סיכום רבעוני: הגנת פרטיות, סייבר ו-AI
לאחרונה פורסמו בארץ ובעולם מספר עדכונים בתחום הגנת הפרטיות, אבטחת המידע ורגולציות אחרות בנוגע לדאטה המשפיעים על האופן שבו ארגונים נדרשים לטפל במידע והנוגעים למגוון רחב של תחומים. על מנת שתוכלו להיערך בהתאם, ריכזנו עבורכן.ם את עיקר העדכונים האחרונים והדגשים המרכזיים של הרבעון החולף.
סיכוני אבטחת מידע בשימוש בקוד פתוח
בחודש אפריל האחרון פרסמה הרשות להגנת הפרטיות מסמך שכותרתו "עקרונות לניהול סיכוני אבטחת מידע בעת שימוש בקוד פתוח במערכות המאגר", העוסק באחריות המוטלת על בעלי מאגר המיישמים קוד פתוח במערכותיכם, ומפרט בדבר העמידה בדרישות הדין ובכלל זאת: חובת עדכון רשימת מצאי של מערכות המאגר, תוכנות וממשקים הקשורים לניהול ואבטחת המאגר, איסור שימוש בספריית קוד פתוח שאינה נתמכת ומתוחזקת כראוי וחובת התקנת אמצעי הגנה מתאימים כנדרש בתקנות.
מסמך זה חשוב במיוחד לארגונים המשלבים במוצר שלהם קוד פתוח, אשר נדרשים לעמוד בסטנדרטים מחמירים של אבטחת מידע על מנת להגן על מידע רגיש ולמנוע פרצות אבטחה.
מסמך זה חשוב במיוחד לארגונים המשלבים במוצר שלהם קוד פתוח, אשר נדרשים לעמוד בסטנדרטים מחמירים של אבטחת מידע על מנת להגן על מידע רגיש ולמנוע פרצות אבטחה.
למסמך המלא לחצו כאן.
בחודש מאי האחרון פרסמה הרשות להגנת הפרטיות את עמדתה בנוגע לביצוע סקר סיכונים ומבדקי חדירות במאגרי מידע, המהווים כלים לאיתור סיכוני אבטחת מידע ודימוי מתקפה על נכסי הארגון במטרה להעריך את יעילות הבקרות ומנגנוני ההגנה שבארגון. על אף שתקנות אבטחת מידע קובעות כי שתי החובות הללו חלות ביחס למאגרי מידע שחלה עליהם רמת אבטחה גבוהה, ממליצה הרשות לבצעם בכל ארגון וביחס לכל מאגר מידע אישי, וזאת על מנת לזהות נקודות חולשה ולהיערך לאירועי אבטחה באמצעות שמירה על כשירות ומנגנוני בקרה יעילים. בנוסף, מפרטת הרשות במסמך זה המלצות הנוגעות לביצוע חובות אלו ומגדירה מהו העיתוי הראוי לביצוע. כך למשל, מדגישה הרשות כי יש לערוך סקר סיכונים מיד בסמוך לאחר הפעלת מאגר, וכן לבחון מחדש את סיכוני האבטחה אחת ל- 18 חודשים לכל הפחות.
לקריאת המסמך המלא לחצו כאן.
תיקון מס' 14 לחוק הגנת הפרטיות
ועדת חוקה, חוק ומשפט של הכנסת דנה בתיקון האמור מזה מספר חודשים, המהווה האסדרה המשמעותית ביותר בדיני פרטיות בשנים האחרונות. לאחרונה נוספו להצעת החוק הממשלתית סעיפים הנוגעים לקביעת חובה למנות ממונה על הגנת הפרטיות (DPO) בנסיבות שונות שעדיין פתוחות לדיון, וכן נוספו הוראות בנוגע לתפקידי הממונה, כישוריו ותנאי כשירותו, כפיפותו לגורמים שונים ועוד. משרדנו לוקח חלק פעיל בדיונים אלה ואנו נשמח לקבל פידבק מלקוחותינו בנוגע לדרישות אלה. הצעת החוק תחזק משמעותית את משטר הסנקציות והאכיפה הנוכחי, ותאפשר לרגולטור לנקוט צעדי אכיפה ביעילות רבה יותר.
לקריאת התיקון המלא לחצו כאן.
איסוף ושימוש במידע ביומטרי במקום העבודה
בחודש פברואר פרסמה הרשות להגנת הפרטיות מסמך מדיניות בנושא "איסוף ושימוש במידע ביומטרי לדיווח ולבקרת נוכחות עובדים במקום העבודה", שנועד להרחיב ולעדכן את עמדת הרשות בנושא שפורסמה בעבר, ולהסדיר את השימוש של מעסיקים במידע ביומטרי לדיווח ובקרת נוכחות עובדים. הרשות עמדה על האופן שבו יש להטמיע זיהוי ביומטרי, היתרונות והסיכונים הטמונים בו, וכן התייחסה לעמדת בית המשפט והייעוץ המשפטי לממשלה בנדון. עוד קבעה הרשות כלל אצבע לפיו איסוף ושימוש במידע ביומטרי חייב להיעשות באופן סביר ומידתי תוך יידוע העובדים וקבלת הסכמתם המפורשת לצד יישום חובות האבטחה הקבועות בדין והקפדה על עקרון צמידות המטרה.לקריאת המסמך המלא לחצו כאן.
חקיקת ה-EU AI Act
יודגש כי בדומה ל-GDPR, לחוק תהא תחולה גם על חברות שאינן מאוגדות באיחוד האירופי ושמתבצע שימוש במוצריהן בטריטוריה זו. החוק עתיד להתפרסם בקרוב בנוסחו הסופי, כאשר כניסתו לתוקף צפויה 20 ימים לאחר מועד פרסומו ברשומות, ואכיפתו ותחולת ההסדרים המנויים בו תיכנס לתוקף בהדרגתיות.
לאור זאת, אנו ממליצים לעסקים המשתמשים ומפתחים בינה מלאכותית להתחיל ולנקוט צעדים נדרשים על מנת להתכונן למשטר הרגולטורי החדש, כמו למשל לסקור את הפרקטיקות הקיימות, לזהות אלמנטים של בינה מלאכותית ולהבטיח הלימה עם דרישות החוק.
איסוף וצילום מספרי תעודות זהות של לקוחות על ידי בתי עסק
בחודש מרץ פרסמה הרשות להגנת הפרטיות גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות, אשר מתמקד בכללים והנחיות לאיסוף, שימוש ושיתוף מידע אישי על ידי בתי עסק הכרוך בתעודות זהות של לקוחות במסגרת מהלך העסקים השוטף. גילוי הדעת מפרט את דרישות הגילוי ללקוחות על אודת המטרות של איסוף המידע, למי יימסר המידע ולאילו מטרות, וכן המלצות להגנה על פרטיות הלקוחות ולמזער את הפגיעה בפרטיותם, כמו למשל הסתפקות בצילום חלקי או השחרה של פרטים בלתי נחוצים.
הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים
בחודש מרץ פרסמה הרשות להגנת הפרטיות מסמך מדיניות בנושא שכותרתו "הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים", לנוכח התגברות התופעה של העברת מידע רפואי על אודות מטופלים על ידי גורמי רפואה באמצעות מכשירים דיגיטליים פרטיים. במסגרת זאת, עמדה הרשות על הסיכונים הכרוכים, והדגישה את החובות החלות על הגורמים הרלוונטיים תוך מתן המלצות לעניין זה. כך למשל, המליצה הרשות על צמצום השימוש בתוכנות שאינן ייעודיות להעברת מידע רפואי, השמטת פרטי זיהוי באמצעות שימוש בתוכנות אלו, ושימוש באמצעי אבטחת מידע נאותים.
אשרור מעמד התאימות של ישראל
בחודש ינואר האחרון אשררה נציבות האיחוד האירופי את ההכרה במדינת ישראל כמדינה בעלת מעמד תאימות (Adequacy) בתחום הגנת הפרטיות, אשר ניתנה לה לראשונה בשנת 2011 (לצד מספר מדינות נוספות מחוץ לאיחוד האירופי), וזאת לאחר הליך ממושך של בחינה מחודשת. משכך, ישראל מוכרת כמדינה שרמת ההגנה על מידע אישי בה תואמת את זו הנהוגה באיחוד האירופי. המעמד מאפשר להעביר באופן חופשי מידע אישי מהאיחוד האירופי לישראל, ללא צורך בעמידה במחויבויות רגולטוריות נוספות ובישום מנגנונים פרטניים מורכבים מצד הגורם המעביר והמקבל.
מחלקת הגנת הפרטיות, הסייבר והמידע של משרדנו מעניקה ללקוחותינו מעטפת משפטית כוללת בתחומי הטכנולוגיה, ניהול סיכוני הפרטיות, מחקר ופיתוח, לרבות בנוגע ליישומים טכנולוגיים מורכבים המשלבים עיבוד מידע, ותפעול שירותי אונליין ו-SaaS ומוצרים טכנולוגיים. בכך אנו מסייעים ללקוחותינו לנווט בבטחה בין עולמות הרגולציה של הגנת הפרטיות, ניהול המידע ואבטחת הסייבר. למידע נוסף ניתן לפנות לעו"ד ליאור אתגר, ראש תחום הגנת הפרטיות והמידע במשרדנו.