הגנת פרטיות 6 יוני 2026 אלון אלישע, עו"ד

באנר עוגיות לאתר: מה החוק דורש ואיך עושים את זה נכון

תיקון 13 לחוק הגנת הפרטיות שינה את הכללים. אתר שמטעין Google Analytics, Facebook Pixel או כל כלי מעקב — בלי לקבל הסכמה מפורשת מהמשתמש — מפר את החוק. המדריך הזה מסביר מה באנר עוגיות חייב לכלול, אילו עוגיות דורשות הסכמה, ואיך מתחילים.

מה החוק אומר על עוגיות?

תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, נכנס לתוקף באוגוסט 2025 וכולל התייחסות ישירה לשימוש בעוגיות (cookies) ובטכנולוגיות מעקב דומות. פרק 8 לתיקון קובע חובת קבלת הסכמה מדעת לפני איסוף מידע באמצעים טכנולוגיים — וזה כולל עוגיות.

החוק מבחין בין שני סוגי עוגיות:

עוגיות חיוניות — עוגיות שהאתר לא יכול לתפקד בלעדיהן. אלה לא דורשות הסכמה.
עוגיות לא-חיוניות — עוגיות שאוספות מידע על התנהגות גלישה, מיקום, העדפות, או משמשות לפרסום ממוקד. אלה דורשות הסכמה מפורשת לפני הטעינה.

מקור חקיקתי תיקון 13 לחוק הגנת הפרטיות, פרק 8 — איסוף מידע באמצעים טכנולוגיים. הפרק קובע כי איסוף מידע אישי באמצעות עוגיות, פיקסלים, או טכנולוגיות מעקב מחייב הסכמה מדעת של נושא המידע, למעט מקרים שבהם השימוש חיוני לתפקוד השירות.

ההבחנה הזו חשובה. אתר שמשתמש רק בעוגיות חיוניות לא חייב באנר כלל. אבל ברגע שמוטעין סקריפט אנליטי או שיווקי — ולו אחד — נדרשת הסכמה מפורשת.

לא כל עוגייה היא אותו הדבר. הטבלה הבאה מסכמת את החלוקה:

קטגוריה	דוגמאות	דורש הסכמה?
חיוניות (Necessary)	עוגיית סשן, עגלת קניות, אימות משתמש, CSRF token, העדפת שפה	לא
אנליטיות (Analytics)	Google Analytics (GA4), Hotjar, Microsoft Clarity, Mixpanel	כן
שיווקיות (Marketing)	Facebook Pixel, TikTok Pixel, Google Ads, Outbrain, Taboola, LinkedIn Insight	כן
פונקציונליות (Functional)	צ'אט חי, סקרים, הטמעת וידאו מ-YouTube עם מעקב	כן (אם אוספות מידע אישי)

      הכלל הפשוט
      אם סקריפט שולח מידע על המשתמש לשרת חיצוני — הוא דורש הסכמה. אם הוא נדרש כדי שהאתר יעבוד — הוא לא. כשמסופקים, הגישה הבטוחה היא לבקש הסכמה.
    

באנר עוגיות שעומד בדרישות תיקון 13 חייב לכלול ארבעה מרכיבים:

1. שלושה כפתורים

אישור כל העוגיות — המשתמש מסכים לכל הקטגוריות
דחיית עוגיות לא-חיוניות — המשתמש מסרב לאנליטיות ושיווקיות, רק חיוניות נטענות
הגדרות / ניהול העדפות — המשתמש בוחר לפי קטגוריה: אנליטיות כן, שיווקיות לא (או להפך)

2. חלוקה לקטגוריות

במסך ההגדרות, המשתמש חייב לראות את הקטגוריות: חיוניות (תמיד פעילות, לא ניתנות לביטול), אנליטיות, שיווקיות, ופונקציונליות. לכל קטגוריה — הסבר קצר מה היא עושה ואילו כלים כלולים בה.

3. חסימה טכנית אמיתית

זו הנקודה הקריטית. באנר בלי חסימה טכנית הוא קוסמטי בלבד. הסקריפטים (Google Analytics, Facebook Pixel, וכו') חייבים להיחסם מטעינה עד שהמשתמש נותן הסכמה. לאחר דחייה — הסקריפטים לא נטענים כלל.

