1. בית
  2. מאמרים
  3. הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 10-2023

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 10-2023

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 10-2023

הגנת הפרטיות בארץ

הבהרת הרשות להגנת הפרטיות בנושא רישום מאגרים בעת מלחמת "חרבות ברזל"

ביום 17/10/2023 פרסמה הרשות הבהרה בדבר רישום מזורז של מאגרי מידע אשר מטרתם הינה בעלת זיקה למלחמה הנוכחית. לרישום המאגר, יש לפנות באופן טלפוני למוקד הרישום ברשות ולהסביר את מטרת הקמת המאגר. לאחר השיחה, יועבר טופס מקוצר לרישום המאגר, אשר יאפשר קבלת אישור רישום זמני בלבד ותוקפו יהיה לתקופת מלחמת "חרבות ברזל" בלבד. בהמשך יידרש רישום המאגר במסגרת ההליך הרגיל. פריימסק נמצאת לרשות כלל לקוחותיה למתן מענה וסיוע ברישום מאגרי מידע. 

מסמך הנחיות הגנת הפרטיות לקראת הבחירות לרשויות המקומיות

ביום 04.09.2023 הרשות להגנת הפרטיות פרסמה מסמך הנחיות הגנת הפרטיות למתמודדים ו/או ראשי רשויות פעילים על אופן איסוף, עיבוד ושימוש במידע אודות בוחרים ובעלי זכות בחירה ברשויות המקומיות. ההנחיות מבוססות על חוק הרשויות המקומיות (בחירות), תשכ"ה-1965, וחוק הגנת הפרטיות, תשמ"א-198, המפרטים את המגבלות החלות על שימוש במידע הנאסף על הבוחרים מפנקס הבוחרים ובמסגרת קמפיין הבחירות. רמת האבטחה של מאגר המבוסס על מידע מתוך פנקס הבוחרים תהיה לפחות ברמת האבטחה הבינונית, כהגדרתה בתקנות אבטחת מידע, המתמודדים מוגדרים "בעל המאגר" כמשמעותו בחוק, וככאלו הם הנושאים באחריות העיקרית לקיום הוראות החוק והתקנות שמכוחו, ועלולים לשאת באחריות פלילית או אזרחית גם להפרות שיבוצעו באפליקציה או בידי ספק שירות חיצוני.  להלן תמצית ההנחיות: 

  • גישה למידע בפנקס הבוחרים מוגבלת רק לצורך ההתמודדות בבחירות. כל שימוש אחר - אסור. 
  • כל פנייה ממוקדת במסגרת דיוור ישיר מטעם המתמודד/ת תכלול את זהות הגורם מטעמו נשלחה ההודעה ותצוין בה זכותו של הנמען לבקש להימחק ממאגר המידע שעל בסיסו נעשתה הפנייה. 
  • חל איסור על שימוש במידע מכל מאגר מידע המנוהל ברשות המקומית, לצרכי התמודדות בבחירות או לכל מטרה אחרת החורגת מהמטרות לשמן הוקם מאגר המידע מלכתחילה. 
  • הגישה למידע במאגר תוגבל בהתאם לתפקיד, בהתאם לצרכי התפקיד תוך הצגת מינימום מידע. 
  • קביעה מראש של מורשי הגישה למערכות המידע והדרכתם בהתאם להוראות אלו. בנוסף, עריכת יומן מורשי הגישה, תוך תיעוד כל שינוי ביומן ההרשאות.
  •  יישום מנגנון אימות חזק כגון מדיניות סיסמאות והזדהות חזקה, מומלץ לעשות שימוש במנגנון אימות OTP\2FA\MFA.
  • הגדרת מנגנון ניטור ותיעוד לכלל הפעולות המבוצעות על ידי המשתמשים ללא אפשרות ביטולו. יש לשמור תיעוד (לוגים) של כל פעולות הצפייה/ההורדה/העדכון של המידע המצוי במאגר המידע. 
  • תדרוך לכלל העובדים (כולל זמניים) לשם הגברת המודעות לאבטחת המידע ולהגנת הפרטיות, לקיומן של מגבלות גישה למערכות המידע, ולחובת דיווח מיידי בכל חשש לחריגה מהנחיות אלו, לרבות חתימה על התחייבות לסודיות. 
  • בתום תקופת הבחירות יש לוודא כי קובץ פנקס הבוחרים, לרבות העתקיו המלאים, הושמדו מכל אמצעי מדיה (כוננים קשיחים, אמצעי גיבוי וכל מדיה מגנטית או אופטית אחרת) וכי תצהיר חתום על ידי מורשה חתימה הועבר למפקח על הבחירות. 
  • על המתמודד/ת לוודא כי ברשותו/ה מסמך המאשר שגורם בעל הכשרה מתאימה ביצע ביקורת המבטיחה את עמידתו/ה בתקנות הגנת הפרטיות ומתעד את אופן ביצועה. 
  • בהתקשרות עם ספק שירותים טכנולוגיים במסגרת”מיקור חוץ" יש לערוך הסכם שיכלול פירוט בנוגע למידע והאופן שהגורם החיצוני רשאי לעשות בו שימוש, משך ההתקשרות, אופן השבת המידע לידי המתמודד/ת בסיום ההתקשרות, מחיקתו על ידי הגורם החיצוני, דיווח על כך למתמודד/ת ועוד. 

