The monthly column on the subject of privacy protection in Israel and around the world 08-2025

הגנת הפרטיות בישראל 

אכיפה הדרגתית של חובת מינוי ממונה הגנת הפרטיות (DPO)

כפי שפורסם רבות, ב- 14.8.2025 נכנס לתוקפו תיקון מס' 13 לחוק הגנת הפרטיות. אחת החובות שנקבעו במסגרתו הינה חובת מינוי ממונה על הגנת הפרטיות (DPO) בכל גוף ציבורי וכן בגופים במגזר הפרטי, בהתאם לתנאים שנקבעו בחוק.

מאחר ומדובר בחובה חדשה וכי בגופים ציבוריים נדרש הליך מוסדר לצורך מינוי ממונה על הגנת הפרטיות בהתאם לדינים החלים ביחס להליכי מינוי בגופים אלו, ולפחות בחלק מהגופים קיים קושי מעשי בהשלמת הליך המינוי עד למועד כניסת החוק לתוקפו, הרשות להגנת הפרטיות לא תנקוט הליכי אכיפה בכל הנוגע למינוי זה עד ליום 31.10.2025.

גופים שעד למועד זה לא יסיימו את הליך המינוי אך כן יוכיחו כי נקטו בצעדים משמעותיים לשם חובת מינוי זאת (כגון פרסום מכרז או קול קורא), יינתן להם פרק זמן קצר נוסף להשלמת התהליך, במסגרת מדיניות האכיפה של הרשות.

בית המשפט המחוזי אישר תובענה ייצוגית נגד מטא בנושא מנגנון ההסכמה לשימוש במידע אישי של משתמשים לצורכי פרסום

ב- 9.7.2025 אישר בית המשפט המחוזי מרכז בלוד תובענה ייצוגית נגד Meta Platforms, Inc (לשעבר פייסבוק).
התובענה התמקדה באופן השימוש של מטא במידע אישי של משתמשים, לרבות שמות  ותמונות פרופיל, בפוסטים פרסומיים המוצגים לחברים של המשתמשים. 
התובעים העלו שתי טענות עיקריות:

1.  לא התקבלה הסכמה מדעת לשימוש זה במידע אישי, מה שמהווה פגיעה בפרטיות על פי חוק הגנת הפרטיות, תשמ"א-1981 ובפרט סעיף 2(6), האוסר על שימוש באדם, בכינויו או בתמונתו למטרות רווח, כלומר ללא שיקוף ראוי של השלכות הסכמת המשתמשים אלא נדרשו לאשר הצהרה כללית מבלי שהובהר להם כאמור, כי יש לכך השלכות על פרטיותם.

2.  הסעיף בתנאים המקוונים של מטא המתיר שימוש במידע האישי של משתמשים למטרות רווח מהווה תנאי מקפח כמשמעותו בחוק החוזים האחידים ומשכך – יש לבטלו.

מטא מצידה טענה כי הסעיפים הרלוונטיים אינם מקפחים (ולכן אין לבטלם), מאחר ולמשתמשים הייתה יכולת לבחור להפסיק (opt-out) את איסוף המידע באמצעות שינוי הגדרות המשתמש.

התובעים בתגובה טענו, כי התנאים המקוונים לא הבהירו מפורשות כי למשתמשים עומדת אפשרות בחירה כזו. בית המשפט הסכים עם טענת מטא, אך הדגיש כי קיומה הטכני בלבד של אפשרות opt-out,
ללא יידוע מספק לגביה, אינה מקטינה מאופיו המקפח של ההסדר.

"הוכרתי כהלום קרב לפני שנה וחצי": ארגון נכי צה"ל בנה אתר באמצעות AI –מידע רגיש נחשף

ארגון נכי צה"ל, הקים אתר באמצעות בינה מלאכותית (LLM) ובו אפשר יהיה להגיש מועמדויות ל"אטלס", תכנית מנהיגות של הארגון.

לצורך הקמת האתר, השתמש הארגון במערכת של חברת Base44, שבונה אתרים קטנים ואפליקציות.

האתר היה גלוי לציבור וניתן היה לגשת אליו בקלות יחסית.מועמדים התבקשו להזין נדרשו להזין בנוסף לפרטיהם האישיים, גם את סיפוריהם האישיים,כולל פירוט על מבצעים, שמות ותאריכים.
פרצת אבטחה באתר הביאה לחשיפת פרטיהם האישיים של למעלה מ- 500 איש.

הבעיה נבעה מבעיות אבטחה שמקורן במערכת הבינה המלאכותית שבונה קוד באופן אוטומטי.

המשתמשים כמובן לא היו מודעים לסכנה ולא היו ברשותם הכלים לבדיקה האם הקוד שנוצר אכן מאובטח.
הארגון מסר כי מרגע קבלת הדיווח, התקלה הנקודתית טופלה תוך סגירה והסרת האתר (דף הנחיתה).

