חומר רקע

PDF 20,852 תווים המסמך המקורי ↗
20 באפריל2023, כ"ט בניסן התשפ"ג אל :חברי ועדת החוקה,חוקומשפט מאת :הייעוץ המשפטילוועדה מסמך הכנה – טיוטת תקנות הגנת הפרטיות (הוראות לענין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג- 3 202 רקע, הערותהציבור והצעה לפתרונות: רקע תקנותהגנתהפרטיות (הוראותלעניןמידעשהועברלישראלמהאזורהכלכליהאירופי),התשפ"ג- 2023 , מוצעות על רקע בחינתחידוש מעמד התאימות(ה- Adequacy )שניתןלישראל בשנת 2011 ובמטרהלשמרו. מעמד התאימות, דהיינו, סיווגה של ישראל כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנ והגת במדינות האזור הכלכלי האירופי (ה- EEA ), הוא בעל חשיבות רבה במישור הכלכלי ובמישור יחסי החוץ של ישראל, והוא מאפשר להעביר מידע מה איחוד האירופי והמדינות הקשורות בו (מה שמכונה "האזור הכלכלי האירופי" אל ישראל), ללא צורך ב מתן ערובות נוספות מצד הגורם האירופי שמעביר את המידע או מצד הגורם שמקבל את המידע מישראל (סעיף 45 (1 ) לתקנות הגנת המידע של האיחוד האירופי, להלן:( " ה- "GDPR , General Data Protection Regulations ). בהעדר מעמד תאימות, יידרשו גופים ישראלים, עסקיים וציבוריים, שמקבלים מידע מאירופה, להתחייב באופן פרטני(למשל, בחוזים פרטניים או בהצגתהסמכה למנגנון מתאים) בדברהתקיימותתנאים והגבלותשיחולו על המידע בהגיעולישראל. ההסדר לבחינת מעמד התאימות קבוע בסעיף 45 (2 ) ל תקנות הגנת המידע של האיחוד האירופי (ה – General Protection DataRegulations, ה- GDPR ) , ו כולל 3 אלמנטי ם: הראשון, קיומו של שלטון חוק, זכויות אדם וחירותבסיסיים ,חקיקהרלוונטיתו חוקיהגנתמידעלרבותבקשרלהעברותמידעלמדינותשלישיותנוספות קרי,( מדינות שאינן חברות ב- EEA ) או גופים בינלאומיים. השני, קיומה ותפקודה האפקטיבי של רשות מפקחת עצמאית במדינה השלישית על יישום חוקי הגנת מידע, לרבות סמכויות אכיפה מתאימות ויישום של סיוע ועזרה לנושאי מידע בשמירה על זכויותיהם. והשלישי, ה התחייבויות ש המדינה השלישית נטלה על עצמה במישור הבינלאומי אומחויבויותאחרותשלהמדינהמכוחאמנותבינלאומיות בפרטביחסלהגנהעלמידעאישי ,ולרבות מפני גופים ציבוריים. יודגש כי התאימות אינה מחייבת זהות בין ההסדרים בין התקנות האירופאיות והחקיקה המדינתית, אך נדרש ת הגנה שהיא לכל הפחות שקולה מבחינה מהותית להגנה שניתנת למידע אישי לזו שחלה באיחוד האירופי. יוער, כי התקנות המוצעות מהוות מעין "עזרה ראשונה" לצורך שימור מעמד התאימות, בשים לב לכך שחקיקת הגנתהפרטיותבישראל כמעטשלאעודכנהבאופןמשמעותימאזנחקקחוקהגנתהפרטיותבשנת1981 . תיקונים שכן בוצעו היו הוספת פרק ב' לחוק – שעניינו ה גנה על הפרטיות במאגרי מידע (אף הוא בשנת 1996 ) ותקנות הגנת הפרטיות (אבט חת מידע), תשע"ז- 2017 , אך עדיין נותרו פערים ניכרים בין הדין הישראלי הנוכחי ובין התקנות האירופיות וישחשש כיללא התקנות המוצעות יבוטל מעמד התאימות. 1 להשלמת התמונה יצוין כי מזה מספר שנים מנסה הממשלה לקדם תיקון לחוק, שעניינו עדכון הגדרות והגברת האכיפה (תיקון מס' 14 ). דיונים בהצעת החוק בתיקון זה החלו בכנסת ה- 24 ובנוסח דומה שלה, בתיקון מס'( 11 עוד בכנסת ה- 18 ) ולאחרונה החילה הכנסת רציפות על הצעת החוק. תיקון נוסף, המכונה "תיקון 15 " ובו עתידים לבוא לידי ביטוי התיקונים המהותיים של החוק, ברוח תקנות ה- GDPR, נמצא למיטב ידיעתנו, בשלבים סופיים שלעבודהלקראת פרסום תזכירחוקוהואעתיד להתפרסם בשבועות או בחודשים הקרובים. התקנות המוצעות ב תקנות המוצעות מוצעלהחיל על גופיםשקיבלו אושעתידיםלקבלמידעאישי המגיע מהאזור הכלכלי האירופי (ממדינות האיחוד האירופאי וכן מאיסלנד, נורבגיה וליכטנשטיין) ארבע חובות רגולטוריות: א. מחיקת מידע לפי בקשת נושא המידע; ב. הגבלתה החזקהשל מידעשאינונחוץ;"" ג. חובהלהקפיד ש ה מידע מדויק ומעודכן; וד. יידוע נושא המידע ביחס לעניינים מסוימים ובהם זהות בעל מאגר המידע, מטרת העברת המידע, סוג המידע שהועבר וז כותו של נושא המידע לבקש עיון, תיקון ומחיקה של המידע. בנוסף מוצע לקבוע כי מידע בדבר מוצאו של אדם ומידע על חברותו של אדם בארגון עובדים ייחשבו כמידע רגיש לפי סעיף 7 בחוק הגנת הפרטיות, הגם שלתוספת זו משמעות מוגבלת ,ובעיקר הצהרתית. עלפיהמוצעהתקנותלא יחולועלמידעשהעבירבמישריןנושאהמידעעצמו.כמוכן, החובותהמנויותבתקנותלא יחולועלמידעהמועברמרשויותביטחוןואלרשויותביטחוןאואםהשימושבמידענדרשלהגנהעלביטחוןהמדינה או אכיפתהחוק. הערותהציבור לטיוטת התקנות הוגשו הערות ציבור בידי גופים מגוונים ש העלו קשיים שונים ביחס לתקנות המוצעות. חלק ניכר מהערות הציבור הוקדש לק שיים – המהותי ים כמו גם הפרקטי ים – שבהחלת התקנות רק על מידע המ ועבר למאגר מידע בישראל מהאזור הכלכלי האירופי , במקום החלתו הן על מידע המגיע מהאזור הכלכלי האירופי והן עלמידעהנאסףבישראלאובמדינותמחוץ לאזורהאמור ,ובכללזה:א) פגיעהבשוויון מבלישישטעםעניינילשוני בין ה הסדרים ו חשש כי התקנות יישארו על כנן וינציחו את אי השוויון גם בעתיד, תוך הותרת ישראל כ"חצר האחורית"שלהגנתהפרטיות;ב)המסרהבעייתישעלוללעלותמהתקנות בהיבטשלהמדיניותהציבורית,שעלול להוביל לשחיקה ממשית במעמדה של הזכות לפרטיות בישראל ואף לגרום לאובדן אמון של הציבור ביכולת (או ברצון)המדינה להגן על פרטיותם. ו-ג) קושיפרקטי באיתורוובידודו של מידע שהועבר מהאזור הכלכלי האירופי וכן צורך בהשקעת משאבים רבים ולתקופת זמן מוגבלת בלבד (עד לתיקון החוק) לצורך הבנת הוראות התקנות ויישומן, בפרט מאחר שהתקנות שונות הן מןהדין הישראלי והן מןהדין החל באזור הכלכליהאירופי. עוד נטען שסעיף 36 לחוק הגנת הפרטיות המסמיך את שר המשפטים, באישור ועדת החוקה, להתקין תקנות בנושאיםהמפורטיםשםהכרוכיםבחוק, אינוכוללהסמכהמספקתלקביעתהתקנותהמוצעות.בהקשרזהנטען כי מדובר בהסדרים ראשוניים המחייבים עיגון בחקיקה ראשית ואינם יכולים להיעשות בתקנות וזאת הן בשל ההבחנהביןמידעהמועברמהאזורהכלכליהאירופיוביןמידעשנאסףבישראלאובמדינותאחרות,והןבשלהנטל ה כרוך ביישום ההסדר. מנגד, משרד המשפטים, הביע עמדתו כי התקנת התקנות המוצעות ביחס למידע שמגיע מהאזור הכלכלי האירופי אינהמהווהחריגהמההסמכההקבוע הבחוקהגנתהפרטיות.