הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 07-2024

טור הגנת הפרטיות בארץ  - יולי 2024

כתב אישוםעובדי חברות הביטוח מכרו את הפרטים האישיים של הלקוחות

 כתב אישום הוגש בחודש שעבר כנגד תשעה נאשמים בגין סחר נרחב במידע אישי רגיש של עשרות אלפי מבוטחים בחברות ביטוח הראל, הפניקס וכלל. שלושה מהם בגין רכישת המידע באופן שיטתי לצורך הקמת סוכנות ביטוח חדשה, ושישה מהם בגין מכירת אותו מידע. על פי כתב האישום, השישה ניצלו את יכולת הגישה שלהם למאגרי המידע מתוקף תפקידם בחברות הביטוח, תוך מעילה באמון הלקוחות ואמון חברות הביטוח בהם באופן העולה כדי פגיעה בפרטיות הלקוחות. המידע בו סחרו הנאשמים כלל בין היתר את הפרטים האישיים של המבוטחים ופרטים על פוליסות הביטוח שלהם ועל התעריפים הנגבים מהם על ידי חברות הביטוח, ובסה"כ במצטבר גרפו הנאשמים כמיליון ש"ח בעבור מכירת הפרטים בשנים 2019-2021.  

זהירותעוקץמתחזים לקונים באתר יד 2 גונבים פרטי כרטיס אשראי

 עובד בחברת סייבר ניסה למכור את כיסא הבטיחות של בנו באתר יד 2. זמן קצר לאחר מכן, פנה אליו בוואטסאפ אלמוני שביקש לרכוש ממנו את הכיסא ולשלם לו דרך שירות חדש לכאורה של אתר יד 2, המבצע סליקה ללא צורך בשירות צד שלישי כמו ביט, פייבוקס, או תשלום במזומן. העניין העלה את חשדו, לאחר בירור מעמיק, התגלתה מתקפת פישינג עולמית המופעלת על ידי כנופיית האקרים רוסית. החקירה גילתה, כי ההאקרים מפעילים תשתית פישינג מתקדמת, הכוללת כ-800 דומיינים וכתובות אינטרנט דומות לאלה של אתרי היעד המקוריים. הקמפיין פועל ביותר מ-40 שפות ומאפשר להוסיף אתרים פיקטיביים נוספים בקלות רבה. בנוסף, ההאקרים מספקים מעין שירות לקוחות לצורך תמיכה בקורבנות, כולל צ'אט עם נציגים אמיתיים, המנסים לשכנע את הקורבנות להזין את פרטי האשראי שלהם. על מנת להימנע מהתקפה זו, חברת אימפרבה מציגה מספר כללי יסוד, ביניהם הימנעות מהכנסת פרטי אשראי לאתרים לא מוכרים, מודעות לכך שאתר המשתמש בהצפנה אינו בהכרח אתר אמין, תשומת לב לכתובת האתר ולסיומת הלינק ושימוש במספר טלפון וירטואלי שמספק האתר. בחברה מבקשים להזכיר, כי גם אם כבר הכנסתם פרטים, קיימת עדיין אפשרות לחסימת כרטיס האשראי למספר ימים עד לבירור.  

 אפליקציות תיירות אוספות עליכם מידע בסתר

 לפי תחקיר של Cybernews, אפליקציות תיירות רבות אינן מפרטות כראוי את המידע ומטרת איסוף המידע שהן אוספות על המשתמשים בהן. כך לדוגמה, לכל האפליקציות שנבחנו הייתה הרשאת גישה למיקום המדויק של המשתמש, אך מרביתן הסתירו זאת מהמשתמש. ל-14 אפליקציות מתוך אלו שנבחנו הייתה הרשאת גישה למצלמת המכשיר, יכולת לצלם תמונות, להקליט סרטונים ולנהל שיחות וידאו. רוב האפליקציות לא חשפו עובדה זו מפני המשתמשים, וגם אילו שכן – הגדירו את מטרת השימוש בצורה עמומה ולא ברורה. יתרה מכך, לחלק מהאפליקציות הייתה גישה למזהים ייחודים של המכשיר, כמו מספרי טלפון, מספרים סידוריים, ומספר כרטיס ה (SIM) - הרשאות הניתנות בדרך כלל רק לאפליקציות מערכת), גישה לקריאת הודעות sms וגישה לתפעול מערכות קבצים במכשירים.