כמו כן הודיע, כי לא ייעשה יותר שימוש בפלטפורמות כגון Base44 או טכנולוגיות LLM דומות שבהן עלול להיאסף מידע אישי וכן, הוגדרו נהלים חדשים למניעה הישנות מקרים כאלה.  

מחיקת רישום מאגר מידע

תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, צמצם את חובת מאגרי המידע בישראל.

בעל השליטה במאגר המידע רשאי לבקש את מחיקת רישומו של מאגר המידע מפנקס מאגרי המידע המנוהל על ידי הרשות להגנת הפרטיות. זאת בתנאי שמתקיימים התנאים הקבועים בחוק וכי הבקשה תיתמך בתצהיר המעיד כי המאגר אינו קיים עוד, או שאינו מחויב עוד ברישום (הועבר או נמחק).

מחיקת מאגר מידע מפנקס מאגרי המידע, אינו פוטר את בעל השליטה או המחזיק במאגר בחובות המוטלות עליו מכוח החוק, ובכלל חובת ההודעה בהתאם לסעיף 8א(ב) לחוק – מאגרים הכוללים מידע בעל רגישות מיוחדת, ומספר נושאי המידע לגביהם קיים מידע כאמור עולה על 100,000 מחויב בעל השליטה במאגר:

1. הודעה לרשות על ידי בעל השליטה, בתוך 30 יום מהיום בו התקיים התנאי, על קיום המאגר ופרטיו.

2. הודעה לרשות בתוך 30 יום מיום השינוי או הפסקת הפעילות, על כל שינוי בזהות בעל השליטה או בזהות הממונה על הגנת הפרטיות ודרכי ההתקשרות עמם.

3. הודעה על שינוי המחייב עדכון של מסמך הגדרות המאגר בהתאם לתקנות לפי סעיפים 17(ב) ו- 36, ועל הפסקת פעילות המאגר.

להלן קישור לבקשה למחיקת מאגר מידע שאינו חייב ברישום.

הגנת הפרטיות בעולם

שקיפות וציות בקוד ה־GPAI

מאוגוסט 2025 נכנסו לתוקף חובות חדשות לספקי מודלי בינה מלאכותית כללית - GPAI. אלא שהתקנים האירופיים הרשמיים שיגדירו איך בדיוק לעמוד בדרישות, צפויים להגיע רק ב־2027 ואולי מאוחר יותר. כדי לא להשאיר חלל רגולטורי, האיחוד האירופי פרסם את "קוד התרגול" שהיא מסגרת וולונטרית, המאפשרת לספקים להראות עמידה בחוק בתקופת הביניים.

הקוד מוזכר במפורש בסעיף 56 לחוק ה־AI, ואינו מחייב מבחינה פורמלית. עם זאת, בפועל הוא הופך לכלי העיקרי שמספקי מודלים יכולים להסתמך עליו כדי להראות שהם עומדים בהתחייבויות שבחוק. מי שיבחר שלא לאמץ אותו, יידרש להוכיח עמידה בדרכים אחרות, בדרך כלל יותר מורכבות ומכבידות.

הקוד כולל שלושה פרקים מרכזיים:

1. שקיפות: דרישה מכל ספק לתעד בצורה שיטתית ומעודכנת כל מודל: מפרט טכני, נתוני אימון, שימושי אנרגיה וחומרה, מגבלות ויכולות. התיעוד נשמר ל־10 שנים ונגיש לרגולטורים ולמשתמשים.
2. זכויות יוצרים: קביעת מדיניות ברורה לאיסוף ושימוש בנתונים, ציות לאותות דיגיטליים, מנגנון תלונות לבעלי זכויות, וצמצום סיכוי להפקת תכנים מפרים.
3. בטיחות וביטחון (רק למודלים בעלי סיכון מערכתי): צעדים מחמירים עבור מודלים רבי־עוצמה במיוחד, המוגדרים ככאלה שאומנו בהיקף חישובי עצום (מעל ‎10^25 FLOPS). הדרישות כוללות הערכות סיכונים מתקדמות, red teaming, אבטחת סייבר ברמה גבוהה, דיווח מהיר על תקריות חמורות, וממשל פנימי שמבטיח אחריותיות ושקיפות. גם כאן יש חובת שמירת תיעוד עשירה לעשור לפחות.

מי זה נוגע לו?

• כל ספק של מודל GPAI נדרש לעמוד בפרקי השקיפות וזכויות היוצרים.
• הדרישות המחמירות יותר חלות רק על קומץ קטן של חברות ענק- כיום מוערך שמדובר בכ־11 ספקים בלבד ברחבי העולם.
  
  

רוב החברות הגדולות חתמו, ובינהן גוגל, מיקרוסופט, OpenAI, Anthropic ועוד. החתימה אינה חובה, אבל היא משתלמת: היא מקלה על פיקוח עתידי ואף עשויה להילקח בחשבון בהפחתת קנסות. החריגות הבולטות הן Meta וחברות מבוססות־סין, שלא הצטרפו נכון לעכשיו. למרות שהכללים נכנסו לתוקף באוגוסט 2025, סמכויות האכיפה המעשיות של ה־AI Office יופעלו רק באוגוסט 2026. לגבי מודלים שהושקו לפני 2025, ההסתגלות מתארכת עד 2027. עם זאת, כבר עכשיו ברור שהנציבות תתמקד קודם כול בחברות שחתמו על הקוד, ותדרוש מהן להראות יישום בפועל של ההתחייבויות.

