הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 02-2026

הגנת הפרטיות – ישראל

הנחיה 1/2026 של הרשות להגנת הפרטיות: שימוש במצלמות במעונות יום לפעוטות

הרשות להגנת הפרטיות פרסמה את הנחיה 1/2026 המסדירה את השימוש במצלמות אבטחה במעונות יום לפעוטות. ההנחיה מאזנת בין דרישת ההורים לשקיפות לבין הזכות לפרטיות של הפעוטות והצוות. בהתאם לעדכון החקיקה, ניתן לאפשר צפייה להורים בשידור חי או באופן עתי, בכפוף להסכמה גורפת של כלל ההורים ולשיקול דעת המפעיל. עם זאת, נקבעו מגבלות ברורות: איסור על הצבת מצלמות באזורים פרטיים ואיסור מוחלט על הקלטת קול. בנוסף, תיעוד חזותי של קטינים מוגדר מידע רגיש המחייב עמידה בסטנדרטים מחמירים של אבטחת מידע וסייבר, לרבות ניהול הרשאות והגבלת גישה. אי-עמידה בהוראות ההנחיה עלולה להוביל לעיצומים כספיים משמעותיים ואף להליכים פליליים, ועל כן נדרשת היערכות רגולטורית וארגונית מוקפדת מצד המפעילים.

הצעת חוק חדשה להגנת פרטיות קטינים ברשתות חברתיות

הצעת חוק פרטית של ח"כ נאור שירי ואחרים, מבקשת להסדיר את פעילותן של פלטפורמות רשתות חברתיות, בדגש על זכויות אזרחים וקטינים. ההצעה אוסרת על פתיחת חשבון לילדים מתחת לגיל 14, מחייבת נקיטת אמצעים סבירים לאימות גיל ואף קובעת כי מידע שייאסף לצורך כך ישמש אך ורק לצורך אימות.
 כמו כן, מוצע לחייב פלטפורמות הפועלות בישראל למנות נציג מקומי למענה לפניות הציבור, במיוחד בנוגע להסרה או הקפאה של חשבונות צעירים והקמת מנגנון ערעור טכנולוגי על החלטות אלו.

יישום טכנולוגיות להגנה על הפרטיות  (Privacy-Enhancing Technologies – PETs)

הרשות הגנת הפרטיות בישראל פרסמה בסוף דצמבר 2025 הנחיה מפורטת ליישום טכנולוגיות להגנת הפרטיות (Privacy-Enhancing Technologies – PETs) במערכות בינה מלאכותית(AI) . המסמך נועד לסייע לארגונים למזער סיכוני פרטיות לאורך כל מחזור החיים של מערכות
 ה—AI, תוך שמירה על תפקודן התקין. ההנחיה שמטרתה זיהוי המתחים בין הצורך בנתונים רבים לשימוש ב- AI ודרישות ההגנה על המידע האישי, מציעה שימוש בטכנולוגיות PETs ע"מ להתמודד עם אתגרים אלה. המסמך מתחלק ל- 3 קבוצות עיקריות: 

1. שינוי נתונים (Data Modification): מטרתם לטשטש או להסתיר מידע אישי במקביל לשמירת שימושיות אנליטית במידע. 

2. חישוב מבוזר ((Distributed Computing): טכניקות המאפשרות לעבד מידע בין מספר גופים ללא חשיפת הנתונים הרגישים. 

3. הפרדה והצפנה: שימוש בסביבות ביצוע בטוחות לצורך עיבוד נתונים מוצפנים לאורך כל התהליך. 

מסמך זה מיועד בעיקר ל- DPOs  (ממוני הגנת פרטיות), יועצים משפטיים, מנהלי מוצר ומפתחים ב- AI וכולל דוגמאות מיישומים בעולם בתחומים כגון פיננסים, בריאות ונתוני צרכנים. כמו כן, הרשות מדגישה שיש להתאים את הבחירה בטכנולוגיה לפי רגישות הנתונים, דרישות העיבוד, ההקשר הרגולטורי ויכולות הארגון.

גל אכיפה פעיל של תיקון 13 - תום תקופת ההקלה

לאחר תקופה ה"גרייס", הרשות להגנת הפרטיות (PPA) החלה בתחילת 2026 אכיפה פעילה של הדרישות החדשות. ארגון אשר לא יעמוד בדרישות, בדגש על מינוי ממונה על הגנת המידע, עלול לעמוד בפני חקירות וקנסות, ובמקרים חמורים אף בפני תביעות פליליות ואזרחיות. החובות המרכזיות לפי התיקון כפי שאנחנו מכירים, הינן: 

1. מינוי ממונה על הגנת פרטיות (DPO).

