האם GDPR חל עליכם — גם אם החברה רק בישראל?
יש לכם משתמש אחד מגרמניה? לקוח מצרפת? כתובת אימייל של מישהו מאיטליה שנרשם לניוזלטר? אם כן — GDPR חל עליכם. לא מעניין לאן רשומה החברה. מה שמעניין את הרגולטור האירופי הוא מי הנתונים שייכים אליו — ואם הם שייכים לתושב האיחוד, החוק חל.
זה לא תיאוריה. חברות ישראליות קיבלו התראות, ובין חברות שנקנסו בעולם — לא כולן ענקיות טכנולוגיה. הקנסות מגיעים עד €20 מיליון, ואנחנו בטוח לא רוצים להסביר ל-VC האירופי שאין לנו ROPA.
ה-GDPR — עיקרי התקנות האירופיות
ה-GDPR (General Data Protection Regulation) הוא החוק על הגנת הפרטיות של האיחוד האירופי שנכנס ליעילות בשנת 2018. הוא אחד החוקים הקשים ביותר בעולם בנושא הגנת נתונים, והוא משנה את דרך שחברות בעולם כולו מטפלות בנתונים אישיים.
עיקרי ה-GDPR:
- Legal basis for processing: חברות יכולות לעבד נתונים רק אם יש להן בסיס משפטי (הסכמה, חוזה, חוק, וכו'). לא יכולים לעבד נתונים רק כי זה "נחמד" או "שימושי".
- Consent: לעתים קרובות, הסכמה מפורשת נדרשת. לא די בתנאים מוטעים או בחדירה ברירת מחדל. חייבת להיות הסכמה ברורה וחיובית.
- Data subject rights: לאנשים יש זכויות כדוגמת הזכות להגישה, תיקון, מחיקה, התנגדות, ונתיב משקל בעיבוד נתונים שלהם.
- Data protection impact assessment: חברות צריכות להעריך את הסיכונים של אבטחה בעיבוד נתונים, במיוחד כאשר משתמשות בטכנולוגיות חדשות או משנות עיבוד בצורה משמעותית.
- Data protection officer: גופים מסוימים (ממשלתיים, שירותי בריאות, עיבוד מידע בהיקף גדול) חייבים למנות ממונה הגנת מידע (DPO — Data Protection Officer).
- Breach notification: חברות צריכות להודיע על הפרות של נתונים לרשות הגנת הנתונים ולנושאי הנתונים בתוך 72 שעות מעריכת ההפרה.
- Fines: קנסות בגין הפרות GDPR יכולים להיות עצומים — עד €20 מיליון או 4% מהמחזור השנתי העולמי — הגבוה מביניהם.
ה-GDPR הוא פיתרון עוצמתי בעד הזכות לפרטיות, והוא יצר סטנדרט חדש עבור הגנת נתונים בעולם.
חוק הגנת הפרטיות התשמ"א-1981 הישראלי ותקנות אבטחת מידע
בישראל, הגנת פרטיות מוסדרת על ידי חוק הגנת הפרטיות התשמ"א-1981 וחוקים ותקנות נלוות. הוא לא חזק כמו ה-GDPR, אבל הוא עדיין מטיל חובות משמעותיות על חברות.
- חוק הגנת הפרטיות התשמ"א-1981: מטיל דרישה על גופים לעבד נתונים אישיים בחוקיות, בנאות, ובשקיפות. לחברות צריכות להודיע לאנשים על איסוף נתונים ולמה הם משתמשים בנתונים.
- תקנות אבטחת המידע: דורשות גופים מסוימים (בנקים, חברות ביטוח, משרדים ממשלתיים) לקחת אמצעים טכניים וארגוניים לשמור על ביטחון נתונים.
- Chief Privacy Officer: גופים בהיקף עיבוד מידע גדול צריכים למנות ממונה הגנת פרטיות (Chief Privacy Officer), בדומה ל-DPO תחת GDPR.
קראו גם:
מתי בדיוק חברה ישראלית חייבת לציית ל-GDPR?
