חומר רקע

PDF 68,044 תווים המסמך המקורי ↗
1 17 אפריל 2023 כ"ו ניסן תשפ"ג לכבוד יו"ר ועדת החוקה, חוק ומשפט חבר הכנסת שמחה רוטמן כנסת ישראל א.נ,. הנדון: תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ" ג – 3 202 ביום 23.04.23 עומדת וועדת החוקה, חוק ומשפט שבראשותך לדון בטיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מ האזור הכלכלי האירופי התשפ"), ג – 2023 להלן:( " תקנות הגישור)" . במסמך זה נבקש לעמוד על הקשיים המרכזיים הנלווים להתקנת תקנות הגישור בצורתן הנוכחית. זאת מבלי לחזור על מכלול טענותינו כפי שהוצגו במהלך תשעת החודשים האחרונים בתגובה לפרסום התקנות להערות הציבור בחודש יולי 2022 וכטיוטה בנובמבר 1 2022 . בנוסף, נציע שני אפיקים חלופיים אשר ימנעו את התממשותה של הסכנה שבשלילת מעמד הנאותות שהוענק לישראל על ידי האיחוד האירופי ובד בבד פגיעתם בציבור האזרחים בישראל תהא פחותה: אפיק של חקיקה מהירה של ארבע זכויות פרטיות לכלל אזרחיישראלואפיקשלהעברתהתקנותבהוראותשעהבלבדותוךהתלייתהמשך תוקפן בהעברת חוק פרטיותמעודכן. טרם נעסוק בשאלת ההסמכה נבקש להתייחס לטענה שהועלתה במכתבו של שר המשפטים אליך, שלפיה התקנות מבקשות ליצור משטר הגנה שונה על "מידע" ולא על "אנשים",ולכןאין כאןפגיעהבזכויותיהםשלאזרחיישראל2 .זוהיטענהשראוילהסירהמן השולחן. הניסיון ליצור אבחנה בין "מידע" לבין "נושא מידע", חותר תחת התפיסה הבסיסית של הזכות לפרטיות במידע, משום שאין משמעות למונח "מידע פרטי" מבלי שיש פרט שאליו ניתן לייחס את המידע הזה3. מידע פרטי מעניק בפועל חלון לנפשו של 1 ראו חוות דעת המכון הישראלי לדמוקרטיה בנוגע לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראלמהאזורהכלכליהאירופי),התשפ"ג– 2022 מיום17 בדצמבר,2022 ,וכןחוותדעתהמכוןהישראלי לדמוקרטיהבנוגעלתקנותהגנתהפרטיות(הוראותלענייןמידעשהועברלישראלמהאזורהכלכליהאירופי,) התשפ"ב – 2022 מיום 10 ביולי, 2022 המסומנות נספח ג' ונספח ד' בהתאמה. 2 מכתבו של סגן ראש הממשלה ושר המשפטים, ח"כיריב לווין, מיום ז בניסן תשפ"ג, 29.03.23 , בעניין תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023 . 3 ראו, למשל, יובל גולדפוס, הפילוסופיה של הפרטיות, 83 פרלמנט ( 27.01.2019 .) 2 נושא המידע, למחשבותיו הכמוסות, לדעותיו, אמונותיו, ולמצבו הבריאותי והכלכלי. מהות הזכות לפרטיות היא להגן על האוטונומיה של נושא המידע נוכח הסכנות שבשימוש לא ראוי בחלון זה לנפש. משכך,לא ניתן להבחין בין מידע אישי אודות אדםלבין האדםעצמו. שאלת ההסמכה בחוק הגנת הפרטיות לחקיקת תקנות הגישור 1. השר מבקש להתקין את תקנות הגישור מכוח סעיף 36 ומכוח פסקה (2 ) להגדרת "מידע רגיש" שבסעיף 7 לחוק הגנתהפרטיות. אולם, לדעתנו, נדרשתלכך חקיקה ראשית. זאת, ראשית, משוםשהתקנותפוגעותבזכותלשוויון,שהיאזכותנגזרתשלהזכותלכבודהאדם המנויה בחוק יסוד כבוד האדם וחירותו ועל כן נדרש חוק או הסמכה מפורשת בו כדי להעבירן. שנית, התקנות מהוות "הסדר ראשוני" המחייב חקיקה ראשית ולא קיימת הסמכה בחוקלהעביר אותן בחקיקתמשנה. א. הפגיעה בזכות לשוויון במכתבושלשרהמשפטיםנטען,כיתקנותהגישוראינןמבחינותביןנושאימידעעלבסיס אזרחותם,השתייכותםאוזהותם , אלאעלבסיס מקורוהגיאוגרפישלהמידע (כלומרהאם המידע נוצר באיחוד האירופי או בישראל). דבר זה אינו מדוייק משום שהתקנות יוצרות הבחנה בין נושאי מידע שהם אזרחי האיחודלכאלה שאינם, ולפיכך, הכרחיתיצרו הבחנה בין אזרחי מדינת ישראל שהם במקביל אזרחי האיחוד האירופי לבין מי שהם אזרחי ישראל בלבד. אזרחיםסוג א'(אלה שישלהםאזרחותאירופיתבנוסףלאזרחותםהישראלית, דבר שהוא לרוב נגזרת של מוצאם העדתי- אתני) יהנו, בתוך מדינת ישראל, ממערכת זכויות פרטיותרחבהומעודכנתמזושלאזרחיםסוגב'(אלהשאיןביכולתםלקבלאזרחותאירופית בנוסף לאזרחותם הישראלית, כי הוריהם וסביהם לא הגיעו מאירופה), שיצטרכו להסתפק בסטנדרט הגנה נמוך ומיושן. כיום,בשלמעמדהנאותותהקיים,נהניםכולםמהגנהזהההנובעתמןהדיןהישראלי.אבל התקנות, המשקפות את עמדת האירופים לפיה הגנת הפרטיות בישראל הפכה לבלתי מספקת, ישנו את הסדר השוויוני הקיים. ב. התקנות הן הסדר ראשוני "כלל ההסדרים הראשוניים", שהינו הכלל הבסיסי והמקובל במשפט החוקתי הישראלי לעניין חלוקת הסמכויות שבין הכנסת ובין הממשלה, קובע כי "חקיקת משנה או אקטים אינדיווידואליים של המינהל [...] צריכים לקבוע הסדרי ביצוע (הסדרים משניים), ואילו המדיניות הכללית ואמות המידה העקרוניות (הסדרים ראשוניים) צריכים להיקבע בדבר חקיקה ראשי." כאשר מדובר בסוגייה המחייבת הסדר ראשוני, רשאי המחוקק הראשי להסמיךאתהרשותהמבצעתלהסדירו,ובלבדשההסמכהלעשותכןהיאמפורשת,ברורה וחד משמעית.4 4 בג"ץ 3267/97 רובינשטיין ואח' נ' שר הביטחון פ"ד נב(,5 ) 481 , 519 ( 1998 ); בג"ץ 244/00 עמותת שיח חדש נ' שר התשתיות הלאומיות, פ"ד נו(6 ) 25 , 56-57 ( 2002 ) 3 הטעם לכך נעוץ, בעיקרו באופייה של הדמוקרטיה כדמוקרטיה ייצוגית, במסגרתה מתקבלות ההכרעות העקרוניות על ידי נבחרי העם, וכן החשיבות הגדולה שבהפרדת רשויותומניעת ריכוז כוח רבבידי הרשותהמבצעת. ביתהמשפטהעליוןהציגמספרמאפייניםמרכזייםהמסייעיםלהבחנהשביןהסדרראשוני להסדר משני:5 ( 1 ) מידתההשפעהשלההסדרהמבוקשעלהציבורבישראל.הסדרמצומצםונקודתי עשוי להיחשב הסדר משני, בעוד שהסדר שיש בו כדי להשפיע על קבוצה גדולה של אזרחים הוא הסדר ראשוני. ( 2 ) תכליתושל ההסדרהמבוקש. אםתכליתההסדרשנויהבמחלוקת,הנטייה תהיה לראות בהסדר הסדר ראשוני שיש להסדירו בחקיקה ראשית. ( 3 ) עלותו של ההסדר. ( 4 ) דחיפותו של ההסדר. במסגרת זה יש לבחון אם המדובר בנושא שעל הממשלה להסדירו בדחיפות, בהיותה הרשות המבצעת של המדינה, או שמדובר בקביעתה של מדיניות ארוכתטווח, שאז יש חשיבותלדיון מעמיק בנושא בכנסת. בחינת מאפיינים אלו ביחס להסדר שמבקשות תקנות הגישור להסדיר, מובילה לטעמנו למסקנה שמדובר בהסדר ראשוני שיש להסדירו בחקיקה ראשית. אמנם, תכלית ההסדר – שמירתתאימותדיניהפרטיותמולאירופה–חשובהואינהשנויהבמחלוקת,אבלההסדר המבוקש משפיע על ציבור רחב ודחיפותו מגיעה בשל מחדל מתמשך של היעדר עדכון חקיקתהפרטיותבישראל. נסביר: ( 1 ) ההסדר המבוקש בתקנות הגישור משפיע על ציבור רחב. התקנות מעניקות זכויות לנושאי מידע שהמידע על אודותיהם מגיע מיבשת אירופה או שהם אזרחי מדינות האיחוד האירופי. לפי הערכות בישראל חיים כיום מאות אלפי ישראלים שהם אזרחי האיחוד במקביל לאזרחותם הישראלית ועניין זה כשלעצמו מחייב ראיית התקנות כ הסדר ראשוני6. ( 2 ) אין די בדחיפות הצורך להבטיח את שימור מעמד הנאותות כדי להכשיר חקיקה בהיעדר סמכות, נוכח המחדל בעדכון חוק הגנת הפרטיות ונוכח קיומן של חלופות סבירות אחרות. אכן, קיימת דחיפות לחוקק את ההסדר המוצע בתקנות הגישור נוכח הסכנה שבביטול מעמד הנאותות אולם,. בשנים האחרונות הציג משרד המשפטים 5 בג"ץ 11163/03 ועדת המעקב העליונה לענייני הערבים בישראל נ' ראש ממשלת ישראל ס' 38 לפסק דינו של כב' השופט (כתוארו אז) חשין (פורסם בנבו, 27.02.06 .) 6 להערכה זו ראו חן שליטא, כפולים:כךמדינתישראלעוקבתאחריהדרכוניםהזריםשלאזרחיה,אתר"שומרים"(וכן אתרמאקו,)14.4.2022 . עודנעירכיבעקבותחקיקתחוקנתונינוסעיםשעברבכנסתאךלפניכמהשבועות,ניתןיהיהלעקוב בעתידאחרינתוניםאלהבאופןרשמי. 4 תמונהלפיהבכוונתולהניחעלשולחןהכנסתהצעהמקיפהלתיקוןמהותיומשמעותי לחוק הגנת הפרטיות7 (מה שכונה – תיקון 15 ), זאת לצד הצעת חוק הגנת הפרטיות תיקון מס'( 14 ), התשפ"ב – 2022 להלן:( "תיקון 14 "), עליה הוחל לאחרונה דין רציפות. כך,בדברי ההסבר לתיקון 14 נאמר באופן מפורש כי: "להשלמת התמונה יצוין כי בכוונת משרד המשפטים לפרסם תזכיר חוק נוסף שישלים את מהלך התיקון המהותי הנדרש לשם עדכון החוק הקיים והתאמתו למציאות בת זמננו. תיקון זה צפוי לכלול סוגיות מהותיות כגון הרחבה של הבסיסים המשפטיים המותרים לעיבוד מידע, מעבר להסכמה והסכמה בחיקוק, הרחבה ועדכון של רשימת הזכויות המוקנות לנושאי המידע והסדרים המשקפים אחריותיות של בעל שליטה במאגר ומחזיק".8 לצערנו,עדכהלאהוצגהאפילוטיוטהלהצעתחוקזו,וחוקהגנתהפרטיותהחלעלנושאי מידעמישראל נותרמיושן,לאמעודכןולאמותאםלמציאותהדינמיתהדיגיטליתבתימינו. השלכותיהן של תקנות הגישור צריכות להיבחן על רקענסיבות אלו. איננומתעלמותמןהצורךהבוערלעגןאת הסדרהמוצעבתקנותהגישורכדילנסותולממש את התנאים הנדרשים לצורך שימור מעמד הנאותות. די אם נציין את המשבר בעולם ההייטק כדי להבין שבעתהזאתלא כדאי להטיל מגבלות נוספותעל תעשיה חשובה זאת. מצד שני, חובה לזכור כי החשש מפני איבוד מעמד הנאותות אינו עומד בחלל ריק. הוא נובעבראשובראשונהמןהמחדלהמשמעותיבאיהצגתכל נוסחל תיקוןמהותילחוקהגנת הפרטיות, שהולך ונמשך במשך שנים ארוכות. זאת, בנוסף, כאמור, לפגיעה שהתקנות יוצרות בעיקרון השוויון והיעדר ההסמכה המספקת למחוקק המשנה לעגן הסדר שהוא הסדר ראשוני, בתקנות. לכן, על מנת להתמודד עם דחיפות זו יש לדעתנו לנקוט חלופות אחרות. 2 . חלופות חקיקתיות לאור האמורלעיל אנו מציעותלבחור באחתמשתי האפשרויותהבאות: א. קביעת התקנות לתקופה מוגבלת כהוראת שעה בהתאםלחלופהזויועברו תקנותהגישורכהוראתשעהלחצישנה,עםאפשרותלהאריכה פעםנוספתאחתבלבד,לחצישנהנוספת.תחולתהתקנותכהוראתשעהתותנהבפרסום תזכיר תיקון 15 ביום אישורהוראת השעה אובמועד סמוך שהוועדה תמצא לנכון. הארכת הוראת השעה בחצי שנה נוספת תותנה בהחלתו של דיון משמעותי בתיקון 15 בוועדה. 7 חוק הגנת הפרטיות, התשמ"א – 1981 להלן:[ " חוק הגנת הפרטיות.]" 8 הצעת חוק הגנת הפרטיות (תיקון מס' 14 ), התשפ"ב – 2022 להלן:( "תיקון 14 עמ'"), 422 . אמירה דומה הופיעה גם במסמך מטעם הרשות להגנת הפרטיות. ראו הרשות להגנת הפרטיות, חובת יידוע במסגרת איסוף ושימוש במידעאישי – טיוטה להערות הציבור (2 במאי, 2022 .) 