1. בית
  2. מאמרים
  3. הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 12-2025

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 12-2025

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 12-2025

הגנת הפרטיות בישראל 

הכרזת הרשות להגנת הפרטיות: פתיחה בהליכי פיקוח רוחב במגזרים חדשים וזאת בפעם הראשונה מאז כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות 

זה מכבר, הרשות להגנת הפרטיות עושה שימוש בהליכי פיקוחי רוחב כדי לגבש תמונת מצב מגזרית רחבה, לקדם טיפול בסיכונים מערכתיים ולחזק את ההגנה על פרטיות הציבור. פיקוח מסוג זה מאפשר לבחון בראייה כוללת מגזרים שלמים במשק, לזהות כשלים חוזרים, ולהנגיש לגופים הנחיות מקצועיות המותאמות לאתגרים המגזריים הספציפיים. ביום 7.12.2025, פרסמה הרשות את תוכנית הפיקוח הרוחבי הנוכחית, מול המגזרים הבאים:

  • רשויות מקומיות
  • חברות סחר אונליין
  • אפליקציות בשימוש נפוץ
  • מכוני סקר גנטי
  • צהרונים

במסגרת השאלונים, הגופים המפוקחים יידרשו לספק מענה וראיות לעמידה בהוראות החוק ובמכלול התקנות תחתיו. על אף שאין מדובר בהליך חדש, נציין כי בעקבות תיקון 13 לחוק, סמכויות האכיפה של הרשות הורחבו באופן משמעותי, והיא רשאית להפעיל מגוון כלים מנהליים הקבועים בדין בהתאם לממצאי הפיקוח. גופים הנכללים בפיקוח מחויבים בהתאם לדין להעמיד לרשות את כל המידע הנדרש לצורך ביצוע ההליך ולפעול לפי חובותיהם מכוח החוק והתקנות כאמור.

פריימסק ממליצה לכלל הארגונים, לבחון את מידת התאמתם לשאלון פיקוח הרוחב של הרשות ולהסדיר תכנית עבודה לטיפול בפערים, ככל וקיימים בהתאם למתודולגיית ניהול הסיכונים בארגון.

צה"ל החל ליישם מעקב אחר חיילים באמצעות AI

לאחר שהתברר כי חמאס הצליח לשלב מידע שנאסף מהרשתות החברתיות של חיילי צה"ל במערך המודיעין שלו, מה שסייע לו בתכנון פעולות טרם התקיפה, החליט צה"ל לנקוט צעדים פרואקטיביים כדי למנוע הישנות מקרים דומים בעתיד.

הפתרון שנמצא הוא מעקב אחר חיילים באמצעות מערכת שנקראת "מורפיוס", מבוססת AI המנטרת פוסטים, תמונות וסרטונים בחשבונות ציבוריים של חיילים בסדיר.
המערכת תזהה מקרים של חשיפת מידע רגיש (מיקומי בסיסים, אמצעי לחימה ועוד) וכן תתריע בפני קציני ביטחון מידע על כך.

כאשר תזוהה דליפת מידע, החייל יקבל הודעה למחיקת הפרסום ובמקרים מסויימים אף יזומן לשיחת הסברה מקצועית.

נכון ל- 11/2025 המערכת עדיין לא פועלת באופן רשמי מאחר וטרם קיבלה את האישורים המשפטיים לכך אך צפויה להתחיל לעבוד בקרוב.
בפיילוט שבוצע כבר דווח על זיהוי של אלפי מקרי חשיפת דלף מידע ומערך ביטחון המידע כבר יצר קשר עם החיילים לצורך מחיקת הפרסומים.

דו"ח מבקר המדינה: משרד הביטחון לא עומד בדרישות אבטחת המידע במאגריו הרגישים

לפי דו"ח מבקר המדינה מ- 12/2025, עולה כי משרד הביטחון אינו עומדת בדרישות אבטחת המידע החלות עליו לפי חוק הגנת הפרטיות ותקנות אבטחת מידע.
 להלן הממצאים:

  • המידע כולל מאגרי מידע רגישים המכילים פרטים אישיים של כ- 2.84 מיליון אזרחים, לרבות נכי צה"ל, פצועי מלחמה ופדויי שבי.
  • המשרד לא ביצע מיפוי מלא של כלל מאגרי המידע שברשותו ולכן אין באפשרותו לדעת איזה מהם מכיל מידע רגיש ומה הסיכויים הכרוכים בכך.
  • לא בוצעו סקרי סיכונים תקופתיים ולא מבדקי חדירה למאגרים.

כמו כן, מצביע המבקר על מספר ליקויים תפעוליים; כמות גדולה של משתמשים בעלי גישה למאגרים, שאינם זקוקים לה בפועל ואגף התקשוב אינו מבצע בקרה נאותה על כך שפעולותיו אכן נותנות מענה מלא לכל דרישות הגנת הפרטיות.מסקנות הממצאים – קיימים פערים משמעותיים בניהול, אבטחה ובקרה של מידע אישי רגיש במשרד הביטחון, מצב העלול להגביר את הסיכונים לדליפת מידע או לפריצות סייבר.

בית משפט:  חברות התחבורה הציבורית רשאיות להשתמש בנתוני "רב קו" לצורך התגוננות משפטית מפני תביעות

בית המשפט המחוזי בירושלים קיבל את עתירתן של מספר חברות תחבורה ציבורית (כמו מטרופולין, אלקטרה אפיקים, דן בדרום, קווים וסופרבוס) וקבע כי הן רשאיות להשתמש בנתוני נסיעות הנקלטים במערכת "רב-קו" לצורך הגנה משפטית בתביעות נגדן.

השופט קבע כי מי שמגיש תביעה נגד החברות הללו, נותן הסכמה לשימוש בנתוני הנסיעה שלו לצורך תגובה המחלקה המשפטית, במקרים הבאים:

  • האם הנוסע אכן נסע באוטובוס באותו מועד.
  • באיזו תחנה ותאריך בוצע הנסיעה.

יתרונות עבור חברות התחבורה הציבורית הינן - הפרכת תביעות שווא, הצגת ראיות אובייקטיביות וחסכון עלויות משפטיות ופיצויים מיותרים, מה שלא קרה עד לפסיקה זאת.

הפסיקה משקפת איזון בין זכויות הפרטיות של האזרחים לבין זכות חברות התחבורה הציבורית להליך משפטי הוגן.

אושר בקריאה ראשונה: שב"כ יוכל לחדור למחשב המשמש להפעלת מצלמה נייחת

מליאת הכנסת אישרה בקריאה ראשונה להאריך בשנה את הוראת השעה המאפשרת לצה"ל ולשב"כ לחדור לחומר מחשב שמשמש להפעלת מצלמה נייחת.

במסגרת ההצעה, השינויים שהוצעו כוללים הרחבת סמכויות כך שבצה"ל יוכלו לפעול לשמירה על רציפות תפקודית מבצעית, ובשב"כ יוכלו לפעול לצורך סיכול אירועי טרור, מניעת פגיעה ביטחוני ושמירה על רציפות מבצעית. 

זהו חוק שנוי במחלוקת בשל הטענות הבאות:

  • פגיעה חמורה בפרטיות.
  • חשש מהרחבת סמכויות ללא בקרה מספקת.
  • זליגה משימוש ביטחוני לשימושים אחרים.

לעומת זאת, התומכים בחוק טוענים כי מדובר בשימוש חשוב לצורך איסוף מידע מודיעיני, זהו כלי הכרחי בעידן טכנולוגי מתקדם וכי מדובר בסמכות מוגבלת ומפוקחת.

זהו אישור זמני (הוראת שעה) שמוארך מידי שנה ולא חוק קבוע.

הגנת הפרטיות - בעולם

פרשת פגסוס ותוכנות ריגול

המדינה הסכימה לשלם פיצוי של 100 אלף ש״ח במסגרת פשרה אזרחית, לאחר שנקבע כי משטרת ישראל עשתה שימוש בלתי חוקי ברוגלת פגסוס של NSO לצורך חדירה לטלפון הנייד של אזרחית, ללא סמכות חוקית. הפשרה מבוססת על מסמך פנימי של המדינה שהודה כי מעבר להאזנה לתקשורת, בוצעה גם שליפת מידע נוסף מהמכשיר, כגון אנשי קשר ונתונים מאוחסנים.

בית המשפט קבע כי מדובר בהפרת פרטיות אחת בהתאם לחוק הגנת הפרטיות, וקבע תקרת פיצוי של 70 אלף ש״ח בגין ההפרה בתוספת הוצאות משפט. עם זאת, ההחלטה עשויה לפתוח פתח לגל תביעות נוסף - המדינה כבר העבירה כ־40 מסמכים דומים לאזרחים נוספים, המעידים על חדירה בלתי חוקית למכשיריהם.

לפי נתוני הפרקליטות, המשטרה ניסתה להפעיל את פגסוס ביותר מ־1,000 מקרים, ועדיין לא ברור בכמה מהם בוצעה חדירה בפועל ומה היקף המידע שנשלף. הערכות משפטיות מצביעות על חשיפה כספית פוטנציאלית של עשרות מיליוני שקלים, כאשר האחריות הכספית מוטלת על המדינה ולא על הגורמים שאישרו או פיקחו על השימוש בכלי.

ה-GDPR בדרך לעדכון: עיקרי הצעת ה-Digital Omnibus של האיחוד האירופי

בנובמבר 2025 פרסמה הנציבות האירופית את חבילת Digital Omnibus, הכוללת תיקונים מוצעים ל-GDPR כחלק ממהלך לפישוט ואחידות רגולטורית. אם תאושר, החבילה תביא לשינויים משמעותיים בדיני פרטיות, עיבוד מידע ו-AI.

ההצעה מחדדת את הגדרת “מידע אישי”, כך שמידע שלא ניתן לקשור לאדם באמצעים סבירים בידי גורם מסוים, לא ייחשב מידע אישי עבורו. בנוסף, נקבע כי מידע שעבר אנונימיזציה עשוי בנסיבות מסוימות לצאת מתחולת ה-GDPR.

בתחום ה-AI, מוצע לאפשר הסתמכות על אינטרס לגיטימי לעיבוד מידע אישי לצורכי פיתוח והפעלה של מערכות בינה מלאכותית, בכפוף למבחן איזון והגנות מתאימות. שימוש במידע רגיש יישאר מוגבל, עם חריגים מצומצמים בלבד.

ברמה התפעולית מוצעות הקלות לארגונים, בהן אפשרות לצמצם מענה לבקשות נושאי מידע שמנוצלות לרעה, הארכת זמן הדיווח על אירועי אבטחה ל־96 שעות, ואחידות אירופית מלאה בדרישות ביצוע DPIA.

ההצעה מצויה בשלבי חקיקה מוקדמים, והצפי לאימוץ הוא סביב 2027, אך כבר כעת היא מסמנת מעבר לגישת רגולציה אחידה וגמישה יותר, במיוחד לנוכח התרחבות השימוש ב-AI.

אריזונה תובעת את Temu בטענות לגניבת מידע והפרות פרטיות

התובע הכללי של אריזונה תובע את Temu בטענה לגניבת מידע והפרת דיני הגנת הצרכן. לפי התביעה, האפליקציה הסינית אוספת היקף נרחב של מידע רגיש ממשתמשים ללא הסכמתם, כולל נתוני מיקום, רשימת אפליקציות מותקנות ומידע נוסף מהמכשיר. המדינה טוענת כי קוד האפליקציה כולל רכיבים המזוהים כתוכנת ריגול או נוזקה, מאפשר זליגת מידע סמויה, ואף תוכנן לעקוף בדיקות אבטחה.

