הסכמה לעיבוד מידע אישי: גילוי דעת בדיני הגנת הפרטיות והשלכותיו על ארגונים
תקציר
- גילוי דעת של הרשות להגנת הפרטיות – בחודש פברואר פורסמה הגרסה הסופית לגילוי הדעת בנושא קבלת הסכמה לעיבוד מידע אישי בישראל. המסמך משקף את עמדתה של הרשות לגבי התנאים לרכישתה, כהמשך לטיוטה מתחילת 2025 ובתום הליך שיתוף ציבור.
- עמדת הרשות – גילוי הדעת מציג פרשנות מחמירה יותר המתקרבת לסטנדרטים בינ"ל ובפרט ה-GDPR לפיה, ההסכמה נדרשת להיות אקטיבית, מודעת וחופשית, תוך צמצום האפשרות להסתמך על "הסכמה מכללא" הקיימת בחוק.
- השלכות מעשיות – מבחינה פרקטית, מדובר בהחמרת הדרישות מארגונים לקבלת הסכמה (במיוחד בממשקים דיגיטליים), כאשר אי התאמה עשויה להוביל לפיקוח וביקורות וכן לקנסות ועיצומים כספיים. הרשות קובעת בגילוי הדעת סטנדרטים כגון הצגת מידע ברור, פשוט ונגיש; הימנעות משימוש בעיצובים או ניסוחים מטעים; העדפת Opt-in בפרט במידע רגיש; התאמות לאוכלוסיות ייחודיות (לרבות קטינים); התמודדות עם פערי כוחות; ומתן אפשרות נוחה לחזרה מהסכמה בכל עת.
- מבט קדימה והיערכות נדרשת – החמרת דרישות ההסכמה מחייבת ארגונים לבצע סקירה והתאמה של תהליכי עיבוד מידע וקבלת הסכמה, ועדכון ממשקים ומסמכים רלוונטיים כדי לצמצם חשיפה רגולטורית ומשפטית. מומלץ לבצע מיפוי נקודות איסוף הסכמה, לעדכן מדיניות פרטיות והסכמים, להטמיע מנגנון חזרה מהסכמה ולבצע הדרכות פנים-ארגוניות.
בחודש פברואר 2026, פורסם גילוי הדעת הסופי של הרשות להגנת הפרטיות, ומשקף את עמדתה הסופית של הרשות ביחס לשאלה מהי הסכמה תקפה לפי דיני הגנת הפרטיות בישראל, ומהם הכללים לקבלתה – ובפרט בכל הנוגע לקבלת הסכמה בממשקים דיגיטליים (כגון אתרים ואפליקציות).
מסמך זה מתפרסם כהמשך ישיר לטיוטה שפורסמה בתחילת 2025, ולאחר הליך שיתוף ציבור במסגרתו הוגשו הערות המשרד והסתייגויותיו המקצועיות.
על פי הדין בישראל, עיבוד מידע אישי אודות אדם יכול להתבצע מכוח הסמכה בדין או בהסכמת נושא המידע.
בגילוי הדעת מציגה הרשות פרשנות מחמירה יותר המתקרבת לגישה הנהוגה בדין האירופי (GDPR), שלפיה ההסכמה נדרשת להיות אקטיבית, מודעת וחופשית תוך צמצום האפשרות להסתמך על "הסכמה מכללא״ הקיימת בחוק.
מבחינה מעשית, הפרשנות שנקבעה משקפת החמרת הדרישות מארגונים לקבלת ההסכמה ובפרט בממשקים דיגיטליים, כאשר אי-התאמה עלולה להוביל לביקורות, וכן הטלת קנסות ועיצומים כספיים.
עקרון היידוע והשקיפות בעת איסוף מידע
במסגרת גילוי הדעת, הרשות שמה דגש נרחב על דרישת סעיף 11 לחוק, כפי שעודכן והורחב במסגרת תיקון מס' 13 לחוק הגנת הפרטיות, המבטאת את עקרון היידוע והשקיפות הנדרש בעת איסוף מידע אישי מנושא מידע.
הרשות מציגה סטנדרטים לבחינת תוקף קבלת הסכמה, וביניהם, שמה דגש על:
- חיזוק השקיפות וחובת היידוע: נושא המידע חייב להיות מודע להשלכות השימוש במידע שלו, להבין את מטרות השימוש, היקף העיבוד, סוגי המידע הנאסף, סוגי הגורמים אליהם עשוי המידע להיות מועבר, הסיכונים הכרוכים בכך, וכן את זכותו לסרב למסירת המידע.
- אופן הצגת המידע: יש להקפיד כי תוכן ההסכמה והמידע הנלווה לה יוצגו באופן ברור, נגיש, פשוט ומובן. חל איסור על שימוש בטכניקות עיצוב ממשק או ניסוח העלולות להטעות משתמשים לתת הסכמה בניגוד לרצונם (Dark Patterns).
- תוקף ההסכמה "מדעת": תוקף ההסכמה והיקפה תלויים במידע שהוצג בפועל לנושא המידע לפני מתן ההסכמה. כאשר המידע חלקי או לא ברור, עשוי לעלות קושי להסתמך על ההסכמה, והארגון עשוי להידרש להראות כי ניתנו הסברים מספקים.
- העדפת הסכמה אקטיבית (Opt-in): גם במקרים שבהם הסתמכות על הסכמה מכללא אפשרית, הרשות ממליצה שלא להסתפק בה ולפנות לקבלת הסכמה מפורשת, בעיקר כאשר מדובר על מידע רגיש במיוחד או שימושים אשר עשויים להביא לפגיעה משמעותית בפרטיות המשתמש.
- הנגשה לאוכלוסיות ייחודיות: כאשר שירות מופנה בעיקרו לאוכלוסייה בעלת מאפיינים ייחודיים (כגון אנשים עם מוגבלות או קטינים), יש להתאים את אופן הצגת המידע ואת אופן קבלת ההסכמה.
- התמודדות עם פערי כוחות: בנסיבות בהן קיימים פערי כוח משמעותיים (כגון יחסי עבודה, שירות חיוני או מונופולים), הרשות מצפה להראות כי ההסכמה ניתנה באופן חופשי ולא כתוצאה מלחץ או היעדר חלופה.
- חזרה מהסכמה: הרשות מבהירה כי יש לאפשר לנושא מידע לחזור בו מהסכמתו בכל עת, באופן נוח, פשוט ונגיש, וזאת אף שהדבר אינו נדרש מפורשות בלשון החוק הישראלי.
השלכות על עסקים וארגונים
החמרת דרישות ההסכמה מחייבת סקירה והתאמה של תהליכי עיבוד מידע אישי בארגונים, ובפרט בארגונים בעלי קשר ישיר עם משתמשים או לקוחות (B2C). ארגונים שלא יתאימו את ממשקי המשתמש ומנגנוני קבלת ההסכמה לפרשנות המוצגת בגילוי הדעת, עשויים להיחשף לסנקציות רגולטוריות ולסיכונים משפטיים, לרבות:
- פיקוח ואכיפה מצד הרשות להגנת הפרטיות, כולל דרישות לשינוי מדיניות והליכי עיבוד מידע.
- ביטול או התליית רישום מאגרי מידע במקרה של הפרות חמורות.
- קנסות מנהליים ועיצומים כספיים על עיבוד מידע ללא הסכמה תקפה.
- תביעות פרטיות מצד נושאי מידע, לרבות דרישה לפיצוי בגין הפרת זכויותיהם.
המלצות ללקוחות
כדי להימנע מחשיפה משפטית ורגולטורית, אנו ממליצים לבצע סקירה ועדכון מקיף של תהליכי קבלת ההסכמה, לרבות:
- מיפוי תהליכי קבלת הסכמה – איתור הצמתים בהם נאספת הסכמה לקבלת מידע אישי ולשימוש בו ובחינת אופן היידוע והפירוט הנדרשים לגבי מטרות השימוש במידע, או הצמתים בהם נאסף מידע אישי וכלל לא נאספת הסכמה על כך.
- בדיקת התאמה להנחיות החדשות – ווידוא שההסכמה ניתנת במפורש ומדעת, וכי הסתמכות על הסכמה משתמעת תיעשה (אם בכלל) רק בנסיבות המתאימות, בהתאם לרמת מודעות נושא המידע להשלכותיה, בין היתר תוך התייחסות לרגישות המידע הנאסף וליחסי הכוחות בין הצדדים.
- הסכמה בממשקים דיגיטליים (אתרים ואפליקציות) – התאמה למכשירים שונים (מחשב נייד וטלפון חכם), הימנעות מקבלת הסכמה גורפת, הבלטת עיקרי הדברים ושימושים חריגים, שימוש באמצעי המחשה יצירתיים ואינטראקטיביים (סרטוני הסברה, באנרים, תמונות).
- עדכון מדיניות פרטיות והסכמים– התאמת מסמכי מדיניות פרטיות, תקנונים והסכמים מסחריים כך שישקפו את אופן איסוף המידע והשימושים בו בפועל, ויכללו מנגנוני הסכמה מפורטים, ברורים, שקופים ומובנים.
- בחינת יישום מנגנון חזרה מהסכמה – גיבוש תהליך ברור ופשוט שיאפשר לנושאי מידע לחזור בהם מהסכמתם בכל עת, במצבים בהם אין הצדקה ממשית להמשך שמירת המידע או עיבודו.
- הדרכת עובדים ומנהלים – העלאת והבטחת מודעות ארגונית לדרישות העדכניות וחיזוק פרקטיקות יידוע ושקיפות מול נושאי מידע שונים (לקוחות, משתמשי קצה, עובדים וכיו"ב).
מחלקת פרטיות, בינה מלאכותית וסייבר במשרדנו תשמח לסייע וללוות אתכם בהבנת המשמעויות של גילוי הדעת והסיכונים הנובעים מדרישות הרשות, בבחינת השפעתם על פעילותכם ובהיערכות הארגונית הנדרשת לצורך עמידה בסטנדרטים שהוצגו במסמך.
***
ד"ר אבישי קליין – שותף במשרד ברנע ג'פה לנדה ועומד בראש מחלקת הפרטיות, הסייבר והבינה המלאכותית במשרד.
עו"ד ליאב שפירא – שותף במשרד ברנע ג'פה לנדה ובמחלקת הפרטיות, הסייבר והבינה המלאכותית במשרד.