.png){kind=logo}
החלטת התאימות של ישראל עומדת למבחן כפול ועשויה להישלל
מדינת ישראל נהנית בעשור האחרון מהחלטת ׳תאימות׳ (Adequacy Decision), בהתאם לסעיף 45 לתקנות הגנת המידע האירופיות (GDPR), המאפשרת זרימת מידע יחסית חופשית בין מדינות האיחוד האירופי לישראל, החלטה שנבחנת מחדש בימים אלו.
ללא החלטה בתוקף, יוקשחו התנאים להעברת מידע מהאיחוד האירופי לישראל, מה שעשוי להוביל להשלכות כלכליות הרות משקל על הפעילות של המשק הישראלי בתחומי האיחוד האירופי.
עתה, כאשרי בעוכריה של ישראל עומדת (ברגיל) העובדה כי הדין האירופי משתנה ומתקדם בקצב מסחרר, לעומת סטגנציה בה שרוי הדין הישראלי בהקשרי פרטיות, גם הרפורמה המוצעת בישראל נותנת אותותיה, כאשר האירופאים רואים בכבילת בתי המשפט כצעד המרחיק אותנו עוד מחידוש ההחלטה; כך אמר ראש הנציבות הנורווגית להגנת מידע, טוביאס ג׳ודין, בביקורו בארץ:
״Over the years the threshold to obtain adequacy has risen a bit, so nowadays the threshold is very high,” he explained. “It is very important in these assessments that the judiciary is actually independent, that you have independent oversight and redress… A possible consequence would be that adequacy for Israel would be revoked because it no longer meets the criteria. That means that suddenly you can't transfer data freely from Europe to Israel anymore, and probably European companies would avoid Israeli companies as well… They would be in the same category as China. ״
מקור: https://www.calcalistech.com/ctechnews/article/rjsnuxt2i
הרשות להגנת הפרטיות - מתמחרת מחדש פגיעה בפרטיות
בכנס שנערך מוקדם יותר החודש, התייחס ראש הרשות להגנת הפרטיות, גלעד סממה, לחובות ארגונים מכוח חוק הגנת הפרטיות ותקנות אבטחת המידע מכוחו, והדגיש את חובות הדיווח על אירועי אבטחת מידע.
בכנס התייחס סממה גם להצעות לתיקון חוק הגנת הפרטיות, אשר מונחות מחדש על שולחן הכנסת, ואמר כי: ״צפויים להיות מוטלים קנסות גבוהים יותר על הפרות התקנות לאבטחת מידע, וציין כי "אנחנו "מתמחרים" מחדש את הפרטיות. בידי הרשות להגנת הפרטיות כלים מודיעיניים שיודעים לזהות הפרות של החוק,והמטרה היא שכל חברה שמחזיקה במידע אישי תבין שמדובר בנכס של האזרח והיא צריכה לשמור עליו. אחרת היא חשופה לסנקציות כלכליות בסכומים גבוהים במיוחד".
מקור: https://www.funder.co.il/article/144210
צוותים רפואיים ׳מתהדרים׳ בצילום מטופלות בחדרי ניתוח
בדיון בכנסת שמטרתו קידום מעמד האישה, מנהלת הלובי למלחמה באלימות מינית, יעל שרר, הציגה כי ״אנשי צוות רפואי מצלמים את עצמם עם מטופלות בזמן שהן נמצאות בעיצומו של הליך רפואי ובהרדמה מלאה״. לאחר מכן, התמונות משותפות באפליקציות ואתרי היכרויות כגון Tinder. בעקבות הגילוי החמור והחשוב, מנכ״ל משרד הבריאות, בר סימן טוב,יצא באזהרות חמורות בגין פגיעה בפרטיות מטופלות, בזכויותיהן, בכבודן, באופן שאף עלול לעלות כדי עבירות מין, כך במכתב מטעם משרדו.
מקור: https://www.ynet.co.il/news/article/rj11bw85nj
קנס מנהלי בסך 95 אלף ₪ הוטל על עובד מדינה שניצל גישתו למאגר מידע ממשלתי ופרסם מידע אישי בקבוצת פייסבוק
הקנס הוטל בגין מספר הפרות של חוק הגנת הפרטיות, שהתבצעו על ידי עובד רשות המיסים אשר ניצל את הרשאותיו למערכות שונות, ופרסם מידע פרטי שדלה, בקבוצת פייסבוק, במספר מקרים שונים.
