Newsletter
ביום 25.2.2026 פרסמה הרשות להגנת הפרטיות נוסח סופי של "גילוי הדעת בנושא הסכמה בדיני הגנת הפרטיות", כשנה לאחר פרסום הטיוטה להערות הציבור. זהו אחד מגילויי הדעת המשמעותיים ביותר שפרסמה הרשות אי פעם, וגם אחד מגילויי הדעת עם השינויים הרבים ביותר בין הטיוטה לנוסח הסופי. הבנת והפנמת כל רבדיו תיקח זמן.
בעדכון זה אנו מסכמים בקצרה את עיקרי המסמך הסופי, תוך הארת השינויים המהותיים לעומת הטיוטה, ומוסיפים תובנות ראשוניות שלנו.
סקירה ומחשבות ראשוניות
בנוסח הסופי נוספה אמירה מפורשת שלפיה גילוי הדעת אינו עוסק בשאלה מתי ובאילו נסיבות חלה החובה לבקש הסכמה, אלא רק בשאלת תקפות ההסכמה ובכללי קבלתה.
לדעתנו: למרות זאת, גילוי הדעת מנוסח כאילו עצם העיבוד של מידע אישי כרוך בפגיעה בפרטיות. זהו נושא שנוי במחלוקת, לאור כך שאין בחוק קביעה כללית שלפיה כל עיבוד מידע פוגע בפרטיות מעצם טיבו (במונחי GDPR, אין דרישה שלכל עיבוד מידע יהיה "בסיס חוקי").
עוד נזכיר כי בדוח הסופי של הצוות הבין-משרדי לבחינת שימושי בינה מלאכותית בסקטור הפיננסי ("דוח הצוות הבין-משרדי") נכתב, לגבי שימוש במידע קיים, כי "אין להסיק כי עצם השימוש במערכת בינה מלאכותית מחייב בהכרח קבלת הסכמה מחדש מכל לקוח" (במילים אחרות, עצם התחלת השימוש בבינה מלאכותית אינה בהכרח כרוכה בפגיעה בפרטיות). בדוח זה יש אמירות חשובות נוספות לעניין אימון מודלים. לחידוד עמדת הרשות נצטרך להמתין לנוסח הסופי של גילוי הדעת של הרשות בעניין בינה מלאכותית – טיוטה להערות הציבור התפרסמה לאחר טיוטת גילוי דעת זה.
גילוי הדעת מדגיש כי כדי להבטיח שנושא המידע מודע לתוכן הבקשה, למטרותיה ולהשלכות ההסכמה או הסירוב, הדגש אינו רק על היקף המידע שנמסר, אלא גם על הצגה ברורה, נגישה, פשוטה ומובנת. תוספת חשובה בנוסח הסופי מבהירה שלדעת הרשות אין צורך לציין פרטים ספציפיים של גורמים שאליהם מידע עשוי להיות מועבר, ואפשר להסתפק בציון סוגי הגורמים והשיוך המקצועי שלהם, "כגון 'חברות פרסום' או 'רשויות אכיפת החוק'", כל עוד אפשר ללמוד על השימוש הספציפי של גורמים אלו במידע. מצד שני, הרשות דורשת פירוט של כלל סוגי המידע וכלל מטרות עיבוד המידע, וקובעת כי הצגה חלקית של פרטים אלו, תוך הסתמכות על ביטויים כגון "בין היתר", לא תענה על דרישת ההסכמה מדעת.
