Skip to main content
ציות אסטרטגי8 דקות קריאהNew

GDPR, NIS2 וחוקי פרטיות מקומיים: מה חייבים לדעת עסקים קטנים ביוון, ישראל וספרד

"מדריך בשפה פשוטה לציות לתקנות הגנת מידע לעסקים קטנים ביוון, ישראל וספרד - מה כל מדינה דורשת, מה הקנסות האמיתיים ומה ההגדרה המינימלית שנדרשת."

מחבר

Lior Refael

פורסם

Jan 20, 2026

חזרה למאמרים

למה ציות מרגיש קשה יותר ממה שהוא צריך

רוב בעלי העסקים הקטנים ביוון, בישראל ובספרד יודעים שהם צריכים להיות "תואמי GDPR" - אבל הדרישות האמיתיות קבורות בשפה משפטית, ורוב היועצים או מפשטים יתר על המידה או מציפים. המאמר הזה חותך את שניהם.

הגרסה הקצרה: אם אתם מחזיקים נתונים אישיים על לקוחות, עובדים או אנשי קשר ביוון או בספרד, GDPR חל. אם אתם בישראל, חוק הגנת הפרטיות חל. ואם העסק שלכם מחובר ללקוחות ב-EU מישראל, גם GDPR חל. אף אחד מאלה לא דורש הסמכה יקרה - הם דורשים תהליכים מתועדים והיגיינת IT בסיסית.

מה כל מדינה באמת דורשת

מדינהחוק עיקרידרישת מפתח לעסק קטןקנסות
יווןGDPR (דרך HDPA)מדיניות פרטיות, הודעה על פרצה תוך 72 שעות, בסיס חוקי לעיבודעד 20M יורו או 4% מהמחזור העולמי
ישראלחוק הגנת הפרטיות + תקנותסיווג רמת אבטחה של מאגרים, מחיקה לפי בקשה, רישום מאגרים מסוימיםעד 226,000 ש"ח, ואחריות פלילית במקרים חמורים
ספרדGDPR + LOPD-GDDהסכמת cookies, הודעות פרטיות מחמירות, DPO אם מעבדים בקנה מידה גדולעד 20M יורו או 4% מהמחזור; AEPD אוכפת באופן פעיל

GDPR מול חוק הפרטיות הישראלי - ההבדל בפועל

עסקים ישראלים שעובדים עם לקוחות אירופאים כפופים לשתי מערכות חוק במקביל.

חוק הגנת הפרטיות הישראלי (תיקון 2025) דורש רישום מאגרי מידע, הודעה לנשאי נתונים וזכות עיון. GDPR דורש הרבה יותר: בסיס משפטי לכל עיבוד, שקיפות מלאה, ניידות נתונים וזכות מחיקה תוך 30 יום.

יוון וספרד פועלות ישירות תחת GDPR עם רשויות פיקוח לאומיות פעילות (HDPA ו-AEPD בהתאמה) שהנפיקו קנסות לעסקים קטנים בגין הפרות תיעוד בסיסיות.

6 הדברים שעסק קטן חייב לעשות לציות

1. מפת נתונים (Record of Processing Activities)

תיעוד של אילו נתונים אישיים מוחזקים, לאיזו מטרה, כמה זמן ואצל אילו ספקים. נדרש לכל עסק ב-EU ולעסקים ישראלים המעבדים נתוני אזרחי EU.

2. בסיס משפטי לכל עיבוד נתונים

הסכמה, חוזה, אינטרס לגיטימי - כל פעולת עיבוד נתונים צריכה בסיס מוגדר. ללא תיעוד זה, אי-ציות הוא אוטומטי.

3. הסכמי עיבוד נתונים (DPA) עם כל ספק

כל כלי SaaS שמחזיק נתוני לקוח - CRM, פלטפורמת שיווק, ענן - חייב DPA חתום. M365 ו-Google Workspace כוללים אותם מובנים.

