הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 10-2022

הגנת הפרטיות – ישראל 

אישור החלטת ממשלה בנושא עצמאות הרשות להגנת הפרטיות בתאריך 02.10.2022 אושרה החלטת הממשלה, שקידם סגן רה"מ ושר המשפטים מר גדעון סער, בדבר עצמאותה של הרשות להגנת הפרטיות, כך שתוכל להפעיל את סמכויותיה על פי דין לשם מילוי תפקידיה ותפעל באופן בלתי תלוי. עוד כחלק מהחלטת הממשלה, היא כוללת את פירוט תפקידיה העיקריים של הרשות ומגדירה את תנאי הכשירות לתפקיד ראש הרשות. אישור ההחלטה עתידה, בין היתר, לסייע ולקדם את אשרור החלטת ההלימות בין האיחוד האירופאי ומדינת ישראל ובהתאם לתקנות ה-GDPR. 

הרשות להגנת הפרטיות פרסמה מסמך הנחיות ודגשים לקראת הבחירות לקראת הבחירות לכנסת ה-25, ולאור אירועי אבטחת מידע שהתרחשו בשנים האחרונות באתרים ואפליקציות המשמשים את המפלגות במהלך תקופת הבחירות, הרשות פרסמה מסמך הנחיות ודגשים לכלל המפלגות המתמודדות לכנסת, לספקי שירותים חיצוניים העובדים איתן וכן לעובדים ומתנדבים המועסקים על ידן, המסמך כולל בתוכו דגשים לעניין אחריות המפלגות בשימוש בפנקס הבוחרים ובמידע אישי בתקופת הבחירות מכוח חוק הגנת הפרטיות ותקנותיו. כחלק מכך, החוק מחייב את המפלגות: 

1.  צמידות למטרות השימוש במידע. 
2.  השבת פנקס הבוחרים בתום מערכת הבחירות, וכן השמדתו מכלל אמצעי המדיה. 
3.  דיוור ישיר-ציון זהות הגורם הפונה וכן קיומה של זכות המחיקה מהמאגר. 
4.  גישה על בסיס הצורך לדעת. 
5.  הגדרת מורשי גישה למערכות המידע, תיעודם והדרכתם בדבר החובות החלות עליהם. 
6.  הדרכת עובדי הקמפיין בדבר מודעות לאבטחת מידע והגנת הפרטיות והחתמתם על מסמך שמירת סודיות. 
7.  דיווח לרשות על כל מקרה של חשש לאירוע אבטחת מידע. 

הרשות להגנת הפרטיות חתמה עם מקבילתה באבו דאבי על הסכם שת"פ בתחום הגנת המידע והפרטיות בתאריך 05.09.2022 הרשות חתמה על הסכם שיתוף פעולה (MOU) עם המשרד להגנת המידע באזור הסחר הפיננסי הבינלאומי באבו דאבי. לפי הפרסום, מטרת ההסכם היא יצירת ציר תקשורת ושיתוף פעולה יעיל והדדי בין המדינות; הכרת החקיקה המקומית; ושיתוף מידע מקצועי ביחס למגמות, שירותים וטכנולוגיות הרלוונטיים לתחום הגנת המידע והפרטיות. בין היתר, התחייבו שני הצדדים לשיתוף פעולה והחלפת מידע רלוונטי ביחס למסגרת החקיקה המקומית, תקנים בינלאומיים, מגמות בתחום, גיבוש שיטות עבודה משותפות אירועים מקצועיים, ומשלחות בינלאומית. 