מדריך פעולה ליישום תקנה 15 לתקנות הגנת הפרטיות - "התקשרות עם גורם חיצוני"

לאור השימוש ההולך וגובר של ארגונים מסוגים שונים בשירותי צד שלישי (ספקים), הרשות להגנת הפרטיות פרסמה מדריך ליישום הוראות החוק, תקנות הגנת הפרטיות ובפרט תקנה 15 והנחיית רשם מאגרי המידע מספר 2/2011 בעניין שימוש בשירותי מיקור חוץ (Outsourcing) לעיבוד מידע אישי. המדריך כולל התייחסות ליישום כלל סעיפי תקנה 15 וכן שאלוני ספק לדוגמה כולל בקרה תקופתית. 

טיוטת הנחיית הרשות להגנת הפרטיות: תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע)

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, מטילות שורה של חובות ופעולות אשר כל ארגון (בעל מאגר מידע או מחזיק במאגר מידע) נדרש לקיים. הרשות להגנת הפרטיות סוברת כי חברות בהן עיבוד מידע אישי מצוי בליבת העיסוק שלהן, או שעצם פעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות (אינדיקציות לכך יכולות להיות מאפייני החברה, סוג המידע האישי המשמש אותה ורגישותו, היקף המידע האישי או מספר מורשי הגישה אליו וכו') - דירקטוריון החברה הינו הגורם הבלעדי המתאים לביצוע חובת הפיקוח והמעקב אחר ההנחיות הקבועות בתקנות. בנוסף, רשאי הדירקטוריון במקרים המתאימים, ובהתאם למידת הסיכון לפרטיות הכרוך בפעילותה, לגודלה ולהרכבו, לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך פיקוח מלא שלו על קיומן. לאור האמור, פרסמה הרשות להגנת הפרטיות טיוטת הנחיה בנוגע לתפקידי הדירקטוריון והחובות המוטלות עליו. ההנחיה מפרטת את החובות המרכזיות העולות מתוך התקנות ומבהירה כי היא אינה פוטרת או מפחיתה מהאחריות המוטלת על מנכ"ל החברה, הנהלת החברה, או כל גורם אחר שהוסמך על ידה לביצוע החובות על פי התקנות. כמו כן, קובעת ההנחיה כי על הדירקטוריון מוטלת האחריות להחליט מי יהיו האחראים על ביצוע שאר דרישות התקנות, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות בקרות אירועי אבטחת מידע. 

הצבת מצלמות אבטחה בשטח פרטי הצופות לעבר שטח בבעלות פרטית של אחר

לאחרונה, בית משפט השלום בבת ים, קבע פיצוי בסכום של 40 אלף ₪ לשכן בבניין דירות הדר בקומת הקרקע וחש מאוים ממצלמות שהתקין שכן אחר באחת מן הקומות מעליו. לטענת הנתבע –הוא התקין מספר מצלמות בשולי דירתו, הפונות לשטחים משותפים. עם זאת, השטחים הללו כוללים את המבואות לדירתו של התובע, המתגורר בקומת הקרקע. עוד טען הנתבע, כי המצלמות הוצבו בהוראת המשטרה בשל חששו מפריצות, דבר אשר לא הוכח במסגרת המשפט. טיעון נוסף שהעלה הנתבע ונדחה היה כי מאחר והמצלמות הוצבו בשטחו הפרטי, הוא רשאי לעשות כרצונו. בית המשפט הדגיש תוך התייחסות לפסיקות של בג"ץ, כי לכל אדם זכות למרחב שבתוכו הוא זכאי לפרטיות כי כאשר קיימת פגיעה בפרטיות, אין רלוונטיות מהיכן בוצע הצילום ואי פגיעה בפרטיותו של הפרט קודמת. חוק הגנת הפרטיות קובע כי צילום אדם כשהוא ברשות היחיד, ובילוש או התחקות אחרי אדם, העלולים להטרידו, או הטרדה אחרת מהווים פגיעה בפרטיות. לפי פסק הדין, מצלמה שהותקנה בסביבת רכוש משותף מהווה "צילום ברשות היחיד", שמהווה כאמור פגיעה בפרטיות. הנחיית רשם מאגרי המידע מס' 4/2012 בנושא שימוש במצלמות אבטחה ומעקב ובמאגרי התמונות הנקלטות בהן קובעת כי שימוש במצלמות במרחב הפרטי והציבורי יעשה באופן סביר ויכלול את בחינת ההשלכות והיקף הפגיעה בפרטיות, תכלית ההצבה והמידתיות שלה. כל שימוש החורג מהתכלית המקורית (העברה, מסירה או פרסום) הינו אסור ומהווה עבירה על החוק. 

