מה זו עוגייה ולמה החוק מתעניין בה
עוגיות (cookies) הן קבצים קטנים שהאתר מאחסן על מחשב המשתמש. חלקן הכרחיות — שמירת מצב ההתחברות, תוכן עגלת קניות. אלה לא מחייבות הסכמה מיוחדת. הבעיה מתחילה עם השאר: עוגיות אנליטיקה שעוקבות אחרי כל קליק שלכם, ועוגיות שיווקיות שבונות פרופיל התנהגותי שמועבר לגוגל, פייסבוק ופלטפורמות פרסום.
לצד עוגיות, יש גם pixels (כמו Meta Pixel שמדווח על פעולות באתר חזרה לפייסבוק), fingerprinting (זיהוי לפי מאפייני הדפדפן), ו-local storage. כל אלה כפופים לאותן דרישות הסכמה.
הדין הישראלי: מה מחייב ומה מומלץ
חוק הגנת הפרטיות, תשמ"א-1981 ותקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 מטילים חובות ברורות: איסוף מידע אישי ממשתמש מחייב הסכמה מדעת. עוגייה שיוצרת פרופיל אישי — בין אם היא "אנליטיקה" ובין אם "שיווק" — היא עיבוד מידע אישי לכל דבר.
רשות הגנת הפרטיות (PPA) — הגוף הרגולטורי בישראל בתחום זה — הוציאה הנחיות: עוגיות הכרחיות לתפקוד האתר פטורות מדרישת הסכמה, אך עוגיות אנליטיקה ושיווקיות מחייבות הסכמה ברורה מראש. ⚠️ גובה הקנסות המנהליים לאחר תיקוני 2023 לחוק — מומלץ לאמת מול פרסומי רשות הגנת הפרטיות.
GDPR: גם על חברות ישראליות
אם המשתמשים שלכם כוללים אנשים מהאיחוד האירופי — GDPR חל עליכם, גם אם החברה בישראל. ה-GDPR (תקנה 2016/679) אחד ממחמיר ביותר בעולם בנושא הסכמת עוגיות: הסכמה חייבת להיות "חופשית, ספציפית, מדעת ומפורשת." ישראל מוכרת כמדינה עם רמת הגנת נתונים נאותה על ידי האיחוד האירופי — אך זה לא פוטר מציות ל-GDPR בעת עיבוד נתוני אזרחי EU.
הקנסות ב-GDPR עצומים: עד 20 מיליון יורו או 4% מהמחזור השנתי הגלובלי — הגבוה מביניהם. הרשויות האירופאיות הטילו קנסות על גוגל, מטא ואתרים קטנים כאחד.
קראו גם:
Cookie Banner: מה עושה אותו חוקי ומה פסול
כדי שה-banner יהיה כשר, הוא חייב לעמוד בתנאים הבאים: כפתור "אסכים" וכפתור "אסרב" נגישים ברמה שווה, ללא מניפולציה ויזואלית; לחיצה על "X" — לא נחשבת הסכמה; גלילה באתר — לא נחשבת הסכמה; ברירת מחדל של כל העוגיות ל"מופעל" — לא חוקית.
ה-dark patterns הנפוצים שרגולטורים כבר קנסו עליהם: כפתור "הסכמה" ירוק ובולט, כפתור "דחייה" קטן ואפור; מסלול של 5 קליקים לדחיית עוגיות לעומת קליק אחד לאישור; ומסר "עזרו לנו לשפר" שיוצר לחץ נפשי לאשר.
ניהול הסכמות: תיעוד שמגן עליכם
כשרגולטור דופק בדלת — השאלה הראשונה היא "הוכיחו שהמשתמש הסכים." אתר שמפעיל Consent Management Platform (CMP) כמו Cookiebot, OneTrust או Axeptio — שומר יומן מוצפן של כל הסכמה: מועד, גרסת ה-banner, אילו קטגוריות אושרו. זה ההגנה שלכם.
בנוסף: אם המשתמש ביקש לשלול הסכמה — גם Google Analytics וגם Meta Pixel חייבים להיחסם. אתרים שמפעילים אותם "בכל מקרה" לאחר דחייה — מפרים את החוק.
צעדים מעשיים לציות מיידי
בדקו ידנית שכל script של צד שלישי באתר (Analytics, Pixel, HotJar, LinkedIn Insight) לא נטען לפני קבלת הסכמה. השתמשו ב-Google Tag Manager עם Consent Mode v2 — הוא מאפשר ניהול הסכמות מסודר ממקום אחד. עדכנו את מדיניות הפרטיות שלכם לכלול רשימה של כל עוגיות צד שלישי שהאתר מפעיל.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: כשמלווים לקוח בציות לחוק הגנת הפרטיות — אל תסתפקו ב"שימו banner". בצעו Cookies Audit מלא: סרקו את האתר עם Cookiebot Scanner ובדקו אילו עוגיות מופעלות לפני הסכמה
- חקיקה רלוונטית: חוק הגנת הפרטיות תשמ"א-1981 סעיפים 1, 7 ו-8; תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017; GDPR תקנות 4(11), 7 ו-Recital 32; ePrivacy Directive 2002/58/EC
- טעות נפוצה: עורכי דין ממליצים על "Legitimate Interest" כבסיס משפטי לעוגיות אנליטיקה — הרגולטורים האירופאים דחו זאת עקביות: עוגיות שאינן הכרחיות דורשות consent, לא legitimate interest
- נקודה טקטית: ⚠️ גובה הקנסות בישראל לאחר תיקון חוק הגנת הפרטיות 2023 — לאמת מול עדכוני PPA לפני ייעוץ ללקוח; הסנקציות שודרגו משמעותית