1. בית
  2. מאמרים
  3. הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 10-2024

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 10-2024

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 10-2024

הגנת הפרטיות בישראל 

הרשות להגנת הפרטיות מפרסמת מדריך חדש לשמירת תיעוד ולוגים לפי תקנה 10 לתקנות הגנת הפרטיות (אבטחת מידע), ה'תשע"ז-2017

תקנה 10 לתקנות הגנת הפרטיות (אבטחת מידע) מחייבת ניהול מנגנון תיעוד וניטור במאגרי מידע ברמת אבטחה בינונית או גבוהה לצורך ניטור המערכות ודגימתן וכן לצורך שחזור בזמן אמת.כעת מפרסמת הרשות הנחיות פרקטיות בעניין זה, שמטרתן הבטחת זמינות הנתונים, מניעת זליגתם וסיוע לארגון בניהול התיעוד ושמירת הלוגים בצורה יעילה, נגישה וזמינה.תקנה 10 קובעת כי במאגרי מידע ברמת אבטחה בינונית או גבוהה, קיימת חובת ניהול מנגנון תיעוד אוטומטי כך שיאפשר ביקורת על הגישה למערכות שבוצעו הן בידי משתמש אנושי והן באמצעות רכיב קוד. בגילוי הדעת, הרשות מרחיבה את דרישות התקנה וקובעת רשימה, שאינה סגורה, של מערכות קריטיות, אשר את נתוני התיעוד שלהן (לוגים) יש לשמור במערכות מקומיות לתקופה של שנתיים. ביניהן: מערכת ההפעלה, מאגר המידע, AD, EDR, NAC, FW, WAF, DBFW.


גילוי דעת בנושא פרשנות תקנה 3 לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א – 2001

עפ"י תקנה 3 לתקנות העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה, על כל גורם זר שמקבל מידע מישראל להתחייב בכתובים, שהוא מבטיח את פרטיות נושאי המידע ושאין הוא מעביר את המידע לאף גורם אחר. מעבר לעובדה כי לאיסור זה אין אח ורע ברגולציית האיחוד האירופי, הוא אף מקשה על דינמיקת העסקים והפך לגזירה שאין הציבור יכול לעמוד בה. בגילוי הדעת של הרשות, ניתנת פרשנות מרככת לתקנה הקובעת במקרה שבעל המאגר בישראל נתן את הסכמתו לכך בכתב, ובתנאי, כמובן, שעצם העברת המידע לגורם מחוץ למדינה נעשתה כדין, אזי לא יכול האיסור להעברת המידע לגורם שלישי. במילים אחרות, ההעברה של הגורם הזר ממנו והלאה לא תיחשב להעברה נוספת במדינה זרה, כי אם להעברה חדשה של המידע מישראל.הרשות מציינת כי לצורך אבטחת המידע, ניתן להסתמך על ערובות מקובלות אחרות להגנה על פרטיותם של נושאי המידע, כגון עמידה ברגולציית הגנת המידע של האיחוד האירופי או בחקיקה של מדינות שהדין שלהן הוכר על ידי האיחוד האירופי כבעל תאימות לרגולציה זו. אם זאת, הרשות מבהירה כי ככל שהעברת המידע לחו"ל כרוכה גם במיקור חוץ או במתן גישה לגורם חיצוני למאגר המצוי בישראל, תחול תקנה 15 לתקנות אבטחת מידע.


דוח פיקוח רחב בקרב מגזר התקשורת 

הידעתם שרובוט שואב ביתי שנמצא בשימוש כמעט בכל בית בישראל, ממפה את כל הבית שלכם לפרטים ובאופן דו ממדי?איסוף המידע אודותינו , באמצעות הטלפון החכם, מכשירי החשמל החכמים ועוד ועוד מתבצע באופן קבוע, שוטף ויומיומי, מה שהופך את מגזר התקשורת למעבד מידע רגיש בקנה מידה עצום, ואת המידע -  למשאב מרכז בחיינו.דוח פיקוח שערכה הרשות להגנת הפרטיות ב- 34 גופים במגזר התקשורת, ביניהם ספקיות אינטרנט, הציג תוצאות מעודדות מאוד. בתחומים שנבדקו: אבטחת מידע, ניהול מאגרי מידע ובקרה ארגונית וממשל תאגידי הציגו 80% ויותר מהגופים תוצאות עמידה גבוהות בהוראות החוק ותקנותיו.יחד עם זאת חשוב לזכור, כי נוכח ההתפתחויות הטכנולוגיות השימוש בנתונים ממשיך ומתרחב, ועל כן קיים צורך קריטי בהמשך עמידה על המשמר תוך שיפור תמידי של אמצעי אבטחת המידע במגזר זה.


המלצות לשימוש באפליקציות תיירות

אפליקציות תיירות שינו את חיינו והקלו משמעותית את כל הליך הזמנת החופשות. ברם, בשל הכמות העצומה של מידע אישי שנאסף בהם - ובמיוחד לאור השימוש בשירותים מבוססי מיקום,  הן מהוות מטרה נוחה לליקויי אבטחה ולאירועי סייבר העלולים להוביל לפגיעה משמעותית בפרטיות המשתמשים.הרשות להגנת הפרטיות ניתחה את מסמכי מדיניות הפרטיות של אפליקציות מובילות וגיבשה במסמך זה מספר המלצות להתנהלות נכונה ושימוש בטוח, ביניהן:

1. יש לבדוק אילו הרשאות נדרשות ולבחון אילו מהן באמת צריך לצורך קבלת השירות המבוקש.

2. שנו את ההרשאות כך שגישה למקום תותר "רק כשהאפליקציה בשימוש".

3. מחקו את האפליקציה בתום הטיול.

4. הימנו מקישור בין האפליקציה לבין חשבונכם ברשתות החברתיות.

5. וודאו עדכון אוטומטי של גרסאות האפליקציה.

  6. שימו לב אם האפליקציה עושה שימוש בבינה מלאכותית, הדורשת מטבעה גישה למגוון רחב יותר של מידע אישי.


חובת הודעה על שימוש ב"עוגיות" באתר קופת חולים מכבי -

חובת היידוע מעוגנת בסעיף 11 לחוק הגנת הפרטיות, אשר קובע כי פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצוינו בה אם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו; המטרה אשר לשמה מבוקש המידע; למי יימסר המידע ומטרות המסירה.במקרה בו דן לאחרונה בית המשפט המחוזי בלוד היה מדובר במבקש שביקש לאשר תובענה כייצוגית, לאחר שטען כי קופת חולים מכבי אוספת מידע על גולשים (מבוטחים ולא מבוטחים) שנכנסים לאתר ומעבירה אותם לצדדים שלישיים.קופת החולים טענה, כי היא עצמה לא אוספת נתונים אודות גולשים, אלא יתכן והמידע עובר דרך הרשאות שנותן הגולש בדפדפן.בית המשפט פסק, כי בעיקר כשמדובר בסוגיות רפואיות שאופיין הפרטי מובהק, חשוב ביותר להגן על פרטיות הגולשים, גם כאשר לא מדובר על מידע מתוך התיק הרפואי אלא אף כשמדובר בחיפושים כללים שעושה הגולש באתר.בסופו של דבר נמנעו הצדדים להיכנס לעובי הקורה מטעמי עלויות, וקופת החולים הסכימה להוסיף לעמוד הבית שלה "הודעה קופצת" המיידעת את הגולשים על השימוש בקבצי "עוגיות" ומפנה אותם לעיין בתנאי השימוש באתר. התביעה נמחקה.


הגנת הפרטיות בעולם

הרגולטור האירי קנס את מטא ב-91 מיליון יורו עקב אחסון סיסמאות בטקסט פשוט

ב-27 בספטמבר 2024, הוועדה האירית להגנה על נתונים ("DPC") הודיעה כי הטילה קנס של 91 מיליון אירו (כ-101.5 מיליון דולר) ונזיפה נגד Meta Ireland על שמירה בטעות של סיסמאות של משתמשים מסוימים בטקסט רגיל (כלומר, ללא הגנה קריפטוגרפית או הצפנה).בהחלטתה סברה ה- DPC כי: (Meta Ireland (1 לא הודיעה ל- DPC על הפרת מידע אישי הנוגע לאחסון סיסמאות משתמש בטקסט רגיל; (2) לא תיעדה הפרות מידע אישיות הנוגעות לאחסון סיסמאות משתמש בטקסט רגיל; (3) לא השתמשה באמצעים טכניים או ארגוניים מתאימים כדי להבטיח אבטחה נאותה של סיסמאות המשתמשים מפני עיבוד בלתי מורשה; וכן (4) לא יישמה אמצעים טכניים וארגוניים מתאימים להבטחת רמת אבטחה המתאימה לסיכון, לרבות היכולת להבטיח את הסודיות המתמשכת של סיסמאות המשתמש.לפני שההחלטה סוכמה על ידי ה- DPC, היא הוגשה לשאר רשויות הפיקוח המודאגות באיחוד האירופי במסגרת סעיף 60 של ה- GDPR. יתר רשויות הפיקוח לא העלו התנגדות להחלטת ה- DPC.


