הטור החודשי בנושא הגנת פרטיות בארץ ובעולם 08-2021


הגנת הפרטיות - ישראל

הליכי פיקוח רוחב על ידי הרשות להגנת הפרטיות 

  • הליך פיקוח בעמותת עמינדב בוצע ע"י הרשות להגנת הפרטיות לאחר שהתקבל אצלה דיווח אשר הצביע על ליקויי אבטחת מידע בעמותה, שהביאו לחשיפתו של מידע על אודות מועמדות לשירות לאומי וכן על אודות בנות הנמצאות במהלך השירות. בין פרטי המידע שנחשפו ניתן היה למצוא צילומי תעודות זהות, שמות משתמשים וסיסמאות, שמות ההורים, כתובות, טלפון, מספר חשבון בנק, תמונות, ותעודות רפואיות. ממצאי הפיקוח העלו כי מידע שאוחסן על ידי העמותה בשירות הענן של AWS היה זמין לגישה מרשת האינטרנט ללא צורך בהזדהות. העמותה לא דיווחה לרשות על האירוע מיד עם היוודע לה, כנדרש בהוראות הדין.
  • הליך פיקוח בחברת אינטו השקעות בע"מ, אשר מערכות המידע שלה נתקפו ע"י גורם עוין, וקבעה כי זו הפרה את הוראות החוק, בין היתר בשל מעבר לשרתי ענן מבלי שנקטה באמצעי אבטחה מספקים, ובכך לא צמצמה את הסיכון להתרחשות תקיפה מסוג כופרה.
  • הליך פיקוח באתר האינטרנט של התאחדות הכדורגל בישראל חולשות אבטחה שנתגלו באתר האינטרנט של התאחדות הכדורגל בישראל, אשר בגינן הרשות קבעה כי ההתאחדות הפרה את התקנות, היו יכולות להימנע אילו היה נערך מיפוי מערכות המאגר כנדרש בתקנות. בנוסף, ההתאחדות לא דיווחה לרשות על האירוע מיד עם היוודע לה. החולשה אפשרה לכל גולש לבצע שינוי בכתובת האתר (URL) באתר ההתאחדות ולצפות במידע אישי, הכולל פרטים אישיים, תמונות פספורט וצילומי תעודות זהות של שחקנים, שופטים ובעלי תפקידים בקבוצות ובמועדונים.

 תזכיר חוק ההתייעלות הכלכלית (תיקוני חקיקה להשגת יעדי התקציב לשנות התקציב 2021 ו- 2022), התשפ"א-2021, פרק - העמקת גביית המסים והגברת האכיפה ביום 02/08/2021 פורסם תזכיר התייעלות כלכלית אשר מטרתו להילחם בהון השחור, להעמיק את גביית המס, לצמצם העלמת הכנסות בידי מעלימי מס ולייעל את עבודת הביקורת. התזכיר מציע לקבוע בפקודת מס ההכנסה כי גופים פיננסיים וסולקים ידווחו לרשות המיסים באופן שוטף על נתונים של פעילות לקוחותיהם בחשבונות העסקיים המנוהלים אצלם, הכוללים את יתרת סכום החשבון, היקף הפעילות שנעשתה בו ועוד. בנוסף, מוצע להסמיך את מנהל רשות המיסים להעביר לגוף פיננסי ולסולק דרישת מידע פרטנית לגבי קבוצת לקוחות בעלי מאפיינים משותפים, שתתבסס על סממנים של החשבונות או של הלקוחות חברי הקבוצה, היוצרים חשד שלקוחות בקבוצה הפרו הוראה מהוראות חוקי המס באופן שמביא לאבדן מס בהיקף שאינו מבוטל. במקביל מוצעים מנגנונים שונים לשמירה על פרטיות המדווחים ולשמירה על המידע. 

