הגנת הפרטיות בישראל

הצעת חוק הגנת הפרטיות (תיקון מס’ 14), תשפ”ב-2021 פורסמה ברשומות בחודש ינואר 2022 במטרה להתאים את חוק הגנת הפרטיות, התשמ"א-1981 ("חוק הגנת הפרטיות") למציאות הנוכחית ולאתגרים הקיימים היום בהגנה על מידע אישי ומאגרי מידע. זו אינה הצעת החוק הראשונה לתיקון החוק ואף לפני כשנה פורסם תזכיר הצעת חוק להערות הציבור. להרחבה בנושא ההצעה הנוכחית והשוואה בינה לבין חוק הגנת הפרטיות לבין תזכיר החוק – לחצו כאן.

הצעת חוק תובענות ייצוגיות (תיקון - תובענה ייצוגית בשל פגיעה בפרטיות), התש"ף-2020 הצעת חוק פרטית [פ/1190/24] של חברת הכנסת תמר זנדברג, המבקשת לתקן את התוספת השנייה לחוק תובענות ייצוגיות, התשס"ו-2006, כך שתתווסף לרשימת העילות בשמן ניתן להגיש תביעה ייצוגית גם עילה של פגיעה בפרטיות.

הרשות להגנת הפרטיות החלה בחקירה של אירוע אבטחת מידע חמור שהתרחש במוסד חינוך בעיר בת ים, במסגרתו נחשף מידע אישי ורגיש על אודות תלמידי המוסד בעקבות דיווח מגורם פרטי שהתקבל ברשות להגנת הפרטיות על אירוע אבטחת מידע חמור במוסד חינוכי בבת ים, במסגרתו הושלכו כמויות עצומות של תיקים אישיים של תלמידים הלומדים במוסד וכוללים מידע אישי, כגון: תמונות של התלמידים, שאלונים, הערכות פסיכולוגיות וחומרים נוספים אישיים, פנתה הרשות לנציגי מוסד החינוך והעירייה בדרישה לטיפול דחוף ומיידי. בעקבות הפנייה, פעל מוסד החינוך לשם טיפול באירוע ואסף את החומרים החשופים. יחד עם זאת, עד כה טרם הועבר דיווח על אירוע אבטחה חמור, כמתחייב על פי תקנות הגנת הפרטיות (אבטחת מידע). הרשות להגנת הפרטיות מדגישה, כי על כל גוף המנהל או מחזיק מידע אישי אודות אנשים, בוודאי מוסד חינוך המחזיק במידע רגיש הנוגע לתלמידים וקטינים, לוודא כי הוא פועל לשמור ולהגן על המידע בהתאם לחובתו לפי תקנות הגנת הפרטיות (אבטחת מידע). עוד יצוין כי חובות האבטחה החלות על מידע במאגר מידע, תקפות גם כשמדובר בתדפיס של המידע מתוך המאגר, בפרט כשמדובר במידע רגיש שחלה עליו גם חובת סודיות. האחריות לאבטחת המידע מוטלת על כל גוף המנהל או מחזיק מידע, לשם הגנה על המידע האישי של האנשים עליהם הוא מחזיק מידע, ובכלל זה גם בכל הנוגע לתהליכי הארכוב, הביעור או ההשמדה של מידע כזה. אי עמידה בהוראות תקנות הגנת הפרטיות יכולה לחשוף את הגוף להליכי אכיפה מינהליים ופליליים של הרשות ואף לתביעות אזרחיות מצד האנשים שעל אודותיהם דלף המידע, וזאת בנוסף לפגיעה במוניטין של הגוף המפר.

