עדכון לקוחות בהתפתחות בתחום הגנת הפרטיות ובינה מלאכותית
להלן רכזנו עבורכם עדכונים חשובים שנועדו לסייע לכם לנווט בסביבה הרגולטורית המשתנה ולוודא עמידה מלאה בדרישות הדין. לאחרונה חלו שינויים משמעותיים אשר עשויים להשפיע על פעילותכם העסקית והמשפטית בתחום הגנת הפרטיות וגם הבינה המלאכותית.
אנו כאן כדי ללוות אתכם בכל שאלה או צורך, ומעמידים לרשותכם את הידע והניסיון שלנו כדי להבטיח שאתם פועלים בביטחון ובתיאום עם כללי הרגולציה העדכניים.
החל מיום 2 בפברואר 2025 נכנס לתוקף סעיף 5 לחוק הבינה המלאכותית האירופאי,[1] האוסר כל שימוש, שיווק או הפעלה של מערכות בינה מלאכותית שעלולות לגרום נזק משמעותי לאנשים או לחברה. הפרקטיקות האסורות כוללות:
הפרות של סעיף זה עלולות לגרור קנסות משמעותיים, עד 7% מהמחזור השנתי העולמי של החברה או 35 מיליון אירו, הגבוה מביניהם.
תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023, שנכנסו לתוקף זה מכבר, נועדו לגשר על הפערים בין הרגולציה הישראלית ל-GDPR האירופיות כחלק מההחלטה של האיחוד האירופי להכיר בישראל כבעלת הגנה נאותה על הפרטיות (מעמד התאימות שהוענק לישראל). לפי התקנות נושאי מידע מאירופה יהיו זכאים לקבל זכויות אשר אינן קיימות בדין הישראלי – כגון הזכות להישכח, חובת שמירת מידע נחוץ בלבד, הבטחת דיוק המידע, חובת יידוע רחבה, הרחבת התחולה של מידע רגיש, ועוד. החל מיום 1 בינואר 2025 התקנות הללו החלו לחול גם על נושאי מידע ישראלים שהמידע שלהם נמצא במאגר מידע מעורב עם מידע של אירופאים. תיקון 13 יקנה לרשות סמכות לאכוף ולהטיל סנקציות גם בקשר להפרות של תקנות אלה.
ביום 17 בינואר 2025 נכנסה לתוקף רגולציית Digital Operational Resilience Act (DORA), האירופאית, שנועדה לחזק את החוסן התפעולי של מוסדות פיננסיים וספקי שירותים טכנולוגיים קריטיים.
DORA מטילה דרישות חדשות על גופים פיננסיים ומחייבת ליישום סטנדרטים מחמירים יותר לניהול סיכונים תפעוליים והגנה על מערכות המידע; חובת דיווח מיידי על תקריות משמעותיות לרשויות הפיקוח; בדיקות תקופתיות להערכת חוסן הסייבר; וניהול סיכונים בהתקשרויות עם ספקים חיצוניים, כולל שירותי ענן.
אי-עמידה בהוראות הרגולציה עלולה להוביל לסנקציות רגולטוריות משמעותיות.
הנשיא דונלד טראמפ הכריז לאחרונה על השקת פרויקט "סטארגייט" – מיזם בהיקף של עד 500 מיליארד דולר, המתמקד בהשקעות בתשתיות AI. הפרויקט, בשיתוף עם OpenAI, סופטבנק ואורקל, מתמקד בהקמת מרכזי נתונים מתקדמים ותשתיות נוספות, במטרה להבטיח את עליונותה של ארה"ב בתחום הבינה המלאכותית. במקביל, הנשיא טראמפ ביטל את הצו הנשיאותי שהוציא קודמו, ג'ו ביידן, באוקטובר 2023, ועל-ידי כך הסיר חסמי רגולציה במטרה להאיץ את החדשנות בתחום
מגמה זו באה על רקע התקדמותם של שחקנים בינלאומיים, כמו הבינה המלאכותית הסינית DeepSeek, שחשפה לאחרונה מודל חדשני המבוסס על קוד פתוח תוך פיתוח במינימום עלויות.
מדיניות זו עשויה לקדם פיתוחים מהירים בתחום, אך גם להעלות חששות בנוגע להשלכות אתיות, מוסריות ומפשטות בפיתוח הבינה המלאכותית.
התיקון לצו מרחיב את סוגי המידע שמוסדות להשכלה גבוהה יכולים לבקש מצה"ל אודות משרתי מילואים וזאת לצורך התאמות בקבלה, קבלת הקלות בגין השתייכות למערך הלוחם או הכרה כפצועים במסגרת מלחמת חרבות ברזל. לראשונה הוכנסה הדרישה לאפשר לסטודנטים ולמועמדים להביע את התנגדותם להעברת מידע זה בפני המוסד הלימודי ככל שיבחרו בכך. משרדנו ייעץ למוסדות אקדמיים בנוגע להשלכות המשפטיות והאופרטיביות של התיקון.
מבקר המדינה פרסם לאחרונה דוח מיוחד הבוחן את ההיערכות הלאומית של ישראל בתחום הבינה המלאכותית. בניגוד למצב הקיים בארצות הברית, כפי שפירטנו לעיל, הדוח מצביע כי בארץ חסרה אסטרטגיה לאומית ארוכת טווח, קיים מחסור במימון מתאים וחוסר תיאום בין-משרדי, אשר פוגעים במעמדה של ישראל כמעצמה טכנולוגית. כמו כן, צוין בדוח כי דירוגה הבין-לאומי של ישראל בתחום הבינה המלאכותית ירד בשנים האחרונות, מה שמדגיש את הצורך בפעולה ממשלתית מתואמת וממוקדת.
לאחרונה התרחש אירוע חמור במכון כושר ביבנה, שבו דלפו לרשת סרטונים אינטימיים שתועדו במצלמות האבטחה של המכון. המשטרה פתחה בחקירה בחשד לפריצה למצלמות האבטחה והפצת התיעוד הרגיש ברשת, כאירוע פלילי. הפריצה למאגר המצלמות והפצת הצילומים מהווה גם הפרה של חוק הגנת הפרטיות, התשמ"א-1981, מעצם הפגיעה במזיד בפרטיות המצולמים, ועשויה להיחשב גם כעבירה פלילית לפי חוק זה, שדינה עד 5 שנות מאסר (ונזכיר, כי בתיקון 13 התווספה עבירה נוספת של עיבוד מידע אישי ממאגר מידע בלא הרשאה מאת בעל השליטה במאגר המידע, שדין בגינה עד שלוש שנות מאסר). בנוסף, האירוע עשוי להקים עילה אזרחית לתביעה נזיקית, המאפשר לנפגעים לתבוע פיצוי בגין פגיעה בפרטיותם.
מקרה זה מדגיש גם את החשיבות הרבה בהקפדה על הנחיית רשם מאגרי המידע מס' 4/2012 בנושא "שימוש במצלמות אבטחה ומעקב ובמאגרי התמונות הנקלטות בהן", וכן את החובה להבטיח את אבטחת המידע הנאסף, כולל הגבלת גישה, הצפנה וניטור, כדי למנוע דליפות ופריצות.
צוות בין-משרדי, שהוקם לבחינת ההסדרים להעברת מידע אישי בין גופים ציבוריים, פרסם לאחרונה טיוטת דוח עם המלצות לשיפור התהליך ואסדרה של התחום. ההמלצות כוללות פיתוח קטלוג מידע נגיש, הקמת מערכת דיגיטלית להגשת בקשות, קביעת מסלולי אישור חלופיים, והקמת ועדה מרכזית לאישורים מורכבים. מטרת ההמלצות היא לאזן בין שמירה על פרטיות הלקוחות לבין ייעול השירות הציבורי. הציבור מוזמן להעביר התייחסויות לדוח עד ליום 18 בפברואר 2025.
נציבות הגנת המידע הצרפתית (CNIL) הטילה קנס על סך 240,000 אירו על חברת Kaspr בגין איסוף בלתי חוקי של מידע אישי ממשתמשי לינקדאין באמצעות תוסף לדפדפן. החברה אספה מידע הכולל שמות, פרטי קשר ונתוני פרופיל, ומכרה אותו מבלי לקבל הסכמה מפורשת מבעלי הפרופיל או מלינקדין. בנוסף, החברה הצליחה לאסוף מידע שמשתמשים הגנו עליו כך שרק אנשי קשר מדרגה ראשונה יכלו לראותו, מה שלדברי CNIL חרג מהציפיות הסבירות של נושאי המידע והפך את העיבוד ללא חוקי וללא בסיס עיבוד תקף.
הרשות להגנת הפרטיות פרסמה באוקטובר 2024 גילוי דעת המפרש את תקנה 3 לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001, שמחייבת את בעלי מאגרי המידע המעבירים מידע לחו"ל לוודא שמקבל המידע נוקט באמצעים מספקים להבטחת פרטיות נושאי המידע, ואוסר על העברת המידע לצד שלישי ללא אישור. גילוי הדעת מבהיר שהאיסור על העברת מידע לצד שלישי במדינה זרה אינו מוחלט, וניתן להתירו בהסכמה בכתב של בעל המאגר הישראלי, בתנאי שההעברה עומדת בדרישות הדין הישראלי. כמו כן, הרשות מציינת שניתן להסתמך על ערובות מקובלות, כגון עמידה ברגולציית הגנת המידע האירופית (GDPR), כהוכחה לאמצעים מספקים להבטחת פרטיות.
אנו עומדים לרשותכם בכל שאלה.
*אין באמור כדי להוות ייעוץ משפטי ואין להסתמך עליו, אלא שהוא נועד לספק מידע כללי ותמציתי בלבד.*
+97237770120 
