הרשות להגנת הפרטיות פרסמה מסמך עמדה בענין שימוש באמצעי תשלום מתקדמים להעברת כספים

נועה גבע, עו"ד (CIPP/E)

ביום 22.4.2021 פרסמה הרשות להגנת הפרטיות מסמך עמדה בענין "פרטיות באמצעי תשלום מתקדמים להעברת כספים ולתשלום בבתי עסק", המתייחס לראשונה לנושא ה"עוגיות" והרשאות גישה לרכיבים רגישים במכשיר הנייד.

שוק התשלומים עובר מהפכה, ובמסגרת ההתפתחות הגלובלית של תחום הפינטק ומימוש ה"ארנקים הדיגיטליים", החלו להיכנס לשוק הישראלי אפליקציות להעברת כספים בין יחידים ואמצעים מתקדמים לתשלום בבתי עסק.

אמצעי תשלום מתקדמים אלה אוספים מידע רגיש אודות משתמשים, באופן העשוי להעיד רבות על אישיותם, העדפותיהם ואורח חייהם. המידע מנותח לצרכים מסחריים, ועשוי לשמש לשיפור סוג המוצרים, השירותים וההצעות שיוצעו למשתמשים וכן לפרסום, שיווק ישיר, ניטור וניתוח סטטיסטי שלו.

על רקע זה, פרסמה הרשות להגנת הפרטיות מסמך המלצות לניהול השימוש באמצעי תשלום מתקדמים בהיבטים של פרטיות, הסכמה ואבטחת מידע.

מסמך העמדה של הרשות רלבנטי לא רק לתחום אפליקציות התשלומים, ויש בו כדי ללמד אודות עמדת הרשות להגנת הפרטיות בנוגע לאיסוף מידע אודות משתמשים באפליקציות שונות, לרבות – אישיותם, העדפותיהם ותחומי העניין שלהם.

הרשות נוקבת במספר עקרונות רלבנטיים מתוך דיני הגנת הפרטיות:

• עיקרון ההסכמה: יישום ראוי של עקרון זה מחייב את מבקש ההסכמה לפרט את כלל הפרטים הרלבנטיים לקבלת החלטה בנושא, בין היתר - איזה מידע ייאסף בעקבות ההסכמה, אילו שימושים ייעשו בו, למי הוא עשוי להיות מועבר ולשם איזו מטרה. ההסבר נדרש להיות ברור, ישיר ובשפה נגישה וכן לכלול פירוט בדבר זכויות מושא המידע. במקרים רבים יידוע אינו מספק ונדרשת הסכמה אקטיבית Opt-in לאיסוף המידע. זאת במיוחד בנסיבות בהן מדובר במידע מזוהה (או ניתן לזיהוי) על אדם, כאשר איסוף המידע והשימוש בו נועדו לצרכי פרופיילינג, וכאשר ההסכמה ניתנת בנסיבות בהן קיימים פערי כוחות בין מבקש ההסכמה למעניק אותה.

• עקרון צמידות המטרה: שימוש במידע יכול להיעשות רק למטרה לשמה הוא נאסף מלכתחילה.

• זכויות נושאי המידע: יש להודיע למושא המידע על הכוונה לאיסוף המידע תוך פירוט מטרות השימוש בו, ותוך ציון האם יש חובה חוקית למסירת המידע או שמא הדבר נתון להסכמתו. למושא המידע יש זכות לעיין במידע הנוגע אליו, לדרוש את תיקונו בנסיבות מסוימות, ולדרוש מחיקת מידע אודותיו המשמש לדיוור ישיר.

נקודות נוספות שצויינו במסמך:

• מתן הרשאות גישה: אין מקום לאסוף כברירת מחדל הסכמה למתן הרשאות גישה לרכיבים ומקורות מידע רגישים במכשירים הניידים, כגון: מצלמה, רשימת אנשי קשר, גלריית תמונות, לוח שנה, נתוני מיקום המכשיר, כאשר השירות עצמו במתכונתו הבסיסית יכול להינתן גם ללא גישה לאותן הרשאות. במקרים אלה, רצוי לקבל הסכמה אקטיבית (opt-in) מצד המשתמשים ולהקפיד על הסבר תמציתי ומובן במסמכי מדיניות הפרטיות ותנאי השימוש, בדבר המשמעות של מתן כל הרשאה ומידת נחיצותה לעצם הפעלת השירות במתכונתו הבסיסית.

• איסוף ועיבוד מידע במסגרת קבצי "עוגיות": המסמך מוסיף לראשונה המלצה בנושא, וקובע כי רצוי כי הליך בקשת ההסכמה לשימוש בקבצי עוגיות שאינם חיוניים לשירות העיקרי (אמצעי התשלום המתקדמים) ייעשה באופן נפרד ותוך הצגת הסבר ביחס להשלכות מתן ההסכמה לשימוש בקבצים אלו, וקבלת הסכמה אקטיבית במודל opt-in.

• הסכמה לשימוש בטכנולוגיות אחרות: עמדת הרשות היא כי הסכמה כללית לשינוי מהותי בטכנולוגיה שיהיה בעל השפעה על פרטיות, אינה יכולה להוות הסכמה מספקת. לפיכך כל שינוי מהותי בסוג הטכנולוגיות בהן נעשה שימוש, יוצג למשתמשים לצורך קבלת הסכמה אקטיבית מחודשת מטעמם, לרבות תוך פירוט המשמעויות וההשלכות האפשריות של השינוי על פרטיותם.

עדכון זה אינו מהווה ייעוץ או חוות דעת משפטית בנושא, והוא מוגש כסקירה כללית. בכל נושא ספציפי יש לפנות למשרדנו לקבלת ייעוץ.