מדריך הסכמה לקובצי Cookie לפי Privacy Protection Law בישראל: עמידה בדרישות Amendment 13 עבור מפרסמים
ל-Privacy Protection Law של ישראל יש שושלת ארוכה. החוק המקורי מתוארך ל-1981, Privacy Protection Authority — הרגולטור להגנת מידע במדינה — הוקם ב-2006, וה-EU הכיר בישראל כתחום שיפוט הולם להעברות מידע אישי מאז 2011, אחת מבין קומץ מדינות בלבד שמחזיקות במעמד זה. במשך רוב התקופה הזו התקנים המהותיים היו מיושרים באופן רחב עם GDPR אך ארכיטקטורת האכיפה הייתה קלה יותר והפרטים הטכניים היו פחות מפותחים. Amendment 13, שנכנס לתוקף באוגוסט 2025, משנה זאת. התיקון ממודרן את תקן ההסכמה, מרחיב את מסגרת הזכויות, מחדד את כללי ההעברות חוצות גבולות, ומחזק באופן משמעותי את סמכויות האכיפה של Privacy Protection Authority. עבור מפרסמים הפועלים בישראל או מכוונים לתעבורה ישראלית — שוק עם אחד האוכלוסיות המעורבות ביותר דיגיטלית בעולם — ההשפעה המעשית היא שהתאימות להסכמה לקובצי cookie ולמעקב מקוון היא כעת קרובה באופן משמעותי יותר לתקן האירופי. מדריך זה עובר על מה שהשתנה, מה התקן התפעולי כעת, והיכן מפרסמים צריכים למקד את עבודת התיקון.
Privacy Protection Law ב-2026
המסגרת הישראלית מבוססת על שלוש שכבות: Privacy Protection Law עצמו (החוק הראשי), Privacy Protection Regulations (שממלאים פרטים תפעוליים, בעיקר Data Security Regulations משנת 2017), וההנחיות ומסמכי העמדה שמפרסם Privacy Protection Authority. Amendment 13 משנה את השכבה הראשונה ומפעיל עדכונים לשנייה; השלישית — הדרכת הפרשנות של הרשות — עודכנה באופן רציף מאז שהתיקון נכנס לתוקף.
העקרונות המרכזיים יהיו מוכרים לכל מי שעובד עם GDPR: בסיס חוקי, הגבלת מטרה, מזעור מידע, דיוק, הגבלת אחסון, שלמות, ואחריות. הבסיסים החוקיים תחת החוק הישראלי כוללים הסכמה, ביצוע חוזה, חובה חוקית, אינטרס ציבורי, ואינטרס לגיטימי, כל אחד עם היקפו. עבור מעקב מקוון הבסיסים הרלוונטיים הם הסכמה ו, בנסיבות מצומצמות, אינטרס לגיטימי — אותה מסגרת שרוב המפעילים כבר מכירים.
מה Amendment 13 בעצם שינה
התיקון הוא רחב יותר מהסכמה לקובצי cookie, אך ארבעה שינויים חשובים ביותר למפרסמים מקוונים.
תקן הסכמה מחוזק
התיקון מחמיר את הגדרת ההסכמה כך שתדרוש שתינתן בחופשיות, שתהיה ספציפית, מושכלת, וחד-משמעית — ניסוח שעוקב מקרוב אחר GDPR Article 4(11). הסכמה משתמעת והסכמה על ידי המשך שימוש, שהיו מקובלות באופן מעורפל תחת הפרשנות הישנה יותר, הן כעת לא מספקות באופן חד-משמעי למעקב לא חיוני.
זכויות נושא מידע מורחבות
זכויות גישה, תיקון, מחיקה, והתנגדות מובהרות ומורחבות. התיקון מציג לוחות זמנים מפורשים לתגובות (45 יום, הניתנים להארכה ב-30 במקרים מורכבים) ומבהיר את חובת המפרסם לספק נתיב ברור למימוש זכויות.
