הרשות להגנת הפרטיות פרסמה לאחרונה טיוטת גילוי דעת לגבי הסכמה.

המסמך חשוב במיוחד לאור התפקיד המרכזי שיש להסכמה בדיני הפרטיות בישראל ולאור אמירתה המפורשת של הרשות, לפיה גילוי הדעת משקף את הפרשנות שתשמש אותה בהפעלת סמכויותיה. במילים אחרות, הרשות נערכת לתחילת אכיפתו של תיקון 13, ודעתה, כפי שהיא משתקפת במסמך, תתבטא בפעילויות אכיפה מצדה מכוח התיקון.

עמדת הרשות מעוררת מספר קשיים.

בפתיח מסבירה הרשות ש"איסוף ושימוש במידע אישי … הכרוכים בפגיעה בפרטיות יכולים להיעשות מכוח הסמכה בדין או בהסכמת נושא המידע". הרשות לא מסבירה מתי עיבוד מידע כרוך בפגיעה בפרטיות ומתי לא, ומהמשך הדברים אפשר להסיק שבפועל, כל עיבוד מידע מחייב קבלת הסכמה.

בהמשך, בהסתמך על פסיקה ישראלית העוסקת במקרי קיצון של פגיעה בפרטיות (צילום אישה בחוף בנסיבות העלולות להביכה, ופרסומו הצילום, למשל), מצמצמת הרשות את האפשרות להסתמך על הסכמה משתמעת, מבלי לאזן את הצמצום מצידה בהכרה מספקת בהגנות שבסעיף 18 ואילך לחוק.

התוצאה היא הכבדה משמעותית על המקרים הנפוצים ביותר של עיבוד מידע בנאלי, שנכנסים בגדרי בסיסי העיבוד הסטנדרטיים ב – GDPR כמו ביצוע חוזה ואינטרס לגיטימי.

בנוסף, המסמך דוחק לפינה את האפשרות להכיר בהגנות שמנויות בסעיף 18 כבסיסים חלופיים נוספים להסכמה, תוך ניגוד מובהק לתפיסת הבסיסים החוקיים הקיימת ב-GDPR.

המסמך מסלים עוד יותר את הבעייתיות הנובעת מהישענות על הסכמה כדרך חוקית כמעט בלעדית לעיבוד מידע, כאשר הוא "מלביש" על ההסכמה הישראלית מאפיינים של הסכמה אירופאית. כיצד ניתן באופן פרקטי להתבסס על הסכמה אם לדעת הרשות היא נושאת עליה כל כך הרבה דרישות, כמו דרישת הרצון החופשי והחזרה ממנה? כך למשל, כיצד עיבוד מידע לצורך קיום הוראות אבטחת מידע יכול להתבסס על רצון חופשי של נושא המידע? הרי הדבר ייעשה גם ללא רצונו, משום אינטרס לגיטימי של בעל השליטה במידע. ואיך תתכן חזרה מהסכמה במצב כזה? האם ציפייתה של הרשות היא שבעל השליטה במידע לא יעבד מידע על אדם ש"חזר בו" מהסכמתו כדי לעמוד בהוראות אבטחת מידע מסוימות?

לכך מתווספת הבעייתיות הרבה של הרשות בהעדפתה המשתמעת במסמך להסכמה מפורשת על פי הסכמה מכללא. מעבר לעובדה שעמדה מדורגת שכזו אין לה כל אחיזה בדין (שמכיר כאמור בהסכמה מפורשת ומכללא באותה רמת הכרה), היא גם לא אפשרית ליישום. לא נראה למשל ש"הקפצת" בקשה לקבלת הסכמה מפורשת בכל שינוי בעיבוד היא ישימה, ולמען האמת נראה גם שהיא תפריע מאוד לנושאי המידע. ליתר דיוק, באירופה כבר מכנים את המצב הזה כ"consent spam" והבעייתיות שלו ברורה.

הדוגמה שנותנת הרשות בעניין צילום אנשים בקופת חולים מדגישה לדעתנו את הקושי עם הגישה לפיה הסכמה נדרשת לעיבוד מידע, וכי עליה להיות מרצון חופשי. כיצד קופת חולים אמורה לנהל צילום בסניפיה למטרות לגיטימיות כמו אבטחה או מניעת אלימות כלפי עובדיה (תופעה שלצערנו קיימת בישראל), אם היא תאפשר לכל מי שרוצה להיכנס בשעריה להחליט אם הוא מסכים או לא מסכים להיות מצולם?

גם שירות בנקאי הוא שירות בסיסי. האם יש לתת ללקוחות בחירה לגבי השימוש במצלמות אבטחה? ומה לגבי שודד כספות? האם זכותו לדרוש שמצלמות האבטחה יכובו כי אינו מסכים לפגיעה בפרטיותו בעת שהוא פורץ לכספות? ה – GDPR מאזן את הקושי בהשגת הסכמה מפורשת בקיומם של בסיסי עיבוד נוספים, שלגביהם אין צורך בהסכמת נושא המידע כלל. כך למשל, מצלמות אבטחה יפעלו בדרך כלל מכוח "אינטרס לגיטימי", והסכמתו של נושא המידע (תמים או לא) כלל לא נדרשת. למעלה מכך, בסיס העיבוד של "הסכמה" ב – GDPR לא עדיף על בסיס העיבוד האחרים. במילים אחרות, אפילו אם אפשר לקבל הסכמה לעיבוד מסוים שחל לגביו גם בסיס העיבוד של "אינטרס לגיטימי", די בו ואין כל צורך או סיבה לבקש הסכמה.

בדין הישראלי אין בסיסי עיבוד, אבל יש איזונים אחרים: לא כל עיבוד מידע פוגע בפרטיות (ואז אין צורך בהסכמה בכלל); הסכמה יכולה להיות משתמעת ואף כפויה (מידע על שכר יעבור לרשויות המס גם אם העובד מתנגד לכך בתוקף); ואמורות להיות הגנות נרחבות למצבים כמו קיום חובה "חוקית, מוסרית, חברתית או מקצועית", "הגנה על ענין אישי כשר של הפוגע", ו"ביצוע עיסוקו של הפוגע כדין ובמהלך עבודתו הרגיל". הפרשנות הצרה להגנות, ההעדפה הברורה להסכמה מפורשת, וההנחה המובלעת שכל עיבוד מידע פוגע בפרטיות, מפירים כולם את האיזון ועלולים להכביד שלא לצורך על עיבוד מידע רגיל בתכלית.

נפנה את תשומת הלב גם לאמירה של הרשות לפיה עמידה בהוראות סעיף 11 לחוק היא רק מינימום נדרש, שלא מבטיחה גיבוש של הסכמה מדעת.  מובן שיש מצבים שבהם לא יספיק יידוע, אבל קביעה פוזיטיבית כזו ביחס למגוון רחב של מקרים לא נתמכת בלשון החוק. בהקשר הזה אנחנו סבורים כי יש להמשיך ולהכיר ביידוע כבסיס מספק בנסיבות מסוימות, ולהחיל את מבחן הזיקה שמתבטא בהנחיה 2/2017 (שמאוזכרת במסמך), וקובע תנועת מטוטלת לפיה ככל שעיבוד המידע בעל זיקה פחותה לעיבוד המקורי, כך יידרש בסיס חוקי חזק יותר.

הטיוטה פתוחה להערות הציבור עד לתאריך 24.3.2025 בשעה 12:00, בתקווה שהגרסה הסופית תיתן יותר מקום לעיבודי מידע רגילים ויומיומיים.

אנחנו עומדים לרשותכם לכל שאלה,

אייל שגיא, שיר שושני כץ

וצוות מחלקת משפט וטכנולוגיה

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.