הטור החודשי בנושא הגנת פרטיות בארץ ובעולם 07-2021


הגנת הפרטיות – ישראל

מדריך פרטיות תלמידים במוסדות חינוך בעידן הדיגיטלי ביום 09/06/21 הרשות להגנת הפרטיות פרסמה מדריך טיוטה להערות הציבור אשר מטרתו העיקרית היא להנגיש את העקרונות והכללים המשפטיים המרכזיים הקיימים בנושא פרטיות תלמידים במוסדות חינוך (בדגש על סוגיות הנוגעות לפרטיות בעידן הדיגיטלי), וכן להציע המלצות ביחס לשמירה על פרטיות תלמידים ולהגנה על מידע הנוגע אליהם. המדריך מפרט את הסיכונים המרכזיים לפרטיות תלמידים בעידן הדיגיטלי ומספק למוסדות חינוך, ולגורמים שמוסדות אלה נמצאים בבעלותם או תחת אחריותם, כלים והמלצות להתמודדות עם סיכונים אלו. המדריך מיועד בעיקרו למנהלי מוסדות חינוך, מנהלי מחלקות חינוך ברשויות מקומיות, רשתות החינוך, ולציבור ההורים והתלמידים בישראל. חברת פריימסק הגישה את התייחסותה למדריך לרשות להגנת הפרטיות. 

תזכיר חוק לתיקון פקודת המשטרה [נוסח חדש] (תיקון מס' )(מערכות צילום מיוחדות), התשפ"א-2021 בהמשך לעתירה שהוגשה לבג"ץ על ידי האגודה לזכויות האזרח וארגון "פרטיות לישראל" בעניין מערכת "עין הנץ" של המשטרה, ביום 08/07/21 פורסם תזכיר חוק המבקש להסדיר היבטים מסוימים של הצבה ושימוש במערכות צילום מיוחדות במרחב הציבורי על ידי משטרת ישראל. זאת, על מנת לסייע למשטרת ישראל לבצע את ליבת התפקידים והמשימות המוטלים עליה מכוח פקודת המשטרה. התיקון המוצע נועד להסדיר מסגרת כללית לשימוש בסוגים שונים של מצלמות מיוחדות, כאשר ההסדרים הפרטניים המותאמים לכל סוג מצלמות ייקבעו בתקנות, על מנת להתאים את ההסדרה החוקית לגבי כל סוג של מצלמות בהתאם למאפיינים השונים. מוצעים הסדרים בדבר תכליות ההצבה וההפעלה של מערכות אלה וכן של השימוש בתוצריהן, בהתאם למאפייניהן הייחודיים. כן מסדיר החוק את הגופים הציבוריים שיכולים לקבל מידע ממערכות צילום מיוחדות, את התכליות שלשמן ניתן להעביר מידע ואת אופן העברת המידע אליהם (שב״כ וכיו״ב).

רשות האוכלוסין הקימה מאגר ביומטרי סודי וכעת מבקשת להכשיר אותו המאגר נוצר בשוגג לצד המאגר הרשמי ושמורות בו תמונות פנים של רוב האזרחים, שמאפשרות זיהוי ביומטרי מלא. ברשות האוכלוסין לא מוכנים למחוק את המאגר ומבקשים "לבצע שינויי חקיקה שיאפשרו לרשות להמשיך ולהחזיק בתמונות".

בנק ישראל: הבנקים צריכים לגייס יותר דירקטורים עם רקע טכנולוגי הפיקוח על הבנקים קורא לבנקים לחזק את הדירקטוריונים שלהם באנשים מתחום הטכנולוגיה. הפיקוח על הבנקים ערך לאחרונה ביקורת רוחבית בכל הבנקים בנוגע לניהול הסיכונים שלהם בנושאי טכנולוגיה וסייבר. בסיום הביקורת גובשו מספר המלצות ובהן חיזוק הדירקטוריונים באנשים מתחום הטכנולוגיה, חיזוק הפיקוח והמעקב אחר פרויקטים אסטרטגיים בבנק וכן חיזוק תחום ניהול הסיכונים בתחום הטכנולוגיה.