זאתבשלה צורךבשימורהתאימות,ומאחר שביטול התאימות יובילממילאלכך ש גוףהמקבל מידעאישימאירופהיצטר ך להתחייבבאופןפרטניכיהוא עומד בחובות הקבועות בדין האירופי. בנוסף הפנו נציגי הממשלה להסמכה המפורשת בסעיף 36 (2 ) לחוק הגנת הפרטיות לקבוע תקנות בעניין "תנאיםלהעברת מידע ממאגרי מידע אל מחוץ לגבולותהמדינה ומהם". 2 לדיון: מוצע לדון בהצדקה ליצירת הבחנה בין מידע המגיע מהאזור הכלכלי האירופי ובין המידע המגיע מישראל. בכלל זה יש לתת את הדעת להצדקה העקרונית ליצירת הבחנה מסוג זה; לישימות של יצירת הבחנה מסוג זה והנטלהאפשריבהרחבתחובותהפרטיותכךשיחולוגםביחסלמידעהמגיעמישראל;ולשאלת ההסמכה הןלהסדר המוצע והן להרחבתההסדר ביחסלמידע המגיעמישראל. טיוטתתקנות הגנת הפרטיות(הוראותלעניין מידעשהועברלישראל מהאזור הכלכלי האירופי,) התשפ"ג- 2023 - בתוספת הערותהייעוץהמשפטי בתוקף סמכותי לפי פסקה (2 ) להגדרה "מידע רגיש" שבסעיף 7 ו לפי סעיף 36 לחוק הגנת הפרטיות, התשמ"א- 1981 1 (להלן-החוק), ובאי שור ועדת החוקה חוק ומשפט שלהכנסת, אני מתקין תקנות אלה: הערות: נוסח פסקה (2)להגדרה"מידע רגיש" וסעיף 36 לחוקהגנתהפרטיות: "מידערג יש– ... (2) מידעששרהמשפטיםקבעבצובאישורועדתהחוקהחוקומשפטשלהכנסת,, שהואמידערגיש". 36 ". שרהמשפטיםממונהעלביצועחוקזהוהוא רשאילהתקיןתקנות,באישורועדתהחוקהחוקומשפטשל הכנסת,בכלעניןהנוגעלביצועו,וביןהשאר– (1) תנאיהחזקתמידעושמירתובמאגרימידע; (2) תנאיםלהעברהשלמידעאלמאגרימידעשמחוץלגבולותהמדינהאומהם; (3) כלליהתנהגותואתיקהלבעלים,למחזיקיםאולמנה ליםשלמאגרימידעולעובדיהם; (4) הוראותלעניןביעורמידעעםהפסקתפעולתושלמאגרמידע." סעיף36 לחוקמסמיךאתשרהמשפטים,באישורועדתהחוקה,להתקיןתקנות בכלענייןובכללזאתביחסלתנאי החזקת מידע ושמירתו במאגרי מידע (סעיף 36 (1 )) ו כן ביחס ל תנאים להעברת מידע שמחוץ לגבולות המדינה או מהם (סעיף 36 (2 )) . מכוח סעיף 36 (2) לחוק הותקנו בעבר תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולותהמדינה), התש ס"א- 2001 . נציין כילמיטב ידיעתנו עד היוםלא עשה שרהמשפטים שימוש בפסקה (2)להגדרה "מידע רגיש".להערות נוספות בעניין זה ראו תקנה 7 המוצעת שעניינה"מידע רגיש." תקנה1 : ה גדרות 1. בתקנות אלה– האזור הכלכלי האירופי"" – מדינות החברות באיחוד האירופי וכן איסלנד, נורבגיה וליכטנשטיין; נושא המידע"" – כהגדרתובתקנות אבטחת מידע; 2. תקנות אבטחת מידע"" – תקנות הגנתהפרטיות (אבטחת מידע), התשע"ז- 2017 EEA "האזור הכלכלי האירופ י" – ה- כולל את 27 המדינות החברות באיחוד האירופי וכן את איסלנד, נורבגיה 1 ק"תהתשע"ז, עמ'1022 . 2 ק"תהתשע"ז, עמ'1022 . 