הסכמה בדיני הגנת הפרטיות: מה משתנה בגילוי הדעת החדש
הרשות להגנת הפרטיות פרסמה גילוי דעת סופי בנושא הסכמה. עמידה פורמלית בלשון החוק כבר לא מספיקה, ההסכמה נבחנת גם לפי תוכן ואופן הצגתו (הסכמה מדעת) וגם לפי רצון חופשי אמיתי. מה זה אומר לאתרים, אפליקציות וטפסי הרשמה.
ב-25 בפברואר 2026 פרסמה הרשות להגנת הפרטיות את הנוסח הסופי של גילוי הדעת בנושא הסכמה בדיני הגנת הפרטיות, לאחר הליך של טיוטה להערות הציבור. זהו אחד מגילויי הדעת המקיפים ביותר שפרסמה הרשות, והוא משקף את הפרשנות המשפטית שתשמש אותה בהפעלת סמכויותיה, לרבות פיקוח, רישום מאגרי מידע והטלת עיצומים כספיים. המסר המרכזי שלו פשוט לניסוח אך מרחיק לכת ביישום: עמידה פורמלית בלשון החוק אינה מבטיחה עוד שההסכמה שקיבלתם תיחשב תקפה. גילוי הדעת עצמו אינו עוסק בשאלה מתי בכלל נדרשת הסכמה, אלא באופן שבו כל הסכמה, לכל צורך, צריכה להתקבל כדי להיחשב תקפה.
לגילוי הדעת אין השלכה תיאורטית בלבד. אם אתם מפעילים אתר, אפליקציה, טופס הרשמה, באנר עוגיות או מדיניות פרטיות שמסתמכת על "אישור" של המשתמש, כדאי לבדוק אם המנגנון שלכם עומד בסטנדרט החדש.
עמידה בחובת היידוע היא רק נקודת ההתחלה
סעיף 11 לחוק הגנת הפרטיות, התשמ"א-1981, קובע חובת יידוע בסיסית בכל פנייה לאדם לשם איסוף מידע שנועד להיכלל במאגר מידע. לפי גילוי הדעת, על הפונה לפרט בפני נושא המידע:
- האם חלה עליו חובה חוקית למסור את המידע, או שמסירת המידע תלויה בהסכמתו.
- מהי המטרה שלשמה מבוקש המידע.
- למי יימסר המידע ולשם איזו מטרה.
- מהי תוצאת אי-ההסכמה (חובה שנוספה במסגרת תיקון מס' 13 לחוק).
- זכותו לבקש לעיין במידע על אודותיו, לפי סעיף 13 לחוק.
- זכותו לבקש לתקן את המידע או להביא למחיקתו אם מצא כי אינו נכון, שלם, ברור או מעודכן, לפי סעיף 14 לחוק.
זו רשימה מוכרת, וארגונים רבים מניחים שברגע שהיא מופיעה במדיניות הפרטיות או בטופס ההרשמה, "עשינו את שלנו". גילוי הדעת מבהיר שזו טעות: עמידה בדרישות סעיף 11 היא דרישת מינימום בלבד לשם קיום חובת היידוע, ואינה מבטיחה כשלעצמה שההסכמה שהתקבלה תיחשב "מדעת". ולא רק זה: תיקון 13 גם הוסיף לחוק את סעיף 8(ד)(1), האוסר על עיבוד מידע אישי שנוצר, התקבל, נצבר או נאסף בניגוד להוראות החוק או להוראות כל דין אחר המסדיר עיבוד מידע, ובכלל זה מידע שנאסף בלי הסכמה תקפה ובלי הסמכה אחרת בדין. כלומר, הסכמה פגומה אינה רק בעיה תיאורטית, היא עלולה להפוך את כל האיסוף עצמו לבלתי חוקי.
הסכמה "מדעת": גם מה מגלים, גם איך מציגים את זה
סעיף 3 לחוק קובע כי הסכמה לפגיעה בפרטיות, בין אם ניתנה במפורש ובין אם נלמדת מכללא, חייבת להיות "מדעת". לפי גילוי הדעת, הבדיקה הזו כוללת שני רבדים: תוכן, כלומר האם הוצגו לנושא המידע הנתונים הדרושים לו, באורח סביר, כדי להחליט אם להסכים, ואופן ההצגה, כלומר האם המידע הוצג בצורה ברורה, נגישה, פשוטה ומובנת.
