איך מתמודדת ADTECH באירופה עם פרטיות וקוקיז?

ההנחיות הבריטיות להפעלת קוקיז ולפעילות Adtech

יש לכם אתר אינטרנט? אתם מפעילים דפי נחיתה? אולי אתם עוסקים בתחום ה-Adtech? יש לכם כניסות של משתמשים מאירופה? כדאי שתקראו את המאמר הבא והוא יסביר לכם הרבה דברים.

עם זאת, אפנה אתכם למדריך הייחודי לרגולצית ה-ePr. מאמר זה נכתב טרם כניסתה לתוקף ויתכן שבמועד קריאתו הוא לא יהיה רלוונטי עוד כך שאין להסתמך עליו כמחליף ייעוץ משפטי אלא כשהשכלה כללית בלבד.

ה-ICO (הרשות להגנת הפרטיות הבריטית) נחשבת כאחת מרשויות הגנת הפרטיות המובילות והחשובות באירופה והיא פרסמה לפני זמן מה מדריך המסכם את ההתנהלות הראויה ביחס ל-cookies (קוקיות, בעברית. ידעתם?), וכדאי שנקשיב לה.

אמנם המדריך הבריטי מסתמך רבות על החקיקה הבריטית, אלא שהכללים שנקבעו בה מקבילים במרבית המקרים לרגולצית ה-e-Privacy האירופית המתקרבת. לכן, כדאי שאם אתם בתחום ה-Adtech, מפעילים אתרי אינטרנט או מנהלים דפי נחיתה – תבינו מה נדרש מכם ותתארגנו מראש למה שצפוי לכם.

במועד כתיבת מאמר זה (2019), החובה לקבל הסכמה לקוקיז עדיין אינה נכללת בחקיקה באירופית אלא בבריטית בלבד, אלא שבקרוב הדברים עלולים להשתנות.

לפני שנתחיל חשוב שנדגיש שההנחיות אינן מתייחסות לקוקיות בלבד, אלא לכל טכנולוגיה מקבילה שמאפשרת מעקב אחר התנהלות המשתמשים (פיקסלים, ביקונים, פלאגינים של מדיה חברתית וכדומה). לכולן נקרא, לשם הנוחות – "קוקיז".

ההנחיה הבסיסית מבחינה בין קוקיות חיוניות וכאלו שאינן חיוניות.

קוקיות חיוניות (essential) הן מחוייבות המציאות מבחינת חוויית המשתמש של המשתמש (לא האתר). למשל – קוקיז שמאפשרות שמירה של המוצרים שרכשתי בעגלת הקניות ומתן אפשרות להמשיך לגלוש בחנות ולשלם על כל המוצרים יחדיו הן קוקיות חיוניות או קוקיות שנדרשות על מנת שהאתר יוכל לעמוד בדרישות החוק ומקרים דומים אחרים.

קוקיות (חיוניות) כאלו, אינן מחייבות קבלת הסכמה (אם כי גם כאן, מן הראוי לתת הודעה ברורה על הפעלתן).

לקוקיות שאינן חיוניות נדרשת "הסכמה"

אולם כשמדובר בקוקיות שאינן חיוניות, נקודת המוצא היא חובה לקבל הסכמה (ולא די בהודעה על הפעלתן).

"הסכמה" מוגדרת ב-GDPR בצורה מאוד מפורטת ודווקנית, וחשוב שתקראו ותבינו מה המשמעות של הסכמה לפי ה-GDPR בקישור הזה.

החובה לוודא קבלת הסכמה ולתעד אותה מוטלת על מפעילי האתר. בהעדר תיעוד (אובייקטיבי וחד משמעי) – אין הסכמה.

בקצרה, הסכמה חייבת להיות:

1. מיודעת,
2. נכונה,
3. ברורה וקלה להבנה,
4. חד משמעית,
5. בולטת,
6. חופשית,
7. לא מסומנת מראש,
8. לא מותנית וניתנת לביטול.

לכל אחד ממונחים אלו  יש משמעות ייחודית שצריך להכיר.

הכלים הטכנולוגיים לקבלת ההסכמות משתנים, אבל ראוי שתבדקו את הכלים בהם אתם משתמשים אל מול ערוכי הדין שלכם.

