1. בית
  2. מאמרים
  3. הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 09-2024

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 09-2024

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 09-2024

הגנת הפרטיות בישראל 

הנחיית הרשות בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע)

ביום 12.0.2024 הרשות להגנת הפרטיות פרסמה את הנחייתה מס' 1/2024 המפרטת את אחריות חברי הדירקטוריון לאבטחת המידע והגנת הפרטיות בארגון. ההנחיה של הרשות מהווה יישור קו מסוים למול  גילוי דעת אשר פורסם על ידי איגוד הדירקטורים בישראל בשנת 2022 בנושא "אחריות הדירקטוריון בנושא הסייבר" - אשר מתייחס בעיקרו לחובות הדירקטוריון לקיים דיונים בנושאים מסוימים, אולם נמנע מלהטיל על חברי הדירקטוריון את החובה הישירה לעסוק בפרטים הקטנים של עיבוד המידע בחברה והגנתו.כך או כך, כאשר לוקחים בחשבון את תיקון 13 לחוק הגנת הפרטיות שפורסם בחודש אוגוסט השנה  ואת החמרת האכיפה העתידה להגיע עם כניסתו לתוקף באוגוסט 2025, ברור כי הנחית הרשות מטילה על כתפי הדירקטוריון אחריות נוספת ומוגברת מעבר לזו שחלה עד היום.ההנחיה מטילה חובה על דירקטוריון בחברות בהן עיבוד מידע אישי מצוי בליבת הפעילות שלהן ולא רק נלווה לפעילות הליבה או שפעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות, בין בשל סוג המידע המעובד על ידן ורגישותו ובין בשל היקף המידע או מספר מורשיי הגישה אליו  – ליישם תהליכי פיקוח, בקרה, ציות ודיווח בכל הנוגע לביצוע דרישות התקנות בחברה וביניהם אודות מסמך הגדרות המאגר שהחברה מחויבת לערוך, אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני וקביעת הפעולות הנדרשות בעקבות תוצאות סקר הסיכונים, מבדקי חדירות והביקורת התקופתית שהחברה מחויבת לערוך בהתאם לרמת האבטחה של מאגריה לפי התקנות, ובעקבות בחינת אירועי האבטחה שאירעו בחברה.


ישראל חתמה על אמנה בינלאומית ראשונה לבינה מלאכותית

הבינה המלאכותית הביאה לחיינו המון דברים טובים – פריצות דרך ברפואה, טכנולוגיה ומדע, וגם כלים שעוזרים לנו בחיי היום-יום. אבל עם כל היתרונות, יש גם סכנות לא קטנות: תרבות הפייק, דליפות של מידע אישי, והחלטות מוטות שמתקבלות על ידי מערכות AI.האמנה החדשה נועדה לא רק להסדיר את השימוש בבינה מלאכותית במגזר הציבורי, אלא גם להבטיח שהטכנולוגיות המתקדמות ישמשו באופן אחראי וללא פגיעה בזכויות אדם. עם התקדמות טכנולוגיות כמו Chat GPT נדרשה רגולציה עולמית שתסדיר את השימוש בבינה מלאכותית. האמנה, עליה חתמה ישראל ביום 05/09/2024 , בנוסף לארה"ב, בריטניה ומועצת אירופה, מטילה חובות על המדינה על מנת להבטיח שלא ייפגעו זכויות אדם או מוסדות דמוקרטיים כתוצאה משימוש ב – AI.האמנה מורכבת משמונה פרקים ועיקריה הם: הגנה על זכויות אדם, שקיפות מלאה לציבור מתי נעשה שימוש בבינה מלאכותית, אחריות, שיווין הזדמנויות ומניעת אפליה, פרטיות והגנה על נתונים (חובה לפעול לטובת זיהוי, הערכה, מניעה ומזעור של סיכונים), פיקוח מצד המדינה וחדשנות בטוחה. בנוסף קובעת האמנה הקמת מנגנונים שיספקו מענה במקרה של פגיעה בזכויות אדם,  חובת תיעוד כל אינטראקציה עם בינה מלאכותית וזכות ערעור לגורם אנושי, במקרים המתאימים.שימושים צבאיים מוחרגים מהאמנה.ישראל לקחה חלק פעיל בניסוח האמנה, והיא מציבה אותה בחזית המדינות המובילות בעולם בתחום הבינה המלאכותית השומרות על האיזון בין פיתוח טכנולוגיות מתקדמות לבין הגנה על ערכים דמוקרטיים וזכויות אדם.


