הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 01-2023
הרשות להגנת הפרטיות פרסמה מסמך המציג את היבטי הפרטיות במעקב אחר עובדים בעת עבודה מרחוק
בשנים האחרונות גובר המעבר של ארגונים למתכונת של עבודה מרחוק, על פי רוב כאשר העובדים נמצאים בביתם. מצב זה, בצירוף ההתפתחות הטכנולוגית ורצונם של המעסיקים לפקח על עובדיהם, מביא לשימוש של מעסיקים באמצעים טכנולוגיים שונים למעקב אחר התנהלות עובדיהם העובדים מרחוק. לדעת הרשות, מתכונת של עבודה מרחוק מציבה אתגר בפני ארגונים, ולעיתים על המעסיק מוטלת החובה לפקח על עבודתו של העובד בתצורות מסוימות (כדוגמת פיקוח על שעות העבודה של העובדים, כנדרש בחוק). אך שימוש מעין זה עלול להוביל להשלכות משמעותיות על פרטיותם של העובדים. מטרת המסמך הינה להבטיח כי מתכונת עבודה זו תיושם תוך מתן התייחסות לפרטיותם של העובדים, בכפוף לעקרונות תום לב, גילוי, שקיפות, לגיטימיות, מדתיות, סבירות, הגינות וצמידות למטרה. המסמך אינו עוסק באמצעים טכנולוגיים שהשימוש בהם נדרש כחלק אינהרנטי מביצוע העבודה, ואין בכוונתן להגביל או לצמצם את העבודה מרחוק. הרשות מציגה את הסיכונים לפרטיות העובד הנובעים ממצב זה, לרבות איסוף ושמירת מידע אישי ללא הסכמת העובד, איסוף ושמירת מידע אישי ורגיש אודות העובדים (שספק אם היה נאסף בעת מתכונת של עבודה במשרדי המעסיק), איסוף ושמירת מידע עודף באופן של איסוף מידע אודות בני ביתו של העובד בעת ניטור התנהלותו של העובד, דלף וזליגת מידע כתוצאה מכשלי אבטחת מידע, שימוש לרעה במידע על ידי המעסיק במסגרת יחסי העבודה וכן משטור ופגיעה בתחושת השליטה של האדם על חייו. הרשות מחלקת את אמצעי המעקב הטכנולוגיים לשלוש קבוצות: 1. אמצעים שאינם פוגעים בפרטיותם של העובדים ואינם כרוכים באיסוף מידע אודותיהם; 2.אמצעים שפגיעתם בפרטיות העובדים היא מועטה (כדוגמת אמצעים לניטור השימוש במערכות התפעוליות של הארגון); 3. אמצעים שפגיעתם בפרטיות העובדים היא גבוהה במיוחד – כך שבמסגרתם נאסף מידע אישי ורגיש אודות העובדים (למשל, פיקוח על אתרי אינטרנט, שליטה על מצלמות רשת, ניטור תנועות עכבר וכיו"ב), והשימוש בהם יחרוג לרוב במידה משמעותית מהנחוץ והמותר על פי דין. שימוש באמצעים מהסוג האחרון יכול להיעשות רק במקרים חריגים בהם קיימת תכלית מקצועית ספציפית המצדיקה שימוש באלו ובכפוף לעמידה בדרישת המידתיות. להלן תמצית המלצות הרשות: (1) ביצוע תסקיר השפעה על פרטיות, טרם השימוש באמצעים למעקב אחר העובדים; (2) מינוי ממונה הגנת פרטיות בארגון; (3) שימוש בטכנולוגיות מעין אלו באופן סביר ומידתי, לצרכי מטרה לגיטימית בעלת זיקה לאינטרסים הלגיטימיים של מקום העבודה, תוך יידוע העובדים וקבלת הסכמתם לכך (ובפרט לאור פערי הכוחות בין המעסיק לעובד), ותוך הקפדה על כללי אבטחת המידע ועיקרון צמידות המטרה. משכך, מעקב אחר עובדים במתכונת של עבודה מרחוק אמור להתבצע במסגרת שעות העבודה בלבד וכן על מעסיקים לקבוע כללי שימוש במחשב וביישומיו בעת העבודה מרחוק כחלק מחוזה העבודה ובנהליה.
