החזירו אותם הביתה עכשיו

    הרשמה לניוזלטר

    כל השדות הם חובה למילוי

    חזרה לעמוד הקודם

    האיחוד האירופי ובריטניה מהדקות את הפיקוח על קוקיות

    ד"ר אסף וינר, אסף ניאזוב (מחלקת מחקר ומדיניות, איגוד האינטרנט הישראלי) | 08.03.2024

    גורמי הממשל באיחוד האירופי ובבריטניה פועלים בחודשים האחרונים להגברת האכיפה והבהרת הדרישות הרגולטוריות בנוגע לשימוש בקוּקִיות (cookies) האוספות מידע משתמשים באתרי אינטרנט: בבריטניה, נערכה לאחרונה ביקורת מקיפה בקרב 100 אתרי האינטרנט המובילים במדינה. באיחוד האירופי, פורסמו טיוטות להבהרה של המחויבויות הטכניות של הרגולציה האירופית בנושא ושיטת היישום הרצויה (best practice) של קוּקִיות באיחוד.

    באינטרנט, המונח "עוגיות" (cookies, על פי האקדמיה ללשון העברית: קוּקִיות) מתייחס לאינדיקטורים שנוצרים בצד הלקוח ו/או צד השרת בעת הגלישה באתרי אינטרנט, במטרה לאסוף מידע שניתן יהיה לעשות בו שימוש באותו אתר או באתרים אחרים בהמשך. ניתן לעשות שימוש בקוּקִיות כדי להתאים פרסומות לגולשים לפי היסטוריית הגלישה שלהם, כדי לצמצם זמני טעינה של אתרים, כדי לתעד את השימוש של גולשים באתרים ועוד.  

    קוּקִיות הן כלי הכרחי לתפקודם של אתרים רבים, ושימוש בהן מקל בצורה משמעותית על גלישה ברשת. הן גם משמשות כבסיס לפרסומות מותאמות, שמהוות את ליבת העסקים של בעלי אתרים רבים. אולם, היכולת לאסוף ולעבד מידע של משתמשים, בין היתר מידע רגיש, מתנגשת עם זכותם של המשתמשים לפרטיות. כדי להתמודד עם הפגיעה האפשרית בפרטיות ולהגביל אותה, מדינות וממשלות רבות מיישמות רגולציה על השימוש המותר בקוּקִיות. אפשרויות הרגולציה הללו כוללות דרישת הסכמה לקוּקִיות, דרישה להסברים פשוטים ומובנים טרם קבלת ההסכמה, מתן אפשרות לבחור אילו סוגי קוּקִיות ייאספו (האם רק קוּקִיות שמאפשרות לשמור את סל הקניות שלי באתר קניות, או שארצה גם לקבל פרסומות לפי היסטוריית הגלישה שלי באתר?) ועוד.   

    בריטניה 

    במכתב שנשלח ביום 15.11.2023 לנציגי הגנת המידע (DPOs), נציב הגנת המידע (ICO) הבריטי הזהיר 53 מ-100 האתרים המובילים במדינה מכך שהם עלולים להיות חשופים לקנסות ופעילויות אכיפה אחרות אם לא ישנו את מדיניותם לגבי הצגת קוּקִיות. הנציב פרסם בעבר הנחיות ברורות לגבי קוּקִיות, אשר הדגישו את הצורך להקל על משתמשים לבחור באפשרות לדחות את כלל הקוּקִיות הפרסומיות באתר. הובהר כי יש להפוך את הבחירה באפשרות הזו לקלה כמו הבחירה באפשרות (הטובה לאתרים) לאשר את כל הקוּקִיות הללו. אתרים אלה לא אפשרו לדחות קוּקִיות באותה קלות שאפשר לאשר את קבלתן. במכתב ניתנו לבעלי האתרים האלו 30 ימים לשנות את מדיניות הקוּקִיות שלהם כך שתתאים לדרישות הללו. 

