GDPR ונתונים אישיים: מה חייב עסק ישראלי לעשות בפועל
רוב העסקים הישראלים חשופים לקנסות GDPR ולא יודעים את זה. הנה מה שצריך לעשות עכשיו, בפועל.
GDPR ונתונים אישיים: מה חייב עסק ישראלי לעשות בפועל
אם יש לך לקוח אחד מאירופה — אתה כבר כפוף ל-GDPR. לא אופציה, לא "אולי".
תשובה ישירה: עסק ישראלי שעובד עם לקוחות אירופאיים חייב לעמוד ב-GDPR במקביל לחוק הגנת הפרטיות הישראלי. הקנס המקסימלי: 20 מיליון אירו או 4% מהמחזור השנתי הגלובלי — הגבוה מבין השניים. ב-2025 הרשות להגנת הפרטיות בישראל גם הגבירה אכיפה מקומית. יש מה לעשות, וזה לא מסובך כמו שזה נשמע.
ישראל הוכרה כ"מדינה מספקת" — זה יתרון שרוב העסקים לא מנצלים
האיחוד האירופי הכיר בישראל כמדינה שמספקת הגנת פרטיות ברמה מספקת. בפועל זה אומר שהעברת נתונים אישיים בין ישראל לאירופה מותרת ללא מנגנוני הגנה נוספים — בתנאי שאתה עצמך עומד בחוק הישראלי.
הבעיה: חוק הגנת הפרטיות הישראלי מ-1981 עודכן ב-2023, אבל עדיין פחות מחמיר מ-GDPR. אם אתה עושה עסקים עם אירופאים, אתה צריך לעמוד בסטנדרט הגבוה יותר — כלומר GDPR — בכל מקרה.
4 דברים שאתה חייב לעשות עכשיו
1. מיפוי נתונים — לדעת מה יש לך
לפני שאתה יכול להגן על נתונים, אתה חייב לדעת איפה הם. בלקוחות שלי אני תמיד מתחיל עם שאלה פשוטה: "רשום לי כל מקום שנתון אישי של לקוח נוגע בו." התשובה הממוצעת? 11 מערכות שונות. CRM, דוא"ל, ווטסאפ עסקי, גוגל שיטס, מערכת חשבוניות, ועוד.
מיפוי נתונים הוא לא פרויקט של חצי שנה. עם הכלים הנכונים — שלוש ישיבות של שעה כל אחת.
2. מדיניות פרטיות שאנשים יכולים לקרוא
לא עמוד משפטי שאיש לא קורא. GDPR מחייב שמדיניות הפרטיות תהיה ברורה, נגישה, ובשפה שלקוחות מבינים. אם שכרת עורך דין שכתב 4,000 מילים — קחו את זה וצמצמו לגרסה בני אדם תוך שימוש בעברית פשוטה.
מה חייב להיות שם: אילו נתונים אתם אוספים, למה, כמה זמן אתם שומרים אותם, ואיך לקוח יכול לבקש למחוק אותם.
3. ניהול הסכמות — לא מספיק לסמן וי
HGDPR דורש הסכמה אקטיבית, מדויקת, וניתנת לביטול בקלות. תיבת סימון מסומנת מראש? פסול. הסכמה ל"שיווק" שמכסה גם מכירה לצדדים שלישיים? פסול.
בפרקטיקה: כל טופס לידים, הרשמה לרשימת תפוצה, ואיסוף קוקיז — צריך הסכמה נפרדת וברורה לכל מטרה.
4. הסכמי עיבוד נתונים עם ספקים
אם אתה משתמש ב-CRM, מערכת שיווק, ספק ענן — הם עיבוד נתונים עבורך. GDPR מחייב חוזה כתוב (DPA — Data Processing Agreement) עם כל ספק כזה. רוב חברות ה-SaaS הגדולות מציעות DPA סטנדרטי באתר שלהן. לפני שחתמת על חוזה עם ספק ישראלי קטן — שאל אם יש להם DPA.
מה קורה כשמישהו מבקש למחוק את הנתונים שלו
זכות המחיקה ("הזכות להישכח") היא אחד הסעיפים שהכי הרבה עסקים לא מוכנים אליו. לפי GDPR, יש לך 30 יום להשיב לבקשה ולבצע אותה.
בפועל זה אומר: מחיקה מה-CRM, מרשימת הדיוור, מגוגל שיטס שמישהו בנה פעם, מהמערכת של הנהלת החשבונות — חוץ מנתונים שיש חובה חוקית לשמור אותם (כמו חשבוניות לרשויות המס).
אם אין לך תהליך מוגדר לזה — כנראה שלא תעמוד ב-30 יום. תבנו את התהליך לפני שמישהו שואל.
דוגמה אמיתית: חברת SaaS ישראלית שנחסכה לה הצרה
לקוח שלי — חברת תוכנה ישראלית עם 40% מהלקוחות מגרמניה ומהולנד — פנה אלי אחרי שקיבל מכתב מלקוח אירופאי שדרש פירוט מלא על כל הנתונים שנשמרו עליו.
גילינו ש-6 מערכות שונות מחזיקות נתונים על הלקוח הזה, ואין תהליך מרכזי לריכוז המידע. בנינו תהליך אוטומטי שמאחד את כל נתוני לקוח מ-6 מערכות תוך 4 שעות — בלחיצת כפתור. עלות הבנייה: כ-18,000 ש"ח. החלופה — קנס או תביעה — לא שווה להכנס לשם.
הם גם גילו שמחזיקים נתונים על לקוחות שעזבו לפני 7 שנים. לא צריך. מחקו.
ציות לא חייב לעלות הון — אבל חוסר ציות כן
רוב העסקים הקטנים והבינוניים בישראל יכולים להגיע לרמת ציות סבירה תוך 3-4 שבועות, עם השקעה של 15,000-35,000 ש"ח כולל ייעוץ, תהליכים, ותיעוד. זה לא פרויקט שנה.
מה שעולה יותר: עורך דין שמנסח מסמכים בלי לבנות תהליכים. מה שעולה הכי הרבה: להמתין עד שמישהו מגיש תלונה.
אם אתה לא בטוח מה רמת החשיפה שלך — נדבר. שיחת ייעוץ של 30 דקות, חינם, בלי מחויבות. בסוף השיחה תדע בדיוק איפה אתה עומד ומה צריך לתקן.
[לתיאום שיחה ← alpha-mf.com/consult]
צריכים עזרה ליישם את זה בעסק?
Alpha MF מתמחה באוטומציה, AI, ואינטגרציות. שיחת ייעוץ ראשונה — 30 דקות חינם.
דברו איתנו ←