רקע
הרשות להגנת הפרטיות (להלן – הרשות) פרסמה ביום 24.02.2025 טיוטת גילוי דעת להערות הציבור (להלן – טיוטת גילוי דעת), בנושא ההסכמה בדיני הגנת הפרטיות.
עיקרון ההסכמה הוא עיקרון מרכזי בדיני הגנת הפרטיות בישראל, ומטרת טיוטת גילוי הדעת היא להבהיר את עמדת הרשות להגנת הפרטיות בעניין יישום העיקרון בראי המציאות הדיגיטלית המתפתחת.
כיום, חוק הגנת הפרטיות התשמ"א-1981 (להלן – החוק או חוק הגנת הפרטיות) קובע כי איסוף ושימוש במידע אישי הכרוכים בפגיעה בפרטיות יכולים להיעשות מכוח הסמכה בדין או בהסכמת נושא המידע. לצד דרישה זו, היבט ההסכמה אף מתבטא בדיני הפרטיות באופן עקיף, לפיו לא ישתמש אדם במידע שבמאגר מידע אלא למטרה שלשמה הוקם המאגר.
עיקרי טיוטת גילוי הדעת – סוגיית ההסכמה
הסכמה מדעת: הסכמת נושא המידע צריכה להיות מדעת, כלומר, נושא המידע צריך להיות מודע לזכותו לסרב לבקשה ולהשלכות החלטתו.
משמעות הדבר היא כי הסכמה לפגיעה בפרטיות, המתקבלת באופן מפורש או מכללא חייבת להיות מדעת. לפי טיוטת גילוי הדעת, אדם צריך להיות מודע לזכותו לסרב לבקשה לקבלת הסכמתו, לאחר שהובא בפניו כל המידע הדרוש לו, באופן סביר, נגיש ומובן כדי לקבל החלטה בנושא, ובכלל זאת יש להציג לאדם נתונים על איסוף המידע והשימוש בו, לרבות פירוט מטרות איסוף המידע, זהות הגורמים אליהם הוא עשוי להיות מועבר, והשלכות הסכמתו או סירובו לבקשה.
סוג המידע שיש לספק לאדם לשם קבלת הסכמתו, והיקפו, תלויים בין היתר, בהקשר הפנייה לרבות סוג המידע הנאסף ורגישותו והשימושים המבוקשים בו. כך למשל, טיוטת גילוי הדעת מתייחסת לפסיקת ביה"ד הארצי לעבודה בעניין קלנסווה, בו נקבע כי מעסיקה לא קיבלה הסכמה מדעת עבור איסוף מידע ביומטרי של עובדים לצרכי רישום נוכחות במקום העבודה, וזאת בין היתר משום שלא הציגה בפני העובדות מידע רלוונטי לטיב ולאופן השימוש בשעון הביומטרי, והיעדר פרסום מדיניות ברורה, גלויה ומידתית בנושא.
תוכן ההסכמה צריך להיות מוצג איפוא באופן ברור, נגיש ומובן. טיוטת גילוי הדעת מתייחסת בין היתר, לנסיבות בהן שירות מסוים מופנה בעיקר לאוכלוסיות עם מאפיינים ייחודיים (כגון אנשים עם מוגבלות), ובמקרים אלה נאמר כי יש לתת את הדעת על כך במסגרת אופן הצגת המידע הנדרש לצורך קבלת הסכמה ואופן קבלתה.
נראה, כי טיוטת גילוי הדעת מבקשת לצקת פרשנות מרחיבה למושג ההסכמה מדעת. לפי טיוטת גילוי הדעת, אין בעמידה בתנאי סעיף 11 לחוק הגנת הפרטיות, כדי להבטיח עמידה בדרישה לקבל הסכמה מדעת, שכן עמידה בתנאי הסעיף היא דרישת המינימום המתחייבת מהוראות החוק, ובמקרים מסוימים מבקש ההסכמה יהיה מחויב בפירוט נרחב יותר.
ככלל, לפי טיוטת גילוי הדעת, בנסיבות בהן קיימים פערי כוח בין צדדים, או כאשר קיים פוטנציאל לפגיעה קשה בפרטיות, או בנסיבות מורכבות אחרות (כגון שימוש בטכנולוגיה חדשנית), יש לראות בחובה זו כחובה מוגברת, ועל מבקש ההסכמה להקפיד להציג באופן בולט ופשוט את כלל הנתונים הרלוונטיים להחלטה, וככל הניתן בנפרד משאר רכיבי ההתקשרות.