5 חלופה זו של קביעת תקנות הגישור כהוראת שעה עולה בקנה אחד עם הבחינה העיתית ממילא של מעמד הנאותות המוענק לכל מדינה על ידי נציבות האיחוד האירופאי. מעמד הנאותות אינו על-זמני, אלא קיימות הוראות ברורות ב- GDPR המחייבות את הנציבות האירופאיתלבחוןמחדש,מידי4 שניםלפחות,אתהתאמתםשלדיניהגנתהפרטיותבכל 9 מדינה שזכתה בעבר להכרהבנאותות דיניה. ב. עיגון הזכויות המוצעות בתקנות הגישור בחקיקה ראשית קצרה ומהודקת תקנות הגישור מציעות לעגן ארבע זכויות מהותיות (זכות המחיקה, דרישת הנחיצות, דרישת דיוק המידע, וחובת ההודעה, להלן: " ארבע הזכויות)" שאינן מעוגנות בחוק הגנת הפרטיות הישראלי הנוכחי. המדובר בזכויות שממילא, בקונסטלציה כזו או אחרת, יעוגנו בעתידבתיקון המהותי המיוחללחוק הגנתהפרטיות.יתרהמכך, לפי נוסח תקנותהגישור חברות שיש ברשותן מאגר מידע אחד, ויתקשו להבחין בין פרטי מידע לפי מוצאם הגיאוגרפי, יידרשו להחיל את התקנות על כל מאגר המידע שברשות ן. מבכתבו של שר המשפטים נכתב, ש בחישוב עלות מול תועלת, עלותת החלה של "א רבע הזכויות" על כל המאגר מצדיקה את התועלת שבמניעת איבוד מ עמד הנאותות מישראל על השלכותיו הכלכליות.10 משכך, נראה כי חקיקת תיקון קצר, וחלקי, לחוק הגנת הפרטיות, אשר יעגן את "ארבע הזכויות" ביחס לכלל המידע האישי המצוי במאגרי מידע בישראל, היא דרך המלך אשר תמנע אתשלילתמעמד הנאותות מישראלמחד גיסא,ותבטיחשלאיצאמכנסתישראל מסר בעייתי שלפיו בעיני המחוקק הישראלי אזרחי ישראל שווים פחות מאזרחי האיחוד האירופי. לפי חלופה זו, לצד תיקון חוק הגנת הפרטיות ועיגון " ארבע הזכויות," יותקנו תקנות גישור קצרות אשר יאסדרו את העניינים הייחודיים לדרישות האיחוד האירופאי בנושא הגדרת פרטי מידע רגיש. זאת מאחר שהצעה לתיקון להגדרת מידע רגיש כלולה בתיקון 14 , עליו הוחלדיןרציפותוישלהניחכיהנושאידוןבמלואובוועדתהחוקה,חוקומשפטעםהתחלת הדיוניםבנושא. נציין כיבהיעדרשקיפותבנוגעלדרישותנציבותהאיחודהאירופימישראל במהלך המשא ומתן עמה לשימור מעמד הנאותות, לא התייחסנו לתיקונים שהוצעו בתקנותהגישורבנוגעלחריגגופיהביטחון(תקנה2 לתקנותהגישור),מתוךהנחהשחריג 9 סעיף הקדמה 106 ו 45 ( 3 ) ל - Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (להלן:, "GDPR ."( 10 מכתבו של סגן ראש הממשלה ושר המשפטים, ח"כיריב לווין, מיום ז בניסן תשפ"ג, 29.03.23 , בעניין תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023 . 6 גופיהביטחוןהקייםבחוקהגנתהפרטיותהיוםעשוילענותעלדרישותהנציבותהאירופית לעת עתה.11 נוכח הדחיפות שבהצגת מתווה חקיקתי ראוי על מנת למנוע שלילת מעמד הנאותות לישראל צרפנו למכתבנו הצעת חוק ברוח זו אשר גוזרת את הזכויות המתאימות מתקנות הגישור. שוב נציין שהערותינו באשר לנוסח הוראות הסעיפיםעומדותבעינן ופורטו בחוות דעתנו הקודמות בנושא.12 סיכום תקנות הגישור מבקשות ליצור משטר פרטיות שונה, תואם ל- GDPR , אך ורק ביחס למידע אישי אודות תושבי ואזרחי האיחוד האירופי. זאת בעוד אזרחי ישראל עצמם אינם זוכים להגנה דומה. המדובר ביצירת משטר משפטי שונה להגנת הפרטיות על בסיס מוצא גיאוגרפי. בכך, הופכות התקנות את תושבי מדינת ישראל שאין להם סבים וסבתות ממוצא אירופי או כאלה שלא דאגו לעצמם לדרכון אירופי נוסף על אזרחותם הישראלית, לחצר אחורית בתחום הגנת המידע. חקיקת ן מהווה אמירה ברורהשל כנסתישראל לפיה אזרחי ישראל אינםשווי מעמדלאזרחי אירופה. מעמד הנאותות של הדין הישראלי למול אירופה י ושג לדעתנו,, אך ורק בדרך המלך: הליך חקיקה בהיר של חוק הגנת פרטיות שלם ומעודכן, כפי שאנו חוזרות ומציעות מזה זמן. לחילופין, כאמצעי זמני , ונוכח המחיר הכבד הצפוי לחברות ישראליות במידה שיישלל מעמד הנאותות, מחיר שהן יישאו בו על לא עוול בכפן, יש לבחון הרחבת תחולת תקנות הגישו ר גםעל נושאימידעמישראל באמצעותתיקוןחוקהגנתהפרטיותבחקיקהראשית. לחילופין, אנו מציעות להתקין את תקנות הגישור כהוראת שעה לחצי שנה, עם אפשרות הארכהלחצישנהנוספתבלבד.אנומציעותעודכיתחולתהתקנותתותנהבפרסוםתזכיר תיקון 15 ביום אישור הוראתהשעה בו ועדת חוקה או במועד סמוך שייקבע. נשמח לעמודלרשותכםבכל עניין שיידרש, בכבודובברכה ד"ר רחל ארידור הרשקוביץ, ד"ר תהילהשוורץ אלטשולר התוכניתלדמוקרטיה בעידן המידע, המכון הישראלי לדמוקרטיה כן לא כללנו בהצעת טיוטת תקנות הגישור המצ"ב את תקנה 8 העוסקת בשמירת הדינים ואת 11 תקנה 9 הנוגעת לתחולתן, מתוך הנחה שאין הן רלוונטיות כאשר התיקון העיקרי מבוצע בהסדר הראשוני, דהיינו באמצעות תיקון לחוק הגנת הפרטיות. 12 חוות דעת המכון הישראלי לדמוקרטיה בנוגעלתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ב – 2022 מיום 10 ביולי, 2022 . 7 מצ"ב: - נספח א:' הצעתנו לנוסח של תיקון לחוק הגנת הפרטיות (תיקון מס' ,)___ התשפ"ג – 2023,המבוססעל נוסח תקנות הגישור. - נספח ב:' הצעתנו לנוסח תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023 המבוסס על נוסח תקנות הגישור. - נספחים ג',ד:' חוות דעתנו הקודמות בעניין תקנות הגישור. העתק: עו"ד אביטל סומפולינסקי, משנה ליועמ"ש (ציבורי חוקתי.) עו"ד אייל זנדברג, ראש תחוםמשפט ציבורי, מחלקתייעוץ וחקיקה – משרדהמשפטים. עו"ד גלעד סממה, ראש הרשותלהגנתהפרטיות. 8 13 נספח א': טיוטת הצעת חוק הגנת הפרטיות (תיקון מס' _) התשפ"ג 2023 14 ספת סעיפים 14 א 1. בחוק הגנת הפרטיות, התשמ"א- 1981 (להלן החוק העיקרי), אחרי סעיף 14 14 ד לחוק העיקרי יבוא - חובת מחיקתמידע 14 א (א) בעל מאגר מידע ימחק מידע לבקשתו הכתובהשל נושאהמידע בהתקייםאחד מאלה: ( 1 )המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגדלהוראות דין; ( 2 )המידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף. (ב) על אף האמור בסעיף קטן (א), בעל מאגר מידע רשאי לסרב לבקשת מחיקה אם מצא כי השימוש במידע הוא לצורך אחדמאלה,וזאתבהיקףהנחוץ והמידתי לאותו צורך: ( 1 )מימושחופשהביטוי,לרבותזכותהציבור לדעת; ( 2 )מילוי חובה חוקיתאוביצועסמכותעלפי דין; ( 3 ) הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקרמדעי או מחקר סטטיסטי; ( 4 ) ניהול הליך משפטי או גביית חובות; ( 5 )מניעת הונאה, גניבה, או מניעת פעולות אחרותשעלולותלהשפיעעלדיוקהמידע או מהימנותו; ( 6 )מימוש חובות הנובעות מהסכם בין- לאומי שממשלתישראל היא צדלו. נציין שלא כללנו בטיוטת הצעת חוק זו את דברי ההסבר, המצויים בטיוטת תקנות הגישור. 13 ס"ח התשמ"א עמ' 128 . 14 9 (ג) התקבלה בקשה כאמור בסעיף קטן (א) ומצאבעלמאגרהמידע כילאמתקיימים החריגים כאמור בסעיף קטן (ב), ימחק את המידע שבשליטתו, או יבצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע. (ד)בעלמאגרמידעיודיעבכתבלנושאהמידע על החלטתו בבקשה, במועד המוקדם האפשרי בנסיבותהעניין. הגבלת החזקת מידע 14 ב. (א) בעל מאגר מידע יפעיל מנגנון ארגוני, שאינו נחוץ טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן – מידע שאינו נחוץ). (ב) מצאבעלמאגרמידע,ביןהיתר, עלסמך המנגנון האמור בסעיף קטן (א), כי במאגר המידע מוחזק מידע שאינו נחוץ, ימחק אתהמידע האמורבמועדהמוקדם האפשרי בנסיבותהעניין. (ג)חובהכאמורבסעיףקטן(ב)לאתחול,אם בוצעו לגבי המידע האמור פעולות המבטיחות שלא יתאפשר באמצעים סבירים לזהות את נושא המידע, או אם השימוש במידע הוא לצורך אחד מאלה, וזאתבהיקף הנחוץ והמידתי לאותו צורך: ( 1 ) מימוש חופש הביטוי לרבות זכות הציבור לדעת; ( 2 ) הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי; ( 3 ) ניהול הליך משפטי או גביית חובות; ( 4 ) מניעת הונאה, גניבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו; ( 5 ) מימוש חובות הנובעות מהסכם בין- לאומי שממשלתישראל היא צדלו. 10 חובת דיוק מידע 14 ג (א) בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן. (ב) מצאבעלמאגרמידע, ביןהיתר,עלסמך המנגנון האמור בסעיף קטן (א), כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, ינקוט אמצעים סבירים בנסיבות העניין לצורך תיקון או מחיקת המידע. חובתיידוע 14 ד. (א) בעל מאגר מידע שקיבל מידע אודות אדם, יודיע לו, במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע, ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש ממועד קבלת המידע, על כל אלה: ( 1 ) זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עמם; ( 2 ) מטרת העברתהמידע; ( 3 ) סוג המידע שהועבר; ( 4 ) קיומה של זכות מחיקה לפי סעיף 14 א, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק. (ב) ביקש בעל מאגר מידע להעביר את המידע שקיבללצדשלישי,יודיעבמישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, לנושאהמידע,מוקדםככלהאפשר,ולכל המאוחרעםהעברתהמידע,עלכלאלה: ( 1 ) זהות ופרטי ההתקשרות של הצד שלישי או סוג הגורמים השלישיים אליהםיועבר המידע; ( 2 ) מטרת העברתהמידע; ( 3 ) סוג המידע שיועבר; 11 ( 4 ) קיומה של זכות מחיקה לפי סעיף 14 א, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק. (ג) חובתהיידועכאמורבסעיףקטן(א)או(ב) לא תחול בהתקיים אחד מאלה, וזאת בהיקףהנחוץוהמידתיבשיםלב לנסיבות העניין: ( 1 ) לבעל מאגר המידע יש יסוד סביר להניח שפרטי המידע הכלולים בסעיף קטן (א) או (ב) ידועים לנושא המידע; ( 2 ) פרטי ההתקשרות של נושא המידע אינם ידועים לבעל מאגר המידע, או שיישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל מאגר המידע, והכל בשים לב לאפשרות להיעזר בגורםשממנו הועבר המידע; ( 3 ) קיומה של חובת סודיות בדין או איסור בדין על גילוי המידע; ( 4 ) קיומהשלהוראהבדיןהמסדירהאת גילוי פרטי המידע המפורטים בסעיף קטן (א) או (ב;) ( 5 ) מימוש חובת היידוע עלול לפגוע בשלומו או בחייו של אדם; ( 6 ) מימוש חובת היידוע עלול לפגוע בפעילות עיתונאית או לחשוף את מקור המידע של פעילותעיתונאית; ( 7 ) מימוש חובת היידוע יפגע בזכויותיו של אדם במידה העולה על הפגיעה הנובעת מאי גילוי פרטי המידע לפי סעיף קטן (א) או (ב) בנושא המידע. 12 נספח ב': טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023 בתוקף סמכותי לפי פסקה (2 ) להגדרה "מידע רגיש" שבסעיף 7 ולפי סעיף 36 לחוק 15 הגנת הפרטיות, התשמ"א- 1981 (להלן-החוק), ובאישור ועדת החוקה חוק ומשפט של הכנסת, אני מתקין תקנות אלה: 1. בתקנות אלה – "האזור הכלכלי האירופי "- מדינות החברות באיחוד האירופי וכן איסלנד, נורבגיה וליכטנשטיין; "נושא המידע" – כהגדרתו בתקנות אבטחת מידע; 16 תקנות אבטחתמידע"" -תקנות הג נתהפרטיות(אבטחת מידע), התשע"ז- 2017 . ש 2 . מידע המצוי במאגר מידע בישראל אשר הועבר מהאזור הכלכלי האירופי בעניינים המפורטיםלהלן, הוא מידע רגיש לפי סעיף 7 לחוק: ( 1 ) מידע על מוצאו של אדם; ( 2 ) מידע על חברותבארגון עובדים. ב___________ התש_______ (___ב________ ____20 ) תאריך עברי] ([תאריךלועזי][ (חמ __3047 ___ - )3 ______________ חתימה]____[ ס"ח התשמ"א, עמ' 128 . 15 ק"ת התשע"ז, עמ' 1022 . 16 13 נספחים ג',ד' – מכתבינו הקודמים לוועדה 10 יולי 2022 לכבוד, מר גדעון סער, שר המשפטים ח"כ גלעד קריב, יו"ר וועדתחוקה, חוק ומשפט של הכנסת עו"ד אביחי כהנא, ראש מטה המנהל הכללי, משרד המשפטים עו"ד גלי ברהב מיארה, היועצת המשפטית לממשלה עו"ד אביטל סומפולינסקי, משנה ליועמ"ש (ציבורי חוקתי) עו"ד אייל זנדברג, ראש תחום משפט ציבורי,מחלקת ייעוץ וחקיקה עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות משרד המשפטים באמצעות הדוא"ל א.ג.נ,. הנדון: תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל ממדינה החברה באיחוד האירופי), התשפ"ב – 2022 ביום05.07.22 העבירמשרדהמשפטיםמצעלדיוןבתקנותהגנתהפרטיות(הוראותלעניין מידעשהועברלישראלממדינההחברהבאיחודהאירופי),התשפ"ב– 2022 להלן:("מצע לדיון").המצעלדיוןמפרט אתכוונתמשרדהמשפטיםלהתקין אתתקנותהגנתהפרטיות (הוראות לעניין מידע שהועבר לישראל ממדינה החברה באיחוד האירופי), התשפ"ב – 2022 להלן:( "תקנות הגישור") במטרה לנסות ולהאריך את הכרת האיחוד האירופי בתאימות (adequacy ) דיני הגנת הפרטיות בישראל לתקנות הגנת הפרטיות של האיחוד 17 (ה- GDPR .) המצע לדיון ותקנות הגישור מעוררים שאלות קשות וחששות אמיתיים כפי שיפורט להלן. בקצרה, נאמר שהבחירה בדרך של תקנות מעוררת ספק לגבי ההסמכה החוקית שלהן; התקנות יוצרות משטר פרטיות מפלה במפגיע בין אזרחי מדינת ישראל לאזרחי האיחוד; ובנוסף,התקנותלא יספיקו כדילהשיג אתהתאימותהנדרשתבשל כךשהן חלקיותומצד אחר יצרו אפקט כדור שלג מול משטריםשאינםבאיחוד האירופי. להלן נפרט את הטענות: 17 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protectionofnaturalpersonswithregardtotheprocessingofpersonaldataandonthefreemovement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (להלן:, "GDPR "(. 14 1 . חשיבות הכרת האיחוד האירופי בתאימות הדין בישראל כפי שמסביר, ובצדק, משרד המשפטים במצע לדיון, להכרת האיחוד האירופאי בתאימות הדין בישראל ל- GDPR יש "משמעות כלכלית נרחבת למשק הישראלי, וכן חשיבות גדולה בהיבטי יחסי החוץ של מדינתישראל." בהיעדר הכרה כאמור יוטל על גורמים עסקיים ומסחריים בישראל "נטל משמעותי ומכביד."18 אלו ידרשו להשקיע סכומים נכבדים בהבטחה שכל העברת מידע אישי מהאיחוד האירופי לישראל נעשית בהתאם לחוזים לדוגמא ( Contractual Standard Clauses " , SCCs שנוסחם זכה לאישור האיחוד האירופאי."),19 יתרה מכך, ה- SCCs עלולים להתגלות כמשענת קנה רצוץ. זאת נוכח הנטייה הגוברת של נציבויותהפרטיותבמדינותהאיחוד,כפישניתןללמודמהחלטותהנציבויותבמספרמדינות ביחס לשימוש בנעשה ב- GoogleAnalytics, להקשיח את דרישותיהם ביחס להעברת מידע אישי לחברות המצויות במדינות שלא זכו להכרה בתאימות.20 לפיכך, יתכן אף שחברותישראליותיאבדו הזדמנויותעסקיות, שכן חברות אירופאיותיעדיפו להעביר מידע אישי לחברותהמצויותבמדינותשיש הכרה בתאימותן. 2 . סכנת איבוד התאימות היתה ידו עה מזהשנים הסכנה שבהיעדר תאימות למדינת ישראל אינה הפתעה. היא היתה ידועה כבר מזה 6 שנים. ה- GDPR שהציג סטנדרט הגנת פרטיות שונה וגבוה יותר מזה הנהוג בישראל,, התקבלו כבר בשנת 2016 , ונכנסו לתוקפן בשנת 2018 . המכון הישראלי לדמוקרטיה פרסם, כברבקיץ 2019,קריאהמפורטתלעדכן אתחוקהגנתהפרטיותהישראליעל מנת להימנע מהתממשותה של הסכנה שבאי הכרת האיחוד האירופי בתאימות חוק הגנת הפרטיות הישראלי המיושן.21 יתרהמכך,עםתחילתהדיוניםבוועדתהחוקה, חוקומשפטבכנסתהנוכחיתעל תיקון14 לחוקהגנתהפרטיות,22 ניסהיו"רהוועדה, ח"כגלעדקריב,לגבשמתווה,באמצעותהצעת חוקפרטיתשהגישבנושא,לשלבבתיקון14 גםתיקוןשיוביללסטנדרטהגנתפרטיותראוי לתושבי המדינה ולהגדלת הסיכוי להכרה בתאימות הדין בישראל לזה שבאיחוד.23 אולם, ניסיונו זה לא צלח. 18 תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל ממדינה החברה באיחוד האירופי), התשפ"ב – 2022 , פסקה שלישית (להלן: " מצע לדיון.)" 19 סעיפים 28 ( 7) ו- 46(2)(c) ל- GDPR . 20 (24 Jan., Transfer Takeaways from GDPR Enforcement in Cloud Computing & Beyond Hon W. Kuan, 2022) . 21 רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר, הצעה לתיקון חוק הגנת הפרטיות, התשמ"א – 1981 , לשם שימור ההכרה האירופאית בתאימות הדין בישראל, המכון הישראלי לדמוקרטיה (ספטמבר 2019 .) 22 הצעת חוק הגנת הפרטיות (תיקון מס' 14 ), התשע"ב – 2022 להלן:( "תיקוןמס' 14 .)" 23 הצעת חוק הגנת הפרטיות (תיקון – חיזוק הזכות לפרטיות והגנה עליה), התשפ"ב – 2022 . 15 על אף כל זאת, הדיונים האחרונים בוועדת חוקה, בחודשים אפריל ומאי 2022 , עסקו 24 בתיקון14 ,הצעהלתיקוןחוקהגנתהפרטיותשנכתבה,רובהככולה,איאזבשנת2011 , עודכנה קלות בלבד ולא כללה הוראות משמעותיות שיש בהן כדי להביא למודרניזציה של חוק הגנתהפרטיותהישראלי המיושן ולהגברת הסיכוי להכרה בתאימותהדין בישראל. 3 . תקנות הגישור לא יביאו בהכרח להכרה בתאימות תקנות הגישור לוקות במספר חסרונות מרכזיים, שיש בהם כדי לפגוע בסיכוי להארכת ההכרה האירופיתבתאימות הדין בישראל: חלק ב . תחולה רק על בעל מאגר מידע בהתאםלמפורטבמצעלדיון,תקנותהגישורמחילותחובותרקעלבעלמאגרמידע.תפקיד 26 שניתן,בהסתייגויותמסויימות,25 להקבילול- controller ב- GDPR . ואולם,מרביתהגופים הישראלים, המקבלים מידע אודות נושאי מידע תושבי האיחוד האירופי, מתפקדים 27 כ"processor ," שניתן להקבילו להגדרת "מחזיק" בחוק הגנת הפרטיות.28 כלומר, תקנות הגישור כלל לא יחולו, ולא יביאו לשינוי המצב המשפטי, ביחס למרבית הגופים בישראל המקבלים מידע אישי על נושאי מידע אירופאים. מיעוט הגופים הישראלים שמועבר אליהם מידע אישי על נושאי מידע מהאיחוד האירופי ומתפקדים כ"controller ," ממילא פועלים ומחויבים לפעול לפי הוראות ה- GDPR . בנסיבות אלו, מתעוררת השאלה האם הפגיעה המתוארת להלן29 בזכות היסודלפרטיותובעיקרון השוויון מוצדקת? חלק ב . מרחק רב בין תקנות הגישור ודרישות האיחוד האירופי להכרה בתאימות האיחודהאירופאי פרסםרשימהמפורטתלמדישלדרישותלהכרהבתאימותהדיןהמקומי לזה הנהוג באיחוד.30 התקנות המוצעות עומדות רק בחלק מדרישות אלו ואינן מתייחסות לנושאיםמרכזיים אחרים, כגון אלו: - תנאיםלעיבודמידעאישיבאופןחוקי,הוגןולגיטימילבדמהסכמתנושאהמידע.31 - זכות נושא המידע להתנגד לעיבוד מידע אישי אודותיו, בכל עת, מטעמים לגיטימיים ומשכנעים הנוגעים למצבו הספציפי בתנאים מסוימים.32 24 הצעת חוק הגנת הפרטיות (תיקון מס' 12 ) (סמכויות אכיפה), התשע"ב – 2011; הצעת חוק הגנת הפרטיות (תיקון מס'13 ), התשע"ח – 2018 הצעת חוק הגנת הפרטיות (תיקון מס'; 14 ), התשע"ב – 2022 להלן:( "תיקון מס' 14 .)" 25 על הקושי בהקבלת ההגדרות בין חוק הגנת הפרטיות ל- GDPR וחשיבותה של יצירת אחידות עם ההגדרות הקבועות ב- GDPR , עמדנו כבר בחוות דעתנו ביחס לתיקון 14. ראו רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר, חוות דעת בנוגעלהצעתחוקהגנתהפרטיות(תיקון14 ),התשפ"ב– 2022 (להלן:"תיקון14 )" –סעיפיההגדרות, המכוןהישראלי לדמוקרטיה ( 12 במאי, 2022 .) 26 סעיף 4 ( 7) ל- GDPR ,הגדרת "controller ." 27 סעיף 4 ( 8) ל- GDPR ,הגדרת "rocessor p ." 28 סעיף 3 לחוק הגנת הפרטיות. 29 ראו דיון בסעיף 5 להלן. 30 Article29DataProtectionWorkingParty,AdequacyReferential,(Adopted28Nov.2017,lastrevised and adopted 6 Feb. 2018, WP254 rev.01) . 31 סעיפים 6 ו- 9 ל- GDPR . 32 סעיף 21 ל- GDPR . 16 - קבלת החלטות אוטומטית ופרופיילינג שיש להם השפעה משמעותית על נושא המידע צריכה להיעשות לפי תנאים מיוחדים.33 - והפיל הגדול בחדר – במסגרת בחינת מידת התאימות של הדין המקומי במדינה זרהל- GDPR ,נבחנתגםמידתהפגיעהבזכותלפרטיותעקבעיבודמידעאישיעל ידי גופי ביטחון. זאת בעקבות פסק הדין של בין הדין לצדק של האיחוד האירופאי בפרשת שרמס I. שם נפסק כי על הדין המקומי להיות "שווה ערך במהותו" ל- GDPR. הובהר שעל המדינה הזרה לספק רמת הגנה זהה במידה מספקת לזו הנהוגה באיחוד.34 לפי ה- GDPR , עיבוד מידע אישי באופן הפוגע בזכויות בסיסיות, בעיקר הזכות לפרטיות,חייבלהיעשותלפיבסיסמשפטיברור- כלליםברורים,מדויקיםוזמינים, לפי מבחן הנחיצות להגשמת המטרות האובייקטיביות של עיבוד המידע ובאופן מידתיבלבד,תוךמתןסעדאפקטיביוזמיןלנושאהמידעהנפגעעקבעיבודהמידע האישי אודותיו וכן יש צורך בפיקוח חיצוני על עיבוד המידע.35 בית הדין לצדק של האיחוד האירופאי פסל פעמיים, בפרשת שרמס I בשנת 36 37 2015 ושנית בשנת 2020 , את ההכרה האירופאית בתאימות הדין בארה"ב בדיוקבגללהפגיעהבמידעאישיאודותאזרחיאירופהעלידיגופיביטחוןבארה"ב. ביפן, למשל, התחייבה הממשלה, כתנאי להכרה בתאימות הדין היפני ל- GDPR , להגביל את גישת רשויות ציבור למידע אישי על נושאי מידע מהאיחוד האירופאי למטרות אכיפת הדין הפלילי ולצרכיי ביטחון המדינה, לפי מבחן נחיצות ומידתיות ולהכפיפה לביקורת חיצונית ולמנגנון פיצוי יעיל.38 ואצלנו בישראל, סעיף 19 (ב) לחוק הגנת הפרטיות וסעיף 8 א()(1 ) לחוק שירות הביטחון הכללי, תשס"ב – 2002 להלן:( " חוק השב"כ"), מעניקים לרשויות ביטחון פטור רחב מאחריות בגין פגיעה בפרטיות. סעיפי פטור אלו אינם עומדים כלל בדרישות האיחוד האירופאי. לפיכך, אף אם האיחוד האירופאי יכיר בתאימות 33 סעיף 22 ל- GDPR . 34 - (C Maximillian Schrems v Data Protection Commissioner Judgment of the Court (Grand Chamber) 362/14; 6 Oct, 2015) להלן:( "פרשת שרמס I" .) 35 lastrevised Article29DataProtectionWorkingParty,AdequacyReferential,(Adopted28Nov.2017, and adopted 6 Feb. 2018, WP254 rev.01) ; סעיף 45 ל- GDPR . 36 - (C Maximillian Schrems v Data Protection Commissioner Judgment of the Court (Grand Chamber) 362/14; 6 Oct, 2015) . 37 Facebook Ireland Limited Judgment of the Court (Grand Chamber) Data Protection Commissioner v and Maximillian Schrems (C-311/18; 16 July, 2020) להלן:( "פרשת שרמס II .)" 38 European Commission adopts adequacy decision on Japan, creating the European Commission, world’s largest area of safe dataflow (press release, 23 Jan., 2019) 17 הדין בישראל לזו הנהוגה באיחוד האירופאי, כלל לא בטוח שההכרה בתאימות תעמוד במבחן בית הדין לצדק של האיחוד האירופי.39 בשיחת הזום ביום 07.07.22 הבהירו נציגי הרשות להגנת הפרטיות ומשרד המשפטים כי הם מודעים לפערים אלו, אבל מבקשים להביא את תקנות הגישור לאישור במהירות. זאת משוםשנציגיהאיחוד האירופיהבהירולהם,שבהיעדרהחובותהמוצעותבתקנותהגישור, תבוטל ההכרה בתאימות. בנסיבות אלו, הצגת תקנות הגישור כפלסטר הכרחי להכרה בתאימות היא הצגה חלקיתשיש בה בעיקר אחיזת עיניים. יש לפרוש בפני הציבור וכנסת ישראל את הפערים עליהם עומדים נציגי האיחוד האירופי במשא ומתן בנוגע להכרה בתאימותולהביא לפתרון מהיר ויחידשל כל אלו במאוחד. 4 . אפקט הדומינו של תקנות הגישור תקנות הגישור מבקשות ליצור משטר משפטי שונה ביחס למידע אישי המועבר לישראל משטחמדינההחברהבאיחודהאירופי,לרבותמשטחמדינותEEA – נורבגיה,ליכטנשטיין ואיסלנד.40 ואולם, סוגיית ההגנה על הזכות לפרטיות במידע היא חוצת גבולות. מידע, על שלל סוגיות ואופני הצגתו, מועבר על גבי רשת האינטרנט ללא הגבלה גיאוגרפית כזו או אחרת. עיבוד מידע אישי, שמקורו בנושאי מידע במדינה זרה, יכול שיעשה בישראל ולהיפך. עם חקיקת ה- GDPR החלה מגמה כלל עולמית של התאמת הדינים המקומיים במדינות האיחוד האירופי ומחוצה לו ל- GDPR . זאת על מנת להבטיח שהשוק האירופי לא יהיה חסום בפני התעשייה המקומית בכל מדינה, ולהקנות לחברות מקומיות בסיס שווה לתחרות בשווקי המידע,שהםשווקיםבינלאומייםוהגלגליםהעיקרייםלהנעתכלכלתהעולםכיום. עדכה, 12 מדינות מחוץ לאיחוד האירופי ובניהן אנגליה, ברזיל, קנדה, צ'ילה, הודו, יפן, ניגריה, דרום קוריאה, שוויץ, תאילנד, תורכיה, והמדינות קליפורניה וניו יורק שבארה"ב ביצעו או מבצעות שינוי חקיקה מקיף על מנת להתאים היבטים מרכזיים בחקיקת הגנת הפרטיות המקומיתלזו האירופאית. יתרה מכך, גםמדינותשאינן חברותבאיחוד האירופי, אולם החזיקו במשטר הגנתפרטיות מודרני ודומה במהותו ל- GDPR , נשענו על ההכרה האירופית בתאימות הדין בישראל על מנת לבצע עסקות עם גופים ישראלים ולאשר העברת מידע אישי אודותיהם אזרחיהם לישראל. במידה שתקנות הגישור יתקבלו, ידעו מדינות אלו שהגנת הפרטיות הנאותה לשיט תםמוגבלת,לפיתקנותהגישור,רקלאזרחיהאיחודהאירופיוה- EEA .התוצאהתהיה שחברות ממדינות אלו, למשל אנגליה, שוויץ, קנדה ואחרות, יסרבו להעברת מידע אודות אזרחים לישראל בהיעדר הגנה מתאימה. ומה אז? האם הפתרון מצד משרד המשפטים 39 רחל ארידור הרשקוביץ, הצעת חוק הגנת הפרטיות, התשע"ט – 2019 : השלמות בנושא עיבוד מידע אישי על ידי גופי ביטחון והתנאים להכרת הנציבות האירופאית בתאימות הדין המקומי (adequacy) סקירת משפט משווה, המכון הישראלי לדמוקרטיה ( 28 באוגוסט, 2019 .) 40 מצע לדיון, פסקה 1 . 18 הוא חקיקה תלוית מוצא גיאוגרפי? האם אנו צפויים לשורת תקנות גישור המותאמות לנושאי מידע בכל מדינה זרה לצד חוק הגנתפרטיותמיושן ורז לילידיםהישראלים? 5 . משטר הגנת פרטיות שונה לילידים ולאזרחי היבשת - פגיעהחמורה בזכות היסוד לפרטיות זכות היסוד לפרטיות מעוגנת בסעיף 7 לחוק יסוד: כבוד האדם וחירותו ופגיעה בה יכול שתעשה רק בהתאם לפסקת ההגבלה. תקנות הגישור יוצרות משטר משפטי שונה המעניק הגנה רחבה יותר לזכות לפרטיות לנושאי מידע ממדינות האיחוד האירופי לעומת נושאי מידע מישראל. אף שתכלית שימור ההכרה בתאימות הדין בישראל ל- GDPR היא חשובה וראויה, נתקשה לראות כיצד עומדות תקנות הגישור בדרישות פסקת ההגבלה. זאת בעיקר נוכח העובדה שתקנות הגישור אינן מבטיחות כלל הכרה בתאימות,41 ופוגעות בעיקרון השוויון לרעת כלל תושבי מדינתישראל. 6 . סמכות התקנת התקנות והרחבתן לכלל תושבי המדינה תקנות הגישור מותקנות מכוח סעיף 36 ומכח פסקה (2 ) להגדרת "מידע רגיש" שבסעיף 7 לחוקהגנתהפרטיות.ביתהמשפטהעליוןקבעמספרמבחניםלשאלההאםדברחקיקה הוא הסדר "ראשוני" המחייב חקיקה ראשית.42 אף שיש צורך דחוף בהתקנת תקנות הגישור על מנת לנסות ולהאריך את ההכרה האירופית בתאימות הדין בישראל, ותכלית התקנות מצומצמת ונקודתית, הרי שמדובר בתכלית העלולה לעורר זעם ומרמור בקרב חלקים נרחבים בעם, כלל אזרחי המדינה בישראל שאינם זוכים להגנת פרטיות הולמת, כפי שמשתמע מהצורך להתקין את תקנות הגישור, ויש בתקנות כדי להביא לפגיעה משמעותית בזכות היסוד של אזרחי המדינה לפרטיות. משכך, לא ברור כלל שתקנות הגישור, בניסוחן הנוכחי, ניתנותלאסדרה שלא בחקיקה ראשית. בנוסף,מדברי נציגימשרדהמשפטים,הםעובדים, כבר כמהשנים, על תיקוןמהותילחוק הגנת הפרטיות בישוע בכינויו "תיקון 15 ". תיקון 15 יביא, לפי הדיווחים, למודרניזציה של חוק הגנת הפרטיות המיושן ויכלול תיקונים משמעותיים לזכויות מהותיות. כלומר, חלק, ואולי אף עיקר העבודה הנדרשת לתיקון חוק הגנת הפרטיות, כבר נעשתה. תימוכין לכך ניתןאולילמצואבטיוטתהנחיותהרשותלהגנתהפרטיותמעתלעתהמרמזותעלמדיניות משפטית רחבה יותר מזו המשתמעת מלשון חוק הגנת הפרטיות המצומצמת.43 אולםלטענתמשרדהמשפטים, אין בידםלהביא לחקיקת התיקוניםהמקיפיםלחוק הגנת הפרטיות כיוון שלא ניתן להביא לחקיקת חקיקה ראשית בכנסת ישראל. משום כך, ובהתחשבבצורךהדחוףבהארכתהתאימות,מבקשמשרדהמשפטיםלהתקיןאתתקנות הגישור. 41 ראו דיון בסעיף 3 לעיל. 42 בג"ץ 4253/02 קריתי ואח' נ' היועץהמשפטי לממשלה ואח', (פורסם בנבו 17.03.09 .) 43 ראו, למשל, הרשות להגנת הפרטיות, חובת יידוע במסגרת איסוף ושימוש במידע אישי – טיוטה להערות הציבור (2 במאי, 2022 .) 19 לדעתנו, דרך המלך לטיפול בנושאים הכלולים בתקנות הגישור היא חקיקה ראשית אשר תחול על כלל אזרחי המדינה. ככל שנדרשת התייחסות מיוחדת לדרישות האיחוד האירופי ולשוניבניהןלביןתנאיהארץותושביה,ניתןלעשותזאתבחריגיםבגוףהחוקעצמו.בנוסף, אין בידנו לקבל את הטענה כי לא ניתן לחוקק חקיקה ראשית בכנסת ישראל. לטעמנו, שורש הבעיה נעוץ בהתנהלות משרד המשפטים עד כה, שדגלה בתיקון חוק הגנת הפרטיות ב"שיטת הסלמי", בהבאת נושאים מצומצמים בכל פעם, ובהימנעות מכוונת מביצוע תיקון מקיף וגדול. בהתחשב בכך שמשנת 2007 לא תוקן חוק הגנת הפרטיות, נדמה ששיטת הסלמי כשלה כישלון נחרץ ומהדהד. מנגד,הצורךהדחוףבתיקוןחוק הגנתהפרטיותהישראלילשםהארכתההכרההאירופית בתאימות ברור, ומשרד המשפטים השתמש כבר בעבר בסמכותו להתקין תקנות מכוח סעיף36 לחוקהגנתהפרטיותגםלשםאסדרהראשוניתשלנושאיםשונים, כפישבאלידי ביטוי בתקנות הגנתהפרטיות(אבטחתמידע), ), תשע"ז – 2017 (להלן: "תקנות אבטחת מידע"). בנסיבות אלו, עדיף להרחיב את תחולת ההסדר המוצע בתקנות הגישור על כלל תושבי המדינה על פני יצירת משטר משפטי המפלה לרעה את תושבי המדינה על בסיס מוצאם הגיאוגרפי. 7 . סיכום הצגתתקנותהגישורעתה,בעתפגרתבחירותבכנסת,והניסיוןלחוקקאותןכעתבמהירות בוועדתחוקה, חוקומשפטשלהכנסת, באיוםשבהיעדרןתשללהתאימותהאירופאיתויהיו לכך השלכות כלכליותמשמעותיות, היא בעייתיתבלשון המעטה. תקנות הגישור מבקשות ליצור משטר פרטיות שונה, תואם לתקנות של האיחוד האירופי, אך ורק ביחס למידע אישי אודות תושבי האיחוד האירופי. זאת בעוד תושבי ישראל עצמם אינם זוכים להגנה דומה. המדובר ביצירת משטר משפטי שונה להגנת הפרטיות על בסיס מוצא גיאוגרפי. בכך, משמרות התקנות אתהמידע האישי של תושבי מדינתישראל כחצר האחוריתלניסוייםבמידע אישי שלא יאושרו באירופה. תאימות מול אירופה תושג אך ורק בדרך המלך: הליך חקיקה בהיר של חוק הגנת פרטיות מעודכן,כפישאנוחוזרותומציעותמזהכשלוששנים.לחילופין,כאמצעיזמנינוכחהמחיר הכבדהצפוילחברותישראליותבמידהשתבוטלהתאימות,מחירשהןיישאובועללאעוול בכפן, ושבהחלט ניתן היה להימנע ממנו בהתנהלות מנהלית אחרת במשרד המשפטים, יש לבחון הרחבת תחולת תקנות הגישור גםעל נושאי מידע מישראל. בכבודובברכה ד ר רחל ארידור הרשקוביץ," ד"ר תהילהשוורץ אלטשולר התוכניתלדמוקרטיה בעידן המידע, המכון הישראלי לדמוקרטיה 20 12 דצמבר2022 לכבוד, עו"ד אביטל סומפולינסקי, משנה ליועמ"ש (ציבורי חוקתי) עו"ד אייל זנדברג, ראש תחום משפט ציבורי,מחלקת ייעוץ וחקיקה עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות משרד המשפטים באמצעות הדוא"ל א.ג.נ,. הנדון: תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2022 ביום29.11.22 פרסםמשרדהמשפטיםלהערותהציבוראתטיוטתתקנותהגנתהפרטיות (הוראותלענייןמידעשהועברלישראלמהאזורהכלכליהאירופי),התשפ"ג– 2022 להלן:( "תקנות הגישור"). אלו נדרשות, לדברי משרד המשפטים, "על רקע תהליך בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, לצורך בחינת חידוש מעמד 44 התאימות (Adequacy ,") במסגרתו נבחנת התאמת דיני הגנת הפרטיות בישראל 45 לתקנות הגנתהפרטיותשל האיחוד(ה- GDPR .) כפי שנפרט בהמשך, תקנות הגישור מעוררות שאלות רבות, חלקן אף בנוגע לעצם התקנתן. כמו כן, נבקש להסב את תשומת ליבכם לבעייתיות הקיימת בנוגע לתוכנן של חלק מהתקנות. חלק א: הערותינו בנוגע לעצם התקנת תקנות הגישור: סכנת איבוד התאימות הי יתה ידועה מזהשנים במהלכן לא ננקטו צעדים 2. משמעותיים למניעתה אין מחלוקת שלהכרת האיחוד האירופאי בתאימות הדין בישראל ל- GDPR משמעות ניכרת.46 בהיעדרה, יוטל על המגזר העסקי בישראל נטל משמעותי ומכביד, שכן החברות בו יידרשו להשקיע משאבים אנושיים ופיננסיים נכבדים במטרה להבטיח שכל העברת מידע אישי מהאיחוד האירופי לישראל נעשית בהתאם לחוזים לדוגמא ( Standard Contractual Clauses " , SCCs שנוסחם זכה לאישור האיחוד האירופאי."),47 יתרה מכך, ה- SCCs עלולים להתגלות כמשענת קנה רצוץ. זאת נוכח הנטייה הגוברת של נציבויות 44 דברי ההסבר לטיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2022 להלן:( "תקנות הגישור.)" 45 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (להלן:, "GDPR ."( 46 כפי שמתואר גם בסעיף ב לטיוטת תקנות הגישור. 47 סעיפים 28 ( 7 ) ו- 46(2)(c) ל- GDPR . 21 הפרטיות במדינות האיחוד, כפי שניתן ללמוד מהחלטות הנציבויות במספר מדינות ביחס לשימוש בנעשה ב- Google Analytics , להקשיח את דרישותיהם ביחס להעברת מידע אישי לחברות המצויות במדינות שלא זכו להכרה בתאימות.48 לפיכך, יתכן אף שחברות ישראליות יאבדו הזדמנויות עסקיות, ואף יאלצו להעביר את מרכזי הפיתוח שלהן מישראל למדינות אירופה, שכן חברות אירופאיות יעדיפו להתקשר לקבלת שירותים ומוצרים מחברותהפועלותבמדינות שיש הכרה בתאימותן. אולם, הסכנה שבהיעדר תאימות למדינת ישראל אינה בגדר הפתעה. היא הי יתה ידועה כברמזה שש שנים.ה- GDPR ,שהציג סטנדרט הגנתפרטיותשונהוגבוהיותרמזההנהוג בישראל, התקבל כבר בשנת 2016 , ונכנס לתוקף בשנת 2018 . המכון הישראלי לדמוקרטיה פרסם, כבר בקיץ 2019 , קריאה מפורטת לעדכן את חוק הגנת הפרטיות הישראלי על מנת להימנע מהתממשותה של הסכנה שבאי ה הכר ה של האיחוד האירופי בתאימות חוק הגנת הפרטיות הישראלי המיושן.49 יתרה מכך, עם תחילת הדיונים בוועדת החוקה, חוק ומשפט בכנסת ה- 24 על תיקון 14 לחוק הגנתהפרטיות,50 ניסהיו"רהוועדהח"כגלעדקריב,לגבשמתווה,באמצעותהצעת חוקפרטיתשהגישבנושא,לשלבבתיקון14 גםתיקוןשיוביללסטנדרטהגנתפרטיותראוי לתושבי המדינה ולהגדלת הסיכוי להכרה בתאימות הדין בישראל לזה שבאיחוד.51 אולם, ניסיונו זה לא צלח. על אף זאת, הדיונים האחרונים בוועדת חוקה בחודשים אפריל ומאי 2022 , עסקו בתיקון 52 14 , הצעה לתיקון חוק הגנת הפרטיות שרובה משקף נוסח שנכתב כבר בשנת 2011 , עודכנה קלות בלבד ולא כללה הוראות משמעותיות שיש בהן כדי להביא למודרניזציה של חוק הגנתהפרטיותהישראלי המיושן ולהגברת הסיכוי להכרה בתאימותהדין בישראל. תקנות הגישור לא יביאו בהכרח להכרה בתאימות 3. כפי שיפורט להלן, תקנות הגישור לוקות במספר חסרונות מרכזיים, שיש בהם כדי לפגוע בסיכוי להארכת ההכרה האירופית בתאימות הדין בישראל. על רקע חוסרים אלו הצגת תקנות הגישור כפלסטר הכרחי להכרה בתאימות היא הצגה חלקית. לדעתנו, יש לפרוש בפניהציבורוכנסתישראלאתהפעריםעליהםעומדיםנציגיהאיחודהאירופיבמשאומתן בנוגע להכרה בתאימותולהביא לפתרון מהיר ויחידשל כל אלו במאוחד. 48 Transfer Takeaways from GDPR Enforcement in Cloud Computing & Beyond Hon W. Kuan, (24 Jan., 2022) . 49 רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר, הצעה לתיקון חוק הגנת הפרטיות, התשמ"א – 1981 , לשם שימור ההכרה האירופאית בתאימות הדין בישראל, המכון הישראלי לדמוקרטיה (ספטמבר 2019 .) 50 הצעת חוק הגנת הפרטיות (תיקון מס' 14 ), התשע"ב – 2022 להלן:( "תיקון מס' 14 .)" 51 הצעת חוק הגנת הפרטיות (תיקון – חיזוק הזכות לפרטיות והגנה עליה), התשפ"ב – 2022 . 52 הצעת חוק הגנת הפרטיות (תיקון מס' 12 ( ) סמכויות אכיפה), התשע"ב – 2011 ; הצעת חוק הגנת הפרטיות(תיקון מס' 13 ),התשע"ח– 2018 הצעתחוק הגנת הפרטיות(תיקון מס';14 ),התשע"ב– 2022 להלן:( "תיקון מס' 14 .)" 22 א. תקנות הגישור לא יחולו עלמרבית הגופים בישראל אשר מעבדים מידע על נושאי מידע מהאזור הכלכלי האירופי בתעשייתטכנולוגיותהמידע מקובליםשני מתווי פעילותמרכזיים: - B2B ( Business-to-Business Services ), במסגרתן החברה בישראל פועלת 53 54 כ"Processor " להלן:( " מחזיק,)" עבור חברה אירופאית המתפקדת 55 כ"Controller (להלן:" " בעל שליטה במידע") לפי ה- GDPR , ומעבירה לחברה בישראלמידעאישיעלנושאימידעמהאזורהכלכליהאירופי,כלומרמשטחמדינה 56 החברה באיחוד האירופי, לרבות משטח מדינות נורבגיה, ליכטנשטיין ואיסלנד, לשםעיבודו בישראל. - B2C ( Business-to-Customer ), במסגרתן החברה בישראל יכולה לפעול (1 ) כבעלת השליטה בישראל ולקבל מידע ישירות מהלקוחות – נושאי המידע – מהאזור הכלכלי האירופי; או (2 ) כמחזיק בישראל המקבל מידע מבעל שליטה במידע אירופי; או (3 ) כבעל שליטה במידע בישראל המקבל מידע על נושאי מידע מהאזור הכלכלי האירופי מבעל שליטה במידע מקביל באירופה. תקנותהגישורמחילותחובותרקעלבעלמאגרמידעורקביחסלמידעאשרהועברמהאזור הכלכלי האירופי שלא במישרין מנושא המידע.57 בעל מאגר מידע שקול, בהסתייגויות 59 מסוימות,58 ל בעל שליטה במידע לפי ה- GDPR . כלומר, תקנות הגישור חלות רק ביחס לנסיבות מצומצמות של B2C במסגרתן החברה הישראלית פועלת כבעלת שליטה במידע ו מקבלת מידע על נושאי מידע מהאזור הכלכלי האירופי, מבעל שליטה במידע או ממחזיק הפועליםבאזורהכלכליהאירופי. ואולם,משיחותעםגורמיםמהתעשייהעולה כיבמרבית המקרים, חברות מישראל פועלות במסגרת BSB או B2C , כמחזיק במידע על נושאי מידע תושבי האיחוד האירופי. המסקנה לפיכך היא שתקנות הגישור כלל לא יחולו, ולא יביאו לשינוי המצב המשפטי, ביחס למרבית הגופים בישראל המקבלים מידע אישי על נושאי מידע אירופאים. מיעוט הגופים הישראלים שמועבר אליהם מידע אישי על נושאי מידע מהאיחוד האירופי ומתפקדים כבעל שליטה במידע, ממילא פועלים ומחויבים לפעול לפי 53 סעיף 4 ( 8 ) ל- GDPR , הגדרת "processor ." 54 שניתן להקבילו להגדרת "מחזיק" בסעיף 3 לחוק הגנת הפרטיות. 55 סעיף4 ( 7)ל- GDPR ,הגדרת"controller ".תמיכהבפרשנותזוניתןלמצואבה"ש6 להנחיתרשםמאגרי מידע מס' 2/2012 תחולת הוראות חוק הגנת הפרטיות על הליכי מיון לקבלה לעבודה ופעילות מכוני מיון ( 28.12.2012 .) 56 תקנה 1 לתקנות הגישור, הגדרת "האזור הכלכלי האירופי." 57 תקנה 2 א) לתקנות הגישור.( 58 עלהקושיבהקבלתההגדרותביןחוקהגנתהפרטיותל- GDPR וחשיבותהשליצירתאחידותעםההגדרות הקבועות ב- GDPR , עמדנו כבר בחוות דעתנו ביחס לתיקון 14 . ראו רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר, חוותדעתבנוגעלהצעת חוקהגנתהפרטיות (תיקון 14 ),התשפ"ב– 2022 (להלן:"תיקון14 )" – סעיפי ההגדרות, המכון הישראלי לדמוקרטיה ( 12 במאי, 2022 .) 59 סעיף4 ( 7)ל- GDPR ,הגדרת"controller".תמיכהבפרשנותזוניתןלמצואבה"ש6 להנחיתרשםמאגרי מידע מס' 2/2012 תחולת הוראות חוק הגנת הפרטיות על הליכי מיון לקבלה לעבודה ופעילות מכוני מיון ( 28.12.2012 .) 23 הוראותה- GDPR .בנסיבותאלו,מתעוררתהשאלההאםהתקנתתקנותהגישורהמובילות לפגיעה המתוארת להלן60 בזכות היסודלפרטיותובעיקרון השוויון, בכלל מוצדקת. ב. קיים מרחק רב ביןתקנות הגישור ודרישות האיחוד האירופי להכרה בתאימות האיחודהאירופאיפרסםרשימהמפורטתלמדישלדרישותלהכרהבתאימותהדיןהמקומי לזה הנהוג באיחוד.61 תקנות הגישור המוצעות עומדות רק בחלק מ ן הדרישות אינן מתייחסותלנושאיםמרכזיים אחרים, כגון אלו: - תנאיםלעיבודמידעאישיבאופןחוקי,הוגןולגיטימילבדמהסכמתנושאהמידע.62 - זכות נושא המידע להתנגד לעיבוד מידע אישי אודותיו, בכל עת, מטעמים לגיטימיים ומשכנעים הנוגעים למצבו הספציפי בתנאים מסוימים.63 - קבלת החלטות אוטומטית ופרופיילינג שיש להם השפעה משמעותית על נושא המידע צריכה להיעשות לפי תנאים מיוחדים.64 - במסגרת בחינת מידת התאימות של הדין המקומי במדינה זרה ל- GDPR , נבחנת גם מידת הפגיעה בזכות לפרטיות עקב עיבוד מידע אישי על ידי גופי ביטחון. זאת בעקבותפסקהדיןשלביןהדיןלצדקשלהאיחודהאירופאיבפרשתשרמסI .שם נפסק כי על הדין המקומי להיות "שווה ערך במהותו" ל- GDPR . הובהר שעל המדינה הזרה לספק רמת הגנה זהה במידה מספקתלזו הנהוגה באיחוד.65 לפי ה- GDPR , עיבוד מידע אישי באופן הפוגע בזכויות בסיסיות, בעיקר הזכות לפרטיות,חייבלהיעשותלפיבסיסמשפטיברור- כלליםברורים,מדויקיםוזמינים, לפי מבחן הנחיצות להגשמת המטרות האובייקטיביות של עיבוד המידע ובאופן מידתיבלבד,תוךמתןסעדאפקטיביוזמיןלנושאהמידעהנפגעעקבעיבודהמידע האישי אודותיו וכן יש צורך בפיקוח חיצוני על עיבוד המידע.66 60 ראו דיון בסעיף 5 להלן. 61 Article 29 Data Protection Working Party, Adequacy Referential, (Adopted 28 Nov. 2017, last revised and adopted 6 Feb. 2018, WP254 rev.01) . 62 סעיפים 6 ו- 9 ל- GDPR . 63 סעיף 21 ל- GDPR . 64 סעיף 22 ל- GDPR . 65 illian Schrems v Data Protection Maxim Judgment of the Court (Grand Chamber) Commissioner (C-362/14; 6 Oct, 2015) להלן:( "פרשת שרמס I" .) 66 Article 29 Data Protection Working Party, Adequacy Referential, (Adopted 28 Nov. 2017, last revised and adopted 6 Feb. 2018, WP254 rev.01) ; סעיף 45 ל- GDPR . 24 67 ביתהדיןלצדקשלהאיחודהאירופאיפסלפעמיים,בפרשתשרמסבשנת2015 68 ושניתבשנת2020 , אתההכרההאירופאיתבתאימותהדיןבארה"בבדיוקבגלל הפגיעה במידע אישי אודות אזרחי אירופה על ידי גופי ביטחון בארה"ב. ביפן, למשל, התחייבה הממשלה, כתנאי להכרה בתאימות הדין היפני ל- GDPR , להגביל את גישת רשויות ציבור למידע אישי על נושאי מידע מהאיחוד האירופאי למטרות אכיפת הדין הפלילי ולצרכיי ביטחון המדינה, לפי מבחן נחיצות ומידתיות ולהכפיפה לביקורת חיצונית ולמנגנון פיצוי יעיל.69 בישראל, סעיף 19 (ב) לחוק הגנת הפרטיות וסעיף 8 א()(1) לחוק שירות הביטחון הכללי, תשס"ב – 2002 להלן:( " חוק השב"כ"), מעניקים לרשויות ביטחון פטור רחב מאחריות בגין פגיעה בפרטיות. סעיפי פטור אלו אינם עומדים כלל בדרישות האיחוד האירופאי.70 תקנות הגישור מבקשות לגשר על חסר זה באמצעות הקביעה בתקנה 2 ב()(2 ) לפיה החובות המנויות בתקנות הגישור לא יחולו על "שימוש במידע הנדרש למטרת הגנה על בטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלו". בכך מחליפות תקנות הגישור את מבחן הסבירות הקבוע בסעיף 19(ב) לחוק הגנת הפרטיות במבחן מידתיות ונחיצות, כנדרש לפי ה- GDPR .