עמדת הרשות להגנת הפרטיות בנוגע להעברת מסדי נתונים ומערכות לענן

לצד היתרונות הרבים, כמו חיסכון במשאבים וייעול העבודה השוטפת, בזכותם קיימת מגמה הולכת ומתפתחת של העברת נתונים ומערכות לענן (מיגרציה לענן), חשוב לזכור, כי בשמירת נתונים בענן קיים איום תמידי על המידע הפרטי והרגיש המאוחסן בו. הרשות להגנת הפרטיות מונה מספר אתגרים שיש לתת עליהם את הדעת במהלך התהליך כדי למזער את סיכוני אבטחת המידע וליהנות מהיתרונות שבעבודה עם ענן, ואלו הם:

  1. הקצאת כוח אדם מיומן ומוכשר לביצוע המיגרציה ולתחזוקתו על מנת למנוע הגדרות שגויות וחשיפת מידע ארגוני.
  2.  אבטחת ממשקי API.
  3. התאמת הארכיטקטורה המקומית הנוכחית לסביבת הענן על מנת למנוע העברת נתונים איטית או שגויה.
  4. בניית אסטרטגיה ברורה למעבר לענן על מנת להחליט מיהו ספק הענן שיבחר, האם יש צורך במספר ספקים ואופי השימוש בענן לדוג' אם הארגון שומר מידע רגיש, יש לשקול אם לאחסן אותו בסביבה המקומית.
  5.  גיבוי כלל הנתונים בטרם המעבר לענן מתוך הבנה כי במהלך התהליך יתכן אובדן ו/או העברת נתונים שגויה.
  6. נקודת ההנחה היא שהאחריות להגנה על המידע נותרת על הארגון, ולכן יש לשקול בכובד ראש את כלל סיכוני האבטחה העלולים לקרות בתהליך המעבר לענןהמעבר לשימוש בעננים מוסיף סיכונים חדשים, שהפחתתם תלויה לא רק בארגון, אלא גם בספק הענן שלו. בהקשר זה, חשוב מאוד לפנות למקצועני אבטחת מידע שידעו לתת את הפתרון ההולם ביותר לאבטחת המידע. בטרם המעבר לענן יש לבצע, בין השאר,  הערכת סיכונים ולזהות את הבקרות המוצעות ע"י ספק הענן. יש לבחון היטב את מאפייני הספק, לוודא כי הוא מספק עדויות לעמידתו ברגולציות ההכרחיות וכי הוא מבצע תהליך ניהול פגיעויות מתמשך.


דוח פיקוח רוחב במגזר בתי החולים

אירועי אבטחת מידע במערכות בתי החולים בישראל הפכו לתופעה שכיחה, ומגמה זו נמצאת בעליה מתמדת, בעיקר מאז פרוץ מלחמת "חרבות ברזל". במערכות בתי חולים מידע רגיש, לעיתים ייחודי מסוגו, בהיקף נרחב רחב מאוד, והגישה והעברת המידע בין גופי רפואה שונים מתבצעת גם היא בהיקף נרחב מאוד באמצעות פלטפורמות טכנולוגיות שונות ומגוונות - עובדות המעצימות ביתר שאת את פוטנציאל הפגיעות ודלף המידע. כפועל יוצא ממצב רגיש זה, איתרה רשות להגנת הפרטיות מגזר זה כיעד לעריכת פיקוח רוחב. פיקוח הרוחב שבוצע בשנים 2021-2022 בחן ארבעה קריטריונים עיקריים בתחום הגנת הפרטיות: בקרה ארגונית וממשל תאגידי; אבטחת מידע; ניהול מאגרי מידע ושימוש בשירותי מיקור חוץ וכן העברת מידע בין גופים ציבורים. בשקלול הציונים שניתנו לגבי מידת ההיענות להוראות החוק והתקנות, נמצא כי הציון הממוצע של המגזר עומד על 76%, מה שמצביע על מקום לשיפור. לא זו אף זו - ב- 78% מהגופים שנבדקו נמסר מידע רגיש לגופים אחרים ללא ביצוע של רישום כנדרש בהוראות החוק. ביקורת מעקב שבוצעה העלתה, כי 57% מהליקויים טופלו במלואם.


הגנה על פרטיות במצבי חירום

גם, ואולי בעיקר, במצבי חירום עולות שאלות רבות בדבר האיזון הנכון שיש לקיים בין התמודדות עם אירועי חירום לבין החובה להגן על עקרונות זכות היסוד לפרטיות. זוכרים את המעקב הדיגיטלי אחרי חולים בקורונה? הרשות להגנת הפרטיות מבקשת להדגיש, כי מצב החירום לכשעצמו אינו יכול להוות עילה המצדיקה פגיעה בפרטיות, ויש להוכיח אינטרס לגיטימי ממשי לפגיעה, שלא ניתן היה להשיג בדרכים פחות פוגעניות. אי לכך  דווקא במצבים אלו יש להקפיד הקפדה יתירה על מספר עקרונות אותם היא מונה במסמך זה:

הסכמה מדעת – גם בתקופת חירום יש להקפיד, במידת האפשר, שלא לפגוע בפרטיותו של אדם ללא הסכמתו.

חובת יידוע – במקרים קיצוניים, בהם קיימת מניעה מוחלטת לעמוד בחובת היידוע בטרם איסופו, יש לעשות זאת בהזדמנות הראשונה האפשרית.

צמידות המטרה – הקפדה על איסוף מידע אך ורק למטרה הנובעת מהצורך להתמודד עם אירוע החירום.

צמצום מידע – היצמדות להיקף מידע דרוש בלבד לקיום המטרה ובחינת עודף מידע מיד בתום תקופת החירום.

אבטחת מידע מוגברת – דווקא בעיתות חירום קיימת עליה באיכות ובכמות תקיפות הסייבר, ולכן יש להקפיד הקפדה יתירה על עמידה בדרישות תקנות אבטחת מידע – קביעת הרשאות גישה, מיפוי המערכות, הקפדה על אבטחה פיזית, סביבתית ולוגית, וידוא שמירת תיעודים ועוד. 

מידע על נפטר/ת – בהיעדר הסדרה חוקית, ראוי שהגישה למידע אישי של נפטר תהיה ברגישות,  תוך כיבוד רצונו וכיבוד פרטיותו. יש לזכור, כי גם כשכבר בוצעה פגיעה בפרטיות, עליה להיות מידתית. לשם כך ממשיכה הרשות ומונה ארבעה רכיבים מרכזיים לבחינת מידתיות הפגיעה והם: קשר רציונלי בין האמצעי למטרה, מידת רגישות המידע, היקף המידע ומשך הזמן בו ישמר המידע.

צילומי פנים של היוצאים מהארץ ימחקו מהמאגר הביומטריים- טסתם לחו"ל בשנים האחרונות, כנראה שצילום הפנים שלכם נשמר במאגר הביומטרי, שכן על אף שאין חוק המחייב זאת, רשות האוכלוסין חייבה הזדהות באמצעות צילום פנים ביומטרי כתנאי סף למעבר בביקורת דרכונים, ואף נהגה להעביר את הצילומים לשב"כ. הסדר פשרה שהושג לאחרונה קבע, שעל הרשות למחוק ממאגריה לאחר 90 יום את תמונות הפנים באופן שאינו מאפשר שחזור, ולאפשר יציאה באמצעות בקר גבול אנושי תוך יידוע ברור ובולט בדבר אפשרות זו. כמו כן – תמונות יועברו לגורם שלישי רק בהינתן צו שיפוטי או עפ"י דרישה חוקית. 