גילוי דעת בנושא פרשנות תקנה 3 לתקנות העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה – טיוטה להערות הציבור הרשות להגנת הפרטיות פרסמה ביום 03/01/2022 גילוי דעת בו היא מבהירה את פרשנותה לתקנה 3 לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001. לשיטתה האיסור על הגורם במדינה הזרה להעביר את המידע לצד שלישי לא יחול אם ניתנה לכך הסכמה בכתב של בעל המאגר שממנו הועבר המידע מישראל. זאת, בכפוף לכך שעצם העברת המידע לצד שלישי נעשתה כדין, כלומר על בסיס הסכמת נושא המידע או הסמכה מכוח חוק, ושאילו היה המידע מועבר ישירות מישראל לצד השלישי, היו מתקיימים בהעברת מידע זו, בפני עצמה, תנאי תקנה 1 או תקנה 2 לתקנות. הלכה למעשה, כאשר קיימת הסכמה של מעביר המידע מישראל להעברתו לצד שלישי במדינה זרה, ניתן לראות בכך העברה חדשה של מידע מישראל, ולא כהעברה נוספת במדינה הזרה. חברת פריימסק העבירה את התייחסותה לגילוי הדעת. 

מהאמירויות ועד מוסקבה: בכיר בשב"כ משתף את הישגי הריצות שלו - וחושף מיקומי בכירים בחו"ל א', בכיר ביחידה לאבטחת אישים בשב"כ שדרגתו מקבילה לאל"מ, מלווה נציגים ישראלים בנסיעות עבודה לחו"ל אשר חלקן רגישות. עובדה זאת אינה מונעת ממנו לשדר את נתוני המיקום שלו במהלך פעילות ספורטיבית ותוך כדי כך לספק מידע מדויק על תנועותיהם, גם במקרים של ביקורים שלא מדווחים לציבור.

משרד התחבורה יפעיל מרכז חדש לניטור איומי סייבר משרד התחבורה הקים מרכז שליטה ובקרה לאומי למול איומי סייבר (Security Operation Center – SOC), שיאגד את כלל גופי התחבורה בישראל אשר חיוניים לתפקוד המדינה, וישפר את יכולת ההתגוננות שלהם מפני תקיפות סייבר.  בין השאר, יפעל המרכז לסכל ניסיונות חדירה למערכות ניהול התנועה והשבתתן, וינטר מערכות מתקדמות בענף התחבורה ושירות התחבורה הציבורית. מרכז הניטור ישלב ידע ונתונים בין כל הגופים בענף - ביבשה, בים ובאוויר - ויגביר את רמת המוכנות מול איומי הסייבר למען הבטחת רציפות שירותים לציבור. מרכז הניטור החדש יופעל באמצעות רשות שדות התעופה (רש"ת), ליד חמ"ל הסייבר בנתב"ג, שכבר היום מפעילה כיום מרכז סייבר מתקדם, המתמקד בניטור וניהול אירועי סייבר עבור גופי תעופה.

מחק נתוני אשראי של אזרחים ממאגרי מידע – ונשלח לשנתיים מאסר בית המשפט המחוזי בתל אביב גזר על זיו צורן, לשעבר מתכנת מחשבים בחברת BDI קופאס, שנתיים מאסר בפועל, תשעה חודשי מאסר על תנאי וקנס בסך 21 אלף שקלים, לאחר שנכנס למאגרי מידע ומחק תמורת תשלום נתוני אשראי שליליים של אזרחים. הדבר הביא בנקים ומוסדות פיננסיים אחרים להעניק הלוואות לאזרחים בעלי נתונים שליליים, מאחר שלא ידעו על כך – עקב המחיקה שצורן ביצע. הנאשם הורשע בביצוע ריבוי עבירות של מרמה והפרת אמונים בתאגיד, זיוף בכוונה לקבל דבר, פגיעה בפרטיות, עבירות של חדירה למחשב ועבירות נוספות. זאת, לאחר שהוא הודה והורשע במסגרת הסדר טיעון במהלך ניהול ההוכחות בתיק.

 הגנת הפרטיות ברחבי העולם 

האיחוד האירופי הכריז על תאימות רגולציית הפרטיות של דרום קוריאה ל-GDPR בהודעה משותפת לעיתונות שפרסמו נציבות האיחוד והועדה להגנת הפרטיות של דרום קוריאה, צוין כי ההחלטה התקבלה נוכח רמת ההגנה הגבוהה שמספק החוק הדרום קוריאני בתהליך העברת המידע האישי של תושבי האיחוד ומנגנוני ההגנה החזקים הנוספים אשר סוכמו במסגרת הדיון בקבלת ההחלטה. משמעות ההחלטה היא שכעת ניתן יהיה להעביר מידע אישי מהאיחוד האירופי לדרום קוריאה מבלי להיזקק לאישורים או כלים נוספים. הצדדים הוסיפו כי ההחלטה תיצור סחר חופשי בין קוריאה לאיחוד האירופי ותאפשר שיתוף פעולה רגולטורי בין הצדדים. להרחבה בנושא הוראות החוק.