מסגרת העברות חוצות גבולות מחודדת
העברות לתחומי שיפוט לא הולמים דורשות כעת אמצעי הגנה מפורשים — סעיפי חוזה מודל, כללים תאגידיים מחייבים, או חריגים ספציפיים. המסגרת קרובה יותר ל-Chapter V של GDPR מהגישה הישראלית הישנה יותר, והרשות החלה לפרסם סעיפים מודל דומים ל-SCC של EU.
סמכויות אכיפה חזקות יותר
קנסות מנהליים הוגדלו באופן משמעותי. העונש המקסימלי קשור לאחוז מההכנסות הארגוניות עם תקרה מוחלטת גבוהה, בדומה למבנה המדורג של GDPR. הרשות קיבלה סמכויות חקירה מורחבות כולל היכולת לחייב הצגת מסמכים ולבצע בדיקות באתר.
הסכמה לקובצי Cookie תחת התקן המתוקן
Privacy Protection Law אינו מכיל הוראה ספציפית לקובצי cookie באופן שבו ePrivacy Directive של EU עושה. במקום זאת, דרישת ההסכמה נובעת מתקן ההסכמה הכללי ומההנחיות הפרשניות של הרשות. ההנחיה משנת 2026 על מעקב מקוון, שפורסמה זמן קצר לאחר שAmendment 13 נכנס לתוקף, מנסחת ציפיות שמיושרות באופן הדוק עם קריטריוני כוח המשימה לבאנרים של EDPB.
אלמנטים נדרשים בבאנר
הרשות מצפה שבאנרים יכללו אפשרות דחייה מפורשת בשכבה הראשונה, בקרות קטגוריה מפורטות המפרידות בין קובצי cookie חיוניים בהחלט לאנליטיקה ולשיווק, ומנגנון נסיגה ברור. תיבות מסומנות מראש ועיצוב קישורים מטעה הם פגמים מפורשים. הציפייה היא להתכנסות עם הנורמות האירופיות וכל באנר שעובר ביקורת EU יספק את הרשות.
דרישת שפה עברית
באנרים המגישים תעבורה ישראלית צריכים להיות זמינים בעברית. הרשות לא פירמלה זאת כדרישה מחמירה אך ציינה בהנחיה שזמינות עברית היא חלק מרכיב ההסכמה ׳המושכלת׳ של תקן ההסכמה עבור קהלים דוברי עברית.
תיעוד ואחריות
עקרון האחריות בחוק הישראלי עוקב אחר זה של GDPR. מפרסמים חייבים להיות מסוגלים להפגין החלטות הסכמה על פי דרישה. רישום ברמת ביקורת — חותמת זמן, גרסת באנר, בחירה, תחום שיפוט של המבקר — היא הדרישה המעשית.
שאלת ההלימות של EU
החלטת ההלימות של EU לישראל היא אחת התכונות החשובות ביותר אסטרטגית של משטר הפרטיות שלה. החלטת 2011 מאפשרת למידע אישי לזרום מה-EU לישראל ללא אמצעי הגנה נוספים, מה שהופך מפעילים ישראלים לשותפים אטרקטיביים באופן משמעותי יותר לעסקים אירופיים מאשר מפעילים בתחומי שיפוט לא הולמים. תהליך סקירת ההלימות התקופתי של הנציבות מחייב את המסגרת הישראלית לעמוד בקצב התקנים האירופיים. Amendment 13 היה, בחלק משמעותי, מונע על ידי שמירה על הלימות דרך מחזור הסקירה הבא.
עבור מפרסמים, המשמעות המעשית היא שהתאימות למסגרת הישראלית המתוקנת היא לא רק על הימנעות מאכיפה מקומית; היא על שמירה על מעמד ההלימות של המדינה ועל הגישה המועדפת לזרמי מידע אירופיים שהמעמד הזה מספק. סדרי העדיפויות באכיפה של הרשות משקפים זאת — פגמי עיצוב באנרים באתרים ישראלים נלקחים ברצינות רבה יותר על ידי הרשות מאשר אותם פגמים עשויים להיות בתחומי שיפוט לא הולמים בגלל ההשלכות ההלימות המערכתיות.