חברות התקשורת יחויבו לספק הגנת סייבר ללקוחות השר הנדל הוציא לשימוע הנחיות חדשות שמטילות את האחריות על הגנת הסייבר על חברות התקשורת. הצוות המקצועי גיבש מספר יעדים, בהם הגנה על רשת התקשורת ושילוב מנגנוני פיקוח, ניטור, ובקרה המאפשרים לבסס תמונת מצב עדכנית של הגנת הסייבר, תוך דאגה לפרטיות המידע, שלמות הנתונים וזמינות השירותים; שמירה על עדכניות ורלוונטיות התוכנית; התמודדות עם אירועי סייבר כולל זיהוי האירוע, הכלה, התאוששות וחזרה לשגרה; יצירת מנגנוני ונוהלי דיווח לגורמים בתוך ומחוץ לארגון; וכן הטמעה ותרגול התוכנית בקרב המנהלים, העובדים, הספקים וקבלני המשנה של בעל הרישיון. 

מדריך עזר מתודולוגי לעריכת תסקיר השפעה על הפרטיות הרשות להגנת הפרטיות פרסמה ביום 01/08/2021 מדריך להערות הציבור, אשר מטרתו העיקרית היא לסייע לארגונים בהם נעשה שימוש בטכנולוגיות הכוללות איסוף מידע אישי ורגיש, להעריך ולצמצם סיכונים בתחום הפרטיות. תסקיר השפעה על הפרטיות הוא תהליך שנועד לנתח באופן מקיף ושיטתי את השפעת השימוש בטכנולוגיות על פרטיות הציבור והלקוחות. התסקיר מזהה את מכלול הסיכונים לפרטיות, בוחן חלופות ומציע את הדרך לצמצם את הסיכונים למינימום. התסקיר נועד לשמש ארגונים במהלך הקמה וניהול של פרויקטים חדשים, אשר יש להם השפעה על הפרטיות, ובפרט מערכות טכנולוגיות חדשות ופרויקטים הכרוכים באיסוף ובעיבוד של מידע אישי. המלצת הרשות לארגונים היא לבצע את התסקיר בשלבים המוקדמים של הנעת הפרויקט, במקביל לתהליכי הפיתוח והתכנון של המערכות והטכנולוגיות החדשות. למרות שאין חובה בדין הישראלי לערוך תסקיר השפעה על הפרטיות, ביצוע תסקיר בעת הקמה וניהול פרויקטים חדשים בעלי השפעה על פרטיות, צפוי להיטיב הן עם הארגון והן עם ציבור לקוחותיו. חברת פריימסק נערכת בימים אלו להגשת התייחסות למדריך. 

ביהמ"ש העליון בפסק דין תקדימי: ניתן להוציא צו איכון סלולרי בהליכים אזרחיים בערעור שהגיע לביהמ"ש העליון, דרש הנתבע להוציא צו איכון עבור התובעת כדי לברר את מיקומה בתביעה נזיקית אזרחית שהגישה לאחר שהנתבע התקיף אותה מינית בשנת 2017. לכתב התביעה צורפה חוות דעת מומחית בתחום הנפשי, אשר העריכה את נכות האישה בשיעור של 40%. בכתב התביעה ובחוות דעת המומחית נטען, בין היתר, כי האישה מרבה להסתגר בחדרה, נוטה להימנע מלצאת מביתה, ואף אינה יוצאת ללא ליווי של בן משפחה. הנתבע הגיש לביהמ"ש המחוזי בקשה ליתן צו לחברת הסלולר של התובעת לקבלת נתוני איכון הטלפון הנייד של המבקשת, וזאת החל ממועד קרות האירוע. לטענתו, מידת תפקודה היא אחת השאלות המרכזיות שבמחלוקת. התובעת התנגדה לבקשה וטענה, בין השאר, כי טרם נקבע בפסיקה אם בית משפט הדן בהליך אזרחי רשאי ליתן צו איכון. מכל מקום, ביהמ"ש העליון קבע כי יש בסמכותו של בית המשפט להוציא צו איכון ואולם מתן הצו בהליך אזרחי הוא צעד דרסטי, אשר יש לשמרו לנסיבות מיוחדות, שאינן מתקיימות בהליך הנדון. 

תפשוט את הרגל? בליכוד חוששים מגל תביעות של מיליוני ישראלים שפרטיהם דלפו בפרשת אלקטור תביעה של 20 אזרחים הוגשה נגד תנועת הליכוד וחברת אלקטור בדרישה לפיצוי של 33 אלף שקל לכל אחד, לאחר שהרשות להגנת הפרטיות קבעה שהשתיים הפרו את חוק הגנת הפרטיות. בליכוד חוששים שאם התביעה תאושר היא תפתח צוהר לגל תביעות שיעלה לה מאות מיליוני שקלים. 

