ראיות דיגיטליות עבור זירות מסחר מקוונות ופלטפורמות ענן: מה שאתם צריכים לדעת

ה תקנת האיחוד האירופי בנושא ראיות אלקטרוניות (EU) 2023/1543 נושא זה נדון לעתים קרובות כאילו היה בעיה הנוגעת רק לחברות התקשורת. אך זה לא המצב. החל מ- 18 באוגוסט 2026, אתרי מסחר מקוונים, פלטפורמות SaaS, ספקי אחסון בענן ו-IaaS, חברות אחסון אתרים, רשתות חברתיות וכלי שיתוף פעולה – כולם נכללים במפורש בהיקף החוק. אם הפלטפורמה שלכם מאחסנת, מעבדת או מעבירה נתוני משתמשים, ואתם מציעים שירותים למשתמשים באיחוד האירופי, עליכם להיות ערוכים לקבל ולבצע צווי גילוי אירופיים (EPO) וצווי שימור אירופיים (EPOC-PR) – באופן ישיר, ללא מתווכים דיפלומטיים, תוך עמידה בלוחות זמנים רגולטוריים קפדניים.

עבור פלטפורמות שבעבר התייחסו לבקשות לקבלת נתונים כאל עניין משפטי מזדמן ואד-הוק, מדובר בשינוי מהותי. משרד המשפטים הפדרלי הגרמני לבדו מעריך כי כ- 9,000 חברות בגרמניה נכללות בתחום תחולת התקנה, ונתונים דומים חלים גם בשאר מדינות האיחוד האירופי. מדריך זה מסביר בדיוק אילו פלטפורמות מושפעות, לאילו סוגי הזמנות יש לצפות, מה דורשת התקנה מבתי מסחר מקוונים ומספקי ענן בפרט, וכיצד לבנות מודל תפעולי תואם לדרישות התקנה בזמן.

אילו פלטפורמות מקוונות נכללות בהגדרת "ראיות אלקטרוניות"?

התקנה משתמשת במכוון בהגדרות רחבות ונייטרליות מבחינה טכנולוגית כדי לשקף את המציאות של השירותים המקוונים המודרניים. הקטגוריות הרלוונטיות ביותר למפעילי פלטפורמות כוללות:

• פלטפורמות מסחר מקוונות — כל פלטפורמה המאפשרת לצדדים שלישיים להציע מוצרים או שירותים לצרכנים, לרבות זירות מסחר B2C, פלטפורמות מסחר בין עמיתים, פלטפורמות למכירת כרטיסים, זירות מסחר לשירותים זמניים ולביקוש, ופלטפורמות להשכרה.
• ספקי מחשוב ענן ואחסון — ספקי IaaS, PaaS ו-SaaS, שירותי אחסון אובייקטים/קבצים, ספקי גיבוי והתאוששות מאסון, ושירותי מסדי נתונים מנוהלים.
• ספקי אחסון — אחסון מנוהל, שרתים ייעודיים, VPS, רשתות להפצת תוכן ופלטפורמות קצה.
• רשתות חברתיות וקהילות מקוונות — כולל פורומים, אפליקציות היכרויות, רשתות מקצועיות, פלטפורמות משחקים עם מאפיינים חברתיים ופלטפורמות ליוצרים/סטרימינג.
• שירותי חברה המידע המאחסנים נתוני משתמשים — חבילות שיתוף פעולה, כלים לשיתוף קבצים, פלטפורמות לניהול פרויקטים, פלטפורמות "לואו-קוד" ו"נו-קוד" ומוצרי בינה מלאכותית השומרים הנחיות או תוצאות.
• שירותי דומיינים באינטרנט ומספור כתובות IP — מאגרי שמות, רשמים, שירותי פרטיות/פרוקסי, RIRs וספקי DNS.
• תקשורת בין-אישית שאינה תלויה במספרים — תכונות מתקדמות של העברת הודעות, שיחות וידאו וצ'אט המוטמעות במוצרים גדולים יותר.

חשוב לציין כי התקנה מיישמת את “מבחן ”הקשר המהותי": אם השירות שלך מוצע למשתמשים הנמצאים באיחוד האירופי ואתה פונה לשוק האירופי — למשל באמצעות תמחור, שפה או שיווק המותאמים לשוק המקומי — אתה נכלל בהגדרה זו, ללא תלות במקום שבו רשומה הישות העסקית שלך.

אילו סוגים של נתונים יבקשו הרשויות?

התקנה מבחינה בין ארבע קטגוריות של ראיות אלקטרוניות, שלכל אחת מהן רף סף ואמצעי הגנה שונים:

1. נתוני מנויים — זהות, פרטי יצירת קשר, פרטי חיוב, סוג השירות שבו נעשה שימוש ותאריך ההרשמה.
2. נתונים המבוקשים אך ורק לצורך זיהוי המשתמש — כתובות IP ויומני גישה המשמשים אך ורק לזיהוי אדם.
3. נתוני תנועה (מלבד נתוני זיהוי) — יומני חיבור, מטא-נתונים של עסקאות, מזהי מכשירים, חותמות זמן ומידע על ניתוב.
4. נתוני תוכן — רישומים, הודעות, קבצים שהועלו, תמונות, מסמכים, תיעוד עסקאות ותכנים מהותיים אחרים.

נתוני מנויים ופרטי זיהוי עשויים להידרש בכל מקרה של עבירה פלילית. נתוני תעבורה ותוכן שמורים לעבירות שדינן עונש מאסר של שלוש שנים לפחות, או לרשימה מוגדרת של עבירות חמורות בתחום הפשיעה המקוונת, הטרור, התעללות מינית בילדים ופשיעה מאורגנת. פלטפורמות מסחר מקוונות ופלטפורמות ענן מחזיקות בדרך כלל בנתונים מכל ארבע הקטגוריות הללו — ולכן מיפוי נתונים מדויק הוא משימה בסיסית בתחום הציות.

תרחישים אופייניים של ראיות דיגיטליות בפלטפורמות מסחר מקוונות ובפלטפורמות ענן

הונאות בשוק המקוון

חוקר העוסק בחקירת רשת הונאה מבקש ממפעיל פלטפורמת מסחר מקוונת את זהות המוכר, כתובת ה-IP של המשתמש, היסטוריית העסקאות ושרשורי ההודעות עם הקורבנות. נתוני מנויים ותעבורה ניתנים למסירה במסגרת פרק הזמן הסטנדרטי של 10 ימים; נתוני תוכן כגון הודעות ותמונות שמורים לעבירות חמורות ודורשים אמצעי הגנה נוספים.

תוכנות כופר ושימוש לרעה בתשתיות בפלטפורמות ענן

תובע החוקר פעילות של תוכנת כופר מבקש מספק שירותי ענן את יומני מישור הבקרה, מטא-נתוני המופעים, פרטי החיוב ויומני הגישה לאחסון של לקוח חשוד. מדובר בבקשות דחופות, אשר בדרך כלל מגיעות כ- צווי מניעה דחופים עם מועד אחרון של 8 שעות.

חקירות בנושא בטיחות ילדים ברשת

חקירות הנוגעות לחומר המציג התעללות מינית בילדים בפלטפורמות חברתיות או פלטפורמות תוכן משלבות בדרך כלל צווי זיהוי עם צווי הפקה ושימור תוכן. תיקים אלה נהנים מהערוצים המזורזים הקבועים בתקנה, אך גם דורשים את הסטנדרטים הגבוהים ביותר של יושרה ושרשרת שמירה על הראיות.

השתלטות על חשבונות ודיוג בקנה מידה נרחב

הרשויות רשאיות להוציא צווי שימור (EPOC-PR) בשלב מוקדם של החקירה, על מנת להקפיא יומני פעילות ונתוני חשבונות בזמן שמכינים צו גילוי. על הפלטפורמות להיות מסוגלות לשמור מערכי נתונים ספציפיים למשך 60 יום, עם אפשרות להארכה של 30 יום נוספים, מבלי לפגוע בתהליכי השימור או הניתוח הרגילים.

