cookies

אדטק, קוקיז, פרטיות ואירופה

ההנחיות הבריטיות להפעלת קוקיז ולפעילות Adtech

יש לכם אתר אינטרנט? אתם מפעילים דפי נחיתה? אולי אתם עוסקים בתחום ה-Adtech? יש לכם כניסות של משתמשים מאירופה? כדאי שתקראו את המאמר הבא.

למרות הברקזיט וההפסד הצורב של תרזה מיי, בימים אלו עוד נחשבת ה-ICO  (הרשות להגנת הפרטיות הבריטית) כאחת מרשויות הגנת הפרטיות המובילות והחשובות באירופה (שאחרות הולכות בעקבותיה). אותה ICO פרסמה לפני זמן מה מדריך המסכם את ההתנהלות הראויה ביחס ל-cookies (קוקיות, בעברית. ידעתם?) וכדאי שנקשיב לה מכיוון שגם רשות הגנת הפרטיות הישראלית מנסה לאכוף את הסטנדרטים האירופים בישראל (על מנת שישראל לא תאבד את החלטת הנאותות האירופית).

אמנם המדריך הבריטי מסתמך רבות על ה-PECR, שהוא דבר חקיקה בריטי (ולא כלל אירופי) אבל הכללים שנקבעו בו די מקבילים לרגולצית ה-ePR (e-Privacy) האירופית המתקרבת, ולכן כדאי שאם אתם בתחום ה-Adtech, מפעילים אתרי אינטרנט או מנהלים דפי נחיתה – תבינו מה נדרש מכם ותתארגנו מראש למה שצפוי לכם.

לכן חשוב להסביר שכרגע החובה לקבל הסכמה לקוקיז עדיין אינה נכללת בחקיקה באירופית אלא בבריטית בלבד, אך בקרוב הדברים עלולים להשתנות והאמור כאן יחול ביחס לכל אירופה. יתר האמור ביחס להסכמה וכדומה, מחייב כבר כיום.

לפני שנתחיל חשוב שנדגיש שההנחיות אינן מתייחסות לקוקיות בלבד, אלא לכל טכניקה טכנולוגית מקבילה שמאפשרת מעקב אחר התנהלות המשתמשים (פיקסלים, ביקונים, פלאגינים של מדיה חברתית וכדומה). לכולן נקרא, לשם הנוחות – "קוקיז".

ההנחיה הבסיסית מבחינה בין קוקיות חיוניות וכאלו שאינן חיוניות.

קוקיות חיוניות (essential) הן מחוייבות המציאות מבחינת חוויית המשתמש של המשתמש (לא האתר). למשל – קוקיז שמאפשרות שמירה של המוצרים שרכשתי בעגלת הקניות ומתן אפשרות להמשיך לגלוש בחנות ולשלם על כל המוצרים יחדיו הן קוקיות חיוניות או קוקיות שנדרשות על מנת שהאתר יוכל לעמוד בדרישות החוק ומקרים דומים אחרים.

קוקיות כאלו, אינן מחייבות קבלת הסכמה (אם כי גם כאן, מן הראוי לתת הודעה ברורה על הפעלתן).

לקוקיות שאינן חיוניות נדרשת "הסכמה"

אולם כשמדובר בקוקיות שאינן חיוניות, נקודת המוצא היא חובה לקבל הסכמה (להבדיל מהמצב המשפטי באירופה כיום בו עדיין מסתפקים האתרים בהודעה על הפעלת קוקיות באמצעות cookie banner).

"הסכמה" אינה כמו שאנחנו מבינים אותה. "הסכמה" מוגדרת ב-GDPR והיא מיושמת גם במקרה שלנו (תוכלו לקרוא על הסכמה לפי ה-GDPR בקישור הזה).

החובה לוודא קבלת הסכמה ולתעד אותה מוטלת על מפעילי האתר. בהעדר תיעוד (אובייקטיבי וחד משמעי) – אין הסכמה.

בקצרה, הסכמה לפי ה-GDPR חייבת להיות: מיודעת, נכונה, ברורה וקלה להבנה, חד משמעית, בולטת, חופשית, לא מסומנת מראש, לא מותנית וניתנת לביטול (כשלכל מונח יש משמעות שצריך לשים לב אליה).

הכלים הטכנולוגיים לקבלת ההסכמות משתנים, ואין זה משנה אם מדובר ב"cookie wall", בהודעה קופצת בחלון נפרד, בשינוי אקטיבי של הגדרות הדפדפן (מקום בו ברירת המחדל היא לא לקבל קוקיות – מצב בסיסי שעדיין אינו קיים) או בכל דרך אקטיבית אחרת.

נוסח ההודעה חייב להיות מלא, ברור ומפורט והבחירה של המשתמשים צריכה להיות קלה ומדוייקת. אחת מהערות ה-ICO היא שאי מתן בחירה בין סוגי קוקיות שונים, כמוה כאי מתן אפשרות להסכים, שכן זו הסכמה מותנית. על האתר להבחין בין סוגי קוקיות שונים (לפי הצד השותל אותן ולפי אופי פעילותן), ולקבל הסכמה לכל אחת מהן.

למשל – "אני מסכים לקבלת  כל הקוקיות" אינה הסכמה. יתרה מכך, אם כבר כללתם אפשרות בחירה של "מסכים לכולן", הדבר לגיטימי אם יחד אליה תתלווה גם האפשרות לבחור ב-"מסרב לכולן".

ה-ICO מדגימה מה, לעמדתה, לא יחשב כהסכמה. למשל, הכללת ההודעה במסגרת תנאי השימוש או מדיניות הפרטיות, ללא הצבה בולטת ונבדלת של ההודעה בעמוד הכניסה לאתר – לא תחשב כהסכמה אפילו אם "אני מסכים" לתנאי השימוש.

כלומר, הדרך הנכונה להודיע על ארוע הפעלת קוקיז היא בהודעה נפרדת, בעמוד הראשון אליו נכנס הגולש באתר, שתסכם את הקווים הכלליים של ההודעה ותכלול גם הפניה למדיניות הפרטיות המלאה. דרך כזו, תחשב כנאותה ומיודעת.

קביעת בעל האתר לפיה "אם אין רצונך שנפעיל קוקיות על המחשב שלך, אנא שנה את הגדרות הדפדפן שלך" היא קביעה שלפי ה-ICO אינה קבילה עוד. כל עוד ברירת מחדל היא הסכמה, ועלי כמשתמש לבצע פעולה אקטיבית לשלול את ההסכמה – זו אינה הסכמה כנדרש.

דוגמא נוספת של פעולה שלא תחשב הסכמה היא יצירת Cookie wall אשר מאפשר רק להסכים לכל הקוקיות או לא לעשות שימוש באתר. זו היא, כמובן, הסכמה מותנית שאסורה לפי ה-GDPR.

איך יש לנסח את ההודעה טרם להסכמה לקוקיז?

רק הודעה, שתבחין בין סוגי הקוקיות, תסביר בקצרה מה הן יעשו במחשב שלי, איזה שימושים יבוצעו במידע הנאסף ותאפשר למשתמש בחירה להסכים או שלא להסכים ביחס לכל סוג בנפרד, תחשב כתקינה לפי רשות הגנת הפרטיות הבריטית (שכאמור – חוות דעתה מנחות את עולם הפרטיות באירופה).

לשם הדוגמא, ראו כיצד מופיעה ההודעה על קוקיז באתר ה-ICO עצמו-

Our use of cookies

We use necessary cookies to make our site work. We'd also like to set optional analytics cookies to help us improve it. We won't set optional cookies unless you enable them. Using this tool will set a cookie on your device to remember your preferences.

For more detailed information about the cookies we use, see our Cookies page

Necessary cookies

Necessary cookies enable core functionality such as security, network management, and accessibility. You may disable these by changing your browser settings, but this may affect how the website functions.

Analytics cookies

Analytics cookies toggle OnOff

We'd like to set Google Analytics cookies to help us to improve our website by collecting and reporting information on how you use it. For more information on how these cookies work please see our 'Cookies page'. The cookies collect information in an anonymous form.

Save and close

 

שימו לב שברירת המחדל באתר היא שהקוקיז סגורות, כל עוד לא אישרתם אותן.

סופו של דבר, אנחנו רואים שרשויות הגנת הפרטיות (וגם באמריקה ניתן למצוא התקרבות למודל האירופי, למשל בחקיקת הגנת הפרטיות המשמעותית בקליפורניה – CCPA) מנסות להקפיד מאוד על נושא זה, עם דגש על תחום ה-Adtech.

אם תרצו לקרוא עוד על הגנת הפרטיות בארץ וה-GDPR באירופה, ליחצו על הקישור.

חשוב לשים לב שהאמור מעלה מעודכן למועד כתיבתו ויתכן שלא יהיה מעודכן בחלוף הזמן.

כמו כן האמור מעלה אינו ממצה ואין להסתמך עליו כעצה, אלא כהסבר כללי בלבד. לכל סוגיה ספציפית יש לפנות למומחה שיסייע בידיכם, ואנו נשמח לעשות זאת אם תצרו עימנו קשר.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-18.08.2021.

 

Comments

comments

לקבלת ייעוץ ראשונישלחו פרטים



    האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא. בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.

    ליצירת קשר ולייעוץ ראשוני –

    03-6133333
    This site was created with the help of Beetle (www.beetle.net.ua)