עדכוני הגנת הפרטיות

Read online | Don't want to receive these emails? Unsubscribe

עדכוני הגנת הפרטיות

לאחרונה פרסמה הרשות להגנת הפרטיות כמה פרסומים בעלי חשיבות לארגונים המנהלים ו/או מעבדים מידע אישי באמצעים דיגיטליים, שאת המרכזיים שבהם נסקור בניוזלטר זה: גילוי דעת שפורסם להערות ציבור בנושא הגדרות "מידע" ו"ידיעה על ענייניו הפרטיים של אדם" בחוק הגנת הפרטיות; מסמך שהופץ להערות ציבור בנושא מידע אישי עודף שנשמר בארגונים; סקירה ודגשים שפורסמו על ידי הרשות בעניין פעולות אכיפה שביצעה; והמלצות לעניין שימוש בסיסמאות חזקות.

גילוי דעת על הגדרות "מידע" ו"ידיעה על ענייניו הפרטיים של אדם" בחוק הגנת הפרטיות
חוק הגנת הפרטיות, התשמ"א-1981 מחיל חובות על בעל מאגר מידע, מחזיק, ומנהל "מאגר מידע" ומקנה זכויות למי ש"מידע" אודותיו מוחזק במאגר, במטרה להגן על פרטיותו של אדם. החוק אוסר על שימוש ב"מידע" המצוי במאגר מידע שלא למטרה שלשמה הוקם מאגר המידע, וכן על שימוש ב"ידיעה על ענייניו הפרטיים של אדם" או מסירתה לאחר, שלא למטרה שלשמה נמסרה הידיעה. עם זאת, הגדרת "מידע" בחוק היא ארכאית, וכוללת רשימה סגורה של סוגי מידע שאינם תואמים את ההגדרה המקובלת ל"מידע אישי" בעולם. "ידיעה על ענייניו הפרטיים של אדם" כלל אינה מוגדרת בחוק.

תזכיר הצעת חוק לתיקון חוק הגנת הפרטיות (שפורסם ביולי 2020), הנועד, בין היתר, להתאים את ההגדרות בחוק לרגולציית הגנת המידע של האיחוד האירופי (ה- GDPR), טרם אושר והפך לדבר חקיקה מחייב. נראה כי על רקע זה הרשות מנסה כעת לצקת תוכן להגדרות ומונחים אלה, באופן שיקרב אותם לסטנדרטים מקובלים בעולם, ובהתאם לפרשנות שקיבלו, לאורך השנים, בבתי המשפט.

בסקירתה, שפורסמה להערות ציבור, הרשות מבהירה אלו סוגי מידע כלולים, לשיטתה, בגדר "מידע" ו"ידיעה על ענייניו הפרטיים של אדם". כך מציינת הרשות כי נתון המאפשר גישה למידע על אדם, דוגמת מספר תעודת זהות או אפיון ביומטרי, יהיה בגדר מידע, ונתונים כגון כתובת, טלפון, חשבון בנק, כרטיס אשראי, יומן שיחות פרטיות, הגשת תלונה לרשויות ופסילת מועמדות למשרה, עשויים להיכנס בגדרי ידיעה על ענייניו הפרטיים של אדם.

עוד הרשות מציעה כי "מידע" הוא נתונים מסוג אלה המפורטים בחוק, על אודות "אדם מזוהה או אדם הניתן לזיהוי באמצעים סבירים, וכן לאינפורמציה ממנה אדם סביר יכול להסיק אחד מסוגי הנתונים שלעיל". הגדרות והסברים מוצעים בטיוטת הרשות גם ל"אמצעים סבירים לזיהוי אדם" ול-"נתונים המהווים מידע".

גילוי דעת הרשות זכה לביקורת רבה והוא כעת בסטטוס קבלת הערות מן הציבור עד ליום 15.6.2021.

