30 בינואר, 2023
כדי להישאר מעודכנים בנושא הגנת הפרטיות, לקבלת המידעון ועדכונים שוטפים בתחום לחצ/י כאן.
הרשות להגנת הפרטיות פרסמה מדריך חדש לביצוע תסקיר השפעה על פרטיות (Assessment Impact Privacy)
מטרת המדריך לסייע לארגונים שונים לאתר מראש סיכונים אפשריים לפרטיות ולצמצם אותם מבעוד מועד. הרשות ממליצה לבצע את התסקיר בשלבים מוקדמים של הנעת פרויקט שדורש איסוף או עיבוד מידע, טרם התחלת פעולות עיבוד המידע. קישור למדריך
פורסם דו"ח ממצאי פיקוח רוחב בקרב מגזר חברות הביטוח, אשר עוסק, בין היתר, בשאלה מי "מחזיק" ומי "בעלים" של מאגר מידע
בשנים האחרונות, מבצעת הרשות להגנת הפרטיות פיקוח פרואקטיבי באמצעות גורמים חיצוניים, על סקטורים שונים.
במהלך 2022 ערכה הרשות הליך פיקוח בקרב 28 חברות ביטוח בישראל. לפי הדו"ח, עיקר הליקויים נמצאו בתחום עיבוד המידע האישי באמצעות מיקור חוץ.
עמדת הרשות היא כי בעסקת ביטוח טיפוסית, חברת הביטוח היא בעלת מאגר המידע על אודות המבוטח, וסוכנות הביטוח משמשת כזרועה הארוכה כמחזיקה. לפיכך, ההסכמה הניתנת על-ידי המבוטח לחברת הביטוח למטרה המוצהרת, אינה מהווה הסכמה לשימושים נוספים על-ידי סוכנות הביטוח. לאור זאת, במקרים בהם מבקשת סוכנות הביטוח לקיים מערכת יחסים משפטית נפרדת מחברת הביטוח עם המבוטח, עליה לקבל את הסכמתו הנפרדת של הלקוח להצטרף למאגר הלקוחות של סוכנות הביטוח. קישור לדו"ח
הרשות להגנת הפרטיות פרסמה מסמך המלצות להערות הציבור בנושא הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות
המסמך מציג את הסיכונים לפרטיות בעת העברת מידע באמצעות תוכנות ייעודיות להעברת מידע רפואי המותקנות במכשירים דיגיטליים אישיים-פרטיים של גורמי רפואה; העברת מידע באמצעות תוכנות לא ייעודיות המותקנות במכשירים דיגיטליים שבבעלות המוסד הרפואי; והעברת מידע באמצעות תוכנות לא ייעודיות המותקנות במכשירים פרטיים של גורמי הרפואה. המלצות הרשות למניעת הפגיעה בפרטיות כוללות בין היתר, אבטחת מידע (ללא תלות באמצעי להעברת המידע), צמצום שימוש בתוכנות שאינן ייעודיות לרפואה, המנעות מהעברת מידע אישי מזוהה באמצעות תוכנות אלו ומחיקתו לאחר וידוא העברת המידע למערכות הרפואית הייעודיות. קישור למסמך ההמלצות
חוק המידע הפלילי ותקנת השבים, תשע"ט-2019
עד לכניסתו לתוקף של החוק החדש, ביום16 בינואר 2022, חברות נהגו לערוך בדיקות רקע פליליות על-ידי שימוש בשאלונים ותצהירים בהתאם לפסיקת בית המשפט בנושא. החוק החדש אוסר על קבלת מידע פלילי גם בדרך של שאלון או תצהיר.