הרשות להגנת הפרטיות פרסמה מסמך המלצות להתנהלות הציבור בשימוש בשירותי Streaming שירותי  Streaming (הזרמה) מאפשרים למשתמשים לצפות בתוכן דרך האינטרנט וללא צורך במנויי כבלים או לוויין. שירותים אלה הפכו לחלופה אטרקטיבית עבור קהלים המעוניינים לעקוף מגבלות גיאוגרפיות ולוחות שידור כאחד. בישראל, על פי דו"ח האינטרנט השנתי שפרסמה חברת 'בזק' לשנת 2020 ,עולה כי 93% מצרכני האינטרנט צופים בתוכן בטכנולוגיה זו . בה בעת, ההתפתחות הטכנולוגית במכשירי הטלוויזיה ובמכשירים המספקים שירותי Streaming הפכה אותם ממכשיר חד כיווני המשדר לצופה, לבעלי טכנולוגיה המאפשרת לאסוף מידע אודות הצופים. בין היתר, נאסף מידע אודות הצופים והרגלי הצפייה שלהם אשר מהווה למעשה מידע אישי, ועיבודו מאפשר לחברות להתאים את התוכן שלהן לקבוצות צופים בהתאם להעדפותיהם ועוד. להלן ריכוז המלצות הרשות לשימוש בטוח ומאוזן בשירותים תוך שמירה על פרטיות המשתמשים:

1.  הורדת אפליקציות רק מחנויות רשמיות וכן מאתרי החברות הרשמיות. 
2.  קריאת מדיניות הפרטיות של השירות. 
3.  בעת הרישום לשירות, מידע שמוזן בתהליך עלול להישמר אף אם לא הושלם תהליך הרישום בסופו של דבר. לפיכך אם אינכם מעוניינים בכך, יש לפנות לשירות הלקוחות של החברה בבקשה למחוק מידע זה. 
4.  שימוש בכינויים ולא בשמות מלאים בעת הוספת משתמשים נוספים למנוי, במיוחד כאשר מדובר על קטינים. 
5.  הגבלת הרשאות איסוף המידע של השירות, כך למשל הגבלת האפליקציה מלעשות שימוש במידע האישי לצורך הפקת תובנות וכן מחיקת היסטוריית הצפייה. 
6.  בחינת שיתוף המידע מהאפליקציה ברשתות חברתיות. 
7.  התקנת עדכוני אבטחה בצורה תדירה. שימו לב, גם בעת הורדת עדכוני תוכנה – אם הורחבו ההרשאות במידה המנוגדת לרצונכם – שקלו למחוק את חשבון המשתמש ואת האפליקציה 
8.  החלפת סיסמאות בפרקי זמן תדירים. 
9.  בעת סיום השימוש בשירות ובטרם מחיקת האפליקציה, מחקו את הפרופיל האישי שלכם ואת ארכיון הנתונים שלכם. ניתן לעשות זאת באמצעות בעמוד ההגדרות של השירות או על ידי פניה לשירות הלקוחות. 

התקנת מצלמות בקרונות הרכבת הקלה בירושלים בשבועות הקרובים צפויות להיות מותקנות ברכבת הקלה בירושלים מצלמות כחלק מפרויקט של חברת YSB שמטרתו לשכלל את מנגנון ספירת הנוסעים מידני לאוטומטי, באופן שצפוי להשפיע על תקציב ואופן הפעלת הרכבת. מעבר לעובדה שהספירה הידנית אינה מדויקת ופוגעת ביכולת של הרכבת והמדינה להבין כמה כסף על המדינה לשלם על סבסוד הנסיעות, או לקבל את הנתון האמיתי של משתמשי הרכבת, היא גם מוגבלת מאוד ביכולת שלה להעביר את האינפורמציה הרלוונטית. המצלמה הניידת מותקנת בתוך שניות בקרונות הרכבת ומצלמת סרטונים המשודרים ישירות למערכת אנליטיקה, המפיקה דוחות על פי פרמטרים מרכזיים לאפיון הנוסעים ברכבת - גברים, נשים, מבוגרים, ילדים, חיילים, מתניידים בכיסאות גלגלים ועוד. אחד החששות המרכזיים בשימוש במערכות כאלו הוא נושא הפרטיות. ואכן, יכולות נוספות של המערכת הן אפשרויות מעקב פרטניות מאוד, שכן המערכת מסוגלת באמצעות זיהוי פנים, זיהוי אות הטלפון הנייד של הנוסע ובין אם בנפרד או בצירוף בין השניים, לייצר פרופיל מעקב נסיעות מדויק. בכל אופן, ע"פ הצהרת החברה יכולות אלו מנוטרלות, הן בשל חוסר דרישה והן בשל מגבלות הפרטיות. מהבחינה הזו, המערכת כפופה לחוקי הגנת הפרטיות ומעבר לכך, סרטוני הוידאו שמועברים עוברים טשטוש פנים ונמחקים מיד לאחר המעבר שלה במערכת האנליטית.

 גבר תבע את אשתו בטענה שפרצה למייל ולטלפון הנייד שלו במהלך תהליך גירושין בין בני זוג, הבעל גילה כי אשתו ואביה פרצו למחשב האישי-עסקי שלו וכן למכשיר הסלולרי שלו -אשר דרכם הם התחברו למייל שלו ואף העתיקו מסמכים, זאת ללא קבלת שום הסכמה מהבעל. הבעל תבע מהשניים פיצוי של 300 אלף ₪ וטען שאשתו עשתה שימוש במסמכים שגנבה מהמייל שלו להליכים המשפטיים ביניהם והציגה אותם בבית המשפט. הנתבעים מנגד הגישו כתב הגנה בו הכחישו את הטענות כלפיהם. "לא הייתה כל פגיעה בפרטיות של התובע. שני המכשירים (הטלפון והמחשב של הבעל) היו נגישים לכל בני הבית. לא נעשתה שום פריצה למחשב או לטלפון", טענו האישה ואביה. "אם התובע רצה להסתיר משהו הוא יכול היה להחביא את הטלפון של או לעשות קוד לטלפון. המחשב שלו היה פתוח לכולם וגם תיבת המייל, כך שלא הייתה שום פריצה או פגיעה בפרטיות". הם אף טענו כי הבעל לא הביא שום ראיה לכך שפרצו למחשב ולטלפון שלו. ביהמ"ש קבע בפסק הדין, כי אין עוררין שהאישה העתיקה חומרים מתיבת המייל של התובע ומהטלפון הסלולרי שלו, וכי האישה בעצמה הודתה שפגעה בפרטיות של בעלה בנימוק שהיא צריכה להגן על ענייניה האישיים. ביהמ"ש הדגיש כי האישה לא ביקשה את רשותו של התובע להיכנס למייל ולטלפון שלו ולכן הפרה את הפרטיות שלו, ופסק כי האישה תפצה את בעלה בסכום של 60 אלף ₪. אביה של האישה יפצה את הבעל בסכום של 2,500 ש"ח. 

דו"ח חדש של מערך הסייבר הלאומי קובע כי קיים ריבוי של מאגרי תמונות פנים במשרדי ממשלה דו"ח חדש של הממונה על היישומים הביומטריים במערך הסייבר הלאומי, שהוגש לוועדת השרים ליישומים ביומטריים ופורסם השבוע, קובע כי יש לבחון את מחיקתם של מאגרי תמונות פנים, הנמצאים במשרדי ממשלה רבים, ולהסתמך על המאגר הביומטרי המרכזי. מטרת ההמלצה היא להפחית את הסיכון שבריבוי מאגרים. על פי הדו"ח, מיליוני תמונות פנים של אזרחי ישראל שמורות באופן שאינו עולה בקנה אחד עם המדיניות הלאומית והנחיות הממונה. נתוני הדו"ח מראים כי עשרה משרדי ממשלה וגופים ציבוריים מחזיקים יחד למעלה מ-13 מיליון תמונות פנים, כך שתמונת פנים נשמרת מספר פעמים במספר מאגרים שונים. 