לדעתנו: האפשרות להתייחס ל"חברות פרסום" כמכלול מעניינת במיוחד לאור העניין הגובר בשימוש בקוקיות ובטכנולוגיות פרסום באינטרנט (עוד על כך בהמשך). האפשרות להסתפק בסוגי נעברים גם תומכת בדרישת הרשות לנקוט בשפה ברורה ולהימנע ממסמכים ארוכים מדי. מצד שני, ההסתייגות מביטויים כמו "בין היתר" אינה עולה בקנה אחד עם דרישת הרשות לקיצור. עם זאת, לדעתנו יש להבחין בין שימוש בביטויים כמו "בין היתר" כדי להסוות איסוף של סוגי מידע וסוגי עיבוד אחרים ושונים מהצפוי בנסיבות העניין, לבין שימוש שנועד להבהיר את סוג המידע הנאסף וסוג העיבוד הצפוי ("הכלל מעין הפרט" – ejusdem generis).
לפי גילוי הדעת, עמידה בחובת היידוע שבסעיף 11 היא דרישת מינימום, ואינה מבטיחה בהכרח כי ההסכמה היא "מדעת" (משום שדרישת ה"מדעת" נובעת מפרק אחר בחוק, העוסק בפגיעה בפרטיות). במצבים של פערי כוח, פוטנציאל לפגיעה קשה בפרטיות, או נסיבות מורכבות (למשל טכנולוגיה חדשה), מודגשת "חובה מוגברת" להציג באופן בולט ופשוט נתונים מהותיים נוספים. גילוי הדעת ממליץ לנקוט באמצעים טכניים ועיצוביים שונים, כגון הצגת רמות שונות של פירוט בדבר איסוף המידע ואופן השימוש בו.
לדעתנו: יש בכך אישור לשיטה המקובלת של הצגת עיקרי הדברים יחד עם היידוע הנדרש בסעיף 11 בעת איסוף המידע, עם הפניה למדיניות מפורטת בדף אחר.
גילוי הדעת קושר בין תקפות ההסכמה לבין רכיב "הרצון החופשי", ומציג מצבים שבהם ההסכמה עלולה להיחשב "חשודה" בשל פערי כוח (למשל ביחסי עבודה או בעת קבלת שירות חיוני). המסמך מציע אמצעים לחיזוק הליך ההסכמה, כגון קיומה של חלופה מעשית לשירות (אפילו אם ניתן על ידי גורם אחר) או אי-התניית השירות בעיבוד מידע שאינו נדרש באופן סביר. בנוסח הסופי נוספה הבהרה חשובה, שלפיה גם בהיעדר חלופה מעשית, הסכמה תהיה תקפה כאשר המידע נחוץ למתן השירות המבוקש.
לדעתנו: ההבהרה שנוספה בנוסח הסופי טריוויאלית לכאורה, אולם היא הפכה לבלתי נמנעת לאור המשקל הרב שנוסף לאלמנט הרצון החופשי (שאינו נדרש לפי לשון החוק, ושניסיון להוסיפו לחוק נדחה על-ידי הכנסת בתיקון 9). ב-GDPR, התניית השירות במתן הסכמה מאיינת בדרך כלל את תוקף ההסכמה. פרשנות כזו בישראל הייתה מסכנת עיבודי מידע רגילים במסגרת מסחר קמעונאי סביר, בפרט בעידן האינטרנט. זו גם הסיבה לכך שבסיס העיבוד הנכון לעיבוד קמעונאי תחת ה-GDPR הוא "קיום חוזה", ולא הסכמה. בהמשך נתייחס לעוד "פתח מילוט" מקבלת הסכמה מרצון חופשי – "אינטרס לגיטימי".
גילוי הדעת מפרט את ההבחנה בין הסכמה מפורשת לבין הסכמה מכללא, ומדגיש כי שתיקה או היעדר מחאה, כשלעצמם, אינם מהווים הסכמה תקפה. במקביל קיימת הכרה בהקשרים דיגיטליים שבהם התנהגות עשויה ללמד על הסכמה מכללא, כפוף לתנאים וליכולת הוכחה (למשל, תיעוד המסכים שהוצגו למשתמשים). בנוסח הסופי נוסף הסבר על האפשרות להסכמה מכללא בעצם המשך הגלישה, כפוף ליידוע ולקשר סביר בין מטרות האיסוף ואופן השימוש לבין מאפייני השירות.
לדעתנו: לאחרונה גברו הקולות הטוענים שיש צורך בקבלת הסכמה מפורשת לשימוש בקוקיות, כפי שנעשה באירופה (מכוח חוק מפורש שדורש זאת, שאין לו מקבילה בישראל). אך לפי גילוי הדעת, כל עוד יש גילוי מספיק והשימושים במידע קשורים באופן סביר לשירות, ניתן לראות בהמשך הגלישה הסכמה.
המסמך מבחין בין הסכמה אקטיבית (Opt-in) להסכמה פסיבית (Opt-out), ומציין כי בנסיבות מסוימות, ובפרט כאשר מדובר בשימושים שאינם נדרשים למתן השירות או ב"פרופיילינג" שאינו קשור ישירות למטרת השירות בין צדדים שביניהם יש פערי כוח, לא ניתן להסתפק ב-Opt-out ויש לקבל Opt-in נפרד.
לדעתנו: צריך לשים לב לכך שגילוי הדעת לא דורש קבלת הסכמת Opt-in לכל פרופיילינג, אלא רק כזה שלא "קשור ישירות" למטרת השירות. כדאי גם לשים לב לרמזים שיש בפרק זה ובמקומות אחרים בגילוי הדעת, המקדמים קבלת הסכמות נפרדות לשימושים שונים: הסכמה כללית למטרות העיקריות של ההתקשרות, והסכמות נפרדות למטרות נלוות או שונות.
גילוי הדעת מכיר באפשרות לחזור מהסכמה בנסיבות מסוימות. חזרה מהסכמה אינה פוגעת בחוקיות העיבוד שבוצע קודם לכן אם ההסכמה הייתה כדין. חזרה מהסכמה עשויה לחייב הפסקת עיבוד עתידי הנשען על ההסכמה, אך למרות שעיבוד מידע כולל אחסון, חזרה מהסכמה אינה מחייבת בהכרח מחיקה של מידע שנאסף כדין בעת שההסכמה עמדה בתוקף. גילוי הדעת מונה שיקולים אפשריים לדחיית בקשה (כגון חובות רגולטוריות, אבטחת מידע, התגוננות משפטית, אי-אפשרות טכנולוגית וצורך בהשקעת משאבים בלתי סבירים).
לדעתנו: למרות שגילוי הדעת קובע שחזרה מהסכמה לעיבוד לא מחייבת "בהכרח" את מחיקתו, ניתן לקרוא את גילוי הדעת כמכניס חובת מחיקת מידע עודף לפי דרישה, כפי שקיימת בתקנה 3(א)(2) לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 (להלן: "תקנות הייבוא"), אשר חלות רק על חלק קטן ממאגרי המידע בארץ. מצד שני, בעוד שתקנה 2(ג) לתקנות אבטחת מידע שותקת לגבי הנסיבות שבהן מידע יכול להמשיך להישמר למרות שאינו נדרש עוד למטרה שלשמה נאסף, גילוי הדעת יכול לסייע בקבלת החלטות יישום מושכלות, כי הוא מכיר באי-מחיקה בין השאר מכוח "צרכים לגיטימיים אחרים של בעל השליטה הנובעים מההתקשרות בין הצדדים, כגון לצרכי התגוננות משפטית".
ועדיין, חשוב לזכור שחזרה מהסכמה בדין הישראלי שונה מחזרה מהסכמה ב-GDPR, שבו יש זכות מוחלטת לחזרה מהסכמה – אך רק אם בסיס העיבוד היחיד שחל הוא הסכמה (כידוע, יש ב-GDPR עוד חמישה בסיסי עיבוד אחרים). ההסתייגויות מזכות החזרה בגילוי הדעת מהדהדות את בסיסי העיבוד האחרים ב-GDPR.
גילוי הדעת מייחס חשיבות רבה יותר להיקף הגילוי הנדרש בקשר לעיבוד מידע רגיש, וממליץ ככל האפשר לקבל הסכמה מפורשת לאיסוף מידע רגיש.
לדעתנו: בניגוד ל GDPR, מידע רגיש בחוק הישראלי הוא רק טריגר לחובת אבטחה מוגברת, לדיווח לרשות על המאגר, למינוי DPO ולקנסות מוגדלים, אך מגבלות מהותיות על עצם העיבוד של מידע רגיש אין ממש, למעט כמתואר בגילוי דעת זה.
הביטוי "אינטרסים לגיטימיים" (שמקורו ב-GDPR ומאפשר עיבוד מידע בלי הסכמת נושא המידע) מופיע בגילוי הדעת ארבע פעמים (לעומת אפס בטיוטה), כולן בנסיבות שבהן יש צורך לעבד מידע תוך פגיעה בפרטיות בלי הסכמת נושא המידע. בנוסח הסופי נעשה שינוי חשוב בסעיף שעוסק בהגנות סעיף 18 לחוק: בעוד הטיוטה נתנה משקל רב לכך ש"קבלת הסכמה לא הייתה אפשרית בנסיבות העניין" כדי שההגנה תחול, הנוסח הסופי מצפה מבעל השליטה להצביע על "הסיבות והאינטרסים הלגיטימיים המצדיקים" את הפגיעה בפרטיות.
לדעתנו: מתן המשקל לאינטרסים לגיטימיים פותח פתח למעין בסיס עיבוד של "אינטרס לגיטימי"[1], כמו ב GDPR. בכך, מאזן גילוי הדעת את החיזוק המשמעותי שיש בו ליסוד ההסכמה. איזון זה יכול לפתור מצבים רבים בהם אין אפשרות מעשית לקבל הסכמה, ובוודאי לא הסכמה "מרצון חופשי", כמו במקרה של הצבת מצלמות אבטחה במקומות כמו בתי חולים ואצטדיונים.
נזכיר, כי בדוח הצוות הבין-משרדי נכתב לעניין זה כי "בכל הנוגע לטיב ההסכמה הנדרשת או ליכולת להוכיח בדיעבד את קיומן של אחת מההגנות לפי סעיף 18 לחוק, למשל לצורך עיבוד מידע אישי לצורך פיתוח מודל, יש לתת משקל לשימוש בשיטות התממה מקובלות ומתקדמות, יחד עם נקיטת אמצעים נוספים למניעת סיכון של זיהוי חוזר וזליגת מידע אישי. זאת לצד בחינה של נסיבות נוספות כמו מטרת עיבוד המידע, רמת רגישות המידע, ציפייתו הסבירה של נושא המידע לגבי מה יעשה במידע שלו ועוד."
ב-GDPR, המבקשים להסתמך על אינטרס לגיטימי נדרשים לבצע DPIA (תסקיר השפעה על הפרטיות). נמליץ למבקשים להסתמך על ההגנה בישראל לערוך גם כן תסקיר, בין השאר משום שהסתמכות על ההגנה דורשת שהפגיעה בפרטיות תהיה בתום-לב ומידתית – שני עניינים שהכנת תסקיר מראש תעזור להוכיח.
סיכום והמלצות
מצד אחד, גילוי הדעת הסופי מחזק מגמה של העלאת רף הדרישות לאופן קבלת הסכמה, בעיקר בהקשרים דיגיטליים, שימושים משניים, פרופיילינג, עיבוד מידע רגיש ומצבי פערי כוח. בפרט, גילוי הדעת נותן משקל רב לחזרה מהסכמה.
