העברת מידע לחו"ל - מרכז ידע

כל שימוש ב-Google Analytics, פיקסל פייסבוק, או Shopify - מעביר מידע של לקוחותיך לשרתים בחו"ל. החוק הישראלי קובע: לא מספיק לציין שהמידע עובר - צריך להבטיח שהוא מוגן.

מה נחשב "העברת מידע לחו"ל"?

כל מעבר של מידע אישי לשרת הממוקם מחוץ לגבולות ישראל - ללא קשר למדינת ההתאגדות של החברה. אם נתוני האנליטיקס מעובדים בשרתים אמריקאים - ההעברה היא לארה"ב, גם אם לגוגל יש סניף בת"א. מיקום השרת, לא מיקום המטה, הוא הגורם הקובע.

מה דורש החוק הישראלי?

תקנות הגנת הפרטיות (העברת מידע למאגרי מידע מחוץ לגבולות המדינה), תשס"א-2001, בשילוב תיקון 13: המדינה המקבלת חייבת להבטיח הגנה שאינה פחותה מזו שבישראל. ארבעה מסלולים מעשיים:

  • הגנה שקולה - המדינה מוכרת כבעלת חקיקה מקבילה (EU, קנדה, שוויץ ועוד)
  • SCCs - Standard Contractual Clauses; הסכם חוזי סטנדרטי מאושר ע"י הרשות
  • BCRs - Binding Corporate Rules; רק לתאגידים רב-לאומיים
  • DPF (Data Privacy Framework) - מסלול ייחודי לחברות אמריקאיות הרשומות ברשימת המסגרת. חברה אמריקאית שרשומה ב-DPF נחשבת כמי שמספקת הגנה שקולה - ומקל משמעותית על ההעברה לאותה חברה

הסתמכות על הסכמת המשתמש בלבד - מותרת רק כאמצעי אחרון ובנסיבות חריגות.

מדינות עם הגנה שקולה - ניתן להעביר ללא SCCs

כל מדינות האיחוד האירופי + EEA (נורווגיה, איסלנד, ליכטנשטיין), בריטניה, שוויץ, קנדה (ארגונים הכפופים ל-PIPEDA), ניו זילנד, ארגנטינה, אורוגוואי, דרום קוריאה, יפן.

ארה"ב אינה מדינה מאושרת. לכן Google, Meta, Mailchimp ו-AWS מחייבים SCCs פעילים - אלא אם החברה רשומה ב-DPF (ראה לעיל).

דוגמה מעשית: מרפאה המשתמשת בתוכנת ניהול תורים עם שרתים בגרמניה - מעבירה מידע רפואי למדינה מאושרת (EU), ואינה נדרשת ל-SCCs נפרדים. לעומת זאת, תוכנה עם שרתים בארה"ב שאינה רשומה ב-DPF - דורשת DPA + SCCs, ולמידע רפואי: גם וידוא שהגיבויים מוצפנים ובאזור מאושר.

ספקים נפוצים - מה לעשות בפועל

ספקמדינהמנגנוןפעולה נדרשת
Google Analytics / Workspace / Cloudארה"בSCCs + Data Processing Termsהפעל Data Processing Terms בחשבון Google; ציין ב-PP
Meta - Pixel, Ads, Instagramארה"בData Processing Addendumחתום על DPA ב-Meta Business Manager
Shopifyקנדה (מדינה מאושרת)מובנה בתנאי שימושהפעל הגדרות Privacy / GDPR ב-Shopify Admin
Mailchimp / Klaviyo / ActiveCampaignארה"בSCCsהפעל Data Processing Agreement בהגדרות החשבון
AWS / Google Cloud Platform / Azureארה"ב / גלובליSCCs + BCRsבחר אזור נתונים ב-EU אם אפשרי; הפעל DPA בחשבון
WooCommerce (תלוי חברת אחסון)תלויתלוי בחברת האחסוןבדוק מיקום שרתים + חתום DPA עם חברת האחסון

שאלות לספק הענן - The Vendor Audit

בעל עסק מול חברת ענן גדולה מרגיש לעתים חסר אונים. השאלות הבאות מיועדות לחלץ תשובה ברורה - כן/לא, או מסמך:

  • מיקום פיזי

    "באיזה Region המידע שלי מאוחסן כברירת מחדל?"

    eu-west-1 (אירלנד) = מדינה מאושרת; us-east-1 (ארה"ב) = נדרש DPA/SCCs

  • הסכם עיבוד

    "האם תנאי השימוש שלכם כוללים Data Processing Addendum (DPA)?"

    DPA = הסכם שמירת פרטיות; רוב החברות מציעות אותו בהגדרות החשבון

  • רישום DPF (ארה"ב)

    "האם החברה רשומה תחת ה-Data Privacy Framework?"

    בדוק ב-dataprivacyframework.gov - חברה רשומה נחשבת הגנה מספקת עבור ישראל

  • גיבויים (קריטי למרפאות)

    "האם הגיבויים מוצפנים ובאיזו מדינה הם מאוחסנים?"

    מידע רפואי - הגיבוי עצמו חייב להיות בטריטוריה מאושרת

מה לכתוב במדיניות הפרטיות

לא מספיק לכתוב "אנחנו משתמשים בגוגל". נדרש לפרט:

  • רשימת הספקים שמקבלים מידע
  • מדינת השרתים של כל ספק
  • המנגנון להבטחת ההגנה (SCCs / מדינה מאושרת / DPA)
  • דרך פנייה לקבלת מידע על ההעברה

צ׳קליסט - העברת מידע לחו"ל

  • מיפוי כל הספקים שמקבלים מידע + מדינת שרתיהם
  • וידוא SCCs / DPA פעיל לכל ספק מחוץ למדינות המאושרות
  • ציון במדיניות הפרטיות: שם ספק, מדינה, מנגנון הגנה
  • הפעלת הגדרות Privacy / GDPR בכל פלטפורמה (Shopify, Google, Meta)
  • אין להסתמך על הסכמת המשתמש כמנגנון יחיד להעברה
  • עדכון מדיניות הפרטיות בכל הוספת ספק חדש

מדריכים קשורים: מרפאות ומטפלים · חנויות אונליין