© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

ענת אבן-חן

ענת מובילה את תחום הרגולציה במשרד ומעניקה ייעוץ ללקוחות מקומיים וזרים בכל הסוגיות הרגולטוריות השונות

עו"ד ענת אבן-חן מסייעת לחברות הפועלות בישראל לעמוד בדרישות הרגולטוריות השונות. זאת בין אם מדובר על רגולציה פיננסית, סוגיות פרטיות ואבטחת מידע, רגולציה בתחום הגז, הגבלים עסקיים, מדעי החיים ועבודה מול המדען הראשי בכל הנוגע למענקים.

 

בתחום הרגולציה הפיננסית ענת מייעצת ומלווה חברות בתחום הפינטק והרגטק. העבודה כוללת  ייצוג הלקוחות מול הרגולטורים הרלוונטיים, הכנת חוות דעת, ייעוץ לגבי אופן הפעילות הנכון, ליווי הליכי חקיקה בכנסת ומול הרגולטורים ועוד.

 

בתחום הגנת הסייבר והגנת הפרטיות, ענת מלווה חברות בהטמעת דרישות הרגולטור המקומי והאירופאי, ייעוץ בסוגיות פרטיות מגוונות, הסדרת תיעוד הקשר עם לקוחות וספקים, ניהול רישום מאגרי מידע וליווי לקוחות אשר חוו מתקפת סייבר לרבות בפני רשות הגנת הפרטיות. 

 

ענת גם מלווה חברות שונות בהקמת מיזמי האינטרנט שלהם בהיבטים רגולטוריים שונים שמעוררת הפעילות.

 

ענת מייעצת ללקוחות בתחום דיני התחרות וההגבלים העסקיים ומלווה בהליכים מול הממונה על התחרות ובית הדין, בסוגיות הנוגעות למיזוגי חברות, הסדרים כובלים, פעילות מונופולין, מתן חוות דעת שונות ועוד.

השכלה:


אוניברסיטת ניו יורק .LL.M שנת 2010

אוניברסיטת תל אביב .LL.M שנת 2008

אוניברסיטת חיפה .LL.B ו - BA בכלכלה בהצטיינות שנת 2005

חבר בלשכת עורכי דין:


חברת לשכת עורכי הדין משנת 2006

חדשות ועדכונים - ענת אבן-חן:


4 בינואר, 2022

jumpTau וברנע - מחזור חדש

מחזור חדש של תכנית האקסלרטור jumpTAU, מבית אוניברסיטת תל אביב, יצא לדרך. האקסלרטור תומך במיזמים רב תרבותיים, לקידום שיתוף פעולה בין יזמים ויזמיות ערבים ויהודים.
משרדנו מלווה את האקסלרטור במסגרת שיתוף פעולה רחב עם אוניברסיטת תל אביב.  במפגש שנערך היום הרצו בפני היזמים והיזמיות ארבעה משותפינו:
עו"ד דניאל לורבר הרצה על הסכם מייסדים, עו"ד איתי גורה הרצה על מימון סטארטאפים, עו"ד ענת אבן-חן הרצתה על תקנון אתר ופרטיות ועו"ד עידו פרוינד הרצה על קניין רוחני.

30 בדצמבר, 2021

דיני הפרטיות בישראל – סיכום 2021 ומבט ל-2022

חקיקת הפרטיות בישראל מעלה הילוך ומתחילה לסגור את הפער מול החקיקה באירופה. צעד משמעותי בתחום נעשה לפני כחודש, כאשר ועדת השרים אישרה שורה של תיקונים שמטרתם התאמת דיני הפרטיות בישראל לצרכים, לטכנולוגיות ולמגמות של שנת 2022, כמו גם להעניק לרשות להגנת הפרטיות סמכויות אכיפה משמעותיות להגדיל את הקנסות שביכולתה להטיל במקרים של הפרות.
 
במקביל, בשנה וחצי האחרונות פרסמה הרשות שורה של גילויי דעת, קולות קוראים ומסמכי מדיניות הנוגעים לאופן פרשנותה את החקיקה הנוגעת לפרטיות ולאופן השימוש של הרשות בסמכויות המוקנות לה.
במאמר זה נתייחס לעיקרי הפרסומים מהתקופה האחרונה. אנו מניחים כי הרשות תמשיך לנקוט בגישה פרו-אקטיבית זו ואולי אף ביתר שאת לאחר השלמת הליך החקיקה.


