מיטל עזרא - משרד עורכי דין / בלוג

בשנים האחרונות הולך וגובר השימוש במוצרי חשמל ביתיים-חכמים (IoT – Internet of Things), המצוידים בחיישנים האוספים מידע אישי רב שמקורו בהתנהלות היומיומית של צרכנים במרחב הביתי, ומעבדים מידע זה לצורך ביצוע פעולות שונות ("IoT"). במקרים רבים המידע הנאסף עלול להעיד על אורחות חייו של הפרט, ועל כן מידע זה עשוי להיות רגיש.

הרשות להגנת הפרטיות ("הרשות") פרסמה לאחרונה מסמך בעניין פרטיות במוצרי IoT, אשר מכיל, בין היתר, התייחסות לסיכוני הפרטיות הכרוכים בשימוש במוצרי IoT, הנחיות והמלצות לחברות המספקות מוצרי IoT ביתיים ושירותים לבתים חכמים, וכן המלצות למשתמשים במוצרים אלו ("המסמך").

הרשות הבהירה כי חברות המספקות מוצר או שירות IoT, הן בעלות מאגר מידע, בהתאם לחוק הגנת הפרטיות, התשמ"א-1981 ("החוק"), ולפיכך חלות עליהן החובות המוטלות על בעל מאגר מידע, מכוח החוק ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("התקנות"). כמו כן, הרשות קבעה כי רמת האבטחה שחלה על מאגר מידע, המכיל מידע שנאסף ממוצרי IoT ביתיים, היא לכל הפחות רמת אבטחה בינונית בהתאם לתקנות.

כמו כן, הרשות המליצה לנקוט בפעולות שיפורטו להלן לשם צמצום סיכוני הפרטיות הנעוצים במוצרי IoT:

• אימוץ גישת הנדסת פרטיות (Privacy by Design) שמשמעותה עיצוב מערכת הבית החכם, עוד משלב התכנון המוקדם של מוצרי IoT, כך שפרטיות נושאי המידע תישמר באופן אופטימלי. דוגמה ליישום גישה זו היא בידוד רשת IoT מרשתות אחרות.
• שימוש באמצעי אבטחת המידע, כגון שימוש בכלים להצפנת ולהתממת המידע.
• פישוט אמצעי השליטה של משתמשים במידע אודותם.
• פישוט הגדרות ההפעלה של מוצרי IoT, והקפדה על ניסוח בהיר ופשוט להבנת מסמכי תנאי השימוש ומדיניות הפרטיות של המכשיר.
• יידוע מתעניינים במוצר או בשירות IoT, בטרם רכישתם, בדבר סיכוני הפרטיות הכרוכים בשימוש מוצרי IoT.
• קביעת נוהל לתזכור משתמשי מוצרי IoT לעדכן פרטי הגישה.
• עריכת תסקיר השפעה על פרטיות בשלב תכנון מערכות המידע.

בנוסף, חברות המספקות מוצר או שירות IoT מחויבות לעמוד בחובת היידוע ולספק מדיניות פרטיות בטרם קבלת הסכמת המשתמש לשירות או לפחות בשלב קבלת ההסכמה לשירות. יש ליידע באותו אפיק בו הופעל השירות. כך למשל, ככל שהשירות מופעל באופן מקוון, היידוע יוצג באופן מקוון. ככל שהשירות מופעל באופן שאינו מקוון, היידוע ייעשה בדרך שאינה מקוונת ובאופן שיאפשר למשתמש הפוטנציאלי להיווכח למדיניות הפרטיות בטרם רכישת המוצר (למשל, על גבי אריזת מוצר IoT). על מנת שהסכמת המשתמש במוצרי IoT תתקבל מדעת, יש להציג את מלוא המידע הרלוונטי בקשר לאיסוף המידע, באופן פשוט, בהיר ותמציתי. במקרים בהם מעורב בתהליך איסוף המידע ועיבודו בינה מלאכותית, נדרש לפרט אודות אופן פעולת המערכות, ככל שהפירוט כאמור ישים מבחינה משפטית, טכנולוגית ומסחרית.

כמו כן, הרשות קבעה כי על חברות המספקות מוצר או שירות IoT לבחון לפחות אחת לשנה האם המידע שנאסף אינו חורג מן הנדרש.

לבסוף, הרשות הדגישה כי ראוי לאפשר חזרה מהסכמה שניתנה לאיסוף ושימוש במידע, באופן הדומה לקבלת ההסכמה, המליצה לאפשר למשתמשים גישה קלה לעיון במידע הנשמר אודותם, והמליצה לשקול בקשות משתמשים למחיקת המידע לא עדכני או שגוי.

מחלקת הטכנולוגיה, הקניין הרוחני והגנת הפרטיות במשרדנו מתמחה בנושא הגנת הפרטיות בדין הישראלי ונשמח לעמוד לשירותך.

למען הסר ספק, האמור לעיל משמש מידע כללי בלבד ואין לראות בו ייעוץ משפטי ו/או חוות דעת משפטית ו/או תחליף לייעוץ משפטי. כל המסתמך על האמור לעיל, בכל דרך שהיא, עושה זאת על אחריותו בלבד והאחריות בגין כל נזק ישיר או עקיף, בשל הסתמכות על האמור, תחול על המשתמש בלבד.