בהמשך לכניסת התקנות האירופאיות להגנה על המידע (GDPR) לתוקף בחודש מאי 2018, הן עוררו עניין רב ביחס לדרך שהן יחולו על מזהים דיגיטליים ומקוונים (ובכינוי הגנרי – קבצי 'קוקיז' – Cookies), בנוסף לטכנולוגיות דומות להן. כידוע, תקנות אלו מכילות התייחסות נקודתית ומזערית לעולם זה, כאשר התקנות אשר אמורות ליתן התייחסות רחבה יותר – ה-E-Privacy Regulation, טרם נכנסו לתוקף. מכאן, הרשות להגנת מידע הבריטית (ICO) פרסמה לאחרונה (03.07.19) מדריך חדש לשימוש נכון בהן.
קבצי קוקיז עשויים להוות בעיה מורכבת בהיבטי פרטיות משתמשי אתרי האינטרנט והאפליקציות השונות. הכללים לגבי השימוש בהם מוסדרים בתקנות האירופאיות לפרטיות ותקשורת אלקטרונית (PECR), יוסדרו כאמור באופן רוחבי באיחוד עם כניסת תקנות ה- E-Privacy, אך לא בתקנות ה-GDPR. יחד עם זאת, כבר כיום נהוג לפרש מספר מושגי מפתח בתקנות ה-PECR בהתאם לתקנות ה-GDPR, כך למשל – מונח ה- 'הסכמה' (Consent).
ההנחיות המעודכנות של ה-ICO, מספקות וודאות ובהירות לגבי האופן שבו ניתן להשתמש בקבצי קוקיז. עבור רבים מכם – מעט מאוד עשוי להשתנות. עבור אחרים – ישנה עוד עבודה רבה, ויש לנקוט צעדים מיידיים על מנת לציית כראוי להנחיות החדשות.
להלן נציג וננפץ מספר מיתוסים נפוצים בדבר צורת השימוש בקבצי קוקיז:
- "ניתן להסתמך על הסכמה מרומזת לשימוש בקוקיז" – מונח ההסכמה ב-GDPR איננו כולל הסכמה משתמעת (כהגדרת ההסכמה בדין הישראלי), אלא מצומצם להסכמה מפורשת בלבד.
- "קובצי Cookies של Analytics נחוצים בהחלט ולכן אינם זקוקים להסכמה" – שימוש בקוקיז למטרות אנליזה אינה הכרחית, כיוון שניתן להנגיש את האתר לגולשים גם בלי ביצוע אנליזה. לכן, תידרש הסכמה לשם שימוש בקוקיז למטרות אלו.
- "ניתן להשתמש ב- 'Wall Cookie' כדי להגביל את הגישה לאתר האינטרנט עד להסכמת המשתמשים" – Cookie wall הוא השימוש הנפוץ בהודעה דביקה כדי להודיע לגולשים על קיומן של הקוקיז, מבלי אפשרות לסרב לשימוש בהן. המתואר לא יחשב כהסכמה לשימוש במידע אישי, והודעה מבוססת 'Cookie Wall' שלא מאפשרת גישה לאתר ללא אישור, אך גם ללא אפשרות סירוב– לא תיחשב להסכמה חופשית כנדרש.
- "ניתן לסמוך על אינטרסים לגיטימיים להתקין Cookies, ולכן לא נדרשת הסכמה" – ה-GDPR מגדיר בסיסים חוקיים לעיבוד מידע, בינם 'אינטרס לגיטימי'. מזהים דיגיטליים הם כלי, ולא מטרת שימוש – על כן, אין לאפשר התקנת 'קוקיז' שאינן 'חיוניות' (לשם תפעול האתר) על דף הנחיתה לפני קבלת הסכמה מתאימה לכך. גם תקנות ה-PECR דורשות הסכמה לקוקיז שאינן חיוניות, כגון אלה המשמשות למטרות שיווק ופרסום – והסכמה כאמור, צריכה להיות מפורשת ומרצון חופשי.
השימוש בקוקיז וטכנולוגיות דומות נועד להבטיח פעילות חלקה ונוחה בעולם הדיגיטלי המקוון, אך יש לעשות זאת באופן חוקי. שימוש בדרך שגם תגביר את ההוגנות והשקיפות מצד מפעילי האתרים והאפליקציות, וכך גם יגביר את אמון הציבור והבנתו את המתרחש. "ה-ICO תומך בחדשנות ובקידום הכלכלה הדיגיטלית, אך זה לא תמיד יכול להיות על חשבון הזכויות החוקיות של אנשים. זה פשוט עניין של שימוש באופן חוקי". כך מסר עלי שאח', ראש מדיניות הטכנולוגיה ב-ICO.
