טיוטת תקנות הגנת הפרטיות עלולה לפגוע בעיקרון השוויון ולהביא לזעם בציבור
חקיקת תיקון קצר, וחלקי, לחוק הגנת הפרטיות, שיעגן את "ארבע הזכויות" ביחס לכלל המידע האישי המצוי במאגרי מידע בישראל, היא דרך המלך שתמנע את שלילת מעמד הנאותות מישראל מחד גיסא, ומאידך תבטיח שלא ייצא מהכנסת מסר בעייתי שלפיו אזרחי ישראל שווים פחות מאזרחי האיחוד האירופי.
ביום 23.04.23 תדון ועדת החוקה, חוק ומשפט בטיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023 (להלן: "תקנות הגישור").
במסמך זה נבקש לעמוד על הקשיים המרכזיים הנלווים להתקנת תקנות הגישור בצורתן הנוכחית. זאת מבלי לחזור על מכלול טענותינו כפי שהוצגו במהלך תשעת החודשים האחרונים בתגובה לפרסום התקנות להערות הציבור בחודש יולי 2022 וכטיוטה בנובמבר 2022.[1]
בנוסף, נציע שני אפיקים חלופיים אשר ימנעו את התממשותה של הסכנה שבשלילת מעמד הנאותות שהוענק לישראל על ידי האיחוד האירופי ובד בבד פגיעתם בציבור האזרחים בישראל תהא פחותה: אפיק של חקיקה מהירה של ארבע זכויות פרטיות לכלל אזרחי ישראל ואפיק של העברת התקנות בהוראות שעה בלבד ותוך התליית המשך תוקפן בהעברת חוק פרטיות מעודכן.
השר מבקש להתקין את תקנות הגישור מכוח סעיף 36 ומכוח פסקה (2) להגדרת "מידע רגיש" שבסעיף 7 לחוק הגנת הפרטיות.[2] אולם, לדעתנו, נדרשת לכך חקיקה ראשית. זאת, ראשית, משום שהתקנות פוגעות בזכות לשוויון, שהיא זכות נגזרת של הזכות לכבוד האדם המנויה בחוק יסוד כבוד האדם וחירותו ועל כן נדרש חוק או הסמכה מפורשת בו כדי להעבירן. שנית, התקנות מהוות "הסדר ראשוני" המחייב חקיקה ראשית ולא קיימת הסמכה בחוק להעביר אותן בחקיקת משנה.
א. הפגיעה בזכות לשוויון
במכתבו של שר המשפטים נטען כי תקנות הגישור אמנם "עורכות השוואה בין קבוצות שונות", אולם אין מדובר בפגיעה בעיקרון השוויון, היוצרת הפליה בלתי מוצדקת בין קבוצות אוכלוסייה שונות, זאת משני טעמים:
האחד - ההבחנה אינה "נערכת ביחס לנושאי מידע בהתאם לאזרחותם, השתייכותם או זהותם, אלא היא נערכת ביחס למידע, בהתאם למקור שממנו הוא מגיע לישראל (בין אם המידע שמגיע מאירופה מתייחס לישראלים או לאזרחי מדינות אחרות)."[3]
נדמה שנימוק זה מבוסס על הגדרת תחולתו הטריטוריאלית של ה-GDPR כחל על כל נושא מידע הנמצא בתחומי האיחוד האירופי.[4] מטרת תחולה רחבה זו היא להבטיח סטנדרט הגנה אחיד לכל נושא מידע הנמצא באיחוד האירופי, ללא קשר לאזרחותו.[5] אולם, תקנות הגישור יוצרות מצב משפטי שונה שלא ניתן להשוותו למצב המשפטי שביקש ה-GDPR ליצור. הן אינן מיועדות ליצור סטנדרט משפטי אחיד לכל נושאי המידע המצויים בתחום השיפוט של המדינה המחוקקת אותן, ועל רקע זה יש לבחון את ההשוואה שהן יוצרות בין מידע המגיע משטח האזור הכלכלי האירופי לבין מידע שמקורו בישראל.
יתרה מכך, הטענה לפיה ההבחנה "אינה נערכת ביחס לנושא מידע בהתאם לאזרחותם, השתייכותם או זהותם, אלא היא נערכת ביחס למידע, בהתאם למקור שממנו הוא מגיע לישראל" אינה ברורה, או לכל הפחות אינה מדויקת. משתמע ממנה שתקנות הגישור מבקשות ליצור משטר הגנה שונה על "מידע" ולא על "אנשים", ולכן אין כאן פגיעה בזכויותיהם של אזרחי ישראל, אלא רק הבחנה בין סוגי מידע שונים לפי מקורם הגיאוגרפי. אולם, הניסיון ליצור הבחנה בין "מידע" לבין האדם שהמידע אודותיו, הוא "נושא המידע", חותר תחת התפיסה הבסיסית של הזכות לפרטיות במידע, משום שאין משמעות למונח "מידע פרטי" מבלי שיש פרט שאליו ניתן לייחס את המידע הזה.[6] מידע פרטי מעניק בפועל חלון לנפשו של נושא המידע, למחשבותיו הכמוסות, לדעותיו, אמונותיו, ולמצבו הבריאותי והכלכלי. מהות הזכות לפרטיות היא להגן על האוטונומיה של נושא המידע נוכח הסכנות שבשימוש לא ראוי בחלון זה לנפש. משכך, לא ניתן להבחין בין מידע אישי אודות אדם לבין האדם עצמו. נציין עוד שגם ה-GDPR, שנראה שעל הגדרת תחולתו נשענת הגדרת תחולת תקנות הגישור, אינו מבחין לעניין תחולתו בין מידע אישי לבין נושא המידע שעל אודותיו המידע. תחולת ה-GDPR מוגדרת ככוללת כל עיבוד מידע אישי של נושא מידע הנמצא בתחומי האיחוד האירופי.[7]
הטעם השני לעמדת משרד המשפטים לפיה אין תקנות הגישור פוגעות בעיקרון השוויון היא שאי התקנת התקנות תביא לאובדן מעמד הנאותות של ישראל, אך לא תביא לשינוי מהותי ביחס למידע המגיע מהאזור הכלכלי האירופי, שכן ממילא חלות עליו חובות הדומות לאלו המוצעות בתקנות הגישור, מכוח הוראות הדין האירופי לגבי העברת מידע למדינה ללא מעמד נאותות. לעומת זאת, החלת החובות המוצעות בתקנות הגישור גם על מידע שמקורו אינו מהאזור הכלכלי האירופי תביא לשינוי מהותי במצב המשפטי ביחס אליו, שכן בהיעדר הרחבת תחולת תקנות הגישור לא יוטלו ביחס עליו חובות כלשהן מכוח הדין האירופי. לפיכך, "קיים שוני רלוונטי בין מידע שמגיע מהאזור הכלכלי האירופי, לעומת מידע שמקורו בישראל או ממדינות שמחוץ לאזור הכלכלי האירופי." שוני זה נובע "מהמצב העובדתי והמשפטי השונה שייוצר אל מול הדין האירופי אם לא יותקנו התקנות המוצעות."[8]
ראשית, העובדה שמטרתן היחידה של תקנות הגישור היא שימור מעמד הנאותות של ישראל, אינה נוסחת קסם המצדיקה התעלמות מפגיעות אפשריות שיגרמו בעטיין. אכן, שימור מעמד הנאותות של ישראל חשוב מאין כמותו ויש לפעול להשגתו . אולם, יש לעשות זאת תוך מזעור הפגיעה האפשרית של תקנות הגישור ולא התעלמות ממנה. העובדה שממילא מידע שמקורו בישראל אינו נהנה מסטנדרט ההגנה האירופי אין בה כדי להכשיר שוני שמקורו עתה במחוקק הישראלי. תקנות הגישור במתכונתן הנוכחית יוצרות שוני בהתייחסות המשפטית של מדינת ישראל למידע שמקורו באזור הכלכלי האירופי לבין מידע שמקורו בישראל. ומאחר שהתייחסות למידע והגנה עליו היא בפועל הגנה על זכותו לפרטיות של נושא המידע, משמעות התקנת תקנות הגישור הנוכחיות היא הקניית זכויות יתר לנושאי מידע המצויים באזור הכלכלי האירופי לעומת אזרחי ישראל, נושאי מידע הנמצאים בישראל, שייאלצו להסתפק בסטנדרט הגנה נמוך ומיושן. כיום, בשל מעמד הנאותות הקיים, נהנים כולם מהגנה זהה הנובעת מן הדין הישראלי. אבל תקנות הגישור, המשקפות את עמדת האירופים לפיה הגנת הפרטיות בישראל הפכה לבלתי מספקת, ישנו את הסדר השוויוני הקיים.
ב. התקנות הן הסדר ראשוני
"כלל ההסדרים הראשוניים", שהינו הכלל הבסיסי והמקובל במשפט החוקתי הישראלי לעניין חלוקת הסמכויות שבין הכנסת ובין הממשלה, קובע כי "חקיקת משנה או אקטים אינדיווידואליים של המינהל [...] צריכים לקבוע הסדרי ביצוע (הסדרים משניים), ואילו המדיניות הכללית ואמות המידה העקרוניות (הסדרים ראשוניים) צריכים להיקבע בדבר חקיקה ראשי". כאשר מדובר בסוגייה המחייבת הסדר ראשוני, רשאי המחוקק הראשי להסמיך את הרשות המבצעת להסדירו, ובלבד שההסמכה לעשות כן היא מפורשת, ברורה וחד-משמעית.[9]
הטעם לכך נעוץ בעיקרו באופייה של הדמוקרטיה כדמוקרטיה ייצוגית, שבמסגרתה מתקבלות ההכרעות העקרוניות על ידי נבחרי העם, וכן החשיבות הגדולה שבהפרדת רשויות ומניעת ריכוז כוח רב בידי הרשות המבצעת.
בית המשפט העליון הציג מספר מאפיינים מרכזיים המסייעים להבחנה שבין הסדר ראשוני להסדר משני:[10]
- מידת ההשפעה של ההסדר המבוקש על הציבור בישראל. הסדר מצומצם ונקודתי עשוי להיחשב הסדר משני, בעוד שהסדר שיש בו כדי להשפיע על קבוצה גדולה של אזרחים הוא הסדר ראשוני.
- תכליתו של ההסדר המבוקש. אם תכלית ההסדר שנויה במחלוקת, הנטייה תהיה לראות בהסדר הסדר ראשוני שיש להסדירו בחקיקה ראשית.
- עלותו של ההסדר.
- דחיפותו של ההסדר. במסגרת זה יש לבחון אם מדובר בנושא שעל הממשלה להסדירו בדחיפות, בהיותה הרשות המבצעת של המדינה, או שמדובר בקביעתה של מדיניות ארוכת-טווח, כשבמקרה זה יש חשיבות לדיון מעמיק בנושא בכנסת.
בחינת מאפיינים אלה ביחס להסדר שמבקשות תקנות הגישור להסדיר מובילה לטעמנו למסקנה שמדובר בהסדר ראשוני שיש להסדירו בחקיקה ראשית. אמנם, תכלית ההסדר – שמירת מעמד הנאותות של ישראל – חשובה ואינה שנויה במחלוקת, אבל ההסדר המבוקש משפיע על ציבור רחב ודחיפותו מגיעה בשל מחדל מתמשך של היעדר עדכון חקיקת הפרטיות בישראל. נסביר:
- ההסדר המבוקש בתקנות הגישור משפיע על ציבור רחב. תקנות הגישור מעניקות זכויות לנושאי מידע שהמידע על אודותיהם מגיע מהאזור הכלכלי האירופי. אולם, אין בתחולה מצומצמת זו כדי לצמצם את השפעתן על כלל אזרחי מדינת ישראל. נושאי מידע, שמידע אודותיהם מקורו בישראל, אינם זכאים לאותם זכויות. אלו האחרונים נשארים נתונים להגנה מצומצמת וארכאית של חוק הגנת הפרטיות הקיים, שמשרד המשפטים עצמו הכיר והודה בצורך ההכרחי לתקנו ובמהרה,[11] ועצם הדרישה האירופית להתקין את תקנות הגישור מאששת זאת. העובדה שגם עכשיו אין לנושאי מידע מישראל את זכויות היתר הללו, אין בה כדי לאיין את השפעת ההסדר המבוקש בתקנות הגישור עליהם. להפך, יש בה כדי לחזק את המסקנה הקשה שלפיה אזרחי המדינה זכאים להגנה פחותה מזו שהמדינה עצמה מבינה שעליה להעניק לאחרים.
- תכליתו של ההסדר שנויה במחלוקת, יש בה כדי לפגוע בעקרון השוויון ולהביא לזעם בציבור. תכלית תקנות הגישור היא ליצור הבחנה על בסיס מוצא גיאוגרפי בין מי שמידע אודותיו מגיע מהאזור הכלכלי האירופי לבין מי שמידע אודותיו מקורו בישראל. בפועל תקנות הגישור מהוות עיגון זכויות יתר בחקיקת משנה לנושאי מידע על בסיס מוצאם הגיאוגרפי לעומת היעדר עיגון זהה לנושא מידע מישראל. תכלית זו תוביל לזעם ומרמור בקרב הציבור בישראל. זאת בעיקר נוכח העובדה שהמדינה הכירה מספר פעמים בצורך לשפר את הגנת הפרטיות של אזרחי ישראל גם כן,[12] אך לא עשתה זאת עד כה. ועתה, מעניקה זכויות יתר רק למי שמידע אודותיו מגיע מהאזור הכלכלי האירופי מבלי לנקוט כל פעולה על מנת לשפר את הגנת הפרטיות הארכאית המוענקת לאזרחי ישראל.
- אין די בדחיפות הצורך להבטיח את שימור מעמד הנאותות כדי להכשיר חקיקה בהיעדר סמכות, נוכח המחדל בעדכון חוק הגנת הפרטיות ונוכח קיומן של חלופות סבירות אחרות. אכן, קיימת דחיפות לחוקק את ההסדר המוצע בתקנות הגישור נוכח הסכנה שבביטול מעמד הנאותות. אולם, בשנים האחרונות הציג משרד המשפטים תמונה שלפיה בכוונתו להניח על שולחן הכנסת הצעה מקיפה לתיקון מהותי ומשמעותי לחוק הגנת הפרטיות (מה שכונה – תיקון 15), זאת לצד הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב – 2022 (להלן: "תיקון 14"), עליה הוחל לאחרונה דין רציפות. כך, בדברי ההסבר לתיקון 14 נאמר באופן מפורש כי:
"להשלמת התמונה יצוין כי בכוונת משרד המשפטים לפרסם תזכיר חוק נוסף שישלים את מהלך התיקון המהותי הנדרש לשם עדכון החוק הקיים והתאמתו למציאות בת זמננו. תיקון זה צפוי לכלול סוגיות מהותיות כגון הרחבה של הבסיסים המשפטיים המותרים לעיבוד מידע, מעבר להסכמה והסכמה בחיקוק, הרחבה ועדכון של רשימת הזכויות המוקנות לנושאי המידע והסדרים המשקפים אחריותיות של בעל שליטה במאגר ומחזיק."[13]
לצערנו, עד כה לא הוצגה אפילו טיוטה להצעת חוק זו, וחוק הגנת הפרטיות החל על נושאי מידע מישראל נותר מיושן, לא מעודכן ולא מותאם למציאות הדינמית הדיגיטלית בת ימינו. השלכותיהן של תקנות הגישור צריכות להיבחן על רקע נסיבות אלו.
איננו מתעלמות מן הצורך הבוער לעגן את הסדר המוצע בתקנות הגישור כדי לנסות ולממש את התנאים הנדרשים לצורך שימור מעמד הנאותות. די אם נציין את המשבר בעולם ההייטק כדי להבין שבעת הזאת לא כדאי להטיל מגבלות נוספות על תעשייה חשובה זו.
מצד שני, חובה לזכור כי החשש מפני איבוד מעמד הנאותות אינו עומד בחלל ריק. הוא נובע בראש ובראשונה מן המחדל המשמעותי באי הצגת כל נוסח לתיקון מהותי לחוק הגנת הפרטיות, שהולך ונמשך במשך שנים ארוכות. זאת, בנוסף, כאמור, לפגיעה שהתקנות יוצרות בעיקרון השוויון והיעדר ההסמכה המספקת למחוקק המשנה לעגן הסדר שהוא הסדר ראשוני, בתקנות. לכן, על מנת להתמודד עם דחיפות זו יש לדעתנו לנקוט חלופות אחרות.
לאור האמור לעיל אנו מציעות לבחור באחת משתי האפשרויות הבאות:
א. קביעת התקנות לתקופה מוגבלת כהוראת השעה
בהתאם לחלופה זו יועברו תקנות הגישור כהוראת שעה לחצי שנה, עם אפשרות להאריכה פעם נוספת אחת בלבד, לחצי שנה נוספת. תחולת התקנות כהוראת שעה תותנה בפרסום תזכיר תיקון 15 ביום אישור הוראת השעה או במועד סמוך שהוועדה תמצא לנכון. הארכת הוראת השעה בחצי שנה נוספת תותנה בהחלתו של דיון משמעותי בתיקון 15 בוועדה.
חלופה זו של קביעת תקנות הגישור כהוראת שעה עולה בקנה אחד עם הבחינה העיתית ממילא של מעמד הנאותות המוענק לכל מדינה על ידי נציבות האיחוד האירופי. מעמד הנאותות אינו על-זמני, אלא קיימות הוראות ברורות ב-GDPR המחייבות את הנציבות האירופית לבחון מחדש, מדי ארבע שנים לפחות, את התאמתם של דיני הגנת הפרטיות בכל מדינה שזכתה בעבר להכרה בנאותות דיניה.[14]
ב. עיגון הזכויות המוצעות בתקנות הגישור בחקיקה ראשית קצרה ומהודקת
תקנות הגישור מציעות לעגן ארבע זכויות מהותיות (זכות המחיקה, דרישת הנחיצות, דרישת דיוק המידע, וחובת ההודעה, להלן: "ארבע הזכויות") שאינן מעוגנות בחוק הגנת הפרטיות הישראלי הנוכחי. המדובר בזכויות שממילא, בקונסטלציה כזו או אחרת, יעוגנו בעתיד בתיקון המהותי המיוחל לחוק הגנת הפרטיות. יתרה מכך, לפי נוסח תקנות הגישור חברות שיש ברשותן מאגר מידע אחד, ויתקשו להבחין בין פרטי מידע לפי מוצאם הגיאוגרפי, יידרשו להחיל את התקנות על כל מאגר המידע שברשותן. במכתבו של שר המשפטים נכתב, שבחישוב עלות מול תועלת, עלות ההחלה של "ארבע הזכויות" על כל המאגר מצדיקה את התועלת שבמניעת איבוד מעמד הנאותות מישראל על השלכותיו הכלכליות.[15]
משכך, נראה כי חקיקת תיקון קצר, וחלקי, לחוק הגנת הפרטיות, אשר יעגן את "ארבע הזכויות" ביחס לכלל המידע האישי המצוי במאגרי מידע בישראל, היא דרך המלך אשר תמנע את שלילת מעמד הנאותות מישראל מחד גיסא, ותבטיח שלא יצא מכנסת ישראל מסר בעייתי שלפיו בעיני המחוקק הישראלי אזרחי ישראל שווים פחות מאזרחי האיחוד האירופי.
לפי חלופה זו, לצד תיקון חוק הגנת הפרטיות ועיגון "ארבע הזכויות", יותקנו תקנות גישור קצרות אשר יאסדרו את העניינים הייחודיים לדרישות האיחוד האירופי בנושא הגדרת פרטי מידע רגיש. זאת מאחר שהצעה לתיקון להגדרת מידע רגיש כלולה בתיקון 14, עליו הוחל דין רציפות ויש להניח כי הנושא ידון במלואו בוועדת החוקה, חוק ומשפט עם התחלת הדיונים בנושא. נציין כי בהיעדר שקיפות בנוגע לדרישות נציבות האיחוד האירופי מישראל במהלך המשא ומתן עמה לשימור מעמד הנאותות, לא התייחסנו לתיקונים שהוצעו בתקנות הגישור בנוגע לחריג גופי הביטחון (תקנה 2 לתקנות הגישור), מתוך הנחה שחריג גופי הביטחון הקיים בחוק הגנת הפרטיות היום עשוי לענות על דרישות הנציבות האירופית לעת עתה.[16]
נוכח הדחיפות שבהצגת מתווה חקיקתי ראוי על מנת למנוע שלילת מעמד הנאותות לישראל צירפנו למכתבנו הצעת חוק ברוח זו אשר גוזרת את הזכויות המתאימות מתקנות הגישור. שוב נציין שהערותינו באשר לנוסח הוראות הסעיפים עומדות בעינן ופורטו בחוות דעתנו הקודמות בנושא.[17]
סיכום
תקנות הגישור מבקשות ליצור משטר פרטיות שונה, תואם ל-GDPR, אך ורק ביחס למידע אישי המגיע מהאזור הכלכלי אירופי. זאת בעוד שמידע שמקורו בישראל, דהיינו מידע על אזרחי ישראל אינו זוכה להגנה דומה. המדובר ביצירת משטר משפטי שונה להגנת הפרטיות על בסיס מוצא גיאוגרפי. חקיקתן מהווה אמירה ברורה של כנסת ישראל לפיה אזרחי ישראל אינם שווי מעמד לאזרחי אירופה.
מעמד הנאותות של הדין הישראלי למול אירופה יושג, לדעתנו, אך ורק בדרך המלך: הליך חקיקה בהיר של חוק הגנת פרטיות שלם ומעודכן, כפי שאנו חוזרות ומציעות מזה זמן. לחילופין, כאמצעי זמני, ונוכח המחיר הכבד הצפוי לחברות ישראליות במידה שיישלל מעמד הנאותות, מחיר שהן יישאו בו על לא עוול בכפן, יש לבחון הרחבת תחולת תקנות הגישור גם על מידע שמקורו בישראל באמצעות תיקון חוק הגנת הפרטיות בחקיקה ראשית. לחילופין, אנו מציעות להתקין את תקנות הגישור כהוראת שעה לחצי שנה, עם אפשרות הארכה לחצי שנה נוספת בלבד. אנו מציעות עוד כי תחולת התקנות תותנה בפרסום תזכיר תיקון 15 ביום אישור הוראת השעה בוועדת חוקה או במועד סמוך שייקבע.
נשמח לעמוד לרשותכם בכל עניין שיידרש.
מצ"ב:
- נספח א': הצעתנו לנוסח של תיקון לחוק הגנת הפרטיות (תיקון מס' ___), התשפ"ג – 2023, המבוסס על נוסח תקנות הגישור.
- נספח ב': הצעתנו לנוסח תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023 המבוסס על נוסח תקנות הגישור.
- נספחים ג',ד': חוות דעתנו הקודמות בעניין תקנות הגישור.
טיוטת הצעת חוק הגנת הפרטיות (תיקון מס' _) התשפ"ג 2023[18]
הוספת סעיפים 14א – 14ד |
1. |
בחוק הגנת הפרטיות, התשמ"א-1981[19] (להלן החוק העיקרי), אחרי סעיף 14 לחוק העיקרי יבוא - |
||
|
|
חובת מחיקת מידע |
14א |
(א) בעל מאגר מידע ימחק מידע לבקשתו הכתובה של נושא המידע בהתקיים אחד מאלה: |
|
|
|
|
(1) המידע נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות דין; |
|
|
|
|
(2) המידע אינו נחוץ עוד למטרות שלשמן נוצר, נתקבל, נצבר או נאסף. |
|
|
|
|
(ב) על אף האמור בסעיף קטן (א), בעל מאגר מידע רשאי לסרב לבקשת מחיקה אם מצא כי השימוש במידע הוא לצורך אחד מאלה, וזאת בהיקף הנחוץ והמידתי לאותו צורך: |
|
|
|
|
(1) מימוש חופש הביטוי, לרבות זכות הציבור לדעת; |
|
|
|
|
(2) מילוי חובה חוקית או ביצוע סמכות על פי דין; |
|
|
|
|
(3) הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי;
|
|
|
|
|
(4) ניהול הליך משפטי או גביית חובות; |
|
|
|
|
(5) מניעת הונאה, גניבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו; |
|
|
|
|
(6) מימוש חובות הנובעות מהסכם בין-לאומי שממשלת ישראל היא צד לו. |
|
|
|
|
(ג) התקבלה בקשה כאמור בסעיף קטן (א) ומצא בעל מאגר המידע כי לא מתקיימים החריגים כאמור בסעיף קטן (ב), ימחק את המידע שבשליטתו, או יבצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע. (ד) בעל מאגר מידע יודיע בכתב לנושא המידע על החלטתו בבקשה, במועד המוקדם האפשרי בנסיבות העניין. |
|
|
הגבלת החזקת מידע שאינו נחוץ |
14ב. |
(א) בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן – מידע שאינו נחוץ). |
|
|
|
|
(ב)מצא בעל מאגר מידע, בין היתר, על סמך המנגנון האמור בסעיף קטן (א), כי במאגר המידע מוחזק מידע שאינו נחוץ, ימחק את המידע האמור במועד המוקדם האפשרי בנסיבות העניין. |
|
|
|
|
(ג) חובה כאמור בסעיף קטן (ב) לא תחול, אם בוצעו לגבי המידע האמור פעולות המבטיחות שלא יתאפשר באמצעים סבירים לזהות את נושא המידע, או אם השימוש במידע הוא לצורך אחד מאלה, וזאת בהיקף הנחוץ והמידתי לאותו צורך: |
|
|
|
|
(1) מימוש חופש הביטוי לרבות זכות הציבור לדעת; |
|
|
|
|
(2) הגנה על עניין ציבורי, לרבות למטרות ארכוב, מחקר מדעי או מחקר סטטיסטי; |
|
|
|
|
(3) ניהול הליך משפטי או גביית חובות; |
|
|
|
|
(4) מניעת הונאה, גניבה, או מניעת פעולות אחרות שעלולות להשפיע על דיוק המידע או מהימנותו; |
|
|
|
|
(5) מימוש חובות הנובעות מהסכם בין-לאומי שממשלת ישראל היא צד לו. |
|
|
חובת דיוק מידע |
14ג |
(א) בעל מאגר מידע יפעיל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן |
|
|
|
|
(ב)מצא בעל מאגר מידע, בין היתר, על סמך המנגנון האמור בסעיף קטן (א), כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, ינקוט אמצעים סבירים בנסיבות העניין לצורך תיקון או מחיקת המידע. |
|
|
חובת יידוע |
14ד. |
(א) בעל מאגר מידע שקיבל מידע אודות אדם, יודיע לו, במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע, ככל האפשר בסמוך לאחר קבלת המידע ולכל המאוחר תוך חודש ממועד קבלת המידע, על כל אלה: |
|
|
|
|
(1) זהות בעל מאגר המידע ומנהל המאגר, מענם ודרכי ההתקשרות עמם; |
|
|
|
|
(2) מטרת העברת המידע; |
|
|
|
|
(3) סוג המידע שהועבר; |
|
|
|
|
(4) קיומה של זכות מחיקה לפי סעיף 14א, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק. |
|
|
|
|
(ב)ביקש בעל מאגר מידע להעביר את המידע שקיבל לצד שלישי, יודיע במישרין או בעקיפין באמצעות הגורם שממנו הועבר המידע מהאזור הכלכלי האירופי, לנושא המידע, מוקדם ככל האפשר, ולכל המאוחר עם העברת המידע, על כל אלה: |
|
|
|
|
(1) זהות ופרטי ההתקשרות של הצד שלישי או סוג הגורמים השלישיים אליהם יועבר המידע; |
|
|
|
|
(2) מטרת העברת המידע; |
|
|
|
|
(3) סוג המידע שיועבר; |
|
|
|
|
(4) קיומה של זכות מחיקה לפי סעיף 14א, זכות עיון במידע לפי סעיף 13 לחוק וזכות לתיקון מידע לפי סעיף 14 לחוק. |
|
|
|
|
(ג) חובת היידוע כאמור בסעיף קטן (א) או (ב) לא תחול בהתקיים אחד מאלה, וזאת בהיקף הנחוץ והמידתי בשים לב לנסיבות העניין: |
|
|
|
|
(1) לבעל מאגר המידע יש יסוד סביר להניח שפרטי המידע הכלולים בסעיף קטן (א) או (ב) ידועים לנושא המידע; |
|
|
|
|
(2) פרטי ההתקשרות של נושא המידע אינם ידועים לבעל מאגר המידע, או שיישום חובת היידוע כרוך בהכבדה בלתי סבירה על בעל מאגר המידע, והכל בשים לב לאפשרות להיעזר בגורם שממנו הועבר המידע; |
|
|
|
|
(3) קיומה של חובת סודיות בדין או איסור בדין על גילוי המידע; (4) קיומה של הוראה בדין המסדירה את גילוי פרטי המידע המפורטים בסעיף קטן (א) או (ב); |
|
|
|
|
(5) מימוש חובת היידוע עלול לפגוע בשלומו או בחייו של אדם; |
|
|
|
|
(6) מימוש חובת היידוע עלול לפגוע בפעילות עיתונאית או לחשוף את מקור המידע של פעילות עיתונאית; |
|
|
|
|
(7) מימוש חובת היידוע יפגע בזכויותיו של אדם במידה העולה על הפגיעה הנובעת מאי גילוי פרטי המידע לפי סעיף קטן (א) או (ב) בנושא המידע. |
טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023
|
|
בתוקף סמכותי לפי פסקה (2) להגדרה "מידע רגיש" שבסעיף 7 ולפי סעיף 36 לחוק הגנת הפרטיות, התשמ"א-1981[20] (להלן-החוק), ובאישור ועדת החוקה חוק ומשפט של הכנסת, אני מתקין תקנות אלה: |
||
הגדרות |
1. |
בתקנות אלה – "האזור הכלכלי האירופי "- מדינות החברות באיחוד האירופי וכן איסלנד, נורבגיה וליכטנשטיין; "נושא המידע" – כהגדרתו בתקנות אבטחת מידע; "תקנות אבטחת מידע" -תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 [21]. |
||
מידע רגיש |
2. |
מידע המצוי במאגר מידע בישראל אשר הועבר מהאזור הכלכלי האירופי בעניינים המפורטים להלן, הוא מידע רגיש לפי סעיף 7 לחוק: |
||
|
|
|
(1) מידע על מוצאו של אדם; |
|
|
|
|
(2) מידע על חברות בארגון עובדים. |
|
___ ב________ התש_______ (___ ב________ ____20)
[תאריך עברי] ([תאריך לועזי]
(חמ __3047___-3)
__________________[חתימה]
נספחים ג',ד' – מכתבינו הקודמים לוועדה
10 יולי 2022
לכבוד,
מר גדעון סער, שר המשפטים
ח"כ גלעד קריב, יו"ר וועדת חוקה, חוק ומשפט של הכנסת
עו"ד אביחי כהנא, ראש מטה המנהל הכללי, משרד המשפטים
עו"ד גלי ברהב מיארה, היועצת המשפטית לממשלה
עו"ד אביטל סומפולינסקי, משנה ליועמ"ש (ציבורי חוקתי)
עו"ד אייל זנדברג, ראש תחום משפט ציבורי, מחלקת ייעוץ וחקיקה
עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות
משרד המשפטים
באמצעות הדוא"ל
א.ג.נ.,
הנדון: תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל ממדינה החברה באיחוד האירופי), התשפ"ב – 2022
ביום 05.07.22 העביר משרד המשפטים מצע לדיון בתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל ממדינה החברה באיחוד האירופי), התשפ"ב – 2022 (להלן: "מצע לדיון"). המצע לדיון מפרט את כוונת משרד המשפטים להתקין את תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל ממדינה החברה באיחוד האירופי), התשפ"ב – 2022 (להלן: "תקנות הגישור") במטרה לנסות ולהאריך את הכרת האיחוד האירופי בתאימות (adequacy) דיני הגנת הפרטיות בישראל לתקנות הגנת הפרטיות של האיחוד (ה-GDPR).[22]
המצע לדיון ותקנות הגישור מעוררים שאלות קשות וחששות אמיתיים כפי שיפורט להלן. בקצרה, נאמר שהבחירה בדרך של תקנות מעוררת ספק לגבי ההסמכה החוקית שלהן; התקנות יוצרות משטר פרטיות מפלה במפגיע בין אזרחי מדינת ישראל לאזרחי האיחוד; ובנוסף, התקנות לא יספיקו כדי להשיג את התאימות הנדרשת בשל כך שהן חלקיות ומצד אחר יצרו אפקט כדור שלג מול משטרים שאינם באיחוד האירופי.
