העברת מידע אישי לחו״ל: תקנות ההעברה ומה נדרש מעסק ישראלי
כל עסק דיגיטלי בישראל מעביר מידע לחו״ל עשרות פעמים ביום — דרך M365, AWS וכלי SaaS — לרוב בלי לדעת. המדריך המעשי לתקנות ההעברה משנת 2001: הכלל הבסיסי, שמונת השערים של תקנה 2, ה-DPA שעושה את העבודה, שאלת ארה״ב, ומה השתנה עם תיקון 13.
עסק ישראלי ממוצע מעביר מידע אישי אל מחוץ לגבולות המדינה עשרות פעמים ביום — ורוב בעלי העסקים לא יודעים על כך. כל מייל של לקוח ששמור ב-Microsoft 365, כל רשומה ב-CRM שיושב על AWS, כל פנייה שנכנסת דרך טופס באתר שמאוחסן בענן, כל כלי SaaS לניהול פרויקטים או תמיכה — כולם מחזיקים מידע של הלקוחות שלכם על שרתים בארה״ב, באירלנד או בסינגפור. מבחינת הדין הישראלי, כל אחת מהפעולות האלה היא העברת מידע אל מאגר שמחוץ לגבולות המדינה, וחלות עליה תקנות ייעודיות משנת 2001. עד תיקון 13 זו הייתה חובה נייר כמעט בלי אכיפה; היום, עם מנגנון העיצומים החדש של הרשות להגנת הפרטיות, זו חשיפה כספית ממשית. במאמר הזה נסביר בדיוק מה התקנות דורשות, איך בוחרים ״שער״ חוקי לכל העברה, ומה עסק צריך לעשות השבוע כדי להסדיר את זה.
המסגרת המחייבת היא תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס״א-2001. הכלל הבסיסי (תקנה 1): אסור להעביר מידע ממאגר בישראל אל מחוץ לגבולות המדינה, אלא אם הדין החל במדינה המקבלת מבטיח רמת הגנה שלא נופלת מזו שבדין הישראלי. תקנה 2 פותחת שורה של חלופות (״שערים״) שמתירות העברה גם כשהתנאי הבסיסי לא מתקיים. תקנה 3 מוסיפה דרישה חוצה-כול: התחייבות בכתב של מקבל המידע.
הכלל הבסיסי: רמת הגנה מקבילה במדינת היעד
נקודת המוצא של התקנות היא איסור. תקנה 1 קובעת שלא מעבירים מידע אישי אל מחוץ לישראל אלא אם החוק במדינה המקבלת מבטיח רמת הגנה על הפרטיות שאינה נופלת מזו של הדין הישראלי. התקנות אף מפרטות חמישה עקרונות שהדין הזר צריך להבטיח: שהמידע נאסף ומעובד באופן חוקי והוגן; שהוא מוחזק, משמש ונמסר רק למטרה שלשמה נאסף; שהוא מדויק ומעודכן; שנתונה זכות עיון ותיקון למי שהמידע מתייחס אליו; ושקיימת חובה לנקוט אמצעי אבטחה נאותים. בפועל, רק מעט מדינות עומדות בתנאי הזה ״מעצמן״ — ולכן רוב ההעברות בעסק טיפוסי נשענות דווקא על אחת החלופות שבתקנה 2.
שמונה השערים של תקנה 2 — ואיך בוחרים ביניהם
גם כשמדינת היעד לא מבטיחה רמת הגנה מקבילה, תקנה 2 מתירה את ההעברה אם מתקיים אחד מאלה. שווה להכיר את כולם, אבל שלושה מהם עושים את רוב העבודה בעסק אמיתי:
- (1) הסכמת נושא המידע. האדם שהמידע מתייחס אליו הסכים להעברה. הסכמה שקבורה בעמוד תנאי שימוש ארוך שאף אחד לא קרא אינה הסכמה מדעת — נדרשת הסכמה מיודעת וספציפית להעברה עצמה.
- (3) העברה בתוך קבוצת חברות. המידע מועבר לתאגיד שנמצא בשליטת בעל המאגר, והוא הבטיח את ההגנה על הפרטיות לאחר ההעברה. רלוונטי לחברות עם חברת-אם או סניפים בחו״ל.
- (4) התחייבות חוזית של המקבל. המקבל התחייב בהסכם לקיים את התנאים להחזקת מידע ולשימוש בו החלים על מאגר בישראל, בשינויים המחויבים. זהו השער המרכזי לעבודה מול ספקי ענן ו-SaaS זרים — נרחיב עליו בהמשך.
