הרשות להגנת הפרטיות פרסמה להערות הציבור מסמך המלצות לשימוש ביישומונים המשמשים להעברת כספים ולתשלום בבתי עסק
בשבוע שעבר הרשות להגנת הפרטיות פרסמה מסמך שעוסק בפרטיות בשימוש באפליקציות (יישומונים) להעברת כספים בין יחידים ולתשלום בבתי עסק, המציעים אלטרנטיבה לשימוש בכסף מזומן, בצ'קים ובכרטיסי אשראי (להלן ביחד, "אמצעי תשלום מתקדמים"). מסמך הרשות מפורסם על רקע המגמות בשוק התשלומים בישראל: התפתחותן בשוק הישראלי של אפליקציות תשלום להעברת כספים בין יחידים בשנים האחרונות; המעבר לכרטיסי אשראי ולמסופי סליקה התומכים בתקן EMV ובביצוע עסקאות ללא מגע (Contactless), בהתאם להנחיות הפיקוח על הבנקים; כניסתם של ארנקים דיגיטאליים המאפשרים ביצוע תשלומים בבתי עסק בטכנולוגיית NFC; והצפי להתפתחותם של אמצעי תשלום מתקדמים נוספים; וכן על רקע כניסתו לתוקף של חוק שירותי תשלום בחודש שעבר. השימוש באמצעי תשלום מתקדמים מחייב רישום והורדה של אפליקציות למכשיר הטלפון החכם, במסגרתן המשתמשים נדרשים לספק פרטי מידע רבים, לרבות מידע רגיש, אישי ופיננסי, כגון מספר תעודת זהות, פרטי חשבון בנק ופרטי כרטיס אשראי. בחלק מהמקרים כחלק מהליך הזיהוי וה"כניסה" לאמצעים אלו נאסף גם מידע ביומטרי, כגון טביעת אצבע וזיהוי פנים. מידע רב זה עשוי לשמש בסיס לניתוח התנהלותם של המשתמשים, ולהעיד רבות על אישיותם, זהותם, העדפותיהם, אורח חייהם ותחומי העניין שלהם. מטרת ההמלצות המוצעות במסמך היא להבטיח כי השימוש באמצעי תשלום מתקדמים ייעשה באופן שמגן על פרטיותם של המשתמשים ושמאפשר להם לשלוט במידע.
להלן סיכום קצר של הנושאים שהועלו במסגרת המסמך:
- איסוף מידע במסגרת מתן הרשאות גישה – על-מנת לאפשר למשתמשים שליטה ראויה בהרשאות הגישה ובמידע על אודותיהם, מומלץ כי מסמכי מדיניות הפרטיות ותנאי השימוש של אמצעי תשלום מתקדמים יכללו פירוט בדבר כלל הרשאות הגישה המבוקשות במסגרת רישום ושימוש באמצעים האמורים לרכיבים ולמקורות מידע שונים במכשירים הניידים, כגון: מצלמת המכשיר, רשימת אנשי קשר, גלריית תמונות,; לוח השנה, נתוני מיקום המכשיר ועוד. על פירוט זה לכלול הסבר מפורט ככל הניתן בדבר משמעות מתן כל הרשאה ומידת נחיצותה לעצם הפעלת השרות במתכונתו הבסיסית. רצוי כי פירוט זה יוצג גם במסגרת הליך הורדת האפליקציות הרלוונטיות לטלפון החכם. בכל הנוגע להרשאות מסוימות המחויבות לעצם ההפעלה והשימוש של השירותים, למשל מתן הרשאת גישה לרכיב ה NFC ההכרחית לשימוש באמצעים מתקדמים לתשלום בבתי עסק, ניתן להסתפק במתן הרשאה במתכונת של ברירת מחדל (קרי, מודל Opt-out). עם זאת, בכל הנוגע להרשאות גישה שאינן מחויבות לעצם הפעלת האמצעי במתכונתו הבסיסית, כגון הרשאה שנועדה לשפר את מתן השירות או כזו שנועדה לאפשר יישום פיצ'רים נוספים ומתקדמים יותר רצוי כי יובהר למשתמשים שהרשאות אלו אינן מחויבות לעצם השימוש באמצעי, וכן שהליך ההסכמה למתן גישה להרשאות אלו יעשה במסגרת של בחירה אקטיבית מצד המשתמשים (מודל Opt-in) ולא במסגרת של ברירת מחדל (קרי, מודל Opt-out).
- איסוף ועיבוד מידע במסגרת קבצי "עוגיות" (Cookies) – ככל שהשימוש בקבצי העוגיות אינו מתחייב לצורך עצם מתן השירותים במתכונתם הבסיסית, והשימוש שנעשה בהם הינו לצורך התאמת השירות להעדפות משתמשים ולצורך פרסום ממוקד ומותאם אישית, אז רצוי כי הליך בקשת ההסכמה לשימוש בקבצי עוגיות במסגרת אמצעי התשלום המתקדמים ייעשה באופן נפרד ותוך הצגת הסבר ביחס להשלכות מתן ההסכמה לשימוש בקבצים, לרבות תוך קבלת הסכמה אקטיבית במודל Opt-in. נציין כי מאחר ואיסוף מידע באמצעות קבצי עוגיות אינו גלוי לעיני המשתמש, במדינות שונות ברחבי העולם עוגנו בחקיקה הוראות מיוחדות ביחס לאיסוף ועיבוד מידע הנאסף מקבצי עוגיות, למשל, ePrivacy Directive באירופה אשר קובעת שארגונים נדרשים להשיג הסכמה מפורשת ומראש על מנת לעשות שימוש ב"עוגיות", והכל למעט ככל שמדובר ב"עוגיות" הנחשבות כ "Strictly necessary" ואלו שנעשה בהן שימוש רק לצורך העברת תקשורת. חוק הגנת הפרטיות בישראל אינו קובע הוראות מיוחדות לאיסוף מידע באמצעות Cookies ועד כה לא הוצגה בפרסומי הרשות להגנת הפרטיות עמדת הרשות ביחס לעיבוד מידע זה. לפיכך, העמדה המשוקפת במסמך זה מעלה לראשונה את עמדת הרשות ביחס לצורך בקבלת הסכמה נפרדת לשימוש ב- Cookies .
- הסכמה לשימוש בטכנולוגיות אחרות – ראוי כי כל שינוי מהותי בסוג או בזהות הטכנולוגיות בהן נעשה שימוש במסגרת אמצעי התשלום המתקדמים (למשל, החלטה על שימוש ברכיב המיקרופון המותקן במכשיר הטלפון לשם מטרת זיהוי משתמשים), יוצג למשתמשים לצורך קבלת הסכמה אקטיבית מחודשת מטעמם, לרבות תוך פירוט המשמעויות וההשלכות האפשריות של השינוי על פרטיותם. הסכמה כללית לשינוי מהותי בטכנולוגיה שיהיה בעל השפעה מהותית על הפרטיות, לא יכולה להוות הסכמה מספקת.
- פירוט זכויות מושאי המידע –מומלץ כי מסמכי מדיניות הפרטיות ותנאי השימוש של אמצעי תשלום מתקדמים יכללו פירוט בדבר זכויותיהם של משתמשים במידע הנאסף על אודותיהם (כגון זכות לעיין במידע ולתקנו).
- סיום התקשרות ושמירת מידע – מומלץ כי מסמכי מדיניות הפרטיות ותנאי השימוש של אמצעי התשלום המתקדמים יכללו פירוט בדבר מתכונת ההתנתקות מהשירותים השונים, השלכותיה מבחינת המשך שמירת המידע האישי שנאסף ואופן השימוש בו לאחר סיום ההתקשרות. ברמה המהותית מומלץ כי בקשה להתנתקות או לסיום התקשרות מהשירותים השונים ומחיקת האפליקציות תביא גם להפסקת השימוש במידע ועיבודו לצרכים מסחריים, וכי שמירתו תעשה אך רק לצרכים משפטיים.
עמדת הרשות להגנת הפרטיות היא כי ההמלצות שפורטו במסגרת המסמך מבטאות את הדרך האופטימלית והמיטבית ליישום הוראות חוק הגנת הפרטיות והתקנות מכוחו ביחס לאמצעי התשלום המתקדמים, ולהענקת המשקל הראוי לסוגית פרטיותם של משתמשים.
שימו לב שניתן להעביר את הערות הציבור למסמך זה עד ל- 3 בדצמבר, 2020.
לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות, בטלפון 03-6074588 או בדוא"ל ellat@gkh-law.com.
לפרטים נוספים בנושאי אמצעי תשלום מתקדמים הנכם מוזמנים לפנות לעו"ד עופר חנוך, ראש מחלקת בנקאות, ביטוח ופיננסים בטלפון 03-6074510 או בדוא"ל Ofer@gkh-law.com או לעו"ד עידו עמיר, שותף במחלקת בנקאות, ביטוח ופיננסים בטלפון 03-6074510 או בדוא"ל IdoA@gkh-law.com.
אנו לרשותכם בתקופה ייחודית זו, ממשיכים בעבודתנו וזמינים במייל, בטלפון, ואף בפגישות פנים אל פנים ככל שהדבר נדרש ומתאפשר.
בברכת בריאות איתנה