הרשות להגנת הפרטיות חשפה פרשה של ריגול עסקי בעולם הביטוח הרשות פרסמה כי הסתיים הליך חקירה פלילית אשר במהלכו נחשפה רשת לסחר במידע על מבוטחים בשלוש מחברות הביטוח הגדולות בישראל. כחלק מכך, סוכנות ביטוח הפעילה, במהלך השנתיים האחרונות, מספר עובדי מכירות באותן חברות ביטוח אשר הונחו להעביר את פרטיהם האישיים של מבוטחים אשר שילמו פרמיה חודשית גבוהה מ-300 ₪ עבור גורמים מאותה סוכנות ביטוח. המידע האישי כלל בין היתר: כמות וסוגי הביטוחים שהלקוח רכש, הפרמיות ששילם, תאריך לידה, תעודת זהות, תאריך הנפקת תעודת זהות, שם מלא, מספר טלפון ומקצוע. העברת המידע בוצעה באמצעות העתקת הנתונים על המבוטחים ממאגרי המידע של חברת הביטוח אל פתקים צבעוניים או שליחתם במייל, בווטצאפ ובדרכים נוספות. תמורת כל פתק או מסרון שהכיל פרטים של לקוח פוטנציאלי, קיבלו עובדי חברות הביטוח סכום של 30 ₪, שהצטברו לסכומים של מאות אלפי שקלים ששולמו על ידי מנהלי הסוכנות החשודה. הרשות נקטה במספר פעולות אקטיביות כחלק מתהליך החקירה, כדוגמת-תפיסת מסמכים בנקאיים, מכשירי טלפון סלולארי, מחשבים, וכן העתקת מאגרי המידע של הסוכנות החשודה. החשודים נחקרו בגין חשד לביצוע עבירות רבות של פגיעה בפרטיות, וכעת בסיומה של החקירה הועבר התיק למחלקת הסייבר בפרקליטות המדינה לשם עיון והחלטה בדבר הגשת כתבי אישום.
פסק דין מיכל אסולין-עיון מעסיק במיילים של עובדת החברה כחלק מתביעה לפיצוי בגין פיטורים ללא שימוע שהגישה העובדת לבית הדין האזורי בתל אביב, גם הגישה תביעה למתן צו עשה למניעת מעסיקיה מעשיית כל שימוש בתיבת הדוא"ל המקצועי שלה אשר שימש את העובדת במסגרת העסקתה. התובעת טענה כי הנתבעים ו/או מי מטעמם עושים שימוש ללא הסכמתה בתיבת הדוא"ל שלה וכן משתמשים בחתימתה בגוף המייל, וזאת לטענתה תוך ביצוע התחזות, הטעיה, פגיעה בשמה הטוב וגרימת מצג שקרי וכוזב. הנתבעים הסכימו והודו בעדותם כי נעשה שימוש מעין זה בתיבת הדוא"ל של התובעת, אך מנגד טענו כי תיבה זו שייכת למעסיק. בהכרעת בית הדין נפסק כי אמנם נקבע בעבר כי קיימת למעסיקים זכות מוגבלת לנטר את תיבות הדוא"ל של עובדיהם, אך לא נפסק מעולם כי קיימת למעסיק זכות לשלוח הודעות מתוך תיבות הדוא"ל של העובד. על כן, הורה בית הדין לנתבע להפסיק לעשות שימוש בתיבת הדוא"ל של התובעת וכן בחתימתה.