מטופלות במכון היופי של עפרה מזרחי צולמו בעירום, והסרטונים דלפו עשרות נשים בקריות צולמו במצלמות האבטחה, ללא ידיעתן או הסכמתן, כשהן בעירום מלא או חלקי, בשעה שהן עוברות טיפולים קוסמטיים במקומות מוצנעים בגופן במכון היופי של עפרה מזרחי, 'עפרה - כל היופי שבך' בקרית אתא. חלק מהסרטונים, שצולמו בין השנים 2017־2015, מצאו דרכם אל ידיו של תושב המרכז, שמואל שמש, שצפה בהם ותיעד אותם לצורך סיפוק מיני, ואף איים לעשות בהם שימוש במסגרת ניסיונו לסחוט את מזרחי. כולם ידעו על כך - המשטרה, הפרקליטות ובעלת מכון היופי עצמו, מזרחי. כולם, פרט לנשים המצולמות עצמן, שלהן אף אחד לא הרגיש צורך לספר. ביהמ"ש קבע כי זכות הנשים לדעת על היותן קורבן בפרשה.

פרטים אישיים של מאות אלפי סטודנטים דלפו לרשת מאגר נתונים רחב ובו פרטים אישיים של מאות אלפי סטודנטים דלף לרשת. בין הפרטים האישיים שמופיעים במאגר: מספרי טלפון, כתובות אישיות, כתובות מייל, לחלקם סיסמאות - והכול עם קישור לשם המלא של הסטודנטים. הפרשה נחשפה תחילה בקבוצות טלגרם מלזיות, שם הופץ כי מסדי הנתונים של מוסדות אקדמיים בישראל נפרצו. בדיקה מעמיקה העלתה שמדובר ברשומות של כ-280 אלף סטודנטים משנת 2014 ועד היום, הכוללות כ-100,000 כתובות מייל .מהחקירה עולה הסברה שמקור הדליפה הוא ככל הנראה בחברת AcadeME - רשת גיוס סטודנטים ובוגרים פופולרית מאוד בקרב סטודנטים.  AcadeMEעובדת מול מרבית האוניברסיטאות (אוניברסיטת ת"א, האוניברסיטה הפתוחה, אוניברסיטת בן גוריון, אוניברסיטת בר-אילן, הטכניון, ואוניברסיטת חיפה) ומכללות רבות (תל-חי, ספיר, אשקלון ועוד), ומקשרת בין הסטודנטים והבוגרים לחברות גדולות במשק במציאת משרות וראיונות עבודה. 

החברות Apple ו Google יספקו בחנויות האפליקציות שלהן מידע מפורט לגבי האיסוף והשימוש במידע האישי של הצרכנים הרשות להגנת הפרטיות הגישה פנייה לגוגל ואפל ביחד עם עשרות רשויות להגנת פרטיות בעולם החברות בארגון הבינלאומי ICPEN. הפנייה התמקדה בדרישה לאספקת מידע ברור ומקיף לצרכנים שיאפשר להם להשוות ולבחור באפליקציות על בסיס השימוש במידע האישי שלהם וזאת במטרה ליידע את הצרכנים בשלבים מוקדמים לפני קבלת החלטה על רכישה/הורדת אפליקציה, באשר לפרט מהותי בעסקה ובמקרה דנן, מידע על איסוף ושימוש במידע אישי. גוגל ואפל הודיעו כי ספקי האפליקציות יידרשו לציין בחנויות האפליקציות שלהן איזה מידע אישי שומרת כל אפליקציה ואיזה מידע אישי החברה רשאית לחלוק עם אחרים.


