הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 08-2023
הגנת הפרטיות בארץ
מעת לעת מתקבלות פניות ברשות להגנת הפרטיות אודות חשיפה של מסמכים אישיים של סטודנטים אשר חשופים ברשת כגון, גיליונות ציונים, מספרי תעודות הזהות, מסמכים הקשורים בלקויות למידה או מצב רפואי, ראיונות אישיים וכיו"ב. מסמך זה משמש כלי עזר למוסדות אקדמיים לצורך ניהול הסיכונים שלהם וחובותיהם בתחום אבטחת מידע והגנת הפרטיות. המסמך מתייחס לאופן התמודדות עם חולשות נפוצות כמוDirectory Listing (שרת המאפשר הצגת התיקיות המאוחסנות בו ואף גישה לתוך התיקיות השונות לרבות צפייה והורדת מסמכים, עשוי להיחשב כחולשת אבטחה כאשר התיקיות הנגישות מכילות מידע אישי/חסוי, וכן סריקות באמצעות "זחלני גוגל". כמו כן, המסמך מחדד את הצורך בהגברת מודעות בקרב אנשי סגל אקדמי, אנשי סגל מינהלי וסטודנטים.
נסעתם במונית של יאנגו? ייתכן שהמידע שלכם יגיע לשירותי הביטחון הרוסיים
עולה חשש לדליפת מידע של ישראלים רבים היות ופרטי שימוש של ישראלים בשירות חברת "יאנדקס" הפעילה ב-20 מדינות וגם בישראל עשויים להגיע לשירותי הביטחון הרוסיים (ה-FSB). אתר החדשות האופוזיציוני "מדוזה" דיווח כי ב-1 בספטמבר ייכנס לתוקף ברוסיה חוק שיאפשר ל-FSB לקבל מידע ממאגרי נסיעות של כל מפעילות המוניות, וכך יזכו שירותי הביטחון ברוסיה בגישה לכל המידע הנמצא בשרתי חברת "יאנדקס". החברה מפעילה בישראל את שירות הזמנת המוניות "Yango", שירות משלוחי המזון "Yango Deli" ושירות הזמנת הקורקינט "Wind". המידע מאוחסן בשרתי החברה בתחום השיפוט של הפדרציה הרוסית ובחודש יולי חתם ראש הממשלה הרוסי, מיכאיל מישוטין, על צו שמאפשר את העברת המידע לידי שירות הביטחון הרוסי. המשמעות היא שמידע רגיש אודות משתמשי השירותים, כולל מידע מבוסס איכון (מיקומי מקום מגורים ועבודה שהמשתמשים עצמם נותנים, בין אם על עצמם ובין אם על הנסיעה ליעד), וכן מידע טכני שנאסף מהמכשיר\ יועבר לידי השלטונות לשימושם החופשי. החשש הוא ששירותי הביטחון הרוסיים ישתמשו במידע להשגת מודיעין על אזרחים, פעילים פוליטיים ומטרות דומות נוספות ואף חמור מזה – על מנת להעביר מידע למדינות אויב של ישראל וכתוצאה מכך, מידע על כל מי שהשתמש אי פעם בשירותי החברה עשוי ליפול לידיים עוינות.
האם המעסיק יכול לפקח ולאסוף נתוני איכון לבחינת טיב עבודתכם?
בשנים האחרונות רווח השימוש של מעסיקים בכלים טכנולוגיים שנועדו לפקח על עובדיהם ולהתחקות אחר טיב ביצוע עבודתם. כך למשל מערכות איכון המותקנות ברכבים שבבעלות החברה מאפשרות למעסיק פיקוח, בקרה ותיעוד אלקטרוני של כלי הרכב שבבעלותו, ובו בזמן אוספות נתוני מיקום של העובד העושה שימוש ברכב. יתרה מכך, אפליקציות שונות מאפשרות מעקב אחר מיקומם של עובדים באמצעות טכנולוגיית GPS לרבות אפליקציות כאשר הייעוד המקורי לשימוש בהן, הוא למטרה אחרת. ביום ה-19.07.2023, פרסמה הרשות להגנת הפרטיות גילוי דעת העוסק בסוגיה זו. בפרסומה, הרשות מציינת כי אומנם למעסיק קיים אינטרס לגיטימי לפקח אחר שעות העבודה בפועל של העובדים ונתונה לו הזכות הניהולית לקבוע את מתכונת הפיקוח, אך מנתוני מיקום כשלעצמם וכן בשילוב עם מידע ממקורות נוספים, ניתן להסיק מידע רגיש ביותר על אישיותו של אדם, צנעת אישיותו, מצבו הכלכלי ועוד. לפיכך הדגישה הרשות כי מעסיקים המבקשים לעשות שימוש במערכת האוספת נתוני מיקום של עובדים נדרשים לקיים לגביה את הוראות חוק הגנת הפרטיות, ולעמוד בדרישת המידתיות, כך שהשימוש במערכת ייעשה רק לאחר בחינה מעמיקה של היחס הראוי בין התועלת שתצמח מכך, לבין הנזק והפגיעה בזכותו של העובד לפרטיות במהלך העבודה וכי השימוש במערכת זו ייעשה רק בהעדר חלופה אחרת, שאינה אוספת נתוני מיקום, ושבכוחה להגשים את תכלית האיסוף.
דו"ח ממצאי הליך פיקוח הרוחב בקרב מגזר קופות גמל וקרנות השתלמות
מגזר קופות הגמל וקרנות ההשתלמות מעניק שירות לעשרות אלפי לקוחות ומנהל מידע אישי רגיש, כגון מידע רפואי, צוואות, ירושות אודות לקוחות פוטנציאליים וכן לקוחות שחלו או נפטרו. בנוסף לכך, הנתונים במאגרי המידע חשופים לגורמים רבים וביניהם הגוף המנהל, הגוף המתפעל, מוקדי שירות לקוחות, סוכנים וכד'. מכורח הדברים, המידע הקיים הינו רגיש מאוד וחשיפתו לגורמים השונים דורשת הקפדה מיוחדת על אבטחת המידע וכן שקיפות מלאה מול העמיתים או באי כוחם. הרשות להגנת הפרטיות פרסמה ביום 04.07.2023 את ממצאיה מפיקוח רוחב שבוצע בקרב 48 גופים המשתייכים למגזר זה. הדו"ח העלה כי 79% מהגופים שנבדקו עמדו ברמה גבוהה יחסית בהוראות חוק הגנת הפרטיות והתקנות, 94% מהסוכנויות עמדו ברמה גבוהה בקריטריון של ניהול מאגרי מידע וכ-69% מהגופים עמדו ברמה גבוהה בקריטריון של בקרה ארגונית. יחד עם זאת נציין כי במסגרת ההליך נמצאה חולשה מסוימת בתחום הבקרה הארגונית ובכללה, היעדר הוצאת כתב מינוי רשמי לממונה אבטחת מידע, אי עיגון כלל נהלי העבודה כנדרש, ותוכנית עבודה שנתית בנושא אבטחת מידע והגנת הפרטיות ברמה נמוכה. נמצא כי עובדים אינם עוברים הדרכות בתדירות הנדרשת, וכי לא בוצעו סקרי סיכונים או ביקורות בנושא אבטחת מידע/הגנת הפרטיות בתדירות הנדרשת.