טיוטת צו הגנת הפרטיות (קביעת גופים ציבוריים)(תיקון), התשפ"ג-2023

ביום ה-7.09.2023, פרסם משרד המשפטים תיקון לצו הגנת הפרטיות (קביעת גופים ציבוריים) להרחבת פרטי המידע שניתן יהיה להעביר לארגונים "יד לבנים" הארגון להנצחת הגיבורים, ולארגון "אלמנות ויתומי צה"ל". מטרת ההצעה היא מתן אפשרות לפנייה ישירה של ארגונים אלו לכלל חברי הקבוצה אותם מייצגים כארגון הזכאים לפי חוק משפחות חיילים שנספו במערכה (תגמולים ושיקום), התש"י-1950, והוספת האפשרות לפנות לאח או אחות של חייל שנספה במערכה להחזקת מסד נתונים מסודר אודות הקבוצה המיוצגת. כיום הצו מתיר להעביר מידי גופים אלה מידע פרטי אודות מי שהוגדר "זכאי" בחוק - אלמנה, יתום והוריו של נספה בלבד.  התיקון המוצע מבקש להרחיב את הגדרת הזכאות והמידע המתקבל אודות הזכאים כך שניתן יהיה למסור פרטי מידע גם אודות זכאי שהוא אח או אחות של חייל שנספה הדרושים לשם יצירת קשר עמם - סוגיה שעלתה בעבר ודנה במעמדם של אחים שכולים לחללי צה"ל. התיקון אומנם מהווה הענקת מעמד של זכאים לפי החוק גם לאחי הנספה אך כחלק מדרישותיו מבקש גם להוסיף לפרטי המידע אודות זכאים את פרט המידע של מספר הטלפון של הזכאי, דבר שעלול להביא לפגיעה בפרטיותו של הזכאי. המשרד הבהיר כי מימוש האפשרות להעברת המידע בין הגופים יעשה בהתאם לצורך פרטני של הארגונים היציגים במידע ולפי החלטת הועדות להעברת מידע הפועלות מכוח תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו-1986. 

תיקון פקודת המשטרה (מערכת צילום ביומטרית),התשפ"ד-2023- חוק האח הגדול במרחב הציבורי

ועדת השרים לחקיקה אישרה (18.09.23) הצעה שנועדה לאפשר שימוש במצלמות זיהוי פנים במרחב הציבורי במטרה לזהות חשודים במסגרת המלחמה בפשיעה החמורה. החוק מעורר בעיות משפטיות ודילמות ערכיות מפאת החשש לפגיעה בפרטיות ובחוקים שנועדו לשמור על כבודם של חפים מפשע, ומהחשש כי ייעשה שימוש בנתונים להקמת מאגר ביומטרי עצום ורגיש מאוד. 

"מעייני הישועה" הפקחת לקחי האירוע –

הרשות להגנת הפרטיות מבקשת לעדכן את הציבור אודות המלצותיה בכל הקשור להתנהלות השוטפת במרחב הדיגיטלי בעקבות האירוע שהתרחש במערכות בית החולים "מעייני הישועה" בחודש אוגוסט האחרון. 

