לקראת יום הגנת הפרטיות הבינלאומי שחל החודש, אנחנו שולחים סיכום של הנושאים העיקריים שעלו השנה בתחום הגנת הפרטיות בישראל.  

1. ניסיון לתיקון חוק הגנת הפרטיות – במהלך 2022 החלו דיונים בוועדת חוקה, חוק ומשפט (בהם השתתפנו) בהצעת חוק לתיקון חוק הגנת הפרטיות ("תיקון 14"), שהכילה הוראות בעניין סמכויות אכיפה של הרשות להגנת הפרטיות ושינוי הגדרות בחוק הקיים, אולם נפתחה אפשרות לתיקון מהותי הרבה יותר. לצערנו, בשל התפזרות הכנסת נפסק התהליך, ואנו מקווים שיחודש בשנה הקרובה.  
2. פרסומים של רשות הגנת הפרטיות – השנה החולפת הייתה עמוסה במסמכים שונים שפרסמה רשות הגנת הפרטיות. כך למשל, הרשות פרסמה השנה מסמכים בעניין פרטיות עובדים, פרשנות המונחים "מידע" ו"ידיעה על ענייניו האישיים של אדם", העברת בעלות במאגר מידע [להרחבה], מסמך לגבי חובת היידוע [להרחבה], מדריך לביצוע תסקיר השפעה על הפרטיות (המקביל הישראלי לDPIA בGDPR) [להרחבה], פרטיות בשירותי streaming [להרחבה], היבטי פרטיות בטכנולוגיית deep fake [להרחבה], מסמך בעניין מינוי ממונה הגנת הפרטיות [להרחבה], מסמך שכולל את פרשנותה של הרשות לתקנה 3 לתקנות ייצוא מידע מישראל [להרחבה], ועוד.  
3. הליך אכיפה חריג יחסית בגודלו שקיימה רשות הגנת הפרטיות.  
4. פרסום טיוטת תקנות של משרד המשפטים בניסיון לשמר את החלטת התאימות של ישראל [להרחבה].  
5. הממשלה קיבלה החלטה לפיה רשות הגנת הפרטיות היא עצמאית (ולא עוד יחידת סמך במשרד המשפטים). בשנה הקרובה נראה את המשמעויות הפרקטיות של החלטה זו, כאשר אחת מהן יכולה להיות התייצבותה של הרשות להגנת הפרטיות בהליכים שונים, תוך מתן דעה עצמאית על ידה.  

בשנה החולפת ייעצנו ללקוחותינו ביחס לכל אחד מהנושאים הללו, אבל לא רק.  

שנת 2023 צפויה להיות גם היא עמוסה בהתפתחויות בתחום הגנת הפרטיות, גם בעולם וגם בישראל, במיוחד אם נגיע למצב שבו ישראל תאבד את החלטת התאימות שנקבעה לה עוד בשנת 2011.  

____________________________________________________________________________________________________________________________

עדכון זה מסכם את עיקרי ההתפתחויות בתחום הגנת הפרטיות בישראל, אך חשוב לנו להפנות את תשומת ליבם של לקוחותינו אשר מפעילים אתרי אינטרנט ואפליקציות בתחומי האיחוד האירופי לפרסום דו"ח של הEDPB מהשבוע האחרון בקשר לcookies.  

הדו"ח מתבסס על החלטות שניתנו בתקופה האחרונה בקשר להטמעה ותפעול של באנר קוקיות באירופה. נזכיר כי הדרישות באירופה מבוססות על שילוב של ה GDPR ביחד עם דירקטיבת ה ePrivacy, שאין לה מקבילה ישראלית, ולכן אי אפשר להשליך מההנחיות על הדין הישראלי. 

הדו"ח קובע כי אי הצבת כפתור "סירוב" לקוקיות בעת הצגת הבאנר בפעם הראשונה אינו עומד בדרישות מרבית הרשויות. גם השימוש בהצבת קישור לסירוב שמעביר לעמוד אחר במקום כפתור עצמאי אינו מספק. הדו"ח גם מזכיר את הצורך לאפשר לסרב לאיסוף ולעיבוד בכל שלב, גם לאחר מתן ההסכמה (בין אם ע"י הצבת אייקון "מרחף" לאורך השימוש באתר ובין בדרך אחרת). עמידה בהוראה זו תיבחן אד הוק, בהתאם למקרה הספציפי. 

עוד נקבע כי סימון מראש בצ'ק בוקס ב"שכבה" השנייה של הבאנר (בו מופיעים כלל סוגי הקוקיות הנאספים ומתן אפשרויות הבחירה) אינו נחשב הסכמה תקפה.  

הדו"ח מספק גם כמה תובנות לגבי הדרישות הוויזואליות של הבאנר, לרבות הצורך שכפתור ה"סירוב" יהיה בצבע בולט, אך הדבר ייבחן אד הוק. אנו ממליצים, באופן דומה, להימנע מהצבת כפתורי "אישור" ו"סירוב" השונים באופן מהותי אחד מהשני (מבחינת הפונט והגודל), על מנת להימנע מהטעיית המשתמשים. 

נקודות נוספות שהדו"ח מתייחס אליהן קשורות לבדיקה המומלצת בעניין הבסיס החוקי שנקבע על ידי הגופים לעיבוד המידע הנאסף במסגרת הקוקיות בהתאם לדינים הרלוונטיים החלים על המידע, כמו גם הצורך לוודא כי קוקיות שגופים קבעו כ"נחוצות" (essential) – אכן כאלו.  

בהזדמנות זו אנחנו מזמינים אתכם לכנס שנקיים לרגל יום הפרטיות הבינלאומי ויכלול היבטים נוספים ומעניינים של דיני הגנת הפרטיות: לפרטים והרשמה הקליקו.

אנו עומדים לרשותכם בכל שאלה,

אייל שגיא, שיר שושני-כץ ואור רוטר הפילוני

מחלקת משפט וטכנולוגיה

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.