AI

האם מותר להעביר מידע מתוך האיחוד האירופי לישראל או למדינה אחרת? GDPR ISRAEL

Posted on February 26, 2025June 2, 2026 by yanz@123457

סעיף 2 לחוק מונה רשימה סגורה של פעולות המהוות "פגיעה בפרטיות" – החל מבילוש או התחקות אחרי אדם, האזנת סתר וצילום אדם ברשות היחיד, דרך פרסום מידע אישי ללא רשות, ועד לשימוש שלא כדין במידע שנמסר לצורך מסוים. בפרקים שלהלן, נפרט בקצרה מהי הפגיעה בפרטיות, מה נחשב למידע אישי ואילו עקרונות יסוד חלים בניהול מאגרי מידע, מהם השינויים המרכזיים בתיקון 13 ואיך זה פוגש את העולם העסקי.

הזכות להימחק מעניקה חלופה נוספת לזו המעוגנת בחוק הגנת הפרטיות והיא כשהמידע אמת אך לא רלוונטי עוד, וחוסר הרלוונטיות נוצרה עם חלוף הזמן.
בנוסף לעיסוקו כעורך דין, עו"ד ישראלי הוא יזם ומנהל בכיר בתעשיית הייטק, שניהל צוותי מוצר, טכנולוגיה ושיווק בחברות טכנולוגיה גדולות וחברות סטארטאפ מצליחות. עו"ד ישראלי שימש גם כיועץ אסטרטגי בחברת Boston Consulting Group בהולנד, וסייע לחברות ענק בפרוייקטים אסטרטגיים ותהליכים פנימיים.
ההסדר החדש, ‘מגן הפרטיות’, אפשר לחברות אמריקאיות להתחייב באופן וולונטרי לנוהגי פרטיות מחמירים יותר מאלו הנדרשים לפי הדין בארצות-הברית, ולקבל בכך את ההיתר הנדרש לפי דיני הגנת המידע האירופאים לצורך עיבוד מידע בארצות-הברית.
הצורך בעורך דין כזה נובע מהעובדה הפשוטה שחוק ה-GDPR הוא פשוט חוק אירופאי החל על כל המדינות שנכללות באיחוד האירופי, ה-EU.
במידה ואתם בעלי עסקים וברצונכם לעמוד בדרישות השונות, בין אם בחוק הגנת הפרטיות הישראלי, הGDPR האירופאי, או של ארה"ב, אנו ממליצים להתייעץ איתנו ב-010 ואנחנו נסביר לכם אילו פעולות עליכם לנקוט וניתן לכם את הפתרונות המובילים בתחום אבטחת המידע והסייבר. צרו איתנו קשר
מהפכת ה- GDPR משמעותה שבפועל כל איסוף, שמירה וניתוח של מידע אישי של משתמשים/גולשים מחייב בסיס חוקי תקין ומוגדר לפעולות הספציפיות שהעסק שלכם נוקט בהן.

מתי הזמן הנכון לעבור מניהול איכות ידני לניהול איכות דיגיטלי במערכת eQMS הסמכת ISO משמשת כנכס עבור ארגונים המפתחים מערכות AI, שכן היא מטפלת בשקיפות נתונים, הוגנות בשימוש באלגוריתמים ואחריות בתהליכי קבלת החלטות אוטומטיים. ככל שהבינה המלאכותית (AI) הופכת לחלק מהפעילות העסקית, גוברים החששות בנושאי פרטיות. ISO מכיל סט של דרישות להטמעת מערכת ניהול מידע פרטיות (PIMS) בתוך ארגון.

ISO יכול לתת בסיס חזק לבקרות אבטחת מידע, אבל GDPR כולל גם שכבות של שקיפות, זכויות נושאי מידע, בסיסים חוקיים, הסכמים ותיעוד – ולכן לרוב נדרש יישור קו ייעודי. בפרויקטי GDPR אנחנו לעיתים משתמשים במסגרת ה NIST Privacy Framework כדי לבנות שכבת ממשל פרטיות שמבוססת ניהול סיכונים, כולל זיהוי סיכוני פרטיות, תיעוד החלטות ותעדוף פעולות לצמצום סיכון. חזקו את הגנת הפרטיות וצרו סביב הארגונית בטוחה יותר עם ייעוץ וליווי להסמכת GDPR של אינפוגארד. רוב מכריע של החובות לפי התקנות החדשות אינו מוכר בחוק הגנת הפרטיות הקיים –