11 שנה ועדיין ממתינים: מדוע טרם פורסמו המלצות להשמטת פרטים מזהים מפסקי דין? לפני כ-11 שנה הוקמה ועדה ציבורית בראשות שופט עליון בדימוס. ב-28 בדצמבר 2010 הורה שר המשפטים דאז, יעקב נאמן ז"ל, על הקמת "הוועדה לבחינת שאלות הנוגעות לפרטים מזהים בפסקי דין ובהחלטות של בתי המשפט ולעיון בתיקי בית המשפט". בכתב המינוי נכתב כי "על הוועדה להגיש מסקנותיה והמלצותיה בתוך 90 יום". הוועדה נועדה לבצע מהפכה בתחום פרסום פרטים מזהים בהחלטות של בתי המשפט ובסוגיית העיון בתיקים. על הוועדה לגבש המלצות להתאמת הדין הקיים לעידן הדיגיטלי ולצמצם את הפגיעה בפרטיות. אלא שמאז הקמתה חלפו כ-3,900 ימים, והיא טרם סיימה את עבודתה. 

עיתונאים ונשיאים: הדלפת ענק חושפת את היקף השימוש בכלי הריגול הישראלי התוכנה הישראלית, "פגסוס" אשר מאפשרת לפי הדיווחים לפרוץ למכשירי אנדרואיד ואייפון ולשלוף מהם הודעות טקסט, תמונות ומיילים, להפעיל באופן סודי את המיקרופון או את המצלמה ולעקוב אחר מיקומו המדויק של מחזיק הטלפון. כבר זמן רב שתוכנה זו עומדת במוקד ההאשמות נגד NSO, שמשרדיה ממוקמים בהרצליה. לפי ההאשמות התוכנה מאפשרת לממשלות שונות בעולם לעקוב ולפגוע בפעילותם של עיתונאים או מתנגדי משטר. ברשימה שהודלפה נכללים פרטים של חשודים בפלילים, אנשי עסקים, אנשי דת, אקדמאים, עובדים בארגונים ללא מטרות רווח ופקידי ממשל. בחברה דוחים את ההאשמות נגדה ומסבירים כי מוצריה נמכרים אך ורק למטרות של לוחמה בפשיעה וטרור. 

הגנת הפרטיות ברחבי העולם

התוכנית של אפל להילחם בתמונות התעללות מעלה חששות לפרטיות אפל הכריזה על יוזמה חדשה למאבק בניצול ילדים, אולם השיטה בה היא נוקטת שנויה במחלוקת. חברת הטכנולוגיה מתכננת להשתמש ביישומי הצפנה חדשים כדי לסרוק מכשירי אייפון של משתמשים לאיתור תמונות של התעללות ופורנוגרפיית ילדים. צוות של בודקים יקבל התראה על הודעות בעלות תוכן בעייתי, ויצור קשר עם רשויות החוק לצורך אימות. המהלך זכה לשבחים מצד תומכי הגנת הילד, ומנגד, להתנגדות נחרצת מצד תומכי הגנת הפרטיות המזהירים מפני מדרון חלקלק. הפיצ'ר החדש צפוי לצאת עם השקת iOS 15 בחודש הבא. 

