הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 05-2021

הגנת הפרטיות בישראל  

זרקור לאכיפה בתחומי אבטחת מידע. ביום ה-04/05/2021 הרשות להגנת הפרטיות פרסמה זרקור מיוחד הסוקר פעולות אכיפה שביצעה הרשות בתחומי אבטחת המידע, שבסופן קבעה כי ארגונים וחברות הפרו את הוראות חוק הגנת הפרטיות והתקנות מכוחו. הזרקור מכיל דגשים יישומיים בתחומי הגנת הפרטיות ואבטחת מידע שחיוניים לכל גורם המנהל או מחזיק במידע אישי.

ניהול המשכיות עסקית והיערכות לשעת חירום. ביום 18/04/2021 רשות שוק ההון, ביטוח וחיסכון פרסמה הודעה למנהלי הגופים המוסדיים בדבר קיום תרגיל המשכיות עסקית והיערכות לשעת חירום שיערך ביום 14/06/2021. התרגיל נערך בהמשך לתרגילים שנערכו בשנים קודמות כחלק מיישום ובחינת עמידה בהוראות  סעיף 4(ה) לחוזר "ניהול המשכיות עסקית בגופים מוסדיים" 2013-09-11. התרגיל השנה יתמקד בהתמודדות עם אירוע סייבר לרבות סייבר בפעילות ביטוחית.

סרטוני ענישה ב-TikTok: ההורים גוזלים מילדיהם עוד נתח מהפרטיות. תופעה חדשה ומטרידה במיוחד של הורים שמתעדים את עצמם מענישים את ילדיהם ומפרסמים את הסרטונים ברשת החברתית, כדי שכל העולם יוכל לראות ולחגוג על רגעי הבושה וההשפלה של ילדיהם. מומחים מתריעים מההשלכות הקשות ומרף חדש של אובדן הפרטיות של הדור הצעיר. בסרטון אחד, אב מצלם את שלושת ילדיו כורעים כשגבם לקיר, ידיהם פשוטות לפנים, שניים מהם ממררים בבכי, עונש על כך שהתנהגו לא יפה. בסרטון אחר אם מצלמת את ילדיה מנקים את הרצפה כעונש על כך שרבו. "הילדים שלי רוצים להיום מפגרים, זה מה שאני מכריחה אותם לעשות", היא מסבירה לצופים, ועוד אין ספור דוגמאות מאין אלו. אנו סבורים כי בשלה העת לעגן בחקיקה את זכויותיהם של קטינים לפרטיות, בייחוד בעידן הרשתות החברתיות בו הורים פוגעים בפרטיות ילדיהם מבלי שיש להם יכולת להחליט בנושא. פגיעה זו עלולה לרדוף אותם עוד שנים מאוחר יותר ולהפוך אותם למושא ללעג ולביקורת כשהם כבר אנשים בוגרים. 

שנתיים מאסר להאקר ישראלי שגנב ביטקוין וישיב עשרות מיליונים. האקר ישראלי, אליהו גיגי, הורשע בהסדר טיעון בעבירות של פעולות אסורות בתוכנה (הפצת תוכנה זדונית), חדירה לחומר מחשב, גניבה של מטבעות וירטואליים והלבנת הון. הנאשם רכש אתרי אינטרנט שהכילו נוזקות שיכולות לחדור למחשביהם של גולשים תמימים. לאחר כניסת הגולשים לאתרים, הנאשם חדר למחשביהם, ללא ידיעתם וללא הסכמתם, וגנב מהם מטבעות וירטואליים מסוגים שונים שהוחזקו ברשותם. ביהמ"ש המחוזי בת"א גזר עליו שנתיים מאסר בפועל ותשלום של כ-40 מיליון ₪ שכולל פיצוי למתלוננים, קנס, חילוט ותשלום לרשות המיסים.

הפסיכולוג נפטר, המסמכים האישיים של המטופלים נזרקו ברחוב. פסיכולוג שייסד מכון לאבחון ליקויי למידה וייעוץ פסיכולוגי נפטר לפני כשנה וחצי והמקום נסגר. עכשיו פונתה תכולתו ומאות מסמכים, כולל אבחונים פסיכולוגיים אישיים של ילדים, חוות דעת ותיעודי פגישות מלאים בפרטים האישיים ביותר של מאות מטופלים, נמצאו זרוקים ברחוב ראשי ברמת גן, גלויים לעיני כל, מטרים ספורים מהמכון שנסגר. יו"ר הסתדרות הפסיכולוגים בישראל, יורם שליאר, אמר "צריך להיות פרוטוקול שבמקרה של מוות או נבצרות יועברו החומרים לאיש מקצוע אחר, שיודע איך לטפל בהם, ושמוסכם איתו מראש שבמקרה זה הוא לוקח עליהם אחריות. הקוד האתי של הסתדרות הפסיכולוגים קובע כי יש למנות פסיכולוג אחר כנאמן לחומר הסודי במקרה של מוות או נבצרות, אך זה לא מעוגן בחוק. משרד הבריאות מסר בתגובה: "הוחלט להוציא חוזר לכלל המקצועות. העבודה על החוזר טרם הושלמה, אבל הוא עומד לקבוע בין היתר כי האחריות של המטפל הינה לוודא שיהיה איש מקצוע שיידע לטפל בעת הצורך ברשומות שהושארו".

ניסיון פריצה חריג למאגר עסקאות הנדל"ן של רשות המיסים. רוב עסקאות הנדל"ן המבוצעות בישראל מפורסמות באתר של רשות המיסים, שנחשב פופולרי מאוד בקרב שמאים, אנשי אקדמיה וחברות שעוסקות בניתוח נתונים. האתר נסגר לשימוש לפני מספר ימים בעקבות ניסיון פריצה חדירה לאתר ועריכת מניפולציה כלשהי בנתונים של גוף כלשהו שמנסה לעבוד על בסיס גדול של נתונים. הכניסה אליו הייתה חופשית, ואולם כעת הוא השימוש מותר אך ורק ללקוחות רשומים, וזאת כאמור כתוצאה ממה שמכנים ברשות "ניסיון לשימוש בלתי תקין".

חוקרי סייבר פרצו למכונית של טסלה דרך רחפן. חוקרים חיברו רחפן לרשת ה-Wi-Fi של המכונית מרחוק וניצלו חולשה במערכת ConnMan של אינטל. מהרגע שהאקר פורץ למערכת הוא יכול לפתוח דלתות, לשנות את מיקום הכיסאות, לנגן מדיה, להפעיל את המזגן ואף לשנות את הגדרות ההגה. המשמעות היא שגורם זדוני יכול בהחלט לייצר בעיה לבעל הרכב ואף לאפשר את הגניבה שלו בעזרת פתיחת דלתות מרחוק. התגלית יועדה לתחרות הסייבר היוקרתית Pwn2Own 2020 שבוטלה בשל הקורונה, ולאחר מכן הממצאים הועברו לחברת טסלה שסגרה את הפרצה כבר באוקטובר האחרון.

תוכנית של מערך הסייבר הלאומי תעניק "תו תקן" סייבר לחברות אחסון אתרים. מערך הסייבר הלאומי יזם תכנית המייצרת סטנדרט אחיד במספר רמות (כסף, זהב ופלטינה) לחברות אחסון אתרים, שיעמדו בבקרות אבטחה שהוגדרו ע"י המערך. מטרת התכנית היא לחזק את רמת ההגנה הכללית במשק של אתרי אינטרנט ולאפשר לבעלי האתרים לבצע בחירה מושכלת לאחסון האתר שלהם גם על פי סטנדרט הגנת סייבר. כדי לקבל הכרה לאומית בתו החוסן, כל ספק יצטרך להוכיח עמידה בסדרה של בקרות אותן קבע המערך להתקשרות עם ספקים בתחום אחסון האתרים.בכלל זאת, בקרת גישה, הגנה על עמדות קצה ושרתים, הגנה היקפית, ניטור ובקרה, פיתוח מאובטח וענן להגנה על סביבת המידע של הלקוח. לאחר עמידה מלאה בבקרות אלו, ייבדק הספק ע"י בודקים שאושרו ע"י המערך, ויוכל להגיש באופן מאובטח את המידע לאשרור באחד מגופי ההתעדה המאושרים: מכון התקנים הישראלי או המכון לאיכות ובקרה. אם המידע יימצא תקין ויעמוד ברף המקצועי, תונפק לספקית האירוח תעודה המאשרת שרמת הגנת הסייבר לשירות אחסון אתרים עומד ברף. האישור יינתן בדרגת פלטינה רמה A ויהא תקף לשנה עם אפשרות לתיקוף למשך שנה נוספת.

''רמי לוי תקשורת'' תיקנס במאות אלפי שקלים על הפרת פרטיות. בית משפט השלום בירושלים גזר על חברת "רמי לוי שיווק השקמה תקשורת בע"מ" קנס בסך 600 אלף ₪ ופיצוי בסך 200 אלף ₪ לנפגעים עליהם בוצעו שליפות מידע מתוך מאגר המידע של החברה בניגוד למטרת המאגר ולחוק. אופיר אטיאס, מנכ"ל החברה, הורשע בגין עבירות של הפרת חובת סודיות ושימוש במאגר מידע בניגוד לחוק, בתוך כך הוטל עליו קנס בסך 75 אלף ₪ ומאסר מותנה. שלמה אדרת ג'וליאן, קצין ביטחון החברה, הורשע בעבירות רבות של פגיעה בפרטיות ונידון לחמישה חודשי עבודות שירות וקנס בסך 20 אלף ₪, סיום ההחלטה בעניין גזר דינו יינתן במועד מאוחר יותר. 

ייצוגית: 10 תובעים נגד 4 בנקים, 7 חב’ ביטוח ו- 4 חב’ אשראי [“הגופים הפיננסיים החזקים במשק”]: העברה לכאורה של מידע פרטי, אישי וסודי של הלקוחות ללא הסכמתם לצדדי ג’. לבית-המשפט המחוזי בתל אביב הוגשה תביעה (ובקשה לאשרה כתובענה ייצוגית לפי חוק הבנקאות) נגד 4 בנקים, 7 חב’ ביטוח ו- 4 חב’ אשראי, בגין עוולות חמורות של העברת מידע פרטי, אישי וסודי של לקוחותיהם, ללא הסכמת הלקוחות לצדדים שלישיים, תוך פגיעה קשה וחסרת תקדים בזכות הלקוחות לפרטיות.
 

הגנת הפרטיות ברחבי העולם

בינה מלאכותית (AI). הנציבות האירופית פרסמה, ביום ה-21.04.2021, את הצעתה לרגולציה חדשה בנושא בינה מלאכותית ("The Proposed AI Regulation") - השואפת לפקח על המשילות ועל אכיפה אפקטיבית של החוק הקיים, זכויות יסוד ודרישות בטיחות החלות על מערכות AI. כמו כן, להבטיח ודאות משפטית, להקל על פיתוח שוק עבור יישומי AI חוקיים, בטוחים ואמינים ולמנוע פיצול שוק; רגולציה על מוצרי מכונות ("the Proposed Machinery Products Regulation") - המתמקדת בשילוב בטוח של מערכות AI במכונות, מספקת בהירות משפטית ומפשטת את הנטל והעלויות הניהוליות עבור חברות; וכן תוכנית ניהולית חדשה בנוגע ל-AI - המבקשת ליצור תנאים מאפשרים לפיתוח AI, לטפח מצוינות ב-AI, להבטיח שה-AI תפעל עבור אנשים, ולבנות מנהיגות אסטרטגית באיחוד האירופי. הנציבות הדגישה את כוונתה לשתף פעולה עם המדינות החברות באיחוד כדי ליישם את הפעולות שהוכרזו בתוכנית המתואמת בנושא בינה מלאכותית. ההצעות נועדו להפוך את אירופה למרכז עולמי לבינה מלאכותית אמינה ולהחיל תקנות והגדרות אחידות בנושא זה על כלל המדינות החברות באיחוד.

בפסק דין מיום ה-14.5.2021, דחה ביהמ"ש העליון באירלנד את ערעורה של פייסבוק, לרבות כל טענותיה ודרישותיה להקלות, על החלטת נציבות הגנת הפרטיות האירית (DPC) לחקור את הזרמת הנתונים של החברה מהאיחוד האירופי לארה"ב. הנציבות פתחה בחקירה נגד פייסבוק באוגוסט 2020, והוציאה צו זמני לפיו מנגנון העברת הנתונים של פייסבוק מאירופה לארצות הברית נוגד את "הלכת שרמס" ועל כן מהווה פרקטיקה בלתי מקובלת. בסיום החקירה יכול ותיאסר כליל העברת הנתונים מפייסבוק אירופה לארה"ב. לפסק הדין משמעות עסקית עצומה הן עבור פייסבוק והן עבור חברות אמריקאיות אחרות, אשר ייאלצו לאחסן נתונים של משתמשים אירופיים באופן מקומי, וזאת כל עוד לא קיים הסדר חוקי להעברת נתונים בין ארה"ב לאירופה.

הרגולטור הגרמני אוסר על פייסבוק להשתמש במידע אישי של משתמשי WhatsApp. הממונה על הגנת הפרטיות בגרמניה פרסם ביום ה-11.5.21 צו האוסר על פייסבוק לעבד מידע אישי של משתמשי אפליקציית ווטסאפ, חברת הבת שלה. ההחלטה באה בעקבות הליכי חירום שנפתחו על ידי הרגולטור בחודש שעבר, לאחר שוואטסאפ דרשה מהמשתמשים להסכים לשיתוף המידע עם פייסבוק כתנאי להמשך השימוש בשירותיה. הצו יעמוד בתוקף למשך שלושה חודשים, במהלכו תיבחן הועדה האירופית להגנת מידע האם תנאי השימוש החדשים של ווטסאפ והפעולות האגרסיביות שנוקטת פייסבוק על מנת לגרום למשתמשים להסכים לה, עולים בקנה אחד עם רגולציית ה-GDPR. הצו הרגולטורי פתח חזית נוספת של גרמניה נגד מדיניות הפרטיות של פייסבוק, כאשר רגולטור ההגבלים העסקיים הלאומי שלה מנהל מאבק משפטי נגד פייסבוק על מדיניות שלדבריו מהווה ניצול לרעה של הדומיננטיות בשוק. מפייסבוק נמסר בתגובה כי טענות הממונה אינן נכונות, וכי תמשיך לקדם את העדכון באפליקציה.

השפעת ה-GDPR על קזחסטןשינויים שערכה קזחסטן לאחרונה ברגולציית המדינה להגנה על מידע אישי, מצביעים על כך שהיא מאמצת בהדרגה את הסטנדרטים של ה-GDPR . קזחסטן הקימה רשות להגנת הפרטיות והעניקה לה סמכויות. בנוסף, חוק המדינה מחייב כעת חברות וארגונים למנות DPO שיבטיח ציות פנימי לחוק הגנת המידע; לדווח ל-DPA על תקריות אבטחת מידע וגישה לא מורשית למידע אישי; לבצע ניתוח על מטרות איסוף ועיבוד נתונים לפני פעילויות כאלה ולהימנע מאיסוף ועיבוד מידע שאינו כלול ברשימת המטרות; לשמור על זכויות נושאי המידע, לרבות הזכות למחיקה ותיקון של מידע אישי, ועוד.

תאילנדדחתה לחודש יוני 2022, את מועד כניסתו לתוקף של החוק התאילנדי החדש להגנה על נתונים אישיים (PDPA). החוק, אשר תואם במידה רבה את ה-GDPR, יחולל שינוי משמעותי ברגולציית הגנת המידע הנוכחית, ונדחה בשנה על מנת לאפשר לחברות לעדכן את מדיניות הפרטיות שלהן לדרישות החוק.

פלורידה דחתה הצעת חוק בנושא פרטיות נתונים - הצעת חוק הגנת הפרטיות של פלורידה נדחתה ברוב קולות, בעקבות התנגדות נמרצת של עסקים וחברות מובילות בפלורידה, אשר חששו מפגיעה בעסקיהם ושכרו מאות לוביסטים כדי למנוע את אישור החוק. חוק הגנת הפרטיות של פלורידה, היה מטיל דרישות גילוי חדשות על חברות שאוספות מידע מכל מי שמוריד אפליקציה או משתמש באתר אינטרנט. כמו כן, החוק היה מאפשר למשתמשים לתבוע חברות שאוספות, מוכרות או משתפות את המידע האישי שלהן באופן לא חוקי.

תוכנות זדוניות שנוצרו על ידי ה- CIA.

ביום ה-27.4.2021 פרסם הצוות הגלובלי למחקר וניתוח (GReAT) של חברת האבטחה קספרסקי, כי בשנת 2019, כ-70 חברות אבטחה קיבלו דגימות של תוכנות זדוניות שנוצרו על ידי ה- CIA. התוכנה הזדונית, אשר כונתה על ידי החברה "Purple Lambert" מסוגלת לספק לתוקף מידע בסיסי אודות המערכת הנגועה ולהריץ עליה מטען שהיא מקבלת ממפעיליה. הדגימות נאספו בשנת 2014 אולם אין ראיה לכך שנעשה בהן שימוש בפועל.

כיצד תשפיע עלינו מדיניות הפרטיות החדשה של Apple בעדכון התוכנה האחרון שלה? העדכון שהופץ באפריל האחרון מחייב אפליקציות שרוצות לנטר פעילות משתמשים באפליקציות אחרות לקבל קודם את אישור המשתמשים לכך. בקרה זו נועדה להגביל מפרסמים דיגיטליים ממעקב אחר משתמשי iPhone. העדכון לא ימנע מאפליקציות לאסוף מידע אודות משתמשי אייפון, שכן איסוף נתונים מותר אם הוא מצוין במדיניות הפרטיות של אפליקציה. השינוי ימנע ממפתחי האפליקציות לשתף את הנתונים שנאספו עם צדדים שלישיים, או לעבד את הנתונים עם נתונים שנאספו מצדדים שלישיים, לצורך פילוח מודעות פרסום. כמו כן, משתמשי אייפון עדיין יוכלו לראות מודעות, שפולחו באמצעות נתונים שמפתח האפליקציה אסף בעצמו. לדוגמה, פייסבוק יכולה לפלח מודעות בהתבסס על נתוני צד ראשון, כגון לאיזה קבוצות משתמשים מצטרפים או אילו פוסטים הם אוהבים, אבל אם פייסבוק מעוניינת לפלח מודעות בהתבסס על נתונים של צד שלישי, היא תצטרך לבקש רשות. עבור משתמשים פרטיים, השינוי יבוא לידי ביטוי בהודעה קופצת חדשה באפליקציות מסוימות שתבקש את רשות המשתמשים לאסוף נתונים שיאפשרו מעקב אחר הרגלי הגלישה שלהם באפליקציות ואתרי אינטרנט של צד שלישי. כמו כן, יוכלו המשתמשים להגדיר בהגדרות הפרטיות שלהם במכשיר, לאילו אפליקציות לתת הרשאת מעקב, ואף לבטל בבת אחת את המעקב מכל האפליקציות בטלפון. עבור עסקים, הכללים יכולים להביא שינויים סיסטמיים לשוק הפרסום הנייד אם רוב המשתמשים יסרבו לאפשר איסוף נתונים. עבור מפרסמים ומפתחי אפליקציות שמוכרים מלאי מודעות, המשמעות היא צמצום מאגר נתוני המשתמשים, אשר בעקבותיו צפויה ירידה במכירות של מותגים ובהכנסות ממודעות לאפליקציות ולבעלי אתרים לנייד. המהלך של Apple העמיק את הקרע עם פייסבוק.