הרשות להגנת הפרטיות מפרסמת טיוטת הנחיה בנושא העברת בעלות במאגר מידע, לסבב נוסף של הערות הציבור
הטיוטה שהתפרסמה לאחרונה, בחודש דצמבר 2022, מגיעה לאחר פרסום גרסה קודמת במהלך שנת 2017. טיוטת ההנחיה מדגישה כי השימוש במידע מוגבל למטרה לשמה הוא נאסף, הנקבעת על ידי בעל מאגר המידע. משכך, במידה ומתרחש שינוי בזהותו של בעל מאגר המידע, נדרש לבחון בזהירות מתבקשת את מידת רלוונטיות ההסכמה המקורית שהתקבלה מנושאי המידע לאיסוף המידע אודותיהם. כך למשל, במידה ובעל המאגר החדש מבקש לשנות את מטרות השימוש המקוריות – עליו לקבל את הסכמה מפורשת ומדעת של נושאי המידע. כמו כן, במקרים בהם מאפייני בעל המאגר המקבל שונים מאלה של בעל המאגר באופן משמעותי (לדוגמא, כאשר מעביר המאגר נמצא ביחסי אמון מיוחדים או חיסיון עם נושאי המידע-עורכי דין, רופאים וכו') – יש לקבל הסכמה מראש של נושא המידע, גם אם אין שינוי במטרות השימוש. לעומת זאת, ככל שתנאי שמירת המידע, מטרות השימוש, אופן השימוש ותנאי העברת המידע אינם משתנים בעת העברת הבעלות – ניתן להסתפק בעדכון גרידא של נושאי המידע בדבר העברת הבעלות (למשל באמצעות משלוח הודעת מייל), זאת תוך ציון פרטי הזיהוי וההתקשרות של בעל המאגר החדש. בכל אופן, בכל שינוי בעלות המאגר נדרש להודיע על כך לרשם מאגרי המידע במשרד המשפטים.
הרשות סוקרת כחלק ממסמך זה דוגמאות להגדרת המושגים "מידע" ו-"ידיעה על ענייניו הפרטיים של אדם" כמופיע בחוק הגנת הפרטיות, תשמ"א-1981. הדוגמאות מובאות בהתאם לפרשנות שניתנה על ידי פסיקותיה השונות של בתי המשפט בישראל, וכי לא מדובר ברשימה "סגורה" – אלא היא "נושמת" ויכולה להתעדכן. כך למשל הנתונים הבאים מהווים "ידיעה על ענייניו הפרטיים של אדם": כתובת מגורים ומספר טלפון (חשוב לשים לב כי ידיעות אלו לא מהוות מאגר מידע, ובלבד שאין לבעל אוסף זה של המידע אוסף נוסף), פסילת מועמדותו של אדם כמועמד למשרה (במידה ומכילה פרטים אישיים אודותיו), מספר חשבון בנק וכרטיס אשראי, יומן שיחות פרטיות, שם קופת החולים אליה משוויך האדם וכן פנייתו של אדם לרשויות לצורך הגשת תלונה. לעומת זאת, המושג "מידע" מתייחס לנתונים הבאים: נתונים על אישיותו של אדם (ובפרט מידע שמקורו במבחני התאמה לעבודה, מידע אודות עברו הפלילי של אדם וכן מידע אודות מוצאו של אדם), מעמדו האישי (נשוי/רווק/אלמן/יתום), צנעת אישותו (התנהגות אדם ברשות היחיד, ו/או נטייה מינית), מצב בריאותו (מידע גנטי, מידע רפואי או מידע על מצבו הנפשי של אדם, היותו נשא של נגיף מסוים), מצבו הכלכלי (נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, שינוי במצבו הכלכלי, מקרקעין שברשותו, בעלות על רכב, ירושה, צו עיקול, השקעות, מידע על השתכרות ומידע בנקאי), הכשרתו המקצועית, דעותיו ואמונתו (תפיסת עולם, דעה פוליטית או אמונה דתית של אדם), נתוני מיקומו של אדם, נתוני תקשורת, הרגלי צריכה ואף כתובת דוא"ל – על אודות אדם מזוהה או אדם הניתן לזיהוי באמצעים סבירים, וכן לאינפורמציה ממנה אדם סביר יכול להסיק אחד מסוגי הנתונים שלעיל'. משכך, מספר תעודת זהות ואפיון ביומטרי מהווים נתון המאפשר לזהות את האדם אליו מתייחס המידע. כמו כן, המסמך סוקר מספר מקרים בהם נדרש בית המשפט לקבוע האם מידע על אדם הניתן לזיהוי באמצעים סבירים ייחשב מידע כהגדרתו בחוק.
הרשות הטילה קנס גבוה בסך 320,000 ₪ על חברת "דאטה אונליין", זאת לאחר קבלת תלונה לפיה החברה מבצעת שורת הפרות חמורות של חוק הגנת הפרטיות ותקנותיו. החברה סיפקה בשנים האחרונות שירותי טיוב מידע לעשרות חברות וגופים שונים במשק, פרטיים וציבוריים, ביניהם מתמודדים לבחירות ברשויות מקומיות, קופות חולים ועוד. במסגרת זאת, החברה הציגה את עצמה כבעלת מאגר חוקי ורשום לפי חוק הגנת הפרטיות בפני החברות והגופים ששכרו את שירותיה, קיבלה מהם גישה למאגרי המידע שלהם, וסחרה בנתונים שהועברו אליה באופן לא חוקי. כמו כן, כחלק מהליך הפשיטה של הרשות על משרדי החברה, התגלה כי המידע שהוחזק על ידי החברה לא אובטח כנדרש בחוק הגנת הפרטיות ותקנותיו.
הרשות פרסמה את המלצותיה על רקע הרחבת מודל שירותי התשלום בתחבורה הציבורית לשיטות תשלום נוספות, ובהן תשלום ותיקוף נסיעה דרך אפליקציות פרטיות (רב-פס,, Moovit ,Pango ו-Cello). באמצעות יישומונים אלה, נאספים ומעובדים נתונים רבים וביניהם: פרטים מזהים, פרטי אמצעי תשלום, נתונים טכניים של המכשיר ממנו מתבצע התשלום, נתוני התנהגות ונתוני מיקום. עקב רגישות המידע הנאסף, הרשות פרסמה את ההמלצות הבאות: בחינת מדיניות הפרטיות של היישומון – ככל שהתנאים אינם מקובלים עליכם, מומלץ להסיר את היישומון ולא לאפשר גישה לנתוני מיקום; צמצום הרשאות הגישה של היישומון למיקומכם (מתן הרשאה למיקום משוער ולא מדויק, הסרת פרטי המיקום שלכם); התקנת עדכוני אבטחה שמפרסם מפעיל היישומון בצורה תדירה; במידה שאין צורך יותר בשירות - מחקו את החשבון ואת היישומון.
הוגש כתב אישום נגד שוטר לשעבר עקב ביצוע עבירות של פגיעה בפרטיות
כתב האישום הוגש בטענה כי שוטר לשעבר במחלקת הסייבר במשטרה צילם במספר הזדמנויות, דרך חלון ביתו נשים המתגוררות בבניין הסמוך, וכן צילם תמונות של נשים במרחב הציבורי ללא ידיעתן והסכמתן. כתב האישום שהוגש נגדו מייחס לנאשם ביצוע עבירות של פגיעה בפרטיות, זאת עקב הפרת סעיף 2(3) לחוק הגנת הפרטיות, התשמ"א 1981, פרסום והצגת תועבה, הדחה בחקירה והפרת הוראה חוקית.
הרשות להגנת הפרטיות הטילה קנס בסך 95,000 ₪ על עובד רשות המיסים עקב ביצוע הפרות פרטיות
הרשות הטילה קנס גבוה על עובד ותיק במטה חקירות ומודיעין ברשות המיסים, זאת עקב ניצול לרעה של הרשאותיו למאגר מידע ממשלתי ופרסום מידע אישי על אזרחים בקבוצת פייסבוק לאיתור מכרים, ללא הסכמתם וידיעתם. הפרטים כללו כתובות מגורים, כתובות קודמות, פרטים על נישואים, שם קודם, סטטוס עזיבה או חזרה לארץ ותאריכי לידה. מדובר במידע אישי, שאינו נגיש לציבור הרחב, ופרסומו מהווה הפרה של סעיף 2(9) וסעיף 8(ב) לחוק הגנת הפרטיות, תשמ"א-1981. האכיפה נגד אותו עובד הגיעה לאחר קבלת תלונות ברשות להגנת הפרטיות. כחלק מכך נעשתה פנייה למנהלי קבוצת הפייסבוק בה פורסם המידע, אשר בעקבותיה הנהלת הקבוצה פרסמה הודעה המיידעת את חבריה על פניית הרשות וכן דרישה לפעול בהתאם לחוק הגנת הפרטיות. אזהרה זאת לא מנעה את המשך פרסום המידע על ידי העובד, מה שהוביל לחקירתו של העובד. עקב המקרה הרשות להגנת הפרטיות הוציאה הודעה לכלל עובדי שירות המדינה שמתריעה בפניהם כי מעשים מעין אלו מהווים הפרת דין שעלולה לגרור להעמדה לדין פלילי, משמעתי או להטלת קנסות כבדים.
