שנת 2022 התאפיינה בהתפתחויות רגולטוריות משמעותיות בתחום הגנת הפרטיות בישראל וברחבי העולם. התפתחויות אלו משפיעות באופן ישיר על חברות, להן פעילות עסקית בישראל וברחבי העולם שכרוכה באיסוף ובעיבוד מידע אישי.
התפתחויות רגולטוריות בישראל
עדכוני חקיקה
1. הצעה לתיקון חוק הגנת הפרטיות
תיקון מס' 14 לחוק הגנת הפרטיות הוגש בינואר 2022 במטרה להתאים את החוק למציאות הטכנולוגית. ההצעה מנסה להגשים תכלית זו בשני מישורים. במישור הראשון, צמצום חובת רישום מאגר מידע וכן דיוק ההגדרות של "מידע" ו"מידע רגיש", כך שיתכתבו בצורה נכונה יותר עם ההתפתחויות הטכנולוגיות ועם המסגרת החקיקתית באירופה וברוב מדינות העולם המערבי. במישור השני, הרחבת סמכויות האכיפה של הרשות להגנת הפרטיות וכן הגדלת גובה הקנסות שיוטלו על ארגונים בגין הפרות של החוק. הצעת החוק נוקבת בתקופה של חצי שנה בלבד ממועד השלמת החקיקה כמועד כניסה לתוקף ועל כן דורשת היערכות מוקדמת של ארגונים שמנהלים או מחזיקים מאגרי מידע. לקריאת העדכון המלא לחצו כאן.
2. תקנות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי
בסוף נובמבר 2022, פרסם משרד המשפטים את טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי). התקנות קובעות חובות פרטניות שחלות על ארגונים אשר מעבירים מידע אישי מהאזור הכלכלי האירופי. זאת, בנוסף לחובות הקיימות תחת חוק הגנת הפרטיות בישראל. התקנות הוצעו על רקע בחינה שמקיימת כיום נציבות האיחוד האירופי ביחס לישראל, לצורך בחינת חידוש מעמד התאימות שניתן לישראל על ידי האיחוד, כמדינה שרמת הגנת המידע בה תואמת לרמת ההגנה על מידע אישי הנוהגת במדינות האזור הכלכלי האירופי. התקנות המוצעות קובעות ארבע חובות נוספות שיחולו על בעלי מאגרי המידע בישראל, ביחס למידע שהועבר לישראל מהאזור הכלכלי האירופי, וכן עדכון של הגדרת "מידע רגיש" בצורה שתתאים לתקנות הגנת המידע של האיחוד האירופי (GDPR). לקריאת העדכון המלא לחצו כאן.
הנחיות ופרסומים של הרשות להגנת הפרטיות
שנת 2022 התאפיינה בפרסומים רבים של הרשות להגנת הפרטיות הכוללים הנחיות, עמדות, גילויי דעת ועוד, אשר חידדו והעמיקו את הדרישות שחלות על ארגונים בישראל שמעבדים מידע אישי. בהינתן הקושי בקידום החקיקה, פרסומי הרשות מהווים מקור עיקרי לקביעת נורמות משפטיות בתחום הגנת הפרטיות.
1. החמרה בדרישות הרשות בנוגע לדיווחים על אירועי אבטחת מידע
מדיניות הרשות ביחס לקבלת דיווחים על אירועי אבטחת מידע עודכנה בספטמבר 2022. החידוש העיקרי שעלה מהפרסום, הוא כי אירועי אבטחה חמורים, הנוגעים למאגרי מידע ברמת אבטחה בינונית או גבוהה, צריכים להיות מדווחים באופן מיידי לרשות להגנת הפרטיות. זאת, בניגוד לטווח הזמנים עליו המליצה הרשות בעבר.
שינוי המדיניות מצריך מחברות המנהלות או מחזיקות מאגרי מידע לוודא כי מדיניות התגובה והנהלים הפנימיים לאירועי אבטחת מידע מאפשרים עמידה במסגרת הזמנים האמורה וכן בחינה של ההסכמים מול צדדים שלישיים ביחס לחובות המוטלות עליהם באירועי אבטחת מידע. לקריאת העדכון המלא לחצו כאן.
2. מסמך המלצות למינוי ממונה להגנת פרטיות
הרשות פרסמה בינואר 2022 מסמך המלצות עבור ארגונים וחברות מכלל המגזרים במשק בנוגע למינוי ממונה הגנת פרטיות בארגון. בכך, הרשות משקפת לארגונים במשק הישראלי את ציפייתה שהארגונים השונים ימנו גורם בכיר, אשר יופקד על יישום דיני הפרטיות בארגון. על אף שלא מדובר בדרישה מחייבת, אי מינוי ממונה עשוי להיזקף לרעתו של הארגון, במידה ויעמוד תחת פיקוחה של הרשות להגנת הפרטיות. לחצו כאן לקריאת העדכון המלא לחצו כאן.