4. אפשרות לשנות הסכמה

המשתמש חייב לקבל אפשרות לשנות את בחירתו בכל עת — דרך כפתור קבוע באתר (למשל בפוטר) או דרך מדיניות הפרטיות. ההסכמה לא יכולה להיות "חד-כיוונית".

באנר שלא חוסם סקריפטים = כאילו אין באנר אם הבאנר מוצג אבל Google Analytics כבר רץ ברקע לפני שהמשתמש לחץ על משהו — זו הפרה. הנקודה היא לא ההודעה, אלא החסימה הטכנית.

5 טעויות נפוצות בבאנרי עוגיות

1. באנר גנרי ללא פירוט

באנר שאומר "האתר משתמש בעוגיות לשיפור חוויית הגלישה" — בלי לפרט אילו עוגיות, למה, ולמי מועבר המידע — לא עומד בדרישות ההסכמה מדעת. המשתמש חייב להבין למה הוא מסכים.

2. אין כפתור דחייה

באנר עם כפתור "אישור" בלבד — בלי אפשרות לדחות — לא נותן הסכמה חופשית. אם אין אפשרות אמיתית לסרב, ההסכמה לא תקפה. כפתור הדחייה חייב להיות באותה בולטות ככפתור האישור.

3. סקריפטים נטענים לפני ההסכמה

זו הטעות הנפוצה ביותר. הבאנר מוצג — אבל Google Analytics, Facebook Pixel, ו-Hotjar כבר רצים ברקע. ברגע שהסקריפט נטען, המידע כבר נאסף. באנר שלא חוסם טעינה הוא קישוט בלבד.

4. אין דף הגדרות עוגיות

משתמש שלחץ "אישור" ורוצה לשנות — חייב למצוא דרך לעשות את זה. אתרים רבים לא מציעים אפשרות לחזור ולשנות העדפות. זו הפרה של עקרון ההסכמה ההדירה.

5. דפוסים מניפולטיביים (Dark Patterns)

כפתור "אישור" גדול ובולט בצבע זהב, וכפתור "דחייה" קטן באפור שבקושי נראה. או: כפתור "אישור" ו"הגדרות" — בלי כפתור דחייה ישיר, כך שהמשתמש חייב ללחוץ על "הגדרות" ואז לבטל קטגוריה-קטגוריה. כל אלה דפוסי מניפולציה שרשות הפרטיות מתייחסת אליהם בחומרה.

      המבחן הפשוט
      בדקו: האם קל לדחות כמו שקל לאשר? אם דרושים שני קליקים לדחייה וקליק אחד לאישור — יש בעיה.
    

Google Analytics ותיקון 13

Google Analytics 4 (GA4) הוא כלי האנליטיקה הפופולרי בישראל. כמעט כל אתר משתמש בו. ותיקון 13 משנה את הכללים לגביו.

מה GA4 אוסף?

GA4 אוסף מידע על התנהגות גלישה: אילו דפים ביקרתם, כמה זמן שהיתם, מאיפה הגעתם, מה המכשיר, מה מערכת ההפעלה, מה כתובת ה-IP (גם אם מקוצרת), ומה המיקום הגיאוגרפי המשוער. כל אלה מהווים מידע אישי לפי החוק.

Google Consent Mode — מספיק?

גוגל פיתחה את Consent Mode — מנגנון שמאפשר ל-GA4 לפעול במצב מוגבל כשאין הסכמה. במצב הזה, GA4 שולח "pings" ללא עוגיות ובלי מזהים אישיים. זה שיפור, אבל לא תחליף לבאנר.

Consent Mode לבדו לא מספיק גם במצב מוגבל, GA4 שולח מידע לשרתי גוגל — כולל כתובת IP ומידע על הדפדפן. לפי תיקון 13, כל שליחת מידע אישי לצד שלישי דורשת הסכמה מפורשת. הגישה הבטוחה: חוסמים את GA4 לחלוטין עד להסכמה, ומפעילים Consent Mode כשכבת הגנה נוספת.

