חובת יידוע במסגרת איסוף ושימוש במידע אישי
בתחילת השבוע פרסמה הרשות להגנת הפרטיות (להלן: "הרשות") מסמך עמדה המציג את עמדתה ופרשנותה בנושא חובת היידוע של נושאי מידע במסגרת איסוף ושימוש במידע אישי, בפרט במסגרת שימוש במערכות לקבלת החלטות מבוססות אלגוריתם או בינה מלאכותית. להלן עיקרי הדברים המפורטים במסמך העמדה.
הסכמה וחובת היידוע
ככלל, הדין הישראלי מתיר איסוף ושימוש במידע אישי על אודות אדם מכוח הסכמת נושא המידע, או כאשר האיסוף והשימוש נעשים מכוח הסמכה שבדין, שעה שבשני המקרים סעיף 11 לחוק הגנת הפרטיות, התשמ"א-1981 (להלן: "חוק הגנת הפרטיות") קובע כי פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצוינו בה המטרה אשר לשמה מבוקש המידע; למי יימסר המידע ומטרות המסירה; והאם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו.
במסגרת מסמך העמדה, מבהירה הרשות, בין היתר, כי חובת היידוע חלה ביחס לכל האופנים בהם יכולה להיערך הפנייה לנושא המידע, לרבות פנייה בעל-פה, באופן טלפוני או באמצעות הרשת, כאשר לגישת הרשות, חובת היידוע חלה בין אם המידע נאסף מכוח הסכמת נושא המידע, ובין אם איסוף המידע נשעה מכוח הסכמה שבדין. עם זאת, מבהירה הרשות, כי במצב בו קיימים הסדרים חוקיים או רגולטוריים סותרים בנוגע לאופן יישום חובת היידוע בנסיבות ספציפיות או ביחס לגורמים ספציפיים (כגון בנקים וכו'), הסדרים אלו עשויים לגבור, ואפשר שיהיה על הגורמים הרלוונטיים לפעול לפיהם.
בהקשר זה, הרשות מדגישה שסעיף 3 לחוק הגנת הפרטיות קובע כי הסכמה לאיסוף ולשימוש במידע צריכה להיות "הסכמה מדעת" (informed consent). הדרישה להסכמה מדעת מחייבת את מבקש המידע להציג נתונים בנוגע לאיסוף המידע והשימוש בו, כך שבפני נושא המידע תעמוד תמונה מלאה בטרם יחליט האם להסכים מסירת המידע אודותיו. היקף היידוע ותוכנו עשויים להיות מושפעים בהקשר זה מנתונים שונים, כגון זהות מבקש הבקשה, אופי מערכת היחסים שלו עם נושא המידע, וכן סוג ורגישות המידע.
כמו כן, מבהירה הרשות כי החובות הקבועות בסעיף 11 לחוק חלות גם כאשר הפנייה לאדם לקבלת מידע נעשתה בעקבות בקשתו של אותו אדם לקבלת שירות מסוים. כמו כן, חובת היידוע חלה רק בעת פנייה לנושא המידע לשם לאיסוף מידע על אודותיו, ולא בעת השימוש במידע או בעת העברתו. במובן זה, לגישת הרשות, סעיף 11 אינו חל על צדדים שלישיים שמידע אישי מועבר אליהם מתוקף הסכמת נושא המידע, ולא בעת העברת מידע בין גופים ציבוריים.
עיבוד מידע במערכות טכנולוגיות
באופן פרטני, הרשות מתייחסת במסגרת מסמך העמדה להיקף חובת היידוע במסגרת עיבוד מידע במערכות טכנולוגיות על בסיס שימוש באלגוריתמים, ומדגישה כי עיבוד זה נעשה, במקרים רבים, באופן שאינו שקוף דיו, כלומר ללא פירוט והסבר בדבר אופן פעולת האלגוריתם, הקריטריונים שהוגדרו לו, והמידע המוזן אליו. על-פי עמדת הרשות, מצב זה הוא בעייתי במיוחד במערכות טכנולוגיות המשתמשות לקבלת החלטות על אודות אדם, והרשות מדגישה כי איסוף ועיבוד מידע אישי על-ידי מערכות לקבלת החלטות מבוססות אלגוריתמים, הנעשים ללא יידוע מספק, ומבלי שנושא המידע יכול להבין מה נעשה עם המידע הנוגע אליו ולאיזו מטרה, מהווים פגיעה ביכולתו לשלוט במידע האמור.
מעבר לכך, הרשות מדגישה כי אופן פעולתן של מערכות בינה מלאכותית (AI) לקבלת החלטות אוטומטיות, העשויות לעבד מידע ממגוון רב של מקורות, באופן "עצמאי", משתנה, ושלא על-פי קריטריונים מוגדרים מראש (למשל על סמך החלטות קודמות או מידע סטטיסטי), הוא מורכב ומשתנה, ומשכך עשוי להיות לא שקוף לציבור, לנושאי המידע, ולעיתים אף לגורמים המתכנתים את המערכות האמורות. מצב עניינים זה עלול להביא לכך שנושא מידע – שהחלטה לגביו מתקבלת על-ידי מערכות שכאלו – יתקשה מאד להבין איזה מידע נאסף עליו על-ידי המערכות, איזה שימוש נעשה בו ,איזה מידע עוַּּבַּד ביחד עם המידע על אודותיו, ולאילו מטרות.
