מאת שחר פסטרנק
מיד עם כניסתו לתוקף של תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א-1981, התעוררו שאלות מהותיות בהיבטים הקשורים לחובות חדשות החלות על ארגונים אשר מעבדים מידע אישי בישראל. אחת השאלות שחזרה על עצמה מספר פעמים, היא האם מעתה נדרש להציב באתרי אינטרנט באנר לניהול הסכמות לשימוש במזהים דיגיטליים ('קוקיז'), כפי שנהוג באירופה? התשובה היא שלילית: אין חובה כזו בדין הישראלי, גם לאחר תיקון 13. נסביר להלן.
במשפט האירופי, החובה להציב באנר קוקיז נובעת משילוב בין עקרון השקיפות וחובת היידוע בתקנות הגנת המידע האירופאיות (GDPR) (סעיפים 5(1)(a), 12-14) לבין סעיף 5(3) ל-ePrivacy Directive, האוסר על אחסון מידע במכשיר המשתמש ללא הסכמה, למעט קבצים "הכרחיים טכנית". לכן הותוותה הבחנה: קוקיז תפעוליות מותרות ללא הסכמה, אך קוקיז אנליטיות ושיווקיות דורשות הסכמה מפורשת מראש. הסכמה זו חייבת להיות חופשית, מודעת ואקטיבית (GDPR, סעיף 4(11)), ולכן הבאנר המוכר המוצג בכניסה לאתרים הפך לאמצעי המעשי היחיד לעמידה בדרישה. האכיפה הקפדנית באירופה, הכוללת קנסות בסך מיליוני אירו ואף עד 4% מהמחזור, ביססה את הבאנר כסטנדרט שוק מחייב.
סעיף 11 לחוק הישראלי מחייב ליידע את נושא המידע לגבי זהות בעל המאגר, מטרות איסוף המידע, והאם קיימת חובה חוקית למסור את המידע או שמסירתו מותנית בהסכמה. ואולם, החובה נעצרת ברמת היידוע הכללי ואינה קובעת מנגנון ספציפי של הצגת באנר ייעודי לסוגי מידע מסוימים ובטח שלא ניהול הסכמות פרטני. כלומר, סעיף 11 אינו דורש להציג בפני המשתמש חלון קופץ לניהול הסכמות, אלא מבקש להבטיח שהמשתמש יקבל מידע ברור, בדרך כלל באמצעות מדיניות פרטיות כתובה ונגישה באתר. משכך, ההשוואה לאירופה מגלה פער מהותי: בעוד הדין האירופי קובע חובת הסכמה אקטיבית למעט לצרכים הכרחיים, הדין הישראלי דורש אך ורק גילוי שהכרחי להסכמה מדעת, מבלי להיכנס לפירוט טכנולוגי לגבי כל רכיב. מאחר שסעיף 11 עוסק ביידוע נושא המידע ולא בחובת שקיפות רחבה שמחלחלת אל כל שלבי העיבוד, הוא לא יכול לשמש בסיס לדרישה להצגת מנגנון ייעודי לקוקיז כמו הבאנר המוכר מאירופה. חובת היידוע תתמלא באמצעות פירוט אודות השימוש בקוקיז במדיניות הפרטיות. ניתן ומומלץ להסב את תשומת לבו של המשתמש לכך שהאתר משתמש בקוקיז, תוך הפניה למדיניות הפרטיות, כדי לחזק את הסכמתו.
למרות שההבחנה בין קוקיז "הכרחיות" לקוקיז "שאינן הכרחיות" מבוססת על היכולת הטכנית של האתר לפעול גם בלעדיהן, במציאות הדיגיטלית הנוכחית קשה לטעון כי שירות מקוון יכול להתנהל כראוי ללא כלי ניתוח ושיווק בסיסיים דוגמת Google Analytics הנפוץ כמעט בכל אתר ברשת. נכון שהאתר יכול תיאורטית לפעול גם בלעדיהם, אך בעולם שבו תחרותיות, אופטימיזציה שיווקית וחוויית משתמש מהוות חלק אינטגרלי מהשירות, ניתן לטעון כי גם כלים אלו הפכו, הלכה למעשה, לרכיב מרכזי בשירות העיקרי.
אף אם יש טעם להבחין בין קוקיז תפעוליים הכרחיים לכאלו שאינם הכרחיים, הרי שלפי הדין הישראלי (גם לאחר תיקון 13) אין חובה לנהל מנגנון הסכמה פרטני מראש לשימוש בקוקיז שאינן חיוניות. די בכך שהאתר מיידע את המשתמשים כי נעשה בו שימוש בקוקיז, למשל באמצעות הודעה כללית: "באתר זה נעשה שימוש בקוקיז בהתאם למדיניות הפרטיות". הודעה כזו עומדת בדרישת חובת היידוע, ומחזקת כאמור את תוקפה של ההסכמה מכללא הנלמדת מהמשך השימוש באתר והופכת אותה ליותר מודעת, מאחר ובמדיניות הפרטיות הסבר מפורט על השימוש במידע.
נכון לכתיבת שורות אלו, עמדת הרשות להגנת הפרטיות בישראל באשר לשימוש בבאנרים קופצים נותרת בגדר המלצה בלבד ולא חובה משפטית. בטיוטת גילוי הדעת שפרסמה הרשות בפברואר 2025 בנושא הסכמה, נכתב כי ניתן להיעזר בבאנרים קופצים לצורך הבלטת הדגשים המרכזיים הנוגעים לפרטיות, אולם הדבר הוצג כהמלצה לשיפור חוויית המשתמש ושקיפות הארגון כלפי נושאי מידע ולא כדרישה מחייבת על פי דין. מעבר לכך, יש לזכור כי גילוי הדעת כשלעצמו אינו מהווה מקור נורמטיבי מחייב אלא מסמך פרשני והנחיית מדיניות מצד הרשות, ונמצא עדיין במעמד של טיוטה. לכן, לא ניתן לראות בגילוי הדעת כקובע חובה לשימוש בבאנרים קופצים או במנגנון ניהול הסכמות מחייב, אלא לכל היותר כהכוונה רצויה מצד הרשות לשם קידום שקיפות ועמידה מיטבית בעקרונות דיני הגנת הפרטיות. יודגש כי הדברים מתייחסים לשימוש בבאנרים המיידעים את המשתמש על עצם השימוש בקוקיז, בעוד שמנגנון ניהול הסכמות מהווה צעד מרחיק לכת אף יותר מן ההמלצה הלא-מחייבת של הרשות, וגם היא עצמה לפנים משורת הדין.
הטמעת מנגנון ניהול הסכמות לקוקיז שאינן חיוניות כרוכה בהכבדה כלכלית משמעותית על ארגונים, הן בשל הצורך בפיתוח ותחזוקה של מערכת טכנולוגית מתוחכמת המאפשרת ניהול פרטני של הסכמות לכל משתמש והן בשל הצורך בתיעוד רציף ומדויק של ההסכמות לאורך זמן. שימוש במנגנון כזה עלול אף ליצור חשיפה משפטית: הפעלת קוקיז שלא בהתאם להסכמה שהתקבלה עלולה להיחשב להפרת חובת פרטיות, להקים עילת תביעה מצד נושאי המידע ולהוביל לדרישות פיצוי או סנקציות מצד הרשות. הטמעת מנגנון הסכמה מפורט מעבירה את נטל ההוכחה אל החברה, בעוד שבמקרה שבו לא הייתה מערכת כזו, הנטל להוכיח את הכרחיות הקוקיז או את מתן ההסכמה היה על התובע, וכך היא מרחיבה את החשיפה המשפטית מעבר להפרות ספציפיות. נטל זה עלול להפוך לכלי בסכסוכים משפטיים ולגרום להכבדה נוספת על פעילות החברה השוטפת, הן מבחינת משאבים ניהוליים והן מבחינת חשיפה פוטנציאלית.
לסיכום, ברור שהדין בישראל אינו מחייב הטמעת מערכת לניהול הסכמות באתרי אינטרנט לשימוש בקוקיז. אף שמדובר בפרקטיקה נפוצה באירופה, הרגולציה הישראלית אינה מיישרת קו עם חובת ההסכמה המפורשת האירופית במקרה זה. תיקון 13 לחוק הגנת הפרטיות מטיל די והותר חובות מהותיות על ארגונים המעבדים מידע אישי, וסמכויות האכיפה שניתנו לרשות להגנת הפרטיות מתמרצות ארגונים לציית לרגולציה ולנהוג באחריות. עם זאת, אין צורך להטמיע בארגון פתרונות טכנולוגיים שאינם נדרשים לפי הדין, והדבר עלול אף להגדיל את הסיכונים המשפטיים והניהוליים במקום להפחיתם.