העברת מידע מחוץ לגבולות המדינה לפי הסכם – עמדת הרשות להגנת הפרטיות

בית המשפט ניסה להגן על פרטיותו של מושא המידע בהסתמך על הדין הקיים, ללא צורך בעיגון הזכות להימחק בהסתמך על שני חוקים מרכזיים המאפשרים הסרת מידע מהרשת, החוק להגנת הפרטיות והחוק לאיסור לשון הרע. בית המשפט העליון דחה את הטענה שהזכות להימחק חלה בדין הישראלי, והורה להנהלת בתי המשפט למצוא דרכים אחרות לאי-פרסום פסקי דין הכוללים מידע רגיש, כגון מתן צו אי-פרסום. מידע עסקי בע״מ, עתרה חברת "חשבים" נגד החלטת הנהלת בתי המשפט אשר התנתה את הגישה למאגר פסקי-הדין ״תקדין״ ו ״תקדין לייט״ בכך שלא יהיה אינדוקס למידע. בשנים 2016 ו-2017 הוגשו שתי הצעות חוק לתיקון חוק הגנת הפרטיות לשם הכללתה של הזכות להימחק, אולם אלו לא הבשילו לכדי חוק. מאז קביעת בית הדין האירופי והכרתו בזכות להימחק, הונחו על שולחן הכנסת הצעות חוק והצעות לתיקון חוק הגנת הפרטיות שמטרתן הייתה להתאים את החוק הישראלי להתפתחויות הטכנולוגיות. קוסטחה טען שהמידע איבד את הרלוונטיות שלו, ולכן המשך זמינותו ברשת פוגעת בפרטיות של מושאו, קוסטחה.

תקדים משמעותי של בית המשפט העליון בתחום הקריפטו והלבנת ההון

דוח DBIR של Verizon נחשב לאחד מדוחות הסייבר החשובים בעולם ומציג תמונת מצב עדכנית של איומי הסייבר המרכזיים. הטענה למתקפה על משרד FWMK מצטרפת לשורת אירועים דומים בארץ ובעולם וממחישה מינוי DPO מחוייב כאשר מתקיימים תנאים כמו ניטור שיטתי בהיקפים גדולים או עיבוד נרחב של מידע רגיש (וגם בגופים ציבוריים).

דלג לחיפוש – עבור לתיבת החיפוש באתר (במידה וקיימת אפשרות חיפוש באתר). אנו מאמינים שלכולם ללא יוצא מן הכלל מגיע ליהנות מהביקור באתר שלנו ולכן משתדלים שהאתר יהיה ברור ונגיש ויאפשר גלישה נוחה לנעזרים בטכנולוגיות מסייעות. רק כשמביאים את הכל יחד ניתן להתמודד באופן יעיל עם הדרישות המשפטיות תוך שמירה על חוויית לקוח חיובית ועל צרכי החברה. אנחנו מאמינים שכדי להתמודד עם הוראות ה-GDPR בהצלחה, לא מספיק להבין רגולציה, צריך להבין מוצר ושיווק ומערכות מידע. אנחנו נראיין במהרה את המנהלים הרלוונטיים בחברה, נסקור עבורך את האתר והאפליקציות, הקמפיינים והמסמכים, ונספק לך במהירות רשימת ליקויים עם המלצות קונקרטיות לתיקון.

הסכמי ספקי שירות תואמים (סעיפים 28, 32 ו-82 ל-GDPR ותקנה 15 לתקנות הגנת הפרטיות הישראליות)

הזכות להימחק הוכרה עוד בטרם נחקק ה-GDPR, במסגרת הדיון בעניינו של עורך הדין קוסטחה. הזכות להימחק מעגנת את אפשרותם של אנשים לבקש שמידע שפורסם עליהם יימחק מהרשת אם אינו רלוונטי עוד למטרה שלשמה נאסף. מושאי מידע שונים הרואים שמידע פרטי אודותם המפורסם ברשת בעבור זמן מה הפך לזמין לגולשים ברשת, מבקשים שמידע זה יימחק בטענה שאינו רלוונטי עוד. האחסון הטכני או הגישה נחוצים בהחלט למטרה לגיטימית של מתן אפשרות לשימוש בשירות ספציפי המבוקש במפורש על ידי המנוי או המשתמש, או למטרה היחידה של ביצוע העברת תקשורת דרך רשת תקשורת אלקטרונית. שירות HIPAA של Infoguard מספק ליווי מקיף לבניית תהליכים, בקרות ותיעוד להגנה על PHI/ePHI ולהיערכות לתגובה ודיווח לאירועים, בהתאם לדרישות השוק האמריקאי. בסוף אתם מקבלים תכנית מודעות מסודרת, תוצאות מדידות ותרבות אבטחה חזקה יותר.

