הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 11-2022

הרשות להגנת הפרטיות פרסמה מסמך המלצות על הגנה על פרטיות מטופלים בהעברת מידע באמצעות אמצעים דיגיטליים – להערות הציבור כחלק מהתפתחות שירותי הרפואה באמצעים דיגיטליים, וכן עקב ריבוי התופעה בה גורמי רפואה מעבירים מידע אודות מטופלים באמצעות מכשירים דיגיטליים ותוכנות שאינן ייעודיות להעברת מידע רפואי (למשל וואטסאפ)-הרשות פרסמה מסמך המלצות להערות הציבור (עד ליום 6.12.22) בדבר שמירת פרטיות המטופלים כמענה לאמור. המסמך סוקר בראשיתו את הסיכונים לפרטיות (שמירה בזיכרון המכשיר האישי של גורמי הרפואה, איסוף מידע ושמירתו במאגרי מידע של חברות מסחריות, העברת מידע רפואי אודות מטופל ללא הסכמתו ועוד), הוראות הדין הרלוונטיות (חוק הגנת הפרטיות ותקנותיו, חוק זכויות החולה, הנחיות משרד הבריאות ועוד) וכן הבהרות והמלצות להעברת מידע באמצעות אמצעים דיגיטליים-וביניהן: (1) העברת מידע רגיש ממאגרי מידע של ארגון ע"י עובד הארגון אל מחוצה לו, ללא אישור מטעמו, עשויה בנסיבות מסוימות להיחשב כאירוע אבטחה חמור. לפיכך, נדרש לוודא כי העברת המידע הרפואי על מטופלים תיעשה בהתאם להוראות סעיף 20 לחוק זכויות החולה. (2) הימנעות/צמצום השימוש בתוכנות שאינן ייעודיות להעברת מידע רפואי וכן משמירת מידע רפואי במכשירים פרטיים. במידה שנחוץ להעביר מידע רפואי אודות מטופל באמצעים אלו, יש לעשות כל מאמץ שלא יועבר מידע אישי מזהה (כדוגמת-מס' ת"ז, תמונה מזהה של המטופל וכיו"ב), ועוד.   

הרשות להגנת הפרטיות פרסמה מדריך עדכני לעריכת תסקיר השפעה על פרטיות תסקיר השפעה על הפרטיות הוא תהליך שנועד לנתח באופן מקיף ושיטתי את השפעת השימוש בטכנולוגיות הכוללות איסוף של מידע אישי ורגיש על פרטיות הציבור והלקוחות. התסקיר מזהה את מכלול הסיכונים לפרטיות, בוחן חלופות ומציע את הדרך לצמצם את הסיכונים למינימום. התסקיר נועד לשמש ארגונים במהלך הקמה וניהול של פרויקטים חדשים אשר יש להם השפעה על הפרטיות, ובפרט מערכות טכנולוגיות חדשות ופרויקטים הכרוכים באיסוף ובעיבוד של מידע אישי. לכן, יש לבצע את התסקיר בשלבים המוקדמים של הנעת הפרויקט, במקביל לתהליכי הפיתוח והתכנון של מערכות/טכנולוגיות חדשות. הרשות מציינת כי אמנם כיום אין בדין הישראלי חובה כללית ומפורשת לערוך תסקיר השפעה על הפרטיות. עם זאת, ביצוע תסקיר בעת הקמה וניהול של פרויקטים חדשים בעלי השפעה על הפרטיות, צפוי להיטיב הן עם הארגון והן עם ציבור הלקוחות, יאפשר לארגונים לזהות סיכונים בשלב מוקדם, ויסייע להם להתמודד עימם בצורה פשוטה ויעילה יותר, ובדרך כלל, גם בעלות כספית נמוכה יותר. כמו כן, התסקיר מבטיח כי הפגיעה בפרטיות לא תעלה על הנדרש לשם הגשמת מטרות השימוש במידע, והוא גם נועד לסייע לארגון לבחון את העמידה בהוראות הדין בנושא. ארגון המבצע תסקיר צפוי גם להגביר את אמון הלקוחות בו, באמצעות העברת מסר כי נעשה שימוש בכלים אשר יבטיחו כי הסיכון לפגיעה במידע האישי יהיה מינימלי. 

מסמך המלצות בנושא היבטי פרטיות בוויתור על סודיות רפואית וחשיפת מידע רפואי בקבלה לעבודה - טיוטה להערות הציבור מעסיקים רבים דורשים מעובדיהם ואף ומועמדים לעבודה בקרבם, לוותר על סודיות רפואית כולל מענה על שאלונים רפואיים ואף פירוט והצהרה של מצב בריאותם. הרשות ביקשה לשים זרקור על גבולות החוק והאתיקה, תוך התייחסות לחמישה נושאים עיקריים: הסכמה לחשיפת מידע רפואי; איסוף מידע שאינו רלוונטי; מטרת השימוש במידע; תקופת שמירת המידע וצמצום מידע עודף; עיון במידע ותיקונו. המסמך עומד להערות הציבור עד ליום 20.12.2022. ד"ר עו"ד סאני כלב מהרשות להגנת הפרטיות הרצה בשבוע שעבר בכנס המעסיקים ה- 12 בנושא ההתפתחויות, המחויבויות וההזדמנויות שיש ביחסי מעסיק-עובד – לינק לצפייה בהרצאה. 

היסטוריית השימוש של פלוני ב״רב קו״ חשופה למפעילים שונים בהסכם משותף מפעיל תחבורה ציבורית מסוימת יכול לצפות בנתוני נוסע, גם אם האחרון השתמש בשירותי מפעיל אחר. התנאי לצפייה בנתונים- הסכם לשיתוף מידע בין המפעילים. זאת ועוד, מאגר ״המסלקה״ שבבעלות משרד התחבורה, אשר קולט מכלל מפעילי התחבורה את כל נתוני הפעולות הנעשות על גבי כרטיסי הרב קו, לצורך מתן שירות לנוסעים בתחבורה הציבורית ולניהול ההתחשבנות של המשרד מול המפעילים, אינו רשום כמאגר מידע אצל רשם מאגרי המידע. לטענת משרד התחבורה, הנושא יוסדר באופן מדורג החל מחודש מאי 2023, עם קליטתו של מערך חדש לניהול ותחזוקת מרכזי שירות לנוסעים. חברת פריימסק מדגישה את החשיבות בביצוע רישום מאגרי מידע כדין, וכן הקפדה על עקרון המידור בעת מתן הרשאות למאגר המידע. 

חוקר אבטחת מידע חשף חולשה בחשבוניות הנשלחות ע"י חברת הסליקה "קארדקום" ללקוחותיה באמצעות מניפולציה קלה, החוקר, ליאור בן דוד, הצליח להשיג גישה לעשרות אלפי קבלות שהופקו במערכת הסליקה של "קארדקום", זאת אף למרות היותה בעלת תקן PCI DSS. המניפולציה בוצעה כך שלאחר ביצוע עסקה מתקבל לינק לחשבונית אונליין, אשר הינו קישור גנרי-שבסופו מזהה נפרד ואישי של כל מסמך. החברה עשתה שימוש בקומבינציות שונות של ארבע אותיות באנגלית, קטנות וגדולות. כך שהחוקר יצר מילון עם כל האופציות האפשריות של הפרמטר (כ-7.3 מיליון אפשרויות) ואז שינה את הפרמטר בסוף ה-URL והוריד את החשבוניות. חלק מהחשבוניות מכילות מידע המסווג בחיסיון רפואי כדוגמת תשלום עבור טיפול פסיכולוגי, וכן פרטי ת"ז ו-4 ספרות אחרונות של כרטיס האשראי. מלבד הפגיעה בפרטיות הצרכן, מידע זה עלול לשמש למגוון הונאות וביניהן פישינג. לפי חברת "קארדקום" לא זוהתה זליגה של נתונים ומידע מהמערכת שלהם. חברת פריימסק רואה לנכון להמליץ ללקוחותיה לבצע בדיקות ספקים טרם התקשרות עימם לבחינת סיכוני אבטחת המידע הכלולים בהתקשרות עמם וכן להגדיר הסכם התקשרות הכולל דרישות אבטחת המידע מול הספק, לרבות חובת ביצוע בדיקות חדירות אחת לשנה עבור המערכות הרלוונטיות. כמו כן, אנו ממליצים ללקוחותינו לנסח נוהל פיתוח מאובטח, אשר יחייב גם את ספקי מיקור החוץ שלהם. 

עובד הביטוח הלאומי מסר מידע אישי לגורמים שאינם מורשים העובד נעצר בחשד שהעביר מידע חסוי ואישי, ממאגרי המידע של הביטוח הלאומי, לגורמים שאינם מורשים במרמה. ע"פ החשדות, העובד היה מגיע בשעות הבוקר המוקדמות ובודק נתונים ופרטים שאינם במסגרת תפקידו השוטף. לפיכך, חברת פריימסק מדגישה את הצורך במתן הרשאות ע"פ עקרון "הצורך לדעת", כאמור בתקנה 8 לתקנות אבטחת מידע, וחידוד נהלי האבטחה במסגרת הדרכות אחת לשנה. 

פרצת אבטחת מידע במפלגת ש"ס גרמה לחשיפת מידע אישי אודות מיליוני אזרחי ישראל האקר חשף כי הצליח למצוא חולשה במערכת ניהול הבחירות של מפלגת ש"ס, הכוללת מידע רחב היקף על כלל בעלי זכות ההצבעה בבחירות, המכיל בין היתר את המידע מ"פנקס הבוחרים" (פרטים מצומצמים, כדוגמת-שם מלא ותעודת זהות) וכן מידע שהמפלגה הוסיפה מידע אודות קשרי נישואים ופרטי הילדים של בעלי זכות ההצבעה. החולשה שנמצאה דורשת ידע טכני מינימלי, זאת באמצעות ביצוע מניפולציה פשוטה בשורת ה-URL. יש להדגיש כי המערכת הוקמה ע"י חברה חיצונית ומפלגת ש"ס מתחזקת אותה. לפי תגובת המפלגה, האחרונה עושה שימוש מזה שנים רבות במערכת ייעודית ופועלת לפי כל דין. חברת פריימסק מבקשת להזכיר את הצורך בקיום מבדקי חדירה וסקרי סיכונים אחת ל-18 חודשים, ע"פ תקנה 5, עבור מאגרי מידע ברמת אבטחה גבוהה (בדומה לרמת האבטחה החלה על מאגרי המידע של המפלגות). 

חברת Wind חויבה למסור פרטים מזהים אודות רוכבת קורקינט שהסבה נזק לבעל רכב בעל רכב שטען כי רוכבת קורקינט, ששכרה את הכלי ממפעילת שירות התחבורה השיתופית Wind, פגעה ברכבו והסבה לו נזק, הגיש תביעה כנגד החברה לצורך חשיפת פרטי הרוכבת, זאת לאחר כי זיהה את זהות המפעיל של הקורקינט שפגע ברכבו, הודות למצלמות אבטחה שהותקנו ברכב הנפגע. בימ"ש השלום דחה את התביעה, אך בית המשפט המחוזי פסק אחרת וחייב את חברת Wind למסור את הפרטים המזהים של הפוגעת לתובע. ביהמ"ש הסתמך בין השאר על הטענות הבאות: (1) במקרה הזה הרוכבת לא הביעה עניין לאנונימיות מצידה טרם ההתקשרות עם החברה, וכלל הפרטים המזהים שלה חשופים לחברה. יתרה על כן, בתנאי השימוש של החברה כתוב כי המשתמש עלול להיות חשוף לכך שהמידע אודותיו יימסר בעת תאונה. (2) לטענת ביהמ"ש, המידע אודות הרוכב לא נכלל תחת הגדרת "מידע" או "מאגר מידע", לפי סעיף 7 לחוק הגנת הפרטיות. מכל האמור לעיל', בית המשפט אישר לממש את סעיף 16 לחוק הגנת הפרטיות לתת צו לחשיפת פרטים המצויים אצל החברה אודות הרוכב שפגע ברכב של התובע. לדעת חברת פריימסק המידע המזהה הנצבר אודות צרכני שירותי חברת Wind הינו רגיש, ולבטח נכלל תחת הגדרת "מידע" לפי החוק. כמו כן, לחברה קיים מאגר מידע רשום ברשם המאגרים. לפיכך, תמוהה בעיננו טיעונים אלו של כבוד ביהמ"ש. אנו ממליצים ללקוחותינו לקרוא בעיון את תנאי השימוש ומדיניות הפרטיות בעת נטילת שירות מספק שאוסף מידע אישי כחלק ממתן השירות. 

זוג תבעו את דוברות בתי הדין הרבנים בטענה כי פגעו בפרטיותם לאחר כי פורסם בכלי תקשורת שונים פתיחת חקירה כנגד רב אשר ערך חתונה שלא כדין, תוך הזכרת שמות בני הזוג שהתחתנו והיות האישה "מעוכבת חיתון"-הזוג הגיש תביעה כנגד דוברות בתי הדין הרבניים בדבר פגיעה בפרטיותם ובשמם הטוב. בית המשפט דחה את התביעה, בטענה כי לא הוכח כי נפל פגם בהתנהלותו של בית הדין הרבני וכי לא הוא העביר את המידע לתקשורת. יתירה מכך, בני הזוג לא ביקשו לקיים את הדיון אודותיהם בדלתיים סגורות. בנוסף, לטענת בית המשפט חלה על בית הדין הרבני הגנה מכוח סעיף 18(1) לחוק הגנת הפרטיות. 

דו"ח ממצאי פיקוח הרוחב בקרב מגזר סוכנויות הביטוח מפיקוח רוחב שערכה הרשות להגנת הפרטיות בקרב 28 סוכנויות ביטוח בישראל, עלה כי כ-2/3 מהסוכנויות (75%) עמדו ברמה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, 92% מהסוכנויות עמדו ברמה גבוהה בקריטריון של ניהול מאגרי מידע, 31% עמדו ברמה גבוהה בקריטריון עיבוד מידע אישי במיקור חוץ וכ- 71% מהסוכנויות עמדו ברמה גבוהה בקריטריון של בקרה ארגונית. לאור הממצאים שעלו מהליך פיקוח הרוחב, קיבלו 26 גופים מתוך 28 הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם. מגזר סוכנויות הביטוח בישראל נקבע כאחד מיעדי פיקוח הרוחב המשמעותיים של הרשות להגנת הפרטיות בשל מאפייניו הייחודיים, זאת בית היתר עקב החזקת מידע רגיש בהיקפים נרחבים ושמירתו לתקופה ממושכת וכן פרשת שירביט אשר המחישה את חשיבות העמידה בחוק הגנת הפרטיות ובתקנות מכוחו, במיוחד בקרב סוכנויות ביטוח המספקות שירותי ביטוח לחברות וגורמים ביטחוניים. במסגרת פיקוח הרוחב, בחנה הרשות את עמידת סוכנויות הביטוח בקריטריונים הבאים: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ועיבוד מידע אישי במיקור חוץ. הרשות מציינת בדו"ח כי בעסקת ביטוח טיפוסית כגון ביטוח חיים, בריאות, נכסים וכיוצ"ב, חברת הביטוח היא בעלת מאגר המידע וסוכנות הביטוח משמשת כמחזיקה, ומשכך אסור לה להשתמש במידע על הלקוחות למטרותיה, ככל שהן חורגות מהמטרות שביחס אליהן ניתנה הסכמת הלקוח לחברות הביטוח. המשמעות היא שההסכמה הניתנת על ידי המבוטח לחברת הביטוח למטרות המוצהרות, אינה מהווה הסכמה לשימושים נוספים על יד סוכנות הביטוח, גם אם המטרה דומה, כשאין בכך כדי לשלול את האפשרות של סוכנות הביטוח להקים מאגרי מידע בבעלותה. לכן, במקרה בו מבקשת סוכנות הביטוח לעשות במידע שימושים נוספים על אלה שלשמם אספה את המידע עבור חברת הביטוח, באופן שיהפוך את הסוכנות לבעלת מאגר מידע נפרד, עליה לקבל את הסכמתו הנפרדת של הלקוח להצטרף למאגר הלקוחות של סוכנות הביטוח. וכן הרשות הדגישה את חשיבות ההקפדה על הנחיות סעיף 17ג' לחוק בנושא דיוור ישיר.   

