Izraelský dodatek 13: Co nový zákon o ochraně dat znamená pro vaše podnikání

Izrael zavedl svou největší reformu ochrany soukromí za 40 let. Dodatek 13 zákona o ochraně soukromí, který vstoupil v platnost 14. srpna 2025, nyní stanovuje přísnější pravidla pro to, jak organizace shromažďují, ukládají a používají osobní data.

Nová pravidla rozšiřují to, co se počítá za citlivá data, zavádějí povinné Data Protection Officers (DPO), zpřísňují požadavky na souhlas a dávají regulátorům silnější vynucovací pravomoci, včetně možnosti, aby jednotlivci žalovali bez prokazování újmy. Dodatek se také stručně zabývá použitím AI, čímž se Izrael stává jednou z prvních zemí, která vetkává rozhodnutí řízená AI do svého rámce.

Rozsah není omezen jen na Izrael. Pokud vaše společnost zpracovává data o izraelských rezidentech – i bez místní kanceláře – musíte být v souladu.

Zde je, co se mění, jak se to srovnává s globálními standardy a jaké kroky by vaše organizace měla nyní podniknout.

Časová osa: Kdy se izraelský dodatek 13 aplikuje?

• Březen 2024: Dodatek 13 byl schválen Knesetem.
• 14. srpna 2025: Zákon vstoupil v platnost.

Klíčové změny v novém izraelském zákoně o ochraně dat

Dodatek 13 přivádí izraelský rámec ochrany soukromí na moderní standardy, ale rovněž zavádí několik povinností, které jdou nad rámec toho, co většina firem očekává. Nejdůležitější změny zahrnují:

Rozšířený rozsah osobních a citlivých dat

• Osobní data nyní explicitně zahrnují IP adresy, online identifikátory a geolokační data, čímž do rozsahu přicházejí běžné digitální identifikátory.
• „Citlivá data“ jsou předefinována jako „obzvláště citlivá“, pokrývají biometrii, genetická data, trestní záznamy, sexuální orientaci a finanční údaje.
• Společnosti by měly mapovat, kde se tyto kategorie objevují v jejich systémech – například IP v logech serverů nebo biometrická přístupová data v HR systémech.

Další čtení: Co jsou citlivá data a jak je společnosti mohou chránit

Povinní DPO a silnější odpovědnost

• Veřejné orgány, datoví brokeři, organizace, jejichž hlavní činností je zpracování obzvláště citlivých dat, nebo ty, které provádějí systematické monitorování, musí jmenovat Data Protection Officera (DPO).
• DPO musí být nezávislý a mít přímý přístup k vrcholovému vedení.
• V praxi to znamená nejen jmenovat někoho na papíře, ale dát mu pravomoc a zdroje k monitorování souladu napříč odděleními.

Registrace databází a oznámení

• Na rozdíl od GDPR Izrael nadále vyžaduje registraci pro určité databáze.
• Veřejné orgány a databáze přímého marketingu o více než 10 000 jednotlivcích se musí zaregistrovat u regulátora.
• Databáze obsahující obzvláště citlivá data o více než 100 000 jednotlivcích musí podat oznámení.

Požadavky na souhlas a transparentnost

• Souhlas musí být explicitní, dokumentovaný a granulární. Plošný souhlas již není přijatelný.
• Oznámení o ochraně soukromí nyní musí vysvětlit, co je shromažďováno, proč je to shromažďováno, jaká jsou rizika a s kým je to sdíleno.
• To vyžaduje, aby organizace přezkoumaly stávající formuláře souhlasu a přepsaly je tak, aby splňovaly vyšší standardy zveřejnění.

AI a automatizované rozhodování

• Dodatek 13 je jedním z prvních zákonů o ochraně dat, který explicitně pokrývá AI a vyžaduje stejnou důslednost jako jiné použití dat: informovaný souhlas, jasné zveřejnění a odpovědnost.
• Práva subjektů údajů – přístup, oprava a vymazání – budou pro AI systémy přísně vynucována.
• Organizace by měly provádět Data Protection Impact Assessments (DPIAs) k identifikaci rizik a dokumentaci ochranných opatření před nasazením AI.

Další čtení: Strategie pro vyvážení AI a zabezpečení dat

Průběžné bezpečnostní testování

• Velké citlivé databáze musí podstupovat hodnocení rizik a penetrační testy každých 18 měsíců.
• Organizace musí s penetračním testováním zacházet jako se součástí svého kalendáře souladu, ne jen jako s volitelnou IT iniciativou.

Vynucování a soukromé nároky

• Privacy Protection Authority (PPA) může pozastavit databáze, vydávat závazné příkazy a publikovat jména narušitelů až po dobu 4 let.
• Administrativní pokuty mohou dosahovat milionů šekelů (USD 500 000+ / EUR 460 000+) s násobiteli pro rozsáhlé nebo citlivé zpracování dat.
• Jednotlivci mohou podat občanskoprávní nároky bez prokazování újmy, se zákonnými škodami až NIS 100 000 (USD 27 000 / EUR 25 000) na osobu.
• Organizace mohou rovněž čelit hromadným žalobám a v závažných případech trestní odpovědnosti za delikty, jako je porušení důvěrnosti nebo uvádění regulátora v omyl.

