פרטיות, קוקיז, מטאדאטה ונתוני שיחה

פרק ד' למדריך לרגולצית הפרטיות בתקשורת, אד-טק ושיווק דיגיטלי באירופה (ePR)

זה הוא פרק רביעי במדריך לרגולצית הגנת הפרטיות בתקשורת ובשיווק דיגיטלי (ה-ePR). כל פרקי המדריך נמצאים כאן, כאן, כאן וכאן.

מדריך זה נכתב בחודש מאי 2019 טרם חוקקה הרגולציה או ניתנו פסקי דין בעקבותיה. המחוקק האירופי אף עשוי לבצע שינויים בטקסט החקיקה שלא נכללים במדריך זה. לכן – אנא אל תסתמכו על האמור במאמרים אלו זה כמחליפים ייעוץ משפטי ספציפי או כממצים את כל תנאי הרגולציה. האמור הוא להשכלה כללית בלבד ויש לבדוק כל מקרה לגופו, לרבות את נוסח החקיקה עצמו על כל פרטיו.

סודיות תוכן התקשורת ונתוני התקשורת

שני הנושאים הראשונים אליהם מתייחסת רגולציית ה-ePR האירופית ביחס לתקשורת אלקטרונית הם:

1. תוכן התקשורת. כלומר, תוכן השיחה עצמה ומה נאמר בשיחה בין המשוחחים.
2. נתוני התקשורת, המטאדאטה, המלמדים על פרטים טכניים ביחס לשיחה (מיקום הצדדים, משך השיחה, המתקשרים וכדומה).

נתוני המטאדאטה מוגדרים ברגולציה כ'נתונים המעובדים על ידי שירותי תקשורת אלקטרונית למטרות העברת, הפצת או החלפת תוכן תקשורת אלקטרונית, לרבות נתונים שמאפשרים לעקוב אחרי ולזהות את מקור השיחה או את יעדה, נתונים על מיקומם של מכשירי הקצה המשתתפים בשיחה, התאריך, הזמן, משך וסוג השיחה'.

מכיוון שאיני טכנולוג, לא אבדוק את נכונותה הטכנולוגית של ההגדרה אלא אתייחס אליה כמות שהיא. כך או אחרת, דומה שהכוונה די ברורה, ונוכל להבין מה הם נתוני המטא (ה"מטאדאטה") של השיחה כשנתקל בהם.

כלל המוצא הוא שהן תוכן התקשורת והן נתוניה הם סודיים – אסורה כל האזנה, ציתות, אחסון, סריקה, שמירה או התערבות או עיבוד אחרים בהם, אלא אם הדבר מותר במפורש ברגולציה. ובשפה ברורה: אל תגעו אלא אם ברור לכם שמותר וקיבלתם הסכמה שתוכלו להוכיח ועמדה בכל הדרישות שבדין.

המקרים שמותר לעסקים להשתמש בתוכן השיחה עצמה מנויים בסעיף 6 ולמעשה כוללים את המקרים בהם הדבר הכרחי לשם ביצוע השירות המבוקש בשיחה ולאבטחתה.

המקרים בהם מותר להשתמש בנתוני המטא כוללים את המקרים בהם הדבר הכרחי לצורך ניהול ואופטימיזציה של רשת התקשורת, את נושאי חיוב המשתמשים ויתר הספקים במחיר השיחה, למניעת מרמה וכדומה. חריג נוסף שנמצא ביחס לרכיבים אלו הוא בהסכמת המשתמש.

הגנת המידע שמתייחס לציוד הקצה של משתמשים, ולציוד עצמו (קוקיז)

הרגולציה מוסיפה וקובעת איסור להשתמש בכוח האחסון והעיבוד של ציוד קצה של המשתמשים (ובשפה פשוטה, לשתול קוקיז ורכיבים דומים).

כולנו מכירים את הפתרון שהיה עד היום, לפיו די בהודעה שנמסרת לגולש באמצעות COOKIE BANNER ואין צורך לקבל הסכמה מעבר לכך. ובכן – לא עוד. החל מכניסתה לתוקף הרגולציה תחייב הסכמה (וראו הגדרת "ההסכמה" בפרק המתאים במדריך זה) להשתלת קוקיות.

מנגד, אין צורך בהסכמה לקוקיז ש"אינן פולשות לפרטיות" (non privacy intrusive).

אלא שנשאל – מה ההבדל בין הסוגים?

סביר להניח שקוקיות לצרכי שיווק דיגיטלי (דוגמת ריטרגטינג ורשתות חברתיות) תחייבנה הסכמה. לעומתן, קוקיות שנועדו לשפר את חווית השימוש באתר (דוגמת קוקיז לשמירת תוכן עגלת הקניות או לספירת כניסות לעמוד) לא תחייבנה הסכמה.

מריכוז ההוראות הקבועות ברגולציה להגנת הפרטיות ושיווק דיגיטלי ניתן להבין מתי מותר להשתמש בכלים דוגמת קוקיז (כלומר להשתמש בכושר האחסון והעיבוד של ציוד הקצה ולאחסן אצלו מידע או לאסוף עליו מידע) ואלו הדוגמאות שמפורטות בה –

1. כשמשתמש הקצה הסכים.
2. כשהן לא פולשניות.
3. כשהן סטטיסטיות.
4. כשהדבר נדרש למטרה של ביצוע השידור ברשת.
5. כשהדבר נדרש לצורך מדידת הקהל המקוון בידי הספק.
6. כשהדבר נדרש לשם שמירה על בטחון שירותי המידע, זיהוי תקלות טכניות או איתור מרמה.
7. כשהדבר נדרש לצורך עדכון תוכנה שנדרש מסיבות בטיחותיות.
8. כשהדבר נדרש לאיתור ציוד הקצה שביצע התקשרות חירום.
9. כשהדבר נדרש לצורך ביצוע שירות שמשתמש הקצה ביקש.

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-25.12.2022.