הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 04-2021


הגנת הפרטיות – ישראל

קול קורא בעניין צמצום מידע (Data Minimization) ביום 25/03/2021 הרשות להגנת הפרטיות פרסמה מסמך המדגיש את הסיכונים לפרטיות העלולים להיגרם כתוצאה מאיסוף, שמירה ושימוש במידע עודף, ואת החשיבות והתועלת בצמצומו של מידע זה. הרשות הזמינה את הציבור להביע עמדה בנוגע לסוגיות המופיעות במסמך עד ליום 29/04/2021. מצורפת בזאת התייחסותה של חברת פריימסק למסמך.

דיון נוסף בעניין פריצת הטלפונים של יועצי רה"מ הטלפונים הסלולריים של יועצי ראש הממשלה נתפסו על ידי המשטרה לאחר שנפתחה חקירה נגדם בחשד להטרדת עד המדינה בתיק 4,000. הם זומנו לחקירה במשטרה, ובמהלכה נתבקשו להעביר לידי החוקרים את מכשירי הטלפון שברשותם, מבלי שהוסבר להם כי באפשרותם לסרב לבקשה מבלי שהסירוב ייזקף לחובתם. החוקרים חדרו לטלפונים הניידים שלהם, ופנו בדיעבד לקבלת אישורו של בית המשפט, בבקשה שיינתן צו חדירה למכשירי הטלפון. בקשתם התקבלה, צווי חדירה למכשירי הטלפון ניתנו, וזאת בהסתמך על 'חומר סודי' שהובא לעיונו של בית המשפט. ביום 24/03/2021 נשיאת בית המשפט העליון, הגב' אסתר חיות, קבעה כי יש לקיים דיון נוסף בפסק הדין בעניין הפריצה לטלפונים הניידים של יועצי ראש הממשלה. הדיון הנוסף ייערך בפני הרכב של שבעה שופטים, שבראשם תעמוד הנשיאה אסתר חיות.

 עיקרי פרסומי שנת 2020 מאת הרשות להגנת הפרטיות ביום ה-05/04/2021 הרשות להגנת הפרטיות פרסמה מסמך הסוקר ומרכז את עיקרי פרסומיה לשנת 2020 בתחומי המשפט והדיגיטציה, חינוך, בריאות, תחבורה ומשבר הקורונה. 

פרטיות באמצעי תשלום מתקדמים להעברת כספים ולתשלום בבתי עסק ביום 22/04/2021 פרסמה הרשות להגנת הפרטיות מסמך המלצות בנושא הגנת פרטיות המשתמשים ביישומונים ובאמצעים מתקדמים להעברת כספים ולתשלום בבתי עסק. הרשות להגנת הפרטיות ניתחה את מסמכי מדיניות הפרטיות ותנאי השימוש של אמצעי התשלום המתקדמים המרכזיים הפועלים כיום בישראל ומתוך כך גיבשה את מסמך ההמלצות שמדגיש, בין היתר, כי יש לתת את המשקל הראוי בהפעלת יישומונים מסוג זה להגנה על פרטיות המשתמשים ובמיוחד על קבלת הסכמה לרישום ולשימוש בהם.

חוזר רשות שוק ההון, ביטוח וחיסכון בדבר מיפוי סיכוני סייבר בפעילות הביטוחית ביום 24/03/2021 רשות שוק ההון, ביטוח וחיסכון פרסמה את החוזר הסופי אשר קובע כי חברות ביטוח יערכו סקר סיכוני סייבר בפעילות הביטוחית, יכמתו ויעריכו את החשיפה שלהם לסיכוני סייבר. רשות שוק ההון הגדירה את הנושאים שאליהם יתייחס הסקר. תוצאות הסקר יועברו לדיון בדירקטוריון החברה והחברה תדווח לרשות שוק ההון על ממצאי הסקר ותצרף לדיווח את הסקר ואת פרוטוקול הדירקטוריון שדן בממצאיו. 

פריצה ללינקדאין: מעל 500 מיליון חשבונות נחשפו האקרים פרצו ללא פחות מ-500 מיליון חשבונות לינקדאין שנמצאים כעת למכירה בפורומים שונים. לצורך הוכחת היכולת והרצינות של האקרים הוצגו 2 מיליון חשבונות במלואם. ההאקרים מוכנים למכור את המידע לכל המרבה במחיר בסכום לא גבוה במיוחד של עד 10,000 דולרים. לפי הפרטים, המידע שיש להאקרים רגיש יחסית וכולל את שמות המשתמשים, כתובות דואר האלקטרוני, שם מלא, חברות ועיסוק אישי בהתאם לפרופיל, כתובות וטלפונים וכן שאר הרשתות החברתיות המחוברות לפרופיל. אם מידע זה יגיע לגורמים עוינים הוא יוכל לשמש לצורך פעולות זדוניות כמו הונאת דיוג, דואר זבל וניסיון פריצה לשירותים של המשתמשים לפי המידע שהתגלה בפריצה. בינתיים באיטליה פתחו בחקירה בנושא והוציאו הודעה במדינה למשתמשי לינקדאין לשנות את הסיסמה באופן מידי. 

לא יעזור שתאטו לפני המצלמות: כך יתפסו נהגים על מהירות חברת נתיבי איילון פרסמה מכרז חדש "לספירת תנועה עבור נתיבי איילון". בהתאם לנספח הטכני הספק הזוכה (או הזוכים) יצטרך לספק מערכת מדויקת שתהיה מסוגלת לעקוב אחר נהגים ולדעת בדיוק היכן נמצא כל נהג. רמות הדיוק של המערכת צריכות להיות גבוהות ולהתבסס על יכולת לזיהוי מדויק של רכבים. המערכת תהיה מסוגלת לנתח את סוגי הרכבים שעוברים ולספור הולכי רגל. בנספחי המכרז יש מספר סעיפים מטרידים למדי. למשל, החברה שתתעד את המידע אודות הנהגים תוכל "לשמור את המידע האמור של הספירות למשך 36 חודשים מיום הספירה", כלומר תנועותיהם של נהגים יתועדו והמידע אודותיהם, היכן היו ומה עשו יהיה זמין לשליפה למשך 36 חודשים. סעיף נוסף הוא כי תבוצע מדידת מהירות ממוצעת של רכב על פני קטע דרך, כלומר כאשר המכונית יוצאת לכביש המהיר, מספר הרישוי שלה נקלט וכשהמכונית מסיימת את הכביש המהיר, המספר נקלט שוב. המהירות מחושבת על סמך פרק הזמן אשר עבר מרגע הכניסה לכביש לרגע היציאה והדו"ח, אם יש כזה, ישלח אל בית הנהג. 

תובעת מבעלה 100 אלף שקל - בטענה שגנב מהסמארטפון שלה תמונות אינטימיות הליך הגירושין ומאבק המשמורת הסתבכו: תושבת דרום הארץ תובעת מבעלה 100 אלף שקל, בטענה שפרץ לסמארטפון שלה וגנב תמונות עירום. הבעל הכחיש את הדברים, וביקש לפסול את השופטת בטענה שהיא "מזדהה" עם התובעת. השופטת דחתה את בקשתו והשיתה עליו תשלום פיצויים נוספים בסכום של 2,500 שקל החלטתה בתיק צפויה להינתן בשבועות הקרובים. 

תוכנית "מגן חינוך" של משרד הבריאות חשפה פרטים אישיים של אלפי קטינים בחודשים האחרונים משרד הבריאות ומשרד החינוך מקדמים את "מגן חינוך" - תוכנית לבדיקות קורונה שבועיות במערכת החינוך, כדי לזהות ולבלום התפרצויות חדשות. חוקרים גילו שבמסגרת התוכנית נחשפו פרטיהם החסויים של אלפי תלמידים והורים - כולל מידע רפואי. חברת טרגט מרקט מקבוצת א.מ.ן הופקדה על בדיקות באלפי מוסדות; המערכת חשפה שמות תלמידי בתי ספר והוריהם, מספרי ת"ז ומידע רפואי. 


 הגנת הפרטיות ברחבי העולם 

CCPA- ביהמ"ש קבע שהחוק אינו חל רטרו-אקטיבית לביהמ"ש המחוזי הפדרלי בקליפורניה הוגשה תביעה בגין הפרת חובתה של חברת הצרכנות Walmart לשמירה על מידע אישי וכלכלי של לקוחותיה. בכתב התביעה צוין כי התובע נרשם לשירות המקוון של הנתבעת ופרטיו פורסמו ברבים וב-Darknet  (הרשת האפלה) בעקבות מס' תקיפות שבוצעו ברשת הנתבעת. התובע לא הצליח להציג בפני ביהמ"ש את המועד המדויק להתרחשות ועל כן ביהמ"ש פסק כי החוק אינו חל רטרואקטיבית, אולם מיום 1.1.2021, הנתבעת חייבת ביישום נהלי אבטחה סבירים למניעת הפרות עתידיות. פסה"ד אינו חלוט כיוון שביהמ"ש נתן לתובע הזדמנות לתקן את כתב התביעה שלו.

ארה"ב- פרסום דו"ח לניתוח השלכות ביטול הסכמי המגן על העברת נתונים טראנס- אטלנטיים ביום 17.03.2021, שירות המחקר של הקונגרס האמריקאי (CRS) פרסם דו"ח המנתח את השלכותיו של פס"ד SCHREMS II וחוקי מודיעין פדרליים על אופן העברת נתונים בין ארה"ב ואירופה. כ- 5,380 ארגונים ועסקים הסתמכו על הסכמי המגן. העברת נתונים טראנס-אטלנטית מהווה חלק בלתי נפרד מהיחסים הכלכליים בין ארה"ב והאיחוד ונמדדים בכ- 5.5 טריליון דולר בשנה. לפי הדו"ח, התאמת SCC ייעודי (סעיפים  חוזיים סטנדרטיים) ו/או כלי הגנה אחרים להעברת מידע עבור כל 'יצואן מידע', אינה ישימה או ריאלית, כיוון שנדרש להתייחס גם לחוקי ונהלי המודיעין האמריקאיים כך שנפגעת האפקטיביות של כלי העברת המידע. שירות המחקר מציע שלוש חלופות:

  • נקיטת פעולה מנהלתית- קבלת החלטות של דרג מדיני גבוה לצמצום חוקי ונהלי המודיעין.
  • פתרון דיפלומטי- גיבוש אמנה חדשה בין האיחוד וארה"ב או מסגרת חלופית אחרת לאימוץ הלימות בין ארה"ב והאיחוד.
  • חקיקה- הקונגרס יכול לחוקק חוק המצמצם את חוקי ונהלי המודיעין ומאמץ כללים ועקרונות של בית הדין לצדק של האיחוד האירופי.

ארה"ב- הנגשת מידע רפואי תחת חוק הריפוי הפדרלי ביום 05.04.2021 נכנס לתוקף חוק הריפוי הפדרלי אשר מנגיש באופן מלא את כל המידע הרפואי לנושא המידע. באמצעות החוק, הבעלות על המידע הרגיש ביותר כולל פתולוגיה, דו"חות מעבדה והערות רופא בתיק הרפואי ניתנים לצפייה ואף להעברה ע"י נושא המידע לצד שלישי. מידע פסיכותרפי ו/או מידע שנאסף למטרות חקירה פלילית או אזרחית אינם נכללים תחת חוק זה.

 GDPR- התנעת תהליך הלימות עבור דרום קוריאה ביום ה- 30.03.2021, נציב הצדק של האיחוד האירופאי, ריינדרס, ויו"ר הוועדה להגנת מידע אישי של דרום קוריאה, יון ג'ונג אין, פרסמו הצהרה משותפת על סיומן המוצלח של שיחות הלימות בין נציגות האיחוד והמדינה האסיאתית. התהליך צפוי להסתיים באימוץ החלטת ההלימות ע"י נציבות האיחוד וזאת לאחר קבלת חוות דעת מהמועצה האירופית להגנת נתונים (EDPB) וכן מוועדה הכוללת את נציגי המדינות החברות באיחוד. החלטת ההלימות צפויה להשלים את הסכם הסחר החופשי בין דרום קוריאה והאיחוד (FTA) שאושר בשלהי שנת 2015 והיה להסכם הראשון מסוגו בין האיחוד לבין מדינה אסיאתית. 

צרפת - רשות הגנת הפרטיות בצרפת (CNIL) פרסמה גרסה מעודכנת של שאלות נפוצות בנוגע למדריך ולהמלצות של הרשות בנושא עוגיות ואמצעי מעקב, שנכנסה לתוקף ביום 01/04/2021. המסמך המעודכן כולל, בין היתר, פירוט נוסף על אמצעי מעקב שפטורים מהדרישה לקבלת הסכמה מראש מנושאי המידע, המלצות ליישום עקרונות העיצוב לפרטיות (Privacy by Design) והדרך שבה נושאי המידע יוכלו לממש את זכותם ל-Opt out מהשימוש בעוגיות ואמצעי מעקב. בנוסף, המסמך מבהיר כי שימוש בתוספים לרשתות חברתיות, למשל לצרכי שיווק, ידרוש קבלת הסכמה מהמשתמש.

צרפת - בכירים לשעבר בחברת איקאה המקומית נאשמים בריגול אחרי עובדים בחודש מרץ 2021, נפתח משפטם הפלילי של כ-15 נאשמים, ביניהם מנכ"ל איקאה צרפת ומנהלי חנויות, בחשד לריגול שיטתי אחר עובדים ומועמדים לעבודה. לפי כתב האישום, החברה העסיקה חוקרים פרטיים וקציני משטרה ואף שמרה מידע הנוגע לצנעת חייהם של העובדים ואף רישומים פליליים בתוך מערכת מידע פנים ארגונית. השיטה נחשפה בשנת 2012 במגזין Le Canard Enchaîné שפרסם מיילים שנשלחו ממשרד איקאה בפריס לחברת האבטחה סורטה אינטרנשיונל. הנהלת איקאה ביקשה להשיג מידע אישי על עובדים, כולל חברים באיגודים ואף מידע על לקוח שתבע את החברה. על פי האישום, שיטה זו הייתה נהוגה כעשור טרם חשיפתה.

GOOGLE- הצגת תחליף לעוגיות (COOKIES) ומה גוגל אוספת עלינו? לפני כשנה גוגל הכריזה כי היא עתידה לסיים את השימוש בהטמעת עוגיות בדפדפן שלה (CHROME). כעת היא מציגה בפנינו את ה- FLoC או Federated Learning of Cohorts. בניגוד לעוגיות, הכלי החדש אינו אוסף מידע ספציפי ופרטני על כל משתמש בנפרד אלא מחלק את נושאי המידע והפרטים לקבוצות עניין כאשר המטרות, לפי גוגל, הן צמצום הפגיעה בפרטיות של המשתמש או טשטוש טביעת האצבע הלוגית שהעוגייה יוצרת עבור משתמשים ומנגד, התאמת פרסומות ותוצאות חיפוש למשתמש. המהלך הדרסטי לכאורה, להגנה על פרטיות המשתמשים נובע, ככל הנראה, מן הרגולציות והמגמות העולמיות כדוגמת ה-GDPR וה-CCPA.

באמצעות כניסה ל'הפעילות שלי' או ל'חשבון שלי' ניתן לנהל ולצפות במידע שגוגל אוספת עלינו במנוע החיפוש שלה ובאפליקציות השונות. עם זאת, קיימים דפדפנים ושירותים נוספים המקדמים באופן מובהק שקיפות והגנה על פרטיות (להרחבה).