הרשות להגנת הפרטיות פרסמה ביולי 2022 נייר עמדה המתייחס לחובות היידוע המוטלות על בעל מאגר מידע בקשר עם מידע פרטי המוחזק על ידו. במסגרת הדוח, הרשות פירטה על חובת היידוע כחלק מהסכמה מדעת; על איסוף מידע במערכות מבוססות אלגוריתם או בינה מלאכותית; הבחנה בין הסכמה מראש לאיסוף מידע לבין שימוש במידע שנאסף ואף הוסיפה הנחיות והמלצות באופן יישום הוראות החוק. הבסיס החוקי לאסדרה מצוי בסעיף 11 לחוק הגנת הפרטיות, התשמ"א-1981, הקובע כך: ׳׳פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצוינו בה –
(1) אם חלה על אותו אדם חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו;
(2) המטרה אשר לשמה מבוקש המידע;
(3) למי יימסר המידע ומטרות המסירה. ׳׳
לפי הוראת חוק זו, איסוף ושימוש במידע על אודות אדם מתאפשר בשני מצבים: מכוח הסכמת האדם בעל המידע או כאשר הם נעשים מכוח הסמכה שבדין. הוראת החוק מטילה חובה לפנות לאדם לצורך קבלת המידע, להסביר את סיבת הבקשה, ולציין אם ישנה חובה בדין למסירת המידע.
חובת יידוע כחלק מהליך קבלת הסכמה: הרשות הדגישה כי ייתכן מצב בו מבקש המידע ירצה לעשות שימוש במידע שלא לצורך שעבורו הוא נמסר. במצב כזה, על אוסף המידע לפרט את כלל הנתונים הנדרשים לקבלת הסכמה לשימוש. דרישה זו מתחייבת מכוח סעיף 3 בחוק הגנת הפרטיות, הדורש ׳׳הסכמה מדעת׳׳. היקף היידוע לצורך הסכמה מדעת מושפע מנתונים שונים כגון: זהות המבקש, אופי מערכת היחסים בין הצדדים ורגישות המידע. ככל שהמידע יהיה רגיש יותר, דורשת הרשות שהיקף הידוע ביחס לאופי שמירת המידע יהיה רחב יותר. יסוד ה"הסכמה מדעת" נבחן בפרשת קלנסואה. במסגרת הפרשה, דרשה העירייה מעובדות חינוך בבתי ספר להחתים את כרטיס העבודה בהחתמה ביומטרית (החתמת שעון עבודה ע׳׳י טביעת אצבע), במטרה למנוע דיווחים שקריים. העותרות (באמצעות הסתדרות העובדים) טענו שמדובר בפגיעה בפרטיות, מאחר שמידע ביומטרי הוא פרטי ואיננו נחוץ לטובת החתמת כרטיס עבודה, בעוד שהעירייה כמעסיקה טענה שמדובר במנגנון פיקוח לגיטימי. בית הדין הארצי לעבודה פסק כי עצם איסוף המידע והכנסתו למאגר מהווה פגיעה בפרטיות ובאוטונומיה של הפרט, ולכן נדרשת הסכמה מדעת (ס׳׳ק (תל אביב-יפו) 49718-11-12 עיירת קלנסואה נ׳ הסתדרות העובדים הכללית החדשה https://www-nevo-co-il.ezproxy.colman.ac.il/SearchResults.aspx?query=a969db5d-38ed-4355-9080-ecb11f7e65c0). בית הדין בחן האם המעסיק מסר מידע מספק ביחס לאיסוף המידע, אופי השימוש בו, מי בעל הגישה למאגר המידע, מהן הסכנות הכרוכות במסירת מידע ביומטרי ושאלות נוספות שמטרתן לבחון את התנאים שהציבה הרשות ביחס לבחינת יסוד ׳׳הסכמה מדעת׳׳ כחלק מדרישות סעיף 3 לחוק. בעניינו, פסק בית הדין שלא התקיימו התנאים להסכמה מדעת כאמור משום שלא סופק לעותרות מידע מקיף ביחס לאחזקתו, שימושו והסכנות הכרוכות באופן התואם את המידע הרגיש אותו מבקשת העירייה מהעותרות.
איסוף מידע במערכות מבוססות אלגוריתם או בינה מלאכותית: השימוש במערכות מבוססות אלגוריתם מקשה על בעל המידע לדעת איזה מידע על אודותיו נאסף ונשמר, ולשם אילו מטרות נאסף. היעדר שקיפות פוגע ביכולת הפיקוח והבקרה. בשל דפוס הפעילות של האלגוריתמים, הם מטבעם אינם שקופים לציבור ומתנהלים כ׳׳קופסא שחורה׳׳. בהקשר זה הרשות הדגישה כי סעיף 11 לחוק הגנת הפרטיות מטיל חובת יידוע בשלב איסוף המידע, גם על גורמים האוספים מידע באמצעות בינה מלאכותית.
הבחנה בין הסכמה מראש לאיסוף מידע לבין שימוש במידע שנאסף: הרשות הנחתה לקבל הסכמה מדעת של בעל המידע הן לאיסוף המידע והן לשימוש בו. אמנם, בקשת אישור מחדש בכל עת בה יידרש שימוש במידע המצוי במאגר תדרוש הקצאת משאבים ותוביל לעלויות רבות; אך מנגד, בהיעדר עדכון והסכמה מודעת בגין שימוש במידע כאמור, צפויה פגיעה ממשית בזכותו של אדם לפרטיותו. הרשות ציינה שבהתאם לסעיף 3 לחוק הגנת הפרטיות, נדרשת ׳׳הסכמה מדעת׳׳ הן לאיסוף המידע והן לשימוש בו, כך שמבקש המידע נדרש כבר בעת בקשת המידע לציין מהי תכלית האיסוף ומי יבצע שימוש במידע האמור. כמו-כן הרשות המליצה שככל שהמידע שנאסף רגיש יותר, כך רצוי שהיקף הפרטים שימסרו לנושא יהיה רב ומפורט יותר.
לשם השוואה, בקליפורניה נחקק לאחרונה יחסית חוק המטפל באופן ייעודי בהגנת פרטיות המידע: California Consumer Privacy Act of 2018 (CCPA https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5).). המחוקק הכיר בפערי כוחות בין בעל המידע לבין אוסף המידע, ובסיכון האינהרנטי לפגיעה בפרטיות שנוצר בעקבות אגירת מידע אישי על צרכנים. הצורך ביצירת מנגנון פיקוח ובקרה להגנת המידע בא לידי ביטוי למשל בדרישה לקיים מנגנון אבטחה התואם את אופי המידע הנשמר במאגר העסק: ׳׳A business that collects a consumer’s personal information shall implement reasonable security procedures and practices appropriate to the nature of the personal information to protect the personal information from unauthorized or illegal access, destruction, use, modification, or disclosure in accordance with Section 1798.81.5׳׳.
החוק בקליפורניה מעגן באופן מפורש רשימה של זכויות צרכניות במטרה להגן על פרטיות המידע הנאסף, כגון: הזכות לדעת – זכות האזרח לקבל מידע שנאסף לגביו; זכות מחיקה – הזכות של האזרח לבקש מעסקים שימחקו מידע אישי שאספו לגביו; הזכות לבטל הסכמה – זכות האזרח להפסיק למכור או לשתף את המידע שנאסף לגביו עם עסקים אחרים; הזכות לתקן – זכות האזרח לבקש מעסקים לתקן מידע לא מדויק שמוחזק לגביו; הזכות להגביל את השימוש והחשיפה למידע אישי רגיש – זכות האזרח להגביל את סוג, אופי והיקף המידע המחוזק לגביו ולהתירו למטרות מוגבלות ומסוימות.
הנחיות והמלצות: הרשות ציינה כי חובת היידוע חלה תמיד כאשר מתבצע איסוף מידע אישי. כל גורם המבקש מידע אישי צריך לפרט בפנייתו את סוג המידע, את מי עשוי המידע לשמש ולשם איזו מטרה נאסף. איסוף מידע ושימוש בו ללא יידוע מספק משליך על תוקף ה"הסכמה מדעת" ועשוי להוות הפרה של חוק הגנת הפרטיות. על בעל המאגר לוודא שהיידוע יתבצע בשפה ברורה ונגישה, המפרטת את אופן שמירת המידע ואשר מתחשבת בנתוני הלקוח (כגון גיל, ארץ מולדת ומוגבלויות נוספות העשויות להשפיע על הבנת הבקשה). ככל שיעלו פערים בין התאמת בקשת המידע לזהות הלקוח, הדבר עשוי להשליך על תוקף ההסכמה מדעת. ככל שמדובר במידע רגיש במיוחד (כגון: שמירת טביעות אצבע; DNA או כל אמצעי זיהוי ביומטרי), וקיים חשש בדבר חופשיות ההחלטה להסכים למסירת המידע, רצוי שמבקש המידע ימסור פרטים נוספים וברורים יותר על שמירת המידע והשימוש בו.
לנייר העמדה "חובת יידוע במסגרת איסוף ושימוש במידע אישי" ראו:
https://www.gov.il/he/departments/news/duty_to_notify
