הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 07-2023

הגנת הפרטיות בארץ

בגלל תקלה במאגר המידע של פוע"ה: פרטים אישיים של נשים הרות דלפו לרשת

התקלה החמורה במאגר המידע של מכון פוע"ה, מכון המתמחה בייעוץ בענייני פוריות והלכה, גרמה לחשיפת פרטים אישיים של כ-20 נשים הרות שפנו למכון לייעוץ. המידע כלל שמות, תעודות זהות, מידע רפואי רגיש, הפניות רפואיות וכלל הסיבות להפניה, רקע רפואי ספציפי ומעקב ההיריון של הנשים, כל זאת ועוד נמצאו חשופים ברשת ככל הנראה לכל מי שמקליד כתובת מסוימת בשורת החיפוש וזאת על אף הרגישות הרבה של המידע. הסיבה לתקלה: מעבר בין אתרים שהתרחש לאחרונה בארגון.

בסרטון טיק-טוק: עובד חיצוני בכללית חשף פרטים רפואיים חסויים - ואפילו שמות של מטופלים 

בתאריך 17 ביולי 2023 פרסם אתר הידיעות N12 כי צעיר העובד בשירותי הבריאות "כללית" כעובד חיצוני שידר לייב באפליקציית "טיקטוק" ובו בדק מטופלים וחשף נתונים ללא ידיעתם. במהלך השידור העובד סיפר על המטופלים וחשף פרטי מידע רפואיים חסויים ואף את שמותיהם. הצעיר צילם עצמו כשהוא מקבל מטופלת, מדבר איתה בעברית ובמקביל מספר לצופים שלו מה קורה בשפה הערבית. הוא הסביר על האופן שבו מתבצעות בדיקות הדם, דיבר על בעיות המטופלים השונים - ואף חשף נתונים רפואיים בצירוף שמות. המקרה המפורסם מצטרף לתופעה רחבה יותר, בה רופאים מציגים את פעילותם ברשתות חברתיות.

פסק דין של ביהמ"ש - בקרי הגבול אינם מוסמכים לחפש בטלפונים ומחשבים של הנכנסים לישראל 

בבתאריך 11 ביולי 2023 פסק בית המשפט לעניינים מנהליים בתל אביב כי חיפוש בטלפונים ניידים על ידי בקרי גבולות אינו חוקי. הנושא הנדון היה בעניינם של אזרחי אוקראינה שנמצאים בתהליך התאזרחות בפולין, אשר ביקשו להיכנס לישראל לביקור משפחתי קצר בן שבוע לשם חגיגות השנה האזרחית החדשה 2023. עם נחיתתם נלקחו לתשאול, ומכשירי הטלפון הניידים שלהם נלקחו מהם. בקרית הגבול ערכה חיפוש בטלפונים ומצאה בתכתובות עם אמה של המעורבת, קישור לקבוצות פייסבוק בנושא עבודה בישראל. בשל הודעה זו ועברה של האם אשר שהתה בישראל בעבר שלא כדין וגורשה, הם סורבו להיכנס לישראל. במהלך התשאול התבקשו האזרחים ע"י נציגי רשות האוכלוסין וההגירה למסור את הטלפונים החכמים שברשותם לצורך חיפוש בידי בקרי הגבול, מבלי להבהיר כי אינם חייבים לעשות כן. בית המשפט פסק כי מאז פיתוח מכשירי טלפון ניידים חכמים, הפך הטלפון הנייד לנכס דיגיטלי אישי וסודי של האדם, והוכר גם הקשר החזק בין האדם לבין המכשיר האישי שלו, העולה עד כדי תלות וחדירה לא מורשית למידע הנשמר באמצעים דיגיטליים של אדם והדבר מהווה פגיעה בזכותו לפרטיות, כמו חדירה לטריטוריה המוחשית הפרטית שלו. ביהמ"ש קבע כי בהיעדר כל חוק ונוהל המסדיר זאת, אין סמכות לבקרי הגבול ולכל נציג אחר של הרשות לבצע חיפוש במכשירים ניידים – מחשבים וטלפונים כאחד - של המבקשים להיכנס לישראל - תיירים, עובדים זרים, מבקשי מקלט או אחרים והוסיף כי לא ניתן לראות בהסכמה, גם בהנחה שזו ניתנה לכאורה, כהסכמה חופשית ומרצון.