להלן נפרט את הטענות:
1. חשיבות הכרת האיחוד האירופי בתאימות הדין בישראל
כפי שמסביר, ובצדק, משרד המשפטים במצע לדיון, להכרת האיחוד האירופי בתאימות הדין בישראל ל-GDPR יש "משמעות כלכלית נרחבת למשק הישראלי, וכן חשיבות גדולה בהיבטי יחסי החוץ של מדינת ישראל".
בהיעדר הכרה כאמור יוטל על גורמים עסקיים ומסחריים בישראל "נטל משמעותי ומכביד".[23] אלה יידרשו להשקיע סכומים נכבדים בהבטחה שכל העברת מידע אישי מהאיחוד האירופי לישראל נעשית בהתאם לחוזים לדוגמה (Standard Contractual Clauses, "SCCs"), שנוסחם זכה לאישור האיחוד האירופי.[24]
יתרה מכך, ה-SCCs עלולים להתגלות כמשענת קנה רצוץ. זאת נוכח הנטייה הגוברת של נציבויות הפרטיות במדינות האיחוד, כפי שניתן ללמוד מהחלטות הנציבויות במספר מדינות ביחס לשימוש בנעשה ב-Google Analytics, להקשיח את דרישותיהם ביחס להעברת מידע אישי לחברות המצויות במדינות שלא זכו להכרה בתאימות.[25] לפיכך, יתכן אף שחברות ישראליות יאבדו הזדמנויות עסקיות, שכן חברות אירופיות יעדיפו להעביר מידע אישי לחברות המצויות במדינות שיש הכרה בתאימותן.
2. סכנת איבוד התאימות היתה ידועה זה שנים
הסכנה שבהיעדר תאימות למדינת ישראל אינה הפתעה. היא היתה ידועה כבר זה שש שנים. ה-GDPR, שהציג סטנדרט הגנת פרטיות שונה וגבוה יותר מזה הנהוג בישראל, התקבלו כבר בשנת 2016, ונכנסו לתוקפן בשנת 2018. המכון הישראלי לדמוקרטיה פרסם, כבר בקיץ 2019, קריאה מפורטת לעדכן את חוק הגנת הפרטיות הישראלי על מנת להימנע מהתממשותה של הסכנה שבאי הכרת האיחוד האירופי בתאימות חוק הגנת הפרטיות הישראלי המיושן.[26]
יתרה מכך, עם תחילת הדיונים בוועדת החוקה, חוק ומשפט בכנסת הנוכחית על תיקון 14 לחוק הגנת הפרטיות,[27] ניסה יו"ר הוועדה, ח"כ גלעד קריב, לגבש מתווה, באמצעות הצעת חוק פרטית שהגיש בנושא, לשלב בתיקון 14 גם תיקון שיוביל לסטנדרט הגנת פרטיות ראוי לתושבי המדינה ולהגדלת הסיכוי להכרה בתאימות הדין בישראל לזה שבאיחוד.[28] אולם, ניסיונו זה לא צלח.
על אף כל זאת, הדיונים האחרונים בוועדת חוקה, בחודשים אפריל ומאי 2022, עסקו בתיקון 14, הצעה לתיקון חוק הגנת הפרטיות שנכתבה, רובה ככולה, אי אז בשנת 2011,[29] עודכנה קלות בלבד ולא כללה הוראות משמעותיות שיש בהן כדי להביא למודרניזציה של חוק הגנת הפרטיות הישראלי המיושן ולהגברת הסיכוי להכרה בתאימות הדין בישראל.
3. תקנות הגישור לא יביאו בהכרח להכרה בתאימות
תקנות הגישור לוקות במספר חסרונות מרכזיים, שיש בהם כדי לפגוע בסיכוי להארכת ההכרה האירופית בתאימות הדין בישראל:
חלק א. תחולה רק על בעל מאגר מידע
בהתאם למפורט במצע לדיון, תקנות הגישור מחילות חובות רק על בעל מאגר מידע. תפקיד שניתן, בהסתייגויות מסויימות,[30] להקבילו ל-controller ב-GDPR.[31] ואולם, מרבית הגופים הישראלים, המקבלים מידע אודות נושאי מידע תושבי האיחוד האירופי, מתפקדים כ"processor",[32] שניתן להקבילו להגדרת "מחזיק" בחוק הגנת הפרטיות.[33] כלומר, תקנות הגישור כלל לא יחולו, ולא יביאו לשינוי המצב המשפטי, ביחס למרבית הגופים בישראל המקבלים מידע אישי על נושאי מידע אירופים. מיעוט הגופים הישראלים שמועבר אליהם מידע אישי על נושאי מידע מהאיחוד האירופי ומתפקדים כ"controller", ממילא פועלים ומחויבים לפעול לפי הוראות ה-GDPR. בנסיבות אלו, מתעוררת השאלה האם הפגיעה המתוארת להלן[34] בזכות היסוד לפרטיות ובעיקרון השוויון מוצדקת?
חלק ב. מרחק רב בין תקנות הגישור ודרישות האיחוד האירופי להכרה בתאימות
האיחוד האירופי פרסם רשימה מפורטת למדי של דרישות להכרה בתאימות הדין המקומי לזה הנהוג באיחוד.[35] התקנות המוצעות עומדות רק בחלק מדרישות אלו ואינן מתייחסות לנושאים מרכזיים אחרים, כגון אלו:
- תנאים לעיבוד מידע אישי באופן חוקי, הוגן ולגיטימי לבד מהסכמת נושא המידע.[36]
- זכות נושא המידע להתנגד לעיבוד מידע אישי אודותיו, בכל עת, מטעמים לגיטימיים ומשכנעים הנוגעים למצבו הספציפי בתנאים מסוימים.[37]
- קבלת החלטות אוטומטית ופרופיילינג שיש להם השפעה משמעותית על נושא המידע צריכה להיעשות לפי תנאים מיוחדים.[38]
- והפיל הגדול בחדר – במסגרת בחינת מידת התאימות של הדין המקומי במדינה זרה ל-GDPR, נבחנת גם מידת הפגיעה בזכות לפרטיות עקב עיבוד מידע אישי על ידי גופי ביטחון. זאת בעקבות פסק הדין של בין הדין לצדק של האיחוד האירופי בפרשת שרמס I. שם נפסק כי על הדין המקומי להיות "שווה ערך במהותו" ל-GDPR. הובהר שעל המדינה הזרה לספק רמת הגנה זהה במידה מספקת לזו הנהוגה באיחוד.[39]
לפי ה-GDPR, עיבוד מידע אישי באופן הפוגע בזכויות בסיסיות, בעיקר הזכות לפרטיות, חייב להיעשות לפי בסיס משפטי ברור - כללים ברורים, מדויקים וזמינים, לפי מבחן הנחיצות להגשמת המטרות האובייקטיביות של עיבוד המידע ובאופן מידתי בלבד, תוך מתן סעד אפקטיבי וזמין לנושא המידע הנפגע עקב עיבוד המידע האישי אודותיו וכן יש צורך בפיקוח חיצוני על עיבוד המידע.[40]
בית הדין לצדק של האיחוד האירופי פסל פעמיים, בפרשת שרמס I בשנת 2015[41] ושנית בשנת 2020,[42] את ההכרה האירופית בתאימות הדין בארה"ב בדיוק בגלל הפגיעה במידע אישי אודות אזרחי אירופה על ידי גופי ביטחון בארה"ב.
ביפן, למשל, התחייבה הממשלה, כתנאי להכרה בתאימות הדין היפני ל-GDPR, להגביל את גישת רשויות ציבור למידע אישי על נושאי מידע מהאיחוד האירופי למטרות אכיפת הדין הפלילי ולצורכי ביטחון המדינה, לפי מבחן נחיצות ומידתיות ולהכפיפה לביקורת חיצונית ולמנגנון פיצוי יעיל.[43]
ואצלנו בישראל, סעיף 19(ב) לחוק הגנת הפרטיות וסעיף 8(א)(1) לחוק שירות הביטחון הכללי, תשס"ב – 2002 (להלן: "חוק השב"כ"), מעניקים לרשויות ביטחון פטור רחב מאחריות בגין פגיעה בפרטיות. סעיפי פטור אלו אינם עומדים כלל בדרישות האיחוד האירופי. לפיכך, אף אם האיחוד האירופי יכיר בתאימות הדין בישראל לזו הנהוגה באיחוד האירופי, כלל לא בטוח שההכרה בתאימות תעמוד במבחן בית הדין לצדק של האיחוד האירופי.[44]
בשיחת הזום ביום 07.07.22 הבהירו נציגי הרשות להגנת הפרטיות ומשרד המשפטים כי הם מודעים לפערים אלה, אבל מבקשים להביא את תקנות הגישור לאישור במהירות. זאת משום שנציגי האיחוד האירופי הבהירו להם, שבהיעדר החובות המוצעות בתקנות הגישור, תבוטל ההכרה בתאימות. בנסיבות אלה, הצגת תקנות הגישור כפלסטר הכרחי להכרה בתאימות היא הצגה חלקית שיש בה בעיקר אחיזת עיניים. יש לפרוש בפני הציבור וכנסת ישראל את הפערים עליהם עומדים נציגי האיחוד האירופי במשא ומתן בנוגע להכרה בתאימות ולהביא לפתרון מהיר ויחיד של כל אלו במאוחד.
4. אפקט הדומינו של תקנות הגישור
תקנות הגישור מבקשות ליצור משטר משפטי שונה ביחס למידע אישי המועבר לישראל משטח מדינה החברה באיחוד האירופי, לרבות משטח מדינות EEA – נורבגיה, ליכטנשטיין ואיסלנד.[45]
ואולם, סוגיית ההגנה על הזכות לפרטיות במידע היא חוצת גבולות. מידע, על שלל סוגיות ואופני הצגתו, מועבר על גבי רשת האינטרנט ללא הגבלה גיאוגרפית כזו או אחרת. עיבוד מידע אישי, שמקורו בנושאי מידע במדינה זרה, יכול שיעשה בישראל ולהיפך. עם חקיקת ה-GDPR החלה מגמה כלל עולמית של התאמת הדינים המקומיים במדינות האיחוד האירופי ומחוצה לו ל-GDPR. זאת על מנת להבטיח שהשוק האירופי לא יהיה חסום בפני התעשייה המקומית בכל מדינה, ולהקנות לחברות מקומיות בסיס שווה לתחרות בשווקי המידע, שהם שווקים בינלאומיים והגלגלים העיקריים להנעת כלכלת העולם כיום. עד כה, 12 מדינות מחוץ לאיחוד האירופי ובהן אנגליה, ברזיל, קנדה, צ'ילה, הודו, יפן, ניגריה, דרום קוריאה, שוויץ, תאילנד, טורקיה, והמדינות קליפורניה וניו יורק שבארה"ב ביצעו או מבצעות שינוי חקיקה מקיף על מנת להתאים היבטים מרכזיים בחקיקת הגנת הפרטיות המקומית לזו האירופית.
