הגנת פרטיות – בלוג מרכז חת לחקר התחרות והרגולציה https://hethcenter.colman.ac.il Wed, 15 Mar 2023 18:52:27 +0000 he-IL hourly 1 https://wordpress.org/?v=6.7.1 https://hethcenter.colman.ac.il/wp-content/uploads/2020/09/מרכז-חת-1-150x150.png הגנת פרטיות – בלוג מרכז חת לחקר התחרות והרגולציה https://hethcenter.colman.ac.il 32 32 ילדים בסביבה דיגיטלית https://hethcenter.colman.ac.il/2023/03/15/%d7%99%d7%9c%d7%93%d7%99%d7%9d-%d7%91%d7%a1%d7%91%d7%99%d7%91%d7%94-%d7%93%d7%99%d7%92%d7%99%d7%98%d7%9c%d7%99%d7%aa/ Wed, 15 Mar 2023 18:52:27 +0000 https://hethcenter.colman.ac.il/?p=1137 להמשך קריאה]]> בספטמבר 2022 התקבל חוק במדינת קליפורניה שנועד להגן על פרטיות ילדים ברשת: The California Age-Appropriate Design Code Act. החוק החדש צפוי להיכנס לתוקפו ביולי 2024 (https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202120220AB2273).

החוק מתייחס לחברות המספקות שירותים מקוונים ש״סביר שילדים מתחת לגיל 18 יוכלו לגשת אליהם״, ומטיל עליהן חובות משפטיות להגנה על פרטיות ילדים בסביבה מקוונת. החוק מחייב עסקים להגדיר את הגנות הפרטיות ברמת האבטחה הגבוהה ביותר שעה שמדובר באתרים שילדים נחשפים אליהם, וכן לספק למשתמשים מידע תמציתי ובולט על תנאים והגבלות, מדיניות האתר ותקנים קהילתיים, תוך שימוש בשפה ברורה המתאימה לילדים. אם השירות מאפשר להורה לפקח על הפעילות המקוונת של הילד או לעקוב אחר מיקומו, יש לספק איתות ברור לילד כאשר הוא נמצא במעקב. על האתר לספק כלים בולטים ונגישים כדי לעזור לילדים ולהורים לממש את הפרטיות ולדווח על סיכונים. בנוסף, החוק אוסר על בעלי אתרים להשתמש במידע אישי של ילד, אלא אם יוכיח בסיבה משכנעת שהשימוש הוא לטובת הילד. החוק מטיל הגבלות על יצירת פרופילים לילדים, ועל שיתוף מידע אישי של ילדים ונתוני מיקומם הגיאוגרפי.

בית המחוקקים של קליפורניה רואה את החוק החדש כהכרחי, שכן עם השנים גבר השימוש בשירותים דיגיטליים על ידי צעירים. בסעיף 1(c) לדברי ההסבר להצעת-החוק נכתב (ראו:

https://leginfo.legislature.ca.gov/faces/billCompareClient.xhtml?bill_id=202120220AB2273&showamends=false):

It is the intent of the Legislature that the California Age-Appropriate Design Code promotes innovation by businesses whose online products, services, or features are likely to be accessed by children by ensuring that those online products, services, or features are designed in a manner that recognizes the distinct needs of children at different age ranges.

דו״ח של ה- OECD ממאי 2021 מראה כי בשנים האחרונות, עם התקדמות הטכנולוגיה, ילדים מבלים חלק משמעותי מזמנם באינטרנט וברשתות החברתיות. משנת 2011, מספר הילדים בגילאי 12-15 בעלי טלפונים חכמים ("סמארטפונים") גדל ביותר מ-50%. אמנם, הסביבה הדיגיטלית מציעה יתרונות רבים לילדים, פותחת ערוצים חדשים לחינוך, מפתחת יצירתיות ומעודדת אינטראקציות חברתיות; אך לצד אלה קיימים סיכונים ממשיים, כגון בריונות ברשת, תכנים לא הולמים וסיכונים לפגיעה בפרטיות. סיכונים אלה הפכו לקיצוניים לאחר משבר הקורונה והזינוק בזמן המסך (ראו: Recommendation of the Council on Children in the Digital Environment, 16.02.2012

https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0389%20).

