1. בית
  2. מאמרים
  3. הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 12-2024

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 12-2024

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 12-2024

הגנת הפרטיות בישראל 

הנחיית הרשות להגנת הפרטיות בנושא העברת בעלות במאגר מידע

הנחיה שהוצגה בעבר כטיוטה להערות הציבור מתפרסמת כעת בגרסתה הסופית. על פי הנחיה זו, נושא העברת הבעלות במאגר מידע עשויה להשפיע על נושאי המידע וזכויותיהם, ולפיכך מבקשת הרשות לשים לב לנקודות אלו: 

  1. העברת הבעלות אינה מאפשרת שינוי במטרות השימוש במאגר.
  2. הרחבה או שינוי מטרות השימוש במאגר מצריכה קבלת הסכמה מנושאי המידע.
  3. במידה ולא חל שינוי במטרות עיבוד המידע, בדרך כלל ניתן יהיה להסתפק בעדכון במייל לנושאי המידע להעברת הבעלות, אם כי במקרים בהם אופי בעל השליטה במאגר החדש שונה מהותית מזה הקודם לו, עד כי זכויותיו עלולות להיפגע, או כי ניתן להניח שנושא המידע לא היה מתקשר עם הבעלים החדשים (לדוג' יחסי אמון מיוחדים עם בעל המאגר הקודם)  - אז יש לקבל את הסכמת נושא המידע.

דו"ח פעילות לשנת 2023 מטעם הרשות להגנת הפרטיות

הרשות להגנת הפרטיות פרסמה דו"ח פעילות בו היא מפרטת, בין היתר, את פעולותיה לשנה זו, בה חלה עלייה משמעותית בהיקף ובעוצמת מתקפות הסייבר. בין ההישגים המרכזיים מונה הרשות את קידום תיקון 13 לחוק הגנת הפרטיות, חקיקת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), הנחיה בנושא תפקיד הדירקטוריון בקיום חובות תאגיד, פרסום מסמכים בנושאי פרטיות במוצרים IOT ביתיים והיבטי פרטיות במעקב אחר עובדים בעבודה מרחוק, הקמת מערך פיקוח במגזרים בעלי רגישות גבוהה ועוד. בנוסף מציינת הרשות את הגברת הליכי האכיפה מצידה בכל הנוגע לפגיעה בחוק הגנת הפרטיות - הן בהיבט המנהלי והן בהיבט הפלילי.

אין לחייב מסירת טביעות אצבע למאגר הביומטרי לצורך זיהוי נפגעים

אחת ההשלכות של אירועי השבעה באוקטובר הייתה הצורך בזיהוי חללים ונעדרים בהיקפים גדולים מאוד. בעקבות צורך זה אושרו ע"י הממשלה תקנות שעת חירום, הכוללות סעיף המורה על איסוף טביעות אצבע מן הציבור למאגר הביומטרי אגב הנפקת תעודות זהות ודרכונים, וזאת באופן מנדטורי.  בדו"ח פיקוח על שימוש במידע ביומטרי לזיהוי חללים ונעדרים, ממליצה הממונה על היישומים הביומטריים במערך הסייבר הלאומי שלא להמשיך ולחייב תושבים במסירת טביעת אצבע. הממונה סבורה כי התועלת של מאגר ביומטרי לא מטה את הכף לטובת המשך החיוב בשיטה זו, אשר הביאה לזיהוי חללים בשיעור של 8% בסה"כ, ועל כן יש מקום להציע לתושב את הבחירה האם למסור טביעת אצבע או לא. בנוסף ממליצה הממונה, כי יש לאפשר לתושב, אשר כבר מסר את טביעת אצבעו, לבקש את מחיקתה.

מכירת ציוד רפואי שמידע בו לא בוער כדין

בהליך משפטי שעסק בהסדר הסתלקות בייצוגית נגד קופ"ח על מכירת ציוד רפואי שמידע בו לא בוער כראוי נטען כי קופ"ח העבירה מידע רפואי רגיש וחסוי של מטופליה בניגוד לתנאי הרישיון והתקנים בהם עליה לעמוד (ובייחוד תקן ISO 27799 הנוגע להגנת מידע בתחום הרפואה) בכך שמכרה או מסרה ציוד רפואי שלא בוער כראוי, והכיל את המידע הרפואי שניתן היה לגלות. בית המשפט הדגיש את חשיבות הנושא שהועלה, וקופת החולים התחייבה למחוק באופן מלא את המידע האישי בציוד רפואי שבו סיימה להשתמש ובאופן כללי לשפר את פרקטיקות אבטחת המידע הנהוגות אצלה.