הגנת הפרטיות ברחבי העולם:

התפתחויות חשובות באירופה בתחום העברת מידע טרנס-אטלנטית ביום 21/06/21, פרסמה ה-EDPB (המועצה האירופית להגנה על מידע אישי) המלצות סופיות לנקיטת אמצעים משלימים שיבטיחו עמידה  ברגולציית ה-GDPR. ביום 27/6/21 נכנסו לתוקף הסעיפים החוזיים הסטנדרטיים החדשים של הנציבות האירופית (SCCs), וביום 28/06/21 אימצה הנציבות האירופית שתי החלטות הלימות ביחס לבריטניה. האחת במסגרת ה-GDPR, והשנייה עבור הוראת אכיפת החוק. משמעות הדבר היא כי מידע אישי יכול כעת לזרום בחופשיות מהאיחוד האירופי לבריטניה, המספקת רמת הגנה שוות ערך במהותה לרמה המובטחת על פי רגולציית האיחוד האירופי. ראוי לציין כי החלטות הלימות אלה ייעמדו לבחינה מחדש בעוד כארבע שנים, וניתן לבטלן עוד קודם לכן, אם יחול שינוי לרעה בדיני הגנת המידע של בריטניה.

ה-EDPB פרסמה לאחרונה מדריך למושגים Controller ו-Processor לפי ה-GDPR המושגים הבאים: Controller, Processor, Joint Controller מהווים תפקיד חשוב ביישום תקנות ה-GDPR מאחר שהם מגדירים את תחומי האחריות לעמידה בדיני הגנת הפרטיות השונים ובאופן שבו נושאי המידע יכולים לממש את זכויותיהם. מדריך זה נועד להסביר את הגדרות מושגים אלה, את מערכת היחסים בין התפקידים השונים ואת ההשלכות.

תביעה ייצוגית נגד וולמארט בגין שימוש פסול במידע ביומטרי התובעים, עובדי החברה באילינוי, טענו כי החברה השתמשה בתוכנת זיהוי קולי לצורך מעקב אחר עבודתם, וזאת מבלי לקבל את הסכמתם לכך. כמו כן, טענו העובדים כי וולמארט לא יידעה אותם כיצד היא מתכננת להשתמש בהקלטות הקוליות, וכיצד הן יישמרו, יעובדו וישותפו על ידי החברה. חוק פרטיות המידע הביומטרי של אילינוי (BIPA) אוסר על גוף לאסוף מידע ביומטרי, אלא אם כן הודיע לנושא המידע מראש ובכתב על עצם האיסוף, מטרתו ופרק הזמן בו יישמר המידע – ונושא המידע נתן הסכמה בכתב לכל האמור. החוק מהווה בסיס לתביעות ייצוגיות רבות נגד חברות ומעסיקים, ווולמארט עצמה נאלצה לשלם 10 מיליון דולר בתחילת השנה, לאחר שחייבה את עובדיה להשתמש במכשיר סריקת יד מבלי לקבל את הסכמתם לכך בכתב.

בית המשפט השוודי פסק: החלטת הרגולטור להחרים את Huawei - מוצדקת בית המשפט דחה את ערעור החברה על החלטת הרגולטור השוודי לאסור את השימוש ברשת 5G של וואווי, וזאת מחשש לפגיעה בביטחון המדינה. ממשלות האיחוד האירופי הידקו את הפיקוח על חברות תקשורת סיניות בעקבות לחץ דיפלומטי מצד ארה"ב, הטוענת כי סין משתמשת בציוד הטלקום לצרכי ריגול. וואווי הכחישה בתוקף את הטענה, והודיעה כי תשקול את צעדיה.

בריטיש אירווייז נקנסה בסכום של 20 מיליון ליש"ט בעקבות פריצה למסד הנתונים של החברה בשנת 2018. על פי דיווח ה-BBC, תחקיר האירוע גילה מחדלים מצד החברה, אשר לא נקטה באמצעי אבטחה מספקים להגנה על המידע, על אף שחלקם כבר היו מוטמעים במערכת ההפעלה שלה, ואף לא הצליחה לזהות את האירוע לפני שנגרם נזק למאות אלפי לקוחות. כתוצאה מכך, הודלף מידע מזהה של כ-400 מיליון אנשים ולחברה נדרשו שנתיים על מנת להתאושש מהאירוע. עוד יצוין כי מדובר בקנס המשמעותי הראשון של נציב הגנת המידע (ICO) במסגרת רגולציית ה-GDPR של האיחוד האירופי.

