עדכון רבעוני בעניין דיני פרטיות – רבעון 1/2024
אירופה
הנציבות האירופית הציגה את הדו"ח שלה, המפרט את עמדתה בנוגע להחלטות מעמד התאימות (Adequacy)הנוכחיות. הנציבות האירופית קבעה כי העברות של מידע אישי מהאזור הכלכלי האירופי (EEA) אל המדינות: אנדורה, ארגנטינה, קנדה (עבור ישויות בהן חל חוק PIPEDA הקנדי), איי פארו, האי גרנזי, האי מאן, ישראל, האי ג'רזי, ניו זילנד, שוויץ ואורוגוואי – יוכלו להתבצע ללא יישום אמצעי הגנה נוספים, מאחר ומדינות אלה מבטיחות רמת הגנה נאותה בקשר למידע אישי. ניתן לעיין בדו"ח המלא כאן.
טיוטת המדריך החדשה שפרסמה הרשות הצרפתית להגנת מידע (CNIL) מפרטת הליכים לביצוע תסקיר להערכת ההשפעות של העברת מידע (TIA). נדרש לערוך תסקיר להערכת ההשפעות של העברת מידע כאשר מידע אישי מועבר למדינה שגם אינה חלק מהאיזור הכלכלי האירופי (EEA) וגם אינה נחשבת על ידי הנציבות האירופית כמדינה בעלת רמת הגנה "נאותה" (Adequacy). העברות מידע מסוג זה יכולות להתבצע אך ורק תוך הסתמכות על אמצעי הגנה נאותים בהתאם לסעיף 46 של ה GDPR. כחלק מצעדים אלו, הצד המעביר את המידע חייב לערוך תסקיר להערכת ההשפעות של העברת המידע. מדריך זה מפרט את ההליכים בהם יש לנקוט כחלק מתסקיר הערכת ההשפעות של העברת המידע. צעדים אלו יכללו: (א) זיהוי סוג המידע המועבר; (ב) תיעוד של השיטות בהן נעשה שימוש כדי להעביר את המידע; (ג) הערכת המסגרת החוקית במדינה בה נמצאת החברה שמקבלת את המידע; (ד) זיהוי ויישום של כל אמצעי הגנה נוסף שעשוי להידרש; ו-(ה) הערכה של מידת ההגנה הנדרשת על המידע. המדריך מציע רשימה של פעולות שיכולות לסייע לבעלי השליטה במידע (controllers) ולמעבדי המידע (processors) בביצוע תסקירים אלו. ניתן לעיין בדו"ח המלא כאן.
- הוועד האירופי להגנת מידע (EDPB) פרסם מדריך להגנה על עיבוד מידע ומסירת הודעה בנוגע לאירוע אבטחת מידע.
שיטת העבודה הידועה בתור מנגנון ה-one-stop-shop (מענה מלא במקום אחד) מאפשרת לעסקים הפועלים במדינות שונות באיחוד האירופי להגביל את האינטראקציה שלהם לאינטראקציה מול רשות הגנת מידע אחת בלבד – רשות הפיקוח המובילה (Lead Supervisory Authority), וזאת במקום להתמודד עם הרשויות הספציפיות הפועלות בכל מדינה ומדינה בה מתגוררים הלקוחות או המשתמשים שלהם. הוועד האירופי להגנת מידע פרסם מדריך המתייחס למקרים המתרחשים במסגרת מנגנון ה-one-stop-shop באיחוד האירופי, תוך התמקדות ספציפית באבטחת עיבוד מידע ומתן הודעה בנוגע לאירוע אבטחה לפי ה-GDPR. המדריך מציג בחינה מעמיקה של פעולות אכיפה כמפורט בסעיפים 32, 33 ו-34 ל-GDPR. מטרתו העיקרית של מדריך זה היא לספק הבנה טובה יותר של האופן שבו הרשויות להגנת מידע פירשו ויישמו את הוראות ה-GDPR בתרחישים שונים, לרבות מקרים כמו מתקפות סייבר ואיומים לשימוש בתוכנות כופר. המדריך מכסה מגוון נושאים, כגון הסבר על אמצעי זהירות ואבטחה טכניים וארגוניים וכן עניינים הקשורים בטיפול באירועי אבטחה שהתרחשו עקב טעות אנוש. ניתן לעיין במדריך השלם כאן.
הוועד האירופי להגנת מידע השיק כלי לביקורת אתרים שנועד לסייע לאמוד את מידת עמידתו של האתר בהוראות ה-GDPR בכל הקשור באיסוף ואחסון של מידע אישי. כלי זה עומד לרשות גורמי ביקורת משפטיים וטכניים מטעם הרשויות להגנת מידע, וכן עבור controllers ו processors המעוניינים לערוך ביקורת עצמית של אתר האינטרנט שלהם. הכלי הוא תוכנה חינמית בקוד פתוח, לפי הגדרת מונח זה בתקנות האיחוד האירופי, וניתן להוריד אותו בקישור הבא. הכלי תוכנן כדי להקל על תהליך הביקורת, במיוחד עבור אנשים נטולי מומחיות טכנית. תפקידו העיקרי הוא הפקת דוחות המספקים מידע מפורט, בעיקר בנוגע לאיסוף של מידע אישי באתרי אינטרנט באמצעות עוקבים (טראקרים). בהתבסס על הדוחות האמורים, המשתמש יוכל להעריך האם האתר עומד בדרישות החלות. כמו כן, הכלי מספק אפשרות להעריך את עמידת האתר בדרישות השונות באמצעות בדיקה של תרחישים שונים, כגון הסכמה או סירוב לאיסוף קובצי Cookie. בנוסף, לכלי זה יכולת תאימות גם לכלים אחרים שפורסמו על ידי הוועד והוא מאפשר למשתמשים לייבא פלט מאותם הכלים אל כלי הביקורת הזה.
הנציבות האירופית שלחה לחברת מטא (Meta) בקשה פורמלית לקבלת מידע (RFI) לפי חוק השירותים הדיגיטליים. בקשה זו התמקדה באפשרות של משתמשים לשלם על מנוי כדי לא לקבל פרסומות ביישומי פייסבוק ואינסטגרם. בפרט, מטא התבקשה לפרט את המאמצים בהם היא נוקטת כדי לעמוד בהתחייבויותיה בכל הקשור לנהלי פרסום, מערכות המלצה והערכת סיכונים בכל הקשור לאופציית תשלום עבור המנוי. פעולה זו באה עקב תלונות שהוגשו על ידי ארגונים מרשת ארגון הצרכנים האירופי (European Consumer Organization) כנגד מודל ה-"תשלום או הסכמה" של מטא, בהן טענו התובעים כי מטא אינה עומדת בעקרונות של עיבוד מידע הוגן, הגבלת איסוף המידע והגבלת מטרת עיבוד המידע בשל כמות הגדולה של המידע שנאסף על ידי מטא, הניצול לרעה של מעמדה הדומיננטי בשוק וחוסר השקיפות בהתנהלות שלה. בקשת מידע זו מבוססת על שאילתות קודמות שנשלחו למטא על ידי הנציבות האירופית החל מחודש אוקטובר 2023.
- הרשות הצרפתית להגנת מידע (CNIL) אוכפת הסכמה לאיסוף מידע.
במסגרת פעולות האכיפה האחרונות של הוראות ה-GDPR, הרשות הצרפתית להגנת מידע (CNIL) הטילה קנסות משמעותיים על שתי חברות, TAGADAMEDIA ו-FORIOU, בגין שימוש במידע שסופק על ידי סוחרי מידע (data brokers) מבלי לוודא שהתקבלה הסכמה מספקת מהאנשים שהמידע שלהם נמכר (נושאי המידע). חברת TAGADAMEDIA נקנסה ב-75,000 אירו בגין טפסי הסכמה מטעים שעודדו באופן מרומז את נושאי המידע להסכים לשתף את המידע שלהם עם צדדים שלישיים, מבלי להעניק להם ברירה בצורה שקופה. הטפסים הציגו את האופציה המאשרת את שיתוף המידע בצורה ברורה יותר לעין בהשוואה לאפשרות הסירוב, ובכך לא אפשרו למשתמשים למסור הסכמה מדעת באופן חופשי. במקרה דומה, חברת FORIOUT נקנסה בסכום של 310,000 אירו בגין אי-עמידה בכללי ה-GDPR בנוגע לקבלת ההסכמה, ובפרט בנוגע למידת הבהירות של הבחירה האם לאשר או לדחות את שיתוף המידע האישי. הרשות הצרפתית להגנת מידע מצאה כי החברה השתמשה במידע אישי שמסרו סוחרי המידע מבלי לוודא את תוקף ההסכמה של נושאי המידע, אשר לא ניתנה באופן חופשי או מדעת. הרשות הצרפתית להגנת מידע הדגישה כי FORIOU נשאה באחריות לוודא כי הליך איסוף הסכמה תקף אכן מתקיים בפועל והבהירה כי לא די בהסתמכות על התחייבות חוזית כללית. הרשות הצרפתית להגנת מידע ציינה כי שמה של FORIOU לא הופיע כשותפה על גבי הטפסים בהם נאספו נתוני הלקוחות הפוטנציאליים. קנסות אלו מדגישים את הצורך של בתי עסק לתכנן טפסי הסכמה שקופים, המיידעים את המשתמשים באופן ברור באשר לאפשרות הבחירה שלהם בכל הנוגע לשיתוף מידע אישי, וכן לבחון בקפדנות את האופן בו נאספות הסכמות על ידי צד שלישי.
