Israels Privacy Protection Law guide til cookiesamtykke: Amendment 13-overholdelse for udgivere

Israels Privacy Protection Law har en lang historie. Den oprindelige lov stammer fra 1981, Privacy Protection Authority — landets databeskyttelsesmyndighed — blev etableret i 2006, og EU har anerkendt Israel som en tilstrækkelig jurisdiktion for overførsel af personoplysninger siden 2011, et af kun en håndfuld lande med denne status. I størstedelen af denne periode var de materielle standarder bredt GDPR-tilpassede, men håndhævelsesarkitekturen var lettere, og de tekniske detaljer var mindre udviklede. Amendment 13, som trådte i kraft i august 2025, ændrer dette. Ændringen moderniserer samtykkestandarden, udvider rettighedsrammen, skærper reglerne for grænseoverskridende overførsler og styrker Privacy Protection Authority's håndhævelsesbeføjelser væsentligt. For udgivere, der opererer i eller målretter israelsk trafik — et marked med en af verdens mest digitalt engagerede befolkninger — er den praktiske effekt, at overholdelse af cookiesamtykke og online sporing nu er meningsfuldt tættere på den europæiske standard. Denne guide gennemgår, hvad der blev ændret, hvad den gældende standard er nu, og hvor udgivere bør fokusere deres tilpasningsarbejde.

Privacy Protection Law i 2026

Det israelske regelsæt hviler på tre lag: selve Privacy Protection Law (den primære lov), Privacy Protection Regulations (som udfylder operationelle detaljer, især Data Security Regulations fra 2017) og de direktiver og holdningspapirer, som Privacy Protection Authority udsteder. Amendment 13 ændrer det første lag og udløser opdateringer af det andet; det tredje — myndighedens fortolkningsvejledning — er blevet løbende opdateret siden ændringen trådte i kraft.

Kerneprincipperne vil være velkendte for alle, der arbejder med GDPR: lovligt grundlag, formålsbegrænsning, dataminimering, nøjagtighed, opbevaringsbegrænsning, integritet og ansvarlighed. De lovlige grundlag under israelsk ret omfatter samtykke, kontraktopfyldelse, retlig forpligtelse, offentlig interesse og legitim interesse, hver med sit eget anvendelsesområde. For online sporing er de relevante grundlag samtykke og, under snævre omstændigheder, legitim interesse — det samme regelsæt, de fleste operatører allerede kender.

Hvad Amendment 13 faktisk ændrede

Ændringen er bredere end cookiesamtykke, men fire ændringer har størst betydning for online-udgivere.

Skærpet samtykkestandard

Ændringen strammer definitionen af samtykke, så det skal være frivilligt, specifikt, informeret og utvetydigt — et sprogbrug, der nøje følger GDPR Article 4(11). Stiltiende samtykke og fortsat-brug-som-samtykke, som havde været tvetydigt acceptabelt under den ældre fortolkning, er nu utvetydigt utilstrækkeligt for ikke-essentiel sporing.

Udvidede registreredes rettigheder

Rettigheder til indsigt, rettelse, sletning og indsigelse er præciseret og udvidet. Ændringen indfører eksplicitte tidsfrister for svar (45 dage, som kan forlænges med 30 i komplekse sager) og præciserer udgiverens forpligtelse til at tilbyde en klar vej til at udøve rettigheder.

Skarpere ramme for grænseoverskridende overførsler

Overførsler til ikke-tilstrækkelige jurisdiktioner kræver nu eksplicitte beskyttelsesforanstaltninger — modelkontraktklausuler, BCR eller specifikke undtagelser. Rammen er tættere på GDPR's Chapter V end den ældre israelske tilgang, og myndigheden er begyndt at offentliggøre modelklausuler svarende til EU's SCC.

Stærkere håndhævelsesbeføjelser

Administrative bøder er øget væsentligt. Den maksimale sanktion er knyttet til en procentdel af organisationens omsætning med et højt absolut loft, svarende til GDPR's trindelte struktur. Myndigheden har fået udvidede undersøgelsesbeføjelser, herunder muligheden for at fremtvinge dokumentfremlæggelse og gennemføre inspektioner på stedet.

Cookiesamtykke under den ændrede standard

Privacy Protection Law indeholder ikke en cookiespecifik bestemmelse på samme måde som EU's ePrivacy-direktiv. I stedet udspringer samtykkekravet af den generelle samtykkestandard og af myndighedens fortolkningsvejledning. Vejledningen fra 2026 om online sporing, som blev offentliggjort kort efter Amendment 13 trådte i kraft, formulerer forventninger, der er tæt tilpasset EDPB Cookie Banner Taskforce-kriterierne.