2. הרחבת סמכויות האכיפה כגון חקירת ארגונים, הטלת עיצומים כספיים ועוד. 

3. חובת שקיפות ודיווח. 

4. חבות פלילית ואזרחית. 

5. שינויים ברישום מאגרי מידע מול הרשות.

מדריך מקצועי להתממת מידע רפואי

הרשות להגנת הפרטיות פרסמה מדריך מקצועי להתממת מידע רפואי.

המדריך (המצורף לכתבה) שנכתב בשיתוף משרד הבריאות והרשות להגנת הפרטיות, מייעד אותו לאנשי מקצוע העוסקים בהגנה על פרטיות מאגרי מידע רפואי וכולל שיטות ודוגמאות שונות ליישום ההתממה והפחתת סיכוני זיהוי חוזר, כלומר תהליך סדור לצמצום הסיכון לפגיעה בפרטיות תוך שמירה על האפשרות להפקת תובנות סטטיסטיות, בין השאר לצורכי מחקר.
ככל שהמידע יהיה מפורט, איכותי וייחודי יותר, כך עולה הסיכון לזיהוי חוזר של נושאי המידע. לפני כל פעולה של התממה נדרש למפות את סוגי הנתונים במאגרי המידע, להבין את מטרות השימוש בהם ולזהות אילו נתונים עשויים להוביל לזיהוי ישיר או עקיף של נושאי המידע. לאחר הסרת מזהים ישירים, יש ליישם מספר שיטות התממה ביחס למידע שנותר במאגר המידע כאשר השיטות הנפוצות הן מחיקת ערך כגון עמודה בטבלה, שינוי פרטים בערכים פיקטיביים או קודים, החלפת ערכים מדויקים בערכים כלליים יותר כגון המרת גיל לטווח גילאים ועוד. במדריך ניתן שיטות נוספות להתממת מידע והדגמה של השיטות השונות לסוגי מידע נבחרים.

הגנת הפרטיות - בעולם

ICO הבריטית פותחת בחקירה נגד Grok בעקבות שימוש לא חוקי בנתונים אישיים

משרד נציב המידע הבריטי, ה-Information Commissioner's Office, פתח בחקירה רשמית נגד החברות XIUC ו‑X.AI, בעקבות דיווחים על שימוש במערכת ה‑AI Grok ליצירת תמונות וסרטונים מיניים של אנשים, כולל קטינים, ללא הסכמתם. החקירה תבחן אם נעשה שימוש בנתונים האישיים כחוק, אם קיימים אמצעי הגנה מספקים במערכת, ואם עיצוב ופריסת ה‑AI עומדים בדרישות החוק. ICO תאסוף ראיות, תבחן את בסיסי החוק, את עיצוב המערכת ואת אמצעי הבטיחות, ותתאם עם רגולטורים בריטיים ובינלאומיים. בשלב זה לא התקבלה החלטה על הפרת החוק, והגוף יאזן בין טענות החברות לבין החשדות לפני קביעה סופית.

גוגל משלמת 68 מיליון דולר כדי ליישב תביעה על הקלטות סמויות של משתמשים

Google הסכימה לשלם 68 מיליון דולר כדי ליישב תביעה ייצוגית שטענה כי עוזרת הקולית Google Assistant הקליטה משתמשים ללא ידיעתם, גם כאשר הם לא השתמשו בפקודות ההפעלה "Hey Google" או "Ok Google". לפי התביעה, ההקלטות שימשו למטרות פרסום ממוקד, ובכך נגרמה פגיעה משמעותית בפרטיות המשתמשים. המקרה הזה אינו ייחודי, ומדגיש דפוס חוזר של הפרות פרטיות מצד החברה. בשנת 2024, Google הסכימה לשלם 1.4 מיליארד דולר למדינת טקסס, בעקבות תביעה שטענה כי החברה אספה ללא הסכמה מידע אישי, כולל מיקומים גאוגרפיים, חיפושי Incognito ונתונים ביומטריים. בנוסף, פסק דין בקליפורניה חייב את החברה לשלם 425.7 מיליון דולר על איסוף מידע במשך שמונה שנים על משתמשים שבחרו להגביל את מעקב הנתונים בחשבונותיהם. עוד קודם לכן, Google התחייבה למחוק מיליארדי רשומות גלישה כדי ליישב תביעה שטענה כי החברה עקבה אחרי משתמשים שניסו לגלוש במצב Incognito. למרות שהחברה לא הכירה באשמה במקרים אלה, היא בחרה ליישב את התביעות כדי למנוע סיכונים משפטיים והוצאות נוספות.