ברובד התוכן, בקשת הסכמה שאינה כוללת פירוט מספק על סוגי המידע הנאסף ומטרות השימוש בו, ובכלל זה שימוש בביטויים כלליים כמו "וכיו"ב" או "בין היתר", עלולה שלא לעמוד בדרישת ה"מדעת". ברובד ההצגה, אתר שמדיניות הפרטיות או תנאי השימוש שלו אינם נגישים בצורה סבירה, או מוצגים בצורה מסורבלת, ארוכה וקשה להבנה, עלול להיחשב כמי שלא ביסס הסכמה מדעת, גם אם כל הפרטים הפורמליים נכללים בטקסט אי-שם.
בפסיקה שאליה מתייחס גילוי הדעת נקבע מבחן דו-שלבי לבחינת תוקף ההסכמה: ראשית, האם השימוש שעליו נסבה הבקשה מקבל ביטוי גלוי וברור בתנאי השימוש, כך שאדם סביר יכול להבין אותו מקריאתם. שנית, כיצד בפועל מתקבלת ההסכמה, כיצד מפנים את המשתמש למסמך תנאי השימוש, וכיצד הוא נדרש בפועל לאשר אותו.
חשוב גם לדעת: כאשר קיימים פערי כוח משמעותיים בין הצדדים, מדובר בפעולה בעלת פוטנציאל לפגיעה קשה בפרטיות, או שמדובר בטכנולוגיה חדשה שההשלכות שלה אינן ברורות דיין, חובת ה"מדעת" הופכת מוגברת: על מבקש ההסכמה להקפיד להציג באופן בולט ופשוט את כל הנתונים המהותיים הרלוונטיים להחלטה, מעבר לרשימת המינימום שבסעיף 11.
הסכמה מרצון חופשי, ומתי היא נחשבת "הסכמה חשודה"
לצד הדרישה שההסכמה תהיה מדעת, קיימת דרישה נפרדת ועצמאית: על-פי מהותה, הסכמה לפגיעה בפרטיות חייבת להינתן מתוך רצון חופשי. במצבים שבהם קיימים פערי כוח בין הצדדים, למשל ביחסי עבודה (לרבות מול עובדים ומועמדים לעבודה), הסכמה הניתנת במערכת יחסים שבין צרכן למונופול עסקי, או הסכמה הניתנת לקבלת שירות חיוני (כגון שירותי תחבורה ציבורית, שירותי בריאות או שירות טכנולוגי חיוני), ההסכמה עלולה להיחשב "הסכמה חשודה", כזו שקיים ספק אם ועד כמה ניתן לראותה כהסכמה שניתנה מתוך רצון חופשי, כן ואמיתי. במצב כזה, הנטל להראות כי ההסכמה ניתנה מתוך רצון חופשי עשוי לעבור לכתפיו של מבקש ההסכמה.
כדי להראות שההסכמה משקפת בחירה אמיתית, יכול מבקש ההסכמה לנקוט אמצעים כגון העמדת חלופה סבירה, או הימנעות מהתניית קבלת השירות במתן הסכמה לאיסוף מידע שאינו נדרש באמת לשם מתן השירות. גם קיומה של חלופה סבירה אצל גורם אחר בשוק יכולה לשמש מענה הולם לטענה שההסכמה אינה חופשית. עם זאת, במצב שבו אדם כלל אינו יכול לסרב לפעולה הפוגעת בפרטיותו, יהיה קשה לראות בהסכמתו ככזו שניתנה מרצון חופשי, וזאת בין אם ניתנה במפורש ובין אם מכללא. מנגד, הסכמה עשויה להיחשב תקפה גם כשאין לנושא המידע חלופה מעשית אחרת, כל עוד המידע נחוץ באמת לשם מתן השירות שהוא עצמו מבקש לקבל.
אין יותר "הסכמה גורפת" לכל שימוש עתידי
גילוי הדעת מדגיש שהסכמה שניתנה למטרה מסוימת אינה מתירה כשלעצמה שימוש במידע למטרות אחרות, עיקרון שקבוע בסעיפים 2(9) ו-8(ב) לחוק. ככל שהשימוש רחוק יותר מהמטרה העיקרית שלשמה נאסף המידע, למשל שימוש למטרות פרסום ממוקד, פרופיילינג או התאמה אישית, כך גדל הצורך בהסכמה ספציפית ונפרדת לאותו שימוש, ולא בהסתמכות על ניסוח כללי במדיניות הפרטיות. כאשר שירות מבקש לאסוף מידע למטרה השונה באופן מהותי מתכלית העסקה העיקרית, יש לתת לכך ביטוי ובולטות במסגרת הצגת מטרות השימוש, ככל הניתן בנפרד משאר תנאי ההתקשרות, בטרם מתן ההסכמה.
