מהי ריבונות מידע ולמה זה רלוונטי לחברות ישראליות?
ריבונות מידע (Data Sovereignty) היא העיקרון שלפיו לנתונים יש "אזרחות" — הם כפופים לדיני המדינה שבה הם מאוחסנים או מעובדים. חוק הגנת הפרטיות, תשמ"א-1981, לא מחייב ישראלים להשאיר נתונים בישראל — אבל הוא מחייב רמת הגנה מסוימת בכל מקום שהנתונים נמצאים. כשהנתונים עוברים לחו"ל, הם נופלים גם תחת דיני המדינה הזרה — וזו עלולה להיות בעיה.
תקנות הגנת הפרטיות (העברת מידע אל מחוץ לגבולות המדינה), תשס"א-2001, הן הכלי המרכזי לניהול סיכון זה. הן מתירות העברת מידע אישי לחו"ל רק אם מתקיים אחד מאלה: (1) המדינה הזרה מספקת "הגנה הולמת" בחוק (רשימת מדינות מאושרות שפרסמה הרשות להגנת הפרטיות); (2) נחתם חוזה מחייב עם מקבל הנתונים שמעניק הגנות מקבילות לדין הישראלי; (3) ניתנה הסכמה מפורשת מנושאי המידע. רוב מדינות האיחוד האירופי נמצאות ברשימת המאושרות — ארה"ב, לעומת זאת, אינה ברשימה אוטומטית, ודורשת הסדר חוזי.
חובות כפולות: גם ישראל, גם המדינה הזרה
חברה ישראלית שמשתמשת בשרתי ענן בארה"ב נושאת חובות כלפי שתי מערכות משפט בו-זמנית: חוק הגנת הפרטיות הישראלי מחייב אותה לגבי האופן שבו היא מנהלת את נתוני הלקוחות; וחוק ה-CLOUD Act האמריקאי (2018) מאפשר לרשויות אמריקאיות לחייב ספקי ענן אמריקאיים למסור נתונים — גם אם הלקוח ישראלי, גם אם השרת מחוץ לארה"ב. זה לא תיאורטי. חברות ישראליות שמשתמשות ב-Microsoft 365, Google Workspace, או Salesforce עלולות להיות חשופות לדרישות מידע אמריקאיות, ולא ידעו על זה.
כאשר חברה ישראלית מעבדת נתונים של אזרחים אירופיים — GDPR חל גם עליה, ללא קשר למיקומה. אם היא מעבדת נתונים של תושבי קליפורניה — CCPA עשוי לחול. ניהול ריבונות נתונים בפועל אינו רק שאלה של "אי-הנחת נתונים מחוץ לישראל" — הוא שאלה של מיפוי תלויות, הבנת חובות חוזיות בכל סמכות שיפוט רלוונטית, ובניית מנגנון תגובה כשמגיעה דרישה ממשלתית זרה.
סיכון ה-CLOUD Act: כשהממשל האמריקאי נוקש על הדלת
ה-CLOUD Act האמריקאי (Clarifying Lawful Overseas Use of Data Act, 2018) מאפשר לרשויות אמריקאיות לחייב ספקי ענן הרשומים בארה"ב למסור נתונים — גם אם הם מאוחסנים מחוץ לארה"ב. המשמעות: חברה ישראלית שמחזיקה נתונים ב-AWS Region אירופה עדיין עלולה לראות את הנתונים שלה מועברים לרשויות אמריקאיות, כי AWS היא חברה אמריקאית. ממשל זר יכול לדרוש גישה מבלי שתדעו ולפעמים עם צו שמונע מהספק לספר לכם.
לעניין גילוי נאות ללקוחות — מדיניות הפרטיות חייבת לכלול אזהרה ברורה על האפשרות שנתונים יחשפו לרשויות זרות בהתאם לדין הזר. אי-גילוי זה עלול להוות הפרה של חוק הגנת הפרטיות, שכן מדובר ב"שימוש במידע שלא למטרה שלשמה נמסר". ⚠️ הפסיקה הישראלית בנושא ספציפי זה מתפתחת — מומלץ להתייעץ עם עורך דין לעדכון מדיניות הפרטיות שלכם בהתאם.
סיווג נתונים: מה ניתן להעביר לחו"ל ובאיזה תנאים?
חוק הגנת הפרטיות ותקנות אבטחת המידע תשע"ז מחלקים מאגרי מידע לשלוש רמות אבטחה. מאגרים ברמה הגבוהה — מידע רפואי, פיננסי, פלילי, ביומטרי — דורשים הגנות קשיחות גם בהעברה לחו"ל: הצפנה, DPA מחמיר, ומנגנוני אבטחה שוות ערך לדרישות ישראל. אין חובה לשמור סוגי מידע אלה פיזית בישראל, אבל ה-default הבטוח הוא לדרוש מספקי ענן שהם מציעים region ישראלי — ולנעול אותו.