    אחראי הערכת הסיכונים מטעם הנציב הדגיש את הסכנות בפרסומים מותאמים, ואת הקושי שבהצגתם ללא הסכמה: "מכורים להימורים יכולים לקבל הצעות להימורים בהתבסס על הגלישה שלהם באתרי הימורים, נשים עלולות להיחשף לפרסומים של תינוקות זמן קצר לאחר שחוו הפלה ואנשים שבוחנים את מיניותם עלולים להיחשף לפרסומות שחושפות את הנטייה המינית שלהם".

    ביום 31.01.2024 פורסם עדכון על היקף ההיענות של האתרים שאליהם הופנה המכתב. מתוך 53 האתרים אליהם פנו, 38 שינו את מדיניותם בהתאם להנחיות, 4 התחייבו להתאים את עצמן תוך חודש והאחרות עובדות מול הנציב ליישום פתרונות חליפיים, כמו מודלים של תשלום במקום הסכמה לקוּקִיות. 

    האיחוד האירופי 

    הבהרות לגבי תחולת החובה לקבלת הסכמה טרם קבלת גישה למידע

    ביום 14.11.2023, ביקש הוועד האירופי להגנה על מידע (EDPB)  את הערות הציבור < /span>לטיוטת הנחיות העוסקות בהיקף התחולה של סעיף 5(3) לדירקטיבה האירופית על פרטיות ותקשורת אלקטרונית (ePrivacy Directive, או ePD) הידועה הודות להוראותיה בדבר שימוש ב-Cookies. סעיף זה קובע כי אחסון מידע או גישה למידע שמאוחסן בציוד קצה של משתמש, תתאפשר אך ורק לאחר קבלת הסכמה של המשתמש, בכפוף לכך שקיבל מידע ברור ומקיף על טיב ומטרות עיבוד המידע שלו. כמו כן, הוראות הסעיף חלות רק על עיבוד מידע ב-"רשת תקשורת אלקטרונית ציבורית". 

    טיוטת ההנחיות מסבירה כי אופן היישום של סעיף 5(3) לדירקטיבה עמום, ועמימות זו יוצרת תמריצים שליליים לעקיפת החובות המשפטיות בדירקטיבה, ולכן נדרש ניתוח משלים. כמו כן, פיתוחן של שיטות מעקב חדשות במרחב הדיגיטלי מעלה חשש לעקיפתן של הוראות הדירקטיבה על-ידי היתלות בהגדרות הטכניות המיושנות והעמומות שלה. על כן, מטרת ההנחיה היא להבהיר אילו שיטות מעקב חדשות חוסות תחת ה- ePrivacy, ולהעניק לבעלי שליטה במידע ולמשתמשים בהירות וודאות משפטית רבה יותר בנושא. 

    על כן, ההנחיות מבקשות להבהיר את המשמעות של 4 תנאים טכניים בסעיף הקיים: (1) מה המשמעות של "מידע"?; (2) מה זה "מכשיר קצה"?; (3) מה היא "רשת תקשורת אלקטרונית ציבורית"?; ו-(4) מה נחשב "גישה למידע" או "אחסון מידע"?:

    1. מידע: ההנחיה מפרשת את המונח באופן רחב וכוללת בו גם נתונים שאינם מידע אישי. המטרה היא להבטיח את פרטיות המשתמשים לגבי כל סוגי הנתונים.
    2. ציוד קצה של משתמש: ההנחיה מתייחסת למכשירים שדרכם המשתמשים ניגשים לרשתות תקשורת אלקטרונית, כגון סמארטפונים, מחשבים ניידים, מכשירי IoT ("מכוניות חכמות", "טלוויזיות חכמות", "בתים חכמים") ועוד. בנוסף, הדירקטיבה מגנה לא רק על סודיות המידע, אלא גם שלמות ציוד הקצה. 
    3. רשת תקשורת אלקטרונית ציבורית: ההנחיה מבהירה כי נכללת תחת הגדרה זו כל תשתית שהיא אשר משמשת להעברת מסרים אלקטרוניים בין אנשים (רדיו, אינטרנט, חשמל, טלפונים, שידורי טלוויזיה, וכל תשתית בין אם ניידת או קבועה). 
    4. גישה למידע ואחסון מידע: ההנחיה מדגישה את החשיבות של מניעת גישה למידע המאוחסן בציוד הקצה של המשתמש ללא ידיעתו. לכן, המושג 'קבלת גישה' מקבל פרשנות שונה מ'אחסון מידע', והמושגים נתפסים כפעולות כנפרדות, שלא בהכרח מתבצעות על ידי אותו גורם. 