הרשות להגנת הפרטיות פרסמה דו"ח ממצאי פיקוח רוחב בקרב מגזר חברות הסיעוד כחלק מתוכנית העבודה של הרשות להגנת הפרטיות מתבצעים פיקוחי רוחב בקרב מגזרים שונים במדינת ישראל, זאת בכדי לאתר הפרות של החוק והתקנות, להגברת מודעות המשק להוראות החוק, להגברת האכיפה היזומה של הרשות, לאתר כשלים ענפיים כלל-משקיים הדורשים התייחסות מוגברת של הרגולטור, וקבלת תמונת מצב כלל-מגזרית לגבי עמידה בהוראות החוק והתקנות. הדו"ח מתייחס לפיקוחי הרוחב שביצעה הרשות להגנת הפרטיות בתקופה שבין החודשים יולי 2019 למאי 2020 במגזר חברות הסיעוד. מאגרי המידע של חברות הסיעוד כוללים מידע רפואי-סיעודי רגיש על מאות אלפי מטופלים, וכן אלפי רשומות המכילות נתונים אישיים אודות מטפלים המועסקים דרך אותן חברות הסיעוד. כמו כן, קיימים פערי כוחות משמעותיים בין בעלי המאגרים לבין המטופלים, הנובעים מהעובדה שלחלק מנושאי המידע תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם, או לזכויות המוקנות להם. מהפיקוח עלה כי מרבית הגופים שנבדקו במגזר זה מנהלים מאגרי מידע המסווגים ברמת אבטחת מידע בינונית או גבוהה (72%) והיתר מנהלים מאגרים ברמת אבטחה בסיסית (38%). להלן עיקרי המלצות הרשות:
באתר המרכז הארצי לרישום כלבים ניתן למצוא בקלות טלפונים וכתובות של אזרחים באתר המרכז הארצי לרישום כלבים של משרד החקלאות ניתן לאתר כלבים על פי מספר השבב שלהם או שם הבעלים. באופן זה אפשר לחפש שמות של אנשים אשר בבעלותם כלב, ולמצוא את פרטיהם האישיים ללא כל מאמץ. יש לציין, כי לא מדובר באתר חדש, ועוד ב-2007 כבר דווח על חשש לפגיעה בפרטיות בשל פומביות המאגר. ממשרד החקלאות נמסר בתגובה: "כל הפרטים המופיעים במאגר, כולל שמות ומספרי טלפון אישיים, הם מתוקף החוק להסדרת הפיקוח על הכלבים והתוספת השנייה בתקנות. מטרת מאגר זה היא להסדיר את הפיקוח על כלבים במדינת ישראל וליצור מאגר נתונים ארצי ואחיד, מתוך דאגה לביטחון ובריאות הציבור ובעלי החיים. כך לדוגמה, כאשר כלב נשך, אבד, נפגע וכיו"ב, ניתן יהיה לאתר את פרטי הבעלים וליצור עימו קשר. חשוב לציין כי בהתאם לחוק, באפשרותם של בעלי הכלבים לבקש להסיר את מספר הטלפון שלהם במאגר, ואפשרות זו מפורסמת בעמוד הראשי באתר".
נכנסה לתוקף חקיקה חדשה אשר מחזקת את הזכות לפרטיות בנושא רישום פלילי חוק המידע הפלילי ותקנת השבים משנת 2019 החליף את חוק המרשם הפלילי ותקנת השבים משנת 1981, ונכנס לתוקף ביום 12.7.22. כחלק מהחוק נקבעו האיסורים הבאים: איסור דרישת תצהיר אודות עברו הפלילי של אדם, על ידי מי שאינו זכאי לקבלו על פי דין, וכן ביטול האפשרות למסירת מידע מתדפיס אלא רק באמצעות עיון בצג המחשב בכל תחנת משטרה. כך למשל עד כה, גורמים מסוימים (כדוגמת מעסיקים, וועדות קבלה ליישובים וכו') ביקשו תצהיר והצהרה בכתב ביחס לעברו הפלילי של האדם, או תדפיס מרשם פלילי, זאת אע"פ שאינם זכאים לבקש זאת על פי דין. מטרת החוק הינה למנוע את סיכולו של שיקומו של אותו אדם, בין אם בעת קבלה לעבודה ובין אם בעת דיון בוועדת קבלה ליישובים וכדומה. כל גוף הזכאי לקבל מידע פלילי מחויב למנות ממונה מידע פלילי, שיהיה אחראי לגיבוש הנחיות ונהלים פנימיים לעניין שקילת המידע הפלילי ושמירתו בהתאם להוראות החוק, לרבות אופן שקילת המידע על תיקים תלויים ועומדים. בנוסף, הוחלט על הקמת גוף חדש - הממונה על ביקורת במידע פלילי – אשר תפקידו לבדוק ולבקר את השימוש במידע פלילי ואת אופן הפעלת שיקול הדעת של גופים שעושים בו שימוש. ניתן לפנות לממונה על הביקורת בתלונה על שימוש במידע פלילי שלא כדין.
פורסמה הגרסה הסופית של המסמך המציג את עמדת הרשות בנושא חובת היידוע לאחר שהרשות להגנת הפרטיות פרסמה במהלך חודש מאי מסמך חובת יידוע במסגרת איסוף ושימוש במידע אישי להערות הציבור, בסוף חודש יולי פורסמה הגרסה הסופית של המסמך. בגרסה הנוכחית ביקשה הרשות לחדד שתי נקודות נוספות, אשר נעדרו מהטיוטה שפורסמה להערות הציבור: (1) עמדת הרשות היא כי החובות הקבועות בסעיף 11 לחוק חלות גם כאשר הפנייה לאדם לקבלת מידע נעשתה בעקבות בקשתו של אותו אדם לקבלת שירות מסוים. כמו כן, יובהר כי חובת היידוע חלה רק בעת פנייה לנושא המידע לשם לאיסוף מידע על אודותיו, ולא בעת השימוש במידע או בעת העברתו; (2) במצב בו קיימים הסדרים חוקיים או רגולטוריים סותרים בנוגע לאופן יישום חובת היידוע בנסיבות ספציפיות או ביחס לגורמים ספציפיים (כגון בנקים וכו'), אזי הסדרים אלו עשויים לגבור.
הגנה על פרטיות מטופלי שירותי רפואה מרחוק ביום ה-2 באוגוסט, הרשות להגנת הפרטיות פרסמה זרקור על אתגרי הפרטיות הכרוכים בשימוש בשירותי רפואה מרחוק שמציג המלצות מרכזיות ביחס לשימוש בשירותי רפואה מרחוק. המסמך מפרט כללים והמלצות לשימוש נכון בעזרי בדיקה אלקטרוניים כגון מצלמות, מסכים, שימוש נאות בתקשורת אינטרנט ומכשירי קצה ועוד. יתרה מכך, המסמך פונה למוסדות רפואיים (בתי חולים, מרפאות וכו'), מטפלים ומטפלות בשירות מרחוק וכמובן, אף למטופלים באמצעים אלה.
שימוש בתמונות המפורסמות ברשתות חברתיות עשוי להוות פגיעה בפרטיות בימ"ש השלום בכפר סבא קבע כי שימוש חוזר בתמונות של אנשים מתוך הדפים שלהם ברשתות החברתיות השונות, עלול להוות פגיעה בפרטיות. זאת בעקבות תביעה שהגיש שוטר במשטרת ישראל נגד מספר נשים, אשר במסגרת תפקידו נקט בפעולה למניעת הפרת סדר במהלך מחאה בתל אביב בה הן השתתפו. כתגובה נגדית למעשי השוטר, אותן נשים פרסמו בפייסבוק פוסטים בגנותו של השוטר, תוך פרסום פרטיו ותמונות משפחתיות מעמוד הפייסבוק הפרטי שלו. יש לציין כי בתמונות שהתפרסמו בפוסטים של הנ"ל, הנתבעות טשטשו את כלל האנשים מסביבתו של התובע-למעט התובע עצמו. כבוד השופט איתי רגב תהה האם כאשר אדם מעוניין לפרסם מידע אודות אדם אחר, הוא אכן נדרש בפרסום תמונתו של האדם האחר ועל אחת כמה וכמה, תמונות של סביבתו (כולל בני משפחתו, קטינים וחבריו) זאת למרות טשטוש גורמים אלו. לדידו של כבוד השופט, טשטוש תמונות מהווה צמצום הפגיעה ואולם לא מבטל אותה כליל. יתר על כן, פעולת איסוף התמונות מהווה בילוש של ממש אחר נשוא הפרסום (הפוסט) ומכאן הפגיעה האמיתית בפרטיותו של אותו אדם.
שימוש בכלי ניטור לטובת דירוג אשראי ו/או מתן שירותים רפואיים מערכות דירוג אשראי ומתן שירותי רפואה מתקדמים עושות שימוש בטכנולוגיות מתקדמות של בינה מלאכותית ושימוש בכלי ניטור כגון עוגיות בדפדפנים. העוגיות, מעבר לתפקידן הרשמי להקל על גישת המשתמש לממשק, מהוות גם כלי ריגול ואיסוף מידע אודות המשתמש ועשויות לפגוע בדירוג האשראי של אותו אדם ואף באיכות קבלת השירות הרפואי עבורו. רפורמת הבנקאות הפתוחה, לפיה חברות פינטק יוכלו לקבל רישיון וגישה למידע של לקוחות הבנקים וחברות האשראי במטרה להעניק שירותים פיננסיים מתקדמים, פותחת את השוק לשחקנים חדשים שיחשפו למידע הבנקאי שלנו שעלול להוות כלי משמעותי לדירוג האשראי. חברת פריימסק ממליצה טרם השימוש, להקפיד בעיון במדיניות הפרטיות ותנאי השימוש של כל מוצר או שירות באינטרנט.
הגנת הפרטיות ברחבי העולם
קידום עדכוני חקיקה להגנת פרטיות ילדים בארה"ב בתאריך 27 ביולי 2022 העבירה וועדת הסנאט האמריקנית למסחר שתי הצעות חוק פדרליות להגנה על פרטיותם המקוונת של ילדים ובני נוער. חברי הוועדה העבירו עדכון לחוק הגנת הפרטיות המקוונת של ילדים (COPPA) והצעת חוק הבטיחות המקוונת לילדים (KOSA). חוק הגנת פרטיות ילדים (COPPA) קובע כיצד אתרי אינטרנט ושירותים מקוונים חייבים להגן על פרטיותם של ילדים מתחת לגיל 13. העדכון העיקרי ל- COPPA הוא הרחבת תחולת החוק להגנה על ילדים עד גיל 17. החוק נאכף על ידי נציבות הסחר הפדרלית של ארה"ב. חוק הבטיחות המקוונת כולל סעיף חובת נאמנות המחייב חברות טכנולוגיה למנוע פגיעה בקטינים תוך מתן שקיפות רבה יותר באלגוריתמים שלהן למשתמשים ולחוקרים. החוק מאפשר לחוקרים הזדמנות טובה יותר לחקור את ההשפעות שיש לפלטפורמות שונות על ילדים ובני נוער.
חקיקה חדשה בתחום הדיווחים על אירועי סייבר בפלורידה רפורמת הסייבר בפלורידה בחודש האחרון קובעת כי ארגונים פדרליים מוגבלים לחקיקה חדשה שמונעת מהם לשלם כופר ודורשת דיווח על אירועי אבטחה למשרד אבטחת הסייבר של המחלקה לאכיפת החוק ולמרכז המבצעים לאבטחת סייבר (CSOC). רמת החומרה של אירוע סייבר לפי החוק, מכתיב גם את ציר הזמן שבו יש לדווח לרשויות על אירועים ספציפיים. על פי החקיקה, סוכנויות מדינה חייבות להודיע למשרד אבטחת הסייבר של מחלקת אכיפת החוק של פלורידה ול-CSOC בתוך 12 שעות מהתקפת תוכנת כופר, ותוך 48 שעות מאירועי אבטחת סייבר אחרים. פלורידה היא כעת המדינה השנייה שאוסרת על ממשלות מדינה ומקומיות להיענות לדרישות תוכנת כופר, בעקבות צפון קרולינה.
מטא ובתי חולים בארה"ב נתבעים על שימוש לא חוקי במידע רגיש בתאריך 25 ביולי 2022 הוגשה תביעה ייצוגית במחוז הצפוני של קליפורניה נגד Meta (חברת האם של פייסבוק), המרכז הרפואי UCSF והקרן הרפואית Dignity Health, בטענה שהארגונים אוספים באופן בלתי חוקי נתונים רפואיים רגישים על מטופלים לצורך פרסום ממוקד. התובעים הבינו את הפגיעה בפרטיותם כאשר פייסבוק החלה למקד את הפרסומות באופן מדויק למצבם הרפואי. המעקב ואיסוף הנתונים מתרחשים לכאורה בין כותלי המרכזים הרפואיים, שם המטופלים מזינים מידע רגיש ביותר על עצמם, מצבם, על הרופאים, על תרופות מרשם ועוד. על פי התביעה, בתי החולים ומטא לא מודיעים למטופלים על איסוף הנתונים, לא מתבקשות הסכמות משתמשים, ואין אינדיקציה נראית לעין לתהליך איסוף המידע ומיקוד הפרסומות.