האתגר של ספקים שאינם מהאיחוד האירופי: מפעל ייעודי

במקרה של פלטפורמות שמרכזן נמצא מחוץ לאיחוד האירופי, אחת הדרישות המשמעותיות ביותר היא החובה, על פי הוראות הדירקטיבה (EU) 2023/1544, למנות גוף רשמי או נציג משפטי במדינה חברה. ישות זו, שנקבעה ככזו, משמשת ככתובת למסירת מסמכים עבור כל EPO ו-EPOC-PR — והיא עצמה אחראית לעמידה בדרישות.

• ללא גוף מוסמך, אינך רשאי לקבל הזמנות באופן חוקי, אינך רשאי להעלות התנגדויות, ואתה מסתכן באי-עמידה אוטומטית בדרישות ובקנסות בגובה של עד 2% מהמחזור השנתי העולמי.
• הגוף המיועד חייב להיות רשום אצל הרשות הלאומית המוסמכת (בגרמניה, ה- המשרד הפדרלי לצדק; במדינות חברות אחרות יש מקבילות לכך).
• עליה להיות בעלת סמכות — ויכולת תפעולית — לפעול על פי הוראות בתוך המועדים הקבועים בתקנות.
• עליה לפעול בתיאום מושלם עם צוותי המשפטים, האבטחה וההנדסה הגלובליים שלכם, לעתים קרובות על פני אזורי זמן שונים.

עבור פלטפורמות רבות שאינן שייכות לאיחוד האירופי, הפתרון היעיל ביותר הוא שירות הקמת עסקים ייעודי הסדר: שותף מוסדר מטעם האיחוד האירופי משמש כאיש הקשר שלכם, מנהל את קבלת הפניות 24 שעות ביממה, 7 ימים בשבוע, מאמת וממיין את הבקשות, ומעביר לצוותים הפנימיים שלכם רק את ההחלטות המהותיות הדורשות ידע בתחום הפלטפורמה.

דרישות תפעוליות עבור זירות מסחר ופלטפורמות ענן

תאימות אינה רק עניין של ניירת. כדי לעמוד באופן אמין בלוח הזמנים הסטנדרטי של 10 ימים ובמועדי החירום של 8 שעות, פלטפורמות זקוקות בדרך כלל ל:

• ממשק קבלה מאובטח הקשורים ל- e-CODEX, כולל אימות אוטומטי של חתימות דיגיטליות ותעודות של רשויות מנפיקות.
• איתור נתונים בין מערכות מסוגל לאתר נתוני מנויים, זיהוי, תעבורה ותוכן במאגרי נתונים ישנים ומודרניים כאחד.
• פורמטים סטנדרטיים לייצוא בהתאם לצווי היישום של הנציבות בנושא פורמטי נתונים.
• משלוח מוצפן באמצעות e-CODEX, עם אישור קבלה הניתן לאימות ורישום ברמת ביקורת.
• תיעוד ביקורת המעיד על חבלה המקיף כל פעולה, מהקבלה ועד המסירה — דבר חיוני לשמירה על תקינות הראיות ולביקורת רגולטורית בדיעבד.
• צוותי תגובה משפטיים והנדסיים הזמינים 24 שעות ביממה, 7 ימים בשבוע, עם נהלי פעולה מתורגלים למקרי חירום.
• אמצעי בקרה לצמצום נתונים הקפד לחשוף רק את המידע שהוזמן במפורש, בהתאם לסעיף 5 לתקנת ה-GDPR.
• דיווח על שקיפות בהתאם לחוק השירותים הדיגיטליים עבור פלטפורמות מקוונות ענקיות (VLOP) ומנועי חיפוש מקוונים ענקיים (VLOSE).

פיתוח כל זה באופן פנימי אפשרי עבור הפלטפורמות הגדולות ביותר, אך מרבית אתרי המסחר המקוון וספקי הענן נהנים מפתרון שתוכנן במיוחד למטרה זו. ה- פלטפורמת ICS לציות בתחום הראיות האלקטרוניות מכסה את מחזור החיים המלא — החל מקבלת הנתונים, דרך אימות, מיצוי, בדיקה ועד למסירה — ומשתלב במערכות הקיימות לניהול זהויות, רישום יומנים ואחסון.

