הטור החודשי בנושא הגנת פרטיות בארץ ובעולם

הגנת הפרטיות בישראל

• פרטיות במוסדות להשכלה גבוהה מוסדות להשכלה גבוהה נדרשו למצוא חלופות לקיומן של בחינות פרונטליות בצל משבר הקורונה, ובחלק מהמקרים החלופה שנבחרה היא קיום בחינות מרחוק באופן מקוון. חלופה זו מחייבת את המוסדות לעשות שימוש באמצעים דיגיטליים שמטרתם שמירה על טוהר הבחינות, אולם שימוש באמצעים אלו עשוי להוות פגיעה בפרטיות הנבחן. לפיכך, הרשות להגנת הפרטיות פרסמה ביום 27/01/2021 מסמך דגשים והמלצות להגנת הפרטיות בבחינות מרחוק במוסדות להשכלה גבוהה, המסמך התייחס בין היתר למאפיינים טכנולוגיים של בחינות מרחוק, סיכונים לפרטיות הנבחנים מרחוק, החלופות והשיקולים בעת בחירת מתכונת הבחינה והאמצעים לשמירה על טוהר הבחינה, הבסיס החוקי לקיום בחינות מרחוק תוך שימוש באמצעים טכנולוגיים, זכות עיון המידע, משך שמירת המידע, אבטחת מידע אישי והכנת תסקיר השפעה על פרטיות וכיו"ב.
• אוניברסיטת תל אביב – פרטים אישיים של סטודנטים פורסמו באתר הבחינה עוד בטרם החלה ונחשפו לעיני כל, הקובץ כלל פרטים רפואיים ומידע על הקלות והתאמות של הנבחנים.
• אוניברסיטת חיפה – פרטיהם האישיים (הכוללים מידע אינטימי והרגלי מין) של 250 סטודנטים מועמדים לתואר שני בפסיכולוגיה, שנאסף כחלק מהמיונים לתואר, נחשפו לציבור הרחב ב-Google עקב מחדל אבטחה חמור. עשרות סטודנטים הגישו תביעת פיצוי של מאות אלפי שקלים מהאוניברסיטה.
• דרישות חוק הגנת הפרטיות לקראת הבחירות לכנסת ה - 24: מגבלות השימוש בפנקס הבוחרים ובמידע אישי אחר ואחריות המפלגות על אפליקציות וספקים חיצוניים לקראת הבחירות לכנסת ה-24, פרסמה הרשות להגנת הפרטיות ביום 27/01/2021 מסמך דרישות ומגבלות שחלות על שימוש במידע אישי מפנקס הבוחרים. המסמך מפרט את המגבלות החלות על שימוש במידע מפנקס הבוחרים ובסוגים אחרים של מידע אישי שאוספות המפלגות במסגרת הקמפיין, בהתאם להוראות חוק הבחירות לכנסת וחוק הגנת הפרטיות. בין היתר המסמך מתייחס גם לחובות אבטחת המידע, המטרות המוגבלות לשימוש במידע, התנאים לרכישת מידע מסוחרי מידע והאחריות המשפטית המלאה של המפלגות על הפרות ועבירות המבוצעות בידי קבלנים וספקים הפועלים מטעם המפלגות או עבורן. כמו כן, ביום 27/01/2021 פורסמה כתבה בעיתון כלכליסט בדבר ממצאי חקירה שביצעה הרשות להגנת הפרטיות בדבר אירוע דליפת פנקס הבוחרים ממערכת אלקטור, הרשות קבעה כי הליכוד וישראל ביתנו לא נקטו אמצעי פיקוח ובקרה מספקים לבחינת עמידת אלקטור בהוראות החוק והתקנות.
• פייסבוק הסירה פוסט של ראש ממשלת ישראל שביקש פרטים של אזרחים ותיקים שלא התחסנו
• ראש ממשלת ישראל, מר בנימין נתניהו, פרסם פוסט בעמוד הפייסבוק הרשמי שלו אשר קרא לאזרחים לדווח לו בצ'ט-בוט על אזרחים בני 60 ומעלה שטרם התחסנו, כדי שיוכל ליצור עימם קשר ולשכנעם להתחסן. הפוסט הוסר בשל היותו מנוגד לכללי הקהילה של פייסבוק, אשר אוסרים איסוף מידע רפואי על משתמשים אחרים. לצד הסרת הפוסט, השעתה פייסבוק את הצ'ט-בוט עצמו.