ישראל
מסמך זה, שפורסם במרץ 2024 במטרה להתמודד עם השימוש הגובר באמצעים דיגיטליים לצורך העברת מידע רפואי, מדגיש את הצורך של ארגונים וגורמים רפואיים להגן על פרטיות מטופליהם והן מפרט את האתגרים ואת הסיכונים הנלווים להם. ההמלצות העיקריות כוללות הפחתת ההסתמכות על תוכנות שלא תוכננו במיוחד לצורך עיבוד של מידע רפואי, הקפדה על עיבוד מידע אישי בהיקף שלא עולה על המידה המינימלית הנדרשת כדי לקבל שירותים רפואיים, יישום אמצעי אבטחה מתאימים, מחיקת מידע של המטופל כאשר הוא כבר לא נחוץ וקביעת מדיניות ארגונית ברורה.
הרשות להגנת הפרטיות פרסמה מסמך מדיניות בחודש פברואר 2024 אשר כתגובה לשימוש הגובר במידע ביומטרי של עובדים כאמצעי למעקב אחר נוכחות עובדים. מסמך זה התווה את השיקולים הנדרשים עבור ארגונים בהקשר זה והדגיש את החששות העולים בנוגע לפרטיות העובדים. העקרונות העיקריים כוללים מידתיות באימוץ מערכות ביומטריות, שקיפות ותקשורת ברורה מול העובדים בנוגע לאיסוף ושימוש במידע, השגת הסכמת העובדים לאיסוף מידע ביומטרי ושמירה על עקרון הגבלת המטרה על ידי איסוף מידע אך ורק כאשר הדבר נחוץ לצורך תכלית מסוימת. המלצתנו למעסיקים הינה למזער את היקף האיסוף והשמירה של מידע ביומטרי ולמחוק מידע זה כאשר כבר אין בו צורך.
בישראל, וועדת החוקה, חוק ומשפט (להלן: "הוועדה") ממשיכה להתכנס ולדון בהצעת תיקון מס' 14 לחוק הגנת הפרטיות, תשמ"א-1981 ("תיקון 14"). תיקון 14 ירחיב באופן משמעותי את סמכויות האכיפה של הרשות להגנת הפרטיות, יעדכן את נוסח העבירות הקשורות במאגרי מידע וימזער את חובת הרישום של מאגרי מידע. הוועדה עוסקת בימים אלו בדיונים בנוגע לדרישות היידוע של נושאי מידע (חלף רישום מאגרי מידע), חיזוק החובות להגבלת המטרה מכוח החוק והגנות אפשריות בקשר עם הפרת החוק.
ארה"ב
- דיני הגנת מידע חדשים ברמה המדינתית: ניו המפשייר וניו ג'רזי.
על רקע המגמה הכללית בארה"ב של חיזוק מנגנוני ההגנה על פרטיות מידע ברמה המדינתית, אושרה לאחרונה חקיקת הגנת פרטיות מקיפה במדינות ניו המפשייר וניו ג'רזי.
בית המחוקקים של ניו המפשייר חוקק את חוק פרטיות המידע הצרכני (Consumer Data Privacy Bill). החוק החדש יחול על בתי עסק שהם בעלי שליטה במידע או מעבדים של מידע אישי של יותר מ-35,000 צרכנים בניו המפשייר, או על עסקים שהם בעלי שליטה או מעבדים של מידע אישי של למעלה מ-10,000 צרכנים בניו המפשייר ויותר מ-25% מהכנסותיהם נובעות ממכירת מידע אישי. ההוראות העיקריות כוללות הטלת חובה על בעלי השליטה במידע למסור לצרכנים פרטי מידע מסוימים בנוגע לנהלי איסוף המידע שלהם והטלת חובה לספק זכויות צרכניות מסוימות, לרבות מתן אפשרות לביטול הסכמה (א) לעיבוד מידע אישי לצורך פרסום ממוקד; (ב) למכירה כלשהי של מידע אישי; או (ג) לביצוע סיווג לפי פרופיל סטטיסטי (פרופיילינג). החוק ייכנס לתוקפו ביום ה-1 בינואר, 2025.
