מטרת תזכיר חוק הגנת הפרטיות הינה הגברת יכולת ואפקטיביות האכיפה על מאגרי המידע וזאת בדרך של קביעת חובה לקיום סדרי ניהול וכללי עבודה הנדרשים לשם ניהול מאגר מידע, ומיקוד הפעילות הרגולטורית במישור הפיקוח והאכיפה.

הזכות לפרטיות הינה זכות חוקתית מוגנת על פי סעיף 7 לחוק-יסוד: כבוד האדם וחירותו.
הערות להצעת החוק ניתן להעביר כאן באתר עד ה- 28/08/12.




תזכיר חוק

א. שם החוק המוצע

חוק הגנת הפרטיות (תיקון מס'...) (צמצום חובת הרישום וקביעת חובה לקיום סדרי ניהול וכללי עבודה ולתיעודם במסמכים), התשע"ב-2012.

ב. מטרת החוק המוצע והצורך בו
מטרת התיקון המוצע היא שיפור הציות להוראות חוק הגנת הפרטיות, התשמ"א-1981 (להלן - חוק הגנת הפרטיות או החוק), הנוגעות לפרטיות במאגרי מידע, בדרך של קביעת חובה לקיום סדרי ניהול וכללי עבודה הנדרשים לשם ניהול מאגר מידע, ומיקוד הפעילות הרגולטורית במישור הפיקוח והאכיפה.
הזכות לפרטיות היא זכות חוקתית מוגנת על פי סעיף 7 לחוק-יסוד: כבוד האדם וחירותו.
פרק ב' לחוק הגנת הפרטיות מסדיר את ההגנה על המידע במאגרי מידע ממוחשבים. הפרק מגדיר מהו מאגר מידע ומבחין בין סוגים שונים של מידע, מקים מסגרת הסדרה של רישום ופיקוח על מאגרי מידע, וקובע הוראות לגבי איסוף המידע למאגרי המידע, אופן ניהול מאגרי מידע והשימוש במידע האגור בהם. תכלית ההסדר בפרק ב' היא למנוע פגיעה בפרטיות בהקשר של מאגרי מידע ולאפשר שקיפות לציבור על אודות המידע האגור אודותיו במאגרי המידע.
סעיף 8 לחוק מטיל על בעל מאגר לרשמו אם נתקיימו בו אחת מאלה (למעט אם יש בו רק מידע שפורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות כדין):
1. מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000;
2. יש במאגר מידע רגיש;
3. המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה;
4. המאגר הוא של גוף ציבורי כהגדרתו בסעיף 23;
5. המאגר משמש לשירותי דיוור ישיר כאמור בסעיף 17ג.
לצד זאת, הממונה רשאי להורות על קיום חובת רישום לגבי מאגר הפטור מחובת רישום, מטעמים מיוחדים שיירשמו.
בבסיסו של ההסדר הקיים הקובע חובת הרישום מטרות שונות:
1. שקיפות לציבור לעניין קיומם של מאגרי מידע;
2. כלי אכיפה בידי הממונה (רשם מאגרי המידע דהיום) (מיפוי המאגרים הקיימים וכלי להגברת הציות לחוק);
3. כלי לניהול מאגרי מידע בידי בעלי המאגרים (אמצעי להפנמת החובות הקבועות בפרק ב' לחוק);
4. גביית אגרה.
הנסיון מלמד, עם זאת, כי המרשם אינו ממלא את מלוא מטרות אלה. התועלת הישירה לציבור ולממונה במרשם בהיקפו הנוכחי – מצומצמת, שכן המרשם כולל רק פרטים על המאגרים החייבים ברישום. נוסף לכך, חובת הרישום, ככלל, אף לא מהווה אמצעי פיקוח מהותי של הממונה.
בשנים האחרונות התעוררו ספקות לעניין האפקטיביות של הרישום ומידת הרלוונטיות של ההסדר למציאות הטכנולוגית הנוכחית ולהיקף הנרחב של מאגרי המידע הקיימים כיום.
כך, חובת הרישום של מאגרי המידע נבחנה במסגרת דין וחשבון שהגיש בינואר 2007 הצוות לבחינת החקיקה בתחום מאגרי המידע בראשות מר יהושע שופמן (להלן – "דו"ח צוות שופמן" או "דו"ח הצוות").
דעת הרוב של הצוות היתה כי יש לצמצם את חובת הרישום כך שתחול בהתקיים אחת מהנסיבות הבאות:
1. כאשר בעל המאגר "סוחר" במידע שברשותו (מאגר המשמש לשירותי דיוור ישיר);
2. כאשר המאגר כולל מידע בעל רגישות מיוחדת, מכיוון שיש אינטרס מוגבר של הציבור לקבל פרטים אודות מאגרים אלה.
עמדה זו התבססה על מספר טעמים: ראשית, הגדרת "מאגר מידע" רחבה ועמומה ומובילה לחוסר ודאות לעניין קיומה של חובת הרישום. שנית, היקפה הרחב של חובת הרישום מוביל לכך שיחידת הממונה עוסקת בטפל ולא מתמקדת בעיקר - פיקוח. שלישית, מיעוטם של המאגרים רשומים, ואין יכולת לאכוף החובה. בכך יש זילות של הוראות החוק בנוגע לרישום מאגרים וכן הפלייתם של בעלי המאגרים הממלאים חובתם כדין ומשלמים אגרה למול אלה שלא עשו כן.
כן סברו מרבית חברי הצוות כי יש ליתן סמכות לממונה לחייב מאגר מסוים ברישום.
גם הנסיון המצטבר ברשות למשפט טכנולוגיה ומידע (להלן - רמו"ט), אשר במסגרתה פועל הממונה החל משנת 2007, מלמד כי היכולת המעשית של הממונה לברר בירור מוקדם, במסגרת פרק הזמן שנקבע בחוק, את מאפייני הפעילות הקונקרטית המתוארת באופן כללי בכל בקשת רישום מאגר, את הסיכונים שהפעילות מייצרת, ואת אופן ההתמודדות של הארגון עם סיכונים אלה היא נמוכה, ובמקרים רבים אינה האמצעי המאסדר היעיל להגברת הציות. בנוסף, טעות נפוצה היא כי רישום המאגר מהווה "תעודת כשרות" לפעילות העיבוד המבוצעת.
לאור האמור, ולאחר בחינה של הנטל המינהלי הכרוך במנגנון הרישום אל מול התועלת העולה ממנו, מוצע להמירו בחלופה שתביא להפנמה טובה יותר של החובות לפי פרק ב' בקרב בעלי מאגרים, ותמקד את משאבי יחידת הממונה בפעילות פיקוח ואכיפה. על פי המוצע, את חובת הרישום תחליף חובה לקיום סדרי ניהול וכללי עבודה, אשר תחייב ארגונים בקיום הליכים פנימיים שמטרתם הפנמה של היבטי הציות לחוק במכלול ההיבטים הקשורים בו. חובה זו תשאיר מרחב גמישות לארגון ביחס לאופן פעולתו, וזאת לצד הבטחת ההפנמה של הוראות החוק.
יצוין כי הצעה מקיפה לתיקון ההסדרה האירופאית בנושא זה - הצעה לתקנה (regulation)שפרסמה הנציבות האירופית בינואר 2012 בנושא הגנת מידע אישי במאגרי מידע - כוללת הצעה דומה להחלפה של חובת ההודעה למאסדר (notification)בחובת ניהול תהליכים פנימיים ותיעודם במסמכים, בדומה למוצע בתזכיר זה.
חובת הרישום תחול, על פי המוצע, רק על גופים ציבוריים, ועל מאגרים רגישים במיוחד הטומנים בחובם סיכון לפרטיות מעצם קיומם. ההיקף המוצע של החובה גובש תוך הערכה של מספר המאגרים הצפויים להיות כפופים לחובה, באופן שיאפשר לממונה לבדוק באופן מקיף וקפדני יותר את הבקשות לרישום, בהתחשב בין היתר באופי המאגרים.
הסדר מוצע זה מצטרף להצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב-2011 (להלן – הצעת חוק סמכויות אכיפה) הנדונה בימים אלה בוועדת החוקה, חוק ומשפט של הכנסת, בהכנה לקריאה השנייה והשלישית, אשר כוללת הצעה לחיזוק משמעותי של יכולות האכיפה של הממונה. תזכיר חוק זה מהווה תיקון המשך לתיקון המוצע בהצעת חוק סמכויות אכיפה, וכולל בין היתר תוספות לסעיפי העיצום הכספי והעבירות המופיעים בהצעת החוק.