יתרה מכך, גם מדינות שאינן חברות באיחוד האירופי, אולם החזיקו במשטר הגנת פרטיות מודרני ודומה במהותו ל-GDPR, נשענו על ההכרה האירופית בתאימות הדין בישראל על מנת לבצע עסקות עם גופים ישראלים ולאשר העברת מידע אישי אודות אזרחיהם לישראל. במידה שתקנות הגישור יתקבלו, ידעו מדינות אלו שהגנת הפרטיות הנאותה לשיטתם מוגבלת, לפי תקנות הגישור, רק לאזרחי האיחוד האירופי וה-EEA. התוצאה תהיה שחברות ממדינות אלו, למשל אנגליה, שוויץ, קנדה ואחרות, יסרבו להעברת מידע אודות אזרחים לישראל בהיעדר הגנה מתאימה. ומה אז? האם הפתרון מצד משרד המשפטים הוא חקיקה תלוית מוצא גיאוגרפי? האם אנו צפויים לשורת תקנות גישור המותאמות לנושאי מידע בכל מדינה זרה לצד חוק הגנת פרטיות מיושן ורז לילידים הישראלים?
5. משטר הגנת פרטיות שונה לילידים ולאזרחי היבשת - פגיעה חמורה בזכות היסוד לפרטיות
זכות היסוד לפרטיות מעוגנת בסעיף 7 לחוק יסוד: כבוד האדם וחירותו ופגיעה בה יכול שתעשה רק בהתאם לפסקת ההגבלה. תקנות הגישור יוצרות משטר משפטי שונה המעניק הגנה רחבה יותר לזכות לפרטיות לנושאי מידע ממדינות האיחוד האירופי לעומת נושאי מידע מישראל. אף שתכלית שימור ההכרה בתאימות הדין בישראל ל-GDPR היא חשובה וראויה, נתקשה לראות כיצד עומדות תקנות הגישור בדרישות פסקת ההגבלה. זאת בעיקר נוכח העובדה שתקנות הגישור אינן מבטיחות כלל הכרה בתאימות,[46] ופוגעות בעיקרון השוויון לרעת כלל תושבי מדינת ישראל.
6. סמכות התקנת התקנות והרחבתן לכלל תושבי המדינה
תקנות הגישור מותקנות מכוח סעיף 36 ומכח פסקה (2) להגדרת "מידע רגיש" שבסעיף 7 לחוק הגנת הפרטיות. בית המשפט העליון קבע מספר מבחנים לשאלה האם דבר חקיקה הוא הסדר "ראשוני" המחייב חקיקה ראשית.[47] אף שיש צורך דחוף בהתקנת תקנות הגישור על מנת לנסות ולהאריך את ההכרה האירופית בתאימות הדין בישראל, ותכלית התקנות מצומצמת ונקודתית, הרי שמדובר בתכלית העלולה לעורר זעם ומרמור בקרב חלקים נרחבים בעם, כלל אזרחי המדינה בישראל שאינם זוכים להגנת פרטיות הולמת, כפי שמשתמע מהצורך להתקין את תקנות הגישור, ויש בתקנות כדי להביא לפגיעה משמעותית בזכות היסוד של אזרחי המדינה לפרטיות. משכך, לא ברור כלל שתקנות הגישור, בניסוחן הנוכחי, ניתנות לאסדרה שלא בחקיקה ראשית.
בנוסף, מדברי נציגי משרד המשפטים, הם עובדים, כבר כמה שנים, על תיקון מהותי לחוק הגנת הפרטיות בישוע בכינויו "תיקון 15". תיקון 15 יביא, לפי הדיווחים, למודרניזציה של חוק הגנת הפרטיות המיושן ויכלול תיקונים משמעותיים לזכויות מהותיות. כלומר, חלק, ואולי אף עיקר העבודה הנדרשת לתיקון חוק הגנת הפרטיות, כבר נעשתה. תימוכין לכך ניתן אולי למצוא בטיוטת הנחיות הרשות להגנת הפרטיות מעת לעת המרמזות על מדיניות משפטית רחבה יותר מזו המשתמעת מלשון חוק הגנת הפרטיות המצומצמת.[48]
אולם לטענת משרד המשפטים, אין בידם להביא לחקיקת התיקונים המקיפים לחוק הגנת הפרטיות כיוון שלא ניתן להביא לחקיקת חקיקה ראשית בכנסת ישראל. משום כך, ובהתחשב בצורך הדחוף בהארכת התאימות, מבקש משרד המשפטים להתקין את תקנות הגישור.
לדעתנו, דרך המלך לטיפול בנושאים הכלולים בתקנות הגישור היא חקיקה ראשית אשר תחול על כלל אזרחי המדינה. ככל שנדרשת התייחסות מיוחדת לדרישות האיחוד האירופי ולשוני ביניהן לבין תנאי הארץ ותושביה, ניתן לעשות זאת בחריגים בגוף החוק עצמו. בנוסף, אין בידנו לקבל את הטענה כי לא ניתן לחוקק חקיקה ראשית בכנסת ישראל. לטעמנו, שורש הבעיה נעוץ בהתנהלות משרד המשפטים עד כה, שדגלה בתיקון חוק הגנת הפרטיות ב"שיטת הסלמי", בהבאת נושאים מצומצמים בכל פעם, ובהימנעות מכוונת מביצוע תיקון מקיף וגדול. בהתחשב בכך שמשנת 2007 לא תוקן חוק הגנת הפרטיות, נדמה ששיטת הסלמי כשלה כישלון נחרץ ומהדהד.
מנגד, הצורך הדחוף בתיקון חוק הגנת הפרטיות הישראלי לשם הארכת ההכרה האירופית בתאימות ברור, ומשרד המשפטים כבר השתמש בעבר בסמכותו להתקין תקנות מכוח סעיף 36 לחוק הגנת הפרטיות גם לשם אסדרה ראשונית של נושאים שונים, כפי שבא לידי ביטוי בתקנות הגנת הפרטיות (אבטחת מידע), ), תשע"ז – 2017 (להלן: "תקנות אבטחת מידע"). בנסיבות אלו, עדיף להרחיב את תחולת ההסדר המוצע בתקנות הגישור על כלל תושבי המדינה על פני יצירת משטר משפטי המפלה לרעה את תושבי המדינה על בסיס מוצאם הגיאוגרפי.
7. סיכום
הצגת תקנות הגישור עתה, בעת פגרת בחירות בכנסת, והניסיון לחוקק אותן כעת במהירות בוועדת חוקה, חוק ומשפט של הכנסת, באיום שבהיעדרן תישלל התאימות האירופית ויהיו לכך השלכות כלכליות משמעותיות, היא בעייתית בלשון המעטה.
תקנות הגישור מבקשות ליצור משטר פרטיות שונה, תואם לתקנות של האיחוד האירופי, אך ורק ביחס למידע אישי אודות תושבי האיחוד האירופי. זאת בעוד תושבי ישראל עצמם אינם זוכים להגנה דומה. המדובר ביצירת משטר משפטי שונה להגנת הפרטיות על בסיס מוצא גיאוגרפי. בכך, משמרות התקנות את המידע האישי של תושבי מדינת ישראל כחצר האחורית לניסויים במידע אישי שלא יאושרו באירופה.
תאימות מול אירופה תושג אך ורק בדרך המלך: הליך חקיקה בהיר של חוק הגנת פרטיות מעודכן, כפי שאנו חוזרות ומציעות זה כשלוש שנים. לחילופין, כאמצעי זמני נוכח המחיר הכבד הצפוי לחברות ישראליות במידה שתבוטל התאימות, מחיר שהן יישאו בו על לא עוול בכפן, ושבהחלט ניתן היה להימנע ממנו בהתנהלות מנהלית אחרת במשרד המשפטים, יש לבחון הרחבת תחולת תקנות הגישור גם על נושאי מידע מישראל.
בכבוד ובברכה
ד"ר רחל ארידור הרשקוביץ, ד"ר תהילה שוורץ אלטשולר
התוכנית לדמוקרטיה בעידן המידע, המכון הישראלי לדמוקרטיה
12 דצמבר 2022
לכבוד,
עו"ד אביטל סומפולינסקי, משנה ליועמ"ש (ציבורי חוקתי)
עו"ד אייל זנדברג, ראש תחום משפט ציבורי, מחלקת ייעוץ וחקיקה
עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות
משרד המשפטים
באמצעות הדוא"ל
א.ג.נ.,
הנדון: תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2022
ביום 29.11.22 פרסם משרד המשפטים להערות הציבור את טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2022 (להלן: "תקנות הגישור"). אלו נדרשות, לדברי משרד המשפטים, "על רקע תהליך בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, לצורך בחינת חידוש מעמד התאימות (Adequacy)",[49] במסגרתו נבחנת התאמת דיני הגנת הפרטיות בישראל לתקנות הגנת הפרטיות של האיחוד (ה-GDPR).[50]
כפי שנפרט בהמשך, תקנות הגישור מעוררות שאלות רבות, חלקן אף בנוגע לעצם התקנתן. כמו כן, נבקש להסב את תשומת ליבכם לבעייתיות הקיימת בנוגע לתוכנן של חלק מהתקנות.
חלק א: הערותינו בנוגע לעצם התקנת תקנות הגישור:
1. סכנת איבוד התאימות הייתה ידועה זה שנים במהלכן לא ננקטו צעדים משמעותיים למניעתה
אין מחלוקת שלהכרת האיחוד האירופי בתאימות הדין בישראל ל-GDPR משמעות ניכרת.[51] בהיעדרה, יוטל על המגזר העסקי בישראל נטל משמעותי ומכביד, שכן החברות בו יידרשו להשקיע משאבים אנושיים ופיננסיים נכבדים במטרה להבטיח שכל העברת מידע אישי מהאיחוד האירופי לישראל נעשית בהתאם לחוזים לדוגמה (Standard Contractual Clauses, "SCCs"), שנוסחם זכה לאישור האיחוד האירופי.[52] יתרה מכך, ה-SCCs עלולים להתגלות כמשענת קנה רצוץ. זאת נוכח הנטייה הגוברת של נציבויות הפרטיות במדינות האיחוד, כפי שניתן ללמוד מהחלטות הנציבויות במספר מדינות ביחס לשימוש בנעשה ב-Google Analytics, להקשיח את דרישותיהם ביחס להעברת מידע אישי לחברות המצויות במדינות שלא זכו להכרה בתאימות.[53] לפיכך, יתכן אף שחברות ישראליות יאבדו הזדמנויות עסקיות, ואף ייאלצו להעביר את מרכזי הפיתוח שלהן מישראל למדינות אירופה, שכן חברות אירופיות יעדיפו להתקשר לקבלת שירותים ומוצרים מחברות הפועלות במדינות שיש הכרה בתאימותן.
אולם, הסכנה שבהיעדר תאימות למדינת ישראל אינה בגדר הפתעה. היא הייתה ידועה כבר זה שש שנים. ה-GDPR, שהציג סטנדרט הגנת פרטיות שונה וגבוה יותר מזה הנהוג בישראל, התקבל כבר בשנת 2016, ונכנס לתוקף בשנת 2018. המכון הישראלי לדמוקרטיה פרסם, כבר בקיץ 2019, קריאה מפורטת לעדכן את חוק הגנת הפרטיות הישראלי על מנת להימנע מהתממשותה של הסכנה שבאי ההכרה של האיחוד האירופי בתאימות חוק הגנת הפרטיות הישראלי המיושן.[54]
יתרה מכך, עם תחילת הדיונים בוועדת החוקה, חוק ומשפט בכנסת ה-24 על תיקון 14 לחוק הגנת הפרטיות,[55] ניסה יו"ר הוועדה ח"כ גלעד קריב, לגבש מתווה, באמצעות הצעת חוק פרטית שהגיש בנושא, לשלב בתיקון 14 גם תיקון שיוביל לסטנדרט הגנת פרטיות ראוי לתושבי המדינה ולהגדלת הסיכוי להכרה בתאימות הדין בישראל לזה שבאיחוד.[56] אולם, ניסיונו זה לא צלח.
על אף זאת, הדיונים האחרונים בוועדת חוקה בחודשים אפריל ומאי 2022, עסקו בתיקון 14, הצעה לתיקון חוק הגנת הפרטיות שרובה משקף נוסח שנכתב כבר בשנת 2011,[57] עודכנה קלות בלבד ולא כללה הוראות משמעותיות שיש בהן כדי להביא למודרניזציה של חוק הגנת הפרטיות הישראלי המיושן ולהגברת הסיכוי להכרה בתאימות הדין בישראל.
2. תקנות הגישור לא יביאו בהכרח להכרה בתאימות
כפי שיפורט להלן, תקנות הגישור לוקות במספר חסרונות מרכזיים, שיש בהם כדי לפגוע בסיכוי להארכת ההכרה האירופית בתאימות הדין בישראל. על רקע חוסרים אלו הצגת תקנות הגישור כפלסטר הכרחי להכרה בתאימות היא הצגה חלקית. לדעתנו, יש לפרוש בפני הציבור וכנסת ישראל את הפערים עליהם עומדים נציגי האיחוד האירופי במשא ומתן בנוגע להכרה בתאימות ולהביא לפתרון מהיר ויחיד של כל אלו במאוחד.
א. תקנות הגישור לא יחולו על מרבית הגופים בישראל אשר מעבדים מידע על נושאי מידע מהאזור הכלכלי האירופי
בתעשיית טכנולוגיות המידע מקובלים שני מתווי פעילות מרכזיים:
- B2B (Business-to-Business Services), במסגרתן החברה בישראל פועלת כ"Processor" [58] (להלן: "מחזיק"),[59] עבור חברה אירופית המתפקדת כ"Controller" (להלן: "בעל שליטה במידע") לפי ה-GDPR,[60] ומעבירה לחברה בישראל מידע אישי על נושאי מידע מהאזור הכלכלי האירופי, כלומר משטח מדינה החברה באיחוד האירופי, לרבות משטח מדינות נורבגיה, ליכטנשטיין ואיסלנד,[61] לשם עיבודו בישראל.
- B2C (Business-to-Customer), במסגרתן החברה בישראל יכולה לפעול (1) כבעלת השליטה בישראל ולקבל מידע ישירות מהלקוחות – נושאי המידע – מהאזור הכלכלי האירופי; או (2) כמחזיק בישראל המקבל מידע מבעל שליטה במידע אירופי; או (3) כבעל שליטה במידע בישראל המקבל מידע על נושאי מידע מהאזור הכלכלי האירופי מבעל שליטה במידע מקביל באירופה.
תקנות הגישור מחילות חובות רק על בעל מאגר מידע ורק ביחס למידע אשר הועבר מהאזור הכלכלי האירופי שלא במישרין מנושא המידע.[62] בעל מאגר מידע שקול, בהסתייגויות מסוימות,[63] לבעל שליטה במידע לפי ה-GDPR.[64] כלומר, תקנות הגישור חלות רק ביחס לנסיבות מצומצמות של B2C במסגרתן החברה הישראלית פועלת כבעלת שליטה במידע ומקבלת מידע על נושאי מידע מהאזור הכלכלי האירופי, מבעל שליטה במידע או ממחזיק הפועלים באזור הכלכלי האירופי. ואולם, משיחות עם גורמים מהתעשייה עולה כי במרבית המקרים, חברות מישראל פועלות במסגרת BSB או B2C, כמחזיק במידע על נושאי מידע תושבי האיחוד האירופי. המסקנה לפיכך היא שתקנות הגישור כלל לא יחולו, ולא יביאו לשינוי המצב המשפטי, ביחס למרבית הגופים בישראל המקבלים מידע אישי על נושאי מידע אירופים. מיעוט הגופים הישראלים שמועבר אליהם מידע אישי על נושאי מידע מהאיחוד האירופי ומתפקדים כבעל שליטה במידע, ממילא פועלים ומחויבים לפעול לפי הוראות ה-GDPR. בנסיבות אלו, מתעוררת השאלה האם התקנת תקנות הגישור המובילות לפגיעה המתוארת להלן[65] בזכות היסוד לפרטיות ובעיקרון השוויון, בכלל מוצדקת.
ב. קיים מרחק רב בין תקנות הגישור ודרישות האיחוד האירופי להכרה בתאימות
האיחוד האירופי פרסם רשימה מפורטת למדי של דרישות להכרה בתאימות הדין המקומי לזה הנהוג באיחוד.[66] תקנות הגישור המוצעות עומדות רק בחלק מן הדרישות אינן מתייחסות לנושאים מרכזיים אחרים, כגון אלו:
- תנאים לעיבוד מידע אישי באופן חוקי, הוגן ולגיטימי לבד מהסכמת נושא המידע.[67]
- זכות נושא המידע להתנגד לעיבוד מידע אישי אודותיו, בכל עת, מטעמים לגיטימיים ומשכנעים הנוגעים למצבו הספציפי בתנאים מסוימים.[68]
- קבלת החלטות אוטומטית ופרופיילינג שיש להם השפעה משמעותית על נושא המידע צריכה להיעשות לפי תנאים מיוחדים.[69]
- במסגרת בחינת מידת התאימות של הדין המקומי במדינה זרה ל-GDPR, נבחנת גם מידת הפגיעה בזכות לפרטיות עקב עיבוד מידע אישי על ידי גופי ביטחון. זאת בעקבות פסק הדין של בין הדין לצדק של האיחוד האירופי בפרשת שרמס I. שם נפסק כי על הדין המקומי להיות "שווה ערך במהותו" ל-GDPR. הובהר שעל המדינה הזרה לספק רמת הגנה זהה במידה מספקת לזו הנהוגה באיחוד.[70]
לפי ה-GDPR, עיבוד מידע אישי באופן הפוגע בזכויות בסיסיות, בעיקר הזכות לפרטיות, חייב להיעשות לפי בסיס משפטי ברור - כללים ברורים, מדויקים וזמינים, לפי מבחן הנחיצות להגשמת המטרות האובייקטיביות של עיבוד המידע ובאופן מידתי בלבד, תוך מתן סעד אפקטיבי וזמין לנושא המידע הנפגע עקב עיבוד המידע האישי אודותיו וכן יש צורך בפיקוח חיצוני על עיבוד המידע.[71]
בית הדין לצדק של האיחוד האירופי פסל פעמיים, בפרשת שרמס בשנת 2015[72] ושנית בשנת 2020,[73] את ההכרה האירופית בתאימות הדין בארה"ב בדיוק בגלל הפגיעה במידע אישי אודות אזרחי אירופה על ידי גופי ביטחון בארה"ב.
ביפן, למשל, התחייבה הממשלה, כתנאי להכרה בתאימות הדין היפני ל-GDPR, להגביל את גישת רשויות ציבור למידע אישי על נושאי מידע מהאיחוד האירופי למטרות אכיפת הדין הפלילי ולצורכי ביטחון המדינה, לפי מבחן נחיצות ומידתיות ולהכפיפה לביקורת חיצונית ולמנגנון פיצוי יעיל.[74]
בישראל, סעיף 19(ב) לחוק הגנת הפרטיות וסעיף 8(א)(1) לחוק שירות הביטחון הכללי, תשס"ב – 2002 (להלן: "חוק השב"כ"), מעניקים לרשויות ביטחון פטור רחב מאחריות בגין פגיעה בפרטיות. סעיפי פטור אלו אינם עומדים כלל בדרישות האיחוד האירופי.[75]
תקנות הגישור מבקשות לגשר על חסר זה באמצעות הקביעה בתקנה 2(ב)(2) לפיה החובות המנויות בתקנות הגישור לא יחולו על "שימוש במידע הנדרש למטרת הגנה על ביטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלו". בכך מחליפות תקנות הגישור את מבחן הסבירות הקבוע בסעיף 19(ב) לחוק הגנת הפרטיות במבחן מידתיות ונחיצות, כנדרש לפי ה-GDPR. אולם, בכך אין די על מנת לעמוד בדרישות האיחוד האירופי. חריג הביטחון הקיים בישראל, אף לאחר הכפפת השימוש במידע אודות נושאי מידע מהאזור הכלכלי האירופי למבחן הנחיצות והמידתיות, חסר מנגנון פיצוי יעיל.
4. תקנות הגישור יטילו נטל כבד ומיותר על הגופים הישראליים שיחויבו ביישומן
א. אי התאמה למציאות הטכנולוגית וליכולת ללמיין מידע אישי לפי מוצאו גיאוגרפי
התפיסה העומדת בבסיס חוק הגנת הפרטיות בישראל, וכן בבסיס תקנות הגישור, היא שחברות אוספות מידע אישי ומאגדות אותו למאגרי מידע מובחנים ונפרדים. אולם, מה שהיה נכון לפני כמה עשורים, אינו נכון היום. המציאות הטכנולוגית השתנתה והתקדמה. כיום, מידע אישי מעובד, נמהל ומשולב בטכנולוגיות שונות, כדוגמת בינה מלאכותית. חיוב בעלי מאגר מידע בנורמות שונות ביחס למידע שמקורו בנושאי מידע מהאזור הכלכלי האירופי ידרוש מהם לנסות ולאתר מידע שכזה במערכותיהם. אומנם, לפי תקנה 9 לתקנות הגישור, ניתנת לבעלי מאגר מידע ארכה של כשנה ליישום התקנות לגבי מידע שנאסף לפני כניסתן לתוקף, אולם יתכן שארכה זו לא תסייע כלל, שכן לא ברור האם אפשר להבחין בדיעבד במידע אישי שמקורו בנושאי מידע מהאזור הכלכלי האירופי, והאם הבחנה כאמור לא תטיל נטל בלתי סביר על בעלי מאגרי מידע שאינם חברות טכנולוגיה עתירות משאבים.
יתרה מכך, לדברי משרד המשפטים, בקרוב יחל תהליך חקיקת התיקון המהותי לחוק הגנת הפרטיות (המכונה תיקון 15), והחובות של בעל מאגר מידע כלפי נושאי מידע מהאזור הכלכלי האירופי, כולן או מרביתן, יושוו לאלה החלות עליו ביחס לנושאי מידע בישראל. בהנחה שהליך חקיקה כאמור אכן יתקיים ויושלם בשנים הקרובות בהצלחה, התקנת תקנות הגישור כלשונן בשלב זה תוביל לעומס מיותר ומקומם על התעשייה. חברה ישראלית, שתקנות הגישור יחולו עליה, תשקיע משאבים ניכרים לשם יצירת מאגר מידע נפרד למידע על נושאי מידע מהאזור הכלכלי האירופי, שעליו תחיל את חובותיה מכוח תקנות הגישור, רק כדי לגלות כעבור שנה או שנתיים שעל השקעתה היתה מיותרת שכן נחקק חוק הגנת פרטיות מתוקן המחיל חובות זהות גם ביחס למידע על נושאי מידע מישראל. המסר, לפיכך, של התקנת תקנות הגישור בעת הזו, הוא מסר בעייתי ומקומם מבחינת התעשייה.
ב. מונחים שונים שאין להם מקבילה ב-GDPR עלולים להוביל לחוסר בהירות בתעשייה
תקנות הגישור חלות, כאמור, על "בעל מאגר מידע", מונח שאינו קיים ב-GDPR, אך ניתן בדרך של פרשנות להניח, כל עוד לא נקבע אחרת בחוק או בהנחיות הרשות להגנת הפרטיות, שמדובר בבעל תפקיד המקביל לבעל שליטה במידע האירופי.[76] ואולם, תקנה 6 מחייבת בחובת יידוע לגבי "מנהל מאגר", פונקציה שאין לה מקבילה ב-GDPR. משיחות עם גורמים מהתעשייה עולה שדרישה כאמור מובילה לקושי בקרב התעשייה. זאת משום שהאחריות המוטלת על בעל תפקיד שכזה אינה ברורה, בעיקר נוכח ממונה על הגנת פרטיות, שמינוי מחויב לפי חוקים ספציפיים בישראל[77] וב-GDPR,[78] והומלץ כפרקטיקה ראויה בהנחיית הרשות בנושא.[79] פתרון ראוי לנטל זה הוא תיקון חוק הגנת הפרטיות, השוואת המונחים וחיוב במינוי ממונה הגנת פרטיות.
5. אפקט הדומינו של תקנות הגישור והפגיעה בתעשייה בישראל
תקנות הגישור מבקשות ליצור משטר משפטי שונה ביחס למידע אישי המועבר לישראל משטח האזור הכלכלי האירופי לעומת מידע אישי שמקורו בנושאי מידע בישראל או במדינות אחרות. ואולם, סוגיית ההגנה על הזכות לפרטיות במידע היא חוצת גבולות. מידע, על שלל סוגיות ואופני הצגתו, מועבר על גבי רשת האינטרנט ללא הגבלה גיאוגרפית כזו או אחרת. עיבוד מידע אישי, שמקורו בנושאי מידע במדינה זרה, יכול שייעשה בישראל ולהיפך. עם חקיקת ה-GDPR החלה מגמה כלל עולמית של התאמת הדינים המקומיים במדינות האיחוד האירופי ומחוצה לו ל-GDPR. זאת על מנת להבטיח שהשוק האירופי לא יהיה חסום בפני התעשייה המקומית בכל מדינה, ולהקנות לחברות מקומיות בסיס שווה לתחרות בשווקי המידע, שהם שווקים בינלאומיים והגלגלים העיקריים להנעת כלכלת העולם כיום. עד כה, 12 מדינות מחוץ לאיחוד האירופי ובהן אנגליה, ברזיל, קנדה, צ'ילה, הודו, יפן, ניגריה, דרום קוריאה, שוויץ, תאילנד, תורכיה, והמדינות קליפורניה וניו יורק שבארה"ב ביצעו או מבצעות שינוי חקיקה מקיף על מנת להתאים היבטים מרכזיים בחקיקת הגנת הפרטיות המקומית לזו האירופית.
יתרה מכך, גם מדינות שאינן חברות באיחוד האירופי, אולם החזיקו במשטר הגנת פרטיות מודרני ודומה במהותו ל-GDPR, נשענו על ההכרה האירופית בתאימות הדין בישראל על מנת לבצע עסקות עם גופים ישראלים ולאשר העברת מידע אישי אודות אזרחיהם לישראל. במידה שתקנות הגישור יתקבלו, ידעו מדינות אלו שהגנת הפרטיות הנאותה לשיטתם מוגבלת, לפי תקנות הגישור, רק לאזרחי האזור הכלכלי איחוד האירופי. התוצאה תהיה שחברות ממדינות אלו, למשל אנגליה, שוויץ, קנדה ואחרות, יסרבו להעביר מידע אודות אזרחים לישראל בהיעדר הגנה מתאימה. כבר היום בחקיקת הפרטיות של יפן ודרום קוריאה אסורה העברת מידע אישי למדינה שמשטר הגנת הפרטיות שלה אינו שווה ערך למשטרן המקומי של מדינות אלו, שזכו לאחרונה להכרה בתאימותן לדין האירופי.[80] ומה אז? האם הפתרון יהיה חקיקה תלוית מוצא גיאוגרפי? האם אנו צפויים לשורת תקנות גישור המותאמות לנושאי מידע בכל מדינה זרה, זאת לצד חוק הגנת פרטיות מיושן ורזה עבור הישראלים?
6. משטר הגנת פרטיות שונה לישראלים ולאזרחי היבשת - פגיעה חמורה בזכות היסוד לפרטיות
זכות היסוד לפרטיות מעוגנת בסעיף 7 לחוק יסוד: כבוד האדם וחירותו ופגיעה בה יכול שתעשה רק בהתאם לפסקת ההגבלה. תקנות הגישור יוצרות משטר משפטי שונה המעניק הגנה רחבה יותר לזכות לפרטיות לנושאי מידע ממדינות האיחוד האירופי לעומת נושאי מידע מישראל. אף שתכלית שימור ההכרה בתאימות הדין בישראל ל-GDPR היא חשובה וראויה, לא בטוח שתקנות הגישות עומדות בתנאי פסקת ההגבלה. זאת בעיקר נוכח העובדה שתקנות הגישור אינן מבטיחות כלל הכרה בתאימות,[81] ופוגעות בעיקרון השוויון לרעת תושבי מדינת ישראל.
