מדיניות פרטיות למספרה עם אתר מפותח עצמאית – מה החוק מחייב אתכם לעשות
עודכן ב-15 ביולי 2025
מספרה שמנהלת אתר מפותח עצמאית נמצאת במצב ייחודי: אין פלטפורמה מרכזית שלוקחת אחריות על האבטחה, ההוסטינג נבחר בנפרד, וכל ספק שירות – מערכת תורים, סליקה, שליחת SMS – מוסיף שכבת מידע נוספת. בנוסף, מספרה אוספת מידע שיכול להיות רגיש במיוחד: תמונות לקוחות לפני ואחרי טיפול, והיסטוריית טיפולים שחושפת הרגלים אישיים. תיקון 13 לחוק הגנת הפרטיות (התשפ"ד-2024) מחייב אתכם – כבעלי האתר – לשאת באחריות המלאה על כל אחד מהספקים האלה, ולהבטיח שהלקוחות יודעים בדיוק מה אתם עושים עם המידע שלהם.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- אתר מפותח עצמאית = אחריות בלעדית על הבעלים: אין Shopify או Wix שיספקו תשתית אבטחה כברירת מחדל. בחירת שרת ההוסטינג, הגדרות SSL, הרשאות גישה למסד הנתונים – כולם באחריותכם האישית, וכשל בכל אחד מהם עלול להוות הפרה של תקנות אבטחת המידע.
- תמונות לקוחות לפני ואחרי טיפול הן מידע בעל רגישות מיוחדת לכל דבר: תמונה שמזהה אדם, בשילוב פרטי טיפול, עשויה לחשוף מידע רפואי או אסתטי שהלקוח לא התכוון לשתף. שמירתן בשרת ללא הצפנה, שיתופן ברשתות חברתיות ללא הסכמה מפורשת, או אחסונן אצל ספק ענן זר – כל אלה דורשים הסדרה חוקית ברורה.
- מערכות תורים, SMS ודוא"ל שיווקי שמחוברות לאתר יוצרות שרשרת ספקים בלתי מנוהלת: כל ספק שמקבל מידע על לקוחות המספרה (שם, טלפון, היסטוריית ביקורים) הופך ל"מחזיק מאגר" בפועל, ומחייב הסדרה כחוזה מיקור חוץ בהתאם לתקנה 15 לתקנות אבטחת מידע.
שאלות נפוצות
האם תמונות לפני ואחרי טיפול שאני מפרסמת באתר או באינסטגרם דורשות הסכמה חתומה?
כן, בהחלט. תמונה שמזהה לקוח, במיוחד אם היא מציגה שינוי מראה שקשור למצב הבריאות או הגיל, מהווה מידע אישי ועשויה להיחשב מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. פרסום ללא הסכמה מפורשת ומתועדת מהלקוח חושף אתכם לתביעה אזרחית ולעיצום מנהלי. מומלץ לתעד הסכמה בכתב – גם אם מדובר בהודעת וואטסאפ ברורה שנשמרת.
מה עלי לציין בטופס הזמנת תור באתר שלי לגבי השימוש במידע?
לפי סעיף 11 לחוק הגנת הפרטיות (חובת יידוע), בעת איסוף מידע עליכם לציין: האם המסירה היא חובה או רשות, לאיזו מטרה המידע ישמש, ולמי הוא עשוי להיות מועבר (למשל, מערכת התורים, ספק SMS). הצגת פסקת יידוע קצרה ליד טופס ההזמנה – לא מספיק רק קישור למדיניות פרטיות בתחתית הדף.
אני משתמשת במערכת תורים חיצונית שמתחברת לאתר שלי. מה האחריות שלי עליה?
מערכת תורים חיצונית שמקבלת נתוני לקוחות (שם, טלפון, היסטוריית טיפולים) היא ספק מיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע). אתם, כבעלי המאגר, חייבים להסדיר זאת בחוזה כתוב שמגדיר את חובות הספק בנושא אבטחה ואיסור שימוש במידע למטרות אחרות. בהיעדר חוזה כזה, האחריות נופלת עליכם.
ההוסטינג של האתר שלי הוא אצל ספק זר בחו"ל. האם זה בעיה?
אחסון מידע על לקוחות ישראלים בשרתים מחוץ לישראל מחייב הקפדה יתרה. עליכם לוודא שהספק הזר מחויב לרמת אבטחה שלא נופלת מזו הנדרשת בתקנות הישראליות, ולהסדיר זאת בחוזה מיקור חוץ. כמו כן, יש לציין ללקוחות שהמידע שלהם עשוי להיות מאוחסן מחוץ לישראל.
מה קורה אם יש פריצה לאתר שלי ומידע לקוחות דלף?
במאגר ברמת אבטחה בינונית או גבוהה, תקנה 11 לתקנות אבטחת המידע מחייבת דיווח באופן מיידי לרשות להגנת הפרטיות. מספרה שמנהלת היסטוריית טיפולים ותמונות לקוחות סביר שתסווג כמאגר ברמה בינונית לפחות. אי-דיווח בזמן מהווה הפרה עצמאית שעלולה להוביל לעיצום כספי בנוסף לנזק מהאירוע עצמו.