ספקי ענן בינלאומיים כבר לא מגנים עליכם מפני הרשות הרשות להגנת הפרטיות — וכנראה שלא ידעתם על זה
- jcatranlaw
- לפני דקה (1)
- זמן קריאה 3 דקות
מאת: עו"ד יוסי כתראן
אם החברה שלכם מאחסנת מידע ב-AWS, Azure, Salesforce או כל ספק SaaS זר — יש סיכוי טוב שאתם כרגע בחשיפה רגולטורית. לא בגלל שעשיתם משהו רשלני. אלא בגלל שכללי המשחק השתנו, ואף אחד לא שלח לכם מייל על זה.
באפריל 2026, בשקט ובלי כותרות ראשיות, פרסמה הרשות להגנת הפרטיות מסמך שמשנה את התמונה לחלוטין: גילוי דעת חדש בנושא העברת מידע אישי מחוץ לגבולות ישראל.
מדובר בגילוי דעת חדש בנושא העברת מידע אישי מחוץ לישראל — מסמך שלמעשה משנה את האופן שבו חברות ישראליות אמורות לעבוד מול AWS, Azure, Google Cloud, Salesforce וספקי SaaS זרים נוספים.
אם עד היום ארגונים רבים הסתפקו בחתימה על DPA סטנדרטי של ספק הענן והניחו שזה "מספיק טוב" מול הרגולטור הישראלי — גילוי הדעת החדש מאותת בצורה ברורה: זה כבר לא יספיק.
במוקד גילוי הדעת עומדת פרשנות מחמירה של הרשות לתקנה 2(4) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א–2001, הקובעת כי ניתן להעביר מידע אישי לחו"ל כאשר:
"מקבל המידע התחייב בהסכם עם בעל מאגר המידע לקיים את התנאים להחזקת המידע והשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים."
המסמך הזה מייתר — בצורה חד-משמעית — את ההנחה הנפוצה שחתימה על ה-DPA הסטנדרטי של ספק הענן "מספיקה" כדי לעמוד בדרישות הדין הישראלי.
לגילוי הדעת המלא: https://www.gov.il/BlobFolder/legalinfo/infoabroad/he/infoabroad.pdf
הקונספציה שקרסה: "אמזון ומיקרוסופט גדולות מדי בשביל שנצטרך לדאוג"
במשך שנים, ההיגיון הרווח בחברות ישראליות היה פשוט: אם ספק הענן הוא ענקית עולמית עם ISO, SOC2, מחלקות משפטיות ענקיות ותקני אבטחה מהקשיחים בתבל — הרשות הישראלית "תסתדר" עם ה-DPA הסטנדרטי שלהם.
גילוי הדעת החדש שבר את הלוגיקה הזו בשלוש קביעות שכל מנהל מערכות מידע ראשי (CIO), יועץ משפטי ו-DPO בישראל חייב להכיר:
❌ "בשינויים המחויבים" — זה לא סעיף גמישות, זה מבחן אובייקטיבי
הרשות קבעה באופן מפורש: פערי כוחות מסחריים, הסכמי "Take it or leave it" ואילוצים ארגוניים אינם תירוץ. אם החוזה של ענקית הענן לא עומד בדרישות הדין הישראלי —
החברה הישראלית היא זו שנחשפת לעיצומים. לא AWS. לא Microsoft.
🌐 השרתים בישראל? זה לא פותר אתכם
זו כנראה הקביעה המפתיעה ביותר: לפי גילוי הדעת, גם גישת Remote Access של מהנדס תמיכה שיושב בהודו, בארה"ב או באירלנד — אפילו כשהשרתים פיזית בישראל — עשויה להיחשב כהעברת מידע לחו"ל לכל דבר. ניבנתה ארכיטקטורה "מקומית"? ייתכן שבפועל אתם מעבירים מידע בינלאומי בכל קריאת שירות.
⛓️ חתמתם על DPA? זה רק קו הזינוק
הרשות מסמנת מפנה תפיסתי מהותי: "סימון וי" חוזי אינו מספיק. הדרישה היא ניהול סיכונים אקטיבי ומתועד — מי ניגש למידע, מאיפה, באמצעות אילו ספקי משנה ובאילו הרשאות. ה-Compliance עבר מהמחלקה המשפטית לרמת ההנהלה הבכירה.
למה עכשיו זה צריך להטריד אתכם יותר מאי פעם?
כי גילוי הדעת הזה לא נפל לתוך ואקום. הוא הגיע לאחר שתיקון 13 לחוק הגנת הפרטיות הפך את הרשות לגוף עם שיניים אכיפתיות של ממש:
▪ עיצומים כספיים של מיליוני שקלים
▪ חובת מינוי DPO
▪ דרישות פיקוח שמחלחלות עד לדירקטוריון
▪ ציפייה לניהול סיכוני פרטיות ברמת הנהלה
הסיכון כבר לא תיאורטי.
שלושה צעדים שאפשר — וצריך — לעשות כבר השבוע
1. מיפוי ספקים (Vendor Mapping)
לא רק "מי מאחסן את המידע" — אלא מי ניגש אליו, מאיפה, ובאמצעות אילו ספקי משנה. בפרט: כל ספק SaaS, ענן היברידי ושירות Support חיצוני שיש לו מגע עם מידע אישי של לקוחות או עובדים.
2. בדיקת ה-DPA הקיים
האם ההסכם כולל החרגות שמרוקנות אותו מתוכן? האם הוא מחיל מפורשות את דרישות הדין הישראלי? שאפו להטמיע מנגנוני BYOK (Bring Your Own Key) שמשאירים בידיכם שליטה על מפתחות ההצפנה.
3. הכנת Transfer Impact Assessment (TIA)
מסמך מתועד שמנתח את סיכוני ההעברה, מנגנוני הגישה ורמת החשיפה. ביום של ביקורת פתע — זה יהיה קו ההגנה הראשון שלכם.
השורה התחתונה
הרשות שלחה מסר חד: האחריות לא עוברת לספק הענן. היא נשארת אצלכם.
חברות שלא יבחנו מחדש את מנגנוני ההעברה, ספקי המשנה ובקרות הגישה שלהן — עלולות לגלות שהפער בין "Compliance על הנייר" לבין עמידה אמיתית בדרישות כבר הפך לסיכון עסקי ומשפטי ממשי.
משרדנו מלווה חברות, סטארט-אפים וארגונים בביצוע סקרי תאימות, ניתוח סיכוני העברת מידע בינלאומית, ליווי מול ספקי ענן וניסוח התאמות חוזיות — עם שילוב של מומחיות משפטית ועומק טכנולוגי.
האם מערך הענן שלכם עומד בדרישות החדשות? | אל תמתינו לביקורת. צרו קשר עוד היום ← 03-6508064
האמור במאמר אינו מהווה ייעוץ משפטי ואינו מחליף בחינה פרטנית של נסיבות כל מקרה.
תגובות