  • בכל מקרה בו עולה חשש לדלף מידע כלשהו, יש לשנות מיד את הסיסמה בשירות שנפרץ ולהפעיל אימות דו שלבי להגברת האבטחה על חשבון המשתמש. 
  • החלפת שם משתמש וסיסמת השירות שנפרץ בהם משתמשים באתרים או בשירותים מקוונים נוספים. 
  • שימוש בסיסמאות חזקות ולא בנאליות. מומלץ לנהל את הסיסמאות בתוכנה ייעודית לניהול סיסמאות (כגון מחולל סיסמאות) אשר מצפינה את הסיסמה. אין לשמור סיסמאות באופן גלוי בסביבת המחשב או בטלפון הנייד. 
  • שימוש בשירותים הבוחנים אם הסיסמאות השמורות אצלם נחשפו (מנהל הסיסמאות של גוגל בדפדפן כרום). 
  • הגברת ערנות והתנהלות חשדנית מול כל פניה יזומה בדוא"ל, בהודעת טקסט או שיחת טלפון, ולוודא את הקשר בין הפניה היזומה לשירות המוכר, ובפרט מול הודעות המכילות הבטחות או הצעות שמבטיחות זכייה כלשהי או הנחה גדולה. 
  • בדיקת כתובת הדוא"ל של השולח ותוכן המייל הכולל ביטויים לא שגרתיים - שגיאות כתיב וניסוח שאינו קולח. 
  • לא למסור פרטים אישיים כגון סיסמה, מספר כרטיס אשראי או קוד אישי לבקשת הפונה. 
  • לא ללחוץ על קישורים! במידה ומתקבל מייל המכיל קישור המציע לכם לבצע פעולה כלשהי באתר המוכר לכם, גשו לאתר באמצעות הקלדת כתובת האתר בדפדפן ולא דרך הקישור המצורף. 
  • היו חשדניים כלפי קבצים מצורפים - פתחו רק כאשר הנכם בטוחים לגבי לגיטימיות המקור או כתובת הדוא"ל של השולח. אם אינכם בטוחים לגבי מהימנות התכתובת - צרו קשר עם השולח באמצעי תקשורת אחר (למשל בשיחת טלפון). 
  • נתחו את סיכוניכם, פעלו להקטנת הנזק בהתאם – העלו את רמת חשדנותכם במקומות הרלוונטיים, בדקו פירוט הפעולות בכרטיס האשראי שלכם, והודעות מרשתות חברתיות במקרה בו מישהו מנסה להיכנס לחשבונכם. 
  • הפיצו ויידעו אנשים בדבר מתקפות בהם נתקלתם ויידעו את המשטרה והרשויות על כל ניסיון סחיטה או פישינג. 

הגנת הפרטיות ברחבי העולם

האיחוד האירופאי- צבר אירועי דלף מידע מרשויות החוק

בעת האחרונה בוצעו מספר מתקפות על רשויות החוק ברחבי האיחוד האירופאי במסגרתם אירע דלף מידע. בשוויץ– בוצעה מתקפה על אפליקציית MobileIron המותקנת בפלאפונים של עובדי המשטרה אשר באמצעותה ניתן להבטיח חיבור מאובטח בין סמארטפון או מחשב נייד לשרתים במטה משטרת שוויץ. כתוצאה מהמתקפה, ספר הטלפונים הכולל שמות מלאים ומספרי טלפון, זלג מכלל 2800 עובדי המשטרה ישר לידיהם של התוקפים. המידע נחשב רגיש כיוון שהוא יכול לשמש להונאה מדויקת כנגד שוטרים במתקפות דיוג והונאות פיננסיות. באופן דומה, הרשויות בנורבגיה גם נפלו קורבן באמצעות המתקפה על אפליקציית MobileIron. באירלנד - דלף מידע ארע בעקבות טעות אנוש; כחלק מבקשת חופש המידע פורסם גיליון אלקטרוני המפרט את שמות המשפחה וראשי התיבות של כל השוטרים בשירות המשטרה של צפון אירלנד (PSNI) בתוספת אנשי צוות אזרחיים. בגיליון רשומים דרגות השוטרים, המיקום והמחלקה שבה הם עובדים, אך לא נכלל מידע אישי אחר כגון כתובות מגורים. 

הודו – הנשיא אישר סופית את החוק להגנת הפרטיות

ביום ה 11.08.2023,  חוק הגנת הפרטיות של הודו עבר את שלביו האחרונים - החוק התקבל באופן סופי לאחר מספר שנים של דיונים, דחיות ומשא ומתן. החוק מכיר בזכותם של אנשים להגן על נתוניהם האישיים ובצורך לעיבוד מידע אישי למטרות חוקיות. החוק קובע חובות עבור מי שמחזיק בנתונים, מספק אמצעי הגנה לנתוני ילדים וזכויות ליחידים, מאפשר העברת נתונים בין גבולות, קובע קנסות כספיים ומבסס מערכת לניהול תלונות. 

