Průvodce souhlasem s cookies podle izraelského Privacy Protection Law: Soulad s Amendment 13 pro vydavatele
Izraelský Privacy Protection Law má dlouhou historii. Původní zákon pochází z roku 1981, Privacy Protection Authority — regulátor ochrany osobních údajů v zemi — byl zřízen v roce 2006 a EU uznala Izrael jako jurisdikci s přiměřenou úrovní ochrany pro předávání osobních údajů od roku 2011, což je pouze jedna z hrstky zemí s tímto statusem. Po většinu tohoto období byly hmotněprávní standardy obecně v souladu s GDPR, ale architektura prosazování byla lehčí a technické specifikace méně rozvinuté. Amendment 13, který vstoupil v platnost v srpnu 2025, to mění. Novela modernizuje standard souhlasu, rozšiřuje rámec práv, zpřísňuje pravidla přeshraničního předávání a podstatně posiluje pravomoci Privacy Protection Authority v oblasti prosazování. Pro vydavatele působící v Izraeli nebo cílící na izraelský provoz — trh s jednou z nejdigitálněji angažovaných populací na světě — je praktickým důsledkem to, že soulad v oblasti souhlasu s cookies a sledování online je nyní smysluplně bližší evropskému standardu. Tento průvodce rozebírá, co se změnilo, jaký je nyní provozní standard a kam by vydavatelé měli zaměřit své nápravné úsilí.
Privacy Protection Law v roce 2026
Izraelský rámec stojí na třech vrstvách: samotný Privacy Protection Law (primární zákon), Privacy Protection Regulations (které doplňují provozní podrobnosti, zejména Data Security Regulations z roku 2017) a směrnice a stanoviska vydávaná Privacy Protection Authority. Amendment 13 upravuje první vrstvu a vyvolává aktualizace druhé; třetí — interpretační pokyny úřadu — jsou průběžně aktualizovány od vstupu novely v platnost.
Základní principy budou známé každému, kdo pracuje s GDPR: právní základ, účelové omezení, minimalizace údajů, přesnost, omezení uložení, integrita a odpovědnost. Právní základy podle izraelského práva zahrnují souhlas, plnění smlouvy, právní povinnost, veřejný zájem a oprávněný zájem, každý s vlastním rozsahem. Pro online sledování jsou relevantními základy souhlas a za úzce vymezených okolností oprávněný zájem — tentýž rámec, který většina provozovatelů již zná.
Co Amendment 13 skutečně změnil
Novela je širší než souhlas s cookies, ale pro online vydavatele jsou nejdůležitější čtyři změny.
Zpřísněný standard souhlasu
Novela zpřísňuje definici souhlasu tak, aby vyžadoval svobodný, konkrétní, informovaný a jednoznačný projev vůle — jazyk úzce sledující GDPR Article 4(11). Konkludentní souhlas a pokračující používání jako souhlas, které byly podle staršího výkladu nejednoznačně přijatelné, jsou nyní jednoznačně nedostatečné pro neesenciální sledování.
Rozšířená práva subjektů údajů
Práva na přístup, opravu, výmaz a námitku jsou vyjasněna a rozšířena. Novela zavádí výslovné lhůty pro odpovědi (45 dní, prodloužitelné o 30 ve složitých případech) a objasňuje povinnost vydavatele poskytnout jasnou cestu pro uplatnění práv.
Přísnější rámec přeshraničního předávání
Předávání do jurisdikcí bez přiměřené úrovně ochrany nyní vyžaduje výslovná ochranná opatření — vzorové smluvní doložky, závazná podniková pravidla nebo specifické výjimky. Rámec je bližší Chapter V GDPR než starší izraelský přístup a úřad začal zveřejňovat vzorové doložky podobné EU SCC.
Silnější pravomoci prosazování
Správní pokuty jsou podstatně zvýšeny. Maximální sankce je vázána na procento obratu organizace s vysokým absolutním stropem, podobně jako stupňovitá struktura GDPR. Úřad získal rozšířené vyšetřovací pravomoci včetně možnosti vynutit předložení dokumentů a provádět kontroly na místě.
Souhlas s cookies podle novelizovaného standardu
Privacy Protection Law neobsahuje ustanovení specifické pro cookies tak, jak to činí směrnice EU ePrivacy. Místo toho požadavek na souhlas vyplývá z obecného standardu souhlasu a z interpretačních pokynů úřadu. Pokyny z roku 2026 k online sledování, zveřejněné krátce po vstupu Amendment 13 v platnost, formulují očekávání, která se úzce shodují s kritérii EDPB Cookie Banner Taskforce.
Požadované prvky banneru
Úřad očekává, že bannery budou obsahovat výslovnou možnost odmítnutí na první vrstvě, podrobné ovládací prvky kategorií oddělující nezbytně nutné cookies od analytických a marketingových a jasný mechanismus odvolání. Předem zaškrtnutá políčka a klamavý design odkazů jsou výslovné nedostatky. Očekáváním je konvergence s evropskými normami a jakýkoli banner, který projde kontrolou v EU, vyhoví i požadavkům úřadu.
Požadavek na hebrejštinu
Bannery sloužící izraelskému provozu by měly být dostupné v hebrejštině. Úřad to formálně nestanovil jako striktní požadavek, ale v pokynech poznamenal, že dostupnost hebrejštiny je součástí složky «informovanosti» standardu souhlasu pro hebrejsky mluvící publikum.
