הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 03-2021
צוות תקינה ורגולציה בפריימסק, גאה להציג טור חודשי לסיכום כלל האירועים והחידושים לחודש מרס בנושאי הגנת הפרטיות בארץ ובעולם.
הגנת הפרטיות בישראל
- בג"ץ אימץ את המלצת הרשות להגנת הפרטיות לפיה יצומצם משמעותית השימוש בכלי השב"כ לצורך איתור מגעים של חולי קורונה בג"ץ החליט להגביל את ההסתייעות בשב"כ לאיתורם של מי שעמדו במגע עם חולים מאומתים ולהחילה רק במקרים בהם חולה מאומת אינו משתף פעולה בחקירה האפידמיולוגית, או שלא מסר כלל דיווח על מגעים. בהחלטתו זו מאמץ בג"ץ למעשה את הצמצום עליו המליצה הרשות להגנת הפרטיות בחוות הדעת שהגישה לצוות השרים בנושא.
- פגיעה בזכות המורים לפרטיות הורים הגישו עתירה למשרד החינוך, לפיה ביקשו מביהמ"ש להורות למורים להסכים ללימודים היברידיים – לימודים המשלבים לימוד פרונטלי בכיתה ובמקביל מתאפשרת צפייה בשיעור דרך אפליקציית הזום. הרכב השופטים אשר ישב בדיון קיבל את עמדת הסתדרות המורים, לפיה מהלך כזה יהווה פגיעה בזכות המורים לפרטיות. לאור האמור, עתירת ההורים נמשכה בלחץ ביהמ"ש.
- פיקוד העורף העביר ב Gmail פרטים של חולי קורונה נציג מפקדת אלון של פיקוד העורף העביר פרטים של 139 חולים שנדבקו בשנית או לאחר שהתחסנו לכל מנהלי המעבדות באמצעות דוא"ל של Gmail, בניגוד לנהלים. צה"ל: "המקרה תוחקר והנהלים יחודדו".
- אזהרה: אתר מזויף קורא לישראלים לעבוד ביום הבחירות ואוסף את פרטיהם אתר מזויף בשם israel-election מציע לציבור לעבוד ביום הבחירות בתפקידים שונים בשכר גבוה, ומבקש מהמועמדים למלא פרטים אישיים בהרשמה כמו שם מלא, תעודת זהות, מין, תאריך לידה, כתובת מגורים, ארץ לידה, טלפון נייד וכתובת מייל. בוועדת הבחירות המרכזית הבהירו כי את המשרות ליום הבחירות ניתן למצוא רק באתר הממשלתי.
- האפליקציה של גדעון סער חשפה כרטיסי אשראי ומידע אישי רגיש האפליקציה שמשרתת את מפלגת תקווה חדשה בראשות גדעון סער שואבת סיסמאות כרטיסי אשראי, מספרי טלפון, סיווג אנשים לפי תמיכתם בגדעון סער, פרטי אנשי הקשר מהטלפונים הניידים של פעילי המפלגה, ומפרה את פרטיותם של אנשי הקשר שלא נתנו את הסכמתם למהלך. המאגר הבלתי חוקי שמכיל פרטים אינטימיים של אזרחים, היה חשוף ברשת במשך כשבוע. תגובת תקווה חדשה הייתה כי "המערכת לא שואבת מידע, ויש למשתמש היכולת לדלג על פרטים מבלי להעביר אותם".
- האם בית המשפט העליון יקל על הישראלים שתובעים את פייסבוק? תביעות של ישראלים נגד פייסבוק יוכלו להתברר בבתי המשפט בישראל, גם אם תנאי השימוש קובעים אחרת. עם זאת, נקבע גם כי החברה יכולה להכתיב בתנאי השימוש שלה כי התביעה תתברר על פי הדין של קליפורניה, וכי תנאי זה אינו מקפח. כלומר, התביעה תתברר בישראל אך לתובעים יהיה חסם משמעותי. הם יידרשו לצרף, כבר בעת הגשת התביעה, חוות דעת משפטית המוכיחה שתביעתם מוצדקת לפי הדין של קליפורניה; או לחלופין להוכיח שדין קליפורניה מקפח את התובע הישראלי, ולכן בטל.
הגנת הפרטיות ברחבי העולם
- בריטניה- קוד עיצוב מותאם גיל או קוד הילדים (Children Code) משרד נציב המידע הבריטי (ICO) פרסם ביום 02/03/2021 הצהרה הקוראת לעסקים וארגונים לבצע שינויים בשירותיהם ובמוצריהם המקוונים בכדי לעמוד בקוד העיצוב המתאים לגיל. הקוד מכיל 15 כללים להסדרת גלישה בטוחה ומיטבית עבור ילדים בשירותים המקוונים השונים ובהתאם לסטנדרטים הנהוגים בבריטניה ובאיחוד האירופאי. הקוד נכנס לתוקף בספטמבר 2020, אולם הפעלת הסנקציות יחלו רק בספטמבר 2021. בהצהרתו, ביקש ה-ICO להזכיר לבעלי העסקים כי נותרה להם חצי שנה טרם הפעלת הסנקציות. ה-ICO אף יצא בקול קורא להצגת והצעת רעיונות ודוגמאות למימוש עיצוב מכוון הגנה על פרטיות המידע ועקרונות השקיפות התואמים את הקוד החדש, וזאת עד ליום 30/04/2021.
- נציב הגנת המידע בבריטניה (ICO) קנס את חברת Leads Work Limited ב-250,000 ליש"ט, זאת לאחר שהחברה שלחה 2,670,140 הודעות טקסט לנושאי מידע ללא קבלת הסכמתם. בנציבות התקבלו 10,000 תלונות על החברה בטווח של 41 ימים.
- התנעת תהליך הלימות עבור בריטניה ביום ה-19.02.2021, הנציבות האירופאית הצהירה על פתיחת תהליך הלימות (adequacy) לבריטניה. תהליך זה כולל קבלת חוות דעת מהמועצה להגנת פרטיות (EDPB) ואישור ועדה ייעודית המורכבת מנציגי המדינות החברות באיחוד האירופי על תאימות דיני הגנת הפרטיות בבריטניה ל-GDPR. בתום התהליך, ככל שיתקבל ע"י הנציבות, בריטניה תתווסף למדינות בעלות הלימה לתקנות ה-GDPR לפי סעיף 45, בדומה למדינת ישראל (שנמצאת בהליך של בחינה מחדש).
- המועצה האירופאית להגנת המידע (EDPB) פרסמה ביום 02/02/2021 את עקרונותיה לאימוץ הלימתן של מדינות צד שלישי לתקנות ה-GDPR. כך למשל, המועצה קובעת כי יש לבחון מדינה ההולמת את התקנות לפחות אחת לארבע שנים.
- צרפת- 'קול קורא' להסדרת מאגר לאיסוף נתונים רפואיים הרגולטור הצרפתי להגנת הפרטיות (CNIL), פרסם הצעה להקמת מאגר לאיסוף נתונים רפואיים לצורכי מחקר ושיתוף ידע, לטובת 'האינטרס הציבורי' למלחמה בנגיף הקורונה. הנתונים מיועדים לשימוש 'חוזר' (כלומר ע"י גופים ואנשים שונים ובזמנים שונים). כלל הציבור מוזמן להביע את עמדתו עד ליום 02/04/2021.
- גרמניה נציב הגנת המידע וחופש המידע בהמבורג, פרסם ביום 25/02/2021 דו"ח פעילויות אכיפה כנגד חברות שהפרו את חובתם להגנת המידע. בין הפרסומים, חברת M&H נקנסה בכ-35 מיליון אירו בגין הפרת פרטיותם של עובדיה.
- סוכנות האיחוד האירופי להגנת הסייבר (ENISA) פרסמה דו"ח המפרט את היוזמות השונות בתחום אבטחת המידע והגנת הסייבר בשירותים הפיננסיים.
- הסכמי מגן בין ארה"ב והאיחוד האירופי עם היבחרו של ג'ון ביידן לנשיאות ארה"ב, בכירים באיחוד האירופי מביעים אופטימיות לקראת גיבוש הסכם חלופי להסכמי המגן שנפסלו ע"י ביהמ"ש בפס"ד Schrems II.
- אוקלהומה ביום 08.03.2021, בית הנבחרים באוקלהומה אישר את הצעת חוק ('HB') 1602 העוסקת בהגנת פרטיות נתונים ממוחשבים. תמצית החוק מחייבת את הגורם האוסף ומעבד נתונים באופן ממוחשב, לקבל את הסכמתו המפורשת של נושא המידע באמצעות סימון אקטיבי לאישור איסוף המידע (Opt-In), וכן לאפשר לנושא המידע למשוך את הסכמתו באותו האופן. בזאת, אוקלהומה מצטרפת למגמה עולמית המעבירה את השליטה על מהות ואופן איסוף מידע לידי נושאי המידע.
- LGPD- הצעה לאכיפה מיידית של חוק הגנת הפרטיות בברזיל אריקה קוקאי, נציגת מפלגת הפועלים בבית הנבחרים בברזיל, הגישה הצעה לאכיפת חוק הגנת הפרטיות הברזילאי באופן מידי. החוק אושר ביום ה-14.8.2018 וכללי האכיפה היו אמורים להיכנס לתוקפם בחודש אוגוסט האחרון, אולם בשל רצף האירועים העולמיים, נשיא ברזיל, המכהן כראש הרשות המבצעת, אישר דחייה בת שנה. הצעתה של קוקאי ממתינה לבדיקת והמלצת חברי הממשלה אולם סיכוייה קלושים.
- פרטיות בשיחות וידאו מומחים פיתחו כלים ל'קריאת' הקלדות משתמש בזמן שיחת וידאו. בשל מגפת הקורונה, מרבית העבודה המשרדית הועתקה למרחבים פרטיים ופגישות העבודה הועברו לפלטפורמות וידאו שונות. באופן דומה לקריאת שפתיים, הטכנולוגיה החדשה יכולה לזהות את הקלדת המשתמש ופעולותיו במחשב תוך כדי שימוש במצלמת הוידאו.
- טלגרם תיקנה באג במערכת הפעלה iOS שאפשר לעקוף את מנגנוני ההגנה של Apple ולחדור להודעות קוליות ווידאו של משתמשי האפליקציה.