ג. השפעה על החוק הקיים

בתזכיר מוצע לתקן את חוק הגנת הפרטיות כמפורט להלן:
1. צמצום היקף המאגרים החייבים ברישום, כך שהחובה תחול על מאגר מידע של גוף ציבורי וכן על מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, על מאגר מידע המשמש חוקר פרטי ועל מאגר מידע של בעל רישיון לפי חוק שירות נתוני אשראי. כמו כן, הוספת חובה לפרט בבקשה לרישום את מקורות המידע;
2. הוספת חובה של קיום סדרי ניהול וכללי עבודה ותיעודם במסמכים, שתחול על מאגר מידע הכולל מידע בעל רגישות מיוחדת, על מחזיק במאגרי מידע מסוגים אלה, השייכים לחמישה בעלים שונים לפחות וכן על החייבים ברישום;
3. הוספת הפרות מתאימות הרלוונטיות לחובות שלעיל, שבגינן יהיה הממונה מוסמך להטיל עיצום כספי;
4. הוספת עבירות פליליות הרלוונטיות לחובות שלעיל, והנוגעות להתנהגויות המבוצעות בכוונה להטעות את הממונה או מפקח מטעמו.


ד. השפעת החוק המוצע על תקציב המדינה ועל התקן המנהלי
לחוק המוצע לא צפויה השפעה של ממש על תקציב המדינה ועל התקן המנהלי. אמנם, החובה המוצעת בסעיף 2 לתזכיר חלה על גופים ציבוריים והיא עשויה להיות כרוכה בהקצאת משאבים מסוימת, ואולם החובה המהותית לשימוש במידע, שמירתו ואבטחתו חלה כבר כיום.