האם מותר להעביר מידע מתוך האיחוד האירופי לישראל או למדינה אחרת?

והיכולת מרחיקת הלכת לאפיין ולטרגט כל אדם לצרכי מכירות או לצרכים גרועים יותר? כלי תקשורת חשפו שגוגל, אמזון ואפל אוגרות הקלטות דיבור של לקוחות פרטיים, שבוצעו באמצעות סירי, אלכסה וגוגל אסיסטנט, ומפענחות אותן באמצעות חברות חיצוניות. בתוך הוואקום הזה מתפתח אקוסיסטם שלם של חברות פרטיות שמנסות לעשות סדר בבלגן כפי שהזכרנו קודם, מבחינה משפטית רגולציית תקנות הגנת הפרטיות GDPR חלה בצורה ישירה על כל ארגון שמאחסן ומעבד במידע על אזרחים אירופאים גם אינו פועל בשטח של האיחוד, לכן כל גורם ישראלי המשווק את מוצריו באיחוד האירופאי כפוף לרגולציה.

כאשר עיבוד צפוי ליצור סיכון גבוה לזכויות וחירויות של אנשים (למשל פרופיילינג נרחב, עיבוד מידע רגיש בהיקף גדול, ניטור שיטתי). לארגונים בישראל חשוב להבין שהחובה לעמוד ב-GDPR לא מחליפה את חוק הגנת הפרטיות הישראלי – וברוב המקרים צריך לנהל ציות כפול. אנחנו בInfoguard עובדים איתכם בשפה עסקית ומעשית והופכים את דרישות הרגולציה לתוכנית עבודה פרקטית , כדי שתדעו בדיוק מה נדרש מכם, מה בעדיפות גבוהה, ואיך מוכיחים עמידה גם מול לקוחות, גם מול הנהלה וגם בביקורות.

סקר ציות מאפשר להבין בדיוק חברות AI מובילות בישראל 2026 איפה הארגון עומד מול דרישות רגולציה ופרטיות.אנחנו בודקים לא רק נהלים, אלא את היישום בפועל, הבקרות והמודעות בארגון.התוצאה היא תוכנית עבודה ברורה שמייצרת ציות אמיתי ומתמשך. שירות ISO של Infoguard מספק ליווי מקצועי ליישום בקרות אבטחת מידע בעולם הבריאות, עם תשתית תפעולית ותיעוד שמאפשרים בקרה ושיפור מתמשך. שירות BCP של Infoguard בונה תוכנית המשכיות עסקית ישימה, מתורגלת ומדידה שמחברת אנשים, תהליכים וטכנולוגיה לרציפות אמיתית בזמן שיבוש. אנחנו מבצעים סקר פערים בהגנת הפרטיות לאתר שמזהה סיכונים ופערים רגולטוריים.מתרגמים את דרישות תיקון 13 לפעולות ישימות וטכנולוגיות.ומלווים את הארגון עד ליישום מלא ועמידה בדרישות החוק. משרדי עורכי דין מחזיקים מידע עסקי, פיננסי ואישי רגיש במיוחד ולכן הפכו ליעד משמעותי עבור קבוצות כופרה ותוקפים. כאשר הדיווח נדרש, יש לדווח לרשות הרלוונטית “ללא דיחוי”, ובמידת האפשר לא יאוחר מ-72 שעות מרגע שהארגון נחשב “מודע” לאירוע.

מתי GDPR חל על ארגון ישראלי

בפועל, מושאי מידע המבקשים מחיקת מידע עליהם מהרשת,הם לרוב עבריינים, אנשים שיוחסה להם עבירה פלילית או קטינים. הזכות להימחק מעניקה חלופה נוספת לזו המעוגנת בחוק הגנת הפרטיות והיא כשהמידע אמת אך לא רלוונטי עוד, וחוסר הרלוונטיות נוצרה עם חלוף הזמן. משמעות הדבר היא שהתוצאה אליה מגיע בית המשפט הישראלי אינה דומה לתוצאה אליה מגיע בית המשפט באירופה על בסיס הזכות להימחק. אם המידע פורסם כדין והוא אמת, בית המשפט יתקשה לראות שיש להסיר את המידע מהרשת. לכאורה החוק מהווה חלופה לעיגון הזכות להימחק במשפט הישראלי, אך בהשוואה לתוצאות האופרטיביות של עיגון הזכות, כפי שנלמד מהדיון באירופה אודותיה, נראה כי חוק הגנת הפרטיות אינו מספק.

