באירופה נקבע כי הסכמה לאיסוף מידע ממכשירים, בעזרת עוגיות, מחייבת הסכמה אקטיבית וברורה

בית המשפט האירופי לצדק קבע השבוע כי הצבת ‘עוגייה’ (Cookie) שאוספת מידע במכשיר המשתמש המחייבת הסכמה נדרשת להתבסס על הסכמה אקטיבית ומובחנת של המשתמש. בנוסף, על מנת להבטיח הסכמה מדעת, על בעל האתר לספק למשתמש מידע ברור ומקיף באשר להשלכות הנובעות מההסכמה. פסק הדין עוסק בדף רישום של אתר הגרלות מקוון (Planet49) ,שבתחתיתו הופיעו שתי פסקאות שלצד כל אחת מהן תיבת סימון.

הראשונה מתארת את הסכמת המשתמש לקבל מידע שיווקי מצדדים שלישיים. תיבת הסימון לצד הפסקה לא סומנה כברירת מחדל. הפסקה השנייה עוסקת בהסכמה של המשתמש להצבת עוגיות שיאפשרו לבעל האתר למקד פרסום מבוסס התנהגות. תיבת הסימון לצד הפסקה השנייה סומנה להסכמה כברירת מחדל.

בית המשפט הפדרלי הגרמני הציג מספר שאלות לבית המשפט האירופי לצדק. הראשונה עוסקת בשאלה האם תיבת סימון להצבת עוגייה המסומנת כברירת מחדל באופן המאפשר למשתמש לבטל את הסימון (Opt-out) תחשב להסכמה כדין. והאם התשובה לשאלה זו תלויה בשאלה האם העוגייה שומרת דווקא מידע אישי כהגדרתו בתקנות הגנת מידע האירופיות (GDPR). השאלה השנייה עוסקת במידע שבעל האתר נדרש לספק, בין היתר האם נדרש לידע את המשתמש באשר למשך הפעילות של העוגייה ובאשר להרשאות הגישה של צדדים שלישיים למידע בעוגייה. 

כאמור, בית המשפט האירופי לצדק הכריע השבוע בעניין הדרך בה נדרשת קבלת הסכמה בעת הצבת ״עוגיות״. בהחלטתו לעניין השאלה הראשונה קבע בית המשפט כי לפי ה-GDPR הסכמה חייבת להיות אקטיבית וחד משמעית. האפשרות להבעת אי הסכמה (Opt-out) לא תחשב להסכמה אקטיבית. רק התנהגות פעילה מצד המשתמש במטרה לתת את הסכמתו עשויה למלא דרישה זו.

בנוסף, הסכמה חייבת להנתן באופן מובחן לכל מטרה של עיבוד מידע. כאשר נדרשת הסכמה להצבת עוגייה אין זה משנה אם מדובר בעוגייה השומרת מידע אישי כהגדרתו ב-GDPR ובין אם לא. הטעם לכך הוא שהדירקטיבה על פרטיות ברשתות אלקטרוניות (ePrivacy), המסדירה את השימוש בעוגיות, נועדה להגן על המרחב הפרטי האלקטרוני של אדם, ולאו דווקא על מידע אישי שלו. 

באשר לשאלה השנייה קבע בית המשפט כי המידע שבעל האתר נדרש לספק למשתמשים אודות העוגייה צריך לכלול את משך הפעולה שלה והאם צדדים שלישיים עשויים לקבל גישה אליה ולמידע שנאסף. זאת משום שהמטרה של מתן המידע היא להעמיד את המשתמש במצב שיוכל לתת הסכמה מושכלת תוך הבנת תפקוד העוגייה וההשלכות של מתן הסכמה.

באשר לדין החל בישראל, זה איננו מתייחס במישרין לעניין הצבת קובצי עוגייה במכשיר הקצה של המשתמש. לפיכך, יחולו העקרונות הכלליים להגנת הפרטיות והמידע בדין הישראלי.

חוק הגנת הפרטיות בישראל שנחקק אי שם בשנת 1981, ותוקן בשנת 2007 קובע שפגיעה בפרטיות מחייבת קבלת הסכמה מדעת במפורש או מכללא. הסכמה מדעת נחשבת כזו אם המידע הדרוש לאדם לצורך מתן הסכמתו ניתן לו בלשון המובנת לאדם סביר.