הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 07-2022
משרד המשפטים מקדם חקיקת תקנות פרטיות אירופאיות שיחולו על חברות אשר אוגרות מידע על אזרחים אירופאיים בלבד כחלק מתהליך הבחינה המתקיים כיום על ידי נציבות האיחוד האירופאי ביחס לחידוש מעמד ההכרה והתאימות (adequacy) של ישראל לרגולציית הגנת המידע של האיחוד האירופאי (GDPR), משרד המשפטים מקדם חקיקה של תקנות אשר יתאימו לאותה תקינה אירופאית אשר יחייבו חברות ישראליות שמעבדות מידע מאירופה בלבד. קבלת הכרה זאת מאפשרת העברת מידע מהאיחוד האירופאי לישראל ללא צורך במחויבויות רגולטוריות נוספות מצד הגורם המעביר באיחוד האירופי או מצד הגורם המקבל את המידע בישראל, זאת בדומה לתהליך העברת מידע בתוך המדינות החברות באיחוד. הכרה זאת חיונית למדינת ישראל הן בפן הכלכלי והן בפן של קידום יחסי החוץ של ישראל. בניגוד למשרד המשפטים, גורמים מתחום הגנת הפרטיות בישראל מותחים ביקורת חריפה על קידום תקנות אלו, וקובעים בין היתר כי מדובר "בהצעה מפלה ומקוממת, אפרטהייד משפטי, בושה לאומית" וכן כי "קידום תקנות תאימות פרטיות שיחולו אך ורק על אזרחי אירופה בעת פגרת בחירות בכנסת, לצד הניסיון לחוקק אותן כעת במהירות בוועדת חוקה היא לא פחות משערורייה".
איראנים פרצו לאתרי תיירות ישראליים - פרטים אישיים של 300 אלף לקוחות דלפו מספר אתרים להזמנת חופשות, בבעלות חברת "גול טורס", נפרצו ע"י קבוצת האקרים איראנית. כתוצאה מכך דלפו פרטים אישים ואף רגישים ממאגר המידע של החברה אודות כ-300 אלף לקוחות, המכילים בין היתר מידע על כתובות מגורים; מספרי טלפון; ואף מידע רפואי רגיש-כחלק מהגשת ביטול חופשות של הלקוחות עקב מניעים רפואיים. ברשות להגנת הפרטיות טוענים כי פנו אל מפעיל האתר בדרישה לתקן את הליקויים באבטחת המידע והוא סירב, בין השאר בטענה שזה עולה לו כסף (אך בעלי האתר הכחישו טענה זאת). כמו כן, גם לטענת מערך הסייבר-הוא העביר למפעיל הנחיות אבטחה וזה התעלם.. בשל כך, ובהתאם לצו בית משפט נלקחו ע"י מפקחי הרשות להגנת הפרטיות? כלל השרתים של החברה ושמכך השביתו את פעילות כל האתרים שבבעלות בעלי החברה. החקירה עדיין בעיצומה ובמסגרתה השרתים נבדקים. מדובר בצעד חריג בו נקטה הרשות, שמטרתו להתריע ולהדגיש בפני בעלי אתרים את אחריותם על אבטחת המידע כנדרש בהוראות החוק והתקנות שמכוחו.
שילוב אקטיבי של הרשות להגנת הפרטיות בעת חקירת אירועי סייבר במהלך כנס הCyberWeekTLV שהתקיים בחודש יוני, טענה מנהלת מחלקת האכיפה ברשות, עו"ד ליאת קילנר, כי "הרשות היא רגולטור בעל סמכויות אכיפה פליליות, והשתלבותה בשלביה הראשונים של מתקפת סייבר חיונית. בשלב זה אנו מתמקדים גם בזיהוי התוקף ובהבנת האירוע. זה מאפשר לנו לבצע חקירה פלילית לצד פעולות ההגנה שעושה החברה, באמצעות צוותי ניהול משברי הסייבר שלה (IR) , תוך התחשבות בעבודתם. אי שילוב הרשות בשלב חיוני הזה עלול לגרום לשיבוש הליכי החקירה". תקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, מגדירה חובת דיווח לרשות להגנת הפרטיות אך לא במנעד מערבותה כחלק מצוות IR ובמסגרת הטיפול באירוע כזה או אחר.
