לחץ לקבלת לגרסה הנגישה
Logo_EReg
גילוי דעת בנוגע לחובת יידוע במסגרת איסוף ושימוש במידע אישי

רשות הגנת הפרטיות פירסמה לאחרונה גילוי דעת בנוגע לחובת יידוע במסגרת איסוף ושימוש במידע אישי לפי חוק הגנת הפרטיות, התשמ"א-1981. בקליפת אגוז מדובר בהסדרת חובת הגילוי כלפי נושאי המידע (האנשים אודותם נאסף המידע).
9ObITDRz8YSX...
חובת היידוע כחלק מהליך קבלת ההסכמה:
על מנת לאסוף מידע אישי מאדם (נושא מידע) תחת דיני הפרטיות הישראלים, יש לקבל את הסכמתו; אחרת ניתן לעשות זאת אך ורק מכוח הסמכה שבדין. על הגורם האוסף מידע אישי להעניק גילוי נאות לנושא המידע בהתאם למאפייניו של עיבוד המידע, יחד עם קבלת ההסכמה.

הרשות מחדדת כי הצורך בשקיפות באשר לאופן איסוף המידע והשימוש בו מהווה תנאי יסודי לעצם קבלת ההסכמה ובמקרים רבים מהווה מעין שלב מקדים לשם קבלת ההסכמה. לפיכך, מקום בו לא ניתן יידוע מספק  לנושא המידע, הרי שתוקף ההסכמה שניתנה עלול לפקוע, ולהביא להפרה של הוראות חוק הגנת הפרטיות.

היקפה של חובת היידוע עשוי להיות מושפע מהדרישות לשם קבלת ההסכמה. כך, נתונים שונים כגון זהות מבקש הבקשה, אופי מערכת היחסים שלו עם נושא המידע ומידת יכולתו של נושא המידע להתנגד לבקשה, וכן סוג ורגישות המידע, עשויים להביא להרחבה של חובת היידוע הנדרשת.

חובת היידוע – דרישות גילוי:
ביטויה המובהק של חובת היידוע הינה על-פי-רוב במסגרת פרסומה של מדיניות פרטיות פומבית או במסמך גילוי הנלווה לכתב הסכמה.
מקורה של חובת הגילוי כלפי נושא המידע הינה בסעיף 11 לחוק הגנת הפרטיות, לפיה פניה לאדם לקבלת מידע – בין אם מכוח קבלת הסכמה ובין אם מכוח הסמכה שבדין - לשם החזקתו או שימוש בו במאגר מידע תלווה ב"הודעה" שיצוינו בה, לכל הפחות: 
  1. מטרות השימוש - המטרה אשר לשמה מבוקש המידע, ובאיזה מידע מדובר;
  2. שיתוף מידע - למי יימסר המידע ומטרות המסירה; וכן –
  3. בסיס חוקי לעיבוד המידע - האם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו.
בגילוי דעת זה, הרשות מנחה להתייחס גם לנושאים הבאים במסגרת מדיניות פרטיות או מסמך גילוי אחר:
  1. פשטות ובהירות - היידוע צריך להיות בשפה ברורה, פשוטה ונגישה (לרבות שימוש בשפה גרפית לפישוט ההסברים);
  2. נסיבות הגילוי - יש לשלב את המסמך או הקישור אליו במסגרת הפנייה לאדם או בעקבות פנייתו לנותן השירות, ובאותה המדיה בה נעשתה הפנייה לאדם, עד כמה שניתן;
  3. אופן שמירת המידע - פירוט בדבר אופן שמירת המידע, כגון זהות מורשי הגישה למידע;
  4. זכויותיו של נושא המידע;
  5. נגישות - חשוב ששפת היידוע תהיה מותאמת, ככל האפשר, לאוכלוסיות יעד מיוחדות כגון גיל, ארץ מוצא או מוגבלות;
  6. מידע רגיש - ככל שהמידע הנאסף הוא רגיש במיוחד (כגון מידע ביומטרי) ובנסיבות בהן קיים חשש אינהרנטי כי הסכמת נושא המידע עלולה להיות מוגבלת, רצוי לכלול במסגרת היידוע פרטים נוספים הנוגעים לאיסוף המידע, ולאופן ומטרות השימוש בו;
  7. שיתופי מידע/ קבלני משנה - גילוי באשר לשיתופי מידע עם גורם חיצוני / מחזיק (וגם חובה על הגורם החיצוני לגלות בשם מי הוא פועל).
עמדת הרשות היא כי החובות הקבועות בסעיף 11 לחוק חלות גם כאשר הפנייה לאדם לקבלת מידע נעשתה בעקבות בקשתו של אותו אדם לקבלת שירות מסוים.

