חזרה | מרץ 2026

האם צריך באנר עוגיות לפי תיקון 13 לחוק הגנת הפרטיות

שמשון מורפורגו, ראש תחום ייעוץ פרטיות

האם תיקון 13 לחוק הגנת הפרטיות מחייב באנר עוגיות?

אתם מכירים את הרגע הזה: נכנסים לאתר, ובום: קופץ באנר שמודיע על שימוש בעוגיות. השאלה שבעלי אתרים שואלים היא פשוטה: האם החוק בישראל באמת מחייב להציב באנר ולקבל הסכמה מפורשת, או שמדובר בסטנדרט שיובא מאירופה והפך לנורמה שיווקית?

ננסה לענות.

מבחינה משפטית, התשובה ברורה יותר ממה שנדמה: הדין הישראלי אינו כולל חובה מפורשת להצבת באנר עוגיות, ואינו קובע כי בכל מקרה נדרשת הסכמה אקטיבית מראש בדמות Opt-in.

בהרבה מובנים, חוק הגנת הפרטיות מבוסס על חובת יידוע והסכמה מדעת. במקרים מתאימים, ובכפוף לגילוי ברור במדיניות הפרטיות, ניתן להסתמך גם על הסכמה המשתמעת מהתנהגות המשתמש. למשל, המשך גלישה באתר. זהו מודל משפטי מוכר בדין הישראלי, והוא שונה מהמודל האירופי המחמיר.

תיקון 13 לחוק לא שינה נקודת מוצא זו. הוא לא יצר חובת באנר, ולא קבע כי כל שימוש בעוגיות מחייב מנגנון הסכמה נפרד. עם זאת, הוא הרחיב את סמכויות האכיפה והעלה את גובה העיצומים, ולכן ארגונים רבים בוחנים מחדש את מדיניותם מטעמי ניהול סיכונים. למעשה, התיקון נמנע מלהגדיר מחדש הסכמה מהי, למרות שניתנה כאן הזדמנות פז לכך.

חשוב להבין: לא כל עוגייה זהה. קיימת הבחנה בין עוגיות תפעוליות בסיסיות, הדרושות לתפקוד האתר, לבין כלים אנליטיים ושיווקיים מורכבים יותר. ככל שהשימושים מתקדמים יותר – למשל שילוב עם פלטפורמות פרסום חיצוניות – כך גוברת החשיבות של שקיפות ונגישות המידע למשתמש. אך גם במצבים אלה, הדין אינו מכתיב מנגנון טכני אחיד.

בפועל קיימים בישראל מודלים שונים: יש אתרים שמסתפקים ביידוע והמשך שימוש, יש שמוסיפים כפתור ״אישור״ או ״הבנתי״, ויש שבוחרים במנגנון בחירה מפורט יותר. הבחירה במודל מסוים היא החלטה משפטית ועסקית, ולא תוצאה של חובה גורפת.

וכאן טמונה נקודה רגישה: ארגון שבוחר לדרוש הסכמה מפורשת חייב לוודא שהוא עומד בכך בפועל. אם האתר מצהיר שעוגיות שיווקיות יופעלו רק לאחר הסכמה, אך מבחינה טכנית הן נטענות כבר עם הכניסה לאתר, נוצר פער בעייתי בין ההצהרה לבין ההתנהלות בפועל. במצב כזה, הסיכון אינו נובע מהיעדר באנר, אלא מהתחייבות לסטנדרט מחמיר יותר שלא יושם כראוי. כשלים טכניים בהטמעת מנגנוני חסימה והסכמה הם עילת תקיפה נפוצה, ולעיתים אף חמורה יותר מהסתמכות על מודל יידוע לגיטימי.

גם בזירה הבינלאומית, לרבות באירופה תחת רגולציה מחמירה בהרבה, הנושא ממשיך לעורר מחלוקות, הליכי אכיפה ותביעות. עצם קיומו של באנר אינו חיסון מפני טענות. השאלה המשפטית נבחנת לפי מכלול הנסיבות: סוגי העוגיות, היקף העיבוד, רמת הגילוי, והאם קיים פער בין המדיניות המוצהרת לבין הפעילות בפועל.

בשורה התחתונה, הדין הישראלי אינו מחייב מודל אחד ויחיד. הוא מחייב שקיפות, סבירות והלימה בין מה שהארגון עושה לבין מה שהוא מציג למשתמש. באנר עוגיות יכול להיות כלי נכון בנסיבות מסוימות, אך הוא אינו תחליף לבחינה אמיתית של כלי המעקב, לאופן פעולתם ולדרך הצגתם לציבור והסבר עליהם במדיניות פרטיות מתאימה.

הנושא מורכב ודינמי. תביעות, טיוטות והליכים רגולטוריים ממשיכים להתפתח ולהשתנות. נכון למועד כתיבת שורות אלה, הדיון המשפטי עדיין בתנועה.

 

לכן, לפני שמאמצים מודל כזה או אחר, מומלץ להיוועץ במומחים ולנהל את הסיכונים בצורה נבונה ומדעת;)

המאמר נכתב בסיוע אוריאל בש: סטודנט מבריק ללימודי משפטים ומנהל עסקים באוניברסיטת רייכמן ועוזר המחקר שלנו.