ביום 31.7.2022 פרסמה הרשות להגנת הפרטיות את הנוסח הסופי של גילוי הדעת מטעם הרשות לעניין חובת היידוע במסגרת איסוף ושימוש במידע אישי (זאת, לאחר שטיוטה להערות הציבור פורסמה לפני מספר חודשים).
גילוי הדעת, מציג את עמדת ופרשנות הרשות לסעיף 11 לחוק הגנת הפרטיות, לעניין חובת יידוע במסגרת הליך קבלת ההסכמה ובדגש על היקפה של חובת היידוע במסגרת שימוש במערכות לקבלת החלטות מבוססות אלגוריתם או בינה מלאכותית.
סעיף 11 נשוא גילוי הדעת קובע כי "פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצוינו בה המטרה אשר לשמה מבוקש המידע; למי יימסר המידע ומטרות המסירה; והאם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו". הפרקטיקה המוכרת ליישום סעיף 11 הינה בדרך כלל הצגת "מדיניות פרטיות" המפרטת, בין היתר, את הנדרש לעיל.
לעמדת הרשות, חובת היידוע הקבועה בסעיף 11 לחוק חלה בכל מקום בו איסוף מידע אישי על אודות אדם נעשה על יסוד פנייה אליו לקבלת המידע, וזאת בין אם המידע נאסף מכוח הסכמתו, מכוח חובה שבדין, מכוח פנייה יזומה של נושא המידע עצמו לקבל שירות וכדומה, וכן, ביחס לכל אופן של פנייה לרבות בע"פ, באופן טלפוני ובאופן דיגיטלי.
בנוסף, במסגרת גילוי הדעת, הבהירה הרשות את גישתה לעניין הקשר ההדוק בין קיומה של "הסכמה מדעת" של נושא המידע (הקבועה בסעיף 3 לחוק הגנת הפרטיות לפיו הסכמה לאיסוף ולשימוש במידע צריכה להיות "הסכמה מדעת" – במפורש או מכללא) לבין היידוע, היקפו ותוכנו – והלכה למעשה – תוקפה של הסכמה מדעת ו/או היעדרה של הסכמה מדעת, ייבחן, בין היתר, בהתאם למידע שנמסר לנושא המידע, מועד מסירת המידע, היקף המידע ואופן עריכתו והאפשרות להבין את המידע בצורה סבירה. ככל והנ"ל יתקיימו, תתחזק ההנחה כי התקבלה הסכמה מדעת.
היקף הפירוט במסגרת עמידה בחובת היידוע הוא תלוי הקשר ויש לבחון את הפגיעה בפרטיות, לרבות הציפייה הסבירה של נושא המידע לעניין איסוף המידע והשימוש בו (לדוגמא – כאשר המשתמש עצמו מוסר את המידע אל מול איסוף אוטומאטי, כאשר הצורך במידע הינו ברור לצורך הגשמת המטרה וכדומה).
גילוי הדעת כולל הנחיות מטעם הרשות לעניין היקף ותוכן חובת היידוע הנדרשים, ובין היתר, כדלקמן:
- במצבים בהם חובת היידוע מיושמת כחלק מהליך קבלת ההסכמה מדעת, היקפה של חובת היידוע עשוי להיות מושפע מהדרישות לשם קבלת ההסכמה – לדוגמא, האם איסוף המידע הכרחי לצורך המטרה, ובמידה לא – מהי יכולת נושא המידע להתנגד לאיסוף המידע, מהי מערכת היחסים בין הצדדים (לדוגמא ספק – לקוח, מעסיק – מועסק וכדומה).הרשות אף מרחיבה את לשון סעיף 11, וממליצה כי היידוע יכלול מידע נוסף כגון אופן שמירת המידע, זהות מורשי הגישה, זכויות נושא המידע וכדומה. כמו כן, במידה והמידע מועבר לספקי מיקור חוץ אשר יעשה שימוש שונה ו/או נוסף במידע – יש ליידע על כך את נושא המידע.
- לעניין שפת היידוע – יש לנקוט בשפה ברורה ונגישה. כלומר – יש להימנע מניסוחים ו/או מונחים אשר אינם ברורים לאדם הסביר הרלוונטי. בפרט – כלל שהפנייה הינה לציבור מובחן (מבחינת גיל, מוצא וכדומה), יש לבצע התאמות לעניין שפת היידוע.
- לעניין סוג המידע – יש לבחון את רגישותו, כאשר היקף חובת היידוע יושפע מרגישות זו.
לעניין חובת היידוע במסגרת שימוש במערכות לקבלת החלטות מבוססות אלגוריתם או בינה מלאכותית:
במסגרת גילוי הדעת, מפרטת הרשות את הסיכונים לפרטיות הטמונים לגישתה בעיבוד מידע אישי במסגרת החלטות מבוססות אלגוריתמים ובינה מלאכותית, ובין היתר, כי עיבוד המידע נעשה באופן שאינו שקוף דיו, ללא פירוט והסבר בדבר אופן פעולת האלגוריתם, הקריטריונים שהוגדרו לו, והמידע המוזן אליו ובנוסף, כי לאלגוריתמים במערכות אלו היכולת לשנות את הקריטריונים והנסיבות שעל בסיסם הם מקבלים החלטות, וזאת בין היתר, על סמך החלטות קודמות או מידע סטטיסטי. הרשות אף הדגישה את רגישות השימוש במערכות מסוג זה לצורך קבלת החלטות להן השפעה מהותית על נושא המידע, כגון על יד חברות ביטוח לצורך קביעת פרמיות.
הרשות מדגישה את הקשר הישיר בין תוקף ההסכמה מדעת להיקף ותוכן חובת היידוע בפרט לעניין שימוש במערכות אוטומטיות לאור הקושי הקוהרנטי בהבנת אופן השימוש במידע האישי אשר פוגע ביכולת נושא המידע לשלוט באופן שימוש זה – כאשר קושי זה, לגישת הרשות, מחדד את הערך שבשיקוף מידע בדבר המערכות ואופן פעולתן, ואת חשיבות ההסבר בדבר תהליך קבלת ההחלטות שלהן.
כמו כן, הרשות מדגישה כי חובת היידוע חלה גם על גורמים האוספים מידע אישי באמצעות מערכות אוטומטיות כאמור וגם על גורמים האוספים מידע אישי לשם שימוש בו במסגרת מערכות שכאלו.
על כן, לגישת הרשות, בנוסף להנחיותיה הכלליות לעיל, בעת שימוש במערכות אוטומטיות כאמור, על היידוע לכלול:
- הסבר מדוע המערכת פעלה והחליטה כפי שהחליטה בנושא מסוים.
- אופן פעולת המערכות האמורות, ככל שהדבר רלוונטי לגיבוש ההסכמה וככל שפירוט זה אפשרי מבחינה משפטית, טכנולוגית, ומסחרית, תוך ביצוע איזון אינטרסים ראוי.
- הסבר על אודות פרטי המידע בהם עשויות המערכות להשתמש במסגרת השימוש במידע האישי הנוגע אליו, והמקור של פרטי מידע אלו.
לאור האמור לעיל, המלצתינו לארגונים היא לבחון את מדיניות הפרטיות הנוכחית שלהם (ביחס לכל סוגי נושאי המידע – עובדים, משתמשים, לקוחות וכדומה) ולוודא הלימה לדרישות לעיל. בפרט – יש לבחון את היקף המידע, נגישותו והיכולת להבין את המידע, מועד הצגתו לנושא המידע, וכן, אופן ההסבר הניתן לנושא המידע במידה ונעשה שימוש במערכות מבוססות אלגוריתמים ובינה מלאכותית לצורך קבלת החלטות.
תכליתו של עדכון זה להציג חידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.
צוות APM לפרטיות ואבטחת מידע.