שיקולים מיוחדים עבור ספקי שירותי ענן

ספקי ענן מתמודדים עם מספר אתגרים מורכבים, אשר אינם קיימים בפלטפורמות תוכן בלבד:

• ריבוי דיירים ובידוד: הייצור חייב להיות מכוון לנתוניו של לקוח בודד מבלי לחשוף דיירים אחרים — הן מבחינה טכנית והן מבחינה חוזית.
• הצפנה בשליטת הלקוח: כאשר הלקוחות מחזיקים במפתחות שלהם (BYOK/HYOK), ייתכן שהספק אכן אינו מסוגל להציג את נתוני התוכן, ויש לתעד ולהודיע על מגבלה זו.
• אחריות משותפת: בחוזים ובהסכמי עיבוד נתונים יש לציין במפורש איזה צד אחראי לקבלת וביצוע צווי אכיפת חוק לגבי אילו נתונים.
• הודעה ללקוחות: ללקוחות מסחריים — ובמיוחד ללקוחות B2B עסקיים — יש לעתים קרובות זכויות חוזיות לקבל הודעה על בקשות גישה, בכפוף לחובות הסודיות המוטלות על ידי הרשות המנפיקה.
• שכפול בין-אזורי: הנתונים עשויים להיות מאוחסנים במספר מדינות חברות או במדינות שלישיות, דבר העלול ליצור ניגודי אינטרסים בין צווים של האיחוד האירופי לבין דיני מדינות שלישיות (ה“בחינה לפי סעיף 17”).

שיקולים מיוחדים לגבי פלטפורמות מסחר מקוונות

• נתוני אימות המוכר (KYC, רישום עסקים, מספרי זיהוי מס) מהווים לרוב את נתוני המנויים החשובים ביותר עבור חוקרים, ויש לאפשר את חילוץ הנתונים בקלות.
• רשימות והודעות מדובר בדרך כלל בנתוני תוכן, והצגתם מחייבת עמידה בסף חומרת העבירה הגבוה יותר.
• פרטי תשלום ייתכן שהדבר קשור ל-PSPs ולא לשוק עצמו — חשוב מאוד שיהיה ברור מי מגיב לאיזו הזמנה.
• מוכרים בינלאומיים ליצור חפיפה עם חובות בתחום הגנת הצרכן, מע"מ וה-DSA; יש לשלב את הראיות האלקטרוניות בתוכניות אלה — ולא ליצור כפילות ביניהן.

עונשים בגין אי-עמידה בדרישות

על המדינות החברות להטיל עונשים יעילים, מידתיים ומרתיעים. התקנה קובעת את הרף לקנסות מינהליים בסך עד 21% מהמחזור השנתי העולמי של הספק. עבור פלטפורמת SaaS בינונית, הדבר עלול להסתכם בעשרות מיליוני אירו; עבור חברות היפר-סקלר ושווקים מקוונים גדולים, המספרים הללו הופכים במהרה לגורם משמעותי בדיווחים הכספיים. מעבר לקנסות, כשלים חוזרים ונשנים עלולים להוביל לצווים שיפוטיים, לצעדים רגולטוריים ולפגיעה משמעותית במוניטין בקרב לקוחות עסקיים, שותפים ומשקיעים.

תוכנית עבודה בת 6 חודשים עד אוגוסט 2026 עבור הפלטפורמות

1. חודשים 1–2 — הגדרת היקף הפרויקט ומיפוי נתונים. יש לאמת אילו ישויות ושירותים נכללים בהיקף הבדיקה, למפות נתוני מנויים/זיהוי/תעבורה/תוכן בין המערכות, ולזהות פערים.
2. חודשים 2–3 — יסודות משפטיים. יש לייעד סניף באיחוד האירופי, להירשם אצל הרשות המוסמכת, ולעדכן חוזים, הסכמי הגנה על נתונים (DPA), תנאים והנחיות לאכיפת החוק.
3. חודשים 3–4 — פיתוח טכני. לשלב עם e-CODEX, לפרוס כלים לקליטה, אימות וחילוץ נתונים, ולחזק את רישום הביקורת.
4. חודשים 4–5 — מוכנות מבצעית. לגייס ולהכשיר את צוות התגובה הפועל 24 שעות ביממה, 7 ימים בשבוע, לסיים את הכנת מדריכי התפעול, ולערוך תרגילים תיאורטיים למקרי חירום.
5. חודש 6 — ביטחון. ביקורת תאימות בלתי תלויה, אישור מטעם הדירקטוריון ותרגול לקראת ההשקה לפני ה-18 באוגוסט 2026.

שאלות נפוצות

למידע מפורט יותר, ראו את העמוד הייעודי שלנו שאלות נפוצות בנושא ראיות דיגיטליות.

האם חוק הראיות האלקטרוניות חל על זירות מסחר קטנות ועל חברות סטארט-אפ בתחום הענן?

כן. אין פטור כללי לעסקים קטנים ובינוניים. אם אתם מציעים שירות הנכלל בהיקף התקנות למשתמשים באיחוד האירופי, אתם נכללים בהיקף התקנות ללא תלות במספר העובדים או בהכנסות. פלטפורמות קטנות יותר יכולות להתאים את היקף הציות שלהן באופן יחסי, אך החובות המרכזיות — סניף ייעודי, קבלת פניות ויכולת תגובה — עדיין חלות.

האם נוכל להסתמך על תהליך העבודה הקיים שלנו בתחום אכיפת החוק?

כנראה שלא. מרבית תהליכי העבודה הקיימים מבוססים על קליטה ידנית של דוא"ל או דרך פורטל, וכוללים זמן טיפול של שבועות. תקנת הראיות האלקטרוניות מחייבת קליטה המבוססת על e-CODEX, תגובה למקרי חירום תוך שעות ספורות, ויומני ביקורת המונעים זיוף – דברים שתהליכי העבודה הקיימים בדרך כלל אינם מספקים.

מה קורה אם הנתונים מוחזקים בידי מעבד משנה או גורם אחר בקבוצה שלנו?

הספק שמקבל את ההזמנה אחראי לביצועה. יש לתאם את החוזים הפנימיים ואת הסדרי עיבוד הנתונים כך שתוכלו לחייב מעבד משנה או חברה קשורה לספק את הנתונים בתוך המועדים הקבועים בחוק.

ומה לגבי שירותים עם הצפנה מקצה לקצה?

התקנה אינה מחייבת את הספקים להחליש את ההצפנה. אם אכן אין באפשרותכם לגשת לנתוני התוכן בשל מפתחות הנמצאים בידי הלקוח או בשל ארכיטקטורת E2E אמיתית, ניתן לציין מגבלה זו, אך עליכם בכל זאת לספק את פרטי המנוי, פרטי הזיהוי והמטא-נתונים שאליהם יש לכם גישה.

כיצד ICS מסייעת לפלטפורמות להתכונן

ICS מספקת גם את פלטפורמת תאימות טכנית ו- שירותי מוסדות ייעודיים לפלטפורמות בכל הגדלים — מחברות SaaS בצמיחה מהירה ועד לשווקים מקוונים גלובליים וספקי ענן בהיקף עצום. ההיצע המשולב שלנו כולל קליטת e-CODEX, אימות אוטומטי, חילוץ נתונים ממערכות מרובות, העברה מוצפנת, רישום ביקורת המגן מפני חבלה ותפעול מנוהל 24/7, והכל במסגרת מערכת משולבת תוכנית ציות בתחום הראיות האלקטרוניות.

צרו קשר עם ICS עוד היום לקבלת הערכה עצמאית של מוכנות הפלטפורמה שלכם לניהול ראיות דיגיטליות, הכוללת תוכנית פעולה ברורה לקראת המועד האחרון ב-18 באוגוסט 2026.