Przewodnik po zgodzie na pliki cookie według izraelskiej ustawy o ochronie prywatności: Zgodność z Amendment 13 dla wydawców
Izraelska ustawa o ochronie prywatności ma długą historię. Pierwotny statut datuje się na 1981 rok, Privacy Protection Authority — krajowy organ regulacyjny ds. ochrony danych — został ustanowiony w 2006 roku, a UE uznała Izrael za odpowiednią jurysdykcję dla przekazywania danych osobowych od 2011 roku, jeden z zaledwie kilku krajów posiadających taki status. Przez większość tego okresu standardy merytoryczne były ogólnie zgodne z GDPR, ale architektura egzekwowania była lżejsza, a szczegóły techniczne mniej rozwinięte. Amendment 13, która weszła w życie w sierpniu 2025 roku, to zmienia. Nowelizacja modernizuje standard zgody, rozszerza ramy praw, zaostrza zasady przekazywania danych transgranicznych i znacząco wzmacnia uprawnienia egzekwowania Privacy Protection Authority. Dla wydawców działających na rynku izraelskim lub kierujących reklamy do izraelskiego ruchu — rynku z jedną z najbardziej zaangażowanych cyfrowo populacji na świecie — praktyczny efekt jest taki, że zgoda na pliki cookie i zgodność z śledzeniem online jest teraz znacznie bliżej europejskiego standardu. Ten przewodnik omawia, co się zmieniło, jaki jest obecny standard operacyjny i na czym wydawcy powinni skupić działania naprawcze.
Ustawa o ochronie prywatności w 2026 roku
Izraelskie ramy składają się z trzech warstw: samej ustawy o ochronie prywatności (głównego aktu prawnego), Privacy Protection Regulations (które wypełniają szczegóły operacyjne, w szczególności Data Security Regulations z 2017 roku) oraz dyrektyw i dokumentów stanowiskowych wydanych przez Privacy Protection Authority. Amendment 13 modyfikuje pierwszą warstwę i uruchamia aktualizacje w drugiej; trzecia — wytyczne interpretacyjne Organu — jest nieustannie aktualizowana od czasu wejścia w życie nowelizacji.
Podstawowe zasady będą znane każdemu, kto pracuje z GDPR: podstawa prawna, ograniczenie celu, minimalizacja danych, dokładność, ograniczenie przechowywania, integralność i rozliczalność. Podstawy prawne w prawie izraelskim obejmują zgodę, wykonanie umowy, obowiązek prawny, interes publiczny i uzasadnione interesy, każda z własnym zakresem. W przypadku śledzenia online odpowiednimi podstawami są zgoda i, w wąskich okolicznościach, uzasadnione interesy — te same ramy, które większość operatorów już zna.
Co Amendment 13 Faktycznie Zmieniła
Nowelizacja jest szersza niż zgoda na pliki cookie, ale cztery zmiany mają największe znaczenie dla wydawców online.
Wzmocniony standard zgody
Nowelizacja zaostrza definicję zgody, wymagając, aby była swobodna, konkretna, świadoma i jednoznaczna — sformułowanie ściśle nawiązujące do GDPR Article 4(11). Domniemana zgoda i kontynuowanie użytkowania jako zgoda, które były niejednoznacznie akceptowalne pod starszą interpretacją, są teraz jednoznacznie niewystarczające dla nieistotnego śledzenia.
Rozszerzone prawa podmiotów danych
Prawa dostępu, sprostowania, usunięcia i sprzeciwu są doprecyzowane i rozszerzone. Nowelizacja wprowadza wyraźne terminy na odpowiedzi (45 dni, z możliwością przedłużenia o 30 w skomplikowanych przypadkach) i precyzuje obowiązek wydawcy do zapewnienia jasnej ścieżki korzystania z praw.
