מאת עו"ד גילעד מלכי
לאחרונה גולשים נתקלים יותר ויותר בחלון המוכר: "אתר זה עושה שימוש בעוגיות" או "האם אתם מסכימים לשימוש בקוקיז?". רבים לוחצים על "אשר הכול" מבלי לעצור לחשוב, אולי מתוך עייפות, ואולי כי כבר איבדו אמון במשמעות האמיתית של ההסכמה הזו. אבל מאחורי הבאנרים האינסופיים מסתתר עולם רגולטורי מורכב, אשר שילובו בעשייה העסקית הוא לא פחות מאשר מוקש משפטי.
מהן בעצם קוקיז?
קובצי קוקיז – או "עוגיות" – הם קבצי טקסט קטנים הנשמרים בדפדפן של המשתמש. תפקידם מגוון: החל בזכירת סיסמאות, דרך שמירת עגלת קניות, ועד לאפשרות לפרסום מותאם אישית ומעקב אחר דפוסי גלישה. במילים אחרות, מדובר בכלי טכנולוגי עוצמתי לניהול חוויית משתמש -אך גם לאמצעי שמעמיד את הפרטיות בסיכון.
בעוד משתמש ממוצע מדמיין "מידע טכני" תמים, בפועל קוקיז עשויים לאסוף מידע אישי ורגיש, ולעיתים אף לעקוף את רצון המשתמש. מכאן קצרה הדרך למוקד ההתנגשות בין זכות לפרטיות לבין אינטרסים עסקיים של חברות, טכנולוגיה ועסקים דיגיטליים.
אירופה: רגולציה נוקשה בקדמת הבמה
באיחוד האירופי החוקים בתחום זה נחשבים מהמחמירים בעולם. הן תקנות ה-GDPR, והן ה- E-Privacy Directive מחייבות שימוש במנגנון Cookie Banner, המעניק למשתמש שליטה מלאה:
- מתן מידע ברור על סוגי העוגיות ומשך השימוש בהן.
- אפשרות אקטיבית להסכמה או דחייה, בכפתורים שווי ערך.
- שליטה פרטנית בהעדפות המשתמש.
- גישה חופשית למדיניות הפרטיות והעוגיות.
- תיעוד מלא של ההסכמה, לשם הוכחת עמידה בדרישות החוק.
כשלון ביישום התנאים הללו אינו עניין טכני זניח. הוא נושא בחובו סיכון ממשי להטלת קנסות עתק- כפי שחוותה לאחרונה ענקית האופנה Shein.
מקרה Shein : אזהרה בקנה מידה עולמי
ממש לאחרונה, בחודש ספטמבר 2025, קנסה הרשות הצרפתית להגנת הפרטיות (CNIL) את Shein ב-150 מיליון אירו, המהווים כ–2% ממחזור המכירות השנתי שלה. בתום חקירה ממושכת שערכה, הרשות הצרפתית מצאה כי Shein עושה שימוש בקוקיז הנאספים עוד לפני שהמשתמש נתן את הסכמתו, ואף מבצעת איסוף נתונים גם לאחר שהמשתמשים ביטלו את הסכמתם לכך.
על פי הרשות הצרפתית, הקנס מבטא את חומרת ההפרה והיקפה, ולאור זאת נדרשת ענישה גבוהה כדי לייצר הרתעה אפקטיבית ולשקף את פגיעות הזכויות בקנה מידה רחב. קנס זה מהשבועות האחרונים נועד לשלוח מסר ברור: לא משנה מי אתה – עקרונות ההסכמה לא נתונים לפרשנות יצירתית.
מנגד: שינוי באופק
ובניגוד גמור לקנס שהוטל על חברת Shein בצרפת, אירופה מתחילה להבין שהחמרה אינה חזות הכול. הנציבות האירופית הודיעה כי בכוונתה לתקן עד סוף 2025 את ה-E-Privacy Directive, במטרה להתמודד עם תרבות "עייפות ההסכמה" שנגרמה מהריבוי הבלתי נסבל של חלונות קופצים. השינויים המוצעים כוללים:
- מודל מבוסס סיכון, המתואם יותר לעקרונות ה-GDPR.
- דרישה להצגת כפתור "דחה הכול" ברור ושווה ערך ל"קבל".
- אפשרות לקבוע העדפות ברמת הדפדפן, במקום באתר-אתר.
אם יתקבלו השינויים, ארגונים יצטרכו להיערך טכנולוגית למציאות חדשה – כזו שמעניקה למשתמשים יותר נוחות, אך דורשת מהחברות לשקף ולווסת מחדש את שיטות איסוף המידע.
ומה בישראל?
כאן התמונה שונה לחלוטין. למרות שלפני מספר שנים פרסמה הרשות להגנת הפרטיות התייחסות נקודתית לנושא קוקיז – במסמך קצר הנוגע לאפליקציות תשלום – היא נמנעת מלקבוע מסגרת ברורה ומחייבת. ראש הרשות, עו"ד גלעד סממה, אף התייחס לכך בפומבי וציין את הקושי לייצר מדיניות מוסכמת.
בינתיים, תיקון 13 לחוק הגנת הפרטיות והחשש מחשיפה לקנסות מנהלתיים גבוהים גורמים לארגונים רבים "ללכת על בטוח", ולהוסיף לאתריהם פופ-אפ התראה בדבר שימוש בקוקיז. עם זאת, כל עוד אין בישראל עמדה רשמית וברורה, השוק המקומי מתנהל באי-ודאות רגולטורית, והאחריות נופלת על הארגונים עצמם.
בין שקיפות לאחריות עסקית
המאבק על קוקיז אינו רק קרב על חלון קופץ מעיק. מדובר בשאלה משפטית, טכנולוגית ועסקית רחבת היקף: עד כמה מוכנות החברות להעניק לגולשים שליטה אמיתית בפרטיותם? עד כמה הרגולטור מעוניין להילחם בתאגידי ענק על כך? האיזון הזה, בין חוויית משתמש חלקה יחד עם אינטרסים של תאגידי ענק לבין הזכות לפרטיות של הגולשים – הוא אחד האתגרים המרכזיים של הדיגיטל בעשור הנוכחי.
ומה הלאה?
השאלה האם וכיצד הרשות להגנת הפרטיות תבחר להתבטא בנושא בעתיד הקרוב נותרת פתוחה. מה שבטוח- ארגונים שרוצים להימנע מחשיפה משפטית, ומחוסר האמון של המשתמשים- צריכים לחשוב כבר היום על מנגנוני שקיפות אמינים וברורים.
הכותב הוא ראש תחום טכנולוגיות מידע במשרד דן חי ושות' (המפעיל אתר זה)
