50 גוונים של הסכמה

סוגיית ההסכמה נמצאת על הפרק כבר כמה עשורים – במיוחד כשזה נוגע למערכות יחסים ומגעים מיניים בין אנשים, אבל גם בהרבה תחומים אחרים בחיים שלנו. נשאלת השאלה: מה בין הסכמה לשימוש במידע אישי במרחב המקוון, הסכמה חוזית, הסכמה לקבלת טיפול רפואי והסכמה מינית? התשובה: כולן הסכמות. עם זאת, כל אחת מהן מקבלת מהמחוקק ארכיטקטורה שונה.

סעיף 1 לחוק הגנת הפרטיות, שנחקק ב-1981 והיה בין חוקי הגנת הפרטיות הראשונים שנחקקו בעולם, אומר כך: "לא יפגע אדם בפרטיות זולתו ללא הסכמתו". מכאן שהמחוקק הישראלי קשר קשר הדוק בין פגיעה בפרטיות ובין הסכמה. מבחינתו, הסכמה יכולה לרפא פגיעה בפרטיות.

בשלב הראשון, פירוש "הסכמה" לפי סעיף 3 לחוק היה "במפורש או מכללא" (באופן משתמע). ב-2007, במסגרת תיקון 9 לחוק, הגדיל המחוקק הישראלי ולא הסתפק ב-"הסכמה" כפי שהוגדרה עד אז בלשון החוק, אלא דרש "הסכמה מדעת".

למעשה, טרם גובשה מסגרת משפטית בהירה דיה לביטוי של "הסכמה מדעת" במעבר מהעולם הפיזי אל העולם הדיגיטלי. מצד אחד דורש המחוקק כי עיבוד ושימוש במידע אישי רגיש יבוצעו בהסכמה, אולם מנגד, אין הגדרה מתי עולה הסכמה לכדי "הסכמה מדעת" במקרים אלה. כמו כן, הארכיטקטורה שהניחו המחוקק ומערכת המשפט נוקטת בגישה שלילית – כלומר, ניסוח בלשון שמבהירה מתי פעולה כלשהי תהיה דווקא פגיעה בפרטיות, ולא תקיים מרחב של פרטיות.

האם יש לנושא מידע סביר יכולת לדעת שהמידע האישי הופסק להיות מעובד? לא ממש. הדבר משול לאדם שמסכים לתנאי חוזה לפני שקיבל הצעה מפורטת, לאדם שנכנס לניתוח מבלי שהרופאה הסבירה לו לאיזה ניתוח ומהם הסיכונים בו, ובהסכמה לסקס מבלי לדעת מי הפרטנר ומתי הוא פוגש אותך. נכון שזה לא הגיוני?

למה נדרשת ארכיטקטורה כל כך מקילה במעבר מיחסים בעולם הפיזי לזה המקוון?

במחקר שאני כותבת לקראת תואר הדוקטורט שלי, אני מבקשת לבחון את השאלות הבאות: מדוע נדרשת ארכיטקטורה כל כך מקילה כאשר עוברים מיחסים בעולם הפיזי ליחסים מקוונים? ואיך מתיישב מנגנון ברירת המחדל Opt Out בחוק הגנת הפרטיות הישראלי, שלפיו אנשים מסכימים שישתמשו במידע שלהם כפי ראות עיני מעבד המידע (למשל בנק, רשת חברתית, משחק מחשב או חברת ביטוח) עם דרישת הדין להסכמה מדעת?

המנגנון המקובל והחוקי בישראל בעת איסוף הסכמה דיגיטלית הוא Opt Out, כלומר – אוסף המידע משאיר איזו הודעה עלומה באתר או באפליקציה ואנחנו מסכימים לכל מה שכתוב בה, גם אם לא קראנו אותה כלל.

נכון, אם אנחנו לא מסכימים, אני יכולה להודיע על כך, והמעבד אמור להפסיק לאסוף את המידע שלי. להפסיק לאסוף, כלומר – האם מותר לו להמשיך לעבד את המידע שהוא אסף עד לאותה נקודה? האם ניתן לראות בשתיקה שלי עד לבקשה להפסיק את השימוש במידע האישי כהסכמה?

עוד שאלה שנשאלת כאן היא: האם יש לנושא מידע סביר יכולת לדעת שהמידע האישי הופסק להיות מעובד? לא ממש. אם נשווה לחוק החוזים, הדבר משול לאדם שמסכים לתנאי חוזה לפני שקיבל הצעה מפורטת. אם נשווה לחוק זכויות החולה, ההסכמה משולה לאדם שנכנס לניתוח מבלי שהרופאה הסבירה לו לאיזה ניתוח, מהו האיבר המנותח, מהן החלופות ומהם הסיכונים בניתוח. אם נשווה להסכמה מינית, מדובר בהסכמה לסקס מבלי לדעת מי הפרטנר ומתי הוא פוגש אותך. נכון שזה לא הגיוני? זאת שאלה רטורית.

שימוש פוגעני במידע אישי, שמכתיב החלטות משמעותיות בחיים

ידוע ששימוש במידע אישי יכול להיות פוגעני מאוד. במדינות רבות, ולא רק בסין, שימוש במידע אישי מכתיב החלטות משמעותיות בחיי האזרחי. למשל: הוא יכול להשפיע על יכולתו לקבל הלוואה מהבנק, למנוע ממנו לרשום את הילד לבית הספר שהוא ראוי לו, לקבוע מה המחיר שהוא ישלם על החופשה ואפילו איזה תפקיד הבן או הבת שלו ת.יקבל בשירות הצבאי.

לסיכום הנושא, בשיח המיני, אי קבלת הסכמה מפורשת משולה לאונס. אין סיבה שהארכיטקטורה של הסכמה דיגיטלית תאפשר עיבוד מידע אישי ללא הסכמה מדעת.

רוצים לשמוע עוד? להטמיע מנגנוני הסכמה בריאים ומיטיבים בארגון שלכם? בואו להרצאתי בכנס PMI של אנשים ומחשבים ביום ג', ה-18 ביוני הקרוב. לפרטים נוספים על הכנס לחצו כאן.

הכותבת הינה עורכת דין, מומחית להגנת מידע ופרטיות, בעברה מנהלת הסיכונים של חדרי המחשב של אינטל, וכן יועצת בכירה בפירמת הייעוץ ארנסט אנד יאנג (E&Y) וברשות להגנת הפרטיות. כיום היא הבעלים של PriveIT – חברה שנותנת שירותי הגנת מידע ופרטיות לחברות מובילות במשק.