7. סמכות התקנת התקנות, הרחבתן לכלל תושבי המדינה או קביעתן כהוראת שעה
תקנות הגישור מותקנות מכוח סעיף 36 ומכח פסקה (2) להגדרת "מידע רגיש" שבסעיף 7 לחוק הגנת הפרטיות. בית המשפט העליון קבע מספר מבחנים לשאלה האם דבר חקיקה הוא הסדר "ראשוני" המחייב חקיקה ראשית.[82] אף שיש צורך דחוף בהתקנת תקנות הגישור על מנת לנסות ולהאריך את ההכרה האירופית בתאימות הדין בישראל, ותכלית התקנות מצומצמת ונקודתית, ויש בתקנות כדי להביא לפגיעה משמעותית בזכות היסוד של אזרחי המדינה לפרטיות. משכך, לא ברור כלל שתקנות הגישור, בניסוחן הנוכחי, ניתנות לאסדרה שלא בחקיקה ראשית.
בנוסף, מדברי נציגי משרד המשפטים עולה כי המשרד עובד, כבר כמה שנים, על תיקון 15 שהינו התיקון משמעותי לחוק הגנת הפרטיות. תיקון זה יביא למודרניזציה של חוק הגנת הפרטיות המיושן ויכלול תיקונים משמעותיים לזכויות מהותיות. כלומר, חלק, ואולי אף עיקר העבודה הנדרשת לתיקון חוק הגנת הפרטיות, כבר נעשתה. תימוכין לכך ניתן אולי למצוא בטיוטת הנחיות הרשות להגנת הפרטיות מעת לעת המרמזות על מדיניות משפטית רחבה יותר מזו המשתמעת מלשון חוק הגנת הפרטיות המצומצמת.[83]
אולם, נוכח הצורך הדחוף בהבטחת ההכרה האירופית בתאימות הדין בישראל לזה האירופי, הכרחי, לטענת משרד המשפטים, להתקין את תקנות הגישור במהרה. לדעתנו, דרך המלך לטיפול בנושאים הכלולים בתקנות הגישור היא חקיקה ראשית אשר תחול על כלל אזרחי המדינה. ככל שנדרשת התייחסות מיוחדת לדרישות האיחוד האירופי ולשוני ביניהן לבין תנאי הארץ ותושביה, ניתן לעשות זאת בחריגים בגוף החוק עצמו.
מנגד, הצורך הדחוף בתיקון חוק הגנת הפרטיות הישראלי לשם הארכת ההכרה האירופית בתאימות ברור, ומשרד המשפטים השתמש כבר בעבר בסמכותו להתקין תקנות מכוח סעיף 36 לחוק הגנת הפרטיות גם לשם אסדרה ראשונית של נושאים שונים, כפי שבא לידי ביטוי בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז – 2017 (להלן: "תקנות אבטחת מידע"). בנסיבות אלו, עדיף להרחיב את תחולת ההסדר המוצע בתקנות הגישור על כלל תושבי המדינה על פני יצירת משטר משפטי המפלה לרעה את תושבי המדינה על בסיס מוצאם הגיאוגרפי.
8. תקנות הגישור בראי המשפט המשווה
אכן, חקיקת משנה המיועדת לגשר על הפערים בין ה-GDPR לחקיקה המדינתית לשם הכרה בתאימות הדין המדינתי אינה חריגה. בשני המקרים בהם ניתנה החלטת תאימות לאחר חקיקת ה-GDPR, ביחס ליפן ולדרום קוריאה, כללה ההחלטה גם כללים משלימים.
ביפן, פרסמה בספטמבר 2018 נציבות הפרטיות במדינה מערכת כללים משלימים לחוק הגנת הפרטיות הקיים. הכללים המשלימים מחייבים בעל שליטה במידע שמקבל מידע אישי על נושאי מידע מהאזור הכללי האירופי והם בני אכיפה הן על ידי נציבות הפרטיות והן על ידי בתי המשפט ביפן. מטרת הכללים המשלימים לספק הגנות נוספות לשם גישור הפערים בין חוק הגנת הפרטיות היפני לבין ה-GDPR ביחס למידע רגיש, מימוש זכויות נושא המידע, תנאים להעברת מידע אישי של נושאי מידע מהאזור הכלכלי האירופי למדינות אחרות.[84] על הכללים המשלימים נמתחה ביקורת לא מעטה בטענה שמדובר במשטר המפלה לרעה את תושבי יפן לעומת נושאי מידע מהאזור הכלכלי האירופי.[85]
גם בדרום קוריאה נלוו להחלטת ההכרה בתאימות כללים משלימים, החלים על מידע אישי אודות נושאי מידע מהאיחוד האירופי, האזור הכלכלי האירופי ואנגליה, והינם בני אכיפה על ידי רשות הגנת הפרטיות המדינתית ובתי המשפט במדינה.[86]
אולם, ניתן להצביע על מספר הבדלים חשובים בין המצב המשפטי והכללים המשלימים ביפן ובדרום קוריאה לתקנות הגישור ולנסיבות המשפטיות הנלוות להן בישראל.
- הן ביפן והן בדרום קוריאה הכללים המשפטיים נקבעו בסמוך לתיקון משמעותי לדיני הגנת הפרטיות במדינה.
ביפן, תוקן בשנת 2017 חוק הגנת הפרטיות שנחקק בשנת 2003. בין השאר, כלל התיקון משנת 2017 הצבת נציבות הפרטיות המדינתית כרשות היחידה האחראית על הפיקוח והאכיפה של חוק הגנת הפרטיות. כחלק מהסמכה זו הוענקו לה בחוק המתוקן סמכויות אכיפה וענישה; הגדרת מידע רגיש ודרישה כי השימוש או הגילוי שלו יעשה בהסכמת נושא המידע בלבד; הבהרה שעיבוד מידע מותמם אינו דורש את הסכמת נושא המידע; חיוב תיעוד מקור המידע האישי והגורמים אליהם הועבר; והטלת מגבלות על העברת מידע אישי למחוץ לגבולות המדינה.[87]
בדרום קוריאה תוקנו בשנת 2020 שלושת החוקים העוסקים בפרטיות.[88] התיקונים כללו הבחנה בין מידע אישי למידע מותמם ומידע פסאודו-אנונימי, והוצאת מידע מותמם מתחולת החוק; התרת שימוש במידע אישי ללא הסכמת נושא המידע כל עוד השימוש הוא סביר ולפי מבחן המטרה הדומה הקבוע ב-GDPR; איסור על מניעת מתן שירות או מוצר עקב סירובו של נושא מידע להסכים לעיבוד מידע אישי מעבר לנחוץ להגשמת המטרה או מטרה דומה; הוראות לעניין העברת מידע אישי לצד שלישי; הגבלות לעניין עיבוד מידע אישי רגיש ומידע אישי מזהה; חיוב בביצוע תסקיר השפעה על פרטיות והצגת תוצאותיו לרשות להגנת הפרטיות; וחיזוק סמכויות האכיפה של הרשות להגנת הפרטיות המדינתית.[89]
- תיקוני המשך לחוק המדינתי, לאחר קבלת הכללים המשלימים ואישור ה Adequacy:
ביפן מוטלת על הנציבות להגנת הפרטיות החובה לבחון, מדי שלוש שנים, את הצורך לתקן או לעדכן את חוק הגנת הפרטיות ותציג את מסקנותיה בכתב.[90] ואכן, ביוני 2020, כשנה לאחר כניסת הכללים המשלימים לתוקף, ובעקבות המלצת נציבות הפרטיות במדינה, עודכן חוק הגנת הפרטיות. העדכונים נכנסו לתוקפם באפריל 2022. כחלק מעדכונים אלו הוכנסו לתוך חוק הגנת הפרטיות תיקונים ברוח הכללים המשלימים, וכך הורחבה תחולתם של כללים אלו לכלל נושאי המידע ללא קשר למוצאם. באופן זה צומצמה האפליה בין הגנת הפרטיות שהוענקה לנושאי מידע מהאיחוד האירופי לעומת זו שהוענקה לאזרחי יפן. למשל, הזכות לתקן, לעדכן או למחוק מידע אישי הורחבה וחלה עתה על כל מידע אישי, לרבות מידע אישי שבעל השליטה בו התכוון מראש להחזיקו חצי שנה בלבד. כמו כן, הכללים המשלימים חייבו מחיקה של כל שיטה לזיהוי חוזר של מידע אישי שעבר התממה. חוק הגנת הפרטיות המתוקן לא חייב את מחיקתו של מידע או שיטה שתאפשר זיהוי חוזר, אך חייב נקיטת צעדים לאבטחת מידע שכזה. עוד הרחיב חוק הגנת הפרטיות המתוקן את זכויות נושא המידע וכלל את זכות נושא המידע לדרוש מבעל השליטה במידע להפסיק את השימוש במידע אישי כאשר הוא אינו זקוק לו עוד, המידע האישי דלך או כאשר זכויותיו או האינטרסים של נושא המידע נפגעים.[91]
בדרום קוריאה פורסמה הצעה לתיקון חוק הגנת הפרטיות בינואר 2021. הצעת התיקון כוללת את זכות הניוד, הזכות לסרב להחלטות המבוססות על עיבוד אוטומטי של מידע אישי, הוראות לעניין העברת מידע אישי למדינות אחרות והכללת מידע פסאוודו-אנונימי כחלק מהמידע שעל בעל השליטה במידע למחוק.[92]
בחינת המשפט המשווה מלמדת על עבודה משמעותית לתיקון חוק הגנת הפרטיות המדינתי, קודם ובמקביל לכללים המשלימים. עבודה, שלצערנו, לא נעשתה עד כה ביחס לחוק הגנת הפרטיות בישראל.
לפיכך, בהנחה שיש לקבל את תקנות הגישור בסד זמנים קצר על מנת להימנע מאובדן ההכרה האירופית בתאימות הדין בישראל שיוביל לנזקים כלכליים ותדמיתיים משמעותיים לתעשייה בישראל, יש לדעתנו לקבל את תקנות הגישור כהוראת שעה. חסרונותיה הרבים של אפשרות זו, נוכח המשמעויות הקשות שיש בהתקנת תקנות הגישור ביחס לנושאי מידע מהאיחוד האירופי בלבד, מחייבים את הגבלת הוראת השעה לחצי שנה, עם אפשרות להאריכה פעם נוספת אחת בלבד, לחצי שנה נוספת. כן יש להתנות את תחולת תקנות הגישור כהוראת שעה בפרסום תזכיר תיקון 15 ביום אישור הוראת השעה בוועדת חוקה, התחלת הדיונים בוועדת חוקה על תיקון 15 עצמו בתוך חודשיים מהתקנת הוראת השעה, וקבלת התיקונים לחוק הגנת הפרטיות בתוך שנה מהתקנתם.
חלק ב: הערות לגופן של סעיפי תקנות הגישור
1. התחולה וחריג גופי הביטחון
כפי שציינו כבר בהערותנו בסעיף 3.ב לחלק א לעיל, בתקנות הגישור מוצע לתקן את חריג גופי הביטחון הקבוע בסעיף 19(ב) לחוק הגנת הפרטיות. התיקון הינו תיקון דרוש, שכן מבחן סבירות המעשה הקבוע בסעיף 19(ב) אינו עומד בדרישות ה-GDPR, ומבחן המידתיות והנחיצות המוצע בתקנה 2(ב)(2) לתקנות הגישור הוא המבחן הנדרש.
אולם, מדובר בתיקון לנושא מרכזי וחשוב – השימוש המותר במידע אישי לצורכי הגנה על ביטחון המדינה, בדרך עקיפה ואגבית באמצעות תקנה העוסקת בתחולת תקנות הגישור. יתרה מכך, מדובר בתיקון חלקי שאינו עומד בדרישות ה-GDPR, כמפורט בהערותינו לסעיף 3.ב לחלק א לעיל.
2. זכות המחיקה
א. פערים בהיקף זכות המחיקה המוצעת לעומת זו הקבועה ב-GDPR
זכות המחיקה הקבועה בסעיף 17 ל-GDPR מאפשרת לנושא המידע לבקש את מחיקת המידע האישי אודותיו בנסיבות נוספות לבד מאלו המוצעות בתקנה 3(א) לתקנות הגישור. למשל, כאשר נושא המידע חוזר בו מהסכמתו לאיסוף מידע או מתנגד לעיבוד אוטומטי של מידע אישי על אודותיו.[93] חוסר זה נובע מהיעדר תיקון לדין המהותי המרחיב את זכויותיו המהותיות של נושא המידע, כנדרש לפי דרישות התאימות ב-GDPR, וכולל את זכותו לחזור בו מהסכמתו ואת זכותו להתנגד לעיבוד מידע אישי אודותיו בתנאים מסוימים.[94] על חשיבות הרחבת אגד הזכויות של נושא המידע כחלק מתיקון מקיף לחוק הגנת הפרטיות עמדנו כבר בעבר,[95] לענייננו נוסיף ונציין שיש בחוסר זה כדי להדגיש את חלקיות תקנות הגישור בכל הנוגע למילוי דרישות התאימות.
ב. פגיעה בוודאות המשפטית
תקנה 3(א)(1) לתקנות הגישור קובעת שזכות המחיקה תחול גם במקרה שהמידע "נוצר, נתקבל, נצבר או נאסף בניגוד להוראות כל דין, או שהמשך השימוש בו מנוגד להוראות כל דין".
"דין" מוגדר בסעיף 3 לחוק הפרשנות, תשמ"א – 1981 ככל אחד מאלה:
"(1) חיקוק;
(2) דינים דתיים – בין שבעל פה ובין שבכתב – כפי תקפם במדינה;
(3) (א) אקט של הפרלמנט הבריטי או דבר המלך במועצתו או חלק מהם, או תקנות לפיהם, ודיני המשפט המקובל ועקרוני היושר של אנגליה, כפי תקפם במדינה;
(4) דינים עותמאניים כפי תקפם במדינה;"
לפיכך, המשמעות של הוראת תקנה 3(א)(1) לתקנות הגישור היא, לדעתנו, פגיעה בוודאות המשפטית וכתוצאה ביכולת להתוות טכנולוגיה יציבה לעיבוד מידע ולשימוש בתוצאות העיבוד, שכן בעל מאגר המידע אינו יכול לדעת מראש מהו ה"דין" מכוחו הוא עשוי להידרש למחוק את המידע. מאחר שזכות המחיקה היא זכות חדשה באגד הזכויות הנכלל תחת הזכות לפרטיות, ומתקיים דיון ער בנוגע לנחיצותה, השלכותיה על חופש הביטוי ועל זכות הציבור לדעת,[96] יש לדעתנו חשיבות בקביעה ברורה מהן הוראות החוק מכוחן יכול נושא המידע לממש את זכותו לבקש את מחיקת המידע אודותיו.
