הרשות להגנת הפרטיות ("הרשות") פרסמה ביום 24.2.2025 טיוטת גילוי דעת להערות הציבור בנושא הסכמה לאיסוף ושימוש במידע אישי הכרוכים בפגיעה בפרטיות ("גילוי הדעת").

גילוי הדעת משקף את הפרשנות המשפטית שתשמש את הרשות בעת הצורך, לשם הפעלת סמכויותיה מכוח חוק הגנת הפרטיות, התשמ"א-1981 ("חוק הגנת הפרטיות"), לרבות סמכויות הפיקוח והטלת קנסות מנהליים או עיצומים כספיים בגין הפרת הוראות חוק הגנת הפרטיות.

הסכמה: בהתאם להוראות חוק הגנת הפרטיות, כל איסוף ושימוש במידע אישי הכרוכים בפגיעה בפרטיות חייב להיעשות מכוח הסמכה בדין או מכוח הסכמה מדעת של נושא המידע למבקש המידע. הרשות מדגישה כי אי-מתן הסכמה או הסכמה חלקית, מהווים יסוד משמעותי לבחינה האם הופרה הפרטיות. ההסכמה צריכה להינתן באופן חופשי וברור על-ידי נושא המידע, בהתבסס על יידוע מספק שניתן לו על-ידי מבקש המידע.

הסכמה מדעת (informed consent): על מנת שהסכמה לאיסוף מידע אישי תיחשב תקפה היא צריכה להינתן לאחר שנושא המידע קיבל את כל המידע הדרוש לו, באופן שקוף, ברור, נגיש ומפורט. על מבקש ההסכמה לפעול באופן המבטיח שנושא המידע מבין ומודע למטרות איסוף ועיבוד המידע, למי יועבר המידע, מהן ההשלכות של הסכמתו או סירובו למסירת המידע, זכויותיו ועוד.

על פי מהותה, הסכמה לפגיעה בפרטיות חייבת להינתן מתוך רצון חופשי. גילוי הדעת נותן כדוגמה לפגיעה ברכיב הרצון החופשי שימוש במניפולציות עיצוביות ("dark patterns") – שימוש בעיצובים ותצורות ממשק אשר מטרתם להסוות, להטעות או להקשות על סירוב למתן הסכמה. שימוש שכזה עשוי להצביע על כך  שההסכמה שהתקבלה, בנסיבות שכאלו, אינה הסכמה מדעת.

אופן קבלת ההסכמה (הסכמה מפורשת או משתמעת): הסכמה לפגיעה בפרטיות יכולה להינתן באופן מפורש, כאשר מתבצעת פעולה אקטיבית מצד נושא המידע (opt-in), למשל בחתימה על חוזה או בלחיצה על רובריקת "אני מסכים" למסמך תנאי שימוש, או באופן משתמע (opt-out), הסכמה פסיבית הניתנת ללמידה מתוך הנסיבות, הסיטואציה וההתנהגות.

לעמדת הרשות, רצוי שלא להסתפק בהסכמה משתמעת, גם כאשר הסכמה כזו היא אפשרית, אלא לפנות בבקשה לקבלת הסכמה מפורשת ולתעד אותה. זאת בעיקר במקרים בהם נאסף מידע רגיש, בנסיבות בהן קיימים פערי כוח בין הצדדים או כשקיים פוטנציאל לפגיעה קשה בפרטיות.

ככלל, שתיקתו של אדם או העדר מחאה מצדו לאיסוף מידע הנוגע אליו, כשלעצמם, אינם מהווים הסכמה תקפה, אלא אם ניתן להוכיח כי לנושא המידע הייתה המודעות הנדרשת לצורך מתן ההסכמה, וקיימות נסיבות אחרות המלמדות כי נושא המידע אכן התכוון להעניק את הסכמתו.

הרשות מדגישה מספר מצבים המחייבים קבלת הסכמה אקטיבית (opt-in): כאשר נעשה שימוש במידע אישי למטרות "profiling" שאינו קשור ישירות לתכלית העסקה בין הצדדים; כאשר הסכמת הלקוח ניתנת בחוזה אחיד לצורך שימוש במידע על אודותיו למטרת שירותי דיוור ישיר, שאיננה קשורה בתכלית העסקה; וכאשר הסכם כולל סעיפים למתן הסכמה לאיסוף מידע אישי שאינו נדרש למתן השירות, או לצורך שימוש בו למטרות השונות מהותית ממטרת ההסכם. רצוי שההסכמה הנפרדת לסעיפים אלו תיעשה במתכונת של הסכמה אקטיבית.

חזרה מהסכמה: במקרים בהם האדם נושא המידע מבקש לחזור בו מהסכמתו ולהפסיק את השימוש במידע על אודותיו, יש לבחון בחיוב קבלת בקשה זו, ולהפסיק את השימוש במידע האישי אודותיו, גם במקרים בהם ההסכמה ניתנה כדין ואינה הדירה מלכתחילה. זאת במיוחד במצבים בהם המשך השימוש במידע יפגע באופן קשה בפרטיותו.

במקרים בהם ניתן ללמוד באופן משתמע כי נושא מידע מבקש לחזור בו מהסכמתו, או שהסכמתו ניתנה לזמן מוגבל, מומלץ לוודא האם ההסכמה עדיין תקפה.

בגילוי הדעת הרשות מציינת מספר המלצות ביחס לקבלת הסכמה מקוונת בשירותים דיגיטליים:

• הדגשת ההיבטים המרכזיים והמשמעותיים ביותר הנוגעים לפרטיות, לאופן השימוש במידע הנאסף במסגרת השירות ולתכליות השימוש בו, בעת פנייה לקבלת הסכמה ובניסוח מסמכי מדיניות פרטיות ותנאי שימוש;
• שימוש בדרכים יצירתיות, ויזואליות וחדשניות לפישוט הליך ההסכמה, כגון סרטוני הסברה, תמונות ו"באנרים קופצים" להדגשת המידע הנוגע לפרטיות;
• התאמת טפסי קבלת ההסכמה והיידוע לסוגי המכשירים השונים (כגון מחשב נייד או טלפון חכם), בהם עשוי להיעשות שימוש למתן הסכמה;
• הצגת רמות שונות של פירוט בנוגע למידע הנאסף ואופן השימוש בו, ומתן אפשרות לנושא המידע לשלוט על רמת הפירוט לגבי איסוף המידע אודותיו;
• הימנעות מהסכמה גורפת לאיסוף מידע ומתן אפשרות להחליט לגבי סוגי המידע שייאספו ולאילו מטרות.

בגילוי הדעת הרשות מציבה סטנדרטים מחמירים ליישום דרישת ההסכמה וחובת היידוע על איסוף ושימוש במידע אישי, שעשויים להשפיע על כל ארגון שאוסף, מחזיק ומעבד מידע אישי.

אנו ממליצים לארגונים לבחון את האופן בו מתבצע איסוף ההסכמות לאור טיוטת גילוי הדעת, לרבות היערכות מתאימה של אותם ארגונים בקשר עם קבלת הסכמת נושאי המידע.

נשמח לעמוד לשירותכם לייעוץ פרטני, עדכון מסמכים והיערכות לרוח ההנחיות.