Předběžná rozhodnutí od regulátora

• Společnosti mohou požádat PPA o závazné stanovisko před spuštěním nových aktivit zpracování dat.
• Tento mechanismus snižuje nejistotu a umožňuje firmám validovat strategie souladu před významnou investicí do nových systémů.

Kdo musí splňovat izraelský zákon o ochraně soukromí

Nový izraelský zákon o ochraně dat se aplikuje široce na:

• Izraelské společnosti jakékoli velikosti zpracovávající osobní data.
• Zahraniční společnosti zpracovávající data o izraelských rezidentech.
• Veřejné orgány a datové brokery spravující rozsáhlá data.

Konkrétní spouštěče činí soulad povinným i pro menší organizace:

• Vlastnictví databáze přímého marketingu o 10 000+ jednotlivcích.
• Provádění systematického monitorování jednotlivců.
• Zpracování velkých objemů obzvláště citlivých dat.

Pro IT manažery a majitele firem to ovlivňuje, jak je s daty denně nakládáno – kdo k nim může přistupovat, jak jsou zabezpečena a jak jsou hlášeny incidenty. Lídři musí alokovat zdroje na DPO, audity a školení, aby splnili tato nová očekávání.

Jak se dodatek 13 srovnává s GDPR a dalšími zákony

Pokud vaše firma již splňuje GDPR, máte silný základ a mezera v souladu nebude obrovská. Izraelská pravidla však přidávají další povinnosti, které nejsou pokryty standardy EU.    

Co je stejné:

• Požadavek na DPO.
• Silná pravidla pro souhlas a oznámení o ochraně soukromí.
• Záznamy o zpracování a bezpečnostní kontroly.
• Povinnosti zabezpečit citlivá data.

Jak se liší:

• Občanskoprávní nároky bez prokazování újmy: V Izraeli může pouhé porušení práv na ochranu soukromí stačit k podání žaloby. GDPR obvykle vyžaduje, aby jednotlivci prokázali skutečnou škodu.
• Registrace a oznámení databází: Stále vyžadována pro vysoce rizikové datové sady, jako jsou citlivá data nebo velké marketingové databáze (10 000+ záznamů). EU to před lety zrušila.
• Povinné bezpečnostní testování: Velké citlivé databáze musí podstupovat penetrační testy a hodnocení rizik – něco, co nevyžaduje ani GDPR (ani CCPA).
• Dohled nad AI: Regulátor explicitně propojuje AI s povinnostmi v oblasti ochrany soukromí. To znamená DPIAs před nasazením, podrobná zveřejnění a interní pravidla pro generativní AI nástroje.

Srovnání dodatku 13 s dalšími rámci:

• CCPA (Kalifornie): Silný v právech spotřebitelů (přístup, vymazání, opt-out), ale výrazně lehčí v zabezpečení, prahových hodnotách a sankcích než Izrael.
• Švýcarský nFADP: V souladu s GDPR, ale lehčí ve vynucování. Izrael je tvrdší kvůli občanskoprávním nárokům a dohledu nad AI.
• Japonský APPI: Silný v pravidlech přeshraničního přenosu, ale méně předpisový v bezpečnostním testování. Izrael na organizace tvrději tlačí v technických ochranách a oznámeních.

Co dodatek 13 znamená v praxi

Dodatek 13 nepostihuje všechny sektory stejným způsobem. Jeho požadavky se liší pro každé odvětví – zde je, jak by to mohlo vypadat v praxi:

Fintech

Startupy používající AI pro skórování úvěrů, detekci podvodů nebo investiční nástroje musí vysvětlit, jak jsou rozhodnutí činěna, a dokumentovat rizika ochrany soukromí prostřednictvím DPIA. Tréninková data nelze scrapovat bez souhlasu a zákazníci musí dostávat jasná zveřejnění předtím, než AI modely zpracují jejich informace. Více o DLP ve fintechu.

Co teď udělat: Proveďte DPIA před spuštěním nebo aktualizací AI nástrojů.

Zdravotnictví

Nemocnice a kliniky zpracovávají nejcitlivější kategorie dat: zdravotní záznamy, genetické informace a biometriku. Dodatek 13 vyžaduje šifrování, přístupové logy a penetrační testy velkých databází. Zacházení s daty pacientů nyní musí být auditovatelné a prokazatelně bezpečné. Více o DLP ve zdravotnictví.

Co teď udělat: Auditujte přístup k datům pacientů a zajistěte, že je šifrování zavedeno ve všech systémech.

Finance

Banky a pojišťovny zpracovávají finanční údaje klasifikované jako „obzvláště citlivé“. Sdílení výpisů, úvěrových zpráv nebo rizikových profilů nyní vyžaduje přísnější kontroly a explicitní souhlas. Šifrování a kontroly dodavatelů jsou nyní podle zákona povinné. Více o DLP ve financích.

Co teď udělat: Přezkoumejte smlouvy s třetími stranami a posilte šifrování přenosů finančních dat.

Logistika

Sledování zásilek a monitoring řidičů zahrnuje geolokační data, nyní explicitně regulovaná jako osobní data. Společnosti musí získat souhlas se sledováním, stanovit limity uchování a zabezpečit záznamy o poloze. Automatizované systémy pro routování nebo monitoring pracovní síly mohou spustit povinnost DPIA.

Co teď udělat: Aktualizujte formuláře souhlasu řidičů a zákazníků tak, aby pokrývaly geolokační sledování.

Výroba

Továrny často používají biometrické přístupové systémy a velké databáze zaměstnanců – obojí spadá pod „obzvláště citlivá“ data. To znamená, že bezpečnostní audity, přístupová omezení a v některých případech registrace nebo oznámení regulátorovi jsou povinné.

Co teď udělat: Přezkoumejte biometrické přístupové kontroly a potvrďte požadavky na registraci databází.

Kontrolní seznam souladu pro dodatek 13

Vzhledem k tomu, že dodatek 13 vstoupil v platnost v srpnu 2025, společnosti, které zpracovávají osobní data v Izraeli, by se již měly přizpůsobovat. Následující kroky pomohou zajistit, že jste v souladu:

1. Mapujte své datové toky – Identifikujte, jaká citlivá data vlastníte, kde sídlí a jak se pohybují mezi systémy. Věnujte zvláštní pozornost logům, HR systémům a cloudovým aplikacím, kde se citlivá data často skrývají.
2. Jmenujte DPO – Vyžadováno pro veřejné orgány, datové brokery, organizace provádějící systematické monitorování nebo databáze primárně zpracovávající citlivá data. I když to není povinné, DPO může snížit riziko koordinací postupů ochrany soukromí napříč odděleními.
3. Aktualizujte procesy souhlasu – Oznámení musí vysvětlit, co je shromažďováno, proč, jaká jsou rizika, příjemci a zdroje dat. Ujistěte se, že souhlas je explicitní, dokumentovaný a granulární – zejména pro citlivá data.
4. Posilte zabezpečení – Provádějte hodnocení rizik a penetrační testy (každých 18 měsíců pro velké citlivé databáze), zpřísněte přístupové kontroly a logujte incidenty pro vytvoření auditní stopy.
5. Implementujte zásady použití AI – Provádějte DPIA před nasazením AI, aktualizujte souhlasy a oznámení tak, aby zveřejňovala použití AI, přijměte interní pravidla pro generativní AI nástroje (např. které nástroje jsou povolené a jaká data lze nahrát) a blokujte nelegální scrapování dat.
6. Školte zaměstnance a budujte kulturu souladu – Pravidelně školte zaměstnance, kteří pracují s daty v souhlasu, zabezpečení a oznamovacích povinnostech. Soulad závisí na každodenních rozhodnutích, ne jen na zásadách.
7. Nasaďte DLP – Používejte nástroje Data Loss Prevention ke klasifikaci a monitorování dat v reálném čase, k zabránění neoprávněným přenosům a poskytování auditu připravených logů pro regulátory.

Jak vám Safetica pomůže splnit izraelský zákon o ochraně dat

Izraelský dodatek 13 je signálem, že ochrana dat v regionu vstupuje do nové éry. Zákon zvyšuje laťku v tom, jak organizace shromažďují, zabezpečují a používají osobní data. I když to znamená nové povinnosti, vytváří to také příležitosti. Společnosti, které se přizpůsobí brzy, se nejen vyhnou sankcím, ale rovněž posílí důvěru se zákazníky, partnery a regulátory.

DLP řešení Safetiky je navrženo tak, aby učinilo soulad praktickým. Se Saféticou organizace mohou:

• Identifikovat a klasifikovat citlivá data automaticky – napříč koncovými body, cloudovými aplikacemi a úložištěm.
• Monitorovat a kontrolovat použití dat k zabránění neoprávněným přenosům, ať už úmyslným, nebo náhodným.
• Vytvořit auditu připravenou stopu přístupových logů a bezpečnostních incidentů ke spokojenosti regulátorů.
• Chránit AI pipelines zajištěním, že citlivá data nejsou zneužita při tréninku nebo automatizovaných procesech.
• Podpořit svého DPO centralizovanou viditelností, reportováním a nástroji vynucování zásad.
• Posílit důvěru zákazníků tím, že ukážete, že vaše postupy ochrany dat jdou nad minimální soulad.

Se Saféticou můžete proměnit soulad v jistotu – splnit požadavky nového izraelského zákona o ochraně dat při ochraně vašich pro podnikání kritických informací po celém světě.

Připraveni vidět, jak Safetica může pomoci vaší společnosti připravit se na dodatek 13?