עיקרון ההסכמה הוא עיקרון מרכזי בדיני הגנת הפרטיות בישראל - עיבוד מידע אישי מכוח הסכמת אדם יכול להיעשות רק בנסיבות בהן עומדת לו האפשרות להחליט איזה מידע הנוגע אליו ייחשף, למי, ולאילו מטרות. אדם צריך להיות מודע לזכותו לסרב לבקשה, לאחר שהובא בפניו כל המידע הדרוש לו, באורח סביר ובצורה מובנת, כדי לקבל החלטה בנושא.
כך קובעת הרשות להגנת הפרטיות בגילוי דעת שפרסמה אתמול (25.2) בנושא, בראי המציאות הדיגיטלית המתפתחת, שנה בדיוק לאחר שפרסמה טיוטה שלו להערות הציבור. גילוי הדעת משקף את הפרשנות שתשמש את הרשות להפעלת מגוון הסמכויות המסורות לה בחוק הגנת הפרטיות (ובפרט לאחר הרחבת סמכויות אלה בתיקון 13 לחוק), לרבות הפיקוח על מילוי הוראות החוק והתקנות שמכוחו, והטלת קנס מינהלי או עיצום כספי על הפרת הוראותיו.
הרשות מדגישה כי גילוי הדעת אינו עוסק בשאלה מתי ובאילו נסיבות חלה החובה לבקש את הסכמת נושא המידע לעבד מידע אישי, אלא כי הוא מציג את פרשנות הרשות ביחס ליישום החובה - מה היא הסכמה תקפה על-פי דיני הגנת פרטיות, ומהם הכללים לפיה הסכמה שכזו צריכה להתקבל.
להלן עיקרי גילוי הדעת
כללי - איסוף ושימוש במידע אישי, הכרוכים בפגיעה בפרטיות, יכולים להיעשות מכוח הסמכה בדין או בהסכמת נושא המידע, ורק בנסיבות בהן עומדת לו האפשרות להחליט איזה מידע הנוגע אליו ייחשף, למי, ולאילו מטרות. עיבוד מידע על אדם ללא קבלת הסכמתו פוגעת באוטונומיה שלו וביכולתו לשלוט במידע הנוגע אליו. על הסכמה לעבד מידע אישי הכרוך בפגיעה בפרטיות להיות "מדעת", בין אם היא מתקבלת "במפורש" או נלמדת "מכללא".
הסכמה מדעת (informed consent) - על ההסכמה להיות מדעת והיא נועדה להבטיח כי הסכמת אדם לפגיעה בפרטיותו ניתנה מתוך בחירה אמיתית ואוטונומית. בעת בקשה לקבלת הסכמה לפגיעה בפרטיות אדם צריך להיות מודע לזכותו לסרב לבקשה (לרבות מודעות להשלכות החלטתו), לאחר שהובא בפניו כל המידע הדרוש לו, באורח סביר ובצורה מובנת, כדי לקבל החלטה בנושא.
עיקרון ההסכמה, כמו גם חובת היידוע לפי סעיף 11 לחוק, מחייבים את מבקש ההסכמה לספק ולהציג לאדם נתונים שונים על איסוף המידע והשימוש בו, לפי הקשר הפנייה, ובכלל זה פירוט בדבר מטרות איסוף המידע ובדבר זהות הגורמים אליו הוא עשוי להיות מועבר. תוקף ההסכמה והיקפה תלויים בכך. בקשת הסכמה שאינה כוללת את נתוני המידע הנדרשים לגיבוש רכיב ההסכמה "מדעת" עלולה להביא לכך שההסכמה שניתנה לא תיחשב הסכמה תקפה. יש להקפיד כי תוכן ההסכמה והמידע הנלווה לה יוצגו באופן ברור, נגיש, פשוט ומובן.
חובת היידוע בסעיף 11 לחוק בראי ההסכמה מדעת - ביטוי פרטני לרכיב ההסכמה מדעת נמצא בסעיף 11 לחוק, הקובע כי בעת פנייה לאדם לשם איסוף מידע שנועד להיכלל במאגר מידע, יש לפרט בפניו אם חלה עליו חובה חוקית למסור את המידע או שמסירת המידע תלויה בהסכמתו, את המטרה שלשמה מבוקש המידע, וכן למי הוא יימסר ולשם איזו מטרה, וכן מה תוצאת אי-ההסכמה.
הרשות מדגישה כי אין בעמידה בתנאי סעיף 11 כדי להבטיח עמידה בדרישה לקבלת הסכמה מדעת, וכי מדובר בדרישת המינימום המתחייבת מהוראות החוק לביסוס חובת היידוע. הרשות מסבירה כי במקרים מסוימים עשוי מבקש ההסכמה להידרש לפירוט רחב יותר לשם ביסוס רכיב ההסכמה מדעת - כגון בנסיבות בהן קיימים פערי כוח משמעותיים בין צדדים, או כאשר מדובר בפעולה בעלת פוטנציאל לפגיעה קשה בפרטיות.
הסכמה מרצון חופשי - הסכמה לפגיעה בפרטיות חייבת להינתן מתוך רצון חופשי, בעיקר במצבים בהם קיימים פערי כוח בין מבקש ההסכמה לבין נושא המידע (כגון במסגרת יחסי עבודה, או במערכת יחסים שבין צרכן למונופול עסקי, או הסכמה הניתנת לצורך קבלת שירות חיוני). היכן שאדם כלל אינו יכול לסרב לפעולה הפוגעת בפרטיותו, יהיה קשה לראות בהסכמתו ככזו שניתנה מתוך רצון חופשי, והדבר עשוי להשליך על תוקפה של הסכמה זו.
הסכמה במפורש או מכללא - הסכמה לפגיעה בפרטיות יכולה להינתן בצורה מפורשת, או להילמד מכללא ובאופן משתמע. חתימה על חוזה, לחיצה אקטיבית על אישור מסמך תנאי שימוש, ואמרה בעל פה ייחשבו כהסכמה מפורשת (אך גם מחווה גופנית כגון הנהון). הסכמה משתמעת ניתן ללמוד מתוך הנסיבות, הסיטואציה, ודרכי ההתנהגות של האדם נושא המידע, על יסוד הפרשנות הסבירה והמקובלת של אותה התנהגות. הרשות מציינת כי שימוש בשירותים דיגיטליים מסוימים עשוי לעיתים ללמד על הסכמה מכללא של משתמשים לאיסוף ועיבוד מידע על אודותיהם במסגרת שימושים אלו.
הסכמה אקטיבית (Opt-in) או פסיבית (Opt-out) - איסוף מידע ושימוש בו מכוח הסכמה אקטיבית יכול ללמד על מודעות גבוהה יותר לרכיבי ההסכמה. בחוזה אחיד, הסכמת לקוח לשימוש במידע למטרת שירותי דיוור ישיר, שאיננה קשורה בתכלית העסקה, צריכה להיות במתכונת של Opt-in.
חזרה מהסכמה - הסכמה לפגיעה בפרטיות עשויה, במקרים מסוימים, לכלול גם את זכותו של אדם לחזור בו מהסכמתו ולבקש את הפסקת השימוש במידע. אין בחזרה מהסכמה בכדי לפגוע בחוקיות איסוף המידע והשימוש בו שקדמו לה. המשך עיבוד מידע שהכרחי לקיום חובות רגולטוריות, דרישות אבטחת מידע, או לשם צרכים לגיטימיים אחרים הנובעים מההתקשרות בין הצדדים, כגון לצרכי התגוננות משפטית – ייחשבו שיקולים המצדיקים אי-מתן אפשרות לחזרה מהסכמה.
גילוי הדעת אף כולל המלצות של הרשות לחיזוק הליך הקבלה של הסכמה באופן מקוון. [לעיון בגילוי הדעת של הרשות]