הגנת הפרטיות – ישראל
חברת פריימסק מברכת את עו"ד גלעד סממה לרגל מינויו לראשות הרשות להגנת הפרטיות סממה, יליד 1977, מגיע מהמגזר הציבורי לאחר שמילא שורה של תפקידים, בין היתר במשרד המשפטים. מינויו אושר לאחר כשלוש שנים בהן התנהלה הרשות ללא ראש במינוי קבוע.
הרשות להגנת הפרטיות מפרסמת דו"ח ממצאי פיקוח רוחב בקרב רשויות מקומיות הרשות להגנת הפרטיות ביצעה הליך פיקוח רוחב ב-70 רשויות מקומיות בישראל, המנהלות מידע אישי על למעלה מ-5 מיליון תושבים. ההליך, אשר בחן את עמידת הרשויות בחוק הגנת הפרטיות ותקנותיו, מצא כי 48% מהרשויות שנבדקו עמדו ברמה נמוכה בהוראות חוק הגנת הפרטיות ותקנותיו וכי קיים יחס ישר בין גודל הרשות המקומית לבין רמת עמידתה בהוראות בכל הנוגע לאבטחת המידע. בסיום ההליך, הורתה הרשות לכל אחת מהרשויות לתקן את הליקויים שנתגלו אצלה וכן ביצעה ביקורות לבדיקת יישום תכנית העבודה ותיקון הליקויים. הרשות אף פתחה בהליך אכיפה מנהלי נגד רשות אשר לא שיתפה פעולה עם ההליך. לקריאת הדו"ח המלא.
הרשות להגנת הפרטיות מפרסמת המלצות לשימוש במכשירים לבישים ואפליקציות כושר ובריאות
עולם ה-IOT (Internet of Things) תופס תאוצה ופוגש אותנו בכל נדבכי החיים ובהם במכשירים לבישים כגון: צמיד בריאות וכושר, נעלי ספורט חכמות ועוד. המכשירים הלבישים לרוב מחוברים לאפליקציות המציעות למשתמשים מעקב אחר שגרת אימוניהם הגופניים, הרגלי התזונה והשינה שלהם ועוד. אפליקציות אלו אוספות נתונים בזמן אמת ומשדרות אותם לשרתים של צד שלישי, ובכך מהוות איום על פרטיות המשתמשים. הרשות להגנת הפרטיות ניתחה את מסמכי מדיניות הפרטיות של אפליקציות בריאות וכושר הנפוצות ושל המכשירים הלבישים למטרות ספורט ובריאות, וגיבשה סדרה של המלצות עבור המשתמשים לשימוש בטוח ומאוזן תוך שמירת על פרטיות המשתמשים. עיקרי ההמלצות הן: הורדת אפליקציות מחנויות רשמיות; הגבלת הרשאות ומעקב אחריהן; בחינת שיתוף המידע; הטמעת עדכוני אבטחה; מחיקת האפליקציה, הפרופיל האישי וארכיון הנתונים שנוצר בתום השימוש ביישום; בחינת הגדרות פרטיות; השבתת מעקב אחר מיקום; בחינת עדכונים למדיניות הפרטיות.
המכון הישראלי למדיניות וטכנולוגיה מפרסם סקירה של הצעת חוק הגנת הפרטיות (תיקון מס’ 14), תשפ”ב-2021 בחודש שעבר אישרה ועדת השרים לחקיקה את הצעת חוק הגנת הפרטיות התשמ"א-1981 (תיקון מס' 14). החוק, אשר לא עודכן מהותית משנת 1996, זוכה לביקורת רבה כיוון שאינו מסדיר בצורה ראויה את הזכות לפרטיות ביחס לאתגרים הטכנולוגיים הקיימים. המכון הישראלי למדיניות וטכנולוגיה פרסם סקירה בהירה ומפורטת אודות התיקונים המוצעים, שעיקריהם: שינוי ההגדרות והמונחים בחוק, צמצום חובת רישום מאגרי המידע, קביעת הפרות, עבירות פליליות חדשות וסנקציות בניהול מאגרי מידע, הרחבת סמכויות אכיפה מנהליות ופליליות ויצירת הסדר ייחודי לאכיפה בגופים ביטחוניים. יצוין כי התיקון החדש אמנם מציע שינויים משמעותיים בחוק, אולם עדיין רחוק מליישר קו עם התקנות האירופאיות בנושא הגנת מידע אישי (GDPR).
