גילוי דעת סופי בנושא "הסכמה" מטעם הרשות להגנת הפרטיות

גילוי דעת סופי בנושא "הסכמה" מטעם הרשות להגנת הפרטיות

בתאריך 25.2.2026 פרסמה הרשות להגנת הפרטיות ("הרשות") את הנוסח הסופי של גילוי הדעת בנושא הסכמה בדיני הגנת הפרטיות. גילוי הדעת משקף את הפרשנות שתנחה את הרשות בעבודת הפיקוח והאכיפה, וזאת כשנה לאחר פרסום הטיוטה להערות הציבור (פברואר 2025)[1]. הנוסח הסופי כולל חידודים מהותיים ביחס לטיוטה, ובמיוחד לגבי רמת הפירוט הנדרשת בנוסחי ההסכמה. להלן עיקרי גילוי הדעת הסופי, בדגש על החידודים והשינויים לעומת הטיוטה.

  1. הסכמה מדעת

הסכמה לפגיעה בפרטיות חייבת להיות "מדעת", בין אם ניתנה במפורש ובין אם מכללא. משמעות הדבר היא שנושא המידע צריך לקבל מידע באופן שמאפשר לו, באופן סביר, להבין למה הוא מסכים, לרבות זכותו לסרב וההשלכות האפשריות של החלטתו. הרשות מדגישה כי כאשר לא נמסר מידע מספיק, ההסכמה עלולה שלא להיחשב תקפה. בנוסח הסופי הוסיפה הרשות חידודים פרקטיים באשר לפירוט הנדרש בעת הצגת המידע לנושא המידע ביחס להיבטים הבאים:

  • גורמי צד שלישי שאליהם מועבר מידע: ניתן להסתפק בציון סוג הגורמים לפי שיוך מקצועי (למשל, "חברות פרסום", "רשויות אכיפת חוק"), ללא פירוט הגורמים הספציפיים. עם זאת, ניסוחים כלליים מדי (כגון "חברות טכנולוגיה") עלולים שלא להספיק אם אינם מאפשרים להבין את סוג השימוש במידע.
  • סוגי המידע הנאסף ומטרות העיבוד: יש לפרט את סוגי המידע ואת מטרות השימוש בו, כך שנושא המידע יבין מה נאסף ולאילו שימושים. ניסוחים כלליים או מסייגים כגון "בין היתר" ו"וכיו"ב" אינם עומדים בדרישת הסכמה "מדעת".

לאור זאת, ארגונים רבים יידרשו לבחון ולעדכן את נוסחי היידוע וההסכמה שבהם הם עושים שימוש, ולוודא כי אלה כוללים פירוט מספק.

  1. חובת היידוע

חובת היידוע, הקבועה בסעיף 11 לחוק הגנת הפרטיות, התשמ"א-1981 ("החוק"), חלה בכל איסוף מידע אישי במסגרת פנייה לאדם. היידוע חייב לכלול, בין היתר: האם קיימת חובה חוקית למסור את המידע או שמסירתו תלויה ברצון ובהסכמה; מטרת האיסוף; למי יימסר המידע ומטרות המסירה; תוצאות אי-ההסכמה; זהות בעל השליטה במאגר ודרכי ההתקשרות עמו; וזכויות העיון והתיקון לפי סעיפים 13 ו-14 לחוק[2]. הרשות מבהירה כי עמידה בהוראות סעיף 11 לחוק היא דרישת מינימום בלבד, ואינה מבטיחה בהכרח כי ההסכמה תיחשב "מדעת".

  1. שימושים נוספים במידע

גילוי הדעת מדגיש כי הסכמה שניתנה למטרה מסוימת אינה מתירה, כשלעצמה, שימוש במידע למטרות אחרות. כאשר השימוש החדש חורג מהמטרה המקורית, נדרש, ככלל, לקבל הסכמה נוספת מנושא המידע.

  1. אופן הצגת המידע

גילוי הדעת מדגיש כי השאלה אם הסכמה היא "מדעת" נבחנת לא רק לפי תוכן המידע שנמסר, אלא גם לפי אופן הצגתו. ההסכמה והמידע הנלווה צריכים להיות ברורים, נגישים, פשוטים ומובנים. מסמכים ארוכים, מסורבלים או לא נגישים עלולים שלא לבסס הסכמה מדעת.

הנוסח הסופי מדגיש צורך בבולטות מיוחדת כאשר נאסף מידע רגיש או מידע החורג מציפייה סבירה. כך למשל, באיסוף נתוני מיקום רציף גם כשהאפליקציה אינה פעילה – אזכור בלבד בתנאי שימוש או במדיניות פרטיות עלול לא להספיק, וייתכן שתידרש הבלטה מיוחדת, כגון הודעה "קופצת" (Pop Up). כמו כן, כאשר השירות מיועד לאוכלוסייה בעלת מאפיינים ייחודיים (למשל, אנשים עם מוגבלות), יש להתאים את אופן הצגת המידע ואת תהליך קבלת ההסכמה.

בנוסף, הרשות מדגישה כי יש לבחון גם את האופן שבו המשתמש מופנה למסמכי תנאי השימוש/מדיניות הפרטיות, ומה נדרש ממנו בפועל כדי לאשרם.

  1. רצון חופשי

בנוסף לדרישת ההסכמה "מדעת", הרשות מדגישה כי ההסכמה צריכה לכלול גם רכיב של "רצון חופשי" – כלומר, בחירה אמיתית של נושא המידע. במצבים של פערי כוחות (למשל, יחסי עבודה או שירות חיוני), ההסכמה עלולה להיחשב "חשודה", והנטל להוכיח כי ניתנה מרצון חופשי עשוי לעבור למבקש ההסכמה. כדי לחזק את תוקף ההסכמה, מומלץ להציע חלופות סבירות ולהימנע מהתניית שירות בהסכמה לעיבוד מידע שאינו נדרש באופן סביר למתן השירות.

עם זאת, הנוסח הסופי מבהיר כי גם בהיעדר חלופה מעשית, הסכמה עשויה להיחשב תקפה אם העיבוד נחוץ לשם מתן השירות המבוקש על ידי נושא המידע. בהקשר זה ניכרים קווי דמיון ל-GDPR, שבו לצד הסכמה וחובה חוקית קיימים בסיסי עיבוד נוספים, ביניהם "נחיצות לביצוע חוזה" (Necessary for the performance of a contract). יודגש כי מדובר בהשוואה פרשנית בלבד – הדין הישראלי שונה במבנהו מה-GDPR, ובכלל זה אינו כולל כיום בסיס עיבוד עצמאי של "אינטרס לגיטימי", בדומה להסדר האירופי.

  1. הסכמה מכללא

החוק מכיר בהסכמה מפורשת ובהסכמה מכללא. הסכמה מפורשת יכולה להינתן, בין היתר, בחתימה, באמירה בעל-פה או בפעולה ברורה (כגון לחיצה על רובריקה "אני מסכים"). הסכמה מכללא נלמדת מן ההתנהגות ומן הנסיבות.

הרשות מדגישה כי יש לנקוט זהירות בהסתמכות על הסכמה מכללא. לעמדתה, שתיקה או היעדר מחאה אינם מספיקים, אלא אם הנסיבות מצביעות על כוונת הסכמה ועל מודעות מספקת. בנוסף, גם כאשר ניתן להסתמך על הסכמה מכללא, מומלץ שלא להסתפק בה – במיוחד כאשר מדובר במידע רגיש או בעיבוד העלול לגרום לפגיעה משמעותית בפרטיות.

גילוי הדעת הסופי כולל דוגמה רלוונטית במיוחד לאתרים ולאפליקציות: במקרים מסוימים, המשך שימוש בשירות דיגיטלי לאחר שהוצג לנושא המידע מידע מספק, עשוי להיחשב כהסכמה מכללא. עם זאת, הסכמה מכללא תיחשב תקפה רק כאשר מתקיים קשר סביר בין מטרות איסוף המידע והשימוש בו לבין מאפייני השירות. בעניין זה עולה שאלה, למשל, האם הטמעת כלי ניטור של צדדים שלישיים למטרות פרסום עולה כדי "קשר סביר" למאפייני השירות או שמא יש כאן דרישה סמויה להטמעת אמצעי ניהול הסכמות באתרים.

כמו כן, הרשות מבהירה כי בהקשר הדיגיטלי ניתן לעתים להוכיח הסכמה מכללא באמצעות תיעוד המסכים שהמשתמש נחשף אליהם (למשל, צילומי מסך של המסכים שהוצגו לצורך קבלת השירות). עם זאת, גם אם ניתן ללמוד על הסכמה מכללא לשימוש מסוים, אין בכך כדי לאפשר שימוש אחר במידע ללא קבלת הסכמה חדשה.

  1. מנגנון קבלת ההסכמה (Opt-in לעומת Opt-Out)

גילוי הדעת מבחין בין הסכמה אקטיבית (Opt-in) לבין הסכמה פסיבית (Opt-out). לעמדת הרשות, בנסיבות מסוימות יש לקבל הסכמה אקטיבית, לרבות: כאשר מדובר ב"פרופיילינג" שאינו נדרש או שאינו קשור ישירות למטרת השירות; כאשר קיימים פערי כוחות בין הצדדים; ובהקשר של שירותי דיוור ישיר.

  1. חזרה מהסכמה – דגשים אופרטיביים ושיקולים לצמצום

גילוי הדעת מכיר בכך שבמקרים מסוימים אדם רשאי לחזור בו מהסכמתו ולבקש להפסיק את השימוש במידע אישי אודותיו. חזרה מהסכמה אינה הופכת בדיעבד עיבוד שבוצע קודם לכן לבלתי חוקי, כל עוד ההסכמה המקורית התקבלה כדין. בנוסף, חזרה מהסכמה אינה מחייבת בהכרח למחוק מידע אישי שנאסף כדין בתקופת תוקף ההסכמה. גילוי הדעת מבהיר כי בנסיבות מסוימות ניתן שלא לאפשר חזרה מהסכמה – למשל בשל חובות רגולטוריות, דרישות אבטחת מידע או צרכים לגיטימיים הנובעים מן ההתקשרות (כגון התגוננות משפטית). הנוסח הסופי מונה גם מצבים שבהם ייתכן שלא ניתן יהיה להיעתר לבקשת החזרה במלואה, למשל כאשר מדובר בתהליך שאינו מתמשך וכבר הסתיים (כגון מיון לעבודה או שימוש במחקר רפואי), או כאשר היענות לבקשה אינה אפשרית מבחינה טכנולוגית או כרוכה בהשקעת משאבים בלתי סבירה.

עוד מצוין כי הסתמכות על הגנות מכוח החוק (למשל, סעיף 18(2) לחוק) מחייבת עמידה בדרישת המידתיות והצבעה על אינטרסים לגיטימיים. אחרת, מבקש ההגנה עלול להיחשב כמי שפעל מעבר לנדרש ובחוסר תום לב.

לבסוף, גילוי הדעת כולל המלצות פרקטיות לחיזוק הסכמה מקוונת, כגון הדגשת נקודות מפתח הנוגעות לפרטיות, שימוש בכלים אינטראקטיביים (לרבות באנרים קופצים), התאמה למכשירים שונים, הצגת מידע בשכבות, והימנעות מקבלת הסכמה גורפת כתנאי למתן השירות.

לסיכום, גילוי הדעת מחדד את ציפיות הרשות ביחס לאופן שבו יש לבסס הסכמה תקפה לעיבוד מידע אישי. הדגש המרכזי הוא על הסכמה מדעת ומרצון חופשי, ועל החשיבות של שקיפות, בולטות, תיעוד ורמת פירוט מספקת – באופן המאפשר לנושא המידע להבין את המידע הנאסף, את מטרות השימוש בו ואת הגורמים שאליהם הוא עשוי להימסר.

לפיכך, אנו ממליצים לארגונים לבחון ולעדכן את מנגנוני ההסכמה שלהם, הן בנוסח והן בעיצוב וביישום בפועל, כך שההסכמה תהיה מדעת וחופשית, מפורטת במידה הנדרשת, מתועדת ותואמת את מטרות העיבוד. מומלץ לתת דגש מיוחד למצבי פערי כוח, לשימושים שאינם בליבת השירות, ולדרך הטיפול בבקשות לחזרה מהסכמה.

נשמח לעמוד לרשותכם בכל שאלה.

בברכה,

פרקטיקת סייבר, מידע ופרטיות

שבלת ושות'

[1] סעיף 13 לחוק מעגן את "זכות העיון", המקנה לכל אדם את הזכות לעיין במידע אישי אודותיו המוחזק במאגר מידע. סעיף 14 מעגן את זכותו של נושא המידע לבקש לתקן או למחוק מידע אישי אודותיו, ככל שמצא כי אינו נכון, שלם, ברור או מעודכן.

[2] הסקירה שפרסמנו בנוגע לטיוטת גילוי הדעת בשנה שעברה זמינה כאן.

חדשות נלוות