הרשות להגנת הפרטיות פרסמה להערות הציבור טיוטת מסמך שעניינה ב"היבטי פרטיות בוויתור על סודיות רפואית וחשיפת מידע רפואי בקבלה לעבודה"
מועמדים למשרות בשוק התעסוקה מתבקשים לא פעם לספק למעסיקיהם הפוטנציאליים מידע על אודות מצבם הרפואי כחלק מהליך בחינת התאמתם למשרה, ומשכך מתבקשים לחתום על טופס ויתור סודיות רפואית. הרשות ממליצה כי בקשה לוויתור על סודיות רפואית או לחתימה על מסמכים דוגמת הצהרת בריאות ושאלון רפואי תוצג, ככל הניתן, לאחר קבלת המועמד לעבודה. כמו כן, בקשה כאמור צריכה להיות ספציפית ורלוונטית לדרישות המשרה. על מעסיקים להימנע מלהחתים מועמדים לעבודה על טפסי ויתור סודיות גורפים וכלליים או על שאלונים רפואיים מפורטים ונרחבים מעבר לדרוש. על המעסיקים להקפיד להשתמש במידע הרפואי שנאסף במסגרת הליכי המיון אך ורק לשם בדיקת ההתאמה של העובד למשרה ספציפית אליה הוא מתמיין, לבחון את נחיצות המידע אחת לשנה ולאפשר למועמדים ולעובדים המבקשים זאת לעיין במידע שנאסף על אודותיהם. קישור למסמך
בקשה לאישור תובענה ייצוגית נגד פייסבוק בנוגע לאירוע אבטחה אבטחה. ת"צ 7322-10-18 אקסלרוד נ' Facebook Inc ואח' – בית המשפט המחוזי בחיפה דחה בקשה לאישור תובענה ייצוגית נגד פייסבוק, שעניינה פרצת אבטחה בפלטפורמת הרשת החברתית. נקבע, כי העולם אינו מושלם, ואין בו מערכות חסינות לגמרי מפני תוקפים וכי פייסבוק לא הפרה את חובת תום הלב וההגינות החוזית מפני שהצהירה שהיא מספקת את שירותיה 'כפי שהם', ללא ערובה להיות בטוחים במאה אחוז או היותם נקיים מליקויים או שגיאות, וכי בסעיף זה פייסבוק הסירה מעצמה אחריות לליקויים או פגמים באבטחת מוצריה. בנוסף, בחן בית המשפט את השאלה האם קיים שירות מתחרה וזול יותר שמספק רמת אבטחה גבוהה יותר.
הסכם פשרה עם חברת החשמל בנוגע לאירוע אבטחה. ת"צ 39644-04-20 זיגון נ' חברת החשמל לישראל בע"מ ואח' – נחתם הסכם פשרה בין המבקשים וחברת החשמל בהתאם סעיף 19 לחוק תובענות ייצוגיות, התשס"ו-2006, עקב טענות לאירוע אבטחה במסגרתו לא וידאה חברת החשמל כי מספר הטלפון באמצעותו נרשם הלקוח לאתר האינטרנט של המשיבה אכן שייך ללקוח שמבצע את הליך ההזדהות, מה שהוביל לכך שאנשים שונים יכלו להזדהות כלקוחות של המשיבה. במסגרת הסכם הפשרה שילמה חברת החשמל סך של 380,000 ש"ח והתחייבה לנקוט בצעדים מסוימים, שעלותם הוערכה בכ1.5 מיליון ש"ח, כדי להבטיח שאירועים דומים לא יישנו.
רע"פ 4743/20 לייבל נ' מדינת ישראל (ניתן ביום 21.7.2022) – במסגרת ערעור על החלטת ביהמ"ש המחוזי בירושלים, לפיה הורשע המערער בעבירה של פגיעה בפרטיותה של עובדת ציבור, דן ביהמ"ש העליון בפרשנות המונח "הטרדה אחרת" המופיע בסעיף 2(1) לחוק הגנת הפרטיות ודחה, פה אחד, את הערעור. נקבע כי חדירה למרחב הפרטי הפיזי ו/או הווירטואלי של אדם, תוך פגיעה ביכולתו להיעזב במנוחה ולשלוט במרחבו הפרטי מהווה "הטרדה אחרת" ומשכך פגיעה בפרטיותו. כמו כן צוין כי לא כל מעשה הטרדה שיש בו משום פגיעה בפרטיות, אף כזה שראוי לגינוי מסוים, מהווה עבירה פלילית ונדרש פן מחמיר כך שהפגיעה תהיה פגיעה משמעותית בפרטיות.
ע"א (ת"א) 8720-06-22 יעקב (קובי) כהן נ' ווינד תל-אביב (בייקי) בע"מ (נבו 2.11.2022) – בית המשפט הורה לחברת "ווינד" למסור פרטים של רוכבת קורקינט שלכאורה פגעה ברכב בעת שימוש בקורקינט של החברה. בית המשפט המחוזי בתל אביב דן בערעור על פסק דינו של בית משפט השלום בו נקבע כי לא ניתן למסור פרטים של רוכבת קורקינט שפגעה ברכב של המערערים.
בית המשפט המחוזי קיבל את הערעור והורה למסור את פרטי רוכבת הקורקינט למערערים. בית המשפט נימק כי משתמשי אפליקציות השכרת הקורקינטים מוסרים מידע מזהה באופן רגיל בעת השכרת הכלי ללא ציפייה לאנונימיות.
ת"צ 45748-08-21 גורביץ ואח' נ' קופת חולים המאוחדת המרכזית ואח' (ניתן ביום 10.11.2022) – במסגרת בקשה לאישור תובענה ייצוגית המבקשים טענו כי בעת השימוש באתרי אינטרנט ואפליקציות של המשיבים נאסף מידע רפואי המועבר לצדדים שלישיים שהם גופים מסחריים פרטיים, ללא הסכמה מפורשת ותוך הפרת חובת סודיות ופגיעה בפרטיות. המשיבים טענו כי השירותים הדיגיטליים הם חלק מהשירות הרפואי בהתאם לחוק ביטוח בריאות וכי יש לדון בתביעה בבית הדין לעבודה. ביהמ"ש המחוזי קבע כי רק חלק מהשירותים הדיגיטליים של קופות החולים יחשבו כשירות רפואי תחת חוק ביטוח בריאות (כך למשך זימון תור לרופא אינו שירות רפואי כלל) וכי יש לבחון כל עניין לגופו, ואין לקבוע ששירותים דיגיטליים הם שירותים רפואיים כמקשה אחת, כך שבמקרים מסוימים ניתן להגיש בנוגע לעניינים אלה תביעות נזיקיות בערכאה אזרחית, לרבות עקב הפרות של חוק הגנת הפרטיות.
פורסמה טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי). בשנת 2011 ניתן לישראל מעמד תאימות על ידי האיחוד האירופי, המכיר בכך שרמת הגנת המידע בישראל תואמת לרמת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי, ולפיכך מידע אישי יכול לעבור אליה באופן פשוט ונוח. על רקע תהליך בחינה שמקיים כיום האיחוד האירופי ביחס לרמת ההגנה של מידע בישראל, מוצע לקבוע הוראות מיוחדות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי. במסגרת זאת מוצע, בין היתר, לקבוע ארבע חובות שיחולו על בעלי מאגרי במידע בישראל ביחס למידע שהועבר לישראל מהאזור הכלכלי האירופי: חובת מחיקת מידע, הגבלת החזקת מידע שאינו נחוץ, חובת דיוק מידע וחובת יידוע. קישור לטיוטת התקנות
ביום 1 בינואר 2023 נכנסה לתוקף החובה להשתמש במאגר "אל תתקשרו אליי". החל מינואר 2023 יחול איסור על עוסק או מי מטעמו לפנות בשיחת שיווק לצרכן שמספר טלפון שלו רשום במאגר "אל תתקשר אליי", ואף יחול איסור לפנות לצרכן שהכניס את מספרו למאגר על מנת לשכנעו להסירו. העוסק יצטרך לבדוק האם מספר הטלפון של הצרכן רשום במאגר 15 ימים לפני מועד הפנייה השיווקית. עם זאת, בחוק נקבעו מספר מקרים בהם לא יחול האיסור לפנות לצרכן אפילו אם מספר הטלפון שלו רשום במאגר (מקרים מסוימים שנוגעים לעסקה מתמשכת, הסכמה מפורשת ומקרים נוספים המפורטים בתוספת השישית לחוק הגנת הצרכן). אכיפה בפועל החל מיום 22.1.2023.
הרשות להגנת הצרכן ולסחר הוגן פרסמה שאלות ותשובות בנושא מאגר "אל תתקשרו אליי", הזמינים בקישור הבא: https://www.gov.il/he/departments/faq/cfta_dncqa
הרשות להגנת הפרטיות הטילה קנס של 320,000 ₪ על חברת "דאטה אונליין" שסחרה במאגרי מידע ומכרה מידע על אזרחים. יצוין, כי הקנס המירבי על הפרה בודדת של החוק להגנת הפרטיות בידי תאגיד עומד על 25,000 ₪.
משרדנו ישמח לעמוד לרשותכם בכל שאלה פרטנית בעניין ולסייע בכל הדרוש.
הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.
בכל שאלה או הבהרה בנושאים המפורטים במזכר זה, ניתן לפנות לאנשי הקשר שלכם במשרדנו או ל:
