הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 02-2022

הגנת הפרטיות – ישראל 

אבטחת מידע המצוי בידי עורכי דין- גילוי דעת מקדים -  עקב ריבוי אירועי אבטחת מידע בארץ ובעולם, ביום 01.02.2022 פרסמה ועדת האתיקה הארצית של לשכת עורכי הדין "גילוי מקדים בדבר אבטחת המידע המצוי בידי עורכי הדין את/1/22". המסמך מכיל כלים וכללים ליישום אבטחת מידע במשרדי עורכי דין, תוך הבחנה בין סוגים וגדלים שונים בין משרדים מסוג זה. ככלל, כללי לשכת עורכי הדין מקימים חובות אתיות ומשמעתיות החלות על עורך הדין בדבר שמירת סודותיו של הלקוח, וממילא מגלמים בחובם גם חובה אתית לאבטחת המידע הסודי. במשך זמן רב, עמדה ללא מענה השאלה כיצד חוק הגנת הפרטיות ותקנותיו חלים על עורכי דין. גילוי הדעת דן בסוגיות הנוגעות לאופן מימוש חובות אלה במרחב הדיגיטלי – בטלפון הנייד של עורך הדין, במחשבו האישי, ברשת המחשב המשמשת את פעילותו, ובשירותים מקוונים המהווים חלק מניהול משרד עורכי דין בעידן זה, תוך הצבת רף מינימלי של חובת אבטחת מידע במשרדי עורכי דין, דרכי התמודדות עם אירועי סייבר, התקשרות עם ספקי מיקור חוץ בתחום שירותי טכנולוגיה ועוד. הפרסום גרר מהומה רבה ולכן וועדת האתיקה עדכנה כי לא תחל בפעולות אכיפה וסנקציות ותיזום פעולות הדרכה וייעוץ רוחביות לטובת הטמעה ברורה ופשוטה של ההנחיות החדשות.

מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו לאחר שהתקבלו הערות הציבור למסמך הטיוטה, הרשות להגנת הפרטיות (הרל"פ) פרסמה את המסמך הסופי המכיל המלצות לארגונים וחברות מכלל מגזרי המשק אודות הצורך במינויו של ממונה הגנה על הפרטיות. המסמך מספק סט כלים וקווים מנחים בכל הנוגע לתחומי האחריות של ממונה על הגנת הפרטיות בארגון, תחומי הידע וההכשרה הנדרשים ממי שמכהן בתפקיד זה וכן מתייחס למעמדו המיוחד בארגון. ממונה הגנה על הפרטיות יופקד על יישום דיני ההגנה על מידע אישי בארגון. בעת הזו, מדובר בהמלצה לשילוב בעל תפקיד זה בארגון ולא בחובה שבדין. בעוד שממונה אבטחת מידע אחראי להגן על המידע שנאסף ומעובד, הממונה על הגנת הפרטיות אחראי להבטיח כי הארגון עומד בהוראות דיני הגנת הפרטיות שחלים עליו, כי המידע נאסף ומעובד באופן חוקי וכי נשמרות זכויות נושאי המידע.

אוניברסיטת חיפה חשפה מידע אישי של סטודנטים - ותשלם פרטים אישיים של כ-250 סטודנטים לתואר שני בפסיכולוגיה, הכוללים מידע רפואי ומידע על חיי המין שלהם, דלפו לרשת לפני כשנה. הסטודנטים תבעו את האוניברסיטה בגין פגיעה בפרטיות ולשון הרע וכעת במסגרת הסכם פשרה ראשוני וחסר תקדים שהושג בין האוניברסיטה לבין פרקליטם של הסטודנטים, האוניברסיטה תפצה 32 סטודנטים שפרטיהם האינטימיים פורסמו באינטרנט בסכום של 700 אלף שקל.

הצעת חוק הרשתות החברתיות, התשפ"א–2020 הצעת החוק נועדה להסדיר את פעילות הרשתות החברתיות באינטרנט, תוך הקמת חובות שונות למפעילי הרשתות החברתיות והסדרת מערכת היחסים שבינם לבין המשתמשים. הצעת החוק מתייחסת, בין היתר, לחובות מפעיל רשת חברתית לעניין הסרת תכנים וחסימת משתמשים; חובות מפעיל רשת חברתית לעניין פרסומים אסורים; איסור הפליה; סמכות מקומית ואפשרות לקבלת סעד שלא תוך הוכחת נזק.

בעל מלון היוקרה לא מכחיש שתיעד את הנעשה בחדרים: "נזק לכל הענף" בעל מלון היוקרה "אלמינה" ביפו, חשוד לכאורה שצילם בסתר זוגות שהתארחו במלון שבבעלותו. החשוד בן ה-37, תושב חולון, נעצר לאחר שבני זוג שהתארחו במלונו גילו בחדרם מצלמה והתלוננו במשטרה. במהלך החקירה התגלו בחדר המלון אמצעיים טכנולוגיים שהודלקו על פי החשד בחדרי המלון ותוכנם נשמר על גבי כרטיס זיכרון. החשוד טען כי צילם את המתרחש בחדרי המלון במטרה לתפוס עובדים שגנבו ממנו. במשטרה תפסו עוד מחשבים של בית המלון במטרה לבדוק אם יש בהם צילומים נוספים של אורחי המלון. במשטרה מאמינים כי בתוך זמן קצר יוגש נגד החשוד כתב אישום.

המשרד לביטחון פנים חשף מידע חסוי על מאבטח לפני מספר שנים פוטר מאבטח מחברת האבטחה VIP בה עבד והגיש נגדה תביעת לשון הרע בבית הדין לעבודה, וזאת על בסיס מכתב פוגעני ששלחה החברה לאגף לרישוי כלי ירייה. במסגרת ההליך סיפר המנהל שלו לשעבר בעדותו כי רישיון הנשק של המאבטח נשלל משום שנכשל באבחון פסיכולוגי שלדבריו קיבל מהמשרד לביטחון פנים. בית משפט השלום בחיפה קבע לאחרונה שהמשרד לביטחון פנים פגע בפרטיותו של המאבטח כאשר חשף בפני המעסיק שלו לשעבר שנכשל במבדק פסיכולוגי של האגף לרישוי כלי ירייה. כבוד השופטת ג'אדה בסול חייבה את המדינה בפיצויים והוצאות של כ-33 אלף שקל על הפרת חובת הסודיות בחוק הגנת הפרטיות, וכתבה: "מידע אסור דלף אל גורם אינטרסנטי שעשה בו שימוש חמור". עוד נקבע כי "התובע נקלע לסיטואציה מביכה ומלחיצה תוך חשיפת פרטים חסויים אודותיו, אשר נעשה בהם שימוש בהליך המשפטי שהתנהל בעניינו בבית הדין לעבודה, כאשר המעסיק, שקיבל מידע זה שלא כדין, ניסה למנף מידע זה לצורך ניהול ההליך, ולצורך פגיעה בתובע במסגרת אותו הליך". עוד נקבע שהמשרד לביטחון פנים לא ערך תרשומות ופרוטוקולים של ישיבות ולא ערך בירור מעמיק לאחר שהתברר לו שנחשף מידע חסוי. "אם מאן דהוא טוען בפני נציגי המשרד כי הוא יודע פרט חסוי זה או אחר, מתבקשת, ואף מתחייבת עריכת בירור ולו בסיסי באשר למקור ממנו נחשף אותו מידע חסוי, אך המשרד לא עשה דבר, ולא בדק", כתבה כבוד השופטת. 

כולם יידעו בקרוב כמה מהר אתם נוסעים. מתי זה יגיע למשטרה? 107 אלף עמודי תאורה של נתיבי ישראל ישודרגו למנורות חסכוניות יותר. אלקטרה, זכיינית הפרויקט, הודיעה כי העמודים שישודרגו יכולים לשמש בעתיד למדידת מהירויות של מכוניות. בדיקה מול נתיבי ישראל העלתה שיש כבר עמודים כאלו שמוצבים בכביש 531, אחד הכבישים המאפשרים נסיעה במהירויות גבוהות למדי. בנוסף, מכרז של חברת נתיבי איילון קורא לתכנון, הקמה ותחזוקה של מערכת בקרה באמצעות  1,500 מצלמות. מעיון במסמכי המכרז ניתן לגלות כי המצלמות החדשות שבנתיבי איילון יוכלו לבחון מסוגלות למדוד מהירות. 

העובד העביר 300 הודעות למייל האישי. בשעת בוקר מוקדמת דפקו לו בדלת בית הדין האזורי לעבודה אישר, בהחלטה יוצאת דופן, תפיסה של חומרי מחשב הנמצאים בחזקתו הפרטית של עובד בכיר לשעבר בחברה והעברתם אליה. האישור ניתן משום שהחברה, המבקשת לתבוע את העובד, גילתה כי לאחר שביקש לסיים את תפקידו, הוא העביר 339 הודעות בעלות תוכן עבודה מקצועי לתיבת הדואר הפרטית שלו. 

שוטרת זייפה צוואה של אישה ערירית, גנבה ירושה - ונשלחה ל-2.5 שנות מאסר בית משפט השלום בחיפה גזר 2.5 שנות מאסר על מירה כרסנטי, שוטרת לשעבר, שהורשעה כי ניצלה את תפקידה במשטרה וגישתה למערכת המחשוב כדי לבצע עבירות של זיוף ומרמה. כרסנטי, שעבדה בתביעות התעבורה המשטרתית בחיפה, איתרה פרטים של אישה שנפטרה, בדקה שאין לה קרובי משפחה מדרגה ראשונה שעשויים לתבוע את ירושתה ואז ביחד עם אחיה זייפה צוואה וקיבלה במרמה את כספי הקשישה ואת דירתה. בנוסף לעונש המאסר בפועל נגזר עליה גם מאסר על תנאי, קנס בסך 20 אלף שקל ותשלום פיצויים כולל של 30 אלף שקל. אחיה, ד"ר דניאל כרסנטי, הורשע גם כן באותן העבירות, אך נמלט מישראל לאחר הרשעתו. 

המעסיק חדר לטלפון שנתן לעובד. מה פסק בית המשפט? עובד הגיש תביעה נגד מעסיקיו בבית הדין האזורי לעבודה בת"א מאחר שהמעסיק פרץ למכשיר הסלולר שהעניק לסוכן המכירות במסגרת עבודתו. העובד טען כי הפריצה למכשיר הסלולר פגעה בפרטיותו וחשפה את המעסיק לתמונות אינטימיות של רעייתו. בית הדין קבע כי מכשיר הטלפון הנייד שהיה בשימוש העובד הינו רכוש של מעסיקיו ונמסר לו על ידם, אך לא הוכח כי בעת מסירת המכשיר לעובד הייתה כוונה כי מכשיר הנייד ישמש אך ורק לצרכי עבודה וכי נאסר עליו לעשות שימוש במכשיר לצרכים אישיים. מהעדויות עלה כי מכשיר הטלפון הנייד היה 'מכשיר מעורב', קרי, שימש את העובד הן לצרכי עבודה והן לצרכים פרטיים. העובד ציין בפני מעסיקיו כי הוא נכון להשיב להם את המכשיר לאחר שמעבדה תאתר ותגבה מידע אישי שלו מהטלפון הנייד, בכללן תמונות משפחתיות, אישיות ואינטימיות. אמירה זו של העובד בדבר הימצאות חומר פרטי במכשיר הנייד לא הוכחשה. בנסיבות אלה, אף אם היה מוכח כי המכשיר נמסר לעובד לצרכי עבודה בלבד, מעסיקיו לא היו רשאים להיכנס לתוכן ההתכתבויות האישיות שלו אלא בנסיבות חריגות ולאחר שהתקבלו בעניין זה צווים משפטיים מתאימים.

 המלצת החודש- לומדות חדשות מאת הרשות להגנת הפרטיות הרשות להגנת הפרטיות השיקה ארבע לומדות אינטראקטיביות ב- 4 נושאים:

לומדת ניהול מאגר מידע

לומדת העברת מידע בין גופים ציבוריים

לומדת דיוור ישיר ושירותי דיוור ישיר

לומדת תקנות הגנת הפרטיות (אבטחת מידע). 

הגנת הפרטיות ברחבי העולם  

מטא מאיימת לסגור את פייסבוק ואינסטגרם באירופה ולאחר מכן, חוזרת בה מאיומיה לפני כשבועיים הודיעה מטא לרשות לניירות ערך ובורסות בארה"ב (SEC) כי "אם לא תאומץ מסגרת חדשה להעברת מידע טרנסאטלנטית, ולא נוכל להמשיך להסתמך על ה-SCC או על חלופה דומה אחרת לביצוע העברות המידע בין אירופה לארה”ב, כנראה לא נוכל להציע כמה מהשירותים והמוצרים המשמעותיים ביותר שלנו, כולל פייסבוק ואינסטגרם, באירופה, מה שעשוי להשפיע באופן ניכר על העסקים שלנו, התנאים הכלכליים והתוצאות של הפעילות שלנו." ההודעה זכתה לפרסום נרחב בתקשורת, אך כעת מתברר כי אין סיבה להתרגש. בהודעה שפרסמה החברה בבלוג ב-8 בפברואר היא מכחישה את הטענות: "בעיתונות דווח כי אנו "מאיימים" לעזוב את אירופה בשל אי הוודאות בנוגע למנגנוני העברות הנתונים של האיחוד האירופי וארה"ב. זה לא נכון. כמו כל החברות הציבוריות, אנו נדרשים על פי חוק לחשוף סיכונים מהותיים למשקיעים שלנו". 

האם ימיה של Google Analytics באירופה ספורים? בחודש שעבר אסרה הרשות האוסטרית להגנה על נתונים את השימוש ב-Google Analytics וקבעה כי הוא נוגד את הוראות ה-GDPR והלכת שרמס II. כעת מצטרפים להחלטה רגולטורים נוספים באיחוד, ובראשם הרשות בצרפת  (CNIL)אשר פסקה כי עקב העברת המידע לארה"ב, אבטחת המידע של השירות אינה עומדת בדרישות ה-GDPR, ולא ניתן לשלול את האפשרות כי מידע אישי של תושבי האיחוד מועבר לשירותי המודיעין האמריקאיים. בהתחשב בהשפעתה הכוללת של CNIL בקרב עמיתיה האירופאים, צפויות פסיקות דומות מצד רשויות נוספות באיחוד. הרגולטור בנורבגיה הודיע כי הוא מסכים עם ההחלטה, אך טרם פרסם החלטה רשמית בנושא. נכון להיום, עומדות נגד Google Analytics כ-100 תלונות בנושא הפרת פרטיות באיחוד האירופי.

אולטימטום למדיניות הפרטיות של WhatsApp הנציבות האירופית הורתה ל-WhatsApp להבהיר עד סוף חודש פברואר, כיצד מדיניות הפרטיות שלה תואמת את חוק הגנת הצרכן של האיחוד. האולטימטום הוצב עקב תלונה שהגישו ארגוני צרכנות אירופאים, לפיה מדיניות הפרטיות של WhatsApp אינה תואמת את ה-GDPR, וכוללת דרישה אגרסיבית להסכמה באמצעות חלונות קופצים חוזרים ונשנים. WhatsApp הודיעה בתגובה כי מאז הגשת התלונה ביולי האחרון היא שינתה את מדיניות הפרטיות שלה, וזאת בעצת רגולטור הפרטיות האירי. ככל שאפליקציית המסרים לא תצליח לספק מענה לדרישת הנציבות האירופית עד סוף החודש, היא צפויה לקנס וסנקציות שונות. 

IAB אירופה נקנסה על הפרת ה-GDPR הרשות הבלגית להגנה על נתונים פסקה כי מנגנון ההסכמה והשקיפות של החברה לעיבוד מידע ופילוח מודעות אינו חוקי, והקציבה לה שישה חודשים לעבד מחדש את המסגרת כך שניתן יהיה לבצע ביקורת מחודשת. בנוסף, הטיל הרגולטור על החברה קנס מנהלי של 250,000 אירו והורה לה למחוק את כל המידע האישי שנאסף באמצעות מנגנון ההסכמה. ההחלטה צפויה להשפיע לא רק על IAB אירופה אלא גם על עסקי המודעות המקוונות של גוגל, אמזון, מייקרוסופט ואלפי חברות נוספות אשר רכשו את המוצר. 

מצלמות מעקב סיניות מנהלות מעקב אחר תושבי אירופה כך עולה משני מתחקירים שפורסמו לאחרונה. ב-17 לינואר 2022 חשף המגזין האיטלקי "WIRED" כי הרשויות באיטליה עוקבות אחר אזרחי המדינה באמצעות אלפי מצלמות מעקב שנרכשו מהחברות הסיניות השנויות במחלוקת, Hikvision ו -Dahua. על פי הפרסום, רשת המצלמות פרושה על פני כלל המדינה ובמגוון מקומות, כולל פארקים, רחובות, מוזיאונים, בתי משפט, בתי חולים ומוסדות ממשלתיים. בתאריך 7 בפברואר 2022 חשף הארגון הבריטי Big Brother Watch כי אף בבריטניה פועלת רשת מצלמות מעקב וריגול תוצרת Hikvision ו -Dahua, הכוללת במקומות מסוימים טלוויזיה במעגל סגור, זיהוי פנים ותוכנת סריקה תרמית. על פי התחקיר, מצלמות המעקב מותקנות ביותר מ- 60% מהמוסדות הציבוריים בבריטניה, לרבות בתי חולים ואוניברסיטאות, מתקני משטרה ומחלקות ממשלתיות. יצוין כי בשנת 2019 אסרה ארה"ב על שימוש בטכנולוגיה של שתי החברות הללו במגזר הציבורי, וזאת משיקולים ביטחוניים. 

חוק המעקב בבולגריה מפר זכויות אדם כך פסק בית הדין לזכויות אדם בשטרסבורג בעתירה שהגישו ארגוני זכויות אדם נגד ממשלת בולגריה. בית הדין קבע כי חוק המעקב של בולגריה (Special Surveillance Means Act) מפר את האמנה האירופית לזכויות אדם, בכך שהוא מאפשר ניטור אזרחים באמצעים אלקטרונים וחדירה לתקשורת הפרטית שלהם. כמו כן נקבע כי גם אם מתקיימות העילות הקבועות בחוק לביצוע המעקב, לא מתבצעת בקרה ופיקוח משפטי על התהליך, ואף לא קיימת רגולציה ברורה ונאותה בנוגע לשימוש במידע, אחסונו, שמירתו והגישה אליו. בית הדין הורה לממשלת בולגריה לתקן את החוק ואת ההפרות. 

מטא תשלם 90 מיליון דולר בהסכם פשרה על הפרת פרטיות משתמשים החברה הסכימה לשלם את הסכום העצום כדי ליישב תביעה ייצוגית המתנהלת נגדה מזה עשור, על הפרת חוקי הפרטיות והאזנות הסתר הפדרליים והמדינתיים. על פי התביעה, פייסבוק עקבה אחר פעילות המשתמשים ברשת גם לאחר שהתנתקו מאתר המדיה החברתית, באמצעות תוספים לאחסון קובצי Cookie, אספה את היסטוריית הגלישה שלהם ומכרה את המידע למפרסמים. פייסבוק הכחישה את הטענות אך הסכימה להסדר הפשרה, לפיו יהיה עליה גם למחוק את כלל המידע שאספה שלא כדין.

פורסמו הסכמי העברת נתונים בינלאומיים מתוקנים בבריטניה לאחר ציפייה ארוכה, ממשלת בריטניה פרסמה את  הסכם העברת הנתונים הבינלאומי של בריטניה (UK IDTA) להעברת נתונים אישיים מחוץ לבריטניה למדינות שאינן נחשבות למשטרים נאותים להגנה על מידע אישי. בנוסף, פרסמה בריטניה נספח סטנדרטי להעברת נתונים בינלאומית ל- SCCs המתוקן של האיחוד האירופי (EU SCC UK Conversion Addendum) המאפשר שימוש ב- SCCs של האיחוד האירופי המתוקן לייצוא מבריטניה. מסמכים אלה יכנסו לתוקף ב-21 במרץ 2022, אלא אם הפרלמנט יעלה התנגדויות.

המכון הלאומי לתקנים וטכנולוגיה (NIST) פרסם עדכון לתקן הבינלאומי לאבטחת מידע העדכון עוסק ב"הערכת בקרות אבטחה ופרטיות במערכות מידע וארגונים" ומותאם לבקרות האבטחה והפרטיות בתקן-SP 800-53 Revision 5. העדכון כולל הליכי הערכה חדשים לבקרת אבטחת מידע וניהול סיכונים בשרשרת האספקה ומציג מתודולוגיה חדשה ויעילה יותר להליכי ההערכה, המותאמת אף לשימוש בכלים אוטומטיים ותוכניות ניטור רציף. 

טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.