פורסמה טיוטת תקנות הגנת הפרטיות לעניין מידע שהועבר לישראל מהאיחוד האירופאי
התקנות האמורות מוצעות על רקע תהליך בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, לצורך בחינת חידוש מעמד התאימות (Adequacy) שניתן לישראל על ידי האיחוד האירופי בשנת 2011, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי, ולכן מידע אישי אליה יכול לעבור באופן פשוט ונוח. זאת, בין היתר בעקבות כניסתן לתוקף בשנת 2018 של תקנות הגנת המידע של האיחוד האירופי (GDPR) ובשים לב להוראותיהן. מטרת התקנות היא לקבוע הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי, למעט מידע שהעביר במישרין אדם אודות עצמו. במסגרת תקנות אלו יוענקו הזכויות הבאות לנושאי המידע, אשר עליהן נאסף מידע והועבר לישראל מהאזור הכלכלי האירופאי, ואשר רובן לא חלות על מידע שנאסף על אזרח ישראלי: חובת מחיקת מידע, הפעלת מנגנון להבטחת אי שמירת מידע שאינו נחוץ, הפעלת מנגנון להבטחת אמיתות המידע הקיים במאגר (כהשראה מסעיף 14 לחוק הגנת הפרטיות) וחובת יידוע (כהשראה מסעיף 11 לחוק הגנת הפרטיות). כמו כן הוגדרו קריטריונים נוספים למונח "מידע רגיש": מידע על מוצאו של אדם וכן מידע על חברות בארגון עובדים. חברת פריימסק פרסמה התייחסותה לטיוטה באתר רשות המשפטים.
מבקר המדינה פרסם דו"ח מיוחד בנושא הגנת הסייבר
במסגרת הביקורת המבקר סקר את הגופים הבאים: מגזר התחבורה, צה"ל, רשות המיסים, מגזר המים, ומשרד החינוך. בנוגע למשרד החינוך המבקר מצא את הליקויים הבאים: לא בוצעו סקרי סיכונים ומבדקי חדירה כנדרש בתקנות; לא בוצעו תרגילים לשחזור מידע ולהתאוששות מאסון; לא בוצע מיפוי מלא של כלל מערכות מאגרי המידע וכן לא הושלם כתיבת מסמך הגדרות המאגרים; לא מונה ממונה הגנת סייבר וכן וועדת היגוי סייבר לא מתכנסת בתדירות הנדרשת; נמצאו ליקויי אבטחת מידע במספר רשתות ומערכות מידע, כדוגמת-מתן הרשאות ע"פ "הצורך לדעת", ביצוע עדכוני אבטחה וכיו"ב. כמו כן, במסגרת הביקורת של המבקר נסקר מערך ניהול המידע הביומטרי בצה"ל, והועלו הממצאים הבאים: לא קיימת תוכנית לבקרה שוטפת בדרישות התקנות; לא בוצעו ביקורות כנדרש בתקנות; פקודת המטכ"ל בנושא הגנת הפרטיות לא עודכנה ממועד כתיבן בשנת 1996; לא גובש מסמך הגדרות מאגרי המידע; לא התקיימה בחינת מידע עודף אחת לשנה (למשל של חיילים שנפטרו); קיימים פערים בנושא הזדהות והרשאות גישה למאגרים וכו'. בנוסף, נמצא כי 75% מהגופים שנבדקו במגזר התחבורה לא ביצעו מבדקי חדירה וסקרי סיכונים. ליקויים נוספים נמצאו ביחידת שירות עיבודים ממוכנים (יחידת שע"ם) ברשות המיסים וכן בתאגידי המים-אשר לא אחת דווח על ניסיונות לתקיפות סייבר על האחרונות במהלך השנים האחרונות.