ככל שמדובר בעובדים הנמצאים באירופה עליכם להתייחס אליהם כפי שאתם מתייחסים למידע אודות לקוחות הנמצאים שם. יש לבדוק את כל ההסכמים עם כל אותם גופים הנוגעים, נחשפים או מבצעים פעולה כלשהי במידע שלכם (אמאזון AWS, פייסבוק, גוגל, חוות השרתים שלכם, נותני שירותי פרסום כמו משרד הפרסום הדיגיטלי שלכם וכדומה). בישראל אמנם אין חובה חוקית ישירה כזו, אך לאור ניסוח החוק והנחיות הרשות להגנת הפרטיות, מומלץ מאוד לאמץ זאת גם בארץ שכן דרישת ה"הסכמה מדעת" בחוק הגנת הפרטיות לא תתמלא אם לא היתה שקיפות, ניתן המידע הנדרש, הוגדרו המטרות והשימושים ונעשה שימוש לפיהם. לכן למשל הפנינו בסעיף 24 לרגולציה האירופית שאמנם אינו קובע חובה ליצור מדיניות כאמור, אך קובע את אחריות האחראי למידע לעמידה בתקנות.

העלות של שירותי החברה היא זניחה לעומת גובה הקנסות שעלול להטיל האיחוד האירופי על הפרת התקנות. רגולציית ה-GDPR האירופית היא הקרקע עליה קמה חברת הסטארט-אפ הישראלית ביגאיידי (BigID), שפיתחה כלים טכנולוגיים שמאפשרים ללקוחותיה, חברות עסקיות גדולות, לוודא שמאגרי המידע שלהן תואמים לדרישות הרגולציה. "בהקשר לחובות המוטלות על חברות זה היה יוצר הבדל משמעותי. בתפיסה האירופאית, הפרטיות היא זכות יסוד זכות של האדם. המידע הוא שלך, לא של המעסיק, לא של ספק הסלולר. בישראל חוק הגנת הפרטיות מטיל חובת רישום על הבעלים של מאגר מידע, והוא למעשה הבעלים של המידע. זו תפיסה ארכאית”. ד"ר תהילה שוורץ אלטשולר, עמיתה בכירה במכון הישראלי לדמוקרטיה, היא אחת מהם והיא אומרת שהמודעות בישראל לפרטיות, נמוכה. “אנחנו רואים בקרב מקבלי החלטות בכירים בחברות חוסר הבנה, שלא לומר בורות דיגיטלית, ביחס למה מותר ומה אסור להם לעשות עם הנתונים", היא אומרת, "אנחנו רואים את זה במפלגות, כמו מאגר הנתונים של הליכוד שהיה פתוח לכל אדם לפני הבחירות. חברות לא משקיעות מספיק בחינוך העובדים איך לטפל בנתונים”. האירופאים היו הראשונים, ובמאי 2018 נכנסו לתוקף תקנות ה-GDPR שנותנות לציבור שליטה על הנתונים שלו ומטילות סנקציות כבדות על חברות שמתרשלות בניהול נתונים פרטיים של לקוחותיהם.

התאמה שכזו למרות הקשיים שבה, הופכת להיות רכיב שאין לוותר עליו במהלך הפעילות העסקית של העסק שלכם. התעלמות מנושאי הפרטיות (פרטיות כנקודת מוצא ופרטיות עיצוב למשל) עלולה לחשוף גם את ההנהלה לאחריות אישית, ויש לשים לב לכך. בפרקטיקה, יתכן שיש דרכים שיאפשרו לעמוד בדרישות החוק תוך שימוש ב"באנר עוגיות" (להבדיל מחומה בצורה), אולם תהליך זה ראוי שילווה בידי עורך דין המתמצה ברזי החוק. מצד שני, החוק בהחלט מחייב הסכמה לאיסוף מידע אישי ולכן, לרות העדרה של חובה ישירה, ניתן ללמוד עליה מלשון החוק. החוק קובע שהרף המקסימלי לעיצומים יהיה 5% ממחזור העסקאות השנתי, וזה סכום לא מבוןטל לחלקנו. הפרה של החוק עלולה לחשוף את העסק שלכם לעיצומים (קנסות) שיכולים להגיע לסדר גודל של מיליוני שקלים.