סיכום עם ChatGPT
ערב מבצע "שאגת הארי" פרסמה הרשות להגנת הפרטיות נוסח סופי של גילוי דעת שמטרתו להבהיר כיצד יש ליישם את עקרון ההסכמה בדיני הפרטיות, ומתי ההסכמה תקפה לעיבוד מידע אישי.
גילוי הדעת אינו עוסק במהותו בשאלה מתי ובאילו נסיבות חלה החובה לבקש את הסכמת נושא המידע לעיבוד מידע אודותיו, אלא מציג את פרשנות הרשות ביחס לאופן יישום החובה ולקביעת הכללים שלאורם הסכמה כזאת צריכה להתקבל. המסמך משקף את הפרשנות שתשמש את הרשות בעת הפעלת סמכויות הפיקוח שלה וסמכויותיה להטיל עיצומים כספיים בגין הפרת הוראות החוק, ומכאן חשיבותו.
מדובר בגילוי דעת המרכז מובאות חשובות מהפסיקה, מהספרות ומפרסומים אחרים של הרשות ורגולטורים אחרים. הוא שופך אור על פרקטיקות נהוגות וישמש כלי עזר בעבודתם של משפטנים בתחום דיני הפרטיות.
המסמך פורסם לראשונה כטיוטה בחודש פברואר 2025 שהייתה פתוחה להערות הציבור (גם משרדנו העביר הערותיו בשעתו), ועבר מאז שינויים לא מבוטלים. אנו מברכים על כך כי הרשות ניאותה להתמודד עם סוגיות משמעותיות שהועלו בפניה.
כמה נקודות עיקריות שגילוי הדעת מעלה:
הסכמה למטרה אחת אינה מתירה שימוש במידע למטרה אחרת ללא הסכמה חדשה. במקרים מסוימים קיימת גם אפשרות לחזרה מהסכמה ולהפסקת שימוש, ולעמדת הרשות מומלץ לשקול בקשות כאלה בחיוב, בייחוד כאשר מדובר בפגיעה קשה בפרטיות, ואולם ייתכנו חריגים (כמו חובות רגולטוריות, אבטחת מידע או התגוננות משפטית).
בשונה מהטיוטה, במסמך הסופי נתווספו אמירות הקובעות כי לא כל בקשה לחזרה מהסכמה תחייב מחיקתו של המידע שכבר נאסף, והוכרו נסיבות הטעונות המשך שמירת המידע, כמו למשל לצורך מילוי חובות רגולטוריות, אבטחת מידע, התגוננות משפטית או צרכים לגיטימיים אחרים של בעל השליטה במאגר – אשר לראשונה נעשתה הכרה בהם. בנוסף, נתווספו נסיבות שבהן לא ניתן להעניק את האפשרות לחזרה מהסכמה (כמו הליכי מיון, מחקר רפואי וכיו"ב).
משמעותה היא כי על נושא מידע לקבל מראש מידע סביר, ברור ומובן כדי להחליט אם להסכים או לסרב, לרבות הבנה של משמעות הפעולה, ההשלכות ומה יקרה אם לא יסכים. בקשת הסכמה שלא כוללת את המידע הנדרש עלולה להביא לכך שההסכמה לא תיחשב תקפה.
בהקשר זה, הרשות מבהירה כי אין צורך לפרט לנושאי המידע את הזהות הספציפית של גורמים שלישיים אליהם עשוי להיות מועבר מידע אישי, וניתן להסתפק בקטיגוריה מקצועית או סוג הספק (כמו ספק שירותי ענן, חברת פרסום וכדומה). עם זאת, יש לפרט על כלל סוגי המידע ומטרות העיבוד, ולא ניתן להסתפק בהצגה חלקית או שימוש בביטויים כמו "וכיו"ב" או "בין היתר".
חובת היידוע שבסעיף 11 לחוק מחייבת לפרט אם קיימת חובה למסור מידע או שמסירתו תלויה בהסכמה, מה מטרת האיסוף, למי יימסר המידע ולאיזו מטרה וכן, (לאחר תיקון 13) מהי תוצאת אי-ההסכמה וזכויות עיון/תיקון/מחיקה. יחד עם זאת, עמדת הרשות היא שעמידה בדרישות סעיף 11 היא "מינימום" על מנת לעמוד בחובת היידוע, אך אינה מבטיחה בהכרח שההסכמה היא "מדעת" – ולכן לעיתים נדרשים פירוט והבלטה מוגברים.
ההחמרה במידע שנמסר לנושאי המידע נדרשת במיוחד במצבים כאשר קיימים (1) פערי כוח בין הצדדים, (2) כאשר מדובר בעיבוד בעל פוטנציאל לפגיעה קשה בפרטיות, או (3) כאשר מדובר בטכנולוגיה חדשה שהשלכותיה אינן ברורות. החובה חלה הן בנוגע להסכמה מפורשת, והן בנוגע להסכמה מכללא.
פשטות ואופן הפנייה למשתמש: ההסכמה והמידע הנלווה צריכים להיות נגישים, פשוטים וברורים; מסמכים ארוכים ומסורבלים או שאינם נגישים עלולים לפגוע בתוקף ההסכמה. נדרש שאדם סביר יוכל להבין מקריאת היידוע את מהות בקשת האישור, ויש לבחון גם את אופן מתן ההסכמה – כלומר כיצד מפנים את המשתמש למסמך התנאים וכיצד הוא נדרש לאשרו. ישנם מצבים שידרשו למשל הודעה "קופצת" בעת הרישום או הבלטת הדברים מעבר למה שבמסמך מדיניות הפרטיות.
מאפיינים ייחודיים: בנוסף הרשות מדגישה בעת הנגשת מדיניות הפרטיות נדרש להתחשב במאפיינים ייחודיים של נושאי המידע, ככל שהשירות או המוצר מופנה בעיקרם לאוכלוסייה בעלת מאפיינים כאלה (כמו למשל לאנשים עם מוגבלויות או קטינים שלא יכולים לצרוך את המידע בדרך רגילה).
הרשות מדגישה מפורשות ותוך התייחסות להחלטות שיפוטיות שונות כי עיקרון "הסכמה מדעת" כולל בתוכו רכיב של "הסכמה חופשית ומרצון". לפיכך, הסכמה אינה תקפה אם בפועל אין לאדם בחירה אמיתית, למשל במצבים של יחסי עבודה, תלות ממונופול עסקי או מהגורם הנותן שירות חיוני (כמו שירותי בריאות, תחבורה ציבורית או שירות טכנולוגי חיוני).
במצבים של "הסכמה חשודה" הנטל להוכיח רצון חופשי יוטל על מבקש ההסכמה, ופתרונות כמו חלופה סבירה או אי-התניית שירות בהסכמה למידע שאינו נחוץ עשויים לחזק את התוקף. הובהר על ידי הרשות כי במצב בו אדם כלל אינו יכול לסרב לפעולה הפוגעת בפרטיותו, יהיה קשה לראות בהסכמתו ככזו שניתנה מתוך רצון חופשי, והדבר עשוי להשליך על תוקפה של הסכמה זו.
לצד זאת, הרשות מבהירה כי הסכמה עשויה להיחשב תקפה גם ללא חלופה מעשית, כל עוד המידע נחוץ לשם מתן השירות המבוקש.
התנהגות יכולה ללמד על הסכמה מכללא, אך לא תמיד, ובוודאי אין להסתמך רק על שתיקה או היעדר מחאה; ברוב המקרים עדיף לפנות לקבלת הסכמה מפורשת, בעיקר כשמדובר במידע רגיש או בפגיעה קשה.
תוספת שלא הופיעה בטיוטה ומחזקת את הפרקטיקה הנוהגת בנוגע להקשר הדיגיטלי, כמו "המשך גלישת משתמש באתר", אשר הוכרה כהסכמה מכללא אבל הוסיפה תנאי חדש ולפיו תהיה תקפה רק בנסיבות שבהן קיים קשר סביר בין מטרות איסוף המידע ואופן השימוש בו לבין מאפייני אותו השימוש. זהו צעד בכיוון של האינטרס הלגיטימי הנהוג ב-GDPR ולא קיים מבחינה סטטוטורית בדין הישראלי. עם זאת, הובהר כי כל שימוש למטרה חדשה ששונה מזו שלה ניתנה הסכמה מכללא, מחייב קבלת הסכמה חדשה.
קיימת התייחסות בנוגע להבדלים שבין הסכמה אקטיבית (opt in) לבין פסיבית (opt out) תוך העדפת ההסכמה האקטיבית ככזו המגשימה טוב יותר את עקרונות ההסכמה והשליטה של הפרט בעיבוד המידע. כך למשל, במצבים בהם קיימת מטרה נוספת שאינה קשורה במישרין לתכלית העסקה (כמו פרופיילינג או דיוור ישיר בקשר למתן שירותים) נעדיף שימוש בהסכמה אקטיבית.
גילוי הדעת מחזק מאוד את רכיב החזרה מהסכמה באמצעות פרשנות מרחיבה לעצם ההסכמה לפגיעה בפרטיות שניתנה למבקש ההסכמה. יחד עם זאת, הובהר כי אין בחזרה מהסכמה כדי לפגוע בחוקיות איסוף המידע והשימוש בו בתקופה שקדמו לה, ואילו הפסקת עיבוד אין פירושה מחיקת המידע באופן אוטומטי. בנוסף, נזכרת האפשרות כי קיימים אינטרסים לגיטימיים המצדיקים אי-מתן אפשרות לחזרה מהסכמה כמו קיום חובות רגולטוריות או התגוננות משפטית.
בהקשר זה נעיר כי בדין הישראלי קיים כרגע חֶסֶר באינטרס לגיטימי כבסיס חוקי לעיבוד מידע כדי להוות חלופה הולמת להסכמה. ובכל זאת ניכר כי גילוי הדעת (להבדיל מהטיוטה) רצוף במספר מובאות הנותנות משקל, גם אם מסויים, לאינטרסים של בעל השליטה במאגר כדי לגשר על אותם מקומות בהם אין זה מצופה ממנו או פרקטי לפנות לנושא המידע בבקשה לקבלת הסכמה, לחדול מעיבוד המידע או למחקו – וזאת בנסיבות שניתן להצדיק זאת.
כצעד משלים לכך, אף ניתנה התייחסות לכך גם במסגרת ההגנה הקבועה בסעיף 18 לחוק. הגנה זו מאפשרת, בכפוף לתום ליבו של הפוגע, פגיעה מידתית בפרטיות גם בלא שניתנה הסכמה לכך, ולפי גילוי הדעת – ככל שהוכחו נסיבות ואינטרסים לגיטימיים המצדיקים את הפגיעה בפרטיות של נושא המידע – וזאת להבדיל מההנחה הקודמת לפיה ניתן היה להסתמך על הגנה הזו רק אם קבלת הסכמה לא הייתה אפשרית בנסיבות העניין.
לבסוף, המסמך כולל המלצות פרקטיות לחיזוק הסכמה מקוונת הכוללת את הצורך להבליט את עיקרי הפרטיות, להשתמש בכלים מקלים (וידאו, באנרים קופצים, כלים אינטראקטיביים), להתאים למכשירים שונים, לאפשר מגוון רמות פירוט ולהימנע מהסכמה גורפת – כך שמשתמשים יוכלו לבחור איזה מידע ייאסף ולאילו מטרות.
*
אנו ממליצים לארגונים לבחון מחדש את מנגנוני ההסכמה, את נוסחי ההודעות וההסכמים ואת עיצוב ממשקי המשתמש – תוך התייחסות לא רק לתוכן אלא גם להקשר, למבנה וליחסי הכוחות, בין היתר בדגש על הבאים:
למסמך גילוי הדעת המלא לחצו על הקישור.
מחלקת הפרטיות, הסייבר וטכנולוגיות המידע שלנו תשמח לסייע בכל היבט ליישום פרשנות חדשה זו.
אין באמור כדי להוות ייעוץ משפטי.
אנו עומדים לרשותכם.ן בכל שאלה ובכל עניין ומייחלים לימים שקטים.