חיילות מגולני טוענות כי צולמו בסתר

על החלון במקלחות, כך לטענת החיילות, היה מונח טלפון של בכיר בחטיבה, שצילם אותן בזמן שהותן במקלחות ללא בגדים. מדובר צה"ל נמסר בתגובה: "נפתחה חקירה נגד קצין במילואים בחשד לעבירות של פגיעה בפרטיות ומעשה מגונה. החשוד נעצר לצורכי חקירה. היום, לאחר השלמת חלק מפעולות החקירה, החשוד שוחרר בתנאים מגבילים ובהם מעצר בית, שתוקפם בשלב זה עד ל- 8 בדצמבר 2024. צה"ל רואה בחומרה עבירות פליליות על רקע מיני, ופועל למניעת מקרים מסוג זה. לרשות הנפגעות עומדים גורמי הליווי והסיוע של "יוהל"ם".


הגנת הפרטיות בעולם

חברת Clearview AI נקנסה ב-34 מיליון דולר על מסד נתונים 'לא חוקי' של תמונות פנים

הרגולטור העליון של הפרטיות בהולנד הודיע כי קנס את חברת טכנולוגיות זיהוי הפנים Clearview AI ב-30.5 מיליון אירו (34 מיליון דולר, על יצירת מסד נתונים לא חוקי של תמונות פנים. רשות הגנת המידע ההולנדית אמרה שהיא גם תגבה קנס של עד 5 מיליון אירו (5.5 מיליון דולר) אם Clearview AI לא תעמוד בצו. חברת זיהוי הפנים האמריקנית לא נלחמה בהחלטה שנבעה מחקירת הרגולטור העליון של הפרטיות בהולנד ולכן אינה יכולה לערער על הקנס, אמר ה-DPA ההולנדי בהצהרה, שבה גם הזהיר חברות כי זה לא חוקי להשתמש בשירותי Clearview AI. החברה הפרה ברצינות את תקנות הגנת המידע האירופאיות (GDPR) בכמה נקודות: החברה מעולם לא הייתה צריכה לבנות את מסד הנתונים והיא אינה שקופה מספיק", נכתב בהודעת ה-DPA ההולנדית.

טורקיה קנסה את Meta בכמעט 330 אלף דולר על הפרת פרטיות ילדים באינסטגרם

הרשות הטורקית להגנת מידע אישי (KVKK) הטילה קנס של 11.5 מיליון לירה טורקית (329,819.94 דולר) על Meta, חברת האם של אינסטגרם, בגין הפרת כללי הפרטיות הקשורים לחשבונות ילדים. ההחלטה הגיעה בעקבות חקירה של טיפול הפלטפורמה בחשבונות פרטיים שנוצרו על ידי משתמשים מתחת לגיל 18. חשבונות אלה השייכים לקטינים הומרו לחשבונות עסקיים, וכתוצאה מכך מידע אישי של הקטינים כגון כתובות מייל ומספרי טלפון הוטמעו בקוד מקור של אינסטגרם, מה שהופך אותם לניתנים בקלות לאחזור.

הודו: CCI קנס את Meta INR 2.13B בכ-25 מיליון דולר בגין עדכון מדיניות הפרטיות של WhatsApp לשנת 2021

ועדת התחרות של הודו (CCIקנסה את Meta PlatformsIncב- 2.13 מיליארד רופי הודי (כ-25 מיליון דולר) בגין הטלת תנאים לא הוגנים באמצעות עדכון מדיניות הפרטיות של WhatsApp משנת 2021, אשר חייבה שיתוף נתונים עם חברות Meta ללא אפשרות ביטול, תוך הפרה של חוק התחרות. ה-CCI ראה בכך ניצול לרעה של מעמדה הדומיננטי של Meta וחסם כניסה לשוק עבור מתחרים. כתוצאה מכך, ה-CCI הוציא צווי הפסקה והפסקה ותרופות התנהגותיות מכוונות, כולל איסור של חמש שנים על שימוש בנתוני WhatsApp לפרסום, הסבר מפורט על שיתוף נתונים, אפשרות ביטול למשתמשים וציות לכל מדיניות עתידית.

התראת פרטיות אוסטרלית: הפרלמנט מעביר רפורמה גדולה ומשמעותית בחוק הפרטיות

ב-29 בנובמבר 2024, החלק הראשון של רפורמות פרטיות אוסטרליות במסגרת הצעת חוק תיקון הפרטיות וחקיקה אחרת 2024 (Cth) (Bill) עבר את שני בתי הפרלמנט. בעבר נשקלה את הצעת החוק כשהונחה ב-12 בספטמבר 2024. בעדכון זה, נכנסו כמה מהשינויים המרכזיים בחוק הפרטיות 1988 (Cth) וחקיקה נוספת בתחום. הפרלמנט גם מתאר מה ארגונים יכולים להתחיל לעשות עכשיו כדי לציית לחוק החדש לאחר שנחקק.

חוק הפרטיות של סין: ביקורת ניהול נתונים מגיעה ב-2025

בשנת 2025, חברות העושות עסקים בסין יתמודדו עם חובות נוספות כאשר ביקורת הגנת מידע תהפוך לחובה, מה שמציב רף חדש לעמידה בחוקי הפרטיות. סין צפויה גם להכניס תקנות על נתונים לא אישיים כדי להקים מסגרת לשימוש אתי ומאובטח בנתונים. "חברות חייבות להעריך את שיטות הטיפול בנתונים שלהן ולדווח על הממצאים שלהן. עם זאת, הסיכון הטמון בביקורות עצמיות טמון בהטיות פוטנציאליות", אמר ג'יימס גונג, שותף ב-Bird & Bird. כדי להתמודד עם זה, סין הציעה ליישם קריטריונים סטנדרטיים ולערב פיקוח של צד שלישי לפי הצורך. בנוסף, סין מקדמת רגולציה של מידע שאינו אישי. התקנות שואפות להגדיר מסגרות לשימוש בנתונים, תוך הפחתת סיכונים לשימוש לרעה. דבר זה מבטיח יתרונות כלכליים מבלי להתפשר על סטנדרטים אתיים, אינטרס ציבורי וביטחון לאומי בשיתוף נתונים וחדשנות, אמר גונג.

תביעת עובדים מאשימה את Apple בריגול אחר עובדיה

תביעה חדשה שהגיש עובד החברה, מאשימה את החברה בריגול אחר עובדיה באמצעות חשבונות ה-iCloud האישיים שלהם ומכשירים שאינם עובדים. התביעה, שהוגשה לבית המשפט במדינת קליפורניה, טוענת שהעובדים נדרשים לוותר על הזכות לפרטיות אישית, וכי החברה אומרת שהיא יכולה "לעסוק במעקב פיזי, וידאו ואלקטרוני אחריהם" גם כשהם בבית. ואחרי שהם מפסיקים לעבוד עבור החברה. דרישות אלה הן חלק מרשימה ארוכה של מדיניות העסקה של החברה שלטענת התביעה מפרה את החוק בקליפורניה. התובע בתיק, עמר בהקטה, עבד בעבר בטכנולוגיית פרסום עבור החברה משנת 2020. לפי התביעה, החברה השתמשה במדיניות הפרטיות שלה כדי לפגוע בסיכויי העסקתו. למשל, הוא אסר על בהקטה לדבר באופן פומבי על פרסום דיגיטלי ואילץ אותו להסיר מידע מדף הלינקדאין שלו על עבודתו בחברה.

האיחוד האירופי מאשר "מגן סייבר" חדש לשיפור ההגנה המשותפת

כדי לחזק את הסולידריות והיכולות של האיחוד האירופי לזהות, להתכונן ולהגיב לאיומים ותקריות אבטחת סייבר, אימצה היום המועצה שני חוקים חדשים חלק מ"חבילת" החקיקה של אבטחת סייבר, מה שמכונה "אקט סולידריות סייבר", וחוק ממוקד, תיקון לחוק אבטחת הסייבר (CSA). החוק החדש קובע את יכולות האיחוד האירופי להפוך את אירופה לעמידה יותר מול איומי סייבר, תוך חיזוק מנגנוני שיתוף הפעולה. היא מקימה, בין היתר, 'מערכת התרעות אבטחת סייבר', תשתית כלל-אירופית המורכבת ממרכזי סייבר לאומיים וחוצי גבולות ברחבי האיחוד האירופי. מדובר בגופים המופקדים על שיתוף מידע ועליהם משימה לאיתור איומי סייבר ולפעול נגדם. רכזות הסייבר ישתמשו בטכנולוגיה מתקדמת, כגון בינה מלאכותית (AI) וניתוח נתונים מתקדם, כדי לזהות ולשתף אזהרות בזמן אמת על איומי סייבר ותקריות מעבר לגבולות. הם יחזקו את המסגרת האירופית הקיימת, ובתורם, רשויות וגופים רלוונטיים יוכלו להגיב בצורה יעילה ואפקטיבית יותר לאירועי אבטחת סייבר.

קנס של 1.19 מיליון דולר לקבלן חיצוני שגנב מידע רפואי בפלורידה

ספק שירותי בריאות בפלורידה למד בדרך הקשה מה המחיר של אי הקפדה על נהלי אבטחה בסיסיים. הקבלן החיצוני, שהמשיך להחזיק בגישה למערכות חצי שנה אחרי סיום עבודתו, ניצל את אותה הגישה כדי לגנוב מידע רפואי של 34,310 מטופלים ונקנס ב- 1.19 מיליון דולר.

פרסומות שהוכנסו בין מיילים: ORANGE נקנס ב-50 מיליון אירו

מספקת ללקוחותיה שירות הודעות אלקטרוניות ("Mail Orange"). לאחר מספר חקירות, הרשות להגנת הפרטיות הצרפתית, ה-CNIL, מצאה כי החברה מציגה פרסומות בצורת מיילים בין מיילים אמיתיים בתיבות הדואר הנכנס של המשתמשים שלה. על בסיס ממצאים אלה, סברה הרשות כי הצגת פרסומות מסוג זה מחייבת את הסכמת משתמשי שירותי ההודעות ORANGE, בהתאם לקוד הצרפתי – דואר ותקשורת אלקטרונית (CPCE). חקירות ה-CNIL חשפו גם שכאשר משתמשים באתר orange.fr משכו את הסכמתם לאחסון וקריאה של קובצי Cookie במכשיריהם, המשיכו לקרוא קובצי Cookie שנשמרו בעבר, תוך הפרה של סעיף 82 של חוק הגנת המידע הצרפתי.

דליפת ענק בארה"ב: נחשף מידע רפואי של 910,000 מטופלים

ConnectOnCall.com מספקת מוצר ("ConnectOnCall") שספקי שירותי בריאות רוכשים כדי לשפר את תהליך השיחה לאחר שעות העבודה שלהם ולשפר את התקשורת בין הספקים למטופליהם. ConnectOnCall גילה תקרית שכללה מידע אישי הקשור לתקשורת בין מטופלים וספקי שירותי בריאות המשתמשים במוצר. ב-12 במאי 2024, ל-ConnectOnCall נודע על בעיה שהשפיעה על המוצר ומיד החלה בחקירה ונקטה בצעדים לאבטחת המוצר ולהבטחת האבטחה הכוללת של סביבתו. החקירה העלתה שבין ה-16 בפברואר ל-12 במאי השנה לצד שלישי (לא ידוע מיהו), הייתה גישה למוצר ולנתונים מסוימים בתוך האפליקציה, כולל מידע בין ספק למטופל.

"פגיעה אנושה": ספרד החלה לאסוף מידע אישי על תיירים - גם פרטי בנק

החל מיום 02/12/2024, ספרד החלה באופן רשמי את מרשם התיירים החדש שלה, מערכת שתוכננה על ידי משרד הפנים. רישום זה מחייב עסקים בתחום התיירות, לרבות בתי מלון, שירותי השכרת רכב, סוכנויות נסיעות וכל שאר ספקי האירוח, לאסוף ולשלוח מידע אישי נרחב על האורחים שלהם. הנתונים הנדרשים חורגים מעבר לזיהוי בסיסי וכוללים פרטים רגישים כמו הקשר בין מטיילים לקטינים, כמו גם דרכי התשלום שלהם. הרגולציה, שתוארה במקור בצו המלכותי 933/2021 ב-26 באוקטובר, נתקלה בעיכובים מרובים עקב חששות בתעשייה. עם זאת, משרד הפנים, בראשות פרננדו גרנדה מרלסקה, נחוש ליישם אותו החל מהשבוע. הממשלה עומדת על כך שהרישום חיוני לשיפור האבטחה ולמלחמה בטרור ובפשע מאורגן, שלדברי גורמים רשמיים קשורים יותר ויותר לגורמים בין-לאומיים.


טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.

הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 11-2024
הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 10-2024
הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 09-2024