Påkrævede bannerelementer

Myndigheden forventer, at bannere inkluderer en eksplicit afvisningsmulighed på det første lag, granulære kategorikontroller, der adskiller strengt nødvendige cookies fra analyse og fra markedsføring, samt en klar tilbagetrækningsmekanisme. Forudafkrydsede felter og vildledende linkdesign er eksplicitte mangler. Forventningen er konvergens med europæiske normer, og ethvert banner, der består EU-kontrol, vil tilfredsstille myndigheden.

Krav om hebraisk sprog

Bannere, der betjener israelsk trafik, bør være tilgængelige på hebraisk. Myndigheden har ikke formaliseret dette som et strengt krav, men har i vejledningen bemærket, at hebraisk tilgængelighed er en del af samtykkestandardens «informeret»-element for hebraisktalende målgrupper.

Dokumentation og ansvarlighed

Ansvarlighedsprincippet i israelsk ret følger GDPR's. Udgivere skal kunne dokumentere samtykkebeslutninger på forlangende. Revisionsegnet logning — tidsstempel, bannerversion, valg, besøgendes jurisdiktion — er det praktiske krav.

Spørgsmålet om EU-tilstrækkelighed

Israels EU-tilstrækkelighedsbeslutning er et af de mest strategisk vigtige træk ved landets privatlivsregime. Beslutningen fra 2011 tillader, at personoplysninger kan flyde fra EU til Israel uden yderligere beskyttelsesforanstaltninger, hvilket gør israelske operatører betydeligt mere attraktive partnere for europæiske virksomheder end operatører i ikke-tilstrækkelige jurisdiktioner. Kommissionens periodiske tilstrækkelighedsgennemgang kræver, at Israels regelsæt holder trit med europæiske standarder. Amendment 13 var i væsentlig grad motiveret af at opretholde tilstrækkelighed gennem den næste gennemgangscyklus.

For udgivere er den praktiske konsekvens, at overholdelse af det ændrede israelske regelsæt ikke kun handler om at undgå national håndhævelse; det handler om at bevare landets tilstrækkelighedsstatus og den privilegerede adgang til europæiske datastrømme, som denne status giver. Myndighedens håndhævelsesprioriteter afspejler dette — bannerdesignmangler på israelske websteder tages mere alvorligt af myndigheden end de samme mangler ville blive i ikke-tilstrækkelige jurisdiktioner på grund af de systemiske tilstrækkelighedsimplikationer.

Privacy Protection Authority's håndhævelsesholdning

Myndigheden opererer fra Justitsministeriet, men med betydelig operationel uafhængighed. Dens håndhævelsesholdning har historisk været afmålt — kapacitetsopbygning, sektorkonsultation og målrettede højprofilsager frem for bøder i stort omfang — men Amendment 13's udvidede værktøjskasse har mærkbart ændret mønsteret.

Undersøgelsesudløsere

Myndigheden indleder undersøgelser primært gennem tre kanaler: klager fra registrerede, brudnotifikationer og sektorgennemgange. Online-udgivere dukker typisk op via den første kanal — en klage over bannerdesign eller sporingsadfærd bliver ofte indgangspunktet.

Sanktionspraksis

Myndighedens bøder efter Amendment 13 har fulgt et mønster: en afhjælpningsperiode tilbydes først, og økonomiske sanktioner pålægges kun, når afhjælpningen er ufuldstændig eller afvist. Signalet er, at en god troværdig overholdelsesholdning har betydning, selv når der er mangler.

Koordinering med EU-tilsynsmyndigheder

Myndigheden deltager aktivt i Article 29-lignende koordineringsmekanismer, der involverer tilstrækkelige jurisdiktioner. Håndhævelsespositioner følger typisk EDPB-vejledning, og grænseoverskridende klager, der involverer EU- og israelsk trafik, håndteres i stigende grad gennem koordinerede procedurer.

En praktisk tjekliste for overholdelse

Seks konkrete spørgsmål at besvare for ethvert cookiebanner, der betjener israelsk trafik.

Hvor Israel passer ind i det globale billede

Israels Amendment 13 afspejler et bredere mønster: jurisdiktioner, der er ældre end GDPR, moderniserer deres regelsæt for at opretholde tilpasning til europæiske standarder. Japan, Storbritannien, Sydkorea og Brasilien har alle fulgt lignende forløb. For udgivere, der opererer på tværs af disse markeder, er den praktiske konsekvens, at en enkelt CMP-infrastruktur bygget til europæiske standarder dækker størstedelen af det regulatoriske landskab — Israels regelsæt er efter ændringen solidt inden for denne ramme. Den strategiske værdi er dobbelt: national overholdelse plus fortsat deltagelse i det privilegerede datastrømsforhold med EU, som tilstrækkelighedsstatus giver. Investeringen i korrekt bannerarkitektur og samtykkelogning, som europæisk overholdelse allerede retfærdiggør, er i Israel en mere direkte forsvarlig investering end i de fleste ikke-tilstrækkelige jurisdiktioner.

← Blog Læs alt →