- (2) הגנה על בריאות/שלמות הגוף כשלא ניתן לקבל הסכמה; (5) מידע שכבר פורסם לרבים כדין; (6) הגנה על שלום הציבור או ביטחונו; (7) העברה המחויבת לפי דין ישראלי — שערים ספציפיים לתרחישים מוגדרים.
- (8) מדינה עם סטנדרט הגנה מוכר. ההעברה נעשית למדינה שהיא צד לאמנת מועצת אירופה בדבר הגנה על מידע (Convention 108), או מדינה שמקבלת מידע מן האזור הכלכלי האירופי באותם תנאים, או מדינה שיש בה רשות להגנת מידע שהודעה עליה פורסמה — מסלול שמאפשר להישען על ״רשימת המדינות המוכרות״.
טעות נפוצה: לחשוב שאם מצאתי שער בתקנה 2, סיימתי. תקנה 3 קובעת שבכל העברה לפי התקנות על בעל המאגר להבטיח, בהתחייבות בכתב של מקבל המידע, שהמקבל נוקט אמצעים מספיקים להבטחת הפרטיות ושהמידע לא יועבר הלאה לאדם אחר — בין באותה מדינה ובין באחרת. כלומר גם העברה בהסכמה או בתוך קבוצה עדיין דורשת את המסמך הזה.
המציאות: המידע שלכם כבר בחו״ל
כאן נמצא הפער הגדול בין הדין למעשה. עסקים רבים בטוחים ש״הם לא מעבירים מידע לחו״ל״ — בזמן שכל התשתית הדיגיטלית שלהם יושבת שם. תיבות המייל ב-Microsoft 365 או ב-Google Workspace, הדיסק המשותף, ה-CRM, כלי הדיוור, מערכת הכרטוס לתמיכה, טופס יצירת הקשר באתר, אפילו כלי ה-AI שהצוות משתמש בו — כולם ספקי SaaS שמאחסנים דאטה על שרתים מחוץ לישראל. ברירת המחדל של רוב שירותי הענן היא אזור אחסון בארה״ב או באיחוד האירופי, אלא אם בחרתם אחרת באופן אקטיבי.
המשמעות המעשית: אי אפשר להסדיר את מה שלא מיפיתם. הצעד הראשון הוא לדעת אילו מאגרים יש לכם ואיפה הדאטה שלהם באמת יושב. אם עוד לא עשיתם את זה, המדריך למיפוי מאגרי מידע הוא נקודת הפתיחה — ולצד כל מאגר צריך לרשום את הספק ואת אזור האחסון. במקביל, ספקי הענן אחרי תיקון 13 מפרט מה בדיוק צריך לבדוק בחוזה מול AWS, גוגל או ספק ישראלי — כי החוזה הזה הוא בדיוק מה שהופך העברה לחו״ל מחשופה לחוקית.
הממד האירופי: מעמד ה-Adequacy של ישראל
לישראל יש מעמד מיוחד מול האיחוד האירופי: החלטת נאותות (Adequacy Decision). המשמעות היא שהנציבות האירופית הכירה במשטר הגנת המידע הישראלי כ״שקול במהותו״ לזה של ה-GDPR, ולכן מותר להעביר מידע אישי מן האיחוד האירופי לישראל בלי מנגנוני העברה נוספים (כמו SCC — Standard Contractual Clauses). זהו יתרון עסקי ממשי לחברות ישראליות שמשרתות לקוחות באירופה. חשוב להבין שההכרה פועלת בעיקר בכיוון אחד: היא מקלה על זרימת מידע מאירופה לישראל — ומצד ישראל, מדינות ה-EEA נכנסות לשער (8) של תקנות ההעברה.
המעמד הזה אינו מובטח לנצח. בינואר 2024 חידשה הנציבות האירופית את החלטת הנאותות של ישראל, במסגרת סבב הערכה מחדש של ההחלטות הוותיקות שנדרש לפי ה-GDPR. ה-GDPR מחייב בחינה מחדש כל ארבע שנים, כך שהסבב הבא צפוי בסביבות 2028 — ובשנים האחרונות עלו קריאות של ארגוני חברה אזרחית לבחון מחדש את המעמד. עבור עסק ישראלי המסקנה כפולה: (א) כרגע יש יתרון נאותות מול אירופה, כדאי לנצל אותו; (ב) אין להסתמך עליו כמובן מאליו, ומי שנשען על זרימת דאטה מאירופה צריך לעקוב אחר הסבב הבא.