• השרים אישרו לקדם חקיקה שתאפשר לרשויות לקבל פרטים של אזרחים שלא התחסנו ראש הממשלה, מר בנימין נתניהו, הודיע כי בכוונתו להביא לאישור הממשלה "חקיקת בזק" שתאפשר לשלטון המקומי לקבל את שמותיהם של אזרחים שלא התחסנו. השרים אישרו כי ההצעה תכלול התייחסות לאופן שמירת המידע על האזרחים שלא התחסנו ומניעת הגעתו לגורמים לא מורשים.
• מדד הפרטיות ברשת: אילו חברות מחזיקות הכי הרבה מידע על הישראלים? הסטארט-אפ הישראלי Mine יצר מדד שכולל משתנים מסוימים כמו אחוז ההיענות לבקשות המחיקה, זמן ביצוע המחיקה בפועל, מדיניות הפרטיות ושמירת המידע. מהמדד עולה כי שירות הסטרימינג הפופולרי בעולם, נטפליקס, מצטיין ומוחק את המידע האישי בתוך 3.3 ימים בממוצע. במקום השני במדד נמצאת פלטפורמת הפצת האודיו ברשת SoundCloud ואחריהHoney  - תוסף המבצעים לדפדפנים, שנרכש ע”י Paypal בשנת 2020, שהשלים 88% מבקשות מחיקת המידע של משתמשים בזמן ממוצע של יום וחצי.
• מאגרי מידע חדשים ברשויות המקומיות במסגרת הניסיונות לסייע לתושבים בהתמודדות עם נגיף הקורונה החלו רשויות מקומיות רבות ליצור ולנהל מאגרי מידע חדשים שנועדו לסייע לחולי קורונה במשלוח תרופות ומשלוחי מזון אליהם או כדי לוודא כי חולים מקבלים את הטיפול הראוי, וכי הם ממלאים אחר הנחיות משרד הבריאות. הרשות להגנת הפרטיות הוציאה מסמך הבהרה כי יש לשמור על המידע במאגרים אלו בהתאם לתקנות הגנת הפרטיות וכי צפוי להתקיים הליך פיקוח ברשויות מקומיות עם דגש על השימוש והניהול במאגרי המידע החדשים.
• צמצום סיכוני הסייבר הנובעים ממשרדי עורכי דין ACC ישראל - ארגון המאגד את היועצים המשפטיים המובילים, פרסם המלצות לצמצום סיכוני סייבר הנובעים ממשרדי עו"ד כגון, החתמת עובדים על נספח אבטחת מידע, ביצוע בדיקות ספקים, החתמת ספקים חדשים על נספח אבטחת מידע וכיו"ב.
• בלי ידיעתם: אוכן הטלפון של 144 אלף חולים מאומתים - על פי החוק, כל חולה קורונה חייב לקבל מסרון המיידע אותו כי הטלפון שלו יאוכן, אך כתבה של Ynet חשפה כי משרד הבריאות איכן בניגוד לחוק את המכשירים הסלולריים של 144,870 חולים מאומתים במשך חודש, מבלי שהם קיבלו כל מידע על כך ומבלי שנתנה להם היכולת לערער.
• סיכום שנתי - ועדת משפט, טכנולוגיה וסייבר של לשכת עורכי הדין – חברת פריימסק התכבדה לכתוב עבור ועדת משפט, טכנולוגיה וסייבר של לשכת עורכי הדין את הסיכום השנתי בדבר הנחיותיה של הרשות להגנת הפרטיות לשנת 2020.

הגנת הפרטיות ברחבי העולם

• הצעה לתיקון חוק ה- HIPAA ביום 10.12.2020 פרסם משרד הבריאות האמריקאי הצעה לתיקון ה-HIPAA אשר פתוחה להערות הציבור על ליום 22/03/2021. להלן פירוט חלק התיקונים המהותיים המוצעים: זכות גישה - ייעול הגישה של מטופלים למידע הרפואי שלהם, קיצור לוחות הזמנים לקבלת גישה למידע רפואי מ -30 יום ל -15, איסור על שימוש באמצעי אימות זהות בלתי סבירים להשגת גישה וייעול בקשות לשיתוף מידע עם צדדים שלישיים, ועוד.
• חוק הגנת פרטיות חדש בווירג'יניה – הצעת החוק עברה בקריאה ראשונה ושנייה בסנאט ברוב קולות בתחילת חודש פברואר 2021. החוק, במתכונתו הנוכחית יכנס לתוקפו ביום 1.1.23 ויחול על עסקים שמנהלים או מעבדים מידע על לפחות 100,000 נושאי מידע מווירג'יניה או עסקים ש-50% מההכנסות השנתיות שלהם נובעות ממכירה של מידע אישי והם מנהלים או אוספים מידע על לפחות 250,000 צרכנים.
