GDPR vs תיקון 13 - מה צריך לדעת?
עסקים ישראליים רבים נדרשים לעמוד הן ב-GDPR (לאזרחי EU) והן בתיקון 13 (לאזרחי ישראל). מדריך זה מסביר את ההבדלים והדמיון.
רקע: מהם החוקים?
GDPR (General Data Protection Regulation)
- רגולציה אירופית שנכנסה לתוקף במאי 2018
- חלה על כל עיבוד מידע של אזרחי EU
- גם חברות מחוץ ל-EU חייבות לעמוד בה
תיקון 13 לחוק הגנת הפרטיות
- תיקון לחוק הישראלי מ-1981
- נכנס לתוקף באוגוסט 2025
- חל על עיבוד מידע בישראל
טבלת השוואה מקיפה
| נושא | GDPR | תיקון 13 | |------|------|----------| | תחולה | אזרחי EU בכל מקום | מאגרים בישראל | | הגדרת "מידע אישי" | רחבה מאוד | דומה, מעט צרה יותר | | בסיס חוקי לעיבוד | 6 בסיסים (כולל אינטרס לגיטימי) | הסכמה + חריגים | | חובת DPO | תנאים ספציפיים | רמה בינונית+ | | דיווח על הפרה | 72 שעות | 72 שעות | | זכויות נושא מידע | 8 זכויות | דומה | | קנסות מקסימליים | €20M / 4% מהמחזור | ₪3.2M | | העברת מידע בינ"ל | מוגבל מאוד | פחות מחמיר | | Privacy by Design | חובה מפורשת | מרומז | | PIA | חובה במקרים מסוימים | המלצה |
השוואה מפורטת
1. הגדרת "מידע אישי"
GDPR: כל מידע הנוגע לאדם מזוהה או ניתן לזיהוי, כולל:
- מזהים מקוונים (IP, cookies)
- נתוני מיקום
- מידע גנטי וביומטרי
- דעות ואמונות
תיקון 13: מידע על אדם שניתן לזהותו ממנו, כולל:
- פרטי זיהוי
- מצב בריאותי
- מצב כלכלי
- הרגלי צריכה
הבדל מעשי: GDPR רחב יותר בהגדרה, במיוחד לגבי מזהים מקוונים.
2. בסיס חוקי לעיבוד
GDPR מציע 6 בסיסים:
- הסכמה
- ביצוע חוזה
- חובה חוקית
- אינטרסים חיוניים
- משימה ציבורית
- אינטרס לגיטימי
תיקון 13:
- הסכמה כבסיס עיקרי
- חריגים: חובה חוקית, עניין ציבורי, הגנה על אינטרסים חיוניים
הבדל מעשי: "אינטרס לגיטימי" של GDPR גמיש יותר מהחריגים בחוק הישראלי.
3. חובת מינוי DPO
GDPR - DPO חובה כאשר:
- עיבוד ע"י גוף ציבורי
- פעילות ליבה היא ניטור שיטתי בהיקף גדול
- עיבוד בהיקף גדול של מידע רגיש
תיקון 13 - DPO חובה כאשר:
- מאגר ברמת אבטחה בינונית או גבוהה
- כלומר: מעל 10,000 רשומות או מידע רגיש
הבדל מעשי: תיקון 13 מחמיר יותר - יותר ארגונים יצטרכו DPO.
4. זכויות נושאי מידע
זכויות משותפות: | זכות | GDPR | תיקון 13 | |------|------|----------| | עיון | ✓ | ✓ | | תיקון | ✓ | ✓ | | מחיקה | ✓ | ✓ | | הגבלת עיבוד | ✓ | ✓ | | ניוד | ✓ | ✓ | | התנגדות | ✓ | ✓ |
הבדלים:
- GDPR: זכות לא להיות כפוף להחלטה אוטומטית
- תיקון 13: פחות מפורט בנושא AI
5. העברת מידע בינלאומית
GDPR:
- מותרת רק למדינות עם "Adequacy Decision"
- או עם Standard Contractual Clauses (SCCs)
- או Binding Corporate Rules (BCRs)
- ישראל מוכרת כ"מדינה נאותה"
תיקון 13:
- מגבלות על העברה למדינות ללא הגנה מספקת
- פחות מחמיר מ-GDPR
- דרישות תיעוד
הבדל מעשי: העברה מ-EU לישראל קלה (ישראל מוכרת), אבל מישראל ל-EU עדיין כפופה ל-GDPR.
6. קנסות ועיצומים
GDPR:
- עד €10M או 2% מהמחזור (הפרות קלות)
- עד €20M או 4% מהמחזור (הפרות חמורות)
- הגבוה מביניהם
תיקון 13:
- עד ₪3.2 מיליון לתאגיד
- עד ₪320,000 ליחיד
- צווי הפסקה ופרסום
הבדל מעשי: GDPR מאיים יותר לחברות גדולות בגלל האחוז מהמחזור.
למי נדרשת עמידה בשניהם?
חייבים בשניהם:
- חברות ישראליות עם לקוחות ב-EU
- חברות ישראליות המעבדות מידע של אזרחי EU
- חברות עם אתר/אפליקציה הפונים לשוק האירופי
- חברות עם שותפים/ספקים אירופיים
רק תיקון 13:
- חברות המשרתות רק את השוק הישראלי
- ללא קשר לאזרחי EU
אסטרטגיה: איך לעמוד בשניהם ביעילות?
גישה 1: עמידה ב-GDPR כברירת מחדל
יתרונות:
- GDPR מחמיר יותר ברוב הנושאים
- עמידה ב-GDPR בדרך כלל מכסה את תיקון 13
- סטנדרט אחד לכל הארגון
חסרונות:
- עלות גבוהה יותר
- מורכבות מיותרת לפעילות מקומית בלבד
גישה 2: מיפוי לפי קהל יעד
לנתונים של אזרחי EU:
- עמידה מלאה ב-GDPR
- DPA (Data Processing Agreement) עם ספקים
- SCCs להעברות
לנתונים של אזרחי ישראל:
- עמידה בתיקון 13
- DPO לפי הדרישות
- נהלים מקומיים
המלצות מעשיות
- מפו את הנתונים - מאיפה מגיעים? של מי?
- זהו את החוק החל - לכל סוג נתונים
- יישרו כלפי מעלה - במקרה של ספק, עמדו בדרישה המחמירה
- תעדו הכל - גם GDPR וגם תיקון 13 דורשים תיעוד
- בנו תשתית גמישה - מערכות שיכולות לעמוד בשתי הרגולציות
סיכום
GDPR ותיקון 13 חולקים עקרונות רבים, אבל יש הבדלים משמעותיים. ארגונים ישראליים הפועלים גם באירופה צריכים להכיר את שתי המערכות ולבנות תוכנית ציות מותאמת.
צריכים עזרה בעמידה ב-GDPR ותיקון 13? LLUMINATE מתמחה בליווי ארגונים בינלאומיים לעמידה בשתי הרגולציות.