EdTech: השוק גדל, הרגולציה מדביקה
בית ספר שחותם על חוזה עם פלטפורמת EdTech בלי לקרוא את סעיפי הנתונים — לא סתם "נפל בין הכיסאות". הוא עלול להפר את חוק הגנת הפרטיות. וחברת EdTech שמשתמשת בנתוני תלמידים לאימון מודלי AI — עלולה לגלות שהסכם המשתמש לא כיסה את זה.
הרגולציה בישראל עדיין מתגבשת, אבל כבר עכשיו יש חובות ברורות שרבים לא מכירים — ורשות הגנת הפרטיות כבר אוכפת אותן. ארבע מסגרות חוקיות קובעות את הכללים:
- חוק הגנת הפרטיות, התשמ"א-1981 ותקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017
- חוק שוויון זכויות לאנשים עם מוגבלות, התשנ"ח-1998
- חוק זכות יוצרים, התשס"ח-2007
- הנחיות משרד החינוך ורשות הגנת הפרטיות לשימוש בנתוני תלמידים
פרטיות תלמידים — החובה הכבדה ביותר
נתונים של תלמידים — ובפרט של קטינים — מוגנים ברמה גבוהה יותר מנתוני מבוגרים. שלושה עקרונות מרכזיים חלים:
- הסכמת הורים: בנתונים של קטינים, ההורה הוא הנושא בזכויות — יש לקבל הסכמה מפורשת ומדעת לפני כל עיבוד נתונים.
- מינימום הכרחי: אין לאסוף אלא נתונים הנדרשים ישירות לצורך החינוכי. נתוני מיקום, התנהגות דיגיטלית, ומידע רגיש — אסורים ללא הצדקה ממשית.
- אבטחה מחייבת: תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 קובעות רמות אבטחה לפי רגישות המידע. בתי ספר ומוסדות אחראים לבחור ספקים שעומדים בתקנות — ולא לסמוך על הצהרות שיווקיות בלבד.
העברת נתוני תלמידים לגורמי צד שלישי — לצרכי שיווק, פרסום, או שיתוף עם חברות אחרות — אסורה ללא הסכמה מפורשת ותוחמת.
זכויות יוצרים בתוכן חינוכי
מי הבעלים של שיעור וידאו שמורה הכין? חוק זכות יוצרים, התשס"ח-2007 קובע כי יצירה שנוצרה על ידי עובד במסגרת עבודתו שייכת למעסיק — אלא אם הוסכם אחרת. כלל זה יוצר שאלות מורכבות בהשכלה הגבוהה, שם מסורתית לסגל יש שליטה על יצירותיהם האקדמיות.
- מורה עצמאי: בעל הזכויות על תכנים שיצר, אלא אם ויתר עליהן בחוזה.
- עובד מוסד חינוכי: הזכויות שייכות למוסד — אלא אם יש הסכם מיוחד להפך.
- שימוש הוגן בחינוך: חוק זכות היוצרים הישראלי מכיר ב"שימוש הוגן" (סעיף 19) לצרכי הוראה ומחקר — אך הדבר אינו מתיר שכפול גורף של חומרים מסחריים.
- תוכן AI: יצירות שנוצרו על ידי AI — שאלת הבעלות עדיין לא הוסדרה בחוק הישראלי ⚠️.
קראו גם:
נגישות בחינוך דיגיטלי — חובה, לא אופציה
חוק שוויון זכויות לאנשים עם מוגבלות, התשנ"ח-1998, וכן תקנות הנגישות מכוחו, מחייבים מוסדות חינוך לדאוג שפלטפורמות EdTech שהם רוכשים יהיו נגישות. הדרישות המעשיות:
- תאימות לסטנדרט WCAG 2.1 ברמה AA לפחות
- קוראי מסך תואמים לתלמידים עם לקות ראייה
- כתוביות לכל תוכן וידאו עבור תלמידים חירשים
- ניווט מלא במקלדת (ללא עכבר) לתלמידים עם מוגבלות מוטורית
- פונטים וניגודיות מספקת לתלמידים עם לקויות למידה חזותיות
מוסד חינוכי שרוכש פלטפורמה לא נגישה — עלול לשאת באחריות משפטית. אי-נגישות אינה אחריות הספק בלבד.
הסכמים עם ספקי EdTech — מה חייבים לכלול
כאשר בית ספר, אוניברסיטה, או רשות חינוכית חותמת על הסכם עם ספק EdTech — הסכם שגרתי אינו מספיק. אלה הסעיפים שחייבים להיות:
- בעלות על הנתונים: מוסד החינוך הוא הבעלים של נתוני התלמידים — לא הספק. יש לקבוע זאת במפורש.
- הגבלת שימוש: הספק לא יהיה רשאי לעשות שימוש בנתוני תלמידים לצרכי שיווק, פרסום, או שיתוף עם צדדי ג'.
- מחיקת נתונים בסיום החוזה: עם סיום ההתקשרות — הספק מחויב למחוק את כל הנתונים בתוך פרק זמן מוגדר.
- חובת הודעה על הפרת אבטחה: על הספק להודיע למוסד על כל אירוע אבטחה תוך 72 שעות — בהתאם לחובות החוקיות.
- ביקורת עצמאית: הספק מאפשר ביקורת תקופתית על עמידה בדרישות אבטחה.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בבדיקת Due Diligence לחברת EdTech — בדוק מראש: האם קיים מסמך Data Processing Agreement (DPA) עם לקוחות מוסדיים? חוסר ב-DPA הוא דגל אדום לחשיפה לפי תקנות הגנת הפרטיות.
- פסיקה רלוונטית: רשות הגנת הפרטיות אכפה כבר בעבר על מוסדות שמסרו נתוני סטודנטים לצדדי ג' ללא הסכמה — ביקורת תקופתית על הסכמי EdTech אמורה לכלול גם את הספקים המשניים (sub-processors).
- טעות נפוצה: מוסדות חינוך שחושבים שהחתמת הורים על "תנאי שימוש" כללי מכסה את כל השימוש בנתונים — הכיסוי חלקי בלבד. נדרשת הסכמה ספציפית לכל מטרה של עיבוד.
- נקודה טקטית: הסכמי EdTech כוללים לעתים סעיף "שיפור מוצר" שמתיר לספק להשתמש בנתונים לפיתוח — זה עלול לכלול גם נתוני תלמידים. יש לדרוש החרגה מפורשת של נתוני קטינים מכל שימוש שאינו ליבת השירות.