מבזק קניין רוחני | הרשות להגנת הפרטיות פרסמה להערות הציבור מסמך בנושא חובת יידוע במסגרת איסוף ושימוש במידע אישי

הרשות להגנת הפרטיות פרסמה לאחרונה מסמך עמדה בנושא פרשנות הרשות ביחס לחובת יידוע במסגרת איסוף ושימוש במידע אישי. המסמך מופץ בשלב זה להערות הציבור.

חובת היידוע בדין הישראלי

ככלל, הדין הישראלי מתיר איסוף ושימוש במידע אישי על אודות אדם בשני מצבים: האחד,  מכוח הסכמת האדם נושא המידע (הסכמה מדעת, במפורש או מכללא, קרי בידי נושא המידע היה המידע הדרוש לו באורח סביר כדי להחליט אם להסכים למסירת המידע ולשימושים שיעשו בו, ובכלל זה להעברתו לצדדים שלישיים), והשני, כאשר האיסוף והשימוש נעשים מכוח הסמכה בדין.

מכוח הוראות סעיף 11 לחוק הגנת הפרטיות, פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצוינו בה המטרה אשר לשמה מבוקש המידע; למי יימסר המידע ומטרות המסירה; והאם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו.

לגישת הרשות להגנת הפרטיות, הוראות סעיף 11 חלות בכל מקום בו איסוף מידע אישי על אודות אדם נעשה על יסוד פנייה אליו לקבלת המידע, וזאת בין אם המידע נאסף מכוח הסכמת נושא המידע, ובין אם איסוף המידע נעשה מכוח הסמכה שבדין.  הליך היידוע עשוי להיות משולב דה-פקטו בהליך קבלת ההסכמה לאיסוף מידע או מיושם בנפרד מהליך הפנייה לקבלת הסכמה לאיסוף מידע.

הליך היידוע כחלק מהליך קבלת ההסכמה

כאשר הליך היידוע משולב דה-פקטו בהליך קבלת ההסכמה לאיסוף מידע (דהיינו כי הוא מהווה מעין שלב מקדים לשלב קבלת ההסכמה) היקפה של חובת היידוע עשוי להיות מושפע מהדרישות הנדרשות לשם קבלת הסכמה מדעת, המחייבת את מבקש המידע להציג לאדם נתונים בנוגע לאיסוף המידע עליו והשימוש בו, כך שבפני נושא המידע תעמוד תמונה מלאה בטרם יחליט האם להסכים למסירת המידע  אודותיו. היקף היידוע ותוכנו עשויים להיות מושפעים בהקשר זה מנתונים שונים, כגון זהות מבקש הבקשה, אופי מערכת היחסים שלו עם נושא המידע, מידת יכולתו של נושא המידע להתנגד לבקשה וכן סוג ורגישות המידע. על היידוע להיות מפורש וספציפי, שכן ללא מידע ספציפי וברור בנוגע לפגיעה שעלולה להיגרם לפרטיותו ואף ביחס לחוסר הוודאות בה היא מתאפיינת, לא ניתן לייחס להסכמה את יסוד ה'דעת'.

הבהרות ביחס לאופן בו צריך לקיים את חובת היידוע

• היידוע צריך להיות בשפה ברורה, פשוטה ונגישה ומומלץ לשקול שימוש בשפה גרפית (ציורים, סימנים) לפישוט ההסברים.
• ככל שהשירות פונה לציבור מובחן מבחינה מסוימת (כגון גיל או ארץ מוצא), חשוב ששפת היידוע תהיה מותאמת, ככל האפשר, לקהל היעד והדבר יכול להשליך גם על תוקף ההסכמה מדעת.
• ככל שהמידע הנאסף הוא רגיש במיוחד (כגון מידע ביומטרי) ובנסיבות בהן קיים חשש אינהרנטי כי הסכמת נושא המידע עלולה להיות מוגבלת, רצוי לכלול במסגרת היידוע פרטים נוספים הנוגעים לאיסוף המידע, ולאופן ומטרות השימוש בו.
• מומלץ כי היידוע יכלול פירוט בדבר אופן שמירת המידע (כגון זהות מורשי הגישה למידע) ובדבר זכויותיו של נושא המידע.
• כאשר בעל מאגר מתקשר עם גורם חיצוני לצורך קבלת שירות במסגרת 'מיקור חוץ', והגורם החיצוני מבקש מנושא המידע הסכמה לאיסוף ולשימוש במידע על אודותיו למטרות השונות ממטרת השירות המקורי (למשל כאשר ספק השירות אוסף מידע לצרכי מחקר, פרסום, או ייעול שירותים אחרים הניתנים על-ידו), על בעל המאגר או הגורם החיצוני ליידע את נושא המידע על כך, ולבקש את הסכמתו.
• חובת היידוע אינה מחייבת לחשוף את כלל הפרטים והנתונים הנוגעים לאיסוף ולשימוש במידע אישי. יתכנו מצבים בהם חשיפה שכזו תהיה בלתי אפשרית או מנוגדת לתכליות חוקיות או לאינטרסים לגיטימיים אחרים. במקרים שכאלו על הגורם המבקש לאזן בין האינטרסים השונים. עליו לבחון כיצד הוא מספק לנושא המידע את הנתונים המרכזיים הנוגעים לאיסוף המידע והשימוש בו (כגון נתונים שבלעדיהם אין לנושא המידע אפשרות להעניק הסכמה מדעת לאיסוף), תוך הימנעות מחשיפת נתונים אותם אין באפשרותו לחשוף.
• יש לזכור כי היקף הפירוט במסגרת עמידה בחובת היידוע הוא תלוי הקשר. בנסיבות בהן איסוף המידע והשימוש בו כרוכים בפגיעה משמעותית בפרטיות, או כאשר ניתן להניח שנושא המידע עשוי שלא להיות מודע לעצם איסוף המידע או להשלכותיו, יש להקפיד כי היידוע יוצג באופן נקודתי אך מקיף ככל האפשר.

חובת ידוע בקשר לאיסוף ועיבוד מידע באמצעות מערכות אוטומטיות (AI)

• הוראות סעיף 11 לחוק הגנת הפרטיות מטילות חובת יידוע בשלב איסוף המידע גם על גורמים האוספים מידע אישי באמצעות מערכות אוטומטיות ומערכות לקבלת החלטות מבוססות אלגוריתם (לרבות "בוטים" ומערכות מבוססות בינה מלאכותית (AI)) וגם על גורמים האוספים מידע אישי לשם שימוש בו במסגרת מערכות שכאלו.
• על הליך היידוע לפרט על אופן פעולת המערכות האמורות, ככל שהדבר רלוונטי לגיבוש ההסכמה וככל שפירוט זה אפשרי מבחינה משפטית, טכנולוגית, ומסחרית. בהקשר זה יודגש כי, כאמור לעיל, עמדת הרשות להגנת הפרטיות היא כי חובת היידוע אינה מחייבת לחשוף את כלל הפרטים והנתונים הנוגעים לאיסוף ולשימוש במידע אישי והדבר צריך להיבחן בהתאם לאיזונים המצוינים לעיל.
• מומלץ כי יוסבר לנושא המידע על אודות פרטי המידע בהם עשויות המערכות להשתמש במסגרת השימוש במידע הנוגע אליו, והמקור של פרטי מידע אלו.

להעברת הערות למסמך (ראו לינק למסמך המלא) יש לשלוח מייל עם הכותרת "חובת יידוע במסגרת איסוף ושימוש במידע אישי" לכתובת הדוא"ל ppa@justice.gov.il עד לתאריך 05.06.2022

לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות, בטלפון 03-6074588 או בדוא”ל ellat@gkh–law.com.

משרד גרוס ושות' הנו אחד ממשרדי עורכי הדין הגדולים בישראל, המונה למעלה מ-220 עורכי דין. למשרד התמחות ופעילות ענפה בתחומי המשפט המסחרי, ובין היתר בתחום מיזוגים ורכישות, שוק ההון, הייטק וטכנולוגיה, בנקאות, מימון, נדל"ן, ליטיגציה, הגבלים עסקיים, אנרגיה ותשתיות, איכות הסביבה, קניין רוחני, דיני עבודה ומיסים.

מידע בחוזר זה מיועד ללקוחות משרד גרוס ושות' וידידיו. כל המידע הנכלל בחוזר זה הינו בבחינת מידע כללי ותמציתי בלבד, ואינו מהווה חוות דעת או ייעוץ משפטי. על המשתמש לקבל עצה מקצועית נפרדת לכל פעולה משפטית או אחרת בקשר לנושאים שנדונו בחוזר.