Veiledning for Cookie-samtykke under Israels personvernlov: Amendment 13 etterlevelse for utgivere
Israels personvernlov har en lang historie. Den opprinnelige loven er fra 1981, Privacy Protection Authority — landets datatilsynsmyndighet — ble etablert i 2006, og EU har anerkjent Israel som et tilstrekkelig rettsområde for overføring av personopplysninger siden 2011, ett av kun noen få land som har denne statusen. I mesteparten av den perioden var de materielle standardene i store trekk i samsvar med GDPR, men håndhevingsarkitekturen var lettere og de tekniske detaljene var mindre utviklet. Amendment 13, som trådte i kraft i august 2025, endrer dette. Endringen moderniserer samtykkstandarden, utvider rettighetsrammeverket, skjerper reglene for grensekryssende overføringer, og styrker Privacy Protection Authoritys håndhevingsbeføyelser betydelig. For utgivere som opererer i eller retter seg mot israelsk trafikk — et marked med en av de mest digitalt engasjerte befolkningene i verden — er den praktiske effekten at samtykke til informasjonskapsler og etterlevelse av nettbasert sporing nå er meningsfullt nærmere den europeiske standarden. Denne veiledningen gjennomgår hva som er endret, hva den operative standarden er nå, og hvor utgivere bør fokusere utbedringsinnsatsen.
Personvernloven i 2026
Det israelske rammeverket bygger på tre lag: selve personvernloven (primærlovgivningen), Privacy Protection Regulations (som fyller inn operasjonell detalj, spesielt Data Security Regulations fra 2017), og direktiver og posisjonsskriv utgitt av Privacy Protection Authority. Amendment 13 endrer det første laget og utløser oppdateringer i det andre; det tredje — Myndighetens tolkningsveiledning — har blitt oppdatert kontinuerlig siden endringen trådte i kraft.
Kjerneprinsippene vil være kjente for alle som arbeider med GDPR: rettslig grunnlag, formålsbegrensning, dataminimering, riktighet, lagringsgrense, integritet og ansvarlighet. De rettslige grunnlagene i israelsk rett inkluderer samtykke, kontraktsoppfyllelse, rettslig forpliktelse, allmenne interesser og berettigede interesser, hver med sitt eget omfang. For nettbasert sporing er de relevante grunnlagene samtykke og, under snevre omstendigheter, berettigede interesser — det samme rammeverket de fleste operatører allerede kjenner.
Hva Amendment 13 Faktisk Endret
Endringen er bredere enn samtykke til informasjonskapsler, men fire endringer er viktigst for nettbaserte utgivere.
Styrket samtykkstandard
Endringen strammet inn definisjonen av samtykke for å kreve at det er fritt gitt, spesifikt, informert og utvetydig — ordlyd som følger nøye GDPR Article 4(11). Implisitt samtykke og fortsatt bruk som samtykke, som hadde vært tvetydig akseptable under den eldre tolkningen, er nå utvetydig utilstrekkelig for ikke-nødvendig sporing.
Utvidede rettigheter for de registrerte
Retter til innsyn, retting, sletting og innsigelse er presisert og utvidet. Endringen introduserer eksplisitte tidsfrister for svar (45 dager, med mulighet for forlengelse med 30 i komplekse saker) og presiserer utgiverens plikt til å tilby en klar vei for utøvelse av rettigheter.
Skarpere rammeverk for grensekryssende overføringer
Overføringer til utilstrekkelige rettsområder krever nå eksplisitte garantier — standard kontraktsklausuler, bindende virksomhetsregler eller spesifikke unntak. Rammeverket er nærmere GDPR Chapter V enn den eldre israelske tilnærmingen, og Myndigheten har begynt å publisere standardklausuler som ligner EU SCC-ene.
Sterkere håndhevingsbeføyelser
Administrative bøter er økt betydelig. Maksimumsstraffen er knyttet til en prosentandel av organisasjonens inntekter med et høyt absolutt tak, tilsvarende GDPRs lagdelte struktur. Myndigheten har fått utvidede etterforskningsbeføyelser, inkludert muligheten til å pålegge dokumentproduksjon og gjennomføre stedsinspeksjoner.
Samtykke til Informasjonskapsler Under den Endrede Standarden
Personvernloven inneholder ikke en informasjonskapsler-spesifikk bestemmelse slik EUs ePrivacy-direktiv gjør. I stedet stammer samtykke kravet fra den generelle samtykkstandarden og fra Myndighetens tolkningsveiledning. 2026-veiledningen om nettbasert sporing, publisert kort tid etter at Amendment 13 trådte i kraft, artikulerer forventninger som stemmer nøye overens med EDPB Cookie Banner Taskforce-kriteriene.
Påkrevde bannerelementer
Myndigheten forventer at bannere inkluderer et eksplisitt avvisningsalternativ på det første laget, granulære kategorikontroller som skiller strengt nødvendige informasjonskapsler fra analyse og fra markedsføring, og en klar tilbaketrekkingsmekanisme. Forhåndsmerkede bokser og villedende lenkedesign er eksplisitte feil. Forventningen er konvergens med europeiske normer, og ethvert banner som passerer EU-granskning vil tilfredsstille Myndigheten.