ארה"ב - פריצת סייבר בחברת EY חושפת כרטיסי אשראי של לקוחות Bank Of America

EY (Ernst&Young), אחד התאגידים הגדולים בעולם לראיית חשבון טוענים כי פרטים פיננסיים ומספרי כרטיסי אשראי של למעלה מ- 30,000 לקוחות של Bank Of America נחשפו בעקבות מתקפת הסייבר על מערכת העברת הקבציםMOVEit Transfer. על פי המכתב של EY לתובע הכללי של מיין, 30,210 אנשים נחשפו במתקפה. הנתונים שנחשפו עשויים לכלול: שם פרטי ושם משפחה; כתובות; פרטי חשבון; מספרי כרטיס חיוב או כרטיס אשראי; מספרי ביטוח לאומי; מספרי תעודות זהות שהונפקו על-ידי הממשלה. פושעי סייבר יכולים להשתמש במידע הגנוב כדי לבצע הונאה: החל מגניבת זהות והתקפות פישינג ועד לפתיחת חשבונות אשראי חדשים, ביצוע רכישות לא מורשות או קבלת הלוואות בתואנות שווא. 

ארה"ב – דלף מידע ממוסדות החינוך

ביום 14.09.2023, מחוז בתי הספר הציבוריים של מחוז פרינס ג'ורג', במרילנד זיהה פעילות זדונית בשרתיו. המתקפה השפיעה על כ-4,500 מתוך 180,000 חשבונות משתמשים וחשבונות צוות. רוב החשבונות שהושפעו היו שייכים לעובדים, ולכל העובדים הומלץ לאפס את הסיסמאות שלהם. ב-26 באוגוסט אמרו גורמים רשמיים בבית הספר כי גילו שתוקפי סייבר פרסמו באינטרנט "מידע אישי" שעשוי לכלול "פרטי זיהוי". המתקפה במרילנד התרחשה על רקע עלייה במספר מתקפות הסייבר ואירועי תוכנות הכופר שהשפיעו על בתי ספר ברחבי ארה"ב השנה. הנתונים של אלפי תלמידים מניו יורק ועד מינסוטה הושפעו מההפרה העולמית של MOVEit תוכנת העברת קבצים, שהחלה במאי. 

מצרים – משרד הבריאות מדווח על דלף מידע של כ- 2 מיליון אזרחים

גורם איום "מבוסס" טוען כי ברשותו שני מיליון רשומות נתונים שנגנבו ממשרד הבריאות והאוכלוסין המצרי. על פי הפוסט שהועלה בפורום של האקרים, המאגר כולל מידע מקיף ואישי על מטופלים, כולל שמות, תעודות זהות, מספרי טלפון, כתובות, פרטי סיווג הליכים, אבחנות ופרטים על הטיפול. התוקף סיפק מדגם של מערך הנתונים, הכולל נתונים על 1000 אנשים כדי לתמוך בטענה. ממשלת מצרים, המצטרפת לתנועה העולמית, העבירה את חוק הגנת המידע האישי (PDPL) הראשון שלה אי פעם, התואם במידה רבה את הדרישות של שיטת העבודה הטובה ביותר העולמית, התקנה הכללית להגנה על נתונים (GDPR) של האיחוד האירופי. 

אירלנד – קנס של 345 מיליון יורו על TikTok

נציבות הגנת המידע של אירלנד קנסה את TikTok ב 345 מיליון יורו ונקטה בצעדים מתקנים עקב הפרות לכאורה של ה GDPR בנוגע להגנה על נתונים של ילדים. הרגולטורים האיריים קבעו כי TikTok לא התנהלה בשקיפות מספקת בנוגע להגדרות הפרטיות, והעלו תהיות בנוגע לאופן בו עיבדה את הנתונים. הטענה היא שחשבונות של משתמשים בגילאי 17-13 נחשבו לציבוריים כברירת מחדל בעת הרישום, כלומר התכנים שפורסמו בהם היו גלויים לעיני כל. לחברה ניתנו שלושה חודשים להתאים את הליך עיבוד הנתונים לחוקי האיחוד האירופי. במקביל, נמשכת חקירה בחשד ש TikTok העבירה באופן לא חוקי מידע מהאיחוד האירופי לסין. האפליקציה היא בבעלות החברה הסינית ByteDance. זהו אמנם הקנס הגבוה ביותר שהוטל אי פעם על TikTok, אך הוא נמוך ביחס לקנסות שספגו לאחרונה חברות טכנולוגיה אחרות. כך למשל, במאי הוטל על מטא קנס של 1.2 מיליארד יורו על העברה לא חוקית של נתונים בין אירופה לארה"ב. באפריל הטילו רשויות הרגולציה בבריטניה על TikTok קנס בן 12.7 מיליון פאונד וזאת על כך שאפשרה לילדים מתחת לגיל 13 להשתמש בפלטפורמה שלה ב-2020. 


טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 04-2024
הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 03-2024
הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 02-2024