חוק הגנת הפרטיות 1981 vs GDPR
מדריך השוואה מעשי לעסק ישראלי המשרת לקוחות באיחוד האירופי. עבור אדריכלים, מנהלי מוצר, יועצי משפטים, ו-compliance officers. נכון ל-2026-06.
TL;DR
חוק הגנת הפרטיות הישראלי 5741-1981 מבוסס מבנית על Directive 95/46 (קודמת GDPR) — לכן דומה ב-structure אך פחות חמור ב-transparency, פחות פירוט ב-rights, וקנסות נמוכים יותר. GDPR נוקשה יותר בכל אספקט: legitimate interest balancing, DPIA חובה, breach 72ש', קנסות עד 4% ממחזור גלובלי. ישראל מחזיקה ב-EU adequacy decision (2011, מחודש 2024) — מאפשר העברת מידע בלי SCC. עסק ישראלי שמשרת EU חייב לעמוד בשני.
1. תחולה + Adequacy Decision
Adequacy Decision: ישראל מוכרת ע"י נציבות האיחוד מאז 2011 כספקת "רמת הגנה הולמת". זה אומר שעסק אירופאי יכול להעביר מידע אישי לישראל ללא צורך ב-SCC או כלים אחרים. ה-Decision חודש ב-2024 לאחר עדכון תקנות הגנת הפרטיות (אבטחת מידע) 2017. אבל: ההכרה תלויה בכך שישראל ממשיכה לחזק את חוקיה — צפויה רביזיה חדשה אם הצעות החוק 2024-2026 לא יתקדמו.
2. בסיסים משפטיים לעיבוד
| בסיס | חוק 1981 IL | GDPR EU |
|---|
| הסכמה | סעיף 1: הסכמה מודעת. נדרשת ספציפית לרגישות גבוהה. | סעיף 6(1)(a): freely given, specific, informed, unambiguous |
| ביצוע חוזה | סעיף 1 — חוזה כתוב או משתמע | סעיף 6(1)(b) |
| חובה משפטית | תקנות + פקודות ספציפיות | סעיף 6(1)(c) |
| אינטרסים חיוניים | לא מפורש אך פסיקה תומכת | סעיף 6(1)(d) |
| אינטרס לגיטימי (legitimate interest) | קיים בפסיקה (Goldenberg 2012) אך לא מקודד כבסיס עצמאי | סעיף 6(1)(f) — מקודד עם balancing test |
הבדל מעשי: ב-GDPR ניתן להישען על legitimate interest כ-fallback כאשר הסכמה לא פרקטית (anti-fraud, IT security). ב-IL — נדרש לעתים תכופות הסכמה מפורשת בכל מקרה ספציפי, או חוק/תקנה ספציפית.
3. מאגרי מידע + רישום
| אספקט | חוק 1981 | GDPR |
|---|
| חובת רישום | כן — חובת רישום מאגרי מידע ברשם מאגרי המידע (במקרים מסוימים) | אין רישום מרכזי; יש Record of Processing Activities (Art. 30) לעצמכם |
| DPO / ממונה הגנת פרטיות | חובה לארגונים מסוימים (היקף גדול, מידע רגיש) | חובה ב-3 מקרים (Art. 37): רשות ציבורית, large-scale monitoring, large-scale sensitive data |
| תיעוד פעולות עיבוד | נדרש על פי תקנות אבטחת מידע 2017 | חובה Art. 30 לכל ארגון > 250 עובדים |
| DPIA | נדרש למאגרים גדולים / רגישים — תקנות אבטחת מידע | חובה Art. 35 ל-high-risk processing (פירוט מדויק) |
4. זכויות נושאי הנתונים
| זכות | חוק 1981 | GDPR |
|---|
| זכות עיון | סעיף 13 — Subject Access Request | Art. 15 — היקף רחב יותר (כולל "logic of automated decisions") |
| זכות תיקון | סעיף 14 | Art. 16 |
| זכות מחיקה ("שכחה") | סעיף 14 (בנסיבות מוגבלות) | Art. 17 — עילות רחבות יותר |
| זכות הגבלת עיבוד | לא מפורשת | Art. 18 — מפורשת |
| זכות ניידות (data portability) | חסרה חסרה | Art. 20 — קיימת קיימת |
| זכות התנגדות להחלטות אוטומטיות | הצעות חוק 2024 — בתהליך | Art. 22 — רחב; כולל החלטות "based solely on automated processing" |
