ארכיון הנחיה - דן חי ברשת https://hay-law.com/tag/הנחיה/ חדשות משפט, פסיקה, דיני תקשורת, דיני אינטרנט, דיני ספורט ועוד Sun, 11 Aug 2019 09:22:57 +0000 he-IL hourly 1 https://wordpress.org/?v=6.4.4 https://hay-law.com/wp-content/uploads/2018/07/cropped-favicon-32x32.png ארכיון הנחיה - דן חי ברשת https://hay-law.com/tag/הנחיה/ 32 32 CNIL: הנחיה חדשה לשימוש בקבצי קוקיז https://hay-law.com/cnil-%d7%94%d7%a0%d7%97%d7%99%d7%94-%d7%97%d7%93%d7%a9%d7%94-%d7%9c%d7%a9%d7%99%d7%9e%d7%95%d7%a9-%d7%91%d7%a7%d7%91%d7%a6%d7%99-%d7%a7%d7%95%d7%a7%d7%99%d7%96/ Sun, 11 Aug 2019 09:22:57 +0000 https://hay-law.com/?p=29388 לאחר ציפייה ארוכה, הרשות להגנת מידע הצרפתית (CNIL) יישרה קו עם הרשות להגנת מידע הבריטית (ICO), ופרסמה אף היא (19.07.19) הנחיה חדשה בנוגע לאופן השימוש בקבצי מעקב, ובשמם המסחרי – 'קבצי קוקיז', לרבות קבצי מעקב בעלי טכנולוגיות דומות. מדובר בעדכון הנחיה צרפתית ישנה (מס' 2013-378) הקיימת משנת 2013, והמיועדת, כאמור לאחר העדכון, לעמוד בקנה אחד […]

הפוסט CNIL: הנחיה חדשה לשימוש בקבצי קוקיז הופיע ראשון בדן חי ברשת

]]> לאחר ציפייה ארוכה, הרשות להגנת מידע הצרפתית (CNIL) יישרה קו עם הרשות להגנת מידע הבריטית (ICO), ופרסמה אף היא (19.07.19) הנחיה חדשה בנוגע לאופן השימוש בקבצי מעקב, ובשמם המסחרי – 'קבצי קוקיז', לרבות קבצי מעקב בעלי טכנולוגיות דומות.

מדובר בעדכון הנחיה צרפתית ישנה (מס' 2013-378) הקיימת משנת 2013, והמיועדת, כאמור לאחר העדכון, לעמוד בקנה אחד עם הוראות תקנות הגנת המידע האירפאיות החדשות (להלן "GDPR").

ההנחיות החדשות חלות על כל סוגי הפעולות הכרוכות בשימוש בקבצי קוקיז ודומיהם, בכל סוג של מכשיר טכנולוגי, לרבות סמארטפונים, מחשבים, כלי רכב וכל מכשיר טכנולוגי אחר המחובר לרשת אינטרנט הפתוחה לקהל הרחב.

על פי ההנחיות הצרפתיות החדשות, המשך גלישה באתר אינטרנט, לאחר שהאתר הציג 'באנר' או 'הודעה דביקה' (המשמשים לצורך יידוע המשתמשים בדבר השימוש הנעשה באמצעות קבצי קוקיז) – לא תחשב עוד כהסכמה תקפה. מפעילי אתרים/אפליקציות אשר משתמשים בקבצי קוקיז לצורך איסוף דאטה, יצטרכו להוכיח שהם קיבלו לכך הסכמה מפורשת מהמשתמש.

ההנחיות החדשות עוד מבהירות, כי מפעילי אתרים/אפליקציות אינם רשאים עוד להשתמש בקבצי קוקיז ודומיהם לצורכי מעקב, עד אשר המשתמש הביע הסכמתו באופן חופשי, ספציפי וחד משמעי. כך, ועל מנת שההסכמה תהא חוקית ותקפה, על מפעילי האתרים/אפליקציות למלא, בזהירות רבה, את התנאים הבאים:

  1. הסכמה מרצון – אסור לגרום למשתמשים לאי נוחות ביחס לגלישה באתר או לשימוש באפליקציה, כאשר הם מסרבים לתת את הסכמתם. הנוהג הקיים של חסימת הגישה להמשך גלישה באתר ו/או לשימוש באפליקציה, כל זמן שלא ניתנה הסכמה לשימוש בקבצי הקוקיז – אינו תואם את הוראות ה-GDPR;
  2. הסכמה ספציפית – על המשתמש לתת את הסכמתו באופן פרטני עבור כל מטרה בנפרד. הסכמה כללית לתנאי שימוש כלליים איננה מקובלת עוד;
  3. הסכמה חד משמעית – ההסכמה צריכה להינתן בכפוף לפעולה אקטיבית של המשתמש. מצבים של המשך גלישה באתר ו/או שימוש באפליקציה ו/או גלילה מטה, לצד הודעה של מפעיל האתר אודות השימוש הנעשה בקבצי קוקיז – לא יהוו עוד הסכמות תקפות;
  4. זכות ביטול – למשתמשים צריכה להיות האפשרות לבטל את הסכמתם בכל עת שיחפצו. לפיכך, יש ליישם פתרונות פרקטיים ופשוטים בכדי לאפשר זאת;
  5. יידוע משתמשים – מידע אשר נמסר למשתמשים חייב להיות כתוב בצורה ברורה ופשוטה, וזאת כדי לאפשר למשתמשים לקבל מידע מלא ומקיף על המטרות השונות, ביחס לשימוש הנעשה באמצעות השימוש בקבצי קוקיז. בתוך כך, המידע נדרש להופיע בצורה מלאה, גלויה וברורה בעת קבלת ההסכמה;
  6. ניהול הסכמות – כל הארגונים/חברות אשר מפעילים קבצי קוקיז, ידרשו להראות, בכל עת, את הסכמת המשתמשים לפעולות איסוף המידע.

יחד עם זאת, ההנחיות החדשות אינן דורשות קבלת הסכמה ספציפית וחד משמעית, כפי שפרטנו בסעיפים 1-6 דלעיל, וזאת במצבים הבאים:

  1. כאשר מפרסם של אתר או אפליקציה משתמש בקבצי קוקיז כדי למדוד תנועת גולשים אקראית או כדי לבדוק גרסאות שונות של האתר/אפליקציה;
  2. כאשר משתמשים בקבצי קוקיז באופן בלעדי במטרה להקל על התקשורת המתבצעת באמצעים אלקטרוניים;
  3. כאשר השימוש בקבצי קוקיז נדרש לספק שירות תקשורת אלקטרוני המתבקש על-ידי המשתמש.

למפעילי האתרים/אפליקציות יהיו שישה חודשים ליישום ההוראות, וזאת מרגע שיפורסמו ההנחיות הסופיות של ה-CNIL. כל שנותר כעת הוא להמתין לגרסה הסופית של ההנחיות לשימוש נכון בקבצי קוקיז, שככל הנראה ייכנסו לתוקף בראשית שנת 2020.

כל האמור לעיל מעלה תהיות רבות בדבר המידע הרב שכבר נאסף ונאגר אודות המשתמשים השונים. האם ניתן יהיה להמשיך לעשות שימוש במידע שנאסף בניגוד להוראות ההנחיה? האם ארגונים יאלצו לאסוף הסכמות חדשות? ומה תהיה ההשפעה על עולם השיווק?

פרשנות סבירה תאמר כי ההנחיה תחול באופן פרוספקטיבי ולא באופן רטרואקטיבי. כך או אחרת, תקנות ה-GDPR נכנסו לתוקף במאי 2018, כך שגם בפרשנות בה כן תהא תחולה רטרואקטיבית – היא תחול על השנה האחרונה ותו לא.

דבר אחד כן בטוח – כל עיבוד מידע הכולל מעקב (Trackers), ובכלל זה איסוף מידע אישי בדרך הניתנת לזיהוי, בין אם באופן ישיר (כתובת דוא"ל) או עקיף (קבצי קוקיז, כתובת IP, או מזהה אחר הנוצר על-ידי תוכנה או מערכת הפעלה) – מחייב עמידה בהוראות ה-GDPR.

הפוסט CNIL: הנחיה חדשה לשימוש בקבצי קוקיז הופיע ראשון בדן חי ברשת

]]> מתי ה-GDPR יחולו בישראל? הרשויות באירופה מנסות לתת על כך מענה https://hay-law.com/%d7%9e%d7%aa%d7%99-%d7%94-gdpr-%d7%99%d7%97%d7%95%d7%9c%d7%95-%d7%91%d7%99%d7%a9%d7%a8%d7%90%d7%9c-%d7%94%d7%a8%d7%a9%d7%95%d7%99%d7%95%d7%aa-%d7%91%d7%90%d7%99%d7%a8%d7%95%d7%a4%d7%94-%d7%9e%d7%a0/ Fri, 07 Dec 2018 12:31:00 +0000 https://hay-law.com/?p=29125 מתי יחולו תקנות הגנת המידע האירופאיות (GDPR) על גופים ישראליים? ארגון הגנת המידע האירופאי מנסה לתת מענה לשאלה במסגרת טיוטת הנחייה שפרסום לאחרונה (16.11.2018) להערות הציבור. במסגרת טיוטת ההנחיה, נעשה ניסיון לפרש את סעיף 3 לתקנות העוסקת בשאלת תחולתן מחוץ לאיחוד. סעיף זה קובע כי תקנות האירופאיות יחולו על גופים מחוץ לאירופה בהתקיים אחד התנאים […]

הפוסט מתי ה-GDPR יחולו בישראל? הרשויות באירופה מנסות לתת על כך מענה הופיע ראשון בדן חי ברשת

]]> מתי יחולו תקנות הגנת המידע האירופאיות (GDPR) על גופים ישראליים? ארגון הגנת המידע האירופאי מנסה לתת מענה לשאלה במסגרת טיוטת הנחייה שפרסום לאחרונה (16.11.2018) להערות הציבור.

