יום הפרטיות הבינלאומי (Data Privacy Day) מצוין במדינות רבות בעולם בתאריך ה-28 לינואר, מדי שנה, החל משנת 2007. כמחווה ראויה ליום זה, נבקש להביא לידיעתכם עדכונים חשובים בעולמות דיני הפרטיות: חקיקה, הנחיות הרשות להגנת הפרטיות, דו"חות והוראות הרגולטורים הרלוונטיים ומגמות בינלאומיות.
הצעות חקיקה
- הצעה לתיקון חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב– 2022
תיקון מס' 14 לחוק הגנת הפרטיות הונח על שולחן הכנסת בינואר 2022 במטרה להתאים את חוק הגנת הפרטיות התשמ"א-1981 ("החוק") לאתגרים העכשוויים בהגנה על מידע אישי במאגרי מידע, ולדיני הגנת הפרטיות המודרניים הנהוגים בעולם.
הצעת החוק ממשלתית זו שואפת להגשים תכלית זו בשני מישורים עיקריים: ראשית, מוצע לשפר את יכולות הפיקוח והאכיפה של הרשות להגנת הפרטיות ("הרשות") להבטחת קיום הוראות החוק הנוגעות לפרטיות במאגרי מידע, וזאת באמצעות הגדלת גובה הקנסות אשר יוטלו על ארגונים בגין הפרות החוק, והרחבת סמכויות האכיפה של הרשות. שנית, מוצע לצמצם את חובת הרישום למאגרי מידע, ולהתאים את הגדרות המונחים "מידע" ו"מידע רגיש" הקיימים היום בחוק לפרשנות שניתנה למושגים אלה בפסיקה, כמו גם להסדרים המודרניים באירופה וברוב מדינות העולם המערבי ולהתפתחויות הטכנולוגיות, החברתיות והמשקיות מרחיקות הלכת אשר התרחשו מאז נחקק החוק לפני כ-40 שנים.
- הצעת חוק הגנת הפרטיות (תיקון – מחיקה ממאגרי מידע), התשפ"ב-2022
הצעת חוק פרטית זו הוגשה בינואר 2022 ונועדה לעגן בחקיקה את זכותו של אדם להגן על מידע הנאסף על אודותיו ואת זכותו לדרוש מחיקת מידע זה ממאגרי מידע (גם אם בעבר נתן הסכמתו לשמירת המידע). לפי דברי ההסבר, הצעת החוק הוגשה על רקע התרחבות התופעה המדאיגה של מתקפות סייבר ופריצות למאגרים המובילות לדלף מידע ופרסומו, כאשר לעיתים תכופות נפגעי התקיפה, אשר פרטיהם נחשפו, כלל לא היו מודעים להיקף המידע אשר נשמר לגביהם במאגר המידע.
לאור האמור, הוצע לתקן את חוק הגנת הפרטיות ולהוסיף לו שני הסדרים שיבטיחו הגנה רחבה יותר על המידע הנשמר במאגרי מידע. ראשית, מוצע להטיל חובה על המבקש להחזיק במידע (הבעלים/ המחזיק במאגר המידע) לשלוח הודעה לנושא המידע לצורך קבלת אישור מחודש להחזיק במידע, תוך ציון זכותו לבקש למחוק את המידע. שנית, מוצע לעגן את זכותו של אדם למחיקת המידע אודותיו, בין אם באמצעות פניה יזומה לבעל המאגר או באופן אוטומטי בחלוף חמש שנים מקבלת הודעה כאמור לעיל על ידי נושא המידע, וכל עוד לא נתקבל אישור מחודש מנושא המידע להחזיק במידע.
כמו כן, פורסמה בינואר 2022 הצעת חוק פרטית – הצעת חוק הגנת הפרטיות (תיקון – חיזוק הזכות לפרטיות והגנה עליה), התשפ"ב 2022, המתייחסת לחיזוק אגד זכויות השליטה במידע של נושא המידע והרחבת החובות החלות על בעל מאגר המידע והמחזיקים במאגר.
- תקנות הגנת הפרטיות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי
בשלהי נובמבר 2022, פרסם משרד המשפטים להערות הציבור את טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ב – 2022. משרדנו פרסם סקירה של תקנות אלה, לקריאתה אנא לחצו כאן.
הנחיות ומסמכים של הרשות להגנת הפרטיות
- הגנה על פרטיות מטופלי שירותי רפואה מרחוק
בחודש אוגוסט 2022 פרסמה הרשות להגנת הפרטיות מסמך מקיף בנושא הגנה על פרטיות מטופלים בשירותי רפואה מרחוק. הרקע לפרסום המסמך הינו התרחבות היקף השירותים הרפואיים החדשניים הכוללים שירותי רפואה מרחוק באמצעים טכנולוגיים ובאמצעי תקשורת אלקטרוניים, הכוללים, בין היתר, מפגש וירטואלי בין מטופל למטפל (שיחת וידאו), שירותי אבחון והתייעצות מבוססי בינה מלאכותית, מעקב וניטור רפואי מתמשך אונליין ועוד.
המסמך מבקש להציב זרקור על אתגרים מתחום הפרטיות בעת שימוש בשירותי רפואה מרחוק. סיכונים אלה הינם, בין היתר, סכנת דלף מידע רפואי-רגיש (אשר עלולה להיות בעלת השלכות קשות הן ברמת המטופל והן ברמת פגיעה באמון הציבור במערכת הבריאות במדינה); היעדר מודעות המטופלים לאיסוף מידע על אודותיהם ולמטרות השימוש בו בעת שימושם בשירותי רפואה מרחוק; חשיפת מידע עודף במסגרת מפגש וירטואלי בין מטופל למטפל; חשיפת מידע בפני גורמים לא מורשים בסביבת המטפל וכו'.
המסמך מפרט את הוראות הדין הרלוונטיות החלות בעת מתן שירותי רפואה מרחוק, את החובות המוטלות על ארגוני הבריאות, ספקים חיצוניים, ועל מטפלים, ומציע המלצות מרכזיות לשמירה על הפרטיות בעת שימוש בשירותים אלה. למסמך המלא לחצו כאן.
- טיוטת הנחיות הרשות להגנת הפרטיות בנושא העברת בעלות במאגר מידע
בדצמבר 2022 פרסמה הרשות טיוטת הנחיות להערות הציבור בנושא העברת בעלות במאגרי מידע בהתאם לחוק.
ההנחיה מבהירה את החובות החלות עם שינוי הבעלות במאגר מידע: על בעל המאגר המקורי ועל בעל המאגר המקבל, קרי הבעלים החדשים במאגר המידע. בין היתר, חובת בעל המאגר המקבל להשתמש במידע שבמאגר אך ורק בהתאם למטרה המקורית שלשמה נמסר, והכפפתו לכלל החובות אשר חלו בהקשר זה על בעל מאגר המידע המקורי (המעביר).
בנוסף, ההנחיה דנה בזכויות הפרטים אשר מידע אודותיהם נשמר במאגר המידע, בהן בין היתר, הזכות לסירוב להעברת המידע העוסק בהם לבעל המאגר המקבל, בנסיבות בהן מאפייני בעל המאגר המקבל שונים מהותית מאלה של בעל המאגר המקורי, באופן העלול להשפיע במידה ניכרת על זכויות נושא המידע, או החורג באופן משמעותי מציפיותיו לגבי נסיבות איסוף המידע והשימוש בו, וזאת גם כאשר אין כל שינוי במטרות השימוש. נסיבות אלה עשויות להתרחש כאשר היו קיימים יחסי אמון או חסיון מיוחדים בין בעל מאגר המידע לבין נושאי המידע כמו למשל במקרה של רופא-מטופל, עורך דין-לקוח, פסיכולוג- מטופל.
