סיכום שנת 2023: הגנת הפרטיות והמידע |
|
|
|
שנת 2023 כללה התפתחויות משמעותיות בארץ ומחוצה לה בתחומי הגנת הפרטיות והמידע ותחומים משיקים נוספים במגוון תחומי פעילות, ובכלל זה ההתפתחות המשמעותית בתחום AI והתפתחות הרגולציות בארה"ב. התפתחויות אחרות, בתחום הסייבר והרשתות החברתיות, נובעות באופן ישיר מהמלחמה מאז השביעי באוקטובר, וחלקן אף משפיעות כבר עתה על גופים שונים בישראל ובחו"ל.
על-מנת שתוכלו להתעדכן ולהיערך בהתאם, ריכזנו עבורכן.ם את עיקר העדכונים והדגשים המרכזיים שהתרחשו במהלך השנה החולפת.
|
|
|
|
| השפעת המלחמה על הרגולציה במרחב הרשתי: אכיפת חקיקה והנחיות להתנהלות נכונה
בדיוור שפרסמנו בחודש אוקטובר סקרנו את הנחיות הרשויות להתנהלות נכונה במרחב הדיגיטלי שפורסמו על רקע מתקפת הטרור וכן את המהלכים התקדימיים באכיפת חוק ה- Digital Service Act (DSA) של האיחוד האירופי כנגד הרשתות החברתיות לאור פרסומים התומכים במעשי הזוועה שביצע ארגון החמאס בשביעי באוקטובר (כמפורט למטה בהרחבה). לקריאת הדיוור. |
| תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד-2023
בעקבות ההתגברות של תקיפות סייבר כנגד מדינת ישראל וכנגד גופים המזוהים עם ישראל במהלך המלחמה, הממשלה פרסמה בחודש נובמבר תקנות שעת חירום שנועדו להסמיך את גופי הביטחון לתת לחברות המספקות שירותים דיגיטליים או שירותי אחסון הוראות לביצוע פעולות במקרה של (א) מתקפת סייבר חמורה, (ב) חשש ממשי לפגיעה בביטחון המדינה או הציבור, או (ג) חשש לפגיעה בקיום האספקה והשירותים החיוניים, וזאת לצורך איתור התקיפה, מניעתה או בלימתה. במקביל לפרסום התקנות, פורסם תזכיר חוק בעל תוכן דומה אשר נועד להחליף את התקנות עם אישורו בכנסת.
לקריאת התקנות. |
|
|
|
תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023
ביום 7.8.23 נכנס לתוקף הרובד הראשון של תקנות "הגישור" שעניינן העברת מידע מהאזור הכלכלי האירופאי לישראל נכנס לתוקף. כפי שפרסמנו בעבר, התקנות, אשר פורסמו ביום 7.5.23, חלות על מאגרי מידע בישראל הכוללים מידע אישי שמקורו באזור הכלכלי האירופי (EEA), למעט מידע שהעביר במישרין אדם אודותיו. בנוסף, התקנות חלות גם על כל מידע המצוי במאגר מידע בישראל הכולל מידע שהועבר מהאזור הכלכלי האירופי כאמור. התקנות מרחיבות את זכויות הפרטיות הקיימות במסגרת חוקי הפרטיות הישראליים הנוכחיים ומשוות אותן ל-GDPR, על מנת לאפשר לישראל לשמור על החלטת התאימות (Adequacy) מול האיחוד האירופי. בשלב זה התקנות חלות על כל מידע שהתקבל במאגר מידע בישראל החל ממועד פרסומן של התקנות, ביום 7.5.23.
