הטור החודשי בנושא הגנת פרטיות בארץ ובעולם 09-2021

  הגנת הפרטיות – ישראל

גילוי דעת בעניין איסוף נתוני מיקום של עובדים על ידי מעסיקים באמצעות אפליקציות ייעודיות ומערכות איכון ברכב ביום 31/08/2021 הרשות להגנת הפרטיות פרסמה גילוי דעת בעקבות פניות בנוגע לשאלת חוקיות המעקב של מעסיקים אחר מיקומם הפיזי של עובדיהם באמצעות מערכות שונות. הרשות מבהירה במסמך כי סוגיית איסוף ועיבוד נתוני מיקום של אדם פוגעים באופן משמעותי בפרטיותו, גם כאשר הדבר נעשה במהלך עבודתו. משכך מעסיקים המבקשים לעשות שימוש במערכת האוספת נתוני מיקום של עובדים, נדרשים לעשות זאת רק לאחר בחינה מעמיקה של היחס הראוי בין התועלת שתצמח משימוש במערכת לבין הנזק והפגיעה בזכותו של העובד לפרטיות במהלך העבודה. הרשות מוסיפה כי השימוש במערכת זו ייעשה רק בהעדר חלופה אחרת, שאינה אוספת נתוני מיקום, ושבכוחה להגשים את תכלית איסוף הנתונים. גילוי הדעת קובע כי מעסיק יהיה רשאי לעשות שימוש במערכת האוספת נתוני מיקום של עובד רק כאשר מדובר באיסוף נתונים לתכלית לגיטימית וחיונית למקום העבודה, העומדת בדרישת המידתיות ובתנאים המפורטים בגילוי הדעת. חברת פריימסק נערכת בימים אלו להגשת התייחסות לגילוי הדעת. 

הרשות להגנת הפרטיות נגד ישראכרט: טלפון נייד שהכיל מידע רגיש של מוקד שירות לקוחות - נגנב הרשות קבעה, כי "מדובר באירוע אבטחת מידע חמור בו הפרה ישראכרט את חוק הגנת הפרטיות". הטלפון נגנב על ידי עובד החברה, אבל ככל הידוע לא נעשה שימוש במידע שהיה עליו. ישראכרט: "מדובר באירוע מלפני שנה; פרטיות לקוחות החברה לא נפגעה ולא דלף כל מידע". מדובר באירוע שאירע אשתקד, ובמסגרתו מכשיר טלפון נייד ששימש את מוקד שירות הלקוחות ובו מידע אישי ורגיש אודות לקוחותיה, נגנב על ידי עובד החברה. יודגש כי ככל הידוע לא נעשה שימוש במידע שהיה על הנייד, והעובד פרמט את המכשיר לצורך שימוש אישי בו. ככל הידוע, הרשות לא  נקטה בסנקציות כנגד ישראכרט בעקבות המקרה. 

חברת דרך ארץ הייוויז, מפעילת כביש 6, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחה חמור שהוביל לחשיפה של מידע אישי אודות לקוחותיה הליך האכיפה שביצעה הרשות להגנת הפרטיות נפתח בעקבות דיווח של חברת דרך ארץ על אירוע אבטחה חמור שאירע בחברה, במסגרתו התגלו חולשות אבטחת מידע באתר התשלומים שלה, אשר אפשרו חשיפה של מידע רב מתוך החשבוניות של לקוחותיה. מהמידע שהעבירה החברה לרשות עולה כי בעמוד ששמו "תשלום חשבוניות" באתר החברה ניתן היה לקבל גישה לחשבוניות הלקוחות באמצעות הזנת מספר ת.ז, לחיצה על כפתור "אין לי את מספר החשבונית", בחירה באפשרות "מספר לוחית רישוי" ולאחר מכן הזנת מספרים אקראיים על מנת לנחש את מספר רישוי הרכב. לאחר מכן, וללא שום אימות נוסף, ניתן היה לקבל גישה לחשבוניות התשלום של הלקוח ולחשבוניות עבר הכוללות מידע אישי רב. בהתאם לממצאי הפיקוח קבעה הרשות, כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות. 