3 וליכטנשטיין אשר קשורות לאיחוד בהסכם האזור הכלכלי האירופי ושגם לגביהן חלה התאימות שניתנה לישראל בשנת2011 . "נושא המידע" – מוצע להגדיר את נושא המידע כהגדרתו בתקנות אבטחת מידע – " האדם שעל אודותיו קיים מידע במאגרהמידע" . בחוק שני ביטוייםה מתייחסים לנושאהמידע–"האדם ש ה מידע מתייחס אליו" (סעיף17 ו) ו"האדם אשר המידע מתייחס אליו" (סעיף23 ב). תקנה2 : תחולה 2. (א) תקנותאלהיחולו על מידע המצויבמאגרמידעבישראל אשר הועברמהאזור הכלכלי האירופי ולמעט מידע שהעביר במישרין אדם על אודותעצמו., (ב) עלאףהאמורבתקנתמשנה (א),החובותהמנויותב תקנותאלולאיחולועל: (1) מידע שהועבר מרשות האחראית על הבטחון או אכיפת החוק באזור הכלכליהאירופילרשות ביטחון כהגדרתה בסעיף 19 ג) לחוק;( (2) שימוש במידע הנדרש למטרתהגנה על בטחוןהמדינה או אכיפתחוק, וזאת בהיקף הנחוץ והמידתי להבטחתמטרות אלו. מוצעלקבועכי תחולתהתקנותהיאביחסלמידעהמצויבמאגרמידעבישראלשהועברמהאיזורהכלכליהאירופי, אלא אם הואהגיע במישרין מנ ו שא המידע ובחריגי ביטחוןואכיפת חוק: תקנתמשנה(א)–מידעהמצויב מאגרמידעבישראלאשרהועברמהאזורהכלכליהאירופי,ולמעטמידעשהעביר במישריןאדם על אודות עצמו: ההגדרותבחוק כיום ל"מידעול"מאגר מידע:" – "נתוניםעלאישיותושלאדם,מעמדוהאישי,צנעתאיש - "מידע" יותו,מצבבריאותו,מצבוהכלכלי,הכשרתו המקצועית,דעותיוואמונתו" ; – - "מאגרמידע" אוסףנתונימידע,המוחזקבאמצעימגנטיאואופטיוהמיועדלעיבוד ממוחשב,למעט– (1) אוסףלשימושאישישאינולמטרותעסק;או (2) אוסףהכוללרקשם,מעןודרכיהתקשרות,שכשלעצמואינויוצראיפיוןשישבופגיעהבפרטיותלגביבני האדםששמותיהםכלוליםבו,ובלבדשלבעלהאוסףאולתאגידבשליטתואיןאוסףנוסף; ל דיון: א. למה הכוונה ב הועבר,"" בפרט בעידן של אחסון ענן? האם מתן גישה למידע מהווה העברה? אם כן, לכאורה, התקנותיחולוגםעלמידעשנאסף מנושאימידעישראלים,מוחזק בידיספקענןאירופי,ובעלהמאגרהישראלי ניגש אליו מרחוק, שכן גישה כזולמידע תהווה"העברה" לישראל מהאזור הכלכליהאירופי. ב. "מידע שהעביר במישרין אדם על אודות עצמו" אינו מידע שתקנות אלו חלות עליהן – מה נחשבת העברה ישירה? האם יש צפ י לעיוות אופן העברת המידע כך שלכאורה יועבר ישירות על ידי האדם או להיפך – האם אנחנו צפויים לייצר שוקלהעברות מידע באמצעות אירופה לצורך הגברת הפרטיות האישית בישראל? 4 תקנתמשנה (ב) – אי תחולתהחובותלפיתקנות אלו: (1) מידע שהועבר מרשות האחראית על הב י טחון או אכיפת החוק באזור הכלכלי האירופי לרשות ביטחון כהגדרתה בסעיף 19 ג) לחוק;( הגדרת "רשות ביטחון" בסעיף19 ג) לחוק:( "רשותבטחון" , לעניןסעיףזה–כלאחדמאלה:(1 )משטרתישראל;(2 ) אגףהמודיעיןבמטההכלליוהמשטרה הצבאיתשלצבא-הגנהלישראל;(3 )שירותבטחוןכללי.(4)המוסדלמודיעיןולתפקידיםמיוחדים.(5 ) הרשות להגנהעלעדים." ל דיון: מהי "רשות האחראיתעלהביטחון או אכיפתהחוק?" האם ישהגדרה מקובלתלכך? (2) שימושבמידעהנדרשלמטרתהגנהעלבטחוןהמדינהאואכיפתחוק,וזאתבהיקףהנחוץוהמידתילהבטחת מטרותאלו. ל דיון: א. "הגנה עלביטחוןהמדינה אואכיפת חוק" – למההכוונה? ב. "ההיקף הנחוץ והמידתי" – בחוק הגנת הפרטיות המונח "מידתי" אינו מוכר ובמקומו ישנו שימוש במונח סבירות. כך לדוגמא בסעיף 20 נטל ההוכחה:)( "חזקה על הנאשם או הנתבע שעשה אתהפגיעה בפרטיות שלא בתום לב אם הוא פגע ביודעין במידה גדולה משהיתה נחוצה באופן סביר לצורך הענ יינים שניתנה להם הגנה בסעיף18 (2 .) קתנה3 : חובת מחיקת מידע 3. (א) בעל מאגר מידע ימחק מידע לבקשתו הכתובה של נושא המידע