הרשות להגנת הפרטיות קבעה כי חברת לולהטק הפרה את הוראות חוק הגנת הפרטיות חברת לולהטק מספקת שירותי פיתוח מערכות לבקרה ושליטה לניהול צוותי עבודה, פקחים, מערכות תווי חניה עבור רשויות מקומיות ולכן מחזיקה בכ-60 מאגרי מידע. בעקבות קבלת דיווחים שונים ופרסומים בתקשורת אודות אירוע אבטחה שאירע בחברה במהלך חודש ספטמבר 2019, ביצעה הרשות הליך פיקוח. הליך הפיקוח העלה כי החברה לא הפעילה אמצעי הגנה מתאימים, לא נקטה במנגנון אמצעי זיהוי רב-שלבי בעת אירוע האבטחה ולא נקטה בהליך פיתוח מאובטח של האפליקציה, כנדרש בתקנות הגנת הפרטיות (אבטחת מידע), ובעקבות כך, לא אותרה פרצה שאפשרה גישה למידע אישי של לקוחות החברה. ממצאי הפיקוח מעלים כי בנוסף, החברה הפרה את החובות המוגברות לאבטחת מידע המוטלות עליה כמי שמחזיקה במאגרי מידע והטילה עליה קנס בסך 25,000 ₪ והנחיות לתיקון הליקויים שנתגלו במסגרת הפיקוח.
כניסת האפליקציה גוגל פיי (Google Pay) לשוק הישראלי, מעוררת סוגיות בנושא פרטיות Google Pay הוא שירות אפליקטיבי של ארנק דיגיטלי פתוח, אליו ניתן להזין כמה כרטיסי אשראי במקביל, ולשלם באמצעותו בכל בית עסק התומך בתשלום ללא מגע וזאת בתנאי שהמכשיר הנייד כולל רכיבים תומכים (רכיב NFC). על מנת לעשות שימוש באפליקציה, על המשתמש לאשר לבנק ולחברות כרטיסי האשראי להעביר לגוגל מידע פיננסי רגיש אודות רכישות המשתמש. בגוגל ציינו כי מספר כרטיס האשראי והחיובים הנלווים אליו אינם נשמרים כלל במכשיר הנייד או מועברים לאף בית עסק. עם זאת, מתנאי השימוש עולה כי המידע על הרכישות עובר לבעלות גוגל, והיא רשאית לעשות בו שימוש בעתיד ל"צרכים עסקיים לגיטימיים".
הגנת הפרטיות ברחבי העולם
וואטסאפ מעדכנת את מדיניות הפרטיות שלה באירופה הנציבות להגנת המידע באירלנד (DPC) קנסה את חברת WhatsApp בסכום של 225 מיליון אירו בגין הפרות ה-GDPR. האחרונה, ערערה לבית המשפט המקומי ולביהמ"ש הגבוה לצדק באירופה בטענה כי פועלת להסדרת הליקויים. החברה התבקשה ע"י הנציבות לנהוג בשקיפות בנושא עיבוד נתונים וכתוצאה מכך מפרסמת מדיניות פרטיות מעודכנת למשתמשי האפליקציה באירופה ובאירלנד. העדכון כולל פרטים נוספים על השימוש שהחברה עושה בנתוני המשתמשים ועל איסופם, אחסונם, שמירתם ומחיקתם. בנוסף, הוסיפה החברה הסבר על שיתוף המידע מחוץ לגבולות אירופה ועל הבסיס המשפטי המאפשר לה לעבד את המידע. פעולת העדכון 'שקופה' למשתמשים ואינה דורשת פעולת הסכמה או אישור קריאה כיוון שלכאורה לא מדובר בשינוי תנאי השימוש בשירותי האפליקציה.
נציבות הגנת הנתונים האירית (DPC) פרסמה כללים לעיבוד מידע ומתן שירותים לילדים במסמך שפרסמה, הנציבות מפרטת כללי עשה ואל תעשה בעת מתן שירותים דיגיטליים המיועדים לקטינים וילדים. בין כללי האצבע, ניתן דגש להתאמת השירותים לגילו של הילד, חובת קבלת הסכמה ברורה, מפורשת, ספציפית, מושכלת ובאופן חד משמעי, שקיפות מוכוונת לילדים, קרי, תנאי שימוש ומדיניות פרטיות בשפה פשוטה וברורה, חובת קיומו של תסקיר השפעה על פרטיות בכל שירות לילדים (DPIA), אחריות מוגברת של בעל הפלטפורמה כלפי תכנים ושירותים של צדדים שלישיים המוצעים בה, התייחסות לנתוני ילדים כנתונים בעלי רגישות גבוהה כברירת מחדל ועוד.
המועצה האירית לחירויות אזרחיות (ICCL) הגישה תלונה רשמית נגד הנציבות האירופית להגנה על נתונים ה-ICCL הוא ארגון ללא מטרות רווח שנוסד בשנת 1976 באירלנד ומקדם שמירה והגנה על זכויות האדם והאזרח. הארגון מלין על כך שהנציבות לא יישמה מנגנון ניטור על יישום הוראות ה-GDPR, ולא הטילה על אירלנד אחריות לכך. בדו"ח שפרסם הארגון בחודש ספטמבר האחרון, צוין שהנציב האירי להגנה על נתונים (DPC) פרסם החלטות רק על 2% מהתיקים שהוגשו לו בנושא עיבוד נתונים חוצה הגבולות. "לא רק שהנציבות האירופית לא פעלה, היא גם לא אספה מידע כדי לדעת האם לפעול", אמר עמית בכיר ב-ICCL.
שימוש באמצעים טכנולוגיים וכלים לשיתוף מידע לצורך ביצוע פעולות אכיפה הנציבות האירופית להגנה על נתונים (EDPB) הציעה כללים לשיתוף פעולה משטרתי באיחוד האירופי שיכלול חילופי נתונים אוטומטיים לזיהוי קשרים פליליים פוטנציאליים ברחבי האיחוד האירופי ומחוץ לו. הנתונים שיהיו זמינים להעברה יכללו תמונות פנים ורשומות משטרה, ובמסגרת שיתוף הפעולה יוקם "נתב מרכזי" אליו ניתן לחבר מסדי נתונים של מדינות. ההצעה עוררה ביקורת מצד ארגוני זכויות דיגיטליים, הטוענים כי הרחבת סמכויות המשטרה טרם הוכחה כהכרחית ומידתית, ועליהן להיבחן בהתאם לחוקי הפרטיות של האיחוד האירופי.
בינתיים, בארה"ב, משטרת לוס אנג'לס חתמה על חוזה עם חברת טכנולוגיה מפוקפקת, לצורך מעקב אחר אזרחים ברשתות החברתיות על פי החוזה, התוכנה של חברת Voyager Labs תאסוף עבור המשטרה מידע אישי ברשת אודות חשודים, ותעקוב אף אחרי "חברים וירטואליים" של החשוד. האלגוריתם של התוכנה יזהה חשדות לפעילות פלילית לפי דעות והתבטאויות ברשתות החברתיות ויאפשר למשטרה לבצע ניטור סמוי באמצעות פרופילים מזויפים של מדיה חברתית. משטרת לוס אנג'לס סירבה להגיב לפניות ושאלות, אולם מומחים שבחנו את החוזה הביעו דאגה משיתוף הפעולה של המשטרה עם תוכנה מפוקפקת מבחינה אתית. לדבריהם, טכנולוגיית המעקב של החברה עלולה לפגוע בפרטיות האזרחים, תוך הסתייעות בפרופיל גזעי.
בריטניה: ניצחון למייגן מרקל בערעור על פגיעה בפרטיות הדוכסית מסאסקס ניהלה במשך שנים תביעה על חדירה לפרטיותה נגד המו"ל של אתר "The Mail on Sunday" ו-MailOnline, בגין פרסום חלקים ממכתב שכתבה לאביה המנוכר. בפברואר האחרון פסק בית המשפט העליון כי המו"ל הפר שלא כדין את פרטיותה של מרקל וחייב אותו לשלם את הוצאות המשפט של מרקל ולפרסם התנצלות בעמוד הראשון. הערעור על פסק הדין נדחה בתחילת החודש, כאשר בית המשפט לערעורים קבע כי למרקל הייתה ציפייה סבירה להגנה על פרטיות מכתביה, וכי תוכן המכתב הינו אישי ופרטי ואין בו עניין בעל חשיבות ציבורית, המצדיק פגיעה בפרטיות. המערער הודיע כי הוא "מאוכזב מאוד" מהפסיקה ושוקל לערער לבית המשפט העליון של בריטניה.
מקס שרמס מאשים את ה- DPC האירי בניסיון לטרפד פרסום מסמכי פייסבוק מסמכים שהגיעו לידי הארגון של פעיל הפרטיות מקס שרמס חושפים כי בשנת 2018 הנציבות האירית להגנה על נתונים (DPC) נפגשה עם פייסבוק ב-10 הזדמנויות כדי לדון בציות ל-GDPR. לטענת שרמס, מדובר בניסיון "לעקוף" את הוראות החוק. המסמכים אף חושפים כי הנציבות הציעה להוסיף ל-GDPR הוראות משפטיות ספציפיות לפלטפורמות מדיה חברתית, אולם ההצעה נדחתה על ידי רגולטורים אירופיים אחרים. הנציבות הכחישה את הטענות בהודעה מפורטת שפרסמה.
תלונה נגד אמזון על שימוש באלגוריתם מפלה לקוחות התלונה הוגשה על ידי NOYB, הארגון של מקס שרמס, בטענה להפרות חמורות של ה-GDPR. הארגון טען כי ענקית המסחר האלקטרוני מציעה ללקוחות אפשרות לשלם עבור מוצרים בשלב מאוחר יותר באמצעות "חשבונית חודשית", אולם בפועל, המערכת האוטומטית מסרבת לאשר רכישות של לקוחות מסוימים באמצעי זה, ללא ציון הסיבה לכך. לקוח שנדחה מקבל הודעה אוטומטית מיידית המציעה לו לשלם בכרטיס אשראי, אחרת הזמנתו תבוטל תוך 5 ימים. "המידה שבה אמזון מתעלמת מחוק הגנת המידע של האיחוד האירופי מדאיגה. אלגוריתמים מקבלים החלטות שאפילו העובדים שלהם לא יכולים להבין ולבדוק. התגובה של אמזון לבקשת הגישה גם מפרה כמעט כל סעיף של הוראות GDPR החלות" אמר מרקו בלוצ'ר, עורך דין להגנה על נתונים ב- Noyb.
גרמניה: בית המשפט המנהלי אוסר על שיתוף כתובות IP עם שרתים שבסיסם בארה"ב ההחלטה ניתנה עקב תלונת סטודנטית כי מדיניות העוגיות של ספקית האוניברסיטה כוללת הסכמה לשיתוף כתובת IP עם חברות אמריקאיות. בית המשפט קבע כי מדיניות עוגיות המשתפת את כתובת ה- IP המלאה של משתמש הקצה עם שרתים של חברה שהמטה שלה בארה"ב, נוגדת את ה-GDPR והלכת שרמס 2, והוציא צו המונע מאוניברסיטת Hochschule RheinMain בגרמניה להמשיך ולהשתמש בשירות.
אפל תובעת את חברת תוכנות הריגול הישראלית NSO Group בתביעה נטען כי תוכנת הריגול של NSO אפשרה פריצה למכשירי אייפון על מנת לחלץ הודעות, תמונות ומיילים, להקליט שיחות ולהפעיל בחשאי מיקרופונים ומצלמות. NSO Group טענה כי התוכנה נועדה למיגור טרוריסטים ופושעים, אך בפועל שימשה לכאורה לריגול על פוליטיקאים ועיתונאים. בחודש שעבר גורמים רשמיים בארה"ב הכניסו את החברה לרשימה שחורה שאין לסחור עמה.
נורבגיה: קנס חסר תקדים לאפליקציית ההיכרויות גריינדר גריינדר, אפליקציית היכרויות מבוססת מיקום המיועדת לקהילת הלהט"ב, נקנסה ב-6.5 מיליון אירו על ידי הרשות הנורבגית להגנה על נתונים (NDPA) בגין מכירת נתוני משתמשים למפרסמים. הרשות טענה כי גריינדר הפרה את ה-GDPR בכך ששיתפה עם צדדים שלישיים נתונים כגון מיקום GPS, כתובת IP, גיל, מין, ונטייה מינית. בנוסף, קבעה הרשות כי מנגנון ההסכמה של האפליקציה אינו חוקי.
אירלנד: אין בסיס חוקי לדרישת כרטיס שירותים ציבוריים (PSC) לקבלת שירותים והטבות מהמדינה כרטיס השירותים הציבוריים הוצג על ידי הממשלה האירית בשנת 2011, על מנת להגביר את היעילות באספקת שירותים ציבוריים, וסיוע בהתמודדות עם הונאות בתחום הרווחה. במקור נדרש הכרטיס לקבלת תשלומי רווחה בלבד, אולם לאורך השנים הורחב השימוש בכרטיס ונדרש לצורך קבלת רישיון נהיגה ודרכון. בשנת 2019 פסקה הועדה האירית להגנה על נתונים (DPC) כי אין בסיס חוקי להתנות שירותי מדינה בהצגת הכרטיס, אולם המדינה סירבה לקבל את הפסיקה והגישה ערעור. השבוע הודיעה המחלקה להגנה חברתית באירלנד כי היא מקבלת את הפסיקה ותפעל ליישומה. ה-DPC מסרה בתגובה כי היא מברכת על ההחלטה.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.