התשובה פשוטה יותר ממה שחושבים — ה-GDPR חל בשלושה מצבים:
- Scope: ה-GDPR חל על כל חברה שמטפלת בנתונים אישיים של אנשים באיחוד האירופי, ללא קשר לגיאוגרפיה של החברה. אם חברה ישראלית מוכרת שירותים לאירופה, היא קשורה ל-GDPR.
- Targeting EU residents: אם חברה ישראלית מטרגטת תושבי האיחוד באופן פעיל (למשל דרך פרסום, אתר בעברית או בשפה אירופית), היא כנראה קשורה ל-GDPR.
- Offering services/goods: אם מציעים שירותים או מוצרים לתושבי האיחוד, אתה קשור.
מקרה מעשי: סטארטאפ ישראלי שבנה אפליקציה ומוכר אותה לשוק האירופאי יצטרך לציית ל-GDPR לגבי כל משתמש אירופי. גם אם רוב הלקוחות בישראל, קנסות GDPR יכולים להיות עצומים אם החברה אינה עומדת בדרישות.
7 צעדים לציות GDPR — תתחילו מכאן
הנה מה שצריך לסגור, לפי סדר עדיפות:
- Privacy policy ברורה: כתבו מדיניות פרטיות שמסבירה בפירוט אילו נתונים אתם אוספים, למה, וכיצד אתם משתמשים בהם.
- Consent management: בדוקו שיש הסכמה ברורה ופעילה מ-משתמשים. אל תשתמשו בברירות מחדל שמסכימות מראש, ואל תכתבו תנאים מטעים.
- Data minimization: אסופו רק נתונים שצריכים לו למטרות מפורשות. אל תאספו "רק כי זה מעניין".
- Vendor management: אם משתמשות בחברות חוקה (cloud providers, advertisers, וכו'), וודא שיש להן הסכמים ברורים על הגנת נתונים.
- Data security: קחו אמצעים טכניים וארגוניים לשמור על נתונים בטוחים — הצפנה, גישה מוגבלת, ניטור תקופתי.
- Breach response plan: הכינו תוכנית על מה לעשות אם קורה הפרה של נתונים. מה תעשו, את מי תודיעו, וכיצד תעשו זאת בתוך 72 שעות.
- Regular audits: בדוקו את מדיניות הפרטיות שלכם בתקופה. איך אתם בפועל מטפלים בנתונים? זה משתנה ל-מעת לעת.
הגנת פרטיות היא לא רק חובה משפטית — היא גם עניין של אמון. חברות שמטפלות בנתונים בשקיפות ובאחריות בונות מוניטין חזק יותר אצל משקיעים, לקוחות, ורגולטורים — ואלה שמזניחות פרטיות משלמות את המחיר, לעתים קרובות יותר ממה שחשבו.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: כשמייצגים סטארטאפ בסבב גיוס — בדוק אם יש ROPA (Record of Processing Activities). משקיעים אירופאים ואנליסטים מצפים לו. סטארטאפ ללא ROPA מעלה דגל אדום ב-due diligence.
- פסיקה רלבנטית: Schrems II (C-311/18, 2020) שינה את כללי המשחק להעברות מידע. פסיקות הקנסות של DPC אירלנד נגד Meta — קבעו שגם "Legitimate Interest" דורש איזון ספציפי ומתועד. ⚠️ פסיקה ישראלית GDPR עדיין מועטה.
- טעות נפוצה: מינוי DPO (ממונה הגנת מידע) כ"תפקיד על הנייר" ללא סמכות אמיתית — זו הפרת GDPR בפני עצמה. ה-DPO חייב להיות עצמאי ולדווח ישירות להנהלה הבכירה, לא לצוות המשפטי.
- נקודה טקטית: בתביעות GDPR — הנטל להוכיח הסכמה חוקית מוטל על החברה, לא על הנפגע. שמרו לוגים: timestamp, IP, גרסת טופס — אחרת אי-אפשר להוכיח בבית משפט שההסכמה ניתנה כחוק.