ועדת האנרגיה והמסחר של בית הנבחרים בארה"ב קידמה את חוק הבטיחות באינטרנט לילדים (H.R. 7891) ("KOSA")  ואת חוק הגנת הפרטיות המקוונת של ילדים ובני נוער (H.R. 7890) ("COPPA 2.0")

תומכי הבטיחות המקוונת של ילדים לחצו על מנהיגי בית הנבחרים הרפובליקנים לאשר את הצעת החוק, המחייבת חברות מדיה חברתית לנקוט בצעדים לצמצום הנזקים הפוטנציאליים לילדים, לרבות בהתייחס לתוכן שמקדם אלימות, הפרעות אכילה וניצול מיני.יש הטוענים שהחוק יוביל לפגיעה בחופש הביטוי ולפגיעה בפרטיות מעצם הגברת המעקבים המקוונים. בית הנבחרים התמודד עם חילוקי דעות בנוגע להצעת החוק. כמה דמוקרטים נקטו בעמדה שצעדים בהצעת החוק עלולים להשפיע על ביטוי מקוון ולהשפיע לרעה על קהילות מודרות כמו נוער . לעומת זאת, תומכי הצעת החוק ביקשו להפריך את טענות התיקון הראשון הללו בטענה ש-KOSA תיצור "חובת זהירות" לחברות לשלוט בעיצוב, ולא בתוכן, של הפלטפורמות שלהן.מדינות רבות העבירו חוקים משלהן שנועדו להגן על פרטיותם ובטיחותם של ילדים, וכמה פקידים מקומיים מודאגים מכך שהחקיקה הפדרלית עלולה לעקוף את ההגנות הללו.


סין מנפיקה הנחיות לגבי מידע אישי רגיש

ב-18 בספטמבר 2024, הוועדה הטכנית הלאומית למנהל תקין של אבטחת סייבר של סין פרסמה "הנחיה לתרגול סטנדרטי של סייבר – הנחיה לזיהוי מידע אישי רגיש" ("הקו המנחה").לפני הנחיה זו, החוקים הקיימים בסין, סיפקו עד כה את ההגדרה של מידע אישי רגיש ודוגמאות מסוימות, אך הנחיה זו מבקשת להבהיר עוד יותר את ההיקף ולספק הסבר מפורט יותר לגבי מידע אישי רגיש בסין.על פי ההנחיה, מידע אישי ייחשב למידע אישי רגיש אם לאחר שנחשף או נעשה בו שימוש לא חוקי, הוא יכול בקלות להוביל לפגיעה בכבוד האדם; פגיעה בביטחונם האישי של בני אדם; אוֹ פגיעה בבטיחות רכושם של בני אדם.ההנחיה מספקת קטגוריות נפוצות של מידע אישי רגיש, כגון מידע ביומטרי, מידע על אמונה דתית, מידע זיהוי ספציפי, מידע בריאותי, מידע על חשבון פיננסי, מידע אישי של קטינים מתחת לגיל 14 ועוד.ההנחיה מספקת גם דוגמאות למידע אישי רגיש, כגון פרטי מיקום מדויקים, תמונות תעודת זהות, נטייה מינית, חיי מין, פרטי אשראי ופרטי רישום פלילי.


 קליפורניה משנה את  CCPA(חוק הפרטיות של קליפורניה)  כדי לכסות נתונים עצביים ולהבהיר את היקף המידע האישי

ב-28 בספטמבר 2024, מושל קליפורניה, חתם על צמד הצעות חוק  המשנות את חוק הפרטיות של קליפורניה לצרכן משנת 2018 ("CCPA") על ידי הוספת "נתונים עצביים של הצרכן" להגדרה של "מידע אישי רגיש" וציון ש"מידע אישי" יכול להתקיים בפורמטים שונים, כגון פורמטים "דיגיטליים מופשטים".על פי התיקונים, "נתונים עצביים" פירושם "מידע שנוצר על ידי מדידת הפעילות של מערכת העצבים המרכזית או ההיקפית של הצרכן, ושאינו מוסק ממידע לא עצבי". סוגים אחרים של מידע רגיש במסגרת ה-CCPA כוללים נתונים גנטיים, ביומטריים ובריאותיים.בנוסף, התיקונים מבהירים כי "מידע אישי" יכול להתקיים בפורמטים שונים, לרבות, אך לא רק, כל אלה: (1) פורמטים פיזיים- לרבות מסמכי נייר, תמונות מודפסות, תקליטי ויניל או קלטות וידאו; (2) פורמטים דיגיטליים- לרבות קבצי טקסט, תמונה, אודיו או וידאו; וכן (3) פורמטים דיגיטליים מופשטים- לרבות קבצים דחוסים או מוצפנים, מטא נתונים או מערכות בינה מלאכותית המסוגלות להוציא מידע אישי. התיקונים צפויים להיכנס לתוקף ב-1 בינואר 2025.



טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 12-2024
הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 11-2024
הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 09-2024