במדינת ניו ג'רזי נחקק חוק חדש, חוק הגנת פרטיות המידע של ניו ג'רזי (New Jersey Data Privacy Act). על אף קווי הדמיון בין חוק זה לבין חוקי הגנת הפרטיות האמריקאים, קיימים גם מספר הבדלים. החקיקה חלה על בתי עסק שהם בעלי שליטה או מעבדים של מידע אישי של יותר מ-100,000 צרכנים בניו ג'רזי, או 25,000 צרכנים אם ההכנסות של אותם בתי העסק נובעות ממכירת מידע אישי (ללא רף הנקוב באחוזים, כפי שקובעים דיני הפרטיות האחרים במדינות בארה"ב). בעלי שליטה המשתמשים במידע אישי לצורך פרסום ממוקד, מכירות מידע או פרופיילינג מחויבים לאפשר לצרכנים לבטל את הסכמתם באמצעות מנגנון אוניברסלי. יתר על כן, החקיקה אימצה הגדרה מרחיבה של מידע רגיש, אשר כוללת גם מידע פיננסי, מידע בנוגע לגזע, דת, אזרחות, מיקום גיאוגרפי או מעמד של אנשים המזדהים כטרנסג'נדרים או א-בינארים. החוק ייכנס לתוקפו ביום ה-1 בינואר, 2025.
נציבות הסחר הפדרלית האמריקאית פרסמה חוות דעת העוסקת בפרקטיקות שהיא רואה בהן פרקטיקות בלתי הוגנות או מטעות, כגון שיתוף מידע אישי עם צדדים שלישיים או שימוש במידע אישי לצורך אימון כלי בינה מלאכותית, לאחר שינוי באופן סמוי של תנאי השירות או מדיניות הפרטיות של הארגון, כך שהשינויים יחולו באופן רטרואקטיבי. אסור לחברה להתחיל ולאסוף מידע אישי בכפוף להתחייבויות מסוימות להגנת הפרטיות ולאחר מכן לתקן את התחייבויות אלו באופן חד צדדי מבלי למסור הודעה הוגנת לנושאי המידע. במידת האפשר, יש לעדכן את נושאי המידע בנפרד אודות תיקון כזה של התנאים. במקרים בהם לא מתאפשרת הודעה נפרדת, יש בכל זאת למסור הודעה ברורה ופומבית.
נציבות הסחר הפדרלית האמריקאית חשפה את התיקונים המוצעים לכללי הגנת הפרטיות של ילדים באינטרנט (COPPA) אשר, אם יחוקקו, יסמנו את השינוי הראשון בגישת הנציבות לכללי ה-COPPA מאז שנת 2013. תיקונים אלו נועדו להציב מגבלות נוספות על שימוש וגילוי של מידע אישי של ילדים. הנציבות מציעה שינויים מסויימים, לרבות: (א) דרישה לקבל הסכמה נפרדת מההורים לגילוי מידע לצד שלישי, למעט כאשר גילויים אלו מהווים חלק בלתי נפרד מהשירות המסופק; (ב) איסור על משלוח הודעות דחיפה (פושים) לילדים לצורך הגדלת השימוש בשירות; (ג) עיגון בחקיקה של ההנחיות הקשורות בטכנולוגיה חינוכית (edtech), לרבות איסור על שימוש מסחרי במידע אישי של ילדים – כמפורט כאן; ו-(ד) הרחבת הגדרת המונח "מידע אישי" כך שיכלול גם מזהים ביומטריים.
בתחילת חודש מרץ, השיקה הסוכנות להגנת הפרטיות של קליפורניה (CPPA) את מרשם סוחרי המידע, הדורש מעסקים שהוסמכו לעסוק כסוחרי מידע להירשם במרשם. צרכנים יכולים לקבל גישה לפרטי יצירת הקשר של סוחרי המידע הרשומים במרשם ולבקש מהם למחוק את המידע האישי שלהם, הכל לפי הנחיית ה-CCPA. החל משנת 2026 ואילך, אנשים פרטיים יוכלו לבקש למחוק את המידע האישי המוחזק אצל סוחרי המידע ישירות מול ה-CPPA, באופן שאמור לפשט את התהליך.