คู่มือความยินยอมคุกกี้ตามกฎหมายคุ้มครองความเป็นส่วนตัวของอิสราเอล: การปฏิบัติตาม Amendment 13 สำหรับผู้เผยแพร่

กฎหมายคุ้มครองความเป็นส่วนตัวของอิสราเอลมีประวัติยาวนาน กฎหมายฉบับดั้งเดิมมีมาตั้งแต่ปี 1981 Privacy Protection Authority ซึ่งเป็นหน่วยงานกำกับดูแลการคุ้มครองข้อมูลของประเทศก่อตั้งขึ้นในปี 2006 และ EU ได้ยอมรับอิสราเอลว่าเป็นเขตอำนาจศาลที่เพียงพอสำหรับการถ่ายโอนข้อมูลส่วนบุคคลตั้งแต่ปี 2011 ซึ่งเป็นหนึ่งในไม่กี่ประเทศที่มีสถานะนั้น ในช่วงเวลาส่วนใหญ่ มาตรฐานเนื้อหาสอดคล้องกับ GDPR เป็นส่วนใหญ่ แต่โครงสร้างการบังคับใช้นั้นเบากว่าและรายละเอียดทางเทคนิคมีการพัฒนาน้อยกว่า Amendment 13 ซึ่งมีผลบังคับใช้ในเดือนสิงหาคม 2025 เปลี่ยนแปลงสิ่งนั้น การแก้ไขดังกล่าวปรับปรุงมาตรฐานความยินยอม ขยายกรอบสิทธิ เพิ่มความเข้มงวดของกฎการถ่ายโอนข้ามพรมแดน และเสริมสร้างอำนาจการบังคับใช้ของ Privacy Protection Authority อย่างมีนัยสำคัญ สำหรับผู้เผยแพร่ที่ดำเนินการหรือกำหนดเป้าหมายการรับส่งข้อมูลของอิสราเอล ซึ่งเป็นตลาดที่มีประชากรมีส่วนร่วมทางดิจิทัลมากที่สุดแห่งหนึ่งของโลก ผลในทางปฏิบัติคือการปฏิบัติตามความยินยอมสำหรับคุกกี้และการติดตามออนไลน์ขณะนี้ใกล้เคียงกับมาตรฐานยุโรปมากขึ้นอย่างมีนัยสำคัญ คู่มือนี้จะอธิบายว่าอะไรเปลี่ยนไป มาตรฐานการดำเนินงานในปัจจุบันคืออะไร และผู้เผยแพร่ควรเน้นงานแก้ไขที่ใด

กฎหมายคุ้มครองความเป็นส่วนตัวในปี 2026

กรอบงานของอิสราเอลอยู่บนสามชั้น ได้แก่ Privacy Protection Law เอง (กฎหมายหลัก) Privacy Protection Regulations (ซึ่งเติมรายละเอียดการดำเนินงาน โดยเฉพาะ Data Security Regulations ปี 2017) และคำสั่งและเอกสารแสดงจุดยืนที่ออกโดย Privacy Protection Authority Amendment 13 ปรับเปลี่ยนชั้นแรกและกระตุ้นให้มีการอัปเดตชั้นที่สอง ชั้นที่สาม ซึ่งเป็นคำแนะนำการตีความของหน่วยงาน ได้รับการอัปเดตอย่างต่อเนื่องตั้งแต่การแก้ไขมีผลบังคับใช้

หลักการหลักจะเป็นที่คุ้นเคยสำหรับทุกคนที่ทำงานกับ GDPR ได้แก่ ฐานทางกฎหมาย การจำกัดวัตถุประสงค์ การลดข้อมูล ความถูกต้อง การจำกัดการจัดเก็บ ความสมบูรณ์ และความรับผิดชอบ ฐานทางกฎหมายภายใต้กฎหมายอิสราเอลรวมถึงความยินยอม การปฏิบัติตามสัญญา ภาระผูกพันทางกฎหมาย ประโยชน์สาธารณะ และประโยชน์ที่ชอบด้วยกฎหมาย แต่ละฐานมีขอบเขตของตนเอง สำหรับการติดตามออนไลน์ ฐานที่เกี่ยวข้องคือความยินยอม และในกรณีจำกัด ประโยชน์ที่ชอบด้วยกฎหมาย ซึ่งเป็นกรอบงานเดียวกับที่ผู้ดำเนินการส่วนใหญ่รู้จักอยู่แล้ว

