חומר רקע

PDF 8,981 תווים המסמך המקורי ↗
יוםראשון, 23/04/2023 לכבוד חה"כ שמחה רוטמן – יו"ר ועדת החוקה חוק ומשפט חברי ועדת החוקה חוק ומשפט הייעוץ המשפטי לוועדה הערותהתנועה לזכויות דיגיטליות בעניין תקנות הגנתהפרטיות (הוראות לענייןמידע שהועבר לישראלמהאזור הכלכליהאירופי),התשפ"ג- 2023 מבוא חוק הגנת הפרטיות חגג זה מכבר 40 שנה. החוק נחקק לפני עידן המחשב האישי, הסמארטפון והאינטרנט, ולא הותאם לאתגרי המאה ה-21. ממשלת ישראל התחייבה לערוך תיקוני חקיקה בהתאם להמלצות ועדת שופמן (משנת 2007), אך ההמלצות לא הבשילו לכדי מימוש. לכן חוק הגנת הפרטיות, כנוסחו כיום, לא נותן הגנה מספקת על הפרטיות בעידן הדיגיטלי, ולא נותן מענה מספק לדרישות התאימות (ה-Adequacy ) של ה-GDPR. בהעדר הגנה מספקת, משרד המשפטים מבקש למלא את דרישות התאימות באמצעות התקנות המוצעות. אולם, ההסדר המוצע נותן מענה שבור, בעייתי, קשה ליישום ובלתי הוגן – מכיוון שהואמפלה לרעה את תושבי ישראל לעומתתושביהאיחוד האירופי. לפי ההצעה, התקנות יחולו על מידע שמקורו באיחוד האירופי ולא על מידע שמקורו בישראל. אם התקנות יאושרו כפי שהן, תיווצר אפליה אסורה בין תושבי האיחוד האירופי לבין תושבי ישראל, שיזכו להגנה פחותה. מעבר לאפליה (האסורה כשלעצמה), התקנות יצרו אנומליה שעלולה לפגוע ביחסי החוץ של מדינת ישראל והאיחוד האירופי. זאת ועוד, ספק אם התקנות, כפי שהן, מספקות כדי להתאים את חוק הגנת הפרטיות לדרישותהתאימותהמינימליותשל ה-GDPR . טיוטת התקנות זהה כמעט לחלוטין לטיוטת התקנות שפורסמה באתר התזכירים הממשלתי1. משרד המשפטים דחה כמעט את כל הערות שהתקבלו. אפילו הצעות לתיקוני נוסח – כמו ההצעה לעשות שימוש במונחים אחידים כדי למנוע אי-בהירויות משפטיות – נדחו על הסף. לכן הוועדה חייבת לערוך דיון מעמיק על התקנות, כדי לתקן את הדרוש תיקון, ובראש ובראשונה – לקבוע שהתקנות יחולו על כל סוגי מידע, ללאקשר למקורם הטריטוריאלי. א.אפליה טריטוריאליתלפימקורהמידע התקנות מספקות הגנות נוספות על מידע שמקורו באיחוד האירופי. ההבחנה בין סוגי המידע היא הבחנה טריטוריאלית. לכן, כל שתושב ישראל צריך לעשות על מנת לזכות בהגנות הנוספות הוא להשתמש בשירותי גלישה מוצפנת וירטואלית (VPN), שיספקו לו כתובת אינטרנט אירופית. באופן זה הוא יקבל שינוי משטרי פנימי. מנגד, תושב אירופה שסוחר ומספק מידע לגורם ישראלי ישירות, לא יקבל את ההגנות המחויבות. כלומר, די כי אדם ימלא טופס ישירות באתר ישראלי כדי שהוראות התקנות לא יחולו עליו, ומנגד,די שאדם יפעיל שירות גלישה מוצפנתכדישהוראותהתקנותכן יחולו עליו. שינוי זה מהווה אפליה פנימית בין בעלי אוריינות טכנולוגיות לנעדרי אוריינות זו, והוא גם מהווה אפליה בין תושבי האיחוד האירופי לתושבי מדינת ישראל. התקנות מספקות הגנות רק על מידע שלא התקבל ישירות מנושא מידע. לכן יש חשש ממשי שמטרת התקנות המוצהרת – שמירה על התאימות – לא תתקיים. מרגע שספק מידע, מעבד מידע או גורם אחר בישראל יקבל את המידע ישירות מנושא המידע, הרי שהוראות התקנות לא יחולו ולא יהיה ניתן להבטיח כי תינתן הגנה ראויה. מנגד, די בכך שהמידע יצא מחוץ לישראל באמצעות שירות ענן על מנת שההגנה לא תינתן.כלומר, בפועל לא תינתןהגנה כלל וכלל. 1 השינוי המשמעותי היחיד הוא הוספת תקנה 6 ג()(6) – הוספת סייג לעניין מימוש חובת היידוע שעלול לפגוע בפעילות עיתונאית או לחשוף אתמקור המידע שלפעילות עיתונאית. – 1 – ב.