רשות הגנת הפרטיות מחדדת את היקף חובת יידוע במסגרת איסוף ושימוש במידע אישי
הרשות להגנת הפרטיות פרסמה לאחרונה את עמדתה בעניין חובת יידוע במסגרת איסוף ושימוש במידע אישי. מדובר בעמדה חשובה אשר מחדדת את האופן בו יש לעצב את הממשק עם הלקוח במסגרתו הוא נדרש למסור מידע. הפרסום שם דגש מיוחד על חובת יידוע כאשר נעשה שימוש במערכות לקבלת החלטות מבוססות אלגוריתם או בינה מלאכותית (AI).
חובת היידוע
חובת היידוע לאיסוף ולשימוש במידע אישי נובעת מהוראות סעיף 11 לחוק. לפי הסעיף, פניה לאדם לקבלת מידע לשם החזקתו או לשם שימוש בו במאגר מידע תלווה בהודעה שיצוינו בה:
- המטרה אשר לשמה מבוקש המידע.
- למי יימסר המידע ומטרות המסירה.
- האם חלה על האדם המוסר את המידע חובה חוקית למסירת המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו.
החובה חלה בין אם האיסוף והשימוש נעשים מכוח הסכמת האדם ובין אם האיסוף והשימוש במידע נעשה מכוח הדין. בנוסף, חובת הידוע חלה באותה מידה כאשר איסוף המידע הוא כתוצאה מפנית אדם לקבלת השירות ולא ביוזמת ספק שירות.
הסכמה מדעת
הסטנדרט שנקבע ליידוע הוא סטנדרט של הסכמה מדעת. כלומר, נדרש הסבר המאפשר לאדם מוסר המידע להבין את מטרות האיסוף והשימוש ולהסכים להן. היקף היידוע הנדרש נגזר מהקשר בין הצדדים, למשל יידוע לקוח מול יידוע עובד, סוג השירותים אותם מקבל האדם, רגישות המידע וכדומה. העדר יידוע מספיק משליך על תוקף ההסכמה. במילים אחרות – אם ההסבר לא נמסר בשפה ברורה, המבהירה את אופן איסוף המידע, השימוש במידע לאורך זמן, אופן שמירת המידע וזכויות האדם שלגביו המידע נאסף, המותאמת ככל האפשר לגיל או לארץ המוצא של האנשים, ייתכן ואין תוקף להסכמה שניתנה.
לקביעה זו ישנה השלכה מיידית על האופן בו מנוסחים מסמכי מדיניות הפרטיות והגילוי. כמו כן, יש לה השלכה על האופן בו נמסר מידע בעל-פה, בהינתן שההסכמה היא הבסיס לעיבוד מידע, מקום בו לא קיימת חובה חוקית למסור את המידע.
הרשות אף מדגישה כי כאשר האיסוף נעשה על ידי צד שלישי במיקור חוץ, יש לוודא כי היידוע לגבי איסוף המידע כולל את כל מטרות שימוש, כולל מטרות עשויות לחרוג ממטרות השימוש המקורי. הדבר צריך לקבל ביטוי בהסכמים מול אותו צד שלישי.
שימוש במערכות מבוססות אלגוריתם או בינה מלאכותית
כאשר איסוף מידע אישי מתבצע על ידי מערכות לקבלת החלטות מבוססות אלגוריתמים ובינה מלאכותית, דוגמת בוטים בצ'טים, הרשות מדגישה כי פעמים רבות האיסוף נעשה ללא יידוע או פירוט מספק והאדם מוסר המידע אינו יכול להבין את מטרת איסוף המידע ואיזה שימוש נעשה במידע אודותיו. בנסיבות אלה, לא יכולה להיות הסכמה מדעת למסירת המידע, נפגעת יכולת מוסר המידע לשלוט במידע ולכן איסוף מידע אישי באופן זה עלול להוות פגיעה בפרטיות. חוסר השקיפות של האלגוריתמים יוצרת סיכון מוגבר לפגיעה בפרטיות ונדרש גילוי על עצם השימוש במערכות אלה.
לפיכך, גורמים האוספים מידע אישי מפרטים באמצעות מערכות אלגוריתמים ובינה מלאכותית נדרשים ליידע את מוסר המידע. עליהם לספק אינפורמציה אודות מטרות השימוש במידע ולמי יימסר המידע כבר בשלב איסוף המידע.
גם כלים מבוססי ווטסאפ או צ'ט בוטים פשוטים עשויים ליפול לקטגוריה זו. לכן על עסקים לתת את דעתם לשימוש בכלים אלה.
עמדת הרשות מחייבת עסקים לבחון את האופן בו עסקים מציגים לאדם המוסר את המידע, את האופן בו הם אוספים, מעבדים ושומרים מידע זה.
***
משרד עורכי דין ברנע ג'פה לנדה עומד לרשותכם בשאלות בנושא פרטיות ואבטחת מידע וסוגיות רגלוטריות אחרות.