מה הם GDPR וחוק הפרטיות הישראלי?
GDPR (General Data Protection Regulation) הוא רגולציה אירופית שנחקקה ב-2016 ונכנסה לתוקף ב-2018. הוא חל על כל גוף בעולם שמעבד נתונים אישיים של תושבי האיחוד האירופי — בין אם הוא חברה גרמנית ובין אם סטארטאפ ישראלי עם 50 משתמשים מגרמניה. חוק הגנת הפרטיות, תשמ"א-1981, בנוסחו המעודכן לאחר תיקון 2023, הוא הדין הישראלי המקביל — עם כמה הבדלים מהותיים.
שני הדינים נועדו להגן על פרטיות הפרט, אך שונים בתחולה, בזכויות שהם מעניקים, ובעונשים שהם מאפשרים.
תחום התחולה ועקרונות יסוד
GDPR חל על כל מעבד מידע בעולם שמעבד נתונים של תושבי EU, בין אם כחברה משפטית בגרמניה או סטארטאפ קטן בישראל. חוק הפרטיות הישראלי חל על כל קבוצה או פרט בישראל המעבדים נתונים אישיים של אנשים בישראל.
ההבדל המשמעותי: GDPR פעיל אפילו אם הגוף אינו מבוסס בישראל, אם הוא מעבד נתונים של אזרחי EU. חוק הפרטיות הישראלי מתוך טווח מצומצם יותר - זה קרוב להעברות בתוך ישראל בעיקר.
הגדרת נתונים אישיים וסוגים
שני הדינים מגדירים נתונים אישיים כמידע הקשור לאדם שניתן לזהות. זה כולל שם, מספר זהות, כתובת, מספר טלפון, כתובת אימייל וגם נתונים עקיפים כמו כתובת IP או cookies.
- ב-GDPR: קיימת הבחנה בין נתונים רגילים לנתונים רגישים (biometric, מידע רפואי, פוליטי). נתונים רגישים מחויבים בהגנה חוזקת.
- בחוק הפרטיות הישראלי: קיימת הבחנה גם, אך בצורה שונה וקצת פחות מפורטת.
בשני המקרים, מידע שהוא ציבורי לחלוטין או קבוצותי (לא מזוהה אדם) בדרך כלל אינו נחשב נתונים אישיים.
קראו גם:
הסכמה והבסיס החוקי
GDPR דורש בסיס חוקי ברור לעיבוד נתונים - הסכמה מפורשת היא אחד מהם, אך לא היחיד. ניתן גם לעבד נתונים על בסיס חוזה, חובה חוקית, אינטרס ציבורי או אינטרס משפטי חוקי של המעבד.
חוק הפרטיות הישראלי דורש בעיקרון הסכמה מפורשת לעיבוד נתונים אישיים, אך גם כאן קיימים יוצאים מן הכלל - כמו עיבוד בהסמכה חוקית.
ההבדל: GDPR גמיש יותר — הוא מכיר בשישה בסיסי עיבוד חוקיים שונים. חוק הפרטיות הישראלי נשען יותר על הסכמה, אם כי תיקון 2023 הרחיב את הבסיסים המוכרים.
זכויות נושא הנתונים
GDPR מעניק לנושא הנתונים זכויות מרחיקות לכת:
- זכות גישה - לדעת אילו נתונים אישיים יש על אדם.
- זכות תיקון - לתקן נתונים שגויים או חסרים.
- זכות מחיקה ("זכות להישכח").
- זכות הגבלה - להגביל עיבוד נתונים בתנאים מסוימים.
- זכות נתונים ניידים - לקבל את הנתונים שלו בפורמט קרוא וניתן להעברה.
- זכות התנגדות - להתנגד לעיבוד מסוים.
חוק הפרטיות הישראלי מעניק זכויות דומות אך פחות מרחיקות לכת. זכות מחיקה מוגבלת, וזכות נתונים ניידים אינה קיימת בצורה מפורשת.
עונשים וסנקציות
זה ההבדל הגדול ביותר בין שני הדינים. GDPR מטיל עונשים גבוהים מאוד:
- קנסות של עד 20 מיליון יורו או עד 4% מהמחזור העולמי השנתי (הגבוה מביניהם) על הפרות חמורות.
- עונשים של עד 10 מיליון יורו או 2% הכנסות לחלק מההפרות.
חוק הפרטיות הישראלי, לאחר תיקון 2023, העלה משמעותית את הקנסות המינהליים. הפרות חמורות יכולות כיום להגיע לסכומים גבוהים יותר מבעבר ⚠️ — מומלץ לאמת את גובה הקנסות העדכניים מול פרסומי רשות הגנת הפרטיות (PPA).
מסיבה זו, עסקים ישראליים שיש להם ולו מספר לקוחות אירופאים — צריכים לציית ל-GDPR. זה לא אופציה. זה חובה שמגיעה עם קנסות שיכולים להרוס חברה.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: כשמטפלים בחברה ישראלית שמוכרת גם בירופה — תמיד התחילו מניתוח תחולת GDPR לפני החוק הישראלי. אם GDPR חל — הוא המחמיר יותר ויקבע את רמת הציות הנדרשת
- פסיקה רלבנטית: החלטת הנאותות של ישראל מ-2011 (EU Adequacy Decision) מאפשרת העברת מידע מהאיחוד האירופי לישראל ללא מנגנוני הגנה נוספים ⚠️ — בדקו תמיד שהחלטה זו עדיין בתוקף
- טעות נפוצה: לקוחות מניחים שאם אין להם משרד בגרמניה — GDPR לא חל עליהם. טעות. אתר שמציע שירות לגרמנים (גם בחינם) — GDPR חל
- נקודה טקטית: בעסקאות M&A עם חברות ישראליות שיש להן לקוחות אירופאים — ביצוע Privacy Due Diligence לפי GDPR הוא קריטי לתמחור הסיכון. תיק GDPR פתוח = liability משמעותי