הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 05-2022

הגנת הפרטיות – ישראל

סכנה אמיתית למידע של כל אחד: ליקויים חמורים בהיערכות בתי החולים למתקפות סייבר דו"ח מבקר המדינה אשר פורסם בחודש מאי 2022 בדק 17 מוסדות רפואיים וקבע כי מוסדות הבריאות בישראל לא ערוכים למתקפת סייבר וכי אין להם מספיק אנשי סייבר כדי להתמודד עם מתקפות פוטנציאליות. ממצאי הדוח העיקריים:   

  • 14 מוסדות לא ביצעו מבדקי חדירה שכללו תקיפה של מכשור רפואי ו -8 לא ביצעו ביקורת פנים בתחום אבטחת מידע.
  • 6 מוסדות לא ביצעו עדכון לרשימת המשתמשים בעלי הרשאות לוגיות (שם משתמש וסיסמה) למערך המכשור הרפואי.
  • כ-6 שנים לאחר החלטות הממשלה בנושא היערכות לאומית וקידום אסדרה לאומית בהגנת הסייבר, ועל אף החשיבות הלאומית שבהסדרת הגנת הסייבר, לא הוסדרו סמכויות מערך הסייבר הלאומי כלפי היחידות להכוונה מקצועיות במשרדי הממשלה (יחידות מגזריות) לרבות במגזר הבריאות.
  • משרד הבריאות לא השלים את גיבוש הנחיותיו בתחום הגנת הסייבר הכוללות עקרונות יסוד לניהול הגנת סייבר וכלים להתמודד עם אירוע סייבר, והן לא הופצו.
  • משרד הבריאות לא מבצע מעקב סדור אחר תיקון ליקויים שעלו בדוחות הבקרה שביצע בנושא אבטחת מידע, ובכך לא מוודא את אי-הישנותם.
  • לשניים מהמוסדות אין תוכנית להתאוששות מאסון או תוכניות להמשכיות עסקית (יכולתו של ארגון להמשיך בפעילותו הרגילה), ל-6 מוסדות אין אתר חלופי (DR) זמין לטובת המשך פעילות מערכות המידע במקרה של אסון, ו-13 מוסדות לא שילבו בתוכניות שלהם את אופן הטיפול וההתאוששות של מערך המכשור הרפואי.
  • 5 מוסדות לא התנו את רכישת המכשור הרפואי בכך שממונה אבטחת המידע יאשר את ביצוע הרכש.
  • 11 מוסדות לא גיבשו נוהל להסדרת עדכוני תוכנה כדי להבטיח פעולה רציפה ובטוחה של המכשור הרפואי, ו-10 מוסדות לא תיעדו את עדכוני גרסאות התוכנה שביצעו במכשירים רפואיים.

חובת יידוע במסגרת איסוף ושימוש במידע אישי - להערות הציבור ביום 03/05/2022 הרשות להגנת הפרטיות מפרסמת מסמך חדש אשר מציג את פרשנותה לנושא חובת היידוע במסגרת איסוף ושימוש במידע אישי המוגדרת בסעיף 11 לחוק הגנת הפרטיות. המסמך מתמקד בחובת היידוע במסגרת הליך קבלת הסכמה ובמסגרת שימוש במערכות לקבלת החלטות מבוססות אלגוריתם או בינה מלאכותית. המסמך מבהיר כי חובת היידוע חלה בכל מקום בו איסוף מידע אישי על אודות אדם נעשה על יסוד פנייה אליו, וזאת בין אם המידע נאסף מכוח הסכמת נושא המידע, ובין אם איסוף המידע נעשה מכוח הסמכה שבדין. הרשות מבהירה כי איסוף מידע מאדם ושימוש בו ללא יידוע מספק של נושא המידע, משליך על תוקף ההסכמה מדעת, ועשוי להוות הפרה של הוראות חוק הגנת הפרטיות. הרשות מציינת שככל שהמידע שנאסף הוא רגיש במיוחד (כגון מידע ביומטרי), ובנסיבות בהן קיים חשש אינהרנטי כי הסכמת נושא המידע עלולה להיות מוגבלת, רצוי כי חובת היידוע תהיה אף רחבה יותר מהקבוע בסעיף 11 לחוק. 

טיוטת צו הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, ביום 27 בפברואר 2017 התקבל חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע (תיקון והוראת שעה), התשע"ז–2017. במסגרת התיקונים לחוק, הוסדר כי המאגר הביומטרי יכלול כחובה, תמונות תווי פנים של תושבים, ונקבע, כהוראת שעה למשך חמש שנים כאמור כהסדר משלים ונדרש, הוראות לעניין הכללת תמונות טביעות אצבע של תושבים שהסכימו לכך בכתב, במאגר. זאת חלף ההסדר שהיה קבוע בחוק שלפיו נקבע כחובה, על העברה של טביעות האצבע וגם תמונות הפנים מועברות למאגר ונשמרות בו. במקביל, הוסדר הטיפול והשימוש במידע הביומטרי המועבר למאגר לצורך השוואה לנתונים הכלולים במאגר. לפי החוק, לשרת הפנים קיימת הסמכות לקצר או להאריך את תקופת הוראת השעה. שרת הפנים החליטה, לאחר ששמעה את גורמי המקצוע ועיינה במסקנות והמלצות צוות הבדיקה לבחינה נוספת של האמצעים הטכנולוגיים, כי נדרשת הארכת תקופת הוראת השעה בתקופה נוספת, וזאת לצורך סיום היערכות והתארגנות לרכש האמצעים הטכנולוגיים, יישום , הטמעה והפעלתה של מערכת ליבה של מערך ניהול הזהויות הלאומי של תושבי מדינת ישראל ובד בבד להשלים את הליכי הבחינה ועבודות המטה המקצועיות. צו זה נועד להאריך את תוקפה של הוראת השעה בשלוש שנים. 

הממשלה מחפשת פתרונות דיגיטליים לביג דאטה החשב הכללי, מערך הדיגיטל הלאומי ומשרד החדשנות המדע והטכנולוגיה, פרסמו את מסמכי המיון המוקדם במכרז "רקמ"ה" – מערכת מידע להנגשת נתוני עתק ממשלתיים למחקר ולפיתוח. מטרת המיזם היא הנגשת מאגרי מידע ממשלתיים וציבוריים לחוקרים ולבעלי עניין, לצורך קבלת החלטות ויצירת תועלות חברתיות וכלכליות רחבות. כיום, הגישה למאגרי המידע מוגבלת ומורכבת. גישה למאגרים בתחומי הבריאות, הרווחה, החינוך, התשתיות והפיננסים, עשויה לשמש כעזר למקבלי החלטות בתוך הממשלה ולצורך שיפור איכות החיים בישראל. הממשלה מעוניינת להקים בהדרגה רשת שתאפשר למשתמשים מן הממשלה ומחוצה לה לגשת למידע ממשלתי המבוסס על נתוני פרט. זאת, באופן המשמר את התוקף המדעי של הנתונים, שומר באופן מלא על הפרטיות, וממזער את הצורך בהעברת מידע רגיש בין משרדי הממשלה. הממשלה קבעה כי במסגרת המכרז הזוכה יידרש להקים רשת המקשרת בין מאגרי המידע העצמאיים של כל משרד ממשלתי, שתאפשר הנגשת נתוני פרט ללא פגיעה בפרטיות. 

אנחנו כיפת הברזל של הסייבר בישראל" - אסדרה חדשה במערך הסייבר הלאומי על רקע מתקפות הסייבר האחרונות, שר התקשורת, יועז הנדל, וראש מערך הסייבר הלאומי, גבי פורטנוי, הודיעו על אסדרה חדשה במערך הגנת הסייבר של ישראל, בעקבותיה יחויבו ספקיות התקשורת לעמוד בסטנדרטים מחייבים שיבטיחו רמת הגנה ומוכנות בהתמודדות מול מתקפות סייבר. האסדרה החדשה כוללת שורת צעדים שיחייבו את החברות להכין וליישם תוכניות אקטיביות והגנתיות לטובת שיפור משמעותי של רמת ההגנה הארגונית במקרה של מתקפה כלפיהן. ההחלטה ליישום האסדרה התקבלה לאחר הליך שימוע שהתקיים באוגוסט אשתקד, לפיו יתוקנו הרישיונות של חברות התקשורת על ידי קביעת הוראות ומספר אבני דרך לניהול ההגנה בסייבר. מטרת העל - להקטין באופן משמעותי את הסיכונים וההשפעות של מתקפות הסייבר כלפי תשתיות התקשורת המרכזיות בישראל, תוך הפחתת הפגיעה האפשרית בשירותים ובמנויים המשתמשים בהן. עיקרי האסדרה כוללים גיבוש תוכנית הגנה על רשתות התקשורת, שתשלב מנגנוני פיקוח, ניטור ובקרה המאפשרים ביסוס של תמונת מצב עדכנית אודות יכולות ההגנה והתמודדות של הספקיות עם אירועי סייבר אפשריים. שר התקשורת ציין שהתכנית תיקח בחשבון את הדאגה לפרטיות המידע והמשתמשים וכן לשלמות הנתונים. האסדרה תדרוש בנוסף יישום של מהלכי שיקום והכלה של אירועי הסייבר, לצד דרישה לביצוע סריקות שוטפות ותקופתיות לטובת זיהוי מהיר ומקדים ככל שניתן של חולשות אבטחת מידע. כמו כן, ספקיות התקשורת יחויבו ליצור מנגנוני ונוהלי דיווח לגורמים בתוך ומחוץ לארגון על ידי גיבוש נהלים מתאימים לצד הטעמה ותרגול של תכנית הגנת הסייבר הארגונית בקרב המנהלים, העובדים, הספקים וקבלני המשנה של הארגון. 

ועדת השרים נתנה אור ירוק לחקיקת זיהוי הפנים במצלמות משטרתיות ועדת השרים לענייני חקיקה אישרה ביום 08/05/2022 את טיוטת "חוק לתיקון פקודת המשטרה (מערכות צילום מיוחדות)", שנועד לאפשר שימוש במצלמות לזיהוי פנים במרחב הציבורי ולהכשיר בדיעבד את השימוש הנעשה כבר היום במערכת "עין הנץ" לזיהוי מכוניות בכבישים. כעת אמורה הממשלה להגיש לכנסת הצעת חוק, ולהתחיל את תהליך החקיקה. על פי ההגדרה בטיוטת החוק, מערכות צילום מיוחדות הן מצלמות שמאפשרות לזהות חפץ או אדם על מאפייניו הביומטריים ולהשוות אותם, באופן אוטומטי ועל ידי בינה מלאכותית, לתמונות הנמצאות במאגר. "המערכת בעלת יכולת טכנולוגית לזיהוי של אדם או של חפץ בזמן אמת ובכך היא מאפשרת להתחקות או לבלוש אחר אדם", נכתב. ההצלבה נעשית על ידי הכנסת תמונה של מבוקש ואיתורו במצלמות בזמן אמת או על ידי חיפוש האדם בצילומים מוקלטים ואיתור תנועותיו לאורך תקופה ארוכה. לפי הצעת המשטרה, המערכת תוכל לאתר בני אדם בכל מקום במרחב הציבורי ובחלק מהמקרים גם במרחב הפרטי. טיוטת החוק קובעת כי מטרת השימוש במצלמות היא בין השאר מניעה או סיכול של עבירות שעלולות לסכן את שלומו או בטחונו של אדם, שלום הציבור או בטחון המדינה, חקירת דפוסי פשיעה, איתור אדם נעדר וגם אכיפת איסורי כניסה וצווי הרחקה ממקומות ציבוריים. משמעות הדבר שהמשטרה תוכל למשל לזהות את כל המשתתפים בהפגנות ולעקוב אחר דפוסי ההתנהגות שלהם. השרה פנינה תמנו שטה אמרה שיש פתח לאכיפת יתר, והוסיפה, כשיש אפשרות לשוטר בהנפת אצבע להציב מצלמות ביומטריות בכל שכונה, יש פתח לניצול ואכיפת יתר של אוכלוסיות מסוימות. 

מהחודש הבא: תצפצפו בתל אביב? העירייה תדע עיריית תל אביב תחל בפיילוט במסגרתו תותקן ברחוב אבן גבירול מערכת לזיהוי נהגים הצופרים באופן לא חוקי. החוק כיום קובע כי ניתן לצפור רק כאשר מדובר במצב של "מניעת סכנה קרובה שאין למנוע אותה באופן אחר". זו עבירה שהעונש בגינה הוא קנס בסך 250 ₪. הפיילוט יבוצע בשני שלבים: בשלב הראשון, אשר יחל בחודש הבא, יבוצעו בדיקות ליעילותה של המערכת ויכולתה לבצע התאמה בין הזיהוי הקולי ובין הזיהוי הוויזואלי, כלומר יכולתה לזהות איזה רכב צפצף. בשלב השני, אם המערכת תיכנס לפעולה היא תצטרף למכונת הקנסות של העירייה, שבשנים 2021-2020 גבתה כמעט 600 מיליון שקל. 

התלונן באנונימיות, ואז האדם שהאשים עלה מולו בצ'אט פרטי אזרח שהגיע בשבת בבוקר לקניון בבנימינה, מצא שם את רכב אבטחת מוסדות חינוך של המועצה חונה באלכסון ותופס שני מקומות חניה השמורים לאימהות/אבות עם ילד בעגלה. כאזרח טוב הוא דיווח מיד למוקד המועצה, אלא שאת התגובה הלא צפויה שהכעיסה אותו באמת הוא קיבל אחר כך מאדם העובד אצל חברת ש.א.ש., המספקת את שירותי האבטחה למועצה המקומית. מסתבר שהתלונה כנגד האיש, קבלן המועצה, התקבלה אכן במוקד, אולם בטעות הועברה כמות שהיא לקבלן, לרבות שם הפונה שהתלונן. ראש המועצה המקומית בנימינה-גבעת עדה הודיע כי מבדיקה ראשונית, התנהגות הקבלן "לא הייתה ראויה כאדם, ללא קשר לתפקידו ביום יום". הוא הודה כי מדובר בטעות בהעברת נתונים מעבר לטיפול בפניה והנושא ייבדק. כל הגורמים המעורבים, לרבות הקבלן והמעסיק שלו הוזמנו לשימוע. 


 הגנת הפרטיות ברחבי העולם 

פייסבוק לא יודעת מה קורה עם המידע שלכם – בתאריך 26 באפריל 2022 פרסם האתר Motherboard כתבה בדבר מסמך שדלף למערכת, בו ממצאים הנוגעים לתהליך העברת המידע במערכות פייסבוק.  המסמך נכתב בשנה שעברה על ידי מהנדסי הפרטיות בצוות המודעות והמוצרים העסקיים של פייסבוק. על רקע הרגולציות והסטנדרטים החדשים להגנת הפרטיות, במסמך זה, הצוות מתריע לגבי האופן שבו פייסבוק מתמודדת עם נתוני משתמשים. במסמך, צוות המהנדסים מפרט אודות מעבר הנתונים במערכת פייסבוק כאשר אין מעקב על נתונים מהרגע שהם מגיעים למערכות הפנימיות של פייסבוק, בכך טוענים המהנדסים כי אין להם רמה מספקת של שליטה על האופן שבו המערכות משתמשות בנתונים. מחברת מטא נמסר כי בחברה מחפשים פתרון ולדבריהם מדובר ביעד חשוב בסדר עדיפות גבוה. 

אפליקציות לסיוע נפשי ותפילה נמצאו לא בטוחות למשתמשים –  קרן המחקר מוזילה בחנה 32 אפליקציות לסיוע נפשי ותפילה במטרה לסווג את רמת התאמתן לפרטיות המשתמשים. האפליקציות שנבדקו מציעות שירותי שיחה או צ'ט עם מטפלים, צ'טים עם בוטים מבוססי AI, קישור לתמיכה בקהילה ואמצעים שאמורים לסייע למשתמשים להעריך ולעקוב אחרי מצבם הנפשי. המידע שנאסף באפליקציות הוא מהרגישים ביותר שיש אודות אדם. בתאריך 02 במאי 2022 פרסם אתר מוזילה כי  28 מתוך האפליקציות שנבדקו קיבלו את תווית האזהרה "לא כולל פרטיות". 25 מתוך האפליקציות לא דאגו לעמוד בסטנדרטים מינימליים של אבטחה. החוקרים קבעו כי האפליקציות משתפות מידע באופן קבוע, מאפשרות שימוש בסיסמאות חלשות, מציגות פרסומות ממוקדות למשתמשים פגיעים. בנוסף האפליקציות נוטות להסתמך על כללי פרטיות מעורפלים, שאף סובלים מניסוחים לקויים. 

משתיקים שיחת ווידאו? עדיין שומעים אתכם  - חוקרים באוניברסיטאות ויסקונסין-מדיסון ולויולה חשפו במחקר חדש מיום ה- 18 במאי 2022 כי בשיחת ווידאו מועבר שמע, למרות השתקת המיקרופון. ביצוע פעולת "השתק" אינו מונע מהמחשב להקליט ולאסוף נתונים. הנתונים מגיעים לחברות האפליקציה אשר ממשיכות באותם רגעים לאסוף ולעבד נתונים. במסגרת הבדיקה בחנו החוקרים את כל האפליקציות הפופולריות ביותר כיום, בהן Zoom, Microsoft Teams, Slack,  Google Meetו- Discord, והתוצאות הראו כי כל האפליקציות שנבדקו אספו מידע על המשתמשים ושלחו אותו אל שרתי החברות, גם כאשר המיקרופון של המשתמשים היה מצוי במצב השתק, משמע ללא ידיעתם. הפתרון שנמצא לבעיה הוא כיבוי של המיקרופון באמצעות ההגדרות במחשב או שימוש בתוכנות ייעודיות שישתיקו את המיקרופון בצורה חיצונית, שלא מסתמכת על יכולות ההשתקה של האפליקציות. 

התקדמות משמעותית בהסכמי העברת מידע בין ארה"ב לאיחוד האירופי – ביום ה-25 במרץ 2022, נשיא ארה"ב ג'ו ביידן ונשיאת הנציבות האירופית אורסולה פון דר ליין הודיעו כי ארה"ב והאיחוד האירופי הגיעו להסכם עקרוני מדיני על "מסגרת" טרנס-אטלנטית חדשה להעברות מידע אישי חוצה גבולות. הקשחת הרגולציה באיחוד האירופי בכל הנוגע להגנת הפרטיות יצרה מחסומים בין האיחוד האירופי לבין ארה"ב, דווקא בעידן בו העברות מידע הן הבסיס לכלכלה בין מדינות. מטרת ההסכמים היא לאפשר העברות מידע באופן שיתיישב עם הסטנדרט החדש. המסגרת החדשה תגביל את הגישה לנתונים אישיים של רשויות הביון בארה"ב לנתונים ההכרחיים לצורך הגנה על הביטחון הלאומי. סוכנויות הביון האמריקאיות יאמצו נהלים כדי להבטיח פיקוח יעיל של הכללים. כמו כן, במסגרת ההסכמים, תוקם מערכת ייעודית לחקירת תלונות שהוגשו על ידי תושבי האיחוד האירופי בנוגע למידע שנאסף   על ידי רשויות הביון האמריקאיות. 

הקמת פורום CBPR להגנת הפרטיות – ביום ה-21 באפריל 2022 הודיעה מזכירת משרד המסחר האמריקני, ג'ינה ריימונדו, על הקמת פורום עולמי חוצי גבולות לנושאי הגנת הפרטיות יחד עם קנדה, יפן, הרפובליקה של קוריאה, הפיליפינים, סינגפור וטאיביי . זרימת מידע חוצה גבולות היא בין הנושאים המשמעותיים והמורכבים ביותר בתחום הגנת הפרטיות בימים אלה. בעוד ארה"ב והאיחוד האירופי פועלות לסיים את הסכמי העברת המידע הטרנס-אטלנטית בעתיד הקרוב, הפורום יעסוק בנושאים הנוגעים לנורמות החלות על הסכמים אלו. מטרתו העיקרית של הפורום היא לגשר על גישות רגולטוריות שונות להגנת מידע ופרטיות. במסגרת המטרות, חברי הפורום יתייעצו, יחליפו דעות וישתפו מחקר, ניתוח ורעיונות כלליים. בהצהרה שלה מיום חמישי, ריימונדו השמיעה אמירה אופטימית בנוגע להשפעת הפורום על העברת נתונים גלובליים: "עם הגישה הייחודית הזו המבוססת על יצירת כללי ציות מעשיים ומבוססת על שיתוף פעולה נוכל לגרום לכלכלה הדיגיטלית לעבוד עבור צרכנים ועסקים בכל הגדלים כאחד."

 פסיקה בארה"ב - כריית מידע ציבורי היא פעולה חוקית -  לאחר שהגיע לבית המשפט העליון וחזר לבחינה מחדש, פסק בית המשפט לערעורים בארה"ב כי כריית מידע ציבורי ברשת האינטרנט היא פעולה חוקית. פסק דין זה הוא האחרון במאבק משפטי ארוך טווח שהובילה חברת לינקדאין במטרה למנוע מחברה מתחרה לדלות מידע אישי מהפרופילים הציבוריים של המשתמשים באתר שלה. פסק הדין הוא ניצחון גדול עבור ארכיונאים, אקדמאים, חוקרים ועיתונאים המשתמשים בכלים לאיסוף המוני, וכריית מידע הנגיש לציבור באינטרנט. ללא פסיקה זו, פרויקטים ארוכי טווח שנועדו לשימוש ארכיוני באתרי אינטרנט אשר מתבססים על נתונים נגישים לציבור למחקרים אקדמיים ומחקריים היו מוקפאים. 

חוק הגנת הפרטיות החמישי בארה"ב, של מדינת קונטיקט – אחרי יוטה, קליפורניה, וירג'יניה וקולורדו, בתאריך 20 באפריל 2022 הצעת חוק הפרטיות עברה בהצבעת בית הנבחרים בקונטיקט. הצעת החוק, שנכשלה בשנה שעברה במהלכי החקיקה המיוחדים של קונטיקט, תואמת בעיקר לעקרונות שנקבעו בחקיקה בקולורדו ובווירג'יניה. החוק צפוי להיכנס לתוקף ב-1 ביולי 2023, עם חתימת ראש הממשלה על הצעת החוק. החוק יחול על עסקים שיש להם פעילות בקונטיקט ובלבד שהם  אוספים או מעבדים מידע של יותר מ-100,000 צרכנים או על עסקים המפיקים 25% מההכנסות השנתיות ממכירת נתונים אודות יותר מ-25,000 צרכנים. 

הסכמות על חוק השירותים הדיגיטליים באיחוד האירופי -  בתאריך 23 לאפריל 2022 פרסמה הנציבות האירופית כי הושגה הסכמה פוליטית בין הפרלמנט האירופי למדינות החברות באיחוד האירופי על הצעת חוק השירותים הדיגיטליים (DSA) שהוצעה על ידי הנציבות בדצמבר 2020. ה DSA- קובע סטנדרט חדש, חסר תקדים למתן דין וחשבון בפלטפורמות אינטרנטיות לגבי תוכן לא חוקי ותוכן מזיק. לדברי הנציבות, החוק יספק הגנה טובה יותר למשתמשי האינטרנט ולזכויות היסוד שלהם, כמו כן, גם יגדיר מערכת כללים אחת בשוק הפנימי, שתסייע לפלטפורמות קטנות יותר להתרחב. 

תיקון חוק הגנת המידע בווירג'יניה – בתאריך 20 באפריל 2022 חתם מושל ווירג'יניה, גלן יאנגקין, על שלוש הצעות חוק לתיקון חוק הגנת המידע של צרכנים במדינת וירג'יניה. התיקון הראשון לחוק נוגע לזכות המחיקה של הצרכנים ולזכות להפסקת עיבוד גם כאשר מדובר במידע שהועבר באמצעות צד שלישי. התיקון השני משנה את ההגדרה של ארגון ללא מטרות רווח. החוק פוטר בדרך כלל עמותות, אך ההגדרה המתוקנת כוללת כעת את כל הארגונים הפוליטיים. התיקון השלישי והאחרון מבטל את קרן פרטיות הצרכן וקובע כי כל הקנסות האזרחיים ושכר טרחת עורך דין יופקדו בקופת המדינה הקיימת ויזכו לקרן הנאמנות הרגולטורית, סנגור הצרכנים, ליטיגציה ואכיפה. החוק המתוקן עתיד להיכנס לתוקף ב-1 בינואר 2023. 

הודו מחייבת גופים לדווח על אירועי סייבר תוך שעות -  בתאריך 28 לאפריל 2022, ממשלת הודו הודיעה על הנחיות חדשות בדבר דיווח אירועי אבטחת מידע. ההנחיות מחייבות ארגונים ממשלתיים לדווח על אירועי אבטחת מידע במסגרת זמן של 6 שעות בלבד מהרגע שנודע להם על האירוע, גם אם מדובר רק בחשד. הדיווח  יועבר לצוות התגובה לאירועי אבטחת מידע של הודו . (CERT-In)עד לפרסום ההנחיות, החובה לדיווח הייתה בתוך זמן סביר. בנוסף, ההנחיות מחייבות את אותם הארגונים לשמור את תיעוד היומנים ('לוגים') למשך 180 ימים (בעוד שבישראל נדרשת שמירת הנתונים למשך למשך 24 חודשים לפחות), ושמירת מידע נוסף כך שיאפשר שיתוף ושקיפות אודות האירוע. ההנחיות החדשות עתידות להיכנס לתוקף תוך 60 ימים ממועד פרסום ההנחיות.

 רפורמת הפרטיות בבריטניה –  בתאריך 10 במאי 2022, הודיעה ממשלת בריטניה (כחלק מנאום המלכה) על כוונתה להציג הצעת חוק לרפורמת נתונים, שמטרתה לפשט ולהנגיש את הכללים הנוגעים להגנה על הפרטיות שהוגדרו ב-GDPR, זאת כי לטענת הממשלה מדובר בחקיקה מורכבת ומוגזמת. בתדרוך של ממשלת בריטניה לנאום המלכה נכתב כי מטרת הצעת החוק היא "לנצל את היתרונות של הברקזיט ליצירת משטר זכויות נתונים ברמה עולמית... שמפחית עומסים על עסקים, מגביר את הכלכלה, עוזר למדענים לחדש ולשפר את חייהם של אנשים בבריטניה." ממשלת בריטניה התייחסה גם לתקנת הגנת הנתונים הכללית של בריטניה (" UK GDPR") (שהועברה בירושה כתוצאה מהחברות הקודמת של בריטניה באיחוד האירופי) ולחוק הגנת הנתונים משנת 2018. כמו כן, בריטניה תבקש לחדש את החלטת ההלימה (Adequacy decision) של הנציבות האירופית ביחס לבריטניה עם תום התוקף האוטומטי שלה בשנת 2025. עם זאת, כל שינוי במשטר הגנת הנתונים של בריטניה שיוריד את רמת הגנת המידע בבריטניה עלול לסכן את מעמדה של בריטניה ולביטול החלטת הנציבות האירופית. 

מאמצי רגולציה להגנת פרטיות ילדים – בהמשך לידיעה מחודש מרץ, אודות נאומו של נשיא ארה"ב ביידן על הצורך בשינוי רגולטורי עבור הגנת פרטיותם של ילדים ברשת, ב-19 באפריל 2022, בית המחוקקים של מדינת קליפורניה וקבוצת רגולציה עצמית בתעשייה, נקטו, כל אחד בנפרד, צעדים לשיפור הגנת הפרטיות עבור ילדים שאינם כלולים בחוק הגנת הפרטיות המקוון לילדים ("COPPA"). הקבוצה פעלה באופן עצמאי ליצירת מדריך המעודד חברות להסביר לבני נוער את סוגי המידע האישי שנאספו ובקרות הפרטיות הזמינות. התדרוך מתייחס גם לשיטות עבודה מומלצות אחרות הקשורות לפרסום, נתוני מיקום גיאוגרפי, תוכן המותאם לגיל, תוכן שנוצר על ידי משתמשים, ניהול תוכן, שיתוף נתונים ושימור נתונים. במקביל, ועדת הפרטיות והגנת הצרכן של מדינת קליפורניה אישרה את AB-2273 , הצעת חוק שתחייב שירותים מקוונים המיועדים לילדים מתחת לגיל 18 לכללי אבטחת מידע מחמירים. 

טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.