לקריאת התקנות. |
| הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
משרדנו השתתף בדיונים ועדת חוקה, חוק ומשפט של הכנסת בנוגע לתיקון חוק הגנת הפרטיות ואף הגיש מסמכי עמדה במסגרת הליך החקיקה. הדיונים בהצעת החוק שאושרה בקריאה ראשונה בכנסת הקודמת, חודשו זה מכבר בעצימות גבוהה במהלך דצמבר 2023. הצעת החוק היא משמעותית וכוללת הרחבת סמכויות האכיפה של הרשות להגנת הפרטיות, הגדלת הסנקציות המנהליות והעיצומים כספיים בגין הפרת הוראות חוק הגנת הפרטיות ותקנותיו, עדכון כלל העבירות ביחס למאגרי מידע, עדכון ההגדרות המהותיות בחוק וצמצום משמעותי של חובת רישום מאגרי מידע. הצעת החוק תחזק משמעותית את משטר הסנקציות והאכיפה הנוכחי, ותאפשר לרגולטור לנקוט בצעדי אכיפה ביעילות רבה יותר. זוהי האסדרה המשמעותית ביותר בדיני פרטיות בשנים האחרונות.
לקריאת הצעת החוק.
לקריאת חומרי הרקע של הישיבה האחרונה. |
|
|
|
בשנת 2023 פעלה הרשות ביתר שאת כנגד הפרות דיני הגנת הפרטיות וקבעה שמונה הפרות שונות כנגד גופים ציבוריים, דו-מהותיים, ופרטיים. להלן אירועי האכיפה והקנסות העיקריים שניתנו: |
|
|
|
| בתחילת שנת 2023 נקנסה חברת "דאטה אונליין" בסכום של 320,000 ₪ לאחר שסחרה במאגרי מידע שלא כדין ומכרה מידע אישי על מליוני אזרחים, תוך שסיפקה שירותי טיוב מידע לעשרות חברות וגופים שונים במשק – ציבוריים ופרטיים. לקריאה נוספת. |
| בתאריך 12.1.2023 ניתן קנס מנהלי בסך 95 אלף ₪ כנגד עובד מדינה שניצל גישתו למאגר מידע ממשלתי, שלף מידע רגיש ממאגרי המידע של רשות המיסים ללא הרשאה תוך ניצול מעמדו לרעה, ופרסם מידע אישי בקבוצת פייסבוק.
|
|
|
|
מסמך עקרונות מדיניות, רגולציה ואתיקה בתחום הבינה המלאכותיתמשרד החדשנות, המדע והטכנולוגיה ומחלקת ייעוץ וחקיקה במשרד המשפטים פרסמו ביום 18.12.23 מסמך מדיניות רגולציה ואתיקה בתחום הבינה המלאכותית, להנחיית משרדי הממשלה והרגולטורים לגיבוש מדיניות בנושא, בהתאם לעקרונות כמו שקיפות, שמירה על זכויות יסוד, אינטרסים ציבוריים ועוד.לקריאה נוספת. |
| גיבוש חקיקה בנושא בינה מלאכותית באיחוד האירופי
האיחוד האירופי השלים ביום 8.12.23 את גיבושה של חקיקת בינה מלאכותית (AI) מקיפה, שתסדיר את השימוש בטכנולוגיה זו ותתמודד עם השלכותיה החברתיות והכלכליות. החקיקה תציב סטנדרט בינלאומי לשימוש בטכנולוגיה לצד יצירת מנגנוני הגנה.
|
|
|
|
דיון בכנסת בנוגע לסיכוני AI ביצירת מידע כוזבוועדת המשנה לבינה מלאכותית וטכנולוגיות מתקדמות בכנסת דנה בשבועות האחרונים בתופעת השימוש בבינה מלאכותית ליצירת מידע כוזב סביב הלחימה בדרום, בנוכחות נציגי חברות הממשלה וכן נציגי ענקיות הטכנולוגיה. במסגרת הדיונים, נדונה גם סוגיית פרטיות המשתמשים ברשתות החברתיות ומעורבותה הנדרשת של הרשות לצורך פיקוח על הסיכונים הטמונים בפלטפורמות תוכן ורשתות חברתיות גלובליות. לקריאת המסמך. |
| |
|
|
תזכיר לתיקון חוק שירות הביטחון הכללי, התשס"ב-2002
ביום 11.12.23 פרסם משרד ראש הממשלה תזכיר, המהווה תיקון ראשון מאז שנת 2002 לחוק שירות הביטחון הכללי, שמטרתו להקנות לשב"כ סמכויות נרחבות בזירת הטכנולוגיה והסייבר כמו עריכת חיפוש סמוי במחשבים ובטלפונים ניידים ללא ידיעת בעליהם, קבלת גישה גורפת למאגרי מידע של רשויות המדינה ועוד.