Dokładniejsze ramy przekazywania danych transgranicznych
Przekazywanie do nieodpowiednich jurysdykcji wymaga teraz wyraźnych zabezpieczeń — modelowych klauzul umownych, wiążących reguł korporacyjnych lub szczegółowych wyjątków. Ramy są bliższe GDPR Chapter V niż starsze podejście izraelskie, a Organ zaczął publikować modelowe klauzule podobne do unijnych SCC.
Silniejsze uprawnienia egzekwowania
Kary administracyjne zostały znacznie zwiększone. Maksymalna kara jest powiązana z procentem przychodów organizacji z wysokim bezwzględnym pułapem, podobnie jak w przypadku stopniowanej struktury GDPR. Organ otrzymał rozszerzone uprawnienia dochodzeniowe, w tym możliwość nakładania obowiązku produkcji dokumentów i przeprowadzania inspekcji na miejscu.
Zgoda na pliki cookie według zmienionego standardu
Ustawa o ochronie prywatności nie zawiera specyficznego przepisu dotyczącego plików cookie w taki sposób jak unijna dyrektywa ePrivacy. Zamiast tego wymóg zgody wynika z ogólnego standardu zgody i wytycznych interpretacyjnych Organu. Wytyczne z 2026 roku dotyczące śledzenia online, opublikowane wkrótce po wejściu w życie Amendment 13, formułują oczekiwania ściśle zbieżne z kryteriami EDPB Cookie Banner Taskforce.
Wymagane elementy bannera
Organ oczekuje, że bannery będą zawierać wyraźną opcję odrzucenia na pierwszej warstwie, szczegółowe kontrole kategorii oddzielające ściśle niezbędne pliki cookie od analitycznych i od marketingowych, oraz wyraźny mechanizm wycofania. Wstępnie zaznaczone pola i zwodniczy projekt linków to wyraźne wady. Oczekiwana jest konwergencja z normami europejskimi, a każdy banner, który przejdzie kontrolę UE, spełni wymagania Organu.
Wymóg języka hebrajskiego
Bannery obsługujące izraelski ruch powinny być dostępne w języku hebrajskim. Organ nie sformalizował tego jako ścisłego wymogu, ale zaznaczył w wytycznych, że dostępność języka hebrajskiego jest częścią aspektu «świadomości» standardu zgody dla odbiorców mówiących po hebrajsku.
Dokumentacja i rozliczalność
Zasada rozliczalności w prawie izraelskim jest zgodna z GDPR. Wydawcy muszą być w stanie wykazać decyzje dotyczące zgody na żądanie. Rejestrowanie na poziomie audytu — znacznik czasu, wersja bannera, wybór, jurysdykcja odwiedzającego — jest praktycznym wymogiem.
Kwestia adekwatności UE
Decyzja UE o adekwatności Izraela jest jedną z najważniejszych strategicznie cech jego reżimu prywatności. Decyzja z 2011 roku umożliwia przepływ danych osobowych z UE do Izraela bez dodatkowych zabezpieczeń, czyniąc izraelskich operatorów znacznie atrakcyjniejszymi partnerami dla europejskich przedsiębiorstw niż operatorów w nieodpowiednich jurysdykcjach. Okresowy proces przeglądu adekwatności Komisji wymaga, aby ramy izraelskie dotrzymywały kroku europejskim standardom. Amendment 13 była, w znacznej mierze, motywowana utrzymaniem adekwatności przez następny cykl przeglądu.
Dla wydawców praktyczne implikacje są takie, że zgodność ze zmienionym izraelskim ramami nie dotyczy tylko unikania egzekwowania krajowego; chodzi o zachowanie statusu adekwatności kraju i uprzywilejowanego dostępu do europejskich przepływów danych, który ten status zapewnia. Priorytety egzekwowania Organu to odzwierciedlają — wady w projektowaniu banerów na izraelskich stronach są traktowane poważniej przez Organ niż te same wady w nieodpowiednich jurysdykcjach ze względu na systemiczne implikacje adekwatności.
