דלגו לתוכן
ציות לתקנות פרטיות אירופיות ואמריקאיות

GDPR, CCPA ופרטיות בינלאומית

חברה שמוכרת ללקוחות באירופה, בריטניה או ארה״ב? אנחנו בונים תוכנית ציות אחת שעובדת מול GDPR, CCPA ותיקון 13 הישראלי — במקום שלוש מערכות מקבילות. (לליווי ייעודי לתיקון 13 — ראו עמוד תיקון 13 הנפרד.)

תוצאות עיקריות

מה אתם מקבלים בסוף.

  • בחינת פערים מלאה ולוח זמנים לסגירתם

  • מינוי ממונה הגנת פרטיות (DPO) וטיפול בדיווחים לרשות

  • הסכמי DPA, רישום מאגרי מידע ומדיניות פרטיות שקופה

תוצרים

מה נמסר לכם בפועל.

  • 01מסמך פערים מלא (Gap Assessment)
  • 02מדיניות פרטיות, מדיניות עוגיות והודעת איסוף
  • 03מינוי DPO ותיק דיווחים לרשות להגנת הפרטיות
  • 04תרגול תרחישי דליפת מידע
מדריך מעמיק

GDPR לחברות ישראליות — מתי חל ומה עושים

GDPR הוא לא ״עניין אירופי״. תקנות הגנת המידע של האיחוד האירופי נכתבו במכוון עם תחולה אקסטריטוריאלית, והן חלות על חברות ישראליות רבות שאין להן ולו עובד אחד באירופה — לפעמים בלי שהחברה מודעת לכך בכלל, עד שלקוח אירופי גדול שולח שאלון או מבקש DPA. בעמוד הזה נסביר מתי GDPR באמת חל עליכם, מה נותנת (ומה לא נותנת) העובדה שישראל ״מדינה נאותה״, ואיך בונים תוכנית ציות אחת שעובדת גם מול GDPR וגם מול תיקון 13 — במקום שני פרויקטים מקבילים ויקרים.

מתי GDPR חל על חברה ישראלית

סעיף 3(2) ל-GDPR קובע שתי חלופות תחולה שאינן תלויות כלל במקום מושבה של החברה: הצעת מוצרים או שירותים לאנשים הנמצאים באיחוד האירופי (גם בחינם), או מעקב אחר התנהגות של אנשים באיחוד. בפועל, אלה הסימנים שמדליקים את התחולה:

  • אתר או אפליקציה בשפות אירופיות, תמחור ביורו או משלוח מוצרים למדינות האיחוד
  • קמפיינים ממומנים שמכוונים במוצהר לקהלים באירופה
  • מוצר SaaS עם משתמשי קצה אירופיים — גם כשהלקוח המשלם הוא חברה אמריקאית או ישראלית
  • אנליטיקס, פיקסלים, פרסום מותאם אישית או פרופיילינג של גולשים מהאיחוד

חשוב לדייק: עצם הנגישות של אתר ישראלי לגולש מגרמניה לא מקימה תחולה. המבחן הוא כוונה — האם אתם פונים לשוק האירופי. את מבחני התחולה המלאים, כולל דוגמאות לגבול הדק, פירטנו במאמר GDPR לחברות ישראליות — מה באמת חל.

ישראל מדינה נאותה — מה זה נותן ומה לא

ישראל מחזיקה בהחלטת נאותות (Adequacy) של נציבות האיחוד האירופי, שאושררה מחדש בסקירת הנציבות ב-2024. משמעות הנאותות: מידע אישי יכול לזרום מהאיחוד האירופי לישראל באופן חופשי, בלי מנגנוני העברה כמו Standard Contractual Clauses (SCC) ובלי הערכות העברה נפרדות. זה יתרון תחרותי אמיתי מול ספקים ממדינות ללא נאותות — פחות חיכוך משפטי בסגירת חוזים עם לקוחות אירופיים, ופחות שאלות בשלב ה-due diligence.