|
| זכות העיון הפרטית בנוגע למאגרי המידע של גופי הביטחון והרשויות הממשלתיות המנויים בסעיף 13(ה) לחוק הגנת הפרטיות
ביום 6.8.23 פרסמה הרשות מסמך בנושא זכות העיון הפרטית בנוגע למאגרי המידע של גופי הביטחון והממשלה המנויים בסעיף 13(ה) לחוק הגנת הפרטיות. הרשות מבהירה במסמך כי בהתאם לחוק ולפסיקת בתי המשפט, הגופים המנויים אינם פטורים מלבחון בקשות עיון "אוטומטית", אך באפשרותם לשקול את החריג בהתאם לסוג המידע ורגישותו.
|
|
|
|
פרטיות בהתקשרויות עם ספקים ומחזיקים |
|
|
|
הפרוססור הישראלי: ההבדל בין "גורם חיצוני" בתקנה 15 בתקנות אבטחת מידע, לבין "מחזיק" בחוק הגנת הפרטיות
תקנה 15 בתקנות תקנות אבטחת מידע מפרטת את החובות החלות על בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות הכרוך במתן גישה למאגר המידע, ומטרתה להתמודד עם הסיכונים המיוחדים שמתן גישה זו יוצרת לארגון. לעומת זאת, בחוק עצמו קיימת התייחסות רק ל"מחזיק" המארח את המידע בשרתיו או שיש לו גישה קבועה למידע. לאחרונה הבהירה הרשות את ההבדלים ונקודות החפיפה "גורם חיצוני" ל"מחזיק" במקרים שונים בכדי ליצור בהירות וגם הרמוניזציה בין החוק לתקנות.
|
| | מדריך פעולה להתקשרות עם ספקי מיקור חוץ - תקנה 15 לתקנות אבטחת מידע
בתאריך 14.9.2023 פרסמה הרשות מדריך שמטרתו לסייע לארגונים ליישם את הוראותיה של תקנה 15 בתקנות אבטחת מידע. המדריך מתייחס בפירוט לתוכן ההסכם המתחייב בין בעל המאגר לספק, והוא כולל שני נספחים לשימוש הארגונים: שאלון עזר לבדיקת היבטי אבטחת המידע של הספק, ושאלון מוצע לאופן ביצוע הבקרה התקופתית אצל הגורם החיצוני.
