הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 01-2024
הגנת הפרטיות בארץ
לאחר מספר שנים של בחינה מחדש במעמד התאימות של ישראל (שניתן לה בשנת 2011), ביום ה- 15 בינואר 2024, הודיע האיחוד האירופי על חידוש ההכרה במעמד התאימות של חוקי הפרטיות בישראל לאלו של האיחוד. ההחלטה ניתנה בעקבות תהליך בחינה מקצועי מקיף של נציבות האיחוד האירופי שנמשך מספר שנים ומטעם ישראל נעשה בהובלת הרשות להגנת הפרטיות וייעוץ וחקיקה. תהליך זה כלל הצגה מפורטת של משטר הגנת הפרטיות בישראל, וביצוע מהלכים משלימים בקשר לזכות לפרטיות, בהם אישור החלטת הממשלה מס' 1890 בעניין עצמאות הרשות להגנת הפרטיות, קידום תקנות מיוחדות שאושרו על ידי ועדת החוקה של הכנסת בשנת 2023, ופרסום הנחיות שונות מטעם הרשות כדי לתת מענה לפערים מול הדין האירופי. משמעות ההחלטה היא שחברות ישראליות יוכלו לאסוף, לשמור ולעבד בישראל מידע של אזרחי האיחוד כמו חברות אירופאיות, ללא צורך בהליכים בירוקרטיים מסורבלים ויקרים - בפועל, משמעות מעמד זה היא שדין העברת מידע אישי מאירופה לישראל כמוהו כהעברת מידע בתוך האיחוד האירופי. הכרה זו היא בעלת חשיבות רבה למשק הישראלי ולכלכלה הישראלית, בדגש על יחסי המסחר עם אירופה, קשרי מחקר וקשרים נוספים של המשק, שכן היא מאפשרת זרימת מידע אישי לישראל באופן פשוט ונוח, ומקלה מבחינה משפטית ורגולטורית על כלל הגופים בישראל (ובכלל זה חברות ישראליות, עסקים, בתי חולים, מוסדות מחקר ורשויות ציבוריות) שמקבלים מידע אישי מאירופה.
ישראל בהליכי חקיקת תקנות והוראות פרטיות בעידן ה-AI
על מנת להתמודד עם האתגרים וההזדמנויות אשר מציבה הקידמה בכלל והבינה המלאכותית בפרט, ישראל החלה בתהליך עדכון חוקי הפרטיות שלה. זהו הצעד הראשון במאמץ של ישראל ליישר קו עם תקנות האיחוד האירופי(GDPR) ותקנים בינלאומיים אחרים שקורה בהלימה לפרסום נייר המדיניות הממשלתי אודות בינה מלאכותית שראה אור לאחרונה, אשר נותן את הבסיס לרגולטורים קיימים, לרבות הרשות להגנת הפרטיות, להשתמש בסמכויות האכיפה שלהם ביחס לפיתוח ושימוש בינה מלאכותית. ביום ה-26 בדצמבר 2023, קיימה הוועדה החוקתית של הכנסת דיון רביעי בהצעת חוק מס' 14 לחוק הגנת הפרטיות. להצעה זו צפויה להיות השפעה משמעותית על נוף הפרטיות הישראלי ועל השימוש בבינה מלאכותית במגזרים ובתחומים שונים. הצעת החוק החדשה מכניסה שינויים משמעותיים בטרמינולוגיה ובמושגים הבסיסיים של החוק, כגון הגדרות של נתונים אישיים, נתונים רגישים, מזהים ביומטריים, תהליכי עיבוד ובקרה, ורישום חובה של מאגרי מידע. אחד מהנושאים שעלו היה הבחינה האם יש לראות בנתונים מוסקים כגון הערכות אישיות והרגלי צריכה שנוצרו על ידי עיבוד מבוסס בינה מלאכותית כנתונים רגישים. המשמעות היא שנתונים כאלה יהיו כפופים לדרישות אבטחת סייבר משופרות, רישום מסדי נתונים (בתנאים מסוימים) וקנסות גדולים על הפרות. דיונים ותיקונים נוספים מתוכננים לשבועות הקרובים, ככל שהצעת החוק תתקדם לקראת אישורה הסופי.
הרשות להגנת הפרטיות פרסמה דו"ח סיכום פעילותה לשנת 2022 המפרט את עשייתה בתחומי האכיפה, החקיקה, פרסום מסמכי מדיניות וקידום יוזמות בזירה הבינלאומית, נתונים אודות היקף פניות הציבור ועוד. תקציר העשייה כולל את הנושאים הבאים:
- פעילות אכיפה וחובת הדיווח המיידי על אירועי סייבר המחויבים בדיווח על פי התקנות, תוך ביטול חלון הזמנים שניתן בעבר (עד 72 שעות).