Stanowisko egzekwowania Privacy Protection Authority
Organ działa w ramach Ministerstwa Sprawiedliwości, ale z znaczną niezależnością operacyjną. Jego stanowisko egzekwowania było historycznie wyważone — budowanie zdolności, konsultacje sektorowe i ukierunkowane głośne sprawy, a nie masowe nakładanie kar — ale rozszerzona skrzynka narzędziowa Amendment 13 wyraźnie przesunęła wzorzec.
Wyzwalacze dochodzenia
Organ wszczyna dochodzenia głównie trzema kanałami: skargi podmiotów danych, powiadomienia o naruszeniach i przeglądy sektorowe. Wydawcy online zwykle pojawiają się przez pierwszy kanał — skarga dotycząca projektu bannera lub zachowania śledzącego często staje się punktem wejścia.
Praktyka sankcyjna
Kary Organu po Amendment 13 są zgodne ze wzorcem: najpierw oferowany jest okres naprawczy, kary pieniężne nakładane są tylko wtedy, gdy naprawa jest niekompletna lub odmówiona. Sygnał jest taki, że stanowisko dobrej wiary w kwestii zgodności ma znaczenie nawet w przypadku obecności wad.
Koordynacja z regulatorami UE
Organ aktywnie uczestniczy w mechanizmach koordynacji w stylu Article 29 obejmujących odpowiednie jurysdykcje. Stanowiska egzekwowania mają tendencję do śledzenia wytycznych EDPB, a transgraniczne skargi dotyczące ruchu UE i Izraela są coraz częściej rozpatrywane w ramach skoordynowanych procedur.
Praktyczna lista kontrolna zgodności
Sześć konkretnych pytań, na które należy odpowiedzieć w odniesieniu do każdego bannera plików cookie obsługującego izraelski ruch.
- Czy istnieje wyraźny przycisk odrzucenia na pierwszej warstwie? Ścieżka odrzucenia musi znajdować się na tej samej powierzchni co akceptacja, z porównywalną widocznością wizualną.
- Czy kategorie są szczegółowe? Niezbędne, analityczne i marketingowe muszą być oddzielnie kontrolowane; zbiorcze akceptuj-wszystko bez szczegółowości jest wadą.
- Czy język hebrajski jest dostępny? Dla odbiorców obejmujących mówiących po hebrajsku, banner i polityka powinny obsługiwać język hebrajski.
- Czy wycofanie jest tak łatwe jak zgoda? Trwała kontrola dostępna z każdej strony jest oczekiwaniem operacyjnym.
- Czy przekazywanie transgraniczne jest udokumentowane? Zidentyfikuj, które miejsca docelowe znajdują się w nieodpowiednich jurysdykcjach i jakie zabezpieczenie autoryzuje każde przekazanie.
- Czy rejestrowanie zgody jest na poziomie audytu? Znacznik czasu, wersja bannera, wybór i jurysdykcja w chwili decyzji muszą być możliwe do odtworzenia.
Gdzie Izrael Wpisuje się w Globalny Obraz
Amendment 13 Izraela odzwierciedla szerszy wzorzec: jurysdykcje poprzedzające GDPR modernizują swoje ramy w celu utrzymania zgodności z europejskimi standardami. Japonia, Wielka Brytania, Korea Południowa i Brazylia podążyły podobnymi trajektoriami. Dla wydawców działających na tych rynkach praktyczna implikacja jest taka, że jedna infrastruktura CMP zbudowana zgodnie z europejskimi standardami obsługuje większość krajobrazu regulacyjnego — izraelskie ramy, po nowelizacji, są solidnie wewnątrz tej koperty. Wartość strategiczna jest dwojaka: krajowa zgodność oraz stały udział w uprzywilejowanej relacji przepływów danych z UE, którą zapewnia status adekwatności. Inwestycja w odpowiednią architekturę banerów i rejestrowanie zgody, którą europejska zgodność już uzasadnia, jest w Izraelu bardziej bezpośrednio obronną inwestycją niż w większości nieodpowiednich jurysdykcji.