ה. להלן נוסח החוק המוצע ודברי הסבר:
תזכיר חוק הגנת הפרטיות (תיקון מס'...) (צמצום חובת הרישום וקביעת חובה לקיום סדרי ניהול וכללי עבודה ולתיעודם במסמכים), התשע"ב- 2012

תיקון סעיף 7
1.
בסעיף 7 לחוק הגנת הפרטיות, התשמ"א-1981 (להלן – החוק העיקרי) -


(1)
אחרי הגדרת "אבטחת מידע" יבוא "הוועדה" – ועדת החוקה, חוק ומשפט של הכנסת";


(2)
הגדרת "מידע רגיש" תימחק.
הוספת סעיף 7א
2.
לפני סעיף 8 לחוק העיקרי יבוא:


חובת קיום סדרי ניהול וכללי עבודה ותיעודם במסמכים
7א
(א)
בעל מאגר מידע, מחזיק במאגר מידע מן הסוגים המנויים בתוספת הראשונה ובתוספת השניה יקיים סדרי ניהול וכללי עבודה הנדרשים לשם ניהול המאגר לפי הוראות חוק זה, יתעד את ביצועם במסמכים המתארים את אופן ניהול המאגר, השימוש בו, אבטחתו ומימוש זכויות נושאי המידע בו ויחזיקם מעודכנים, והכל כפי שקבע שר המשפטים בתקנות באישור הוועדה; השר רשאי לקבוע בתקנות הוראות מיוחדות לעניין סוגים שונים של מאגרים.






(ב)
בעל מאגר מידע עליו חלה חובה כאמור בסעיף קטן (א), ימסור לממונה הודעה כי הוא מחזיק מסמכים כאמור וכן הודעה הכוללת את הפרטים הבאים, והכל בדרך שקבע השר באישור הוועדה -







(1)
ביחיד - שם בעל המאגר ומספר זהות, ובתאגיד – שם התאגיד ומספר הרישום שלו;







(2)
מענו של בעל המאגר ודרכי ההתקשרות עימו;







(3)
שמו של מנהל המאגר ועותק מכתב המינוי שלו כפי שקבע השר;







(4)
פרטי האדם האחראי מטעם בעל המאגר על טיפול בבקשות לפי סעיפים 13 ו-14 לחוק ופרטי האחראי על הגנת המידע, ככל שיש חובה למנותו לפי סעיף 17ב או שבעל המאגר מינה אחראי ביוזמתו, אף אם אין חובה כאמור, ועותק מכתב המינוי של האחראי על הגנת המידע, כפי שקבע השר;







(5)
פרטים נוספים שקבע השר באישור הוועדה; השר רשאי לקבוע פרטים מיוחדים לעניין סוגים שונים של מאגרים.






(ג)
בעל מאגר מידע עליו חלה חובה כאמור בסעיף קטן (א), יכין מסמך הכולל פרטים אלה, לגבי מאגר המידע, ויאפשר עיון בו לפי בקשה-







(1) פרטים המנויים בסעיף 9(ב)(1)-(5), למעט פרטים שקבע השר לפי סעיף 12(ג);







(2) פרטים המנויים בסעיף קטן (ב)(4).






(ד)
מטעמים מיוחדים שיירשמו, יהיה הממונה רשאי להורות על חובת קיום של סדרי ניהול וכללי עבודה ותיעודם במסמכים לגבי מאגר שלא חלה עליו חובה כאמור לפי סעיף קטן (א), אם השתכנע כי בנסיבות העניין הדבר דרוש לשם הבטחת קיום הוראות חוק זה במאגר המידע; הוראה כאמור תומצא לבעל המאגר ותובא לידיעת הציבור בידי הממונה, בדרך שימצא לנכון.






(ה)
בעל המאגר יודיע לממונה על כל שינוי בפרט מהפרטים המפורטים בסעיף קטן (ב) או שנקבעו לפיו.






(ו)
שר המשפטים רשאי לשנות בצו באישור הוועדה את התוספת השניה."
תיקון סעיף 8
3.
בסעיף 8 לחוק העיקרי -


(1)
כותרת השוליים תימחק ובמקומה יבוא "חובת רישום".


(2)
סעיף קטן (ב) יימחק.


(3)
במקום סעיף קטן (ג) יבוא -



(ג)
"בעל מאגר מידע המנוי בתוספת הראשונה, חייב ברישום המאגר במרשם."


(4)
סעיף קטן (ד) יימחק ולאחריו יבוא:



(ד1)
"שר המשפטים, באישור הוועדה, רשאי לשנות בצו את התוספת הראשונה."


