חזרה | מרץ 2025

איך לעבד מידע אישי מבלי לעבור על החוק? מחלת ההסכמה בדיני הפרטיות בישראל

שמשון מורפורגו, ראש תחום ייעוץ פרטיות

טיוטת הרשות להגנת הפרטיות ופרדוקס "מחלת ההסכמה" – איך לעבד מידע אישי מבלי לעבור על החוק?

בישראל, דיני הגנת הפרטיות מתבססים בעיקר על שני בסיסים חוקיים: הסכמה והסמכה מכוח דין. במילים פשוטות, אם אתם רוצים לאסוף או להשתמש במידע על אדם – אתם חייבים הסכמה מודעת שלו (נקרא לו, ״נושא המידע״), או חוק מפורש שמחייב אותו למסור מידע, או לפחות שמתיר לכם להשתמש בו.

היעדר בסיסים חוקיים נוספים, כמו אלו הקיימים ב-GDPR, יצר מצב שבו ההסכמה נמתחת ומעוותת כדי להתאים לכל סיטואציה אפשרית.

וזה לא נגמר כאן.

הרשות להגנת הפרטיות פרסמה בפברואר 2025 טיוטת גילוי דעת בנושא ההסכמה בעיבוד מידע אישי. לכאורה, הרשות מנסה להקשיח את הכללים ואת רף ההסכמה, אבל לטעמי, היא מציפה את הבעיה המרכזית: אם קשה יותר ויותר להסתמך על הסכמה, ובאותו הזמן אין בסיסים אחרים לעיבוד מידע – איך בדיוק ארגונים אמורים לפעול בלי להפר את החוק?

הסכמה מכללא והקשחת עמדות הרשות – סוף עידן ה"נמתח ונעגל פינות"?

המצב בישראל ייחודי, אבל לא בקטע טוב. אם עד היום חברות יכלו להסתמך על הסכמה מכללא (הסכמה שנלמדת מהנסיבות, למשל: "ברור שמי שנכנס לבניין עם מצלמות ושלטים על מצלמות מסכים להיות מצולם"), הרשות אומרת עכשיו שצריך לשאוף להסכמה מפורשת. 

״גם במקרים בהם הסתמכות על הסכמה מכללא היא אפשרית, רצוי שלא להסתפק בהסכמה שכזו, אלא לפנות לאדם לקבלת הסכמתו המפורשת״ – כך הרשות. 

נשמע סביר? אולי תיאורטית. אבל תחשבו על זה:

  • דני, סמנכ"ל השיווק של חברת "PayTech", רוצה לשמור מידע על הרגלי השימוש של לקוחות כדי לשפר את ההתאמה של ההצעות הפיננסיות שהם מקבלים. כיום, זה נתפס כחלק אינטגרלי מהשירות. הם ״מסכימים״ לכך בעקיפין או באמצעות תנאי השימוש או מדיניות הפרטיות של האפליקציה. אבל פתאום, אם ההסכמה המכללא יורדת מגדולתה – האם דני אמור לבקש מכל לקוח לחתום על טופס מפורש לפני שהוא יכול להמליץ לו על הלוואה בתנאים טובים יותר? ומה עם שאר הפעולות הרבות שהחברה עושה עם מידע אישי – כמו כל חברה מודרנית אחרת? 
  • רונה, מנהלת HR בחברת הייטק, משתמשת בפלטפורמת AI לניתוח מועמדים ומיון קורות חיים. עד היום, החברה הסתמכה על ההיגיון שברור שמועמד ששולח קורות חיים מצפה שהנתונים שלו ייבחנו. עכשיו, האם היא תצטרך לבקש מכל מועמד אישור כתוב כדי שהאלגוריתם יוכל לבדוק את ההתאמה שלו למשרה?

הרשות מקשיחה את עמדתה, ויש שיגידו שזה מבורך. אך מה עם לתת פתרון מעשי למציאות עסקית שמבוססת על עיבוד מידע?

איך זה עובד באירופה? GDPR והאלטרנטיבות להסכמה

ב-GDPR, ההסכמה היא רק אחד מתוך שישה בסיסים חוקיים לעיבוד מידע אישי. לדוגמה:

  • קיום חוזה – מותר לעבד מידע כשהוא נדרש כדי לקיים חוזה.
    דוגמה: אדם מזמין טיסה דרך "SkyFly", והחברה מעבדת את הנתונים כדי להנפיק לו כרטיס. אין צורך בשום הסכמה- לא מפורשת ולא מכללא.
  • אינטרס לגיטימי – אם עיבוד מידע נדרש לצורך עסקי אמיתי, והוא לא פוגע יתר על המידה בזכויות המשתמש, מותר להשתמש בו.
    דוגמה: בנק "SafeBank" מנתח עסקאות חריגות למניעת הונאות, גם בלי הסכמת הלקוח. דני מPayTech אוכל את עצמו מקנאה, אה?
  • חובה חוקית – כשחוק מחייב עיבוד מידע.
    דוגמה: מעסיק חייב לדווח על שכר העובדים לרשויות המס. אין צורך לשאול את העובדים אם הם "מסכימים" או לביים הסכמה במדיניות הפרטיות שלהם.

תיקון 14 לחוק: פתרון אמיתי, או עוד סחבת בירוקרטית?

החדשות הטובות הן שתיקון 14 (או תיקון 15? כבר קשה לעקוב), שאמור להכניס בסיסים נוספים לעיבוד מידע בדומה ל-GDPR. אם זה יקרה, סוף סוף ניתן יהיה לעבד מידע על בסיס אינטרס לגיטימי או ביצוע חוזה, במקום להסתמך על הסכמה לכל דבר ועניין.

החדשות הרעות? החקיקה בישראל נעה בקצב של הפקקים באיילון. אם נשפוט לפי פרק הזמן שחיכינו לתיקון 13, נצטרך הרבה סבלנות. מצד שני, הרשות להגנת הפרטיות מאוד דומיננטית ופעילה לאחרונה, וידעה לדחוף את התיקון הנוכחי שהביא לשינוי מהותי ביותר בסמכויותיה ובהגנה על הפרטיות בישראל.

לסיכום, חייבים פתרון אמיתי ומשולב: דיוק דרישת ההסכמה והוספת בסיסים חלופיים לעיבוד במידע, במקביל.