linkedin
להרשמה לניוזלטר
16.11.2023 עדכון לקוחות
מסמך רשות הגנת הפרטיות לגבי פרטיות במוצרי IoT ביתיים (עם השלכות ליצרנים); מקור משפטי בכיר באיחוד האירופי: המלצת ה – EDPB לגבי מצב ה – Adequacy של ישראל תתפרסם בדצמבר
אודות תחומי פעילות

פרטיות במוצרי IoT ביתיים

הרשות להגנת הפרטיות פרסמה אתמול מסמך לגבי פרטיות במוצרי IoT ביתיים.

המסמך מכיל התייחסות לסיכוני הפרטיות הכרוכים בשימוש במוצרי IoT (Internet of Things) ביתיים, דהיינו מכשירים "חכמים" ביתיים, כמו עוזרת קולית, שואב אבק חכם, טלוויזיה חכמה, דלת כניסה חכמה, וכדומה. במסמך יש המלצות למשתמשים במוצרים, וכן "הנחיות והמלצות" לחברות שמספקות שירותי ומוצרי "בית חכם".

השימוש במילה "הנחיות" עשוי ללמד על כך שהרשות תראה בחלק מן ההוראות האמורות בפרק המופנה לחברות כמחייבות, אף כי רוב המסמך כולל המלצות לצרכנים.

המסמך מבהיר שחברות שמספקות שירותי ומוצרי בית חכם ואוספות במסגרתם מידע הן בעלות מאגר הכפופות לכל החובות הרלוונטיות, כולל חובות לפי תקנות אבטחת מידע. בהקשר זה, הרשות מציינת כי מאגר המידע שמכיל מידע שנאסף ממכשירים חכמים יהיה לכל הפחות ברמה הבינונית. הרשות מציינת ספציפית את תחולת תקנות 7 – 11, שאחת מהן היא כמובן חובת הדיווח לרשם מאגרי מידע במקרה של אירוע אבטחה חמור.

הרשות ממליצה לנקוט בפעולות הבאות ביחס לשירותי ומוצרי IoT, כאשר דגש מיוחד יינתן למוצרי IoT המיועדים לקטינים (כמו צעצועים חכמים):

  • אימוץ גישת privacy by design שתשתמר עקרונות פרטיות עוד בשלב תכנון המערכת הקשורה לבית החכם, כמו למשל הפרדת רשת מוצרי ה-IoT מרשתות של שירותים או מוצרים אחרים.
  • שימוש באמצעי אבטחת מידע כמו הצפנה והתממה. כאן נסב את תשומת הלב לחזרתה של הרשות על סוגיית ההתממה, ומאוד יתכן שכדאי לגופים להתחיל ולחשוב על יישום כלי התממה שונים בקרוב.
  • הקפדה על הגדרות פשוטות למשתמשים במוצרים או השירותים הללו, ופישוט אמצעי השליטה שלהם במידע אודותיהם. בהקשר הזה אנחנו חוזרים על המלצותינו לניסוחים בהירים וקריאים במסמכי השירות ובמדיניות הפרטיות.
  • עדכון המתעניינים במוצר או בשירות IoT בסיכוני פרטיות ואבטחת מידע שכרוכים בהם, תוך הפנייה למסמך שפורסם לאחרונה על ידי רשות הגנת הצרכן ומערך הסייבר.
  • קביעת נוהל לתזכור המשתמשים על החלפת סיסמה.

הרשות חוזרת על המלצתה לערוך תסקיר השפעה על הפרטיות, ולמנות ממונה הגנת פרטיות ומדגישה שוב את חשיבות חובת היידוע בשלב איסוף המידע, כולל במצבים בהם המידע נאסף על ידי כלי מבוסס בינה מלאכותית (בדומה למסמך שפירסמה הרשות בשנת 2022, שפרסמנו לגביו עדכון גם כן), כולל יידוע על סוגי המידע שייאספו לשימוש בAI, מקורותיהם ועם איזה מידע יוצלבו.

בהקשר היידוע, הרשות מתייחסת למועד היידוע ולאופן יישומו. מבחינת המועד, מציינת הרשות כי ראוי ליידע לפני ההסכמה לשירות או לפחות במסגרת תהליך ההסכמה לשירות. הכוונה לדעתנו היא ליידוע לפני השלב שבו מתחיל להיאסף מידע אישי, ובהזדמנות זו נזכיר ללקוחותינו שכדאי לוודא שהיידוע שקיים באפיקים השונים בהם הארגון אוסף מידע אכן מצויים בשלב המתאים, טרם איסוף המידע בפועל, גם ללא קשר למוצרי IoT. מבחינת אופן היידוע, הרשות ממליצה ליידע באופן שתואם את הפעלת השירות – אם השירות מופעל באופן מקוון, היידוע צריך להינתן באופן מקוון. אם לעומת זאת השירות מופעל באופן שאיננו מקוון – כך גם היידוע לא יהיה מקוון, אלא פיזי, כאשר הרשות מציינת כדוגמה יידוע פיזי על אריזת מוצר ה-IoT.

יידוע בהיר מתקשר לסוגיית ההסכמה מדעת, שחשובה במיוחד לדעת הרשות במקרים של יצירת פרופיל על המשתמש על בסיס מספר מוצרי IoT. במסמך הנוכחי, בניגוד למספר מסמכים קודמים, הרשות מתייחסת לקיומה של הסכמה משתמעת בדין הישראלי, ובצדק רב, משום שאלו מילות החוק.

הרשות מציינת כי ראוי לאפשר לנושאי המידע לחזור בהם מהסכמתם לאיסוף ולשימוש במידע אודותיהם ולאפשר חזרה כזאת באופן דומה לזה שבו היא התקבלה. זאת ועוד, הרשות מציינת כי ראוי לאפשר לנושא המידע לבקש להפסיק את השימוש במידע שנאסף לגביו, זכויות שקבועות GDPR (אם בסיס העיבוד הוא הסכמה) אך לא בחוק הישראלי.

הרשות מזכירה את זכות העיון ומציינת כי רצוי שחברות יאפשרו גישה קלה לעיון במידע, וגם מזכירה את זכות המחיקה לפי סעיף 14 לחוק הגנת הפרטיות ביחס למידע לא נכון או לא מעודכן, שלדעת הרשות סביר שייאסף כזה במסגרת מוצרי IoT, אם כי הנחה זו של הרשות לא לגמרי ברורה.

הרשות גם חוזרת על חשיבות הצמצום של מידע עודף, ושילוב חזרותיה של הרשות על הנושא בתקופה האחרונה, כמו גם הופעתו בתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023, מובילים לדעתנו למסקנה לפיה כדאי לגופים להתחיל ולטפל בסוגיית המידע העודף.

ראוי לציין את ההפניות הרבות למקרים שטופלו על ידי הFTC, רשות המסחר הפדרלית של ארה"ב, ולמסמך של רשות הגנת הצרכן הישראלית, ויתכן שהדבר מלמד על חיזוק הקשר על ידי הרשות בין היבטים צרכניים להיבטי פרטיות – כמקובל בארה"ב. גם ההתייחסות למבחן הציפייה הסבירה במסמך מקשרת לארה"ב, משום שמקורו בדין האמריקאי.

החלטת Adequacy לגבי ישראל  

כזכור, בשנת 2011 הגופים המוסמכים באירופה החליטו להעניק למדינת ישראל מעמד של "הולמות" עם דיני הגנת הפרטיות האירופאים, החלטת Adequacy. מאז, ובשנים האחרונות בעיקר, ההחלטה נמצאת תחת בחינה. משרד האוצר מצא שלמעמד ה adequacy השפעה כלכלית משמעותית על חברות ישראליות שיש להם נגיעה למידע אירופאי, ומשרד המשפטים הישראלי פועל כבר תקופה ארוכה מול הגופים הרלוונטיים באירופה על מנת לשמרו.

לפי מקור משפטי בכיר באיחוד האירופי שמשתתף בכנס השנתי של ה International Association of Privacy Professional שמתקיים השבוע בבריסל, בדצמבר תתפרסם "בוודאות" המלצת ה EDPB לגבי מעמד ה adequacy של ישראל, לאחר עיכוב של שנים.

ה EDPB, European Date Protection Board, הוא גוף רשמי שמאגד את הרגולטורים של המדינות החברות, ובין שאר תפקידיו הוא ממליץ לנציבות האיחוד האירופי האם להעניק או לבטל מעמד adequacy.

אנו עומדים לרשותכם לכל שאלה, זמינים לכם גם בימים אלה, ומאחלים ימים שקטים וטובים יותר לכולנו,

אייל שגיאשיר שושני כץ וצוות מחלקת משפט וטכנולוגיה

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.

מחברים

lawyer
אייל שגיא שותף
lawyer
שיר שושני-כץ שותפה

יש שאלה?

צרו קשר
56D9F0DF-2ADD-4F1A-9BF0-A5FAE7B3FFAB 03-6019601 A8E2E0C1-A22E-4467-B401-3FBB5EB3D9FD 03-6019602 7E3138C9-CCEB-4891-8CDE-8669E56EDA6C mail@ayr.co.il

רוצה להתעדכן?

לעמוד החדשות אירועים קרובים
linkedin
נוצר על ידי: Layer.co.il
הצהרת נגישות תנאי שימוש והערות משפטיות מדיניות פרטיות
נוצר על ידי: Layer.co.il
© כל הזכויות שמורות ל-AYR
© כל הזכויות שמורות ל-AYR