הגנת הפרטיות ברחבי העולם   

צרפת – הטלת קנס של 20 מיליון יורו נגד CLEARVIEW בתאריך 20 באוקטובר 2022 פרסמה הרשות הצרפתית להגנת הפרטיות (CNIL) כי החליטה על הטלת קנס של 20 מיליון  יורו נגד חברת Clearview. באמצעות טכנולוגיה ייחודית לזיהוי פנים, חברת Clearview אספה מעל 20 מיליארד תמונות ברחבי העולם. החברה משווקת גישה למאגר התמונות שלה בצורה של מנוע חיפוש שבו ניתן לחפש אדם באמצעות תצלום. החברה מציעה שירות זה לרשויות אכיפת החוק על מנת לזהות מבצעים או קורבנות פשע. נכון למאי 2020, רשות הגנת הפרטיות בצרפת (CNIL) קיבלה תלונות מאנשים פרטיים על תוכנת זיהוי הפנים של Clearview  ופתחה בחקירה.  החקירות שבוצעו על ידי CNIL חשפו מספר הפרות של ה – GDPR. ב-26 בנובמבר 2021, יו"ר ה-CNIL החליט להודיע רשמית לחברה להפסיק את האיסוף והשימוש בנתונים של אנשים בשטח צרפת בהיעדר בסיס משפטי, ולהקל על מימוש זכויות הפרט ולהיענות לבקשות למחיקה. כאשר לא נענתה החברה לפנייתה של הרשות קבעה הרשות כי החברה תיקנס. 

אירופה – הנציבות האירופית פרסמה את כניסתו לתוקף של "חוק השווקים הדיגיטליים" בתאריך 31 לאוקטובר פרסמה הנציבות האירופית את כניסתו לתוקף של חוק השווקים הדיגיטאליים. החוק מציב הגבלות והוראות חדשות לענקיות הטכנולוגיה, במטרה לאפשר לגופים נוספים וחברות קטנות להתפתח בתחום השיווק הדיגיטלי. עם כניסתו לתוקף, החוק יעבור לשלב היישום העיקרי ב -2 במאי 2023. לאחר מכן, בתוך חודשיים ולכל המאוחר עד 3 ביולי 2023, חברות הטכנולוגיה יצטרכו להודיע לנציבות על שירותי פלטפורמת הליבה שלהם אם הם עומדים בתנאי הסף שנקבעו על ידי החוק. 

