מדריך לעסקים: מה אתם צריכים לדעת על "הסכמה" לשימוש בנתונים?

מבוא: עקרון ההסכמה בהגנת הפרטיות

עיקרון ההסכמה הוא בסיס לדיני הגנת הפרטיות בישראל. חוק הגנת הפרטיות אוסר עליכם לאסוף ולהשתמש במידע על אנשים (למשל שמירת נתונים על לקוחות וספקים, כמו שכל העסקים עושים) אלא אם הדבר נעשה בהסכמת נושא המידע. בפברואר 2025 פרסמה רשות הגנת הפרטיות גילוי דעת (להערות הציבור בינתיים) שמסביר איך היא רואה את משמעות המונח "הסכמה" שחשוב שנכיר אותו. במיוחד אם אנחנו מנהלים עסק שמשתמש במידע על הלקוחות שלו (ומי לא עושה את זה?).

חובות החוק והנחיות הרשות לגבי הסכמה מדעת

הרבה לקוחות אומרים לי – "אני רק שומר את פרטי הקשר והיסטוריית הרכישות" מה רע בזה? אז מראש נאמר – כלום. הכל תקין. מותר. רק חובה עליכם לוודא שהמידע הזה נאסף כדין! ומה הוא איסוף כדין? איסוף לאחר הסכמה מדעת (Informed Consent). הסכמה מדעת מחייבת את העסק למסור ללקוח או למשתמש את כל המידע שנדרש לו בצורה סבירה כדי להסכים או לסרב לאיסוף ושימוש במידע עליו.

כלומר, על העסק חלה חובה ליידע את האדם מראש, ולספק ללקוח מידע ברור על כך שנאסף ממנו מידע, איזה מידע נאסף, מה יהיו השימושים בו, מי יקבל גישה אליו וכמובן גם ביחס לזכותו שלא למסור את המידע ומה יהיו התוצאות (וראו למשל את סעיף 11 לחוק).

אלמנט חשוב שמופיע בגילוי הדעת הוא שהנדרש בסעיף 11 לחוק לא תמיד די בו, אלא מדובר ברף המינימלי. במרבית המקרים נדרש העסק שאוסף את המידע או משתמש בו לפרט גם מה המטרות לשמן ישמש המידע, מי יעשה בו שימוש ומה הן זכויות הלקוח (כגון הזכות לסרב, או לבטל הסכמה ללא נזק).

רק הודעה ברורה ונגישה, שמספקת מידע ספציפי וברור לגבי הרכיבים האלו ואחרים, תחשב כהסכמה מדעת. כתוצאה מכך, כל עסק למעשה נדרש גם לנסח מדיניות פרטיות כללית ביחס לדרכים בהן יתנהל עם מידע של לקוחות, גם לאתר את כל נקודות הממשק בהן נאסף מידע כזה (למשל בטפסי הרשמה, באפליקציות, באתרי אינטרנט, במרכזים טלפוניים, במשרדים ולמעשה בכל מקום בו הלקוח מתבקש למסור מידע), גם לנסח הודעה ברורה שתהפוך את ההסכמה ל"מדעת" וגם לתעד את כל התהליך (עסק שיגיע לבית המשפט ויתקשה להוכיח את ההסכמה, עלול להפגע במקרים מסויימים).

רשות הגנת הפרטיות גם מציין שאותה הסכמה צריכה להיות מרצון חופשי, מתוך בחירה אמיתית, ללא לחץ, כפייה או הטעיה. ככה למשל, אסור להתנות שירות חשוב ללקוח במתן הסכמה לשימושים נוספים שלא נדרשים למטרת אותו שירות. הרי אם השירות הכרחי, ללקוח אין באמת ברירה. אם לא יסכים – יפגע. ובמילים אחרות: עסק רשאי להודיע ללקוח שעליו למסור לו מידע שהכרחי לשירות אותו הוא מספק. אבל אינו רשאי לכפות על הלקוח לספק מידע נוסף, שחורג מהנדרש ביחס לשירות הרלוונטי.

עוד איסור שהרשות הזכירה, ובעניין הזה אני סומך עליכם, הוא איסור לשימוש בטקטיקות אפלות, Dark Patterns. מניפולציות כמו כפתור "אני מסכים" אדום, גדול ובולט, יחד עם כפתור "מסרב" שיעוצב בקטן וחבוי בתפריט ארוך – זו מניפולציה אסורה. ניסוחים מבלבלים (כמו שלילה כפולה) וכדומה, גם הם פוגעים בתוקף ההסכמה.

עסקים צריך להימנע מתרגילים ולהציג מנגנוני בחירה ברורים, הוגנים וסימטריים. נניח אם אתם מבקשים הסכמה לקוקיות (בחיי… Cookies. זה המונח בעברית) צריך שכפתור ה"דחה הכל" יוצג לצד ויהיה שווה ערך לכפתור "קבל הכל". גם סימון תיבת ברירת המחדל מראש – לא טוב.

עוד חובה חשובה הינה שההסכמה תהיה ברורה וחד משמעית ככל האפשר. רק פעולה אקטיבית (שאינה ברירת מחדל אלא מחייבת התייחסות ספציפית) תחשב כהסכמה מדעת. רכישת מוצר למשל אינה הסכמה מדעת לשימוש בפרטים (אלא ככל שנדרש לצורך אספקת אותו מוצר וזהו). לא די ב"הבנה בשתיקה". קל וחומר כשהרבה פעמים המידע שנאסף הוא לא סתם מידע אישי אלא מידע בעל רגישות מיוחדת (זו הגדרה חוקית. לא שלי).

מנסיוני ונסיונם הרע של לקוחותי בתחום, עוד יתרון בהסכמה מפורשת (ולא משתמעת) היא הצורך לשמור תיעוד נכון של ההסכמה למקרים של תקלה או תביעה. תיעוד של הסכמה משתמעת אינו פשוט ומאוד מקשה על ההתנהלות בעתיד. הסקת המסקנה שמי שמסר את הפרטים "כנראה מסכים שנשתמש בהם" היא לא התחלה טובה. התיעוד צריך שיהיה ברור וחד הרבה יותר. פעולה אקטיבית שאינה ברירת מחדל.

חלק מהותי מאותה הסכמה, כבר הזכרתי, היא זכות הלקוח לבטל אותה אחרי ששינה את דעתו. לכן, עסק שמעוניין לעמוד בדרישות החוק צריך שיאפשר ללקוחות לסרב מלכתחילה לתת את הסכמתו מבלי שהדבר יפגע בו וגם לאפשר לו לבטל את ההסכמה בהמשך הדרך. חשוב להימנע מ"עונשים" על מי שבוחר שלא להסכים או לבטל הסכמה (אלא אם כן כמובן בהכרח העדר הסכמה לא תאפשר לספק את השירות המבוקש).

סיכום: אז מה עסק צריך לעשות כדי להתמודד עם סיכוני פרטיות?

על בסיס הוראות החוק ובמיוחד לאור גילוי דעת הרשות, אציע לכם מספר קווים מנחים. ככל שתרצו להרחיב ולהעזר בעורך דין מומחה, אשמח אם תיצרו עימי קשר ונראה כיצד אוכל לסייע:

1. לקבוע את נהלי מדיניות הפרטיות: כלומר, בשלב הראשון עליכם לקבל החלטה כיצד תפעלו בעסק שלכם באופן שיהיה תואם לדרישות החוק בישראל, באירופה, בארה"ב או בכל מדינה שרלוונטית אליכם. נקודת המוצא היא לעמוד בעקרונות דוגמת Privacy as default
2. לבטא את נהלי הגנת הפרטיות במדיניות הגנת פרטיות שתעוצב בצורה נכונה: את הנהלים שגיבשנו יש להעביר לביטוי בצורה משפטית ונכונה, אבל "ידידותית" ככל האפשר. המלצתי – תנו לעורך דינכם לנסח את המסמך 'נכון' ואחר כך קחו אותו וכתבו אותו בלשונכם, שלקוחותיכם יבינו אותו. עורכי דין לא באמת יודעים לכתוב בצורה קריאה ו'ידידותית'. דרך אגב, המלצתי היא להציג הן את הנוסח המשפטי, המחייב, והן "תרגום" שלו לשפת בני אדם. אולי בצורה אנימטיבית, אולי פשוט בשפה קלה. כל אחד לפי רצונו.
3. להציג בצורה נכונה את ההודעות הנדרשות בחוק או את מדיניות הגנת הפרטיות בפני הלקוחות: כלומר, למצוא את המקומות הנכונים להצגתן של אותן הודעות, להבליט אותן ולהציג אותן בצורה ברורה וקריאה.
4. לתעד: לתעד לתעד לתעד. לנהל רישום של כל ההסכמות והמקורות בהן התקבלו. אחרת, כשידרש הדבר לא תוכלו להדגים שניתנה הסכמה של משתמש ספציפי, ומה הואילו חכמים בתקנתם בשלב הזה?
5. לבצע מיפוי מידע מלא. כולל: פרטי המידע שנאספים, המקומות בהם נאסף כל פרט מידע, ההסכמה המוצגת באותו מקום רלוונטי, המטרות לשמן נאספו הפרטים (אנא חישבו היטב וציינו את כל המטרות), מה ההרשאות הרלוונטיות לצפיה בו, למי יועבר, אילו פעולות עיבוד יבוצעו בו, כיצד ישמר ויוגן, מתי ימחק ועוד.

סוף דבר

מטרת פוסט זה היא להסביר את עמדת רשות הגנת הפרטיות לפיה עמידה בדרישות ההסכמה איננה רק עניין טכני של סימון תיבה. מדובר בחלק מתהליך שלם של קשר הוגן ושקוף עם הלקוחות ומי שהמידע אודותיו נאסף בעסק מסויים. חובה על העסק לוודא שהלקוחות מבינים למה הם מסכימים, שעומדת להם בחירה אמיתית, שהמידע משמש באופן שהוסכם בלבד ושכל תהליך ההתייחסות למידע הינו הוגן ובמגבלות החוק.

אמנם, בשלב זה החוק הישראלי טרם תוקן בהתאם, אבל הפרשנות המשפטית שניתנה לנושאים אלו עד עתה, כמו גם גילוי הדעת של הרשות, מחייב עסקים להיות מודעים לנושא זה ולהתייחס אליו.

לשם כך, לא די בהכנת מדיניות פרטיות גנרית, אלא מוטב לשבת מול מומחים (משפטי, טכנולוגי וארגוני) ולהתאים את התנהלות העסק לחקיקה הגנת הפרטיות בצורה גורפת.

תהליך כזה בהכרח יהיה יקר במשאבי זמן וכסף, אבל העמידה בדרישות החוק, הקטנת הסיכון לתביעות בארץ ובחו"ל וכמובן הגדלת אמון הלקוחות בהחלט יכולים להצדיק אותו.

בקיצור, ככל שתרצו להתקדם בהכנת מדיניות פרטיות, בייעוץ בנושאי ]פרטיות או באימוץ תהליך פרטיות שלם לעסק שלכם, אתם מוזמנים ליצור איתנו קשר בעמוד הצור קשר, ב-03-6133333 או בדוא"ל: [email protected].