Guide till cookie-samtycke enligt Israels integritetsskyddslag: Amendment 13-efterlevnad för utgivare

Israels integritetsskyddslag har en lång historia. Den ursprungliga lagen daterar sig till 1981, Privacy Protection Authority — landets dataskyddsmyndighet — inrättades 2006, och EU har erkänt Israel som en adekvat jurisdiktion för personuppgiftsöverföringar sedan 2011, ett av endast ett fåtal länder med den statusen. Under större delen av den perioden var de materiella standarderna i stort sett anpassade till GDPR, men tillsynsarkitekturen var lättare och de tekniska detaljerna mindre utvecklade. Amendment 13, som trädde i kraft i augusti 2025, förändrar det. Ändringen moderniserar samtyckesstandarden, utvidgar rättighetsramverket, skärper reglerna för gränsöverskridande överföringar och stärker avsevärt Privacy Protection Authoritys tillsynsbefogenheter. För utgivare som verkar i eller riktar sig mot israelisk trafik — en marknad med en av världens mest digitalt engagerade befolkningar — är den praktiska effekten att cookie-samtycke och efterlevnad av spårning online nu är väsentligt närmre den europeiska standarden. Den här guiden går igenom vad som förändrades, vad den operativa standarden nu är och var utgivare bör fokusera åtgärdsarbetet.

Integritetsskyddslagen 2026

Det israeliska ramverket vilar på tre lager: Privacy Protection Law i sig (den primära lagen), Privacy Protection Regulations (som fyller i operativa detaljer, framför allt Data Security Regulations från 2017) samt direktiv och positionspapper utfärdade av Privacy Protection Authority. Amendment 13 modifierar det första lagret och utlöser uppdateringar av det andra; det tredje — myndighetens tolkningsvägledning — har uppdaterats kontinuerligt sedan ändringen trädde i kraft.

Grundprinciperna kommer att vara bekanta för alla som arbetar med GDPR: rättslig grund, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringstid, integritet och ansvarsskyldighet. De rättsliga grunderna enligt israelisk lag inkluderar samtycke, avtalsfullgörelse, rättslig förpliktelse, allmänt intresse och berättigat intresse, var och en med sitt eget tillämpningsområde. För spårning online är de relevanta grunderna samtycke och, i snäva omständigheter, berättigat intresse — samma ramverk som de flesta operatörer redan känner till.

Vad Amendment 13 faktiskt förändrade

Ändringen är bredare än cookie-samtycke, men fyra förändringar är viktigast för onlineutgivare.

Förstärkt samtyckesstandard

Ändringen skärper definitionen av samtycke och kräver att det är frivilligt, specifikt, informerat och otvetydigt — formulering som noga följer GDPR Article 4(11). Underförstått samtycke och fortsatt användning som samtycke, vilket hade varit tvetydigt acceptabelt under den äldre tolkningen, är nu otvetydigt otillräckligt för icke-nödvändig spårning.

Utökade rättigheter för registrerade

Rättigheterna till tillgång, rättelse, radering och invändning förtydligas och utökas. Ändringen inför uttryckliga tidsfrister för svar (45 dagar, förlängningsbart med 30 i komplexa fall) och förtydligar utgivarens skyldighet att tillhandahålla en tydlig väg för att utöva rättigheter.

Skärpt ramverk för gränsöverskridande överföringar

Överföringar till icke-adekvata jurisdiktioner kräver nu uttryckliga skyddsåtgärder — standardavtalsklausuler, bindande företagsregler eller specifika undantag. Ramverket är närmre GDPR:s Chapter V än det äldre israeliska tillvägagångssättet, och myndigheten har börjat publicera modellklausuler liknande EU SCC.

Starkare tillsynsbefogenheter

Administrativa böter höjs avsevärt. Maximalstraffet är kopplat till en procentandel av organisationens intäkter med ett högt absolut tak, liknande GDPR:s nivåindelade struktur. Myndigheten har fått utökade utredningsbefogenheter, inklusive möjligheten att tvinga fram dokumentation och genomföra inspektioner på plats.

Cookie-samtycke enligt den ändrade standarden

Privacy Protection Law innehåller inte en cookie-specifik bestämmelse på det sätt som EU:s ePrivacy-direktiv gör. Istället härrör samtyckeskravet från den allmänna samtyckesstandarden och från myndighetens tolkningsvägledning. 2026 års vägledning om spårning online, publicerad kort efter att Amendment 13 trädde i kraft, formulerar förväntningar som nära stämmer överens med EDPB Cookie Banner Taskforce-kriterierna.