 משפטנים נגד הרחבת חוק המצלמות במעונות לילדים

 חוק התקנת מצלמות לשם הגנה על פעוטות במעונות יום לפעוטות, המכונה 'חוק המצלמות', נחקק ב-2018. החוק מתייחס לפעוטות בגיל לידה עד 3, ומחייב כל מעון השוהים בו שבעה פעוטות או יותר להתקין מצלמות במעון. מעונות עם פחות משבעה פעוטות, או מעונות ש-70% מתוך הורי הפעוטות מתנגדים להתקנת מצלמות, פטורים מהתקנת מצלמות. הקליניקה למשפט ולמדיניות חינוך של אוניברסיטת חיפה מסבירה כי חוק זה יפגע, בין היתר, בפרטיות עובדות המעון ואף בפרטיותם של הפעוטות במעון. משפטני הקליניקה טוענים במכתבם שהזכות לפרטיות נטועה בחוק יסוד כבוד האדם וחירותו, שבו כתוב "אין נכנסים לרשות היחיד של אדם שלא בהסכמתו". הם מפרשים את רשות היחיד ככזו המתקיימת גם במקום העבודה. (הם מביאים לפרשנות זו סימוכין בהחלטת בג"ץ לדחות עתירה של תלמידים שלא מגיעים לבית הספר לשידור השיעורים אונליין מסיבה של שמירת פרטיותם של המורים).

 בית המשפט הרשיע את יוסי סטלקול על סמך הודאתו במספר עבירות 

בית משפט השלום בחיפה הרשיע, על סמך הודאתו במסגרת הסדר טיעון, את יוסי סטלקול, לשעבר עובד בחברת אוטומציה החדשה, אשר סיפקה שירותי מחשוב ותמיכה לעיריית קריית מוצקין, בין היתר, בגין פגיעה בפרטיותם של תושבי קריית מוצקין. בהתאם לכתב האישום, הנאשם, יחד עם ראש העירייה דאז, חיים צורי, השתמשו במידע אישי של תושבי העירייה לטובת צרכיו האישיים-פוליטיים של צורי.

 טיוטת גילוי דעת בנושא העברת מידע אל מחוץ לישראל

 תקנה 1 לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א - 2001 אוסרת על העברת מידע ממאגר מידע בישראל אל מחוצה לה, אלא אם כן המדינה שאליה מועבר המידע מבטיח רמת הגנה שאינה פחותה מרמת ההגנה הקבועה בדין הישראלי. אחד החריגים לתקנה זו רשום בתקנה 2(4) לתקנות אלו, הקובעת כי ניתן יהיה להעביר מידע למי שהתחייב בהסכם עם בעל מאגר המידע ממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים. גילוי הדעת מתמקד בשאלת פרשנות הרשות להגנת הפרטיות למונח "שינויים מחויבים", שבהתקיימם כאמור ניתן להעביר מידע מחוץ לגבולות המדינה בהסתמך על זו. לפי גילוי הדעת, הסכם להעברת מידע בין בעל מאגר מידע בישראל לבין גורם מחוץ לישראל חייב לכלול, לכל הפחות, התחייבות של מקבל המידע: שלא להשתמש במידע למטרה אחרת מזו שלשמה הוא נמסר לבעל המאגר הישראלי. לתת לנושא המידע זכות לעיין במידע שעליו וכן זכות לבקש את תיקון המידע או מחיקתו. לקיים את חובת הסודיות ביחס למידע שהגיע אליו. לקיים את חובות אבטחת המידע הקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017; או לחלופין להצהיר על עמידתו בתקן האבטחה ISO/IEC 27001 ולהתחייב לקיים את ההוראות הנוספות שבתקנות אבטחת מידע, בהתאם להנחיית הרשות בנושא. לעמוד בהוראות תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאיזור הכלכלי האירופי), התשפ"ג-2023, אם מדובר במידע שהועבר במקור מהאיזור הכלכלי האירופי. לוודא כי כל צד שלישי במדינה הזרה שיקבל את המידע ממנו (בכפוף לתנאי התקנות), יחויב גם הוא בקיום התנאים האמורים. לעומת זאת, במקרה שבו מקבל המידע לא יעמוד בחובת רישום מאגר המידע, ובתנאי שבמדינה שבה הוא פועל אין חובת רישום למאגרים מהסוג המסוים, הדבר יכול להיחשב כ"שינוי מחויב".