הגנת הפרטיות ברחבי העולם
המועצה האירופית להגנה על נתונים (EDPB) בצעד חריף נגד מטא ונציבות הגנת המידע באירלנד
בתאריך 11 בינואר 2023 פרסמה המועצה להגנה על נתונים (EDPB) את החלטתה כי יש לקנוס את מטא ב- 390 מיליון אירו בגין שימוש בנתונים אישיים לצורך פרסום. החלטת ה- EDPB הגיעה לאחר שהנציבות האירית להגנת המידע (DPC), אשר אמונה על ההחלטות הנוגעות למטא באיחוד האירופי (מטה החברה נמצא באירלנד) קבעה קנס בסך 28 מיליון אירו בגין הפרה זו. החלטתה של ה- EDPB מעבירה מסר למטא ולנציבות האירית יחד. ארגון ה- NGO, "המרכז האירופי לזכויות דיגיטליות" (NOYB), שהוקם על ידי אקטיביסט הפרטיות, מקס שרמס, הגיש שתי תלונות נגד מטא ב-25 במאי 2018 על כך שאינה מאפשרת הסכמה מבחירה על שימוש בנתונים אישיים. מטא בתגובה טענה כי הפרסום עומד בכללי ה-GDPR תוך שימוש בבסיסיים חוקיים העומדים למטא תחת הסכם חוזי, לפי סעיף 6(1)(B), באופן המאפשר למטא, במסגרת הענקת "שירות" - פרסום ממומן כחלק מהפעילות העסקית עבור המשתמשים. בדרך כלל, באופן צר תאפשר למשל חנות מקוונת להעביר את הכתובת לשירות דואר, שכן הדבר נחוץ בהחלט כדי לספק הזמנה. מטא, לעומת זאת, נקטה בדעה שהיא יכולה להוסיף אלמנטים אקראיים לחוזה (כגון פרסומת מותאמת אישית), כדי להימנע מאפשרות הסכמה של כן/לא למשתמשים. במהלך ההליך המשפטי, מטא הסתמכה על עשר פגישות חסויות עם ה-DPC האירי שבהן ה-DPC התיר למטא להשתמש ב"מעקף" זה. מאוחר יותר נחשף כי ה-DPC אף ניסה להשפיע על הנחיות ה- EDPBשישפיעו לטובת מטא.
הנציבות האירופית עם רגולציית סייבר חדשה על רכיבי חומרה ותוכנה
בתאריך ה- 15 בספטמבר 2022, הנציבות האירופית פרסמה הצעה לחיקוק חוק חדש הקובע דרישות לאבטחת סייבר עבור מוצרים עם "אלמנטים דיגיטליים", חוק חוסן הסייבר (CRA). ה- CRA מציג כללי אבטחת סייבר עבור יצרנים, מפתחים ומפיצים של מוצרים עם אלמנטים דיגיטליים, הכוללים הן חומרה והן תוכנה. החוק מחלק את תחום המוצרים הדיגיטליים לכמה סוגים ודרישות אבטחת הסייבר בהתאם. בעוד שכל המוצרים במסגרת ה- CRA חייבים לעבור הליך הערכת התאמה להסמכה עצמית, "מוצרים קריטיים" כפי שהחוק מגדיר אותם, חייבים לעבור הערכה רשמית יותר במעורבות של גוף חיצוני מרכזי באיחוד האירופי שנבחר על ידי הרשויות הלאומיות של המדינות החברות. נספח ג' לחוק מחלק מוצרים קריטיים לשתי "קבוצות": מוצרי Class I כוללים תוכנות לניהול זהויות ותוכנות לניהול גישה מורשית, ניהול סיסמאות, מערכות לניהול תעבורת רשת, בעוד שמוצרי Class II מכסים מערכות הפעלה עבור שרתים, מחשבים נייחים ומכשירים ניידים. שתי הקבוצות דורשות הערכה של התכנון הטכני והפיתוח של המוצר על ידי גוף חיצוני של האיחוד האירופי (כולל ביצוע בדיקות), ולאחר מכן הערכה עצמית של התאמה על ידי היצרן או הערכת על ידי הגוף החיצוני של האיחוד האירופי. הפרק השלישי של ה- CRA מציג דרישות התאמה שונות שיצרני מוצרים במסגרת ה- CRA חייבים לעמוד בהן. על היצרן לספק הצהרת תאימות של האיחוד האירופי עם המוצר (בפורמט שנקבע בנספח ד של ה- CRA) ועליו להדביק סימן CE על המוצר עצמו או, כאשר לא ניתן, על תווית המוצר. הצהרת ההתאמה תכלול את השם והמספר של הגוף המאושר שביצע הליך הערכת התאמה. "תיעוד טכני" חייב להיות מנוסח לפני שהמוצר יצא לשוק.
הסכמת מדינות ה-OECD: מידע אישי מוגן מפני רשויות הבטחון
אינטרסים ביטחוניים וממשלתיים לעיתים רבות עומדים בראש סדרי העדיפויות ומוחרגים, כמעט באופן אוטומטי, מדרישות רגולטוריות. על רקע הקשחת התפיסה לזכויות הפרט וקידום ההגנה על מידע אישי ברחבי העולם, בתאריך 14 בדצמבר 2022 חתמו 38 מדינות ה-OECD על ההסכם הבין-ממשלתי הראשון להגנה על מידע אישי, כאשר מטרתו הוא קידום זכויות פרט וחירותו בעתות חירום ואירועי ביטחון לאומי ונפקות ישירה על גישה למידע אישי בעתות אלו. העברת מידע בין מדיני הוא תחום שהועלה רבות בפורומים ממשלתיים ודיונים רבים עסקו בהקשר זה. ההתייחסות האחרונה לנושא זה במסגרת הסכמות ה- OECD הייתה עדכון ההנחיות להגנה על פרטיות שנקבעו בשנת 2013. ההסכם מצמצם את האפשרות שניתנה לרשויות שלטוניות לגשת למידע אישי בהתבסס על צידוקים של ביטחון לאומי ללא מגבלות מיוחדות. ההסכם מסדיר את הגישה של רשויות אכיפת החוק ורשויות הביטחון הלאומי לנתונים אישיים, בהתחשב באופן ובתנאים המוגבלים בהם תתאפשר גישה למידע אישי, השקיפות שבפעולות אלו, והליכי פיקוח ובקרה על פעולות אלו.
נציבות האיחוד האירופאי: הכרה בארה"ב כמדינה שדיניה תואמים לדרישות העברת מידע?
בהמשך לידיעה שפרסמנו בטור החודשי לחודש אוקטובר, אודות הצו הנשיאותי להסדרת העברת הנתונים בין אירופה לארצות הברית, בתאריך 13 בדצמבר 2022 פרסמה הנציבות האירופית טיוטת החלטה המכירה בארצות הברית כמדינה שדיניה תואמים לסטנדרט הדרישות לרמת אבטחת המידע הנדרשות באירופה. במסגרת זו תתאפשר העברת מידע מאירופה לארצות הברית. טיוטת ההחלטה מפרטת את ההערכה שגיבשה הנציבות על המסגרת המשפטית הקיימת בארצות-הברית ומסקנתה שמסגרת זו שקולה למסגרת המשפטית באירופה. ההחלטה נשלחה לבחינתה של המועצה להגנת המידע באירופה (EDPB). לאור פרסום טיוטת החלטה זו, פרסם ארגון ה- NGO, "המרכז האירופי לזכויות דיגיטליות" (NOYB), שייסד מקס שרמס את תגובתו הספקנית באשר לאימוץ ההחלטה על ידי ה- EDPB כאשר הבסיס להחלטה הוא צו נשיאותי בלבד.
נציבות הסחר הפדרלי בארה"ב פרסמה מדריך לפיתוח אפליקציות לתחום הבריאות.
ב-7 בדצמבר 2022, נציבות הסחר הפדרלית (FTC) פרסמה מדריך אינטראקטיבי מעודכן לאפליקציות בריאות לנייד כדי לעזור למפתחים לקבוע אילו חוקים ותקנות פדרליים חלים על אפליקציות שאוספות ומעבדות נתוני בריאות. הגרסה המעודכנת של המדריך, אשר משנה את המהדורה הראשונית משנת 2016, נועדה לסייע למפתחים של אפליקציות למכשירים ניידים שייגשו, יאספו, ישתפו, ישתמשו או יתחזקו מידע הקשור לבריאותו של משתמש, כגון מידע הקשור לאבחון, טיפול, כושר, בריאות או התמכרות.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת