הרשות להגנת הפרטיות פרסמה לאחרונה (31.07.2022) גילוי דעת ובו פרשנותה בנוגע לחובת יידוע במסגרת הליך קבלת הסכמה, וליידוע במסגרת שימוש במערכות לקבלת החלטות מבוססות אלגוריתם או בינה מלאכותית.
הרשות מבקשת לכרוך את חובת השקיפות דרך פרשנות רחבה של החובה הידועה שבסעיף 11 לחוק הגנת הפרטיות, וזאת תוך שימוש ברכיב "מדעת" שנמצא בהגדרת ההסכמה שמצוי בסעיף 3 לחוק זה. לדידנו, המהלך אשר מרחיב את הוראות החוק, עשוי לעורר סוגיות משפטיות שונות.
כידוע, בישראל ניתן לאסוף ולהשתמש במידע אישי על אודות אדם בשני מצבים: מכח הסכמת נושא המידע, וכן מכוח הסכמה שבדין. בשני המצבים הדין מחייב את הגורם האוסף ליידע את נושא המידע על כך ולפרט בפניו נתונים הנוגעים לאיסוף ולשימוש במידע זה.
חובת היידוע נובעת מכוח הוראות סעיף 11 לחוק הגנת הפרטיות, התשמ"א-1981 (להלן "החוק"), לפיו, פניה לאדם לצורך איסוף מידע אודותיו, צריכה להיות מלווה בהודעה שיצוין בה המטרה לשמה מבוקש המידע, למי יימסר המידע, מטרות המסירה, וכן אם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו החופשי ובהסכמתו.
לגישתה של הרשות, הוראות סעיף 11 חלות בכל מקום בו איסוף מידע אישי על אדם נעשה על יסוד פנייה אליו לקבלת מידע, וזאת בין אם המידע נאסף מכוח הסכמת נושא המידע ובין אם איסוף המידע נעשה מכוח הסמכה שבדין. על כן, החובות הקבועות בסעיף 11 לחוק חלות גם כאשר הפנייה לאדם לקבלת מידע נעשית בעקבות בקשתו של אותו אדם לקבלת שירות מסוים.
הרשות מבהירה, כי חובת היידוע חלה רק בעת פנייה לנושא המידע לשם איסוף מידע על אודותיו, ולא בעת השימוש במידע או בעת העברתו. במובן זה, לגישת הרשות סעיף 11 אינו חל על צדדים שלישיים שמידע אישי מועבר אליהם מתוקף הסכמת נושא המידע ולא בעת העברת המידע בין גופים ציבוריים.
חובת יידוע כחלק מהליך קבלת ההסכמה –
לשיטת הרשות, גורם האוסף מידע אישי, חייב לתת גילוי נאות לנושא המידע לפי מאפייניו של עיבוד המידע. חובת השקיפות באשר לאופן איסוף המידע והשימוש בו היא קריטית ומהווה תנאי לעצם קבלת ההסכמה, ומהווה מעין שלב מקדים לקבלת ההסכמה. היקפה של החובה משתנה ותלויה באופי מערכת היחסים של הגורם האוסף עם נושא המידע וכן יכולת התנגדותו, סוג או רגישות המידע ועוד.
חובת יידוע במערכות לאיסוף מידע וקבלת החלטות מבוססות אלגוריתם או בינה מלאכותית –
הרשות מדגישה ומבהירה כי הוראות סעיף 11 לחוק הגנת הפרטיות מטילות חובת יידוע בשלב איסוף המידע גם על גורמים האוספים מידע אישי באמצעות מערכות לקבלת החלטות מבוססות אלגוריתם, לרבות מערכות מבוססות בינה מלאכותית AI וגם על גורמים האוספים מידע אישי לשם שימוש בו במסגרות מערכות שכאלו.
בנוסף, הרשות פרסמה הנחיות והמלצות בגילוי הדעת באשר לחובת היידוע.