נציבות הגנת המידע הבריטית בנזיפה למשרד החינוך הבריטי ב-2 בנובמבר 2022, נציבות הגנת המידע בבריטניה ((ICO פרסמה נזיפה רשמית שהגישה למשרד החינוך הבריטי ("DFE"), בעקבות חקירה על שיתוף נתונים אישיים של תלמידים ממסד נתונים המספק תיעוד של כישורי התלמידים, אשר למשרד החינוך הבריטי יש אחריות עליו. החקירה מצאה כי מסד הנתונים שימש חברת סינון של צד שלישי, שמטרתה הייתה לבדוק אם אנשים שפותחים חשבונות הימורים מקוונים הם בני 18. נמצא כי לחברה הייתה גישה מספטמבר 2018 עד ינואר 2020, שבמהלכם ביצעה יותר מ-20,000 חיפושים על ילדים שהמידע האישי שלהם היה במסד הנתונים של LRS. בעקבות החקירה, ה-ICO פרסם את הנזיפה וקבע צעדים ברורים שעל משרד החינוך לפעול לפיהם כדי לשפר את נוהלי הגנת המידע שלו. 

קולרדו – טיוטה ראשונית לחוק הגנת הפרטיות ב-1 באוקטובר 2022, משרד התובע הכללי של קולורדו הגיש טיוטה ראשונית של תקנות חוק הפרטיות של קולורדו ("CPA"), אשר יישמו ויאכפו את חוק הפרטיות של קולורדו ("CPA"). תקנות רואי החשבון, המשתרעים כיום על פני כ-38 עמודים, עוסקים בסוגיות רבות שעמדו לאחרונה ברגולציה של פרטיות נתונים מדינתית, כולל יצירת פרופילים של נתונים, הגנה על נתונים, עיבוד נתונים אוטומטי, נתונים ביומטריים, מנגנוני ביטול הסכמה אוניברסליים וזכויות נתונים של אנשים. תמצית התקנות כוללת מימוש זכויות נושאי מידע וביניהן: הזכות לבטל את הסכמתם, זכות גישה, זכות תיקון, זכות מחיקה, וזכות לניידות נתונים. תקופת ההערות על הצעת החוק החלה ב-10 באוקטובר 2022 ותסתיים ב-1 בפברואר 2023. 

ארה"ב: קנס של 228 מיליון דולר על איסוף טביעות אצבע חבר המושבעים בבית המשפט הפדרלי בשיקגו פסק בתאריך 12 באוקטובר כי חברת BNSF Railway תשלם 228 מיליון דולר – קנס בגין הפרת חוק המידע הביומטרי באילינוי. החברה דרשה מנהגיה לסרוק את טביעות האצבע שלהם בעת איסוף והורדת מטענים במתקני החברה באילינוי, ללא קבלת הסכמתם מדעת ומראש כאשר החוק מחייב חברות לקבל הסכמה בכתב לפני איסוף נתונים ביומטריים כלשהם. הפרה של כלל זה מקימה עילה לתביעה בבית המשפט הפדרלי. הפסיקה קבעה פיצוי של 5000 דולר לכל נהג כקבוע בחוק. 

הרשות להגנת הפרטיות של קליפורניה פרסמה תקנות חדשות (CPRA) בתאריך 3 בנובמבר פרסמה הרשות להגנת הפרטיות(CPPA) בקליפורניה עדכון לטיוטת התקנות הקיימות ((CPRA, זאת לאחר שפרסמה הרשות בחודש יולי את טיוטת התקנות להערות הציבור. לתקנות נוספו סעיפים הנוגעים למערכת האכיפה, כאשר הרשות תכלול בממצאי החקירות גם את השתדלותם של גופים לעמוד בתקנות ולצמצם פערים ביחס לחוק ולתקנות החדשים. כמו כן, בתחום הסכמת הצרכן, נוסף סעיף המצמצם את הפעולות האפשריות שניתן לעשות במידע רק למטרה שלשמה נועד ובמינימום האפשרי. העדכון החדש פתוח להערות הציבור עד לתאריך 21 בנובמבר.     

טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.