דו"ח ממצאי פיקוח רוחב במגזר חברות כוח האדם פורסם לציבור
הרשות להגנת הפרטיות פרסה ביום 06.07.2023 הליך פיקוח רוחב נוסף שנערך למגזר חברות כוח האדם. ההליך כלל פנייה ל-31 חברות כוח אדם והשמה בישראל. מתוכן השיבו לשאלוני הרשות 26 נציגי חברות בלבד. ממצאי ההליך העלו כי כ-80% מן הגופים לא עומדים בדרישות החוק והתקנות בתחום אבטחת המידע במלואן, ומחצית הגופים מצויים ברמת עמידה נמוכה, שני גופים נוספים הועברו להמשך טיפול אכיפתי. ממצאי הליך הפיקוח מלמדים על חוסר בקיאות מספקת בדרישות תקנות אבטחת מידע. נציין כי חלק משמעותי מן הגופים במגזר מחזיק במאגרים בהם נדרשת רמת אבטחה גבוהה. כידוע, מגזר חברות כוח אדם והשמה בישראל נחשב כבעל סיכון גבוה לפרטיות נוכח השירות הניתן להיקף רחב של אוכלוסיות העובדים (מועסקים ומועמדים לעבודה) באמצעות איסוף מידע על כמות גדולה במיוחד של נושאי מידע וניהול מאגרי מידע המכילים מידע אישי רגיש לרבות נתוני השכלה, נתונים דמוגרפיים, מצב רפואי ואף עבר פלילי. התמונה העולה מהליך הפיקוח מצביעה על כך שהמודעות במגזר זה לנושא אבטחת המידע והגנת הפרטיות אינה הולמת את רגישות המידע המוחזק בידי החברות במגזר.
זכות העיון במידע- כיצד היא באה לכדי ביטוי בפסיקה
זכות העיון הפרטית המעוגנת בהוראות חוק הגנת הפרטיות ותקנותיו היא זכותו של אדם לעיין במידע המוחזק עליו במאגר מידע. יתרה מכך, זכות העיון הפרטית במידע אישי המוחזק בידי הרשות הציבורית הוכרה בפסיקת בית המשפט העליון כחלק מאבני היסוד של משטר דמוקרטי, ובית הדין הארצי לעבודה עמד על אופייה החוקתי. עם זאת, ככל הזכויות, זכות העיון אינה זכות מוחלטת, והיא כפופה לחריגים, ביניהם שאלת היקפה כאשר העיון במידע כרוך בהכרח גם בחשיפת מידע אישי על אודות אחרים. ביום ה- 6.08.2023, פרסמה הרשות להגנת הפרטיות סקירה של אמות המידה המשפטיות בהתייחס לזכות העיון הקבועה בסעיף 13 לחוק הגנת הפרטיות, תשמ"א-1981 בהתייחס למאגרי המידע של הגופים עליהם חל סעיף 13(ה) לחוק, ועל יסוד פסקי הדין המרכזיים שניתנו בנושא. הוראות סעיף 13(ה) לחוק הגנת הפרטיות קובעות כי זכות העיון לא תחול על מאגרים של רשויות ביטחון ורשויות אחרות המוגדרות בחוק ובתקנות וצווים שהוצאו מכוחו. ואולם, בפסיקת בתי המשפט נקבע כי החרגה זו אינה פוטרת את הגופים הללו מלבחון בכל מקרה לגופו וגם כאשר נמצא שיש מקום להחלת ההחרגה – החלתה תעשה בהיקף הנדרש והמידתי. על כן, נדרשים הגופים לבחון באופן פרטני בקשה של אדם לעיון במידע על אודותיו, ולקבל החלטה לגופה של הבקשה, תוך התחשבות ברגישותו הרבה של המידע המצוי במאגרי המידע של רשויות העוסקות בשמירה על ביטחון המדינה ואכיפת חוק, החשש לפגיעה בסודיות המאגר יילקחו בחשבון בעת בחינת בקשה לעיון במידע המצוי במאגר מסוג זה ובפרט מאגרים בעלי אופי מודיעיני.