גובש מסמך מדיניות, רגולציה ואתיקה בתחום הבינה המלאכותית
משרד החדשנות, המדע והטכנולוגיה פרסם מסמך זה להערות הציבור, בשיתוף הרשות להגנת הפרטיות. זאת כחלק מהשימוש הנרחב הנעשה והעתיד להיעשות בטכנולוגיית הבינה המלאכותית. שימוש בטכנולוגיה זאת מהווה תרומה משמעותית לאורח החיים, אך בד בבד טומן בחובו אתגרים משמעותיים בתחומי הפרטיות והגנת הסייבר. הרשות פרסמה זה מכבר גילוי דעת בעניין חובת היידוע במסגרת איסוף ושימוש במידע אישי במהלך שימוש בבינה מלאכותית, אשר במסגרתו נסקר הליך יידוע נושאי המידע, מתן זכות העיון ותחולת תקנות אבטחת המידע גם בעת שימוש בטכנולוגיה זאת. כחלק ממסמך המדיניות נסקרו האתגרים לפרטיות בהם מתאפיין השימוש במערכות מבוססות בינה מלאכותית. כמו כן, הושם דגש על שלוש קטגוריות שונות לתקיפות סייבר של מערכות המבוססות בינה מלאכותית: מתקפות שמטרתן לגרום למערכת ללמוד את הדבר הלא נכון, לעשות את הדבר הלא נכון ולגלות לתוקף את הדבר הלא נכון. בכדי לתת מענה לאתגרי הפרטיות, גובשו במסמך זה מספר המלצות: הסכמה מדעת וחובת היידוע-הצגת כל הפרטים הנדרשים לפי סעיף 11 לחוק הגנת הפרטיות, פירוט אודות אופן פעולת המערכות, מתן הסבר לנושא המידע על פרטי המידע בהם עשויות מערכות אלו להשתמש ומקורם וכן יידוע נושאי המידע אודות מטרות מערכות אלו והשפעותיהן האפשריות; צמצום המידע-הפעלת מדיניות של צמצום מידע אישי המשמש את תהליכי הפיתוח של הבינה המלאכותית; שימוש במנגנונים מגבירי פרטיות-כגון אנונימיזציה, שימוש במידע סינתטי, עיבוד המידע בציוד הקצה של המשתמש ולא בשרת המרכזי וכו'; קביעת הוראות רגולטוריות-מינוי ממונה הגנה על הפרטיות, שימוש בתסקיר השפעה על פרטיות ועוד.
משרד התיירות פרסם מכרז לאיסוף מידע על דפוסי ביקור של תיירים במוקדי תיירות מרכזיים
במסגרת המכרז הוזמנו חברות הסלולר הגדולות (כל חברה המספקת שירותים עבור למעלה מ-2 מיליון מינויים), להגיש הצעה להעברת נתוני סלולר על נוכחות של תיירי חוץ, תיירי פנים (אדם הנמצא ביעד הנמצא במרחק של 60 ק"מ או יותר ממקום מגוריו או עבודתו) ותושבים מקומיים בכ־20 מוקדי תיירות נבחרים בישראל (למשל, נמל תל אביב, מצדה, העיר העתיקה בירושלים, עכו העתיקה ואזור המלונות באילת). לפי תנאי המכרז, המידע יועבר כאשר הוא לא מזוהה ויכלול רק את מספר המבקרים באזורים המוגדרים לפי פילוח של שעות הביקור, משך השהייה וסוג המבקר. מכרז זה מעלה חשש לפגיעה בפרטיות אודות מי שעליהם ייאסף מידע זה, היות וע"פ תנאי המכרז הספק הזוכה נדרש "לאתר" אנשים המוגדרים כ"תיירים", לפי ההגדרה של מי זה תייר כמופיע בתנאי המכרז. כמו כן, כחלק מפרויקט זה של משרד התיירות, הספק הזוכה יידרש לנטר מיקומים של תושבים ישראליים-זאת לצורך איתור אנשים המהווים "תיירי פנים". אמנם המכרז מכיל בתוכו סעיפים על שמירת סודיות ואבטחת מידע, וכן כתובה בסעיף 8.7 הפיסקה הבאה: "נותן השירותים מתחייב למלא אחר הוראות כל דין, לרבות חוק הגנת הפרטיות, תשמ"א – 1981, ותקנותיו, ותקנות JDPR (הטעות במקור), באופן המתחייב, ולבצע כל פעולה הכרוכה בביצוע חובותיו על פי דין". אך לא מוגדר שם כי המידע שנאסף ע"י הספק הינו מהווה "מידע רגיש" (נתוני מיקום והרגלי התנהגות) והאם המידע שייאסף ע"י הספק עשוי להיות מוצלב, ע"י משרד התיירות, עם נתונים אחרים שיש בידיו או בידי משרדי ממשלה אחרים. כמו כן, עולה החשש לפגיעה בזכויות תושבי האיחוד האירופאי-כמעוגן ב-GDPR.