Dokumentace a odpovědnost
Princip odpovědnosti v izraelském právu sleduje princip GDPR. Vydavatelé musí být schopni na vyžádání prokázat rozhodnutí o souhlasu. Protokolování na úrovni auditu — časové razítko, verze banneru, volba, jurisdikce návštěvníka — je praktickým požadavkem.
Otázka přiměřenosti ze strany EU
Rozhodnutí EU o přiměřenosti Izraele je jedním ze strategicky nejdůležitějších rysů jeho režimu ochrany soukromí. Rozhodnutí z roku 2011 umožňuje tok osobních údajů z EU do Izraele bez dalších ochranných opatření, což činí izraelské provozovatele výrazně atraktivnějšími partnery pro evropské podniky než provozovatele v jurisdikcích bez přiměřené úrovně ochrany. Proces pravidelného přezkumu přiměřenosti ze strany Komise vyžaduje, aby izraelský rámec držel krok s evropskými standardy. Amendment 13 byl do značné míry motivován udržením přiměřenosti v příštím přezkumném cyklu.
Pro vydavatele je praktickým důsledkem to, že soulad s novelizovaným izraelským rámcem není jen o vyhnutí se domácímu prosazování; jde o zachování statusu přiměřenosti země a privilegovaného přístupu k evropským tokům údajů, který tento status poskytuje. Priority prosazování ze strany úřadu to odrážejí — nedostatky v designu bannerů na izraelských stránkách jsou úřadem brány vážněji než stejné nedostatky v jurisdikcích bez přiměřené úrovně ochrany, a to kvůli systémovým důsledkům pro přiměřenost.
Postoj Privacy Protection Authority k prosazování
Úřad působí v rámci Ministerstva spravedlnosti, ale s podstatnou provozní nezávislostí. Jeho postoj k prosazování byl historicky umírněný — budování kapacit, sektorové konzultace a cílené vysokoprofilové případy spíše než hromadné pokutování — ale rozšířená sada nástrojů z Amendment 13 znatelně posunula tento vzorec.
Spouštěče vyšetřování
Úřad zahajuje vyšetřování primárně prostřednictvím tří kanálů: stížností subjektů údajů, oznámení o porušení a sektorových přezkumů. Online vydavatelé se obvykle objeví prostřednictvím prvního kanálu — stížnost na design banneru nebo chování při sledování se často stává vstupním bodem.
Sankční praxe
Pokuty úřadu po Amendment 13 sledují určitý vzorec: nejprve je nabídnuta lhůta k nápravě, přičemž peněžní sankce jsou uloženy pouze tehdy, když je náprava neúplná nebo odmítnutá. Signálem je, že postoj dobré víry k dodržování předpisů je důležitý, i když jsou přítomny nedostatky.
Koordinace s regulátory EU
Úřad se aktivně účastní koordinačních mechanismů ve stylu Article 29, které zahrnují jurisdikce s přiměřenou úrovní ochrany. Pozice v oblasti prosazování mají tendenci sledovat pokyny EDPB a přeshraniční stížnosti zahrnující provoz EU a Izraele jsou stále častěji řešeny prostřednictvím koordinovaných postupů.
Praktický kontrolní seznam souladu
Šest konkrétních otázek, které je třeba zodpovědět pro jakýkoli banner souhlasu s cookies sloužící izraelskému provozu.
- Existuje výslovné tlačítko odmítnutí na první vrstvě? Cesta odmítnutí musí být na stejné ploše jako přijetí, se srovnatelnou vizuální prominencí.
- Jsou kategorie podrobné? Nezbytné, analytické a marketingové cookies musí být samostatně ovladatelné; hromadné přijetí všeho bez podrobnosti je nedostatek.
- Je dostupná hebrejština? Pro publikum zahrnující hebrejsky mluvící osoby by banner a zásady měly podporovat hebrejštinu.
- Je odvolání stejně snadné jako udělení souhlasu? Trvalý ovládací prvek dostupný z jakékoli stránky je provozním očekáváním.
- Jsou přeshraniční předávání zdokumentována? Identifikujte, které cílové země jsou v jurisdikcích bez přiměřené úrovně ochrany a jaké ochranné opatření autorizuje každé předávání.
- Je protokolování souhlasu na úrovni auditu? Časové razítko, verze banneru, volba a jurisdikce v okamžiku rozhodnutí musí být zpětně dohledatelné.
Kde se Izrael nachází v globálním kontextu
Izraelský Amendment 13 odráží širší trend: jurisdikce, které předcházejí GDPR, modernizují své rámce za účelem udržení souladu s evropskými standardy. Japonsko, Spojené království, Jižní Korea a Brazílie následovaly podobné trajektorie. Pro vydavatele působící napříč těmito trhy je praktickým důsledkem to, že jediná infrastruktura CMP vybudovaná podle evropských standardů pokrývá většinu regulačního prostředí — izraelský rámec po novele je pevně uvnitř této obálky. Strategická hodnota je dvojí: domácí soulad plus pokračující účast v privilegovaném vztahu toku údajů s EU, který status přiměřenosti poskytuje. Investice do správné architektury bannerů a protokolování souhlasu, kterou evropský soulad již ospravedlňuje, je v Izraeli lépe obhajitelnou investicí než ve většině jurisdikcí bez přiměřené úrovně ochrany.