כחוק המבוסס על הגנת הצרכן, החוק חל על עסקים הפועלים או המוכרים שירותים או מוצרים לתושבי טקסס, או חברות שעיסוקן הוא קנייה ומכירה של מידע אישי. החוק אינו חל על עסקים קטנים (הגדרה משתנה בהתאם לאופי העסק) למעט האיסור למכירת מידע אישי רגיש ללא הסכמה, אשר מחייב גם עסקים קטנים.

בין הזכויות שהחוק מעניק לנושאי המידע היא הזכות לתיקון ומחיקת מידע, ניידות דיגיטלית של המידע והזכות ל-Opt-Out מעיבוד מידע לשם דיוור ישיר, מכירת מידע או עיבוד מידע לשם קטלוג בעל משמעות משפטית משמעותית.

החוק מטיל בנוסף חובות על עיבוד המידע, כגון החובה לקיים DPA) Data Protection Assessment) ביחס לעיבוד מידע לדיוור ישיר, עיבוד מידע אישי רגיש ועוד.

על אף האיסורים החמורים בחוק והזכויות הרבות אותן הוא מעניק לנושאי המידע, משום שאכיפת החוק אפשרית רק על ידי התובע הכללי בטקסס (AG), ומוגבלת לקנס בגובה 7,500 $ לכל הפרה, אכיפת החוק אינה צפויה לייצר הרתעה כבדה.

הפוסט חוק פרטיות חדש בטקסס הופיע ראשון בדן חי ברשת

על פי הרשות האירית, החברה הפרה את ה-GDPR כאשר נשענה על הסכמים סטנדרטיים (SCCs) כמנגנון להעברת המידע האישי לארה"ב תקנה 46 ל-GDPR. על פי הרשות, הסכמים אלו אינם מגינים מפני החשש שהועלה כבר בעניין Schrems II, החשש מהקלות היחסית שבה רשאיות רשויות הביטחון האמריקאיות לדרוש מסירתו של מידע אישי הקיים בשרתים המקומיים. כזכור, בעניין Schrems II ביטל בית המשפט האירופי את הסכם ה-Privacy Shield  שבין ארה"ב לאירופה בשל חשש זה. החלטה זו הקשתה במיוחד על חברות המעוניינות להשתמש בשירותים אותם מענקיות הטכנולוגיה הממוקמות בארה"ב (גוגל אנליטיקס, פייסבוק פיקסל ועוד).

ההחלטה כנגד מטא בעלת השלכות קשות על חברות אירופאיות וחברות ישראליות הפועלות בתחום האיחוד האירופי. כזכור, על פי ה-GDPR העברת המידע אודות אנשים באיחוד למדינות חיצוניות מתאפשרת רק על בסיס מספר מצומצם של דרכים וביניהן החלטת תאימות והסכמים סטנדרטיים. בעקבות Schrems II וההחלטה האחרונה כנגד מטא, נראה כי האפשרות להעביר מידע לארה"ב מצטמצמת עד כדי בלתי אפשרית, תוך הטלת סיכון כבד על חברות אשר ימשיכו להעביר את המידע.

הפוסט קנס 1.2 מיליארד אירו למטא בעקבות העברת מידע לארה"ב הופיע ראשון בדן חי ברשת

בהמשך ל-II-Shrems, החלטת הרשות האוסטרית מבוססת בין היתר על החשש מהקלות היחסית שבה רשאיות רשויות הביטחון האמריקאיות לדרוש את מסירתו של מידע אישי הקיים בשרתיהן המקומיים. על פי הרשות, מסירה זו מהווה סיכון לפרטיותם של נושאי המידע באיחוד ובכך מצטרפת החלטה זו לשורת החלטות אירופיות המטילות קשיים ומגבלות לגבי השימוש בשירותי חברות אמריקאיות כגון מטא וגוגל.

לאור תחולתן הרחבה של התקנות, החלטה זו אשר ניתנת ביחס ל-GDPR, עשויה להוות מכשול גם לחברות ישראליות המחזיקות במידע אודות אנשים באיחוד.

