אחת השאלות שאנחנו שומעים הכי הרבה: "GDPR זה רלוונטי לנו? אנחנו חברה ישראלית." התשובה הקצרה: כנראה שכן. GDPR חל לפי עקרון הטריטוריאליות המורחבת – לא לפי מקום ה-incorporation אלא לפי מיקום הנתונים שאתם מעבדים.
עיקרון הטריטוריאליות של GDPR
GDPR חל על כל ארגון שמציע שירותים לתושבי האיחוד האירופי, או שעוקב אחרי התנהגות שלהם – בין אם הארגון ממוקם באירופה ובין אם לא. ישראל אינה חריגה.
מתי GDPR חל על חברה ישראלית?
- יש לכם לקוחות שהם תושבי האיחוד האירופי – בין אם B2B ובין אם B2C
- האתר שלכם נגיש לתושבי EU ומציע שירות
- אתם מנטרים התנהגות של תושבי EU (analytics, cookies)
- אתם מעבדים נתוני עובדים תושבי EU
- הייצוג שלכם ב-EU מעבד נתונים עבור הגוף הישראלי
מה ההבדל בין חוק הגנת הפרטיות הישראלי ל-GDPR?
ישראל מוכרת על ידי האיחוד האירופי כמדינה עם הגנת פרטיות נאותה (Adequacy Decision). זה מאפשר העברת נתונים מה-EU לישראל ללא מנגנונים מיוחדים. אבל זה לא פוטר חברות ישראליות מדרישות GDPR – זה רק מקל על העברת הנתונים עצמה.
חובות מרכזיות ל-Controller ישראלי
- 1מינוי DPO – חובה לארגונים שמעבדים נתונים בקנה מידה רחב
- 2מדיניות פרטיות ברורה – בשפת ה-user, לפני עיבוד הנתונים
- 3בסיס משפטי לכל עיבוד – הסכמה, חוזה, אינטרס לגיטימי
- 4DPIA – הערכת השפעה לפעולות עיבוד בסיכון גבוה
- 5ניהול פניות DSARs – זכות גישה, מחיקה, תיקון תוך 30 יום
- 6דיווח על פרצות תוך 72 שעות
הסנקציות: מספרים שכדאי להכיר
הפרות חמורות: עד €20 מיליון או 4% מהמחזור השנתי העולמי (הגבוה מביניהם). הפרות פחות חמורות: עד €10 מיליון או 2% מהמחזור. אבל מעבר לקנסות הכספיים, נזק המוניטין הוא לרוב הכואב יותר: פרסום בדוחות הרשות האירופית, ירידה באמון לקוחות, ולעיתים – אובדן ה-Adequacy Decision הישראלית.
בשנים 2023-2025 הוטלו קנסות GDPR על חברות ישראליות שפועלות בשוק האירופי. אף אחת מהן לא הייתה "רשע" – כולן פשוט לא ידעו שהחוק חל עליהן.
צעדים מעשיים להתחלה
- מפו את כל מאגרי הנתונים שמכילים מידע על תושבי EU
- בדקו אם אתם Controller, Processor, או שניהם
- עדכנו את מדיניות הפרטיות לכלול את הזכויות שה-GDPR מקנה
- הגדירו תהליך לטיפול ב-DSARs (פניות נושאי מידע)
- בדקו חוזי ספקים – האם יש DPA חתום?
- שקלו מינוי DPO חיצוני אם נדרש