מה קורה בפועל אם לא מקבלים הסכמה?

אם משתמש דוחה עוגיות — GA4 לא נטען, ואתם מפסידים את הנתון הזה. זה אומר שתראו ירידה בנתוני האנליטיקס. זה צפוי ותקין. אתרים אירופיים שמיישמים GDPR רואים ירידה של 20%-40% בנתוני GA. זה המחיר של ציות.

      חלופות לשקול
      כלי אנליטיקה שלא משתמשים בעוגיות כלל — כמו Plausible, Fathom, או Umami — לא דורשים הסכמה ומספקים נתונים מצוינים. שווה לבחון אם הם מתאימים לכם.
    

Facebook Pixel (Meta Pixel), TikTok Pixel, ו-LinkedIn Insight Tag — כולם פועלים באותו עיקרון: מטעינים סקריפט באתר שלכם, מזהים את המשתמש דרך עוגיות, ושולחים את המידע חזרה לפלטפורמה לצורך פרסום ממוקד ומדידת המרות.

למה כולם דורשים הסכמה?

Facebook Pixel — אוסף מידע על דפים שנצפו, פעולות שבוצעו (רכישה, הוספה לעגלה), ומזהה משתמשים חוצה-אתרים דרך עוגיית _fbp. זה מידע אישי בפירוש.
TikTok Pixel — פועל באופן דומה: עוקב אחר אירועים באתר ומזהה משתמשים לצורך פרסום ב-TikTok.
LinkedIn Insight Tag — אוסף מידע על ביקורים באתר, ממירים, ומידע דמוגרפי של מבקרים (תפקיד, חברה, תעשייה).
Outbrain / Taboola — פיקסלים של רשתות תוכן ממומן שעוקבים אחר התנהגות משתמשים.

כל הכלים האלה מעבירים מידע אישי לשרתים מחוץ לישראל. לפי תיקון 13, נדרשת הסכמה מפורשת לפני הטעינה.

השלכה מעשית על קמפיינים אם משתמש דוחה עוגיות שיווקיות — הפיקסל לא נטען, ההמרה לא נמדדת, ורשימות הרימרקטינג מתכווצות. זה משפיע ישירות על ביצועי הקמפיין. אבל זו לא סיבה לעקוף את החוק — זו סיבה לבנות אסטרטגיה שלא מסתמכת רק על פיקסלים.

איך מתחילים?

שלושה שלבים מעשיים:

שלב 1: בדיקת סקריפטים (אודיט)

לפני שבוחרים באנר — צריך לדעת מה רץ באתר. פתחו את כלי המפתחים בדפדפן (F12), לחצו על לשונית Network, ורעננו את הדף. תראו בדיוק אילו סקריפטים נטענים ולאילו שרתים חיצוניים נשלח מידע. רשימה טיפוסית כוללת: Google Analytics, Google Tag Manager, Facebook Pixel, Hotjar, צ'אט חי, הטמעות וידאו.

שלב 2: בחירת פתרון

שלוש אפשרויות:

פתרון קוד פתוח — Klaro, Tarteaucitron. חינמי, דורש ידע טכני.
פתרון SaaS — Cookiebot, CookieYes, OneTrust. תשלום חודשי (10-50$), קל להטמעה, סורק אוטומטית.
פתרון מותאם — פיתוח מותאם לאתר. מתאים לאתרים מורכבים עם דרישות ספציפיות.

שלב 3: הטמעה ובדיקה

התקינו את פתרון הבאנר
סווגו כל סקריפט לקטגוריה (חיוני / אנליטי / שיווקי / פונקציונלי)
וודאו שסקריפטים לא-חיוניים נחסמים לפני הסכמה
בדקו: לחצו "דחייה" ווודאו ב-Network שאף סקריפט שיווקי או אנליטי לא נטען
הוסיפו קישור "הגדרות עוגיות" בפוטר
עדכנו את מדיניות הפרטיות עם פירוט העוגיות

      לא צריך לעשות את זה לבד
      הכלי שלנו סורק את האתר שלכם אוטומטית, מזהה את כל הסקריפטים והעוגיות, ומאבחן את רמת הציות — כולל באנר עוגיות, מדיניות פרטיות, וחובת DPO. ללא עלות, ללא הרשמה.
    