הנחיות הרשות
לאור האמור במסמך העמדה, הרשות להגנת הפרטיות מבקשת להדגיש כי:
- הליך היידוע עשוי להיות כחלק מהליך קבלת ההסכמה לאיסוף מידע או מיושם בנפרד מהליך זה (למשל כאשר מדובר באיסוף מידע הנעשה מכוח הסמכה שבדין). במצב בו הליך היידוע מיושם בנפרד, על הגורם המבקש לפרט בפני נושא המידע את כלל הנתונים הנדרשים בהתאם להוראות הסעיף ואילו במצב בו הליך היידוע משולב בהליך קבלת ההסכמה לאיסוף מידע, היקפה של חובת היידוע עשוי להיות מושפע מהדרישות הנדרשות לשם קבלת ההסכמה. נתונים שונים כגון זהות מבקש הבקשה, אופי מערכת היחסים שלו עם נושא המידע ומידת יכולתו של נושא המידע להתנגד לבקשה, וכן סוג ורגישות המידע, עשויים להביא להרחבה של חובת היידוע הנדרשת.
- ככלל, איסוף מידע מאדם ושימוש בו ללא יידוע מספק של נושא המידע, משליך על תוקף ההסכמה מדעת, ועשוי להוות הפרה של הוראות חוק הגנת הפרטיות.
- היידוע צריך להיות בשפה ברורה, פשוטה ונגישה, להינתן בד בבד עם הפניה לאדם, ומומלץ כי יכלול פירוט בדבר אופן שמירת המידע (כגון זהות מורשי הגישה למידע), ובדבר זכויותיו של נושא המידע. ככל שהשירות מופנה לציבור מובחן מבחינה מסוימת (כגון גיל, ארץ מוצא או מוגבלות), חשוב ששפת היידוע תהיה מותאמת, ככל האפשר, והדבר יכול להשליך גם על תוקף ההסכמה מדעת.
- ככל שהמידע הנאסף הוא רגיש במיוחד (כגון מידע ביומטרי) ובנסיבות בהן קיים חשש אינהרנטי כי הסכמת נושא המידע עלולה להיות מוגבלת, רצוי לכלול במסגרת היידוע פרטים נוספים הנוגעים לאיסוף המידע, ולאופן ומטרות השימוש בו.
- כאשר בעל מאגר מתקשר עם גורם חיצוני לצורך קבלת שירות במסגרת 'מיקור חוץ', והגורם החיצוני מבקש להשתמש במידע האישי שנאסף על-ידו במסגרת מתן השירות למטרות השונות ממטרת השירות המקורי, על הגורם החיצוני ליידע את נושא המידע על כך, ולבקש את הסכמתו.
- בהקשר של מערכות אוטומטיות (AI), הרשות מציינת כי כאשר איסוף המידע נעשה באמצעות מערכות אוטומטיות (כגון "בוטים") יש לוודא כי במסגרת זו יוצגו לנושא המידע כל הפרטים הנדרשים בהתאם להוראות סעיף 11 לחוק. כאשר עיבוד המידע נערך באמצעות מערכות אוטומטיות – על הליך היידוע לפרט על אופן פעולת המערכות האמורות, ככל שהדבר רלוונטי לגיבוש ההסכמה וככל שפירוט זה אפשרי מבחינה משפטית, טכנולוגית, ומסחרית. בנוסף, מומלץ כי יוסבר לנושא המידע על אודות פרטי המידע בהם עשויות המערכות להשתמש במסגרת השימוש במידע הנוגע אליו, והמקור של פרטי מידע אלו.
לבסוף, יודגש כי אין באמור במסמך העמדה שפרסמה הרשות בכדי לומר כי חובת היידוע מחייבת לחשוף את כלל הפרטים והנתונים הנוגעים לאיסוף ולשימוש במידע אישי. יתכנו מצבים בהם חשיפה שכזו תהיה בלתי אפשרית או מנוגדת לתכליות חוקיות או לאינטרסים לגיטימיים אחרים. במצבים שכאלו על הגורם המבקש לאסוף מידע לאזן בין האינטרסים השונים, ולבחון כיצד הוא מספק לנושא המידע את הנתונים המרכזיים הנוגעים לאיסוף המידע והשימוש בו.
את מסמך העמדה בנוסחו המלא ניתן למצוא פה: לינק.
לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות (בטלפון 03-6074588 או בדוא”ל ellat@gkh–law.com). או לעו"ד רועי לאור, שותף במחלקה (בטלפון 03-6074588 או בדוא”ל roeel@gkh–law.com).