מה אוספת עליכם טכנולוגיה לבישה — ולמה זה בעיה
שעון חכם, צמיד כושר, משקפיים חכמים — כל אלה אוספים נתונים שלרופא שלכם לוקח שנים לצבור: קצב לב, לחץ דם, דפוסי שינה, מיקום בזמן אמת, ואפילו מדדי מתח ועייפות. הנתונים האלה לא נשמרים "רק" בשעון — הם עוברים לשרתים של היצרן, ולעיתים קרובות גם לצדדים שלישיים.
זה יוצר בעיה משפטית אמיתית. נתוני בריאות הם הקטגוריה הרגישה ביותר בדיני פרטיות — הן לפי החוק הישראלי והן לפי ה-GDPR. דליפה של נתונים כאלה עלולה לחשוף מצב בריאותי בפני מעסיק, חברת ביטוח, או כל גוף אחר שהעניין נוגע לו.
חוק הגנת הפרטיות הישראלי — מה הוא מחייב
חוק הגנת הפרטיות, תשמ"א-1981, מחייב שכל טיפול בנתונים אישיים ייעשה בהסכמה מפורשת. כאשר מדובר בנתוני בריאות — ההגנה כפולה: אלו נתונים "רגישים" לפי הגדרת החוק, והאיסוף שלהם מחייב:
- הסכמה מפורשת ומודעת — לא "מוסתרת" בתנאי שימוש ארוכים
- מטרה ברורה ומוגדרת לאיסוף הנתונים
- אפשרות למשתמש לעיין בנתוניו ולתקן שגיאות
- רישום מאגר הנתונים ברשות הגנת הפרטיות (חובה לחברות שאוספות נתוני בריאות)
חברה שאוספת נתוני בריאות ואינה רשומה כמאגר מידע — חשופה לתביעה. העדר רישום הוא עילה עצמאית, גם אם שאר הטיפול בנתונים תקין.
ה-GDPR — מתי הוא חל על חברה ישראלית
ה-GDPR חל על כל חברה ישראלית שמטפלת בנתונים של אזרחים אירופאים — גם אם החברה יושבת בתל אביב. בפועל, זה אומר שרוב חברות ה-wearable הישראליות כפופות לו.
לגבי נתוני בריאות, ה-GDPR מחמיר במיוחד: אי אפשר לאגד הסכמה לעיבוד נתוני בריאות יחד עם תנאי השימוש הכלליים. נדרשת הסכמה נפרדת, מפורשת, ומבוהרת לכל מטרת עיבוד.
למשתמשים עומדות זכויות שאפשר לאכוף: זכות עיון בנתונים, זכות תיקון, זכות מחיקה ("זכות השכחה"), וזכות לניידות הנתונים לשירות אחר.
קראו גם:
בעיות אבטחה — מה קורה כשנתוני הבריאות שלכם דולפים
מכשירים לבישים חשופים לסיכוני אבטחה ייחודיים: חיבור לרשות Wi-Fi לא מאובטחת, העברת נתונים בערוץ לא מוצפן, והאפשרות שהאפליקציה עצמה תיפרץ. דליפת נתוני בריאות יכולה להיות קטסטרופלית לפרטיות.
דוגמה: דליפת נתוני דופק ודפוסי שינה עלולה לחשוף מצב לב, הפרעות שינה, או רמות מתח — מידע שחברת ביטוח עשויה להשתמש בו לשינוי תנאי הפוליסה. חברות wearable חייבות ליישם: הצפנה מקצה לקצה, אימות דו-שלבי, ובדיקות אבטחה סדירות.
שימוש צד שלישי בנתונים — מה מותר ומה אסור
אחת הבעיות העיקריות: יצרני מכשירים לבישים לעיתים קרובות מוכרים או משתפים נתוני שימוש עם צדדים שלישיים — לשיפור מוצר, מחקר, או פרסום ממוקד.
בישראל, הסכמה לשימוש צד שלישי חייבת להיות מפורשת וברורה — לא מספיק להודיע על כך בסעיף קטן בתנאי השימוש. מחקר, בדיקות קליניות, או שיתוף עם חברות ביטוח — כל אחד מהם מחייב הסכמה נפרדת.
הזכויות שלכם — מה אפשר לדרוש
משתמש בטכנולוגיה לבישה יכול לדרוש מהחברה:
- עיון בכל הנתונים שנאספו עליו
- תיקון נתונים שגויים
- מחיקת הנתונים ("זכות השכחה") — עם חריגים מוגדרים בחוק
- הפסקת שימוש בנתונים לצורכי פרסום ממוקד
בישראל, אם חברה מסרבת לבקשת מחיקה ללא עילה חוקית — ניתן להגיש תלונה לרשות הגנת הפרטיות, ובמקביל לשקול תביעה אזרחית.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: לפני ייצוג לקוח בתביעה נגד חברת wearable — בדקו אם החברה רשומה כמאגר מידע ברשות הגנת הפרטיות. העדר רישום הוא עילה עצמאית לתביעה.
- פסיקה רלבנטית: קיימת פסיקה של בית הדין האירופי לצדק (CJEU) בנושא עיבוד נתוני בריאות המחייבת הסכמה מפורשת נפרדת — לא ניתן לאגד אותה בתנאי שימוש כלליים.
- טעות נפוצה: עורכי דין רבים מפספסים שנתוני מיקום מ-GPS של שעון חכם מוגנים כ"נתונים רגישים" בישראל, בדיוק כמו נתוני בריאות — ולא כנתונים רגילים.
- נקודה טקטית: כשמגישים תביעה ייצוגית בגין הפרת פרטיות של wearable — כמתה הנזק לכל משתמש היא ≈200-500 ₪, אבל היקף המחלקה יכול להגיע למאות אלפי עמיתים.