לקראת החזרה לספסל/זום הלימודים: המלצות הרשות להגנת הפרטיות לשמירה על הפרטיות ברשת הרשות להגנת הפרטיות פרסמה ביום 31/08/2021 המלצות ודגשים לשמירה על הפרטיות ברשת, המתייחסות ללמידה מרחוק, לפעילות ברשתות החברתיות ולשימוש בטלפון חכם. 

העונשים שקיבלו שוטרים שפגעו בפרטיות אזרחים מגוחכים בסקירה שפורסמה ב'כלכליסט' נמצא כי רוב העונשים על שוטרים שניצלו גישה למאגרי מידע שלא במסגרת תפקידם הסתכמו בנזיפה חמורה, קנס סמלי והורדה זמנית בדרגה. כך למשל שוטרת שערכה חיפוש במערכת מידע משטרתית לגבי הרכב של בעלה, מולו הייתה בהליך גירושים, נענשה בנזיפה חמורה וקנס של 1,000 שקל שחולק לחמישה תשלומים; שוטר שביצע שש בדיקות על אדם שחשד שהוא המאהב של אשתו נענש בנזיפה חמורה והורדה בדרגה לשישה חודשים, מהם רק אחד בפועל; שוטרת שהריצה עשרות שאילתות על עצמה, בני משפחה ו"מי שהייתה בקשרים אינטימיים עם בעלה" נענשה בנזיפה חמורה והורדה בדרגה ל-10 חודשים, מהם שניים בפועל; שוטר שביקש משוטרות אחרות להוציא בעבורו מידע ממערכות מודיעין רגישות לצרכים אישיים נענש בנזיפה חמורה, קנס של 2,500 שקל והורדה בדרגה על תנאי לשלושה חודשים. היועץ המשפטי של התנועה לזכויות דיגיטליות: "מדובר בענישה מצחיקה, הענישה המחמירה ביותר מדברת על הורדות בדרגה לתקופות של עד שנה, והקנסות לא עוברים את ה-2,500 שקל, בעוד שהפיצוי האזרחי על הפרה הוא עד 50 אלף שקל, והעונש הפלילי צריך להיות עד חמש שנות מאסר". 

התחבר בשם אחרים לאתר רשות המיסים וגנב מאות אלפי ש״ח מענקי קורונה מחלקת הסייבר בפרקליטות המדינה הגישה לבית-משפט השלום בתל-אביב-יפו כתב אישום נגד תושב תל אביב בגין עבירות של גניבה בנסיבות מחמירות, ניסיון גניבה, העברת מידע כוזב, עשיית פעולה ברכוש אסור ושימוש בעורמה, מרמה ותחבולה בכוונה להתחמק ממס. על פי עובדות כתב האישום, בחודשים שבין אוקטובר 2020 לפברואר 2021, התחבר הנאשם, העובד כפרילנסר בחברת ייעוץ פיננסי, לאזור האישי של 16 בעלי עסקים באתר האינטרנט של רשות המיסים, כאשר 11 מתוכם היו בעבר לקוחותיו של הנאשם. הנאשם הגיש בשם המתלוננים, וללא ידיעתם, בקשות למענקי סיוע לעצמאים שפעילותם העסקית נפגעה כתוצאה מנגיף הקורונה, ושינה באופן ידני ומכוון את פרטי חשבון הבנק במערכת לפרטי חשבון הבנק הפרטי שלו, במטרה לגנוב מהמתלוננים את כספי המענקים שלהם. כתוצאה ממעשיו, גנב הנאשם, בנסיבות מחמירות, סך כולל של כ-590,881 ש״ח וניסה לגנוב כ-12,000 ש״ח נוספים. החשוד נעצר לחקירה על-ידי מפלג הונאה של מחוז תל-אביב של המשטרה, והחקירה נוהלה בשיתוף עם חוקרי מס הכנסה בתל-אביב. 

