בחודש פברואר 2026 פרסמה הרשות להגנת הפרטיות גילוי דעת מקיף בנושא 'הסכמה לעיבוד מידע אישי', מסמך פרשני מקיף המבקש להבהיר כיצד יש לפרש וליישם את דרישת ההסכמה בדיני הגנת הפרטיות בישראל.
פרסום המסמך מגיע לאחר תקופה של למעלה משנה של דיון ציבורי בעקבות טיוטת גילוי הדעת שפורסמה בפברואר 2025, אשר עוררה ביקורת רחבה מצד גורמים רבים במשק, חברות טכנולוגיה והקהילה המשפטית. הטיוטה נתפסה בעיני רבים כמסמך המציג גישה מחמירה במיוחד ביחס לפרקטיקה המקובלת בישראל ובעולם, וככזו המרחיבה את דרישות הגילוי וההסכמה מעבר לפרשנות המקובלת של חוק הגנת הפרטיות. לאחר בחינת הערות הציבור פרסמה לאחרונה (25.02.2026) הרשות את הנוסח הסופי, אשר כולל מספר הבהרות ושינויים אך ממשיך להציב רף פרשני מחמיר ביחס לאופן קבלת ההסכמה.
לפי עמדת הרשות, עמידה פורמלית בלשון החוק אינה בהכרח מספיקה כדי להבטיח הסכמה תקפה. תוקף ההסכמה ייבחן גם במונחים מהותיים של שקיפות, רצון חופשי והבנה אמיתית מצד האדם שמסר את המידע. המשמעות עבור ארגונים היא כי מנגנוני הסכמה שהיו מקובלים עד כה, במיוחד במרחב הדיגיטלי, אינם בהכרח עומדים עוד בציפיות הרגולטור.
השלכות המסמך רלוונטיות במיוחד לחברות הפועלות בסביבה מקוונת או מבוססת נתונים, המשתמשות במזהים דיגיטליים ('קוקיז'), בכלי ניתוח נתונים, בפרסום ממוקד, במערכות בינה מלאכותית, במנגנוני פרופיילינג או באיסוף מידע במסגרת שירותים דיגיטליים.
אחת ההדגשות המרכזיות במסמך היא דרישת ההסכמה מדעת. הרשות קובעת כי דרישות הגילוי הקבועות בחוק הן רף מינימלי בלבד, וכי ארגונים נדרשים לפרט בצורה ברורה ומובנת את סוגי המידע הנאסף, מטרות השימוש בו והגורמים שאליהם הוא עשוי להימסר. ניסוחים כלליים כגון "בין היתר" או "וכיו״ב" אינם נחשבים עוד מספקים. בנוסף מודגש כי תוקף ההסכמה מושפע גם מאופן הצגת המידע למשתמש. מדיניות פרטיות מורכבת או בלתי נגישה עלולה שלא להוות בסיס להסכמה תקפה.
המסמך מתייחס גם למצבים שבהם קיים פער כוח בין הארגון לבין נושא המידע, כגון יחסי עבודה או מתן שירות חיוני. במקרים אלו ההסכמה עשויה להיחשב "חשודה", והארגון עשוי להידרש להראות כי האדם יכול היה לבחור שלא להסכים מבלי להיפגע באופן בלתי סביר. כך למשל, כאשר שירות מסוים מחייב שימוש בפלטפורמה חיצונית או מסירת מידע שאינו נחוץ לצורך מתן השירות, עלול להתעורר ספק לגבי תוקף ההסכמה.
ביחס למרחב הדיגיטלי מבהירה הרשות כי הסתמכות על הסכמה מכללא עדיין אפשרית במצבים מסוימים, למשל כאשר משתמש ממשיך לגלוש באתר לאחר שהוצג לו מידע על איסוף הנתונים. עם זאת, הרשות מצמצמת את ההסתמכות על מנגנון זה ומדגישה כי יש להעדיף הסכמה מפורשת כאשר מדובר במידע רגיש, בפעילות בעלת השלכות משמעותיות על הפרטיות.
נושא נוסף בעל משמעות מעשית הוא השימוש במידע למטרות שאינן חלק ישיר מהשירות המקורי. כאשר ארגון מבקש להשתמש במידע למטרות שאינן נגזרות ישירות מהשירות, עשויה להידרש הסכמה אקטיבית ונפרדת. הדרישה לקבלת הסכמות אקטיביות תגבר כאשר מדובר בשימוש במידע למטרות כגון פרופיילינג ו'שירותי דיוור ישיר'.
לבסוף מדגישה הרשות כי הסכמה אינה בהכרח אירוע חד פעמי. כאשר ארגון משנה באופן מהותי את מטרות השימוש במידע או את אופן עיבודו, ייתכן שלא ניתן יהיה להסתמך עוד על ההסכמה שניתנה בעבר ויידרש לקבל הסכמה מחודשת. שימוש במידע אישי ללא הסכמה תקפה עשוי להיחשב כפגיעה בפרטיות ולהוביל לאחריות אזרחית ואף לצעדי אכיפה רגולטוריים.
לאור ההתפתחויות הרגולטוריות מומלץ לארגונים לבחון מחדש את מנגנוני קבלת ההסכמה, לעדכן מדיניות פרטיות ונוסחי יידוע, להפריד בין הסכמה לשירות לבין הסכמה לשימושים משניים במידע, ולוודא כי קיימת יכולת תיעוד של הדרך שבה התקבלה הסכמת המשתמש.
