הרשות להגנת הפרטיות פרסמה ביום 28/4/2025 טיוטת הנחיה תקדימית המבהירה את תחולת חוק הגנת הפרטיות על מערכות בינה מלאכותית (AI). פרסום זה מציב את ישראל בשורה אחת עם רגולטורים מתקדמים בעולם. סקירה תמציתית.
תחולת חוק הגנת הפרטיות על מערכות AI
ההנחיה קובעת במפורש כי חוק הגנת הפרטיות חל על מערכות AI המעבדות או מאחסנות מידע אישי, בכל שלב של מחזור החיים של המערכת – הן בשלב הלימוד והן ביישום. במיוחד מובהר כי גם תוצרים משניים (Inferential Data) המופקים על ידי אלגוריתמים—למשל תחזיות, סיווגים והערכות, ייחשבו למידע אישי לפי החוק.
בסיס משפטי לעיבוד מידע אישי
נקבע כי כל עיבוד של מידע אישי על ידי מערכות בינה מלאכותית (AI) מחייב בסיס חוקי, כגון הסכמה מדעת, עמידה בהוראות חוק הגנת הפרטיות, או עמידה בדרישת המידתיות. בהיעדר בסיס חוקי, העיבוד ייחשב כהפרת פרטיות.
חובת יידוע ושקיפות
הרשות הרחיבה את חובת היידוע והשקיפות בעת שימוש ב-AI, במיוחד כאשר מתקיימים תהליכים של כריית מידע (Data Scraping), או כאשר אלגוריתמים מופעלים על מידע אישי שנמסר שלא במישרין. נציין כי החובה חופפת לגישת ה-GDPR (סעיפים 13–14), אשר מדגישה את הצורך בשקיפות כלפי נושאי המידע לרבות הסבר על אופן פעולת האלגוריתם והמטרות לעיבוד.
אחריותיות (Accountability)
ההנחיה מחדדת את עקרון האחריותיות, המחייב את בעלי מאגרי המידע, מפתחי המערכות ומפעיליהן לוודא עמידה בדרישות החוק, לרבות יישום בקרות פנימיות והצגת יכולת להוכיח עמידה בהוראות. הרשות אף ממליצה למנות ממונה על הגנת הפרטיות (DPO) ולקיים תסקירי השפעה על פרטיות (PIA/DPIA), בדומה לחובות המוטלות לפי ה-GDPR.
אבטחת מידע והתמודדות עם סיכוני הסקה
הרשות מדגישה את הצורך בבחינת סיכוני אבטחת מידע ייחודיים למודלים מבוססי AI—לרבות מתקפות הסקה (Model Inversion & Evasion Attacks). יש לנקוט באמצעי אבטחת מידע מחמירים בהתאם לתקנות אבטחת המידע, תוך בחינה שנתית של קיום עקרון צמצום מידע.
איסור כריית מידע לא חוקית (Data Scraping)
בעלי מאגרי מידע ומפעילי מערכות AI נדרשים למנוע כריית מידע אישי בלתי חוקית מאתרי אינטרנט ומרשתות חברתיות. הפרה עלולה להיחשב לעבירה פלילית לפי תיקון 13 לחוק.
לקריאת ההנחיה המלאה (טיוטה להערות הציבור) – כאן.
סיכום ומסקנות
הטיוטה שפרסמה הרשות להגנת הפרטיות מחילה עקרונות ברורים המיישרים קו עם סטנדרטים אירופיים ואמריקאיים מתקדמים. עסקים, גופים ציבוריים ומפתחי טכנולוגיות AI נדרשים להיערך לעמידה בחובות המפורטות—בפרט בתחומים של בסיס חוקי לעיבוד, שקיפות, מינוי DPO, ניהול סיכונים וביצוע תסקירי פרטיות.
משרד וולר ושות’ מלווה ארגונים, חברות טכנולוגיה, רשויות ציבוריות ומפתחים בהיערכות לעמידה בדרישות הרגולציה החדשות, לרבות יישום עקרונות שקיפות, אחריותיות, ביצוע תסקירי פרטיות (DPIA) והטמעת מנגנוני ציות למערכות בינה מלאכותית. לקבלת ייעוץ משפטי מותאם אישית וליווי בהטמעת דרישות הרשות להגנת הפרטיות – צרו קשר עם משרד וולר ושות’ עוד היום.
