הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 03-2024
הגנת הפרטיות בארץ
מסמך מדיניות של הרשות להגנת הפרטיות: הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים ביום ה-5 במרץ, 2024, פרסמה הרשות להגנת הפרטיות מסמך מדיניות בנושא ההגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים כחלק מתקשורת של גורמי רפואה עם גורמי רפואה אחרים או עם מטופלים. המסמך סוקר את התופעה ואת הוראות הדין הרלוונטיות לה, ומציג הבהרות והמלצות שמטרתן לחדד את החובות המוטלות בהקשר זה על בעלי מאגרי המידע הרפואי, הנובעות, בעיקרן, מהוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו. להלן ריכוז ההמלצות שעולות מהמסמך: על הצוות הרפואי לצמצם ככל האפשר את השימוש בתוכנות שאינן מיועדות להעברת מידע רפואי; אם נעשה שימוש בתוכנות שאינן מיועדות להעברת מידע רפואי, יש להשתדל להשמיט כל סוג מידע שעלול להביא לזיהוי המטופל\ת; יש להעביר רק את הפרטים הרפואיים המינימליים הדרושים; אם נעשה שימוש בתוכנות שאינן מיועדות להעברת מידע רפואי, יש לאפשר זאת רק לאחר התקנת תוכנות להגנה על מידע ולמניעת חדירה למכשירים; לאחר השגת המטרה המיועדת, מומלץ להעביר בהקדם את המידע רפואי למערכות הרפואיות הייעודיות לכך; יש לקבוע מדיניות פנים ארגונית ברורה המתייחסת לסוגיות השונות.
מסמך הרשות להגנת הפרטיות: המלצות להתנהלות הציבור בשימוש בעמדות טעינה לכלי רכב חשמליים הפופולריות של כלי רכב חשמליים עלתה משמעותית במהלך השנים האחרונות, דבר שהוביל לשינויים לא רק בענף התחבורה אלא בחברה בכללותה. בתגובה לשימוש הגובר בעמדות טעינה לרכב חשמלי, ניתחה הרשות להגנת הפרטיות את מסמכי מדיניות הפרטיות ותנאי השימוש של אפליקציות המשמשות את חברות עמדות הטעינה לרכב חשמלי המרכזיות בישראל, וגיבשה סדרה של המלצות לשימוש בטוח ומאוזן תוך שמירת על פרטיות המשתמשים והמשתמשות.
עיקרי המלצותיה הן: בדיקת הגדרות הפרטיות באפליקציית עמדות הטעינה לרכבים חשמליים, הסכמה לשיתוף המיקום באפליקציית עמדות הטעינה לרכבים חשמליים, הטמעת עדכוני אבטחה ומחיקת האפליקציה בסיום השימוש.
מסמך הרשות להגנת הפרטיות – מסמך מדיניות בנושא איסוף ושימוש במידע ביומטרי במקום העבודה מסמך זה מיועד לארגונים פרטיים וציבוריים ששוקלים להשתמש או משתמשים בטכנולוגיות לזיהוי ביומטרי של עובדים ועובדות. המסמך אינו מבקש לאסור את השימוש בטכנולוגיות לזיהוי ביומטרי של עובדים למטרות של רישום נוכחות ומעקב אחר שעות עבודה, אלא להבטיח כי הוא ייעשה תוך מתן התייחסות הולמת לפרטיותם של העובדים.
הרשות להגנת הפרטיות מונה מספר עקרונות מרכזיים שעל מעסיק לשקול בעת שימוש במערכות ביומטריות לבקרה ולפיקוח נוכחות בעבודה: מידתיות – השימוש צריך להיות מוצדק תוך בחינת חלופות; יידוע העובד – בשפה ברורה ופשוטה; הסכמת העובד - ככל שאין הסמכה חוקית, אסור לחייב עובדים במסירת מידע ביומטרי ויש לאפשר לעובד חלופה אחרת; צמידות המטרה – איסוף המידע הנדרש בלבד; וצמצום ומחיקת המידע כאשר אינו נחוץ – בחינת הנחיצות במידע וצמצום שמירת המידע.
המשטרה אספה מידע על נטייה מינית של עצורים לפי מסמכים שפורסמו נראה כי עצורים נדרשו לדווח בטפסים של המשטרה על "חריגות מיניות", או במילים אחרות, השתייכות לקהילה הלהט"בית, והמידע הוזן למערכת מידע משטרתית בסיווג נמוך. "בחברה שאני בא ממנה יכולים לרצוח אותי אם זה יגיע למישהו", אומר אדם שנשאל על כך. המשטרה טענה, כי המידע אינו נאגר במערכת, אך בעקבות הפנייה הוחלט להסיר את הפרמטר מהטפסים.
פרטי משתמשים דלפו מאתר חילופי זוגות ישראלי פרצת אבטחה באתר ההיכרויות Swinging.co.il חשפה שמות מלאים, תמונות חושפניות ופרטי תשלום. באתר נמצא מגוון רחב של אנשים, ממגזרים שונים, וכאלו שחשיפת המידע שהם מזינים לאתר עלול להציב אותם בסכנה ממשית. פנייה למנהל האתר לא נענתה, ורק לאחר שהרשות להגנת הפרטיות התערבה נסתמה הפרצה אלא שאז התגלתה פרצה נוספת - וגם אז מנהל האתר לא מיהר להגיב עד שהרשות להגנת הפרטיות התערבה שוב. במקרים כאלו קשה למצוא משתמשים שיגישו תביעה וייחשפו, וכך נוצר מצב שהבעלים של אתרים שמחזיקים במידע רגיש ולא שומרים עליו יכולים לחמוק מהחוק ומהאחריות המוטלת עליהם.
פיקוחי רוחב של הרשות להגנת הפרטיות מערך אכיפה - פיקוח רוחב, התווסף בשנת 2018 לזרועות האכיפה הפלילית והמנהלית ברשות להגנת הפרטיות. המערך מקיים פיקוחי רוחב מגזריים או נושאיים לבחינת יישום חוק ותקנות הגנת הפרטיות במשק הישראלי. המערך פועל לאיתור הפרות של חוק הגנת הפרטיות, להגברת מודעות המשק להוראות החוק, לאיתור כשלים ענפיים הדורשים התערבות והנחיות מיוחדות ולקבלת תמונת מצב מגזרית לגבי עמידה בהוראות החוק. להלן דו"חות פיקוח רוחב שהתפרסמו בחודש האחרון:
דוח ממצאי פיקוח רוחב בקרב עמותות והמגזר השלישי
ממצאי הדוח שפורסם מצביעים על חוסר מודעות בקרב רבים מהגופים שנבדקו להגנה על המידע האישי שברשותם, כשבסיום ההליך נמצאו ליקויים הדורשים מענה בכל הגופים שנבדקו. בתחום אבטחת המידע נמצא כי 33% מהארגונים שנבדקו הציגו רמת עמידה בינונית או נמוכה בהוראות החוק והתקנות, כאשר ב-22% מהגופים שנבדקו לא הייתה מדיניות סיסמאות חזקה להגנה על המידע. הדו"ח מדגיש גם סוגיות הקשורות להעברת מידע בין גופים ציבוריים. באופן מדאיג, ב-48% מהגופים הציבוריים מקרב הגופים שנבדקו, לא מונתה ועדה להעברת מידע בין גופים ציבוריים, כנדרש בחוק. היעדר פיקוח זה עלול לסכן את המידע האישי המועבר אל הגופים הללו ומהם, במיוחד בזמני חירום.
דו"ח ממצאי הליך פיקוח רוחב בקרב מגזר תחבורה חכמה הביקורת פנתה ל-13 גופים בתחום שרותי תחבורה חכמה בישראל ובחנה שלושה קריטריונים עיקריים בתחום הגנת הפרטיות ביישומים ובמערכות של תחבורה חכמה: בקרה ארגונית, ניהול מאגרי מידע ואבטחת מידע. בסיום ההליך, נמצאו ליקויים הדורשים תיקון בכלל הגופים שנבדקו, ובהתאם דרשה הרשות מאותם גופים לתקן את הליקויים שנמצאו, ולספק תכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים.
דו"ח ממצאי פיקוח רוחב בקרב מגזר פלסטיקה וכירורגיה במגזר הפלסטיקה והכירורגיה נמצאה רמת עמידה נמוכה בכל הקשור באבטחת מידע, אך רמת עמידה גבוהה בכל הקשור בניהול מאגרי מידע. נוכח הממצאים שעלו מהליך פיקוח הרוחב, קיבלו כלל הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם. בעקבות ממצאי הדו"ח, ערכה הרשות מעקב לתיקון ליקויים בגופים המשתייכים למגזר זה ודרשה מהם לנקוט בגישה מבוססת סיכון כשהטיפול הראשוני והדחוף ייעשה ביחס לליקויים מתחום אבטחת המידע ולאחר מכן ביתר הקריטריונים.
גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות גילוי הדעת מתייחס למגמה הולכת וגוברת של בתי עסק הדורשים מהלקוח למסור את מספר תעודת הזהות שלו, לצורך מתן שירות, ולעיתים אף עולה דרישה למסירת צילום תעודת הזהות עצמה. גילוי הדעת סוקר את עמדת הרשות ביחס ללגיטימיות ולחוקיות של דרישות אלו, בהתחשב ברגישות המידע ובהיקפו. עיקרי עמדת הרשות המוצגים במסמך: יש להתייחס למספר תעודת זהות ולצילום תעודת זהות כאל מידע מוגן לפי חוק הגנת הפרטיות; יש להימנע מלדרוש צילום של תעודת הזהות כולה, למעט במקרים חריגים בהם כלל המידע המופיע על גבי תעודת זהות דרוש לשם מתן השירות; במקרים חריגים בהם נדרש צילום של תעודת הזהות, יש להסתפק בצילום החלק הקדמי של התעודה, וכן לאפשר ללקוח להסתיר או להשחיר פרטים מתעודת הזהות בעת מסירת הצילום, אם אלו אינם נדרשים לבית העסק; במקרה בו יש צורך לשמור את צילום תעודת הזהות במאגרי בית העסק, יש להשחיר את כלל פריטי המידע שאינם נחוצים לשם מתן השירות; במקרים המתאימים, ניתן לעשות שימוש באמצעי אימות זהות אחרים, שפגיעתם בפרטיות פחותה; כאשר בכוונת בית העסק לבקש מלקוח למסור צילום תעודת הזהות לצורך קבלת שירות או מוצר, עליו לציין זאת בפני הלקוח טרם השלמת הליך הרכישה; כאשר מספר תעודת הזהות התבקש לצורך זיהוי הלקוח בעסקה ספציפית, והמספר נמסר על ידי הלקוח למטרה זו, אין לעשות בו שימוש למטרות אחרות.
הגנת הפרטיות בעולם
נציב המידע והפרטיות של אונטריו פרסם מסמך הנחיות חדש למשטרה במחוז הקנדי בנוגע לאופן שבו הם משתמשים בטכנולוגיית זיהוי פנים ומנהלים מסדי נתונים. ההנחיה מינואר 2024 נועדה להבהיר את הזכויות והחובות על פי חוקי הגישה והפרטיות של אונטריו, תוך הכרה בשימוש המתפתח בטכנולוגיה זו על ידי שירותי משטרה כדי לשפר את מאמצי ביטחון הציבור. ההנחיה מדגישה כי אין מדובר במסמך משפטי אלא בסט המלצות להבטחת שימוש אחראי בזיהוי פנים באופן המכבד את זכויות הפרטיות וממזער סיכונים. ההנחיה פותחה בתגובה להצהרה משותפת של נציבי הפרטיות הקנדיים במאי 2022, הקוראת למסגרת משפטית שתפקח על השימוש בזיהוי פנים על ידי המשטרה בשל חששות לפרטיות וזכויות יסוד. המסמך משקף תשומות מבעלי עניין שונים, כולל אקדמאים, החברה האזרחית, אנשי מקצוע משפטיים ורשויות אכיפת החוק. המסמך מפרט מספר שיקולים מרכזיים לפני הטמעת טכנולוגיות זיהוי פנים, ובהם הבטחת סמכות חוקית, הקפדה על עקרונות מנחים, ביצוע תסקירי השפעה על הפרטיות ושיתוף הציבור. עוד מודגשת החשיבות של קביעת מדיניות ברורה, הגבלת היקף השימוש לפשעים חמורים והבטחת תוצאות מדויקות ובלתי מוטות. ההנחיות מתייחסות גם לשיקולים מבצעיים כמו איכות תמונות הגישוש, נוהלי שמירה ופיקוח אנושי בפירוש התוצאות. תשומת לב רבה ניתנת לניהול אחראי של מאגרי מידע של Mugshot, וקוראת לטיהור סדיר של רשומות ורשומות שאינן קשורות לפשעים חמורים כדי למנוע השפעות מפלות, במיוחד על קהילות מוחלשות.
בית הדין האירופי לזכויות אדם אסר על כל מאמץ משפטי להחליש את ההצפנה של תקשורת מאובטחת באירופה. הצפנה מבטיחה הנאה מזכויות יסוד כגון פרטיות וחופש ביטוי, נכתב בפסק הדין, תוך סיוע לאזרחים ולעסקים להגן על עצמם מפני ניצול לרעה של טכנולוגיות מידע. מכאן הפסיקה להוציא אל מחוץ לחוק כל חקיקה שמטרתה להחליש את ההצפנה של התקשורת המאובטחת, ועלולה לפתוח דלתות אחוריות לניצול עבריינים. ההחלטה התקבלה בהתלהבות על ידי מומחי פרטיות שקראו זה מכבר לנציבות האיחוד האירופי למשוך את הצעתם לסריקת CSAM, המכונה Chat Control, שתכננה לאפשר לרשויות לסרוק את כל התקשורת הפרטית של האזרחים כדי לעצור התפשטות של תוכן מסוכן.
ה-EDPS פרסמה את תוצאות הסקר שלה על תפקידם, אחריותם ומשימותיהם של DPO במוסדות, גופים, משרדים וסוכנויות של האיחוד האירופי (EUIs). תוצאות הסקר מדגימות רמה גבוהה של מודעות וציות של EUI להמלצות ה-DPO (ממונה על הגנת הפרטיות). הסקר, שהושק מוקדם יותר במרץ 2023, הוא חלק מפעולת האכיפה המתואמת של המועצה האירופית להגנה על נתונים (EDPB), אשר ה-EDPS מבצעת לצד 26 רשויות הגנת המידע והפרטיות האחרות של האיחוד האירופי (EU) והאזור הכלכלי האירופי (EEA). הסקר והדו"ח הנלווה מראים כי, באופן כללי, ל-DPO יש השפעה מוחשית על האיחוד האירופי שלהם. ה- EDPS מתייחס לכך באופן חיובי, ומכיר בכך שרמת הניסיון והמומחיות של הDPO גבוהה ומצביעה בבירור על כך שתפקידם של ה-DPO הופך למקצועי יותר. לצד זאת, יש עדיין מקום לשיפור והדוח מציין כי חסרים זמן ומשאבים ל-DPO לבצע את תפקידם בצורה אופטימלית, ובשל כך קיים סיכון כי הגנה על נתונים לא נתפס בעדיפות עליונה ע"י הגופים, מה שעשוי גם אם לא במודע, להשפיע לרעה על היישום של ה-GDPR.
נשיא ארה"ב, ג'ו ביידן, הוציא צו נשיאותי שנועד להגן על המידע האישי של אזרחים אמריקנים ממדינות הנחשבות עוינות. הצו מתמקד בעסק של מכירת מידע אישי של אנשים, שבו חברות ומה שמכונה סוחרי נתונים אוספים וסוחרים בנתונים. ממשל ביידן חושש שסוחרי נתונים וגופים מסחריים אחרים ימכרו את המידע הזה למה שמכונה "מדינות מעוררות דאגה", שלטענת המחוקקים יש להן היסטוריה של איסוף ושימוש לרעה במידע על אמריקאים. הצו מתמקד במידע ספציפי ורגיש כמו נתונים גנומיים, נתונים ביומטריים, נתוני בריאות אישיים, נתוני מיקום גיאוגרפי, נתונים פיננסיים וסוגים אחרים של מידע המאפשר זיהוי אישי. הבית הלבן חושש כי "מדינות מעוררות דאגה" יכולות להשתמש במידע הרגיש הזה כדי לרגל אחר אמריקאים ואנשי צבא. הצו הנשיאותי מורה למשרד המשפטים לפרסם מספר תקנות שנועדו להגן על נתונים רגישים. הוא גם מורה למשרד לביטחון המולדת ולמשרד המשפטים לחוקק תקני אבטחה שנועדו למנוע ממדינות עוינות להשיג באופן מסחרי מידע רגיש על אמריקאים באמצעים כמו השקעות, חוזי ספקים ויחסי עבודה.
ב-FTC אומרים כי למרות הבטחותיה להגן על הצרכנים מפני מעקב מקוון, Avast מכרה את נתוני הגלישה של הצרכנים לצדדים שלישיים. ועדת הסחר הפדרלית תדרוש מספקית התוכנה Avast לשלם 16.5 מיליון דולר ותאסור על החברה למכור או להעניק רישיונות לנתוני גלישה באינטרנט למטרות פרסום, כדי ליישב האשמות שהחברה וחברות הבת שלה מכרו מידע כזה לצדדים שלישיים לאחר שהבטיחו שמוצריה יגנו על הצרכנים מפני מעקב מקוון. בתלונתה טוענת ה-FTC כי Avast Limited, שבסיסה בבריטניה, באמצעות חברת הבת הצ'כית שלה, אספה באופן לא הוגן את פרטי הגלישה של הצרכנים באמצעות תוספי הדפדפן ותוכנת האנטי-וירוס של החברה, אחסנה אותם ללא הגבלת זמן ומכרה אותם ללא הודעה נאותה וללא הסכמת הצרכן. ה-FTC גם מאשימה ש-Avast הונתה משתמשים בטענה שהתוכנה תגן על פרטיות הצרכנים על ידי חסימת מעקב של צד שלישי, אך לא הודיעה כראוי לצרכנים שהיא תמכור את נתוני הגלישה המפורטים שלהם, הניתנים לזיהוי מחדש. ה-FTC טענה כי Avast מכרה את הנתונים האלה ליותר מ-100 צדדים שלישיים באמצעות חברת הבת שלה, Jumpshot.
לשכת המסחר של קליפורניה עתרה היום לבית המשפט העליון של קליפורניה לעיון חוזר בתיק נגד הסוכנות להגנת הנתונים של קליפורניה (CPPA), ששם על המאזניים את חשיבות הגנת הפרטיות אל מול חשיבות המסחר והכלכלה. במרץ 2023, תבעה CalChamber את ה-CPPA כדי שהאחרונה תעניק מרווח של שנה בין אימוץ התקנות הסופיות על ידי ה-CPPA לבין הזמן שניתן לאכוף אותן, וזאת כדי לאפשר לעסקים ללמוד ולהיערך לתקנות. ב-30 ביוני 2023 פסק שופט ביהמ"ש העליון של סקרמנטו לטובת CalChamber כי ייאסר על ה-CPPA לאכוף כל תקנה פרטנית לתקופה של שנה מיום פרסומה. ה-CCPA הגישה הן עתירה לצו מניעה והן ערעור על החלטת בית המשפט העליון בבית המשפט לערעורים, וכתוצאה מכך פסק בית המשפט לערעורים בפברואר 2024 שיאפשר לסוכנות לאכוף את תקנות הפרטיות בפרק זמן של פחות משנה, תוך שימת חשיבות הגנת הפרטיות כערך עליון. על פי עתירת CalChamber לעיון חוזר בביהמ"ש העליון של קליפורניה, התוצאה של פסיקת בית המשפט לערעורים היא שלעסקים בקליפורניה עשוי להיות חודש אחד בלבד, ואולי אפילו פחות, בין פרסום התקנות לתחילת האכיפה, במקום 12 החודשים הנדרשים על ידי הבוחרים, ובכך העסקים עלולים להיפגע. טרם התקבלה החלטה בעניין.
הפרלמנט של האיחוד האירופי אישר את "חוק הבינה המלאכותית", שמהווה למעשה מערכת כללי יסוד רגולטוריים ראשונה מסוגה בעולם, שמטרתה לפקח ולהסדיר התנהלות עם ומול בינה מלאכותית של חברות, ארגונים ומדינות. במסגרת החוק נקבעו כללים המתווים חובת התנהגות עם בינה מלאכותית, בהתבסס על הסיכונים הפוטנציאליים כמו רמות השפעה ונזק שונות. במסגרת החוק, אפליקציות אסורות מוגדרות ככאלה המשמשות בין היתר במערכות סיווג ביומטריות שאוספות מאפיינים רגישים (למשל אמונות פוליטיות, דתיות ופילוסופיות, נטייה מינית וגזע), כמו גם איסוף תמונות פנים מהאינטרנט או קטעי טלוויזיה במעגל סגור ליצירת מאגרי מידע לזיהוי פנים, וכן מערכות בינה מלאכותית ה"מחקות" התנהגות אנושית כדי "לתמרן" משתמשים, או שימוש בבינה מלאכותית הגורם לניצול פגיעות של בני אדם (בשל גילם, מוגבלותם, מצבם החברתי או הכלכלי). עוד קובע החוק כי במסגרת מערכות בינה מלאכותית המוגדרות ככאלה בעלות סיכון גבוה, סוכמו חובות התנהלות, החלות בין היתר גם על מגזרי הביטוח והבנקאות.
ה-EDPS מצא כי הנציבות האירופית הפרה מספר כללים מרכזיים להגנה על נתונים בעת השימוש ב- Microsoft 365, כולל אלה הנוגעים להעברת נתונים אישיים מחוץ לאיחוד האירופי / האזור הכלכלי האירופי (EEA). בפרט, הנציבות לא סיפקה אמצעי הגנה מתאימים כדי להבטיח שנתונים אישיים המועברים מחוץ לאיחוד האירופי / EEA יקבלו רמת הגנה שוות ערך במהותה לזו המובטחת באיחוד האירופי / EEA. יתר על כן, בחוזה שלה עם Microsoft, הנציבות לא ציינה מספיק אילו סוגים של נתונים אישיים יש לאסוף ולאילו מטרות מפורשות ומפורטות בעת השימוש ב- Microsoft 365. ההפרות של הנציבות כבקר נתונים מתייחסות גם לעיבוד נתונים, כולל העברות של נתונים אישיים, שבוצעו מטעמה. לפיכך, ה-EDPS החליטה להורות לנציבות, החל מ- 9 בדצמבר 2024, לעצור את כל זרימות הנתונים הנובעות מהשימוש שלה ב- Microsoft 365 ל- Microsoft ולחברות המסונפות אליה ולמעבדי המשנה שלה הממוקמים במדינות מחוץ לאיחוד האירופי/EEA שאינן מכוסות בהחלטת התאימות.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.