สิ่งที่ Amendment 13 เปลี่ยนแปลงจริง ๆ

การแก้ไขนั้นกว้างกว่าความยินยอมสำหรับคุกกี้ แต่มีการเปลี่ยนแปลงสี่ประการที่สำคัญที่สุดสำหรับผู้เผยแพร่ออนไลน์

มาตรฐานความยินยอมที่เข้มแข็งขึ้น

การแก้ไขทำให้คำจำกัดความของความยินยอมเข้มงวดขึ้น โดยกำหนดให้ต้องเป็นไปอย่างอิสระ เฉพาะเจาะจง มีข้อมูล และชัดเจน ซึ่งเป็นภาษาที่ติดตาม GDPR Article 4(11) อย่างใกล้ชิด ความยินยอมโดยนัยและการใช้ต่อเนื่องในฐานะความยินยอม ซึ่งเคยยอมรับได้อย่างคลุมเครือภายใต้การตีความเก่า ขณะนี้ชัดเจนว่าไม่เพียงพอสำหรับการติดตามที่ไม่จำเป็น

สิทธิของเจ้าของข้อมูลที่ขยายออก

สิทธิในการเข้าถึง การแก้ไข การลบ และการคัดค้านได้รับการชี้แจงและขยาย การแก้ไขนำเสนอกำหนดเวลาที่ชัดเจนสำหรับการตอบสนอง (45 วัน ต่อได้ 30 วันในกรณีที่ซับซ้อน) และชี้แจงภาระหน้าที่ของผู้เผยแพร่ในการจัดหาเส้นทางที่ชัดเจนสำหรับการใช้สิทธิ

กรอบการถ่ายโอนข้ามพรมแดนที่เข้มงวดยิ่งขึ้น

การถ่ายโอนไปยังเขตอำนาจศาลที่ไม่เพียงพอขณะนี้ต้องการมาตรการป้องกันที่ชัดเจน ได้แก่ ข้อกำหนดตามสัญญาต้นแบบ กฎของบริษัทที่มีผลผูกพัน หรือการละเว้นเฉพาะ กรอบงานใกล้เคียงกับ Chapter V ของ GDPR มากกว่าแนวทางเก่าของอิสราเอล และหน่วยงานได้เริ่มเผยแพร่ข้อกำหนดต้นแบบที่คล้ายกับ EU SCC

อำนาจการบังคับใช้ที่แข็งแกร่งขึ้น

ค่าปรับทางปกครองเพิ่มขึ้นอย่างมาก โทษสูงสุดผูกพันกับร้อยละของรายได้ขององค์กรโดยมีเพดานสัมบูรณ์สูง คล้ายกับโครงสร้างแบบแบ่งระดับของ GDPR หน่วยงานได้รับอำนาจการสืบสวนที่ขยายออก รวมถึงความสามารถในการบังคับให้ผลิตเอกสารและดำเนินการตรวจสอบในสถานที่

ความยินยอมสำหรับคุกกี้ภายใต้มาตรฐานที่แก้ไข

Privacy Protection Law ไม่มีบทบัญญัติเฉพาะสำหรับคุกกี้ในลักษณะเดียวกับที่คำสั่ง ePrivacy ของ EU มี แต่ข้อกำหนดความยินยอมมาจากมาตรฐานความยินยอมทั่วไปและคำแนะนำการตีความของหน่วยงาน คำแนะนำปี 2026 เกี่ยวกับการติดตามออนไลน์ที่เผยแพร่ไม่นานหลังจาก Amendment 13 มีผลบังคับใช้ ระบุความคาดหวังที่สอดคล้องอย่างใกล้ชิดกับเกณฑ์ EDPB Cookie Banner Taskforce

