הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 06-2022

הגנת הפרטיות - ישראל

הצעת חוק הגנת הפרטיות (תיקון – מחיקה ממאגרי מידע), התשפ"ב–2022 עלתה לדיון בוועדת השרים לחקיקה, מתוך שאיפה להגביר את זכותו של הפרט על המידע הנאסף אודותיו. עיקרי ההצעות לתיקון חוק מתייחסים ל- 

א'- עיגון זכות לנושא המידע להעניק אישור מחודש להחזיק במידע אודותיו, בתום תקופה מסוימת. 

ב' - עיגון זכותו של אדם לדרוש מחיקת מידע אודותיו בפנייתו לבעל המאגר או באופן אוטומטי אם חלפו חמש שנים מקבלת הודעה לפי סעיף 11 ולא נתקבל אישור מחודש להחזיק במידע.

 ועדת השרים אישרה תמיכה בקריאה טרומית של התיקון לחוק ובכפוף לשני תנאים: המשך הליכי החקיקה יקודמו בתיאום עם משרד המשפטים ומשרד הביטחון; בהמשך הליכי החקיקה הצעת החוק תוכפף להצעת חוק ממשלתית שתוגש בנושא  על ידי שר המשפטים.

מידע רגיש של ילדים בעלי צרכים מיוחדים היה זמין לכל בגוגל מערכת "משפח"ה", המשמשת לניהול שירותים פסיכולוגיים-חינוכיים, כוללת מידע רגיש וחסוי מאד על המטופלים. גיבוי המערכת אוחסן על שרת פתוח ואף נסרק על ידי מנוע החיפוש, באופן שחשף מידע בעל רגישות גבוהה ביותר לכל גולש. מרגע הדיווח - הפרצה נסגרה. 

הרשות להגנת הפרטיות מפרסמת דוח שנתי לסיכום פעילותה בשנת 2021 ועיקריו: 

  • פעילות אכיפה בתקופת משבר הקורונה – חוו"ד בנושא מכשירי איכון של השב"כ.
  • פעילות הרשות בנושא איתור מגעים של חולי קורונה באמצעות שירות הביטחון הכללי.
  • קידום חקיקה – תיקון 14 לחוק הגנת הפרטיות.
  • אכיפה – 29 תיקי אכיפה בנושא שימוש במידע שלא למטרה, איסוף ללא הסכמה, אי מתן זכות עיון; 5 תיקים בנושא חתימה אלקטרונית; 30 החלטות רשם גורמים מאשרים; 2 תיקים פליליים בהם הורשעו 6 חשודים; 2 תיקים פליליים בהם התקבלו גזרי דין כנגד חשודים; תיק פלילי אחד בו הוגש כתב אישום; 216 תיקי פיקוח רוחב, 60 פיקוחי מעקב.
  • בשנת 2021 התקבלו ברשות 108 דיווחים אודות אירועי אבטחה חמורים, והרשות קבעה תוצרי אכיפה ב- 32 מהם ופתחה ב-15 הליכי פיקוח מנהלי בתחום אבטחת המידע.
  • פעילות מערך פיקוחי הרוחב: בשנת 2021 השלימה הרשות 224 תיקי פיקוח רוחב בחברות כוח אדם והשמה; חברות קמעונאות מזון ודלק; מרפאות וגופים המעניקים שירותי כירורגיה וקוסמטיקה רפואית, קרנות ביטוח וגמל.

 הנכם מוזמנים לקרוא על סיקורנו בנושאים אלה במהלך השנה החולפת באתר פריימסק, תחת פרסום הטורים החודשיים שלנו.

 המלצות להגנה על הפרטיות בשימוש בכלי תחבורה זעירים שיתופיים הרשות להגנת הפרטיות ניתחה את מסמכי מדיניות הפרטיות ותנאי השימוש של אפליקציות המשמשות את חברות הקורקינטים השיתופיים המרכזיות בישראל, וגיבשה סדרה של המלצות לשימוש בטוח ומאוזן תוך שמירה על פרטיות המשתמשים. 

תקווה חדשה נגד הליכוד וש"ס: על הכוונת – מאגרי המידע על בוחרים בכוונת מפלגת תקווה חדשה להעלות הצעת חוק שנועדה להקשות על המחזיקים במאגרי המידע בליכוד ובש"ס. ההצעה כוללת דרישה כי כל 5 שנים יימחק המידע מהמאגר, אם נושא המידע לא אישר מחדש את השימוש בו. הגורם שמחזיק במאגר יצטרך לפנות לאדם שעליו המידע, להסביר לו איזה שימוש יעשה בו, ולבקש אישור שימוש. אחרת, ייחשב הדבר לפגיעה בפרטיות שלו. כמו כן, הגורם המחזיק במידע יצטרך להודיע לאדם על משך התקופה שבה יחזיק את המידע, ויודיע לו שיש לו זכות לבקש את מחיקת המידע, כולל פירוט דרכי הפעולה לעשות זאת.