    טיוטת ההנחיה מפרשת את היסודות המרכזיים האלה באמצעות דוגמאות רבות המרחיבות את תחולת ה- ePrivacy לשיטות מעקב נוספות מעבר לקוּקִיות:  

    • מעקב פיקסלים: מעקב בעזרת נקודות זעירות ובלתי נראות המוטבעות במיילים ובעמודי אינטרנט בכדי לעקוב ולאסוף מידע על התנהגות המשתמשים. 
    • טכנולוגיות מעקב אחר כתובת IP. 
    • שידורי IoT, בהם מכשירי IoT אוספים נתונים לסירוגין ואף דרך מכשירים אחרים כגון חיישנים, רשת תקשורת ציבורית, WIFI ועוד. 
    • מזהים ייחודיים: איסוף נתונים כתוצאה משימוש באפליקציות, נתוני ניהול המכשיר, התאמות אישיות שהמשתמשים מגדירים כדוגמת סוג מערכת ההפעלה, סוג הדפדפן, רזולוציות ועוד. 
    • טכנולוגיות אחסון מקומיות: צורות שונות של טכנולוגיות מעקב שמבוססות בתוך ציוד הקצה של המשתמשים אשר דומות במטרתן לקוּקִיות ואף יכולות לאחסן יותר נתונים. טכנולוגיות אלה לא יהיו כפופות לסעיף 5(3) כל עוד המידע שאספו לא יוצא ממכשיר הקצה. 

    טיוטת ההנחיות הייתה פתוחה להערות הציבור עד ל-18 בינואר 2024. 

    ניסוח "הצהרת קוּקִיות" וולנטרית 

    ביום 19.12.2023 הנציבות האירופית פרסמה כי בכוונתה לנסח "הצהרה קוּקִיות" וולנטרית לעסקים. ההצהרה תהיה הצהרה עסקית וולנטרית לפישוט הליך ניהול הקוּקִיות על-ידי צרכנים, בהתבסס על מספר עקרונות שישרתו מטרה זו. עקרונות אלה כוללים, לדוגמה, הימנעות מדרישת הסכמה לקוּקִיות הכרחיות (משום שממילא אין צורך בהסכמה הזו, פירוט על הקוּקִיות האלה רק יבלבל צרכנים), הימנעות מדרישות חוזרות ונשנות לאישור קוּקִיות בפרק זמן קצר במקרה והצרכן סירב לקוּקִיות, שקיפות ביחס למודלים עסקיים שמבוססים על פרסומות, הימנעות משימוש במודלים של "הסכמה לקוּקִיות או תשלום" כדי לדחוף צרכנים לשימוש בקוּקִיות, ועוד. לצורך ניסוח ההצהרה, הנציבות נפגשה עם עם בעלי עניין (עסקים, נציגי ה-EDPB), ותמשיך להתייעץ עם בעלי עניין עד להסכמה על נוסח סופי. הנוסח הרשמי של ההצהרה צפוי להתפרסם באפריל 2024. 

    בהתייחסות לכך, הוועד האירופי להגנה על מידע (EDPB) ציין במכתבו לנציבות האירופית שמיקוד ההצהרה בנוחות השימוש לצרכנים לא יכול לבוא על חשבון פגיעה אפשרית בזכותם לפרטיות, וביקש להבהיר שהסכמה להצהרה לא תפטור עסקים מהמחויבות שלהם להגנה על מידע של צרכנים.