המועצה לפרטיות: להימנע משימוש ב-Cookies לטווח ארוך

החדרת רוגלות בלא הסכמה מפורשת של הגולש מהווה עבירה פלילית, קובעת המועצה הציבורית להגנת הפרטיות במסמך ראשון בעניין מדיניות הפרטיות הראויה באתרי אינטרנט בישראל

המועצה הציבורית להגנת הפרטיות, הפועלת במסגרת משרד המשפטים, פירסמה מסמך ראשון מסוגו המתווה עקרונות למדיניות פרטיות באתרי אינטרנט, כך מדווח אתר האינטרנט של עורך הדין חיים רביה, המתמחה במשפט באינטרנט.

 

המועצה הציבורית להגנת הפרטיות, גוף אלמוני למדי עבור רוב הגולשים, פועלת מכח חוק הגנת הפרטיות על מנת להגן על האזרחים מפני פגיעה בצנעת הפרט.

 

"שימוש בתוכנות ריגול ללא אישור - עבירה"

 

אמנת מדיניות הפרטיות באתרי אינטרנט (מסמך doc.), שניסחה המועצה, קובעת כי התקנת תוכנות ריגול (Spywares) לסוגיהן במחשב המשתמש היא עבירה פלילית לכאורה, אם לא קיבלה הסכמה מפורשת ומודעת של המשתמש - חתימת הלקוח על טופס משוב חיובי וברור.

 

המסמך לא מגדיר מהן תוכנות ריגול, אך לרוב הכוונה היא לתוכנות המוטמנות בתוכנות אחרות, אותן הגולש מוריד ומתקין, ושולחות מידע לאינטרנט על הרגלי הגלישה של הגולש או מציגות בפניו פרסומות מבלי שנתן לכך את הסכמתו.

 

המועצה נגד Cookies לטווח ארוך

 

נוסף על כך, המועצה ממליצה עוד שלא להשתמש באמצעים העוקבים אחר פעילות הגולש באתר, כמו קובצי Cookies (המותקנים במחשב הגולש ומשמשים אתרים כדי לזהותו - ולמשל, לאפשר לו להיכנס מחדש לאתר ללא צורך להזין מחדש סיסמה או לקבל תכנים מותאמים אישית), אלא אם הדבר נחוץ לתפקודו התקין של אתר האינטרנט, רק במידה הנחוצה לתפקוד תקין כאמור ורק אם לא נמצא אמצעי אחר שפגיעתו בפרטיות קטנה יותר.

 

על פי חוות דעת המועצה, אם אין ברירה אלא להשתמש ב-Cookies, ההמלצה היא להימנע ככל הניתן משימוש ב- Cookies קבועים ולהסתפק ב- Session Cookies, שיפקעו עם סגירת הדפדפן. המועצה קוראת שלא להתיר לצדדים שלישיים לאסוף מידע על פעילות גולש באתר אלא אם הדבר נחוץ לתפקודו התקין של אתר האינטרנט, רק במידה הנחוצה לכך ורק אם לא נמצא אמצעי אחר שפגיעתו בפרטיות קטנה יותר.

 

מדיניות הפרטיות הרצויה

 

האמנה מעודדת אתרי אינטרנט לפרסם מדיניות פרטיות פשוטה, מנוסחת בשפה ידידותית, שתבהיר לגולשים מהם נוהגי האתר בתחום איסוף המידע האישי והשימוש בו. על פי המסמך, מטרת המדיניות היא לאפשר לגולשים לקבל החלטה מושכלת אם רצונם בחשיפת מידע אישי.

 

לשם כך, אתרי האינטרנט נדרשים להציב את המדיניות באופן שתהיה גלויה ונגישה לגולשים, כאשר היענות לדרישה זו תענה על הדרישות בסעיף 11 בחוק הגנת הפרטיות, המורה איזה מידע צריך בעל מאגר מידע לספק למי שהוא מבקש לכלול את פרטיו במאגר.

 

עם זאת, לגישת המועצה, בכל מקום שהמידע הנאסף אודות הגולש הוא מידע המזהה או עלול לזהותו אישית, אין להסתפק במדיניות פרטיות אלא יש לקבל הסכמה מפורשת של הגולש לאיסוף המידע. (גם במקרים בהם חברות המנהלות את הפירסום באתר מציבות Cookies במחשב המשתמש באמצעות ה'באנרים' שהן מציגות בפניו).

 

המסמך שגיבשה המועצה כולל הנחיות להכנת מדיניות פרטיות ואף מציג מדיניות פרטיות לדוגמה. מדיניות זו, לדעת המועצה, צריכה לכלול את הסעיפים הבאים:

 

• מידע על זהות הגוף המפעיל את האתר, מענו ודרכי ההתקשרות עימו.
  
• פרטים על המידע שאוסף האתר אודות המשתמש; האם המידע מזהה אישית את הגולש.
  
• כיצד יישמר המידע הנאסף; האם חלה על המשתמש חובה חוקית למסור את המידע או שמסירתו מותלית ברצונו.
  
• מה השימוש שייעשה במידע.

 

• האם המידע יימסר לצדדים שלישיים, ואם כן – לאילו צדדים שלישיים ובאילו נסיבות.
  
• האם האתר מפעיל אמצעים העלולים לשמש להתחקות אחר גולשיו, כדוגמת Cookies.
  
• לאילו מטרות משמשים ה-Cookies,אם נעשה בהם שימוש, האם הגולש יכול לנטרל אותם ומה תהיה תוצאת הניטרול.
  
• האם האתר מתיר לצדדים שלישיים – כדוגמת מפרסמים או חברות לניהול פרסום המשלבות 'באנרים' באתר - להתחקות אחר משתמשי האתר. אם כן, באילו אמצעים מתבצעת התחקות זו, לאיזו מטרה, מהו המידע האישי שהיא חושפת אודות הגולש וכיצד ניתן להמנע ממסירתו.
  
• אילו צעדים נוקט האתר לאבטחת המידע הנאסף ומה מידת הבטחון שהם מעניקים לגולש.
  
• הודעה בדבר זכותו של הגולש לעיין במידע ולתקנו או למוחקו, כאמור בהוראות חוק הגנת הפרטיות.
  
• הבהרה האם מדיניות הפרטיות תתוקן מעת לעת, מה תהיה תחולת התיקון והיכן וכיצד יפורסם.