3. חובת יידוע במסגרת איסוף ושימוש במידע אישי
ביולי 2022, פרסמה הרשות את עמדתה בנושא חובת היידוע באיסוף ובשימוש במידע אישי. מטרת עמדה זו הינה לחדד את חובת היידוע שחלה על ארגונים אשר אוספים מידע אישי. חידוד זה דן, בין היתר, ביחסים שבין חובת היידוע לבין הדרישה החוקית לקבלת "הסכמה מדעת" מאנשים בטרם איסוף מידע אודותיהם, וכן בדרכי התמודדות מומלצות עם האתגרים בקיום חובת היידוע בסביבות טכנולוגיות מתקדמות. בין היתר, הבהירה הרשות כי על מנת לבסס "הסכמה מדעת", גורמים האוספים מידע אישי, באמצעות מערכות אלגוריתמים ובינה מלאכותית, נדרשים ליידע את נושאי המידע ביחס למטרת איסוף המידע והשימוש בו כבר בשלב איסוף המידע. עמדה זו מחייבת ארגונים לבחון כיצד הם אוספים, מעבדים ושומרים מידע אישי ואת הדרך בה הם משקפים זאת לנושאי המידע. לקריאת העדכון המלא לחצו כאן.
4. "מידע" ו"ידיעה על ענייניו הפרטיים של אדם" בחוק הגנת הפרטיות
בדצמבר 2022, פרסמה הרשות גרסה סופית של גילוי דעת בנוגע למונחים "מידע" ו"ידיעה על ענייניו הפרטיים של אדם" בחוק הגנת הפרטיות. גילוי הדעת מבאר את המונחים הללו, אשר מהווים את הבסיס לתחולתן של החובות השונות מכוח חוק הגנת הפרטיות. עמדת הרשות היא כי רשימת סוגי המידע המהווים "מידע" או "ענייניו הפרטיים של אדם" שבחוק איננה רשימה ממצה, מאחר ומציאות החיים והטכנולוגיה מוסיפות לייצר נתונים חדשים, אשר מחייבים את הרחבת היריעה ותחולת החוק.
התפתחויות בינלאומיות בתחומי הפרטיות והשירותים הדיגיטליים
במהלך השנה האחרונה חלו מספר התפתחויות חשובות בתחומי הפרטיות במישור הבינלאומי, להן השפעה ישירה על ארגונים ישראלים להם פעילות עסקית בינלאומית. במסגרת זו, נבקש לשים זרקור על התפתחויות רגולטוריות מרכזיות בארצות הברית ובאיחוד האירופי.
התפתחויות חקיקתיות בארצות הברית
ביוני 2022, פורסמה הצעת החוק הפדראלית בנושא הפרטיות והגנת המידע ה-ADPPA. הצעת החוק שואפת לכונן סטנדרט אחיד ומחייב להגנת הפרטיות בארצות הברית, במסגרתו יוטלו חובות מהותיות על חברות מקומיות ובינלאומיות שאוספות ומעבדות מידע אישי של אמריקאים.
במקביל ליוזמה זו, במהלך השנה האחרונה מדינות נוספות הצטרפו לוירג'יניה, קולורדו וקליפורניה במגמה של חקיקת חוקי פרטיות מדינתיים שתואמים במידה רבה לעקרונות שנקבעו ברגולציית הפרטיות האירופאית, ה-GDPR. השנה חוקקו חוקי פרטיות חדשים גם ביוטה ובקונטיקט.
בתחילת 2023 נכנס לתוקפו חוק הפרטיות החדש בקליפורניה (ה-CPRA) אשר חל גם על חברות מחוץ לקליפורניה שמספקות שירותים או מוצרים לתושבי המדינה. ה-CPRA הרחיב באופן ניכר את החובות שחלו עד כה על גופים אשר מעבדים מידע אישי. כך למשל, הוא החיל חובות חדשות לעניין הגבלת משך שמירת מידע, הרחיב את ההגבלות הקיימות ביחס להעברת מידע לצדדים שלישיים, הגביר את חובות השקיפות והעניק לנושאי המידע זכויות נוספות. יתר על כן, ה-CPRA הרחיב את אפשרויות האכיפה בכך שאפשר להטיל קנסות מנהליים גם על נותני שירותים, ביטל את "תקופת החסד" שניתנה לחברות שהפרו את החוק לתקן את ההפרה והרחיב את האפשרות להגשת תביעה נזיקית מצד אזרחים שניזוקו כתוצאה מאירועי אבטחת מידע.
פעולות האכיפה ביחס לקיום החובות תחת ה-CPRA מתוכננות להתחיל כבר בחודש יולי. זאת, בנוסף לפעולות האכיפה שכבר מתקיימות תחת החוק הקיים בקליפורניה. בהקשר זה, נציין כי במהלך חודש אוגוסט 2022, הוטל קנס ראשון מסוגו תחת ה-CCPA על חברת הקוסמטיקה Sephora בגין הפרה של חובות שקיפות ואי כיבוד זכויותיהם של לקוחותיה ביחס למכירת המידע האישי. לקריאת העדכון המלא בנושא זה, לחצו כאן.
נוכח ההתפתחויות הרגולטוריות ופעולות האכיפה בקליפורניה, חברות אשר אוספות או מעבדות מידע על תושבי המדינה צריכות להטמיע בהקדם מנגנונים ארגוניים וטכנולוגיים על מנת לוודא שהן מקיימות את החובות העדכניות של רגולציית הפרטיות בקליפורניה.
מסגרת חדשה להעברת מידע מהאיחוד האירופי לארצות הברית
במהלך דצמבר פורסם הסדר חדש להעברת מידע בין האיחוד האירופי לארצות הברית. מדובר בהסדר תאימות (Adequacy) אשר צפוי לאפשר העברת מידע באופן חופשי מאירופה לארגונים בארה"ב, ובלבד שארגונים אלה יקבלו על עצמם התחייבויות מוגברות מעבר לרמה שקבועה בחקיקה הנוכחית של ארצות הברית. הסדר זה בא לעולם לאחר שבית המשפט לצדק של האיחוד האירופי ביטל את ההסדר הקודם, ה-Privacy Shield, ביולי 2020 ואימוצו תלוי עדיין באישור מוסדות האיחוד.
אם אישור זה יתקבל, ארגונים יוכלו להעביר מידע באופן חופשי מאירופה לארצות הברית ובלבד שהם יעדכנו את מסמכי המדיניות הפנימיים ואת ההסכמים עם לקוחות וספקים, באופן שתואם את עקרונות הפרטיות הקבועים בהסדר.
חקיקה אירופית בדבר אספקת השירותים הדיגיטליים ברשת
במהלך 2022, המחוקקים של האיחוד האירופי חוקקו שני חוקים מקיפים אשר מסדירים את תחום אספקת השירותים הדיגיטליים ברשת. האחד, חוק השירותים הדיגיטליים (ה-DSA), והשני, חוק השווקים הדיגיטליים (ה-DMA).
חוקים אלה יחולו על ספקי שירותים ברשת האינטרנט, לרבות אתרי אינטרנט, פלטפורמות מסחר, רשתות חברתיות ועוד. מטרת החוקים היא להפוך את השימוש ברשת האינטרנט והשירותים הניתנים במסגרתה להוגנים ובטוחים יותר, תוך הטלת מגבלות הקשורות לעיבוד מידע ותכנים של משתמשי קצה. החוקים מחייבים, בין היתר, חובות שקיפות מוגברות שיחולו על ספקי שירותים באינטרנט, איסור על שימוש במידע רגיש כדי להציג פרסומות מותאמות אישית, חובות לעניין הפעלת פיקוח על תכנים, חובות לעניין הפעלת פיקוח על מוצרים שנמכרים ברשת וכן מגבלות קשיחות על ענקיות הטכנולוגיה (גוגל, אמאזון, וכו') שמטרתן להגן על התחרות. גופים שיפרו חובות אלה חשופים לקנסות גבוהים במיוחד.
חוק השירותים הדיגיטליים צפוי להיכנס לתוקף ב-1 בינואר 2024. חוק השווקים הדיגיטליים ייכנס לתוקף החל מחודש מאי 2023. כיוון שההתאמות הנדרשות תחת החוקים הללו דורשת זמן והיערכות, ארגונים המציעים שירותים מקוונים באירופה צריכים להיערך לכך מבעוד מועד.
סיכום ומבט לשנת 2023
כאמור, שנת 2022 הייתה גדושה ביוזמות רגולטוריות בתחומי הגנת הפרטיות ופעולות אכיפה משמעותיות, אך דומה כי שנת 2023 צפויה להיות עמוסה אף יותר. מדינות רבות בארצות הברית (ניו ג'רזי, מישיגן, ועוד) כבר מצויות עמוק בתהליכי החקיקה במטרה להצטרף למגמת הרגולציות המדינתיות בתחום הפרטיות. באירופה, לצד פעולות האכיפה ביחס לרגולציית ה-GDPR, צפויה להמשיך ולהתפתח רגולציית הבינה המלאכותית, אשר מטרתה לאפשר את ההתקדמות הטכנולוגית תוך הבטחת זכויות היסוד, לרבות הזכות לפרטיות, של אלו המשתמשים בטכנולוגיות אלו. מדינות נוספות, כגון קנדה, הודו ואוסטרליה, מצויות בתהליכים של חידוש ועדכון חקיקות הפרטיות המקומיות.
התפתחויות אלו ידרשו מארגונים עם פעילות בינלאומית המערבת איסוף ועיבוד מידע אישי, לבסס תכנית פרטיות ארגונית, לרבות מדיניות פרטיות ומסמכי אבטחת מידע, ולהטמיעה בצורה שתתאים לאופי החברה ופעילותה.
***
דר' אבישי קליין הוא שותף במחלקת הרגולציה וראש תחום פרטיות ואבטחת מידע בברנע ג'פה לנדה.
קרין קשי ובן נורמן הם עורכי דין במחלקת הרגולציה במשרד.