עמדת האכיפה של Privacy Protection Authority
הרשות פועלת מתוך משרד המשפטים אך עם עצמאות תפעולית משמעותית. עמדת האכיפה שלה הייתה היסטורית מתונה — בניית יכולת, התייעצות מגזרית, ומקרים בולטים ממוקדים במקום קנסות בנפח גבוה — אך הארגז המורחב של Amendment 13 שינה את הדפוס באופן ניכר.
טריגרים לחקירה
הרשות פותחת חקירות בעיקר דרך שלושה ערוצים: תלונות נושא מידע, הודעות על הפרות, וסקירות מגזריות. מפרסמים מקוונים נוטים לעלות דרך הערוץ הראשון — תלונה על עיצוב באנר או התנהגות מעקב לעתים קרובות הופכת לנקודת הכניסה.
פרקטיקת סנקציות
הקנסות של הרשות לאחר Amendment 13 עקבו אחר דפוס: תקופת תיקון מוצעת תחילה, עם עונשים כספיים המוטלים רק כאשר התיקון אינו שלם או נדחה. האות הוא שעמדת התאימות בתום לב חשובה גם כאשר פגמים קיימים.
תיאום עם רגולטורים של EU
הרשות משתתפת באופן פעיל במנגנוני התיאום בסגנון Article 29 שכוללים תחומי שיפוט הולמים. עמדות אכיפה נוטות לעקוב אחר הנחיות EDPB, ותלונות חוצות גבולות הכוללות תעבורת EU וישראלית מטופלות יותר ויותר דרך הליכים מתואמים.
רשימת בדיקה מעשית לתאימות
שש שאלות קונקרטיות לענות עליהן עבור כל באנר cookie המגיש תעבורה ישראלית.
- האם יש כפתור דחייה מפורש בשכבה הראשונה? נתיב הדחייה חייב להיות על אותו משטח כמו קבלה, עם בולטות ויזואלית דומה.
- האם הקטגוריות מפורטות? חיוני, אנליטיקה, ושיווק חייבים להיות ניתנים לשליטה בנפרד; קבלה כוללת מאוגדת ללא פירוט היא פגם.
- האם עברית זמינה? עבור קהלים הכוללים דוברי עברית, הבאנר והמדיניות צריכים לתמוך בעברית.
- האם נסיגה קלה כמו הסכמה? בקרה מתמשכת שניתנת להשגה מכל עמוד היא הציפייה התפעולית.
- האם העברות חוצות גבולות מתועדות? זהו אלו יעדים נמצאים בתחומי שיפוט לא הולמים ואיזה אמצעי הגנה מאשר כל העברה.
- האם רישום ההסכמה ברמת ביקורת? חותמת זמן, גרסת באנר, בחירה, ותחום שיפוט בזמן ההחלטה חייבים להיות ניתנים לשחזור.
היכן ישראל מתאימה לתמונה העולמית
Amendment 13 של ישראל משקף דפוס רחב יותר: תחומי שיפוט שמקדימים את GDPR מודרנים את המסגרות שלהם לשמור על יישור עם תקנים אירופיים. יפן, בריטניה, דרום קוריאה, וברזיל כולם עקבו אחר מסלולים דומים. עבור מפרסמים הפועלים על פני השווקים האלה, המשמעות המעשית היא שתשתית CMP אחת שנבנתה לתקנים אירופיים מטפלת ברוב הנוף הרגולטורי — המסגרת של ישראל, לאחר התיקון, היא בוודאות בתוך המעטפה הזו. הערך האסטרטגי הוא כפול: תאימות מקומית בתוספת השתתפות מתמשכת ביחס זרימת המידע המועדף עם EU שמעמד הולם מספק. ההשקעה בארכיטקטורת באנר ראויה וברישום הסכמה שהתאימות האירופית כבר מצדיקה היא, בישראל, השקעה הניתנת להגנה באופן ישיר יותר מאשר ברוב תחומי השיפוט הלא הולמים.