- פרויקטים מיוחדים שליוותה מחלקת האכיפה המנהלית ברשות בשנת 2022 - פסיפס צופרים, הקמת גורם מאשר ממשלתי פרויקט "מערכת ההזדהות הלאומית".
- אכיפה פלילית - הרשות פרסמה נתוני אכיפה פלילית לפי תחומים בדגש על עבירות של סחר או שימוש במידע רגיש, כמו"כ הוקם צוות עבודה שעניינו טיפול בתופעת שליפת המידע במגזר הציבורי.
- פיקוחי רוחב – הרשות ביצעה כ-400 הליכי פיקוחי רוחב ומעקב שעסקו בנושאים הבאים: חברות אחסון מאגרי מידע, חינוך, תיירות, חברות ממשלתיות, משרדי חקירות ועוד.
- חקיקה ופעילות במישור המשפטי.
- פניות ציבור – נושאים מרכזיים שעלו בפניות שהתקבלו, אבטחת מידע - דיווחי אבטחת מידע, תקנות אבטחת מידע, סוגיות בנוגע ל"הסכמה" - איסוף מידע ללא הודעה כנדרש, זכות עיון ומחיקת מידע, מאגרי מידע.
- מערך שירות טלפוני ייעודי - 3103* - במהלך השנה נפתח ברשות ערוץ תקשורת ישיר נוסף עבור הציבור.
- פעילות הסברה, הכשרה והדרכה לציבור והשקת לומדות אינטראקטיביות חדשות המאפשרות היכרות טובה יותר של הוראות חוק הגנת הפרטיות ותקנותיו.
בעקבות פגיעה בפרטיות - פוטר בכיר ברשות הטבע והגנים וקיבל נזיפה חמורה והרחקה ל-7 שנים מהרשות
בכיר ברשות הטבע והגנים חשד שאחד מעובדיו לא מדווח כראוי את שעות העבודה וכי נעדר מעבודתו למרות שהוא מדווח על נוכחותו. הבכיר בחר לנקוט בפעולות קיצוניות והטמין טלפון סלולרי ברכבו של העובד במטרה לבלוש אחר מיקומו ולהתחקות אחר פעולותיו במהלך שעות העבודה. המכשיר הוטמן במשענת הספסל האחורי בריפוד הרכב ששימש את העובד וחובר למערכת החשמל של הרכב כדי שסוללת המכשיר תישאר טעונה בהיחבא ואובטח בהתאם. המכשיר התגלה ע"י העובד ששמע את הטלפון מצלצל, פירק את הריפוד ואיתר את הטלפון. ביהמ"ש הטיל על הנאשם נזיפה חמורה, פסילה ל-7 שנים לכל תפקיד ברשות הטבע והגנים ופסילה ל-5 שנים לשירות המדינה.
מידע ממשלתי רגיש דלף והגיע לגורם זר
מידע חשוב, שמכיל פרטים אישיים של עובדי מדינה, דלף ממאגר ממשלתי והגיע לגורמים זרים בחו"ל –האירוע הביטחוני הותר לפרסום בשל הסרה חלקית של צו איסור פרסום, שאותו ביקשה פרקליטות המדינה. העתירה הוגשה לבית משפט השלום בתל אביב לאחר שהופיעו דיווחים בנושא בתקשורת הזרה. העיתונאי יוסי מלמן כתב כי "צו איסור הפרסום הוצא לבקשת גורמים האמונים על אבטחת מידע, לאחר שהתברר כי נכשלו בתפקידם. בישראל התפתחו חילופי האשמות בשאלה מי אחראי לכישלון שהביא לדליפת המידע". העתירה להסרת הצו הוגשה על ידי העיתונאי מלמן יחד עם עמותת הצלחה, שאותה ייצג עו"ד אלעד מן. השופטת החליטה להתיר לפרסם חלקים מפרוטוקול הדיון, שנערך בדלתיים סגורות. עו"ד מן טען בו, בין השאר, כי "יש חשיבות רבה במדינה דמוקרטית ליידע את הציבור במידע רלוונטי לגביו". נציג מחלקת הסייבר בפרקליטות, עו"ד יוני חדד, טען מנגד כי הצורך בהמשך קיומו של הצו הוא מטעמי החקירה ומסיבות נוספות. השופטת החליטה, כאמור, להסיר את צו איסור הפרסום באופן חלקי.