נוסח ההודעה חייב להיות מלא, ברור ומפורט והבחירה של המשתמשים צריכה להיות קלה ומדוייקת. אחת מהערות ה-ICO היא שאי מתן בחירה בין סוגי קוקיות שונים, כמוה כאי מתן אפשרות להסכים, שכן זו הסכמה מותנית.

כך למשל אישור הטקסט "אני מסכים לקבלת  כל הקוקיות" אינו מהווה הסכמה. יותר מכך, אם כבר כללתם אפשרות בחירה של "מסכים לכולן", יחשב הדבר לגיטימי אם תוסיפו גם אפשרות שתוצג באותו אופן של "אני מסרב לכולן".

ה-ICO מדגימה מה, לעמדתה, לא יחשב כהסכמה להודעה כזו: למשל, הכללת ההודעה במסגרת תנאי השימוש או מדיניות הפרטיות, ללא הצבה בולטת ונבדלת של ההודעה בעמוד הכניסה לאתר. גם אם הגולש יקיש על "אני מסכים לתנאי השימוש".

כלומר, הדרך הנכונה להודיע על הפעלת קוקיז היא בהודעה נפרדת, בעמוד הראשון אליו נכנס הגולש באתר ולהציג באמצעותה את הקווים הכלליים של ההודעה יחד עם הפניה למדיניות הפרטיות המלאה.

קביעת שמוצגת בפני הגולש – "אם אין רצונך שנפעיל קוקיות על המחשב שלך, אנא שנה את הגדרות הדפדפן שלך" – היא קביעה שלפי ה-ICO אינה קבילה עוד. ברירת מחדל חייבת להיות סירוב, אלא אם הגולש ביצע פעולה אקטיבית לאשר את ההסכמה.

איך יש לנסח את ההודעה להסכמה?

על ההודעה להבחין בין סוגי הקוקיות, להסביר בקצרה מה הן יעשו במחשב של המשתמש ואיזה שימושים יבוצעו במידע הנאסף. בנוסף עליה לאפשר למשתמש בחירה להסכים או שלא להסכים ביחס לכל סוג בנפרד. רק הודעה כזו תחשב כתקינה לפי רשות הגנת הפרטיות הבריטית.

לשם הדוגמא, ראו כיצד מופיעה ההודעה על קוקיז באתר ה-ICO עצמו-

Our use of cookies

We use necessary cookies to make our site work. We'd also like to set optional analytics cookies to help us improve it. We won't set optional cookies unless you enable them. Using this tool will set a cookie on your device to remember your preferences.

For more detailed information about the cookies we use, see our Cookies page

Necessary cookies

Necessary cookies enable core functionality such as security, network management, and accessibility. You may disable these by changing your browser settings, but this may affect how the website functions.

Analytics cookies

Analytics cookies toggle OnOff

We'd like to set Google Analytics cookies to help us to improve our website by collecting and reporting information on how you use it. For more information on how these cookies work please see our 'Cookies page'. The cookies collect information in an anonymous form.

Save and close

שימו לב שברירת המחדל באתר היא שהקוקיז אינן פועלות, כל עוד לא אישרתם אותן.

סופו של דבר, אנחנו רואים שרשויות הגנת הפרטיות (וגם באמריקה ניתן למצוא התקרבות למודל האירופי, למשל בחקיקת הגנת הפרטיות המשמעותית בקליפורניה – CCPA) מנסות להקפיד מאוד על נושא זה, עם דגש על תחום ה-Adtech.

אם תרצו לקרוא עוד על הגנת הפרטיות בארץ וה-GDPR באירופה, לחצו על הקישור.

חשוב לשים לב שהאמור מעלה מעודכן למועד כתיבתו ויתכן שלא יהיה מעודכן בחלוף הזמן.

כמו כן האמור מעלה אינו ממצה ואין להסתמך עליו כעצה, אלא כהסבר כללי בלבד. לכל סוגיה ספציפית יש לפנות למומחה שיסייע בידיכם, ואנו נשמח לעשות זאת אם תצרו עימנו קשר.

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-25.12.2022