Obligatoriska bannerelement

Myndigheten förväntar sig att banners inkluderar ett uttryckligt avvisningsalternativ på det första lagret, granulerade kategorikontroller som separerar strikt nödvändiga cookies från analytik och från marknadsföring, och en tydlig återkallningsmekanism. Förifyllda rutor och vilseledande länkdesign är uttryckliga brister. Förväntningen är konvergens med europeiska normer och varje banner som klarar EU:s granskning kommer att tillfredsställa myndigheten.

Krav på hebreiska

Banners som betjänar israelisk trafik bör vara tillgängliga på hebreiska. Myndigheten har inte formaliserat detta som ett strikt krav men har noterat i vägledningen att tillgänglighet på hebreiska är en del av det „informerade“ kriteriet i samtyckesstandarden för hebreisktalande målgrupper.

Dokumentation och ansvarsskyldighet

Ansvarsprincipen i israelisk lag följer GDPR:s. Utgivare måste kunna påvisa samtycksbeslut på begäran. Loggning på revisionsnivå — tidsstämpel, bannerversion, val, besökarens jurisdiktion — är det praktiska kravet.

EU-adekvansfrågon

Israels EU-adekvansbeslut är en av de strategiskt viktigaste egenskaperna hos dess integritetsregelverk. 2011 års beslut tillåter personuppgifter att flöda från EU till Israel utan ytterligare skyddsåtgärder, vilket gör israeliska operatörer till väsentligt mer attraktiva partners för europeiska företag än operatörer i icke-adekvata jurisdiktioner. Kommissionens periodiska adekvansgranskningsprocess kräver att Israels ramverk håller jämna steg med europeiska standarder. Amendment 13 motiverades i betydande del av att upprätthålla adekvans genom nästa granskningscykel.

För utgivare är den praktiska implikationen att efterlevnad av det ändrade israeliska ramverket inte bara handlar om att undvika inhemsk tillsyn; det handlar om att bevara landets adekvansstatus och den privilegierade tillgången till europeiska dataflöden som den statusen ger. Myndighetens tillsynsprioriteringar återspeglar detta — brister i bannerdesign på israeliska webbplatser tas mer seriöst av myndigheten än samma brister kan vara i icke-adekvata jurisdiktioner på grund av de systemiska adekvansimplikationerna.

Privacy Protection Authoritys tillsynsposition

Myndigheten verkar inom Justitieministeriet men med betydande operativ självständighet. Dess tillsynsposition har historiskt sett varit avvägd — kapacitetsuppbyggnad, sektoriell konsultation och riktade högprofilerade ärenden snarare än massböter — men Amendment 13:s utökade verktygsuppsättning har märkbart förskjutit mönstret.

Utredningsutlösare

Myndigheten inleder utredningar primärt genom tre kanaler: klagomål från registrerade, anmälningar om dataintrång och sektoriella granskningar. Onlineutgivare tenderar att dyka upp via den första kanalen — ett klagomål om bannerdesign eller spårningsbeteende blir ofta ingångspunkten.

Sanktionspraxis

Myndighetens böter efter Amendment 13 har följt ett mönster: en saneringsperiod erbjuds först, med ekonomiska påföljder som åläggs endast när saneringsåtgärder är ofullständiga eller nekas. Signalen är att god tro i efterlevnadsarbetet spelar roll även när brister föreligger.

Samordning med EU-tillsynsmyndigheter

Myndigheten deltar aktivt i de Article 29-liknande samordningsmekanismer som involverar adekvata jurisdiktioner. Tillsynspositioner tenderar att följa EDPB:s vägledning och gränsöverskridande klagomål som involverar EU- och israelisk trafik hanteras allt oftare genom samordnade förfaranden.

En praktisk efterlevnadschecklista

Sex konkreta frågor att besvara för varje cookie-banner som betjänar israelisk trafik.

Var Israel passar in i den globala bilden

Israels Amendment 13 återspeglar ett bredare mönster: jurisdiktioner som föregår GDPR moderniserar sina ramverk för att upprätthålla anpassning till europeiska standarder. Japan, Storbritannien, Sydkorea och Brasilien har alla följt liknande trajektorier. För utgivare som verkar på dessa marknader är den praktiska implikationen att en enda CMP-infrastruktur byggd enligt europeiska standarder hanterar det mesta av det regulatoriska landskapet — Israels ramverk, efter ändringen, befinner sig fast inom det kuvertet. Det strategiska värdet är tvåfaldigt: inhemsk efterlevnad plus fortsatt deltagande i det privilegierade dataflödesförhållandet med EU som adekvansstatusen ger. Investeringen i korrekt bannerarkitektur och samtyckesloggning som europeisk efterlevnad redan motiverar är, i Israel, en mer direkt försvarbar investering än i de flesta icke-adekvata jurisdiktioner.

← Blogg Läs allt →