יידוע לצרכי הגנת הפרטיות

חובת יידוע במסגרת איסוף ושימוש במידע אישי

היום (פברואר 2023) אני רוצה להכיר לכם חוות דעת נוספת של רשות הגנת הפרטיות שעניינה "חובת יידוע במסגרת איסוף ושימוש במידע אישי". במאמר זה אסביר את עיקריה ואנסה להוסיף לכם מנסיוני בתחום.

כולנו יודעים שמותר לאסוף מאדם מידע אישי ולהשתמש בו רק בכפוף להסכמה שלו, "מדעת" (או הסמכה שבדין, בניגוד ליתר הבסיסים החוקיים ב-GDPR למשל). אלא שהפסיקה הישראלית (ומסמכי רשות הגנת הפרטיות) כבר הבהירו שלא ניתן לקבל החלטה מדעת, אם טרם לה לא ניתן הליך יידוע מלא, שקוף ונכון.

הרשות, יש לציין, קובעת שחובה זו חלה גם כאשר המידע נאסף לאחר שאותו אדם ביקש מאיתנו לספק לו שירות כזה או אחר.

סעיף 11 לחוק גם מחייב אותנו להודיע למי שאנחנו אוספים ממנו מידע את:

  • המטרה לשמה נאסף.
  • למי ימסר.
  • מה מטרות המסירה לאחר.
  • האם חלה עליו חובה חוקית למסור את המידע או שלא.

בחוק הישראלי אלו הרכיבים היחידים המפורטים בעת פירוט חובת היידוע.

הפסיקה התייחסה מפעם לפעם להיקף חובת היידוע וקבעה (למשל בעניין קלנסווה) שעל האוסף לתת פירוט של מידע מקיף שכולל הרבה מאוד פרטים. לדוגמה: מה המידע שנאסף, כיצד יאסף, היכן ישמר, מי אחראי על השמירה, כיצד יאובטח, כיצד צדדים שלישיים עשויים להתחבר או להחשף אליו ועוד ועוד. כלומר, עברנו מהרשימה המינימלית הקבועה בחוק לרשימה שהפסיקה פירטה בצורה לא מבוטלת והפכה אותה למחייבת.

במיוחד מתחדדת חובה זו, אומרת הרשות, כשמדובר במערכת לאיסוף מידע וקבלת החלטות מבוססות אלגוריתם או בינה מלאכותית. אני אוסיף שבדומה ל-GDPR, החלטות פרופילאיות או נעדרות שיקול דעת אנושי, הן אלמנט ייחודי וחשוב של דיני הגנת הפרטיות ויש להתייחס אליהן בזהירות רבה אף יותר. במיוחד נובע הדבר מחוסר השקיפות המובנה ("קופסה שחורה"). כלומר, חובת היידוע חלה גם על מפעילי בינה מלאכותית האוספים מידע אישי, וזו חובה לא מבוטלת. גם אם המידע הנאסף נעשה למטרות סטטיסטיות (אך לא "הותמם").

אסיים ברשימת ההמלצות של הרשות, להקל עליכם:

  1. קיימת חובת יידוע בכל איסוף של מידע אישי מאדם.
  2. יש חובת פירוט לא מבוטלת של נושאים בעת היידוע של האדם. למשל: איזה מידע נאסף, מי אוסף, מי יחשף אליו, מה מטרות האיסוף, האם יש חובה חוקית לספק את המידע וכדומה נתונים שונים תלויי פניה ספציפית.
  3. העדר יידוע עשוי להפוך את ההסכמה ללא "מדעת", על הנובע מכך בחוק.
  4. שפת הידוע צריך שתהיה "ברורה, פשוטה ונגישה", כשלכל מילה – משמעות רלוונטית משלה. יש להתאים את השפה למאפייני הציבור הרלוונטי.
  5. ביחס למידע רגיש ראוי להרחיב את היקף היידוע ושקיפותו.
  6. במהלך התקשרות עם גורם חוץ יש להזהר כפלים ולפעול בהתאם לחוות הדעת של הרשות ולתקנות אבטחת המידע (למשל תקנה 15). על בעל המאגר מוטלת חובת "אחריותיות" ישירה לוודא שספק מטעמו עומד בדרישות הדין ושהמידע המלא והמדוייק מגיע לידיעת ואישור נשוא המידע.
  7. יש להזהר יותר גם ביחס לפרופיילינג (אפיון אדם בשל תכונותיו האישיות) ולקבלת החלטות ללא שיקול דעת אנושי. למשל יש להרחיב את השקיפות ביידוע בעניין זה.

 

המאמר נכתב בפברואר 2023 ונבדק על ידי עוה"ד יורם ליכטנשטיין.
המאמר הוא מידע כללי שאינו מתעדכן ואין להסתמך עליו בכלך מקרה ספציפי אלא יש להתייעץ עם עו"ד מומחה.