• הצעת חוק הגנת הפרטיות (תיקון מספר 14), התשפ"ב – 2022. הצעת החוק העיקרית לתיקון חוק הגנת הפרטיות עברה בקריאה ראשונה ועד לפיזורה של הכנסת הקודמת נדונה בוועדת חוקה, חוק ומשפט, בין היתר בהשתתפות משרדינו). ההצעה כוללת תיקונים והרחבות משמעותיות לעניין סמכויות האכיפה של הרשות להגנת הפרטיות, כמו גם שינויי ההגדרות בליבת החוק וצמצום חובת רישום מאגרי מידע.
   
• טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי). הטיוטה פורסמה כחלק מהבחינה המחודשת של האיחוד האירופי להכשר שניתן לישראל בשנת 2011 על ידי נציבות האיחוד האירופי כמדינה המספקת רמת הגנה נאותה על מידע אישי (Adequacy Decision). התקנות צפויות להחיל חובות מוגברות על בעלי מאגרי מידע בישראל המעבדים מידע אישי שהגיע מאירופה שלא על ידי נושא המידע עצמו (דהיינו באופן עקיף). בעיקר מדובר על מימוש זכויות של נושאי מידע אשר לא קבועות באופן מפורש בחוק הישראלי, כמו למשל מחיקה, דיוק מידע, יידוע, ומגבלה על החזקת מידע עודף.
   

• גילוי דעת של הרשות בנוגע לפרשנות המונחים "מידע" ו"ידיעה על ענייניו הפרטיים של אדם" בחוק הגנת הפרטיות. כחלק מהמהלך להתאים את הוראות חוק הגנת הפרטיות הוותיק לפרשנות עדכנית ולצורך הגדלת הוודאות המשפטית – הרשות מפרסמת גילוי דעת בנוגע למונחי יסוד אלה, בין היתר בהתאם לפרשנות שניתנה בעבר על-ידי בית המשפט. כך למשל, המונח "מידע" כולל בין היתר נתונים מזהים אשר עשויים לשמש "מפתח" המאפשר גישה למידע על אודות אדם, כמו למשל תעודת זהות; ואילו "ידיעה" תיקבע לפי מכלול הנתונים הרלוונטיים בכל עניין, כמו למשל כתובת, טלפון, מספר חשבון בנק או כרטיס אשראי אשר כוללים פרטים אישיים על אודותיו של האדם.
   
• טיוטת הנחיית הרשות בנושא העברת בעלות במאגר מידע לפי חוק הגנת הפרטיות. טיוטת הנחייה זו (המחליפה טיוטת הנחייה קודמת משנת 2017) קובעת הוראות לעניין שינויים במבנה הבעלות של מאגרי מידע, כמו למשל בקשר למצבים כמו מיזוג או מכירה של חברה או פעילות, העלולים להשפיע על נושאי המידע וזכויותיהם. במסמך, מדגישה הרשות את הקריטריונים בהם תידרש הסכמה opt-in להבדיל מהסכמה opt-out, איזה סוג של גילוי ו/או הסכמה יידרשו מול נושאי המידע, כמו גם העקרונות לשימוש במידע על-ידי הרוכש.
   

• מדריך העזר לעריכת תסקיר הגנת הפרטיות. המדריך שפרסמה הרשות דן בתסקיר השפעה על הגנת מידע Privacy Impact Assessment)) אשר נדרש לבצעו מעת לעת בקרב חברות לצורך איתור, הערכה וניהול סיכונים בתחומי הפרטיות בפעילות החברה הכוללות עיבוד של מידע אישי. המדריך מפרט את השלבים השונים בביצוע תסקיר כאמור, לרבות הנחיות פרטניות לביצועו וההערכות המתבצעות במסגרתו, גורמים רלוונטיים לעניין, וכן תיקופו ואישורו של התסקיר – ומסייע לגורמי מקצוע לנהל פרויקטים מסוג זה.
   
• הנחייה בנוגע למינוי ממונה הגנה על הפרטיות בארגון ותפקידו. הנחייה זו שיצאה בחודש ינואר קבעה המלצה לעניין מינוי ממונה ארגוני על תחום הגנת הפרטיות ולראשונה ייבאה את תפקיד ה-DPO (Data Protection officer) מהרגולציה האירופית. מדובר במינוי וולונטרי, אולם הרשות מדגישה את היתרונות במינויו של בעל תפקיד זה לצורך עמידה בהוראות החוק (ובחברות רבות כבר מיהרו למנות בעל תפקיד שכזה). המסמך מפרט אודות הידע וההכשרה הדרושים, פונקציות שונות של הממונה, סמכויותיו ועצמאותו.
   