הגנת הפרטיות בעולם
בהמשך להסכם העברת המידע החדש שנחתם בין ארה"ב ואירופה ופורסם ביום ה-10.07.2023, ביום ה- 19.07.2023, המועצה האירופית להגנה על נתונים ("EDPB") פרסמה הערת מידע לפיה העברות נתונים מהאיחוד האירופי לארגונים בעלי הסמכה עצמית למסגרות פרטיות, אשר נכללים ברשימת משרד המסחר האמריקאי (ה-FTC) כגופים וחברות בעלי אישור להצהרתם על עמידה בכללי פרטיות לפי רגולציות שונות - יכולות להמשיך בהעברות המידע בין האיחוד האירופאי וארה"ב, וזאת בהתאם להסכם העברת המידע החדש.
חברות המבצעות העברות אלו, אינן צריכות להסתמך על אחד ממנגנוני ההעברה החלופיים שנקבעו בסעיף 46 לתקנות ה—GDPR, והן אינן נדרשות ליישם אמצעים משלימים.
חשוב לציין, כי הערת המידע מבהירה את ההשפעה של החלטת הלימות עבור חברות אשר אינן מוסמכות למסגרת פרטיות הנתונים. הערת המידע מבהירה את הליך הגשת תלונות על ידי נושאי הנתונים, לרבות השימוש במנגנון התיקון החדש.
הודו - הצעת חוק הגנת הפרטיות עברה בבית הנבחרים ההודי
ביום ה- 31.07.2023, בית הנבחרים ההודי העביר את הצעת החוק להגנה על נתונים אישיים דיגיטליים הקובעת את החובות של ישויות המטפלות ומעבדות נתונים, כמו גם את זכויותיהם של יחידים. הצעת החוק מציעה עונש מקסימלי של 250 קרור רופי (כ-250,000,000 ₪) ומינימום של 50 קרור רופי (כ-50,000 ₪) על ישויות המפרות את הנורמות. הנורמות של הצעת החוק יחולו על נתונים אישיים שנאספו בתוך הודו ממנהלי נתונים מקוונים, ונתונים אישיים שנאספו באופן לא מקוון, אך לאחר מכן עברו דיגיטציה. ההוראות יחולו גם על עיבוד כזה מחוץ להודו אם הוא מיועד להצעת סחורות או שירותים לאנשים בהודו. הצעת החוק מכירה בזכותם של אנשים להגן על נתוניהם האישיים ובצורך לעיבוד מידע אישי למטרות חוקיות.
אוסטרליה – פייסבוק ישראל נקנסה על הפרת פרטיות משתמשים
ביום ה-26.7.23 בית המשפט באוסטרליה קנס את פייסבוק ישראל על הפרת פרטיות משתמשים אוסטרליים באמצעות אפליקציה ישראלית. הקנס שגובהו 14 מיליון דולר, הוטל במשותף על פייסבוק ישראל ו- Onavo, חברות בנות של מטא, על ידי בית המשפט הפדרלי באוסטרליה בגין איסוף נתוני משתמשים שלא כדין. בנוסף בית המשפט הורה לחברות לשלם 400 אלף דולר אוסטרלי נוספים בגין הוצאות משפט לתובעת, רשות התחרות והצרכנות האוסטרלית (ACCC).
Onavo נוסדה במקור כאפליקציה שנועדה לייעל שימוש בדאטה בטלפונים ניידים, אולם לאחר הרכישה, מטא הפכה אותה לשירות VPN. השירות שווק כדרך לשמור על בטיחות מידע אישי - כשבפועל הוא שימש את פייסבוק לאיסוף נתונים אודות פעילות משתמשים. המידע שנאסף באמצעות Onavo היה נרחב, וכלל מיקום, זמן, תדירות שימוש באפליקציות אחרות במכשיר והיסטוריית גלישה – כלל הנתונים יועדו לצרכי עסקי הפרסום של פייסבוק.
בית המשפט באוסטרליה קבע שמטא כשלה במתן גילויים מספקים לעשרות אלפי משתמשים אוסטרלים על אודות איסוף הנתונים בטרם ההורדה ובמהלך השימוש בה.