קנס לטיקטוק על הפרת פרטיות ילדים בהולנד  הרשות ההולנדית להגנת המידע הטילה על טיקטוק קנס של 750,000 אירו, בגין הפרת פרטיותם של ילדים. בהחלטה קבעה הרשות, כי טיקטוק פרסמה תנאי שימוש והצהרת פרטיות בשפה האנגלית, ובכך מנעה מקטינים שאינם דוברי השפה, לקבל הסבר הולם לאופן שבו האפליקציה אוספת, מעבדת ומשתמשת במידע האישי שלהם. טיקטוק הגישה התנגדות לקנס. גוגל ופייסבוק יגבילו פילוח פרסומות לילדים. גוגל הודיעה כי לא תאפשר להציג לבני 18 ומטה פרסומות ממוקדות לפי גיל, מגדר ותחומי עניין. בנוסף, גוגל תסיר לפי דרישה תמונות של קטינים מ- Google image ותחסום את פיצ'ר היסטוריית המיקומים של קטינים. פייסבוק לא תאפשר למפרסמים בפלטפורמות שלה לפלח משתמשים מתחת לגיל 18, בהתבסס על תחומי העניין שלהם או על פעילותם באתרים אחרים, אלא רק לפי גיל, מין או מיקום בפייסבוק, Messenger ואינסטגרם. ראש מוצרי הנוער של פייסבוק, פבני דיוונג'י, ציין כי הוא משתמש בבינה מלאכותית לזיהוי קטינים המסתירים את גילם ולהסרת חשבונות שלהם. 

קנס חסר תקדים לאמזון על שימוש לרעה במידע אישי ביום 16.7.21 הטילה הרשות להגנה על נתונים בלוקסמבורג (ה-CNPD) קנס בסך 887 מיליון דולר על אמזון אירופה, בגין הפרת ה-GDPR ושימוש במידע אישי של לקוחות למטרות פרסום ממוקד. הקנס שהוטל גבוה משמעותית מהסכום שהוצע ביוני האחרון, ולטענת אמזון הוא אינו פרופורציונלי. החברה הודיעה כי תערער על ההחלטה, אשר לדבריה מבוססת על פרשנות שגויה מצד הרגולטור. 

זום תשלם 85 מיליון דולר בתביעה ייצוגית על פגיעה בפרטיות ביום 31.7.21, זום תקשורת וידאו בע"מ הסכימה לשלם 85 מיליון דולר כדי ליישב תביעה ייצוגית שטענה כי החברה הפרה את זכויות הפרטיות של המשתמשים על ידי הטעיית צרכנים לגבי אבטחת הצפנה, שיתוף נתונים באמצעות אינטגרציות של צד שלישי ללא הודעה או הסכמה מתאימה, ואי הגנה על פגישות פרטיות מפני הפרעת גורמים זרים ("zoombombings"). חברי הקבוצה יפוצו, בין אם שילמו עבור חשבון Zoom ובין אם לאו. 

רוסיה קנסה את גוגל ב-41,000 דולר על הפרת חוק המידע האישי של רוסיה חוק המדינה מחייב חברות לשמור את המידע האישי של משתמשי המדינה בשרתים ברוסיה, מהלך שהוא חלק ממאמץ ארוך שנים של הממשלה להדק את אחיזתה בפעילות המקוונת. הקנס הוא הראשון שניתן לגוגל ברוסיה על תקנות אחסון נתונים. פייסבוק וטוויטר קיבלו בעבר עונשים דומים על הפרה לכאורה של התקנות הרוסיות. גוגל אישרה את הקנס וסירבה לספק תגובה נוספת. 

אפליקציית הצביעה Recolor תפצה את מנוייה בגין הפרת חוק פרטיות הילדים (COPPA) בתביעה שהוגשה על ידי נציבות הסחר הפדרלית (FTC) נטען כי האפליקציה הפרה את החוק בכך שאספה מידע אישי של ילדים ואפשרה לצדדי ג' לעשות שימוש לרעה במידע אישי של ילדים לצורך פרסום מותאם אישית. חוק ה-COPPA והתקנות הנלוות לו אוסרים על איסוף, שימוש וחשיפה של מידע אישי של משתמשים עד גיל 13, אלא בהסכמת הוריהם. על פי הסכם הפשרה, מפעילי האפליקציה ימחקו את כל המידע שהושג בניגוד לחוק ויפצו את המנויים בתשלום, אשר במועד הרישום טרם מלאו להם 18 שנה. על החברה הושת קנס של 3 מיליון דולר, אולם בהסכמת הצדדים הסכום הופחת ל- 100,000 דולר בלבד. 