ג. הנטל על בעל מאגר המידע
לצד חשיבותה ויתרונותיה, מטילה זכות המחיקה נטל על בעל מאגר המידע. בעידן נתוני העתק ומכונות לומדות, נדרש בעל מאגר המידע לאתר את המידע על אודות נושא המידע מבקש המחיקה ולמחוק אותו ממערכותיו או להבטיח שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע.
אכן, גם לפי סעיף 17(2) ל-GDPR, ניתן משקל מוגבל לנסיבות העניין והטכנולוגיה הקיימת בשאלת היענות לבקשת מחיקה. שם רשאי בעל השליטה במידע להתחשב בנסיבות העניין ובטכנולוגיה הקיימת במסגרת האמצעים הסבירים שעליו לנקוט במידה שפרסם את המידע האישי ועליו ליידע בעלי שליטה אחרים על בקשת המחיקה. אולם, לדעתנו, בהתחשב בחסרונות וביתרונות של זכות המחיקה, הצעדים שעל בעל מאגר המידע לנקוט עם קבלת בקשת המחיקה – מחיקה, התממה, סירוב בהתאם לתנאים המפורטים בתקנות הגישור, או יידוע בעלי שליטה אחרים, צריכים להיות כפופים למבחן הסבירות לפי נסיבות העניין, לטכנולוגיה הקיימת באותה העת ולמחירה. זאת משום שזכות המחיקה עלולה להתברר בעתיד כנטל לא סביר על חברות טכנולוגיה.
ד. סירוב לבקשת מחיקה
תקנה 3(ב)(2) לתקנות הגישור מתירה לבעל מאגר מידע לסרב לבקשת המחיקה אם השימוש במידע, בהיקף נחוץ ומידתי, הוא לצורך "מילוי חובה חוקית או ביצוע סמכות על פי דין". בעוד בכל הקשור ל"מילוי חובה חוקית" מתקיימת ודאות משפטית, "ביצוע סמכות על פי דין" מותיר כר נרחב של פרשנויות ומעשים ויש בה פוטנציאל אף לרוקן מתוכן את זכות המחיקה, בעיקר בכל הקשור לפעולותיהם של גופים ציבוריים בכלל וגופים ביטחוניים בפרט. לפיכך, לדעתנו, ראוי למחוק את הסיפא המאפשרת סירוב למימוש זכות המחיקה על בסיס "ביצוע סמכות על פי דין".
3. הגבלת החזקת מידע שאינו נחוץ – הגדרת החובה והפרתה
תקנה 4(א) לתקנות הגישור מטילה על בעל מאגר מידע להפעיל "מנגנון ארגוני, טכנולוגי או אחר" על מנת להבטיח ש"במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין."[97]
לכאורה, מלשון תקנה 4(א) לתקנות הגישור עולה שדי בהפעלת מנגנון "ארגוני, טכנולוגי או אחר" שמטרתו הבטחת החזקת מידע נחוץ בלבד. התקנה אינה דורשת שהמנגנון יהיה יעיל. כלומר, אם בעל מאגר מידע מפעיל מנגנון כאמור, ועל אף הפעלת המנגנון נמצא שבמאגר המידע שברשותו מוחזק מידע שאינו נחוץ עוד, האם מדובר בהפרת הוראות התקנה?
בנוסף, בהיעדר תיקון לדין המהותי המחייב הגדרת מטרה ספציפית, מפורשת ולגיטימית, עשויה דרישת הנחיצות המוצעת בתקנה 4(א) להיות ריקה מתוכן. זאת נוכח הפרקטיקה הנהוגה כיום בדין הישראלי, לנקוב במטרה כללית ורחבה שתחתיה ניתן לכלול מטרות שונות ורבות. לפיכך, לדעתנו, כדי להבטיח שתקנה 4(א) תהיה בעת משמעות אמיתית, יש להוסיף תיקון לעיקרון צמידות המטרה הקבועה בסעיף 2(9) לחוק הגנת הפרטיות ולהבהיר שמטרת העיבוד צריכה להיות מפורשת, ברורה וספציפית, לצד הכרה במטרות דומות בדומה לקבוע בסעיף 6(4) ל-GDPR.
4. חובת דיוק מידע - היקף החובה והפרתה
תקנה 5(א) לתקנות הגישור מנוסחת באופן דומה לתקנה 4(א) ומחייבת את בעל מאגר המידע להפעיל "מנגנון ארגוני, טכנולוגי או אחר" על מנת "להבטיח כי המידע שבמאגר נכון, שלם, ברור ומעודכן". לפי דברי ההסבר, התקנה "מהווה השלמה ו"תמונת ראי" של סעיף 14" לחוק הגנת הפרטיות המעגן את זכות נושא המידע לתיקון מידע אישי אודותיו.
גם כאן מתעוררת השאלה האם די בעצם הטמעת מנגנון ארגוני, טכנולוגי או אחר למטרת הבטחת נכונות המידע, שלמותו, והיותו ברור ומעודכן, ללא קשר ביעילותו של המנגנון. האם החובה תביא בסופו של דבר לשגשוגה של תעשיית עזרי התראה וניטור מידע טכנולוגיים או שיש צורך גם להבטיח בפועל שהמידע האישי ישמר מעודכן, שלם ונכון? לדעתנו, הדבר אינו ברור דיו מלשון הסעיף.
יתרה מכך, לפי דברי ההסבר, התקנה מבוססת על סעיף 5(1)(d) ל-GDPR.[98] אולם, סעיף 5(1)(d) ל-GDPR קובע חובה פוזיטיבית, שמידע אישי יהיה מדויק, וככל שהדבר נחוץ, יישמר מעודכן. כן מחייב הסעיף לנקוט כל צעד סביר על מנת להבטיח שמידע אישי שאינו מדויק, בהתחשב למטרת העיבוד, יימחק או יתוקן ללא דיחוי.[99] הסעיף אינו מחייב הטמעת מנגנון כלשהו לשם כך, אלא מותיר את יישומו למבחן סבירות, בדומה למוצע בתקנה 5(ב) לתקנות הגישור.
5. חובת היידוע
לפי דברי ההסבר, תקנה 6 לתקנות הגישור מהווה השלמה לחובת ההודעה הקבועה בסעיף 11 לחוק הגנת הפרטיות, אשר מתייחסת למצבים בהם נערכה פנייה לאדם לקבלת מידע אודותיו, ושואבת השראה מסעיפים 13-14 ל-GDPR. סעיף 13 ל-GDPR עוסק בחובת יידוע כאשר המידע נאסף מנושא המידע עצמו, בעוד סעיף 14 ל-GDPR עוסק בחובת היידוע כאשר מידע אישי על נושא המידע לא נאסף ישירות ממנו. מאחר שתקנה 6 המוצעת עוסקת אך ורק ביידוע נושא המידע כאשר המידע אודותיו באמצעות גורם שלישי, נדמה שהיא שואבת השראה מסעיף 14 ל-GDPR בלבד.
היעדר תיקון חובת היידוע הקבועה בסעיף 11 לחוק הגנת הפרטיות ביחס לפרטים שיש ליידע בהם את נושא המידע עת נאסף ממנו מידע ישירות, מובילה לפער לא ברור במידע שניתן לנושאי מידע שונים. כאשר המידע נאסף ישירות מנושא המידע, הרי הוא ייחשף להודעה מצומצמת יותר, שכן סעיף 11 לחוק הגנת הפרטיות דורש רק פירוט האם על נושא המידע חובה למסור את המידע, מהי מטרת השימוש במידע ולמי יימסר המידע ומטרות המסירה. בעוד שנושאי מידע שמידע עליהם הועבר באמצעות גורם שלישי לבעל מאגר המידע יעודכנו גם בזכות בעל המאגר ודרכי ההתקשרות עמו, סוג המידע שהועבר וקיומן של זכויות המחיקה, העיון והתיקון וכן יזכו לעדכון במידה והמידע אודותיהם מועבר לצד שלישי. לטעמנו מדובר בלאקונה ויש לתקנה על ידי תיקון חובת ההודעה הקבועה בסעיף 11 לחוק הגנת הפרטיות והרחבתה.
נציין עוד שגם בכללים המשלימים שנתקבלו בדרום קוריאה נדרש בעל השליטה במידע בחובת יידוע מורחבת הן ביחס לנושא מידע שהמידע אודותיהם מתקבל מהם ישירות והן ביחס לנושאי מידע עליהם הוא מקבל מידע באמצעות צד שלישי.[100]
חלק ג: סיכום
תקנות הגישור מבקשות ליצור משטר פרטיות שונה, תואם לתקנות של האיחוד האירופי, אך ורק ביחס למידע אישי אודות תושבי האיחוד האירופי. זאת בעוד שתושבי ישראל עצמם אינם זוכים להגנה דומה. המדובר ביצירת משטר משפטי שונה להגנת הפרטיות על בסיס מוצא גיאוגרפי. בכך, הופכות התקנות את תושבי מדינת ישראל לחצר אחורית בתחום הגנת המידע.
תאימות מול אירופה תושג, לדעתנו, אך ורק בדרך המלך: הליך חקיקה בהיר של חוק הגנת פרטיות שלם ומעודכן, כפי שאנו חוזרות ומציעות מזה זמן. לחילופין, כאמצעי זמני. נוכח המחיר הכבד הצפוי לחברות ישראליות במידה שתבוטל התאימות, מחיר שהן יישאו בו על לא עוול בכפן, יש לבחון הרחבת תחולת תקנות הגישור גם על נושאי מידע מישראל.
אנו מתריעות למפני המשמעויות הקשות שיש בהתקנת תקנות הגישור ביחס לנושאי מידע מהאיחוד האירופי בלבד, אך מודעות למחיר הכלכלי והתדמיתי שתשלם התעשייה בישראל במידה שלא תחודש ההכרה האירופית בתאימות הדין המקומי. לאור ניסיונן של יפן ודרום קוריאה בקבלת החלטת תאימות לאחר חקיקת ה-GDPR, אנו מציעות להתקין את תקנות הגישור כהוראת שעה לחצי שנה, עם אפשרות הארכה לחצי שנה נוספת בלבד. אנו מציעות עוד כי תחולת התקנות תותנה בפרסום תזכיר תיקון 15 ביום אישור הוראת השעה בוועדת חוקה, התחלת הדיונים בוועדת חוקה על תיקון 15 עצמו בתוך חודשיים מהתקנת הוראת השעה, וקבלת התיקונים לחוק הגנת הפרטיות בתוך שנה מהתקנתם.
באשר לתוכנן של תקנות הגישור, אנו ממליצות על התיקונים הבאים:
- תיקון "חריג גופי הביטחון" על ידי הוספת גורם מפקח חיצוני ועצמאי ומנגנון לטיפול בתלונות ומתן סעדים;
- תיקון זכות המחיקה כך שתותר רק בנסיבות ברורות שיקבעו בתקנות הגישור עצמן, הכפפת כלל הצעדים שבעל מאגר המידע יוכל לנקוט בתגובה לבקשת מחיקה למבחן סבירות בהתאם לטכנולוגיה הקיימת באותה העת ולמחירה, ומחיקת האפשרות לסרב לבקשת מחיקה מכוח "ביצוע סמכות לפי דין".
- הגדרת חובת הנחיצות וחובת דיוק המידע כחובה כללית הכפופה למבחן סבירות, ללא קשר לאופן יישום החובה באמצעות מנגנון ארגוני, טכנולוגי או אחר.
- תיקון חובת היידוע כך שתחול גם במצבים בהם המידע מתקבל מנושא המידע ישירות.
בכבוד ובברכה
ד"ר רחל ארידור הרשקוביץ, ד"ר תהילה שוורץ אלטשולר
התוכנית לדמוקרטיה בעידן המידע, המכון הישראלי לדמוקרטיה
[1] ראו חוות דעת המכון הישראלי לדמוקרטיה בנוגע לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2022 מיום 17 בדצמבר, 2022, וכן חוות דעת המכון הישראלי לדמוקרטיה בנוגע לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ב – 2022 מיום 10 ביולי, 2022 המסומנות נספח ג' ונספח ד' בהתאמה.
[2] חוק הגנת הפרטיות, התשמ"א – 1981 [להלן: "חוק הגנת הפרטיות"].
[3] מכתבו של סגן ראש הממשלה ושר המשפטים, ח"כ יריב לוין, מיום ז בניסן תשפ"ג, 29.03.23, בעניין תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023, עמ' 5.
[4] סעיף 3(2) ל - Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), (להלן: "GDPR"(.
[5] European Data Protection Board, Guidelines 2/2018 on the territorial scope of the GDPR (Article 3), 13-16 (Version 2.1, 12 Nov. 2019).
[6] ראו, למשל, יובל גולדפוס, הפילוסופיה של הפרטיות, 83 פרלמנט (27.01.2019).
[7] ראו, הרישא לסעיף 3(2) ל-GDPR: "This Regulation applies to the processing of personal data of subjects who are in the Union …”.
[8] מכתבו של סגן ראש הממשלה ושר המשפטים, ח"כ יריב לוין, מיום ז בניסן תשפ"ג, 29.03.23, בעניין תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023, עמ' 5.
[9] בג"ץ 3267/97 רובינשטיין ואח' נ' שר הביטחון, פ"ד נב(5) 481, 519 (1998); בג"ץ 244/00 עמותת שיח חדש נ' שר התשתיות הלאומיות, פ"ד נו(6) 25, 56-57 (2002)
[10] בג"ץ 11163/03 ועדת המעקב העליונה לענייני הערבים בישראל נ' ראש ממשלת ישראל ס' 38 לפסק דינו של כב' השופט (כתוארו אז) חשין (פורסם בנבו, 27.02.06).
[11] הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב – 2022 (להלן: "תיקון 14"), עמ' 422. אמירה דומה הופיעה גם במסמך מטעם הרשות להגנת הפרטיות. ראו הרשות להגנת הפרטיות, חובת יידוע במסגרת איסוף ושימוש במידע אישי – טיוטה להערות הציבור (2 במאי, 2022).
[12] הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב – 2022 (להלן: "תיקון 14"), עמ' 422. אמירה דומה הופיעה גם במסמך מטעם הרשות להגנת הפרטיות. ראו הרשות להגנת הפרטיות, חובת יידוע במסגרת איסוף ושימוש במידע אישי – טיוטה להערות הציבור (2 במאי, 2022).
