הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 08-2024

הגנת הפרטיות בישראל 

תיקון 13 לחוק הגנת הפרטיות- פרסום בספר החוקים 

ביום ה- 5.8.2024, הכנסת אישרה בקריאה שנייה ושלישית את תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א – 1981.התיקון לחוק נכנס לספר החוקים ביום 14.08.2024 ויכנס לתחולה (תוקף) בעוד כשנה ב-14.8.2025.השינויים העיקריים הבאים לידי ביטוי בתיקון הינם אלו:

  1. שינוי ועדכון הגדרות ועיקרן התאמת המושגים ל-GDPR האירופאי וקליטן פרשנות הפסיקה לתוך החוק:
    1. עדכון הגדרת מידע אישי – מעבר להגדרה המקובלת היום, ההגדרה החדשה כוללת  גם מזהה מקוון (כגון כתובות IP ומזהים טכנולוגיים אחרים) הנחשבים זה למעלה מעשור למידע אישי בשיטות משפט מודרניות.
    2. הוספת הגדרת "מידע רגיש במיוחד" המחליפה הגדרה קודמת של "מידע רגיש" ואף מרחיבה אותו. ההגדרה כוללת מידע גנטי, מזהה ביומטרי, מידע על עבר פלילי, הערכה על מאפייני אישיות, ונתוני מיקום ותעבורה. 
    3. נוספה הגדרת "עיבוד" מידע, לפיה עיבוד הוא כל פעולה במידע, "לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו".
    4. הרחבת ההגדרה ל"מחזיק" לאור הרחבת הגדרת ה"עיבוד", ותכלול גם ספקים  שעד עתה לא נחשבו למחזיקים.
    5. שינוי הגדרת "בעל מאגר" וביטול תפקיד "מנהל מאגר". החל מקליטת תיקון החוק- "בעל השליטה במאגר" יהווה מנהל המאגר.
  2. צמצום חובת רישום מאגרי מידע- התיקון לחוק מצמצם באופן משמעותי את חובת הרישום של מאגרי מידע, אך מוסיף במקרים מסוימים חובת דיווח לרשות להגנת הפרטיות על מאגרים, גם אם אינם חייבים ברישום. חשוב להדגיש כי צמצום חובת הרישום אינה משליכה כלל ועיקר על שאר החובות בניהול מאגר כגון- קיומו של מסמך הגדרות מאגר מידע מעודכן, תוכנית עבודה לעמידה בדרישות החוק והתקנות אודות מאגר, מתן זכויות לנושאי מידע ועוד. 
  3. מינוי ממונה על הגנת הפרטיות (DPO)- גופים מסוימים, הנמנים בתיקון, יידרשו מעתה למנות ממונה הגנת הפרטיות, שתפקידו להבטיח כי בעל השליטה במאגר המידע, והמחזיקים בו, יפעלו בהתאם להוראות החוק, ולקדם את השמירה על הפרטיות ואבטחת המידע במאגרי המידע. הממונה אינו חייב להיות עובד הארגון.
  4. עיצומים כספיים-
    1. הרחבת סמכויות האכיפה של הרשות להגנת הפרטיות להטלת עיצומים כספיים, שליחת התראות מנהליות, סמכויות חקירה ופיקוח.
    2. עילה אזרחית לקבלת פיצוי ללא הוכחת נזק בסכום של 10.000 ₪ אם בעל שליטה במאגר או מחזיק במאגר הפרו הוראות מסוימות בחוק.

אנו ממליצים לנצל את השנה הקרובה להידוק העמידה בחוק ותקנותיו וזאת כדי להימנע מחשיפה לעיצומים כספיים נרחבים וכלי האכיפה הנוספים הנמצאים כעת בידה של הרשות להגנת הפרטיות.

חוק לניוד מידע רפואי מבטיח פרטיות ואבטחה

ביום ה- 24.7.2024, אושר ופורסם החוק לניוד מידע רפואי. החוק נועד להסדרת זכותו של אדם לניוד מידע רפואי אודותיו, בין ארגוני הבריאות השונים. החוק מבקש שניוד המידע יעשה באופן מאובטח, בהיר ונוח תוך הגנת פרטיותו של אדם ובכפוף לקבלת הסכמתו. שירותי הבריאות השונים, הנחשבים כמקבלי מידע נדרשים לקבל היתר ייעודי מגורם המוסמך לכך כתנאי לקבלת מידע רפואי אודות מטופלים. משרד הבריאות חייב בפרסום רשימת בעלי ההיתרים באתר האינטרנט שלו. כאמור, קבלת המידע טעונה את הרשאתו והסכמתו של האדם, נושא המידע. באותו האופן, האדם זכאי בכל עת גם לבטל את הסכמתו להרשאת גישה זו. בנוסף החוק מטיל על הגופים השונים הוראות בעניין הגנה על פרטיות, אבטחת מידע, ניהול סיכונים והגנת הסייבר.

קריאה לבג"ץ: הגן על פרטיות קורבנות מתקפת השבעה באוקטובר

המדינה יצרה אתר בעקבות הדיון בעניין המלחמה בעזה בבית הדין הבינלאומי בהאג, המכיל תיעוד ויזואלי של מעשי הזוועות שהתחוללו בשבעה באוקטובר.בג"ץ התבקש להורות לאפשר את הגישה לקהל הישראלי,  ולעתירה זו מבקש להצטרף מטה משפחות החטופים, הטוען כי היענות לבקשה תהווה פגיעה קשה בפרטיות הקורבנות.בנוסף מבקש מטה המשפחות שהמדינה תבחן מחדש את האמצעים שנקטה להגנת פרטיות הקורבנות בקשר לאתר, ותפעל לזיהוי המצולמים וקבלת הסכמה מהם או ממשפחותיהם, או לכל הפחות תמחק פרטים מזהים נוספים.

מתקפת סייבר על בד"צ בית יוסף

האקרים פרו-פלסטינים הודיעו, כי הצליחו לפרוץ למערכות המחשוב של מערך הכשרות, דרשו כופר כספי בתמורה להימנעות מפרסום המידע שנגנב, הכולל מאות קבצים ושמות תורמים ושל בעלי עסקים בישראל, ואיימו שאם לא יענו דרישותיהם, הם ימכרו את המידע למדינות אויב.


הגנת הפרטיות בעולם

משרד המשפטים האמריקאי תובע את TikTok וחברת האם ByteDance בגין הפרות נרחבות של חוקי הפרטיות של ילדים

משרד המשפטים, יחד עם ועדת הסחר הפדרלית (FTC), הגישו תביעה אזרחית לבית המשפט המחוזי בארה"ב עבור המחוז המרכזי של קליפורניה נגד TikTok Inc., ByteDance Ltd., ושותפיהם (יחד, TikTok) בגין הפרות של חוק הגנת הפרטיות המקוונת של ילדים ותקנות היישום שלו (COPPA) בקשר לאפליקציית TikTok הפופולרית.COPPA אוסרת על מפעילי אתרים לאסוף, להשתמש או לחשוף ביודעין מידע אישי מילדים מתחת לגיל 13, אלא אם כן הם מספקים הודעה להורים של אותם ילדים ומקבלים הסכמה מהם. זה גם דורש ממפעילי אתרים למחוק מידע אישי שנאסף מילדים לבקשת הוריהם. לפי התלונה, הנתבעים אספו ושמרו מגוון רחב של מידע אישי מילדים מבלי להודיע או לקבל הסכמה מהוריהם. אפילו עבור חשבונות שנוצרו ב"מצב ילדים" (גרסה מצומצמת של TikTok המיועדת לילדים מתחת לגיל 13), הנתבעים אספו ושמרו שלא כדין כתובות דוא"ל של ילדים וסוגים אחרים של מידע אישי. יתרה מכך, כאשר הורים גילו את חשבונות ילדיהם וביקשו מהנתבעים למחוק את החשבונות והמידע בהם, הנתבעים לא הצליחו לכבד את הבקשות הללו. לנאשמים היו גם מדיניות ותהליכים פנימיים לקויים ולא יעילים לזיהוי ומחיקה של חשבונות TikTok שנוצרו על ידי ילדים.

מטא תשלם 1.4 מיליארד דולר למדינת טקסס בתביעה על שימוש בנתונים ביומטריים

מטא הסכימה לפשרה שבה היא תשלם 1.4 מיליארד דולר כדי ליישב תביעה של מדינת טקסס בנוגע לשימוש בלתי מורשה של פייסבוק בנתונים ביומטריים של משתמשים, כך אמר ביום שלישי תובע המדינה של טקסס, קן פקסטון.על פי התביעה, פייסבוק הפעילה תוכנת זיהוי פנים על תמונות שהופיעו בפייסבוק, ואחסנה מיליארדים של אמצעי זיהוי ביומטריים באמצעות תכונת "הצעות תיוג" שהוצגה ב-2011. החוק בטקסס אוסר על חברות ללכוד נתונים ביומטריים של תושבים בלי ליידע אותם תחילה ולקבל את הסכמתם. על פי התובע, מטא עשתה זאת, למרות שהיא ידעה שקיים בטקסס חוק האוסר על חברות ללכוד נתונים ביומטריים של התושבים בלי ליידע אותם תחילה ולקבל את הסכמתם.