הנחיות חדשות לשיפור הכשירות וההכשרה של ממוני פרטיות במלזיה

ב־2 באוגוסט 2025 הודיעה רשות הגנת המידע במלזיה על פרסום שלוש הנחיות חדשות שמטרתן לשפר את איכות ההכשרה והיכולות של ממוני הגנת מידע הכוללות:

1. הנחיות כשירות ה־DPO שקובעות מהן המיומנויות והיכולות הבסיסיות שנדרשות מממונה פרטיות: מתן ייעוץ ותמיכה, ניהול סיכונים, פיקוח על עמידה בחוק, ביצוע ביקורות ודיווח, עבודה מול רגולטורים ונושאי מידע. ההנחיות מציעות מודל של ידע–מיומנויות–יכולות ומבדילות בין רמה בסיסית לרמה מתקדמת.
   
   
2. מפת הדרכים להכשרה ופיתוח מקצועי של DPOs הכוללת מתווה מסלול הדרכה והסמכה דו־שלבי, שמספק ל־DPO מסגרת להתפתחות מקצועית שיטתית ובסיס להסמכה מוכרת.
   
   
3. הנחיות לספקי הכשרות DPO –  יוצרות סטנדרט אחיד לאיכות ולרלוונטיות של קורסים והדרכות, כדי לוודא שמי שמכשיר DPO באמת נותן להם את הכלים הנדרשים לתפקיד.

המהלך נועד להבטיח שממוני פרטיות במלזיה יהיו בעלי הכשרה מקצועית אחידה ואיכותית, עם מסלול התפתחות ברור, ושהשוק לא יוצף בהכשרות "חובבניות". בכך, מחזקת רשות הגנת המידע במלזיה את מעמד ה־DPO בהבטחת עמידה בחוקי הגנת המידע המקומיים.

הצעת חוק חדשה להסדרת שימוש בבינה מלאכותית בתקשורת בניו יורק

ב־7 ביולי 2025 הועברה לוועדת הכללים בסנאט של מדינת ניו יורק הצעת חוק Senate Bill 8451, שנועדה להסדיר את השימוש בבינה מלאכותית בגופי חדשות. מטרת ההצעה היא להגן על עובדי החדשות ולחזק את השקיפות כלפי הציבור.

ההצעה כוללת:

1. גופי חדשות יחויבו להודיע לעובדים מתי ואיך נעשה שימוש בכלי AI ביצירת תכנים הכוללים כתיבה, הקלטות, תמלולים ועוד.
2. תוכן שייוצר במידה מהותית על ידי AI יחויב לשאת חותמת שמבהירה זאת לקוראים/צופים.
3. כל תוכן כזה יעבור ביקורת אנושית לפני פרסום.
4. נאסר לאפשר אימון של מערכות AI על בסיס תוצרים של עיתונאים או אנשי מערכת ללא ידיעה, הסכמה ופיצוי הוגן.
5. שימוש ב־AI או בכלי קבלת החלטות אוטומטיים לא יכול לפגוע בזכויות העובדים.

הצעת החוק מבקשת למנוע מצב שבו AI מחליף עובדים אנושיים מבלי שקיפות או תמורה, ובמקביל להבטיח שלציבור תהיה ידיעה ברורה מתי התוכן נוצר על ידי בני אדם ומתי על ידי אלגוריתמים.

Meta נענשית ו-Temu תחת חקירה

חבר מושבעים בקליפורניה קבע כי Meta הפרה את חוקי הפרטיות במדינה כאשר קיבלה גישה לנתונים רגישים ממשתמשות אפליקציית מעקב המחזור Flo ללא ידיעתן או הסכמתן.

האפליקציה שהורדה מעל 180 מיליון פעמים, אספה מידע אינטימי כגון מחזור חודשי, פעילות מינית ותסמינים רפואיים. למרות הבטחות שהמידע יישאר חסוי, חלק מהנתונים הועברו לצדדים שלישיים לשימוש בפרסום ממוקד. בעוד שחברות אחרות בחרו להתפשר מחוץ לכותלי בית המשפט, Meta התעקשה להמשיך במשפט והפסידה.

במקביל, התובע הכללי של קנטאקי הגיש תביעה נגד פלטפורמת המסחר המקוון Temu, בטענה שהיא פוגעת בפרטיות משתמשים. לפי כתב התביעה, Temu עלולה להדביק מכשירים ב-malware, לשאוב נתונים אישיים ולשלוח אותם ישירות לממשלת סין. המהלך מגיע כחצי שנה לפני כניסתו לתוקף של חוק פרטיות הצרכנים החדש של קנטאקי בינואר 2026.

טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.