ביום 24.02.2025 פורסמה להערות הציבור טיוטת גילוי דעת של הרשות להגנת הפרטיות ("הרשות") בנושא הסכמה בדיני הגנת הפרטיות ("גילוי הדעת"). גילוי הדעת משקף את הפרשנות המשפטית שתנחה את הרשות בעת ביצוע סמכויותיה לפי חוק הגנת הפרטיות, התשמ"א – 1981 ("החוק"), לרבות בהטלת קנסות מינהליים או עיצומים כספיים בעקבות הפרת הוראות החוק.
הבסיס החוקי לאיסוף ושימוש במידע אישי בישראל, שלא מכוח הסמכה בדין, הוא הסכמה של נושא המידע. במסגרת גילוי הדעת, הרשות מפרטת רכיבים מרכזיים לדרישת ההסכמה ואופן יישומם. בעדכון זה נעמוד על דגשים מעשיים עיקריים שעולים מגילוי הדעת.
הסכמה מדעת וחובת גילוי מוגברת
החוק קובע שהסכמה צריכה להיות "מדעת", בין אם נלמדת במפורש או מכללא. לשם כך, יש לוודא שבעת בקשת ההסכמה מוצג כלל המידע הדרוש באופן סביר לאדם בשביל לקבל החלטה, וכי הבקשה לאיסוף המידע האישי נעשית באופן נגיש, ברור ומובן.
בהקשר זה, סעיף 11 לחוק הגנת הפרטיות קובע אילו פרטים יש למסור לאדם בעת איסוף מידע אישי ממנו, ובכלל זה פרטים על מטרות איסוף המידע, מסירתו לצדדים שלישיים ומטרתו המסירה.
הרשות הבהירה שבמקרים מסויימים עמידה בחובת היידוע מכוח סעיף 11 לחוק אינה מבטיחה עמידה בדרישה לקבל הסכמה מדעת. כך למשל, לעמדת הרשות, בנסיבות בהן קיימים פערי כוחות בין הצדדים, או במקרה של שימוש בטכנולוגיה חדשה שהשלכות השימוש בה אינן ברורות דיין, תקום חובת גילוי מוגברת. בהתאם לחובה זו, יש להקפיד להציג באופן בולט ופשוט למקבל ההחלטה את כלל הנתונים הרלוונטיים להחלטה, וככל הניתן בנפרד משאר רכיבי ההתקשרות.
בנוסף, הסכמה צריכה להינתן מתוך רצון חופשי. בהתאם, במצבים בהם ישנם פערי כוחות בין הצדדים ההסכמה עלולה להיחשב כ"חשודה", וככזו שלא ניתנה מרצון חופשי. למשל כשההסכמה מתבקשת במסגרת יחסי עבודה, לקבלת שירות חיוני (כגון תחבורה ציבורית או שירותי בריאות), או במקרה בו אין אלטרנטיבה סבירה או יכולת לסרב לעיבוד המידע. במקרים אלו, באחריות מבקש ההסכמה להראות שההסכמה ניתנה מתוך רצון חופשי. לעמדת הרשות, ניתן לעשות זאת למשל באמצעות הצעת חלופות סבירות להסכמה או בהימנעות מהתניית קבלת השירות במתן הסכמה לאיסוף מידע שאינו נדרש.
כמו כן, שימוש בכלים עיצוביים ו"טקטיקות אפלות" (dark patterns) (כגון, באנר שקופץ בזמן משחק ומבקש נתונים תוך הפרעה למהלך התקין של המשחק) שנועדו להקשות על נושא המידע להבין את משמעות הסכמתו ולהשפיע באופן פסול על החלטתו, עלול להצביע על כך שההסכמה אינה מדעת ולא ניתנה מרצון חופשי.
הסכמה במפורש או מכללא
הסכמה לפגיעה בפרטיות יכולה להינתן באופן מפורש, למשל בחתימה על חוזה או בלחיצה על רובריקת "אני מסכים" למסמך תנאי שימוש, או להילמד באופן משתמע על ידי שתיקה או היעדר התנגדות. אולם לעמדת הרשות, רצוי שלא להסתפק ב-"הסכמה שבשתיקה", במיוחד במקרים של איסוף ושימוש במידע רגיש, אלא לקבל הסכמה מפורשת.
בהקשר זה, הרשות מבהירה כי ישנם מקרים בהם תידרש הסכמה אקטיבית (Opt-in) (כגון סימון תיבה) על פני הסכמה פסיבית (Opt-out). זאת, במיוחד במצבים של פערי כוחות, או במצבים בהם השימוש במידע אינו קשור ישירות בתכלית העסקה (למשל שימוש במידע אישי כמו נתוני מיקום, למטרות "פרופיילינג"). לעמדת הרשות, כאשר הסכם כולל סעיפים למתן הסכמה לאיסוף מידע אישי שאינו נדרש למתן השירות, או לשימוש במידע אישי למטרות שונות מהותית ממטרת ההסכם, רצוי בנוסף לבקש הסכמה אקטיבית (Opt-in).
חזרה מהסכמה
לעמדת הרשות, יש לשקול בחיוב קבלת בקשה של אדם לחזור בו מהסכמתו ולהפסיק את השימוש במידע על אודותיו. כמו כן, במקרים שבהם התנהגותו של אדם עשויה ללמד כי הוא מבקש לחזור בו מהסכמתו, או שההסכמה מלכתחילה ניתנה באופן נקודתי או לזמן מוגבל, מומלץ לפנות לאותו אדם כדי לבחון אם הסכמתו עומדת בעינה.
המלצות מעשיות – כיצד נכון לקבל הסכמה לאיסוף מידע ולשימוש בו?
על סמך גילוי הדעת, ריכזנו להלן המלצות עיקריות בקשר עם איסוף הסכמה, בפרט בקשר עם איסוף מידע באינטרנט:
1. הבלטת היבטים מרכזיים: בעת פנייה לקבלת הסכמה ובניסוח מסמכי מדיניות פרטיות ותנאי שימוש, חשוב להדגיש ולהבליט את ההיבטים המרכזיים והמשמעותיים ביותר הקשורים לפרטיות, לשימוש במידע הנאסף במסגרת השירות ולמטרות השימוש בו. במקרה של איסוף או שימוש במידע באופן החורג מהציפייה הסבירה של אדם, יש להבהיר ולהדגיש זאת בטרם קבלת ההסכמה.
2. פשטות ויצירתיות: מומלץ להשתמש באמצעים המפשטים את הליך קבלת ההסכמה. כאשר מדובר באיסוף הסכמה מקוונת ניתן למשל להשתמש סרטונים ותמונות, "באנרים קופצים", וכלים אינטראקטיביים כדי למסור לנושא המידע פרטים מהותיים בקשר עם איסוף המידע והשימוש בו באופן פשוט וידידותי.
3. דרישת הסכמה Opt-in: במקרה של איסוף או שימוש במידע שאינו נחוץ לצורך קבלת השירות (למשל, לצורך הצגת פרסומות שמטרגטות את הפרט בהתאם לפרופיל שלו), מומלץ שההסכמה תתקבל במתכונת של הסכמה אקטיבית נפרדת (opt-in).
4. הצעת חלופות וחופש בחירה: במקרים שבהם ההסכמה עלולה להיתפס כ"חשודה", למשל כאשר קיימים פערי כוחות בין הצדדים, יש להעמיד חלופה סבירה לאיסוף המידע ולהימנע מהתניית השירות במתן הסכמה לאיסוף מידע שאינו נדרש. בהקשר זה, באפליקציות ואתרי אינטרנט מומלץ להימנע מקבלת הסכמה גורפת למתן שירותים, אלא לאפשר למשתמשים להחליט אילו סוגי מידע הם מוכנים שייאסף ולאילו מטרות.
5. תיעוד הסכמה שניתנה בע"פ: בעת איסוף הסכמה בע"פ (למשל במוקד מכירות טלפוני) יש לתעד את ההסכמה (למשל באמצעות הקלטת השיחה), בפרט במקרים של איסוף מידע רגיש או במקרה של פערי כוחות בין הצדדים.
6. הימנעות משימוש בטקטיקות "אפלות" (dark patterns): באתרי אינטרנט ואפליקציות יש להימנע משימוש בכלים עיצוביים ושיטות שנועדו להקשות על נושא המידע להבין את משמעות הסכמתו ולהשפיע באופן פסול על החלטתו. שיטות אלה כוללות למשל הסתרת כפתור המאפשר סירוב לאיסוף המידע או לשימוש במידע, באופן המקשה על המשתמש לבחור באפשרות זו.
טיוטת גילוי הדעת כוללת הבהרות פרשניות ומלמדת על עמדת הרשות בקשר לאיסוף ושימוש במידע אישי. על רקע זה, מוצע כי ארגונים יבחנו את אופן איסוף ההסכמות שלהם לאור עמדת הרשות כפי שבאה לידי ביטוי בטיוטה זו.
טיוטת גילוי הדעת פתוחה להערות הציבור עד ליום 24 במרץ 2025, באמצעות כתובת הדוא"ל: [email protected].
אנו מזמינים אתכם לפנות אלינו לכל שאלה ו/או התייעצות בנושא.
*עדכון זה הוכן בסיועה של אלה שרק.
