GDPR, CCPA ופרטיות בינלאומית
חברה שמוכרת ללקוחות באירופה, בריטניה או ארה״ב? אנחנו בונים תוכנית ציות אחת שעובדת מול GDPR, CCPA ותיקון 13 הישראלי — במקום שלוש מערכות מקבילות. (לליווי ייעודי לתיקון 13 — ראו עמוד תיקון 13 הנפרד.)
מה אתם מקבלים בסוף.
בחינת פערים מלאה ולוח זמנים לסגירתם
מינוי ממונה הגנת פרטיות (DPO) וטיפול בדיווחים לרשות
הסכמי DPA, רישום מאגרי מידע ומדיניות פרטיות שקופה
מה נמסר לכם בפועל.
- 01מסמך פערים מלא (Gap Assessment)
- 02מדיניות פרטיות, מדיניות עוגיות והודעת איסוף
- 03מינוי DPO ותיק דיווחים לרשות להגנת הפרטיות
- 04תרגול תרחישי דליפת מידע
GDPR לחברות ישראליות — מתי חל ומה עושים
GDPR הוא לא ״עניין אירופי״. תקנות הגנת המידע של האיחוד האירופי נכתבו במכוון עם תחולה אקסטריטוריאלית, והן חלות על חברות ישראליות רבות שאין להן ולו עובד אחד באירופה — לפעמים בלי שהחברה מודעת לכך בכלל, עד שלקוח אירופי גדול שולח שאלון או מבקש DPA. בעמוד הזה נסביר מתי GDPR באמת חל עליכם, מה נותנת (ומה לא נותנת) העובדה שישראל ״מדינה נאותה״, ואיך בונים תוכנית ציות אחת שעובדת גם מול GDPR וגם מול תיקון 13 — במקום שני פרויקטים מקבילים ויקרים.
מתי GDPR חל על חברה ישראלית
סעיף 3(2) ל-GDPR קובע שתי חלופות תחולה שאינן תלויות כלל במקום מושבה של החברה: הצעת מוצרים או שירותים לאנשים הנמצאים באיחוד האירופי (גם בחינם), או מעקב אחר התנהגות של אנשים באיחוד. בפועל, אלה הסימנים שמדליקים את התחולה:
- אתר או אפליקציה בשפות אירופיות, תמחור ביורו או משלוח מוצרים למדינות האיחוד
- קמפיינים ממומנים שמכוונים במוצהר לקהלים באירופה
- מוצר SaaS עם משתמשי קצה אירופיים — גם כשהלקוח המשלם הוא חברה אמריקאית או ישראלית
- אנליטיקס, פיקסלים, פרסום מותאם אישית או פרופיילינג של גולשים מהאיחוד
חשוב לדייק: עצם הנגישות של אתר ישראלי לגולש מגרמניה לא מקימה תחולה. המבחן הוא כוונה — האם אתם פונים לשוק האירופי. את מבחני התחולה המלאים, כולל דוגמאות לגבול הדק, פירטנו במאמר GDPR לחברות ישראליות — מה באמת חל.
ישראל מדינה נאותה — מה זה נותן ומה לא
ישראל מחזיקה בהחלטת נאותות (Adequacy) של נציבות האיחוד האירופי, שאושררה מחדש בסקירת הנציבות ב-2024. משמעות הנאותות: מידע אישי יכול לזרום מהאיחוד האירופי לישראל באופן חופשי, בלי מנגנוני העברה כמו Standard Contractual Clauses (SCC) ובלי הערכות העברה נפרדות. זה יתרון תחרותי אמיתי מול ספקים ממדינות ללא נאותות — פחות חיכוך משפטי בסגירת חוזים עם לקוחות אירופיים, ופחות שאלות בשלב ה-due diligence.
החלטת הנאותות עוסקת בהעברת מידע לישראל — לא בחובות שלכם. אם אתם מציעים שירותים לאירופה או עוקבים אחר התנהגות של אנשים באיחוד, GDPR חל עליכם במלואו: תיעוד פעילויות עיבוד (ROPA), מענה לזכויות נושאי מידע, דיווח פרצה לרשות אירופית תוך 72 שעות — ולעיתים גם מינוי נציג באיחוד.
בפרקטיקה, הנאותות היא קודם כול תשובה טובה בשאלוני Due Diligence: כשלקוח אירופי שואל ״על איזה מנגנון העברה אתם מסתמכים?״ — התשובה של ספק ישראלי היא החלטת הנאותות עצמה, בלי נספחי SCC ובלי Transfer Impact Assessment מסורבל. אבל שימו לב לכיוון ההפוך: אם אתם מעבירים מידע הלאה — לספק ענן בארה״ב, לכלי אנליטיקס או לחברת בת — שרשרת ההעברה הזו כן דורשת בסיס משפטי ותיעוד, גם לפי הדין הישראלי וגם לפי GDPR.
ציות כפול חכם: GDPR ותיקון 13 על תשתית אחת
מאז 14 באוגוסט 2025 תיקון 13 לחוק הגנת הפרטיות בתוקף ונאכף, כך שחברה ישראלית שכפופה ל-GDPR כמעט תמיד כפופה במקביל גם למשטר הישראלי המעודכן. הטעות היקרה ביותר שאנחנו פוגשים היא ניהול שני הצירים כשני פרויקטים נפרדים — פעם אחת מול יועץ GDPR ופעם שנייה מול יועץ ישראלי, עם מסמכים כפולים שסותרים זה את זה. בפועל, התשתיות המרכזיות משותפות: מיפוי מידע אחד שמשמש גם כתיעוד מאגרים לפי תיקון 13 וגם כ-ROPA לפי Article 30; מדיניות פרטיות והודעות יידוע בגרסה אחת שעונה על שתי המסגרות; הסכמי עיבוד (DPA) מול ספקים שמנוסחים פעם אחת עם שתי החליפות המשפטיות; ונוהל פרצה אחד עם שני מסלולי דיווח מוגדרים מראש. מי שבונה כך משלם פעם אחת — ומדווח פעמיים.
נציג באיחוד האירופי לפי Article 27
חברה שכפופה ל-GDPR ואין לה ישות באיחוד נדרשת ככלל למנות נציג (EU Representative) באחת ממדינות האיחוד — כתובת רשמית לרשויות הפיקוח ולנושאי המידע. קיים פטור לעיבוד מזדמן, בהיקף קטן וללא מידע רגיש, אבל עסק שפונה לשוק האירופי באופן שוטף לרוב לא ייכנס לגדרו. הנציג אינו DPO ואינו יועץ — זו פונקציה נפרדת, ולרוב פותרים אותה דרך שירות נציגות ייעודי. אנחנו בוחנים את הצורך כחלק מבדיקת הפערים ומחברים אתכם לפתרון מתאים.
ישראל מול GDPR — ההבדלים שחשוב להכיר
| נושא | החוק הישראלי (אחרי תיקון 13) | GDPR |
|---|---|---|
| דיווח פרצה לרשות | ״ללא דיחוי״ — אין חלון שעות קבוע | עד 72 שעות מרגע הגילוי |
| תיעוד עיבוד | תיעוד מאגרים פנימי; רישום ברשות רק לגופים ציבוריים, סוחרי מידע ושירותי דירוג אשראי | ROPA פנימי — אין רישום ברשות |
| בסיס חוקי לעיבוד | הסכמה כבסיס מרכזי, עם חריגים מוגדרים | שישה בסיסים חוקיים חלופיים |
| ממונה הגנת פרטיות | חובה לגוף ציבורי, מידע רגיש בהיקף גדול או מאגרים גדולים | מבחני חובה שונים — עיבוד שיטתי בהיקף רחב ועוד |
| עיצומים | עיצומים כספיים מדורגים לפי סוג ההפרה והיקפה | עד 4% מהמחזור העולמי או 20 מיליון יורו |
| נציג מקומי | אין דרישה מקבילה | נציג באיחוד לפי Article 27 לחברות ללא נוכחות |
ענו על סקר הסיכונים החינמי שלנו — חמש דקות, ותקבלו תמונת מצב ראשונית: אילו חובות חלות עליכם לפי תיקון 13, ואילו סימנים בפעילות שלכם מדליקים תחולת GDPR.
השורה התחתונה: תחולת GDPR היא שאלה עובדתית — לא איפה החברה רשומה, אלא למי היא פונה ומה היא עושה במידע. ומרגע שהתחולה קיימת, הדרך היעילה היחידה היא תוכנית אחת: מיפוי אחד, סט מסמכים אחד, נוהל פרצה אחד עם שני מסלולי דיווח, וגורם אחד שאחראי שהכול מסונכרן.
שאלות שלקוחות שואלים לפני שמתחילים.
לא מצאתם את התשובה? פגישת היכרות של 30 דקות, ללא עלות.
אין לנו משרד או עובדים באירופה — GDPR עדיין יכול לחול עלינו?
ישראל מדינה נאותה — זה לא אומר שאנחנו פטורים מ-GDPR?
האם אנחנו צריכים למנות נציג באיחוד האירופי?
כבר השקענו בציות לתיקון 13 — כמה עבודה נשארה עד GDPR?
אירעה פרצת אבטחה — למי מדווחים קודם?
לקבלת הצעה והערכת זמנים — שיחת היכרות תוך 48 שעות.
ללא עלות, ללא התחייבות. תקבלו תמונת מצב מקצועית והמלצות מעשיות לצעדים הבאים.
בואו נדבר על חוסן הסייבר של הארגון שלכם.
שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.