מה היא טכנולוגיה לבישה ?
טכנולוגיה לבישה (wearable technology) כוללת התקנים שלבושים על הגוף ואוספים נתוני בריאות, פעילות, או עתידות. דוגמאות כוללות: שעונים חכמים, צמידי כושר, משקפיים חכמים, חיישנים רפואיים בדברים לבישים, ואפילו בדים שמודדים טמפרטורה.
הנתונים הנאספים עלולים להיות רגישים מאוד - מדדי לב, קצב נשימה, מיקום, דפוסי שינה, ואפילו מזגנו הנפשי. זה יוצר אתגרים משפטיים חדשים בקשר לפרטיות ואבטחה של נתונים.
- נתוני בריאות (דופק, לחץ דם, סוכר בדם)
- נתוני גיאוגרפיים (מיקום בזמן אמת)
- נתוני התנהגות (פעילות, שינה, אכילה)
- נתוני פיזיול וגיים (זעות, טמפרטורה)
חוקי פרטיות בישראל
בישראל, חוק הגנת הפרטיות (תשמ״א-1981) מחייב שכל טיפול בנתונים אישיים נעשה בהסכמה מפורשת של הפרט. כאשר מדובר בנתוני בריאות, קיימת הגנה מחוזקת.
תחקיר חברה שאוספת נתוני בריאות דורש: (1) הסכמה מפורשת, (2) אהדור מטרות ברורות, (3) שיחזוקה מידע בביטחון, (4) שתאפשר למשתמשים לבדוק ולתקן את נתוניהם.
חוק הגנת הפרטיות בישראל מחייב הסכמה מפורשת לאיסוף נתונים אישיים, במיוחד נתוני בריאות
ה-GDPR באירופה והשלכותיו על חברות בישראל
ה-GDPR (General Data Protection Regulation) בעלת השפעה גדולה על חברות טכנולוגיה בישראל השול חות נתונים לאירופה או מקבלות משתמשים אירופאים. ה-GDPR מחייב הסכמה מפורשת וחיובבזכויות דאטה סאב״ג״קט (זכויות הפרט) .
עבור נתוני בריאות, ה-GDPR דורש תנאים עוד יותר קשוחים - יש צורך בהסכמה המפורשת ביותר אפילו מאשר לנתונים אחרים. חברה המטפלת בנתוני בריאות של אזרחים אירופאיים חייבת להיות קשרה עם מפעיל נתונים אחר או ליישם תנאים מחמירים.
- הסכמה מפורשת של דאטה סאב״ג״קט
- זכות השכחה (right to be forgotten)
- זכות לעבור נתונים (data portability)
- זכות לשל ולעיבוד (opt-out)
קראו גם:
בעיות אבטחה וסיכון של דליפה
טכנולוגיה לבישה חשופה לסיכונים אבטחה ייחודיים. המכשיר עלול להיות הנתין, האתר שלו עלול להיות מחובר לרשת בלתי מאובטחת, ונתוניו עלולים להיות קל וטים או להיות עברים בערוץ לא מקודד.
מקרים של דליפת נתוני בריאות יכולים להיות קטסטרופל יים לפרטיות. לדוגמה, דליפה של נתוני בריאות עלולה לחשוף מצבבריאותי של מישהו לעובדים בחברה שלו, לביטוח חיים, או לעסק מתחרה. משום כך, יש חיוב חוקי מיוחד להגן על נתונים אלו.
דליפת נתוני בריאות עלולה להיות בעלת השלכות חמורות על פרטיות והפליה בעבודה וביטוח
- הצפנה מקצה לקצה של הנתונים
- אימות דו-שלבי לתוך חשבונות
- גיבויים מאובטחים של נתונים
- בדיקות רגילות של אבטחה
שימוש שלישי-צדדי ותרגום נתונים
אחת הבעיות העיקריות עם טכנולוגיה לבישה היא השימוש של צדדים שלישיים בנתונים. יצרני מכשירים עלולים למכור או לחלוק נתוני שימוש עם חברות שלישיות - בדר״כ לשיפור מוצר, מחקר, או פרסום ממוקד.
בישראל, הסכמה לשימוש שלישי-צדדי חייבת להיות מפורשת וברורה. לא מספיק רק להודיע בתנאים כלליים - יש לשאול הסכמה מפורשת עבור כל שימוש שלישי-צדדי משמעותי.
- שימוש נתונים למטרות מעקב
- שימוש נתונים לפרסום ממוקד
- שימוש נתונים למחקר או בדיקות קליניות
- שימוש נתונים על ידי חברות ביטוח
זכויות המשתמש וזכות השכחה
משתמש בטכנולוגיה לבישה צריך להיות בעל זכויות מסוימות. אלו כוללות: (1) זכות לבדוק את הנתונים שאוגרים, (2) זכות לתקן נתונים שגויים, (3) זכות לבקש מחיקה של נתונים (זכות השכחה), (4) זכות לשלולשימוש בנתונים.
לפי ה-GDPR, משתמש בעל זכות השכחה - הוא יכול לבקש שחברה תמחק את כל הנתונים שלו. עם זאת, בישראל, זכות זו מוגבלת יותר - יש חריגים עבור חוק, בדיקה משפטית, וצרכים עסקיים חוקיים.
בעלהנתונים בישראליש זכות לבקש מחיקה וכיוונון של נתוניו, אך יש חריגים
המלצות למתכננים ולחברות טכנולוגיה
חברות המייצרות טכנולוגיה לבישה צריכות ליישם "privacy by design" - כלומר, להגן על פרטיות מהשלב הראשון של עיצוב המוצר. זה כולל הצפנה, שליטה על משתמש בנתונים, והודעה ברורה בקשר לשימוש נתונים.
בנוסף, יש לפעול כדי להשיג תאימות ל-GDPR וחוקים אחרים. זה כולל ביטוח שהטיפול בנתונים מתואם עם הסכמה מפורשת, שחברות שלישיות חתומות על הסכמי עיבוד נתונים (Data Processing Agreements), וששמור ניתן עדכון מסדר דירוג של אבטחה.
- יישום Privacy by Design
- הצפנה מקצה לקצה של נתונים
- בקרת גישה מבוססת תפקידים
- עדכוני אבטחה קבועים
- תאימות ל-GDPR ו-CCPA