 רשות הפרטיותתגי איתור חושפים אתכם 

תגי איתור כמו Airtag של אפל, SmartTag של סמסונג ומוצרים דומים של גוגל או Tile, הם גאדג'טים אלקטרוניים פופולריים וזולים יחסית, שנועדו לאפשר איתור מזוודה או חפץ נייד אחר ולעיתים גם חיות מחמד מחוץ לבית. התג מכיל בתוכו משדר, המאותת על מיקומו לרשת המעקב הלא מקוון בסביבתו. הרשתות האלה אינן סלולריות אלא משתמשות בטכנולוגיות בלוטות' קצרות טווח כמו BLE או UWB על בסיס הטלפונים הסלולריים של כולנו. הרשתות הלא מקוונות חוברו לרשת הסלולרית הכללית לאיתור מכשירים (שירותי "Find My"), מה שמאפשר לקבל את מיקום התג גם אם הוא נמצא הרחק מאיתנו. המידע על כל מיקומי התגים נשמר בשרתים של החברה ובנקודה זו נמצא האיום על הפרטיות. על הציבור להיות ער לכך שנתוני תג האיתור יכולים לזלוג לידי גופים ואנשים שאינם מורשים לקבל מידע זה, ובכך לפגוע בפרטיות המשתמשים. תג האיתור מגלם באופן הברור ביותר את המשמעות של ״השובל הדיגיטלי״ שלנו. הנתונים הנאספים עלולים לחשוף מידע רגיש על אורחות חיינו ועל הרגלינו. הרשות להגנת הפרטיות ריכזה מספר המלצות לשימוש נכון בתגי איתור, ביניהם: בדיקת הרשאות המיקום של המכשיר, הקפדה על עדכוני תוכנה, העדפת שיתוף מיקום זמניות ולא קבועות, פניה למשטרה עם הימצא תג איתור לא ידוע ועוד. 

דוח המבקר חושףזינוק דרמטי במצלמות המעקב 

מנתונים שנאספו על ידי משרד המבקר עולה זינוק אדיר במספר מצלמות המעקב שהותקנו ברשויות המקומיות, בשל יוזמה של הממשלה או של הרשויות עצמן. עוד עולה מהדוח כי אף גורם ציבורי בישראל לא מרכז את מספר מצלמות המעקב, סוגן והטכנולוגיה שבה נעשה שימוש. אצל חלק מין הרשויות שנבדקו, המבקר מצא הפרות בוטות של הזכות לפרטיות בדמות העברת תמונות ללא טשטוש, אפשרות לצילומי תקריב לתוך מרחבים פרטיים ואי קיום מדיניות כתובה מסודרת בעניין העברת חומרים מצולמים. אצל כלל הרשויות שנבדקו מצא המבקר אי עמידה בהליך המסודר שהציבה הרשות להגנת הפרטיות בטרם התקנת המצלמות. המבקר הדגיש, כי על משרד המשפטים והרשויות המקומיות לפעול כדי להסדיר את נושא המצלמות והגנת הפרטיות.

 משרד הבריאות הורה לקופות החולים להעביר אליו תוצאות של בדיקות גנטיות

 משרד הבריאות הורה לקופות החולים להעביר אליו את התוצאות של הבדיקות הגנטיות שגברים ונשים עושים לפני כניסה להריון, לרבות פרטים מזהים – מידע שעד עכשיו נותר מאובטח בשרתים של מחשבי קופות החולים. בקופות החולים מתנגדים וטוענים לסכנה לפגיעה באמון במערכת הציבורית ולפגיעה בפרטיות. המאגר מהסוג שמבקשת המדינה ליצור, יאפשר לה לבצע פרופיל גנטי של אנשים וקהילות, לסמן ולתייג אנשים בהתאם למקורות אתניים ולאומיים ולעשות שימוש במידע למטרות פסולות.

 באיחור של יותר מעשור – אושר תיקון חוק הגנת הפרטיות 

אחרי עשורים של קיפאון, ושנים אחרי האיחוד האירופי ומדינות נוספות, מדינת ישראל מעדכנת את חקיקת הפרטיות המיושנת שלה, ומאשרת לקריאה שניה ושלישית תיקון נרחב לחוק הגנת הפרטיות. עיקרי התיקון המוצע:

 1. אימוץ של המונחים "בעל שליטה במידע" ו"מחזיק במידע", המקבילים לcontroller  ו processor של ה-GDPR, דבר המצביע על כוונה להתאים את הגנת הפרטיות בישראל לרמה האירופית.

 2. התיקון מגדיר מחויבות לעשות שימוש במידע שנמסר לפי עיקרון "צמידות מטרה" – שימוש במידע רק למטרה שלשמה נמסר.

 3. צמצום משמעותי של חובת רישום מאגרי מידע. חובת הרישום תחול רק על מאגרים של גופים ציבוריים, וכן על מאגרים של סוחרי מידע ומאגרים למטרות דיוור ישיר עם יותר מ-10 אלף איש. בעל שליטה במאגר מידע עם 100 אלף איש ומעלה חייב בדיווח בלבד. מי שלא ירשום או ידווח על מאגר, יכול לספוג עיצום כספי של 150 אלף שקל, או 300 אלף שקל למאגרים מעל מיליון איש.

 4.חובה של גופים, בהתאם לקריטריונים מסוימים, למנות ממונה הגנת פרטיות; מקביל ל-Data Protection Officer  או DPO בחקיקה האירופית.

 5.שדרוג ניכר לסמכויות של הרשות להגנת הפרטיות. התיקון מקנה לה סמכויות פיקוח, מאסדר את פיקוחי הרוחב שהיא מבצעת, מקנה לה סמכויות חקירות, בירורים מנהליים והטלת אמצעי אכיפה מנהליים, החל מהתרעה מנהלית ועד עיצומים כספיים. 6.התיקון מקנה לאזרחים אפשרות לתבוע פיצוי כספי של עד 10 אלף שקל ללא הוכחת נזק, במקרה של הפרת זכויות עיון במידע, תיקון מידע, הודעה על עיבוד מידע או העברתו. תקופת ההתיישנות על פגיעה בפרטיות גם הועלתה משנתיים לשבע שנים.

 דוח המבקרפרצות אבטחה במשרד ראש הממשלה

 הביקורת שפרסם מבקר המדינה העלתה, כי ברשתות המסווגות של משרד ראש הממשלה, הכוללות מידע רגיש וברמת סודיות גבוהה ביותר, קיימת רמת הגנה נמוכה מהנדרש – ליקויים בניהול הרשאות הגישה, אי החלפת סיסמאות, אי הפעלת מערכת הניטור, אי התקנת עדכונים ועוד. דו"ח הביקורת מעלה חשד שעובדים לשעבר, כולל בכירים, השתמשו בחשבונות שהעניקו להם גישה למידע רגיש וסודי ביותר - גם לאחר סיום העסקתם.

 חמאס יצר מאגר מידע של פרטי חיילים וקרוביהם

 המאגר של חמאס מכיל עשרות דו"חות שהורכבו משילוב מידע שדלף מאתרים שונים והרשתות החברתיות. גורמים מעריכים כי חלק מהמידע הגיע מפריצה לשרתי רשת מכללות עתיד, שמעבירה השתלמויות בתחומים טכנולוגיים לחיילי צה"ל ולאנשי מערכת הביטחון. המאגר מכיל שמות מלאים של חיילים, היחידה בה משרתים, מספר הטלפון וכתובת המייל שלהם, מספר הרכב שלהם, שמות המשתמש שלהם ברשתות החברתיות, שמות בני המשפחה והחברים שלהם ובחלק מהמקרים גם מספרי כרטיסי אשראי, חשבונות בנק וסיסמאות.


טור הגנת הפרטיות בעולם יולי - 2024

היועץ המשפטי של טקסס משיק יוזמת פרטיות ואבטחת נתונים כדי להגן על הנתונים הרגישים של טקסס מפני חוקים לא חוקיים ניצול על ידי חברות טכנולוגיה, בינה מלאכותית וחברות אחרות

התובע הכללי של טקסס, קן פקסטון, השיק יוזמה גדולה לפרטיות ואבטחת מידע, והקים צוות המתמקד באכיפה אגרסיבית של חוקי הפרטיות בטקסס. היוזמה, השוכנת בתוך חטיבת הגנת הצרכן של OAG, תבטיח שחברות יכבדו את זכויות הפרטיות של טקסנים ושומרות על הנתונים האישיים שלהן.צוות פרטיות הנתונים יתמקד באכיפת חוקי הגנת הפרטיות של טקסס, לרבות חוק פרטיות ואבטחת המידע, חוק האכיפה וההגנה על גניבת זיהוי, חוק מתווך הנתונים, חוק המזהה הביומטרי, חוק שיטות המסחר המטעה וחוקים פדרליים, כולל חוק הגנת הפרטיות המקוונת של ילדים (COPPA) וחוק הניידות והאחריות של ביטוח הבריאות (HIPAA).


Texas AG פותחת בחקירה של יצרני רכב על נהלי פרטיות של נתוני נהגים

ב-6 ביוני 2024, משרד התובע הכללי של טקסס (“AG”) פתח בחקירה על נהלי הנתונים של מספר יצרני רכב. AG Ken Paxton הודיע כי משרדו יחקור את האיסוף והמכירה ההמונית של נתונים אישיים של נהגים. ה-AG ייחס את החקירה לדאגה גוברת הקשורה ל"דיווח נרחב" לאחרונה על האשמות כלפי יצרניות רכב, שבזכות הטכנולוגיה בכלי הרכב המודרניים, אוספות בחשאי כמויות עצומות של נתוני נהגים, ישירות מרכביהם וללא הסכמת הנהג וידיעתו, ומוכרות את הנתונים לצדדים שלישיים, כולל מכירת נתוני הנהיגה לחברות ביטוח.החקירה בעיצומה, ותוצאותיה עשויות להשליך משמעותית על פני תעשיות שונות.

 מינסוטה חוקקה חוק פרטיות מקיף

ב-24 במאי 2024, המושל טים וולץ חתם על חוק פרטיות המידע של מינסוטה שייכנס לתוקף ב-31 ביולי 2025.החוק מכיל חובות הנוגעות למזעור נתונים, הערכות השפעה להגנת נתונים (הנקראות "הערכות פרטיות והגנה על נתונים"), קבלת הסכמה לעיבוד רגיש ומתן הודעת פרטיות עם תוכן מסוים (כולל תיאור של מדיניות שמירת הנתונים).בין היתר, החוק כולל דרישות להצבת הודעת הפרטיות, אותה יש לפרסם באינטרנט באמצעות היפר-קישור בולט באמצעות המילה "פרטיות" בדף הבית של אתר האינטרנט או, במקרה של אפליקציה סלולרית, בדף חנות האפליקציות, בדף ההורדה, בתפריט ההגדרות של האפליקציה או במיקום בולט ונגיש באופן דומה.החוק פועל ברובו לפי המודל שנקבע בחוקי הפרטיות המקיפים האחרים של המדינה מבחינת הזכויות שהוא מספק לצרכנים (לדוגמה, NJDPA). 

שרת Zotac בתצורה שגויה חשף מידע של לקוחות לחיפושי Google

העיתונאים החוקרים ב- Gamers Nexus  חשפו דליפת נתונים רצינית ומטרידה ב- Zotac.מסמכים המכילים שמות מלאים, מספרי טלפון, כתובות מייל ודואר ועוד, היו זמינים לציבור באינטרנט ואף נוספו לאינדקס על ידי GOOGLE.לקוח של ZOTAC גילה את הדליפה הזו כשעשה בדיקה כדי לראות איזה מידע עולה בחיפוש שמו בגוגל. באופן מפתיע, הוא גילה מסמך שהעלה לZotac  כחלק מהחזרת מוצר. הוא הודיע מיידית גם ל- ZOTAC וגם ל-  GAMERS NEXUS.  בעוד Zotac הסיר מיד את הגישה לקובץ המצורף של אותו אדם, Gamers Nexus גילה במהירות עד כמה הדליפה נפוצה וחמורה. הוא גילה מסמכים מצורפים מלקוחות, הכוללים מיילים וגיליונות אלקטרוניים המכילים מידע אישי של אותם אנשים.מסמכים אחרים כללו חשבוניות ארגוניות לעסקים כמו Micro Center, iBuyPower ואחרים. 

דלאוור משיקה את פורטל פרטיות הנתונים האישיים

החוק, שייכנס לתוקף ב-1 בינואר 2025, מציג הנחיות מחמירות לטיפול בנתונים אישיים, ומעניק לתושבי דלאוור שליטה רבה יותר על המידע שלהם.המאפיינים העיקריים של חוק פרטיות הנתונים האישיים הם: שקיפות, מיזעור נתונים, אבטחה, אחריות, תיעוד.מ-1 בינואר 2025, עסקים חייבים לטפל גם בזכויות לקוחות חדשות, כולל: קבלת הסכמה לשימוש ושיתוף במידע רגיש, מתן אפשרות ללקוחות לבטל את הסכמתם למכירת מידע אישי ופרסום ממוקד, מתן גישה ללקוחות לנתונים שנאספו ואישור תיקונים, הבטחה שלא נעשה שימוש בנתונים אישיים כדי להפלות לקוחות, מחיקת נתונים אישיים לפי בקשה בנסיבות מסוימות.
העצרת הכללית של רוד איילנד אישרה את חוק הפרטיות של המדינה

ב-29 ביוני 2024, חוקקה רוד איילנד את חוק שקיפות המידע והגנת הפרטיות של רוד איילנד ("RIDTPPA"). ה-RIDTPPA ייכנס לתוקף ב-1 בינואר 2026.ה-RIDTPPA חל על כל אתר מסחרי או ספק שירותי אינטרנט המנהל עסקים ברוד איילנד או עם לקוחות ברוד איילנד או כפוף בדרך אחרת לתחום השיפוט של רוד איילנד.ה-RIDTPPA מכיל חובות לספקים העוקבים במידה רבה אחר הוראות בחוקי פרטיות מקיפים אחרים של המדינה, כגון חובות הנוגעות לקבלת הסכמה לעיבוד נתונים רגישים, ביצוע חוזים עם מעבדי מידע ומתן הודעת פרטיות עם תוכן מסוים. במיוחד, ה-RIDTPPA דורש שספק יזהה את כל הצדדים השלישיים להם מכר או עשוי למכור מידע אישי מזהה של לקוחות.כמו כן, לפי ה- RIDTPPA, לצרכנים תהיה הזכות: לאשר אם ספק יוכל לעבד את הנתונים האישיים של הלקוח ולגשת לנתונים אישיים אלו, לתקן אי דיוקים בנתונים האישיים של הלקוח, למחוק נתונים אישיים שנמסרו על ידי הלקוח, להשיג עותק של הנתונים האישיים של הלקוח המעובדים על ידי הספק, ועוד. 

 מפרסמת סט חדש של הנחיות לפיתוח מערכות בינה מלאכותית CNIL 
ב-2 ביולי 2024, פרסמה הרשות הצרפתית להגנת מידע ("CNIL") סדרה חדשה של הנחיות העוסקות בפיתוח מערכות בינה מלאכותית ("AI") מנקודת מבט של הגנה על מידע ("הנחיות AI של יולי").בדומה למערכת ההנחיות הראשונה שפורסמה על ידי ה-CNIL, הנחיות ה-AI של יולי מחולקות לשבעה "דפי הוראות AI" שבהם ה-CNIL מבקש להדריך ארגונים בצעדים הדרושים לפיתוח מערכות AI באופן התואם לאיחוד האירופי (ה- GDPR). בין היתר, ה-CNIL מתייחסת גם למימוש זכויות נושא הנתונים בשלבי פיתוח שונים (למשל, בשלב ההדרכה), ולפרקטיקות הטובות ביותר למקרים שבהם ספקים עשויים להסתמך על סעיף 11 של ה-GDPR על מנת שלא יצטרכו לזהות מחדש נושאי מידע. 


הסכם זרימת נתונים חדש בין האיחוד האירופי ליפן נכנס לתוקף

ב-1 ביולי 2024, הסכם חדש בין האיחוד האירופי ליפן המקל על זרימת נתונים בין שני תחומי השיפוט ("הסכם זרימת הנתונים") נכנס לתוקף. ההסכם יספק ודאות משפטית רבה יותר, ויבטיח את התועלת מהזרימה החופשית של נתונים בהתאם לכללי האיחוד האירופי ויפן בנושא הגנת מידע כלכלה דיגיטלית.הנציבות האירופית צופה שהסכם זרימת הנתונים יביא יתרונות לחברות הפעילות ברוב המגזרים, כולל שירותים פיננסיים, תחבורה, מכונות ומסחר אלקטרוני.