הרשות להגנת הפרטיות פרסמה רשימה של מדינות שמוכרות כבעלות הגנה הולמת — ואין צורך בהסדר חוזי נוסף להעברה אליהן. מדינות האיחוד האירופי, קנדה ושוויץ נמצאות ברשימה. ארה"ב אינה מוכרת אוטומטית — ויש לחתום על מנגנון SCC תואם. ⚠️ הרשימה מתעדכנת — בדקו את הגרסה האחרונה באתר הרשות להגנת הפרטיות. — חייب להישמר בתוך ישראל;
חברה שלא סיווגה נתונים בצורה נכונה או העבירה קטגוריה רגישה בחו"ל ללא הצפנה מתאימה עלולה להיתקל בעיצומי משפט. בנוסף, סעיף 19 לתקנות קובע כי הנציבות להגנת הפרטיות רשאית להוציא צו זמני העוצר העברת נתונים לחו"ל עד לסיומו של חקירה בה קבעה ההנחה של הפרה של ריבונות הנתונים.
מעמד ישראל בדין הבינלאומי: "מדינה מספקת הגנה הולמת"
ישראל קיבלה הכרת "adequacy" מהאיחוד האירופי — כלומר, העברת מידע מחברות אירופיות לישראל מותרת ללא הסכמים מיוחדים. זהו יתרון עסקי משמעותי לחברות ישראליות שעובדות עם לקוחות אירופיים. ישראל גם חתומה על Convention 108+ של המועצה האירופית — אמנה בינלאומית להגנת הפרטיות שמחזקת את המחויבות לסטנדרטים גבוהים.
עם זאת, מיקום השרתים ממשיך להיות גורם משמעותי בשאלות אחריות. מוסדות פיננסיים ישראליים כפופים לדרישות נוספות מבנק ישראל ורשות ניירות ערך בנוגע לאחסון נתונים — ולא רק לחוק הגנת הפרטיות. דרישות ספציפיות אלה מתעדכנות ומומלץ לבדוק ישירות מול הרגולטור הרלוונטי.
בדיקת נאותות של ספקי ענן חיצוניים
תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, מחייבות ארגון שמשתמש בספק חיצוני לעיבוד מידע לוודא שהספק עומד בדרישות האבטחה הנדרשות. בפועל, זה אומר: לדרוש תעודת SOC 2 Type II עדכנית או ISO/IEC 27001, לסקור תקופתית את מדיניות האבטחה של הספק, ולוודא שה-DPA כולל חובת הודעה על הפרות בתוך פרק זמן מוגדר.
כאשר ספק ענן לא עומד בדרישות שנקבעו בחוזה — הלקוח הישראלי אחראי לפעול: לדרוש תיקון, ובמידת הצורך לעבור לספק אחר. המשך שימוש בספק שידוע שאינו עומד בדרישות עלול להיחשב כרשלנות עצמאית של הארגון.
תכנית המשכיות עסקית ונתונים
שימוש בענן מייצר תלות בספק חיצוני — ולכן ניהול סיכוני ריבונות נתונים חייב לכלול תכנון להפסקת שירות, פשיטת רגל של הספק, או חסם גיאוגרפי. תכנית disaster recovery טובה מגדירה: כיצד מחלצים נתונים מהספק, לאן הם עוברים, ומה לוח הזמנים. תרגול שנתי של תכנית זו הוא לא רק best practice — בארגונים שמחזיקים מאגרי מידע ברמה גבוהה, זוהי דרישה מהותית.
טיפ פרקטי: ודאו שחוזה הענן שלכם כולל right to data portability — הזכות לקבל את הנתונים שלכם בפורמט שמיש עם סיום ההתקשרות. חוזים שנועלים נתונים בפורמטים קנייניים עלולים ליצור תלות שלא תכננתם.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בעת ייעוץ לחברות טכנולוגיה, בקשו לראות את ה-DPA עם כל ספקי הענן המרכזיים — לא רק את הסכם השירות. רוב הלקוחות מקבלים את תנאי ה-ToS הסטנדרטיים מבלי לחתום על DPA ספציפי, דבר שיוצר חשיפה.
- אסמכתא רלוונטית: תקנות הגנת הפרטיות (העברת מידע אל מחוץ לגבולות המדינה), תשס"א-2001, וההנחיות המעודכנות של הרשות להגנת הפרטיות בנושא העברת מידע.
- טעות נפוצה: לייעץ ללקוח "להשתמש בספקים אירופיים" כפתרון לבעיות ריבונות נתונים. שרתים באירופה עוזרים ל-GDPR אבל לא מייתרים את דרישות חוק הגנת הפרטיות הישראלי.
- נקודה טקטית: ה-CLOUD Act האמריקאי יוצר מתח אמיתי עם דיני הפרטיות הישראליים. בחוזי ענן עם ספקים אמריקאיים, שקלו להוסיף סעיף "notification obligation" שמחייב את הספק לספר לכם אם קיבל צו מממשל זר — במידה שהדין מאפשר לו לעשות זאת.