|
|
|
|
פרטיות בשינויי בעלות במאגרי מידע |
|
|
|
| טיוטת הנחיה בנושא העברת בעלות במאגר מידע
בסוף 2022 פרסמה הרשות טיוטת הנחיה מעודכנת בנושא העברת בעלות במאגר מידע. ההנחיה מבהירה את האופן בו מפרשת הרשות את הוראות חוק הגנת הפרטיות בנוגע להעברת בעלות במאגר מידע. הרשות מציינת כי שינוי בזהות בעל המאגר עשוי להיות משמעותי עבור נושאי המידע ולהשפיע על זכויותיהם, שכן ייתכן כי זהותו של בעל המאגר הייתה שיקול בקבלת החלטת נושא המידע בדבר מסירת המידע, ומשכך מוטלות חובות על בעל המאגר המעביר ועל בעל המאגר הנעבר בקשר עם ההעברה. לקריאת הטיוטה. |
|
|
|
טיוטת הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות אבטחת מידע
ביום 7.9.23 פרסמה הרשות טיוטת הנחיה להערות הציבור בנושא תפקיד הדירקטוריון בקיום חובות החברה לפי תקנות אבטחת מידע. לדעת הרשות, בחברות אשר עיבוד מידע אישי מצוי בליבת פעילותן או שפעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות, על הדירקטוריון לקבוע כללים לעניין הגורמים האחראים על תחומים אלו וכן לפקח ולבקר על כך. עמדת הרשות מבטאת בפועל הגברה של האחריות החלה בצורה ישירה על הדירקטורים בחברה. הנחייה זו מבהירה מחדש את חובת הזהירות הנדרשת מדירקטורים בכל הקשור למודעות לאבטחת מידע ולקיום דרישות חוק הגנת הפרטיות ותקנותיו, וכן את הצורך בהשכלת דירקטוריונים בנושא.
|
| סדנה לממוני הגנת הפרטיות (DPO)
בספטמבר האחרון פרסמנו את ההנחיות והדגשים לממוני הגנת הפרטיות בארגון, כפי שעלו בסדנה לממוני הגנת פרטיות (DPO) שהתקיימה במשרדנו. הסדנה התקיימה ביוזמת ארגון יועמשים למען יועמשים, ובהשתתפות נציג הרשות להגנת הפרטיות וממוני הגנת הפרטיות מארגונים שונים, ובמהלכה דנו בסוגיות הנוגעות לתפקידיהם של ממוני הגנת הפרטיות בארגונים, לרבות סמכויותיהם, אחריותם, והפונקציות אותן הם אמורים למלא.
לקריאת הפוסט. |
|
|
|
מסמך בנושא היבטי פרטיות במעקב אחר עובדים ועובדות בעבודה מרחוקביום 22.5.2023 פרסמה הרשות מסמך הסוקר באופן מקיף היבטי מעקב של מעסיקים באמצעות אמצעים טכנולוגיים שונים אחר עובדים המבצעים את עבודתם מחוץ למקום עבודה, נושא אשר טומן בחובו סכנה להגנה על פרטיות העובדים לרבות בני משפחה וקטינים. הרשות הצביעה על סיכונים שונים כגון איסוף מידע בהעדר הסכמה, פוטנציאל לדלף מידע רגיש, ושימוש לרעה. לאור זאת, הנחתה הרשות כיצד לשמור על עקרונות דיני הפרטיות בעת ביצוע ניטור כאמור.לקריאת המסמך. |
| גילוי דעת בנושא איסוף נתוני מיקום של עובדים ועובדות באמצעות אפליקציות ומערכות איכון ברכב
ביום 3.8.2023 פרסמה הרשות גילוי דעת בנושא איסוף נתוני מיקום של עובדים ועובדות באמצעות אפליקציות ייעודיות ומערכות איכון ברכב, לאור הגברת השימוש ע"י מעסיקים בכלים טכנולוגיים לניטור ופיקוח. לדעת הרשות, על המעסיקים לבצע זאת תוך עמידה בהוראות חוק הגנת הפרטיות, ובתוך כך לבחון האם השימוש מתאים לסוג העבודה, ועולה בקנה אחד עם דרישת המידתיות כך שהתועלת עולה על הנזק והפגיעה בזכות העובד לפרטיות.
|
|
|
|
פסיקת בג"ץ בנוגע לשימוש בראיות שהתקבלו ממצלמות אבטחהגם לפתחו של בית המשפט הגיעה סוגיית ניטור עובדים במקום העבודה, כאשר בספטמבר האחרון נדחתה עתירה של עובדת לשעבר בחברת אל על. העובדת טענה כי פוטרה בשל ראיות שהתקבלו ממצלמות אבטחה שהוצבו בשטחים ציבוריים וללא יידוע והסכמתה המודעת והחופשית, ומשכך יש לפסול ראיות אלו. בג"ץ לא פסל את הראיות במקרה זה, אך אשרר את קביעת בית הדין לעבודה לפיה דרך המלך היא יידוע העובדים על השימוש במצלמות לצורך קיום הסכמה מדעת ומכוח חובת ההגינות ותום הלב המוגברות של המעסיק. לקריאת הפסיקה. |
| |
|
|
| המלצות בנוגע לאפליקציות תשלומים בתחבורה ציבורית
ביום 29.12.2022 פרסמה הרשות מסמך המלצות להתנהלות נכונה בעת השימוש באפליקציות (יישומונים) לתשלום ולתיקוף שירותי תחבורה ציבורית, לשם צמצום הפגיעה בפרטיות הנוסעים. לאור הנתונים הרגישים הנאספים בעת השימוש, כמו למשל נתוני רישום, נתוני מכשיר, ונתונים התנהגותיים שונים, המליצה הרשות למשתמשים על מספר צעדים, ביניהם הסכמה לשיתוף המיקום באופן סלקטיבי ומחיקת האפליקציה בעת סיום השימוש בה. לקריאת המסמך. |
|
|
|
איסוף מספרי תעודות זהות וצילומם על ידי בתי עסק
ביום 14.6.2023 פרסמה הרשות להערות הציבור טיוטת גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות, זאת לאור עלייה בדרישות בתי עסק מלקוחות למסירת פרטים אלו לצורך מתן שירות. בהתחשב ברגישות המידע והיקפו, התייחסה הרשות ללגיטימיות ולחוקיות דרישת פרטים אלו, וקבעה מספר דגשים לעניין זה, ובכללם כי מספר תעודת זהות וצילום תעודת זהות מהווה מידע מוגן לפי חוק הגנת הפרטיות וכי יש להימנע מלדרוש צילום תעודת זהות אלא במקרים חריגים.
|
| ממצאי פיקוח רוחב בגופי קמעונאות
ביוני 2023 פרסמה הרשות ממצאי הליך פיקוח רוחב בקרב מגזר הקמעונאות, שבחן 25 גופים ביניהם מתחומי הפארם, האופטיקה, המזון והדלק. הדו"ח העלה כי קיימת רמת עמידה גבוהה בהוראות חוק הגנת הפרטיות והתקנות מכוחו בשקלול כל התחומים שנבדקו בקרב רוב הגופים שנבחנו.
|
|
|
|
ממצאי פיקוח רוחב בבתי אבות והוסטלים
בינואר 2023 פרסמה הרשות דו"ח ממצאי פיקוח רוחב בבתי אבות והוסטלים, בקרב 31 בתי אבות והוסטלים בישראל. מהדו"ח עולה כי קיימת רמת עמידה נמוכה במרבית הקריטריונים הבוחנים את אופן הגנת המידע והגנת הפרטיות בקרב מגזר זה, בעיקר בתחומי שימוש בשירותי מיקור חוץ ובקרה ארגונית.