בהתקיים אחד מאלה: (1) המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין; (2) המידע אינו נחוץ עוד למטרות שלשמן נוצר,נתקבל, נצבר אונאסף. (ב) עלאףהאמורבתקנתמשנה(א),בעלמאגרמידערשאילסרבלבקשתמחיקה אם מצא כי השימוש במידע הוא לצורך אחד מאלה, וזאת בהיקף הנחוץ והמידתי לאותו צורך: (1) מימוש חופשהביטוי,לרבות זכות הציבורלדעת; (2) מילוי חובה חוקית או ביצוע סמכותעלפי דין; (3) הגנה על עניין ציבורי , לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי; (4) ניהול הליך משפטי אוגביית חובות; (5) מניעת הונאה, גניבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו; 5 (6) מימוש חובות הנובעות מהסכם בין-לאומי שממשלת ישראל היא צד לו. (ג) התקבלה בקשה כאמור בתקנת משנה (א) ומצא בעל מאגר המידע כי לא מתקיימים החריגים כאמור בתקנת משנה (ב), ימחק את המידע שבשליטתו, או יבצעפעולותהמבטיחותשלאיתאפשר,באמצעיםסבירים,לזהותאתנושאהמידע. (ד) בעל מאגר מידע יודיע בכתב לנושא המידע על החלטתו בבקשה, במוע ד המוקדםהאפשרי בנסיבות העניין. מוצעלקבועאתזכותושלנושאהמידעלבקש שמידעאישיאודותיויימחקממאגרהמידע,ובהתאםאתחובתושל בעלהמאגרלמחוקמידעזה,בהתקיי םאחתמשתיהעילותהמוצעות: א.אםהמידענוצראונאסףבניגודלהוראות כל דין, או ב. אם המידע אינו נחוץ עוד למטרות שלשמן נוצר או נאסף. בעל המידע רשאי לסרב לבקשת המחיקה בהתקיים אחד מהחריגים המנויים בתקנת משנה (ב) וזאתבהיקף הנחוץ והמידתי לאותו צורך. לצדקביעתחובתהמחיקה,מוצעלקבועבתקנתמשנה(ג)כיאם בעלמאגרהמידעמצאכילאמתקיימיםהחריגים המנויים בתקנת משנה (ב), עליולמחוק את המידע אולבצעפעולות שיבטיחו כי לא ניתן יהיה, באמצעים סבירים, לזהותאתנושאהמידע.בתקנתמשנה(ד)מוצעלקבועכיעלבעלמאגרהמידעליידעאתנושאהמידע,בכתב,בדבר החלטתו בבקשת המחיקה, במועדהמוקדםהאפשרי בנסיבות העניין. התקנה המוצעת שואבת השראה מסעיף 17 ל- GDPR, המעג נת את זכות המחיקה "( the right to be erased )" , ועניינהגם"בזכות להישכח" ( right to beforgotten .) יוער, כיהדיןהנוכחיבישראלאינומכירבזכותלהישכחואףלאבזכותהמחיקה במפורשוכדילהגיעאליהנדרשת פרשנות רחבה של סעיף 14 לחוק הקובע זכות לבקשת תיקון מידע מבעל מאגר. בסעיף אין חובה לבעל המאגר להיענות לבקשה ולא נקבעת בו מסגרת זמנים מחי יבת. עם זאת, החזקת מידע בניגוד לדין עלולה לגרום לביטול רישו מ ושלהמאגר ,שיחייבאתמחיקתהמידעכולו. להשלמתהתמונהנצייןכי הזכותלהישכחרחבהיותרמהזכות למחיקת מידע וכוללת לא רק את המחיקה מהמאגר אלא, לדוגמא, גם את "שובל המידע" שנובע ממנו. למשל, שהמידע יעלה בחיפוש במנוע חיפוש ( הזכות הוכרה לראשונה בפסק הדין קוסטחה גונזלס נגד גוגל (SpainGoogle SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González (CJEU 2014) .) ל דיון: א. בדבריההסבר מצויןכי סירובושלבעלמאגרהמידעצריךלהיות במידהסבירה תוך איזון בין הצורךלשימוש במידע, אל מול המחיקה של נושאהמידע, אולםהתקנה אינה נוקטת בביטויים אלו. ב. האםלאניתןלקבועאופןהתקשרותסדורויעילשבונדרשים נושאיהמידע להעביראתבקשותיהםלבעלמאגר המידע, מעברלדרישתהכתב.לדוגמא לקבוע כי בקשה תועבר בטופס אינטרנטי או למייל רשמי של התאגיד? ג. האם יש מקום להוסיף סעיף בדומה לסעיף 20(ב) לתקנות אבטחת מידע, המאפשר לרשות לקבוע הנחיות שעמידה בהן תייצרחזקה שלהתנהלותלפיהתקנות? ד. החריג המנוי בסעיף קטן ב)((5 ) לחובת המחיקה לפי בקשת נושא המידע, לא ברור דיו: באילו נסיבות יהיו "מניעת הונאה, גניבה" בגדר מטרות נוספות על אלה שלשמן המידע נאסף או נוצר מלכתחילה, ומדוע "מניעת 6 פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו" מהוות מטרות שיצדיקו את אי מחיקתו של מידעשאינונחוץ( אםהמידעלאנדרשעודלצורךמטרותאיסופובמקור, מ ההרלוונטיות של מהימנות וודיוק ו?) תקנה4 : הגבלת החזקת מידע 4. (א) בעלמאגר מידעיפעילמנגנוןארגוני,טכנולוגיאואחר, שמטרתולהבטיח כי שאינו נחוץ במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרהאחרת שלשמה מותר להחזיקו לפי כל דין (להלן – מידע שאינו נחוץ). (ב) מצא בעל מאגר מידע, בין היתר, על סמך המנגנון האמור בתקנת משנה (א,) כיבמאגרהמידעמוחזקמידעשאי נונחוץ,ימחקאתהמידעהאמורבמועדהמוקדם האפשרי בנסיבותהעניין. (ג) חובה כאמור בתקנת משנה (ב) לא תחול, אם בוצעו לגבי המידע האמור פעולותהמבטיחותשלאיתאפשרבאמצעיםסביריםלזהותאתנושאהמידע,אואם השימוש במידע הוא לצורך אחדמאלה, ו זאת בהיקף הנחוץ והמידתי לאותו צורך: (1) מימוש חופשהביטוילרבות זכות הציבורלדעת; (2) הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי; (3) ניהול הליך משפטי או גבייתחובות; (4) מניעת הונאה, גניבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו; (5) מימוש חובות הנובעות הנובעים מהסכם בין-לאומי שממשלת ישראל היא צד לו. תקנהזועניינההגבלתבעלמאגר המידעמהחזקתושלמידעלאנחוץ,עלידיקביעתחובהאקטיביתלהפעלתמנגנון לבחינתנחיצות המידעוכן קביעתה שלחובה אקטיבית למחיקת מידע שאינונדרש בהקדםהא פשרי. GDPR עלפידברי ההסבר הוראה זומבוססת עלסעיף 5(e) לתקנות ה- שנוסחו:, Art. 5 GDPR Principles relating to processing of personal data: e. Keptin aformwhich permitsidentification of data subjectsfor no longerthan is necessaryfor the purposesforwhichthe personal data are processed; personal data maybe stored for longer periodsinsofar asthepersonal data will beprocessed solelyfor archivingpurposes inthe publicinterest, scientific or historical research purposes or statistical purposes in accordance withArticle 89(1) subject to implementationoftheappropriatetechnicaland organizational measures required bythis Regulation in order tosafeguardtherights and freedoms of the data subject (‘storage limitation’). ל דיון: GDPR א. בתקנותמובהרכיעלבעל המידע להפעילמנגנוןלבחינתנחיצותהמידע ,אך, על פניהדברים, ב- אין חובהלהפעלת מנגנון מסוג זהומדבריההסברלתקנותעולהלכאורה כיגם מנגנון"רזה"יותר יעמוד ברףהאירופי בהקשרזה, למשל מנגנוןהמחייב בעלהמאגר בבדיקה תקופתית. מדוע נבחר המנגנון המחמיר יותר? ב. למההכוונה ב"מטרה אחרת שלשמה מותרלהחזיקולפי כל דין?" 7 תקנה5 : חובת דיוק מידע 5. (א) בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגרהמידע נ כון, שלם, ברורומעודכן. (ב) מצא בעל מאגר מידע, בין היתר, על סמך המנגנון האמור בתקנת משנה (א,) כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, ינקוט אמצעים סבירים בנסיבותהענייןלצורך תיקון או מחיקת המידע. תקנהזוקובעתאתחובתבעלמאגרהמידעלהפעילמנגנוןלהבטחתדיוקושלהמידע,וכןלהפעילאמצעיםסבירים בנסיבותהענייןלצורך תיקון או מחיקתהמידע, אם זה נמצא כבלתי מדויק. d) לתקנות האירופאיות על פי דברי ההסבר לתקנות, התקנה האמורה מבוססת על העיקרון הקבוע בסעיף 5(1 () ומהווה השלמה לסעיף 14 לחוק המעגן את זכותו של נושא המידע שמידע אודותיו במאגר מידע אינו נכון, שלם, ברור, או מעודכן, לפנות לבעל מאגר המידע בבקשה לתקן את המידע או למחקו. גם לתקנה 1(3) לתקנות העברת מידע אל מאגרי מידע שמחוץלגבולות המדינההקובעת כי"(3 ) מ ידע שנאגר יהיה מדויק ומעודכן". ל דיון: בעודהתקנההמוצעתאינה מסייגתאתהחובהלהבטיח שהמידעמעוד כן,בסעיףהמקבילב- GDPR מדוברבחובה שחלה רק כאשר הדבר נחוץ – GDPR, Art. 5(1)(d): "Personal data shall be: (...) accurate and, where necessary, kept up to date; - האם אין מקום לקבוע סייג דומה גם כאן? תקנה6 : ח ובת יידוע 6. (א) בעל מאגר מידע שקיבל מידע אודות אדם, יודיע לו, במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש ממועד קבלת המידע, על כל אלה: (1) זהותבעלמאגרהמידע ומנהלהמאגר ,מענםודרכיההתקשרותעמם; (2) מטרתהעברת המידע; (3) סוגהמידע שהועבר; (4) קיומה של זכות מחיקה לפי תקנה 2 , זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף14 לחוק. (ב) ביקש בעל מאגר מידע להעביראתהמידע שקיבל לצד שלישי,יודיע במישרין אובעקיפיןבאמ צעותהגורםשממנוהועברהמידעמהאזורהכלכליהאירופי,לנושא המידע, מוקדם ככל האפשר,ולכל המאוחרעם העברת המידע,על כל אלה: (1) זהות ופרטי ההתקשרות של הצד שלישי או סוג הגורמים השלישיים אליהם יועבר המידע; 8 (2) מטרתהעברת המידע; (3) סוגהמידע שיועבר; (4) קיומה של זכות מחיקה לפי תקנה 3 , זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף14 לחוק. (ג) חובתהיידועכאמורבתקנתמשנה(א)או(ב)לאתחולבהתקייםאחדמאלה, וזאת בהיקף הנחוץוהמידתי בשיםלב לנסיבותהעניין: (1) לבעל מאגר המידע יש יסוד סביר להניח ש פרטי המידע הכלולים בתקנת משנה (א) או (ב) ידועיםלנושאהמידע; (2) פרטיההתקשרותשלנושאהמידעאינםידועיםלבעלמאגרהמידע,או שיישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל מאגר המידע, והכל בשיםלבלאפשרות להיעזר בגורם שממנו הועברהמידע; (3) קיומה של חובת סודיות בדין או איסור בדין על גילויהמידע; (4) קיומה של הוראה בדין המסדירה את גילוי פרטי המידע המפורטים בתקנת משנה (א) או (ב;) (5) מימוש חובת היידוע עלוללפגוע בשלומו או בחייו של אדם; (6) מימוש חובת היידוע עלול לפגוע בפעילות עיתונאית או לחשוף את מקורהמידע של פעילות עיתונאית; (7) מימושחובתהיידועיפגעבזכויותיושלאדםבמידההעולהעלהפגיעה הנובעת מאי גילוי פרטי המידעלפי תקנת משנה (א) או (ב) בנושאהמידע. סעיף 11 לחוק הגנת הפרטיות מעגן את חובת היידוע במצב בו נערכה פניה לאדם לקבלת מידע על אודותיו, מכוח הסכמתו שלנושא המידע או מכוח חובה חוקית: "חובתמבקשמידע פניהלאדםלקבלתמידעלשםהחזקתואושימושבובמאגרמידעתלווהבהודעהשיצויינובה– 1. אםחלהעלאותואדםחובהחוקיתלמסוראתהמידע,אושמסירתהמידעתלויהברצונוובהסכמתו; 2. המטרהאשרלשמהמבוקשהמידע; 3. למייימסרהמידעומטרותהמסירה." התקנה המוצעת מהווההשלמהלחובתהיידועהקבועהבסעיף 11 כאמור,ומתייחסת לחובתיידועבמקרהשלפניה לבקשת מידע מנושאהמידע עצמו. על פי פסקה (א) בעל מאגר המידע יודיע לנושא המידע, במישרין או באמצעות הגורם ממנו שממנו הועבר המידע, עלפריטיהמידעהמנוייםבתקנתמשנה(א)ובאופןהקבועבה.תקנתמשנה(ב)קובעתכיבעלמאגרהמידע המעביר אתהמידע שקיבל לצד שלישי צריךלהו דיע לנושא המידעעלפריטיהמידעהמנויים בתקנתהמשנה;ותקנת משנה (ג) קובעת חריגים לחובת היידוע, שיחולו בהיקף הנחוץ והמידתי בשים לב לנסיבות העניין, כך שייתכן שחובת 9 GDPR היידועתתקייםגםמקוםבומתקייםלכאורהאחדהחריגים. התקנהשואבתהשראהמסעיפים13 ו- 14 ל- . בתקנההמוצעת דרישהלחובתיידועבדברזהותבעלמאגרהמידעומנהלהמאגר.זהואיזכורראשוןויחידבתקנות של מנהל המאגר. לפי פרסומי הרשות להגנת הפרטיות, "מנהל מאגר" הוא, כברירת מחדל, מנכ"ל הארגון בעל המאגר או מנהל בכיר בארגון שהמנכ"ל הסמיך לכך (ובלבד שאינו משמש במקביל כממונה על אבטחת המידע שבמאגר מחשש לניגודעניינים). תקנה7 : מידע רגיש 7 . מידעשהועברלמאגרמידעבישראלכאמורבתקנה2 בענייניםהמפורטיםלהלן, הוא מידע רגישלפי סעיף7 לחוק: (1) מידע עלמוצאו של אדם; (2) מידע עלחברותבארגון עובדים. סעיף7לחוק קובע מהו "מידע רגיש:" – "מידערגיש 1. נ תוניםעלאישיותושלאדם,צנעתאישותו,מצבבריאותו,מצבוהכלכלי,דעותיוואמונתו; 2. מידעששרהמשפטיםקבעבצו,באישורועדתהחוקהחוקומשפטשלהכנסת,שהואמידערגיש;" בתקנה זו מוצע להרחיב זאתגםעל מידע על מוצאו של אדםומידע עלחברות בארגון עובדים. נכון להיום בדין הישראלי המשמעות של "מידע רגיש" רלוונטית רק לחובת רישום מאגר המידע (ראו סעיף 8 ג)( לחוק), שהיא חובה שממילא אינה נאכפת כעבירה יחידה, ו אולם נציין כי בתיקון 14 לחוק הוצע לקבוע כי הפרת הוראותהחוק ביחסלמידע רגיש תכפיל פי 10 את סכומיהעיצומיםהכספיים שהוצע לקבוע ב הצעת ה חוק. ל דיון: מהמשמעותהביטוי"מוצאושלאדם?" נצייןכי בתקנותה- סעיף9(1 )ל- שעניינוסוגימידעשעיבודם GDPR GDPR . racial orethnic origin אסור,אלא בנסיבות מסוימות , מתייחסלביטוי תקנה8 : שמירת דינים 8 . אין בתקנות אלה - (1) כדילגרוע מחובות אחרות המוטלותעל בעל מאגר מידע לפי כל דין; (2) כדילהתיר שימוש במידע שאינו מותר לפי כל דין. תקנה9 : תחילה 9 . תחילתן של תקנות אלה - (1) שלושה חודשים מיום פרסומן (להלן – היום הקובע) – לגבי מידע שהתקבל במאגר מידע בישראל ביום הקובע אולאחריו; (2) שנהמיוםפרסומן–לגבימידעשהתקבלבמאגרמידעבישראללפניהיוםהקובע. 10