"מסלול עוקף" שמאפשר למשטרה לחפש מידע על חשודים בשרתי ענן בחו"ל בחודש מרץ בשנת 2019, נעצרו עשרות חשודים בהפעלת רשת סחר בסמים באמצעות אפליקציית מסרים מיידיים. הפרשה מוכרת בכינוייה "תיק טלגראס" ועלתה שוב לכותרות עם שחרורו למעצר בית של מייסד הרשת, עמוס דב סילבר. כנגד כ-30 מהם הוגשו כתבי אישום שרובם ככולם עדיין מתנהלים בבית המשפט המחוזי מרכז. בדיונים התברר כי באישור משפטי בוצע חיפוש מרחוק במחשבים בחו"ל - שרתי הענן שעליהם נשמרו הנתונים של חלק מהחשודים - וזאת מבלי לקבל אישור מהמדינות שהשרתים בתחומן ומבלי ליידע אותן. עוד התברר כי בקשות של המשטרה לביצוע חיפושים כאלה אושרו על ידי היועמ"ש לשעבר ו/או על ידי גורם בכיר אחר בפרקליטות המדינה. בהמשך לכך אישרו בתי המשפט חיפושים כאלה למרות שכלל לא ברור אם יש להם סמכות לאשר זאת. לפי הוראות החוק הישראלי כדי לבצע חיפוש במחשב או מכשיר סלולרי, על המשטרה לתפוס את המכשיר באופן פיזי ואז לקבל צו חיפוש בתוכנו. את הפעולה הזו לא ניתן לבצע באופן סמוי והיא חייבת להיעשות בידיעת בעל המכשיר. אלא שבשנים האחרונות יצרה ההתפתחות הטכנולוגית קושי מבחינת המשטרה: הרבה מהמידע אינו שמור בזיכרון של המכשיר הפיזי שנתפס אלא ב"ענן" - חוות שרתים של חברות שונות שפועלות בחו"ל. על פניו, גישה למידע ששמור על מחשב בחו"ל יכולה להתפרש כביצוע חיפוש משטרתי במדינה אחרת, אך חיפוש שכזה דורש פרוצדורה ביורוקרטית מורכבת וארוכה: יש להגיש בקשת סיוע משפטי לאותה מדינה, לקבל את אישורה, ובדרך כלל החיפוש יבוצע רק בנוכחות שוטרים מקומיים. ישראל, כמו מדינות אחרות, הייתה מודעת כבר לפני כמעט עשור לבעייתיות שעלולה טכנולוגיות הענן ליצור בהקשר הזה. כבר ב-2014, במסגרת רפורמה בסמכויות החיפוש של המשטרה שגיבש משרד המשפטים, נכללה גם אפשרות לצו חיפוש שיכלול גם שרתים אלא שהחקיקה בנושא מעולם לא הושלמה ובתי המשפט לא קיבלו את הסמכות להורות על חיפוש כזה. במשרד המשפטים הבינו את רגישות הסוגייה ואת הפגיעה הפוטנציאלית בריבונותן של מדינות זרות. למרות זאת במשרד לא הורו להימנע מחיפושים כאלה אלא יצרו "מסלול עוקף" לחקיקה שנתקעה: היועץ המשפטי לממשלה יאשר מראש כל צו חיפוש כזה שמתכוונת המשטרה להגיש. לדברי שני גורמים שלקחו חלק בדיונים, המטרה הייתה לוודא כי חיפושים כאלה ייעשו במשורה, ורק בתיקים שיצדיקו את הסיכון הבינלאומי. בתי המשפט אישרו בקשות כאלה, אלא שכאמור כלל לא ברור האם הדבר היה בסמכותם. מסמך שהגישה המדינה לאחרונה לבית המשפט המחוזי מרכז אף חושף כי הוא גם לא הועלה על הכתב.

הגנת הפרטיות ברחבי העולם  

צו נשיאותי להסדרת העברת נתונים בין אירופה לארה"ב כחלק מהסכם שיתוף הנתונים הטרנס-אטלנטי עם האיחוד האירופי, ביום 07/10/2022 חתם נשיא ארה"ב ג'ו ביידן על צו נשיאותי שיגביל את יכולתן של סוכנויות הביטחון הלאומי האמריקאיות לגשת למידע אישי. הצו ניתן לאחר משא ומתן ממושך בין ארצות הברית לאיחוד האירופי ולאחר שבית המשפט העליון פסק ב-2020 כי וושינגטון לא הגנה מספיק על הנתונים של אירופה כאשר הם הועברו מעבר לאוקיינוס האטלנטי. הצו מורה לכונן גוף חדש בתוך משרד המשפטים האמריקאי שיפקח על האופן שבו מתאפשר לרשויות ביטחון אמריקאיות לגשת למידע אודות אזרחי אירופה וארה"ב ולהשתמש בו. היא גם תעניק סמכויות חדשות למנהל המודיעין הלאומי של ארה"ב, גוף המפקח על עבודת הסוכנויות, כדי לחקור חשד להפרת זכות הפרטיות. 

כוונת רשות הגנת הפרטיות הבריטית לקנוס את טיקטוק במיליוני ליש"ט ביום 26/09/2022 פרסמה הרשות להגנת הפרטיות בבריטניה (ICO) על כוונתה לקנוס את חברת טיק-טוק ב- 27 מיליון ליש"ט. הרשות טוענת כי ייתכן שהחברה הפרה את חוקי הגנת המידע בבריטניה, ולא הצליחה להגן על פרטיותם של ילדים בעת השימוש בפלטפורמת טיק-טוק.  חקירת ה-ICO העלתה כי טיק-טוק עיבדה נתונים של ילדים מתחת לגיל 13 ללא הסכמת הורים, לא הצליחה לספק מידע הולם למשתמשים בצורה תמציתית, שקופה וקלה להבנה, וכן עיבדה נתונים בקטגוריה מיוחדת, ללא עילה חוקית לעשות זאת. נציב המידע, ג'ון אדוארדס אמר: "כולנו רוצים שילדים יוכלו ללמוד ולחוות את העולם הדיגיטלי, אבל עם הגנות נאותות על פרטיות נתונים. לחברות המספקות שירותים דיגיטליים יש חובה חוקית ליישם את ההגנות הללו, אך השקפתנו הזמנית היא שטיק-טוק לא עמדה בדרישה זו. 

מושל קליפורניה חתם על הצעת חוק חדשה להגנת פרטיות ילדים בתאריך 15 בספטמבר 2022 פרסמה ממשלת קליפורניה כי הנשיא ניוסום חתם על הצעת חוק חדשה להגנת פרטיות ילדים. החוק מחייב פלטפורמות מקוונות לשקול את טובתם של ילדים ומחייב לקבוע הגדרות ברירת מחדל המקדמות פרטיות ובטיחות ומגנות על בריאותם הנפשית והפיזית של ילדים ורווחתם. החוק החדש אוסר על חברות המספקות שירותים מקוונים, מוצרים או שירותים שילדים עשויים לגשת אליהם, להשתמש במידע אישי של ילד; איסוף, מכירה או שמירה על מיקום גיאוגרפי של ילד; יצירת פרופיל של ילד כברירת מחדל; ולהוביל או לעודד ילדים לספק מידע אישי. הצעת החוק דורשת גם שמידע על פרטיות, תנאי שירות, מדיניות וכללי קהילה יהיו נגישים ומאושרים בקלות – ודורשת כלים מותאמים שיעזרו לילדים לממש את זכויות הפרטיות שלהם. החקיקה הדו-מפלגתית יוצרת איזון שמגן על ילדים, ומבטיחה שלחברות הטכנולוגיה יהיו כללי דרך ברורים שיאפשרו להן להמשיך ליצור ולחדש. 

הסתיימה חקירת אינסטגרם על ידי הוועדה להגנת הנתונים באירלנד בהמשך לפרסום בטור החודשי של חברת פריימסק מחודש יוני 2022, בו התפרסמה ידיעה אודות חקירה רחבת היקף של הוועדה להגנת הנתונים באירלנד נגד אינסטגרם (מטא), בתאריך 15/09/2022, פרסמה הוועדה כי החקירה הגיעה לסיומה ומטא צפויה לקנס של 405 מיליון אירו בנוסף להוראות מחייבות לתיקון ההפרות. ההפרות נוגעות לעיבוד נתונים אישיים מסוימים של ילדים על ידי מטא במסגרת הפעילות שלהם ברשת החברתית של אינסטגרם, במיוחד בנוגע להגדרה כברירת מחדל של חשבונות הילדים כ'חשבונות עסקיים'. 

דוח נציבות הסחר הפדרלי בארה"ב (FTC) קובע כי גובר השימוש ב"תבניות אפלות" ביום 15/09/2022 פרסמה נציבות הסחר הפדרלי בארה"ב דו"ח המראה כיצד חברות משתמשות יותר ויותר בשיטות עיצוב מתוחכמות המכונות "תבניות אפלות" שיכולות להערים או לתמרן צרכנים לקנות מוצרים או שירותים או לוותר על פרטיותם. טקטיקות אלו המפורטות בדו"ח כוללות הסוואת מודעות שנראות כמו תוכן עצמאי, הקשו על צרכנים לבטל מנויים או חיובים, והטעו צרכנים לשתף את הנתונים שלהם. הדו"ח הדגיש את מאמצי ה-FTC להילחם בשימוש בתבניות אפלות בשוק וחזר על מחויבותה של הנציבות לנקוט פעולה נגד טקטיקות שנועדו להערים וללכוד צרכנים. 

תוכנות ריגול ומעקב: דו"ח האו"ם מזהיר מפני האיומים על הפרטיות וזכויות האדם הולכים וגדלים ביום ה-04/08/2022, פרסם משרד הנציב העליון לזכויות אדם באו"ם דו"ח הקובע כי השימוש הגובר בטכנולוגיות מקוונות מתקדמות שמשמשות גם למעקב, בקרה ודיכוי של אזרחים, מגדיל את הסכנה לפרטיות – הדו"ח קורא לרסן באמצעות רגולציה את השימוש בטכנולוגיות אלו. כמו כן, הדו"ח בוחן שלושה תחומים מרכזיים: שימוש לרעה בכלי פריצה פולשניים ("תוכנות ריגול") על ידי רשויות המדינה; התפקיד המרכזי של שיטות הצפנה חזקות בהגנה על זכויות האדם באינטרנט; וההשפעות של ניטור דיגיטלי נרחב של מרחבים ציבוריים, הן לא מקוונים והן מקוונים. 

אינדונזיה מחוקקת את חוק הגנת הנתונים הראשון שלה בתאריך 20/09/2022 אישר הפרלמנט של אינדונזיה  את חוק ההגנה על נתונים אישיים. החוק מחייב גופים (בין אם ציבוריים או פרטיים) המטפלים בנתונים האישיים של תושבי אינדונזיה להבטיח את ההגנה על הנתונים במערכות שלהם. במסגרת החוק, הוסדרו סנקציות כנגד גורמים המבצעים טיפול שגוי בנתונים אישיים, כולל עונשי מאסר של עד שש שנים בגין זיוף נתונים אישיים לצורך רווח אישי. החוק מעניק לנשיא אינדונזיה את הסמכות להקים גוף פיקוח כדי להטיל קנסות על הפרות של החוק. על פי החוק, תושבי אינדונזיה יוכלו לתבוע פיצויים על הפרות של הנתונים האישיים שלהם ויסופקו להם זכויות פרטיות מסוימות, כולל זכויות גישה, מחיקה והגבלה. זהו החוק הראשון להגנה על נתונים שנחקק באינדונזיה וייכנס לתוקף בתאריך שייקבע על ידי שר מזכירות המדינה. לארגונים הכפופים לחוק יהיו שנתיים לעמוד בדרישות החוק.

 טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.