องค์ประกอบแบนเนอร์ที่จำเป็น

หน่วยงานคาดหวังให้แบนเนอร์มีตัวเลือกปฏิเสธที่ชัดเจนในชั้นแรก การควบคุมหมวดหมู่แบบละเอียดที่แยกคุกกี้ที่จำเป็นเคร่งครัดออกจากการวิเคราะห์และจากการตลาด และกลไกการถอนที่ชัดเจน กล่องที่ทำเครื่องหมายไว้ล่วงหน้าและการออกแบบลิงก์ที่หลอกลวงเป็นข้อบกพร่องที่ชัดเจน ความคาดหวังคือการรวมกับบรรทัดฐานของยุโรป และแบนเนอร์ใดก็ตามที่ผ่านการตรวจสอบของ EU จะเป็นที่พอใจของหน่วยงาน

ข้อกำหนดภาษาฮีบรู

แบนเนอร์ที่ให้บริการการรับส่งข้อมูลของอิสราเอลควรมีให้บริการเป็นภาษาฮีบรู หน่วยงานไม่ได้กำหนดอย่างเป็นทางการให้เป็นข้อกำหนดที่เข้มงวด แต่ได้ระบุในคำแนะนำว่าความพร้อมใช้งานภาษาฮีบรูเป็นส่วนหนึ่งของเกณฑ์ที่ได้รับข้อมูลของมาตรฐานความยินยอมสำหรับผู้ชมที่พูดภาษาฮีบรู

เอกสารและความรับผิดชอบ

หลักการรับผิดชอบในกฎหมายอิสราเอลติดตามของ GDPR ผู้เผยแพร่ต้องสามารถแสดงการตัดสินใจความยินยอมตามคำขอได้ การบันทึกระดับการตรวจสอบ ได้แก่ การประทับเวลา เวอร์ชันแบนเนอร์ ตัวเลือก เขตอำนาจศาลของผู้เยี่ยมชม เป็นข้อกำหนดในทางปฏิบัติ

คำถามเรื่องความเพียงพอของ EU

การตัดสินใจด้านความเพียงพอของ EU ของอิสราเอลเป็นหนึ่งในคุณสมบัติที่สำคัญทางยุทธศาสตร์ที่สุดของระบบความเป็นส่วนตัว การตัดสินใจปี 2011 อนุญาตให้ข้อมูลส่วนบุคคลไหลจาก EU ไปยังอิสราเอลโดยไม่ต้องมีมาตรการป้องกันเพิ่มเติม ทำให้ผู้ดำเนินการของอิสราเอลเป็นพันธมิตรที่น่าดึงดูดใจมากกว่าสำหรับธุรกิจในยุโรปมากกว่าผู้ดำเนินการในเขตอำนาจศาลที่ไม่เพียงพออย่างมาก กระบวนการตรวจสอบความเพียงพอเป็นระยะของคณะกรรมาธิการกำหนดให้กรอบงานของอิสราเอลต้องก้าวทันมาตรฐานของยุโรป Amendment 13 ได้รับแรงจูงใจอย่างมีนัยสำคัญจากการรักษาความเพียงพอผ่านรอบการตรวจสอบถัดไป

สำหรับผู้เผยแพร่ ผลในทางปฏิบัติคือการปฏิบัติตามกรอบงานอิสราเอลที่แก้ไขไม่ได้เกี่ยวกับการหลีกเลี่ยงการบังคับใช้ในประเทศเท่านั้น แต่เกี่ยวกับการรักษาสถานะความเพียงพอของประเทศและการเข้าถึงที่มีสิทธิพิเศษในการไหลของข้อมูลยุโรปที่สถานะนั้นมอบให้ ลำดับความสำคัญในการบังคับใช้ของหน่วยงานสะท้อนสิ่งนี้ ข้อบกพร่องในการออกแบบแบนเนอร์บนเว็บไซต์ของอิสราเอลได้รับการพิจารณาอย่างจริงจังมากกว่าโดยหน่วยงานมากกว่าข้อบกพร่องเดียวกันอาจเป็นในเขตอำนาจศาลที่ไม่เพียงพอเนื่องจากผลกระทบเชิงระบบของความเพียงพอ

จุดยืนการบังคับใช้ของ Privacy Protection Authority

หน่วยงานดำเนินการภายใต้กระทรวงยุติธรรม แต่มีความเป็นอิสระในการดำเนินงานอย่างมาก จุดยืนการบังคับใช้ในอดีตเป็นการวัดผล ได้แก่ การสร้างศักยภาพ การปรึกษาหารือในภาคส่วน และกรณีระดับสูงที่มีเป้าหมายแทนที่จะเป็นการปรับค่าปรับจำนวนมาก แต่ชุดเครื่องมือที่ขยายออกของ Amendment 13 ได้เปลี่ยนแปลงรูปแบบอย่างเห็นได้ชัด

ตัวกระตุ้นการสืบสวน

หน่วยงานเปิดการสืบสวนเป็นหลักผ่านสามช่องทาง ได้แก่ การร้องเรียนของเจ้าของข้อมูล การแจ้งเตือนการละเมิด และการตรวจสอบตามภาคส่วน ผู้เผยแพร่ออนไลน์มักปรากฏตัวผ่านช่องทางแรก การร้องเรียนเกี่ยวกับการออกแบบแบนเนอร์หรือพฤติกรรมการติดตามมักกลายเป็นจุดเริ่มต้น

แนวปฏิบัติการลงโทษ

ค่าปรับของหน่วยงานหลัง Amendment 13 เป็นไปตามรูปแบบ โดยเสนอระยะเวลาการแก้ไขก่อน และกำหนดโทษทางการเงินเฉพาะเมื่อการแก้ไขไม่สมบูรณ์หรือถูกปฏิเสธ สัญญาณคือจุดยืนการปฏิบัติตามโดยสุจริตมีความสำคัญแม้เมื่อมีข้อบกพร่อง

การประสานงานกับหน่วยงานกำกับดูแลของ EU

หน่วยงานมีส่วนร่วมอย่างแข็งขันในกลไกการประสานงานในสไตล์ Article 29 ที่เกี่ยวข้องกับเขตอำนาจศาลที่เพียงพอ จุดยืนการบังคับใช้มักติดตามคำแนะนำของ EDPB และการร้องเรียนข้ามพรมแดนที่เกี่ยวข้องกับการรับส่งข้อมูลของ EU และอิสราเอลได้รับการจัดการผ่านขั้นตอนที่ประสานกันมากขึ้นเรื่อย ๆ

รายการตรวจสอบการปฏิบัติตามในทางปฏิบัติ

คำถามหกข้อที่เป็นรูปธรรมสำหรับตอบสำหรับแบนเนอร์คุกกี้ใด ๆ ที่ให้บริการการรับส่งข้อมูลของอิสราเอล

อิสราเอลอยู่ที่ใดในภาพรวมระดับโลก

Amendment 13 ของอิสราเอลสะท้อนรูปแบบที่กว้างขึ้น ได้แก่ เขตอำนาจศาลที่มีมาก่อน GDPR กำลังปรับปรุงกรอบงานของตนเพื่อรักษาการปรับตัวให้สอดคล้องกับมาตรฐานยุโรป ญี่ปุ่น สหราชอาณาจักร เกาหลีใต้ และบราซิลล้วนปฏิบัติตามวิถีที่คล้ายกัน สำหรับผู้เผยแพร่ที่ดำเนินการในตลาดเหล่านี้ ผลในทางปฏิบัติคือโครงสร้างพื้นฐาน CMP เดียวที่สร้างตามมาตรฐานยุโรปจัดการภูมิทัศน์กฎระเบียบส่วนใหญ่ กรอบงานของอิสราเอลหลังการแก้ไขนั้นอยู่ในซองนั้นอย่างมั่นคง คุณค่าเชิงยุทธศาสตร์เป็นสองเท่า ได้แก่ การปฏิบัติตามในประเทศรวมกับการมีส่วนร่วมอย่างต่อเนื่องในความสัมพันธ์การไหลของข้อมูลที่มีสิทธิพิเศษกับ EU ที่สถานะความเพียงพอมอบให้ การลงทุนในสถาปัตยกรรมแบนเนอร์ที่เหมาะสมและการบันทึกความยินยอมที่การปฏิบัติตามของยุโรปมีเหตุผลอยู่แล้วเป็น ในอิสราเอล การลงทุนที่สามารถปกป้องได้โดยตรงมากกว่าในเขตอำนาจศาลที่ไม่เพียงพอส่วนใหญ่

← บล็อก อ่านทั้งหมด →