בית הדין לצדק של האיחוד האירופי (CJEU)- נתונים עקיפים ונטייה מינית ב-1 באוגוסט 2022 פסק בית הדין לצדק של האיחוד האירופי פסיקה המבהירה כיצד גילוי עקיף של נתונים הנוגעים לנטייה מינית מוגן תחת סעיף 9 ל-GDPR. ההפניה לבית הדין מתייחסת למקרה ליטאי הנוגע לחקיקה לאומית נגד שחיתות. החלק הרלוונטי של הפניית המקרה ל- CJEU התייחס לשאלה האם פרסום שם של בן/בת זוג מהווה עיבוד נתונים רגישים מכיוון שהוא עלול לחשוף נטייה מינית. בית המשפט החליט שכן. למעשה בית המשפט קבע כי שדה נתונים "שם בן /בת זוג" חוסה תחת קטגוריות מידע מיוחדות על כל המשתמע מכך.
אמזון אספה מידע מפעמוני כניסה חכמים ושיתפה את המידע עם גופי ביטחון בתאריך 13 ביולי 2022 פרסם הסנאטור אדוארד ג'יי מארקי, חבר בוועדת המסחר, המדע והתחבורה, את ממצאי החקירה שלו נגד חברת פעמוני הדלת של אמזון רינג. ממצאי החקירה חושפים כי אמזון, באמצעות חברת פעמוני הדלת החכמים, אספה צילומים ללא הסכמת משתמשים ושיתפה בהם גופי אכיפה ושיטור. חברת רינג דיווחה על עלייה של יותר מפי חמישה בשותפויות אכיפת החוק בפלטפורמה שלה מאז נובמבר 2019. החקירה חשפה 11 מקרים בהם בוצע שיתוף כזה של מידע. חברת רינג בתגובתה סירבה להתחייב לבטל את הגדרת ברירת המחדל של פעמוני הדלת להקלטה אוטומטית של שמע וסירבה להתחייב להפוך את ההצפנה מקצה לקצה לאפשרות האחסון המוגדרת כברירת מחדל עבור הצרכנים.
איטליה שולחת אזהרה לטיק-טוק – איסוף מידע דורש הסכמה טיק-טוק הודיעה למשתמשי הפלטפורמה בני ה-18 ומעלה כי החל מיום 13/07/2022 מדיניות הפרטיות תעודכן כך שהפצת פרסומות מותאמות אישית יתבססו על בסיס חוקי לעיבוד של אינטרסים לגיטימיים במקום הסכמה כבסיס חוקי לעיבוד. בעקבות הודעה זו, הרשות האיטלקית להגנת הפרטיות (supervisory authority "SA") קבעה כי השינוי בבסיס המשפטי אינו עולה בקנה אחד עם הנחיית האיחוד האירופי 2002/58 והחוק האיטלקי להגנה על נתונים אישיים אשר העביר את ההנחיה הזו. הרשות האיטלקית הזהירה את טיקטוק כי שתי הנורמות המשפטיות קובעות במפורש כי הסכמתם של נושאי הנתונים היא הבסיס המשפטי היחיד ל"אחסון מידע, או קבלת גישה למידע שכבר אוחסן, בציוד המסוף של מנוי או משתמש".
טיק – טוק מאשרת – עובדים סינים יכולים לגשת למידע אודות משתמשים מארה"ב בתאריך 30 ביולי 2022 פרסמה טיק טוק מכתב תגובה להאשמות בדבר אפשרותם של עובדים סינים לגשת למידע אודות משתמשים מארה"ב. זאת לאחר שפורסמה ידיעה אודות הקלטות שמע בהם מודים מהנדסים סינים כי הם יכולים לגשת למידע (ראה ידיעון פריימסק לחודש יולי). במכתב, מאשרת טיק-טוק כי מתאפשרת גישה למידע על ידי עובדים סינים, באמצעות תהליך הדרוש באישור הרשאות מסווגות.
חברת פולקסוואגן נקנסה בסך 1.1 מיליון דולר בשל הפרת ה-GDPR מצלמות המבחן של רכבי החברה אספו מידע אודות נושאי מידע שונים ללא קבלת הסכמתם ו/או בסיס חוקי אחר. הקנס נקבע בעסקת פשרה בין החברה וברגולטור האירי.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.