נזכיר כי על פי הנהוג באירופה, כך גם על פי קביעה נוספת בספרד לאחרונה, מנהלי קבוצות בפייסבוק נחשבים לבעלי השליטה במידע, והאחריות בגין הפרסומים הנעשים בהן מוטלת (גם) לפתחם. כאן, נראה כי הרשויות השונות פנו למנהלי הקבוצה, אולם על אלו לא הוטלו סנקציות.
https://www.gov.il/he/departments/news/fine95k
תקן ISO חדש (ISO 31700) - עיצוב לפרטיות
החובה לאפיין, לתכנן ולעצב שירותים ומוצרים בהתאמה לסוגיות פרטיות, עלתה לסדר הציבורי ב2009 בקנדה, שם נהגתה והפכה לחלק מהחקיקה המקומית בנושאי פרטיות (PIPEDA). חובה זו גם מושרשת בדין האירופי (GDPR). בישראל, תפיסה זו אינה מעוגנת בחוק, אולם מומלצת על ידי הרשות להגנת הפרטיות, כך ממדריך שפרסמה בעבר (כאן).
עתה, מכון התקנים הבינלאומי עתיד לפרסם תקן חדש (31700). התקן מדריך ומנחה, באמצעות 30 דרישות שונות, כיצד לעצב ולתכנן מערכות להגנת אופטימלית, או לטובת מזעור סיכונים, כברירת מחדל, בקשר עם פרטיות משתמשים. נציין כי בכל הקשור לציות לדין האירופי החל בעניין (Art.25 GDPR), ייתכן ויקבע בהמשך כי עמידה בתקן תיחשב כציות לחובה הרלוונטית ב-GDPR.
קראו עוד - https://iapp.org/news/a/iso-set-to-adopt-privacy-by-design-standard/
מטא מובילה מהלך משפטי כנגד ׳קצירת המידע׳ מהפלטפורמות שלה, ותובעת חברה בבעלות ישראלית
מטא נוקטת בצעדים כנגד חברות האוספות מידע ׳גלוי׳ המצוי על גבי הפלטפורמות השונות שלה - אינסטגרם ופייסבוק,ומגישה תביעה כנגד Voyager Labs, חברה ישראלית, בבית המשפט בקליפורניה.
נושא איסוף ושימוש במידע מסוג זה נדון בהרחבה יחסית בתביעת LinkedIn כנגד HiQ Labs - תיק שבכותרתו נישאו כותרות המתירות את פעולת קצירת המידע, כאשר במרכזו עמדה בקשה (שנדחתה) לצו מניעה מטעם LinkedIn כנגד HiQ. עתה, נתקבלה החלטה חדשה אשר מצננת מעט את הקודמת, שכן אפשרה לפתוח בהליך מחודש לאור חוסר פעילות של HiQ בשנים האחרונות.
נזכיר כי זו אינה פעם ראשונה ש Meta נוקטת בפעולות משפטיות בעניינים אלו, אשר במרכזן אכיפת תנאי השימוש שלה, כאשר תביעה זו מצטרפת לתביעות כנגד NSO, Octopus ועוד רבות.
https://about.fb.com/news/2023/01/leading-the-fight-against-scraping-for-hire/
הרשות להגנת הפרטיות ביוון מטילה קנס על הפרת ה-GDPR, לאור אי שיתוף פעולה, על חברה בבעלות בכיר אמ״ן לשעבר
החברה, אינטלקסה, הפעילה כלי סייבר התקפי המדביק טלפונים ניידים ברוגלות, נקנסה ב-50,000€. לפי הרשות להגנת הפרטיות ביוון, כלי הרוגלה של החברה שמשו לריגול אחר עיתונאים, וכיכבה במרכז פרשיית האזנות סתר ביוון, עת עלה שהיא שימשה למעקב אחר עיתונאי החוקר פרשיות שחיתות במדינה. עוד, נמצא כי נעשה שימוש בכלי כנגד יו״ר האופוזיציה ושר התשתיות ביוון.
הרשות ביוון ניסתה לקבל ידיעות ומסמכים מהחברה, אולם לשיטת הרשות היוונית החברה לא שיתפה פעולה באופן הראוי לקידום החקירה בעניין מה שמכונה ׳ווטרגייט של יוון׳. הרשות אף הגיעה למשרדים הרשומים של החברה ביוון ולמרכזי פעילותה לכאורה, אולם מצאה את משרד רו״ח המקומי של החברה ומשרדים אחרים ריקים. לפי הודעת הרשות, לאור זמני המענה הממושכים וסירוב למסור מידע רלוונטי, הפרה החברה את סעיף 31 ל-GDPR, בגין כך הוטל עליה הקנס, ואף ניתנה הוראה לחברה להעביר את המידע הדרוש באופן מיידי.
מקור - https://www.haaretz.co.il/news/security/2023-01-16/ty-article/00000185-ba88-dee4-ad87-ba9836480000
הרשות להגנת הפרטיות באירלנד מטילה קנס של 5.5 million€ על Meta (WhatsApp), אולם מוטל עליה להמשיך את החקירה בעניין לגיבוש מסקנות נוספות, כך על פי ה-EDPB.
בהמשך לקנס שהוטל על ידי ה-DPC בחודש שעבר על Meta בגין הסתמכות לא חוקית על תנאי השימוש כבסיס לעיבוד מידע אישי (כאן), עתה הורה ה-EDPB, לאחר הטלת קנס על WhatsApp בגובה 5.5M€, להמשיך ולחקור את פעולות WhatsApp, לאור מסקנותיה שלה.
נזכיר כי בין ה-DPC ל-EDPB כבר נצפה מתח בעבר, אשר העלה שאלות רבות בנושאי סמכות. גם עתה,נראה כי הרשות האירית אינה מתכוונת לפעול ישירות על פי הנחיית ה-EDPB, ולהעביר את השאלה לפתחי בית המשפט.
הרשות הצרפתית מטילה קנס של 8 Million€ על חברת Apple
הקנס שהוטל על ידי ה-CNIL, הוטל בגין הפרת ה-ePrivacy directive, אשר אומצה כחלק מהחוק המקומי בצרפת. הקנס הוטל בגין הטמעה והפעלה אוטומטית של מזהה פרסום (Ad-Id), מיד עם התקנת מערכת ההפעלה החדשה iOS 16.4. הדבר נעשה עם ביקור בחנות האפליקציות, והופעל כברירת מחדל.
הרשות הדגישה בהחלטה את מספר השלבים שנדרש משתמש לעבור כדי לנטרל את הפעולה, ואף אם לא ציינה זאת במפורש - ראוי להתייחס לתשומת הלב הנכבדת שנותנות רשויות האכיפה והחקיקה ברחבי העולם לעולם ה-׳תבניות האפלות׳ (Dark Patterns) - עיצוב שנועד לסרבל או להטעות את המשתמש בממשק, כאשר מעוניין לבצע פעולות שאינן רצויות על ידי בעל השליטה (במקרה זה, נטרול הפעלת ה- AdID).
ראו מתוך ההחלטה (https://www.cnil.fr/en/advertising-id-apple-distribution-international-fined-8-million-euros. תרגום מצרפתית) -
The restricted formation also points out that this stage of obtaining consent occurs late in the phase of the user taking control of the telephone and that it is optional because it is not integrated into the telephone initialisation process. In addition, this step is only accessible after the user clicks on the"Settings" icon on the iPhone, goes to the "Privacy" menu, and then clicks on the section labeled "Apple Advertising". It considers that it is difficult for the user to be able to validly accept or refuse those operations, in so far as the user who has completed theinitialisation journey of his phone (where the journey includes a large number of steps as in the present case) may legitimately think that he no longer needs to make other configurations before consulting the App Store.
ה-EDPB מפרסם דו״ח בקשר עם שימוש בתפריטי Cookies
המסמך, שפורסם לאור כינוס כוח עבודה משותף החוקר את מרבית התלונות שהוגשו בנושא לרשויות האכיפה השונות, מנחה בדבר הסוגיות המרכזיות שעולות מתלונות אלו. מעיקריו:
- סימון תיבת הסכמה (Checkbox) מראש - נוהג פסול, אשר לשיטת ה-EDPB מפר את ההוראות ב-GDPR.
- Accept all/ Refuse all - זו הצורה הנכונה, לשיטת ה-EDPB, ב-Cookie banners; אם ישנו כפתור המקבל הכל, צריך להיות כפתור המאפשר סירוב להכל. המודל בו הכפתור הנוסף הוא כפתור כפתור של ׳קרא עוד׳/ ׳בחירה פרטנית׳ וכיו״ב אינו מספק.
- אין להצניע את אפשרויות הסירוב או הבחירה, או להשפיע באופן בו מובלטת באופן ייחודי (ויחסי) האפשרות לקבל או להסכים ל-Cookies.
- תפריט cookies - יש לאפשר חזרה לתפריט בכל עת, מכל מקום באתר. במקביל, יש לאפשר לשנות את הבחירה בכל רגע בעת גלישה באתר.
לקריאת המסמך המלא: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf
