דיני פרטיות | עדכון רבעוני | 2/24

22 יולי, 2024


אירופה

הרשות הצרפתית להגנה הפרטיות (CNIL) קנסה את HUBSIDE.Store ("החברה") ב-525,000 אירו על שימוש לא חוקי במידע אישי שנרכש מסוחרי מידע לצורך דיוור ישיר. סוחרי המידע השתמשו בטפסי הסכמה מטעים ולכן ההסכמה שהתקבלה מנושאי המידע אינה  תקפה. ה-CNIL מצאה כי, על אף שהחברה חייבה את סוחרי המידע להבטיח את קבלת ההסכמה המתאימה, היא לא וידאה בפועל שההסכמה התקבלה כראוי, ולכן לא עמדה בחובתה ליידע את נושאי המידע על איסוף מידע אישי כנדרש על פי ה- GDPR. ה- CNIL פרסמה לאחרונה מספר החלטות בנוגע לשימוש במידע אישי שנרכש מסוחרי מידע, יש לנקוט זהירות מיוחדת בהקשר זה, כדי לוודא עמידה בכללי ה-GDPR.

הרשות ההולנדית להגנת פרטיות (DPA) פרסמה הנחיות בנוגע ל- scraping, בהן היא הדגישה כי רוב שיטות ה-scraping. אינן תואמות את ה-GDPR. בפרט, הרשות מגבילה את השימוש ב׳אינטרס לגיטימי׳ כבסיס חוקי רק לסיטואציה בה האינטרס הלגיטימי מושתת בחוק, בשונה מאינטרסים שהנם מסחריים בלבד. הרשות ממליצה לשקול מספר גורמים כאשר קובעים את נחיצות ה-scraping, כגון המקורות המשמשים לצורך ה-scraping  ומשך ה-scraping, וממליצה להעריך: (i) האם המידע פורסם על ידי נושא המידע עצמו, או על ידי צד שלישי; (ii) מהן ציפיות נושאי המידע לגבי עיבוד המידע שלהם; ו-(iii)  מהם תנאי השימוש של האתרים הרלוונטיים. ניתן לעיין בעדכון לקוחות המלא כאן.

ה-EDPB פרסם חוות דעת בעקבות בקשה של הרשויות להגנת פרטיות בהולנד, נורווגיה והמבורג. חוות דעת זו מדגישה את הצורך בהסכמה תקפה במודלים של "Pay-or-Okay" המשמשים פלטפורמות מקוונות גדולות לפרסום מבוסס התנהגות. ה-EDPB מצא כי, ברוב המקרים, מודלים של "Pay-or-Okay" אינם עומדים בדרישות ה-GDPR כיוון שמודלים אלו מעודדים משתמשים להעניק את הסכמתם לשימוש במידע שלהם בקשר לפרסום מבוסס התנהגות, ובכך פוגמים בסיווג ההסכמה ככזו שניתנה בחופשיות ולכן היא אינה נחשבת להסכמה לפי כללי ה-GDPR. ה-EDPB קרא לפלטפורמות להציע אלטרנטיבה שוות ערך למודלים אלה, שאינה כוללת פרסום מבוסס התנהגות או דרישת תשלום, כמו גרסה חינמית של השירות המציגה למשתמש פרסומות רגילות, שאינן מבוססות על התנהגות אותו המשתמש.