אף על פי כן, בימים אלו עומדת לבחינה באיחוד טיוטת הסכם חדש אשר עתיד להכשיר את העברת המידע האישי בין אירופה לארה"ב, תוך הטלת מגבלות על הרשויות המקומיות בכל הנוגע לדרישת מידע אודות אנשים באיחוד. הסכם זה צפוי לעבור עד סוף שנת 2023.

מקור: https://noyb.eu/en/austrian-dsb-meta-tracking-tools-illegal

הפוסט אוסטריה: שימוש בכלי מעקב דיגיטליים של מטא מפר את תקנות ה-GDPR הופיע ראשון בדן חי ברשת

בעניין המתואר, בקשתו של רוקח שהועסק על ידי מכבי שירותי בריאות, הופנתה נגד מעסיקתו לשעבר, מכבי שירותי בריאות, וכן נגד אתר חדשות המופעל על ידי עיתונות זהב בע"מ. מעסיקתו לשעבר טענה כי המבקש גנב תרופות בשווי מאות אלפי שקלים. מנגד, המבקש טען כי כתב התביעה של מעסיקתו לשעבר חסר בסיס וכי פרסום שמו יביא לפגיעתו הנפשית והגופנית, לפגיעה בשמו הטוב, בפרטיותו ובבני משפחתו. עוד טען המבקש כי הפרסום יפגע בביטחונו האישי ועלול לגרום לנזק בלתי הפיך לבריאותו עד כדי פגיעה עצמית כתוצאה מאיבוד שליטה.

עיקר המחלוקת בהכרעת הבקשה לאיסור הפרסום, היה שאלת האיזון בין האינטרס לשמור על פרטיותו של אדם, אל מול האינטרס להגשים את עיקרון פומביות הדיון.

השופטת יפית מזרחי-לוי הדגישה בהחלטתה כי עיקרון פומביות הדיון הוא עיקרון על וכי האינטרס המרכזי שניצב אל מול עיקרון זה בשאלה האם יש להורות על איסור פרסום, הוא פגיעה חמור בפרטיות. בנוסף, קביעת בית הדין הארצי לעבודה בתל אביב מלמדת על כך,  שמקצוע רפואי הוא מקצוע המעניק שירות ציבורי ולכן מדובר בסוגייה בעלת עניין ציבורי. כמו כן, השופטת הדגישה כי פסיקות בית המשפט מלמדות על כך, שבמצבים מסוימים יש להעדיף את עיקרון פומביות הדיון גם כאשר הפרסום עשוי להוביל לפגיעה עקיפה בילדיו של בעל הדין.

השופטת סברה, כי במקרה זה, המבקש לא הוכיח חשש קונקרטי לחייו, וכי הפגיעה בפרנסתו או בשם טוב לא מהווה עילה המצדיקה חריגה מעיקרון פומביות הדיון. יתרה מכך, השופטת הדגישה כי מאחר והמבקש עסק במקצוע רפואי המעניק שירות לציבור, מדובר בנושא בעל עניין ציבורי.

הפוסט האזורי לעבודה: אין בסיס לחסות פרטי רוקח שנחשד בגניבה הופיע ראשון בדן חי ברשת

על פי הטיוטה, שימוש באמצעים דיגיטליים אשר אינם מיועדים לניהול מידע רפואי עלול להוות סיכון גבוה יותר לפרטיות המטופלים מאשר אמצעים דיגיטליים מיועדים, שכן נוטים להיות בעלי סיכון גבוה יותר לזליגה, לטעויות אנוש, שיבוש במידע, שימוש שאינו בידיעת או הסכמת המטופלים ועוד.

הטיוטה סוקרת את החובות השונות החלות על איסוף ועיבוד מידע רפואי וקובעת ששימוש בכל מכשיר, אף במכשירים שאינם מיועדים לניהול מידע רפואי, מטיל על הארגון את החובות הנובעות מתקנות אבטחת המידע וביניהן חובת הדיווח על קרות אירוע אבטחה חמור. על פי הרשות, העברת מידע רגיש על ידי עובד ארגון אל מחוצה לו, ללא אישורו של הארגון, עשויה להיחשב כאירוע אבטחה חמור בהתאם לדין.

משום הסיכונים, הרשות ממליצה לצמצם ככל הניתן את השימוש במכשירים ותוכנות שאינם ייעודיים להעברת מידע רפואי. ככל שמדובר באמצעי הכרחי, הרשות ממליצה להשמיט פרטים מזהים ישירים ככל הניתן, כגון שם, מספר תעודת זהות, תמונה ועוד, להימנע משירותי ענן אשר מגבים את המידע, להימנע משימוש ברשתות WI-FI פתוחות, להשתמש באמצעי אבטחה מתאימים ולמחוק את המידע הנשמר במכשיר לאחר העברתו, בהתאם לעיקרון צמצום המידע. הרשות ממליצה בנוסף להכין ולפרסם מדיניות פנים ארגונית הנוגעת לאופן האיסוף ועיבוד של מידע רפואי אישי במכשירים דיגיטליים ובחינת אפשרות הספקת מכשירים ייעודיים לעובדים.

הפוסט הדרך הנכונה להעברת מידע רפואי – הרשות להגנת הפרטיות מגלה דעתה הופיע ראשון בדן חי ברשת

Wiper הוא כינוי לנוזקה המוחדרת למערכות המותקף ומטרתה מחיקת קבצים והשמדתם, השבתת מערכות, ובקיצור – מחיקת מידע לצמיתות. החידוש בנוזקה דנן היא הצורה שבה היא פועלת:

מדובר ב-Wiper שגורם למערכות אבטחת המידע לראות את קבצי המידע עליהם הם מגינים כקבצים עוינים ולמחוק אותם בעצמם. כך לטענת אור יאיר, הנוזקה כלל לא מתגלה על ידי המערכות.

פרסום זה הוא עוד חלק מהמרוץ ללא קו סיום נראה לעין שבין 'White hat hackers" וה-"Black hat hackers", ואם הנוזקה המדוברת באמת תגיע לידיים זדוניות – מדובר בנזק פוטנציאלי עצום לקורבנות התקיפות. על כן, עולה וחוזרת חשיבותה של מערכת גיבוי התואמת את דרישות הארגון וכן את תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן "התקנות").

על ארגון לנהל מערכת גיבוי מידע, המגבה הן את המידע והן את התיעוד הלוגי העומד מאחוריו. על פי הדרישות בתקנות 17 ו-18 לתקנות, יש לגבות נתוני לוג מסוגים שונים, אירועי אבטחת מידע רלוונטיים וביקורות תקופתיות. אנו מבקשים לשים את הדגש בידיעה זו על הצורך בגיבוי המידע עצמו, ולהרחיב את יריעת התיעוד הלוגי למידע שבמאגרים שבבעלות הארגון, באופן שתואם את דרישת שחזור הנתונים הנכונה לארגון בהתייחס לפרקי הזמן הנדרשים (RTO/RPO). את ה"איך" קשה להגדיר מראש היות ויש פתרונות רבים היום בשוק – החל מאכסון פיזי ועד לשרותי ענן, על כלל השילובים שביניהם. מבלי קשר לאופן הביצוע – למותר לציין כי הפרסום הנ"ל רק מחזק את הדרישה לגיבוי הקיימת והבועטת מתמיד.

ביצירת מערכות גיבוי מידע, על אחת כמה וכמה בפתרונות ה-Old school שלא עבד עליהם הכלח, יש לתת את הדעת על ניהול המידע העודף והיבטים של פגיעה בפרטיות. כך למשל, שמירת מידע בגיבוי שאינו נדרש לארגון, מציב את הארגון בעמדה הסותרת את הוראות החוק, התקנות והנחיות הרשות להגנת הפרטיות, מעבר להיעדר סנכרון בין המנוהל בפועל על ידי הארגון לבין המידע שיעלה בעת שחזור מגיבוי.

על כן, נמליץ להיוועץ באנשי פרטיות בעת שלבי התכנון המקדים (PbD) של מערכת הגיבוי, וכן ביצירת נוהל פרקטי שיגן על הארגון. הן בהיבט שחזור המידע והן בהיבטי דיני הפרטיות.

הפוסט תקנה 18 וחשיבותו של הגיבוי הופיע ראשון בדן חי ברשת