ICO בבריטניה קוראת לפלטפורמות שיתוף של מדיה חברתית וווידאו לשפר את נהלי הפרטיות של ילדים

ב-2 באוגוסט 2024, משרד נציב המידע הבריטי ("ICO") פרסם הצהרה המאשרת כי היא זיהתה 11 פלטפורמות מדיה חברתית ושיתוף וידאו שחייבות לשפר את נוהלי הפרטיות של ילדיהם. כחלק מאסטרטגיית קוד הילדים של ה-ICO, ה-ICO סקר 34 פלטפורמות מדיה חברתית ושיתוף וידאו, וזיהה רמות שונות של ציות לקוד הילדים. זוהו בעיות במספר תחומים, כולל הגדרות ברירת מחדל של פרטיות, מיקום גיאוגרפי, הבטחת גיל ופרסום התנהגותי, ובעקבות סקרים אלו פורסמה ההצהרה.

גוגל מבטלת את התוכניות להפסיק בהדרגה קבצי Cookie של צד שלישי ב-22 ביולי 

2024, גוגל הודיעה כי החברה מבטלת את תוכניותיה להפסיק את השימוש בעוגיות של צד שלישי בדפדפן כרום שלה. גוגל הכריזה בעבר על תוכניות בשנת 2020 להוציא בהדרגה קבצי Cookie של צד שלישי, כלי פרסום דיגיטלי שעוקב אחר פעילות האינטרנט של צרכנים בכל אתרי אינטרנט. החברה התכוונה להחליף קובצי Cookie של צד שלישי בממשקי API המגינים על הפרטיות באמצעות יוזמת Privacy Sandbox שלה.עם זאת, לאחר שקיבלה משוב מבעלי עניין שונים, כולל רגולטורים, מפתחי אתרים וקבוצות סטנדרטים, החברה האזרחית ומשתתפים בתעשיית הפרסום, גוגל קבעה שהמעבר ל-Privacy Sandbox APIs ידרוש "עבודה משמעותית של משתתפים רבים" ו"יש השפעה על כל מי שעוסק בפרסום מקוון".

דו"ח הסוכנות לזכויות יסוד של הסוכנות של האיחוד האירופי על יישום ה- GDPR 

סוכנות האיחוד האירופי לזכויות יסוד ("FRA") פרסמה דו"ח על החוויות, האתגרים והפרקטיקות של רשויות הגנת מידע ("DPAs") בעת יישום תקנת הגנת המידע הכללית של האיחוד האירופי ("GDPR") הדו"ח התבקש על ידי הנציבות האירופית לקראת דו"ח הערכת ה-GDPR לשנת 2024, שפורסם ב-25 ביולי 2024. דו"ח ה-FRA מדגיש את האתגרים שעמם מתמודדים אנשי ה- DPA (הרשות להגנת נתונים) בעת יישום ה-GDPR, למרות ההיקף הגדל והמורכבות של עבודתם. רוב ה-DPA הצהירו כי אין להם משאבים מתאימים לביצוע תפקידיהם. ה-FRA הגיע למסקנה שעצמאות, תפקיד הפיקוח, תפקיד הייעוץ ושיתוף הפעולה של ה-DPA מושפעים כולם במישרין או בעקיפין מהזמינות של משאבים אנושיים, פיננסיים וטכניים.כפי שמפורט בדו"ח, תלונות בודדות ל-DPA גדלו ותופסות חלק גדול מעבודתם. בגלל שיש להם משאבים לא מספקים כדי לענות על הביקוש הרב, רשויות DPA גילו לעתים קרובות שהם צריכים לתעדף תגובה לתלונות על פני תפקידים אחרים שלהם ולא תמיד היו מסוגלים לספק פיקוח עצמאי ולתרום לפעילות המועצה האירופית להגנת מידע.בנוסף, DPAs קיבלו חובות חדשות על פי תקנות דיגיטליות מתפתחות שהרחיבו את תפקידיהם, כגון חובות חדשות על פי חוק השירותים הדיגיטליים. המחקר של ה-FRA גם חשף שאנשי ה- DPA מרגישים לא מוכנים בכל הנוגע לוויסות טכנולוגיות חדשות כמו AI. חלק מהנושאים המרכזיים שהודגשו היו המחסור בזמן לחקור טכנולוגיות חדשות ומשאבים כספיים לא מספיקים לשכור מומחים בעלי מומחיות טכנית בטכנולוגיות מתפתחות, כגון AI או blockchain.