מעקב זה מגניב: אובדן הפרטיות עובר מיתוג מחדש קמפיין לסרט חדש בשם “Reminiscence” מציע לייצר למעריצים טריילר מותאם אישית בתמורה לאיסוף מידע אישי מקיף. כל מה שצריך לעשות הוא להעלות תמונת סטילס לאתר אינטרנט ייעודי, והפלטפורמה תהפוך אותה לדמות בטריילר באמצעות טכנולוגיית Deepfake. תנאי השימוש המורכבים והארוכים שפרסמו אולפני וורנר ברדרס מפרטים איזה מידע החברה תאסוף בדרך, והרשימה ארוכה: פרופיל חברתי ופרופיל טכני, שכוללים גם שם, כתובת, גיל, IP, סוג הדפדפן, העדפות גלישה, פרטים מהרשתות החברתיות (שדרכן ניתן להעלות את התמונה) כמו רשימת חברים, פרטי קשר, ימי הולדת, נתוני מיקום, גישה למצלמה, עוגיות ופיקסלים. אגב, אם המשתמש העלה לאתר תמונה בשביל חבר, גם המידע עליו יישמר. ומה החברה תעשה עם הנתונים? כל מה שעולה על דעתה. בין היתר, “מחקר, ניתוחים ושיפור חוויות הצרכנים” לצרכיה שלה, אך היא גם תעביר את כל מה שאספה, אם תידרש, לארגוני שיטור ואכיפה או שתמכור אותו לצד שלישי למטרות עסקיות שונות, שכוללות כמובן פרסום מבוסס עניין. 

הרצליה מדיקל סנטר העלה אתר דמו לאוויר - עם מידע אמיתי של מטופלים שמות ומספרי תעודות זהות של כ-50 אלף מטופלים הופיעו באתר, תחת אבטחה מינימלית. חולשת האבטחה הועברה על ידי TheMarker לבית החולים, מערך הסייבר והרשות לפרטיות. היא טופלה במהרה ותוך כמה שעות אתר הדמו הוסר מהאוויר. מהרצליה מדיקל סנטר נמסר בתגובה: "מדובר על מערכת זימונים אינטרנטית שפותחה במדיקל, ובמסגרת שת"פ עם חברת ONE הועלתה כ-demo לרשת במטרה להציג את יכולות המערכת", " ברגע שהתגלתה הטעות המערכת הוסרה מהאתר". 

נחשף מאגר האקרים ענק: אלפי סיסמאות לבנקים, לקופות חולים ולאתרי פורנו מאגר מידע של פושעי סייבר, אשר ריכז פרטי התחברות שהם גנבו מגולשים בכל העולם, היה פתוח לעולם והתגלה על ידי ההאקר והאקטיביסט - נעם רותם. בין היתר נמצאו במאגר סיסמאות של עובדי ממשלה בארץ ואף סיסמה ל”כספת” של חברה ביטחונית מובילה. רותם מעריך שהמידע נגנב ככל הנראה על ידי רושעה ((Malware שהותקנה על מחשבי הקורבנות באמצעות התחזות לתוסף דפדפן או אפליקציית שיחת וידיאו שמשתמשים התקינו אותה בעצמם, במחשבה שמדובר בהתקנה לגיטימית. הרושעה ((Malware שאבה למעשה את כל הסיסמאות (לבנקים, לשירותים רפואיים, לקופות חולים, לשירותי אבטחה, לאתרי פורנו, לאימייל ומערכות פנימיות של מקומות עבודה) ששמרו משתמשים בדפדפן שלהם (כלומר, הסיסמאות שנשמרו בכל פעם שהדפדפן מציע לזכור סיסמה לפעם הבאה), ושלחה אותו לשרת. במאגר ניתן היה לראות את המשתמש ואילו חשבונות יש לו בכל מיני מקומות. הקורבנות הם מכל העולם, ללא מיקוד גיאוגרפי נגד ישראל. הפושעים גם זיהו את הקורבנות שלהם לפי מדינת המוצא, להערכת רותם על סמך כתובות ה-IP שלהם. שיעור הקורבנות הגדול ביותר, 11.35%, הגיע מארה"ב, ולאחריה ברזיל (10.9%), הודו (9.4%), גרמניה (6.64%) ובריטניה (4.89%). 

צילום שיעורים ושידור לתלמידים בביתם בעקבות פניות רבות ממורים לפיהם מנהלי בית ספר דורשים מהם לצלם את השיעורים ולשדרם לתלמידים השוהים בביתם, מזכ"לית הסתדרות המורים הוציאה הבהרה למנהלי בתי הספר כי "הסתדרות המורים רואה בחומרה התנהלות זו שמהווה הפרה בוטה של חוק הגנת הפרטיות ואסורה על פי נהלי משרד החינוך הקובע בחוזר מנכ"ל כי חל איסור על הצבת מצלמות בכיתות" ומבקשת מהם להימנע מלחייב מורים לצלם שיעורים. 

הגנת הפרטיות - ברחבי העולם 

הרגולטור האירי קנס את וואטסאפ ב-225 מיליון אירו בגין הפרות GDPR ב-2 בספטמבר הודיעה נציבות הגנת המידע של אירלנד (DPC) על קנס בסך 225 מיליון אירו נגד WhatsApp Ireland Ltd בגין הפרת חובת השקיפות ואי מסירת מידע בהתאם לתקנות GDPR. הקנס שהוטל גבוה פי ארבעה מהסכום שהוצע בטיוטת ההחלטה. ווטסאפ הודיעה כי תערער על הקנס. 

הרשות לאבטחת מידע בהמבורג (DPA) אסרה על ממשלת גרמניה להשתמש בזום הרשות קבעה כי העברת המידע של זום לארה"ב מהווה הפרה של כללי ה- GDPR והלכת שרמס 2 ועל כן נאסר על משרדי ממשלה וחבריה להשתמש בפלטפורמה. יצוין כי זום ביצעה התאמות לרגולציית GDPR, אולם, לדברי הרשות הגרמנית, היא אינה מספקת את מלוא הדרישות של ה-SCC’s  החדשים, לרבות ביצוע הערכות סיכונים. 

הולנד: תביעה ייצוגית נגד טיקטוק בסך 6 מיליארד אירו לטענת התובעת, קרן צרכנות הולנדית הפועלת ללא מטרת רווח, טיקטוק מפרה באופן שיטתי את תקנות ה- GDPR, אוספת ומעבדת מידע אישי שלא כדין, נוהגת בחוסר שקיפות בנוגע לאלגוריתם שלה, ומעבירה מידע אישי של תושבי הולנד לסין ולארה"ב. כן נטען כי טיקטוק מציעה למפרסמים פלטפורמה שבה אין כמעט הבחנה בין פרסום לתוכן שנוצר על ידי משתמשים. תביעה זו מצטרפת לתביעות נוספות שהוגשו נגד טיקטוק בהולנד בחודשים האחרונים, כאשר ביולי האחרון הטיל עליה הרגולטור ההולנדי קנס בסך 750,000 אירו, בגין הפרת פרטיות ילדים. 

פייסבוק, טוויטר ולינקדאין מאבטחות חשבונות משתמשים באפגניסטן על מנת למנוע מהטאליבן להשתלט על חשבונות ולעשות שימוש לרעה במידע אישי, פייסבוק השיקה כלים המאפשרים למשתמשים באפגניסטן לנעול את הפרופיל שלהם בלחיצה אחת, להסתיר את פרטי המשתמש ולהסיר תכונות חיפוש שונות. טוויטר ולינקדאין נקטו גם הן צעדים לאבטחת חשבונות. ארגונים שונים הזהירו כי הטליבאן מיומן מאוד במדיה החברתית והמליצו לכל מי שיש לו קשרים באפגניסטן לשנות את ההגדרות הציבוריות שלו להגדרות פרטיות. 