שאלות נפוצות

האם כל אתר חייב באנר עוגיות?

לא כל אתר. אתר שמשתמש רק בעוגיות חיוניות (כמו עוגיית סשן או עגלת קניות) לא חייב באנר. אבל כל אתר שמטעין Google Analytics, Facebook Pixel, Hotjar, או כל כלי מעקב אחר — חייב לקבל הסכמה מפורשת לפני הטעינה.

מה ההבדל בין עוגיות חיוניות לעוגיות שדורשות הסכמה?

עוגיות חיוניות הן כאלה שהאתר לא יכול לתפקד בלעדיהן — סשן, אימות משתמש, עגלת קניות, אבטחה. עוגיות שדורשות הסכמה הן כאלה שאוספות מידע על התנהגות גלישה, מיקום, או משמשות לפרסום ממוקד — Google Analytics, Hotjar, Facebook Pixel, TikTok Pixel.

מה קורה אם באתר שלי יש Google Analytics בלי באנר עוגיות?

זו הפרה של תיקון 13. Google Analytics אוסף מידע על התנהגות גלישה, כתובת IP, ומידע על המכשיר — וזה דורש הסכמה מפורשת. רשות הפרטיות רשאית להטיל עיצום של עד 5% מהמחזור השנתי, וכל אדם רשאי לתבוע פיצוי ללא הוכחת נזק.

האם מספיק לשים באנר שאומר "אנחנו משתמשים בעוגיות"?

לא. באנר שמודיע בלבד ולא נותן אפשרות אמיתית לדחות — לא עומד בדרישות החוק. הבאנר חייב לכלול שלוש אפשרויות: אישור, דחייה, והגדרות לפי קטגוריות. בנוסף, סקריפטים חייבים להיחסם בפועל עד לקבלת הסכמה.

מה זה Google Consent Mode ואיך זה קשור לתיקון 13?

Google Consent Mode הוא מנגנון של גוגל שמאפשר ל-Google Analytics ו-Google Ads לפעול במצב מוגבל כשהמשתמש לא נתן הסכמה. המנגנון לבדו לא מספיק לציות — עדיין חייבים באנר שמקבל הסכמה מפורשת ושחוסם טעינה מלאה בלי הסכמה.

כמה עולה להטמיע באנר עוגיות תקני?

יש פתרונות חינמיים וקוד פתוח (כמו Klaro או Osano Free), פתרונות בתשלום חודשי (כמו Cookiebot, CookieYes, או OneTrust — מ-10 עד 50 דולר לחודש), ופתרונות מותאמים אישית. העלות תלויה במורכבות האתר ובכמות הסקריפטים.

רוצים לדעת אילו עוגיות רצות באתר שלכם?

הכלי שלנו סורק את האתר אוטומטית, מזהה כל סקריפט ועוגייה, ומאבחן את רמת הציות לתיקון 13 — כולל באנר עוגיות, מדיניות פרטיות, וחובת DPO. ללא עלות, ללא הרשמה.

בדקו את האתר שלכם עכשיו

קראו גם ←

תיקון 13 לחוק הגנת הפרטיות — המדריך המלא לבעלי עסקים

מי חייב התאמה רגולטורית? מי חייב DPO? מה העיצומים? מדריך מקיף, סעיף-סעיף.

בדיקת ציות לתיקון 13 — כלי אבחון מקוון

סריקה טכנולוגית + אבחון מקצועי של עורך דין. ללא עלות, ללא הרשמה.

חובת מינוי ממונה הגנת פרטיות (DPO) — מי חייב ולמה

ארבע הקטגוריות שחלה עליהן חובת מינוי, דרישות כשירות, ואפשרות DPO חיצוני.

אלון אלישע, עורך דין

משרד עורכי דין אלישע | משפט אזרחי-מסחרי, הגנת פרטיות, אנרגיה

054-9260698 | elisha-law.com