הרשות להגנת הפרטיות מפרסמת טיוטת גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות להערות הציבור

ב-14.06.2023 פורסם גילוי דעת הסוקר את עמדת הרשות להגנת הפרטיות ביחס ללגיטימיות ולחוקיות של דרישות אלו, בהתחשב ברגישות המידע ובהיקפו. בין עיקרי גילוי הדעת קבעה הרשות כי יש להתייחס למספר תעודת זהות כאל מידע מוגן לפי חוק הגנת הפרטיות, כך גם לצילום תעודת זהות. כמו כן יש להימנע מלדרוש צילום של תעודת הזהות כולה, למעט במקרים חריגים בהם כלל המידע המופיע על גבי תעודת זהות דרוש לשם מתן השירות. ככל שבכוונת בית העסק לבקש מלקוח למסור צילום תעודת הזהות לצורך קבלת שירות או מוצר, עליו לציין זאת בפני הלקוח טרם השלמת הליך הרכישה. על בית העסק לפרט בפני הלקוח האם חלה עליו חובה חוקית למסור את המידע או שמסירת המידע תלויה ברצונו ובהסכמתו, המטרה שלשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה (לפי חובת היידוע הקבועה בסעיף 11 לחוק הגנת הפרטיות). ככל שאדם מבקש להסתיר פרטים מסוימים בעת צילום תעודת הזהות שלו, ופרטים אלו אינם נדרשים לשם מתן השירות, יש לאפשר לו להסתירם. טרם שמירת צילום תעודת זהות במאגרי הארגון, יש להשחיר את כלל פריטי המידע שאינם נחוצים לשם מתן השירות. הרשות הזמינה את הציבור להגיש אליה התייחסויות והערות למסמך עד לתאריך 14.07.23.

הרשות להגנת הפרטיות קבעה כי משרד התחבורה הפר את הוראות חוק הגנת הפרטיות ותקנותיו 

הרשות להגנת הפרטיות קיימה הליך פיקוח לאחר שהתקבלו אצלה תלונות רבות על שימוש לרעה של ישיבות חרדיות במוקד השירות ואתר האינטרנט של משרד התחבורה, כדי לברר האם תלמידיהן מחזיקים ברישיון נהיגה. חולשת אבטחה במנגנון ההזדהות של משרד התחבורה אפשרה גישה למידע אישי של תלמידים מישיבות חרדיות בכל הארץ באמצעות המענה הטלפוני ואתר האינטרנט של המשרד, ובהתאם לממצאי הבדיקה תלמידים בעלי רישיון נהיגה סולקו מהישיבה. שיטת פעולה זו כוללת פנייה להפקת עותק רישיון באמצעות מוקד השירות של משרד התחבורה או אתר האינטרנט, תוך הזדהות כתלמיד הישיבה באמצעות מסירת מספר תעודת הזהות שלו ושנת לידתו - פרטים אשר התקבלו מהתלמיד במעמד הרישום לישיבה ובטח שלא למטרות מסוג זה. בנוסף, במערכות הממוחשבות של משרד התחבורה לא נעשה שימוש במנגנון זיהוי מספק לאימות זהותו של אדם וכך חולשת האבטחה מאפשרת באמצעות תעודת זהות ושנת לידה, לגלות האם אדם אחר מחזיק ברישיון נהיגה. במכתב ההפרה ששלחה הרשות להגנת הפרטיות למשרד התחבורה, נקבע כי מידע על כך שאדם מחזיק ברישיון נהיגה, הוא מידע המוגן לפי חוק הגנת הפרטיות ומהווה ידיעה על ענייניו הפרטיים של אדם. משרד התחבורה הפר את חובתו כגוף ציבורי, שלא למסור מידע על אדם, מתוך מאגר מידע ציבורי, למי שאינו נושא המידע וללא הסכמתו של נושא המידע. עוד קבעה הרשות, שמנגנון ההזדהות הקיים במערכות המחשוב של משרד התחבורה אינו עומד בהוראות החוק והתקנות.

הגנת הפרטיות בעולם

אירופה הכריזה על ארצות-הברית כמדינה נאותה להעברת מידע אישי

בתאריך 10 ביולי 2023 אימצה הנציבות האירופית באופן רשמי את הסכם המסגרת לפרטיות נתונים אישי בין האיחוד האירופי לארה"ב ("החלטת ההלימה"). אימוץ ההחלטה מגיע לאחר שנים של משא ומתן אינטנסיבי בין האיחוד האירופי לארה"ב, לאחר דחיית ההלימה של ארה"ב כמדינה שעומדת בתקנות האירופאיות וביטול הסדר ה-Privacy Shield. על פי הודעת הנציבות האירופאית לעיתונות, ההחלטה קובעת כי ארה"ב מבטיחה רמה נאותה של הגנה - דומה לזו של האיחוד האירופי - על מידע אישי המועבר מהאיחוד האירופי לחברות אמריקאיות. ההחלטה המיוחלת מספקת לארגונים באיחוד האירופי, המעבירים נתונים אישיים לארה"ב, מנגנון נוסף למתן לגיטימציה להעברות הנתונים הטרנסאטלנטיות שלהם. על פי הנציבות האירופית, מסגרת פרטיות הנתונים של האיחוד האירופי וארה"ב מתייחסת לכל החששות שהועלו על ידי בית הדין לצדק של האיחוד האירופי (CJEU), בפסק דין שרמס 2. מסגרת פרטיות הנתונים של האיחוד האירופי וארה"ב תהיה כפופה לבדיקות תקופתיות של הנציבות האירופית ונציגים של רשויות הגנת המידע האירופיות והרשויות המוסמכות בארה"ב.