קנסות ואזהרות לפייסבוק, נטפליקס וגוגל בגין הפרת חוקי פרטיות בדרום קוריאה. הרגולטור בסיאול הטיל על פייסבוק את הקנס הגדול ביותר, בסך 6.4 מיליארד וון על יצירה ואחסון של תבניות זיהוי פנים של משתמשים ללא הסכמתם, תוך שימוש בתמונות וסרטונים שהועלו על ידם. בנוסף נקנסה פייסבוק על איסוף ועיבוד לא חוקי של מידע אישי, אי שקיפות והסתרת מידע בנוגע להעברת מידע אישי חוצת גבולות. נטפליקס ספגה קנס של למעלה מ- 220 מיליון וון על איסוף מידע אישי של משתמשים בעת ההרשמה ללא הסכמתם והסתרת מידע בנוגע להעברת מידע אישי חוצת גבולות. גוגל קיבלה, בשלב זה, אזהרה בלבד וצו לתיקון פעולות עיבוד המידע האישי שלה. ‏

נציבות הסחר הפדרלית (FTC) אוסרת השימוש באפליקציית SpyFone.com. לטענת הנציבות, האפליקציה אפשרה למשתמשיה לעקוב אחר אנשים אחרים ולנטר את פעילותם במכשיר ללא ידיעתם, ואף לא נקטה באמצעי אבטחה בסיסיים על מנת להגן על המידע שנאסף בניגוד לחוק. בנוסף להחרמת האפליקציה וחיובה למחוק את כל המידע שנאסף על ידה, הוטל איסור גורף על החברה המפעילה Support King, LLC והמנכ"ל שלה, להציע, לקדם, למכור או לפרסם כל אפליקציית מעקב, שירות או עסק.

 ארה"ב: תביעה נגד Angry Birds על הפרת חוק פרטיות הילדים (COPPA) ב-25 באוגוסט 2021, הגיש התובע הכללי של ניו מקסיקו תביעה נגד חברת Rovio Entertainment, מפתחת אפליקציות המשחק Angry Birds, בגין הפרת חוק פרטיות הילדים הפדרלי(COPPA) . בכתב התביעה נטען כי החברה אספה ושיתפה מידע אישי של ילדים מתחת לגיל 13 ללא הסכמת הוריהם, ומכרה את המידע למפרסמים, למטרת פרסום ממוקד. 

בריטניה יוזמת שינויים ברגולציית הפרטיות האירופאית. לאחר הברקזיט, בריטניה קוראת תיגר על תקנות ה-GDPR, ומכריזה על תכנית חדשה, אשר לדברי שר התרבות הבריטי תתבסס על "שכל ישר ולא תקתוק תיבות". בבסיס התוכנית עומד שיתוף פעולה בין מדינות שונות, במטרה לקדם רגולציה פרגמטית וזרימת מידע חופשית. ליישום המהלך מונה ג'ון אדוארדס, המשמש כיום כנציב הפרטיות של ניו זילנד. היוזמה החדשה עלולה להביא להקפאת הסחר השוטף במידע הקיים כיום בין בריטניה לאיחוד האירופי.

בולטימור אוסרת שימוש פרטי בטכנולוגיית זיהוי פנים. הפקודה הרשמית האוסרת על שימוש בטכנולוגיית זיהוי פנים על ידי תושבים, עסקים בעיר והשלטון המקומי (למעט המשטרה), נכנסה לתוקף בתחילת ספטמבר ותחול בשלב זה עד דצמבר 2022. הפקודה אינה כוללת מערכת אבטחה ביומטרית המיועדת למנוע גישה בלתי מורשית למיקום מסוים ואת מערכת מאגר התמונות של מרילנד (MIRS) המשמשת את משטרת בולטימור בחקירות פליליות. בולטימור מצטרפת לרשימה הולכת וגדלה של ערים המסדירות שימוש פרטי בטכנולוגיית זיהוי פנים, כולל פורטלנד (אורגון) וניו יורק. הפרת הפקודה עלולה לגרור קנסות ומאסר.

 עדכוני חקיקה נוספים בארה"ב:  אילינוי: ב-27 באוגוסט 2021, התקבלה הצעת חוק ההגנה על פרטיות משקי הבית. חוק זה מגביל את יכולתן של רשויות אכיפת החוק באילינוי להשיג נתונים אלקטרוניים ביתיים מ"מכשירים חכמים" (כגון: אלקסה של אמזון) ללא צו שיפוטי או קיום חריגים ספציפיים אחרים, כגון מצב חירום. החוק ייכנס לתוקף ביום 1.1.2022.

קליפורניה: הסנאט דן בהצעות החוק הבאות: הצעת חוק 13: תקדם פיקוח על מדיניות הרכש של המדינה, בנוגע לשימוש במערכות החלטות אוטומטיות המהוות סיכון גבוה לפגיעה בזכויות הפרט; הצעת חוק 814: תאסור על סוכנויות המבצעות מעקב אחר יחידים למטרה חוקית מסוימת, להשתמש במידע אישי נלווה שנאסף במסגרת המעקב; הצעת חוק 1436: תקבע שכל עסק הוא ספק שירותי בריאות בכפוף לדרישות חוק סודיות המידע הרפואי של קליפורניה (CMIA) אם עסק זה מציע תוכנה או חומרה המאפשרת גישה למידע רפואי אישי. התובע הכללי של קליפורניה פרסם ב-24 באוגוסט הנחיה למתקני בריאות וספקים, והזכיר להם את חובתם לציית לחוקי הפרטיות של נתוני בריאות ממשלתיים ופדראליים. בעלון שנשלח לבעלי עניין, כולל איגוד בתי החולים של קליפורניה, התובע הכללי הזכיר לגופים שעליהם לדווח למשרד המשפטים של קליפורניה (DOJ) על הפרות הנוגעות למידע של 500 צרכנים ומעלה. 

אוקלהומה: ב-9 בספטמבר 2021 הוצג בסנאט חוק פרטיות נתוני המחשב של אוקלהומה 2022. החוק מחיל על חברות המנהלות עסקים באוקלהומה, חובות בקשר להסכמי עיבוד נתונים, מדיניות פרטיות וזכויות צרכנים בנוגע למידע האישי שלהם. החוק ייאכף על ידי משרד התובע הכללי של המדינה. 

חוק הגנת המידע של ברזיל (LGPD) נכנס לתוקף מלא – החוק נחקק באוגוסט 2018, אך הוראותיו נכנסו לתוקף בשלושה שלבים נפרדים, כאשר בחודש האחרון נכנס לתוקף החלק האחרון והמשמעותי המעניק לרגולטור בברזיל (ANPD) סמכויות אכיפה וענישה נגד גופים המעבדים מידע אישי של תושבי ברזיל בניגוד לחוק. ב-31.8.21 פרסם הרגולטור קול קורא לבחינת תחולת החוק על עסקים קטנים, סטארט-אפים, ארגונים ללא מטרת רווח ויחידים, במטרה לפטור אותם מסעיפים שונים בחוק, לרבות מינוי DPO.

איחוד האמירויות הכריז על חוק הגנת מידע חדש. השר ל-AI וכלכלה דיגיטלית הודיע בשבוע שעבר כי בקרוב יוצג חוק פדרלי חדש להגנת מידע, הראשון מסוגו באיחוד האמירויות. נכון להיום, רק באזורי הסחר החופשי באיחוד האמירויות קיימת רגולציה להגנת הפרטיות ואבטחת מידע, ואילו באזורי החוף הנמצאים תחת סמכות שיפוט פדרלית, הנושאים אינם מוסדרים. החוק הפדרלי החדש נועד לתקן מצב זה, ובין היתר למנות רגולטור לאומי לאכיפת החוק. 

תזכורת: הסעיפים החוזיים הסטנדרטיים החדשים נכנסים לתוקף. החל מיום ה-27 בספטמבר 2021, חברות המסתמכות על סעיפים חוזיים סטנדרטיים (SCCs) להעברת נתונים אישיים מחוץ לאיחוד האירופי (EU) חייבות להשתמש בסעיפים החוזיים הסטנדרטיים החדשים בעת חתימה על הסכמי עיבוד נתונים. יש לעדכן הסכמים קיימים הנסמכים על ה- SCCs הישנים, עד ליום ה-27 בדצמבר 2022. עם זאת, אם פעולות העיבוד משתנות לפני 27 בדצמבר 2022 (למשל, קטגוריות חדשות של נתונים שנוספו, צדדים חדשים שנוספו וכו '), חברות תהיינה חייבות לעבור ל- SCCs החדשים בזמן השינויים.