Izraelio asmens duomen? apsaugos ?statymo slapuk? sutikimo vadovas: Amendment 13 atitiktis leid?jams
Izraelio Privacy Protection Law turi ilgą istoriją. Pirminis įstatymas datuojamas 1981 m., Privacy Protection Authority — šalies duomenų apsaugos reguliuotojas — buvo įsteigtas 2006 m., o EU pripažino Izraelį tinkama jurisdikcija asmeniniams duomenims perkelti nuo 2011 m., viena iš nedaugelio šalių, turinčių šį statusą. Didžiąją dalį to laikotarpio esminiai standartai buvo plačiai suderinti su GDPR, tačiau vykdymo užtikrinimo architektūra buvo lengvesnė, o techninės detalės buvo mažiau išvystytos. Amendment 13, įsigaliojęs 2025 m. rugpjūtį, tai pakeičia. Pataisas modernizuoja sutikimo standartą, išplečia teisių sistemą, sustiprina tarpvalstybinio perdavimo taisykles ir gerokai sustiprina Privacy Protection Authority vykdymo užtikrinimo įgaliojimus. Leidėjams, veikiantiems Izraelyje arba nukreipiantiems į Izraelio srautą — rinką su viena labiausiai skaitmeniškai įsitraukusių populiacijų pasaulyje — praktinis poveikis yra tas, kad slapukų sutikimas ir interneto sekimo atitiktis dabar yra gerokai artimesnė Europos standartui. Šis vadovas apžvelgia, kas pasikeitė, koks dabar yra veikiantis standartas ir kur leidėjams reikėtų sutelkti taisymo darbą.
Privacy Protection Law 2026 m.
Izraelio sistema remiasi trimis lygiais: pačiu Privacy Protection Law (pagrindiniu įstatymu), Privacy Protection Regulations (kuriuose išsamiau aprašoma veikla, labiausiai pažymėtina Data Security Regulations iš 2017 m.) ir Privacy Protection Authority išleistomis direktyvomis bei pozicijų dokumentais. Amendment 13 modifikuoja pirmąjį lygį ir sukelia antrojo atnaujinimus; trečiasis — Authority aiškinamieji nurodymai — buvo nuolat atnaujinami nuo pataisos įsigaliojimo.
Pagrindiniai principai bus pažįstami bet kam, dirbančiam su GDPR: teisėtas pagrindas, tikslo apribojimas, duomenų minimizavimas, tikslumas, saugojimo apribojimas, vientisumas ir atskaitomybė. Teisėti pagrindai pagal Izraelio įstatymus apima sutikimą, sutarties vykdymą, teisinę prievolę, viešąjį interesą ir teisėtą interesą, kiekvienas su savo aprėptimi. Internetinio sekimo atveju svarbūs pagrindai yra sutikimas ir, siauromis aplinkybėmis, teisėtas interesas — ta pati sistema, kurią dauguma operatorių jau žino.
Ką iš tikrųjų pakeitė Amendment 13
Pataisas yra platesnis nei slapukų sutikimas, bet keturi pakeitimai labiausiai svarbūs internetiniams leidėjams.
Sustiprintas sutikimo standartas
Pataisas sugriežtina sutikimo apibrėžimą, kad jis būtų laisvai duotas, konkretus, informuotas ir nedviprasmiškas — formuluotė artimai sekanti GDPR Article 4(11). Numanomas sutikimas ir tolesnio naudojimo kaip sutikimo traktavimas, kuris pagal senesnę interpretaciją buvo neaiškiai priimtinas, dabar yra nedviprasmiškai nepakankamas neesminiam sekimui.
Išplėstos duomenų subjektų teisės
Prieigos, taisymo, ištrynimo ir prieštaravimo teisės yra patikslintos ir išplėstos. Pataisas įveda aiškius atsakymų terminus (45 dienos, pratęsiamos 30 dienų sudėtingais atvejais) ir patikslina leidėjo pareigą suteikti aiškų kelią teisėms įgyvendinti.
