חקיקת הפרטיות בישראל מעלה הילוך ומתחילה לסגור את הפער מול החקיקה באירופה. צעד משמעותי בתחום נעשה לפני כחודש, כאשר ועדת השרים אישרה שורה של תיקונים שמטרתם התאמת דיני הפרטיות בישראל לצרכים, לטכנולוגיות ולמגמות של שנת 2022, כמו גם להעניק לרשות להגנת הפרטיות סמכויות אכיפה משמעותיות להגדיל את הקנסות שביכולתה להטיל במקרים של הפרות.
במקביל, בשנה וחצי האחרונות פרסמה הרשות שורה של גילויי דעת, קולות קוראים ומסמכי מדיניות הנוגעים לאופן פרשנותה את החקיקה הנוגעת לפרטיות ולאופן השימוש של הרשות בסמכויות המוקנות לה.
במאמר זה נתייחס לעיקרי הפרסומים מהתקופה האחרונה. אנו מניחים כי הרשות תמשיך לנקוט בגישה פרו-אקטיבית זו ואולי אף ביתר שאת לאחר השלמת הליך החקיקה.
עיצוב לפרטיות
באוקטובר 2020 פרסמה הרשות מדריך לביצוע תסקיר השפעה על פרטיות העוסק בין היתר בעיצוב לפרטיות. במדריך, ממליצה הרשות לגופים הנוגעים במידע אישי – ציבוריים, ממשלתיים או פרטיים – לנקוט בצעדים של עיצוב לפרטיות ופרטיות כברירת מחדל.
הרשות מעודדת להתייחס לסוגיות הפרטיות כבר מהשלבים הראשונים של עיצוב מערכת המידע בשני היבטים. ההיבט הראשון הוא איסוף מינימלי של מידע – כלומר, שהמערכת תתוכנן כך שייאסף רק המידע המינימלי ההכרחי על המשתמשים. ההיבט השני נוגע לאבטחת מחמירה של המידע שנאסף – לאורך כל מחזור החיים של איסוף המידע והשימוש בו. המטרה היא שעיצוב המערכות ישרת את התכליות העסקיות של הארגון, בד בבד עם מזעור הסיכונים לפרטיות.
הרשות להגנת הפרטיות מעודדת ארגונים ליישם את תפיסת העיצוב לפרטיות בעת תכנון פרויקטים כגון:
- בניית מערכת מחשוב חדשה לאחסון מידע אישי או לגישה למידע אישי;
- קידום חקיקה, מדיניות או אסטרטגיה שעשויות להיות לה השלכות של פגיעה בפרטיות;
- יוזמות לייצוא ולשיתוף מידע אישי;
- שימוש במידע אישי למטרות חדשות.
כדי ליישם את תפיסת העיצוב לפרטיות, מומלץ לבצע את תסקיר ההשפעה על הפרטיות, וזאת כפי שנדרש כחובה חוקית ב-GDPR. באוגוסט 2021 הרשות פרסמה מדריך מקיף לשימוש כלל הגופים במשק, המסביר את שלבי התסקיר ואת האופן שבו יש לבצע אותו.
ממונה על הגנת הפרטיות
פרסום משמעותי נוסף של הרשות נעשה בסוף אוקטובר 2020. הרשות פרסמה להערות הציבור את עמדתה בנושא 'מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו'. על מנת לעמוד בהוראות דיני ההגנה על מידע אישי בישראל, הרשות ממליצה על מינוי ממונה הגנה על פרטיות – DPO. מדובר בבעל תפקיד נוסף על הממונה על אבטחת המידע, אשר מינויו נדרש בנסיבות מסוימות כבר כיום לפי חוק הגנת הפרטיות.
תפקידו של ה-DPO, על פי הרשות, הוא להיות מופקד על יישום דיני ההגנה על מידע אישי בארגון, ועל קידום והפנמה של עקרונות ושיקולי פרטיות בכלל תהליכי העבודה בארגון. כלומר, לא מדובר רק בפיקוח על עמידה בלשון החוק ובתקנותיו, אלא על הטמעה של העקרונות והרעיונות שבבסיס דיני הגנת הפרטיות בכלל פעילות הארגון.
