Izraelská novela 13: Co nová legislativa o ochraně osobních údajů znamená pro vaše podnikání

17.09.2025 twitter X safetica

Izrael představil svou největší reformu ochrany soukromí za posledních 40 let. Novela 13 zákona o ochraně soukromí, která vstoupila v platnost 14. srpna 2025, nyní stanovuje přísnější pravidla pro to, jak organizace shromažďují, ukládají a používají osobní údaje.

Nová pravidla rozšiřují definici citlivých údajů, zavádějí povinné pověřence pro ochranu osobních údajů (DPO), zpřísňují požadavky na souhlas a dávají regulátorům silnější pravomoci, včetně možnosti jednotlivců žalovat i bez prokázání újmy. Novela se také krátce dotýká využívání umělé inteligence, čímž se Izrael řadí mezi první země, které zakotvily rozhodování na bázi AI do svého právního rámce.

Rozsah působnosti není omezen pouze na Izrael. Pokud vaše společnost zpracovává údaje o izraelských občanech — i bez místní pobočky — musíte se řídit zákonem.

Zde je přehled změn, jejich srovnání s globálními standardy a kroky, které by měla vaše organizace podniknout.

Časová osa: Kdy se novela 13 v Izraeli uplatňuje?

  • Březen 2024: Novela 13 schválena Knesetem.
  • 14. srpna 2025: Zákon vstoupil v platnost.

Klíčové změny v novém izraelském zákoně o ochraně osobních údajů

Novela 13 přizpůsobuje izraelský rámec ochrany soukromí moderním standardům, ale zároveň zavádí několik povinností, které přesahují očekávání většiny podniků. Mezi nejdůležitější změny patří:

Rozšířený rozsah osobních a citlivých údajů

  • Osobní údaje nyní výslovně zahrnují IP adresy, online identifikátory a geolokační údaje, čímž se běžné digitální identifikátory dostávají do působnosti zákona.
  • „Citlivé údaje“ jsou redefinovány jako „zvláště citlivé“ a zahrnují biometrické a genetické údaje, záznamy o trestní činnosti, sexuální orientaci a finanční údaje.
  • Společnosti by měly zmapovat, kde se tyto kategorie v jejich systémech nacházejí — například IP adresy v serverových logech nebo biometrická přístupová data v HR systémech.

Doporučené čtení: Co jsou citlivé údaje a jak je mohou firmy chránit

Povinní DPO a silnější odpovědnost

  • Veřejné orgány, datoví zprostředkovatelé, organizace, jejichž hlavní činností je zpracování zvláště citlivých údajů, nebo ty, které provádějí systematické monitorování, musí jmenovat pověřence pro ochranu osobních údajů (DPO).
  • DPO musí být nezávislý a mít přímý přístup k vrcholovému vedení.
  • V praxi to znamená nejen formální jmenování, ale také poskytnutí pravomocí a zdrojů k monitorování souladu napříč odděleními.

Registrace databází a oznamovací povinnost

  • Na rozdíl od GDPR Izrael nadále vyžaduje registraci určitých databází.
  • Veřejné orgány a databáze přímého marketingu s více než 10 000 osobami se musí registrovat u regulátora.
  • Databáze obsahující zvláště citlivé údaje více než 100 000 osob musí podat oznámení.

Požadavky na souhlas a transparentnost

  • Souhlas musí být výslovný, zdokumentovaný a granulární. Obecný souhlas již není přijatelný.
  • Oznámení o ochraně osobních údajů musí nyní vysvětlit, co se shromažďuje, proč, jaká rizika to přináší a s kým jsou údaje sdíleny.
  • To vyžaduje, aby organizace přezkoumaly stávající formuláře souhlasu a přepracovaly je podle vyšších standardů transparentnosti.

AI a automatizované rozhodování

  • Novela 13 je jedním z prvních zákonů o ochraně osobních údajů, který výslovně pokrývá AI, a vyžaduje stejnou přísnost jako u jiného využití dat: informovaný souhlas, jasná sdělení a odpovědnost.
  • Práva subjektů údajů — přístup, oprava a výmaz — budou přísně vymáhána i v případě systémů AI.
  • Organizace by měly provádět posouzení vlivu na ochranu osobních údajů (DPIA), aby identifikovaly rizika a zdokumentovaly opatření před nasazením AI.

Doporučené čtení: Strategie pro vyvážení inovací a bezpečnosti dat při využití AI

Pravidelné testování bezpečnosti

  • Velké databáze se zvláště citlivými údaji musí podstoupit posouzení rizik a penetrační testy každých 18 měsíců.
  • Organizace musí penetrační testování vnímat jako součást svého compliance kalendáře, nikoliv jen jako volitelnou IT iniciativu.

Vymáhání a soukromé žaloby

  • Úřad pro ochranu soukromí (PPA) může pozastavit databáze, vydávat závazné příkazy a zveřejnit jména porušovatelů až na 4 roky.
  • Správní pokuty mohou dosahovat milionů šekelů (500 000+ USD / 460 000+ EUR), s vyššími sazbami pro rozsáhlé nebo citlivé zpracování dat.
  • Jednotlivci mohou podat občanské žaloby i bez prokázání újmy, se zákonným odškodněním až 100 000 NIS (27 000 USD / 25 000 EUR) na osobu.
  • Organizace mohou čelit i hromadným žalobám a v závažných případech i trestní odpovědnosti za delikty, jako je porušení důvěrnosti nebo zavádění regulátora.

Předběžné rozhodnutí regulátora

  • Společnosti mohou požádat PPA o závazné stanovisko před spuštěním nových činností zpracování údajů.
  • Tento mechanismus snižuje nejistotu a umožňuje podnikům ověřit si strategie souladu ještě před investicemi do nových systémů.

Kdo musí dodržovat izraelský zákon o ochraně soukromí

Nový izraelský zákon o ochraně osobních údajů se vztahuje na široké spektrum subjektů:

  • Izraelské společnosti jakékoli velikosti, které zpracovávají osobní údaje.
  • Zahraniční společnosti zpracovávající údaje o izraelských občanech.
  • Veřejné orgány a datoví zprostředkovatelé spravující rozsáhlé databáze.

Specifické spouštěče činí dodržování povinným i pro menší organizace:

  • Držení databáze přímého marketingu s více než 10 000 osobami.
  • Provádění systematického monitorování jednotlivců.
  • Zpracování velkých objemů zvláště citlivých údajů.

Pro IT manažery a vlastníky firem to ovlivňuje každodenní nakládání s daty — kdo k nim má přístup, jak jsou zabezpečena a jak se hlásí incidenty. Vedení musí vyčlenit zdroje na DPO, audity a školení, aby splnilo nové požadavky.

Jak se novela 13 srovnává s GDPR a dalšími zákony

Pokud vaše firma již dodržuje GDPR, máte pevný základ a rozdíl v požadavcích nebude obrovský. Izraelská pravidla však přidávají další povinnosti, které nejsou pokryty evropskými standardy.

Co je stejné:

  • Povinnost jmenovat DPO.
  • Přísná pravidla souhlasu a oznámení o ochraně osobních údajů.
  • Evidence zpracování a bezpečnostní opatření.
  • Povinnost chránit citlivé údaje.

V čem se liší:

  • Občanské žaloby bez prokázání újmy: V Izraeli může být samotné porušení práva na soukromí dostatečným důvodem k žalobě. GDPR obvykle vyžaduje prokázání skutečné škody.
  • Registrace databází a oznamovací povinnost: Stále vyžadována pro vysoce rizikové databáze, jako jsou citlivé údaje nebo velké marketingové databáze (10 000+ záznamů). EU tuto povinnost před lety zrušila.
  • Povinné bezpečnostní testování: Velké databáze se zvláště citlivými údaji musí podstoupit penetrační testy a hodnocení rizik — něco, co ani GDPR (ani CCPA) nevyžaduje.
  • Dohled nad AI: Regulátor výslovně spojuje AI s povinnostmi v oblasti soukromí. To znamená povinné DPIA před nasazením, podrobné informace a interní pravidla pro nástroje generativní AI.

Srovnání novely 13 s jinými rámci:

  • CCPA (Kalifornie): Silná práva spotřebitelů (přístup, výmaz, opt-out), ale mnohem mírnější bezpečnostní opatření, prahy a sankce než v Izraeli.
  • Švýcarský nFADP: Srovnatelný s GDPR, ale mírnější v oblasti vymáhání. Izrael je přísnější díky občanským žalobám a dohledu nad AI.
  • Japonský APPI: Přísný v oblasti přeshraničních přenosů, ale méně konkrétní ohledně testování bezpečnosti. Izrael tlačí na firmy více v oblasti technických opatření a oznamovací povinnosti.

Co novela 13 znamená v praxi

Novela 13 neovlivňuje všechny sektory stejně. Její požadavky dopadají na jednotlivá odvětví odlišně — zde je, jak to může vypadat v praxi:

Fintech

Startupy využívající AI pro hodnocení úvěruschopnosti, detekci podvodů nebo investiční nástroje musí vysvětlit, jak jsou rozhodnutí činěna, a dokumentovat rizika pro soukromí prostřednictvím DPIA. Tréninková data nesmí být získávána bez souhlasu a zákazníci musí obdržet jasné informace ještě předtím, než jejich údaje zpracují AI modely. Více o DLP ve fintechu.

Co dělat nyní: Proveďte DPIA před spuštěním nebo aktualizací nástrojů řízených AI.

Zdravotnictví

Nemocnice a kliniky zpracovávají nejcitlivější kategorie údajů: zdravotní záznamy, genetické informace a biometriku. Novela 13 vyžaduje šifrování, přístupové logy a penetrační testy u velkých databází. Zpracování pacientských dat musí být auditovatelné a prokazatelně zabezpečené. Více o DLP ve zdravotnictví.

Co dělat nyní: Proveďte audit přístupů k pacientským datům a zajistěte šifrování ve všech systémech.

Finance

Banky a pojišťovny zpracovávají finanční údaje klasifikované jako „zvláště citlivé“. Sdílení výpisů, úvěrových zpráv či profilů rizik nyní vyžaduje přísnější kontrolu a výslovný souhlas. Šifrování a prověřování dodavatelů jsou nově povinné. Více o DLP ve finančnictví.

Co dělat nyní: Zkontrolujte smlouvy s třetími stranami a posilte šifrování přenosů finančních dat.

Logistika

Sledování zásilek a monitorování řidičů zahrnuje geolokační data, která jsou nyní výslovně považována za osobní údaje. Firmy musí získat souhlas se sledováním, nastavit limity uchovávání a zabezpečit záznamy o poloze. Automatizované systémy pro trasování nebo monitoring pracovníků mohou vyvolat povinnost provést DPIA.

Co dělat nyní: Aktualizujte formuláře souhlasu pro řidiče i zákazníky tak, aby pokrývaly sledování polohy.

Výroba

Továrny často používají biometrické přístupové systémy a rozsáhlé databáze zaměstnanců — obojí spadá pod „zvláště citlivé“ údaje. To znamená povinné bezpečnostní audity, omezení přístupu a v některých případech registraci či oznámení regulátorovi.

Co dělat nyní: Zkontrolujte biometrické přístupové systémy a potvrďte požadavky na registraci databází.

Kontrolní seznam souladu s novelou 13

Protože novela 13 vstoupila v platnost v srpnu 2025, firmy, které zpracovávají osobní údaje v Izraeli, by se již měly přizpůsobovat. Následující kroky vám pomohou zajistit soulad:

  1. Zmapujte toky dat — Identifikujte, jaké citlivé údaje držíte, kde se nacházejí a jak se přesouvají mezi systémy. Zaměřte se na logy, HR systémy a cloudové aplikace, kde se často ukrývají.
  2. Jmenujte DPO — Povinné pro veřejné orgány, datové zprostředkovatele, organizace provádějící systematické monitorování nebo databáze se zvláště citlivými údaji. I pokud není povinný, DPO může snížit riziko koordinací postupů v oblasti ochrany dat.
  3. Aktualizujte procesy souhlasu — Oznámení musí vysvětlit, co se shromažďuje, proč, rizika, příjemci a zdroje údajů. Souhlas musí být výslovný, zdokumentovaný a granulární — zejména u citlivých údajů.
  4. Posilte bezpečnost — Provádějte hodnocení rizik a penetrační testy (každých 18 měsíců pro velké citlivé databáze), zpřísněte přístupové kontroly a logujte incidenty pro auditní stopy.
  5. Zaveďte pravidla pro používání AI — Provádějte DPIA před nasazením AI, aktualizujte souhlasy a oznámení tak, aby uváděly využití AI, přijměte interní pravidla pro generativní AI nástroje (např. které lze používat a jaká data lze nahrávat) a blokujte nezákonné scrapingy dat.
  6. Školte zaměstnance a budujte kulturu compliance — Pravidelně školte pracovníky, kteří pracují s daty, o souhlasu, bezpečnosti a povinnostech hlášení. Dodržování předpisů závisí na každodenních rozhodnutích, ne pouze na politikách.
  7. Nasaďte DLP — Používejte nástroje Data Loss Prevention k automatické klasifikaci a monitorování dat v reálném čase, prevenci neoprávněných přenosů a poskytování auditních logů pro regulátory.

Jak vám Safetica pomůže splnit izraelský zákon o ochraně dat

Izraelská novela 13 je signálem, že ochrana dat v regionu vstupuje do nové éry. Zákon zvyšuje nároky na to, jak organizace shromažďují, zabezpečují a používají osobní údaje. To sice znamená nové povinnosti, ale zároveň i příležitosti. Firmy, které se přizpůsobí včas, nejenže předejdou sankcím, ale také posílí důvěru zákazníků, partnerů a regulátorů.

DLP řešení Safetica je navrženo tak, aby bylo dodržování předpisů praktické. S řešením Safetica mohou organizace:

  • Identifikovat a klasifikovat citlivá data automaticky — napříč koncovými body, cloudovými aplikacemi a úložišti.
  • Monitorovat a řídit využívání dat a zabránit neoprávněným přenosům, ať už úmyslným či neúmyslným.
  • Vytvořit auditní stopu přístupových logů a bezpečnostních incidentů k uspokojení regulátorů.
  • Chránit AI procesy tím, že zajistí, aby citlivá data nebyla zneužita při tréninku nebo automatizovaném zpracování.
  • Podpořit DPO prostřednictvím centralizované viditelnosti, reportingu a nástrojů pro vymáhání politik.
  • Posílit důvěru zákazníků tím, že prokážete, že vaše praktiky ochrany dat přesahují minimální požadavky.

S řešením Safetica můžete proměnit compliance v jistotu — splnit požadavky izraelského nového zákona o ochraně dat a zároveň chránit klíčové obchodní informace po celém světě.

Připraveni zjistit, jak vám Safetica může pomoci připravit se na novelu 13?

Další články

Dodržování předpisů Články na blogu

NIS2: Rozsah, účel a jaké změny očekávat

Nová revidovaná verze NIS2 byla přijata Evropskou unií 28. listopadu 2022. Nyní běží dvouleté přechodné období, během kterého musí všechny členské státy implementovat opatření směrnice NIS2 do své národní legislativy.
Číst více
Dodržování předpisů Články na blogu

TISAX: Rozsah, účel a způsoby plnění požadavků

TISAX je evropský informační standard a standard kybernetické bezpečnosti vyvinutý za účelem ochrany dat v automobilovém průmyslu. Zjistěte více.
Číst více
Dodržování předpisů Články na blogu

ISO/IEC 27001: Rozsah platnosti, účel a způsoby plnění požadavků

Dodržovat mezinárodní normu ISO 27001 znamená zřídit ve vaší organizaci účinný systém řízení bezpečnosti informací (ISMS). Přečtěte si více.
Číst více