Aiškesnė tarpvalstybinio perdavimo sistema
Perdavimai į netinkamas jurisdikcijas dabar reikalauja aiškių apsaugos priemonių — modelinių sutarčių sąlygų, privalomai taikomų įmonių taisyklių arba specialių išimčių. Sistema yra artimesnė GDPR Chapter V nei senesnis Izraelio požiūris, o Authority pradėjo skelbti modelines sąlygas, panašias į EU SCC.
Stipresni vykdymo užtikrinimo įgaliojimai
Administracinės baudos yra gerokai padidintos. Maksimali bauda yra susieta su organizacijos pajamų procentine dalimi su aukšta absoliučia viršutine riba, panašiai kaip GDPR pakopinė struktūra. Authority buvo suteikti išplėsti tyrimo įgaliojimai, įskaitant galimybę reikalauti dokumentų pateikimo ir atlikti patikrinimus vietoje.
Slapukų sutikimas pagal pataisytą standartą
Privacy Protection Law neturi specifinės slapukų nuostatos tokiu būdu, kaip turi EU ePrivacy Directive. Vietoj to, sutikimo reikalavimas kyla iš bendrojo sutikimo standarto ir iš Authority aiškinamųjų nurodymų. 2026 m. gairės dėl internetinio sekimo, paskelbtos netrukus po Amendment 13 įsigaliojimo, išdėsto lūkesčius, kurie glaudžiai dera su EDPB Cookie Banner Taskforce kritėrijais.
Reikalaujami pranešimo juostos elementai
Authority tikisi, kad pranešimo juostose būtų aiškus atmetimo variantas pirmame sluoksnyje, detalūs kategorijų valdikliai, atskiriantys griežtai būtinus slapukus nuo analitikos ir nuo rinkodaros, bei aiškus atšaukimo mechanizmas. Iš anksto pažymėti laukeliai ir apgaulinga nuorodų konstrukcija yra aiškūs defektai. Lūkestis yra konvergencija su Europos normomis, ir bet kokia pranešimo juosta, atitinkanti EU patikrinimą, patenkina Authority reikalavimus.
Hebrajų kalbos reikalavimas
Pranešimo juostos, aptarnaujančios Izraelio srautą, turėtų būti prieinamos hebrajų kalba. Authority neformalizavo šio reikalavimo kaip griežto, bet nurodė gairėse, kad hebrajų kalbos prieinamumas yra sutikimo standarto „informuoto" dalies dalis hebrajiškai kalbančiai auditorijai.
Dokumentavimas ir atskaitomybė
Atskaitomybės principas Izraelio teisėje atitinka GDPR. Leidėjai turi gebėti parodyti sutikimo sprendimus pareikalavus. Audito lygio registravimas — laiko žyma, pranešimo juostos versija, pasirinkimas, lankytojo jurisdikcija — yra praktinis reikalavimas.
EU tinkamumo klausimas
Izraelio EU tinkamumo sprendimas yra vienas strategiškai svarbiausių jo privatumo režimo bruožų. 2011 m. sprendimas leidžia asmeniniams duomenims tekėti iš EU į Izraelį be papildomų apsaugos priemonių, darant Izraelio operatorius gerokai patrauklesnius partnerius Europos verslams nei operatorius netinkamose jurisdikcijose. Komisijos periodinis tinkamumo peržiūros procesas reikalauja, kad Izraelio sistema atitiktų Europos standartus. Amendment 13 buvo, dideliu mastu, motyvuotas tinkamumo išlaikymu per kitą peržiūros ciklą.
Leidėjams praktinė implikacija yra ta, kad laikymasis pataisytos Izraelio sistemos yra ne tik apie vidinio vykdymo užtikrinimo vengimą; tai yra apie šalies tinkamumo statuso išsaugojimą ir privilegijuotos prieigos prie Europos duomenų srautų, kurią tas statusas suteikia. Authority vykdymo užtikrinimo prioritetai tai atspindi — pranešimo juostos konstrukcijos defektai Izraelio svetainėse yra vertinami rimčiau nei tie patys defektai gali būti netinkamose jurisdikcijose dėl sisteminių tinkamumo implikacijų.
Privacy Protection Authority vykdymo užtikrinimo pozicija
Authority veikia Teisingumo ministerijoje, bet su didele veiklos nepriklausomybe. Jo vykdymo užtikrinimo pozicija istoriškai buvo išmatuota — pajėgumų kūrimas, sektoriaus konsultacijos ir tiksliniai ryškūs atvejai, o ne didelio masto baudų skyrimas — bet Amendment 13 išplėstas įrankių rinkinys pastebėtinai pakeitė modelį.
Tyrimo priežastys
Authority pradeda tyrimus pirmiausia trimis kanalais: duomenų subjektų skundai, pažeidimų pranešimai ir sektorinės apžvalgos. Internetiniai leidėjai paprastai iškyla per pirmąjį kanalą — skundas dėl pranešimo juostos dizaino arba sekimo elgesio dažnai tampa įėjimo tašku.
Sankcijų praktika
Authority baudos po Amendment 13 sekė modelį: pirmiausia siūlomas taisymo laikotarpis, o piniginės baudos skiriamos tik tada, kai taisymas yra neišsamus arba atsisakytas. Signalas yra tas, kad geranoriška atitikties pozicija svarbi net kai defektai yra.
Koordinavimas su EU reguliuotojais
Authority aktyviai dalyvauja Article 29 stiliaus koordinavimo mechanizmuose, kurie apima tinkamas jurisdikcijas. Vykdymo užtikrinimo pozicijos paprastai atitinka EDPB gaires, o tarpvalstybiniai skundai, susiję su EU ir Izraelio srautu, vis dažniau tvarkomi per koordinuotas procedūras.
Praktinis atitikties patikrinimo sąrašas
Šeši konkretūs klausimai, į kuriuos reikia atsakyti bet kokiai slapukų pranešimo juostai, aptarnaujančiai Izraelio srautą.
- Ar yra aiškus pirmojo sluoksnio atmetimo mygtukas? Atmetimo kelias turi būti tame pačiame paviršiuje kaip priėmimas, su panašiu vizualiniu išryškintimu.
- Ar kategorijos yra detalios? Būtini, analitikos ir rinkodaros turi būti atskirai valdomi; sujungtas priimti viską be detalumo yra defektas.
- Ar hebrajų kalba prieinama? Auditorijoms, kuriose yra hebrajiškai kalbančiųjų, pranešimo juosta ir politika turėtų palaikyti hebrajų kalbą.
- Ar atšaukimas yra toks pat lengvas kaip sutikimas? Nuolatinis valdiklis, pasiekiamas iš bet kurio puslapio, yra veikiantis lūkestis.
- Ar tarpvalstybiniai perdavimai yra dokumentuoti? Nustatykite, kurios paskirties vietos yra netinkamose jurisdikcijose ir kokia apsauga leidžia kiekvieną perdavimą.
- Ar sutikimo registravimas yra audito lygio? Laiko žyma, pranešimo juostos versija, pasirinkimas ir jurisdikcija sprendimo metu turi būti atstatomi.
Kur Izraelis telpa pasaulinėje panoramoje
Izraelio Amendment 13 atspindi platesnį modelį: jurisdikcijos, atsiradusios prieš GDPR, modernizuoja savo sistemas, kad išlaikytų sąsają su Europos standartais. Japonija, JK, Pietų Korėja ir Brazilija visos sekė panašiomis trajektorijomis. Leidėjams, veikiantiems šiose rinkose, praktinė implikacija yra ta, kad viena CMP infrastruktūra, sukurta pagal Europos standartus, tvarko didžiąją dalį reguliavimo kraštovaizdžio — Izraelio sistema, po pataisos, yra tvirtai šiame rėmuose. Strateginė vertė yra dvejopa: vidaus atitiktis plius tolesnė privilegijuotos duomenų srauto santykio su EU, kurį suteikia tinkamas statusas, dalyvis. Investicija į tinkamą pranešimo juostos architektūrą ir sutikimo registravimą, kurią Europos atitiktis jau pateisina, yra Izraelyje tiesiogiau gynybinė investicija nei daugumoje netinkamų jurisdikcijų.