במסגרת טיוטת ההנחיה, נעשה ניסיון לפרש את סעיף 3 לתקנות העוסקת בשאלת תחולתן מחוץ לאיחוד. סעיף זה קובע כי תקנות האירופאיות יחולו על גופים מחוץ לאירופה בהתקיים אחד התנאים הבאים: (1) גוף שהוא בעל "מוסד" (establishment) באיחוד, ועיבוד המידע האישי מתבצע בהקשר לפעילות של אותו מוסד; (2) גוף המציע מוצרים ושירותים המכוונים לאנשים באיחוד; (3) גוף המנטר התנהגות של אנשים באיחוד.

בטיוטת ההנחיה ניתנת פרשנות לפיה באמירה "מוסד באיחוד" הכוונה לגוף, אשר יש לו פעילות ממשית ויעילה באיחוד, באמצעות "הסדרים יציבים" באיחוד, שהם לאו דווקא סניף או חברה בת. כך, במקרה מתאים, גם עובד אחד או נציג מכירות בודד באיחוד יקיימו את התנאי בהתאם לטיוטת ההנחיה. עיבוד המידע האישי אליו מתייחסת ההגדרה לא חייב להתבצע, על-פי טיוטת ההנחיה, על ידי המוסד האירופי בעצמו, אלא די בכך שעיבוד המידע האישי (אף אם הוא מחוץ לאיחוד) נעשה בהקשר מובהק לפעילות של המוסד באיחוד, אף אם המוסד באיחוד לא משתתף בעיבוד המידע.

בהיבט המעשי, גוף מחוץ לאיחוד צריך תחילה לבחון אם הוא מעבד מידע על אדם "טבעי" (להבדיל מתאגיד עליו לא חלות התקנות) ולאחר מכן לבחון אם קיים קשר בין הפעילות שבזיקה אליה המידע הזה מעובד, לבין פעילויות אותו גוף באיחוד. בהתאם לטיוטת ההנחיה, ככל שהתשובה למבחן כפול זה חיובית, יחולו הוראות תקנות המידע האירופאיות ביחס לעיבוד המידע על האנשים ה"טבעיים", בין אם הוא מידע על אודות אנשים "טבעיים" באיחוד ובין אם הוא על אודות אנשים מחוץ לאיחוד.

באשר לאפשרות השלישית, זו העוסקת בהצעת מוצרים ושירותים לאנשים באיחוד, נדרש כי לגוף תהיה כוונה ברורה להציע מוצרים או שירותים לאנשים באיחוד, לאו דווקא בתשלום. בנוסף לכך נדרש שיהיה קשר, ישיר או עקיף, בין פעילות עיבוד המידע האישי לבין הצעת המוצרים והשירותים. קיום תנאי זה נבחן על ידי צירוף נסיבות, וההנחיה מפרטת רשימה לא סגורה של כמה תבחינים בהקשר זה, בהם האפשרות לבצע הזמנה בשפה או מטבע של אחת ממדינות האיחוד, משלוח המוצר למדינות באיחוד, אזכור קיומם של לקוחות באיחוד, מבצעי פרסום המכוונים לקהל באיחוד, פרטי קשר ייעודיים להתקשרות ממדינות האיחוד, תשלום למנוע חיפוש עבור חשיפה באיחוד, והוראות הגעה ממדינות האיחוד למקום מתן השירותים.

כאשר תקנות המידע האירופאיות (GDPR) עוסקות בשאלת ניטור התנהגות של אנשים באיחוד, כגון מעקב באמצעות עוגיות (cookies), הכוונה היא כי ניטור זה יתבצע בשטח האיחוד. היינו, הניטור יענה על מבחן התחולה רק אם מדובר במעקב אחר אנשים באמצעות האינטרנט או טכנולוגיות אחרות לצורך פילוח שלהם או ניתוח התנהגותם על בסיס המידע שנאסף. לעניין זה יש לבחון את מטרת עיבוד המידע על ידי ה"שולט במידע", כהגדרת התקנות, המבצע את הניטור.

הפוסט מתי ה-GDPR יחולו בישראל? הרשויות באירופה מנסות לתת על כך מענה הופיע ראשון בדן חי ברשת

]]>