מעמד הנאותות עוסק בזרימת מידע. הוא לא פוטר חברה ישראלית שמעבדת מידע של תושבי האיחוד האירופי מתחולת ה-GDPR עצמו על אותה פעילות. אם אתם מציעים שירותים לנושאי מידע באירופה או מנטרים את התנהגותם, ה-GDPR עשוי לחול עליכם ישירות — נושא שפירטנו במדריך: מתי ה-GDPR חל על חברה ישראלית.
שער ההתחייבות החוזית בפועל: ה-DPA וסעיף ההעברה
מבחינה מעשית, השער שנושא את רוב ההעברות בעסק טיפוסי הוא שער (4) — ההתחייבות החוזית. המסמך שעושה את העבודה נקרא DPA (Data Processing Agreement) — הסכם עיבוד מידע בין בעל המאגר (אתם) לבין הספק (מעבד המידע). ספקי הענן הגדולים — Microsoft, Google, AWS — מפרסמים DPA סטנדרטי שאפשר לאמץ, אך אימוץ אינו אוטומטי: לרוב צריך לאשר אותו אקטיבית בהגדרות החשבון או לחתום עליו בנפרד, ולוודא שהוא מכסה את דרישות הדין הישראלי ולא רק את ה-GDPR.
מה צריך להיות ב-DPA כדי שיעמוד בשער (4) ובתקנה 3: התחייבות של המקבל לקיים את חובות אבטחת המידע והפרטיות החלות על מאגר בישראל; הגבלת השימוש במידע למטרה שלשמה נמסר בלבד; איסור העברה הלאה (sub-processing) ללא בקרה והתחייבות מקבילה; חובת סיוע בטיפול בפניות של נושאי מידע ובאירועי אבטחה; והתחייבות למחיקה או השבה של המידע בתום ההתקשרות. בלי הסעיפים האלה — יש לכם ספק בחו״ל, אבל אין לכם שער חוקי להעברה.
שאלת ארה״ב, בכנות
ארה״ב היא היעד הנפוץ ביותר להעברות מישראל — וגם המורכב ביותר. לארה״ב אין מעמד נאותות כללי מול תקנות ההעברה הישראליות (בניגוד למדינות ה-EEA). המשמעות: העברה לספק אמריקאי לא נהנית משער (8) האוטומטי, וצריך להישען על שער אחר. בפועל, כמעט תמיד השער הוא (4) ההתחייבות החוזית — כלומר DPA תקין מול הספק — ולעיתים בשילוב (1) הסכמה מיודעת. זה עובד, אבל זה מחייב אתכם לוודא שה-DPA באמת חתום ומאושר, ולא רק ״קיים אי-שם בתנאי השירות״.
העברת מידע — עץ החלטה

מה השתנה עם תיקון 13
תקנות ההעברה קיימות מ-2001, אבל עד תיקון 13 (שנכנס לתוקף ב-14.8.2025) לרשות להגנת הפרטיות כמעט לא היו ״שיניים״ לאכוף אותן. תיקון 13 שינה את זה מהיסוד: הוא הכניס מנגנון עיצומים כספיים רחב על הפרות של החוק והתקנות מכוחו, והרשות כבר פתחה בקמפיין פיקוח-רוחב ראשון על פני חמישה מגזרים. בדצמבר 2025 הרשות ריכזה מאמץ אכיפה על אתרי מסחר אלקטרוני, כשבין ההפרות שנבחנו: היעדר הסכמי עיבוד מידע (processor agreements) — בדיוק אותם DPA-ים שדנו בהם.
מבחינת גובה החשיפה: הפרות עיבוד מידע שלא כדין תחת תיקון 13 מתומחרות ב-4 ש״ח לכל נושא מידע (8 ש״ח למידע בעל רגישות מיוחדת), במינימום 200,000 ש״ח, וכל הסכומים מוכפלים במאגרים של מעל מיליון נושאי מידע. הערכת מומחים שצוטטה ב-Globes ממחישה את הטווח: הפרות בסיסיות במאגר קטן — אלפי עד עשרות אלפי שקלים; מאגר של כ-100,000 נושאי מידע — 70,000 עד 200,000 ש״ח; מאגר גדול עם מידע רגיש — מ-200,000 ש״ח ועד מעל מיליון. העברה לא-מוסדרת לחו״ל אינה טכניקליות משפטית — היא נכנסת בול לתוך מסגרת האכיפה החדשה.