חשד לפגיעה בפרטיות וחדירה למאגרי מידע רגישים

תושב רמת גן בשנות ה- 60 לחייו נעצר לאחרונה בחשד שהתחזה לאנשים שונים וחדר למאגרי מידע של גופים ממשלתיים ומסחריים – לרבות בנקים – במטרה להוציא מהם מידע רגיש עבור משרד חקירות, שבו עבד כקבלן.החשד התעורר לאחר שאזרחים פנו בתלונות למוסד לביטוח לאומי אודות שינויים בלתי מוסברים באיזור האישי שלהם – שינויי דוא"ל, כתובת, טלפון וכיוצב'.לאחר חקירה משותפת של משטרת ישראל יחד עם הרשות להגנת הפרטיות נחשפה שיטת הפעולה של החשוד , שהתבססה על שכנוע מוקדנים לשנות את פרטי ההתקשרות של הקורבנות עליהם רצה לקבל מידע, וכפועל יוצא מכך - קיבל סיסמאות וגישה ישירה לחשבונם.חברת פריימסק מציעה לקיים תרגילי הנדסה חברתית כדי לאמן ולתרגל את עובדי הארגון מפני הונאות מסוג זה.


הגנת הפרטיות בעולם

רשות הגנת המידע ההולנדית (AP) קנסה את אובר (Uber) ב-290 מיליון אירו על העברת נתוני נהג לארה"ב

AP פתחה בחקירה על אובר לאחר שיותר מ- 170 נהגים צרפתים הגישו תלונה לארגון הצרפתי למען זכויות אדם, ומצאה כי אובר העבירה נתונים אישיים של נהגי מוניות אירופיים לארצות הברית ללא הבטחה של רמת ההגנה הנדרשת. לפי ה- AP  מדובר בהפרה חמורה של ה- GDPR.אובר אספה מידע רגיש מנהגים באירופה ואחסנה אותו בשרתים בארה"ב, כולל פרטי חשבון ורישיונות מוניות, נתוני מיקום, תמונות, פרטי תשלום, תעודות זהות ובמקרים מסוימים אפילו נתונים פליליים ונתונים רפואיים של נהגים.אובר העבירה את הנתונים האלה למטה של אובר בארה"ב במשך יותר משנתיים מבלי להשתמש בכלי הגנה משפטיים כנדרש לפי פרק העברות המידע הבינלאומיות ב- GDPR. כתוצאה מכך, ההגנה על נתונים אישיים לא הייתה מספיק טובה.על פי ה-GDPR, עסקים המעבדים נתונים במספר מדינות חברות באיחוד האירופי צריכים להתמודד עם DPA אחד: הרשות במדינה שבה העסק נמצא בה. המטה האירופי של אובר ממוקם בהולנד. במהלך החקירה, ה-DPA ההולנדי שיתף פעולה הדוק עם ה-DPA הצרפתי ותאם את ההחלטה עם DPAs אירופאים אחרים.


ה-DPA ההולנדי מטיל קנס על Clearview בגלל איסוף מידע לא חוקי לזיהוי פנים

רשות  הגנת המידע ההולנדית (Autoriteit Persoonsgegevens) קבעה כי חברת Clearview AI האמריקנית יצרה באופן לא חוקי מאגר תמונות פנים של נושאי מידע הולנדיים, והשתמשה בתמונות בלי שיידעה אותם על כך ותוך שהיא לא מאפשרת להם לממש את זכויותיהם כחוק.במסגרת החקירה שערך, גילה הרגולטור כי Clearview הפרה את ה- GDPR בשני מישורים מרכזיים: הראשון- בכך שלא יידעה את נושאי המידע על איסוף המידע הביומטרי שלהם ולא מסרה להם פרטים על עיבוד המידע כנדרש בחוק. השני- סירבה לאפשר לנושאי מידע לממש את הזכויות שלהם בקשר עם המידע שנאסף. בעקבות כך הרגולטור הטיל על החברה קנס של 30.5 מיליון אירו והוציא נגדה צווים להפסקת ההפרות. 


ועדת התקשורת הפדרלית האמריקאית  (FCC) וקנדה OPC חתמו על MOU על אכיפת פרטיות

ועדת התקשורת הפדרלית הודיעה כי חתמה על מזכר הבנות בנושא שיתוף פעולה באכיפת חוקים המגנים על מידע אישי במגזר הפרטי ("MOU") עם משרד נציב הפרטיות של קנדה.מזכר ההבנות קובע מחויבות לסוכנויות לשתף מידע כדי לאכוף ציות לדרישות הפרטיות בשתי המדינות. מזכר ההבנות נועד גם לאפשר חילופי מומחיות בנושא מדיניות רגולטורית ומאמצים טכניים הקשורים לחוקים החלים.


האיחוד האירופי וסין החלו לדון על מנגנון זרימת נתונים חוצה גבולות

האיחוד האירופי וסין החלו לדון על מסגרת מנגנון תקשורת זרימת נתונים חוצה גבולות. המנגנון נועד לתת מענה לבעיות עמן מתמודדות חברות האיחוד האירופי בסין בנוגע לזרימת נתונים חוצת גבולות של נתונים לא אישיים במגזרים מסוימים (כגון פיננסים, ביטוח, תרופות, רכב וטכנולוגיית מידע ותקשורת), וכן לסייע לחברות אלה להבין טוב יותר את חוקי הגנת המידע הסיניים.אחד הנושאים המרכזיים שנדונו היה אי הוודאות הרגולטורית. בשנת 2022, סין אימצה את אמצעי הערכת האבטחה לייצוא נתונים. על פי האמצעי, כל מידע שיסווג כ"נתונים חשובים" יהיה כפוף להערכת אבטחה לפני כל העברות. חברות אירופאיות רבות הפועלות בסין חשו כי לא ברור מהם "נתונים חשובים" והאם נתונים כלשהם (כולל נתונים לא אישיים) שהם העבירו מסין ייחשבו ככאלה.שיחות נוספות צפויות להתקיים בעתיד כדי לסקור את ההתקדמות שנעשתה במסגרת המנגנון.


Greater London Authority מפרסמת את מרשם הפרטיות של לונדון

כחלק מאמנת הטכנולוגיה המתעוררת של לונדון ("הצ'רטר"), רשות לונדון רבתי פרסמה גרסת בטא של מרשם הפרטיות של לונדון ("הרישום").האמנה מספקת קווים מנחים מעשיים ואתיים ליישום "פרויקטים של ערים חכמות" בלונדון. פרויקטים אלה משתמשים בטכנולוגיה המאפשרת נתונים כדי לשפר את השירותים הציבוריים ואת התחום הציבורי ברחבי העיר.המרשם הוא ארכיון של הערכות השפעת הגנת מידע ("DPIAs") עבור "פרויקטים של ערים חכמות האוספות מידע אישי במרחבים ציבוריים". לדוגמה, בפנקס, הציבור יכול לצפות ב-DPIA לשימוש של משטרת המטרופולין בזיהוי פנים חי.המטרה היא ש-DPIAs אלו יפורסמו במקביל לעליית פרויקט העיר החכמה לאוויר. זה מאפשר לציבור להבין כיצד נעשה שימוש בנתונים שלו ואת האמצעים הננקטים כדי להגן עליהם. זו אחת המטרות של האמנה: לשפר את השקיפות עבור תושבי לונדון סביב מוצרים או שירותים שעלולים לגרום לסיכון גבוה לפרטיות שלהם.



טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 10-2024
הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 08-2024
אושר בכנסת - תיקון 13 לחוק הגנת הפרטיות