 
עיצוב לפרטיות


באוקטובר 2020 פרסמה הרשות מדריך לביצוע תסקיר השפעה על פרטיות העוסק בין היתר בעיצוב לפרטיות. במדריך, ממליצה הרשות לגופים הנוגעים במידע אישי  - ציבוריים, ממשלתיים או פרטיים - לנקוט בצעדים של עיצוב לפרטיות ופרטיות כברירת מחדל.

הרשות מעודדת להתייחס לסוגיות הפרטיות כבר מהשלבים הראשונים של עיצוב מערכת המידע בשני היבטים. ההיבט הראשון הוא איסוף מינימלי של מידע – כלומר, שהמערכת תתוכנן כך שייאסף רק המידע המינימלי ההכרחי על המשתמשים. ההיבט השני נוגע לאבטחת מחמירה של המידע שנאסף – לאורך כל מחזור החיים של איסוף המידע והשימוש בו. המטרה היא שעיצוב המערכות ישרת את התכליות העסקיות של הארגון, בד בבד עם מזעור הסיכונים לפרטיות.

הרשות להגנת הפרטיות מעודדת ארגונים ליישם את תפיסת העיצוב לפרטיות בעת תכנון פרויקטים כגון:

  • בניית מערכת מחשוב חדשה לאחסון מידע אישי או לגישה למידע אישי;
  • קידום חקיקה, מדיניות או אסטרטגיה שעשויות להיות לה השלכות של פגיעה בפרטיות;
  • יוזמות לייצוא ולשיתוף מידע אישי;
  • שימוש במידע אישי למטרות חדשות.


כדי ליישם את תפיסת העיצוב לפרטיות, מומלץ לבצע את תסקיר ההשפעה על הפרטיות, וזאת כפי שנדרש כחובה חוקית ב-GDPR. באוגוסט 2021 הרשות פרסמה מדריך מקיף לשימוש כלל הגופים במשק, המסביר את שלבי התסקיר ואת האופן שבו יש לבצע אותו.
 
 

ממונה על הגנת הפרטיות


פרסום משמעותי נוסף של הרשות נעשה בסוף אוקטובר 2020. הרשות פרסמה להערות הציבור את עמדתה בנושא 'מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו'. על מנת לעמוד בהוראות דיני ההגנה על מידע אישי בישראל, הרשות ממליצה על מינוי ממונה הגנה על פרטיות – DPO. מדובר בבעל תפקיד נוסף על הממונה על אבטחת המידע, אשר מינויו נדרש בנסיבות מסוימות כבר כיום לפי חוק הגנת הפרטיות.
תפקידו של ה-DPO, על פי הרשות, הוא להיות מופקד על יישום דיני ההגנה על מידע אישי בארגון, ועל קידום והפנמה של עקרונות ושיקולי פרטיות בכלל תהליכי העבודה בארגון. כלומר, לא מדובר רק בפיקוח על עמידה בלשון החוק ובתקנותיו, אלא על הטמעה של העקרונות והרעיונות שבבסיס דיני הגנת הפרטיות בכלל פעילות הארגון.


מינוי DPO אינו דרישה חוקית בשלב זה, אבל נתפס על ידי הרשות כ-Best Practice. במקרים של ארגונים הכפופים לחובות מכוח דין זר, וביניהן דרישות ה-GDPR, המינוי הזה נדרש מכח הדין הזר. בין תפקידיו של הממונה על הגנת הפרטיות ניתן למצוא את נושאי הסדרת תהליכי ניהול מידע, פיקוח, בקרה, הדרכה והטמעה.
 

אחסון ועיבוד מידע


 
אחד האמצעים בהן נוהגת הרשות כדי להגביר את הציות בתחום הגנת הפרטיות ואבטחת המידע הוא פיקוחי רוחב. בפיקוחי רוחב נשלחים שאלוני ציות לחברות הפועלות בתחום הנבחן. בנובמבר 2020 הרשות פרסמה דו"ח פיקוח רוחב בנושא "ממצאי הליך פיקוח הרוחב בקרב מגזר חברות אחסון ועיבוד מידע בישראל". מדובר בהליך פיקוח רוחב משמעותי, שכן הוא בחן את פרקטיקות אבטחת המידע אצל ספקי השירות המרכזיים כיום בתחום – ספקי השרתים. לפי דו"ח זה קיימים סיכונים רבים לפרטיות לקוחות במגזר שירותי עיבוד ואחסון מידע.

סיכונים נגרמים בעיקר עקב  ניהול מידע רב על ידי אותם גופים וכן בשל שימוש לא מפוקח בשירותי מיקור חוץ. הממצאים שעלו מבדיקות הרשות, יחד עם העובדה כי קיים חוסר מודעות לחוקים ולחובות החלים על מגזר זה, הוביל להחלטה של הרשות שלא לפעול באופן פרטני מול החברות אלא להדגיש כי "חברה המספקת לאחר שירותי אחסון או גיבוי של מאגר מידע לרבות בדרך של העמדת שרתים, נחשבת כ"מחזיקה" במאגר המידע, גם אם תוכן המידע מוצפן והמפתח אינו מצוי בידי אותה חברה אלא בידי בעל המאגר. כפועל יוצא מכך, חלות על חברה זו כלל החובות לפי החוק והתקנות החלות על מחזיק מאגר מידע". במסגרת ממצאי הפיקוח הרשות נתנה הנחיות לביצוע לכלל החברות הפועלות בענף ובכך קבעה את הסטנדרט המצופה מהן וממי שמתקשר עימן. ממצאי פיקוח אלה מחדדים את החובה החלה על בעל המאגר המשתמש בשירותי חברות אלה, לבדוק את מידת עמידת הגורם בתקנות ואת טיב אמצעי אבטחת המידע המיושמים על-ידו.


 
צמצום איסוף מידע אישי

 


במרץ 2021 הרשות פרסמה מסמך מדיניות בנושא "צמצום מידע" (Data minimization) העוסק במידע שנאסף ונאגר למרות שאינו הכרחי להשגת המטרה שלשמה נאסף המידע או למטרות המאגר בו הוא נשמר ("מידע עודף"). לפי החוק והתקנות, איסוף ושמירה של מידע עודף מהווים פגיעה בזכות לפרטיות. במסגרת עמדה זו, הרשות חידדה כי איסוף ושמירה של מידע עודף שאינו הכרחי להשגת המטרה שלשמה הוא נאסף או למטרת המאגר, וכמובן שימוש במידע שכזה, פוגעים בזכות לפרטיות ועשויים להוות הפרה של חוק ותקנות הגנת הפרטיות.

עמדה זו נועדה להזכיר לפועלים בשוק כי העובדה שניתן לאסוף מידע אישי מסוים אינה הצדקה מספקת לאיסופו, ונדרש להצביע על קשר ענייני בין המידע המבוקש לבין מטרות השימוש וכי נדרשת בדיקה מתמקדת של הקשר בין המידע הנאסף לבין השימוש שנעשה בו.


 
ניסוח מדיניות פרטיות


לקראת השקתם של אמצעי התשלום המתקדמים בישראל – אפל פיי וגוגל פיי, במהלך חודש אפריל, הרשות פרסמה מסמך המלצות בנושא "פרטיות באמצעי תשלום מתקדמים להעברת כספים ולתשלום בבתי עסק". זאת בכדי להבטיח כי השימוש באמצעי תשלום אלו יעשה באופן שמגן על פרטיותם של המשתמשים ומאפשר להם שליטה במידע. המלצות הרשות התבססו על ניתוח מסמכי מדיניות הפרטיות ותנאי השימוש של אמצעי התשלום המתקדמים המרכזיים אשר פעלו באותו המועד.


המלצותיה של הרשות ביחס לשמירה על פרטיות משתמשי אפליקציות התשלומים ואיסוף המידע לגביהם עשויות להיות רחבות יותר ולחול גם על מדיניות פרטיות של  גופים אחרים, במיוחד כאלה הנוגעים במידע רגיש בדומה לטכנולוגיות התשלומים.