(5)
בסעיף קטן (ה), במקום "הפטור מחובת רישום לפי סעיפים קטנים (ג) ו-(ד1)" יבוא "שלא חלה עליו חובת רישום לפי סעיפים קטנים (ג) ו-(ד1)", ולאחריו יבוא "אם השתכנע כי הדבר דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע, או להורות על פטור מחובת רישום לגבי מאגר מידע החייב ברישום לפי סעיפים קטנים (ג) ו-(ד1), אם השתכנע כי הרישום אינו דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע", ובמקום הסיפה החל במלים "ובה יפרט" יבוא "ותפורסם באתר האינטרנט של הממונה".
תיקון סעיף 9
4.
בסוף סעיף 9(ב) לחוק העיקרי יבוא:


"(6)
המקורות מהם יתקבל, ייצבר או ייאסף המידע הכלול במאגר."
תיקון סעיף 11
5.
אחרי פסקה (3) בסעיף 11 לחוק העיקרי, יבוא:


"(4)
זכותו של האדם לעיין במידע ולבקש לתקנו או למוחקו, בהתאם לסעיפים 13 ו-14 לחוק."
תיקון סעיף 12
6.
בסעיף 12 לחוק העיקרי -


(1)
בסעיף קטן (ב), במקום "כאמור בסעיף 9" יבוא "כאמור בסעיף 9(ב)(1)-(5) ואת הפרטים שיימסרו לפי סעיף 7א(ב)(1)-(4)";


(2)
בסעיף קטן (ג), הסיפה החל במלים "במאגר של רשות ביטחון" תימחק, ובמקומה יבוא "רשאי שר המשפטים לקבוע כי פרטים מתוך המרשם לא יהיו פתוחים לעיונו של הציבור, אם בגילויים יש חשש לפגיעה בבטחון המדינה, ביחסי החוץ שלה, בבטחון הציבור או באינטרס ציבורי חיוני אחר".
תיקון סעיף 17א
7.
בסעיף 17א(ב) לחוק העיקרי, לאחר התיבה "מדי שנה", יבוא "עד האחד לאפריל של השנה שלאחר שנת הדיווח."
תיקון סעיף 23טז
8.
בסעיף 23טז לחוק העיקרי-


(1)
בסעיף קטן (ב), אחרי פסקה (9), יבוא:



"(10)
ניהל או החזיק מאגר מידע החייב בחובת קיום סדרי ניהול וכללי עבודה ותיעודם במסמכים שלא בהתאם להוראות סעיף 7א(א);



(11)
כלל פרטים לא נכונים בהודעה כאמור בסעיף 7א(ב);



(12)
לא הודיע לממונה על שינויים בפרטים הנוגעים למאגר המידע, בניגוד לסעיף 7א(ה)."
תיקון סעיף 23לז
9.
בסעיף 23לח לחוק העיקרי, אחרי פסקה (3), יבוא:


"(4)
כלל פרטים לא נכונים בהודעה כאמור בסעיף 7א(ב);


(5)
לא הודיע לממונה על שינויים בפרטים הנוגעים למאגר המידע, בניגוד לסעיף 7א(ה)."
תיקון סעיף 36
10.
בסעיף 36 לחוק העיקרי, אחרי פסקה (4) יבוא:


(5)
הוראות לעניין אופן העברת הודעות אל הממונה וממנו, לרבות לעניין העברת הודעות באופן מקוון, או באופן מקוון כשהן חתומות בחתימה אלקטרונית מאושרת או בחתימה אלקטרונית מאובטחת, כהגדרתן בחוק חתימה אלקטרונית, התשס"א-2001, באופן שיורה, ורשאי הוא לקבוע הוראות שונות לעניין סוגים שונים של הודעות או של מאגרים."
תיקון סעיף 36א
11.
בסעיף 36א(א) לחוק העיקרי, אחרי פסקה (2) יבוא:


"(3)
אגרה בעבור מסירת הודעה לממונה לפי סעיף 7א(ב).
תחילה
12.
תחילתו של סעיף 7א(א)-(ה) לחוק העיקרי ושל סעיף 6, ולעניין מי שמנוי בתוספת הראשונה או השנייה, תחילתו של סעיף 3 - שישה חודשים מיום פרסומו של חוק זה, או במועד כניסתן לתוקף של תקנות לפי הסעיפים האמורים, לפי המאוחר.
הוראת מעבר
13.
אגרה ששולמה בעד מאגר מידע החייב ברישום לפני מועד התחילה, לא תוחזר.
הוספת תוספות
14.
לחוק העיקרי יתווספו תוספות:


"תוספת ראשונה
(סעיף 8)


בעלים של מאגר מידע שהוא אחד מאלה, חייב ברישום המאגר במרשם, למעט אם המאגר כולל מידע אודות המועסקים או הספקים של בעל המאגר בלבד, ומשמש למטרות ניהול עסקו בלבד -


(1)
מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;


(2)
מאגר מידע המשמש חוקר פרטי רשוי לפי חוק חוקרים פרטיים ושירותי שמירה, התשל"ב-1972 בעיסוקו;


(3)
מאגר מידע של בעל רישיון לפי חוק שירות נתוני אשראי, התשס"ב-2002;


(4)
בעל המאגר הוא גוף ציבורי כמשמעותו בסעיף 23 לחוק.


תוספת שניה
(סעיף 7א)


בעלים של מאגר מידע שהוא אחד מאלה, חייב בקיום סדרי ניהול וכללי עבודה ובעריכת מסמכים כאמור בסעיף 7א לחוק -


(1)
מאגר מידע אשר כולל מידע שהוא אחד מאלה -



(א)
מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד;



(ב)
מידע רפואי או מידע על מצבו הנפשי של אדם;



(ג)
מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א-2000;



(ד)
מידע כלכלי על אדם, לרבות מידע אודות הרגלי הצריכה של אדם;



(ה)
מידע אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם;



(ו)
מידע אודות עברו הפלילי של אדם;



(ז)
נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה- נתוני תקשורת), תשס"ח-2007;



(ח)
מידע שהוא מאפיין אנושי פיזיולוגי, ייחודי, הניתן למדידה ממוחשבת, המשמש לזיהוי אדם.


(2)
מחזיק במאגרי מידע מן הסוגים המפורטים בפסקה (1), השייכים לחמישה בעלים שונים לפחות.


(3)
על אף האמור בפסקאות (1) ו-(2) לתוספת, על מאגר מידע המקיים אחד מאלה, לא חלה חובה לפי סעיף 7א -



(א)
המאגר כולל מידע מן הסוגים המפורטים בפסקאות משנה 1(ב), (ד), (ו), (ז) או (ח) אודות המועסקים או הספקים של בעל מאגר המידע, ובלבד שהמידע משמש למטרות ניהול עסק בלבד ושהמאגר אינו כולל מידע מן הסוגים המפורטים בפסקאות משנה 1(א), (ג) ו-(ה);



(ב)
מספר המועסקים אצל בעל המאגר אינו עולה על עשרה.
תיקון חוק מידע גנטי, התשס"א-2000
15.
במקום סעיף 17 יבוא:


"מאגר מידע גנטי מזוהה
17
הוראות חוק הגנת הפרטיות יחולו על מידע גנטי מזוהה המוחזק במאגר מידע כהגדרתו בחוק הגנת הפרטיות, ככל שאין בחוק זה הוראה אחרת לענין הנדון."
תיקון חוק חתימה אלקטרונית, התשס"א-2001
16.
סעיף 11(א)(4) יימחק.

דברי הסבר
לסעיף 1
אישורה של ועדת החוקה, חוק ומשפט של הכנסת לתקנות נדרש בכמה מן הסעיפים המוצעים (7א(א), 7א(ב), 7א(ו), 8(ד1)). מוצע להוסיף הגדרה לוועדה לשם הקיצור.
בסעיף 7 מוגדר "מידע רגיש" כאחד מאלה:
(1) נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו;
(2) מידע ששר המשפטים קבע בצו, באישור ועדת החוקה, חוק ומשפט של הכנסת, שהוא מידע רגיש.
עד כה לא נקבע צו כאמור.
הגדרת מידע רגיש כוללת כמעט את כל הפרטים הכלולים בהגדרת "מידע", למעט נתונים על מעמדו האישי של אדם והכשרתו המקצועית, ולמעשה ההבחנה בין המונחים שולית. להגדרת מידע כרגיש אין משמעות לעניין החובות המוטלות לפי החוק, למעט לעניין חובת הרישום של מאגר מידע.
יצוין כי דעת הרוב בדו"ח צוות שופמן המליצה למחוק את ההגדרה, ולהתייחס לסוג המידע ומידת רגישותו במסגרת קביעת היקפה של חובת הרישום.
לאור השינוי המוצע בהיקף חובת הרישום, וצמצומה למאגרי מידע של גופים ציבוריים ולמאגרי מידע שהם עיקר הפעילות העסקית של הארגון ומטרת פעילותו, אין צורך בהגדרת מידע רגיש ומוצע למוחקה.
עם זאת יצוין, כי להבחנה בדבר מידת רגישותו של מידע מוצע ליתן משמעות בהקשרים שונים, הן לעניין החובה המוצעת בסעיף 2, והן לבר תזכיר זה, ובכלל זה לעניין חובות אבטחת המידע המוטלות עליו, ולעניין גובה העיצום הכספי שיושת בגין הפרה של הוראות פרק ב'. הדבר בא לידי ביטוי במסגרת הצעת חוק סמכויות אכיפה.
לסעיף 2 ולתוספת השניה
כפי שפורט לעיל, בשל התועלת המוגבלת של חובת הרישום להגברת הציות להוראות פרק ב' לחוק, למול הנטל הבירוקרטי הכרוך בו, הן לבעלי המאגרים והן ליחידת הממונה, מוצע להמירו בחובה לקיום סדרי ניהול וכללי עבודה, ולתיעודם במסמכים המתארים את אופן ניהול המאגר, השימוש בו, אבטחתו ומימוש זכויות נושאי המידע בו.
החובה הפרוצדורלית המוצעת מתמקדת באחריות של בעל המאגר לאימוץ נהלי עבודה ולקיום תהליכים פנימיים מתועדים, שעניינם התמודדות עם הסיכונים הכרוכים בהחזקת מידע אישי במאגרי מידע ובשימוש בו, תוך הפנמה של הוראות החוק השונות. בין היתר, החובה תכלול קיום תהליכי עבודה הנוגעים לאבטחת המידע. בכך, באה לידי ביטוי האחריות של בעל המאגר לפעילות תקינה של המאגר לפי החוק, תוך הותרת מרחב גמישות ניהולי.
כמו כן, מוצע לחייב בעל מאגר למסור לממונה הודעה על החזקת המסמכים וכן הודעה הכוללת פרטים בסיסיים אודות בעלי התפקידים במאגר (ולעדכן על כל שינוי בהם): פרטי בעל המאגר ודרכי ההתקשרות עימו; פרטי מנהל המאגר וצירוף כתב מינויו, בהתאם לנוסח שייקבע בתקנות; פרטי האחראי על הגנת המידע וצירוף כתב מינויו, בהתאם לנוסח שייקבע בתקנות, ופרטי האדם האחראי מטעם בעל המאגר על טיפול בבקשות לפי סעיפים 13, 14 לחוק (וכן פרטים נוספים שקבע השר באישור הוועדה). לקביעת האחראים בארגון לניהול המאגר ולשימוש בו בהתאם להוראות החוק, חשיבות רבה בהגברת הציות ובצמצום הסיכונים לשימוש לרעה במידע. ההנחה היא כי בדרך כלל קיומו של גורם אחראי בכיר, המקיים תהליכי קבלת החלטות וניהול סיכונים שוטפים ומקבל ייעוץ משפטי ומקצועי במידת הצורך, יגביר את הסיכוי לניהול אחראי ותקין של המידע.
על מנת לאפשר שקיפות לציבור, מוצע להטיל על בעל מאגר להכין מסמך הכולל מידע על המאגר בדומה למידע שניתן לעיין בו במרשם מאגרי המידע כיום, ולאפשר לכל דורש לעיין בו. עוד יכלול המסמך את פרטי ההתקשרות עם האדם האחראי על טיפול בבקשות לפי סעיפים 13 ו-14 לחוק, וזאת על מנת לסייע במימוש זכות העיון (וזכות התיקון הנלווית לה).
החובה המוצעת בסעיף תחול על בעל מאגר מידע החייב ברישום (ראו להלן, דברי הסבר לסעיף 3), וכן על בעל מאגר מידע הכולל מידע בעל רגישות מיוחדת, כמפורט בתוספת השניה, ועל מחזיק במאגרי מידע של גופים ציבוריים או הכוללים מידע בעל רגישות מיוחדת, השייכים לחמישה בעלים שונים לפחות. הרציונאל להטלת החובה בהיקף האמור הוא מידת הסיכון שנוצר עקב איסוף המידע ושמירתו במאגר מידע, והשימוש בו. מטעם זה, החובה לא תחול על בעל מאגר המעסיק עד עשרה עובדים, ועל מאגר שגרתי של מועסקים או ספקים, המשמש לניהול עסק בלבד. מוצע כי שר המשפטים יוכל לשנות בצו, באישור ועדת החוקה, חוק ומשפט של הכנסת, את הסוגים של בעלי מאגרים עליהם תחול החובה.
לצד קביעת סוגי בעלי המאגרים עליהם תחול החובה, מוצע ליתן סמכות לממונה להורות על החלת החובה על מאגר, מטעמים מיוחדים שיירשמו וזאת על מנת לאפשר גמישות ביחס לתחולת החובה על בעל מאגר מסוים. אמת המידה להחלה כאמור היא כי הדבר דרוש לשם הבטחת קיום הוראות החוק במאגר מידע.

לסעיפים 3 ו-4 ולתוספת הראשונה
סעיף 8(ב) קובע כי "לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה שלשמה הוקם המאגר." המפר את הסעיף דינו מאסר שנה לפי סעיף 31א(א)(1) לחוק.
הסעיף משקף עקרון יסודי בהגנה על פרטיות - עקרון צמידות המטרה, אשר בא לידי ביטוי גם בסעיף 2(9) לחוק. ואולם, עקרון זה אינו תלוי בהיותו של מאגר כפוף לחובת הרישום, אלא הוא חל על כלל מאגרי המידע. בהצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב-2012, עוגן האיסור בעבירות שעניינן שימוש במידע ממאגר מידע בניגוד למטרה שלשמה נמסר, ושימוש במידע ממאגר מידע בלא הרשאה שדינן, בהתאמה, 5 שנות מאסר ושלוש שנות מאסר (סעיפים 23מ, 23מא להצעת החוק). אשר על כן מוצע למחוק את סעיף 8(ב) לחוק.
כמו כן, וכפי שפורט לעיל, מוצע לצמצם את חובת הרישום ולהחילה על מאגרים רגישים במיוחד הטומנים בחובם סיכון לפרטיות מעצם קיומם - שהמידע האגור בהם הוא לב עיסוקו של בעל המאגר ותכלית פעילותו. כך, תחול החובה על בעל מאגר מידע שעיסוקו סחר במידע, כדוגמת שירותי דיוור ישיר; על מאגר מידע המשמש חוקר פרטי רשוי בעיסוקו ועל בעל מאגר מידע שהוא בעל רישיון לפי חוק שירות נתוני אשראי. ההיקף המצומצם יותר של מאגרים החייבים ברישום, גובש בין היתר על מנת להביא לכך שהבדיקה המקדימה שלהם על ידי יחידת הממונה תהיה בדיקה מעמיקה של חוקיות ניהול המאגר ומטרותיו, לרבות בחינה של מקורות המידע שייכלל במאגר. לבחינת חוקיות האיסוף נודעת חשיבות מיוחדת ביחס למאגרים אלה, בהם המידע הוא לב פעילות העסק וקיים תמריץ משמעותי להרחבת היקף המידע הנאסף.
כמו כן, מוצע להותיר על כנה את חובת הרישום החלה על גופים ציבוריים, וזאת לאור מאפייניהם המיוחדים - בדרך כלל איסוף המידע נעשה מכוח סמכות שבדין ואינו מבוסס על הסכמת נושא המידע; גופים ציבוריים רבים מנהלים מאגרי מידע הכוללים מידע רגיש ביותר, וכן מאגרי מידע שמספר נושאי המידע בהם רב. חובת הרישום תסייע לעמידת הגופים בהוראות החוק.
גם לעניין זה מוצע כי שר המשפטים יוכל לשנות בצו, באישור ועדת החוקה, חוק ומשפט של הכנסת, את הסוגים של בעלי מאגרים עליהם תחול החובה.
בדומה למוצע בסעיף 2, ובדומה לקבוע כיום בסעיף 8(ה) לחוק, מוצע לאפשר גמישות וליתן סמכות לממונה להורות על החלת החובה על מאגר. אמת המידה להחלה כאמור היא כי הדבר דרוש לשם הבטחת קיום הוראות החוק במאגר מידע.לצידה, מוצע ליתן לממונה סמכות לפטור במקרים המתאימים מאגר מידע מסוים מתחולת החובה. מרבית חברי צוות שופמן המליצו לקבוע בחוק סמכות כאמור.

לסעיף 5
סעיף 11 לחוק קובע חובת הודעה לאדם אשר מבקשים לקבל ממנו מידע לשם החזקתו במאגר מידע, בדבר איסוף המידע (האם חלה עליו חובה חוקית למסור את המידע) ובדבר הפעולות שמבקשים לעשות בו (המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה). ההודעה נגזרת מעיקרון ההסכמה מדעת שבבסיס החוק, ונועדה לאפשר לאדם לקבל החלטה מושכלת, תוך שהוא מודע להשלכות החלטתו.
מוצע לתקן את הסעיף כך שהחובה תכלול גם הודעה על זכויותיו של נושא המידע ביחס למידע – זכות העיון והתיקון, בהתאם לסעיפים 13 ו-14 לחוק.

לסעיף 6
לפסקה (1) סעיף 12 לחוק מקים מרשם מאגרי מידע, המנוהל על ידי הממונה. לאור שינוי היקף חובת הרישום, והוספת החובה בסעיף 2 לתזכיר, מוצע לתקן את סעיף קטן (ב) כך שהמרשם יכלול, בנוסף לפרטים הכלולים בו כיום ביחס למאגרי מידע החייבים ברישום, גם את הפרטים הכלולים בהודעה לממונה לפי סעיף 2 לתזכיר (פרטים בסיסיים אודות בעלי התפקידים במאגר עליו חבה חובת קיום סדרי ניהול וכללי עבודה ותיעודם במסמכים).
לפסקה (2) מוצע להחליף את ההחרגה מהעמדה לעיון במרשם, הקבועה בסעיף קטן (ג), של פרטים אודות מאגר של רשות ביטחון, במתן סמכות לשר לקבוע פרטים שיוחרגו בתקנות, תוך הבניית אמת מידה מהותית להחרגה אפשרית – פגיעה בבטחון המדינה, ביחסי החוץ שלה, בבטחון הציבור או באינטרס ציבורי חיוני אחר.

לסעיף 7
מוצע לקבוע מועד קבוע למסירת המסמכים לרשם על ידי מחזיק שברשותו חמישה מאגרי מידע החייבים ברישום, לפי סעיף 17א(ב) לחוק.

לסעיף 8
מוצע להוסיף לסעיף 23טז(ב) המוצע בהצעת חוק סמכויות אכיפה, הקובע רשימת הוראות שעל הפרתן ניתן להטיל עיצום כספי בסכום הבסיסי, את ההוראות בנוגע לחובת קיום סדרי ניהול וכללי עבודה ותיעודם במסמכים. מדובר בהוראות דומות להוראות הנוגעות לחובת הרישום שנקבעו כהפרות בסעיף 23טז(ב)(1)-(3).

לסעיף 9
מוצע להוסיף לסעיף 23 לח המוצע בהצעת חוק סמכויות אכיפה, שעניינו "הפרה בכוונה להטעות", אשר קובע עבירה שדינה מאסר שלוש שנים, התנהגויות נוספות הנוגעות לחובת קיום סדרי ניהול וכללי עבודה ותיעודם במסמכים, המבוצעות בכוונה להטעות את הממונה או מפקח מטעמו, שיש להן קשר ישיר להפעלת הפיקוח על ניהול מאגרי המידע: כתיבת פרטים לא נכונים בהודעה לממונה, אי הודעה לממונה על שינוי הפרטים הנוגעים למאגר המידע. התנהגויות דומות הנוגעות לחובת הרישום כלולות בסעיף המוצע בהצעת חוק סמכויות אכיפה.