טמפה - בית החולים הכללי מסכל מתקפת כופרה אך מאבד את נתוני המטופלים
בית החולים TGH (Tampa General Hospital) מסר כי הבחין בפעילות חריגה במערכות המחשוב שלו ב-31.5.23. חקירה שבוצעה העלתה כי צד שלישי בלתי מורשה נכנס לרשת של TGH והשיג קבצים ממערכותיו בין התאריכים 12-30.5.23. חקירה נוספת הראתה כי קבצים אלו כללו חלק מהמידע על מטופלי בית החולים. המידע השתנה מאדם לאדם, אך ייתכן שכלל שמות, כתובות, מספרי טלפון, תאריכי לידה, מספרי ביטוח לאומי (SSN), מידע על ביטוח בריאות, מספרי רשומות רפואיות, מספרי חשבונות מטופלים, תאריכי שירות ו / או מידע טיפולי מוגבל המשמש את TGH לפעילותו העסקית. לדברי TGH, הפושעים לא ניגשו למערכת הרשומות הרפואיות האלקטרוניות של בית החולים. TGH שלח מכתבים לאנשים שייתכן שהמידע שלהם נפרץ, ויספק שירותי ניטור אשראי והגנה מפני גניבת זהות בחינם לאלה שמספרי הביטוח הלאומי שלהם נחשפו.
Rynair - קבוצת פרטיות מערערת על שימושה של החברה בזיהוי פנים
ב-27 ליולי 2023 ארגון הזכויות הדיגיטליות NOYB הגיש תלונה נגד חברת התעופה Rynair בטענה כי היא מפרה את זכויות הגנת הנתונים של הלקוחות על ידי שימוש בזיהוי פנים כדי לאמת את זהותם בעת ביצוע ההזמנה באמצעות סוכני נסיעות מקוונים. NOYB טענה כי נהלי האימות של Rynair אינם תקפים תחת ה-GDPR מכיוון שהחברה אינה מספקת מידע מובן על מטרת "התהליך הפולשני". Rynair מסרה בתגובה כי התהליכים הביומטריים והלא ביומטריים שלה תואמים באופן מלא לכל תקנות ה-GDPR.
קולורדו –המחלקה להשכלה גבוהה מדווחת על דלף מידע נרחב בעקבות מתקפת סייבר
ב-4 לאוגוסט 2023 המחלקה להשכלה גבוהה בקולורדו הודיעה כי ייתכן שפריצת אבטחה הובילה לגניבת מידע אישי של כל מי שלמד בבית ספר תיכון ציבורי, מכללה או אוניברסיטה במדינה במשך תקופה של יותר מעשור שקדמה לשנת 2020. ב-19 ביוני נודע למחלקה כי "גורם בלתי מורשה" ניגש למערכותיה בין ה-11 ל-19 ביוני והעתיק נתונים מסוימים, כולל שמות ומספרי ביטוח לאומי או מספרי זיהוי של תלמידים, כמו גם רשומות חינוך אחרות.
דרום קוריאה קונסת את מטא ו- OPENAI בגין הפרת פרטיות
חברת OpenAI מפעילת ChatGPT נקנסה ב 3.6 מיליון וון (כ- 11.7 מיליון ש"ח) על ידי הוועדה להגנה על מידע אישי של דרום קוריאה (PIPC) בגין חשיפת מידע אישי של 687 אזרחי דרום קוריאה. החשיפה התרחשה עקב באג בספריית קוד פתוח ב-ChatGPT, שגרם לנראות לא מכוונת של פרטי תשלום, כולל שמות, כתובות דוא"ל, ארבע הספרות האחרונות של מספרי כרטיסי האשראי ותאריכי התפוגה של כרטיסי האשראי של מנויי ChatGPT Plus. התקרית התרחשה בחלון זמן של תשע שעות בחודש מרץ. בנוסף, PIPC הטילה קנס של 7.4 מיליארד וון (כ-23.9 מיליארד ש"ח) על פלטפורמת מטא של פייסבוק בגין איסוף מידע אישי ללא הסכמת המשתמש ושימוש בו לפרסום מקוון מותאם אישית.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.