השימוש ב- Google Analytics נוגד את רגולציית GDPR כך קבעה הרשות האוסטרית להגנת הפרטיות בהחלטה המתבססת על הלכת "שרמס II" של בית הדין האירופי לצדק. הרשות קבעה כי חברות באיחוד האירופי המשתמשות ב- Google Analytics, מאשרות בכך כי המידע יועבר לגוגל ויעובד בארה"ב, דבר המהווה הפרה של ה-GDPR ושל הלכת שרמס II. רשות הפיקוח האירופאית להגנת הפרטיות (EDPS) הגיעה להחלטה דומה, כאשר פסקה בתחילת החודש נגד שימוש הפרלמנט האירופי ב-Google Analytics שנעשה במסגרת אתר להזמנת בדיקות COVID-19, שהושק על ידי הפרלמנט בספטמבר 2020 באמצעות ספק חיצוני. ה-EDPS  קבעה כי לאור פסיקת שרמס II, היה על הפרלמנט לנקוט באמצעי הגנה מיוחדים בהעברת מידע אישי של תושבי האיחוד לארה"ב, אולם הדבר לא נעשה. ההחלטה התייחסה אף לליקויים בהודעת ההסכמה לעוגיות, אשר נוסחה באופן עמום ומבלבל וכללה עיצוב מטעה שתמרן את המשתמשים להסכמה לא מודעת. על אף האמור, ה-EDPS הסתפקה בנזיפה בלבד ולא הטילה על הפרלמנט קנס כספי, זאת עקב המגבלות שחלות על הרגולטור בהטלת קנסות. 

מטא: תביעה בסך 2.3 מיליארד ליש"ט על ניצול לא הוגן של מידע אישי תביעה ייצוגית הוגשה בבריטניה נגד חברת האם של פייסבוק, בטענה כי ענקית הטכנולוגיה ניצלה את הדומיננטיות שלה בשוק כדי לכפות תנאים "לא הוגנים" על משתמשים בבריטניה. נטען כי על אף שהציגה את עצמה כחינמית, פייסבוק גבתה תשלום של "מידע אישי" אותו נדרשו המשתמשים למסור כתנאי לכניסה ושימוש בשירות. דובר Meta אמר בתגובה: "אנשים ניגשים לשירות שלנו בחינם. הם בוחרים את השירותים שלנו כי אנחנו מספקים להם ערך ויש להם שליטה משמעותית על המידע שהם משתפים בפלטפורמות של Meta ועם מי. השקענו רבות ביצירת כלים שיאפשרו להם לעשות זאת". 

ה-EDPS מאשימה את היורופול במעקב המוני אסור ושאיפה להפוך לסוכנות מעקב המונית בסגנון NSA רשות הפיקוח האירופית להגנת הפרטיות (EDPS) הוציאה ליורופול (סוכנות המשטרה של האיחוד האירופי) צו המחייב אותה למחוק מידע אישי של אזרחי האיחוד, אשר נאסף בניגוד לחוק במשך למעלה משש שנים. על פי הדיווח, מדובר במאגר עצום בנפח של לפחות 4 פ"ב (petabytes) הכולל מידע רגיש ומסווג על אזרחים שומרי חוק. היורופול נדרשת למחוק עד סוף שנת 2022 כל מידע שמוחזק ברשותה למעלה משישה חודשים. בתגובה הודיעה היורופול כי ההחלטה תשפיע לרעה על יכולת הסוכנות לנתח ערכות נתונים גדולות ומורכבות הנדרשות לאכיפת החוק, וכי התהליכים דורשים שמירה של המידע למשך יותר משישה חודשים. ההחלטה יוצרת עימות בין הרגולטור לסוכנות רבת העוצמה וחושפת מחלוקות פוליטיות עמוקות בין מקבלי ההחלטות באירופה בין הצורך בביטחון להגנת הפרטיות. לתוצאה הסופית של העימות צפויות השלכות על עתיד הפרטיות באירופה ומחוצה לה. 

