לאחרונה פרסמה הרשות להגנת הפרטיות ("הרשות") נייר עמדה בדבר חובת יידוע במסגרת איסוף ושימוש במידע אישי ועדכון בדבר דיווח על אירוע אבטחה חמור. ברשימה קצרה זו נסקור את הפרסומים האחרונים של הרשות.
1. חובת יידוע במסגרת איסוף ושימוש במידע אישי
ביום 31.07.2022 פרסמה הרשות נייר עמדה בדבר חובת יידוע במסגרת איסוף ושימוש במידע אישי. נייר העמדה סוקר את הבסיס לחובת היידוע, מתייחס לחובה במקרה של איסוף מידע על ידי מערכות לאיסוף מידע מבוססות אלגוריתם או בינה מלאכותית (AI), ונותן הנחיות והמלצות בנוגע לחובות של גורם המבקש לאסוף מידע אישי אל מול אותו אדם.
א. הבסיס לחובת היידוע
הבסיס לחובת היידוע נובעת מהוראות סעיף 11 לחוק הגנת הפרטיות, תשמ"א-1981 ("החוק"), שם נקבע כי פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצוין בה:
(1) אם קיימת על אותו אדם חובה חוקית למסור את אותו מידע או אם מסירת המידע תלויה ברצונו ובהסכמתו;
(2) המטרה לשמה מבוקש המידע;
(3) למי יימסר המידע ומטרות המסירה.
סעיף 3 לחוק קובע כי ההסכמה לאיסוף ולשימוש במידע צריכה להיות "הסכמה מדעת". כלומר, מוסר המידע חייב לדעת מראש לשם מה נאסף המידע ולהחליט אם הוא מסכים להעברת המידע, או בלשון נייר העמדה "בפני נושא המידע תעמוד תמונה מלאה בטרם יחליט האם להסכים למסירת המידע אודותיו". יודגש כי היקף היידוע ותוכנו עשויים להיות מושפעים בהקשר זה מנתונים ונסיבות שונים, כמו למשל זהות מבקש הבקשה, אופי מערכת היחסים שלו עם נושא המידע (לדוגמא יחסי עובד-מעביד), סוג ורגישות המידע.
הרשות הבהירה כי חובת היידוע חלה גם כאשר הפנייה לאדם נעשתה בעקבות בקשתו של אותו אדם לקבלת שירות, וחלה רק בעת הפנייה לנושא המידע, ולא בעת השימוש במידע או בעת העברתו. כך, למשל, סעיף 11 לא חל על צדדים שלישיים שמידע מועבר אליהם מתוקף הסכמת נושא המידע.
בהמשך לאמור לעיל, מדגישה הרשות כי איסוף מידע מאדם ושימוש בו ללא יידוע מספק של מוסר המידע, משליך על תוקף ההסכמה מדעת, ועשוי להוות הפרה של הוראות החוק.
ב. איסוף מידע על ידי מערכות לאיסוף מידע מבוססות אלגוריתם או בינה מלאכותית (AI)
כיום, איסוף ושימוש במידע כאמור נעשה גם על ידי מערכות מבוססים אלגוריתם, מערכות בינה מלאכותית (AI) או מערכות אוטומטיים (כדוגמת "בוטים").
במקרים כאלה יש לוודא כי: (1) יוצגו למוסר המידע כל הפרטים הנדרשים בהתאם לסעיף 11 לחוק; ו- (2) יפורט על אופן המערכות האמורות, ובתנאי שפירוט כאמור רלוונטי לגיבוש ההסכמה וככל שפירוט זה אפשרי מבחינה משפטית, טכנולוגית ומסחרית. בנוסף, המלצת הרשות היא כי יוסבר למוסר המידע אודות פרטי המידע בהם עשויות המערכות להשתמש והמקור של פרטי מידע אלו.
ג. דגשים והנחיות של הרשות בנוגע לחובת היידוע
הפרת חובת היידוע עלולה כאמור להוות הפרה של החוק. לכן, ומבלי לגרוע מהוראות דין כלליות בנוגע לאיסוף מידע, חשוב לוודא כי היידוע יעשה באופן ברור, פשוט ונגיש, להינתן בד בבד עם הפניה לאדם, ומומלץ לכלול פירוט בדבר אופן שמירת המידע, ובדבר זכויותיו של נושא המידע. נדרש גם לשים לב לנסיבות של איסוף ושימוש המידע, כגון: (1) התאמת שפת היידוע לציבור הרלוונטי (ככל הניתן); או (2) התאמת אופן היידוע ככל ומדובר במידע רגיש יותר.
חשוב לציין כי בנייר העמדה הרשות אינה דורשת חשיפה של כלל הפריטים והנתונים הנוגעים לאיסוף ושימוש במידע. ייתכן שחשיפה כזאת היא בלתי אפשרית ואף מנוגדת לאינטרסים לגיטימיים (כמו שמירה על סוד מסחרי). לכן, בסופו של דבר, על הגרום המבקש את המידע לאזן בין האינטרסים השונים ולבחון איך הוא מספק לנושא המידע את הנתונים המרכזיים הנוגעים לאיסוף המידע והשימוש בו תוך הימנעות מחשיפת נתונים אותם אין באפשרותו לחשוף.
2. דיווח על אירוע אבטחה חמור
בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("התקנות"), אירוע אבטחה חמור מתייחס למאגרי מידע שחלה עליהם רמת אבטחה בינונית או גבוהה, ומתייחסת (בעיקר) למצבים בהם נעשה שימוש במידע מן המאגר, בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע.
במצב כאמור, בהתאם לתקנה 11(ד)(1) נדרש לעדכן את הרשות באופן מיידי, כאשר תקופת זמן כאמור התפרשה כתקופה של 24 שעות ממועד האירוע אך לא יותר מ-72 שעות.
כעת הרשות מעדכנת ומחדד כי נדרש לבצע עדכון באופן מיידי, ללא ציון פרק זמן מסוים. כמו כן, מדגישה הרשות כי חובת הדיווח חלה גם על מנהל המאגר והמחזיק במאגר (כל אחד בנפרד), אולם די בדיווח של אחד מהם (בעל/מחזיק/מנהל המאגר) על האירוע כדי לקיים את החובה עבור שלושת הגורמים גם יחד.
לאור הגברת פעולות האכיפה אשר ננקטות על ידי הרשות בגין הפרות חוק, ולאור הצפי כי אכיפה עוד תגדל בתקופה הקרובה, מומלץ, אפוא, לכל התאגידים הרלבנטיים לפעול בהתאם לפרסומים האחרונים של הרשות אשר הובאו לעיל.
***
הבהרה: כל סקירה ו/או מידע המובא במסגרת זו אינו מיועד להצגה או להעתקה, בשום אופן ובשום צורה, והשימוש בסקירה ו/או במידע דלעיל הינו באחריות המשתמש בלבד. מובהר כי אין המידע האמור מהווה תחליף לייעוץ משפטי.