הרשות להגנת הפרטיות ממליצה לראשונה: Cookies טעונים הסכמה מפורשת של הגולש

"רצוי כי הליך בקשת ההסכמה לשימוש בקבצי עוגיות במסגרת אמצעי התשלום המתקדמים ייעשה באופן נפרד ותוך הצגת הסבר ביחס להשלכות של מתן ההסכמה לשימוש בקבצים (לרבות תוך קבלת הסכמה אקטיבית במודל opt-in)". כך ממליצה הרשות להגנת הפרטיות במסמך ההמלצות על פרטיות באמצעי תשלום מתקדמים להעברת כספים ולתשלום בבתי עסק, שפרסמה הרשות בתחילת השבוע להערות הציבור.

עוגיות (Cookies) הם קבצי טקסט מזעריים המאוחסנים במכשיר הקצה או בדפדפן של המשתמש, ומשמשים לצורך אחסון מידע על המשתמש הגולש. המידע יכול לשמש למטרה הכרחית לצורך תפעול השירות, ויכול לשמש למטרות מסחריות כגון פרסום ממוקד. בניגוד לאיסוף מידע באמצעות טפסי רישום, איסוף מידע באמצעות קבצי עוגיות נעשה באופן סמוי לעיני המשתמש שלא יודע מתי ואילו נתונים נאספים לגביו.

law.co.il מזכיר כי לאור המאפיינים הייחודיים של Cookies, חוקים להגנת פרטיות במדינות אחרות בעולם מייחדים הוראות לאיסוף מידע בטכניקה זו. למשל, הדירקטיבה האירופית על פרטיות ברשתות תקשורת אלקטרוניות, בשילוב ה-GDPR האירופי, מחייבים למסור למשתמש בשקיפות מידע על מטרות השימוש ב-Cookies המיושמים באתר. בנוסף, כל שימוש ב-Cookies (למעט אלה הנחשבים בעיני החוק הכרחיים), טעון לפי הדין באירופה הסכמה מפורשת ומראש של המשתמש, שרשאי לסרב ל-Cookies בלא שתפגע בדרך כלשהי יכולתו לגלוש באתר או לקבל שירות.

חוק הגנת הפרטיות בישראל, לעומת זאת, לא קובע הוראות מיוחדות לאיסוף מידע באמצעות Cookies ולא עוסק במאפיינים הייחודיים שלהם. הנחיות רשות הגנת הפרטיות עד כה שתקו עד כה אף הן בנושא. כעת הרשות להגנת הפרטיות מעלה לראשונה את הנושא, בדרך של המלצה על קבלת הסכמה נפרדת לעניין Cookies ומתן הסבר למשתמש. 

טיוטת ההמלצות שפרסמה הרשות מגלה כי "בחלק מהאמצעים הסכמת משתמשים לשימוש באמצעים אלו מהווה גם, כברירת מחדל, הסכמה לשימוש בקבצי "עוגיות"", אולם "מרבית האנשים אינם נוטים לשנות את הגדרות ברירות המחדל במערכות והיישומים הדיגיטליים בהם הם עושים שימוש. משמעות הדבר היא שמידע אישי רב על אודות משתמשים נאסף, מעובד ומועבר לגורמים מסחריים לצרכים של פרסום ממוקד כתוצאה מהשימוש בקבצי עוגיות, וזאת מבלי שהמשתמשים נתנו הסכמתם הספציפית לכך, ולמרות שהשימוש בקבצי העוגיות אינו מתחייב לצורך עצם מתן השירותים במתכונתם הבסיסית (דבר הנלמד כמובן מתוך האפשרות של משתמשים לבקש את הפסקת השימוש בקבצים אלו)". הרשות אף מפנה לפסק הדין שנתן ב-2019 בית המשפט האירופי בנושא.