למה ציות מרגיש קשה יותר ממה שהוא צריך
רוב בעלי העסקים הקטנים ביוון, בישראל ובספרד יודעים שהם צריכים להיות "תואמי GDPR" - אבל הדרישות האמיתיות קבורות בשפה משפטית, ורוב היועצים או מפשטים יתר על המידה או מציפים. המאמר הזה חותך את שניהם.
הגרסה הקצרה: אם אתם מחזיקים נתונים אישיים על לקוחות, עובדים או אנשי קשר ביוון או בספרד, GDPR חל. אם אתם בישראל, חוק הגנת הפרטיות חל. ואם העסק שלכם מחובר ללקוחות ב-EU מישראל, גם GDPR חל. אף אחד מאלה לא דורש הסמכה יקרה - הם דורשים תהליכים מתועדים והיגיינת IT בסיסית.
מה כל מדינה באמת דורשת
| מדינה | חוק עיקרי | דרישת מפתח לעסק קטן | קנסות |
|---|---|---|---|
| יוון | GDPR (דרך HDPA) | מדיניות פרטיות, הודעה על פרצה תוך 72 שעות, בסיס חוקי לעיבוד | עד 20M יורו או 4% מהמחזור העולמי |
| ישראל | חוק הגנת הפרטיות + תקנות | סיווג רמת אבטחה של מאגרים, מחיקה לפי בקשה, רישום מאגרים מסוימים | עד 226,000 ש"ח, ואחריות פלילית במקרים חמורים |
| ספרד | GDPR + LOPD-GDD | הסכמת cookies, הודעות פרטיות מחמירות, DPO אם מעבדים בקנה מידה גדול | עד 20M יורו או 4% מהמחזור; AEPD אוכפת באופן פעיל |
GDPR מול חוק הפרטיות הישראלי - ההבדל בפועל
עסקים ישראלים שעובדים עם לקוחות אירופאים כפופים לשתי מערכות חוק במקביל.
חוק הגנת הפרטיות הישראלי (תיקון 2025) דורש רישום מאגרי מידע, הודעה לנשאי נתונים וזכות עיון. GDPR דורש הרבה יותר: בסיס משפטי לכל עיבוד, שקיפות מלאה, ניידות נתונים וזכות מחיקה תוך 30 יום.
יוון וספרד פועלות ישירות תחת GDPR עם רשויות פיקוח לאומיות פעילות (HDPA ו-AEPD בהתאמה) שהנפיקו קנסות לעסקים קטנים בגין הפרות תיעוד בסיסיות.
6 הדברים שעסק קטן חייב לעשות לציות
1. מפת נתונים (Record of Processing Activities)
תיעוד של אילו נתונים אישיים מוחזקים, לאיזו מטרה, כמה זמן ואצל אילו ספקים. נדרש לכל עסק ב-EU ולעסקים ישראלים המעבדים נתוני אזרחי EU.
2. בסיס משפטי לכל עיבוד נתונים
הסכמה, חוזה, אינטרס לגיטימי - כל פעולת עיבוד נתונים צריכה בסיס מוגדר. ללא תיעוד זה, אי-ציות הוא אוטומטי.
3. הסכמי עיבוד נתונים (DPA) עם כל ספק
כל כלי SaaS שמחזיק נתוני לקוח - CRM, פלטפורמת שיווק, ענן - חייב DPA חתום. M365 ו-Google Workspace כוללים אותם מובנים.
4. נוהל תגובה לפרצת מידע
GDPR דורש הודעה לרשות הפיקוח תוך 72 שעות מגילוי פרצה. ללא נוהל מוגדר מראש, 72 שעות לא מספיקות.
5. אחסון נתונים באזור גיאוגרפי נכון
נתוני אזרחי EU צריכים להישאר ב-EU (או במדינות שקיבלו החלטת נאותות). M365 ו-Google Workspace מציעים בחירת אזור EU ברישיון Business.
6. תהליך לטיפול בבקשות נושאי מידע (DSARs)
גישה, מחיקה, תיקון - 30 יום לטיפול. Microsoft Purview ו-Google Vault הופכים זאת מסיוט ידני לתהליך של 15 דקות.
ההגדרה הטכנית שמכסה 80% מהדרישות
| רכיב | כלי | מה הוא מכסה |
|---|---|---|
| אחסון נתונים | M365 / Google Workspace (EU region) | ריבונות מידע, הצפנה |
| בקרת גישה | Entra ID / Google IAM | עקבות ביקורת, הרשאות מינימליות |
| ניהול מכשירים | Intune / Google Endpoint | הצפנת נקודות קצה |
| יומן ביקורת | Microsoft Purview / Google Vault | eDiscovery, DSARs |
| גיבוי מוצפן | Acronis Cyber Protect | שחזור נתונים, המשכיות |
מה שרוב העסקים הקטנים מפספסים הוא לא הכלים - אלא התיעוד. רגולטור לא מתרגש מזה שאתם משתמשים בתוכנה טובה; הוא רוצה לראות שאתם יודעים אילו נתונים אתם מחזיקים, למה אתם מחזיקים אותם, ומה הייתם עושים אם משהו משתבש.
רשימת בדיקה ל-2026 לפי מדינה
ישראל: רישום מאגר מידע ברשות הגנת הפרטיות, הסכם DPA עם כל ספק, מדיניות פרטיות מעודכנת לתיקון 2025.
יוון: HDPA דורשת מינוי DPO אם מעבדים נתוני בריאות, מיני, פלילי. לעסקים קטנים רגילים - ROPA ו-DPAs מספיקים.
ספרד: AEPD פעילה במיוחד - קנסות לעסקים קטנים ב-2024 על cookies ללא הסכמה ו-privacy notices חסרות. עדיפות לסדר: מדיניות קוקיז, ROPA, DPAs.