ניצחון לאמזון במאבק נגד קנס השיא שהוטל עליה החברה עתרה נגד ההחלטה לקנוס אותה ב-844 מיליון דולר בגין עיבוד לא חוקי של מידע אישי, וטענה כי המועד לתיקון ההפרה שנקבע על ידי הרשות אינו מציאותי מכיוון שלא קיבלה הנחיות ברורות לתיקון. בית הדין המנהלי הסכים עם אמזון וקבע כי החלטת הרשות להגנת המידע של לוקסמבורג אינה ברורה מספיק, ולכן לא ניתן היה לצפות מאמזון לעמוד בתאריך היעד של 15 בינואר 2022. לדברי מומחי פרטיות, מדובר בהחלטה חריגה אשר טרם ידוע מה יהיו השלכותיה על מקרים אחרים בעתיד. 

צרפת: גוגל נקנסה ב- 150 מיליון אירו על הפרת כללי הסכמה לעוגיות הרגולטור הצרפתי (CNIL) קבע כי גוגל לא הציעה למשתמשי האתרים google.fr ו-youtube.com פתרון המאפשר להם לסרב לעוגיות באותה קלות בה ניתן להסכים להן. הפיכת מנגנון הסירוב למורכב יותר, מעודד משתמשים לבחור בכפתור "אני מקבל" ובכך משפיע על חופש ההסכמה של המשתמשים ומהווה הפרה של סעיף 82 לחוק הגנת הפרטיות הצרפתי. הרגולטור קנס את GOOGLE LLC ב-90 מיליון אירו ואת גוגל אירלנד בע"מ ב-60 מיליון אירו. גובה הקנס נקבע בהתחשב במספר האנשים שנפגעו מההפרה וברווחים הניכרים שנוצרו לגוגל כתוצאה ממנה. בנוסף לקנסות המנהליים, חויבה גוגל לספק למשתמשים בצרפת, בתוך שלושה חודשים, אמצעי פשוט לסירוב לעוגיות, על מנת להבטיח את חופש ההסכמה שלהם. לאחר מועד זה, תחויב החברה ב- 100,000 אירו לכל יום של הפרה.

מטא משיקה 'מרכז פרטיות' ללימוד משתמשים לגבי אפשרויות איסוף נתונים ופרטיות מרכז הפרטיות מספק מידע בחמישה נושאים: שיתוף, אבטחה, איסוף נתונים, שימוש בנתונים ומודעות. חברת האם של פייסבוק מסרה בהודעה לעיתונות כי מרכז הלמידה צפוי להיות מוגבל בתחילה לקבוצת פיילוט מצומצמת של משתמשי פייסבוק בארה"ב, אולם בעתיד יורחב לקבוצה רחבה יותר. מרכז הפרטיות מצטרף לשלל כלים אחרים שמציעה ענקית הטכנולוגיה, כולל קיצורי פרטיות ובדיקת פרטיות. עם זאת, התכונה החדשה שונה מכיוון שהיא מהווה נקודת מוצא לניווט בבקרות הפרטיות והאבטחה של כלל שירותי מטא, כולל פייסבוק, אינסטגרם ו-WhatsApp.

ארה"ב: 200 מיליון דולר קנס לבנק שלא ניטר תקשורת עובדים בוואטסאפJPMorgan Chase, הבנק המוביל בארה"ב, נקנס על שאיפשר לעובדיו להשתמש בוואטסאפ ובפלטפורמות תקשורת אחרות במכשירים האישיים שלהם למטרות עבודה, ללא בקרה ותיעוד. בין השנים 2018-2020 הוחלפו אלפי הודעות בין עובדי הבנק, מנהלים ומפקחים בכירים אחרים, באמצעות WhatsApp וחשבונות דוא"ל אישיים בנושאי ניירות ערך, אסטרטגיות השקעה, פגישות עם לקוחות וניתוח אירועים. הבנק לא ניהל מנגנון בקרה על התקשורת ולא תיעד אותה כנדרש על פי חוק ניירות ערך פדרליים. הנהלת JPMorgan הודתה בכשלים והחלה לנקוט בצעדי תיקון.

מטא תובעת מפעילים של 39,000 אתרי דיוג (פישינג) התביעה הוגשה בבית משפט פדרלי בקליפורניה נגד נאשמים לא ידועים המפעילים אתרים המתחזים לדפי ההתחברות של פייסבוק, מסנג'ר ו-WhatsApp  כדי להטעות משתמשים ולגנוב את פרטי ההתחברות שלהם. במסמכים שפרסמה, טוענת מטא כי מאז 2019 השתמשו המתחזים בשירותים חינמיים של חברת הענן Ngrok, Inc כדי להעביר שוב ושוב תעבורת אינטרנט לאתרי הפישינג שלהם. הדבר פגע הן במותג ובמוניטין החברה והן במשתמשיה. מטא דורשת פיצויים על פי חוק האנטי-פישינג וחוקים מסחריים אחרים בקליפורניה. זוהי התביעה הראשונה המוגשת נגד מפעילי אתרי דיוג שאינם מזוהים בשמם אלא עושים שימוש במערכת משותפת לצורך ניתוב פעילותם.

ישראלית תובעת בנק שוויצרי על חשיפת פרטי החשבון לרשויות המס בארה"ב אסתר זוהוביצקי, אזרחית ישראל ואוסטריה, הגישה תביעה פדרלית בארה"ב נגד המוסד הפיננסי השוויצרי UBS Group AG לאחר שזה מסר את פרטי חשבון הבנק שלה למס ההכנסה האמריקאי. התובעת טענה כי על הבנק חל איסור לשתף את פרטי החשבון, מאחר שהיא אינה אזרחית ארה"ב. לטענה כי בעלה האמריקאי שותף בחשבון השיבה התובעת כי מדובר בחשבון אישי לניהול כספי הירושה שלה, וכי בעלה צורף אליו על מנת לסייע בניהולו, עקב היותה דיסלקטית. עוד נטען בתביעה כי לתובעת נגרמו נזקים כבדים כתוצאה מחשיפת פרטי החשבון, לאחר שהרשויות בארה"ב נקטו בהליכים שונים נגד התובעת. המהלך של UBS נובע מהסדר עליו חתם עם מס ההכנסה האמריקאי, לאחר שבשנת 2009 נקנס על ידו ב-780 מיליון דולר על "סיוע להעלמות מס" וחויב לחשוף את זהותם של אלפי בעלי חשבונות אמריקאים.

ניו יורק: חוק חדש מגביל שימוש ב- AI לצרכי מיון והערכת עובדים בצעד פורץ דרך, אישרה מועצת העיר ניו יורק חוק חדש, המטיל מגבלות על שימוש בבינה מלאכותית לצורך מיון והערכת עובדים. מעסיקים המעוניינים להשתמש ב-AI יחויבו לערוך "ביקורת הטיה" ולפרסם את תוצאותיה באתרי האינטרנט שלהם. בנוסף, עליהם ליידע את העובדים והמועמדים לעבודה כי הכלי ישמש בתהליך המיון ו/או ההערכה שלהם, ולציין את המאפיינים והכישורים המשמשים את הכלי לביצוע המיון וההערכה. הפרת החוק תגרור קנסות וסנקציות נוספות. החוק נחקק בשל החשש הגובר שקבלת החלטות באמצעות בינה מלאכותית עלולה להפלות אנשים על בסיס גזע, גיל, דת, מין וכיו"ב. לאור תאריך כניסתו לתוקף של החוק, ב- 1 בינואר 2023, על מעסיקים בניו יורק להיערך בשנה הקרובה ולהתאים את עצמם לדרישות החוק.

וואטסאפ פותחת חזית משפטית נגד הרגולטור האירי החברה, אשר ביולי 2021 נקנסה בסך 225 מיליון אירו על ידי המועצה האירופית להגנת הפרטיות (EDPB), נאלצה לעדכן את מדיניות הפרטיות שלה ולהפוך אותה לשקופה יותר. כעת מתברר כי אין בכוונתה לשלם את הקנס. וואטסאפ הגישה ערעור נגד החלטת הרגולטור האירי, בטענה כי חרג מסמכותו ונקט בפרשנות לא סבירה בקביעתו כי הפרה את כללי ה-GDPR. על פי הדיווח, זו הפעם הראשונה מאז חקיקת ה-GDPR, בה מוגש ערעור על סמכות הרגולטור ולא על תוכן ההחלטה. 

תצפית על מדיניות האיחוד האירופי לשנת 2022 הדיגיטציה נמצאת בראש סדר העדיפויות של הנציבות האירופית להגנת הפרטיות, ולפני שיפקע המנדט שניתן לה עד אביב 2024, היא פועלת לסגירת תיקים וקידום אגרסיבי של המדיניות שלה בתחום הגנת הפרטיות ואבטחת מידע. בנוסף לכך, צפויים השנה חידושים רגולטוריים באיחוד האירופי, מכיוון שהמנדט מאפשר להנהלת האיחוד האירופי להציע חקיקה חדשה עד סוף השנה הנוכחית בלבד. להלן עיקרי המדיניות שעל הפרק: 

  • החודש אמור להתחיל החלק האחרון של תהליך חקיקת חוק השווקים הדיגיטליים וחוק השירותים הדיגיטליים, שתי הצעות חוק שהוצגו בדצמבר 2020 ומהוות חלק מחבילת רגולציה לסביבה המקוונת. חוק השווקים הדיגיטליים יאפשר להטיל קנסות בדיעבד על חברות הטכנולוגיה הגדולות, הממלאות תפקיד שומר סף בכלכלת האינטרנט.
  • בתחילת 2022 צפוי להיכנס לתוקף חוק פיקוח הנתונים (Data Governance Act), אשר שואף לעודד חקיקה אחידה בשוק הכלכלי והתעשייתי של האיחוד האירופי. ב-23 לפברואר יוצג חוק הנתונים (Data Act), אשר יגדיר חובות שיתוף מידע בין פלטפורמות, צרכנים ומשתמשים עסקיים, הערך הכלכלי המיוחס למידע והגבלת גישה של גופים ציבוריים למידע פרטי מטעמי אינטרס ציבורי.
  • ביוני 2022 יתקיים כנס ביוזמת המפקח האירופי להגנת הפרטיות, על מנת לדון ולהעריך מחדש את כללי ה-GDPR ולבחון הצעות לשיפור שיתוף הפעולה בין רשויות הגנת המידע לרשויות הפיקוח על הגבלים עסקיים.
  • במחצית השנייה של 2022 מתכננת הנהלת האיחוד האירופי להציג חוק אבטחת סייבר חדש, בשם "חוק חוסן הסייבר" (The Cyber Resilience Act). החוק מציג דרישות אבטחת סייבר מינימליות לעסקים וארגונים בעלי תפקיד קריטי בפעילות הכלכלית או בתפקוד החברה.
  • במהלך השנה ימשיך המשא ומתן בין האיחוד האירופי וארצות הברית לפתרון סוגיית העברת המידע הבינלאומית בעקבות החלטת "שרמס II".
  • דיון בטיוטת ההצעה של הנציבות האירופית להסדרת תנאי העבודה בפלטפורמות הדיגיטליות. החקיקה שהוצגה בדצמבר 2021 נועדה להבטיח תנאי עבודה הוגנים, למלא חללים בחקיקה, ולמנוע החלטות שיפוטיות סותרות וחקיקה שונה במדינות האיחוד.
  • דיון בהצעת חוק הבינה המלאכותית (Artificial intelligence act) שהוצגה באפריל 2021 על ידי הנציבות האירופית. הצעת החוק קובעת חובות ואחריות משתנה בהתאם להשפעה הפוטנציאלית של יישום כלי הבינה המלאכותית. בשלב זה לא צפויה התקדמות משמעותית בנושא, מכיוון שההצעה בוסרית וטכנית מאד וקובעי המדיניות עדיין מתקשים להבין את השפעת הכללים החדשים. כדי להוסיף מורכבות, חוק ה-AI מקיים אינטראקציה עם כמה חוקים מרכזיים נוספים באיחוד האירופי, ביניהם תקנות GDPR.


טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.