ארה"ב - רישיונה של כירורגית נשלל לאחר ששידרה ניתוחים בטיק-טוק

בהמשך לידיעה מטור הגנת הפרטיות בארץ, אודות חשיפת פרטי מטופלים בקופת חולים כללית באמצעות שידור בטיקטוק - בתאריך 14 ביולי 2023 פרסם אתר החדשות האמריקאי CNN כי מועצת הרפואה במדינת אוהיו שבארצות-הברית שללה לצמיתות את הרישיון הרפואי של כירורגית פלסטית שנהגה מזה שנים לשדר בשידור ישיר בטיק-טוק ניתוחים שביצעה במטופלים, תוך פגיעה בפרטיותם וברמת הטיפול הרפואי המקובל. שלילת הרישיון באה לאחר שהכירורגית הוזהרה לפני מספר שנים להימנע מפרסום צילומים של מטופלים ברשתות חברתיות באופן שפוגע בפרטיותם ונשלחו לה מכתבי האזהרה שהביעו, בין היתר, דאגה כי הכירורגית מפרה את כללי האתיקה הרפואיים הנוגעים להסכמה מדעת. לפי החלטת מועצת הרפואה לשלול את רישיונה, המשך עיסוקה בכירורגיה מהווה סכנה לנזק מיידי ומשמעותי לציבור.

נציבות הגנת המידע הבריטית מעודדת שימוש בטכנולוגיות לשיפור הפרטיות

בבתאריך 19 ביוני 2023, משרד נציבות המידע הבריטי ("ICO") המליץ לארגונים להתחיל להשתמש בטכנולוגיות לשיפור הפרטיות ("PETs") כדי לשתף מידע אישי בצורה בטוחה, מאובטחת ואנונימית. ה-ICO פרסם גם הנחיות חדשות בנושא טכנולוגיות מקדמות פרטיות המיועדות למי שמשתמש במאגרי נתונים גדולים בתחומי הפיננסים, הבריאות, הלבנת הון ופשיעת סייבר. ההנחיות כוללות מידע על האופן שבו ניתן להשתמש ב-PETs כדי לסייע לארגונים עם תאימות להגנה על נתונים ופרטים טכניים על הסוגים השונים של PETs הזמינים כיום. ה-ICO רואה ב-PETs "הזדמנויות חסרות תקדים לארגונים לרתום את כוחם של נתונים אישיים באמצעות יישומים חדשניים ואמינים, בכך שהם מאפשרים להם לשתף, לקשר ולנתח מידע אישי של אנשים ללא גישה אליו". לקריאת ההנחיות של ה-ICO – לחץ כאן.

הנציבות האירופית מציעה רגולציה בנושא הרמוניזציה של כללים הנוגעים לאכיפת ה-GDPR

בתאריך 4 ביולי 2023 הציעה הנציבות האירופית תקנה חדשה לכללים פרוצדורליים נוספים הנוגעים לאכיפת התקנות האירופאית להגנה על נתונים ("GDPR"). באמצעות התקנת החדשה, הנציבות האירופית שואפת להפוך את הטיפול במקרים חוצי גבולות להגנה על נתונים ליעיל יותר על ידי הרמוניזציה של הליכים מנהליים מסוימים ובכך ליצור הרמוניה ושיתוף פעולה בין רשויות הפיקוח של האיחוד האירופי. לאור זאת, תקנת האכיפה של ה-GDPR מציעה: ליצור אחידות במידע שנושאי מידע מעבירים בעת הגשת תלונה; אחידות בין הכללים לקבלה או לדחייה של התלונה; וכן, אחידות בין הזכויות של הצדדים הנחקרים (כלומר, בקרים או מעבדים), במיוחד הזכות להביע את עמדתם בהקשר של מנגנון יישוב הסכסוכים שנקבע בסעיף 65 של GDPR. תקנת האכיפה של GDPR תיכנס לתוקף ביום ה-20 שלאחר פרסומה בכתב העת הרשמי של האיחוד האירופי.

טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.