| מועד תשובה לבקשה | 30 יום (תקנות 2017) | 30 יום (90 במקרים מורכבים) |
5. AI processing (2024-2026 amendments)
| דרישה | חוק 1981 (הצעות 2024-2026) | GDPR + EU AI Act |
|---|
| הודעה מפורשת על עיבוד AI | בתהליך חקיקה | קיים — Art. 13 GDPR + Art. 13 EU AI Act (high-risk) |
| הסכמה לאימון מודל | נדרש כללית; הצעת חוק AI ישראלית 2024 לא עברה עדיין | נדרש legal basis; DPIA חובה ל-high-risk |
| הסבריות החלטות (right to explanation) | לא מקודד עדיין | "meaningful information about the logic" (Art. 22.3) |
| Algorithmic Impact Assessment | בתקנות אבטחת מידע — באופן עקיף | DPIA Art. 35 GDPR + AIA Art. 9 EU AI Act |
6. Breach notification
| אספקט | חוק 1981 / תקנות 2017 | GDPR |
|---|
| דיווח לרגולטור | תוך זמן סביר — תקנות אבטחת מידע סעיף 11; הוצע 72 שעות בהצעות חוק 2024 | 72 שעות (Art. 33) — קודמת מאוד |
| דיווח לנושאי הנתונים | נדרש "כאשר יש סיכון של ממש לפרטיותם" | "בלי דחייה לא מוצדקת" אם סיכון גבוה (Art. 34) |
| רגולטור | הרשות להגנת הפרטיות (RMOT) | Data Protection Authorities לאומיות |
7. קנסות וסנקציות
| הפרה | חוק 1981 | GDPR |
|---|
| הפרה בסיסית | עד ₪320,000 (משתנה — תיקון 13 משנת 2023 הגדיל; הצעות 2024 ייקחו ל-₪2M+) | עד €10M או 2% מחזור גלובלי |
| הפרה חמורה | עד ₪1M (בהצעות חוק); מאסר עד 5 שנים בעבירות פליליות | עד €20M או 4% מחזור גלובלי |
| תביעות אזרחיות (class action) | חוק תובענות ייצוגיות — נפוצות בישראל | פיצויים אישיים אפשריים; class action תלוי מדינה |
8. הצעות חוק 2024-2026 — מה מתבשל
- תיקון 14 לחוק הגנת הפרטיות — מציע התאמה מקיפה ל-GDPR: legitimate interest מקודד, זכות ניידות, DPO רחב יותר, breach 72ש'.
- חוק ה-AI הישראלי (טיוטה, 2024) — הצעה לרגולציה לפי gradation דומה ל-EU AI Act, אך גמישה יותר.
- תיקון לאיסור על שיתוף מידע ביומטרי ללא חוק מסמיך.
- כעת מעודכן: תקנות אבטחת מידע (תיקון תשפ"ה) 2025 הרחיבו דרישות logging + audit לעיבוד גדול.
Decision rule
- פועלים רק בישראל — מתמקדים בחוק 1981 + תקנות אבטחת מידע 2017. חובה: רישום מאגרים, DPO (לפי scale), בקרות אבטחה, breach handling.
- פועלים רק ב-EU או לאזרחי EU — מתמקדים ב-GDPR. חובה: DPIA ל-high-risk, legal basis לכל עיבוד, breach 72ש', DPO ב-3 המקרים.
- פועלים בשני השווקים — דרך פרקטית: בנו את שכבת ה-compliance ל-GDPR (מקיף יותר ב-rights) + הוסיפו רישום מאגרים IL + DPO לפי תקנות אבטחת מידע. מסמך DPA אחד עם תוספות לשתי החקיקות.
- בונים מערכת AI על מידע אישי — שתי הרגולציות דורשות notice + הסכמה. תכנון: separate consent ל-AI training, DPIA per system, תיעוד עיבוד, הסבריות.
- מעבירים מידע מ-EU לישראל — Adequacy Decision מ-2011 (חודש 2024) מאפשר העברה בלי SCC. ודאו שאתם מודעים שה-decision עלול להישלל אם לא יתקדמו הצעות חוק 2024-2026.
SLAtech מסייעת לבנות baseline compliance תחת שתי החקיקות יחדיו: Trust portal · EU AI Act Checklist · צרו קשר ›