הפניות: הרשות להגנת הפרטיות, משרד המשפטים "גילוי דעת: מהם 'מידע' ו'ידיעה על ענייניו הפרטיים של אדם' בחוק הגנת הפרטיות" (טיוטה להערות ציבור, 25.5.2021)

המלצות לארגונים לצמצום "מידע אישי עודף"
מידע אישי עודף הוא מידע שנאסף ונשמר במאגרי מידע אולם אינו רלוונטי להשגת המטרה לשמה נאסף. מידע יכול להיות עודף כבר במועד איסופו ושמירתו או להפוך עם הזמן לעודף, עקב היקפו, סוגו ומשך שמירתו. בדומה לעקרונות הקבועים ב- GDPR, הרשות ממליצה לארגונים לאסוף ולשמור רק את המידע המינימלי הדרוש להם לצורך השגת המטרה ומציינת כי שמירה של מידע עודף מובילה לסיכון מיותר לאבטחת המידע ולפרטיות. הרשות מדגישה כי על בעל מאגר מידע לבחון, אחת לשנה, בהתאם לתקנות הגנת הפרטיות (אבטחת המידע), אם המידע שהוא שומר אינו חורג מן הנדרש. הרשות מבהירה כי אי צמצום מידע עודף כאמור עשוי להיחשב הפרה של התקנות וחושף את בעל המאגר גם לתביעות אזרחיות.

הפניות: הרשות להגנת הפרטיות, משרד המשפטים "צמצום מידע (Data Minimization) – מסמך מדיניות" (טיוטה להערות ציבור, 9.5.2021)

סקירת פעולות אכיפה
הרשות פרסמה, כמקובל בקרב רשויות רגולטוריות דומות, סקירת פעולות אכיפה שבוצעו על ידה ו/או כאלה שעדיין נמצאים בתהליך בדיקה, ודגשים ליישום בתחום אבטחת מידע, כדוגמת יישום והטמעת אמצעי בקרה ואבטחת מידע בכלל מערכות המידע המנהלות מידע אישי, לרבות מכשירי טלפון אישי המשמשים את עובדי הארגון; יישום כללי פיתוח מאובטח לאתרי אינטרנט ו/או אפליקציות המספקים שירות מקוון; טיוב אמצעי אבטחה באופן תדיר, ושימוש בכלי אבטחה בגרסתם העדכנית; יישום אמצעי הגנה ואבטחה יעודיים, המתאימים למערכות מידע המחוברות לרשת האינטרנט, ועוד. הסקירה עשויה לשמש מדריך לארגונים לעניין מדיניות האכיפה של הרשות. מידע על פעולות אכיפה שהרשות מבצעת מתפרסם גם באופן שוטף באתר הרשות. הרשות ממליצה לעיין בו לצורך למידת תובנות והפקת לקחים.

הפניות: הרשות להגנת הפרטיות, משרד המשפטים "זרקור מיוחד בנושא פעולות אכיפה בתחומי אבטחת המידע" (4.5.2021)

המלצות לעניין שימוש בסיסמאות חזקות
הרשות פרסמה מידע ודגשים לציבור ולבעלי מאגרי מידע, לעניין החשיבות בקביעת סיסמאות חזקות (מבחינת אורכן ומורכבותן) כאמצעי זיהוי לכניסה לחשבונות ו/או שירותים דיגיטליים, במטרה לצמצם את הסיכון של ניסיונות פרצה של אותן סיסמאות על ידי גורמים שאינם מורשים, וחדירה בלתי מורשית למידע. בסקירתה הרשות מציינת, בין היתר, המלצות לעניין אורך הסיסמה, אי שימוש באותה סיסמה לאמצעים דיגיטליים שונים, ושינוי הסיסמה באופן תדיר.

הפניות: הרשות להגנת הפרטיות, משרד המשפטים "סיסמה חזקה: חומת ההגנה הראשונה למידע האישי שלכם" (1.6.2021)

לפרטים נוספים:

עו"ד אפרת ארצי
עו"ד בתחום IT ופרטיות

eartzi@nblaw.com

עו"ד דלית בן-ישראל
שותפה, ראש תחום IT ופרטיות

dbenisrael@nblaw.com

שתפו:

עוד לא רשומים? הירשמו לקבלת הניוזלטר השבועי של נשיץ ברנדס אמיר.

אתם מוזמנים לפנות אלינו באימייל עם כל שאלה ותגובה.

אין באמור בניוזלטר כדי להוות עצה, הדרכה, ייעוץ או חוות-דעת בנושא, והוא מוגש כשירות ללקוח להעשרה כללית בלבד ולא לכל מטרה אחרת. בכל נושא ספציפי יש לפנות לעורכי הדין הרלוונטיים במשרד נשיץ ברנדס אמיר.