חובת היידוע במסגרת איסוף ושימוש במידע אישי
אם אתם עסק, ארגון, עמותה, חברה או גוף אחר שאוסף ועושה שימוש במידע אישי, חשוב מאד שתכירו את חובת היידוע לפי חוק הגנת הפרטיות. בקצרה, החובה נוגעת לכל מי שאוסף מידע אישי על לקוחות, עובדים, ספקים או אחרים. כלומר, אף אם אתם אוספים מידע לניוזלטר, רשימת לקוחות שמקבלים SMS, אתם חייבים בחובת היידוע. קל וחומר אם אתם מעסיקים שאוספים מידע על עובדים, חברת היי-טק שאוספת מידע על משתמשים וכן הלאה.
ממש השבוע (יולי 2022), פרסמה הרשות להגנת הפרטיות מסמך חשוב בנושא חובת היידוע בעת איסוף מידע אישי. המסמך מציג את עמדת הרשות, והפרשנות שלה באשר לחובת היידוע.
כרקע לדברים, יש להזכיר כי חוק הגנת הפרטיוץ בישראל מתיר איסוף ושימוש במידע אישי במצבים הבאים:
- אם אדם הסכים לכך, במפורש או במשתמע.
- אם איסוף המידע נעשה מכוח הסמכה שבדין.
לצד זאת, סעיף 11 לחוק הגנת הפרטיות קובע כי כאשר פונים לאדם לשם קבלת מידע, יש ליידע אותו במספר נתונים:
- לאיזו מטרה נמסר המידע על ידיו?
- למי יימסר המידע שנאסף ולאילו מטרות?
- האם חלה על מוסר המידע חובה חוקית למסור את המידע?
נדגיש כי עמדת הרשות להגנת הפרטיות היא, שחובת היידוע חלה, גם כאשר אדם מוסר מידע בעקבות בקשה לקבל שירות או מוצר. (למשל כאשר אדם רוכש מוצר באינטרנט ומוסר לצורך כך פרטים אישיים מזהים כגון כתובת וכו').
חובת היידוע לפי חוק הגנת הפרטיות – מדוע חשובה כל כך?
הזכות לפרטיות היא במובן מסוים זכות 'אמורפית'. הגבולות שלה אינם ברורים.
כאשר נגרם נזק לרכוש, מזמינים שמאי, וניתן בקלות יחסית להגדיר את הנזקים. לעומת זאת, כאשר מופרת הזכות לפרטיות, לא בהכרח קל לאמוד ולכמת את הנזקים שנגרמים. בנוסף, לעיתים הנזקים ייגרמו רק לאחר תקופה ארוכה, או בכלל לא.
בשל אופיה הייחודי של הזכות, חשוב שאיסוף מידע ייעשה בצורה מודעת וגם שקופה. כך מתאפשר לאנשים להיות ערים ומודעים לשימוש שייעשה במידע. כמו כן הם יכולים לפקח ולבקר את השימוש. הפיקוח והבקרה מאפשרים שליטה מסוימת, וזהו אלמנט עיקרי בדיני הפרטיות.
כיצד מתקבלת הסכמה של אדם לאיסוף המידע?
לפי סעיף 3 לחוק, על ההסכמה להיות 'מודעת'. כדי שאדם יהיה מודע ויקבל החלטה מושכלת, צריכים להיות בפניו מלוא הנתונים באשר לאיסוף המידע. היקף הנתונים שיש לגלות תלוי בנסיבות העניין.
הרשות להגנת הפרטיות מציעה מספר קריטריונים לשאלה מה ההיקף הגילוי הדרוש:
- זהות מבקש המידע
- אופי היחסים בין הצדדים
- הסיכונים שטמונים באיסוף ושימוש במידע
- רגישות המידע
במילים אחרות:
אם היידוע אינו מספק, הסכמה שנתן אדם עלולה להיות לא תקפה. במקרה כזה איסוף ושימוש במידע עלולים להחשב הפרה של חוק הגנת הפרטיות.
דגשים של הרשות להגנת הפרטיות בנושא חובת יידוע במערכות לאיסוף מידע וקבלת החלטות מבוססות אלגוריתם
תיאור הבעיה:
בעידן הדיגיטלי איסוף, עיבוד ושימוש במידע נעשה בין היתר על ידי אלגוריתמים.
לעיתים האופן שבו האלגוריתם מעבד את המידע אינו שקוף, ולא מוסבר לאדם שמוסר את המידע.
כך למשל, אלגוריתמים עלולים לעבד נתונים באופן שיוצר בעיות של הטיה ואפליה. ( למשל כאשר חברת ביטוח תחשב גובה פוליסה תוך שהיא משקללת נתונים כמו מגדר, מקום מגורים, גזע, גיל וכיוב').
לכן, עמדת הרשות להגנת הפרטיות היא שבמקרים כאלו, יש ליידע את מוסר המידע, כך שהוא יוכל להבין- מה נעשה עם המידע שנוגע אליו ולאילו מטרות. אחרת, עלולה להיגרם הפרת הפרטיות.
דגשים של הרשות להגנת הפרטיות בנושא חובת יידוע במערכות לאיסוף מידע וקבלת החלטות מבוססות בינה מלאכותית:
מערכות כאלו מעבדות מידע באופן עצמאי ומשתנה. האלגוריתמים אף מסוגלים לשנות את אופן עיבוד מידע תוך כדי פעולה. על כן, אופן הפעולה שלהם אינו שקוף לנושאי המידע. האדם שמוסר את המידע –
- אינו מבין איזה מידע נאסף
- איזה מידע עובד?
- לאיזה מטרות?
בדומה לדוגמא הקודמת, השליטה שלו במידע אבדה, ועשויה להיגרם הפרה.
גם כאן, יש ליידע את מוסר המידע, כך שהוא יוכל להבין- מה נעשה עם המידע שנוגע אליו ולאילו מטרות.
לסיכום חלק זה,
חובת היידוע לפי סעיף 11, חלה גם כאשר איסוף המידע נעשה על ידי מערכות מבוססות אלגוריתם ומערכות בינה מלאכותית, וגם כאשר נאסף מידע לצורך שימוש במערכות כאלו.
במקרים אלו על אוסף המידע ליידע במפורש את נשוא המידע, כפי שתואר למעלה.
דגשים נוספים לחובת היידוע:
- על הידוע להיות בשפה ברורה, פשוטה ונגישה. מומלץ אפילו להנגיש באופן גרפי.
- היידוע צריך להיות בעת הפניה לאדם למסירת המידע.
- מומלץ לכלול פירוט בדבר אופן שמירת המידע.
- מומלץ לציין את זכויותיו של נושא המידע.
- אם המידע הנאסף רגיש במיוחד (למשל ביומטרי) – רצוי להרחיב בנוגע לסוג השימוש במידע.
- אם המידע מועבר לצד ג' – יש לעשות זאת בהסכם לפי סעיף 15 לחוק הגנת הפרטיות, ומומלץ להתייעץ עם עו"ד.
- לסיכום, נזכור כי יש לאזן את הזכות לפרטיות עם ערכים ואינטרסים אחרים. לכן לא חייבים לכלול בהודעה את מלוא הפרטים והנתונים בקשר לאיסוף המידע, אלא יש לאזן בין האינטרסים.
לסיכום,
אם אתם אוספים מידע אודות אנשים, במסגרת עיסוקכם או במסגרת כל פעילות שהיא, חשוב לקבל ייעוץ משפטי בתחום הגנת הפרטיות ואבטחת המידע. משרדי עוסק בתחום הגנת הפרטיות ואבטחת מידע, והנכם מוזמנים ליצור קשר.
למאמר בנושא מדיניות פרטיות
לקריאה בנושא "הגנת הפרטיות -עצות משפטיות להתנהלות נכונה "
למאמר בנושא הגנת הפרטיות במוסדות תרבות ואמנות
המידע במאמר מהווה סקירה והעשרה. התוכן אינו מהווה ייעוץ משפטי ואין להסתמך עליו ככזה. כמו כן, עלולים ליפול בתוכן הדברים טעויות ו/או אי דיוקים, וכן תוקף הדברים עשוי להשתנות בהתאם לשינויים בדין או בעמדת הרשות להגנת הפרטיות.
Photo by Jason Dent on Unsplash