הרשות הצרפתית (CNIL) שלחה הודעה רשמית לחברה מסויימת בעקבות תלונה על איסוף מידע אישי מיותר במהלך תהליך הגיוס. ה-CNIL הבהירה כי עקרון צמצום איסוף המידע בגיוס מתיר איסוף מידע שרלוונטי ישירות לעבודה או להערכת מיומנויותיו המקצועיות של המועמד בלבד, כדי למנוע חשש להפליה בלתי חוקית על בסיס גיל, מצב משפחתי או עניינים דומים. כשמעסיקים דורשים מידע ממועמדים, הם צריכים להגביל את עצמם למידע שמסייע בזיהוי של המועמדים המתאימים ביותר למשרה, מידע שבודק את מיומנויותיהם וכישוריהם. אין לאסוף במהלך תהליך הגיוס מידע נוסף (כגון, מצב משפחתי של המועמד, מספר ביטוח לאומי). מידע זה ניתן לדרוש רק לאחר שהמועמד התקבל לעבודה. ה-CNIL הדגישה, שבמהלך הגיוס, אסור לחברות לדרוש מידע על בני משפחה של המועמד, מקום לידתו, אזרחות מסוימת או פרטי שכר ממקומות עבודה קודמים.

בית המשפט העליון המנהלי באוסטריה חידד את היקף האיסור על קבלת החלטות אוטומטית לפי סעיף 22 של ה-GDPR. המקרה הנדון עסק בשירות התעסוקה הציבורי האוסטרי ("AMS"), המסייע לשילוב דורשי עבודה בעולם המקצועי. ה-AMS השתמשה במערכת AI "האלגוריתם של AMS" , כדי לסווג מחפשי עבודה על בסיס הסבירות  להשתלבותם מחדש בשוק העבודה. השירותים שסיפקה ה-AMS הותאמו על פי סיווג זה.

תחילה, הרשות להגנת פרטיות האוסטרית קבעה שהשימוש באלגוריתם של AMS מהווה קבלת החלטות אוטומטית שהינה אסורה לפי ה-GDPR. ה-GDPR אוסרת קבלת החלטות אוטומטית על בסיס עיבוד מידע אישי ללא הסכמה, כאשר עיבוד זה ישפיע משפטית או באופן משמעותי אחר על הנבדק. בעקבות ערעור על החלטת הרשות, בית המשפט העליון המנהלי אישר את עמדת הרשות. נטען כי גם אם התוצאה המיידית של  האלגוריתם של AMS  לא השפיעה ישירות על הנבדק באופן משפטי, הסיווג עצמו יכול להיחשב כבעל השפעה על הנבדק, שכן הטיפול לאחר מכן על ידי אנשי ה-AMS מתבסס במידה רבה על סיווג זה.

ישראל

הרשות להגנת הפרטיות בישראל הודיעה על פרסום הצעת חוק לתיקון חוק תובענות ייצוגיות, התשס"ו-2006 על ידי משרד המשפטים לשם התייעצות עם הציבור. ההצעה נועדה לאפשר תביעות ייצוגיות בעילה של פגיעה בפרטיות, כולל:  (i) הפרות שונות לפי חוק הגנת הפרטיות, התשמ"א-1981; (ii) תביעות הנוגעות לניהול או אחזקת מאגר מידע הדורש רישום; ו-(iii) הפרות של תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 שגורמות לאירועי אבטחה חמורים ביחס לחלק מהותי ממאגר מידע או המשפיעים על מידע של יותר מ 1,000 איש.

הרשות להגנת פרטיות בישראל פרסמה באפריל הנחיות לגבי השימוש בתוכנות קוד פתוח בקשר עם מאגרי מידע המכילים מידע אישי ("ההנחיות"). לפי ההנחיות, תוכנות קוד פתוח עשויות להכיל חולשות או מגבלות מסוימות שעלולות לסכן את אבטחת המידע הנשמר במאגר ולהביא לאירוע אבטחת מידע. ההנחיות מתייחסות לנושאים הבאים:

תיעוד. לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 ("התקנות"), בעלי מאגרי מידע נדרשים לייצר מסמכים מסוימים המספקים פרטים על מערכות המחשוב בהן מוחזק מידע אישי. ההנחיות מציינות כי מסמכים אלו צריכים לפרט את תוכנות הקוד הפתוח הכלולות במערכות או שהינן  בשימוש במערכות הללו, ואת תנאי הרישוי החלים.

תחזוקה. התקנות מחייבות בעלי מאגרי מידע לתחזק כראוי את המערכות המכילות מידע אישי ולוודא עדכוני תוכנה רגילים של מערכות אלו. לכן, ההנחיות אוסרות במפורש על השימוש בתוכנות קוד פתוח שאינן נתמכות או מתוחזקות.

רשתות ציבוריות. ההנחיות מחייבות בעלי מאגרי מידע לוודא שמאגריהם אינם מחוברים לרשתות ציבוריות ללא הגנה באמצעי אבטחה מספקים. במיוחד, עליהם לנקוט בצעדים על מנת לוודא שכל תוכנת קוד פתוח במערכותיהם נקייה מתוכנות זדוניות.

ספקי שירותים. לפני התקשרות עם ספק שירותים חיצוני, בעלי מאגרי מידע חייבים להעריך את הסיכונים שנובעים משימוש בתוכנת קוד פתוח על ידי ספק זה.

הערכת סיכונים. בעלי מאגרי מידע חייבים להעריך את הסיכונים שנובעים משימוש בתוכנות קוד פתוח לפני פיתוח או רישוי מערכות על בסיסן.

ממונה על תוכנות קוד פתוח. יש למנות ממונה על תוכנות קוד פתוח, שיהיה אחראי להבטחת התחזוקה והאבטחה המתמשכת של תוכנות הקוד הפתוח המשמשות את הארגון.

ניתן לעיין בעדכון לקוחות המלא כאן.

ארצות הברית

  • חקיקה חדשה בנושא פרטיות בארה"ב.

בחודשים האחרונים, מדינות שונות בארה"ב קידמו  חקיקה  בנושא פרטיות, דבר המבטא מחוייבות גוברת להגנה על מידע אישי. חוק הגנת מידע של צרכנים של קנטאקי, שיכנס לתוקף ב-1 בינואר 2026, כולל סף חלות מינימלי (בקשר לקריטריונים הקשורים לגודל העסק, כמות המידע המעובד או אופי פעילויות עיבוד) טיפוסי לחוקי פרטיות במדינות ארה"ב. חוק הגנת הפרטיות של נברסקה, שייכנס לתוקף ב-1 בינואר 2025, דומה לזה של טקסס ואינו חל על עסקים קטנים. חוק הגנת הפרטיות של מינסוטה מתיישר עם חוקים אחרים במדינות ארה"ב והוא חל על עסקים הפועלים במינסוטה או מציעים מוצרים או שירותים לתושבי מינסוטה. חוק זה ייכנס לתוקף ב-31 ביולי 2025. לבסוף, מרילנד העבירה את חוק הגנת הפרטיות המקוונת של מרילנד, שייכנס לתוקף ב-1 באוקטובר 2025, וכולל גם הוא ספי חלות מוכרים.

ב-7 באפריל 2024, חברים בוועדת האנרגיה והמסחר של בית הנבחרים, כמו גם חברי וועדת הסנאט למסחר, מדע ותחבורה הציגו את טיוטת חוק זכויות הפרטיות האמריקאי ("החוק"). החוק נועד לאחד חוקי פרטיות מדינתיים שונים למערכת פדרלית מאוחדת. הטיוטה הנוכחית של החוק כוללת מספר הוראות מרכזיות, בין השאר :

היקף. החוק חל על "גופים מכוסים"(“Covered Entities”) , שהם גופים שקובעים את המטרה והאמצעים לעיבוד מידע, וכולל עסקים שנמצאים תחת תחום השיפוט של ועדת הסחר הפדרלית של ארה"ב, ישויות המספקות שירותי תקשורת או תחבורה חיוניים וארגונים ללא מטרות רווח. החוק במפורש אינו חל על עסקים קטנים, המוגדרים באופן מפורט יותר בחוק עצמו.

סוגי מידע. החוק חל על עיבוד מידע שמזהה, קשור או ניתן לקישור סביר ליחיד, לרבות בשילוב עם מידע אחר ("מידע"). המונח "יחיד" מתייחס לאדם המתגורר בארה"ב. סוגי מידע שונים, כולל מידע לא מזוהה, מידע זמין לציבור ומידע על עובדים, אינם נחשבים למידע במסגרת החוק.

קטגוריזציה של הגופים המכוסים. החוק מסווג גופים מכוסים לקבוצות ספציפיות, כגון מחזיקי מידע גדולים, סוחרי מידע ורשתות חברתיות בעלות השפעה גבוהה. גופים הנכללים בקטגוריות אלו כפופים לחובות מחמירות יותר מאשר גופים מכוסים אחרים.

חובות. גופים מכוסים חייבים למלא מספר חובות, כולל אימוץ פרקטיקות לצמצום איסוף ועיבוד מידע, שקיפות, מתן זכויות מסוימות לסירוב (opt-out, כולל לגבי פרסום ממוקד), וחובות הקשורות לעיבוד מידע באמצעות אלגוריתמים.

קשר לחוקים אחרים. בכפוף לחריגים מסוימים, החוק גובר על חוקי פרטיות מדינתיים שאינם מגזריים.

מדינות ארה"ב מעבירות חוקים לשיפור זכויות הפרטיות של ילדים.

  • מדינות קולורדו ומרילנד העבירו חוקים לשיפור ההגנה על מידע אישי של ילדים. החוק בקולורדו, SB 41, חל על כל ארגון השולט במידע אישי ומנהל עסק בקולורדו, או על כל ארגון שמשווק מוצרים או שירותים לתושבי קולורדו (ללא קשר לרמת ההכנסות של אותו גוף). חוק זה כולל גם הוראות שונות כיצד להימנע מפגיעה בקטינים וכיצד להגן טוב יותר על זכויות הפרטיות של קטינים. חוק הילדים במרילנד קובע מספר חובות ל"גופים מכוסים" (גופים שהחוק חל עליהם), לרבות: (i) דרישה מגופים מכוסים המציעים מוצרים מקוונים שעלולים להיות נגישים לילדים לבצע תסקיר השפעה על פרטיות של הילדים; (ii) איסור על עיבוד מידע אישי של ילדים באופן שאינו עולה בקנה אחד עם טובת הילד; ו-(iii) איסור על פרופיילינג של ילדים, אלא אם הפרופיילינג הוא לטובת הילד.
  • בית המשפט דוחה תביעות על scraping.

בית משפט בקליפורניה דחה תביעה שהגישה X (לשעבר טוויטר) נגד Bright Data, חברה ישראלית למודיעין עסקי, בשל האשמות על scraping לא חוקי.  X טענה ש- Bright Data אספה מידע באמצעות scraping ומכרה תוכן מפלטפורמת X ללא הרשאה, פעולות שהפכו את ה-scraping ללא חוקי. אולם, בית המשפט קבע כי פעולות Bright Data לא הפרו שום הסכם עם X ולא פגעו בזכויותיה של X. בנוסף, ההחלטה הוסיפה כי ה-scraping הוא חוקי, מכיוון שתוכן שנוצר על ידי משתמשי X נגיש לציבור וגם שייך למשתמשים עצמם – שמחזיקים בזכויות לתוכן – ולא ל-X.


פרסום זה מוגש כשירות כללי ללקוחות וידידי המשרד ואינו תחליף לעצה משפטית פרטנית. איננו ממליצים לפעול על פי המידע המובא לעיל ללא קבלת עצה משפטית מגורמים מוסמכים, בהסתמך על העובדות והנסיבות הספציפיות של כל מקרה.

רוצים לדעת עוד?
צרו קשר

שירי מנשה

ראש מחלקת שיווק ופיתוח עסקי

מתן בר-ניר

יועץ תקשורת, OH! PR