הקדמה
החובה להודיע לאנשים שהמידע שלהם נאסף נובעת מסעיף 11 לחוק הגנת הפרטיות. במסגרת סעיף זה נקבע מפורשות כי כאשר נאסף מידע אישי, יש למסור לבעל המידע הודעה הכוללת את המטרה לשמה נאסף המידע, למי תהיה גישה אליו והאם מסירת המידע נדרשת על פי חוק או שהמסירה מתבצעת מרצון חופשי.
הרשות להגנת הפרטיות פרסמה נייר עמדה בעניין חובת היידוע במסגרת איסוף ושימוש במידע אישי, לרבות במערכות קבלת החלטות מבוססות אלגריתם או בינה מלאכותית.
המלצות
- הוראות סעיף 11 לחוק הגנת הפרטיות לעניין דרישת יידוע חלות בכל המקרים בהם נאסף מידע אישי על אדם פרטי. זאת ללא קשר לשאלה אם הפרט הסכים לאיסוף או אם הדבר נעשה בהסמכה חוקית. דרישה זו חלה גם כאשר פונים לאדם לקבלת מידע לאחר שביקש שירות מסוים.
- אם צד מעוניין לאסוף מידע אישי מאדם אחר, עליו לפרט איזה מידע ייאסף, למי יועבר המידע ומדוע הוא זקוק לו.
- איסוף מידע אישי ללא ידיעתו או הסכמתו של בעל המידע עלול להפר את חוקי הפרטיות. יש לקבל הסכמה מפורשת ומודעת מבעל המידע על מנת להשתמש במידע האישי שלו. לעניין. היקף חובת היידוע עשויה להשתנות בהתאם לסוג המידע המעורב.
- על ההודעה להינתן בשפה ברורה ונגישה אשר תכלול פרטים על אופן שמירת המידע (כגון זהות המורשים לגשת למידע), ועל זכויות נשוא המידע. אם השירות פונה לציבור מסוים (כגון גיל, ארץ מוצא או מוגבלות), חשוב כי שפת ההודעה תהיה מותאמת לציבור זה ככל שניתן. עם זאת, יובהר כי במצב בו קיימים הסדרים משפטיים או רגולטוריים סותרים לגבי אופן יישום חובת ההודעה בנסיבות ספציפיות או ביחס לגופים ספציפיים (כגון בנקים וכיו”ב). הסדרים אלה עשויים לגבור, וייתכן שהגופים הרלוונטיים יצטרכו לפעול לפיהם.
- כאשר נאסף מידע רגיש (כגון מידע ביומטרי), רצוי לכלול במסגרת ההודעות פרטים נוספים על איסוף ושימוש במידע זה.
- בהתאם להוראות תקנה 15 לתקנות אבטחת המידע, כאשר בעל מאגר מידע מתקשר עם גורם חיצוני לצורך קבלת שירות במסגרת ‘מיקור חוץ’, והצד החיצוני מעוניין להשתמש במידע האישי שנאסף על ידו למטרות שונות מהמטרה המקורית של השירות, על הצד החיצוני להודיע על כך לבעל המידע ולבקש את הסכמתו.
- בעת איסוף מידע באמצעות מערכות אוטומטיות (בוטים וכיו”ב), יש לוודא כי כל הפרטים הנדרשים יוצגו בפני בעל המידע לפני האיסוף וזאת בהתאם להוראות סעיף 11 לחוק.
- במסגרת חובת היידוע יש למסור פרטים אודות המערכות האוטומטיות המשמשות לעיבוד המידע, ככל שהדבר רלוונטי לגיבוש ההסכמה וככל שפרט זה אפשרי מבחינה משפטית, טכנולוגית ומסחרית.
- יש ליידע את האדם לאיזו מערכת תהיה גישה לאיזה מידע ולאיזו תכלית.