7 המלצות שיכינו אתכם ל-ePR: מהפכת הקוקיז הבאה באירופה

זוכרים את חוק הגנת הפרטיות האירופאי GDPR? אז בקרוב תיכנס לתוקף אחותו הקטנה ePR, ואז תתחולל מהפכת הפרטיות הבאה שעליכם להתכונן לקראתה. מה בדיוק ואיך? כל התשובות (וההמלצות) במאמר הבא.
יורם ליכטנשטיין
חוקי הגנת הפרטיות החדשים באירופה

“קוקיות” זה המונח שהאקדמיה שלנו אימצה למונח הלועזי Cookies. אני אעדיף לקרוא להן בשם המוכר יותר, “קוקיז”. אלו הן קובצי מידע (טקסט) קטנים, הנשמרים על המחשב שלכם בשעה בה אתם מבקרים באתרי אינטרנט שונים. אין משווקים דיגיטליים שלא משתמשים בקוקיות ולא יודעים מה משמעותן.

מאמר זה נכתב בחודש יולי 2021 והוא אינו מתעדכן! אנא בדקו את המצב בפועל בכל מועד עתידי ואל תסתמכו עליו.

מאמר זה אף מנסה לסכם בקצרה חקיקה מורכבת ביותר. לכן אין להסתמך על האמור בו אלא כהסבר ראשוני בלבד. בכל מקרה של שאלה משפטית יש להתייעץ עם עורך דין מומחה, ולא לסמוך על האמור באתר בלבד.

מה זה ePR ו-GDPR?

ה-GDPR היא חקיקה בשוק האירופי המסדירה את נושא הגנת הפרטיות במידע אישי. אם תרצו לקרוא עוד על ה-GDPR, לחצו על הקישור שמימין ותלמדו. לכן, ככל שאתם אוספים מידע שיש בו מידע אישי, תמצאו את עצמכם כפופים לחובות ה-GDPR, ללא קשר עם ה-ePR.

אני יודע. כולנו שמענו על ה-GDPR, אם כי מרביתנו לא ממש הבין את המשמעות שלה על המידע אותו אנחנו אוספים. אבל בימים אלו נמצאת בשלבים מתקדמים רגולציה מקבילה שאיש אינו מכיר, וכשהיא תתקבל תתרחש רעידת אדמה בתחום הצבת הקוקיז באתרי אינטרנט שונים: ה-ePR.

ה-ePR היא חקיקה אירופית שנועדה להכנס לתוקף יחד עם ה-GDPR והיא משלימה אותה. אלא שבמועד כתיבת מאמר זה הרי שה-ePR טרם הפכה לחוק. היא נמצאת בשלבי דיונים מתקדמים וסביר להניח שתהפוך לחוק בשנה-שנתיים הקרובות.

עיסוקה העיקרי (לא היחיד) של ה-ePR הינו במגבלות שונות שמוטלות על נתוני תקשורת דיגיטלית (ה”מטא-דאטה” שמתייחס למשל לתשדורות וואטסאפ, פייסבוק, דוא”ל, אינסטגרם, הודעות פוש לטלפון ודומיהן) ועל הפעלת קוקיות.

אם תרצו את האבחנה בין שתי הרגולציות במשפט אחד (טוב, שניים), הרי שיש להבחין בין:

  1. המידע שנאסף בידינו (עליו חלה חקיקת הפרטיות הישראלית, כמו גם האירופית, ה-GDPR).
  2. האמצעים בהם נעשה שימוש (עליהם תחול בעתיד ה-ePR).

הדין החל באירופה היום ביחס להפעלת קוקיות

במאמר זה אתעלם מחובות הגנת הפרטיות המוטלות על המידע שנאסף באמצעות הקוקיות, ואתייחס רק לחובת ההודעה לגולש על הפעלתן או החובה לקבל את הסכמתו. שימו לב שחובתכם להסדיר גם את כל נושא הגנת הפרטיות במידע (למשל מעקב אחר תנועות המשתמש באתר שאותו אתם מקדמים).

במועד כתיבת מאמר זה, באירופה מוטלת חובה להודיע למבקר על כי נעשה שימוש בקוקיז ולאפשר לו לסרב אם ירצה בכך. אחרי ההודעה, ניתן לאפשר לו להמשיך לגלוש באתר תוך הפעלת הקוקיות. כלומר, אין מניעה כיום להפעיל קוקיות. בארץ אומנם אין חקיקה ספציפית, אך לאור פרשנות הדין חל פתרון דומה.

בלשון אחרת, המדיניות השולטת כעת באתרי אינטרנט אירופיים (ומקובלת גם בישראל, בהתעלם כרגע מחקיקת הגנת הפרטיות), נקראת Cookie Notice – סוג של Opt-Out.

הדין העתידי באירופה ביחס להפעלת קוקיות

השינוי הגדול שטמון ברגולציית הפרטיות המקוונת, ה-ePR, ביחס לקוקיז הוא המעבר למנגנון של Opt-In, שמוכר גם בשם Cookie Wall.

כלומר, לא עוד הודעה והמשך שימוש בקוקיות ללא הגבלה.

כאשר תתקבל הרגולציה החדשה, ברירת המחדל תהיה איסור הפעלת קוקיז, אלא אם המשתמש אישר; וגם אז – רק את הקוקיז שאושרו על ידו.

אני חוזר: ייאסר על אתר שמפעיל קוקיז להציג תוכן כלשהו למשתמש, אלא אם המשתמש אישר במפורש ובאופן אקטיבי את הקוקיות ספציפיות. כן כן.

עם אישור הרגולציה, תדרשו לתת הודעה מאוד ברורה ומפורטת באשר לקוקיז השונות שברצון האתר להפעיל, תדרשו לאפשר למשתמשים לבחור אילו קוקיז ירצו להפעיל (ולהבדיל בין הפעלת הסוגים השונים), תצטרכו לקבל (ולתעד נכונה) הסכמה של המשתמש לכל קוקי שתפעילו ולבסוף – יאסר עליכם להפעיל קוקיז שלא אושרו.

“הסכמה” – מה היא?

מסתבר שהמחוקק האירופי ואנחנו מתייחסים ל”הסכמה” בצורה שונה.

“הסכמה” לפי ה-ePR זהה לזו הקבועה ב-GDPR (להרחבה בנושא מה זו הסכמה לפי ה-GDPR ראו בקישור המצורף).

באופן כללי ולא ממצה, “הסכמה” לפי המחוקק האירופי אינה יכולה להיות תנועת אצבע פשוטה על המסך לצד כפתור סתמי עליו כתוב “אני מסכים”. כבר כיום יש להקפיד בה הרבה יותר.

על ההסכמה להתבטא בפעולה ספציפית-אקטיבית (למשל הסטת כפתור ממצב OFF למצב ON), וזאת לאחר מסירת מידע מלא ונכון שיוצג באופן בולט – freely given, informed and explicit affirmative action.

סעיף 7 (וגם מבוא 32) ל-GDPR מחייב את בעל האתר:

  • להיות יכול להדגים (בלשון אחרת – חובה לתעד) את קבלתה של ההסכמה מהמשתמש הספציפי.
  • על ההסכמה להיות מוצגת באופן שהוא “clearly distinguishable from other maters”. למשל לא כרוכה בתוך אישור תנאי השימוש באתר, אלא נפרדת מהם.
  • עליה להיות נגישה למשתמשים, קריאה, ברורה ומובנת.
  • המשתמש יהיה רשאי לשלול אותה בכל עת לבחירתו.
  • יש להימנע מסימון מראש של ההסכמה, אלא לאפשר למשתמש לסמן אותה באופן עצמאי ואקטיבי.

7 מסקנות לסיום

על בסיס האמור מעלה, אציג בפניכם מספר מסקנות שיהיו רלוונטיות ל-ePR, אם תתקבל בנוסחה היום (וסביר להניח שהדבר יתאים גם למרבית הניסוחים העתידיים):

  1. מומלץ ליצור טבלת קוקיז מפורטת הכוללת את מכלול אלו המופעלות בידיכם, וכל הפרטים הרלוונטיים להן לצורך קבלת החלטה. טבלה זו תשמש בסיס להחלטות שלכם (ותסייע לעורכי הדין שלכם) בהמשך הדרך. לגופם של דברים רצוי לערוך טבלה זו גם כיום, טרם כניסתה לתוקף של ה-ePR.
  2. יש להציג למשתמש, בעת ההפעלה הראשונה של הקוקיות או לפניה, הודעה ברורה, מובנת וכזו שכוללת את כל הרכיבים הנדרשים (למשל אילו קוקיות מופעלות, מה עושה כל אחת מהן ומה משך חייה, מי מפעיל אותה (איזה צד שלישי) וכדומה).
  3. כלומר, אסור להשתמש בקוקיות בעמוד העיקרי של האתר או בעמוד הנחיתה הפנימי, לפני שמוקפצת בפני המשתמש בקשה להסכים לקוקיות והוא ביצע פעולת הסכמה אקטיבית ביחס לכל קוקית שתרצו להפעיל.
  4. ממשק הפעולה באתר צריך לאפשר למשתמש שליטה אקטיבית, בכל זמן, בקוקיות הלא הכרחיות המופעלות ביחס לשימוש שלו באתר. כולל מתן אפשרות רציפה לבטל את הסכמתו ביחס לקוקיות, כולן או חלקן.
  5. אסור שתיבת האישור תהיה מסומנת מראש, אלא נדרש סימון אקטיבי של המשתמש.
  6. רק הסכמה שתוצג באופן הנדרש לפי ה-GDPR תיחשב כהסכמה כדין. יש לתעד את ההסכמה באופן שניתן יהיה להציגה בהמשך בפני הערכאה או הרשות המתאימה.
  7. ואחרון, כמובן שלא ניתן למנוע את השימוש באתר גם ממשתמש שסירב להסכים לקוקיות לא הכרחיות. כלומר, יש להציג את האתר גם למשתמש שלא הסכים להפעיל קוקיות.

לא אתעייף מלהזכיר – ככל שייפתח הליך כלשהו בעניין האתר שלכם (חקירה של רשות הגנת פרטיות כלשהי או תביעה של אזרח אירופי), הנטל להוכיח את שקרה יוטל עליכם. לכן, דאגו שהאתר שלכם ינהל תיעוד מסודר של כל הלוגים, באופן אוטומטי וכזה שלא ניתן לשנותו אלא אם השינוי עצמו מתועד.

רק יכולת להוכיח בצורה טכנולוגית חד משמעית את ההסכמה, תאפשר לכם להוכיח שההסכמה אכן ניתנה.

אחרון, מומלץ גם לעדכן את מדיניות הפרטיות והודעה הקוקיות שלכם, באופן שיכלול בה בצורה מפורשת את רשימת הקוקיז בה משתמש האתר שלכם, תפקידה של כל אחת מהן, מטרתה ומשך פעולתה. ניתן להשתמש במסמך זה, או בממשק אחר באתר שלכם, על מנת לאפשר למשתמש להפעיל כל קוקית או סוג קוקית שברצונו להפעיל.

נכתב על ידי
מנהל משרד עורכי דין המתמחה בדיני אינטרנט, טכנולוגיה, מחשבים, קניין רוחני ובכלל – משפט מסחרי. עו”ד ליכטנשטיין מנוסה בכל הנושאים המשפטיים הקשורים בהקמת וניהול אתרי אינטרנט, בניית ושיווק אפליקציות סלולאריות, פייסבוקיות ואחרות ואף מתמחה בתחום קידום אתרים (SEO). עו”ד ליכטנשטיין אף הינו מוסמך הגנת פרטיות לפי הדין האירופי (CIPP/E). בין יתר הנושאים עוסק עו”ד ליכטנשטיין בנושאי זכויות יוצרים, סימני מסחר, פרטיות, הסכמים דיגיטליים ושותפויות בתחום, תנאי שימוש ומדיניות פרטיות, הסכמי מייסדים וכדומה.
0 0 הצבעות
קלות השימוש
0 0 הצבעות
פיצ'רים ופונקציונליות
0 0 הצבעות
תמיכה טכנית
0 0 הצבעות
תמורה לכסף
הרשמו
הודע על
guest

3 תגובות
הישן ביותר
החדש ביותר בעלת הכי הרבה הצבעות
פידבקים מוטבעים
צפייה בכל התגובות

תוכן עניינים

3
0
נשמח לשמוע את דעתך, נודה לתגובהx
שיווק דיגיטלי שמביא תוצאות.
לוגו דייסון

189%

יחס המרה למודעות

לוגו איסתא

424%

הכנסות מהאתר

לוגו קפה עלית

139%

מבקרים חדשים באתר

לוגו נקסט

258%

רכישות אורגניות

לוגו קפה עלית
139%

מבקרים חדשים

לוגו דייסון
189%

יחס המרה למודעות

לוגו איסתא
424%

הכנסות מהאתר

שיווק דיגיטלי שמביא תוצאות.