במסגרת החוק הקליפורני הוקמה וועדה להגנת פרטיות הילדים, והוטל עליה ללמוד ולהמליץ למחוקק על שיטות עבודה ליישום החוק (סעיף 1798.99.32). הוועדה מורכבת ממומחים בתחום הפרטיות והגנת ילדים. על חברי הוועדה לזהות שירותים מקוונים שילדים עשויים לגשת אליהם, ולתעדף את טובת הילדים בהתייחס לפרטיותם ולבריאותם. בסעיף 1798.99.35, מצוין שהפרת החוק מהווה עבירה והמפרים חשופים לקנס של עד $2,500 בגין כל מקרה של ילד שנפגע מהפרה רשלנית, ועד $7,500 עבור הפרה מכוונת.

מדברי ההסבר להצעת החוק עולה כי החקיקה בקליפורניה עוצבה על פי קוד הילדים הבריטי (U.K Children's code), הידוע כחוק לעיצוב קוד תוך התאמה לגיל. הקוד האנגלי, שגובש על ידי הרגולטור להגנת מידע בבריטניה, נכנס לתוקף בשנת 2020. הוא חל על שירותים מקוונים שסביר שילדים מתחת לגיל 18 ייגשו אליהם. לפי הקוד האנגלי, נותני שירותים מקוונים לילדים מחויבים לבצע שינויים בעיצוב השירות וכן באופן שבו מעובדים הנתונים האישיים, כדי להתאימם לשימוש מצד ילדים. מדובר בסט של 15 תקנים שנותני שירותים מקוונים צריכים לעמוד בהם, ועיקרם בדרישה להתחשב בטובת הילדים, להימנע משימוש בנתונים אישיים של ילדים בדרכים העלולות לפגוע ברווחתם, ולוודא שמירה גבוהה על הפרטיות.  שירותים מקוונים המכוסים בקוד האנגלי כוללים אפליקציות, משחקים, שירותי חדשות ועוד. קוד הילדים חל לא רק על חברות בבריטניה, אלא גם על חברות זרות המעבדות נתונים אישיים של ילדים בבריטניה. ראו:

https://ico.org.uk/media/for-organisations/documents/4019528/childrens-code-ebook-2022.pdf.

]]>
חסרה פרטיות ברשויות מקומיות https://hethcenter.colman.ac.il/2022/01/25/%d7%97%d7%a1%d7%a8%d7%94-%d7%a4%d7%a8%d7%98%d7%99%d7%95%d7%aa-%d7%91%d7%a8%d7%a9%d7%95%d7%99%d7%95%d7%aa-%d7%9e%d7%a7%d7%95%d7%9e%d7%99%d7%95%d7%aa/ Tue, 25 Jan 2022 10:36:02 +0000 https://hethcenter.colman.ac.il/?p=857 להמשך קריאה]]> בנובמבר 2021 פרסמה הרשות להגנת הפרטיות ממצאי דו״ח פיקוח רוחב שביצעה בקרב מגזר הרשויות המקומיות בישראל. מגזר זה נקבע כאחד מיעדי הפיקוח בשל מאפייניו הייחודיים: מאפיינים אלו כוללים את העובדה שרשות מקומית מהווה גוף ציבורי וכן את יחסי האמון המבססים את הקשר שבין עירייה לאזרח. רשות הגנת הפרטיות מציינת בדו"ח כי מערך אכיפה זה נועד לקיים פיקוח מגזרי או נושאי. היעד הוא לאתר הפרות של חוק הגנת הפרטיות, התשמ״א-1981 ותקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017, להגביר מודעות להוראות החוק, ולאתר כשלים ענפיים הדורשים התערבות והנחיות (לדף פיקוח רוחב באתר הרשות להגנת הפרטיות ראו: https://www.gov.il/he/Departments/General/enforcement_supervision).

דו״ח פיקוח הרוחב לשנת 2021 אינו מחמיא לרשויות המקומיות. הדו"ח בחן חמישה קריטריונים בתחום הגנת הפרטיות: בקרה ארגונית, ניהול מאגרי מידע לרבות מצלמות אבטחה במרחב ציבורי, אבטחת מידע, העברת מידע בין גופים ציבוריים ועיבוד מידע במיקור חוץ. רמת עמידה נמוכה בקריטריונים אלה מוגדרת על ידי רשות הגנת הפרטיות כקיום של 50% בלבד מהוראות חוק הגנת הפרטיות והתקנות. לעומת זאת, ביצוע הוראות החוק והתקנות ברמה שבין 80% ל100%, מוגדרת כרמת עמידה גבוהה. ממצאי הדו״ח מעידים למרבה הצער על רמה בינונית-נמוכה בלבד בהקפדה על קיום הוראות החוק מצד הרשויות המקומיות.

במסגרת קריטריון ״בקרה ארגונית״, נמצא כי רק 26% מהרשויות צייתו להוראות החוק והתקנות ברמה גבוהה, בעוד ש74% נמצאו כבעלות רמת עמידה בינונית-נמוכה. בניגוד להוראות התקנות, עובדים חדשים ברשויות מקומיות הנגישים למאגרי המידע אינם עוברים הליך מיון והתאמה. המיון נדרש במטרה להבטיח שהעובד מתאים להיחשף למאגרי המידע של הרשות, בהתאם לרגישות המידע ולסוג המידע. זאת ועוד: נמצא כי במרבית הרשויות הנמצאות ברמת עמידה בינונית-נמוכה לא מונה ממונה אבטחת מידע, סקרי סיכונים והביקורות התקופתיות לקו בחסר ולא נערכו כנדרש בתקנות.

במסגרת קריטריון ״ניהול מאגרי מידע״ וקריטריון ״מידע אישי במיקור חוץ״, נמצא כי פחות משליש (29%) מהרשויות המקומיות מצייתות להוראות החוק ברמה גבוהה, בעוד ש71% מהרשויות המקומיות מצייתות ברמה נמוכה-בינונית. למעלה ממחצית מהרשויות בהן נמצאה רמת עמידה נמוכה-בינונית, אינן מקפידות על שקיפות איסוף המידע על התושבים – היינו, היעדר מתן הודעה לתושב בעת איסוף המידע אודותיו. למעלה מכך, נמצא כי לא ניתנה לתושב לעיין במידע אודותיו, או שניתנה לו אפשרות לעיון חלקי בלבד. עיקר הליקויים בקריטריון מיקור החוץ נבעו מכך שכמעט שליש מהרשויות לא קיימו הסדרים מסודרים עם ספקי החוץ הכוללים אבטחת מידע, ולא נבחנו סיכוני אבטחת מידע הכרוכים בהתקשרות, טרם ההתקשרות.

לעניין שימוש במצלמות מעקב במרחב ציבורי, עולה כי רק כמחצית (54%) מהרשויות המקומיות מציבות שלטי יידוע בסמוך למצלמות באופן קריא וברור, בנוסף למיפוי פריסת המצלמות באתר העירייה. ממצאי הדו״ח מעלים כי רמת אבטחת המידע של הקלטות הצילומים לוקה בחסר. בנושא זה, רק 25% מהרשויות צייתו ברמה גבוהה להוראות החוק והתקנות, בעוד ש48% נמצאו כבעלות רמת ציות נמוכה. במסגרת קריטריון ״העברת מידע בין גופים ציבוריים״, נמצא כי למעלה ממחצית מכלל הרשויות שנבדקו נמצאות ברמת ציות נמוכה. ממצאי הדו״ח מגלים ליקויים לעניין ניהול רישום המידע המועבר בין הגופים. נמצאו חוסרים גם במילוי נאות של טופס בקשת העברת מידע וכן דיווח חסר או חלקי לרשות להגנת הפרטיות.

הרשות הנחתה את הרשויות המקומיות הרלבנטיות לתקן את הליקויים ולהגיש לה מסמך המפרט את התיקונים שבוצעו. נראה כי אף שמרבית הרשויות המקומיות הן בעלות היכרות עם דרישות החוק והתקנות העוסקים בפרטיות, קיימים ליקויים משמעותיים בביצוע, בעיקר בקרב רשויות בינוניות וקטנות. הדו״ח מציין כי הפער נובע מהעובדה שברשויות הגדולות הוקצו משאבים וכוח אדם לנושא הגנת הפרטיות ואבטחת מידע.

לדו״ח פיקוח רוחב של רשות הגנת הפרטיות ראו:

https://www.gov.il/BlobFolder/reports/audit_report_local_municipality/he/local_authority_inspection_nov21.pdf

]]>