linkedin
להרשמה לניוזלטר
02.03.2025 עדכון לקוחות
מדריך הרשות בעניין טכנולוגיות מגבירות פרטיות (PETs)
אודות תחומי פעילות

עדכון לקוחות – מדריך הרשות בעניין טכנולוגיות מגבירות פרטיות (PETs)

הרשות להגנת הפרטיות פרסמה מדריך לטכנולוגיות מגבירות פרטיות, המוכרות יותר בראשי התיבות PETs –  Privacy Enhancing Technologies.

המונח מתייחס למגוון רחב של טכנולוגיות שמסייעות לעבד מידע בצורה שיוצרת סיכון מופחת לפגיעה בפרטיות.

הרשות מציינת ששימוש בטכנולוגיות מגבירות פרטיות, ובמיוחד שימוש בשיטות שמטרתן לערפל את המידע (כגון טכניקות שונות להתממה), יכול להפוך מידע לכזה שאיננו ניתן לזיהוי במאמץ סביר, ומכאן שהוא יוצא מתחולת דיני הגנת הפרטיות.

"שחרור" מתחולת דיני הפרטיות יכול להוות פתח לשימושים נרחבים במידע אישי למטרות מגוונות, לרבות "מידע אישי בעל רגישות מיוחדת בהיקפים גדולים במיוחד", שיתכן שלא יהיו אפשריות בלי הסכמת נושאי המידע, שבמקרים רבים לא מציאותי לקבלה.

יחד עם זאת, הרשות מכירה בקושי להגיע למסקנה לפיה מידע עונה על הדרישה שלא להיות מזוהה או ניתן לזיהוי במאמץ סביר, מה שמקשה על האפשרות לצאת מתחולת דיני הגנת הפרטיות.

הרשות גם מכירה בקשיים נוספים שקמים לצד היתרונות הרבים בשימוש ב-PETs, כמו למשל קשיים מסוג יצירת הטיות, עומס חישובי, פגיעה בשימושיות, והצורך בידע טכנולוגי בהטמעת הטכנולוגיות הללו בצורה הנכונה והמיטבית לסוג העיבוד ולמטרתו בארגון.

בנוסף לקשיים אלו, הרשות מזכירה גם כי "עצם עיבוד המידע האישי המזוהה בתוך הארגון, לרבות שימוש בטכנולוגיות מגבירות-פרטיות, כפוף כמובן להוראות חוק הגנת הפרטיות". אמירה זו, שהרשות לא מרחיבה לגביה, עלולה להיות חסם משמעותי לשימוש ב-PETs.

אם, לדוגמא, הפיכת מידע לאנונימי לצורך פיתוח מוצר חדש כרוכה בקבלת הסכמה חדשה, וגם פיתוח מוצר חדש על בסיס מידע מזוהה כרוך בקבלת הסכמה חדשה, מדוע שבעל השליטה במידע לא יחסוך לעצמו את העלויות, הסיבוך והמגבלות הכרוכים בשימוש בטכנולוגיות מגבירות פרטיות וישתמש במידע המזוהה? שהרי הסכמה הוא יצטרך לקבל בכל מקרה.

עוד נציין מתוך המדריך את אלה:

  1. הרשות מתייחסת ל-PETs ככלי מתוך סל הכלים של ה-DPO. כלומר שימוש בטכנולוגיות מגבירות פרטיות יכול לסייע לDPO במתן המלצות מצדו לארגון, לצד כלים משפטיים וארגוניים אחרים כחלק מתהליכי בקרה ומעקב בקשר לסיכוני הגנת פרטיות.
  2. ההחלטה על שימוש ב-PETs, שהם חלק מתפיסת עיצוב לפרטיות (Privacy by Design), יכולה להתקבל כתוצאה מביצועו של תסקיר השפעה על הפרטיות ביחס לפעילות מסוימת, או כחלק מהתנהלות שוטפת.
  3. המדריך מונה מספר טכנולוגיות מגבירות פרטיות, תוך חלוקה למחזור חיי המידע, ובכלל זה התייחסות לאמצעים המתאימים לשלבים השונים במחזור חיי המידע  – איסוף המידע ושימוש בו.
  4. הרשות מתייחסת לפסאודונימיזציה ולאגרגציה כדוגמאות להתממה (אם כי נעיר שהמונח "התממה" לפי המדריך שפירסמה הרשות משמעותו אנונימיזציה, ואם זה המצב, אז יש באמירה זו של הרשות אי תאימות עם ה-GDPR, לפיו, כידוע, מידע אנונימי יוצא מהרגולציה, ואילו מידע פסאודונימי ממשיך להיות כפוף אליה).
  5. עוד מעניין לראות את האזכור לדוח הביניים הבין-משרדי, שפורסם להערות הציבור וטרם פורסם נוסח סופי שלו, בעניין שימוש בכלי בינה מלאכותית בסקטור הפיננסי. הדוח (והרשות בעקבותיו) מציינים שאין בהתממה "בהכרח כדי להבטיח הגנה מוחלטת על מידע אישי". אלא שהחוק לא דורש "הגנה מוחלטת", אלא אפשרות לזיהוי "במאמץ סביר". אם הדרישה היא ל"הגנה מוחלטת", מה הטעם בשימוש ב-PETs מלכתחילה, בפרט אם נדרשת קבלת הסכמה נוספת, שיכולה לכסות את השימוש במידע המזוהה והנגיש.

לסיכום, המדריך מנגיש בשפה ברורה טכנולוגיות מגבירות פרטיות שונות. עם זאת, הוא נותר עמום לגבי תחולת חוק הגנת הפרטיות על עצם השימוש בטכנולוגיות מגבירות פרטיות, שמגביר את אי הוודאות לגבי התועלת המשפטית הגלומה בטכנולוגיות אלה.

 

אנחנו עומדים לרשותכם לכל שאלה,

אייל שגיא, שיר שושני כץ, יובל אחיטוב, שיר שפירא פרס וצוות מחלקת משפט וטכנולוגיה

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.