[13] הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב – 2022 (להלן: "תיקון 14"), עמ' 422. אמירה דומה הופיעה גם במסמך מטעם הרשות להגנת הפרטיות. ראו הרשות להגנת הפרטיות, חובת יידוע במסגרת איסוף ושימוש במידע אישי – טיוטה להערות הציבור (2 במאי, 2022).
[14] סעיף הקדמה 106 ו 45(3) ל - Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), (להלן: "GDPR"(.
[15] מכתבו של סגן ראש הממשלה ושר המשפטים, ח"כ יריב לוין, מיום ז בניסן תשפ"ג, 29.03.23, בעניין תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2023.
[16] כן לא כללנו בהצעת טיוטת תקנות הגישור המצ"ב את תקנה 8 העוסקת בשמירת הדינים ואת תקנה 9 הנוגעת לתחולתן, מתוך הנחה שאין הן רלוונטיות כאשר התיקון העיקרי מבוצע בהסדר הראשוני, דהיינו באמצעות תיקון לחוק הגנת הפרטיות.
[17] חוות דעת המכון הישראלי לדמוקרטיה בנוגע לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ב – 2022 מיום 10 ביולי, 2022.
[18] נציין שלא כללנו בטיוטת הצעת חוק זו את דברי ההסבר, המצויים בטיוטת תקנות הגישור.
[19] ס"ח התשמ"א עמ' 128.
[20] ס"ח התשמ"א, עמ' 128.
[21] ק"ת התשע"ז, עמ' 1022.
[22] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), (להלן: "GDPR"(.
[23] תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל ממדינה החברה באיחוד האירופי), התשפ"ב – 2022, פסקה שלישית (להלן: "מצע לדיון").
[24] סעיפים 28(7) ו-46(2)(c) ל-GDPR.
[25] Hon W. Kuan, Transfer Takeaways from GDPR Enforcement in Cloud Computing & Beyond (24 Jan., 2022).
[26] רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר, הצעה לתיקון חוק הגנת הפרטיות, התשמ"א – 1981, לשם שימור ההכרה האירופית בתאימות הדין בישראל, המכון הישראלי לדמוקרטיה (ספטמבר 2019).
[27] הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשע"ב – 2022 (להלן: "תיקון מס' 14").
[28] הצעת חוק הגנת הפרטיות (תיקון – חיזוק הזכות לפרטיות והגנה עליה), התשפ"ב – 2022.
[29] הצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב – 2011; הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשע"ח – 2018; הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשע"ב – 2022 (להלן: "תיקון מס' 14").
[30] על הקושי בהקבלת ההגדרות בין חוק הגנת הפרטיות ל-GDPR וחשיבותה של יצירת אחידות עם ההגדרות הקבועות ב-GDPR, עמדנו כבר בחוות דעתנו ביחס לתיקון 14. ראו רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר, חוות דעת בנוגע להצעת חוק הגנת הפרטיות (תיקון 14), התשפ"ב – 2022 (להלן: "תיקון 14") – סעיפי ההגדרות, המכון הישראלי לדמוקרטיה (12 במאי, 2022).
[31] סעיף 4(7) ל-GDPR, הגדרת "controller".
[32] סעיף 4(8) ל-GDPR, הגדרת "processor".
[33] סעיף 3 לחוק הגנת הפרטיות.
[34] ראו דיון בסעיף 5 להלן.
[35] Article 29 Data Protection Working Party, Adequacy Referential, (Adopted 28 Nov. 2017, last revised and adopted 6 Feb. 2018, WP254 rev.01).
[36] סעיפים 6 ו-9 ל-GDPR.
[37] סעיף 21 ל-GDPR.
[38] סעיף 22 ל-GDPR.
[39] Judgment of the Court (Grand Chamber) Maximillian Schrems v Data Protection Commissioner (C-362/14; 6 Oct, 2015) (להלן: "פרשת שרמס I").
[40] Article 29 Data Protection Working Party, Adequacy Referential, (Adopted 28 Nov. 2017, last revised and adopted 6 Feb. 2018, WP254 rev.01); סעיף 45 ל-GDPR.
[41] Judgment of the Court (Grand Chamber) Maximillian Schrems v Data Protection Commissioner (C-362/14; 6 Oct, 2015).
[42] Judgment of the Court (Grand Chamber) Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (C-311/18; 16 July, 2020) (להלן: "פרשת שרמס II").
[43] European Commission, European Commission adopts adequacy decision on Japan, creating the world’s largest area of safe data flow (press release, 23 Jan., 2019)
[44] רחל ארידור הרשקוביץ, הצעת חוק הגנת הפרטיות, התשע"ט – 2019: השלמות בנושא עיבוד מידע אישי על ידי גופי ביטחון והתנאים להכרת הנציבות האירופית בתאימות הדין המקומי (adequacy) סקירת משפט משווה, המכון הישראלי לדמוקרטיה (28 באוגוסט, 2019).
[45] מצע לדיון, פסקה 1.
[46] ראו דיון בסעיף 3 לעיל.
[47] בג"ץ 4253/02 קריתי ואח' נ' היועץ המשפטי לממשלה ואח', (פורסם בנבו 17.03.09).
[48] ראו, למשל, הרשות להגנת הפרטיות, חובת יידוע במסגרת איסוף ושימוש במידע אישי – טיוטה להערות הציבור (2 במאי, 2022).
[49] דברי ההסבר לטיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג – 2022 (להלן: "תקנות הגישור").
[50] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), (להלן: "GDPR"(.
[51] כפי שמתואר גם בסעיף ב לטיוטת תקנות הגישור.
[52] סעיפים 28(7) ו-46(2)(c) ל-GDPR.
[53] Hon W. Kuan, Transfer Takeaways from GDPR Enforcement in Cloud Computing & Beyond (24 Jan., 2022).
[54] רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר, הצעה לתיקון חוק הגנת הפרטיות, התשמ"א – 1981, לשם שימור ההכרה האירופית בתאימות הדין בישראל, המכון הישראלי לדמוקרטיה (ספטמבר 2019).
[55] הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשע"ב – 2022 (להלן: "תיקון מס' 14").
[56] הצעת חוק הגנת הפרטיות (תיקון – חיזוק הזכות לפרטיות והגנה עליה), התשפ"ב – 2022.
[57] הצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב – 2011; הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשע"ח – 2018; הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשע"ב – 2022 (להלן: "תיקון מס' 14").
[58] סעיף 4(8) ל-GDPR, הגדרת "processor".
[59] שניתן להקבילו להגדרת "מחזיק" בסעיף 3 לחוק הגנת הפרטיות.
[60] סעיף 4(7) ל-GDPR, הגדרת "controller". תמיכה בפרשנות זו ניתן למצוא בה"ש 6 להנחית רשם מאגרי מידע מס' 2/2012 תחולת הוראות חוק הגנת הפרטיות על הליכי מיון לקבלה לעבודה ופעילות מכוני מיון (28.12.2012).
[61] תקנה 1 לתקנות הגישור, הגדרת "האזור הכלכלי האירופי".
[62] תקנה 2(א) לתקנות הגישור.
[63] על הקושי בהקבלת ההגדרות בין חוק הגנת הפרטיות ל-GDPR וחשיבותה של יצירת אחידות עם ההגדרות הקבועות ב-GDPR, עמדנו כבר בחוות דעתנו ביחס לתיקון 14. ראו רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר, חוות דעת בנוגע להצעת חוק הגנת הפרטיות (תיקון 14), התשפ"ב – 2022 (להלן: "תיקון 14") – סעיפי ההגדרות, המכון הישראלי לדמוקרטיה (12 במאי, 2022).
[64] סעיף 4(7) ל-GDPR, הגדרת "controller". תמיכה בפרשנות זו ניתן למצוא בה"ש 6 להנחית רשם מאגרי מידע מס' 2/2012 תחולת הוראות חוק הגנת הפרטיות על הליכי מיון לקבלה לעבודה ופעילות מכוני מיון (28.12.2012).
[65] ראו דיון בסעיף 5 להלן.
[66] Article 29 Data Protection Working Party, Adequacy Referential, (Adopted 28 Nov. 2017, last revised and adopted 6 Feb. 2018, WP254 rev.01).
[67] סעיפים 6 ו-9 ל-GDPR.
[68] סעיף 21 ל-GDPR.
[69] סעיף 22 ל-GDPR.
[70] Judgment of the Court (Grand Chamber) Maximillian Schrems v Data Protection Commissioner (C-362/14; 6 Oct, 2015) (להלן: "פרשת שרמס I").
[71] Article 29 Data Protection Working Party, Adequacy Referential, (Adopted 28 Nov. 2017, last revised and adopted 6 Feb. 2018, WP254 rev.01); סעיף 45 ל-GDPR.
[72] Judgment of the Court (Grand Chamber) Maximillian Schrems v Data Protection Commissioner (C-362/14; 6 Oct, 2015).
[73] Judgment of the Court (Grand Chamber) Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (C-311/18; 16 July, 2020) (להלן: "פרשת שרמס II").
[74] European Commission, European Commission adopts adequacy decision on Japan, creating the world’s largest area of safe data flow (press release, 23 Jan., 2019)
[75] רחל ארידור הרשקוביץ, הצעת חוק הגנת הפרטיות, התשע"ט – 2019: השלמות בנושא עיבוד מידע אישי על ידי גופי ביטחון והתנאים להכרת הנציבות האירופית בתאימות הדין המקומי (adequacy) סקירת משפט משווה, המכון הישראלי לדמוקרטיה (28 באוגוסט, 2019).
[76] ראו, ה"ש 64, לעיל.
[77] ראו, למשל, סעיף 18 לחוק נתוני אשראי, התשע"ו – 2016, סעיף 26 לחוק הכללת אמצעי זיהוי ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, תש"ע – 2009.
[78] סעיפים 37-39 ל-GDPR.
[79] מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו, הרשות להגנת הפרטיות (24 בינואר, 2022).
[80] Harriet Pearson, Julie Brill, Mark Parsons & Hiroto Imai, Changes in Japan Privacy Law to Take Effect in Mid-2017; Key Regulator Provides Compliance Insights, Lexology (Feb 1. 2017); Chris H. Kang & Sun Hee Kim, Recent Major Amendments to Three South Korean Data Privacy Laws and their Implications, International Bar Association.
[81] ראו דיון בסעיף 3 לעיל.
[82] בג"ץ 4253/02 קריתי ואח' נ' היועץ המשפטי לממשלה ואח', (פורסם בנבו 17.03.09).
[83] ראו, למשל, הרשות להגנת הפרטיות, חובת יידוע במסגרת איסוף ושימוש במידע אישי – טיוטה להערות הציבור (2 במאי, 2022).
[84] Supplementary Rules under the Act on the Protection of Personal Information for Handling of Personal Data Transferred from the EU based on an Adequacy Decision. נוסף על הכללים המשלימים, הציגה יפן מנגנון, בניהול נציבות הפרטיות במדינה, לטיפול בתלונות נושאי מידע מהאזור הכלכלי האירופי בנוגע לגישה למידע האישי אודותיהם על ידי רשויות ציבור יפניות (למשל, רשויות ביטחון ורשויות אכיפת חוק). עוד סיפקה ממשלת יפן אישור שעיבוד מידע אישי למטרות אכיפת החוק הפלילי וביטחון המדינה יהיה מוגבל בהתאם למבחן הנחיצות והסבירות, יהיה נתון לפיקוח וביקורת עצמאית וכן למנגנון סעד אפקטיבי. ראו European Commission, European Commission adopts adequacy decision on Japan, creating the world’s largest area of safe data flows (23 Jan01. 2019).
[85] Yuliya Miadzvetskaya, What are the pros and cons of the Adequacy decision on Japan?, ku leuven Center for IT & IP Law (April 4, 2019).
[86] European Commission, Commission Implementing Decision of 17/12/2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequacy protection of personal data by the Republic of Korea under the Personal Information Protection Act, (C(2021) 9316).
[87] Harriet Pearson, Julie Brill, Mark Parsons & Hiroto Imai, Changes in Japan Privacy Law to Take Effect in Mid-2017; Key Regulator Provides Compliance Insights, Lexology (Feb 1. 2017)
[88] The Personal Information Protection Act; The Act on the Promotion of Information and Communications Network Utilization and Information Protection; Act of the Use and Protection of Credit Information.
[89] Chris H. Kang & Sun Hee Kim, Recent Major Amendments to Three South Korean Data Privacy Laws and their Implications, International Bar Association.
[90] סעיף 9 ל Supplementary Rules under the Act on the Protection of Personal Information for Handling of Personal Data Transferred from the EU based on an Adequacy Decision.
[91] Tomoki Ishiara, The Privacy, Data Protection and Cybersecurity Law Review: Japan, The Law Reviews (Oct. 27, 2022).
[92] Kwang Bae Park, South Korea – Data Protection Overview, DataGuidance (Sep. 2022).
[93] סעיפים 17(1)(b), (c) ל-GDPR.
[94] ראו דיון בסעיף א.3.א לעיל.
[95] ראו, למשל, רחל ארידור הרשקוביץ, הצעת חוק הגנת הפרטיות, התשע"ט – 2019: השלמות בנושא עיבוד מידע אישי על ידי גופי ביטחון והתנאים להכרת הנציבות האירופית בתאימות הדין המקומי (adequacy) סקירת משפט משווה, המכון הישראלי לדמוקרטיה (28 באוגוסט, 2019).
[96] ראו, למשל, Michael J. Kelly & Satolam David, The Right to Be Forgotten, U. III. L. Rev. 1 (2017); Amitai Etzioni, Happiness in the Wrong Metric: A Liberal Communitarian Response to Populism (2018).
[97] בדברי ההסבר בתקנות הגישור מצוין סעיף 5(e) ל-GDPR, כסעיף עליו נשענת התקנה. אנו מניחות שהכוונה להוראת סעיף 5(1)(e)) ל-GDPR.
[98] בדברי ההסבר בתקנות הגישור מצוין סעיף 5(d) ל-GDPR, כסעיף עליו נשענת התקנה. אנו מניחות שהכוונה להוראת סעיף 5(1)(d) ל-GDPR.
[99] סעיף 5(1)(d) ל- GDPR:
- Personal data shall be:
….
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay ('accuracy');
[100] European Commission, Commission Implementing Decision of 17/12/2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequacy protection of personal data by the Republic of Korea under the Personal Information Protection Act, (C(2021) 9316).