לחץ לקבלת לגרסה הנגישה
Tulchinsky
פרטיות באמצעי תשלום מתקדמים
לאחרונה פרסמה הרשות להגנת הפרטיות ("הרשות") טיוטת המלצות לניהול השימוש באפליקציות להעברת כספים בין יחידים ולתשלום בבתי עסק בהיבטים של פרטיות, הסכמה ואבטחת מידע, ("הטיוטה") להערות הציבור. המעוניינים בכך רשאים להגיש את התייחסותם עד ליום 3.12.2020.

נציין, כי על אף שהרשות מתייחסת לאפליקציות להעברת כספים ואמצעי תשלום, מרבית ההמלצות של הרשות כפי שעולות מהטיוטה רלוונטיות גם לרוב האפליקציות ושירותי האונליין השונים המוצעים על ידי חברות שונות, ואנו ממליצים ליישמן גם ביחס אליהם.

עם התפתחותו הגלובלית של תחום ה-Fin-Tech והשימוש הגובר באפליקציות להעברת כספים בין יחידים ובאמצעים מתקדמים בתחום הסליקה הדיגיטלית בבתי עסק בשוק הישראלי, מידע רב אודות משתמשים, לרבות מידע המוגן על פי חוק הגנת הפרטיות, התשמ"א-1981, נאסף על ידי בתי עסק הנעזרים באפליקציות אלו. מידע זה לעיתים מעובד לצרכים מסחריים ושיווקיים ואף מועבר לצדדים שלישיים.

בטיוטה, ממליצה הרשות לפעול ברוח עקרונות הזכות לפרטיות כפי שיוצגו להלן, וזאת על מנת להבטיח כי השימוש באמצעי התשלום המתקדמים ייעשה באופן שמגן על פרטיותם של המשתמשים בהם ויאפשר להם לשלוט במידע הנאסף עליהם.

עקרון ההסכמה הינו אחד מעקרונות היסוד של הזכות לפרטיות. יישום עקרון זה דורש לפרט, טרם או בסמוך לאיסוף המידע, איזה מידע נאסף, מהם השימושים שייעשו במידע, למי מועבר המידע ולאיזו מטרה הוא מועבר ו/או נאסף, וכן האם לנשוא המידע קיימת חובה חוקית למסור את המידע המבוקש או שמא מסירת המידע נתונה להסכמת נשוא המידע. בנוסף, למרות שאין חובה כללית שעל ההסכמה של נשוא המידע להיות אקטיבית (Opt-in), כגון סימון check box, ושבלעדיה לא ייאסף המידע, הרשות מדגישה את המשקל שניתן להסכמה אקטיבית בהשוואה למקרה בו איסוף המידע מהווה ברירת מחדל (Opt-out) היינו, ללא צורך בפעולה כלשהי על ידי נשוא המידע (כידוע, לרוב, אנשים לא יבחרו באפשרות לשנות את הגדרות ברירת המחדל, במיוחד אם שינוין דורש נקיטת מספר פעולות), וזאת בייחוד כאשר איסוף המידע והשימוש בו נועדו לצרכי Profiling, כלומר, כאשר ההסכמה ניתנת בנסיבות בהן קיימים פערי כוחות בין הלקוח לבית העסק או כאשר נאסף מידע "עודף" (כפי שנרחיב בהמשך).
בנוסף, בהתאם לעיקרון ההסכמה, יש לתת את הדעת לכך שלא ניתן לקבל הסכמה כללית וגורפת מצד נשוא המידע לשימוש בטכנולוגיות עתידיות ואמצעים חדשים לאיסוף מידע אשר עשויים להיות להם השפעה מהותית על פרטיות המשתמשים ויש ליידע את המשתמשים אודותם בבוא העת ולקבל את הסכמתם הספציפית לשימוש בטכנולוגיות ואמצעים אלה, זאת רק לאחר מתן הסבר על ההשלכות הפוטנציאליות שיכולות לנבוע משימוש בהם.

עקרון מרכזי נוסף של הזכות לפרטיות הוא עקרון צמידות המטרה. כעקרון משלים לעקרון ההסכמה וחובת היידוע הנלווית לה, יש להשתמש במידע הנאסף רק בהתאם למטרה שלשמה נאסף וכפי שהוצגה לנשוא המידע בעת קבלת הסכמתו לאיסוף המידע. על כן ממליצה הרשות כי בקשה להתנתקות או הפסקת השירותים ואף מחיקת האפליקציה, תביא להפסקת השימוש במידע והפסקת עיבודו לצרכים מסחריים, וכי שמירתו (ולעיתים אף רק חלק ממנו) תעשה אך ורק לצרכים משפטיים. כמו כן, נדרש להבחין (וליידע את המשתמש על כך) בין מידע החיוני למתן השירותים לבין מידע "עודף" או נלווה שאינו הכרחי למתן השירותים הבסיסיים, כאשר השימוש שנעשה במידע "עודף" או נלווה הוא בד"כ לשם ביצוע ניתוחים סטטיסטיים אודות השימוש בשירותים ובאפליקציות וכן לצרכי פרסום ממוקד.  איסוף מידע "עודף" או נלווה, שאינו חיוני למתן השירותים כאמור, מתאפשר כפועל יוצא ממתן הרשאה (מתמשכת) על ידי המשתמש לגשת למידע הנמצא על גבי המכשיר כדוגמת מצלמה, אנשי קשר, גלריית תמונות, לוח שנה, נתוני מיקום ועוד. במקרים אלה, יש ליידע את המשתמש על כך ולתת לו אפשרות שלא לאפשר גישה למידע נלווה זה. יתרה מכך, עמדת הרשות ביחס למידע נלווה זה היא שיש לקבל הסכמה אקטיבית מצד המשתמש ביחס לכל סוג הרשאה.
בהקשר זה, מומלץ כי בעלי העסקים והמפתחים יישמו עקרון נוסף של דיני הגנת הפרטיות, והוא - "privacy by design" - ולאפשר למשתמש לבחור לאילו הרשאות הוא מאפשר גישה ולאילו לא כבר בשלב הורדת האפליקציה, וזאת תוך ציון ההרשאות החיוניות לצורך מתן השירותים הבסיסיים.

לצד עקרונות אלה ובהתאם לנסיבות ולהוראות החוק, יש לשמור ולאפשר למשתמשים לממש את זכויותיהם לתיקון המידע שנאסף אודותיהם, ובמקרים מסוימים גם לאפשר מחיקתו - ואף ראוי לציין בפני המשתמשים את זכויותיהם כאמור.
על מנת ליישם את עיקרי המלצת הרשות הנ"ל, יש לוודא כי מדיניות הפרטיות של האתר או האפליקציה תכלול ותפרט בצורה המיטבית את כל המידע המפורט שלעיל, לרבות המידע שנאסף, השימושים בו וההשלכות האפשריות של השימוש במידע כזה או אחר, וכל זאת בלשון פשוטה ובהירה. זאת לצד הטמעת כלים טכנולוגיים ואופרטיביים המאפשרים למשתמש יותר שליטה על המידע הנאסף עליו, לרבות צמצום המידע שנאסף עליו, הפסקת איסוף המידע אודותיו, תיקונו ואף מחיקתו במקרים מסוימים.  

סיכום
אפליקציות רבות וביניהן אמצעי הסליקה והתשלומים הדיגיטליים, תורמות לפישוט פעולות היום יום ואף מהוות פתרון לבעיות חדשות, דוגמת דרישות הריחוק שהתהוו בתקופת הקורונה. במסגרת השימוש באפליקציות אלה נאסף ומעובד מידע רב ורגיש אודות המשתמשים בהם.
כידוע, הזכות לפרטיות אינה אבסולוטית, ולעיתים הפרט מוכן לוותר על חלקים ממנה בתמורה לקבלת שירותים שיפיקו לו תועלת. אולם, למעט מקרים מסוימים, יש לזכור כי ויתור על זכות זו צריך לנבוע מבחירה חופשית של הפרט, וזו יכולה להתבצע רק כאשר כל המידע הרלוונטי חשוף ושקוף לו, ויש לו יכולת בחירה אמיתית. על כן, יש לשים דגש על הליך קבלת ההסכמה לשימוש במידע שנאסף במסגרת השירותים הניתנים, ולאפשר למשתמש שליטה מסוימת על המידע הנוגע אליו בהתאם להמלצות שהובאו לעיל.
האמור במזכר זה הינו בגדר מידע כללי בלבד ואינו מהווה תחליף לייעוץ משפטי.
אנו מזמינים אתכם לפנות אלינו לייעוץ משפטי ספציפי.
_____-___-750
אביטל סלע, עו"ד
מייל: avitals@tslaw.co.il
טלפון: 03-6075000
_____-____-750
מרים שדה פישר, עו"ד
מייל: miriamf@tslaw.co.il
טלפון: 03-6075000
צוות הפרטיות ואבטחת המידע במשרד טולצ'ינסקי, שטרן, מרציאנו, כהן, לויצקי ושות' מלווה את לקוחותינו - ובהם, סטארט-אפים, חברות פרטיות וציבוריות במגוון רחב של סקטורים, בכל ההיבטים המשפטיים והתפעוליים הקשורים לעולם הפרטיות ואבטחת המידע, תוך מענה מותאם לצרכיהם.
הצוות מתמחה בהטמעת דרישות הדין הישראלי, האירופי (בדגש על ה-GDPR) והאמריקאי (HIPAA ו-CCPA), בהתאמה לאופי ופעילות הלקוח, בין היתר, באמצעות זיהוי צרכיו הייחודיים וחשיפותיו הפוטנציאליות של כל לקוח ולקוח.