לטיוטת ההנחיות המלאה לחצו כאן.
- מסמך המלצות למינוי ממונה להגנת פרטיות בארגונים ובחברות
בינואר 2022 הרשות פרסמה מסמך המלצות עבור ארגונים וחברות מכלל המגזרים במשק בנוגע למינויים של ממוני הגנת פרטיות ("הממונים") בארגונים הללו, אשר יופקדו על יישום דיני הפרטיות בהם. בהתאם למסמך ההמלצות, מטרת התפקיד החדש, המקביל לתפקיד המעוגן באסדרה האירופית להגנה על מידע (GDPR) הינה: "להביא להפנמה של עקרונות ושיקולי פרטיות בתהליכי העבודה בארגון במימוש אחריותו וחובותיו לפי דיני הגנת הפרטיות".
המסמך כולל כלים וקווים מנחים בכל הנוגע לתחומי האחריות של הממונה בארגון, ומפרט את תחומי הידע וההכשרה הנדרשים ממי שמכהן בתפקיד זה. בנוסף, על פי המסמך, מומלץ כי הממונה יהיה חלק מההנהלה הבכירה בארגון.
מסמך ההמלצות מדגיש את היתרונות במינוי ממונה בארגון כגון הגברת אמון הלקוחות באשר לטיפול במידע שלהם על-ידי הארגון וכן סיוע להנהלת הארגון בהבנת היקף השפעות הדינים הזרים הנוגעים להגנה על מידע על מהלך העסקים של הארגון, ולהיערך בהתאם.
על אף שמסמך ההמלצות אינו בבחינת דרישה מחייבת, בהתאם למסמך ההמלצות, מינוי ממונה הגנה על הפרטיות מסייע לארגון לוודא כי הוא עומד בהוראות דיני ההגנה על מידע אישי בישראל ומהווה אינדיקציה כי הארגון נקט ונוקט צעדים לצמצום הסיכון לפגיעה במידע האישי הנשמר ברשותו (לפיכך אפשר שאי מינוי ממונה עלול להיזקף לרעתם של הארגון או החברה, ככל שבבוא היום יימצאו כשלים בהגנה על פרטיות). נבהיר כי המלצה זו הינה בנוסף להמלצת הרשות למנות ממונה על אבטחת מידע בארגון (מעבר לחובה למנות ממונה כאמור בארגונים מסוימים).
למסמך ההמלצות המלא ולערכת ההדרכה שפרסמה הרשות להגנת הפרטיות לחצו כאן.
- חובת יידוע במסגרת איסוף ושימוש במידע אישי
ביולי 2022, פרסמה הרשות מסמך חדש המציג את עמדתה בנושא חובת היידוע באיסוף ובשימוש מידע אישי, הקבועה בסעיף 11 לחוק הגנת הפרטיות, הקובע כי פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שתציין את המטרה לשמה מבוקש המידע, את רשימת הגורמים להם יימסר המידע ואת מטרת המסירה, וכן האם קיימת חובה חוקית על נושא המידע למסור את המידע, או שמסירתו תלויה "בהסכמתו מדעת" של נושא המידע.
בין היתר, המסמך מציע דרכי התמודדות עם האתגרים בקיום חובת היידוע בנסיבות שבהן נעשה שימוש בטכנולוגיות מתקדמות כגון מערכות אוטומטיות, בינה מלאכותית (AI) ואלגוריתמים.
כך, למשל, הרשות להגנת הפרטיות הדגישה כי על מנת לבסס "הסכמה מדעת", גורמים האוספים מידע אישי באמצעות אלגוריתמים ובינה מלאכותית, נדרשים ליידע את נושאי המידע ביחס למטרת איסוף המידע והשימוש בו כבר בשלב איסוף המידע.
לעמדת רשות הגנת הפרטיות המלאה לחצו כאן.
- גילוי דעת של הרשות להגנת הפרטיות בנושא: מהם "מידע" ו"ידיעה על ענייניו הפרטיים של אדם" בחוק הגנת הפרטיות
בדצמבר 2022, פרסמה הרשות גרסה סופית למסמך גילוי דעת בנוגע לפרשנות המונחים "מידע" ו"ידיעה על ענייניו הפרטיים של אדם" בחוק. ביאור הפרשנות למונחים אלה הינו משמעותי וחשוב בכל הנוגע לעמידה בחובות שהחוק והתקנות מטילים על בעלי ומחזיקי מאגרי מידע.
בכל הנוגע למושג "ידיעה על ענייניו הפרטיים של אדם", גילוי הדעת כולל דוגמאות לנתונים שבתי המשפט קבעו לגביהם כי הם מהווים ידיעה כאמור, בהן, בין היתר, כתובת מגורים, מספר טלפון, פסילת מועמדותו של אדם למשרה, מספר חשבון בנק, קופת החולים אליה האדם משתייך.
עמדת הרשות היא כי רשימת סוגי המידע המהווים "מידע" או "ענייניו הפרטיים של אדם" שבחוק איננה רשימה ממצה, מאחר ומציאות החיים המשתנה וההתפתחויות הטכנולוגיות מוסיפות לייצר נתונים חדשים, אשר מחייבים את הרחבת היריעה ותחולת החוק.
לגילוי הדעת המלא לחצו כאן.
- היבטי פרטיות במעקב אחר עובדים בעבודה מרחוק
בחודש דצמבר האחרון פרסמה הרשות טיוטת מסמך להערות הציבור בנושא היבטי פרטיות במעקב אחר עובדים בעבודה מרחוק. הרקע לפרסום המסמך הינו העלייה שנרשמה בשימוש באמצעים טכנולוגיים על ידי מעסיקים לצורך מעקב אחר עובדיהם המבצעים את עבודתם מרחוק.
במסמך זה סוקרת הרשות לראשונה באופן מקיף את הסיכונים המרכזיים לפרטיות העובדים בעת מעקב אחר עבודתם מרחוק על ידי המעסיק, וכן את הוראות הדין הרלוונטיות. סיכונים אלה לפרטיות העובדים כוללים, בין היתר: איסוף מידע ללא הסכמת העובד/ת; משטור ופגיעה בתחושת השליטה של העובד/ת על פרטיותו/ה; איסוף וחשיפה של מידע רגיש ועודף; דליפת מידע; שימוש לרעה במידע אישי, ועוד.
עמדת הרשות היא, כי שימוש באמצעים טכנולוגיים למעקב אחר עובדים בעת עבודה מרחוק חייב להיעשות באופן סביר ומידתי, לצורך מטרה לגיטימית, הקשורה באינטרסים של מקום העבודה. שימוש באמצעי מעקב חייב להיעשות תוך יידוע העובדים וקבלת הסכמתם, ותוך הקפדה על כללי אבטחת המידע ועיקרון "צמידות המטרה".
בנוסף, אמצעי המעקב אשר נבחר על-ידי המעסיק חייב להיות תואם לתכלית המעקב, וככלל אין לעשות שימוש במידע שנאסף אודות עובד/ת לשום מטרה אחרת, מלבד זו אשר לשמה נאסף. כמו כן, על המעסיקים לבחור את האמצעי אשר יישומו יפגע בפרטיות העובדים במידה הפחותה ביותר האפשרית, מבין החלופות הרלוונטיות. למסמך המלא בנושא היבטי פרטיות במעקב אחר עובדים בעבוד מרחוק לחצו כאן.
דו"חות
דו"ח מחקרי של איגוד האינטרנט הישראלי (ינואר 2023)
הדו"ח החדש של איגוד האינטרנט הישראלי, אשר פורסם בחודש זה, כולל סקירה מקצועית ועובדתית על אודות אופן הפעולה של כלים טכנולוגיים במסגרת חקירות משטרתיות וכן הליכי חקירה של רשויות אכיפה נוספות דוגמת מצ"ח, הרשות לניירות ערך, רשות המיסים ואף הרשות להגנת הפרטיות.
בהתאם לדו"ח, בשלב הראשון, כלי הפורנזיקה הדיגיטלית המתקדמים מאפשרים לרשויות האכיפה לחדור ולהעתיק נתונים ממכשירים ניידים וממכשירים דיגיטליים אחרים שנתפסו במהלך החקירה. בנוסף, תוכנות רוגלה המותקנות מרחוק ובסתר במכשירים הדיגיטליים של החשוד מאפשרות איסוף נתונים מבלי להיזקק לתפיסה פיזית של מכשירים. נתונים אלה הינם, למשל, נתונים מאפליקציות: שיחות צ'ט, תמונות, נתונים רפואיים, מידע פיננסי, ועוד; מטא-נתונים (metadata): מועדי ההתקנה, תדירות השימוש והמחיקה של אפליקציות, מידע על אודות התחברות להתקני Bluetooth או Wi-Fi ופרטיהם, ועוד; נתונים "שנמחקו״: מחיקת קובץ או אפליקציה לא בהכרח מעלימה אותם, ואת המידע המאוחסן בהם, מהמכשיר או מהענן, בו עשוי להיות קיים גיבוי.
לפי הדו"ח, בשלב השני, מתבצע ניתוח ועיבוד של הנתונים הרבים שנאספו. למשל, רשויות האכיפה משתמשות בטכנולוגיות בינה מלאכותית (AI) ולמידת מכונה (Machine Learning), לרבות זיהוי פנים ועצמים, לצורך ניתוח הנתונים ולהצגה אוטומטית של דפוסים של פעילות החשוד, לרבות מידע על קשריו החברתיים והאנשים איתם שוחח, גם אם אינם חשודים.
לפי הדו"ח, כלים אלו מופעלים בישראל בהיקף נרחב למדי. בהתאם לדו"ח, בשנים האחרונות אושרו על ידי בתי המשפט למעלה מ- 20,000 צווי לחיפוש בטלפונים חכמים, וזאת בנוסף למקרים רבים של חדירה וחיפוש בחומר מחשב על בסיס הסכמת הנחקר בלבד. בקשות למתן צווים בהתאם לחוק האזנת סתר זכו לאישור שיפוטי נרחב בשנים 2020 ו-2021, ובהתאם לנתונים המובאים בדו"ח, בשנים אלה אושרו למעלה מ-99% מן הבקשות האמורות.
בהתאם לדו"ח, כל אחד משלבי החקירה המתוארים לעיל מעורר שאלות משפטיות-חוקיות, חברתיות ומוסריות כבדות משקל. כך, למשל, נדונה בדו"ח הסכנה הנשקפת לפרטיות החשוד, אך גם לצדדים שלישיים שאינם בבחינת חשודים, אשר מידע על אודותיהם נאסף ממכשירי החשוד. בנוסף, נדון הסיכון לפגיעה בהוגנות ההליך המשפטי, בתקינות השרשרת הראייתית ובאמינות המידע המופק מהחדירה למכשירים, וזאת לאור חולשות אבטחה מטרידות שהתגלו בכלים הנמצאים בשימוש נרחב בקרב רשויות האכיפה כגון UFED ו- Physical Analyzer. שאלות אלה מעסיקות גם את בתי המשפט בישראל, אשר הכירו בשנים האחרונות בכך שדיני החיפוש בישראל הינם מיושנים ואינם כוללים פיקוח וביקורת מספקים נגד שימוש מופרז בכלים טכנולוגיים רבי עוצמה כדוגמת אלה המתוארים לעיל. לקריאת הדו"ח המהצעת החוק אף מבקשת להקים מוסד אכיפה חדש שיפעל תחת נציבות הסחר הפדרלית (Federal Trade Commission).
בנוסף, הצעת החוק מבקשת לעגן בדין זכויות לנושאי מידע כגון הזכות לסרב ל"טרגוט" (targeting) קרי פרסום המופנה לקהל בהתאם למאפיינים ייחודיים המוגדרים מראש. זכויות בולטות נוספות בחוק המוצע הינן זכות העיון במידע, הזכות לתקנו וזכות המחיקה שלו. כן מוצע להעניק לנושאי מידע זכות תביעה אזרחית בגין פגיעה בעקבות הפרת החוק אשר תיכנס לתוקף לאחר 4 שנים מיום כניסת החוק לתוקף. לקריאת הצעת החוק המלאה לחצו כאן.
עדכון מדיניות הפרטיות של APPLE
בחודש יולי האחרון נכנס לתוקף עדכון מדיניות הפרטיות של חברת APPLE העולמית המופנה כלפי מפתחים, חברות ועסקים המפעילים אפליקציה ב-App Store.
עיקרו של עדכון מדיניות הפרטיות הינו הדרישה מכל אפליקציה, אשר ניתן להוריד מה-App Store, למחוק את חשבונות הלקוחות ואת כלל הנתונים על אודותיהם ככל שהלקוחות (משתמשים) יבקשו לעשות זאת. בנוסף, מדיניות הפרטיות החדשה מחייבת אפליקציות לקבל אישור משתמשים להשתמש במידע על אודותיהם למטרות "טרגוט". הפרת מדיניות הפרטיות החדשה עלולה לגרור מחיקה של האפליקציה מחנות האפליקציות של APPLE. משכך, חברות ועסקים המשתמשים בפלטפורמת App Store של APPLE לצורך פרסום, שיווק או מכירת היישומונים שלהם, שלא יקיימו את המדיניות האמורה, מסתכנים באובדן גישה ליותר ממיליארד המשתמשים במוצרי APPLE בכל רחבי העולם, וכפועל יוצא– באובדן הכנסות משמעותי.
עדכון המדיניות מעיד על הפנמה מצד הסקטור העסקי-טכנולוגי של ערכי הגנת הפרטיות המקודמים בשנים האחרונות הן על ידי ארגוני זכויות אדם והאקדמיה, והן על ידי ממשלות ורגולטורים ברחבי העולם, ויש בה כדי להוות בשורה של ממש עבור משתמשים אשר אינם מתגוררים במדינות בהן נהוגים דיני פרטיות מודרניים, כגון מדינות האיחוד האירופי, אוסטרליה וקנדה.
התפתחויות בינלאומיות בתחום הפרטיות – האיחוד האירופי
חקיקה אירופאית בנושא אספקת שירותים דיגיטליים ברשת
במהלך שנת 2022 אושרו ונכנסו לתוקף באיחוד האירופי שני חוקים מקיפים המסדירים את שוק השירותים הדיגיטליים – חוק השירותים הדיגיטליים (Digital Services Act, “DSA”) וחוק השווקים הדיגיטליים (Digital Markets Act, “DMA”). החוקים החדשים צפויים להשפיע, בין היתר, על פלטפורמות הענק הדיגיטליות כגון Amazon, YouTube, Tik Tok, Twitter ופלטפורמות Meta (Facebook + Instagram).
שני החוקים נועדו להבטיח סביבת מסחר דיגיטלית תחרותית, הוגנת ובטוחה מפני סחורות ותוכן בלתי חוקיים, תוך הבטחת ההגנה על זכויות יסוד באינטרנט. כדי להבטיח הגשמת תכליות אלה, החוקים החדשים מגובים בסנקציות משמעותיות, הכוללות קנסות כבדים בהתאם לסך מחזור הרווחים השנתי של החברה המפרה (להמחשה – קנס בשיעור של עד 6% מסך המחזורלא לחצו כאן. לקריאת פרשנות של עו"ד אמיר זולטי ממשרדנו על ממצאי הדו"ח והשלכותיהם לחצו כאן.
התפתחויות בינלאומיות בתחום הפרטיות – ארצות הברית
American Data Privacy and Protection Act (2022) (ADPPA)
הצעת החוק הפדראלית להגנת הפרטיות, ה-"ADPPA", פורסמה בחודש יוני 2022, והמוטיבציה הרבה לקדמה הצליחה לאחד חברי קונגרס משני צידי המתרס הפוליטי בארצות הברית אשר הסכימו לשתף פעולה לצורך ניסוחה. מטרתה העיקרית של הצעת החוק הינה לכונן סטנדרט אחיד של דיני הגנת פרטיות שיחולו בכל מדינות ארצות הברית, וזאת לאחר שנים אשר במהלכן גובשו דינים שונים ברמה המדינתית.
הצעת החוק מבקשת להטיל חובות נרחבות על חברות מקומיות ובינלאומיות הפועלות בארצות הברית, אשר אוספות ומעבדות מידע אישי של אזרחים אמריקאיים במסגרת פעילותן. בין החובות החדשות ניתן למנות, למשל, את "חובת מזעור המידע" לפיה על בעלים/ מחזיק במאגר מידע לצמצמם מידע עודף השמור במאגר, קרי מידע אשר אינו הכרחי ואינו רלוונטי לשם השגת המטרה שלשמה הוא נאסף מלכתחילה, או למטרות המאגר בו הוא נשמר, ואת החובה להצהיר מדי שנה על קיום הוראות החוק.
העולמי של חברה בגין הפרת ה-DSA וקנס בשיעור של עד 10% (או עד 20% בגין הפרות חוזרות) מסך המחזור העולמי של חברה בגין הפרת ה-DMA).
לאור ההבנה כי התאמה לדין החדש מצריכה זמן להטמעת השינויים הנדרשים, שני החוקים כוללים תקופת הסתגלות משמעותית – תחולתו של חוק השווקים הדיגיטליים ואכיפתו היא מחודש מאי 2023, ועיקר התחולה של חוק השירותים הדיגיטליים ואכיפתו תהא מתחילת השנה הבאה, ב-1 בינואר 2024.
על אף שמדובר ברגולציה חדשה, היא עשויה להשפיע על חקיקה דומה ביבשות נוספות. עדות ראשונית לכך ייתכן שניתן לראות בהצעת החוק הפדראלי להגנת הפרטיות (המוזכר לעיל) הכוללת מנגנונים בהשראת חוק השווקים הדיגיטליים.
מגמות אכיפה של הוראות ה –GDPR בשנת 2022
כידוע, ה-GDPR (רגולציית הגנת הפרטיות באיחוד האירופי) הינן בעלות תחולה אקס-טריטוריאלית, כך שהן ארגונים ואנשים הפועלים באיחוד האירופי והן גורמים מחוץ לאיחוד האוספים ומעבדים מידע על אודות אזרחי האיחוד כפופים להוראות ה-GDPR.
בהתאם לנתונים המופיעים בפרסומים שונים, נכון לחודש דצמבר האחרון, חברות שילמו בשנת 2022 סכום כולל של 832 מיליון אירו כקנסות בגין הפרות הוראות ה-GDPR. בהתאם לדיווחים, המדובר בירידה של כ-36% בהשוואה לשנת 2021, אז סכום הקנסות הכולל עמד על של 1.13 מיליארד אירו,[1] (ואולם, ראוי לציין כי בשנת 2021 לוקסמבורג לבדה הטילה קנס בסך 746 מיליון אירו על Amazon).[2]
עוד דווח, כי בשנת 2022 לבדה הוטלו קנסות על חברת Meta (פייסבוק) בשווי כולל של 670 מיליון אירו – כ-80% משווי כלל הקנסות שהוטלו בשנה האחרונה. בחודש ספטמבר הטילה נציבות הגנת המידע באירלנד קנס בסך 405 מיליון אירו על Meta בשל הפרת הוראות ה-GDPR הנוגעות לחובות שInstagram הפרה הנוגעות לשמירה על פרטיות קטינים, בין היתר, דרישת הסכמה נוספת מהוריהם לעיבוד מידע על אודותיהם, חובת הנגשת המידע אודות העיבוד בשפה שתהיה ברורה לילדים ועוד.[3] נציבות הגנת המידע באירלנד הטילה קנס נוסף על Meta בסך 265 מיליון אירו בגין דלף מידע אישי של יותר מחצי מיליארד משתמשי פייסבוק אשר התרחש בחודש אפריל בשנת 2021.[4]
הסדר תאימות (Adequacy) חדש להעברת מידע מהאיחוד האירופי לארצות-הברית
הסדר חדש להעברת מידע בין האיחוד האירופי לארצות הברית פורסם בחודש דצמבר האחרון. המדובר בהסדר תאימות (Adequacy) שעניינו מתן הרשאה להעברת מידע חופשית מהאיחוד האירופי לארגונים ולחברות בארצות הברית, ובלבד שאלה יסכימו לקחת על עצמם חובות מוגברות להגנה על פרטיות ואבטחת המידע, העולות על הרמה הקבועה בדין האמריקאי הקיים. אישור הסדר התאימות החדש הינו בעל חשיבות רבה לארגונים וחברות, וזאת מכיוון שהדבר יאפשר העברת מידע חופשית מאירופה לארצות הברית.
הסדר התאימות החדש גובש על רקע החלטת בית המשפט לצדק של האיחוד האירופי מחודש יולי 2020 (Schrems 2) לבטל את ההסדר הקודם, המכונה ה-Privacy Shield. עיקר נימוקי ההחלטה לבטל את ההסדר גרסו כי החקיקה האמריקאית הקיימת אינה עומדת ברף ההגנה על מידע אישי הנדרש בדין האירופי, ובמיוחד בהוראות רגולציית האיחוד האירופי (GDPR) והאמנה האירופית לזכויות האדם.
מבט לשנת 2023
אכן, שנת 2022 התאפיינה ביוזמות חדשות רבות בתחום הפרטיות.
נראה כי ההבנה כי הגנת הפרטיות אינה עוד נחלתם הבלעדית של אקדמאים ופעילי זכויות אדם, אלא תחום "חם", אשר התמקם בלב הקונצנזוס של קובעי המדיניות הטכנולוגית בסקטור הציבורי והפרטי כאחד, מחלחלת אט אט לתודעת הציבור. בצד זאת, ההתפתחויות הטכנולוגיות המתמידות מייצרות איומים חדשים ונרחבים עוד יותר על הפרטיות.
[1] למידע נוסף, ראו: https://www.enforcementtracker.com/?insights; https://www.privacyaffairs.com/gdpr-fines/; shorturl.at/fhuSU.
[2] לקריאה נוספת, ראו: https://www.calcalist.co.il/world_news/article/bkzqhotck; https://iapp.org/news/a/luxembourg-administrative-court-suspends-746-euro-gdpr-fine/.
[3] למידע נוסף, ראו: https://dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-instagram-inquiry.
[4] למידע נוסף, ראו: https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-in-facebook-data-scraping-inquiry.
הכותבים הינם אמיר זולטי, שותף וראש תחום הי-טק, ורד זליכה, שותפה וראשת תחום סייבר ואינטליגנציה מלאכותית (AI), עו"ד מריה ליפניצקי, מחלקת טכנולוגיה, מיזוגים ורכישות ובסיוע רוני ווהל ממשרדנו.
*הבהרה: האמור בחוזר זה הינו מידע בכללי בלבד ואין בו כדי להוות ייעוץ משפטי המחייב בחינה מעמיקה וספציפית של כל נושא לגופו