מידע אישי ורגיש על קטינים היה נגיש ברשת
סטודנט בלימודי הגנה והתקפת סייבר בטכניון גילה כי קבצי אקסל המרכזים חוות דעת רגישות על אלפי קטינים, משתתפי פרויקט נעל"ה ("נוער עולה לפני הורים"), היו חשופים באתר לא מאובטח ונגישים לעיני כל. בין המידע הרגיש אשר הקובץ מכיל קיימות חוות דעת פסיכולוגיות ועוד. הסטודנט דיווח על ממצא זה למערך הסייבר אשר פנה למנהלי האתר שפעלו להסרת המידע הרגיש מהרשת. יש לציין שפרויקט נעל"ה מופעל מטעם המנהל לחינוך התיישבותי במשרד החינוך ובמימונה המלא של מדינת ישראל, אך האתר אינו אתר ממשלתי.
מחקר חדש חושף עד כמה חטטנים טכנאי המעבדה שלנו
ע"פ מחקר חדש שפרסמו חוקרים באוניברסיטת גוולף (Guelf) שבקנדה, חצי מהאנשים ששולחים את המחשבים שלהם לתיקון אצל טכנאי סובלים מפגיעה כלשהי בפרטיות שלהם . עוד עולה מהמחקר שהנפגעים העיקריים הן נשים ששלחו את המחשבים שלהן לתיקון. במסגרת המחקר החוקרים יצרו לשישה מהמחשבים פרופילים המראים כי הם, לכאורה, בבעלות של גברים ושישה פרופילים המראים כי הם, לכאורה, בבעלות נשים. החוקרים עקבו אחרי כל הצעדים שעשו הטכנאים על ידי הפעלה מראש של Windows Steps Recorder, שעקבה אחרי כל מסך שפתחו או סגרו הטכנאים, על לחיצות העכבר שעשו וכל הקשה שעשו על המקלדת. כל המחשבים נשלחו במצב זהה, עם גרסה נקייה של מערכת הפעלה שהותקנה רגע לפני התיקון, ללא כל נוזקה. התקלה שזייפו החוקרים הייתה פשוטה למדי: הם פשוט נטרלו את דרייבר הקול של המחשב, כך שהמחשבים היו אמורים לחזור במהירות לבעליהם אחרי תיקון קליל ומהיר, מבלי שהטכנאים יצטרכו כלל לגשת למידע של המשתמשים או לגבות אותו – מה שבפועל לא קרה כאמור. החוקרים ציינו כי כדי להגיע לתוצאות הם קיבלו גישה ללוגים מאותם מחשבים שהיו בתיקון למשך לילה אחד לפחות ב-12 מעבדות שונות. על פי הלוגים, נראה כי הטכנאים ב-6 מתוך 12 המעבדות ניגשו למידע פרטי של בעלי המחשבים, ובשתי מעבדות הטכנאים אף הגדילו לעשות והעתיקו חלק מהמידע הזה מהמחשב להתקן חיצוני. בשלושה מקרים הטכנאים החטטנים ככל הנראה ניסו להסתיר את עקבותיהם ומחקו את הקבצים האחרונים שניתן לראות דרך Windows Quick Access. החוקרים מדווחים כי בשתי מעבדות נוספות שבהן שלחו את המחשבים לתיקון לא ניתן היה לגשת ללוגים שלהם לאחר התיקון. עם התקדמות הטכנולוגיה והיכולת לגשת למסמכים ממקום העבודה (תיבת מייל, דרייב וכו'), עולה החשיבות שמקום העבודה יפעיל מדיניות מוקשחת על מוצרי BYOD (Bring Your Own Device), זאת באמצעות פתרונות טכנולוגיים הקיימים בשוק-כדוגמת מוצרי MDM וכיו"ב. כך שלמשל תיאכף הגדרת סיסמה למכשיר הסלולרי של העובד, מתן גישה למנהל המערכת במקום העבודה לנטרל מרחוק את הגישה לתיבת המייל ו/או מוצר אחר.
הגנת הפרטיות ברחבי העולם
גוגל התפשרה- תשלם 391 מיליון דולר במסגרת תביעת ענק בגין מעקב מיקום אנדרואיד
במסגרת הסכם פשרה בין גוגל ונציגי תביעה של כ-40 מדינות בארה"ב, נחשף כי יש אמת בכתבה שפורסמה ב- Associated Press בשנת 2018. ענקית מנוע החיפוש הטעתה משתמשי אנדרואיד ועקבה אחר מיקומם לפחות מאז 2014, גם כאשר חשבו שמעקב אחר המיקום מושבת. בו בזמן שמשתמשי אנדרואיד הוטעו לחשוב שהשבתת "היסטוריית המיקומים" בהגדרות המכשיר תשבית את מעקב המיקום, הגדרת חשבון אחרת - שהופעלה כברירת מחדל ושמה "פעילות אינטרנט ואפליקציות" - אפשרה לחברה לאסוף, לאחסן ולהשתמש בנתוני המיקום האישיים המזהים של הלקוחות. בהסכם הפשרה, גוגל מתחייבת לשלם למדינות התובעות סכום של 391 מיליון דולר. בנוסף, הסכם הפשרה מחייב את גוגל להציג בקרות חשבון ידידותיות יותר למשתמש ומגביל את השימוש והאחסון של החברה בסוגים מסוימים של נתוני מיקום .גוגל תצטרך גם להיות שקופה עם המשתמשים שלה בנוגע לנוהלי המעקב והאיסוף של נתוני המיקום שלה ותצטרך להציג מידע נוסף כאשר הגדרות חשבון הקשורות למיקום מוחלפות כמו כן, תחויב גוגל להציג מידע מפורט על הנתונים שהיא אוספת והאופן בו נעשה בהם שימוש. הסכם הפשרה מצטרף להודעת נציבות התחרות והצרכנות האוסטרלית (ACCC) מאוגוסט 2022 כי החליטה לקנוס את גוגל ב-60 מיליון דולר בגין הטעיה ואיסוף נתוני מיקום השייכים למשתמשי אנדרואיד אוסטרלים במשך כמעט שנתיים, בין ינואר 2017 לדצמבר 2018, תוך שימוש באותה גישה.
בריטניה – הנחיות חדשות להעברת נתונים לגורמים בינלאומיים
בתאריך 17/11/2022, הרגולטור הבריטי להגנה על נתונים, משרד נציב המידע ("ICO"), פרסם הנחיות מעודכנות בנוגע להעברות בינלאומיות הכוללות סעיף חדש שמסייע בהערכות סיכוני העברת נתונים ("TRAs"). בהצהרתו בנוגע להנחיות המעודכנות, ה-ICO מתאר את הנחיית TRA כ"גישה חלופית לזו שהוצגה על ידי המועצה האירופית להגנה על נתונים" ואומר כי מטרתה היא "למצוא גישה חלופית, ברת השגה, המספקת את ההגנה הנכונה לאנשים שהנתונים עוסקים בהם, תוך הקפדה על כך שההערכה תהיה סבירה ומידתית". ההנחיה קובעת כי אם ארגון מסתמך על מנגנון העברה של סעיף 46 ב- GDPR UK עליו לבצע את מבחן ה- TRA שמצורף להנחיה. בהתייחסו לפסק דין שרמס 2, ההנחיה קובעת בבירור כי החלטת בית המשפט כי יש לבצע TRA לפני הסתמכות על מנגנון סעיף 46 מהווה חלק מחוקי הגנת המידע בבריטניה.
הפרלמנט האירופי מפרסם חוק חדש לאכיפת כללי סייבר
ביום 10/11/2022, הפרלמנט האירופי אימץ כללים חדשים לפיקוח ואכיפה בתחום הגנת הסייבר. הכללים החדשים יגנו גם על מה שמכונה "מגזרים חשובים" כמו שירותי דואר, ניהול פסולת, כימיקלים, מזון, ייצור מכשור רפואי, אלקטרוניקה, מכונות, כלי רכב וספקים דיגיטליים. לאחר אישורה ע"י מועצת האיחוד (ה-EDPB), החקיקה תחול על החברות הבינוניות והגדולות במגזרים נבחרים. כללים אלה מצטרפים להנחיית הרשת ואבטחת המידע (NIS) שהיוותה סנונית ראשונה בחקיקה הכלל-אירופית בנושא אבטחת סייבר, ומטרתה הספציפית הייתה להשיג רמה משותפת גבוהה של אבטחת סייבר בין המדינות החברות. היא אמנם הגדילה את יכולות אבטחת הסייבר של המדינות החברות, אך יישומה התגלה כקשה, והביא לפיצול ברמות שונות ברחבי השוק הפנימי. כדי לתת מענה לאיומים הגוברים הנשקפים מהדיגיטציה ומהזינוק במתקפות סייבר, הגישה הנציבות הצעה להחליף את דירקטיבת NIS ובכך לחזק את דרישות האבטחה, לטפל באבטחת שרשראות אספקה, לייעל את חובות הדיווח ולהציג אמצעי פיקוח מחמירים יותר ודרישות אכיפה מחמירות יותר.
הודו מפרסמת טיוטה רביעית של הצעת חוק הגנת המידע
בתאריך ה-7/12/2022 פרסמה ממשלת הודו את הטיוטה הרביעית המיוחלת של הצעת חוק הפרטיות של הודו, ששמה שונה כעת ל"הצעת החוק להגנה על נתונים אישיים דיגיטליים". החוק חל רק על נתונים אישיים הנאספים באופן באינטרנט או באופן לא מקוון, אך הם בפורמט דיגיטלי. החוק יחול על עיבוד נתונים אישיים מחוץ להודו אם העיבוד מתייחס ליצירת פרופיל כלשהו של מנהלי נתונים בהודו או להצעת מוצרים או שירותים בתוך הודו. החוק גם פוטר עיבוד נתונים בהודו של אנשים הממוקמים מחוץ להודו במסגרת הסדר חוזי חוצה גבולות. על פי החוק, הזכויות הניתנות לנושאי המידע כוללות את הזכות למידע, הזכות לתיקון והזכות למחיקה כאשר מטרת עיבוד הנתונים השתנתה. בניגוד לגרסאות קודמות, טיוטת החוק החדשה אינה כוללת הוראות לוקליזציה של נתונים ישירים. לממשלה יש את הזכות לספק הודעה לגבי המדינות שבהן נתונים אישיים עשויים להיות מועברים.
בית הדין הגבוה לצדק באירופה - גישה ציבורית למידע על מוטב כגון בעל חברה, מהווה הפרה של פרטיות
בתאריך ה-22/12/2022, בית הדין לצדק של האיחוד האירופי ("CJEU") קבע בהליך מקדמי, המהווה המלצה לבתי המשפט ארציים, כי גישתו של הציבור הרחב למידע אודות מוטבים בארגונים וחברות, מהווה התערבות חמורה בזכויות היסוד לכבוד החיים הפרטיים ולהגנה על נתונים אישיים, המעוגנות בסעיפים 7 ו-8 למגילת זכויות האדם הבסיסיות ("האמנה"). בית הדין קבע כי ההוראה נגד הלבנת הון, לפיה על המדינות החברות להבטיח כי המידע על מוטב של ישויות תאגידיות ומשפטיות אחרות המאוגדות בשטחן נגיש בכל המקרים לכל חבר בציבור הרחב, אינו תקף. בית הדין ציין כי הפיכת המידע לזמין לציבור מאפשרת למספר בלתי מוגבל של אנשים לגלות על המצב החומרי והפיננסי של בעל הזכות בנכס. המידע גם יכול להישמר ולהיות מופץ על ידי כל מי שניגש אליו, אשר, על פי בית הדין, מגביר את הפוטנציאל לשימוש רע של המידע.
בריטניה – הסתיימה בחינת ההלימה בין הגנת הפרטיות בדרום קוריאה לבריטניה
בתאריך ה-23 בנובמבר 2022, המחלקה לדיגיטל, תרבות, מדיה וספורט בממשלת בריטניה ("DCMS") הודיעה כי השלימה את בחינת התאימות של חוק הנתונים האישיים של דרום קוריאה, והגיעה למסקנה כי קיימים חוקי פרטיות חזקים מספיק כדי להגן על נתונים אישיים בבריטניה המועברים לדרום קוריאה, תוך שמירה על הזכויות וההגנות של אזרחי בריטניה. זוהי החלטת ההלימה העצמאית הראשונה שהתקבלה על ידי ממשלת בריטניה, לאחר עזיבת בריטניה את האיחוד האירופי. לאחר שתיכנס לתוקף, החלטת ההלימה תאפשר העברת נתונים אישיים של בריטניה לדרום קוריאה ללא צורך באמצעי הגנה נוספים, כגון הסכם העברת הנתונים הבינלאומי של ה-ICO.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת