"GDPR
תוכן עניינים
"משפטי" 24 במרץ 2026 | "7 קריאה

"GDPR

"מדריך

שתפו:
SF

צוות SignFlow

SignFlow Blog

מה זה GDPR?

GDPR (General Data Protection Regulation) הוא תקנות הגנת המידע הכללי של האיחוד האירופי. התקנות נכנסו לתוקף במאי 2018 והן מגדירות כללים מחמירים לעיבוד, אחסון ושימוש במידע אישי של אזרחי האיחוד האירופי.

📋 תוכן עניינים

חשוב להבין: GDPR חל גם על חברות ישראליות שמעבדות מידע של אזרחי האיחוד האירופי. אם יש לכם לקוחות, עובדים, ספקים או שותפים עסקיים מאירופה — עליכם לעמוד ב-GDPR. הקנסות על הפרת GDPR יכולים להגיע ל-20 מיליון אירו או 4% מהמחזור השנתי.

⚠️ חשוב לדעת: הקנסות על הפרת GDPR יכולים להגיע ל-20 מיליון אירו או 4% מהמחזור השנתי — גם לעסקים ישראלים שמעבדים מידע של אזרחי EU.

איך GDPR משפיע על חתימות דיגיטליות?

כשמשתמשים בחתימה דיגיטלית, נאסף מידע אישי — שמות, כתובות מייל, כתובות IP, חותמות זמן ולפעמים מספרי טלפון. כל המידע הזה מוגן תחת GDPR, ויש לטפל בו בהתאם לתקנות.

הנה הדרישות העיקריות של GDPR שרלוונטיות לחתימות דיגיטליות:

1. בסיס חוקי לעיבוד (Lawful Basis)

כל עיבוד מידע אישי דורש בסיס חוקי. בהקשר של חתימות דיגיטליות, הבסיס הנפוץ ביותר הוא ביצוע חוזה (Article 6(1)(b)) — כלומר, עיבוד המידע נדרש לצורך ביצוע החוזה שעליו חותמים. לחלופין, ניתן להסתמך על הסכמה מפורשת (Article 6(1)(a)).

2. מינימום נתונים (Data Minimization)

יש לאסוף רק את המידע הנחוץ לתהליך החתימה — לא יותר. אם מספיק שם ומייל לזיהוי החותם, אין לדרוש מידע נוסף ללא הצדקה.

3. שקיפות (Transparency)

החותמים צריכים לדעת אילו נתונים נאספים, למה, ומה קורה איתם. מדיניות פרטיות ברורה ונגישה היא חובה.

4. אבטחת מידע (Security)

יש ליישם אמצעי אבטחה מתאימים להגנה על המידע האישי: הצפנה, בקרות גישה, גיבויים, ומניעת גישה לא מורשית.

5. זכויות נושא המידע (Data Subject Rights)

לנושאי המידע (החותמים) יש זכויות שצריך לכבד:

  • זכות גישה: הזכות לדעת אילו נתונים נשמרים.
  • זכות תיקון: הזכות לתקן מידע שגוי.
  • זכות מחיקה: הזכות לבקש מחיקת מידע אישי ("הזכות להישכח").
  • זכות ניוד: הזכות לקבל את המידע בפורמט דיגיטלי.

שימו לב: הזכות למחיקה לא תמיד חלה על מסמכים חתומים, כי יש צורך לגיטימי לשמור אותם כראיה. אבל מידע אישי שאינו חלק מהמסמך עצמו כן ניתן למחיקה.

התחילו לחתום עם תאימות GDPR מלאה ←
הגנת מידע ופרטיות
עמידה ב-GDPR מגנה על העסק שלכם ועל הלקוחות

רשימת בדיקה (Compliance Checklist)

כדי לוודא שהשימוש שלכם בחתימות דיגיטליות עומד ב-GDPR, הנה רשימת בדיקה:

  1. האם יש לכם בסיס חוקי לעיבוד המידע של החותמים?
  2. האם מדיניות הפרטיות שלכם מכסה את תהליך החתימה הדיגיטלית?
  3. האם אתם אוספים רק את המידע ההכרחי?
  4. האם הפלטפורמה שלכם מספקת הצפנה מתאימה?
  5. האם יש לכם DPA (Data Processing Agreement) עם ספק החתימה הדיגיטלית?
  6. האם אתם יכולים לכבד זכות גישה, תיקון ומחיקה?
  7. האם יש לכם תהליך לדיווח על פריצות מידע תוך 72 שעות?
  8. האם ה-audit trail שלכם מתעד את כל פעולות העיבוד?
✅ יתרון מרכזי: SignFlow מיישמת את כל עקרונות ה-GDPR מהיסוד — כך שאתם יכולים להתמקד בעסק ולא ברגולציה.

SignFlow ותאימות GDPR

SignFlow תוכננה מהיסוד עם תאימות ל-GDPR. הנה איך הפלטפורמה עומדת בדרישות:

  • מינימום נתונים: אוספים רק שם, מייל, וחתימה — המינימום הנדרש לתהליך.
  • הצפנה: AES-256 לאחסון, TLS 1.3 להעברה.
  • בקרות גישה: הרשאות מבוססות תפקידים, אימות דו-שלבי.
  • זכות למחיקה: מנגנון מחיקת מידע אישי זמין.
  • DPA: הסכם עיבוד נתונים (Data Processing Agreement) זמין לכל לקוח.
  • Audit trail: תיעוד מלא של כל פעולת עיבוד.
  • מדיניות שמירה: מדיניות ברורה לגבי כמה זמן נשמר מידע.

GDPR מול חוק הגנת הפרטיות הישראלי

בישראל קיים חוק הגנת הפרטיות, תשמ"א-1981, עם תקנות אבטחת מידע. החוק הישראלי דומה ל-GDPR בהרבה מובנים, אך GDPR מחמיר יותר בנושאים מסוימים (כמו קנסות, זכות הניוד, וחובת מינוי DPO).

עסק ישראלי שעומד ב-GDPR — בדרך כלל עומד גם בחוק הישראלי. לכן, אימוץ סטנדרט GDPR הוא גישה חכמה שמבטיחה תאימות לשני הרגולציות.

טיפים מעשיים

  1. בחרו פלטפורמה תואמת: ודאו שספק החתימה הדיגיטלית שלכם (כמו SignFlow) עומד ב-GDPR.
  2. עדכנו מדיניות פרטיות: ודאו שמדיניות הפרטיות שלכם מכסה שימוש בחתימות דיגיטליות.
  3. חתמו DPA: ודאו שיש לכם הסכם עיבוד נתונים עם ספק החתימה.
  4. הדריכו צוות: ודאו שהצוות יודע מה מותר ומה אסור מבחינת GDPR.
  5. תעדו: שמרו תיעוד של כל פעולות עיבוד המידע.

לפרטים נוספים על אבטחה ופרטיות ב-SignFlow, או צרו קשר עם הצוות שלנו.

נסו את SignFlow בחינם ←
📌 נקודות מפתח:
  • GDPR חל על כל עסק ישראלי שמעבד מידע של אזרחי EU
  • עמידה ב-GDPR מבטיחה גם עמידה בחוק הגנת הפרטיות הישראלי
  • SignFlow נבנתה עם תאימות GDPR מלאה מהיסוד

שאלות נפוצות

האם GDPR חל על עסקים ישראלים?

GDPR חל על כל עסק שמעבד מידע אישי של אזרחי האיחוד האירופי, גם אם העסק נמצא בישראל. אם יש לכם לקוחות, עובדים או שותפים עסקיים מאירופה — עליכם לעמוד ב-GDPR. גם אם אין לכם קשר ישיר לאירופה, עמידה ב-GDPR נחשבת לסטנדרט טוב.

האם חתימה דיגיטלית דורשת הסכמה לפי GDPR?

עיבוד מידע אישי לצורך חתימה דיגיטלית דורש בסיס חוקי. לרוב, הבסיס הוא ביצוע חוזה — כלומר, המידע נאסף לצורך ביצוע החוזה שעליו חותמים. אם אין בסיס חוקי אחר, נדרשת הסכמה מפורשת.

איך SignFlow עומדת ב-GDPR?

SignFlow מיישמת את כל עקרונות ה-GDPR: מינימום נתונים, הצפנת AES-256, בקרות גישה, זכות למחיקה, DPA זמין, ותיעוד מלא של עיבוד נתונים. הפלטפורמה נבנתה עם GDPR compliance מהיסוד.

SF

צוות SignFlow

הצוות של SignFlow כותב על חתימה דיגיטלית, אבטחת מסמכים, וייעול תהליכים עסקיים. המטרה שלנו היא לעזור לעסקים בישראל לעבור לעידן הדיגיטלי בצורה חכמה ומאובטחת.

רוצים לנסות חתימה דיגיטלית?

התחילו בחינם עוד היום — בלי התחייבות, בלי כרטיס אשראי

הרשמה חינם ←

מאמרים נוספים שיעניינו אתכם

משפטי

חוק חתימה אלקטרונית בישראל

מדריך משפטי מקיף על החוק.

3 במרץ 2026 | 8 דקות קריאה
אבטחה

אבטחת חתימה דיגיטלית

הכל על אבטחה בחתימה דיגיטלית.

15 במרץ 2026 | 7 דקות קריאה
אבטחה

מה זה Audit Trail ולמה הוא קריטי

מה נרשם ב-Audit Trail.

1 באפריל 2026 | 6 דקות קריאה