מסמך מדיניות בנושא איסוף ושימוש במידע ביומטרי במקום העבודה
בשנים האחרונות ארגונים משתמשים בטכנולוגיות לזיהוי ביומטרי לבקרת נוכחות עובדות ועובדים במקום העבודה ולפיקוח אחר שעות עבודתם, וזאת לרוב במסגרת כניסה ויציאת עובדים ממקומות עבודה ותוך שימוש בשעון נוכחות ביומטרי. שימוש זה מציב אתגר בנוגע להגנה ולכיבוד זכותם של עובדים לפרטיות. המסמך אינו מבקש לאסור את השימוש בטכנולוגיות לזיהוי ביומטרי של עובדים למטרות של רישום נוכחות ומעקב אחר שעות עבודה, אלא רק להבטיח כי הוא ייעשה תוך מתן התייחסות הולמת לפרטיותם של העובדים. עוד יובהר כי המסמך אינו עוסק בשימוש במערכות ביומטריות לזיהוי כלל הנכנסים בכניסה לבתי עסק לצרכי אבטחה וביטחון, אלא אך ורק בנושא בקרת נוכחות עובדים ועובדות במקום העבודה. ההמלצות המרכזיות שעולות מהמסמך:
- שימוש במידע ביומטרי באופן סביר ומידתי, תוך יידוע העובדים וקבלת הסכמתם.
- בחינת אפשרות השימוש בחלופות הפוגעות במידה פחותה בפרטיות העובדים.
- מתן אפשרות לעובד לבחור בחלופה אחרת אם הוא מסרב למסור לארגון מידע ביומטרי.
- מחיקת טביעות אצבע של עובדים שסיימו העסקתם.
- על הארגון לספק מידע לעובדים, בין היתר, בדבר מטרות איסוף המידע; זהות הגורם האחראי על המאגר בו נשמר המידע ומורשי הגישה אליו; אופן אבטחת המידע; הסכנות האפשריות של איסוף ושמירת המידע; זכויות העובד בדבר העיון ותיקון המידע, וכיו"ב.
הגנת הפרטיות בעולם
בית המשפט של האיחוד האירופי מנמיך את הדרישות להטלת קנסות על הפרות הגנה על נתונים
ביום ה-5 לדצמבר 2023, בית הדין האירופי לצדק (ECJ) פרסם פסק דין שיקל על רשויות הגנת המידע להטיל סנקציות על הפרות של כללי הגנת המידע של האיחוד האירופי (GDPR), שעשוי להביא לקנסות גבוהים יותר. פסק הדין נובע מכך ששני בתי משפט לאומיים מליטא וגרמניה ביקשו הנחיות לגבי התנאים להטלת סנקציות על בקרי נתונים (Controllers). במקרה הליטאי, המרכז הלאומי לבריאות הציבור תחת משרד הבריאות ערער על קנס של 12,000 אירו שהוטל עליו במסגרת פיתוח של אפליקציה סלולרית לרישום וניטור נתונים של אנשים שנחשפו ל- Covid-19. במקרה הגרמני, חברת הנדל"ן Deutsche Wohnen, המחזיקה בעקיפין בכ-163,000 יחידות דיור ו-3,000 יחידות מסחריות, מתמודדת, בין היתר, עם קנס של למעלה מ-14 מיליון אירו שהוטל עליה כתוצאה מכך ששמרה את המידע האישי של הדיירים למשך זמן רב מהנדרש. בית הדין האירופי לצדק קבע כי בקר נתונים יכול לעמוד בפני קנס מנהלי רק בגין הפרות מכוונות או רשלניות של ה-GDPR, כלומר, הפרות שבקר נתונים היה מודע להן או היה צריך להיות מודע ל"אופי המפר של התנהגותו", ללא קשר לידיעתו על ההפרה הספציפית. כמו כן, בית הדין האירופי לצדק מבהיר את התנאים שבהם רשויות פיקוח לאומיות רשאיות להטיל קנס מנהלי על בקר נתונים בגין הפרה של ה-GDPR.
בריטניה – משרד נציב המידע קונס את משרד ההגנה על דליפת מידע
משרד נציב המידע של בריטניה (ICO) קנס את משרד ההגנה של בריטניה ב-350,000 ליש"ט בגין חשיפת מידע אישי של אנשים שביקשו לעבור לבריטניה זמן קצר לאחר שהטליבאן השתלט על אפגניסטן בשנת 2021. ביום ה־20 בספטמבר 2021 שלח משרד ההגנה דוא"ל לרשימת תפוצה של אזרחים אפגנים הזכאים לפינוי, כאשר כתובות המיילים של כולם (245 אנשים) היו חשופים בשוגג לכל הנמענים כי הן לא הופיעו ב"עותק מוסתר". ל-55 אנשים מתוכם היו תמונות ממוזערות בפרופיל הדוא"ל שלהם, שני אנשים 'השיבו לכולם' על כל רשימת הנמענים, כאשר אחד מהם סיפק את המיקום שבו היה באותו הזמן באפגניסטן. הנתונים שנחשפו, אם היו נופלים לידי הטליבאן, היו עלולים לגרום לסכנת חיים. זמן קצר לאחר דליפת הנתונים, משרד ההגנה יצר קשר עם האנשים שנפגעו וביקש מהם למחוק את הדוא"ל, לשנות את כתובת הדוא"ל שלהם וליידע את הצוות על פרטי הקשר החדשים שלהם באמצעות טופס מאובטח. על פי חוק הגנת הנתונים, ארגונים חייבים לנקוט אמצעים טכניים וארגוניים מתאימים כדי להימנע מחשיפת מידע של אנשים באופן בלתי הולם. הנחיות ה-ICO מבהירות כי ארגונים צריכים להשתמש בצורה מאובטחת יותר כאשר הם שולחים מידע רגיש בדוא"ל.
ארה"ב - נציבות התקשורת הפדרלית מעדכנת את כללי הפרת הנתונים שלה
ביום ה-21 בדצמבר 2023 פרסמה נציבות התקשורת הפדרלית (FCC) צו המעדכן את כללי הפרת הנתונים שלה. כללים מעודכנים אלה מחייבים ספקי טלקומוניקציה לדווח על הפרות של פרטי הרשת הקניינית של הלקוחות, כגון מספרים שחייגו אליהם ומתי הם חייגו, אך גם דורשים דיווח על מידע המאפשר זיהוי אישי (PII), כגון מספרי רישיון נהיגה, מספרי ביטוח לאומי ומספרי כרטיסי אשראי. הכללים החדשים מחייבים חברות לדווח על הפרות בשוגג, שינוי משמעותי מהכללים הקודמים, שדרשו הודעה רק על גילויים מכוונים, כגון כאשר חברה הונתה או שוחד כדי לחשוף מידע צרכני. הכללים מתייחסים גם להפרות הגורמות לכאורה נזק – כולל נזק רגשי ונזקים אחרים שאינם קשורים ישירות לגניבת זהות או הונאה פיננסית.
קליפורניה מחייבת תכונת פרטיות מהפכנית בדפדפן
הסוכנות להגנת הפרטיות של קליפורניה (CPA) אישרה לאחרונה הצעת חקיקה חדשה. הצעה זו, שמטרתה ליישר קו עם חוק פרטיות הצרכן של קליפורניה (CCPA), דורשת מכל ספקי הדפדפנים לשלב "אות העדפה לביטול הסכמה" בתוכנה שלהם. תכונה זו נועדה לאפשר למשתמשים שיטה פשוטה לסרב למכירה או לשיתוף של המידע האישי שלהם עם עסקים מקוונים, ולייעל את תהליך ההגנה על נתונים בפלטפורמות שונות. עד כה, רק דפדפנים בודדים כמו Mozilla Firefox, DuckDuckGo ו-Brave, הטמיעו תכונה כזו, כאשר רוב השוק, כולל דפדפנים גדולים כמו Google Chrome, Microsoft Edge ו- Apple Safari, עדיין לא אימצו אותה. רתיעה זו מיוחסת לעתים קרובות למודלים העסקיים תלויי הפרסום של דפדפנים גדולים אלה. מהלך זה מדגיש את החשיבות הגוברת של פרטיות דיגיטלית וזכויות צרכנים בעידן האינטרנט, ומסמן שינוי פוטנציאלי לעבר חוויות מקוונות ממוקדות יותר במשתמש.
Google תעדכן את 'מפות' כדי למנוע מהרשויות לגשת לנתוני היסטוריית המיקומים
גוגל תאחסן בקרוב את היסטוריית המיקומים של משתמשי מפות באופן מקומי במכשירי המשתמשים במקום בשירותי ענן, שינוי משמעותי שיקשה על רשויות אכיפת החוק לגשת לנתונים. השינוי חל על התכונה 'ציר זמן' ב'מפות', שזוכרת מיקומים שבהם משתמשים היו בעבר. היסטוריית המיקומים מושבתת כברירת מחדל, אך עבור משתמשים שבוחרים להפעיל אותה, Google בדרך כלל מאחסנת את המידע הזה בענן. זה מה שאפשר לרשויות אכיפת החוק לבקש נתונים באמצעות "צווי גידור גיאוגרפי" המאפשרים לרשויות אכיפת החוק לאסוף נתונים של חברות טכנולוגיה על טלפונים ניידים שעברו באזור מסוים במהלך פרק זמן מסוים. כעת, כשהיסטוריית המיקומים תאוחסן במכשירים של המשתמשים, לגוגל כבר לא יהיה את המידע המצטבר הזה בהישג יד כדי להעביר אותו למשטרה או ל-FBI.
גוגל הולכת קדימה עם שינויים מרחיקי לכת באופן שבו חברות עוקבות אחר משתמשים באינטרנט. השינויים מתמקדים בשימוש בקובצי Cookie, טכנולוגיה שמתעדת את הפעילות של משתמשי אינטרנט באתרים שונים, כך שמפרסמים יכולים לטרגט אותם עם מודעות רלוונטיות. גוגל תתחיל בבדיקה מוגבלת שתגביל קובצי Cookie עבור 1% מהאנשים המשתמשים בדפדפן הכרום שלה, שהוא הפופולרי ביותר בעולם. עד סוף השנה, גוגל מתכננת לחסל קובצי Cookie עבור כל משתמשי Chrome. משווקים, חברות טכנולוגיות, פרסום ובעלי אתרים פועלים כדי להבטיח שהעסקים שלהם יוכלו לשרוד את המעבר. למרות שהמאמצים של גוגל ישפיעו רק על חלק קטן ממשתמשי Chrome בהתחלה, הם עשויים בסופו של דבר לגרום לכך שמיליארדי משתמשי אינטרנט יראו פחות פרסומות שנראה כי הן תואמות באופן הדוק את הרגלי הגלישה שלהם באינטרנט. תומכי צרכנים טענו כי קובצי Cookie של צד שלישי פולשים לפרטיות המשתמש מכיוון שניתן להשתמש בהם כדי להרכיב פרופילים מפורטים, כולל מידע רגיש כגון ההיסטוריה הרפואית של אדם.
גוגל עקבה אחרי אנשים גם במצב גלישה בסתר
גוגל הסכימה ליישב תביעת פרטיות בסך 5 מיליארד דולר בטענה שריגלה אחר אנשים שהשתמשו במצב "גלישה בסתר" בדפדפן הכרום שלה - יחד עם מצבים "פרטיים" דומים בדפדפנים אחרים - כדי לעקוב אחר השימוש שלהם באינטרנט. בתביעה הייצוגית שהוגשה ב-2020 נטען כי גוגל הטעתה משתמשים להאמין שהיא לא תעקוב אחר פעילויות האינטרנט שלהם בזמן השימוש במצב גלישה בסתר. נטען כי טכנולוגיות הפרסום של גוגל וטכניקות אחרות המשיכו לקטלג פרטים על ביקורים ופעילויות של משתמשים באתר, למרות השימוש שלהם בגלישה "פרטית" כביכול. התובעים טענו גם כי פעילותה של גוגל הניבה "אוצר מידע בלתי מוסבר" על משתמשים שחשבו שהם נקטו צעדים כדי להגן על פרטיותם. ההסדר עדיין צריך להיות מאושר על ידי שופט פדרלי
בית המחוקקים של ניו ג'רזי מעביר את הצעת חוק פרטיות נתוני צרכנים
ביום ה-8 בינואר העבירו האספה הכללית והסנאט של ניו ג'רזי הצעת חוק לפרטיות הצרכן, שנחתמה לחוק על ידי מושל ניו גרזי ב-16 לינואר ותעניק לתושבי ניו ג'רזי מספר זכויות. החוק נועד להרחיב את זכויות הפרטיות הבסיסיות לצרכנים, כולל הזכות לגשת, למחוק ולעצור גילויים מסוימים של המידע האישי שלהם. הצעת החוק כוללת מספר הוראות שמחזקות את רוב חוקי המדינה האחרים:
- החוק דורש מחברות לכבד אותות פרטיות של דפדפנים, כגון בקרת הפרטיות הגלובלית, כך שצרכנים יוכלו לבטל את הסכמתם למכירת נתונים ולפרסום ממוקד בכל החברות בשלב אחד.
- החוק קובע כללים מנהליים.
- היקף הנתונים המכוסים רחב יותר מרוב המדינות.
החוק ייכנס לתוקף 365 ימים מיום חקיקתו , משמע ב 15 לינואר 2025.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני.
פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.