הסכמה מפורשת, מכללא, ואקטיבית מול פסיבית
הסכמה יכולה להינתן במפורש (חתימה, לחיצה על "אני מסכים", אמירה בעל פה) או מכללא, כלומר משתמעת מהנסיבות ומהתנהגותו של האדם. בהקשר הדיגיטלי, המשך "גלישה" באתר לאחר שהוצג המידע הנדרש לשם קבלת הסכמה מדעת, בדרך כלל ייחשב הסכמה מכללא לאיסוף המידע. עם זאת, בתי המשפט צמצמו לא אחת את האפשרות להסתמך על הסכמה מכללא: שיתוף פרטים מסוימים עם גורם אחד אינו מהווה הסכמה לחשיפתם לגורם אחר, והשארת תיבת דואר אלקטרוני פתוחה על גבי מחשב אינה מהווה הסכמה שמישהו יעיין בהודעות.
לאור זאת, גם כשהסתמכות על הסכמה מכללא אפשרית מבחינה משפטית, רצוי לפנות לקבלת הסכמה מפורשת, בעיקר במקרים של איסוף מידע רגיש או נקיטת פעולה שעלולה להביא לפגיעה קשה בפרטיות. שתיקה או העדר מחאה, כשלעצמם, אינם יכולים ללמד על הסכמה תקפה, אלא כאשר קיימות נסיבות שמהן ניתן ללמוד שנושא המידע אכן התכוון להעניק את הסכמתו, ושהייתה לו המודעות הנדרשת לכך.
לצד זאת, כאשר הסכם כולל סעיפים למתן הסכמה לאיסוף מידע שאינו נדרש למתן השירות, או לשימוש בו למטרה השונה מהותית ממטרת ההסכם העיקרית, גילוי הדעת ממליץ שההסכמה הנפרדת לכך תתקבל במתכונת אקטיבית (סימון ייעודי, Opt-in) ולא באופן פסיבי (הימנעות מסימון תיבת התנגדות, Opt-out). ויש שני מצבים שבהם עמדת הרשות היא שהסכמה פסיבית אינה מספיקה כלל: הסכמה לשימוש במידע לצרכי "פרופיילינג" שאינו קשור ישירות לתכלית השירות, בפרט כשקיימים פערי כוח בין הצדדים, וכן הסכמה לשירותי דיוור ישיר שאינם קשורים בתכלית העסקה.
מנגנוני הטעיה ועיצוב ("Dark Patterns")
גילוי הדעת מתייחס גם לכלים עיצוביים ו"טקטיקות אפלות" (dark patterns) שנועדו להקשות על נושא המידע להבין את משמעות הסכמתו ולהשפיע באופן פסול על החלטתו, לא רק לניסוח המילולי: עיתוי מטעה, הפרעה לזרימת השימוש הרגילה כדי לחלץ הסכמה, או ממשק שמקשה להבין כיצד מסרבים. לדוגמה, אפליקציית משחק לילדים ש"מקפיצה" שוב ושוב בזמן המשחק בקשה לאיסוף נתוני מיקום, "מקפיאה" את המשחק, ואינה מאפשרת ביטול פשוט של ההודעה החוזרת, עלולה להיחשב כמי שעושה שימוש בטקטיקה אפלה. שימוש בטכניקות כאלה עלול להעיד על כך שההסכמה שהתקבלה לא ניתנה מדעת ומתוך רצון חופשי אמיתי.
קטינים ואוכלוסיות ייחודיות
כשההסכמה מיועדת לאוכלוסיות עם מאפיינים ייחודיים, ובפרט כאשר השירות או המוצר פונה בעיקרו לאוכלוסייה כזו (למשל קטינים, או אנשים עם מוגבלות שאינם יכולים לצרוך את המידע באופן הרגיל), על הארגון להתאים את אופן הצגת המידע כך שיאפשר הבנה אמיתית בפועל, לא רק הצגה פורמלית זהה לזו המיועדת לכלל הציבור.
ומה קורה כשמישהו מבקש למשוך את הסכמתו?
זו שאלה שבה כדאי להיזהר מהכללות. משיכת הסכמה עוצרת, ככלל, שימוש עתידי במידע לצורך שלגביו ניתנה ההסכמה, ואינה פוגעת בחוקיות האיסוף והשימוש שקדמו לה, ככל שנעשו כדין. השאלה אם משיכת ההסכמה מחייבת גם מחיקה מיידית של כל המידע שכבר נאסף תלויה בנסיבות ובחובות נוספות שחלות על הארגון, כגון חובות רגולטוריות, שמירת מידע לצורכי אבטחת מידע, או הגנה על זכויות משפטיות. הרשות ממליצה לבחון בחיוב בקשות למשיכת הסכמה ככל האפשר, גם כשההסכמה אינה הדירה מלכתחילה מבחינה חוזית, במיוחד כשהמשך השימוש עלול לפגוע קשות בפרטיות המבקש והארגון אינו יכול להצביע על אינטרס לגיטימי ומשמעותי להמשך העיבוד. לפני שאתם קובעים מדיניות פנימית גורפת בנושא, מומלץ לבדוק את הנסיבות הספציפיות שלכם.