אולם,בכךאיןדיעלמנתלעמודבדרישותהאיחודהאירופי.חריגהביטחון הקיים בישראל, אף לאחר הכפפת השימוש במידע אודות נושאי מידע מהאזור הכלכלי האירופי למבחן הנחיצותוהמידתיות, חסר מנגנון פיצוי יעיל.. תקנות הגישור יטילו נטל כבד ומיותר על הגופים הישראליים שיחו יבו ביישומן 4. א. אי התאמהלמציאות הטכנולוגית וליכולת ללמייןמידעאישי לפימוצאו גיאוגרפי התפיסה העומדת בבסיס חוק הגנת הפרטיות בישראל, וכן בבסיס תקנות הגישור, היא שחברות אוספות מידע אישי ומאגדות אותו למאגרי מידע מובחנים ונפרדים. אולם, מה שהיה נכון לפני כמה עשורים, אינו נכון היום. המציאות הטכנולוגית השתנתה והתקדמה. כיום,מידע אישימעובד, נמהלומשולבבטכנולוגיותשונות, כדוגמתבינהמלאכותית.חיוב בעלי מאגר מידע בנורמות שונות ביחס למידע שמקורו בנושאי מידע מהאזור הכלכלי האירופיידרושמהם לנסותולאתרמידעשכזהבמערכותיהם.אומנם,לפיתקנה9 לתקנות הגישור, ניתנת לבעלי מאגר מידע ארכה של כשנה ליישום התקנות לגבי מידע שנאסף לפני כניסתןלתוקף, אולםיתכןוארכהזולא תסייע כלל, שכןלאברורהאםאפשרלהבחין 67 Maximillian Schrems v Data Protection Judgment of the Court (Grand Chamber) Commissioner (C-362/14; 6 Oct, 2015) . 68 JudgmentoftheCourt(GrandChamber)DataProtectionCommissionervFacebookIreland Limited and Maximillian Schrems (C-311/18; 16 July, 2020) להלן:( "פרשת שרמס II .)" 69 EuropeanCommissionadoptsadequacydecisiononJapan,creating EuropeanCommission, the world’s largest area of safe data flow (press release, 23 Jan., 2019) 70 רחלארידור הרשקוביץ, הצעתחוקהגנתהפרטיות,התשע"ט– 2019 :השלמות בנושא עיבוד מידעאישי עלידיגופיביטחוןוהתנאיםלהכרתהנציבותהאירופאיתבתאימותהדיןהמקומי(adequacy )סקירתמשפט משווה, המכון הישראלי לדמוקרטיה ( 28 באוגוסט, 2019 .) 25 בדיעבדבמידע אישי שמקורובנושאי מידע מהאזור הכלכלי האירופי,והאםהבחנה כאמור לאתטיל נטלבלתיסבירעלבעלימאגרימידעשאינםחברותטכנולוגיהעתירותמשאבים. יתרהמכך,לדברימשרדהמשפטים,בקרוביחלתהליךחקיקתהתיקוןהמהותילחוקהגנת הפרטיות (המכונה תיקון 15), ו החובות של בעל מאגר מידע כלפי נושאי מידע מהאזור הכלכלי האירופי כולן או מרביתן,, יושוו לאלו החלות עליו ביחס לנושאי מידע בישראל. בהנחה שהליך חקיקה כאמור אכן יתקיים ויושלם בשנים הקרובות בהצלחה, התקנת תקנות הגישור כלשונן בשלב זה תוביל לעומס מיותר ומקומם על התעשייה. חברה ישראלית, שתקנות הגישור יחולו עליה, תשקיע משאבים ניכרים לשם יצירת מאגר מידע נפרד למידע על נושאי מידע מהאזור הכלכלי האירופי, שעליו תחיל את חובותיה מכוח תקנות הגישור, רק כדי לגלות כעבור שנה או שנתיים שעל השקעתה היתה מיותרת שכן נחקק חוק הגנת פרטיות מתוקן המחיל חובות זהות גם ביחס למידע על נושאי מידע מישראל. המסר, לפיכך, של התקנת תקנות הגישור בעת הזו, הוא מסר בעייתי ומקומם מבחינת התעשייה. ב. מונחים שונים שאין להם מקבילה ב- GDPR עלולים להוביל לחוסר בהירות בתעשייה תקנות הגישור חלות, כאמור, על "בעל מאגר מידע", מונח שאינו קיים ב- GDPR , אך ניתן בדרך של פרשנות להניח, כל עוד לא נקבע אחרת בחוק או בהנחיות הרשות להגנת הפרטיות, שמדובר בבעל תפקיד המקביל לבעל שליטה במידע האירופי.71 ואולם, תקנה 6 מחייבת בחובת יידוע לגבי "מנהל מאגר", פונקציה שאין לה מקבילה ב- GDPR . משיחות עם גורמים מהתעשייה עולה שדרישה כאמור מובילה לקושי בקרב התעשייה. זאת משום שהאחריות המוטלת על בעל תפקיד שכזה אינה ברורה, בעיקר נוכח ממונה על הגנת 73 פרטיות, שמינוי מחויב לפי חוקים ספציפיים בישראל72 וב- GDPR , והומלץ כפרקטיקה ראויה בהנחיית הרשות בנושא.74 פתרון ראוי לנטל זה הוא תיקון חוק הגנת הפרטיות, השוואתהמונחים וחיוב במינוי ממונה הגנתפרטיות. אפקט הדומינו של תקנות הגישור והפגיעהבתע שייה בישראל 5. תקנות הגישור מבקשות ליצור משטר משפטי שונה ביחס למידע אישי המועבר לישראל משטח האזור הכלכלי האירופי לעומת מידע אישי שמקורו בנושאי מידע בישראל או במדינותאחרות. ואולם,סוגייתההגנהעלהזכותלפרטיותבמידעהיאחוצתגבולות.מידע, עלשללסוגיותואופניהצגתו,מועברעלגבירשתהאינטרנטללאהגבלהגיאוגרפיתכזואו אחרת.עיבודמידעאישי,שמקורובנושאימידעבמדינהזרה,יכולשיעשהבישראלולהיפך. עם חקיקת ה- GDPR החלה מגמה כלל עולמית של התאמת הדינים המקומיים במדינות האיחודהאירופיומחוצהלול- GDPR .זאתעלמנתלהבטיחשהשוקהאירופילאיהיהחסום 71 ראו, ה"ש 59 לעיל., 72 ראו, למשל, סעיף 18 לחוק נתוני אשראי, התשע"ו – 2016 , סעיף 26 לחוק הכללת אמצעי זיהוי ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, תש"ע– 2009 . 73 סעיפים 39 - 37 ל- GDPR . 74 מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו, הרשות להגנת הפרטיות (24 בינואר, 2022 .) 26 בפני התעשייה המקומית בכל מדינה, ולהקנות לחברות מקומיות בסיס שווה לתחרות בשווקי המידע, שהםשווקים בינלאומיים והגלגלים העיקרייםלהנעת כלכלת העולם כיום. עד כה, 12 מדינות מחוץ לאיחוד האירופי ובניהן אנגליה, ברזיל, קנדה, צ'ילה, הודו, יפן, ניגריה, דרום קוריאה, שוויץ, תאילנד, תורכיה, והמדינות קליפורניה וניו יורק שבארה"ב ביצעו או מבצעות שינוי חקיקה מקיף על מנת להתאים היבטים מרכזיים בחקיקת הגנת הפרטיותהמקומיתלזו האירופאית. יתרה מכך, גםמדינותשאינן חברותבאיחוד האירופי, אולם החזיקו במשטר הגנתפרטיות מודרני ודומה במהותו ל- GDPR , נשענו על ההכרה האירופית בתאימות הדין בישראל על מנת לבצע עסקות עם גופים ישראלים ולאשר העברת מידע אישי אודותיהם אזרחיהם לישראל. במידה שתקנות הגישור יתקבלו, ידעו מדינות אלו שהגנת הפרטיות הנאותה לשיטתםמוגבלת, לפי תקנות הגישור, רק לאזרחי האזורהכלכלי איחוד האירופי. התוצאה תהיה שחברות ממדינות אלו, למשל אנגליה, שוויץ, קנדה ואחרות, יסרבו להעביר מידע אודותאזרחיםלישראלבהיעדרהגנהמתאימה. כברהיוםבחקיקתהפרטיותשליפןודרום קוריאה אסורה העברת מידע אישי למדינה שמשטר הגנת הפרטיות שלה אינו שווה ערך למשטרן המקומי של מדינות אלו, שזכו לאחרונה להכרה בתאימותן לדין האירופי.75 ומה אז?האםהפתרון יהיהחקיקהתלויתמוצאגיאוגרפי?האםאנוצפוייםלשורתתקנותגישור המותאמות לנושאי מידע בכל מדינה זרה, זאת לצד חוק הגנת פרטיות מיושן ורזה עבור הישראלים? 6. משטר הגנת פרטיות שונה לישראלים ולאזרחי היבשת - פגיעהחמורה בזכות היסוד לפרטיות זכות היסוד לפרטיות מעוגנת בסעיף 7 לחוק יסוד: כבוד האדם וחירותו ופגיעה בה יכול שתעשה רק בהתאם לפסקת ההגבלה. תקנות הגישור יוצרות משטר משפטי שונה המעניק הגנה רחבה יותר לזכות לפרטיות לנושאי מידע ממדינות האיחוד האירופי לעומת נושאי מידע מישראל. אף שתכלית שימור ההכרה בתאימות הדין בישראל ל- GDPR היא חשובה וראויה, לא בטוח שתקנו ת הגישות עומדות בתנאי פסקת ההגבלה. זאת בעיקר נוכח העובדה שתקנות הגישור אינן מבטיחות כלל הכרה בתאימות,76 ופוגעות בעיקרון השוויון לרעת תושבי מדינתישראל. סמכות התקנת התקנות, הרחבתן לכלל תושבי המדינה או קביעתן כהוראת 7. שעה תקנות הגישור מותקנות מכוח סעיף 36 ומכח פסקה (2 ) להגדרת "מידע רגיש" שבסעיף 7 לחוקהגנתהפרטיות.ביתהמשפטהעליוןקבעמספרמבחניםלשאלההאםדברחקיקה 75 Changes in Japan Privacy Law to Harriet Pearson, Julie Brill, Mark Parsons & Hiroto Imai, Take Effect in Mid-2017; Key Regulator Provides Compliance Insights, LEXOLOGY (Feb 1. 2017) ; Chris H. Kang & Sun Hee Kim, Recent Major Amendments to Three South Korean Data Privacy Laws and theirImplications, International BarAssociation . 76 ראו דיון בסעיף 3 לעיל. 27 הוא הסדר "ראשוני" המחייב חקיקה ראשית.77 אף שיש צורך דחוף בהתקנת תקנות הגישור על מנת לנסות ולהאריך את ההכרה האירופית בתאימות הדין בישראל, ותכלית התקנות מצומצמת ונקודתית, ויש בתקנות כדי להביא לפגיעה משמעותית בזכות היסוד של אזרחי המדינה לפרטיות. משכך, לא ברור כלל שתקנות הגישור, בניסוחן הנוכחי, ניתנותלאסדרה שלא בחקיקה ראשית. בנוסף,מדברינציגימשרדהמשפטיםעולהכי המשרדעובד,כברכמהשנים,עלתיקון15 שהינו התיקון משמעותי לחוק הגנת הפרטיות. תיקון זה יביא למודרניזציה של חוק הגנת הפרטיותהמיושןויכלולתיקוניםמשמעותייםלזכויותמהותיות.כלומר,חלק,ואוליאףעיקר העבודה הנדרשת לתיקון חוק הגנת הפרטיות, כבר נעשתה. תימוכין לכך ניתן אולי למצוא בטיוטתהנחיותהרשותלהגנתהפרטיותמעתלעתהמרמזותעלמדיניותמשפטיתרחבה יותר מזו המשתמעת מלשון חוק הגנת הפרטיות המצומצמת.78 אולם, נוכח הצורך הדחוף בהבטחת ההכרה האירופאית בתאימות הדין בישראל לזה האירופי, הכרחי, לטענת משרד המשפטים, להתקין את תקנות הגישור במהרה. לדעתנו, דרך המלך לטיפול בנושאים הכלולים בתקנות הגישור היא חקיקה ראשית אשר תחול על כלל אזרחי המדינה. ככל שנדרשת התייחסות מיוחדת לדרישות האיחוד האירופי ולשוני בניהן לבין תנאי הארץ ותושביה, ניתן לעשותזאתבחריגיםבגוף החוק עצמו. מנגד,הצורךהדחוףבתיקוןחוק הגנתהפרטיותהישראלילשםהארכתההכרההאירופית בתאימות ברור, ומשרד המשפטים השתמש כבר בעבר בסמכותו להתקין תקנות מכוח סעיף36 לחוקהגנתהפרטיותגםלשםאסדרהראשוניתשלנושאיםשונים,כפישבאלידי ביטוי בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז – 2017 להלן:( "תקנות אבטחת מידע"). בנסיבות אלו, עדיף להרחיב את תחולת ההסדר המוצע בתקנות הגישור על כלל תושבי המדינה על פני יצירת משטר משפטי המפלה לרעה את תושבי המדינה על בסיס מוצאם הגיאוגרפי. תקנות הגישור בראי המשפט המשווה 8. אכן, חקיקת משנה המיועדת לגשר על הפערים בין ה- GDPR לחקיקה המדינתית לשם הכרה בתאימות הדין המדינתי אינה חריגה. בשני המקרים בהם ניתנה החלטת תאימות לאחר חקיקת ה- GDPR, ביחס ליפן ולדרום קוריאה, כללה ההחלטה גם כלליםמשלימים. ביפן, פרסמה בספטמבר 2018 נציבות הפרטיות במדינה מערכת כללים משלימים לחוק הגנת הפרטיות הקיים. הכללים המשלימים מחייבים בעל שליטה במידע שמקבל מידע אישי על נושאי מידע מהאזור הכללי האירופי והם ברי אכיפה הן על ידי נציבות הפרטיות והן על ידי בתי המשפט ביפן. מטרת הכלליםהמשלימים לספק הגנות נוספותלשםגישור הפערים בין חוק הגנת הפרטיות היפני לבין ה- GDPR ביחס למידע רגיש, מימוש זכויות 77 בג"ץ 4253/02 קריתי ואח' נ' היועץ המשפטי לממשלה ואח', (פורסם בנבו 17.03.09 .) 78 ראו, למשל, הרשות להגנת הפרטיות, חובת יידוע במסגרת איסוף ושימוש במידע אישי – טיוטה להערות הציבור (2 במאי, 2022 .) 28 נושא המידע, תנאים להעברת מידע אישי של נושאי מידע מהאזור הכלכלי האירופי למדינות אחרות.79 על הכללים המשלימים נמתחה ביקורת לא מעטה בטענה שמדובר במשטר המפלה לרעה את תושבי יפן לעומת נושאי מידע מהאזור הכלכלי האירופי.80 גםבדרוםקוריאה נלוולהחלטתההכרהבתאימותכלליםמשלימים,החליםעלמידעאישי אודות נושאי מידע מהאיחוד האירופי, האזור הכלכלי האירופי ואנגליה, והינם בני אכיפה על ידי רשות הגנת הפרטיות המדינתית ובתי המשפט במדינה.81 אולם, ניתן להצביע על מספר הבדלים חשובים בין המצב המשפטי והכללים המשלימים ביפן ובדרום קוריאה לתקנות הגישור ולנסיבותהמשפטיות הנלוותלהן בישראל. 1. הן ביפן והן בדרום קוריאה הכלליםהמשפטיים נקבעו בסמוך לתיקון משמעותי לדיני הגנת הפרטיות במדינה. ביפן, תוקן בשנת 2017 חוק הגנת הפרטיות שנחקק בשנת 2003 . בין השאר, כלל התיקוןמשנת2017 הצבתנציבותהפרטיותהמדינתיתכרשותהיחידההאחראיתעל הפיקוח והאכיפה של חוק הגנת הפרטיות. כחלק מהסמכה זו הוענקו לה בחוק המתוקן סמכויות אכיפה וענישה; הגדרת מידע רגיש ודרישה כי השימוש או הגילוי שלויעשהבהסכמת נושאהמידעבלבד;הבהרהשעיבודמידעמותמםאינו דורש את הסכמת נושא המידע; חיוב תיעוד מקור המידע האישי והגורמים אליהם הועבר; והטלת מגבלות על העברת מידע אישי למחוץ לגבולות המדינה.82 בדרום קוריאה תוקנו בשנת 2020 שלושת החוקים העוסקים בפרטיות.83 התיקונים כללו הבחנה בין מידע אישי למידע מותמם ומידע פסאודו- אנונימי, והוצאת מידע מותמם מתחולתהחוק;התרתשימוש במידע אישיללא הסכמתנושאהמידע כלעוד 79 tary Rules under the Act on the Protection of Personal Information for Supplemen Handling of Personal Data Transferred from the EU based on an Adequacy Decision . נוסף על הכללים המשלימים, הציגה יפן מנגנון, בניהול נציבות הפרטיות במדינה, לטיפול בתלונות נושאי מידע מהאזור הכלכלי האירופי בנוגעלגישה למידעהאישי אודותיהם על ידי רשויות ציבור יפניות (למשל, רשויות ביטחון ורשויות אכיפת חוק). עוד סיפקה ממשלת יפן אישור שעיבוד מידעאישי למטרות אכיפת החוק הפלילי וביטחון המדינה יהיה מוגבל בהתאם למבחן הנחיצות והסבירות, יהיה נתון לפיקוח וביקורת עצמאית וכן למנגנון סעד אפקטיבי. ראו adopts Commission European Commission, European adequacy decision on Japan, creating the world’s largest area of safe data flows (23 Jan01. 2019) . 80 equacy decision on Japan?, Whatare the pros and cons of the Ad Yuliya Miadzvetskaya, KU . LEUVENCENTERFORIT&IPLAW (April 4, 2019) 81 European Commission, Commission Implementing Decision of 17/12/2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequacy protection of personal data by the Republic of Korea under the Personal Information Protection Act, (C(2021) 9316) . 82 Changes in Japan Privacy Law to Harriet Pearson, Julie Brill, Mark Parsons & Hiroto Imai, Take Effect in Mid-2017; Key Regulator Provides Compliance Insights, LEXOLOGY (Feb 1. 2017) 83 The Personal Information Protection Act ; The Act on the Promotion of Information and Communications Network Utilization and Information Protection ; Act of the Use and Protection of Credit Information . 29 השימושהוא סבירולפימבחןהמטרההדומההקבועב- GDPR ; איסורעלמניעתמתן שירות או מוצר עקב סירובו של נושא מידע להסכים לעיבוד מידע אישי מעבר לנחוץ להגשמת המטרה או מטרה דומה; הוראות לעניין העברת מידע אישי לצד שלישי; הגבלותלענייןעיבודמידעאישירגישומידעאישימזהה;חיובבביצועתסקירהשפעה על פרטיות והצגת תוצאותיו לרשות להגנת הפרטיות; וחיזוק סמכויות האכיפה של הרשות להגנת הפרטיות המדינתית.84 2. תיקוניהמשךלחוקהמדינתי,לאחרקבלתהכלליםהמשלימיםואישורהAdequacy : ביפן מוטלת על הנציבות להגנת הפרטיות החובה לבחון, מידי 3 שנים, את הצורך לתקן או לעדכן את חוק הגנת הפרטיות ותציג את מסקנותיה בכתב.85 ואכן, ביוני 2020 , כשנה לאחר כניסת הכללים המשלימים לתוקף, ובעקבות המלצת נציבות הפרטיות במדינה, עודכן חוק הגנת הפרטיות. העדכונים נכנסו לתוקפם באפריל 2022 . כחלק מעדכונים אלו הוכנסו לתוך חוק הגנת הפרטיות תיקונים ברוח הכללים המשלימים, וכך הורחבה תחולתם של כללים אלו לכלל נושאי המידע ללא קשר למוצאם. באופן זה צומצמה האפליה בין הגנת הפרטיות שהוענקה לנושאי מידע מהאיחוד האירופי לעומת זו שהוענקה לאזרחי יפן. למשל, הזכות לתקן, לעדכן או למחוק מידע אישי הורחבה וחלה עתה על כל מידע אישי, לרבות מידע אישי שבעל השליטהבוהתכווןמראשלהחזיקו חצישנהבלבד. כמו כן,הכלליםהמשלימיםחייבו מחיקה של כל שיטה לזיהוי חוזר של מידע אישי שעבר התממה. חוק הגנת הפרטיות המתוקןלאחייבאתמחיקתושלמידעאושיטהשתאפשרזיהויחוזר,אךחייבבנקיטת צעדיםלאבטחתמידעשכזה.עודהרחיבחוקהגנתהפרטיותהמתוקןאתזכויותנושא המידעוכללאתזכותנושאהמידעלדרושמבעלהשליטהבמידעלהפסיקאתהשימוש במידע אישי כאשר הוא אינו זקוק לו עוד, המידע האישי דלך או כאשר זכויותיו או האינטרסים של נושא המידע נפגעים.86 בדרום קוריאה, פורסמה הצעה לתיקון חוק הגנת הפרטיות בינואר 2021 . הצעת התיקון כוללת את זכות הניוד, הזכות לסרב להחלטות המבוססות על עיבוד אוטומטי של מידע אישי, הוראות לעניין העברת מידע אישי למדינות אחרות והכללת מידע פסאדואנונימייז כחלק מהמידע שעל בעל השליטה במידע למחוק.87 84 Recent Major Amendments to Three South Korean Data H. Kang & Sun Hee Kim, Chris Privacy Laws and theirImplications, International Bar Association . 85 סעיף 9 ל Information Personal of Protection the on Act the under Rules Supplementary for Handling of Personal Data Transferred from the EU based on an Adequacy Decision . 86 The The Privacy, Data Protection andCybersecurity Law Review: Japan, Tomoki Ishiara, Law Reviews (Oct. 27, 2022) . 87 2022) Data Protection Overview, DataGuidance (Sep. – South Korea Kwang Bae Park, . 30 בחינת המשפט המשווה מלמדת על עבודה משמעותית לתיקון חוק הגנת הפרטיות המדינתי, קודם ובמקביל לכללים המשלימים. עבודה, שלצערנו, לא נעשתה עד כה ביחס לחוק הגנת הפרטיותבישראל. לפיכך, בהנחה שיש לקבל את תקנות הגישור בסד זמנים קצר על מנת להימנע מאובדן ההכרה האירופאית בתאימות הדין בישראל שיוביל לנזקים כלכליים ותדמיתיים משמעותיים לתעשייה בישראל, יש לדעתנו לקבל את תקנות הגישור כהוראת שעה. חסרונותיההרביםשלאפשרותזו,נוכחהמשמעויותהקשותשישבהתקנתתקנותהגישור ביחס לנושאי מידע מהאיחוד האירופי בלבד, מחייבים את הגבלת הוראת השעה לחצי שנה, עם אפשרות להאריכה פעם נוספת אחת בלבד, לחצי שנה נוספת. כן יש להתנות את תחולת תקנות הגישור כהוראת שעה בפרסום תזכיר תיקון 15 ביום אישור הוראת השעה בוועדת חוקה, התחלת הדיונים בוועדת חוקה על תיקון 15 עצמו בתוך חודשיים מהתקנת הוראת השעה, וקבלת התיקונים לחוק הגנת הפרטיות בתוך שנהמהתקנתם. חלק ב: הערות לגופן של סעיפי תקנות הגישור 1 . התחולה וחריג גופי הביטחון כפישציינו כברבהערותנו בסעיף 3.ב לחלק אלעיל, בתקנותהגישורמוצעלתקן אתחריג גופי הביטחון הקבוע בסעיף 19 (ב) לחוק הגנת הפרטיות. התיקון הינו תיקון דרוש, שכן מבחן סבירות המעשה הקבוע בסעיף 19(ב) אינו עומד בדרישות ה- GDPR , ומבחן המידתיותוהנחיצותהמוצע בתקנה 2 ב()(2 לתקנות הגישור הוא המבחן הנדרש.) אולם, מדובר בתיקון לנושא מרכזי וחשוב – השימוש המותר במידע אישי לצרכי הגנה על ביטחון המדינה, בדרך עקיפה ואגבית באמצעות תקנה העוסקת בתחולת תקנות הגישור. יתרהמכך,מדוברבתיקוןחלקישאינועומדבדרישותה- GDPR ,כמפורטבהערותינולסעיף 3.ב לחלק א לעיל. 2 . ז כות המחיקה א. פערים בהיקף זכות המחיקה המוצעת לעומת זו הקבועה ב- GDPR זכות המחיקה הקבועה בסעיף 17 ל- GDPR מאפשרת לנושא המידע לבקש את מחיקת המידע האישי אודותיובנסיבותנוספותלבדמאלוהמוצעותבתקנה 3 א)לתקנותהגישור.( למשל,כאשרנושאהמידעחוזרבומהסכמתולאיסוףמידעאומתנגדלעיבודאוטומטישל מידע אישי על אודותיו.88 חוסר זה נובע מהיעדר תיקון לדין המהותי המרחיב את זכויותיו המהותיותשלנושאהמידע,כנדרשלפידרישותהתאימותב- GDPR ,וכוללאתזכותולחזור בו מהסכמתו ואת זכותו להתנגד לעיבוד מידע אישי אודותיו בתנאים מסוימים.89 על 88 סעיפים (c) 17(1)(b), ל- GDPR . 89 ראו דיון בסעיף א.3 א לעיל.. 31 חשיבות הרחבת אגד הזכויות של נושא המידע כחלק מתיקון מקיף לחוק הגנת הפרטיות עמדנו כבר בעבר,90 לענייננו נוסיף ונציין שיש בחוסר זה כדי להדגיש את חלקיות תקנות הגישור בכל הנוגע למילוי דרישות התאימות. ב. פגיעה בוודאות המשפטית תקנה 3 א()(1 ) לתקנותהגישור קובעתשזכותהמחיקה תחול גםבמקרהשהמידע"נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות כל דין." "דין" מוגדר בסעיף 3 לחוק הפרשנות, תשמ"א – 1981 ככל אחדמאלה: (" 1 חיקוק;) ( 2 ) דינים דתיים – בין שבעל פה ובין שבכתב – כפי תקפםבמדינה; ( 3) (א) אקט של הפרלמנט הבריטי או דבר המלך במועצתו או חלק מהם, או תקנות לפיהם, ודיני המשפט המקובל ועקרוני היושר של אנגליה, כפי תקפםבמדינה; ( 4 דיניםעותמאניים כפי תקפםבמדינה";) לפיכך,המשמעותשלהוראתתקנה3 א()(1)לתקנותהגישורהיא לדעתנו,, פגיעהבוודאות המשפטית וכתוצאה ביכולת להתוות טכנולוגיה יציבה לעיבוד מידע ולשימוש בתוצאות העיבוד,שכןבעלמאגרהמידעאינויכוללדעתמראשמהוה"דין"מכוחוהואעשוילהידרש למחוק את המידע. מאחר שזכות המחיקה היא זכות חדשה באגד הזכויות הנכלל תחת הזכות לפרטיות, ומתקיים דיון ער בנוגע לנחיצותה, השלכותיה על חופש הביטו י ועל זכות הציבור לדעת,91 יש לדעתנו חשיבות בקביעה ברורה מהן הוראות החוק מכוחן יכול נושא המידע לממש את זכותו לבקש את מחיקתהמידע אודותיו. ג. הנטל על בעל מאגר המידע לצד חשיבותה ויתרונותיה, מטיל ה זכות המחיקה נטל על בעל מאגר המידע. בעידן נתוני העתק ומכונות לומדות, נדרש בעל מאגר המידע לאתר את המידע על אודות נושא המידע מבקש המחיקה ולמחוק אותו ממערכותיו או להבטיח שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע. אכן,גםלפיסעיף17 ( 2)ל- GDPR ,ניתןמשקלמוגבללנסיבותהענייןוהטכנולוגיההקיימת בשאלתהיענותלבקשתמחיקה.שםרשאיבעלהשליטהבמידעלהתחשבבנסיבותהעניין ובטכנולוגיה הקיימת במסגרת האמצעים הסבירים שעליו לנקוט במידה שפרסם את 90 ראו, למשל, רחל ארידור הרשקוביץ, הצעת חוק הגנת הפרטיות, התשע"ט – 2019 : השלמות בנושא עיבוד מידעאישי על ידי גופי ביטחון והתנאים להכרת הנציבות האירופאית בתאימות הדין המקומי ( adequacy) סקירת משפט משווה, המכון הישראלי לדמוקרטיה ( 28 באוגוסט, 2019 .) 91 ראו, למשל, 1 . R L. III. U. The Right to Be Forgotten, Michael J. Kelly & Satolam David, EV (2017) ; AMITAI ETZIONI, HAPPINESS IN THE WRONG METRIC: A LIBERAL COMMUNITARIAN RESPONSE TO POPULISM (2018) . 32 המידע האישי ועליו ליידע בעלי שליטה אחרים על בקשת המחיקה. אולם, לדעתנו, בהתחשבבחסרונותוביתרונותשל זכותהמחיקה,הצעדיםשעל בעלמאגרהמידע לנקוט עםקבלתבקשתהמחיקה– מחיקה,התממה,סירובבהתאםלתנאיםהמפורטיםבתקנות הגישור, או יידוע בעלי שליטה אחרים, צריכים להיות כפופים למבחן הסבירות לפי נסיבות העניין, לטכנולוגיה הקיימת באותה העת ולמחירה. זאת משום שזכות המחיקה עלולה להתברר בעתיד כנטל לא סביר על חברותטכנולוגיה. ד. סירוב לבקשת מחיקה תקנה 3 ב()(2 ) לתקנות הגישור מתירה לבעל מאגר מידע לסרב לבקשת המחיקה אם השימוש במידע, בהיקף נחוץ ומידתי, הוא לצורך "מילוי חובה חוקית או ביצוע סמכות על פידין".בעודבכלהקשורל"מילויחובהחוקית"מתקיימתוודאותמשפטית,"ביצועסמכות על פי דין" מותיר כר נרחב של פרשנויות ומעשים ויש בה פוטנציאל אף לרוקן מתוכן את זכותהמחיקה,בעיקרבכלהקשורלפעולותיהםשלגופיםציבורייםבכללוגופיםביטחוניים בפרט. לפיכך, לדעתנו, ראוי למחוק את הסיפא המאפשרת סירוב למימוש זכות המחיקה על בסיס "ביצוע סמכותעל פי דין." 3 . הגבלת החזקת מידע שאינו נחוץ – הגדרת החובה והפרתה תקנה 4 (א) לתקנות הגישור מטילה על בעל מאגר מידע להפעיל "מנגנון ארגוני, טכנולוגי או אחר" על מנת להבטיח ש"במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק אולמטרה אחרת שלשמה מותר להחזיקו לפי כל דין".92 לכאורה, מלשון תקנה 4 (א) לתקנות הגישור עולה שדי בהפעלת מנגנון "ארגוני, טכנולוגי או אחר"שמטרתו הבטחת החזקתמידע נחוץ בלבד. התקנה אינה דורשתשהמנגנון יהיה יעיל. כלומר, אם בעל מאגר מידע מפעיל מנגנון כאמור, ועל אף הפעלת המנגנון נמצא שבמאגר המידע שברשותו מוחזק מידע שאינו נחוץ עוד, האם מדובר בהפרת הוראות התקנה? בנוסף, בהיעדר תיקון לדין המהותי המחייב הגדרת מטרה ספציפית, מפורשת ולגיטימית, עשויה דרישת הנחיצות המוצעת בתקנה 4 (א) להיות ריקה מתוכן. זאת נוכח הפרקטיקה הנהוגה כיום ב דין הישראלי, לנקוב במטרה כללית ורחבה שתחתיה ניתן לכלול מטרות שונותורבות.לפיכך,לדעתנו,כדילהבטיחשתקנה4 (א)תהיהבעתמשמעותאמיתית,יש להוסיףתיקוןלעיקרוןצמידותהמטרההקבועהבסעיף2 ( 9 )לחוקהגנתהפרטיותולהבהיר שמטרת העיבוד צריכה להיות מפורשת, ברורה וספציפית, לצד הכרה במטרות דומות בדומה לקבוע בסעיף 6 ( 4) ל- GDPR . 92 בדברי ההסבר בתקנות הגישור מצוין סעיף 5(e) ל- GDPR , כסעיף עליו נשענת התקנה. אנו מניחות שהכוונה להוראת סעיף 5(1)(e) ) ל- GDPR . 33 4 . חובת דיוק מידע - היקף החובה והפרתה תקנה 5 א)( לתקנות הגישור מנוסחת באופן דומה לתקנה 4 (א) ומחייבת את בעל מאגר המידע להפעיל "מנגנון ארגוני, טכנולוגי או אחר" על מנת "להבטיח כי המידע שבמאגר נכון, שלם, ברור ומעודכן". לפי דברי ההסבר, התקנה "מהווה השלמה ו"תמונת ראי" של סעיף 14" לחוק הגנתהפרטיותהמעגן את זכות נושא המידע לתיקון מידע אישי אודותיו. גם כאן מתעוררת השאלה האם די בעצם הטמעת מנגנון ארגוני, טכנולוגי או אחר למטרת הבטחת נכונות המידע, שלמותו, והיותו ברור ומעודכן, ללא קשר ביעילותו של המנגנון. האם החובה תביא בסופו של דבר לשגשוגה של תעשיית עזרי התראה וניטור מידע טכנולוגיים או שיש צורך גם להבטיח בפועל שהמידע האישי ישמר מעודכן, שלם ונכון? לדעתנו, הדבר אינו ברור דיו מלשון הסעיף. 93 יתרה מכך, לפי דברי ההסבר, התקנה מבוססת על סעיף 5(1)(d) ל- GDPR . אולם, סעיף 5(1)(d) ל- GDPR קובע חובה פוזיטיבית, שמידע אישי יהיה מדויק, וככל שהדבר נחוץ, ישמר מעודכן. כן מחייב הסעיף לנקוט כל צעד סביר על מנת להבטיח שמידע אישי שאינו מדויק, בהתחשבלמטרתהעיבוד, יימחק או יתוקן ללא דיחוי.94 הסעיףאינומחייבהטמעת מנגנון כלשהו לשם כך, אלאמותיר אתיישומו למבחן סבירות, בדומה למוצע בתקנה 5 ב)( לתקנות הגישור. חובת היידוע לפי דברי ההסבר, תקנה 6 לתקנות הגישור מהווה השלמה לחובת ההודעה הקבועה בסעיף11 לחוקהגנתהפרטיות,אשרמתייחסתלמצביםבהםנערכהפנייהלאדםלקבלת מידעאודותיו,ושואבתהשראה מסעיפים13-14 ל- GDPR .סעיף13 ל- GDPR עוסקבחובת יידוע כאשר המידע נאסף מנושא המידע עצמו, בעוד סעיף 14 ל- GDPR עוסק בחובת היידוע כאשר מידע אישי על נושא המידע לא נאסף ישירות ממנו. מאחר שתקנה 6 המוצעתעוסקתאךורקביידוע נושאהמידע כאשרהמידע אודותיובאמצעותגורםשלישי, נדמה שהיא שואבת השראה מסעיף 14 ל- GDPR בלבד. היעדר תיקון חובת היידוע הקבועה בסעיף 11 לחוק הגנת הפרטיות ביחס לפרטים שיש ליידע בהם את נושא המידע עת נאסף ממנו מידע ישירות, מובילה לפער לא ברור במידע שניתן לנושאי מידע שונים. כאשר המידע נאסף ישירות מנו שא המידע, הרי הוא י יחשף להודעהמצומצמתיותר,שכןסעיף11 לחוקהגנתהפרטיותדורשרקפירוטהאםעלנושא המידע חובה למסור את המידע, מהי מטרת השימוש במידע ולמי יימסר המידע ומטרות המסירה. בעוד שנושאי מידע שמידע עליהם הועבר באמצעות גורם שלישי לבעל מאגר 93 בדברי ההסבר בתקנות הגישור מצוין סעיף 5(d) ל- GDPR , כסעיף עליו נשענת התקנה. אנו מניחות שהכוונה להוראת סעיף 5(1)(d) ל- GDPR . 94 סעיף 5(1)(d) ל- GDPR : 1. Personal data shall be: …. (d) accurate and, where necessary, kept up to date; every reasonable step mustbe taken to ensure that personaldata that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay ('accuracy'); 34 המידע יעודכנו גם בזכות בעל המאגר ודרכי ההתקשרות עמו, סוג המידע שהועבר וקיומן של זכויות המחיקה, העיון והתיקון וכן יזכו לעדכון במידה והמידע אודותיהם מועבר לצד שלישי. לטעמנו מדובר בלאקונה ויש לתקנה על ידי תיקון חובת ההודעה הקבועה בסעיף 11 לחוק הגנתהפרטיותוהרחבתה. נציין עוד שגם בכללים המשלימים שנתקבלו בדרום קוריאה נדרש בעל השליטה במידע בחובת יידוע מורחבת הן ביחס לנושא מידע שהמידע אודותיהם מתקבל מהם ישירות והן ביחס לנושאי מידע עליהם הוא מקבל מידע באמצעות צד שלישי.95 חלק ג: סיכום תקנות הגישור מבקשות ליצור משטר פרטיות שונה, תואם לתקנות של האיחוד האירופי, אך ורק ביחס למידע אישי אודות תושבי האיחוד האירופי. זאת בעוד תושבי ישראל עצמם אינם זוכים להגנה דומה. המדובר ביצירת משטר משפטי שונה להגנת הפרטיות על בסיס מוצא גיאוגרפי. בכך, הופכות התקנות את תושבי מדינת ישראל לחצר אחורית בתחום הגנתהמידע. תאימותמול אירופה תושג לדעתנו,, אךורקבדרךהמלך:הליך חקיקהבהירשל חוקהגנת פרטיות שלם ומעודכן, כפי שאנו חוזרות ומציעות מזה זמן. לחילופין, כאמצעי זמני. נוכח המחיר הכבד הצפוילחברותישראליותבמידה שתבוטל התאימות, מחיר שהןיישאו בועל לא עוול בכפן, יש לבחון הרחבת תחולת תקנות הגישור גםעל נושאי מידע מישראל. אנומתריעותלמפניהמשמעויותהקשותשישבהתקנתתקנותהגישורביחסלנושאימידע מהאיחודהאירופיבלבד,אךמודעותלמחירהכלכליוהתדמיתישתשלםהתעשייהבישראל במידהשלאתחודשההכרההאירופאיתבתאימותהדיןהמקומי.לאורניסיונןשליפןודרום קוריאהבקבלת החלטת תאימותלאחר חקיקתה- GDPR , אנו מציעות להתקין את תקנות הגישור כהוראת שעה לחצי שנה, עם אפשרות הארכה לחצי שנה נוספת בלבד. אנו מציעות עוד כי תחולת התקנות תותנה בפרסום תזכיר תיקון 15 ביום אישור הוראת השעה בוועדת חוקה, התחלת הדיונים בוועדת חוקה על תיקון 15 עצמו בתוך חודשיים מהתקנת הוראת השעה, וקבלת התיקונים לחוק הגנת הפרטיות בתוך שנהמהתקנתם. באשר לתוכנן של תקנות הגישור, אנו ממליצותעל התיקוניםהבאים: ( 1 ) תיקון "חריג גופי הביטחון" על ידי הוספת גורם מפקח חיצוני ועצמאי ומנגנון לטיפול בתלונותומתן סעדים; ( 2 ) תיקון זכות המחיקה כך שתותר רק בנסיבות ברורות שיקבעו בתקנות הגישור עצמן, הכפפת כלל הצעדים שבעל מאגר המידע יוכל לנקוט בתגובה לבקשת 95 European Commission, Commission Implementing Decision of 17/12/2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequacy protection of personal data by the Republic of Korea under the Personal Information Protection Act, (C(2021) 9316) . 35 מחיקה למבחן סבירות בהתאם לטכנולוגיה הקיימת באותה העת ולמחירה, ומחיקת האפשרותלסרב לבקשת מחיקה מכוח"ביצוע סמכותלפי דין." ( 3 ) הגדרת חובת הנחיצות וחובת דיוק המידע כחובה כלליתהכפופה למבחן סבירות, ללא קשר לאופן יישום החובה באמצעותמנגנון ארגוני, טכנולוגי או אחר. ( 4 ) תיקון חובת היידוע כך שתחול גם במצבים בהם המידע מתקבל מנושא המידע ישירות. בכבודובברכה ד"ר רחל ארידור הרשקוביץ, ד"ר תהילהשוורץ אלטשולר התוכניתלדמוקרטיה בעידן המידע, המכון הישראלי לדמוקרטיה