Krav om hebraisk
Bannere som betjener israelsk trafikk bør være tilgjengelige på hebraisk. Myndigheten har ikke formalisert dette som et strengt krav, men har bemerket i veiledningen at hebraisk tilgjengelighet er en del av det «informerte» aspektet ved samtykkstandarden for hebraisktalende publikum.
Dokumentasjon og ansvarlighet
Ansvarlighetsprinsippet i israelsk rett følger GDPRs. Utgivere må på forespørsel kunne dokumentere samtykke beslutninger. Revisjonsnivå-logging — tidsstempel, bannerversjon, valg, besøkendes rettsområde — er det praktiske kravet.
EU-tilstrekkelighetsspørsmålet
Israels EU-tilstrekkelighetsbeslutning er en av de strategisk viktigste trekkene ved landets personvernregime. 2011-beslutningen tillater at personopplysninger flytes fra EU til Israel uten ytterligere garantier, noe som gjør israelske operatører betydelig mer attraktive partnere for europeiske virksomheter enn operatører i utilstrekkelige rettsområder. Kommisjonens periodiske tilstrekkelighetsvurderingsprosess krever at Israels rammeverk holder tritt med europeiske standarder. Amendment 13 var, i betydelig grad, motivert av å opprettholde tilstrekkelighet gjennom den neste gjennomgangssyklusen.
For utgivere er den praktiske implikasjonen at etterlevelse av det endrede israelske rammeverket ikke bare handler om å unngå innenlands håndhevelse; det handler om å bevare landets tilstrekkelighetsstatus og den privilegerte tilgangen til europeiske datastrømmer som denne statusen gir. Myndighetens håndhevingsprioriteringer gjenspeiler dette — feil i bannerdesign på israelske nettsteder tas mer alvorlig av Myndigheten enn de samme feilene kan tas i utilstrekkelige rettsområder på grunn av de systemiske tilstrekkelighetsmessige implikasjonene.
Privacy Protection Authoritys Håndhevingsposisjon
Myndigheten opererer fra Justisdepartementet, men med betydelig operasjonell uavhengighet. Dens håndhevingsposisjon har historisk sett vært avmålt — kapasitetsbygging, sektorkonsultasjon og målrettede høyprofilsaker snarere enn høyvolumsgebyr — men Amendment 13s utvidede verktøykasse har merkbart skiftet mønsteret.
Etterforskningstrigger
Myndigheten åpner etterforskning primært gjennom tre kanaler: klager fra registrerte, bruddmeldinger og sektorvurderinger. Nettbaserte utgivere tenderer til å dukke opp via den første kanalen — en klage om bannerdesign eller sporingssatferd blir ofte inngangspunktet.
Sanksjonspraksis
Myndighetens bøter etter Amendment 13 har fulgt et mønster: en utbedringsperiode tilbys først, med monetære straffer kun ilagt når utbedringen er ufullstendig eller avvist. Signalet er at en rettferdig etterlevelsesposisjon betyr noe selv når feil er til stede.
Koordinering med EU-regulatorer
Myndigheten deltar aktivt i Article 29-stil koordineringsmekanismer som involverer tilstrekkelige rettsområder. Håndhevingsposisjoner tenderer til å følge EDPB-veiledningen, og grensekryssende klager som involverer EU- og israelsk trafikk håndteres i økende grad gjennom koordinerte prosedyrer.
En Praktisk Etterlevelse-sjekkliste
Seks konkrete spørsmål å besvare for ethvert informasjonskapsel-banner som betjener israelsk trafikk.
- Er det en eksplisitt avvisningsknapp på første lag? Avvisningsstien må ligge på samme overflate som aksept, med sammenlignbar visuell fremtredenhet.
- Er kategorier granulære? Nødvendige, analyse- og markedsføringskategorier må være separat kontrollerbare; samlet godta-alt uten granularitet er en feil.
- Er hebraisk tilgjengelig? For publikum som inkluderer hebraisktalende, bør banneret og retningslinjene støtte hebraisk.
- Er tilbaketrekking like enkelt som samtykke? En vedvarende kontroll som er tilgjengelig fra alle sider, er den operative forventningen.
- Er grensekryssende overføringer dokumentert? Identifiser hvilke destinasjoner som er i utilstrekkelige rettsområder og hvilken garanti som autoriserer hver overføring.
- Er samtykke-logging på revisjonsnivå? Tidsstempel, bannerversjon, valg og rettsområde på beslutningstidspunktet må være gjenopprettbare.
Hvor Israel Passer i det Globale Bildet
Israels Amendment 13 gjenspeiler et bredere mønster: rettsområder som kom før GDPR moderniserer sine rammeverk for å opprettholde samsvar med europeiske standarder. Japan, Storbritannia, Sør-Korea og Brasil har alle fulgt lignende baner. For utgivere som opererer på tvers av disse markedene, er den praktiske implikasjonen at én CMP-infrastruktur bygget til europeiske standarder håndterer det meste av reguleringslandskapet — Israels rammeverk, etter endringen, er fast innenfor den konvolutten. Den strategiske verdien er todelt: innenlands etterlevelse pluss fortsatt deltakelse i det privilegerte datastrøm-forholdet med EU som tilstrekkelighetsstatus gir. Investeringen i riktig bannerarkitektur og samtykke-logging som europeisk etterlevelse allerede rettferdiggjør, er i Israel en mer direkte forsvarbar investering enn i de fleste utilstrekkelige rettsområder.