בקצרה: לוקליזציה של נתונים היא חובה חוקית לשמור מידע על אזרחים בגבולות המדינה שלהם. הדרישות שונות בין רוסיה, סין, הודו, ה-EU וישראל — ולא תמיד ניתן לעמוד בכולן בו-זמנית. חברה ישראלית שפועלת בינלאומית יכולה להיקנס בשתי מדינות שונות בו-זמנית אם לא מיפתה נכון את תזרים הנתונים שלה.

מה זה לוקליזציה של נתונים ולמה זה אקטואלי

לוקליזציה של נתונים (Data Localization) היא דרישה חוקית לאחסן ולעבד נתונים אישיים של אזרחים מסוימים בשרתים הנמצאים פיזית בגבולות המדינה שלהם. זה לא רק שאלה טכנית — זה סוגיה גיאופוליטית שמשפיעה ישירות על ארכיטקטורת ה-IT שלכם.

המגמה הגלובלית ברורה: יותר ויותר מדינות דורשות שהנתונים של אזרחיהן יישארו "בבית". לחברה ישראלית שמוכרת שירות SaaS לאירופה, ל-UAE וגם לישראל — קיימות שלוש מערכות חוקים שונות שצריך לנווט ביניהן בו-זמנית.

המפה הגלובלית: מי דורש מה

רוסיה — הכי קיצוני: חוק הלוקליזציה הרוסי (Federal Law No. 242-FZ) דורש שנתונים אישיים של אזרחים רוסים יאוחסנו בשרתים ברוסיה בלבד. הפרה מובילה לחסימת האתר — כמו שקרה ל-LinkedIn ב-2016.

סין — שליטה מלאה: חוק אבטחת הסייבר הסיני (Cybersecurity Law, 2017) וחוק הגנת המידע האישי (PIPL, 2021) דורשים לוקליזציה לנתוני "תשתיות קריטיות" ומגבילים העברת נתונים לחו"ל ללא אישור ממשלתי. החוק חל על כל חברה שמטפלת בנתוני תושבים סינים — גם אם החברה לא ממוקמת בסין.

הודו — חוק חדש ב-2023: חוק הגנת הנתונים האישיים הדיגיטליים ⚠️ (Digital Personal Data Protection Act, 2023) מחייב לוקליזציה לקטגוריות מסוימות של נתונים רגישים. הרגולציה עדיין מתגבשת — אך הכיוון ברור.

ברזיל — LGPD: חוק הגנת הנתונים הברזילאי (Lei Geral de Proteção de Dados, 2020) לא מחייב לוקליזציה מוחלטת, אך מגביל העברת נתונים למדינות ללא רמת הגנה מספקת — בדומה ל-GDPR.

האיחוד האירופי: לא לוקליזציה, אבל לא פחות מורכב

GDPR (תקנת הגנת המידע הכללית, Regulation 2016/679) לא דורש לוקליזציה גיאוגרפית, אבל דורש שהעברת נתונים לחו"ל תהיה תחת מנגנוני הגנה מאושרים. המנגנונים הקיימים הם Standard Contractual Clauses (SCCs), Binding Corporate Rules, ו-EU-U.S. Data Privacy Framework (שנכנס לתוקף ב-2023 אחרי שניים שקדמו לו נפלו).

בפועל, חברות ישראליות רבות מאחסנות נתוני לקוחות אירופיים בשרתים ישראלים — וזה בסדר, כי ישראל הוכרה על ידי האיחוד האירופי כמדינה עם הגנת נתונים מספקת (Adequacy Decision). אבל ההכרה הזו יכולה להישלל — ולכן תמיד כדאי לחתום גם על SCCs כרשת ביטחון.

המצב בישראל: חובות שיותר ממחצית החברות לא מודעות להן

חוק הגנת הפרטיות תשמ"א-1981 ותקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 לא מטילים חובת לוקליזציה מוחלטת — אך מחייבים שהגורם שמעבד נתונים ישראלים יחויב באמצעות הסכם עיבוד נתונים (DPA) לשמור על רמת ההגנה הנדרשת, גם אם הנתונים שוכנים בענן אמריקאי.

בנוסף, תחומים ספציפיים דורשים לוקליזציה ממשלתית: מערכות ממשל, נתוני ביטחון לאומי, ומסדי נתונים רפואיים של קופות חולים. חברה פרטית שמוכרת למגזר הממשלתי צריכה לעמוד גם בדרישות אלה.

שלושת האתגרים האמיתיים לחברות ישראליות

1. קונפליקטים בין חוקים: לוקליזציה סינית מחייבת שנתונים יישארו בסין — אך GDPR מחייב שנתוני אירופאים לא יועברו לסין ללא מנגנון הגנה. אם יש לכם לקוחות בשני האזורים, אתם צריכים שני סביבות נתונים נפרדות.

2. עלויות תשתית: תחזוקת מרכזי נתונים מרובים יוצרת עלויות תפעוליות גבוהות. רוב חברות הענן הגדולות (AWS, Azure, Google Cloud) מציעות regions מקומיים שפותרים חלק מהבעיה — אך עלות הרגולציה עדיין אמיתית.

3. מיפוי תזרים נתונים: חברות רבות לא יודעות בדיוק איפה הנתונים שלהן. שירות צד שלישי שמוטמע באתר (כמו כלי analytics או CRM) עלול להעביר נתונים למדינה שגורמת להפרת חוק — מבלי שמישהו שם לב.

מה עושים — צעדים מעשיים

הצעד הראשון הוא מיפוי תזרים נתונים (Data Flow Mapping): לתעד בדיוק אילו נתונים נאספים, מאיפה, לאן עוברים, ואיפה מאוחסנים. בלי המפה הזו, כל שאר הפעולות הן ניחוש.

לאחר מכן, בהתאם לשווקים שבהם אתם פועלים, יש לבחון אם נדרשת לוקליזציה (לרוסיה ולסין — כמעט בוודאות כן), או שמספיקים מנגנוני העברה מאושרים (לאירופה — SCCs). לחברות שמוכרות לשוק הממשלתי הישראלי — לבדוק את הדרישות הספציפיות של הגורם הממשלתי ברמת ה-RFP.

קראו גם:

📌 זווית מקצועית — לעורכי דין

הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.