דו"ח חדש מגלה: אירופה בדרך למעקב ביומטרי המוני מחקר חדש של  EDRi(זכויות דיגיטליות אירופיות) בנושא השימוש בשיטות מעקב ביומטריות בלתי חוקיות באיחוד האירופי, מדווח על שימוש לא פרופורציונלי במערכות ביומטריות פולשניות, במסווה של "ניסוי זמני" ו"פיילוט", על מנת להימנע מפיקוח רגולטורי על פרויקטים בלתי חוקיים. המחקר נערך בגרמניה, הולנד ופולין ומצא כי המעקב הביומטרי ממוקד בעיקר בקבוצות מסוימות, ובמאפיינים מוגנים כגון מיניות ודת, באופן שקהילות שלמות הפכו ל"עכברי מעבדה" ללא ידיעתם או הסכמתם. החוקרים מזהירים כי לא ירחק היום בו מעקב ביומטרי המוני יהפוך לנורמה, ואנשים יתקשו יותר ויותר לגשת לשירותים אזרחיים, לנסוע ואפילו ללכת לחנויות, מבלי להיות מושא למעקב וניטור באמצעות המאפיינים הביומטריים שלהם.

אושר חוק אבטחת המידע של סין (PRC) החוק, אשר ייכנס לתוקף, ב-1 בספטמבר 2021, הוא החוק המקיף הראשון בסין בנושא אבטחת מידע, והכרזתו סימנה את תחילתו של עידן חדש ברגולציה הסינית. החוק שואף להסדיר מגוון רחב של נושאים ביחס לאיסוף, אחסון, עיבוד, שימוש, אספקה, עסקה ופרסום של מידע מכל סוג שהוא, ומציב אתגר פוטנציאלי לאופן שבו חברות רב-לאומיות מתמודדות עם העברה טרנס אטלנטית של נתונים המבוקשים על ידי שופטים זרים או גופי אכיפת חוק. כל צד המבקש לספק נתונים אלה מנוע מלעשות זאת ללא אישור הרגולטורים הסינים. 

עדכוני חקיקה נוספיםחוק ההגנה על מידע אישי של דרום אפריקה (Protection of Personal Information 2013) נכנס לתוקף מלא ב-1 ביולי 2021. חוק הגנת המידע הביומטרי של ניו יורק  (New York City Council bill 1170-2018) נכנס לתוקף ב-9 ביולי 2021. חוק הגנת הפרטיות של קולורדו (The Colorado Privacy Act) ייכנס לתוקף ב-1 ביולי 2023. הצעת חוק חדשה להגנת הפרטיות באוהיו (Ohio Personal Privacy Act). שינויים משמעותיים בחוק הגנת הפרטיות של נבאדה (SB 260) ייכנסו לתוקף ב-1 באוקטובר 2021. 

תזכורת לעסקים בקליפורניהמשרד התובע הכללי בקליפורניה פרסם תזכורת לעסקים המטפלים במידע אישי של 10 מיליון צרכנים תושבי המדינה, כי על פי תקנות CCPA, עליהם להגיש עד ה-1 ביולי דיווח מסכם לשנת 2020, בהתייחס לפרמטרים הבאים: 

  • מספר הבקשות לקבלת מידע שהעסק קיבל, וכמה מתוכן נענו באופן מלא או חלקי או נדחו.  
  • מספר הבקשות למחיקה שהעסק קיבל, וכמה מתוכן נענו באופן מלא או חלקי או נדחו. 
  • מספר הבקשות לביטול הצטרפות שהעסק קיבל, וכמה מתוכן נענו באופן מלא או חלקי או נדחו. 
  • המספר החציוני או מספר הימים בממוצע שהעסק הקדיש בפועל למתן מענה לבקשות כאמור.