רשות האוכלוסין שלחה תמונות פנים של אזרחים לגוף ממלכתי אחר בניגוד לחוק החשב הכללי רשות האוכלוסין וההגירה שלחה בשבע השנים האחרונות תמונות פנים "באיכות מופחתת" של מיליוני אזרחים לגוף ממלכתי אחר בניגוד לחוק, כך עולה מדו"ח הממונה על היישומים הביומטריים. התמונות נאספו במערכת של בקרי הגבול בנתב"ג ובגבולות לצורך עבודתם השוטפת. הממונה קבע כי מאגר תמונות פנים באיכות מופחתת מהווה מאגר מידע ביומטרי לכל דבר, וכי שמירתו והעברתו הם "פער חמור" ונעשים "בניגוד לעקרונות המנחים לפיהם תוכנן הפרויקט". הדו"ח אינו מציין באיזה גוף ממלכתי מדובר. 

המשטרה מודה: פוגעים בפרטיות הנהגים, ובכל זאת נמשיך לפני מספר חודשים הורה בג"ץ למדינה לנמק מדוע אינה מפסיקה לעקוב אחר נהגים עד לקבלת אישור הכנסת. פרקליטות המדינה הודיעה לבג"ץ: "המשטרה לא תפסיק להשתמש במערכת "עין הנץ" השנויה במחלוקת, המתעדת לוחיות רישוי של כלי הרכב הנעים ברחבי המדינה. זאת למרות שהיא מופעלת עדיין ללא אישור הכנסת וללא פיקוח חיצוני. המדינה ערה לכך שהשימוש במערכת מוביל לפגיעה בפרטיות", מודה הפרקליטות, אך מסבירה מדוע הפגיעה מוגבלת: "כפי שיפורט להלן, המערכת מופעלת במרחב הציבורי בלבד, היא אינה מצלמת ברשות היחיד ואינה עוקבת באופן רציף אחר רכב מסוים, ועל כן במובן זה מידת הפגיעה מוגבלת. הפרקליטות גם מודה שהמערכת אוגרת צילומים של כלי רכב אקראיים, העשויים בעתיד לשמש נגד נהגיהם. המשטרה מבססת את הצבת והפעלת המערכת על קביעה מ-2015 של המשנה ליועץ המשפטי לממשלה כי בידיה סמכות להפעיל את המערכת לתקופת ביניים מכוח הסמכויות המוקנות לה בחוק למניעת עבירות ולחקירת עבירות. אולם היועמ"ש קבע אז גם כי בטווח הארוך ראוי להסדיר את השימוש במערכת בחקיקה, עניין שטרם הסתיים, שבע שנים אחר כך. ברקע הדברים, פורסם לאחרונה בשיטת פעולה נוספת הפוגעת בפרטיות האזרח הקרויה 'איכון הפוך'. במסגרת שיטת פעולה זו, מבוצע איכון גיאוגרפי ומציפים את כל המספרים הסלולריים ששהו באותו תא שטח בעת הנדגמת. כך, הלכה למעשה, מבוצע תחקיר אודות אזרחים תמימים ועבריינים כאחד. 

המשרד לשירותי דת אסף מידע לכאורה, בניגוד לחוק הגנת הפרטיות ותקנותיו  מדי שנה, במשרד לשירותי דת מחזיקים בפרטים אישיים של אלפי בעלי כרטיסים להר מירון כולל השתייכות קהילתית, דבר המנוגד לחוק הגנת הפרטיות ומצריך תיאום על שמירת המידע מול הרשות להגנת פרטיות. מהרשות להגנת הפרטיות נמסר כי "לא הוגשה בקשה לרישום מאגר מידע בנוגע למבקשי כרטיסים לעולים להילולה במירון", כאשר הם מסתייגים ומציינים כי אמנם "בשלב זה, לא ידוע לרשות האם היערכות המשרד לשירותי דת להילולה, מצריכה רישום מאגר מידע. חזקה על גוף ציבורי שהוא מודע לחובות החלות עליו מכוח חוק הגנת הפרטיות ותקנותיו". בו בזמן שהמשרד לשירותי דת אומרים כי המידע יימחק תוך זמן קצר, במסמך נדרשים הקהילות לחתום כי המשרד לשירותי דת יכול לשמור על המידע לתקופה ממושכת לצורך בדיקה, כמו הטענות כי גם אם יתקבל האישור לאסוף את מאגר המידע, התיוג לפי קהילות חורג את המוסכמות. 

לאישור המליאה: ביטול הדרישה לטביעת אצבע כתנאי להנפקת ת"ז או דרכון ל-10 שנים ועדת הכנסת המפקחת על פעילות המאגר הביומטרי אישרה את החלטת שרת הפנים שקד לאפשר להנפיק תעודות הזהות ודרכונים עם תוקף מרבי של עשר שנים - ללא תלות במתן הסכמה לשמירת טביעות אצבע במאגר הביומטרי והארכת הוראת השעה ליולי 2023. ההחלטה טעונה את אישור מליאת הכנסת. באותה העת, לאחרונה פורסם כי עו"ד חיים רביה הגיש תביעה נגד המאגר הביומטרי הסודי של רשות האוכלוסין ותובע מהמדינה פיצויים בסך של 180,000 ₪. "נטילת תמונות הפנים הביומטריות של התובע בלא סמכות בחוק, שמירת תמונות הפנים הביומטריות של התובע במאגר מידע והעברתן לגוף אחר – הכל, ביודעין, בלא סמכות כחוק ובניגוד להוראות כל דין – היא מעשה המכוון לפגוע בפרטיות התובע. לפיכך, התובע זכאי לפיצויים בגין הפגיעה באוטונומיה שלו ובפרטיותו – כך "נכתב בכתב התביעה.

כתב אישום בכפוף לשימוע נגד ראש העיר קריית מוצקין חיים צורי מחלקת הסייבר בפרקליטות המדינה הודיעה, על דעת פרקליט המדינה, לבא כוחו של ראש עיריית קריית מוצקין, חיים צורי, כי נשקלת העמדתו לדין בעבירות של לקיחת שוחד, הפרת אמונים, קבלת דבר במרמה בנסיבות מחמירות, שיבוש מהלכי משפט ופגיעה בפרטיות, שביצע לכאורה בשתי פרשיות שונות בין השנים 2008-2018, וזאת בכפוף לשימוע שייערך לו. על פי החשד צורי, באמצעות מעורבים נוספים, פעל בין השנים 2008-2018 לשימוש במאגר המידע של העירייה לצרכיו האישיים-הפוליטיים, תוך הסתייעות בעובדי עירייה, ועל חשבון כספי העירייה. 

זה עונשו של הגבר שהפיץ תכנים פרטיים מהנייד של האקסית אדם הפיץ תכנים פרטיים מהמכשיר הנייד של בת זוגו לשעבר והפיצם לאחיה וחבריה. בהמשך שבר את המכשיר ושיקר למשטרה. על אף שהורשע לאחרונה בעבירות אלימות כלפי בת זוג אחרת, הנדון נענש בשלושה חודשי עבודות שירות. 

בקשה לייצוגית נגד קסטרו: שולחת הודעות פרסומת ללא הסכמת הלקוחות בבקשה לאישור תביעה ייצוגית נגד חברת האופנה נטען כי היא מפרה את חוק התקשורת בכך ששולחת פרסומות ללקוחות שלא הסכימו לכך. קסטרו טוענת כי מדובר ב"מקרה נקודתי". 

בנק ישראל מבטל את הדרישה מהבנקים לאחסן את המידע והמערכות שלהם בארץ בנק ישראל עדכן את הוראותיו לבנקים ומאפשר להם לאחסן נתונים, מערכות ליבה ואת תשתיות המחשוב שלהם בשירות ענן ציבורי, גם אם הספק פועל מחוץ לישראל. כעת הבנקים יוכלו בפועל לעשות שימוש בשירותי הענן הציבורי של אמזון, גוגל, מיקרוסופט, אורקל ו-IBM. 

 PayBox כתבה מדיניות פרטיות של יותר מ-17,000 מילים. בין הסעיפים המרובים עולה חובתו של המשתמש להתעדכן מידי פעם בשינויים שנערכים במסמכי המדיניות המסואבים הללו. יתר על כן, אחד הסעיפים קובע כי המשתמש "מוותר במפורש על כל חובת סודיות בנקאית וכל חובה אחרת של סודיות". עוד מצוין כי במסגרת השימוש, PayBox רשאית להעביר מידע של המשתמשים למפעילים, זאת ללא פירוט אודות מיהם המפעילים. על אף שהמדיניות אמורה להקיף את השימוש באפליקציית PayBox, נראה כי המשתמש מוצא את עצמו בקשר רב משתתפים (עם מנפקת הכרטיס ושופרסל למשל). עמדת הרשות להגנת הפרטיות ולאחרונה גם ביהמ"ש העליון, שכדי לעמוד בדרישות חוק הגנת הפרטיות על חברות המפעילות אתרי אינטרנט, בעיקר כאלו שמטרתם מסחר מקוון, לפרסם מדיניות פרטיות בהירה, המנוסחת בשפה ידידותית, שתבהיר לגולשים מהם נוהגי האתר בתחום איסוף המידע האישי והשימוש בו ותאפשר לגולשים לקבל החלטה מושכלת אם רצונם בחשיפת המידע האישי שלהם. 

הרשות להגנת הפרטיות בודקת: מדוע ביקשה שטראוס פרטים אישיים מהצרכנים במסגרת הריקול  (recall) ממידע שהעבירה הרשות להגנת הצרכן עלה כי במסגרת הליך הריקול (החזרת מוצרים פגומים) שמבצעת החברה בעקבות פרשת סלמונלה בחומרי הגלם, היא דורשת מצרכנים המעוניינים לקבל ממנה החזר בגין מוצרים האסורים לצריכה למסור לה מידע אישי, הכולל מספר תעודת זהות, וזאת כתנאי לקבלת ההחזר הכספי. 

המועמדת התחברה לראיון עבודה בזום - וקיבלה מהמראיין מייל שהדהים אותה לאחר ראיון עבודה בזום, גילתה המרואיינת כי נשלח אליה בטעות מייל מהמראיין עוד לפני הריאיון, ובו נכתב "מגזר ערבי, גם קושי בשפה" - ולאחריו מייל נוסף שהבהיר שלא היה מיועד לה. היא הגישה נגד החברה תביעה בבית הדין האזורי לעבודה, שהסתיימה בפשרה: פיצוי כספי ומכתב התנצלות. חברת פריימסק מזכירה לוודא התאמת בין נמען הדוא"ל ותוכנו, טרם שליחתו.

הגנת הפרטיות - בעולם

טוויטר תשלם 150 מיליון דולר - קנס על הפרות הזכות לפרטיות בתאריך 25 במאי 2022 הסכימה טוויטר על תשלום פשרה בסך 150 מיליון דולר בגין הפרות שונות של מדיניות הפרטיות שלה. ההפרות מתייחסות לשנים שבין 2013 ל-2019, בהן טוויטר עשתה שימוש בנתונים למטרות פרסום כאשר הצהירה במדיניות הפרטיות כי השימוש יעשה למטרות אבטחת מידע. הסכם הפשרה נקבע כחלק מהסדר של משרד המשפטים ונציבות הסחר הפדרלית בארה"ב (FTC) עם טוויטר. לפי הסדר זה, טוויטר תפעל לשינויים מערכתיים שייטיבו עם פרטיות המשתמשים והגנת המידע.

 המלצות רשות הגנת הפרטיות הצרפתית לשימוש נכון ב-Google Analytics לאור הנחייתה של הרשות הצרפתית להגנת הפרטיות (CNIL) בתחילת השנה לאסור שימוש בכלי Google Analytics (ראה זרקור פריימסק בנושא איסור השימוש בגוגל אנליטיקס), בתאריך 7 ביוני 2022 פרסמה הרשות הצרפתית מסמך שאלות ותשובות לצורך הסדרת השימוש בכלי. במסמך נקבע כי שינוי הגדרות הכלי אינו מספק מאחר והצפנת המידע נעשית בידי גוגל כך שמפתח ההצפנה נמצא אצלה ולא בידי מייצא המידע. המסמך מכיל המלצה להשתמש בשרת תיווך (Proxy Server) שיהווה חוצץ בין המייצא האירופאי לבין שרתי גוגל. 

הצעת חוק פדרלי להגנת המידע בארה"ב חברי הקונגרס בארה"ב פרסמו את הצעת החוק הפדרלי להגנת הפרטיות (American Data Privacy and Protection Act). הצעת החוק כוללת ייסוד רשות רגולטורית נפרדת לנציבות הסחר הפדרלית (FTC)כמו כן, הצעת החוק כוללת קידום זכויות של נושאי המידע וביניהן הזכות להישכח וזכות העיון ותיקון המידע. האפשרות לתביעה אזרחית על ידי נושא המידע קיימת בהצעת החוק, אך תחול עם תום תקופה בת 4 שנים מרגע כניסתו של החוק לתוקף. ברקע דברים אלו שלח מנכ"ל Apple טים קוק מכתב לחברי הקונגרס בו מבקש לקדם במהרה את חוק הגנת הפרטיות בארה"ב. 

הנציבות האירופית מפרסמת הנחיות נוספות להעברת נתונים בינלאומיים בתאריך 25 במאי 2022, הנציבות האירופית פרסמה מסמך הנחיות חדש המתייחס לסעיפי החוזים הסטנדרטיים (SCCs) והעברת נתונים בינלאומיים. ההנחיות כוללות שאלות ותשובות שמטרתן הדרכה מעשית על אופן השימוש ב-SCCs וסיוע לבעלי עניין במאמצי הציות שלהם לתקנות ה- .GDPR הכללת סעיפים אלו בהסכמי העברת נתונים בינלאומיים מאפשרת לבקרים ולמעבדים לעמוד בהתחייבויותיהם במסגרת ה-GDPR.

חברת Clearview נקנסה בידי הרשות להגנת המידע בבריטניה(ICO) בגין פגיעה בזכות לפרטיות בתאריך 26 במאי 2022, קנסה הרשות להגנת המידע בבריטניה את חברת Clearview על שימוש בתמונות שנאספו מהרשת ומהמדיה החברתית כדי ליצור מסד נתונים מקוון גלובלי שיכול לשמש לזיהוי פנים. ההפרות כללו איסוף מידע שלא באופן שקוף ומוסכם, היעדר סיבה חוקית לאיסוף המידע, שמירת נתונים ללא הגבלת זמן ואי עמידה בתקני אבטחת המידע. Clearview אספה יותר מ-20 מיליארד תמונות פנים ונתונים של אנשים ממידע זמין לציבור באינטרנט ובמדיה החברתית בכל רחבי העולם. נושאי המידע לא קיבלו מידע על השימוש בתמונות ומטרת האיסוף. 

סין פרסמה טיוטת הנחיות להעברת נתונים חוצה גבולות חוק הגנת המידע האישי של סין (PIPL) נכנס לתוקף ב-1 בנובמבר 2021. אחד החששות המרכזיים הוא הרגולציה של העברות בינלאומיות של נתונים אישיים מסין. בנוסף לקבלת הסכמה מנושאי נתונים, ארגונים חייבים לעבור הערכת סייבר רשמית, לקבל הסמכה על ידי גוף מיוחד, או להיכנס לסעיפים חוזיים סטנדרטיים שנקבעו על ידי מערך הסייבר של סין (CAC). ב-29 באפריל 2022, הנציבות הלאומית הרגולטורית לאבטחת מידע פרסמה את טיוטת ההנחיות על פרקטיקה מתוקננת לאבטחת רשת – מפרט טכני להסמכה של פעילויות עיבוד חוצות גבולות של מידע אישי, ושפכה מעט אור על מנגנון ההסמכה שנקבע ב-PIPL. 

מטא צפויה להיקנס בגין פגיעה בפרטיות ילדים באינסטגרם בימים אלו, במועצה האירופית להגנה על נתונים (EDPB) נבחנת החלטת נציבות הגנת המידע האירית  (DPC)לקנוס את מטא אירלנד (Meta Platforms Ireland Ltd) בין השאר בגין פגיעה בפרטיותם של ילדים ברשת החברתית אינסטגרם. ההפרות נוגעות לעיבוד נתונים אישיים מסוימים של ילדים על ידי מטא במסגרת הפעילות שלהם ברשת החברתית של אינסטגרם, במיוחד בנוגע להגדרה כברירת מחדל של חשבונות הילדים כ'חשבונות עסקיים'. הבקשה הוגשה במסגרת חקירה רחבת היקף של נציבות הגנת המידע האירית בנוגע לפעילות מטא באירלנד והיבטים שונים הנוגעים להגנת הפרטיות בפלטפורמות מטא. 

משרד המשפטים האמריקאי קובע: חוקרי אבטחת מידע שביצעו מחקר בתום לב -לא יועמדו לדין בתאריך 19 במאי 2022 פרסם משרד המשפטים האמריקאי (CFAA) מדיניות חדשה המבארת את חוק המחשבים האמריקאי  (Computer Fraud and Abuse Act) על פי מדיניות זו חוקרי אבטחת מידע שביצעו מחקר תם לא יועמדו לדין. המדיניות קובעת כי מחקר שנעשה בתום לב למטרות בדיקה, חקירה ותיקון פגיעויות, כאשר מטרתו להגן על פרטיות הזולת וכאשר תוצאות המחקר משמשות לחיזוק אבטחת המידע ותוכנות אינו מהווה פגיעה בפרטיות על ידי מי שפעלו במחקר.


טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.