הרשות הצרפתית להגנת הפרטיות – CNIL, פרסמה לאחרונה קווים מנחים ביחס להסכמה הנדרשת לשימוש ב-Cookies, וזאת במטרה להגן על המידע של הציבור הצרפתי ברחבי המדיה האינטרנטית. ההנחיות תקשנה על אתרי האינטרנט לאסוף מידע אודות המשתמשים, וזאת על-ידי הקשחת האופן בו נדרש לאסוף הסכמות לשימוש ב-cookies ואיסוף המידע באמצעותן.
הרשות vרחיבה והקשיחה עוד את הדרישות השונות ביחס ל-cookies הנגזרות מהתקנות האירופיות להגנת מידע (GDPR), וזאת לאחר שורה של פרסומים שונים בשנה האחרונה מצד רגולטורים באירופה ביחס לאיסור על שימוש ב-Cookie walls (הניצנים הראשונים לזניחת גישת ה-take it or leave it אשר עודנה שכיחה במחוזות מסוימים).
כעת, מורה הרשות הצרפתית על שורה של פעולות והוראות שאתרי האינטרנט יצטרכו לבצע על-מנת לאסוף הסכמות לצורך עיבוד מידע, כך שאם עד כה אספו מידע בקלות, כעת, יצטרכו לעבור משוחות נוספות אשר יקשו ויגבילו אותן לבצע זאת.
הקושי יתבטא בעיקר בפרוצדורה החדשה הנדרשת לשם שיקוף המטרות לשמן נאסף המידע ומתן אפשרויות מודולריות לסירוב לאיסוף מידע – דבר שיובל להגנת רחבה יותר על פרטיות המשתמשים ברחבי המדיה הדיגיטלית.
להלן עיקר קובץ ההנחיות שפרסמה הרשות להגנת הפרטיות בצרפת עבור אותם אתרים האוספים והמעוניינים לאסוף מידע אודות משתמשים :
- חובה לשלוח הודעה ביחס למטרות עיבוד המידע כבר בשכבת ה-UI (User interface) הראשונה באתר או באמצעות פלטפורמה אחרת, עם לינק נגיש וקל למדיניות מפורטת יותר.
- טרם מתן הסכמה של גולש, חובה לשקף את כלל 'בעלי השליטה במידע' אשר עתידים לשלוט ולהשתמש במידע. קרי, ללא שיקוף של אותן ישויות השולטות במידע, ההסכמה לא תהא תקפה.
- אם מפעיל האתר מחליט לשלב אפשרות של 'מסכים להכל' בנוסח איסוף ההסכמה הראשוני ל-cookies, אזי מורה הרשות על חובה לשלב במקביל גם אפשרות לסמן 'מסרב להכל'.
- בהקשר דומה לסעיף 3 לעיל, גולש יכול להסכים לאגד של מטרות בסימון יחיד, אולם חובה לאפשר למשתמשים לסרב או להסכים למטרות שונות באופן פרטני.
- ביחס לתוקף ההסכמה – הרשות ממליצה על רענון ההסכמה שניתנה לאחר תקופה של כ- 6 חודשים, קרי – עשויות לעלות טענות כי לאחר משך זה, אם לא נתקבלה הסכמה חדשה – הקודמת איבדה מתוקפה.
- הרחבת ההגדרה של "מיקום מדויק" – די בכך שבעל השליטה מחזיק במידע אודות העיר שבה נמצא משתמש, כדי לקבוע כי מדובר בנתוני מיקום העולים כדי 'מיקום מדויק'. נראה כי התייחסות זו נועדה להגביל את יכולת השימוש בנתוני מיקום שאינם נגזרים מ-GPS, אלא גם מנתוני מעקב והצלבות שניתן לעשות באמצעות ה-Cookies עצמן (החל מקריאת ה-IP ועד לזיהוי העדפות המעידות על עיר מגורים). הקשחה זו תחייב את בעלי האתרים לציין כי הם אוספים מיקום מדויק של גולשים, ובעת הצורך לקבל הסכמה לכך.
אמנם, בקריאה ראשונה נדמה כי ההיגיון הבריא שזור כחוט השני בהנחיית הרשות הצרפתית. אולם – ההנחיה מדגישה את המתח התמידי הקיים בין הקשחה רגולטורית להגבלת תפעולו של השוק החופשי.
כן, כפי שכבר נוכחנו לראות בהנחיות קודמות הנוגעות בעולם הפרטיות, נראה כי הקווים המנחים שפרסמה הרשות הצרפתית עשויים לחלחל כסטנדרט ולהשפיע על יתר מדינות האיחוד האירופי, וגם על אלו הרוצות בהשוואת הסטנדרט לזה האירופי.