מצד שני, יש בגילוי הדעת שסתומים רבים למצבים שבהם לא ניתן או לא סביר לקבל הסכמה, בוודאי לא הסכמה מפורשת, נפרדת, מרצון חופשי, ב opt in, [2] או תוך כיבוד בקשה לחזרה מהסכמה, למשל כאשר העיבוד נמצא בציפייתו הסבירה של נושא המידע ואינו חורג מהמקובל, כאשר המידע "נחוץ", "נדרש", "קשור" (או "קשור ישירות") לשירות המבוקש, כאשר יש "אינטרסים לגיטימיים ומשמעותיים", או כאשר הדבר "בלתי אפשרי טכנולוגית" או דורש "כמות משאבים בלתי סבירה".
בהקשר זה יש בגילוי הדעת אמירות חשובות לגבי האפשרות להסתמך על הסכמה משתמעת בקונטקסט דיגיטלי, כמו באתרי אינטרנט. אמירות אלה אינן עולות בקנה אחד עם טענות נפוצות (בעיקר לאחרונה) שלפיהן יש צורך בהסכמה מפורשת לשימוש בקוקיות.
בהתאם מומלץ לשקול כבר כעת:
מיפוי תהליכים שבהם נשענים על הסכמה (או שבהם קיימת אפשרות שהפעולה תיחשב "פגיעה בפרטיות") וקביעת נקודות בקרה.
שיפור תהליכי יידוע והסכמה: בדיקה שנוסחים כלליים ("בין היתר"/"וכיו"ב") לא "מסתירים" עיבודי מידע לא צפויים או לא ברורים, ומעבר לשפה קונקרטית ככל האפשר, עם שכבתיות והבלטה של שימושים חריגים או רגישים.
בחינה מחדש של Opt‑in/Opt‑out: בפרט בשימושים שאינם נדרשים לשירות, בפרופיילינג שאינו קשור לתכלית העסקה, ובמקומות עם פערי כוח.
בניית נוהל "חזרה מהסכמה": מה עוצרים, מה נשמר, ומהן עילות לגיטימיות לדחייה; וכן תיעוד החלטות. ניתן להסתמך לעניין זה על נוהל יציאה מדיוור ישיר (נושא שבו קיימת זכות חזרה מהסכמה/סירוב מאז 1995) ועל נוהל מחיקת מידע לפי דרישה בהתאם לתקנות הייבוא (אם חלות).
תיעוד ראייתי: שמירת תיעוד מסכים (screenshots), גרסאות טקסט, זמן ותצורת ההסכמה – במיוחד בהסתמכות על הסכמה מכללא או במצבי "הסכמה חשודה".
זיהוי מצבים בהם העיבוד לא מסתמך על הסכמה (או שמסתמך על הסכמה "חשודה"), והכנת תסקיר עבורם.
לסיכום, גילוי הדעת הסופי מספק כעת מסגרת מפורטת יותר ביחס לטיוטה, אך גם מחדד את ציפיות הרשות ביחס להליכי הסכמה. נשמח לסייע בבדיקת תהליכי הסכמה בארגון, התאמת היידוע ומדיניות פרטיות, תכנון מנגנונים פרקטיים לחיזוק "הסכמה מדעת", היערכות לבקשות חזרה מהסכמה והכנת תסקירי "אינטרס לגיטימי".
אנו זמינים לרשותכם לכל שאלה.
בברכת חג שמח וימים שקטים,
אייל שגיא, וצוות מחלקת משפט וטכנולוגיה
[1] השימושים במידע שסעיף 18 מאפשר בלי הסכמה מזכירים את בסיסי העיבוד שאינם הסכמה ב GDPR. סעיף 18(2)(ב) מקביל לחובה חוקית/אינטרס חיוני, סעיף 18(2)(ג) מקביל לאינטרס לגיטימי, וסעיף 18(3) מקביל לאינטרס ציבורי.
[2] בקשות הסכמה חוזרות ונשנות גורמות למה שמכונה “consent fatigue” – התשת נושאי המידע בבקשות הסכמה כך שנושאי המידע מסכימים אוטומטית ולוחצים על כל כפתור בלי מחשבה, ובא שכרה של הפרטיות בהפסדה.
מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.