מתקפות סייבר פוגעות ב-Bumble, Match ו-Panera Bread

בסוף ינואר 2026 דווח כי מספר חברות, ביניהן אפליקציות הדייטינג Bumble ו-Match, רשת Panera Bread ואתר CrunchBase, נפגעו מתקיפות סייבר. לפי הדיווח, המידע שנחשף כלל בעיקר פרטי קשר של משתמשים, אך לא נגנבו סיסמאות, פרטי תשלום או הודעות פרטיות. ב-Bumble אישרו שהתוקפים לא הצליחו לגשת למאגרי המשתמשים, לחשבונות או להודעות פרטיות, בעוד שב-Match נחשף מידע מוגבל בלבד על המשתמשים. CrunchBase דיווחו כי כמה מסמכים ברשת הארגונית שלהם נפגעו, אך המקרה הוגבל במהרה. Panera Bread אישרה גם היא את האירוע והודיעה כי התריעה על כך לרשויות. התקיפות מדגישות את הצורך בחברות להגן על נתוני המשתמשים ולנטר פעילות חשודה ברשת.

פרצת סייבר באוניברסיטאות היוקרה

קבוצת הסייבר ShinyHunters נטלה אחריות על מתקפות בסוף 2025 שהשפיעו על האוניברסיטאות היוקרתיות Harvard ו-University of Pennsylvania, ופרסמה באתרי deep web יותר משני מיליון רשומות שטוענת שנגנבו. המידע כולל פרטים אישיים של סטודנטים, בוגרים ותורמים משמעותיים, כמו כתובות דואר אלקטרוני ופרטי קשר. בין התורמים שנחשפו נמצאים שמות בולטים כמו מארק צוקרברג, מייקל בלומברג וסטיב באלמר. הקבוצה השתמשה בטכניקות "vishing" הכוללת התחזות בטלפון כדי לשכנע עובדים לחשוף סיסמאות ואמצעי אימות נוספים.

עדכון Notepad++ נגוע הפך לכלי ריגול מתוחכם

עדכון של עורך הטקסט הפופולרי Notepad++ שוחרר בחודשים האחרונים הפך לכלי ריגול מתוחכם, כנראה בחסות מדינתית מסין. ההאקרים הצליחו להשתלט על תשתית העדכונים של התוכנה והזריקו את הגרסה המזוהמת רק למשתמשים בארגונים מסוימים, כולל בנקים וחברות טלקום. הנוזקה אפשרה שליטה מלאה על המחשב, גניבת מידע וביצוע פעולות מרחוק, מבלי שהמשתמשים חשו בכך. המקרה ממחיש את הסיכון בכלים מבוססי קוד פתוח בהם עדכונים ישנים עם אימות חלש יכולים להפוך לשער לפריצה.

מתקפת סייבר על תשתית המובייל של הנציבות האירופית

הנציבות האירופית הודיעה כי זיהתה מתקפת סייבר על התשתית המרכזית המנהלת את מכשירי המובייל של עובדיה. על פי ההודעה, ייתכן שהתוקפים נחשפו לשמות עובדים ולמספרי טלפון ניידים של חלק מהסגל, אך לא נמצאה עדות לפגיעה במכשירים עצמם או לגישה לתוכנם. האירוע זוהה ב-30 בינואר וטופל בתוך כ-9 שעות, במהלכן המערכת נוקתה והמתקפה נבלמה. בנציבות הדגישו כי אבטחת המידע והעמידות של המערכות הפנימיות נמצאות בעדיפות גבוהה, וכי האירוע ייבחן לעומק כחלק מהמאמצים לחיזוק יכולות הסייבר.

חוק חדש נגד בוטים, דיפ-פייק והתמכרות ילדים בבריטניה

ממשלת בריטניה הודיעה על שורת צעדים חדשים לחיזוק ההגנה על קטינים ברשת, כחלק מעדכון ל-Online Safety Act. ההצעות המרכזיות כוללות, חיוב חברות טכנולוגיה לשמר בתוך חמישה ימים נתוני פעילות של קטינים במקרה מוות כדי למנוע מחיקת ראיות, סעיף שזכה לכינוי "חוק ג'ולס" בעקבות מקרה התאבדות של נער בן 14. בנוסף, בלונדון בוחנים צעדים מחמירים נגד שימוש ב-VPN לצורך עקיפת מגבלות גיל, וכן הגבלות על אלגוריתמים המעודדים "גלילה אינסופית" והתמכרות למסכים. המהלך מגיע גם על רקע עימות מול פלטפורמת X, בטענה כי צ'אטבוט ה-AI שלה שימש ליצירת תכני דיפ-פייק פוגעניים. הממשלה מדגישה כי בעידן שבו טכנולוגיות AI משתנות במהירות, הרגולציה אינה יכולה להישאר סטטית ויש לעדכן אותה באופן שוטף.