עוד נטען כי Temu כפופה לחוקי סין המחייבים חברות להעביר מידע לרשויות, מה שמעצים את הסיכון לפרטיות המשתמשים. בנוסף להפרות פרטיות, התביעה כוללת גם טענות להטעיית צרכנים ולהפרת זכויות קניין רוחני של מותגים אמריקאיים.

Temu מכחישה את ההאשמות. במקביל, מדינות נוספות בארה״ב כבר הגישו תביעות דומות, והנושא מצטרף למגמה רחבה של חשדנות רגולטורית כלפי אפליקציות סיניות. התובעת הכללית אף קראה לציבור למחוק את האפליקציה ולסרוק את המכשירים לאיתור נוזקות.

חוק פיתוח ענן ובינה מלאכותית

האיחוד האירופי מקדם יוזמה חדשה בשם Cloud and AI Development Act, או בקצרה - CADA. מטרת היוזמה היא לחזק את יכולות הענן והבינה המלאכותית באירופה, לצמצם תלות בשחקנים מחוץ לאיחוד (בעיקר אמריקאיים), ולשפר את התחרותיות והעצמאות הדיגיטלית של האיחוד.

כיום, יכולת הדאטה סנטרים באירופה אינה מספקת, וארה״ב מחזיקה בכפליים מהיכולת הגלובלית, כאשר שלוש חברות אמריקאיות שולטות בכ־65% משוק שירותי הענן באיחוד. מצב זה פוגע בחדשנות, בצמיחה הכלכלית וביכולת לפתח ולהפעיל מודלי AI מתקדמים.

ה-CADA נשען על שלושה צירים מרכזיים:

  1. השקעה בטכנולוגיות AI ותשתיות יעילות יותר מבחינת משאבים, כולל אופטימיזציה של חישוב, חומרה ייעודית ו-edge computing, כדי להפחית עומסים על דאטה סנטרים מרכזיים;

  2. טיפול בחסמים רגולטוריים, תהליכי רישוי איטיים, מחסור בקרקע, גישה לאנרגיה ועלויות גבוהות. היעד: לשלש את קיבולת הדאטה סנטרים באיחוד בתוך 5–7 שנים;

  3. פיתוח יכולות ענן “ריבוניות” לשימושים קריטיים (כגון ממשל, ביטחון ותשתיות חיוניות), תוך יצירת ודאות משפטית ודרישות אבטחה ברורות.

ה-CADA משתלב באסטרטגיה רחבה יותר של האיחוד להפוך ל“יבשת AI”, ומשלים רגולציות קיימות כמו ה-Data Act. ההצעה עדיין בשלב חקיקה, עם צפי לאימוץ סביב 2027, אך היא מסמנת שינוי כיוון ברור הכוללת פחות תלות חיצונית, יותר ריבונות דיגיטלית ויכולת תחרותית אירופית.

ניו יורק חוקרת בטיחות ב-AI: הצעת חוק RAISE Act

מדינת ניו יורק הציגה את ה-“Responsible AI Safety and Education Act” - או RAISE act. מטרת הצעת החוק הוא להסדיר פיתוח ושימוש במודלים מתקדמים של בינה מלאכותית (“frontier models”). החוק מחייב מפתחים גדולים של מודלים יקרים ומורכבים ליישם פרוטוקולי בטיחות ואבטחה, לשמור תיעוד של בדיקות ומבחנים, ולדווח על כל תקרית בטיחות משמעותית בתוך 72 שעות. המטרה היא למנוע סיכונים חמורים, כולל פגיעה באנשים, רכוש או שימוש במודלים ליצירת נשק או ביצוע עבירות פליליות. החוק כולל סנקציות כספיות משמעותיות והחלתו מוגבלת למודלים שמפותחים או מופעלים בניו יורק.


טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 11-2025
הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 09-2025
הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 08-2025