4. נוהל תגובה לפרצת מידע

GDPR דורש הודעה לרשות הפיקוח תוך 72 שעות מגילוי פרצה. ללא נוהל מוגדר מראש, 72 שעות לא מספיקות.

5. אחסון נתונים באזור גיאוגרפי נכון

נתוני אזרחי EU צריכים להישאר ב-EU (או במדינות שקיבלו החלטת נאותות). M365 ו-Google Workspace מציעים בחירת אזור EU ברישיון Business.

6. תהליך לטיפול בבקשות נושאי מידע (DSARs)

גישה, מחיקה, תיקון - 30 יום לטיפול. Microsoft Purview ו-Google Vault הופכים זאת מסיוט ידני לתהליך של 15 דקות.

ההגדרה הטכנית שמכסה 80% מהדרישות

רכיבכלימה הוא מכסה
אחסון נתוניםM365 / Google Workspace (EU region)ריבונות מידע, הצפנה
בקרת גישהEntra ID / Google IAMעקבות ביקורת, הרשאות מינימליות
ניהול מכשיריםIntune / Google Endpointהצפנת נקודות קצה
יומן ביקורתMicrosoft Purview / Google VaulteDiscovery, DSARs
גיבוי מוצפןAcronis Cyber Protectשחזור נתונים, המשכיות

מה שרוב העסקים הקטנים מפספסים הוא לא הכלים - אלא התיעוד. רגולטור לא מתרגש מזה שאתם משתמשים בתוכנה טובה; הוא רוצה לראות שאתם יודעים אילו נתונים אתם מחזיקים, למה אתם מחזיקים אותם, ומה הייתם עושים אם משהו משתבש.

רשימת בדיקה ל-2026 לפי מדינה

ישראל: רישום מאגר מידע ברשות הגנת הפרטיות, הסכם DPA עם כל ספק, מדיניות פרטיות מעודכנת לתיקון 2025.

יוון: HDPA דורשת מינוי DPO אם מעבדים נתוני בריאות, מיני, פלילי. לעסקים קטנים רגילים - ROPA ו-DPAs מספיקים.

ספרד: AEPD פעילה במיוחד - קנסות לעסקים קטנים ב-2024 על cookies ללא הסכמה ו-privacy notices חסרות. עדיפות לסדר: מדיניות קוקיז, ROPA, DPAs.

מילון מושגים

היכן אנחנו פועלים

אנחנו מספקים את העבודה הזו לעסקים קטנים בישראל ואירופה.

סקירת השפעה

מה זה אומר לעסק שלכם

הימנעות מקנסות

ערך עסקי

קנסות GDPR לעסקים קטנים נדירים - אך קורים כשאין תיעוד ואין נוהל פרצה. הגדרת ציות בסיסית מסירה כמעט את כל הסיכון הרגולטורי.

יישום טכני

הגדרת אחסון נתונים ב-M365/Google Workspace, נוהל הודעת פרצה, הסכמי עיבוד נתונים עם כל הספקים.

זכייה באמון לקוחות

ערך עסקי

לקוחות בתעשיות מוסדרות (משפטים, פיננסים, בריאות) מבקשים יותר ויותר ראיות לציות לפני חתימה. הגדרה נקייה היא יתרון מסחרי.

יישום טכני

מדיניות פרטיות, מפת נתונים מתועדת, יומן DPA של ספקים ועקבות ביקורת בקרת גישה.

טיפול מהיר בבקשות

ערך עסקי

GDPR מעניק לאנשים פרטיים זכות לגשת לנתוניהם או למחוק אותם תוך 30 יום. ללא תהליך, זה הופך לבלאגן. עם הכלים הנכונים - 15 דקות.

יישום טכני

Microsoft Purview או Google Vault לטיפול בבקשות נושאי מידע, הגדרת מדיניות שמירה וגישה ליומן ביקורת.

לא בטוחים אם העסק שלכם עומד בדרישות?

קבעו שיחה חינמית של 30 דקות. נעבור על הגדרת הנתונים הנוכחית שלכם ונגיד לכם בכנות מה חסר - ומה לא צריך לשנות.