הרשות להגנת הפרטיות: חובת יידוע במסגרת איסוף ושימוש במידע אישי
מאת:
מערכת Telecom News, 31.7.22, 17:52
המסמך מציג את פרשנות הרשות לסעיף 11 בחוק הגנת הפרטיות ברמה הכללית, תוך התייחסות לחובת יידוע במסגרת הליך קבלת הסכמה, וליידוע במסגרת שימוש במערכות לקבלת החלטות מבוססות אלגוריתם או בינה מלאכותית.
חובת היידוע נובעת בראש ובראשונה מכוח הוראות סעיף 11 לחוק הגנת הפרטיות, התשמ"א-1981 (להלן: 'חוק הגנת הפרטיות' או 'החוק'). סעיף זה קובע כי פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצוינו בה המטרה אשר לשמה מבוקש המידע; למי יימסר המידע ומטרות המסירה; והאם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו.
המסמך מבהיר כי חובת היידוע הקבועה בסעיף 11 לחוק הגנת הפרטיות חלה בכל מקום בו איסוף מידע אישי על אודות אדם נעשה על יסוד פנייה אליו, וזאת בין אם המידע נאסף מכוח הסכמת נושא המידע, ובין אם איסוף המידע נעשה מכוח הסמכה שבדין.
הרשות מבהירה כי איסוף מידע מאדם ושימוש בו ללא יידוע מספק של נושא המידע משליך על תוקף ההסכמה מדעת, ועשוי להוות הפרה של הוראות חוק הגנת הפרטיות. הרשות מציינת שככל שהמידע הנאסף הוא רגיש במיוחד (כגון מידע ביומטרי), ובנסיבות בהן קיים חשש אינהרנטי כי הסכמת נושא המידע עלולה להיות מוגבלת, רצוי כי חובת היידוע תהיה אף רחבה יותר מהקבוע בסעיף 11 לחוק.
המסמך מדגיש הנחיות והמלצות, המובאות כאן, בתמצית בלבד:
חובת היידוע הקבועה בהוראות סעיף 11 לחוק הגנת הפרטיות חלה בכל מקום בו איסוף מידע אישי על אודות אדם נעשה על יסוד פנייה אליו, וזאת בין אם המידע נאסף מכוח הסכמת נושא המידע, ובין אם איסוף המידע נעשה מכוח הסמכה שבדין. חובה זו חלה גם כאשר הפנייה לאדם לקבלת מידע נעשתה בעקבות בקשתו של אותו אדם לקבלת שירות מסוים.
על-פי הוראות סעיף 11, גורם המבקש לאסוף מידע אישי מאדם צריך לפרט, בעת הפניה לאותו אדם, איזה מידע ייאסף עליו, למי המידע עשוי להיות מועבר, ולשם איזו מטרה.
ככלל, איסוף מידע מאדם ושימוש בו ללא יידוע מספק של נושא המידע, משליך על תוקף ההסכמה מדעת, ועלול להוות הפרה של הוראות חוק הגנת הפרטיות. במצבים בהם חובת היידוע מיושמת כחלק מהליך קבלת ההסכמה מדעת, היקפה של חובת היידוע עשוי להיות מושפע מהדרישות לשם קבלת ההסכמה. כך, נתונים שונים כגון זהות מבקש הבקשה, אופי מערכת היחסים שלו עם נושא המידע ומידת יכולתו של נושא המידע להתנגד לבקשה, וכן סוג ורגישות המידע, עשויים להביא להרחבה של חובת היידוע הנדרשת.
היידוע צריך להיות בשפה ברורה, פשוטה ונגישה, להינתן בד בבד עם הפניה לאדם, ומומלץ כי יכלול פירוט בדבר אופן שמירת המידע (כגון זהות מורשי הגישה למידע), ובדבר זכויותיו של נושא המידע. ככל שהשירות מופנה לציבור מובחן מבחינה מסוימת (כגון גיל, ארץ מוצא או מוגבלות), חשוב ששפת היידוע תהיה מותאמת, ככל האפשר, והדבר יכול להשליך גם על תוקף ההסכמה מדעת.
עם זאת יובהר כמובן שבמצב בו קיימים הסדרים חוקיים או רגולטוריים סותרים בנוגע לאופן יישום חובת היידוע בנסיבות ספציפיות או ביחס לגורמים ספציפיים (כגון בנקים וכו'), הסדרים אלו עשויים לגבור, ואפשר שיהיה על הגורמים הרלוונטיים לפעול לפיהם.
ככל שהמידע הנאסף הוא רגיש במיוחד (כגון מידע ביומטרי) ובנסיבות בהן קיים חשש אינהרנטי כי הסכמת נושא המידע עלולה להיות מוגבלת, רצוי לכלול במסגרת היידוע פרטים נוספים הנוגעים לאיסוף המידע, ולאופן ומטרות השימוש בו.
כאשר בעל מאגר מתקשר עם גורם חיצוני לצורך קבלת שירות במסגרת 'מיקור חוץ' בהתאם להוראות תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: 'תקנות אבטחת מידע'), והגורם החיצוני מבקש להשתמש במידע האישי שנאסף על-ידו במסגרת מתן השירות למטרות השונות ממטרת השירות המקורי, על הגורם החיצוני ליידע את נושא המידע על כך, ולבקש את הסכמתו.
בהקשר של מערכות אוטומטיות (
AI), הרשות מציינת כי:
כאשר איסוף המידע נעשה באמצעות מערכות אוטומטיות (כגון "בוטים") יש לוודא כי במסגרת זו יוצגו לנושא המידע כל הפרטים הנדרשים בהתאם להוראות סעיף 11 לחוק.
כאשר עיבוד המידע נערך באמצעות מערכות אוטומטיות - על הליך היידוע לפרט על אופן פעולת המערכות האמורות, ככל שהדבר רלוונטי לגיבוש ההסכמה וככל שפירוט זה אפשרי מבחינה משפטית, טכנולוגית, ומסחרית.
מומלץ כי יוסבר לנושא המידע על אודות פרטי המידע בהם עשויות המערכות להשתמש במסגרת השימוש במידע הנוגע אליו, והמקור של פרטי מידע אלו.
יובהר כי אין באמור במסמך זה בכדי לומר כי חובת היידוע מחייבת לחשוף את כלל הפרטים והנתונים הנוגעים לאיסוף ולשימוש במידע אישי. יתכנו מצבים בהם חשיפה שכזו תהיה בלתי אפשרית או מנוגדת לתכליות חוקיות או לאינטרסים לגיטימיים אחרים. במצבים שכאלו על הגורם המבקש לאזן בין האינטרסים השונים. עליו לבחון כיצד הוא מספק לנושא המידע את הנתונים המרכזיים הנוגעים לאיסוף המידע והשימוש בו (כגון נתונים שבלעדיהם אין לנושא המידע אפשרות להעניק הסכמה מדעת לאיסוף), תוך הימנעות מחשיפת נתונים אותם אין באפשרותו לחשוף.
יש לזכור כי היקף הפירוט במסגרת עמידה בחובת היידוע הוא תלוי הקשר. בנסיבות בהן איסוף המידע והשימוש בו כרוכים בפגיעה משמעותית בפרטיות, או כאשר ניתן להניח שנושא המידע עשוי שלא להיות מודע לעצם איסוף המידע או להשלכותיו, יש להקפיד כי היידוע יוצג באופן נקודתי אך מקיף ככל האפשר.