|
| |
|
|
EU-US Data Privacy Framework
בחודש יולי 2023 אישרה נציבות האיחוד האירופי את מנגנון ההעברה החדש בין האיחוד האירופי לארה"ב, במטרה להקל על העברתם של מידע אישי של אירופאים לחברות אמריקאיות תוך הבטחה כי סוכנויות הבין האמריקאיות יוכלו לגשת לנתונים כאמור רק במידת הצורך ובמידתיות הנדרשת. על אף שארה"ב לא נחשבת כמדינה נאותה, המנגנון מאפשר להעביר נתונים אישיים הכפופים ל-GDPR לחברות אמריקאיות אשר יעמדו בסטנדרטים מסוימים של פרטיות. לקריאת המסמך. |
| פתיחת הליכים נגד X
כחלק מאכיפת ה-Digital Service Act (DSA) בנוגע לתוכן ברשת החברתית כאמור, בעקבות הטבח בשביעי באוקטובר, נפתחו הליכים נגד X (טוויטר) בנוגע לתוכן אלים ומסית שהופץ ברשת החברתית נגד ישראל. בדצמבר 2023 פתח האיחוד האירופי במהלך תקדימי באכיפת ה- DSA כשהורה על פתיחה בחקירה מעמיקה ועל הליכי הפרה פורמליים נגד X בחשד להפצת תוכן בלתי חוקי ודיסאינפורמציה, בכל הקשור למתקפת הטרור. לקריאה נוספת. |
|
|
|
גוגל תיאלץ לשלם 5 מליארד דולר בייצוגית שהוגשה נגדה בנוגע למוד incognito
הסדר בתביעה ייצוגית שהוגשה כנגד גוגל בקליפורניה – על סך 5 מיליארד דולר בגין מעקבים שנטען שביצעה בחשאיות אחרי מיליוני גולשים בדפדפן "כרום", ואף כשהופעל במצב "פרטי", באמצעות פלטפורמות גוגל אנליטיקס, אד מנג'ר ואפליקציות נוספות. בימים האחרונים דווח כי הצדדים הגיעו להסדר שיובא לאישור בית המשפט בפברואר 2024. לקריאת הכתבה. |
| תביעות ייצוגיות נגד Open AI
בשנה האחרונה הוגשו מספר תובענות ייצוגיות כנגד חברת OpenAI, מפתחת ChatGPT, בטענות של איסוף כמויות גדולות של מידע אישי מרחבי האינטרנט ללא רשות, וכן בגין העברת מידע אישי לצדדים שלישיים וחשיפת קטינים לתכנים בלתי הולמים. יודגש כי הוגשה לאחרונה גם בישראל בקשה לאישור תובענה כייצוגית. לקריאה נוספת. |
|
|
|
אכיפה תקדימית נגד Meta
בתאריך 22.5.2023 הטיל האיחוד האירופי קנס שיא של 1.2 מיליארד יורו על חברת META בשל העברת מידע של משתמשים לשרתים בארה"ב מבלי שעמדה בסטנדרט הפרטיות המחמיר הקבוע ע"י האיחוד האירופי, שנועד בבסיסו להגן על נתוני המשתמשים מפני גופי ביון אמריקאים. מדובר בקנס הגבוה ביותר שהטיל האיחוד האירופי על הפרות חוקי ההגנה על נתוני המשתמשים עד כה.
|
|
אכיפה נגד אמזון בגין הפרת דיני הפרטיות
גם אמזון נקנסה בקיץ האחרון בסך 30 מיליון דולר בעקבות מספר עבירות על דיני הגנת הפרטיות, לפי כתב אישום שניתן מטעם ועדת הסחר הפדרלית של ארצות הברית (FTC). בתוך כך, נקבע כי אמזון הפרה את חוקי הפרטיות ביחס למערכת הקולית (Alexa) והמערכת הביתית (Ring), כאשר הקליטה ושמרה קולות ומיקום ילדים מבלי יידוע וכן אפשרה גישה בלתי מורשית למידע רגיש הכולל תצלומים ביתיים ואף מאזורים פרטיים ללא יידוע או הסכמה.
|
|
|
|
| המשך מגמת החקיקה המדינתית בארצות הבריתבארצות הברית ניתן לראות כי מגמת החקיקה הנוגעת לדיני הגנת הפרטיות מתקדמת בקצב מסחרר ונמצאת בשיא של כל הזמנים. בתוך כך, ניתן להצביע על מרוץ לחקיקתם של חוקי הגנת פרטיות מתקדמים ב-12 מדינות שונות, שבהעדר חוק פדרלי מקיף יספקו לצרכנים האמריקאים שליטה ובחירה ביחס למכירת מידע אישי על אודותם והשימוש שנעשה בו. לקריאה נוספת. |
|
|
|
|
|
|
|
