גילוי דעת של הרשות להגנת הפרטיות בעניין הסכמה בדיני הגנת הפרטיות

גילוי דעת של הרשות להגנת הפרטיות בעניין הסכמה בדיני הגנת הפרטיות

בתאריך 24.2.2025 פרסמה הרשות להגנת הפרטיות ("הרשות") גילוי דעת על עקרון ההסכמה בדיני הגנת הפרטיות, המציגה את עמדת הרשות בעניין יישום עיקרון ההסכמה בדין הישראלי בראי המציאות הדיגיטלית המתפתחת, וכן ביחס לתחולת חוק הגנת הפרטיות, התשמ"א-1981 ("חוק הגנת הפרטיות" או "החוק") ותיקון 13 לחוק אשר יכנס לתוקף באוגוסט 2025. 

לעמדת הרשות, גילוי הדעת יהווה את הפרשנות המשפטית שתשמש את הרשות בעת ולצורך הפעלת מגוון הסמכויות המסורות לה בחוק ותחת תיקון 13 (כאשר תחת תיקון סמכויות הרשות הינן רחבות, לרבות לעניין הטלת קנסות מנהליים ועיצומים כספיים). 

בשונה מהרגולציה הגלובלית, אשר ברובה ברורה ביחס לנושא ההסכמה הנדרשת לעיבוד מידע, עד היום הנושא לא קיבל התייחסות מספקת תחת חוק הגנת הפרטיות וגם במסגרת תיקון 13 טרם נעשו ההתאמות הנדרשות על מנת להתאים את נושא הבסיסים החוקיים לעיבוד מידע לרגולציה הגלובלית הנוכחית. 

לדוגמא, להבדיל מחוק הגנת הפרטיות המאפשר עיבוד מידע אישי מכח הסכמה שבדין או הסכמה, תחת כללי ה-GDPR (משם מייבאת הרשות את עיקר העקרונות לתוך חוק הגנת הפרטיות), עיבוד מידע אישי יכול שיעשה בכפוף לקיום אחד מששת הבסיסים החוקיים, כאשר הסכמה הינה רק בסיס חוקי אחד אשר בגינו ניתן לבצע עיבוד מידע, ויודגש כי במקרים רבים, בפרט בקשר לעיבוד מידע אישי בראי המציאות הדיגיטלית, בסיסיים חוקיים אחרים שאינם הסכמה משמשים כבסיס חוקי לעיבוד המידע, ויתרה מכך, אף מובהר תחת ה-GDPR, שהסכמה אינה יכולה לשמש כבסיס חוקי שיכשיר כל עיבוד מידע. 

כך גם בחקיקה המתחדשת במדינות השונות בארה"ב, קיימת התייחסות ברורה מתי נדרשת הסכמה מפורשת וספציפית (למשל בשימוש משני של מידע אישי, הידוע כ "secondary use" או בשימוש במידע המוגדר "רפואי", health data) ומתי ניתן לעבד מידע אישי בכפוף למתן גילוי  ואפשרות למימוש זכות הסירוב לעיבוד מידע (opt-out). 
 

עקרונות עיקריים תחת גילוי הדעת

השימוש בהסכמה כבסיס החוקי לאיסוף מידע: הרשות מדגישה במסגרת גילוי הדעת כי תחת הדין הישראלי עיבוד מידע אישי יכול להיעשות רק בכפוף לסמכות בדין או הסכמה וכי שימוש יכול ויעשה רק בהתאם למטרה הספציפית לשמה ניתנת הסכמה, אחרת, יראו את השימוש במידע כאמור כהפרה של סעיף 8(ב) לחוק הקובע כי ניתן לעשות שימוש במידע במאגר רק לצורך המטרה לשמו הוקם וכן, הפרה של סעיף 8(ד)(1) לתיקון 13 הקובע כי חל איסור לעשות שימוש במידע אישי אשר "נוצר, התקבל, נצבר או נאסף בניגוד להוראות חוק זה…"  על פי עקרון ההסכמה, עיבוד מידע אישי אינו יכול להתקיים אלא אם ניתנה הסכמה "מדעת", באופן "מפורש או מכללא" .

הסכמה מדעת: על פי עקרון זה, עיבוד מידע מכוח הסכמתו של אדם יכול להיעשות רק בנסיבות בהן עומדת לו האפשרות להחליט איזה מידע הנוגע אליו ייחשף, למי, ולאילו מטרות. הרשות מדגישה בגילוי הדעת את החשיבות שבקבלת הסכמה מדעת – כלומר, לא די בכך שרק תינתן הסכמה, אלא עליה להיות מושתתת על הבנה מעמיקה וברורה של מושא המידע לתוכן הבקשהמטרותיה והשלכות הסכמתו, זכותו לסרב לעיבוד המידע וכן השלכות סירובו לבקשה לעיבוד המידע. על כן, על המידע המוצג בפני נושא המידע להיות מפורט, נגיש וברור, לרבות בהתאם לדרישת היידוע תחת סעיף 11 לחוק (אשר הורחבה במסגרת תיקון 13) – כאשר הרשות מבהירה בגילוי הדעת כי דרישות סעיף 11 הינן דרישות מינימום בלבד ואין בקיומם בכדי להבטיח עמידה בדרישה ההסכמה מדעת. עמדת הרשות בגילוי דעת זה, בדומה לפרסומים דומים של הרשות בעבר, הינה כי היקף הגילוי ישפיע על תוקף ההסכמה שניתנה והפירוט הנדרש הינו תלוי נסיבות. ככלל, עמדת הרשות היא כי בנסיבות בהן קיימים פערי כוח בין צדדים, או כאשר מדובר בפעולה בעלת פוטנציאל לפגיעה קשה בפרטיות או בנסיבות מורכבות אחרות (כגון שימוש בטכנולוגיה חדשה שהשלכות השימוש בה אינן ברורות) – יש לראות בחובת היידוע כחובה מוגברת, ועל מבקש ההסכמה יהא להקפיד להציג פירוט נרחב של כלל הנתונים הרלוונטיים להחלטה, באופן בולט ופשוט, וככל הניתן בנפרד משאר רכיבי ההתקשרות (בדומה לעקרונות הגילוי הנדרש תחת ה GDPR לצורך ביסוס “Informed Consent”). 

הסכמה מ"רצון חופשי": הרשות מדגישה את העיקרון כי לצורך הסכמה תקפה, על ההסכמה להיות מ"רצון חופשי", בדומה לעקרונות ההסכמה תחת ה GDPR לצורך”Freely Given” וכן מספקת דוגמאות לפרקטיקות אשר עשויות להיחשב ככאלו אשר פוגעות ברכיב זה ויראו בהם כ"הסכמה חשודה" (ואשר כאמור עשויה לשלול את תוקף ההסכמה). בין היתר, פרקטיקת ה-Dark Patterns (אשר נדונה רבות לעניין זה על ידי הרגולטורים באירופה ובארה"ב) לפיה שימוש בכלים עיצוביים אשר עשויים להטעות את המשתמש לעניין הבנת משמעות הסכמתו עלולים להוביל לקביעה כי ההסכמה אינה "הסכמה מדעת" (לדוגמא, לעניין עיצוב "לחצן" ההסכמה בגודל ובצבע בולט ואילו לחצן ה"סירוב" באופן שפחות נראה לעין, באופן המוביל את המשתמש אינטואיטיבית להקליק על לחצן ההסכמה). בנוסף, הרשות מצביעה על מקרים נוספים אשר עלולים להוות "הסכמה חשודה" בעיקר כאשר ההסכמה ניתנת במצב בו קיימים פערי כוח ברורים בין מבקש ההסכמה לנושא המידע (לדוגמא ביחסי עבודה, בעת הסכמה לקבלת שירות חיוני כגון שירותי בריאות ותחבורה ציבורית, והסכמה כאשר אין אלטרנטיבה סבירה, כגון חיוב לעשות שימוש בתוכנה מסוימת לצורך קבלת שירות או חיוב להצטרף למועדון לקוחות לצורך רכישה). במקרים כאמור – הנטל לשכנע כי הסכמה לפגיעה בפרטיות ניתנה מתוך רצון חופשי של אדם עשוי להיות מוטל על כתפיו של מבקש ההסכמה ויש לקחת בחשבון גם את עיקרון המידתיות. 
במקרים של הסכמה חשודה יכול מבקש ההסכמה לנקוט אמצעים שונים – כגון העמדת חלופה סבירה או אי-התניית קבלת השירות במתן הסכמה לאיסוף מידע שאינו נדרש – על מנת להראות כי ההסכמה מבטאת את רצונו החופשי ואת בחירתו האמיתית של נושא המידע.

סוגי הסכמה – מפורשת או מכללא: בגילוי הדעת הרשות מדגישה את ההבדל בין סוגי הסכמה – הסכמה מפורשת והסכמה מכללאהסכמה מפורשת משמעה שנושא המידע יודע ומודע למטרת השימוש במידע ומסכים לכך בצורה ברורה- פוזיטיבית כגון לחיצה אקטיבית על רובריקת "אני מסכים". לעומת זאת, הסכמה מכללא עשויה להשתמע מהתנהגות מסוימת או ממצבים בהם ניתן להסיק על הסכמה, כמו למשל – השתתפות בצילום שנערך לצרכים שיווקיים. 
בגילוי הדעת ממליצה הרשות לנקוט משנה זהירות בהסתמכות על הסכמה מכללא, אשר תפורש בצמצום, וקובעת כי ככלל, שתיקתו של אדם, או העדר מחאה מצידו לאיסוף או שימוש במידע הנוגע אליו, כשלעצמם, אינם יכולים ללמד על הסכמה תקפה לפי חוק הגנת הפרטיות ויהיה על מבקש ההסכמה להוכיח כי לנושא המידע עמדה המודעות הנדרשת למתן ההסכמה, ורק כאשר קיימות נסיבות אחרות מהן ניתן ללמוד כי נושא המידע אכן התכוון להעניק את הסכמתו. זאת ועוד, לעמדת הרשות גם במקרים בהם הסתמכות על הסכמה מכללא היא אפשרית, רצוי שלא להסתפק בהסכמה שכזו, אלא לפנות לאדם לקבלת הסכמתו המפורשת. זאת בעיקר במקרים של איסוף מידע רגיש או נקיטת פעולות העלולות להביא לפגיעה קשה בפרטיותו. כמו כן, הסכמה מכללא גם היא יכול שישעה בה שימוש רק לצורך המטרה שהוצגה ולא לצורך מטרה אחרת. 

הסכמה אקטיבית (opt-in) או פאסיבית (opt-out): מתן הסכמה יכול להיעשות באחת מהדרכים הבאות: האחת, על יסוד פעולה אקטיביתשל אדם מתוכה ניתן ללמוד על הסכמתו (opt-in), כגון סימון ברובריקה המתירה שימוש במידע למטרה ספציפית אחרת מהמטרה לה ניתנה ההסכמה הכללית. השנייה, על יסוד התנהגות פסיבית (opt-out) כגון הימנעות מסימון ברובריקה שאוסרת על שימוש במידע אישי שאינו הכרחי למתן השירות. לעמדת הרשות שימוש במודל של הסכמה אקטיבית, יכול ללמד על מודעות ברמה גבוהה יותר לרכיבי ההסכמה.

בנוסף, בגילוי הדעת מדגישה הרשות מספר מצבי עולם בהם ראוי לעשות שימוש בהסכמה אקטיבית (opt-in):

  1. שימוש במידע אישי למטרות "Profiling", שאינו קשור ישירות לתכלית העסקה בין הצדדים, מחייב קבלת הסכמה אקטיבית מנושא המידע. נושא זה מתקשר, בין היתר, לשימוש ב Cookies בנכסים מקוונים ויתכן כי לאור גילוי הדעת, תידרש הסכמה מפורשת לשימושים מסוימים, בדומה לדרישות תחת ה GDPR. 
  2. שימוש במידע אישי לשירותי דיוור ישיר. לעמדת הרשות הסכמת לקוח תחת חוזה אחיד (למשל תנאי שימוש) לשימוש במידע אודותיו למטרות שירותי דיוור ישיר, שאינו קשור בתכלית העסקה בין הצדדים, צריכה להיות תחת מודל הסכמה אקטיבי באמצעותה מביע הלקוח באופן אקטיבי את הסכמתו לשימוש במידע האישי שלו לצורך שליחת דיוור ישיר. 
  3. כאשר הסכם כולל סעיפים למתן הסכמה לאיסוף מידע אישי שאינו נדרש למתן השירות, או לשימוש בו למטרות השונות מהותית ממטרת ההסכם (שלגביה ניתנה הסכמה מפורשת), רצוי שההסכמה הנפרדת לסעיפים אלו תיעשה במתכונת של הסכמה אקטיבית ולא במודל של הסכמה פסיבית. 


זכויות החזרה מהסכמה: עקרון חשוב נוסף הכרוך בהסכמה הוא השאלות סביב חזרה מהסכמה. חשוב לציין כי נושאי מידע רשאים לחזור בהם מהסכמתם גם כאשר ההסכמה ניתנה כדין. לעמדת הרשות, יש לבחון בחיוב קבלת בקשה לחזרה מהסכמה, גם במקרים בהם ההסכמה איננה הדירה מלכתחילה (למשל במקרים "החשודים" אשר פורטו לעיל), ובמיוחד במצבים בהם המשך השימוש במידע עלול לפגוע באופן קשה בפרטיות המבקש. כמו כן מדגישה הרשות כי במקרים בהם התנהגותו של אדם עשויה ללמד כי הסכמתו ניתנה מלכתחילה באופן נקודתי או לזמן מוגבל, ניתן להסיק כי הוא מבקש לחזור בו מהסכמתו, ומומלץ כי בעל מאגר יפנה לנושא המידע על מנת לבחון אם הסכמתו עדין עומדת בעינה (לדוגמא במקרה בו המשתמש הוריד אפליקציית ניווט בעת שהותו בחו"ל ואינו עושה שימוש באפליקציה למשך פרק זמן ממושך, מומלץ לפנות אל המשתמש לשם יידועו כי השימוש במידע אודותיו נמשך). 
 

המלצות הרשות לחיזוק הליך קבלת הסכמה מקוונת

הרשות כללה בגילוי הדעת מספר המלצות אופרטיביות לצורך קבלת הסכמה מקוונת בשירותים דיגיטליים: 

  1. בהירות והצגת היבטי פרטיות בולטים: בעת פנייה לקבלת הסכמה מקוונת חשוב להדגיש את ההיבטים המרכזיים הנוגעים לפרטיות המשתמש באופן ברור.
  2. שימוש בטכנולוגיות חדשות לצורך קבלת הסכמה: למשל באמצעות שימוש בסרטוני הסברה, באנרים קופצים, וכלים אינטראקטיביים להגברת המעורבות של משתמשים בהליך קבלת ההסכמה. כמו כן מומלץ להתאים את פורמט קבלת ההסכמה בהתאם למכשירים השונים (מחשבים, טלפונים וכו').
  3. רמות פירוט שונות: מומלץ להציג רמות שונות של פירוט בנוגע למידע הנאסף ואופן השימוש בו.
  4. הימנעות מהסכמה גורפת:  הימנעו מקבלת הסכמה גורפת למתן שירותים, ואפשרו למשתמשים לקבוע איזה סוגי מידע הם מוכנים שתאסוף אודותם ולאלו מטרות.

אחריות ואכיפה:

הרשות מדגישה שמקרים של פגיעה בפרטיות ללא הסכמה עשויים להיחשב עוולות אזרחיות או אפילו עבירות פליליות, מה שעשוי להוביל לסנקציות ישירות מצד הרשות בהתאם לחוק ולסמכויות הנגזרות תחת תיקון 13. 

יצוין כי גילוי הדעת פורסם ועומד כעת פתוח להערות הציבור עד לתאריך 24.3.2025. אנו נשמח לסייע ולעמוד לרשותכם בכל שאלה. הצוות המקצועי של המשרד פועל בימים אלו לצורך הגשת הערותיו לגילוי הדעת, טרם פרסות חוות הדעת הסופית בנושא.


נשמח לעמוד לרשותכם בכל שאלה. 
בברכה, 
פרקטיקת סייבר, מידע ופרטיות 
שבלת ושות'

האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף

חדשות נלוות