הגנת הפרטיות בארץ
הרשות להגנת הפרטיות - דו"ח ממצאי פיקוח רוחב בבתי אבות והוסטלים פורסם לציבור
בתאריך 24/01/2023 פרסמה הרשות להגנת הפרטיות את דו"ח ממצאי פיקוח הרוחב שערכה בקרב מגזר בתי האבות וההוסטלים. הגופים המשתייכים למגזר זה מעניקים ללקוחותיהם שירותי סיעוד וטיפול, ובמסגרת זו מקבלים לידיהם מידע רגיש על מצבם הרפואי של הדיירים. מטבע הדברים, קיימים פערי כוחות משמעותיים בין הגופים (בעלי המאגרים) לבין הדיירים, שחלקם בעלי תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע שלהם, או לזכויות המוקנות להם. הרשות מצאה כי בקרב 31 בתי אבות והוסטלים בישראל, רמת העמידה במרבית הקריטריונים הבוחנים את אופן הגנת המידע והגנת הפרטיות היא נמוכה, בעיקר בשימוש בשירותי מיקור חוץ ובקרה ארגונית. עוד עלה כי חלק מהגופים המפוקחים נוהגים לשמור מידע עודף אודות דיירים שהלכו לעולמם או דיירים שעזבו, דבר העשוי ליצור סיכוני אבטחת מידע והפרה של הוראות חוק הגנת הפרטיות.
"עין הנץ"- קידום חקיקה שתאפשר למשטרה להשתמש במצלמות פנים ביומטריות
הממשלה צפויה לקדם את חוק המאפשר בדיעבד את שימוש משטרת ישראל במערכת "עין הנץ"' המבוססת על טכנולוגיות זיהוי פנים במרחב הציבורי. בכך, ממשיכה הממשלה הנוכחית את עבודת הממשלה הקודמת. הכשרת השימוש במערכת מבוצע כמענה לעתירה שהגישה האגודה לזכויות האזרח בטענה של שימוש לא חוקי שעשתה המשטרה במערכת "עין הנץ" במשך שנים מבלי להסדיר את המערכת בחקיקה ובתקנות. החקיקה מכירה בפגיעה הפוטנציאלית בזכויות המצולמים ותכלול עקרונות למזעור פגיעה זו.
הצעת חוק: איסור פרסום הקלטת אדם ברבים
ב-22/01/2023, חבר הכנסת מטעם הליכוד והעיתונאי לשעבר בועז ביסמוט, פרסם הצעת חוק לתיקון חוק הגנת הפרטיות. התיקון מבקש לאסור פרסום הקלטה של אדם ללא הסכמתו, כך ש-"פרסום הקלטה של אדם ברבים הנוגעת למידע רגיש שלא בהסכמתו - תהווה פגיעה בפרטיות ובצנעת הפרט, ותיחשב עבירה פלילית". לדבריו, "הצעת החוק החדשה תבטא שפרסום הקלטה בעניינים רגישים ואינטימיים של אדם תיחשב פרסום שמהווה פגיעה בפרטיות ובצנעת הפרט".
עיריית יבנה מזהירה: אדם מתחזה לנציג מטעם העירייה – מדובר בהונאה
ב-23/01/2023 פרסמה עיריית יבנה אזהרה לפיה אדם מתחזה לנציג העירייה, מתקשר לתושבי העיר ומבקש מהם פרטי כרטיסי אשראי. בעירייה הזהירו כי מדובר בהונאה, ומבקשים להימנע ממסירת פרטים אישיים או פרטי כרטיסי אשראי. האזהרה הגיעה לאחר שבעיריית יבנה התקבלו דיווחים על שני מקרים בהם עלה חשד כי אדם המתחזה לנציג מטעם העירייה, מתקשר לתושבי העיר, מוסר להם פרטים אישיים אודותיהם ומבקש את פרטי כרטיס האשראי. עפ"י הדיווח שהתקבל בעירייה, המתחזה התקשר לשני בעלי עסקים בעיר, טען כי קיים חוב לעירייה בגין ארנונה ובמידה ולא ישלמו 'חשבון הבנק יעוקל באופן מיידי'. מטעם העירייה נמסר כי תפעל בכל הכלים העומדים לרשותה לרבות העברת פרטי המקרה להמשך טיפולם של גורמי המשטרה והבהירה כי טרם הוגשה תלונה במשטרה, אולם בעירייה מציינים כי היא תוגש – בהמשך.
