התכנים באתר זה מספקים מידע כללי בלבד, ואין לראות בהם ייעוץ משפטי, אשר צריך להיות מותאם לכל עסק ולנסיבותיו.
עבור רוב החברות והסטארטאפים בישראל, הרגולציה האירופית הופכת למחייבת באחד משני עוגנים מרכזיים (שבפועל מתבטאים בשלושה מצבים עסקיים נפוצים):
- נוכחות פיזית באיחוד (Establishment): אתם מחזיקים סניף, נציגות או פעילות עסקית קבועה באחת ממדינות האיחוד.
- הצעת שירותים ומוצרים (Targeting): אתם פונים באופן אקטיבי למשתמשים שנמצאים באיחוד האירופי (וכן, זה נכון גם אם השירות ניתן בחינם).
- ניטור התנהגות (Monitoring): אתם אוספים מידע, מנתחים הרגלים או מבצעים Profiling של אנשים שנמצאים פיזית באיחוד.
חשוב לזכור: החשיפה לקנסות בגין הפרה היא משמעותית ויכולה להגיע עד 20 מיליון אירו או 4% מהמחזור השנתי של הארגון. וישנם מקרים מסוימים, בהם ה-GDPR יכול לחייב אתכם להחזיק נציג באירופה.
מיתוס הדרכון: האם אזרחות אירופית היא ה"טריגר"?
זוהי אחת השאלות הנפוצות ביותר שאני נשאל:
"האם כל ישראלי שהוציא דרכון פורטוגלי מחייב אותי עכשיו בציות ל-GDPR?"
התשובה הקצרה: לא.
ה-GDPR נועד להגן בעיקר על אנשים שנמצאים פיזית בטריטוריה של האיחוד האירופי בזמן מתן השירות, אך במקרים מסוימים (כגון פעילות של ארגון מבוסס באיחוד) הוא יחול גם מעבר לכך.
המשמעות:
מהגר שעבר לגור באירופה – מוגן על ידי ה-GDPR.
ומנגד: אזרח אירופי שחי בתל אביב ומשתמש בשירותים שלכם בישראל – אינו מפעיל כשלעצמו את תחולת הרגולציה האירופית.
הזווית הישראלית: הגשר הרגולטורי
נכון לכתיבת שורות אלו, ישנן "חדשות טובות" לחברות ישראליות:
- הכרה בנאותות (Adequacy): האיחוד האירופי מכיר בישראל (בכפוף לתנאים) כמדינה השומרת על רמת הגנה נאותה, מה שמקל מאוד על העברת מידע בין המדינות.
- הקלות מקומיות: הדין הישראלי מאפשר במקרים מסוימים לארגונים הפועלים לפי ה-GDPR לקבל "פטור" מחלק מהחובות של חוק הגנת הפרטיות הישראלי, כדי למנוע כפל רגולציה.
בשורה התחתונה: פרטיות כיתרון אסטרטגי
מעבר לשאלה "האם אני חייב", קיימת שאלת הניהול העסקי. בעולם העסקי של היום, עמידה בהוראות ה-GDPR היא כבר לא רק נטל רגולטורי. היא מהווה נכס אסטרטגי (Asset) שבונה אמון מול משתמשים, מקצרת משמעותית תהליכי מכירה (Sales Cycles) מול לקוחות באירופה ובארה"ב, ומהווה תנאי סף כמעט לכל סבב גיוס ממשקיעים מוסדיים.