מינוי DPO אינו דרישה חוקית בשלב זה, אבל נתפס על ידי הרשות כ-Best Practice. במקרים של ארגונים הכפופים לחובות מכוח דין זר, וביניהן דרישות ה-GDPR, המינוי הזה נדרש מכח הדין הזר. בין תפקידיו של הממונה על הגנת הפרטיות ניתן למצוא את נושאי הסדרת תהליכי ניהול מידע, פיקוח, בקרה, הדרכה והטמעה.
אחסון ועיבוד מידע
כדי להגביר את הציות בתחום הגנת הפרטיות ואבטחת המידע הרשות מבצעת פיקוחי רוחב. בפיקוחי רוחב נשלחים שאלוני ציות לחברות הפועלות בתחום הנבחן. ב- 2020 הרשות פרסמה דו"ח בנושא "ממצאי הליך פיקוח הרוחב בקרב מגזר חברות אחסון ועיבוד מידע בישראל". מדובר בהליך פיקוח רוחב משמעותי, שכן הוא בחן את פרקטיקות אבטחת המידע אצל ספקי השירות המרכזיים כיום בתחום – ספקי השרתים. לפי דו"ח זה קיימים סיכונים רבים לפרטיות לקוחות במגזר שירותי עיבוד ואחסון מידע.
סיכונים נגרמים בעיקר עקב ניהול מידע רב על ידי אותם גופים וכן בשל שימוש לא מפוקח בשירותי מיקור חוץ. הממצאים שעלו מבדיקות הרשות, יחד עם העובדה כי קיים חוסר מודעות לחוקים ולחובות החלים על מגזר זה, הוביל להחלטה של הרשות שלא לפעול באופן פרטני מול החברות אלא להדגיש כי "חברה המספקת לאחר שירותי אחסון או גיבוי של מאגר מידע לרבות בדרך של העמדת שרתים, נחשבת כ"מחזיקה" במאגר המידע, גם אם תוכן המידע מוצפן והמפתח אינו מצוי בידי אותה חברה אלא בידי בעל המאגר. כפועל יוצא מכך, חלות על חברה זו כלל החובות לפי החוק והתקנות החלות על מחזיק מאגר מידע". במסגרת ממצאי הפיקוח הרשות נתנה הנחיות לביצוע לכלל החברות הפועלות בענף ובכך קבעה את הסטנדרט המצופה מהן וממי שמתקשר עימן. ממצאי פיקוח אלה מחדדים את החובה החלה על בעל המאגר המשתמש בשירותי חברות אלה, לבדוק את מידת עמידת הגורם בתקנות ואת טיב אמצעי אבטחת המידע המיושמים על-ידו.
צמצום איסוף מידע אישי
במרץ 2021 הרשות פרסמה מסמך מדיניות בנושא "צמצום מידע" (Data minimization) העוסק במידע שנאסף ונאגר למרות שאינו הכרחי להשגת המטרה שלשמה נאסף המידע או למטרות המאגר בו הוא נשמר ("מידע עודף"). לפי החוק והתקנות, איסוף ושמירה של מידע עודף מהווים פגיעה בזכות לפרטיות. במסגרת עמדה זו, הרשות חידדה כי איסוף ושמירה של מידע עודף שאינו הכרחי להשגת המטרה שלשמה הוא נאסף או למטרת המאגר, וכמובן שימוש במידע שכזה, פוגעים בזכות לפרטיות ועשויים להוות הפרה של חוק ותקנות הגנת הפרטיות.
עמדה זו נועדה להזכיר לפועלים בשוק כי העובדה שניתן לאסוף מידע אישי מסוים אינה הצדקה מספקת לאיסופו, ונדרש להצביע על קשר ענייני בין המידע המבוקש לבין מטרות השימוש וכי נדרשת בדיקה מתמקדת של הקשר בין המידע הנאסף לבין השימוש שנעשה בו.
ניסוח מדיניות פרטיות
לקראת השקתם של אמצעי התשלום המתקדמים בישראל – אפל פיי וגוגל פיי, במהלך חודש אפריל, הרשות פרסמה מסמך המלצות בנושא "פרטיות באמצעי תשלום מתקדמים להעברת כספים ולתשלום בבתי עסק". זאת בכדי להבטיח כי השימוש באמצעי תשלום אלו יעשה באופן שמגן על פרטיותם של המשתמשים ומאפשר להם שליטה במידע. המלצות הרשות התבססו על ניתוח מסמכי מדיניות הפרטיות ותנאי השימוש של אמצעי התשלום המתקדמים המרכזיים אשר פעלו באותו המועד.
המלצותיה של הרשות ביחס לשמירה על פרטיות משתמשי אפליקציות התשלומים ואיסוף המידע לגביהם עשויות להיות רחבות יותר ולחול גם על מדיניות פרטיות של גופים אחרים, במיוחד כאלה הנוגעים במידע רגיש בדומה לטכנולוגיות התשלומים.
הרשות הדגישה במסמך ההמלצות כי יש לתת משקל רב לקיום "עקרון ההסכמה" הנגזר מסעיף 1 לחוק הגנת הפרטיות. לפי הרשות, יישום ראוי של עיקרון זה מחייב את מבקש ההסכמה לפרט את כלל הפרטים הרלוונטיים לקבלת החלטה בנושא. על מבקש ההסכמה לפרט, בין היתר, איזה מידע ייאסף בעקבות קבלת ההסכמה, אילו שימושים ייעשו בו, למי הוא עשוי להיות מועבר ולשם איזו מטרה. ההסבר צריך להיות ברור, ישיר ובשפה נגישה. כמו כן, עליו לכלול פירוט בדבר זכויותיו של נושא המידע בכדי לאפשר למשתמש לשלוט בפרטיותו. מהכתוב במסמך עולה כי הרשות מבצעת בחינה של נהלי ומסמכי החברות באופן אקטיבי בכל הנוגע לאיסוף ולעיבוד המידע ולכן מומלץ לכלל הגופים לכתוב ולאכוף נהלים אלו בצורה מיטבית.
בין הדגשים וההמלצות:
- קבלת הרשאות שאינן נדרשות להפעלת השירות במתכונת הבסיסית יידרשו הסכמה אקטיבית מצד המשתמשים (Opt-in ולא Opt-out);
- שימוש בעוגיות (Cookies) שאינן חיוניות ייעשה במודל של הסכמה אקטיבית Opt-in, נפרדת תוך מתן הסבר מתאים;
- שינוי מהותי בטכנולוגיה בה נעשה שימוש יוצג באופן אקטיבי ותתקבל הסכמה מחודשת;כאשר מדובר במידע רגיש, יש לתת פירוט אודות זכויות נשואי המידע לשלוט במידע הנוגע אליהם;
- יש לכלול מידע על אופן ההתנתקות מהשירות כמו גם להסדיר את השימוש במידע שנצבר לאחר ההתנתקות. ההמלצה היא כי סיום ההתקשרות יביא לסיום שימוש מסחרי במידע שנאגר (להבדיל משמירתו לצרכי עמידה בדרישות החוק או הגנה בהליכים משפטיים).
הרחבת עמדה זו לסקטורים נוספים תהווה שינוי משמעותי של הפרקטיקות הנהוגות בשוק בעניין מדיניות הפרטיות ויש להיערך לכך.
יחסי עבודה
תקופת הקורונה הרחיבה את השימוש באמצעים דיגיטליים במקומות עבודה. בחודש ספטמבר 2021 הרשות פרסמה נייר עמדה בנוגע לאיסוף מידע ולשימוש במידע על עובדים על-ידי מעבידים, בין היתר לצורך מעקב נוכחות. פרסום זה מחדד את מערכת הדינים הדואלית שחלה בעולם העבודה – הן דיני העבודה והן דיני הפרטיות ואת פערי הכוחות בין המעביד ועובד. הפרסום מדגיש את החובה של מעביד לקחת בחשבון את שיקולי פרטיות העובד כדי לעמוד בהוראות החוק החלות עליו.
פרסומים אלה, לצד עמדות הרשות שפורסמו בקשר עם התמודדת הממשלה עם מגיפת הקורונה ושימוש באמצעים טכנולוגיים ומעקבי השב"כ, הם חשובים להבנת הרוח הרגולטורית. הבנת הסטנדרטים המתגבשים בתחום, קריטיים ליכולתם של חברות בישראל להיערך בצורה טובה יותר לאתגרי הפרטיות ואבטחת המידע עימם יפגשו.
****
ענת אבן חן ענת היא שותפה במשרד ומובילה את תחום הרגולציה.
בן נורמן הוא עורך דין בצוות הרגלוציה של המשרד.
****
משרד עורכי דין ברנע ושות' ישמח לעמוד לרשותכם בכל שאלה נוספת.