ביום 24 בפברואר, 2025, הרשות להגנת הפרטיות ("הרשות") פרסמה טיוטה בנושא יישום עקרון ההסכמה, בהתייחס לתחולת חוק הגנת הפרטיות, התשמ"א-1981 ("החוק") ולתיקון 13 לחוק אשר ייכנס לתוקף באוגוסט הקרוב ("הטיוטה").
הזכות לפרטיות נתפסת כזכות לשליטה ואוטונומיה, כלומר היכולת של האדם להחליט איזה מידע אודותיו ייחשף לאחרים, באילו תנאים ולשם אילו מטרות. שליטה זו מתאפשרת באמצעות עקרון ההסכמה ועקרון צמידות המטרה. עקרונות אלה מעוגנים בדין הישראלי בסעיף 1 לחוק, האוסר על פגיעה בפרטיות ללא הסכמת האדם, ובסעיף 2(9) לחוק, המחייב כי השימוש במידע יהיה מוגבל למטרה שלשמה נמסר. נוסף על כך, סעיף 11 לחוק קובע חובת גילוי, אשר נועדה להבטיח שהסכמתו של האדם תהיה הסכמה מדעת, בין אם ניתנת במפורש ובין אם משתמעת מכללא.
בטיוטה זו מבקשת הרשות, על פניו, לצקת תוכן לרכיבי ההסכמה הקבועים בחוק ולהדגיש את התנאים להתקיימותה, בדרך של פרשנות הדין הקיים. עם זאת, קריאה זהירה של הטיוטה מלמדת כי במסגרתה הרשות מבקשת למעשה למסד רכיבים נוספים ולהרחיב את חובותיו של בעל המאגר בקשר עם איסוף הסכמה.
הסכמה מדעת מבוססת על גילוי
הטיוטה מדגישה כי ההסכמה הנדרשת בחוק, בין אם משתמעת או מכללא ובין אם אקטיבית ומפורשת, צריכה להיות תמיד "הסכמה מדעת". מונח זה שאול מהדיסציפלינה הרפואית ומטרתו להבטיח כי האדם נותן ההסכמה יקבל את החלטתו על בסיס מידע מספק להבנת ההקשר, באופן שמבסס את ההסכמה כ"מיודעת". סעיף 11 לחוק, קובע כבר כיום את החובה לתת גילוי לנושא המידע אודות איסוף המידע, תכליתו, למי יועבר, לאיזו מטרה והאם קיימת חובה חוקית למסור את המידע. תיקון 13 לחוק מוסיף לכך כי על האדם לקבל אף גילוי בדבר ההשלכות הפוטנציאליות של "תוצאת אי-ההסכמה". ראשית, הרשות מדגישה כי המידע חייב להיות מוצג באופן ברור, נגיש ומובן כדי שההסכמה תהיה תקפה. אולם מעבר לכך, הטיוטה מרחיבה את חובת הגילוי הקבועה בסעיף 11 לחוק. הרשות מציעה לקבוע בטיוטה, כי עמידה בחובת הגילוי לפי סעיף 11 לחוק היא דרישת המינימום, ובהתאם לנסיבותיה של ההסכמה המבוקשת, יש לבחון האם נדרש לתת גילוי נרחב יותר לצורך ביסוסה של הסכמה מדעת. בהקשר זה הטיוטה למשל קובעת כי ייתכן ותידרש התאמה של אופן הנגשת המידע בהתאם לקהל היעד, כמו למשל שימוש באמצעים קוליים באפליקציה המיועדת לאנשים עם ליקוי ראייה.
המוצע בטיוטה יש לומר, מתכתב עם עמדת הרשות כפי שפורסמה בעבר במסגרת גילויי דעת בעניין חובת הגילוי. עם זאת, נוסח הדברים והאופן בו הם מוצגים יש בהם כדי להרחיב במפורש את חובות הגילוי הקבועות היום בדין הישראלי, באופן שמקרב אותן לגילוי הנרחב הקבוע למשל בסעיפים 14-13 להוראות האסדרה האירופאית להגנה על מידע ("GDPR"). בנוסף, בטיוטה הרשות קושרת מפורשות בין הצורך באיסופה של הסכמה תקפה ומיודעת ובין פעולות האכיפה הצפויות לאחר כניסתו לתוקף של תיקון 13 לחוק.
הסכמה מרצון חופשי
הרשות מבהירה כי הסכמה לפגיעה בפרטיות חייבת להינתן מתוך רצון חופשי, בדומה לדרישה ב-GDPR כי הסכמה תהיה Freely Given)). הטיוטה מסבירה כי דרישה זו משמעותה שנושא המידע ייתן את הסכמתו ללא אלמנטים של כפיה או כורח, באופן שמבטא את האוטונומיה שלו ואת מימוש רצונו החופשי. לצורך כך, נדרש בין היתר, כי בפני נושא המידע יעמדו חלופות אפשריות וסבירות למתן ההסכמה, וכן כי ההסכמה תתקבל ללא שימוש ב"טקטיקות אפלות" (dark patterns), שתכליתן לערפל את שיקול דעתו ולמנוע ממנו את היכולת לקבל החלטה המבוססת על שיקול דעתו החופשי. בעוד פרשנות זו עולה בקנה אחד עם המקובל בעולם ובחקיקות מודרניות אחרות של הגנת הפרטיות, דומה כי חלק מהדוגמאות שמביאה הרשות להמחשת עיקרון זה, חורגות מהמקובל ומבטאות גישה נוקשה ובלתי מאוזנת. כך למשל, הטיוטה קובעת כי מקרה של משחק רשת לילדים המציג בקשות חוזרות לאיסוף נתוני מיקום, תוך הקפאת המשחק וללא אפשרות פשוטה לביטול הבקשות, עשוי להעיד על היעדר רצון חופשי. דוגמא אחרת קובעת כי ייתכן והצבת מצלמות אבטחה בסניפי קופת חולים הינה בעייתית לנוכח חיוניות השירות והיעדר היכולת האמיתית להימנע מביקור בסניף. אלא שדוגמאות אלו מתעלמות מכך שנושא ההסכמה "החופשית" חייב להיבחן לא רק על בסיס קיומו של רכיב של "כפיה" (coercion), אלא באיזון וכחלק מהשיקולים הכלליים הקשורים בנסיבות ובמטרות איסוף המידע (וכפי שהרשות עצמה מציינת, לאור עקרון המידתיות). בהקשר זה ניתן רק לתהות האם הבאת דוגמא מ"משחק רשת לילדים", עניין פעוט מבחינת חשיבותו ללא ספק, הינה הדוגמא המתאימה להמחשת "כפיה" המופעלת כלפי אדם באופן השולל את רצונו החופשי. בדומה, מטופלים בסניפי קופות חולים הנאלצים להסכים לצילום מחוסר ברירה, אינם בהכרח במצב של כפייה פסולה, כאשר שוקלים למול כך את החשיבות שבשמירה על ביטחון הציבור.
אופן מתן הסכמה – במפורש או מכללא
מן המפורסמות היא, כי בהיעדר "בסיסים חוקיים" נרחבים בחוק הישראלי, כדוגמת "חוזה" או "אינטרס לגיטימי" הקבועים ב-GDPR, הדין הישראלי מותח את גבולות ההסכמה תחת ההנחה כי ניתנה הסכמתו של נושא המידע באופן משתמע או "מכללא". הטיוטה מפרטת כי לעמדת הרשות הסכמה מפורשת צריכה על פניו להיות "מובהקת וחד משמעית", ועדיין, לצד כך הטיוטה קובעת כי "לחיצה אקטיבית על רובריקת אישור מסמך תנאי שימוש" או "מחווה גופנית כגון הנהון בתגובה לשאלה מפורשת" יכולים להיחשב כהסכמה מפורשת, דוגמאות אשר יש בהן כדי לרכך את אופן איסופה של הסכמה שכזו. מנגד, הטיוטה מבהירה כי הסכמה מכללא, לעמדת הרשות, נלמדת מהתנהגותו של האדם ומפרשנות סבירה של נסיבות המקרה. לצורך ההמחשה מונה הטיוטה שורה של דוגמאות מפסיקת בתי המשפט, כדוגמת השתתפות בתהלוכה במרחב הציבורי המלמדת על הסכמה לפרסום תמונתו של אדם כחלק מדיווח חדשותי, פעילות במפלגה פוליטית המגלמת הסכמה לפרסום עמדתו הפוליטית של אדם וכו'.
הרשות מבהירה כי כאשר מדובר באיסוף או שימוש במידע רגיש או בנקיטת פעולה העלולה להביא לפגיעה קשה בפרטיות, יש לבחון אם נדרש אישור נוסף מעבר להסכמה מכללא. דהיינו בעוד החוק הישראלי אינו קובע כיום דרישה להסכמה מפורשת או מוגברת באיסוף מידע רגיש (בדומה לקבוע בסעיף 9 ב-GDPR), טיוטת הרשות מבקשת להבהיר את היחס בין שני סוגי ההסכמות, ולקבוע כי בהתאם לטיב ורגישות המידע המבוקש כמו גם נסיבות המקרה, תידרש הסכמה מפורשת.
בהמשך לכך, הטיוטה אף מתייחסת להבדל בין הסכמה אקטיבית (opt-in) או פסיבית (opt-out). באופן טבעי, הרשות רואה בהסכמה אקטיבית, כגון סימון אקטיבי של הסכמה ברובריקה (Checkbox), עדות לרמת מודעות גבוהה המלמדת במובהק על קיומה של הסכמה מדעת. עם זאת, עמדת הרשות קובעת כי החובה לקבלת הסכמה אקטיבית שכזו קיימת רק במצבים מסוימים, כגון בשירותי דיוור ישיר, או שימוש במידע אישי לצרכי "פרופיילינג" שאינו קשור ישירות למטרת השירות.
בהקשר זה, של הפער בין הסכמה אקטיבית ומפורשת להסמכה משתמעת ופסיבית, ניתן רק להצטער שטיוטת הרשות אינה מבקשת להבהיר סוגיות ודקויות מורכבות יותר כדוגמת שאלת ההסכמה המשתמעת לצורך קיום חוזה, או ההסכמה הדרושה בעת איסוף מזהים מקוונים אונליין (כדוגמת קוקיז) באתר אינטרנט.
הסכמה מפורטת ומופרדת לסוגי מידע
חלקה האחרון של הטיוטה מבקש לספק "המלצות לחיזוק הליך קבלת הסכמה מקוונת". במסגרת חלק חשוב זה, הטיוטה קובעת באופן תמציתי ולקוני כי יש להציג "למשתמשים רמות שונות של פירוט בדבר איסוף המידע ואופן השימוש בו (מרמת הפירוט הבסיסית הנדרשת על- פי דין ועד רמת פירוט גבוהה ומפורטת), ואפשרו להם לשלוט על רמת הפירוט לה הם מבקשים להיחשף". קביעה זו, למעשה מרמזת לצורך באיסופה של הסכמה גרנולרית (Granular) כמקובל היום ב-GDPR ותחת רגולציות אחרות דומות (לדוגמא, הצורך לאפשר למשתמש באתר לשלוט בסוגי הקוקיז השונים תוך חלוקה בין קוקיז טכניים, אנליטיים, שיווקיים וכו'). על פניו מדובר בהרחבה משמעותית של הפרקטיקה הקיימת בשוק הישראלי, והעובדה כי קביעה זו מופיעה כ"המלצה" אינה תורמת לבהירות בנושא.
חזרה מהסכמה
הטיוטה קובעת למעשה כי עיקרון ההסכמה ומימוש האוטונומיה שבבסיסו, מחייבים גם מתן אפשרות לנושא המידע לחזור בו מהסכמתו. זאת לעיתים, גם כאשר ההסכמה אינה הדירה מלכתחילה – כאשר הטיוטה קובעת כי יש לבחון בחיוב בקשות לחזרה מהסכמה במקרים של פגיעה משמעותית בפרטיות. הטיוטה מבהירה כי חזרה מהסכמה אין בה כדי להשפיע על פעולות עיבוד מידע שבוצעו עד למועד משיכת ההסכמה, אולם היא מגבילה את היכולת להמשיך ולעשות שימוש במידע תחת ההסכמה. בעוד חידוש זה שבטיוטה עולה בקנה אחד עם המקובל בעולם כיום, הרשות הולכת בטיוטה צעד אחד נוסף וממליצה כי במקרים בהם קיימת אינדיקציה להתנהגות המעידה על חזרה מהסכמה (כדוגמת אי כניסה לאפליקציה זמן ממושך) בעל מאגר מידע יפנה באופן אקטיבי לנושא המידע על מנת לברר האם הוא עדיין מסכים לעיבוד המידע שלו. מדובר בחובה מרחיקת לכת על פניו, והטיוטה אינה מבהירה את נסיבותיה והתנאים השונים להתקיימותה.
חובת תיעוד הסכמה
הרשות מבהירה בטיוטה כי נטל ההוכחה לקיומה של הסכמה מוטל על בעל המאגר, הטוען לקיומה של הסכמה זו, ועל כן על בעל המאגר לוודא כי הוא שומר תיעוד מפורט ובהיר למתן ההסכמה. ברור כי כאשר מדובר בהסכמה מכללא או כזו המשתמעת, שאלת התיעוד אינה תמיד כה פשוטה, ובעלי מאגרים נדרשים לוודא כי נשמר אצלם תיעוד שכזה.
בטיוטת גילוי הדעת מבקשת הרשות להבהיר ולצקת תוכן לחובות הקיימות בחוק סביב מונח ההסכמה, וכחלק מכך, אף לחדש ולקבוע חובות וזכויות שונות בדרך של פרשנות מרחיבה. הטיוטה קושרת את האמור בה לצעדי האכיפה הצפויים עם כניסתו לתוקף של תיקון 13 לחוק באוגוסט הקרוב, ומציינת כי פרשנות הרשות יכולה לשמש בסיס להטלת קנסות, נקיטת הליכי אכיפה וכיו"ב. בהקשר זה חשוב לציין כי השימוש המרובה במונחים עמומים כדוגמת "מומלץ" או "רצוי" מייצרת לפעמים אי בהירות סביב הרף החוקי הנדרש, ובמסגרת ההתייחסות שבכוונתנו להעביר לרשות, אנו בין היתר מתכוונים לבקש הבהרה של סוגיה זו.
הרשות מעמידה טיוטה זו להערות הציבור עד לתאריך 24.3.2025 ואנו מזמינים אתכם לחלוק עמנו בהקדם את תובנותיכם והערותיכם בנושא, אשר נשמח לשלב בדיאלוג המתמשך שלנו מול הרשות.
במחלקת פרטיות, רגולציה וטכנולוגיה של עמית, פולק, מטלון ושות', פיתחנו בשנים האחרונות מתודולוגיה סדורה לביקורת והטמעת עקרונות פרטיות, רגולציה וטכנולוגיה. במסגרת זו, אנו מספקים ללקוחותינו כלים פרקטיים ליישום בקרות שוטפות ותקופתיות, המסייעות בצמצום פערי ציות בארגונים וחברות הפועלים עמנו. בנוסף, אנו מסייעים בהכנה, עדכון והתאמה של מסמכי מדיניות פרטיות בהתאם לדרישות החוק ולשינויים רגולטוריים, כמו במקרה הנידון אשר דורש עדכון של מסמכים אשר אינם עומדים בדרישות הרשות.
תכלית עדכון זה, להציג את החידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.
צוות APM לפרטיות, רגולציה ולטכנולוגיה.