לסעיף 10
מוצע להוסיף הסמכה פרטנית לשר לקבוע הוראות לעניין העברת הודעות אל הממונה וממנו. כך, ניתן יהיה לקבוע כי מנגנון הרישום וכן ההודעה לפי סעיף 2 לתזכיר תיעשנה באמצעים מקוונים. הדבר יביא לייעול פעילות הממונה ולשיפור השירות לציבור.
מטרת ההסמכה לשימוש בחתימה אלקטרונית ולחיוב בשימוש בה היא לאפשר לשר לקבוע לגבי סוגי דיווחים או פעילויות כי יש להשתמש בהן באמצעות חתימה אלקטרונית, וזאת בשל הצורך בוודאות מוגברת לגבי אותן תקשורות, תוך שימוש במקור משפטי חיצוני לחוק המעניק לתקשורות אלה מעמד משפטי - חוק חתימה אלקטרונית.

לסעיף 11
מוצע להוסיף לסמכות הנתונה לשר באישור הוועדה לקבוע אגרות בעבור רישום מאגר מידע ועיון בו, סמכות לקבוע אגרה בעבור מסירת הודעה לממונה על החזקת מסמכים. האגרה נדרשת לאור הנטל שיוטל על יחידת הממונה בבדיקת ההודעות ובביצוע הבקרות על קיום סדרי הניהול וכללי העבודה. מובן כי הדבר יחייב שינוי בחישוב האגרות.

לסעיף 12
המעבר לחובת קיום תהליכים פנים ארגוניים ועריכת מסמכים מותנה בהתקנת תקנות המפרטות את היקפה של החובה (וכן את היקפם של הפרטים בהם ניתן יהיה לעיין במרשם), וכן מצריך זמן סביר להיערכות בעלי המאגרים והממונה להסדר החדש. לכן מוצע לקבוע כי תחילתו של ההסדר שישה חודשים מיום פרסומו של החוק או במועד כניסתן לתוקף של התקנות, לפי המאוחר.
כמו כן, מוצע לקבוע תחילה נדחית גם לתיקון היקפה של חובת הרישום, לגבי מי שמנוי בתוספת השנייה, וזאת על מנת למנוע מצב של ריק – בו לא תחול חובת רישום, מחד, ואילו חובת קיום סדרי ניהול וכללי עבודה ועריכת מסמכים, טרם תיכנס לתוקפה. תחילה נדחית לתיקון זה מוצעת גם לגבי מי שמנוי בתוספת הראשונה, על מנת לאפשר היערכות של יחידת הממונה לשינוי ההסדר. עם זאת, התיקון ייכנס לתוקף ללא דיחוי, מקום שבעקבות התיקון לא תחול כל חובה על בעל המאגר (מי שאינו מנוי בתוספת הראשונה או השנייה).

לסעיף 13
מוצע לקבוע כי אגרה ששולמה בעד מאגר מידע החייב ברישום לפני מועד התחילה, לא תוחזר. תכלית ההוראה המוצעת היא למנוע נטל בירוקרטי הכרוך במנגנון החזרי אגרות, אשר יפגע בהיערכות יחידת הממונה להסדר החדש ובהקצאת המשאבים בפיקוח על מילוי הוראות החוק. עם זאת, בכוונתנו להתאים מועד כניסת התיקון לתוקף למועד שיצמצם היקף תשלומי היתר. עם התקדמות הליכי החקיקה, ובהתאם לאפשרות להתאים המועד כאמור, תיבחן שנית ההוראה.
לסעיפים 15 ו-16
מוצע למחוק את חובת הרישום הקבועה בחוק מידע גנטי, התשס"א-2000 לגבי מחזיק במאגר מידע הכולל מידע גנטי מזוהה, וכן את קביעת הרישום של מאגרי תעודות אלקטרוניות כתנאי לרישום גורם מאשר, לפי חוק חתימה אלקטרונית, התשס"א-2001. החובה לרשום מאגרים אלה, אשר שולבה בחוקים הפרטניים, נבעה מהוראות חוק הגנת הפרטיות, ולא שיקפה בחינה מעמיקה יותר של יחידת הממונה. לאור השינוי המוצע בהיקפה של חובת הרישום, הוראות אלה אינן נדרשות עוד.
לעומתן, הוראות חוק הקובעות חובת רישום, אשר עולות בקנה אחד עם התיקון המוצע, יוותרו בעינן. כך למשל לעניין סעיף 5(א)(1) לחוק שירות נתוני אשראי, התשס"ב-2002.

בהצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב-2011 מוצע להחליף את הגדרת "רשם" בהגדרת "ממונה". תזכיר זה הוא תיקון המשך לתיקון המוצע בהצעת החוק, ולכן משתמש בהגדרה החדשה המוצעת בהצעת החוק.
לדעת מיעוט חברי הצוות, אין לצמצם את החובה, שכן רישום המאגרים מהווה כלי עזר לבעלי המאגר לבחון אם הם עומדים בדרישות החוק וכן מסייע במיפוי מאגרי המידע, הנדרש לצורך פיקוח.
European Commission, Proposal for a Regulation of the European Parliament and of the Council - on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Brussels 25.01.2012, p.10, section 3.4.4.1, article 28 , p. 58.
ס"ח תשמ"א, עמ' 128; ס"ח תשס"ז, עמ' 368.