צעד-אחר-צעד: הסדרת ההעברות בעסק
התהליך המעשי מתומצת לחמישה שלבים, לפי מאגר ולפי ספק:
- מפו את ההעברות. רשמו כל שירות שמחזיק מידע אישי של לקוחות, עובדים או ספקים — ולצדו: מי הספק, איזה סוג מידע, ובאיזה אזור/מדינה הוא מאוחסן.
- סווגו את מדינת היעד. לכל העברה: האם היעד הוא מדינת EEA/צד לאמנה 108 (שער 8), ארה״ב, או מדינה אחרת? הסיווג קובע אילו שערים פתוחים בפניכם.
- בחרו שער לכל העברה. לרוב זה יהיה שער (4) — DPA; לעיתים (1) הסכמה מיודעת, או (3) העברה בתוך קבוצה. ודאו שהשער באמת מתאים לתרחיש.
- עגנו את זה בנייר. ודאו שקיים DPA חתום/מאושר עם כל ספק רלוונטי, שהוא כולל את סעיפי ההעברה, ושהתקבלה ההתחייבות בכתב הנדרשת בתקנה 3.
- תעדו ותחזקו. שמרו את טבלת ההעברות והמסמכים במקום מרוכז, ורעננו אותה בכל פעם שמאמצים כלי SaaS חדש — כי העברות חדשות נוצרות כל הזמן.

כשלים נפוצים שאנחנו פוגשים בשטח
- אין DPA מול ספקי SaaS אמריקאיים. משתמשים בכלי חודשים, מעבירים אליו דאטה של לקוחות — ואף אחד לא ניגש להגדרות כדי לאשר את הסכם עיבוד המידע.
- הסכמה קבורה במדיניות. ״הסתמכנו על הסכמה״, אבל ההסכמה נמצאת בסעיף 14 של מדיניות פרטיות גנרית שהועתקה מתבנית — ולא מוזכרת בה כלל העברה לחו״ל.
- אזור אחסון בברירת מחדל. אף אחד לא בחר איפה הדאטה יושב, אז הוא יושב איפה שהספק החליט — לרוב ארה״ב — בלי שהתקבלה על כך החלטה מודעת.
- מיפוי חד-פעמי שהתיישן. מיפוי נעשה פעם, ומאז נוספו חמישה כלים חדשים. העברות מידע נוצרות בכל אימוץ של שירות חדש, והמיפוי צריך לחיות.
1) הכינו רשימה של כל כלי ה-SaaS והענן שהעסק משתמש בהם. 2) לצד כל אחד סמנו את מדינת/אזור האחסון. 3) לספקים המרכזיים (מייל, CRM, דיוור, תמיכה) — בדקו אם יש DPA מאושר, וחתמו/אשרו איפה שאין. 4) בדקו את מדיניות הפרטיות שלכם: האם היא מציינת במפורש שמידע מועבר ומאוחסן בחו״ל? 5) הקימו טבלת מיפוי אחת מרוכזת ותייקו בה את המסמכים.
השורה התחתונה
העברת מידע לחו״ל אינה תרחיש קצה — היא ברירת המחדל של כל עסק דיגיטלי בישראל. תקנות 2001 קובעות מסגרת ברורה: כלל בסיסי של רמת הגנה מקבילה, שמונה שערים חלופיים בתקנה 2, והתחייבות בכתב בתקנה 3. הכלי המרכזי בשטח הוא ה-DPA מול הספק, ומעמד הנאותות של ישראל מקל על הכיוון מול אירופה — אך לא על שאלת ארה״ב ולא על תחולת ה-GDPR עצמו. תיקון 13 הפך את כל זה מהמלצה נייר לחשיפה כספית ממשית. הפעולה הנכונה אינה להיבהל — אלא למפות, לסווג, לבחור שער, לעגן בנייר ולתחזק. עסק שעושה את חמשת השלבים האלה עובר מ״לא יודע איפה הדאטה שלו״ ל״יודע, ומכוסה״.
Cybertis מלווה עסקים וארגונים ישראליים בהסדרת פרטיות מקצה לקצה — ממיפוי מאגרים והעברות לחו״ל, דרך ניסוח והתאמת הסכמי עיבוד מידע (DPA), ועד עמידה מלאה בדרישות תיקון 13. נשמח למפות איתכם את החשיפה ולבנות תוכנית עבודה מעשית.
לשירות פרטיות והגנת מידע*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי מחייב. יישום תקנות ההעברה תלוי במאפייני המאגר, בסוג המידע, בזהות הספק ובמדינת היעד, ומחייב בחינה פרטנית.*