• שינויים בטופס דיווח אבטחה חמור. לפני השינוי, מדיניות הרשות אפשרה מתן דיווח ראשוני אודות אירוע אבטחה "בתוך 24 מרגע היוודע על האירוע אך לא יותר מ-72 שעות ממועד קרות האירוע". בעקבות שינוי טופס הדיווח, מדיניות הרשות החדשה התיישרה עם ההוראה שבתקנות אבטחת מידע, ומחייבת דה פקטו תגובה מיידית, ללא מרווח תמרון, ללא דיחוי מיותר וללא חריגים שהיו נהוגים בעבר.
   

• גילוי דעת בעניין הגנה על מטופלים בהעברת מידע רפואי באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות. המסמך מתייחס למקרים בהם מתבצעת העברת מידע רפואי באמצעים שאינם ייעודיים, כמו למשל במסגרת התכתבויות בתוכנות מסרים מיידיים וכיו"ב. המסמך מדגיש את הסיכונים וההמלצות ביחס להעברת המידע הרפואי אשר בעל רגישות מיוחדת, אשר רלוונטיים לגופים המעניקים טיפול רפואי, לעובדים בתחום הרפואי ולנותני שירותים שתומכים בהם (אשר במקרים רבים מהווים גורם קצה ולא תמיד מחוברים למערכות המידע הייעודיות).
• גילוי דעת בעניין הגנה על פרטיות מטופלים במתן שירותי רפואה מרחוק. המסמך מפרט המלצות לגורמים המעניקים שירותי רפואה מרחוק, כגון טלרפואה, רפואה באמצעים טכנולוגיים ותקשורת אלקטרונית, לרבות מכשירי ניטור, מכשירים לבישים או מושתלים ושירותי אבחון מרחוק. המסמך עשוי לסייע בניתוח הערכת סיכוני פרטיות לפעילויות מהסוגים האמורים ומסייע בגיבוש המלצות להקטנת הסיכון, למשל בנוגע לטיב הגילוי שיש לכלול בטפסי הסכמה, עקרונות להגנה על המפגש הטיפולי, או תיאום ציפיות באשר לתחולת תוכנית האכיפה של המוסד הרפואי, לרבות בכל הנוגע לעבודה עם ספקי משנה.  
   

• המלצות בנושא היבטי פרטיות בוויתור על סודיות רפואית וחשיפת מידע רפואי בקבלה לעבודה (להערות הציבור). הרשות מאירה על היבטי איסוף מידע רפואי של מועמד לעבודה במגוון אמצעים, אשר לאור רגישותו מחייב עמידה באמות מידה מסוימות כגון הסכמה מדעת, זכות העיון והתיקון, איסוף מידע מינימלי ורלוונטי בלבד, שמירה מוגבלת בזמן ועוד.
   
• מעקב אחר עובדים בעבודה מרחוק (להערות הציבור). המסמך מפרט סיכונים מרכזיים העולים ממעקבים של מעסיקים אחר עובדים באמצעים טכנולוגיים על מנת לפקח על עבודה מרחוק וכדי להגן על מערכות המידע של המעסיק, ובתוך כך מנטרים את פעילותם של העובדים. לאור העובדה כי מדובר במעקב המתבצע בביתו של המעסיק, אשר עלול להפר פרטיותם של בני המשפחה לרבות קטינים, הדגישה הרשות את הסיכונים הרבים העולים מכך ואף הציגה את הנחיותיה למעסיקים בנושא.
   

• המלצות בנוגע לשימוש בכלי תחבורה זעירים שיתופיים שפרסמה הרשות, כוללות המלצות להגנה על פרטיות המשתמשים בעת השימוש בכלי תחבורה אלו וכן התנהלות נכונה בעניין, תוך ניתוח מדיניות הפרטיות ותנאי השימוש של האפליקציות המפעילות את השימוש בקורקינטים חשמליים שיתופיים.
   

• רשות הגנת הפרטיות קנסה חברת "מאגרי מידע" ב-320 אלף שקלים. הרשות קבעה כי חברת "מאגרי מידע" – אשר רכשה ואספה מידע לצורך מכירתו למפרסמים –  ביצעה שימוש וסחר במידע שברשותה שלא כדין ממגוון מקורות, ולא רשמה את מאגרי המידע שלה כנדרש. בעקבות כך, הוטל על החברה עיצום כספי בהיקף חסר תקדים (אולי הקנס הגבוה ביותר שהושת אי פעם בגין הפרות מסוג זה).
   
• פיקוח רוחב יזום שביצעה הרשות בקרב מגזר חברות הביטוח. בעקבות פיקוח רוחב יזום שהרשות ביצעה בקרב 28 סוכנויות ביטוח עלה כי רוב מסוכנויות הביטוח עומדות באופן הולם בהוראות החוק והתקנות הרלוונטיות לעניין הגנת הפרטיות. בנוסף, הדוח מפרט ביחס לאופן שבו הרשות בוחנת עמידה זו, דרישותיה והמלצותיה הספציפיות לעניין. יוער כי הרשות ביצעה פיקוחי רוחב יזומים בגופים רבים במהלך השנה החולפת.
   

• מאגר אל תתקשרו אליי. בהתאם להוראות תיקון מס' 61 לחוק הגנת הצרכן, התשפ"א- 2022, הוצאו תקנות הגנת הצרכן (מאגר להגבלת פניות שיווקיות), התשפ"ב-2022  אשר דה פקטו מרחיבות את ההגנה מפני הטרדת הצרכן באמצעות שיחות טלפון (פרקטיקה אשר לא הוסדרה בחוק הספאם עד כה). התקנות קובעות את הקמתו של מאגר להגבלת פניות שיווקיות של עוסקים למספרי טלפון של צרכנים המעוניינים בהגבלת פניות שיווקיות אליהם, וכן מטילות מגבלות על עוסקים או מי מטעמם בקשר לפניות טלפוניות למי שמספר הטלפון שלו רשום במאגר, למעט חריגים הקבועים בחוק.
   
• הנחיית ממונה הרשות להגנת הצרכן ולסחר הוגן בעניין שימוש בברירת מחדל בעת רכישת מוצר או שירות. ההנחיה פורסמה במסגרת הרצון למגר פרקטיקות של השפעה בלתי הוגנת ופוגעות בחופש בחירתו של הצרכן. ההנחיה עשויה להשפיע על פעולות משפטיות נוספות כגון הסכמה לאיסוף מידע ואופן השימוש בו, הסכמה למדיניות פרטיות, וכן  הסכמה לקבלת דברי פרסומת (בהתאם לחוק הספאם).
   

• מדיניות רגולציה ואתיקה בתחום הבינה המלאכותית בישראל. המסמך שפורסם על ידי שרת החדשנות, המדע והטכנולוגיה (לשעבר) כולל מספר התייחסויות לעניין אתגרי הפרטיות  הנוגעים לפיתוח ושימוש במערכות מבוססות בינה מלאכותית. המסמך מפרט ביחס לאתגרים העולים בעת הפיתוח והשימוש במערכת מבוססות בינה מלאכותית וכיצד הוראות חוק הגנת הפרטיות חלות בעניין זה.
   

• חוק זכויות הפרטיות של קליפורניה (CPRA). ה-California Privacy Rights Act שאומץ בשנת 2020 ייכנס לתוקפו בתחילת 2023, כחלק ממגמה שמרחיבה את חוק הפרטיות לצרכנים בקליפורניה (CCPA, or California Consumers Privacy Act ). ה-CPRA נועד ליצור מסגרת מסדרת ולהגדיר באופן רחב את זכויות הפרטיות של אזרחי המדינה כאזרחים וכצרכנים. בתוך כך, החוק מרחיב לעניין הזכות לעיון במידע ותיקונו, כמו גם הגבלת השימוש בו לרבות בכל הנוגע למכירתו לצדדים שלישיים.
•  .New Standard Contractual Clauses for international transfers (SCC)לאחרונה פורסמו נוסחים חדשים של החוזים הסטנדרטיים שהאיחוד האירופי דורש בנוגע ליצוא של מידע אישי מאירופה אל מחוצה לה, לצורך הגנה נאותה על המידע. בתוך כך, הנוסחים החדשים מאמצים סיווג מחודש לסוגי העברות מידע (controller- controller, controller-processor ועוד) וכן מאפשרים התקשרות המערבת מגוון צדדים. כידוע, לאור העובדה שישראל הוכרזה בשנת 2011 על ידי נציבות האיחוד האירופי כמדינה המספקת רמת הגנה נאותה על מידע אישי (Adequacy Decision), אין צורך בחתימה על טפסי SCC כשהעברת המידע מבוצעת לשטח ישראל בלבד.
   
• טיוטות הסכם Adequacy להעברת מידע אישי מאירופה לארה"ב. טיוטת ההסכם פורסמה על ידי הנציבות האירופית לצורך הכרה בארצות-הברית כמדינה המספקת רמת הגנה נאותה על מידע אישי, צפויה להבשיל ב-2023 לכדי החלטה מחייבת אשר תייתר את הצורך בחתימה על SCC בעת העברות מאזור האיחוד האירופי לארה"ב. מהלך זה נעשה בעקבות פסק הדין הנודע של בית הדין האירופי המכונה Schrems II שהביא לביטול הסדרת העברת המידע הקודם. ככל שההחלטה תהפוך מחייבת, הדבר יועיל ויקל על חברות רבות כמו גם סטרטאפים בעת התקשרויות רבות במסגרתן מידע מועבר לארה"ב.