אז מה עושים השבוע?
- למפות את כל נקודות איסוף ההסכמה באתר, באפליקציה ובטפסים, ולוודא שכל אחת מהן ברורה, ספציפית ומנוסחת בשפה שנושא המידע באמת מבין, בלי "וכיו"ב" ו"בין היתר".
- לעדכן את מדיניות הפרטיות והסכמי השימוש, כך שיסירו ניסוחים גורפים ויבחינו בין המטרה העיקרית לבין שימושים משניים (שיווק, פרופיילינג, דיוור ישיר) שדורשים הסכמה אקטיבית ונפרדת.
- לוודא שקיים מנגנון נוח למשיכת הסכמה, בנוסח שאינו מקשה יותר מאשר הליך מתן ההסכמה עצמו.
- אם אתם פועלים מול אוכלוסיות עם פערי כוחות, קטינים, או אוכלוסיות ייחודיות, לבצע בדיקה ממוקדת של מנגנון ההסכמה עם איש מקצוע לפני שמסתמכים עליו.
הסכמה שסימנו בה "וי" בתיבה אינה בהכרח הסכמה תקפה. הרשות בוחנת עכשיו את מה שקרה מאחורי התיבה: האם המידע הוצג כראוי, ואם ההסכמה ניתנה מתוך בחירה אמיתית.
שאלות נפוצות
מתי פורסם גילוי הדעת בנושא הסכמה, ומה קדם לו?
הנוסח הסופי פורסם ב-25 בפברואר 2026, לאחר שהרשות פרסמה קודם לכן טיוטה להערות הציבור. גילוי הדעת נחשב לאחד המקיפים ביותר שפרסמה הרשות, והוא משקף את הפרשנות המשפטית שתשמש אותה בהפעלת סמכויותיה, לרבות הטלת עיצומים כספיים.
אנחנו כבר עומדים בדרישות סעיף 11 לחוק, זה לא מספיק?
עמידה בחובת היידוע לפי סעיף 11 היא דרישת מינימום הכרחית, אבל לא מספיקה כשלעצמה. הרשות בוחנת בנוסף אם ההסכמה ניתנה בפועל מתוך הבנה אמיתית ורצון חופשי, לא רק אם המידע הפורמלי הוצג.
מה זה "הסכמה חשודה", ומתי זה רלוונטי לארגון שלנו?
הסכמה עלולה להיחשב "חשודה" כאשר קיים פער כוחות בין הארגון לנושא המידע, למשל ביחסי עבודה מול עובדים או מועמדים, תלות בספק בעל מעמד מונופוליסטי, או כשההסכמה נדרשת לקבלת שירות חיוני. במצב כזה נטל ההוכחה שההסכמה ניתנה מרצון חופשי עשוי לעבור לארגון.
האם אפשר עדיין להסתמך על הסכמה מכללא, למשל המשך גלישה באתר?
לעיתים כן, אך בתי המשפט צמצמו לא פעם את ההסתמכות עליה, ושתיקה בלבד אינה מספיקה. הרשות ממליצה להעדיף הסכמה מפורשת ואקטיבית ככל הניתן, בעיקר במידע רגיש או בפעולה שעלולה לפגוע קשות בפרטיות.
מתי חייבים דווקא הסכמה אקטיבית ונפרדת (Opt-in), ולא מספיקה הסכמה כללית?
בעמדת הרשות, הסכמה אקטיבית ונפרדת נדרשת בפרט לשימוש במידע לצרכי פרופיילינג שאינו קשור ישירות לתכלית השירות, במיוחד כשקיימים פערי כוח, וכן להסכמה לשירותי דיוור ישיר שאינם קשורים בתכלית העסקה.
מישהו ביקש למשוך את הסכמתו, האם אנחנו חייבים למחוק את כל המידע שלו מיד?
משיכת הסכמה עוצרת ככלל שימוש עתידי במידע לצורך שלגביו ניתנה ההסכמה, אבל השאלה אם היא מחייבת גם מחיקה מיידית של מידע שכבר נאסף תלויה בנסיבות ובחובות נוספות שחלות עליכם, כמו חובות רגולטוריות, אבטחת מידע או הגנה על זכויות משפטיות. מומלץ לבדוק זאת לעומק לפני קביעת מדיניות גורפת.