Plaid תשלם 58 מיליון דולר על פישינג ומסחר במידע בנקאי של לקוחות השירות של חברת הטכנולוגיה מחבר חשבונות בנק של לקוחות לאפליקציות פיננסיות כמו Venmo ו-Robinhood. בתביעה שהוגשה נגד Plaid, טענו לקוחותיה כי החברה השיגה את שם המשתמש והסיסמא לחשבונות הבנק שלהם באמצעות ממשק מטעה שנראה כדף הכניסה לחשבון, ומכרה את המידע הפיננסי והיסטוריית העסקאות שלהם. בנוסף לקנס שהוטל על החברה, הסכם הפשרה מחייב אותה למחוק מידע מסוים מהמערכות שלה, לצמצם את המידע שהיא מאחסנת, ולחשוף את מדיניות השימוש במידע ואת נהלי האבטחה שלה. 

ניו זילנד: פיצויים בגין נזק נפשי כתוצאת מפגיעה בפרטיות נציבות הגנת הפרטיות בניו זילנד (OPC) פרסמה ב-4 באוגוסט 2021 את אופן חישוב הפיצויים בתביעה בגין נזק נפשי שנגרם עקב פגיעה בפרטיות. הנציבות הדגישה כי לא מדובר בעונש על התנהגות הנתבע אלא בפיצוי הנפגע בגין הנזק שנגרם לו. בית המשפט עשוי לפסוק פיצויים אם כתוצאה מהפגיעה בפרטיות התובע: הפסיד הטבה או יתרון שהיה צפוי לקבל; סבל מהשפלה, פגיעה בכבוד או פגיעה רגשית; ספג נזק ממוני; נדרש להוצאות כספיות. על מנת לקבל פיצוי, על התובע להראות כי הנזק נובע ישירות מהפגיעה בפרטיות. גובה הפיצויים ייקבע בהתאם לחומרת המעשה ולנזק שנגרם. 

רגולציה חדשה בעיר ניו יורק בנושא מצלמות זיהוי ביומטרי. ב-9 ביולי תוקן הקוד המנהלי של העיר ניו יורק כך שיכלול מידע מזהה ביומטרי. החוק מחייב כל חנות ועסק מסחרי, אשר אוספים, שומרים, מאחסנים או משתפים מידע מזהה ביומטרי של לקוחות, להציב שילוט ברור המיידע את הלקוחות בדבר מדיניות הזיהוי הביומטרי של העסק. החוק מאפשר לאנשים פרטיים להגיש תלונה נגד בתי עסק המפרים את החוק, כאשר הקנס הצפוי נע בין 500-5000 דולר לכל הפרה. עם זאת, החוק אינו חל על גופים ועובדים ממשלתיים, ביניהם משטרת ניו יורק, אשר מפעילה כ-15,000 מצלמות מעקב בניו יורק. בריטניה מציעה אלטרנטיבה לסעיפים הסטנדרטיים ("SCCs") ביום 11.8.21 פרסמה נציבות הגנת המידע הבריטית (ICO) טיוטת הסכם העברת מידע בינלאומי ("IDTA") שיהווה תחליף עבור הבריטים לסעיפים החוזיים הסטנדרטיים של האיחוד האירופי. לאחרונה פרסמה הנציבות האירופית SCCs מעודכנים תואמי GDPR, אולם אלה אינם חלים בבריטניה שלאחר הברקזיט. ה-ICO פרסמה את הטיוטה לתגובות הציבור עד ליום 7.10.21. 

בריטניה מציגה: מדריך עסקי להגנה על ילדים ברשת ביום 29.6.21, המחלקה הבריטית לדיגיטל, תרבות, מדיה וספורט ("DCMS") פרסמה הנחיות לעסקים בנושא בטיחות לילדים ברשת, הכוללת הדרכה בנושא הגנה על מידע ופרטיות, תוכן מותאם גיל, אינטראקציות חיוביות עם משתמשים והגנה על ילדים מפני ניצול מיני מקוון והתעללות. התובע הכללי של קליפורניה פרסם סיכום של פעולות אכיפה בהן נקט בשנה האחרונה, נגד חברות המפרות את חוק פרטיות הצרכנים במדינה (CCPA). הסיכום כולל דוגמאות למקרים בהם הופר החוק בענפי מסחר שונים, ולדרך בה תוקנה ההפרה בכל אחד מהמקרים, לאחר קבלת התראה ממשרד התובע הכללי.