נאותות היא לא פטור מ-GDPR

החלטת הנאותות עוסקת בהעברת מידע לישראל — לא בחובות שלכם. אם אתם מציעים שירותים לאירופה או עוקבים אחר התנהגות של אנשים באיחוד, GDPR חל עליכם במלואו: תיעוד פעילויות עיבוד (ROPA), מענה לזכויות נושאי מידע, דיווח פרצה לרשות אירופית תוך 72 שעות — ולעיתים גם מינוי נציג באיחוד.

בפרקטיקה, הנאותות היא קודם כול תשובה טובה בשאלוני Due Diligence: כשלקוח אירופי שואל ״על איזה מנגנון העברה אתם מסתמכים?״ — התשובה של ספק ישראלי היא החלטת הנאותות עצמה, בלי נספחי SCC ובלי Transfer Impact Assessment מסורבל. אבל שימו לב לכיוון ההפוך: אם אתם מעבירים מידע הלאה — לספק ענן בארה״ב, לכלי אנליטיקס או לחברת בת — שרשרת ההעברה הזו כן דורשת בסיס משפטי ותיעוד, גם לפי הדין הישראלי וגם לפי GDPR.

ציות כפול חכם: GDPR ותיקון 13 על תשתית אחת

מאז 14 באוגוסט 2025 תיקון 13 לחוק הגנת הפרטיות בתוקף ונאכף, כך שחברה ישראלית שכפופה ל-GDPR כמעט תמיד כפופה במקביל גם למשטר הישראלי המעודכן. הטעות היקרה ביותר שאנחנו פוגשים היא ניהול שני הצירים כשני פרויקטים נפרדים — פעם אחת מול יועץ GDPR ופעם שנייה מול יועץ ישראלי, עם מסמכים כפולים שסותרים זה את זה. בפועל, התשתיות המרכזיות משותפות: מיפוי מידע אחד שמשמש גם כתיעוד מאגרים לפי תיקון 13 וגם כ-ROPA לפי Article 30; מדיניות פרטיות והודעות יידוע בגרסה אחת שעונה על שתי המסגרות; הסכמי עיבוד (DPA) מול ספקים שמנוסחים פעם אחת עם שתי החליפות המשפטיות; ונוהל פרצה אחד עם שני מסלולי דיווח מוגדרים מראש. מי שבונה כך משלם פעם אחת — ומדווח פעמיים.

נציג באיחוד האירופי לפי Article 27

חברה שכפופה ל-GDPR ואין לה ישות באיחוד נדרשת ככלל למנות נציג (EU Representative) באחת ממדינות האיחוד — כתובת רשמית לרשויות הפיקוח ולנושאי המידע. קיים פטור לעיבוד מזדמן, בהיקף קטן וללא מידע רגיש, אבל עסק שפונה לשוק האירופי באופן שוטף לרוב לא ייכנס לגדרו. הנציג אינו DPO ואינו יועץ — זו פונקציה נפרדת, ולרוב פותרים אותה דרך שירות נציגות ייעודי. אנחנו בוחנים את הצורך כחלק מבדיקת הפערים ומחברים אתכם לפתרון מתאים.

ישראל מול GDPR — ההבדלים שחשוב להכיר

נושאהחוק הישראלי (אחרי תיקון 13)GDPR
דיווח פרצה לרשות״ללא דיחוי״ — אין חלון שעות קבועעד 72 שעות מרגע הגילוי
תיעוד עיבודתיעוד מאגרים פנימי; רישום ברשות רק לגופים ציבוריים, סוחרי מידע ושירותי דירוג אשראיROPA פנימי — אין רישום ברשות
בסיס חוקי לעיבודהסכמה כבסיס מרכזי, עם חריגים מוגדריםשישה בסיסים חוקיים חלופיים
ממונה הגנת פרטיותחובה לגוף ציבורי, מידע רגיש בהיקף גדול או מאגרים גדוליםמבחני חובה שונים — עיבוד שיטתי בהיקף רחב ועוד
עיצומיםעיצומים כספיים מדורגים לפי סוג ההפרה והיקפהעד 4% מהמחזור העולמי או 20 מיליון יורו
נציג מקומיאין דרישה מקבילהנציג באיחוד לפי Article 27 לחברות ללא נוכחות
לא בטוחים איפה אתם עומדים?