הרשות הדגישה במסמך ההמלצות כי יש לתת משקל רב לקיום "עקרון ההסכמה" הנגזר מסעיף 1 לחוק הגנת הפרטיות. לפי הרשות, יישום ראוי של עיקרון זה מחייב את מבקש ההסכמה לפרט את כלל הפרטים הרלוונטיים לקבלת החלטה בנושא. על מבקש ההסכמה לפרט, בין היתר, איזה מידע ייאסף בעקבות קבלת ההסכמה, אילו שימושים ייעשו בו, למי הוא עשוי להיות מועבר ולשם איזו מטרה. ההסבר צריך להיות ברור, ישיר ובשפה נגישה. כמו כן, עליו לכלול פירוט בדבר זכויותיו של נושא המידע בכדי לאפשר למשתמש לשלוט בפרטיותו. מהכתוב במסמך עולה כי הרשות מבצעת בחינה של נהלי ומסמכי החברות באופן אקטיבי בכל הנוגע לאיסוף ולעיבוד המידע ולכן מומלץ לכלל הגופים לכתוב ולאכוף נהלים אלו בצורה מיטבית.


בין הדגשים וההמלצות:

  • קבלת הרשאות שאינן נדרשות להפעלת השירות במתכונת הבסיסית יידרשו הסכמה אקטיבית מצד המשתמשים (Opt-in ולא Opt-out);
  • שימוש בעוגיות (Cookies) שאינן חיוניות ייעשה במודל של הסכמה אקטיבית Opt-in, נפרדת תוך מתן הסבר מתאים;
  • שינוי מהותי בטכנולוגיה בה נעשה שימוש יוצג באופן אקטיבי ותתקבל הסכמה מחודשת;כאשר מדובר במידע רגיש, יש לתת פירוט אודות זכויות נשואי המידע לשלוט במידע הנוגע אליהם;
  • יש לכלול מידע על אופן ההתנתקות מהשירות כמו גם להסדיר את השימוש במידע שנצבר לאחר ההתנתקות. ההמלצה היא כי סיום ההתקשרות יביא לסיום שימוש מסחרי במידע שנאגר (להבדיל משמירתו לצרכי עמידה בדרישות החוק או הגנה בהליכים משפטיים).


הרחבת עמדה זו לסקטורים נוספים תהווה שינוי משמעותי של הפרקטיקות הנהוגות בשוק בעניין מדיניות הפרטיות ויש להיערך לכך.

 

 
יחסי עבודה

 


תקופת הקורונה הרחיבה את השימוש באמצעים דיגיטליים במקומות עבודה. בחודש ספטמבר 2021 הרשות פרסמה נייר עמדה בנוגע לאיסוף מידע ולשימוש במידע על עובדים על-ידי מעבידים, בין היתר לצורך מעקב נוכחות. פרסום זה מחדד את מערכת הדינים הדואלית שחלה בעולם העבודה – הן דיני העבודה והן דיני הפרטיות ואת פערי הכוחות בין המעביד ועובד ומדגיש את החובה של מעביד לקחת בחשבון את שיקולי פרטיות העובד כדי לעמוד בהוראות החוק החלות עליו.
 
פרסומים אלה, לצד עמדות הרשות שפורסמו בקשר עם התמודדת הממשלה עם מגיפת הקורונה ושימוש באמצעים טכנולוגיים ומעקבי השב"כ, הם חשובים להבנת הרוח הרגולטורית. הבנת הסטנדרטים המתגבשים בתחום, הם קריטיים ליכולתם של חברות וארגונים הפועלים בישראל להיערך בצורה טובה יותר לאתגרי הפרטיות ואבטחת המידע עימם יפגשו.
 
 ****

צוות הרגולציה במשרדנו ישמח לעמוד לרשותכם בכל שאלה נוספת.

16 בדצמבר, 2021

ייצוג קבוצת עזריאלי נגד מתווה הצמידים שמבקש משרד הבריאות להחיל

משרד הבריאות ביקש להחיל החל מיום שישי הקרוב צמידים ללא מחוסנים בקניונים משרד. קבוצת עזריאלי שלחה באמצעות עורכי הדין זוהר לנדה, ערן וינר, ענת אבן-חן, עידו וקשי וגאיה צרפתי פנייה דחופה לראש הממשלה ולשרי האוצר, הבריאות, הכלכלה, המשפטים וליועמ"ש. בפנייה טענו כי המתווה שאמור להיכנס לתוקף "מפלה, פוגעני, בלתי סביר ובלתי מידתי". לאור הביקורת החליט ראש הממשלה ושר הבריאות כי מתווה הקניונים שיובא לאישור הממשלה לא יכלול הנחיה לסמן בצמידים את המבקרים שיש להם תו ירוק.

לכל החדשות של ענת אבן-חן >

הזן כתובת אימייל על מנת להירשם לניוזלטר: