תקנות הגנת הפרטיות חדשות – הוראות לעניין מידע אירופי
בתאריך 8 במאי 2023, פרסם משרד המשפטים על כניסתן לתוקף של תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי). תקנות אלה מהוות אבן דרך חשובה בתהליך חידוש מעמד התאימות (Adequacy) שניתן לישראל על ידי האיחוד האירופי בשנת 2011, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי (תקנות ה- GDPR). התקנות כוללות הוראות בדבר זכויותיהם של נושאי מידע לדרוש מחיקת מידע, תיקון מידע, הגבלות על החזקת מידע, חובת מתן הודעה לנושאי מידע ועוד. התקנות קובעות ארבע חובות אשר יחולו על מידע אישי שהועבר לישראל מהאזור הכלכלי האירופי (האיחוד האירופי, איסלנד, נורבגיה וליכטנשטיין), והחל מיום 1.1.2025 גם על מידע אחר המצוי באותו מאגר יחד עם המידע שהתקבל מהאזור הכלכלי האירופי. כמו כן, התקנות קובעות כי מידע בדבר מוצאו של אדם ומידע בדבר חברות בארגון עובדים, ייחשב "מידע רגיש" לעניין סעיף 7 לחוק הגנת הפרטיות. התקנות אינן חלות במקרה בו המידע האירופאי יועבר על-ידי נושא המידע בעצמו או אם הועבר מרשות ביטחונית או רגולטורית באזור האירופאי במטרה הקשורה לאכיפת חוק או ביטחון. פריימסק ממליצה לארגונים אשר מאגריהם מכילים מידע שמקורו במדינות האזור הכלכלי האירופי, להיערך בהקדם.
פס"ד – לחברת הביטוח לא קיימת חובת מחיקת מידע עבור מידע של מבוטח לשעבר
בתאריך 13 באפריל 2023 פסק שופט בית משפט השלום אמיר לוקשינסקי-גל כי על חברת ביטוח לא חלה החובה להיעתר לבקשת מבוטח לשעבר למחוק מידע אישי שנאסף במאגרי המידע שלה, זאת גם לאחר סיום תקופת ההתקשרות בין הצדדים, כאשר לכאורה אין צורך במידע זה. פס"ד זה מהווה חיזוק נוסף להיעדר זכות נושא המידע למחיקת המידע לגביו במאגר מידע. בפסה"ד ישנה הבהרה חוזרת ללשון החוק כאשר בית המשפט מדגיש את הדווקנות שבניסוחו. הדיון נסוב במסגרת ערעור לפי תקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי דין בערעור על סירוב לבקשת עיון), כאשר לטענת המערער עומדת זכותו לערער על החלטת חברת הביטוח לסרב לבקשת מחיקת המידע. בערעור טען המבוטח לשעבר כי התקנות מקנות זכות ערעור כללית למחיקת כל מידע, בעוד השופט הבהיר מנגד כי לשון החוק ברורה ומקנה זכות לפנות בבקשה לתיקון או למחיקה של מידע ש"אינו שלם, ברור או מעודכן", וכי זכות הערעור היא על סירוב של בעל מאגר מידע להיעתר לבקשה כאמור בלבד. לעניין הסוגייה בדבר "מידע עודף" והחובה להסירו, תמך השופט בטענת חברת הביטוח לפיה קיים צורך ברור בשמירת המידע גם לאחר סיום ההתקשרות בשל החשש לתביעות עתידיות.
חוק פטור מוויזה – חשש לפגיעה בפרטיות
בתאריך 29 למרץ 2023 קיבלה הכנסת בקריאה שלישית את "חוק הסמכויות לאיסוף ואבחון נתוני נוסעים". החוק נועד כדי לקדם את האמנה בין ישראל וארה"ב אשר במרכזה יינתן לאזרחי מדינת ישראל פטור מאשרת כניסה לארה"ב. החוק מסדיר את הקמת המרכז הלאומי לאיסוף ולאבחון נתוני טיסות ונוסעים לישראל וממנה. הקמת המרכז מהווה את אחד מהקריטריונים שדרשה ארה"ב לתהליך הישראלי לקבלת הפטור. החוק יחייב את כלל חברות תעופה, זרות או ישראליות, למסור למרכז מידע רב אודות נוסעים יוצאים או נכנסים. המידע יכלול בין השאר: שם מלא, אזרחות, מגדר, תאריך לידה, כתובות פיזיות, כתובות אימייל, מספרי טלפון, אמצעי התשלום, מועד הכרטוס, מידע על מארגן הנסיעה, השתייכות למועדוני נוסעים, מספר המושב של הנוסע ועוד. המידע שייאסף במרכז הלאומי יישמר ברשות המיסים, אך יהיה נתון לגישת גורמים נוספים וביניהם: רשות האוכלוסין, משרד הבריאות ומשרד התחבורה. כמו כן, המשטרה, השב"כ והמוסד יוכלו ליצור העתקים מהמאגר. בנוסף, קיימות הוראות בחוק המאפשרות העברת מידע לגורמים במדינות זרות. מומחי פרטיות שונים הביעו את חששם בנוגע להיעדר הגבולות במאגר ולאבטחת המידע בו. בשל מורכבותו של החוק נקבע כי הוראות פרק ב' בדבר חובות מסירת מידע החלות על מובילי הנוסעים –יחולו בתום שישה חודשים ממועד פרסום תקנות לפי סעיף 3(ד); ופרק העיצומים –ייכנס לתוקפו לאחר מספר שנים ממועד פרסום החוק; ואילו כל יתר ההוראות – יחולו בתוך 30 יום ממועד פרסום החוק (29 למרץ 2023).
הגנת הפרטיות בעולם
ביום ה-22.05.2023, פורסם כי הנציבות להגנת נתונים באירלנד השיתה קנס בגובה 1.2 מיליארד אירו על חברת מטא בשל העברת נתונים מהאיזור הכלכלי האירופי לארה"ב וזאת בניגוד להחלטת ביהמ"ש הגבוה לצדק בפס"ד שרמס 2 משנת 2020 ובניגוד להנחיות ה-EDPB. כפי שפירטנו בטורים הקודמים, פסה"ד הנושא את שמו של פעיל זכויות האדם, מקס שרמס, ביטל הלכה למעשה את הסכמי המגן (Privacy Shield) להעברת נתונים בין ארה"ב והאיחוד האירופאי. בנוסף להטלת הקנס הגבוה ביותר עד כה, הנציבות דורשת ממטא להפסיק את העברת הנתונים לאלתר. בתגובה, מטא הודיעה כי תערר על ההחלטה.
ה-EDPB: מעבד מידע (Processor) המסרב לפעול בהתאם להוראות בקר הנתונים (Controller) עשוי להוות בשל כך בקר נתונים בעצמו
המועצה האירופית להגנת נתונים (EDPB) העלתה חשש לגבי תפקידם של צדדים המעבירים ביניהם מידע אישי (בקר / מעבד), כאשר מעבדי נתונים (לרוב מעבדים גדולים כגון מספקי שירותי ענן) מסרבים לנהל משא ומתן ו/או לחתום על הסכם העברת נתונים (DPA) או לקבל הוראות מבקרי הנתונים, במיוחד אם יש פערי כוחות בין הצדדים. הסירוב לנהל משא ומתן על DPA עלול לגרום למעבד הנתונים להפוך לבקר נתונים. במקרה כזה, ספק השירות עשוי להיחשב לבקר אוטונומי תחת סעיף 28(10) של GDPR ועשוי להיות אחראי לכל הפרה של ההוראות הרלוונטיות של תקנות הגנת המידע האירופאיות (GDPR). מעבדי נתונים שסירבו באופן עקבי לנהל משא ומתן ולחתום על DPA צריכים להיות מודעים לסיכון זה מכיוון שהפרות GDPR עלולות להיות כרוכות בתוצאות חמורות, כולל חקירה של רשויות פיקוח, קנסות וסיכוני מוניטין.
בית המשפט הגבוה לצדק באירופה: פיצויים בגין הפרת ה- GDPR – רק בהוכחת נזק
ביום ה- 4 במאי ,2023 פסק בית המשפט הגבוה לצדק באירופה (Court of Justice of the European Union- CJEU) כי יש להוכיח נזק הנובע כתוצאה מהפרת תקנות הגנת המידע האירופאיות (GDPR) על מנות לזכות בפיצויים. פסק הדין, שניתן בבית המשפט הגבוה לצדק, הובא תחילה לדיון בפני בית משפט באוסטריה, שם הגיש התובע, תושב אוסטריה, תביעה נגד חברת דואר בטענה שזו הפרה את תקנות ה- GDPR כאשר אספה מידע בנוגע לדעותיהם הפוליטיות של לקוחותיה. כאשר דרש התובע פיצויים, ביקש בית המשפט האוסטרי את העברת הדיון לבית המשפט הגבוה לצדק, שיבחן את התנאים לקבלת פיצויים בגין תביעה זו. בית המשפט קבע כי יש להוכיח נזק במקרה של תביעה לפיצויים בגין הפרת ה- GDPR, כך שיהיה קשור להפרה. כמו כן, קבע בית המשפט הגבוה לצדק כי ניתן להוכיח נזק מינימאלי בלבד. מאחר שלא קיימת בתקנות התייחסות לחישוב אומדן הנזק, יחול הדין המדינתי לעניין זה.
התנגדות הפרלמנט האירופאי להעברת מידע לארה"ב
בתאריך ה- 11 במאי 2023, פרסם הפרלמנט האירופאי הצהרת החלטה (לא מחייבת) ובה, מבהיר כי מתנגד להסדר המתגבש להעברת המידע לארה"ב (EU-US Data Privacy Framework ) שנמצא כעת בשלבי בחינה ואישור. ההצהרה מבקרת את הנחיותיו של משרד המסחר האמריקאי להגנה נאותה של חברות על מידע שמועבר מאירופה לארה"ב. בהצהרה טוענים רוב חברי הפרלמנט כי המתווה החדש לא מעניק הגנה הולמת של מידע כפי שקובעות תקנות ה- GDPR. כמו כן, בהצהרה, טוענים חברי הפרלמנט כי ארצות הברית עוד לא הוכיחה הקמת אמצעים לבקרה והגנת המידע המתקבל ועל כן לא ניתן לקבוע כי המתווה עומד בתנאים שהציבה הנציבות האירופאית. חברי הפרלמנט טוענים כי לא קיים בארה"ב חוק פדרלי כללי להגנת המידע. בהחלטה, דורשים חברי הפרלמנט מהנציבות האירופית להפסיק את תהליך אישור המתווה עד לשינוי מהותי.
ChatGPT חוזר לאיטליה
ביום ה- 28 באפריל 2023, פרסמה רשות הגנת נתונים אישיים באיטליה (GPDP), כי תאפשר לחברת OpenAI האמריקאית שמנהלת את פלטפורמת ChatGPT לשוב לפעילות בתחומי איטליה, זאת לאחר שהורתה לחסום את השימוש בה במהלך חודש מרץ. OpenAI שלחה לרשות האיטלקית הצהרה שבה היא מפרטת את האמצעים ליישום בקשות הרשות הכלולות בהוראה מה-11 באפריל, ומסבירה כי היא העמידה לרשות משתמשים סדרה של אמצעים ופתרונות נגישים למימוש זכויותיהם. OpenAI הכינה ופרסמה באתר האינטרנט שלה מידע המופנה לכלל המשתמשים באירופה ובעולם, כדי להמחיש אילו נתונים אישיים וכיצד הם מעובדים. כמו כן, הוסיפה החברה הבהרה כי לכל אחד מהמשתמשים קיימת הזכות להתנגד לשימוש כאמור. OpenAI הרחיבה את המידע על עיבוד נתונים השמורים למשתמשי השירות והפכה אותו כעת לנגיש גם בשלב הרישום. לאור שיפורים אלה, OpenAI הפכה את ChatGPT לנגיש שוב למשתמשים איטלקיים. חברת פריימסק מבקשת להדגיש כי שימוש במידע רגיש בפלטפורמה עלול לחשוף את המידע שלכם ברבים. יש להפעיל שיקול דעת טרם השימוש בכלי ה- AI השונים בשוק, ובייחוד בממשקי ה-API של הכלי ליישומים אחרים, למשל Whatsapp.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.