המידע;
(3
)ציפייתו הסבירה של נושא המ,ידע בנוגע לעיבוד או לשימוש נוסף במידע
;מעבר למטרה לשמה נאסף או נמסר
(4
)
היותו של המידע בו נעשה העיבוד;מידע בעל רגישות מיוחדת
(5
)
השלכות אפשריות של העיבוד או השימוש הנוסף לעומת ההשלכות
של
העיבוד למטרה שלשמה נאסף המידע".
[Document title]
17
סעיף10ג: איסור שימוש או החזקה במידע ממאגר מידע בלא הרשאה
איסור שימוש או
החזקה במידע
ממאגר מידע בלא
הרשאה
10ג.
(א)
לא ישתמש אדם במידע ,לרבות ידיעה על עני
יניו הפרטיים של אדם אף שאינה
בגדר מידע, ממאגר מידע ,בלא הרשאה מאת בעל השליטה במאגר המידע או בחריגה
מהרשאה כאמור.
(ב)
לא יחזיק אדם במידע או בידיעה על ענייניו הפרטיים של אדם ,ממאגר מידע,
בלא הרשאה של בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור ;לעניין
זה" ,החזקה "
– למעט החזקה באקראי ובתום לב".
סעיף10
ג מבקש לקבוע פגיעות שמוצדק להפעיל בגינן את סמכות האכיפה המינהלית של הרשות. סעיף10
ג
קובע את הנורמה העקרונית וסעיף23
()כג(ד2) ו-
23
()כג(ד3
.) קובע את ההפרות
נציין כי האיסור
על "שימוש
", להבדיל מהמונח "עיבוד " מלמד לכאורה
על
כוונה שלא לאסור על איסוף מידע
.ממאגר המידע ללא הרשאה על כן, ולאור הערתנו זו מוצע להתאים את הנוסח ולהבהיר כי האיסור חל הן על
.איסוף והן על שימוש או על עיבוד
בנוסף, ונוכח הקושי שנוצר בין האיסור על החזקה ובין ההגדרה של מחזיק (שהוא מי שיש לו הרשאה של בעל
."השליטה לעשות שימוש ...) מוצע להוריד את סעיף (ב) המתייחס לפועל "יחזיק
לדיון:
(1
)
בסיפא של סעיף10
)ג(ב שאוחד עם10
"ג(א) מופיעה התיבה "לעניין זה, "שימוש–
למעט אחזקה באקראי
ובתום לב ."
האם אין מדובר בהגנת תום לב, הקיימת ממילא כבר בסעיף18
(2
?)ה
אם נכון ל
המשיך ול ייצר
סעי
ף
?הגנות פרטני לכל אחת ואחת מההפרות
(2
)
מי אמור לבחון את "תום הלב" של ?המפוקח כיצד בחינה זו מסתדרת עם המודל של עיצומים כספיים
?אשר אמור לחול על הפרות טכניות בלבד
האם לא נכון לקבוע נסיבות להחזקה באקראי ובתום לב ? לדוגמא–
החזקה לזמ ?ן קצר, ללא שימוש בנוסף לאחסון או השמדה
(3
) האם שני סעיפי ההפרות האחרונים אינם מלמדים כי נדרש מודל
אכיפה אחר מ זה של עיצומים כספיים
או לכל הפחות מודל משודרג של עיצומים כספיים
)(לדוגמא ועדה בראשות שופט או מודל מיוחד של השגה ?
נוסח
חלופי מוצע :
איסור שימוש או
החז
קה
עיבוד של
ב
מידע ממאגר מידע
בלא הרשאה
10ג.
(א)
לא ישתמש אל יאסוף ולא ישתמש /לא יעבד אדם ב
מידע ,לרבות ידיעה על
ענייניו הפרטיים של אדם אף שאינה בגדר מידע, ממאגר מידע ,בלא הרשאה מאת בעל
השליטה במאגר המידע או בחריגה מהרשאה כאמור. [לעניין זה" ,שימוש "
– למעט
הח
זקה באקראי ובתום לב]
".
(ב)
לא יחזיק אדם במידע או בידיעה על ענייניו הפרטיים של אדם ,ממאגר מידע,
בלא הרשאה של בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור ;לעניין זה,
"החזקה "
– למעט החזקה באקראי ובתום לב".
18
.הגנות מה הן
"במשפט פלילי ,
או אזרחי ,או מינהלי
בשל פגיעה בפרטיות תהא זו הגנה טובה אם נתקיימה אחת מאלה:
(2)
הנתבע
, המפר או הנאשם עשה את הפגיעה בתום לב באחת הנסיבות האלה:
)(א
הוא לא ידע ולא היה עליו לדעת על אפשרות הפגיעה בפרטיות;
[Document title]
18
)(ב
הפגיעה נעשתה בנסיבות שבהן היתה מוטלת על הפוגע חובה חוקית, מ וסרית, חברתית או מקצועית
לעשותה;
)(ג
הפגיעה נעשתה לשם הגנה על ענין אישי כשר של הפוגע;
)(ד
הפגיעה נעשתה תוך ביצוע עיסוקו של הפוגע כדין ובמהלך עבודתו הרגיל, ובלבד שלא נעשתה דרך
פרסום ברבים;
)(ה
הפגיעה היתה בדרך של צילום, או בדרך של פרסום תצלום, שנעשה ברשות ה רבים ודמות הנפגע
מופיעה בו באקראי;
)(ו
( הפגיעה נעשתה בדרך של פרסום שהוא מוגן לפי פסקאות4
( ) עד11
) לסעיף15
לחוק איסור לשון
הרע, התשכ"ה-
1965
;"