עוד נאמר בטיוטת גילוי הדעת, כי הדרישה להסכמה מדעת כאמור, חלה הן ביחס להסכמה הניתנת באופן מפורש והן ביחס להסכמה מכללא הנלמדת מהתנהגותו של אדם.
הסכמה "חשודה": הסכמה לפגיעה בפרטיות חייבת להינתן מתוך רצון חופשי. טיוטת גילוי הדעת מתארת מקרים בהם קיים חשש מובנה כי ההסכמה שניתנה היא "חשודה" (כלומר, קיים ספק האם ועד כמה ניתן לראותה כהסכמה מתוך רצון חופשי ואמיתי), כגון הסכמה הניתנת במצב בו קיימים פערי כוח ברורים, לדוגמא: הסכמה הניתנת ביחסי עבודה (בין מעסיקים לעובדים ולמועמדים לעבודה), הסכמה הניתנת לקבלת שירות חיוני; מסירת מידע במסגרת השתתפות במכרז; וכן הסכמה הניתנת בהיעדר כל חלופה סבירה.
בהתאם לטיוטת גילוי הדעת, לגישת הרשות, במצבים בהם קיים חשש אינהרנטי כי ההסכמה "חשודה", הנטל להוכיח כי הסכמה לפגיעה בפרטיות ניתנה מתוך רצון חופשי עשוי להיות מוטל על כתפיו של מבקש ההסכמה. במצב בו אדם ככלל אינו יכול הלכה למעשה, לסרב לפעולה הפוגעת בפרטיותו, הדבר עשוי להשליך על תוקפה של הסכמתו. על מנת להתמודד עם מצבים כאלה, יכול מבקש ההסכמה לנקוט באמצעים שונים, כגון להציע חלופה סבירה או אי-התניית קבלת השירות במתן הסכמה לאיסוף מידע שאינו נדרש, באופן שיראה כי ההסכמה מבטאת את רצונו החופשי ואת בחירתו האמיתית של נושא המידע.
לפי טיוטת גילוי הדעת, שינוי מהותי של תנאי שימוש במידע, ללא קבלת הסכמה נוספת, ייחשב כשימוש במידע שלא על יסוד הסכמה שהתקבלה מדעת ומתוך רצון חופשי.
אופן קבלת ההסכמה: טיוטת גילוי הדעת מתייחסת לכך שהסכמה לפגיעה בפרטיות יכולה להינתן במפורש, או מכללא. הסכמה מפורשת יכולה להינתן בכתב או בע"פ (לדוגמא: חתימה על חוזה, לחיצה על רובריקת אישור תנאי שימוש). הסכמה מכללא הינה הסכמה משתמעת, כלומר הסכמה הניתנת ללמידה מתוך הנסיבות ומאופן התנהגותו של אדם. טיוטת גילוי הדעת מציינת, כי הפסיקה צמצמה במקרים שונים את האפשרות להסתמך על התנהגותו של אדם כהסכמה מכללא. כמו כן נאמר בטיוטת גילוי הדעת, כי ככלל, שתיקתו של אדם או היעדר מחאה מצידו לאיסוף או לשימוש במידע הנוגע אליו כשלעצמם, לא יכולים ללמד על הסכמה תקפה לפי דיני הגנת הפרטיות, אלא רק כאשר ניתן להוכיח כי לנושא המידע עמדה המודעות הנדרשת למתן ההסכמה, ורק כאשר קיימות נסיבות אחרות מהן ניתן ללמוד כי נושא המידע אכן התכוון להעניק הסכמתו.
לפי טיוטת גילוי הדעת, הגם שלעיתים הסתמכות על הסכמה מכללא היא אפשרית, רצוי ככל הניתן לפנות לאדם לקבלת הסכמתו המפורשת, וזאת בעיקר במקרים של עיבוד מידע רגיש או נקיטת פעולה העלולה להביא לפגיעה קשה בפרטיות.
לפי טיוטת גילוי הדעת, הסכמה מכללא לשימוש במידע למטרה אחת, אין בה כדי להתיר שימוש במידע למטרה אחרת, אלא לאחר קבלת הסכמה חדשה לכך מנושא המידע.
הסכמה אקטיבית (opt-in) או פסיבית (opt-out): הסכמה יכולה להינתן באופן אקטיבי (כגון: סימון ברובריקה המתירה שימוש במידע למטרה סצפציפית אחרת מהמטרה לה ניתנה ההסכמה הכללית) או באופן פסיבי (כגון: הימנעות מסימון ברובריקה שאוסרת על שימוש במידע אישי שאינו הכרחי למתן השירות).
טיוטת גילוי הדעת מבהירה כי במקרים בהם הסכם כולל סעיפים למתן הסכמה לשימוש במידע אישי לצרכי "פרופיילינג" שאינו קשור למטרת העסקה או השירות, ובפרט בין צדדים ביניהם יש פערי כוח – לא ניתן להסתפק בהסכמה פסיבית, ועל ההסכמה להתקבל במתכונת של הסכמה אקטיבית נפרדת.
עוד נאמר בטיוטת גילוי הדעת, כי חובת קבלת הסכמה אקטיבית חלה לעמדת הרשות להגנת הפרטיות, גם בהקשר של חוזה אחיד הקובע שימוש במידע למטרת שירותי דיוור ישיר, שאינה קשורה בתכלית העסקה.
חזרה מהסכמה: לפי טיוטת גילוי הדעת, הסכמה לפגיעה בפרטיות עשויה במקרים מסוימים לכלול גם את זכותו של אדם לחזור בו מהסכמתו. לעמדת הרשות, במקרים בהם נעשה שימוש במידע אישי מתוקף הסכמה שהתקבלה כדין, והאדם נושא המידע מבקש לחזור בו מהסכמתו ולהפסיק את השימוש במידע על אודותיו, יש לבחון בחיוב קבלת בקשה זו, גם במקרים בהם ההסכמה איננה הדירה מלכתחילה, במיוחד במצבים בהם המשך השימוש במידע יפגע באופן קשה בפרטיות המבקש. כמו כן, הרשות מבהירה כי במקרים בהם התנהגותו של נושא מידע עשויה ללמד על כך שההסכמה מלכתחילה ניתנה באופן נקודתי או לזמן מוגבל, מומלץ כי בעל מאגר יפנה לנושא המידע על מנת לבחון האם הסכמתו עומדת בעינה.
המלצות הרשות לחיזוק תהליך קבלת ההסכמה המקוונת: טיוטת גילוי הדעת כוללת המלצות בנושא זה. בין היתר נאמר, כי כדי לחזק את הליך קבלת ההסכמה המקוונת, יש להדגיש ולהבליט את ההיבטים המרכזיים הנוגעים לפרטיות, לאופן השימוש במידע ולתכליותיו במסמכי מדיניות פרטיות ותנאי שימוש, לרבות באמצעות אמצעים ויזואליים כגון סרטוני הסברה, תמונות, אימוג'ים ובאנרים קופצים שיבהירו נקודות מפתח. כמו כן, יש להתאים את טפסי ההסכמה לכל סוגי המכשירים בהם נעשה שימוש, ולאפשר למשתמשים בחירה בהסברים ברמות פירוט משתנות. חשוב להימנע מהסכמה גורפת ולספק למשתמשים אפשרות להחליט אילו נתונים ייאספו ולאילו מטרות, והכל בין היתר, גם בשים לב לציפיות הסבירות של המשתמשים.
טיוטת גילוי הדעת כוללת מגוון דוגמאות פרקטיות למצבים שבהם נדרשת הסכמה לאיסוף מידע אישי והאופן שבו יש לקבלה, בתרחישים שונים.
השלכות אפשריות של הפרשנות בטיוטת גילוי הדעת:
בהתאם לטיוטת גילוי הדעת, גילוי הדעת נועד לשקף את הפרשנות המשפטית שתשמש את הרשות בעת ולצורך הפעלת סמכויותיה לפי חוק, לרבות פיקוח על מילוי הוראות החוק ותקנותיו ולאכיפה בגין הפרות של הוראות החוק, ומכאן משמעותו כבדת המשקל. כמו כן הרשות מבהירה כי איסוף מידע אישי ושימוש בו הפוגעים בפרטיות, שאינם מלווים בהסכמה תקפה בהתאם לאמור בטיוטת גילוי הדעת או בהסמכה בדין, מהווים עוולה אזרחית ועשויים להוות עבירה פלילית.
נשמח כתמיד לסייע בכל עניין הנוגע לפרסום טיוטת גילוי הדעת ולגיבוש הערות ככל הנדרש, וכן בבחינת הפרקטיקות הנוהגות בארגונים למול הפרשנות המתגבשת.
*האמור כאן אינו מהווה חוות דעת או תחליף לייעוץ נקודתי, ואנו ממליצים לפנות לקבלת ייעוץ משפטי ממוקד בנושאים הכלולים בפרסום זה. אנו עומדים לרשותכם לכל שאלה ו/או הבהרה.
העדכון נכתב ע"י עו"ד ורד זליכה, שותפה וראשת תחום סייבר ובינה מלאכותית, בסיועו של עו"ד אוהד דר, מחלקת טכנולוגיה, מיזוגים ורכישות.