מטא תובעת את Voyager Labs הישראלית: אספה מידע על 600 אלף משתמשים דרך חשבונות מזויפים
חברת מטא הגישה תלונה בביהמ"ש הפדרלי בקליפורניה נגד חברת המודיעין הדיגיטלי Voyager Labs, בטענה שיצרה 38,000 חשבונות פייסבוק מזויפים, באמצעותם אספה מידע פומבי ברשתות החברתיות (פייסבוק, אינסטגרם, טוויטר, יוטיוב וטלגרם) על כ-600,000 משתמשים, לצרכים עסקיים שלה. פעילות זו, מכונה Scraping והיא שנויה במחלוקת משום שמצד אחד המידע שנאסף הוא מידע פומבי שמשתמשים מפרסמים מרצונם החופשי ברשתות. אך מצד שני, המשתמשים לא מצפים שייעשה שימוש מסוג זה במידע שלהם. Voyager Labs מתמחה, בין היתר, בפיתוח תוכנות ושירותים מבוססים AI, שנועדו לסייע לרשויות אכיפת החוק ולחברות להשיג מידע על אנשים.
הגנת הפרטיות בעולם
EDPB מפרסמת דו"ח ממצאי צוות המשימה לבחינת הצהרת שימוש בקובצי Cookie
המועצה האירופית להגנה על נתונים ("EDPB"), אימצה ב- 18/01/2023 את מסקנות דו"ח ההנחיות, שגובש ע"י צוות משימה ייעודי, לטיפול אחוד של רשויות הגנת הפרטיות השונות (DPA’s) בתלונות הנוגעות לדרישות באנרים של קובצי Cookie, שהוגשו על ידי ארגון None Of Your Business" (NOYB)", שייסד אקטיביסט הפרטיות מקס שרמס. ה-EDPB מזכירה בדו"ח כי מנגנון ה-one-stop-shop שהוצג על ידי התקינה הכללית להגנה על נתונים של האיחוד האירופי ("GDPR") אינו חל על בעיות הקשורות לקבצי Cookies, מכיוון שכללים אלה נקבעים תחת הנחיית הפרטיות האלקטרונית. כמו כן, הדו"ח מזכיר כי השימוש בתיבות מסומנות מראש לשימוש בקובצי Cookies אינו מוביל להסכמה חוקית. בדו"ח נקבע כי פרקטיקות מטעות הכוללות שימוש בצבעי לחצנים שונים וניגודיות עם תצוגה כדי להדגיש את לחצן "קבל הכל" מול האפשרויות הזמינות - אסורות. כל הלחצנים צריכים להיראות באותו גודל, צבע, גופן וניגודיות - כדי להבטיח שההסכמה תינתן באופן חופשי. הדו"ח כולל בנוסף התייחסות משפטית לטענת ההסתמכות על "אינטרסים לגיטימיים" לשימוש בקובצי Cookies שאינם חיוניים (לדוגמה, קובצי Cookie לפרסום ממוקד). בהקשר זה קבע ה- EDPB כי היעדר הסכמה מפורשת לשימוש בקובצי Cookies מסוג זה - אסורה. ה-EDPB הבהירה כי העמדות שנקבעו בדו"ח משקפות "סף מינימלי" ביישום הכללים באיחוד האירופי ו"אינן מהוות המלצות או ממצאים עצמאיים לקבלת אור ירוק מרשות מוסמכת". משמעות הדבר היא כי הדו"ח אינו תלוי בהחלטות שהתקבלו או יתקבלו ביחס לתלונות של NOYB. עם זאת, תוכן הדו"ח צפוי ליידע או להשפיע על החלטות של DPAs בנוגע לקבצי Cookies בעתיד.
CNIL קנסה את טיקטוק ב-5 מיליון אירו בגין שימוש אסור בקבצי Cookie
ב-12/01/2023 הרשות הצרפתית להגנה על נתונים ("CNIL") הודיעה על קנס בסך 5,000,000 אירו לרשת החברתית TikTok בגין הפרות של כללי קובצי Cookie. ה-CNIL ביצעה מספר חקירות באתר האינטרנט של TikTok (אך לא באפליקציית הסלולר שלה), בין החודשים מאי 2020 ליוני 2022. בעקבות חקירות אלה, ה-CNIL הגיעה למסקנה כי TikTok לא עמדה בדרישות שנקבעו בסעיף 82 של חוק הגנת המידע הצרפתי.
טיוטת הסכם העברת מידע בין ארה"ב ואירופה עומדת בפני מכשול נוסף
ב- 14/02/2023, נציגי ועדת הפרלמנט האירופי לחירויות האזרח, המשפטים והפנים (ה- MPE) הגישו חוות דעתם לנציבות האירופאית בעניין החלטת ההלימות להסכם העברת הנתונים החדש בין ארה"ב ואירופה. נציגי הועדה סבורים שטיוטת ההסכם המתגבש אינה עומדת בקנה אחד עם עקרונות ה-GDPR ועל כן אין לקבל אותם במסגרת סעיף ההלימות. ראוי לציין כי בימים אלה, הנציבות שוקלת האם לחדש את החלטת אימוץ ההלימות לגבי מדינת ישראל. לאור האמור, מבוצעים מספר תיקוני חקיקה וביניהם החלטת הממשלה בעניין עצמאות הרשות להגנת הפרטיות, תיקון מס' 15 לחוק הגנת הפרטיות, תשמ"א-1981, תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי) ועוד.
הרשות היוונית להגנת הפרטיות נגד בכיר אמ"ן ישראלי
בתאריך 16/01/2023 הודיעה הרשות להגנת הפרטיות ביוון על הטלת קנס בסך 50,000 אירו נגד חברת הריגול אינטלקסה, שבבעלות בכיר אמ"ן לשעבר. לפי ההודעה הרשות חוקרת כבר מיולי 2022 מקרים של התקנת תוכנות ניטור על מסופי טלפונים ניידים של משתמשים (תוכנות ריגול), במטרה לנטר אותם ללא ידיעתם וכן איסוף ועיבוד נתונים אישיים לאחר מכן. במסגרת חקירה זו, החלה הרשות בביקורת מנהלית של חברת אינטלקסה מספטמבר 2022, צוות הביקורת של הרשות היוונית ביצע ביקורת הן במשרד הרשום של החברה בצ'לנדרי והן במתקן החברה באלניקו. בהחלטה נכתב כי החברה התמהמהה באופן בלתי סביר במתן מענה לשאלות הרשות וסירבה למסור מידע אשר מצוי ללא עוררין ברשותה, ובכך הפרה את חובת סעיף 31 לתקנת הגנת המידע המחייבת את הבקרים והמעבדים לשתף פעולה עם הרשות. מעבר לכך, באותה החלטה מורה הרשות לאינטלקסה למסור לה באופן מידי מידע ספציפי הדרוש לביצוע הביקורת. במקביל, הרשות ממשיכה לחקור מקרים של שימוש בתוכנות ריגול נגד אנשים הנמצאים בשטח יוון. לצורך כך ובמסגרת אחריותה היא אספה ראיות ומידע מגופים שונים בתוך ומחוץ ליוון והאיחוד האירופי, תוך המשך חקירת המקרה.
תקן ISO חדש – "Privacy by Design"
14 שנים לאחר שהוצג על ידי נציב פרטיות קנדי, Privacy by Design (PbD) עומד להפוך לסטנדרט פרטיות בינלאומי להגנה על מוצרי צריכה ושירותים. ביום ה-8 בפברואר, ארגון התקינה הבינלאומי (ISO) אימץ את PbD כ-ISO 31700.
"Privacy by Design" היא מערכת עקרונות הקוראת לקחת בחשבון את נושא הפרטיות לאורך כל תהליך ניהול הנתונים של הארגון. העקרונות אומצו על ידי האספה הבינלאומית של נציבי הפרטיות ורשויות הגנת המידע, ושולבו בתקינה האירופית הכללית להגנה על נתונים (GDPR). עם זאת, רק ארגונים המחזיקים בנתונים של תושבי אירופה מחויבים לציית ל- GDPR. בשנת 2018, ISO הקים צוות מיוחד לתכנון הכללת PbD בסטנדרטים שלו. תקן ISO 31700 הסופי מפורט יותר, עם 30 דרישות וכ-32 עמודים. התקן כולל הנחיות כלליות לגבי עיצוב יכולות שיאפשרו לצרכנים לאכוף את זכויות הפרטיות שלהם, הקצאת תפקידים וסמכויות רלוונטיים, אספקת מידע על פרטיות לצרכנים, ביצוע הערכות סיכוני פרטיות, קביעה ותיעוד של דרישות לבקרות פרטיות, עיצוב בקרות פרטיות, ניהול נתונים במחזור החיים והכנה וניהול של דליפת נתונים.
לקראת יום פרטיות הנתונים בקליפורניה, התובע הכללי מתמקד בציות של אפליקציות סלולריות לחוק פרטיות הצרכן
ב-27/01/2023, לקראת יום הפרטיות בקליפורניה הודיע התובע הכללי בקליפורניה כי שלח מכתבים לעסקים בתחום אפליקציות לנייד שאינן מצייתות לחוק פרטיות הצרכן בקליפורניה (CCPA) וזאת במסגרת תהליכי חקירה גורפים. התובע הכללי הצהיר כי השנה הוא מתמקד באפליקציות פופולריות בענפי הקמעונאות, הנסיעות ושירותי המזון, שלכאורה אינן מצייתות לבקשות ביטול הסכמה של צרכנים או שאינן מציעות שום מנגנון לצרכנים שרוצים לעצור את מכירת הנתונים שלהם. כמו כן, ההתמקדות היא גם בעסקים שלא הצליחו לעבד בקשות צרכנים כנדרש על ידי CCPA. הבקשות כוללות בקשות שנשלחו על-ידי Permission Slip, אפליקציה המאפשרת לצרכנים לשלוח בקשות לביטול הסכמה ולמחיקת המידע האישי שלהם.
ארצות הברית - NIST מפרסמת הנחיות לפיתוח ושימוש בינה מלאכותית
המכון הלאומי לתקנים וטכנולוגיה בארה"ב ("NIST") פרסם ב- 26/02/2023 את הנחיותיו לניהול סיכוני הבינה המלאכותית ("AI RMF 1.0"), המספקות סט של קווים מנחים לארגונים המתכננים, מפתחים, פורסים או משתמשים בבינה מלאכותית, כדי לנהל את הסיכונים הרבים ולקדם שימוש ופיתוח אמינים ואחראיים של מערכות בינה מלאכותית. AI RMF 1.0 מספק הדרכה לגבי האופן שבו ארגונים נדרשים להעריך סיכוני בינה מלאכותית (למשל, קניין רוחני, הטיה, פרטיות ואבטחת סייבר) ואמינות. ה- AI RMF 1.0 מתאר את המאפיינים של מערכות בינה מלאכותית אמינות, שהן תקפות, בטוחות, מאובטחות, עמידות, אחראיות, שקופות, ניתנות להסבר, ניתנות לפענוח, מקדמות פרטיות והוגנות עם ההטיות שלהן.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.