17 באוגוסט, 2022
לאחרונה, פרסמה הרשות להגנת הפרטיות את עמדתה בנושא חובת היידוע במסגרת איסוף ושימוש במידע אישי. גילוי הדעת שפרסמה הרשות מציג את פרשנותה לסעיף 11 לחוק הגנת הפרטיות, תוך דגש על שקיפות מול נושאי המידע וקבלת הסכמתם המודעת למסירת המידע על אודותיהם. חידוש חשוב שיש בפרסום נוגע לפרטי היידוע הנדרש, מקום בו יעשה שימוש במידע באמצעות מערכות לקבלת החלטות מבוססות אלגוריתמים או בינה מלאכותית.
חובת היידוע מעוגנת בסעיף 11 לחוק הגנת הפרטיות, אשר קובע כי פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצוינו בה אם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו; המטרה אשר לשמה מבוקש המידע; למי יימסר המידע ומטרות המסירה.
לעמדת הרשות, חובת היידוע כאמור בסעיף 11 חלה כל עת שאיסוף המידע על נושא המידע נעשה על בסיס פניה לאותו אדם, בין אם המידע נאסף בהתאם להסכמתו של האדם נושא המידע ובין אם המידע נאסף מכוח הסמכה שבדין. העובדה שהאדם מחויב לפי החוק למסור את המידע לצורך מאגר מידע, אינה פוטרת מהצורך ליידע אותו אודות האיסוף. הרשות מבהירה כי חובה זו חלה גם כאשר הפניה לאדם לקבלת מידע אודותיו נעשתה בעקבות בקשתו לקבלת שירות מסוים (לדוגמה, כאשר אדם מזין את פרטיו באתר אינטרנט על מנת להזמין מוצר מסוים לביתו).
הסכמה מדעת
לפי סעיף 3 לחוק הגנת הפרטיות, הסכמה צריכה להיות "מדעת". כלומר, בפני נושא המידע צריכה להיות פרוסה התמונה המלאה באשר לאופן איסוף והשימוש במידע אודותיו, טרם ייתן את הסכמתו לאיסוף המידע כאמור.
כך, לפי הרשות, היקף היידוע הנדרש מושפע מזהות מבקש המידע; אופי היחסים בין מבקש המידע לנושא המידע; סוג המידע ורגישותו (ובהתאם גם הסיכונים שטמונים בו). כלומר, היעדר יידוע מספק בהתאם לקריטריונים שלעיל, ישליך על תוקף הסכמת נושא המידע למסירת המידע. במילים אחרות, אם היידוע לא נעשה בשפה ובצורה ברורה, פשוטה ונגישה (מבחינת גיל, שפה, מוגבלות וכו'), ולא פירט בצורה מספקת לגבי אופן איסוף המידע והשימוש בו – ההסכמה שנתן נושא המידע עלולה להיות לא תקפה והשימוש במידע עלול להיחשב כהפרה של חוק הגנת הפרטיות.
לנושא זה יש השלכות ישירות על האופן בו מנוסחים מסמכי מדיניות הפרטיות של ארגונים ואנו ממליצים שמסמכים אלה ישקפו בצורה פשוטה וברורה את האופן והמטרות של איסוף ושמירת המידע, וכן את זהות הגורמים הרלוונטיים שאליהם יימסר או יועבר המידע (לפחות באמצעות איפיון סוגי הגורמים דוגמת מערכת דיוור שיווקי, חברת משלוחים וכיו"ב).
חידוש נוסף במסמך הרשות הוא בעמדתה כי כאשר איסוף המידע מתבצע על-ידי צד שלישי במיקור חוץ (כאמור בתקנה 15 לתקנות אבטחת מידע), ואותו צד שלישי עושה שימוש במידע החורג ממטרות השימוש שהוגדרו לנושא המידע – יש ליידע בכך את נושא המידע ולבקש את הסכמתו לכך.
יידוע ביחס לשימוש במערכות לקבלת החלטות מבוססות אלגוריתמים או בינה מלאכותית
חידוש משמעותי בגילוי הדעת שפרסמה הרשות נוגע למערכות מבוססות אלגוריתמים ובינה מלאכותית (AI).
בעידן הדיגיטלי בו אנו חיים, מידע רב נאסף ומעובד באמצעות מערכות לקבלת החלטות מבוססות אלגוריתמים. לעתים המידע שיעובד באמצעים אלה ישמש להחלטות מאד משמעותיות בעלות השלכות רבות כגון קביעת גובה פרמיית ביטוח, קביעת גובה משכנתה שהבנק יאפשר וכיו"ב. משכך, ייתכן מצב בו האלגוריתם שמעבד את המידע אינו שקוף לנושא המידע וקבלת ההחלטות כאמור נעשית ללא יידוע מספק של נושא המידע, כך שהוא אינו יכול להבין באמת את משמעות העיבוד האוטומטי של המידע שיימסר על ידיו, מה נעשה עם המידע שיעובד אודותיו, למי יימסר, לאיזו מטרה וכיצד. לפי עמדת הרשות, מצב זה פוגע ביכולתו של נושא המידע לשלוט במידע שייאסף אודותיו, וכתוצאה מכך, גם יכולתו לתת הסכמה מדעת למסירת המידע לצרכים לגביהם הוא משמש בסופו של דבר נפגמת.
לאור זאת, הרשות מדגישה כי על גורמים האוספים מידע אישי באמצעות מערכות מבוססות אלגוריתמים ובינה מלאכותית ליידע את נושאי המידע כבר בשלב איסוף המידע ולספק להם נתונים על אודות אופן פעולת המערכות (אם הדבר רלוונטי לגיבוש הסכמה למסירת מידע למערכות כאלה), מטרות השימוש במידע ולמי יימסר המידע.
לפיכך, ובהינתן הפרשנות המרחיבה של הרשות לסעיף 11 לחוק הגנת הפרטיות, אנו ממליצים לכל ארגון להיערך ולבחון, בין היתר, האם כלים מבוססי אלגוריתמים בהם נעשה שימוש נופלים תחת קטגוריה זו וכיצד יש ליידע את נושאי המידע בהתאם לאמור לעיל. אנו לרשותכם בכל שאלה או הבהרה בעניין מזכר זה.
הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.
בכל שאלה או הבהרה בנושאים המפורטים במזכר זה, ניתן לפנות לאנשי הקשר שלכם במשרדנו או ל: