פרטיות במוצרי IoT ביתיים
הרשות להגנת הפרטיות פרסמה אתמול מסמך לגבי פרטיות במוצרי IoT ביתיים.
המסמך מכיל התייחסות לסיכוני הפרטיות הכרוכים בשימוש במוצרי IoT (Internet of Things) ביתיים, דהיינו מכשירים "חכמים" ביתיים, כמו עוזרת קולית, שואב אבק חכם, טלוויזיה חכמה, דלת כניסה חכמה, וכדומה. במסמך יש המלצות למשתמשים במוצרים, וכן "הנחיות והמלצות" לחברות שמספקות שירותי ומוצרי "בית חכם".
השימוש במילה "הנחיות" עשוי ללמד על כך שהרשות תראה בחלק מן ההוראות האמורות בפרק המופנה לחברות כמחייבות, אף כי רוב המסמך כולל המלצות לצרכנים.
המסמך מבהיר שחברות שמספקות שירותי ומוצרי בית חכם ואוספות במסגרתם מידע הן בעלות מאגר הכפופות לכל החובות הרלוונטיות, כולל חובות לפי תקנות אבטחת מידע. בהקשר זה, הרשות מציינת כי מאגר המידע שמכיל מידע שנאסף ממכשירים חכמים יהיה לכל הפחות ברמה הבינונית. הרשות מציינת ספציפית את תחולת תקנות 7 – 11, שאחת מהן היא כמובן חובת הדיווח לרשם מאגרי מידע במקרה של אירוע אבטחה חמור.
הרשות ממליצה לנקוט בפעולות הבאות ביחס לשירותי ומוצרי IoT, כאשר דגש מיוחד יינתן למוצרי IoT המיועדים לקטינים (כמו צעצועים חכמים):
הרשות חוזרת על המלצתה לערוך תסקיר השפעה על הפרטיות, ולמנות ממונה הגנת פרטיות ומדגישה שוב את חשיבות חובת היידוע בשלב איסוף המידע, כולל במצבים בהם המידע נאסף על ידי כלי מבוסס בינה מלאכותית (בדומה למסמך שפירסמה הרשות בשנת 2022, שפרסמנו לגביו עדכון גם כן), כולל יידוע על סוגי המידע שייאספו לשימוש בAI, מקורותיהם ועם איזה מידע יוצלבו.
בהקשר היידוע, הרשות מתייחסת למועד היידוע ולאופן יישומו. מבחינת המועד, מציינת הרשות כי ראוי ליידע לפני ההסכמה לשירות או לפחות במסגרת תהליך ההסכמה לשירות. הכוונה לדעתנו היא ליידוע לפני השלב שבו מתחיל להיאסף מידע אישי, ובהזדמנות זו נזכיר ללקוחותינו שכדאי לוודא שהיידוע שקיים באפיקים השונים בהם הארגון אוסף מידע אכן מצויים בשלב המתאים, טרם איסוף המידע בפועל, גם ללא קשר למוצרי IoT. מבחינת אופן היידוע, הרשות ממליצה ליידע באופן שתואם את הפעלת השירות – אם השירות מופעל באופן מקוון, היידוע צריך להינתן באופן מקוון. אם לעומת זאת השירות מופעל באופן שאיננו מקוון – כך גם היידוע לא יהיה מקוון, אלא פיזי, כאשר הרשות מציינת כדוגמה יידוע פיזי על אריזת מוצר ה-IoT.
יידוע בהיר מתקשר לסוגיית ההסכמה מדעת, שחשובה במיוחד לדעת הרשות במקרים של יצירת פרופיל על המשתמש על בסיס מספר מוצרי IoT. במסמך הנוכחי, בניגוד למספר מסמכים קודמים, הרשות מתייחסת לקיומה של הסכמה משתמעת בדין הישראלי, ובצדק רב, משום שאלו מילות החוק.
הרשות מציינת כי ראוי לאפשר לנושאי המידע לחזור בהם מהסכמתם לאיסוף ולשימוש במידע אודותיהם ולאפשר חזרה כזאת באופן דומה לזה שבו היא התקבלה. זאת ועוד, הרשות מציינת כי ראוי לאפשר לנושא המידע לבקש להפסיק את השימוש במידע שנאסף לגביו, זכויות שקבועות GDPR (אם בסיס העיבוד הוא הסכמה) אך לא בחוק הישראלי.
הרשות מזכירה את זכות העיון ומציינת כי רצוי שחברות יאפשרו גישה קלה לעיון במידע, וגם מזכירה את זכות המחיקה לפי סעיף 14 לחוק הגנת הפרטיות ביחס למידע לא נכון או לא מעודכן, שלדעת הרשות סביר שייאסף כזה במסגרת מוצרי IoT, אם כי הנחה זו של הרשות לא לגמרי ברורה.
הרשות גם חוזרת על חשיבות הצמצום של מידע עודף, ושילוב חזרותיה של הרשות על הנושא בתקופה האחרונה, כמו גם הופעתו בתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023, מובילים לדעתנו למסקנה לפיה כדאי לגופים להתחיל ולטפל בסוגיית המידע העודף.
ראוי לציין את ההפניות הרבות למקרים שטופלו על ידי הFTC, רשות המסחר הפדרלית של ארה"ב, ולמסמך של רשות הגנת הצרכן הישראלית, ויתכן שהדבר מלמד על חיזוק הקשר על ידי הרשות בין היבטים צרכניים להיבטי פרטיות – כמקובל בארה"ב. גם ההתייחסות למבחן הציפייה הסבירה במסמך מקשרת לארה"ב, משום שמקורו בדין האמריקאי.
החלטת Adequacy לגבי ישראל
כזכור, בשנת 2011 הגופים המוסמכים באירופה החליטו להעניק למדינת ישראל מעמד של "הולמות" עם דיני הגנת הפרטיות האירופאים, החלטת Adequacy. מאז, ובשנים האחרונות בעיקר, ההחלטה נמצאת תחת בחינה. משרד האוצר מצא שלמעמד ה adequacy השפעה כלכלית משמעותית על חברות ישראליות שיש להם נגיעה למידע אירופאי, ומשרד המשפטים הישראלי פועל כבר תקופה ארוכה מול הגופים הרלוונטיים באירופה על מנת לשמרו.
לפי מקור משפטי בכיר באיחוד האירופי שמשתתף בכנס השנתי של ה International Association of Privacy Professional שמתקיים השבוע בבריסל, בדצמבר תתפרסם "בוודאות" המלצת ה EDPB לגבי מעמד ה adequacy של ישראל, לאחר עיכוב של שנים.
ה EDPB, European Date Protection Board, הוא גוף רשמי שמאגד את הרגולטורים של המדינות החברות, ובין שאר תפקידיו הוא ממליץ לנציבות האיחוד האירופי האם להעניק או לבטל מעמד adequacy.
אנו עומדים לרשותכם לכל שאלה, זמינים לכם גם בימים אלה, ומאחלים ימים שקטים וטובים יותר לכולנו,
אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה
מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.