ענו על סקר הסיכונים החינמי שלנו — חמש דקות, ותקבלו תמונת מצב ראשונית: אילו חובות חלות עליכם לפי תיקון 13, ואילו סימנים בפעילות שלכם מדליקים תחולת GDPR.

השורה התחתונה: תחולת GDPR היא שאלה עובדתית — לא איפה החברה רשומה, אלא למי היא פונה ומה היא עושה במידע. ומרגע שהתחולה קיימת, הדרך היעילה היחידה היא תוכנית אחת: מיפוי אחד, סט מסמכים אחד, נוהל פרצה אחד עם שני מסלולי דיווח, וגורם אחד שאחראי שהכול מסונכרן.

שאלות נפוצות

שאלות שלקוחות שואלים לפני שמתחילים.

לא מצאתם את התשובה? פגישת היכרות של 30 דקות, ללא עלות.

אין לנו משרד או עובדים באירופה — GDPR עדיין יכול לחול עלינו?
כן. התחולה לפי Article 3(2) נקבעת לפי הפעילות, לא לפי מיקום החברה: הצעת מוצרים או שירותים לאנשים באיחוד האירופי, או מעקב אחר התנהגותם (למשל אנליטיקס ופרסום מותאם). חברת SaaS ישראלית עם משתמשים אירופיים כפופה בדרך כלל ל-GDPR גם ללא כל נוכחות פיזית באירופה.
ישראל מדינה נאותה — זה לא אומר שאנחנו פטורים מ-GDPR?
לא. הנאותות, שאושררה מחדש ב-2024, מסדירה את העברת המידע מאירופה לישראל בלי SCC — אבל היא לא פוטרת מציות. אם אתם בתחולת GDPR, כל החובות חלות: זכויות נושאי מידע, תיעוד ROPA, דיווח פרצה תוך 72 שעות, ולעיתים מינוי נציג באיחוד.
האם אנחנו צריכים למנות נציג באיחוד האירופי?
אם GDPR חל עליכם ואין לכם ישות באיחוד — ככלל כן, לפי Article 27. קיים פטור צר לעיבוד מזדמן, בהיקף קטן וללא מידע רגיש, אבל פעילות שוטפת מול השוק האירופי לרוב לא תעמוד בו. אנחנו בוחנים את הצורך כחלק מבדיקת הפערים ומחברים לפתרון נציגות במידת הצורך.
כבר השקענו בציות לתיקון 13 — כמה עבודה נשארה עד GDPR?
פחות משנדמה. מיפוי המידע, מדיניות הפרטיות, הסכמי ה-DPA ונוהל הפרצה שבניתם לתיקון 13 הם רוב התשתית. הפערים הטיפוסיים שנשארים: קביעת בסיסי עיבוד ותיעוד ROPA, זכויות מורחבות כמו מחיקה וניידות, מסלול דיווח של 72 שעות, ובדיקת הצורך בנציג EU.
אירעה פרצת אבטחה — למי מדווחים קודם?
עובדים בשני מסלולים במקביל: לרשות להגנת הפרטיות בישראל ״ללא דיחוי״ כאשר האירוע חייב בדיווח לפי הדין הישראלי, ולרשות הפיקוח האירופית הרלוונטית בתוך 72 שעות כאשר האירוע בתחולת GDPR. נוהל פרצה טוב מגדיר את שני המסלולים מראש — מי מחליט, מי מנסח ומי מדווח — כדי שלא תצטרכו להמציא את זה תחת לחץ.
GDPR, CCPA ופרטיות בינלאומית

לקבלת הצעה והערכת זמנים — שיחת היכרות תוך 48 שעות.

ללא עלות, ללא התחייבות. תקבלו תמונת מצב מקצועית והמלצות מעשיות לצעדים הבאים.

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il