עברית
English
Français
Deutsch
Русский
Español
简体中文
日本語
Dutch
Türkçe
שפה
עברית
English
Français
Deutsch
Русский
Español
简体中文
日本語
Dutch
Türkçe
דף הבית
אודותינו
בקצרה
נוכחות גלובלית
פרו בונו
תחומי התמחות
הצוות
חדשות ועדכונים
חדשות ועדכונים
עדכוני לקוחות
דירוגים
בלוג
הצטרפו אלינו
צור קשר
© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

עדכוני לקוחות
2 מרץ 2025
מאת אבישי קליין
ליאב שפירא
         
אינטרנט
בנקאות ומימון
דיני עבודה
הייטק
ליטיגציה
לקוחות פרטיים
עמותות
מיסוי
משפט סביבתי
נדל"ן
רגולציה
שוק הון
תאגידים
תחרות והגבלים עסקיים
תשתיות

שינוי מהותי בהגדרת המונח “הסכמה” בעיבוד מידע אישי

הרשות להגנת הפרטיות פרסמה טיוטת גילוי דעת חדשה המציגה שינוי משמעותי בפרשנות ובדרישות לקבלת הסכמה לצורך עיבוד מידע אישי. בעוד שלפי נוסח החוק היבש, ניתן להסתמך על הסכמה מכללא או הסכמה משתמעת, כעת הרשות מבהירה כי יש לתעדף הסכמה מפורשת, מודעת וחופשית.

 

הרשות שמה דגש נרחב על דרישת סעיף 11 לחוק, אשר לאחרונה עודכן והורחב במסגרת תיקון מס’ 13 לחוק הגנת הפרטיות, המייצג את עקרון היידוע והשקיפות הנדרש בעת איסוף מידע אישי מנושא מידע.

 

במסגרת גילוי הדעת, מנגנונים קיימים לאיסוף “הסכמה” כגון תיבות סימון מסומנות מראש, הודעות כלליות על שימוש במידע, או הסקה משתמעת של הסכמה מאופן השימוש במוצר או בשירות עשויים להיחשב “הסכמה חשודה”. במקרים כאלה, בעל השליטה במידע ידרש להוכיח כי ההסכמה ניתנה מדעת ולנמקה, ותוך הבנה מלאה של נושאי המידע בנוגע למטרות איסוף המידע והשימוש בו, ולהצדיק את מידת תקפותה.

 

מה השינויים המרכזיים?

  • הגבלת ההסתמכות על הסכמה מכללא (הסכמה שאינה מפורשת)

לפי גילוי הדעת החדש,היעדר התנגדות או חוסר פעולה מצד הלקוח או המשתמש לא ייחשבו כהסכמה תקפה. עסקים לא יוכלו להניח כי אדם מסכים לעיבוד המידע רק משום שלא התנגד באופן פעיל. כתוצאה מכך, נדרשת העדפה ברורה של מנגנוני  Opt-In, כלומר, אישור אקטיבי ומודע של נושא המידע, במיוחד במקרים של איסוף מידע רגיש או במצבים בהם קיים פער כוחות מובנה בין הצדדים. בנוסף, כאשר מדובר באיסוף מידע שאינו הכרחי למתן השירות, כגון פרופיילינג ושיווק מותאם אישית, לא ניתן יהיה להסתמך על הסכמה פסיבית או כזו המוסקת מהיעדר התנגדות (Opt-out). עסקים יידרשו לקבל הסכמה מפורשת ונפרדת לכל שימוש במידע מעבר למטרה הראשית שלשמה נאסף המידע. יתירה מכך, סעיפי הסכמה גורפים בחוזים לא ייחשבו תקפים, ויהיה צורך לנסח אותם באופן ברור, בולט ושקוף.

  • חיזוק השקיפות וחובת היידוע

הרשות קובעת כי נושא המידע חייב להיות מודע להשלכות השימוש במידע שלו, ועליו להבין את מטרות השימוש, היקף העיבוד, הסיכונים הכרוכים בכך וזכותו לסרב. על מבקש ההסכמה לספק את המידע הרלוונטי באופן ברור, נגיש ופשוט להבנה, תוך דגש מיוחד על אוכלוסיות פגיעות כמו קטינים ואנשים עם מוגבלויות.

  • התמודדות עם פערי כוחות והסכמות “חשודות”

במקרים בהם קיים חוסר איזון מהותי בין הצדדים, כמו יחסי מעסיק-עובד, ספק שירות חיוני-צרכן או גוף ציבורי-אזרח, מבקש ההסכמה יידרש להוכיח כי היא ניתנה באופן חופשי ולא כתוצאה מלחץ או היעדר חלופה ריאלית. בנוסף, הרשות מדגישה כי הסכמות שהושגו באמצעות “Dark Patterns” (טכניקות עיצוב ממשק המטעות את המשתמשים לתת הסכמה בניגוד לרצונם או ללא ידיעה אמיתית של תוכן ההסכמה), עשויות להיחשב כבלתי תקפות.

  • חזרה מהסכמה

הרשות מבהירה כי יש לאפשר לנושא מידע שנתן את הסכמתו לחזור בו מהסכמתו, ככל הניתן, בכל עת, ויש לאפשר לו לעשות זאת באופן נוח, פשוט ונגיש. הרשות דורשת כי עסקים יתייחסו בחיוב לבקשות מסוג זה, במיוחד כאשר המשך עיבוד המידע עלול לפגוע בפרטיותו של האדם.

 

השלכות על עסקים וארגונים

החמרת דרישות ההסכמה מחייבת סקירה והתאמה של תהליכי עיבוד מידע אישי בחברות, במיוחד ביחס לחברות להן קשר ישיר עם משתמשים/ לקוחות (B2C). חברות שלא יתאימו את המנגנונים שלהם עלולים להיחשף לסנקציות רגולטוריות ולסיכונים משפטיים, לרבות:

  • פיקוח ואכיפה מצד הרשות להגנת הפרטיות, כולל דרישות לשינוי מדיניות והליכי עיבוד מידע.
  • ביטול או התליית רישום מאגרי מידע במקרה של הפרות חמורות.
  • קנסות מנהליים ועיצומים כספיים על עיבוד מידע ללא הסכמה תקפה.
  • תביעות פרטיות מצד נושאי מידע אשר יוכלו לדרוש פיצוי בגין הפרת זכויותיהם.

 

המלצות ללקוחות

כדי להיערך לשינויים ככל שההנחיה תתקבל ולהימנע מחשיפה משפטית ורגולטורית, מומלץ לבצע סקירה ועדכון מקיף של תהליכי קבלת ההסכמה, לרבות:

  • מיפוי תהליכי קבלת ההסכמה הקיימים– איתור צמתים בהם נאספת הסכמה לקבלת מידע אישי ולשימוש בו ובחינת אופן היידוע והפירוט הנדרשים על מטרות השימוש במידע, או צמתים בהם נאסף מידע אישי וכלל לא נאספת הסכמה על כך.
  • בדיקת התאמה לטיוטת הנחיות החדשות – ווידוא שההסכמה ניתנת במפורש ומדעת, וכי רק בנסיבות המתאימות ניתן לאסוף את ההסכמה באופן משתמע, בהתאם לנסיבות איסוף ההסכמה ורמת מודעות נושא המידע להשלכותיה, בין היתר תוך התייחסות לרגישות המידע הנאסף וליחסי הכוחות בין אוסף ההסכמה לבין נושא המידע.
  • עדכון מדיניות פרטיות והסכמים – התאמת מסמכי מדיניות פרטיות, תקנונים והסכמים מסחריים כך שיכללו מנגנוני הסכמה מפורטים, ברורים, שקופים ומובנים.
  • בחינת יישום מנגנון חזרה מהסכמה – גיבוש תהליך ברור ופשוט שיאפשר לנושאי מידע לחזור בהם מהסכמתם בכל עת, במצבים בהם אין הצדקה ממשית להמשך שמירת המידע או עיבודו.
  • הדרכת עובדים ומנהלים – העלאת והבטחת מודעות ארגונית לדרישות החדשות, או רענון פרקטיקות קיימות, כדי לחזק אמצעי יידוע ושקיפות מול נושאי מידע שונים, הן לקוחות ומתמשי קצה, הן עובדים וכיו”ב.

סיכום

הרשות להגנת הפרטיות מבקשת לקבוע סטנדרט מחמיר יותר להגדרת הסכמה תקפה לעיבוד מידע אישי, בשאיפה להתקרב יותר לדרישות המקבילות בדין האירופי (GDPR). בעוד שהדבר מטיל חובות מוגברות על עסקים וארגונים, הוא גם מחדד את הצורך ביצירת פרקטיקות, הגברת מודעות, וגיבוש מדיניות פרטיות שקופה והוגנת – פנים ארגונית וכלפי חוץ.

לידיעתכם, גילוי הדעת פורסם ועומד כעת פתוח להערות הציבור עד לתאריך 24.3.25. אנו עומדים לרשותכם לייעוץ והכוונה לכל שאלה בנושא.

 

***

ד”ר אבישי קליין הוא שותף במשרד ברנע ג’פה לנדה ועומד בראש מחלקת הפרטיות, הסייבר והבינה המלאכותית במשרד.

עו”ד ליאב שפירא הוא עורך דין בכיר במחלקה.

תגיות: הרשות להגנת הפרטיות | מידע אישי