מבקר המדינה: ציון נכשל לרשויות המקומיות בהגנת סייבר במהלך סקירת רמת המוכנות מפני מתקפות סייבר ברשויות המקומיות בישראל, מבקר המדינה מצא כי ב-67% מהרשויות רמת המוכנות למתקפת סייבר הינה נמוכה. המבקר ציין בדו"ח כי "מערכות המידע של הרשויות המקומיות הפכו למוקד של עניין עבור האקרים ופושעי סייבר. הצורך לשמור על מערכות המידע נועד למניעת פגיעה ברציפות התפקודית של הרשויות המקומיות במתן שירותים, וכן למניעת דליפה של נתונים ומידע ממאגרי המידע שברשותן ולמניעת חשיפתם לגורמים שאינם מורשים לכך". כמו כן, במהלך מבדק שביצע אגף הסייבר במשרד הפנים נמצאו הליקויים הבאים: ליותר ממחצית מהרשויות אין תוכנית להתאוששות מאסון בהתרחש אירוע סייבר ( (DRP/BCP; לכשליש מהן אין ממונה או מנהל אבטחת מידע; ליותר ממחצית מהן אין נוהל אבטחת מידע; כמחצית מהרשויות המקומיות לא ביצעו מבדקי חדירה בשנתיים האחרונות; אי רישום מאגרי המידע של הרשות; לרוב הרשויות אין נוהל גיבויים כנדרש. המבקר ממליץ לרשויות לבצע את הצעדים האופרטיביים הבאים: מינוי ממונה אבטחת מידע; הכנת נוהל אבטחת מידע; הכנת תוכנית להתאוששות מאסון; ביצוע סקרי סיכונים ומבדקי חדירה.
פרסום מסמך הנחיות, מטעם הרשות להגנת הפרטיות, בנושא שימוש בכלי תחבורה זעירים שיתופיים עקב השימוש הגובר בשנים האחרונות בכלי תחבורה זעירים בכלל, ובקורקינטים חשמליים בפרט, וקיומם של אתגרי פרטיות מהותיים הנובעים מכך, פרסמה הרשות להגנת הפרטיות מסמך עמדה המציג את הסיכונים בעת השימוש בשירות זה, וכן המלצות לצמצום וקטור הפגיעה בפרטיות. כחלק מהשימוש באמצעי ניידות זה, ספקי השירות אוספים ואוגרים מידע אישי רגיש, כגון שם מלא, כתובת מגורים, תאריך לידה, מגדר, פרטי אמצעי תשלום, מידע ביומטרי, נתוני מיקום ועוד. הרשות מציינת במסמך כי מידע מעין זה מועבר ע"י ספקי שירות זה לרשויות המקומיות, לצורך קידום יעדים ציבוריים, כגון שיפור הבטיחות, שוויון בנגישות לתחבורה וקיימות. צירוף עובדה זו לכך שמצב אבטחת המידע ברשויות המקומיות בישראל אינו מספק ברובו, גם בהתאם לתוצאות פיקוח הרוחב שביצעה הרל"פ בכ-70 רשויות מקומיות, מהווה גורם מטריד לפוטנציאל דלף מידע והסיכון לפרטיותו של המשתמש. הרשות ממליצה לנקוט בצעדים הבאים: בחינת מדיניות הפרטיות של היישום ע"י משתמש הקצה;; הימנעות מקישור/התחברות לאפליקציית השירות באמצעות שירותי צד שלישיים, כדוגמת-פייסבוק, גוגל וכדומה; מניעת מתן אישור לגישה לשירותי המיקום; ביצוע עדכונים לאפליקציית השירות ובחינת הרחבת השימוש בהרשאות נוספות במידה ונדרש; בעת סיום השימוש בשירות זה מומלץ למחוק את חשבון המשתמש והאפליקציה וכן לפנות לספק השירות בדרישה למחיקת המידע האישי אשר נאסף עם מחיקת חשבון המשתמש.
עובד רשות האוכלוסין בצפון נעצר בחשד שהעביר מידע פרטי של המדינה תמורת שוחד המשטרה עצרה בתחילת חודש יולי עובד רשות ההגירה והאוכלוסין בצפון, בחשד כי במשך שנים, העביר מידע ממאגרי מידע של מדינת ישראל לחשודים אחרים-אשר מזייפים באמצעותו מסמכי צוואות, של ייפוי כוח וירושות. באמצעות מידע זה גורמים אלו סחרו בקרקעות בשווי מיליוני שקלים, והכול תמורת שוחד. החקירה בעיצומה.
הגנת הפרטיות ברחבי העולם
גם ממשלת איטליה נגד Google Analytics וזו רק ההתחלה בסיומה של חקירה מורכבת שנפתחה על בסיס שורה של תלונות ובתיאום עם רשויות פרטיות אחרות באירופה, בתאריך 23 ליוני 2022 הודיעה רשות הגנת המידע האיטלקית (GDPD) כי השימוש ב-Google Analytics נוגד את הוראות ה-GDPR ואסור לשימוש. מהחקירה עלה כי מנהלי אתרים המשתמשים בכלי אוספים באמצעותו מידע על אינטראקציות המשתמשים עם האתרים הנ"ל, הדפים הבודדים בהם ביקרו והשירותים המוצעים. בין הנתונים הרבים שנאספו, כתובת ה-IP של מכשיר המשתמש ומידע הנוגע לדפדפן, מערכת ההפעלה, רזולוציית המסך, השפה הנבחרת וכן תאריך ושעת הביקור באתר. עוד נמצא כי מידע זה הועבר לארצות הברית. איטליה מצטרפת לשורה של מדינות אירופאיות החוקרות תלונות דומות. מסתמן כי החלטה כמו זו של הרשות האיטלקית תחזור על עצמה במדינות נוספות.
קנדה – חקיקה חדשה בתחום הגנת הפרטיות ביום 16 ביוני 2022 קנדה נקטה צעד לקידום זכות הפרטיות כאשר שר החדשנות המדע והתעשייה, שר המשפטים והתובע הכללי של קנדה הציגו להערות הציבור את הצעת החוק הכוללת שלושה סעיפי חקיקה: חוק הגנת פרטיות הצרכן, חוק בית הדין להגנה על מידע אישי ומידע, וחוק הבינה המלאכותית והנתונים. החקיקה התלת-שכבתית נועדה לחזק את אכיפת הגנת המידע של קנדה, את חוק הגנת מידע אישי ומסמכים אלקטרוניים, וליצור תקנות חדשות לפיתוח אחראי, תוך המשך יישום החוק של קנדה. ההצעה, אם תתקבל, כוללת גם שינויים לאמצעי וכללי אכיפת הגנת הפרטיות הקיימים במדינה.
חוקי הגנת הפרטיות בקולורדו ביום 21 ביוני 2022, משרד התובע הכללי של קולורדו פרסם קול קורא לציבור הרחב טרם חקיקת החוק להגנת הפרטיות בקולורדו ("CPA"). בהודעתו ציין התובע הכללי כי הוא רוצה "להבין טוב יותר את המחשבות והדאגות של הקהילה לגבי פרטיות הנתונים".
פרסום טיוטת תקנות הגנת הפרטיות בקליפורניה לאחר העברת הסמכות לידי הסוכנות להגנת הפרטיות של קליפורניה (California Privacy Protection Agency), פרסמה הסוכנות ביום 8 ביולי 2022 טיוטה של תקנות חדשות המיישמות את הרפורמה בחוק הגנת הפרטיות בקליפורניה. טיוטת התקנות החדשות: (1) מעדכנות את התקנות הקיימות כדי להתאימן להחלטות הסוכנות (2) מיישמות זכויות ותפיסות חדשות שהוצגו על ידי ה-CPRA כדי לספק בהירות וספציפיות ליישום החוק; (3) מארגנות מחדש ומאחדות את הדרישות הקבועות בחוק כדי להקל על ביצוע התקנות והבנתן.
סערת פסיקת ההפלות בארה"ב ביום ה-24.06.2022, ביטל ביהמ"ש העליון בארה"ב, את פסה"ד ההיסטורי משנת 1973 (Roe VS Wade) שקבע כי לכל אישה קיימת זכות על גופה ולכן עומדת לה הזכות לביצוע הפלה ללא מעורבות המדינה. בפסיקה החדשה, קבעו השופטים השמרניים כי כל מדינה רשאית לחוקק בהתאם לערכיה. בשל חשש מניסיונם של גופי אכיפה להשיג מידע מפליל תוך דרישה למידע כמו היסטוריית חיפוש, מיקום, דואר אלקטרוני ונתוני ענן מחברות טכנולוגיה גדולות, פרסם עיתון הגארדיאן כי Google הודיעה שתפעל למחיקת נתוני מיקום של נשים המבקרות במרפאות לביצוע הפלות. בהמשך לסוגיות הצפות בעניין זה, ביום 8 ביולי 2022, הוציא הנשיא ביידן צו ביצוע שכותרתו, "הגנה על גישה לשירותי בריאות רבייה". הצו המנהלי נועד, בין השאר, "להגן על פרטיות המטופלים והגישה שלהם למידע מדויק" בנוגע לשירותי בריאות הרבייה. הצו מנחה את משרד הבריאות ואת ועדת הסחר הפדרלית לנקוט בצעדים מסוימים כדי לטפל באיום הפוטנציאלי על פרטיות המטופל, הנגרם כתוצאה מהעברה ומכירה של נתונים רגישים הקשורים לבריאות, ועל ידי מעקב דיגיטלי הקשור לשירותי בריאות פוריות.
הגבלת מכירת נתונים מארה"ב לסין ביום ה- 17 ליוני 2022, פרסם האתר BuzzFeed כי על פי 14 הצהרות מוקלטות של תשעה עובדי TikTok, למהנדסי החברה בסין יש גישה למידע לא פומבי על משתמשים בארה"ב. נשיא ארה"ב לשעבר פעל בזמנו לחסימת האפליקציה שמהווה, לדבריו, פגיעה בביטחון המדינה. במקביל לפרסום, קבוצת סנאטורים אמריקנים משתי המפלגות הגדולות פרסמו הצעת חוק כדי לבקר ולנטר יצוא של נתונים רגישים אודות משתמשים בארה"ב. מטרת החקיקה היא למנוע מכירת מידע לגורמים ממדינות שמולן לארה"ב קיימת מחלוקת. לפי הצעת החוק, שר המסחר יהיה רשאי להגדיר אילו סוגי נתונים עלולים לפגוע בביטחון הלאומי של ארה"ב ולקבוע אילו מדינות ידרשו רישיונות לייצוא או יידחו כברירת מחדל. סטטוס הסיכון יתבסס על חוקי הגנת הפרטיות של המדינה, יכולתה של הממשלה הזרה לכפות על גופים פרטיים לשתף נתונים והאם קיימת במדינה פעילות מודיעין עוינת נגד ארה"ב.
הפריצה הגדולה באמזון – הורשעה העובדת שגנבה נתונים אישיים בתאריך 17 ביוני הודיע משרד המשפטים האמריקאי כי פייג' תומפסון, שנעצרה בשנת 2019 בגין גניבת נתונים אודות יותר מ- 100 מיליון משתמשים, הורשעה. חבר המושבעים בבית המשפט המחוזי של ארה"ב בסיאטל מצא את תומפסון בת ה-36 אשמה בהונאת רשת, 5 סעיפי גישה לא מורשית למחשב מוגן ופגיעה במחשב מוגן. משרד המשפטים חשף גם צעדים שהובילו לחדירת הרשת. "למרות שהיא עזבה את אמזון שנים לפני הפריצה", אמר משרד המשפטים, "בעת עבודתה בחברה, תומפסון בנתה כלי שבו השתמשה כדי לסרוק את פלטפורמת הענן של AWS לאיתור חשבונות שגויים". לאחר מכן היא השתמשה בחשבונות המוגדרים כשגויים כדי לפרוץ ולהוריד את הנתונים של יותר מ-30 ישויות, כולל בנק Capital One"" ". בגזר הדין נקבעו לתומפסון 25 שנות מאסר.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.