לא ניתןלהקנותזכויותיתר ללא הסמכהחוקית חוק הגנת הפרטיות לא עודכן מזה שנים, והחוק לא נותן את ההגנות והזכויות הנדרשות לצורך מילוי דרישות התאימות. עם זאת, העקרונות שבבסיס ההגנות והזכויות הנוספות מצויים בחוק, בין אם באופן מפורש ובין אם באופן פרשני. כידוע, חקיקת משנה יכולה להסדיר ולהרחיב עקרונות המצויים בחוק ("הסדר משני"), אבל לא ניתן לקבוע "הסדר ראשוני" – עקרונות שאינם מצויים בחוק – במסגרת חקיקת משנה. לכן ניתן להסדיר את הזכויות וההגנות הנוספות שיש להן אחיזה בלשון החוק בדרך של התקנת תקנות, אךלא להמציא הסדרים שלאקיימים. התקנות המוצעות מייצרות מדרג זכויות חדש – מידע שמקורו באיחוד האירופי זוכה להגנה עודפת בהשוואה למידע שמקורו בישראל. בפועל התקנות מספקות לתושבי אירופה זכויות יתר, בעוד תושבי ישראל נותרים עם זכויות חסר. חוק הגנת הפרטיות לא כולל מדרג זכויות כזה, ולכן התקנות לא יכולות להתיר אפליה לפי מקור המידע. מדובר ביצירת הסדר ראשוני במסגרת חקיקת משנה. זאת ועוד, לפי חוק-יסוד: כבוד האדם וחירותו, לאזרחי ישראל מוקנית זכות יסוד לפרטיות. זכויות יתר לפרטיות הן דבר המוקנה לא אחת בחקיקה מקומית. אם התקנות יאושרו, ישראל תהא המדינה הראשונה בה תושבים זרים,להבדיל מתושבי המדינה, יזכובזכויות יתר. משרד המשפטים טוען כי " החלת התקנות בהיקף רחב [...] עולה לכדי "הסדר ראשוני" המחייב עיגון בחקיקה ראשית או הסמכה מפורשת למחוקק המשנה ". כאמור, לזכויות הנוספות שמוסדרות בתקנות קיים עיגון מפורש או פרשני בחוק, ולכן הטענה כשלעצמה שגויה. אולם, גם אם נקבל את הטענה כי הזכויות הנוספות הן בגדר "הסדר ראשוני", הרי צמצום היקף התחולה – כלומר מתן ההגנה הנוספת רק למידע שמקורו באיחוד האירופי – לא יכול להתיר למחוקק המשנה לקבוע "הסדר ראשוני" עבור סוגי מידע מסוימים בלבד. מצד שני, ככל שמשרד המשפטים מחזיק בעמדה שהחוק מאפשר מתן הגנה נוספת על מידע שמקורו באיחוד האירופי, הרי באותה המידה החוק מאפשר מתן אותן הגנות על מידע שמקורו בישראל. משרד המשפטים מנסה להתמודד עם הסתירה " לנוכח היקפו, רוחבו ומידת השפעתו של הסדר זה על הציבור, כמו גם היקף הנטל שיוטל על בעלי המאגרים ופגיעתו האפשרית בזכויות יסוד ". אולם, קיומו (או היעדרו) של עיגון בחוק לזכויות ולהגנות המפורטות בתקנות – אינו תלוי בהיקף התחולה. מידת ההשפעה של ההסדריםאינה רלוונטית לשאלה האם ההסדריםהמוצעים יוצריםאואינם יוצרים הסדר ראשוני: אין כל סתירה באמירה שהתיקון המוצע איננו יוצר הסדר ראשוני (שמקומו בחקיקה ראשית ולא בתקנות), אלא מיישם הסדרים ראשוניים קיימים (ולכן אפשר להתקין אותו בתקנות), אך עדיין צפויות להיות לו השפעות משמעותיות. חוו"ד המועצה הציבורית להגנת הפרטיות.)( ג.התקנות לאיקיימו באופןמלא את דרישות התאימות לפי נייר העמדה של המכון הישראלי למדיניות טכנולוגיה2 ולפי נייר העמדה של מכון תכלית3 אין בתקנות,, כפי שהן, כדי למלא את מלוא דרישות התאימות ל-GDPR. מעבר לאמור בניירות העמדה, נבקש להציג מכשול נוסף אשר יקשה על האיחוד האירופי לאשר לישראל אתחידוש מעמד התאימות. התקנות לא חלות על מידע שהועבר מרשויות ביטחון מהאיחוד האירופי לרשויותביטחון ישראליות(תקנה 2 ב()(1 בכך אין חדש, שכן ה-)).GDPR כשלעצמו לא חל על העברת מידע לצורכי ביטחון לאומי ואכיפת חוק. אולם, התקנות כוללות חריג נוסף – " שימוש במידע הנדרש למטרת הגנה על בטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלו" (תקנה 2 ב()(2 לפי דברי ההסבר,)). " חריג אחרון זה [...] עשוי לחול במצב שבו המידע הגיע מאירופה אל גופים פרטיים בישראל, אך הוא נדרש לצורך הגשמת התכליות האמורות, למשל בידי רשויות הביטחון. כמו גם במצב שבו המידע האישי הועבר מגופים אירופים שאינם רשויות ביטחון, אל רשות ביטחון ישראלית ". כלומר התקנות לא מגנות מפני שימושביטחוניבנתוניםשהועברולצרכיםמסחריים. 2 https://techpolicy.org.il/wp-content/uploads/2022/12 הערות-/על-טיוטת-התקנות-העברת-מידע-לאזור. pdf 3 https://www.tachlith.org.il/_files/ugd/d4d9e4_79e421c879514ecaa80f6fca2073df7d.pdf – 2 – כידוע, לגופי הביטחון והחקירה בישראל גישה רחבה למאגרי מידע שונים4 . סעיף 19(ב) לחוק הגנת הפרטיות, התשמ"א-1981 וסעיף 8 א()(1 ו(-)2 לחוק שירות הביטחון הכללי, התשס"ב-)2002, מעניקים לרשויות הביטחון בארץ פטור מלא מאחריות בגין פגיעה בפרטיות. החריג הביטחוני הייחודי של ישראל יקשה על האיחוד האירופילהכיר בדרישות התאימות. בית הדין לצדק של האיחוד האירופי קבע כי התקנות האירופאיות חלות על העברת מידע על ידי גופים מסחריים פרטיים, שלאחריה מתאפשרת גישה של רשויות ביטחון במדינה המקבלת. בפסקי-דין Schrems I ו- SchremsII, בית הדין פסל – פעמיים – את מנגנוני העברת המידע מהאיחוד האירופי לארה"ב, בשל העובדה שהמנגנונים אפשרו לרשויות הביטחון גישה למידע מסחרי פרטי. בתקנות המוצעות, משרד המשפטים קובע ביודעין הסדר שבית הדין לצדק של האיחוד האירופי יפסול בוודאות גבוהה, אם וכאשר הסוגיה תגיע לפתחו. ד.החלת התקנות עלמידע שמקורו בישראל לפי דברי ההסבר, שר המשפטים בחר שלא להחיל את התקנות על כל סוגי המידע, הן מידע שמקורו באיחוד האירופי והן מידע שמקורו בישראל, בשל החשש להטלת נטל רגולטורי מוגבר על מחזיקי המידע בישראל: " החלת התקנות בהיקף רחב תביא להטלת נטל מוגבר על המשק, שאינו נדרש לצורך הגשמת תכלית התקנות, שהיא כאמור שימור מעמד הנאותות." לטעמנו, דווקא האפליה באופן הטיפול במידע לפי מקורו הטריטוריאלי תטיל על המחזיקים במידע נטל רגולטורי מוגבר, ודרישות חוקיות כמעט בלתי אפשריות למימוש. מחזיק במידע יידרש לספק הגנות שונות על פריטי מידע זהים, בהתאם למקורם הטריטוריאלי. כיצד המחזיק יוכל לעבד פרטי מידע זהים, אם כל אחד מהם דורש הגנה שונה? דווקא החלת התקנות על כל סוגי המידע באופן זהה, ללא קשר למקורם הטריטוריאלי, יאפשר למחזיק המידע לעבד פריטימידע זהיםשמקורם הטריטוריאלי שונה. בנוסף, חוסר היכולת להפריד בין מידע שמקורו באיחוד האירופי לבין מידע מעובד שמקורו באיחוד האירופי, עלול להביא לדחיית הטענה כי התקנות שומרות על תאימות מספקת. הדרך היחידה להגן על המידע היא לקבועכי תחולתהתקנותהיא על כל מידע, ללא קשר למקורוהידוע או המוצהר. סיכום תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכליהאירופי),התשפ"ג-2023הן בגדר טלאי על טלאי המיועד לקיים את דרישות התאימות המינימליות. הפתרון לשמירת מעמד התאימות ל-GDPR הוא להסדיר את הנושא בחקיקה ראשית. אין בהתקנת התקנות כדי לפטור את ממשלת ישראל מחובתה לקדם רפורמה משמעותית בדיני הפרטיות בארץ. אולם, עד שיקודם תיקון חקיקה משמעותי בנושא הפרטיות, ראוישלכל הפחות, ההגנה הנוספתשהתקנות מבקשות לתת, יחולוגם על תושבי ישראל. לא באפליה ולא במתןזכויותיתר לתושבי-חוץתבנההזכות לפרטיות בישראל. בכבוד רב ובברכה, צבי דביר התנועה לזכויות דיגיטליות(ע"ר) 4 לדוגמה, חוק סמכויות לאיסוף ואבחון של נתוני נוסעים הנכנסים לישראל או היוצאים ממנה, התשפ"ג-2023 נותן לרשויות הביטחון פתח חוקי לעשות שימוש בהיסטוריית הרכישות בכרטיס האשראי של הנוסע (קבלת מידע לפי סעיף 9 ב()(1 לחוק)) לצורך פרופיילינג ביטחוני. אותו סעיף מתיר שימוש במידע שהתקבל לצורך חקירת פשעים המפורטים בתוספת החמישית לחוק. – 3 –