לקוחות וידידים.ות יקרים.ות,
בתאריך ה-15 בנובמבר, 2023 פרסמה הרשות להגנת הפרטיות נייר עמדה בעניין מוצרי IOT ביתיים ובתים חכמים (להלן: "ההנחיה"). הרשות מפרטת בהנחיה מהם מוצרי IOT, מהם הסיכונים המרכזיים שמוצרים אלה מייצרים לפרטיות, וכן הנחיות ליצרנים ומשתמשי מערכות IOT.
עדכון זה מתמקד בהנחיות ובהמלצות הרשות לתאגידים שמספקים שירותים ו/או מוצרי IOT.
כללי
בשנים האחרונות הולך וגובר השימוש במערכות IOT (האינטרנט של הדברים או בקיצור IOT) – רשת המחברת בין חפצים ומכשירים פיזיים יום-יומיים (״דברים״) בצורה דיגיטלית ומאפשרת תקשורת ביניהם ויכולות איסוף וניתוח מידע – זאת נוכח המעבר לבתים "חכמים" (נורות חכמות, טלווזיות חכמות, מזגנים הנשלטים מרחוק, שואבי אבק רובוטיים וכו׳) וכן מכשור לביש (שעונים חכמים וכו׳).
כלומר, מערכות אלו מורכבות ממכשירים חשמליים המצוידים בחיישנים ומצלמות האוספים ומעבדים מידע ואף מידע רגיש. המידע נאסף על הנוכחים בחלל הבית, בין אם הם מודעים להתקנת המכשירים ובין אם לאו. מערכות ה-IOT מאפשרות יצירת מידע "חדש" על הנוכחים במתחם בו נמצאת המערכת וזאת כתוצאה מיכולות טכנולוגיות מתקדמות המאפשרות למערכת ל"הסיק" ולייצר מידע חדש מהתנהלות האנשים (נושאי המידע) שהמערכת קולטת וכן, מקישוריות למספר מוצרי IOT במרחב הביתי.
הרשות מונה מספר דוגמאות העשויות להביא לפגיעה בפרטיות של נושאי מידע כתוצאה משימוש במערכות IOT:
- היעדר איסוף הסכמה אודות שימוש במידע האישי הנאסף על-ידי כלי ה-IOT למטרות נוספות מאלו שלשמן ניתנה ההסכמה מלכתחילה. למשל, העברת מידע שלהם לצדדים שלישיים ללא קבלת הסכמתם.
- היעדר יידוע מספק של נושאי מידע בדבר מדיניות הפרטיות וכן, באפשרות הפגיעה בפרטיות נוכח שימוש במערכות האמורות.
- היעדר נקיטת אמצעי אבטחה מספקים להגנת מאגרי המידע המרכזים מידע הנאסף על-ידי המערכות.
- איסוף מידע עודף של נושאי מידע שאינו נדרש לשם מתן השירותים והחזקתו למשך זמן רב.
הרשות מוצאת בשימוש ההולך וגובר במערכות ה-IOT סיכון של ממש לפרטיות של אוכלוסיות רבות, ובפרט קטינים. בהתאם, הרשות מנחה יצרני מערכות IOT לוודא שהמערכות עומדות בהוראות חוק הגנת הפרטיות והתקנות שתוקנו מכוחו, לרבות ביצוע הפעולות הבאות:
- לאפיין את סוג המידע שמערכות ה-IOT אוספות ומעבדות למאגרי המידע של היצרניות; לוודא את רמת האבטחה שחלה על כל מאגר כאמור; לזהות, להסדיר ולהגביל את המורשים לגשת למאגר; לבצע תסקיר הגנת פרטיות בטרם השקה של מערכות כאמור; וכן, לוודא שהמערכות עומדות בדרישות אבטחת המידע (Security) בהתאם לדרישות הקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.
- ליידע את נושאי המידע, ככל הניתן, בטרם רכישת המוצרים ו/או השירותים, בצורה תמציתית, פשוטה, נגישה ומובנת בדבר מטרות איסוף המידע, למי יימסר המידע, אופן השימוש בו וכן בנוגע לסיכוני הפרטיות ואבטחת המידע הכרוכים בשימוש במוצרים כאמור. בשירותים הניתנים באופן מקוון, ראוי כי היידוע יוצג גם כן באופן מקוון.
- לאסוף את הסכמתם של נושאי המידע בנוגע למידע שנאסף כתוצאה משימוש בשירותים ו/או במוצרי IOT. כמו כן, יש ליידע את נושאי המידע בנוגע ליצירת פרופיל עליהם באמצעות המידע שנאסף. בנוסף, על היצרניות להקפיד כי השימוש במידע הנאסף אודות נושאי מידע ייעשה אך ורק למטרות שלשמן התקבלה ההסכמה מלכתחילה.
- לאפשר לנושאי המידע לעיין במידע, לפנות בבקשה לעדכון ולמחיקת מידע אשר לגישתם אינו נכון, שלם, ברור או מעודכן וכן, לצמצם איסוף, החזקה ושימוש של מידע עודף. בהתאם, לבחון אחת לשנה, האם המידע הנאסף על-ידן, אינו חורג מהנדרש.
- להטמיע תהליכים של הנדסת פרטיות (Privacy by Design) ו-"פרטיות כברירת מחדל" (Privacy by Default), באמצעות התאמת השירותים ו/או המוצרים לחוק הגנת הפרטיות ותקנותיו.
על יצרני ומשתמשי מערכות IOT לוודא שהם פועלים בהתאם להנחית הרשות. פעולה בניגוד להנחיה כאמור עשויה לעלות כדי הפרה של הוראות חוק הגנת הפרטיות והתקנות שתוקנו מכוחו.
נשמח לעמוד לרשותכם בכל שאלה וכן לסייע ביישום ההמלצות המפורטות.
בברכה,
מחלקת סייבר, אבטחת מידע ופרטיות,
שבלת ושות'
האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.