• ePrivacy Regulation – אחרי שנים של טיוטות, ביום 10.2.21 פורסמה ההצעה הסופית של תקנות ה-ePrivacy. תקנות אלה יחליפו את הדירקטיבה הקיימת משנת 2002 והן כוללות חוקים חדשים שיכסו שירותים טכנולוגיים כדוגמת Voiceover IP, דוא"ל מבוסס אינטרנט ושירותי הודעות נוספים (כולל סקייפ, וואטצאפ ופייסבוק מסנג'ר), ויאפשרו למשתמשי קצה בחירה אמיתית להסכמה ל-Cookies ומזהים נוספים. התקנות יהוו השלמה לתקנות ה-GDPR.
• תחולת ה-GDPR על סקטורים שונים על אף העובדה שארגונים רבים אימצו את תקנות ה-GDPR, עדיים ישנם סקטורים מסוימים מתלבטים אם וכיצד התקנות חלות עליהם. אחד הסקטורים הוא ניסויים קליניים. נותני חסות לניסויים קליניים הממוקמים מחוץ ל-EEA מתחבטים בשאלה האם ה- GDPR חל עליהם מכיוון שאין להם גישה לנתונים אישיים הניתנים לזיהוי ולרוב הם מקבלים נתונים שעברו פסאודומיניזציה, כלומר שאין להם יכולת לקשר בין המידע לבין אדם ספציפי ומי מוגדר בעל השליטה במידע. כתבה שפרסם ה-IAPP עושה סדר בשאלות ומציעה מספר פתרונות.
• בהקשר אחר, בימ"ש באנגליה קבע כי אין להחיל את ה-GDPR על אתר תחקירים אמריקאי. ביהמ"ש הסיק כי לאתר אין התארגנות יציבה וקבועה באנגליה, אפילו שיש לו מספר מנויים במדינה. על כן, הסיק שסביר שהוראת התחולה הטריטוריאלית הישירה של ה-GDPR לא חלה. עוד הסיק ביהמ"ש כי קיימת זיקה חלשה בין ליבת הפעילות כאתר תחקירים האוסף ומעבד מידע אישי על מושא התחקיר (שעליו נסבה התביעה), לבין פעילות השוליים של האתר במכירת מוצרים ומנויים ובגיוס תרומות. על פעילות שולית זו ביקש התובע לבסס את תחולת ה-GDPR.
• עלייה של 39% בקנסות שניתנים במסגרת ה- GDPR בשנה האחרונה - בשנה האחרונה חלה עלייה דו-ספרתית בקנסות שניתנים במסגרת ה- GDPR אשר הוטלו על ידי הרגולטורים. חלה אף עלייה בהיקף ההפרות שדווחו לרגולטורים. על פי ניתוח חדש של DLA Piper עולה כי הוטלו קנסות בסך של כ-158.5 מיליון אירו מאז 28 בינואר 2020, עלייה של 39% בהשוואה לתקופה של 20 החודשים הקודמים מאז כניסת התקנות לתוקף במאי 2018. הודעות על הפרות זינקו ב -19%, הגידול הדו-ספרתי השני ברציפות, והגיעו ל 121,165 בשנה האחרונה. בסך הכל הונפקו קנסות בסך 272.5 מיליון אירו מאז תחילת המשטר הרגולטורי, כאשר איטליה הטילה את המספר הגדול ביותר (69 מיליון יורו), ואחריה גרמניה וצרפת. סך היקפי ההודעות על הפרות הגיע ל 281,000, כאשר בראש הטבלה עמדו גרמניה (77,747), הולנד (66,527) ובריטניה (30,536). עם זאת, כאשר משוקללים לפי אוכלוסיות לאומיות, דנמרק מגיעה לראש, ואחריה הולנד ואירלנד. ניתוח זה מצביע על השתרשות תקנות ה- GDPR.
• האקרים מצפון קוריאה גנבו 316 מיליון דולר לתוכנית הגרעין – דו"ח של האו"ם קבע כי משנת 2019 ועד נובמבר 2020 ביצעו האקרים צפון קוריאנים גניבות של נכסים וירטואליים בשווי מוערך של 316.4 מיליון דולר. מתקפות הסייבר בוצעו נגד מוסדות פיננסיים וסוכנויות המרה של מטבעות וירטואליים כדי לקדם את תוכנית הגרעין והטילים של פיונגיאנג, למרות הסנקציות הבינלאומיות נגד פיונגיאנג.