כמו כן, הובהר כי חובת היידוע חלה רק בעת פנייה לנושא המידע לשם לאיסוף מידע על אודותיו, ולא בעת השימוש במידע או בעת העברתו. במובן זה, לגישת הרשות, סעיף 11 אינו חל על צדדים שלישיים שמידע אישי מועבר אליהם מתוקף הסכמת נושא המידע, ולא בעת העברת מידע בין גופים ציבוריים מתוקף הוראות פרק ד' לחוק הגנת הפרטיות. דהיינו, לפי עמדה זו, האחריות לקבלת ההסכמה תהיה מוטלת על מי שאסף את המידע לראשונה מנושא המידע ולא ממי שקיבל אותו לאחר מכן במסגרת שיתוף מידע. זה יכול להיות יפה הן למחזיקים או קבלני משנה והן לשותפים עסקיים אחרים. 

מערכות קבלת החלטות אוטומטיות מבוססות אלגוריתם או בינה מלאכותית (AI):
תשומת לב מיוחדת ניתנה בנוגע לחובה לתת גילוי מלא לנושאי המידע גם כאשר המידע נאסף ממערכות אוטומטיות כגון בוטים, אלגוריתמים וכיו"ב (כמו למשל על לקוחות, משתמשים או עובדים). לעמדת הרשות, על היידוע לכלול התייחסות בנוגע לאופן פעולת המערכת, ככל שהדבר רלוונטי לגיבוש ההסכמה, ולפרט גם את פרטי המידע (identifiers) בהם נעשה שימוש וכן את מקורותיהם, בכפוף לשיקולים משפטיים, טכנולוגיים ומסחריים.

הערות אגב:
  1. יוער כי הרשות גם מכירה באפשרות לצמצם את היקף הגילוי בקשר לחובת היידוע באותם המקרים בהם חשיפה של פרטים מצד אוסף המידע עשויה להביא לפגיעה קשה בסוד מסחרי מוגן שלו, שלומו או ביטחונו של אדם או אינטרסים של ביטחון המדינה.
     
  2. בנוסף, לראשונה ניתנה התייחסות (אגבית) באשר לאפשרות לאסוף מידע אישי אשר פורסם במקור פומבי הפתוח לכל אדם, כמו למשל ברשתות חברתיות, במסגרתה נקבע כי אין צורך בפנייה לנושא המידע ולקבל את הסכמתו המפורשת. מדובר בנסיון ראשוני לייצר מענה לעובדה שחוק הגנת הפרטיות נעדר בסיסי מידע מרובים דוגמת ה-GDPR, המהווה אחד הפערים המשמעותיים שבחוק הוותיק.
ההמלצות רלוונטיות לכל מי שיש לו מדיניות פרטיות הכפופה לדין הישראלי וכן, כל מי שמסתמך על קבלת הסכמה מנושאי מידע בישראל לצורך עיבוד מידע אישי.
 
בכל שאלה נוספת, מחלקת הפרטיות של משרדנו לשירותכם.
האמור במסמך זה אינו מובא כתחליף לקבלת ייעוץ משפטי והוא מהווה מידע כללי בלבד. 
IMG_6606f-cr...
עו"ד ליאור אתגר, שותף
ראש תחום הגנת הפרטיות והמידע 

טלפון: 972-3-7770120+
מייל: liore@ebnlaw.co.il
 
הגנת הפרטיות, סייבר ו-IT

מחלקת הגנת הפרטיות, הסייבר והמידע של משרדנו מעניקה ללקוחותינו מעטפת משפטית כוללת בתחומי הטכנולוגיה, ניהול סיכוני הפרטיות, מחקר ופיתוח, לרבות בנוגע ליישומים טכנולוגיים מורכבים המשלבים עיבוד מידע, ותפעול שירותי אונליין ו-SaaS ומוצרים טכנולוגיים. בכך אנו מסייעים ללקוחותינו לנווט בבטחה בין עולמות הרגולציה של הגנת הפרטיות, ניהול המידע ואבטחת הסייבר.

למשרדנו ניסיון משמעותי בייעוץ בתחום דיני הגנת הפרטיות ואבטחת המידע, בין היתר במסגרת עסקאות M&A והשקעות, הסכמים מסחריים, סקרי ציות וסיכונים, וכן בייעוץ למנהלים וליזמים בנוגע לעיצוב לפרטיות (privacy by design). בנוסף, אנו מייעצים למנהלים בהיבטי ממשל תאגידי בניהול המידע וציות לרגולציות מתקדמות כגון הGDPR, CPRA,CCPA ו-HIPAA.

לקריאה נוספת על המחלקה, לחצו כאן.
Logo_EReg